BRPI0621299A2 - sistema e meios de autenticação para autenticação de um usuário final, e, método para autenticar um usuário final remoto de um arranjo de estação de usuário - Google Patents

sistema e meios de autenticação para autenticação de um usuário final, e, método para autenticar um usuário final remoto de um arranjo de estação de usuário Download PDF

Info

Publication number
BRPI0621299A2
BRPI0621299A2 BRPI0621299-9A BRPI0621299A BRPI0621299A2 BR PI0621299 A2 BRPI0621299 A2 BR PI0621299A2 BR PI0621299 A BRPI0621299 A BR PI0621299A BR PI0621299 A2 BRPI0621299 A2 BR PI0621299A2
Authority
BR
Brazil
Prior art keywords
authentication
challenge
access
user station
communication channel
Prior art date
Application number
BRPI0621299-9A
Other languages
English (en)
Inventor
Ulf Schuberth
Original Assignee
Mideye Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mideye Ab filed Critical Mideye Ab
Publication of BRPI0621299A2 publication Critical patent/BRPI0621299A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

SISTEMA E MEIOS DE AUTENTICAçãO PARA AUTENTICAçãO DE UM USUáRIO FINAL, E, MéTODO PARA AUTENTICAR UM USUáRIO FINAL REMOTO DE UM ARRANJO DE ESTAçãO DE USUáRIO. A presente invenção relaciona-se a um sistema para autenticação de um usuário final de um arranjo de estação de usuário (10)solicitando acesso a informação protegida, compreendendo meios de servidor de acesso (20) e meios de autenticação (30), o aranjo de estação de usuário (10) suportando comunicação com os meios de autenticação (30) através de um primeiro canal de comunicação de uma rede de rádio (40). Este suporta adicionalmente comunicação com os meios de autenticação (30) através de um segundo canal de comunicação. Os meios de autenticação (30) são adaptados para, na recepção de uma solicitação para acesso a informação protegida de um arranjo de estação de usuário (10), estabelecer se o arranjo de estação de usuário (10) é alcançável através do primeiro canal de comunicação. Citados meios de autenticação (30) são adaptados para suportar um primeiro modo de autenticação e um segundo modo de autenticação através do citado segundo canal de comunicação, e compreende adicionalmente meios de decisão para selecionar se e/ou quando o primeiro ou segundo modo de autenticação deve ser usado para um arranjo de estação de usuário (10) solicitando acesso a informação protegida.

Description

"SISTEMA E MEIOS DE AUTENTICAÇÃO PARA AUTENTICAÇÃO DE UM USUÁRIO FINAL, E, MÉTODO PARA AUTENTICAR UM USUÁRIO FINAL REMOTO DE UM ARRANJO DE ESTAÇÃO DE USUÁRIO" CAMPO DA INVENÇÃO
A presente invenção relaciona-se a um sistema para autenticação de usuário final de um arranjo de estação de usuário solicitando acesso a informação protegida, por exemplo, um recurso protegido ou serviço protegido ou similar, o que compreende meios de servidor de acesso e meios de autenticação, onde o arranjo de estação de usuário móvel suporta comunicação com os meios de autenticação através de um primeiro canal de comunicação de uma rede de rádio.
A invenção também se relaciona a um meio de autenticação para autenticação de um usuário final solicitando acesso a informação protegida, um recurso protegido ou um serviço protegido, a partir de um arranjo de estação de usuário compreendendo uma interface de meio de serviço de acesso, pelo menos uma interface habilitando comunicação com o arranjo de estação de usuário através de um primeiro canal de comunicação de uma rede de rádio.
A invenção também se relaciona a um método para autenticação de um usuário final remoto de um arranjo de estação de usuário solicitando acesso a um serviço protegido, recurso, informação, etc., enviando uma solicitação de acesso a um meio de autenticação. Particularmente, relaciona-se à autenticação de usuários móveis solicitando acesso a recursos protegidos via uma rede IP ou outra forma de rede de acesso eletrônico. ESTADO DA TÉCNICA
O acesso remoto a serviços que são protegidos, ou informação sensível protegida em geral, via redes públicas, requer autenticação forte do usuário final, para evitar abuso da informação protegida ou para evitar que a informação ou serviços protegidos sejam difundidos não intencionalmente. Tradicionalmente, é provida autenticação com assim chamadas fichas de autenticação providas aos usuários finais. É então verificado se o usuário final está de posse da ficha antes do acesso ao serviço ou informação protegida ser autorizado. Um exemplo típico disto é um assim chamado cartão de ficha, que provê o usuário final de senhas de uso único pseudo randômicas, a serem verificadas por um servidor de autenticação.
Como uma alternativa à disposição de fichas de autenticação separadas, o módulo de identidade de um serviço móvel, por exemplo, um cartão GSM SIM (Módulo de Identidade de Assinante) ou um UMTS (Sistema Universal de Telecomunicações Móveis), USIM (UMTS SIM) podem ser utilizados como uma ficha. O módulo de identidade pode conter uma chave secreta privada que pode ser usada para assinar um desafio de autenticação e para provar que o usuário final remoto está de posse da ficha de segurança, o que em tais implementações consiste do módulo de identidade do dispositivo móvel.
Hoje em dia, há duas abordagens principais para utilizar o módulo de identidade de dispositivos móveis como uma ficha de segurança. Uma das abordagens consiste em utilizar a rede móvel como um canal de segurança, onde o servidor de autenticação se comunica com o dispositivo móvel via rede de rádio, que a seguir será denotada por autenticação baseada na rede. Autenticação baseada na rede provê facilidade de uso superior, uma vez que o servidor de autenticação pode automaticamente executar várias etapas no diálogo de autenticação somente com entrada mínima a partir do usuário final. É entretanto, uma desvantagem de tais métodos de autenticação baseados na rede que o dispositivo móvel tem que estar dentro da cobertura por rádio para a autenticação funcionar. Uma outra desvantagem é que o canal pode simplesmente ser bloqueado, evitando então que a autenticação seja realizada.
Uma outra abordagem é baseada em solicitar ao usuário final para executar manualmente uma operação de assinatura no dispositivo móvel, que aqui é denotado por autenticação com entrada manual.
A autenticação com entrada manual requer considerável interação com o usuário final, o usuário final, por exemplo, tem que ler um desafio a partir do canal de acesso, inserir este no dispositivo móvel e retornar uma resposta assinada toda vez. Isto se torna particularmente inconveniente se o dispositivo móvel é usado simultaneamente como um terminal de acesso. Tal abordagem entretanto, não é dependente da cobertura por rádio.
US-A-5 668 876 descreve um método e aparelho para autenticação de um usuário final tentando acessar um serviço eletrônico, por meio do qual um código de desafio é enviado a uma unidade pessoal tal como um telefone móvel a ser usado com um telefone padrão, um telefone móvel ou um telefone com fio. Um código de desafio é transmitido à unidade pessoal, o usuário a coloca em um PIN ou similar, a unidade gera um código de resposta baseado em uma chave secreta armazenada internamente. Este código é inserido, por exemplo, em um telefone, enviado de volta para comparar a resposta com o código de desafio original ou com um código de resposta esperado, para permitir ou rejeitar acesso. Este documento resolve particularmente o problema de requerer terminais dedicados ou terminais sob medida, restringindo o uso de sistemas de segurança a sites específicos. Entretanto, esta solução é desvantajosa em que não segue o resultado de fornecimento de códigos de desafio, o que entre outros significa, se não houver cobertura por rádio, a autenticação falhará. SUMÁRIO DA INVENÇÃO
O que é necessário, é portanto, um sistema através do qual possa ser efetuada autenticação de usuário final de um modo fácil e flexível, requerendo particularmente tão pouca interação com o usuário final quanto possível. Particularmente, é necessário um sistema que não esteja restrito ao uso de quaisquer unidades dedicadas. Ainda adicionalmente, é necessário um sistema que pode tirar vantagem de uma assim chamada abordagem baseada na rede, sem sofrer com as deficiências normalmente associadas a ela. Particularmente, é necessário um sistema que opere independentemente do arranjo de estação de usuário ser alcançável ou não, isto é, dentro da cobertura de uma rede de rádio, que em adição a isto é amigável para o usuário, e até uma extensão desejada ou máxima pode ser automatizado. Particularmente, é necessário um sistema que seja fácil de implementar em sistemas de comunicação já existentes, bem como para implementar em novos sistemas.
Um arranjo, ou um meio de autenticação, é também necessário, através do qual um ou mais dos objetivos acima mencionados podem ser alcançados. Ainda adicionalmente, é necessário um método através do qual um ou mais dos objetivos acima mencionados possam ser alcançados.
Portanto, um sistema conforme inicialmente referido é provido, onde o arranjo de estação de usuário suporta adicionalmente comunicação com o método de autenticação através de um segundo canal de comunicação. Os meios de autenticação são adaptados para, na recepção de uma solicitação para acesso a informação protegida ou a um serviço protegido ou recurso protegido, a partir de um arranjo de estação de usuário, estabelecer se o arranjo de estação de usuário é alcançável através do primeiro canal de comunicação para fins de autenticação e adicionalmente para suportar um primeiro modo de autenticação, bem como um segundo modo de autenticação através do citado canal de comunicação. O método de autenticação compreende adicionalmente meios para selecionar se, e/ou quando, o primeiro ou segundo modo de autenticação deve ser ativado ou usado para um arranjo de estação de usuário solicitando acesso a informação protegida, etc. Citado meio de decisão compreende particularmente ou se comunica com meio de comutação para comutar entre o primeiro e o segundo modo de autenticação, dependendo de qual destes pode ou deveria ser usado. Mais particularmente, o primeiro modo de autenticação tem prioridade sobre o segundo modo de autenticação, o que significa que, se o primeiro modo de autenticação pode ser usado, este deve ser usado. O meio de autenticação compreende particularmente meio de exame que compreende ou inclui o citado meio de decisão para estabelecer se o arranjo de estação de usuário é alcançável para fins de autenticação através do primeiro canal de comunicação, ou não. Particularmente, o primeiro canal de comunicação compreende um canal de autenticação e, ainda mais particularmente, o segundo canal de comunicação compreende um canal de acesso.
Em uma implementação, o segundo canal de comunicação é um canal de comunicação, também, da primeira rede de rádio ou, em uma outra realização, de uma segunda rede de rádio. Em uma outra realização vantajosa, entretanto, o segundo canal de comunicação é um canal de comunicação de uma rede de comunicação fixa ou de uma rede de comunicação com fio, por exemplo, para acesso à Internet ou suportando acesso à Internet.
Em uma implementação, o meio de autenticação compreende um módulo de autenticação, que pode ser provido no ou associado a um servidor de autenticação. Este pode também ser provido no ou associado a um meio de acesso. Em outras implementações, o meio de autenticação compreende um servidor de autenticação.
Em algumas realizações, o arranjo de estação de usuário compreende um dispositivo móvel e um terminal de acesso formando unidades separadas. Em implementações alternativas, o arranjo de estação de usuário compreende um terminal de acesso móvel como uma unidade única, isto é, o dispositivo móvel e o terminal de acesso são providos como uma unidade única.
Os meios de decisão conforme referido acima são particularmente adaptados para selecionar o segundo modo, se o arranjo de estação de usuário, seja como uma unidade combinada ou dispositivo móvel desta, não for alcançável através da citada primeira rede de rádio, por exemplo, se estiver fora da cobertura por rádio ou se o primeiro canal de comunicação estiver bloqueado, etc. Pode haver, naturalmente, também outras razões para utilizar o segundo canal de comunicação, particularmente o canal de acesso ou o segundo modo.
O meio de autenticação compreende particularmente meio de execução de autenticação compreendendo citados meios de exame e que são adaptados para iniciar um diálogo de pré autenticação com o arranjo de estação de usuário através do primeiro canal de comunicação, por exemplo, através da primeira rede de rádio, para estabelecer se o primeiro modo de autenticação pode ser usado, ou se o arranjo de estação de usuário é alcançável através da primeira rede de rádio.
Ainda mais particularmente, os citados meios de autenticação são adaptados para, para efetuar o citado diálogo de pré autenticação que também pode ser dito como constituindo uma etapa de exame, gerar e transmitir uma primeira mensagem de desafio compreendendo um código de desafio para o arranjo de estação de usuário, através da primeira rede de comunicação, e para iniciar um primeiro diálogo de autenticação do primeiro modo de autenticação, provendo uma segunda mensagem de desafio compreendendo um aviso de desafio para o arranjo de estação de usuário, se o fornecimento do código de desafio da primeira mensagem de desafio é verificado. Os meios de autenticação são adicionalmente adaptados para, se o fornecimento do código de desafio não for verificado, iniciar o segundo diálogo de autenticação do segundo modo de autenticação, gerando e enviando uma mensagem de desafio combinada, compreendendo um código de desafio e um aviso de desafio na mesma mensagem através do segundo canal de comunicação para o arranjo de estação de usuário, e para examinar se o código de desafio é retornado apropriadamente assinado e corresponde ao código de desafio enviado, ou uma resposta esperada para o código de desafio enviado, para autorizar o acesso ou rejeitar o acesso, à informação/serviço protegido, dependendo do resultado do exame. O procedimento de exame e autorização/rejeição é o mesmo, independente do primeiro ou segundo modo ser usado.
Em uma realização particular, os meios de exame são adaptados para enviar citada primeira mensagem de desafio como um SMS (Serviço de Mensagem Curta) através, por exemplo, de um SMS-C (Centro SMS). Mais particularmente, o código de desafio compreende um número randômico, gerado de qualquer maneira apropriada.
O meio de autenticação compreende adicionalmente ou se comunica com meio de armazenagem de dados de usuário mantendo informação de usuário tal como chaves públicas para arranjos de estação de usuário e meios de verificação de autenticação adaptados para descriptografar códigos de desafio assinados (criptografados) retornados, usando a chave pública de um arranjo de estação de usuário correspondente a uma chave privada respectiva, armazenada em um módulo de autenticação do respectivo arranjo de estação de usuário, e comparando o código de desafio descriptografado retornado com o código de desafio original enviado ao arranjo de estação de usuário ou com uma resposta esperada, e para, se o código de desafio descriptografado, retornado, corresponde ao código de desafio original, ou à resposta esperada, autorizar a solicitação de acesso, caso contrário rejeitar a solicitação de acesso.
Mais particularmente, o mecanismo de resposta de desafio RADIUS ou similar, é suportado pelo sistema.
Em uma realização, a segunda mensagem de desafio, por exemplo, o aviso de desafio do primeiro modo, é enviado via segundo canal de comunicação, o código de desafio sendo assinado (automaticamente) no dispositivo móvel e apresentado no dispositivo móvel, avisando o usuário final a entrar com o código de desafio assinado no cliente de acesso. Alternativamente, a assinatura com a chave privada deve ser executada manualmente ou inclui uma assinatura manual. Alternativamente, este pode ser provido para entrada automática do código de desafio assinado, por exemplo, se a estação de usuário é um arranjo de estação de usuário combinado (uma entidade) conforme discutido acima, ou se o terminal de acesso (cliente) e o dispositivo móvel são unidades separadas, porém conectadas, por exemplo, por meio de um protocolo BlueTooth ou similar.
Se o segundo modo é, ou deve ser, implementado, o código de acesso e, ao invés disso, enviado através do segundo canal de comunicação, com o aviso, ao terminal de acesso e o usuário final é avisado a assinar o código de desafio com o dispositivo móvel, selecionando manualmente uma função de assinatura do dispositivo móvel, entrando com o código de desafio (apresentado no terminal de acesso) neste, e então entrar com o código de desafio assinado (apresentado no serviço móvel) no terminal de acesso. Também aqui, para uma designação de estação de usuário combinada parcial ou completa, é possível automação.
De acordo com a invenção é, portanto, sugerido também um meio de autenticação conforme inicialmente referido, que é adaptado para suportar comunicação com o arranjo de estação de usuário, também através de um segundo canal de comunicação, que compreende adicionalmente um meio de execução de autenticação compreendendo meio de exame para estabelecer se um arranjo de estação de usuário solicitando acesso protegido é alcançável através do primeiro canal de comunicação, para fins de autenticação. Citados meios de autenticação são adaptados para suportar um primeiro modo de autenticação e um segundo modo de autenticação (apenas) usando o segundo canal de comunicação, citados meios de exame compreendendo meios de decisão para selecionar citado primeiro ou citado segundo modo de autenticação. Citado meio de decisão compreende particularmente ou se comunica com meio de comutação para comutar entre o primeiro e o segundo modo de autenticação. Mais particularmente, o primeiro modo de autenticação tem prioridade sobre o segundo modo de autenticação, citado segundo modo sendo particularmente usado apenas se o arranjo de estação de usuário não for alcançável através do primeiro canal de comunicação para fins de autenticação. Em uma implementação particular, o primeiro canal de comunicação compreende um canal de autenticação e o segundo canal de comunicação compreende um canal de acesso. Mais particularmente, o primeiro canal de comunicação é um canal de comunicação de rede de rádio de uma primeira rede de rádio, ao passo que o segundo canal de comunicação é um canal de comunicação de uma rede de comunicação fixa, por exemplo, para acesso Internet, ou um canal de comunicação de rede de rádio da citada primeira rede de rádio, em adição ao primeiro de uma segunda rede de rádio. Em uma implementação, o meio de autenticação compreende um servidor de autenticação.
Alternativamente, este compreende um módulo de autenticação adaptado para ser associado com ou provido em um servidor de autenticação ou um servidor de acesso, ou um servidor de autenticação-acesso combinado, ou através de sua inclusão ou associação, formando um servidor de acesso-autenticação combinado.
Mais particularmente, os meios de exame são adaptados para examinar se um dados critério é satisfeito para estabelecer se o arranjo de estação de usuário é alcançável através o primeiro canal de comunicação, mais particularmente enviando um código de desafio através do primeiro canal de comunicação, por exemplo, como um SMS e para examinar se uma confirmação de fornecimento direta ou indireta é obtida do arranjo de estação de usuário ou do lado da rede de rádio relacionado à disponibilidade através do arranjo de estação de usuário. Mais particularmente, se o dado critério é satisfeito, os meios de exame são adaptados para ativar os meios de execução de autenticação no primeiro modo, no qual estes são adaptados para enviar uma segunda mensagem de desafio compreendendo um aviso de desafio para avisar uma entrada do código de desafio enviado na primeira mensagem de desafio, preferivelmente assinada automaticamente no dispositivo móvel do arranjo de estação de usuário, (manualmente) no cliente de acesso e retornando do citado código de desafio assinado para o meio de autenticação. Citado meio de execução de autenticação compreende adicionalmente meio de verificação para descriptografar o código de desafio assinado e para comparar o código de desafio descriptografado retornado com o código de desafio enviado originalmente (ou com uma resposta esperada) e para autorizar a solicitação de acesso se houver concordância entre o código de desafio original (resposta esperada) e o código de desafio retornado descriptografado, e para, caso contrário rejeitar a solicitação de acesso.
Os meios de verificação são particularmente adaptados para, no primeiro bem como no segundo modo, baixar uma chave pública concernente ao arranjo de estação de usuário armazenado nos meios de armazenagem externo ou interno e correspondendo a uma chave privada do arranjo de estação de usuário usado para assinatura. Ainda mais particularmente, os meios de autenticação são adaptados para, se nenhuma confirmação de fornecimento for recebida, ou se a solicitação de acesso for rejeitada na implementação do primeiro modo, enviar uma mensagem de desafio combinada compreendendo ambos código de desafio e aviso de desafio para o arranjo de estação de usuário, para assinatura no dispositivo móvel e entrada no cliente de acesso, para descriptografar o código de desafio assinado retornado e para comparar o código de desafio descriptografado retornado com o código de desafio original enviado (resposta esperada) e autorizar a solicitação de acesso se houver concordância entre o código de desafio original e o código de desafio retornado descriptografado, e para rejeitar, caso contrário, a solicitação de acesso. Particularmente, assinatura manual é requerida no dispositivo móvel, após a entrada do código de desafio apresentado no terminal de acesso, e entrada manual deste, do código de desafio assinado no cliente de acesso.
A primeira mensagem de desafio, por exemplo, o código de desafio, compreende particularmente um código de desafio randômico.
No sentido de resolver um ou mais dos problemas acima mencionados e para satisfazer um ou mais dos objetivos anteriormente discutidos no pedido, um método conforme inicialmente referido é também provido, o qual compreende as etapas de: executar uma etapa de exame nos meios de autenticação, para estabelecer se o arranjo de estação de usuário é alcançável para fins de autenticação através de um primeiro canal de comunicação ou de uma (primeira) rede de rádio; caso afirmativo, iniciar um primeiro modo de autenticação; caso negativo, iniciar um segundo modo de autenticação através de um segundo canal de comunicação.
A etapa de exame compreende particularmente as etapas de: gerar uma primeira mensagem de desafio no meio de autenticação; enviar a primeira mensagem de desafio ao arranjo de estação de usuário ou a um nó de rede de rádio controlando o arranjo de estação de usuário; examinar, nos meios de autenticação, se um dado critério é satisfeito, por exemplo, se uma confirmação de fornecimento da primeira mensagem é recebida dentro de um dado período de tempo; caso afirmativo, iniciar citado primeiro modo de autenticação, enviando uma segunda mensagem de desafio solicitando a primeira mensagem de desafio assinada no arranjo de estação de usuário em retorno, e caso negativo, iniciar citado segundo modo; gerando uma mensagem de desafio combinada e enviando citada mensagem de desafio combinada ao arranjo de estação de usuário através de um segundo canal de comunicação. Mais particularmente, a primeira mensagem de desafio compreende um código de desafio, por exemplo, um código randômico e a segunda mensagem de desafio compreende um aviso de desafio ao passo que a mensagem de desafio combinada compreende um código de desafio e um aviso de desafio.
Ainda mais particularmente, o primeiro e segundo modo de autenticação, isto é, independente de qual deles é implementado, compreendem as etapas de, nos meios de autenticação: recepção de um código de desafio retornado assinado ou criptografado; descriptografia do código de desafio criptografado retornado; comparação do código de desafio originalmente enviado ou uma resposta esperada, com o código de desafio retornado, descriptografado; autorização da solicitação de acesso, se o código de desafio descriptografado retornado corresponde ao código de desafio original, enviado ou à resposta esperada, caso contrário, rejeitar a solicitação de acesso.
Mais particularmente, o método compreende as etapas de, no arranjo de estação de usuário e para o primeiro modo: assinar automaticamente o código de desafio como a primeira mensagem de desafio com uma chave privada, no dispositivo móvel; apresentar o código de desafio assinado em um visor do dispositivo móvel do arranjo de estação de usuário; enviar uma confirmação de fornecimento ao meio de autenticação; entrar com o código de desafio assinado em um cliente de acesso do arranjo de estação de usuário na recepção do aviso de desafio. A entrada pode ser efetuada automaticamente se o arranjo de estação de usuário, por exemplo, compreende uma única unidade compreendendo um dispositivo móvel e um terminal de acesso (cliente) ou se é provido, por exemplo, para comunicação BlueTooth entre eles. Caso contrario, a entrada é executada manualmente pelo usuário final, ou via transferência IR.
Particularmente, o método compreende as etapas de, no arranjo de estação de usuário: avisar, com a primeira mensagem de desafio um usuário final para entrar com um código de usuário secreto, por exemplo, um código PIN, no dispositivo móvel do arranjo de estação de usuário; assinar o código de desafio com a chave secreta privada armazenada em um módulo de identidade do arranjo de estação de usuário, por exemplo, um cartão SIM; apresentar o código de desafio assinado em um visor do dispositivo móvel do arranjo de estação de usuário; enviar uma confirmação de fornecimento ao meio de autenticação.
Particularmente, o método compreende as etapas de, na recepção da confirmação de, na recepção da confirmação de fornecimento nos meios de autenticação: enviar a segunda mensagem de desafio ou aviso de desafio ao cliente de acesso do arranjo de estação de usuário solicitando ao usuário final para entrar com o código de desafio assinado apresentado no visor do dispositivo móvel, no cliente de acesso; retornar, a partir do cliente de acesso, o código de desafio assinado aos meios de autenticação.
Particularmente, a etapa de descriptografia compreende: baixar uma chave pública correspondente à chave privada armazenada em um módulo de autenticação do dispositivo móvel, a partir de um meio de armazenagem; descriptografar o código de desafio assinado com a chave pública. Os meios de armazenagem podem ser incluídos nos meios de autenticação ou no módulo de autenticação ou meios de autenticação, ou em meios de armazenagem externos em comunicação com os meios de autenticação.
Mais particularmente, o método compreende as etapas de: implementar o segundo modo de autenticação; enviando desafio de acesso combinado gerado a um cliente de acesso do arranjo de estação de usuário, instruindo o usuário final a assinar manualmente o código de desafio em um dispositivo móvel do arranjo de estação de usuário, solicitando ao usuário final para entrar com o código de desafio no dispositivo móvel, e opcionalmente uma senha de usuário, por exemplo, um PIN; assinando o código de desafio com a chave privada armazenada em um módulo do dispositivo móvel; apresentando o código de desafio assinado no visor do dispositivo móvel; solicitando ao usuário final para entrar com o código de desafio assinado no cliente de acesso; retornando o código de desafio assinado aos meios de autenticação, a partir do cliente de acesso.
É uma vantagem da invenção que dois modos de autenticação diferentes (canais) sejam disponíveis e que o canal de rede de rádio possa ser usado , se possível, caso contrario o outro canal, por exemplo um canal de acesso, pode ser usado. E também uma vantagem que, particularmente no caso do canal rádio ser usado, o procedimento pode ser automatizado em grande extensão, mas também no segundo modo este pode ser automatizado em graus diferentes, que a autenticação pode ser efetuada através de uma rede de rádio, um canal de autenticação, no mais alto grau possível e, somente se isto não funcionar, é usado o canal de acesso. É também vantajoso que a autenticação pode ser provida independentemente de haver cobertura por rádio ou se o arranjo de estação de usuário estiver dentro da cobertura por rádio da rede de rádio ou não, ou se o canal rádio estiver bloqueado, etc. BREVE DESCRIÇÃO DOS DESENHOS
A invenção será a seguir descrita adicionalmente, de uma maneira não limitante, e com referência aos desenhos que a acompanham, nos quais:
Figura 1 ilustra esquematicamente um sistema de acordo com uma primeira implementação do conceito inventivo,
Figura 2 ilustra esquematicamente uma segunda implementação de um sistema de acordo com o conceito inventivo,
Figura 3 ilustra esquematicamente uma terceira implementação de um sistema de acordo com o conceito inventivo,
Figura 4 ilustra muito esquematicamente os meios ou as partes funcionais dos meios de autenticação que são necessários para realizar o conceito inventivo,
Figura 5 mostra uma realização simplificada de um meio de autenticação de acordo com a invenção, Figura 6 é um diagrama de fluxo descrevendo esquematicamente o procedimento inventivo,
Figura 7 mostra um diagrama de fluxo descrevendo o conceito inventivo de acordo com uma implementação em mais algum detalhe, e
Figura 8 é um diagrama de seqüência descrevendo a geração de mensagem de acordo com uma implementação do conceito inventivo. DESCRIÇÃO DETALHADA DA INVENÇÃO
Figura 1 é um diagrama em blocos esquemático mostrando um exemplo de um sistema no qual o conceito inventivo é implementado. Um arranjo de estação de usuário 10 está incluído no sistema, compreendendo aqui um dispositivo móvel 11 separado, por exemplo um telefone móvel ou um computador portátil ou similar, e um terminal de acesso 12 que compreende, por exemplo, um computador pessoal (PC) ou um computador portátil, etc. O terminal de acesso 12 se comunica com um servidor de acesso 20 através do segundo canal de comunicação, compreendendo um canal de acesso, que é o canal através do qual a informação ou serviço ou recurso protegido deve ser alcançado. O servidor de acesso 20 está em comunicação com um servidor de autenticação 30. O arranjo de estação de usuário 10, aqui o dispositivo móvel 11, conforme referido acima tipicamente um telefone móvel, porém pode ser alguma outra espécie de dispositivo de comunicação móvel, por exemplo, um computador portátil ou laptop, é conectado via uma rede de rádio (RAN, Rede de Acesso Rádio) com um sistema de comunicação móvel 40, por exemplo, um sistema de telefonia móvel. A comunicação entre o dispositivo móvel 11 e o sistema de comunicação móvel 40 é provida através de um primeiro canal de comunicação, um primeiro canal de comunicação de rede de rádio, aqui também referido como um canal de autenticação. Aqui é suposto que um usuário final 1 tenta acessar o servidor de acesso 20 através do terminal de acesso 12. No sentido de ser capaz de autorizar ou rejeitar acesso a informação protegida ou um serviço protegido, o servidor de acesso 20 envia uma solicitação de acesso (a partir do terminal de acesso ou cliente de acesso 12 ao servidor de autenticação 30 que é responsável por verificar a identidade do usuário final 1. Nesta realização particular, isto é feito utilizando o módulo de segurança no dispositivo móvel 11, que é levado pelo usuário final 1. O dispositivo móvel 11 deveria normalmente ser alcançado aqui via rede de rádio RAN e sistema de comunicação móvel 40. Nesta realização particular, o dispositivo móvel 11 e o terminal de acesso 12 do arranjo de estação de usuário 10 são unidades separadas. Deveria ficar claro que o arranjo de usuário também pode consistir de um único dispositivo compreendendo ambas funcionalidades. No caso, o arranjo de estação de usuário 10 consiste de uma unidade única, isto é, o dispositivo móvel Ileo terminal de acesso 12 são um e o mesmo dispositivo, a rede de rádio/sistema de telefonia 40 pode também funcionar como o canal de acesso. O módulo de identidade e o dispositivo móvel 11 podem ser tipicamente um cartão SIM GSM/3 GSM ou um cartão UMTS USIM ou qualquer outra forma de módulo de identidade, hardware ou software. De acordo com o conceito inventivo, para fins de identificação, é primeiramente estabelecido se o primeiro modo de autenticação através do primeiro canal de comunicação pode ser usado, isto é, se o dispositivo móvel 11 é alcançável através do primeiro canal de comunicação ou de um canal de rede de rádio. Caso afirmativo, o primeiro modo de autenticação como será adicionalmente descrito abaixo, é usado, ao passo que se este não pode ser alcançado ou não é alcançável e capaz de prover uma recepção de fornecimento ao servidor de autenticação 30, um segundo modo de autenticação é iniciado através do segundo canal de comunicação. O segundo modo normalmente requer mais alguma interação de usuário do primeiro modo de autenticação, porque o primeiro modo de autenticação preferivelmente é usado sempre que possível.
Figura 2 é um outro diagrama em blocos descrevendo uma implementação alternativa de um sistema de acordo com a invenção. Também aqui, o arranjo de estação de usuário IOA é suposto consistir de um dispositivo móvel 1IA e um terminal de acesso 12A. Deveria entretanto, ficar claro que também nesta realização, este poderia compreender um único dispositivo, conforme discutido acima com referência à Figura 1. O dispositivo móvel 12A é conectado através de um primeiro canal de comunicação de uma rede de rádio, com o sistema de comunicação móvel 40A e o terminal de acesso 12A se comunica através de um segundo canal de comunicação com um servidor de acesso 20A. Entretanto, nesta realização, é suposto que os meios de autenticação são implementados como um módulo de autenticação 3 OA que é provido no ou em associação com o servidor de acesso 20A. Em outros aspectos, o funcionamento é similar ao descrito com referência à Figura 1, a intenção da Figura 2 sendo meramente ilustrar que os meios de autenticação podem ser implementados como um meio de autenticação separado ou como um servidor de autenticação ou como um módulo de autenticação provido no ou em associação com um servidor de acesso 20A (ou em associação com um servidor de autenticação convencional).
Figura 3 é ainda um outro diagrama em blocos mostrando a implementação de um sistema de acordo com a invenção. Nesta implementação é suposto que o arranjo de estação de usuário 10B compreende uma unidade única, o cliente de acesso móvel. Este é suposto se comunicar com o sistema de comunicação móvel 40B através de um primeiro canal de comunicação de rede de rádio e com o servidor de acesso 20B através de um segundo canal de comunicação. O servidor de acesso 20B por sua vez se comunica com um servidor de autenticação 3O0, por exemplo, de um tipo convencional que compreende um módulo de autenticação 3 OB para executar o conceito inventivo. O módulo de autenticação 3OB pode também ser provido como uma unidade separada em comunicação com o servidor de autenticação 3O0. Deveria estar claro que o arranjo de estação de usuário 10B pode, naturalmente, consistir de duas unidades separadas, um dispositivo móvel e um terminal de acesso, com um meio de autenticação conforme descrito aqui.
O servidor de autenticação pode então ser implementado como um servidor de autenticação independente, o que é o caso mais geral, ou como um módulo de autenticação, por exemplo, em um servidor de acesso que é um caso específico de aplicação.
Figura 4 é um diagrama conceituai descrevendo as funções principais ou componentes de um servidor de autenticação 30' que suporta o conceito inventivo. E suposto que o servidor de autenticação 30' compreende um ou mais módulos de interface de servidor de acesso, pelos quais servidores de acesso podem ser interfaceados. Um exemplo de tal interface é o protocolo RADIUS em cujo caso o acesso do servidor de autenticação atua como um servidor RADIUS (RFC Solicitação para Comentários 2865) seções .2.1 a 4.4, e o servidor de acesso atua como um cliente RADIUS. RADIUS, conforme especificado em RFC 2865 é um protocolo de uso comum para interfacear um servidor de autenticação com um servidor de acesso. Para suportar um esquema de autenticação pelo qual o usuário final é apresentado a um aviso de desafio como uma resposta a uma solicitação de acesso, o mecanismo desafio-resposta no RADIUS pode ser usado. O desafio-resposta RADIUS é descrito nas seções acima mencionadas de RFC 2865. O conceito inventivo não está limitado a suporte para mecanismo de desafio-resposta RADIUS, porém tem que dar suporte a um mecanismo similar.
O meio de autenticação é também suposto compreender um ou mais módulos de interface de rede móvel, pelos quais uma ou mais redes móveis são interfaceadas. Um exemplo de tal interface é um protocolo de interface externo SMSC (Centro de Serviço de Mensagem Curta), tal como SMPP, pelo qual dispositivos móveis podem ser alcançados via SMS. A interface para redes móveis podem também ser processada em um nó de ponto de conexão separado (não mostrado), em cujo caso o servidor de autenticação apenas necessita suportar a interface para este nó de ponto de conexão.
Ainda adicionalmente, este é suposto compreender um ou mais módulos de interface de meios de armazenagem de dados de usuário, pelos quais um ou vários meios de armazenagem de usuário ou repositórios podem ser interfaceados. Informação de usuário necessária, por exemplo, inclui um número telefônico e as chaves públicas correspondentes aos dispositivos móveis dos usuários finais concernentes. Estes dados podem ser armazenados em uma base de dados dedicada ou em um catálogo LDAP (Protocolo de Acesso de Diretório Leve).
O meio de servidor de autenticação 30' também compreende uma interface administrativa para operação, administração e manutenção do servidor, de uma maneira convencional. Ainda adicionalmente, o meio de servidor de autenticação 30' compreende o que, no presente diagrama em blocos conceituai pode ser denotado como um servidor núcleo que compreende as funções de autenticação núcleo do servidor. Estas funções compreendem uma função para recuperar credenciais de usuário a partir do repositório do usuário e verificá-las em relação às credenciais providas pelos usuários finais, e uma função para gerar um código de desafio (preferivelmente um código de desafio randômico) (e aviso) que deve ser assinado pela chave secreta ou privada armazenada no módulo de identidade do dispositivo móvel. Ainda adicionalmente, este compreende uma função para acompanhamento do estado de fornecimento do código de desafio fornecido ao dispositivo móvel, via rede móvel, isto é, através do primeiro canal de comunicação, e no caso do fornecimento não ser bem sucedido e verificado, apresentar o código de desafio via segundo canal de comunicação ou, ao invés disso, via canal de acesso e instruir o usuário final para assinar manualmente o desafio com o dispositivo móvel. Finalmente, este compreende uma função para verificar que o desafio de acesso assinado retornado pelo usuário final é correto, por exemplo, compará-lo com o código de desafio original para ver se há correspondência entre eles, e daí autorizar ou rejeitar a solicitação para acesso à informação protegida.
No sentido de suportar o conceito inventivo, o dispositivo móvel e o módulo de identidade correspondente, por exemplo, um cartão SIM, tem que suportar a funcionalidade de receber um código de desafio através da rede móvel, por exemplo, como uma mensagem curta, assinar o código de desafio com a chave secreta ou chave privada armazenada no módulo de identidade, por exemplo, o cartão SIM e apresentar o código de desafio assinado no visor do dispositivo móvel. Como uma opção, o usuário móvel pode ser requerido a entrar com um PIN secreto ou similar, antes do código de desafio assinado ser apresentado ao usuário. A entrada manual de um código de desafio via teclado alfanumérico ou por exemplo, via meio de controle de atuação de voz do dispositivo móvel, deve ser suportado aqui. O usuário então, por exemplo, seleciona a função de assinatura a partir de um menu e é avisado a entrar com o código de desafio a ser assinado. Como uma opção, o usuário pode também ser requerido a entrar com um PIN secreto antes do código de desafio assinado ser apresentado ao usuário. Conforme referido anteriormente no pedido, algumas destas funções podem também ser, pelo menos até certo ponto, automatizadas.
Figura 5 é um diagrama em blocos esquemático descrevendo uma realização de um meio de autenticação 30 no qual aquelas funções ou meios que são particularmente relevantes para realizar o conceito inventivo, são mostradas. O meio de autenticação 30 compreende aqui uma primeira interface de rede de rádio para um primeiro canal de comunicação e uma interface de servidor de acesso para o segundo canal de comunicação, ou o canal de acesso. O servidor de autenticação compreende um meio de execução de autenticação 31 compreendendo um meio de exame 32 para enviar uma primeira mensagem de desafio compreendendo um código de desafio gerado pelo meio de geração de mensagem de desafio 34 no primeiro canal de comunicação, para estabelecer se o primeiro modo de autenticação pode ser usado. O meio de exame 32 compreende o meio de decisão 33 para estabelecer se uma confirmação de fornecimento ou recibo de fornecimento é recebido a partir do arranjo de estação de usuário final, confirmando a disponibilidade através da rede de rádio ou através do primeiro canal de comunicação, isto é, verificando se o código de desafio foi apropriadamente recebido pelo arranjo de estação de usuário e para decidir se o primeiro modo de autenticação ou o segundo modo de autenticação deve ser usado.
O meio de geração de mensagem de desafio 34, se uma confirmação é recebida corretamente, isto é, confirmando a disponibilidade de uma rede de rádio, gera uma segunda mensagem de desafio, um aviso de desafio, que é enviado através do canal de acesso, isto é, se o primeiro modo de autenticação pode ser implementado. (O aviso pode também ser provido diretamente pelo meio de exame 32).
Alternativamente, se o segundo modo de autenticação deve ser implementado, é enviada uma mensagem requerendo cancelamento do código de desafio precedente, se requerido. Uma mensagem de desafio combinada compreendendo um código de desafio e um aviso de desafio é gerado pelo meio de geração de mensagem de desafio 34 que a envia através do segundo canal de comunicação para o cliente de acesso. Um código de desafio criptografado ou assinado é recebido no meio de verificação 35 onde deve ser comparado com o código de desafio enviado no meio de comparação 36, após descriptografia no meio de descriptografia 37, buscando uma chave pública concernente ao arranjo de estação de usuário, armazenado no meio de armazenagem de dados de usuário 38. Se o código de desafio descriptografado corresponde ao código de desafio gerado originalmente (ou uma resposta esperada), o acesso pode ser autorizado, caso contrário é rejeitado.
O procedimento no meio de verificação 35 tem lugar independentemente do primeiro modo de autenticação ou do segundo modo de autenticação ser implementado. Deveria estar claro que o meio de armazenagem de dados de usuário 38 pode ser provido como um meio de armazenagem dedicado no servidor de autenticação ou como uma parte do meio de armazenagem de dados de usuário já existente ou meio de armazenagem de dados de usuário convencional provido em um servidor de autenticação ou como um meio de armazenagem separado, externamente ao servidor de autenticação. Este pode ser de qualquer espécie apropriada, dedicado para realizar a invenção específica ou compreender meio de armazenagem convencionalmente mantendo os dados de usuário relevantes.
Figura 6 é um diagrama de fluxo muito esquemático, descrevendo o conceito inventivo. Aqui, é suposto que o processamento é iniciado quando um usuário final solicita acesso a informação protegida ou um serviço ou recurso protegido, inserindo credenciais de usuário 100, em um terminal de acesso. As credenciais de usuário compreendem tipicamente uma identidade de usuário, algumas vezes juntamente com uma senha de usuário. Isto corresponde a um procedimento normal para solicitações de acesso. A solicitação de acesso é provida primeiramente ao servidor de acesso que envia a solicitação a um servidor de autenticação 101. O servidor de autenticação tenta alcançar o dispositivo móvel via rede de rádio, 102, no sentido de iniciar um diálogo de autenticação baseado na rede, 102, isto é, para estabelecer se é possível implementar o primeiro modo de autenticação. O que é essencial é que o servidor de autenticação verifique que o dispositivo móvel é alcançável, 103, via rede de rádio, por exemplo, solicitando e aguardando por um recibo de fornecimento para uma mensagem, por exemplo, um código de desafio, enviado ao dispositivo móvel 103. Deveria ficar claro que esta etapa de verificação também pode ser efetuada de outros modos. Se pode ser verificado que o dispositivo móvel é alcançável, o primeiro modo de autenticação, isto é, o procedimento de autenticação baseado em rede, é iniciado, 104A. Isto pode ser implementado de vários modos como será descrito mais diretamente abaixo.
Se, por outro lado, o dispositivo móvel não é alcançável, por exemplo, nenhum recibo de fornecimento é retornado dentro de um período de tempo pré ajustado, por exemplo, até que um temporizador estabelecido expire, o servidor de autenticação prossegue ao invés disso para iniciar um segundo modo de autenticação, particularmente um diálogo de autenticação requerendo entrada manual, 104B. Isto pode também ser implementado de vários modos, como será discutido abaixo. Independentemente de qual modo de autenticação ou diálogo de autenticação é implementado, o servidor de autenticação determinará se a autenticação foi bem sucedida, 105, por exemplo, comparando um código de desafio enviado por um código de desafio retornado e assinado (após descriptografia), e se a autenticação foi bem sucedida, o acesso é autorizado, 106A, caso contrário, o acesso é rejeitado, 106B.
Figura 7 é um diagrama de fluxo algo mais detalhado, descrevendo uma implementação do conceito inventivo. É suposto que uma solicitação para acesso a um serviço protegido ou informação protegida é provido em geral a partir de um arranjo de estação de usuário, particularmente cliente de acesso, até um meio de autenticação 201. Para fins de exame, isto é, para verificar se é provida disponibilidade através da rede de rádio, uma primeira mensagem de desafio compreendendo um código de desafio é gerada no meio de autenticação e enviada ao arranjo de estação de usuário, particularmente o dispositivo móvel, através do primeiro canal de comunicação de rede de rádio, ou através do primeiro canal de comunicação, .202. Particularmente, um temporizador Tl é também ajustado para χ segundos. Então é examinado se um recibo de fornecimento concernente à primeira mensagem de desafio é recebido no meio de autenticação antes que tl expire, 203. (Já neste estágio, o código de desafio pode ser assinado automaticamente ou manualmente com o dispositivo móvel). Caso afirmativo, um primeiro modo de autenticação é iniciado, provendo uma segunda mensagem de desafio, um aviso de desafio, requerendo uma entrada da assinatura do código de desafio no cliente de acesso cujo aviso é enviado através do segundo canal de comunicação, 204A. O código de desafio assinado automaticamente ou manualmente com a chave privada no dispositivo móvel, é então inserido manualmente no cliente de acesso, 205A. Subseqüentemente, o código de desafio assinado é retornado do cliente de acesso para o meio de autenticação, através do segundo canal de comunicação, também denotado como o canal de acesso, 209. O código de desafio assinado ou criptografado é então recebido no meio de autenticação 210, e o meio de autenticação busca uma chave pública correspondente à chave privada do arranjo de estação de usuário a partir do meio de armazenagem para descriptografar o código de desafio assinado, 211. Posteriormente, é verificado se o código de desafio enviado é aquele código de desafio retornado descriptografado, 212. Se afirmativo, o acesso é autorizado, 212A, caso negativo, o acesso é rejeitado, 212B.
Se, entretanto, na etapa 203 acima, nenhum recibo de fornecimento foi recibo em tempo, o meio de autenticação envia uma solicitação de cancelamento à rede móvel (por exemplo, SMSC) para cancelar o código de desafio enviado previamente, 204B. Isto é ilustrado com linhas tracejadas, uma vez que por exemplo, pode não haver coisa alguma para cancelar, por exemplo, o desafio jamais alcançar o arranjo de estação de usuário, mas convenientemente a solicitação tem que ser enviada de qualquer maneira. Subseqüentemente, é procedida a inicialização do segundo modo de autenticação, gerando uma mensagem de desafio combinada compreendendo um código de desafio e um aviso de desafio e enviando-a através do canal de acesso ao terminal de acesso (cliente) do arranjo de estação de usuário, 205B. A assinatura do código de desafio com o dispositivo móvel é requerida, 206B. Particularmente, o usuário final entra manualmente com o código de desafio no dispositivo móvel e o assina, 207B. Subseqüentemente, o desafio assinado é manualmente (ou automaticamente) inserido no terminal de acesso (cliente), 208B, e é procedida a etapa 209, etc., como para o primeiro modo de autenticação.
Em uma realização, é suposto que, em um modo de pré autenticação, o usuário final é requerido a inserir credenciais de usuário (não mostradas na figura). Se as credenciais estão corretas, o servidor de autenticação gera um código de desafio randômico que é enviado via rede móvel ao dispositivo móvel. O desafio é criptografado com a chave secreta armazenada no módulo de segurança do dispositivo móvel e o código de desafio assinado é daí apresentado no visor do dispositivo móvel. Como uma opção, o usuário pode ser requerido a entrar com um PIN, antes que um desafio assinado seja visualizado. Se o código de desafio tiver sido fornecido com sucesso a um dispositivo móvel, o primeiro módulo é usado e o servidor de autenticação avança para apresentar um aviso de desafio ao usuário final, via servidor de autenticação, requerendo que o usuário final entre com o desafio assinado no cliente de acesso. Se o código de desafio correto tiver sido retornado, o que, conforme referido acima, é verificado por meio de descriptografia com a chave pública correspondente à chave privada ou secreto no dispositivo móvel, o acesso pode ser autorizado.
Se, por outro lado, o servidor de autenticação de algum modo é informado de que o código de desafio não pode ser fornecido ao dispositivo móvel, isto é, nenhuma confirmação é recebida dentro do período de tempo pré-determinado, o servidor de autenticação prossegue para apresentar um código de desafio e um aviso de desafio ao usuário final, via servidor de acesso. Isto é também denotado à mensagem de desafio combinada contendo o código de desafio randômico juntamente com um aviso compreendendo uma solicitação para assinar o código de desafio randômico com o dispositivo móvel e então entrar com este no cliente de acesso (terminal). O usuário pode então selecionar particularmente a função de assinatura no menu do dispositivo móvel, e inserir o código de desafio. O código de desafio tem então que ser criptografado com a chave secreta ou privada armazenada no módulo de segurança do dispositivo móvel, e o desafio assinado é apresentado no visor do dispositivo móvel. Como uma opção, o usuário pode ser solicitado e entrar com um PIN, antes do código de desafio assinado ser exibido. Então, o usuário entra com o código de desafio assinado no terminal de acesso e este é retornado ao servidor de autenticação. Se o código de desafio correto tiver sido retornado, o que é verificado por meio de descriptografia com chaves públicas, conforme discutido acima, o acesso é autorizado.
Deveria estar claro que isto se refere a uma implementação particular. Uma implementação similar será adicionalmente descrita com referência ao diagrama de sinalização da Figura 8, com a indicação e implementações alternativas em associação com ele.
Figura 8 é um diagrama de sinalização descrevendo uma implementação do conceito inventivo. Primeiramente, é suposto que uma solicitação de acesso inicial que contém credenciais do usuário é enviada a partir do cliente de acesso, até o servidor de acesso, 301. Este é enviado do servidor de acesso para o servidor de autenticação, 302, usando por exemplo, o protocolo RADIUS. Com base nas credenciais do usuário recebidas, o servidor de autenticação verifica se o dispositivo móvel está registrado para o usuário em questão, por exemplo, consultando uma base de dados interna ou consultando alguma fonte acreditada externa, por exemplo, um diretório LDAP. A referência para o dispositivo móvel pode ser tipicamente o número telefônico do usuário móvel final. Em uma implementação alternativa, o usuário final pode entrar com a referência ao dispositivo móvel, por exemplo, 27
o número telefônico, diretamente como um nome de usuário em cujo caso o servidor de autenticação não necessitará consultar qualquer meio de armazenagem de dados interno ou externo para esta referência.
O servidor de autenticação então gera um código de desafio randômico e o envia através do sistema de telefonia móvel ou alguma outra rede de comunicação rádio similar, ao dispositivo móvel ou ao usuário final, particularmente junto com a mensagem para ativar primeiramente um diálogo de pré autenticação no dispositivo móvel, 303. Em uma implementação, esta mensagem inicial, também denotada por procedimento de pré autenticação, compreende uma mensagem curta ou um SMS que inicia um diálogo de Caixa de Ferramentas SIM no dispositivo móvel do usuário final. O servidor de autenticação então procede a aguardar uma confirmação, por exemplo, ajustando um temporizador, a partir da rede, dentro de um período de tempo pré-determinado em que o código de desafio tenha sido fornecido com sucesso ao dispositivo móvel, 3 04A, também denotado por um recibo de fornecimento. Em uma implementação, isto pode ser na forma de um recibo de fornecimento de que o SMS tenha sido fornecido ao dispositivo móvel. Uma vez fornecida ao dispositivo móvel, a mensagem inicial ou a primeira mensagem de desafio, por exemplo, compreendendo um código de desafio, pode disparar o diálogo de autenticação. Em uma implementação, isto pode ser feito avisando o usuário final a entrar com um PIN secreto no telefone (se isto já não tiver sido feito automaticamente) e, se o PIN correto é inserido, assinar o código de desafio com uma chave secreta privada armazenada no cartão SIM (ou módulo de identidade equivalente) e apresentar o resultado, isto é, o desafio assinado no visor do dispositivo móvel. Em uma implementação alternativa, o usuário não precisa entrar com qualquer PIN, porém o desafio é automaticamente assinado com a chave privada e apresentado no visor do dispositivo móvel.
Uma vez que o servidor de autenticação tenha recebido uma 28
confirmação ou um recibo de fornecimento a partir da rede, de que o dispositivo móvel tenha sido alcançado, este solicita ao servidor de acesso para apresentar uma segunda mensagem de desafio compreendendo um aviso de desafio, 305A ao usuário final. Em uma implementação, isto está na forma de uma mensagem de desafio de acesso rádio. O servidor de acesso envia esta solicitação ao cliente de acesso, 306A, isto é, o aviso de desafio, onde o usuário final é avisado a entrar com o desafio assinado, 307A, que é apresentado no visor do dispositivo móvel, no terminal de acesso (cliente).
O desafio assinado é então retornado via canal de acesso ao servidor de acesso, 3 08A, e adicionalmente enviado ao servidor de autenticação, 3 09A. O servidor de autenticação então descriptografa o código de desafio assinado com a chave pública correspondente à chave privada armazenada no módulo de autenticação do dispositivo móvel. A chave pública é armazenada em uma base de dados interna do servidor de autenticação, ou solicitado a partir de uma fonte externa, por exemplo, via uma consulta LDAP. O servidor de autenticação então compara o código de desafio retornado e descriptografado com o código de desafio original enviado ao dispositivo móvel. Se os dois códigos de desafio coincidem, o servidor de autenticação responde com uma mensagem de autorização de acesso, 310A, ao servidor de acesso, que por sua vez autoriza acesso, 31 IA, ao cliente de acesso. Se, por outro lado, um código de desafio incorreto tiver sido retornado, o servidor de autenticação responde, ao invés disso, com uma rejeição de acesso, 310A, 31 IA.
Se nenhuma recepção de fornecimento, 3 04A, foi retornada dentro de um período de tempo pré-determinado, o servidor de autenticação prossegue com o segundo modo de autenticação.
O servidor de autenticação primeiramente libera a rede de rádio de códigos de desafio de acesso pendentes, por exemplo, enviando uma mensagem de cancelamento à rede, 304B. Este então envia uma código de 29
desafio e avisa o servidor de acesso, com instruções para o usuário final de que o código deveria ser (manualmente) assinado com o dispositivo móvel. Em uma implementação, isto pode ser feito como uma mensagem de código de desafio RADIUS. O servidor de acesso então envia o desafio combinado ao cliente de acesso, 306B, que avisa o usuário final a assinar o desafio com o dispositivo móvel, e retornar o código de desafio assinado. O usuário final lê o código de desafio no cliente de acesso e seleciona manualmente a função de assinatura no dispositivo móvel. O dispositivo móvel então solicita ao usuário final para entrar com o código de desafio, 307B, e opcionalmente um PIN privado. O desafio é então assinado com a chave privada armazenada no módulo de segurança do dispositivo móvel. O desafio assinado resultante é apresentado no visor do dispositivo móvel e (manualmente) inserido pelo usuário final no cliente de acesso, 308B. Este código assinado é retornado, 309B, 31OB, ao servidor de autenticação, que verifica o desafio do mesmo modo descrito acima com referência a mensagens 308A-31IA acima.
Em implementações alternativas, algumas ou todas as etapas manuais descritas com referência à Figura 8, por exemplo, 307A, 307B, 308B, podem ser automatizadas conectando o cliente de acesso com o dispositivo móvel, por exemplo, usando o protocolo rádio BlueTooth. As etapas podem também ser automatizadas nos casos em que o cliente de acesso e o dispositivo móvel consistem em uma e na mesma unidade.
Deveria estar claro que, entre o dispositivo móvel e o servidor de autenticação, é incluído um nó de rede, por exemplo, um SMSC (ilustrado com as linhas tracejadas na figura).
Deveria estar claro que o conceito conforme descrito neste pedido também é aplicável a implementações onde códigos simétricos são usados, ao invés de códigos assimétricos. Naquele caso, os códigos são referidos como públicos e realmente também secretos.
Ainda adicionalmente, o módulo de segurança pode 30
alternativamente ser implementado como software no hardware do dispositivo móvel, como uma alternativa a cartões SIM ou similares.
Deveria também estar claro que a invenção pode ser variada em muitos outros aspectos de um número de modos, dentro do escopo das reivindicações anexas e que não está limitada às realizações especificamente ilustradas.

Claims (27)

REIVINDICAÇÕES
1. Sistema para autenticação de um usuário final de um arranjo de estação de usuário (10; 10A; 10B) solicitando acesso a informação protegida, por exemplo um recurso ou serviço protegido ou similar, compreendendo meios de servidor de acesso (20; 20A; 20B) e meios de autenticação (30; 30A; 30B), o arranjo de estação de usuário (10; 10A; 10B) suportando comunicação com os meios de autenticação (30; 30A; 30B) através de um primeiro canal de comunicação de uma rede de rádio (40), caracterizado pelo fato de que o arranjo de estação de usuário (10; 10A; 10B) suporta adicionalmente comunicação com os meios de autenticação (30; 30A; 30B) através de um segundo canal de comunicação, e os meios de autenticação (30; 3 0A; 3 0B) são adaptados para, na recepção de uma solicitação para acesso a informação protegida a partir de um arranjo de estação de usuário (10; 10A; 10B), estabelecer se o arranjo de estação de usuário (10; 10A; 10B) é alcançável através do primeiro canal de comunicação, citados meios de autenticação (30; 30A; 30B) são adaptados para suportar um primeiro modo de autenticação e um segundo modo de autenticação através do segundo canal de comunicação, citados meios de autenticação (30; 3 0A; 3 0B) compreendendo adicionalmente meios de decisão (33) para selecionar se e/ou quando o primeiro ou segundo modo de autenticação deve ser usado para um arranjo de estação de usuário (10; 10A; 10B), solicitando acesso a informação protegida ou a um recursos ou serviço protegido.
2. Sistema de acordo com a reivindicação 1, caracterizado pelo fato de que os meios de decisão (33) compreendem ou se comunicam com meios de comutação para comutar entre o primeiro e segundo modo de autenticação.
3. Sistema de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que o primeiro modo de autenticação tem prioridade sobre o segundo modo de autenticação, e que os meios de autenticação (30; 3 0A; .3 0B) compreendem meios de exame (32) compreendendo citados meios de decisão (33) para estabelecer se o arranjo de estação de usuário (10; 10A; 10B) é alcançável através do primeiro canal de comunicação.
4. Sistema de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que o primeiro canal de comunicação compreende um canal de autenticação e/ou que o segundo canal de comunicação compreende um canal de acesso.
5. Sistema de acordo com qualquer uma das reivindicações precedentes, caracterizado pelo fato de que o segundo canal de comunicação é um canal de comunicação da primeira ou de uma segunda rede de rádio.
6. Sistema de acordo com qualquer uma das reivindicações 1 a 4, caracterizado pelo fato de que o segundo canal de comunicação é um canal de comunicação de uma rede de comunicação fixa, por exemplo, suportando Internet.
7. Sistema de acordo com qualquer uma das reivindicações precedentes, caracterizado pelo fato de que os meios de autenticação compreendem um módulo de autenticação (30A; 30B) que é provido em ou associado com um servidor de autenticação ou em ou associado a um servidor de acesso.
8. Sistema de acordo com qualquer uma das reivindicações 1 a caracterizado pelo fato de que os meios de autenticação compreendem um servidor de autenticação (30).
9. Sistema de acordo com qualquer uma das reivindicações precedentes, caracterizado pelo fato de que o arranjo de estação de usuário (10; 10A; 10B) compreende um dispositivo móvel (11; 1 IA) e um terminal ou cliente de acesso (12; 12A) formando unidades separadas, ou um terminal ou cliente de acesso móvel como uma unidade única.
10. Sistema de acordo com qualquer uma das reivindicações precedentes, caracterizado pelo fato de que os meios de decisão (33) são adaptados para iniciar o segundo modo, se o arranjo de estação de usuário não é alcançável através da citada primeira rede de rádio, por exemplo, se está fora da cobertura por rádio ou se o primeiro canal de comunicação é bloqueado.
11. Sistema de acordo com qualquer uma das reivindicações precedentes, caracterizado pelo fato de que os meios de autenticação (30; 3OA; 3OB) compreendem meios de execução de autenticação (31) compreendendo citados meios de exame (32) e que são adaptados para iniciar um diálogo de pré autenticação com o arranjo de estação de usuário (10; 10A; 10B), através do primeiro canal de comunicação, por exemplo, através da primeira rede de rádio, para estabelecer se o primeiro modo de autenticação pode ser usado.
12. Sistema de acordo com a reivindicação 11, caracterizado pelo fato de que citados meios de autenticação (30; 30A; 30B) são adaptados para, para efetuar citado diálogo de pré autenticação, gerar e transmitir uma primeira mensagem de desafio, compreendendo um código de desafio randômico para o arranjo de estação de usuário (10; 10A; 10B), através da primeira rede de comunicação, e para, se o fornecimento do código de desafio é verificado, iniciar um primeiro diálogo de autenticação do primeiro modo de autenticação, provendo uma segunda mensagem de desafio compreendendo um aviso de desafio para o arranjo de estação de usuário e para, se o fornecimento do código de desafio não é verificado, iniciar um segundo diálogo de autenticação do segundo modo de autenticação, gerando e enviando uma mensagem de desafio combinada compreendendo um código de desafio e um aviso de desafio através do segundo canal de comunicação, para o arranjo de estação de usuário (10; 10A; 10B), e para, para citado primeiro ou segundo diálogo de autenticação, examinar se o código de desafio é retornado apropriadamente assinado ou não, para autorizar ou rejeitar acesso à informação/serviço protegido, usando citado primeiro ou segundo modo de autenticação.
13. Sistema de acordo com a reivindicação 12, caracterizado pelo fato de que citados meios de exame (32) são adaptados para enviar citada primeira mensagem de desafio como um SMS através, por exemplo, de SMS- C.
14. Sistema de acordo com a reivindicação 12 ou 13, caracterizado pelo fato de que os meios de autenticação (30) compreendem ou se comunicam com meios de armazenagem de dados de usuário (38) mantendo informação de usuário tal como chaves públicas e meios de verificação de autenticação adaptados para descriptografar o código de desafio assinado usando a chave pública de um arranjo de estação de usuário correspondente à chave privada armazenada em um módulo de autenticação do arranjo de estação de usuário e para comparar o código de desafio descriptografado retornado com o código de desafio original enviado ao arranjo de estação de usuário, e para, se o código de desafio original corresponde ao código de desafio descriptografado, retornado, ou um código de resposta esperado, autorizar a solicitação de acesso; caso contrário, rejeitar a solicitação de acesso.
15. Sistema de acordo com qualquer uma das reivindicações 12 a 14, caracterizado pelo fato de que a segunda mensagem de desafio é adaptada para solicitar assinatura do código de desafio provido na primeira mensagem de desafio com o dispositivo móvel, por exemplo, com uma chave privada automaticamente ou manualmente e entrada do código de desafio assinado no terminal de acesso, e a mensagem de desafio combinada é adaptada para solicitar assinatura do código de desafio que a acompanha no dispositivo móvel e entrada do código de desafio assinado no terminal de acesso.
16. Meios de autenticação (30; 30A; 30B) para autenticação de um usuário final solicitando acesso a informação protegida ou um recurso ou serviço protegido de um arranjo de estação de usuário (10; 10A; 10B), compreendendo uma interface de meio de serviço de acesso e pelo menos uma interface habilitando comunicação com o arranjo de estação de usuário através de um primeiro canal de comunicação de uma rede de rádio, caracterizados pelo fato de que são também adaptados para suportar comunicação com o arranjo de estação de usuário (10; 10A; 10B) através de um segundo canal de comunicação e compreende um meios de execução de autenticação (31) compreendendo meios de exame (32) para estabelecer se o arranjo de estação de usuário é alcançável através do primeiro canal de comunicação, e citados meios de autenticação (30; 30A; 30B) são adaptados 6 para suportar um primeiro modo de autenticação e um segundo modo de autenticação usando o segundo sinal de comunicação, citados meios de exame (32) compreendendo meios de decisão (33) para selecionar citado primeiro ou citado segundo modo de autenticação.
17. Meios de autenticação de acordo com a reivindicação 16, caracterizados pelo fato de que os meios de decisão (33) compreendem ou se comunicam com meios de comutação para comutar entre o primeiro e o segundo modo de autenticação.
18. Meios de autenticação de acordo com a reivindicação 16 ou 17, caracterizados pelo fato de que o primeiro modo de autenticação tem prioridade sobre o segundo modo de autenticação, o segundo modo somente sendo usado se o arranjo de estação de usuário não é alcançável para fins de autenticação através do primeiro canal de comunicação.
19.Meios de autenticação de acordo com a reivindicação 16, 17 ou 18, caracterizados pelo fato de que o primeiro canal de comunicação compreende um canal de autenticação e o segundo canal de comunicação compreende um canal de acesso.
20.Meios de autenticação de acordo com qualquer uma das reivindicações 16 a 19, caracterizados pelo fato de compreender um servidor de autenticação (30).
21.Meios de autenticação de acordo com qualquer uma das reivindicações 16 a 19, caracterizados pelo fato de que compreendem um módulo de 7 autenticação (30A;30B) adaptado para ser associado com ou provido em um servidor de autenticação (3O0) ou um servidor de acesso (20A).
22.Meios de autenticação de acordo com qualquer uma das reivindicações 16 a 21, caracterizados pelo fato de que os meios de exame (32) são adaptados para examinar se um dado critério é satisfeito para estabelecer se o arranjo de estação de usuário (10; 10A; 10B) é alcançável através do primeiro canal de comunicação, enviando uma primeira mensagem de desafio compreendendo um código de desafio através do primeiro canal de comunicação, por exemplo como um SMS, e examinar se uma confirmação de fornecimento direta ou indireta é obtida, relacionada à disponibilidade do arranjo de estação de usuário para fins de autenticação.
23.Meios de autenticação de acordo com a reivindicação 22, caracterizados pelo fato de que se o dado critério é satisfeito, os meios de exame (32) são adaptados para ativar os meios de execução de autenticação (31) no primeiro modo no qual são adaptados para gerar e enviar uma segunda mensagem de desafio compreendendo um aviso de desafio, avisando a entrada manual ou automática do código de desafio assinado com o dispositivo móvel (11; 1 IA, 10B) no cliente de acesso, e retornando citado código de desafio assinado, e os meios de execução de autenticação (31) compreendem adicionalmente meios de verificação (35) para descriptografar o código de desafio assinado e para comparar o código de desafio descriptografado retornado com o código de desafio enviado originalmente ou um código de resposta esperado e para autorizar a solicitação de acesso se houver concordância entre o código de desafio original ou código de resposta esperado e o código de desafio retornado descriptografado, e para rejeitar a solicitação de acesso se não houver concordância.
24. Meios de autenticação de acordo com a reivindicação 23, caracterizados pelo fato de que os meios de verificação (35) são adaptados para, para o primeiro e segundo modo, baixar uma chave pública armazenado em meios de armazenagem externos ou internos (38) correspondendo a uma chave privada do arranjo de estação de usuário (10; 10A; 10B) usado para assinatura.
25. Método para autenticar um usuário final remoto de um arranjo de estação de usuário solicitando acesso a um serviço ou recurso protegido ou informação protegida, enviando uma solicitação de acesso a um meio de autenticação, caracterizado pelo fato de compreender as etapas de: - executar uma etapa de exame nos meios de autenticação, para estabelecer se o arranjo de estação de usuário é alcançável para fins de autenticação através de um primeiro canal de comunicação ou de uma rede de rádio, caso afirmativo, - usar um primeiro modo de autenticação através do primeiro canal de comunicação, caso negativo, - usar um segundo modo de autenticação através de um segundo canal de comunicação da mesma ou outra rede de comunicação.
26. Método de acordo com a reivindicação 25, caracterizado pelo fato de que a etapa de exame compreende: - gerar uma primeira mensagem de desafio compreendendo um código de desafio, por exemplo, um código randômico nos meios de autenticação, - enviar a primeira mensagem de desafio ao arranjo de estação de usuário ou um nó de rede de rádio controlando o arranjo de estação de usuário, - examinar, nos meios de autenticação, se um dado critério é satisfeito, por exemplo, se uma confirmação de fornecimento da primeira mensagem de desafio é recebida dentro de um dado período de tempo, caso afirmativo, - usar ou iniciar citado primeiro modo de autenticação, enviando uma segunda mensagem de desafio compreendendo um aviso de desafio solicitando o código de desafio assinado com o dispositivo móvel e o retorno deste aos meios de autenticação através do segundo canal de comunicação, caso negativo, - iniciar o citado segundo modo, o segundo modo de autenticação compreende: - enviar uma mensagem de desafio combinada compreendendo um código de desafio e um aviso de desafio requerendo que o código de desafio seja assinado no arranjo de estação de usuário.
27. Método de acordo com qualquer uma das reivindicações caracterizado pelo fato de que o primeiro e segundo modos de autenticação compreendem as nos meios de autenticação: - recepção de um código de desafio assinado criptografado - descriptografia do código de desafio criptografado retornado; - comparação do código de desafio original, enviado ou um código esperado com o código de desafio retornado, descriptografado; - autorização da solicitação de acesso, se o código de desafio a 26, etapas de, retornado; 10 descriptografado retornado corresponde ao código de desafio original, enviado ou ao código de resposta esperado; caso contrário, -rejeitar a solicitação de acesso, e, no arranjo de estação de usuário: -enviar uma confirmação de fornecimento aos meios de confirmação; no primeiro modo de autenticação: -assinar automaticamente, por exemplo, com uma chave privada, o código de desafio provido ao dispositivo móvel com o dispositivo móvel do arranjo de estação de usuário comunicando-se com os meios de autenticação através do citado primeiro canal de comunicação; na recepção da segunda mensagem de desafio: -entrar com o código de desafio assinado no terminal de acesso do arranjo de estação de usuário comunicando-se com os meios de autenticação através do segundo canal de comunicação.
BRPI0621299-9A 2006-02-03 2006-02-03 sistema e meios de autenticação para autenticação de um usuário final, e, método para autenticar um usuário final remoto de um arranjo de estação de usuário BRPI0621299A2 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2006/000157 WO2007089179A1 (en) 2006-02-03 2006-02-03 A system, an arrangement and a method for end user authentication

Publications (1)

Publication Number Publication Date
BRPI0621299A2 true BRPI0621299A2 (pt) 2012-10-09

Family

ID=38327670

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0621299-9A BRPI0621299A2 (pt) 2006-02-03 2006-02-03 sistema e meios de autenticação para autenticação de um usuário final, e, método para autenticar um usuário final remoto de um arranjo de estação de usuário

Country Status (11)

Country Link
US (1) US8296823B2 (pt)
EP (1) EP1987627B1 (pt)
JP (1) JP4975762B2 (pt)
KR (1) KR101300414B1 (pt)
CN (1) CN101366234B (pt)
AU (1) AU2006337227B2 (pt)
BR (1) BRPI0621299A2 (pt)
CA (1) CA2641418C (pt)
DK (1) DK1987627T3 (pt)
MX (1) MX2008009745A (pt)
WO (1) WO2007089179A1 (pt)

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101253506B (zh) * 2005-08-30 2010-05-19 帕斯罗基株式会社 网站确认方法
EP2098038B1 (en) * 2006-12-28 2017-06-21 Telefonaktiebolaget LM Ericsson (publ) Method and arrangement for integration of different authentication infrastructures
US7818571B2 (en) * 2007-02-09 2010-10-19 Microsoft Corporation Securing wireless communications between devices
ATE447304T1 (de) * 2007-02-27 2009-11-15 Lucent Technologies Inc Drahtloses kommunikationsverfahren zur steuerung eines mittels sicherheitsvorrichtung gewährten zugangs
US8533821B2 (en) 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
WO2009031159A2 (en) * 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
US8782775B2 (en) 2007-09-24 2014-07-15 Apple Inc. Embedded authentication systems in an electronic device
US10181055B2 (en) * 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) * 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) * 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10783232B2 (en) * 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US8839386B2 (en) * 2007-12-03 2014-09-16 At&T Intellectual Property I, L.P. Method and apparatus for providing authentication
US8600120B2 (en) 2008-01-03 2013-12-03 Apple Inc. Personal computing device control using face detection and recognition
US20090282251A1 (en) * 2008-05-06 2009-11-12 Qualcomm Incorporated Authenticating a wireless device in a visited network
US20090320089A1 (en) * 2008-06-20 2009-12-24 Microsoft Corporation Policy-based user brokered authorization
FR2935511B1 (fr) * 2008-08-28 2010-12-10 Oberthur Technologies Procede d'echange de donnees entre deux entites electroniques
CN101686572B (zh) * 2008-09-26 2012-07-04 中国移动通信集团公司 无线终端机卡互锁的方法、系统和管理平台
US10818119B2 (en) * 2009-02-10 2020-10-27 Yikes Llc Radio frequency antenna and system for presence sensing and monitoring
US20100269162A1 (en) * 2009-04-15 2010-10-21 Jose Bravo Website authentication
US9628297B2 (en) * 2009-04-23 2017-04-18 International Business Machines Corporation Communication authentication using multiple communication media
CH701050A1 (fr) * 2009-05-07 2010-11-15 Haute Ecole Specialisee Bernoise Technique Inf Procédé d'authentification.
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge
US8443202B2 (en) 2009-08-05 2013-05-14 Daon Holdings Limited Methods and systems for authenticating users
US7865937B1 (en) 2009-08-05 2011-01-04 Daon Holdings Limited Methods and systems for authenticating users
US7685629B1 (en) 2009-08-05 2010-03-23 Daon Holdings Limited Methods and systems for authenticating users
CN102026171B (zh) * 2009-09-17 2013-06-12 国基电子(上海)有限公司 安全控制远程无线设备的方法
US20110107410A1 (en) * 2009-11-02 2011-05-05 At&T Intellectual Property I,L.P. Methods, systems, and computer program products for controlling server access using an authentication server
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8745699B2 (en) 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
US10581834B2 (en) 2009-11-02 2020-03-03 Early Warning Services, Llc Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity
US8549601B2 (en) * 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
US8789153B2 (en) * 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8458774B2 (en) * 2009-11-02 2013-06-04 Authentify Inc. Method for secure site and user authentication
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8806592B2 (en) 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US8590031B2 (en) * 2009-12-17 2013-11-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
US20130063246A1 (en) * 2010-02-22 2013-03-14 Easy Axess Gmbh I.G. System and method for electronically providing an access authorization
US8826030B2 (en) * 2010-03-22 2014-09-02 Daon Holdings Limited Methods and systems for authenticating users
CN102906776A (zh) * 2010-03-31 2013-01-30 帕特尔有限公司 一种用于用户和服务提供商之间双向认证的方法
EP2565211B1 (en) 2010-04-26 2017-10-25 Nippon Shokubai Co., Ltd. Polyacrylic acid (salt), polyacrylic acid (salt)-based water-absorbing resin, and process for producing same
CN102858815B (zh) 2010-04-26 2016-07-06 株式会社日本触媒 聚丙烯酸(盐)、聚丙烯酸(盐)系吸水性树脂及其制造方法
US9361107B2 (en) * 2010-07-09 2016-06-07 Blackberry Limited Microcode-based challenge/response process
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
US9009793B2 (en) * 2011-03-31 2015-04-14 Infosys Limited Dynamic pin dual factor authentication using mobile device
FI20115313A0 (fi) * 2011-03-31 2011-03-31 Meontrust Oy Autentikointimenetelmä ja -järjestelmä
US9832183B2 (en) 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
FR2977418B1 (fr) * 2011-06-28 2013-06-28 Alcatel Lucent Systeme d'authentification via deux dispositifs de communication
US8769624B2 (en) 2011-09-29 2014-07-01 Apple Inc. Access control utilizing indirect authentication
US9002322B2 (en) 2011-09-29 2015-04-07 Apple Inc. Authentication with secondary approver
GB201106976D0 (en) * 2011-10-03 2011-10-03 Corcost Ltd Corcost-SG002
US8984276B2 (en) 2012-01-10 2015-03-17 Jpmorgan Chase Bank, N.A. System and method for device registration and authentication
TWI469613B (zh) * 2012-03-02 2015-01-11 Univ Nat Cheng Kung 雲端認證系統及方法
CN103078892B (zh) 2012-05-09 2015-07-29 腾讯科技(深圳)有限公司 短消息内容智能识别的方法、客户端、服务器及系统
US9716691B2 (en) 2012-06-07 2017-07-25 Early Warning Services, Llc Enhanced 2CHK authentication security with query transactions
US10025920B2 (en) 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
GB2505211B (en) * 2012-08-22 2014-10-29 Vodafone Ip Licensing Ltd Communications device authentication
CN102811228B (zh) * 2012-08-31 2016-07-06 中国联合网络通信集团有限公司 网络业务登录方法、设备和系统
US8738049B1 (en) * 2012-11-05 2014-05-27 International Business Machines Corporation Converged dialog in hybrid mobile applications
US9591339B1 (en) 2012-11-27 2017-03-07 Apple Inc. Agnostic media delivery system
US9774917B1 (en) 2012-12-10 2017-09-26 Apple Inc. Channel bar user interface
US10200761B1 (en) 2012-12-13 2019-02-05 Apple Inc. TV side bar user interface
US9532111B1 (en) 2012-12-18 2016-12-27 Apple Inc. Devices and method for providing remote control hints on a display
US10521188B1 (en) 2012-12-31 2019-12-31 Apple Inc. Multi-user TV user interface
US20140204539A1 (en) * 2013-01-24 2014-07-24 Bradley Dean Loomis Package and tray system for interchanging device components
WO2014143776A2 (en) 2013-03-15 2014-09-18 Bodhi Technology Ventures Llc Providing remote interactions with host device using a wireless device
FI20135275A (fi) * 2013-03-22 2014-09-23 Meontrust Oy Tapahtumien auktorisointimenetelmä ja -järjestelmä
WO2014201647A1 (zh) * 2013-06-19 2014-12-24 华为终端有限公司 一种数据和消息处理的方法及装置
US9898642B2 (en) 2013-09-09 2018-02-20 Apple Inc. Device, method, and graphical user interface for manipulating user interfaces based on fingerprint sensor inputs
US20150088760A1 (en) * 2013-09-20 2015-03-26 Nuance Communications, Inc. Automatic injection of security confirmation
KR101444305B1 (ko) * 2013-12-13 2014-09-26 (주)세이퍼존 다중 otp를 사용한 보안키, 보안 서비스 장치 및 보안 시스템
US9065824B1 (en) * 2014-03-17 2015-06-23 Google Inc. Remote authorization of access to account data
GB2527276B (en) * 2014-04-25 2020-08-05 Huawei Tech Co Ltd Providing network credentials
US20150324943A1 (en) * 2014-05-07 2015-11-12 Sang Hee Han System and method for remote presence monitoring
US9690924B2 (en) * 2014-05-15 2017-06-27 Microsoft Technology Licensing, Llc Transparent two-factor authentication via mobile communication device
US10482461B2 (en) 2014-05-29 2019-11-19 Apple Inc. User interface for payments
KR101929372B1 (ko) 2014-05-30 2018-12-17 애플 인크. 하나의 디바이스의 사용으로부터 다른 디바이스의 사용으로의 전환
US9967401B2 (en) 2014-05-30 2018-05-08 Apple Inc. User interface for phone call routing among devices
CN111782130B (zh) 2014-06-24 2024-03-29 苹果公司 用于在用户界面中导航的列界面
US10339293B2 (en) 2014-08-15 2019-07-02 Apple Inc. Authenticated device used to unlock another device
JP6228093B2 (ja) * 2014-09-26 2017-11-08 Kddi株式会社 システム
US9706401B2 (en) * 2014-11-25 2017-07-11 Microsoft Technology Licensing, Llc User-authentication-based approval of a first device via communication with a second device
US20160189151A1 (en) * 2014-12-31 2016-06-30 Ebay Enterprise, Inc. Distributed authentication for mobile devices
WO2017009743A1 (en) * 2015-07-10 2017-01-19 Comviva Technologies Limited Method and system for enhancing security of card based financial transaction
CN106469260A (zh) * 2015-08-20 2017-03-01 中兴通讯股份有限公司 一种访问移动终端的方法及装置
US10084782B2 (en) 2015-09-21 2018-09-25 Early Warning Services, Llc Authenticator centralization and protection
US10148631B1 (en) * 2015-09-29 2018-12-04 Symantec Corporation Systems and methods for preventing session hijacking
US10164973B1 (en) * 2015-12-02 2018-12-25 United Services Automobile Association (Usaa) Public authentication systems and methods
GB2546340A (en) * 2016-01-18 2017-07-19 Isis Innovation Improving security protocols
US10552823B1 (en) 2016-03-25 2020-02-04 Early Warning Services, Llc System and method for authentication of a mobile device
DK179186B1 (en) 2016-05-19 2018-01-15 Apple Inc REMOTE AUTHORIZATION TO CONTINUE WITH AN ACTION
US10621581B2 (en) 2016-06-11 2020-04-14 Apple Inc. User interface for transactions
DK201670581A1 (en) 2016-06-12 2018-01-08 Apple Inc Device-level authorization for viewing content
DK201670582A1 (en) 2016-06-12 2018-01-02 Apple Inc Identifying applications on which content is available
DK201670622A1 (en) 2016-06-12 2018-02-12 Apple Inc User interfaces for transactions
TWI612793B (zh) * 2016-07-04 2018-01-21 Chunghwa Telecom Co Ltd 經電話網路提供一次性密碼之系統與方法
US20180068313A1 (en) 2016-09-06 2018-03-08 Apple Inc. User interfaces for stored-value accounts
US10496808B2 (en) 2016-10-25 2019-12-03 Apple Inc. User interface for managing access to credentials for use in an operation
US11966560B2 (en) 2016-10-26 2024-04-23 Apple Inc. User interfaces for browsing content from multiple content applications on an electronic device
US11895240B2 (en) * 2016-12-15 2024-02-06 Nec Corporation System, apparatus, method and program for preventing illegal distribution of an access token
US10650153B2 (en) * 2017-01-31 2020-05-12 Ent. Services Development Corporation Lp Electronic document access validation
US10362022B2 (en) * 2017-04-13 2019-07-23 Ubs Business Solutions Ag System and method for facilitating multi-connection-based authentication
US11431836B2 (en) 2017-05-02 2022-08-30 Apple Inc. Methods and interfaces for initiating media playback
US10992795B2 (en) 2017-05-16 2021-04-27 Apple Inc. Methods and interfaces for home media control
CN111343060B (zh) 2017-05-16 2022-02-11 苹果公司 用于家庭媒体控制的方法和界面
US20220279063A1 (en) 2017-05-16 2022-09-01 Apple Inc. Methods and interfaces for home media control
MY202387A (en) 2017-05-30 2024-04-25 Belgian Mobile Id Sa/Nv Mobile device authentication using different channels
US10621839B2 (en) * 2017-07-31 2020-04-14 Comcast Cable Communications, Llc Next generation monitoring system
KR102185854B1 (ko) 2017-09-09 2020-12-02 애플 인크. 생체측정 인증의 구현
KR102301599B1 (ko) 2017-09-09 2021-09-10 애플 인크. 생체측정 인증의 구현
US10650130B2 (en) * 2017-11-06 2020-05-12 Ubs Business Solutions Ag System and method for facilitating authentication via a short-range wireless token
US10833859B2 (en) * 2017-12-07 2020-11-10 International Business Machines Corporation Automating verification using secure encrypted phone verification
JP7245999B2 (ja) * 2018-02-14 2023-03-27 パナソニックIpマネジメント株式会社 制御情報取得システム、及び、制御情報取得方法
US11170085B2 (en) 2018-06-03 2021-11-09 Apple Inc. Implementation of biometric authentication
US11005971B2 (en) * 2018-08-02 2021-05-11 Paul Swengler System and method for user device authentication or identity validation without passwords or matching tokens
WO2020060432A1 (ru) * 2018-09-18 2020-03-26 Алексей Владимирович БУРЛИЦКИЙ Способ и система мультиканальной авторизации пользователя
US10860096B2 (en) 2018-09-28 2020-12-08 Apple Inc. Device control using gaze information
US11100349B2 (en) 2018-09-28 2021-08-24 Apple Inc. Audio assisted enrollment
US11445263B2 (en) 2019-03-24 2022-09-13 Apple Inc. User interfaces including selectable representations of content items
WO2020198238A1 (en) 2019-03-24 2020-10-01 Apple Inc. User interfaces for a media browsing application
US11683565B2 (en) 2019-03-24 2023-06-20 Apple Inc. User interfaces for interacting with channels that provide content that plays in a media browsing application
CN114302210A (zh) 2019-03-24 2022-04-08 苹果公司 用于查看和访问电子设备上的内容的用户界面
KR20220027295A (ko) 2019-05-31 2022-03-07 애플 인크. 오디오 미디어 제어를 위한 사용자 인터페이스
CN113906380A (zh) 2019-05-31 2022-01-07 苹果公司 用于播客浏览和回放应用程序的用户界面
US11863837B2 (en) 2019-05-31 2024-01-02 Apple Inc. Notification of augmented reality content on an electronic device
US11010121B2 (en) 2019-05-31 2021-05-18 Apple Inc. User interfaces for audio media control
US11637831B2 (en) 2019-10-09 2023-04-25 Salesforce, Inc. Application programmer interface platform with direct data center access
US11431500B2 (en) * 2019-11-26 2022-08-30 Salesforce, Inc. Authorization code management for published static applications
US11843838B2 (en) 2020-03-24 2023-12-12 Apple Inc. User interfaces for accessing episodes of a content series
US11816194B2 (en) 2020-06-21 2023-11-14 Apple Inc. User interfaces for managing secure operations
US11899895B2 (en) 2020-06-21 2024-02-13 Apple Inc. User interfaces for setting up an electronic device
SE544580C2 (en) 2020-09-04 2022-07-26 Mideye Ab Methods and authentication server for authentication of users requesting access to a restricted data resource
US11392291B2 (en) 2020-09-25 2022-07-19 Apple Inc. Methods and interfaces for media control with dynamic feedback
US11720229B2 (en) 2020-12-07 2023-08-08 Apple Inc. User interfaces for browsing and presenting content
US11934640B2 (en) 2021-01-29 2024-03-19 Apple Inc. User interfaces for record labels
US11847378B2 (en) 2021-06-06 2023-12-19 Apple Inc. User interfaces for audio routing
US11784956B2 (en) 2021-09-20 2023-10-10 Apple Inc. Requests to add assets to an asset account
CN116032591A (zh) * 2022-12-23 2023-04-28 迈普通信技术股份有限公司 一种哑终端仿冒识别方法及系统
CN116319103B (zh) * 2023-05-22 2023-08-08 拓尔思天行网安信息技术有限责任公司 一种网络可信接入认证方法、装置、系统及存储介质

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05336108A (ja) * 1992-06-04 1993-12-17 Toshiba Corp 無線通信システム
US5668876A (en) 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7100200B2 (en) * 2001-06-13 2006-08-29 Citrix Systems, Inc. Method and apparatus for transmitting authentication credentials of a user across communication sessions
EP1421509A4 (en) * 2001-08-07 2009-12-02 Tatara Systems Inc METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS
SE0104325D0 (sv) * 2001-12-20 2001-12-20 Ericsson Telefon Ab L M A method and apparatus for switching access between mobile networks
TW564627B (en) * 2002-04-08 2003-12-01 Quanta Comp Inc System and method for authentication in public networks
JP4559213B2 (ja) * 2002-04-22 2010-10-06 クゥアルコム・インコーポレイテッド アクセスネットワーク認証のための方法及び装置
US6880079B2 (en) * 2002-04-25 2005-04-12 Vasco Data Security, Inc. Methods and systems for secure transmission of information using a mobile device
JP4022121B2 (ja) * 2002-10-07 2007-12-12 松下電器産業株式会社 統合無線通信システム、移動体通信システム、交換装置及び無線端末、並びに通信方法
AU2003239059A1 (en) * 2003-06-18 2005-01-04 Telefonaktiebolaget Lm Ericsson (Publ) An arrangement and a method relating to ip network access
DE10341873A1 (de) * 2003-09-05 2005-04-07 Local-Web Ag Verfahren und Vorrichtung für den Aufbau von Verbindungen zwischen Kommunikationsendgeräten und drahtlose Übertragungsstrecken aufweisenden Daten- und/oder Kommunikationsnetzen, wie bspw. Wireless Local Area Networks (WLAN) und/oder Mobilfunknetzen, sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
HK1062792A2 (en) * 2004-06-16 2004-11-05 Pccw Hkt Datacom Services Ltd Dual-path pre-approval authentication method
EP1851901B1 (fr) * 2005-02-07 2019-12-25 Orange Procede de pre-authentification rapide par reconnaissance de la distance

Also Published As

Publication number Publication date
EP1987627A1 (en) 2008-11-05
AU2006337227A1 (en) 2007-08-09
DK1987627T3 (en) 2017-02-20
CA2641418A1 (en) 2007-08-09
EP1987627B1 (en) 2016-11-16
JP2009525677A (ja) 2009-07-09
MX2008009745A (es) 2008-10-17
EP1987627A4 (en) 2014-07-09
CN101366234B (zh) 2011-11-16
AU2006337227B2 (en) 2010-09-09
CN101366234A (zh) 2009-02-11
US8296823B2 (en) 2012-10-23
CA2641418C (en) 2014-02-25
US20090119754A1 (en) 2009-05-07
KR20080091382A (ko) 2008-10-10
WO2007089179A1 (en) 2007-08-09
KR101300414B1 (ko) 2013-08-26
JP4975762B2 (ja) 2012-07-11

Similar Documents

Publication Publication Date Title
BRPI0621299A2 (pt) sistema e meios de autenticação para autenticação de um usuário final, e, método para autenticar um usuário final remoto de um arranjo de estação de usuário
US10651984B2 (en) Method for controlling access to an in-vehicle wireless network
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
US8191124B2 (en) Systems and methods for acquiring network credentials
US8533798B2 (en) Method and system for controlling access to networks
AU2013243768B2 (en) Secure authentication in a multi-party system
ES2955941T3 (es) Autenticación específica de petición para acceder a recursos de servicio web
US9191814B2 (en) Communications device authentication
US20070178885A1 (en) Two-phase SIM authentication
US20140258724A1 (en) Secure simple enrollment
KR101451359B1 (ko) 사용자 계정 회복
US11429802B2 (en) Obtaining device posture of a third party managed device
JP5276593B2 (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
DK2924944T3 (en) Presence authentication
US11848926B2 (en) Network authentication
US8442527B1 (en) Cellular authentication for authentication to a service
US11323431B2 (en) Secure sign-on using personal authentication tag
RU2395911C2 (ru) Система, устройство и способ для аутентификации конечного пользователя
IL193016A (en) System, arrangement and method for end user authentication
EP1494395A1 (en) Method and authentication module for providing access to a target network via a wireless local area network WLAN
KR20080031731A (ko) 인증 및 프라이버시를 위한 방법 및 장치

Legal Events

Date Code Title Description
B06G Technical and formal requirements: other requirements [chapter 6.7 patent gazette]

Free format text: SOLICITA-SE A REGULARIZACAO DA PROCURACAO, UMA VEZ QUE BASEADO NO ARTIGO 216 1O DA LPI, O DOCUMENTO DE PROCURACAO DEVE SER APRESENTADO NO ORIGINAL, TRASLADO OU FOTOCOPIA AUTENTICADA.

B08F Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette]

Free format text: REFERENTE A 3A ANUIDADE

B08K Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette]

Free format text: REFERENTE AO DESPACHO 8.6 PUBLICADO NA RPI 2214 DE 11/06/2013.

B08H Application fees: decision cancelled [chapter 8.8 patent gazette]

Free format text: REFERENTE AOS DESPACHOS 8.6 NA RPI 2214 DE 11/06/2013 E 8.11 NA RPI 2250 DE 18/02/2014.

B15K Others concerning applications: alteration of classification

Ipc: H04L 9/32 (2006.01), H04L 29/06 (2006.01), H04W 12

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B11E Dismissal acc. art. 34 of ipl - requirements for examination incomplete
B11T Dismissal of application maintained [chapter 11.20 patent gazette]