ES2252518T3 - Procedimiento, ordenador servidor y sistema para el control de acceso a los datos. - Google Patents

Procedimiento, ordenador servidor y sistema para el control de acceso a los datos.

Info

Publication number
ES2252518T3
ES2252518T3 ES02776656T ES02776656T ES2252518T3 ES 2252518 T3 ES2252518 T3 ES 2252518T3 ES 02776656 T ES02776656 T ES 02776656T ES 02776656 T ES02776656 T ES 02776656T ES 2252518 T3 ES2252518 T3 ES 2252518T3
Authority
ES
Spain
Prior art keywords
user
mobile phone
computer
server
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02776656T
Other languages
English (en)
Inventor
Oliver Sturm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ORGA SYSTEMS ENABLING SERVICES
Idemia Germany GmbH
Original Assignee
ORGA SYSTEMS ENABLING SERVICES
Orga Kartensysteme GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ORGA SYSTEMS ENABLING SERVICES, Orga Kartensysteme GmbH filed Critical ORGA SYSTEMS ENABLING SERVICES
Application granted granted Critical
Publication of ES2252518T3 publication Critical patent/ES2252518T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/75Indicating network or usage conditions on the user display
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Hardware Redundancy (AREA)

Abstract

Procedimiento para el control de acceso a datos para el acceso a datos a través de un ordenador servidor (1), en el que el ordenador servidor (1) presenta una página Web (2) con al menos un primer elemento de mando (3) y con un segundo elemento de mando (4), un sistema de base de datos (9) con una primera lista (10) de identificaciones de radio móvil válidas y con una segunda lista (11) de identificaciones de radio móvil válidas, en el que la primera lista está asociada al primer elemento de mando y la segunda lista está asociada al segundo elemento de mando, y el ordenador servidor presenta un cronómetro (7) y una interfaz de teléfono móvil (13), en el que el procedimiento presenta las siguientes etapas: - transmisión de la página Web (2) desde el ordenador servidor (1) hacia un ordenador de cliente (14; 17), - representación de la página Web (2) por medio de un programa de navegador del ordenador de cliente, - selección de uno de los elementos de mando de la página Web (2) a través de una interfaz gráfica del ordenador del cliente, - inicio de un programa de servidor (5) para la generación de una representación para el usuario con una solicitud para la realización de una acción para el control de acceso (6), - puesta en marcha del cronómetro (7), - supervisión para determinar si dentro de una ventana de tiempo predeterminada después de la puesta en marcha del cronómetro se introduce una identificación de radio móvil a través de la interfaz de teléfono móvil y, cuando éste es el caso, verificación de la validez de la identificación de radio móvil, verificando si la identificación de radio móvil recibida está en la lista del sistema de base de datos que está asociada al elemento de mando seleccionado y, dado el caso, liberación del acceso.

Description

Procedimiento, ordenador servidor y sistema para el control de acceso a los datos.
La invención se refiere a un sistema de ordenador y a un procedimiento para el control de acceso a los datos.
Se conocen a partir de estado de la técnica diferentes procedimientos para el control de acceso a los datos, especialmente también con respecto al acceso a datos a través de redes de ordenador, especialmente Internet.
El método habitual es que un usuario es requerido para que introduzca su identificador de usuario, su llamado ID de usuario, y una palabra de paso para la verificación de su autorización de acceso a una página Web. Cuando el ID del usuario y la palabra de paso son reconocidos como válidos por el servidor, el usuario obtiene acceso a la página Web deseada o bien a los datos correspondientes.
Un procedimiento esencialmente más seguro es la utilización de una llamada Infraestructura de Clave Pública (PKI) con claves asimétricas, es decir, con una clave pública y una clave privada para cada usuario. Típicamente, la clave privada del usuario está memorizada en una llamada Tarjeta Inteligente. La clave privada se leída por la Tarjeta Inteligente por medio de un lector de tarjetas y es transmitida al cliente del usuario.
Los procedimientos conocidos a partir del estado de la técnica para el control de acceso a los datos o bien son desfavorables, en la medida en que la seguridad del control de acceso a los datos no cumple altos requerimientos o en la medida en que son necesarias instalaciones adicionales, como por ejemplo, tarjetas de chip adicionales y/o lectores de tarjetas adicionales.
Se conoce, además, a partir del estado de la técnica un teléfono móvil, especialmente un teléfono móvil que trabaja de acuerdo con la Norma GSM, por medio de cuyo número de teléfono se identifica el número de la Red Digital Internacional de Servicios Integrados de Estaciones Móviles (MSISDN). El MSISDN es memorizado en una tarjeta de chip, el llamado Módulo de Identificación de Abonados (SIM) y es leído por un lector de tarjetas de chip integrado en el teléfono móvil. En el SIM pueden estar memorizados también todavía otros datos específicos del usuario.
El MSISDN es transmitido al mismo tiempo con cada llamada desde el teléfono móvil durante el establecimiento de la comunicación. De la misma manera se transmite al mismo tiempo el MSISDN también durante la emisión de mensajes electrónicos, los llamados mensajes cortos Servicio de Mensajes Cortos (SMS), desde el teléfono móvil. Lo mismo se aplica también para mensajes de Datos de Servicios Suplementarios No Estructurados (USSD).
Se conocen procedimientos y dispositivos correspondientes basados en ello, por ejemplo, a partir de los documentos US-A-5.915.225; US-A-6.014.561 y US-A-6.070.076.
La solicitud de patente EP-A- 1 102 157 describe un procedimiento para el control de acceso a los datos, en el que un usuario establece una comunicación con un servidor e introduce su identificación de usuario. A continuación el usuario envía un mensaje SMS desde su teléfono móvil, de manera que se transmite el MSISDN del teléfono móvil hacia un servidor de identificación. El usuario obtiene acceso al servidor, cuando el mensaje SMS es recibido dentro de una ventana de tiempo predeterminada y el MSISDN recibido corresponde a la identificación del usuario.
La invención se basa en el cometido de crear un procedimiento mejorado y un sistema mejorado para el control de acceso a los datos.
El cometido en el que se basa la invención se soluciona, respectivamente, con las características de las reivindicaciones independientes de la patente.
Las formas de realización preferidas de la invención se indican en las reivindicaciones dependientes.
La invención permite realizar un control de acceso a los datos por medio de un teléfono móvil. Para la verificación de la autorización de acceso a determinados datos se utiliza en este caso una identificación del teléfono móvil, con preferencia el MSISDN del teléfono móvil.
De acuerdo con una forma de realización preferida de la invención, se transmite el MSISDN del teléfono móvil del usuario después de una solicitud correspondiente a un ordenador servidor, llamando el usuario a un número de teléfono del ordenador servidor con su teléfono móvil. Con esta llamada, se transmite el MSISDN al mismo tiempo al ordenador servidor y es verificado allí.
De una manera alternativa, el usuario puede enviar también un mensaje electrónico, con preferencia un SMS, desde su teléfono móvil hasta el ordenador servidor, siendo transmitido también con este mensaje electrónico conjuntamente el MSISDN. El mensaje electrónico puede contener otros datos para la autenticación del usuario, tal como, por ejemplo, la identificación del usuario o un llamado Número de Identificación Personal (PIN).
Además, el usuario puede seleccionar también un número USSD. Durante el establecimiento de la comunicación telefónica correspondiente se transmite al mismo tiempo de la misma manera el MSISDN de forma automática. El número USSD puede contener como parámetros adicionales otros datos para la autentificación del usuario, por ejemplo el PIN.
Además del MSISDN, se puede utilizar también otra identificación del teléfono móvil. Una identificación alternativa de este tipo puede estar memorizada, por ejemplo, en la tarjeta SIM y puede ser llamada desde allí para la transmisión al servidor.
De acuerdo con otra forma de realización preferida de la invención, en el lado del servidor puede estar presente un sistema de bases de datos, en el que están memorizados números MSISDN válidos para el acceso a determinados datos. En este caso, a un elemento de mando determinado en la página Web puede estar asociada, para el acceso a determinados datos, una lista de MSISDN válidos, que están autorizados para el acceso a los datos correspondientes. Si un usuario selecciona en la página Web el elemento de mando respectivo, por ejemplo "pinchando" con su ratón de ordenador, entonces se verifica en el lado del servidor si dentro de una ventana de tiempo determinada entra un MSISDN de la lista de MSISDN correspondiente que está asociada al elemento de mando.
De acuerdo con otra forma de realización preferida de la invención, a cada MSISDN válido está asociado un perfil de usuario. El perfil de usuario puede contener otros datos para la verificación de la autenticidad de un MSISDN, por ejemplo por medio de un PIN así como también el nombre, la dirección y/o la dirección de E-Mail del usuario respectivo.
De acuerdo con otra forma de realización preferida de la invención, el cliente del usuario está configurado como un teléfono móvil, a través del cual se puede acceder directamente a la página Web del servidor. En este caso se trata, por lo tanto, de un teléfono móvil con capacidad para Internet, que trabaja, por ejemplo, de acuerdo con la Norma UMTS. En este caso de aplicación, el MSISDN u otra identificación del teléfono móvil son leídos directamente desde la tarjeta de chip que se encuentra en el teléfono móvil y son transmitidos a través de la comunicación de Internet hacia el servidor. En este caso, no se requiere el establecimiento de una comunicación adicional a través de la red de teléfono móvil.
Por lo demás, a continuación se explica en detalle un ejemplo de realización preferido de la invención con referencia a los dibujos. En este caso:
La figura 1 muestra un diagrama de bloques de una forma de realización preferida de un sistema de acuerdo con la invención.
El sistema de la figura 1 contiene un ordenador servidor 1 con una página Web 2. En la página Web 2 se puede tratar de una página de una plataforma de Internet, por ejemplo de un sistema de información de Internet o de un sistema de consulta de bases de datos. La página Web 2 contiene un elemento de mando 3 y un elemento de mando 4.
En el elemento de mando 3 se trata, por ejemplo, de un llamado "botón", es decir, un "botón" virtual, que puede ser activado a través de una interfaz de usuario gráfica, por ejemplo, "pinchando" con un ratón de ordenador. En el elemento de mando 4 se trata de un llamado hiperenlace, en el que está depositado un llamado Localizador Uniforme de Recursos (URL) de otra página Web.
Por ejemplo, un usuario pinchando en el elemento de mando 3 puede descargar datos desde el servidor 1 y el usuario puede acceder pinchando en el hiperenlace 4 a otra página Web con el URL especificado en el hiperenlace 4.
El ordenador servidor 1 contiene un programa 5. El programa 5 es iniciado de forma automática cuando se activan el elemento de mando 3 o el elemento de mando 4. El programa 5 contiene un módulo de programa 6 con el que el usuario es requerido a la realización de una actuación, para verificar su autorización para el acceso a los datos deseados. Después de que el usuario ha activado, por ejemplo, el elemento de mando 3, el usuario recibe una petición, que se genera a través del módulo del programa 6, para llevar a cabo las siguientes actuaciones:
-
llamada de un número de teléfono del ordenador servidor 1 con su teléfono móvil, para que el MSISDN del teléfono móvil sea transmitido al ordenador servidor 1,
-
emisión de un mensaje electrónico, por ejemplo de un SMS, desde el teléfono móvil, para que de la misma manera el MSISDN el teléfono móvil sea transmitido hacia el ordenador servidor 1 o
-
selección de un número USSD, para que de la misma manera el MSISDN del teléfono móvil sea transmitido al ordenador servidor 1.
Adicionalmente, puede ser necesario que el usuario introduzca otros datos para su autentificación. Para la autentificación puede servir, por ejemplo, un PIN asignado al usuario.
El PIN debe ser introducido por el usuario
-
después del establecimiento de la comunicación telefónica a través del teclado de su teléfono móvil, o
-
debe ser enviado como información útil del mensaje electrónico, es decir, del SMS, o
-
debe ser introducido como parámetro adicional el número USSD a través del teléfono móvil.
Además, también es posible que sea utilizado un lector adicional de tarjetas de chip para la autentificación del usuario.
El programa 5 contiene, además, un módulo de programa 7 para la puesta en marcha de un reloj de tiempo, de un llamado cronómetro, después de que el usuario ha activado el elemento de mando 3 o el elemento de mando 4. Por ejemplo, el cronómetro se puede poner en marcha a través del módulo del programa 7, después de que ha sido indicada al usuario la petición del módulo del programa 6.
Además, el programa 5 tiene un módulo de programa 8 para la supervisión de s dentro de una ventana de tiempo predeterminada después de la puesta en marcha del cronómetro a través del módulo del programa 7 entra un número MSISDN. Un MSISDN introducido dentro de la ventana de tiempo es verificado por el módulo del programa 8 por medio de un sistema de bases de datos 9.
En el sistema de bases de datos 9 se encuentra una lista 10 y una lista 11 de MSISDN válidos. La lista 10 está asociada al elemento de mando 3; la lista 11 está asociada al elemento de mando 4. Además, pertenece al sistema de base de datos 9 una tabla 12, en la que están inscritos los MSISDN de todos los usuarios registrados. A cada MSISDN pertenece un perfil de usuario, que contiene, por ejemplo, datos adicionales para la autentificación del usuario, por ejemplo un PIN y otros datos relacionados con el usuario, por ejemplo su nombre, dirección, número de teléfono, número de fax y dirección de E-Mail y/o datos de pago, por ejemplo el número de la tarjeta de
crédito.
El ordenador servidor 1 tiene, además, una interfaz de teléfono móvil 13 para la recepción de llamadas desde un teléfono móvil y/o de mensajes electrónicos, especialmente mensajes SMS y para la recepción de llamadas con un número USSD y, dado el caso, con otros parámetros.
El ordenador 14, por ejemplo un ordenador personal habitual, se puede conectar como cliente a través de una red 15 con el ordenador servidor 1. En la red 15 se puede tratar de una red de ordenadores, por ejemplo una Intranet, Extranet o de Internet. A través del ordenador 14 y de la red 15 un usuario puede acceder al ordenador servidor 1 o bien a su página Web 2. La página Web 2 se representada, por ejemplo, en el ordenador 14 por medio de un navegador, por ejemplo por medio de Microsoft Explorer o de Netscape Navigator.
El ordenador 14 puede presentar un lector de tarjetas de chip 16, por ejemplo como seguridad adicional para la autentificación del usuario.
El usuario del ordenador 14 dispone, además, de un teléfono móvil 17, que trabaja, por ejemplo, de acuerdo con la Norma GSM. El teléfono móvil 17 tiene un lector de tarjetas de chip integrado para una tarjeta de chip 18. La tarjeta de chip 18 está configurada, por ejemplo, como un llamado Módulo de Identificación del Abonado (SIM) y contiene el MSISDN como identificación del teléfono móvil del usuario.
El usuario puede llamar con el teléfono móvil 17 a través de una red de teléfono móvil 19 a un ordenador servidor 1. En una llamada de este tipo se transmite el MSISDN memorizado en la tarjeta de chip 18 como identificación del teléfono móvil a través de la red de teléfono móvil 19 hacia la interfaz de teléfono móvil 13 del ordenador servidor 1. De la misma manera, se transmite el MSISDN también hacia la interfaz del teléfono móvil 13, cuando el usuario envía un SMS desde el teléfono móvil 17 o selecciona un número USSD.
Para acceder a determinados datos del ordenador servidor 1, el usuario introduce en primer lugar la dirección de Internet, es decir, la llamada URL, de la página Web 2 de su programa navegador del ordenador 14. A través de la red 15 se establece entonces una comunicación con el ordenador servidor 1 y la página web 2 es representada al usuario sobre el programa navegador del ordenador 14. El usuario puede solicitar entonces los datos deseados a través de la selección de un elemento de mando de la página Web 2, por ejemplo porque el usuario "pincha" el elemento de mando 3 o el elemento de mando 4.
Pinchando en el elemento de mando 3 o en el elemento de mando 4 se inicia el programa 5 y, en concreto, especialmente su módulo de programa 6. A través del módulo de programa 6 se genera para el usuario una representación y se solicita al usuario que lleve a cabo una acción para el control del acceso. Por ejemplo, el usuario puede seleccionar entre diferentes acciones posibles:
-
llamada de un número de teléfono del ordenador servidor 1 desde su teléfono móvil 17,
-
emisión de un SMS al número de teléfono del ordenador servidor 1 desde el teléfono móvil 17 o
-
llamada de un número USSD del ordenador servidor 1 desde el teléfono móvil 17.
Adicionalmente, puede ser necesario que el usuario introduzca otros parámetros necesarios para la autentificación.
Después de la representación de la solicitud generada a través del módulo del programa se pone en marcha un cronómetro a través del módulo del programa 7 y el módulo del programa 8 supervisa si dentro de una ventana de tiempo predeterminada entra una identificación del teléfono móvil.
El usuario del ordenador 14 llama entonces, por ejemplo, después de que ha recibido la solicitud generada a través del módulo del programa 6, con su teléfono móvil 17 al número de teléfono del ordenador servidor 1. En esta llamada, se transmite el MSISDN del teléfono móvil al mismo tiempo a través de la red de teléfono móvil 19 hacia la interfaz del teléfono móvil 13 del ordenador servidor 1.
Cuando el MSISDN recibido desde la interfaz de teléfono móvil es obtenido dentro de una ventana de tiempo definida a través del inicio del cronómetro, el módulo del programa 8 verifica entonces la validez del MSISDN. A tal fin, el módulo del programa 8 lleva a cabo un acceso al sistema de base de datos 9.
Si el usuario ha pinchado, por ejemplo, el elemento de mando 3, entonces el módulo del programa 8 accede a la lista 10 asociada al elemento de mando 3, para verificar si el MSISDN recibido dentro de la ventana de tiempo es parte de la lista 10. Si éste es el caso, entonces se concede al usuario el acceso a los datos correspondientes. Por ejemplo, se inicia de forma automática la descarga de un fichero especificado a través del elemento de mando 3.
Cuando el usuario ha seleccionado el elemento de mando 4, se lleva a cabo de una manera correspondiente a través del módulo del programa 8 una verificación de la lista 11 asociada al elemento de mando 4, para determinar si el MSISDN recibido dentro de la ventana de tiempo está contenido en la lista 11. Cuando éste es el caso, el usuario recibe acceso directo a la página Web especificada a través del hiperenlace.
Cuando el usuario envía un SMS en lugar de una llamada telefónica o selecciona un número USSD, entonces se recibe desde la interfaz del teléfono móvil 13 de la misma manera el número MSISDN del teléfono móvil 17, que es procesado de la misma manera por el módulo del programa 8.
Cuando dentro de la ventana de tiempo predeterminada no se recibe ningún MSISDN válido para el acceso a los datos deseados por parte del ordenador servidor 1, entonces o bien se puede rechazar definitivamente el acceso o el usuario recibe uno o varios intentos más para llevar a cabo en cada caso dentro de la ventana de tiempo predeterminada la acción necesaria, por ejemplo, por lo tanto la llamada con el teléfono móvil 17.
Además, puede ser necesario que el usuario introduzca datos adicionales para una autentificación. Esto se puede realizar de tal forma que el usuario, después del establecimiento de la comunicación telefónica entre su teléfono móvil 17 y la interfaz 13 del teléfono móvil del ordenador servidor 1, introduce su PIN a través del teclado del teléfono móvil 17 o el PIN es transmitido como información útil con un SMS. Además, el PIN se puede transmitir también como parámetro de un número USSD, por ejemplo en la forma 103*2108#, en el que en *103 se trata del número USSD propiamente dicho y en *2108 se trata
del PIN.
Como medida de seguridad adicional es posible también utilizar el lector de tarjetas de chip 16 del ordenador 14, para utilizar, por ejemplo, una tarjeta de chip con la clave privada del usuario para su identificación.
Para la autentificación del usuario se accede entonces desde el programa 5 a la tabla 12 del sistema de base de datos 9, para compensar los datos introducidos por el usuario para su autentificación con el perfil correspondiente del usuario. De esta manera, se proporciona una seguridad elevada para el control de acceso a los datos.
De una manera alternativa, también es posible que tanto el acceso a los datos como también el control del acceso a los datos sean realizados solamente por medio del teléfono móvil 17 sin el ordenador 14. En este caso, se trata de un teléfono móvil 17 apto para Internet, que trabaja, por ejemplo, de acuerdo con la Norma UMTS.
Desde este teléfono móvil 17 se accede entonces, a través de la red de teléfono móvil 19 UMTS configurada de una manera correspondiente, a la página Web 2 y se activa uno de los elementos de mando 3 ó 4. Para el control de acceso se puede acceder entonces de forma automática a una identificación del teléfono móvil memorizada en el teléfono móvil 17, por ejemplo en su tarjeta de chip 18, por ejemplo al número de teléfono del teléfono móvil 17.
Esta identificación es transmitida entonces a través de la comunicación UMTS hacia el ordenador servidor 1 y allí es evaluada de una manera correspondiente. En este caso, no es necesario que el usuario sea requerido a la realización de una acción, sino que la acción correspondiente se puede desarrollar de una manera totalmente automática. De una forma correspondiente, en este caso el cronómetro no se pone en marcha con la representación de una solicitud, sino ya con la activación de uno de los elementos de mando 3 ó 4. En este caso, se puede prever un valor muy corto del cronómetro, es decir, una ventana de tiempo muy pequeña debido al ciclo automático. En este ejemplo de realización, el usuario no necesita ningún ordenador adicional, sino que el teléfono móvil 17 lleva a cabo la función del ordenador.
De acuerdo con una forma de realización de un procedimiento correspondiente se lleva a cabo en la etapa 30 un establecimiento de una comunicación con una página Web a través de Internet desde un aparato de cliente, por ejemplo un ordenador o un teléfono móvil apto para Internet. En la etapa 32 se solicitan datos sobre la página Web, en los que se trata de informaciones confidenciales, que solamente deben ser accesibles para un círculo limitado de personas.
En la etapa 34, el usuario recibe sobre un aparato del cliente una solicitud para la entrada de una autorización de acceso. A tal fin, el usuario llama en la etapa 50 desde su teléfono móvil a un número de teléfono determinado, de manera que el MSISDN de su teléfono móvil es transmitido hacia el número seleccionado.
De una manera alternativa, el usuario puede enviar también un SMS en la etapa 36 o también seleccionar un número USSD. En la etapa 38 se recibe el MSISDN en el lado del servidor. En el caso de utilización de un teléfono móvil apto para Internet, se puede sustituir las etapas 34 y 50 o bien 36 a través de un ciclo automático, siendo transmitido el número MSISDN u otra identificación del teléfono móvil apto para Internet de una manera automática después de la solicitud de la información confidencial en la etapa 32 hacia el servidor, para ser verificado allí.
En la etapa 40, se lleva a cabo la verificación del MSISDN, siendo verificado el MSISDN para determinar la autorización de acceso a los datos requeridos. Cuando existe una autorización de acceso de este tipo, se transmiten los datos respectivos en la etapa 42 hacia el aparato del cliente del usuario y se memorizan allí, se representan y se procesan adicio-
nalmente.
Cuando no se trata de un MSISDN válido o cuando no se ha recibido ningún MSISDN dentro de una ventana de tiempo predeterminada, se rechaza en la etapa 44 el acceso a los datos solicitados. Partiendo desde la etapa 44, el usuario puede obtener entonces una o una pluralidad de posibilidades adicionales para la llamada del número del servidor dentro de la ventana de tiempo predeterminada.
Después de una denegación definitiva del acceso en la etapa 44, se puede establecer en la etapa 46 la identidad del usuario cuando se permite asociar el MSISDN no autorizado para el acceso deseado a un perfil de usuario. Éste es especialmente el caso cuando en el MSISDN respectivo se trata de un usuario registrado, que ha intentado acceder a datos, para los que no está autorizado. En la etapa 48 se puede enviar entonces un mensaje, por ejemplo como mensaje SMS, al usuario, para instruirle sobre sus derechos de acceso limitados. Con ello va unido al mismo tiempo un efecto educativo.
Lista de signos de referencia
1
Ordenador servidor
2
Página Web
3
Elemento de mando
4
Elemento de mando
5
Programa
6
Módulo del programa
7
Módulo del programa
8
Módulo del programa
9
Sistema de base de datos
10
Lista
11
Lista
12
Tabla
13
Interfaz de teléfono móvil
14
Ordenador
15
Red
16
Lector de tarjeta de chip
17
Teléfono móvil
18
Tarjeta de chip
19
Red de teléfono móvil

Claims (17)

1. Procedimiento para el control de acceso a datos para el acceso a datos a través de un ordenador servidor (1), en el que el ordenador servidor (1) presenta una página Web (2) con al menos un primer elemento de mando (3) y con un segundo elemento de mando (4), un sistema de base de datos (9) con una primera lista (10) de identificaciones de radio móvil válidas y con una segunda lista (11) de identificaciones de radio móvil válidas, en el que la primera lista está asociada al primer elemento de mando y la segunda lista está asociada al segundo elemento de mando, y el ordenador servidor presenta un cronómetro (7) y una interfaz de teléfono móvil (13), en el que el procedimiento presenta las siguientes etapas:
-
transmisión de la página Web (2) desde el ordenador servidor (1) hacia un ordenador de cliente (14; 17),
-
representación de la página Web (2) por medio de un programa de navegador del ordenador de cliente,
-
selección de uno de los elementos de mando de la página Web (2) a través de una interfaz gráfica del ordenador del cliente,
-
inicio de un programa de servidor (5) para la generación de una representación para el usuario con una solicitud para la realización de una acción para el control de acceso (6),
-
puesta en marcha del cronómetro (7),
-
supervisión para determinar si dentro de una ventana de tiempo predeterminada después de la puesta en marcha del cronómetro se introduce una identificación de radio móvil a través de la interfaz de teléfono móvil y, cuando éste es el caso, verificación de la validez de la identificación de radio móvil, verificando si la identificación de radio móvil recibida está en la lista del sistema de base de datos que está asociada al elemento de mando seleccionado y, dado el caso, liberación del acceso.
2. Procedimiento de acuerdo con la reivindicación 1, en el que en la acción para el control de acceso se trata de una llamada de un número de teléfono que está asociado al ordenador servidor, de manera que en la llamada se transmite desde un teléfono móvil (17) la identificación del teléfono móvil hacia la interfaz del teléfono móvil (13) del ordenador servidor (1).
3. Procedimiento de acuerdo con la reivindicación 1 ó 2, en el que en la acción para el control del acceso se trata de la emisión de un mensaje electrónico, con preferencia de un SMS, o de la selección de un USSD desde un teléfono móvil (17) del usuario a una dirección asociada al ordenador servidor, con preferencia un número de teléfono asociado al servidor, de manera que la identificación del teléfono móvil se transmite junto con el mensaje electrónico hacia el ordenador servidor.
4. Procedimiento de acuerdo con la reivindicación 1, 2 ó 3, en el que en la identificación del teléfono móvil se trata del número de teléfono de un teléfono móvil (17) del usuario.
5. Procedimiento de acuerdo con una de las reivindicaciones 1 a 4 anteriores, en el que en la identificación del teléfono móvil se trata de un número de teléfono móvil memorizado en una tarjeta de chip, con preferencia un SIM.
6. Procedimiento de acuerdo con una de las reivindicaciones 1 a 5, en el que la base de datos asocia determinados datos a identificaciones de teléfono móvil válidas.
7. Procedimiento de acuerdo con la reivindicación 6, en el que la base de datos para cada usuario contiene un perfil de usuario.
8. Procedimiento de acuerdo con una de las reivindicaciones anteriores, en el que en la interfaz de teléfono móvil (13) se trata de una interfaz USSD y la transmisión de la identificación del teléfono móvil se lleva a cabo a través de la interfaz USSD.
9. Procedimiento de acuerdo con una de las reivindicaciones anteriores, en el que adicionalmente a la entrada de la identificación del teléfono móvil se lleva a cabo una entrada de datos adicionales para la identificación del usuario, y los datos adicionales para la autentificación del usuario se introducen después del establecimiento de una comunicación telefónica por medio de la entrada a través del usuario del teléfono móvil del usuario o a través de la transmisión como parte del mensaje electrónico o como parámetro de un número USSD.
10. Procedimiento de acuerdo con una de las reivindicaciones anteriores, en el que se utiliza, por parte del usuario, un lector de tarjetas de chip para la autentificación del usuario frente al ordenador servidor.
11. Ordenador servidor con
-
una página Web (2), que presenta al menos un primer elemento de mando (3) y un segundo elemento de mando (4),
-
un sistema de base de datos (9) con una primera lista (10) de identificaciones de radio móvil válidas y con una segunda lista (11) de identificaciones de radio móvil válidas, en el que la primera lista está asociada al primer elemento de mando y la segunda lista está asociada al segundo elemento de mando,
-
medios (2, 15) para el establecimiento de una comunicación con un ordenador del cliente (14; 17) de un usuario para la entrada de una solicitud de datos a través del usuario por medio de la selección de uno de los elementos de mando de la página Web,
-
medios (7) para la supervisión de si se recibe una identificación de teléfono móvil válida dentro de una ventana de tiempo después de la entrada de la solicitud de datos, en el que se verifica la identificación del teléfono para una liberación del acceso a los datos, para determinar si está presente en la lista asociada al elemento de mando seleccionado.
12. Ordenador servidor de acuerdo con la reivindicación 11, con una interfaz de teléfono móvil (13) para la recepción de una llamada desde un teléfono móvil (17) del usuario y/o para la recepción de un mensaje electrónico desde el teléfono móvil del usuario, con preferencia de un SMS, y/o para la recepción de un mensaje USSD desde el teléfono móvil del usuario.
13. Ordenador servidor de acuerdo con la reivindicación 11 ó 12, con medios adicionales (16) para la autentificación del usuario.
14. Sistema para el control de acceso a datos con un ordenador servidor de acuerdo con una de las reivindicaciones 11 a 13 anteriores y con un ordenador del cliente que se puede conectar a través de una red con el ordenador servidor.
15. Sistema de acuerdo con la reivindicación 14, en el que el ordenador del cliente está configurado como ordenador personal y el ordenador del cliente se puede conectar a través de una red de ordenador (15), con preferencia Internet, con el ordenador servidor, y con un teléfono móvil (17) para la entrada de la identificación del teléfono móvil.
16. Sistema de acuerdo con la reivindicación 14 ó 15, en el que el ordenador del cliente está configurado como teléfono móvil apto para Internet.
17. Sistema de acuerdo con las reivindicaciones 14, 15 ó 16, con un lector de tarjetas de chip (16) para el ordenador del cliente para la autentificación del usuario frente al ordenador servidor.
ES02776656T 2001-08-13 2002-08-12 Procedimiento, ordenador servidor y sistema para el control de acceso a los datos. Expired - Lifetime ES2252518T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10138381A DE10138381B4 (de) 2001-08-13 2001-08-13 Computersystem und Verfahren zur Datenzugriffskontrolle
DE10138381 2001-08-13

Publications (1)

Publication Number Publication Date
ES2252518T3 true ES2252518T3 (es) 2006-05-16

Family

ID=7694435

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02776656T Expired - Lifetime ES2252518T3 (es) 2001-08-13 2002-08-12 Procedimiento, ordenador servidor y sistema para el control de acceso a los datos.

Country Status (6)

Country Link
EP (1) EP1419638B1 (es)
AT (1) ATE308192T1 (es)
DE (2) DE10138381B4 (es)
ES (1) ES2252518T3 (es)
IN (1) IN2003CH00340A (es)
WO (1) WO2003017612A2 (es)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1533973B1 (de) * 2003-10-27 2019-03-06 Vodafone Holding GmbH Einrichtung und Verfahren zur Feststellung einer Teilnehmerberechtigung im Internet
DE102005011039B4 (de) * 2005-03-08 2011-01-05 1&1 Internet Ag Verfahren und System zum Einloggen in einen Dienst
DE102009057800A1 (de) * 2009-12-10 2011-06-16 Eberhard-Karls-Universität Tübingen Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung
DE102010041286A1 (de) * 2010-09-23 2012-03-29 Bundesdruckerei Gmbh Verfahren und Server zum Bereitstellen von Nutzerinformationen
GB201106976D0 (en) 2011-10-03 2011-10-03 Corcost Ltd Corcost-SG002

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19722424C5 (de) * 1997-05-28 2006-09-14 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System
JP2002530772A (ja) * 1998-11-24 2002-09-17 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動電話による自動pcログオン
SE516066C2 (sv) * 1999-01-20 2001-11-12 Netcom Ab Metod, system och nätverksnod för tillhandahållande av tjänster på Internet
WO2001017310A1 (en) * 1999-08-31 2001-03-08 Telefonaktiebolaget L M Ericsson (Publ) Gsm security for packet data networks
DE69937954T2 (de) * 1999-11-22 2009-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem
FI115355B (fi) * 2000-06-22 2005-04-15 Icl Invia Oyj Järjestely suojatun järjestelmän käyttäjän tunnistamiseen ja todentamiseen

Also Published As

Publication number Publication date
IN2003CH00340A (es) 2005-04-08
DE10138381A1 (de) 2003-03-06
DE50204705D1 (de) 2005-12-01
EP1419638B1 (de) 2005-10-26
WO2003017612A3 (de) 2003-07-10
WO2003017612A2 (de) 2003-02-27
DE10138381B4 (de) 2005-04-07
EP1419638A2 (de) 2004-05-19
ATE308192T1 (de) 2005-11-15

Similar Documents

Publication Publication Date Title
EP2394389B1 (en) Transforming static password systems to become 2-factor authentication
US8438620B2 (en) Portable device for clearing access
US7715823B2 (en) Methods and apparatus for restricting access of a user using a cellular telephone
US8103246B2 (en) Systems and methods for remote user authentication
US7133662B2 (en) Methods and apparatus for restricting access of a user using a cellular telephone
EP1987627B1 (en) A system, an arrangement and a method for end user authentication
US7142840B1 (en) Method and system for multi-network authorization and authentication
CN101273574B (zh) 服务接入认证数据管理系统
US8213583B2 (en) Secure access to restricted resource
EP1102157B1 (en) Method and arrangement for secure login in a telecommunications system
US9344896B2 (en) Method and system for delivering a command to a mobile device
JP4799496B2 (ja) 個人認証方法
EP2152033A1 (en) Method and device for generating a time-dependent password
EP1807966A1 (en) Authentication method
WO2001080525A1 (en) Network access security
US7502931B2 (en) Method and device for authenticating a user on a remote server
WO2007037703A1 (en) Human factors authentication
JP2005510951A (ja) Pki機能の登録及び有効化の方法
ES2252518T3 (es) Procedimiento, ordenador servidor y sistema para el control de acceso a los datos.
KR100563544B1 (ko) 일회용 비밀번호를 이용한 사용자 인증 방법
JP2002245006A (ja) 認証システム、認証方法、プログラム及びその記録媒体
KR100637996B1 (ko) 다이얼 인증 제공 시스템
JP2008171087A (ja) 認証システム、認証プログラム
WO2003065676A1 (en) Method and authentication server for controlling access to a resource accessible through a communications network
JP2003233591A (ja) ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム、そのプログラムを記録した記録媒体