ES2252518T3 - Procedimiento, ordenador servidor y sistema para el control de acceso a los datos. - Google Patents
Procedimiento, ordenador servidor y sistema para el control de acceso a los datos.Info
- Publication number
- ES2252518T3 ES2252518T3 ES02776656T ES02776656T ES2252518T3 ES 2252518 T3 ES2252518 T3 ES 2252518T3 ES 02776656 T ES02776656 T ES 02776656T ES 02776656 T ES02776656 T ES 02776656T ES 2252518 T3 ES2252518 T3 ES 2252518T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- mobile phone
- computer
- server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Hardware Redundancy (AREA)
Abstract
Procedimiento para el control de acceso a datos para el acceso a datos a través de un ordenador servidor (1), en el que el ordenador servidor (1) presenta una página Web (2) con al menos un primer elemento de mando (3) y con un segundo elemento de mando (4), un sistema de base de datos (9) con una primera lista (10) de identificaciones de radio móvil válidas y con una segunda lista (11) de identificaciones de radio móvil válidas, en el que la primera lista está asociada al primer elemento de mando y la segunda lista está asociada al segundo elemento de mando, y el ordenador servidor presenta un cronómetro (7) y una interfaz de teléfono móvil (13), en el que el procedimiento presenta las siguientes etapas: - transmisión de la página Web (2) desde el ordenador servidor (1) hacia un ordenador de cliente (14; 17), - representación de la página Web (2) por medio de un programa de navegador del ordenador de cliente, - selección de uno de los elementos de mando de la página Web (2) a través de una interfaz gráfica del ordenador del cliente, - inicio de un programa de servidor (5) para la generación de una representación para el usuario con una solicitud para la realización de una acción para el control de acceso (6), - puesta en marcha del cronómetro (7), - supervisión para determinar si dentro de una ventana de tiempo predeterminada después de la puesta en marcha del cronómetro se introduce una identificación de radio móvil a través de la interfaz de teléfono móvil y, cuando éste es el caso, verificación de la validez de la identificación de radio móvil, verificando si la identificación de radio móvil recibida está en la lista del sistema de base de datos que está asociada al elemento de mando seleccionado y, dado el caso, liberación del acceso.
Description
Procedimiento, ordenador servidor y sistema para
el control de acceso a los datos.
La invención se refiere a un sistema de ordenador
y a un procedimiento para el control de acceso a los datos.
Se conocen a partir de estado de la técnica
diferentes procedimientos para el control de acceso a los datos,
especialmente también con respecto al acceso a datos a través de
redes de ordenador, especialmente Internet.
El método habitual es que un usuario es requerido
para que introduzca su identificador de usuario, su llamado ID de
usuario, y una palabra de paso para la verificación de su
autorización de acceso a una página Web. Cuando el ID del usuario y
la palabra de paso son reconocidos como válidos por el servidor, el
usuario obtiene acceso a la página Web deseada o bien a los datos
correspondientes.
Un procedimiento esencialmente más seguro es la
utilización de una llamada Infraestructura de Clave Pública (PKI)
con claves asimétricas, es decir, con una clave pública y una clave
privada para cada usuario. Típicamente, la clave privada del usuario
está memorizada en una llamada Tarjeta Inteligente. La clave privada
se leída por la Tarjeta Inteligente por medio de un lector de
tarjetas y es transmitida al cliente del usuario.
Los procedimientos conocidos a partir del estado
de la técnica para el control de acceso a los datos o bien son
desfavorables, en la medida en que la seguridad del control de
acceso a los datos no cumple altos requerimientos o en la medida en
que son necesarias instalaciones adicionales, como por ejemplo,
tarjetas de chip adicionales y/o lectores de tarjetas
adicionales.
Se conoce, además, a partir del estado de la
técnica un teléfono móvil, especialmente un teléfono móvil que
trabaja de acuerdo con la Norma GSM, por medio de cuyo número de
teléfono se identifica el número de la Red Digital Internacional de
Servicios Integrados de Estaciones Móviles (MSISDN). El MSISDN es
memorizado en una tarjeta de chip, el llamado Módulo de
Identificación de Abonados (SIM) y es leído por un lector de
tarjetas de chip integrado en el teléfono móvil. En el SIM pueden
estar memorizados también todavía otros datos específicos del
usuario.
El MSISDN es transmitido al mismo tiempo con cada
llamada desde el teléfono móvil durante el establecimiento de la
comunicación. De la misma manera se transmite al mismo tiempo el
MSISDN también durante la emisión de mensajes electrónicos, los
llamados mensajes cortos Servicio de Mensajes Cortos (SMS), desde el
teléfono móvil. Lo mismo se aplica también para mensajes de Datos de
Servicios Suplementarios No Estructurados (USSD).
Se conocen procedimientos y dispositivos
correspondientes basados en ello, por ejemplo, a partir de los
documentos US-A-5.915.225;
US-A-6.014.561 y
US-A-6.070.076.
La solicitud de patente EP-A- 1
102 157 describe un procedimiento para el control de acceso a los
datos, en el que un usuario establece una comunicación con un
servidor e introduce su identificación de usuario. A continuación el
usuario envía un mensaje SMS desde su teléfono móvil, de manera que
se transmite el MSISDN del teléfono móvil hacia un servidor de
identificación. El usuario obtiene acceso al servidor, cuando el
mensaje SMS es recibido dentro de una ventana de tiempo
predeterminada y el MSISDN recibido corresponde a la identificación
del usuario.
La invención se basa en el cometido de crear un
procedimiento mejorado y un sistema mejorado para el control de
acceso a los datos.
El cometido en el que se basa la invención se
soluciona, respectivamente, con las características de las
reivindicaciones independientes de la patente.
Las formas de realización preferidas de la
invención se indican en las reivindicaciones dependientes.
La invención permite realizar un control de
acceso a los datos por medio de un teléfono móvil. Para la
verificación de la autorización de acceso a determinados datos se
utiliza en este caso una identificación del teléfono móvil, con
preferencia el MSISDN del teléfono móvil.
De acuerdo con una forma de realización preferida
de la invención, se transmite el MSISDN del teléfono móvil del
usuario después de una solicitud correspondiente a un ordenador
servidor, llamando el usuario a un número de teléfono del ordenador
servidor con su teléfono móvil. Con esta llamada, se transmite el
MSISDN al mismo tiempo al ordenador servidor y es verificado
allí.
De una manera alternativa, el usuario puede
enviar también un mensaje electrónico, con preferencia un SMS, desde
su teléfono móvil hasta el ordenador servidor, siendo transmitido
también con este mensaje electrónico conjuntamente el MSISDN. El
mensaje electrónico puede contener otros datos para la autenticación
del usuario, tal como, por ejemplo, la identificación del usuario o
un llamado Número de Identificación Personal (PIN).
Además, el usuario puede seleccionar también un
número USSD. Durante el establecimiento de la comunicación
telefónica correspondiente se transmite al mismo tiempo de la misma
manera el MSISDN de forma automática. El número USSD puede contener
como parámetros adicionales otros datos para la autentificación del
usuario, por ejemplo el PIN.
Además del MSISDN, se puede utilizar también otra
identificación del teléfono móvil. Una identificación alternativa de
este tipo puede estar memorizada, por ejemplo, en la tarjeta SIM y
puede ser llamada desde allí para la transmisión al servidor.
De acuerdo con otra forma de realización
preferida de la invención, en el lado del servidor puede estar
presente un sistema de bases de datos, en el que están memorizados
números MSISDN válidos para el acceso a determinados datos. En este
caso, a un elemento de mando determinado en la página Web puede
estar asociada, para el acceso a determinados datos, una lista de
MSISDN válidos, que están autorizados para el acceso a los datos
correspondientes. Si un usuario selecciona en la página Web el
elemento de mando respectivo, por ejemplo "pinchando" con su
ratón de ordenador, entonces se verifica en el lado del servidor si
dentro de una ventana de tiempo determinada entra un MSISDN de la
lista de MSISDN correspondiente que está asociada al elemento de
mando.
De acuerdo con otra forma de realización
preferida de la invención, a cada MSISDN válido está asociado un
perfil de usuario. El perfil de usuario puede contener otros datos
para la verificación de la autenticidad de un MSISDN, por ejemplo
por medio de un PIN así como también el nombre, la dirección y/o la
dirección de E-Mail del usuario respectivo.
De acuerdo con otra forma de realización
preferida de la invención, el cliente del usuario está configurado
como un teléfono móvil, a través del cual se puede acceder
directamente a la página Web del servidor. En este caso se trata,
por lo tanto, de un teléfono móvil con capacidad para Internet, que
trabaja, por ejemplo, de acuerdo con la Norma UMTS. En este caso de
aplicación, el MSISDN u otra identificación del teléfono móvil son
leídos directamente desde la tarjeta de chip que se encuentra en el
teléfono móvil y son transmitidos a través de la comunicación de
Internet hacia el servidor. En este caso, no se requiere el
establecimiento de una comunicación adicional a través de la red de
teléfono móvil.
Por lo demás, a continuación se explica en
detalle un ejemplo de realización preferido de la invención con
referencia a los dibujos. En este caso:
La figura 1 muestra un diagrama de bloques de una
forma de realización preferida de un sistema de acuerdo con la
invención.
El sistema de la figura 1 contiene un ordenador
servidor 1 con una página Web 2. En la página Web 2 se puede tratar
de una página de una plataforma de Internet, por ejemplo de un
sistema de información de Internet o de un sistema de consulta de
bases de datos. La página Web 2 contiene un elemento de mando 3 y un
elemento de mando 4.
En el elemento de mando 3 se trata, por ejemplo,
de un llamado "botón", es decir, un "botón" virtual, que
puede ser activado a través de una interfaz de usuario gráfica, por
ejemplo, "pinchando" con un ratón de ordenador. En el elemento
de mando 4 se trata de un llamado hiperenlace, en el que está
depositado un llamado Localizador Uniforme de Recursos (URL) de otra
página Web.
Por ejemplo, un usuario pinchando en el elemento
de mando 3 puede descargar datos desde el servidor 1 y el usuario
puede acceder pinchando en el hiperenlace 4 a otra página Web con el
URL especificado en el hiperenlace 4.
El ordenador servidor 1 contiene un programa 5.
El programa 5 es iniciado de forma automática cuando se activan el
elemento de mando 3 o el elemento de mando 4. El programa 5 contiene
un módulo de programa 6 con el que el usuario es requerido a la
realización de una actuación, para verificar su autorización para el
acceso a los datos deseados. Después de que el usuario ha activado,
por ejemplo, el elemento de mando 3, el usuario recibe una petición,
que se genera a través del módulo del programa 6, para llevar a cabo
las siguientes actuaciones:
- -
- llamada de un número de teléfono del ordenador servidor 1 con su teléfono móvil, para que el MSISDN del teléfono móvil sea transmitido al ordenador servidor 1,
- -
- emisión de un mensaje electrónico, por ejemplo de un SMS, desde el teléfono móvil, para que de la misma manera el MSISDN el teléfono móvil sea transmitido hacia el ordenador servidor 1 o
- -
- selección de un número USSD, para que de la misma manera el MSISDN del teléfono móvil sea transmitido al ordenador servidor 1.
Adicionalmente, puede ser necesario que el
usuario introduzca otros datos para su autentificación. Para la
autentificación puede servir, por ejemplo, un PIN asignado al
usuario.
El PIN debe ser introducido por el usuario
- -
- después del establecimiento de la comunicación telefónica a través del teclado de su teléfono móvil, o
- -
- debe ser enviado como información útil del mensaje electrónico, es decir, del SMS, o
- -
- debe ser introducido como parámetro adicional el número USSD a través del teléfono móvil.
Además, también es posible que sea utilizado un
lector adicional de tarjetas de chip para la autentificación del
usuario.
El programa 5 contiene, además, un módulo de
programa 7 para la puesta en marcha de un reloj de tiempo, de un
llamado cronómetro, después de que el usuario ha activado el
elemento de mando 3 o el elemento de mando 4. Por ejemplo, el
cronómetro se puede poner en marcha a través del módulo del programa
7, después de que ha sido indicada al usuario la petición del módulo
del programa 6.
Además, el programa 5 tiene un módulo de programa
8 para la supervisión de s dentro de una ventana de tiempo
predeterminada después de la puesta en marcha del cronómetro a
través del módulo del programa 7 entra un número MSISDN. Un MSISDN
introducido dentro de la ventana de tiempo es verificado por el
módulo del programa 8 por medio de un sistema de bases de datos
9.
En el sistema de bases de datos 9 se encuentra
una lista 10 y una lista 11 de MSISDN válidos. La lista 10 está
asociada al elemento de mando 3; la lista 11 está asociada al
elemento de mando 4. Además, pertenece al sistema de base de datos 9
una tabla 12, en la que están inscritos los MSISDN de todos los
usuarios registrados. A cada MSISDN pertenece un perfil de usuario,
que contiene, por ejemplo, datos adicionales para la autentificación
del usuario, por ejemplo un PIN y otros datos relacionados con el
usuario, por ejemplo su nombre, dirección, número de teléfono,
número de fax y dirección de E-Mail y/o datos de
pago, por ejemplo el número de la tarjeta de
crédito.
crédito.
El ordenador servidor 1 tiene, además, una
interfaz de teléfono móvil 13 para la recepción de llamadas desde un
teléfono móvil y/o de mensajes electrónicos, especialmente mensajes
SMS y para la recepción de llamadas con un número USSD y, dado el
caso, con otros parámetros.
El ordenador 14, por ejemplo un ordenador
personal habitual, se puede conectar como cliente a través de una
red 15 con el ordenador servidor 1. En la red 15 se puede tratar de
una red de ordenadores, por ejemplo una Intranet, Extranet o de
Internet. A través del ordenador 14 y de la red 15 un usuario puede
acceder al ordenador servidor 1 o bien a su página Web 2. La página
Web 2 se representada, por ejemplo, en el ordenador 14 por medio de
un navegador, por ejemplo por medio de Microsoft Explorer o de
Netscape Navigator.
El ordenador 14 puede presentar un lector de
tarjetas de chip 16, por ejemplo como seguridad adicional para la
autentificación del usuario.
El usuario del ordenador 14 dispone, además, de
un teléfono móvil 17, que trabaja, por ejemplo, de acuerdo con la
Norma GSM. El teléfono móvil 17 tiene un lector de tarjetas de chip
integrado para una tarjeta de chip 18. La tarjeta de chip 18 está
configurada, por ejemplo, como un llamado Módulo de Identificación
del Abonado (SIM) y contiene el MSISDN como identificación del
teléfono móvil del usuario.
El usuario puede llamar con el teléfono móvil 17
a través de una red de teléfono móvil 19 a un ordenador servidor 1.
En una llamada de este tipo se transmite el MSISDN memorizado en la
tarjeta de chip 18 como identificación del teléfono móvil a través
de la red de teléfono móvil 19 hacia la interfaz de teléfono móvil
13 del ordenador servidor 1. De la misma manera, se transmite el
MSISDN también hacia la interfaz del teléfono móvil 13, cuando el
usuario envía un SMS desde el teléfono móvil 17 o selecciona un
número USSD.
Para acceder a determinados datos del ordenador
servidor 1, el usuario introduce en primer lugar la dirección de
Internet, es decir, la llamada URL, de la página Web 2 de su
programa navegador del ordenador 14. A través de la red 15 se
establece entonces una comunicación con el ordenador servidor 1 y la
página web 2 es representada al usuario sobre el programa navegador
del ordenador 14. El usuario puede solicitar entonces los datos
deseados a través de la selección de un elemento de mando de la
página Web 2, por ejemplo porque el usuario "pincha" el
elemento de mando 3 o el elemento de mando 4.
Pinchando en el elemento de mando 3 o en el
elemento de mando 4 se inicia el programa 5 y, en concreto,
especialmente su módulo de programa 6. A través del módulo de
programa 6 se genera para el usuario una representación y se
solicita al usuario que lleve a cabo una acción para el control del
acceso. Por ejemplo, el usuario puede seleccionar entre diferentes
acciones posibles:
- -
- llamada de un número de teléfono del ordenador servidor 1 desde su teléfono móvil 17,
- -
- emisión de un SMS al número de teléfono del ordenador servidor 1 desde el teléfono móvil 17 o
- -
- llamada de un número USSD del ordenador servidor 1 desde el teléfono móvil 17.
Adicionalmente, puede ser necesario que el
usuario introduzca otros parámetros necesarios para la
autentificación.
Después de la representación de la solicitud
generada a través del módulo del programa se pone en marcha un
cronómetro a través del módulo del programa 7 y el módulo del
programa 8 supervisa si dentro de una ventana de tiempo
predeterminada entra una identificación del teléfono móvil.
El usuario del ordenador 14 llama entonces, por
ejemplo, después de que ha recibido la solicitud generada a través
del módulo del programa 6, con su teléfono móvil 17 al número de
teléfono del ordenador servidor 1. En esta llamada, se transmite el
MSISDN del teléfono móvil al mismo tiempo a través de la red de
teléfono móvil 19 hacia la interfaz del teléfono móvil 13 del
ordenador servidor 1.
Cuando el MSISDN recibido desde la interfaz de
teléfono móvil es obtenido dentro de una ventana de tiempo definida
a través del inicio del cronómetro, el módulo del programa 8
verifica entonces la validez del MSISDN. A tal fin, el módulo del
programa 8 lleva a cabo un acceso al sistema de base de datos 9.
Si el usuario ha pinchado, por ejemplo, el
elemento de mando 3, entonces el módulo del programa 8 accede a la
lista 10 asociada al elemento de mando 3, para verificar si el
MSISDN recibido dentro de la ventana de tiempo es parte de la lista
10. Si éste es el caso, entonces se concede al usuario el acceso a
los datos correspondientes. Por ejemplo, se inicia de forma
automática la descarga de un fichero especificado a través del
elemento de mando 3.
Cuando el usuario ha seleccionado el elemento de
mando 4, se lleva a cabo de una manera correspondiente a través del
módulo del programa 8 una verificación de la lista 11 asociada al
elemento de mando 4, para determinar si el MSISDN recibido dentro de
la ventana de tiempo está contenido en la lista 11. Cuando éste es
el caso, el usuario recibe acceso directo a la página Web
especificada a través del hiperenlace.
Cuando el usuario envía un SMS en lugar de una
llamada telefónica o selecciona un número USSD, entonces se recibe
desde la interfaz del teléfono móvil 13 de la misma manera el número
MSISDN del teléfono móvil 17, que es procesado de la misma manera
por el módulo del programa 8.
Cuando dentro de la ventana de tiempo
predeterminada no se recibe ningún MSISDN válido para el acceso a
los datos deseados por parte del ordenador servidor 1, entonces o
bien se puede rechazar definitivamente el acceso o el usuario recibe
uno o varios intentos más para llevar a cabo en cada caso dentro de
la ventana de tiempo predeterminada la acción necesaria, por
ejemplo, por lo tanto la llamada con el teléfono móvil 17.
Además, puede ser necesario que el usuario
introduzca datos adicionales para una autentificación. Esto se puede
realizar de tal forma que el usuario, después del establecimiento de
la comunicación telefónica entre su teléfono móvil 17 y la interfaz
13 del teléfono móvil del ordenador servidor 1, introduce su PIN a
través del teclado del teléfono móvil 17 o el PIN es transmitido
como información útil con un SMS. Además, el PIN se puede transmitir
también como parámetro de un número USSD, por ejemplo en la forma
103*2108#, en el que en *103 se trata del número USSD propiamente
dicho y en *2108 se trata
del PIN.
del PIN.
Como medida de seguridad adicional es posible
también utilizar el lector de tarjetas de chip 16 del ordenador 14,
para utilizar, por ejemplo, una tarjeta de chip con la clave privada
del usuario para su identificación.
Para la autentificación del usuario se accede
entonces desde el programa 5 a la tabla 12 del sistema de base de
datos 9, para compensar los datos introducidos por el usuario para
su autentificación con el perfil correspondiente del usuario. De
esta manera, se proporciona una seguridad elevada para el control de
acceso a los datos.
De una manera alternativa, también es posible que
tanto el acceso a los datos como también el control del acceso a los
datos sean realizados solamente por medio del teléfono móvil 17 sin
el ordenador 14. En este caso, se trata de un teléfono móvil 17 apto
para Internet, que trabaja, por ejemplo, de acuerdo con la Norma
UMTS.
Desde este teléfono móvil 17 se accede entonces,
a través de la red de teléfono móvil 19 UMTS configurada de una
manera correspondiente, a la página Web 2 y se activa uno de los
elementos de mando 3 ó 4. Para el control de acceso se puede acceder
entonces de forma automática a una identificación del teléfono móvil
memorizada en el teléfono móvil 17, por ejemplo en su tarjeta de
chip 18, por ejemplo al número de teléfono del teléfono móvil
17.
Esta identificación es transmitida entonces a
través de la comunicación UMTS hacia el ordenador servidor 1 y allí
es evaluada de una manera correspondiente. En este caso, no es
necesario que el usuario sea requerido a la realización de una
acción, sino que la acción correspondiente se puede desarrollar de
una manera totalmente automática. De una forma correspondiente, en
este caso el cronómetro no se pone en marcha con la representación
de una solicitud, sino ya con la activación de uno de los elementos
de mando 3 ó 4. En este caso, se puede prever un valor muy corto del
cronómetro, es decir, una ventana de tiempo muy pequeña debido al
ciclo automático. En este ejemplo de realización, el usuario no
necesita ningún ordenador adicional, sino que el teléfono móvil 17
lleva a cabo la función del ordenador.
De acuerdo con una forma de realización de un
procedimiento correspondiente se lleva a cabo en la etapa 30 un
establecimiento de una comunicación con una página Web a través de
Internet desde un aparato de cliente, por ejemplo un ordenador o un
teléfono móvil apto para Internet. En la etapa 32 se solicitan datos
sobre la página Web, en los que se trata de informaciones
confidenciales, que solamente deben ser accesibles para un círculo
limitado de personas.
En la etapa 34, el usuario recibe sobre un
aparato del cliente una solicitud para la entrada de una
autorización de acceso. A tal fin, el usuario llama en la etapa 50
desde su teléfono móvil a un número de teléfono determinado, de
manera que el MSISDN de su teléfono móvil es transmitido hacia el
número seleccionado.
De una manera alternativa, el usuario puede
enviar también un SMS en la etapa 36 o también seleccionar un número
USSD. En la etapa 38 se recibe el MSISDN en el lado del servidor. En
el caso de utilización de un teléfono móvil apto para Internet, se
puede sustituir las etapas 34 y 50 o bien 36 a través de un ciclo
automático, siendo transmitido el número MSISDN u otra
identificación del teléfono móvil apto para Internet de una manera
automática después de la solicitud de la información confidencial en
la etapa 32 hacia el servidor, para ser verificado allí.
En la etapa 40, se lleva a cabo la verificación
del MSISDN, siendo verificado el MSISDN para determinar la
autorización de acceso a los datos requeridos. Cuando existe una
autorización de acceso de este tipo, se transmiten los datos
respectivos en la etapa 42 hacia el aparato del cliente del usuario
y se memorizan allí, se representan y se procesan
adicio-
nalmente.
nalmente.
Cuando no se trata de un MSISDN válido o cuando
no se ha recibido ningún MSISDN dentro de una ventana de tiempo
predeterminada, se rechaza en la etapa 44 el acceso a los datos
solicitados. Partiendo desde la etapa 44, el usuario puede obtener
entonces una o una pluralidad de posibilidades adicionales para la
llamada del número del servidor dentro de la ventana de tiempo
predeterminada.
Después de una denegación definitiva del acceso
en la etapa 44, se puede establecer en la etapa 46 la identidad del
usuario cuando se permite asociar el MSISDN no autorizado para el
acceso deseado a un perfil de usuario. Éste es especialmente el caso
cuando en el MSISDN respectivo se trata de un usuario registrado,
que ha intentado acceder a datos, para los que no está autorizado.
En la etapa 48 se puede enviar entonces un mensaje, por ejemplo como
mensaje SMS, al usuario, para instruirle sobre sus derechos de
acceso limitados. Con ello va unido al mismo tiempo un efecto
educativo.
- 1
- Ordenador servidor
- 2
- Página Web
- 3
- Elemento de mando
- 4
- Elemento de mando
- 5
- Programa
- 6
- Módulo del programa
- 7
- Módulo del programa
- 8
- Módulo del programa
- 9
- Sistema de base de datos
- 10
- Lista
- 11
- Lista
- 12
- Tabla
- 13
- Interfaz de teléfono móvil
- 14
- Ordenador
- 15
- Red
- 16
- Lector de tarjeta de chip
- 17
- Teléfono móvil
- 18
- Tarjeta de chip
- 19
- Red de teléfono móvil
Claims (17)
1. Procedimiento para el control de acceso a
datos para el acceso a datos a través de un ordenador servidor (1),
en el que el ordenador servidor (1) presenta una página Web (2) con
al menos un primer elemento de mando (3) y con un segundo elemento
de mando (4), un sistema de base de datos (9) con una primera lista
(10) de identificaciones de radio móvil válidas y con una segunda
lista (11) de identificaciones de radio móvil válidas, en el que la
primera lista está asociada al primer elemento de mando y la segunda
lista está asociada al segundo elemento de mando, y el ordenador
servidor presenta un cronómetro (7) y una interfaz de teléfono móvil
(13), en el que el procedimiento presenta las siguientes
etapas:
- -
- transmisión de la página Web (2) desde el ordenador servidor (1) hacia un ordenador de cliente (14; 17),
- -
- representación de la página Web (2) por medio de un programa de navegador del ordenador de cliente,
- -
- selección de uno de los elementos de mando de la página Web (2) a través de una interfaz gráfica del ordenador del cliente,
- -
- inicio de un programa de servidor (5) para la generación de una representación para el usuario con una solicitud para la realización de una acción para el control de acceso (6),
- -
- puesta en marcha del cronómetro (7),
- -
- supervisión para determinar si dentro de una ventana de tiempo predeterminada después de la puesta en marcha del cronómetro se introduce una identificación de radio móvil a través de la interfaz de teléfono móvil y, cuando éste es el caso, verificación de la validez de la identificación de radio móvil, verificando si la identificación de radio móvil recibida está en la lista del sistema de base de datos que está asociada al elemento de mando seleccionado y, dado el caso, liberación del acceso.
2. Procedimiento de acuerdo con la reivindicación
1, en el que en la acción para el control de acceso se trata de una
llamada de un número de teléfono que está asociado al ordenador
servidor, de manera que en la llamada se transmite desde un teléfono
móvil (17) la identificación del teléfono móvil hacia la interfaz
del teléfono móvil (13) del ordenador servidor (1).
3. Procedimiento de acuerdo con la reivindicación
1 ó 2, en el que en la acción para el control del acceso se trata de
la emisión de un mensaje electrónico, con preferencia de un SMS, o
de la selección de un USSD desde un teléfono móvil (17) del usuario
a una dirección asociada al ordenador servidor, con preferencia un
número de teléfono asociado al servidor, de manera que la
identificación del teléfono móvil se transmite junto con el mensaje
electrónico hacia el ordenador servidor.
4. Procedimiento de acuerdo con la reivindicación
1, 2 ó 3, en el que en la identificación del teléfono móvil se trata
del número de teléfono de un teléfono móvil (17) del usuario.
5. Procedimiento de acuerdo con una de las
reivindicaciones 1 a 4 anteriores, en el que en la identificación
del teléfono móvil se trata de un número de teléfono móvil
memorizado en una tarjeta de chip, con preferencia un SIM.
6. Procedimiento de acuerdo con una de las
reivindicaciones 1 a 5, en el que la base de datos asocia
determinados datos a identificaciones de teléfono móvil válidas.
7. Procedimiento de acuerdo con la reivindicación
6, en el que la base de datos para cada usuario contiene un perfil
de usuario.
8. Procedimiento de acuerdo con una de las
reivindicaciones anteriores, en el que en la interfaz de teléfono
móvil (13) se trata de una interfaz USSD y la transmisión de la
identificación del teléfono móvil se lleva a cabo a través de la
interfaz USSD.
9. Procedimiento de acuerdo con una de las
reivindicaciones anteriores, en el que adicionalmente a la entrada
de la identificación del teléfono móvil se lleva a cabo una entrada
de datos adicionales para la identificación del usuario, y los datos
adicionales para la autentificación del usuario se introducen
después del establecimiento de una comunicación telefónica por medio
de la entrada a través del usuario del teléfono móvil del usuario o
a través de la transmisión como parte del mensaje electrónico o como
parámetro de un número USSD.
10. Procedimiento de acuerdo con una de las
reivindicaciones anteriores, en el que se utiliza, por parte del
usuario, un lector de tarjetas de chip para la autentificación del
usuario frente al ordenador servidor.
11. Ordenador servidor con
- -
- una página Web (2), que presenta al menos un primer elemento de mando (3) y un segundo elemento de mando (4),
- -
- un sistema de base de datos (9) con una primera lista (10) de identificaciones de radio móvil válidas y con una segunda lista (11) de identificaciones de radio móvil válidas, en el que la primera lista está asociada al primer elemento de mando y la segunda lista está asociada al segundo elemento de mando,
- -
- medios (2, 15) para el establecimiento de una comunicación con un ordenador del cliente (14; 17) de un usuario para la entrada de una solicitud de datos a través del usuario por medio de la selección de uno de los elementos de mando de la página Web,
- -
- medios (7) para la supervisión de si se recibe una identificación de teléfono móvil válida dentro de una ventana de tiempo después de la entrada de la solicitud de datos, en el que se verifica la identificación del teléfono para una liberación del acceso a los datos, para determinar si está presente en la lista asociada al elemento de mando seleccionado.
12. Ordenador servidor de acuerdo con la
reivindicación 11, con una interfaz de teléfono móvil (13) para la
recepción de una llamada desde un teléfono móvil (17) del usuario
y/o para la recepción de un mensaje electrónico desde el teléfono
móvil del usuario, con preferencia de un SMS, y/o para la recepción
de un mensaje USSD desde el teléfono móvil del usuario.
13. Ordenador servidor de acuerdo con la
reivindicación 11 ó 12, con medios adicionales (16) para la
autentificación del usuario.
14. Sistema para el control de acceso a datos con
un ordenador servidor de acuerdo con una de las reivindicaciones 11
a 13 anteriores y con un ordenador del cliente que se puede conectar
a través de una red con el ordenador servidor.
15. Sistema de acuerdo con la reivindicación 14,
en el que el ordenador del cliente está configurado como ordenador
personal y el ordenador del cliente se puede conectar a través de
una red de ordenador (15), con preferencia Internet, con el
ordenador servidor, y con un teléfono móvil (17) para la entrada de
la identificación del teléfono móvil.
16. Sistema de acuerdo con la reivindicación 14 ó
15, en el que el ordenador del cliente está configurado como
teléfono móvil apto para Internet.
17. Sistema de acuerdo con las reivindicaciones
14, 15 ó 16, con un lector de tarjetas de chip (16) para el
ordenador del cliente para la autentificación del usuario frente al
ordenador servidor.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10138381A DE10138381B4 (de) | 2001-08-13 | 2001-08-13 | Computersystem und Verfahren zur Datenzugriffskontrolle |
DE10138381 | 2001-08-13 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2252518T3 true ES2252518T3 (es) | 2006-05-16 |
Family
ID=7694435
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02776656T Expired - Lifetime ES2252518T3 (es) | 2001-08-13 | 2002-08-12 | Procedimiento, ordenador servidor y sistema para el control de acceso a los datos. |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1419638B1 (es) |
AT (1) | ATE308192T1 (es) |
DE (2) | DE10138381B4 (es) |
ES (1) | ES2252518T3 (es) |
IN (1) | IN2003CH00340A (es) |
WO (1) | WO2003017612A2 (es) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1533973B1 (de) * | 2003-10-27 | 2019-03-06 | Vodafone Holding GmbH | Einrichtung und Verfahren zur Feststellung einer Teilnehmerberechtigung im Internet |
DE102005011039B4 (de) * | 2005-03-08 | 2011-01-05 | 1&1 Internet Ag | Verfahren und System zum Einloggen in einen Dienst |
DE102009057800A1 (de) * | 2009-12-10 | 2011-06-16 | Eberhard-Karls-Universität Tübingen | Verfahren zum Bereitstellen eines sicheren und komfortablen Zugangs zu Online-Accounts via Fern-Weiterleitung |
DE102010041286A1 (de) * | 2010-09-23 | 2012-03-29 | Bundesdruckerei Gmbh | Verfahren und Server zum Bereitstellen von Nutzerinformationen |
GB201106976D0 (en) | 2011-10-03 | 2011-10-03 | Corcost Ltd | Corcost-SG002 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19722424C5 (de) * | 1997-05-28 | 2006-09-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren zum Sichern eines Zugreifens auf ein fernab gelegenes System |
JP2002530772A (ja) * | 1998-11-24 | 2002-09-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動電話による自動pcログオン |
SE516066C2 (sv) * | 1999-01-20 | 2001-11-12 | Netcom Ab | Metod, system och nätverksnod för tillhandahållande av tjänster på Internet |
WO2001017310A1 (en) * | 1999-08-31 | 2001-03-08 | Telefonaktiebolaget L M Ericsson (Publ) | Gsm security for packet data networks |
DE69937954T2 (de) * | 1999-11-22 | 2009-01-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Methode und Verfahren zum sicheren Anmelden in einem Telekommunikationssystem |
FI115355B (fi) * | 2000-06-22 | 2005-04-15 | Icl Invia Oyj | Järjestely suojatun järjestelmän käyttäjän tunnistamiseen ja todentamiseen |
-
2001
- 2001-08-13 DE DE10138381A patent/DE10138381B4/de not_active Expired - Lifetime
-
2002
- 2002-08-12 DE DE50204705T patent/DE50204705D1/de not_active Expired - Fee Related
- 2002-08-12 WO PCT/DE2002/002971 patent/WO2003017612A2/de not_active Application Discontinuation
- 2002-08-12 ES ES02776656T patent/ES2252518T3/es not_active Expired - Lifetime
- 2002-08-12 EP EP02776656A patent/EP1419638B1/de not_active Expired - Lifetime
- 2002-08-12 AT AT02776656T patent/ATE308192T1/de active
-
2003
- 2003-04-22 IN IN340CH2003 patent/IN2003CH00340A/en unknown
Also Published As
Publication number | Publication date |
---|---|
IN2003CH00340A (es) | 2005-04-08 |
DE10138381A1 (de) | 2003-03-06 |
DE50204705D1 (de) | 2005-12-01 |
EP1419638B1 (de) | 2005-10-26 |
WO2003017612A3 (de) | 2003-07-10 |
WO2003017612A2 (de) | 2003-02-27 |
DE10138381B4 (de) | 2005-04-07 |
EP1419638A2 (de) | 2004-05-19 |
ATE308192T1 (de) | 2005-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2394389B1 (en) | Transforming static password systems to become 2-factor authentication | |
US8438620B2 (en) | Portable device for clearing access | |
US7715823B2 (en) | Methods and apparatus for restricting access of a user using a cellular telephone | |
US8103246B2 (en) | Systems and methods for remote user authentication | |
US7133662B2 (en) | Methods and apparatus for restricting access of a user using a cellular telephone | |
EP1987627B1 (en) | A system, an arrangement and a method for end user authentication | |
US7142840B1 (en) | Method and system for multi-network authorization and authentication | |
CN101273574B (zh) | 服务接入认证数据管理系统 | |
US8213583B2 (en) | Secure access to restricted resource | |
EP1102157B1 (en) | Method and arrangement for secure login in a telecommunications system | |
US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
JP4799496B2 (ja) | 個人認証方法 | |
EP2152033A1 (en) | Method and device for generating a time-dependent password | |
EP1807966A1 (en) | Authentication method | |
WO2001080525A1 (en) | Network access security | |
US7502931B2 (en) | Method and device for authenticating a user on a remote server | |
WO2007037703A1 (en) | Human factors authentication | |
JP2005510951A (ja) | Pki機能の登録及び有効化の方法 | |
ES2252518T3 (es) | Procedimiento, ordenador servidor y sistema para el control de acceso a los datos. | |
KR100563544B1 (ko) | 일회용 비밀번호를 이용한 사용자 인증 방법 | |
JP2002245006A (ja) | 認証システム、認証方法、プログラム及びその記録媒体 | |
KR100637996B1 (ko) | 다이얼 인증 제공 시스템 | |
JP2008171087A (ja) | 認証システム、認証プログラム | |
WO2003065676A1 (en) | Method and authentication server for controlling access to a resource accessible through a communications network | |
JP2003233591A (ja) | ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム、そのプログラムを記録した記録媒体 |