ES2590678T3 - Método y sistema para verificar una solicitud de acceso - Google Patents
Método y sistema para verificar una solicitud de acceso Download PDFInfo
- Publication number
- ES2590678T3 ES2590678T3 ES13779326.1T ES13779326T ES2590678T3 ES 2590678 T3 ES2590678 T3 ES 2590678T3 ES 13779326 T ES13779326 T ES 13779326T ES 2590678 T3 ES2590678 T3 ES 2590678T3
- Authority
- ES
- Spain
- Prior art keywords
- module
- password
- data
- access
- time indicator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
- G06F21/725—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits operating on a secure reference time value
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- User Interface Of Digital Computer (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Un sistema para su uso en la verificación de una solicitud de acceso a datos, comprendiendo el sistema: un primer módulo (20) que tiene acceso a un segundo indicador de tiempo confiable; un segundo módulo (30) que tiene acceso a un indicador de tiempo no confiable; y un dispositivo informático (50) configurado para comunicarse con un primer indicador de tiempo confiable, en el que: el primer módulo (20) está dispuesto para generar una contraseña utilizando al menos un valor del segundo indicador de tiempo confiable; el segundo módulo (30) estando dispuesto para: recibir la contraseña asociada a la solicitud de acceso a los datos; validar la contraseña recibida utilizando por lo menos un valor del indicador de tiempo no confiable; y hacer que, en el caso de que la contraseña recibida sea validada por el segundo módulo, se transmita un mensaje al dispositivo informático (50), comprendiendo el mensaje datos indicativos del valor del indicador de tiempo no confiable utilizado para validar la contraseña recibida; y el dispositivo informático (50) está dispuesto para generar datos indicativos de una comparación entre los datos recibidos indicativos del valor del indicador de tiempo no confiable y un valor del primer indicador de tiempo confiable, en el que el dispositivo informático (50) está dispuesto para proporcionar acceso a los datos almacenados en, o generados por el dispositivo informático (50), sobre la base de los datos generados.
Description
5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y sistema para verificar una solicitud de acceso Campo tecnico
La presente invencion se refiere a un metodo y a un sistema para la verificacion de una solicitud de acceso, y es particularmente, pero no exclusivamente, adecuado para la verificacion de una solicitud de acceso a datos, servicios o activos.
Antecedentes
La demanda de acceso a datos confidenciales o especlficos (o bienes o servicios) del usuario es cada vez mayor. Por ejemplo, facilitando el acceso a una cuenta bancaria y permitiendo la transferencia de dinero de esa cuenta se debe restringir a los usuarios autorizados, como el titular de una cuenta. Habitualmente, los usuarios se autentican al solicitar el acceso a los datos por medio de credenciales que identifican a la persona que solicita el acceso a los datos. El acceso remoto de datos presenta problemas particulares debido a que la persona que solicita datos, bienes o servicios es tlpicamente en una ubicacion flsica diferente a la de la parte que responde a la solicitud. Como resultado, es muy diflcil para la parte que atiende la solicitud saber si la entidad que realiza la solicitud es a) quien dice ser, b) tiene derecho a utilizar el dispositivo desde donde se origina la solicitud y c) esta en posesion del dispositivo desde donde se origina la solicitud.
Por lo general, cuando una cuenta se establece entre una persona y una parte como un proveedor de datos, la persona va a establecer las credenciales antes mencionadas para ser utilizadas por el proveedor de datos de identification y autenticacion de la persona para futuras solicitudes. Las credenciales pueden incluir information que identifica de forma exclusiva a la persona (por ejemplo, informacion de identificacion personal (PII)) y un secreto (por ejemplo, una contrasena) para su uso en la verificacion de la identidad de la persona. Ahora tambien es comun que el proveedor de datos requerira a la persona registrarse como el propietario de un dispositivo que se utiliza para acceder a los datos. La asociacion registrada entre el dispositivo y el propietario del dispositivo puede ser utilizada por el proveedor de datos como un factor de validation adicional. Por ejemplo, en el caso de que un proveedor de datos reciba una solicitud de acceso a una cuenta a nombre de una persona en particular desde un dispositivo particular que no es el dispositivo registrado para la persona, el proveedor de datos puede determinar confiar en que la solicitud se hizo por la persona registrada para la cuenta.
Puede ser relativamente facil para una persona que desee acceder a los datos de un proveedor de datos en nombre de otra persona que tenga una cuenta con ese proveedor de datos obtener sus credenciales de usuario (es decir, PII, ID de usuario y contrasena) mediante la compra de los mercados en llnea criminales en la sombra y, posteriormente, acceder de manera fraudulenta los datos de la otra persona. Ademas, es posible acceder de forma remota y controlar dispositivos, y por lo tanto solicitar los datos en nombre del propietario registrado de dichos dispositivos. A menudo no es posible determinar si la petition fue hecha por un usuario que este en posesion flsica del dispositivo o si la solicitud se hizo de forma remota por un usuario utilizando otro dispositivo para controlar de forma remota el dispositivo desde el que se realiza la solicitud.
Las contrasenas de un solo uso (OTP) se utilizan comunmente para aliviar estos problemas: un servidor de autenticacion asigna de forma exclusiva una generation de claves OTP al propietario registrado de un dispositivo, la generation de claves OTP son para uso en la generacion y validacion de OTPs. Un servidor de autenticacion normalmente tiene cientos o miles de claves de generacion de OTP, cada una habiendo sido asignada de forma exclusiva, o registrada respecto a, una persona diferente. El servidor de autenticacion configura un testigo OTP en posesion del propietario registrado con su clave de generacion de OTP asignada. Estos testigos OTP pueden, por ejemplo, utilizar la tecla de generacion de OTP para generar una contrasena diferente cada vez que una nueva contrasena es solicitada por el usuario registrado o como otro ejemplo, puede utilizar la tecla de generacion de OTP para generar nuevas contrasenas a intervalos de tiempo regulares. El testigo OTP puede utilizar ademas la indication de tiempo actual para generar una OTP, para evitar que la OTP sea almacenada y reproducida en un momento posterior.
Con el fin de acceder a los datos con restriction de usuario a traves de un dispositivo, un usuario proporciona la OTP generada por el testigo OTP al proveedor de datos junto con las credenciales que identifican de forma unica al propietario del dispositivo. Tlpicamente, el proveedor de datos a continuation, identifican al propietario del dispositivo y transmite la OTP recibida al servidor de autenticacion. El servidor de autenticacion buscara la clave de generacion de OTP asociada con la persona identificada y utilizara la clave, y si se requiere el tiempo actual, para determinar si la OTP recibida corresponde a la OTP que se habrla generado por el testigo OTP en poder del propietario del dispositivo en el momento actual, o al menos dentro de un perlodo predeterminado del tiempo actual. El servidor de autenticacion a continuacion, indicara al proveedor de datos si la OTP recibida es valida. Si la OTP correcta se envla al proveedor de datos, entonces se puede determinar que el usuario del dispositivo esta en posesion del testigo OTP. Sin embargo, los servidores de autenticacion son vulnerables a la manipulation lo que facilita la distribucion no autorizada a otras entidades y permitiendo que cualquier persona con acceso (ilegltimo) a
5
10
15
20
25
30
35
40
45
50
55
60
65
una clave de generacion de OTP distribuida acceda a los datos en nombre de la persona asociada con esa clave.
El documento US 4998279 describe un sistema en el que una tarjeta genera un codigo que depende del tiempo que se valida mediante un modulo de control de acceso. Se describen los metodos por los cuales los relojes en la tarjeta y en el modulo de control de acceso se pueden mantener en sincronla. El documento US 2005/005114 describe un metodo de adquisicion de forma segura de un valor para el tiempo desde un servidor remoto.
Sumario
De acuerdo con un primer aspecto de la presente invencion, se proporciona un sistema para su uso en la verificacion de una solicitud de acceso a los datos, comprendiendo el sistema: un primer modulo que tiene acceso a un segundo indicador de tiempo confiable; un segundo modulo que tiene acceso a un indicador de tiempo no confiable; y un dispositivo informatico configurado para comunicarse con un primer indicador de tiempo confiable, en el que: el primer modulo esta dispuesto para generar una contrasena utilizando al menos un valor del segundo indicador de tiempo confiable; el segundo modulo esta dispuesto para: recibir la contrasena asociada a la solicitud de acceso a los datos; validar la contrasena recibida utilizando por lo menos un valor del indicador de tiempo no confiable; y hacer que, en el caso de que la contrasena recibida sea validada por el segundo modulo, un mensaje que se transmite al dispositivo informatico, el mensaje comprendiendo datos indicativos del valor del indicador de tiempo no confiable utilizado para validar la contrasena recibida; y el dispositivo informatico estando dispuesto para generar datos indicativos de una comparacion entre los datos recibidos indicativos del valor del indicador de tiempo no confiable y un valor del primer indicador de tiempo confiable, en el que el dispositivo informatico esta dispuesto para proporcionar acceso a los datos almacenados en o generados por el dispositivo informatico, en base a los datos generados.
En algunas situaciones, un segundo modulo puede no tener acceso a un indicador de tiempo confiable (sin comunicarse con un elemento externo). En consecuencia, las modificaciones en el tiempo no confiables pueden abrir un sistema a un ataque. Al verificar una contrasena utilizando el indicador de tiempo no confiable y, a continuacion, haciendo que un mensaje se transmita a un dispositivo informatico, en el que el tiempo no confiable se compara con un tiempo confiable, obviando la posibilidad de un ataque. Por otra parte, se reduce la cantidad de senalizacion para la verificacion, dado que un unico mensaje puede necesitar ser enviado desde el segundo modulo al dispositivo o sistema informatico.
Ventajosamente, el mensaje transmitido al dispositivo informatico puede comprender datos indicativos de la validacion de la contrasena recibida utilizando por lo menos el indicador de tiempo no confiable por el segundo modulo.
En una disposicion, el primer y segundo modulos comparten un secreto que ha sido asignado de forma unica a la misma, el primer modulo esta dispuesto para usar el secreto para generar la contrasena, y el segundo modulo esta dispuesto para usar el secreto para validar la contrasena recibida. El secreto compartido puede ser almacenado en un elemento de seguridad del primer modulo. Alternativa o adicionalmente, el secreto puede ser almacenado en un elemento de seguridad del segundo modulo. En otras realizaciones, los primer y segundo modulos no comparten un secreto para uso en la generacion y validacion de contrasenas.
En una disposicion, el primer modulo comprende hardware resistente a manipulation que comprende un reloj, el reloj estando dispuesto para proporcionar el segundo indicador de tiempo confiable.
En algunas disposiciones, el segundo modulo puede estar conectado comunicativamente a un dispositivo que tiene un reloj, el reloj estando dispuesto para proporcionar el indicador de tiempo no confiable.
Ventajosamente, en una disposicion, el dispositivo informatico puede estar dispuesto para enviar un mensaje que comprende los datos generados para un dispositivo informatico adicional, y el dispositivo informatico puede ademas estar dispuesto para proporcionar dicho acceso a los datos a la reception de los datos generados.
El primer modulo puede, en algunas disposiciones, estar dispuesto para recibir, a traves de una interfaz del primer modulo, un codigo de desaflo generado por el segundo modulo o el dispositivo informatico, y para generar la contrasena utilizando al menos el codigo de desaflo.
En algunas disposiciones, el primer modulo puede estar dispuesto para generar una pluralidad de contrasenas, al menos una contrasena de la pluralidad de contrasenas siendo distinta a la otra contrasena de la pluralidad de contrasenas, y para proporcionar al menos una de las contrasenas generadas a un usuario a traves de una interfaz del primer modulo.
Ventajosamente, el segundo modulo y el dispositivo informatico pueden compartir un secreto adicional para su uso en comunicaciones entre ellas.
5
10
15
20
25
30
35
40
45
50
55
60
65
En una disposition, el segundo modulo puede estar dispuesto para almacenar dicha contrasena recibida, y para comparar dicha contrasena recibida a las contrasenas recibidas almacenadas previamente mediante las cuales validar la contrasena recibida.
En algunas disposiciones, el primer y segundo modulos pueden estar comunicativamente desconectados. Esto tiene la ventaja de que la contrasena generada por el primer modulo no se puede acceder de forma remota a traves del segundo modulo. Por lo tanto, para que un usuario sea capaz de introducir correctamente una contrasena, que se ha generado por el primer modulo, en el segundo modulo, el usuario debe tener la posesion del primer modulo. En tales disposiciones, por lo tanto, se puede determinar si el usuario tiene la posesion del primer modulo. Esto puede ser util, por ejemplo, para determinar si el usuario del primer modulo es un usuario humano.
En algunas disposiciones, dichos datos recibidos desde el dispositivo informatico comprenden datos que indican si el indicador de tiempo no confiable esta dentro de un rango predeterminado del primer indicador de tiempo confiable.
Los datos solicitados pueden, en algunas disposiciones, se contenidos por el segundo modulo, y el segundo modulo se puede configurar para utilizar dichos datos recibidos desde el dispositivo informatico para determinar si se debe facilitar el acceso a dichos datos solicitados.
El segundo indicador de tiempo confiable puede ser un reloj del primer modulo, y el primer indicador de tiempo confiable puede ser un reloj que se sincroniza con el reloj del primer modulo.
Ventajosamente, el dispositivo informatico y el segundo modulo pueden estar previamente configurados con claves criptograficas para su uso en la firma de datos enviados entre los mismos, y el segundo modulo puede estar dispuesto para firmar dicho mensaje transmitido al dispositivo informatico y para verificar que dichos datos recibidos desde el dispositivo informatico estan firmados por el dispositivo informatico utilizando dichas claves criptograficas.
En algunas disposiciones, el segundo modulo puede estar dispuesto para almacenar dicha contrasena recibida, y para comparar dicha contrasena recibida a las contrasenas recibidas almacenadas previamente mediante las cuales validar la contrasena recibida.
De acuerdo con un segundo aspecto de la presente invention, se proporciona un metodo de verification de una solicitud de acceso a datos a traves de un dispositivo informatico que esta configurado para comunicarse con un primer indicador de tiempo confiable, comprendiendo el metodo: generar en un primer modulo de una contrasena con al menos un valor de un segundo indicador de tiempo confiable; recibir en un segundo modulo de una contrasena asociada con la solicitud de acceso a los datos, validar en el segundo modulo la contrasena recibida utilizando por lo menos un valor de un indicador de tiempo confiable; haciendo que, en el caso de que la contrasena recibida es validada por el segundo modulo, se transmita un mensaje al dispositivo informatico, el mensaje que comprende datos indicativos de un valor del indicador de tiempo no confiable utilizado para validar la contrasena recibida; y generar en el dispositivo informatico los datos indicativos de una comparacion entre los datos recibidos indicativos del valor del indicador de tiempo no confiable y un valor del primer indicador de tiempo confiable, y proporcionar el acceso al dispositivo informatico a los datos almacenados en, o generados por el dispositivo informatico, en base a los datos generados.
Otras caracterlsticas y ventajas de la invention resultaran evidentes a partir de la siguiente description de realizaciones preferidas de la invention, dada a modo de ejemplo solamente, que se hace con referencia a los dibujos adjuntos.
Breve description de los dibujos
La figura 1 muestra un diagrama de bloques de un sistema de acuerdo con una realization de la presente invention;
La figura 2 muestra esquematicamente un metodo de acuerdo con una realization de la presente invention; y La figura 3 muestra esquematicamente un metodo de acuerdo con una realization adicional de la presente invention.
Description detallada
Las realizaciones de la invention se refieren a la determination de si se debe habilitar el acceso a los datos, bienes o servicios solicitados. La figura 1 muestra un diagrama de bloques de un sistema 10 segun una realization de la presente invention. El sistema 10 comprende un primer modulo 20 y un segundo modulo 30. El primer modulo 20 esta dispuesto para generar contrasenas, y el segundo modulo 30 esta dispuesto para recibir las contrasenas de un usuario del sistema 10 y validar las contrasenas recibidas. Tal como se representa por la llnea de trazos 15, en la realization mostrada en la figura 1, el primer modulo 20 esta comunicativamente desconectado del segundo modulo 30. En otras palabras, el sistema 10 esta construido y configurado de tal manera que no hay medio de comunicacion (excepto a traves de un usuario humano) entre los dos modulos 20 y 30. En una realization particular, se impide la comunicacion entre los dos modulos 20 y 30 al estar los modulos 20 y 30 desconectados flsicamente unos de otros.
5
10
15
20
25
30
35
40
45
50
55
60
65
Se entendera, sin embargo, que los dos modulos 20 y 30 podrlan conectarse flsicamente (es decir, ser integrados), mientras que esten desconectados de forma comunicativa, por ejemplo, si no comparten ninguna interfaz de circuitos o sistemas comunes o comprenden cualquier otro medio de intercambio de information entre si.
En una realization alternativa, el primer y segundo modulos de 20,30 se pueden conectar de forma comunicativa.
El primer modulo 20 comprende una interfaz 21, que puede ser una interfaz de usuario. La interfaz 21 puede comprender al menos una entrada y/o salida. Una entrada de una interfaz de usuario de un dispositivo puede ser, por ejemplo, un boton, un teclado, un teclado numerico, un raton, una pantalla tactil, un microfono o cualquier otro componente que permita al usuario para proporcionar una entrada al dispositivo. Una salida de una interfaz de usuario de un dispositivo puede ser, por ejemplo, una pantalla, un altavoz, un codificador de Braille, o cualquier otro componente capaz de dar salida a la informacion del dispositivo a un usuario de la interfaz 21.
El primer modulo 20 puede comprender tambien un elemento de seguridad 22. Como se describira en mas detalle a continuation, en algunas realizaciones, el elemento de seguridad 22 puede almacenar un secreto que se asigna a los primer y segundo modulos. El elemento de seguridad 22 puede comprender tambien un reloj 23 que es capaz de proporcionar un indicador de tiempo confiable (denominado en lo sucesivo como el “segundo indicador de tiempo confiable”). El elemento de seguridad 22 puede ser a prueba de manipulation; es decir el elemento de seguridad 22 puede estar configurado de tal manera que el segundo indicador de tiempo confiable no puede ser alterado, y por lo tanto el segundo indicador de tiempo confiable es confiable. Igualmente, a prueba de manipulacion significa que el secreto almacenado no puede ser leldo, y por lo tanto se utiliza, sin la cooperation del primer modulo 20.
El segundo modulo 30 se muestra como parte de un dispositivo 35. El dispositivo 35 puede comprender una interfaz 31, que puede ser una interfaz de usuario, que puede comprender cualquiera o todas las caracterlsticas descritas anteriormente con referencia a la interfaz 21. Ademas, el dispositivo comprende un reloj capaz de proporcionar una indication de tiempo. El segundo modulo 30 es capaz de comunicarse con la interfaz 31 y el reloj 33 del dispositivo, y, como tal, ser capaz de comunicarse con un usuario, en particular para recibir una contrasena proporcionada por el usuario, y ser capaz de acceder a una indicacion de tiempo desde el reloj 33.
El segundo modulo 30 en si puede contener un elemento de seguridad 32. Al igual que el elemento de seguridad 22, el elemento de seguridad 32 puede, en algunas realizaciones, almacenar un secreto asignado a los primer y segundo modulos. En algunas realizaciones, el segundo modulo y/o el elemento de seguridad 32 es extralble del dispositivo 35. Cuando el reloj 33 del dispositivo 35 no es parte del elemento de seguridad 32, el indicador de tiempo proporcionado por el reloj 33 no es confiable, ya que puede ser alterado por un usuario, o por otras partes (por ejemplo, un adversario a distancia).
El segundo modulo esta conectado comunicativamente a al menos un dispositivo o sistema informatico adicional, por ejemplo, uno o ambos de los dispositivos informaticos 50 y 60. Estos dispositivos informaticos pueden ser servidores, conectados al dispositivo 35 a traves de una red. Alternativamente, los dispositivos informaticos pueden ser otras formas de ordenador, tales como un ordenador de escritorio, al que el dispositivo 35 esta conectado, por ejemplo, a traves de conexiones 51 y 61. Los dispositivos informaticos pueden ser sistemas distribuidos, es decir, sistemas informaticos en la nube o similares. Los dispositivos informaticos 50 y 60 pueden estar conectados a traves de una conexion 52. Como se describira en mas detalle a continuacion, el dispositivo informatico 50 comprende tambien un reloj 53, que es capaz de proporcionar un primer indicador de tiempo confiable. El segundo modulo 30 puede estar emparejado con el dispositivo informatico 50. Por ejemplo, el segundo modulo 30 puede haber sido emparejado con el dispositivo informatico 50 durante un proceso de configuration en el que se le asigna una clave criptografica tanto para el segundo modulo 30 y el dispositivo informatico 50 para su uso en comunicaciones seguras entre los mismos.
Como se indico anteriormente, en la presente realizacion, el primer y segundo modulos estan comunicativamente desconectados. Por lo tanto, en uso, la interfaz 21 del primer modulo 20 esta configurada para proporcionar una contrasena generada a un usuario, que se muestra como el bloque 40, y la interfaz 31 accesible por el segundo modulo 30 esta configurada para recibir una contrasena del usuario 40.
En algunas realizaciones, el primer modulo 20 y el segundo modulo 30 pueden ser dispositivos separados que se configuran colectivamente para determinar si es probable que una solicitud de acceso a los datos originada desde un usuario en posesion flsica del segundo modulo 30. A modo de ejemplo, los dos modulos 20 y 30 pueden fabricarse y venderse juntos, y estar en posesion de una persona en particular. El dispositivo 35 puede, en un ejemplo, ser un dispositivo de comunicaciones, tal como un telefono movil o un lector de tarjeta bancaria. Como tal, el segundo modulo puede ser una tarjeta SIM o una tarjeta bancaria capaz de ser insertada en el dispositivo 35. En realizaciones alternativas, el primer y segundo modulos 20 y 30 pueden ser componentes de un solo dispositivo.
El segundo modulo 30 puede operar bajo el control de un usuario que esta en posesion del segundo modulo 30 a traves de la interfaz 31 del dispositivo 35. Sin embargo, el segundo modulo 30 tambien puede operar bajo el control de una entidad remota que tiene un enlace de comunicaciones al segundo modulo 30. En la presente realizacion, como el primer modulo 20 esta desconectado de forma comunicativa del segundo modulo 30, como se describe en
5
10
15
20
25
30
35
40
45
50
55
60
65
mas detalle a continuacion, no se puede controlar a traves de la interfaz 31 del segundo modulo 31, ni por un enlace de comunicaciones a distancia.
El dispositivo 35 puede almacenar datos confidenciales asociados con una persona en particular. Como un ejemplo particular, el segundo modulo 30 puede almacenar claves criptograficas restringidas de usuario para desencriptar datos. Adicional o alternativamente, el segundo modulo 30 puede proporcionar o facilitar el acceso a datos confidenciales que se almacenan externamente por un tercero, por ejemplo, en uno o ambos de los dispositivos informaticos 50 y 60. En este ultimo caso, la tercera parte solo puede permitir el acceso a los datos si se determina que los datos se proporcionan a una persona en particular, es decir, la persona en posesion flsica de los primer y segundo modulos 20 y 30 (en otras palabras, los datos pueden ser restringidos por el usuario). Antes de que un tercero otorgue acceso a los datos con restriction de usuario a traves de un dispositivo en particular, la tercera parte podra exigir que el propietario de un dispositivo registre una asociacion entre el dispositivo y el propietario. En este caso, la tercera parte puede entonces enviar solo datos, que estan destinados a ser recibidos por una persona en particular, al dispositivo que esta asociado con esa persona. En otras realizaciones, el tercero puede tomar una action, como el acceso a la information confidencial y/o datos de pago y el envlo de la misma a una cuarta parte, si las instrucciones para hacerlo se reciben a traves del segundo modulo 30. Por ejemplo, el dispositivo informatico 50 puede enviar informacion confidencial a los dispositivos informaticos 60. Como tal, en el presente ejemplo, el segundo modulo 30 puede tener una asociacion registrada con una persona en particular, y por lo tanto el segundo modulo 30 puede ser utilizado para identificar que se trata de la persona en particular, es decir, un titular de la cuenta, que esta haciendo una solicitud.
Cuando el segundo modulo 30 comprende un modulo de comunicaciones, se apreciara que una persona no autorizada podrla hacer una conexion con el segundo modulo 30 y controlar de forma remota el segundo modulo 30 para enviar una solicitud a la tercera parte. Si el segundo modulo 30 puede determinar si se hizo la solicitud de acceso a datos, ya sea por un usuario en posesion del segundo modulo 30 o por un usuario remoto desde el segundo modulo 30, se puede realizar una accion de respuesta apropiada, por ejemplo, no permitir el uso adicional del segundo modulo 30 cuando se determine que la solicitud fue hecha por un usuario remoto.
Como se explicara a continuacion, las realizaciones proporcionan un medio de llevar a cabo dicha determination. El primer modulo 20 comprende los circuitos y/o software que esta construido y configurado para generar una contrasena basada en el indicador de tiempo confiable del reloj 23 (es decir, el segundo indicador de tiempo confiable anteriormente mencionado). Este circuito y/o software pueden, al menos en parte, estar contenidos dentro del elemento de seguridad 23.
Como se describio anteriormente, en una realization, el primer y segundo modulos 20, 30 pueden estar configurados con un secreto compartido para el uso en la generation y validation de contrasenas. En esta realizacion, el primer modulo 20 puede estar dispuesto para generar una contrasena basado tambien en el secreto compartido. El secreto puede, en una realizacion, ser asignado de forma exclusiva a los primer y segundo modulos 20, 30.
El secreto que se asigna a los primer y segundo modulos 20 y 30 puede ser una clave de generacion de OTP y la contrasena que se genera por el primer modulo 20 es, pues, una contrasena de un solo uso (OTP). En esta realizacion, las contrasenas posteriores generadas por el primer modulo 20 son diferentes de las contrasenas generadas con anterioridad, y cada contrasena generada es valida para un solo intento de autenticacion. En una disposition particular, la oTp generada es dependiente del tiempo y es valida por un perlodo de tiempo predeterminado. En una disposicion alternativa, el primer modulo 20 puede generar una contrasena en dependencia de una contrasena generada anteriormente y el segundo indicador confiable del tiempo usando una clave de generacion de OTP.
La OTP se genera por el primer modulo 20 en funcion de una segunda indication de tiempo confiable proporcionada por el reloj 23 del primer modulo 20 y la clave de la generacion de OTP (es decir, el secreto). La OTP puede ser una funcion criptografica de la clave de la generacion de OTP y el tiempo actual. En el caso de que el primer modulo 20 y el segundo modulo 30 sean piezas de material compuesto de un solo dispositivo, la OTP, ademas, se puede generar en funcion de un identificador de dispositivo asociado de forma unica con el dispositivo. Tal ID de un dispositivo puede ser, por ejemplo, una funcion hash de la ID de la CPU, una funcion hash de una ID GPU del dispositivo, o una combination de las mismas. En este caso, la OTP puede ser una funcion criptografica de la clave de la generacion de OTP, la ID de dispositivo y el segundo indicador de tiempo confiable. El valor del segundo indicador de tiempo confiable sera conocido aqul como el “tiempo de generacion” TG, y se entendera que se ha medido con respecto al reloj 23 del primer modulo 20. En este caso, una OTP generada particular, solo se puede utilizar para validar una solicitud de acceso a los datos si se utiliza dentro de un perlodo predeterminado de tiempo de generacion TG. En tales casos, la OTP generada puede ser validada si el tiempo Tru esta dentro de un perlodo predeterminado de tiempo anterior o posterior al tiempo de generacion Tg utilizado para generar la contrasena en el primer modulo 20 - aqul Tru puede preceder a Tg debido a la deriva de tiempo entre los dos indicadores de tiempo.
Se apreciara que, a pesar del nombre, hay una posibilidad baja pero finita de que una OTP puede ser reutilizada. Sin embargo, la probabilidad de que una contrasena generada anteriormente sera valida en un momento posterior es
5
10
15
20
25
30
35
40
45
50
55
60
65
efectivamente la misma que la posibilidad de que trabajo contrasena aleatoria funcione, y como tal, para los fines de este documento, se supondra que una contrasena dada solo sera valida una vez durante el curso de la vida de los modulos, y por lo tanto es una OTP. Ademas, si una OTP es utilizada dos veces dentro del perlodo de tiempo predeterminado para el que es valida, sera rechazada - esto impide que se reutilicen las contrasenas.
El segundo modulo 30 tambien comprende circuitos y/o software que esta construido y configurado para determinar, basado en el indicador de tiempo no confiable de reloj 33 (y opcionalmente tambien el secreto compartido, si el segundo modulo 30 esta configurado de esta forma), si una contrasena recibida desde el usuario 40 del segundo modulo 30 coincide con la contrasena que se habrla generado por el primer modulo 20 en el momento que se indica por el indicador de tiempo no confiable desde el reloj 33. Una vez mas, al menos una parte de la circuiterla y/o software puede estar contenido dentro del elemento de seguridad 32.
En la realizacion particular mostrada en la figura 1, un secreto esta asignado de forma exclusiva a los primer y segundo modulos 20 y 30. En otras palabras, el secreto puede estar asociado con los primer y segundo modulos 20 y 30 solamente. Sin embargo, esto no es un requisito esencial. En formas de realizacion, los elementos de seguridad 22 y 32 de los primer y segundo modulos 20 y 30 son a prueba de manipulaciones, es decir, el secreto y el algoritmo utilizado para generar la contrasena almacenada en el elemento de seguridad 23 y 33 no pueden ser alterados.
Como se menciono anteriormente, la contrasena tal como se genera por el primer dispositivo 20 se genera utilizando un algoritmo apropiado y una indication de tiempo, y por lo tanto es una OTP. El indicador de tiempo (es decir, el segundo indicador de tiempo confiable antes mencionado) puede ser, por ejemplo, un numero entero, donde el numero entero se incrementa a una frecuencia predeterminada (por ejemplo, cada 30 segundos o cada minuto). El numero entero puede tener un valor de cero correspondiente a un punto conocido en el tiempo en el pasado, y puede ser dispuesto de tal manera que, durante la vida util del dispositivo, el numero entero no pasa - es decir que no alcanzara el valor maximo del registro que almacena el numero entero, y por lo tanto volvera a cero. Esto asegura que el segundo indicador del tiempo confiable tiene un valor unico que nunca se repite, y por lo tanto todas las contrasenas generadas usando el segundo indicador confiable no se repetira. A pesar de lo anterior, sera evidente que cualquier otro indicador de tiempo confiable puede ser utilizado en su lugar. El segundo indicador de tiempo confiable puede ser generado por un reloj contenido en el elemento de seguridad 23.
La figura 2 muestra esquematicamente un metodo de ejemplo de acuerdo con la presente realizacion. En este metodo, el usuario 40 realiza una solicitud de acceso a los datos, tal como se representa por la flecha 74. La solicitud de acceso a los datos puede ser, por ejemplo, una solicitud de acceso a una pagina web restringida, una solicitud de acceso a information confidencial, o una solicitud de acceso a los datos para su uso en permitir el acceso a un servicio. La solicitud puede ser presentada en el dispositivo 35, y por lo tanto a traves del segundo modulo 30, alternativamente, la solicitud podra realizarse por el usuario a cualquiera de los dispositivos informaticos 50 y 60. En general, los datos a los que el usuario 40 desea acceder podrlan ser los datos almacenados o generados por cualquiera de los componentes del sistema 10, o pueden ser datos que se almacenan en, o generados por una entidad que es externa al sistema 10 (por ejemplo, una base de datos o un servidor externo). Los datos a los que el usuario 35 del segundo modulo 30 desea acceder pueden ser, por ejemplo, una pagina web restringida alojada en un servidor, que es externo al sistema 10, y en este caso, el acceso a la pagina web puede ser activado por el servidor enviando datos al segundo modulo 30. La informacion contenida en los datos enviados por el segundo modulo 30 se explicara en mas detalle a continuation.
En respuesta a la solicitud de acceso a los datos en la etapa 74, el segundo modulo 30, en la etapa 76, solicita al usuario 40 introducir una contrasena que se ha generado por el primer modulo 20. El usuario, en la etapa 78, a continuacion, puede hacer que el primer modulo 20 genere una contrasena, por ejemplo, pulsando un boton de la interfaz 21 del primer modulo o indicando de otro modo al primer modulo 20 que se requiere una contrasena.
En la etapa 80, el primer modulo 20 utiliza el secreto que se asigna de forma unica a los primer y segundo modulos 20 y 30, as! como la segunda indicacion de tiempo confiable proporcionada por el reloj 33, para generar una contrasena, que a continuacion se proporciona en la etapa 82 al usuario 40. La contrasena generada puede ser, por ejemplo, una serie de numeros, una serie de letras, una combination de letras, numeros y otros caracteres o una imagen y puede por ejemplo ser presentada al usuario 40 en una pantalla de la interfaz 21.
Alternativamente, el primer modulo 20 puede generar contrasenas (en dependencia del secreto compartido y el segundo indicador de tiempo confiable) a intervalos de tiempo regulares y puede presentar automaticamente la contrasena generada mas recientemente en la interfaz 21 del primer modulo 20. En tales situaciones, la etapa 78 no se requerirla dado que el primer modulo 30 presenta la contrasena sin petition.
En cualquier caso, el usuario 40 puede entonces proporcionar, en la etapa 84, la contrasena generada por el primer modulo 20 al segundo modulo 30. Esto puede ser hecho por el usuario que introduce la contrasena en la interfaz 31 del dispositivo 35, a traves de la que se proporciona al segundo modulo 30. En la etapa 86, el segundo modulo 30 a continuacion, utiliza el secreto que se asigna de forma unica a los primer y segundo modulos 20 y 30, y el indicador de tiempo no confiable desde el reloj 33 del dispositivo 35, para verificar si la contrasena recibida del usuario 40 es la misma que la contrasena que se habrla generado por el primer modulo 20.
5
10
15
20
25
30
35
40
45
50
55
60
65
Se apreciara que cuando se introduce una contrasena que se genera por el primer modulo 20 en el segundo modulo 30, la contrasena debe haberse recuperado anteriormente del primer modulo 20. Como, en esta realizacion, el primer modulo 20 esta comunicativamente desconectado del segundo modulo 30, es muy probable que el usuario 40 es un humano que esta en posesion de, o al menos tiene acceso a, el primer modulo 20, as! como por lo tanto al segundo modulo 30, y es capaz de recuperar la contrasena del primer modulo 20 y proporcionarla de forma manual al segundo modulo 30.
Como se indico anteriormente, el primer modulo 20 y el segundo modulo 30 pueden comprender cada uno un elemento de seguridad respectivo 22 y 32 en el que se almacena un secreto. El secreto puede ser asignado de forma unica a los primer y segundo modulos 20 y 30 y almacenados en los elementos de seguridad 22 y 32. En otras palabras, el secreto que se asigna unicamente a la primera y segunda modulos 20 y 30 se almacena en partes de los primer y segundo modulos 20 y 30 que no se puede accedido por un usuario, tal como el usuario 40, e igualmente cualquier otra parte que pueden tener acceso a los primer y segundo modulos 20 y 30.
En este caso, el secreto puede ser provisto a los elementos de seguridad 22 y 32 de los primer y segundo modulos 20 y 30 en la fabrication. En una realizacion, los elementos de seguridad 22 y 32 se fabrican por separado de los demas componentes de los modulos 20 y 30 y por lo tanto la asociacion entre los modulos 20 y 30 y el secreto almacenado en los elementos de seguridad 22 y 32 no puede ser conocida por cualquier entidad externa al sistema 10. El almacenamiento del secreto dentro de elementos seguros 22 y 32 evita que cualquier usuario con acceso a cualquiera de los modulos 20 y 30 descubra el secreto y por lo tanto sea capaz de descubrir la contrasena que debe ser introducida en el segundo modulo 30 con el fin de acceder a los datos solicitados. Tambien evita que cualquier usuario altere el algoritmo para la generation de contrasenas, que de este modo podrlan hacer que el primer modulo 20 o el segundo modulo 30 generen una respuesta falsa. Por ejemplo, el algoritmo en el segundo modulo se puede alterar para aceptar cualquier entrada como valida.
Una ventaja particular de la presente realizacion surge del hecho de que el secreto para generar y validar la contrasena esta asignado de forma exclusiva a los primer y segundo modulos 20 y 30. Mas especlficamente, porque hay una asignacion uno a uno entre el secreto y el modulo 30 que utiliza el secreto para validar la contrasena, y tambien una asignacion uno a uno entre el secreto y el modulo 20 que utiliza el secreto de generar la contrasena, por lo tanto, en el caso de que el secreto se vea comprometido, los modulos 20 y 30 solo tienen que ser reconfigurados con un nuevo secreto (que es de nuevo asignado de forma exclusiva a los modulos 20 y 30). Esto se puede lograr, por ejemplo, mediante la sustitucion de los elementos de seguridad 22 y 32 de los modulos 20 y 30 con nuevos elementos seguros que tienen el nuevo secreto almacenado en el mismo. Alternativamente, cuando los modulos son artlculos de coste relativamente bajo, tales como un SIM de telefono (segundo modulo 30) y un modulo generador de contrasena asociada (primer modulo 20), los dos modulos pueden ser reemplazados.
Esto puede ser contrastado con el sistema de OTP conocido descrito en la section de antecedentes, en el que una clave de OTP dada esta asociada de forma unica a un usuario en particular en lugar de a un par de modulos 20 y 30. En este sistema conocido, no puede haber una relation de uno a muchos entre la clave OTP y los dispositivos que utilizan la clave OTP para generar una contrasena. Siendo ese el caso, si se compromete una clave OTP, los datos pueden ser accedidos en nombre de ese usuario a traves de cualquier dispositivo que utiliza la clave OTP. Como normalmente se almacena la clave OTP tanto en el numero de testigos de OTP y tambien en el servidor de autenticacion, establecer una nueva clave OTP puede ser bastante oneroso en el servidor de autenticacion, ya que se requiere tanto que el servidor de autenticacion vuelva a asignar una nueva generacion de claves OTP a ese usuario y configurar un nuevo conjunto de testigos OTP con la nueva generacion de claves OTP.
El segundo modulo 30 utiliza el indicador de tiempo no confiable del reloj 33 y la clave de la generacion de OTP (es decir, el secreto compartido) para determinar si la contrasena es la misma que una contrasena que se habrla generado por el primer modulo 20 en un tiempo dentro un tiempo predeterminado desde el momento en que la contrasena fue recibida por el segundo modulo 30. El valor del indicador de tiempo no confiable en el que la contrasena fue recibida por el segundo modulo 30 se dara a conocer en el presente documento como el “tiempo de reception no confiable” TRU.
El metodo utilizado por el segundo modulo 30 para validar la contrasena recibida dependera del metodo utilizado por el primer modulo 20 para generar la contrasena. Muchos de estos metodos ya son conocidos y el metodo especlfico se considera fuera del ambito de la presente invention.
Si el segundo modulo 30 determina que la contrasena recibida coincide con una OTP que fue/se habrla generado por el primer modulo 20 en un momento TG es decir dentro de un perlodo predeterminado de tiempo de recepcion TRU, entonces el segundo modulo 30 valida la contrasena recibida.
Sin embargo, esta contrasena puede haber sido generada por el primer modulo 20 en un momento anterior, y reproducida al segundo modulo 30. Esto puede ocurrir si el dispositivo 35 ha sido comprometido, y por lo tanto la contrasena introducida a traves de la interfaz 31 puede ser interceptada. Como se menciono anteriormente, la contrasena es una contrasena de un solo uso (OTP) que se genero con una indication de tiempo. Por lo tanto, el retardo de tiempo entre que se genera la contrasena por el primer modulo 20 y es recibida por el segundo modulo 30
5
10
15
20
25
30
35
40
45
50
55
60
65
tlpicamente serla suficiente para que la OTP ya no sea valida.
Sin embargo, el segundo modulo 30 solo tiene acceso a un indicador de tiempo no confiable. Esto es tlpicamente debido a que el indicador de tiempo es proporcionado por el reloj 33 del dispositivo 35. Como tal, el reloj puede haberse ajustado, por ejemplo, manipulando el dispositivo 35, a traves del acceso remoto del dispositivo, o de forma legltima, simplemente ajustando el reloj 33 a traves de una preferencia del usuario. Esto significa que el indicador de tiempo no confiable podrla ser ajustado para corresponder al tiempo en el que la contrasena se ha generado por el primer modulo 20 y por lo tanto a un tiempo que corresponde a una contrasena que fue recibida anteriormente por un adversario. Esto a su vez puede hacer que el segundo modulo determine correctamente que la contrasena reproducida es valida.
El segundo modulo 30 solo puede tener acceso a un tiempo no confiable, porque no es practico proporcionar el segundo modulo 30, o el elemento de seguridad 32, con un tiempo seguro, y por lo tanto confiable. Por ejemplo, cuando el elemento de seguridad es una tarjeta SIM o tarjeta bancaria, la energla puede ser retirada del segundo modulo 30, y como tal cualquier reloj que se ejecuta en el modulo puede perder el tiempo. Esto hace que el segundo modulo 30 dependa del reloj 33 del dispositivo 35, que como se ha dicho es no confiable.
Como tal, una vez que el segundo modulo 30 ha validado una contrasena recibida utilizando el indicador de tiempo no confiable Tru, el segundo modulo 30 envla un mensaje en la etapa 88 al dispositivo informatico 50. Este mensaje contiene datos indicativos de que el indicador de tiempo se utiliza para validar la contrasena recibida (es decir, la marca de tiempo no confiable Tru). El mensaje tambien puede contener datos indicativos de la validation de la contrasena recibida (utilizando el tiempo no confiable) por el segundo modulo 30.
Como se menciono anteriormente, el dispositivo informatico 50 tiene acceso a un primer indicador de tiempo confiable, por ejemplo, a traves de un reloj 53. Este reloj 53 puede ser sincronizado con el reloj 23 del primer modulo 20. Aqul, ser sincronizado significa que es posible que el dispositivo informatico 50 acceda a un indicador de tiempo (T'g) que esta dentro de un rango predeterminado (para permitir la deriva entre los relojes) del tiempo TG utilizado por el primer modulo 20 para generar la contrasena. Ademas, la confianza puede haber sido establecida entre el dispositivo informatico 50 y el segundo modulo 30 por el intercambio de claves criptograficas para su uso en la firma y por lo tanto en la autenticacion de los mensajes enviados entre los mismos, como se discutira en mas detalle a continuation.
Al recibir el mensaje que contiene el indicador de tiempo no confiable, el dispositivo informatico 50 compara el indicador de tiempo no confiable Tru indicado en el mensaje recibido con el primer indicador de tiempo confiable T'G tal como se determina por el reloj 53 del dispositivo informatico 50. Si el tiempo no confiable Tru se determina para estar dentro del rango predeterminado del primer tiempo T'g confiable y el mensaje indica que la contrasena recibida por el segundo modulo 30 es valida, el dispositivo informatico 50 determina confiar en que el usuario 40 tiene acceso a ambos primer y segundo modulos 20 y 30. En consecuencia, el dispositivo informatico 50 puede generar datos indicativos de esta comparacion, y el uso de los datos generados para proporcionar acceso a los datos, segun lo solicitado inicialmente en la etapa 74.
Esto es porque, si el segundo modulo 30 ha validado positivamente una contrasena recibida utilizando la marca de tiempo Tru, entonces el usuario 40 debe haber proporcionado una contrasena que se habrla generado por el primer modulo 20 en un tiempo confiable Tg que esta cerca de Tru. Se deduce entonces que, si Tru esta cerca del tiempo T'g confiable tal como se determina por el dispositivo informatico 50, entonces Tg tambien debe estar cerca del tiempo actual y por lo tanto se puede determinar que el usuario 40 debe haber proporcionado una contrasena que era/habrla generado por el primer modulo 20 en algun momento Tg cerca de, es decir, dentro de un rango predeterminado del tiempo actual, como se indica por T'g. Por lo tanto, el usuario 40 es probable que este actualmente en posesion de, o al menos tenga acceso a, el primer modulo 20. Como no hay manera de transferir automaticamente una contrasena generada por el primer modulo 20 al segundo modulo 30, es muy probable que la persona en posesion del segundo modulo 20 tambien este en posesion del primer modulo 30 y por lo tanto puede transferir la contrasena generada por el primer modulo 20 al segundo modulo 30 manualmente.
Ventajosamente, si el dispositivo informatico 50 determina que la marca de tiempo no confiable Tru no esta dentro del intervalo predeterminado de tiempo confiable T'g, y por lo tanto se obtuvo de una fuente de tiempo que no esta sincronizada con el reloj del primer modulo 20, el dispositivo informatico 50 puede denegar el acceso a los datos.
En consecuencia, como se muestra en la etapa 92, el dispositivo informatico 50 puede comunicarse con los otros elementos del sistema para efectuar el acceso a los datos, utilizando para ello los datos generados por la comparacion anterior. Por ejemplo, el dispositivo informatico 50 puede enviar un mensaje al segundo modulo 30 que indica si el tiempo Tr esta dentro del intervalo de tiempo predeterminado. Si el tiempo Tr esta dentro del intervalo de tiempo predeterminado, el segundo modulo 30 puede habilitar el acceso a los datos solicitados. Alternativamente, si el tiempo Tr esta fuera del rango de tiempo predeterminado, el segundo modulo puede negar el acceso a los datos solicitados.
5
10
15
20
25
30
35
40
45
50
55
60
65
El usuario 40 puede haber solicitado el acceso a los datos contenidos externamente por el dispositivo informatico 50. En este caso, el dispositivo informatico 50 puede responder o bien mediante el envio de los datos solicitados al segundo modulo 30 o denegar el acceso.
Alternativamente, en un ejemplo adicional, el dispositivo informatico 50 puede permitir el acceso, por el dispositivo informatico 60, a los datos almacenados en uno o ambos del dispositivo informatico 50 o el segundo modulo 30. En un ejemplo adicional mas, la validacion satisfactoria se puede utilizar para permitir que el dispositivo informatico 50, y/o el segundo modulo 30, accedan a datos en el dispositivo informatico 60.
En los ejemplos anteriores, el segundo modulo 30 puede almacenar OTP recibidas anteriormente y anular cualquier OTP que se haya recibido previamente. Esto es particularmente util en situaciones en las que se accede al segundo modulo 30 al mismo tiempo tanto por un adversario remoto como por un usuario en posesion de ambos primer y segundo modulos 20 y 30 (es decir, un usuario local 40). Suponiendo que los intentos de los usuarios remotos de acceder a los datos mediante la replicacion de una OTP que fue inscrita en el segundo modulo 30 por el usuario local 40, el segundo modulo 30 rechazara la OTP replicada como un duplicado. En una disposicion, el segundo modulo 30 puede almacenar un numero limitado de OTPs recibidas previamente de manera que sea capaz de rechazar duplicados. El numero de duplicados almacenados puede ser tal que si una OTP particular, que ya no es almacenada por el segundo modulo 30, se replica, la tercera parte 100 es probable que rechace la OTP ya que se asocia con una marca de tiempo que esta fuera el intervalo predeterminado del tiempo actual.
El mensaje que contiene la marca de tiempo no confiable Tru utilizada por el segundo modulo 30 para validar una contrasena recibida puede ser firmado por el segundo modulo 30 (por ejemplo, usando una clave(s) criptografica asociada con el segundo modulo 30 y el dispositivo informatico 50), permitiendo asi que el dispositivo informatico 50 verifique el origen del mensaje. Esto significa que, si el usuario remoto intenta alterar un mensaje enviado por el segundo modulo 30 que contiene el tiempo no confiable, el dispositivo informatico 50 reconocera que el mensaje ha sido alterado, ya que no contendra la firma correcta del segundo modulo, y negara el acceso a los datos solicitados asociados. Del mismo modo, los mensajes reproducidos, es decir, los mensajes previamente enviados por el segundo modulo 30, que se vuelven a enviar al dispositivo informatico 50 contendran un indicador de tiempo no confiable Tru que esta en el pasado, y seran rechazados.
Ademas, si el dispositivo informatico 50 esta configurado para enviar un mensaje al segundo modulo 30 que indica si una marca de tiempo recibida es valida, ese mensaje puede tambien ser firmado. Esto permite que el segundo modulo 30 identifique los mensajes enviados al segundo modulo 30 por una parte que no sea el dispositivo informatico 50, que puede no ser confiable.
Lo anterior puede ser contrastado con un sistema en el que el segundo modulo 30 recupera una marca de tiempo de un tercero. En tal sistema es posible que un usuario remoto pueda observar una OTP introducida por un usuario 40 en posesion de ambos primer y segundo modulos 20 y 30 y tambien puede observar la marca de tiempo recibida de la tercera parte. Ese usuario remoto puede, en algun momento posterior, suministrar el segundo modulo 30 con la marca de tiempo observada y la OTP observada. En este caso, el segundo modulo 30 puede validar la contrasena del usuario remoto. Sin embargo, en un sistema configurado de acuerdo con la realizacion anterior, el segundo modulo 30 envia la marca de tiempo que se utiliza para validar la contrasena al dispositivo informatico 50, el dispositivo informatico 50 siendo capaz de identificar que cualquier marca de tiempo esta fuera de fecha y en consecuencia denegara el acceso a los datos que se solicitan.
Un sistema configurado de acuerdo con la forma de realizacion anterior tiene la ventaja de que el segundo modulo es capaz de tomar la primera etapa en la verificacion de la contrasena proporcionada sin tener que acceder a una marca de tiempo remota. Esto acelera el tiempo para la verificacion, ya que solo un unico mensaje (etapa 88) puede necesitar ser transmitido al sistema en su conjunto para completar la verificacion. Por el contrario, un sistema en el que se proporciona una marca de tiempo confiable al segundo modulo 30 requiere al menos dos mensajes, una peticion de tiempo confiable y una respuesta.
La figura 3 muestra esquematicamente un metodo de ejemplo para el intercambio de claves criptograficas temporales, como una forma de proporcionar acceso a los datos, entre un proveedor de servicios bancarios, que puede ser el dispositivo informatico 50, y el segundo modulo 30. En este ejemplo, el proveedor de servicios bancarios 50 ha compartido claves criptograficas temporales con otro proveedor de servicios, que pueden estar asociadas con el dispositivo informatico 60. Juntas, las claves criptograficas compartidas con el proveedor de servicios 60 y las claves criptograficas compartidas con el segundo modulo 30 se pueden usar en la autenticacion y/o cifrado/descifrado de los mensajes enviados entre el segundo modulo 30 y el proveedor de servicios 60, como se discutira en mas detalle a continuacion.
El segundo modulo 30 y el proveedor de servicio bancarios 50 ya han preasignado claves criptograficas para su uso en la codificacion y la autenticacion de los mensajes enviados entre los mismos, como se discutio anteriormente. Ademas, el proveedor de servicios bancarios 50 puede almacenar una asociacion entre el segundo modulo 30 y el titular de una cuenta bancaria particular.
5
10
15
20
25
30
35
40
45
50
55
60
65
Como se describio anteriormente, el segundo modulo 30 no tiene un reloj que se sincronice con el reloj del primer modulo 20. Sin embargo, el proveedor de servicios bancarios 50 tiene un reloj que se sincroniza con el reloj del primer modulo 20 (por ejemplo, los dos relojes pueden ejecutar en tiempo universal, o el proveedor de servicios bancarios 50 puede ser capaz de derivar la marca de tiempo en el primer modulo 20).
En este ejemplo concreto, un usuario 40 solicita, en la etapa 96, una clave criptografica temporal del proveedor de servicios bancarios 50 a traves del segundo modulo 30 y el dispositivo 35. Al solicitar el acceso a la clave de cifrado temporal, el usuario 40 puede proporcionar informacion al segundo modulo 30 y/o el dispositivo 35 que identifica al titular de la cuenta bancaria particular, respecto de la cual el usuario 40 quiere obtener una clave de cifrado temporal.
Al recibir la peticion de una clave criptografica temporal, es decir, la solicitud de datos, el segundo modulo 30 envla un mensaje (etapa 98) al proveedor de servicios bancarios 50 que indica que una solicitud de acceso a una clave criptografica temporal se ha realizado por un usuario 40 y que indica que los modulos 20 y 30 estan disponibles para generar y validar las contrasenas. Este mensaje (enviado en la etapa 98) informa al proveedor de servicios bancarios 50 que sera capaz de determinar si la solicitud (en la etapa 98) para el acceso a una clave criptografica temporal se origino a partir de un usuario en posesion flsica de los primer y segundo modulos 20 y 30.
En consecuencia, como se muestra en la etapa 74', el proveedor de servicios bancarios 50 podra solicitar que el segundo modulo proporcione una indicacion de que se ha proporcionado la contrasena correcta. En esta realizacion, el procedimiento continua generalmente como se describe anteriormente con referencia a las etapas 76 a 88, con una contrasena que se solicita desde el primer modulo, y es validada por el segundo modulo.
Sin embargo, ademas, un codigo de desaflo puede ser utilizado para proporcionar aun mas la seguridad. El codigo de desaflo puede ser generado por el segundo modulo 30, o puede ser recibido por el segundo modulo 30 desde el proveedor de servicios bancarios 50 en la etapa 74'. El codigo de desaflo se proporciona al usuario 40 en la etapa 76, y se proporciona al primer modulo 30 por el usuario 40 en la etapa 78. El codigo de desaflo es utilizado por el primer modulo 20 en la generacion de la contrasena en la etapa 80, y, posteriormente, en la validacion de la contrasena por el segundo modulo en la etapa 86.
En una etapa adicional (no referenciada) el usuario 40 puede ser obligado a introducir las credenciales (como un nombre de usuario y un PIN o contrasena) que han sido acordadas previamente entre el proveedor de servicios bancarios 50 y el titular de la cuenta bancaria (es decir, el usuario 40). Esto tiene la ventaja de que el proveedor de servicios bancarios 50 es capaz de verificar si el usuario 40 del segundo modulo 30 es el titular de la cuenta bancaria identificado o si el usuario es una persona diferente (que pueden haber robado los modulos 20 y 30, por ejemplo).
Como se describio anteriormente, el segundo modulo 30 determina en la etapa 86 si la contrasena recibida desde el usuario 40 es valida basado en la indicacion de tiempo no confiable disponible para el segundo modulo 30 y, en su caso, cualquier codigo de desaflo que pueda haber sido proporcionado. Posteriormente, en la etapa 88 el segundo modulo 30 envla un mensaje proporcionando la indicacion de tiempo no confiable utilizada para verificar esa OTP recibida. El mensaje puede contener, ademas, datos indicativos de que la OTP recibida se encontro que era valida, y que el codigo de desaflo correcto fue utilizado para generar la contrasena. La respuesta puede ser encriptada y/o firmada, por ejemplo, mediante el uso de las claves criptograficas compartidas entre el segundo modulo 30 y el dispositivo informatico 50. La respuesta tambien puede contener cualquier nombre de usuario, contrasena y similares proporcionados por el usuario 40.
Si, por el contrario, el segundo modulo 30 no valida correctamente la contrasena recibida, el segundo modulo 30 puede enviar un mensaje firmado con el proveedor de servicios bancarios 50 que indica que la OTP recibida se encontro que era no valida.
Si el mensaje enviado en la etapa 88 indica que la OTP recibida fue validada a continuation, el proveedor de servicios bancarios 50 puede comparar el tiempo indicado en la marca de tiempo no confiable enviada en la etapa 88 con el primer indicador de tiempo confiable. Esta etapa puede incluir cualquier otra forma de autenticacion, por ejemplo, la validacion de un nombre de usuario y contrasena como se describe anteriormente. Si el proveedor de servicios bancarios 50 determina que el tiempo no confiable (proporcionado en la etapa 88) se encuentra dentro del intervalo de tiempo predeterminado y, si es necesario, que cualquier otra credencial de autenticacion (es decir, nombre de usuario y contrasena) es valida, el proveedor de servicios bancarios 50 puede enviar (en la etapa 100) la clave criptografica temporal solicitada al segundo modulo 30, donde entonces se almacena.
En un ejemplo alternativo, en lugar de que proveedor de servicios bancarios 50 genere y distribuya la clave criptografica temporal, la clave criptografica temporal podrla ser generada por el proveedor de servicios 60, y se envla al proveedor de servicios bancarios 50, que a continuacion, determinar si desea compartir que clave con el segundo modulo 30 como en el caso de que la clave criptografica temporal es generada por el proveedor de servicios bancarios 50. Alternativamente, la clave criptografica temporal podrla ser generada por el segundo modulo 30, y puede ser enviada al proveedor de servicios bancarios 50 en el mensaje 88, por ejemplo. En esta disposition,
5
10
15
20
25
30
35
40
45
50
55
60
65
el proveedor de servicios bancarios 50 puede luego compartir esa clave de cifrado temporal con un proveedor de servicios 60.
Como se menciono anteriormente, el segundo modulo 30 se ha registrado en un proveedor de servicios bancarios 50 como propiedad de un titular de la cuenta bancaria particular. El proveedor de servicios bancarios 50 comparte claves criptograficas temporales con el segundo modulo 30 y el proveedor de servicios 60. El proveedor de servicios 60 puede que ya sepa que el titular de la cuenta bancaria es el propietario registrado del segundo modulo 30, y en este caso, cuando las claves criptograficas temporales son compartidas con el proveedor de servicios 60, el titular de la cuenta bancaria que se asocia con dichas claves esta identificado para el proveedor de servicios 60. Alternativamente, si el titular de la cuenta bancaria no es aun conocido por el proveedor de servicios 60, el proveedor de servicios bancarios 50 puede enviar al proveedor de servicios 60 information para su uso en la identification y prestacion de un servicio al titular de la cuenta bancaria cuando las claves criptograficas temporales asociadas son compartidas.
En el presente ejemplo, un usuario puede solicitar el acceso 40 (etapa 102) a un proveedor de servicios adicional 60 para su uso en la realization de un pago o la transferencia de fondos de la cuenta del titular de la cuenta bancaria
En algunas formas de realizacion, en lugar de una solicitud de acceso a datos que estan siendo recibidos en cualquiera del segundo modulo 30, el dispositivo informatico 50 o el dispositivo informatico 60 de un usuario 40, una solicitud de acceso a los datos puede ser generada por cualquiera del segundo modulo 30, el dispositivo informatico 50 o el dispositivo informatico 60 sin intervention del usuario. Por ejemplo, una tercera parte que opera el dispositivo informatico 50 puede desear determinar si hay un usuario 40 del segundo modulo 30 que esta en posesion flsica del segundo modulo 30 y por lo tanto el dispositivo informatico 50 envla un mensaje al segundo modulo 30 que indica el mismo. Tras la reception de este mensaje, el segundo modulo 30 solicita a un usuario 40 del segundo modulo 30 introducir una contrasena que se ha generado por el primer modulo 20 en el segundo modulo 30, y el procedimiento continua como se describio anteriormente.
Las realizaciones de la invention pueden ser contrastadas con un sistema en el que el secreto utilizado por el primer modulo 20 para generar una contrasena no es conocido por el segundo modulo 30, sino que se comparten entre un servidor de autenticacion, tal como el dispositivo informatico 50, y el primer modulo 20. Mientras que el segundo modulo 30 en dicha forma de realizacion no requiere tener acceso a una indication de tiempo, ya sea confiable o no, el sistema puede perder la seguridad de tener el secreto compartido de forma unica entre el primero y segundo modulo, cuando el secreto es comparte entonces entre el primer modulo 20 y el dispositivo informatico 50. De hecho, si el dispositivo informatico 50 se viera comprometido, muchos secretos pueden llegar a ser conocidos, en contraste con el sistema anterior, en el que solo un unico secreto puede llegar a ser conocido a traves de un primero o segundo modulo que quedara comprometido.
Como se ha indicado anteriormente, los primer y segundo modulos 20 y 30 pueden ser piezas compuestas del mismo dispositivo y pueden ser desconectados de manera comunicativa entre si dentro de ese dispositivo. En estas realizaciones, la unica forma (realista probable) en que un usuario 40 es capaz de recuperar una contrasena desde el primer modulo 20 e insertarla en el segundo modulo 30 es si el usuario 40 esta en posesion del primer modulo 20. Por lo tanto, se deduce que, en este caso, el usuario 40 es muy probable que este en posesion del dispositivo y por lo tanto es un usuario humano. Por lo tanto, si el segundo modulo 30 valida la contrasena recibida del usuario 40, el segundo modulo 30 puede determinar hasta un nivel de confianza muy alto que la solicitud de acceso a los datos se origino de un humano que esta en posesion del dispositivo (y por lo tanto, no es una entidad remota). Permitiendo el acceso a los datos solicitados puede incluir permitir el acceso a datos restringidos contenidos en el dispositivo o, en el caso de que los datos solicitados esten contendidos por un tercero (tal como el dispositivo informatico 50), puede incluir el envlo de datos a la tercera parte para utilizarlos para permitir el acceso a los datos solicitados.
Se apreciara que el usuario 40 como se describe anteriormente puede no ser una sola persona flsica, y como tal, un primer usuario de este tipo puede proporcionar la contrasena a un segundo usuario, desde el cual la contrasena es recibida por la interfaz 31.
La interfaz 21 del primer modulo 20 y la interfaz 31 del dispositivo 35 pueden ser interfaces de usuario como se describio anteriormente. Sin embargo, en algunas formas de realizacion, las interfaces pueden proporcionar una interfaz de entrada/salida que se conecta a una interfaz de usuario adecuada. Esto puede hacerse para permitir que el primer modulo 30 o el dispositivo 35 sean distribuidos, de tal manera que las interfaces de usuario a traves de las que se proporciona la contrasena pueden estar flsicamente separadas.
Las realizaciones anteriores han de entenderse como ejemplos ilustrativos de la invencion. Se preven realizaciones adicionales de la invencion. Por ejemplo, el segundo modulo 30 puede ser utilizado para permitir el acceso a los datos, los bienes o servicios que se encuentren o suministrados por una pluralidad de terceros, por ejemplo, los dispositivos informaticos 50 y 60 y otros sistemas que no se muestran. Se apreciara que, mientras que, en muchas de las realizaciones descritas anteriormente, el primer y segundo modulos se han descrito como que estan conectados de forma comunicativa, esta caracterlstica no es una caracterlstica esencial de la invencion, y en otras realizaciones, el primer y segundo modulos 20, 30 pueden estar conectados de forma comunicativa. Del mismo
modo, a la vez que ventajosa, los primer y segundo modulos 20, 30 no estan obligados a compartir un secreto para su uso en la generacion y validacion de contrasenas. Es de entenderse que cualquier caracterlstica descrita en relacion con cualquier forma de realizacion puede ser utilizada sola, o en combinacion con otras caracterlsticas descritas, y tambien se puede usar en combinacion con una o mas caracterlsticas de cualquier otra de las 5 realizaciones, o cualquier combinacion de cualquier otra de las formas de realizacion. Ademas, equivalentes y modificaciones no descritas anteriormente tambien se pueden emplear sin apartarse del alcance de la invencion, que se define en las reivindicaciones adjuntas.
Claims (9)
- 5101520253035404550556065REIVINDICACIONES1. Un sistema para su uso en la verificacion de una solicitud de acceso a datos, comprendiendo el sistema:un primer modulo (20) que tiene acceso a un segundo indicador de tiempo confiable;un segundo modulo (30) que tiene acceso a un indicador de tiempo no confiable; yun dispositivo informatico (50) configurado para comunicarse con un primer indicador de tiempo confiable,en el que:el primer modulo (20) esta dispuesto para generar una contrasena utilizando al menos un valor del segundoindicador de tiempo confiable;el segundo modulo (30) estando dispuesto para:recibir la contrasena asociada a la solicitud de acceso a los datos;validar la contrasena recibida utilizando por lo menos un valor del indicador de tiempo no confiable; y hacer que, en el caso de que la contrasena recibida sea validada por el segundo modulo, se transmita un mensaje al dispositivo informatico (50), comprendiendo el mensaje datos indicativos del valor del indicador de tiempo no confiable utilizado para validar la contrasena recibida; yel dispositivo informatico (50) esta dispuesto para generar datos indicativos de una comparacion entre los datos recibidos indicativos del valor del indicador de tiempo no confiable y un valor del primer indicador de tiempo confiable,en el que el dispositivo informatico (50) esta dispuesto para proporcionar acceso a los datos almacenados en, o generados por el dispositivo informatico (50), sobre la base de los datos generados.
- 2. Un sistema de acuerdo con la reivindicacion 1, en el que el mensaje transmitido al dispositivo informatico (50) comprende datos indicativos de la validation de la contrasena recibida utilizando por lo menos el indicador de tiempo no confiable por el segundo modulo.
- 3. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el primer y segundo modulos comparten un secreto que ha sido asignado de forma unica a los mismos, estando dispuesto el primer modulo para usar el secreto para generar la contrasena, y estando dispuesto el segundo modulo para utilizar el secreto para validar la contrasena recibida.
- 4. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el primer modulo (20) comprende hardware resistente a manipulation (22) que comprende un reloj (23), estando dispuesto el reloj (23) para proporcionar el segundo indicador de tiempo confiable.
- 5. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el segundo modulo (30) esta conectado en comunicacion con un dispositivo que tiene un reloj (33), estando dispuesto el reloj (33) para proporcionar el indicador de tiempo no confiable.
- 6. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el dispositivo informatico (50) esta dispuesto para enviar un mensaje que comprende los datos generados a un dispositivo informatico adicional (60), estando dispuesto el dispositivo informatico adicional (60) para proporcionar dicho acceso a los datos a la reception de los datos generados.
- 7. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el primer modulo (20) esta dispuesto para recibir, a traves de una interfaz (21) del primer modulo, un codigo de desaflo generado por el segundo modulo (30) o el dispositivo informatico (50), y para generar la contrasena utilizando al menos el codigo de desaflo.
- 8. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, en el que el segundo modulo (30) y el dispositivo informatico (50) comparten un secreto adicional para su uso en comunicaciones entre ellos.
- 9. Un metodo de verificacion de una solicitud de acceso a los datos utilizando un dispositivo informatico (50) que esta configurado para comunicarse con un primer indicador de tiempo confiable, comprendiendo el metodo:generar en un primer modulo (20) una contrasena utilizando al menos un valor de un segundo indicador de tiempo confiable;recibir en un segundo modulo (30) la contrasena asociada a la solicitud de acceso a los datos,validar en el segundo modulo (30) la contrasena recibida utilizando por lo menos un valor de un indicador detiempo no confiable;hacer que, en el caso de que la contrasena recibida sea validada por el segundo modulo, se transmita unmensaje al dispositivo informatico (50), el mensaje comprendiendo datos indicatives de un valor del indicador de tiempo no confiable utilizado para validar la contrasena recibida;generar en el dispositivo informatico (50) datos indicativos de una comparacion entre los datos recibidos indicativos del valor del indicador de tiempo no confiable y un valor del primer indicador de tiempo confiable; y 5 proporcionar en el dispositivo informatico acceso a los datos almacenados en, o generados por el dispositivoinformatico (50), sobre la base de los datos generados.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1215951.3A GB2505678B (en) | 2012-09-06 | 2012-09-06 | Method and system for verifying an access request |
GB201215951 | 2012-09-06 | ||
GB201222090 | 2012-12-07 | ||
GB1222090.1A GB2505532B (en) | 2012-09-06 | 2012-12-07 | Method and system for verifying an access request |
PCT/GB2013/052347 WO2014037741A1 (en) | 2012-09-06 | 2013-09-06 | Method and system for verifying an access request |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2590678T3 true ES2590678T3 (es) | 2016-11-23 |
Family
ID=47137069
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES13779326.1T Active ES2590678T3 (es) | 2012-09-06 | 2013-09-06 | Método y sistema para verificar una solicitud de acceso |
Country Status (11)
Country | Link |
---|---|
US (4) | US8806600B2 (es) |
EP (2) | EP2893484B1 (es) |
KR (2) | KR102202547B1 (es) |
CN (2) | CN104769602B (es) |
AU (2) | AU2013311425B2 (es) |
CA (2) | CA2884002C (es) |
ES (1) | ES2590678T3 (es) |
GB (2) | GB2505678B (es) |
HK (2) | HK1208278A1 (es) |
MX (2) | MX362308B (es) |
WO (2) | WO2014037741A1 (es) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10032171B2 (en) | 2011-08-30 | 2018-07-24 | Simplytapp, Inc. | Systems and methods for secure application-based participation in an interrogation by mobile device |
US10129249B1 (en) * | 2013-03-14 | 2018-11-13 | EMC IP Holding Company LLC | Randomizing state transitions for one-time authentication tokens |
GB2505678B (en) | 2012-09-06 | 2014-09-17 | Visa Europe Ltd | Method and system for verifying an access request |
US9178708B2 (en) * | 2013-12-02 | 2015-11-03 | Guardtime Ip Holdings Limited | Non-deterministic time systems and methods |
US9424410B2 (en) * | 2013-12-09 | 2016-08-23 | Mastercard International Incorporated | Methods and systems for leveraging transaction data to dynamically authenticate a user |
US9332008B2 (en) | 2014-03-28 | 2016-05-03 | Netiq Corporation | Time-based one time password (TOTP) for network authentication |
US9223960B1 (en) * | 2014-07-31 | 2015-12-29 | Winbond Electronics Corporation | State-machine clock tampering detection |
US9984247B2 (en) * | 2015-11-19 | 2018-05-29 | International Business Machines Corporation | Password theft protection for controlling access to computer software |
US9948673B2 (en) * | 2016-05-26 | 2018-04-17 | Visa International Service Association | Reliable timestamp credential |
US10491391B1 (en) * | 2016-09-23 | 2019-11-26 | Amazon Technologies, Inc. | Feedback-based data security |
KR20180070278A (ko) | 2016-12-16 | 2018-06-26 | 백민경 | 영구거푸집 및 이를 이용한 벽체구조물 시공방법 |
US11037231B1 (en) * | 2016-12-23 | 2021-06-15 | Wells Fargo Bank, N.A. | Break the glass for financial access |
US10846417B2 (en) * | 2017-03-17 | 2020-11-24 | Oracle International Corporation | Identifying permitted illegal access operations in a module system |
SG10201702881VA (en) * | 2017-04-07 | 2018-11-29 | Mastercard International Inc | Systems and methods for processing an access request |
US11257078B2 (en) * | 2018-08-20 | 2022-02-22 | Mastercard International Incorporated | Method and system for utilizing blockchain and telecom network for two factor authentication and enhancing security |
US10419219B1 (en) * | 2018-10-08 | 2019-09-17 | Capital One Services, Llc | System, method, and computer-accessible medium for actionable push notifications |
CN110224713B (zh) * | 2019-06-12 | 2020-09-15 | 读书郎教育科技有限公司 | 一种基于高安全性智能儿童手表的安全防护方法及系统 |
CN114667499A (zh) * | 2019-09-11 | 2022-06-24 | 艾锐势有限责任公司 | 基于口令和策略的设备无关认证 |
WO2023077616A1 (zh) * | 2021-11-02 | 2023-05-11 | 珠海艾派克微电子有限公司 | 一种芯片、耗材盒及数据传输方法 |
Family Cites Families (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5367572A (en) * | 1984-11-30 | 1994-11-22 | Weiss Kenneth P | Method and apparatus for personal identification |
US4998279A (en) * | 1984-11-30 | 1991-03-05 | Weiss Kenneth P | Method and apparatus for personal verification utilizing nonpredictable codes and biocharacteristics |
US4720860A (en) * | 1984-11-30 | 1988-01-19 | Security Dynamics Technologies, Inc. | Method and apparatus for positively identifying an individual |
US5361062A (en) * | 1992-11-25 | 1994-11-01 | Security Dynamics Technologies, Inc. | Personal security system |
EP1139200A3 (en) * | 2000-03-23 | 2002-10-16 | Tradecard Inc. | Access code generating system including smart card and smart card reader |
US20050005114A1 (en) | 2003-07-05 | 2005-01-06 | General Instrument Corporation | Ticket-based secure time delivery in digital networks |
US7904583B2 (en) * | 2003-07-11 | 2011-03-08 | Ge Fanuc Automation North America, Inc. | Methods and systems for managing and controlling an automation control module system |
US7801819B2 (en) * | 2003-10-03 | 2010-09-21 | Sony Corporation | Rendering rights delegation system and method |
KR20050096040A (ko) * | 2004-03-29 | 2005-10-05 | 삼성전자주식회사 | 휴대형 저장장치와 디바이스간에 디지털 저작권 관리를이용한 콘텐츠 재생방법 및 장치와, 이를 위한 휴대형저장장치 |
JP4523944B2 (ja) | 2004-10-14 | 2010-08-11 | 三菱電機株式会社 | パスワード生成装置及びicカード及び認証装置 |
JP2006268689A (ja) * | 2005-03-25 | 2006-10-05 | Nec Corp | 移動体通信ネットワークシステム、認証装置、Webサーバ及びこれらの駆動方法、駆動プログラム |
EP1737179A1 (en) * | 2005-06-20 | 2006-12-27 | Thomson Licensing | Method and devices for secure measurements of time-based distance between two devices |
US9258124B2 (en) * | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
KR101468282B1 (ko) * | 2006-05-09 | 2014-12-02 | 인터디지탈 테크날러지 코포레이션 | 무선 장치에 대한 안전 시간 기능 |
US8266711B2 (en) * | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
US8543829B2 (en) * | 2007-01-05 | 2013-09-24 | Ebay Inc. | Token device re-synchronization through a network solution |
US8281375B2 (en) * | 2007-01-05 | 2012-10-02 | Ebay Inc. | One time password authentication of websites |
EP2034458A3 (en) * | 2007-03-09 | 2009-09-02 | ActivIdentity, Inc. | One-time passwords |
CN101051908B (zh) * | 2007-05-21 | 2011-05-18 | 北京飞天诚信科技有限公司 | 动态密码认证系统及方法 |
US8627419B1 (en) * | 2007-05-25 | 2014-01-07 | Michael J VanDeMar | Multiple image reverse turing test |
US8200978B2 (en) * | 2007-07-06 | 2012-06-12 | Gong Ling LI | Security device and method incorporating multiple varying password generator |
US7990292B2 (en) * | 2008-03-11 | 2011-08-02 | Vasco Data Security, Inc. | Method for transmission of a digital message from a display to a handheld receiver |
US8949955B2 (en) * | 2008-10-29 | 2015-02-03 | Symantec Corporation | Method and apparatus for mobile time-based UI for VIP |
CH701050A1 (fr) * | 2009-05-07 | 2010-11-15 | Haute Ecole Specialisee Bernoise Technique Inf | Procédé d'authentification. |
EP2296311A1 (en) * | 2009-09-10 | 2011-03-16 | Gemalto SA | Method for ciphering messages exchanged between two entities |
US8701183B2 (en) * | 2010-09-30 | 2014-04-15 | Intel Corporation | Hardware-based human presence detection |
US20120089519A1 (en) | 2010-10-06 | 2012-04-12 | Prasad Peddada | System and method for single use transaction signatures |
WO2012106757A1 (en) * | 2011-02-07 | 2012-08-16 | David Ball | A smart card with verification means |
CN102185838B (zh) * | 2011-04-21 | 2014-06-25 | 杭州驭强科技有限公司 | 基于时间因子的主动式动态密码生成和认证系统及方法 |
CN102368230A (zh) * | 2011-10-31 | 2012-03-07 | 北京天地融科技有限公司 | 移动存储器的访问控制方法、移动存储器及系统 |
DE102011118510A1 (de) * | 2011-11-14 | 2013-05-16 | Biso Schrattenecker Gmbh | Anschlußvorrichtung für ein Vorsatzgerät einer selbstfahrenden Arbeitsmaschine |
US8396452B1 (en) * | 2012-05-04 | 2013-03-12 | Google Inc. | Proximity login and logoff |
US9053312B2 (en) | 2012-06-19 | 2015-06-09 | Paychief, Llc | Methods and systems for providing bidirectional authentication |
GB2505678B (en) | 2012-09-06 | 2014-09-17 | Visa Europe Ltd | Method and system for verifying an access request |
US9230084B2 (en) * | 2012-10-23 | 2016-01-05 | Verizon Patent And Licensing Inc. | Method and system for enabling secure one-time password authentication |
DE102012219618B4 (de) * | 2012-10-26 | 2016-02-18 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem |
-
2012
- 2012-09-06 GB GB1215951.3A patent/GB2505678B/en active Active
- 2012-12-07 GB GB1222090.1A patent/GB2505532B/en active Active
-
2013
- 2013-07-05 US US13/936,094 patent/US8806600B2/en active Active
- 2013-09-06 CN CN201380057898.XA patent/CN104769602B/zh active Active
- 2013-09-06 KR KR1020157008620A patent/KR102202547B1/ko active IP Right Grant
- 2013-09-06 EP EP13774767.1A patent/EP2893484B1/en active Active
- 2013-09-06 CN CN201380057912.6A patent/CN104798083B/zh active Active
- 2013-09-06 WO PCT/GB2013/052347 patent/WO2014037741A1/en active Application Filing
- 2013-09-06 ES ES13779326.1T patent/ES2590678T3/es active Active
- 2013-09-06 MX MX2015002929A patent/MX362308B/es active IP Right Grant
- 2013-09-06 KR KR1020157008621A patent/KR102177848B1/ko active IP Right Grant
- 2013-09-06 MX MX2015002928A patent/MX362307B/es active IP Right Grant
- 2013-09-06 CA CA2884002A patent/CA2884002C/en active Active
- 2013-09-06 EP EP13779326.1A patent/EP2732400B1/en active Active
- 2013-09-06 AU AU2013311425A patent/AU2013311425B2/en active Active
- 2013-09-06 CA CA2884005A patent/CA2884005C/en active Active
- 2013-09-06 AU AU2013311424A patent/AU2013311424B2/en active Active
- 2013-09-06 WO PCT/GB2013/052346 patent/WO2014037740A1/en active Application Filing
-
2015
- 2015-03-05 US US14/639,857 patent/US9830447B2/en active Active
- 2015-03-05 US US14/639,850 patent/US10282541B2/en active Active
- 2015-09-11 HK HK15108943.4A patent/HK1208278A1/xx unknown
- 2015-09-16 HK HK15109070.7A patent/HK1208546A1/xx unknown
-
2019
- 2019-03-18 US US16/357,098 patent/US10929524B2/en active Active
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2590678T3 (es) | Método y sistema para verificar una solicitud de acceso | |
US10476879B2 (en) | Blockchain authentication via hard/soft token verification | |
ES2935164T3 (es) | Método para registrar y compartir una identidad digital de un usuario usando contabilidad distribuida | |
EP3556069B1 (en) | System and method for securely processing an electronic identity | |
ES2820554T3 (es) | Método y aparato para autentificar un usuario, método y aparato para registrar un dispositivo ponible | |
ES2292737T3 (es) | Metodo y sistema para asegurar una red informatica y dispositivo de identificacion personal usado en ella para controlar el acceso a los componentes de la red. | |
KR101641809B1 (ko) | 일회용 비밀번호를 이용한 분산된 오프-라인 로그온을 위한 방법 및 시스템 | |
CN111034120B (zh) | 基于身份信息的加密密钥管理 | |
ES2779750T3 (es) | Sistema de firma electrónica para un documento electrónico que utiliza un circuito de autenticación de terceros | |
US9467293B1 (en) | Generating authentication codes associated with devices | |
JP2006508471A (ja) | 識別認証システムおよび方法 | |
KR101616795B1 (ko) | Pki 기반의 개인키 파일 관리 방법 및 그 시스템 |