ES2601505T3 - Identificación de teléfono móvil y autenticación de comunicación - Google Patents

Identificación de teléfono móvil y autenticación de comunicación Download PDF

Info

Publication number
ES2601505T3
ES2601505T3 ES11828215.1T ES11828215T ES2601505T3 ES 2601505 T3 ES2601505 T3 ES 2601505T3 ES 11828215 T ES11828215 T ES 11828215T ES 2601505 T3 ES2601505 T3 ES 2601505T3
Authority
ES
Spain
Prior art keywords
user
server
mobile phone
certificate
certification authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11828215.1T
Other languages
English (en)
Inventor
Christiaan Johannes Petrus Brand
Albertus Stefanus Van Tonder
Daniel Jacobus Muller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Entersekt International Ltd
Original Assignee
Entersekt International Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from ZA2011/00198A external-priority patent/ZA201100198B/en
Application filed by Entersekt International Ltd filed Critical Entersekt International Ltd
Application granted granted Critical
Publication of ES2601505T3 publication Critical patent/ES2601505T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

Un sistema (1) para autentificar un canal (3) de comunicaciones entre un teléfono (5) móvil asociado a un usuario (7) y un servidor (9) de aplicaciones, para identificar de forma única el teléfono (5) móvil y para cifrar las comunicaciones entre el teléfono (5) móvil y el servidor (9) de aplicaciones por el canal de comunicaciones, incluyendo el sistema una autoridad (11) de certificación, una aplicación (13) de software del lado del usuario instalada en el teléfono (5) móvil y un aplicación (15) de software del lado del servidor instalada en el servidor (9) de aplicaciones, en el que: la aplicación (13) de software del lado del usuario está configurada para utilizar un módulo de cifrado del lado del usuario proporcionado por la autoridad (11) de certificación y para solicitar automáticamente un certificado (17) de usuario digital de la autoridad (11) de certificación; la autoridad (11) de certificación está adaptada para, tras recibir la solicitud, calcular un par (31, 33) de claves privada y pública de usuario en representación del teléfono (5) móvil si el teléfono (5) móvil no tiene suficiente capacidad de procesamiento para hacerlo por sí mismo, para crear y emitir el certificado (17) de usuario al teléfono (5) móvil, incluyendo el certificado (17) de usuario al menos un identificador que se asocia de forma única con el teléfono (5) móvil y la clave (33) pública de usuario, y para transmitir la clave (31) privada de usuario al teléfono (5) móvil por un canal de comunicaciones seguro establecido entre la autoridad (11) de certificación y el teléfono (5) móvil por medio de un protocolo de intercambio de claves adecuado; la aplicación (15) de software del lado del servidor está configurada para utilizar un módulo de cifrado del lado del servidor proporcionado por la autoridad (11) de certificación y para solicitar y recibir el certificado (17) de usuario desde el teléfono (5) móvil, para validarlo como procedente de la autoridad (11) de certificación usando el módulo (15) de cifrado del lado del servidor, para identificar de forma única el teléfono (5) móvil a partir del identificador con el certificado (17) de usuario, y para transmitir un certificado (45) de servidor digital emitido para el mismo por la autoridad (11) de certificación al teléfono (5) móvil donde se recibe por la aplicación (13) de software del lado del usuario y se valida como procedente de la autoridad (11) de certificación usando el módulo de cifrado del lado del usuario; y tras la validación satisfactoria del certificado (17) de usuario por la aplicación (15) de software del lado del servidor y del certificado (45) de servidor por la aplicación (13) de software del lado del usuario, la aplicación (13) de software del lado del usuario y la aplicación (15) de software del lado del servidor se configuran adicionalmente para compartir las claves de cifrado que utilizan sus respectivos certificados para proporcionar el cifrado, siendo las claves de cifrado útiles para más cifrados de datos entre el teléfono (5) móvil y el servidor (9) de aplicaciones.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Identificacion de telefono movil y autenticacion de comunicacion Campo de la invencion
Esta invencion se refiere a la identificacion de telefonos moviles y a la autenticacion y a la seguridad de los canales de comunicaciones entre telefonos moviles y los servidores de aplicaciones. En particular, la invencion se refiere a un sistema y procedimiento para autenticar y asegurar los canales de comunicaciones en lmea entre los telefonos moviles y los servidores de aplicaciones en lmea de una manera que permita al servidor de aplicaciones validar la identidad del telefono movil y viceversa.
Antecedentes de la invencion
En los negocios de modem de hoy en dfa, un numero cada vez mayor de las transacciones se realizan electronicamente a traves de los servidores de aplicaciones en lmea, por medio de comunicaciones a traves de redes tales como, la mas comun, Internet. Mientras que tradicionalmente se realizaban desde ordenadores personales y otros dispositivos que normalmente teman una considerable capacidad de procesamiento, cada vez mas transacciones se realizan desde telefonos moviles con acceso a Internet y otros dispositivos de mano moviles que no necesariamente tienen las mismas capacidades de procesamiento.
En el resto de esta memoria descriptiva, la expresion “telefono movil” debe interpretarse que incluye cualquier dispositivo de comunicaciones movil capaz de comunicarse a traves de una red de comunicaciones, tal como una red movil, y tener al menos una cantidad limitada de capacidad de procesamiento. La expresion debena interpretarse para incluir espedficamente todos los telefonos moviles o celulares, pero tambien puede incluir ordenadores portables tales como los ordenadores portatiles, los ordenadores personales de mano y similares.
Un problema con las transacciones en lmea convencionales es, sin embargo, el riesgo de seguridad inherente asociado con las comunicaciones en lmea. Los operadores sin escrupulos estan desarrollando constantemente nuevas tecnicas para interceptar la informacion transaccional y usar esta para estafar a las partes involucradas. Ejemplos de este tipo de amenazas a la seguridad incluyen el robo de identidad, ataques de hombre en el medio (MlTM), pharming, phishing, examen de SMS/datos sobre el aire, secuestro de infraestructuras de terceras partes, troyanos, registradores de claves, asf como varias combinaciones de estas amenazas.
En un intento de hacer transacciones en lmea mas seguras, se han desarrollado numerosas tecnicas de seguridad. Una de estas tecnicas, un ejemplo de la cual se conoce como autenticacion de factor dos, utiliza el telefono movil del usuario como un dispositivo desacoplado de la transaccion para proporcionar una capa adicional de seguridad. Debido a una relacion de uno a uno que se supone que existe entre un usuario y su telefono movil, para la que esta tecnologfa se usa, se supone que el telefono esta siempre en posesion del usuario. Los mensajes del servicio de mensajes cortos (SMS) son actualmente el mecanismo preferido para los mensajes de seguridad y por lo general toman la forma de un mensaje de texto enviado por el proveedor de servicios (por ejemplo, una institucion bancaria) al telefono movil del usuario. El mensaje incluye normalmente un solo pin unico de una sola vez (OTP), que a continuacion el usuario tiene que introducir manualmente en el entorno seguro al que desea acceder o antes de realizar una transaccion segura, junto con los detalles normales de su inicio de sesion.
Si bien esta tecnologfa anade una capa adicional de seguridad, todavfa es susceptible al abuso, ya que es posible interceptar los mensajes SMS a traves de, por ejemplo, tecnicas tales como la clonacion de la tarjeta SIM. Tambien requiere todavfa que el usuario introduzca un codigo de 8 dfgitos (o mas) desde el telefono movil en el sitio web o de otra manera de la transaccion segura que desea realizar. Otra desventaja de esta tecnologfa es el coste relativamente elevado que supone para la institucion alojar la transaccion segura, ya que tiene que enviar un mensaje SMS a traves de un proveedor de red GSM cada vez que un usuario necesita autenticarse. La autenticacion puede realizarse un numero de veces durante cualquier sesion espedfica y cada uno los mensajes de este tipo seran facturados normalmente de manera individual por el proveedor de red GSM.
En esencia, este tipo de autenticacion de factor dos no esta completamente “fuera de banda” en el verdadero sentido de la palabra. Mientras que el OTP puede llegar al telefono del usuario “fuera de banda”, el usuario tiene de nuevo que introducirle y transmitirle a traves de la misma banda de comunicaciones, haciendo de este modo que sea susceptible a la interceptacion una vez mas. Si el navegador u otro canal de comunicaciones que se usa se han visto comprometidos, la transmision del OTP se habra visto igualmente comprometida.
Otro gran inconveniente de esta tecnologfa solo se ha hecho evidente ya que los telefonos moviles se usan cada vez mas como dispositivos para navegar por Internet y para las transacciones en lmea. Un gran numero de telefonos moviles no permiten a los usuarios tener multiples aplicaciones ejecutandose al mismo tiempo. Como resultado, el usuario no puede recibir un SMS con un OTP, mientras que navega por Internet en el telefono a traves de una aplicacion de navegador de web. Esto requerira que el usuario cierre el navegador antes de leer el SMS y el OTP, solo para a continuacion tener que volver a iniciar el navegador con el fin de introducir el OTP en el sitio. Incluso en los casos en los que es posible tener multiples aplicaciones activas en un momento dado, el cambio entre aplicaciones puede ser diffcil e incomodo.
5
10
15
20
25
30
35
40
45
50
55
Ademas de lo que se ha dicho anteriormente, la mayona de los protocolos de seguridad que se han desarrollado requieren una cantidad sustancial de capacidad de procesamiento con el fin de ser viables. Una de las medidas de seguridad mas comunes usadas en las transacciones en lmea de hoy en dfa es la seguridad de la capa de transporte (TLS) o su predecesor, la capa de conexion segura (SSL). SSL y TLS son ambas lo que se conoce como protocolos de cifrado y se usan para cifrar los segmentos de conexiones de red en la capa de aplicacion para garantizar la seguridad del transito de extremo a extremo en la capa de transporte. SSL es, sin embargo, problematico para los telefonos moviles por una variedad de razones, una de las cuales es el hecho de que los telefonos generalmente no tienen la capacidad de procesamiento para calcular sus propios pares de claves de cifrado publica y privada que pueden usarse para una comunicacion segura. Aparte de que en algunos casos potencialmente sea imposible para los telefonos moviles solicitar los certificados, en otros casos el procedimiento sera todavfa complejo y tedioso. Ademas, la mayona de los telefonos moviles simplemente no tienen suficientes certificados rafz pre-instalados para permitirles aceptar cualquier subconjunto normal de certificados expedidos por las autoridades de certificacion (CA) convencionales.
Como resultado de las limitaciones y dificultades anteriores con los telefonos moviles, los operadores de los servidores de aplicaciones en lmea, por ejemplo, los bancos, optan normalmente por evitar las complicaciones, limitando drasticamente el numero y el alcance de las transacciones en lmea que pueden realizarse desde el telefono movil de un usuario. Esto inhibe en gran medida el uso de la tecnologfa por los usuarios que todavfa tienen que tener acceso a los ordenadores personales con el fin de usar la completa variedad de servicios ofrecidos por la mayona de los servidores de aplicaciones en lmea.
El documento US 2009/249074 describe un procedimiento de uso de certificados compactos para autentificar dispositivos inalambricos y establecer conexiones seguras entre tales dispositivos.
El documento WO 02/15523 describe un procedimiento de autenticacion de un cliente y un servidor entre sf usando certificados digitales en los que el cliente usa un primer protocolo de cifrado entre el mismo y una pasarela y el servidor usa un segundo protocolo de cifrado entre el mismo y la pasarela.
El documento US 2008/072039 describe un procedimiento para generar dinamicamente un certificado y un par de claves privada y publica asociadas para permitir a un cliente enviar un mensaje con seguridad a un cliente receptor, a traves de un servidor de directorios, en el caso de que el cliente receptor no pueda estar localizado en el directorio.
El documento WO 99/49612 describe un procedimiento para generar una clave publica y un certificado implfcito dentro de un sistema de cifrado de certificados implfcitos basados en la identidad.
Los aspectos de la invencion se exponen en las reivindicaciones adjuntas.
Breve descripcion de los dibujos
La invencion se describira ahora a modo de solamente un ejemplo y con referencia a los dibujos adjuntos. En los dibujos:
la figura 1: es una ilustracion esquematica de un sistema de autenticacion de acuerdo con la invencion; y la figura 2: es un diseno esquematico de un certificado digital de acuerdo con la invencion.
Descripcion detallada con referencia a los dibujos
Un sistema (1) para autentificar un canal (3) de comunicaciones entre un telefono (5) movil, en este ejemplo un telefono movil, asociado a un usuario (7) y un servidor (9) de aplicaciones se muestra en la figura 1. El sistema (1) incluye una autoridad (11) de certificacion, asf como una aplicacion (13) de software del lado del usuario instalada en el telefono (5) movil, y una aplicacion (15) de software del lado del servidor instalada en el servidor (9) de aplicaciones. Ademas, el telefono (5) movil y el servidor (9) de aplicaciones incluyen cada uno un modulo de cifrado (no mostrado) proporcionado por la autoridad (11) de certificacion que proporciona una funcionalidad de cifrado para el usuario y las aplicaciones (13, 15) del lado del servidor. Debena ser evidente que los modulos de cifrado pueden compilarse como parte de las aplicaciones de software del lado del servidor y del lado del usuario, respectivamente. Cuando, en el resto de esta descripcion se hace referencia a la funcionalidad de cualquier aplicacion de software del lado del servidor y del lado del usuario, se apreciara que tal funcionalidad puede proporcionarse, en efecto, por los modulos de cifrado del lado del servidor o del lado del usuario o viceversa.
La primera vez que la aplicacion de software del lado del usuario requiere un cifrado o una identificacion de usuario unica, se constata que no hay ningun certificado (17) de usuario digital instalado actualmente en el telefono (5) movil. En este punto, la aplicacion se conecta automaticamente a un servidor en lmea de la autoridad (11) de certificacion (“CA”) e intenta solicitar un certificado (17) de usuario digital desde el servidor (11). La aplicacion (13) del lado del usuario valida en primer lugar que el servidor con el que esta comunicandose es de hecho el de la CA (11), y no un servidor pirata. Esto se hace validando una firma (21) de certificado de CA enviada al telefono (5) movil por la CA (11), contra un certificado (23) de CA que viene distribuido como parte de la aplicacion (13) de software del lado del usuario o el modulo de cifrado. Sin embargo, debena ser evidente que la validacion de la CA podna ser inherente si la aplicacion de software del lado del usuario es capaz de descifrar la comunicacion de la CA que se ha
5
10
15
20
25
30
35
40
45
50
55
60
cifrado con una clave privada de CA. Si la aplicacion de software del lado del usuario es capaz de descifrar la comunicacion de CA cifrada de CA usando la clave publica de CA resulta que la CA es quien pretende ser.
Tras la validacion exitosa del servidor (11) de CA, la CA crea y emite un certificado (17) de usuario digital para el telefono movil. El certificado (17) de usuario es un certificado digital X.509 firmado que puede usarse para identificar en primer lugar el telefono (5) movil en el que esta instalado el certificado y tambien para intercambiar las claves (25) de cifrado simetricas con el servidor (9) de aplicaciones. Las claves de cifrado simetricas pueden, a su vez, usarse para el cifrado de datos entre el telefono (5) y el servidor (9) de aplicaciones. Esta caractenstica se elaborara con mas detalle a continuacion. El certificado (17) se firma con una clave (27) privada asociada con la CA (11), una clave (29) publica correspondiente de la CA (11) que se conoce tanto para las aplicaciones de software del lado del usuario como del lado del servidor o los modulos de cifrado, como sea el caso, que les permite descifrar la firma y verificar que se haya firmado por la clave (27) privada de CA y en consecuencia es autentico.
Cuando se emite el telefono (5) con el certificado (17) de usuario digital firmado, el servidor (11) calcula un par de claves de cifrado privada (31) y publica (33) de usuario en representacion del telefono (5). Esto sucedera principalmente en los casos en que el propio telefono (5) no tenga suficiente capacidad de procesamiento para calcular por sf mismo el par de claves. A continuacion, el servidor (11) intenta establecer un canal de comunicaciones seguro entre el mismo y el telefono (5) por medio de un intercambio de claves Diffie-Hellman (DH) o un protocolo similar. Si el intercambio de claves DH tiene exito, envfa a su traves la clave (31) privada de usuario a lo largo del canal seguro al telefono (5), donde se recibe por la aplicacion (13) de software del lado del usuario. La clave (33) publica de usuario asociada puede entonces incluirse en el certificado (17) de usuario y transmitirse al telefono (5) por separado. Tras la recepcion del par de claves de usuario, y el certificado (17), la aplicacion (13) de software del lado del usuario los almacena en una parte cifrada (un recinto de seguridad) de la memoria del telefono (5) desde donde solo las aplicaciones autorizadas, incluyendo la aplicacion (13) de software del lado del usuario y/o el modulo de cifrado del lado del usuario, seran capaces de acceder a la misma. Debena apreciarse que si el telefono (5) tiene suficiente capacidad de procesamiento, puede calcular por sf mismo el par (31, 33) de claves de usuario. En este caso la clave (31) privada de usuario no tiene que transmitirse entre el servidor (11) y el telefono (5) y puede permanecer oculta en la memoria del telefono. La aplicacion (13) de software del lado del usuario puede entonces simplemente transmitir la clave (33) publica de usuario al servidor (11) de aplicaciones, junto con la solicitud del certificado (17) de usuario digital. El servidor (11) incluira entonces la clave (33) publica de usuario en el certificado (17) y lo firmara con su propia clave privada (27) como anteriormente.
Un diseno tfpico de un certificado (17) de usuario digital se muestra en la figura 2. Ademas de la clave (33) publica de usuario y la firma (35) de CA, el certificado tambien contiene un identificador (37) que esta asociado de forma unica con el telefono (5) movil. El identificador (37) puede ser cualquier clave unica que se emita por la CA. En la realizacion actual de la invencion, el identificador (37) es un numero secuencial generado por la CA (11). Debena apreciarse que debido a la naturaleza secuencial del identificador (37), existe una relacion uno a uno entre cada certificado emitido por la CA (11) y un telefono movil. Ademas de lo anterior, el certificado (17) tambien puede incluir otra informacion tal como, por ejemplo, un numero (39) de telefono movil asociado con la tarjeta SIM del telefono (5), el IMEI (41) del telefono y/o los numeros IMSI (43), asf como una fecha (44) de caducidad del certificado.
Debena apreciarse que en el ejemplo descrito anteriormente la emision y el almacenamiento del certificado (17) de usuario pueden ocurrir completamente en segundo plano y automaticamente, sin necesidad de ninguna intervencion del usuario. Una vez que el certificado (17) de usuario digital se ha emitido por la CA (11) y se ha almacenado en la localizacion segura en el telefono (5) movil, puede usarse por la aplicacion (13) de software del lado del usuario y/o el modulo de cifrado para identificar el telefono (5), para autenticar los canales de comunicaciones entre el telefono (5) y los servidores de aplicaciones (9) y para cifrar las comunicaciones entre el telefono (5) y el servidor (9) de aplicaciones.
Tambien se emite un certificado (45) de servidor digital por el CA (11) para el servidor (9) de aplicaciones. La emision del certificado (45) de servidor puede ocurrir en cualquier momento, pero normalmente tras la solicitud del servidor (9) de aplicaciones. Esta solicitud tambien vendra directamente desde la aplicacion (15) de software del lado del servidor o el modulo de cifrado del lado del servidor, normalmente cuando la aplicacion (15) se instala primero en el servidor (9) de aplicaciones. El formato del certificado (45) de servidor es similar al del certificado (17) de usuario descrito con referencia a la figura 2 e incluye su propia clave (47) publica de servidor. Una clave (49) privada de servidor correspondiente se guarda en una localizacion segura en el servidor (9), en donde solo es accesible por el servidor (9). A diferencia de en el caso del par (31, 33) de claves de usuario, el par (47, 49) de claves de servidor se calcula normalmente por el propio servidor (9), que generalmente tiene suficiente capacidad de procesamiento para hacerlo. Por lo tanto, el servidor (9) enviara su clave (47) publica a la CA (11) cuando se solicite el certificado (45) de servidor y la CA (11), a su vez, emitira el certificado (45) de servidor, incluyendo la clave (47) publica de servidor, y lo firmara con su clave (27) privada.
Si se han emitido con certificados digitales tanto el telefono (5) como el servidor (9) de aplicaciones, los certificados (17, 45) pueden usarse para autenticar los canales de comunicaciones entre los mismos, para identificar el telefono y/o el servidor de aplicaciones y tambien para cifrar las comunicaciones entre los mismos. Cada vez que el telefono (5) movil se conecta a un servidor (9) de aplicaciones, se iniciara un procedimiento de intercambio de certificados, con lo que su certificado (17) se envfa al servidor (9), y el certificado (45) del servidor se envfa al telefono (5). A
5
10
15
20
25
30
35
40
45
50
55
continuacion, ambas partes validaran el contenido de los certificados (17, 45) recibidos, y la firma digital, para asegurarse de que los detalles de los certificados (17, 45) no se han manipulado. Esta validacion se realiza usando un certificado (51) digital de CA que es parte tanto de la aplicacion (13) de software del lado del usuario como de la aplicacion (15) del lado del servidor o sus respectivos modulos de cifrado. El conocimiento de la clave (29) publica de CA puede, sin embargo, ser suficiente para permitir la validacion de los certificados respectivos a realizarse. Debena apreciarse que el certificado (51) digital de CA incluira la clave (29) publica de CA y que por lo tanto las aplicaciones del lado del usuario y del servidor usaran la clave (29) publica de Ca para descifrar los certificados (17, 45) firmados. Si no se pueden descifrar los certificados con la clave (29) publica de CA, sera evidente que no se han firmado con la clave (27) privada de CA, y por lo tanto no son autenticos.
En este punto, ambas partes pueden estar seguras de que estan hablando con los destinatarios. Ahora, el telefono (5) y el servidor (9) pueden compartir las claves (25) de cifrado por medio de las que puede hacerse un cifrado adicional de sus comunicaciones. Las claves (25) de cifrado compartidas son normalmente las claves de cifrado simetricas. Debena apreciarse que, despues del intercambio de certificados, el telefono (5) estara en posesion de la clave (47) publica del servidor de aplicaciones y el servidor (9) de aplicaciones estara en posesion de la clave (33) publica del telefono. Por lo tanto, las claves de cifrado pueden cifrarse por el telefono usando la clave (47) publica de servidor, y por el servidor usando la clave (33) publica del telefono, garantizando de este modo que solo las partes receptoras seran capaces de descifrar las comunicaciones usando sus claves (31,49) privadas respectivas.
El identificador (37) de telefono incluido en el certificado (17) de usuario tambien puede usarse por el servidor (9) de aplicaciones para identificar de forma unica el telefono (5) y, en consecuencia, al usuario (7). El servidor de aplicaciones puede tener una base de datos de todos los identificadores emitidos por la CA (11) para los clientes del servidor de aplicaciones, y puede elegir comunicarse solo con los telefonos incluidos en la base de datos. Los identificadores (37) tambien pueden estar unidos por el servidor (9) de aplicaciones a otra informacion relacionada con el usuario (7). Por lo tanto, cuando el servidor (9) de aplicaciones recibe un certificado (17) de usuario desde el telefono (5), puede validarse en primer lugar que el certificado sea autentico y que se ha emitido por la CA (11), y en segundo lugar que el telefono (5) esta de hecho asociado con un usuario registrado. Por lo tanto, el certificado (17) de usuario digital se usa no solo para autenticar el canal (3) de comunicaciones entre el telefono (5) y el servidor (9) de aplicaciones, sino tambien para identificar de forma unica al telefono (5) que esta intentando realizar transacciones con el servidor (9) de aplicaciones. De este modo, el servidor (9) de aplicaciones puede basarse en las comunicaciones recibidas desde el telefono y estar seguro de que la comunicacion a traves del canal (3) de comunicaciones es segura.
Debena apreciarse que la aplicacion de software del lado del usuario tambien puede validar que el servidor de aplicaciones es el legftimo propietario del certificado que envio, simplemente en virtud del hecho de que la aplicacion de software del lado del usuario es capaz de descifrar la comunicacion enviada al mismo por el servidor de aplicaciones y que se ha cifrado con la clave privada del servidor de aplicaciones. Solo las comunicaciones cifradas con la clave privada del servidor de aplicaciones seran capaces de descifrarse con la clave publica del servidor de aplicaciones.
En una realizacion alternativa de la invencion, el telefono movil y el servidor de aplicaciones pueden incluir unos modulos de software adicionales y a medida, distribuidos por el propietario del servidor de aplicaciones. En esta realizacion, los modulos de software a medida se comunicaran con las aplicaciones de software del lado del usuario y del lado del servidor y/o los modulos de cifrado del lado del usuario y del servidor con el fin de invocar la funcionalidad de la invencion.
Es previsible que la CA pueda emitir periodicamente nuevos certificados a todos los telefonos y/o servidores de aplicaciones a los que ha emitido previamente certificados. Esto se puede hacer con la frecuencia necesaria, pero preferentemente sobre una base anual. La emision de nuevos certificados de usuario puede incluir tambien a continuacion el calculo y la emision de nuevos pares de claves privada/publica de usuario en los casos donde la CA calcula los mismos en representacion del telefono movil.
Tambien es previsible que el sistema sea capaz de emitir certificados que incluyan unas claves con tamanos de bit cada vez mas grandes. En el momento de escribir, el estandar de la industria para las claves publicas y privadas es de 1024 bits. Sin embargo, el sistema puede adaptarse facilmente para emitir pares de claves de 2048, 3072 y mas bits.
La primera vez que la CA recibe una solicitud de un certificado de usuario de un telefono nuevo, se apreciara que la CA puede emitir un telefono de este tipo con un certificado autofirmado. A continuacion, la CA puede comunicar la solicitud del certificado, junto con la identidad supuesta del telefono nuevo al servidor de aplicaciones que, a su vez, puede decidir si puede emitirse un certificado de usuario legftimo al telefono. Si el servidor de aplicaciones decide que el telefono debena emitir un certificado de usuario legftimo comunicara esta decision a la Ca que, a su vez; emitira un certificado de usuario legftimo, totalmente firmado al telefono, como se ha descrito anteriormente. De este modo, el servidor de aplicaciones puede mantener un registro de las identidades y el numero de certificados legftimos emitidos a sus usuarios por la CA.
La descripcion anterior es solo a modo de ejemplo y se apreciara que pueden hacerse numerosas modificaciones a las realizaciones descritas sin apartarse del ambito de la invencion. En particular, la arquitectura del sistema y el flujo de datos como se ha descrito puede realizarse de cualquier numero de maneras diferentes y en cualquier orden trabajable.
5 El sistema y procedimiento de la invencion proporciona una forma de autenticar un canal de comunicaciones entre un telefono movil, en particular, un telefono movil, y un servidor de aplicaciones en lmea, as^ como una manera de identificar de forma unica el telefono de transaccion y cifrar las comunicaciones adicionales entre el servidor de aplicaciones y el telefono.
Por lo tanto, la invencion proporciona una forma segura de realizar transacciones desde telefonos moviles con los 10 servidores de aplicaciones en lmea, haciendo de este modo posible y seguro para los proveedores de servicios, tales como los bancos, permitir el pleno uso de las funcionalidades de sus servicios en lmea desde los telefonos moviles y otros telefonos moviles.
El sistema de la invencion tambien puede usarse en otros dispositivos de comunicaciones moviles tales como los ordenadores portatiles. Con la tecnologfa SSL estandar usada en la mayona de los casos, el ordenador portatil del 15 usuario no se emite normalmente con su propio certificado digital. Por lo tanto, normalmente no hay confirmacion desde el lado del usuario porque el usuario de transaccion es, de hecho, el que pretende ser.
Por lo tanto, la invencion proporciona una forma mas fuerte de autenticacion y una comunicacion mas segura que la proporcionada por los sistemas disponibles en la actualidad. El modulo de cifrado proporcionado por la CA de acuerdo con la invencion, permite que las aplicaciones de software disponibles en la actualidad utilicen la invencion.
20

Claims (13)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    REIVINDICACIONES
    1. Un sistema (1) para autentificar un canal (3) de comunicaciones entre un telefono (5) movil asociado a un usuario (7) y un servidor (9) de aplicaciones, para identificar de forma unica el telefono (5) movil y para cifrar las comunicaciones entre el telefono (5) movil y el servidor (9) de aplicaciones por el canal de comunicaciones, incluyendo el sistema una autoridad (11) de certificacion, una aplicacion (13) de software del lado del usuario instalada en el telefono (5) movil y un aplicacion (15) de software del lado del servidor instalada en el servidor (9) de aplicaciones, en el que:
    la aplicacion (13) de software del lado del usuario esta configurada para utilizar un modulo de cifrado del lado del usuario proporcionado por la autoridad (11) de certificacion y para solicitar automaticamente un certificado (17) de usuario digital de la autoridad (11) de certificacion;
    la autoridad (11) de certificacion esta adaptada para, tras recibir la solicitud, calcular un par (31, 33) de claves privada y publica de usuario en representacion del telefono (5) movil si el telefono (5) movil no tiene suficiente capacidad de procesamiento para hacerlo por sf mismo, para crear y emitir el certificado (17) de usuario al telefono (5) movil, incluyendo el certificado (17) de usuario al menos un identificador que se asocia de forma unica con el telefono (5) movil y la clave (33) publica de usuario, y para transmitir la clave (31) privada de usuario al telefono (5) movil por un canal de comunicaciones seguro establecido entre la autoridad (11) de certificacion y el telefono (5) movil por medio de un protocolo de intercambio de claves adecuado;
    la aplicacion (15) de software del lado del servidor esta configurada para utilizar un modulo de cifrado del lado del servidor proporcionado por la autoridad (11) de certificacion y para solicitar y recibir el certificado (17) de usuario desde el telefono (5) movil, para validarlo como procedente de la autoridad (11) de certificacion usando el modulo (15) de cifrado del lado del servidor, para identificar de forma unica el telefono (5) movil a partir del identificador con el certificado (17) de usuario, y para transmitir un certificado (45) de servidor digital emitido para el mismo por la autoridad (11) de certificacion al telefono (5) movil donde se recibe por la aplicacion (13) de software del lado del usuario y se valida como procedente de la autoridad (11) de certificacion usando el modulo de cifrado del lado del usuario; y
    tras la validacion satisfactoria del certificado (17) de usuario por la aplicacion (15) de software del lado del servidor y del certificado (45) de servidor por la aplicacion (13) de software del lado del usuario, la aplicacion (13) de software del lado del usuario y la aplicacion (15) de software del lado del servidor se configuran adicionalmente para compartir las claves de cifrado que utilizan sus respectivos certificados para proporcionar el cifrado, siendo las claves de cifrado utiles para mas cifrados de datos entre el telefono (5) movil y el servidor (9) de aplicaciones.
  2. 2. Un sistema (1) de acuerdo con la reivindicacion 1, en el que la aplicacion (13) de software del lado del usuario esta configurada para solicitar automaticamente el certificado (17) de usuario digital de la autoridad (11) de certificacion cuando el telefono (5) movil intenta realizar transacciones con el servidor (9) de aplicaciones por primera vez.
  3. 3. Un sistema (1) de acuerdo con la reivindicacion 1 o la reivindicacion 2, en el que la aplicacion (13) de software del lado del usuario y la aplicacion (15) de software del lado del servidor estan configuradas adicionalmente para compartir las claves de cifrado que utilizan los pares (31, 33; 47,49) de claves publica y privada asociadas con sus respectivos certificados.
  4. 4. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que el identificador es una clave digital unica emitida y asignada al telefono movil por la autoridad (11) de certificacion.
  5. 5. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que el certificado (45) de servidor incluye un identificador de servidor asociado de forma unica con el servidor (9) de aplicaciones y por medio del cual el telefono (5) movil puede identificar de forma unica el servidor (9) de aplicaciones.
  6. 6. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que los certificados (17, 45) de usuario y de servidor incluyen una firma de autoridad de certificacion generada con una clave privada de autoridad de certificacion, una clave (29) publica de autoridad de certificacion correspondiente por medio de la cual puede verificarse la firma que se conoce para las aplicaciones (13, 15) de software y/o los modulos de cifrado tanto del lado del usuario como del lado del servidor.
  7. 7. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que la autoridad (11) de certificacion esta configurada para incluir la clave (33) publica de usuario en el certificado (17) de usuario y la clave (47) publica de servidor en el certificado (45) de servidor.
  8. 8. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que la aplicacion (13) de software del lado del usuario o el modulo de cifrado estan configurados adicionalmente para dar instrucciones al telefono (5) movil para calcular por sf mismo el par (31, 33) de claves criptograficas privada y publica de usuario.
  9. 9. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que la aplicacion (15) de software del lado del servidor o el modulo de cifrado estan configurados para dar instrucciones al servidor (9) de aplicaciones para calcular un par (49,47) de claves privada y publica de servidor.
    5
    10
    15
    20
    25
    30
  10. 10. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que la aplicacion (13) de software del lado del usuario o el modulo de cifrado estan configurados adicionalmente para dar instrucciones al telefono (5) movil para almacenar el certificado (17) de usuario recibido y el par (31, 33) de claves privada y publica de usuario en una localizacion segura en una memoria de telefono movil desde la que solo puede recuperarse por las aplicaciones autorizadas.
  11. 11. Un sistema (1) de acuerdo con una cualquiera de las reivindicaciones anteriores, en el que la autoridad (11) de certificacion esta configurada para emitir periodicamente un nuevo certificado a uno o ambos del telefono (5) movil y el servidor (9) de aplicaciones.
  12. 12. Un procedimiento para permitir la autenticacion de un canal (3) de comunicaciones entre un telefono (5) movil asociado a un usuario (7) y un servidor (9) de aplicaciones y una identificacion unica del telefono (5) movil por el servidor (9) de aplicaciones, realizandose el procedimiento en una autoridad (11) de certificacion e incluyendose las etapas de;
    recibir una solicitud de un certificado (17) de usuario digital desde el telefono (5) movil, habiendose enviado la solicitud desde una aplicacion (13) de software del lado del usuario instalada en el telefono (5) movil; calcular un par de claves asimetricas unicas, incluyendo las claves (31, 33) privada y publica de usuario en representacion del telefono (5) movil si el telefono (5) movil no tiene suficiente capacidad de procesamiento para hacerlo por sf mismo, crear y emitir el certificado (17) de usuario para el telefono (5) movil, incluyendo el certificado (17) de usuario al menos un identificador asociado de forma unica con el telefono (5) movil por medio del cual puede identificarse de forma unica el telefono (5) movil y la clave (33) publica de usuario, transmitir la clave (31) privada de usuario al telefono movil por un canal de comunicaciones seguro establecido entre la autoridad (11) de certificacion y el telefono (5) movil por medio de un protocolo de intercambio de claves adecuado;
    emitir un certificado (45) de servidor digital para el servidor (9) de aplicaciones; e incluir una firma digital tanto en el certificado (17) de usuario como en el certificado (45) de servidor que permita a la aplicacion (13) de software del lado del usuario y a una aplicacion (15) de software del lado del servidor intercambiar certificados y validar los certificados (17, 45) respectivos usando al menos la firma digital y un modulo de cifrado proporcionado por la autoridad (11) de certificacion.
  13. 13. Un procedimiento de acuerdo con la reivindicacion 12, que incluye la etapa de, tras recibir la solicitud, asegurar el canal (3) de comunicaciones con el telefono (5) movil por medio de un protocolo de intercambio de claves adecuado.
ES11828215.1T 2010-09-30 2011-09-30 Identificación de teléfono móvil y autenticación de comunicación Active ES2601505T3 (es)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
ZA201006995 2010-09-30
ZA201006995 2010-09-30
ZA2011/00198A ZA201100198B (en) 2010-09-30 2011-01-07 Mobile handset identification and communication authentication
ZA201100198 2011-01-07
PCT/IB2011/002305 WO2012042367A1 (en) 2010-09-30 2011-09-30 Mobile handset identification and communication authentication

Publications (1)

Publication Number Publication Date
ES2601505T3 true ES2601505T3 (es) 2017-02-15

Family

ID=45892052

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11828215.1T Active ES2601505T3 (es) 2010-09-30 2011-09-30 Identificación de teléfono móvil y autenticación de comunicación

Country Status (10)

Country Link
US (2) US8707029B2 (es)
EP (1) EP2622786B1 (es)
CN (1) CN103229452B (es)
AU (1) AU2011309758B2 (es)
BR (1) BR112013007397A2 (es)
CA (1) CA2812847C (es)
ES (1) ES2601505T3 (es)
HU (1) HUE030543T2 (es)
PL (1) PL2622786T3 (es)
WO (1) WO2012042367A1 (es)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU781021B2 (en) * 1999-06-18 2005-04-28 Echarge Corporation Method and apparatus for ordering goods, services and content over an internetwork using a virtual payment account
CN103685384A (zh) * 2012-09-12 2014-03-26 中兴通讯股份有限公司 防恶意骚扰的用户身份验证方法及装置
CA2888443A1 (en) * 2012-10-15 2014-04-24 Open Access Technology Intenrational, Inc. Certificate installation and delivery process, four factor authentication, and applications utilizing same
CN104782077B (zh) * 2012-10-30 2017-12-05 国际商业机器公司 密码证书重发的方法和装置以及防篡改设备
GB201309577D0 (en) * 2013-05-29 2013-07-10 Barclays Bank Plc Linked registration
US9294468B1 (en) * 2013-06-10 2016-03-22 Google Inc. Application-level certificates for identity and authorization
CN103391196A (zh) * 2013-07-04 2013-11-13 黄铁军 一种资产数字认证方法与设备
RU2583710C2 (ru) 2013-07-23 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
US11605070B2 (en) 2013-07-29 2023-03-14 The Toronto-Dominion Bank Cloud-based electronic payment processing
US8904195B1 (en) * 2013-08-21 2014-12-02 Citibank, N.A. Methods and systems for secure communications between client applications and secure elements in mobile devices
US9225715B2 (en) * 2013-11-14 2015-12-29 Globalfoundries U.S. 2 Llc Securely associating an application with a well-known entity
US10652240B2 (en) * 2014-05-29 2020-05-12 Entersekt International Limited Method and system for determining a compromise risk associated with a unique device identifier
GB2527603B (en) * 2014-06-27 2016-08-10 Ibm Backup and invalidation of authentication credentials
WO2016053265A1 (en) 2014-09-30 2016-04-07 Hewlett Packard Enterprise Development Lp Metrics authorization based on a certificate
US9906954B2 (en) 2014-10-20 2018-02-27 Payfone, Inc. Identity authentication
US9871819B2 (en) * 2014-11-13 2018-01-16 General Electric Company Zone-based security architecture for intra-vehicular wireless communication
US9843452B2 (en) * 2014-12-15 2017-12-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US20160360403A1 (en) * 2015-01-05 2016-12-08 Ebid,Products & Solutions, S.L. Procedure for generating a digital identity of a user of a mobile device, digital identity of the user, and authentication procedure using said digital identity of the user
JP6659220B2 (ja) * 2015-01-27 2020-03-04 ルネサスエレクトロニクス株式会社 通信装置、半導体装置、プログラムおよび通信システム
CN105704715A (zh) * 2015-04-10 2016-06-22 浙江公共安全技术研究院有限公司 一种移动终端的安全通信认证方法
CN106209730B (zh) * 2015-04-30 2020-03-10 华为技术有限公司 一种管理应用标识的方法及装置
US9641516B2 (en) * 2015-07-01 2017-05-02 International Business Machines Corporation Using resource records for digital certificate validation
IL240909A (en) * 2015-08-27 2017-04-30 Syber 2 0 (2015) Ltd Mixing communication inlets for computer networks
KR102576417B1 (ko) * 2015-11-19 2023-09-08 로베르트 보쉬 게엠베하 네트워크화된 컴퓨터를 통한 임베디드 디바이스에 대한 보안 액세스 제어
CN106909357B (zh) * 2015-12-22 2020-12-01 中国移动通信集团公司 一种应用程序渠道信息获取方法和装置
US10149166B2 (en) * 2016-01-14 2018-12-04 Blackberry Limited Verifying a certificate
WO2018010791A1 (en) * 2016-07-14 2018-01-18 Huawei Technologies Co., Ltd. Apparatus and method for certificate enrollment
US10771451B2 (en) 2016-09-13 2020-09-08 Queralt, Inc. Mobile authentication and registration for digital certificates
US11431509B2 (en) 2016-09-13 2022-08-30 Queralt, Inc. Bridging digital identity validation and verification with the FIDO authentication framework
US10887113B2 (en) 2016-09-13 2021-01-05 Queralt, Inc. Mobile authentication interoperability for digital certificates
US10447668B1 (en) 2016-11-14 2019-10-15 Amazon Technologies, Inc. Virtual cryptographic module with load balancer and cryptographic module fleet
US10461943B1 (en) * 2016-11-14 2019-10-29 Amazon Technologies, Inc. Transparently scalable virtual hardware security module
US11228580B2 (en) * 2018-06-25 2022-01-18 Apple Inc. Two-factor device authentication
US10769873B1 (en) * 2019-06-28 2020-09-08 Alibaba Group Holding Limited Secure smart unlocking
CN112543454B (zh) * 2020-11-30 2022-11-15 亚信科技(成都)有限公司 一种认证方法及设备
CN114595465A (zh) * 2020-12-04 2022-06-07 成都鼎桥通信技术有限公司 数据加密处理方法、装置及电子设备
EP4342205A1 (en) * 2021-05-19 2024-03-27 Prove Identity, Inc. Single-exchange authentication of a communications device
US20230276222A1 (en) * 2022-01-28 2023-08-31 At&T Intellectual Property I, L.P. Split input and output (io) for subscriber identity module (sim) swaps
US11985124B2 (en) 2022-06-02 2024-05-14 Bank Of America Corporation System for implementing multifactor authentication based on secure tokenization

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6161180A (en) * 1997-08-29 2000-12-12 International Business Machines Corporation Authentication for secure devices with limited cryptography
CA2235359C (en) * 1998-03-23 2012-04-10 Certicom Corp. Implicit certificate scheme with ca chaining
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
WO2002063847A2 (en) * 2001-02-06 2002-08-15 Certicom Corp. Mobile certificate distribution in a public key infrastructure
CN1447269A (zh) * 2003-04-10 2003-10-08 深圳市深信服电子科技有限公司 基于硬件特征的证书认证系统和方法
US8719574B2 (en) * 2006-08-31 2014-05-06 Red Hat, Inc. Certificate generation using virtual attributes
US8327146B2 (en) * 2008-03-31 2012-12-04 General Motors Llc Wireless communication using compact certificates
US8301880B2 (en) * 2009-11-09 2012-10-30 Cisco Technology, Inc. Certificate enrollment with purchase to limit sybil attacks in peer-to-peer network

Also Published As

Publication number Publication date
US20140258710A1 (en) 2014-09-11
WO2012042367A1 (en) 2012-04-05
AU2011309758B2 (en) 2015-08-13
CN103229452A (zh) 2013-07-31
US20130132717A1 (en) 2013-05-23
EP2622786A1 (en) 2013-08-07
CA2812847C (en) 2018-10-02
BR112013007397A2 (pt) 2016-07-12
PL2622786T3 (pl) 2017-07-31
US8707029B2 (en) 2014-04-22
CA2812847A1 (en) 2012-04-05
CN103229452B (zh) 2016-11-16
EP2622786B1 (en) 2016-08-03
HUE030543T2 (en) 2017-05-29
EP2622786A4 (en) 2014-07-30
AU2011309758A1 (en) 2013-05-23

Similar Documents

Publication Publication Date Title
ES2601505T3 (es) Identificación de teléfono móvil y autenticación de comunicación
US10693848B2 (en) Installation of a terminal in a secure system
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
KR102124413B1 (ko) 아이디 기반 키 관리 시스템 및 방법
US8144874B2 (en) Method for obtaining key for use in secure communications over a network and apparatus for providing same
US10348498B2 (en) Generating a symmetric encryption key
ES2625254T3 (es) Tarjeta con chip de telecomunicaciones
US10356090B2 (en) Method and system for establishing a secure communication channel
ES2316993T3 (es) Procedimiento y sistema para proteger la informacion intercambiada durante una comunicacion entre usuarios.
CN104901935A (zh) 一种基于cpk的双向认证及数据交互安全保护方法
CN104683359A (zh) 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法
US10511596B2 (en) Mutual authentication
CN110800248A (zh) 用于第一应用和第二应用之间的互相对称认证的方法
CN110493367B (zh) 无地址的IPv6非公开服务器、客户机与通信方法
CN108574571B (zh) 私钥生成方法、设备以及系统
ES2764377T3 (es) Gestión central de certificados
JP2017525236A (ja) 増強メディア・プラットフォームによる通信の安全確保
Kfoury et al. Secure End-to-End VoIP System Based on Ethereum Blockchain.
US11170094B2 (en) System and method for securing a communication channel
CN103312671B (zh) 校验服务器的方法和系统
Khan et al. An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA
ES2908569T3 (es) Sistema y procedimiento de comunicación protegida para la transmisión de mensajes
JP2008294861A (ja) 鍵管理方法及びシステム及びサービス提供センタ装置及びicカード及びプログラム
Palit E-Commerce Authentication
Lee et al. Security analysis and improvement of an anonymous authentication scheme for roaming services