ES2645289T3 - Autenticación de transacciones seguras - Google Patents
Autenticación de transacciones seguras Download PDFInfo
- Publication number
- ES2645289T3 ES2645289T3 ES09830074.2T ES09830074T ES2645289T3 ES 2645289 T3 ES2645289 T3 ES 2645289T3 ES 09830074 T ES09830074 T ES 09830074T ES 2645289 T3 ES2645289 T3 ES 2645289T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- mobile communication
- communication device
- user
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/326—Payment applications installed on the mobile devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
- G06Q20/425—Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- General Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Economics (AREA)
- Power Engineering (AREA)
- Development Economics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Un procedimiento para la autenticación de una transacción segura a realizar entre un anfitrión (15) de transacciones seguras y un usuario que realiza una transacción (9), llevándose a cabo el procedimiento en un proveedor de servicios de autenticación y comprendiendo las etapas de: recibir una solicitud de autenticación desde un anfitrión (15) de transacciones seguras; recibir un identificador digital (13) que contiene un identificador de hardware desde un dispositivo de comunicación móvil (7) asociado con el usuario que realiza una transacción (9), por lo que el dispositivo de comunicación móvil puede ser identificado de manera única, habiéndose creado el identificador digital (13), sin intervención del usuario, mediante una aplicación de autenticación (59) instalada en el dispositivo de comunicación móvil, en función del identificador de hardware y de por lo menos un número aleatorio creado mediante la aplicación de autenticación, de tal modo que el identificador digital (13) no se puede volver a crear sin el dispositivo de comunicación móvil del usuario (9), y estableciendo de ese modo una asociación biunívoca entre el identificador digital y el dispositivo de comunicación móvil (7) del usuario (9), almacenándose el identificador digital (13) en un emplazamiento de almacenamiento seguro (65) en el dispositivo de comunicación móvil desde donde puede ser recuperado solamente mediante aplicaciones autorizadas que incluyen la aplicación de autenticación (59); comparar el identificador digital (13) con una lista de identificadores digitales asociados con dispositivos de comunicación móvil de usuarios preinscritos, almacenada en una base de datos (5) asociada con el proveedor de servicios de autenticación; si el identificador digital recibido (13) corresponde a un identificador digital almacenado en la base de datos (5), permitir el establecimiento de un enlace de comunicación segura entre el dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) y el proveedor de servicios de autenticación, siendo el enlace de comunicación segura iniciado desde la aplicación de autenticación (59) del dispositivo de comunicación móvil (7); transmitir una solicitud de confirmación de transacción al dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) sobre el enlace de comunicación segura, solicitando la solicitud al usuario (9) que confirme o deniegue su comportamiento previsto de la transacción segura; recibir un resultado de confirmación o denegación desde el dispositivo de comunicación móvil (7); en respuesta a un resultado de confirmación, transmitir un resultado de autenticación positivo al anfitrión (15) de la transacción segura; y en respuesta a un resultado de denegación, transmitir un resultado de autenticación negativo al anfitrión (15) de la transacción segura.
Description
Autenticación de transacciones seguras
La presente invención se refiere a un procedimiento de autenticación de transacciones seguras. En particular, pero 5 no exclusivamente, la invención se refiere a un procedimiento para autenticar la identidad de usuarios que realizan transacciones seguras, en particular, transacciones seguras en línea.
La invención incluye un sistema de autenticación de usuarios y una plataforma a utilizar por los clientes cuando se requiere autenticación de usuario.
10 Las contraseñas o claves de acceso son ampliamente utilizadas para controlar el acceso autorizado a medios electrónicos, tales como programas informáticos o sitios web de internet, por ejemplo sitios web de banca por internet. A menudo, cuando un usuario desea obtener acceso autorizado a un programa/sitio web, el usuario tiene que introducir un identificador de inicio de sesión (nombre de usuario) y una contraseña secreta. A continuación, estos son verificados en entradas de una base de datos segura mediante el programa/sitio web, y el acceso se
15 permite solamente si el identificador de inicio de sesión y la contraseña concuerdan correctamente con una entrada de la base de datos. La utilización de dichos identificador de inicio de sesión y contraseña para controlar el acceso autorizado se conoce como autenticación de un factor.
Los recursos protegidos por contraseña en redes informáticas como internet, abarcan desde los servicios más simples, por ejemplo, gestionar las suscripciones a listas de correo electrónico del usuario, hasta servicios que 20 requieren cifrado y protección de alto nivel, tales como carteras de inversión y servicios bancarios. Con la evolución de la tecnología y la proliferación de operadores sin escrúpulos, en particular en el ámbito en línea, la protección de estos recursos sensibles mediante solamente un nombre de usuario y una contraseña se ha vuelto insuficiente y, de hecho, cada vez más infrecuente. La principal desventaja de una simple contraseña es que el conocimiento de dicho único elemento vital de información puede proporcionar a cualquier persona, en cualquier lugar, en cualquier
25 momento, acceso no autorizado a los datos sensibles para cuya protección está concebida.
Por lo tanto, una autenticación de un factor proporciona una protección relativamente débil, dado que depende de que el usuario mantenga en secreto su identificación y contraseña de inicio de sesión. Además, se ha desarrollado el denominado software de "registro de teclas" que puede ser instalado en ordenadores como un denominado "software espía", para registrar cualesquiera pulsaciones de teclado realizadas por un usuario en un teclado
30 informático. Dicho software espía, que a menudo es instalado clandestinamente por criminales en ordenadores en lugares públicos tales como cafés de internet, permite a una tercera parte registrar inadvertidamente un identificador y una contraseña de inicio de sesión de usuario, y utilizarlos posteriormente para obtener acceso no autorizado a la información segura del usuario. Por lo tanto, éste es un procedimiento relativamente sencillo para sortear la autenticación de un factor.
35 Por lo que sabe el solicitante, los intentos recientes de mejorar la seguridad han utilizado los teléfonos móviles de los usuarios, dado que se supone la existencia de una relación biunívoca entre un usuario y su teléfono móvil. Para utilizar esta tecnología, se supone que el teléfono está siempre en poder del usuario. Los mensajes del servicio de mensajes cortos (SMS, Short Messages Service) son actualmente el mecanismo de suministro preferido para los mensajes de seguridad, y generalmente adoptan la forma de un mensaje de texto enviado por el proveedor de
40 servicio (por ejemplo, una entidad bancaria) al teléfono móvil del usuario. El mensaje incluye normalmente un solo pin de utilización única (OTP, one-time-pin) que el usuario tiene que introducir manualmente en el entorno seguro al que desea acceder, o antes de realizar una transacción segura, junto con sus detalles habituales de inicio de sesión. Aunque esta tecnología añade una capa extra de seguridad, sigue siendo susceptible al abuso mediante técnicas tales como la clonación de tarjetas SIM. Requiere asimismo que el usuario introduzca un código de 8 dígitos desde
45 el teléfono móvil en el sitio web o bien para la transacción segura que desea realizar. Otro inconveniente de esta tecnología es el coste relativamente elevado involucrado para la entidad que aloja a la transacción segura, dado que ésta tiene que enviar un mensaje SMS a través de un proveedor de red GSM cada vez que hay un usuario tiene que ser autenticado. La autenticación puede tener lugar varias veces durante cualquier sesión particular, y normalmente cada uno de dichos mensajes será facturado individualmente por el proveedor de red GSM.
50 El documento US 2004/0097217 da a conocer un procedimiento y un sistema de autorización y autenticación basados en información específica de hardware de un dispositivo móvil registrado en un servidor de confianza, en asociación con credenciales relacionadas con el usuario.
Existen asimismo otras soluciones completamente fuera de línea, en las que un dispositivo digital móvil genera aleatoriamente una contraseña de acceso cada vez que el usuario desea realizar una transacción segura. La 55 contraseña de acceso es generalmente un número hash irrelevante generado según algún algoritmo predefinido o una clave privada que está almacenada en el dispositivo y que el entorno seguro puede reconocer como estando originada en un dispositivo autorizado. Esta solución implica un coste de hardware inicial para la entidad emisora (en
la mayor parte de los casos, bancos), y se obliga al usuario a llevar consigo un elemento extra de hardware. Además, esta tecnología sigue requiriendo que el usuario introduzca una clave de acceso, en ocasiones larga y complicada, antes de permitirle realizar la transacción segura. Dado que los errores en la transcripción de la clave de acceso desde el dispositivo digital móvil tendrán como resultado el rechazo de la transacción, esto añade
5 normalmente un retardo de tiempo significativo a la transacción dado que se obliga al usuario a transcribir la clave de acceso con mucha atención. No obstante, esta solución está sujeta asimismo a varias amenazas de seguridad. El hecho de que sea completamente fuera de línea la hace vulnerable a abuso sin conocimiento del usuario. Asimismo, si el dispositivo de generación de claves (OTP) es robado, el ladrón estará en poder de un dispositivo que genera OTP legítimas, y todo lo que el ladrón necesita es un nombre de usuario y una contraseña legítimas, que se pueden conseguir fácilmente mediante software espía u otros medios.
Por lo tanto, los sistemas de autenticación de usuario existentes que conoce el solicitante hacen uso de autenticación de un factor (nombre de usuario y contraseña) o de autenticación de dos factores fuera de línea (tal como se ha descrito en los dos párrafos anteriores) para proteger información sensible. La autenticación de dos factores (T-FA, two-factor authentication) se refiere generalmente a un sistema en el que se utilizan dos elementos,
15 o factores, diferentes para autenticar la identidad de una persona o de una información. Los dos factores incluyen normalmente algo que está en poder de la persona que se tiene que autenticar (por ejemplo, el dispositivo de hardware de generación de claves de acceso o el teléfono móvil, en los ejemplos anteriores) y algo que ésta conoce (por ejemplo, un nombre de usuario y una contraseña). Usar dos factores en lugar de uno proporciona un mayor nivel de integridad a la autenticación. Cualquier tipo de autenticación en la que se utilice más de un factor se denomina generalmente autenticación fuerte.
En el resto de esta memoria, el término "transacción segura" se interpretará en sentido amplio y puede incluir cualquier caso en el que se requiera una autenticación de usuario antes de realizar una operación segura o antes de que se conceda acceso a un entorno seguro. Análogamente, un "anfitrión de una transacción segura" o "cliente" se deberá interpretar en sentido amplio para incluir cualquier entidad que ofrezca servicios seguros y que pueda
25 requerir la autenticación de sus usuarios para proporcionar los servicios.
Un objetivo de la invención es dar a conocer un sistema y un procedimiento de autenticación de transacciones seguras que solucionen por lo menos parcialmente los problemas mencionados anteriormente con los sistemas de autenticación existentes.
De acuerdo con esta invención, se da a conocer un procedimiento para realizar una autenticación de una transacción segura entre un anfitrión de transacciones seguras y un usuario que realiza una transacción, según se expone en la reivindicación 1.
Otra característica de la invención contempla que el dispositivo de comunicación móvil sea un teléfono móvil.
35 Otras características adicionales de la invención contemplan que el procedimiento incluya las etapas de: solicitar el identificador digital del dispositivo de comunicación móvil tras la recepción de una solicitud de autenticación procedente del anfitrión de transacciones seguras; recibir el resultado de confirmación o denegación sobre el enlace de comunicación segura; y que la etapa de recibir el identificador digital desde el dispositivo de comunicación móvil asociado con el usuario que realiza una transacción incluya recibir el identificador digital desde el emplazamiento de almacenamiento seguro en el dispositivo de comunicación móvil.
La invención da a conocer además un sistema para autenticar una transacción segura realizada entre un usuario que realiza una transacción y un anfitrión de transacciones seguras, según se expone en la reivindicación 4.
Otras características de la invención contemplan la comunicación del resultado de confirmación o denegación sobre el enlace de comunicación segura; que el dispositivo de comunicación móvil sea un teléfono móvil; que la aplicación 45 de autenticación del dispositivo de comunicación móvil sea una aplicación de software que se pueda descargar en el teléfono móvil desde un dominio asociado con el proveedor de servicios de autenticación, a través de internet; que el identificador digital se cree como una función del número de identidad internacional de equipo móvil (IMEI, International Mobile Equipment Identity) del teléfono móvil en el que está instalada la aplicación, del número de identidad internacional de abonado a móvil (IMSI, International Mobile Subscriber Identity) de la tarjeta SIM que se está utilizando en el teléfono móvil y de un número aleatorio almacenado en el dispositivo de teléfono móvil, y almacenar el identificador digital en un emplazamiento de almacenamiento en el dispositivo de comunicación móvil; y un proveedor de servicios de autenticación que incluye por lo menos un servidor de autenticación y una base de datos de autenticación asociada con el mismo; donde el servidor de autenticación está configurado para inscribir usuarios registrando por lo menos los identificadores digitales compuestos mediante la aplicación instalada en sus 55 dispositivos de comunicación móvil en la base de datos de autenticación; recibir una solicitud de autenticación desde el anfitrión de transacciones seguras; recibir un identificador digital desde un dispositivo de comunicación móvil del usuario que realiza una transacción; comparar el identificador digital recibido con una lista de identificadores digitales asociados con dispositivos de comunicación móvil de usuarios preinscritos almacenados en la base de datos;
transmitir una solicitud de confirmación de transacción al dispositivo de comunicación móvil del usuario que realiza una transacción si el identificador digital recibido corresponde a un identificador digital almacenado en la base de datos, solicitar al usuario que confirme o deniegue su comportamiento previsto de la transacción segura; recibir un resultado de confirmación o denegación desde el dispositivo de comunicación móvil del usuario que realiza una
5 transacción; y transmitir un resultado de autenticación positivo al anfitrión de transacciones seguras en respuesta a un resultado de confirmación, y un resultado de autenticación negativo en respuesta a un resultado de denegación.
Otras características de la invención contemplan el establecimiento de un enlace de comunicación entre el servidor y el dispositivo de comunicación móvil del usuario que realiza una transacción si el identificador digital recibido corresponde a un identificador digital almacenado en la base de datos, comunicándose la solicitud de confirmación 10 de transacción y el resultado de confirmación o denegación sobre el enlace de comunicación; que el dispositivo de comunicación móvil sea un teléfono móvil; que la aplicación del dispositivo de comunicación móvil sea una aplicación de software que se pueda descargar en el teléfono móvil desde un dominio asociado con el proveedor de servicios de autenticación, a través de internet; que el identificador digital se componga de una función del número de identidad internacional de equipo móvil (IMEI) del teléfono móvil en el que está instalada la aplicación, del número
15 de identidad internacional de abonado a móvil (IMSI) de la tarjeta SIM que se está utilizando en el teléfono móvil y de un número aleatorio almacenado en la memoria del teléfono móvil; que el emplazamiento de almacenamiento en el teléfono móvil sea seguro y accesible mediante la aplicación por medio de características de gestión de derechos digitales de un sistema operativo que funciona en el teléfono móvil; y que solamente las aplicaciones autorizadas, preferentemente solamente la aplicación, tengan acceso al identificador único almacenado en el teléfono móvil.
20 Otras características de la invención contemplan que la aplicación esté configurada para crear periódicamente un nuevo identificador digital utilizando el número IMEI del teléfono móvil, el número IMSI de la tarjeta SIM del teléfono móvil y un número aleatorio recién creado; que el nuevo identificador digital sea creado después de cada autenticación de transacción satisfactoria, almacenándose cada nuevo identificador digital en el emplazamiento de almacenamiento seguro en el teléfono móvil y actualizándose en la base de datos de autenticación tras su
25 composición.
Otras características de la invención contemplan que se registre en la base de datos de autenticación información adicional asociada con un usuario cuando se inscribe un usuario en el servidor de autenticación, incluyendo la información adicional una o varias de información personal, detalles de cuenta bancaria y detalles de tarjeta de crédito; que la clave de acceso de inscripción sea creada y asignada a un usuario cuando se descarga la aplicación
30 a su teléfono móvil, autorizando la clave de acceso de inscripción al usuario a inscribirse en el servidor de autenticación, y que se requiera que el usuario suministre información de identificación personal para permitirle inscribirse en el proveedor de servicios de autenticación.
Otras características de la invención contemplan que el sistema incluya un servidor web de autenticación mediante el que los clientes o las aplicaciones cliente puedan interactuar con el servidor de autenticación; que servidor web
35 defina una serie de solicitudes XML-RPC mediante las que las entidades pueden realizar solicitudes de autenticación con el servidor de autenticación; y que el servidor web pueda facilitar los resultados de las solicitudes al servidor de autenticación por medio de una variable independiente que puede ser leída por las entidades cliente, impidiendo al mismo tiempo el acceso directo mediante las entidades cliente al servidor de autenticación y a la base de datos.
40 Otra característica más de la invención contempla que el enlace de comunicación sea un enlace de comunicación GSM o CDMA inalámbrico, preferentemente un enlace GPRS en el caso de una red GSM.
Otras características más de la invención contemplan que la aplicación esté configurada para iniciar una alarma adecuada y una ventana emergente que aparezca en la pantalla del teléfono móvil del usuario que realiza una transacción en respuesta a la solicitud de confirmación o denegación desde el servidor de autenticación, solicitando 45 la ventana emergente al usuario que confirme o deniegue su comportamiento previsto de la transacción segura por medio de la pulsación de una tecla; que el servidor de autenticación esté configurado para transmitir un mensaje de texto al dispositivo de comunicación móvil del usuario que realiza una transacción, solicitando al usuario que establezca el enlace de comunicación si el enlace de comunicación aún no ha sido establecido cuando el servidor de autenticación intenta transmitir la solicitud de confirmación o denegación al teléfono móvil del usuario que realiza una 50 transacción; y que la comunicación sobre el enlace de comunicación se realice por medio de mensajes seguros SSL
o TLS.
Otras características más de la invención contemplan que el proveedor de servicios de autenticación incluya una serie de servidores de autenticación controlados por un servidor de balance de carga que asigna servidores a dispositivos de comunicación móvil de usuarios que realizan transacciones, en función de las cargas en los 55 respectivos servidores; que la transacción segura incluya cualesquiera uno o varios del grupo que comprende acceder a un dominio de cliente seguro, transacciones financieras en línea, transacciones financieras fuera de línea, compras en línea, compras fuera de línea, acceso a bases de datos, acceso a información, acceso físico a edificios u otras instalaciones, acceso a redes informáticas, sitios web de abonado, portales de red y similares; y que se conceda al usuario que realiza una transacción una transacción segura satisfactoria solamente después de la
60 recepción de un resultado de autenticación satisfactorio desde el servidor de autenticación.
A continuación se describirá la invención, solamente a modo de ejemplo, haciendo referencia a las representaciones adjuntas, en las cuales:
la figura 1 es una ilustración esquemática de un sistema de autenticación acorde con la invención;
5 la figura 2 es una ilustración esquemática de un sistema de autenticación acorde con una realización alternativa de la invención, que incorpora un servidor web y un servidor de balance de carga; y
la figura 3 es una ilustración esquemática de la distribución de memoria de un típico teléfono móvil.
En su implementación más simple, y tal como se muestra en la figura 1, un sistema de autenticación 1 de
10 transacciones seguras incluye un servidor de autenticación 3, una base de datos de autenticación 5 y una aplicación de software del dispositivo de comunicación móvil (no mostrada). La aplicación está configurada para ser instalada en un dispositivo de comunicación móvil 7 que, en la mayor parte de los casos, será un teléfono móvil de usuario 9. Se apreciará que el servidor 3, la base de datos 5 y la aplicación de software serán implementadas, gestionadas y mantenidas mediante un proveedor de servicios de autenticación y proporcionan una plataforma de autenticación
15 mediante la que se pueden realizar operaciones de autenticación.
Para utilizar el sistema de autenticación 1, el usuario 9 se tiene que inscribir en el proveedor de servicios de autenticación. La inscripción tiene lugar mediante la descarga por parte del usuario 9 de la aplicación de software en su teléfono móvil 7 por medio de la aplicación de navegador de internet del teléfono móvil en el teléfono 7, y a continuación su instalación en el teléfono. En el momento de la descarga de la aplicación, el servidor 3 genera 20 asimismo una clave de paso que el usuario 9 necesitará en el momento de la inscripción. La instalación de la aplicación de software en el teléfono móvil 7 se puede realizar manualmente por el usuario 9 o puede ser realizada automáticamente con la ayuda de un enlace directo a la aplicación enviado al teléfono del usuario mediante un mensaje inalámbrico (OTA, Over the Air). La comunicación entre la aplicación del teléfono móvil 7 y el servidor de autenticación 3 tiene lugar a través de una red GSM 11, preferentemente por medio del protocolo del servicio
25 general de radiocomunicaciones por paquetes (GPRS, General Packet Radio Service). No obstante, se contempla que puedan ser utilizada cualesquier otra red y cualquier otro protocolo de comunicación bidireccional adecuados.
La aplicación crea a continuación un identificador digital único 13 (en adelante, denominado una huella digital) asociado de manera única con el teléfono móvil específico 7 del usuario 9. La huella digital 13 se crea en función del número de identidad internacional de equipo móvil (IMEI) del teléfono móvil 7, del número de identidad internacional 30 de abonado a móvil (IMSI) de la tarjeta SIM asignada al usuario y utilizada en el teléfono móvil 7, y de un numero aleatorio creado por la aplicación de software. La huella digital 13 se genera automáticamente sin conocimiento ni intervención del usuario 9 y se almacena en un área de almacenamiento seguro en el teléfono móvil 7, desde la que es legible solamente mediante aplicaciones de software autorizadas, preferentemente solamente la aplicación de autenticación. Por lo tanto, existe una relación biunívoca entre la huella digital y el teléfono móvil. Dado que en
35 general se espera que un usuario esté siempre en poder de su teléfono móvil, esto implica asimismo una relación biunívoca entre la huella digital 13 y el usuario 9.
Una vez instalada ésta, el usuario 9 puede abrir la aplicación de software en su teléfono móvil 7 y elegir inscribirse en el proveedor de servicios de autenticación. La aplicación envía una solicitud de inscripción que incluye la huella digital 13 del teléfono móvil 7 y la clave de paso al servidor 3 mediante GPRS.
40 El servidor 3 recibe la solicitud de inscripción y la clave de paso, y reconoce que un nuevo dispositivo quiere registrarse (inscribirse). El servidor 3 acepta la solicitud de inscripción si la clave de paso de inscripción es válida, y guarda la huella digital 13 del teléfono móvil 7 que se quiere inscribir, en la base de datos de autorizaciones 5. En este momento, el teléfono móvil del usuario 9 se registra con el servicio de autorización y su teléfono móvil 7 es identificable de manera única mediante el servidor de autorización 3.
45 El resto de este ejemplo de la invención se explicará haciendo referencia al usuario 9 intentando realizar una transacción bancaria en línea (internet) segura. No obstante, se apreciará que el ejemplo aplica igualmente a cualquier número de transacciones seguras que incluyen, sin ninguna limitación, acceso a dominios de clientes seguros, transacciones financieras en línea, transacciones financieras fuera de línea, compras en línea, compras fuera de línea, acceso a bases de datos, acceso a información, acceso físico a edificios u otras instalaciones, acceso
50 a redes informáticas, sitios web de abonado, portales de red y similares.
Para registrarse en su cuenta de banca por internet, el usuario 9 accede en primer lugar a sitio web de la entidad bancaria 15 en la que tiene su cuenta, desde un ordenador personal 17, ordenador portátil u otro dispositivo con conexión a internet. El usuario 9 introduce a continuación su número de cuenta (equivalente a un nombre de usuario) y su contraseña en el sitio web de banca por internet en su ordenador 17. Antes de proceder al inicio de 55 sesión, el usuario 9 inicia la aplicación de autenticación en su teléfono móvil 7. Al inicio, la aplicación de software envía la huella digital 13 a través de la red 11 por medio de un protocolo GPRS al servidor de autenticación 3, que lo
recibe y lo compara con las huellas digitales de todos los teléfonos móviles inscritos en la base de datos 5. Si la huella digital 13 coincide con una huella digital preinscrita en la base de datos 5, el teléfono móvil 7 del usuario 9 se registra en la plataforma de autenticación y se establece un enlace de comunicación directo en tiempo real entre el servidor de autenticación 3 y el teléfono móvil 7. Desde ese momento, el teléfono móvil 7 y el servidor de
5 autenticación 3 comunican entre sí directamente por medio de mensajería segura con capa de puertos seguros (SSL, Secure Sockets Layer) o con seguridad de capa de transporte (TLS, Transport Layer Security).
Una vez el usuario 9 solicita inicio de sesión en su cuenta de banca por internet, la entidad bancaria 15 solicita al servidor de autenticación 3 la autenticación del usuario 9. El servidor de autenticación 3 envía a su vez una solicitud de confirmación de transacción al teléfono móvil 7, que es recibida por la aplicación de software. La aplicación de 10 software activa una ventana emergente en el monitor del teléfono móvil y una alarma adecuada para reclamar la atención del usuario 9. La ventana emergente contiene información de la transacción que el usuario 9 está intentando realizar y solicita al usuario 9 que confirme (acepte) o deniegue (rechace) la transacción por medio de una pulsación de botón adecuada. Si el usuario 9 confirma la transacción, la aplicación comunica este resultado de confirmación al servidor 3 que, a su vez, envía un resultado de autenticación positivo al servidor 15 de la entidad
15 bancaria. A continuación, la entidad bancaria 15 permitirá al usuario 9 acceder a su cuenta de banca por internet.
En este momento, el usuario 9 está registrado satisfactoriamente en su cuenta de banca por internet y puede proseguir sus operaciones bancarias con normalidad. Durante el curso de la sesión de banca por internet, se puede realizar cualquier número de solicitudes de autorización adicionales, dependiendo del tipo de transacción que el usuario 9 intente realizar y de la decisión del banco sobre cómo implementar la capa de seguridad proporcionada
20 por la invención.
Si el usuario 9 elige denegar la solicitud de confirmación en su teléfono móvil, este resultado de denegación será comunicado de nuevo mediante la aplicación al servidor 3 que, a su vez, envía un resultado de autenticación negativo al servidor de la entidad bancaria 15 (el anfitrión de la transacción segura). Por consiguiente, el inicio de sesión solicitado por el usuario será rechazado en su ordenador 17, y se visualizará un mensaje adecuado de fallo
25 de inicio de sesión. Por lo tanto, el ejemplo muestra que un usuario se puede registrar en la cuenta solamente mediante la confirmación (aceptación) explicita de la solicitud de inicio de sesión enviada a su teléfono móvil en una base de datos interactiva. Dado que la huella digital no se puede duplicar sin que el usuario tenga a mano el teléfono móvil, esto implica que ninguna tercera parte se puede registrar en el dominio del usuario protegido por autenticación sin tener a mano el nombre de usuario, la contraseña así como el teléfono móvil del usuario.
30 En la figura 2 se muestra una realización más elaborada del sistema 1 de la invención. En la figura, los elementos similares o parecidos a los descritos anteriormente haciendo referencia la figura 1 se indican con numerales similares. El sistema de autenticación del usuario 1 en esta realización incluye una serie de servidores de autenticación 3, aunque solamente se muestra uno en la figura, una base de datos de autenticación 5 y una aplicación de software del dispositivo de comunicación móvil (no mostrada) instalada en el teléfono móvil 7 de un
35 usuario 9. Además, el sistema 1 incluye un servidor web 21 utilizado para interactuar con un servidor web cliente 23. El servidor web 21 proporciona una interfaz definida, mediante la cual cualquier servidor cliente 23 puede comunicar solicitudes de autenticación, a través del servidor web 21, a la base de datos de autenticación 5 o al servidor de autenticación 3. El servidor web define la interfaz al software cliente suministrando al cliente una serie de solicitudes XML-RPC predefinidas que pueden ser enviadas al servidor web 21 (XML-RPC es un protocolo de llamada a
40 procedimiento remoto que utiliza XML para codificar sus llamadas y HTTP como mecanismo de transporte). El servidor web 21 permite solamente las solicitudes definidas por la interfaz XML-RPC, permitiendo de ese modo que la plataforma de autenticación defina reglas mediante las que se puede acceder a la información.
El servidor web de autorización 21 interactúa asimismo con la base de datos 5 cuando se recibe una solicitud, y devuelve el resultado de dicha solicitud en una variable a la que puede acceder el servidor web 23 de la entidad
45 cliente. Esto garantiza que no se permite ningún acceso no autorizado a los datos de autorización, dado que solamente los propios componentes del sistema 1 tienen acceso directo dichos datos.
La figura 2 indica asimismo cómo el sistema 1 realizará el proceso de inicio de sesión de usuario para una típica entidad cliente de banca por internet. En la etapa 27, el usuario 9 inicia el software de aplicación de autenticación en su teléfono móvil 7 y la aplicación envía una solicitud de conexión (el establecimiento del enlace de comunicación) a 50 un servidor de balance de carga 29 que forma parte del sistema 1. El servidor de balance de carga 29 elige a continuación el servidor de autenticación 3 con la mínima carga actual entre todos los servidores de autenticación disponibles, y asigna el teléfono móvil 7 del usuario 9 a dicho servidor 3 en la etapa 31. A continuación, el usuario 9 se registra en su cuenta y sitio web de banca por internet desde su ordenador personal 17 en la etapa 33, lo cual es gestionado por el servidor web bancario pertinente 23. En la etapa 35, el servidor web bancario 23 envía a 55 continuación una solicitud de autorización al servidor web de autenticación 21 por medio de una solicitud XML-RPC, después de lo cual el servidor web 21 empieza a solicitar un resultado de autenticación. El servidor web 21 pone la solicitud en una tabla de solicitudes pendientes 37 en la etapa 39. A continuación, el servidor de autenticación 3 asignado al teléfono móvil 7 toma la solicitud de la tabla 37 en la etapa 41 y envía una solicitud de confirmación por medio del enlace de comunicación al teléfono móvil en la etapa 43, en respuesta a la cual la aplicación solicita al 60 usuario 9 confirmar (aceptar) o denegar (rechazar) el inicio de sesión por medio de una pulsación de tecla adecuada. La respuesta del usuario se comunica de nuevo por medio del enlace de comunicación al servidor de autenticación 3
en la etapa 45, después de lo cual el servidor 3 vuelve a poner un resultado de autenticación en la tabla 37, en la etapa 47. A continuación, el servidor web 21 lee el resultado de autenticación de la tabla 37 y lo suministra al servidor cliente 23 del banco cuando se le solicita en la etapa 49. Si la autenticación ha sido satisfactoria, el usuario 9 será registrado en su cuenta de banca de internet con el banco cliente.
5 En caso de que el usuario intente realizar una transacción segura por medio de un cliente que ha utilizado el sistema de autenticación de la invención, sin haber establecido primero el enlace de comunicación entre el servidor de autenticación y el teléfono móvil del usuario, el servidor de autenticación estará configurado para enviar automáticamente un mensaje SMS normal al teléfono móvil del usuario, que solicita al usuario iniciar la aplicación de software de autenticación en su teléfono móvil con la que, a su vez, establezca el enlace de comunicación con el
10 servidor de autenticación. No obstante, se contempla asimismo que el servidor de autenticación pueda tener la capacidad de iniciar remotamente la aplicación de software del teléfono móvil, si el usuario requiere esta funcionalidad. Es posible asimismo que el proveedor de servicios de autenticación y el teléfono móvil del usuario que realiza una transacción puedan comunicar por medio de SMS u otros mensajes adecuados sin haber establecido el enlace de comunicación segura entre el proveedor de servicio y el teléfono móvil.
15 Se contempla que la aplicación de software del teléfono móvil pueda asimismo estar asegurada adicionalmente con su propia contraseña, en cuyo caso una persona que esté ilegalmente en poder del teléfono móvil no será capaz de activar la aplicación de software, permitiendo solamente establecer el enlace de comunicación con el servidor de autenticación.
Un aspecto importante para el funcionamiento seguro de la invención es el emplazamiento de almacenamiento
20 seguro en el teléfono móvil en el que la aplicación de software de autenticación almacena la huella digital del teléfono móvil. La huella digital debería ser recuperable e interpretable solamente mediante aplicaciones de software autorizadas, preferentemente solamente mediante la propia aplicación de software de autenticación. De este modo, no será posible que terceras partes que tienen acceso al teléfono obtengan la huella digital única del teléfono móvil. Por lo tanto, la huella digital nunca se visualizará y el usuario del teléfono móvil no la conocerá. El número IMEI de
25 un teléfono puede ser duplicado reprogramando un teléfono móvil en peligro o modificando la aplicación J2ME del mismo. Análogamente, el número IMSI de la tarjeta SIM de un teléfono móvil puede ser clonado, simulado o duplicado modificando la aplicación J2ME de los teléfonos. Además, el archivo que contiene el número aleatorio se puede copiar desde el teléfono móvil o se puede recuperar modificando la aplicación J2ME. Por lo tanto, es esencial que la huella digital del teléfono se mantenga en un emplazamiento de almacenamiento seguro. Para conseguir
30 esto, la invención propone que la huella digital única del teléfono se almacene en un emplazamiento en el teléfono cuyo acceso y modificación el sistema operativo del teléfono sólo permitirá a la aplicación de autenticación (u otras aplicaciones autorizadas específicamente para ello). Además, la huella digital puede tener propiedades pseudoaleatorias que se implementen actualizando la huella digital tanto en el teléfono móvil como en la base de datos de autenticación con cada autenticación satisfactoria del usuario. Una manera de conseguir esto es
35 modificando el número aleatorio utilizado en la generación de la huella digital y volviendo a compilar la huella digital con el IMEI, el IMSI y el nuevo número aleatorio con cada autenticación satisfactoria del usuario. De este modo, el usuario seguirá estando asociado de manera única con el teléfono, y una brecha en la seguridad o una fuga de la huella digital del teléfono serán válidas solamente hasta la siguiente autenticación satisfactoria del usuario.
Además, se contempla que utilizando las características de gestión de derechos digitales (DRM, digital rights
40 management) del sistema operativo del teléfono móvil, el acceso a la firma se puede limitar incluyendo una firma única en el código de la aplicación de autenticación. La mayor parte de los teléfonos móviles soportan un estándar denominado OMA DRM (Open Mobile Alliance Digital Rights Management, gestión de derechos digitales de la alianza móvil abierta) que garantiza que una vez se almacenan datos en un teléfono móvil, estos no pueden ser recuperados por una parte no autorizada. El sistema de autenticación de la invención explota esta funcionalidad y
45 almacena una clave única dentro de este espacio protegido por DRM en el teléfono móvil. Esto hace imposible que alguien acceda a esta clave de seguridad sin la autorización necesaria.
Tal como se muestra en la figura 3, la memoria de teléfono móvil incluye normalmente áreas de almacenamiento designadas 51 en las que se almacenan respectivamente datos relacionados con el sistema operativo 53 del teléfono y otros archivos de datos 55. Una serie de diferentes aplicaciones pueden estar almacenadas dentro del 50 área de almacenamiento 53 del sistema operativo que incluyen, en la mayor parte de los teléfonos móviles, un grupo de aplicaciones 57 que se ejecutan en el entorno en tiempo de ejecución de máquina virtual Java (JVM, Java Virtual Machine). La aplicación de autenticación de la invención puede ser una de las aplicaciones 59 que se ejecutan en el entorno JVM. El sistema 55 de archivos de memoria del teléfono móvil incluye normalmente un área protegida 61 que corresponde al espacio protegido DRM. La mayor parte de las aplicaciones que se ejecutan en el entorno JVM 55 utilizan una sección del área protegida 61 denominada almacenamiento de registros JVM ("JVM Recordstore") 63 dentro de la cual se almacena información sensible. Sin embargo, un inconveniente del almacenamiento de registros JVM 63 es que se permite un acceso bidireccional completo entre cualquier aplicación que se ejecute en el entorno en tiempo de ejecución JVM 57 y almacenamiento de registros JVM 63. Por lo tanto, cualquier operador sin escrúpulos que desee acceder a la información almacenada en el entorno de registros JVM 63 tiene simplemente 60 que escribir una aplicación independiente que se ejecute en el entorno en tiempo de ejecución JVM con el fin de conseguir dicho acceso. Sin embargo, tal como se muestra adicionalmente en la figura 3, la aplicación de autenticación de la invención 59 utiliza una parte 65 del área protegida 61 y la gestiona de tal modo que sólo permite
a la propia aplicación 59 tener acceso a dicha parte 65. Por lo tanto, se apreciará que al almacenar la huella digital, posiblemente con información adicional de seguridad, de este modo, solamente la aplicación 59 pueda acceder a la misma.
Dado que cargar el software de aplicación de autenticación en el teléfono móvil no es seguro, puede ser necesario
5 almacenar una firma adicional en el teléfono móvil. Esta firma adicional será almacenada en el teléfono móvil después de que la firma única del teléfono haya sido validada en la base de datos de autenticación. Cuando se inicie la aplicación de autenticación en el teléfono móvil, la firma única del teléfono, junto con la firma adicional, serán compartidas con el servidor de autenticación. Después de cada autenticación válida, la firma adicional puede ser almacenada o actualizada en el teléfono móvil. Una manera de conseguir esto es utilizando un sistema de cifrado
10 criptográfico. Éste utiliza un par de claves privada y pública mediante el que se pueden cifrar y descifrar datos. Los datos cifrados con la clave privada pueden ser descifrados con la clave pública, y viceversa. Habitualmente, la clave privada será mantenida por el servidor de autenticación mientras que la clave pública será facilitada a la aplicación de autenticación del teléfono móvil. Cuando se utiliza en el sistema de la invención, el teléfono móvil puede cifrar datos con la clave pública después de una conexión satisfactoria con el servidor. Solamente el servidor de
15 autenticación real, que estará en poder de la clave privada, podrá descifrar estos datos. Esto impide de manera efectiva los denominados ataques de "intermediario".
Se debe apreciar que el sistema y el procedimiento de autenticación descritos anteriormente eliminan en gran medida la amenaza que plantean diversos sistemas de autenticación conocidos. En particular, eliminan la amenaza planteada por la clonación de tarjetas SIM. Dado que la huella digital es única para cada teléfono móvil y contiene 20 aspectos de hardware así como de software asociados con el propio teléfono y la tarjeta SIM, una tarjeta SIM clonada que se utilice en un teléfono diferente producirá una huella digital totalmente diferente que no estará inscrita en el sistema de autenticación, haciendo de ese modo la tarjeta SIM completamente inútil en el intento de utilizarla como medio para obtener acceso a un dominio protegido por el sistema de autenticación de la invención. Si se roba el teléfono del usuario, el usuario solamente tiene que notificarlo al proveedor de servicios de autenticación que uno 25 o ambos de los números IMEI y IMSI queden registrados como robados y bloqueados. Por lo tanto, cualquier intento posterior de autenticación será insatisfactorio. Debido a la naturaleza del protocolo entre el teléfono móvil y el servidor de autenticación, el sistema de la invención puede detectar intenciones maliciosas de manera muy rápida y eficiente. Dado que un usuario nunca tiene que introducir físicamente los detalles (huella digital) de su inicio de sesión, cualquier teléfono móvil que intente establecer una conexión con un teléfono móvil no inscrito señala casi
30 con total seguridad un usuario que intenta burlar el sistema.
De acuerdo con la invención, todo intento de realizar una transacción segura por parte de un usuario puede requerir que el usuario confirme (acepte) o deniegue (rechace) interactivamente la transacción en tiempo real. Por lo tanto, el sistema acorde con la invención da a conocer una manera de utilizar el teléfono móvil de una persona para identificar de manera única al usuario con propósitos de autenticación.
35 Una ventaja adicional de la invención es que, una vez que el usuario ha aprobado o denegado la solicitud de confirmación enviada desde el servidor de autenticación, si procede, se concede inmediatamente un acceso o permiso para realizar la transacción segura, por lo tanto eliminando por completo la necesidad de OTP y similares. Por lo tanto, un extraño que esté en poder del nombre de usuario y la contraseña del usuario sigue sin poder realizar transacciones a nombre del usuario.
40 El sistema de autenticación acorde con la invención proporciona por lo tanto una plataforma mediante la que los clientes pueden obtener una autenticación de dos factores en línea, en tiempo real, para cualesquiera transacciones seguras.
La integración del sistema acorde con la invención con los sistemas de autenticación existentes es directa, dado que se proporciona una interfaz XML-RPC completa para facilitar la comunicación con el servidor de autenticación y la
45 base de datos. Para integración en aplicaciones no basadas en web, se proporciona una interfaz de programación de aplicaciones (API, Application Programming Interface), que permite a un desarrollador personalizar la plataforma para adaptarla a su aplicación.
La descripción anterior es solamente a modo de ejemplo y se deberá apreciar que pueden realizarse numerosas modificaciones y adiciones a la invención descrita sin apartarse del alcance de la misma. En particular, se contempla 50 que la invención puede tener asimismo un componente fuera de línea se que utilizar cuando el teléfono móvil no puede establecer un enlace de comunicación con el servidor de autenticación, como resultado de una señal GPRS inexistente o deficiente, o de la ausencia de saldo cuando el teléfono móvil se maneja sobre la base de un contrato prepago. En estas circunstancias, el servidor de autenticación puede detectar automáticamente la imposibilidad de conectar mediante GPRS y puede conmutar el modo de autenticación al modo fuera de línea. En el modo fuera de
55 línea, la aplicación móvil del teléfono móvil del usuario puede ser utilizada en modo fuera de línea cuando genere OTP que el usuario puede introducir para obtener acceso a dominios protegidos mediante un sistema de autenticación según la invención. El usuario puede introducir a continuación la OTP en la utilidad que esté utilizando con el fin de autenticar su identidad.
Se deberá apreciar además que la aplicación del teléfono móvil puede, cuando funciona en el modo fuera de línea, 60 utilizar un número aleatorio almacenado en el teléfono móvil (en adelante, denominado una semilla) y la huella digital para generar las OTP, y que la semilla se puede actualizar cada vez que se ha realizado una comunicación satisfactoria entre la aplicación del teléfono móvil y el servidor de autenticación.
Se deberá apreciar además que el sistema de autenticación de la invención elimina el problema que existe cuando se clona una tarjeta SIM GSM. En el caso de una tarjeta SIM clonada, los mensajes SMS enviados por la entidad 5 financiera (a través del proveedor GSM) son recibidos por ambas o bien solamente por una de las tarjetas SIM activas: por lo tanto por el usuario legítimo, por la persona que intenta defraudar al usuario o por ambos. Siendo éste el caso, existe una probabilidad razonable de que el usuario ni siquiera reciba las notificaciones SMS de transacciones que se están realizando en su cuenta hasta después de haberse realizado las transacciones. El sistema de autenticación de la invención permite que cada transacción segura sea aprobada o denegada mediante
10 el usuario que realiza una transacción antes de que se finalice cualquier transacción. Dado que la solicitud de aprobación o denegación de la transacción se envía de manera efectiva a la huella digital, y no solamente a la tarjeta IMSI o SIM del usuario que realiza una transacción, el sistema no es vulnerable a clonación de SIM. Por lo tanto, debido a su naturaleza interactiva, está muy bien equipado para resistir intentos de fuerza bruta dado que los reconoce y reacciona a los mismos.
15 Se contempla que la capacidad del sistema para lanzar otras soluciones de seguridad adicionales permite muchas aplicaciones futuras sin que se requiera ningún cambio en el sistema existente. La naturaleza interactiva del proceso y de la plataforma de autenticación deja margen para la implementación de infinitas posibilidades e innovaciones en los mismos. Por ejemplo, el usuario puede utilizar asimismo el sistema de autenticación de la invención para autorizar transacciones realizadas por una tercera parte cuando le compete su aprobación o rechazo final. La
20 invención se puede utilizar incluso para realizar transacciones ATM más rápidas, realizar banca segura en telefonía móvil, y transferencias electrónicas de fondos entre titulares de cuentas bancarias y titulares de cuentas no bancarias, por mencionar algunos casos.
Claims (14)
-
imagen1 REIVINDICACIONES1. Un procedimiento para la autenticación de una transacción segura a realizar entre un anfitrión (15) de transacciones seguras y un usuario que realiza una transacción (9), llevándose a cabo el procedimiento en un proveedor de servicios de autenticación y comprendiendo las etapas de:5 recibir una solicitud de autenticación desde un anfitrión (15) de transacciones seguras;recibir un identificador digital (13) que contiene un identificador de hardware desde un dispositivo de comunicación móvil (7) asociado con el usuario que realiza una transacción (9), por lo que el dispositivo de comunicación móvil puede ser identificado de manera única, habiéndose creado el identificador digital (13), sin intervención del usuario, mediante una aplicación de autenticación (59) instalada en el dispositivo de comunicación móvil, en función del 10 identificador de hardware y de por lo menos un número aleatorio creado mediante la aplicación de autenticación, de tal modo que el identificador digital (13) no se puede volver a crear sin el dispositivo de comunicación móvil del usuario (9), y estableciendo de ese modo una asociación biunívoca entre el identificador digital y el dispositivo de comunicación móvil (7) del usuario (9), almacenándose el identificador digital (13) en un emplazamiento de almacenamiento seguro (65) en el dispositivo de comunicación móvil desde donde puede ser recuperado solamente15 mediante aplicaciones autorizadas que incluyen la aplicación de autenticación (59);comparar el identificador digital (13) con una lista de identificadores digitales asociados con dispositivos de comunicación móvil de usuarios preinscritos, almacenada en una base de datos (5) asociada con el proveedor de servicios de autenticación;si el identificador digital recibido (13) corresponde a un identificador digital almacenado en la base de datos (5),20 permitir el establecimiento de un enlace de comunicación segura entre el dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) y el proveedor de servicios de autenticación, siendo el enlace de comunicación segura iniciado desde la aplicación de autenticación (59) del dispositivo de comunicación móvil (7);transmitir una solicitud de confirmación de transacción al dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) sobre el enlace de comunicación segura, solicitando la solicitud al usuario (9) que25 confirme o deniegue su comportamiento previsto de la transacción segura;recibir un resultado de confirmación o denegación desde el dispositivo de comunicación móvil (7);en respuesta a un resultado de confirmación, transmitir un resultado de autenticación positivo al anfitrión (15) de la transacción segura; yen respuesta a un resultado de denegación, transmitir un resultado de autenticación negativo al anfitrión (15) de la 30 transacción segura. -
- 2.
- Un procedimiento según la reivindicación 1, en el que el dispositivo de comunicación móvil (7) es un teléfono móvil.
-
- 3.
- Un procedimiento según la reivindicación 1 o la reivindicación 2, que incluye además la etapa de solicitar el
identificador digital desde el dispositivo de comunicación móvil (7) tras la recepción de la solicitud de autenticación 35 procedente del anfitrión de transacciones seguras. - 4. Un sistema (1) para autenticar una transacción segura realizada entre un usuario que realiza una transacción (9) y un anfitrión (15) de transacciones seguras, comprendiendo el sistema:una aplicación de autenticación (59) del dispositivo de comunicación móvil configurada para ser instalada en un dispositivo de comunicación móvil (7), para crear, sin intervención del usuario, un identificador digital (13) que 40 contiene un identificador de hardware procedente del dispositivo de comunicación móvil, y creándose el identificador digital en función del identificador de hardware y de por lo menos un número aleatorio creado por la aplicación de autenticación, de tal modo que el identificador digital no se puede volver a crear sin el dispositivo de comunicación móvil del usuario (9), de modo que se establece una asociación biunívoca entre el identificador digital y el dispositivo de comunicación móvil (7) del usuario (9), y de tal modo que el dispositivo de comunicación móvil (7) en el que están45 instaladas las aplicaciones de autenticación (59) puede ser identificado de manera única, y para almacenar y recuperar el identificador digital (13) en, y desde, un emplazamiento de almacenamiento seguro (65) en el dispositivo de comunicación móvil (7), donde el identificador digital (13) se puede recuperar solamente desde el emplazamiento de almacenamiento seguro (65) mediante aplicaciones autorizadas que incluyen la aplicación de autenticación (59); y50 un proveedor de servicios de autenticación que incluye por lo menos un servidor de autenticación (3) y una base de datos de autenticación (5) asociada con el mismo;en el que el servidor de autenticación (3) está configurado para inscribir usuarios en la base de datos de autenticación (5) registrando por lo menos identificadores digitales (13) creados mediante la aplicación de autenticación (59) instalada en sus dispositivos de comunicación móvil, pudiendo cada identificador digital (13)10
imagen2 identificar únicamente el dispositivo de comunicación móvil en el que ha sido creado; para recibir una solicitud de autenticación desde el anfitrión (15) de transacciones seguras; para recibir un identificador digital (13) desde un dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9); para comparar el identificador digital recibido (13) con una lista de identificadores digitales asociados con dispositivos de comunicación móvil de 5 usuarios preinscritos almacenada en la base de datos (5); para permitir, si el identificador digital recibido (13) corresponde a un identificador digital almacenado en la base de datos (5), el establecimiento de un enlace de comunicación segura entre el dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) y el servidor de autenticación (3), iniciándose el enlace de comunicación segura desde la aplicación de autenticación(59) en el dispositivo de comunicación móvil (7); para transmitir una solicitud de confirmación de transacción al10 dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) sobre el enlace de comunicación segura, solicitando al usuario (9) confirmar o denegar su comportamiento previsto de la transacción segura; para recibir un resultado de confirmación o denegación desde el dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9); y para transmitir un resultado de autenticación positivo al anfitrión (15) de transacciones seguras en respuesta a un resultado de confirmación, y un resultado de autenticación negativo en respuesta a un15 resultado de denegación. -
- 5.
- Un sistema según la reivindicación 4, en el que el dispositivo de comunicación móvil (7) es un teléfono móvil.
-
- 6.
- Un sistema según la reivindicación 4 o la reivindicación 5, en el que el identificador digital (13) se crea como una función del número de identidad internacional de equipo móvil (IMEI) del dispositivo de comunicación móvil (7) en el que está instalada la aplicación, del número de identidad internacional de abonado a móvil (IMSI) de la tarjeta SIM
20 que se está utilizando en el dispositivo de comunicación móvil (7) y de el número aleatorio almacenado en la memoria del dispositivo de comunicación móvil. - 7. Un sistema según cualquiera de las reivindicaciones 4 a 6, en el que el emplazamiento de almacenamiento (65) en el dispositivo de comunicación móvil (7) es seguro y accesible mediante la aplicación (59) por medio de características de gestión de derechos digitales de un sistema operativo que funciona en el dispositivo de25 comunicación móvil (7).
-
- 8.
- Un sistema según la reivindicación 7, en el que solamente la aplicación de autenticación (59) tiene acceso al identificador único (13) almacenado en el emplazamiento de almacenamiento seguro en el dispositivo de comunicación móvil (7).
-
- 9.
- Un sistema según cualquiera de las reivindicaciones 4 a 8, en el que la aplicación (59) está configurada para crear
30 periódicamente un nuevo identificador digital utilizando el número IMEI del dispositivo de comunicación móvil, el número IMSI de la tarjeta SIM que se está utilizando en el dispositivo de comunicación móvil y un número aleatorio recién generado. - 10. Un sistema según la reivindicación 9, en el que el nuevo identificador digital se crea después de cada autenticación de transacción satisfactoria, siendo almacenado cada nuevo identificador digital en el emplazamiento35 de almacenamiento seguro (65) en el dispositivo de comunicación móvil (7) y actualizado en la base de datos de autenticación (5) tras su creación.
- 11. Un sistema según cualquiera de las reivindicaciones 4 a 10, en el que una clave de paso de inscripción es creada y asignada a un usuario (9) cuando la aplicación (59) se descarga a su dispositivo de comunicación móvil (7), autorizando la clave de acceso de inscripción al usuario a inscribirse en el servidor de autenticación (3).40 12. Un sistema según cualquiera de las reivindicaciones 4 a 11, que incluye un servidor web de autenticación (21) mediante el que los clientes o aplicaciones cliente pueden interactuar con el servidor de autenticación (3).
- 13. Un sistema según cualquiera de las reivindicaciones 4 a 12, en el que la aplicación (59) está configurada para iniciar una alarma adecuada y una ventana emergente que aparece en la pantalla del dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9), en respuesta a la solicitud de confirmación o denegación45 procedente del servidor de autenticación (3), solicitando la ventana emergente al usuario (9) que confirme o deniegue su comportamiento previsto de la transacción segura por medio de la pulsación de un botón.
- 14. Un sistema según la reivindicación 4 o la reivindicación 5, en el que el servidor de autenticación (3) está configurado para transmitir un mensaje de texto al dispositivo de comunicación móvil (7) del usuario que realiza una transacción (9) digital solicitando al usuario establecer el enlace de comunicación si el enlace de comunicación no ha50 sido establecido aún cuando el servidor de autenticación (3) intenta transmitir la solicitud de confirmación o denegación al dispositivo de comunicación móvil (7) del usuario que realiza una transacción.
- 15. Un sistema según cualquiera de las reivindicaciones 4 a 13, en el que el proveedor de servicios de autenticación incluye una serie de servidores de autenticación (3) controlados mediante un servidor de balance de carga (29) que asigna servidores a dispositivos de comunicación móvil de usuarios que realizan transacciones, en función de las55 cargas en los respectivos servidores.11
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ZA200808439 | 2008-12-03 | ||
ZA200808439 | 2008-12-03 | ||
ZA200904956 | 2009-07-16 | ||
ZA200904956 | 2009-07-16 | ||
PCT/IB2009/007639 WO2010064128A2 (en) | 2008-12-03 | 2009-12-03 | Secure transaction authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2645289T3 true ES2645289T3 (es) | 2017-12-04 |
Family
ID=42233671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES09830074.2T Active ES2645289T3 (es) | 2008-12-03 | 2009-12-03 | Autenticación de transacciones seguras |
Country Status (12)
Country | Link |
---|---|
US (1) | US8862097B2 (es) |
EP (1) | EP2368339B2 (es) |
CN (1) | CN102301642B (es) |
AU (1) | AU2009323748B2 (es) |
BR (1) | BRPI0917067A2 (es) |
CA (1) | CA2744971C (es) |
DE (1) | DE202009019188U1 (es) |
ES (1) | ES2645289T3 (es) |
HU (1) | HUE037029T2 (es) |
PL (1) | PL2368339T3 (es) |
WO (1) | WO2010064128A2 (es) |
ZA (1) | ZA201008904B (es) |
Families Citing this family (90)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040193763A1 (en) * | 2003-03-28 | 2004-09-30 | Fujitsu Limited | Inter-bus communication interface device and data security device |
CN101727646A (zh) * | 2008-10-31 | 2010-06-09 | 深圳富泰宏精密工业有限公司 | 网络银行报警系统及方法 |
US8387119B2 (en) * | 2009-12-21 | 2013-02-26 | Ebay Inc. | Secure application network |
WO2011101486A1 (de) * | 2010-02-22 | 2011-08-25 | Easy Axess Gmbh I.G. | System und verfahren zum elektronischen bereitstellen einer zutrittsberechtigung |
US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
CN102196438A (zh) * | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
EP2437530B1 (en) * | 2010-10-01 | 2019-01-30 | Giesecke+Devrient Mobile Security GmbH | Method for provisioning of a network access for a mobile communication device |
US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
EP2448305A1 (en) * | 2010-10-29 | 2012-05-02 | France Telecom | Data processing for securing local resources in a mobile device |
CN102480486B (zh) * | 2010-11-24 | 2015-07-22 | 阿尔卡特朗讯公司 | 验证通信会话的方法、设备及系统 |
US8320883B2 (en) | 2010-12-14 | 2012-11-27 | Battlefield Telecommunications Systems, Llc | Method to dynamically authenticate and control mobile devices |
US9282085B2 (en) | 2010-12-20 | 2016-03-08 | Duo Security, Inc. | System and method for digital user authentication |
US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
FR2973618B1 (fr) * | 2011-03-30 | 2013-04-26 | Banque Accord | Authentification forte par presentation du numero |
EP2557546A1 (en) * | 2011-08-12 | 2013-02-13 | Oberthur Technologies | Method and secure device for performing a secure transaction with a terminal |
US8572701B2 (en) * | 2011-08-22 | 2013-10-29 | Verizon Patent And Licensing Inc. | Authenticating via mobile device |
US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
US8763077B2 (en) | 2011-10-07 | 2014-06-24 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
US9524388B2 (en) | 2011-10-07 | 2016-12-20 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
JP2013097650A (ja) * | 2011-11-02 | 2013-05-20 | Bank Of Tokyo-Mitsubishi Ufj Ltd | 認証システム、認証方法及び認証サーバ |
GB2497077A (en) * | 2011-11-23 | 2013-06-05 | Barclays Bank Plc | Peer-to-peer payment registration and activation |
SG192289A1 (en) * | 2012-01-06 | 2013-08-30 | Smart Communications Inc | System, method and computer program arranged to facilitate a transaction |
US20130276069A1 (en) * | 2012-03-22 | 2013-10-17 | Socialogue, Inc. | Internet identity management |
US9178879B2 (en) * | 2012-05-03 | 2015-11-03 | At&T Intellectual Property I, L.P. | Device-based authentication for secure online access |
US8639619B1 (en) | 2012-07-13 | 2014-01-28 | Scvngr, Inc. | Secure payment method and system |
US20140067687A1 (en) * | 2012-09-02 | 2014-03-06 | Mpayme Ltd. | Clone defence system for secure mobile payment |
US20140090039A1 (en) * | 2012-09-24 | 2014-03-27 | Plantronics, Inc. | Secure System Access Using Mobile Biometric Devices |
CN103795694A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 许可控制方法及系统 |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
EP2750349A1 (en) * | 2012-12-31 | 2014-07-02 | British Telecommunications public limited company | Method and device for secure network access |
US8869306B2 (en) * | 2013-01-24 | 2014-10-21 | Bank Of America Corporation | Application usage in device identification program |
US8990568B2 (en) * | 2013-01-24 | 2015-03-24 | Bank Of America Corporation | Mobile device enrollment for online banking transactions |
US9124582B2 (en) | 2013-02-20 | 2015-09-01 | Fmr Llc | Mobile security fob |
US9338156B2 (en) * | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
US9607156B2 (en) | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
US9443073B2 (en) | 2013-08-08 | 2016-09-13 | Duo Security, Inc. | System and method for verifying status of an authentication device |
US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
US20140244506A1 (en) * | 2013-02-28 | 2014-08-28 | Euronet Worldwide, Inc. | Dynamic payment authorization system and method |
NL2010733C2 (nl) * | 2013-04-29 | 2014-10-30 | Baseline Automatisering B V | Werkwijzen voor authenticatie, server, inrichting en datadrager. |
US8770478B2 (en) | 2013-07-11 | 2014-07-08 | Scvngr, Inc. | Payment processing with automatic no-touch mode selection |
US9053310B2 (en) | 2013-08-08 | 2015-06-09 | Duo Security, Inc. | System and method for verifying status of an authentication device through a biometric profile |
US9756056B2 (en) | 2013-09-04 | 2017-09-05 | Anton Nikolaevich Churyumov | Apparatus and method for authenticating a user via multiple user devices |
US20150082390A1 (en) * | 2013-09-08 | 2015-03-19 | Yona Flink | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device |
US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
US9608814B2 (en) | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
CN103530772A (zh) * | 2013-09-30 | 2014-01-22 | 深圳钱盒信息技术有限公司 | 一种移动互联支付风险控制方法及系统 |
EP2869176A3 (en) * | 2013-10-10 | 2015-06-24 | Lg Electronics Inc. | Mobile terminal and method of controlling therefor |
GB2519826B (en) * | 2013-10-30 | 2016-07-20 | Barclays Bank Plc | Transaction authentication |
GB2523358A (en) * | 2014-02-21 | 2015-08-26 | Domulas Ltd | A system and method of processing a secure payment transaction |
US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
EP3050011B1 (en) | 2014-05-02 | 2017-09-20 | Barclays Bank Plc. | Transaction authentication |
US9549322B2 (en) * | 2014-06-11 | 2017-01-17 | Visa International Service Association | Methods and systems for authentication of a communication device |
US10783515B2 (en) * | 2014-06-19 | 2020-09-22 | IroFit Technologies Oy | Method and system for conducting wireless electronic credit card transactions |
US20160226806A1 (en) | 2014-08-18 | 2016-08-04 | KnowMe Systems, Inc. | Digital media messages and files |
US10038657B2 (en) | 2014-08-18 | 2018-07-31 | Nightlight Systems Llc | Unscripted digital media message generation |
US20160048313A1 (en) | 2014-08-18 | 2016-02-18 | KnowMe Systems, Inc. | Scripted digital media message generation |
US10037185B2 (en) | 2014-08-18 | 2018-07-31 | Nightlight Systems Llc | Digital media message generation |
CN104504075A (zh) * | 2014-12-23 | 2015-04-08 | 北京奇虎科技有限公司 | 信息模糊处理方法及装置 |
US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
IN2015DE02096A (es) * | 2015-07-10 | 2015-07-31 | Comviva Technologies Ltd | |
US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
US11455621B2 (en) * | 2015-11-25 | 2022-09-27 | Idemia Identity & Security USA LLC | Device-associated token identity |
US10817593B1 (en) * | 2015-12-29 | 2020-10-27 | Wells Fargo Bank, N.A. | User information gathering and distribution system |
CN107204957B (zh) * | 2016-03-16 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种账号绑定和业务处理的方法及装置 |
US10552823B1 (en) * | 2016-03-25 | 2020-02-04 | Early Warning Services, Llc | System and method for authentication of a mobile device |
US10334434B2 (en) * | 2016-09-08 | 2019-06-25 | Vmware, Inc. | Phone factor authentication |
GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
IT201600132156A1 (it) * | 2016-12-29 | 2018-06-29 | Infocert S P A | Firma elettronica di transazioni tra utenti e fornitori remoti tramite l'uso di codici bidimensionali |
DE102017103824A1 (de) * | 2017-02-03 | 2018-08-09 | ThePeople.de GmbH | Datenverwaltungssystem |
US11095643B2 (en) | 2017-02-17 | 2021-08-17 | Fidelity Information Services, Llc | Universal digital identity authentication service |
US10693954B2 (en) | 2017-03-03 | 2020-06-23 | International Business Machines Corporation | Blockchain-enhanced mobile telecommunication device |
EP3376482B1 (en) * | 2017-03-17 | 2022-06-22 | Wincor Nixdorf International GmbH | Document of value processing device and method for operating a document of value processing device |
BR112019024886A2 (pt) * | 2017-05-30 | 2020-06-16 | Belgian Mobile Id Sa/Nv | Autenticação de dispositivo móvel usando canais diferentes |
KR102386456B1 (ko) * | 2017-06-12 | 2022-04-14 | 삼성전자 주식회사 | 전자장치, 전자장치의 제어방법 및 시스템 |
US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
TWI656781B (zh) * | 2017-11-28 | 2019-04-11 | 南開科技大學 | 離線狀態避免二次驗證的系統及其方法 |
US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
NO343688B1 (en) * | 2017-12-22 | 2019-05-06 | Protectoria As | Secure mobile platform |
US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
US10880436B2 (en) | 2019-01-23 | 2020-12-29 | Weils Fargo Bank, N.A. | Transaction fraud prevention tool |
US11652638B2 (en) * | 2019-07-10 | 2023-05-16 | Mastercard International Incorporated | Systems and methods for managing user identities in networks |
FR3104875B1 (fr) * | 2019-12-17 | 2024-05-10 | Electricite De France | Procédé de gestion d’authentification d’un équipement dans un système de communication de données, et système pour la mise en œuvre du procédé |
US12058528B2 (en) | 2020-12-31 | 2024-08-06 | Prove Identity, Inc. | Identity network representation of communications device subscriber in a digital domain |
US12034851B2 (en) | 2021-07-21 | 2024-07-09 | Ebay Inc. | Transaction security techniques |
US11930014B2 (en) | 2021-09-29 | 2024-03-12 | Bank Of America Corporation | Information security using multi-factor authorization |
US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
US20230276222A1 (en) * | 2022-01-28 | 2023-08-31 | At&T Intellectual Property I, L.P. | Split input and output (io) for subscriber identity module (sim) swaps |
CN115208655B (zh) * | 2022-07-11 | 2023-09-26 | 成都信息工程大学 | 一种应用于工业互联网云服务平台的设备认证处理方法 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1155919C (zh) * | 1997-06-27 | 2004-06-30 | 瑞士电信流动电话公司 | 用移动设备的事务处理方法 |
FI980427A (fi) * | 1998-02-25 | 1999-08-26 | Ericsson Telefon Ab L M | Menetelmä, järjestely ja laite todentamiseen |
US6052675A (en) * | 1998-04-21 | 2000-04-18 | At&T Corp. | Method and apparatus for preauthorizing credit card type transactions |
US6799277B2 (en) | 1998-06-04 | 2004-09-28 | Z4 Technologies, Inc. | System and method for monitoring software |
FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
CA2410431A1 (en) | 2000-05-24 | 2001-11-29 | Gavin Walter Ehlers | Authentication system and method |
US20010051920A1 (en) * | 2000-06-07 | 2001-12-13 | Joao Raymond Anthony | Financial transaction and/or wireless communication device authorization, notification and/or security apparatus and method |
US20020082995A1 (en) * | 2000-12-27 | 2002-06-27 | Christie, Samuel H. | Payment authorization system |
TW535389B (en) * | 2001-07-03 | 2003-06-01 | Wistron Corp | Transaction system and method with automatic identification verification |
US20030061163A1 (en) * | 2001-09-27 | 2003-03-27 | Durfield Richard C. | Method and apparatus for verification/authorization by credit or debit card owner of use of card concurrently with merchant transaction |
CN100361436C (zh) † | 2001-10-26 | 2008-01-09 | 客得富移动通信股份有限公司 | 在移动终端和服务器之间执行相互认证的系统和方法 |
US20030126076A1 (en) | 2001-12-27 | 2003-07-03 | Telefonaktiebolaget L.M. Ericsson (Publ) | Systems and methods for secure authorization of electronic transactions |
US7697920B1 (en) * | 2006-05-05 | 2010-04-13 | Boojum Mobile | System and method for providing authentication and authorization utilizing a personal wireless communication device |
US20040097217A1 (en) | 2002-08-06 | 2004-05-20 | Mcclain Fred | System and method for providing authentication and authorization utilizing a personal wireless communication device |
US7606560B2 (en) † | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
EP1542117A1 (en) * | 2003-10-29 | 2005-06-15 | Sony Ericsson Mobile Communications AB | Binding content to a user |
CA2495949A1 (en) * | 2004-02-05 | 2005-08-05 | Simon Law | Secure wireless authorization system |
US20070113090A1 (en) | 2004-03-10 | 2007-05-17 | Villela Agostinho De Arruda | Access control system based on a hardware and software signature of a requesting device |
US7530098B2 (en) * | 2004-04-28 | 2009-05-05 | Scenera Technologies, Llc | Device ownership transfer from a network |
EP1659810B1 (en) * | 2004-11-17 | 2013-04-10 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Updating configuration parameters in a mobile terminal |
GB0508468D0 (en) * | 2005-04-26 | 2005-06-01 | Ramakrishna Madhusudana | Method and system providing data in dependence on keywords in electronic messages |
WO2007008860A2 (en) | 2005-07-11 | 2007-01-18 | Conrad Sheehan | Secure electronic transactions between a mobile device and other mobile, fixed or virtual devices |
NO324315B1 (no) † | 2005-10-03 | 2007-09-24 | Encap As | Metode og system for sikker brukerautentisering ved personlig dataterminal |
FI20060046A0 (fi) * | 2006-01-19 | 2006-01-19 | Markku Matias Rautiola | Piirikytkentäisen langattoman pääsyverkon liittäminen IP-multimedia-alijärjestelmään |
US8413160B2 (en) | 2006-06-22 | 2013-04-02 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for transaction based load balancing |
US8051297B2 (en) | 2006-11-28 | 2011-11-01 | Diversinet Corp. | Method for binding a security element to a mobile device |
US7953862B2 (en) * | 2007-01-16 | 2011-05-31 | Sony Ericsson Mobile Communications Ab | Methods for accessing a phone-based web server with a private IP address and related electronic devices and computer program products |
US8331989B2 (en) * | 2007-06-15 | 2012-12-11 | Intel Corporation | Field programming of a mobile station with subscriber identification and related information |
US8116735B2 (en) * | 2008-02-28 | 2012-02-14 | Simo Holdings Inc. | System and method for mobile telephone roaming |
LU91488B1 (en) † | 2008-10-17 | 2010-04-19 | Robert Carter | Multifactor Authentication |
-
2009
- 2009-12-03 EP EP09830074.2A patent/EP2368339B2/en not_active Not-in-force
- 2009-12-03 HU HUE09830074A patent/HUE037029T2/hu unknown
- 2009-12-03 US US12/995,636 patent/US8862097B2/en active Active
- 2009-12-03 BR BRPI0917067A patent/BRPI0917067A2/pt not_active Application Discontinuation
- 2009-12-03 AU AU2009323748A patent/AU2009323748B2/en not_active Ceased
- 2009-12-03 PL PL09830074T patent/PL2368339T3/pl unknown
- 2009-12-03 ES ES09830074.2T patent/ES2645289T3/es active Active
- 2009-12-03 DE DE202009019188.5U patent/DE202009019188U1/de not_active Expired - Lifetime
- 2009-12-03 CA CA2744971A patent/CA2744971C/en not_active Expired - Fee Related
- 2009-12-03 WO PCT/IB2009/007639 patent/WO2010064128A2/en active Application Filing
- 2009-12-03 CN CN200980154997.3A patent/CN102301642B/zh not_active Expired - Fee Related
-
2010
- 2010-12-10 ZA ZA2010/08904A patent/ZA201008904B/en unknown
Also Published As
Publication number | Publication date |
---|---|
US20110086616A1 (en) | 2011-04-14 |
EP2368339B1 (en) | 2017-08-09 |
PL2368339T3 (pl) | 2018-01-31 |
CA2744971C (en) | 2019-08-06 |
CA2744971A1 (en) | 2010-06-10 |
US8862097B2 (en) | 2014-10-14 |
EP2368339A2 (en) | 2011-09-28 |
EP2368339B2 (en) | 2022-10-05 |
WO2010064128A3 (en) | 2011-01-27 |
AU2009323748A1 (en) | 2011-11-17 |
ZA201008904B (en) | 2011-07-27 |
BRPI0917067A2 (pt) | 2016-02-16 |
CN102301642B (zh) | 2015-12-02 |
DE202009019188U1 (de) | 2018-03-06 |
AU2009323748B2 (en) | 2015-07-02 |
HUE037029T2 (hu) | 2018-08-28 |
WO2010064128A2 (en) | 2010-06-10 |
CN102301642A (zh) | 2011-12-28 |
EP2368339A4 (en) | 2013-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2645289T3 (es) | Autenticación de transacciones seguras | |
CN110915183B (zh) | 经由硬/软令牌验证的区块链认证 | |
KR102308846B1 (ko) | 복수의 장치로부터 데이터에 액세스하기 위한 시스템 | |
US10826882B2 (en) | Network-based key distribution system, method, and apparatus | |
ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
US8266683B2 (en) | Automated security privilege setting for remote system users | |
EP2893484B1 (en) | Method and system for verifying an access request | |
JP5844471B2 (ja) | インターネットベースのアプリケーションへのアクセスを制御する方法 | |
JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
GB2585010A (en) | Cryptocurrency key management | |
JP2024045374A (ja) | 排他的自己エスクロー方法及び機器 | |
Weerasinghe et al. | Security framework for mobile banking | |
Certic | The Future of Mobile Security | |
KR20170092992A (ko) | 사용자 인증 시스템 및 그 방법 | |
US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
TWI833918B (zh) | 用於安全交易的方法和系統 | |
WO2008025137A1 (en) | Automated security privilege setting for remote system users |