ES2802924T3 - Método y sistema para la autenticación de un servicio - Google Patents

Método y sistema para la autenticación de un servicio Download PDF

Info

Publication number
ES2802924T3
ES2802924T3 ES14781714T ES14781714T ES2802924T3 ES 2802924 T3 ES2802924 T3 ES 2802924T3 ES 14781714 T ES14781714 T ES 14781714T ES 14781714 T ES14781714 T ES 14781714T ES 2802924 T3 ES2802924 T3 ES 2802924T3
Authority
ES
Spain
Prior art keywords
terminal
issued
link
request
equipment information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14781714T
Other languages
English (en)
Inventor
Kai Cao
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority claimed from PCT/US2014/054564 external-priority patent/WO2015060950A1/en
Application granted granted Critical
Publication of ES2802924T3 publication Critical patent/ES2802924T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

Un método que comprende: la recepción (110), por un servidor (320), de una primera solicitud de servicio enviada por un usuario desde una primera terminal (310); la generación (120), por el servidor (320), de una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso basándose en la primera solicitud de servicio recibida; la determinación (130), por el servidor (320), de un identificador de terminal preestablecido correspondiente a una segunda terminal (315), siendo el identificador de terminal preestablecido un identificador de terminal preestablecido por el usuario; el envío (130), por el servidor (320), de la primera dirección de enlace a la segunda terminal (315); la recepción (140), por el servidor (320), de una primera solicitud de enlace emitida a través de la primera dirección de enlace desde una terminal que emitió la primera solicitud de enlace; la determinación (140), por el servidor (320), de un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace; la comparación (150), por el servidor (320), del identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal (315); la determinación, por el servidor (320), de la información de equipo de la segunda terminal (315), que comprende: en caso de que se haya recibido una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal (315): la generación de una segunda dirección de enlace que se utiliza para enlazar con la ubicación de acceso; el envío de la segunda dirección de enlace a la segunda terminal (315); la determinación de un identificador de terminal de la terminal que emitió una segunda solicitud de enlace e información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace; la comparación del identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal (315); y en caso de que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal (315) coincidan y no se haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido tras la aprobación de una autenticación de la segunda solicitud de servicio, la determinación de que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal; la determinación (145), por el servidor (320), de información de equipo de la terminal que emitió la primera solicitud de enlace; la comparación (155), por el servidor (320), de la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal (315); y la realización (160), por el servidor (320), de una siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de la comparación, en donde la siguiente operación de procesamiento incluye la aprobación de la autenticación de la primera solicitud de servicio en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal (315) y, según el resultado de la comparación, la información de equipo de la terminal que emitió la primera solicitud de enlace coincida con la información de equipo de la segunda terminal (315).

Description

DESCRIPCIÓN
Método y sistema para la autenticación de un servicio
REFERENCIA CRUZADA A OTRAS SOLICITUDES
[0001] Esta solicitud reivindica prioridad con respecto a la solicitud de patente de la República Popular de China con n.° 201310512274.4, la cual lleva por título A SERVICE AUTHENTICATION METHOD, SYSTEM AND SERVER (“UN MÉTODO, SISTEMA Y SERVIDOR DE AUTENTICACIÓN DE UN SERVICIO”), presentada el 25 de octubre de 2013.
CAMPO DE LA DESCRIPCION
[0002] La presente solicitud se refiere a un método y a un sistema para la autenticación de un servicio.
ANTECEDENTES DE LA INVENCIÓN
[0003] Después de que una terminal de cliente (también denominada terminal) inicia sesión en un servidor utilizando un número de cuenta de usuario introducido por un usuario, la terminal a menudo emite al servidor una solicitud de servicio, como por ejemplo una solicitud de servicio de pago o una solicitud de servicio de autenticación de identidad. En las aplicaciones web de arquitecturas de navegador-servidor (o cliente-servidor), el cliente emite una solicitud al servidor cuando solicita que se realice un servicio, lo cual se denomina una solicitud de servicio. Por ejemplo, el navegador podría emitir una solicitud de servicio de pago al servidor cuando un usuario hace clic en el botón “PAGAR AHORA” en el sitio web de un proveedor de servicios de pago para transferir fondos. Por lo general, a los efectos de la lucha contra el fraude, el servidor autentica al usuario al recibir la solicitud de servicio del cliente. A fin de validar la solicitud de servicio, después de que el servidor recibe la solicitud de servicio, el servidor generalmente no responde a la solicitud de servicio inmediatamente, sino que genera un número de confirmación (generalmente, un número de confirmación de 6 dígitos). En algunos casos, el servidor envía el número de confirmación generado a través de un mensaje de texto del servicio de mensajes cortos (SMS, Short Message Service) a un teléfono móvil vinculado con el número de cuenta de usuario que se utilizó cuando la terminal inició sesión en el servidor basándose en una relación vinculante entre números de cuenta de usuario y números de teléfono móvil almacenados localmente.
[0004] El teléfono móvil muestra al usuario el número de confirmación enviado por el servidor. A continuación, el usuario introduce un número de confirmación en la terminal a través de un puerto de entrada de la terminal. Por ejemplo, la terminal muestra al usuario una página donde se puede introducir el número de confirmación, y el usuario introduce un número de confirmación en un cuadro de entrada en la página. La terminal envía el número de confirmación introducido por el usuario al servidor. El servidor compara el número de confirmación enviado por la terminal con un número de confirmación generado localmente. Si el número de confirmación enviado por la terminal y el número de confirmación generado localmente son el mismo, el servidor autentica la solicitud de servicio y responde a la solicitud de servicio.
[0005] Sin embargo, durante el proceso real de autenticación del servicio, el teléfono móvil que está vinculado a la cuenta de usuario puede experimentar una infiltración de caballo de Troya u otra infiltración similar, o el usuario del teléfono móvil vinculado a la cuenta de usuario puede ser víctima de un fraude, al ser interceptado el número de confirmación por un tercero malintencionado. Como consecuencia, el número de confirmación enviado por el servidor al teléfono móvil vinculado a la cuenta de usuario es sustraído de forma indebida. Si un usuario no autorizado utiliza el número de confirmación sustraído de forma indebida durante el proceso de autenticación relacionado con la solicitud de servicio, no se puede garantizar la fiabilidad de la autenticación de la solicitud de servicio.
[0006] En US 2011 138483 se describe un sistema para controlar el acceso a un elemento restringido que incluye: la recepción de una solicitud de acceso a un elemento restringido en un sistema informático asociado con un proveedor, originándose dicha solicitud en un sistema de cliente: la determinación de una dirección IP del sistema de cliente; la determinación de un número de teléfono móvil de un teléfono móvil asociado con el solicitante; la transmisión a un proveedor externo de servicios de la dirección IP y del número de teléfono móvil; y la recepción del proveedor externo de servicios de un mensaje de confirmación que indica si la dirección IP y el teléfono móvil están ubicados dentro de un rango aceptable entre sí.
[0007] La presente invención está definida en las reivindicaciones.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
[0008] Se describen varias realizaciones de la invención en la siguiente descripción detallada y los dibujos que se adjuntan.
La Figura 1 es un diagrama de flujo de una realización de un proceso para autenticar un servicio.
La Figura 2 es un diagrama de flujo de una realización de un proceso para determinar la información de equipo de una terminal.
La Figura 3 es un diagrama estructural de una realización de un sistema para autenticar un servicio.
La Figura 4 es un diagrama estructural de una realización de un dispositivo para autenticar un servicio.
La Figura 5 es un diagrama funcional en el que se ilustra una realización de un sistema informático programado para autenticar un servicio.
DESCRIPCIÓN DETALLADA
[0009] La invención puede implementarse de numerosas maneras, entre las que figuran: como un proceso; como un aparato; como un sistema; como una composición de materia; como un producto de programa informático incorporado en un soporte de almacenamiento legible por ordenador; y/o como un procesador, como por ejemplo un procesador configurado para ejecutar instrucciones almacenadas en una memoria acoplada al procesador y/o provistas por dicha memoria. En esta memoria descriptiva, estas implementaciones, o cualquier otra forma que pueda tomar la invención, pueden denominarse técnicas.
En general, el orden de los pasos de los procesos descritos puede modificarse dentro del ámbito de la invención. A menos que se indique lo contrario, un componente, como por ejemplo un procesador o una memoria, que se describe como configurado para realizar una tarea, puede implementarse como un componente general que se configura temporalmente para realizar la tarea en un momento dado o un componente específico que se fabrica para realizar la tarea. Tal y como se usa en el presente, el término “procesador” se refiere a uno o más dispositivos, circuitos y/o núcleos de procesamiento configurados para procesar datos, por ejemplo, instrucciones de programas informáticos.
[0010] Más adelante se proporciona una descripción detallada de una o más realizaciones de la invención, junto con las figuras adjuntas que ilustran los principios de la invención. La invención se describe en relación con dichas realizaciones, pero la invención no está limitada a ninguna realización. El ámbito de la invención está limitado solo por las reivindicaciones y la invención abarca numerosas alternativas, modificaciones y equivalentes. En la siguiente descripción se exponen numerosos detalles específicos con el fin de proporcionar una comprensión exhaustiva de la invención. Estos detalles se proporcionan con fines ilustrativos y la invención se puede poner en práctica, de acuerdo con las reivindicaciones, sin algunos o sin la totalidad de estos detalles específicos. En aras de la claridad, no se ha descrito en detalle el material técnico que se conoce en los campos técnicos relacionados con la invención con el fin de no oscurecer innecesariamente la invención.
[0011] Un método para autenticar un servicio incluye lo siguiente en algunas realizaciones: cuando se recibe una solicitud de servicio enviada por un usuario, el servidor genera una dirección de enlace que vincula con una ubicación de acceso en el servidor y envía la dirección de enlace generada a una terminal correspondiente a un identificador de terminal preestablecido por el usuario. A continuación, cuando el servidor recibe una primera solicitud de enlace emitida a través de la dirección de enlace, el servidor compara la terminal que emite la primera solicitud de enlace con la terminal correspondiente a un identificador de terminal preestablecido por el usuario. En caso de que el servidor determine que la terminal que emitió la primera solicitud de enlace y la terminal correspondiente al identificador de terminal preestablecido por el usuario son la misma, el servidor aprueba la autenticación de la solicitud de servicio. De lo contrario, el servidor rechaza la autenticación de la solicitud de servicio.
[0012] En algunas realizaciones, la comparación de la terminal vinculada con el servidor a través de la solicitud de enlace con la terminal correspondiente al identificador de terminal predefinido por el usuario también incluye la comparación de la terminal vinculada con el servidor a través de la solicitud de enlace con una terminal autorizada. Incluso si la dirección de enlace emitida por el servidor a la terminal autorizada es sustraída de forma indebida, el servidor puede, puesto que la terminal autorizada permanece segura y no se utiliza ilícitamente, identificar que la terminal que estableció el enlace local a través de la dirección de enlace no es una terminal autorizada. El servidor no aprobará la autenticación de la solicitud de servicio y, por lo tanto, se incrementará la fiabilidad de la autenticación del servicio.
[0013] En algunas realizaciones, las direcciones de enlace corresponden a Localizadores Uniformes de Recursos (URL, Uniform Resource Locators). Las URL también se pueden denominar direcciones web. Las URL pueden estar vinculadas con páginas de ubicaciones de acceso específicas en el servidor. En algunas realizaciones, las direcciones de enlace no están limitadas a ubicaciones de acceso específicas. Por ejemplo, las direcciones de enlace son enlaces cortos, y los enlaces cortos corresponden a URL largas convertidas mediante cálculos de programa u otros métodos similares en cadenas de caracteres de direcciones web abreviadas. Por ejemplo, un enlace corto para alibaba.com es http://bit.1y/18pmnGp.
[0014] En algunas realizaciones, las terminales corresponden a PC, teléfonos móviles u otras terminales móviles de este tipo.
[0015] En algunas realizaciones, las solicitudes de servicio son solicitudes de servicio con requisitos de seguridad relativamente altos, como por ejemplo solicitudes de servicio de pago o solicitudes de servicio de autenticación de identidad.
[0016] La Figura 1 es un diagrama de flujo de una realización de un proceso para autenticar un servicio. En algunas realizaciones, el proceso 100 es implementado por el servidor 320 de la Figura 3 y comprende:
En 110, el servidor recibe una primera solicitud de servicio enviada por un usuario.
[0017] En algunas realizaciones, el usuario emite la primera solicitud de servicio al servidor a través de una primera terminal. La terminal puede ser un ordenador portátil, un ordenador de escritorio, una tableta, un dispositivo móvil, un teléfono inteligente (smartphone), un dispositivo de red ponible o “wearable” o cualquier otro dispositivo informático apropiado. En algunas realizaciones, se instala un navegador web o una aplicación independiente en cada cliente, los cuales permiten que un usuario acceda al servicio alojado por el servidor. En diversas realizaciones, el servidor admite una variedad de tipos de aplicaciones, como por ejemplo un servidor de sitio web de juegos, un servidor de banca en línea o un servidor de pago de sitios web de compras. El servidor puede implementarse utilizando uno o más dispositivos informáticos, como por ejemplo un ordenador, un sistema multiprocesador, un sistema basado en microprocesador, un dispositivo con un uso especial, un entorno informático distribuido que incluye cualquiera de los sistemas o dispositivos anteriores u otra combinación apropiada de hardware/software/firmware que incluye uno o más procesadores, y una memoria acoplada a los procesadores y configurada para proporcionar instrucciones a los procesadores. El servidor puede comprender uno o varios dispositivos.
[0018] En algunas realizaciones, la primera terminal, siguiendo las instrucciones del usuario, inicia sesión en el servidor basándose en un número de cuenta de usuario registrado previamente (por ejemplo, un nombre de usuario y una contraseña) y después envía al servidor una solicitud de servicio para obtener un servicio. Por ejemplo, la primera terminal es un ordenador personal (PC) y el servidor es un servidor de banca en línea.
[0019] Después de que el PC establece una conexión, a través de Internet, con el servidor de banca en línea, el PC muestra al usuario una página de inicio de sesión en el servidor de banca en línea y recibe un número de cuenta de usuario registrado previamente introducido por el usuario en un cuadro de entrada en la página de inicio de sesión. El PC envía el número de cuenta de usuario al servidor de banca en línea. El servidor de banca en línea recibe un número de cuenta de usuario del PC y valida el número de cuenta de usuario recibido del PC. Después de que el servidor de banca en línea aprueba la autenticación del número de cuenta de usuario, el servidor completa el proceso de inicio de sesión. A continuación, el PC recibe una primera solicitud de servicio (por ejemplo, un servicio de pago) introducida por el usuario a través de una página de visualización y envía la primera solicitud de servicio al servidor de banca en línea. Por ejemplo, la primera solicitud de servicio puede ser una solicitud HTTP de “POST https://service.example.com”.
[0020] En 120, el servidor genera una primera dirección de enlace que se utiliza para enlazar a una ubicación de acceso para la primera solicitud de servicio. Cada vez que el servidor recibe una solicitud de servicio, el servidor genera dinámicamente una dirección de enlace para la solicitud de servicio. Un ejemplo de una dirección de enlace generada es https://jy.example.com/jy.htm?pwdjd=abc123. En otro ejemplo, la dirección de enlace generada se convierte en un enlace corto.
[0021] En algunas realizaciones, cada dirección de enlace a una ubicación de acceso en un servidor se refiere a una página de autenticación en el servidor. En otras palabras, la dirección de enlace generada de https://jy.abc.com/jy.htm?pwd_id=abc123 corresponde a la página de autenticación en el servidor.
[0022] En 130, el servidor determina un identificador de terminal preestablecido correspondiente a una segunda terminal y envía la primera dirección de enlace a la segunda terminal. Por ejemplo, se envía la dirección de enlace generada, https://jy.example.com/jy.htm?pwd_id=abc123, mencionada anteriormente, como la primera dirección de enlace a la segunda terminal utilizando un mensaje con el formato de un mensaje de servicio de mensajes cortos (SMS). En algunas realizaciones, el identificador de terminal preestablecido es un identificador de terminal preestablecido por el usuario, y el identificador de terminal preestablecido se almacena en una base de datos accesible por el servidor. En algunas realizaciones, el identificador de terminal preestablecido es un identificador de terminal preestablecido que se genera basándose en algunas variables de características de terminal y una función hash, y el identificador de terminal preestablecido se almacena en una base de datos accesible por el servidor.
[0023] En algunas realizaciones, cuando un usuario registra un número de cuenta en un servidor, el usuario proporciona un identificador de terminal preestablecido que está vinculado al número de cuenta del usuario registrado.
En otras palabras, se registra una relación vinculante en el servidor entre el número de cuenta del usuario y el identificador de terminal preestablecido de la segunda terminal. El servidor determina el identificador de terminal preestablecido correspondiente a la segunda terminal basándose en el número de cuenta de usuario utilizado cuando la segunda terminal ha iniciado sesión en el servidor. El servidor después envía la primera dirección de enlace a la segunda terminal basándose en el identificador de terminal preestablecido determinado para la segunda terminal. Por ejemplo, se envía la primera dirección de enlace de https://jy.example.com/jy.htm?pwdjd=abc123 a la segunda terminal.
[0024] Por ejemplo, la segunda terminal es un teléfono móvil y la primera terminal, de la que un usuario requiere un servicio, es un teléfono móvil o un ordenador personal (PC). Cuando se registra inicialmente una cuenta de usuario, se proporciona un número de teléfono móvil de la segunda terminal y se almacena en un servidor, de modo que el servidor sea capaz de enviar un mensaje SMS a la segunda terminal (a través del número de teléfono móvil que proporciona el usuario, el cual corresponde al identificador de terminal preestablecido). El usuario puede activar o hacer clic en un enlace en el mensaje SMS que fue enviado a la segunda terminal y acceder a una página de una dirección de enlace. En el ejemplo, el enlace se configura para estar activo cuando se envía y se configura para expirar en un breve periodo de tiempo, por ejemplo, unos minutos. En consecuencia, se puede verificar rápidamente la segunda terminal que accede al servidor, en lugar de implementar un “proceso de inicio de sesión” completo. En algunas realizaciones, se valida el número de teléfono móvil cuando la segunda terminal accede al servidor a través de una interfaz de programación de aplicaciones (API, Application Programming Interface) desde un proveedor de servicios de telecomunicaciones.
[0025] En algunas realizaciones, la primera y segunda terminales son dos piezas separadas de equipo de terminal. Por ejemplo, la primera terminal es un PC, y la segunda terminal es un teléfono móvil. En algunas realizaciones, la primera y segunda terminales son componentes en la misma unidad de equipo de terminal. Por ejemplo, la primera y segunda terminales son componentes diferentes (por ejemplo, diferentes aplicaciones de software) en un teléfono móvil. Cuando la primera y segunda terminales se refieren a componentes dentro de un equipo de terminal, el equipo de terminal tiene los componentes funcionales separados de la primera terminal y la segunda terminal para realizar el proceso 100.
[0026] En algunas realizaciones, cuando la segunda terminal es un teléfono móvil, el servidor envía la primera dirección de enlace a la segunda terminal mediante la emisión de un mensaje de texto de servicio de mensajes cortos (SMS) de enlace descendente (downlink) o por otra forma de comunicación inalámbrica.
[0027] En 140, el servidor recibe una primera solicitud de enlace desde una terminal que emitió la primera solicitud de enlace y determina un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace emitida desde la primera dirección de enlace.
[0028] Si la terminal que emitió la primera solicitud de enlace es un teléfono móvil, el identificador de terminal emitido de la terminal podría ser un número de teléfono móvil. En algunas realizaciones, el enlace se envía al teléfono móvil de un usuario a través de un mensaje SMS. En algunas realizaciones, el enlace se envía al teléfono móvil de un usuario a través de un protocolo de Internet. En este caso, el servidor podría determinar el número de teléfono del teléfono móvil que emitió la primera solicitud de enlace consultando el teléfono móvil que emitió la primera solicitud de enlace a través de una interfaz de programación de aplicaciones (API) puesta a disposición del público por un operador de Internet.
[0029] En este ejemplo, la segunda terminal muestra la primera dirección de enlace recibida y emite directamente la primera solicitud de enlace al servidor basándose en la primera dirección de enlace recibida. Por ejemplo, si la segunda terminal es un teléfono inteligente con pantalla táctil, el usuario puede activar o hacer clic en la primera dirección de enlace que se muestra en la segunda terminal a través de una aplicación de navegador o similar. Después de que la segunda terminal reconoce la acción de clic del usuario, la segunda terminal emite la primera solicitud de enlace al servidor basándose en la primera dirección de enlace. Por ejemplo, la primera solicitud de enlace puede ser POST https://jy.example.com/jy.htm?pwd_id.
[0030] En caso de que la primera dirección de enlace emitida por el servidor a la segunda terminal sea objeto de una sustracción indebida, se envía la primera dirección de enlace sustraída de forma indebida a una terminal no autorizada, a través de la cual un usuario no autorizado dará una respuesta no autorizada. Por lo tanto, la primera solicitud de enlace podría emitirse, a través de la primera dirección de enlace sustraída de forma indebida, al servidor.
[0031] En 150, el servidor compara el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal.
[0032] En algunas realizaciones, la comparación del servidor del identificador de terminal emitido de la terminal confirmada como la que emitió la primera solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal determina si el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace es el mismo que el identificador de terminal preestablecido de la segunda terminal. En caso de que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace sea el mismo que el identificador de terminal preestablecido de la segunda terminal, el resultado de la determinación es que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincide con el identificador de terminal preestablecido de la segunda terminal. En este caso, se determina que la terminal que emitió la primera solicitud de enlace al servidor es la segunda terminal. En caso de que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal sean diferentes, el resultado de la comparación es que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace no coincide con el identificador de terminal preestablecido de la segunda terminal, y el resultado de la comparación incluye que la terminal que emitió la primera solicitud de enlace al servidor no es la segunda terminal.
[0033] En 160, el servidor realiza la siguiente operación de procesamiento en la primera solicitud de servicio basándose en el resultado de la comparación.
[0034] En algunas realizaciones, en caso de que el resultado de la comparación incluya que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace es el mismo que el identificador de terminal preestablecido de la segunda terminal, la siguiente operación del procesamiento de la primera solicitud de servicio incluye: en respuesta a la primera solicitud de servicio, el servidor aprueba la autenticación de la primera solicitud de servicio, opcionalmente envía un mensaje de autenticación correcta a la terminal y permite que se proceda a la siguiente operación de procesamiento. De lo contrario, la siguiente operación de procesamiento de la primera solicitud de servicio incluye: en respuesta a la primera solicitud de servicio, el servidor no aprueba la autenticación de la primera solicitud de servicio y el servidor envía un mensaje de error de autenticación a la terminal.
[0035] A través del proceso 100 mostrado anteriormente, se compara la terminal que está vinculada con el servidor con una terminal autorizada certificada por el servidor (la terminal correspondiente al identificador de terminal preestablecido por el usuario). Incluso si la dirección de enlace emitida por el servidor a la terminal autorizada es sustraída de forma indebida, el servidor puede -siempre y cuando la terminal autorizada permanezca segura y no se use sin autorización- identificar que la terminal que estableció el enlace local no es una terminal autorizada. El servidor no aprobará la autenticación de la solicitud de servicio y, por lo tanto, se puede incrementar la fiabilidad de la autenticación del servicio.
[0036] El proceso 100 mostrado anteriormente determina si la terminal que emitió la primera solicitud de enlace es una terminal autorizada basándose en un identificador de terminal preestablecido. Además, el servidor también puede determinar si la terminal que emitió la primera solicitud de enlace es una terminal autorizada basándose en la información de equipo de la terminal. La información de equipo de la terminal incluye un número de modelo de equipo de una terminal, un número de versión de un sistema operativo de una terminal, un número de versión de un navegador de una terminal, el tamaño y la resolución de una pantalla de visualización de una terminal, o cualquier combinación de los mismos.
[0037] En algunas realizaciones, la información de equipo de la terminal se utiliza para determinar si la terminal que emitió la primera solicitud de enlace es una terminal autorizada. La determinación incluye:
[0038] En 145, el servidor determina la información de equipo de la terminal que emitió la primera solicitud de enlace.
[0039] En algunas realizaciones, la operación 145 se realiza simultáneamente con la operación 140. En algunas realizaciones, la operación 145 se realiza antes o después de la operación 140.
[0040] En 155, el servidor compara la información de equipo determinada con la información de equipo de la segunda terminal.
[0041] En algunas realizaciones, la operación 155 se realiza simultáneamente con la operación 150. En algunas realizaciones, la operación 155 se realiza antes o después de la operación 150.
[0042] En algunas realizaciones, la comparación de la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal incluye: la determinación de si la información de equipo de la terminal que emitió la primera solicitud de enlace es la misma que la información de equipo de la segunda terminal. En caso de que la información de equipo de la terminal que emitió la primera solicitud de enlace sea la misma que la información de equipo de la segunda terminal, el resultado de la comparación es que la información de equipo de la terminal que emitió la primera solicitud de enlace coincide con la información de equipo de la segunda terminal. En caso de que la información de equipo de la terminal que emitió la primera solicitud de enlace y la información de equipo de la segunda terminal sean diferentes, el resultado de la comparación es que la información de equipo de la terminal que emitió la primera solicitud de enlace no coincide con la información de equipo de la segunda terminal.
[0043] Además de realizar una operación de comparación directa para determinar si la información de equipo de la terminal que emitió la primera solicitud de enlace es la misma que la información de equipo de la segunda terminal, el servidor puede, después de la conversión de la información de equipo a valores digitales, obtener resultados de cálculos, como por ejemplo cálculos hash, y comparar dichos resultados.
[0044] Por ejemplo, el servidor convierte la información de equipo de la segunda terminal en un valor numérico. Por ejemplo, la información de equipo de la segunda terminal es un número de versión del navegador en la terminal. Este número de versión del navegador en la terminal es 2.3.7, que se convierte a un valor numérico como, por ejemplo, 2 x 100 3 x 10 7 = 237. Se utiliza un cálculo hash u otra técnica similar para generar una cadena de caracteres hash que contiene N (siendo N un entero positivo) letras o dígitos. A continuación, basándose en el mismo cálculo, y después de generar una cadena hash de N dígitos a partir de la información de equipo de la terminal que emitió la primera solicitud de enlace, el servidor compara la cadena hash de N dígitos generada a partir de la información de equipo de la terminal que emitió la primera solicitud de enlace con una cadena hash de N dígitos generada a partir de la información de equipo de la segunda terminal. En caso de que las dos cadenas hash de N dígitos sean iguales, entonces el resultado de la comparación incluye que la información de equipo de la terminal que emitió la primera solicitud de enlace coincide con la información de equipo de la segunda terminal. De lo contrario, el resultado de la comparación incluye que la información de equipo de la terminal que emitió la primera solicitud de enlace no coincide con la información de equipo de la segunda terminal.
[0045] En 160, después de realizar las operaciones de comparación 150 y 155, el servidor hace referencia simultáneamente a los resultados de comparación de las operaciones 150 y 155. El servidor aprueba la autenticación de la primera solicitud de servicio en caso de que los resultados de comparación de ambas operaciones 150 y 155 indiquen que el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincide con el identificador de terminal preestablecido de la segunda terminal, y la información de equipo de la terminal que emitió la primera solicitud de enlace coincide con la información de equipo de la segunda terminal. De lo contrario, el servidor no aprueba la autenticación de la primera solicitud de servicio.
[0046] En algunas realizaciones, el servidor determina la información de equipo de la segunda terminal antes de la realización de la operación 155, de modo que la operación de comparación puede realizarse basándose en la información de equipo determinada de la segunda terminal en la operación 155. En algunas realizaciones, el servidor determina la información de equipo basándose en uno de los siguientes dos enfoques (sin estar limitado a los mismos):
En un primer enfoque, en caso de que la segunda terminal acceda al servidor antes de que se realice el proceso 100, el servidor determina la información de equipo de la segunda terminal basándose en la información de registros históricos de cuando la segunda terminal accedió al servidor.
[0047] En un segundo enfoque, antes de que se realice el proceso 100, el servidor puede, de una manera similar al proceso 100, interactuar con una terminal que utilizó el número de cuenta de usuario vinculado a la segunda terminal. Por ejemplo, un enlace enviado a la segunda terminal por el servidor está relacionado con una cuenta de usuario y una solicitud de servicio. Cuando se hace clic en el enlace y se envía al servidor, la cuenta relacionada se vincula a la segunda terminal en consecuencia. En algunas realizaciones, algún tipo de información relacionada con el equipo se envía al servidor mediante, por ejemplo, un protocolo seguro de transferencia de hipertexto (HTTPS). Cuando se determina que la terminal es la segunda terminal, el servidor almacena la información de equipo de la segunda terminal, de manera que pueda determinarse la información de equipo de la segunda terminal cuando se ejecuta el proceso 100. La Figura 2 es un diagrama de flujo de una realización de un proceso para determinar la información de equipo de una terminal. En algunas realizaciones, el proceso 200 es una implementación de la operación 145 de la Figura 1 y comprende:
[0048] En 210, cuando el servidor recibe una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal, el servidor genera una segunda dirección de enlace que se utiliza para enlazar con una ubicación de acceso.
[0049] En los casos en los que el proceso de autenticación es normal, la terminal que envía la segunda solicitud de servicio es la segunda terminal. En los casos en los que el proceso de autenticación está en peligro y se intercepta la primera solicitud de servicio, la terminal es otra terminal que utiliza el número de cuenta de usuario vinculado a la segunda terminal.
[0050] En algunas realizaciones, la segunda solicitud de servicio es una solicitud de servicio con el mismo contenido que la primera solicitud de servicio. En algunas realizaciones, la segunda solicitud de servicio es una solicitud de servicio con contenido diferente al de la primera solicitud de servicio. Los términos “primera” y “segunda” se usan en el presente para diferenciar entre las solicitudes de servicio enviadas en dos ocasiones diferentes.
[0051] La primera y segunda direcciones de enlace son diferentes direcciones de enlace generadas por el servidor para la primera solicitud de servicio y la segunda solicitud de servicio, respectivamente.
[0052] En 220, el servidor envía la segunda dirección de enlace a la segunda terminal.
[0053] En 230, el servidor determina el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y la información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace.
[0054] La primera solicitud de enlace y la segunda solicitud de enlace pueden ser solicitudes de enlace del mismo tipo. Los términos “primera” y “segunda” se usan en el presente para diferenciar entre solicitudes de enlace relacionadas con dos ocasiones diferentes de un proceso de autenticación de servicio.
[0055] En 240, basándose en el resultado de coincidencia entre el identificador de terminal de la terminal que emitió la segunda dirección de enlace y el identificador de terminal preestablecido de la segunda terminal, el servidor determina si aprobará la autenticación de la segunda solicitud de servicio. En caso de que el servidor apruebe la autenticación de la segunda solicitud de servicio y el servidor no haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido, se confirma la terminal que emitió la segunda solicitud de enlace como la segunda terminal autenticada. El servidor almacena localmente la información de equipo de la terminal que emitió la segunda solicitud de enlace y determina que la información de equipo es la información de equipo de la segunda terminal.
[0056] En algunas realizaciones, el proceso 100 incluye la comparación del identificador de terminal emitido de la primera terminal vinculado con el servidor con la segunda terminal autorizada correspondiente al identificador de terminal preestablecido que ha sido preestablecido por el usuario. En algunas realizaciones, se comparan el identificador de terminal emitido y la información de equipo de la primera terminal vinculados con el servidor con el identificador de terminal preestablecido y la información de equipo de la segunda terminal autorizada. Incluso si la dirección de enlace emitida por el servidor a la segunda terminal autorizada es sustraída de forma indebida, el servidor puede -siempre y cuando la segunda terminal autorizada permanezca segura y no se use sin autorización- identificar el hecho de que la primera terminal que estableció el enlace local a través de la dirección de enlace no es una terminal autorizada. El servidor se negará a autenticar la solicitud de servicio y, por lo tanto, la fiabilidad de la autenticación del servicio aumentará como resultado.
[0057] Cabe señalar que se puede utilizar el proceso 100 en combinación con métodos tradicionales para la autenticación de servicios. Por ejemplo, se puede autenticar el servicio combinando el proceso 100 con los métodos de número de confirmación convencionales descritos en los antecedentes.
[0058] La Figura 3 es un diagrama estructural de una realización de un sistema para autenticar un servicio. En algunas realizaciones, el sistema 300 implementa el proceso 100 de la Figura 1 y comprende un servidor 320, una primera terminal 310 y una segunda terminal 315.
[0059] En algunas realizaciones, el servidor 320 recibe, a través de una red 330, una primera solicitud de servicio enviada por un usuario para generar una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso (elemento 1), determina un identificador de terminal preestablecido, envía la primera dirección de enlace a la segunda terminal 315 correspondiente al identificador de terminal preestablecido (punto 2), siendo el identificador de terminal un identificador de terminal preestablecido por el usuario, recibe una primera solicitud de enlace desde una terminal (elemento 3), determina un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace, compara el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal, y realiza la siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de la comparación.
[0060] En algunas realizaciones, la segunda terminal 315 recibe la primera dirección de enlace enviada por el servidor 320 y emite la primera solicitud de enlace a través de la primera dirección de enlace al servidor 320.
[0061] En algunas realizaciones, la primera terminal 310 emite la primera solicitud de servicio basándose en las instrucciones del usuario.
[0062] En algunas realizaciones, la primera terminal y la segunda terminal son terminales diferentes. En algunas realizaciones, la primera terminal y la segunda terminal son la misma terminal.
[0063] Además, el servidor 320 determina la información de equipo de la segunda terminal y determina la información de equipo de la terminal que emitió la primera solicitud de enlace, y compara la información de equipo de la terminal que emitió la primera solicitud de enlace y la información de equipo de la segunda terminal.
[0064] Además, el servidor 320 determina la información de equipo de la segunda terminal a través de uno de los dos enfoques siguientes (sin estar limitado a los mismos):
En un primer enfoque, el servidor 320 determina la información de equipo de la segunda terminal 315 basándose en la información de registros históricos sobre los accesos de la segunda terminal al servidor.
En un segundo enfoque, cuando en el pasado el servidor 320 ha recibido una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal 315, el servidor 320 genera una segunda dirección de enlace que se utiliza para enlazar con la ubicación de acceso, envía la segunda dirección de enlace a la segunda terminal y determina un identificador de terminal de la terminal que emitió la segunda solicitud de enlace y la información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace, en caso de que el servidor 320 determine que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal, y en caso de que el servidor 320 no haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido después de la aprobación de la autenticación de la segunda solicitud de servicio, el servidor 320 determina que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal.
[0065] La Figura 4 es un diagrama estructural de una realización de un dispositivo para autenticar un servicio. En algunas realizaciones, el dispositivo 400 implementa el proceso 100 y comprende un módulo de recepción 410, un módulo de generación de direcciones de enlace 420, un módulo de envío 430, un módulo de determinación 440, un módulo de comparación 450 y un módulo de determinación de información de equipo 460.
[0066] En algunas realizaciones, el módulo de recepción 410 recibe una primera solicitud de servicio enviada por un usuario y recibe una primera solicitud de enlace desde una terminal que emitió la primera solicitud de enlace.
[0067] En algunas realizaciones, el módulo de generación de direcciones de enlace 420 genera una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso.
[0068] En algunas realizaciones, el módulo de envío 430 envía la primera dirección de enlace a una segunda terminal correspondiente a un identificador de terminal preestablecido determinado.
[0069] En algunas realizaciones, el módulo de determinación 440 determina un identificador de terminal emitido de la terminal que emitió la primera solicitud de servicio basándose en la primera solicitud de enlace emitida a través de la primera dirección de enlace.
[0070] En algunas realizaciones, el módulo de comparación 450 compara el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal y realiza la siguiente operación en el procesamiento de la primera solicitud de servicio basándose en el resultado de la comparación.
[0071] En algunas realizaciones, el módulo de determinación de información de equipo 460 determina la información de equipo de la segunda terminal.
[0072] En algunas realizaciones, el módulo de determinación 440 determina además la información de equipo de la terminal que emitió la primera solicitud de enlace.
[0073] En algunas realizaciones, el módulo de comparación 450 compara, además, la información de equipo de la terminal que emitió la primera solicitud de enlace con el equipo de información de la segunda terminal.
[0074] En algunas realizaciones, el módulo de determinación de información de equipo 460 determina la información de equipo de la segunda terminal basándose en uno de los dos enfoques siguientes (sin estar limitado a los mismos):
[0075] En un primer enfoque, el módulo de determinación de información de equipo 460 determina específicamente la información de equipo de la segunda terminal basándose en la información de registros históricos de cuando la segunda terminal accedió al dispositivo 400.
[0076] En un segundo enfoque, el módulo de determinación de información de equipo 460, conjuntamente con al menos otro módulo en el dispositivo 400, determina la información de equipo de la segunda terminal.
[0077] En algunas realizaciones, el módulo de recepción 410 recibió en el pasado una segunda solicitud de servicio enviada por una terminal basándose en un número de cuenta de usuario vinculado a la segunda terminal.
[0078] En algunas realizaciones, el módulo de generación de direcciones de enlace 420 genera además una segunda dirección de enlace que se utiliza para enlazar con una ubicación de acceso.
[0079] En algunas realizaciones, el módulo de envío 430 envía además la segunda dirección de enlace a la segunda terminal.
[0080] En algunas realizaciones, el módulo de determinación 440 determina, además, el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y la información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace.
[0081] En algunas realizaciones, el módulo de comparación 450 compara, además, el identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal.
[0082] En algunas realizaciones, en caso de que el módulo de comparación 450 determine que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace coincide con el identificador de terminal preestablecido de la segunda terminal y no ha recibido un mensaje de advertencia dentro de un periodo de tiempo establecido después de la aprobación de la autenticación de la segunda solicitud de servicio, el módulo de determinación de información de equipo 460 determina que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal.
[0083] La Figura 5 es un diagrama funcional en el que se ilustra una realización de un sistema informático programado para autenticar un servicio. Como resultará evidente, se pueden usar otras arquitecturas y configuraciones de sistemas informáticos para realizar la autenticación del servicio. El sistema informático 500, que incluye varios subsistemas, como se describirá a continuación, incluye al menos un subsistema de microprocesador (también denominado procesador o unidad central de procesamiento (CPU, Central Processing Unit) 502. Por ejemplo, el procesador 502 puede implementarse mediante un procesador de un solo chip o por múltiples procesadores. En algunas realizaciones, el procesador 502 es un procesador digital de uso general que controla el funcionamiento del sistema informático 500. Mediante el uso de instrucciones recuperadas de la memoria 510, el procesador 502 controla la recepción y manipulación de los datos de entrada, así como la salida y visualización de datos en dispositivos de salida (por ejemplo, la pantalla 518).
[0084] El procesador 502 está acoplado bidireccionalmente con la memoria 510, que puede incluir un primer almacenamiento primario, típicamente una memoria de acceso aleatorio (RAM, Random Access Memory), y una segunda área de almacenamiento primario, típicamente una memoria de solo lectura (ROM, Read Only Memory). Como es bien conocido en el estado de la técnica, el almacenamiento primario puede usarse como un área de almacenamiento general y como memoria interna de alta velocidad (scratch-pad memory), y también puede usarse para almacenar datos de entrada y datos procesados. El almacenamiento primario también puede almacenar instrucciones y datos de programación en forma de objetos de datos y objetos de texto, además de otros datos e instrucciones para los procesos que operan en el procesador 502. También como es bien sabido en el estado de la técnica, el almacenamiento primario típicamente incluye instrucciones de funcionamiento básicas, código de programa, datos y objetos utilizados por el procesador 502 para llevar a cabo sus funciones (por ejemplo, instrucciones programadas). Por ejemplo, la memoria 510 puede incluir cualquier soporte de almacenamiento adecuado legible por ordenador, descrito más adelante, dependiendo de si, por ejemplo, el acceso a datos debe ser bidireccional o unidireccional. Por ejemplo, el procesador 502 también puede recuperar y almacenar directa y muy rápidamente los datos que se necesitan con frecuencia en una memoria caché (no mostrado).
[0085] Un dispositivo de almacenamiento masivo extraíble 512 proporciona una capacidad de almacenamiento de datos adicional para el sistema informático 500, y está acoplado bidireccionalmente (lectura/escritura) o unidireccionalmente (solo lectura) al procesador 502. Por ejemplo, el almacenamiento 512 también puede incluir soportes legibles por ordenador, como por ejemplo cinta magnética, memoria flash, PC-CARDS, dispositivos portátiles de almacenamiento masivo, dispositivos de almacenamiento holográfico y otros dispositivos de almacenamiento. Un almacenamiento masivo fijo 520 también puede, por ejemplo, proporcionar una capacidad de almacenamiento de datos adicional. El ejemplo más común de almacenamiento masivo 520 es una unidad de disco duro. El almacenamiento masivo 512 y 520 generalmente almacenan instrucciones de programación adicionales, datos y similares que normalmente no están en uso activo por el procesador 502. Se apreciará que la información retenida dentro del almacenamiento masivo 512 y 520 se puede incorporar, si es necesario, de manera estándar como parte de la memoria 510 (por ejemplo, RAM) en calidad de memoria virtual.
[0086] Además de proporcionar acceso de procesador 502 a subsistemas de almacenamiento, también se puede utilizar un bus 514 para proporcionar acceso a otros subsistemas y dispositivos. Como se muestra, estos pueden incluir un monitor de pantalla 518, una interfaz de red 516, un teclado 504 y un dispositivo apuntador 506, así como una interfaz de dispositivo de entrada/salida auxiliar, una tarjeta de sonido, altavoces y otros subsistemas según se necesiten. Por ejemplo, el dispositivo apuntador 506 puede ser un ratón, un lápiz óptico, una bola de seguimiento o una tableta, y es útil para interactuar con una interfaz gráfica de usuario.
[0087] La interfaz de red 516 permite al procesador 502 ser acoplado a otro ordenador, a una red de ordenadores o a una red de telecomunicaciones usando una conexión de red, tal y como se ha mostrado. Por ejemplo, a través de la interfaz de red 516, el procesador 502 puede recibir información (por ejemplo, objetos de datos o instrucciones de programa) de otra red o enviar información a otra red en el transcurso de la realización de los pasos del método/proceso. La información, que a menudo se representa como una secuencia de instrucciones que se ejecutará en un procesador, puede recibirse de otra red y enviarse a otra red. Se puede usar una tarjeta de interfaz o dispositivo similar y software apropiado implementado por (por ejemplo, ejecutado/realizado en) un procesador 502 para conectar el sistema informático 500 a una red externa y transferir datos de acuerdo con protocolos estándar. Por ejemplo, varias realizaciones de proceso descritas en el presente pueden ejecutarse en el procesador 502, o pueden realizarse a través de una red como Internet, redes intranet o redes de área local, junto con un procesador remoto que comparte una parte del procesamiento. También se pueden conectar dispositivos de almacenamiento masivo adicionales (no mostrados) al procesador 502 a través de la interfaz de red 516.
[0088] Se puede utilizar una interfaz de dispositivo de E/S auxiliar (no mostrado) en conjunción con el sistema informático 500. La interfaz de dispositivo de E/S auxiliar puede incluir interfaces generales y personalizadas que permiten al procesador 502 enviar y, más típicamente, recibir datos de otros dispositivos, como por ejemplo micrófonos, pantallas táctiles, lectores de tarjetas de transductor, lectores de cinta, reconocedores de voz o de escritura a mano, lectores biométricos, cámaras, dispositivos portátiles de almacenamiento masivo y otros ordenadores.
[0089] El sistema informático que se muestra en la Figura 5 no es sino un ejemplo de un sistema informático adecuado para su uso con las diversas realizaciones descritas en el presente. Otros sistemas informáticos adecuados para dicho uso pueden incluir subsistemas adicionales o menos subsistemas. Además, el bus 514 es ilustrativo de cualquier esquema de interconexión que sirva para enlazar los subsistemas. También se pueden utilizar otras arquitecturas informáticas con diferentes configuraciones de subsistemas.
[0090] Se pueden implementar los módulos descritos anteriormente como componentes de software que se ejecutan en uno o más procesadores de uso general, como hardware, por ejemplo, dispositivos lógicos programables y/o circuitos integrados para aplicaciones específicas (ASIC, Application-Specific Integrated Circuits) diseñados para realizar determinadas funciones, o una combinación de los mismos. En algunas realizaciones, los módulos pueden adoptar la forma de productos de software que pueden almacenarse en un soporte de almacenamiento no volátil (por ejemplo, un disco óptico, un dispositivo de almacenamiento flash, un disco duro móvil, etc.), incluida una serie de instrucciones para hacer que un dispositivo informático (por ejemplo, ordenadores personales, servidores, equipos de red, etc.) implementen los métodos descritos en las realizaciones de la presente invención. Los módulos pueden implementarse en un solo dispositivo o distribuirse en múltiples dispositivos. Las funciones de los módulos pueden combinarse entre sí o dividirse en submódulos múltiples.
[0091] Los métodos o pasos algorítmicos descritos a la vista de las realizaciones divulgadas en el presente pueden implementarse utilizando hardware, módulos de software ejecutado en un procesador, o combinaciones de ambos. Se pueden instalar los módulos de software en una memoria de acceso aleatorio (RAM), una memoria, una memoria de solo lectura (ROM), una ROM programable eléctricamente, una ROM programable borrable eléctricamente, registros, discos duros, discos extraíbles, CD-ROM o cualquier otra forma de soportes de almacenamiento conocidos en el campo técnico.
[0092] Aunque las realizaciones anteriores han sido descritas con cierto grado de detalle para facilitar su comprensión, la invención no está limitada a los detalles proporcionados. Existen muchas formas alternativas de implementar la invención. Las realizaciones descritas son ilustrativas y no limitativas.

Claims (8)

REIVINDICACIONES
1. Un método que comprende:
la recepción (110), por un servidor (320), de una primera solicitud de servicio enviada por un usuario desde una primera terminal (310);
la generación (120), por el servidor (320), de una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso basándose en la primera solicitud de servicio recibida;
la determinación (130), por el servidor (320), de un identificador de terminal preestablecido correspondiente a una segunda terminal (315), siendo el identificador de terminal preestablecido un identificador de terminal preestablecido por el usuario;
el envío (130), por el servidor (320), de la primera dirección de enlace a la segunda terminal (315); la recepción (140), por el servidor (320), de una primera solicitud de enlace emitida a través de la primera dirección de enlace desde una terminal que emitió la primera solicitud de enlace;
la determinación (140), por el servidor (320), de un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace;
la comparación (150), por el servidor (320), del identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal (315);
la determinación, por el servidor (320), de la información de equipo de la segunda terminal (315), que comprende:
en caso de que se haya recibido una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal (315):
la generación de una segunda dirección de enlace que se utiliza para enlazar con la ubicación de acceso;
el envío de la segunda dirección de enlace a la segunda terminal (315);
la determinación de un identificador de terminal de la terminal que emitió una segunda solicitud de enlace e información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace;
la comparación del identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal (315); y
en caso de que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal (315) coincidan y no se haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido tras la aprobación de una autenticación de la segunda solicitud de servicio, la determinación de que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal;
la determinación (145), por el servidor (320), de información de equipo de la terminal que emitió la primera solicitud de enlace;
la comparación (155), por el servidor (320), de la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal (315); y
la realización (160), por el servidor (320), de una siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de la comparación, en donde la siguiente operación de procesamiento incluye la aprobación de la autenticación de la primera solicitud de servicio en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal (315) y, según el resultado de la comparación, la información de equipo de la terminal que emitió la primera solicitud de enlace coincida con la información de equipo de la segunda terminal (315).
2. El método que se describe en la reivindicación 1, en donde la siguiente operación de procesamiento incluye la no aprobación de la autenticación de la primera solicitud de servicio y el envío de un mensaje de error de autenticación a la terminal en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace no coincida con el identificador de terminal preestablecido de la segunda terminal (315).
3. El método que se describe en la reivindicación 1, en donde:
el usuario envía la primera solicitud de servicio a través de la primera terminal (310); y
la primera terminal (310) y la segunda terminal (315) son terminales diferentes o la primera terminal (310) y la segunda terminal (315) son la misma terminal.
4. El método que se describe en la reivindicación 1, en donde la información de equipo comprende un número de modelo de equipo de una terminal, un número de versión de un sistema operativo de terminal, un número de versión de un navegador de terminal, un tamaño y resolución de una pantalla de visualización de terminal, o cualquier combinación de los mismos.
5. Un sistema para autenticar un servicio, que comprende:
un servidor (320) que comprende:
al menos un procesador configurado para:
recibir (110) una primera solicitud de servicio enviada por un usuario desde una primera terminal (310);
generar (120) una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso basándose en la primera solicitud de servicio recibida;
determinar (130) un identificador de terminal preestablecido correspondiente a una segunda terminal (315), siendo el identificador de terminal preestablecido un identificador de terminal preestablecido por el usuario;
enviar (130) la primera dirección de enlace a la segunda terminal (315);
recibir (140) una primera solicitud de enlace emitida a través de la primera dirección de enlace desde una terminal que emitió la primera solicitud de enlace;
determinar (140) un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace;
comparar (150) el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal (315);
determinar la información de equipo de la segunda terminal (315), lo que comprende: en caso de que se haya recibido una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal (315):
generar una segunda dirección de enlace que se utiliza para enlazar con la ubicación de acceso;
enviar la segunda dirección de enlace a la segunda terminal (315);
determinar un identificador de terminal de la terminal que emitió una segunda solicitud de enlace e información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace;
comparar el identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal (315); y en caso de que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal coincidan y no se haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido después de la aprobación de una autenticación de la segunda solicitud de servicio, determinar que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal (315); determinar (145) la información de equipo de la terminal que emitió la primera solicitud de enlace;
comparar (155) la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal (315); y
realizar (160) una siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de comparación, en donde la siguiente operación de procesamiento incluye la aprobación de la autenticación de la primera solicitud de servicio en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal (315) y, según el resultado de la comparación, la información de equipo de la terminal que emitió la primera solicitud de enlace coincida con la información de equipo de la segunda terminal (315); y
una memoria (510) acoplada al procesador o procesadores (502) y configurada para proporcionar instrucciones al procesador o procesadores (502); y
la segunda terminal (315) configurada para recibir la primera dirección de enlace enviada por el servidor (320) y emitir la primera solicitud de enlace a través de la primera dirección de enlace al servidor (320).
6. El sistema que se describe en la reivindicación 5, en donde:
la primera terminal está configurada para emitir la primera solicitud de servicio de acuerdo con las instrucciones del usuario; y
la primera terminal (310) y la segunda terminal (315) son terminales diferentes o la primera terminal (310) y la segunda terminal (315) son la misma terminal.
7. Un servidor (320) que comprende:
al menos un procesador (502) configurado para:
recibir (110) una primera solicitud de servicio enviada por un usuario desde una primera terminal (310);
generar (120) una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso basándose en la primera solicitud de servicio recibida;
determinar (130) un identificador de terminal preestablecido correspondiente a una segunda terminal (315), siendo el identificador de terminal preestablecido un identificador de terminal preestablecido por el usuario;
enviar (130) la primera dirección de enlace a la segunda terminal (315);
recibir (140) una primera solicitud de enlace emitida a través de la primera dirección de enlace desde una terminal que emitió la primera solicitud de enlace;
determinar (140) un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace;
comparar (150) el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal (315);
determinar la información de equipo de la segunda terminal (315), que comprende: en caso de que se haya recibido una segunda solicitud de servicio enviada por una terminal que utiliza un número de cuenta de usuario vinculado a la segunda terminal (315):
generar una segunda dirección de enlace que se utiliza para enlazar con la ubicación de acceso;
enviar la segunda dirección de enlace a la segunda terminal (315);
determinar un identificador de terminal de la terminal que emitió una segunda solicitud de enlace e información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace;
comparar el identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal (315); y
en caso de que el identificador de terminal de la terminal que emitió la segunda solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal coincidan y no se haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido después de la aprobación de una autenticación de la segunda solicitud de servicio, determinar que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal (315);
determinar (145) la información de equipo de la terminal que emitió la primera solicitud de enlace;
comparar (155) la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal (315); y
realizar (160) una siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de comparación, en donde la siguiente operación de procesamiento incluye aprobar la autenticación de la primera solicitud de servicio en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal (315) y, según el resultado de la comparación, la información de equipo de la terminal que emitió la primera solicitud de enlace coincida con la información de equipo de la segunda terminal (315); y
una memoria (510) acoplada al procesador o procesadores (502) y configurada para proporcionar instrucciones al procesador o procesadores (502).
8. Un producto de programa informático para la autenticación de un servicio, estando incorporado el producto de programa informático en un soporte de almacenamiento tangible no transitorio legible por ordenador y que comprende instrucciones informáticas para:
recibir (110) una primera solicitud de servicio enviada por un usuario desde una primera terminal (310); generar (120) una primera dirección de enlace que se utiliza para enlazar con una ubicación de acceso basándose en la primera solicitud de servicio recibida;
determinar (130) un identificador de terminal preestablecido correspondiente a una segunda terminal (315), siendo el identificador de terminal preestablecido un identificador de terminal preestablecido por el usuario;
enviar (130) la primera dirección de enlace a la segunda terminal (315);
recibir (140) una primera solicitud de enlace emitida a través de la primera dirección de enlace desde una terminal que emitió la primera solicitud de enlace;
determinar (140) un identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace basándose en la primera solicitud de enlace;
comparar (150) el identificador de terminal emitido determinado con el identificador de terminal preestablecido de la segunda terminal (315);
determinar la información de equipo de la segunda terminal (315), lo que comprende:
en caso de que se haya recibido una segunda solicitud de servicio enviada por una terminal utilizando un número de cuenta de usuario vinculado a la segunda terminal (315):
generar una segunda dirección de enlace que se utiliza para enlazar a la ubicación de acceso; enviar la segunda dirección de enlace a la segunda terminal (315);
determinar un identificador de terminal de la terminal que emitió una segunda solicitud de enlace e información de equipo de la terminal basándose en la segunda solicitud de enlace emitida a través de la segunda dirección de enlace;
comparar el identificador de terminal de la terminal que emitió la segunda solicitud de enlace con el identificador de terminal preestablecido de la segunda terminal (315); y
en caso de que el identificador de terminal que emitió la segunda solicitud de enlace y el identificador de terminal preestablecido de la segunda terminal (315) coincidan y no se haya recibido un mensaje de advertencia dentro de un periodo de tiempo establecido después de la aprobación de una autenticación de la segunda solicitud de servicio, determinar que la información de equipo de la terminal que emitió la segunda solicitud de enlace es la información de equipo de la segunda terminal (315);
determinar la información de equipo de la terminal que emitió la primera solicitud de enlace;
comparar la información de equipo de la terminal que emitió la primera solicitud de enlace con la información de equipo de la segunda terminal (315); y
realizar (160) una siguiente operación de procesamiento en la primera solicitud de servicio basándose en los resultados de comparación, en donde la siguiente operación de procesamiento incluye aprobar la autenticación de la primera solicitud de servicio en caso de que, según los resultados de la comparación, el identificador de terminal emitido de la terminal que emitió la primera solicitud de enlace coincida con el identificador de terminal preestablecido de la segunda terminal (315) y, según el resultado de la comparación, la información de equipo de la terminal que emitió la primera solicitud de enlace coincida con la información de equipo de la segunda terminal (315).
ES14781714T 2013-10-25 2014-09-08 Método y sistema para la autenticación de un servicio Active ES2802924T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310512274.4A CN104580112B (zh) 2013-10-25 2013-10-25 一种业务认证方法、系统及服务器
US14/478,385 US9413744B2 (en) 2013-10-25 2014-09-05 Method and system for authenticating service
PCT/US2014/054564 WO2015060950A1 (en) 2013-10-25 2014-09-08 Method and system for authenticating service

Publications (1)

Publication Number Publication Date
ES2802924T3 true ES2802924T3 (es) 2021-01-21

Family

ID=52997052

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14781714T Active ES2802924T3 (es) 2013-10-25 2014-09-08 Método y sistema para la autenticación de un servicio

Country Status (8)

Country Link
US (2) US9413744B2 (es)
EP (1) EP3061025B1 (es)
JP (1) JP6034995B2 (es)
KR (1) KR101812002B1 (es)
CN (1) CN104580112B (es)
ES (1) ES2802924T3 (es)
PL (1) PL3061025T3 (es)
TW (1) TWI646479B (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6331684B2 (ja) * 2014-05-20 2018-05-30 富士ゼロックス株式会社 情報処理装置、通信システム、及びプログラム
CN106375444B (zh) * 2016-08-31 2019-10-25 北京华大智宝电子系统有限公司 一种数据处理方法以及云平台服务器
CN106850693B (zh) * 2017-03-31 2020-10-27 深圳微众信用科技股份有限公司 一种实名认证的方法及实名认证系统
CN109561429B (zh) * 2017-09-25 2020-11-17 华为技术有限公司 一种鉴权方法及设备
CN107610258A (zh) * 2017-10-26 2018-01-19 深圳成谷科技有限公司 一种车辆通行的处理系统
CN108401037B (zh) * 2018-01-23 2021-07-06 创新先进技术有限公司 用户终端和设备的绑定方法、装置和系统
CN110740353B (zh) * 2018-07-20 2021-07-09 阿里巴巴(中国)有限公司 请求识别方法及装置
US11606687B1 (en) * 2019-12-12 2023-03-14 Amazon Technologies, Inc. Anonymized bluetooth beacons
CN112235177B (zh) * 2020-08-29 2021-12-24 上海量明科技发展有限公司 通过即时通信发送认证信息的方法、装置及系统

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005024743A1 (en) * 2003-09-05 2005-03-17 International Business Machines Corporation Granting access to a system based on the use of a card having stored user data thereon
US20060190533A1 (en) * 2005-02-21 2006-08-24 Marvin Shannon System and Method for Registered and Authenticated Electronic Messages
KR100529210B1 (ko) * 2005-03-22 2005-11-17 주식회사 하이스마텍 복수의 인증 어플리케이션에 대한 제어 방법 및 시스템
JP2007102778A (ja) 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法
US20070136573A1 (en) 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
CN101025806B (zh) * 2006-02-20 2012-09-05 普天信息技术研究院 一种用移动通信终端进行费用支付的方法
CN101114397A (zh) * 2006-07-28 2008-01-30 阿里巴巴公司 利用包含ic卡的身份证进行交易的支付系统及方法
CN101131756B (zh) * 2006-08-24 2015-03-25 联想(北京)有限公司 移动支付设备电子现金充值安全认证系统、装置及方法
WO2008064403A1 (en) 2006-11-27 2008-06-05 Emue Holdings Pty Ltd Remote service authentication method
US20080318548A1 (en) * 2007-06-19 2008-12-25 Jose Bravo Method of and system for strong authentication and defense against man-in-the-middle attacks
JP5012261B2 (ja) * 2007-07-02 2012-08-29 大日本印刷株式会社 パスワード発行システム
CN101145905A (zh) * 2007-10-25 2008-03-19 中国工商银行股份有限公司 一种实现电话银行在线支付的认证方法、装置及系统
US8516566B2 (en) 2007-10-25 2013-08-20 Apple Inc. Systems and methods for using external authentication service for Kerberos pre-authentication
US8255971B1 (en) * 2008-03-03 2012-08-28 Jpmorgan Chase Bank, N.A. Authentication system and method
US8683609B2 (en) * 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
US8627088B2 (en) * 2010-02-10 2014-01-07 Authernative, Inc. System and method for in- and out-of-band multi-factor server-to-user authentication
US20110302096A1 (en) 2010-06-02 2011-12-08 Apple Inc. Authentication service for sales of goods and services
US8505085B2 (en) * 2011-04-08 2013-08-06 Microsoft Corporation Flexible authentication for online services with unreliable identity providers
WO2013028901A2 (en) * 2011-08-23 2013-02-28 Visa International Service Association Authentication process for value transfer machine
KR101474927B1 (ko) * 2011-12-22 2014-12-31 주식회사 케이티 외부 디스플레이 기기로의 영상 송출 방법 및 그 단말
EP2611097A1 (en) * 2011-12-28 2013-07-03 Gemalto SA Method for authenticating a user using a second mobile device
CN103297462B (zh) * 2012-02-28 2017-12-29 阿里巴巴集团控股有限公司 一种业务对象的验证方法以及装置

Also Published As

Publication number Publication date
JP6034995B2 (ja) 2016-11-30
KR20160048161A (ko) 2016-05-03
US20150121492A1 (en) 2015-04-30
TW201516910A (zh) 2015-05-01
EP3061025B1 (en) 2020-04-01
JP2016535881A (ja) 2016-11-17
CN104580112A (zh) 2015-04-29
TWI646479B (zh) 2019-01-01
US9413744B2 (en) 2016-08-09
PL3061025T3 (pl) 2020-10-19
US20160315932A1 (en) 2016-10-27
US9894053B2 (en) 2018-02-13
EP3061025A1 (en) 2016-08-31
CN104580112B (zh) 2018-07-13
KR101812002B1 (ko) 2017-12-26

Similar Documents

Publication Publication Date Title
ES2802924T3 (es) Método y sistema para la autenticación de un servicio
KR102141836B1 (ko) 이중 인증
US10223524B1 (en) Compromised authentication information clearing house
US9838384B1 (en) Password-based fraud detection
US8387119B2 (en) Secure application network
US10176318B1 (en) Authentication information update based on fraud detection
US20230164166A1 (en) Systems and methods for effective delivery of simulated phishing campaigns
EP3961978A1 (en) System and method for replacing common identifying data
US20130104220A1 (en) System and method for implementing a secure USB application device
US11036864B2 (en) Operating system based authentication
CN106663268A (zh) 具有临时匿名身份的平台身份架构
US11552984B2 (en) Systems and methods for improving assessment of security risk based on personal internet account data
WO2015060950A1 (en) Method and system for authenticating service
US20140215592A1 (en) Method, apparatus and system for user authentication
US11657389B2 (en) Data input using multi-factor authentication
WO2015184809A1 (zh) 移动终端支付交易的方法、移动终端、服务提供商设备及系统
US10491391B1 (en) Feedback-based data security
US20220067735A1 (en) Systems and methods for use with network authentication