ES2816324T3 - Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método - Google Patents
Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método Download PDFInfo
- Publication number
- ES2816324T3 ES2816324T3 ES12198886T ES12198886T ES2816324T3 ES 2816324 T3 ES2816324 T3 ES 2816324T3 ES 12198886 T ES12198886 T ES 12198886T ES 12198886 T ES12198886 T ES 12198886T ES 2816324 T3 ES2816324 T3 ES 2816324T3
- Authority
- ES
- Spain
- Prior art keywords
- provider
- data
- authentication
- authentication device
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/357—Cards having a plurality of specified features
- G06Q20/3572—Multiple accounts on card
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
Abstract
Método para autenticar a un usuario (1) a un proveedor de servicios (20), entre una pluralidad de proveedores de servicios (20), por medio de un único dispositivo de autenticación (10) identificado por un identificador de dispositivo (11), que comprende los pasos de: - transmitir, desde el dispositivo de autenticación (10) hasta el proveedor de servicios (20), una solicitud de autenticación (32) que comprende al menos dicho identificador de dispositivo (11), - preparar, por parte del proveedor de servicios (20), datos de autenticación de proveedor (33) basándose en datos de emparejamiento (31) compartidos tanto por dicho dispositivo de autenticación (10) como por dicho proveedor de servicios (20), - enviar dichos datos de autenticación de proveedor (33) desde el proveedor de servicios (20) hasta el dispositivo de autenticación (10), - autenticar, en el dispositivo de autenticación (10), dichos datos de autenticación de proveedor (33); en el caso de un resultado positivo, entonces - preparar los datos de autenticación de dispositivo (36) basados en cualquiera de dichos datos de emparejamiento (31) por el dispositivo de autenticación (10), luego enviar dichos datos de autenticación de dispositivo (36) al proveedor de servicios (20), - verificar la autenticidad de los datos de autenticación de dispositivo (36) por parte del proveedor de servicios (20) y, en el caso de un resultado positivo, validar entonces la autenticación de dicho usuario (1), caracterizado por el hecho de que - dicho dispositivo de autenticación (10) comprende un registro de proveedor (35) para cada uno de esos proveedores de servicios (20) con el que el usuario está registrado al tener una cuenta de usuario (25) con cada uno de esos proveedores de servicios (20), donde cada registro de proveedor (35) comprende una clave de emparejamiento KP y los primeros datos, donde dicha clave de emparejamiento KP y esos primeros datos se comparten con el proveedor de servicios (20) al que se refiere dicho registro de proveedor (35), - dichos datos de autenticación de proveedor (33) comprenden un primer criptograma obtenido encriptando esos primeros datos con dicha clave de emparejamiento KP, - la autenticación de dichos datos de autenticación de proveedor (33) se realiza en el dispositivo de autenticación (10) mediante los pasos de: - desencriptar dicho primer criptograma por medio de la clave de emparejamiento KP almacenada en uno de esos registros de proveedor (35), luego - comparar el resultado de esta desencriptación con los primeros datos resultantes de los datos de emparejamiento (31) almacenados en dicho registro de proveedor (35), - si la comparación no indica una coincidencia, entonces volver a procesar los pasos de desencriptación y comparación anteriores usando la clave de emparejamiento KP de otro registro de proveedor (35) hasta que se haya procesado cada uno de esos registros de proveedor (35) almacenados en el dispositivo de autenticación (10).
Description
DESCRIPCIÓN
Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método
CAMPO TÉCNICO
[0001] La presente invención se refiere al campo de los intercambios de datos electrónicos, tales como los servicios en línea o el comercio electrónico, que requieren una autenticación mutua entre un usuario y un proveedor de servicios, entre una pluralidad de proveedores en los que este usuario tiene una cuenta. Dicha autenticación es necesaria cada vez que el usuario quiera acceder al servicio del proveedor. En particular, la invención proporciona una solución para gestionar, de forma segura, el acceso a una pluralidad de servicios (cada uno de ellos proporcionado por un proveedor de servicios específico) mediante un dispositivo de autenticación que evita que el usuario recupere, por sí mismo, tanto el "ID de usuario" como la contraseña relacionada que son específicas de cada cuenta. La presente invención también se refiere al dispositivo de autenticación para realizar este método.
ESTADO DE LA TÉCNICA
[0002] Gracias a la red mundial (internet), hoy en día un usuario común tiene acceso a una gran cantidad de proveedores que sugieren diferentes servicios, tales como la banca electrónica, el comercio electrónico, la reserva electrónica o cualquier otro servicio electrónico. Los proveedores de servicios pueden ser comercios, organizaciones o cualquier otra entidad. Dependiendo de la naturaleza y la importancia de ciertos datos intercambiados entre un proveedor de servicios y un usuario (también llamado suscriptor), este último tiene que identificarse al proveedor proporcionando un denominado "nombre de usuario" (o "ID de usuario") específico y la contraseña relacionada.
[0003] Como la cantidad de nombres de usuario y contraseñas que recordar es tan grande, la mayoría de usuarios usan la misma contraseña en todas partes o la escribe en un papel para asegurarse de recuperarla más tarde. Estas formas de hacerlo no permiten cumplir con los objetivos de seguridad iniciales buscados por dicha autenticación que luego pueden verse comprometidos. Además, para alcanzar un buen nivel de seguridad, las contraseñas deberían cambiarse, cada una de acuerdo con diferentes periodos de tiempo u otras reglas, para evitar que los usuarios usen las mismas contraseñas durante un largo periodo o para varias aplicaciones.
[0004] Como ejemplo, dentro del campo de la banca electrónica, se sabe que el usuario tiene que iniciar sesión en su cuenta por medio de una tarjeta de acceso y un lector de tarjetas que es independiente del ordenador personal a través del cual se pueden intercambiar los datos entre el usuario y el proveedor de servicios. Para ello, el usuario debe insertar la tarjeta de acceso en el lector de tarjetas e introducir su código PIN usando el teclado del lector de tarjetas. A continuación, ingresa su ID de usuario (nombre de usuario) en la ventana de inicio de sesión en la pantalla de su ordenador. Este recibe un número, del proveedor de servicios, que se introduce en el lector de tarjetas. En respuesta, aparece una contraseña de un solo uso en la pantalla del lector de tarjetas. El usuario debe introducir esta contraseña en el campo de contraseña de su ordenador. Si todos los datos introducidos tanto en el lector de tarjetas como en el ordenador son correctos, entonces el usuario se autentica con éxito y obtiene acceso al servicio del proveedor, por ejemplo, para realizar transacciones bancarias o para consultar sus cuentas bancarias.
[0005] Sin embargo, dicho sistema proporciona acceso a un solo servicio. Cada proveedor de servicios necesita su propia tarjeta de acceso que requiere un lector de tarjetas específico. Además, los lectores de tarjeta no se pueden compartir con las tarjetas de acceso de otros proveedores de servicios. De este modo, el usuario que quiere tener acceso a servicios proporcionados por varios proveedores debe tener, para cada proveedor de servicios, una tarjeta de acceso y el lector de tarjetas de acceso relacionado. Esta forma, por un lado, no es conveniente para el usuario y, por otro lado, no es racional tanto desde el punto de vista económico como ecológico.
[0006] Por lo tanto, existe la necesidad de mejorar la gestión de los identificadores de usuario y las contraseñas requeridos para los procesos de autenticación, entre un usuario y una pluralidad de proveedores de servicios a los que este usuario está registrado, por medio de un dispositivo de autenticación, como una tarjeta de acceso.
RESUMEN DE LA INVENCIÓN
[0007] Para resolver el problema anteriormente mencionado, la presente invención pretende proporcionar una solución para gestionar el acceso a un gran número de servicios, cada uno de los cuales requiere un nombre de usuario y una contraseña específicos. Preferiblemente, esta última debe cumplir con limitaciones de robustez específicas y posibles intervalos de renovación impuestos por el proveedor de servicios para minimizar los riesgos de piratería. En particular, la invención sugiere un método para autenticar a un usuario a un proveedor de servicios, entre una pluralidad de proveedores de servicios, por medio de un dispositivo de autenticación identificado por un identificador de dispositivo único. Este método comprende los pasos de:
- transmitir, desde el dispositivo de autenticación al proveedor de servicios, una solicitud de autenticación que comprende al menos dicho identificador de dispositivo,
- preparar, por parte del proveedor de servicios, los datos de autenticación de proveedor basándose en los datos de emparejamiento compartidos tanto por dicho dispositivo de autenticación como por dicho proveedor de servicios,
- enviar dichos datos de autenticación de proveedor desde el proveedor de servicios hasta el dispositivo de autenticación,
- autenticar, en el dispositivo de autenticación, un registro de proveedor, entre al menos un registro de proveedor almacenado en el dispositivo de autenticación, por medio de dichos datos de autenticación de proveedor, en el caso de un resultado positivo, entonces
- preparar los datos de autenticación de dispositivo por parte del dispositivo de autenticación, a continuación enviar dichos datos de autenticación de dispositivo al proveedor de servicios,
- verificar la autenticidad de los datos de autenticación de dispositivo por parte del proveedor de servicios y, en el caso de un resultado positivo, validar entonces la autenticación de dicho usuario.
[0008] El dispositivo de autenticación es un dispositivo criptográfico seguro. Preferiblemente, el dispositivo de autenticación tiene la forma de una tarjeta inteligente (tarjeta de acceso).
[0009] Según una primera forma de realización, el dispositivo de autenticación no está conectado al proveedor de servicios y los datos intercambiados entre el usuario y el proveedor de servicios se envían y reciben por medio de un terminal, típicamente un ordenador personal dentro de un entorno doméstico. Alternativamente, el dispositivo de autenticación puede estar provisto de medios de comunicación por cable y/o inalámbricos (por ejemplo, medios de conexión inalámbricos de corto alcance, tales como la comunicación de campo cercano (Near-Field Communication) para intercambiar datos con el proveedor de servicios a través del terminal.
[0010] Según otra forma de realización, el dispositivo de autenticación puede ser un dispositivo de comunicación, preferiblemente un dispositivo informático portátil, como un teléfono inteligente, una tableta, un asistente digital personal, un ordenador portátil, etc.., en el que se ha instalado o implementado una aplicación de software segura para procesar el método de la invención. Este dispositivo informático portátil puede vincularse con el proveedor de servicios directamente o a través del terminal anteriormente mencionado. En el caso de que éste directamente conectado al proveedor de servicios, el dispositivo de autenticación puede estar provisto de medios de comunicación de mayor alcance, tales como los medios provistos en los teléfonos móviles.
[0011] Como el dispositivo de autenticación de la presente invención es capaz de gestionar por sí mismo una pluralidad de registros de cuenta a varios proveedores de servicios, el usuario simplemente introducirá (en el terminal o directamente en el dispositivo de autenticación en caso de que este último disponga de medios de comunicación), datos solicitados por el dispositivo de autenticación.
[0012] Para facilitar aun más el proceso de inicio de sesión, los datos requeridos intercambiados con el proveedor de servicios pueden ser manejados automáticamente por el dispositivo de autenticación si este dispositivo está provisto de medios de comunicación para intercambiar datos directamente con el proveedor de servicios o mediante un terminal.
[0013] La presente invención no está limitada al método anteriormente mencionado, sino que también se refiere a la autenticación en sí. Por lo tanto, la invención también se refiere a una autenticación de dispositivo para autenticar a un usuario a un proveedor de servicios, entre una pluralidad de proveedores de servicios, que comprende:
- un identificador de dispositivo único,
- una memoria segura no volátil para almacenar datos secretos y/o compartidos,
- una interfaz de usuario para introducir datos de usuario,
- una pantalla,
- un criptoprocesador para realizar operaciones criptográficas y lógicas y para gestionar funciones y todos los componentes del dispositivo de autenticación.
[0014] Según la invención, la memoria está organizada para almacenar, de una manera ordenada, datos relacionados con una pluralidad de proveedores de servicios y el criptoprocesador es capaz de recuperar datos relacionados con cada uno de estos proveedores de servicios para procesarlos de una manera diferente.
[0015] En la siguiente descripción detallada se presentarán otras ventajas y formas de realización.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
[0016] La presente invención se entenderá mejor gracias a las figuras adjuntas en las que:
La figura 1 es un diagrama de bloques que muestra una visión de conjunto de los principales dispositivos involucrados en el método de la presente invención,
La figura 2 es una vista esquemática aumentada del dispositivo de autenticación según una forma de realización preferida,
La figura 3 muestra una vista esquemática aumentada de uno de los proveedores de servicios,
La figura 4 es un diagrama de flujo que muestra los intercambios de datos entre el dispositivo de autenticación y el proveedor de servicios.
DESCRIPCIÓN DETALLADA
[0017] Con referencia a la figura 1, esta última muestra una visión de conjunto del sistema relacionada con el método de la presente invención. Este método tiene como objetivo una autenticación mutua entre un usuario 1 y un proveedor de servicios 20 entre una pluralidad de proveedores de servicios. En el ejemplo de la figura 1 solo están representados tres proveedores, pero debe entenderse que, en general, estarán implicados más proveedores. Según la invención, esta autenticación mutua se realiza por medio de un dispositivo de autenticación 10 mostrado en las figuras en forma de una tarjeta inteligente. Para autenticar tanto el usuario 1 como el proveedor de servicios 20 con el que el usuario desea tener acceso, los datos 30 deben intercambiarse entre estas dos entidades. Según una forma de realización, dicho intercambio de datos se realiza a través de un terminal 40, típicamente un ordenador personal dentro de un entorno doméstico 45. Para este fin, el terminal 40 está provisto, en primer lugar, de al menos una interfaz de comunicación 42, para intercambiar datos al menos con cualquiera de los proveedores de servicios 20 a través de una red 50 (por ejemplo, internet) y, en segundo lugar, con una aplicación de software 43 para realizar algunos pasos del presente método. Según otra forma de realización, el dispositivo de autenticación 10 podría considerarse como un software seguro instalado dentro del terminal 40 o dentro de cualquier otro medio de comunicación, como un teléfono inteligente, una tableta, un ordenador portátil etc... Por consiguiente, el dispositivo de autenticación 10 podría ser capaz de intercambiar datos 30 directamente con el proveedor de servicios 20. Según una forma de realización adicional, el dispositivo de autenticación 10 también podría estar provisto de su propia interfaz de comunicación 12 para intercambiar datos con el terminal 40 a través de un cable (por ejemplo, USB) o una comunicación inalámbrica (NFC, Bluetooth, infrarrojos, etc...), preferiblemente una comunicación inalámbrica de corto alcance. Los datos intercambiados entre el dispositivo de autenticación 10 y el terminal 40 también podrían lograrse mediante un dispositivo intermedio (no mostrado en las figuras) que admita una de estas tecnologías. Por ejemplo, dicho dispositivo adicional podría ser un lector de tarjetas en caso de que el dispositivo de autenticación 10 tenga la forma de una tarjeta de acceso.
[0018] La figura 2 es una vista esquemática aumentada de un dispositivo de autenticación 10. Según una forma de realización preferida, este dispositivo 10 es una tarjeta inteligente provista de una pantalla de visualización 14 y una interfaz de usuario 15, como un teclado. El dispositivo de autenticación se identifica mediante un identificador de dispositivo único 11, típicamente un número de tarjeta impreso en la tarjeta. Este identificador de dispositivo 11 podría estar almacenado en una memoria 16, preferiblemente una memoria segura no volátil, que también se usa para almacenar otros datos, tales como claves, datos compartidos o código PIN (número de identificación personal). Según la forma de realización preferida, la interfaz de comunicación 12 es compatible con NFC. El dispositivo de autenticación también comprende un criptoprocesador 17 para realizar operaciones criptográficas y lógicas, por un lado, y para gestionar todos los componentes del dispositivo 10, por otro lado. Las operaciones criptográficas generalmente se refieren a procesos de encriptación/desencriptación, ejecución de funciones hash para proporcionar resúmenes y ejecutar algoritmos, por ejemplo, para determinar desafíos o resultados criptográficos.
[0019] La figura 3 muestra los componentes principales de uno de los proveedores de servicios 20. Cada de estos está identificado por un identificador de proveedor único 21 y comprende al menos una interfaz de comunicación 22 para intercambiar datos (con el terminal 40 o directamente con el dispositivo de autenticación 10), una memoria no volátil para almacenar cualquier tipo de datos, una base de datos 28 para almacenar una pluralidad de cuentas de usuario 25 pertenecientes a usuarios registrados que se benefician de los servicios de este proveedor de servicios y un criptoprocesador 27 para gestionar todos los componentes del proveedor de servicios y para realizar operaciones criptográficas y lógicas.
[0020] Con referencia ahora a la figura 4, los pasos principales del presente método se ilustran en un diagrama de flujo que muestra los intercambios de datos entre el dispositivo de autenticación 10 y uno de los proveedores de servicios 20. El dispositivo de autenticación y el proveedor de servicios comprenden datos de emparejamiento 31 que pueden resultar (al menos parcialmente) de un proceso de emparejamiento realizado durante una fase de registro donde se crea una nueva cuenta para cada nuevo usuario que desee unirse a un nuevo proveedor de servicios. Por lo tanto, los datos de emparejamiento pueden comprender claves de emparejamiento y/o cualquier dato, función o algoritmo compartido conocido tanto por el dispositivo de autenticación como por el proveedor de servicios. En el lado del usuario, los datos de emparejamiento se almacenan en la memoria segura 16 del dispositivo de autenticación, mientras que, en el lado del proveedor, los datos de emparejamiento 31 se almacenan preferiblemente en la base de datos 27, en particular en las cuentas de usuario 25 almacenadas en esta base de datos. Según una forma de realización preferida, el acceso al dispositivo de autenticación está protegido por un número de identificación personal conocido solo por el usuario. Dicho código PIN 13 pretende evitar cualquier uso fraudulento del dispositivo de autenticación por parte de otras personas que no sean el propietario de la tarjeta (mencionado aquí como el usuario). Cuando el usuario enciende el dispositivo de autenticación, este último le pide que introduzca el código PIN. Si el código PIN introducido por el usuario no corresponde a un código PIN de referencia almacenado en la memoria segura 16, entonces se rechaza el acceso al dispositivo de autenticación. El usuario puede tener, por ejemplo, tres intentos para introducir el código PIN. Después de introducir el PIN incorrectamente una tercera vez, el acceso al dispositivo de autenticación se puede bloquear permanentemente y el usuario debe contactar con el proveedor de servicios para reemplazar el dispositivo de autenticación o para desbloquearlo.
[0021] El primer paso del método se refiere a la transmisión de una solicitud de autenticación 32 desde el dispositivo de autenticación 10 hasta el proveedor de servicios 20. Esta solicitud comprende al menos el identificador de dispositivo 11 para que el dispositivo de autenticación pueda ser identificado por el proveedor de servicios. El identificador de dispositivo 11 permite buscar en la base de datos del proveedor para encontrar los datos de emparejamiento 31 correspondientes para dicho usuario. En caso de que se desconozca el identificador de dispositivo 11, la autenticación se aborta.
[0022] Entonces, el proveedor de servicios tiene que autenticarse en el dispositivo de autenticación 10. Pare este fin, este prepara datos de autenticación de proveedor 33 basándose en datos de emparejamiento 31 actuales compartidos por las dos entidades implicadas. Por ejemplo, estos datos de emparejamiento se pueden basar en los identificadores de estas entidades o en cualquier otra información compartida, como marcas de tiempo, contadores o semillas aleatorias. Dicha información podría colocarse, por ejemplo, en un campo de metadatos incluido en los datos de autenticación de proveedor 33 o unido a los datos de autenticación de proveedor mientras se considera parte de estos datos 33. Entonces, el proveedor de servicios 20 envía los datos de autenticación de proveedor al dispositivo de autenticación 10, preferiblemente en forma de un código de un solo uso (OTC, por sus siglas en inglés) 34.
[0023] Para cada proveedor de servicios 20 en el que el usuario está registrado al tener una cuenta de usuario 25, el dispositivo de autenticación 10 ha creado, por su parte, un registro de proveedor 35 en su memoria. Una vez que se han recibido los datos de autenticación de proveedor, el dispositivo de autenticación debe identificar un registro de proveedor 35 entre una pluralidad de registros de proveedor almacenados en su memoria, más particularmente entre al menos un registro de proveedor 35 en el caso de que el usuario aun no esté registrado con más de un proveedor de servicios 20. La autenticación del registro de proveedor relevante en la memoria del dispositivo de autenticación se realiza basándose en los datos comprendidos en los datos de autenticación de proveedor 33 enviados por el proveedor de servicios 20. La autenticación de los datos de autenticación de proveedor se basa en la clave de emparejamiento KP compartida entre el dispositivo de autenticación 10 y el proveedor de servicios 20. En caso de que el dispositivo de autenticación 10 pueda encontrar una clave de emparejamiento KP que sea capaz de autenticar de manera válida los datos de autenticación de proveedor, el dispositivo de autenticación 10 considera que los datos de autenticación de proveedor son válidos.
[0024] Estos datos permiten que el dispositivo de autenticación apunte al registro de proveedor 35 directamente, por ejemplo, en el caso de que el proveedor de servicios sea directamente identificable a partir del registro de proveedor, o indirectamente, por ejemplo, por medio de una tabla de correspondencia. Dicha tabla de correspondencia podría enumerar los identificadores de proveedor 21 de todos los proveedores de servicios en los que está registrado el usuario y podría proporcionar los números correspondientes de cada registro de proveedor 35, como se almacena en la memoria 16.
[0025] En respuesta a la autenticación exitosa del proveedor de servicios, el dispositivo de autenticación 10 prepara, a su vez para el proveedor de servicios 20, datos de autenticación de dispositivo 36 basados en la clave de emparejamiento KP compartida entre el dispositivo de autenticación 10 y el proveedor de servicios 20, preferiblemente en forma de una contraseña de un solo uso (OTP) 37. De forma similar, como se ha mencionado anteriormente con referencia a los datos de autenticación de proveedor 33, los datos de autenticación de dispositivo 36 pueden basarse en cualquiera de los datos de emparejamiento 31, incluidos los metadatos anteriormente mencionados. A continuación, los datos de autenticación de dispositivo 36 se envían al proveedor de servicios 20 que puede verificar la autenticidad de los datos de autenticación de dispositivo y, en el caso de un resultado positivo, puede validar la autenticación del usuario 1.
[0026] Dependiendo de las formas de realización de la presente invención, la transmisión de la solicitud de autenticación 32 se puede lograr de varias formas. En el caso de que el dispositivo de autenticación 10 no esté provisto de una interfaz de comunicación 12 para intercambiar datos con el proveedor de servicios 20, el dispositivo de autenticación puede mostrar, en primer lugar, la solicitud de autenticación 32 (por ejemplo, en forma de una o varias cadenas de caracteres alfanuméricos). Entonces, el usuario 1 inserta manualmente la solicitud de autenticación 32 visualizada en el terminal 40, en particular en un campo apropiado visualizado en la pantalla del ordenador por la aplicación de software 43 instalada en el terminal 40 (o en el lado del proveedor). Finalmente, el terminal envía las solicitudes de autenticación introducidas en el proveedor de servicios 20 relevante por medio de la aplicación de software 43.
[0027] Según otra forma de realización, la solicitud de autenticación 32 podría enviarse automáticamente al dispositivo terminal 40 sin ninguna intervención manual del usuario. Dicho intercambio de datos transitará a través de las interfaces de comunicación 12 y 42 del dispositivo de autenticación 10, respectivamente del terminal 40. La solicitud de autenticación 32 será enviada por el terminal 40 al proveedor de servicios 20 relevante a través de la red 50 y a través de las interfaces de comunicación 42 y 22 respectivas. Según una forma de realización adicional, en particular en el caso de que el dispositivo de autenticación 20 se refiera a una aplicación de software instalada en un dispositivo de comunicación, como un teléfono inteligente o una tableta, por ejemplo, la solicitud de autenticación 32 también se puede enviar automáticamente desde el dispositivo de autenticación 10 hasta el proveedor de servicios 20.
[0028] Pueden realizarse las mismas formas que las descritas anteriormente en la dirección inversa para recibir datos de autenticación de dispositivo 33 del proveedor de servicios 20 (por ejemplo, mediante un código de un solo uso 34). En el caso de que el dispositivo de autenticación 10 no esté provisto de una interfaz de comunicación 12 para intercambiar datos con el terminal 40 (o directamente con el proveedor de servicios), entonces el OTC 34 podría visualizarse en la pantalla del ordenador del terminal 40 antes de ser introducido manualmente por el usuario 1 en el dispositivo de autenticación 10 (a través de la interfaz de usuario 15).
[0029] Según una forma de realización, los datos de autenticación de proveedor 33 comprenden un primer criptograma obtenido encriptando los primeros datos con una clave de emparejamiento KP. Los primeros datos pueden resultar al menos de uno de los datos de emparejamiento 31, por ejemplo, del identificador de proveedor 21, del identificador de dispositivo 11 o de un valor raíz conocido tanto por el dispositivo de autenticación 10 como por el proveedor de servicios 20. Los primeros datos también pueden derivarse o resultar de al menos uno de los datos de emparejamiento 31 (es decir, sin ser directamente uno de esos datos de emparejamiento), por ejemplo, por medio de una función compartida con el valor raíz y/o el identificador de proveedor/dispositivo como entrada. El primer criptograma podría representar una firma digital aplicando una función hash (o cualquier otra función unidireccional) sobre los primeros datos, en particular, uno de los datos de emparejamiento (por ejemplo, el identificador de proveedor 21) para obtener un resumen que se puede encriptar aun más por medio de la clave de emparejamiento KP. De este modo, el primer criptograma podría corresponder a la firma digital del proveedor de servicios.
[0030] El valor raíz podría corresponder a un valor secreto que se ha almacenado en la memoria segura 16 del dispositivo de autenticación durante su fabricación o al menos antes de que se entregue al usuario 1 (por lo tanto, antes del primer uso del dispositivo de autenticación por parte del usuario). Dicho valor raíz podría ser idéntico a todos los dispositivos de autenticación 10 o específico para cada dispositivo 10 o para un determinado número de dispositivos de autenticación 10. En cualquier caso, el proveedor de servicios debe poder recuperar el valor raíz relevante del dispositivo de autenticación relevante como datos de emparejamiento 31, de manera similar a la clave de emparejamiento KP. En el dispositivo de autenticación 10, la clave de emparejamiento KP se almacena en el registro de proveedor 35 relevante dado que la clave de emparejamiento KP difiere de un proveedor de servicios a otro. Lo mismo se hace con el valor raíz. Sin embargo, en el caso de que el valor raíz sea común a todos los dispositivos de autenticación, este valor raíz se puede almacenar como datos de emparejamiento en la memoria segura 16, lo que evita que se repita en cada registro de proveedor 35.
[0031] Además de esta forma de realización, la autenticación del registro de proveedor 35 se puede realizar mediante los siguientes pasos:
- desencriptar el primer criptograma por medio de la clave de emparejamiento KP de uno de los registros de proveedor 35 para obtener los primeros datos desencriptados (por ejemplo, el primer registro de proveedor almacenado en el dispositivo de autenticación), luego
- comparar los primeros datos desencriptados resultantes con la primera parte de los datos resultantes de los datos de emparejamiento almacenados en el registro de proveedor 35 relevante (o con los primeros datos almacenados en otro lugar del dispositivo de autenticación 10, por ejemplo en la memoria segura 16),
- si la comparación no indica una coincidencia, entonces se procesa de nuevo el paso de desencriptación anterior usando la clave de emparejamiento KP de otro registro de proveedor (por ejemplo, el siguiente) hasta que se haya procesado cada registro de proveedor 35 en el dispositivo de autenticación 10.
[0032] Por ejemplo, el dispositivo de autenticación 10 busca iniciar sesión con el tercer proveedor de servicios SP3 y, por lo tanto, tiene que identificar el registro de proveedor R3 entre los registros Rn almacenados en su memoria. Cada uno de estos registros de proveedor comprende una clave de emparejamiento KP específica, por lo que el registro R1 comprende la clave de emparejamiento KP1, el registro R2 comprende la clave de emparejamiento KP2, etc... En el presente ejemplo, la clave de emparejamiento KP usada por el proveedor de servicios para encriptar el primer criptograma recibido por el dispositivo de autenticación 10 es KP3. Según un protocolo inicial, el dispositivo de autenticación 10 sabe de antemano qué tipo de datos han sido encriptados por el proveedor de servicios 20. Por ejemplo, sabe que el primer criptograma se basa en la encriptación del identificador de proveedor 21. Sin embargo, el dispositivo de autenticación 10 no tiene medios para saber qué proveedor de servicios es el emisor del primer criptograma. Por lo tanto, el dispositivo de autenticación intenta desencriptar el primer criptograma con la clave de emparejamiento KP1 del primer registro de proveedor R1. Entonces, el dispositivo de autenticación 10 compara el resultado de esta desencriptación con los datos esperados, es decir, en este ejemplo, el identificador de proveedor 21 (IDs p 1) almacenado en el registro de proveedor R1. Si el resultado de la desencriptación no coincide con el identificador IDs p i, entonces el dispositivo de autenticación se procesa nuevamente con otro registro de proveedor 35, típicamente con R2. Dado que la comparación del resultado de la desencriptación (realizada por el dispositivo de autenticación) con la segunda clave de emparejamiento KP2 (almacenada en el registro de segundo proveedor R2) no coincide con el identificador de proveedor IDsp2 almacenado en este registro R2, el dispositivo de autenticación concluye que el criptograma no proviene del segundo proveedor de servicios SP2. Una vez que el dispositivo de autenticación haya evaluado los datos de emparejamiento almacenados en el tercer registro de proveedor R3, la comparación indicará una coincidencia y la identificación/autenticación se logrará con éxito. En el caso de que la clave de emparejamiento KP sea una clave compartida usada dentro de un esquema criptográfico simétrico, el dispositivo de autenticación 10 también puede encriptar el identificador de proveedor de un registro de proveedor por medio de la clave de emparejamiento almacenada en este registro y puede comparar el resultado de esta encriptación con el primer criptograma recibido del proveedor de servicios. Cabe señalar que el algoritmo criptográfico (o cualquier otra función) usado por el dispositivo de autenticación debe ser el mismo que el usado por el proveedor de servicios para obtener los mismos resultados.
[0033] En vez de usar el identificador de proveedor 21 como primeros datos del primer criptograma, se puede usar, por ejemplo, un valor compartido esperado, el identificador de dispositivo 11, un desafío o cualquier otro dato que el dispositivo de autenticación 10 sabe que debe recuperar y sabe cómo hacerlo. Además, los primeros datos no están limitados a un dato, sino que pueden incluir o basarse en varios datos, entre dichos datos de emparejamiento 31.
[0034] Al usar los mismos datos de emparejamiento y la misma función (o el mismo algoritmo) para preparar los datos de autenticación de proveedor 33 para enviarlos al dispositivo de autenticación, estos datos de autenticación de proveedor 33 nunca cambiarán de un inicio de sesión a otro. Por lo tanto, debería ser útil diversificar los mensajes (códigos) intercambiados entre el proveedor de servicios y el dispositivo de autenticación con el fin de reducir los riesgos de piratería. Esto puede lograrse incluyendo, en los datos intercambiados, un primer desafío que pueda ser identificado por el receptor. Por ejemplo, los datos de autenticación de proveedor 33 pueden comprender un primer desafío en forma de un número aleatorio (generado y añadido por el proveedor de servicios), por ejemplo, tener un cierto número de dígitos. Si el receptor (es decir, el dispositivo de autenticación) sabe que los datos de autenticación de proveedor comprenden o se han mezclado con un número aleatorio y sabe cómo identificar este número aleatorio, será capaz de extraer el primer desafío de los datos de autenticación de proveedor. El primer desafío se puede añadir a los primeros datos antes de la encriptación mediante la clave de emparejamiento KP. En la recepción por parte del dispositivo de autenticación, la desencriptación del criptograma por la clave de emparejamiento obtendrá, de esta manera, la combinación de los primeros datos y el desafío. Luego se extra el desafío para obtener los primeros datos.
[0035] Al incluir un dicho primer desafío en los datos de autenticación de proveedor, los datos enviados por el proveedor de servicios al dispositivo de autenticación corresponden típicamente al denominado código de un solo uso (OTC) 34. Los códigos de un solo uso y/o las contraseñas de un solo uso evitan la repetición del mismo código/la misma contraseña, lo que reduce las probabilidades de éxito de un ataque de intermediario ("man in the middle"), lo que evita el phishing y cualquier clonación del dispositivo de autenticación.
[0036] El primer desafío puede ser ya una parte de los datos de emparejamiento o se puede considerar como una parte de dichos datos en el caso de que se puede recuperar de uno o algunos datos de emparejamiento o de un protocolo compartido, por ejemplo, basado en un contador sincronizado tanto en el emisor como en el receptor. En este caso, los datos de autenticación de proveedor 33 podrían comprender solo una firma de proveedor basada en el primer desafío.
[0037] Según otra forma de realización, el paso de preparar y enviar datos de autenticación de dispositivo se puede lograr únicamente en determinadas condiciones. Por ejemplo, este paso se puede realizar si la verificación,
mediante el dispositivo de autenticación, de los datos de autenticación de proveedor por medio de los datos de emparejamiento almacenados por el dispositivo de autenticación proporciona un resultado positivo.
[0038] En el caso de que los datos de autenticación de proveedor sean un mensaje de proveedor firmado que comprende el identificador de proveedor 21 y la firma digital de este proveedor aplicada a su identificador de proveedor (por medio de una función unidireccional y la clave de emparejamiento KP, de modo que, por ejemplo, el mensaje del proveedor={IDSP; [hash(IDsp)]«p}), entonces el dispositivo de autenticación 10 debe verificar la autenticidad del mensaje recibido del proveedor de servicios después de haber identificado el registro de proveedor 35 al que se refiere el identificador de proveedor. Identificar el registro de proveedor se puede realizar comparando secuencialmente un identificador de proveedor del mensaje recibido con cada identificador de los datos de emparejamiento almacenados en el dispositivo de autenticación hasta que coincida. Luego, se puede verificar la autenticidad del mensaje recibido del proveedor de servicios al:
- desencriptar la firma digital del proveedor por medio de la clave de emparejamiento KP del registro de proveedor 35 identificado,
- comparar el resultado de esta desencriptación con un resumen calculado (por el dispositivo de autenticación) por medio de la función unidireccional aplicada al identificador de proveedor 21. Si hay una coincidencia, el proveedor de servicios ha sido autenticado exitosamente por el dispositivo de autenticación.
[0039] En vez de aplicar la firma en el identificador de proveedor 21 en el mensaje del proveedor firmado anteriormente mencionado, se podría aplicar la firma en otros datos de emparejamiento, como un valor compartido, el identificador de dispositivo, el primer desafío o un segundo desafío, como se describe más adelante.
[0040] En una variante, la clave de emparejamiento KP puede ser determinada tanto por el proveedor de servicios como por el dispositivo de autenticación en vez de ser meramente recuperada de una memoria por cada una de estas entidades, por ejemplo, extrayéndola de la base de datos 28, o de un registro de proveedor 35. Para ello, el proveedor de servicios puede comprender una clave de proveedor Kpp que es el resultado de una función unidireccional de una clave raíz KR parametrizada por el identificador de proveedor IDsp 21. En otras palabras, se puede escribir: Kpp=f1(KR; IDsp). La clave raíz KR se ha almacenado previamente en el dispositivo de autenticación, por ejemplo, en la memoria segura 16 durante la fabricación del dispositivo de autenticación o al menos antes de que se entregue al usuario 1 (por lo tanto, antes del primer uso del dispositivo de autenticación por parte del usuario).
[0041] La clave de emparejamiento KP es calculada por el proveedor de servicios 20 como el resultado de una función unidireccional de la clave de proveedor Kpp parametrizada por el identificador de dispositivo de autenticación 11, de modo que KP=f2(Kpp; I Dad).
[0042] Desde el otro lado, la (misma) clave de emparejamiento KP es calculada por el dispositivo de autenticación 10 como el resultado de una función unidireccional de la clave raíz KR parametrizada por el identificador de proveedor 21 y por el identificador de dispositivo 11, de modo que KP=f3(KR; IDs p ; IDad). La primera función unidireccional f 1 puede ser idéntica o diferente de la segunda función unidireccional f2. La tercera función unidireccional f3 resulta de una combinación de las otras dos funciones. De hecho, suponiendo que el dispositivo de autenticación 10 conoce la clave raíz KR que ha sido utilizada por el proveedor de servicios para determinar su clave de proveedor Kpp, el dispositivo de autenticación también puede calcular esta clave de proveedor Kpp=f1(KR; IDs p ), porque ya conoce el identificador de proveedor IDs p . Luego, por medio de la clave de proveedor Kpp y su propio identificador de dispositivo IDad, el dispositivo de autenticación puede calcular además la clave de emparejamiento KP=f2(Kpp; IDad). Evidentemente, el proveedor de servicios y el dispositivo de autenticación deben usar las funciones f 1, f2, f3 apropiadas (que se pueden compartir de antemano). Ventajosamente, los datos de los mensajes intercambiados entre el dispositivo de autenticación y el proveedor de servicios se pueden encriptar/desencriptar por medio de una clave de emparejamiento KP que no se extrae simplemente de una memoria, sino que debe ser determinada, en primer lugar, por cada entidad antes de manipular estos mensajes. Esta forma de hacerlo permite aumentar la seguridad del sistema de intercambio de datos.
[0043] Según otra variante, la clave de emparejamiento KP podría usarse para determinar una clave de sesión KS que podría usarse para encriptar/desencriptar datos (o mensajes) enviados entre el proveedor de servicios y el dispositivo de autenticación 10. En otras palabras, la clave de emparejamiento KP podría considerarse como una clave de emparejamiento intermediada y la clave de sesión KS como la clave de emparejamiento (final). Por lo tanto, una vez determinada, la clave de sesión KS podría usarse como una clave de encriptación tanto en los datos de autenticación de proveedor 33 como en los datos de autenticación de dispositivo 36, en lugar de la clave de emparejamiento. La clave de sesión KS puede ser determinada, por separado, por el emisor y por el receptor, sobre la base de datos compartidos, como la clave de emparejamiento KP, una función compartida y un desafío, por ejemplo. Por ejemplo, la clave de sesión KS podría determinarse (en cada lado) como el resultado de una función XOR que tiene tanto la clave de emparejamiento KP como un desafío CH como operandos, de modo que KS= (KP CH XOR). Dicho desafío podría ser el segundo desafío. Evidentemente, también se podría usar otra función o incluso un contador sincronizado en vez de dicha función lógica (operación lógica).
[0044] Según otra variante, la clave de emparejamiento KP también puede ser determinada, por separado por el emisor y por el receptor, en base a un intercambio de claves Diffie-HeNman. Para este fin, el dispositivo de autenticación 10 y el proveedor de servicios 20 comprenden: un valor compartido, el identificador de proveedor 21 y el identificador de dispositivo 11 como datos de emparejamiento 31. La clave de emparejamiento KP se puede determinar en cada lado elevando dicho valor compartido a la potencia del producto del identificador de proveedor 21 y el identificador de dispositivo 11.
[0045] En una variante:
- el valor compartido puede ser la clave raíz KR,
- el dispositivo de autenticación 10 comprende una clave de dispositivo Kpd (almacenada en su memoria segura 16) que es el resultado de la clave raíz KR elevada a la potencia del identificador de dispositivo IDad, de modo que Kpd= KRIDAD,
- el proveedor de servicios 20 comprende una clave de proveedor Kpp que es el resultado de dicha clave raíz KR elevada a la potencia del identificador de proveedor IDs p , de modo que Kpp= KRIDSP,
- la clave de emparejamiento KP se puede determinar en el dispositivo de autenticación 10 elevando la clave de dispositivo Kpd a la potencia del identificador de proveedor IDs p , de modo que KP= KpdIDSP = KRIDAD*IDSP
- esta clave de emparejamiento KP se puede determinar en el proveedor de servicios 20 elevando la clave de proveedor Kpp a la potencia del identificador de dispositivo IDad, de modo que KP= KppIDAD = KRIDSP*IDAD
[0046] Esta forma de hacerlo también se puede mejorar usando una función de módulo aplicada a Kpp y Kpd, como bien conoce el experto en la técnica.
[0047] Además, podría ser útil normalizar la longitud del identificador de proveedor 21 y/o la longitud del identificador de dispositivo 11 a un determinado número de dígitos o bits definidos como estándar para todos los proveedores de servicios 20. Para este fin, los últimos (y/o cada dispositivo de autenticación) podría(n) estar provisto(s) de una función que permite, por ejemplo, extender la longitud del identificador a una longitud predefinida antes de usar este identificador en operaciones adicionales.
[0048] En una variante adicional, la clave de emparejamiento KP podría considerarse como una clave privada o una clave pública en el caso de que estas dos últimas claves formen un par de claves, según un esquema de encriptación asimétrico. En dicho esquema, se debería considerar si la clave de emparejamiento KP se usa para encriptar datos por parte de un emisor o si se usa para desencriptar datos por parte del receptor. De hecho, en dicho esquema:
- la clave de emparejamiento KP usada por el dispositivo de autenticación 10 para encriptar datos es una clave de proveedor pública Kup, mientras que, si esta clave de emparejamiento KP es usada por el dispositivo 10 para desencriptar datos, entonces KP se considerará como una clave de dispositivo Kpd, en particular como una clave de dispositivo privada;
- de forma similar, la clave de emparejamiento KP usada por el proveedor de servicios 20 para encriptar datos es una clave de dispositivo pública Kud, mientras que la clave de emparejamiento KP usada por el proveedor de servicios 20 para desencriptar datos es una clave de proveedor Kpp, en particular una clave de proveedor privada.
[0049] Por consiguiente, (Kpd; Kud) forman un primer par de claves perteneciente al dispositivo de autenticación 10, y (Kpp; Kup) forman un segundo par de claves perteneciente al proveedor de servicios 20. Por lo tanto, los datos anteriormente mencionados se pueden intercambiar en una forma encriptada entre estas dos entidades.
[0050] Según una forma de realización adicional, la solicitud de autenticación 32 puede comprender además un segundo desafío generado por el emisor, es decir, por el dispositivo de autenticación 10, e identificable por el receptor, es decir, por el proveedor de servicios 20. El uso de este segundo desafío podría ser similar al uso del primer desafío descrito anteriormente. En ambos casos, el propósito buscado es evitar la repetición de los mismos datos en los mensajes intercambiados entre el proveedor de servicios y el dispositivo de autenticación, generando solicitudes de un solo uso 32, códigos de un solo uso 34 y contraseñas de un solo uso 37. En consecuencia, dicho segundo desafío también podría incluirse en los datos de autenticación de proveedor 33, por ejemplo, como datos usados por el proveedor de servicios para generar su firma digital.
[0051] Cualquiera que sea la forma de realización, se puede considerar que el método anteriormente mencionado se refiere a una fase de inicio de sesión de usuario para que el usuario 1 inicie sesión con uno de los proveedores
de servicios 20 reconocido por el dispositivo de autenticación 10. Por consiguiente, el presente método puede comprender una fase de registro de cuenta realizada por cada usuario 1 que desee unirse a un nuevo proveedor de servicios 20. Se debe entender que la fase de registro de cuenta se realiza una sola vez con cada proveedor de servicios 20, antes de que el usuario realice, por primera vez, la fase de inicio de sesión de usuario con este proveedor de servicios.
[0052] Según una forma de realización, la fase de registro de cuenta comprende los pasos de:
- enviar el identificador de dispositivo 11 desde el dispositivo de autenticación 10 hasta el proveedor de servicios 20,
- generar, por parte del proveedor de servicios 20, un mensaje de proveedor que comprende al menos el identificador de proveedor 21 y una firma de proveedor de dicho al menos identificador de proveedor 21, donde dicha firma está encriptada por una primera clave que puede ser una clave de proveedor pública Kup o una clave de emparejamiento KP determinada en base a un protocolo compartido,
- enviar dicho mensaje de proveedor al dispositivo de autenticación 10,
- verificar, en el dispositivo de autenticación 10, que dicho mensaje de proveedor es auténtico y tiene un resultado positivo, luego
- añadir un registro de proveedor 35 asignado al proveedor de servicios 20 y almacenar al menos una parte de datos comprendidos en dicho mensaje de proveedor como datos de emparejamiento 31 en los datos del dispositivo de autenticación 10; los datos almacenados como datos de emparejamiento pueden ser típicamente el identificador de proveedor 21 y la clave de emparejamiento KP,
- preparar, en el dispositivo de autenticación 10, una respuesta que comprende al menos el identificador de dispositivo 11 y una firma del dispositivo de dicho al menos identificador de dispositivo 11, donde dicha firma está encriptada por una segunda clave que puede ser una clave de dispositivo pública Kud o la clave de emparejamiento compartida KP, luego enviar esta respuesta al proveedor de servicios 20,
- verificar, en el proveedor de servicios 20, que dicha respuesta es auténtica y con un resultado positivo, y luego crear en una base de datos 28 del proveedor de servicios 20 una cuenta de usuario 25 para almacenar dichos datos de emparejamiento 31, típicamente el identificador de dispositivo 11 y la clave de emparejamiento compartida KP.
[0053] La firma digital de proveedor se ha determinado calculando un primer resumen (por ejemplo, usando el identificador de proveedor como entrada de una función unidireccional) y luego encriptando este primer resumen con la clave de emparejamiento KP.
[0054] La verificación de que el mensaje de proveedor es auténtico se realiza verificando la autenticidad de la firma digital de proveedor. Para este fin, el dispositivo de autenticación 10 realiza los pasos de:
- calcular un segundo resumen de dichos datos de firma (incluidos en el mensaje de proveedor) por medio de la función unidireccional anteriormente mencionada,
- desencriptar la firma de proveedor por medio de la primera clave;
- comparar el segundo resumen con el primer resumen, y si la comparación proporciona una coincidencia, realizar entonces los pasos siguientes.
[0055] En el caso de que la primera clave sea una clave pública, esta clave pública se puede autenticar por medio de un certificado digital que contenga esta clave pública y una firma de una autoridad certificadora de confianza.
[0056] La verificación de que la respuesta recibida por el proveedor de servicios es auténtica se puede realizar mediante el mismo mecanismo que el realizado por el dispositivo de autenticación para verificar que el mensaje de proveedor (en particular, la firma de proveedor) es auténtico(a).
[0057] Las funciones unidireccionales citadas en la presente descripción podrían referirse típicamente a las funciones hash criptográficas SHA-1, SHA-2 o SHA-3. Sin embargo, las funciones unidireccionales usadas en la invención no se limitan a estos ejemplos.
[0058] Ventajosamente, debido a la presente invención, el usuario puede usar el mismo dispositivo de autenticación 10 para acceder a servicios de varios proveedores de servicios 20. Para el usuario, los datos de inicio de sesión (nombre de usuario y contraseña) requeridos para acceder a los proveedores de servicios parecen ser siempre los mismos, aunque no es el caso, ya que la tarea del dispositivo de autenticación de la presente
invención es recuperar los datos de autenticación apropiados (claves, contraseñas o nombres de usuario) relacionados con cada proveedor de servicios. Por consiguiente, las operaciones de inicio de sesión se simplifican bastante para el usuario, ya que tiene la sensación de tener una contraseña universal (y un ID de usuario universal). Al mismo tiempo, la invención proporciona una solución completamente segura para realizar autenticaciones mutuas cada vez que el usuario desea tener acceso a un proveedor de servicios, lo que requiere introducir un ID de usuario y la contraseña relacionada. De este modo, el dispositivo de autenticación es capaz de autenticar a un proveedor de servicios (entre varios proveedores de servicios) y el proveedor de servicios es capaz de autenticar al usuario, asegurándose de que no haya clones o repeticiones de sesiones de inicio.
[0059] Además, al proporcionar al dispositivo de autenticación una interfaz de comunicación para intercambiar datos con el proveedor de servicios (ya sea directamente o mediante un terminal), el uso de la presente invención resulta aun más fácil para el usuario, ya que todos los intercambios de datos están automatizados. El dispositivo de autenticación puede almacenar un gran número de registros de proveedor 35 y, por lo tanto, es capaz de dar al usuario acceso a muchos proveedores de servicios en cualquier sitio, de una manera realmente fácil.
[0060] Además, la implementación de la presente invención es también muy fácil, en particular dentro de un entorno doméstico donde el usuario tiene que conectarse con el proveedor de servicios a través de un ordenador personal o cualquier dispositivo similar (tableta, asistente digital personal, ordenador portátil, etc...). Por ejemplo, la página de inicio de sesión de la página web de internet del proveedor de servicios debe adaptarse simplemente para sugerir al usuario un nombre de usuario a través del dispositivo de autenticación de la invención. El usuario podría tener que seleccionar los medios de inicio de sesión apropiados y luego la aplicación de software (instalada en el ordenador en el lado del usuario o en el lado del servidor) podrá procesar la autenticación según el método de la presente invención. Además, mediante el uso de la tecnología NFC (o cualquier otra conexión inalámbrica de corto alcance), el intercambio de datos entre el terminal 40 y el dispositivo de autenticación 10 está suficientemente asegurado, en particular dentro de un entorno doméstico.
[0061] El objeto de la presente invención también se refiere al dispositivo de autenticación 10 usado para realizar el método anteriormente mencionado. En particular, la presente invención se refiere a un dispositivo de autenticación 10 para autenticar a un usuario 1 a un proveedor de servicios 20, entre una pluralidad de proveedores de servicios 20, que comprende:
- un identificador de dispositivo único 11,
- una memoria segura no volátil 16 para almacenar datos secretos y/o datos compartidos,
- una interfaz de usuario 15 para introducir datos de usuario,
- una pantalla 14,
- un criptoprocesador para realizar operaciones criptográficas y lógicas y para gestionar las funciones y todos los componentes del dispositivo de autenticación 10.
[0062] Según la invención, este dispositivo de autenticación 10 está caracterizado por el hecho de que:
- la memoria 16 está organizada para almacenar datos específicos relacionados con una pluralidad de proveedores de servicios 20, y
- el criptoprocesador 17 es capaz (es decir, programado) de procesarse con dicha pluralidad de proveedores de servicios 20 para recuperar datos relacionados con cada uno de estos proveedores de servicios y procesarlos de una manera diferente.
[0063] En particular, la memoria 16 está organizada para recuperar eficazmente datos referentes a varios proveedores de servicios. Esto se puede lograr ordenando datos relacionados con cada uno de estos proveedores de servicios en registros específicos, en particular en los registros de proveedor 35 mostrados en la figura 3.
[0064] Según una forma de realización, el dispositivo de autenticación 10 comprende además una interfaz de comunicación 12 para intercambiar datos. Esta interfaz puede ser una interfaz de comunicación inalámbrica de corto alcance, como una interfaz de infrarrojos o Bluetooth, preferiblemente una interfaz NFC (Near-Field-Communication). Alternativamente, la interfaz de comunicación puede ser una interfaz de cable, por ejemplo, un puerto USB.
[0065] Según una forma de realización preferida, la interfaz de usuario 15 es un teclado provisto de varias teclas, típicamente teclas correspondientes a los números 0-9 y al menos una tecla denominada "insertar" (“enter”) u "OK", una tecla "borrar" (“clear”) y una tecla "encendido/apagado" (“on/off). Evidentemente, también se podrían incluir otras teclas, tales como una coma decimal o teclas alfabéticas. El usuario suele usar dicho teclado para insertar su nombre de usuario y los códigos proporcionados por el proveedor de servicios. Sin embargo, también podría ser usado por el usuario para introducir un número de identificación personal (código PIN), preferiblemente
justo después de la activación del dispositivo de autenticación para proporcionar su acceso completo. Según otra forma de realización, la interfaz de usuario 15 podría ser un sensor biométrico, como un sensor de huellas digitales, una microcámara o un sensor de voz para adquirir datos biométricos (es decir, características) del usuario (como huellas dactilares, una imagen de iris, la forma de la cara del usuario, la geometría de manos o venas, la voz del usuario). En este caso, dicho sensor biométrico solo se usaría para autenticar al usuario en el dispositivo de autenticación 10.
[0066] Preferiblemente, el identificador de dispositivo 11 se imprimirá en el dispositivo de autenticación 10 para que no haya riesgo de que el usuario 1 lo pierda. Aun preferiblemente, el identificador de dispositivo 11 se almacena en la memoria 16 del dispositivo de autenticación.
[0067] Según una forma de realización preferida, el dispositivo de autenticación 10 es una tarjeta inteligente, como se muestra esquemáticamente en la figura 2. La memoria 16 y el criptoprocesador 17 se puede incrustar en un único conjunto de chips, por ejemplo, en un chip monolítico, para que los datos almacenados en el dispositivo de autenticación estén físicamente protegidos contra cualquier persona malintencionada. El criptoprocesador comprende capacidades informáticas criptográficas para calcular contraseñas y números de proceso para verificar la validez de una cuenta existente (en referencia a los registros de proveedor) o para añadir una nueva cuenta (registro de proveedor).
[0068] Según otra forma de realización, el dispositivo de autenticación puede tener la forma de aplicación de software que podría ejecutarse de forma segura en el hardware (PC o cualquier dispositivo informático portátil o de comunicación).
[0069] De manera ventajosa, el dispositivo de autenticación 10 de la presente invención no solo puede gestionar varias cuentas (registros de proveedor) de proveedores de servicios, sino que también puede desarrollar sus capacidades añadiendo nuevas cuentas que proporcionan acceso a nuevos proveedores de servicios. Esto es posible gracias a la fase de registro de cuenta que ya se ha descrito anteriormente. A la inversa, el usuario también debería poder cancelar cuentas (registros de proveedor) por las que ya no tiene interés.
[0070] Aun ventajosamente, al proporcionar el dispositivo de autenticación 10 en forma de una tarjeta inteligente con una pantalla 14 y una interfaz de usuario 15 para insertar datos, dicho dispositivo 10 se vuelve autónomo (autogestionado) y no requiere que se inserte más en un lector de tarjetas antes de usarse con fines de autenticación. Por consiguiente, todos los proveedores de servicios encontrarán un interés económico predominante y tanto el usuario como los proveedores de servicios serán los ganadores.
Claims (13)
1. Método para autenticar a un usuario (1) a un proveedor de servicios (20), entre una pluralidad de proveedores de servicios (20), por medio de un único dispositivo de autenticación (10) identificado por un identificador de dispositivo (11), que comprende los pasos de:
- transmitir, desde el dispositivo de autenticación (10) hasta el proveedor de servicios (20), una solicitud de autenticación (32) que comprende al menos dicho identificador de dispositivo (11),
- preparar, por parte del proveedor de servicios (20), datos de autenticación de proveedor (33) basándose en datos de emparejamiento (31) compartidos tanto por dicho dispositivo de autenticación (10) como por dicho proveedor de servicios (20),
- enviar dichos datos de autenticación de proveedor (33) desde el proveedor de servicios (20) hasta el dispositivo de autenticación (10),
- autenticar, en el dispositivo de autenticación (10), dichos datos de autenticación de proveedor (33); en el caso de un resultado positivo, entonces
- preparar los datos de autenticación de dispositivo (36) basados en cualquiera de dichos datos de emparejamiento (31) por el dispositivo de autenticación (10), luego enviar dichos datos de autenticación de dispositivo (36) al proveedor de servicios (20),
- verificar la autenticidad de los datos de autenticación de dispositivo (36) por parte del proveedor de servicios (20) y, en el caso de un resultado positivo, validar entonces la autenticación de dicho usuario (1),
caracterizado por el hecho de que
- dicho dispositivo de autenticación (10) comprende un registro de proveedor (35) para cada uno de esos proveedores de servicios (20) con el que el usuario está registrado al tener una cuenta de usuario (25) con cada uno de esos proveedores de servicios (20), donde cada registro de proveedor (35) comprende una clave de emparejamiento KP y los primeros datos, donde dicha clave de emparejamiento KP y esos primeros datos se comparten con el proveedor de servicios (20) al que se refiere dicho registro de proveedor (35),
- dichos datos de autenticación de proveedor (33) comprenden un primer criptograma obtenido encriptando esos primeros datos con dicha clave de emparejamiento KP,
- la autenticación de dichos datos de autenticación de proveedor (33) se realiza en el dispositivo de autenticación (10) mediante los pasos de:
- desencriptar dicho primer criptograma por medio de la clave de emparejamiento KP almacenada en uno de esos registros de proveedor (35), luego
- comparar el resultado de esta desencriptación con los primeros datos resultantes de los datos de emparejamiento (31) almacenados en dicho registro de proveedor (35),
- si la comparación no indica una coincidencia, entonces volver a procesar los pasos de desencriptación y comparación anteriores usando la clave de emparejamiento KP de otro registro de proveedor (35) hasta que se haya procesado cada uno de esos registros de proveedor (35) almacenados en el dispositivo de autenticación (10).
2. Método según la reivindicación 1, donde dichos datos de autenticación de proveedor (33) son datos de autenticación de proveedor de un solo uso y/o dichos datos de autenticación de dispositivo (36) son datos de autenticación de dispositivo de un solo uso.
3. Método según la reivindicación 1 o 2, donde dichos datos de autenticación de proveedor (33) comprenden además un desafío identificable por el dispositivo de autenticación (10).
4. Método según cualquiera de las reivindicaciones precedentes, donde esos primeros datos resultan de un identificador de proveedor (21) o de un valor raíz, donde dicho identificador de proveedor (21) o dicho valor raíz está almacenado como datos de emparejamiento (31) tanto en el dispositivo de autenticación (10) como en el proveedor de servicios (20).
5. Método según cualquiera de las reivindicaciones 1 a 3, donde dicho primer criptograma es una firma digital de proveedor del proveedor de servicios (20).
6. Método según cualquiera de las reivindicaciones precedentes, donde:
- el proveedor de servicios (20) comprende una clave de proveedor Kpp que es el resultado de una función unidireccional de una clave raíz KR parametrizada por el identificador de proveedor (21), donde dicha clave raíz KR está almacenada en el dispositivo de autenticación (10),
- dicha clave de emparejamiento KP es calculada por el proveedor de servicios (20) como el resultado de una función unidireccional de la clave de proveedor Kpp parametrizada por el identificador de dispositivo
- dicha clave de emparejamiento KP es calculada por el dispositivo de autenticación (10) como el resultado de una función unidireccional de la clave raíz RK parametrizada por el identificador de proveedor (21) y por el identificador de dispositivo (11).
7. Método según cualquiera de las reivindicaciones precedentes, donde:
- dicho dispositivo de autenticación (10) y dicho proveedor de servicios (20) comprenden: un valor compartido, el identificador de proveedor (21) y el identificador de dispositivo (11) como datos de emparejamiento (31),
- dicha clave de emparejamiento KP se determina elevando dicho valor compartido a la potencia del producto del identificador de proveedor (21) y el identificador de dispositivo (11).
8. Método según la reivindicación 7, donde:
- dicho valor compartido es una clave raíz KR,
- dicho dispositivo de autenticación (10) comprende una clave de dispositivo Kpd que es el resultado de la clave raíz KR elevada a la potencia del identificador de dispositivo (11),
- dicho proveedor de servicios (20) comprende una clave de proveedor Kpp que es el resultado de dicha clave raíz KR elevada a la potencia del identificador de proveedor (21),
- dicha clave de emparejamiento KP se determina en el dispositivo de autenticación (10) elevando la clave de dispositivo Kpd a la potencia del identificador de proveedor (21),
- dicha clave de emparejamiento KP se determina en el proveedor de servicios (20) elevando la clave de proveedor Kpp a la potencia del identificador de dispositivo (11).
9. Método según cualquiera de las reivindicaciones precedentes, donde dicha solicitud de autenticación (32) comprende además un segundo desafío generado por el dispositivo de autenticación (10) e identificable por el proveedor de servicios (20).
10. Método según cualquiera de las reivindicaciones precedentes, donde comprende además un paso para proporcionar un acceso de usuario a dicho dispositivo de autenticación introduciendo un código PIN en dicho dispositivo de autenticación (10); si el código PIN introducido es reconocido como correcto por dicho dispositivo de autenticación (10), entonces dicho acceso se autoriza para realizar los otros pasos del método.
11. Dispositivo de autenticación 10 para autenticar a un usuario (1) a un proveedor de servicios (20), entre una pluralidad de proveedores de servicios (20), que comprende:
- un identificador de dispositivo único (11),
- una memoria segura no volátil (16) para almacenar datos secretos y/o compartidos (31),
- una interfaz de usuario (15) para introducir datos de usuario,
- una pantalla (14),
- un criptoprocesador (17) para realizar operaciones criptográficas y lógicas y para gestionar funciones y todos los componentes del dispositivo de autenticación (10),
donde el dispositivo de autenticación está además adaptado para
- transmitir al proveedor de servicios (20) una solicitud de autenticación (32) que comprende al menos dicho identificador de dispositivo (11),
- recibir del proveedor de servicios (20) datos de autenticación de proveedor (33) basados en datos de emparejamiento (31) compartidos tanto por dicho dispositivo de autenticación (10) como por dicho proveedor de servicios (20)
- autenticar dichos datos de autenticación de proveedor (33); en el caso de un resultado positivo, entonces - preparar los datos de autenticación de dispositivo (36) basados en cualquiera de dichos datos de emparejamiento (31), enviar luego dichos datos de autenticación de dispositivo (36) al proveedor de servicios (20),
caracterizado por el hecho de que
- dicho dispositivo de autenticación (10) comprende un registro de proveedor (35) para cada uno de esos proveedores de servicios (20) con los que el usuario está registrado al tener una cuenta de usuario (25) con cada uno de esos proveedores de servicios (20), donde cada registro de proveedor (35) comprende una clave de emparejamiento KP y los primeros datos, donde dicha clave de emparejamiento KP y dichos primeros datos se comparten con el proveedor de servicios (20) al que se refiere dicho registro de proveedor (35),
- dichos datos de autenticación de proveedor (33) comprenden un primer criptograma obtenido encriptando esos primeros datos con dicha clave de emparejamiento KP,
- la autenticación de dichos datos de autenticación de proveedor (33) se realiza en el dispositivo de autenticación (10) con medios adaptados para:
- desencriptar dicho primer criptograma por medio de la clave de emparejamiento KP almacenada en uno de esos registros de proveedor (35), luego
- comparar el resultado de esta desencriptación con los primeros datos resultantes de los datos de emparejamiento (31) almacenados en dicho registro de proveedor (35),
- si la comparación no indica una coincidencia, entonces procesar nuevamente los pasos de desencriptación y comparación anteriores usando la clave de emparejamiento KP de otro registro de proveedor (35) hasta que se haya procesado cada uno de esos registros de proveedor (35) almacenados en el dispositivo de autenticación (10).
12. Dispositivo de autenticación según la reivindicación 11, donde dicho criptoprocesador (17) es capaz de recuperar datos relacionados con cada uno de esos proveedores (20) almacenados en dicho registro de proveedor (35) y de comparar un identificador de proveedor (21) incluido en los datos de autenticación de proveedor (33) con cada identificador (21) comprendido en los datos de emparejamiento (31) almacenados en dichos registros de proveedor (35).
13. Dispositivo de autenticación según cualquiera de las reivindicaciones 11 a 12, que comprende además una interfaz de comunicación (12) para intercambiar datos con el proveedor de servicios (20), ya sea directamente o a través de un terminal.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12198886.9A EP2747361B1 (en) | 2012-12-21 | 2012-12-21 | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2816324T3 true ES2816324T3 (es) | 2021-04-05 |
Family
ID=47471579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES12198886T Active ES2816324T3 (es) | 2012-12-21 | 2012-12-21 | Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US9338163B2 (es) |
| EP (1) | EP2747361B1 (es) |
| ES (1) | ES2816324T3 (es) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
| US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
| US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
| US9338156B2 (en) | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
| US9607156B2 (en) | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
| US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
| US9608814B2 (en) | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
| US9774448B2 (en) | 2013-10-30 | 2017-09-26 | Duo Security, Inc. | System and methods for opportunistic cryptographic key management on an electronic device |
| US9762590B2 (en) * | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
| US10055567B2 (en) * | 2014-05-30 | 2018-08-21 | Apple Inc. | Proximity unlock and lock operations for electronic devices |
| US9344427B1 (en) * | 2014-11-11 | 2016-05-17 | Amazon Technologies, Inc. | Facilitating multiple authentications |
| GB201421302D0 (en) * | 2014-12-01 | 2015-01-14 | Pace Plc | Improvements to a television signal reception device and system |
| US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
| US9497573B2 (en) * | 2015-02-03 | 2016-11-15 | Qualcomm Incorporated | Security protocols for unified near field communication infrastructures |
| US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
| US9930060B2 (en) | 2015-06-01 | 2018-03-27 | Duo Security, Inc. | Method for enforcing endpoint health standards |
| US10909510B1 (en) * | 2015-06-26 | 2021-02-02 | Wells Fargo Bank, N.A. | Systems and methods for expediting math-based currency transactions |
| US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
| US11113688B1 (en) | 2016-04-22 | 2021-09-07 | Wells Fargo Bank, N.A. | Systems and methods for mobile wallet provisioning |
| US9769668B1 (en) | 2016-08-01 | 2017-09-19 | At&T Intellectual Property I, L.P. | System and method for common authentication across subscribed services |
| GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
| US10218694B2 (en) | 2016-11-22 | 2019-02-26 | Bank Of America Corporation | Securely orchestrating events initiated at remote servers using a certificate server |
| US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
| US11102180B2 (en) * | 2018-01-31 | 2021-08-24 | The Toronto-Dominion Bank | Real-time authentication and authorization based on dynamically generated cryptographic data |
| CN110661623B (zh) * | 2018-06-29 | 2022-10-11 | 高级计算发展中心(C-Dac),班加罗尔 | 用于使用个人认证设备(pad)认证用户的方法和系统 |
| US10511443B1 (en) * | 2018-10-02 | 2019-12-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
| US11188685B2 (en) * | 2019-02-22 | 2021-11-30 | Google Llc | Secure transient buffer management |
| US11062001B2 (en) | 2019-04-02 | 2021-07-13 | International Business Machines Corporation | Matrix transformation-based authentication |
| US11928666B1 (en) | 2019-09-18 | 2024-03-12 | Wells Fargo Bank, N.A. | Systems and methods for passwordless login via a contactless card |
| FR3120718B1 (fr) * | 2021-03-09 | 2023-02-10 | Commissariat Energie Atomique | Procédé d’exécution d’un programme d’ordinateur par un appareil électronique |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
| US20090015374A1 (en) * | 2007-07-09 | 2009-01-15 | Riddhiman Ghosh | User authentication system and method |
| EP2202913B1 (en) * | 2007-10-19 | 2012-12-05 | Nippon Telegraph and Telephone Corporation | User authentication and method for the same |
| US8879404B2 (en) * | 2008-01-09 | 2014-11-04 | At&T Intellectual Property I, Lp | Apparatus for managing communication device identifiers |
| JP5988036B2 (ja) * | 2011-05-18 | 2016-09-07 | パナソニックIpマネジメント株式会社 | 通信制御システムおよびその方法、ならびに通信装置およびその方法、プログラム |
-
2012
- 2012-12-21 EP EP12198886.9A patent/EP2747361B1/en active Active
- 2012-12-21 ES ES12198886T patent/ES2816324T3/es active Active
-
2013
- 2013-12-18 US US14/133,219 patent/US9338163B2/en active Active
-
2016
- 2016-05-05 US US15/147,492 patent/US20160323272A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20160323272A1 (en) | 2016-11-03 |
| EP2747361A1 (en) | 2014-06-25 |
| EP2747361B1 (en) | 2020-07-01 |
| US9338163B2 (en) | 2016-05-10 |
| US20140181520A1 (en) | 2014-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2816324T3 (es) | Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método | |
| KR101892203B1 (ko) | 하나의 장치를 이용하여 다른 장치를 언로크하는 방법 | |
| CN107409049B (zh) | 用于保护移动应用的方法和装置 | |
| US8966268B2 (en) | Strong authentication token with visual output of PKI signatures | |
| US9124433B2 (en) | Remote authentication and transaction signatures | |
| EP2648163B1 (en) | A personalized biometric identification and non-repudiation system | |
| ES2456815T3 (es) | Procedimientos de autenticación de los usuarios en sistemas de procesamiento de datos | |
| US9858401B2 (en) | Securing transactions against cyberattacks | |
| US20150113283A1 (en) | Protecting credentials against physical capture of a computing device | |
| JP2015154491A (ja) | リモートアクセス、リモートデジタル署名のためのシステムおよび方法 | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
| US10511438B2 (en) | Method, system and apparatus using forward-secure cryptography for passcode verification | |
| EP3480718B1 (en) | System and method for facilitating authentication via a shortrange wireless token | |
| ES2837138T3 (es) | Procedimiento y sistema para la autentificación de un terminal de telecomunicación móvil en un sistema informático de servicio y terminal de telecomunicación móvil | |
| US20240015026A1 (en) | Digital signing of a data structure | |
| US20220253516A1 (en) | Device and method for authenticating user and obtaining user signature using user's biometrics | |
| US20240005820A1 (en) | Content encryption and in-place decryption using visually encoded ciphertext | |
| ES2923919T3 (es) | Protección de una comunicación P2P | |
| ES2581477T3 (es) | Sistema de autenticación mutua antipiratería en los identificadores de software tipo smartphone y en sus SMS | |
| TWI531203B (zh) | 使用者資訊之驗證方法 |