MXPA03003710A - Metodos para cambiar a distancia una contrasena de comunicaciones. - Google Patents

Metodos para cambiar a distancia una contrasena de comunicaciones.

Info

Publication number
MXPA03003710A
MXPA03003710A MXPA03003710A MXPA03003710A MXPA03003710A MX PA03003710 A MXPA03003710 A MX PA03003710A MX PA03003710 A MXPA03003710 A MX PA03003710A MX PA03003710 A MXPA03003710 A MX PA03003710A MX PA03003710 A MXPA03003710 A MX PA03003710A
Authority
MX
Mexico
Prior art keywords
authentication
new
password
client
server
Prior art date
Application number
MXPA03003710A
Other languages
English (en)
Inventor
Timohty M Moore
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of MXPA03003710A publication Critical patent/MXPA03003710A/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Selective Calling Equipment (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)

Abstract

Se describen metodos para que un cliente de autentificacion, habiendo sido autentificado por un servidor de autentificacion, eleve los efectos de esa autentificacion para implementar una nueva contrasena de comunicaciones. El cliente de autentificacion obtiene una nueva contrasena de su usuario. A partir de la nueva contrasena y de la informacion proporcionada por el servidor de autentificacion, el cliente de autentificacion deriva un "verificador de contrasena". El verificador de contrasena es entonces compartido con el servidor de autentificacion. La nueva contrasena en si nunca es enviada al servidor de autentificacion, y es esencialmente imposible derivar la nueva contrasena del verificador de contrasena. El cliente de autentificacion y el servidor de autentificacion, en paralelo, derivan un nuevo conjunto de claves de seguridad de autentificacion y codificacion criptica a partir de la nueva contrasena y del verificador de contrasena, respectivamente. Este proceso se puede repetir para limitar la cantidad de datos enviados usando cualquiera de un conjunto particular de claves de seguridad y de este modo limitar la efectividad de cualquier atacante estadistico.

Description

METODOS PARA CAMBIAR A DISTANCIA UNA CONTRASEÑA DE COMUNICACIONES Campo técnico La presente invención se refiere en general a las comunicaciones por computadora y, más específicamente, a proporcionar seguridad basada en contraseñas a las sesiones de comunicaciones por computadora.
Antecedentes de la Invención Las redes de computadoras están creciendo cada vez más y estén llevando información más delicada. En aras de la seguridad, un dispositivo de computación que utiliza una red frecuentemente prueba su identificación ("se autenti ica") a otros dispositivos y sólo comunica información delicada a otros dispositivos autentificados. Sin embargo, la vasta mayoría de las comunicaciones autentificadas todavía es vulnerable a ataques de seguridad. En una forma de ataque de seguridad, un atacante erróneamente se autentifica, posiblemente imitando a un dispositivo legítimo. En cuanto se autentifica, el atacante tiene acceso a información supuestamente sólo para dispositivos legítimamente autentificados. En una segunda forma de ataque, el atacante no se autentifica pero fisgonea en las comunicaciones entre dispositivos autentificados con el fin de obtener las claves de seguridad. Con esas claves de seguridad en la mano, el fisgón puede tener acceso a información delicada enviada por los dispositivos autentificados. Estos ataques de seguridad son especialmente preocupantes para dispositivos que se comunican via tecnologías inalámbricas porque es difícil o imposible restringir el acceso físico a sus comunicaciones. Estas dos formas de ataques de seguridad se atacan mediante dos aspectos importantes de la seguridad de comunicaciones. Primero, las técnicas de autentificación se están volviendo cada vez más sofisticadas para evitar su uso por atacantes ilegítimos. ün ambiente típico de comunicaciones contiene un servidor de autentificación que se comunica con todos los dispositivos de computación (llamados "clientes de autentificación") cuando intentan ser autentificados. Para llegar a ser autentificado, un cliente de autentificación usualmente debe demostrar su conocimiento de algunas credenciales de autentificación. En algunos casos, las credenciales de autentificación incluyen una contraseña secreta de comunicaciones compartida entre el cliente de autentificación y el servidor de autentificación. En otros casos, las credenciales de autentificación se pueden basar en pares de claves pública/privada y certificados de seguridad. En cualquier caso, sólo probando su conocimiento de las credenciales de autentificación el cliente de autentificación es autentificado al servidor de autentificación. El proceso de autentificación usualmente es mutuo, también probando el servidor de autentificación su identificación al cliente de autentificación . En un segundo aspecto de la seguridad de comunicaciones, la información transmitida entre dispositivos de computación autentificados es codificado crípticamente. En un método tipleo de codificación críptica, la información se basa en claves de seguridad secretas, f ecuentemente, pero no siempre, compartidas entre el emisor y el receptor. Las claves de seguridad secretas se pueden basar en la misma contraseña de seguridad usada para la autentificación . El emisor codifica crípticamente la información usando el esquema de codificación acordado y luego envía la información codificada crípticamente al receptor. Al recibirla, el receptor descodifica crípticamente la información usando el esquema de codificación acordado. Aunque la información codificada crípticamente puede todavía ser fisgoneada, el fisgón no puede obtener la información original sin conocer las claves de seguridad. Sin embargo, la autentificación y la codificación críptica no siempre proporcionan suficiente protección. Por ejemplo, la información codificada crípticamente todavía está sujeta a varios ataques, incluyendo ataques estadísticos. En un ataque estadístico, un fisgón analiza un conjunto de mensajes codificados crípticamente con el fin de deducir patrones que se asocian con el esquema de seguridad acordado por el emisor y el receptor. De los patrones, el fisgón puede descubrir las claves de seguridad que subyacen en el esquema de seguridad acordado y usarlos para descodificar crípticamente la información codificada crípticamente. Debido a la naturaleza estadística de este método de ataque, su precisión mejora entre mayor sea el número de mensajes analizados. De esta manera una forma de frustrar los ataques estadísticos es limitar la cantidad de información enviada usando cualquier esquema de seguridad. Para hacerlo, estas claves de seguridad que subyacen en el esquema de seguridad acordado se pueden cambiar frecuentemente. El proceso de autentificación mutuo cambia las claves de seguridad usadas por el cliente de autentificación y por el servidor de autentificación . Sin embargo, la autentificación no altera el hecho de que las nuevas claves de seguridad todavía se basan en una contraseña de comunicaciones no cambiada. Al paso del tiempo, esa contraseña se puede comprometer, de manera que también deberá ser cambiada frecuentemente. Esto no es tan directo como aparenta ser. Con el fin de que sea útil, la nueva contraseña (o la información derivada de ella) necesita estar disponible tanto para el cliente de autentificación como para el servidor de autentificación . Establecer simplemente una nueva contraseña en el cliente de autentificación y luego enviarla sobre un enlace de comunicaciones al servidor de autentificación no es muy seguro. Métodos "fuera de banda" (métodos que no usan un enlace de comunicaciones) para enviar la nueva contraseña, aunque razonablemente seguros, pueden ser molestos, especialmente si el servidor de autentificación se localiza lejos del cliente de autentificación que desalienta los cambios frecuentes de contraseñas. Lo que se necesita es una manera no molesta para que un cliente de autentificación y un servidor de autentificación implementen una nueva contraseña de comunicaciones sin transmitir explícitamente la nueva contraseña sobre un enlace de comunicaciones.
Compendio de la Invención En vista de lo anterior, la presente invención proporciona un método para que un cliente de autentificación, habiendo sido autentificado por un servidor de autentificación, eleve los efectos de esa autentificación para implementar una nueva contraseña de comunicaciones. El servidor solicita que el cliente de autentificación implemente una nueva contraseña. El cliente de autentificación obtiene una nueva contraseña de su usuario. A partir de la nueva contraseña y de la información proporcionada por el servidor de autentificación, el cliente de autentificación deriva un "verificador de contraseña". El verificador de contraseña es compartido entonces con el servidor de autentificación. Durante el proceso de implementar la nueva contraseña, las comunicaciones entre el cliente de autentificación y el servidor de autentificación se aseguran usando claves de seguridad derivadas de la contraseña anterior. La nueva contraseña misma nunca se envía al servidor de autentificación, y es esencialmente imposible derivar la nueva contraseña del verificador de contraseña. Para las re-autentificaciones futuras, el conocimiento del servidor de autentificación del verificador de contraseña y el conocimiento del cliente de autentificación de la nueva contraseña misma sirven como credenciales de autentificación . El cliente de autentificación y el servidor de autentificación, en paralelo, derivan un nuevo conjunto de claves de seguridad de su conocimiento de sus respectivas credenciales de autentificación . Las nuevas claves de seguridad se usan para la autentificación y codificación críptica hasta que el proceso se repite y un conjunto más nuevo de claves de seguridad se deriva de una contraseña más nueva. Este proceso se puede repetir tan seguido como se desee para limitar la cantidad de datos enviados usando cualquier conjunto particular de claves de seguridad y así limitar la efectividad de cualquier atacante estadístico. En otro aspecto de la presente invención, el servidor de autentificación decide cuándo deberá ser cambiada la contraseña actual de comunicaciones, su decisión posiblemente se basa en el paso del tiempo o en la cantidad de datos enviados usando la presente contraseña.
Breve descripción de los dibujos Aunque las reivindicaciones anexas presentan las características de la presente invención con particularidad, la invención, junto con sus objetos y ventajas, puede entenderse mejor a partir de la siguiente descripción detallada junto con los dibujos acompañantes de los cuales La Figura 1 es un diagrama en bloques que muestra un ambiente de comunicaciones de ejemplo con un cliente de autentificación, un servidor de autentificación, y un fisgón; La Figura 2 es un diagrama esquemático que ilustra en general un sistema de computación de ejemplo que soporta la presente invención; La Figura 3a hasta la 3c forman un diagrama de flujo de datos que muestra en general la información que pasa y las operaciones realizadas cuando un cliente de autentificación y un servidor de autentificación se autentifican mutuamente y luego implementan una nueva contraseña de comunicaciones de acuerdo con una modalidad de la presente invención; y La Figura 4 es un diagrama de estructura de datos que muestra posibles mensajes usados durante el proceso de implementar una nueva contraseña de comunicaciones .
Descripción detallada de la invención Volviendo a los dibujos, en donde los numerales de referencia iguales se refieren a elementos iguales, la presente invención se ilustra estando implementada en un ambiente de computación conveniente. La siguiente descripción se basa en modalidades de la invención y no deberá tomarse como limitante de la invención con respecto a modalidades alternativas que no se describen explícitamente en la presente . En la descripción que sigue, la presente invención se describe con referencia a actos y representaciones simbólicas de las operaciones que son realizadas por uno o más dispositivos de computación, a menos que se indique otra cosa. Como tal, se entenderá que estos actos y operaciones, a los que se hace referencia como que son ejecutados por computadora, incluyen la manipulación por la unidad de procesamiento del dispositivo de computación de señales eléctricas que representan datos en una forma estructurada. Esta manipulación transforma los datos o los mantiene en lugares en el sistema de memoria del dispositivo de computación, el cual reconfigura o de otra manera altera la operación del dispositivo de una manera bien entendida por los expertos en la técnica. Las estructuras de datos donde los datos se mantienen son lugares físicos de la memoria que tienen propiedades particulares definidas por el formato de los datos. Sin embargo, aunque la invención se está describiendo en el contexto anterior, esto no significa que esté limitada ya que los expertos en la técnica apreciarán que varios actos y operaciones descritas aqui más adelante también se pueden implementar en hardware. En el ambiente de red 100 de la Figura 1, un cliente de autentificación 102 ha demostrado su identificación ("se autentificó") a un servidor de autentificación 106 que mantiene información secreta presuntamente sólo conocida por la entidad cuya identificación está reclamando el cliente de autentificación 102. Esta información secreta se denomina "credenciales de autentificación" del cliente de autentificación 102. Nótese que en algunos ambientes 100, especialmente en redes inalámbricas, el cliente de autentificación 102 puede comunicarse directamente con un servidor de acceso local 104. El servidor de acceso 104 pasa las comunicaciones entre el cliente de autentificación 102 y el servidor de autentificación 106 el cual puede ser remoto y puede servir a varias, tal vez cientos, de redes 100. La posible presencia de un servidor de acceso 104 no afecta la discusión de la presente invención y no se mencionará de nuevo. Al terminar una autentificación exitosa, el cliente de autentificación 102 y el servidor de autentificación 106 derivan un conjunto de claves de seguridad que pueden usar para codificar crípticamente y autentificar los mensajes pasados entre ellos. Las claves de seguridad se derivan, en parte, del las credenciales de autentificación del cliente de autentificación 102. La codificación críptica y la autentificación son necesarias porque todos los mensajes pasados dentro de la red 100 están sujetos a intercepción de fisgones maliciosos 108. El fisgón 108 intercepta los mensajes y les aplica métodos estadísticos intentando descubrir las claves de seguridad usadas para protegerlos . Debido a la naturaleza estadística de este ataque, su precisión mejora con un número creciente de mensajes analizados. Para frustrar este ataque estadístico, el cliente de autentificación 102 y el servidor de autentificación 106 deberán rápidamente cambiar las claves de seguridad antes de que el fisgón 108 pueda interceptar suficientes mensajes para descubrir esas claves de seguridad. Existen métodos conocidos para cambiar las claves de seguridad. Por ejemplo, durante cada autentificación, se genera información "viva", tal como un valor aleatorio o una estampa de tiempo. Al incluir la información viva junto con las credenciales de autentificación en la derivación de las claves de seguridad, se deriva un conjunto diferente de claves de seguridad para cada autentificación exitosa. Sin embargo, cada conjunto de claves de seguridad todavía se deriva de las mismas credenciales de autentificación . Si las credenciales se comprometen, entonces las claves de seguridad tienen vulnerabilidad para ser atacadas. Para evitar esto, las credenciales de autentificación deberán ser cambiadas periódicamente, así como las claves de seguridad derivadas de las credenciales de autentificación se cambian frecuentemente . Cambiar las credenciales de autentificación del cliente de autentificación 102 no es tan directo como puede parecer. Las credenciales de autentificación fácilmente pueden ser cambiadas en el cliente de autentificación 102, pero con el fin de que sean útiles, ese cambio se debe coordinar con el servidor de autentificación 106. De otro modo, el servidor de autentificación 106 todavía buscaría prueba del conocimiento del cliente de autentificación 102 de las antiguas credenciales de autentificación . (Como se discute más adelante, el servidor de autentificación 106 no necesita realmente conocer estas credenciales de autentificación . El servidor de autentificación 106 puede verificar el conocimiento del cliente de autentificación 102 sobre las credenciales de autentificación sin conocer las mismas credenciales) . Un método simple de coordinar el cambio es enviar las credenciales de autentificación sobre un enlace de comunicaciones al servidor de autentificación 106. Sin embargo, este método no es muy seguro, dada la posible presencia del fisgón 108. Otros métodos conocidos para coordinar el cambio usualmente incluyen las comunicaciones "fuera de banda" (métodos que no usan un enlace de comunicaciones por computadora) . Aunque razonablemente seguros, los métodos fuera de banda pueden ser tan molestos, especialmente si el servidor de autentificación 106 se localiza lejos del cliente de autentificación 102, que desalienten los cambios frecuentes a las credenciales de autentificación . La presente invención proporciona un método seguro pero no molesto para que el cliente de autentificación 102 y el servidor de autentificación 106 coordinen la implementación de nuevas credenciales de autentificació . El cliente de autentificación 102 de la Figura 1 puede ser de cualquier arquitectura. La Figura 2 es un diagrama en bloques que ilustra en general un sistema de computadoras ejemplar que soporta la presente invención. El sistema de computadoras de la Figura 2 sólo es un ejemplo de un ambiente conveniente y no pretende sugerir ninguna limitación respecto al alcance de uso o funcionalidad de la invención. Tampoco se interpretará que el cliente de autentificación sea dependiente o requiera relacionarse con alguno o una combinación de los componentes ilustrados en la Figura 2. La invención es operativa con otros muchos ambientes o configuraciones de computación de propósitos generales o propósitos especiales. Ejemplos de sistemas, ambientes y configuraciones de computación muy conocidos convenientes para su uso con la invención incluyen, pero no se limitan a computadoras personales, servidores dispositivos manuales o laptops, sistemas multiprocesadores , sistemas basados en microprocesadores, cajas descodificadoras , aparatos electrónicos de consumo programables , redes de computadoras personales, minicomputadoras , computadoras centrales, y ambientes de computación distribuida gue incluyen cualquiera de los sistemas o dispositivos anteriores. En su configuración más básica, el cliente de autentificación 102 típicamente incluye cuando menos una unidad de procesamiento 200 y la memoria 202. La memoria 202 puede ser volátil (tal como una memoria de acceso aleatorio RAM) no volátil (tal como memoria de sólo lectura ROM o memoria instantánea), o alguna combinación de las dos. Esta configuración más básica se ilustra en la Figura 2 por la línea punteada 204. El cliente de autentificación 102 puede tener características y funcionalidad adicionales. Por ejemplo, el cliente de autentificación 102 puede incluir almacenamiento adicional (removible y no removible) incluyendo, pero sin limitarse a, discos magnéticos y ópticos y cintas magnéticas . Este almacenamiento adicional se ilustra en la Figura 2 mediante el almacenamiento no removible 206 y el almacenamiento no removible 208. El medio de almacenamiento por computadora incluye medios removibles y no removióles, volátiles y no volátiles, implementados en cualquier método o tecnología para el almacenamiento de información tal como instrucciones legibles por computadora, estructuras de datos, módulos de programas, u otros datos. La memoria 202, el almacenamiento removible 206, y el almacenamiento no removible 208 son ejemplos de medios de almacenamiento por computadora. Los medios de almacenamiento por computadora incluyen, pero no se limitan a memoria de acceso aleatorio, memoria de sólo lectura, memoria de sólo lectura programable y borrable eléctricamente (EEPROM) , memoria instantánea, otras tecnologías de memoria, memoria de sólo lectura en disco compacto (CD-ROM) , discos versátiles digitales (DVD) , otro almacenamiento óptico, casetes magnéticos, cinta magnética, almacenamiento en disco magnético, otros dispositivos de almacenamiento magnético, y cualquier otro medio que se pueda usar para almacenar la información deseada y al que pueda accesar el cliente de autentificación 102. Cualquiera de estos medios de almacenamiento en computadora pueden ser parte del cliente de autentificación 102. El cliente de autentificación 102 también puede contener canales de comunicaciones 210 que permitan al dispositivo comunicarse con otros dispositivos. Los canales de comunicaciones 210 son ejemplos de medios de comunicaciones. Los medios de comunicaciones típicamente abarcan instrucciones legibles por computadora, estructuras de datos, módulos de programas, u otros datos en una señal de datos modulada tal como una onda portadora u otro mecanismo de transporte e incluyen cualquier medio de entrega de información. El término "señal de datos modulada" significa una señal que tiene una o más de sus características establecidas o cambiadas de manera que codifique información en la señal. A manera de ejemplo, y no limitación, los medios de comunicaciones incluyen medios ópticos, medios alámbricos, tales como redes alámbricas y conexiones directamente conectadas alámbricamente, así como medios inalámbricos tales como medios inalámbricos acústicos, de radiofrecuencias, infrarrojos, y otros medios inalámbricos. El término "medios legibles por computadora" como se usa en la presente incluye tanto medios de almacenamiento como medios de comunicaciones . El cliente de autentificación 102 también puede tener dispositivos de entrada 212 tales como un teclado, ratón, pluma, dispositivo de entrada de voz, dispositivo de entrada táctil, etcétera. También se pueden incluir dispositivos de salida 214 como monitores, altavoces e impresoras. Todos estos dispositivos son muy conocidos en la técnica y no es necesario describirlos detalladamente aquí. El diagrama de flujo de datos de las Figuras 3a hasta 3c ilustra un método ejemplar para practicar la presente invención. Los pasos 300 hasta 308 establecen las etapas. En los pasos 300 y 302, el cliente de autentificación 102 y el servidor de autentificación 106 se autentifican entre si usando técnicas de autentificación conocidas. Como un ejemplo de una técnica de autentificación conveniente, consideremos la IETF RFC (Solicitud de Comentarios del Equipo Especial de Ingeniería de Internet) 2945, el "Sistema de Intercambio de Autentificación y Claves SRP", incorporado en la presente por entero. Aunque los pasos 300 y 302 mencionan la autentificación mutua, la presente discusión se enfoca en actualizar las credenciales de autentificación usadas en una dirección de la autentificación. En los ejemplos que siguen, la discusión se enfoca en autentificar el cliente de autentificación 102 al servidor de autentificación 106. Como los métodos de la invención son igualmente aplicables a autentificar el servidor de autentificación 106 al cliente de autentificación 102, esa dirección de autentificación no es necesario discutirla adicionalmente . Las credenciales de autentificación usadas por el cliente de autentificación 102 en el paso 300 incluyen una contraseña secreta. El valor de esa contraseña probablemente no se almacena en el cliente de autentificación 102, sino es introducida por un usuario del cliente de autentificación 102 junto con un nombre de usuario cuando el usuario desea ser autentificado por el servidor de autentificación 106. En aras de la seguridad, el servidor de autentificación 106 no conoce el valor de la contraseña secreta. Sin embargo si conoce el valor de un "verificador de contraseña" derivado de la contraseña secreta. El servidor de autentificación 106 almacena el verificador de contraseña en asociación con el nombre de usuario. (Debido a que el verificador de contraseña se almacena en asociación con el nombre de usuario en vez de en asociación con un identificador del cliente de autentificación 102, seria más apropiado decir que el nombre de usuario es autentificado en vez de que el cliente de autentificación 102 es autentificado. Por ejemplo, si el usuario se mueve a un cliente diferente y usa el mismo nombre de usuario y contraseña, los métodos de autentificación trabajarán como antes. Sin embargo, para facilitar la presentación, la presente discusión continuará hablando de autentificar el cliente de autentificación 102 al servidor de autentificación 106.) Un ejemplo de cómo un verificador de contraseña se puede derivar de una contraseña se discute más adelante con referencia al paso 316 de la Figura 3b. En este punto en la discusión, es suficiente saber que la derivación es tanto "determinante" como "irreversible" . Determinante significa que no hay aleatoriedad en la derivación misma, esto es, en cuanto las entradas a la derivación (que incluye la contraseña pero puede incluir otros valores) son conocidas, la salida (el verificador de contraseña) se determina completamente. Que la derivación sea irreversible significa que las entradas no se pueden determinar conociendo la salida de la derivación. Más fuerte que eso, si una parte conoce al verificador de la contraseña y todas las entradas a la derivación excepto la contraseña, esa parte todavía no puede determinar la contraseña. Estas propiedades implican que, usando los métodos del proceso de autentificación, solamente una parte que conoce la contraseña misma puede con éxito reivindicar ser el cliente de autentificación 102. Durante el proceso de autentificación, el servidor de autentificación 106 usa su conocimiento del verificador de contraseña para probar el conocimiento del cliente de autentificación 102 de la contraseña. Otras entradas a la derivación del verificador de contraseña a partir de la contraseña se comparten entre el cliente de autentificación 102 y el servidor de autentificación 106. Debido a que el conocimiento de estos otros valores es insuficiente para recrear el verificador de contraseña sin conocimiento de la contraseña misma, estos otros valores pueden ser publicados antes de que el proceso de autentificación comience y pueden aún fijarse como parámetros en un protocolo de autentificación público-estándar . Como un resultado del proceso de autentificación, el cliente de autentificación 102, en el paso 304, y el servidor de autentificación 106, en el paso 306, en paralelo derivan un conjunto de claves de seguridad. El cliente de autentificación 102 deriva las claves de seguridad de la contraseña secreta, y el servidor de autentificación 106 las deriva del verificador de contraseña. Un proceso de autentificación exitoso asegura que las claves de seguridad derivadas en los dos dispositivos son iguales. Como un ejemplo de cómo un proceso de autentificación puede asegurar esto, y de cómo se derivan las claves de seguridad, por favor véase IETF RFC 2246, "The TLS Protocol" ("El protocolo TLS" ) , incorporado en la presente por entero. La derivación de las claves de seguridad también incluye información viva compartida entre el cliente de autentificación 102 y el servidor de autentificación 106. El uso de la información viva compartida en la derivación hace las claves de seguridad diferentes cada vez que el cliente de autentificación 102 se autentifica al servidor de autentificación 106. Si no fuera este el caso, el cliente de autentificación 102 usarla las mismas claves de seguridad después de cada autentificación. Sabiendo esto, el fisgón 108 podría reanudar su ataque estadístico cada vez que el cliente de autentificación 102 se autentifica, añadiendo mensajes recientemente interceptados a su análisis de mensajes interceptados durante las sesiones previas del cliente de autentificación 102.
El conjunto de claves de seguridad usualmente incluye tanto claves de codificación críptica (que pueden ser compartidas o pueden ser un par de claves de una sola vía) como claves de autentificación. En cuanto las claves son derivadas por el cliente de autentificación 102 y por el servidor de autentificación 106, estos dos dispositivos pueden usar las claves en el paso 308 para proteger sus comunicaciones. Ejemplos del uso de claves de seguridad se discuten más adelante con referencia a los pasos 312 y 318 del la Figura 3b. Desde luego, conforme el cliente de autentificación 102 y el servidor de autentificación 106 comienzan en el paso 308 a comunicarse usando las claves de seguridad, el fisgón 108 también puede comenzar a interceptar las comunicaciones usando las claves de seguridad, el fisgón 108 también puede comenzar a interceptar las comunicaciones y someterlas a ataque estadístico intentado descubrir las claves de seguridad (no mostradas) . En el paso 310, el servidor de autentificación 106 decide implementar una nueva contraseña secreta. Las razones detrás de esta decisión típicamente pueden incluir la cantidad de tiempo que ha estado en uso la actual contraseña, la cantidad de información enviada bajo la actual contraseña, y la seguridad inherente de la red 100. Las redes inalámbricas usualmente están abiertas al fisgoneo de manera que las contraseñas usadas en estas redes deberán cambiarse periódicamente. En cualquier caso, al decidir que deberá cambiarse la contraseña del cliente de autentificación 102, el servidor de autentificación 106 envía una solicitud a ese efecto en el paso 312. Nótese que "solicitud" es probablemente un eufemismo en este contexto: si el cliente de autentificación 102 no responde cambiado su contraseña, el cliente (sic) de autentificación 106 probablemente deshabilitará la contraseña actual, evitando que el cliente de autentificación 102 se autentifique. Como se discutió anteriormente con referencia al proceso de autentificación de los pasos 300 y 302, el proceso de derivar un nuevo verificador de contraseña puede tomar otras entradas además de la nueva contraseña en sí. El servidor de autentificación 106 puede elegir enviar nuevos valores para estas otras entradas junto con la solicitud de cambio de contraseña. Esto no es estrictamente necesario debido a que el nuevo verificador de contraseña se puede derivar de la nueva contraseña y de los mismos valores de las otras entradas usadas la última vez que se cambió la contraseña. Sin embargo, la seguridad aumenta cambiando también algunas de estas entradas. Las entradas de ejemplo específicas enlistadas en el paso 312 (módulo primo, generador, y sal) se explican más adelante con referencia al paso 316. Por seguridad adicional, estos valores se pueden codificar crípticamente usando las claves de seguridad derivadas en el paso 306. Si la solicitud de cambio de contraseña incluye cualquiera de estas otras entradas, entonces también se enviará un MAC (Código de autentificación de mensaje) que cubra las nuevas entradas, ün código de autentificación de mensaje es un hash irreversible de las entradas y es utilizable por el cliente de autentificación 102 para verificar si el contenido de la solicitud del cambio de contraseña ha sido recibido inalterado desde el servidor de autentificación 106. Un ejemplo de un método para producir un código de autentificación de mensaje se puede encontrar en IETF RFC 2104, "HMAC: Keyed-Hashing for Message Authentication" ("HMAC: Valores de hash en clave para la autentificación de mensajes") , incorporado en la presente por entero . El cliente de autentificación 102 recibe la solicitud de cambio de contraseña junto con los nuevos valores de entrada, si los hay. Si hay algún valor nuevo de entrada, entonces se verifica la clave de autentificación de mensaje. Si falla la verificación, entonces se ignora la solicitud de cambio de contraseña. De otro modo, los nuevos valores se descodifican usando la misma clave de seguridad usada para codificarlos crípticamente, y los valores se almacenan para su uso posterior. En el paso 314, el cliente de autentificación 314 incita a su usuario a que dé una nueva contraseña. Por ejemplo, el paso 314 puede tener la forma de un proceso muy conocido en donde el usuario debe introducir la contraseña anterior para su autentificación, luego introducir la nueva contraseña dos veces para su confirmación. En algunas modalidades, la nueva contraseña debe ser verificada contra varios criterios antes de ser aceptada. Estos criterios incluyen el conocido "debe tener cuando menos ocho caracteres", "debe incluir tanto letras como numerales", "no se debe encontrar en un diccionario estándar", "no debe ser una permutación de una contraseña usada recientemente", "no debe ser el nombre de tu cónyuge o mascota", etcétera. Cuando el usuario crea una nueva contraseña que pasa cualquier prueba el cliente de autentificación 102 deriva un nuevo verificador de contraseña de la nueva contraseña en el paso 316. como se discutió anteriormente la derivación deberá ser tanto determinante como irreversible. IETF FRC 2945 presenta el siguiente método de derivación que satisface ambos requisitos: Verificador de Contraseña = GASH7(nombreusuario| ":" ¡contraseña) ) %P donde : SHA (Algoritmo Hash Seguro) es una función muy conocida en la industria; Salt es un valor aleatorio compartido con el servidor de autentificación 106; I es el operador de concatenación de cadena; el nombre de usuario y la contraseña son introducidos por un usuario del cliente de autentificación 102; ":" es la cadena consistente en el carácter dos puntos; A es el operador de potenciación; % es el operador módulo (resto entero) ; P es un "módulo primo" un número primo grande . (por razones de seguridad, cuando menos de 512 bits) compartido con el servidor de autentificación 106; y G es un generador de P compartido con el servidor de autentificación 106, esto es, para cualquier número natural A menor que P, existe otro número B tal que GAB%P=A. Si el servidor de autentificación 106 envía nuevos valores para el módulo primo, el generador, o la sal en el paso 312, entonces esos nuevos valores se usan en la derivación del verificador de contraseña. El cliente de autentificación 102 toma el nuevo verificador de contraseña, lo codifica crípticamente con las claves de seguridad derivadas en el paso 306, lo cubre con un código de autentificación de mensaje, y lo envía al servidor de autentificación 106 en el paso 318. Después de que el verificador de contraseña es enviado con éxito, su presencia en el cliente de autentificación 102 ya no sirve para otra cosa así que puede ser desechado. El servidor de autentificación 106 verifica el código de autentificación de mensajes, descodifica el nuevo verificador de contraseña con la misma clave de seguridad usada para codificarlo crípticamente, y almacena el nuevo verificador de contraseña en asociación con el nombre de usuario y con cualquier otra entrada al proceso de derivación que han cambiado. En algunas modalidades, el módulo primo y el generador rara vez cambian, si lo hacen, pero se crea una nueva sal cada vez que cambia la contraseña. Si después de un periodo de tiempo, el servidor de autentificación 106 no recibe una respuesta a su solicitud de cambio de contraseña, puede enviar la solicitud de nuevo. Como se notó anteriormente, después de repetidos intentos sin éxito para cambiar la contraseña, el servidor de autentificación 106 puede decidir deshabilitar la contraseña actual . El proceso para coordinar el cambio en las credenciales de autentificación está completo. Por razones de seguridad, se recomienda que el cliente de autentificación 102 inmediatamente use las nuevas credenciales re-autentificándose en el paso 320 al servidor de autentificación 106. Si la re-autentificación tiene éxito, entonces en los pasos 3244 y 326, los pasos paralelos 304 y 306, el cliente de autentificación 102 y el servidor de autentificación 106, respectivamente, derivan un nuevo conjunto de claves de seguridad basados en las nuevas credenciales de autentificación . En el paso 328, las nuevas claves de seguridad se usan para proteger las comunicaciones . La nueva contraseña y el nuevo verificador de contraseña permanecen en uso como las credenciales de autentificación hasta que el servidor de autentificación 106 vuelve al paso 310 decidiendo cambiar la contraseña todavía de nuevo. Nótese que los métodos de la presente invención permiten que se cambien las credenciales de autentificación sin interrumpir para nada las comunicaciones entre el cliente de autentificación 102 y el servidor de autentificación 106. Estos dos dispositivos continúan usando las antiguas claves de seguridad hasta que se derive un nuevo conjunto de claves basado en las nuevas credenciales de autentificación. Los protocolos de comunicaciones en uso entre el cliente de autentificación 102 y el servidor de autentificación 106 pueden determinar los formatos reales usados para enviar información en los pasos 312 y 318. La Figura 4 da dos estructuras de datos de ejemplo, el punto 400 para un mensaje de solicitud de cambio de contraseña y el punto 402 para un mensaje de respuesta de cambio de contraseña. La Figura 4 sólo muestra los campos de datos en los mensajes de ejemplo: los protocolos de comunicaciones usados pueden añadir encabezados y colas de estos campos de datos. Estos dos mensajes se pueden incluir, por ejemplo, como dos nuevos mensajes ???-SRP (Protocolo de Autentificación Extensible - Contraseña Remota Segura) . Los mensajes EAP-SRP también definen un mensaje especifico del vendedor que se puede usar para llevar estos campos de datos. Otros protocolos de comunicaciones ofrecen facilidades similares . En vista de las muchas modalidades posibles en las cuales se pueden aplicar los principios de la presente invención, deberá reconocerse que las modalidades descritas en la presente con respecto a las figuras en los dibujos pretenden ser únicamente ilustrativas y no deberán tomarse como limitantes del alcance de la invención. Los expertos en la técnica reconocerán que algunos detalles de implementación, tales como el tamaño de los campos de datos y los formatos de mensaje, se determinan por los protocolos elegidos para situaciones especificas y se pueden encontrar en los estándares publicados. Aunque la invención se describe en términos de módulos o componentes de software, algunos procesos, especialmente los métodos de codificación críptica, pueden realizarse equivalentemente por componentes de hardware. Por lo tanto, la invención como se describe en la presente contempla todas estas modalidades como vienen dentro del alcance de las siguientes reivindicaciones y sus equivalentes .

Claims (53)

REIVINDICACIONES
1. En un ambiente de computación con un cliente de autentificación y un servidor de autentificación habiendo sido autentificado el cliente de autentificación al servidor de autentificación, basándose la autentificación del cliente de autentificación en una antigua contraseña conocida por el cliente de autentificación, en un antiguo verificador de contraseña conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, un antiguo generador del antiguo módulo primo, y una antigua sal conocida tanto por el cliente de autentificación como por el servidor de autentificación, un método para implementar una nueva contraseña, comprendiendo el método: solicitar, el servidor de autentificación, que el cliente de autentificación cambie su contraseña; hacer accesible, el servidor de autentificación al cliente de autentificación, una nueva sal; solicitar y recibir, en el cliente de autentificación, una nueva contraseña de un usuario del cliente de autentificación; calcular, en el cliente de autentificación, un nuevo verificador de contraseña, pasando como entradas al cómputo la nueva sal y el nombre de usuario; almacenar, en el servidor de autentificación, el nombre de usuario, el nuevo verificador de contraseña, y la nueva sal.
2. El método de la reivindicación 1, en donde solicitar que el cliente de autentificación cambie su contraseña comprende enviar un mensaje de Cambio de Contraseña al Servidor EAP-SRP (Protocolo de Autentificación Extensible - Contraseña Remota Segura) y en donde hacer accesible el nuevo verificador de contraseña comprende enviar un mensaje de respuesta de cambio de contraseña de cliente EAP-SRP.
3. El método de la reivindicación 1, en donde solicitar que el cliente de autentificación cambie su contraseña comprende enviar un mensaje de cambio de contraseña de servidor especifico de vendedor EAP-SRP y en donde hacer accesible el nuevo verificador de contraseña comprende enviar un mensaje de respuesta de cambio de contraseña especifico de vendedor EAP-SRP.
4. El método de la reivindicación 1, en donde la nueva sal es igual a la antigua sal y en donde hacer accesible la nueva sal comprende compartir, por el servidor de autentificación, la nueva sal con el cliente de autentificación antes de solicitar que el cliente de autentificación cambie su contraseña.
5. El método de la reivindicación 1, en donde la nueva sal no es igual que la antigua sal y en donde hacer accesible la nueva sal comprende usar, por el servidor de autentificación, una técnica seleccionada del grupo que consiste en: enviar un mensaje que contiene la nueva sal al cliente de autentificación; anunciar la nueva sal en un lugar accesible al servidor de autentificación y al cliente de autentificación; y compartir la nueva sal con el cliente de autentificación antes de solicitar que el cliente de autentificación cambie su contraseña.
6. El método de la reivindicación 5, en donde hacer accesible una nueva sal además comprende: que el servidor de autentificación compute un primer código de autentificación de mensajes cubriendo la nueva sal, basado el código de autentificación de mensajes en una clave de autentificación de cliente de autentificación al servidor de autentificación derivada durante la autentificación del cliente de autentificación; que el servidor de autentificación haga accesible para el cliente de autentificación el primer código de autentificación de mensajes; y calcular, en el cliente de autentificación un segundo código de autentificación cubriendo la nueva sal, basado el segundo código de autentificación de mensajes en la clave de autentificación del cliente de autentificación al servidor de autentificación; y en donde solicitar y recibir una nueva contraseña y calcular, hacer accesible y almacenar un nuevo verificador de contraseña se realizan solamente si el primer código de autentificación de mensajes coincide con el segundo código de autentificación de mensajes.
7. El método de la reivindicación 1, que además comprende pasar como otras entradas a la computación el antiguo módulo primo y el antiguo generador del antiguo módulo primo .
8. El método de la reivindicación 7 en donde calcular un nuevo verificador de contraseña comprende, en el cliente de autentificación : asignar a un primer valor intermedio los resultados de ejecutar una función hash, comprendiendo las entradas a la función hash el nombre de usuario y la nueva contraseña; asignar a un segundo valor intermedio los resultados de ejecutar una función hash, comprendiendo las entradas de la función hash la nueva sal y el primer valor intermedio; asignar a un tercer valor intermedio el antiguo generador elevado a una potencia del segundo valor intermedio; y asignar al nuevo verificador de contraseña el tercer valor intermedio módulo el antiguo módulo primo.
9. El método de la reivindicación 1 en donde hacer accesible el nuevo verificador de contraseña comprende: codificar crípticamente, en el cliente de autentificación, el nuevo verificador de contraseña usando una clave de codificación críptica de servidor de autentificación a cliente de autentificación derivada durante la autentificación del cliente de autentificación; hacer accesible, por el cliente de autentificación al servidor de autentificación, el nuevo verificador de contraseña codificado crípticamente; y descodificar crípticamente, en el servidor de autentificación, el nuevo verificador de contraseña usando la clave de codificación críptica de servidor de autentificación a cliente de autentificación .
10. El método de la reivindicación 9 en donde hacer accesible el nuevo verificador de contraseña además comprende : calcular, en el cliente de autentificación, un primer código de autentificación de mensajes cubriendo el nuevo verificador de contraseña, basado el código de autentificación de mensajes en la clave de autentificación de servidor de autentificación a cliente de autentificación derivada durante la autentificación del cliente de autentificación; hacer accesible, por el cliente de autentificación al servidor de autentificación, el primer código de autentificación de mensajes; y calcular, en el servidor de autentificación, un segundo código de autentificación de mensajes cubriendo el nuevo verificador de contraseña codificado crípticamente, el segundo código de autentificación de mensajes basado en la clave de autentificación de servidor de autentificación a cliente de autentificación; y en donde almacenar el nombre de usuario, el nuevo verificador de contraseña y la nueva sal se realiza solamente si el primer código de autentificación de mensajes coincide con el segundo código de autentificación de mensajes.
11. El método de la reivindicación 1 que además comprende : asociar, en el servidor de autentificación, un cronómetro con la solicitud de que el cliente de autentificación cambie su contraseña; y si después de la expiración del cronómetro no se hace accesible un nuevo verificador de contraseña por el cliente de autentificación, entonces repetir, en el servidor de autentificación, la solicitud de que el cliente de autentificación cambie su contraseña.
12. El método de la reivindicación 1 que además comprende : autentificar el cliente de autentificación al servidor de autentificación una segunda vez, la segunda autentificación basada en la nueva contraseña conocida por el cliente de autentificación, en el nuevo verificador de contraseña conocido por el servidor de autentificación, y en el nombre de usuario, el antiguo módulo primo, el antiguo generador del antiguo módulo primo, y la nueva sal conocida tanto por el cliente de autentificación como para el servidor de autentificación .
13. El método de la reivindicación 1 que además comprende : hacer accesible, por el servidor de autentificación al cliente de autentificación, un nuevo módulo primo y un nuevo generador del nuevo módulo primo.
14. El método de la reivindicación 13, en donde hacer accesible una nueva sal, un nuevo módulo primo, y un nuevo generador de nuevo módulo primo comprende : que el servidor de autentificación compute un primer código de autentificación de mensajes cubriendo la nueva sal, el nuevo módulo primo, y el nuevo generador, basado el código de autentificación de mensajes en una clave de autentificación de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; que el servidor de autentificación haga accesible para el cliente de autentificación el primer código de autentificación de mensajes; y calcular, en el cliente de autentificación, un segundo código de autentificación cubriendo la nueva sal, el nuevo módulo primo, y el nuevo generador, basado el segundo código de autentificación de mensajes en la clave de autentificación de cliente de autentificación a servidor de autentificación; y en donde solicitar y recibir una nueva contraseña y calcular, hacer accesible y almacenar un nuevo verificador de contraseña se realizan solamente si el primer código de autentificación de mensajes coincide con el segundo código de autentificación de mensajes.
15. El método de la reivindicación 13, que además comprende pasar como otras entradas a la computación el nuevo módulo primo y el nuevo generador. •
16. El método de la reivindicación 15 en donde calcular un nuevo verificador de contraseña comprende, en el cliente de autentificación : asignar a un primer valor intermedio los resultados de ejecutar una función hash, comprendiendo las entradas a la función hash el nombre de usuario y la nueva contraseña; asignar a un segundo valor intermedio los resultados de ejecutar una función hash, comprendiendo las entradas de la función hash la nueva sal y el primer valor intermedio; asignar a un tercer valor intermedio el nuevo generador elevado a una potencia del segundo valor intermedio; y asignar al nuevo verificador de contraseña el tercer valor intermedio módulo el nuevo módulo primo .
17. El método de la reivindicación 13 que además comprende : autentificar el cliente de autentificación al servidor de autentificación una segunda vez, la segunda autentificación basada en la nueva contraseña conocida por el cliente de autentificación, en el nuevo verificador de contraseña conocido por el servidor de autentificación, y en el nombre de usuario, el nuevo módulo primo, el nuevo generador del nuevo módulo primo, y la nueva sal conocida tanto por el cliente de autentificación como por el servidor de autentificación .
18. Un medio legible por computadora que contiene instrucciones para realizar un método para implementar una nueva contraseña, habiendo sido autentificado un cliente de autentificación a un servidor de autentificación, basándose la autentificación del cliente de autentificación en una antigua contraseña conocida por el cliente de autentificación, en un antiguo verificador de contraseña conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, un antiguo generador del antiguo módulo primo, y una antigua sal conocida tanto por el cliente de autentificación como por el servidor de autentificación, un método para implementar una nueva contraseña, comprendiendo el método: solicitar, el servidor de autentificación, que el cliente de autentificación cambie su contraseña; hacer accesible, el servidor de autentificación al cliente de autentificación, una nueva sal; solicitar y recibir, en el cliente de autentificación, una nueva contraseña de un usuario del cliente de autentificación; calcular, en el cliente de autentificación, un nuevo verificador de contraseña, pasando como entradas al cómputo la nueva sal y el nombre de usuario; hacer accesible, por el cliente de autentificación al servidor de autentificación, el nuevo verificador de contraseña; y almacenar, en el servidor de autentificación, el nombre de usuario, el nuevo verificador de contraseña, y la nueva sal.
19. En un ambiente de computación con un cliente de autentificación y un servidor de autentificación habiendo sido autentificado el cliente de autentificación al servidor de autentificación, basándose la autentificación del cliente de autentificación en una antigua contraseña conocida por el cliente de autentificación, en un verificador de contraseña antiguo conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, un antiguo generador del antiguo módulo primo, y una antigua sal conocida tanto por el cliente de autentificacion como por el servidor de autentificación, un método para que el servidor de autentificación haga que el cliente de autentificación implemente una nueva contraseña, comprendiendo el método: solicitar que el cliente de autentificación cambie su contraseña; hacer accesible una nueva sal al cliente de autentificación; recibir del cliente de autentificación un nuevo verificador de contraseña; y almacenar el nombre de usuario, el nuevo verificador de contraseña, y la nueva sal.
20. El método de la reivindicación 19, en donde solicitar que el cliente de autentificación cambie su contraseña comprende enviar un mensaje de Cambio de Contraseña al Servidor EAP-SRP (Protocolo de Autentificación Extensible - Contraseña Remota Segura) y en donde hacer accesible el nuevo verificador de contraseña comprende recibir un mensaje de cambio de contraseña de cliente EAP-SRP.
21. El método de la reivindicación 19, en donde solicitar que el cliente de autentificación cambie su contraseña comprende enviar un mensaje de cambio de contraseña de servidor especifico de vendedor EAP-SRP y en donde recibir del cliente de autentificación un nuevo verificador de contraseña comprende recibir del cliente de autentificación un nuevo verificador de contraseña comprende recibir un mensaje de respuesta de cambio de contraseña especifico de vendedor EAP-SRP.
22. El método de la reivindicación 19, en donde la nueva sal es igual a la antigua sal y en donde hacer accesible para el cliente de autentificación la nueva sal comprende compartir la nueva sal con el cliente de autentificación antes de solicitar que el cliente de autentificación cambie su contraseña.
23. El método de la reivindicación 19, en donde la nueva sal no es igual que la antigua sal y en donde hacer accesible la nueva sal al cliente de autentificación comprende usar, por el servidor de autentificación, una técnica seleccionada del grupo que consiste en: enviar un mensaje al cliente de autentificación que contiene la nueva sal; anunciar la nueva sal en un lugar accesible al servidor de autentificación y al cliente de autentificación; y compartir la nueva sal con el cliente de autentificación antes de solicitar que el cliente de autentificación cambie su contraseña.
24. El método de la reivindicación 23, en donde hacer accesible una nueva sal para el cliente de autentificación además comprende: que el servidor de autentificación compute un primer código de autentificación de mensajes cubriendo la nueva sal, basado el código de autentificación de mensajes en una clave de autentificación de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; que el servidor de autentificación haga accesible para el cliente de autentificación el código de autentificación de mensajes.
25. El método de la reivindicación 19 en donde recibir del cliente de autentificación una nueva contraseña comprende : recibir del cliente de autentificación un nuevo verificador de contraseña codificado crípticamente; y descodificar crípticamente el nuevo verificador de contraseña usando una clave de codificación críptica de servidor de autentificación a cliente de autentificación derivada durante la autentificación del cliente de autentificación .
26. El método de la reivindicación 25 en donde recibir del cliente de autentificación un nuevo verificador de contraseña además comprende: recibir del cliente de autentificación un código de autentificación de mensajes; y calcular un código de autentificación de mensajes cubriendo el nuevo verificador de contraseña codificado crípticamente, el código de autentificación de mensajes basado en una clave de autentificación de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; y en donde almacenar el nombre de usuario, el nuevo verificador de contraseña, y la nueva sal se realiza solamente si la clave de autentificación de mensajes coincide con la clave de autentificación de mensajes.
27. El método de la reivindicación 19 que además comprende : asociar un cronómetro con la solicitud de que el cliente de autentificación cambie su contraseña; y si después de la expiración del cronómetro no se recibe un nuevo verificador de contraseña del cliente de autentificación, entonces repetir la solicitud de que el cliente de autentificación cambie su contraseña.
28. El método de la reivindicación 19 que además comprende : autentificar el cliente de autentificación al servidor de autentificación por segunda vez, basada la segunda autentificación en la nueva contraseña conocida por el cliente de autentificación en el nuevo verificador de contraseña conocido por el servidor de autentificación y en el nombre de usuario, el antiguo módulo primo, el antiguo generador del antiguo módulo primo, y la nueva sal conocidos tanto por el cliente de autentificación como por el servidor de autentificación .
29. El método de la reivindicación 19 que además comprende : hacer accesible para el cliente de autentificación un nuevo módulo primo y un nuevo generador del nuevo módulo primo .
30. El método de la reivindicación 29 en donde hacer accesible para el cliente de autentificación un nuevo módulo primo y un nuevo generador del nuevo módulo primo comprende : calcular un código de autentificación de mensajes cubriendo la nueva sal, el nuevo módulo primo, y el nuevo generador, basado el código de autentificación de mensajes en una clave de autentificación de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; y hacer accesible para el cliente de autentificación el código de autentificación de mensajes.
31. El método de la reivindicación 29 que además comprende : autentificar el cliente de autentificación al servidor de autentificación por segunda vez, basada la segunda autentificación en la nueva contraseña conocida por el cliente de autentificación en el nuevo verificador de contraseña conocido por el servidor de autentificación, y en el nombre de usuario, el nuevo módulo primo, el nuevo generador del nuevo módulo primo, y la nueva sal conocida tanto por el cliente de autentificación como por el servidor de autentificación .
32. Un medio legible por computadora que contiene instrucciones para realizar un método para que un servidor de autentificación haga que un cliente de autentificación implemente una nueva contraseña, habiendo sido autentificado el cliente de autentificación a un servidor de autentificación, basándose la autentificación del cliente de autentificación en una antigua contraseña conocida por el cliente de autentificación, en un antiguo verificador de contraseña conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, un antiguo generador del antiguo módulo primo, y una antigua sal conocida tanto por el cliente de autentificación como por el servidor de autentificación, comprendiendo el método: solicitar que el cliente de autentificación cambie su contraseña; hacer accesible una nueva sal al cliente de autentificación; recibir del cliente de autentificación un nuevo verificador de contraseña; y almacenar el nombre de usuario, el nuevo verificador de contraseña, y la nueva sal.
33. En un ambiente de computación con un cliente de autentificación y un servidor de autentificación, habiendo sido autentificado el cliente de autentificación al servidor de autentificación, basándose la autentificación del cliente de autentificación en una antigua contraseña conocida por el cliente de autentificación, en un antiguo verificador de contraseña conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, un antiguo generador del antiguo módulo primo, y una antigua sal conocida tanto por el cliente de autentificación como por el servidor de autentificación, un método para que el servidor de autentificación haga que el cliente de autentificación implemente una nueva contraseña, comprendiendo el método: recibir del servidor de autentificación una solicitud de que el cliente de autentificación cambie su contraseña; recibir del servidor de autentificación una nueva sal; solicitar y recibir una nueva contraseña de un usuario del cliente de autentificación; calcular un nuevo verificador de contraseña, pasando como entradas al cómputo la nueva sal y el nombre de usuario; hacer accesible al servidor de autentificación el nuevo verificador de contraseña.
34. El método de la reivindicación 33 en donde recibir una solicitud de que el cliente de autentificación cambie su contraseña comprende recibir un mensaje de Cambio de contraseña de Servidor EAP-SRP y en donde hacer accesible al servidor de autentificación el nuevo verificador de contraseña comprende enviar un mensaje de Cambio de contraseña de cliente EAP-SRP.
35. El método de la reivindicación 33 en donde recibir una solicitud de que el cliente de autentificación cambie su contraseña comprende recibir un mensaje de solicitud de cambio de contraseña especifico de vendedor EAP-SRP y en donde hacer accesible al servidor de autentificación el nuevo verificador de contraseña comprende enviar un mensaje de respuesta de cambio de contraseña especifico de vendedor EAP-SRP.
36. El método de la reivindicación 33 en donde la nueva sal es igual que la antigua sal y en donde recibir del servidor de autentificación la nueva sal comprende compartir la nueva sal con el servidor de autentificación antes de recibir la solicitud de que el cliente de autentificación cambie su contraseña.
37. El método de la reivindicación 33 en donde la nueva sal no es igual a la antigua sal y en donde recibir del servidor de autentificación la nueva sal comprende usar una técnica seleccionada entre el grupo que consiste en: recibir un mensaje del servidor de autentificación que contiene la nueva sal, accesar la nueva sal en un lugar accesible al servidor de autentificación y al cliente de autentificación, y compartir la nueva sal con el servidor de autentificación antes de recibir la solicitud de que el cliente de autentificación cambie su contraseña.
38. El método de la reivindicación 37 en donde recibir del servidor de autentificación una nueva sal además comprende : recibir del servidor de autentificación un código de autentificación de mensajes; calcular un código de autentificación de mensajes que cubre la nueva sal, basado el código de autentificación de mensajes en una clave de autentificación de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; y en donde calcular y hacer accesible al servidor de autentificación el nuevo verificador de contraseña se realiza solamente si la clave de autentificación de mensajes coincide con la clave de autentificación de mensajes computada .
39. El método de la reivindicación 33 que además comprende pasar tantas otras entradas a la computación del antiguo módulo primo y el antiguo generador del antiguo módulo primo .
40. El método de la reivindicación 39 en donde calcular un nuevo verificador de contraseña comprende: asignar a un primer valor intermedio los resultados de ejecutar una función hash, las entradas a la función hash comprenden el nombre de usuario y la nueva contraseña; asignar a un segundo valor intermedio los resultados de ejecutar una función hash, las entradas a la función hash comprenden la nueva sal y el primer valor intermedio; asignar a un tercer valor intermedio el antiguo generador elevado a una potencia del segundo valor intermedio; y asignar el nuevo verificador de contraseña el tercer valor intermedio módulo el antiguo módulo primo.
41. El método de la reivindicación 33 en donde hacer accesible al servidor de autentificación el nuevo verificador de contraseña comprende: codificar crípticamente el nuevo verificador de contraseña usando una clave de codificación críptica derivada durante la autentificación del cliente de autentificación; y hacer accesible al servidor de autentificación la nueva contraseña codificada crípticamente.
42. El método de la reivindicación 41 en donde hace accesible al servidor de autentificación el nuevo verificador de contraseña además comprende: calcular un código de autentificación de mensajes que cubre el nuevo verificador de contraseña codificado crípticamente, el código de autentificación de mensajes basado en una clave de autentificación de servidor de autentificación a cliente de autentificación derivada durante la autentificación del cliente de autentificación; y hacer accesible el código de autentificación de mensajes al servidor de autentificación .
43. El método de la reivindicación 33 que además comprende : autentificar el cliente de autentificación al servidor de autentificación por segunda vez, la segunda autentificación basada en la nueva contraseña conocida para el cliente de autentificación, en el nuevo verificador de contraseña conocido para el servidor de autentificación, y en el nombre de usuario, el antiguo módulo primo, el antiguo generador del antiguo módulo primo, y la nueva sal conocida tanto para el cliente de autentificación como para el servidor de autentificación .
44. El método de la reivindicación 33 que además comprende : recibir del servidor de autentificación un nuevo módulo primo y un nuevo generador del nuevo módulo primo .
45. El método de la reivindicación 44 en donde recibir del servidor de autentificación una nueva sal, un nuevo módulo primo, y un nuevo generador del nuevo módulo primo comprende : recibir del servidor de autentificación un código de autentificación de mensajes; y calcular un código de autentificación de mensajes cubriendo la nueva sal, el nuevo módulo primo, y el nuevo generador, basado el código de autentificación de mensajes en una clave de cliente de autentificación a servidor de autentificación derivada durante la autentificación del cliente de autentificación; y en donde calcular y hace3r accesible al servidor de autentificación el nuevo verificador de contraseña se realizan solamente si el código de autentificación de mensajes coincide con el código de autentificación de mensaj es .
46. El método de la reivindicación 44 además comprende pasar como otras entradas a la computación, el nuevo módulo primo y el nuevo generador.
47. El método de la reivindicación 46 en donde calcular un nuevo verificador de contraseña comprende: asignar a un primer valor intermedio los resultados de ejecutar una función hash, las entradas a la función hash comprenden el nombre de usuario y la nueva contraseña; asignar a un segundo valor intermedio los resultados de ejecutar una función hash, las entradas a la función hash comprenden la nueva sal y el primer valor intermedio; asignar a un tercer valor intermedio el nuevo generador elevado a una potencia del segundo valor intermedio; y asignar el nuevo verificador de contraseña el tercer valor intermedio módulo el nuevo módulo primo.
48. El método de la reivindicación 44 que además comprende : autentificar el cliente de autentificación al servidor de autentificación por segunda vez, la segunda autentificación asada en una nueva contraseña conocida por el cliente de autentificación, en el nuevo verificador de contraseña conocido al servidor de autentificación, y en el nombre de usuario, el nuevo módulo primo, nuevo generador del nuevo módulo primo, y la nueva sal conocida tanto por el cliente de autentificación como por el servidor de autentificación .
49. Un medio legible por computadora que contiene instrucciones para realizar un método para que un cliente de autentificación implemente una nueva contraseñan, habiendo sido el cliente de autentificación autenticado al servidor de autentificación, la autentificación del cliente de autentificación basada en una antigua contraseña conocida por el cliente de autentificación, en un antiguo verificador de contraseña conocido por el servidor de autentificación, y en un nombre de usuario, un antiguo módulo primo, el antiguo generador del antiguo módulo primo, y la antigua sal conocida tanto por el cliente de autentificación como por el servidor de autentificación, comprendiendo el método: recibir del servidor de autentificación una solicitud de que el cliente de autentificación cambie su contraseña; recibir del servidor de autentificación una nueva sal; solicitar y recibir una nueva contraseña de un usuario del cliente de autentificación; calcular un nuevo verificador de contraseña, pasar como entradas a la computación la nueva sal y el nombre de usuario; y hacer accesible al servidor de autentificación el nuevo verificador de contraseña.
50. Un medio legible por computadora habiendo almacenado en el mismo una estructura de datos de solicitud de cambio de contraseña, comprendiendo la estructura de datos de solicitud de cambio de contraseña: un primer campo de datos que contiene datos que representan u a sal; un segundo campo de datos que contiene datos que representan un módulo primo; un tercer campo de datos que contiene datos que representan un generador del módulo primo; un cuarto campo de datos que contiene datos que representan un código de autentificación de mensajes cubriendo la sal, el módulo primo y al generador.
51. La estructura de datos de solicitud de cambio de contraseña de la reivindicación 50 en donde la sal, el módulo primo, el generador y el código de autentificación de mensajes se formatean como porciones de un mensaje seleccionado entre el grupo que consiste en: un mensaje de cambio de contraseña de servidor EAP_SRP y un mensaje de solicitud de cambio de contraseña especifico de vendedor ???-SRP.
52. Un medio legible por computadora que ha almacenado en el mismo una estructura de datos de respuesta al cambio de contraseña, la estructura de datos de respuesta al cambio de contraseña comprende: un primer campo de datos que contiene datos que representan un verificador de contraseña; y un segundo campo de datos que contiene datos que representan un código de autentificación cubriendo el verificador de contraseña.
53. La estructura de datos de respuesta al cambio de contraseña de la reivindicación 52 en donde el verificador de contraseña y el código de autentificación de mensajes se formatean como porciones de un mensaje seleccionado entre el grupo que consiste en: un mensaje de cambio de contraseña de cliente EAP-SRP y un mensaje de respuesta de cambio de contraseña especifico de vendedor EAP-SRP.
MXPA03003710A 2002-04-30 2003-04-25 Metodos para cambiar a distancia una contrasena de comunicaciones. MXPA03003710A (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/135,043 US20030204724A1 (en) 2002-04-30 2002-04-30 Methods for remotely changing a communications password

Publications (1)

Publication Number Publication Date
MXPA03003710A true MXPA03003710A (es) 2005-04-11

Family

ID=22466241

Family Applications (1)

Application Number Title Priority Date Filing Date
MXPA03003710A MXPA03003710A (es) 2002-04-30 2003-04-25 Metodos para cambiar a distancia una contrasena de comunicaciones.

Country Status (19)

Country Link
US (1) US20030204724A1 (es)
EP (1) EP1359491B1 (es)
JP (1) JP2004030611A (es)
KR (1) KR100979576B1 (es)
CN (1) CN100388244C (es)
AT (1) ATE310272T1 (es)
AU (1) AU2003203712B2 (es)
BR (1) BR0301154A (es)
CA (1) CA2424833A1 (es)
DE (1) DE60302276T2 (es)
ES (1) ES2250771T3 (es)
HK (1) HK1062052A1 (es)
MX (1) MXPA03003710A (es)
MY (1) MY130400A (es)
NO (1) NO20031913L (es)
PL (1) PL359840A1 (es)
RU (1) RU2307391C2 (es)
TW (1) TWI288552B (es)
ZA (1) ZA200302773B (es)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7386877B2 (en) * 2002-07-12 2008-06-10 Sun Microsystems, Inc. Specifying a repository for an authentication token in a distributed computing system
US8261062B2 (en) 2003-03-27 2012-09-04 Microsoft Corporation Non-cryptographic addressing
US7154378B1 (en) 2003-09-11 2006-12-26 Stryker Corporation Apparatus and method for using RFID to track use of a component within a device
US7976461B2 (en) * 2004-02-12 2011-07-12 Stryker Corporation Endoscopy device with integrated RFID and external network capability
US7734929B2 (en) * 2004-04-30 2010-06-08 Hewlett-Packard Development Company, L.P. Authorization method
US7929689B2 (en) * 2004-06-30 2011-04-19 Microsoft Corporation Call signs
US7941671B2 (en) * 2004-10-14 2011-05-10 Oracle International Corporation Method and apparatus for accommodating multiple verifier types with limited storage space
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7698555B2 (en) * 2005-08-29 2010-04-13 Schweitzer Engineering Laboratories, Inc. System and method for enabling secure access to a program of a headless server device
US20070220134A1 (en) * 2006-03-15 2007-09-20 Microsoft Corporation Endpoint Verification Using Call Signs
US8086842B2 (en) 2006-04-21 2011-12-27 Microsoft Corporation Peer-to-peer contact exchange
KR100877593B1 (ko) * 2006-05-09 2009-01-07 (주)씽크에이티 랜덤하게 맵핑되는 가변 패스워드에 의한 인증 보안 방법
US7874011B2 (en) * 2006-12-01 2011-01-18 International Business Machines Corporation Authenticating user identity when resetting passwords
US8433905B2 (en) * 2007-03-30 2013-04-30 Nec Corporation User authentication device for authentication between server and device based on bandwidth and effective period
US20080288781A1 (en) * 2007-05-18 2008-11-20 Richard Lee Lawson Systems and methods for secure password change
US8233615B2 (en) * 2008-01-15 2012-07-31 Inside Secure Modular reduction using a special form of the modulus
US7522723B1 (en) * 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
CN101741823B (zh) * 2008-11-12 2013-01-16 北京大学 一种交叉验证的安全通讯方法及系统
KR101094577B1 (ko) * 2009-02-27 2011-12-19 주식회사 케이티 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말
CN102958100B (zh) * 2011-08-25 2015-09-09 华为终端有限公司 无线局域网连接的实现方法及装置
CN103095659B (zh) * 2011-11-03 2016-01-20 北京神州泰岳软件股份有限公司 一种互联网中账户登录方法和系统
US8667284B2 (en) * 2012-01-13 2014-03-04 Microsoft Corporation Detection of invalid escrow keys
EP3019992B1 (en) * 2013-07-08 2020-04-29 Assa Abloy AB One-time-password generated on reader device using key read from personal security device
US9122888B2 (en) 2013-07-22 2015-09-01 Dell Products, Lp System and method to create resilient site master-key for automated access
US9077710B1 (en) * 2013-12-18 2015-07-07 Sabaki Corporation Distributed storage of password data
CN104065653B (zh) * 2014-06-09 2015-08-19 北京石盾科技有限公司 一种交互式身份验证方法、装置、系统和相关设备
CN104915592B (zh) * 2015-05-28 2017-03-08 东莞盛世科技电子实业有限公司 密码设定方法及其设备
US9697351B1 (en) * 2015-06-29 2017-07-04 EMC IP Holding Company LLC Providing a high security password from an initial character string of lowercase letter and numbers, and inclusion of one or more other characters
CN104994115B (zh) * 2015-08-06 2018-02-13 上海斐讯数据通信技术有限公司 一种登录认证方法及系统
DE102019001731A1 (de) * 2019-03-12 2020-09-17 data-team Datendienste GmbH Autorisierungsverfahren mittels Einmalpasswörtern
CN112115437B (zh) * 2020-09-04 2023-12-29 上海上讯信息技术股份有限公司 通过Linux设备远程修改Windows设备密码的方法与设备
CN114978704B (zh) * 2022-05-24 2023-07-04 北京天融信网络安全技术有限公司 基于服务器的密码修改方法及服务器

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
US5440635A (en) * 1993-08-23 1995-08-08 At&T Corp. Cryptographic protocol for remote authentication
JP2828218B2 (ja) * 1993-09-20 1998-11-25 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 分散通信ネットワークにおける許可パスワードまたはキーの変更方法およびシステム
JP2596361B2 (ja) * 1993-12-24 1997-04-02 日本電気株式会社 パスワード更新方式
NL9401233A (nl) 1994-03-25 1995-11-01 Tno Werkwijze voor membraangasabsorptie.
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
US5953420A (en) * 1996-10-25 1999-09-14 International Business Machines Corporation Method and apparatus for establishing an authenticated shared secret value between a pair of users
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
US6064736A (en) * 1997-09-15 2000-05-16 International Business Machines Corporation Systems, methods and computer program products that use an encrypted session for additional password verification
FI974341A (fi) * 1997-11-26 1999-05-27 Nokia Telecommunications Oy Datayhteyksien tietosuoja
JP3430896B2 (ja) * 1998-01-13 2003-07-28 日本電気株式会社 パスワード更新装置及び記録媒体
US6230269B1 (en) * 1998-03-04 2001-05-08 Microsoft Corporation Distributed authentication system and method
KR100506076B1 (ko) * 2000-03-23 2005-08-04 삼성전자주식회사 패스워드를 기반으로 한 상호 인증 및 키 교환방법과 그장치
US6976164B1 (en) * 2000-07-19 2005-12-13 International Business Machines Corporation Technique for handling subsequent user identification and password requests with identity change within a certificate-based host session

Also Published As

Publication number Publication date
KR100979576B1 (ko) 2010-09-01
DE60302276D1 (de) 2005-12-22
CA2424833A1 (en) 2003-10-30
HK1062052A1 (en) 2004-10-15
TW200402981A (en) 2004-02-16
ZA200302773B (en) 2003-10-14
BR0301154A (pt) 2004-08-17
NO20031913L (no) 2003-10-31
RU2307391C2 (ru) 2007-09-27
JP2004030611A (ja) 2004-01-29
TWI288552B (en) 2007-10-11
EP1359491A8 (en) 2004-07-21
AU2003203712A1 (en) 2003-11-20
PL359840A1 (en) 2003-11-03
US20030204724A1 (en) 2003-10-30
AU2003203712B2 (en) 2008-06-05
DE60302276T2 (de) 2006-06-08
EP1359491A1 (en) 2003-11-05
NO20031913D0 (no) 2003-04-29
ES2250771T3 (es) 2006-04-16
ATE310272T1 (de) 2005-12-15
CN1455341A (zh) 2003-11-12
EP1359491B1 (en) 2005-11-16
MY130400A (en) 2007-06-29
CN100388244C (zh) 2008-05-14
KR20030085512A (ko) 2003-11-05

Similar Documents

Publication Publication Date Title
AU2003203712B2 (en) Methods for remotely changing a communications password
US8132020B2 (en) System and method for user authentication with exposed and hidden keys
US8209744B2 (en) Mobile device assisted secure computer network communication
US7840993B2 (en) Protecting one-time-passwords against man-in-the-middle attacks
US8332921B2 (en) Enhanced security for user instructions
US11336641B2 (en) Security enhanced technique of authentication protocol based on trusted execution environment
US20090240936A1 (en) System and method for storing client-side certificate credentials
Kaur et al. A Secure Two‐Factor Authentication Framework in Cloud Computing
CN114157451B (zh) 物联网设备身份认证方法、装置、系统及存储介质
WO2015158228A1 (zh) 一种服务器、用户设备以及用户设备与服务器的交互方法
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
CN114070568A (zh) 数据处理方法、装置、电子设备和存储介质
CN115473655A (zh) 接入网络的终端认证方法、装置及存储介质
Eldow et al. Literature review of authentication layer for public cloud computing: a meta-analysis
KR100381710B1 (ko) 회원제 운용 인터넷 서버의 보안 방법 및 그에 관한 서버시스템
Alsaadi et al. MobiX: A software proposal based authentication service for mobile devices
Vaidya et al. HOTP-based user authentication scheme in home networks

Legal Events

Date Code Title Description
FG Grant or registration