BR102015031254B1 - METHOD FOR AUTHENTICATING A USER, CORRESPONDING SERVER AND COMMUNICATIONS TERMINAL - Google Patents

METHOD FOR AUTHENTICATING A USER, CORRESPONDING SERVER AND COMMUNICATIONS TERMINAL Download PDF

Info

Publication number
BR102015031254B1
BR102015031254B1 BR102015031254-7A BR102015031254A BR102015031254B1 BR 102015031254 B1 BR102015031254 B1 BR 102015031254B1 BR 102015031254 A BR102015031254 A BR 102015031254A BR 102015031254 B1 BR102015031254 B1 BR 102015031254B1
Authority
BR
Brazil
Prior art keywords
user
tcp
terminal
authentication
data component
Prior art date
Application number
BR102015031254-7A
Other languages
Portuguese (pt)
Other versions
BR102015031254A2 (en
Inventor
David Naccache
Original Assignee
Banks And Acquirers International Holding
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR1462382A external-priority patent/FR3030083B1/en
Application filed by Banks And Acquirers International Holding filed Critical Banks And Acquirers International Holding
Publication of BR102015031254A2 publication Critical patent/BR102015031254A2/en
Publication of BR102015031254B1 publication Critical patent/BR102015031254B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W4/008

Abstract

MÉTODO PARA AUTENTICAR UM USUÁRIO, SERVIDOR CORRESPONDENTE, TERMINAL DE COMUNICAÇÕES E PROGRAMAS. A presente invenção se refere a um método para autenticar um terminal de comunicações (TCP#2) que pertence a um usuário com um servidor de autenticação (ServA) conectado a um terminal de gateway (TCP#1) por meio de uma rede de comunicações. De acordo com a invenção, tal método compreende: obter um componente de dados que representa uma identidade do usuário do dito terminal de gateway (TCP#1); configurar, pelo dito servidor de autenticação (ServA), um link de transmissão de dados entre o dito servidor de autenticação (ServA) e o dito terminal de comunicações do usuário (TCP#2), por meio de uma interface de transmissão de dados predefinida do dito terminal de gateway (TCP#1) e como uma função do dito componente de dados que representa uma identidade do usuário; transmitir, pelo servidor de autenticação (ServA), para o terminal de comunicações do usuário (TCP#2), um componente de dados criptografados para verificar a autenticação, por meio do link de transmissão de dados; receber, pelo usuário de autenticação (ServA), proveniente do terminal de comunicações do usuário (TCP#2), um componente de dados criptografados para a segunda verificação de autenticação; emitir uma declaração de autenticação do usuário (...).METHOD FOR AUTHENTICATING A USER, CORRESPONDING SERVER, COMMUNICATIONS TERMINAL AND PROGRAMS. The present invention relates to a method for authenticating a communications terminal (TCP#2) belonging to a user with an authentication server (ServA) connected to a gateway terminal (TCP#1) via a communications network. . According to the invention, such method comprises: obtaining a data component representing a user identity of said gateway terminal (TCP#1); configure, by said authentication server (ServA), a data transmission link between said authentication server (ServA) and said user communications terminal (TCP#2), through a predefined data transmission interface of said gateway terminal (TCP#1) and as a function of said data component representing a user identity; transmitting, by the authentication server (ServA), to the user's communications terminal (TCP#2), an encrypted data component to verify authentication, via the data transmission link; receiving, by the authentication user (ServA), from the user's communications terminal (TCP#2), an encrypted data component for the second authentication check; issue a user authentication statement (...).

Description

CAMPO DA INVENÇÃOFIELD OF INVENTION

[0001] A presente invenção refere-se ao campo da autenticação de usuários. Mais particularmente, a invenção se refere ao campo da autenticação de usuários em relação aos serviços tais como serviços para acesso a informações confidenciais ou serviços de pagamento.[0001] The present invention relates to the field of user authentication. More particularly, the invention relates to the field of user authentication in relation to services such as services for accessing confidential information or payment services.

TÉCNICA ANTERIORPREVIOUS TECHNIQUE

[0002] A autenticação de usuários em relação a serviços e, mais particularmente, serviços online é uma fonte de problemas. Como regra, a autenticação de um usuário exige, por um lado, a inserção de um identificador do tipo login pelo qual a identidade de usuário é comunicada e a inserção de uma senha (ou um código de identificação pessoal) para garantir que a pessoa é realmente aquela que afirma ser. Na verdade, tais sistemas garantem apenas um aspecto: que a pessoa que se identifica com um identificador (que não é necessariamente da mesma) também tem a senha que corresponde a esse identificador. Em nenhum momento, com esses sistemas, fica certo que o usuário é verdadeiramente aquele que afirma ser.[0002] Authentication of users in relation to services and, more particularly, online services is a source of problems. As a rule, authentication of a user requires, on the one hand, the insertion of a login-type identifier by which the user identity is communicated and the insertion of a password (or a personal identification code) to ensure that the person is really what it claims to be. In fact, such systems guarantee only one aspect: that the person who identifies himself with an identifier (which is not necessarily the same person) also has the password that corresponds to that identifier. At no point, with these systems, is it certain that the user is truly who they claim to be.

[0003] Ainda, além de um identificador, o usuário deve frequentemente se lembrar de uma senha e isso é um problema. Aliás, para evitar ter muitas senhas, muitos usam a mesma senha para todos os serviços (serviços de e-mail eletrônico, serviços para armazenar arquivos em um espaço de armazenamento comum, acesso a contas bancárias, etc.). Outros usuários, os quais são ainda menos prudentes, usam senhas extremamente simples, tais como “qwerty” ou “senha”. Nesse exemplo, é óbvio que tal senha é praticamente inútil.[0003] Furthermore, in addition to an identifier, the user must often remember a password and this is a problem. In fact, to avoid having too many passwords, many people use the same password for all services (electronic email services, services for storing files in a common storage space, access to bank accounts, etc.). Other users, who are even less prudent, use extremely simple passwords, such as “qwerty” or “password”. In this example, it is obvious that such a password is practically useless.

[0004] Paradoxalmente, os usuários querem dispositivos de autenticação que funcionem bem, pois os mesmos não querem que os serviços de mensagens eletrônicas dos mesmos ou as contas bancárias dos mesmos sejam invadidos. Contudo, visto que um usuário é ou resistente ou conhece pouco sobre os problemas de furto de identidade e problemas com hackers, o mesmo é geralmente o elo fraco em um sistema de autenticação.[0004] Paradoxically, users want authentication devices that work well, as they do not want their electronic messaging services or their bank accounts to be hacked. However, since a user is either resistant to or knows little about the issues of identity theft and hacking issues, they are often the weak link in an authentication system.

[0005] Muitas técnicas têm sido propostas para superar os problemas de autenticação e benefício do usuário na autenticação. Essas incluem especialmente o uso de smartcards, em certos exemplos, ou o uso de tokens (dispositivos físicos que permitem a geração de senhas aleatórias). Contudo, apesar desses sistemas funcionarem bem do ponto de vista da força da autenticação, os mesmos são, no entanto, não favoráveis ao usuário: o usuário sempre precisa inserir um identificador e/ou uma senha e na maioria dos casos o mesmo precisa inserir ambas as informações.[0005] Many techniques have been proposed to overcome the problems of authentication and user benefit in authentication. These especially include the use of smartcards, in certain examples, or the use of tokens (physical devices that allow the generation of random passwords). However, although these systems work well from the point of view of authentication strength, they are, however, not user-friendly: the user always needs to enter an identifier and/or a password and in most cases they need to enter both. The informations.

[0006] Há sistemas usados para inserir apenas uma senha existente: a inserção do identificador é feita de outras maneiras. O sistema mais bem conhecido é o de cookie, um pequeno arquivo de texto gravado por um navegador da web quando o servidor da web solicita o mesmo: nesse sistema, o usuário insere o identificador do mesmo apenas uma vez (durante a primeira conexão ao serviço). Depois disso, durante as conexões subsequentes ao serviço, apenas a senha deve ser inserida. Outros sistemas existentes permitem a inserção de apenas uma senha: esses são, por exemplo, sistemas baseado no uso de smartcards ou terminais de comunicação (que compreendem dados de identificação) que tornam possível a realização sem a inserção de um identificador. Tais sistemas, no entanto, exigem a inserção de uma senha. Além disso, isso é preferível, pois não está reassegurando a permissão ao dispositivo, mesmo que esteja seguro, para autenticar completamente um usuário.[0006] There are systems used to enter only an existing password: the identifier is entered in other ways. The best-known system is the cookie, a small text file recorded by a web browser when the web server requests it: in this system, the user enters its identifier only once (during the first connection to the service ). After that, during subsequent connections to the service, only the password must be entered. Other existing systems allow the insertion of just one password: these are, for example, systems based on the use of smartcards or communication terminals (which comprise identification data) that make it possible to do so without inserting an identifier. Such systems, however, require the entry of a password. Additionally, this is preferable as it is not reassuring permission for the device, even if it is secure, to fully authenticate a user.

[0007] O fato é que os problemas e questões em geral relacionados à autenticação geram um problema considerável de favorecimento do usuário que impede a segurança do sistema.[0007] The fact is that problems and issues in general related to authentication generate a considerable problem of favoring the user that impedes the security of the system.

SUMÁRIO DA INVENÇÃOSUMMARY OF THE INVENTION

[0008] A técnica proposta não gera esses problemas da técnica anterior. Mais particularmente, a revelação se refere a um método para autenticar um terminal de comunicações que pertence a um usuário com um servidor de autenticação conectado a um terminal de gateway por meio de uma rede de comunicações. Tal método compreende, dentro do servidor de autenticação: - uma etapa de obter um componente de dados que representa uma identidade do usuário do dito terminal de gateway; - uma etapa de configurar, pelo dito servidor de autenticação, um link de transmissão de dados entre o dito servidor de autenticação e o dito terminal de comunicações do usuário por meio de uma interface de transmissão de dados predefinida do dito terminal de gateway e como uma função do dito componente de dados que representa uma identidade do usuário; - uma etapa de transmitir, pelo servidor de autenticação para o terminal de comunicações do usuário, um componente de dados criptografados para verificar a autenticação, por meio do link de transmissão de dados; - uma etapa de receber, pelo servidor de autenticação, proveniente do terminal de comunicações do usuário, um componente de dados criptografados para a segunda verificação de autenticação; - uma etapa de emitir uma declaração de autenticação do usuário quando o componente de dados para a segunda verificação de autenticação corresponde ao dito componente de dados para verificar a autenticação.[0008] The proposed technique does not generate these problems of the previous technique. More particularly, the disclosure relates to a method for authenticating a communications terminal belonging to a user with an authentication server connected to a gateway terminal via a communications network. Such a method comprises, within the authentication server: - a step of obtaining a data component representing a user identity of said gateway terminal; - a step of configuring, by said authentication server, a data transmission link between said authentication server and said user communications terminal via a predefined data transmission interface of said gateway terminal and as a function of said data component representing a user identity; - a step of transmitting, by the authentication server to the user's communications terminal, an encrypted data component to verify authentication, via the data transmission link; - a step of receiving, by the authentication server, from the user's communications terminal, an encrypted data component for the second authentication check; - a step of issuing a user authentication statement when the data component for the second authentication check matches said data component for verifying authentication.

[0009] De acordo com uma característica particular, a interface de transmissão de dados predefinida do dito terminal de gateway é uma interface Bluetooth e o link de transmissão de dados entre o servidor de autenticação e o terminal de comunicações do usuário é um link Bluetooth virtual.[0009] According to a particular feature, the predefined data transmission interface of said gateway terminal is a Bluetooth interface and the data transmission link between the authentication server and the user communications terminal is a virtual Bluetooth link .

[0010] De acordo com uma característica particular, antes da etapa de obter um componente de dados que representa uma identidade do usuário, o dito método compreende: - uma etapa de receber uma solicitação de conexão do dito terminal de gateway ou de um servidor conectado ao dito servidor de autenticação e - uma etapa de transmitir, ao dito terminal de gateway, uma solicitação para identificação como uma função da dita solicitação de conexão.[0010] According to a particular feature, before the step of obtaining a data component representing a user identity, said method comprises: - a step of receiving a connection request from said gateway terminal or a connected server to said authentication server and - a step of transmitting, to said gateway terminal, a request for identification as a function of said connection request.

[0011] De acordo com uma característica particular, a etapa de configurar pelo dito servidor de autenticação um link de transmissão de dados entre o dito servidor de autenticação e o dito terminal de comunicações do usuário compreende: - uma etapa de obter pelo menos um componente de dados que representa pelo menos um parâmetro de conexão para o terminal de comunicações, por meio do dito componente de dados que representa a dita identidade do usuário; - uma etapa de transmitir do dito pelo menos um componente de dados que representa um parâmetro de conexão ao dito terminal de gateway.[0011] According to a particular feature, the step of configuring by said authentication server a data transmission link between said authentication server and said user communications terminal comprises: - a step of obtaining at least one component data component representing at least one connection parameter for the communications terminal, by means of said data component representing said user identity; - a step of transmitting from said at least one data component representing a connection parameter to said gateway terminal.

[0012] De acordo com uma característica particular, o dito pelo menos um parâmetro de conexão compreende pelo menos um componente de dados necessário para a construção do link entre o terminal de comunicações do usuário e o terminal de gateway.[0012] According to a particular feature, said at least one connection parameter comprises at least one data component necessary for building the link between the user communications terminal and the gateway terminal.

[0013] De acordo com uma característica particular, o dito pelo menos um parâmetro de conexão compreende pelo menos um componente de dados que pertence ao grupo que compreende: - um endereço físico do terminal de comunicações do usuário; - um componente de dados do tipo código de emparelhamento; - um componente de dados do tipo senha.[0013] According to a particular characteristic, said at least one connection parameter comprises at least one data component belonging to the group comprising: - a physical address of the user's communications terminal; - a pairing code type data component; - a password type data component.

[0014] De acordo com outra modalidade, a técnica também se refere a um servidor para autenticar um terminal de comunicações que pertence a um usuário com um servidor de autenticação conectado a um terminal de gateway por meio de uma rede de comunicações. Tal servidor compreende: - um módulo configurado para obter um componente de dados, do dito terminal de gateway, que representa uma identidade do usuário; - um módulo configurado para configurar um link de transmissão de dados entre o dito servidor de autenticação e o dito terminal de comunicações do usuário por meio de uma interface de transmissão de dados predefinida do dito terminal de gateway e como uma função do dito componente de dados que representa uma identidade do usuário; - um módulo configurado para transmitir, para o terminal de comunicações do usuário, um componente de dados criptografados para verificar a autenticação por meio do link de transmissão de dados; - um módulo configurado para receber um componente de dados criptografados para a segunda verificação de autenticação do terminal de comunicações do usuário; - um módulo configurado para emitir uma declaração de autenticação do usuário quando o componente de dados para a segunda verificação de autenticação corresponde ao dito componente de dados para verificar a autenticação.[0014] According to another embodiment, the technique also relates to a server for authenticating a communications terminal belonging to a user with an authentication server connected to a gateway terminal via a communications network. Such a server comprises: - a module configured to obtain a data component, from said gateway terminal, representing a user identity; - a module configured to configure a data transmission link between said authentication server and said user communications terminal via a predefined data transmission interface of said gateway terminal and as a function of said data component that represents a user identity; - a module configured to transmit, to the user's communications terminal, an encrypted data component to verify authentication via the data transmission link; - a module configured to receive an encrypted data component for the second authentication check from the user's communications terminal; - a module configured to issue a user authentication statement when the data component for the second authentication check matches said data component for verifying authentication.

[0015] De acordo com outro aspecto, a técnica conforme proposta se refere também a um terminal intermediário e um terminal de comunicações do usuário. Cada um desses dois terminais compreende meios para implantar etapas do método relacionadas aos mesmos e especialmente meios para criar uma conexão sem fio a fim de configurar um link seguro entre o terminal de comunicações e o servidor de autenticação. Os métodos implantados descritos no presente documento abaixo são então complementares ao método de autenticação no nível do servidor de autenticação.[0015] According to another aspect, the technique as proposed also refers to an intermediate terminal and a user communications terminal. Each of these two terminals comprises means for implementing method steps related thereto and especially means for creating a wireless connection to configure a secure link between the communications terminal and the authentication server. The implemented methods described in this document below are then complementary to the authentication method at the authentication server level.

[0016] De acordo com uma implantação preferencial, as etapas diferentes do método de acordo com a invenção são implantadas por um ou mais programas de software ou programas de computador que compreendem instruções de software a serem executadas por um processador de dados de um módulo de relé de acordo com a invenção e são projetados para comandar a execução das diferentes etapas e métodos.[0016] According to a preferred implementation, the different steps of the method according to the invention are implemented by one or more software programs or computer programs comprising software instructions to be executed by a data processor of a data module. relay according to the invention and are designed to command the execution of the different steps and methods.

[0017] A técnica proposta é, portanto, direcionada também para fornecer um programa com capacidade de ser executado por um computador ou um processador de dados, sendo que esse programa compreende instruções para comandar a execução das etapas de um método conforme mencionado no presente documento acima.[0017] The proposed technique is, therefore, also directed towards providing a program capable of being executed by a computer or a data processor, such program comprising instructions to command the execution of the steps of a method as mentioned in this document above.

[0018] Esse programa pode usar qualquer linguagem de programação e pode ter a forma de um código de fonte, código de objeto ou código intermediário entre o código de fonte e o código de objeto, tal como em uma forma parcialmente compilada em qualquer outra forma desejável.[0018] Such a program may use any programming language and may be in the form of source code, object code, or intermediate code between the source code and the object code, such as in a form partially compiled into any other form desirable.

[0019] A invenção também se direciona a fornecer um portador de informações legível por um processador de dados e compreende instruções de um programa conforme mencionado no presente documento acima.[0019] The invention is also directed to providing an information carrier readable by a data processor and comprises instructions of a program as mentioned in the present document above.

[0020] O portador de informações pode ser qualquer entidade ou dispositivo com capacidade de armazenar o programa. Por exemplo, o portador pode compreender um meio de armazenamento tal como uma ROM, por exemplo, um CD ROM ou uma ROM com circuito microeletrônico ou um meio de gravação magnética, por exemplo um disquete ou um disco rígido.[0020] The information carrier can be any entity or device capable of storing the program. For example, the carrier may comprise a storage medium such as a ROM, for example a CD ROM or a ROM with microelectronic circuitry, or a magnetic recording medium, for example a floppy disk or a hard disk.

[0021] Novamente, o portador de informações pode ser um portador transmissível tal como um sinal elétrico ou óptico que pode ser transmitido através de um cabo elétrico ou óptico, por um rádio ou outros meios. O programa de acordo com a técnica proposta pode especialmente ser transferido por upload para uma rede do tipo Internet.[0021] Again, the information carrier can be a transmissible carrier such as an electrical or optical signal that can be transmitted through an electrical or optical cable, by a radio or other means. The program according to the proposed technique can especially be uploaded to an Internet-type network.

[0022] Como uma alternativa, o portador de informações pode ser um circuito integrado no qual o programa é incorporado, sendo que o circuito é adaptado para executar ou para ser usado na execução do método em questão.[0022] As an alternative, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in executing the method in question.

[0023] De acordo com uma modalidade, a técnica proposta é implantada por meio de componentes de software e/ou hardware. Com relação a isso, o termo “módulo” pode corresponder neste documento igualmente bem a um componente de software e a um componente de hardware ou a um conjunto de componentes de hardware e software.[0023] According to one embodiment, the proposed technique is implemented using software and/or hardware components. In this regard, the term “module” may correspond in this document equally well to a software component and a hardware component or a set of hardware and software components.

[0024] Um componente de software corresponde a um ou mais programas de computador, um ou mais subprogramas de um programa ou mais genericamente a qualquer elemento de um programa ou um componente de software com capacidade para implantar uma função ou um conjunto de funções conforme descrito no presente documento acima para o módulo referido. Tal componente de software é executado por um processador de dados de uma entidade física (terminal, servidor, gateway, roteador, etc.) e tem capacidade para avaliar os recursos de hardware dessa entidade física (memórias, mídia de gravação, barramento de comunicações, quadros eletrônicos de inserção/emissão, interfaces de usuário, etc.).[0024] A software component corresponds to one or more computer programs, one or more subprograms of a program or more generally to any element of a program or a software component capable of implementing a function or set of functions as described in this document above for the mentioned module. Such a software component is executed by a data processor of a physical entity (terminal, server, gateway, router, etc.) and has the ability to evaluate the hardware resources of that physical entity (memories, recording media, communications bus, electronic insertion/issuance boards, user interfaces, etc.).

[0025] Do mesmo modo, um componente de hardware corresponde a qualquer elemento de uma unidade de hardware com capacidade para implantar uma função ou um conjunto de funções conforme descrito no presente documento acima para o módulo referido. O mesmo pode ser um componente de hardware programável ou um componente com um processador integrado para a execução de software, por exemplo, um circuito integrado, um smartcard, um cartão de memória, um quadro de circuito eletrônico para a execução de firmware, etc.[0025] Likewise, a hardware component corresponds to any element of a hardware unit capable of implementing a function or set of functions as described in this document above for said module. It may be a programmable hardware component or a component with an integrated processor for executing software, for example, an integrated circuit, a smartcard, a memory card, an electronic circuit board for executing firmware, etc.

[0026] Cada componente do sistema descrito anteriormente implanta naturalmente os próprios módulos de software.[0026] Each component of the system described above naturally deploys its own software modules.

[0027] As diferentes modalidades mencionadas no presente documento acima podem ser combinadas entre si para implantar a técnica proposta.[0027] The different modalities mentioned in this document above can be combined with each other to implement the proposed technique.

FIGURASFIGURES

[0028] Outros recursos e vantagens da invenção aparecerão mais claramente a partir da seguinte descrição de uma modalidade preferencial dada com propósitos ilustrativos simples e exemplificativos não exaustivos e a partir dos desenhos anexos, em que: - A Figura 1 é um diagrama de blocos da técnica proposta a partir de um ponto de vista geral que traz para ação os terminais e o servidor de autenticação; - A Figura 2 descreve um servidor de autenticação de acordo com a técnica proposta; - A Figura 3 descreve um terminal de comunicações do usuário com capacidade para implantar a técnica proposta; - A Figura 4 descreve um terminal de gateway com capacidade para implantar a técnica proposta.[0028] Other features and advantages of the invention will appear more clearly from the following description of a preferred embodiment given for simple illustrative and non-exhaustive exemplary purposes and from the accompanying drawings, in which: - Figure 1 is a block diagram of the technique proposed from a general point of view that brings the terminals and the authentication server into action; - Figure 2 describes an authentication server according to the proposed technique; - Figure 3 describes a user communications terminal capable of implementing the proposed technique; - Figure 4 describes a gateway terminal capable of implementing the proposed technique.

DESCRIÇÃODESCRIPTION NOTA GERAL SOBRE O PRINCÍPIOGENERAL NOTE ON THE PRINCIPLE

[0029] Conforme explicado no presente documento acima, o princípio geral da técnica proposta se baseia no uso de um terminal de comunicações, o terminal do próprio usuário, para realizar uma operação de autenticação pelo uso de outro terminal. Mais particularmente, o princípio consiste em iniciar um emparelhamento entre um terminal de comunicações do usuário (por exemplo, um telefone) e um servidor de autenticação através de outro terminal de comunicações do usuário (por exemplo, um computador). De acordo com a técnica proposta, esse emparelhamento é realizado pelo uso do meio de comunicação adequado para um primeiro terminal de comunicações (por exemplo, um computador pessoal ou um computador do tipo tablet, um jogo eletrônico de console, etc.) chamado de um terminal de gateway de comunicações a partir do qual a autenticação é iniciada. Em outras palavras, uma parte do procedimento de autenticação (aquele que consiste, por exemplo, em inserir a senha para acessar um serviço) é implantada por um segundo terminal de comunicações do usuário pelo uso de um terceiro meio de comunicação que, por sua vez, estão disponíveis a partir de um primeiro terminal de comunicações chamado de terminal de gateway. O terminal de gateway conforme mencionado no presente documento não é um roteador, um ponto de acesso ou uma caixa de operador: esses aparelhos não podem permitir que o usuário se conecte a um serviço (por exemplo, um website de um negócio online, site de acesso restrito, etc.) e dados de conexão do tipo de inserção de identificador/senha. O terminal de gateway é o terminal a partir do qual o procedimento de autenticação é iniciado. O terminal de gateway é o iniciador do procedimento de autenticação.[0029] As explained in this document above, the general principle of the proposed technique is based on the use of a communications terminal, the user's own terminal, to perform an authentication operation through the use of another terminal. More particularly, the principle consists of initiating a pairing between a user communications terminal (e.g., a telephone) and an authentication server via another user communications terminal (e.g., a computer). According to the proposed technique, this pairing is accomplished by using the appropriate communication medium for a first communications terminal (e.g., a personal computer or a tablet-type computer, an electronic game console, etc.) called a communications gateway terminal from which authentication is initiated. In other words, a part of the authentication procedure (that which consists, for example, of entering the password to access a service) is implemented by a second user communications terminal through the use of a third means of communication which, in turn, , are available from a first communications terminal called the gateway terminal. The gateway terminal as mentioned in this document is not a router, an access point or an operator box: these devices cannot allow the user to connect to a service (e.g. an online business website, restricted access, etc.) and connection data of the identifier/password insertion type. The gateway endpoint is the endpoint from which the authentication procedure is initiated. The gateway terminal is the initiator of the authentication procedure.

[0030] Mais particularmente, em pelo menos uma modalidade da técnica proposta, uma interface de comunicação sem fio (Bluetooth, Wi-Fi) é implantada pelo segundo terminal de comunicações do usuário para se conectar ao servidor de autenticação pelo uso do terminal de gateway de comunicações. Desse modo, de certa maneira, uma operação de interface parasita. Adicionalmente, combinado com esse uso de uma interface do terminal de gateway de comunicações, a técnica proposta compreende adicionalmente a configuração de um link de transmissão de dados específico entre o servidor de autenticação e o segundo terminal de comunicações.[0030] More particularly, in at least one embodiment of the proposed technique, a wireless communication interface (Bluetooth, Wi-Fi) is deployed by the user's second communications terminal to connect to the authentication server through the use of the gateway terminal of communications. Thus, in a way, a parasitic interface operation. Additionally, combined with this use of a communications gateway terminal interface, the proposed technique further comprises configuring a specific data transmission link between the authentication server and the second communications terminal.

[0031] A técnica proposta é descrita com referência à Figura 1.[0031] The proposed technique is described with reference to Figure 1.

[0032] Um usuário (UTI) deseja se conectar a um serviço online tal como um serviço de banco. Para esta finalidade, pelo uso de um computador ou um computador do tipo tablet (TCP#1), chamado de terminal de gateway, o mesmo abre (50) um aplicativo (por exemplo, um navegador) (essa etapa é opcional) e solicita (100) uma conexão para autenticação com um servidor de autenticação (ServA) (ou com o servidor do fornecedor de serviços com o qual o usuário está conectado por meio do terminal de gateway [o servidor do fornecedor de serviços então retransmite essa solicitação ao servidor de autenticação]). A solicitação de conexão transmitida pelo terminal de gateway ou por um servidor ao qual o terminal de gateway é conectado permite que o servidor de autenticação (ServA) inicie a transação e determine para qual dispositivo o mesmo deve responder.[0032] A user (UTI) wishes to connect to an online service such as a banking service. For this purpose, using a computer or a tablet computer (TCP#1), called a gateway terminal, it opens (50) an application (for example, a browser) (this step is optional) and requests (100) a connection for authentication to an authentication server (ServA) (or to the service provider's server to which the user is connected via the gateway terminal [the service provider's server then relays this request to the server authentication]). The connection request transmitted by the gateway terminal or by a server to which the gateway terminal is connected allows the authentication server (ServA) to initiate the transaction and determine which device it should respond to.

[0033] O servidor de autenticação (ServA) transmite (110) para o terminal de gateway (TCP#1) uma solicitação para identificação (ReqId). O conteúdo dessa solicitação para identificação é explicado no presente documento abaixo. A solicitação para identificação é opcional. A mesma serve, por exemplo, para redirecionar o terminal de gateway para uma conexão segura.[0033] The authentication server (ServA) transmits (110) to the gateway terminal (TCP#1) a request for identification (ReqId). The content of this request for identification is explained in this document below. The request for identification is optional. It is used, for example, to redirect the gateway terminal to a secure connection.

[0034] O terminal de gateway (TCP#1) usa (120) o conteúdo dessa solicitação de identificação (ReqId) para solicitar (121) ao usuário a inserção de um identificador (Id_U) (tal como um endereço de e-mail eletrônico). Quando a inserção é feita e validada pelo usuário, esse identificador (Id_U) é transmitido (122) pelo terminal de gateway (TCP#1) para o servidor de autenticação (ServA).[0034] The gateway terminal (TCP#1) uses (120) the contents of this identification request (ReqId) to ask (121) the user to enter an identifier (Id_U) (such as an electronic email address ). When the insertion is made and validated by the user, this identifier (Id_U) is transmitted (122) by the gateway terminal (TCP#1) to the authentication server (ServA).

[0035] Ao receber desse identificador (Id_U), o servidor de autenticação (ServA) faz uma busca (130) dentro de uma base de dados (BddPm) por pelo menos um componente de dados que represente um parâmetro de conexão ou parâmetro (PmC) de conexão a um terminal de comunicações (TCP#2). Esses dados que representam um parâmetro de conexão (PmC) são obtidos por meio de fornecimento do identificador (Id_U) do usuário. Esses dados são então transmitidos (140) para o terminal de gateway (TCP#1) possivelmente acompanhados por uma instrução para construir uma conexão virtual entre o servidor (ServA) e o terminal de comunicação (TCP#2).[0035] Upon receiving this identifier (Id_U), the authentication server (ServA) searches (130) within a database (BddPm) for at least one data component that represents a connection parameter or parameter (PmC ) connection to a communications terminal (TCP#2). This data that represents a connection parameter (PmC) is obtained by providing the user's identifier (Id_U). This data is then transmitted (140) to the gateway terminal (TCP#1) possibly accompanied by an instruction to build a virtual connection between the server (ServA) and the communication terminal (TCP#2).

[0036] O terminal de gateway (TCP#1) recebe esse parâmetro de conexão (PmC) e, através desse parâmetro, o mesmo instancia (150) um link de recepção/transmissão de dados com o terminal de comunicações do usuário (TCP#2). Por exemplo, quando uma interface Bluetooth é usada, o terminal de comunicações do usuário (TCP#2) recebe (160) do terminal de gateway (TCP#1), uma solicitação (ReqAp) para emparelhamento com o dito terminal de gateway (TCP#1), sendo que a dita solicitação de emparelhamento (ReqAp) compreende dados que permitem um emparelhamento com o terminal de comunicações do usuário (TCP#2) pela interface Bluetooth. O conteúdo da solicitação de emparelhamento é explicado no presente documento abaixo. Por exemplo, quando uma interface Wi-Fi é usada, o terminal de comunicações do usuário (TCP#2) recebe (160) do terminal de gateway (TCP#1), uma solicitação (ReqAp) para emparelhamento com o dito terminal de gateway (TCP#1), sendo que a solicitação de emparelhamento (ReqAp) compreende dados para emparelhamento com o terminal de comunicações do usuário (TCP#2) através da interface Wi-Fi. A interface de transmissão sem fio entre o terminal de comunicações do usuário (TCP#2) e o terminal de gateway (TCP#1) é de relativamente pouca importância apesar de a interface Bluetooth ser uma solução preferencial em termos de implantação, a interface Bluetooth permite mais fácil emparelhamento de um terminal como telefone do tipo smartphone com um terminal de gateway do tipo PC ou computador tipo tablet: não é necessário configurar uma rede local com uma interface Bluetooth.[0036] The gateway terminal (TCP#1) receives this connection parameter (PmC) and, through this parameter, it instantiates (150) a data reception/transmission link with the user communications terminal (TCP# two). For example, when a Bluetooth interface is used, the user communications terminal (TCP#2) receives (160) from the gateway terminal (TCP#1), a request (ReqAp) for pairing with said gateway terminal (TCP #1), and said pairing request (ReqAp) comprises data that allows pairing with the user's communications terminal (TCP#2) via the Bluetooth interface. The content of the pairing request is explained in this document below. For example, when a Wi-Fi interface is used, the user communications terminal (TCP#2) receives (160) from the gateway terminal (TCP#1), a request (ReqAp) for pairing with said gateway terminal. (TCP#1), with the pairing request (ReqAp) comprising data for pairing with the user's communications terminal (TCP#2) via the Wi-Fi interface. The wireless transmission interface between the user's communications terminal (TCP#1) user (TCP#2) and the gateway terminal (TCP#1) is of relatively little importance although the Bluetooth interface is a preferred solution in terms of deployment, the Bluetooth interface allows easier pairing of a terminal such as a smartphone type phone with a PC-type gateway terminal or tablet computer: it is not necessary to configure a local network with a Bluetooth interface.

[0037] Subsequentemente à recepção (160) da solicitação de emparelhamento (ReqAp) e à configuração de emparelhamento com o terminal de gateway (TCP#1), o terminal de comunicações do usuário (TCP#2) faz uma busca (180) dentro de uma base de dados interna e/ou um espaço de armazenamento seguro do terminal por um componente de dados de identificação (Id_S) do servidor de autenticação (ServA). O mesmo compara (190) esse componente de dados de identificação (gravado dentro do terminal) com um componente de dados de identificação recebido do servidor. Os dados de identificação recebidos do servidor ou estão presentes dentro da solicitação de emparelhamento (ReqAp) ou são transmitidos (170) pelo servidor após o emparelhamento. Isso garante que o terminal de comunicações do usuário não irá sofrer qualquer tentativa de invasão por um terceiro servidor ou um terminal de comunicações de gateway fraudulento.[0037] Subsequent to receiving (160) the pairing request (ReqAp) and configuring pairing with the gateway terminal (TCP#1), the user communications terminal (TCP#2) searches (180) within from an internal database and/or a secure storage space of the terminal by an identification data component (Id_S) of the authentication server (ServA). It compares (190) this identification data component (recorded within the terminal) with an identification data component received from the server. The identification data received from the server is either present within the pairing request (ReqAp) or is transmitted (170) by the server after pairing. This ensures that the user's communications terminal will not suffer any hacking attempt by a third party server or a fraudulent gateway communications terminal.

[0038] Quando o terminal de comunicações do usuário (TCP#2) tiver verificado a identidade do servidor de autenticação (ServA), o terminal de comunicações do usuário (TCP#2) envia (200) o servidor de autenticação (ServA) a um componente de dados de autenticação (DataAuth).[0038] When the user communications terminal (TCP#2) has verified the identity of the authentication server (ServA), the user communications terminal (TCP#2) sends (200) the authentication server (ServA) to an authentication data component (DataAuth).

[0039] Duas Possibilidades São Oferecidas: - Ou O Terminal De Comunicações Do Usuário (Tcp#2) Transmite Esse Componente De Dados Por Meio De Uma Conexão De Dados Complementar Disponível Para O Terminal De Comunicações (Por Exemplo, Uma Conexão 3g Ou 4g) Ao Entrar Em Contato Diretamente Com O Servidor De Autenticação; - Ou O Terminal De Comunicações Do Usuário (Tcp#2) Transmite Esse Componente De Dados Por Meio Da Conexão Feita Com O Terminal De Gateway (Tcp#1). Nesse Último Caso, Pelo Menos Uma Mensagem É Transmitida “pelo” Protocolo Usado Para A Conexão (Por Exemplo, “por Bluetooth” Ou “por Wi-fi”) Direcionada Para O Servidor De Autenticação. Em Uma Base Complementar, Essa Mensagem É Transmitida De Forma Criptografada Pelo Uso De Uma Chave Privada Do Terminal De Comunicações Do Usuário (Tcp#2).[0039] Two Possibilities Are Offered: - Either The User Communications Terminal (Tcp#2) Transmits This Data Component Via A Complementary Data Connection Available To The Communications Terminal (For Example, A 3g Or 4g Connection) By Contacting The Authentication Server Directly; - Or The User Communications Terminal (Tcp#2) Transmits This Data Component Through The Connection Made To The Gateway Terminal (Tcp#1). In the latter case, at least one message is transmitted “by” the protocol used for the connection (for example, “by Bluetooth” or “by Wi-Fi”) directed to the authentication server. On a Complementary Basis, This Message Is Transmitted In Encrypted Form By Use Of A User's Communications Terminal Private Key (Tcp#2).

[0040] Ao receber esses dados de identificação (DataAuth), o servidor de autenticação (ServA) atribui (210) uma declaração de autenticação para o usuário (e, assim, para o terminal de gateway (TCP#1)).[0040] Upon receiving this identification data (DataAuth), the authentication server (ServA) assigns (210) an authentication statement to the user (and thus to the gateway terminal (TCP#1)).

[0041] Assim, o método descrito torna possível não precisar inserir uma senha para ser capaz de realizar uma autenticação de um usuário com um serviço. O único componente de dados exigido para ser capaz de realizar a autenticação é um login. Naturalmente, como qualquer método de autenticação, o método proposto exige preliminarmente o registro no servidor de autenticação. Esse registro preliminar é descrito em detalhes no presente documento abaixo.[0041] Thus, the described method makes it possible not to need to enter a password to be able to authenticate a user with a service. The only data component required to be able to perform authentication is a login. Naturally, like any authentication method, the proposed method preliminarily requires registration with the authentication server. This preliminary registration is described in detail in this document below.

[0042] O método descrito é baseado na transmissão de diversas solicitações. Somente as solicitações específicas para a técnica descrita foram mencionadas.[0042] The described method is based on the transmission of several requests. Only specific requests for the described technique were mentioned.

[0043] A solicitação de identificação (ReqId) compreende, por exemplo, um endereço (por exemplo, de um tipo URL) para o qual o terminal de gateway (TCP#1) precisa se conectar antes de fornecer qualquer identificação não especificada. Os parâmetros de conexão (PmC) incluem, por exemplo, dados necessários para construir um link física entre o terminal de comunicação de usuário (TCP#2) e o terminal de gateway (TCP#1). Dentre esses componentes de dados, há especialmente o endereço físico (endereço MAC) do terminal de comunicações do usuário e possivelmente um componente de dados do tipo código de emparelhamento ou dados do tipo senha Wi-Fi. Esses dados são transmitidos para o terminal de comunicações do usuário para permitir conexão direta entre o terminal de comunicações do usuário e o terminal de gateway. No caso de um código de emparelhamento por Bluetooth, esse é o código de emparelhamento do servidor de autenticação.[0043] The identification request (ReqId) comprises, for example, an address (e.g., of a URL type) to which the gateway terminal (TCP#1) needs to connect before providing any unspecified identification. Connection parameters (PmC) include, for example, data necessary to build a physical link between the user communication terminal (TCP#2) and the gateway terminal (TCP#1). Among these data components, there is especially the physical address (MAC address) of the user's communications terminal and possibly a data component such as pairing code or Wi-Fi password data. These data are transmitted to the communications terminal to allow direct connection between the user communications terminal and the gateway terminal. In the case of a Bluetooth pairing code, this is the authentication server's pairing code.

[0044] A solicitação de emparelhamento (ReqAp) compreende pelo menos um componente de dados para identificar o servidor de autenticação (ServA). Esse componente de dados de identificação (DIdServA) permite que o terminal de comunicações do usuário (TCP#2) se assegure da identidade do dispositivo que está tentando enviar ao mesmo uma solicitação de autenticação. De acordo com uma modalidade particular, esses dados de identificação correspondem a um endereço (por exemplo, um endereço MAC) do servidor de autenticação (ServA) criptografado através de uma chave pública do terminal de comunicações do usuário (TCP#2). A forma pela qual o componente de informação é disponibilizado para o servidor de autenticação (ServA) é descrita no presente documento abaixo. De acordo com uma modalidade particular, esse componente de dados de identificação corresponde a um endereço (por exemplo, um endereço MAC) do servidor de autenticação (ServA) criptografado por meio de uma chave privada do servidor de autenticação (ServA). Em uma base de acessório, outros componentes de dados de identificação também são incluídos, a fim de aumentar a segurança.[0044] The pairing request (ReqAp) comprises at least one data component for identifying the authentication server (ServA). This identification data component (DIdServA) allows the user's communications terminal (TCP#2) to ensure the identity of the device that is trying to send it an authentication request. According to a particular embodiment, this identification data corresponds to an address (e.g., a MAC address) of the authentication server (ServA) encrypted via a public key of the user's communications terminal (TCP#2). The way in which the information component is made available to the authentication server (ServA) is described in this document below. According to a particular embodiment, this identification data component corresponds to an address (e.g., a MAC address) of the authentication server (ServA) encrypted by means of a private key of the authentication server (ServA). On an accessory basis, other identification data components are also included in order to increase security.

[0045] Em outras palavras, em vez de realizar um emparelhamento com o terminal de gateway, a invenção torna possível realizar um emparelhamento diretamente com o servidor de autenticação pelo uso de um link de dados “transportados” por meio do terminal de gateway. No caso do Bluetooth, por exemplo, o terminal de comunicações do usuário é emparelhado via Bluetooth com o servidor de autenticação (e não com o terminal de gateway). Um link Bluetooth é configurado não entre o terminal do usuário e o terminal de gateway (a partir do qual o usuário está tentando se conectar), mas entre o servidor de autenticação e o terminal do usuário através do terminal de gateway. Assim, o servidor de autenticação pode retransmitir pacotes de Bluetooth para o terminal de gateway, por meio de um link TCP/IP. Esses pacotes de Bluetooth serão enviados (como tais) pelo terminal de gateway (que não tem capacidade para compreender os conteúdos dos mesmos). Isso torna possível criar um tipo de canal de Bluetooth virtual de distância bem longa entre o terminal do usuário e o servidor de autenticação.[0045] In other words, instead of performing a pairing with the gateway terminal, the invention makes it possible to perform a pairing directly with the authentication server through the use of a data link “carried” through the gateway terminal. In the case of Bluetooth, for example, the user's communications terminal is paired via Bluetooth with the authentication server (and not with the gateway terminal). A Bluetooth link is configured not between the user terminal and the gateway terminal (from which the user is trying to connect), but between the authentication server and the user terminal via the gateway terminal. Thus, the authentication server can relay Bluetooth packets to the gateway terminal via a TCP/IP link. These Bluetooth packets will be sent (as such) by the gateway terminal (which is unable to understand their contents). This makes it possible to create a very long distance virtual Bluetooth channel type between the user terminal and the authentication server.

[0046] Na realidade, há um emparelhamento por Bluetooth duplicado primeiramente com um link físico por Bluetooth configurado entre o terminal de comunicações do usuário e o terminal de gateway e um link por Bluetooth funcional que é configurado entre o terminal de comunicações do usuário e o servidor de autenticação.[0046] In reality, there is a duplicate Bluetooth pairing first with a physical Bluetooth link configured between the user's communications terminal and the gateway terminal and a functional Bluetooth link that is configured between the user's communications terminal and the authentication server.

[0047] Para o sistema ser funcional, o terminal de gateway limita o próprio para implantar uma tradução de endereços de Bluetooth a fim de apropriadamente encaminhar os dados que percorrem pelo terminal de comunicações do usuário e pelo servidor de autenticação. Assim, tecnicamente, o servidor de autenticação implanta uma pilha funcional que corresponde ao protocolo usado (por exemplo, uma pilha funcional de Bluetooth ou uma pilha funcional de Wi-Fi) enquanto o terminal de gateway naturalmente implanta pelo menos uma pilha de hardware que corresponde ao protocolo usado (por exemplo, uma pilha de hardware de Bluetooth ou pilha de hardware de Wi-Fi). Naturalmente, o terminal de gateway também implanta uma pilha funcional que corresponde ao protocolo usado, que é direcionado por um módulo dedicado. Mais especificamente, no caso de uma implantação através de Bluetooth, uma rede tipo “Scatternet” pode ser configurada com o terminal de gateway como um “nó escravo” enquanto o terminal de comunicações do usuário e o servidor de autenticação ambos atuam como um “nó mestre”.[0047] For the system to be functional, the gateway terminal limits itself to deploying a Bluetooth address translation in order to appropriately route data traveling through the user's communications terminal and the authentication server. So, technically, the authentication server deploys a functional stack that matches the protocol used (e.g., a functional Bluetooth stack or a functional Wi-Fi stack) while the gateway endpoint naturally deploys at least one hardware stack that matches to the protocol used (for example, a Bluetooth hardware stack or Wi-Fi hardware stack). Naturally, the gateway endpoint also deploys a functional stack that matches the protocol used, which is driven by a dedicated module. More specifically, in the case of a Bluetooth deployment, a “Scatternet” type network can be configured with the gateway terminal as a “slave node” while the user communications terminal and authentication server both act as a “node”. teacher".

[0048] Naturalmente, ficará claro ao ler esta explicação que a técnica proposta compreende duas partes distintas: por um lado, um método implantado no lado do servidor de autenticação e, por outro lado, um método implantado pelo terminal cliente do usuário. Esses dois métodos têm em comum o uso de um terminal de gateway a fim de configurar um link de transmissão de dados sem fio em longa distância. Considerando que apenas uma pequena parte do link é realmente um link sem fio, esse link sem fio pode ser chamado de um link sem fio virtual.[0048] Naturally, it will be clear from reading this explanation that the proposed technique comprises two distinct parts: on the one hand, a method deployed on the authentication server side and, on the other hand, a method deployed by the user's client terminal. These two methods have in common the use of a gateway terminal to set up a long-distance wireless data transmission link. Considering that only a small part of the link is actually a wireless link, this wireless link can be called a virtual wireless link.

PARAMETRIZAR UMA CONEXÃO VIRTUALPARAMETERIZE A VIRTUAL CONNECTION

[0049] A fim de configurar uma conexão entre o terminal de comunicações do usuário e o servidor de autenticação, é válido que o terminal de comunicações do usuário e o servidor de autenticação tenham hardware disponível para o reconhecimento mútuo seguro. Mais particularmente, é desejável que o terminal de comunicações do usuário tenha disponível pelo menos uma chave pública do servidor de autenticação e que o servidor de autenticação tenha disponível pelo menos uma chave pública do terminal de comunicações do usuário. A possessão desses dois itens de hardware permitirá que as duas entidades troquem dados de forma segura. Adicionalmente a esses dois elementos, é desejável, também, que o terminal de comunicações tenha disponível um componente de dados para identificar o servidor de autenticação e que o servidor de autenticação tenha disponível um componente de dados para identificar o terminal de comunicações do usuário.[0049] In order to set up a connection between the user's communications terminal and the authentication server, it is valid that the user's communications terminal and the authentication server have hardware available for secure mutual recognition. More particularly, it is desirable that the user's communications terminal has at least one public key of the authentication server available and that the authentication server has at least one public key of the user's communications terminal available. Possession of these two hardware items will allow the two entities to exchange data securely. In addition to these two elements, it is also desirable that the communications terminal has a data component available to identify the authentication server and that the authentication server has a data component available to identify the user's communications terminal.

[0050] Para essa finalidade, diversos métodos poderiam ser implantados. Contudo, os inventores tiveram a ideia de usar um método de conexão direta do terminal de comunicações do usuário com o servidor de autenticação. Essa conexão direta é implantada tanto por um aplicativo específico que o usuário cuidou de instalar anteriormente no terminal de comunicações do mesmo ou por meio de um serviço de web acessível do terminal de comunicações do usuário. Independentemente do meio usado para fazer essa conexão, a mesma compreende as etapas necessárias para trocar os dados mencionados acima (ou dados usados para obter os dados mencionados acima) usados depois especialmente no contexto de solicitações para identificação e emparelhamento.[0050] For this purpose, several methods could be implemented. However, the inventors had the idea of using a method of directly connecting the user's communications terminal to the authentication server. This direct connection is implemented either through a specific application that the user has previously installed on the user's communications terminal or through a web service accessible from the user's communications terminal. Regardless of the means used to make this connection, it comprises the steps necessary to exchange the above-mentioned data (or data used to obtain the above-mentioned data) used later especially in the context of requests for identification and pairing.

[0051] Em particular, em pelo menos uma modalidade, as chaves públicas que são disponibilizadas para o terminal de comunicações do usuário por um lado e para o servidor de autenticação por outro lado são usadas para derivar algumas chaves de sessão a partir da implantação de um ou mais testes durante um procedimento de troca de chaves mútua.[0051] In particular, in at least one embodiment, public keys that are made available to the user's communications terminal on the one hand and to the authentication server on the other hand are used to derive some session keys from the deployment of one or more tests during a mutual key exchange procedure.

[0052] Esse procedimento para criar chaves de sessão é implantado após ou concomitantemente com o estabelecimento do link entre o terminal de comunicações do usuário e o servidor de autenticação. Para implantar esse link, o terminal de gateway é usado somente para transmitir dados no canal físico (camada de transmissão de dados física).[0052] This procedure for creating session keys is implemented after or concurrently with establishing the link between the user's communications terminal and the authentication server. To deploy this link, the gateway terminal is only used to transmit data on the physical channel (physical data transmission layer).

[0053] Como complemento, quando o link é configurado entre o terminal de comunicações do usuário e o servidor de autenticação, isto é, após a transmissão pelo terminal de gateway dos dados de identificação do usuário (identificador, endereço de e-mail eletrônico, etc.), o servidor de autenticação implanta uma etapa preparatória na qual garante que o terminal de gateway está verdadeiramente capaz de realizar o procedimento para autenticação da técnica proposta. Para esta finalidade, o servidor: - verifica que o terminal de gateway verdadeiramente possui as interfaces físicas necessárias para implantar o link; - verifica que o mesmo pode solicitar ao terminal de gateway a implantação dessas interfaces.[0053] In addition, when the link is configured between the user's communications terminal and the authentication server, that is, after transmission by the gateway terminal of the user's identification data (identifier, electronic email address, etc.), the authentication server implements a preparatory step in which it ensures that the gateway terminal is truly capable of carrying out the procedure for authentication of the proposed technique. For this purpose, the server: - verifies that the gateway terminal truly has the necessary physical interfaces to deploy the link; - verifies that it can request the gateway terminal to implement these interfaces.

[0054] Quando o terminal de gateway não permite o servidor de autenticação realizar essas verificações (por razões de segurança, por exemplo), o servidor de autenticação solicita ao terminal de gateway a instalação de um aplicativo, chamado de aplicativo de gateway por questão de conveniência. Esse aplicativo de gateway pode, por exemplo, tomar a forma de um módulo de software instalado dentro do navegador da web usado no terminal de gateway. Esse aplicativo de gateway pode também tomar a forma de um aplicativo diretamente executável pelo sistema operacional do terminal de gateway (por exemplo, Windows ™ ou IOS™ ou Android™). Quando esse aplicativo de gateway é instalado, é esse aplicativo que realiza as operações de verificação mencionadas acima em nome do servidor de autenticação.[0054] When the gateway terminal does not allow the authentication server to perform these checks (for security reasons, for example), the authentication server requests the gateway terminal to install an application, called a gateway application for the sake of convenience. Such a gateway application may, for example, take the form of a software module installed within the web browser used on the gateway terminal. Such a gateway application may also take the form of an application directly executable by the gateway terminal's operating system (e.g., Windows™ or IOS™ or Android™). When this gateway application is installed, it is this application that performs the verification operations mentioned above on behalf of the authentication server.

[0055] Em complemento, quando esse aplicativo é instalado no terminal de gateway, é esse aplicativo que se ocupa da função de retransmissão para transmitir dados entre o terminal de comunicações do usuário e o servidor de autenticação. Para esta finalidade, o próprio aplicativo entregue pelo servidor de autenticação compreende hardware criptográfico suficiente para garantir a confidencialidade dos dados retransmitidos.[0055] In addition, when this application is installed on the gateway terminal, it is this application that takes care of the relay function to transmit data between the user's communications terminal and the authentication server. For this purpose, the application itself delivered by the authentication server comprises sufficient cryptographic hardware to guarantee the confidentiality of the retransmitted data.

DESCRIÇÃO DE UM CASO DE USODESCRIPTION OF A USE CASE

[0056] Nesse caso de uso, é apresentado o uso da técnica proposta a fim de realizar uma transação financeira e um site de comércio eletrônico. Nesse caso de uso, o terminal de comunicações do usuário é um smartphone (no qual um aplicativo específico é instalado), o terminal de gateway é um computador do tipo PC laptop e o servidor de autenticação é um servidor de banco (pode ser um servidor de banco físico ou um servidor de banco em software direcionado somente para a realização de autenticação). Uma quarta entidade entra em ação nesse caso de uso: é o servidor do site de comércio eletrônico que é usado para as compras feitas pelo usuário.[0056] In this use case, the use of the proposed technique in order to carry out a financial transaction and an e-commerce website is presented. In this use case, the user's communications terminal is a smartphone (on which a specific application is installed), the gateway terminal is a PC laptop type computer, and the authentication server is a bank server (it can be a server bank server or a software bank server intended solely for performing authentication). A fourth entity comes into play in this use case: it is the e-commerce website server that is used for purchases made by the user.

[0057] Antes da aplicação da técnica proposta, assume-se que o usuário tenha selecionado pelo menos um artigo do site da web e tenha colocado o mesmo em uma cesta de compras para fazer uma transação de pagamento para as compras do mesmo.[0057] Before applying the proposed technique, it is assumed that the user has selected at least one article from the website and placed it in a shopping basket to make a payment transaction for purchases thereof.

[0058] Quando o usuário deseja fazer o pagamento, o seguinte procedimento é implantado, em conformidade com as etapas descritas no presente documento acima: - através do terminal de gateway, em um campo projetado para essa compra, no site do comerciante ao qual se está conectado, o usuário insere identificador necessário para a autenticação do mesmo no site em questão; - o site da web envia ao servidor de banco o identificador inserido pelo usuário e redireciona (operação de redirecionamento de HTTP, por exemplo) essa mensagem para uma página de pagamento do servidor de banco. A partir desse momento, o terminal de gateway é conectado ao servidor de banco. - o servidor de banco, juntamente com o terminal de gateway, configura uma conexão Bluetooth com o smartphone do usuário conforme explicado no presente documento acima. Quando o smartphone do usuário não está presente (isto é, quando não está em um raio de transmissão/recepção de dados por Bluetooth em relação ao terminal de gateway), o procedimento de autenticação não pode continuar e a transação é cancelada. Isso garante que o usuário está verdadeiramente presente. Por isso que a tecnologia Bluetooth é preferencial, devido a sua faixa de transmissão relativamente pequena de uns poucos metros. Se o smartphone está presente, então um aplicativo específico para a técnica descrita é implantado no smartphone para permitir que o mesmo seja autenticado com o servidor de banco. Esse aplicativo implanta as etapas do método que devem ser executadas pelo terminal de comunicações do usuário. Opcionalmente, a fim de aumentar a segurança, o aplicativo solicita ao usuário que insira um código de identificação pessoal (o qual, por exemplo, mas não necessariamente, pode ser um código de identificação pessoal idêntico àquele usado para o cartão do bando do usuário). Quando tal opção está sendo implantada, se o código de identificação pessoal não for inserido dentro de um tempo predeterminado após o aplicativo transmitir a solicitação de inserção de código ao usuário, a transação é cancelada. - quando o smartphone do usuário foi autenticado, o servidor de banco considera o usuário como sendo realmente a pessoa que afirma ser e implanta a transação financeira.[0058] When the user wishes to make payment, the following procedure is implemented, in accordance with the steps described in this document above: - through the gateway terminal, in a field designed for this purchase, on the merchant's website to which is connected, the user enters the identifier necessary for authentication on the website in question; - the website sends the identifier entered by the user to the bank server and redirects (HTTP redirect operation, for example) this message to a payment page of the bank server. From that moment on, the gateway terminal is connected to the bank server. - the bank server, together with the gateway terminal, sets up a Bluetooth connection with the user's smartphone as explained in this document above. When the user's smartphone is not present (that is, when it is not within Bluetooth data transmission/reception range of the gateway terminal), the authentication procedure cannot continue and the transaction is canceled. This ensures that the user is truly present. This is why Bluetooth technology is preferred, due to its relatively small transmission range of a few meters. If the smartphone is present, then an application specific to the described technique is deployed on the smartphone to allow it to be authenticated with the bank server. This application implements the method steps that must be performed by the user's communications endpoint. Optionally, in order to increase security, the application prompts the user to enter a personal identification code (which, for example, but not necessarily, may be a personal identification code identical to that used for the user's bank card) . When such an option is being implemented, if the personal identification code is not entered within a predetermined time after the application transmits the code entry request to the user, the transaction is canceled. - when the user's smartphone has been authenticated, the bank server considers the user to actually be the person he claims to be and implements the financial transaction.

[0059] De modo complementar, visto que o servidor de autenticação está seguro da autenticidade da identidade do usuário, não pede pela inserção da informação sobre o cartão do banco: o mesmo usa o cartão do banco associado à conta do usuário pelo banco do mesmo, quando essa informação está disponível. Opcionalmente, o site de comércio eletrônico transmite as informações sobre o cartão do banco a ser usado diretamente no servidor de banco, ao redirecionar ao servidor de banco. Assim, o usuário não é obrigado a inserir os dados do cartão do banco do mesmo sempre que quiser fazer um pagamento.[0059] In addition, since the authentication server is sure of the authenticity of the user's identity, it does not ask for information about the bank card to be entered: it uses the bank card associated with the user's account by the user's bank , when this information is available. Optionally, the e-commerce website transmits information about the bank card to be used directly to the bank server by redirecting to the bank server. Therefore, the user is not obliged to enter their bank card details whenever they want to make a payment.

[0060] Assim, adicionalmente ao fato de não ser mais necessário inserir uma senha para acessar um serviço também é desnecessário inserir informações bancárias para acessar esse serviço.[0060] Thus, in addition to the fact that it is no longer necessary to enter a password to access a service, it is also unnecessary to enter banking information to access that service.

OUTRAS CARACTERÍSTICAS E VANTAGENSOTHER FEATURES AND ADVANTAGES

[0061] Com referência à Figura 2, descreve-se um servidor de autenticação implantado para autenticar um usuário a partir de um terminal de comunicações (TCP#2) diferente de um terminal de comunicações inicial de acordo com o procedimento descrito no presente documento acima.[0061] Referring to Figure 2, there is described an authentication server deployed to authenticate a user from a communications terminal (TCP#2) other than an initial communications terminal in accordance with the procedure described herein above. .

[0062] Por exemplo, o servidor de autenticação compreende uma memória 31 constituída por uma memória de buffer, uma unidade de processamento 32, equipada, por exemplo com um microprocessador e acionada pelo programa de computador 33 que implanta um método de autenticação de um terminal de comunicações. Na inicialização, as instruções de código do programa de computador são carregadas, por exemplo, em uma memória e depois executadas pelo processador da unidade de processamento 32. A unidade de processamento 32 insere pelo menos um componente de dados que representa um identificador de usuário, a partir do terminal de gateway. O microprocessador da unidade de processamento 32 implanta as etapas do método de autenticação de acordo com as instruções do programa de computador 33 para obter os dados necessários para configurar um link virtual entre o terminal do usuário e o servidor de autenticação a fim de trocar, com o terminal de comunicações do usuário, os dados necessários para a autenticação do mesmo.[0062] For example, the authentication server comprises a memory 31 consisting of a buffer memory, a processing unit 32, equipped, for example, with a microprocessor and driven by the computer program 33 that implements an authentication method for a terminal of communications. At startup, computer program code instructions are loaded, for example, into a memory and then executed by the processor of processing unit 32. Processing unit 32 inserts at least one data component representing a user identifier, from the gateway terminal. The microprocessor of the processing unit 32 implements the steps of the authentication method according to the instructions of the computer program 33 to obtain the data necessary to set up a virtual link between the user terminal and the authentication server in order to exchange, with the user's communications terminal, the data necessary for user authentication.

[0063] Para essa finalidade, o servidor de autenticação compreende além da memória de buffer 31, meios de comunicação tais como módulos de comunicações de rede, meios de transmissão de dados e se necessário, um processador de criptografia.[0063] For this purpose, the authentication server comprises, in addition to the buffer memory 31, communication means such as network communications modules, data transmission means and if necessary, a cryptography processor.

[0064] Esses meios tomam a forma de um processador particular implantado dentro do dispositivo, sendo que o dito processador é um processador seguro. De acordo com uma modalidade particular, esse dispositivo implanta um aplicativo ou um módulo particular que está encarregado de realizar operações de processamento, sendo que esse aplicativo ou esse módulo é, por exemplo, fornecido pelo fabricante do processador em questão a fim de permitir o uso do dito processador. Para essa finalidade, o processador compreende meios de identificação únicos. Esses meios de identificação únicos garantem a autenticidade do processador e/ou do servidor de autenticação.[0064] These means take the form of a particular processor implanted within the device, said processor being a secure processor. According to a particular embodiment, this device deploys a particular application or module that is in charge of carrying out processing operations, such application or module being, for example, provided by the manufacturer of the processor in question in order to allow the use of said processor. For this purpose, the processor comprises unique identification means. These unique means of identification guarantee the authenticity of the processor and/or authentication server.

[0065] Além disso, o servidor de autenticação compreende também meios de pesquisar, dentro de uma base de dados, por dados de conexão ao terminal do usuário assim como meios para obter chaves de criptografia, por exemplo, chaves de criptografia assimétrica (chaves públicas/chaves privadas) usadas para gerar dados de verificação e dados de contraverificação durante a autenticação. Esses meios também tomam a forma de interfaces de comunicações que permitem troca de dados na rede de comunicações, meios de interrogação e de atualização de bases de dados, etc.[0065] Furthermore, the authentication server also comprises means of searching, within a database, for connection data to the user's terminal as well as means of obtaining encryption keys, for example, asymmetric encryption keys (public keys). /private keys) used to generate verification data and counter-verification data during authentication. These means also take the form of communications interfaces that allow data exchange on the communications network, means of interrogating and updating databases, etc.

[0066] Com referência à Figura 3, uma descrição é fornecida de um terminal de comunicações do usuário (TCP#2) implantado para autenticar um usuário, o qual é preliminarmente identificado por meio de um terminal de gateway (TCP#1) de acordo com o método descrito no presente documento acima.[0066] With reference to Figure 3, a description is provided of a user communications terminal (TCP#2) deployed to authenticate a user, which is preliminarily identified through a gateway terminal (TCP#1) in accordance with with the method described in this document above.

[0067] Por exemplo, um terminal de comunicações do usuário compreende uma memória 41 constituída por uma memória de buffer, uma unidade de processamento 42 equipada, por exemplo, com um microprocessador e acionada pelo programa de computador 43 que implanta um método de autenticação.[0067] For example, a user communications terminal comprises a memory 41 consisting of a buffer memory, a processing unit 42 equipped, for example, with a microprocessor and driven by the computer program 43 that implements an authentication method.

[0068] Na inicialização, as instruções de código do programa de computador 43 são carregadas, por exemplo, em uma memória e depois executadas pelo processador da unidade de processamento 42. A unidade de processamento 42 insere pelo menos um componente de dados que representa um comando de emparelhamento para emparelhamento com o terminal de gateway (TCP#1). O microprocessador da unidade de processamento 42 implanta as etapas do método de autenticação de acordo com as instruções do programa de computador 43 para receber uma solicitação para emparelhamento do terminal de gateway (TCP#1), faz uma pesquisa, dentro de uma base de dados interna e/ou um espaço de armazenamento seguro, por um componente de dados de identificação do servidor de autenticação (ServA), compara esse componente de dados de identificação com um componente de dados de identificação recebido do servidor (por exemplo, dentro da solicitação de emparelhamento), transmite um componente de dados de autenticação (DataAuth) para o servidor de autenticação (ServA).[0068] Upon initialization, computer program code instructions 43 are loaded, for example, into a memory and then executed by the processor of processing unit 42. Processing unit 42 inserts at least one data component that represents a pairing command for pairing with the gateway terminal (TCP#1). The microprocessor of the processing unit 42 implements the steps of the authentication method according to the instructions of the computer program 43 to receive a pairing request from the gateway terminal (TCP#1), performs a search, within a database internal and/or a secure storage space, by an authentication server identification data component (ServA), compares that identification data component with an identification data component received from the server (e.g., within the authentication request). pairing), transmits an authentication data component (DataAuth) to the authentication server (ServA).

[0069] Para essa finalidade, o terminal de comunicações do usuário compreende além da memória de buffer 41, meios de comunicação tais como módulos de comunicações de rede, meios de transmissão de dados e, se necessário, um processador de criptografia.[0069] For this purpose, the user communications terminal comprises, in addition to buffer memory 41, communication means such as network communications modules, data transmission means and, if necessary, a cryptography processor.

[0070] Esses meios podem assumir a forma de um processador particular implantado dentro do dispositivo, sendo que esse processador é um processador seguro. De acordo com uma modalidade particular, esse terminal de comunicações do usuário implanta um aplicativo ou um módulo particular que está encarregado de realizar trocas, sendo que esse aplicativo ou esse módulo é, por exemplo, fornecido por um fabricante do processador em questão (implantado dentro do terminal) a fim de permitir o uso do dito processador. Para essa finalidade, o processador compreende meios de identificação únicos. Esses meios de identificação únicos garantem a autenticidade do processador e/ou do terminal de comunicações.[0070] These means may take the form of a particular processor implanted within the device, such processor being a secure processor. According to a particular embodiment, this user communications terminal deploys a particular application or module that is in charge of carrying out exchanges, said application or module being, for example, provided by a manufacturer of the processor in question (implemented within of the terminal) in order to allow the use of said processor. For this purpose, the processor comprises unique identification means. These unique means of identification guarantee the authenticity of the processor and/or communications terminal.

[0071] Além disso, um terminal de comunicações do usuário compreende adicionalmente meios para armazenar um componente de dados de referência da identidade do servidor e meios para armazenar chaves de criptografia. Esses meios também tomam a forma de interfaces de comunicações para trocar dados em redes de comunicação, meios de interrogação e meios de atualização de base de dados, etc.[0071] Furthermore, a user communications terminal further comprises means for storing a server identity reference data component and means for storing encryption keys. These means also take the form of communications interfaces for exchanging data over communication networks, interrogation means and database updating means, etc.

[0072] Com referência à Figura 4, é descrito um terminal de comunicações de gateway (TCP#1) implantado para autenticar um usuário de um terminal de comunicações (TCP#1) de acordo com o método descrito no presente documento acima.[0072] With reference to Figure 4, there is described a gateway communications terminal (TCP#1) deployed to authenticate a user of a communications terminal (TCP#1) in accordance with the method described herein above.

[0073] Por exemplo, um terminal de comunicações do usuário compreende uma memória 51 constituída por uma memória de buffer, uma unidade de processamento 52 equipada, por exemplo, com um microprocessador e acionada pelo programa de computador 53 que implanta um método de autenticação.[0073] For example, a user communications terminal comprises a memory 51 consisting of a buffer memory, a processing unit 52 equipped, for example, with a microprocessor and driven by the computer program 53 that implements an authentication method.

[0074] Na inicialização, as instruções de código do programa de computador 53 são carregadas, por exemplo, na memória e depois executadas pelo processador da unidade de processamento 52. A unidade de processamento 52 insere pelo menos um componente de dados que representa uma identidade de um usuário (por exemplo, um login). O microprocessador da unidade de processamento 52 implanta as etapas do método de autenticação de acordo com as instruções do programa de computador 53 para transmitir essa identidade para um servidor de autenticação; receber, desse servidor de autenticação, um parâmetro de conexão para o terminal de comunicações do usuário (TCP#2); configurar uma conexão entre o mesmo e o terminal de comunicações do usuário (TCP#2) por meio do parâmetro recebido anteriormente ao transmitir uma solicitação de emparelhamento para o terminal e possivelmente uma identidade do servidor de autenticação e receber, do servidor de autenticação, uma declaração de autenticação quando a autenticação entre o terminal de comunicações (TCP#2) e o servidor de autenticação ocorreu precisamente.[0074] Upon initialization, code instructions from computer program 53 are loaded, for example, into memory and then executed by the processor of processing unit 52. Processing unit 52 inputs at least one data component that represents an identity of a user (for example, a login). The microprocessor of the processing unit 52 implements the steps of the authentication method in accordance with the instructions of the computer program 53 to transmit this identity to an authentication server; receive, from this authentication server, a connection parameter for the user's communications terminal (TCP#2); configure a connection between it and the user's communications terminal (TCP#2) through the parameter previously received when transmitting a pairing request to the terminal and possibly an authentication server identity and receive, from the authentication server, a authentication statement when authentication between the communications terminal (TCP#2) and the authentication server has occurred accurately.

[0075] Para essa finalidade, um terminal de comunicações do usuário compreende, além da memória de buffer 51, meios de comunicação tais como módulos de comunicações de rede, meios de transmissão de dados e se necessário um processador de criptografia.[0075] For this purpose, a user communications terminal comprises, in addition to buffer memory 51, communication means such as network communications modules, data transmission means and if necessary a cryptography processor.

[0076] Esses meios podem tomar a forma de um processador particular implantado dentro do dispositivo, sendo que o dito processador é um processador seguro. De acordo com uma modalidade particular, esse terminal de comunicações de um usuário implanta um módulo particular que está encarregado de realizar trocas (especialmente trocas necessárias para implantar a conexão virtual entre o terminal de comunicações TCP#2 e o servidor de autenticação ServA), sendo que esse módulo é fornecido, por exemplo, pelo fabricante do processador em questão a fim de permitir o uso do dito processador. Para essa finalidade, o processador compreende meios de identificação únicos. Esses meios de identificação únicos garantem a autenticidade do processador e/ou do terminal de gateway de comunicações para propósitos de prevenir furto de identidade.[0076] Such means may take the form of a particular processor implanted within the device, said processor being a secure processor. According to a particular embodiment, this communications terminal of a user deploys a particular module that is in charge of carrying out exchanges (especially exchanges necessary to implement the virtual connection between the TCP#2 communications terminal and the ServA authentication server), being that this module is provided, for example, by the manufacturer of the processor in question in order to allow the use of said processor. For this purpose, the processor comprises unique identification means. These unique means of identification ensure the authenticity of the processor and/or communications gateway terminal for purposes of preventing identity theft.

[0077] Além disso, o terminal de comunicações do usuário compreende também meios para armazenar um componente de dados de referência da identidade do servidor e meios para armazenar chaves de criptografia. Esses meios também podem tomar a forma de interfaces de comunicações que permitem a troca de dados em redes de comunicação, meios de interrogação e meios de atualização de base de dados, etc.[0077] Furthermore, the user communications terminal also comprises means for storing a server identity reference data component and means for storing encryption keys. These means can also take the form of communications interfaces that allow the exchange of data over communication networks, means of interrogation and means of updating databases, etc.

Claims (7)

1. Método para autenticar um terminal de comunicações (TCP#2) que pertence a um usuário com um servidor de autenticação (ServA) conectado a um terminal de gateway (TCP#1) por meio de uma rede de comunicações, o método caracterizado pelo fato de que compreende, dentro do servidor de autenticação: - uma etapa de obter um componente de dados que representa uma identidade do usuário do dito terminal de gateway (TCP#1); - uma etapa de configurar, pelo dito servidor de autenticação (ServA), um link de transmissão de dados entre o dito servidor de autenticação (ServA) e o dito terminal de comunicações do usuário (TCP#2), por meio de uma interface de transmissão de dados predefinida do dito terminal de gateway (TCP#1) e como uma função do dito componente de dados que representa uma identidade do usuário; - uma etapa de transmitir, pelo servidor de autenticação (ServA), para o terminal de comunicações do usuário (TCP#2), um componente de dados criptografados para verificar a autenticação, por meio do link de transmissão de dados; - uma etapa de recepção, pelo usuário de autenticação (ServA), proveniente do terminal de comunicações do usuário (TCP#2), de um componente de dados criptografados para a segunda verificação de autenticação; - uma etapa de emitir uma declaração de autenticação do usuário quando o componente de dados para a segunda verificação de autenticação corresponde ao dito componente de dados para verificar a autenticação.1. Method for authenticating a communications terminal (TCP#2) belonging to a user with an authentication server (ServA) connected to a gateway terminal (TCP#1) through a communications network, the method characterized by the fact that it comprises, within the authentication server: - a step of obtaining a data component representing a user identity of said gateway terminal (TCP#1); - a step of configuring, by said authentication server (ServA), a data transmission link between said authentication server (ServA) and said user communications terminal (TCP#2), through a predefined data transmission of said gateway terminal (TCP#1) and as a function of said data component representing a user identity; - a step of transmitting, by the authentication server (ServA), to the user communications terminal (TCP#2), an encrypted data component to verify authentication, via the data transmission link; - a reception step, by the authentication user (ServA), from the user communications terminal (TCP#2), of an encrypted data component for the second authentication check; - a step of issuing a user authentication statement when the data component for the second authentication check matches said data component for verifying authentication. 2. Método para autenticar, de acordo com a reivindicação 1, caracterizado pelo fato de que a interface de transmissão de dados predefinida do dito terminal de gateway (TCP#1) é uma interface Bluetooth e de que o link de transmissão de dados entre o servidor de autenticação (ServA) e o terminal de comunicações do usuário (TCP#2) é um link Bluetooth virtual.2. Method for authenticating according to claim 1, characterized by the fact that the predefined data transmission interface of said gateway terminal (TCP#1) is a Bluetooth interface and that the data transmission link between the authentication server (ServA) and the user communications terminal (TCP#2) is a virtual Bluetooth link. 3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que antes da etapa de obter um componente de dados que representa uma identidade do usuário, o dito método compreende: - uma etapa de receber uma solicitação de conexão do dito terminal de gateway ou de um servidor conectado ao dito servidor de autenticação e - uma etapa de transmitir, para o dito terminal de gateway (TCP#1), uma solicitação para identificação como uma função da dita solicitação de conexão.3. Method according to claim 1, characterized by the fact that before the step of obtaining a data component representing a user identity, said method comprises: - a step of receiving a connection request from said terminal gateway or a server connected to said authentication server and - a step of transmitting, to said gateway terminal (TCP#1), a request for identification as a function of said connection request. 4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de configurar pelo dito servidor de autenticação (ServA) de um link de transmissão de dados entre o dito servidor de autenticação (ServA) e o dito terminal de comunicações do usuário (TCP#2) compreende: - uma etapa de obter pelo menos um componente de dados que representa pelo menos um parâmetro de conexão (PmC) para o terminal de comunicações (TCP#2) por meio do dito componente de dados que representa a dita identidade do usuário; - uma etapa de transmitir o dito pelo menos um componente de dados que representa um parâmetro de conexão (PmC) para o dito terminal de gateway (TCP#1);4. Method according to claim 1, characterized by the fact that the step of configuring by said authentication server (ServA) a data transmission link between said authentication server (ServA) and said communications terminal user interface (TCP#2) comprises: - a step of obtaining at least one data component representing at least one connection parameter (PmC) to the communications terminal (TCP#2) by means of said data component representing the said identity of the user; - a step of transmitting said at least one data component representing a connection parameter (PmC) to said gateway terminal (TCP#1); 5. Método, de acordo com a reivindicação 4, caracterizado pelo fato de que o dito pelo menos um parâmetro de conexão (PmC) compreende pelo menos um componente de dados necessário para a construção do link entre o terminal de comunicações do usuário (TCP#2) e o terminal de gateway (TCP#1).5. Method, according to claim 4, characterized by the fact that said at least one connection parameter (PmC) comprises at least one data component necessary for the construction of the link between the user's communications terminal (TCP# 2) and the gateway terminal (TCP#1). 6. Método, de acordo com a reivindicação 4, caracterizado pelo fato de que o dito pelo menos um parâmetro de conexão (PmC) compreende pelo menos um componente de dados que pertence ao grupo que compreende: - um endereço físico do terminal de comunicação do usuário (TCP#2); - um componente de dados do tipo código de emparelhamento; - um componente de dados do tipo senha.6. Method according to claim 4, characterized by the fact that said at least one connection parameter (PmC) comprises at least one data component belonging to the group comprising: - a physical address of the communication terminal of the user (TCP#2); - a pairing code type data component; - a password type data component. 7. Servidor para autenticar um terminal de comunicações (TCP#2) que pertence a um usuário com um servidor de autenticação (ServA) conectado a um terminal de gateway (TCP#1) por meio de uma rede de comunicações, o servidor caracterizado pelo fato de que compreende: - um módulo configurado para obter um componente de dados, do dito terminal de gateway (TCP#1), que representa uma identidade do usuário; - um módulo configurado para configurar um link de transmissão de dados entre o dito servidor de autenticação (ServA) e o dito terminal de comunicações do usuário (TCP#2), por meio de uma interface de transmissão de dados predefinida do dito terminal de gateway (TCP#1) e como uma função do dito componente de dados que representa uma identidade do usuário; - um módulo configurado para transmitir, ao terminal de comunicações do usuário (TCP#2), um componente de dados criptografados para verificar a autenticação por meio do link de transmissão de dados; - um módulo configurado para receber um componente de dados criptografados para a segunda verificação de autenticação do terminal de comunicações do usuário (TCP#2); - um módulo configurado para emitir uma declaração de autenticação do usuário quando o componente de dados para a segunda verificação de autenticação corresponde ao dito componente de dados para verificar a autenticação.7. Server for authenticating a communications terminal (TCP#2) belonging to a user with an authentication server (ServA) connected to a gateway terminal (TCP#1) through a communications network, the server characterized by the fact that it comprises: - a module configured to obtain a data component, from said gateway terminal (TCP#1), which represents a user identity; - a module configured to configure a data transmission link between said authentication server (ServA) and said user communications terminal (TCP#2), via a predefined data transmission interface of said gateway terminal (TCP#1) and as a function of said data component representing a user identity; - a module configured to transmit, to the user's communications terminal (TCP#2), an encrypted data component to verify authentication via the data transmission link; - a module configured to receive an encrypted data component for the second authentication check from the user communications terminal (TCP#2); - a module configured to issue a user authentication statement when the data component for the second authentication check matches said data component for verifying authentication.
BR102015031254-7A 2014-12-12 2015-12-14 METHOD FOR AUTHENTICATING A USER, CORRESPONDING SERVER AND COMMUNICATIONS TERMINAL BR102015031254B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1462382A FR3030083B1 (en) 2014-12-12 2014-12-12 METHOD FOR AUTHENTICATING A USER, SERVER, COMMUNICATION TERMINAL AND CORRESPONDING PROGRAMS
FR1462382 2014-12-12

Publications (2)

Publication Number Publication Date
BR102015031254A2 BR102015031254A2 (en) 2016-08-09
BR102015031254B1 true BR102015031254B1 (en) 2024-05-28

Family

ID=

Similar Documents

Publication Publication Date Title
US11184343B2 (en) Method for carrying out an authentication
US10693854B2 (en) Method for authenticating a user, corresponding server, communications terminal and programs
EP3175578B1 (en) System and method for establishing trust using secure transmission protocols
CN105917630B (en) Use single-sign-on bootstrapping to the redirection for checking agency
US9887985B2 (en) Management of certificate authority (CA) certificates
CN104639534B (en) The loading method and browser device of web portal security information
US9722972B2 (en) Methods and apparatuses for secure communication
CN101076796B (en) Virtual special purpose network established for roam user
US7992193B2 (en) Method and apparatus to secure AAA protocol messages
JP6337642B2 (en) Method for securely accessing a network from a personal device, personal device, network server, and access point
WO2016107319A1 (en) Method for loading secure key storage hardware, and browser client device
CN106452782A (en) Method and system for producing a secure communication channel for terminals
US8739252B2 (en) System and method for secure remote access
JP4698751B2 (en) Access control system, authentication server system, and access control program
CN113328980B (en) TLS authentication method, device and system, electronic equipment and readable medium
EP2902934B1 (en) Portable Security Device, Method for Securing a Data Exchange and Computer Program Product
CN104821951B (en) A kind of method and apparatus of secure communication
KR20170059359A (en) Verification mehod and appratus based on security tunnel
JP2016066298A (en) Relay device, communication system, information processing method and program
JP6466150B2 (en) Authentication method and device for accessing a user account of one service on a data network
Urien et al. A new convergent identity system based on eap-tls smart cards
US20210150520A1 (en) Method for authenticating payment data, corresponding devices and programs
BR102015031254B1 (en) METHOD FOR AUTHENTICATING A USER, CORRESPONDING SERVER AND COMMUNICATIONS TERMINAL
ES2906397T3 (en) Authentication method with the help of a mobile terminal using a key and a certificate stored on an external medium
Aussel Smart cards and digital identity