BRPI0915874B1 - Meio de armazenamento legível por computador que executa um método para autenticar um dispositivo portátil no computador e dispositivo portátil - Google Patents

Meio de armazenamento legível por computador que executa um método para autenticar um dispositivo portátil no computador e dispositivo portátil Download PDF

Info

Publication number
BRPI0915874B1
BRPI0915874B1 BRPI0915874-0A BRPI0915874A BRPI0915874B1 BR PI0915874 B1 BRPI0915874 B1 BR PI0915874B1 BR PI0915874 A BRPI0915874 A BR PI0915874A BR PI0915874 B1 BRPI0915874 B1 BR PI0915874B1
Authority
BR
Brazil
Prior art keywords
computer
portable device
user
communication
key
Prior art date
Application number
BRPI0915874-0A
Other languages
English (en)
Inventor
Narayanan Ganapathy
Original Assignee
Microsoft Technology Licensing, Llc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing, Llc filed Critical Microsoft Technology Licensing, Llc
Publication of BRPI0915874A2 publication Critical patent/BRPI0915874A2/pt
Publication of BRPI0915874B1 publication Critical patent/BRPI0915874B1/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • H04L67/16

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

protocolo para associação de dispositivo à estação. trata-se de uma técnica que permite que um dispositivo portátil seja associado automaticamente a uma multiplicidade de computadores. as informações que um computador pode usar para autenticar um dispositivo portátil e estabelecer uma relação de confiança antes de criar uma associação com o dispositivo portátil são criadas e armazenadas em um armazenamento de dados que é acessível a uma multiplicidade de computadores e são associadas a um usuário do dispositivo portátil. quando um computador descobre tal dispositivo portátil ao qual ele ainda não foi associado, o computador pode identificar um usuário registrado no computador e usar informações que identificam o usuário para recuperar informações de autenticação que são independentes do dispositivo e que se espera que sejam apresentadas pelo dispositivo portátil para autenticá-lo e possibilitar a associação automática.

Description

ANTECEDENTES DA INVENÇÃO
[001] A invenção refere-se a sistemas e métodos para associar (ou emparelhar), de maneira segura, dispositivos eletrônicos portáteis a um ou mais dispositivos de computação.
[002] É cada vez mais comum os usuários operarem diversos tipos de dispositivos eletrônicos portáteis com seus computadores (por exemplo, fones de ouvido sem fio, câmeras digitais, assistentes pessoais digitais (PDAs), telefones móveis, mouses, etc.). Muitos dispositivos eletrônicos portáteis vêm com suporte a tecnologias sem fio de curto alcance, como o Bluetooth, banda ultra-larga (UWB), Barramento Serial Universal (USB) sem fio e Comunicação por Campo de Curta Distância (NFC), enquanto outros podem se comunicar com o dispositivo de computação por meio de uma conexão física com fio.
[003] As tecnologias sem fio e conexões com fio de curto alcance somente possibilitam comunicações entre dispositivos localizados em estreita proximidade um com o outro. Devido a esta limitação da proximidade física, os riscos à segurança são consideravelmente reduzidos. Isto é, um dispositivo invasor precisaria estar fisicamente conectado ao dispositivo de computação alvo, ou dentro de seu alcance de transmissão, para conseguir interceptar e/ou injetar comunicações. Contudo, é comum empregar recursos de segurança para assegurar- se de que um dispositivo de computação associe-se e comunique-se apenas com dispositivos confiáveis e autorizados.
[004] Convencionalmente, executa-se um processo para confirmar que um dispositivo portátil é confiável antes de ser associado a um dispositivo de computação. Por exemplo, um dispositivo de compu- tação com suporte a uma tecnologia sem fio pode executar um protocolo de descoberta para obter uma lista de outros dispositivos com suporte à mesma tecnologia e que estão dentro do alcance de comunicação. O dispositivo de computação pode então iniciar, tanto de maneira automática quanto sob solicitação de um usuário, uma sessão de comunicação com um dos dispositivos descobertos. Para estabelecer a confiança entre os dois dispositivos, normalmente se solicita que o usuário interaja com um dos dispositivos ou com ambos. Por exemplo, cada dispositivo pode exibir um valor numérico e o usuário é solicitado a inserir “sim” em um ou ambos os dispositivos se os valores numéricos exibidos concordarem para verificar que o usuário está sob controle de ambos os dispositivos e que o dispositivo portátil é confiável. Tal processo de autenticação auxiliado pelo usuário normalmente é chamado de “pareamento manual”, pois exige uma ação manual de confirmação do usuário.
[005] Como parte do processo de pareamento manual convencional, assim que o usuário confirma que a conexão ocorre entre dispositivos confiáveis, os dispositivos armazenam informações de segurança (por exemplo, materiais de geração de chave criptográfica) para uso nas comunicações subsequentes, de modo que a associação futura entre os dispositivos possa ser realizada automaticamente pelos dispositivos sem ação do usuário. Sendo assim, se os mesmos dois dispositivos se descobrirem futuramente, as informações de segurança armazenadas podem ser recuperadas e trocadas para permitir que os dispositivos se reconheçam como confiáveis sem precisar realizar outro procedimento de pareamento manual.
SUMÁRIO
[006] Os aspectos da presente invenção direcionam-se a técnicas aperfeiçoadas para associar automaticamente um dispositivo portátil (por exemplo, um dispositivo sem fio, tal como um telefone móvel, reprodutor de MP3, fone de ouvido sem fio) a dois ou mais computadores diferentes. Nas técnicas convencionais, um dispositivo portátil precisava ser emparelhado manualmente a um computador para se estabelecer uma relação de confiança entre eles a fim de facilitar a associ-ação automática subsequente, e o processo de pareamento manual precisava ser realizado separadamente para cada computador com o qual um usuário desejava usar um dispositivo portátil. Por exemplo, um usuário que adquiria um novo fone de ouvido sem fio e deseja utilizá-lo tanto com um computador de trabalho quanto com um computador de uso doméstico convencionalmente precisava passar por um processo de pareamento manual com cada um desses computadores de modo a estabelecer uma relação de confiança com o fone de ouvido sem fio. Como parte do processo de pareamento manual, informações de registro são trocadas entre o computador e o diapositivo portátil (por exemplo, o fone de ouvido sem fio) que pode ser usado no futuro para permitir que os dispositivos se autentiquem e formem uma associação automática. Portanto, após um dispositivo ter sido emparelhado manualmente a um computador pela primeira vez, quando os dispositivos forem colocados em alcance de comunicação em um momento futuro, eles poderão se autenticar para estabelecer uma relação de confiança e estabelecer automaticamente a comunicação.
[007] Uma desvantagem das técnicas convencionais é que elas exigem uma operação de pareamento manual separada para um dispositivo portátil com cada computador com o qual ele será utilizado, o que pode ser incômodo ao usuário, especialmente para usuários que empregam um grande número de dispositivos portáteis com múltiplos computadores. De acordo com uma concretização da invenção, a necessidade de se realizar múltiplas operações de pareamento manual é superada. Isso pode ser realizado de diversas maneiras. Em um aspecto, durante uma operação de pareamento manual com um primeiro computador, estabelecem-se informações de autenticação entre o dispositivo portátil e um usuário do computador com o qual o dispositivo está sendo emparelhado manualmente. As informações de autenticação são então armazenadas em um armazenamento de dados que é acessível globalmente por qualquer número de computadores. Sendo assim, após as informações de autenticação terem sido estabelecidas, quando o usuário desejar utilizar o dispositivo portátil com qualquer computador novo (incluindo um computador com o qual ele não tenha sido emparelhado manualmente), esse computador pode recuperar informações de autenticação do armazenamento globalmente acessível baseado na identidade do usuário registrado no computador e usar essas informações de autenticação para permitir que o novo computador e o dispositivo portátil se autentiquem automaticamente e estabeleçam uma associação sem que precisem ser emparelhados manualmente. Isso é vantajoso, visto que o usuário só precisa parear manualmente um dispositivo portátil com um computador, e permite que o dispositivo seja associado automaticamente em seguida a qualquer computador no qual o usuário se autentique, em vez de exigir que o usuário passe por operações de pareamento manual subsequentes com cada computador que o usuário desejar utilizar em conjunto com o dispositivo portátil. Em um aspecto alternativo, as informações de autenticação podem ser estabelecidas e proporcionadas em um armazenamento globalmente acessível sem exigir que o dispositivo portátil seja emparelhado manualmente com qualquer computador em particular.
[008] Outra concretização da invenção direciona-se a um protocolo para autenticar um dispositivo portátil a um computador usando informações de autenticação que estão vinculadas a um usuário do computador, em vez de a um computador específico em si, de modo que as informações de autenticação possam ser empregadas por qualquer computador em que o usuário esteja registrado.
BREVE DESCRIÇÃO DOS DESENHOS
[009] Os desenhos em anexo não correspondem necessariamente à escala real. Nos desenhos, cada componente idêntico ou quase idêntico que é ilustrado nas várias figuras é representado por um numeral similar. Para fins de clareza, nem todo componente pode estar rotulado em cada desenho. Nos desenhos:
[0010] A FIG. 1 ilustra uma operação de pareamento manual de um dispositivo móvel com um único computador e, em seguida, a associação automática com computadores adicionais de acordo com uma concretização da presente invenção;
[0011] A FIG. 2 ilustra um sistema de computador incluindo um armazenamento de dados globalmente acessível incluindo informações para um ou mais computadores pata autenticar e associar automaticamente um dispositivo portátil de acordo com uma concretização da presente invenção;
[0012] A FIG. 3 é um fluxograma de um processo ilustrativo para criar e usar informações de autenticação para associar automaticamente o dispositivo portátil a um computador, de acordo com uma concretização da presente invenção;
[0013] A FIG. 4 é um processo para criar informações de autenticação para um dispositivo portátil e armazená-las de forma que as tornem acessíveis a uma multiplicidade de computadores de acordo com uma concretização da presente invenção;
[0014] A FIG. 5 é um processo para associar automaticamente um dispositivo portátil a um computador mediante a identificação de um usuário registrado no computador e recuperar informações de autenticação associadas ao usuário para autenticar o dispositivo portátil de acordo com uma concretização da invenção;
[0015] A FIG. 6 é um processo convencional para realizar a asso- ciação do dispositivo autenticado;
[0016] A FIG. 7 ilustra um processo para emparelhar manualmente um computador a um dispositivo portátil para criar informações de autenticação de acordo com uma concretização da presente invenção;
[0017] A FIG. 8 ilustra uma implementação exemplificativa de um armazenamento de dados incluindo informações de autenticação para uma multiplicidade de usuários e dispositivos portáteis de acordo com uma concretização da presente invenção;
[0018] A FIG. 9 ilustra uma implementação exemplificativa de um armazenamento de dados em um dispositivo portátil que inclui informações para autenticar o dispositivo portátil em um computador baseado em uma identidade do usuário do computador;
[0019] A FIG. 10 ilustra um processo para obter perfis para autenticar um dispositivo portátil e um computador de acordo com uma concretização da presente invenção;
[0020] A FIG. 11 é um diagrama que ilustra um exemplo de um protocolo para comunicação entre um computador e um dispositivo portátil para autenticar mutuamente o computador e o dispositivo portátil e permitir a associação automática entre eles de acordo com uma concretização da presente invenção; e
[0021] A FIG. 12 é uma ilustração esquemática de um computador exemplificative, no qual aspectos da presente invenção podem ser implementados.
DESCRIÇÃO DETALHADA
[0022] Como discutido acima, os protocolos convencionais de associação de dispositivo recorrem à intervenção manual do usuário para estabelecer inicialmente a confiança entre dois dispositivos. As informações de autenticação (por exemplo, materiais de geração de chave criptográfica) estabelecidas ou trocadas durante um procedimento de pareamento manual anterior podem então ser usadas poste- riormente para permitir que dois dispositivos que já foram associados em um momento passado sejam associados automaticamente sem intervenção do usuário. No entanto, um procedimento de pareamento manual deve ser realizado para pelo menos estabelecer a troca das informações de segurança necessárias para quaisquer dois dispositivos que nunca tenham sido associados anteriormente.
[0023] Os titulares apreciaram que alguns usuários empregam dois ou mais dispositivos de computação diferentes (por exemplo, um em casa e outro no trabalho) com os quais o usuário pode desejar associar os mesmos um ou mais dispositivo(s) portáteis (por exemplo, fones de ouvido, reprodutores de MP3, telefone móvel, etc) Os titulares apreciaram também que o processo de pareamento manual pode ser demorado e tedioso para os usuários dos dispositivos, principalmente se precisar ser repetido diversas vezes para o mesmo dispositivo portátil para associar o dispositivo portátil a múltiplos dispositivos de computação.
[0024] Sendo assim, de acordo com uma concretização da invenção ilustrada conceitualmente na FIG. 1, um usuário pode parear um dispositivo portátil (por exemplo, um telefone móvel 210) manualmente pela primeira vez (por exemplo, em 221) com um computador (por exemplo, o computador doméstico 220), e depois, o dispositivo portátil pode ser associado automaticamente a outros computadores (por exemplo, o laptop 340 ilustrado em 231 ou o computador de trabalho 240 ilustrado em 241) usado pelo mesmo usuário. As referências aqui feitas ao dispositivo portátil sendo associado automaticamente indicam que um usuário do computador e do dispositivo portátil não precisa realizar nenhuma ação para autenticar o dispositivo portátil ao computador ou o computador ao dispositivo portátil e facilita a associação entre eles.
[0025] O aspecto da invenção que possibilita a associação automática entre um dispositivo portátil e um computador com o qual o dispositivo portátil não foi pareado manualmente em um momento anterior pode ser implementado de qualquer maneira adequada, visto que não se limita a nenhuma técnica de implementação específica. De acordo com uma concretização ilustrativa da presente invenção, emprega-se uma técnica para uso com um dispositivo portátil capaz de ser associado a dois ou mais computadores. Criam-se informações de autenticação que autenticam o dispositivo portátil, e as informações de autenticação são armazenadas em um armazenamento de dados que é acessível a dois ou mais computadores, e de uma forma que associa as informações de autenticação a um usuário do dispositivo portátil. Uma vez que as informações de autenticação sejam criadas e armazenadas em um armazenamento de dados acessível a um computador ao qual o dispositivo portátil não tenha sido associado anteriormente, esse computador pode acessar e usar as informações de autenticação para autenticar o dispositivo portátil automaticamente, sem necessitar de uma operação de pareamento manual. Isso pode ser realizado de qualquer maneira adequada.
[0026] Por exemplo, de acordo com outra concretização da invenção, quando um dispositivo de computação descobre pelo menos um dispositivo portátil ao qual ele ainda não foi associado, o dispositivo de computação pode identificar o usuário registrado no dispositivo de computação, usar informações que identificam o usuário registrado para recuperar informações de autenticação para o dispositivo portátil e usar as informações de autenticação recuperadas para autenticar o dispositivo portátil e associá-lo automaticamente ao dispositivo de computação.
[0027] Como deve ser apreciado com base no que foi exposto, os Titulares apreciaram que uma desvantagem das técnicas convencionais para associar um dispositivo portátil a múltiplos dispositivos de computação é que quando as informações de autenticação são trocadas entre um dispositivo portátil e um dispositivo de computação, as informações que podem ser usadas para autenticar o dispositivo portátil no futuro para permitir a associação automática são convencionalmente armazenadas pelo dispositivo de computação de uma forma que se encontra acessível apenas localmente a esse dispositivo de computação. De acordo com uma concretização da presente invenção, as informações de autenticação para um dispositivo portátil são armazenadas de uma forma que as tornam mais acessíveis globalmente a um ou mais dispositivos de computação, mesmo dispositivos de computação não utilizados para comunicar-se com o dispositivo portátil para estabelecer as informações de autenticação. Como resultado, quando o dispositivo portátil é descoberto pela primeira vez por tal dis-positivo de computação, o dispositivo de computação pode acessar o armazenamento de dados, recuperar as informações de autenticação e usá-las para autenticar e associar automaticamente o dispositivo portátil, ainda que o dispositivo de computação nunca tenha se envolvido anteriormente em um pareamento manual com o dispositivo portátil. Isso é ilustrado de forma conceituai na FIG. 2, em que um dispositivo portátil 901 pode ser associado, em tempos diferentes conforme indicado pelas linhas pontilhadas 903a e 903b, a dois ou mais computadores 905a e 905b. As informações de autenticação 909 que podem ser usadas para autenticar o dispositivo portátil 901 são armazenadas em um armazenamento de dados 907 que é acessível a dois ou mais dos computadores 905a-b. Sendo assim, quando o dispositivo portátil 901 é descoberto por qualquer um dos computadores 905a-b, incluindo um com o qual o dispositivo portátil 901 não foi pareado manualmente em um momento anterior para estabelecer as informações de autenticação, o computador 905a-b pode acessar o armazenamento de dados 907 para recuperar as informações de autenticação 909 e usá-las para autenticar e associar automaticamente o dispositivo portátil 901 ao computador.
[0028] Na configuração ilustrada na FIG. 2, o armazenamento de dados 907 ilustrado como sendo acessível, por meio de uma rede 911, a cada um dos computadores 905a-b. De acordo com uma concretização da invenção, a rede 911 pode ser qualquer rede apropriada (por exemplo, a Internet) e o armazenamento de dados 907 pode ser associado a um dispositivo de computação (por exemplo, um servidor de base de dados ou outro tipo de dispositivo de computação) que é diferente de qualquer um dos computadores 905a-b. No entanto, deve-se apreciar que os aspectos da presente aqui descritos não se limitam a esse respeito. Por exemplo, o armazenamento de dados 907 pode ser proporcionado em ou associado a um dos computadores 905a-b e pode ser acessado pelos computadores 905a-b por meio de uma chave flash USB ou qualquer outro meio de comunicação adequado.
[0029] De acordo com uma concretização da presente invenção discutida abaixo, as informações de autenticação 909 são desenvolvidas por meio de um pareamento manual do dispositivo portátil 901 com um dos computadores 905a-b e são então armazenadas no armazenamento de dados 907, que pode ser um armazenamento de dados no computador que efetuou o pareamento manual ou outro computador. No entanto, deve-se apreciar que os aspectos da presente invenção descritos no presente relatório não se limitam a esse aspecto, uma vez que as informações de autenticação podem ser desenvolvidas e armazenadas no armazenamento de dados 907 de qualquer maneira adequada. Por exemplo, em uma concretização alternativa da presente invenção, as informações de autenticação (por exemplo, materiais de geração de chave) podem ser geradas sem realizar uma operação de pareamento manual. Em seguida, a(s) parte(s) dos materiais de geração de chave a ser(em) usada(s) pelo dispositivo portátil durante a associação automática pode(m) ser armazenada(s) diretamente no dispositivo portátil de qualquer maneira adequada, e a(s) parte(s) dos materiais de geração de chave a ser(em) usada(s) por um ou mais dos computadores pode(m) ser armazenada(s) em um armazenamento globalmente acessível.
[0030] Como deve ser apreciado com base no que foi apresentado, uma concretização da presente invenção direciona-se a um processo do tipo ilustrado na FIG. 3 para associar um dispositivo portátil a um computador. Inicialmente, na etapa 1001, o dispositivo portátil é pareado manualmente a um primeiro computador (por exemplo, o computador 905a na FIG. 2) para criar informações de autenticação (por exemplo, as, as informações de autenticação 909) que podem ser usadas para autenticar o dispositivo portátil. Deve-se apreciar que as informações de autenticação podem, como alternativa, ser estabelecidas de outras formas, como mencionado acima. Na etapa 1003, as informações de autenticação são armazenadas em um armazenamento de dados (por exemplo, o armazenamento de dados 907) que é acessível a outro computador (por exemplo, o computador 905b) e é associado ao usuário do dispositivo portátil 901. Sob esse aspecto, de acordo com uma concretização da presente invenção, as informações de autenticação são armazenadas no armazenamento de dados de uma forma que as associam a um usuário do dispositivo portátil de modo que um computador que descobre o dispositivo portátil possa identificar o usuário do computador e usar essas informações para identificar quais informações de autenticação deverá recuperar do armazenamento de dados. Sob esse aspecto, de acordo com algumas concretizações da presente invenção, o armazenamento de dados (por exemplo, o armazenamento de dados 907) pode incluir informações de autenticação para qualquer número de dispositivos portáteis e/ou para um ou mais usuários, de modo que quando as informações para múlti- pios dispositivos do usuário forem armazenadas, a identidade do usuário do computador que descobre o dispositivo portátil possa ser utilizada para identificar as informações de autenticação apropriadas para os dispositivos deste usuário. No entanto, deve-se apreciar que nem todas as concretizações se limitam ao uso de informações que identificam o usuário para identificar quais informações de autenticação serão utilizadas para autenticar o dispositivo portátil, uma vez que qualquer técnica adequada possa ser empregada.
[0031] Na etapa 1005, outro computador além do que foi pareado manualmente com o dispositivo portátil para criar as informações de autenticação (por exemplo, um segundo computador, tal como o computador 905b) pode acessar o armazenamento de dados para recuperar as informações de autenticação (por exemplo, as informações de autenticação 909). Esta etapa pode ser realizada em resposta à descoberta por esse computador do dispositivo portátil, ou em qualquer momento adequado.
[0032] Finalmente, na etapa 1007, o computador pode usar as informações de autenticação recuperadas (por exemplo, as informações de autenticação 909) para autenticar o dispositivo portátil 901 e associar automaticamente o dispositivo portátil ao computador (por exemplo, 905b) quando for autenticado com êxito. Dessa forma, o dispositivo portátil pode ser automaticamente associado a um computador (por exemplo, o computador 905b) sem nunca ter sido manualmente pareado a esse computador.
[0033] Como se deve apreciar com base no que foi apresentado, o processo ilustrado na FIG. 3 difere das técnicas convencionais para associação de um dispositivo portátil a um ou mais computadores tanto na forma em que as informações de autenticação são armazenadas (por exemplo, em um armazenamento de dados acessível a outros computadores, em vez de uma operação de pareamento manual para obter as informações de autenticação) quanto no processo realizado por um computador quando descobre pela primeira vez um dispositivo portátil ao qual ainda não havia sido associado (por exemplo, mediante a obtenção de informações de autenticação a partir de um armazena-mento de dados em vez de realizar uma operação de pareamento manual).
[0034] Sob esse aspecto, a FIG. 4 ilustra um processo de acordo com uma concretização da presente invenção, que envolve tornar as informações de autenticação para um dispositivo portátil disponíveis a um ou mais computadores não associados anteriormente ao dispositivo portátil. Na etapa 1101, criam-se informações de autenticação que podem ser usadas para autenticar o dispositivo portátil. Como discutido acima, as informações de autenticação podem ser criadas por meio do pareamento manual do dispositivo portátil com um computador, ou de qualquer outra forma adequada, uma vez que os aspectos da presente invenção descritos no presente relatório não se limitam a nenhuma técnica específica para criação das informações de autenticação.
[0035] Na etapa 1103, as informações de autenticação são armazenadas de uma forma que as torna acessíveis a uma multiplicidade de computadores, em vez de serem armazenadas de maneira localizada acessível a apenas um único computador, usando qualquer técnica adequada, cujos exemplos são descritos no presente relatório. De acordo com uma concretização da presente invenção, as informações de autenticação são armazenadas de uma forma que as associam a um usuário do dispositivo portátil para facilitar a recuperação, como discutido acima.
[0036] A FIG. 5 ilustra um processo que um computador pode realizar de acordo com uma concretização da presente invenção para as- sociar-se automaticamente a um dispositivo portátil. O processo da FIG. 5 pode ser iniciado em resposta à descoberta do dispositivo portátil pelo computador ou em resposta a qualquer outro evento adequado. Na etapa 1201, o processo identifica um usuário registrado no computador. Em seguida, na etapa 1203, o processo recupera, a partir de um armazenamento de dados, informações de autenticação que estão associadas ao dispositivo portátil e que também estão associadas ao usuário que é identificado na etapa 1201 como estando registrado no computador. Isso pode ser realizado de qualquer forma adequada, cujos exemplos são discutidos na presente invenção. Na etapa 1205, o computador usa as informações de autenticação para fazer uma determinação quanto a se o dispositivo portátil (por exemplo, o dispositivo portátil 901) pode se autenticar com êxito como um dispositivo confiável. Isso pode ser realizado de qualquer forma adequada, cujos exemplos são descritos adiante. Quando se determina, na etapa 1205, que o dispositivo portátil não pode se autenticar como um dispositivo confiável, o processo termina e o dispositivo portátil não é associado ao computador. Como alternativa, quando se determina, na etapa 1205, que o dispositivo portátil pode se autenticar com êxito como um dispositivo confiável, o processo segue para a etapa 1207, na qual o dispositivo portátil é automaticamente associado ao computador de modo que nenhuma operação de pareamento manual precise ser realizada. Como discutido acima, as informações de autenticação (por exemplo, 909 na FIG. 2) que podem ser armazenadas em um armazenamento de dados acessível a múltiplos computadores podem assumir qualquer forma adequada. Por exemplo, as informações de autenticação podem compreender algumas informações que não se encontram publicamente acessíveis (denominadas “secretas” na presente invenção por conveniência) e que um computador usando as informações de autenticação para autenticar um dispositivo portátil esperaria que somente o dispositivo portátil confiável associado às informações de autenticação fosse capaz de oferecer.
[0037] Como alternativa, de acordo com outras concretizações da presente invenção, as informações de autenticação podem incluir um ou mais materiais de geração de chave que podem ser usados por um computador que recupera materiais de geração de chave para se comunicar, de acordo com um ou mais protocolos de segurança, com um dispositivo portátil. Por exemplo, em uma concretização não restritiva, uma parte dos materiais de geração de chave pode ser usada pelo computador para verificar uma assinatura digital que acompanha uma comunicação, assegurando-se assim de que a comunicação foi realmente transmitida por um dispositivo portátil confiável, pois somente um dispositivo portátil confiável associado às informações de autenticação teria sido capaz de enviar tal comunicação junto com uma assinatura digital válida. Em outro exemplo, uma parte dos materiais de geração de chave pode ser usada pelo computador para descriptogra- far uma comunicação que foi criptografada pelo dispositivo portátil.
[0038] No presente relatório descritivo, a expressão "material de geração de chave criptográfica"é utilizada para designar qualquer informação que possa ser usada com a finalidade de proteger a comunicação, por exemplo, para preservar o sigilo e a integridade das mensagens e/ou para autenticar as fontes das mensagens. Exemplos de materiais de geração de chave criptográfica incluem pares de chaves pública-privada (usadas na criptografia de chave assimétrica e assinaturas eletrônicas), chaves secretas (usadas na criptografia de chave simétrica), nonces (isto é, valores aleatórios que são usados apenas uma vez e depois descartados) e somas de verificação/hashes (normalmente gerados por funções hash criptográficas e usados para fins diferentes, tais como verificações de integridade e/ou comprometimentos). Esses são meros exemplos de materiais de geração de chave criptográfica que podem ser usados para estabelecer as informações de autenticação usadas de acordo com algumas concretizações descritas na presente invenção. Além disso, deve-se apreciar que as informações de autenticação armazenadas no armazenamento de dados podem incorporar qualquer informação que permite que um computador acessando-as autentique o dispositivo portátil de qualquer forma adequada, uma vez que os aspectos da presente invenção descritos aqui não se limitam ao uso de qualquer tipo específico de material de geração de chave criptográfica ou de outras informações de autenticação.
[0039] De acordo com uma concretização da presente invenção, empreendem-se etapas não somente para autenticar o dispositivo portátil a um computador antes de permitir a associação automática, mas também para autenticar o computador e/ou um usuário deste ao dispositivo portátil antes de o dispositivo portátil permitir que o computador seja automaticamente associado a ele. Sendo assim, algumas concretizações da invenção descrita abaixo implementam técnicas para autenticar um computador e/ou um usuário deste a um dispositivo portátil além de autenticar o dispositivo portátil ao computador antes de permitir a associação automática entre os dois. No entanto, deve-se apreciar que todos os aspectos da presente invenção não se limitam a esse aspecto, uma vez que todas as técnicas descritas aqui podem ser empregadas para autenticar somente o dispositivo portátil ao com-putador para permitir associação automática.
[0040] As técnicas convencionais para associação automática de dispositivos requerem que cada computador armazene um conjunto separado de materiais de geração de chave criptográfica (desenvolvidos durante o pareamento manual) para cada dispositivo portátil como qual ele é capaz de associação automática. De modo similar, um dispositivo portátil convencionalmente precisa armazenar um conjunto separado de materiais de geração de chave criptográfica (também de- senvolvidos durante o pareamento manual) para cada computador ao qual o dispositivo pode ser automaticamente associado. Isso se deve ao fato de que, nas técnicas de associação de dispositivo existentes, os materiais de geração de chave criptográfica desenvolvidos como resultado do pareamento manual dos dois dispositivos são específicos ao dispositivo e vinculados aos dispositivos.
[0041] Como exemplo de uma técnica de associação convencional, a FIG. 6 apresenta uma versão simplificada do protocolo de Pareamento Simples Bluetooth. Inicialmente, na etapa 310, dois dispositivos com suporte a Bluetooth se descobrem, e na etapa 320, estabelecem um canal de comunicação não-seguro. Em seguida, os dois dispositivos participantes trocam entre si suas chaves públicas na etapa 330. Na etapa 340, os valores de confirmação são calculados com base nas chaves públicas trocadas e/ou nos endereços Bluetooth dos dispositivos participantes, e na etapa 350, uma chave de ligação para manter o pareamento é calculada usando os endereços Bluetooth dos dispositivos participantes, e é usada para engajar-se à comunicação criptografada na etapa 360.
[0042] Como se deve apreciar com base no que foi apresentado, os materiais de geração de chave criptográfica estabelecidos usando o Pareamento Simples Bluetooth são vinculados aos endereços Bluetooth dos dispositivos participantes. Como resultado, os materiais de geração de chave criptográfica estabelecidos entre um par de dispositivos geralmente não são reutilizados para associar outro par de dispositivos, mesmo se os dois pares tiverem um dispositivo em comum e/ou se os materiais de geração de chave criptográfica puderem ser transferidos de um dispositivo para outro. Por exemplo, se os materiais de geração de chave criptográfica estabelecidos para um dispositivo portátil e um primeiro computador com um primeiro endereço Bluetooth fossem usados para tentar associar um segundo computador e o dis- positivo portátil, o dispositivo portátil pode recusar a associação ao segundo computador, uma vez que os materiais de geração de chave criptográfica estão vinculados ao primeiro endereço Bluetooth e o dis-positivo portátil pode reconhecer que o segundo computador tem um endereço Bluetooth diferente. Sendo assim, de acordo com uma concretização da invenção, empregam-se materiais de geração de chave criptográfica que são independentes do dispositivo, de modo que possam ser compartilhados de maneira simples e segura entre diferentes computadores para a finalidade de associação de dispositivos.
[0043] Em uma concretização, os materiais de geração de chave criptográfica independentes do dispositivo são criados, por um procedimento de pareamento manual ou de alguma outra forma, não entre o dispositivo portátil e qualquer computador específico, mas sim entre o dispositivo portátil e um usuário deste. Portanto, ao contrário dos materiais de geração de chave criptográfica formados usando protocolos de associação de dispositivo convencionais, os materiais de geração de chave criptográfica não estão vinculados a nenhum computador específico, e, portanto, podem ser usados para associar o dispositivo portátil a qualquer computador ou grupo de computadores. De acordo com uma concretização da presente invenção, emprega-se um protocolo de associação que utiliza materiais de geração de chave criptográfica independentes do dispositivo para associar um dispositivo portátil a um computador. No entanto, os materiais de geração de chave criptográfica, o protocolo de associação e outras técnicas descritas na presente invenção não se limitam a esse aspecto, e podem ser usados para realizar a associação entre quaisquer dois ou mais dispositivos de qualquer tipo, incluindo não apenas entre um dispositivo portátil e um dispositivo convencionalmente denominado computador (por exemplo, um laptop ou computador pessoal), mas entre quaisquer dois dispositivos de qualquer tipo. Além disso, deve-se apreciar que a refe- rência a um computador ou dispositivo de computação (termos que são usados de forma intercambiável aqui) é utilizada para designar qualquer dispositivo que contenha um processador programado, inclusive dispositivos que podem não ser convencionalmente chamados de computador. Além disso, as técnicas descritas na presente invenção podem ser usadas para efetuar associações entre grupos de dispositivos. Por exemplo, as técnicas descritas na presente invenção podem ser usadas em um cenário de difusão ou difusão seletiva para permitir que um grupo de dispositivos que compartilham um primeiro conjunto de materiais de geração de chave criptográfica seja associado a outro grupo de dispositivos que compartilham um segundo conjunto de materiais de geração de chave criptográfica.
[0044] Os materiais de geração de chave criptográfica independentes do dispositivo usados de acordo com uma concretização podem ser disponibilizados a qualquer computador com a finalidade de associar um dispositivo portátil. Isso pode ser realizado de qualquer maneira adequada. Por exemplo, os materiais de geração de chave criptográfica podem ser armazenados em um primeiro computador ao qual é associado o dispositivo portátil, e depois transferido para um segundo computador sob solicitação do usuário ou em resposta a uma solicitação automática feita pelo segundo computador. Como alternativa, o primeiro computador pode armazenar os materiais de geração de chave criptográfica em um armazenamento globalmente acessível, de modo que um segundo computador possa recuperar os materiais de geração de chave criptográfica do mesmo. O armazenamento globalmente acessível pode estar no primeiro computador ou em um computador separado e/ou pode ser recuperado usando qualquer interface adequada, tal como uma interface de Rede, uma interface de sistema de arquivos de rede ou qualquer outra interface adequada.
[0045] De acordo com uma concretização da presente invenção descrita adiante, os materiais de geração de chave criptográfica independentes do dispositivo a serem usados por múltiplos computadores para associar um dispositivo portátil são gerados usando identificadores únicos (IDs) tanto para o usuário quanto para o dispositivo portátil. Esses identificadores únicos podem ser estabelecidos de qualquer maneira adequada, uma vez que os aspectos da presente invenção que empregam esses IDs para gerar os materiais de geração de chave criptográfica não se limitam a esse aspecto. Por exemplo, o ID único do usuário pode ser um endereço de correio eletrônico do usuário, ou um identificador único fornecido por um serviço que fornece identificadores únicos, tal como o Windows Live ID disponibilizado pela Microsoft Corporation ou qualquer outro serviço, ou pode ser fornecido de qualquer outra forma adequada. De modo similar, o dispositivo portátil pode ser identificado por meio de um identificador único usando qualquer técnica adequada, tal como Identificador Único Global (GUID) ou qualquer outra técnica adequada.
[0046] Referindo-se à FIG. 7, um processo para parear manual mente um dispositivo portátil e um computador a fim de estabelecer materiais de geração de chave criptográfica independentes do dispositivo de acordo com uma concretização da invenção é ilustrado na forma de um gráfico de mensagens. O processo ilustrado na FIG. 7 pode começar após o dispositivo portátil 410 e o computador 420 terem descoberto um ao outro e terem estabelecido um canal de comunicação (por exemplo, um canal não-seguro) de qualquer maneira ade-quada. No caso do Bluetooth, por exemplo, o dispositivo portátil 410 pode ter sido colocado no modo visível, e o computador 420 pode ter realizado uma varredura para descobrir o dispositivo portátil 410 e pode ter iniciado comunicação com o dispositivo portátil 410. Dependendo do método de comunicação subjacente, a troca de comunicações ilustrada na FIG. 7 pode ser realizada durante a consolidação da descoberta e da comunicação ou durante qualquer estágio de comunicação entre os dois dispositivos participantes, uma vez que a invenção não está limitada nesse sentido.
[0047] Na etapa 430, o computador 420 envia, ao dispositivo portátil 410, um primeiro conjunto de informações compreendendo um ID do usuário (IDuser), uma chave pública do usuário (PKuser) e um valor aleatório gerado para a associação entre o usuário e o dispositivo portátil 410 (Ruser,dev). O valor aleatório Ruser,dev é uma unidade de informação secreta que identifica unicamente uma associação entre o usuário e o dispositivo portátil 410. Como discutido adiante, de acordo com uma concretização, Ruser,dev pode ser usado para oferecer segurança contra um ataque de repetição em que um dispositivo tenta representar-se irregularmente para estabelecer a associação automática.
[0048] No entanto, deve-se apreciar que o aspecto da presente invenção relacionado a um protocolo para desenvolver materiais de geração de chave independentes do dispositivo não se limita ao emprego de uma unidade adicional de informação secreta, tal como Ru- ser,dev para proteção contra tal ataque, podendo ser omitido em algumas concretizações (por exemplo, caso se acredite que o risco de tal ataque é mínimo). Além disso, embora as informações secretas sejam apresentadas como um número aleatório em uma concretização, deve-se apreciar que é possível empregar qualquer técnica para estabelecer as informações secretas, uma vez que não se limita a ser um número aleatório.
[0049] Em uma concretização, emprega-se uma técnica para proteger a transferência do número aleatório ao dispositivo portátil. Isso pode ser realizado de qualquer maneira adequada. Por exemplo, a transferência pode ocorrer via um dispositivo USB ou uma tecnologia sem fio de proximidade, tal como NFC, cujo alcance de transmissão é tão pequeno que fica praticamente impossível outro dispositivo espionar.
[0050] Na etapa 440, o dispositivo portátil 410 envia, ao computador 420, um segundo conjunto de informações compreendendo um ID do dispositivo portátil 410 (IDdev) e uma chave pública do dispositivo portátil 410 (PKdev).
[0051] Deve-se apreciar que as técnicas aqui descritas não se limitam à combinação exata de informações trocadas durante as etapas 430 e 440 nem ao número e à ordem das comunicações ilustrados na FIG. 7. Por exemplo, em uma concretização, as chaves públicas podem ser enviadas entre o computador 420 e o dispositivo portátil 410 em certificados assinados por uma autoridade confiada tanto pelo dispositivo portátil 410 quanto pelo computador 420 para aumentar a se-gurança, embora isso não seja obrigatório. Além do mais, as informações podem ser trocadas de qualquer forma adequada, incluindo etapas de decomposição 430 e 440 em múltiplas comunicações e intercalando as comunicações em qualquer ordem apropriada.
[0052] Na etapa 450, o dispositivo portátil exibe, em um meio de exibição do mesmo, pelo menos parte das informações fornecidas pelo computador 420 ou derivadas deste, e o computador 420 similarmente exibe, em um meio de exibição do mesmo, pelo menos parte das informações recebidas do dispositivo portátil 410 ou das informações derivadas deste para permitir que o usuário confirme que os dispositivos em comunicação são os dispositivos corretos, e, dessa forma, es-tabeleça que a comunicação é confiável. As informações a serem exibidas são informações que o usuário será capaz de verificar como tendo sido fornecidas pelo outro dispositivo para estabelecer a relação de confiança. Isso pode ser realizado de qualquer forma adequada, sendo alguns exemplos discutidos a seguir. Por exemplo, em uma concretização, o dispositivo portátil 410 pode exibir IDuser e o compu- tador 420 pode exibir IDdev, e o usuário pode similarmente ter permissão a visualizar, em cada dispositivo, o ID que é transmitido ao outro (por exemplo, o usuário pode ter visto o IDdev no dispositivo portátil 410 e IDuser no computador 420) de modo que o usuário possa verificar que cada dispositivo exibe corretamente um identificador transmitido pelo outro dispositivo.
[0053] Alguns dispositivos (por exemplo, o dispositivo portátil 410) podem carecer de um meio de exibição ou interface do usuário que possibilite a exibição de informações para oferecer ao usuário a oportunidade de visualizá-las e confirmá-las. De acordo com uma concretização da presente invenção, para tal dispositivo, a etapa de exibição de informações nesse dispositivo portátil pode ser omitida. A omissão dessa etapa pode impedir o usuário de verificar que o dispositivo portátil está trocando informações com o computador desejado (por exemplo, 420). No entanto, se o usuário estiver disposto a aceitar a redução de segurança que dela resulta, pode-se omitir inteiramente a etapa. Como alternativa, em tal circunstância, o meio de comunicação usado para trocar informações entre o dispositivo portátil e o computador pode ser um que não deixa dúvidas de que os dois dispositivos confiáveis estão se comunicando. Por exemplo, a comunicação pode ser realizada por meio de uma conexão com fio, por meio de um meio de comunicação portátil, tal como um dispositivo flash USB, ou usando uma tecnologia de comunicação, tal como NFC, que tem um alcance de transmissão baixíssimo e elimina a possibilidade de um terceiro dispositivo de computação interceptar e/ou injetar comunicação.
[0054] Na etapa 460, o usuário confirma que o pareamento e troca de informações ocorreram entre dispositivos confiáveis pela interação com um dentre o dispositivo portátil 410 e o computador 420 ou com ambos. Por exemplo, se os IDs exibidos na etapa 450 estiverem corretos, o usuário pode operar uma interface de usuário do dispositivo por- tátil 410 e do computador 420 para indicar isso. Quando então indicado, o computador 420 e o dispositivo portátil 410 procederão da maneira descrita adiante. Como alternativa, se o usuário falhar em indicar que as informações foram trocadas entre dispositivos confiáveis, o processo terminará e as informações de associação não serão armazenadas.
[0055] Deve-se apreciar que o usuário pode ser informado das informações que esperam ser exibidas no computador 420 e no dispositivo portátil 410 de qualquer maneira adequada. Por exemplo, cada dispositivo (por exemplo, dispositivo portátil 410 e computador 420) pode oferecer uma interface do usuário pela qual ele pode exibir seu próprio ID ou outras informações ao usuário, de modo que o usuário possa tomar nota das informações que esperam ser vistas no outro dispositivo para verificar a relação confiável. Por exemplo, como mencionado acima, o dispositivo portátil pode exibir seu ID ao usuário em sua própria interface do usuário de modo que o usuário possa saber quais informações esperam ser exibidas pelo computador 420 para confirmar que o computador 420 está pareando com o dispositivo portátil correto 410. No entanto, isso é um mero exemplo, pois o usuário pode ser informado das informações que espera que sejam exibidas em ou em ambos os dispositivos de pareamento de qualquer maneira adequada.
[0056] Como discutido acima, quando o usuário confirma que a relação é confiável pela interação com um dentre o dispositivo portátil 410 e o computador 420 ou com ambos, o dispositivo portátil 410 e o computador 420 armazenam pelo menos parte das informações recebida nas etapas 430 e 440 e/ou informações derivadas destas. Por exemplo, o dispositivo portátil 410 pode armazenar o perfil <IDuser, PKuser, Ruser,dev> em qualquer armazenamento interno (por exemplo, memória) disponível no dispositivo portátil, ao passo que o compu- tador420 pode armazenar o perfil <IDdev, PKuser, Ruser,dev> em um armazenamento globalmente acessível em uma localização associada ao usuário. Informações adicionais e/ou alternativas podem ser obtidas e armazenadas nesses perfis, uma vez que as técnicas aqui descritas não se limitam a nenhuma informação específica sendo trocada. É possível ainda empregar outros tipos de informações adequados. Um exemplo ilustrativo de uma forma em que o perfil criado na FIG. 7 pode ser usado para autenticar o dispositivo portátil com um ou mais compu-tadores (inclusive outros computadores além do computador 420) e facilitar a associação automática é descrito a seguir.
[0057] A FIG. 8 ilustra uma configuração exemplificativa do armazenamento de dados globalmente acessível 801 para armazenar perfis de dispositivo estabelecidos para uma multiplicidade de usuários (usuário 1 ao usuário N) usando o protocolo e as informações ilustrados na FIG. 7. Como mencionado acima, esses perfis são meramente ilustrativos, de modo que os dados globalmente acessíveis possam ser organizados de outras maneiras para armazenar outros tipos de informações. Na concretização ilustrada na FIG. 8, cada usuário tem a capacidade de ser associado a múltiplos dispositivos. Por exemplo, as informações armazenadas e associadas ao usuáriol incluem três entradas 905a-c, cada uma das quais corresponde a um dispositivo diferente associado ao usuáriol. Por exemplo, as entradas 805a-c podem corresponder a um telefone móvel, reprodutor de MP3 e um conjunto de fones de ouvido sem fio, todos pertencendo ao mesmo usuário, embora esses sejam meros exemplos, uma vez que o(s) dispositivo(s) portátil(is) associado(s) ao usuário pode(m) ser qualquer dispositivo portátil adequado.
[0058] Deve-se apreciar que o mesmo dispositivo portátil pode ser compartilhado por vários usuários. Portanto, de acordo com uma concretização da invenção ilustrada na FIG. 8, o mesmo dispositivo pode ser associado a múltiplos usuários no armazenamento de dados 801. Isso é ilustrado, por exemplo, pelo dispositivo identificado pelo identificador IDdevI estando associado ao usuáriol por uma entrada 805a e adicionalmente associado ao usuário2 por uma entrada 807a.
[0059] Como se pode observar na FIG. 8, de acordo com uma concretização, as entradas 805a e 807a não são idênticas, uma vez que os valores que identificam as associações entre os usuários e o dispositivo portátil são diferentes (isto é, Ruser1,dev1 e Ruser2,dev1).
[0060] É possível usar valores distintos que identifiquem as associações entre um usuário específico e um dispositivo específico, de acordo com uma concretização da presente invenção, para proteger de possíveis ataques de repetição feitos por um usuário não-confiável. Sob esse aspecto, deve-se apreciar que as técnicas aqui descritas podem ser empregadas com computadores e outros dispositivos que pode ser compartilhados por múltiplos usuários. Sendo assim, de acordo com uma concretização da presente invenção, o uso de um valor único identificando uma associação entre um usuário e um dispositivo portátil pode ser realizado para impedir ataques de repetição orquestrados por um usuário não-confiável. Tais ataques poderiam assumir uma ou várias formas. Por exemplo, como se deve apreciar com base no que foi apresentado, no processo de troca de informações de autenticação entre um computador e um dispositivo portátil específico (neste exemplo chamado de dispositivo 1), o dispositivo 1 irá receber as informações enviadas pelo computador para autenticar a identidade do usuário registrado no computador (por exemplo, o IDuser assinado por uma chave associada ao usuário). Sendo assim, essas informações podem ser armazenadas no dispositivo portátil (por exemplo, dispositivol neste exemplo). Se outro usuário tomasse controle desse dispositivo portátil (por exemplo, dispositivol), há o risco de que o usuário poderia fazer o dispositivo portátil repetir as informações recebidas do compu- tador de modo que o dispositivo portátil possa essencialmente fingir que é um computador no qual o primeiro usuário se registrou (por exemplo, usuáriol) e tentar associar-se automaticamente a outro dispositivo (por exemplo, dispositivo2) como o usuáriol, quando na verdade o dispositivo portátil está sob controle de outro usuário (por exemplo, usuário2).
[0061] Deve-se apreciar que existe um risco similar de que um computador que participa na troca de informações para autenticar um dispositivo portátil receba as informações que o dispositivo portátil usa para se autenticar (por exemplo, o identificador único para o dispositivo portátil assinado por uma chave do dispositivo portátil) e que essas informações possam ser armazenadas no computador e possivelmente repetidas pelo computador para fingir a identidade do dispositivo portátil ao tentar formar uma associação com outro computador ou outro tipo de dispositivo no qual outro usuário que não o usuáriol está registrado (por exemplo, o usuário2). Por exemplo, no processo de troca de informações de autenticação entre o computador e o disposi- tivol, o computador irá receber as informações que o dispositivol envia para se autenticar (por exemplo, o IDdev assinado por uma chave associada ao dispositivol). Sendo assim, essas informações podem ser armazenadas no computador. Caso uma entidade adversária viesse a tomar controle desse computador, há o risco de que a entidade adversária fizesse com que o computador repetisse as informações recebidas do dispositivol de modo que o computador pudesse essencialmente fingir que fosse o dispositivo 1 e tentasse associar-se automaticamente a outro usuário (por exemplo, o usuário2) como o dispositivol.
[0062] De acordo com uma concretização da presente invenção, a inclusão, nas informações de autenticação trocadas entre os dispositivos, de um valor que identifica unicamente uma associação entre um usuário específico e um dispositivo específico impede ataques de repetição do tipo discutido acima. Por exemplo, para que um dispositivo autentique apropriadamente uma comunicação recebida de um computador que aparentemente possui um usuário registrado nele, o dispositivo irá verificar para assegurar-se de que recebe um valor único específico identificando uma associação entre ele próprio (isto é, o dispositivo específico) e o usuário. Portanto, embora o dispositivo que recebe as informações de autenticação de um computador tenha todas as informações que precisa para autenticar a identidade do usuário registrado no computador, ele não recebe as informações que qualquer outro dispositivo precisaria para autenticar o usuário, pois cada dispositivo tem seu próprio valor único relacionado à associação entre si próprio e o usuário. Portanto, um dispositivo que recebe as informações de autenticação de um usuário (por exemplo, o dispositivol no exemplo acima) não consegue forjar corretamente a identidade de um computador com o usuário registrado nele para associar-se a outro dispositivo (por exemplo, o dispositivo 2 no exemplo acima), pois o dispositivo que tenta tal ataque de repetição não possui o valor específico que o outro dispositivo (por exemplo, dispositivo2) espera receber para autenticar a identidade do usuário. De forma similar, pode-se usar de um valor que identifica especificamente a associação entre um usuário específico e um dispositivo específico para impedir que um computador que recebera as informações de autenticação de qualquer dispositivo (por exemplo, dispositivol) para se associar a um usuário registrado tente forjar a identidade desse dispositivo e formar uma associação com outro computador ou outro dispositivo no qual outro usuário está registrado. Por exemplo, para que um computador autentique apropriadamente uma comunicação recebida de um dispositivo portátil aparentemente associado a um usuário registrado no computador, o computador irá verificar para assegurar-se de que recebe um valor único específico identificando uma associação entre o dispositivo específico e o usuário registrado no computador. Portanto, embora um computador recebendo as informações de autenticação de um dispositivo portátil para associá-lo a um primeiro usuário tenha todas as informações que precisa para autenticar a identidade do dispositivo por-tátil ao primeiro usuário, ele não recebe as informações que precisam ser apresentadas para autenticar o dispositivo portátil a um segundo usuário, pois cada usuário tem um valor único relacionado à associação entre cada usuário e o dispositivo portátil. Portanto, um computador recebendo as informações de autenticação de um dispositivo portátil (por exemplo, o dispositivol no exemplo acima) para associação com um primeiro usuário (por exemplo, o usuáriol no exemplo acima) não consegue forjar corretamente a identidade do dispositivol para associar-se a outro computador com outro usuário registrado nele (por exemplo, o usuário2 no exemplo acima), pois o computador que tenta tal ataque de repetição não possui o valor específico que o outro usuário (por exemplo, usuário2) espera receber para autenticar a identidade do dispositivo portátil.
[0063] Em uma concretização, os valores que identificam unicamente as associações são armazenados em uma ou mais localizações seguras e à prova de adulterações. Como alternativa, os valores podem ser armazenados na forma criptografada, enquanto que as chaves de descriptografia são armazenadas em um ou mais locais seguros e à prova de adulterações.
[0064] Além disso, deve-se apreciar que outros tipos de informações podem ser armazenados no armazenamento globalmente acessível no lugar de, ou em adição aos perfis descritos acima. Por exemplo, as chaves públicas e secretas do usuário que são usadas no protocolo ilustrado na FIG. 11 podem ser armazenadas no armazenamento globalmente acessível. No entanto, isso não é necessário, uma vez que o usuário pode recuperar as chaves pública e secreta de outros locais de armazenamento, por exemplo, em um armazenamento local no computador em que o usuário está registrado.
[0065] A FIG. 9 ilustra uma configuração exemplificativa da memória de um dispositivo portátil, compreendendo uma multiplicidade de perfis 903a-b estabelecidos para usuários do dispositivo portátil. Embora somente dois perfis 903a-b sejam ilustrados na FIG. 9, deve-se apreciar que qualquer número de perfis adequado pode ser armazenado. Cada perfil pode corresponder a um usuário diferente do dispositivo portátil, ou um usuário pode definir múltiplos perfis para uso em diferentes contextos, de modo que o mesmo indivíduo possa ser reco-nhecido pelo sistema como usuários diferentes (por exemplo, por diferentes IDs de usuário). Em uma situação ilustrativa, um usuário pode usar o IDuserl para registrar-se em um ou mais computadores domésticos e o IDuser2 para registrar-se em um ou mais computadores de trabalho. Ter os dois perfis armazenados no dispositivo portátil, um para IDuserl e outro para IDuser2, permite ao dispositivo portátil as- sociar-se automaticamente a qualquer computador em que o usuário esteja registrado usando qualquer um dos IDs do usuário. Deve-se apreciar que a invenção não se limita ao número de usuários que podem ser simultaneamente associados a um dispositivo portátil. Em algumas concretizações, o dispositivo portátil pode permitir associação com somente um usuário de cada vez, enquanto que em outras concretizações, os dispositivos portáteis podem permitir associação com mais de um usuário de cada vez (por exemplo, o dispositivo portátil pode ter um limite superior ao número de usuários aos quais o dispositivo portátil pode se associar simultaneamente).
[0066] Novamente, deve-se apreciar que outros tipos de informações podem ser armazenados na memória no dispositivo portátil em vez de, ou em adição aos perfis ilustrados na FIG. 9. Por exemplo, as chaves pública e secreta do dispositivo portátil que são usadas no protocolo ilustrado na FIG. 11 podem ser armazenadas.
[0067] Uma vez que os perfis sejam estabelecidos e armazenados no dispositivo portátil e em um armazenamento de dados globalmente acessível (como usado aqui, a referência ao armazenamento de dados sendo globalmente acessível significa que o armazenamento de dados não está vinculado a um único computador e pode ser acessado por dois ou mais computadores diferentes), as informações contidas nele pode ser usadas para autenticar mutuamente o dispositivo portátil e um computador e para facilitar a associação automática usando qualquer técnica adequada, cujos exemplos são discutidos adiante. No entanto, deve-se apreciar que as informações de perfil (ou qualquer outro tipo de materiais de geração de chave criptográfica ou secreta que pode ser usado para fins de autenticação, como discutido acima) podem ser formadas de outras maneiras além de pelo uso do processo de pareamento manual da FIG. 7. Por exemplo, como discutido acima, de acordo com uma concretização da presente invenção, as informações secretas podem ser estabelecidas sem passar por uma operação de pareamento manual entre o dispositivo portátil e qualquer computador. Um processo exemplificativo desse tipo é ilustrado na FIG. 10 para uso com os perfis específicos discutidos acima em conjunto com as FIGSs. 8 e 9. No entanto, deve-se apreciar que o aspecto da presente invenção que possibilita a formação de materiais de geração de chave criptográfica sem pareamento manual não se limita ao uso com os tipos específicos de materiais de geração de chave criptográfica incluídos nos perfis apresentados nas FIGs. 8 e 9.
[0068] No processo da FIG. 10, os materiais de geração de chave criptográfica que incluem um par de chaves pública-privada e um valor aleatório são obtidos para o usuário e para o dispositivo portátil na etapa 710. Os pares de chaves pública-privada e os números aleató- rios podem ser novamente gerados na etapa 71,0, ou valores de chaves pública-privada e de números aleatórios podem ser recuperados. Qualquer dispositivo de computação adequado pode ser usado para obter os materiais de geração de chave criptográfica, uma vez que a invenção não se limita sob esse aspecto.
[0069] Na etapa 720, a(s) parte(s) dos materiais de geração de chave criptográfica a ser(em) armazenada(s) no dispositivo portátil é/são transferida(s) ao dispositivo portátil de qualquer maneira adequada (por exemplo, de um computador que possui os materiais de geração de chave criptográfica e que os comunica para o dispositivo portátil por uma conexão com ou sem fio, via um meio legível por com-putador portátil que pode ser conectado ao dispositivo portátil para transferir as informações de geração de chave criptográfica, etc.). As informações armazenadas podem incluir as informações que o dispositivo portátil fornece a um computador para se autenticar (por exemplo, IDdev, PKdev e Ruser,dev), uma chave privada (por exemplo, SKdev) para o dispositivo que forma um par de chaves pública-privada com a chave pública transferida aos computadores aos quais o dispositivo pode se associar automaticamente e, para cada usuário do dispositivo portátil, informações que se espera que sejam transferidas de um computador ao dispositivo portátil para permitir que o dispositivo portátil autentique o computador ou um usuário do mesmo (por exemplo, o IDuser, PKuser, Ruser,dev).
[0070] Na etapa 730, as informações usadas por um computador para autenticar um dispositivo portátil e possibilitar a associação automática são armazenadas em um armazenamento de dados globalmente acessível e são associadas ao usuário (por exemplo, como mostra a FIG. 8). Sendo assim, na concretização ilustrada na FIG. 8, o perfil do dispositivo <IDdev, PKdev, Ruser,dev> é armazenado para cada dispositivo associado a um usuário.
[0071] Deve-se apreciar que as etapas 710, 720 e 730 podem ser realizadas em qualquer ordem logicamente consistente e que cada uma pode ser decomposta em múltiplas etapas e essas etapas podem ser intercaladas ou executadas em qualquer ordem logicamente consistente. Além disso, como discutido acima, as informações de geração de chave criptográfica específicas ilustradas na FIG. 8 são meramente ilustrativas, uma vez é possível empregar outras concretizações da presente invenção que utilizem informações de geração de chave criptográfica diferentes.
[0072] A FIG. 11 ilustra um protocolo exemplificativo por meio do qual um computador e um dispositivo portátil que não foram anteriormente pareados manualmente podem ser autenticar um ao outro para estabelecer uma relação de confiança que facilita a associação automática de acordo com uma concretização da invenção. Em particular, tendo executado com êxito o protocolo da FIG. 11, o dispositivo portátil 810 terá provado ao computador 820 que o dispositivo portátil 820 é, de fato, o dispositivo que aparenta ser (isto é, um dispositivo identificado pelo identificador IDdev), e o computador 820 terá verificado que a conexão com o dispositivo identificado por IDdev é aceita por um usuário identificado por IDuser. Além disso, o computador 820 terá provado ao dispositivo portátil que o computador 820 está sendo usado pelo usuário identificado por IDuser, e o dispositivo portátil 810 terá verificado que o usuário identificado por IDuser está entre os usuários com os quais o dispositivo portátil 810 aceita conexões automáticas.
[0073] Assim como no processo ilustrado na FIG. 7, o protocolo da FIG. 11 pode ser realizado após o dispositivo portátil 810 e o computador 820 terem se descoberto e terem estabelecido um canal de comunicação de qualquer forma adequada. No entanto, deve-se apreciar que as comunicações ilustradas na FIG. 11 podem ser realizadas durante a consolidação da descoberta e da comunicação, ou durante qualquer estágio adequado da comunicação entre o dispositivo portátil 810 e o computador 820, uma vez que a concretização ilustrada na FIG. 11 não se limita nesse sentido.
[0074] A FIG. 11 ilustra um protocolo exemplificative que o dispositivo portátil 810 e o computador 820 podem usar para se autenticarem usando perfis previamente estabelecidos dos tipos ilustrados nas FIGS. 8-9. Deve-se apreciar que a presente invenção não se limita ao uso com perfis dos tipos ilustrados nas FIGS. 8-9 para permitir a autenticação mútua entre um computador e um dispositivo portátil, uma vez que quaisquer tipos adequados de perfis podem ser usados para autenticar o dispositivo portátil ao computador e/ou o computador ao dispositivo portátil. Além do mais, o protocolo da FIG. 11 leva ao estabelecimento de uma chave compartilhada entre o dispositivo portátil 810 e o computador 820. Essa chave compartilhada pode ser usada, direta ou indiretamente, para obter uma chave de criptografia simétrica para criptografar e descriptografar as comunicações entre o dispositivo portátil 810 e o computador 820. No entanto, a invenção não se limita ao estabelecimento de nenhum tipo específico de material de geração de chave criptográfica para permitir a comunicação segura uma vez que uma relação de confiança tenha sido estabelecida, ou mesmo ao uso em sistemas que não protegem as comunicações uma vez que uma relação de confiança esteja estabelecida.
[0075] Na etapa 830, o computador 820 notifica o dispositivo portátil 810 da identidade do usuário ao qual o dispositivo portátil 810 será associado (por exemplo, baseado na identidade de um usuário registrado no computador 820). Na etapa 840, o dispositivo portátil 810 usa as informações que identificam o usuário (por exemplo, IDuser) recebidas na etapa 830 para recuperar (por exemplo, a partir de sua memória) o perfil que o dispositivo portátil armazena para esse usuário, que inclui PKuser e Ruser,dev no exemplo apresentado. Se um perfil associado ao IDuser não puder ser localizado, indicando que o dispositivo portátil atualmente não aceita conexão com o usuário identificado por IDuser, o dispositivo portátil 810 pode negar a conexão, por exemplo, finalizando o protocolo. Como alternativa, o dispositivo portátil pode iniciar um procedimento de pareamento manual (não ilustrado). Se um perfil para o usuário puder ser localizado, as informações são recuperadas do perfil de modo que possam ser usadas, junto com a chave secreta SKdev do dispositivo portátil 810, para fornecer um segredo de volta ao computador 820 durante a etapa 850 para autenticar o dispositivo portátil 810, como discutido adiante. Além disso, na concretização ilustrada na FIG. 11, as informações recuperadas incluem informações que permitem que o dispositivo portátil 810 similarmente autentique o computador 820 da maneira discutida abaixo.
[0076] Na concretização ilustrada, a chave secreta SKdev do dispositivo portátil 810 é recuperada durante a etapa 840. No entanto, a invenção não se limita ao momento em que a chave secreta SKdev é recuperada. Por exemplo, a chave secreta SKdev pode ser recuperada antes de receber o IDuser do computador 820. De modo similar, uma chave recente Kdev (cujo uso é descrito adiante) é gerada durante a etapa 840 na concretização ilustrada, mas também pode ser gerada antes da etapa 840, uma vez que a invenção não se limita a esse aspecto.
[0077] Na etapa 850, o dispositivo portátil 810 assina IDdev eletronicamente usando SKdev para obter uma primeira assinatura (chamada de assinaturaSkdev(IDdev) na FIG. 11) e monta uma primeira mensagem compreendendo: a primeira assinatura, Ruser,dev, IDdev e Kdev. A primeira mensagem é então criptografada usando PKuser e enviada ao computador 820. A criptografia é realizada de modo que somente uma entidade sob posse de SKuser (isto é, a chave secreta correspondente a PKuser) possa acessar o conteúdo da primeira mensagem. Isso impede que qualquer outro computador dentro da faixa de transmissão capture o conteúdo da primeira mensagem, inclusive a primeira assinatura. Pode ser interessante impedir que terceiros capturem a primeira assinatura, uma vez que estes podem usar posteriormente a primeira assinatura para “personificar” o dispositivo portátil 820.
[0078] Na etapa 860, o computador 820 gera uma chave recente Kuser (cujo uso é descrito abaixo) e recupera SKuser. Novamente, essas duas etapas podem ser realizadas em qualquer ordem e podem ser realizadas antes da etapa 860, uma vez que a invenção não se limita a esse aspecto. O computador 820 descriptografa e primeira mensagem criptografada usando SKuser. Se o usuário for de fato o destinatário almejado da primeira mensagem (isto é, o dispositivo portátil 820 espera ser associado ao usuário identificado por IDuser e o dispositivo portátil 810 utilizou PKuser para criptografar a primeira mensagem de modo que somente um dispositivo sob posse de SKuser possa descriptografá-lo), a descriptografia sucede e o computador 820 pode extrair IDdev da primeira mensagem. Como alternativa, IDdev pode ser obtido por outros meios, por exemplo, via trocas prévias de informações entre o dispositivo portátil 810 e o computador 820. Usando IDdev, o computador 820 pode recuperar o perfil <IDdev, PKdev, Ruser,dev> do armazenamento globalmente acessível na localização associada ao usuário identificado por IDuser, de modo que as informações contidas no perfil recuperado possam ser usadas para verificar que o dispositivo portátil 820 é de fato o dispositivo que aparente ser (isto é, um dispositivo identificado pelo identificador IDdev) e que a conexão com o dispositivo identificado por IDdev é aceita pelo usuário identificado por IDuser.
[0079] Em uma concretização, o computador 820 pode ser obrigado a autenticar-se com o armazenamento globalmente acessível para acessar os perfis de dispositivo estabelecidos para o usuário identificado por IDuser. Por exemplo, o computador 820 pode precisar apresentar, ao armazenamento globalmente acessível, certos credenciais de usuário, que podem ser obtidos automaticamente pelo computador 820 no momento em que o usuário identificado por IDuser se registra no computador 820. Como alternativa, o usuário identificado por IDuser pode oferecer os credenciais necessários em algum momento após o registro.
[0080] Se um perfil associado a IDdev e IDuser não puder ser localizado no armazenamento globalmente acessível, indicando que o usuário identificado por IDuser não aceita atualmente conexão automática com o dispositivo portátil 810, o computador 820 pode negar a conexão, por exemplo, finalizando o protocolo. Como alternativa, o computador 820 pode iniciar um procedimento de pareamento manual (não ilustrado).
[0081] Se o perfil de dispositivo <IDdev, PKdev, Ruser,dev> puder ser localizado no armazenamento globalmente acessível, o computador 820 recupera o perfil e extrai dele PKdev. Em seguida, extrai a primeira assinatura da primeira mensagem e verifica a primeira assinatura usando PKdev. O algoritmo de assinatura usado para gerar a primeira assinatura é tal que uma assinatura é verificada como válida usando uma chave pública apenas se tiver sido gerada usando a chave secreta correspondendo à chave pública. Na concretização ilustrada, somente uma entidade sob posse de SKdev pode gerar uma assinatura que é verificada como válida sob PKdev. Dessa forma, o dispositivo portátil 810 demonstra ao computador 820 que o dispositivo portátil 820 é de fato o dispositivo que aparenta ser (isto é, um dispositivo identificado pelo identificador IDdev).
[0082] Para impedir ataques de repetição, como discutido acima, o computador 820 também verifica se o valor aleatório recebido na mensagem é igual ao valor Ruser,dev recuperado do armazenamento globalmente acessível.
[0083] Sendo assim, se a primeira assinatura for válida e o valor Ruser,dev estiver correto, então o computador 820 confia no dispositivo portátil 810 e prossegue com o cálculo de uma chave compartilhada, como Kdev+Kuser pelas razões discutidas adiante. Senão, o computador 820 pode negar a conexão, por exemplo, finalizando o protocolo. Além do mais, se a primeira assinatura for válida, o computador 820 assina IDuser eletronicamente usando SKuser para gerar uma segunda assinatura e pode montar uma segunda mensagem compreendendo: a segunda assinatura (indicada como assinaturaSKu- ser(IDuser) na FIG. 11), Ruser,dev, IDuser e Kuser. A segunda mensagem é então criptografada usando PKdev e enviada ao dispositivo portátil 810 na etapa 870. Novamente, a criptografia é realizada de modo que somente uma entidade sob posse de SKdev possa acessar o conteúdo da segunda mensagem. Caso contrário, qualquer computador dentro do alcance de transmissão pode capturar o conteúdo da segunda mensagem, inclusive a segunda assinatura. Pode ser interessante impedir que terceiros capturem a segunda assinatura, uma vez que estes podem usar posteriormente a segunda assinatura para “personificar” o usuário identificado por IDuser.
[0084] Na etapa 880, o dispositivo portátil 810 descriptografa a segunda mensagem criptografada usando SKdev. O dispositivo portátil 810 então extrai a segunda assinatura da segunda mensagem e verifica a segunda assinatura usando PKuser. O dispositivo portátil 810 também verifica se o valor aleatório recebido na mensagem é igual ao valor Ruser,dev recuperado de sua memória. Se a segunda assinatura for válida e o valor Ruser,dev estiver correto, então o dispositivo portátil 810 confia no computador 820 a ser autorizado pelo usuário identificado por IDuser, pois somente uma entidade sob posse de SKuser poderia ter gerado uma assinatura que é válida conforme verificado usando PKuser e ter obtido o valor Ruser,dev correto. Caso contrário, o dispositivo portátil pode negar a conexão, por exemplo, finalizando o protocolo.
[0085] Como deve ser apreciado com base no que foi apresentado, o protocolo da FIG. 11 permite assim que um dispositivo portátil 810 e o computador 820 se autentiquem manualmente e estabeleçam uma relação de confiança, mesmo se os dois dispositivos nunca tiverem sido pareados manualmente. Em seguida, os dois dispositivos podem engajar-se na comunicação confiável de qualquer maneira desejada, uma vez que os aspectos da presente invenção aqui descritos não se limitam a esse respeito. De acordo com a concretização ilustrada na FIG. 11, as chaves recentes Kdev e Kuser foram desenvolvidas como discutido anteriormente. De acordo com uma concretização, quando a segunda assinatura e o valor Ruser,dev forem válidos, o dispositivo portátil 810 calcula a chave compartilhada como Kdev+Kuser. Nesse momento, tanto o computador 820 como o dispositivo portátil 810 calcularam corretamente Kdev+Kuser como a chave compartilhada, que pode por sua vez ser usada para derivar chaves de criptografia para proteger o canal de comunicação entre o dispositivo portátil 810 e o computador 820. No entanto, deve-se apreciar que os aspectos da presente invenção aqui descritos não se limitam ao desenvolvimento de uma chave compartilhada dessa maneira, uma vez que a comunicação entre o computador 820 e o dispositivo portátil 810 pode ser protegida de qualquer maneira adequada, ou não ser protegida, uma vez que os aspectos da presente invenção aqui descritos não se limitam nesse sentido.
[0086] Deve-se apreciar que o protocolo ilustrado na FIG. 11 pode ser realizado automaticamente pelo dispositivo portátil 810 e pelo computador 820, sem intervenção do usuário. Por exemplo, o compu- tador 820 pode realizar a etapa 830 automaticamente ao descobrir o dispositivo portátil 810 e estabelecer um canal de comunicação com o dispositivo portátil 810. A etapa 860 também pode ser realizada automaticamente, contanto que o computador 820 tenha acesso aos cre-denciais usados para recuperar perfis de dispositivos do armazenamento globalmente acessível. Além do mais, as etapas 830-880 podem ser realizadas em qualquer ordem adequada, inclusive decompostas em múltiplas etapas e intercalando as múltiplas etapas em qualquer ordem adequada.
[0087] Como discutido acima, os aspectos da presente invenção aqui descritos podem ser usados com qualquer computador ou dispositivo contendo um programador que pode ser programado para realizar qualquer uma das ações descritas acima. A FIG. 12 é uma ilustração esquemática de um computador exemplificative 1300 no qual aspectos da presente invenção podem ser implementados. O computador 1300 inclui um processador ou unidade de processamento 1301 e uma memória 1302 que pode incluir tanto memória volátil como não- volátil. O computador 1300 também inclui um armazenamento (por exemplo, o armazenamento removível 1304 e o armazenamento não- removível 1305) em acréscimo à memória do sistema 1302. A memória 1302 pode armazenar uma ou mais instruções para programar a unidade de processamento 1301 para realizar qualquer uma das funções aqui descritas. Como mencionado acima, referências feitas no presente relatório a um computador podem incluir qualquer dispositivo que inclua um processador programado, inclusive um computador montado sobre rack, um computador de mesa, um computador laptop, um computador tablet ou qualquer um dentre vários dispositivos que muitas vezes não são considerados computadores, como um processador programado (por exemplo, um PDA, um Reprodutor de MP3, um telefone móvel, fones de ouvido sem fio, etc.). Além disso, um compu- tador pode ter um ou mais dispositivos de entrada e saída, tais como os dispositivos 1306-1307 ilustrados na FIG. 13. Esses dispositivos podem ser usados, entre outras coisas, para apresentar uma interface do usuário. Exemplos de dispositivos de saída que podem ser usados para apresentar uma interface do usuário incluem impressoras ou telas de exibição para apresentação visual da saída e alto-falantes ou outros dispositivos de geração de som para apresentação audível da saída. Exemplos de dispositivos de entrada que podem ser usados para uma interface do usuário incluem teclados e dispositivos de apontamento, como mouses, teclados sensíveis ao toque e tablets digitaliza- dores. Como outro exemplo, um computador pode receber informações de entrada por meio de reconhecimento da fala ou em outro formato audível.
[0088] As concretizações previamente descritas da presente invenção podem ser implementadas em qualquer dentre diversas formas. Por exemplo, as concretizações podem ser implementadas pelo uso de hardware, software ou uma combinação desses. Quando implementada em software, o código de software pode ser executado em qualquer processador adequado ou conjunto de processadores, quer disposto em um único computador ou distribuído entre vários computadores.
[0089] Além disso, deve-se apreciar que os vários métodos ou processos aqui delineados podem ser codificados como software executável em um ou mais processadores que empregam qualquer um dentre uma variedade de sistemas ou plataformas operacionais. Além disso, tal software pode ser escrito em qualquer uma dentre diversas linguagens de programação e/ou ferramentas de programação e geração de script adequadas, podendo ainda ser compilado em código de linguagem executável por máquina ou em um código intermediário que é executado numa estrutura ou máquina virtual.
[0090] Nesse sentido, alguns aspectos da invenção aqui descritos podem ser incorporados na forma de um meio legível por computador (ou múltiplos meios legíveis por computador) (por exemplo, uma memória de computador, um ou mais discos flexíveis, discos compactos, discos ópticos, fitas magnéticas, memórias flash, configurações de circuito em Matriz de Portas Programáveis em Campo ou outros dispositivos semicondutores, ou outros meios de armazenamento físicos para computador) codificado com um ou mais programas que, quando executados em um ou mais processadores, executam métodos que implementam as várias concretizações da invenção discutidas acima. O meio ou meios legíveis por computador podem ser transportáveis, de modo que o programa ou programas armazenados nestes possam ser carregados em um ou vários computadores diferentes ou em outros processadores para implementar diversos aspectos da presente invenção, conforme discutido anteriormente.
[0091] Os termos “programa” ou “software” são utilizados no presente relatório em sentido amplo para designar qualquer tipo de código de computador ou conjunto de instruções executáveis por computador que possa ser empregado para programar um computador ou processador para implementar vários aspectos da presente invenção conforme discutido anteriormente, e podem incluir qualquer microcódigo de programa de computador, etc. Além disso, deve-se apreciar que um ou mais programas de computador que, quando executados, executam os métodos da presente invenção, não necessariamente residem em um único computador ou processador, podendo ser distribuídos entre uma série de computadores ou processadores diferentes para implementar vários aspectos da presente invenção.
[0092] As instruções executáveis por computador podem apresen- tar-se em diversas formas, como módulos de programa, executados por um ou mais computadores ou outros dispositivos. Os módulos de programa podem incluir rotinas, programas, objetos, estruturas de dados etc., que efetuam tarefas específicas ou implementam tipos de dados abstratos específicos. A funcionalidade dos módulos de programa pode ser combinada ou distribuída conforme desejado em várias concretizações.
[0093] Além disso, as estruturas de dados podem ser armazenadas em meios legíveis por computador em qualquer forma adequada. Por uma questão de simplicidade de ilustração, as estruturas de dados podem ser apresentadas contendo campos que estão relacionados pela localização na estrutura de dados. Tais relações podem ser igualmente obtidas mediante a atribuição de um armazenamento para os campos com localizações em um meio legível por computador que transmita relação entre os campos. No entanto, é possível usar qualquer mecanismo para estabelecer uma relação entre as informações nos campos de uma estrutura de dados, inclusive pelo uso de ponteiros, marcas ou outros mecanismos que estabeleçam relações entre os elementos de dados.
[0094] Vários aspectos da presente invenção podem ser usados de maneira independente, em combinação ou em qualquer disposição ou combinação adequada, inclusive as que não foram discutidas especificamente no texto apresentado. Por exemplo, os aspectos descritos em uma concretização podem ser combinados de qualquer forma com os aspectos descritos em outras concretizações.
[0095] O uso de números ordinais, como “primeiro”, “segundo”, “terceiro” etc., nas reivindicações para modificar um elemento reivindicado não carrega em si nenhuma prioridade, precedência ou ordem de um elemento reivindicado sobre outro ou a ordem temporal em que as etapas de um método são realizadas, sendo utilizado como mero rótulo para distinguir um elemento reivindicado contendo certo nome de outro elemento contendo o mesmo nome (mas para o uso do termo original) para distinguir os elementos reivindicados.
[0096] Além disso, deve-se entender que a fraseologia e terminologia usadas no presente relatório são para fins de descrição, não devendo ser interpretadas como limitação. O uso dos termos “incluindo”, “compreendendo” ou “tendo”, “contendo”, “envolvendo” e suas variações, pretende englobar os itens listados daqui em diante e seus equivalentes, assim como itens adicionais e seus equivalentes, bem como itens adicionais.
[0097] Tendo, portanto, descrito diversos aspectos de ao menos uma concretização da presente invenção, deve-se apreciar que várias alterações, modificações e aperfeiçoamentos ficarão evidentes aos versados na técnica. Tais alterações, modificações e aperfeiçoamentos são concebidas dentro do âmbito da invenção. Logo, a descrição anterior e os desenhos são meramente exemplificativos.

Claims (13)

1. Meio de armazenamento legível por computador (1302) contendo um método de autenticação de um dispositivo portátil (901) no computador (905a), caracterizado pelo fato de que compreende as etapas de: (A) identificar uma identidade de um usuário registrado no computador (905a); (B) receber, no computador (905a), pelo menos uma primeira comunicação do dispositivo portátil (901), a pelo menos uma primeira comunicação compreendendo um identificador do dispositivo portátil (901) e a primeira informação de autenticação protegida; (C) usar a identidade do usuário registrado no computador (905a) e o identificador do dispositivo portátil (901) para recuperar pelo menos um primeiro material de geração de chave (909); e (D) determinar se pelo menos uma primeira comunicação autentica o dispositivo portátil (901) usando o pelo menos um primeiro material de geração de chave (909) para processar a primeira informação de autenticação protegida. em que o usuário é um primeiro usuário e o dispositivo portátil (901) é um primeiro dispositivo portátil, em que: a pelo menos uma primeira comunicação ainda compreende pelo menos um identificador que identifica unicamente um par consistindo de um usuário específico e um dispositivo portátil específico; e a etapa de determinar se a pelo menos uma primeira comunicação autentica o dispositivo portátil (901) compreende determinar se o pelo menos um identificador identifica unicamente um par compreendendo o primeiro usuário e o primeiro dispositivo portátil.
2. Meio de armazenamento legível por computador, de acordo com a reivindicação 1, caracterizado pelo fato de que a primeira informação de autenticação compreende uma assinatura digital gerada usando uma chave secreta do dispositivo portátil, em que o pelo menos um primeiro material de geração de chave (1909) compreende uma chave pública do dispositivo portátil.
3. Meio de armazenamento legível por computador (1302), de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende as etapas de: estabelecer pelo menos uma chave compartilhada entre o computador (905a) e o dispositivo portátil (910) quando se determinar que o dispositivo portátil (901) foi autenticado na etapa (D); e criptografar pelo menos uma comunicação adicional entre o computador (905a) e o dispositivo portátil (901) usando uma ou mais chaves geradas pelo menos parcialmente a partir da pelo menos uma chave compartilhada.
4. Meio de armazenamento legível por computador (1302), de acordo com a reivindicação 3, caracterizado pelo fato de que a pelo menos uma chave compartilhada é calculada combinando-se uma primeira chave, gerada pelo computador (905a) e transmitida ao dispositivo portátil (901), e uma segunda chave, gerada pelo dispositivo portátil (901) e transmitida ao computador (905a).
5. Meio de armazenamento legível por computador (1302), de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende uma etapa de, antes de receber a primeira informação de autenticação protegida, enviar, ao dispositivo portátil (901), pelo menos uma comunicação anterior que identifica o usuário registrado no computador (905a).
6. Meio de armazenamento legível por computador (1302), de acordo com a reivindicação 1, caracterizado pelo fato de que ainda compreende as etapas de: transmitir, a partir do computador (905a) ao dispositivo portátil (901), pelo menos uma segunda comunicação compreendendo a segunda informação de autenticação protegida; e determinar, a partir pelo dispositivo portátil (901), se a pelo menos uma segunda comunicação autentica o computador (905a) mediante o uso de pelo menos um segundo material de geração de chave armazenado no dispositivo portátil (901), para processar a segunda informação de autenticação protegida.
7. Meio de armazenamento legível por computador (1302), de acordo com a reivindicação 6, caracterizado pelo fato de que o usuário é um primeiro usuário e o dispositivo portátil (901) é um primeiro dispositivo portátil, em que: a pelo menos uma segunda comunicação adicionalmente compreende pelo menos um identificador que identifica unicamente um par consistindo de um usuário específico e um dispositivo portátil específico; e a etapa de determinar se a pelo menos uma segunda comunicação autentica o computador (905a) compreende determinar se o pelo menos um identificador identifica unicamente um par compreendendo o primeiro usuário e o primeiro dispositivo portátil.
8. Dispositivo portátil (901) caracterizado pelo fato de que compreende: pelo menos um processador (1301) que executa as etapas de: receber, de um computador (905a), pelo menos uma primeira comunicação identificando uma identidade de um usuário registrado no computador (905a); recuperar um primeiro material de geração de chave, o primeiro material de geração de chave sendo associado a um segundo material de geração de chave que é acessível ao computador (905a) e associado ao usuário; e transmitir, ao computador (905a), pelo menos uma segunda comunicação, a pelo menos uma segunda comunicação compreen-dendo um identificador do dispositivo portátil (901), a pelo menos uma segunda comunicação adicionalmente compreendendo pelo menos uma primeira unidade de informação protegida pelo primeiro material de geração de chave, de modo que o computador (905a) possa de-terminar se a pelo menos uma segunda comunicação autentica o dis-positivo portátil (901) usando o segundo material de geração de chave para processar a pelo menos uma primeira unidade de informação pro-tegida pelo primeiro material de geração de chave, em que o pelo me-nos um processador (1301) é ainda executa as etapas de: usar a identidade do usuário para ainda obter pelo menos um identificador que identifica unicamente um par consistindo do usuário e do dispositivo portátil (901); e transmitir para o computador (905a), o pelo menos um identificador e/ou a informação gerado(a) pelo menos parcialmente usando o pelo menos um identificador.
9. Dispositivo portátil, de acordo com a reivindicação 8, caracterizado pelo fato de que o pelo menos um processador (1301) ainda executa as etapas de: receber, a partir do computador (905a), pelo menos uma terceira comunicação compreendendo ao menos uma segunda unidade de informação protegida por um terceiro material de geração de chave, o terceiro material de geração de chave sendo associado a um quarto material de geração de chave que é armazenado no dispositivo portátil (901); e determinar se a pelo menos uma terceira comunicação autentica o computador (905a) usando o quarto material de geração de chave para processar a pelo menos uma segunda unidade de informação protegida pelo terceiro material de geração de chave.
10. Dispositivo portátil (901), de acordo com a reivindicação 9, caracterizado pelo fato de que o usuário é um primeiro usuário e o dispositivo portátil (901) é um primeiro dispositivo portátil, em que: a pelo menos uma terceira comunicação ainda compreende pelo menos um identificador que identifica unicamente um par consistindo de um usuário específico e um dispositivo portátil específico; e a etapa de determinar se a pelo menos uma terceira comunicação autentica o computador (905a) compreende determinar se o pelo menos um identificador identifica unicamente um par compreendendo o primeiro usuário e o primeiro dispositivo portátil.
11. Dispositivo portátil (901), de acordo com a reivindicação 8, caracterizado pelo fato de que o primeiro material de geração de chave é uma chave secreta do dispositivo portátil (901), em que o pelo menos um processador (1301) executa a etapa de proteger a pelo menos uma unidade de informação assinando digitalmente a pelo menos uma unidade de informação com a chave secreta do dispositivo portátil (901), onde o segundo material de geração de chave é uma chave pública do dispositivo portátil (901).
12. Dispositivo portátil (901), de acordo com a reivindicação 9, caracterizado pelo fato de que o pelo menos um processador (1301) ainda executa as etapas de: calcular pelo menos uma chave compartilhada que é compartilhada entre o computador (905a) e o dispositivo portátil (901) quando se determina que a pelo menos uma terceira comunicação autentica o computador (905a); e criptografar pelo menos uma comunicação adicional transmitida ao computador (905a) usando uma ou mais chaves geradas pelo menos parcialmente a partir da pelo menos uma chave compartilhada.
13. Dispositivo portátil (901), de acordo com a reivindicação 12, caracterizado pelo fato de que a pelo menos uma chave compartilhada é calculada combinando-se uma primeira chave, gerada pelo computador (905a) e transmitida ao dispositivo portátil (901), e uma segunda, chave gerada pelo dispositivo portátil (901) e transmitida ao computador (905a).
BRPI0915874-0A 2008-08-14 2009-07-24 Meio de armazenamento legível por computador que executa um método para autenticar um dispositivo portátil no computador e dispositivo portátil BRPI0915874B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/191.752 2008-08-14
US12/191,752 US8099761B2 (en) 2008-08-14 2008-08-14 Protocol for device to station association
PCT/US2009/051628 WO2010019370A2 (en) 2008-08-14 2009-07-24 Protocol for device to station association

Publications (2)

Publication Number Publication Date
BRPI0915874A2 BRPI0915874A2 (pt) 2015-11-03
BRPI0915874B1 true BRPI0915874B1 (pt) 2020-09-15

Family

ID=41669559

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0915874-0A BRPI0915874B1 (pt) 2008-08-14 2009-07-24 Meio de armazenamento legível por computador que executa um método para autenticar um dispositivo portátil no computador e dispositivo portátil

Country Status (8)

Country Link
US (1) US8099761B2 (pt)
EP (1) EP2316097B1 (pt)
JP (1) JP5431479B2 (pt)
KR (1) KR101634828B1 (pt)
CN (1) CN102119391B (pt)
BR (1) BRPI0915874B1 (pt)
RU (1) RU2512118C2 (pt)
WO (1) WO2010019370A2 (pt)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769612B2 (en) * 2008-08-14 2014-07-01 Microsoft Corporation Portable device association
US8943551B2 (en) * 2008-08-14 2015-01-27 Microsoft Corporation Cloud-based device information storage
KR20100108970A (ko) * 2009-03-31 2010-10-08 삼성전자주식회사 디지털 저작권 관리 컨텐츠의 보호 방법 및 장치
US9253168B2 (en) 2012-04-26 2016-02-02 Fitbit, Inc. Secure pairing of devices via pairing facilitator-intermediary device
US8724812B2 (en) * 2010-12-31 2014-05-13 Motorola Solutions, Inc. Methods for establishing a secure point-to-point call on a trunked network
US8775533B2 (en) * 2011-05-20 2014-07-08 Microsoft Corporation Auto connect in peer-to-peer network
US9565708B2 (en) * 2011-05-20 2017-02-07 Microsoft Technology Licensing, Llc Auto-connect in a peer-to-peer network
US8634771B2 (en) * 2011-06-15 2014-01-21 Microsoft Corporation Simple peer-to-peer network formation
KR101964077B1 (ko) * 2011-09-16 2019-04-02 삼성전자주식회사 휴대용 단말기에서 블루투스 디바이스와 연결하기 위한 장치 및 방법
US9131370B2 (en) * 2011-12-29 2015-09-08 Mcafee, Inc. Simplified mobile communication device
IN2012DE00954A (pt) 2012-03-29 2015-09-11 Samsung India Electronics Pvt Ltd
US9131376B2 (en) 2012-04-20 2015-09-08 Bank Of America Corporation Proximity-based dynamic vehicle navigation
US9185093B2 (en) * 2012-10-16 2015-11-10 Mcafee, Inc. System and method for correlating network information with subscriber information in a mobile network environment
US9338657B2 (en) 2012-10-16 2016-05-10 Mcafee, Inc. System and method for correlating security events with subscriber information in a mobile network environment
US9444624B2 (en) * 2012-11-02 2016-09-13 Facebook, Inc. Providing user authentication
CN103037370A (zh) * 2012-11-05 2013-04-10 李明 一种移动存储设备和身份认证方法
US9032106B2 (en) 2013-05-29 2015-05-12 Microsoft Technology Licensing, Llc Synchronizing device association data among computing devices
CN106211022A (zh) * 2014-11-26 2016-12-07 三星电子株式会社 用于配对可穿戴设备和智能设备的方法和装置
US10270774B1 (en) * 2015-01-26 2019-04-23 Microstrategy Incorporated Electronic credential and analytics integration
CA2986572C (en) * 2015-05-21 2020-12-29 Cloudtraq Llc Identification, location, and authentication systems and methods
JP2016224522A (ja) * 2015-05-27 2016-12-28 京セラ株式会社 端末装置およびサービスサーバ
US10389731B2 (en) * 2016-11-22 2019-08-20 Microsoft Technology Licensing, Llc Multi-factor authentication using positioning data
RU2634202C1 (ru) * 2016-12-27 2017-10-24 Открытое акционерное общество "Научно-производственное объединение Ангстрем" Устройство программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции
WO2021111824A1 (ja) * 2019-12-03 2021-06-10 木戸 啓介 電子署名システム及び耐タンパ装置

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NZ329891A (en) * 1994-01-13 2000-01-28 Certco Llc Method of upgrading firmware of trusted device using embedded key
GB9709135D0 (en) * 1997-05-02 1997-06-25 Certicom Corp Two way authentication protocol
US6016476A (en) * 1997-08-11 2000-01-18 International Business Machines Corporation Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security
JP2000003336A (ja) * 1998-06-16 2000-01-07 Nec Corp 携帯型データ通信端末装置におけるユーザ認証方法及びユーザ認証システム
US6438600B1 (en) * 1999-01-29 2002-08-20 International Business Machines Corporation Securely sharing log-in credentials among trusted browser-based applications
US6941148B2 (en) * 2000-06-03 2005-09-06 International Business Machines Corporation Device registry for automatic connection and data exchange between pervasive devices and backend systems
US20030100307A1 (en) * 2001-11-27 2003-05-29 Intel Corporation Automatic service handoff method and apparatus
US20040128345A1 (en) * 2002-12-27 2004-07-01 Robinson Scott H. Dynamic service registry
GB2400196A (en) 2003-04-02 2004-10-06 Nec Technologies Restricting access to a mobile phone, laptop etc. using an authorization procedure involving a separate transceiver
US6976253B1 (en) * 2003-07-30 2005-12-13 Microsoft Corporation Method and apparatus for configuring a mobile device
US20050289558A1 (en) * 2004-06-08 2005-12-29 Daniel Illowsky Device interoperability runtime establishing event serialization and synchronization amongst a plurality of separate processing units and method for coordinating control data and operations
US7469291B2 (en) * 2004-09-22 2008-12-23 Research In Motion Limited Apparatus and method for integrating authentication protocols in the establishment of connections between computing devices
US7493487B2 (en) * 2004-10-15 2009-02-17 Microsoft Corporation Portable computing environment
AU2005222507B2 (en) * 2004-10-15 2010-10-28 Microsoft Corporation Portable computing environment
US8024488B2 (en) * 2005-03-02 2011-09-20 Cisco Technology, Inc. Methods and apparatus to validate configuration of computerized devices
CN1648863A (zh) * 2005-03-07 2005-08-03 优网通国际资讯股份有限公司 可携式软件应用的方法
US7509116B2 (en) * 2005-03-30 2009-03-24 Genx Mobile Incorporated Selective data exchange with a remotely configurable mobile unit
US8171531B2 (en) * 2005-11-16 2012-05-01 Broadcom Corporation Universal authentication token
US8341238B2 (en) * 2006-03-03 2012-12-25 Sharp Laboratories Of America, Inc. Methods and systems for multiple-device session synchronization
US8676973B2 (en) * 2006-03-07 2014-03-18 Novell Intellectual Property Holdings, Inc. Light-weight multi-user browser
EP1832998A1 (en) * 2006-03-07 2007-09-12 Hitachi, Ltd. Method of interfacing between electronic devices, method of operating a portable storage device, electronic device and electronic system
US7647041B2 (en) * 2006-03-30 2010-01-12 Sbc Knowledge Ventures, L.P. Systems, methods, and apparatus to enable backup wireless devices
EP1873668A1 (en) 2006-06-28 2008-01-02 Nokia Siemens Networks Gmbh & Co. Kg Integration of device integrity attestation into user authentication
JP5276593B2 (ja) * 2006-09-06 2013-08-28 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワーク信用証明書を獲得するためのシステムおよび方法
KR101307456B1 (ko) * 2006-09-22 2013-09-11 삼성전자주식회사 휴대단말기에서 블루투스 자동등록을 제공하는 방법 및 장치
RU61491U1 (ru) * 2006-09-26 2007-02-27 ООСТЕРУМ Джозеф ВАН Универсальное устройство сопряжения портативной звуковоспроизводящей системы с автомобильным радиоприемником

Also Published As

Publication number Publication date
BRPI0915874A2 (pt) 2015-11-03
JP2011530960A (ja) 2011-12-22
RU2011105187A (ru) 2012-08-20
US8099761B2 (en) 2012-01-17
WO2010019370A2 (en) 2010-02-18
WO2010019370A8 (en) 2011-03-10
KR101634828B1 (ko) 2016-07-08
WO2010019370A3 (en) 2010-04-15
EP2316097B1 (en) 2017-06-21
US20100040233A1 (en) 2010-02-18
KR20110057149A (ko) 2011-05-31
EP2316097A4 (en) 2012-08-08
RU2512118C2 (ru) 2014-04-10
CN102119391A (zh) 2011-07-06
CN102119391B (zh) 2015-06-17
JP5431479B2 (ja) 2014-03-05
EP2316097A2 (en) 2011-05-04

Similar Documents

Publication Publication Date Title
BRPI0915874B1 (pt) Meio de armazenamento legível por computador que executa um método para autenticar um dispositivo portátil no computador e dispositivo portátil
BRPI0915875B1 (pt) método para uso com pelo menos um dispositivo portátil e aparelho
WO2018024056A1 (zh) 用户口令管理的方法和服务器
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US10193697B1 (en) Systems and methods for providing authentication to a plurality of devices
US10116645B1 (en) Controlling use of encryption keys
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
JP3999655B2 (ja) レベル化された機密保護があるアクセス制御のための方法及び装置
US20080077592A1 (en) method and apparatus for device authentication
EP3881210A1 (en) Secure over-the-air firmware upgrade
US20140096213A1 (en) Method and system for distributed credential usage for android based and other restricted environment devices
US10003467B1 (en) Controlling digital certificate use
JP2020526146A (ja) 第1のアプリケーションと第2のアプリケーションとの間の対称型相互認証方法
JP2020088726A (ja) 鍵生成装置、鍵更新方法および鍵更新プログラム
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
JP6199712B2 (ja) 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム
US20060242410A1 (en) Mobile device authentication with a data source using self-signed certificates
JP2012169983A (ja) データ処理装置およびプログラム
Shukla A daemon for secure smart card support in the encrypted file system transcrypt
BR102014016921A2 (pt) sistema criptográfico com comunicação bidirecional entre dispositivos por meio de códigos de imagens bidimensionais e método para sigilo e assinatura de conteúdos digitais

Legal Events

Date Code Title Description
B25A Requested transfer of rights approved

Owner name: MICROSOFT TECHNOLOGY LICENSING, LLC (US)

B15K Others concerning applications: alteration of classification

Ipc: H04L 29/06 (2006.01), G06F 21/44 (2013.01), H04L 2

B15K Others concerning applications: alteration of classification

Ipc: G06F 13/10 (2006.01), G06F 15/16 (2006.01), G06F 2

B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: AS CLASSIFICACOES ANTERIORES ERAM: G06F 13/10 , G06F 15/16 , G06F 21/44 , H04L 29/06 , H04L 29/08

Ipc: H04L 29/08 (1990.01), G06F 21/44 (2013.01), H04L 2

B06T Formal requirements before examination [chapter 6.20 patent gazette]
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B06A Patent application procedure suspended [chapter 6.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 15/09/2020, OBSERVADAS AS CONDICOES LEGAIS.