ES2393368B1 - Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. - Google Patents
Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. Download PDFInfo
- Publication number
- ES2393368B1 ES2393368B1 ES201130019A ES201130019A ES2393368B1 ES 2393368 B1 ES2393368 B1 ES 2393368B1 ES 201130019 A ES201130019 A ES 201130019A ES 201130019 A ES201130019 A ES 201130019A ES 2393368 B1 ES2393368 B1 ES 2393368B1
- Authority
- ES
- Spain
- Prior art keywords
- credentials
- page
- line
- service
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 title 1
- 230000004913 activation Effects 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims description 25
- 230000006870 function Effects 0.000 claims description 7
- 239000004065 semiconductor Substances 0.000 claims 2
- 238000001994 activation Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil.#Comprende, enviar una credencial a un servidor que proporciona servicios de banda ancha, realizando el método para que un usuario sea identificado las siguientes acciones:#- usar credenciales para ser proporcionadas a dichos servicios de banda ancha, siendo cifradas y almacenadas en una memoria, dicho cifrado comprendiendo:#- obtener un certificado a partir de una tarjeta SIM;#- cifrar la credencial por medio de un algoritmo de cifrado; y#- realizar dicho envío de la credencial.#Para acceder a dicho servicio o aplicación, interaccionando con medios (43) de entrada, el método realiza además:#- acceder a dicha memoria (44) para buscar dicha credencial, y si no se la encuentra:#- enviar una petición de dicha credencial;#- realizar la petición de activación necesaria para activar la cuenta de usuario;y#- enviar la credencial para el servicio solicitado.
Description
Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil.
Campo de la técnica
La presente invención se refiere, en general, a un método de identificación para acceder a servicios o aplicaciones
5 de MBB, usando credenciales asociadas a un servicio o aplicación solicitado, y más particularmente a un método que comprende usar un dispositivo de comunicaciones, tal como un dispositivo mochila USB, para participar en el cifrado/descifrado de dichas credenciales para aumentar la seguridad asociada con su acceso.
Estado de la técnica anterior
Generalmente, los métodos de autorización e identidad en servicios y aplicaciones web se realizan mediante la
10 introducción manual de un conjunto de credenciales, normalmente un usuario y una contraseña. Puesto que cada servicio tiene diferentes políticas para configurar estas credenciales, es decir número de caracteres, empleo de símbolos o caracteres alfanuméricos, etc., el usuario se ve obligado a introducir diferentes valores para cada uno de estos servicios.
Existen algunas iniciativas como OpenID que intentan resolver este problema, sin embargo el sistema no llega a un
15 número relevante de servicios web y, una vez más, el usuario tiene que recordar un nuevo conjunto de usuarios/contraseñas.
Otro enfoque para evitar que los usuarios olviden las diferentes credenciales que han configurado para los diferentes servicios son las “cadenas de claves” locales o basadas en red, tal como 1-Password. Este tipo de servicios simplemente permite al usuario almacenar los diferentes conjuntos de credenciales en un repositorio seguro
20 protegido por contraseña. Así, tras introducir la contraseña del repositorio, se pueden encontrar todos los diferentes conjuntos de credenciales que han almacenado previamente. Por tanto, este tipo de iniciativas no evitan la necesidad de que los usuarios generen la cuenta manualmente, simplemente les ayuda a recordarla en el futuro.
Algunos otros servicios web como los relacionados con los operadores de telecomunicaciones aprovechan las credenciales de la red. Por ejemplo, normalmente se usa el MSISDN como inicio de sesión, y la contraseña se
25 genera aleatoriamente y se envía al usuario por SMS.
Como perspectiva general de los métodos actuales indicados anteriormente, se puede concluir que todos ellos requieren que el usuario recuerde la credencial y la necesidad de introducirla manualmente cuando desea acceder al servicio.
Los siguientes documentos y propuestas están relacionados con la presente invención, sin embargo abordan 30 diferentes problemas, y las soluciones técnicas para resolverlos son diferentes de la propuesta en este documento.
La invención propuesta en [1] se centra en el propio dispositivo en lugar de especificar el mecanismo de autenticación. Además, no especifica el procedimiento en el método de activación del primer uso y no especifica la forma en que se almacenan las credenciales y si usa algún método de cifrado para garantizar la privacidad y la seguridad.
35 Puede observarse que la invención [2] se refiere a credenciales de red en lugar de las credenciales para usar servicios de valor añadido. Mediante el uso de la solución propuesta en esta invención es posible paliar el problema cuando se pasa por diferentes entornos de conectividad de red, pero no se dice nada acerca de las credenciales de los servicios que se están usando dentro de esos entornos de red.
En la invención [3], el dispositivo de identificación no tiene ninguna característica de comunicación, se basa en el
40 dispositivo central para proporcionar al mismo la característica de conectividad. Además, no tiene ninguna capacidad de cifrado, y no especifica el mecanismo de almacenamiento de las credenciales. A diferencia de la presente propuesta, el dispositivo de esta invención actúa como proxy, intercepta todas las peticiones de red, y en caso de que sea necesario, modifica la petición para añadir las credenciales. En la presente invención no se propone ningún tipo de proxy ya que el sistema no modifica las peticiones de red de usuario.
45 En la patente [4], las peticiones de información sobre credenciales desde una SIM se inician usando EAPSIM. Cubre principalmente un método para autorizar a un sistema informático conectarse a una WLAN. Por tanto esta patente representa un método de autorización de red, no uno a nivel de servicios. La misma característica se observa en [5]. El sistema aprovecha una tarjeta SIM externa para obtener acceso a una red WWAN. Por tanto, de nuevo, esta invención sólo cubre el nivel de red pero no el nivel de servicios.
50 La propuesta [6] se basa en la implementación en tarjetas inteligentes de procedimientos de tipo EAP, diseñados para autenticar la identidad del usuario en la fase de registro para acceder a la red a través del intercambio de claves. Por tanto no se trata de un procedimiento de autenticación a nivel de servicio, sino de un registro en la red de acceso mediante la autenticación segura del usuario. Esta conclusión puede extenderse también a [7].
ES 2 393 368 Al
La propuesta [8] está orientada al acceso durante la conexión o el registro de un terminal en la red WLAN. Introduce un procedimiento para verificar la identidad del usuario que accede a una conexión a través de un terminal dual WiFi-GSM. Esto se consigue generando una clave de usuario a partir de la red, asociada al número de móvil, que se envía por SMS al mismo. Esta clave se usa entonces para acceder al servicio vía WiFi, verificándose así la identidad del usuario.
El sistema descrito en [9] está orientado al uso del identificador IMSI en el acceso a la red a través de un elemento de IP móvil, de modo que no se trata de un nivel de autenticación de servicio, sino de un nivel de red para proporcionar acceso a los terminales. Esta conclusión puede extenderse también a [10].
En la actualidad, un conjunto importante de aplicaciones y servicios ofrecidos a los usuarios requieren introducir un conjunto de credenciales para obtener acceso a los mismos. En el caso de los usuarios que acceden a estas aplicaciones desde una red de banda ancha móvil (dispositivo mochila móvil o USB), la identificación se lleva a cabo independientemente de las credenciales de inicio de sesión del dispositivo en la red de acceso. Por tanto el usuario se ve obligado a realizar diversos procesos de autenticación de manera secuencial, lo que normalmente constituye un problema, especialmente porque el usuario tiene que enfrentarse a un nuevo conjunto de credenciales y después tiene que recordarlas. La figura 1 ilustra los diferentes elementos implicados en dichos procesos de autenticación.
Descripción de la invención
Es necesario ofrecer una alternativa al estado de la técnica que cubra las lagunas que se encuentran en el mismo.
Con este fin, la presente invención proporciona un método de identificación para acceder a servicios o aplicaciones de banda ancha móvil (MBB), que comprende, por medio de un dispositivo de comunicaciones (tal como un dispositivo mochila USB) de un dispositivo central o equipo informático.
El método de la invención comprende, como es conocido en el estado de la técnica, realizar para que un usuario sea identificado para tener acceso al servicio o aplicaciones, las siguientes acciones:
- -
- usar una o unas credenciales para ser proporcionadas a dichos servicios de banda ancha o aplicaciones, a través de una red de banda ancha móvil, o MBB, de manera que dicha o dichas credenciales son cifradas y almacenadas en una memoria (44) del dispositivo (48) de comunicaciones, dicho cifrado comprendiendo:
- -
- obtener un certificado a partir de una tarjeta SIM de dicho dispositivo de comunicaciones;
- -
- cifrar dicha al menos una credencial por medio de un algoritmo de cifrado, usando dicho certificado como entrada para dicho algoritmo de cifrado; y
- -
- realizar dicho envío de la al menos una credencial, sin cifrar, antes y/o después de dicho cifrado.
El método, comprende además, de manera característica, para acceder a dicho servicio o aplicación, interaccionando con medios (43) de entrada de dicho equipo (41) informático, realizar las siguientes acciones:
- -
- acceder, dicho dispositivo (48) de comunicaciones, a dicha memoria (44) para buscar dicha o dichas credenciales del servicio solicitado, y si no se encuentra dicha o dichas credenciales:
- -
- enviar, el dispositivo (48) de comunicaciones automáticamente o el usuario manualmente, una petición, a través de la red de MBB por medio de una interfaz (47) de radio de MBB del dispositivo (48) de comunicaciones, a un servidor de activación, de dicha o dichas credenciales;
- -
- realizar, dicho servidor de activación, la petición de activación necesaria para activar la cuenta de usuario a un servidor de extremo posterior, obteniendo así del mismo la o las credenciales solicitadas; y
- -
- enviar, el servidor de activación, la o las credenciales para el servicio solicitado al equipo (41) informático, a través de la red de MBB.
Para una realización del método para así obtener el certificado la función “ejecutar algoritmo GSM” es ejecutada en la tarjeta SIM.
Otras realizaciones del método de la invención se describen en las reivindicaciones adjuntas y en una sección posterior de la presente descripción.
Breve descripción de los dibujos
Las ventajas y características anteriores y otras se entenderán más completamente a partir de la siguiente descripción detallada de realizaciones, con referencia a los dibujos adjuntos (algunos de los cuales ya se han descrito en la sección Estado de la técnica anterior), que debe considerarse de manera ilustrativa y no limitativa, en los que:
ES 2 393 368 Al
La figura 1 muestra una arquitectura convencional que requiere la necesidad de realizar un proceso de autenticación para acceder a una aplicación o a un servicio.
La figura 2 muestra los diferentes elementos usados por el método de la invención, en una realización.
La figura 3 muestra un diagrama de flujo de recuperación de credenciales completo con diferentes alternativas, en una realización del método de la invención.
Descripción detallada de varias realizaciones
La invención proporciona un método sencillo para identificar a un usuario para acceder a servicios o aplicaciones, aprovechando la autenticación del usuario proporcionada por los operadores de telecomunicaciones, por medio de conexiones de MBB o mensajes SMS / USSD y las funcionalidades de cifrado que proporciona la tarjeta SIM, que se inserta en el dispositivo, tal como un dispositivo mochila USB de banda ancha móvil.
Mediante el uso del mecanismo del método de la invención, el usuario se registra en el servicio de manera transparente y “silenciosa”, de modo que el usuario no tiene que recordar e introducir las credenciales del servicio cada vez que use el dispositivo mochila de MBB.
A diferencia de otras soluciones, la presente invención se centra en una autenticación a nivel de servicio, en lugar de en una autenticación a nivel de red, por tanto, el proceso de activación y las credenciales almacenadas en esta invención son las credenciales del servicio o aplicación dado.
Otro punto importante de esta invención es el uso de la tarjeta SIM y el certificado de conexión GSM para cifrar las credenciales del servicio. Este certificado se usa habitualmente para conectarse a la red GSM pero no para cifrar contenido en el lado del cliente. En combinación con la tarjeta SIM que está dentro del dispositivo mochila de banda ancha móvil, es posible usar y almacenar las credenciales de usuario de manera segura. Los usuarios sólo tendrán que conocer el código PIN de la tarjeta SIM para obtener acceso a estos servicios o aplicaciones.
La idea principal de esta propuesta es aprovechar la identificación de red de acceso (generalmente IMSI o MSISDN) cuando se obtiene acceso a estos servicios de aplicaciones. Por tanto, el dispositivo mochila USB se convierte en la clave de acceso para este tipo de servicios o aplicaciones, haciéndolo de manera nueva e innovadora, que es protegiendo “la clave” mediante el código privado PIN de la SIM.
Al almacenar las credenciales cifradas usando el certificado GSM almacenado en la tarjeta SIM del dispositivo, no es posible que terceras partes las recuperen sin conocer el código PIN de la SIM. Es por ello que las credenciales están totalmente protegidas frente a un uso no autorizado. Dado que el servicio está protegido por estas credenciales, el acceso al servicio está cerrado a usuarios que no conozcan el PIN de la tarjeta SIM.
Puesto que las credenciales se gestionan mediante un único servidor de servicio de autenticación y activación, es posible centralizar la gestión de todas las peticiones de activación y autenticación necesarias para hacer funcionar el servicio.
Tal como se muestra en la figura 2, el dispositivo 41 central, que puede ser denominado como dispositivo informático, en el que está instalado el dispositivo 48 de comunicación (normalmente un dispositivo mochila USB), ejecuta el software que intenta acceder a un servicio en nombre del usuario. Ese dispositivo (normalmente un ordenador) se compone de, entre otros elementos, un controlador para manejar la comunicación con el dispositivo de comunicaciones, una pantalla 42 y un teclado 43.
El dispositivo de comunicaciones tiene una tarjeta 45 SIM y una tarjeta 44 de memoria, una interfaz de E/S y una interfaz 47 de radio para permitir al dispositivo 41 central acceder a la red en la que está albergado el servicio.
La autenticación tiene varios flujos en función del estado de las credenciales:
- 1.
- Cuando un usuario quiere acceder a un servicio, el dispositivo va a la tarjeta 44 de memoria para buscar las credenciales del servicio actual, si no existe, el dispositivo 48 automáticamente, o el usuario, enviará una petición vía HTTP (conectado a través de una conexión de MBB) o mensaje SMS o USSD usando la interfaz 47 de radio para pedir al servidor de activación una credencial para el usuario concreto y servicio concreto.
- 2.
- El servidor de activación valida al usuario basándose en la identidad de red móvil (generalmente IMSI o MSISDN) y envía de vuelta un nuevo mensaje que contiene las credenciales para acceder al servicio solicitado.
- 3.
- El dispositivo va a la tarjeta 45 SIM para obtener un certificado; el procedimiento usado es ejecutar en la SIM la función estándar “ejecutar algoritmo GSM” pasando una semilla fijada como argumento, si la SIM está bloqueada entonces se muestra un mensaje en la pantalla para permitir a los usuarios introducir el pin. El usuario introduce la clave usando el teclado 43, si la clave introducida es válida se genera un certificado. Si la SIM no está bloqueada, el pin no es necesario. Este certificado es único por SIM, cada SIM tiene su propio certificado y otra SIM tiene un certificado distinto.
- 4.
- Una vez obtenido el certificado, la siguiente etapa es usarlo como entrada en un algoritmo de cifrado simétrico para cifrarlo con las credenciales obtenidas en la etapa 2.
- 5.
- La credencial cifrada se guarda en la tarjeta de memoria del sistema.
- 6.
- La credencial obtenida en la etapa 2 se usa, sin cifrar, para acceder al servicio.
Si el usuario más tarde quiere acceder al servicio, las etapas serían las siguientes ya que las credenciales ya están almacenadas en la tarjeta de memoria:
- 7.
- El dispositivo va a la tarjeta (44) de memoria para buscar las credenciales cifradas para el servicio actual que el usuario guardó previamente
- 8.
- El dispositivo va a la tarjeta (45) SIM para obtener un certificado; el procedimiento consiste en ejecutar en la SIM la función estándar “ejecutar algoritmo GSM” pasando una semilla fijada como argumento, así si la SIM está bloqueada entonces se muestra un mensaje en la pantalla para permitir al usuario introducir el pin. El usuario introduce la clave usando el teclado (43) y si la clave introducida es válida se genera un certificado. Si la SIM no está bloqueada, el pin no es necesario.
- 9.
- Una vez obtenido el certificado, la siguiente etapa es usar una entrada en un algoritmo de cifrado simétrico para descifrarlo con las credenciales obtenidas en la etapa 7.
- 10.
- La credencial descifrada en la etapa anterior se usa para acceder al servicio.
ES 2 393 368 Al
La figura 3 muestra el diagrama con el flujo completo con las diferentes alternativas indicadas anteriormente, que se llevará a cabo en función de la respuesta a la pregunta “¿Hay un archivo de credenciales?” indicada en el recuadro disyuntivo en la parte superior del diagrama de flujo: si la respuesta es NO se llevarán a cabo las acciones de larama izquierda del diagrama de flujo, que son las indicadas anteriormente como 1 a 6; y si la respuesta es SÍ se llevarán a cabo las acciones de la rama derecha, que corresponden a las indicadas anteriormente como 7 a 10.
En una realización del método de la invención, están implicados los siguientes elementos:
- 1.
- Un procedimiento para enviar el formulario de petición de validación sin necesidad de intervención activa del usuario y basándose en la red de banda ancha móvil. La petición se envía de manera transparente desde el punto de vista del usuario; por tanto no es necesario que el usuario inicie el proceso. Se obtienen entonces las credenciales necesarias para usar el servicio dado.
- 2.
- Un servidor que se encarga de redirigir las peticiones entrantes de red de banda ancha (vía SMS o USSD) al servicio web desplegado en el servidor de extremo posterior. Este servidor recibirá peticiones desde los dispositivos mochila MBB de los clientes, entonces realizará la petición de activación necesaria para activar la cuenta de usuario al servidor de extremo posterior. Tras obtener las credenciales, el servidor las enviará de vuelta al dispositivo cliente. La comunicación entre el servidor y el extremo posterior que alberga el servicio web tendrá lugar usando protocolos de Internet seguros como HTTP sobre capa de zócalos seguros o HTTPS.
- 3.
- Un procedimiento para entregar credenciales cifradas desde el servidor de extremo posterior al cliente. Una vez realizadas la activación y la generación de las credenciales, éstas se enviarán de vuelta al cliente usando el mismo canal por el que se recibió la petición. Primero desde el servidor de extremo posterior a través del servidor usando HTTP/HTTPS y por último al dispositivo del cliente usando un mecanismo de red tal como SMS o USSD
- 4.
- Un procedimiento de almacenamiento seguro de las credenciales en la memoria interna o dispositivo mochila USB de MBB extraíble. Este procedimiento se basa en los algoritmos de certificaciones GSM que proporciona la SIM contenidos en el dispositivo mochila de MBB. Una vez recibidas las credenciales desde el servidor de autenticación y validación, el sistema las almacena de manera segura en la memoria del dispositivo, de modo que puedan reutilizarse en diversas ocasiones, proporcionando así seguridad de usuario por cada usuario. Ninguna persona que no conozca el código PIN de la tarjeta SIM podrá leer y usar las credenciales.
Un experto en la técnica podrá introducir cambios y modificaciones en las realizaciones descritas sin alejarse del alcance de la invención tal como se define en las reivindicaciones adjuntas.
SIGLAS Y ABREVIATURAS
- ADSL
- Línea de abonado digital asimétrica
- GSM
- Sistema global para comunicaciones móviles
- HTTP
- Protocolo de transferencia de hipertexto
- HTTPS
- Protocolo seguro de transferencia de hipertexto
- IMEI
- Identidad internacional de equipo móvil
ES 2 393 368 Al
IMSI Identidad internacional de abonado móvil
MBB Banda ancha móvil
MSISDN Número RDSI de abonado móvil
PIN Número de identificación personal
5 SIM Módulo de identidad de abonado
SMS Servicio de mensajes cortos
UMTS Sistema universal de telecomunicaciones móviles
USSD Servicio suplementario de datos no estructurados
BIBLIOGRAFÍA
[1] “Generic Identity Module for Telecommunication Services”, US20090191916A1, Eitan MARDIKS, Raanana 10 (IL).
[2] “Connectivity Manager to Manage Connectivity Services”, WO2009025707A1, COLE, Terry, L (US), TORMO, Jose (US).
[3] “Service access control”, WO20010075885A1, BAUER-HERMANN, Markus (DE), MEYER, Gerand (DE), SEIDL, Robert (DE).
15 [4] “Enhanced general packet radio service (GPRS) mobility management”, US20040162105A1, RAMGOPAL K. REDDY (US), DHIRAJ BATT (US).
[5] “System including a wireless wide area network (WWAN) module with an external identity module reader and approach for certifying the WWAN module”, US20050288056A1, SUNDEEP M. BAJIKAR (US), FRANCIS X. MCKEEN (US).
20 [6] 3GPP, 3GPP TSG SA WG3 Security — S3#28 (S3-030198) 6 -9 May 2003, Berlín, Alemania. “EAP support in smartcards and security requirements in WLAN authentication”.
[7] “SIM-based Subscriber Authentication for Wireless Local Area Networks”, Yuh-Ren Tsai y Cheng-Ju Chang, 2003 IEEE. Proceedings of IEEE 37th Annual 2003 International Carnahan Conference on Security Technology.
[8] “A convenient and secure wireless LAN authentication method and system based on SMS mechanism of 25 GSM”, TW252649B, LEE WEI-BIN (TW); YEH CHANG-KUO (TW).
[9] “Method and system for GSM-authentication during roaming in wireless local networks”, RU2295200, Shtadel Mann Toni (CH); Kauts Mikhel (CH).
[10] “Authentication method e.g. for multimode terminal within wireless network, GSM, GPRS, UMTS, involves
authentication of multi-mode terminal in wireless network under use of existing or channel which can be 30 developed to second network”, GRIMMINGER JOCHEN (DE); GROETING WOLFGANG (DE).
ES 2 393 368 Al
Claims (6)
- REIVINDICACIONES1. Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil, que comprende, por medio de un dispositivo (48) de comunicaciones de un dispositivo central o equipo (41) informático, realizar, para que un usuario sea identificado para tener acceso al servicio o aplicación solicitado, las siguientes acciones:
- -
- usar una o unas credenciales para ser proporcionadas a dichos servicios de banda ancha o aplicaciones, a través de una red de banda ancha móvil, o MBB, de manera que dicha o dichas credenciales son cifradas y almacenadas en una memoria (44) del dispositivo (48) de comunicaciones, dicho cifrado comprendiendo:
- -
- obtener un certificado a partir de una tarjeta (45) SIM de dicho dispositivo (48) de comunicaciones;
- -
- cifrar dicha o dichas credenciales por medio de un algoritmo de cifrado, usando dicho certificado como entrada para dicho algoritmo de cifrado;
y- -
- realizar dicho envío de la o las credenciales, sin cifrar, antes y/o después de dicho cifrado,
estando el método caracterizado porque comprende además para acceder a dicho servicio o aplicación, interaccionando con medios (43) de entrada de dicho equipo (41) informático, realizar las siguientes acciones:- -
- acceder, dicho dispositivo (48) de comunicaciones, a dicha memoria (44) para buscar dicha o dichas credenciales del servicio solicitado, y si no se encuentra dicha o dichas credenciales:
- -
- enviar, el dispositivo (48) de comunicaciones automáticamente o el usuario manualmente, una petición, a través de la red de MBB por medio de una interfaz (47) de radio de MBB del dispositivo (48) de comunicaciones, a un servidor de activación, de dicha o dichas credenciales;
- -
- realizar, dicho servidor de activación, la petición de activación necesaria para activar la cuenta de usuario a un servidor de extremo posterior, obteniendo así del mismo la o las credenciales solicitadas; y
- -
- enviar, el servidor de activación, la o las credenciales para el servicio solicitado al equipo (41) informático, a través de la red de MBB.
-
- 2.
- Método de identificación según cualquiera de las reivindicaciones anteriores, que comprende ejecutar una función en la tarjeta (45) SIM para obtener dicho certificado.
-
- 3.
- Método de identificación según la reivindicación 2, en el que dicha función es la función estándar “ejecutar algoritmo GSM”, comprendiendo dicha ejecución pasar una semilla fijada como argumento en dicha función “ejecutar algoritmo GSM”.
-
- 4.
- Método de identificación según la reivindicación 1, en el que dicho algoritmo de cifrado es un algoritmo de cifrado simétrico.
-
- 5.
- Método de identificación según cualquiera de las reivindicaciones anteriores, en el que, si la SIM se bloquea, el método comprende desbloquearla usando un correspondiente número de identificación personal privado, o PIN, código privado, con el fin de permitir la obtención de dicho certificado.
ES 2 393 368 AlES 2 393 368 AlOFICINA ESPAÑOLA DE PATENTES Y MARCASN.º solicitud: 201130019ESPAÑAFecha de presentación de la solicitud: 11.01.2011Fecha de prioridad:INFORME SOBRE EL ESTADO DE LA TECNICA51 Int. Cl. : H04L29/06 (2006.01)DOCUMENTOS RELEVANTES- Categoría
- 56 Documentos citados Reivindicaciones afectadas
- X
- WO 2005064430 A1 (TELECOM ITALIA SPA et al.) 14.07.2005, 1-5
- página 5, línea 22 – página 6, línea 20; página 7, línea 18 – página 15, línea 16; página 16,
- línea10 – página 19, línea 12; figuras 1,2.
- Y
- WO 9910793 A1 (SONERA OY et al.) 04.03.1999, 1-5
- página 1, línea 10; página 2, línea 36 – página 3, línea 5; página 5, línea 26 – página 7, línea 3;
- página 7, línea 25 – página 8, línea 16.
- Y
- WO 2009004411 A1 (FREESCALE SEMICONDUCTOR, INC. et al.) 08.01.2009 1-5
- página 1, líneas 12-16; página 4, línea 21 – página 5, línea 20; página 7, línea 9 – página 8,
- línea 14; figuras 1-3.
- Categoría de los documentos citados X: de particular relevancia Y: de particular relevancia combinado con otro/s de la misma categoría A: refleja el estado de la técnica O: referido a divulgación no escrita P: publicado entre la fecha de prioridad y la de presentación de la solicitud E: documento anterior, pero publicado después de la fecha de presentación de la solicitud
- El presente informe ha sido realizado • para todas las reivindicaciones • para las reivindicaciones nº:
- Fecha de realización del informe 03.12.2012
- Examinador J. Santaella Vallejo Página 1/4
INFORME DEL ESTADO DE LA TÉCNICANº de solicitud: 201130019Documentación mínima buscada (sistema de clasificación seguido de los símbolos de clasificación) H04L Bases de datos electrónicas consultadas durante la búsqueda (nombre de la base de datos y, si es posible, términos debúsqueda utilizados) INVENES, EPODOC, WPIInforme del Estado de la Técnica Página 2/4OPINIÓN ESCRITANº de solicitud: 201130019Fecha de Realización de la Opinión Escrita: 03.12.2012Declaración- Novedad (Art. 6.1 LP 11/1986)
- Reivindicaciones Reivindicaciones 1-5 SI NO
- Actividad inventiva (Art. 8.1 LP11/1986)
- Reivindicaciones Reivindicaciones 1-5 SI NO
Se considera que la solicitud cumple con el requisito de aplicación industrial. Este requisito fue evaluado durante la fase de examen formal y técnico de la solicitud (Artículo 31.2 Ley 11/1986).Base de la Opinión.-La presente opinión se ha realizado sobre la base de la solicitud de patente tal y como se publica.Informe del Estado de la Técnica Página 3/4OPINIÓN ESCRITANº de solicitud: 2011300191. Documentos considerados.-A continuación se relacionan los documentos pertenecientes al estado de la técnica tomados en consideración para la realización de esta opinión.- Documento
- Número Publicación o Identificación Fecha Publicación
- D01
- WO 2005064430 A1 (TELECOM ITALIA SPA et al.) 14.07.2005
- D02
- WO 9910793 A1 (SONERA OY et al.) 04.03.1999
- D03
- WO 2009004411 A1 (FREESCALE SEMICONDUCTOR, INC. et al.) 08.01.2009
- 2. Declaración motivada según los artículos 29.6 y 29.7 del Reglamento de ejecución de la Ley 11/1986, de 20 de marzo, de Patentes sobre la novedad y la actividad inventiva; citas y explicaciones en apoyo de esta declaraciónLa invención reivindicada presenta un método que obtiene un certificado a partir de la módulo de identidad de abonado (SIM) de un dispositivo, lo cifra utilizando el algoritmo de la SIM y lo envía al servicio. Pudiendo almacenar el certificado en una memoria.El documento del estado de la técnica más próximo a la invención es D01 y divulga la utilización de un módulo de identidad de abonado (SIM) que posee un algoritmo de seguridad instalado en un sistema informático (CS) y lo utiliza para generar una clave de cifrado. Esta clave se utiliza para cifrar archivos.Para mayor claridad, y en la medida de lo posible, se emplea la misma redacción utilizada en la reivindicación 1. Las referencias entre paréntesis corresponden al D01. Las características técnicas que no se encuentran en el documento D01 se indican entre corchetes.Reivindicación 1 Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil, que comprende, por medio de un dispositivo de comunicaciones de un dispositivo central o equipo informático (figura 1, elemento 10), realizar, para que un usuario sea identificado para tener acceso al servicio o aplicación solicitado, las siguientes acciones (Titulo y resumen):
- •
- usar una o unas credenciales para ser proporcionadas a dichos servicios de banda ancha o aplicaciones, a través de una red de banda ancha móvil, o MBB, de manera que dicha o dichas credenciales son cifradas y almacenadas en una memoria del dispositivo de comunicaciones, dicho cifrado comprendiendo (figura 1, SIM Card),:
• obtener un certificado a partir de una tarjeta SIM de dicho dispositivo de comunicaciones (figura 1, elementos 10 y 20) ;- •
- cifrar dicha o dichas credenciales por medio de un algoritmo de cifrado, usando dicho certificado como entrada para
dicho algoritmo de cifrado(página 8, líneas 6 y 7); y- •
- realizar dicho envío de la o las credenciales, sin cifrar, antes y/o después de dicho cifrado, estando el método caracterizado porque comprende además para acceder a dicho servicio o aplicación, interaccionando con medios de entrada de dicho equipo informático(pagina 9, línea 5), realizar las siguientes acciones:
- •
- acceder, dicho dispositivo de comunicaciones, a dicha memoria para buscar dicha o dichas credenciales del servicio solicitado, y si no se encuentra dicha o dichas credenciales (página 9, línea 5):
- •
- enviar, el dispositivo de comunicaciones automáticamente o el usuario manualmente, una petición, a través de la red de MBB por medio de una interfaz de radio de MBB del dispositivo de comunicaciones, a un servidor de activación, de dicha o dichas credenciales(reivindicación 19, figura 1);
- •
- [realizar, dicho servidor de activación, la petición de activación necesaria para activar la cuenta de usuario a un servidor de extremo posterior, obteniendo así del mismo la o las credenciales solicitadas]; y
- •
- enviar, el servidor de activación, la o las credenciales para el servicio solicitado al equipo informático, a través de la red de MBB (figura 1)
En el documento D01 no se menciona la necesidad de petición de activación necesaria para activar la cuenta de usuario para obtener las credenciales. Este paso está implícito en el sistema al obtener las credenciales y poder generar las claves de sesión, ya que al tener una SIM debe de tener una cuenta de usuario.Por lo tanto a la luz de D01, la invención es nueva pero carece de actividad inventiva tal como se establece en los artículos 6 y 8 de la Ley de Patentes 1986Reivindicaciones 2-5 Las reivindicaciones 2-5 están incluidas en el documento D01 como la ejecución en la tarjeta SIM, la utilización del algoritmo GSM, o aplicar un cifrado simétrico o la utilización del PIN para desbloqueo.Por lo tanto a la luz de D01, las reivindicaciones 2-5 son nuevas pero carecen de actividad inventiva tal como se establece en los artículos 6 y 8 de la Ley de Patentes 1986.Informe del Estado de la Técnica Página 4/4
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES201130019A ES2393368B1 (es) | 2011-01-11 | 2011-01-11 | Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. |
US13/979,095 US20140011479A1 (en) | 2011-01-11 | 2011-12-26 | Identification method for accessing mobile broadband services or applications |
PCT/EP2011/074058 WO2012095259A1 (en) | 2011-01-11 | 2011-12-26 | Identification method for accessing mobile broadband services or applications |
ARP120100075A AR084817A1 (es) | 2011-01-11 | 2012-01-10 | Metodo de identificacion para acceder a servicios o aplicaciones de banda ancha movil |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES201130019A ES2393368B1 (es) | 2011-01-11 | 2011-01-11 | Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. |
Publications (2)
Publication Number | Publication Date |
---|---|
ES2393368A1 ES2393368A1 (es) | 2012-12-20 |
ES2393368B1 true ES2393368B1 (es) | 2013-08-14 |
Family
ID=45476493
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES201130019A Expired - Fee Related ES2393368B1 (es) | 2011-01-11 | 2011-01-11 | Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. |
Country Status (4)
Country | Link |
---|---|
US (1) | US20140011479A1 (es) |
AR (1) | AR084817A1 (es) |
ES (1) | ES2393368B1 (es) |
WO (1) | WO2012095259A1 (es) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103974339B (zh) | 2013-01-28 | 2018-01-16 | 华为技术有限公司 | 一种数据缓存的方法和装置 |
CN107241683B (zh) | 2013-01-31 | 2020-08-25 | 华为技术有限公司 | 定制自定义移动网络的设备、***和方法 |
US9781598B2 (en) | 2013-03-15 | 2017-10-03 | Tyfone, Inc. | Personal digital identity device with fingerprint sensor responsive to user interaction |
US9436165B2 (en) * | 2013-03-15 | 2016-09-06 | Tyfone, Inc. | Personal digital identity device with motion sensor responsive to user interaction |
US9319881B2 (en) | 2013-03-15 | 2016-04-19 | Tyfone, Inc. | Personal digital identity device with fingerprint sensor |
US9572108B2 (en) | 2014-06-26 | 2017-02-14 | Intel IP Corporation | Systems, methods and devices for small cell activation and detection |
CN107204848B (zh) * | 2017-07-25 | 2018-08-28 | 北京深思数盾科技股份有限公司 | 一种管理秘钥数据的方法及管理密钥数据的装置 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI115686B (fi) * | 1997-08-27 | 2005-06-15 | Teliasonera Finland Oyj | Menetelmä palvelun käyttämiseksi tietoliikennejärjestelmässä ja tietoliikennejärjestelmä |
AU4265101A (en) | 2000-04-05 | 2001-10-15 | Sony United Kingdom Limited | Identifying, recording and reproducing information |
US7853788B2 (en) * | 2002-10-08 | 2010-12-14 | Koolspan, Inc. | Localized network authentication and security using tamper-resistant keys |
US20040162105A1 (en) | 2003-02-14 | 2004-08-19 | Reddy Ramgopal (Paul) K. | Enhanced general packet radio service (GPRS) mobility management |
ATE553610T1 (de) * | 2003-12-30 | 2012-04-15 | Telecom Italia Spa | Methode und system für schützende daten, in verbindung stehendes kommunikationsnetz und computer-programm-produkt |
AU2003294018A1 (en) * | 2003-12-30 | 2005-07-21 | Telecom Italia S.P.A. | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products |
US20050288056A1 (en) | 2004-06-29 | 2005-12-29 | Bajikar Sundeep M | System including a wireless wide area network (WWAN) module with an external identity module reader and approach for certifying the WWAN module |
WO2009004411A1 (en) * | 2007-07-04 | 2009-01-08 | Freescale Semiconductor, Inc. | Communication device with secure storage of user data |
US8095172B1 (en) | 2007-08-23 | 2012-01-10 | Globalfoundries Inc. | Connectivity manager to manage connectivity services |
US8457621B2 (en) | 2008-01-27 | 2013-06-04 | Sandisk Il Ltd. | Generic identity module for telecommunication services |
-
2011
- 2011-01-11 ES ES201130019A patent/ES2393368B1/es not_active Expired - Fee Related
- 2011-12-26 US US13/979,095 patent/US20140011479A1/en not_active Abandoned
- 2011-12-26 WO PCT/EP2011/074058 patent/WO2012095259A1/en active Application Filing
-
2012
- 2012-01-10 AR ARP120100075A patent/AR084817A1/es not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
US20140011479A1 (en) | 2014-01-09 |
ES2393368A1 (es) | 2012-12-20 |
WO2012095259A1 (en) | 2012-07-19 |
AR084817A1 (es) | 2013-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2393368B1 (es) | Método de identificación para acceder a servicios o aplicaciones de banda ancha móvil. | |
ES2661307T3 (es) | Autenticación de una aplicación | |
Torroglosa-Garcia et al. | Enabling roaming across heterogeneous IoT wireless networks: LoRaWAN MEETS 5G | |
ES2774921T3 (es) | Procedimiento y aparato para vincular la autenticación de abonados y la autenticación de dispositivos en sistemas de comunicación | |
KR101838872B1 (ko) | 애플리케이션-특정적 네트워크 액세스 크리덴셜들을 이용한 무선 네트워크들에 대한 후원된 접속을 위한 장치 및 방법 | |
ES2584862T3 (es) | Autenticación en comunicación de datos | |
ES2706540T3 (es) | Sistema de credenciales de equipos de usuario | |
CN107409136B (zh) | 用于使用应用专用网络接入凭证到无线网络的受担保连通性的装置和方法 | |
JP5432156B2 (ja) | Uiccと端末との間のセキュア通信方法 | |
US8831224B2 (en) | Method and apparatus for secure pairing of mobile devices with vehicles using telematics system | |
ES2436340T3 (es) | Secuencia Inicial segura para comunicaciones inalámbricas | |
KR101195053B1 (ko) | Uicc 없는 호출들을 지원 | |
ES2385824T3 (es) | Procedimiento y sistema de protección de datos, red de comunicaciones relacionada y producto de programa informático | |
WO2019104124A1 (en) | Secure authentication of devices for internet of things | |
ES2935717T3 (es) | Método para autenticar un usuario y dispositivo, primer y segundo servidores y sistema correspondientes | |
GB2518255A (en) | Communicating with a machine to machine device | |
JP7335342B2 (ja) | 電気通信ネットワークにおける端末内の移動体装置と協働するセキュアエレメントを認証する方法 | |
JP2006522514A (ja) | 通信ネットワーク内での相互認証の方法及びソフトウエアプログラムプロダクト | |
CN108886688A (zh) | 用于中立主机lte的lte层级安全性 | |
BR112021003448A2 (pt) | dispositivo sem identidade de assinante, dispositivo de identidade do assinante, método para uso em um dispositivo sem identidade de assinante, método para uso em um dispositivo com identidade de assinante e produto de programa de computador transferível por download | |
US8700907B2 (en) | Use of mobile communication network credentials to protect the transfer of posture data | |
Prakash et al. | Authentication protocols and techniques: a survey | |
ES2534046T3 (es) | Método y dispositivos para acceder a una red de área local inalámbrica | |
Kumar et al. | Analysis and literature review of IEEE 802.1 x (Authentication) protocols | |
WO2019063855A1 (es) | Un método y un servidor de comunicaciones para identificación y autenticación segura de un dispositivo a una plataforma de internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FG2A | Definitive protection |
Ref document number: 2393368 Country of ref document: ES Kind code of ref document: B1 Effective date: 20130814 |
|
FD2A | Announcement of lapse in spain |
Effective date: 20181015 |