ES2875963T3 - Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos - Google Patents

Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos Download PDF

Info

Publication number
ES2875963T3
ES2875963T3 ES14820216T ES14820216T ES2875963T3 ES 2875963 T3 ES2875963 T3 ES 2875963T3 ES 14820216 T ES14820216 T ES 14820216T ES 14820216 T ES14820216 T ES 14820216T ES 2875963 T3 ES2875963 T3 ES 2875963T3
Authority
ES
Spain
Prior art keywords
access
user
computer network
network
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14820216T
Other languages
English (en)
Inventor
Magnus Skraastad Gulbrandsen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sgx As
Original Assignee
Sgx As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sgx As filed Critical Sgx As
Application granted granted Critical
Publication of ES2875963T3 publication Critical patent/ES2875963T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • H04L12/1407Policy-and-charging control [PCC] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1453Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
    • H04L12/1467Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network involving prepayment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/82Criteria or parameters used for performing billing operations
    • H04M15/8214Data or packet based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/60Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para autenticar usuarios que solicitan acceso a datos o servicios de acceso restringido en una red informática a través de una base de datos de acceso, comprendiendo la red informática al menos una red central, en el que la red central comprende una red de un proveedor de acceso que puede comunicarse con una pluralidad de bases de datos de acceso conectadas a la red informática, el método comprende las etapas de: asignar globalmente direcciones de comunicación únicas a todos los dispositivos en la red informática, cada dispositivo está asociado de manera única con un usuario en particular, utilizar al menos una dirección de comunicación única asignada asociada con un usuario de un dispositivo para identificar al usuario: utilizar una función de inicio de sesión a través del dispositivo del usuario para autenticar al usuario identificado en una base de datos de primer acceso (DB1) en la red informática utilizando la dirección de comunicación única asignada y generar una clave que comprende un código de autenticación único para que el usuario acceda a la red informática; recibir en una segunda base de datos de acceso (DBx) en la red informática una solicitud del usuario para acceder a la segunda base de datos de acceso (DBx) que tiene datos o servicios de acceso restringido; y si la segunda base de datos de acceso (DBx) reconoce la dirección de comunicación del usuario y el usuario está autenticado en la primera base de datos de acceso (DB1), otorgando acceso al usuario a la segunda base de datos de acceso (DBx); y negar al usuario el acceso a la pluralidad de bases de datos de acceso y/o a la red informática si se rompe la clave o si el usuario cierra la sesión a través de su dispositivo.

Description

DESCRIPCIÓN
Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos
Campo de la invención
La presente invención se refiere en general al acceso a los datos por parte de un usuario desde un dispositivo informático, la autenticación del usuario y la facturación de un usuario al que se le ha concedido acceso a los datos. Los datos en este contexto no incluyen datos que están disponibles públicamente, sino solo datos a los que el acceso está restringido de acuerdo con ciertas restricciones. Más particularmente, la presente invención se refiere a un método y sistema de autenticación de usuarios. La invención también se refiere a un método de comunicación entre una red central y varias unidades externas y bases de datos de acceso restringido. La invención se refiere además a una plataforma para establecer y asegurar derechos y precios, así como comunicarlos a las partes necesarias de la red central.
Técnica anterior
El amplio acceso que tienen las personas a las redes informáticas mundiales ha desencadenado una serie de problemas relacionados con la autenticación y autorización de las personas. Hay varios problemas asociados con la autenticación, tanto prácticos como relacionados con la seguridad, para los usuarios que deben autenticarse a sí mismos. La existencia de varios métodos de autenticación diferentes genera problemas prácticos para los usuarios, así como problemas técnicos relacionados con la comunicación entre diferentes áreas de acceso restringido, clientes, etc. Existe la necesidad de un sistema universal de identificación y autenticación.
Existe una variedad de principios de autenticación, como la autenticación de factor único, de dos factores y de tres factores, por mencionar los tres más comunes. En la autenticación de factor único, un usuario se autenticará a sí mismo utilizando solo una "credencial", como un teléfono móvil con una tarjeta SIM, por ejemplo, con la tarjeta SIM o el teléfono móvil transmitiendo un código de hardware único, estando asociado el código de hardware con un usuario en particular. Este tipo de autenticación no es aceptable en casos en los que se requiera alta seguridad, como en transacciones o descarga de material protegido por derechos, ya que es fundamental que sea el propietario registrado real de la tarjeta SIM o teléfono móvil el que se autentique. Para mejorar la seguridad de la autenticación, es común introducir un elemento adicional para ser utilizado en la autenticación de modo que se utilicen dos factores. Normalmente, el segundo elemento será algo que el usuario recuerde, es decir, uno tiene un factor que representa algo que el usuario posee y un factor que representa algo que un usuario recuerda. El factor relacionado con algo que un usuario recuerda podría ser un código PIN y, en el caso de la autenticación manual por teléfono, suele ser una respuesta a una pregunta conocida.
Un problema con los factores utilizados para la autenticación es su naturaleza volátil; el factor de "posesión" y el factor de "recordar" pueden cambiar y el factor de recordar también puede ser olvidado. Desafortunadamente, no existe ningún sistema en el que uno pueda identificarse universal e independientemente de las herramientas de identificación.
Es un objeto de la presente invención proporcionar un sistema y método que resuelva el problema anterior utilizando factores volátiles para autenticar usuarios de servicios sujetos a seguridad. Los documentos US 2008/120707 y US 2004/049586 definen la técnica anterior relevante.
Sumario de la invención
El objeto de la presente invención se consigue mediante los métodos y sistemas definidos en las reivindicaciones adjuntas.
La invención utiliza la dirección de comunicación necesaria para comunicarse en una red informática como un identificador opcional junto con cualquier tipo de técnica de autenticación (de uno, dos o tres factores) que autentique que el usuario es de hecho el usuario apropiado. Si se requiere más de un factor, un código de hardware/identidad de un dispositivo de acceso, por ejemplo, podría usarse como un factor adicional. Esto se confirma mediante una función de inicio de sesión que crea/envía una clave para/al usuario y habilita al usuario autenticado en una base de datos de inicio de sesión configurada para la comunicación. Esta base de datos de inicio de sesión puede comunicar la clave con el usuario y/o diferentes bases de datos de acceso y/o manejadores de acceso de la red real.
La invención permite a los usuarios utilizar una dirección de comunicación (IP) para identificarse, proporcionando un sistema de identificación/autenticación universal, global y de registro único utilizable para cualquier acceso, pago y similares.
El uso de direcciones IP asegura que el usuario apropiado esté detrás de una dirección de comunicación determinada. El objetivo es que el usuario no pueda acceder a una red central y, a través de esta red, obtenga acceso a datos de acceso restringido sin que el usuario haya sido autorizado de forma segura mediante el uso de una identidad de usuario única, como una dirección IP asignada, por ejemplo. Según una realización de la invención, el usuario puede ser rechazado de la red central si la autenticación no se lleva a cabo utilizando una identidad única como se indicó anteriormente. De esta manera, la identidad de un usuario puede asociarse directamente con los derechos del usuario, y se evita que el usuario obtenga acceso a datos de acceso restringido a menos que se autentique.
Mediante el uso de la invención, se evita que un usuario se comunique desde una IP de un operador que no tiene las mismas restricciones que el operador que le ha dado acceso al usuario. Intentar anonimizar/no identificar (por ejemplo, proxy, IP oculta, usar otra IP) para acceder, por ejemplo, contenido ilegal o eludir restricciones en una red central no es posible cuando se usa la invención, ya que la invención impide el acceso a través de la red para un usuario. La invención evita que los usuarios accedan a redes globales a través de la infraestructura de otros operadores distintos del operador de acceso.
Según un aspecto de la invención, se proporciona un método de autenticación de un usuario que solicita acceso a servicios de una red informática que comprende el uso de una dirección de comunicación única para autenticación e identificación. El método también puede comprender una asignación global de direcciones de comunicación únicas a usuarios y dispositivos. El método puede comprender además el uso de una función de inicio de sesión a través de un aparato o dispositivo al que se puede asociar una dirección de comunicación única, como una dirección IPv6 a través de una identidad de hardware como MAC, IMEI IMSI y similares, configurada para enviar y recibir información a través de una red. El método de la invención puede comprender usar la identidad del hardware, es decir, un identificador que sea al menos una de entre la dirección de comunicación, MAC, IMEI, un código, Id Bancario u otro medio de identificación que pueda usarse para autenticar a un usuario.
El método puede comprender además enviar, si uno de los identificadores se pierde o el usuario se desconecta, una señal a la base de datos que mantiene un registro de los usuarios y si están autorizados, configurándose dicha base de datos para asegurarse de que el usuario en cuestión obtiene acceso a la red informática o que dicho usuario es eliminado de la red informática cuando falta un identificador. Según el método, la base de datos puede configurarse para registrar que el usuario ya no está en posesión de todos los identificadores, así como para comunicar información sobre los mismos durante la solicitud posterior de bases de datos de acceso u otras unidades externas en función de la solicitud del usuario de acceder a las mismas. Según una realización de la invención, la base de datos puede formar parte de un sistema de suscripción que administra usuarios en una compañía telefónica.
La invención también comprende un sistema de autenticación de un usuario que solicita acceso a servicios en una red informática, que comprende el uso de direcciones de comunicación únicas para autenticación e identificación. Según este sistema, el sistema puede comprender una asignación global de direcciones de comunicación únicas a usuarios y dispositivos.
El sistema puede comprender además un sistema de inicio de sesión y un sistema de suscripción capaz de comunicarse con al menos uno de los siguientes: (a) varias bases de datos de acceso, (b) controlador de acceso, (c) clave en el usuario, (d) cualquier otra solicitud electrónica como autenticación para compra, firma, conciliación y otras unidades externas, etc.
Según otro aspecto de la invención, se proporciona un método de comunicación entre una red central y varias unidades externas, así como bases de datos de acceso (ADB) que protegen datos, servicios, información, sistemas, aplicaciones, etc. de acceso restringido que comprende: comunicar la identificación de los usuarios que tienen acceso y qué acceso tienen, y determinar y comunicar, a través de la red central, previa solicitud, si el usuario ha pagado o se le permitirá crédito por el supuesto uso (sistema de suscripción/facturación). El método puede comprender registrar el tráfico con la red central y/o con la ADB que informa a la red central.
Según otro aspecto de la invención, se proporciona un sistema para la comunicación entre una red central y varias unidades externas, así como bases de datos de acceso que protegen datos, servicios, información, sistemas, aplicaciones, etc. de acceso restringido, que comprende: que se comunica la identificación de los usuarios que tienen acceso y qué acceso tienen, y que la red central, previa solicitud, determina y comunica si el usuario ha pagado/se le permitirá crédito por el supuesto uso (sistema de suscripción/facturación). El sistema puede comprender registrar el tráfico con la red central y/o con la ADB que informa a la red central.
Según otro aspecto más de la invención, se proporciona un método de comunicación entre una red central y una plataforma digital que proporciona información sobre el contenido, la forma de pago, las condiciones de uso, el precio, la distribución del precio/ingresos al entidades adecuadas y las funciones de la red central (suscripción, facturación, bloqueo, otras comunicaciones externas, pago a terceros).
Según otro aspecto más de la invención, se proporciona un sistema para la comunicación entre una red central y una plataforma digital que proporciona información sobre el contenido, la forma de pago, las condiciones de uso, el precio, la distribución de precios/ingresos a la entidades más adecuadas y las funciones de la red central (suscripción, facturación, bloqueo, otras comunicaciones externas, pago a terceros).
Otras características y ventajas de la presente invención resultarán evidentes a partir de las reivindicaciones dependientes adjuntas.
Breve descripción de los dibujos
A continuación, se proporciona una breve descripción de los dibujos para facilitar la comprensión de la invención. La descripción detallada que sigue hace referencia a los dibujos adjuntos, en los que
La figura 1 muestra un encabezado de paquete IPv6,
La figura 2 muestra una red que incluye bases de datos que comprenden contenido que requiere autenticación para el acceso,
La figura 3 muestra un diagrama de una rutina de autenticación de registro/inicio de sesión según una realización de la presente invención,
La figura 4 muestra un diagrama de una rutina de autenticación de registro/inicio de sesión de acuerdo con una variante de la realización mostrada en la figura 3,
La figura 5 muestra un diagrama de flujo que describe un método de autenticación,
La figura 6 muestra un diagrama de flujo que describe un método alternativo de autenticación al que se muestra en la figura 5,
La figura 7 muestra un ejemplo de comunicación entre una red central y varias unidades externas y bases de datos de acceso que protegen los datos de acceso restringido,
La figura 8 muestra un ejemplo alternativo para la comunicación de la figura 7, y
La figura 9 muestra una plataforma de ejemplo para la interacción entre la red central y los sistemas de facturación.
Descripción detallada de la invención
A continuación, se describen las primeras realizaciones generales de acuerdo con la presente invención y luego se describirán realizaciones de ejemplo específicas. Siempre que sea posible, se hará referencia a los dibujos adjuntos y, si es posible, se utilizarán los números de referencia de los dibujos. Sin embargo, debe observarse que los dibujos muestran solo realizaciones de ejemplo y otros detalles y realizaciones también pueden estar dentro del alcance de la invención tal como se describe.
Por el término datos de acceso restringido se entenderá cualquier material, sistemas, servicios, aplicaciones, programas, video, audio y similares que estén protegidos por las leyes de derechos de autor y otras leyes, y el término también incluirá los datos que estén protegidos mediante acuerdos de derecho privado tales como acuerdos de licencia, acuerdos de distribución, acuerdos de agencia y similares, así como datos a los que un propietario elige aplicar restricciones de acceso independientemente de los derechos y el marco legal. Dado que la invención está dirigida al control de acceso de datos de acceso restringido a través de redes informáticas, el término datos de acceso restringido no abarcará material de naturaleza tangible. Sin embargo, el término abarca cualquier interpretación o reproducción digital de material tangible protegido por derechos de autor. Dicho material tangible puede comprender, pero no se limita a, fotografías, pinturas, pero también esculturas y otro material de dimensiones de árboles cuya interpretación digital se puede utilizar para la producción y explotación de material de dimensiones de árboles, por ejemplo.
El término compañía telefónica, en el contexto de la invención, incluirá cualquier proveedor de acceso a la red que tenga derecho a mediar en el tráfico de datos hacia y desde un usuario y que al mismo tiempo pueda comunicar datos de acceso restringido directa o indirectamente a uno o más usuarios.
Por titulares de derechos se entiende una o más entidades en posesión legal del derecho a datos y servicios de acceso restringido. Para los casos en los que una compañía telefónica ofrece su propio material y servicios de datos de acceso restringido, la compañía telefónica también puede ser titular de derechos. Dicho material puede ser, por ejemplo, plataformas o aplicaciones de software de ordenador, donde los ordenadores se interpretarán de acuerdo con la definición proporcionada en este documento.
Por proveedores de derechos se entiende una o más entidades que pueden mediar legalmente en datos de acceso restringido. Una compañía telefónica puede ser un proveedor de derechos.
Por ordenadores se entenderá todo dispositivo que sea capaz de conectarse a una red informática y que al mismo tiempo pueda ser identificado por una identidad única. La identidad única puede asociarse con el dispositivo como una identidad de hardware, como una dirección MAC, identidades IMSI o IMEI, por ejemplo. En una realización de la invención, un ordenador se asigna directamente a la identidad de un usuario, siendo la identidad del usuario única y asignada por una compañía telefónica o un organismo de certificación.
Por red central 1 se entenderá la red de una compañía telefónica o proveedor de servicios que es la portadora de tráfico para usuarios ajenos al propio operador; en algunos dominios, esto también se conoce como red troncal.
IP, por IP, se refiere al Protocolo de Internet, que es un protocolo de Internet en la capa de red. Existen varios protocolos de Internet en la capa de red, siendo el más común IPv4. IPv4 se ha utilizado durante mucho tiempo y uno de los problemas fundamentales es la limitación en el número de direcciones disponibles. El aumento en la cantidad de dispositivos que requieren direcciones IP separadas ha sido explosivo e IPv4 se está quedando sin direcciones dentro de algunos rangos de direcciones. Otra debilidad que también se puede atribuir al hecho de que IPv4 está a punto de volverse obsoleto es que este protocolo no se escala muy bien con respecto al aumento de las demandas de autenticación, integridad y seguridad de los datos, y el aumento de las demandas se debe en gran parte a la enorme número de transacciones que están actualmente disponibles en la "red", tanto transacciones monetarias como, no menos importante, transacciones de material protegido por derechos como juegos, música, películas y libros. Para superar las deficiencias de IPv4, ya en 1994 se sugirió la transición a un protocolo con un rango de direcciones más amplio y una mayor flexibilidad en general, cuyo protocolo se denominó IPv6. IPv6 tiene un espacio de direcciones de 128 bits, mientras que IPv4 tiene solo 32 bits.
En muchos contextos, las direcciones IPv6 se dividen en dos partes, un prefijo de red de 64 bits y una parte de 64 bits que se dirige al host. La última parte, que es el identificador de la interfaz, a menudo se generará automáticamente a partir de la dirección MAC del adaptador de red. Una dirección MAC incluye 48 bits, y la transformación de 48 bits a 64 bits para su uso como identificador de interfaz se describe en 2.5.1 de RFC 4291. Las direcciones IPv6 generalmente se especifican hexadecimalmente como ocho grupos de cuatro dígitos hexadecimales separados por dos puntos.
Un paquete IPv6 se compone de dos partes, un encabezado como se muestra en la figura 1 y la carga útil. El encabezado comprende los 40 primeros caracteres de un paquete y contiene varios campos. En el contexto de la presente invención, es principalmente el campo de dirección de origen de la cabecera el que es de interés, que contiene las direcciones de origen.
Al igual que IPv4, IPv6 admite direcciones IP únicas a nivel mundial para que se pueda rastrear la actividad de la red de cualquier dispositivo (al menos en teoría).
El propósito de IPv6 es asignar direcciones únicas a cada dispositivo existente en la "red". Por lo tanto, cada dispositivo en Internet tendrá una dirección global única directamente direccionable desde cualquier otra dirección en Internet. La necesidad de guardar direcciones en IPv4 ha llevado a la introducción de una traducción de direcciones de red (NAT) que ha enmascarado dispositivos que tienen direcciones IP situadas detrás de una interfaz de red, de modo que dichos dispositivos no han sido fácilmente reconocibles desde fuera de la interfaz de red. En IPv6, no es necesario utilizar NAT o la configuración automática de direcciones, aunque es posible la configuración automática basada en la dirección MAC. Incluso cuando una dirección no se basa en una dirección MAC, la dirección de la interfaz será globalmente única a diferencia de lo que se ve en las redes IPv4 enmascaradas NAT. Aunque el régimen IPv6 puede ser criticado por comprometer la "privacidad", sus características en la forma del gran espacio de direcciones y la capacidad de seguimiento única lo convierten en un candidato interesante para la autenticación.
Según la presente invención, es un objeto proporcionar sistemas de autenticación y métodos de autenticación en los que un factor se basa en la dirección de comunicación (como IPv6). Como se indicó anteriormente, es común utilizar una dirección MAC, identidad IMSI o IMEI como uno de los factores que genera un código de autenticación. Sin embargo, también como se indicó, existen varios inconvenientes asociados con este enfoque. Por ejemplo, varios usuarios pueden utilizar una unidad de hardware (el factor de posesión). Si a los usuarios se les asigna una dirección única global que es invariable de la misma manera que un número de seguro social/número de teléfono, entonces dicha dirección podría usarse como un factor en un algoritmo de autenticación, ya sea de "un factor, dos factores o algoritmo de tres factores". Dicha dirección única puede ser una dirección IPv6.
Las direcciones IPv6 pueden ser asignadas desde ISP, operadores o partes certificadas con derecho a entregar certificados, como se conoce en los sistemas actuales en los que actores individuales como Symantec, entre otros, pueden verificar la autenticidad, entregar PKI en la capacidad de ser Autoridades de certificación (CA). Se supone que la asignación de la dirección IPv6 se realiza de forma segura.
Después de que las personas hayan recibido una dirección IPv6 personal y globalmente única, de acuerdo con un aspecto de la invención, el usuario podrá autenticarse utilizando esta dirección IPv6 única en un sistema de autenticación de un factor.
Según otro aspecto de la invención, la dirección IPv6 única puede constituir uno de los factores en una autenticación de dos factores, donde el otro factor puede ser una dirección MAC, un código IMSI o IMEI. El código de hardware y la dirección IPv6, según un aspecto de la invención, pueden ser la entrada a un algoritmo que genera un código de autenticación único.
De manera similar, de acuerdo con un tercer aspecto de la invención, se pueden usar tres factores.
Si un usuario va a realizar transacciones o realizar otras acciones para las que se requiere certeza de la identidad de una persona, entonces será necesaria la autenticación.
ID IP = IP verificada/habilitada/identificada - especificada a través de una función de inicio de sesión -advertencia y deshabilitación automática si se pierde la identificación/la clave se "destruye".
Cancelar/deshabilitar el acceso a la red y/o un recurso protegido. (si no estás identificado en todo momento, estás desconectado)
Según una realización de la invención (figura 4), la invención comprende una función de registro/inicio de sesión para acceder a Internet/otra red.
La función de registro, cuando se emplea una solución de dos factores, se comunica con una base de datos que mantiene un registro de las direcciones de comunicación e identidades detrás de las diferentes direcciones de comunicación y cómo se pueden autenticar las identidades (DB1). Se puede utilizar un dispositivo electrónico que incluya un transmisor y un receptor que tenga una interfaz de comunicación que le permita tener una dirección de comunicación con la que pueda comunicarse en la red (IMEI, IMSI MAC).
La dirección de comunicación se puede enumerar en varias bases de datos de acceso (DBx) conectadas a una red informática y protegiendo una URL, un enlace o un volumen de datos en particular, un servicio u otro material de acceso restringido. El acceso a DBx se decide en función de si la dirección de comunicación se encuentra en la base de datos de acceso, y si se devuelve una solicitud a DB1 con respecto a si encuentra que la dirección está habilitada/autorizada por el usuario correcto, en cuyo caso el acceso se le dio a DBx. En el caso contrario, se envía un mensaje de error y se deniega el acceso. Si el usuario cierra sesión o se rompe la "clave", esto puede ser informado a DB1, que envía un mensaje a las bases de datos de acceso relevantes (DBx) y otras unidades externas informando que el usuario ya no tendrá acceso y se envía un mensaje de error. En este caso, se puede distinguir entre un cierre de sesión previsto y una interrupción porque se viola la clave; al distinguir entre violación de la clave y cierre de sesión, se puede reducir la cantidad de tráfico de datos, ya que el cierre de sesión previsto no necesariamente debe informarse a DB1, ya que, en cualquier caso, solo el usuario correcto puede volver a iniciar sesión. En el caso de violación de la clave, siempre se envía un informe a DB1. DB1 registra esto y puede enviar un mensaje a un DBx y otras unidades externas informando que el usuario no está identificado. Cualquier intento de acceso posterior por parte del usuario/dirección de comunicación será denegado y se dará un mensaje de error en la ADB (figura 4).
La restricción de acceso puede estar relacionada directamente con el manejo de acceso en el que se le da acceso a un usuario mientras que al mismo tiempo habilita/autentica a su usuario en DB1. La habilitación se produce cuando se proporcionan la ID correcta y la IP correcta junto con un MAC, IMEI o similar. Se crea una clave en el usuario. Esta clave notifica a DB1 si se viola, ya que la IP se cambia/oculta/anonimiza o el usuario cierra la sesión. DB1 notifica al controlador de acceso, que entrega un mensaje de error al usuario.
Una primera implementación de ejemplo de un aspecto de la invención:
A continuación, se proporciona un uso de ejemplo de autenticación en el caso de la comunicación entre una red central y varias unidades externas y bases de datos de acceso restringido. El ejemplo incluye cinco etapas:
1. Un suscriptor de una compañía telefónica tiene una dirección de comunicación única y usa una función de inicio de sesión para ingresar la dirección de comunicación y una herramienta de autenticación que demuestra que de hecho es el usuario apropiado de la dirección de comunicación. También se proporciona el código con el que se etiquetan los dispositivos informáticos (ordenador, tableta y teléfono móvil) del usuario. Cuando todo sale bien, se registra en el sistema de suscripción del operador que el usuario ha sido identificado y se le asigna una clave. El usuario intenta acceder a una base de datos que tiene un servicio o contenido. Si el cortafuegos no reconoce la dirección de comunicación, no se concede el acceso. Si el cortafuegos reconoce la dirección de comunicación, se concede el acceso.
2. Si el sistema de suscripción (DB1) registra un cierre de sesión/violación de la clave, entonces puede notificar a la ADB y a las unidades externas.
3. Si un usuario que ha iniciado sesión e identificado cierra la sesión o cambia la IP a través de un servidor proxy, oculta la IP a través de otro software, usa múltiples IP y similares, se pasa un mensaje de la clave a la función de suscripción que registra una violación de la clave.
4. Si un usuario actúa de una manera que conduce a una violación de la clave o al cierre de sesión, esta información se puede comunicar a las bases de datos de acceso. Entonces, el usuario ya no podrá acceder a las bases de datos en cuestión.
5. La información sobre el cierre de sesión/violación de la clave se puede comunicar directamente a la función de acceso asociada con una red central y terminar el acceso del usuario en cuestión.
6. Un servidor/base de datos que gestiona una compra, una función de firma, una función financiera o similar puede recibir un mensaje que informa que el usuario no está identificado.
7.
Una implementación de ejemplo de un segundo aspecto de la invención.
La invención también se refiere a una plataforma para establecer y asegurar derechos y precios, así como comunicarlos a las partes necesarias de la red central, que se analiza en este ejemplo con referencia a la figura 5.
Comunicación entre la base de datos de acceso/cortafuegos (ADB) que protege el contenido/un servicio/datos y está conectado a una red informática y una red central (CN) que incluye un sistema de suscripción y cliente (CSS) y un sistema de facturación (BS). La red central proporciona información sobre a qué clientes se les permitirá el acceso y qué acceso se les permitirá. Cuando un usuario único solicita un acceso relevante, se consulta a la ADB para ver si se le concederá el acceso. (Se asume que se ha pagado el uso especificado/que se permitirá el crédito). La ADB también verifica si el cliente ha pagado o se le permitirá el crédito consultando a la red central. Si se concede el acceso, dicho acceso tiene lugar dentro de los límites acordados para el uso. La ADB registra el tráfico y puede informar a la red central.
1. El CCS registra quiénes son los clientes y a qué eligen tener acceso en un directorio por usuario. Los clientes tienen acceso a las ADB relevantes en el sentido de que se enumera su ID único con el directorio.
2. El BS factura a los clientes de acuerdo con lo que se pagará por el acceso especificado. El BS recibe información sobre precios, así como tráfico supuesto y/o registrado. La CN se comunica con varios ADB y unidades externas.
3. Internamente en la red central, el sistema de facturación y el sistema del cliente se comunican y concilian. La información sobre el tráfico registrado para un cliente se puede recuperar de las diferentes ADB.
4. Cuando se intenta el acceso, la ADB determina si al cliente se le permitirá el acceso y posiblemente qué acceso (asignación); si el pago se ha realizado o no, se comprueba con la red central, BS, CCS.
5. El acceso se concede si el cliente y el acceso en cuestión se enumeran en la ADB, a menos que la ADB haya registrado información de la CN que el usuario no ha pagado o no se le permitirá crédito.
6. La ADB registra el tráfico y luego puede informar a la CN. La CN también puede registrar el uso.
El cliente especifica para el contenido y servicios seleccionados de CN y el alcance de uso, la CN proporciona información al BS/CN ingresa al usuario en diferentes ADB junto con el alcance de uso (asignación)/CN da notificación y el cliente se deshabilita en la ADB si no ha pagado ni se le permitirá el crédito (la compra en efectivo, por ejemplo, aún puede estar autorizada (habilitada/deshabilitada en la ADB para diferentes acciones) o, alternativamente, la ADB pregunta a la CN si el cliente ha pagado o ha sido crédito permitido para, por ejemplo, compras individuales fuera del asignación (habilitado/deshabilitado en la ADB para diferentes acciones)
Solicitud de acceso de un usuario:
¿Existe el usuario en la ADB? (¿el servicio forma parte de la suscripción del usuario? Esto también se puede verificar con el CCS)
¿Qué tipo de uso? Por ejemplo, ¿quedan más descargas? (asignación y registro) A menos que la CN haya notificado a la ADB, se supone que el cliente ha pagado o se le permitirá el crédito. (O puede pagar en efectivo) (habilitado/deshabilitado en la CN)
¿Se ha recibido el pago? ¿O se le ha dado crédito? ¿O se paga en efectivo? (habilitado/deshabilitado en la CN)
Informa a CN si hay más actividad que se facturará.
ADB se registra y proporciona información a la CN
La red central, utilizando información sobre el usuario y el uso acordado (suscripción, "asignación" predeterminado), crea un perfil de usuario basado en dicha información en la ADB y se comunica con la ADB sobre los diferentes servicios para, en cualquier momento dado, decidir el acceso y facturar correctamente en función del uso real (registro, en mora si se ha concedido crédito)
Los clientes seleccionan el acceso. Sus identificaciones se registran en las ubicaciones de acceso relevantes (ADB). El cliente facturó en consecuencia. Cuando se solicita el acceso, se comprueba si se ha ingresado al cliente y si se ha realizado el pago/se ha otorgado crédito. Si el acceso se otorga de acuerdo con las especificaciones, entonces se registra el uso que hace el cliente. Esta información puede enviarse a la CN.
La invención según este ejemplo resuelve los siguientes problemas.
• Mensajes a las diferentes ADB informando quién tendrá acceso a qué.
• No existe una solución de pago simple que sea independiente de la plataforma y que se pueda utilizar en la red.
• Problemas de señalización excesiva provocados por la comprobación en tiempo real de si el cliente ha pagado.
¿Cómo se puede suponer que un usuario ha pagado hasta que la CN notifique lo contrario?
• A petición de un usuario, averiguar si los usuarios individuales han pagado/se les permitirá crédito/deben pagar en efectivo, y para qué uso.
• El registro de uso en la red central o con la ADB (la ADB puede interpretar más fácilmente el uso) se comunica a la entidad que factura al cliente/usuario único.
Una implementación práctica de ejemplo según un aspecto de una segunda realización de ejemplo de la invención.
Un usuario único, a través de un sistema de suscripción, seleccionará el acceso a varios servicios de datos y contenido.
Una red central que incluye el sistema de suscripción notifica a las diferentes ADB y unidades externas que se permitirá el acceso de un usuario y qué accesos se asignarán al cliente.
A continuación, el usuario intenta acceder a los servicios de contenido que ha solicitado. Estos se encuentran detrás de un cortafuegos de una ADB.
Si el material solicitado en la solicitud se encuentra en el supuesto uso, entonces se concede el acceso, de lo contrario no se concede el acceso. Esto también puede estar relacionado con el derecho a la compra en efectivo y la concesión de crédito. La ADB puede preguntar a la red central (sistema de facturación) si el cliente ha pagado o se le permitirá el crédito y el acceso se concede de acuerdo con el supuesto uso. El uso se registra en la ADB y el uso se puede informar a la red central. La red central también puede registrar el uso.
La invención, según el segundo aspecto de una realización de la invención, incluye:
• Comunicación entre una red central y varias unidades externas y bases de datos de acceso que protegen datos, servicios, información, sistemas, aplicaciones, etc. de acceso restringido. También se puede proteger una función de orden de compra en efectivo.
• Decidir qué uso se permitirá y si el usuario ha pagado o se le permitirá crédito por el supuesto uso. La CN (función de suscripción, función de facturación) notifica a las ADB/unidades externas si un usuario no ha pagado ni se le permitirá crédito. Esto puede registrarse en la ADB y evitar posteriores solicitudes de acceso del usuario en cuestión.
• Registrar el tráfico con la red central y/o con la ADB que informa a la red central.
Una implementación de ejemplo de un tercer aspecto de la invención.
Se discutirá una realización de ejemplo de un tercer aspecto de la invención con referencia a la figura 6.
La invención se refiere a una plataforma para establecer y asegurar derechos y criterios de acceso como precios, por ejemplo, así como comunicarlos a las partes necesarias de la red central (¿CUÁL ES EL PRECIO? ¿QUÉ DERECHOS ESTÁN PROTEGIDOS Y SE DEBEN BLOQUEAR? ¿CUÁL ES EL PORCENTAJE SEGÚN EL CUAL SE DISTRIBUIRÁN LOS INGRESOS?) Comentarios a facturación, suscripción, bloqueo, registro, comunicación externa.
Una plataforma electrónica con función de inicio de sesión. La plataforma permite la posibilidad de especificar términos asociados con los derechos sobre los contenidos/servicios digitales y los datos que el propietario de los derechos ha designado como de acceso restringido. Dichos términos pueden ser, por ejemplo, precio, país y geografía, operador, una distribución particular de los pagos de los usuarios, etc. Esto puede ser aceptado por otra parte y los términos y precio, así como la distribución de los ingresos del contenido/servicios especificados determina cómo la CN controla la facturación de los clientes, el bloqueo del acceso del usuario a datos similares ilegales y la distribución de ingresos. La plataforma/base de datos se comunica con una red central y puede proporcionar la información que necesita la CN. Los precios de los diferentes servicios/contenidos, cómo se realizará el pago y qué clave de distribución se aplicará se implementan en el sistema de facturación y cliente, así como en relación con la funcionalidad de bloqueo de material ilegal. El pago se distribuye según el porcentaje de distribución de la plataforma para el servicio/contenido en cuestión.
Inicio de sesión, condiciones, confirmación de la contraparte, precio especificado, distribución porcentual del precio/ingresos, funciones de bloqueo de datos ilegales. La información se dirige a la función de suscripción, al sistema de facturación, a la función de bloqueo y a la gestión del flujo de caja.
La invención proporciona una plataforma para iniciar, administrar e implementar acuerdos de derechos digitales que reporta a la red central la información necesaria para la funcionalidad necesaria. Esto no lo proporciona la técnica anterior.
Un ejemplo práctico de una implementación según el tercer aspecto de ejemplo de una realización de la invención.
1. Una plataforma digital. Una parte del acuerdo inicia sesión y acepta los términos. Cuando una "contraparte" da la confirmación, la información se envía a la red central. Qué contenido/servicios puede seleccionar el usuario, el país o región aplicable, cuál es el precio y, por lo tanto, qué se factura al usuario, cómo se distribuirá el pago, qué contenido similar es ilegal y debe bloquearse.
2. Un operador y un propietario de derechos hacen un acuerdo que se duplica en la plataforma. El titular de los derechos, en función del tráfico que registra de los clientes del operador, cobrará el pago correspondiente al operador de conformidad con el acuerdo. Luego, el operador se asegurará de que el cliente final le pague, para cubrir el pago que se ha comprometido al propietario de los derechos.
Por lo tanto, la invención según el tercer aspecto proporciona:
Comunicación entre una red central y una plataforma digital que proporciona información sobre el contenido, el precio, la distribución del precio a las entidades correctas y las funciones de la red central (suscripción, facturación, bloqueo, pago).
La figura 6 muestra una plataforma que comprende acuerdos con varios términos de distribución y uso del cliente final, por ejemplo, con respecto al precio para el cliente final y la distribución de ingresos entre el propietario de los derechos y los distribuidores, la interacción de la plataforma con la red principal y las interacciones. entre la red central y los sistemas de facturación, los sistemas de pago y las versiones legales. Se impide el acceso a copias ilegales de los datos protegidos.
Lista de definiciones
Figure imgf000009_0001
Figure imgf000010_0001

Claims (13)

REIVINDICACIONES
1. Un método para autenticar usuarios que solicitan acceso a datos o servicios de acceso restringido en una red informática a través de una base de datos de acceso, comprendiendo la red informática al menos una red central, en el que la red central comprende una red de un proveedor de acceso que puede comunicarse con una pluralidad de bases de datos de acceso conectadas a la red informática, el método comprende las etapas de:
asignar globalmente direcciones de comunicación únicas a todos los dispositivos en la red informática, cada dispositivo está asociado de manera única con un usuario en particular,
utilizar al menos una dirección de comunicación única asignada asociada con un usuario de un dispositivo para identificar al usuario:
utilizar una función de inicio de sesión a través del dispositivo del usuario para autenticar al usuario identificado en una base de datos de primer acceso (DB1) en la red informática utilizando la dirección de comunicación única asignada y generar una clave que comprende un código de autenticación único para que el usuario acceda a la red informática;
recibir en una segunda base de datos de acceso (DBx) en la red informática una solicitud del usuario para acceder a la segunda base de datos de acceso (DBx) que tiene datos o servicios de acceso restringido; y si la segunda base de datos de acceso (DBx) reconoce la dirección de comunicación del usuario y el usuario está autenticado en la primera base de datos de acceso (DB1), otorgando acceso al usuario a la segunda base de datos de acceso (DBx); y
negar al usuario el acceso a la pluralidad de bases de datos de acceso y/o a la red informática si se rompe la clave o si el usuario cierra la sesión a través de su dispositivo.
2. El método de la reivindicación 1, en el que a los dispositivos se les asigna una dirección de comunicación única usando una identidad de hardware que permite que un dispositivo envíe y reciba información a través de una red.
3. El método de la reivindicación 2, que comprende además el uso de la identidad del hardware para identificar adicionalmente al usuario para la autenticación.
4. El método de la reivindicación 2 o la reivindicación 3, en el que la identidad del hardware comprende una de: una dirección MAC, un IMEI o un IMSI.
5. El método de cualquiera de las reivindicaciones 1 a 4, que comprende además el uso de un medio de identificación de usuario único para identificar adicionalmente al usuario para la autenticación.
6. El método de la reivindicación 5, en el que los medios de identificación de usuario únicos comprenden un código o una identificación bancaria.
7. El método de cualquiera de las reivindicaciones 4 o 6, en el que, en el caso de que uno de los identificadores de identificación; el usuario no está presente o eso; el usuario cierra la sesión a través de su dispositivo, el método comprende además: enviar desde el usuario un mensaje a la primera base de datos de acceso (DB1), la primera base de datos de acceso (DB1) está configurada para otorgar al usuario en cuestión acceso a la red informática o para eliminar al usuario de la red informática cuando falta un identificador.
8. El método de la reivindicación 7, en el que la primera base de datos de acceso (DB1) está configurada para registrar que el usuario ya no está en posesión de todos los identificadores y para comunicar información sobre los mismos automáticamente para acceder a las bases de datos (DBx) o durante solicitudes posteriores de otras bases de datos de acceso u otras unidades externas en la red en base a la solicitud del usuario para acceder a las mismas.
9. El método de una de las reivindicaciones 1 a 8, en el que la primera base de datos de acceso (DB1) es parte de un sistema de suscripción que administra a los usuarios de una compañía telefónica.
10. Un sistema para autenticar usuarios que solicitan acceso a datos o servicios de acceso restringido en una red informática a través de una base de datos de acceso, comprendiendo la red informática al menos una red central, en el que la red central comprende una red de un proveedor de acceso que puede comunicarse con una pluralidad de bases de datos de acceso conectadas a la red informática, comprendiendo el sistema
medios para asignar globalmente direcciones de comunicación únicas a todos los dispositivos en la red informática, cada dispositivo está asociado de manera única con un usuario en particular,
medios para usar al menos una dirección de comunicación única asignada asociada con un usuario de un dispositivo para identificar al usuario;
medios para usar una función de inicio de sesión a través del dispositivo del usuario para autenticar al usuario identificado en una base de datos de primer acceso (DB1) en la red informática usando la dirección de comunicación única asignada y generar una clave que comprende un código de autenticación único para que el usuario acceda a la red de ordenadores;
medios para recibir en una segunda base de datos de acceso (DBx) en la red informática una solicitud del usuario para acceder a la segunda base de datos de acceso (DBx) que tiene datos o servicios de acceso restringido; y si la segunda base de datos de acceso (DBx) reconoce la dirección de comunicación del usuario y el usuario está autenticado en la primera base de datos de acceso (DB1), medios para otorgar acceso al usuario a la segunda base de datos de acceso (DBx); y
medios para denegar al usuario el acceso a la pluralidad de bases de datos de acceso y/o a la red informática si se rompe la clave o si el usuario cierra la sesión a través de su dispositivo.
11. El método de cualquiera de las reivindicaciones 1 a 9, que comprende, además: comunicarse desde la red central y la primera base de datos de acceso (DB1) a las bases de datos de acceso (DBx), la identificación de los usuarios que tienen acceso a la red informática y/o a las bases de datos de acceso (DBx) y qué acceso tienen, y determinando y comunicando, por la red central, si el usuario ha pagado o se le permitirá crédito por el uso.
12. El método de la reivindicación 11, que comprende registrar el tráfico con la red central y/o con bases de datos de acceso (DBx) que notifican a la red central.
13. El método de cualquiera de las reivindicaciones 1 a 9, en el que la red central se comunica además con una plataforma digital que proporciona información sobre el contenido, el método de pago, las condiciones de uso, el precio, la distribución del precio a las entidades apropiadas y las funciones de la red central.
ES14820216T 2013-07-05 2014-07-07 Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos Active ES2875963T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NO20130947 2013-07-05
PCT/NO2014/050123 WO2015002545A1 (en) 2013-07-05 2014-07-07 Method and system related to authentication of users for accessing data networks

Publications (1)

Publication Number Publication Date
ES2875963T3 true ES2875963T3 (es) 2021-11-11

Family

ID=52144026

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14820216T Active ES2875963T3 (es) 2013-07-05 2014-07-07 Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos

Country Status (11)

Country Link
US (1) US10862890B2 (es)
EP (1) EP3017390B1 (es)
KR (1) KR102299865B1 (es)
CN (1) CN105518689B (es)
AU (2) AU2014284786A1 (es)
BR (1) BR112016000122B1 (es)
CA (1) CA2917453C (es)
ES (1) ES2875963T3 (es)
IL (1) IL243458B (es)
RU (2) RU2018146361A (es)
WO (1) WO2015002545A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230144169A1 (en) * 2006-05-05 2023-05-11 Cfph, Llc Game access device with time varying signal
US10368240B2 (en) 2015-08-31 2019-07-30 Samsung Electronics Co., Ltd. Profile download method and apparatus for use in wireless communication system
CN105323253B (zh) * 2015-11-17 2020-02-28 腾讯科技(深圳)有限公司 一种身份验证方法及装置
US10133868B2 (en) * 2016-01-10 2018-11-20 Apple Inc. Switching users and sync bubble for EDU mode
WO2017153990A1 (en) * 2016-03-08 2017-09-14 Protectivx Ltd. System and method for device authentication using hardware and software identifiers
EP3593519B1 (en) * 2017-03-09 2021-05-05 Gulbrandsen, Magnus Skraastad Core network access provider
CN108304207A (zh) * 2018-03-01 2018-07-20 上海找钢网信息科技股份有限公司 混合app应用程序的资源更新方法及***
US11861582B2 (en) * 2020-01-02 2024-01-02 Visa International Service Association Security protection of association between a user device and a user
CN114338522B (zh) * 2020-11-27 2024-04-05 成都市伏羲科技有限公司 基于标识管理的IPv6编址与组网方法
US11824937B2 (en) * 2021-04-04 2023-11-21 Rissana, LLC System and method for handling the connection of user accounts to other entities

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100412510B1 (ko) * 2002-03-30 2004-01-07 한민규 이종 통신망을 이용한 인스턴트 로그인 사용자 인증 및결제 방법과 그 시스템
SE0202450D0 (sv) * 2002-08-15 2002-08-15 Ericsson Telefon Ab L M Non-repudiation of digital content
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
US7957726B2 (en) * 2004-11-24 2011-06-07 Research In Motion Limited System and method for porting a personalized indicium assigned to a mobile communications device
US20070209054A1 (en) * 2005-09-30 2007-09-06 Bellsouth Intellectual Property Corporation Methods, systems, and computer program products for providing communications services
US20090030757A1 (en) * 2005-12-19 2009-01-29 Uri Admon Content Distribution for Mobile Phones
US7647041B2 (en) * 2006-03-30 2010-01-12 Sbc Knowledge Ventures, L.P. Systems, methods, and apparatus to enable backup wireless devices
CN101491008A (zh) * 2006-07-07 2009-07-22 日本电气株式会社 站点、设置信息管理设备、无线通信***、设置信息获取方法、计算机可读介质
US20100192199A1 (en) * 2006-09-07 2010-07-29 Cwi International, Llc Creating and using a specific user unique id for security login authentication
US20080120707A1 (en) * 2006-11-22 2008-05-22 Alexander Ramia Systems and methods for authenticating a device by a centralized data server
US9692602B2 (en) * 2007-12-18 2017-06-27 The Directv Group, Inc. Method and apparatus for mutually authenticating a user device of a primary service provider
US8508336B2 (en) * 2008-02-14 2013-08-13 Proxense, Llc Proximity-based healthcare management system with automatic access to private information
US7979899B2 (en) * 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
US8270952B2 (en) * 2009-01-28 2012-09-18 Headwater Partners I Llc Open development system for access service providers
US8371501B1 (en) * 2008-10-27 2013-02-12 United Services Automobile Association (Usaa) Systems and methods for a wearable user authentication factor
US8893009B2 (en) * 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US8898759B2 (en) * 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US20120066107A1 (en) * 2010-08-27 2012-03-15 Sven Grajetzki Method and System for Securing Accounts
US8984605B2 (en) * 2011-08-23 2015-03-17 Zixcorp Systems, Inc. Multi-factor authentication
US10185814B2 (en) * 2011-09-07 2019-01-22 Elwha Llc Computational systems and methods for verifying personal information during transactions
IES20130096A2 (en) * 2012-03-15 2013-09-25 Moqom Ltd Mobile phone SIM takeover protection
US9083703B2 (en) * 2012-03-29 2015-07-14 Lockheed Martin Corporation Mobile enterprise smartcard authentication
US20120203594A1 (en) * 2012-04-20 2012-08-09 Groer Sean A Monitoring migration behavior of users of electronic devices and related service providers

Also Published As

Publication number Publication date
RU2016101134A3 (es) 2018-06-07
RU2676896C2 (ru) 2019-01-11
EP3017390A1 (en) 2016-05-11
US20160182519A1 (en) 2016-06-23
RU2016101134A (ru) 2017-08-10
KR102299865B1 (ko) 2021-09-07
BR112016000122A2 (es) 2017-07-25
IL243458B (en) 2022-01-01
AU2020202168B2 (en) 2020-11-05
RU2018146361A (ru) 2019-01-24
KR20160055130A (ko) 2016-05-17
CA2917453A1 (en) 2015-01-08
IL243458A0 (en) 2016-02-29
EP3017390A4 (en) 2017-05-10
CN105518689B (zh) 2020-03-17
US10862890B2 (en) 2020-12-08
EP3017390B1 (en) 2021-03-03
AU2014284786A1 (en) 2016-02-18
BR112016000122B1 (pt) 2022-11-01
CN105518689A (zh) 2016-04-20
AU2020202168A1 (en) 2020-04-16
WO2015002545A1 (en) 2015-01-08
CA2917453C (en) 2023-08-08

Similar Documents

Publication Publication Date Title
ES2875963T3 (es) Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos
US10708070B2 (en) System and method for utilizing connected devices to enable secure and anonymous electronic interaction in a decentralized manner
RU2765567C2 (ru) Провайдер доступа к базовой сети
ES2894500T3 (es) Verificación de una identidad basada en múltiples fuentes de datos distribuidas utilizando una cadena de bloques para salvaguardar la identidad
US8973122B2 (en) Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method
CN108667612A (zh) 一种基于区块链的信任服务架构及方法
CN107122674A (zh) 一种应用于运维审计***的oracle数据库的访问方法
CN103152179A (zh) 一种适用于多应用***的统一身份认证方法
CN108123930A (zh) 访问计算机网络中的主机
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
CN114666168A (zh) 去中心化身份凭证验证方法、装置,以及,电子设备
KR20210004842A (ko) 탈중앙화 아이디 기반의 가상 자산 서비스 제공 방법 및 이를 이용한 가상 자산 서비스 제공 서버
AU2014200729A1 (en) An improved authentication method
CN105743883B (zh) 一种网络应用的身份属性获取方法及装置
US11159578B1 (en) Apparatus and method for managing digital identities and controlling their correlation to legal identities
US11539533B1 (en) Access control using a circle of trust
TWI670990B (zh) 自動連線安全無線網路的方法與系統
Bolgouras et al. Enabling Qualified Anonymity for Enhanced User Privacy in the Digital Era
Peng et al. Big Data‐Based Access Control System in Educational Information Security Assurance
Huebner et al. The CONVERGENCE Security Infrastructure
KR20050003587A (ko) 보안 시스템 및 그의 접근 제어 방법
CN116796305A (zh) 一种数据中心访问方法、装置、设备及介质