CZ2019221A3 - Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity - Google Patents

Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity Download PDF

Info

Publication number
CZ2019221A3
CZ2019221A3 CZ2019-221A CZ2019221A CZ2019221A3 CZ 2019221 A3 CZ2019221 A3 CZ 2019221A3 CZ 2019221 A CZ2019221 A CZ 2019221A CZ 2019221 A3 CZ2019221 A3 CZ 2019221A3
Authority
CZ
Czechia
Prior art keywords
user
authentication
identity provider
relying party
identity
Prior art date
Application number
CZ2019-221A
Other languages
English (en)
Other versions
CZ308358B6 (cs
Inventor
Libor Neumann
Original Assignee
Aducid S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aducid S.R.O. filed Critical Aducid S.R.O.
Priority to CZ2019-221A priority Critical patent/CZ308358B6/cs
Priority to PCT/CZ2020/050021 priority patent/WO2020207517A1/en
Publication of CZ2019221A3 publication Critical patent/CZ2019221A3/cs
Publication of CZ308358B6 publication Critical patent/CZ308358B6/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Software Systems (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer And Data Communications (AREA)

Abstract

Předkládané řešení poskytuje způsob autentizace uživatele ke spoléhající straně (4) v systému federace identity prostřednictvím poskytovatele (2) identity, při němž se nejprve vytvoří datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4), uživatel se následně autentizuje u poskytovatele (2) identity, a autentizační výrok (5, 6) se předá od poskytovatele (2) identity spoléhající straně (4), kde se při autentizací u poskytovatele (2) identity prováže datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4) s autentizací uživatele, a dále se autentizační výrok (5, 6) s vazbou k datovému kanálu (7) předá od poskytovatele (2) identity ke spoléhající straně (4) prostřednictvím komunikačního modulu (10), přičemž komunikační modul (10), popřípadě spolu s poskytovatelem (2) identity, řídí autentizaci s vazbou k datovému kanálu.Dále je poskytnut systém pro provádění tohoto způsobu.Obrázek k anotaci: 

Description

Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity
Oblast techniky
Předkládaný vynález se týká způsobu autentizace uživatele ke spoléhající straně v prostředí systémů federace elektronické identity.
Dosavadní stav techniky
V současné době se používají systémy federace elektronické identity, kde autentizaci uživatele provádí systém nazývaný poskytovatel identity (Identity provider) pomocí autentizačního prostředku (například softwaru, aplikace, jména a hesla).
Výsledek autentizace používá spoléhající strana (Relying party) k řízení přístupu uživatele k cílovým aktivům (službám, datům), a přitom spoléhá na autentizaci provedenou poskytovatelem identity a na data o uživateli poskytnutá poskytovatelem identity.
V současné době se používají systémy federace elektronické identity postavené na principu nazývaném „Bearer token based authentication“, „Bearer authentication“ nebo alternativně „Bearer Assertion“. Princip spočívá v tom, že uživatel, resp. jeho zařízení používané k přístupu ke službám, se spoléhající straně prokazuje autentizačním výrokem (assertion), který neumožňuje spoléhající straně ověřit, zda je uživatel oprávněným nositelem autentizačního výroku, tedy spoléhající strana musí vycházet z předpokladu, že uživatel je autentizovanou osobou, pro kterou je platný jím předkládaný autentizační výrok, ale nemůže tento předpoklad nijak ověřit (NIST Special Publication 800-63-2 Electronic Authentication Guideline str.7).
K přenosu autentizačního výroku mezi systémem poskytovatele identity, kde byla autentizace provedena, a systémem spoléhající strany, kde se autentizační výrok použije, se používá komunikace pomocí přesměrování (redirect) přes webový prohlížeč uživatele. Přesměrování může probíhat automaticky, bez nutnosti jakékoliv akce na straně uživatele.
Autentizační výrok (assertion) je přenášen s využitím různých standardů např. SAML (OASIS: Security Assertion Markup Language (SAML) V2.0 Technical Overview - http://docs.oasis- open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.htmlL oAuth(IETF: RFC 6749 - The OAuth 2.0 Authorization Framework - https://tools.ietf.org/html/rfc6749), WS-federation (OASIS: Web Services Federation Language (WS-Federation) Version 1.2 - http://docs.oasis- open.org/wsfed/federation/vl.2/ws-federation.html). Funkcionalita přesměrování je standardizována mezinárodními standardy RFC (IETF: RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content - https://tools.ietf.org/html/rfc7231;
https://en.wikipedia.Org/wiki/List of HTTP status codes#3xx Redirection).
V systému federace bývají použity i další systémy, přes které se výsledek přenáší. Bývají označovány jako zprostředkovatel identity (Identity broker nebo Identity node). Jejich cílem bývá umožnit použití více různých poskytovatelů identity pro spoléhající stranu, a tím rozšířit množství uživatelů. V takovém případě uživatel na systému zprostředkovatele identity vybírá svého poskytovatele identity nebo jiného zprostředkovatele identity; a po autentizaci je autentizační výrok (assertion) přenášen vždy pomocí přesměrování (redirect) prostřednictvím webového prohlížeče uživatele zpět přes vložené zprostředkovatele identity až do systému spoléhající strany.
Při každém přenosu autentizačního výroku (assertion) mezi dvěma systémy různých poskytovatelů identity, zprostředkovatelů identity, spoléhajících stran se využije funkcionalita redirect webového prohlížeče uživatele, a autentizační výrok (assertion) se přenáší minimálně 2x
- 1 CZ 2019 - 221 A3 přes Internet po dvou typicky neautentizovaných nebo nedostatečně autentizovaných datových kanálech.
V systémech federace elektronické identity tedy v současné době existuje způsob autentizace uživatele ke spoléhající straně prostřednictvím poskytovatele identity, při němž se nejprve vytvoří datový kanál mezi uživatelem a spoléhající stranou, uživatel se následně autentizuje u poskytovatele identity, a autentizační výrok se předá od poskytovatele identity spoléhající straně, případně přes další poskytovatele nebo zprostředkovatele identity, přičemž se autentizační výrok předává od každého poskytovatele identity nebo zprostředkovatele identity k dalšímu poskytovateli nebo zprostředkovateli identity a dále ke spoléhající straně vždy prostřednictvím funkcionality přesměrování ve webovém prohlížeči či jiné aplikaci uživatele. Zároveň v současných systémech nemá spoléhající strana možnost ověřit, zda uživatel, jehož zařízení předkládá autentizační výrok, je skutečně osobou, ke které se tento autentizační výrok (assertion) váže. Postupy podle stavu techniky jsou schematicky znázorněny na obr. 1.
Dosavadní postupy autentizace v prostředí systémů federace elektronické identity přináší v praktickém nasazení nemalé nevýhody. Jednak vyžadují funkcionalitu přesměrování (redirect) i v případě, že není u uživatele používán webový prohlížeč. To je typické například pro mobilní aplikace. Tím se komplikuje a prodražuje možnost použití existujících federací elektronické identity pro mobilní aplikace, protože je jednak nutné tuto funkcionalitu do aplikací integrovat, a také je potřeba ji dostatečně zabezpečit, protože přes ni procházejí informace potřebné pro provedení a předání autentizace. Dále tyto postupy umožňují útočníkovi odposlechnout autentizační výrok (assertion) při libovolném přenosu přes internet mezi uživatelem a některým ze systémů federace, a tedy se útočník může vydávat za daného uživatele a získat přístup do jeho služeb a dat v cílových aplikacích.
Předkládaný vynález si klade za úkol zlepšit současné způsoby autentizace uživatele k poskytovateli služeb prostřednictvím poskytovatele identity v systémech federace elektronické identity tak, aby bylo možno zachovat použití stávajících standardů pro autentizační výroky (assertion) a jejich přenosy, a přitom významně zvýšit praktičnost, bezpečnost a snížit riziko zneužití odposlechnutého autentizačního výroku útočníkem.
Podstata vynálezu
Předmětem předkládaného vynálezu je způsob autentizace uživatele ke spoléhající straně prostřednictvím poskytovatele identity, při němž se nejprve vytvoří datový kanál mezi zařízením uživatele a spoléhající stranou, uživatel se následně autentizuje u poskytovatele identity, a autentizační výrok se předá od poskytovatele identity spoléhající straně, jehož podstata spočívá vtom, že se při autentizaci u poskytovatele identity prováže datový kanál mezi zařízením uživatele a spoléhající stranou s autentizaci uživatele u poskytovatele identity, a vtom, že se autentizační výrok s vazbou k datovému kanálu předá od poskytovatele identity ke spoléhající straně prostřednictvím komunikačního modulu, přičemž komunikační modul, popřípadě spolu s poskytovatelem identity, řídí autentizaci s vazbou k datovému kanálu.
Uživatel (angl. user) je uživatel služeb či dat spoléhající strany, který si přeje přistoupit k těmto službám či datům. Má přístup k aplikaci spoléhající strany, v jejímž rozhraní může zahájit proces přihlášení, který následně zahrnuje autentizaci. Dále vlastní autentizační prostředek.
Autentizačním prostředkem uživatele může být například mobilní telefon, počítač, tablet nebo chytré hodinky s autentizační aplikací, token, čipová karta, PEIG.
Spoléhající strana (angl. relying party (RP)) je server a/nebo systém entity poskytující služby či data, k nimž si uživatel přeje přistoupit.
-2CZ 2019 - 221 A3
Poskytovatel identity (angl. identity provider (IdP)) je server a/nebo systém entity, která poskytuje elektronické identity a poskytuje služby ověření této elektronické identity, tedy služby autentizace.
Zprostředkovatel identity (angl. identity broker; uzel systému elektronické identity) je server a/nebo systém, pomocí kterého lze vybírat poskytovatele identity a přes který lze předávat autentizační výrok mezi poskytovatelem identity a spoléhající stranou. Toto předávání autentizačního výroku mezi poskytovatelem identity a spoléhající stranou se v tomto vynálezu provádí prostřednictvím komunikačního modulu.
Poskytovatel služeb (angl. service provider) je souhrnný termín zahrnující spoléhající stranu, poskytovatele identity a zprostředkovatele identity.
Autentizační výrok (angl. assertion) je výstup vydaný poskytovatelem identity. Autentizační výrok říká, že uživatel byl autentizován konkrétními prostředky v konkrétním čase. Autentizační výrok je výsledkem ověření identity poskytovatelem identity, který poskytovatel identity předává spoléhající straně, a na jehož základě spoléhající strana poskytne přístup ke službám či datům oprávněnému uživateli. Poskytovatel identity musí být vybaven autentizačními prostředky umožňujícími provázání datového kanálu s autentizací. Takové prostředky jsou v oboru známy.
Komunikační modul je server a/nebo systém, který řídí autentizací a její provázání s datovým kanálem mezi zařízením uživatele a spoléhající stranou, a přenáší výsledek autentizace mezi poskytovatelem identity a spoléhající stranou.
Komunikační modul komunikuje s alespoň jedním poskytovatelem identity, popřípadě s alespoň jedním zprostředkovatelem identity, a s alespoň jednou spoléhající stranou. Na straně spoléhající strany může komunikační modul komunikovat buď přímo s cílovou aplikací spoléhající strany, nebo může komunikovat s reverzním proxy serverem.
Komunikační modul tedy zajišťuje přenos informací nutný k řízení autentizace mezi spoléhající stranou a poskytovatelem identity včetně provázání datového kanálu, vytvořeného mezi spoléhající stranou a zařízením uživatele, s autentizací uživatele. Rovněž zajišťuje vytvoření dat požadavku vytvoření autentizačního výroku (assertion) podle použitých standardů, a přenos vytvořeného autentizačního výroku (assertion) mezi všemi potřebnými poskytovateli služeb ve federaci podle použitých standardů. Komunikační modul dále zajišťuje provázání autentizačního výroku (assertion) s autentizací a s datovým kanálem vytvořeným mezi spoléhající stranou a zařízením uživatele, a zpracování obsahu autentizačního výroku (assertion) a předání autentizačního výroku včetně dat o uživateli cílové aplikaci spoléhající strany, popřípadě prostřednictvím reverzního proxy serveru.
Komunikační modul může být provozován spoléhající stranou nebo jinou entitou, například i samostatným provozovatelem služeb provozu komunikačního modulu různým spoléhajícím stranám.
Komunikační modul je s výhodou konfigurován tak, že umožňuje uživateli výběr poskytovatele identity a umožňuje spoléhající straně komunikaci s více různými poskytovateli identity.
Způsoby provázání datového kanálu s autentizací uživatele jsou v oboru známé. Autentizace bývá součástí komunikačního protokolu datového kanálu (např. použití klientského certifikátu při autentizací TLS), autentizační data mohou být předávána přímo mezi příslušnými částmi aplikace (např. vyplnění přihlašovacího formuláře ve webovém prohlížeči na stránce cílové aplikace uživatelským jménem a heslem) nebo kombinace přenosu jiným kanálem a přenosu autentizovaným datovým kanálem (např. přepis kódu zaslaného uživateli pomocí SMS). Může se jednat také o předání dat identifikujících datový kanál ze zakončení datového kanálu u uživatele do autentizačního zařízení uživatele (tj. do zařízení či aplikace, která se na straně uživatele
-3 CZ 2019 - 221 A3 účastní autentizace) v případě použití externí autentizace. Tato data jsou pak v rámci autentizace předávána či zpracovávána.
Provázání datového kanálu s autentizací uživatele lze provést s výhodou tak, že se před autentizací přidělí jednoznačný identifikátor datovému kanálu mezi zařízením uživatele a spoléhající stranou, a tento identifikátor se použije jako informace přenášená výše uvedenými způsoby. Identifikátor datového kanálu může přidělovat například spoléhající strana nebo poskytovatel identity.
Identifikátorem datového kanálu může být například identifikátor session datového kanálu, nebo identifikátor autentizace. Pro zvýšení bezpečnosti a vyloučení možnosti útoku na tento kanál může být s výhodou spolu s identifikátorem datového kanálu použito navíc neautentizované tajemství datového kanálu (resp. kryptografický materiál odvozený od kryptografického materiálu datového kanálu, např. z neověřeného sdíleného tajemství obou zakončení datového kanálu, jehož vytvoření je popsáno např. v CZ 2013-373).
Způsob podle předkládaného vynálezu přináší následující výhody:
- Autentizační výroky (assertion) nejsou přenášeny přes webový prohlížeč uživatele, a tedy nejsou přenášeny přes Internet pomocí nechráněných datových kanálů, ale jsou díky zavedení komunikačního modulu do systému federace elektronické identity přenášeny přímo mezi servery, kde mohou být chráněny standardními bezpečnostními opatřeními mezi poskytovateli služeb.
- Není potřeba funkcionalita přesměrování na straně uživatele, protože přenášení autentizačního výroku (assertion) je namísto přenášení přes webový prohlížeč nebo aplikaci uživatele realizováno prostřednictvím komunikačního modulu. Proto může být snadno integrováno do mobilních aplikací, do kterých není třeba zavádět novou funkci redirect.
- Přitom je zachováno používání stávajících standardů přenosu autentizačního výroku (assertion).
- Datový kanál mezi uživatelem a spoléhající stranou je provázán s autentizačním výrokem. Provázání může být i kryptografické, a tak lze vyloučit i sofistikovaný útok na datový kanál mezi uživatelem a spoléhající stranou.
V některých provedeních vynálezu může cílová aplikace spoléhající strany (tedy aplikace poskytující službu či data požadovaná uživatelem, k níž se uživatel autentizuje) být s výhodou umístěna za reverzní proxy server, jak se v některých případech webové aplikace nebo serverové části mobilních aplikací umísťují. V takovém případě je datový kanál mezi zařízením uživatele a cílovou aplikací ukončen na reverzním proxy serveru. Reverzní proxy server řídí přístup uživatelů k příslušným zdrojům cílové aplikace (např. příslušným webovým stránkám) a zajišťuje přenos dat o uživateli do příslušných interních proměnných (např. Remote user).
Komunikační modul může v takovém případě komunikovat přímo s reverzním proxy serverem. Autentizace datového kanálu i uživatele v takovém případě proběhne z pohledu tvůrce aplikace neviditelně. Programátor nemusí autentizací programovat, může se spolehnout na to, že příslušnou část aplikace používá jen autentizovaný uživatel a data o uživateli může aplikace číst přímo z interních proměnných.
Autentizací a umístění dat o uživateli do interních proměnných zajistí podle konfigurace systému reverzní proxy server s pomocí komunikačního modulu.
Ve složitějších topologiích systémů federace elektronické identity je často zapojeno více poskytovatelů identity. Uživatel v takovém případě typicky vybírá toho poskytovatele identity, který může jeho identitu ověřit, např. který mu vydal jeho autentizační prostředky (např. elektronický občanský průkaz v příslušném státě nebo autentizační token či čipovou kartu).
-4CZ 2019 - 221 A3
V takových systémech může s výhodou komunikační modul umožnit uživateli výběr poskytovatele identity s využitím existujících standardů a využitím v oboru známých funkčností zprostředkovatele identity.
Jedním z možných způsobů výběru poskytovatele identity je, že uživatel je před zahájením autentizace přesměrován na komunikační modul, který v tom okamžiku funguje jako standardní http proxy server nebo http klient. Uživatel tak může transparentně používat přímo funkčnost zprostředkovatele identity k výběru poskytovatele identity. V okamžiku, kdy uživatel ukončí výběr, je funkčnost http proxy serveru nebo http klienta na komunikačním modulu ukončena, výsledek výběru přenesený ze serveru zprostředkovatele identity do komunikačního modulu se komunikačním modulem zpracuje např. pomocí algoritmu, převodní tabulky atd. a použije se k vytvoření potřebných dat k řízení výběru poskytovatele identity v dalším kroku.
Jiný možný způsob je, že uživatel před zahájením autentizace komunikuje s k tomu účelu vytvořenou částí cílové aplikace spoléhající strany na serveru spoléhající strany. Tato aplikace komunikuje přímo se zprostředkovatelem identity nebo prostřednictvím komunikačního modulu. Také v tomto případě je výsledek zprostředkované interakce uživatele se zprostředkovatelem identity, tedy výběr poskytovatele identity, zpracován a jsou vytvořena data potřebná k řízení výběru poskytovatele identity v dalším kroku.
Další možný způsob je, že je vytvořen samostatný modul výběru poskytovatele identity komunikující se zprostředkovatelem identity, a ten je umístěn za reverzní proxy server analogicky jako cílová aplikace.
Po vytvoření dat k řízení výběru poskytovatele identity se tato data použijí ke směrování komunikace řízení autentizace s vybraným poskytovatelem identity pomocí komunikačního modulu. Mohou být použita i k výběru způsobu komunikace (komunikačního protokolu), pokud různí poskytovatelé identity používají různé protokoly. Dále se data k řízení výběru poskytovatele identity použijí k vytvoření směrovacích informací předávaných v rámci provázání kanálu spoléhající strany mezi datovým kanálem spoléhající strany a autentizací u uživatele. Tyto informace mohou mít s výhodou formu standardního URI.
Předmětem předkládaného vynálezu je dále systém pro autentizací uživatele k spoléhající straně prostřednictvím poskytovatele identity, který zahrnuje alespoň jedno zařízení uživatele, alespoň jednu spoléhající stranu, alespoň jednoho poskytovatele identity, a alespoň jeden komunikační modul upravený pro komunikaci se spoléhající stranou a s poskytovatelem identity a vybavený prostředky pro řízení autentizace s provázáním datového kanálu mezi zařízením uživatele a spoléhající stranou. Systém může dále zahrnovat jednoho nebo více zprostředkovatelů identity.
Objasnění výkresů
Obr. 1 znázorňuje schematicky autentizací v systému federace elektronické identity podle stavu techniky.
Obr. 2 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, s provázáním autentizace s datovým kanálem mezi uživatelem a spoléhající stranou, a se zařazením komunikačního modulu.
Obr. 3 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, ve výhodném provedení s použitím reverzního proxy serveru u spoléhající strany.
Obr. 4 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, ve výhodném provedení s umožněním volby poskytovatele identity.
-5 CZ 2019 - 221 A3
Příklady uskutečněni vynálezu
Příklad 1
Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 rozpozná požadavek neautentizovaného uživatele a vyžádá provedení autentizace od poskytovatele 2 identity tak, že požadavek autentizace předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.
Poskytovatel 2 identity vygeneruje identifikátor autentizace určený k provázání 11 datového kanálu 7 s autentizaci. Ten je předán pomocí řízení 12 a 13 přes komunikační modul 10 aplikaci spoléhající strany 4.
Aplikace přenese pomocí zatím neautentizovaného datového kanálu 7 cílové aplikace všechny potřebné informace k provázání 11 datového kanálu 7 s autentizaci, včetně identifikátoru získaného od poskytovatele 2 identity, uživateli. Zařízení 1 uživatele předá informace 11 autentizačnímu prostředku uživatele například zobrazením a vyfocením QR kódu, využitím URI volání uvnitř operačního systému zařízení j_ nebo jiným způsobem komunikace mezi úlohami v zařízení uživatele 1.
Autentizační prostředek přenese informace 11 včetně identifikátoru pomocí datového kanálu 8 autentizace do autentizačního systému poskytovatele 2 identity, kde se propojí podle identifikátoru s výsledkem autentizace.
Mezitím komunikační modul 10 při zachování kontextu vyžádá podle příslušného standardu vydání autentizačního výroku 5.
Autentizační výrok 5 se podle příslušného standardu předá jako odpověď komunikačnímu modulu 10, který jej zpracuje jako standardní prohlížeč (http redirect). Tím se vydaný autentizační výrok 5 dostane ve standardní podobě na zprostředkovatele 3 identity. Zprostředkovatel 3 identity zpracuje autentizační výrok 5 standardním způsobem a předá odpověď jako doručovaný autentizační výrok 6 komunikačnímu modulu 10.
Komunikační modul zpracovává veškerou komunikaci týkající se jedné autentizace v rámci jediné session, proto může propojit původní požadavek na autentizaci od spoléhající strany 4 s identifikátorem autentizace vygenerovaným poskytovatelem 2 identity a také s doručeným autentizačním výrokem 6.
Komunikační modul zpracuje tyto informace a předá spoléhající straně 4 kompletní výsledek autentizace uživatele pomocí řízení 13.
Příklad 2
Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 rozpozná požadavek neautentizovaného uživatele. Spoléhající strana 4 spolu se zařízením 1 uživatele vytvoří zatím neautentizovaný datový kanál 7 cílové komunikace a vytvoří kryptomateriál a identifikátor tohoto kanálu.
Spoléhající strana 4 vyžádá provedení autentizace od poskytovatele 2 identity tak, že požadavek autentizace spolu s identifikátorem datového kanálu 7 a derivátem kryptomateriálu datového kanálu 7 předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.
- 6 CZ 2019 - 221 A3
Poskytovatel 2 identity použije identifikátor kanálu 7 a derivát krypromateriálu pro autentizaci uživatele a datového kanálu 7.
Mezitím zařízení 1 uživatele vygeneruje derivát kryptomateriálu datového kanálu 7 a zpracuje identifikátor kanálu 7, čímž vytvoří všechny potřebné informace k provázání 11 datového kanálu 7 s autentizaci a následnou autentizaci.
Autentizační prostředek zpracuje informace 11 včetně identifikátoru a kryptomateriálu a pomocí datového kanálu 8 autentizace provede autentizaci včetně autentizace datového kanálu 7 s využitím informací přenesených od spoléhající strany 4 prostřednictvím komunikačního modulu 10.
Dále postup pokračuje jako v příkladu 1.
Příklad 3
Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 využívá reverzní proxy server 14. na kterém zakončuje zabezpečený datový kanál cílové aplikace např. TLS. Reverzní proxy server 14 rozpozná požadavek neautentizovaného uživatele. Reverzní proxy server 14 spolu se zařízením 1 uživatele vytvoří zatím neautentizovaný datový kanál 7 cílové komunikace a vytvoří kryptomateriál a identifikátor tohoto kanálu.
Reverzní proxy server 14 vyžádá provedení autentizace od poskytovatele 2 autentizace tak, že požadavek autentizace spolu s identifikátorem datového kanálu 7 a derivátem kryptomateriálu datového kanálu 7 předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.
Poskytovatel 2 identity použije identifikátor kanálu a derivát kryptomateriálu pro autentizaci uživatele a datového kanálu 7.
Mezitím zařízení 1 uživatele vygeneruje derivát kryptomateriálu datového kanálu 7 a zpracuje identifikátor kanálu 7, čímž vytvoří všechny potřebné informace 11 k provázání datového kanálu s autentizaci a následnou autentizaci.
Autentizační prostředek zpracuje informace 11 včetně identifikátoru a kryptomateriálu a pomocí datového kanálu 8 autentizace provede autentizaci včetně autentizace datového kanálu 7 s využitím informací přenesených z reverzního proxy serveru 14 prostřednictvím komunikačního modulu 10.
Dále postup pokračuje jako v příkladu 1 s tím, že autentizační výrok 6 je předán reverznímu proxy serveru 14.
Reverzní proxy server zpracuje autentizační výrok 6 a podle něj zpřístupní nebo nezpřístupní požadovanou stránku cílové aplikace a případně předá do vnitřních proměnných cílové aplikace zpracované informace z autentizačního výroku 6.
Příklad 4
Uživatel má na svém mobilním zařízení 1 nainstalovánu klienskou část mobilní aplikace spoléhající strany 4. Spoléhající strana 4 má seznam důvěryhodných poskytovatelů 2 identity.
-7 CZ 2019 - 221 A3
Uživatel spustí mobilní aplikaci. Mobilní aplikace vyžádá od serveru spoléhající strany 4 aktuální seznam důvěryhodných poskytovatelů 2 identity, který zobrazí uživateli. Uživatel vybere svého poskytovatele^ identity. Výsledek výběru je předán do serverové části mobilní aplikace, která jej použije jako parametr při vyžádání autentizace, který předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Tento parametr použije komunikační modul 10 při komunikaci s poskytovatelem 2 identity pomocí řízení 12 autentizace.
Dále postup pokračuje jako v příkladu 1.
Příklad 5
Uživatel má na svém mobilním zařízení 1 nainstalovánu klienskou část mobilní aplikace spoléhající strany 4.
Spoléhající strana 4 používá reverzní proxy server 14 k zakončení zabezpečeného datového kanálu cílové aplikace, např. TLS, a nemá seznam důvěryhodných poskytovatelů 2 identity. Seznam důvěryhodných poskytovatelů 2 identity má zprostředkovatel 3 identity.
Uživatel spustí mobilní aplikaci. Mobilní aplikace použije neautentizovaný datový kanál 7 ke komunikaci s reverzním proxy serverem 14. Reverzní proxy server rozpozná neautentizovaného uživatele a spustí serverovou část aplikace výběru poskytovatele identity. Aplikace výběru poskytovatele identity pomocí řízení 13 autentizace vyžádá od komunikačního modulu aktuální seznam důvěryhodných poskytovatelů 2 identity. Komunikační modul 10 vyžádá aktuální seznam důvěryhodných poskytovatelů 2 identity od zprostředkovatele 3 identity pomocí standardní komunikace 17 pro výběr poskytovatele identity. Seznam je předán zpět až do klientské části mobilní aplikace, kde uživatel vybere svého poskytovatele 2 identity. Výsledek výběru je předán do reverzního proxy serveru 14, který jej použije jako parametr při vyžádání autentizace, který předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Tento parametr použije komunikační modul 10 při komunikaci s poskytovatelem 2 identity pomocí řízení 12 autentizace.

Claims (10)

  1. PATENTOVÉ NÁROKY
    1. Způsob autentizace uživatele ke spoléhající straně (4) v systému federace identity prostřednictvím poskytovatele (2) identity, při němž se nejprve vytvoří datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4), uživatel se následně autentizuje u poskytovatele (2) identity, a autentizační výrok (5, 6) se předá od poskytovatele (2) identity spoléhající straně (4), vyznačený tím, že se při autentizaci u poskytovatele (2) identity prováže datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4) s autentizaci uživatele, a pňčemž se autentizační výrok (5, 6) s vazbou k datovému kanálu (7) předá od poskytovatele (2) identity ke spoléhající straně (4) prostřednictvím komunikačního modulu (10), přičemž komunikační modul (10), popřípadě spolu s poskytovatelem (2) identity, řídí autentizaci s vazbou k datovému kanálu (7).
  2. 2. Způsob podle nároku 1, vyznačený tím, že se provázání datového kanálu (7) s autentizaci uživatele provede tak, že spoléhající strana (4), popřípadě v součinnosti se zařízením (1) uživatele, před autentizaci přidělí jednoznačný identifikátor datovému kanálu (7) mezi zařízením (1) uživatele a spoléhající stranou (4), a tento identifikátor se použije jako informace přenášená
    -8 CZ 2019 - 221 A3 mezi zakončením datového kanálu (7) na zařízení (1) uživatele a autentizačním prostředkem uživatele.
  3. 3. Způsob podle nároku 2, vyznačený tím, že identifikátorem datového kanálu (7) je identifikátor session datového kanálu (7) nebo identifikátor autentizace.
  4. 4. Způsob podle nároku 2 nebo 3, vyznačený tím, že se spolu s identifikátorem datového kanálu (7) použije také kryptografický materiál odvozený od kryptografického materiálu datového kanálu (7).
  5. 5. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že komunikační modul (10) komunikuje s reverzním proxy serverem (14) a datový kanál (7) mezi zařízením (1) uživatele a cílovou aplikací je ukončen na reverzním proxy serveru (14), a reverzní proxy server (14) řídí přístup uživatelů k příslušným zdrojům cílové aplikace spoléhající strany (4).
  6. 6. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že komunikační modul (10) umožňuje výběr poskytovatele (2) identity a komunikaci s více různými poskytovateli (2) identity, s výhodou prostřednictvím zprostředkovatele (3) identity.
  7. 7. Způsob podle nároku 6, vyznačený tím, že uživatel prostřednictvím zařízení (1) uživatele před zahájením autentizace využije komunikační modul (10), který v tom okamžiku funguje jako standardní http proxy server nebo http klient, pro provedení výběru poskytovatele (2) identity, a následně, když uživatel ukončí výběr, se funkčnost http proxy serveru nebo http klienta na komunikačním modulu (10) ukončí, a výsledek výběru přenesený ze zprostředkovatele (3) identity do komunikačního modulu (10) se komunikačním modulem (10) zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.
  8. 8. Způsob podle nároku 6, vyznačený tím, že uživatel pro provedení výběru poskytovatele (2) identity před zahájením autentizace komunikuje prostřednictvím zařízení (1) uživatele s částí cílové aplikace spoléhající strany (4) na serveru spoléhající strany, tato aplikace přitom komunikuje přímo se zprostředkovatelem (3) identity nebo prostřednictvím komunikačního modulu (10), a výsledek zprostředkované interakce uživatele se zprostředkovatelem (3) identity, tedy výběr poskytovatele (2) identity, se zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.
  9. 9. Způsob podle nároku 6, vyznačený tím, že uživatel pro provedení výběru poskytovatele (2) identity před zahájením autentizace komunikuje prostřednictvím zařízení (1) uživatele se samostatným modulem výběru poskytovatele (2) identity komunikujícím se zprostředkovatelem (3) identity, a tento modul je umístěn za reverzní proxy server (14), přičemž výsledek interakce uživatele s tímto modulem, tedy výběr poskytovatele (2) identity, se zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.
  10. 10. Systém pro autentizaci uživatele k spoléhající straně (4) prostřednictvím poskytovatele (2) identity, který zahrnuje alespoň jedno zařízení (1) uživatele, alespoň jednu spoléhající stranu (4), alespoň jednoho poskytovatele (2) identity, popřípadě i alespoň jednoho zprostředkovatele (3) identity, vyznačený tím, že dále obsahuje alespoň jeden komunikační modul (10) komunikačně propojený se spoléhající stranou (4) a s poskytovatelem (2) identity a popřípadě i se zprostředkovatelem (3) identity a vybavený prostředky pro řízení (12, 13) autentizace s provázáním datového kanálu (7) mezi zařízením (1) uživatele a spoléhající stranou (4).
CZ2019-221A 2019-04-08 2019-04-08 Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity CZ308358B6 (cs)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CZ2019-221A CZ308358B6 (cs) 2019-04-08 2019-04-08 Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity
PCT/CZ2020/050021 WO2020207517A1 (en) 2019-04-08 2020-04-07 Method of authenticating a user to a relying party in federated electronic identity systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2019-221A CZ308358B6 (cs) 2019-04-08 2019-04-08 Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity

Publications (2)

Publication Number Publication Date
CZ2019221A3 true CZ2019221A3 (cs) 2020-06-17
CZ308358B6 CZ308358B6 (cs) 2020-06-17

Family

ID=71079995

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2019-221A CZ308358B6 (cs) 2019-04-08 2019-04-08 Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity

Country Status (2)

Country Link
CZ (1) CZ308358B6 (cs)
WO (1) WO2020207517A1 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11985118B2 (en) 2020-05-14 2024-05-14 Aducid S.R.O. Computer-implemented system and authentication method

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2588573B (en) * 2019-07-09 2021-11-17 Rimo Capital Ltd A remediation system to prevent incompatible program module installation in an information processing system
CN113014554B (zh) * 2021-02-07 2023-06-13 博为科技有限公司 上网通道自动切换方法和系统、onu设备、olt设备

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8607322B2 (en) * 2004-07-21 2013-12-10 International Business Machines Corporation Method and system for federated provisioning
WO2008020991A2 (en) * 2006-07-28 2008-02-21 Brown University Notarized federated identity management
US20080271121A1 (en) * 2007-04-27 2008-10-30 Heather Maria Hinton External user lifecycle management for federated environments
WO2010030458A2 (en) * 2008-09-12 2010-03-18 Motorola, Inc. Method for action assertion generation and usage
KR101434769B1 (ko) * 2010-01-22 2014-08-27 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치
US9081951B2 (en) * 2011-09-29 2015-07-14 Oracle International Corporation Mobile application, identity interface
US8776209B1 (en) * 2012-03-09 2014-07-08 Juniper Networks, Inc. Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway
US9578007B2 (en) * 2015-03-31 2017-02-21 Cisco Technology, Inc. Secure transmission of a session identifier during service authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11985118B2 (en) 2020-05-14 2024-05-14 Aducid S.R.O. Computer-implemented system and authentication method

Also Published As

Publication number Publication date
WO2020207517A1 (en) 2020-10-15
CZ308358B6 (cs) 2020-06-17

Similar Documents

Publication Publication Date Title
JP5635133B2 (ja) セキュアな動的権限委譲
US10136313B2 (en) Method and device for control of a lock mechanism using a mobile terminal
EP2351316B1 (en) Method and system for token-based authentication
CN107769930B (zh) 一种认证方式转接方法及装置
KR101708587B1 (ko) 양방향 권한 부여 시스템, 클라이언트 및 방법
US9654462B2 (en) Late binding authentication
US20130117831A1 (en) Method and system for enabling computer access
JP2008511232A (ja) 制御認証のためのパーソナルトークンおよび方法
JP2014503094A (ja) サーバとクライアントとの間の通信方法、並びに対応するクライアント、サーバ、及びシステム
US20030163694A1 (en) Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes
CZ2019221A3 (cs) Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity
CN101222335A (zh) 一种应用系统间的级联认证方法及装置
JP2016521029A (ja) セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
US11985118B2 (en) Computer-implemented system and authentication method
JPWO2018109897A1 (ja) アクセストークンシステム、情報処理装置、情報処理方法および情報処理プログラム
US11764964B2 (en) Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication
KR20030075809A (ko) 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법
KR101962349B1 (ko) 인증서 기반 통합 인증 방법
Tauber et al. Towards interoperability: an architecture for pan-European eID-based authentication services
US12041173B2 (en) Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication
WO2024067419A1 (zh) 授权信息获取方法、装置、相关设备及存储介质
Nenadic et al. FAME: Adding multi-level authentication to shibboleth
Hühnlein et al. Options for integrating eID and SAML
Malone et al. Mobile Optimized Digital Identity (MODI): A framework for easier digital certificate use

Legal Events

Date Code Title Description
MM4A Patent lapsed due to non-payment of fee

Effective date: 20230408