CZ2020271A3 - Programový systém a způsob autentizace - Google Patents

Programový systém a způsob autentizace Download PDF

Info

Publication number
CZ2020271A3
CZ2020271A3 CZ2020-271A CZ2020271A CZ2020271A3 CZ 2020271 A3 CZ2020271 A3 CZ 2020271A3 CZ 2020271 A CZ2020271 A CZ 2020271A CZ 2020271 A3 CZ2020271 A3 CZ 2020271A3
Authority
CZ
Czechia
Prior art keywords
authentication
data channel
authenticator
user
service provider
Prior art date
Application number
CZ2020-271A
Other languages
English (en)
Inventor
Libor Neumann
Libor Ing. Csc. Neumann
Original Assignee
Aducid S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aducid S.R.O. filed Critical Aducid S.R.O.
Priority to CZ2020-271A priority Critical patent/CZ2020271A3/cs
Priority to PCT/CZ2021/050052 priority patent/WO2021228293A1/en
Priority to EP21726845.7A priority patent/EP4338390A1/en
Priority to US17/613,630 priority patent/US11985118B2/en
Publication of CZ2020271A3 publication Critical patent/CZ2020271A3/cs

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Předmětem vynálezu je programový systém, který obsahuje vestavěný prohlížeč (1), autentizátor (3) a modul (4) datového kanálu. Autentizátor (3) je proveden pro autentizaci datového kanálu (41), autentizaci uživatele a provázání autentizace uživatele s autentizovaným kanálem (41). Dále je proveden pro komunikaci s uživatelem prostřednictvím grafického uživatelského rozhraní vestavěného prohlížeče (1) pomocí grafických a řídicích primitiv (2) autentizátoru a/nebo prostřednictvím samostatného grafického uživatelského rozhraní (5) autentizátoru. Modul (4) datového kanálu je proveden pro komunikaci se servery poskytovatelů služeb zabezpečeným protokolem, pro komunikaci s vestavěným prohlížečem (1) a pro komunikaci s autentizátorem (3). Vynález zahrnuje dále způsob autentizace s využitím tohoto systému, zvyšuje bezpečnost při přístupu ke službám a datům vyžadujícím autentizaci. Při vytvoření datového kanálu (41) se přenese certifikát poskytovatele (6) služeb nebo webové aplikace (61) do modulu (4) datového kanálu. Ten předá certifikát nebo odvozenou informaci autentizátoru (3), které se pak ověří během autentizační komunikace (31).

Description

Programový systém a způsob autentizace
Oblast techniky
Předkládaný vynález se týká programového systému a způsobu autentizace uživatele k cílové aplikaci a/nebo k poskytovateli služeb s využitím tohoto programového systému.
Dosavadní stav techniky
Komunikace poskytované přes síť internet vyžadují autentizaci uživatele ktomu, aby se uživatel dostal k cílovým službám, například k předplaceným službám, nebo veřejně nepřístupným informacím, nebo ke službám týkajícím se výhradně tohoto autentizovaného uživatele, jako je ovládání bankovních účtů, nebo různých portálů pro eGovemment, eHealth, apod.
V dnešní době se ke komunikaci uživatele s poskytovatelem služby přes internet běžně používají dva způsoby. Prvním jsou proprietámí jednoúčelové mobilní aplikace programované přímo pro příslušné typy operačních systémů chytrých telefonů, jako jsou Android nebo iOS. Druhým je univerzálně použitelný webový prohlížeč založený na mezinárodních standardech HTML, http/https.
K zajištění bezpečnosti komunikace se pak používají různé autentizační prostředky s různými vlastnostmi. V případě mobilních aplikací bývá autentizačním prostředkem jednoúčelová autentizace vestavěná do aplikace. V případě webového prohlížeče je autentizace obvykle součástí jednotlivých webových aplikací a používá autentizační prostředky nezávislé na webovém prohlížeči, např. uživatelské jméno a heslo, SMS jednorázová hesla, čipové karty, FIDO, federované elektronické identity (SAML, OpenID Connect).
Jednoúčelové autentizace mobilních aplikací přináší vyšší úroveň bezpečnosti než autentizační prostředky nezávislé na webovém prohlížeči. Při hromadném používání desítek mobilních aplikací uživatelem však musí uživatel zvládat desítky různých autentizaci, pamatovat si velké množství hesel či postupů autentizace, dochází k přehlcení uživatele různými požadavky na autentizaci. Navíc řešení založené na mobilních aplikacích nemusí být použitelné v klasických operačních systémech osobních počítačů, proto vedle mobilní aplikace vzniká často analogická web aplikace. Vývoj a údržba jednoúčelových aplikací pro minimálně dva různé operační systémy je méně efektivní než vývoj a údržba jediné webové aplikace.
Použití webového prohlížeče je možné na všech platformách mobilních i klasických operačních systémů. Vývoj webové aplikace je jednodušší a z velké části nezávislý na použitém prohlížeči a operačním systému. Použití webového prohlížeče však má své bezpečnostní slabiny. Oddělená autentizace na aplikační úrovni je systémová slabina umožňující efektivní MITM útok. Spoléhání na úroveň znalostí uživatele a jeho ostražitost při kontrole serverového certifikátu použitého k zabezpečení TLS kanálu při https komunikaci není bezpečné. Použití různých autentizačních prostředků různými webovými aplikacemi či různými poskytovateli služeb má podobný efekt přehlcení uživatele požadavky na autentizaci a v důsledku toho vede k další ztrátě bezpečnosti.
Podstata vynálezu
Předmětem vynálezu je programový systém obsahující autentizátor, vestavěný prohlížeč a modul datového kanálu, přičemž autentizátor je uzpůsoben pro autentizaci uživatele, autentizaci datového kanálu a provázání autentizace uživatele s autentizovaným kanálem, a autentizátor je dále uzpůsoben pro komunikaci s uživatelem prostřednictvím grafického uživatelského rozhraní (GUI) vestavěného prohlížeče pomocí grafických a řídicích primitiv autentizátoru a/nebo prostřednictvím
-1 CZ 2020 - 271 A3 samostatného grafického uživatelského rozhraní (GUI) autentizátoru, přičemž modul datového kanálu je uzpůsoben pro komunikaci se servery poskytovatelů služeb protokolem http/https, pro komunikaci s vestavěným prohlížečem a pro komunikaci s autentizátorem.
Vestavěný prohlížeč (angl. embedded browser) je webový prohlížeč založený na mezinárodních standardech HTMU a http/https. Takový prohlížeč je možno implementovat jako součást jiného programu na počítači či mobilním zařízení, v jakémkoliv běžném operačním systému.
Autentizátor je specializovaný program, modul či systém určený k bezpečnému ověření identity uživatele v kybernetickém prostoru. Autentizátor ktomu účelu používá autentizační protokol využívající kryptografické algoritmy, kryptografické klíče či sdílenátajemství jako jsou hesla, PIN, privátní a veřejný klíč asymetrické kryptografie, certifikáty atd. Autentizátor s výhodou autentizuje uživatele ke každému cílovému systému jednotným způsobem a nezatěžuje uživatele různým chováním autentizace pro různé poskytovatele služby.
Autentizátor také autentizuje zabezpečený datový kanál mezi modulem datového kanálu a cílovou webovou aplikací poskytovatele služeb (s výhodou se jedná o TES kanál) a podílí se na provázání autentizace uživatele s autentizací datového kanálu. Vytvořením autentizovaného kanálu a jeho provázáním s autentizací uživatele se zabezpečí komunikace vestavěného prohlížeče s cílovou aplikací poskytovatele služeb. Není pak potřeba řešit autentizací na aplikační úrovni cílové webové aplikace, přitom se zvýší bezpečnost použití cílové webové aplikace na úroveň přinejmenším porovnatelnou s bezpečností jednoúčelové mobilní aplikace.
Uživatel s výhodou komunikuje s cílovými webovými aplikacemi (například aplikacemi poskytovatelů služeb) i s autentizátorem pomocí standardního GUI vestavěného prohlížeče (standardem HTML). Pro komunikaci uživatele s autentizátorem pomocí standardního GUI vestavěného prohlížeče slouží modul grafických a řídících primitiv autentizátoru. To umožní jedinou a opakovaně používanou uživatelskou zkušenost při autentizací.
Správu autentizátoru lze při tomto výhodném provedení spustit například prostřednictvím dedikovaného grafického prvku (např. ikony) autentizátoru, načež prohlížeč aktivuje příslušnou URL obsahující například URI schéma registrované pro autentizátor. URL obsahuje příslušné parametry grafické a/nebo řídicí komponenty autentizátoru. URL je odesláno na lokální rozhraní modulu grafických a řídicích primitiv autentizátoru, které provede příslušné akce a vrátí potřebná data, které GUI vestavěného prohlížeče zobrazí.
Grafické a řídící primitivy autentizátoru jsou základní elementy, ze kterých jsou tvořeny části GUI, zejména tlačítka, ikony, texty atd., a které slouží pro ovládání autentizátoru a prostřednictvím kterých se autentizátoru předávají požadované úkony.
V jiném provedení uživatel komunikuje s cílovými webovými aplikacemi (například aplikacemi poskytovatelů služeb) pomocí GUI vestavěného prohlížeče. S autentizátorem uživatel komunikuje prostřednictvím samostatného GUI autentizátoru, případně částečně prostřednictvím samostatného GUI autentizátoru a částečně pomocí GUI vestavěného prohlížeče za pomoci modulu grafických a řídicích primitiv autentizátoru.
Modul datového kanálu je modul určený pro vytvoření datového kanálu mezi stranou uživatele a stranou poskytovatele služby, který po vytvoření datového kanálu je zakončením tohoto kanálu na straně uživatele. Modul datového kanálu je komunikačně propojen s vestavěným prohlížečem, a také je komunikačně propojen s autentizátorem. Modul datového kanálu je uzpůsoben pro komunikaci protokolem http/https a pro využití kryptografických protokolů pro zabezpečení komunikace přes síť, jako je například protokol TLS.
Poskytovatel služeb je server nebo aplikace, která poskytuje služby či data využívaná uživateli, přičemž pro přístup k těmto datům či službám je podmíněn autentizací uživatele. Jednotliví
-2CZ 2020 - 271 A3 poskytovatelé služeb jsou obvykle vzájemně nezávislí a mají vlastní webové či mobilní aplikace. Aplikace poskytovatele služeb je možnou cílovou webovou aplikací, ke které uživatel přistupuje za využití programového systému podle vynálezu.
Poskytovatel služeb může mít vlastní autentizační server nebo může využívat autentizační server poskytovatelů identity, například v systémech federace elektronické identity. V předkládaném vynálezu autentizační server poskytovatele služeb nebo autentizační server poskytovatele identity komunikuje s autentizátorem.
Poskytovatel služeb může ukončovat datový kanál vytvořený mezi poskytovatelem služeb a modulem datového kanálu podle vynálezu například přímo ve své webové aplikaci nebo na předřazeném serveru (například na reverse proxy serveru) nebo na jiném zakončení datového kanálu s https komunikací.
Autentizační server poskytovatele služeb může být server vlastněný či spravovaný či provozovaný poskytovatelem služeb, nebo server vlastněný či spravovaný či provozovaný třetí stranou. Například v systémech federace elektronické identity jsou autentizační server nebo autentizační služba poskytovány poskytovatelem identity, případně prostřednictvím zprostředkovatele identity. Poskytovatelů a/nebo zprostředkovatelů identity může být v systému i více.
Dalším předmětem vynálezu je způsob autentizace uživatele k poskytovateli služeb a/nebo k cílové webové aplikaci, přičemž tento způsob využívá programového systému podle vynálezu. Způsob obsahuje kroky:
a) přijetí požadavku uživatele na využití služby a/nebo přístup k datům poskytovatele služeb a/nebo přístup k cílové aplikaci, přičemž požadavek se přijme prostřednictvím GUI vestavěného prohlížeče;
b) předání tohoto požadavku uživatele, přičemž požadavek je neautentizovaný a nešifrovaný, modulu datového kanálu;
c) vytvoření neautentizovaného datového kanálu s komunikací standardem http/https mezi modulem datového kanálu a poskytovatelem služeb, aktivace autentizace modulem datového kanálu a předání údajů pro autentizaci z modulu datového kanálu do autentizátoru;
d) autentizaci datového kanálu vytvořeného v kroku c) a autentizaci uživatele prostřednictvím autentizační komunikace autentizátoru s autentizačním serverem poskytovatele služeb; přičemž datový kanál se prováže s autentizaci uživatele;
e) přenesení požadavku uživatele (popřípadě zašifrovaného požadavku uživatele) prostřednictvím modulu datového kanálu a datovým autentizovaným kanálem k poskytovateli služeb;
f) poskytnutí služby a/nebo přístupu k datům poskytovatele služeb a/nebo přístupu k cílové aplikaci uživateli na základě autentizace uživatele a prostřednictvím autentizovaného datového kanálu vytvořeného v kroku c) a autentizovaného v kroku d).
Termín „neautentizovaný datový kanál“, použitý např. v kroku c), znamená datový kanál, u kterého není úplně dokončena autentizace. Tedy zahrnuje datový kanál, u kterého nebyla zahájena autentizace, ale i datový kanál, u kterého byla autentizace zahájena, ale dosud nebyla dokončena, například byla autentizace částečně provedena.
Provázání datového kanálu s autentizaci uživatele může provést autentizátor a/nebo autentizační server poskytovatele služeb.
-3CZ 2020 - 271 A3
Jedním výhodným provedením provázání datového kanálu s autentizací uživatele je postup zřízení datového kanálu a následné autentizace, kdy se při zřízení datového kanálu přenese certifikát poskytovatele služeb nebo cílové webové aplikace do modulu datového kanálu. Způsob zřízení datového kanálu přitom zaručuje (např. podle standardu TLS) bezpečnou vazbu mezi certifikátem poskytovatele služeb nebo cílové webové aplikace a zakončením datového kanálu u poskytovatele služeb. Modul datového kanálu předá certifikát nebo z něj odvozenou informaci autentizátoru. Zároveň na straně poskytovatele služeb je certifikát zahrnut do konfiguračních souborů autentizačního serveru. Certifikát nebo z něj odvozená informace se pak ověří v rámci autentizační komunikace. Tím se kromě provázání datového kanálu s autentizací uživatele dosáhne rovněž toho, že autentizátor automaticky a vždy bezchybně kontroluje systémový certifikát cílové webové aplikace, což v řešeních podle dosavadního stavu techniky měl provést sám uživatel.
Další způsoby provázání datového kanálu s autentizací uživatele jsou v oboru známé. Může se například jednat o předání dat identifikujících datový kanál z modulu datového kanálu do autentizátoru. Tato data jsou pak v rámci autentizace předávána či zpracovávána.
Provázání datového kanálu s autentizací uživatele lze provést například s výhodou tak, že se před autentizací přidělí jednoznačný identifikátor datovému kanálu mezi modulem datového kanálu a poskytovatelem služby, a tento identifikátor se použije jako přenášená informace. Identifikátor datového kanálu může přidělovat například poskytovatel služby nebo modul datového kanálu. Identifikátorem datového kanálu může být například identifikátor session datového kanálu, nebo identifikátor autentizace. Pro zvýšení bezpečnosti a vyloučení možnosti útoku na tento kanál může být s výhodou spolu s identifikátorem datového kanálu použito navíc neautentizované tajemství datového kanálu (resp. kryptografický materiál odvozený od kryptografického materiálu datového kanálu, např. z neověřeného sdíleného tajemství obou zakončení datového kanálu, jehož vytvoření je popsáno např. v CZ PV 2013-373).
S výhodou lze pro autentizační komunikaci zahrnující provázání datového kanálu s autentizací uživatele využít autentizační vektory popsané v PV 2015-473.
Základní podstatou vynálezu je způsob vzájemné spolupráce tří modulů, modulu autentizátoru, modulu vestavěného prohlížeče a modulu datového kanálu, a jejich spojení do jednoho celku.
Autentizace je podle vynálezu aktivována přímo z webového prohlížeče. Vzájemná komunikace mezi prohlížečem a autentizátorem probíhá uvnitř jednoho programového celku. Tím se zvýší bezpečnost a překonají se bariéry vzájemné komunikace programů v různých operačních systémech. Také se zlepší uživatelská zkušenost, protože uživatel není zatěžován přepínáním mezi různými programy, vše sleduje v prohlížeči. Autentizátor autentizuje uživatele k různým cílovým systémům jednotným způsobem, atak nezatěžuje uživatele různým chováním autentizace pro různé poskytovatele služby. Přítomnost vestavěného prohlížeče ve stejném programovém systému jako je autentizátor navíc umožňuje využít GUI vestavěného prohlížeče pro komunikaci autentizátoru s uživatelem.
Autentizátor a/nebo autentizační server prováže autentizací uživatele se zabezpečeným datovým kanálem k poskytovateli služby zakončeným v modulu datového kanálu. Tím se zajistí bezpečnost komunikace vestavěného prohlížeče s poskytovatelem služeb, resp. cílovou webovou aplikací. Poskytovatel služby se může spolehnout na to, že datový kanál je zabezpečený a že zároveň je ověřeno, který uživatel datový kanál používá. Navíc je jisté, že uživatel používá datovou komunikaci pomocí prohlížeče, který je na stejném zařízení a ve stejném programovém systému jako autentizátor uživatele.
Jedná se tedy v podstatě o využití principu vícekanálové autentizace, ale bez potřeby úkonů ze strany uživatele (není potřeba např. přepisování kódů z SMS nebo načítání QRkódů). Komunikace uživatele s cílovou webovou aplikací (typicky TUS datovým kanálem) je tak autentizována automaticky a velmi bezpečným způsobem.
-4CZ 2020 - 271 A3
Taková plně automatická autentizace datového kanálu používaného vestavěným prohlížečem z principu eliminuje všechny sociální útoky na datový kanál, např. phishing. Použití dvou autentizovaných kanálů (datový a autentizační) rovněž zajišťuje vyšší bezpečnost než v případě použití autentizace uvnitř datového kanálu, např. odolnost proti MITM.
Vynález rovněž odstraňuje potřebu specializovaných aplikací, např. pro mobilní telefony, pro zajištění autentizace, protože autentizaci není třeba řešit na aplikační úrovni webové aplikace. Programový systém podle vynálezu je schopen zajistit spolehlivou a bezpečnou autentizaci k jakékoliv cílové webové aplikaci. Programátor tak nemusí implementovat žádnou autentizaci do aplikace, což zjednoduší a zlevní vývoj. Zároveň se zvýší bezpečnost použití webové aplikace na úroveň přinejmenším porovnatelnou s bezpečností jednoúčelové mobilní aplikace.
Protože webové prohlížeče a webová komunikace je velmi dobře standardizována a velmi široce používána, je možné použít tohoto velmi výkonného a produktivního prostředí i ke zlepšení fúnkčnosti autentizátoru zejména při využívání pokročilého elD ekosystému. Proto další rozšiřující fúnkčnosti podporující autentizaci jako jsou identity proofing, správa osobních údajů, správa autentizačních prostředků apod. mohou být realizovány jako webové aplikace a mohou být zajišťovány servery provozovanými příslušnými poskytovateli služeb. Zároveň mohou být jednoduše integrovány do GUI autentizátoru a/nebo do GUI vestavěného prohlížeče, neboť je není třeba implementovat lokálně na technických prostředcích uživatele.
Objasnění výkresů
Obr. 1A, IB a 1C schematicky ilustrují dva příklady provedení systému podle vynálezu.
Obr. 2 schematicky ilustruje využití systému podle vynálezu k autentizaci k samostatnému poskytovateli služby.
Obr. 3 schematicky ilustruje využití systému podle vynálezu v prostředí distribuované správy elektronické identity.
Příklady uskutečnění vynálezu
Příklad 1
Příklad jedné varianty systému je schematicky znázorněn na Obr. 1A. Zahrnuje vestavěný prohlížeč 1 s rozhraním (GUI) pro komunikaci mezi uživatelem a cílovou webovou aplikací poskytovatele služeb (neznázoměna) a také mezi uživatelem a autentizátorem 3, která je zprostředkována grafickými a řídicími primitivy 2 autentizátoru. Dále systém obsahuje autentizátor 3, a modul 4 datového kanálu komunikačně propojený s vestavěným prohlížečem 1 a autentizátorem 3. Při zadání požadavku uživatele 8 na přístup ke službám nebo datům poskytovatele služeb vytvoří modul 4 se serverem poskytovatele služby (neznázoměn) datový kanál 41 s https komunikací zabezpečenou protokolem TLS. Autentizátor 3 provede autentizaci uživatele, kterou prováže s datovým kanálem 41. Autentizátor 3 při autentizaci komunikuje s autentizačním serverem poskytovatele služeb nebo poskytovatele identity (neznázoměn) prostřednictvím autentizační komunikace 31.
Příklad 2
Příklad další varianty systému je schematicky znázorněn na Obr. 1B. Zahrnuje vestavěný prohlížeč 1 a samostatné rozhraní 5 (GUI) autentizátoru. Komunikace mezi uživatelem a autentizátorem probíhá prostřednictvím samostatného GUI 5 autentizátoru. Dále systém obsahuje autentizátor 3 a
-5CZ 2020 - 271 A3 modul 4 datového kanálu komunikačně propojený s prohlížečem 1 a autentizátorem 3. Při zadání požadavku uživatele 8 na přístup ke službám nebo datům poskytovatele služeb vytvoří modul 4 se serverem poskytovatele služby (neznázoměn) datový kanál 41 s https komunikací zabezpečenou protokolem TLS. Autentizátor 3 provede autentizaci uživatele, kterou prováže s datovým kanálem. Autentizátor 3 při autentizaci komunikuje s autentizačním serverem poskytovatele služeb nebo poskytovatele identity (neznázoměn) prostřednictvím autentizační komunikace 31.
Příklad 3
Příklad ještě další varianty systému je schematicky znázorněn na Obr. 1C. Zahrnuje vestavěný prohlížeč 1 s GUI pro komunikaci mezi uživatelem a cílovou webovou aplikací poskytovatele služeb (neznázoměna) a také mezi uživatelem a autentizátorem 3, která je zprostředkována grafickými a řídicími primitivy 2 autentizátoru. Dále systém zahrnuje samostatné GUI 5 autentizátoru pro komunikaci s uživatelem. Komunikace mezi uživatelem a autentizátorem 3 probíhá částečně prostřednictvím GUI vestavěného prohlížeče 1 (pomocí grafických a řídicích primitiv 2) a částečně prostřednictvím samostatného GUI 5 autentizátoru. Dále systém obsahuje autentizátor 3 a modul 4 datového kanálu komunikačně propojené s prohlížečem 1 a autentizátorem 3. Při zadání požadavku uživatele 8 na přístup ke službám nebo datům poskytovatele služeb vytvoří modul 4 se serverem poskytovatele služby (neznázoměn) datový kanál 41 s https komunikací zabezpečenou protokolem TLS. Autentizátor 3 provede autentizaci uživatele, kterou prováže s datovým kanálem. Autentizátor 3 při autentizaci komunikuje s autentizačním serverem poskytovatele služeb nebo poskytovatele identity (neznázoměn) prostřednictvím autentizační komunikace 31.
Příklad 4: Ovládání a správa autentizátom
Uživatel chce zjistit v provedení podle Obr. 1A nějakou informaci z autentizátom nebo potřebuje nějakou informaci zadat (např. zjistit informace o nastavení autentizátom a případně je změnit).
GUI vestavěného prohlížeče 1 zobrazuje grafický prvek nastavení autentizátom 3 standardním způsobem (HTML). Po označení (stisknutí) grafického prvku je vestavěným prohlížečem 1 aktivována příslušná URL obsahující URI schéma registrované pro autentizátor 3. URL obsahuje příslušné parametry grafické a/nebo řídicí kompetenty autentizátom 3. URL je odesláno na lokální rozhraní modulu grafických a řídicích primitiv 2 autentizátom, které provede příslušné akce a vrátí potřebná data, které GUI vestavěného prohlížeče 1 zobrazí.
Příklad 5: Používání vzdálených služeb
Provedení podle tohoto příkladu je schematicky znázorněno na Obr. 2. Uživatel chce použít vybranou vzdálenou službu poskytovatele 6 služeb. V GUI vestavěného prohlížeče 1 aktivuje příslušným ovládacím prvkem požadavek na tuto službu (např. stisknutím tlačítka s grafickým symbolem služby).
GUI vestavěného prohlížeče 1 standardním způsobem vytvoří potřebný požadavek (HTML), který se má přenést pomocí https do cílové webové aplikace 61 poskytovatele 6 služeb. Vestavěný prohlížeč 1 předá (neautentizovaný, nešifrovaný) požadavek modulu 4 datového kanálu.
Modul 4 datového kanálu s využitím neautentizované https komunikace datovým kanálem 41 s proxy serverem 62 poskytovatele 6 služeb aktivuje autentizaci a předá potřebné údaje autentizátom 3, a to včetně informací potřebných k autentizaci datového kanálu.
Autentizátor 3 zahájí autentizační komunikaci 31 s autentizačním serverem 63 poskytovatele 6 služeb.
-6CZ 2020 - 271 A3
Výsledkem autentizace je jednak autentizace uživatele a také autentizace datového kanálu 41 cílové aplikace (např. jak je popsáno v PV 2013-373, EP 3000216), a provázání autentizace uživatele s autentizovaným datovým kanálem 41. Datový kanál 41 přenáší komunikaci ve formátu https zabezpečenou TLS.
Autentizace uživatele spolu s autentizací datového kanálu 41 může být s výhodou provedena tak, že modul 4 datového kanálu předá autentizátoru 3 také serverový certifikát poskytovatele 6 služeb použitý modulem 4 při vytváření TLS session datového kanálu 41. Autentizátor 3 provede potřebné kryptografické operace v součinnosti s použitím autentizace uživatele. Výsledek je přenesen pomocí autentizační komunikace 31 na autentizační server 63. Autentizační server 63 na základě serverového certifikátu poskytovatele 6 služeb, který má ve své konfiguraci, ověří s využitím příslušných kryptografíckých operací, že jde o stejný certifikát a že je správně propojen s autentizací uživatele (např. jak je popsáno v PV 2015-473).
Kromě toho může s výhodou odpověď autentizačního serveru 63 na požadavek modulu 4 datového kanálu přenesená přes proxy server 62 pomocí neautentizované https komunikace datovým kanálem 41 obsahovat unikátní informace spojené s autentizací jako jsou například jednoznačný identifikátor autentizace a náhodná autentizační výzva. Spolu se serverovým certifikátem poskytovatele 6 služeb předá modul 4 datového kanálu autentizátoru 3 také tyto informace. Autentizátor 3 s použitím autentizace uživatele se všemi takovými informacemi přijatými od modulu 4 datového kanálu provede potřebné kryptografické operace a výsledek prostřednictvím autentizační komunikace 31 přenese na autentizační server 63. Autentizační server 63 má k dispozici ty samé informace a použije je k ověření propojení autentizovaného uživatele s datovým kanálem 41.
Zároveň je autentizován datový kanál 41 mezi vestavěným prohlížečem 1 a proxy serverem 62 poskytovatele 6 služby a je ověřeno, že datový kanál 41 používá autentizovaný uživatel 8 (a ne útočník).
Uživatel 8 přistupuje k vybrané službě pomocí GUI vestavěného prohlížeče 1 tak, jak je zvyklý z běžných prohlížečů.
Zároveň modul 4 spolu s autentizátorem 3 vytvořily pro uživatele bezpečné prostředí pro přístup ke vzdálené službě používající zašifrovanou komunikaci pomocí autentizovaného datového kanálu 41 svázaného s autentizací uživatele.
Modul 4 datového kanálu zašifruje požadavek uživatele a přenese jej pomocí teď již autentizovaného datového kanálu 41 poskytovateli 6 služby. Poskytovatel 6 služby má k dispozici výsledek autentizace uživatele a může na základě výsledku autentizace přidělit správná přístupová práva k cílovým aktivům.
Samotná autentizace může probíhat pro uživatele téměř neviditelně, autentizátor může využívat možností příslušného technického vybavení klientského zařízení uživatele, např. možností ověření biometriky pomocí chytrého telefonu (obličej, oční rohovka, otisk prstu atp.).
Jednotliví poskytovatelé služeb mohou být vzájemně nezávislí. Každý z nich může používat oddělený autentizační systém s vlastní správou uživatelů, ověřováním jejich totožnosti či bez ověřování totožnosti. Mezi jednotlivými poskytovateli služeb nejsou žádné vazby týkající se autentizace či elD (elektronické identity).
Poskytovatel 6 služby používá běžně známé systémové řešení. Cílová webová aplikace je provozována na standardním webovém serveru. Šifrovaný TLS datový kanál 41 může být zakončen standardně na webovém serveru poskytovatele 6, např. na serveru kde běží cílová webová aplikace 61 nebo na předřazeném proxy serveru 62 (např. reverse proxy).
-7CZ 2020 - 271 A3
Autentizační server 63 zajišťuje autentizaci uživatele a k tomu s výhodou používá svoji autentizační komunikaci 31. a také může s výhodou provádět autentizaci datového kanálu 41 a provázat ji s autentizaci uživatele (ve spolupráci s autentizátorem 3). Ktomu účelu může autentizační server 63 komunikovat jak se zakončením datového kanálu 41 na proxy serveru 62, tak s cílovou aplikací 61 či s webovým serverem, kde cílová autentizace běží.
Autentizační server 63 si může se zakončením datového kanálu 41 na proxy serveru 62 předávat např. identifikátor session a také kryptografický materiál potřebný k autentizaci datového kanálu 41.
Autentizační server 63 si může s cílovou webovou aplikací 61 předávat např. parametry požadované autentizace (např. požadavek na použití dvoufaktorové autentizace příslušného typu) a také výsledky autentizace (např. status a identifikátor autentizovaného uživatele).
Příklad 6: Používání služeb spojených se správou elektronické identity a prostředků elektronické identity (tzv. elD služeb) elD služby zajišťuje poskytovatel elD služeb pomocí standardního webového serveru, na kterém běží standardní webová aplikace využívající HTML https komunikaci s prohlížečem.
Webová aplikace používá data uložená v chráněném prostředí poskytovatele služeb (např. v databázi) a řídí přístup ke chráněným aktivům pomocí vynucování přístupových práv na základě autentizace uživatele.
Autentizace je zajišťována autentizátorem prakticky neviditelně pro uživatele včetně autentizace TLS datového kanálu analogicky jako v případě používání vzdálených služeb.
Z uživatelského hlediska jsou elD služby chápány jako rozšíření služeb autentizátoru. Technologicky jsou realizovány analogicky jako standardní vzdálené služby používané k jiným účelům.
Příklad 7: Příklad použití v prostředí distribuované správy elD
Provedení podle tohoto příkladu je schematicky znázorněno na Obr. 3.
Jednotliví poskytovatelé služeb spolupracují mezi sebou při správě elD a při autentizaci. Způsoby spolupráce mohou být různé. Jako příklad uveďme analogii federace elektronické identity, kde poskytovatel cílových služeb (relying party) spoléhá na autentizaci provedenou specializovaným poskytovatelem služeb (poskytovatel identity - identity provider).
Poskytovatel 6 služby používá běžně známé systémové řešení. Webová aplikace 61 je provozována na standardním webovém serveru.
Uživatel chce použít vybranou vzdálenou službu poskytovatele 6 služeb. V GUI vestavěného prohlížeče 1 aktivuje příslušným ovládacím prvkem požadavek na tuto službu (např. stisknutím tlačítka s grafickým symbolem služby).
GUI vestavěného prohlížeče 1 standardním způsobem vytvoří potřebný požadavek (HTML), který se má přenést pomocí https do cílové webové aplikace 61 poskytovatele 6 služeb.
Vestavěný prohlížeč 1 předá (neautentizovaný, nešifrovaný) požadavek modulu 4 datového kanálu.
Modul 4 datového kanálu s využitím neautentizované komunikace datovým kanálem 41 https s proxy serverem 62 poskytovatele 6 služeb aktivuje autentizaci.
-8CZ 2020 - 271 A3
Poskytovatel 6 služby nepoužívá vlastní autentizační server.
Autentizační server 73 provozuje jiný poskytovatel služby (poskytovatel 7 identity - identity provider). Ten zajišťuje autentizaci uživatele a k tomu používá autentizační komunikaci 31. Také může s výhodou provádět autentizaci TLS šifrovaného datového kanálu 41 vedoucího mezi modulem 4 a poskytovatelem 6 vzdálené služby a provázat ji s autentizaci uživatele (ve spolupráci s autentizátorem 3).
Ktomu účelu může autentizační server 73 vzdáleně komunikovat jak s modulem 4, tak s cílovou webovou aplikací 61 či s proxy serverem 62 či s webovým serverem, na němž je cílová webová aplikace 61, využitím různých komunikačních prostředků pro přenos požadavků na autentizaci, parametrů autentizace a výsledků autentizace (autentizační komunikace 71 mezi poskytovatelem služeb a poskytovatelem identity - např. dle přihlášky PV 2019-221).
Autentizační server 73 poskytovatele 7 identity si může prostřednictvím autentizační komunikace 71 mezi poskytovatelem služeb a poskytovatelem identity s například proxy serverem 62 poskytovatele 6 předávat např. identifikátor session, a také kryptografický materiál potřebný k autentizaci datového kanálu 41.
Autentizační server 73 si může prostřednictvím autentizační komunikace 71 s cílovou webovou aplikací 61 poskytovatele 6 předávat např. parametry požadované autentizace (např. požadavek na použití dvoufaktorové autentizace příslušného typu), a také výsledky autentizace (např. status a identifikátor autentizovaného uživatele).

Claims (6)

  1. PATENTOVÉ NÁROKY
    1. Programový systém, vyznačující se tím, že obsahuje vestavěný prohlížeč (1), autentizátor (3), a modul (4) datového kanálu, přičemž autentizátor (3) je uzpůsoben pro autentizaci uživatele, autentizaci datového kanálu (41) a provázání autentizace uživatele s autentizovaným kanálem (41), a autentizátor (3) je dále uzpůsoben pro komunikaci s uživatelem prostřednictvím grafického uživatelského rozhraní vestavěného prohlížeče (1) pomocí grafických a řídicích primitiv (2) autentizátoru (3) a/nebo prostřednictvím samostatného grafického uživatelského rozhraní (5) autentizátoru, přičemž modul (4) datového kanálu je uzpůsoben pro komunikaci se servery poskytovatelů služeb zabezpečeným protokolem, pro komunikaci s vestavěným prohlížečem (1) a pro komunikaci s autentizátorem (3).
  2. 2. Programový systém podle nároku 1, vyznačující se tím, že modul (4) datového kanálu je komunikačně propojen s vestavěným prohlížečem (1), a také je komunikačně propojen s autentizátorem (3), a je uzpůsoben pro využití kryptografického protokolu TLS, apro komunikaci protokolem http/https.
  3. 3. Způsob autentizace uživatele k poskytovateli služeb a/nebo k cílové webové aplikaci, přičemž tento způsob využívá programového systému podle kteréhokoliv z předcházejících nároků, vyznačující se tím, že obsahuje kroky:
    a) přijetí požadavku uživatele na využití služby a/nebo přístup k datům poskytovatele (6) služeb a/nebo přístup k cílové webové aplikaci (61), přičemž požadavek se přijme prostřednictvím grafického uživatelského rozhraní vestavěného prohlížeče (1);
    b) předání tohoto požadavku uživatele, přičemž požadavek je neautentizovaný a nešifrovaný, modulu (4) datového kanálu;
    c) vytvoření neautentizovaného datového kanálu (41) s komunikací standardem http/https mezi modulem (4) datového kanálu a poskytovatelem (6) služeb, aktivace autentizace modulem (4) datového kanálu a předání údajů pro autentizaci z modulu (4) datového kanálu do autentizátoru (3);
    d) autentizaci uživatele a autentizaci datového kanálu (41) vytvořeného v kroku c) prostřednictvím autentizační komunikace (31) autentizátoru (3) s autentizačním serverem (63, 73) poskytovatele služeb; přičemž datový kanál (41) se prováže s autentizaci uživatele;
    e) přenesení požadavku uživatele prostřednictvím modulu (4) datového kanálu a datovým autentizovaným kanálem (41) k poskytovateli (6) služeb;
    f) poskytnutí služby a/nebo přístupu k datům poskytovatele (6) služeb a/nebo přístupu k cílové webové aplikaci (61) uživateli na základě autentizace uživatele a prostřednictvím autentizovaného datového kanálu (41) vytvořeného v kroku c) a autentizovaného v kroku d).
  4. 4. Způsob podle nároku 3, vyznačující se tím, že se prostřednictvím autentizátoru (3), popřípadě ve spolupráci s autentizačním serverem (63, 73) poskytovatele služeb, autentizuje zabezpečený datový kanál (41) mezi modulem datového kanálu a poskytovatelem (6) služeb, a autentizátor (3) se podílí na provázání autentizace uživatele s autentizaci datového kanálu (41).
  5. 5. Způsob podle nároku 3 nebo 4, vyznačující se tím, že se správa autentizátoru (3) spustí prostřednictvím dedikovaného grafického prvku autentizátoru, načež prohlížeč (1) aktivuje
    -10CZ 2020 - 271 A3 příslušnou URL, přičemž URL obsahuje příslušné parametry grafické a/nebo řídicí kompetenty autentizátoru; a URL se odešle na lokální rozhraní modulu grafických a řídicích primitiv (2) autentizátoru, které provede požadované akce a vrátí jim odpovídající data, která grafické uživatelské rozhraní prohlížeče (1) zobrazí.
  6. 6. Způsob podle kteréhokoliv z nároků 3 až 5, vyznačující se tím, že provázání datového kanálu (41) s autentizací uživatele se provede tak, že se při vytvoření datového kanálu (41) přenese certifikát poskytovatele (6) služeb nebo cílové webové aplikace (61) do modulu (4) datového kanálu, přičemž na straně poskytovatele (6) služeb je certifikát zahrnut do konfiguračních souborů ίο autentizačního serveru (63, 73); následně modul (4) datového kanálu předá certifikát nebo z něj odvozenou informaci autentizátoru (3), a certifikát nebo z něj odvozená informace se pak ověří v rámci autentizační komunikace (31).
CZ2020-271A 2020-05-14 2020-05-14 Programový systém a způsob autentizace CZ2020271A3 (cs)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CZ2020-271A CZ2020271A3 (cs) 2020-05-14 2020-05-14 Programový systém a způsob autentizace
PCT/CZ2021/050052 WO2021228293A1 (en) 2020-05-14 2021-05-13 Computer-implemented system and authentication method
EP21726845.7A EP4338390A1 (en) 2020-05-14 2021-05-13 Computer-implemented system and authentication method
US17/613,630 US11985118B2 (en) 2020-05-14 2021-05-13 Computer-implemented system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2020-271A CZ2020271A3 (cs) 2020-05-14 2020-05-14 Programový systém a způsob autentizace

Publications (1)

Publication Number Publication Date
CZ2020271A3 true CZ2020271A3 (cs) 2021-11-24

Family

ID=76034397

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2020-271A CZ2020271A3 (cs) 2020-05-14 2020-05-14 Programový systém a způsob autentizace

Country Status (4)

Country Link
US (1) US11985118B2 (cs)
EP (1) EP4338390A1 (cs)
CZ (1) CZ2020271A3 (cs)
WO (1) WO2021228293A1 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023011675A1 (en) 2021-08-04 2023-02-09 Aducid S.R.O. System and method for controlling access to target application

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009001197A2 (en) * 2007-06-22 2008-12-31 Gemalto S.A. A method of preventing web browser extensions from hijacking user information
US8677466B1 (en) * 2009-03-10 2014-03-18 Trend Micro Incorporated Verification of digital certificates used for encrypted computer communications
JP5569440B2 (ja) * 2011-03-11 2014-08-13 ブラザー工業株式会社 通信装置およびコンピュータプログラム
CZ2013373A3 (cs) 2013-05-22 2014-12-03 Anect A.S. Způsob autentizace bezpečného datového kanálu
US9654469B1 (en) * 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US20170109751A1 (en) * 2014-05-02 2017-04-20 Nok Nok Labs, Inc. System and method for carrying strong authentication events over different channels
CZ2015473A3 (cs) 2015-07-07 2017-02-08 Aducid S.R.O. Způsob zabezpečení autentizace při elektronické komunikaci
CN108029017B (zh) * 2015-09-15 2021-05-04 瑞典爱立信有限公司 通过受管理的公共WLAN接入进行安全wifi呼叫连接的方法
US10771971B2 (en) * 2017-10-18 2020-09-08 Samuel Salloum Secured multi-factor authentication
CZ2019221A3 (cs) 2019-04-08 2020-06-17 Aducid S.R.O. Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023011675A1 (en) 2021-08-04 2023-02-09 Aducid S.R.O. System and method for controlling access to target application

Also Published As

Publication number Publication date
US11985118B2 (en) 2024-05-14
US20220255921A1 (en) 2022-08-11
EP4338390A1 (en) 2024-03-20
WO2021228293A1 (en) 2021-11-18

Similar Documents

Publication Publication Date Title
US8532620B2 (en) Trusted mobile device based security
US7581099B2 (en) Secure object for convenient identification
EP3208732A1 (en) Method and system for authentication
EP2834959B1 (en) Secure authentication in a multi-party system
EP2404428B1 (en) A system and method for providing security in browser-based access to smart cards
US20100199086A1 (en) Network transaction verification and authentication
JP2018007039A (ja) 通信装置、通信方法、通信システムおよびプログラム
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
EP3507735B1 (en) Combined user authentication and device/application integrity check
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
Shah et al. Multi-factor Authentication as a Service
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP2016521029A (ja) セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法
CZ308358B6 (cs) Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identity
US11985118B2 (en) Computer-implemented system and authentication method
EP2200251A1 (en) System for web-site verification
KR101962349B1 (ko) 인증서 기반 통합 인증 방법
Urien et al. A new convergent identity system based on eap-tls smart cards
EP3582469B1 (en) Authentication using a mobile network operator system
EP4381691A1 (en) System and method for controlling access to target application
KR20150095255A (ko) 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법
EP3512231B1 (en) Method for providing an enhanced level of authentication related to distribution of a secure software client application; as well as corresponding system and computer program product.
EP2741461A1 (en) Method of allowing communication between a secure element and a server
Malone et al. Mobile Optimized Digital Identity (MODI): A framework for easier digital certificate use
Zúquete et al. Personal identification in the web using electronic identity cards and a personal identity provider