ES2224799B1 - Sistema de autenticacion mutua segura. - Google Patents
Sistema de autenticacion mutua segura.Info
- Publication number
- ES2224799B1 ES2224799B1 ES200201712A ES200201712A ES2224799B1 ES 2224799 B1 ES2224799 B1 ES 2224799B1 ES 200201712 A ES200201712 A ES 200201712A ES 200201712 A ES200201712 A ES 200201712A ES 2224799 B1 ES2224799 B1 ES 2224799B1
- Authority
- ES
- Spain
- Prior art keywords
- place
- network
- client
- authentication
- customer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
Sistema de autenticación mutua segura. Para una autenticación mutua segura, un cliente es autenticado en un primer lugar de la red. Se recibe una instrucción del cliente en el primer lugar de la red del que requiere ser transferido a un segundo lugar de la red. En el primer lugar de la red se genera un mensaje de autenticación para el cliente. El mensaje de autenticación está exento de información inteligible sobre el cliente. El mensaje de autenticación es transferido desde el primer lugar de la red al segundo lugar de la red para la autenticación del cliente por parte del segundo lugar de la red.
Description
Sistema de autenticación mutua segura.
La presente invención se refiere genéricamente a
la autenticación de usuarios de lugares de Internet, y más en
particular a compartir información de autenticación de forma segura
entre lugares de la red asociados.
Muchos lugares de la red Internet mantienen
información sobre sus clientes, incluyendo direcciones, números de
teléfono e incluso números de cuenta de tarjeta de crédito. Cada vez
más, las compañías se están incorporando a asociaciones entre
diferentes lugares para dar al usuario más posibilidades de elección
en un solo lugar que las que tendría si este lugar no estuviera
compartido con otro. Por ejemplo, el cliente de un banco podría
desear acceder a todas sus cuentas asociadas, tales como tarjetas de
crédito, talonarios, ahorros y certificados de depósitos. El banco,
sin embargo, puede que no sirva todas las cuentas del cliente. El
banco puede estar asociado con otra institución financiera para
gestionar algunas de las cuentas del cliente. Los usuarios que
desean acceder a su información guardada usualmente deben iniciar
la sesión con un nombre de usuario y una palabra clave, u otra
información de autenticación, en los lugares de la red de cada
institución.
Corrientemente, si un usuario se desplaza desde
un lugar que requiere autenticación a otro, el usuario debe iniciar
la sesión en el segundo lugar para tener acceso a la información
personal sobre las cuentas en el segundo lugar. Esto puede ser
frustrante para el usuario, que debe recordar múltiples
identificaciones de entrada y palabras clave para múltiples lugares.
Además, la espera para otro proceso de inicio de sesión interrumpe
el flujo de actividad del usuario. Cuando se debe compartir la
información del usuario, el hecho de compartir dicha información de
una forma segura es problemático, puesto que la seguridad puede
violarse, y mantener la información del cliente a través de los
diferentes lugares aumenta la complejidad de tal mantenimiento.
Se hace notar la falta de un sistema para
autenticar la identidad del cliente a través de lugares de red
compartidos de forma segura y sin fisuras para el cliente.
En un ejemplo de realización de la presente
invención, un cliente accede a múltiples lugares de la red, en los
que cada lugar de la red requiere típicamente que un cliente inicie
la sesión antes de permitírsele acceder a parte o a todo el lugar de
la red. Los lugares de la red pueden ser independientes entre sí
(por ejemplo, pertenecientes u operados por diferentes empresas). El
método de autenticación mutua es un protocolo que permite que el
usuario adelante o retroceda entre varios lugares de la red sin
tener que iniciar la sesión más que una vez. Los clientes sólo
inician la sesión y se autentican en el primer lugar de la red al
que acceden. El lugar de la red pasa la información de
autenticación al siguiente lugar de la red al que el cliente desee
acceder. El siguiente lugar de la red lee esta información de
autenticación y toma una decisión sobre si autorizar el acceso o no.
Salvo la primera vez en que se verifica la transacción de la
autenticación, al cliente no se le pide que inicie la sesión en el
siguiente lugar de la red.
En una realización de la presente invención, el
primer lugar de la red crea un seudónimo especial, único para cada
cliente, que identifica al cliente en los lugares de la red
asociados, pero que no contiene información sobre el cliente útil
para una fuente externa, tal como un pirata informático. El
seudónimo puede transferirse de un lugar de la red a otro con datos
anexados que en conjunto constituyen un mensaje de
autenticación.
El método de la invención incluye un método para
la autenticación mutua segura. El método comprende los pasos de:
autenticar un cliente en un primer lugar de la red; recibir una
instrucción del cliente en el primer lugar de la red requiriendo
ser transferido a un segundo lugar de la red; generar un mensaje de
autenticación para el cliente en el primer lugar de la red, estando
el mensaje de autenticación exento de información inteligible sobre
el cliente; y transferir el mensaje de autenticación desde el primer
lugar de la red al segundo lugar de la red para la autenticación del
cliente por este segundo lugar de la red. El método comprende además
el paso de autenticar al cliente en el segundo lugar de la red
usando el mensaje de autenticación generado por el primer lugar de
la red.
El método de la invención incluye otro método de
autenticación mutua segura. El método comprende los pasos de:
recibir en un segundo lugar de la red un mensaje de autenticación
para un cliente procedente de un primer lugar de la red, el cliente
previamente autenticado por el primer lugar de la red, el mensaje de
autenticación generado por el primer lugar de la red, el mensaje de
autenticación exento de información inteligible del cliente; y
autenticar al cliente en el segundo lugar de la red usando el
mensaje de autenticación generado en el primer lugar de la red. El
método comprende además el paso de solicitar al cliente el inicio de
sesión en el segundo lugar de la red cuando el cliente no ha
visitado previamente el segundo lugar de la red. El método
comprende adicionalmente el paso de retornar al cliente del segundo
lugar de la red al primer lugar de la red usando un localizador de
recursos uniforme sin autenticar ulteriormente por el primer lugar
de la red. El método comprende también el paso de generar el
mensaje de autenticación para el cliente en el primer lugar de la
red.
El sistema de la invención incluye un sistema
informático que incluye un medio legible por ordenador que tiene un
software para operar un ordenador según la invención.
El aparato de la invención incluye un ordenador
que incluye un medio legible por ordenador que tiene un software
para operar el ordenador según la invención.
El artículo fabricable de la invención incluye un
medio legible por ordenador que tiene software para operar un
ordenador según la presente invención.
Seguidamente se describen en detalle otras
características de la invención, así como la estructura y
funcionamiento de varias realizaciones de la invención, en relación
con los dibujos adjuntos.
Un "ordenador" se refiere a cualquier
aparato que es capaz de aceptar una entrada estructurada,
procesando la entrada estructurada conforme a reglas prescritas, y
producir los resultados del procesamiento como salida. Ejemplos de
ordenador incluyen: un ordenador; un ordenador de propósito general;
un superordenador; un ordenador central; un súper miniordenador; un
miniordenador; una estación de trabajo; un microordenador; un
servidor; una televisión interactiva; una combinación híbrida de un
ordenador y una televisión interactiva; y hardware de aplicación
específica para emular un ordenador y/o software. Un ordenador puede
tener un único procesador o múltiples procesadores, que trabajen en
paralelo y/o no en paralelo. Un ordenador también se refiere a dos ó
más ordenadores comunicados entre sí por medio de una red de
comunicaciones de transmisión o recepción de información entre los
ordenadores. Un ejemplo de tal ordenador incluye un sistema de
computación distribuido para el procesamiento de información por
medio de ordenadores unidos por una red de comunicaciones.
Un "medio legible por ordenador" se refiere
a cualquier dispositivo de almacenamiento usado para almacenar datos
accesibles por un ordenador. Ejemplos de un medio legible por un
ordenador incluyen: un disco duro magnético; un disco flexible; un
disco óptico, tal como un CD-ROM y un DVD; una cinta
magnética; un chip de memoria; y una onda portante usada para
transportar datos electrónicos legibles por ordenador, tal como los
usados para el envío y recepción de correo electrónico o en el
acceso a una red de comunicaciones.
"Software" se refiere a reglas prescritas
para operar un ordenador. Ejemplos de software incluyen: software;
segmentos de código; instrucciones; programas de ordenador; y
lógica programada.
Un "sistema informático" se refiere a un
sistema que tiene un ordenador, en el que el ordenador comprende un
medio legible por ordenador que incorpora software para operar el
ordenador.
Una "red de comunicaciones" se refiere a un
número de ordenadores y dispositivos asociados que están conectados
mediante dispositivos de comunicaciones. Una red de comunicaciones
implica conexiones permanentes tales como cables o conexiones
temporales tales como las efectuadas a través de telefonía u otras
uniones de comunicaciones. Ejemplos de una red de comunicaciones
incluyen: una red de redes externas interrelacionadas, tal como
Internet; una red de redes internas interrelacionadas; una red de
área local (LAN); una red de área amplia (WAN); y una combinación
de redes de comunicaciones, tal como una red de redes externas
interrelacionadas y una red de redes internas interrelacionadas.
Las anteriores y otras características y ventajas
de la invención se pondrán de manifiesto de la siguiente
descripción, más en particular, de una realización preferida de la
invención, ilustrada en los dibujos adjuntos. Los dígitos de más a
la izquierda en el correspondiente número de referencia indica el
dibujo en el que un elemento aparece por primera vez.
La Fig. 1 muestra un diagrama de flujo de un
ejemplo de realización de la presente invención;
La Fig. 2 ilustra un ejemplo de realización de un
mensaje de autenticación de acuerdo con la presente invención;
La Fig. 3 ilustra un ejemplo de realización de
datos autenticados de acuerdo con la presente invención;
La Fig. 4 ilustra un diagrama de flujo de
autenticación de un ejemplo de realización de la presente
invención;
La Fig. 5 ilustra una vista en planta de un
sistema informático para la invención; y
La Fig. 6 ilustra de forma general el proceso de
la invención.
Seguidamente se explica en detalle un ejemplo de
realización de la invención. Aunque se expliquen ejemplos de
realizaciones específicos, debe entenderse que ello se hace así con
meros fines de ilustración. Un experto en la técnica reconocerá que
se pueden usar otros componentes y configuraciones, sin salirse del
espíritu y el alcance de la invención. Las realizaciones y ejemplos
explicados aquí son ejemplos no limitativos.
La autenticación mutua es el proceso mediante el
cual se permite a un cliente acceder a múltiples lugares de la red
asociados compartiendo la información de la autenticación del
cliente entre estos lugares de la red, permitiendo una transacción
sin fisuras para el cliente. Los lugares de la red pueden ser
independientes unos de otros (por ejemplo, operados o poseídos por
empresas distintas). En un ejemplo de realización, los lugares
asociados se comunican por medio de un protocolo preestablecido que
minimiza los datos relativos al cliente que deben ser almacenados y
sincronizados entre los lugares. Este protocolo está definido como
parte del modelo de seguridad definido más adelante. El protocolo de
comunicación puede realizarse a medida para cada par de socios.
El sistema de la invención permite una
autenticación del cliente con menos comunicaciones entre lugares de
la red asociados. Un cliente puede solicitar la entrada en
cualquiera de los lugares y continuar sus transacciones sin tener
que solicitar entrada cuando se redirecciona a un lugar de la red
asociado.
El sistema de la invención proporciona una
identificación sola y única del cliente. La autenticación está
basada en la confianza y es "mutua". Un cliente solicita la
entrada en el primer lugar de la red y es autenticado. El segundo
lugar de la red confía en la autenticación efectuada por el primer
lugar de la red. Si el segundo lugar de la red devuelve al cliente
al primer lugar de la red o a otro lugar de la red asociado, el
cliente no es vuelto a autenticar, puesto que el lugar de la red de
llegada confía en el segundo lugar de la red. Este proceso puede
iniciarse en cualquiera de los lugares de la red asociados.
El proceso de la invención está ilustrado en
forma genérica en la Fig. 6. Por ejemplo, supóngase que los lugares
A y B son dos lugares de la red representando a dos empresas. Por
ejemplo, el lugar A podría ser un banco, y el lugar B podría ser
una compañía de tarjetas de crédito que sirve las necesidades en
tarjetas de crédito del banco. Un cliente puede realizar
transacciones de negocios con ambas empresas, las cuales comparten
los datos relativos al cliente. Ambas empresas tienen un acuerdo de
asociación para realizar operaciones que afecta a los datos del
cliente. Ambos lugares de la red pueden autenticar a un cliente
antes de permitir que el cliente realice operaciones en el lugar de
la red. Cuando el cliente realiza una operación en el lugar de la
red, y si el lugar A requiere transferir a este cliente al lugar B,
sólo el lugar A autentica al cliente. El lugar A pasa después la
información de autenticación al lugar B, de modo que la transacción
resulta sin fisuras para el cliente. Sin embargo, cuando el cliente
desea realizar operaciones en el lugar B que no forma parte de un
acuerdo de asociación, el cliente deberá seguir solicitando el
acceso a ambos lugares de la red por separado.
La Fig. 1 muestra un diagrama de flujos de un
ejemplo de realización de la presente invención. Al inicio del
proceso, el cliente solicita la entrada en un primer lugar de la
red (lugar A) en el paso 102. En el paso 104, mientras está en el
primer lugar de la red, el cliente selecciona una opción que
requiere ser transferida a un segundo lugar de la red asociado
(lugar B). El lugar A crea un mensaje de autenticación en el paso
106. En el paso 108, el lugar A transfiere seguidamente el mensaje
de autenticación al lugar B. En el paso 110, el lugar B lee y
descodifica el mensaje de autenticación. Si el cliente aún no ha
usado el lugar B en el paso 112, o si el cliente no ha utilizado aún
el dispositivo de autenticación mutua del lugar B, al cliente se le
pregunta si desea entrar en el lugar B e iniciar la sesión en el
paso 114. En el paso 116, el cliente entra en el lugar B.
Seguidamente, o si el cliente ya ha entrado o usado el lugar B, el
cliente es autenticado por el lugar B en el paso 118. El cliente es
autenticado usando el mensaje de autenticación preparado por el
lugar A. Finalmente, en el paso 120, el cliente ya está en aptitud
para acceder al lugar B y usarlo. Si el cliente decide volver al
lugar A (o a otro lugar de la red asociado asociado), ya no es
precisa ulterior autenticación del lugar B al lugar A. El cliente
puede retornar al lugar A por medio de un localizador de recursos
uniforme (URL) incluido con el mensaje de autenticación (véase Fig.
6).
La Fig. 2 ilustra un ejemplo de realización de un
mensaje de autenticación a partir del paso 106 según la presente
invención. El mensaje de autenticación puede incluir un
identificador de fuente 202, una marca de fecha/hora 204, un URL 206
opcional, y texto encriptado 208. El texto encriptado 208 puede
contener datos tales como un seudónimo del cliente 210, una clave
criptográfica 212, un identificador de transacción (ID) 214, y
datos autenticados 216.
El identificador de fuente 202 puede ser un
identificador de unidad organizacional de un grupo contenido en un
lugar de la red asociado emisor, que se usa a modo de un índice para
una base de datos que contiene el conjunto adecuado de claves
criptográficas par desencriptar el mensaje u otra información sobre
el asociado.
La marca de fecha/hora 204 es la fecha y/o la
hora de generación del mensaje de autenticación.
El URL opcional 206 es un URL para el primer
lugar de la red y puede usarse para devolver al cliente al primer
lugar de la red.
El mensaje de autenticación incluye una porción
no encriptada y una porción encriptada. La porción no encriptada
incluye el identificador de fuente 202, la fecha/hora 204 y el URL
de retorno 206. La porción encriptada 208 incluye el seudónimo del
cliente 210, la clave criptográfica 212, el ID de transacción 214 y
los datos autenticados 216. La verificación de la fuente del mensaje
puede realizarse con la porción no encriptada. Los intentos de
desencriptación se llevan a cabo mediante el lugar de la red
receptor una vez verificado el origen del mensaje. Este paso se
realiza en el paso 108, al recibir el mensaje de autenticación por
parte del lugar B. Debido al seudónimo 210 del cliente, la
encriptación no es tan esencial como en los sistemas de la técnica
anterior. Sin embargo, parte del mensaje puede encriptarse y
firmarse digitalmente. La clave criptográfica 212 puede ser una
clave pública o privada, dependiente de las normas del sector
industrial y de la forma de implementación de los acuerdos de
asociación entre los lugares asociados.
El seudónimo 210 del cliente es una cadena de
caracteres no inteligente que únicamente identifica al cliente para
un lugar de la red asociado concreto. El seudónimo por si solo esta
exento de cualquier tipo de información inteligente que lo relacione
retroactivamente al cliente y sólo tiene significado para los
lugares asociados, lo cual le aporta seguridad a la hora de ser
transmitido por Internet. En este contexto, "información
inteligente" se refiere a la información que tiene significado
independientemente del lugar de la red asociado a la misma. Por
ejemplo, el seudónimo no incluye información inteligente, tal como
pueda serlo un nombre de usuario, una palabra clave para el cliente,
o un número de cuenta del cliente, tal como el número de una
tarjeta de crédito o un número de cuenta bancario. Puesto que
solamente las entidades en las que se ha confiado que comparten los
datos del cliente tienen conocimiento acerca del seudónimo, el
seudónimo del cliente es seguro a efectos de su transmisión por
Internet. Un requisito importante del seudónimo es que el mismo no
está vinculado ni puede vincularse, excepto por el lugar A y el
lugar B, a ningún número de cuenta del cliente u otro dato único de
un cliente. El seudónimo debe ser único para un cliente concreto que
procede de un lugar concreto. En operación, el mismo seudónimo
podría generarse por diferentes lugares asociados y seguir siendo
válido.
En un ejemplo de realización, el seudónimo del
cliente 210 puede ser una cadena de caracteres alfanuméricos,
preferiblemente en número de 6 a 8, que está vinculada a un cliente
válido tanto para el lugar A como para el lugar B. El lugar A puede
generar un seudónimo único para cada cliente basado en un mecanismo
acordado por los lugares asociados. El seudónimo puede generase, por
ejemplo, mediante una selección aleatoria o método silencioso, en el
que se verifica la unicidad del valor generado. En una realización,
el seudónimo del cliente es creado a través de un proceso
unidireccional en lugar de encriptación. Una vez recibido el
seudónimo como parte del mensaje de autenticación, el mismo puede
utilizarse para recuperar la información del cliente en el lugar B.
Una vez se ha creado, el seudónimo de un cliente es permanente y no
tiene que volver a generarse en cada petición de entrada.
El ID de transacción 214 identifica la
transacción de transferencia del cliente al segundo lugar y puede
incluir el identificador de fuente 202, la marca de fecha/hora 204 y
el seudónimo 210 del cliente. En vez de usar el ID de transacción
214, el identificador de fuente 202, la marca de fecha/hora 204 y el
seudónimo 210 del cliente pueden ser utilizados conjuntamente como
un único identificador de transacción.
Los datos autenticados 216 son una información
adicional, que valida adicionalmente la autenticidad del mensaje. La
Fig. 3 ilustra un ejemplo de realización de datos autenticados 216
según la presente invención. Los datos autenticados 216 pueden
incluir una marca de fecha/hora 302, un URL de retorno opcional 304,
un seudónimo del cliente 306, un ID de transacción 308, y un nombre
de asociado 310. La marca de fecha/hora 302 es el mismo que la marca
de fecha/hora 204, el URL de retorno opcional es el mismo que el URL
de retomo opcional 206, el seudónimo del cliente 306 es el mismo que
el seudónimo del cliente 210, y el ID de transacción 308 es el mismo
que ID de transacción 214. El nombre del asociado 310 es el nombre
de la institución participante que generó los datos autenticados
216. En los datos autenticados 216 puede incluirse información de
otro tipo, tal como un asociado adicional o información relativa a
la cuenta.
En una realización, la autenticación mutua de un
cliente que va del lugar de la red A al lugar de la red B puede
efectuarse usando un proceso denominado POST, que es una instrucción
estándar HTTP bien conocida. El POST es el formato usado para el
mensaje de autenticación y puede transmitirse en una sesión (SSL)
asegurada mediante 128 bits. El POST puede contener el identificador
de fuente 202, la marca de fecha/hora 204, el URL de retorno
opcional 206, el seudónimo del cliente 210, y datos encriptados 208.
En el POST, el identificador de fuente 202 y la marca de fecha/hora
204 no están encriptados, puesto que el lugar B puede usar esta
información para determinar qué claves criptográficas son necesarias
para evaluar el mensaje.
Con el POST, los datos encriptados pueden usar,
por ejemplo, hasta tres juegos de claves, por ejemplo, una clave
pública (v.g., para la gestión de claves), una clave simétrica
(v.g., para la confidencialidad del mensaje) y una clave asimétrica
(v.g., para la autenticación del mensaje de firmas digitales). En un
ejemplo de realización, la clave pública puede usarse para
intercambiar claves simétricas y asimétricas entre sites asociados.
Las claves simétricas y asimétricas, por ejemplo, pueden
distribuirse con un tiempo de validez predeterminado. Por ejemplo,
una clave podría tener un año de validez, y otras claves podrían
tener un tiempo de validez de un mes. En un ejemplo de realización,
la clave simétrica puede encriptar cualquier información que no esté
en fuera de peligro y la clave asimétrica puede utilizarse para
firmar mensajes.
El lugar A firma digitalmente toda la información
presentada en el POST. La información encriptada es firmada con el
identificador de fuente 202 y la marca de fecha/hora 204. La firma
digital valida a un mínimo la marca de fecha/hora 204, el URL de
retorno 206 (caso de estar incluido en el POST), y el seudónimo del
cliente 210. Las firmas digitales son bien conocidas en la
técnica.
\newpage
Como ejemplo, el POST puede ser:
OU = <IdentificadorFuente>
DT = <Fechahora>
RT = <URLretorno> (un campo opcional)
ET = <TextoEncriptado>
en
donde
<TextoEncriptado>: =
[clave-simétrica](<id-transacción>,
<seudónimo>,
<DatosAutenticados>)
y
<DatosAutenticados>: =
[clave-asimétrica](<id-transacción>,
<nombre_asociado>, <fecha/hora>,
<URLRetorno>,
<seudónimo>)
En el POST, el IdentificadorFuente es el
identificador de fuente 202. fecha/hora es la marca de fecha/hora
204. URLRetorno es el retorno URL 206 y es opcional. TextoEncriptado
es información que está encriptada con una clave simétrica. De la
información encriptada, el id-transacción es el ID
de transacción 214 y seudónimo es el seudónimo del cliente 219.
DatosAutenticados es información que está encriptada con una clave
asimétrica. De los DatosAutenticados,
id-transacción es el ID de transacción 308,
nombre_asociado es el nombre del asociado 310, fecha/hora es la
marca de fecha/hora 302, URLRetorno es el URL de retorno 304 y es
opcional, y seudónimo es el seudónimo del cliente 306.
El cliente está autorizado para acceder al lugar
B desde el lugar A tras la verificación y aceptación de, al menos:
la firma del lugar A es válida; el par de seudónimos del cliente y
de marcas de fecha/hora no han sido usados previamente; y la marca
de fecha/hora está contenido dentro del límite de aceptable del
lugar B. El periodo de tiempo de aceptación puede ser modificado en
el sistema del lugar B. Estos pasos de verificación garantizan que
el mensaje procede de un asociado en el que se confía. Los pasos de
verificación también evitan que un intruso capture la transacción y
la vuelva a ejecutar para obtener el acceso al lugar seguro.
La Fig. 4 ilustra un diagrama de flujo del paso
de autenticación 118 de la Fig. 1 para un ejemplo de realización de
la presente invención. Cuando el lugar B recibe el mensaje de
autenticación del lugar A en el paso 402, el lugar B verifica que la
firma procedente del lugar A sea válida en el paso 404. Si la firma
no es válida, se deniega el acceso al lugar B en el paso 410. Si la
firma es válida, el lugar B verifica, en el paso 406, si el
seudónimo del cliente y la marca de fecha/hora han sido usados
antes. Si el seudónimo del cliente y la marca de fecha/hora han sido
usados antes, el mensaje de autenticación probablemente ha sido
duplicado, indicando que la seguridad de la transacción ha sido
violada. En el paso 410 el acceso es consiguientemente denegado. Si
el seudónimo del cliente y la marca de fecha/hora no han sido usados
antes, el lugar B verifica en el paso 408 que la marca de fecha/hora
esté dentro de los límites aceptables del lugar B, por ejemplo, 10
minutos. Una marca de fecha/hora que no esté dentro del límite
aceptable podría indicar que el cliente ha ido a otros lugares de la
red no asociados, o que un intruso ha capturado la transacción y
está intentando restablecer la transacción. Si la marca de
fecha/hora está dentro de los límites aceptables, el cliente es
autenticado en el lugar de la red B en el paso 412. En caso
contrario, el acceso es denegado en el paso 410, y el cliente debe
reintentar o autenticarse de otra manera.
La Fig. 5 ilustra una vista en planta de un
sistema informático para la implementación de un lugar de la red de
la invención. El sistema informático 500 incluye un ordenador 502
para la implementación de la invención. El ordenador 502 incluye un
medio legible por ordenador 504 que incorpora software para
implementar la invención y/o software para operar el ordenador 502
de acuerdo con la invención. El sistema informático 500 incluye una
conexión a una red de comunicaciones 506.
Aunque la invención se haya descrito para su uso
con Internet, con la invención pueden usarse otros tipos de redes de
comunicaciones, según apreciarán los expertos en la técnica. Si bien
la invención se ha descrito genéricamente para su uso con dos
lugares asociados, la invención puede usarse con múltiples lugares
asociados, según apreciarán los expertos en la técnica.
Las realizaciones y ejemplos explicados aquí son
ejemplos no limitativos.
Aunque en lo que antecede se han descrito varias
realizaciones de la presente invención, deberá entenderse que las
mismas han sido presentadas meramente a modo de ejemplo y no de
limitación. Así, la amplitud y el alcance de la presente invención
no debería limitarse en modo alguno a los ejemplos de realización
antes descritos, sino que por el contrario deben definirse sólo de
acuerdo con las siguientes reivindicaciones y sus equivalentes.
Claims (16)
1. Método para la autenticación mutua segura,
comprendiendo los pasos de:
autenticar un cliente en un primer lugar de la
red;
recibir una instrucción del cliente en el primer
lugar de la red del que requiere ser transferido a un segundo lugar
de la red;
generar un mensaje de autenticación para dicho
cliente en dicho primer lugar de la red, estando dicho mensaje de
autenticación exento de información inteligible sobre dicho cliente;
y
transferir dicho mensaje de autenticación desde
el primer lugar de la red a dicho segundo lugar de la red para la
autenticación del cliente por el segundo lugar de la red.
2. Método según la reivindicación 1, en el que el
paso de generar un mensaje de autenticación comprende incorporar un
seudónimo del cliente en dicho mensaje de autenticación, siendo
dicho seudónimo del cliente identificativo únicamente de dicho
cliente y exento de información inteligible sobre dicho cliente.
3. Método según la reivindicación 2, en el que
dicho paso de generar un mensaje de autenticación comprende además
generar aleatoriamente dicho seudónimo del cliente.
4. Método según la reivindicación 2, en el que
dicho paso de generar un mensaje de autenticación comprende además
incorporar en dicho mensaje de autenticación una marca de
fecha/hora, un nombre de asociado y un localizador de recursos
uniforme (URL) opcional con una dirección de retorno para dicho
primer lugar de la red.
5. Método según la reivindicación 1, en el que el
paso de generar un mensaje de autenticación comprende incorporar en
dicho mensaje de autenticación un identificador de fuente, una marca
de fecha/hora, un URL de retorno opcional, un seudónimo del cliente,
una clave criptográfica, una identificación de transacción y datos
autenticados para el primer lugar de la red.
6. Método según la reivindicación 5, en el que
dichos datos autenticados comprenden dicha marca de fecha/hora,
dicho URL de retorno opcional, dicho seudónimo del cliente, dicha
identificación de transacción y un nombre de asociado.
7. Método según la reivindicación 1, que
comprende además el paso de autenticar dicho cliente en dicho
segundo lugar de la red usando dicho mensaje de autenticación
generado por dicho primer lugar de la red.
8. Ordenador para la puesta en práctica del
método de la reivindicación 1.
9. Medio legible por ordenador que tiene software
para la puesta en práctica del método de la reivindicación 1.
10. Método para la autenticación mutua segura,
comprendiendo los pasos de:
recibir en un segundo lugar de la red un mensaje
de autenticación para un cliente procedente de un primer lugar de la
red, habiendo sido dicho cliente autenticado previamente por dicho
primer lugar de la red, dicho mensaje de autenticación generado por
dicho primer lugar de la red, dicho mensaje de autenticación exento
de información inteligible sobre dicho cliente; y
autenticar dicho cliente en dicho segundo lugar
de la red usando el mensaje de autenticación generado por dicho
primer lugar de la red.
11. Método según la reivindicación 10, en el que
el paso de autenticar dicho cliente en dicho segundo lugar de la
red se realiza cuando dicho cliente ha visitado previamente dicho
segundo lugar de la red, y comprendiendo además el paso de
preguntar a dicho cliente si desea entrar en dicho segundo lugar de
la red cuando dicho cliente no ha visitado previamente dicho
segundo lugar de la red.
12. Método según la reivindicación 10, en el que
dicho mensaje de autenticación comprende un localizador de recursos
uniforme (URL) con una dirección de retorno para dicho primer lugar
de la red, y comprendiendo además el paso de retornar dicho cliente
desde dicho segundo lugar de la red a dicho primer lugar de la red
usando dicho URL sin otra autenticación ulterior por parte de dicho
primer lugar de la red.
13. Método según la reivindicación 10,
comprendiendo además el paso de generar dicho mensaje de
autenticación para dicho cliente en dicho primer lugar de la
red.
14. Ordenador para la puesta en práctica del
método de la reivindicación 10.
15.Medio legible por ordenador que tiene software
para la puesta en práctica del método de la reivindicación 10.
16. Sistema informático de autenticación mutua
segura, comprendiendo un primer lugar de la red y un segundo lugar
de la red;
estando dicho primer lugar de la red adaptado
para autenticar un cliente, recibir una instrucción de dicho cliente
de que requiere ser transferido a dicho segundo lugar de la red,
generar un mensaje de autenticación, y transferir dicho mensaje de
autenticación desde dicho primer lugar de la red a dicho segundo
lugar de la red, estando dicho mensaje de autenticación exento de
información inteligible sobre dicho cliente; y
estando dicho segundo lugar de la red adaptado
para recibir dicho mensaje de autenticación para dicho cliente
procedente de dicho primer lugar de la red y autenticar dicho
cliente usando dicho mensaje de autenticación generado por dicho
primer lugar de la red.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/043,879 US20030135734A1 (en) | 2002-01-14 | 2002-01-14 | Secure mutual authentication system |
USS.N.10/043879 | 2002-01-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
ES2224799A1 ES2224799A1 (es) | 2005-03-01 |
ES2224799B1 true ES2224799B1 (es) | 2006-05-16 |
Family
ID=21929363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES200201712A Expired - Fee Related ES2224799B1 (es) | 2002-01-14 | 2002-07-22 | Sistema de autenticacion mutua segura. |
Country Status (7)
Country | Link |
---|---|
US (1) | US20030135734A1 (es) |
CA (1) | CA2381108A1 (es) |
DE (1) | DE10221665A1 (es) |
ES (1) | ES2224799B1 (es) |
GB (1) | GB2384069B (es) |
IT (1) | ITMI20021403A1 (es) |
PT (1) | PT102798A (es) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040078225A1 (en) * | 2002-03-18 | 2004-04-22 | Merck & Co., Inc. | Computer assisted and/or implemented process and system for managing and/or providing continuing healthcare education status and activities |
US20040083386A1 (en) * | 2002-10-28 | 2004-04-29 | Bertrand Marquet | Non-repudiable distributed security policy synchronization |
US7992195B2 (en) * | 2003-03-26 | 2011-08-02 | International Business Machines Corporation | Efficient browser-based identity management providing personal control and anonymity |
KR20050007830A (ko) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | 기기간 컨텐츠 교환을 위한 도메인 인증 방법 |
US7562218B2 (en) * | 2004-08-17 | 2009-07-14 | Research In Motion Limited | Method, system and device for authenticating a user |
EP1641208B1 (en) * | 2004-09-22 | 2011-11-09 | Research In Motion Limited | Apparatus and Method for Integrating Authentication Protocols in the Establishment of Connections between Computing Devices |
US7469291B2 (en) * | 2004-09-22 | 2008-12-23 | Research In Motion Limited | Apparatus and method for integrating authentication protocols in the establishment of connections between computing devices |
JP4902981B2 (ja) * | 2004-10-05 | 2012-03-21 | 株式会社リコー | サービス提供システム及びサービス提供方法 |
CN100447799C (zh) * | 2004-10-05 | 2008-12-31 | 株式会社理光 | 信息处理装置、服务提供服务器、系统和方法 |
US7561551B2 (en) * | 2006-04-25 | 2009-07-14 | Motorola, Inc. | Method and system for propagating mutual authentication data in wireless communication networks |
US8862881B2 (en) | 2006-05-30 | 2014-10-14 | Motorola Solutions, Inc. | Method and system for mutual authentication of wireless communication network nodes |
US8549298B2 (en) * | 2008-02-29 | 2013-10-01 | Microsoft Corporation | Secure online service provider communication |
US8239927B2 (en) * | 2008-02-29 | 2012-08-07 | Microsoft Corporation | Authentication ticket validation |
US8571937B2 (en) | 2010-10-20 | 2013-10-29 | Playspan Inc. | Dynamic payment optimization apparatuses, methods and systems |
US20120209735A1 (en) * | 2010-10-20 | 2012-08-16 | Peruvemba Subramanian | Federated third-party authentication apparatuses, methods and systems |
US10438176B2 (en) | 2011-07-17 | 2019-10-08 | Visa International Service Association | Multiple merchant payment processor platform apparatuses, methods and systems |
US10318941B2 (en) | 2011-12-13 | 2019-06-11 | Visa International Service Association | Payment platform interface widget generation apparatuses, methods and systems |
WO2013090611A2 (en) * | 2011-12-13 | 2013-06-20 | Visa International Service Association | Dynamic widget generator apparatuses, methods and systems |
CN105592011B (zh) * | 2014-10-23 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 一种账号登录方法及装置 |
US11216468B2 (en) | 2015-02-08 | 2022-01-04 | Visa International Service Association | Converged merchant processing apparatuses, methods and systems |
CN106936759A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种单点登录方法、服务器及客户端 |
US11736481B2 (en) | 2019-04-05 | 2023-08-22 | Adp, Inc. | Friction-less identity proofing during employee self-service registration |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5491750A (en) * | 1993-12-30 | 1996-02-13 | International Business Machines Corporation | Method and apparatus for three-party entity authentication and key distribution using message authentication codes |
US5708780A (en) * | 1995-06-07 | 1998-01-13 | Open Market, Inc. | Internet server access control and monitoring systems |
US6006333A (en) * | 1996-03-13 | 1999-12-21 | Sun Microsystems, Inc. | Password helper using a client-side master password which automatically presents the appropriate server-side password to a particular remote server |
JP3153482B2 (ja) * | 1996-11-19 | 2001-04-09 | 旭光学工業株式会社 | 一眼レフカメラのプレビュー装置 |
US5875296A (en) * | 1997-01-28 | 1999-02-23 | International Business Machines Corporation | Distributed file system web server user authentication with cookies |
US5944824A (en) * | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
US6070245A (en) * | 1997-11-25 | 2000-05-30 | International Business Machines Corporation | Application interface method and system for encryption control |
US6178511B1 (en) * | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
US6205480B1 (en) * | 1998-08-19 | 2001-03-20 | Computer Associates Think, Inc. | System and method for web server user authentication |
US6421768B1 (en) * | 1999-05-04 | 2002-07-16 | First Data Corporation | Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
US7188181B1 (en) * | 1999-06-30 | 2007-03-06 | Sun Microsystems, Inc. | Universal session sharing |
US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
ATE345002T1 (de) * | 1999-09-24 | 2006-11-15 | Citicorp Dev Ct Inc | Verfahren und vorrichtung für authentifizierten zugang zu einer mehrzahl von netzbetreibern durch eine einzige anmeldung |
DE60130037T2 (de) * | 2000-11-09 | 2008-05-08 | International Business Machines Corp. | Verfahren und system zur web-basierten cross-domain berechtigung mit einmaliger anmeldung |
-
2002
- 2002-01-14 US US10/043,879 patent/US20030135734A1/en not_active Abandoned
- 2002-04-10 CA CA002381108A patent/CA2381108A1/en not_active Abandoned
- 2002-04-12 GB GB0208425A patent/GB2384069B/en not_active Expired - Fee Related
- 2002-05-16 DE DE10221665A patent/DE10221665A1/de not_active Ceased
- 2002-06-25 IT IT2002MI001403A patent/ITMI20021403A1/it unknown
- 2002-06-27 PT PT102798A patent/PT102798A/pt not_active IP Right Cessation
- 2002-07-22 ES ES200201712A patent/ES2224799B1/es not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
ITMI20021403A0 (it) | 2002-06-25 |
DE10221665A1 (de) | 2003-07-31 |
PT102798A (pt) | 2003-07-31 |
GB2384069B (en) | 2004-08-25 |
CA2381108A1 (en) | 2003-07-14 |
GB2384069A (en) | 2003-07-16 |
ES2224799A1 (es) | 2005-03-01 |
GB0208425D0 (en) | 2002-05-22 |
US20030135734A1 (en) | 2003-07-17 |
ITMI20021403A1 (it) | 2003-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2224799B1 (es) | Sistema de autenticacion mutua segura. | |
US20240127234A1 (en) | Method and system for zero-knowledge and identity based key management for decentralized applications | |
Li et al. | Efficient and privacy-preserving carpooling using blockchain-assisted vehicular fog computing | |
CA2551113C (en) | Authentication system for networked computer applications | |
JP4744785B2 (ja) | セッションキー・セキュリティプロトコル | |
EP1391073B1 (en) | Method and system for increasing security of a secure connection | |
US8843415B2 (en) | Secure software service systems and methods | |
EP2984782B1 (en) | Method and system for accessing device by a user | |
Oppliger | Microsoft. net passport: A security analysis | |
US20080235513A1 (en) | Three Party Authentication | |
EP1249983A2 (en) | Methods and arrangements for protecting information in forwarded authentication messages | |
US20090187980A1 (en) | Method of authenticating, authorizing, encrypting and decrypting via mobile service | |
US20210006548A1 (en) | Method for authorizing access and apparatus using the method | |
TW200818838A (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
JP2005509938A (ja) | オペレーティング・システムの機能を用いて相互呼掛け応答認証プロトコルを実施する方法、機器およびコンピュータ・プログラム | |
JPH1185890A (ja) | 金融機関サーバ及びクライアントウェブブラウザ用セキュリティシステム及び方法 | |
MXPA04007547A (es) | Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion. | |
JP2000029973A (ja) | ロック・ボックス機構、電子入札方法およびセキュリティ提供方法 | |
TWI648679B (zh) | 使用區塊鏈之證照發行管理系統與方法 | |
Li et al. | Securing offline delivery services by using Kerberos authentication | |
JP4807944B2 (ja) | 秘密認証データの知識を必要としないチャレンジ−ベースの認証 | |
Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
WO2019016222A1 (en) | LOCAL AUTHORIZATION DECISION METHOD | |
CN108234136B (zh) | 一种安全访问方法、终端设备及系统 | |
Khaleel | Review of Network Authentication Based on Kerberos Protocol. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
EC2A | Search report published |
Date of ref document: 20050301 Kind code of ref document: A1 |
|
FG2A | Definitive protection |
Ref document number: 2224799B1 Country of ref document: ES |
|
FD1A | Patent lapsed |
Effective date: 20100315 |