ES2264853B1 - Sistema y metodo de asercion de identidades en una red de telecomunicaciones. - Google Patents
Sistema y metodo de asercion de identidades en una red de telecomunicaciones. Download PDFInfo
- Publication number
- ES2264853B1 ES2264853B1 ES200401544A ES200401544A ES2264853B1 ES 2264853 B1 ES2264853 B1 ES 2264853B1 ES 200401544 A ES200401544 A ES 200401544A ES 200401544 A ES200401544 A ES 200401544A ES 2264853 B1 ES2264853 B1 ES 2264853B1
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- user
- node
- request
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Abstract
El método y sistema de aserción de identidades en una red de telecomunicaciones se basa en un nodo de aserción de identidad (500) que recibe peticiones de autenticación (1) de usuarios (100) desde entidades (200) que ofrecen servicios. Al recibir una petición de autenticación, el nodo de aserción de identidad consulta una base de datos (503) para determinar si el usuario ya ha sido autenticado (con un nivel de seguridad A/B/C suficiente) en la misma sesión, y: a) si el usuario (100) ya ha sido autenticado durante dicha sesión, el nodo de aserción de identidad envía una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y: b) si el usuario (100) no ha sido autenticado durante dicha sesión, el nodo de aserción de identidad dirige una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones.
Description
Sistema y método de aserción de identidades en
una red de telecomunicaciones.
La invención se engloba en el campo de las
telecomunicaciones.
Originalmente, en las telecomunicaciones, el
control de la identidad de un usuario estaba principalmente
relacionado con la relación entre el usuario y el operador de la red
de telecomunicaciones, por ejemplo, para poder asegurar que los
gastos incurridos debido a la actividad del usuario en la red
(principalmente, llamadas telefónicas) pudieran ser correctamente
cargados a la cuenta del usuario, de una manera segura y de manera
que estuviera clara la autenticidad del usuario, esto con el fin de
evitar acciones fraudulentas. Es decir, era importante que el
operador de la red pudiera verificar la autenticidad del usuario. En
las redes de telefonía móvil, tales como las redes GSM (Global
System for Mobile Communication) y UMTS (Universal Mobile
Telecommunications System, también llamado "Tercera Generación de
Telefonía Móvil") existen mecanismos avanzados de autenticación
del usuario ante la red. La red GSM autentifica la identidad del
abonado utilizando un mecanismo de
"desafio-respuesta" que es disparado por la
introducción por parte del usuario del código PIN. Se envía a la
estación móvil un número aleatorio de 128 bits (denominado RAND). La
estación móvil calcula la respuesta firmada de 32 bits (denominada
SRES, "Signed Response") basándose en el cifrado del número
aleatorio (RAND) con el algoritmo de autenticación (denominado A3)
utilizando la clave individual de autenticación de abonado (Ki). Al
recibir del abonado la respuesta firmada (SRES), la red GSM repite
el cálculo para verificar la identidad del abonado. Si el SRES
recibido coincide con el valor calculado, la estación móvil ha sido
autentificada con éxito y puede continuar la conexión. Si los
valores no coinciden, la conexión se termina y se indica un fallo de
autenticación a la estación móvil.
Con la emergencia de los servicios de datos como
el acceso al portal de una empresa operadora de telefonía móvil, la
navegación por internet o las mensajerías avanzadas como Multimedia
Messaging System (MMS) o Instant Messaging (chat) en las nuevas
redes de telecomunicaciones, ha surgido la necesidad de gestionar
correctamente la identidad de los usuarios en un entorno más
complejo y en el que participan diferentes entidades. Es decir, ya
no se trata sólo de autenticar el usuario ante la red de
telecomunicaciones como tal (es decir, por ejemplo, autenticar el
usuario ante su red HPLMN -"Home Public Land Mobile Network",
red de telefonía móvil a la que pertenece un usuario- cuando el
usuario intenta acceder a la red), sino también de permitir que el
usuario pueda autenticarse ante diferentes entidades o nodos de la
red, por ejemplo, ante entidades que ofrecen determinados servicios
a los que desea acceder el usuario, a través de una red de
telecomunicaciones.
El modo tradicional para efectuar una
autenticación de usuario ante un proveedor de servicio ha sido la
presentación por parte del usuario de unas credenciales de
identidad y su posterior verificación por parte del proveedor de
servicio. Así el usuario afirma ser Usuario U y lo demuestra
presentando unas credenciales que sólo él podría presentar. Estas
credenciales pueden variar según aumenta el nivel de seguridad
desde algo que sólo Usuario U conozca, como una contraseña,
pasando por algo que sólo Usuario U pueda poseer, como una
tarjeta especial que calcula números aleatorios o unas llaves
digitales conectadas al PC, hasta algo que sólo Usuario U
pueda ser, como por ejemplo el poseedor de sus huellas digitales o
su ADN.
La figura 1 refleja un proceso de este tipo, de
acuerdo con el estado de la técnica, en el que el usuario 100 se
autentica ante el servicio 200, mediante un proceso que comprende
los siguientes pasos:
0: "Petición de servicio": el usuario 100
envía una petición de servicio a la entidad 200 que ofrece el
servicio (que puede ser un servicio representado por una dirección
en Internet o por un número de teléfono al que hay que enviar la
petición; en este contexto, los términos "servicio" y
"entidad" se deben interpretar de forma amplia, por ejemplo,
la "entidad" no tiene que ser una persona jurídica o física
sino cualquier "entidad" que puede ofrecer un servicio y que
puede realizar las gestiones necesarias en cada caso, por ejemplo,
según las circunstancias, verificar la identidad del usuario,
facturar el servicio, etc.; por ejemplo, un mismo banco puede
comprender una pluralidad de "entidades" que cada una ofrece
un determinado servicio a los clientes del banco).
2: "Petición de credenciales": la entidad
200 contesta al usuario con una petición de credenciales, por
ejemplo, de un fichero que puede ser utilizado para autenticar el
usuario, es decir, para que la entidad 200 pueda comprobar que el
usuario es el que dice ser. El método de autenticación deseado, y
por tanto el nivel de seguridad de las credenciales, depende del
servicio requerido y consecuentemente lo determina la entidad o
proveedor del servicio. Existen muchas maneras de definir un nivel
de seguridad; por ejemplo, un nivel de seguridad se puede definir
con referencia a un método de autenticación o a un grupo de métodos
de autenticación, considerados como "suficientemente seguros"
por el proveedor del servicio (véase, por ejemplo,
WO-A-03/100544 que, entre otras
cosas, describe la selección de uno o más perfiles de seguridad por
parte de un proveedor de servicio).
3: "Presentación de credenciales": el
usuario contesta a la petición, enviando sus credenciales. Este
paso puede incluir la introducción manual, por parte del usuario,
de una clave secreta (PIN).
4: "Autenticación": en este caso, la propia
entidad 200 comprueba, utilizando las credenciales recibidas, que
el usuario 100 es el que dice ser.
6: "Respuesta al usuario": la entidad 200
comunica al usuario 100 el resultado de la autenticación y, si el
resultado es positivo, sigue adelante con la prestación del
servicio.
Puede ocurrir que un usuario, durante una o
varias sesiones en la red, tiene que interactuar con varias
entidades, por ejemplo con una compañía aérea para reservar un
vuelo, con una empresa de alquiler de coches para solicitar un
automóvil en el aeropuerto de destino y finalmente con un hotel
donde poder alojarse durante la estancia. Ahora bien, si el usuario
tuviera que llevar a cabo un proceso de autenticación completo cada
vez que empieza a interactuar con una nueva entidad, por ejemplo,
introduciendo información de identidad, palabras clave (por ejemplo,
su PIN) cada vez que pasa, por ejemplo, de la compañía aérea a la
empresa de alquiler o al hotel, la realización de gestiones
complejas, que implican un intercambio de datos con varias
entidades a través de la red de telecomunicaciones, puede resultar
tremendamente tediosa para el usuario.
Por ello, ha aparecido una figura comúnmente
conocida como el "Proveedor de Identidad" (por ejemplo,
implementado con una tecnología específica como, por ejemplo,
Liberty Alliance®) y que suele constituir un nodo de la red de
telecomunicaciones. La misión principal del Proveedor de Identidad
consiste en permitir el discurrir fluido del usuario entre
distintos servicios, sin tener que introducir su información de
identidad cada vez que entra en contacto con una nueva entidad.
Cuando el usuario inicia la sesión e intenta
acceder por primera vez a un servicio, el usuario es en primer
lugar autenticado en el Proveedor de Identidad; posteriormente el
usuario puede acceder al servicio originario. La figura 2 ilustra,
esquemáticamente, este proceso (los pasos análogos a los de la
figura 1 mantienen las mismas referencias numéricas):
0: "Petición de servicio": el usuario 100
envía una petición de servicio a la entidad 200.
1: "Petición de autenticación": la entidad
200 envía una petición de autenticación a un Proveedor de Identidad
300, especificando el nivel de seguridad requerido para la
prestación de su servicio.
2: "Petición de credenciales": en este
caso, el Proveedor de Identidad 300 (y no la entidad 200 que ofrece
el servicio) contesta con un envío, al usuario 100, de una petición
de credenciales.
3: "Presentación de credenciales": el
usuario contesta a la petición, enviando sus credenciales al
Proveedor de Identidad 300 (es decir, en este caso, la entidad 200
no tiene que intervenir en los pasos 2 y 3).
4: "Autenticación": en este caso, el
Proveedor de Identidad 300 comprueba, utilizando las credenciales
recibidas, que el usuario 100 es el que dice ser. También comprueba
que las credenciales recibidas cumplen el nivel de seguridad
requerido por la entidad 200.
5: "Respuesta de autenticación": el
Proveedor de Identidad 300 comunica el resultado de la
autenticación a la entidad 200, por ejemplo, confirmando que el
usuario 100 es el que dice que es.
6: "Respuesta al usuario": la entidad 200
comunica al usuario 100 el resultado de la autenticación y, si el
resultado es positivo, sigue adelante con la prestación del
servicio.
En los subsiguientes accesos a otros servicios,
como al sitio de la agencia de viajes o de alquiler de coches, los
pasos 2 y 3 de la figura anterior ya no son necesarios, dado que el
Proveedor de Identidad mantiene la sesión activa para un nivel de
seguridad dado. De esta manera, el usuario puede acceder a otros
servicios sin tener que introducir sus credenciales de nuevo, tal y
como se ilustra en la figura 3, en la que el usuario 100, después
de haber sido autenticado ante la entidad (servicio) 200 de acuerdo
con el proceso de la figura 2, envía una petición de servicio (0) a
la entidad (servicio) 201, que a su vez dirige la petición de
autenticación (1) al Proveedor de Identidad 300. En este caso, el
Proveedor de Identidad no tiene que solicitar credenciales al
usuario, sino que, siempre que el nivel de seguridad requerido por
el nuevo servicio sea igual o inferior a los previamente
satisfechos (de ser superior habría que volver a autenticar al
usuario solicitándole credenciales del nivel requerido), reutiliza
la sesión de usuario que se encuentra activa, y responde con una
respuesta de autenticación (5) sin necesidad de interrogar al
usuario. Así el proveedor de servicio 201 puede responder (6) a la
petición de servicio (0) del usuario de manera directa, sin que el
usuario se vea involucrado en un proceso de autenticación.
De este modo se evita al usuario la
inconveniencia de tener que ir introduciendo las credenciales en
cada entidad proveedor de servicios visitada en una misma sesión.
Además no tendrá que recordar múltiples credenciales (i.e. nombre de
usuario/contraseña) pues ya sólo necesita autenticarse frente al
Proveedor de Identidad, y se disminuye el riesgo de que al apuntar
las credenciales las extravíe. Esto aplica del mismo modo a
servicios móviles.
WO-A-03/100544
(que ya se ha mencionado más arriba),
WO-A-03/085925 y
US-A-2003/0149781 describen
diferentes sistemas que incluyen Proveedores de Identidad.
En el estado de la técnica, la función del
Proveedor de Identidad, tal y como está implementado en, por
ejemplo, Liberty Alliance®, es doble. Por un lado, tal y como se ha
descrito más arriba, el Proveedor de Identidad se encarga de
verificar la identidad del usuario, utilizando cualquiera de los
métodos de autenticación disponibles y implementados en el
Proveedor de Identidad. Por otro lado, el Proveedor de Identidad
pone esta verificación de la identidad a disposición de aquellos
otros nodos o entidades que tengan permiso para acceder a ella,
especificando mediante una aserción de identidad el modo en que se
obtuvo mediante credenciales y haciéndose responsable de ella. Así
las distintas entidades o nodos (por ejemplo, entidades que ofrecen
servicios a los que quiere acceder el usuario) pueden solicitar la
aserción de identidad del usuario al Proveedor de Identidad en lugar
de hacerlo directamente al usuario mediante una solicitud de
presentación de credenciales, de manera que la autenticación del
usuario ante nuevas entidades puede realizarse sin representar una
carga para el usuario y para su equipo (por ejemplo, un equipo de
telefonía móvil constituido por un terminal y por una tarjeta
SIM/USIM).
En las tecnologías de gestión de identidad
conocidas, tales como Liberty Alliance®, estas dos funciones (a
saber: la autenticación inicial del usuario ante el Proveedor de
Identidad por una parte; y la posterior transmisión de aserciones de
identidad del usuario a otras entidades, a través del Proveedor de
Identidad) aparecen fusionadas en un único nodo y sin posibilidad
de separarlas. Sin embargo, esto plantea problemas en un entorno
móvil, ya que un operador de telefonía móvil, que contempla la
posibilidad de instalar un Proveedor de Identidad, ya tiene a su
disposición muy variados métodos de autenticación del usuario, cada
uno residiendo en diferentes nodos de la red. Por ejemplo, en una
red GSM, el HLR ("Home Location Register" - registro maestro de
abonados para su localización) se encarga tradicionalmente de la
autenticación GSM, mientras que el GGSN (Gateway GPRS Support Node:
la frontera entre el mundo de paquetes por radio -GPRS- y el mundo
de paquetes por cable -internet-) gestiona el acceso ala red GPRS
(General Packet Radio Service: servicio de datos en modo paquete
superpuesto sobre la infraestructura de las redes GSM). También
pueden existir otros mecanismos de autenticación, por ejemplo,
sistemas de autenticación biométrica, basados en la voz o en las
huellas dactilares, y que pueden residir en diferentes nodos de la
red de telecomunicaciones. Todos estos nodos podrán tener unas
características determinadas en cuanto a facilidad de uso y nivel de
seguridad ofrecido, lo que les hace complementarios en su
funcionalidad.
Por lo tanto, a un operador de una red de
telefonía móvil le puede interesar separar las dos funciones del
Proveedor de Identidad arriba mencionadas, de tal modo que se
disponga, por una parte, de un "Proveedor de Aserciones" o
"Nodo de Aserción de Identidad" y, por otra parte, de uno o
varios Nodos de Autenticación (NA), los cuales pueden consistir en
nodos de autenticación ya existentes en la red de telefonía móvil.
De esta manera, para una adecuada gestión de identidades que cumpla
con los propósitos expuestos más arriba, el operador de la red de
telefonía móvil puede aprovechar Nodos de Autenticación ya
existentes en su red (o nuevos Nodos de Autenticación expresamente
introducidos en la red para la gestión de identidades), y sólo
añadir el "Nodo de Aserción de Identidad", un nodo que
delegaría la autenticación del usuario a uno de los Nodos de
Autenticación y posteriormente se responsabiliza de la transmisión
de credenciales de identidad a los nodos o entidades que las
solicitan y que tienen permiso para obtenerlas.
Por supuesto, en esta situación distribuida es
crucial que el "Nodo de Aserción de Identidad" y el o los
Nodos de Autenticación se comuniquen correctamente.
Un primer aspecto de la invención se refiere a
un sistema de aserción de identidades en una red de
telecomunicaciones, incluyendo la red de telecomunicaciones, al
menos, un nodo de autenticación de un usuario ante la red (por
ejemplo, un nodo de autenticación convencional, del tipo de los que
ya existen en muchas redes de telecomunicaciones), estando dicho,
al menos un, nodo de autenticación configurado para realizar un
proceso de autenticación de la identidad del usuario a partir de
credenciales electrónicas facilitadas por el usuario y para generar
un respuesta positiva o negativa en función de un resultado de dicho
proceso de autenticación.
El sistema de aserción de identidades comprende
un nodo de aserción de identidad que comprende:
medios de recepción de peticiones de
autenticación de usuarios, desde entidades que solicitan
autenticación de usuarios; y
medios de comprobación de autenticación como
respuesta a una petición de autenticación.
De acuerdo con la invención, dichos medios de
comprobación de autenticación están configurados para
- determinar, mediante una consulta a una base
de datos, si el usuario ya ha sido autenticado en una anterior
ocasión durante una misma sesión de comunicaciones establecida por
el usuario y,
a) si dichos medios de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
ya ha sido autenticado en una anterior ocasión durante dicha
sesión, enviar una respuesta ("positiva") de autenticación a la
entidad que solicitó la autenticación del usuario, y
b) si dichos medios de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
no ha sido autenticado en una anterior ocasión durante dicha
sesión, dirigir una solicitud de autenticación a un nodo de
autenticación de la red de telecomunicaciones;
estando los medios de comprobación de
autenticación configurados para recibir una respuesta a la
solicitud de autenticación, desde el nodo de autenticación, y de
remitir una respuesta de autenticación a la entidad que solicitó la
autenticación del usuario, de acuerdo con dicha respuesta a la
solicitud de autenticación.
De esta manera, se puede aprovechar toda la
infraestructura de autenticación que ya existe en la red y sólo
añadir los nodos de aserción de identidad, que se pueden diseñar de
una forma sustancialmente independiente de los nodos de
autenticación y que no tienen que incluir medios de autenticación
propiamente dichos. Esto puede simplificar sustancialmente la
creación de los nodos de aserción de identidad, a la vez que se
permite aprovechar, de forma fácil, nuevos recursos de
autenticación que se vaya incorporando a la red, sin necesidad de
incorporar dichos recursos en los propios nodos de aserción de
identidad. Por ejemplo, si se incorporan a la red nuevos recursos o
nodos de autenticación con niveles de seguridad superiores a los
que antes existían, los nodos de aserción pueden dirigirse a ellos
cuando reciben peticiones de autenticación que requieren dichos
niveles de seguridad, sin que los propios nodos de aserción de
identidad tengan que alojar los nuevos recursos de
autenticación.
La base de datos puede incluir un listado de
sesiones abiertas, una indicación de un usuario para cada sesión, y
una indicación de un estado de autenticación de dicho usuario en
dicha sesión. De esta manera, el nodo de aserción puede, en cada
caso, determinar si es necesario o no dirigir una solicitud de
autenticación a un nodo de autenticación.
La indicación de un estado de autenticación
puede incluir una indicación de, al menos, un nivel de seguridad
correspondiente a un nivel de seguridad con el que se ha realizado
un proceso de autenticación del usuario durante dicha sesión. De
esta manera, si el nodo de aserción recibe una petición de
autenticación indicando un nivel de seguridad determinado (o un
nivel de seguridad mínimo exigido), el nodo de aserción puede
comprobar si el eventual proceso de autenticación del usuario
realizado durante la sesión corresponde a dicho nivel de seguridad
determinado (o a uno superior). De esta forma, el nodo de aserción
sólo tiene que solicitar una "nueva" autenticación a un nodo
de autenticación si la nueva petición de autenticación requiere una
autenticación con un nivel de seguridad superior al nivel de
seguridad (o a uno de los niveles de seguridad) que
consta(n) en la base de datos.
La red de telecomunicaciones puede incluir una
pluralidad de nodos de autenticación, estando cada nodo de
autenticación configurado para realizar procesos de autenticación
con, al menos, un nivel de seguridad, estando al menos un nodo de
autenticación configurado para realizar procesos de autenticación
con un nivel de seguridad diferente al nivel de seguridad del
proceso de autenticación de otro nodo de autenticación, incluyendo
la petición de autenticación una indicación de un nivel de
seguridad deseado, estando el nodo de aserción de identidad
configurado de manera que los medios de comprobación dirijan una
solicitud de autenticación a un nodo de autenticación seleccionado
entre la pluralidad de nodos de autenticación disponibles, en
función del nivel de seguridad deseado. Esto permite optimizar el
uso de los recursos en la red, ya que en cada caso se puede
recurrir a un nodo de autenticación o a otro, en función del nivel
de seguridad que se necesita (y del tipo de credenciales que puede
aportar el usuario).
Pueden existir varios de niveles de seguridad, y
las peticiones pueden incluir una indicación de un nivel de
seguridad deseado; en estos casos, los medios de comprobación de
autenticación como respuesta a una petición de autenticación pueden
estar configurados para
- determinar mediante una consulta a una base de
datos si el usuario ya ha sido autenticado con dicho nivel de
seguridad en una anterior ocasión durante una misma sesión y,
a) si dichos medios de comprobación determinan,
mediante dicha consulta, que el usuario ya ha sido autenticado con
dicho nivel de seguridad (o con un nivel de seguridad "más
alto" aceptado por la entidad que solicitó la autenticación) en
una anterior ocasión durante la misma sesión, enviar una respuesta
de autenticación ("positiva") a la entidad que solicitó la
autenticación del usuario, y
b) si dichos medios de comprobación determinan,
mediante dicha consulta, que el usuario no ha sido autenticado con
dicho nivel de seguridad en una anterior ocasión durante la misma
sesión, dirigir una solicitud de autenticación a un nodo de
autenticación de la red de telecomunicaciones, con capacidad de
realizar una autenticación con dicho nivel de seguridad.
La solicitud de autenticación puede incluir, al
menos, una identificación del usuario y una identificación de un
nivel de seguridad.
La respuesta a la solicitud de autenticación
puede incluir, al menos, una identificación del usuario, una
identificación de un nivel de seguridad y una indicación de un
resultado de la autenticación en el nodo de autenticación
(autenticación que puede haber tenido lugar en este ocasión o en
una anterior en la misma sesión).
La identificación del usuario puede comprender
el MSISDN ("Mobile Station International ISDN Number") del
usuario.
La solicitud de autenticación se puede enviar
desde el nodo de aserción de identidad al nodo de autenticación en
el protocolo HyperText Transfer Protocol (HTTP), un protocolo de
aceptación universal y que forma la base de Internet. Dentro de las
funciones que HTTP permite se encuentra la de redirección: cuando un
usuario realiza una petición HTTP a un servidor, éste puede
contestar con una respuesta válida (códigos de respuesta 2XX) o
bien redirigir al usuario a otro servidor donde se le atenderá
(códigos 3XX). Esta redirección en los navegadores actuales es
completamente transparente para el usuario. En la tecnología Liberty
Alliance® se utiliza para que el servicio que quiere conocer la
identidad del usuario envíe al mismo al Proveedor de Identidad,
quien una vez autenticado el usuario lo redirige de vuelta al
servicio transportando las credenciales de identidad.
HTTP permite incluir en una petición una serie
de parámetros dirigidos al servidor. Estos parámetros se pueden
incluir de dos modos, GET y POST, que se diferencian básicamente en
el campo del protocolo en el que viajan los parámetros. En el caso
de GET los parámetros se transportan a continuación de la dirección
(URL) del recurso que se solicita. Mientras que en el caso POST,
los parámetros se transportan en el cuerpo del mensaje.
El sistema de la invención puede basarse en el
mismo mecanismo para implementar la comunicación entre el nodo de
aserción de identidad y el nodo de autenticación, tal y como se
explicará más adelante, en relación con la descripción de una
realización preferida de la invención.
La solicitud de autenticación se puede enviar
desde el nodo de aserción de identidad al nodo de autenticación,
por la red de telecomunicaciones.
La respuesta de autenticación puede comprender
credenciales que acreditan el usuario ante la entidad que solicitó
la autenticación del usuario.
El nodo de autenticación puede estar configurado
para, como respuesta a una solicitud de autenticación, enviar una
petición de credenciales al usuario para recibir una presentación
de credenciales del usuario.
Otro aspecto de la invención se refiere a un
método de aserción de identidades en una red de telecomunicaciones,
del tipo que incluye, al menos, un nodo de autenticación de un
usuario ante la red, estando dicho, al menos un, nodo de
autenticación configurado para realizar un proceso de autenticación
de la identidad del usuario a partir de credenciales electrónicas
facilitadas por el usuario y para generar un respuesta positiva o
negativa en función de un resultado de dicho proceso de
autenticación.
El método comprende los pasos de:
recibir, en un nodo de red que se puede
denominar "nodo de aserción de identidad" -y que es distinto
al (sustancialmente independiente del) nodo de autenticación-, una
petición de autenticación de un usuario , desde una entidad que
solicita autenticación del usuario;
determinar, mediante una consulta a una base de
datos (que puede formar parte del nodo de aserción de identidad),
si el usuario ya ha sido autenticado en una anterior ocasión
durante una misma sesión de comunicaciones establecida por el
usuario y,
a) si se determina, mediante dicha consulta, que
el usuario ya ha sido autenticado en una anterior ocasión durante
dicha sesión, enviar una respuesta de autenticación a la entidad
que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que
el usuario no ha sido autenticado en una anterior ocasión durante
dicha sesión, dirigir una solicitud de autenticación a un nodo de
autenticación de la red de telecomunicacio-
nes,
nes,
recibir una respuesta a la solicitud de
autenticación, desde el nodo de autenticación, y
remitir una respuesta de autenticación a la
entidad que solicitó la autenticación del usuario, de acuerdo con
dicha respuesta a la solicitud de autenticación.
Se puede establecer, en la base de datos, un
listado de sesiones abiertas, una indicación de un usuario para
cada sesión, y una indicación de un estado de autenticación de
dicho usuario en dicha sesión.
Se puede incluir, en la indicación de un estado
de autenticación, una indicación de, al menos, un nivel de
seguridad correspondiente a un nivel de seguridad con el que se ha
realizado un proceso de autenticación del usuario durante dicha
sesión.
En los casos en los que la red de
telecomunicaciones incluye una pluralidad de nodos de
autenticación, estando cada nodo de autenticación configurado para
realizar procesos de autenticación con, al menos, un nivel de
seguridad, estando al menos un nodo de autenticación configurado
para realizar procesos de autenticación con un nivel de seguridad
diferente al nivel de seguridad del proceso de autenticación de otro
nodo de autenticación,
se puede incluir, en la petición de
autenticación, una indicación de un nivel de seguridad deseado, y
el nodo de aserción de identidad puede entonces dirigir la
solicitud de autenticación a un nodo de autenticación que el nodo de
aserción selecciona entre la pluralidad de nodos de autenticación,
en función del nivel de seguridad desea-
do.
do.
Pueden existir varios niveles de seguridad, de
manera que se puede incluir en las peticiones de autenticación una
indicación de un nivel de seguridad deseado. Entonces, en el nodo
de aserción de identidad, se pueden realizar los siguientes
pasos:
- determinar mediante una consulta a una base de
datos si el usuario ya ha sido autenticado con dicho nivel de
seguridad deseado en una anterior ocasión durante una misma sesión
y,
a) si se determina, mediante dicha consulta, que
el usuario ya ha sido autenticado con dicho nivel de seguridad en
una anterior ocasión durante la misma sesión, enviar una respuesta
de autenticación a la entidad que solicitó la autenticación del
usuario, y
b) si se determina, mediante dicha consulta, que
el usuario no ha sido autenticado con dicho nivel de seguridad en
una anterior ocasión durante la misma sesión, dirigir una solicitud
de autenticación a un nodo de autenticación de la red de
telecomunicaciones, con capacidad de realizar una autenticación con
dicho nivel de seguridad.
Se puede incluir en la solicitud de
autenticación, al menos, una identificación del usuario y una
identificación de un nivel de seguridad.
Se puede incluir en la respuesta a la solicitud
de autenticación, al menos, una identificación del usuario, una
identificación de un nivel de seguridad y una indicación de un
resultado de la autenticación en el nodo de autentica-
ción.
ción.
Para la identificación del usuario se puede usar
el MSISDN del usuario.
La solicitud de autenticación se puede enviar
desde el nodo de aserción de identidad al nodo de autenticación en
el protocolo HyperText Transfer Protocol (HTTP).
La solicitud de autenticación se puede enviar
desde el nodo de aserción de identidad al nodo de autenticación por
la red de telecomunicaciones.
Se puede incluir, en la respuesta de
autenticación, credenciales que acreditan el usuario ante la
entidad.
Se puede enviar, desde el nodo de autenticación,
como respuesta a una solicitud de autenticación, una petición de
credenciales al usuario para recibir una presentación de
credenciales del usuario.
A continuación se pasa a describir de manera muy
breve una serie de dibujos que ayudan a comprender mejor la
invención y que se relacionan expresamente con una realización de
dicha invención que se presenta como un ejemplo ilustrativo y no
limitativo de ésta.
Las figuras 1-3 son diagramas de
bloques que reflejan sistemas de autenticación de usuarios ante
entidades que ofrecen servicios, de acuerdo con el estado de la
técnica.
Las figuras 4 y 5 son diagramas de bloques que
reflejan un sistema de acuerdo con una realización de la
invención.
La figura 6 refleja, de forma esquemática, un
posible formato de una solicitud de autenticación a un nodo de
autenticación de la red de telecomunicaciones, y de la respuesta a
la solicitud de autenticación, de acuerdo con una realización de la
invención.
De acuerdo con una realización de la invención,
ilustrada de forma esquemática en las figuras 4 y 5, ésta se
implementa en una red de telecomunicaciones que incluye una
pluralidad de nodos de autenticación (400, 401, 402) de un usuario
100 ante la red. Los nodos de autenticación pueden ser
convencionales, del tipo que está configurado para realizar un
proceso de autenticación 4 de la identidad del usuario 100 a partir
de credenciales electrónicas facilitadas por el usuario y para
generar una respuesta 4.1 positiva o negativa en función de un
resultado de dicho proceso de autenticación. De acuerdo con esta
realización de la invención, cada nodo de autenticación está
configurado para realizar procesos de autenticación con (al menos)
un nivel de seguridad: por ejemplo, el nodo de autenticación 400
puede estar configurado para autenticar el usuario con un primer
nivel de seguridad A que requiere credenciales basadas en algo que
sólo el usuario mismo puede (o debe) conocer (por ejemplo, una
contraseña), el nodo de autenticación 401 puede estar configurado
para autenticar el usuario con un segundo nivel de seguridad B (más
alto que el primer nivel de seguridad) que requiere credenciales
basadas en algo que sólo el usuario correcto puede (o debe) poseer
(por ejemplo, una tarjeta especial que calcula números aleatorios o
unas llaves digitales conectadas al PC), y otro nodo de
autenticación 402 puede estar configurado para autenticar el
usuario con un tercer nivel de seguridad C (más alto que A y B) y
que requiere credenciales basadas en algo que sólo el usuario
correcto puede "ser" (por ejemplo, el poseedor de sus huellas
digitales o voz).
El sistema de aserción de identidades comprende
un nodo de aserción de identidad 500 que a su vez comprende:
medios 501 de recepción de peticiones de
autenticación 1 de usuarios 100, desde entidades 200 que solicitan
1 autenticación de usuarios 100 (por ejemplo, entidades que ofrecen
determinados servicios y que reciben, desde los usuarios,
peticiones 0 de servicio); y
medios 502 de comprobación de autenticación como
respuesta a una petición de autenticación.
Los medios 502 de comprobación de autenticación
están configurados para
- determinar, mediante una consulta a una base
de datos 503, si el usuario 100 ya ha sido autenticado en una
anterior ocasión durante una misma sesión de comunicaciones
establecida por el usuario y,
a) si dichos medios 502 de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
100 ya ha sido autenticado en una anterior ocasión durante dicha
sesión, enviar una respuesta de autenticación 5 "positiva" a la
entidad 200 que solicitó la autenticación del usuario, y
b) si dichos medios 502 de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
100 no ha sido autenticado en una anterior ocasión durante dicha
sesión, dirigir una solicitud de autenticación 1.1 a un nodo de
autenticación (400, 401 ó 402) de la red de telecomunicaciones.
Los medios 502 de comprobación de autenticación
están configurados para recibir una respuesta 4.1 a la solicitud de
autenticación, desde el nodo de autenticación, y de remitir una
respuesta de autenticación 5 a la entidad 200 que solicitó la
autenticación del usuario, de acuerdo con dicha respuesta 4.1 a la
solicitud de autenticación (la entidad puede luego enviar al
usuario, la respuesta 6 a la petición 0 de servicio). El nodo de
autenticación 400 puede realizar la autenticación enviando, en
primer lugar, una petición 2 de credenciales directamente al usuario
y, una vez que recibe la presentación 3 de credenciales del
usuario, realizar un proceso de autenticación 4 basado en dichas
credenciales.
La base de datos 503 incluye un listado de
sesiones abiertas, una indicación de un usuario 100 para cada
sesión y una indicación de un estado de autenticación de dicho
usuario 100 en dicha sesión; la indicación de un estado de
autenticación incluye una indicación de, al menos, un nivel de
seguridad (A, B, C) correspondiente a un nivel de seguridad con el
que se ha realizado un proceso de autenticación del usuario durante
dicha sesión.
La petición de autenticación incluye una
indicación de un nivel de seguridad deseado (A, B o C) y el nodo de
aserción de identidad 500 está configurado de manera que los medios
de comprobación 502 dirijan (si es necesario) una solicitud de
autenticación 1.1 a un nodo de autenticación 400 seleccionado de
entre la pluralidad de nodos de autenticación (400, 401, 402) en
función del nivel de seguridad deseado.
Concretamente, cuando el nodo de aserción de
identidad 500 recibe la petición de autenticación, los medios 502
determinan, mediante una consulta a la base de datos 503, si el
usuario 100 ya ha sido autenticado con dicho nivel de seguridad
deseado y,
- si determinan que el usuario 100 ya ha sido
autenticado con dicho nivel de seguridad deseado (o con un nivel de
seguridad mayor) en una anterior ocasión durante la misma sesión,
envían una respuesta de autenticación 5 a la entidad 200 que
solicitó la autenticación del usuario, pero
- si determinan que el usuario 100 no ha sido
autenticado con dicho nivel de seguridad (o con un nivel de
seguridad mayor) en una anterior ocasión durante la misma sesión,
dirigen una solicitud de autenticación a un nodo de autenticación de
la red de telecomunicaciones, con capacidad de realizar una
autenticación con dicho nivel de seguridad deseado.
Por ejemplo, puede ser que el usuario 100,
durante una sesión, en un primer momento es autenticado con un
primer nivel de seguridad A (por ejemplo, con una simple
contraseña), para acceder a un servicio que requiere "poco
seguridad" (tal vez una consulta de carácter general); esta
autenticación se realiza a través de un nodo de autenticación 400
que soporta dicho primer nivel de seguridad y la base de datos 503
registra que se ha realizado una autenticación del usuario con este
primer nivel de seguridad.
Luego, durante la misma sesión, es posible que
el usuario quiere acceder a un servicio que requiere un nivel de
seguridad B mayor (por ejemplo, la realización de una transacción
económica) y para la cual se requieren llaves digitales que el
usuario tiene en una tarjeta especial (posiblemente, en combinación
con la contraseña). La entidad que gestiona el servicio envía la
petición 1 de autenticación al nodo de aserción de identidad 500,
que comprueba en la base de datos que el usuario, en la sesión que
está en marcha, sólo ha sido autenticado con el primer nivel de
seguridad A. Entonces, el nodo de aserción de identidad envía una
solicitud de autenticación 1.1 a un nodo de autenticación 401 que
soporta el segundo nivel de seguridad B.
Tal y como se ha descrito más arriba, se puede
usar HTTP (HyperText Transfer Protocol) para la comunicación entre
el nodo de aserción de identidad 500 y los nodos de autenticación
400/401/402, aprovechando que HTTP permite incluir (con GET o
POST), en una petición, una serie de parámetros dirigidos al
servidor. En una posible realización de la invención, se usa este
mecanismo para la comunicación entre el nodo de aserción de
identidad y los nodos de autenticación, de manera que cuando el nodo
de aserción de entidad recibe una petición 1 de autenticación de un
usuario 100 desde una entidad 200, lo redirige al nodo de
autenticación 400/401/402 con una respuesta http 302 e inserta una
serie de parámetros en modo GET o POST para hacer posible la
comunicación. El nodo de autenticación recibe el mensaje 1.1, recoge
los parámetros y una vez completada la autenticación 4, lo devuelve
4.1 al nodo de aserción de identidad 500 con su respuesta escrita
en los parámetros.
El flujo puede ser el siguiente:
I. Una entidad 200 que ofrece un servicio
necesita autenticar a un usuario 100, siguiendo por ejemplo
protocolos Liberty Alliance®. Por lo tanto dirige una petición de
autenticación 1.1 al nodo de aserción de identidad 500,
especificando el tipo de autenticación deseado (incluyendo
requisitos de nivel de seguridad).
II. El nodo de aserción de identidad 500
redirige 1.1 el mensaje de petición de autenticación al nodo de
autenticación 400/401/402, añadiendo los parámetros necesarios (ver
más abajo).
III. El mensaje 1.1 llega al nodo de
autenticación 400/401/402, que a su vez realiza una autenticación
con el nivel de seguridad requerido, de forma convencional.
IV. Cuando se haya obtenido un resultado
(positivo o negativo) del proceso de autenticación, el nodo de
autenticación redirige el mensaje 4.1 de vuelta al nodo de aserción
de identidad 500, actualizando correspondientemente los
parámetros.
V. Dependiendo del éxito de la autenticación, el
nodo de aserción de identidad 500 responde 5 a la entidad 200 con
las credenciales de identidad adecuadas o con un mensaje de error
adecuado.
Los pasos I y V pueden ser convencionales, por
ejemplo, idénticos a los de sistemas convencionales basados en
Proveedores de Identidad (como Liberty Alliance®).
La figura 6 refleja un posible contenido de una
solicitud de autenticación (1.1) y de un mensaje de respuesta (4.1)
del nodo de autenticación, respectivamente.
Concretamente, la solicitud y el mensaje
incluyen los siguientes elementos/campos:
601: una identificación del usuario 100 (por
ejemplo, su "MSISDN")
602: una identificación de un nivel de seguridad
(A, B, C) ("AuthnContext")
603: una identificación de la entidad 200 que
solicitó la autenticación ("ProviderID")
604: un código de seguridad ("SecToken")
que valida al nodo de aserción de identidad 500 frente al nodo de
autenticación 400/401/402 y viceversa. Este código puede
corresponder a una firma digital u otro código que permita
garantizar la identidad de un nodo ante el otro, para reducir el
riesgo de fraudes.
605: un valor que identifica unívocamente a cada
transacción de autenticación en particular ("TransID")
606/607: el estado de la autenticación
("Status"): REQ, OK, NOK o código de error (ver más abajo);
REQ será utilizado (606) en las solicitudes de autenticación 1.1, y
OK/NOK o código de error (607) en las respuestas 4.1.
A modo de ejemplo, el campo 606/607 puede, por
lo tanto, tener los siguientes valores:
606:
- "REQ":
- Código por el que el nodo de aserción de identidad solicita una autenticación al nodo de autenticación
\vskip1.000000\baselineskip
607:
- "OK":
- Resultado positivo del proceso de autenticación 4
- "NOK"
- Resultado negativo del proceso de autenticación 4 (por ejemplo, debido a que el usuario introdujo una contraseña -"código PIN"- errónea
- "101"
- Falta un parámetro
- "102"
- Parámetro duplicado
- "103"
- Parámetro desconocido
- "104"
- Contexto de autenticación desconocido (es decir, el nodo de autenticación no puede realizar la autenticación con el nivel de seguridad exigido)
- "105"
- MSISDN incorrecto
- "106"
- Código de seguridad inválido
- "110"
- Error al conectar a alguna entidad externa, por ejemplo a una infraestructura PKI ("Public Key Infrastructure")
- "120"
- Error interno
- "130"
- Tiempo máximo de espera sobrepasado
- "150"
- Error desconocido.
A lo largo de la presente descripción y
reivindicaciones la palabra "comprende" y variaciones de la
misma, como "comprendiendo", no pretenden excluir otros pasos o
componentes.
Claims (24)
1. Un sistema de aserción de identidades en una
red de telecomunicaciones, incluyendo la red de telecomunicaciones,
al menos, un nodo de autenticación (400, 401, 402) de un usuario
(100) ante la red, estando dicho, al menos un, nodo de
autenticación (400, 401, 402) configurado para realizar un proceso
de autenticación (4) de la identidad del usuario (100) a partir de
credenciales electrónicas facilitadas por el usuario y para generar
una respuesta (4.1) positiva o negativa en función de un resultado
de dicho proceso de autenticación (4);
comprendiendo el sistema de aserción de
identidades
un nodo de aserción de identidad (500) que
comprende:
medios (501) de recepción de peticiones de
autenticación (1) de usuarios (100), desde entidades (200) que
solicitan autenticación de usuarios (100);
medios (502) de comprobación de autenticación
como respuesta a una petición de autenticación,
caracterizado porque
dichos medios (502) de comprobación de
autenticación están configurados para
- determinar, mediante una consulta a una base
de datos (503), si el usuario (100) ya ha sido autenticado en una
anterior ocasión durante una misma sesión de comunicaciones
establecida por el usuario y,
a) si dichos medios (502) de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
(100) ya ha sido autenticado en una anterior ocasión durante dicha
sesión, enviar una respuesta de autenticación (5) a la entidad
(200) que solicitó la autenticación del usuario, y
b) si dichos medios (502) de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
(100) no ha sido autenticado en una anterior ocasión durante dicha
sesión, dirigir una solicitud de autenticación (1.1) a un nodo de
autenticación (400) de la red de telecomunicaciones;
estando los medios (502) de comprobación de
autenticación configurados para recibir una respuesta (4.1) a la
solicitud de autenticación (1.1), desde el nodo de autenticación
(400), y de remitir una respuesta de autenticación (5) a la entidad
(200) que solicitó la autenticación del usuario, de acuerdo con
dicha respuesta (4.1) a la solicitud de autenticación.
2. Un sistema de acuerdo con la reivindicación
1, caracterizado porque la base de datos incluye un listado
de sesiones abiertas, una indicación de un usuario (100) para cada
sesión, y una indicación de un estado de autenticación de dicho
usuario (100) en dicha sesión.
3. Un sistema de acuerdo con la reivindicación
2, caracterizado porque la indicación de un estado de
autenticación incluye una indicación de, al menos, un nivel de
seguridad (A, B, C) correspondiente a un nivel de seguridad con el
que se ha realizado un proceso de autenticación del usuario durante
dicha sesión.
4. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la red de
telecomunicaciones incluye una pluralidad de nodos de autenticación
(400, 401, 402), estando cada nodo de autenticación configurado para
realizar procesos de autenticación con, al menos, un nivel de
seguridad (A, B, C), estando al menos un nodo de autenticación
(400) configurado para realizar procesos de autenticación con un
nivel de seguridad (A) diferente al nivel de seguridad (BIC) del
proceso de autenticación (B/C) de otro nodo de autenticación
(401/402), incluyendo la petición de autenticación (1) una
indicación de un nivel de seguridad deseado (A), estando el nodo de
aserción de identidad (500) configurado de manera que los medios
(502) de comprobación de autenticación dirijan una solicitud de
autenticación (1.1) a un nodo de autenticación (400) seleccionado
de entre la pluralidad de nodos de autenticación (400, 401, 402) en
función del nivel de seguridad deseado (A).
5. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque existen
varios de niveles de seguridad, porque las peticiones de
autenticación (1) incluyen una indicación de un nivel de seguridad
deseado (A), y porque los medios (502) de comprobación de
autenticación como respuesta a una petición de autenticación están
configurados para
- determinar mediante una consulta a una base de
datos (503) si el usuario (100) ya ha sido autenticado con dicho
nivel de seguridad (A) en una anterior ocasión durante una misma
sesión y,
a) si dichos medios (502) de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
(100) ya ha sido autenticado con dicho nivel de seguridad (A) en
una anterior ocasión durante la misma sesión, enviar una respuesta
de autenticación (5) a la entidad (200) que solicitó la
autenticación del usuario, y
b) si dichos medios (502) de comprobación de
autenticación determinan, mediante dicha consulta, que el usuario
(100) no ha sido autenticado con dicho nivel de seguridad (A) en
una anterior ocasión durante la misma sesión, dirigir una solicitud
de autenticación (1.1) a un nodo de autenticación (400) de la red de
telecomunicaciones, con capacidad de realizar una autenticación con
dicho nivel de seguridad (A).
6. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
solicitud de autenticación (1.1) incluye, al menos, una
identificación (601) del usuario (100) y una identificación (602) de
un nivel de seguridad (A, B, C).
7. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
respuesta (4.1) a la solicitud de autenticación incluye, al menos,
una identificación (601) del usuario (100), una identificación (602)
de un nivel de seguridad (A, B, C) y una indicación (607) de un
resultado de la autenticación (4) en el nodo de autenticación.
8. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
identificación (601) del usuario comprende el MSISDN del
usuario.
9. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
solicitud de autenticación (1.1) se envía desde el nodo de aserción
de identidad (500) al nodo de autenticación (400) bajo el protocolo
HyperText Transfer Protocol (HTTP).
10. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
solicitud de autenticación (1.1) se envía desde el nodo de aserción
de identidad (500) al nodo de autenticación (400) por la red de
telecomunicaciones.
11. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque la
respuesta de autenticación (5) comprende credenciales que acreditan
el usuario (100) ante la entidad (200).
12. Un sistema de acuerdo con cualquiera de las
reivindicaciones anteriores, caracterizado porque el nodo de
autenticación (400) está configurado para, como respuesta a una
solicitud de autenticación (1.1), enviar una petición de
credenciales (2) al usuario (100) para recibir una presentación de
credenciales (3) del usuario (100).
13. Un método de aserción de identidades en una
red de telecomunicaciones, incluyendo la red de telecomunicaciones,
al menos, un nodo de autenticación (400, 401, 402) de un usuario
(100) ante la red, estando dicho, al menos un, nodo de
autenticación (400, 401, 402) configurado para realizar un proceso
de autenticación (4) de la identidad del usuario (100) a partir de
credenciales electrónicas facilitadas por el usuario y para generar
un respuesta (4.1) positiva o negativa en función de un resultado
de dicho proceso de autenticación (4);
comprendiendo el método los pasos de:
recibir, en un nodo de aserción de identidad
(500), una petición de autenticación (1) de un usuario (100), desde
una entidad (200) que solicita autenticación del usuario (100);
determinar, mediante una consulta a una base de
datos (503), si el usuario (100) ya ha sido autenticado en una
anterior ocasión durante una misma sesión de comunicaciones
establecida por el usuario y,
a) si se determina, mediante dicha consulta, que
el usuario (100) ya ha sido autenticado en una anterior ocasión
durante dicha sesión, enviar una respuesta de autenticación (5) a
la entidad (200) que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que
el usuario (100) no ha sido autenticado en una anterior ocasión
durante dicha sesión, dirigir una solicitud de autenticación (1.1)
a un nodo de autenticación (400) de la red de
telecomunicaciones,
recibir una respuesta (4.1) a la solicitud de
autenticación, desde el nodo de autenticación (400), y
remitir una respuesta de autenticación (5) a la
entidad (200) que solicitó la autenticación del usuario, de acuerdo
con dicha respuesta (4.1) a la solicitud de autenticación.
14. Un método de acuerdo con la reivindicación
13, caracterizado porque se establece, en la base de datos,
un listado de sesiones abiertas, una indicación de un usuario (100)
para cada sesión, y una indicación de un estado de autenticación de
dicho usuario (100) en dicha sesión.
15. Un método de acuerdo con la reivindicación
14, caracterizado porque se incluye, en la indicación de un
estado de autenticación, una indicación de, al menos, un nivel de
seguridad (A, B, C) correspondiente a un nivel de seguridad con el
que se ha realizado un proceso de autenticación del usuario durante
dicha sesión.
\vskip1.000000\baselineskip
16. Un método de acuerdo con cualquiera de las
reivindicaciones 13-15, caracterizado
porque, incluyendo la red de telecomunicaciones una pluralidad de
nodos de autenticación (400, 401, 402), estando cada nodo de
autenticación configurado para realizar procesos de autenticación
con, al menos, un nivel de seguridad (A, B, C), estando al menos un
nodo de autenticación (400) configurado para realizar procesos de
autenticación con un nivel de seguridad (A) diferente al nivel de
seguridad (B/C) del proceso de autenticación (B/C) de otro nodo de
autenticación (401/402),
se incluye en la petición de autenticación (1)
una indicación de un nivel de seguridad deseado (A), y el nodo de
aserción de identidad (500) dirige la solicitud de autenticación
(1.1) a un nodo de autenticación (400) que el nodo de aserción
selecciona entre la pluralidad de nodos de autenticación (400, 401,
402), en función del nivel de seguridad deseado (A).
17. Un método de acuerdo con cualquiera de las
reivindicaciones 13-16, caracterizado porque
existen varios de niveles de seguridad, porque se incluye en las
peticiones de autenticación una indicación de un nivel de seguridad
deseado (A), y, en el nodo de aserción de identidad se realiza los
siguientes pasos:
- determinar mediante una consulta a una base de
datos (503) si el usuario (100) ya ha sido autenticado con dicho
nivel de seguridad deseado (A) en una anterior ocasión durante una
misma sesión y,
a) si se determina, mediante dicha consulta, que
el usuario (100) ya ha sido autenticado con dicho nivel de
seguridad (A) en una anterior ocasión durante la misma sesión,
enviar una respuesta de autenticación (5) a la entidad (200) que
solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que
el usuario (100) no ha sido autenticado con dicho nivel de
seguridad (A) en una anterior ocasión durante la misma sesión,
dirigir una solicitud de autenticación (1.1) a un nodo de
autenticación (400) de la red de telecomunicaciones, con capacidad
de realizar una autenticación con dicho nivel de seguridad (A).
18. Un método de acuerdo con cualquiera de las
reivindicaciones 13-17, caracterizado porque
se incluye en la solicitud de autenticación (1.1), al menos, una
identificación (601) del usuario (100) y una identificación (602) de
un nivel de seguridad (A, B, C).
19. Un método de acuerdo con cualquiera de las
reivindicaciones 13-18, caracterizado porque
se incluye en la respuesta (4.1) a la solicitud de autenticación, al
menos, una identificación (601) del usuario (100), una
identificación (602) de un nivel de seguridad (A, B, C) y una
indicación (607) de un resultado de la autenticación (4) en el nodo
de autenticación.
20. Un método de acuerdo con cualquiera de las
reivindicaciones 13-19, caracterizado porque
para la identificación (601) del usuario se usa el MSISDN del
usuario.
21. Un método de acuerdo con cualquiera de las
reivindicaciones 13-20, caracterizado porque
la solicitud de autenticación (1.1) se envía desde el nodo de
aserción de identidad (500) al nodo de autenticación (400) bajo el
protocolo HyperText Transfer Protocol (HTTP).
22. Un método de acuerdo con cualquiera de las
reivindicaciones 13-21, caracterizado porque
la solicitud de autenticación (1.1) se envía desde el nodo de
aserción de identidad (500) al nodo de autenticación (400) por la
red de telecomunicaciones.
23. Un método de acuerdo con cualquiera de las
reivindicaciones 13-22, caracterizado porque
se incluye, en la respuesta de autenticación (5), credenciales que
acreditan el usuario (100) ante la entidad (200).
24. Un método de acuerdo con cualquiera de las
reivindicaciones 13-23, caracterizado porque
se envía desde el nodo de autenticación (400), como respuesta a una
solicitud de autenticación (1.1), una petición de credenciales (2)
al usuario (100) para recibir una presentación de credenciales (3)
del usuario (100).
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200401544A ES2264853B1 (es) | 2004-06-24 | 2004-06-24 | Sistema y metodo de asercion de identidades en una red de telecomunicaciones. |
EP05380109A EP1610528A3 (en) | 2004-06-24 | 2005-05-30 | System and method of asserting identities in a telecommunications network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ES200401544A ES2264853B1 (es) | 2004-06-24 | 2004-06-24 | Sistema y metodo de asercion de identidades en una red de telecomunicaciones. |
Publications (2)
Publication Number | Publication Date |
---|---|
ES2264853A1 ES2264853A1 (es) | 2007-01-16 |
ES2264853B1 true ES2264853B1 (es) | 2007-12-16 |
Family
ID=35115967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES200401544A Active ES2264853B1 (es) | 2004-06-24 | 2004-06-24 | Sistema y metodo de asercion de identidades en una red de telecomunicaciones. |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP1610528A3 (es) |
ES (1) | ES2264853B1 (es) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2891677A1 (fr) | 2005-10-05 | 2007-04-06 | France Telecom | Procede d'authentification d'un client, fournisseurs d'identites et de services, signaux de requete d'authentification et d'assertion d'authentification, et programmes d'ordinateur correspondants |
DE102006017765A1 (de) * | 2006-04-12 | 2007-10-18 | Deutsche Telekom Ag | Verfahren und Kommunikationssystem zum Bereitstellen eines personalisierbaren Zugangs zu einer Gruppe von Einrichtungen |
CN101047691B (zh) * | 2006-04-29 | 2010-04-07 | 华为技术有限公司 | 一种对订阅进行集中控制的方法 |
FI121646B (fi) * | 2007-08-08 | 2011-02-15 | Teliasonera Finland Oyj | Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan |
EP2107757A1 (en) * | 2008-03-31 | 2009-10-07 | British Telecommunications Public Limited Company | Identity management |
WO2009136795A1 (en) * | 2008-05-05 | 2009-11-12 | Systek As | Authentication of sessions between mobile clients and a server |
WO2010149223A1 (en) * | 2009-06-26 | 2010-12-29 | Nokia Siemens Networks Oy | Identity management |
US8984588B2 (en) | 2010-02-19 | 2015-03-17 | Nokia Corporation | Method and apparatus for identity federation gateway |
US9202026B1 (en) * | 2011-11-03 | 2015-12-01 | Robert B Reeves | Managing real time access management to personal information |
CN112565337B (zh) * | 2020-11-06 | 2022-09-30 | 北京奇艺世纪科技有限公司 | 请求传输方法、服务端、客户端、系统及电子设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
KR100470303B1 (ko) * | 2002-04-23 | 2005-02-05 | 에스케이 텔레콤주식회사 | 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법 |
US20060053296A1 (en) * | 2002-05-24 | 2006-03-09 | Axel Busboom | Method for authenticating a user to a service of a service provider |
US7526798B2 (en) * | 2002-10-31 | 2009-04-28 | International Business Machines Corporation | System and method for credential delegation using identity assertion |
-
2004
- 2004-06-24 ES ES200401544A patent/ES2264853B1/es active Active
-
2005
- 2005-05-30 EP EP05380109A patent/EP1610528A3/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
ES2264853A1 (es) | 2007-01-16 |
EP1610528A2 (en) | 2005-12-28 |
EP1610528A3 (en) | 2007-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2281599T3 (es) | Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable. | |
ES2281228B2 (es) | Sistema, metodo y aparato para servicios federados de identificacion unica. | |
US11388174B2 (en) | System and method for securing a communication channel | |
US9323915B2 (en) | Extended security for wireless device handset authentication | |
CN106973041B (zh) | 一种颁发身份认证凭据的方法、系统及认证服务器 | |
US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
ES2380320T3 (es) | Procedimiento y sistema para la autenticación de un usuario de un sistema de procesado de datos | |
CA2463286C (en) | Multi-factor authentication system | |
CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
CN109089264A (zh) | 一种移动终端免密登录的方法及系统 | |
EP1610528A2 (en) | System and method of asserting identities in a telecommunications network | |
CN101785276A (zh) | 用于执行资源委托的方法和系统 | |
EP1102157A1 (en) | Method and arrangement for secure login in a telecommunications system | |
CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
ES2311821T3 (es) | Sistema de autenticacion. | |
ES2431625T3 (es) | Autentificación de datos personales en sistemas de telecomunicaciones | |
CN109905874A (zh) | 基于区块链的自主择号的方法及系统 | |
ES2300850T3 (es) | Aparato y metodo para la prevencion del fraude cuando se accede a traves de redes de area local inalambricas. | |
EP3547734A1 (en) | Authentication for a communication system | |
ES2390935T3 (es) | Cobro por servicios en una red de comunicación | |
ES2940642T3 (es) | Procedimientos y dispositivos para la inscripción y autenticación de un usuario en un servicio | |
US20050102519A1 (en) | Method for authentication of a user for a service offered via a communication system | |
WO2007114710A2 (en) | A method and device for sim based authentification in ip networks | |
US20060265586A1 (en) | Method and system for double secured authenication of a user during access to a service by means of a data transmission network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
EC2A | Search report published |
Date of ref document: 20070116 Kind code of ref document: A1 |
|
FG2A | Definitive protection |
Ref document number: 2264853B1 Country of ref document: ES |