ES2264853B1 - Sistema y metodo de asercion de identidades en una red de telecomunicaciones. - Google Patents

Sistema y metodo de asercion de identidades en una red de telecomunicaciones. Download PDF

Info

Publication number
ES2264853B1
ES2264853B1 ES200401544A ES200401544A ES2264853B1 ES 2264853 B1 ES2264853 B1 ES 2264853B1 ES 200401544 A ES200401544 A ES 200401544A ES 200401544 A ES200401544 A ES 200401544A ES 2264853 B1 ES2264853 B1 ES 2264853B1
Authority
ES
Spain
Prior art keywords
authentication
user
node
request
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES200401544A
Other languages
English (en)
Other versions
ES2264853A1 (es
Inventor
David Del Ser Bartolome
Sergio Rodriguez Ortega
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vodafone Espana SA
Original Assignee
Vodafone Espana SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vodafone Espana SA filed Critical Vodafone Espana SA
Priority to ES200401544A priority Critical patent/ES2264853B1/es
Priority to EP05380109A priority patent/EP1610528A3/en
Publication of ES2264853A1 publication Critical patent/ES2264853A1/es
Application granted granted Critical
Publication of ES2264853B1 publication Critical patent/ES2264853B1/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

El método y sistema de aserción de identidades en una red de telecomunicaciones se basa en un nodo de aserción de identidad (500) que recibe peticiones de autenticación (1) de usuarios (100) desde entidades (200) que ofrecen servicios. Al recibir una petición de autenticación, el nodo de aserción de identidad consulta una base de datos (503) para determinar si el usuario ya ha sido autenticado (con un nivel de seguridad A/B/C suficiente) en la misma sesión, y: a) si el usuario (100) ya ha sido autenticado durante dicha sesión, el nodo de aserción de identidad envía una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y: b) si el usuario (100) no ha sido autenticado durante dicha sesión, el nodo de aserción de identidad dirige una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones.

Description

Sistema y método de aserción de identidades en una red de telecomunicaciones.
Campo de la invención
La invención se engloba en el campo de las telecomunicaciones.
Antecedentes de la invención
Originalmente, en las telecomunicaciones, el control de la identidad de un usuario estaba principalmente relacionado con la relación entre el usuario y el operador de la red de telecomunicaciones, por ejemplo, para poder asegurar que los gastos incurridos debido a la actividad del usuario en la red (principalmente, llamadas telefónicas) pudieran ser correctamente cargados a la cuenta del usuario, de una manera segura y de manera que estuviera clara la autenticidad del usuario, esto con el fin de evitar acciones fraudulentas. Es decir, era importante que el operador de la red pudiera verificar la autenticidad del usuario. En las redes de telefonía móvil, tales como las redes GSM (Global System for Mobile Communication) y UMTS (Universal Mobile Telecommunications System, también llamado "Tercera Generación de Telefonía Móvil") existen mecanismos avanzados de autenticación del usuario ante la red. La red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio-respuesta" que es disparado por la introducción por parte del usuario del código PIN. Se envía a la estación móvil un número aleatorio de 128 bits (denominado RAND). La estación móvil calcula la respuesta firmada de 32 bits (denominada SRES, "Signed Response") basándose en el cifrado del número aleatorio (RAND) con el algoritmo de autenticación (denominado A3) utilizando la clave individual de autenticación de abonado (Ki). Al recibir del abonado la respuesta firmada (SRES), la red GSM repite el cálculo para verificar la identidad del abonado. Si el SRES recibido coincide con el valor calculado, la estación móvil ha sido autentificada con éxito y puede continuar la conexión. Si los valores no coinciden, la conexión se termina y se indica un fallo de autenticación a la estación móvil.
Con la emergencia de los servicios de datos como el acceso al portal de una empresa operadora de telefonía móvil, la navegación por internet o las mensajerías avanzadas como Multimedia Messaging System (MMS) o Instant Messaging (chat) en las nuevas redes de telecomunicaciones, ha surgido la necesidad de gestionar correctamente la identidad de los usuarios en un entorno más complejo y en el que participan diferentes entidades. Es decir, ya no se trata sólo de autenticar el usuario ante la red de telecomunicaciones como tal (es decir, por ejemplo, autenticar el usuario ante su red HPLMN -"Home Public Land Mobile Network", red de telefonía móvil a la que pertenece un usuario- cuando el usuario intenta acceder a la red), sino también de permitir que el usuario pueda autenticarse ante diferentes entidades o nodos de la red, por ejemplo, ante entidades que ofrecen determinados servicios a los que desea acceder el usuario, a través de una red de telecomunicaciones.
El modo tradicional para efectuar una autenticación de usuario ante un proveedor de servicio ha sido la presentación por parte del usuario de unas credenciales de identidad y su posterior verificación por parte del proveedor de servicio. Así el usuario afirma ser Usuario U y lo demuestra presentando unas credenciales que sólo él podría presentar. Estas credenciales pueden variar según aumenta el nivel de seguridad desde algo que sólo Usuario U conozca, como una contraseña, pasando por algo que sólo Usuario U pueda poseer, como una tarjeta especial que calcula números aleatorios o unas llaves digitales conectadas al PC, hasta algo que sólo Usuario U pueda ser, como por ejemplo el poseedor de sus huellas digitales o su ADN.
La figura 1 refleja un proceso de este tipo, de acuerdo con el estado de la técnica, en el que el usuario 100 se autentica ante el servicio 200, mediante un proceso que comprende los siguientes pasos:
0: "Petición de servicio": el usuario 100 envía una petición de servicio a la entidad 200 que ofrece el servicio (que puede ser un servicio representado por una dirección en Internet o por un número de teléfono al que hay que enviar la petición; en este contexto, los términos "servicio" y "entidad" se deben interpretar de forma amplia, por ejemplo, la "entidad" no tiene que ser una persona jurídica o física sino cualquier "entidad" que puede ofrecer un servicio y que puede realizar las gestiones necesarias en cada caso, por ejemplo, según las circunstancias, verificar la identidad del usuario, facturar el servicio, etc.; por ejemplo, un mismo banco puede comprender una pluralidad de "entidades" que cada una ofrece un determinado servicio a los clientes del banco).
2: "Petición de credenciales": la entidad 200 contesta al usuario con una petición de credenciales, por ejemplo, de un fichero que puede ser utilizado para autenticar el usuario, es decir, para que la entidad 200 pueda comprobar que el usuario es el que dice ser. El método de autenticación deseado, y por tanto el nivel de seguridad de las credenciales, depende del servicio requerido y consecuentemente lo determina la entidad o proveedor del servicio. Existen muchas maneras de definir un nivel de seguridad; por ejemplo, un nivel de seguridad se puede definir con referencia a un método de autenticación o a un grupo de métodos de autenticación, considerados como "suficientemente seguros" por el proveedor del servicio (véase, por ejemplo, WO-A-03/100544 que, entre otras cosas, describe la selección de uno o más perfiles de seguridad por parte de un proveedor de servicio).
3: "Presentación de credenciales": el usuario contesta a la petición, enviando sus credenciales. Este paso puede incluir la introducción manual, por parte del usuario, de una clave secreta (PIN).
4: "Autenticación": en este caso, la propia entidad 200 comprueba, utilizando las credenciales recibidas, que el usuario 100 es el que dice ser.
6: "Respuesta al usuario": la entidad 200 comunica al usuario 100 el resultado de la autenticación y, si el resultado es positivo, sigue adelante con la prestación del servicio.
Puede ocurrir que un usuario, durante una o varias sesiones en la red, tiene que interactuar con varias entidades, por ejemplo con una compañía aérea para reservar un vuelo, con una empresa de alquiler de coches para solicitar un automóvil en el aeropuerto de destino y finalmente con un hotel donde poder alojarse durante la estancia. Ahora bien, si el usuario tuviera que llevar a cabo un proceso de autenticación completo cada vez que empieza a interactuar con una nueva entidad, por ejemplo, introduciendo información de identidad, palabras clave (por ejemplo, su PIN) cada vez que pasa, por ejemplo, de la compañía aérea a la empresa de alquiler o al hotel, la realización de gestiones complejas, que implican un intercambio de datos con varias entidades a través de la red de telecomunicaciones, puede resultar tremendamente tediosa para el usuario.
Por ello, ha aparecido una figura comúnmente conocida como el "Proveedor de Identidad" (por ejemplo, implementado con una tecnología específica como, por ejemplo, Liberty Alliance®) y que suele constituir un nodo de la red de telecomunicaciones. La misión principal del Proveedor de Identidad consiste en permitir el discurrir fluido del usuario entre distintos servicios, sin tener que introducir su información de identidad cada vez que entra en contacto con una nueva entidad.
Cuando el usuario inicia la sesión e intenta acceder por primera vez a un servicio, el usuario es en primer lugar autenticado en el Proveedor de Identidad; posteriormente el usuario puede acceder al servicio originario. La figura 2 ilustra, esquemáticamente, este proceso (los pasos análogos a los de la figura 1 mantienen las mismas referencias numéricas):
0: "Petición de servicio": el usuario 100 envía una petición de servicio a la entidad 200.
1: "Petición de autenticación": la entidad 200 envía una petición de autenticación a un Proveedor de Identidad 300, especificando el nivel de seguridad requerido para la prestación de su servicio.
2: "Petición de credenciales": en este caso, el Proveedor de Identidad 300 (y no la entidad 200 que ofrece el servicio) contesta con un envío, al usuario 100, de una petición de credenciales.
3: "Presentación de credenciales": el usuario contesta a la petición, enviando sus credenciales al Proveedor de Identidad 300 (es decir, en este caso, la entidad 200 no tiene que intervenir en los pasos 2 y 3).
4: "Autenticación": en este caso, el Proveedor de Identidad 300 comprueba, utilizando las credenciales recibidas, que el usuario 100 es el que dice ser. También comprueba que las credenciales recibidas cumplen el nivel de seguridad requerido por la entidad 200.
5: "Respuesta de autenticación": el Proveedor de Identidad 300 comunica el resultado de la autenticación a la entidad 200, por ejemplo, confirmando que el usuario 100 es el que dice que es.
6: "Respuesta al usuario": la entidad 200 comunica al usuario 100 el resultado de la autenticación y, si el resultado es positivo, sigue adelante con la prestación del servicio.
En los subsiguientes accesos a otros servicios, como al sitio de la agencia de viajes o de alquiler de coches, los pasos 2 y 3 de la figura anterior ya no son necesarios, dado que el Proveedor de Identidad mantiene la sesión activa para un nivel de seguridad dado. De esta manera, el usuario puede acceder a otros servicios sin tener que introducir sus credenciales de nuevo, tal y como se ilustra en la figura 3, en la que el usuario 100, después de haber sido autenticado ante la entidad (servicio) 200 de acuerdo con el proceso de la figura 2, envía una petición de servicio (0) a la entidad (servicio) 201, que a su vez dirige la petición de autenticación (1) al Proveedor de Identidad 300. En este caso, el Proveedor de Identidad no tiene que solicitar credenciales al usuario, sino que, siempre que el nivel de seguridad requerido por el nuevo servicio sea igual o inferior a los previamente satisfechos (de ser superior habría que volver a autenticar al usuario solicitándole credenciales del nivel requerido), reutiliza la sesión de usuario que se encuentra activa, y responde con una respuesta de autenticación (5) sin necesidad de interrogar al usuario. Así el proveedor de servicio 201 puede responder (6) a la petición de servicio (0) del usuario de manera directa, sin que el usuario se vea involucrado en un proceso de autenticación.
De este modo se evita al usuario la inconveniencia de tener que ir introduciendo las credenciales en cada entidad proveedor de servicios visitada en una misma sesión. Además no tendrá que recordar múltiples credenciales (i.e. nombre de usuario/contraseña) pues ya sólo necesita autenticarse frente al Proveedor de Identidad, y se disminuye el riesgo de que al apuntar las credenciales las extravíe. Esto aplica del mismo modo a servicios móviles.
WO-A-03/100544 (que ya se ha mencionado más arriba), WO-A-03/085925 y US-A-2003/0149781 describen diferentes sistemas que incluyen Proveedores de Identidad.
En el estado de la técnica, la función del Proveedor de Identidad, tal y como está implementado en, por ejemplo, Liberty Alliance®, es doble. Por un lado, tal y como se ha descrito más arriba, el Proveedor de Identidad se encarga de verificar la identidad del usuario, utilizando cualquiera de los métodos de autenticación disponibles y implementados en el Proveedor de Identidad. Por otro lado, el Proveedor de Identidad pone esta verificación de la identidad a disposición de aquellos otros nodos o entidades que tengan permiso para acceder a ella, especificando mediante una aserción de identidad el modo en que se obtuvo mediante credenciales y haciéndose responsable de ella. Así las distintas entidades o nodos (por ejemplo, entidades que ofrecen servicios a los que quiere acceder el usuario) pueden solicitar la aserción de identidad del usuario al Proveedor de Identidad en lugar de hacerlo directamente al usuario mediante una solicitud de presentación de credenciales, de manera que la autenticación del usuario ante nuevas entidades puede realizarse sin representar una carga para el usuario y para su equipo (por ejemplo, un equipo de telefonía móvil constituido por un terminal y por una tarjeta SIM/USIM).
En las tecnologías de gestión de identidad conocidas, tales como Liberty Alliance®, estas dos funciones (a saber: la autenticación inicial del usuario ante el Proveedor de Identidad por una parte; y la posterior transmisión de aserciones de identidad del usuario a otras entidades, a través del Proveedor de Identidad) aparecen fusionadas en un único nodo y sin posibilidad de separarlas. Sin embargo, esto plantea problemas en un entorno móvil, ya que un operador de telefonía móvil, que contempla la posibilidad de instalar un Proveedor de Identidad, ya tiene a su disposición muy variados métodos de autenticación del usuario, cada uno residiendo en diferentes nodos de la red. Por ejemplo, en una red GSM, el HLR ("Home Location Register" - registro maestro de abonados para su localización) se encarga tradicionalmente de la autenticación GSM, mientras que el GGSN (Gateway GPRS Support Node: la frontera entre el mundo de paquetes por radio -GPRS- y el mundo de paquetes por cable -internet-) gestiona el acceso ala red GPRS (General Packet Radio Service: servicio de datos en modo paquete superpuesto sobre la infraestructura de las redes GSM). También pueden existir otros mecanismos de autenticación, por ejemplo, sistemas de autenticación biométrica, basados en la voz o en las huellas dactilares, y que pueden residir en diferentes nodos de la red de telecomunicaciones. Todos estos nodos podrán tener unas características determinadas en cuanto a facilidad de uso y nivel de seguridad ofrecido, lo que les hace complementarios en su funcionalidad.
Descripción de la invención
Por lo tanto, a un operador de una red de telefonía móvil le puede interesar separar las dos funciones del Proveedor de Identidad arriba mencionadas, de tal modo que se disponga, por una parte, de un "Proveedor de Aserciones" o "Nodo de Aserción de Identidad" y, por otra parte, de uno o varios Nodos de Autenticación (NA), los cuales pueden consistir en nodos de autenticación ya existentes en la red de telefonía móvil. De esta manera, para una adecuada gestión de identidades que cumpla con los propósitos expuestos más arriba, el operador de la red de telefonía móvil puede aprovechar Nodos de Autenticación ya existentes en su red (o nuevos Nodos de Autenticación expresamente introducidos en la red para la gestión de identidades), y sólo añadir el "Nodo de Aserción de Identidad", un nodo que delegaría la autenticación del usuario a uno de los Nodos de Autenticación y posteriormente se responsabiliza de la transmisión de credenciales de identidad a los nodos o entidades que las solicitan y que tienen permiso para obtenerlas.
Por supuesto, en esta situación distribuida es crucial que el "Nodo de Aserción de Identidad" y el o los Nodos de Autenticación se comuniquen correctamente.
Un primer aspecto de la invención se refiere a un sistema de aserción de identidades en una red de telecomunicaciones, incluyendo la red de telecomunicaciones, al menos, un nodo de autenticación de un usuario ante la red (por ejemplo, un nodo de autenticación convencional, del tipo de los que ya existen en muchas redes de telecomunicaciones), estando dicho, al menos un, nodo de autenticación configurado para realizar un proceso de autenticación de la identidad del usuario a partir de credenciales electrónicas facilitadas por el usuario y para generar un respuesta positiva o negativa en función de un resultado de dicho proceso de autenticación.
El sistema de aserción de identidades comprende un nodo de aserción de identidad que comprende:
medios de recepción de peticiones de autenticación de usuarios, desde entidades que solicitan autenticación de usuarios; y
medios de comprobación de autenticación como respuesta a una petición de autenticación.
De acuerdo con la invención, dichos medios de comprobación de autenticación están configurados para
- determinar, mediante una consulta a una base de datos, si el usuario ya ha sido autenticado en una anterior ocasión durante una misma sesión de comunicaciones establecida por el usuario y,
a) si dichos medios de comprobación de autenticación determinan, mediante dicha consulta, que el usuario ya ha sido autenticado en una anterior ocasión durante dicha sesión, enviar una respuesta ("positiva") de autenticación a la entidad que solicitó la autenticación del usuario, y
b) si dichos medios de comprobación de autenticación determinan, mediante dicha consulta, que el usuario no ha sido autenticado en una anterior ocasión durante dicha sesión, dirigir una solicitud de autenticación a un nodo de autenticación de la red de telecomunicaciones;
estando los medios de comprobación de autenticación configurados para recibir una respuesta a la solicitud de autenticación, desde el nodo de autenticación, y de remitir una respuesta de autenticación a la entidad que solicitó la autenticación del usuario, de acuerdo con dicha respuesta a la solicitud de autenticación.
De esta manera, se puede aprovechar toda la infraestructura de autenticación que ya existe en la red y sólo añadir los nodos de aserción de identidad, que se pueden diseñar de una forma sustancialmente independiente de los nodos de autenticación y que no tienen que incluir medios de autenticación propiamente dichos. Esto puede simplificar sustancialmente la creación de los nodos de aserción de identidad, a la vez que se permite aprovechar, de forma fácil, nuevos recursos de autenticación que se vaya incorporando a la red, sin necesidad de incorporar dichos recursos en los propios nodos de aserción de identidad. Por ejemplo, si se incorporan a la red nuevos recursos o nodos de autenticación con niveles de seguridad superiores a los que antes existían, los nodos de aserción pueden dirigirse a ellos cuando reciben peticiones de autenticación que requieren dichos niveles de seguridad, sin que los propios nodos de aserción de identidad tengan que alojar los nuevos recursos de autenticación.
La base de datos puede incluir un listado de sesiones abiertas, una indicación de un usuario para cada sesión, y una indicación de un estado de autenticación de dicho usuario en dicha sesión. De esta manera, el nodo de aserción puede, en cada caso, determinar si es necesario o no dirigir una solicitud de autenticación a un nodo de autenticación.
La indicación de un estado de autenticación puede incluir una indicación de, al menos, un nivel de seguridad correspondiente a un nivel de seguridad con el que se ha realizado un proceso de autenticación del usuario durante dicha sesión. De esta manera, si el nodo de aserción recibe una petición de autenticación indicando un nivel de seguridad determinado (o un nivel de seguridad mínimo exigido), el nodo de aserción puede comprobar si el eventual proceso de autenticación del usuario realizado durante la sesión corresponde a dicho nivel de seguridad determinado (o a uno superior). De esta forma, el nodo de aserción sólo tiene que solicitar una "nueva" autenticación a un nodo de autenticación si la nueva petición de autenticación requiere una autenticación con un nivel de seguridad superior al nivel de seguridad (o a uno de los niveles de seguridad) que consta(n) en la base de datos.
La red de telecomunicaciones puede incluir una pluralidad de nodos de autenticación, estando cada nodo de autenticación configurado para realizar procesos de autenticación con, al menos, un nivel de seguridad, estando al menos un nodo de autenticación configurado para realizar procesos de autenticación con un nivel de seguridad diferente al nivel de seguridad del proceso de autenticación de otro nodo de autenticación, incluyendo la petición de autenticación una indicación de un nivel de seguridad deseado, estando el nodo de aserción de identidad configurado de manera que los medios de comprobación dirijan una solicitud de autenticación a un nodo de autenticación seleccionado entre la pluralidad de nodos de autenticación disponibles, en función del nivel de seguridad deseado. Esto permite optimizar el uso de los recursos en la red, ya que en cada caso se puede recurrir a un nodo de autenticación o a otro, en función del nivel de seguridad que se necesita (y del tipo de credenciales que puede aportar el usuario).
Pueden existir varios de niveles de seguridad, y las peticiones pueden incluir una indicación de un nivel de seguridad deseado; en estos casos, los medios de comprobación de autenticación como respuesta a una petición de autenticación pueden estar configurados para
- determinar mediante una consulta a una base de datos si el usuario ya ha sido autenticado con dicho nivel de seguridad en una anterior ocasión durante una misma sesión y,
a) si dichos medios de comprobación determinan, mediante dicha consulta, que el usuario ya ha sido autenticado con dicho nivel de seguridad (o con un nivel de seguridad "más alto" aceptado por la entidad que solicitó la autenticación) en una anterior ocasión durante la misma sesión, enviar una respuesta de autenticación ("positiva") a la entidad que solicitó la autenticación del usuario, y
b) si dichos medios de comprobación determinan, mediante dicha consulta, que el usuario no ha sido autenticado con dicho nivel de seguridad en una anterior ocasión durante la misma sesión, dirigir una solicitud de autenticación a un nodo de autenticación de la red de telecomunicaciones, con capacidad de realizar una autenticación con dicho nivel de seguridad.
La solicitud de autenticación puede incluir, al menos, una identificación del usuario y una identificación de un nivel de seguridad.
La respuesta a la solicitud de autenticación puede incluir, al menos, una identificación del usuario, una identificación de un nivel de seguridad y una indicación de un resultado de la autenticación en el nodo de autenticación (autenticación que puede haber tenido lugar en este ocasión o en una anterior en la misma sesión).
La identificación del usuario puede comprender el MSISDN ("Mobile Station International ISDN Number") del usuario.
La solicitud de autenticación se puede enviar desde el nodo de aserción de identidad al nodo de autenticación en el protocolo HyperText Transfer Protocol (HTTP), un protocolo de aceptación universal y que forma la base de Internet. Dentro de las funciones que HTTP permite se encuentra la de redirección: cuando un usuario realiza una petición HTTP a un servidor, éste puede contestar con una respuesta válida (códigos de respuesta 2XX) o bien redirigir al usuario a otro servidor donde se le atenderá (códigos 3XX). Esta redirección en los navegadores actuales es completamente transparente para el usuario. En la tecnología Liberty Alliance® se utiliza para que el servicio que quiere conocer la identidad del usuario envíe al mismo al Proveedor de Identidad, quien una vez autenticado el usuario lo redirige de vuelta al servicio transportando las credenciales de identidad.
HTTP permite incluir en una petición una serie de parámetros dirigidos al servidor. Estos parámetros se pueden incluir de dos modos, GET y POST, que se diferencian básicamente en el campo del protocolo en el que viajan los parámetros. En el caso de GET los parámetros se transportan a continuación de la dirección (URL) del recurso que se solicita. Mientras que en el caso POST, los parámetros se transportan en el cuerpo del mensaje.
El sistema de la invención puede basarse en el mismo mecanismo para implementar la comunicación entre el nodo de aserción de identidad y el nodo de autenticación, tal y como se explicará más adelante, en relación con la descripción de una realización preferida de la invención.
La solicitud de autenticación se puede enviar desde el nodo de aserción de identidad al nodo de autenticación, por la red de telecomunicaciones.
La respuesta de autenticación puede comprender credenciales que acreditan el usuario ante la entidad que solicitó la autenticación del usuario.
El nodo de autenticación puede estar configurado para, como respuesta a una solicitud de autenticación, enviar una petición de credenciales al usuario para recibir una presentación de credenciales del usuario.
Otro aspecto de la invención se refiere a un método de aserción de identidades en una red de telecomunicaciones, del tipo que incluye, al menos, un nodo de autenticación de un usuario ante la red, estando dicho, al menos un, nodo de autenticación configurado para realizar un proceso de autenticación de la identidad del usuario a partir de credenciales electrónicas facilitadas por el usuario y para generar un respuesta positiva o negativa en función de un resultado de dicho proceso de autenticación.
El método comprende los pasos de:
recibir, en un nodo de red que se puede denominar "nodo de aserción de identidad" -y que es distinto al (sustancialmente independiente del) nodo de autenticación-, una petición de autenticación de un usuario , desde una entidad que solicita autenticación del usuario;
determinar, mediante una consulta a una base de datos (que puede formar parte del nodo de aserción de identidad), si el usuario ya ha sido autenticado en una anterior ocasión durante una misma sesión de comunicaciones establecida por el usuario y,
a) si se determina, mediante dicha consulta, que el usuario ya ha sido autenticado en una anterior ocasión durante dicha sesión, enviar una respuesta de autenticación a la entidad que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que el usuario no ha sido autenticado en una anterior ocasión durante dicha sesión, dirigir una solicitud de autenticación a un nodo de autenticación de la red de telecomunicacio-
nes,
recibir una respuesta a la solicitud de autenticación, desde el nodo de autenticación, y
remitir una respuesta de autenticación a la entidad que solicitó la autenticación del usuario, de acuerdo con dicha respuesta a la solicitud de autenticación.
Se puede establecer, en la base de datos, un listado de sesiones abiertas, una indicación de un usuario para cada sesión, y una indicación de un estado de autenticación de dicho usuario en dicha sesión.
Se puede incluir, en la indicación de un estado de autenticación, una indicación de, al menos, un nivel de seguridad correspondiente a un nivel de seguridad con el que se ha realizado un proceso de autenticación del usuario durante dicha sesión.
En los casos en los que la red de telecomunicaciones incluye una pluralidad de nodos de autenticación, estando cada nodo de autenticación configurado para realizar procesos de autenticación con, al menos, un nivel de seguridad, estando al menos un nodo de autenticación configurado para realizar procesos de autenticación con un nivel de seguridad diferente al nivel de seguridad del proceso de autenticación de otro nodo de autenticación,
se puede incluir, en la petición de autenticación, una indicación de un nivel de seguridad deseado, y el nodo de aserción de identidad puede entonces dirigir la solicitud de autenticación a un nodo de autenticación que el nodo de aserción selecciona entre la pluralidad de nodos de autenticación, en función del nivel de seguridad desea-
do.
Pueden existir varios niveles de seguridad, de manera que se puede incluir en las peticiones de autenticación una indicación de un nivel de seguridad deseado. Entonces, en el nodo de aserción de identidad, se pueden realizar los siguientes pasos:
- determinar mediante una consulta a una base de datos si el usuario ya ha sido autenticado con dicho nivel de seguridad deseado en una anterior ocasión durante una misma sesión y,
a) si se determina, mediante dicha consulta, que el usuario ya ha sido autenticado con dicho nivel de seguridad en una anterior ocasión durante la misma sesión, enviar una respuesta de autenticación a la entidad que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que el usuario no ha sido autenticado con dicho nivel de seguridad en una anterior ocasión durante la misma sesión, dirigir una solicitud de autenticación a un nodo de autenticación de la red de telecomunicaciones, con capacidad de realizar una autenticación con dicho nivel de seguridad.
Se puede incluir en la solicitud de autenticación, al menos, una identificación del usuario y una identificación de un nivel de seguridad.
Se puede incluir en la respuesta a la solicitud de autenticación, al menos, una identificación del usuario, una identificación de un nivel de seguridad y una indicación de un resultado de la autenticación en el nodo de autentica-
ción.
Para la identificación del usuario se puede usar el MSISDN del usuario.
La solicitud de autenticación se puede enviar desde el nodo de aserción de identidad al nodo de autenticación en el protocolo HyperText Transfer Protocol (HTTP).
La solicitud de autenticación se puede enviar desde el nodo de aserción de identidad al nodo de autenticación por la red de telecomunicaciones.
Se puede incluir, en la respuesta de autenticación, credenciales que acreditan el usuario ante la entidad.
Se puede enviar, desde el nodo de autenticación, como respuesta a una solicitud de autenticación, una petición de credenciales al usuario para recibir una presentación de credenciales del usuario.
Breve descripción de los dibujos
A continuación se pasa a describir de manera muy breve una serie de dibujos que ayudan a comprender mejor la invención y que se relacionan expresamente con una realización de dicha invención que se presenta como un ejemplo ilustrativo y no limitativo de ésta.
Las figuras 1-3 son diagramas de bloques que reflejan sistemas de autenticación de usuarios ante entidades que ofrecen servicios, de acuerdo con el estado de la técnica.
Las figuras 4 y 5 son diagramas de bloques que reflejan un sistema de acuerdo con una realización de la invención.
La figura 6 refleja, de forma esquemática, un posible formato de una solicitud de autenticación a un nodo de autenticación de la red de telecomunicaciones, y de la respuesta a la solicitud de autenticación, de acuerdo con una realización de la invención.
Descripción de una realización de la invención
De acuerdo con una realización de la invención, ilustrada de forma esquemática en las figuras 4 y 5, ésta se implementa en una red de telecomunicaciones que incluye una pluralidad de nodos de autenticación (400, 401, 402) de un usuario 100 ante la red. Los nodos de autenticación pueden ser convencionales, del tipo que está configurado para realizar un proceso de autenticación 4 de la identidad del usuario 100 a partir de credenciales electrónicas facilitadas por el usuario y para generar una respuesta 4.1 positiva o negativa en función de un resultado de dicho proceso de autenticación. De acuerdo con esta realización de la invención, cada nodo de autenticación está configurado para realizar procesos de autenticación con (al menos) un nivel de seguridad: por ejemplo, el nodo de autenticación 400 puede estar configurado para autenticar el usuario con un primer nivel de seguridad A que requiere credenciales basadas en algo que sólo el usuario mismo puede (o debe) conocer (por ejemplo, una contraseña), el nodo de autenticación 401 puede estar configurado para autenticar el usuario con un segundo nivel de seguridad B (más alto que el primer nivel de seguridad) que requiere credenciales basadas en algo que sólo el usuario correcto puede (o debe) poseer (por ejemplo, una tarjeta especial que calcula números aleatorios o unas llaves digitales conectadas al PC), y otro nodo de autenticación 402 puede estar configurado para autenticar el usuario con un tercer nivel de seguridad C (más alto que A y B) y que requiere credenciales basadas en algo que sólo el usuario correcto puede "ser" (por ejemplo, el poseedor de sus huellas digitales o voz).
El sistema de aserción de identidades comprende un nodo de aserción de identidad 500 que a su vez comprende:
medios 501 de recepción de peticiones de autenticación 1 de usuarios 100, desde entidades 200 que solicitan 1 autenticación de usuarios 100 (por ejemplo, entidades que ofrecen determinados servicios y que reciben, desde los usuarios, peticiones 0 de servicio); y
medios 502 de comprobación de autenticación como respuesta a una petición de autenticación.
Los medios 502 de comprobación de autenticación están configurados para
- determinar, mediante una consulta a una base de datos 503, si el usuario 100 ya ha sido autenticado en una anterior ocasión durante una misma sesión de comunicaciones establecida por el usuario y,
a) si dichos medios 502 de comprobación de autenticación determinan, mediante dicha consulta, que el usuario 100 ya ha sido autenticado en una anterior ocasión durante dicha sesión, enviar una respuesta de autenticación 5 "positiva" a la entidad 200 que solicitó la autenticación del usuario, y
b) si dichos medios 502 de comprobación de autenticación determinan, mediante dicha consulta, que el usuario 100 no ha sido autenticado en una anterior ocasión durante dicha sesión, dirigir una solicitud de autenticación 1.1 a un nodo de autenticación (400, 401 ó 402) de la red de telecomunicaciones.
Los medios 502 de comprobación de autenticación están configurados para recibir una respuesta 4.1 a la solicitud de autenticación, desde el nodo de autenticación, y de remitir una respuesta de autenticación 5 a la entidad 200 que solicitó la autenticación del usuario, de acuerdo con dicha respuesta 4.1 a la solicitud de autenticación (la entidad puede luego enviar al usuario, la respuesta 6 a la petición 0 de servicio). El nodo de autenticación 400 puede realizar la autenticación enviando, en primer lugar, una petición 2 de credenciales directamente al usuario y, una vez que recibe la presentación 3 de credenciales del usuario, realizar un proceso de autenticación 4 basado en dichas credenciales.
La base de datos 503 incluye un listado de sesiones abiertas, una indicación de un usuario 100 para cada sesión y una indicación de un estado de autenticación de dicho usuario 100 en dicha sesión; la indicación de un estado de autenticación incluye una indicación de, al menos, un nivel de seguridad (A, B, C) correspondiente a un nivel de seguridad con el que se ha realizado un proceso de autenticación del usuario durante dicha sesión.
La petición de autenticación incluye una indicación de un nivel de seguridad deseado (A, B o C) y el nodo de aserción de identidad 500 está configurado de manera que los medios de comprobación 502 dirijan (si es necesario) una solicitud de autenticación 1.1 a un nodo de autenticación 400 seleccionado de entre la pluralidad de nodos de autenticación (400, 401, 402) en función del nivel de seguridad deseado.
Concretamente, cuando el nodo de aserción de identidad 500 recibe la petición de autenticación, los medios 502 determinan, mediante una consulta a la base de datos 503, si el usuario 100 ya ha sido autenticado con dicho nivel de seguridad deseado y,
- si determinan que el usuario 100 ya ha sido autenticado con dicho nivel de seguridad deseado (o con un nivel de seguridad mayor) en una anterior ocasión durante la misma sesión, envían una respuesta de autenticación 5 a la entidad 200 que solicitó la autenticación del usuario, pero
- si determinan que el usuario 100 no ha sido autenticado con dicho nivel de seguridad (o con un nivel de seguridad mayor) en una anterior ocasión durante la misma sesión, dirigen una solicitud de autenticación a un nodo de autenticación de la red de telecomunicaciones, con capacidad de realizar una autenticación con dicho nivel de seguridad deseado.
Por ejemplo, puede ser que el usuario 100, durante una sesión, en un primer momento es autenticado con un primer nivel de seguridad A (por ejemplo, con una simple contraseña), para acceder a un servicio que requiere "poco seguridad" (tal vez una consulta de carácter general); esta autenticación se realiza a través de un nodo de autenticación 400 que soporta dicho primer nivel de seguridad y la base de datos 503 registra que se ha realizado una autenticación del usuario con este primer nivel de seguridad.
Luego, durante la misma sesión, es posible que el usuario quiere acceder a un servicio que requiere un nivel de seguridad B mayor (por ejemplo, la realización de una transacción económica) y para la cual se requieren llaves digitales que el usuario tiene en una tarjeta especial (posiblemente, en combinación con la contraseña). La entidad que gestiona el servicio envía la petición 1 de autenticación al nodo de aserción de identidad 500, que comprueba en la base de datos que el usuario, en la sesión que está en marcha, sólo ha sido autenticado con el primer nivel de seguridad A. Entonces, el nodo de aserción de identidad envía una solicitud de autenticación 1.1 a un nodo de autenticación 401 que soporta el segundo nivel de seguridad B.
Tal y como se ha descrito más arriba, se puede usar HTTP (HyperText Transfer Protocol) para la comunicación entre el nodo de aserción de identidad 500 y los nodos de autenticación 400/401/402, aprovechando que HTTP permite incluir (con GET o POST), en una petición, una serie de parámetros dirigidos al servidor. En una posible realización de la invención, se usa este mecanismo para la comunicación entre el nodo de aserción de identidad y los nodos de autenticación, de manera que cuando el nodo de aserción de entidad recibe una petición 1 de autenticación de un usuario 100 desde una entidad 200, lo redirige al nodo de autenticación 400/401/402 con una respuesta http 302 e inserta una serie de parámetros en modo GET o POST para hacer posible la comunicación. El nodo de autenticación recibe el mensaje 1.1, recoge los parámetros y una vez completada la autenticación 4, lo devuelve 4.1 al nodo de aserción de identidad 500 con su respuesta escrita en los parámetros.
El flujo puede ser el siguiente:
I. Una entidad 200 que ofrece un servicio necesita autenticar a un usuario 100, siguiendo por ejemplo protocolos Liberty Alliance®. Por lo tanto dirige una petición de autenticación 1.1 al nodo de aserción de identidad 500, especificando el tipo de autenticación deseado (incluyendo requisitos de nivel de seguridad).
II. El nodo de aserción de identidad 500 redirige 1.1 el mensaje de petición de autenticación al nodo de autenticación 400/401/402, añadiendo los parámetros necesarios (ver más abajo).
III. El mensaje 1.1 llega al nodo de autenticación 400/401/402, que a su vez realiza una autenticación con el nivel de seguridad requerido, de forma convencional.
IV. Cuando se haya obtenido un resultado (positivo o negativo) del proceso de autenticación, el nodo de autenticación redirige el mensaje 4.1 de vuelta al nodo de aserción de identidad 500, actualizando correspondientemente los parámetros.
V. Dependiendo del éxito de la autenticación, el nodo de aserción de identidad 500 responde 5 a la entidad 200 con las credenciales de identidad adecuadas o con un mensaje de error adecuado.
Los pasos I y V pueden ser convencionales, por ejemplo, idénticos a los de sistemas convencionales basados en Proveedores de Identidad (como Liberty Alliance®).
La figura 6 refleja un posible contenido de una solicitud de autenticación (1.1) y de un mensaje de respuesta (4.1) del nodo de autenticación, respectivamente.
Concretamente, la solicitud y el mensaje incluyen los siguientes elementos/campos:
601: una identificación del usuario 100 (por ejemplo, su "MSISDN")
602: una identificación de un nivel de seguridad (A, B, C) ("AuthnContext")
603: una identificación de la entidad 200 que solicitó la autenticación ("ProviderID")
604: un código de seguridad ("SecToken") que valida al nodo de aserción de identidad 500 frente al nodo de autenticación 400/401/402 y viceversa. Este código puede corresponder a una firma digital u otro código que permita garantizar la identidad de un nodo ante el otro, para reducir el riesgo de fraudes.
605: un valor que identifica unívocamente a cada transacción de autenticación en particular ("TransID")
606/607: el estado de la autenticación ("Status"): REQ, OK, NOK o código de error (ver más abajo); REQ será utilizado (606) en las solicitudes de autenticación 1.1, y OK/NOK o código de error (607) en las respuestas 4.1.
A modo de ejemplo, el campo 606/607 puede, por lo tanto, tener los siguientes valores:
606:
"REQ":
Código por el que el nodo de aserción de identidad solicita una autenticación al nodo de autenticación
\vskip1.000000\baselineskip
607:
"OK":
Resultado positivo del proceso de autenticación 4
"NOK"
Resultado negativo del proceso de autenticación 4 (por ejemplo, debido a que el usuario introdujo una contraseña -"código PIN"- errónea
"101"
Falta un parámetro
"102"
Parámetro duplicado
"103"
Parámetro desconocido
"104"
Contexto de autenticación desconocido (es decir, el nodo de autenticación no puede realizar la autenticación con el nivel de seguridad exigido)
"105"
MSISDN incorrecto
"106"
Código de seguridad inválido
"110"
Error al conectar a alguna entidad externa, por ejemplo a una infraestructura PKI ("Public Key Infrastructure")
"120"
Error interno
"130"
Tiempo máximo de espera sobrepasado
"150"
Error desconocido.
A lo largo de la presente descripción y reivindicaciones la palabra "comprende" y variaciones de la misma, como "comprendiendo", no pretenden excluir otros pasos o componentes.

Claims (24)

1. Un sistema de aserción de identidades en una red de telecomunicaciones, incluyendo la red de telecomunicaciones, al menos, un nodo de autenticación (400, 401, 402) de un usuario (100) ante la red, estando dicho, al menos un, nodo de autenticación (400, 401, 402) configurado para realizar un proceso de autenticación (4) de la identidad del usuario (100) a partir de credenciales electrónicas facilitadas por el usuario y para generar una respuesta (4.1) positiva o negativa en función de un resultado de dicho proceso de autenticación (4);
comprendiendo el sistema de aserción de identidades
un nodo de aserción de identidad (500) que comprende:
medios (501) de recepción de peticiones de autenticación (1) de usuarios (100), desde entidades (200) que solicitan autenticación de usuarios (100);
medios (502) de comprobación de autenticación como respuesta a una petición de autenticación,
caracterizado porque
dichos medios (502) de comprobación de autenticación están configurados para
- determinar, mediante una consulta a una base de datos (503), si el usuario (100) ya ha sido autenticado en una anterior ocasión durante una misma sesión de comunicaciones establecida por el usuario y,
a) si dichos medios (502) de comprobación de autenticación determinan, mediante dicha consulta, que el usuario (100) ya ha sido autenticado en una anterior ocasión durante dicha sesión, enviar una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y
b) si dichos medios (502) de comprobación de autenticación determinan, mediante dicha consulta, que el usuario (100) no ha sido autenticado en una anterior ocasión durante dicha sesión, dirigir una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones;
estando los medios (502) de comprobación de autenticación configurados para recibir una respuesta (4.1) a la solicitud de autenticación (1.1), desde el nodo de autenticación (400), y de remitir una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, de acuerdo con dicha respuesta (4.1) a la solicitud de autenticación.
2. Un sistema de acuerdo con la reivindicación 1, caracterizado porque la base de datos incluye un listado de sesiones abiertas, una indicación de un usuario (100) para cada sesión, y una indicación de un estado de autenticación de dicho usuario (100) en dicha sesión.
3. Un sistema de acuerdo con la reivindicación 2, caracterizado porque la indicación de un estado de autenticación incluye una indicación de, al menos, un nivel de seguridad (A, B, C) correspondiente a un nivel de seguridad con el que se ha realizado un proceso de autenticación del usuario durante dicha sesión.
4. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la red de telecomunicaciones incluye una pluralidad de nodos de autenticación (400, 401, 402), estando cada nodo de autenticación configurado para realizar procesos de autenticación con, al menos, un nivel de seguridad (A, B, C), estando al menos un nodo de autenticación (400) configurado para realizar procesos de autenticación con un nivel de seguridad (A) diferente al nivel de seguridad (BIC) del proceso de autenticación (B/C) de otro nodo de autenticación (401/402), incluyendo la petición de autenticación (1) una indicación de un nivel de seguridad deseado (A), estando el nodo de aserción de identidad (500) configurado de manera que los medios (502) de comprobación de autenticación dirijan una solicitud de autenticación (1.1) a un nodo de autenticación (400) seleccionado de entre la pluralidad de nodos de autenticación (400, 401, 402) en función del nivel de seguridad deseado (A).
5. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque existen varios de niveles de seguridad, porque las peticiones de autenticación (1) incluyen una indicación de un nivel de seguridad deseado (A), y porque los medios (502) de comprobación de autenticación como respuesta a una petición de autenticación están configurados para
- determinar mediante una consulta a una base de datos (503) si el usuario (100) ya ha sido autenticado con dicho nivel de seguridad (A) en una anterior ocasión durante una misma sesión y,
a) si dichos medios (502) de comprobación de autenticación determinan, mediante dicha consulta, que el usuario (100) ya ha sido autenticado con dicho nivel de seguridad (A) en una anterior ocasión durante la misma sesión, enviar una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y
b) si dichos medios (502) de comprobación de autenticación determinan, mediante dicha consulta, que el usuario (100) no ha sido autenticado con dicho nivel de seguridad (A) en una anterior ocasión durante la misma sesión, dirigir una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones, con capacidad de realizar una autenticación con dicho nivel de seguridad (A).
6. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la solicitud de autenticación (1.1) incluye, al menos, una identificación (601) del usuario (100) y una identificación (602) de un nivel de seguridad (A, B, C).
7. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la respuesta (4.1) a la solicitud de autenticación incluye, al menos, una identificación (601) del usuario (100), una identificación (602) de un nivel de seguridad (A, B, C) y una indicación (607) de un resultado de la autenticación (4) en el nodo de autenticación.
8. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la identificación (601) del usuario comprende el MSISDN del usuario.
9. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la solicitud de autenticación (1.1) se envía desde el nodo de aserción de identidad (500) al nodo de autenticación (400) bajo el protocolo HyperText Transfer Protocol (HTTP).
10. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la solicitud de autenticación (1.1) se envía desde el nodo de aserción de identidad (500) al nodo de autenticación (400) por la red de telecomunicaciones.
11. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque la respuesta de autenticación (5) comprende credenciales que acreditan el usuario (100) ante la entidad (200).
12. Un sistema de acuerdo con cualquiera de las reivindicaciones anteriores, caracterizado porque el nodo de autenticación (400) está configurado para, como respuesta a una solicitud de autenticación (1.1), enviar una petición de credenciales (2) al usuario (100) para recibir una presentación de credenciales (3) del usuario (100).
13. Un método de aserción de identidades en una red de telecomunicaciones, incluyendo la red de telecomunicaciones, al menos, un nodo de autenticación (400, 401, 402) de un usuario (100) ante la red, estando dicho, al menos un, nodo de autenticación (400, 401, 402) configurado para realizar un proceso de autenticación (4) de la identidad del usuario (100) a partir de credenciales electrónicas facilitadas por el usuario y para generar un respuesta (4.1) positiva o negativa en función de un resultado de dicho proceso de autenticación (4);
comprendiendo el método los pasos de:
recibir, en un nodo de aserción de identidad (500), una petición de autenticación (1) de un usuario (100), desde una entidad (200) que solicita autenticación del usuario (100);
determinar, mediante una consulta a una base de datos (503), si el usuario (100) ya ha sido autenticado en una anterior ocasión durante una misma sesión de comunicaciones establecida por el usuario y,
a) si se determina, mediante dicha consulta, que el usuario (100) ya ha sido autenticado en una anterior ocasión durante dicha sesión, enviar una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que el usuario (100) no ha sido autenticado en una anterior ocasión durante dicha sesión, dirigir una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones,
recibir una respuesta (4.1) a la solicitud de autenticación, desde el nodo de autenticación (400), y
remitir una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, de acuerdo con dicha respuesta (4.1) a la solicitud de autenticación.
14. Un método de acuerdo con la reivindicación 13, caracterizado porque se establece, en la base de datos, un listado de sesiones abiertas, una indicación de un usuario (100) para cada sesión, y una indicación de un estado de autenticación de dicho usuario (100) en dicha sesión.
15. Un método de acuerdo con la reivindicación 14, caracterizado porque se incluye, en la indicación de un estado de autenticación, una indicación de, al menos, un nivel de seguridad (A, B, C) correspondiente a un nivel de seguridad con el que se ha realizado un proceso de autenticación del usuario durante dicha sesión.
\vskip1.000000\baselineskip
16. Un método de acuerdo con cualquiera de las reivindicaciones 13-15, caracterizado porque, incluyendo la red de telecomunicaciones una pluralidad de nodos de autenticación (400, 401, 402), estando cada nodo de autenticación configurado para realizar procesos de autenticación con, al menos, un nivel de seguridad (A, B, C), estando al menos un nodo de autenticación (400) configurado para realizar procesos de autenticación con un nivel de seguridad (A) diferente al nivel de seguridad (B/C) del proceso de autenticación (B/C) de otro nodo de autenticación (401/402),
se incluye en la petición de autenticación (1) una indicación de un nivel de seguridad deseado (A), y el nodo de aserción de identidad (500) dirige la solicitud de autenticación (1.1) a un nodo de autenticación (400) que el nodo de aserción selecciona entre la pluralidad de nodos de autenticación (400, 401, 402), en función del nivel de seguridad deseado (A).
17. Un método de acuerdo con cualquiera de las reivindicaciones 13-16, caracterizado porque existen varios de niveles de seguridad, porque se incluye en las peticiones de autenticación una indicación de un nivel de seguridad deseado (A), y, en el nodo de aserción de identidad se realiza los siguientes pasos:
- determinar mediante una consulta a una base de datos (503) si el usuario (100) ya ha sido autenticado con dicho nivel de seguridad deseado (A) en una anterior ocasión durante una misma sesión y,
a) si se determina, mediante dicha consulta, que el usuario (100) ya ha sido autenticado con dicho nivel de seguridad (A) en una anterior ocasión durante la misma sesión, enviar una respuesta de autenticación (5) a la entidad (200) que solicitó la autenticación del usuario, y
b) si se determina, mediante dicha consulta, que el usuario (100) no ha sido autenticado con dicho nivel de seguridad (A) en una anterior ocasión durante la misma sesión, dirigir una solicitud de autenticación (1.1) a un nodo de autenticación (400) de la red de telecomunicaciones, con capacidad de realizar una autenticación con dicho nivel de seguridad (A).
18. Un método de acuerdo con cualquiera de las reivindicaciones 13-17, caracterizado porque se incluye en la solicitud de autenticación (1.1), al menos, una identificación (601) del usuario (100) y una identificación (602) de un nivel de seguridad (A, B, C).
19. Un método de acuerdo con cualquiera de las reivindicaciones 13-18, caracterizado porque se incluye en la respuesta (4.1) a la solicitud de autenticación, al menos, una identificación (601) del usuario (100), una identificación (602) de un nivel de seguridad (A, B, C) y una indicación (607) de un resultado de la autenticación (4) en el nodo de autenticación.
20. Un método de acuerdo con cualquiera de las reivindicaciones 13-19, caracterizado porque para la identificación (601) del usuario se usa el MSISDN del usuario.
21. Un método de acuerdo con cualquiera de las reivindicaciones 13-20, caracterizado porque la solicitud de autenticación (1.1) se envía desde el nodo de aserción de identidad (500) al nodo de autenticación (400) bajo el protocolo HyperText Transfer Protocol (HTTP).
22. Un método de acuerdo con cualquiera de las reivindicaciones 13-21, caracterizado porque la solicitud de autenticación (1.1) se envía desde el nodo de aserción de identidad (500) al nodo de autenticación (400) por la red de telecomunicaciones.
23. Un método de acuerdo con cualquiera de las reivindicaciones 13-22, caracterizado porque se incluye, en la respuesta de autenticación (5), credenciales que acreditan el usuario (100) ante la entidad (200).
24. Un método de acuerdo con cualquiera de las reivindicaciones 13-23, caracterizado porque se envía desde el nodo de autenticación (400), como respuesta a una solicitud de autenticación (1.1), una petición de credenciales (2) al usuario (100) para recibir una presentación de credenciales (3) del usuario (100).
ES200401544A 2004-06-24 2004-06-24 Sistema y metodo de asercion de identidades en una red de telecomunicaciones. Active ES2264853B1 (es)

Priority Applications (2)

Application Number Priority Date Filing Date Title
ES200401544A ES2264853B1 (es) 2004-06-24 2004-06-24 Sistema y metodo de asercion de identidades en una red de telecomunicaciones.
EP05380109A EP1610528A3 (en) 2004-06-24 2005-05-30 System and method of asserting identities in a telecommunications network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES200401544A ES2264853B1 (es) 2004-06-24 2004-06-24 Sistema y metodo de asercion de identidades en una red de telecomunicaciones.

Publications (2)

Publication Number Publication Date
ES2264853A1 ES2264853A1 (es) 2007-01-16
ES2264853B1 true ES2264853B1 (es) 2007-12-16

Family

ID=35115967

Family Applications (1)

Application Number Title Priority Date Filing Date
ES200401544A Active ES2264853B1 (es) 2004-06-24 2004-06-24 Sistema y metodo de asercion de identidades en una red de telecomunicaciones.

Country Status (2)

Country Link
EP (1) EP1610528A3 (es)
ES (1) ES2264853B1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2891677A1 (fr) 2005-10-05 2007-04-06 France Telecom Procede d'authentification d'un client, fournisseurs d'identites et de services, signaux de requete d'authentification et d'assertion d'authentification, et programmes d'ordinateur correspondants
DE102006017765A1 (de) * 2006-04-12 2007-10-18 Deutsche Telekom Ag Verfahren und Kommunikationssystem zum Bereitstellen eines personalisierbaren Zugangs zu einer Gruppe von Einrichtungen
CN101047691B (zh) * 2006-04-29 2010-04-07 华为技术有限公司 一种对订阅进行集中控制的方法
FI121646B (fi) * 2007-08-08 2011-02-15 Teliasonera Finland Oyj Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan
EP2107757A1 (en) * 2008-03-31 2009-10-07 British Telecommunications Public Limited Company Identity management
WO2009136795A1 (en) * 2008-05-05 2009-11-12 Systek As Authentication of sessions between mobile clients and a server
WO2010149223A1 (en) * 2009-06-26 2010-12-29 Nokia Siemens Networks Oy Identity management
US8984588B2 (en) 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US9202026B1 (en) * 2011-11-03 2015-12-01 Robert B Reeves Managing real time access management to personal information
CN112565337B (zh) * 2020-11-06 2022-09-30 北京奇艺世纪科技有限公司 请求传输方法、服务端、客户端、系统及电子设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
KR100470303B1 (ko) * 2002-04-23 2005-02-05 에스케이 텔레콤주식회사 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법
US20060053296A1 (en) * 2002-05-24 2006-03-09 Axel Busboom Method for authenticating a user to a service of a service provider
US7526798B2 (en) * 2002-10-31 2009-04-28 International Business Machines Corporation System and method for credential delegation using identity assertion

Also Published As

Publication number Publication date
ES2264853A1 (es) 2007-01-16
EP1610528A2 (en) 2005-12-28
EP1610528A3 (en) 2007-12-19

Similar Documents

Publication Publication Date Title
ES2281599T3 (es) Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable.
ES2281228B2 (es) Sistema, metodo y aparato para servicios federados de identificacion unica.
US11388174B2 (en) System and method for securing a communication channel
US9323915B2 (en) Extended security for wireless device handset authentication
CN106973041B (zh) 一种颁发身份认证凭据的方法、系统及认证服务器
US7221935B2 (en) System, method and apparatus for federated single sign-on services
ES2380320T3 (es) Procedimiento y sistema para la autenticación de un usuario de un sistema de procesado de datos
CA2463286C (en) Multi-factor authentication system
CN105516195B (zh) 一种基于应用平台登录的安全认证系统及其认证方法
CN109089264A (zh) 一种移动终端免密登录的方法及系统
EP1610528A2 (en) System and method of asserting identities in a telecommunications network
CN101785276A (zh) 用于执行资源委托的方法和系统
EP1102157A1 (en) Method and arrangement for secure login in a telecommunications system
CN101014958A (zh) 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
JP2009510644A (ja) 安全な認証のための方法及び構成
ES2311821T3 (es) Sistema de autenticacion.
ES2431625T3 (es) Autentificación de datos personales en sistemas de telecomunicaciones
CN109905874A (zh) 基于区块链的自主择号的方法及系统
ES2300850T3 (es) Aparato y metodo para la prevencion del fraude cuando se accede a traves de redes de area local inalambricas.
EP3547734A1 (en) Authentication for a communication system
ES2390935T3 (es) Cobro por servicios en una red de comunicación
ES2940642T3 (es) Procedimientos y dispositivos para la inscripción y autenticación de un usuario en un servicio
US20050102519A1 (en) Method for authentication of a user for a service offered via a communication system
WO2007114710A2 (en) A method and device for sim based authentification in ip networks
US20060265586A1 (en) Method and system for double secured authenication of a user during access to a service by means of a data transmission network

Legal Events

Date Code Title Description
EC2A Search report published

Date of ref document: 20070116

Kind code of ref document: A1

FG2A Definitive protection

Ref document number: 2264853B1

Country of ref document: ES