ES2305467T3 - Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. - Google Patents
Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. Download PDFInfo
- Publication number
- ES2305467T3 ES2305467T3 ES03732797T ES03732797T ES2305467T3 ES 2305467 T3 ES2305467 T3 ES 2305467T3 ES 03732797 T ES03732797 T ES 03732797T ES 03732797 T ES03732797 T ES 03732797T ES 2305467 T3 ES2305467 T3 ES 2305467T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- server
- authentication
- registration
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012795 verification Methods 0.000 claims abstract description 14
- 238000009826 distribution Methods 0.000 claims abstract description 12
- 230000004913 activation Effects 0.000 claims abstract description 8
- 230000004044 response Effects 0.000 claims abstract description 8
- 238000013475 authorization Methods 0.000 claims abstract description 4
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 11
- 238000012546 transfer Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
Procedimiento para la distribución de un certificado digital a por lo menos un usuario, disponiendo dicho por lo menos único usuario de un terminal respectivo (14) asociado con un módulo de identidad de subscriptor respectivo (19), comprendiendo el procedimiento las etapas siguientes: i) permitir el acceso del por lo menos único usuario a un servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, asociándose el acceso con una solicitud de un certificado para el usuario; ii) activar, en el terminal de usuario (14) la ejecución de un cliente (13) adaptado para activar un procedimiento de autenticación con un servidor de autenticación (11) que actúa como una pasarela a un sistema GSM, estando la activación causada por dicho servidor (1) para el auto-registro y emisión automatizada de certificados digitales, originando el cliente (13) la extracción de datos de identificación de dicho módulo de identidad de subscriptor (19) y el envío de dichos datos de identificación a dicho servidor de autenticación (11); iii) en caso de autenticación positiva, obtener en el terminal de usuario (14) parámetros de autenticación del usuario autentificado desde dicho servidor de autenticación (11); iv) crear una contraseña de un solo uso por medio de una combinación de los parámetros de autenticación y enviar dicha contraseña de un solo uso junto con los identificadores de usuario desde el terminal de usuario (14) al servidor (1) para el auto-registro y la emisión automatizada de certificados digitales; v) solicitar, desde el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales al servidor de autenticación (11), la verificación de la contraseña de un solo uso; vi) verificar, por parte de una base de datos apropiada (10) asociada con el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, y basándose en dichos identificadores de usuario, una autorización de usuario para solicitar el certificado; vii) en caso de un resultado positivo de dichas verificaciones, entrar en contacto con una autoridad de certificación (8) para la creación de un nuevo certificado para el usuario autentificado, recibiendo en respuesta parámetros relacionados con dicho certificado, y enviar los parámetros relacionados con dicho certificado a dicho usuario, para permitir a dicho usuario obtener el nuevo certificado desde dicha autoridad de certificación (8).
Description
Procedimiento de auto-registro y
emisión automatizada de certificados digitales y arquitectura de red
relacionada que implementa dicho procedimiento.
La presente invención se refiere de forma
general a la seguridad de los sistemas telemáticos y de información.
Más concretamente, se refiere a un procedimiento concreto para la
gestión de la PKI (infraestructura de clave pública), en otras
palabras los equipos para la comunicación, distribución,
mantenimiento y control de certificados digitales, que resuelve un
problema extremadamente difícil de dicha infraestructura: en
concreto la distribución de certificados digitales y la
autenticación de las solicitudes de los usuarios.
La implementación de sistemas basados en PKI
requiere la utilización de identificadores que se conocen como
"certificados digitales" que, en la práctica, actúan como
"pasaportes" electrónicos que relacionan la firma digital del
usuario con su clave pública.
La infraestructura correspondiente se basa en la
integración de medios de software y hardware y un conjunto de
protocolos de gestión para proporcionar los niveles de seguridad
básicos que se requieren para el comercio electrónico, permitiendo
que usuarios que no se conocen, o que se encuentran distribuidos
sobre un área extensa, se comuniquen y establezcan una relación de
confianza. La actividad más crítica en una infraestructura de clave
pública consiste en la identificación fiable de los usuarios que
solicitan la certificación de las claves públicas, para que se les
permita utilizar los servicios de PKI (correo electrónico seguro,
encriptado en escritorio, firma digital, SSL, VPN, etc.). De hecho,
la compañía de servicio que va a distribuir certificados digitales
según los procedimientos actuales debe solicitar al usuario que
proporcione su propio identificador válido a una autoridad de
registro (RA) autorizada, la cual a su vez solicita a una autoridad
de certificación la emisión del certificado asociado a dicho
identificador de usuario específico. El modelo completo de confianza
de cualquier modelo de infraestructura de clave pública se basa en
dicha verificación.
Sin embargo esta verificación, que se realiza
generalmente utilizando estrategias presenciales, es frecuentemente
lenta y cara en términos de gestión, hasta el punto de que a menudo
conduce a un frenado del despliegue completo de la PKI y a una
infrautilización de los servicios correspondientes.
Por otro lado, TIM S.p.a. ya ha tramitado la
patente italiana RM 200A000538 a nombre de Marcelli y Sentinelli,
que describe un procedimiento basado en protocolos de autenticación
que se utilizan normalmente para redes de telefonía móvil GSM y que
se reutilizan para el acceso a servicios telemáticos dedicados sobre
una red fija, en los cuales se solicita la identificación fiable
del usuario o de una clase de usuarios.
WO 00/02406 se refiere a la autenticación en una
red de telecomunicaciones, especialmente en una red IP. Para
permitir la identificación de los usuarios de redes IP en un área
geográfica amplia, el terminal de red IP utiliza un módulo de
identidad de subscriptor como se utiliza en un sistema separado de
comunicaciones móviles, por el cual se puede determinar una
respuesta a partir de la prueba de impugnación que se da como
entrada al módulo de identidad. La red IP comprende también un
servidor especial de seguridad, al cual se transmite un mensaje
sobre un nuevo usuario cuando un subscriptor entra en la red IP.
Dicho sistema de comunicaciones móviles obtiene de la red IP la
información de identificación del subscriptor, que contiene por lo
menos una prueba de impugnación y una respuesta, y la autenticación
se realiza basándose en la información de autenticación obtenida
del sistema de comunicaciones móviles por la transmisión de dicha
prueba de impugnación al terminal a través de la red IP, por medio
de generar una respuesta desde el módulo de identidad del terminal y
comparar la respuesta con la respuesta recibida del sistema de
comunicaciones móviles.
Uno de los objetos de la presente invención es
resolver el problema de la distribución de certificados digitales y
la autenticación de las solicitudes de los usuarios utilizando un
sistema de autenticación basado en SIM similar al ya patentado por
TIM para el acceso a servicios telemáticos dedicados sobre una red
fija. Específicamente, el procedimiento según la presente invención
tiene la intención de permitir la autenticación de las solicitudes
de certificación de los usuarios por medio de SIM, mientras que se
automatiza y acelera la distribución de certificados, y al mismo
tiempo de permitir que el operador de la red de telefonía celular
mantenga un control total del proceso. Claramente, el servicio
requiere la utilización de tarjetas SIM avanzadas que pueden actuar
también como tarjetas inteligentes convencionales y de esta forma
administrar servicios y funciones de PKI.
Otro objeto de la presente invención es
proporcionar un protocolo para el auto-registro y la
emisión automatizada de certificados digitales con la arquitectura
de red correspondiente, utilizando procedimientos de validación,
programas de propósito especial, tecnologías y componentes que son
estándar en el campo de la PKI, para conseguir que el protocolo y su
implementación sean fiables y económicos.
Estos y otros objetos que se harán claros en la
presente descripción se alcanzan por medio de tomar el sistema de
autenticación basada en SIM que se ha descrito anteriormente en la
citada patente de TIM y adaptándolo al sector de la PKI de una forma
adecuada que se describe a continuación.
En concreto, la solución utiliza un
procedimiento para la distribución de un certificado digital según
la reivindicación 1.
A continuación se describirá la presente
invención, puramente a modo de ejemplo y sin pretender limitar el
ámbito de validez de la invención, en referencia a las figuras
adjuntas que se refieren a una realización preferida, en las
cuales:
la figura 1 es un diagrama esquemático de la
arquitectura de red relacionada con el sistema que gestiona el
servicio de auto-alistamiento;
la figura 2 es un diagrama de bloques que
muestra un componente concreto de la arquitectura de red que se
muestra en la figura 1;
la figura 3 es un diagrama general de las etapas
secuenciales de operación de las funciones que implementan las fases
de alistamiento a un certificado;
la figura 4 es un diagrama específico relativo a
las fases de operación secuenciales para la verificación de las
credenciales de usuario;
la figura 5 es un diagrama de la arquitectura de
los componentes en las instalaciones de una de las partes (el
cliente) que participan en el procedimiento de alistamiento;
la figura 6 es un diagrama de bloques del
procedimiento de activación de un plug-in por parte
de un navegador;
la figura 7 es otro diagrama de bloques de la
activación de un plug-in.
La siguiente descripción proporciona detalles de
todos los aspectos técnicos del servicio de alistamiento basado en
SIM de una realización preferida de la presente invención. En primer
lugar se describirá el conjunto de la arquitectura general del
servicio, a continuación el componente de cliente y finalmente el
servidor.
La figura 1 muestra dichos componentes y las
relaciones entre ellos. En concreto, el servidor 1 para el
auto-registro y la emisión automatizada de
certificados digitales (que se abreviará de aquí en adelante como
"servidor ARA") consiste en un ordenador (por ejemplo un
servidor Sun con el sistema operativo Solaris 7) que aloja a los
módulos principales de la arquitectura.
Un servidor web 2 (del tipo iPlanet) interactúa
con dicho servidor ARA que soporta los procedimientos de
distribución de los certificados digitales, con
auto-registro y adquisición a través de web, por
medio de gestionar la portada HTML de la aplicación dedicada a este
servicio. También lo utiliza el servicio ARA para la fase de
autenticación por GSM del usuario que dispone de una tarjeta SIM
avanzada.
Dichos procedimientos para la distribución de
certificados digitales con auto-registro y
adquisición a través de web, que requiere el servicio ARA para la
interacción con las aplicaciones de sistema que se describen en más
profundidad más adelante, constituyen la herramienta que permite la
emisión de certificados digitales sin la intervención directa de un
operador físico, y proporcionan dos servicios separados:
- servicio de administración 4;
- servicio de autenticación 5.
\vskip1.000000\baselineskip
La figura 1 muestra claramente que el motor de
autenticación 3 interactúa directamente con los servicios 4 y 5 que
ejecutan los procedimientos arriba mencionados. Éste es el módulo
del servidor ARA responsable de la autenticación de los usuarios que
solicitan un certificado digital.
El fichero de registro 6 es el depositario que
registra todas las solicitudes de certificados. Las solicitudes se
registran directamente por parte del servidor web. Los datos
almacenados consisten en:
- nombre de usuario y número de registro;
- datos de autenticación;
- fecha, hora y resultado de la solicitud.
\vskip1.000000\baselineskip
El servicio de PKI 7, del cual ARA es un
cliente, comprende principalmente el servicio de autoridad de
certificación (CA) 8 y el servicio LDAP.
\newpage
Esta figura muestra también las funciones
de:
- la base de datos 10 depositaria de cliente,
que contiene la lista de usuarios autorizados para solicitar un
certificado digital,
- el servidor I-VLR 11, que
actúa como pasarela al sistema GSM,
- el cliente ARA 13, que consiste en componentes
de programa específicos (como navegadores I-E y/o
Netscape, el programa anteriormente mencionado de tipo
Entelligence, etc.) y componentes de hardware como lectores de
tarjeta inteligente/SIM y las tarjetas SIM avanzadas
correspondientes.
\vskip1.000000\baselineskip
Para configurar correctamente los cortafuegos y
encaminadores de acceso al sistema para asegurar el funcionamiento
correcto del servicio ARA, deben habilitarse los siguientes
protocolos TCP:
- SEP, por defecto en el puerto 709, que se
requiere para la gestión de clave y las fases de inicialización
entre el sistema de PKI y el software de cliente y/o el usuario,
- HTTP, por defecto en el puerto 80, para los
diálogos entre la librería de autenticación GSM y el servidor
I-VLR,
- HTTPs, por defecto en el puerto 443, para los
diálogos entre el navegador del usuario y el servidor ARA, y entre
el servidor ARA y I-VLR,
- PKIX-CMP, por defecto en el
puerto 829, para los diálogos entre el entorno de PKI y los
procedimientos para la distribución de certificados digitales con
auto-registro y su adquisición a través de web,
- LDAP, por defecto en el puerto 389, para los
diálogos entre el servidor de directorio LDAP y el protocolo que
implementa la transferencia segura de identificadores y datos en el
extremo del usuario.
\vskip1.000000\baselineskip
La figura 2 muestra la arquitectura de los
componentes de cliente del servicio ARA.
Los componentes de hardware y software son los
siguientes:
- un PC 14 con el sistema operativo
correspondiente (por ejemplo Microsoft Windows 2000, NT 4.0 o 98),
con un navegador IE 5.X o Netscape 4.X y un plug-in
para la activación del servicio ARA, responsable de controlar las
fases de autenticación y de interacción con los procedimientos para
la transferencia segura de identificadores y datos, en la recogida
de las credenciales de autenticación y la transmisión de la
solicitud del certificado;
- una librería (por ejemplo DLL) 15 para la
interacción/gestión de la tarjeta SIM avanzada;
- una librería (por ejemplo DLL) 17 para la
autenticación GSM;
- una entidad cliente 16 para la gestión de los
certificados, que comprende los procedimientos dedicados para la
transferencia segura de los identificadores y datos;
- un lector PC/SC SIM/Smart Card 18 (por ejemplo
un lector certificado por Microsoft);
- una tarjeta SIM avanzada 19 con funcionalidad
GSM y PKI. Esquemáticamente, el proceso de alistamiento se produce
como se describe a continuación.
\vskip1.000000\baselineskip
Un usuario, que dispone del software y hardware
necesarios y de una tarjeta SIM avanzada 19, utiliza su navegador
para conectarse, a través de SSL sobre HTTP, al servidor web 2 de
solicitud de certificado, y recibe como respuesta una página HTML
que contiene una etiqueta adecuada para disparar la ejecución del
plug-in para el servicio de certificación ARA 13.
Este servicio ejecuta la fase de autenticación en
I-VLR 11, utilizando la librería de autenticación
GSM y, si esta fase se completa con éxito, permite que el servidor
continúe con la siguiente fase de alistamiento, que termina con la
activación del programa 16 para el protocolo dedicado mencionado
anteriormente para la transferencia segura de los identificadores y
datos presente en el cliente.
Simplificando el tema, se puede decir que el
mecanismo de alistamiento estándar para los certificados digitales
utilizando los procedimientos conocidos para la distribución de
certificados digitales con auto-registro y
adquisición a través de web consiste en solicitar a un usuario una
contraseña (o un secreto compartido) conocida para el sistema. En
el caso del servicio ARA, se utiliza para este propósito una función
de la clave KDES calculada durante la fase de autenticación GSM. La
verificación de dicho secreto, que es un proceso que se ejecuta una
sola vez y por tanto no se encuentra sujeto a ataques sobre el
extremo del servidor, dispara el envío al usuario de un fichero
especial, cuyo tipo (o tipo mime) causará que el navegador llame
automáticamente al cliente de PKI para concluir la fase de
alistamiento.
La figura 3 muestra el diagrama general de la
secuencia del procedimiento ARA completo. Las fases son las
siguientes (suponiendo que todas las fases concluyen con éxito):
el usuario que desea realizar una solicitud de
certificado entra en contacto con el servicio apropiado a través de
acceso web (protocolo HTTPs) utilizando su navegador;
el servidor web (también con HTTPs) contesta a
la solicitud enviando una etiqueta TAG especial al navegador para la
activación del plug-in CARA;
el navegador llama al plug-in
CARA;
el plug-in CARA pide al usuario
que introduzca sus datos (por ejemplo su nombre, apellido y código
numérico personal), y puede solicitar también el PIN si el acceso a
la tarjeta SIM del usuario se encuentra protegido;
el plug-in CARA activa a
continuación la fase de autenticación GSM.
\vskip1.000000\baselineskip
La autenticación GSM se ejecuta por parte de la
DLL de Ericsson. El resultado de la fase anterior se devuelve al
plug-in CARA.
El plug-in CARA envía una
solicitud de tipo POST al servidor web ARA, estableciendo como
parámetros el identificador de usuario que consiste, por ejemplo,
en el nombre, apellido y código numérico personal, y como contraseña
la secuencia (por ejemplo MAC) calculada sobre la base de los
parámetros de autenticación. El acceso al servidor web ARA se
registra en los archivos de registro del servidor web.
El plug-in CARA envía la
solicitud al servidor AutoRA;
el servicio de administración interroga al
servicio de autenticación para verificar las credenciales del
usuario;
el servicio de autenticación, por medio del
motor de autenticación, verifica si el usuario se encuentra
autorizado para el servicio, según sus credenciales. La
verificación se realiza por medio de acceder a una tabla Oracle
apropiada y utilizando como clave de búsqueda el código numérico
personal (sAMAccountName) especificado en la solicitud;
(en caso de resultado positivo) el servicio de
autenticación, por medio del motor de autenticación, envía la
verificación de la secuencia (MAC) al I-VLR;
el servicio de autenticación compara el número
de teléfono (MSISDN) recibido del I-VLR, de nuevo a
través del motor de autenticación, con los valores correspondientes
registrados en la tabla de usuario de la base de datos;
el servicio de autenticación devuelve 'cierto'
al servicio de administración si los resultados de todas las
comprobaciones son positivos;
el servicio de administración solicita el DN del
ActiveDirectory para la creación del nuevo usuario (a través de
LDAP), utilizando como clave de búsqueda el código numérico personal
(sAMAccountName) del usuario que ha solicitado el certificado, y se
autentifica por medio de una simple autenticación;
el servicio de administración crea el nuevo
usuario (a través de un CMP o SEP) en la CA (componente de autoridad
de confianza) y obtiene sus parámetros (por ejemplo el código de
autenticación y el número de referencia) para la emisión
automatizada del certificado;
el servicio de administración envía al usuario
los parámetros asignados al mismo (en la etapa anterior), junto con
el tipo mime especificado por el protocolo.
\vskip1.000000\baselineskip
El navegador llama a la aplicación para la
transferencia segura de los identificadores y datos, enviándole los
códigos de autenticación del usuario.
Dicha aplicación para la transferencia segura de
los identificadores y datos completa la fase de alistamiento
directamente con la CA (a través del SEP).
Claramente, la arquitectura es adaptable
funcionalmente a un servicio de emisión de certificados de tipo
web, sujeto a la modificación del software del cliente y a la
utilización en el extremo de servidor de un componente de programa
que opera con procedimientos de autenticación de PKI para la emisión
de certificados digitales en el entorno web.
Teniendo en cuenta que las funciones de
autorización 5 y las funciones de administración 4 se encuentran
generalmente incluidas ya en el software dedicado para distribuir
certificados digitales con auto-registro y la
adquisición a través de la web como, por ejemplo, en el programa
Entrust AutoRA, la figura 4 muestra el diagrama de la secuencia
específica para la fase de verificación de las credenciales de
usuario:
inmediatamente después de recibir las
credenciales de usuario (nombre y secreto) el servicio de
administración 4 del servidor AutoRA envía estos datos al servicio
de autenticación 5;
el servicio de autenticación 5 asigna la
verificación de las credenciales de autenticación de usuario a
partir del módulo 3, que se denomina motor, que se encuentra
adaptado adecuadamente según los requerimientos de autenticación
GSM. El motor se activa a través de HTTP por medio de llamar a un
guión adecuado de CGI-BIN instalado en el servidor
web que forma la portada del servicio;
el motor verifica que los datos se encuentran en
el formato correcto, y a continuación solicita de la base de datos
la identidad (nombre y apellido) y número de teléfono (MSISDN)
correspondiente al usuario con el código numérico personal
insertado. Habiendo verificado que el usuario existe y que el nombre
y el apellido coinciden, el motor contacta con el
I-VLR a través de HTTPs para verificar el secreto,
y
recibe como respuesta el número de teléfono
(MSISDN) de la tarjeta SIM por medio del cual se ha generado el
secreto;
el motor comprueba que el valor de MSISDN
devuelto por el I-VLR coincide con el valor de la
base de datos leído anteriormente;
el motor a continuación almacena los registros
de la solicitud en una tabla Oracle adecuada, el motor devuelve el
resultado de las comprobaciones al módulo de servicio de
autenticación, el módulo de servicio de autenticación de
Entrust/AutoRA devuelve el resultado de las comprobaciones al
servicio de administración. Este último continúa el procedimiento
como se ha descrito anteriormente en el diagrama de secuencia
(figura 3).
\vskip1.000000\baselineskip
A continuación se describe el componente de
cliente, con el análisis de un modelo en capas de las
características del cliente ARA utilizado por los usuarios del
servicio de solicitud autentificada de certificados digitales.
El componente cliente que se requiere para el
acceso al servicio se caracteriza por las siguientes secciones
funcionales comprendidas en la arquitectura que se muestra en la
figura 5.
- Navegador (Internet Explorer 5.X o Netscape
Navigator 4.X);
- Plug-in de servicio de
certificación ARA;
- librería de programa de autenticación GSM;
- aplicación de PKI para la transferencia segura
de identificadores y datos;
- librería de funciones asociadas normalmente
por el fabricante de la tarjeta inteligente con la tarjeta
concreta;
- controlador del lector de tarjeta
inteligente;
- Sistema operativo (por ejemplo Microsoft
Windows NT 4.0, 2000 y 98).
Estos componentes se describen individualmente a
continuación.
\vskip1.000000\baselineskip
Se utiliza un navegador para acceder al
servicio, por razones de flexibilidad, movilidad y familiaridad del
usuario con el entorno.
\vskip1.000000\baselineskip
El plug-in del servicio de
certificación ARA realiza las tareas de:
i - lanzar el procedimiento de autenticación y
registro de usuario en I-VLR;
ii - recoger y procesar las credenciales de
autenticación del usuario;
iii - realizar la solicitud de certificación de
usuario al servidor ARA utilizando un canal seguro.
La arquitectura del componente de servicio de
certificación ARA basado en Internet Explorer merece una
descripción más detallada. Se ha escogido la tecnología ActiveX MFC
para la integración del cliente, en otras palabras el
plug-in del servicio de certificación ARA, en el
navegador, para maximizar el rendimiento y proporcionar un nivel de
protección adecuado. Esto se debe a que este componente se
desarrolló en lenguaje C++ para maximizar el rendimiento y
proporcionar un nivel mayor de seguridad. La seguridad se incrementa
también por medio de utilizar herramientas aprobadas como la
tecnología Microsoft AuthentiCode, diseñada para asegurar tanto la
autenticidad como la integridad de software. El software descargado
por el usuario se encuentra firmado digitalmente, para proporcionar
al usuario una garantía de su origen, así como para evitar
modificaciones no autorizadas.
Para una mayor simplicidad de uso por parte del
usuario, el plug-in incorpora la cadena de
certificado completa que se requiere para verificar la firma del
código, no solamente el certificado que contiene la clave pública
utilizada para firmar el código.
Además, la referencia al plug-in
del servicio de certificación ARA se inserta en la página web por
medio de una etiqueta adecuada. De esta forma el navegador, habiendo
leído la etiqueta y verificado la versión de ActiveX, sobre la base
de la política de seguridad especificada por el usuario, lo
instalará si es necesario de forma transparente para el usuario.
Cualquier versión subsiguiente o actualización
del cliente de servicio de certificación ARA se puede distribuir a
los usuarios sin requerir la descarga y la instalación manual del
programa. Esto se debe a que el navegador, una vez que ha detectado
la presencia de una versión nueva del programa instalado actualmente
y registrado en la máquina, obtendrá e instalará automáticamente la
versión sustitutiva.
El diagrama de flujo que muestra el proceso de
activación del plug-in por parte del navegador se
muestra esquemáticamente en la figura 6.
Después de la descarga 51 de la página HTML a
través de HTTPs, en 52 se extraen los datos relativos a la versión
del plug-in del servicio de certificación ARA. Si la
comprobación 53 muestra que el plug-in se encuentra
registrado y no es una nueva versión (como se comprueba en 54) el
procedimiento va directamente a la ejecución 56 del
plug-in de servicio de certificación ARA.
En otro caso, si en 53 se encuentra que el
plug-in no está registrado, o está registrado pero
en estado de disponer de una nueva versión, se solicita en 55 una
nueva descarga del plug-in y la extracción de la
firma digital.
Solamente si en 57 se verifica la validez de la
firma y del certificado, continuará el procedimiento con la
ejecución de hecho del plug-in en 56.
El diagrama anterior de la figura 6 supone que
las políticas de seguridad del navegador del usuario autorizan la
ejecución de plug-ins firmados.
En cualquier caso, por lo menos cuando se
escogen fabricantes acreditados (como Microsoft), el usuario
dispondrá de garantías claras de seguridad referentes al origen e
integridad del código descargado, debido a la firma digital del
código fuente.
El plug-in del servicio de
certificación ARA utiliza también una librería externa para la
autenticación del usuario en el sistema basado en SIM. Esta
librería consiste en dos ficheros separados:
- un fichero de librería de enlace dinámico
(.DLL);
- un fichero de inicialización (.INI).
\vskip1.000000\baselineskip
En términos del procedimiento, una vez ha
comenzado la ejecución, el plug-in del servicio de
certificación ARA muestra una ventana de diálogo al usuario para la
obtención de los parámetros y datos necesarios para enviar la
solicitud de certificación.
Los datos solicitados pueden ser:
- el nombre del usuario;
- el apellido del usuario;
- el código numérico personal;
- el PIN para la tarjeta SIM del usuario, si se
requiere.
\vskip1.000000\baselineskip
Un procedimiento de funcionamiento interactivo
con el usuario se podría basar en una interficie gráfica con una
interacción del siguiente tipo:
Usted está solicitando un certificado
digital. Por favor asegúrese de que la tarjeta SIM se encuentra
insertada en el lector del ordenador personal. A continuación
rellene cada campo y pulse el botón OK cuando haya
terminado.
Esto va seguido por las solicitudes de datos
sobre el usuario, solicitando el formulario, por ejemplo, el nombre,
apellido, lista de afiliación y el PIN de la tarjeta SIM del
usuario.
Otro medio para establecer contacto con el
usuario es una interficie que proporciona una secuencia de ayuda
como:
Ésta es la ayuda del servicio AutoRA.
Para registrar sus certificados, por favor
realice las acciones que se indican a continuación:
1. Asegúrese de que la tarjeta SIM se
encuentra insertada correctamente en el lector SIM conectado a su
PC.
- -
- nombre: introduzca su nombre (por ejemplo John);
- -
- apellido: introduzca su apellido (por ejemplo Smith);
- -
- número de identificación: introduzca su código numérico personal de la compañía;
- -
- PIN de tarjeta SIM: introduzca el PIN de su tarjeta SIM si es necesario.
3. Finalmente, pulse sobre el botón OK para
continuar, o pulse sobre CANCEL para cancelar la solicitud de
certificado.
\vskip1.000000\baselineskip
Como se muestra en la figura 7, una vez ha
tenido lugar la inicialización de la tarjeta SIM en 60, en 62 se
verifica la necesidad de proporcionar el PIN, después de lo cual se
habilita el correspondiente bloque de prueba 63 o se deshabilita en
64, según si el PIN es necesario o innecesario respectivamente.
El procedimiento a continuación entra en una
fase de comprobación que, siguiendo a la presentación 65 de una
ventana de diálogo y recogida de datos, comprueba la ventana 66 y,
si no se pasa la prueba de comprobación, vuelve a mostrar 65 dicha
ventana de diálogo; en otro caso, si se pasa la comprobación, se va
a la ejecución del procedimiento de autenticación basado en SIM 68
y a continuación a la gestión 69 de errores. El procedimiento
termina con el procesado y formateado de los datos 70 y la
transmisión final 71 al servidor AutoRA.
\vskip1.000000\baselineskip
- 3DES:
- Estándar de encriptado triple de datos
- ARA:
- Autoridad de auto-registro
- CA:
- Autoridad de certificación del servicio de certificación
- CN:
- Nombre común
- CMP:
- Protocolo de administración de certificado (PKIX-CMP)
- DES:
- Estándar de encriptado de datos
- DN:
- Nombre de discriminación
- EPF:
- Fichero de perfil de confianza
- FTP:
- Protocolo de transferencia de ficheros
- HTTP:
- Protocolo de transferencia de hipertexto
- HTTPs:
- HTTP seguro (HTTP/SSL)
- IMSI:
- Identidad de subscriptor móvil internacional
- IETF:
- Grupo de trabajo de ingeniería de Internet
- IP:
- Protocolo de Internet
- LDAP:
- Control de acceso a directorio ligero
- MAC:
- Código de autenticación de mensaje
- MFC:
- Clase de fundación de Microsoft
- PC/SC:
- Ordenador personal/tarjeta inteligente
- PIN:
- Número de identificación personal
- PKCS:
- Estándares de criptografía de clave pública
- PKI:
- Infraestructura de clave pública
- RA:
- Autoridad de registro
- SARA:
- Autoridad de servidor de auto-registro
- SEP:
- Protocolo de intercambio seguro
- SIM:
- Módulo de identidad de subscriptor
- SMTP:
- Protocolo de transferencia de correo simple
- SSL:
- Capa de zócalo seguro
- TA:
- Autoridad de consignación de hora y fecha
- TCP:
- Protocolo de control de transmisión
- TLS:
- Seguridad de capa de transporte
\vskip1.000000\baselineskip
El beneficio principal que se obtiene de la
utilización de un servicio según la presente invención para el
operador de una red de telefonía celular consiste en la capacidad de
realizar el despliegue rápido y seguro de la PKI en su intranet.
También será ventajoso poder ofrecer:
- Servicios corporativos: por ejemplo, un
producto SIM + PKI que se puede integrar e instalar rápidamente en
campo en las instalaciones del usuario. Existen también
posibilidades de integración con PKI de cliente previamente
instalada (Entrust, Baltimore, etc.).
- Servicios comerciales: por ejemplo, un
servicio de distribución automatizada de certificados a ofrecer a
la autoridad de certificación (por ejemplo, Saritel, BNL, Postecom,
etc.). El servicio podría ser útil para dichos proveedores de
certificados, especialmente por el hecho de que permite llegar de
forma simple y barata a un número particularmente elevado de
usuarios potenciales.
- Servicios de consumidor: por ejemplo, se
pueden ofrecer servicios de Internet de valor añadido a los clientes
del operador de red de telefonía celular, como pago, acceso
autentificado a servicios de información, VPN, correo seguro, SSL,
etc. Estos servicios podrían ser útiles también para el operador de
red de telefonía móvil debido a los posibles beneficios en términos
de imagen.
\vskip1.000000\baselineskip
Esta lista de referencias citadas por el
solicitante es solamente para la conveniencia del lector. No forma
parte del documento de Patente Europea. Aunque se ha prestado gran
atención a la recopilación de las referencias, no se pueden
descartar errores u omisiones y la Oficina Europea de Patentes
declina cualquier responsabilidad respecto a la misma.
- \bullet IT RM200A000538 [0005]
- \bullet WO 0002406 A [0006]
Claims (7)
1. Procedimiento para la distribución de un
certificado digital a por lo menos un usuario, disponiendo dicho por
lo menos único usuario de un terminal respectivo (14) asociado con
un módulo de identidad de subscriptor respectivo (19), comprendiendo
el procedimiento las etapas siguientes:
i) permitir el acceso del por lo menos único
usuario a un servidor (1) para el auto-registro y la
emisión automatizada de certificados digitales, asociándose el
acceso con una solicitud de un certificado para el usuario;
ii) activar, en el terminal de usuario (14) la
ejecución de un cliente (13) adaptado para activar un procedimiento
de autenticación con un servidor de autenticación (11) que actúa
como una pasarela a un sistema GSM, estando la activación causada
por dicho servidor (1) para el auto-registro y
emisión automatizada de certificados digitales, originando el
cliente (13) la extracción de datos de identificación de dicho
módulo de identidad de subscriptor (19) y el envío de dichos datos
de identificación a dicho servidor de autenticación (11);
iii) en caso de autenticación positiva, obtener
en el terminal de usuario (14) parámetros de autenticación del
usuario autentificado desde dicho servidor de autenticación
(11);
iv) crear una contraseña de un solo uso por
medio de una combinación de los parámetros de autenticación y enviar
dicha contraseña de un solo uso junto con los identificadores de
usuario desde el terminal de usuario (14) al servidor (1) para el
auto-registro y la emisión automatizada de
certificados digitales;
v) solicitar, desde el servidor (1) para el
auto-registro y la emisión automatizada de
certificados digitales al servidor de autenticación (11), la
verificación de la contraseña de un solo uso;
vi) verificar, por parte de una base de datos
apropiada (10) asociada con el servidor (1) para el
auto-registro y la emisión automatizada de
certificados digitales, y basándose en dichos identificadores de
usuario, una autorización de usuario para solicitar el
certificado;
vii) en caso de un resultado positivo de dichas
verificaciones, entrar en contacto con una autoridad de
certificación (8) para la creación de un nuevo certificado para el
usuario autentificado, recibiendo en respuesta parámetros
relacionados con dicho certificado, y enviar los parámetros
relacionados con dicho certificado a dicho usuario, para permitir a
dicho usuario obtener el nuevo certificado desde dicha autoridad de
certificación (8).
2. Procedimiento de la reivindicación 1,
caracterizado por el hecho de que dicha etapa v) se realiza
después de la verificación de la autorización del usuario para
solicitar el certificado.
3. Procedimiento de la reivindicación 1,
caracterizado por el hecho de que dichos identificadores de
usuario comprenden un nombre, un apellido y un número de código
personal.
4. Procedimiento de la reivindicación 1,
caracterizado por el hecho de que dicho acceso al servidor
(1) para el auto-registro y la emisión automatizada
de certificados digitales está gestionado por un servidor web (2)
que interactúa con dicho servidor (1) para el
auto-registro y la emisión automatizada de
certificados digitales.
5. Procedimiento de la reivindicación 4,
caracterizado por el hecho de que dicho permiso de acceso al
servidor (1) para el auto-registro y la emisión
automatizada de certificados digitales comprende que dicho servidor
web (2) presente al usuario una interficie interactiva.
6. Procedimiento de la reivindicación 5,
caracterizado por el hecho de que dicha interficie
interactiva se encuentra adaptada para recibir dichos parámetros de
identificación del usuario.
7. Procedimiento de la reivindicación 4,
caracterizado por el hecho de que comprende además el
registro de dicha solicitud de certificado en un fichero de registro
(6') de dicho servidor web, después del envío de los identificadores
de usuario y de la contraseña de un solo uso.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IT2002RM000335A ITRM20020335A1 (it) | 2002-06-14 | 2002-06-14 | Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa. |
ITRM02A0335 | 2002-06-14 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2305467T3 true ES2305467T3 (es) | 2008-11-01 |
Family
ID=11456367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03732797T Expired - Lifetime ES2305467T3 (es) | 2002-06-14 | 2003-06-13 | Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. |
Country Status (8)
Country | Link |
---|---|
EP (1) | EP1514446B8 (es) |
AT (1) | ATE390814T1 (es) |
AU (1) | AU2003240182A1 (es) |
BR (1) | BRPI0311811B1 (es) |
DE (1) | DE60319985T2 (es) |
ES (1) | ES2305467T3 (es) |
IT (1) | ITRM20020335A1 (es) |
WO (1) | WO2003107710A1 (es) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8099082B2 (en) | 2005-12-16 | 2012-01-17 | Research In Motion Limited | System and method wireless messaging in a wireless communication system |
US8005459B2 (en) | 2005-12-16 | 2011-08-23 | Research In Motion Limited | System and method of authenticating login credentials in a wireless communication system |
US8527770B2 (en) | 2006-07-20 | 2013-09-03 | Research In Motion Limited | System and method for provisioning device certificates |
US7945959B2 (en) | 2007-06-18 | 2011-05-17 | International Business Machines Corporation | Secure physical distribution of a security token through a mobile telephony provider's infrastructure |
JP4128610B1 (ja) * | 2007-10-05 | 2008-07-30 | グローバルサイン株式会社 | サーバ証明書発行システム |
CN101828358B (zh) * | 2007-06-27 | 2012-07-04 | 环球标志株式会社 | 服务器认证书发行系统 |
ATE491298T1 (de) * | 2008-02-29 | 2010-12-15 | Research In Motion Ltd | Verfahren und vorrichtung zur verwendung zum erhalten eines digitalen zertifikats für eine mobile kommunikationsvorrichtung |
US10015158B2 (en) | 2008-02-29 | 2018-07-03 | Blackberry Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
US9479339B2 (en) | 2008-02-29 | 2016-10-25 | Blackberry Limited | Methods and apparatus for use in obtaining a digital certificate for a mobile communication device |
EP2096830B1 (en) * | 2008-02-29 | 2011-08-03 | Research In Motion Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
US8386773B2 (en) | 2008-12-09 | 2013-02-26 | Research In Motion Limited | Verification methods and apparatus for use in providing application services to mobile communication devices |
US9232400B2 (en) * | 2012-11-13 | 2016-01-05 | Alcatel Lucent | Restricted certificate enrollment for unknown devices in hotspot networks |
DE102018005201A1 (de) * | 2018-06-29 | 2020-01-02 | Giesecke+Devrient Mobile Security Gmbh | Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem |
EP4203387A1 (de) * | 2021-12-22 | 2023-06-28 | Deutsche Telekom AG | Verfahren und system zur authentifizierung eines endgeräts eines nutzers |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
US7107248B1 (en) * | 2000-09-11 | 2006-09-12 | Nokia Corporation | System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure |
GB2366141B (en) * | 2001-02-08 | 2003-02-12 | Ericsson Telefon Ab L M | Authentication and authorisation based secure ip connections for terminals |
-
2002
- 2002-06-14 IT IT2002RM000335A patent/ITRM20020335A1/it unknown
-
2003
- 2003-06-13 WO PCT/IB2003/002289 patent/WO2003107710A1/en active IP Right Grant
- 2003-06-13 BR BRPI0311811A patent/BRPI0311811B1/pt not_active IP Right Cessation
- 2003-06-13 EP EP03732797A patent/EP1514446B8/en not_active Expired - Lifetime
- 2003-06-13 ES ES03732797T patent/ES2305467T3/es not_active Expired - Lifetime
- 2003-06-13 AU AU2003240182A patent/AU2003240182A1/en not_active Abandoned
- 2003-06-13 DE DE60319985T patent/DE60319985T2/de not_active Expired - Lifetime
- 2003-06-13 AT AT03732797T patent/ATE390814T1/de not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
EP1514446A1 (en) | 2005-03-16 |
BR0311811A (pt) | 2005-03-15 |
ITRM20020335A0 (it) | 2002-06-14 |
ATE390814T1 (de) | 2008-04-15 |
EP1514446B8 (en) | 2008-08-06 |
EP1514446B1 (en) | 2008-03-26 |
DE60319985D1 (de) | 2008-05-08 |
ITRM20020335A1 (it) | 2003-12-15 |
BRPI0311811B1 (pt) | 2017-02-07 |
AU2003240182A1 (en) | 2003-12-31 |
WO2003107710A1 (en) | 2003-12-24 |
DE60319985T2 (de) | 2009-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2281760T3 (es) | Metodo y aparato para implementar un acceso vpn seguro a traves de cadenas de certificado modificadas. | |
EP1602194B1 (en) | Methods and software program product for mutual authentication in a communications network | |
RU2515809C2 (ru) | Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи | |
US7373515B2 (en) | Multi-factor authentication system | |
CN101027676B (zh) | 用于可控认证的个人符记和方法 | |
KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
US7793102B2 (en) | Method for authentication between a portable telecommunication object and a public access terminal | |
ES2305467T3 (es) | Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. | |
CN109417545B (zh) | 下载网络接入简档的方法、安全模块、移动终端和介质 | |
US20110078773A1 (en) | Mobile terminal authorisation arrangements | |
US20090025080A1 (en) | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access | |
US20080148044A1 (en) | Locking carrier access in a communication network | |
EP3785153A1 (en) | Remote biometric identification | |
CN112887308B (zh) | 一种无感网络身份认证方法及系统 | |
US11838272B2 (en) | VPN establishment | |
Pashalidis et al. | Using GSM/UMTS for single sign-on | |
KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
Latze et al. | Strong mutual authentication in a user-friendly way in eap-tls | |
EP1494395A1 (en) | Method and authentication module for providing access to a target network via a wireless local area network WLAN | |
EP4009601A1 (en) | Vpn establishment | |
EP3582469B1 (en) | Authentication using a mobile network operator system | |
EP4109945A1 (en) | Token, particularly otp, based authentication system and method | |
KR20240042059A (ko) | 위임 eUICC 프로파일 관리 | |
Schuba et al. | Internet id-flexible re-use of mobile phone authentication security for service access | |
WO2009098207A2 (en) | Method and device for data processing and communication system comprising such device |