ES2305467T3 - Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. - Google Patents

Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. Download PDF

Info

Publication number
ES2305467T3
ES2305467T3 ES03732797T ES03732797T ES2305467T3 ES 2305467 T3 ES2305467 T3 ES 2305467T3 ES 03732797 T ES03732797 T ES 03732797T ES 03732797 T ES03732797 T ES 03732797T ES 2305467 T3 ES2305467 T3 ES 2305467T3
Authority
ES
Spain
Prior art keywords
user
server
authentication
registration
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03732797T
Other languages
English (en)
Inventor
Vincenzo c/o TELECOM ITALIA MOBILE S.P.A VOCI
P.M.R. c/o TELECOM ITALIA MOBILE S.P.A. DI NUNZIO
MANUEL TELECOM ITALIA S.p.A. LEONE
ETTORE TELECOM ITALIA S.p.A. CAPRELLA
PAOLO TELECOM ITALIA S.p.A. DE LUTIIS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telecom Italia SpA
Original Assignee
Telecom Italia SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia SpA filed Critical Telecom Italia SpA
Application granted granted Critical
Publication of ES2305467T3 publication Critical patent/ES2305467T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

Procedimiento para la distribución de un certificado digital a por lo menos un usuario, disponiendo dicho por lo menos único usuario de un terminal respectivo (14) asociado con un módulo de identidad de subscriptor respectivo (19), comprendiendo el procedimiento las etapas siguientes: i) permitir el acceso del por lo menos único usuario a un servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, asociándose el acceso con una solicitud de un certificado para el usuario; ii) activar, en el terminal de usuario (14) la ejecución de un cliente (13) adaptado para activar un procedimiento de autenticación con un servidor de autenticación (11) que actúa como una pasarela a un sistema GSM, estando la activación causada por dicho servidor (1) para el auto-registro y emisión automatizada de certificados digitales, originando el cliente (13) la extracción de datos de identificación de dicho módulo de identidad de subscriptor (19) y el envío de dichos datos de identificación a dicho servidor de autenticación (11); iii) en caso de autenticación positiva, obtener en el terminal de usuario (14) parámetros de autenticación del usuario autentificado desde dicho servidor de autenticación (11); iv) crear una contraseña de un solo uso por medio de una combinación de los parámetros de autenticación y enviar dicha contraseña de un solo uso junto con los identificadores de usuario desde el terminal de usuario (14) al servidor (1) para el auto-registro y la emisión automatizada de certificados digitales; v) solicitar, desde el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales al servidor de autenticación (11), la verificación de la contraseña de un solo uso; vi) verificar, por parte de una base de datos apropiada (10) asociada con el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, y basándose en dichos identificadores de usuario, una autorización de usuario para solicitar el certificado; vii) en caso de un resultado positivo de dichas verificaciones, entrar en contacto con una autoridad de certificación (8) para la creación de un nuevo certificado para el usuario autentificado, recibiendo en respuesta parámetros relacionados con dicho certificado, y enviar los parámetros relacionados con dicho certificado a dicho usuario, para permitir a dicho usuario obtener el nuevo certificado desde dicha autoridad de certificación (8).

Description

Procedimiento de auto-registro y emisión automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento.
Campo técnico
La presente invención se refiere de forma general a la seguridad de los sistemas telemáticos y de información. Más concretamente, se refiere a un procedimiento concreto para la gestión de la PKI (infraestructura de clave pública), en otras palabras los equipos para la comunicación, distribución, mantenimiento y control de certificados digitales, que resuelve un problema extremadamente difícil de dicha infraestructura: en concreto la distribución de certificados digitales y la autenticación de las solicitudes de los usuarios.
Técnica conocida
La implementación de sistemas basados en PKI requiere la utilización de identificadores que se conocen como "certificados digitales" que, en la práctica, actúan como "pasaportes" electrónicos que relacionan la firma digital del usuario con su clave pública.
La infraestructura correspondiente se basa en la integración de medios de software y hardware y un conjunto de protocolos de gestión para proporcionar los niveles de seguridad básicos que se requieren para el comercio electrónico, permitiendo que usuarios que no se conocen, o que se encuentran distribuidos sobre un área extensa, se comuniquen y establezcan una relación de confianza. La actividad más crítica en una infraestructura de clave pública consiste en la identificación fiable de los usuarios que solicitan la certificación de las claves públicas, para que se les permita utilizar los servicios de PKI (correo electrónico seguro, encriptado en escritorio, firma digital, SSL, VPN, etc.). De hecho, la compañía de servicio que va a distribuir certificados digitales según los procedimientos actuales debe solicitar al usuario que proporcione su propio identificador válido a una autoridad de registro (RA) autorizada, la cual a su vez solicita a una autoridad de certificación la emisión del certificado asociado a dicho identificador de usuario específico. El modelo completo de confianza de cualquier modelo de infraestructura de clave pública se basa en dicha verificación.
Sin embargo esta verificación, que se realiza generalmente utilizando estrategias presenciales, es frecuentemente lenta y cara en términos de gestión, hasta el punto de que a menudo conduce a un frenado del despliegue completo de la PKI y a una infrautilización de los servicios correspondientes.
Por otro lado, TIM S.p.a. ya ha tramitado la patente italiana RM 200A000538 a nombre de Marcelli y Sentinelli, que describe un procedimiento basado en protocolos de autenticación que se utilizan normalmente para redes de telefonía móvil GSM y que se reutilizan para el acceso a servicios telemáticos dedicados sobre una red fija, en los cuales se solicita la identificación fiable del usuario o de una clase de usuarios.
WO 00/02406 se refiere a la autenticación en una red de telecomunicaciones, especialmente en una red IP. Para permitir la identificación de los usuarios de redes IP en un área geográfica amplia, el terminal de red IP utiliza un módulo de identidad de subscriptor como se utiliza en un sistema separado de comunicaciones móviles, por el cual se puede determinar una respuesta a partir de la prueba de impugnación que se da como entrada al módulo de identidad. La red IP comprende también un servidor especial de seguridad, al cual se transmite un mensaje sobre un nuevo usuario cuando un subscriptor entra en la red IP. Dicho sistema de comunicaciones móviles obtiene de la red IP la información de identificación del subscriptor, que contiene por lo menos una prueba de impugnación y una respuesta, y la autenticación se realiza basándose en la información de autenticación obtenida del sistema de comunicaciones móviles por la transmisión de dicha prueba de impugnación al terminal a través de la red IP, por medio de generar una respuesta desde el módulo de identidad del terminal y comparar la respuesta con la respuesta recibida del sistema de comunicaciones móviles.
Uno de los objetos de la presente invención es resolver el problema de la distribución de certificados digitales y la autenticación de las solicitudes de los usuarios utilizando un sistema de autenticación basado en SIM similar al ya patentado por TIM para el acceso a servicios telemáticos dedicados sobre una red fija. Específicamente, el procedimiento según la presente invención tiene la intención de permitir la autenticación de las solicitudes de certificación de los usuarios por medio de SIM, mientras que se automatiza y acelera la distribución de certificados, y al mismo tiempo de permitir que el operador de la red de telefonía celular mantenga un control total del proceso. Claramente, el servicio requiere la utilización de tarjetas SIM avanzadas que pueden actuar también como tarjetas inteligentes convencionales y de esta forma administrar servicios y funciones de PKI.
Otro objeto de la presente invención es proporcionar un protocolo para el auto-registro y la emisión automatizada de certificados digitales con la arquitectura de red correspondiente, utilizando procedimientos de validación, programas de propósito especial, tecnologías y componentes que son estándar en el campo de la PKI, para conseguir que el protocolo y su implementación sean fiables y económicos.
Estos y otros objetos que se harán claros en la presente descripción se alcanzan por medio de tomar el sistema de autenticación basada en SIM que se ha descrito anteriormente en la citada patente de TIM y adaptándolo al sector de la PKI de una forma adecuada que se describe a continuación.
En concreto, la solución utiliza un procedimiento para la distribución de un certificado digital según la reivindicación 1.
A continuación se describirá la presente invención, puramente a modo de ejemplo y sin pretender limitar el ámbito de validez de la invención, en referencia a las figuras adjuntas que se refieren a una realización preferida, en las cuales:
la figura 1 es un diagrama esquemático de la arquitectura de red relacionada con el sistema que gestiona el servicio de auto-alistamiento;
la figura 2 es un diagrama de bloques que muestra un componente concreto de la arquitectura de red que se muestra en la figura 1;
la figura 3 es un diagrama general de las etapas secuenciales de operación de las funciones que implementan las fases de alistamiento a un certificado;
la figura 4 es un diagrama específico relativo a las fases de operación secuenciales para la verificación de las credenciales de usuario;
la figura 5 es un diagrama de la arquitectura de los componentes en las instalaciones de una de las partes (el cliente) que participan en el procedimiento de alistamiento;
la figura 6 es un diagrama de bloques del procedimiento de activación de un plug-in por parte de un navegador;
la figura 7 es otro diagrama de bloques de la activación de un plug-in.
La siguiente descripción proporciona detalles de todos los aspectos técnicos del servicio de alistamiento basado en SIM de una realización preferida de la presente invención. En primer lugar se describirá el conjunto de la arquitectura general del servicio, a continuación el componente de cliente y finalmente el servidor.
La figura 1 muestra dichos componentes y las relaciones entre ellos. En concreto, el servidor 1 para el auto-registro y la emisión automatizada de certificados digitales (que se abreviará de aquí en adelante como "servidor ARA") consiste en un ordenador (por ejemplo un servidor Sun con el sistema operativo Solaris 7) que aloja a los módulos principales de la arquitectura.
Un servidor web 2 (del tipo iPlanet) interactúa con dicho servidor ARA que soporta los procedimientos de distribución de los certificados digitales, con auto-registro y adquisición a través de web, por medio de gestionar la portada HTML de la aplicación dedicada a este servicio. También lo utiliza el servicio ARA para la fase de autenticación por GSM del usuario que dispone de una tarjeta SIM avanzada.
Dichos procedimientos para la distribución de certificados digitales con auto-registro y adquisición a través de web, que requiere el servicio ARA para la interacción con las aplicaciones de sistema que se describen en más profundidad más adelante, constituyen la herramienta que permite la emisión de certificados digitales sin la intervención directa de un operador físico, y proporcionan dos servicios separados:
- servicio de administración 4;
- servicio de autenticación 5.
\vskip1.000000\baselineskip
La figura 1 muestra claramente que el motor de autenticación 3 interactúa directamente con los servicios 4 y 5 que ejecutan los procedimientos arriba mencionados. Éste es el módulo del servidor ARA responsable de la autenticación de los usuarios que solicitan un certificado digital.
El fichero de registro 6 es el depositario que registra todas las solicitudes de certificados. Las solicitudes se registran directamente por parte del servidor web. Los datos almacenados consisten en:
- nombre de usuario y número de registro;
- datos de autenticación;
- fecha, hora y resultado de la solicitud.
\vskip1.000000\baselineskip
El servicio de PKI 7, del cual ARA es un cliente, comprende principalmente el servicio de autoridad de certificación (CA) 8 y el servicio LDAP.
\newpage
Esta figura muestra también las funciones de:
- la base de datos 10 depositaria de cliente, que contiene la lista de usuarios autorizados para solicitar un certificado digital,
- el servidor I-VLR 11, que actúa como pasarela al sistema GSM,
- el cliente ARA 13, que consiste en componentes de programa específicos (como navegadores I-E y/o Netscape, el programa anteriormente mencionado de tipo Entelligence, etc.) y componentes de hardware como lectores de tarjeta inteligente/SIM y las tarjetas SIM avanzadas correspondientes.
\vskip1.000000\baselineskip
Para configurar correctamente los cortafuegos y encaminadores de acceso al sistema para asegurar el funcionamiento correcto del servicio ARA, deben habilitarse los siguientes protocolos TCP:
- SEP, por defecto en el puerto 709, que se requiere para la gestión de clave y las fases de inicialización entre el sistema de PKI y el software de cliente y/o el usuario,
- HTTP, por defecto en el puerto 80, para los diálogos entre la librería de autenticación GSM y el servidor I-VLR,
- HTTPs, por defecto en el puerto 443, para los diálogos entre el navegador del usuario y el servidor ARA, y entre el servidor ARA y I-VLR,
- PKIX-CMP, por defecto en el puerto 829, para los diálogos entre el entorno de PKI y los procedimientos para la distribución de certificados digitales con auto-registro y su adquisición a través de web,
- LDAP, por defecto en el puerto 389, para los diálogos entre el servidor de directorio LDAP y el protocolo que implementa la transferencia segura de identificadores y datos en el extremo del usuario.
\vskip1.000000\baselineskip
La figura 2 muestra la arquitectura de los componentes de cliente del servicio ARA.
Los componentes de hardware y software son los siguientes:
- un PC 14 con el sistema operativo correspondiente (por ejemplo Microsoft Windows 2000, NT 4.0 o 98), con un navegador IE 5.X o Netscape 4.X y un plug-in para la activación del servicio ARA, responsable de controlar las fases de autenticación y de interacción con los procedimientos para la transferencia segura de identificadores y datos, en la recogida de las credenciales de autenticación y la transmisión de la solicitud del certificado;
- una librería (por ejemplo DLL) 15 para la interacción/gestión de la tarjeta SIM avanzada;
- una librería (por ejemplo DLL) 17 para la autenticación GSM;
- una entidad cliente 16 para la gestión de los certificados, que comprende los procedimientos dedicados para la transferencia segura de los identificadores y datos;
- un lector PC/SC SIM/Smart Card 18 (por ejemplo un lector certificado por Microsoft);
- una tarjeta SIM avanzada 19 con funcionalidad GSM y PKI. Esquemáticamente, el proceso de alistamiento se produce como se describe a continuación.
\vskip1.000000\baselineskip
Un usuario, que dispone del software y hardware necesarios y de una tarjeta SIM avanzada 19, utiliza su navegador para conectarse, a través de SSL sobre HTTP, al servidor web 2 de solicitud de certificado, y recibe como respuesta una página HTML que contiene una etiqueta adecuada para disparar la ejecución del plug-in para el servicio de certificación ARA 13. Este servicio ejecuta la fase de autenticación en I-VLR 11, utilizando la librería de autenticación GSM y, si esta fase se completa con éxito, permite que el servidor continúe con la siguiente fase de alistamiento, que termina con la activación del programa 16 para el protocolo dedicado mencionado anteriormente para la transferencia segura de los identificadores y datos presente en el cliente.
Simplificando el tema, se puede decir que el mecanismo de alistamiento estándar para los certificados digitales utilizando los procedimientos conocidos para la distribución de certificados digitales con auto-registro y adquisición a través de web consiste en solicitar a un usuario una contraseña (o un secreto compartido) conocida para el sistema. En el caso del servicio ARA, se utiliza para este propósito una función de la clave KDES calculada durante la fase de autenticación GSM. La verificación de dicho secreto, que es un proceso que se ejecuta una sola vez y por tanto no se encuentra sujeto a ataques sobre el extremo del servidor, dispara el envío al usuario de un fichero especial, cuyo tipo (o tipo mime) causará que el navegador llame automáticamente al cliente de PKI para concluir la fase de alistamiento.
La figura 3 muestra el diagrama general de la secuencia del procedimiento ARA completo. Las fases son las siguientes (suponiendo que todas las fases concluyen con éxito):
el usuario que desea realizar una solicitud de certificado entra en contacto con el servicio apropiado a través de acceso web (protocolo HTTPs) utilizando su navegador;
el servidor web (también con HTTPs) contesta a la solicitud enviando una etiqueta TAG especial al navegador para la activación del plug-in CARA;
el navegador llama al plug-in CARA;
el plug-in CARA pide al usuario que introduzca sus datos (por ejemplo su nombre, apellido y código numérico personal), y puede solicitar también el PIN si el acceso a la tarjeta SIM del usuario se encuentra protegido;
el plug-in CARA activa a continuación la fase de autenticación GSM.
\vskip1.000000\baselineskip
La autenticación GSM se ejecuta por parte de la DLL de Ericsson. El resultado de la fase anterior se devuelve al plug-in CARA.
El plug-in CARA envía una solicitud de tipo POST al servidor web ARA, estableciendo como parámetros el identificador de usuario que consiste, por ejemplo, en el nombre, apellido y código numérico personal, y como contraseña la secuencia (por ejemplo MAC) calculada sobre la base de los parámetros de autenticación. El acceso al servidor web ARA se registra en los archivos de registro del servidor web.
El plug-in CARA envía la solicitud al servidor AutoRA;
el servicio de administración interroga al servicio de autenticación para verificar las credenciales del usuario;
el servicio de autenticación, por medio del motor de autenticación, verifica si el usuario se encuentra autorizado para el servicio, según sus credenciales. La verificación se realiza por medio de acceder a una tabla Oracle apropiada y utilizando como clave de búsqueda el código numérico personal (sAMAccountName) especificado en la solicitud;
(en caso de resultado positivo) el servicio de autenticación, por medio del motor de autenticación, envía la verificación de la secuencia (MAC) al I-VLR;
el servicio de autenticación compara el número de teléfono (MSISDN) recibido del I-VLR, de nuevo a través del motor de autenticación, con los valores correspondientes registrados en la tabla de usuario de la base de datos;
el servicio de autenticación devuelve 'cierto' al servicio de administración si los resultados de todas las comprobaciones son positivos;
el servicio de administración solicita el DN del ActiveDirectory para la creación del nuevo usuario (a través de LDAP), utilizando como clave de búsqueda el código numérico personal (sAMAccountName) del usuario que ha solicitado el certificado, y se autentifica por medio de una simple autenticación;
el servicio de administración crea el nuevo usuario (a través de un CMP o SEP) en la CA (componente de autoridad de confianza) y obtiene sus parámetros (por ejemplo el código de autenticación y el número de referencia) para la emisión automatizada del certificado;
el servicio de administración envía al usuario los parámetros asignados al mismo (en la etapa anterior), junto con el tipo mime especificado por el protocolo.
\vskip1.000000\baselineskip
El navegador llama a la aplicación para la transferencia segura de los identificadores y datos, enviándole los códigos de autenticación del usuario.
Dicha aplicación para la transferencia segura de los identificadores y datos completa la fase de alistamiento directamente con la CA (a través del SEP).
Claramente, la arquitectura es adaptable funcionalmente a un servicio de emisión de certificados de tipo web, sujeto a la modificación del software del cliente y a la utilización en el extremo de servidor de un componente de programa que opera con procedimientos de autenticación de PKI para la emisión de certificados digitales en el entorno web.
Teniendo en cuenta que las funciones de autorización 5 y las funciones de administración 4 se encuentran generalmente incluidas ya en el software dedicado para distribuir certificados digitales con auto-registro y la adquisición a través de la web como, por ejemplo, en el programa Entrust AutoRA, la figura 4 muestra el diagrama de la secuencia específica para la fase de verificación de las credenciales de usuario:
inmediatamente después de recibir las credenciales de usuario (nombre y secreto) el servicio de administración 4 del servidor AutoRA envía estos datos al servicio de autenticación 5;
el servicio de autenticación 5 asigna la verificación de las credenciales de autenticación de usuario a partir del módulo 3, que se denomina motor, que se encuentra adaptado adecuadamente según los requerimientos de autenticación GSM. El motor se activa a través de HTTP por medio de llamar a un guión adecuado de CGI-BIN instalado en el servidor web que forma la portada del servicio;
el motor verifica que los datos se encuentran en el formato correcto, y a continuación solicita de la base de datos la identidad (nombre y apellido) y número de teléfono (MSISDN) correspondiente al usuario con el código numérico personal insertado. Habiendo verificado que el usuario existe y que el nombre y el apellido coinciden, el motor contacta con el I-VLR a través de HTTPs para verificar el secreto, y
recibe como respuesta el número de teléfono (MSISDN) de la tarjeta SIM por medio del cual se ha generado el secreto;
el motor comprueba que el valor de MSISDN devuelto por el I-VLR coincide con el valor de la base de datos leído anteriormente;
el motor a continuación almacena los registros de la solicitud en una tabla Oracle adecuada, el motor devuelve el resultado de las comprobaciones al módulo de servicio de autenticación, el módulo de servicio de autenticación de Entrust/AutoRA devuelve el resultado de las comprobaciones al servicio de administración. Este último continúa el procedimiento como se ha descrito anteriormente en el diagrama de secuencia (figura 3).
\vskip1.000000\baselineskip
A continuación se describe el componente de cliente, con el análisis de un modelo en capas de las características del cliente ARA utilizado por los usuarios del servicio de solicitud autentificada de certificados digitales.
El componente cliente que se requiere para el acceso al servicio se caracteriza por las siguientes secciones funcionales comprendidas en la arquitectura que se muestra en la figura 5.
- Navegador (Internet Explorer 5.X o Netscape Navigator 4.X);
- Plug-in de servicio de certificación ARA;
- librería de programa de autenticación GSM;
- aplicación de PKI para la transferencia segura de identificadores y datos;
- librería de funciones asociadas normalmente por el fabricante de la tarjeta inteligente con la tarjeta concreta;
- controlador del lector de tarjeta inteligente;
- Sistema operativo (por ejemplo Microsoft Windows NT 4.0, 2000 y 98).
Estos componentes se describen individualmente a continuación.
\vskip1.000000\baselineskip
a) Navegador
Se utiliza un navegador para acceder al servicio, por razones de flexibilidad, movilidad y familiaridad del usuario con el entorno.
\vskip1.000000\baselineskip
b) Plug-in del servicio de certificación ARA
El plug-in del servicio de certificación ARA realiza las tareas de:
i - lanzar el procedimiento de autenticación y registro de usuario en I-VLR;
ii - recoger y procesar las credenciales de autenticación del usuario;
iii - realizar la solicitud de certificación de usuario al servidor ARA utilizando un canal seguro.
La arquitectura del componente de servicio de certificación ARA basado en Internet Explorer merece una descripción más detallada. Se ha escogido la tecnología ActiveX MFC para la integración del cliente, en otras palabras el plug-in del servicio de certificación ARA, en el navegador, para maximizar el rendimiento y proporcionar un nivel de protección adecuado. Esto se debe a que este componente se desarrolló en lenguaje C++ para maximizar el rendimiento y proporcionar un nivel mayor de seguridad. La seguridad se incrementa también por medio de utilizar herramientas aprobadas como la tecnología Microsoft AuthentiCode, diseñada para asegurar tanto la autenticidad como la integridad de software. El software descargado por el usuario se encuentra firmado digitalmente, para proporcionar al usuario una garantía de su origen, así como para evitar modificaciones no autorizadas.
Para una mayor simplicidad de uso por parte del usuario, el plug-in incorpora la cadena de certificado completa que se requiere para verificar la firma del código, no solamente el certificado que contiene la clave pública utilizada para firmar el código.
Además, la referencia al plug-in del servicio de certificación ARA se inserta en la página web por medio de una etiqueta adecuada. De esta forma el navegador, habiendo leído la etiqueta y verificado la versión de ActiveX, sobre la base de la política de seguridad especificada por el usuario, lo instalará si es necesario de forma transparente para el usuario.
Cualquier versión subsiguiente o actualización del cliente de servicio de certificación ARA se puede distribuir a los usuarios sin requerir la descarga y la instalación manual del programa. Esto se debe a que el navegador, una vez que ha detectado la presencia de una versión nueva del programa instalado actualmente y registrado en la máquina, obtendrá e instalará automáticamente la versión sustitutiva.
El diagrama de flujo que muestra el proceso de activación del plug-in por parte del navegador se muestra esquemáticamente en la figura 6.
Después de la descarga 51 de la página HTML a través de HTTPs, en 52 se extraen los datos relativos a la versión del plug-in del servicio de certificación ARA. Si la comprobación 53 muestra que el plug-in se encuentra registrado y no es una nueva versión (como se comprueba en 54) el procedimiento va directamente a la ejecución 56 del plug-in de servicio de certificación ARA.
En otro caso, si en 53 se encuentra que el plug-in no está registrado, o está registrado pero en estado de disponer de una nueva versión, se solicita en 55 una nueva descarga del plug-in y la extracción de la firma digital.
Solamente si en 57 se verifica la validez de la firma y del certificado, continuará el procedimiento con la ejecución de hecho del plug-in en 56.
El diagrama anterior de la figura 6 supone que las políticas de seguridad del navegador del usuario autorizan la ejecución de plug-ins firmados.
En cualquier caso, por lo menos cuando se escogen fabricantes acreditados (como Microsoft), el usuario dispondrá de garantías claras de seguridad referentes al origen e integridad del código descargado, debido a la firma digital del código fuente.
El plug-in del servicio de certificación ARA utiliza también una librería externa para la autenticación del usuario en el sistema basado en SIM. Esta librería consiste en dos ficheros separados:
- un fichero de librería de enlace dinámico (.DLL);
- un fichero de inicialización (.INI).
\vskip1.000000\baselineskip
En términos del procedimiento, una vez ha comenzado la ejecución, el plug-in del servicio de certificación ARA muestra una ventana de diálogo al usuario para la obtención de los parámetros y datos necesarios para enviar la solicitud de certificación.
Los datos solicitados pueden ser:
- el nombre del usuario;
- el apellido del usuario;
- el código numérico personal;
- el PIN para la tarjeta SIM del usuario, si se requiere.
\vskip1.000000\baselineskip
Un procedimiento de funcionamiento interactivo con el usuario se podría basar en una interficie gráfica con una interacción del siguiente tipo:
Usted está solicitando un certificado digital. Por favor asegúrese de que la tarjeta SIM se encuentra insertada en el lector del ordenador personal. A continuación rellene cada campo y pulse el botón OK cuando haya terminado.
Esto va seguido por las solicitudes de datos sobre el usuario, solicitando el formulario, por ejemplo, el nombre, apellido, lista de afiliación y el PIN de la tarjeta SIM del usuario.
Otro medio para establecer contacto con el usuario es una interficie que proporciona una secuencia de ayuda como:
Ésta es la ayuda del servicio AutoRA.
Para registrar sus certificados, por favor realice las acciones que se indican a continuación:
1. Asegúrese de que la tarjeta SIM se encuentra insertada correctamente en el lector SIM conectado a su PC.
2. Rellene cada sección del formulario con la información correspondiente, por ejemplo:
-
nombre: introduzca su nombre (por ejemplo John);
-
apellido: introduzca su apellido (por ejemplo Smith);
-
número de identificación: introduzca su código numérico personal de la compañía;
-
PIN de tarjeta SIM: introduzca el PIN de su tarjeta SIM si es necesario.
3. Finalmente, pulse sobre el botón OK para continuar, o pulse sobre CANCEL para cancelar la solicitud de certificado.
\vskip1.000000\baselineskip
Como se muestra en la figura 7, una vez ha tenido lugar la inicialización de la tarjeta SIM en 60, en 62 se verifica la necesidad de proporcionar el PIN, después de lo cual se habilita el correspondiente bloque de prueba 63 o se deshabilita en 64, según si el PIN es necesario o innecesario respectivamente.
El procedimiento a continuación entra en una fase de comprobación que, siguiendo a la presentación 65 de una ventana de diálogo y recogida de datos, comprueba la ventana 66 y, si no se pasa la prueba de comprobación, vuelve a mostrar 65 dicha ventana de diálogo; en otro caso, si se pasa la comprobación, se va a la ejecución del procedimiento de autenticación basado en SIM 68 y a continuación a la gestión 69 de errores. El procedimiento termina con el procesado y formateado de los datos 70 y la transmisión final 71 al servidor AutoRA.
\vskip1.000000\baselineskip
Lista de abreviaturas, acrónimos y símbolos
3DES:
Estándar de encriptado triple de datos
ARA:
Autoridad de auto-registro
CA:
Autoridad de certificación del servicio de certificación
CN:
Nombre común
CMP:
Protocolo de administración de certificado (PKIX-CMP)
DES:
Estándar de encriptado de datos
DN:
Nombre de discriminación
EPF:
Fichero de perfil de confianza
FTP:
Protocolo de transferencia de ficheros
HTTP:
Protocolo de transferencia de hipertexto
HTTPs:
HTTP seguro (HTTP/SSL)
IMSI:
Identidad de subscriptor móvil internacional
IETF:
Grupo de trabajo de ingeniería de Internet
IP:
Protocolo de Internet
LDAP:
Control de acceso a directorio ligero
MAC:
Código de autenticación de mensaje
MFC:
Clase de fundación de Microsoft
PC/SC:
Ordenador personal/tarjeta inteligente
PIN:
Número de identificación personal
PKCS:
Estándares de criptografía de clave pública
PKI:
Infraestructura de clave pública
RA:
Autoridad de registro
SARA:
Autoridad de servidor de auto-registro
SEP:
Protocolo de intercambio seguro
SIM:
Módulo de identidad de subscriptor
SMTP:
Protocolo de transferencia de correo simple
SSL:
Capa de zócalo seguro
TA:
Autoridad de consignación de hora y fecha
TCP:
Protocolo de control de transmisión
TLS:
Seguridad de capa de transporte
\vskip1.000000\baselineskip
Ventajas y aplicabilidad industrial de la presente invención
El beneficio principal que se obtiene de la utilización de un servicio según la presente invención para el operador de una red de telefonía celular consiste en la capacidad de realizar el despliegue rápido y seguro de la PKI en su intranet. También será ventajoso poder ofrecer:
- Servicios corporativos: por ejemplo, un producto SIM + PKI que se puede integrar e instalar rápidamente en campo en las instalaciones del usuario. Existen también posibilidades de integración con PKI de cliente previamente instalada (Entrust, Baltimore, etc.).
- Servicios comerciales: por ejemplo, un servicio de distribución automatizada de certificados a ofrecer a la autoridad de certificación (por ejemplo, Saritel, BNL, Postecom, etc.). El servicio podría ser útil para dichos proveedores de certificados, especialmente por el hecho de que permite llegar de forma simple y barata a un número particularmente elevado de usuarios potenciales.
- Servicios de consumidor: por ejemplo, se pueden ofrecer servicios de Internet de valor añadido a los clientes del operador de red de telefonía celular, como pago, acceso autentificado a servicios de información, VPN, correo seguro, SSL, etc. Estos servicios podrían ser útiles también para el operador de red de telefonía móvil debido a los posibles beneficios en términos de imagen.
\vskip1.000000\baselineskip
Referencias citadas en la presente descripción
Esta lista de referencias citadas por el solicitante es solamente para la conveniencia del lector. No forma parte del documento de Patente Europea. Aunque se ha prestado gran atención a la recopilación de las referencias, no se pueden descartar errores u omisiones y la Oficina Europea de Patentes declina cualquier responsabilidad respecto a la misma.
Documentos de patente citados en la presente descripción
\bullet IT RM200A000538 [0005]
\bullet WO 0002406 A [0006]

Claims (7)

1. Procedimiento para la distribución de un certificado digital a por lo menos un usuario, disponiendo dicho por lo menos único usuario de un terminal respectivo (14) asociado con un módulo de identidad de subscriptor respectivo (19), comprendiendo el procedimiento las etapas siguientes:
i) permitir el acceso del por lo menos único usuario a un servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, asociándose el acceso con una solicitud de un certificado para el usuario;
ii) activar, en el terminal de usuario (14) la ejecución de un cliente (13) adaptado para activar un procedimiento de autenticación con un servidor de autenticación (11) que actúa como una pasarela a un sistema GSM, estando la activación causada por dicho servidor (1) para el auto-registro y emisión automatizada de certificados digitales, originando el cliente (13) la extracción de datos de identificación de dicho módulo de identidad de subscriptor (19) y el envío de dichos datos de identificación a dicho servidor de autenticación (11);
iii) en caso de autenticación positiva, obtener en el terminal de usuario (14) parámetros de autenticación del usuario autentificado desde dicho servidor de autenticación (11);
iv) crear una contraseña de un solo uso por medio de una combinación de los parámetros de autenticación y enviar dicha contraseña de un solo uso junto con los identificadores de usuario desde el terminal de usuario (14) al servidor (1) para el auto-registro y la emisión automatizada de certificados digitales;
v) solicitar, desde el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales al servidor de autenticación (11), la verificación de la contraseña de un solo uso;
vi) verificar, por parte de una base de datos apropiada (10) asociada con el servidor (1) para el auto-registro y la emisión automatizada de certificados digitales, y basándose en dichos identificadores de usuario, una autorización de usuario para solicitar el certificado;
vii) en caso de un resultado positivo de dichas verificaciones, entrar en contacto con una autoridad de certificación (8) para la creación de un nuevo certificado para el usuario autentificado, recibiendo en respuesta parámetros relacionados con dicho certificado, y enviar los parámetros relacionados con dicho certificado a dicho usuario, para permitir a dicho usuario obtener el nuevo certificado desde dicha autoridad de certificación (8).
2. Procedimiento de la reivindicación 1, caracterizado por el hecho de que dicha etapa v) se realiza después de la verificación de la autorización del usuario para solicitar el certificado.
3. Procedimiento de la reivindicación 1, caracterizado por el hecho de que dichos identificadores de usuario comprenden un nombre, un apellido y un número de código personal.
4. Procedimiento de la reivindicación 1, caracterizado por el hecho de que dicho acceso al servidor (1) para el auto-registro y la emisión automatizada de certificados digitales está gestionado por un servidor web (2) que interactúa con dicho servidor (1) para el auto-registro y la emisión automatizada de certificados digitales.
5. Procedimiento de la reivindicación 4, caracterizado por el hecho de que dicho permiso de acceso al servidor (1) para el auto-registro y la emisión automatizada de certificados digitales comprende que dicho servidor web (2) presente al usuario una interficie interactiva.
6. Procedimiento de la reivindicación 5, caracterizado por el hecho de que dicha interficie interactiva se encuentra adaptada para recibir dichos parámetros de identificación del usuario.
7. Procedimiento de la reivindicación 4, caracterizado por el hecho de que comprende además el registro de dicha solicitud de certificado en un fichero de registro (6') de dicho servidor web, después del envío de los identificadores de usuario y de la contraseña de un solo uso.
ES03732797T 2002-06-14 2003-06-13 Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento. Expired - Lifetime ES2305467T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IT2002RM000335A ITRM20020335A1 (it) 2002-06-14 2002-06-14 Metodo di autoregistrazione e rilascio automatizzato di certificati digitali e relativa architettura di rete che lo implementa.
ITRM02A0335 2002-06-14

Publications (1)

Publication Number Publication Date
ES2305467T3 true ES2305467T3 (es) 2008-11-01

Family

ID=11456367

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03732797T Expired - Lifetime ES2305467T3 (es) 2002-06-14 2003-06-13 Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento.

Country Status (8)

Country Link
EP (1) EP1514446B8 (es)
AT (1) ATE390814T1 (es)
AU (1) AU2003240182A1 (es)
BR (1) BRPI0311811B1 (es)
DE (1) DE60319985T2 (es)
ES (1) ES2305467T3 (es)
IT (1) ITRM20020335A1 (es)
WO (1) WO2003107710A1 (es)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8099082B2 (en) 2005-12-16 2012-01-17 Research In Motion Limited System and method wireless messaging in a wireless communication system
US8005459B2 (en) 2005-12-16 2011-08-23 Research In Motion Limited System and method of authenticating login credentials in a wireless communication system
US8527770B2 (en) 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
US7945959B2 (en) 2007-06-18 2011-05-17 International Business Machines Corporation Secure physical distribution of a security token through a mobile telephony provider's infrastructure
JP4128610B1 (ja) * 2007-10-05 2008-07-30 グローバルサイン株式会社 サーバ証明書発行システム
CN101828358B (zh) * 2007-06-27 2012-07-04 环球标志株式会社 服务器认证书发行系统
ATE491298T1 (de) * 2008-02-29 2010-12-15 Research In Motion Ltd Verfahren und vorrichtung zur verwendung zum erhalten eines digitalen zertifikats für eine mobile kommunikationsvorrichtung
US10015158B2 (en) 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
US9479339B2 (en) 2008-02-29 2016-10-25 Blackberry Limited Methods and apparatus for use in obtaining a digital certificate for a mobile communication device
EP2096830B1 (en) * 2008-02-29 2011-08-03 Research In Motion Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
US8386773B2 (en) 2008-12-09 2013-02-26 Research In Motion Limited Verification methods and apparatus for use in providing application services to mobile communication devices
US9232400B2 (en) * 2012-11-13 2016-01-05 Alcatel Lucent Restricted certificate enrollment for unknown devices in hotspot networks
DE102018005201A1 (de) * 2018-06-29 2020-01-02 Giesecke+Devrient Mobile Security Gmbh Verfahren zur authentifizierung eines benutzers, teilnehmer-identitäts modul, authentifizierungsserver und authentifizierungssystem
EP4203387A1 (de) * 2021-12-22 2023-06-28 Deutsche Telekom AG Verfahren und system zur authentifizierung eines endgeräts eines nutzers

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US7107248B1 (en) * 2000-09-11 2006-09-12 Nokia Corporation System and method of bootstrapping a temporary public-key infrastructure from a cellular telecommunication authentication and billing infrastructure
GB2366141B (en) * 2001-02-08 2003-02-12 Ericsson Telefon Ab L M Authentication and authorisation based secure ip connections for terminals

Also Published As

Publication number Publication date
EP1514446A1 (en) 2005-03-16
BR0311811A (pt) 2005-03-15
ITRM20020335A0 (it) 2002-06-14
ATE390814T1 (de) 2008-04-15
EP1514446B8 (en) 2008-08-06
EP1514446B1 (en) 2008-03-26
DE60319985D1 (de) 2008-05-08
ITRM20020335A1 (it) 2003-12-15
BRPI0311811B1 (pt) 2017-02-07
AU2003240182A1 (en) 2003-12-31
WO2003107710A1 (en) 2003-12-24
DE60319985T2 (de) 2009-08-13

Similar Documents

Publication Publication Date Title
ES2281760T3 (es) Metodo y aparato para implementar un acceso vpn seguro a traves de cadenas de certificado modificadas.
EP1602194B1 (en) Methods and software program product for mutual authentication in a communications network
RU2515809C2 (ru) Способы, предназначенные для того, чтобы давать возможность безопасной самостоятельной инициализации абонентских устройств в системе связи
US7373515B2 (en) Multi-factor authentication system
CN101027676B (zh) 用于可控认证的个人符记和方法
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
US7793102B2 (en) Method for authentication between a portable telecommunication object and a public access terminal
ES2305467T3 (es) Procedimiento de auto-registro y emision automatizada de certificados digitales y arquitectura de red relacionada que implementa dicho procedimiento.
CN109417545B (zh) 下载网络接入简档的方法、安全模块、移动终端和介质
US20110078773A1 (en) Mobile terminal authorisation arrangements
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US20080148044A1 (en) Locking carrier access in a communication network
EP3785153A1 (en) Remote biometric identification
CN112887308B (zh) 一种无感网络身份认证方法及系统
US11838272B2 (en) VPN establishment
Pashalidis et al. Using GSM/UMTS for single sign-on
KR20170070379A (ko) 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템
Latze et al. Strong mutual authentication in a user-friendly way in eap-tls
EP1494395A1 (en) Method and authentication module for providing access to a target network via a wireless local area network WLAN
EP4009601A1 (en) Vpn establishment
EP3582469B1 (en) Authentication using a mobile network operator system
EP4109945A1 (en) Token, particularly otp, based authentication system and method
KR20240042059A (ko) 위임 eUICC 프로파일 관리
Schuba et al. Internet id-flexible re-use of mobile phone authentication security for service access
WO2009098207A2 (en) Method and device for data processing and communication system comprising such device