ES2411579B1 - SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS - Google Patents
SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS Download PDFInfo
- Publication number
- ES2411579B1 ES2411579B1 ES201131968A ES201131968A ES2411579B1 ES 2411579 B1 ES2411579 B1 ES 2411579B1 ES 201131968 A ES201131968 A ES 201131968A ES 201131968 A ES201131968 A ES 201131968A ES 2411579 B1 ES2411579 B1 ES 2411579B1
- Authority
- ES
- Spain
- Prior art keywords
- credentials
- user
- credential
- protected
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Abstract
Sistema y procedimiento de control de credenciales de usuario para el acceso a servicios de terceras partes en redes móviles.#Sistema y procedimiento para controlar credenciales proporcionadas por un usuario, en una red móvil con un servidor de terceras partes (2) y una aplicación de lado de cliente (1) que solicita acceso al servidor de terceras partes (2) en nombre del usuario, que comprenden:#- un administrador de credenciales (21) para recuperar una identidad inequívoca del usuario y permitir al usuario identificado proporcionar credenciales auténticas para su uso por servicios protegidos del servidor de terceras partes (2) y credenciales falsas para su uso por la aplicación de lado de cliente (1),#- un repositorio de almacenamiento de credenciales (23) en el que el administrador de credenciales (21) almacena las credenciales tanto auténticas como falsas en asociación con la identidad del usuario,#- un reemplazador de credenciales (22) para detectar mensajes de autenticación en la comunicación entre la aplicación de lado de cliente (1) y el servidor de terceras partes (2) y reemplazar las credenciales falsas en los mensajes de autenticación detectados por las credenciales auténticas asociadas del repositorio de almacenamiento de credenciales (23).System and procedure for the control of user credentials for access to third-party services in mobile networks. # System and procedure to control credentials provided by a user, in a mobile network with a third-party server (2) and an application of client side (1) requesting access to the third party server (2) on behalf of the user, comprising: # - a credential administrator (21) to retrieve an unambiguous identity of the user and allow the identified user to provide authentic credentials for its use by third-party server protected services (2) and false credentials for use by the client-side application (1), # - a credential storage repository (23) in which the credential manager (21 ) stores both authentic and false credentials in association with the user's identity, # - a credential replacement (22) to detect authentication messages n in the communication between the application client side (1) and the third party server (2) and replace false credentials authentication messages detected by the authentic credentials associated repository credential storage (23).
Description
CAMPO TÉCNICO DE LA INVENCiÓN TECHNICAL FIELD OF THE INVENTION
La presente invención trata de la manipulación y administración segura de información privada y confidencial (es decir, credenciales) usada por usuarios finales para el acceso a un servicio de terceros o terceras partes (en inglés, "third party services"), por ejemplo, servicio de web 2.0, y más particularmente, se refiere a un sistema y procedimiento para controlar credenciales de usuario desde el lado de la red móvil. The present invention relates to the secure handling and administration of private and confidential information (ie credentials) used by end users for access to a third party or third party service (in English, "third party services"), for example, Web 2.0 service, and more particularly, refers to a system and procedure for controlling user credentials from the mobile network side.
ANTECEDENTES DE LA INVENCiÓN BACKGROUND OF THE INVENTION
EL auge de los servicios web implica un aumento de información privada y confidencial depositada por individuos y empresas en los proveedores de servicios de Internet (ISP). Por ejemplo, los servicios de web 2.0, asociados con aplicaciones web que facilitan tendencias sistémicas interactivas, interoperabilidad, diseño orientado al usuario y desarrollo de la World Wide Web, usan determinada información de usuario para identificar de manera unívoca a un único individuo o cliente. Ejemplos de selVicios de web 2.0 incluyen sitios de redes sociales, tales como Facebook, Twitter, Tuenti, Orkut, etc. The rise of web services implies an increase in private and confidential information deposited by individuals and companies in Internet service providers (ISPs). For example, web 2.0 services, associated with web applications that facilitate interactive systemic trends, interoperability, user-oriented design and development of the World Wide Web, use certain user information to uniquely identify a single individual or customer. Examples of web 2.0 selVices include social networking sites, such as Facebook, Twitter, Tuenti, Orkut, etc.
En el panorama actual de aplicaciones móviles, existe un completo espectro de aplicaciones móviles (lado de cliente) que hacen uso de servicios de terceras partes (habitual pero no necesariamente servicios de web 2.0), o bien como la funcionalidad primaria de la aplicación o bien como una funcionalidad secundaria. Por tanto, por ejemplo, existen varias aplicaciones de mensajería instantánea que permiten conexiones con los servidores de Google Talk, y existen bastantes aplicaciones que permiten al usuario publicar algo en Twittero Facebook, directamente desde la aplicación. In the current landscape of mobile applications, there is a full spectrum of mobile applications (client side) that make use of third-party services (usual but not necessarily web 2.0 services), either as the primary functionality of the application or As a secondary functionality. Therefore, for example, there are several instant messaging applications that allow connections to Google Talk servers, and there are quite a few applications that allow the user to publish something on Facebook Twitter, directly from the application.
Puesto que se solicitan credenciales al usuario final para posibilitar el acceso al servicio de terceras partes, y por tanto el usuario debe realizar una declaración de confianza implícita con respecto al desarrollador de la aplicación de lado de cliente cuando proporciona a esta aplicación las credenciales del usuario, esta situación presenta un posible problema de seguridad. De hecho, el usuario le confía sus credenciales al desarrollador de la aplicación para el servicio de terceras partes. Aún peor, en algunos casos, tal como el mencionado anteriormente de Google Talk, puede usarse la misma credencial para acceder a más servicios del mismo proveedor (por ejemplo, la credencial Since credentials are requested from the end user to enable access to the third-party service, and therefore the user must make an implicit statement of trust regarding the developer of the client-side application when providing this application with the user's credentials , this situation presents a possible security problem. In fact, the user entrusts his credentials to the developer of the application for the service of third parties. Even worse, in some cases, such as the one mentioned above from Google Talk, the same credential can be used to access more services from the same provider (for example, the credential
de Google da acceso a todas las aplicaciones de Goog/e). Esto significa que un desarrollador deshonesto puede recopilar, fácilmente, cientos o miles de credenciales del usuario para servicios de terceras partes. Por tanto, en el panorama actual, los usuarios finales pierden el control efectivo de sus credenciales cada vez que las proporcionan. Google gives access to all Goog / e applications). This means that a dishonest developer can easily collect hundreds or thousands of user credentials for third-party services. Therefore, in the current scenario, end users lose effective control of their credentials each time they provide them.
5 Con el fin de aliviar este problema, las soluciones existentes establecen un mecanismo mediante el cual el usuario no proporciona las credenciales directamente a la aplicación; en su lugar, se implementa un mecanismo de autenticación delegado, tridireccional, tal como se muestra en la figura 1. Cuando el usuario final desde una aplicación de lado de cliente (1) solicita acceso (10) a un servidor de terceras partes (2) a 5 In order to alleviate this problem, existing solutions establish a mechanism by which the user does not provide credentials directly to the application; instead, a three-way delegated authentication mechanism is implemented, as shown in Figure 1. When the end user from a client-side application (1) requests access (10) to a third-party server (2) ) to
10 través de un navegador web (3), que puede estar integrado o ser independiente, el navegador web (3) se conecta a una página específica en respuesta a una petición de acceso (11) proporcionada por el servidor de terceras partes (2). Esta página exige las credenciales (12) al usuario a través del navegador web (3). El usuario las proporciona a dicho navegador web (3), que a su vez envía las credenciales (13) al servidor de terceras 10 through a web browser (3), which can be integrated or independent, the web browser (3) connects to a specific page in response to an access request (11) provided by the third-party server (2) . This page requires the credentials (12) to the user through the web browser (3). The user provides them to said web browser (3), which in turn sends the credentials (13) to the third party server
15 partes (2). Tras comprobar la validez de las credenciales del usuario, el servidor de terceras partes (3) genera entonces un testigo de acceso (14) que se retransmite (15) por el navegador web (3) a la aplicación de lado de cliente (1). Luego el testigo de acceso se usa para acceder (16) al servidor de terceras partes (2) por la aplicación de lado de cliente 15 parts (2). After checking the validity of the user's credentials, the third party server (3) then generates an access token (14) that is transmitted (15) by the web browser (3) to the client side application (1) . Then the access token is used to access (16) the third party server (2) by the client side application
(1) como el usuario, sin que dicha aplicación tenga acceso a las credenciales del usuario. (1) as the user, without said application having access to the user's credentials.
20 Por tanto, el mecanismo que acaba de describirse, como el implementado por la comunidad de OAuth, intenta permitir que una aplicación móvil obtenga acceso a un servicio de terceras partes sin tener acceso real a la credencial del usuario. Tal como se define por el Grupo de trabajo de ingeniería de Internet (IETF) en la Petición de Comentarios, RFC 5849 (abril de 2010), OAuth permite al usuario conceder acceso a 20 Therefore, the mechanism just described, such as the one implemented by the OAuth community, attempts to allow a mobile application to gain access to a third-party service without having real access to the user's credential. As defined by the Internet Engineering Working Group (IETF) in the Request for Comments, RFC 5849 (April 2010), OAuth allows the user to grant access to
25 recursos del usuario privados en un sitio (que se denomina el proveedor de servicios), a otro sitio (denominado consumidor, no debe confundirse con el usuario). OAuth se refiere a dar acceso a información o contenido personal de un usuario sin compartir la identidad del usuario en absoluto (o sus partes secretas, es decir, las credenciales). OAuth se soporta por varios de los grandes actores de la web 2.0, tales como Google, Facebook o Twitter. 25 private user resources in one site (called the service provider), to another site (called consumer, not to be confused with the user). OAuth refers to giving access to a user's personal information or content without sharing the user's identity at all (or their secret parts, that is, credentials). OAuth is supported by several of the great actors of web 2.0, such as Google, Facebook or Twitter.
30 OAuth proporciona un procedimiento para que los clientes accedan a los recursos de servidor en nombre de un propietario de recurso (tal como un cliente diferente o un usuario final) y también proporciona un proceso para que usuarios finales autoricen el acceso de terceras partes a sus recursos de servidor sin compartir sus credenciales (normalmente, un par de nombre de usuario y contraseña), usando redirecciones de agente de usuario. 30 OAuth provides a procedure for clients to access server resources on behalf of a resource owner (such as a different client or an end user) and also provides a process for end users to authorize third-party access to their server resources without sharing your credentials (typically, a couple of username and password), using user agent redirects.
35 OAuth es la normalización y sabiduría combinada de muchos protocolos del sector bien 35 OAuth is the standardization and combined wisdom of many industry protocols well
establecidos: similar a otros protocolos actualmente en uso (Google AuthSub, BOj OpenAuth, Yahoo BBAuth, Upcoming api, Flickr api, Amazon Web Services api, etc.). Cada protocolo proporciona un procedimiento propietario para intercambiar las credenciales de usuario por un testigo o ticket de acceso. established: similar to other protocols currently in use (Google AuthSub, BOJ OpenAuth, Yahoo BBAuth, Upcoming api, Flickr api, Amazon Web Services api, etc.). Each protocol provides a proprietary procedure to exchange user credentials for a token or access ticket.
S En el presente contexto, se usa la siguiente terminología (RFC 5849): Recurso protegido: Un recurso de acceso restringido que puede obtenerse del servidor de terceras partes del proveedor de servicios. Propietario de recurso: Una entidad que puede acceder y controlar recursos protegidos usando credenciales para autenticarse con el servidor de terceras partes. S In the present context, the following terminology is used (RFC 5849): Protected resource: A restricted access resource that can be obtained from the third-party server of the service provider. Resource owner: An entity that can access and control protected resources using credentials to authenticate with the third-party server.
10 Credenciales: OAuth define las credenciales como un par de un identificador único y un secreto compartido coincidente. OAuth especifica tres clases de credenciales: cliente, temporal y testigo, usadas para identificar y autenticar al cliente que realiza la petición, la petición de autorización y la concesión de acceso, respectivamente. 10 Credentials: OAuth defines credentials as a pair of a unique identifier and a shared shared secret. OAuth specifies three types of credentials: client, temporary and witness, used to identify and authenticate the client making the request, the authorization request and the granting of access, respectively.
Testigo: Un identificador único emitido por el servidor y usado por el cliente para Witness: A unique identifier issued by the server and used by the client to
15 asociar peticiones autenticadas con el propietario de recurso cuya autorización se solicita o se ha obtenido por el cliente. Los testigos tienen un secreto compartido coincidente que se usa por el cliente para establecer su propiedad del testigo, y su autoridad para representar al propietario de recurso. Normalmente, las credenciales de OAuth 2.0 consisten en los siguientes elementos: 15 Associate authenticated requests with the resource owner whose authorization is requested or obtained by the client. Witnesses have a matching shared secret that is used by the client to establish their ownership of the witness, and their authority to represent the resource owner. Normally, OAuth 2.0 credentials consist of the following elements:
20 • ID de cliente -Identifica de manera unívoca la aplicación. 20 • Customer ID - Identifies the application uniquely.
- • •
- Secreto de cliente -Usada como parte de la petición de testigo por un cliente. Client secret -Used as part of the witness request by a client.
- • •
- URI de redirección -Una lista de URI (identificadores de recursos uniformes) de redirección válidos permitidos en una petición de autorización. La primera vez que una aplicación solicita un testigo de autorización, se envía una petición que incluye Redirect URI - A list of valid redirect URIs (uniform resource identifiers) allowed in an authorization request. The first time an application requests an authorization token, a request is sent that includes
25 un URI de redirección. El URI de redirección indica dónde Google debe redirigir el navegador después de que el usuario permita (o deniegue) la petición de autorización. Las aplicaciones basadas en web proporcionan el URI de una página gestora para llamar después de que se complete la petición de autorización; las aplicaciones instaladas usan una cadena de URI convencional. Si una petición 25 a redirect URI. The redirect URI indicates where Google should redirect the browser after the user allows (or denies) the authorization request. Web-based applications provide the URI of a management page to call after the authorization request is completed; installed applications use a conventional URI string. If a request
30 basada en web no incluye un URI enumerado aquí, el usuario obtendrá un error de autorización . 30 web-based does not include a URI listed here, the user will get an authorization error.
• Información de marca -Se trata de información acerca del propietario de recurso (un individuo o una empresa) que se muestra cuando su aplicación solicita por primera vez una autorización OAuth. • Brand information - This is information about the resource owner (an individual or a company) that is displayed when your application first requests an OAuth authorization.
35 Los mecanismos existentes, tales como la implementación de OAuth, mostrada en la figura 1, presentan tres problemas principales: 35 Existing mechanisms, such as the implementation of OAuth, shown in Figure 1, present three main problems:
1) Soporte: Debe implementarse y soportarse por el servidor de terceras partes. Además, debe soportarse en todos los servicios del servidor. Aunque algunos de los más grandes actores (Google, Facebook, Twitter) 1) Support: It must be implemented and supported by the third party server. In addition, it must be supported on all server services. Although some of the greatest actors (Google, Facebook, Twitter)
5 soportan un mecanismo de autorización como el descrito anteriormente, no todos los servicios de web 2.0 lo soportan. Aún más, algunos de los servicios de Google no soportan un mecanismo de autenticación delegado (por ejemplo, Google Talk no lo soporta). 5 support an authorization mechanism as described above, not all web 2.0 services support it. Moreover, some of Google's services do not support a delegated authentication mechanism (for example, Google Talk does not support it).
2) Verificabilidad por el usuario: Es prácticamente imposible para el usuario, 2) Verifiability by the user: It is practically impossible for the user,
10 incluso para un usuario avanzado, verificar si un navegador integrado (o navegador de sistema operativo) está usándose en realidad para proporcionar las credenciales al navegador web (3), en la figura 1, o si el usuario en realidad está proporcionándolas directamente a la aplicación, que implementará entonces el mecanismo de autenticación completo. 10 even for an advanced user, verify if an integrated browser (or operating system browser) is actually being used to provide credentials to the web browser (3), in Figure 1, or if the user is actually providing them directly to the application, which will then implement the full authentication mechanism.
15 Además, en esquemas OAuth se confía implícitamente en el navegador, puesto que las credenciales deben proporcionarse a través de éste para el primer acceso. 15 In addition, OAuth schemes implicitly rely on the browser, since credentials must be provided through it for the first access.
3) Verificabilidad por el servidor de terceras partes: Aún peor, también es imposible para el servidor de terceras partes distinguir entre una aplicación 3) Verifiability by the third party server: Even worse, it is also impossible for the third party server to distinguish between an application
20 de fiar que implementa el protocolo correctamente (es decir, la aplicación de fiar no tiene acceso a las credenciales) y una aplicación fraudulenta que implementa directamente la totalidad de la interfaz de usuario y tiene acceso a las credenciales. El problema técnico objetivo es permitir a los usuarios finales conservar la 20 legit that implements the protocol correctly (that is, the legit application does not have access to the credentials) and a fraudulent application that directly implements the entire user interface and has access to the credentials. The objective technical problem is to allow end users to keep the
25 seguridad y control en el uso de sus credenciales para acceder a servicios de terceras partes, en cualquier caso independientemente del servidor de terceras partes e incluso si la aplicación cliente que solicita acceso en el nombre del usuario al servidor de terceras partes es malintencionada. 25 security and control in the use of their credentials to access third-party services, in any case independently of the third-party server and even if the client application that requests access in the name of the user to the third-party server is malicious.
30 SUMARIO DE LA INVENCiÓN La presente invención sirve para resolver el problema mencionado anteriormente proporcionando un sistema y procedimiento que reside en el lado de la red móvil para permitir el uso de servicios de terceras partes autenticados por parte de cualquier aplicación de lado de cliente (móvil) y mantener la seguridad completa de las credenciales SUMMARY OF THE INVENTION The present invention serves to solve the aforementioned problem by providing a system and method that resides on the mobile network side to allow the use of authenticated third-party services by any client-side (mobile) application. ) and maintain full credential security
35 del usuario. De hecho, este sistema y procedimiento evitan que los usuarios proporcionen 35 of the user. In fact, this system and procedure prevent users from providing
sus credenciales directamente a las aplicaciones, ya que la invención permite que la red móvil sea la única encargada de introducir de manera transparente las credenciales cuando se necesiten por el servicio de terceras partes, basandose en la identidad de un usuario (obtenida a partir de la identidad de abonado de red móvil) y credenciales 5 previamente proporcionadas al proveedor de la red móvil. Por tanto, los usuarios finales no tienen que introducir nunca sus credenciales en sus terminales móviles, en caso de elegir no hacerlo. La invención garantiza la seguridad de las credenciales del usuario incluso si la aplicación móvil es de naturaleza malintencionada puesto que la aplicación nunca accede a las credenciales del usuario ya que se introducen directamente en el flujo de their credentials directly to the applications, since the invention allows the mobile network to be the only one in charge of transparently introducing the credentials when needed by the service of third parties, based on the identity of a user (obtained from the mobile network subscriber identity) and credentials 5 previously provided to the mobile network provider. Therefore, end users never have to enter their credentials in their mobile terminals, in case they choose not to. The invention guarantees the security of the user's credentials even if the mobile application is malicious in nature since the application never accesses the user's credentials since they are directly entered into the flow of
10 comunicación fuera de la aplicación potencialmente comprometida o incluso del terminal del usuario. 10 communication outside the potentially compromised application or even the user's terminal.
Según un aspecto de la invención, se proporciona un sistema para controlar credenciales de usuario suministradas por un usuario, en una red móvil con una comunicación establecida entre un servidor de terceras partes y una aplicación de lado de According to one aspect of the invention, a system for controlling user credentials provided by a user is provided in a mobile network with a communication established between a third-party server and an application on the side of
15 cliente que solicita acceso al servidor de terceras partes en nombre del usuario, que comprende: 15 client requesting access to the third party server on behalf of the user, which includes:
- --
- un administrador de credenciales que comprende medios para recuperar una a credential administrator who understands means to retrieve a
identidad del usuario definida de manera inequívoca (es decir, es única e identifica al user identity defined unequivocally (that is, it is unique and identifies the
usuario inequívocamente) en la red móvil y medios de acceso a través de los cuales el user unequivocally) in the mobile network and means of access through which the
20 usuario proporciona credenciales auténticas para su uso en un servicio de terceras partes protegido del servidor de terceras partes y credenciales falsas para su uso por la aplicación de lado de cliente, 20 user provides authentic credentials for use in a third-party service protected from the third-party server and false credentials for use by the client-side application,
- --
- un repositorio o base de datos de almacenamiento de credenciales en el que el administrador de credenciales almacena tanto las credenciales auténticas como las 25 credenciales falsas en asociación con la identidad del usuario recuperada (unívoca), a repository or credential storage database in which the credential administrator stores both authentic credentials and false credentials in association with the identity of the retrieved (unique) user,
- --
- un reemplazador de credenciales que comprende medios de detección de datos para detectar mensajes de autenticación en la comunicación establecida entre la aplicación de lado de cliente y el servidor de terceras partes, y medios de reemplazo para reemplazar las credenciales falsas en los mensajes de autenticación detectados, que son para el a credential replacement comprising data detection means for detecting authentication messages in the communication established between the client-side application and the third-party server, and replacement means for replacing false credentials in the detected authentication messages, what are they for
30 servicio de terceras partes protegido, por las credenciales auténticas asociadas obtenidas del repositorio de almacenamiento de credenciales. Según otro aspecto de la invención, se proporciona un procedimiento para controlar credenciales de usuario en una comunicación establecida entre un servidor de terceras partes y una aplicación de lado de cliente que solicita acceso en nombre del usuario a 30 third-party service protected by the associated authentic credentials obtained from the credential storage repository. According to another aspect of the invention, a method is provided for controlling user credentials in a communication established between a third-party server and a client-side application requesting access on behalf of the user to
35 cualquier servicio protegido del servidor de terceras partes, comprendiendo el 35 any protected service of the third party server, including the
- procedimiento las siguientes etapas: Procedure the following stages:
- -Recuperar una identidad del usuario definida de manera inequívoca en la red -Retrieve a user identity defined unequivocally on the network
- móvil (por ejemplo, MSISDN, IMS1). Esta identidad del usuario se recupera mediante un mobile (for example, MSISDN, IMS1). This user identity is retrieved by a
- administrador de credenciales que permite el acceso al usuario identificado. credential manager that allows access to the identified user.
- S S
- -Luego, el usuario accede y proporciona (por ejemplo, a través de un portal web), -Then, the user accesses and provides (for example, through a web portal),
- al administrador de credenciales, credenciales auténticas para su uso en los servicios de to the credential administrator, authentic credentials for use in the services of
- terceras partes protegidos y credenciales falsas para la aplicación de lado de cliente. Protected third parties and false credentials for client side application.
- -Almacenar las credenciales tanto auténticas como falsas en asociación con la -Store both authentic and false credentials in association with the
- identidad del usuario en una base de datos o repositorio de almacenamiento de user identity in a database or storage repository of
- 10 10
- credenciales usado por el administrador de credenciales. credentials used by the credential manager.
- -Detectar mensajes de autenticación en la comunicación establecida entre la -Detect authentication messages in the communication established between the
- aplicación de lado de cliente y el servidor de terceras partes y reemplazar las credenciales Client-side application and third-party server and replace credentials
- falsas en los mensajes de autenticación detectados para el servicio de terceras partes false authentication messages detected for third party service
- protegido por las credenciales auténticas. Esto se realiza mediante un reemplazador de Protected by authentic credentials. This is done by a replacement of
- 15 fifteen
- credenciales que obtiene las credenciales auténticas, asociadas con las credenciales credentials that obtain authentic credentials, associated with credentials
- falsas y la identidad del usuario, del repositorio de almacenamiento de credenciales. false and the identity of the user, of the credential storage repository.
- DESCRIPCiÓN DE LOS DIBUJOS DESCRIPTION OF THE DRAWINGS
- Para completar la descripción que está realizándose y con el objeto de ayudar a un To complete the description that is being made and in order to help a
- 20 twenty
- mejor entendimiento de las características de la invención, según un ejemplo preferido de better understanding of the features of the invention, according to a preferred example of
- realización práctica de la misma, acompañando a dicha descripción como una parte practical realization of it, accompanying said description as a part
- integrante de la misma, se proporciona un juego de dibujos en los que, a modo de member thereof, a set of drawings is provided in which, by way of
- ilustración y de forma no restrictiva, se ha representado lo siguiente: illustration and in a non-restrictive manner, the following has been represented:
- 25 25
- La figura 1. Muestra un diagrama de flujo de un procedimiento de autenticación en Figure 1. Shows a flow chart of an authentication procedure in
- un sistema de proveedor de servicios de Internet basado en el uso de credenciales y an Internet service provider system based on the use of credentials and
- testigos delegados a un navegador web, tal como se conoce en la técnica anterior. witnesses delegated to a web browser, as is known in the prior art.
- La figura 2. -Muestra un diagrama de flujo de un sistema para la comunicación Figure 2. - Shows a flow chart of a system for communication
- 30 30
- entre un usuario final y un servicio de terceras partes con control de las credenciales del between an end user and a third party service with control of the credentials of the
- usuario en la red móvil, según una posible realización de la invención. user in the mobile network, according to a possible embodiment of the invention.
- DESCRIPCiÓN OHALLADA DE LA INVENCiÓN FINISHED DESCRIPTION OF THE INVENTION
- Tal como se muestra en la figura 2, una realización preferida de la invención se As shown in Figure 2, a preferred embodiment of the invention is
- 35 35
- refiere a un sistema (20) para el control de credenciales de usuario en una red móvil, en el refers to a system (20) for the control of user credentials in a mobile network, in the
que se establece una comunicación entre una aplicación de lado de cliente (1), que normalmente se ejecuta en un terminal móvil de un usuario final, y un servidor de terceras partes (2) con el fin de acceder a recursos de acceso restringido o protegidos del servidor de terceras partes (2). that a communication is established between a client-side application (1), which normally runs on a mobile terminal of an end user, and a third-party server (2) in order to access restricted or protected access resources from the third party server (2).
La aplicación de lado de cliente (1) puede ser cualquier aplicación existente en el mercado que accede a servicios de terceras partes autenticados, alojados en el servidor de terceras partes (2). The client-side application (1) can be any existing application in the market that access authenticated third-party services, hosted on the third-party server (2).
El servidor de terceras partes (2) es un sistema administrado por un proveedor de servicios de Internet que proporciona uno o más servicios de acceso restringido, autenticados o protegidos, es decir, el servidor de terceras partes (2) exige a un usuario que se autentique usando credenciales antes de permitir el uso de los servicios. Adicionalmente, el servidor de terceras partes (2) puede proporcionar acceso a servicios no autenticados, para los que no se solicitan credenciales a los usuarios y por tanto no se necesita administración de credenciales. The third party server (2) is a system managed by an Internet service provider that provides one or more restricted, authenticated or protected access services, that is, the third party server (2) requires a user to authenticate using credentials before allowing the use of the services. Additionally, the third party server (2) can provide access to unauthenticated services, for which no credentials are requested from users and therefore no credential management is required.
Además y opcionalmente, un interceptor de cifrado (30) puede estar en medio de la comunicación establecida de la aplicación de lado de cliente (1), con el servidor de terceras partes (2), con el fin de interceptar comunicaciones cifradas, de una manera que permite que las comunicaciones continúen también sin interceptarse después de un punto determinado. Por ejemplo, esquemas de autenticación actuales usan un canal cifrado para proteger la confidencialidad de credencial en tránsito. Este elemento es una parte externa (no forma parte de la invención, sino que forma parte de su caso de uso). In addition and optionally, an encryption interceptor (30) may be in the middle of the established communication of the client side application (1), with the third party server (2), in order to intercept encrypted communications, from a a way that allows communications to also continue without being intercepted after a certain point. For example, current authentication schemes use an encrypted channel to protect the credential confidentiality in transit. This element is an external part (not part of the invention, but part of its use case).
La arquitectura del sistema (20) para el control de credenciales en la red móvil comprende los siguientes bloques funcionales: The system architecture (20) for credential control in the mobile network comprises the following functional blocks:
Un reemplazador de credenciales (22) que analiza todos los flujos de tráfico entre la aplicación de lado de cliente (1) Y el servidor de terceras partes (2) en comunicación y realiza dos acciones en el tráfico analizado: detección de mensajes de autenticación y reemplazo de credenciales en los mensajes de autenticación. A credential replacement (22) that analyzes all traffic flows between the client-side application (1) and the third-party server (2) in communication and performs two actions on the analyzed traffic: authentication message detection and replacement of credentials in authentication messages.
Un administrador de credenciales (21) que permite a los usuarios finales proporcionar sus credenciales reales, auténticas, directamente al sistema (20), en lugar de al servidor de terceras partes (2) o a la aplicación de lado de cliente (1). Los usuarios finales también proporcionan una credencial falsa o ficticia con el fin de usarse por el servidor de terceras partes (2) o la aplicación de lado de cliente (1), pero las credenciales auténticas del usuario se introducen por el usuario final de manera correcta a través del administrador de credenciales (21) en un repositorio de almacenamiento de credenciales A credential administrator (21) that allows end users to provide their real, authentic credentials directly to the system (20), instead of to the third party server (2) or to the client side application (1). End users also provide a fake or fictitious credential in order to be used by the third party server (2) or the client side application (1), but the authentic user credentials are entered by the end user correctly through credential manager (21) in a credential storage repository
(23) Y no se proporcionan directamente a elementos externos tales como el servidor de (23) And they are not provided directly to external elements such as the server
terceras partes (2) y la aplicación de lado de cliente (1). El reemplazador de credenciales third parties (2) and the client side application (1). The credential replacement
(22) está encargado de reemplazar las credenciales ficticias por las credenciales del usuario auténticas en los mensajes de autenticación detectados. (22) is responsible for replacing dummy credentials with authentic user credentials in the authentication messages detected.
Un repositorio de almacenamiento de credenciales (23) es una base de datos en la que se almacenan las credenciales auténticas y las falsas, proporcionadas por los usuarios finales usando el administrador de credenciales (21). A credential storage repository (23) is a database in which authentic and false credentials are stored, provided by end users using the credential manager (21).
El procedimiento de funcionamiento global del sistema (20) para el control de las credenciales del usuario es de la siguiente manera: The overall system operation procedure (20) for the control of user credentials is as follows:
Antes de usar cualquier aplicación de lado de cliente (1) para acceder a cualquiera de los servicios de terceras partes protegidos proporcionados por el servidor de terceras partes (2), el usuario accede al sistema (20) a través de un portal web proporcionado por el administrador de credenciales (21), que identifica automáticamente al usuario basándose en una identidad de abonado única definida en la red móvil, por ejemplo, MSISDN o IMSI, y solicita al usuario que introduzca a través del portal web las credenciales, reales, que el usuario quiere que el sistema (20) proteja cuando se solicite acceso a los servicios de terceras partes protegidos. Como parte de la definición de credencial, el usuario también proporciona credenciales ficticias o falsas para su uso por el sistema (20) más adelante, cuando el usuario quiere que se reemplacen estas credenciales. Todas las credenciales, reales y falsas, se almacenan por el administrador de credenciales (21) en el repositorio de almacenamiento de credenciales (23). Before using any client-side application (1) to access any of the protected third-party services provided by the third-party server (2), the user accesses the system (20) through a web portal provided by the credential manager (21), which automatically identifies the user based on a unique subscriber identity defined in the mobile network, for example, MSISDN or IMSI, and asks the user to enter the real credentials through the web portal, which The user wants the system (20) to protect when access to the services of protected third parties is requested. As part of the credential definition, the user also provides dummy or fake credentials for use by the system (20) later, when the user wants these credentials replaced. All credentials, real and false, are stored by the credential manager (21) in the credential storage repository (23).
En un momento posterior, el usuario requiere o proporciona acceso a un servicio de terceras partes por medio de una aplicación de lado de cliente (1) instalada en su terminal móvil. La aplicación de lado de cliente (1) pide al usuario que proporcione credenciales, directamente o a través de un procedimiento de autenticación delegado tal como Oauth, y el usuario simplemente proporciona sólo las credenciales ficticias previamente anteriormente en el repositorio de almacenamiento de credenciales (23). At a later time, the user requires or provides access to a third-party service through a client-side application (1) installed in his mobile terminal. The client-side application (1) asks the user to provide credentials, directly or through a delegated authentication procedure such as Oauth, and the user simply provides only the dummy credentials previously previously in the credential storage repository (23) .
Cuando la aplicación de lado de cliente (1) intenta acceder, o proporciona acceso, al servicio de terceras partes, la aplicación de lado de cliente (1) se conecta al servidor de terceras partes (2) y envía un primer mensaje de autenticación (A 1). When the client-side application (1) attempts to access, or provides access, to the third-party service, the client-side application (1) connects to the third-party server (2) and sends a first authentication message ( To 1).
De manera opcional, si el flujo de datos y por tanto el mensaje de autenticación (A 1) está cifrado, un interceptor de cifrado (30) descifra cada mensaje, paquete de datos, y lo pasa al reemplazador de credenciales (22). Optionally, if the data flow and therefore the authentication message (A 1) is encrypted, an encryption interceptor (30) decrypts each message, data packet, and passes it to the credential replacement (22).
El reemplazador de credenciales (22) detecta si el mensaje, descifrado, (A2) contiene un mensaje de autenticación, es decir, comprueba si las siguientes condiciones son ciertas: The credential replacement (22) detects if the message, decrypted, (A2) contains an authentication message, that is, checks if the following conditions are true:
el mensaje (A2) comprende un mensaje de autenticación, the message (A2) comprises an authentication message,
el destino del mensaje de autenticación es un servidor/servicio The destination of the authentication message is a server / service
protegido, protected,
el usuario (identificado automáticamente por la red móvil, por the user (automatically identified by the mobile network, by
ejemplo, usando el MSISON) ha definido credenciales para ese example, using the MSISON) you have defined credentials for that
servicio protegido, protected service,
el mensaje de autenticación incluye las credenciales ficticias the authentication message includes the dummy credentials
definidas por el usuario para ese servicio protegido user-defined for that protected service
Entonces, el reemplazador de credenciales (22) reemplaza las credenciales ficticias por las credenciales reales, estas últimas tomadas del repositorio de almacenamiento de credenciales (23), en el mensaje de autenticación; de lo contrario, si el mensaje (A2) no incluye datos de autenticación, los datos se dejan intactos. El reemplazador de credenciales (22) devuelve un mensaje modificado (81) , o el original, si el mensaje permanece intacto sin datos de autenticación. Then, the credential replacement (22) replaces the dummy credentials with the real credentials, the latter taken from the credential storage repository (23), in the authentication message; otherwise, if the message (A2) does not include authentication data, the data is left intact. The credential replacement (22) returns a modified message (81), or the original, if the message remains intact without authentication data.
En caso de que el mensaje (A2) proceda de un interceptor de cifrado (30), el reemplazador de credenciales (22) envía el mensaje modificado (81) al interceptor de cifrado (30). El reemplazador de credenciales (22) puede indicar adicionalmente al servidor de terceras partes (2) que este flujo de comunicación ya no debe monitorizarse más. In case the message (A2) comes from an encryption interceptor (30), the credential replacement (22) sends the modified message (81) to the encryption interceptor (30). The credential replacement (22) may further indicate to the third party server (2) that this communication flow should no longer be monitored.
El interceptor de cifrado (30) cifra el mensaje modificado (B1) recibido del reemplazador de credenciales (22) y transmite un mensaje modificado, cifrado en este caso, final (B2) hacia el servidor de terceras partes (2). Si el flujo de comunicación está marcado/indicado como que no debe monitorizarse adicionalmente, el elemento interceptor de cifrado (30) interrumpe el descifrado del flujo de comunicación y por tanto, también detiene el paso de más mensajes al reemplazador de credenciales (22). The encryption interceptor (30) encrypts the modified message (B1) received from the credential replacement (22) and transmits a modified, encrypted, in this case, final (B2) message to the third party server (2). If the communication flow is marked / indicated as not to be monitored further, the encryption interceptor element (30) interrupts the decryption of the communication flow and therefore also stops the passage of more messages to the credential replacement (22).
Obsérvese que en este texto, el término "comprende" y sus derivaciones (tales como "que comprende ", etc.) no debe entenderse en un sentido excluyente, es decir, estos términos no deben interpretarse como que excluyen la posibilidad de que lo que se describe y define pueda incluir elementos, etapas, etc. adicionales. Note that in this text, the term "comprises" and its derivations (such as "comprising", etc.) should not be understood in an exclusive sense, that is, these terms should not be construed as excluding the possibility that what described and defined may include elements, stages, etc. additional.
Claims (6)
- 2. 2.
- El sistema (20) según la reivindicación 1, en el que los medios de acceso del administrador de credenciales (21) consisten en un portal web. The system (20) according to claim 1, wherein the access means of the credential administrator (21) consists of a web portal.
- 3. 3.
- El sistema (20) según cualquier reivindicación anterior, en el que la identidad del usuario recuperada por el administrador de credenciales (21) es el MSISDN. The system (20) according to any preceding claim, wherein the identity of the user retrieved by the credential administrator (21) is the MSISDN.
- 4. Four.
- El sistema (20) según cualquier reivindicación anterior, en el que los medios de detección de datos del reemplazador de credenciales (22) detectan unos mensajes de autenticación cuando se cumplen las condiciones siguientes: existe una indicación de mensaje de autenticación en los datos, los datos están destinados a un servicio de terceras partes protegido, existen credenciales auténticas almacenadas en el repositorio de almacenamiento de credenciales (23) proporcionadas por el usuario para el servicio de terceras partes protegido, los datos incluyen credenciales falsas proporcionadas por el usuario y también The system (20) according to any preceding claim, wherein the credential replacement data detection means (22) detect authentication messages when the following conditions are met: there is an authentication message indication in the data, the data is intended for a protected third party service, there are authentic credentials stored in the credential storage repository (23) provided by the user for the protected third party service, the data includes false credentials provided by the user and also
- 5. 5.
- Un procedimiento para controlar credenciales de usuario proporcionadas por un usuario, en una red móvil con una comunicación establecida entre un servidor de terceras partes (2) y una aplicación de lado de cliente (1) que solicita acceso al servidor de terceras partes (2) en nombre del usuario, caracterizado porque comprende: -recuperar mediante un administrador de credenciales (2 1) una identidad del usuario definida de manera inequívoca en la red móvil, -acceder mediante el usuario identificado al administrador de credenciales (21), -proporcionar mediante el usuario identificado, al administrador de credenciales (21), credenciales auténticas para su uso en un servicio de terceras partes protegido del servidor de terceras partes (2) y credenciales falsas para su uso por la aplicación de lado de cliente (1), -almacenar en un repositorio de almacenamiento de credenciales (23) usado por el administrador de credenciales (21) tanto las credenciales auténticas como las credenciales falsas en asociación con la identidad del usuario recuperada por el administrador de credenciales (21), -detectar mensajes de autenticación que contienen credenciales falsas en la comunicación establecida entre la aplicación de lado de cliente (1) Y el servidor de terceras partes (2), comprobando si se cumplen las condiciones siguientes: existe una indicación de mensaje de autenticación en los datos, los datos están destinados a un servicio de terceras partes protegido, existen credenciales auténticas almacenadas en el repositorio de almacenamiento de credenciales (23) proporcionadas por el usuario para el servicio de terceras partes protegido, los datos incluyen credenciales falsas proporcionadas por el usuario y también almacenadas en el repositorio de almacenamiento de credenciales (23) para el servicio de terceras partes protegido; -reemplazar mediante un reemplazador de credenciales (22) las credenciales falsas, en los mensajes de autenticación detectados para el servicio de terceras partes protegido, por las credenciales auténticas que el reemplazador de credenciales (22) obtiene del repositorio de almacenamiento de credenciales (23) y almacenadas en asociación con dichas credenciales falsas. A procedure for controlling user credentials provided by a user, in a mobile network with a communication established between a third-party server (2) and a client-side application (1) that requests access to the third-party server (2) on behalf of the user, characterized in that it comprises: -recovering through a credential administrator (2 1) an identity of the user defined unequivocally in the mobile network, -accessing through the user identified to the credential administrator (21), -provide by the identified user, to the credential administrator (21), authentic credentials for use in a third-party service protected from the third-party server (2) and false credentials for use by the client-side application (1), - store in a credential storage repository (23) used by the credential administrator (21) both authentic credentials and credentials false in association with the identity of the user retrieved by the credential administrator (21), -detect authentication messages containing false credentials in the communication established between the client-side application (1) and the third-party server (2) , checking if the following conditions are met: there is an authentication message indication in the data, the data is intended for a protected third party service, there are authentic credentials stored in the credential storage repository (23) provided by the user For the protected third-party service, the data includes false credentials provided by the user and also stored in the credential storage repository (23) for the protected third-party service; - replace the credentials (22) with false credentials, in the authentication messages detected for the protected third party service, with the authentic credentials that the credential replacement (22) obtains from the credential storage repository (23) and stored in association with such false credentials.
- 6. 6.
- El procedimiento según la reivindicación 5, en el que el acceso por el usuario al administrador de credenciales (21) es a través de un portal web. The method according to claim 5, wherein the access by the user to the credential administrator (21) is through a web portal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ES201131968A ES2411579B1 (en) | 2011-12-05 | 2011-12-05 | SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ES201131968A ES2411579B1 (en) | 2011-12-05 | 2011-12-05 | SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| ES2411579A2 ES2411579A2 (en) | 2013-07-05 |
| ES2411579R1 ES2411579R1 (en) | 2013-09-26 |
| ES2411579B1 true ES2411579B1 (en) | 2014-08-08 |
Family
ID=48629030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES201131968A Expired - Fee Related ES2411579B1 (en) | 2011-12-05 | 2011-12-05 | SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS |
Country Status (1)
| Country | Link |
|---|---|
| ES (1) | ES2411579B1 (en) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5586260A (en) * | 1993-02-12 | 1996-12-17 | Digital Equipment Corporation | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms |
| DE10015173B4 (en) * | 2000-03-27 | 2004-05-06 | E-Plus Mobilfunk Gmbh & Co.Kg | Customer identification procedure for personalizable Internet portals based on the phone number |
| US8266327B2 (en) * | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
| US8219814B2 (en) * | 2005-06-30 | 2012-07-10 | Psion Teklogix Inc. | System and method of user credential management |
| US20090125993A1 (en) * | 2007-11-12 | 2009-05-14 | International Business Machines Corporation | Method for protecting against keylogging of user information via an alternative input device |
| US8468582B2 (en) * | 2009-02-03 | 2013-06-18 | Inbay Technologies Inc. | Method and system for securing electronic transactions |
-
2011
- 2011-12-05 ES ES201131968A patent/ES2411579B1/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| ES2411579A2 (en) | 2013-07-05 |
| ES2411579R1 (en) | 2013-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818108B2 (en) | System and method for a multi system trust chain | |
| US10069806B2 (en) | Secure transfer and use of secret material in a shared environment | |
| US9749292B2 (en) | Selectively performing man in the middle decryption | |
| US7321971B2 (en) | System and method for secure remote access | |
| ES2769528T3 (en) | User authentication | |
| CN108604985B (en) | Data transfer method, method for controlling data use, and cryptographic apparatus | |
| US9258278B2 (en) | Unidirectional deep packet inspection | |
| KR20110103473A (en) | Virtual subscriber identity module | |
| JP2023514736A (en) | Method and system for secure communication | |
| US20190173880A1 (en) | Secure node management using selective authorization attestation | |
| Wu et al. | A gateway-based access control scheme for collaborative clouds | |
| Manzoor | Securing device connectivity in the industrial internet of things (iot) | |
| US11870899B2 (en) | Secure device access recovery based on validating encrypted target password from secure recovery container in trusted recovery device | |
| ES2411579B1 (en) | SYSTEM AND PROCEDURE FOR USER CREDENTIALS CONTROL FOR ACCESS TO THIRD PARTY SERVICES IN MOBILE NETWORKS | |
| Sadqi et al. | Short: A lightweight and secure session management protocol | |
| Khan et al. | An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA | |
| Halpin | Web Authentication: The next step in the evolving identity eco-system | |
| Azizul et al. | Authentication and Authorization Design in Honeybee Computing | |
| Al-Balasmeh et al. | Data and Location Privacy of Smart Devices over Vehicular Cloud Computing | |
| Aro et al. | OPC UA Enables Secure Data Transfer and System Integrations in Private and Public Networks [J] | |
| Khurana et al. | Data security during cloud storage in public cloud using “Kerberos: An authentication protocol” | |
| answers Verizon | 1.2 Securing Device Connectivity in the IoT | |
| Chakrabarti et al. | Overview of Security | |
| ES2409532A2 (en) | Method and system to perform secure data storage of information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG2A | Definitive protection |
Ref document number: 2411579 Country of ref document: ES Kind code of ref document: B1 Effective date: 20140808 |
|
| FD2A | Announcement of lapse in spain |
Effective date: 20210915 |