ES2581911T3 - Método de autentificación en red para verificación segura de identidades de usuario - Google Patents

Método de autentificación en red para verificación segura de identidades de usuario Download PDF

Info

Publication number
ES2581911T3
ES2581911T3 ES14157508.4T ES14157508T ES2581911T3 ES 2581911 T3 ES2581911 T3 ES 2581911T3 ES 14157508 T ES14157508 T ES 14157508T ES 2581911 T3 ES2581911 T3 ES 2581911T3
Authority
ES
Spain
Prior art keywords
user terminal
identity verification
user
servers
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14157508.4T
Other languages
English (en)
Inventor
Maw-Tsong Lin
Per Skygebjerg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Keypasco AB
Original Assignee
Keypasco AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Keypasco AB filed Critical Keypasco AB
Application granted granted Critical
Publication of ES2581911T3 publication Critical patent/ES2581911T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Abstract

Método de autentificación en red para su implementación utilizando un terminal de usuario (2), una unidad de descarga (1), un servidor de proveedor de contenidos (3) y una pluralidad de servidores de verificación de identidades (4) para la verificación segura de la identidad de un usuario (5) del terminal de usuario (2), estando caracterizado dicho método de autentificación en red por que presenta las etapas siguientes: a) el terminal de usuario (2) descarga un programa de exploración y una clave pública asimétrica desde la unidad de descarga (1); b) cada uno de los servidores de verificación de identidades (4) descarga de la unidad de descarga (1) un conjunto respectivo de información cifrada que está firmado con una clave privada asimétrica y que incluye una dirección web cifrada del servidor de verificación de identidades (4), y almacena unos datos de exploración de hardware de referencia que están asociados al terminal de usuario (2) y que se corresponden de manera única con un identificador de usuario del usuario (5); c) en respuesta a una solicitud de inicio de sesión de usuario desde el terminal de usuario (2) para acceder al servidor de proveedor de contenidos (3) a través de un primer enlace de comunicaciones, el servidor de proveedor de contenidos (3) transmite a uno de los servidores de verificación de identidades (4) una notificación de verificación de que resulta necesario verificar la identidad del usuario (5), y redirecciona el terminal de usuario (2) para conectar con dicho uno de los servidores de verificación de identidades (4) a través de un segundo enlace de comunicaciones; d) dicho uno de los servidores de verificación de identidades (4) transmite al terminal de usuario (2) el conjunto respectivo de información cifrada descargada en la etapa b) a través del segundo enlace de comunicaciones; e) el terminal de usuario (2) determina, basándose en por lo menos el conjunto respectivo de información cifrada transmitido en la etapa d) y la clave pública asimétrica descargada en la etapa a), si dicho uno de los servidores de verificación de identidades (4) es actualmente válido para llevar a cabo una verificación de identidad; f) tras determinar que dicho uno de los servidores de verificación de identidades (4) es actualmente válido para llevar a cabo una verificación de identidad, el terminal de usuario (2) ejecuta el programa de exploración descargado en la etapa a) para obtener unos datos de exploración de hardware asociados al terminal de usuario (2), y transmite los datos de exploración de hardware así obtenidos a dicho uno de los servidores de verificación de identidades (4) a través del segundo enlace de comunicaciones; y g) dicho uno de los servidores de verificación de identidades (4) verifica la identidad del usuario (5) basándose en la relación entre los datos de exploración de hardware recibidos desde el terminal de usuario (2) en la etapa f) y los datos de exploración de hardware de referencia almacenados en la etapa b), y notifica al servidor de proveedor de contenidos (3) un resultado de verificación.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo de autentificacion en red para verificacion segura de identidades de usuario.
La invencion se refiere a la autentificacion de identidades en red, y mas particularmente a un metodo de autentificacion en red para obtener una verificacion segura de la identidad de un usuario.
En la actualidad, se estan popularizando de manera creciente diversos servicios web, tales como los servicios en la nube. Para proteger los servicios web, es absolutamente necesaria una verificacion de las identidades de usuario.
No obstante, debido al numero creciente de usuarios y delitos en internet, y a la evolucion continua de las tecnicas delictivas, por ejemplo, es necesario que los proveedores de contenidos de Internet (ICP) proporcionen a cada usuario un dispositivo de verificacion de identidad, por ejemplo, un dispositivo USB cargado con un certificado de infraestructura de clave publica (PKI), una tarjeta electronica de circuito integrado (IC) o un token dinamico. Asf, el coste del servicio de cliente por la personalizacion, la distribucion y la resolucion de problemas es considerable. Ademas, la necesidad del usuario de recordar la ID de usuario y la contrasena para cada uno de los diferentes ICPs y tener que disponer de diferentes dispositivos de verificacion de identidad para los diferentes ICPs resulta bastante incomoda. Por otra parte, para los diferentes ICP, puede producirse una duplicacion de la inversion en la autentificacion de las identidades de usuario.
El documento EP 2 355 443, 10 de agosto de 2011 (10-8-2011), da a conocer un metodo de autentificacion en red que se implementa utilizando un dispositivo de autentificacion en red y un extremo de usuario para autentificar el extremo de usuario. El extremo de usuario almacena un programa de terminal e incluye una pluralidad de componentes de hardware cada uno de los cuales tiene un codigo de identificacion exclusivo.
Por lo tanto, un objetivo de la presente invencion es proporcionar un metodo de autentificacion en red para una verificacion segura de la identidad de un usuario, que pueda superar los inconvenientes previamente mencionados de la tecnica anterior.
De acuerdo con la presente invencion, se proporciona un metodo de autentificacion en red para su implementacion utilizando un terminal de usuario, una unidad de descarga, un servidor de proveedor de contenidos y una pluralidad de servidores de verificacion de identidad para la verificacion segura de la identidad de un usuario del terminal de usuario. El metodo de autentificacion en red de esta invencion comprende las siguientes etapas:
a) el terminal de usuario descarga un programa de exploracion ("scan") y una clave publica asimetrica desde la unidad de descarga;
b) cada uno de los servidores de verificacion de identidad descarga de la unidad de descarga un conjunto respectivo de informacion cifrada que esta firmado con una clave privada asimetrica y que incluye una direccion web cifrada del servidor de verificacion de identidades, y almacena datos de exploracion de hardware de referencia que estan asociados al terminal de usuario y que se corresponden de manera exclusiva con un identificador de usuario del usuario mencionado;
c) como respuesta a una solicitud de inicio de sesion de usuario desde el terminal de usuario para acceder al servidor de proveedor de contenidos a traves de un primer enlace de comunicaciones, el servidor de proveedor de contenidos transmite a uno de los servidores de verificacion de identidades una notificacion de verificacion de que es necesario verificar la identidad del usuario, y redirecciona el terminal de usuario para su conexion con el mencionado de los servidores de verificacion de identidades a traves de un segundo enlace de comunicaciones;
d) dicho servidor de entre los servidores de verificacion de identidades transmite al terminal de usuario el conjunto respectivo de informacion cifrada descargada en la etapa b) a traves del segundo enlace de comunicaciones;
e) el usuario, basandose en el conjunto respectivo de informacion cifrada transmitida en la etapa d) y la clave publica asimetrica descargada en la etapa a), determina si dicho servidor de entre los servidores de verificacion de identidades es actualmente valido para llevar a cabo una verificacion de identidad;
f) tras determinar que dicho servidor de entre los servidores de verificacion de identidades es actualmente valido para llevar a cabo una verificacion de identidad, el terminal de usuario ejecuta el programa de exploracion descargado en la etapa a) para obtener datos de exploracion de hardware asociados al terminal de usuario, y transmite los datos de exploracion de hardware asf obtenidos hacia dicho servidor de entre los servidores de verificacion de identidades a traves del segundo enlace de comunicaciones; y
g) dicho servidor de entre los servidores de verificacion de identidades verifica la identidad del usuario basandose en la relacion entre los datos de exploracion de hardware recibidos desde el terminal de usuario en la etapa f) y los datos de exploracion de hardware de referencia almacenados en la etapa b), y notifica al servidor de proveedor de contenidos un resultado de verificacion.
5
10
15
20
25
30
35
40
45
50
55
60
65
Se pondran de manifiesto otras caracterfsticas y ventajas de la presente invencion en la siguiente descripcion detallada de la forma de realizacion preferida haciendo referencia a los dibujos adjuntos, en los cuales:
la figura 1 es un diagrama de bloques esquematico que ilustra un sistema de autentificacion en red que esta configurado para implementar un metodo de autentificacion en red de acuerdo con la forma de realizacion preferida de la presente invencion;
la figura 2 es un diagrama de flujo que ilustra un procedimiento de registro del metodo de autentificacion en red de la forma de realizacion preferida;
la figura 3 es un diagrama de flujo que ilustra un procedimiento de inicio de sesion del metodo de autentificacion en red de la forma de realizacion preferida;
la figura 4 es un diagrama de flujo de un procedimiento que ilustra como se determina uno de los servidores de verificacion de identidades para llevar a cabo una verificacion de identidad en la forma de realizacion preferida; y
la figura 5 es un diagrama de flujo de un procedimiento que ilustra como un terminal de usuario determina si dicho servidor de entre los servidores de verificacion de identidad es actualmente valido para llevar a cabo una verificacion de identidad en la forma de realizacion preferida.
Haciendo referencia a la figura 1, un sistema de autentificacion en red se usa para implementar un metodo de autentificacion en red para una verificacion segura de la identidad de un usuario 5 de acuerdo con la forma de realizacion preferida de la presente invencion. El sistema de autentificacion en red incluye una unidad de descarga 1, un terminal de usuario 2 cuyo propietario es el usuario 5, un servidor de proveedor de contenidos 3 (por ejemplo, un proveedor de contenidos de internet o ICP), y una pluralidad de servidores de verificacion de identidades 4. Con fines ilustrativos, el propietario del terminal de usuario 2 es el usuario 5, y el primero puede ser un dispositivo electronico con capacidad de navegacion por Internet o de comunicacion de datos, tal como un ordenador portatil de tipo notebook, un telefono inteligente, un asistente personal digital, etcetera. El terminal de usuario 2 incluye una pluralidad de componentes de hardware (no mostrados), tales como una unidad de procesado central, una unidad de sistema basico de entrada/salida (BIOS), un dispositivo de almacenamiento, una interfaz de red, una placa madre, etcetera, cada uno de los cuales tiene un codigo de identificacion exclusivo. El servidor de proveedor de contenidos 3 puede ser, aunque sin caracter limitativo, un servidor de banco por internet, un servidor de juegos en lfnea, o cualquier otro servidor que proporcione un servicio de red que requiera verificacion de la identidad, tal como un portal web. Los servidores de verificacion de identidad 4 estan autorizados idealmente por la unidad de descarga 1 a llevar a cabo una verificacion de identidades de terceros, y pueden ser, aunque sin caracter limitativo, sitios web de redes sociales, tales como Google, Yahoo, Facebook, etcetera. La unidad de descarga 1 incluye una unidad de base de datos (no representada) para almacenar por lo menos un programa de exploracion, al menos un par de claves publica y privada asimetricas, y una pluralidad de conjuntos de informacion cifrada correspondiente respetivamente a los servidores de verificacion de identidades 4. Cada conjunto de informacion cifrada se firma con la clave privada asimetrica, e incluye una direccion web cifrada de uno respectivo de los servidores de verificacion de identidades 4. En particular, cada conjunto de informacion cifrada se ha procesado con la clave privada asimetrica para crear una firma digital, y la clave publica asimetrica se utiliza para verificar la firma digital. La unidad de descarga 1, el terminal de usuario 2, el servidor de proveedor de contenidos 3 y los servidores de verificacion de identidades 4 estan conectados a una red de comunicaciones 100.
Haciendo referencia a las figuras 1 y 2, la unidad de descarga 1 coopera con el terminal de usuario 2 y con el servidor de proveedor de contenidos 3 para implementar un procedimiento de registro del metodo de autentificacion en red de la forma de realizacion preferida de acuerdo con la presente invencion. El procedimiento de registro del metodo de autentificacion en red de la forma de realizacion preferida incluye las siguientes etapas. Se observa que, antes del procedimiento de registro, cada uno de los servidores de verificacion de identidades 4 se conecta a la unidad de descarga 1 a traves de la red de comunicaciones 100 para descargar un conjunto respectivo de informacion cifrada desde la unidad de descarga 1.
En la etapa S21, el usuario 5 introduce una identificacion de usuario (ID) que actua como identificador de usuario, y una contrasena utilizando una interfaz de entrada de usuario (no representada) del terminal de usuario 2 en un sitio web proporcionado por el servidor de proveedor de contenidos 3. La ID de usuario y la contrasena se transmiten a continuacion desde el terminal de usuario 2 al servidor de proveedor de contenidos 3 por medio de la red de comunicaciones 100.
En la etapa S22, como respuesta a la recepcion de la ID de usuario y de la contrasena, el servidor de proveedor de
contenidos 3 se puede hacer funcionar para comprobar si la ID de usuario y la contrasena con correctas. Si el
resultado es afirmativo, el flujo prosigue hacia la etapa S23. En caso contrario, el servidor de proveedor de contenidos 3 se puede hacer funcionar para enviar un mensaje de error al terminal de usuario 2 con el fin de
visualizarlo en un dispositivo de visualizacion (no representado) del terminal de usuario 2 (etapa S20).
5
10
15
20
25
30
35
40
45
50
55
60
65
En la etapa S23, el servidor de proveedor de contenidos 3 se puede hacer funcionar para redireccionar el terminal de usuario 2 para su conexion con la unidad de descarga 1.
En la etapa S24, la unidad de descarga 1 se puede hacer funcionar para posibilitar que el terminal de usuario 2 descargue el programa de exploracion y la clave publica asimetrica desde el mismo.
En la etapa S25, despues de que el terminal de usuario 2 almacene el programa de exploracion y la clave publica asimetrica, el terminal de usuario 2 se puede hacer funcionar para ejecutar el programa de exploracion con el fin de explorar los componentes de hardware del terminal de usuario 2 para obtener los codigos de identificacion de los componentes de hardware, y para establecer datos de exploracion de hardware de referencia de acuerdo con los codigos de identificacion de los componentes de hardware asf obtenidos. Los datos de exploracion de hardware de referencia estan asociados al terminal de usuario 2, y se corresponden de manera exclusiva con el identificador de usuario correspondiente al usuario 5.
En la etapa S26, el terminal de usuario 2 se puede hacer funcionar para transmitir los datos de exploracion de hardware de referencia a cada uno de los servidores de verificacion de identidades 4 por medio de la red de comunicaciones 100, de manera que cada uno de los servidores de verificacion de identidades 4 almacena los datos de exploracion de hardware de referencia recibidos desde el terminal de usuario 2.
Haciendo referencia a las figuras 1 y 3, el sistema de autentificacion en red implementa un procedimiento de inicio de sesion del metodo de autentificacion en red de la forma de realizacion preferida. El procedimiento de inicio de sesion del metodo de autentificacion en red de la forma de realizacion preferida incluye las siguientes etapas.
En la etapa S31, el usuario 5 introduce la ID de usuario y la contrasena utilizando la interfaz de entrada de usuario del terminal de usuario 2 en el sitio web de servicio proporcionado por el servidor de proveedor de contenidos 3, y el terminal de usuario 2 se puede hacer funcionar para transmitir la ID de usuario y la contrasena al servidor de proveedor de contenidos 3 a traves de un primer enlace de comunicaciones sobre la red de comunicaciones 100.
En la etapa S32, como respuesta a la recepcion de la ID de usuario y de la contrasena desde el terminal de usuario 2, el servidor de proveedor de contenidos 3 se puede hacer funcionar para comprobar si la ID de usuario y la contrasena son correctas. Si el resultado es afirmativo, el flujo prosigue hacia la etapa S33. En caso contrario, el servidor de proveedor de contenidos 3 se puede hacer funcionar para enviar un mensaje de error al terminal de usuario 2 con el fin de visualizarlo en el dispositivo de visualizacion del terminal de usuario 2 (etapa S30).
En la etapa S33, el servidor de proveedor de contenidos 3 se puede hacer funcionar para transmitir a uno de los servidores de verificacion de identidades 4 una notificacion de verificacion de que es necesario verificar la identidad del usuario 5. El servidor de proveedor de contenidos 3 se puede hacer funcionar ademas para redireccionar el terminal de usuario 2 con el fin de conectarse con dicho servidor de entre los servidores de verificacion de identidades 4 a traves de un segundo enlace de comunicaciones que es independiente con respecto al primer enlace de comunicaciones. En una forma de realizacion, se observa que dicho servidor de entre los servidores de verificacion de identidades 4 es determinado por el servidor de proveedor de contenidos 3. En otra forma de realizacion, dicho servidor de entre los servidores de verificacion de identidades 4 lo puede determinar el usuario 5. Haciendo referencia adicionalmente a la figura 4, se muestra un procedimiento para ilustrar como el usuario 5 determina uno de los servidores de verificacion de identidades 4 para llevar a cabo una verificacion de identidad. En la subetapa S41, el servidor de proveedor de contenidos 3 se puede hacer funcionar para enviar al terminal de usuario 2 una solicitud de seleccion que incluye una lista de elementos de opcion, que representan respectivamente los servidores de verificacion de identidades 4. Como respuesta a la solicitud de seleccion del servidor de proveedor de contenidos 3, el terminal de usuario 2 se puede hacer funcionar para enviar al servidor de proveedor de contenidos 3 una respuesta de seleccion que indica uno deseado de los elementos de opcion que representa una correspondiente de los servidores de verificacion de identidades 4 (sub-etapa S42). Por lo tanto, el servidor de proveedor de contenidos 3 se puede hacer funcionar para determinar el correspondiente de los servidores de verificacion de identidades 4 con el fin de llevar a cabo la verificacion de identidad de acuerdo con la respuesta de seleccion (sub-etapa S43).
En la etapa S34, como respuesta a la recepcion de la notificacion de verificacion desde el servidor de proveedor de contenidos 3, dicho servidor de entre los servidores de verificacion de identidades 4 se puede hacer funcionar para transmitir el conjunto respectivo de informacion cifrada almacenada en el mismo al terminal de usuario 2 a traves del segundo enlace de comunicaciones.
En la etapa S35, tras recibir el conjunto respectivo de informacion cifrada desde dicho servidor de entre los servidores de verificacion de identidades 4, el terminal de usuario 2 se puede hacer funcionar para determinar, basandose en el conjunto respectivo de informacion cifrada y en la clave publica asimetrica almacenada en la etapa S24 del procedimiento de registro, si dicho servidor de entre los servidores de verificacion de identidades 4 es actualmente valido para llevar a cabo una verificacion de identidad.
5
10
15
20
25
30
35
40
45
50
55
60
65
En una forma de realizacion, el terminal de usuario 2 se puede hacer funcionar para descifrar la direccion web cifrada del conjunto respectivo de informacion cifrada utilizando la clave publica asimetrica. Tras un descifrado exitoso de la direccion web cifrada, el terminal de usuario 2 determina que dicho servidor de entre los servidores de verificacion de identidades 4 es actualmente valido para llevar a cabo una verificacion de identidad. A continuacion, el flujo prosigue hacia la etapa S36. Por otro lado, tras un descifrado fallido de la direccion web cifrada de la informacion cifrada, el terminal de usuario 2 determina que dicho servidor de entre los servidores de verificacion de identidades 4 no es actualmente valido para llevar a cabo una verificacion de identidad. A continuacion, el terminal de usuario 2 se puede hacer funcionar para enviar al servidor de proveedor de contenidos 3 una notificacion de no validez segun la cual dicho servidor de entre los servidores de verificacion de identidades 4 no es valido para llevar a cabo una verificacion de identidad (etapa S40).
En otra forma de realizacion, cada conjunto de informacion cifrada, que esta almacenado en la unidad de base de datos de la unidad de descarga 1 y se corresponde con uno de los servidores de verificacion de identidades 4, incluye ademas un periodo de autorizacion cifrado asociado al servidor de verificacion de identidades 4. Haciendo referencia adicionalmente a la figura 5, se muestra un procedimiento para ilustrar como el terminal de usuario 2 determina, en la etapa S35, si dicho servidor de entre los servidores de verificacion de identidades 4 es actualmente valido para llevar a cabo una verificacion de identidad. En la subetapa S51, el terminal de usuario 2 se puede hacer funcionar para determinar si la direccion web cifrada y el periodo de autorizacion cifrado (es decir, el conjunto de informacion cifrada) de dicho servidor de entre los servidores de verificacion de identidades 4 se descifran de manera exitosa utilizando la clave publica asimetrica. Si el resultado es negativo, el flujo pasa a la etapa S40 de la figura 3. Por otro lado, tras un descifrado exitoso de la direccion web cifrada y del periodo de autorizacion cifrado asociado a dicho servidor de entre los servidores de verificacion de identidades 4, el terminal de usuario 2 se puede hacer funcionar para determinar si la fecha actual se encuentra dentro del periodo de autorizacion descifrado asociado a dicho servidor de entre los servidores de verificacion de identidades 4 (sub-etapa S52). Si el resultado es afirmativo, el terminal de usuario 2 determina que dicho servidor de entre los servidores de verificacion de identidades 4 es actualmente valido para llevar a cabo una verificacion de identidad (etapa S53). A continuacion, el flujo pasa a la etapa 36 de la figura 3. Por otro lado, cuando el terminal de usuario 2 determina que la fecha actual no se encuentra dentro del periodo de autorizacion descifrado asociado a dicho servidor de entre los servidores de verificacion de identidades 4, el terminal de usuario 2 se puede hacer funcionar para enviar a la unidad de descarga 1 una notificacion de expiracion segun la cual se ha producido la expiracion del periodo de autorizacion asociado a dicho servidor de entre los servidores de verificacion de identidades 4 (etapa S54). A continuacion, el flujo pasa a la etapa S40 de la figura 3.
En la etapa S36, el terminal de usuario 2 se puede hacer funcionar para ejecutar el programa de exploracion con el fin de explorar los componentes de hardware del terminal de usuario 2 para obtener los codigos de identificacion de los componentes de hardware que sirven como datos de exploracion de hardware asociados al terminal de usuario 2, y para transmitir los datos de exploracion de hardware asf obtenidos a dicho servidor de entre los servidores de verificacion de identidades 4.
En la etapa S37, tras la recepcion de los datos de exploracion de hardware desde el terminal de usuario 2, dicho servidor de entre los servidores de verificacion de identidades 4 se puede hacer funcionar para comparar los datos de exploracion de hardware con los datos de exploracion de hardware de referencia almacenados en el mismo durante el procedimiento de registro del usuario 5 con el fin de verificar la identidad del usuario 5 asociado al terminal de usuario 2, y para enviar un resultado de la verificacion al servidor de proveedor de contenidos 3. Cuando los datos de exploracion de hardware obtenidos en la etapa S36 no concuerdan con los datos de exploracion de hardware de referencia almacenados en dicho servidor de entre los servidores de verificacion de identidades 4, el resultado de la verificacion indica que la verificacion de la identidad del usuario 5 ha fallado. Por otro lado, cuando los datos de exploracion de hardware obtenidos en la etapa S36 concuerdan con los datos de exploracion de hardware de referencia almacenados en dicho servidor de entre los servidores de verificacion de identidades 4, el resultado de la verificacion indica que la verificacion de la identidad del usuario 5 ha sido exitosa.
En la etapa S38, el servidor de proveedor de contenidos 3 se puede hacer funcionar para determinar, sobre la base del resultado de la verificacion de dicho servidor de entre los servidores de verificacion de identidades 4, si la identidad del usuario 5 esta autentificada. Cuando el resultado de la verificacion indica que la verificacion de la identidad del usuario 5 ha fallado, el servidor de proveedor de contenidos 3 determina que la identidad del usuario 5 no se ha autentificado. Por lo tanto, el flujo pasa a la etapa S30. En este caso, al terminal de usuario 2 se le deniega acceso al sitio web de servicio proporcionado por el servidor de proveedor de contenidos 3. Por otro lado, cuando el resultado de la verificacion indica que la verificacion de la identidad del usuario 5 ha sido exitosa, el servidor de proveedor de contenidos 3 determina que la identidad del usuario 5 se ha autentificado. A continuacion, el servidor de proveedor de contenidos 3 se puede hacer funcionar para redireccionar el terminal de usuario 2 con el fin de conectarse con el sitio web de servicio proporcionado por el servidor de proveedor de contenidos 3 (etapa S39). Por lo tanto, al terminal de usuario 2 se le autoriza el acceso al sitio web de servicio.
En resumen, el metodo de autentificacion en red de acuerdo con esta invencion presenta las siguientes ventajas:
5
10
15
20
25
1. Debido a que al terminal de usuario 2 se le dirige dinamicamente a uno de los servidores de verificacion de identidades 4 para una posterior verificacion de la identidad (es decir, al terminal de usuario 2 se le puede dirigir a un servidor de verificacion de identidades 4 diferente cada vez), y puesto que el conjunto respectivo de informacion cifrada almacenada en cada servidor de verificacion de identidades 4 y la clave publica asimetrica almacenada en el terminal de usuario 2 se pueden actualizar aleatoriamente como respuesta a una notificacion desde la unidad de descarga 1 segun se requiera, se puede obtener una multi-autenticacion para la identidad del usuario utilizando la unidad de descarga 1 que proporciona el conjunto respectivo de informacion cifrada a cada servidor de verificacion de identidades 4, y la clave publica asimetrica y el programa de exploracion al terminal de usuario 2.
2. Cada vez que el terminal de usuario 2 implementa la etapa S36 del procedimiento de inicio de sesion del metodo de autentificacion en red, el terminal de usuario 2 puede ejecutar el programa de exploracion para explorar los componentes de hardware del terminal de usuario 2 con el fin de obtener los datos de exploracion de hardware de acuerdo con los codigos de identificacion de los componentes de hardware, y los datos de exploracion de hardware asf obtenidos para su uso posterior en la autentificacion de la identidad del usuario por parte de dicho servidor de entre los servidores de verificacion de identidades 4 son datos dinamicos. Por lo tanto, no es necesario que el proveedor de contenidos en red compre equipos adicionales para la autentificacion de la identidad, y no es necesario que proporcione al usuario un token dinamico, una tarjeta electronica de IC, o un dispositivo USB con un certificado de PKI. Ademas, no es necesario que el usuario 5 disponga de dispositivos de autentificacion adicionales para diferentes sitios web de servicio.
3. Puesto que el terminal de usuario 2 se conecta al servidor de proveedor de contenidos 3 a traves del primer enlace de comunicaciones y se conecta a dicho servidor de entre los servidores de verificacion de identidades 4 a traves del segundo enlace de comunicaciones, resulta relativamente diffcil atacar de manera simultanea el primer y el segundo enlaces de comunicaciones para robar y/o manipular indebidamente los datos enviados por el terminal de usuario 2.

Claims (9)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Metodo de autentificacion en red para su implementacion utilizando un terminal de usuario (2), una unidad de descarga (1), un servidor de proveedor de contenidos (3) y una pluralidad de servidores de verificacion de identidades (4) para la verificacion segura de la identidad de un usuario (5) del terminal de usuario (2), estando caracterizado dicho metodo de autentificacion en red por que presenta las etapas siguientes:
    a) el terminal de usuario (2) descarga un programa de exploracion y una clave publica asimetrica desde la unidad de descarga (1);
    b) cada uno de los servidores de verificacion de identidades (4) descarga de la unidad de descarga (1) un conjunto respectivo de informacion cifrada que esta firmado con una clave privada asimetrica y que incluye una direccion web cifrada del servidor de verificacion de identidades (4), y almacena unos datos de exploracion de hardware de referencia que estan asociados al terminal de usuario (2) y que se corresponden de manera unica con un identificador de usuario del usuario (5);
    c) en respuesta a una solicitud de inicio de sesion de usuario desde el terminal de usuario (2) para acceder al servidor de proveedor de contenidos (3) a traves de un primer enlace de comunicaciones, el servidor de proveedor de contenidos (3) transmite a uno de los servidores de verificacion de identidades (4) una notificacion de verificacion de que resulta necesario verificar la identidad del usuario (5), y redirecciona el terminal de usuario (2) para conectar con dicho uno de los servidores de verificacion de identidades (4) a traves de un segundo enlace de comunicaciones;
    d) dicho uno de los servidores de verificacion de identidades (4) transmite al terminal de usuario (2) el conjunto respectivo de informacion cifrada descargada en la etapa b) a traves del segundo enlace de comunicaciones;
    e) el terminal de usuario (2) determina, basandose en por lo menos el conjunto respectivo de informacion cifrada transmitido en la etapa d) y la clave publica asimetrica descargada en la etapa a), si dicho uno de los servidores de verificacion de identidades (4) es actualmente valido para llevar a cabo una verificacion de identidad;
    f) tras determinar que dicho uno de los servidores de verificacion de identidades (4) es actualmente valido para llevar a cabo una verificacion de identidad, el terminal de usuario (2) ejecuta el programa de exploracion descargado en la etapa a) para obtener unos datos de exploracion de hardware asociados al terminal de usuario (2), y transmite los datos de exploracion de hardware asf obtenidos a dicho uno de los servidores de verificacion de identidades (4) a traves del segundo enlace de comunicaciones; y
    g) dicho uno de los servidores de verificacion de identidades (4) verifica la identidad del usuario (5) basandose en la relacion entre los datos de exploracion de hardware recibidos desde el terminal de usuario (2) en la etapa f) y los datos de exploracion de hardware de referencia almacenados en la etapa b), y notifica al servidor de proveedor de contenidos (3) un resultado de verificacion.
  2. 2. Metodo de autentificacion en red segun la reivindicacion 1, incluyendo el terminal de usuario (2) una pluralidad de componentes de hardware, presentando cada uno de los cuales un codigo de identificacion unico, estando caracterizado ademas dicho metodo de autentificacion en red, entre las etapas a) y b), por que presenta la etapa siguiente:
    el terminal de usuario (2) ejecuta el programa de exploracion para explorar los componentes de hardware del mismo para obtener los codigos de identificacion de los componentes de hardware respectivamente que sirven como datos de exploracion de hardware de referencia, y transmite los datos de exploracion de hardware de referencia a cada uno de los servidores de autentificacion de identidades para su almacenamiento en la etapa b).
  3. 3. Metodo de autentificacion en red segun la reivindicacion 2, caracterizado por que, durante el registro del terminal de usuario (2) en el servidor de proveedor de contenidos (3), el terminal de usuario (2) descarga el programa de exploracion y la clave publica asimetrica desde la unidad de descarga (1) en la etapa a), y cada uno de los servidores de verificacion de identidades (4) descarga la informacion cifrada respectiva desde la unidad de descarga (1) y almacena los datos de exploracion de hardware de referencia en la etapa b).
  4. 4. Metodo de autentificacion en red segun cualquiera de las reivindicaciones 1 a 3, caracterizado por que, en la etapa c), dicho uno de los servidores de verificacion de identidades (4) es determinado por el servidor de proveedor de contenidos (3).
  5. 5. Metodo de autentificacion en red segun cualquiera de las reivindicaciones 1 a 3, caracterizado por que, en la etapa c), dicho uno de los servidores de verificacion de identidades (4) es determinado por el terminal de usuario (2).
  6. 6. Metodo de autentificacion en red segun la reivindicacion 5, caracterizado por que la etapa c) incluye las subetapas siguientes:
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    c1) en respuesta a la solicitud de inicio de sesion del terminal de usuario (2), el servidor de proveedor de contenidos (3) envfa al terminal de usuario (2) una solicitud de seleccion que incluye una lista de elementos de opcion, que representan respectivamente los servidores de verificacion de identidades (4);
    c2) el servidor de proveedor de contenidos (3) recibe una respuesta de seleccion desde el terminal de usuario (2) que indica uno deseado de los elementos de opcion que representa dicho uno de los servidores de verificacion de identidades (4); y
    c3) el servidor de proveedor de contenidos (3) redirecciona el terminal de usuario (2) para conectar con dicho uno de los servidores de verificacion de identidades (4) de acuerdo con la respuesta de seleccion del terminal de usuario (2).
  7. 7. Metodo de autentificacion en red segun cualquiera de las reivindicaciones 1 a 6, caracterizado por que, en la etapa e):
    el terminal de usuario (2) se puede hacer funcionar para descifrar la direccion web cifrada utilizando la clave publica asimetrica; y
    tras un descifrado exitoso de la direccion web cifrada, el terminal de usuario (2) determina que dicho uno de los servidores de verificacion de identidades (4) es valido actualmente para llevar a cabo una verificacion de identidad.
  8. 8. Metodo de autentificacion en red segun cualquiera de las reivindicaciones 1 a 7, caracterizado por que:
    en la etapa b), el conjunto respectivo de informacion cifrada descargado por cada uno de los servidores de verificacion de identidades (4) incluye ademas un periodo de autorizacion cifrado asociado al servidor de verificacion de identidades; y
    la etapa e) incluye las subetapas siguientes
    e1) el terminal de usuario (2) determina si la direccion web cifrada y el periodo de autorizacion cifrado asociado a dicho uno de los servidores de verificacion de identidades (4) se descifran de manera exitosa utilizando la clave publica asimetrica,
    e2) tras un descifrado exitoso de la direccion web cifrada y del periodo de autorizacion cifrado, el terminal de usuario (2) determina si la fecha actual se encuentra dentro del periodo de autorizacion descifrado asociado a dicho uno de los servidores de verificacion de identidades (4), y
    e3) tras determinar que la fecha actual se encuentra dentro del periodo de autorizacion descifrado asociado a dicho uno de los servidores de verificacion de identidades (4), el terminal de usuario (2) determina que dicho uno de los servidores de verificacion de identidades (4) es actualmente valido para llevar a cabo una verificacion de identidad.
  9. 9. Metodo de autentificacion en red segun la reivindicacion 8, caracterizado por que la etapa e) incluye ademas la subetapa siguiente:
    e4) cuando la fecha actual no se encuentra dentro del periodo de autorizacion descifrado asociado a dicho uno de los servidores de verificacion de identidades (4), el terminal de usuario (2) envfa a la unidad de descarga (1) una notificacion de expiracion de que ha expirado el periodo de autorizacion asociado a dicho uno de los servidores de verificacion de identidades (4).
ES14157508.4T 2014-03-03 2014-03-03 Método de autentificación en red para verificación segura de identidades de usuario Active ES2581911T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP14157508.4A EP2916509B1 (en) 2014-03-03 2014-03-03 Network authentication method for secure user identity verification

Publications (1)

Publication Number Publication Date
ES2581911T3 true ES2581911T3 (es) 2016-09-08

Family

ID=50272295

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14157508.4T Active ES2581911T3 (es) 2014-03-03 2014-03-03 Método de autentificación en red para verificación segura de identidades de usuario

Country Status (7)

Country Link
EP (1) EP2916509B1 (es)
CY (1) CY1117885T1 (es)
DK (1) DK2916509T3 (es)
ES (1) ES2581911T3 (es)
HU (1) HUE029778T2 (es)
PL (1) PL2916509T3 (es)
SI (1) SI2916509T1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106792009A (zh) * 2016-11-30 2017-05-31 深圳前海弘稼科技有限公司 一种基于种植箱的植物图像传输方法及装置
CN110839035A (zh) * 2019-11-19 2020-02-25 深圳前海环融联易信息科技服务有限公司 路径访问控制的方法、装置、计算机设备及存储介质
CN112637128B (zh) * 2020-11-25 2022-07-08 四川新网银行股份有限公司 一种数据中心主机的身份互信方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002089018A1 (en) * 2001-05-02 2002-11-07 Secugen Corporation Authenticating user on computer network for biometric information
TW201121280A (en) * 2009-12-10 2011-06-16 Mao-Cong Lin Network security verification method and device and handheld electronic device verification method.

Also Published As

Publication number Publication date
PL2916509T3 (pl) 2017-03-31
HUE029778T2 (en) 2017-04-28
EP2916509B1 (en) 2016-05-18
DK2916509T3 (en) 2016-08-22
EP2916509A1 (en) 2015-09-09
SI2916509T1 (sl) 2016-10-28
CY1117885T1 (el) 2017-05-17

Similar Documents

Publication Publication Date Title
US9749131B2 (en) System and method for implementing a one-time-password using asymmetric cryptography
KR100843081B1 (ko) 보안 제공 시스템 및 방법
US9124571B1 (en) Network authentication method for secure user identity verification
US9710634B2 (en) User-convenient authentication method and apparatus using a mobile authentication application
ES2816324T3 (es) Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método
ES2713390T3 (es) Procedimiento de verificación de identidad de un usuario de un terminal comunicante y sistema asociado
RU2017140260A (ru) Аутентификация в распределенной среде
US10147092B2 (en) System and method for signing and authenticating secure transactions through a communications network
KR101744747B1 (ko) 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법
JP2012530311A5 (es)
JP5475035B2 (ja) 認証権限移譲システム、情報端末、トークン発行局、サービス提供装置、認証権限移譲方法、及びプログラム
US8397281B2 (en) Service assisted secret provisioning
JPWO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
US20210234858A1 (en) Authentication system, authentication method and authentication apparatus
ES2581911T3 (es) Método de autentificación en red para verificación segura de identidades de usuario
JP2018174507A (ja) 通信装置
ES2665553T3 (es) Método de autenticación en red para una verificación segura de identidades de usuario utilizando información de posicionamiento de usuario
RU2015149834A (ru) Способ сетевой аутентификации с использованием карточного устройства
JPWO2017029708A1 (ja) 個人認証システム
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
KR20110005612A (ko) 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체
KR101118424B1 (ko) 인증서 자동갱신 처리 시스템
KR101576038B1 (ko) 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법
KR20110005611A (ko) 사용자 매체를 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체
KR101060659B1 (ko) 네트워크 보안방법