ES2609836B2 - Procedure and system for the validation of a request for authentication / authorization of a user - Google Patents
Procedure and system for the validation of a request for authentication / authorization of a user Download PDFInfo
- Publication number
- ES2609836B2 ES2609836B2 ES201531491A ES201531491A ES2609836B2 ES 2609836 B2 ES2609836 B2 ES 2609836B2 ES 201531491 A ES201531491 A ES 201531491A ES 201531491 A ES201531491 A ES 201531491A ES 2609836 B2 ES2609836 B2 ES 2609836B2
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- user
- request
- identity
- validation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
Sistema y procedimiento para la validación de una petición de autenticación/autorización de un usuario (EU). Incluye recibir, desde un proveedor de servicios (RP), una petición de autenticación/autorización de un usuario (EU); extraer el contexto dinámico (C) de la petición recibida del proveedor de servicios (RP), donde dicho contexto (C) comprende reglas definidas por el usuario (EU) para su identidad (ID); extraer el perfil (P) asociado a dicha identidad (ID), donde dicho perfil (P) contiene información extraída de contextos históricos asociados a peticiones y transacciones pasadas realizadas para dicha identidad (ID); comprobar el cumplimiento de las reglas incluidas en el contexto (C) por la petición recibida para establecer la validación de dicha petición, y decidir si elevar el nivel de seguridad (LoA) asociado a dicha petición; enviar al proveedor de servicios (RP) información sobre la elevación el nivel de seguridad (LoA).System and procedure for the validation of a request for authentication / authorization of a user (EU). It includes receiving, from a service provider (RP), a request for authentication / authorization from a user (EU); extract the dynamic context (C) from the request received from the service provider (RP), where said context (C) comprises user-defined rules (EU) for its identity (ID); extract the profile (P) associated with said identity (ID), where said profile (P) contains information extracted from historical contexts associated with requests and past transactions made for said identity (ID); verify compliance with the rules included in context (C) by the request received to establish the validation of said request, and decide whether to raise the level of security (LoA) associated with said request; Send to the service provider (RP) information about the elevation level of security (LoA).
Description
55
1010
15fifteen
20twenty
2525
3030
PROCEDIMIENTO Y SISTEMA PARA LA VALIDACIÓN DE UNA PETICIÓN DE AUTENTICACIÓN/AUTORIZACIÓN DE UN USUARIOPROCEDURE AND SYSTEM FOR THE VALIDATION OF A REQUEST FOR AUTHENTICATION / AUTHORIZATION OF A USER
DESCRIPCIÓNDESCRIPTION
Campo técnico de la invenciónTechnical Field of the Invention
La presente invención pertenece al campo de la gestión de identidades digitales.The present invention belongs to the field of digital identity management.
Antecedentes de la invención o Estado de la TécnicaBackground of the invention or State of the Art
Previamente se da una pequeña definición de la terminología empleada:Previously, a small definition of the terminology used is given:
IAAA: Identification, Authentication, Authorization and Accountability. En español: Identificación, Autenticación, Autorización y Trazabilidad.IAAA: Identification, Authentication, Authorization and Accountability. In Spanish: Identification, Authentication, Authorization and Traceability.
RP: Relying Party que ofrece algún tipo de activo, recurso, servicio o aplicación y que confía en un proveedor de identidad externo para gestionar los procedimientos IAAA de sus usuarios.RP: Relying Party that offers some type of asset, resource, service or application and that relies on an external identity provider to manage the IAAA procedures of its users.
EU: End User o usuario final que desea acceder a los servicios ofrecidos por el RP y utiliza para ello un procedimiento IAAA basado en el número de teléfono y/o en la tarjeta SIM de un terminal (T), es decir, proporcionado por una operadora de telecomunicaciones.EU: End User or end user who wishes to access the services offered by the RP and uses an IAAA procedure based on the telephone number and / or the SIM card of a terminal (T), that is, provided by a Telecommunications operator
IP: Identity Provider, entidad en la que el usuario realiza el procedimiento IAAA inicialmente. Tanto el RP como el EU confían en esta entidad para atender las peticiones de autenticación y autorización. Para esta invención, se trata de una operadora de telecomunicaciones dado que se tiene en cuenta que la identidad se basa en el número de teléfono y/o en la tarjeta SIM.IP: Identity Provider, entity in which the user initially performs the IAAA procedure. Both the PR and the EU rely on this entity to handle authentication and authorization requests. For this invention, it is a telecommunications operator since it is taken into account that the identity is based on the telephone number and / or the SIM card.
Authorization server, Token endpoint y User info endpoint: Sistemas que en la operadora de telecomunicaciones o IP permiten realizar el procedimiento de autenticación mediante OpenIDConnect/MobileConnect, es decir, basando las identidades en el número de teléfono y/o la tarjeta SIM.Authorization server, Token endpoint and User info endpoint: Systems that allow the authentication or IP operator to perform the authentication procedure using OpenIDConnect / MobileConnect, that is, basing the identities on the telephone number and / or the SIM card.
LoA: Level of Assurance o nivel de seguridad de un procedimiento IAAA, indica el número y tipo de factores de autenticación que se deben emplear.LoA: Level of Assurance or security level of an IAAA procedure, indicates the number and type of authentication factors to be used.
55
1010
15fifteen
20twenty
2525
3030
3535
Habitualmente, la gestión de identidades digitales se asocia con dos tipos de funcionalidades: la identificación/autenticación y la autorización. Es decir, este tipo de gestión permite, en un contexto digital, verificar que un individuo es quien dice ser pero también autorizar o no, en función de la identidad verificada, el acceso a distintos activos para realizar o no determinadas tareas. Actualmente parece que se ha llegado a un consenso en la industria, según el cual la mejor opción es utilizar soluciones federadas e implantar los esquemas de autenticación sobre los de autorización (especificación OpenIDConnect, que implementa OpenID sobre OAUth).Usually, digital identity management is associated with two types of functionalities: identification / authentication and authorization. That is, this type of management allows, in a digital context, to verify that an individual is who he claims to be but also to authorize or not, depending on the verified identity, access to different assets to perform certain tasks or not. Currently it seems that a consensus has been reached in the industry, according to which the best option is to use federated solutions and implement authentication schemes over authorization (OpenIDConnect specification, which implements OpenID over OAUth).
Además, los esquemas de gestión de identidades digitales han evolucionado hacia el uso de los dispositivos móviles con una tarjeta SIM insertada en el terminal (T) y al número de teléfono asociado a ésta, permitiendo un uso ubicuo de la identidad (especificación MobileConnect basada en OpenIDConnect). Es decir, esquemas que se integren con los dispositivos empleados por los usuarios de manera inteligente, haciendo que los procedimientos de autenticación y autorización no se perciban como procesos diferenciados, complejos y/o costosos, sino que se produzcan de manera natural, sencilla y de la forma más automática y transparente posible para los usuarios. Todo ello manteniendo los niveles de seguridad y control adecuados.In addition, digital identity management schemes have evolved towards the use of mobile devices with a SIM card inserted in the terminal (T) and the telephone number associated with it, allowing a ubiquitous use of identity (MobileConnect specification based on OpenIDConnect). That is, schemes that are integrated with the devices used by users intelligently, making authentication and authorization procedures not perceived as differentiated, complex and / or expensive processes, but that they occur in a natural, simple and simple way. the most automatic and transparent way possible for users. All this while maintaining adequate levels of security and control.
Hay que tener en cuenta que el número de teléfono se asocia cada vez más estrechamente a un individuo concreto que lo mantiene por un largo periodo de tiempo. Además esta asociación suele ser contractual (implicando algún tipo de identificación gubernamental e información bancaria del suscriptor) e involucra a una compañía, la operadora de telecomunicaciones, que es estable, está sujeta a fuertes regulaciones supervisadas por organismos externos nacionales e internacionales y que está obligada a seguir estándares que garanticen la interoperabilidad.It should be borne in mind that the telephone number is associated more and more closely with a specific individual who maintains it for a long period of time. In addition, this association is usually contractual (involving some type of government identification and subscriber banking information) and involves a company, the telecom operator, which is stable, is subject to strong regulations supervised by national and international external agencies and is obliged to follow standards that guarantee interoperability.
Distintos trabajos están apuntando formas de mejorar la seguridad de estos esquemas basados en OpenIDConnect/MobileConnect añadiendo nuevos factores de autenticación a su modo de operación o convirtiéndolos en más complejos (menos previsibles, más difíciles de adivinar, interceptar y/o generar).Different works are pointing out ways to improve the security of these schemes based on OpenIDConnect / MobileConnect by adding new authentication factors to their mode of operation or making them more complex (less predictable, more difficult to guess, intercept and / or generate).
El problema de estas mejoras es que añaden complejidad a los procedimientos IAAA al incrementar los niveles de seguridad, consumiendo recursos en el dispositivo del usuario (batería y ancho de banda de red), obligando a este usuario a tomar parte en el proceso (activando la geo-localización de su dispositivo, fotografiando su cara o escaneando un código QR, por ejemplo) y consumiendo su tiempo y esfuerzo (a veces requiriendo conocimientos técnicos que puede que no tenga), e incurriendo en ocasiones en latencias considerables.The problem with these improvements is that they add complexity to the IAAA procedures by increasing security levels, consuming resources on the user's device (battery and network bandwidth), forcing this user to take part in the process (activating the geo-location of your device, photographing your face or scanning a QR code, for example) and consuming your time and effort (sometimes requiring technical knowledge that you may not have), and sometimes incurring considerable latencies.
55
1010
15fifteen
20twenty
2525
3030
Breve descripción de la invenciónBrief Description of the Invention
Es objeto de la presente invención un procedimiento y un sistema para la validación de una petición.The object of the present invention is a procedure and a system for the validation of a request.
Respecto del procedimiento para la validación de una petición de autenticación/autorización de un usuario, éste incluye los pasos de: recibir, desde un proveedor de servicios, una petición de autenticación/autorización de un usuario; extraer el contexto dinámico de la petición recibida del proveedor de servicios, donde dicho contexto comprende reglas definidas por el usuario para su identidad; extraer el perfil asociado a dicha identidad, donde dicho perfil contiene información extraída de contextos históricos asociados a peticiones y transacciones pasadas realizadas desde dicha identidad; comprobar el cumplimiento de las reglas incluidas en el contexto por la petición recibida para establecer la validación de dicha petición, y decidir si elevar el nivel de seguridad asociado a dicha petición; enviar al proveedor de servicios información sobre la validación de la petición de autenticación/autorización y sobre la decisión de elevar el nivel de seguridad.Regarding the procedure for the validation of a request for authentication / authorization of a user, this includes the steps of: receiving, from a service provider, a request for authentication / authorization of a user; extract the dynamic context of the request received from the service provider, where said context comprises user-defined rules for its identity; extract the profile associated with said identity, where said profile contains information extracted from historical contexts associated with requests and past transactions made from said identity; verify compliance with the rules included in the context by the request received to establish the validation of said request, and decide whether to raise the level of security associated with said request; Send information to the service provider about the validation of the authentication / authorization request and about the decision to raise the security level.
Opcionalmente, la petición de autenticación/autorización del usuario es almacenada para permitir su trazabilidad y para actualizar el perfil asociado a la identidad.Optionally, the user's authentication / authorization request is stored to allow traceability and to update the profile associated with the identity.
Opcionalmente, un subconjunto de reglas es definido por el usuario.Optionally, a subset of rules is user defined.
Opcionalmente, un subconjunto de reglas es definido por la operadora de telecomunicaciones.Optionally, a subset of rules is defined by the telecommunications operator.
Opcionalmente, si el grado de cumplimiento de las reglas definidas por el usuario es inferior a un primer umbral de confianza, la validación es negativa y se finaliza.Optionally, if the degree of compliance with the rules defined by the user is lower than a first confidence threshold, the validation is negative and is terminated.
Alternativamente, si el grado de cumplimiento de las reglas definidas por el usuario es superior a un primer umbral de confianza, y si el grado de cumplimiento de las reglas definidas por la operadora de telecomunicaciones es inferior a un segundo umbral de confianza, la validación es negativa y se finaliza.Alternatively, if the degree of compliance with the rules defined by the user is greater than a first confidence threshold, and if the degree of compliance with the rules defined by the telecommunications operator is less than a second confidence threshold, the validation is negative and it ends.
Alternativamente, si el grado de cumplimiento de las reglas definidas por el usuario (EU) es superior a un primer umbral de confianza, y si el grado de cumplimiento de las reglas definidas por la operadora de telecomunicaciones es superior a un segundo umbral de confianza, y si el grado de similitud de la petición de autenticación/autorización con el perfil (P) del usuario (EU) es inferior a un tercer umbral, la validación es no-concluyente y se eleva el nivel de seguridad (LoA) para laAlternatively, if the degree of compliance with the user-defined rules (EU) is greater than a first confidence threshold, and if the degree of compliance with the rules defined by the telecommunications operator is greater than a second confidence threshold, and if the degree of similarity of the authentication / authorization request with the user's profile (P) is lower than a third threshold, the validation is inconclusive and the security level (LoA) is raised for the
55
1010
15fifteen
20twenty
2525
3030
autenticación/autorización posterior. Opcionalmente, en este caso se notifica a la RP el nuevo nivel de seguridad.authentication / authorization later. Optionally, in this case the RP is notified of the new security level.
Alternativamente, si el grado de cumplimiento de las reglas definidas por el usuario es superior a un primer umbral de confianza, y si el grado de cumplimiento de las reglas definidas por la operadora de telecomunicaciones es superior a un segundo umbral de confianza, y si el grado de similitud de la petición de autenticación/autorización con el perfil del usuario es igual o superior a un tercer umbral, la validación es positiva y se procede directamente con la autenticación/autorización posterior.Alternatively, if the degree of compliance with the rules defined by the user is greater than a first confidence threshold, and if the degree of compliance with the rules defined by the telecommunications operator is greater than a second confidence threshold, and if the degree of similarity of the authentication / authorization request with the user's profile is equal to or greater than a third threshold, the validation is positive and the authentication / authorization is then proceeded directly.
Opcionalmente, además se puede enviar al terminal de usuario información sobre la validación de la autenticación/autorización y el nivel de seguridad establecido.Optionally, information about the authentication / authorization validation and the established security level can also be sent to the user terminal.
Respecto del sistema para la validación de una petición de autenticación/autorización de un usuario, dicho sistema incluye unos medios de recepción para recibir y registrar una petición de autenticación/autorización lanzada por un proveedor de servicios en respuesta a un procedimiento iniciado por un usuario desde un dispositivo; unos medios de extracción para extraer el contexto dinámico de la petición recibida, donde dicho contexto comprende reglas y filtros definidos por el usuario para su identidad; unos medios de comprobación para validar la petición recibida por los medios de recepción frente a su contexto dinámico y el perfil obtenido de los medios deWith respect to the system for the validation of a request for authentication / authorization of a user, said system includes reception means for receiving and registering an authentication / authorization request issued by a service provider in response to a procedure initiated by a user from a device; extraction means to extract the dynamic context of the received request, where said context comprises user defined rules and filters for its identity; means of verification to validate the request received by the reception means against its dynamic context and the profile obtained from the means of
extracción, adecuando el nivel de seguridad del posterior procedimiento deextraction, adapting the level of security of the subsequent procedure of
autenticación / autorización en función del resultado de la validación.authentication / authorization based on the result of the validation.
Ventajosamente, la presente invención permite validar una petición deAdvantageously, the present invention allows validating a request for
autenticación/autorización basada en el número de teléfono y/o en la tarjeta SIM antes de realizar el procedimiento completo de autenticación/autorización. Se consigue mejorar la seguridad y la eficiencia en el uso de los recursos, tanto el usuario (EU) como de la operadora de telecomunicaciones (IP), de manera que en el caso de peticiones no validadas (clasificadas como inseguras), ni siquiera se intente realizar el procedimiento de autenticación/autorización. Esto se explica más detalladamente a continuación.Authentication / authorization based on the phone number and / or the SIM card before performing the full authentication / authorization procedure. It is possible to improve the safety and efficiency in the use of resources, both the user (EU) and the telecommunications operator (IP), so that in the case of requests not validated (classified as unsafe), not even Try to perform the authentication / authorization procedure. This is explained in more detail below.
En caso de que el resultado de validación previa sea positivo, se pasa a realizar el procedimiento de autenticación/autorización con el esquema que se estuvieraIf the previous validation result is positive, the authentication / authorization procedure is carried out with the scheme that was being
utilizando por parte de la operadora de telecomunicaciones (p.e. OpenIDConnect/MobileConnect).using by the telecommunications operator (e.g. OpenIDConnect / MobileConnect).
En caso de que el resultado de validación previa sea negativo, se evita continuar con el procedimiento de autenticación/autorización y se ignora la petición recibida. ConIf the previous validation result is negative, it is avoided to continue with the authentication / authorization procedure and the request received is ignored. With
55
1010
15fifteen
20twenty
2525
3030
ello, se evita el consumo de recursos en el dispositivo, de tiempo y esfuerzo por parte del usuario y la latencia asociada.this avoids the consumption of resources in the device, of time and effort on the part of the user and the associated latency.
En caso de que el resultado de validación previa sea no concluyente, se incrementa el nivel de seguridad de la posterior autenticación/autorización al resultar la petición dudosa o sospechosa (es decir, si se decide que el procedimiento de autenticación/autorización continúe, pero hay sospechas acerca de su origen, consistencia y legitimidad, se aumenta el LoA).In the event that the result of prior validation is inconclusive, the security level of the subsequent authentication / authorization is increased when the request is suspicious or suspicious (that is, if the authentication / authorization procedure is decided to continue, but there is suspicions about its origin, consistency and legitimacy, the LoA is increased).
Se propone un MID proxy que se disponga delante de los sistemas que realizan la autenticación/autorización en las operadoras de telecomunicaciones para llevar a cabo la validación propuesta sin necesidad de modificar o alterar estos sistemas y los procedimientos de autenticación que ya estuvieran usando (p.e. OpenIDConnect/MobileConnect).A MID proxy is proposed to be available in front of the systems that perform the authentication / authorization in the telecommunications operators to carry out the proposed validation without modifying or altering these systems and the authentication procedures that they were already using (eg OpenIDConnect / MobileConnect).
Ventajosamente la validación propuesta no precisa que el usuario instale ningún tipo de aplicación en su dispositivo móvil. Basta con contratar el servicio asociado con su operadora. Este servicio se denomina MIDaaS (Mobiquitous Identity as a Service) de aquí en adelante.Advantageously, the proposed validation does not require the user to install any type of application on their mobile device. Simply hire the service associated with your operator. This service is called MIDaaS (Mobiquitous Identity as a Service) from now on.
El procedimiento de validación de las peticiones de autenticación/autorización se basa en dos aspectos fundamentales:The validation procedure for authentication / authorization requests is based on two fundamental aspects:
Trazabilidad: La monitorización en tiempo real y registro de actividad de todas las transacciones llevadas a cabo con una identidad digital, de manera que se almacene un registro completo de todas ellas del que se pueda extraer el patrón de comportamiento considerado habitual para esa identidad (perfil del EU). Algunos de los atributos que caracterizan este patrón (aunque se pueden añadir tantos como se desee) son: RP origen de la petición de autenticación, información asociada a esta RP (tipo de activo, recurso, servicio o aplicación ofrecida, sector de actividad, nombre de dominio, localización geográfica/idioma, dirección IP, etc.), hora de la petición de autenticación, tiempo de expiración especificado, LoA requerido (nivel de seguridad), geo-localización del dispositivo del EU, información adicional acerca del EU asociada a esta petición (dispositivo de acceso, red de acceso, dirección IP, etc.) y resultado del procedimiento de validación.Traceability: The real-time monitoring and activity log of all transactions carried out with a digital identity, so that a complete record of all of them can be stored from which the pattern of behavior considered usual for that identity can be extracted (profile from the EU). Some of the attributes that characterize this pattern (although you can add as many as you want) are: RP origin of the authentication request, information associated with this RP (type of asset, resource, service or application offered, activity sector, name domain name, geographic location / language, IP address, etc.), time of the authentication request, specified expiration time, required LoA (security level), geo-location of the EU device, additional information about the EU associated with this request (access device, access network, IP address, etc.) and result of the validation procedure.
El contexto dinámico de la petición: Toda aquella información acerca de la petición que pueda ayudar a la operadora de telecomunicaciones a realizar la validación de la petición de autenticación/autorización antes de tener que procesarla. Estos atributos son, para cada petición en particular, muy similares a los que quedan registrados en elThe dynamic context of the request: All information about the request that can help the telecommunications operator to validate the authentication / authorization request before having to process it. These attributes are, for each particular request, very similar to those recorded in the
55
1010
15fifteen
20twenty
2525
3030
patrón asociado a cada identidad, por lo tanto RP origen de la petición de autenticación, información asociada a esta RP, hora de la petición de autenticación, tiempo de expiración especificado, LoA requerido, geo-localización del dispositivo del EU, información adicional acerca del EU.pattern associated with each identity, therefore RP origin of the authentication request, information associated with this RP, time of the authentication request, specified expiration time, LoA required, geo-location of the device of the EU, additional information about the EU.
Además, este contexto incluye también reglas o filtros dinámicos especificados por el propio usuario en cada momento o caso. Por ejemplo, el contexto de una petición de autenticación puede incluir un filtro que el EU ha activado para indicar que no se procesen peticiones de autenticación para redes sociales entre las 23.00 y las 7.00. O que no se procesen peticiones de autenticación para sitios de comercio electrónico con dominio .cn.In addition, this context also includes dynamic rules or filters specified by the user in each moment or case. For example, the context of an authentication request may include a filter that the EU has activated to indicate that no authentication requests are processed for social networks between 23.00 and 7.00. Or that authentication requests are not processed for e-commerce sites with .cn domain.
Breve descripción de las figurasBrief description of the figures
Figura 1: Flujo según el estado de la técnica anterior para añadir identificación/ autenticación a una autorización (OpenIDConnect/MobileConnect).Figure 1: Flow according to prior art to add identification / authentication to an authorization (OpenIDConnect / MobileConnect).
Figura 2: Flujo de acuerdo con la invención cuando el resultado de la validación es positivo.Figure 2: Flow according to the invention when the result of the validation is positive.
Figura 3: Flujo acuerdo con la invención cuando el resultado de la validación es no concluyente.Figure 3: Flow according to the invention when the result of the validation is inconclusive.
Figura 4: Flujo acuerdo con la invención cuando el resultado de la validación es negativo.Figure 4: Flow according to the invention when the result of the validation is negative.
Figura 5: Detalle del paso 3 de las figuras 2 a 4 con el flujo de validación realizado por el MID proxy de acuerdo con la invención.Figure 5: Detail of step 3 of Figures 2 to 4 with the validation flow performed by the MID proxy according to the invention.
Figura 6: Diagrama de flujo del procedimiento de validación según la invención.Figure 6: Flow diagram of the validation procedure according to the invention.
Figura 7: Diagrama de bloques según la invención para el MID proxy.Figure 7: Block diagram according to the invention for the MID proxy.
Descripción detallada de la invenciónDetailed description of the invention
Con fines aclaratorios y haciendo referencia a las figuras anteriores, se exponen varios ejemplos de realización. Estos ejemplos no tienen carácter restrictivo sobre el alcance de la presente invención.For clarification purposes and referring to the previous figures, several examples of embodiment are set forth. These examples are not restrictive about the scope of the present invention.
La figura 1 muestra el esquema conocido en un caso de uso básico según una técnica actual (OpenIDConect 1.0/MobileConnect sobre OAuth 2.0). De esta forma, se permite que una RP verifique la identidad de un usuario mediante un procedimiento deFigure 1 shows the known scheme in a basic use case according to a current technique (OpenIDConect 1.0 / MobileConnect over OAuth 2.0). In this way, an RP is allowed to verify the identity of a user through a procedure of
55
1010
15fifteen
20twenty
2525
3030
3535
autenticación/autorización realizado por el propio Authorization Server, así como obtener información básica asociada a su perfil (nombre, apellidos, email, etc.). Como se puede observar se añade al Access Token empleado por OAuth para gestionar la autorización un ID Token para poder realizar la autenticación. Gracias a este esquema, las operadoras de telecomunicaciones se pueden convertir en proveedoras de identidad basada en el número de teléfono y/o en la tarjeta SIM. Para incrementar el nivel de seguridad del procedimiento IAAA, se podrían añadir nuevos factores de autenticación que requieran de la intervención activa del usuario obligando a este usuario a tomar parte en el proceso (activando la geo-localización de su dispositivo, fotografiando su cara o escaneando un código QR, por ejemplo). Todos ellos consumen además recursos en el dispositivo del usuario (batería y ancho de banda de red), por lo que quedan seriamente restringidos los escenarios en los que se pueden emplear.authentication / authorization performed by the Authorization Server itself, as well as obtaining basic information associated with its profile (name, surname, email, etc.). As you can see, a Token ID is added to the Access Token used by OAuth to manage authorization. Thanks to this scheme, telecommunications operators can become identity providers based on the telephone number and / or the SIM card. To increase the level of security of the IAAA procedure, new authentication factors that require the active intervention of the user could be added, forcing this user to take part in the process (activating the geo-location of his device, photographing his face or scanning a QR code, for example). All of them also consume resources on the user's device (battery and network bandwidth), so the scenarios in which they can be used are severely restricted.
En la figuras 2-4 se puede ver un diagrama de flujo con diferentes pasos. A continuación, se pasa a comentar cada uno.A flow chart with different steps can be seen in Figures 2-4. Then, we will comment on each one.
Paso 1: La RP crea la petición de autenticación/autorización para realizar procedimiento IAAA con el EU (normalmente porque el EU habrá solicitado desde algún dispositivo, acceder a un activo, recurso, aplicación o servicio que provee la RP previamente).Step 1: The RP creates the authentication / authorization request to perform IAAA procedure with the EU (usually because the EU will have requested from some device, access an asset, resource, application or service that the RP previously provides).
Paso 2: La RP lanza esta petición de autenticación/autorización al MID proxy en el IP. Paso 3: Este proxy realiza el procedimiento de validación objeto de esta invención (descrito más adelante en detalle), y tras esta validación, la registra junto con su resultado para llevar una traza de los eventos asociados a la identidad del EU y la envía al Authorization Server.Step 2: The RP launches this authentication / authorization request to the MID proxy on the IP. Step 3: This proxy performs the validation procedure object of this invention (described later in detail), and after this validation, it registers it along with its result to track the events associated with the identity of the EU and sends it to the Authorization Server
Paso 4: Lo que ocurre a continuación depende del resultado del procedimiento de validación:Step 4: What happens next depends on the result of the validation procedure:
Opción 4.1: Si el resultado de la validación ha sido positivo, el MIDProxy permite que el procedimiento IAAA comience normalmente, re-enviando la petición de autenticación/autorización al Authorization Server. Esto se muestra en la figura 2. Opción 4.2: Si el resultado de la validación ha sido no concluyente, el MIDProxy incrementa el Level of Assurance (LoA) antes de permitir que comience el procedimiento IAAA, re-enviando la petición de autenticación/autorización al Authorization Server. También notifica al RP el nuevo valor del LoA para que el posterior procedimiento de autenticación/autorización se lleve a cabo sin problemas. Esto se muestra en la figura 3.Option 4.1: If the result of the validation has been positive, the MIDProxy allows the IAAA procedure to begin normally, by resending the authentication / authorization request to the Authorization Server. This is shown in Figure 2. Option 4.2: If the result of the validation has been inconclusive, the MIDProxy increases the Level of Assurance (LoA) before allowing the IAAA procedure to begin, resending the authentication / authorization request to the Authorization Server. It also notifies the RP of the new value of the LoA so that the subsequent authentication / authorization procedure is carried out without problems. This is shown in figure 3.
55
1010
15fifteen
20twenty
2525
3030
3535
Opción 4.3: Si el resultado de la validación ha sido negativo, simplemente notifica al EU y la RP y no se llega a realizar el procedimiento IAAA que queda abortado (aunque registrado para posteriores comprobaciones). Esto se muestra en la figura 4. Paso 5: En las dos primeras opciones (4.1 y 4.2), el procedimiento IAAA continúa con normalidad por lo que el EU proporciona su consentimiento para este proceso al MID proxy.Option 4.3: If the result of the validation has been negative, simply notify the EU and the PR and the IAAA procedure that is aborted (although registered for subsequent checks) is not performed. This is shown in Figure 4. Step 5: In the first two options (4.1 and 4.2), the IAAA procedure continues normally so that the EU provides its consent for this process to the MID proxy.
Paso 6: El MID proxy registra el consentimiento y lo envía al Authorization Server.Step 6: The MID proxy registers the consent and sends it to the Authorization Server.
Paso 7: El Authorization server genera un código de autorización para el EU y se lo envía al MID proxy para que quede registrado.Step 7: The Authorization server generates an authorization code for the EU and sends it to the MID proxy to be registered.
Paso 8: El MID proxy se lo hace llegar al EU.Step 8: The MID proxy sends it to the EU.
Paso 9: El EU presenta este código de autorización a la RP.Step 9: The EU submits this authorization code to the PR.
Paso 10: La RP presenta este código de autorización en el Token endpoint del IP para obtener los token de acceso e identidad (Access Token e ID Token respectivamente). Paso 11: El Token endpoint envía estos tokens a la RP.Step 10: The RP presents this authorization code in the IP endpoint Token to obtain the access and identity tokens (Access Token and ID Token respectively). Step 11: The token endpoint sends these tokens to the RP.
Paso 12: La RP valida el ID Token, con lo que el procedimiento de autenticación/autorización se da por finalizado y el EU puede acceder a los recursos que había solicitado inicialmente, quedando todo el procedimiento IAAA registrado en el MID proxy.Step 12: The RP validates the Token ID, so that the authentication / authorization procedure is terminated and the EU can access the resources that it had initially requested, leaving the entire IAAA procedure registered in the MID proxy.
Paso 13: Opcionalmente la RP puede utilizar el Access Token para dirigirse al MID proxy y solicitar información adicional sobre el EU, estática (User Info) o dinámica (Context).Step 13: Optionally the RP can use the Access Token to go to the MID proxy and request additional information about the EU, static (User Info) or dynamic (Context).
Paso 14: Esta petición se registra en el MID proxy y se re-dirige al User Info + Context endpoint.Step 14: This request is registered in the MID proxy and redirected to the User Info + Context endpoint.
Paso 15: Este endpoint responde al MID proxy con la información solicitada.Step 15: This endpoint responds to the MID proxy with the requested information.
Paso 16: El MID proxy registra esta respuesta y la re-dirige a la RP.Step 16: The MID proxy records this response and redirects it to the RP.
La figura 5 especifica en detalle el flujo del procedimiento de validación realizado por el MID proxy y que se ha resumido como "validación y registro" en el paso 3 de las figuras 2, 3 y 4.Figure 5 specifies in detail the flow of the validation procedure performed by the MID proxy and which has been summarized as "validation and registration" in step 3 of Figures 2, 3 and 4.
Como se puede ver este proxy se encarga de realizar el procedimiento de validación, por lo que reúne en sí tres cometidos principales característicos del esquema propuesto en esta invención:As you can see this proxy is responsible for carrying out the validation procedure, so it brings together three main tasks characteristic of the scheme proposed in this invention:
1. Realizar el registro de transacciones que contiene datos sobre toda acción que se produzca relativa a la identidad de un EU, lo cual permite ofrecer trazabilidad tanto al EU (de su identidad) como a la RP (de las identidades de todos sus usuarios). El “Registro de transacciones” es el elemento que almacena los datos asociados a todas las peticiones (todos los atributos de las peticiones de autenticación/autorización que1. Perform the transaction log that contains data on any action that occurs regarding the identity of a EU, which allows traceability to be offered both to the EU (of its identity) and to the RP (of the identities of all its users) . The "Transaction Log" is the element that stores the data associated with all requests (all attributes of authentication / authorization requests that
55
1010
15fifteen
20twenty
2525
3030
3535
ya se han enumerado), independientemente de su resultado final y que permite a otros módulos o componentes resumir en un patrón de comportamiento habitual lo que se considera "normal” para una identidad concreta. La extracción de características para resumir este patrón se puede realizar con cualquiera de los métodos y algoritmos tradicionales que se emplean en reconocimiento de patrones.they have already been listed), regardless of their final result and that allows other modules or components to summarize in a habitual behavior pattern what is considered "normal" for a specific identity. The extraction of characteristics to summarize this pattern can be done with any of the traditional methods and algorithms that are used in pattern recognition.
2. Obtener el contexto de la petición, atendiendo a los factores dinámicos que se consideren oportunos, tanto para el EU como para la RP, en base a los cuales se puede discriminar entre peticiones consistentes y no consistentes, es decir, entre peticiones que se consideran seguras y se validan porque se pueden completar con éxito o peticiones, dudosas (en las que se incrementa el nivel de seguridad necesario en la posterior autenticación) o del todo inseguras (que se abortan). El "Servidor de contexto” es el elemento encargado de enriquecer la petición con toda la información de contexto relevante (también mencionada con anterioridad), y esto incluye las reglas o filtros que se permite que definan los propios EU en relación con sus identidades.2. Obtain the context of the request, taking into account the dynamic factors that are considered appropriate, both for the EU and for the PR, on the basis of which it is possible to discriminate between consistent and non-consistent requests, that is, between requests that are they are considered safe and are validated because they can be successfully completed or requests, doubtful (in which the level of security required in subsequent authentication is increased) or completely insecure (which are aborted). The "Context Server" is the element responsible for enriching the request with all relevant context information (also mentioned above), and this includes the rules or filters that are allowed to define the EU itself in relation to their identities.
3. Contrastar la petición enriquecida con los criterios personales establecidos por el EU y con criterios generales de validación (aquellos que toda deben petición debe cumplir para resultar consistente).3. Contrast the enriched petition with the personal criteria established by the EU and with general validation criteria (those that all must request must comply to be consistent).
a. Criterios personales de validación: Es necesario comprobar si en el contexto de la petición se incorpora alguna regla o filtro de las especificadas por el EU. Como ejemplo de criterio personal de validación, una petición proveniente de un determinado nombre de dominio, en determinada franja horaria o solicitando determinada autorización para determinado tipo de activos, recursos, servicios o aplicaciones puede ser desestimada directamente por lo que el resultado de la validación ya sería negativo.to. Personal validation criteria: It is necessary to check whether in the context of the request any rule or filter of those specified by the EU is incorporated. As an example of a personal validation criterion, a request from a certain domain name, in a certain time slot or requesting a specific authorization for certain type of assets, resources, services or applications can be directly dismissed, so the result of the validation already It would be negative.
b. Criterios generales de validación: Si se pasan los criterios personales de validación es necesario aplicar los generales.b. General validation criteria: If the personal validation criteria are passed, it is necessary to apply the general ones.
Primero se aplican criterios de validación general especificados por el IP para distinguir entre peticiones consistentes y no consistentes. Como ejemplo de criterio general de validación, una petición que de momento está catalogada como consistente (no está afectada por ninguna regla del EU) pero en la que la localización del servicio RP afirma la posición del dispositivo de acceso del EU está en Roma, mientras que la localización independiente del EU revela que su dispositivo móvil se encuentra en Londres (la máquina con la que se navega el sitio web de la RP y el terminal móvil pueden ser independientes, pero deben encontrarse físicamente próximos a no ser que se indique lo contrario), terminaría con un resultado negativo para la validación. Por último, si se han cumplido con éxito todos los criterios anteriores, una vezFirst, general validation criteria specified by the IP are applied to distinguish between consistent and non-consistent requests. As an example of a general validation criterion, a request that is currently classified as consistent (not affected by any EU rule) but in which the location of the RP service affirms the position of the EU access device is in Rome, while that the independent location of the EU reveals that its mobile device is in London (the machine with which the RP website is navigated and the mobile terminal may be independent, but must be physically close unless otherwise indicated ), would end with a negative result for validation. Finally, if all the above criteria have been met successfully, once
55
1010
15fifteen
20twenty
2525
3030
extraídas las características de la petición de autenticación/autorización y de su contexto (con los atributos ya mencionados), se pueden comparar con el patrón de comportamiento considerado habitual para esa identidad digital (perfil del EU).Having extracted the characteristics of the authentication / authorization request and its context (with the aforementioned attributes), they can be compared with the behavior pattern considered usual for that digital identity (EU profile).
i. Con un nivel de coincidencia suficiente, se finaliza con una validación positiva. El umbral para el nivel de coincidencia dependerá del nivel de seguridad requerido por cada usuario.i. With a sufficient level of coincidence, it ends with a positive validation. The threshold for the level of match will depend on the level of security required by each user.
ii. Con un nivel de coincidencia por debajo de este umbral, se permite realizar el procedimiento de autenticación/autorización pero se aumenta su nivel de seguridad, es decir, el LoA (resultado de la validación no concluyente, como hay dudas o sospechas, se continúa con el procedimiento IAAA pero aumentando los requisitos de seguridad).ii. With a level of coincidence below this threshold, the authentication / authorization procedure is allowed but its security level is increased, that is, the LoA (result of the inconclusive validation, as there are doubts or suspicions, continues with the IAAA procedure but increasing the security requirements).
EJEMPLO 1EXAMPLE 1
En este ejemplo un EU que dispone del servicio MIDaaS activado visita desde su ordenador portátil un sitio web de un RP que ofrece un servicio en el que está interesado. Como es usual, el sitio web requiere que el EU se identifique y autentique antes de poder acceder al servicio.In this example, an EU that has the MIDaaS service activated visits from its laptop a website of an RP that offers a service in which it is interested. As usual, the website requires the EU to identify and authenticate before accessing the service.
El EU escoge Autenticarse a través del IP (facilitando simplemente su número de teléfono), obteniendo la RP los datos personales y de contexto del EU que éste la autoriza a obtener sin necesidad de que el EU introduzca ninguna otra información.The EU chooses to authenticate through the IP (simply providing their telephone number), obtaining the PR personal and context data of the EU that it authorizes to obtain without the need for the EU to enter any other information.
Supongamos cuatro escenarios:Assume four scenarios:
1. La petición de autenticación/autorización del RP para este EU se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición. Ningún criterio personal del EU hace sospechar que se trate de una petición no consistente. Tampoco hay problema con los criterios generales de validación: la petición entra dentro del patrón de comportamiento normal del EU (ya había utilizado antes los servicios de este RP en un horario y localización similar) y no hay ningún otro particular de relevancia. El resultado de la validación es positivo y se procede a autenticar al usuario con el LoA requerido inicialmente. El EU se autentica con éxito.1. The request for authentication / authorization of the RP for this EU is registered in the MID Proxy. Next, the context of this request is retrieved. No personal criteria of the EU suggest that it is a non-consistent request. There is also no problem with the general validation criteria: the request falls within the normal behavior pattern of the EU (I had previously used the services of this PR at a similar time and location) and there is no other particular relevance. The result of the validation is positive and the user is authenticated with the LoA initially required. The EU authenticates successfully.
2. La petición de autenticación/autorización del RP para este EU se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición. Ningún criterio personal del EU hace sospechar que se trate de una petición no consistente. Surge una sospecha al aplicar los criterios generales: la petición no entra en absoluto dentro del patrón de comportamiento normal del EU: nunca había utilizado los servicios de este RP, no suele acceder a este tipo de servicios en este horario, se trata de un dominio en una zona geográfica poco habitual, etc. El resultado de la validación es no2. The request for authentication / authorization of the PR for this EU is registered in the MID Proxy. Next, the context of this request is retrieved. No personal criteria of the EU suggest that it is a non-consistent request. A suspicion arises when applying the general criteria: the request does not enter at all within the normal behavior pattern of the EU: I had never used the services of this PR, it does not usually access this type of services at this time, it is a domain in an unusual geographical area, etc. The result of the validation is no
55
1010
15fifteen
20twenty
2525
3030
3535
concluyente y se procede a autenticar al usuario con un LoA superior al requerido inicialmente, por lo que son necesarios más factores de autenticación de los que se habrían empleado con normalidad. El EU se autentica con éxito y se actualiza su patrón de comportamiento habitual con esta petición. Si el EU no consiguiera finalizar el procedimiento de autenticación/autorización con éxito, se habría evitado una suplantación de identidad al detectar una petición que no encaja con el perfil de comportamiento habitual del usuario.conclusive and we proceed to authenticate the user with a LoA higher than initially required, so more authentication factors are needed than would have been used normally. The EU is authenticated successfully and its usual behavior pattern is updated with this request. If the EU failed to complete the authentication / authorization procedure successfully, an impersonation would have been avoided by detecting a request that does not fit the user's usual behavior profile.
3. La petición de autenticación/autorización del RP para este EU se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición. Ningún criterio personal del EU hace sospechar que se trate de una petición no consistente. Surge una sospecha al aplicar los criterios generales: la distancia entre el dispositivo (un ordenador o una tableta, por ejemplo) utilizado por el EU para acceder al RP y su terminal móvil (aquel que contiene la tarjeta SIM) es de cientos de kilómetros (y el EU no ha actualizado sus criterios de validación personal para avisar de este particular). La validación tiene un resultado negativo y ni siquiera se lanza el procedimiento de autenticación/autorización. Se ha evitado una posible suplantación de identidad, al no cumplirse un criterio que considerado imprescindible para catalogar la petición como consistente. Todo queda registrado de manera que tanto el IP como el EU puedan analizar el caso posteriormente y tomar las acciones necesarias.3. The request for authentication / authorization of the RP for this EU is registered in the MID Proxy. Next, the context of this request is retrieved. No personal criteria of the EU suggest that it is a non-consistent request. A suspicion arises when applying the general criteria: the distance between the device (a computer or a tablet, for example) used by the EU to access the RP and its mobile terminal (the one containing the SIM card) is hundreds of kilometers ( and the EU has not updated its personal validation criteria to notify of this particular). The validation has a negative result and the authentication / authorization procedure is not even launched. A possible impersonation has been avoided, since a criterion that is considered essential to catalog the request as consistent is not met. Everything is recorded so that both the IP and the EU can analyze the case later and take the necessary actions.
4. La petición de autenticación/autorización del RP para este EU se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición. Se detecta un criterio personal del EU que permite catalogar la petición como no consistente inmediatamente: no se permite realizar autenticaciones para este tipo de servicio en esta franja horaria. La validación tiene un resultado negativo y ni siquiera se lanza el procedimiento de autenticación/autorización. Se ha evitado una posible suplantación de identidad. Todo queda registrado de manera que se pueda analizar el caso posteriormente y tomar las acciones necesarias.4. The request for authentication / authorization of the RP for this EU is registered in the MID Proxy. Next, the context of this request is retrieved. A personal criterion of the EU is detected that allows to catalog the request as not consistent immediately: it is not allowed to perform authentication for this type of service in this time slot. The validation has a negative result and the authentication / authorization procedure is not even launched. Possible identity theft has been avoided. Everything is recorded so that the case can be analyzed later and take the necessary actions.
EJEMPLO 2EXAMPLE 2
Hace años que existen operadoras de telecomunicaciones que ofrecen la posibilidad de realizar pagos a través de los terminales móviles y de las operadoras, sin necesidad alguna de ningún otro elemento. Esta práctica, se suele denominar telco- billing y permite que un suscriptor de telefonía móvil cargue sus compras a su cuenta a través de su operadora de telecomunicaciones.For years there have been telecommunications operators that offer the possibility of making payments through mobile terminals and operators, without the need for any other element. This practice is often called telco billing and allows a mobile phone subscriber to upload their purchases to their account through their telecommunications operator.
En este ejemplo una empresa permite a sus empleados (EU) realizar pagos mediante su terminal móvil corporativo para evitar el manejo de tarjetas bancarias de empresa.In this example, a company allows its employees (EU) to make payments through its corporate mobile terminal to avoid the handling of corporate bank cards.
55
1010
15fifteen
20twenty
2525
3030
3535
Supongamos que uno de estos empleados intenta realizar un pago por móvil en un establecimiento (RP) dentro de su horario laboral, en el ámbito geográfico de su oficina y por un importe autorizado por su compañía. La petición de autenticación/autorización del RP para este EU se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición. Ningún criterio personal del EU (en este caso estos criterios los fija su empresa, que es la que tiene contratada la línea) hace sospechar que se trate de una petición no consistente. Tampoco hay problema con los criterios generales de validación: la petición entra dentro del patrón de comportamiento normal del EU (ya había utilizado antes los servicios de este RP en un horario y localización similar) y no hay ningún otro particular de relevancia. El resultado de la validación es positivo y se procede a autenticar al usuario con el LoA requerido inicialmente. El EU se autentica con éxito y se autoriza el pago.Assume that one of these employees tries to make a mobile payment in an establishment (RP) within their working hours, within the geographical scope of their office and for an amount authorized by their company. The request for authentication / authorization of the RP for this EU is registered in the MID Proxy. Next, the context of this request is retrieved. No personal criteria of the EU (in this case these criteria are set by your company, which is the one that has contracted the line) suggests that it is a non-consistent request. There is also no problem with the general validation criteria: the request falls within the normal behavior pattern of the EU (I had previously used the services of this PR at a similar time and location) and there is no other particular relevance. The result of the validation is positive and the user is authenticated with the LoA initially required. The EU is authenticated successfully and payment is authorized.
Ahora supongamos un segundo escenario en el que el empleado ha extraviado su dispositivo móvil o se lo han robado. Supongamos además que tenía apuntadas todas sus contraseñas en un archivo almacenado en el dispositivo. Si una persona en posesión del dispositivo y de las contraseñas intenta realizar un pago antes de que la empresa anule la tarjeta SIM del dispositivo, sucedería lo siguiente: la petición de autenticación/autorización del RP para este EU falso se registra en el MID Proxy. A continuación, se recupera el contexto de esta petición.Now let's assume a second scenario in which the employee has lost his mobile device or has been stolen. Let's also assume that you had all your passwords pointed to in a file stored on the device. If a person in possession of the device and passwords attempts to make a payment before the company cancels the SIM card of the device, the following would happen: the request for authentication / authorization of the RP for this false EU is registered in the MID Proxy. Next, the context of this request is retrieved.
En primer lugar si el pago no está dentro del horario, ámbito geográfico o importe autorizados por la compañía a través de los criterios personales de validación, la petición de autenticación/autorización no se procesará y se habrá evitado una suplantación de la identidad. Si estos criterios no clasifican a la petición como no consistente, probablemente los de validación general (por salirse el pago del patrón de comportamiento normal del EU o el resto de criterios que apliquen) la pasen a no consistente, abortándola o como mínimo, aumentando el LoA y así, ni siquiera realizando la autenticación/autorización o realizándola con mayor número de factores de autenticación (es decir, con una probabilidad mucho mayor de evitar la suplantación).First of all if the payment is not within the schedule, geographical scope or amount authorized by the company through the personal validation criteria, the authentication / authorization request will not be processed and an impersonation will have been avoided. If these criteria do not classify the request as non-consistent, they are likely to be general validation (if the payment of the standard of normal behavior of the EU or the rest of the criteria that apply) is passed to make it inconsistent, aborting it or at least, increasing the LoA and thus, not even performing authentication / authorization or performing it with a greater number of authentication factors (that is, with a much greater probability of avoiding impersonation).
En la figura 6 se puede observar un diagrama de flujo del procedimiento de validación según la invención (600). El procedimiento comienza al recibir la petición de autenticación/autorización lanzada por un RP (en respuesta a una solicitud de servicio del usuario). A continuación, se registra la petición de autenticación/autorización (601) y en un siguiente paso, se recupera el contexto dinámico (C) de esta petición (602). Después se extrae el perfil habitual (P) de comportamiento del EU involucrado en el procedimiento IAAA que se desea iniciar con esta petición recibida (603).A flow diagram of the validation procedure according to the invention (600) can be seen in Figure 6. The procedure begins upon receiving the authentication / authorization request issued by an RP (in response to a user service request). Then, the authentication / authorization request (601) is registered and in a next step, the dynamic context (C) of this request (602) is retrieved. The usual behavior profile (P) of the EU involved in the IAAA procedure that is desired to start with this received request (603) is then extracted.
55
1010
15fifteen
20twenty
2525
3030
3535
En el siguiente paso (604), se aplican las reglas y filtros del EU que se recuperaron con el contexto C. Si no se pasa esta aplicación porque no se cumple con alguna de estas reglas o filtros, se procederá a registrar este resultado, notificarlo a las partes y a abortar el procedimiento IAAA (605). El resultado de la validación será directamente NEGATIVO.In the next step (604), the EU rules and filters that were recovered with context C are applied. If this application is not passed because one of these rules or filters is not complied with, this result will be recorded, notified to the parties and to abort the IAAA procedure (605). The result of the validation will be directly NEGATIVE.
Si se pasan los criterios personales de validación para el usuario, a continuación se compara la petición recibida con lo que se considera un perfil consistente para el IP (606). Es decir, se aplican los criterios generales de validación de la operadora para cualquier petición. Si no se cumplen estos criterios y la similitud con el perfil deseado está por debajo de un umbral, se procederá a registrar este resultado, notificarlo a las partes y a abortar el procedimiento IAAA (605). El resultado de la validación será directamente NEGATIVO.If the personal validation criteria are passed for the user, then the request received is compared with what is considered a consistent profile for the IP (606). That is, the general validation criteria of the operator are applied for any request. If these criteria are not met and the similarity with the desired profile is below a threshold, this result will be recorded, notified to the parties and abort the IAAA procedure (605). The result of the validation will be directly NEGATIVE.
Si se pasan estos criterios, se procede a comparar la petición recibida con perfil habitual para el EU, P (607). Si la similitud con este perfil habitual está por debajo de un umbral, se procederá a incrementar el nivel de seguridad del posterior procedimiento de autenticación/autorización (608) y a registrar este resultado, notificarlo a las partes y a continuar el procedimiento IAAA (609). El resultado de la validación será NO CONCLUYENTE. Si por el contrario está por encima de este umbral, se procederá a registrar este resultado, notificarlo a las partes y a continuar el procedimiento IAAA (610) tal y como se había solicitado desde el principio (sin modificar el LoA). El resultado de la validación será POSITIVO.If these criteria are passed, the request received is compared with the usual profile for the EU, P (607). If the similarity with this usual profile is below a threshold, the security level of the subsequent authentication / authorization procedure (608) will be increased and this result recorded, notified to the parties and the IAAA procedure continued (609). The result of the validation will be NON-CONCLUDING. If, on the contrary, it is above this threshold, this result will be recorded, notified to the parties and to continue the IAAA procedure (610) as requested from the beginning (without modifying the LoA). The result of the validation will be POSITIVE.
Un ejemplo de realización como sistema (70) se ilustra en la figura 7. En los diferentes bloques funcionales se ilustran posibles módulos de implementación.An exemplary embodiment as a system (70) is illustrated in Figure 7. Possible implementation modules are illustrated in the different functional blocks.
En particular, se puede observar un medio de recepción (71) que recibe, desde un proveedor de servicios (RP) una petición de autenticación/autorización realizada a través de un dispositivo (D) que puede ser por ejemplo un ordenador de sobremesa, una tableta o un portátil y la incluye en un registro histórico de transacciones. Esto corresponde con el bloque 601 del diagrama de flujo 600.In particular, a reception means (71) can be observed that receives, from a service provider (RP) an authentication / authorization request made through a device (D) which can be for example a desktop computer, a tablet or laptop and includes it in a historical transaction log. This corresponds to block 601 of flow chart 600.
También es necesario un medio de extracción (72) que recupere toda la información que constituye el contexto de la petición (C) y que se va a emplear en la posterior validación. Por lo tanto, el contexto de la propia petición recibida desde el RP, el contexto del EU (por medio de la identidad empleada en su relación con el RP) y las reglas y filtros que este usuario define para que se apliquen sus criterios de validación personal. Esto corresponde con el bloque 602 del diagrama de flujo 600.It is also necessary a means of extraction (72) that retrieves all the information that constitutes the context of the request (C) and that will be used in the subsequent validation. Therefore, the context of the request itself received from the PR, the context of the EU (through the identity used in its relationship with the PR) and the rules and filters that this user defines for their validation criteria to be applied personal. This corresponds to block 602 of flow chart 600.
Por último, el medio de comprobación (73) recibe la petición de autorización/autenticación y su contexto C y procede a evaluarlos (bloques del 603 enFinally, the means of verification (73) receives the authorization / authentication request and its context C and proceeds to evaluate them (blocks of 603 in
adelante para el diagrama de flujo 600). Este medio es capaz de generar un perfil habitual de comportamiento (P) para el usuario a partir de la información almacenada el registro histórico de transacciones. Aplicando a la petición y contexto recibidos las reglas y filtros incluidos en el propio contexto y comparando sus características con 5 este perfil habitual de comportamiento, este medio comprueba si la petición recibida puede seguir adelante, si se debe incrementar su nivel de seguridad (LoA) o si se debe abortar.forward for flow chart 600). This means is capable of generating a habitual behavior profile (P) for the user from the information stored in the historical transaction log. Applying to the request and context received the rules and filters included in the context itself and comparing its characteristics with this usual behavior profile, this means checks if the request received can proceed, if its level of security (LoA) must be increased or if it should be aborted.
Claims (11)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ES201531491A ES2609836B2 (en) | 2015-10-15 | 2015-10-15 | Procedure and system for the validation of a request for authentication / authorization of a user |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ES201531491A ES2609836B2 (en) | 2015-10-15 | 2015-10-15 | Procedure and system for the validation of a request for authentication / authorization of a user |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| ES2609836A1 ES2609836A1 (en) | 2017-04-24 |
| ES2609836B2 true ES2609836B2 (en) | 2018-08-16 |
Family
ID=58546316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES201531491A Active ES2609836B2 (en) | 2015-10-15 | 2015-10-15 | Procedure and system for the validation of a request for authentication / authorization of a user |
Country Status (1)
| Country | Link |
|---|---|
| ES (1) | ES2609836B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914636B2 (en) * | 2011-06-28 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
-
2015
- 2015-10-15 ES ES201531491A patent/ES2609836B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| ES2609836A1 (en) | 2017-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068575B2 (en) | Authentication system | |
| TWI737001B (en) | Identity verification method and system | |
| ES2820554T3 (en) | Method and apparatus for authenticating a user, method and apparatus for registering a wearable device | |
| EP3756125B1 (en) | Systems and methods for managing digital identities associated with users | |
| ES2951585T3 (en) | Transaction authentication using a mobile device identifier | |
| US11003760B2 (en) | User account recovery techniques using secret sharing scheme with trusted referee | |
| EP3100171B1 (en) | Client authentication using social relationship data | |
| ES2373489T3 (en) | PROCEDURE AND SYSTEM TO AUTHENTICATE A USER THROUGH A MOBILE DEVICE. | |
| US20190050551A1 (en) | Systems and methods for authenticating users | |
| US11317282B2 (en) | Intelligent method for sim-swap fraud detection and prevention | |
| US20170109751A1 (en) | System and method for carrying strong authentication events over different channels | |
| WO2019153461A1 (en) | Identity information changing method and apparatus, terminal device, and storage medium | |
| US10027770B2 (en) | Expected location-based access control | |
| CN109784031B (en) | Account identity verification processing method and device | |
| ES2648117T3 (en) | System and method to communicate credentials | |
| US10938814B2 (en) | Unified authentication software development kit | |
| CN112398799A (en) | Single sign-on method, device and system | |
| US11601807B2 (en) | Mobile device authentication using different channels | |
| US20230300621A1 (en) | Subscriber Identification Module (SIM) Authentication Protections | |
| ES2609836B2 (en) | Procedure and system for the validation of a request for authentication / authorization of a user | |
| EP3217593A1 (en) | Two-factor authentication method for increasing the security of transactions between a user and a transaction point or system | |
| ES2634332B1 (en) | Digital witness: Devices for the secure management of electronic evidence with binding credentials | |
| WO2015184809A1 (en) | Method, mobile terminal, service provider device and system for mobile terminal payment transaction | |
| US20230196349A1 (en) | Multi-Factor User Authentication | |
| US20230196376A1 (en) | Multi-Factor User Authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG2A | Definitive protection |
Ref document number: 2609836 Country of ref document: ES Kind code of ref document: B2 Effective date: 20180816 |