ES2614164T3 - Objeto de relé de túnel de control de acceso de identidad múltiple - Google Patents
Objeto de relé de túnel de control de acceso de identidad múltiple Download PDFInfo
- Publication number
- ES2614164T3 ES2614164T3 ES10818010.0T ES10818010T ES2614164T3 ES 2614164 T3 ES2614164 T3 ES 2614164T3 ES 10818010 T ES10818010 T ES 10818010T ES 2614164 T3 ES2614164 T3 ES 2614164T3
- Authority
- ES
- Spain
- Prior art keywords
- client device
- identities
- server
- remote server
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un método para establecer un túnel seguro entre un dispositivo cliente (14) y un servidor remoto (18) utilizando múltiples identidades (74) para autentificar el acceso al servidor remoto (18), comprendiendo dicho método: ejecutar un programa de relé (66) en el servidor remoto (18) y descargar un programa conector (70) desde el servidor remoto (18) hasta el dispositivo cliente (14) al ejecutar el programa de relé (66); escanear el dispositivo cliente (14) para uno o más dispositivos de autentificación (74) de los que al menos uno está conectado de manera que se puede retirar y/o está integrado de manera fija al dispositivo cliente (14), mediante la ejecución del programa conector (70), habiendo almacenado cada dispositivo de autentificación (74) allí una o más identidades; seleccionar múltiples identidades desde las identidades almacenadas en uno o más dispositivos de autentificación (74), pasar las identidades seleccionadas al servidor remoto (18) y validar las identidades pasadas mediante una autentificación pregunta-respuesta llevada a cabo por el programa de relé (66); establecer un canal de comunicaciones de alto nivel de seguridad (34) y gestionar una sesión de proxy cifrada entre un proxy (78) del lado del servidor remoto, corroborado mediante la ejecución del relé, y un proxy (82) del lado del cliente, corroborado mediante la ejecución del programa conector (70), y proporcionar acceso por el dispositivo cliente (14) a un primer objeto contenido en el servidor mediante la sesión de proxy cifrada (78) sobre el canal de comunicaciones de alto nivel de seguridad (34).
Description
5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Objeto de rele de tunel de control de acceso de identidad multiple Campo
Las presentes ensenanzas se refieren a comunicaciones seguras en Internet.
Antecedentes
Las afirmaciones en esta seccion proporcionan simplemente informacion de contexto relacionada con la presente divulgacion y no pueden constituir la tecnica anterior. Normalmente, los sistemas de control de acceso basado en roles actuales (RBAC) utilizan mecanismos de tunelizacion basados en capa de puertos seguros (SSL) para autentificar una unica identidad. Generalmente, esta identidad se autoriza para llevar a cabo un cierto conjunto de acciones sobre un sistema definido para el cual se asocian los roles a esa identidad. Tal tunelizacion SSL y autentificacion de identidad unica ofrece solo una unica capa de cifrado y es inadecuada para ciertas tareas y/o conjuntos de acciones en las que es importante un nivel superior de seguridad.
Diversos documentos de la tecnica anterior, tal como el documento US 2002/0199007 y US 2007/0300057 describen la configuracion y el proceso de autentificacion para la comunicacion segura sobre una red. Estos dos documentos se centran en reubicar lo que antes era un software cliente sobre un servidor, que evita la necesidad de una instalacion personalizada en un dispositivo cliente. En el documento US 2002/0199007 el software cliente se distribuye a los usuarios, segun sea necesario, cuando acceden a una red privada virtual y/o hacen uso de la comunicacion de datos de proxy. El documento US 2007/0300057 esta relacionado con la autorizacion basada en servidor de usuarios de una aplicacion basada en la web a traves de un dispositivo o autentificador de confianza de cliente.
El documento EP 1.349.032 y el documento US 2009/0193514 describen mejoras en los metodos de autentificacion de usuario. El documento 1.349.032 emplea un par de claves de autentificacion, que se adhieren a una tarjeta inteligente y a un lector en el establecimiento de un canal de comunicacion seguro sobre una red. El documento US 2009/0193514 describe la permision de acceso a un dispositivo informatico, particularmente un dispositivo movil, mediante la seleccion de una pluralidad de autentificadores desde su memoria.
Sumario
Generalmente, la presente divulgacion proporciona un sistema y un metodo para establecer un tunel seguro entre un dispositivo cliente y un servidor remoto que utiliza multiples identidades de usuario, y en algunas realizaciones, una identidad de dispositivo de cliente, para autentificar el acceso al servidor.
Mas especificamente, la presente invencion proporciona un metodo para establecer un tunel seguro entre un dispositivo cliente y un servidor remoto que utiliza multiples identidades para autentificar el acceso al servidor remoto, comprendiendo dicho metodo:
ejecutar un programa de rele en un servidor remoto y descargar un programa conector desde el servidor remoto hasta el dispositivo cliente al ejecutar el programa de rele;
escanear el dispositivo cliente para uno o mas dispositivos de autenticacion que al menos uno se conecta de manera que se puede retirar a y se fija integrado al dispositivo cliente, mediante la ejecucion del programa conector, habiendo almacenado cada dispositivo de autenticacion en el una o mas identidades; seleccionar multiples identidades desde las identidades almacenadas en el uno o mas dispositivos de autenticacion, pasar las identidades seleccionadas al servidor remoto, y validar las identidades pasadas, mediante una autenticacion de pregunta-respuesta llevada a cabo por el programa de rele;
establecer un canal de comunicaciones de alto nivel de seguridad y gestionar una sesion de proxy cifrada entre un proxy del lado del servidor remoto, corroborada mediante la ejecucion del rele, y un proxy del lado del cliente, corroborado mediante la ejecucion del programa conector, y
proporcionar acceso por el dispositivo cliente a un primer objeto contenido en el servidor mediante una sesion de proxy cifrada sobre el canal de comunicaciones de alto nivel de seguridad.
Se haran evidentes las areas de aplicabilidad adicionales de las presentes ensenanzas a partir de la descripcion proporcionada en el presente documento. Deberia entenderse que la descripcion y los ejemplos especificos sirven para fines de ilustracion solo y no se dirigen a limitar el ambito de las presentes ensenanzas.
Dibujos
Los dibujos descritos en el presente documento son para fines ilustrativos solo y no se dirigen a limitar el ambito de las presentes ensenanzas de ninguna manera,
5
10
15
20
25
30
35
40
45
50
55
60
65
La figura 1 es un diagrama de bloques de un sistema a modo de ejemplo para establecer un tunel seguro entre un dispositivo cliente y un servidor remoto utilizando multiples identidades de usuario, de acuerdo con diversas realizaciones de la presente divulgacion.
La figura 2 es un diagrama de bloques que ilustra diversos componentes del dispositivo cliente y del servidor remoto mostrado en la figura 1, de acuerdo con diversas realizaciones de la presente divulgacion.
La figura 3 es un diagrama de flujo a modo de ejemplo de un metodo, implementable mediante el sistema mostrado en la figura 1, para establecer un tunel seguro entre un dispositivo cliente y el servidor remoto utilizando multiples identidades de usuario, de acuerdo con diversas realizaciones de la presente divulgacion.
Las referencias numericas correspondientes indican las partes correspondientes a lo largo de varias vistas de los dibujos.
Descripcion detallada
La siguiente descripcion es meramente a modo de ejemplo en naturaleza y de ninguna manera se dirige a limitar las presentes ensenanzas, aplicacion, o usos. A lo largo de esta memoria descriptiva, se usaran referencias numericas similares para referirse a elementos similares.
La figura 1 es un diagrama de bloques de un sistema o red 10 informatico a modo de ejemplo, tal como una Red de Area Local (LAN) o Red de Area Extendida (WAN), para establecer un tunel seguro entre al menos un dispositivo cliente 14 y un servidor remoto 18 utilizando multiples identidades de usuario, y en algunas realizaciones, una identidad de dispositivo cliente, para autenticar el acceso al servidor 18. En diversas realizaciones, el sistema puede incluir al menos un dispositivo cliente 14 que se estructura para estar conectable operativamente con el servidor remoto 18, a traves de un router 22 de comunicacion, por ejemplo, Internet, para comunicar datos entre el dispositivo cliente 14 y el servidor 18.
Aunque el sistema 10 puede incluir una pluralidad de dispositivos clientes 14 operativamente conectables al servidor 18, para simplicidad y claridad, el sistema 10 se describira en el presente documento con referencia a un unico dispositivo cliente 14. Sin embargo, deberia entenderse que las disposiciones de la presente divulgacion son igualmente aplicables a las realizaciones que incluyen una pluralidad de dispositivos cliente 14, configurado cada uno para operar sustancialmente igual que el dispositivo cliente 14 descrito a continuacion, y tales realizaciones permanecen dentro del ambito de la presente divulgacion.
Como se describe adicionalmente a continuacion, el sistema 10 es operable de tal manera que el dispositivo cliente 14 y el servidor remoto 18 se comunican entre si a traves de un primer canal de comunicaciones inseguro 26 y un segundo canal de comunicaciones de bajo nivel de seguridad 30 para establecer un tercer canal de comunicaciones de alto nivel de seguridad 34 sobre el cual pueden pasar los datos cifrados.
En referencia ahora a la figura 2, en diversas implementaciones, el dispositivo cliente 14 puede ser un ordenador que incluye un procesador 38 adecuado para ejecutar todas las funciones y programas del dispositivo cliente 14. El dispositivo cliente 14 adicionalmente puede incluir al menos un dispositivo de almacenamiento 42 electronico que comprende un medio legible informatico, tal como un disco duro o cualquier otro dispositivo de almacenamiento de datos electronico para almacenar tales cosas como paquetes o programas de software, algoritmos e informacion digital, datos, tablas de busqueda, hojas de calculo y bases de datos electronicas, etc. El dispositivo cliente 14 puede incluir ademas una pantalla 46 para mostrar tales cosas como informacion, datos y/o representaciones graficas, y una pluralidad de dispositivos 50 de interfaz de usuario, por ejemplo, un primer dispositivo de interfaz de usuario y un segundo dispositivo de interfaz de usuario. Cada dispositivo de interfaz de usuario 50 puede ser cualquier dispositivo de interfaz de usuario adecuado tal como un teclado, raton, boligrafo, microfono, escaner y/o una pantalla tactil en la pantalla, y el dispositivo cliente 14 puede incluir cualquier combinacion de dos o mas de los dispositivos de interfaz de usuario 50.
En diversas realizaciones, el dispositivo cliente 14 puede aun incluir adicionalmente un lector de medios 54 retirable desde el que leer la informacion y los datos, y/o en el que escribir informacion y datos, medios de almacenamiento electronico retirables tales como disquetes, discos compactos, discos DVD, discos zip, o cualquier otro medio de almacenamiento electronico portatil y retirable legible por un ordenador. Alternativamente, el lector de medios retirable puede ser un puerto I/O utilizado para comunicarse con dispositivos de memoria externa o periferica tales como dispositivos de memoria, pinchos/tarjetas de memoria o discos duros externos. Aun adicionalmente, el dispositivo cliente 14 puede incluir un dispositivo de interfaz de router 58, tal como un modem de marcacion, un modem por cable, una comunicacion por satelite, una conexion DSL (Digital Subscriber Line), un puerto Ethernet, o similares.
Las realizaciones alternativas del dispositivo cliente 14 pueden incluir cualquier dispositivo electrico o electronico capaz de comunicarse con el servidor remoto 18 a traves del router de comunicaciones 22, tal como un asistente digital personal (PDA), telefono movil, un telefono que opera con un sistema de voz interactivo, o una television que opera con un cable o un sistema interactivo de television por satelite.
5
10
15
20
25
30
35
40
45
50
55
60
65
De manera similar, en diversas realizaciones, el servidor remoto 18 puede ser un ordenador que incluye un procesador 40 adecuado para ejecutar todas las funciones y programas del servidor remoto 18. El servidor remoto 18 puede incluir adicionalmente al menos un dispositivo de almacenamiento 44, por ejemplo, un dispositivo de almacenamiento masivo, que comprende un medio legible por ordenador, tal como un disco duro o cualquier otro dispositivo de almacenamiento de datos electronico para almacenar tales cosas como paquetes o programas de software, algoritmos e informacion digital, datos, tablas de busqueda, hojas de calculo electronicas y, particularmente al menos una base de datos 48. Asimismo, en diversas realizaciones, el servidor remoto 18 aun incluye adicionalmente un dispositivo 60 de interfaz de router, tal como un modem por cable, una conexion por satelite, una conexion DSL (Digital Suscriber Line), un puerto Ethernet, o similares.
Aunque, como se describio anteriormente, en diversas realizaciones, el sistema 10 puede ser una red informatica, tal como una LAN o una WAN, para simplicidad y claridad, el sistema se describira a continuacion con respecto a diversas realizaciones WAN. Sin embargo, debe entenderse que las disposiciones de la presente divulgacion se aplican igualmente a cualquier otra red informatica donde se desea la comunicacion segura entre el dispositivo cliente 14 y el servidor 18, y que tales realizaciones permanecen dentro del ambito de la presente divulgacion.
En diversas realizaciones, el procesador 38 del dispositivo cliente es capaz de ejecutar un programa de interfaz de router 62, tal como un programa de navegador web y en adelante referido alternativamente como el navegador web, para comunicarse con el servidor 18, un servidor web a modo de ejemplo y alternativamente denominado en el presente documento como el servidor web 18, a traves del router 22 de comunicaciones, Internet a modo de ejemplo y alternativamente denominado en el presente documento como Internet 22. Generalmente, en tales realizaciones, un usuario puede interactuar con el dispositivo cliente 14 viendo datos, a traves de la pantalla 46, e introducir datos, a traves de los dispositivos de interfaz de usuario 50. El navegador web 62 permite al usuario introducir direcciones, a las que se hace referencia como Localizadores de Recursos Uniformes, o URLs, u objetos contenidos de servidor web especificos para recuperar o acceder, por ejemplo, a una pagina web o base de datos remota. Los objetos contenidos de servidor web pueden contener diversos tipos de contenido desde informacion en texto sin formato hasta contenido multimedia e interactivo mas complejo, tal como programas software, graficos, senales de audio, videos, y demas.
En tales realizaciones, en las que el objeto contenido en el servidor comprende una pagina web, una configuracion de paginas web interconectadas, que incluye normalmente una pagina de inicio, que se gestiona sobre el servidor web 18 como una recopilacion se denomina de manera colectiva como la pagina web. El contenido y la operation de tales paginas web se gestionan mediante el servidor web 18. Mas particularmente, como se describe a continuacion, el servidor web 18 ejecuta e implementa un programa de rele 66 para establecer el tercer canal de comunicaciones de alto nivel de seguridad 34 entre el dispositivo cliente 14 y el servidor web 18, proporcionando asi comunicaciones seguras entre el dispositivo cliente 14 y el servidor web 18.
El primer canal de comunicaciones inseguro 26 puede implementar cualquier protocolo de comunicaciones, tal como el Protocolo de Transferencia de Hipertexto (HTTP) para comunicar datos entre el dispositivo cliente 14 y el servidor web 18. Adicionalmente, como se describio anteriormente, el router 22 de comunicaciones puede ser cualquier red de intercambio de datos que implementa un protocolo de comunicaciones adecuado respectivo, tal como FTP (Protocolo de Transferencia de Archivo), TELNET (Red de Teletipo), y similares para comunicar sobre el generalmente primer canal de comunicaciones 26.
En referencia ahora a las figuras 1, 2 y 3, la operacion del sistema 10 para establecer un tunel seguro entre el dispositivo cliente 14 y el servidor remoto 18 utilizando multiples identidades se describira ahora, de acuerdo con diversas realizaciones. Inicialmente, un usuario ejecutara el programa 62 de interfaz de router en el dispositivo cliente 14, por ejemplo, un programa de navegador web, mediante uno o mas de los dispositivos de interfaz de usuario 50. A continuacion, usando uno o mas de los dispositivos de interfaz de usuario 50, el usuario establecera el primer canal de comunicaciones generalmente inseguro 26 con el servidor remoto 18. Por ejemplo, el usuario introducira la URL del servidor 18 en la linea de direction de un navegador web 62. En respuesta, el servidor 18 inicia la ejecucion del programa de rele 66 y vuelve a la pagina de inicio de la pagina web anfitriona dirigida por la URL, en la que la pagina de inicio incluye un "Boton de Inicio de Sesion". El usuario seguidamente selecciona el "Boton de Inicio de Sesion" en el punto en el que la pagina web anfitriona puede o no solicitar al usuario introducir la informacion de inicio de sesion tal como un nombre de usuario y una contrasena, como se indico en 104 del diagrama de flujo 100 ilustrado en la figura 3. Posteriormente, el programa de rele 66 descargara un programa conector 70, por ejemplo, mediante JAVA Webstart, en el dispositivo cliente 14 e indicara al dispositivo cliente 14 que ejecute el programa conector 70, como se indico en 108.
Al ejecutar el programa conector 70, el segundo canal de comunicaciones de bajo nivel de seguridad 30, es decir, un canal SSL, se establece entre el programa conector 70 del lado del cliente y el programa de rele 66 del lado del servidor.
Posteriormente, la ejecucion del programa conector 70 proporciona una interfaz de usuario grafica (GUI) sobre la pantalla 46 del dispositivo cliente y escanea el dispositivo cliente en busca de dispositivos de autentificacion 74 conectados o integrados, como se indico en 112 y 114. En diversas realizaciones, los dispositivos de autentificacion
5
10
15
20
25
30
35
40
45
50
55
60
65
74 pueden incluir cualquier dispositivo de almacenamiento que se pueda conectar a un puerto I/O de datos, por ejemplo, un puerto USB, un puerto en serie, etc., o leer mediante un lector de medios de dispositivo de cliente, o conectarse a la placa base del dispositivo cliente 14. Por ejemplo, los dispositivos de autentificacion 74 pueden incluir, dispositivos de memoria, pinchos/tarjetas de memoria, discos duros externos, disquetes, discos compactos, discos DVD, discos zip, telefonos moviles, cualquier otro medio de almacenamiento electronico portatil, o modulos de plataforma de confiable (TPM) conectados sobre la placa base del dispositivo cliente, o un dispositivo de entrada de datos periferico, tal como un lector de huellas dactilares. Se puede conectar uno o mas dispositivos de autentificacion 74 a uno o mas puertos I/O del dispositivo cliente y/o integrar la placa base del dispositivo cliente.
Cada dispositivo de autentificacion 74 tiene almacenado en si mismo una o mas identidades de usuario, o en diversas realizaciones, datos de identidad de lectura y entrada tales como huellas dactilares. Las identidades de usuario proporcionan tales cosas como credenciales, derechos o niveles de autentificacion de usuario, y comprenden tales cosas como secuencias de autentificacion alfanumericas o numericas, o certificados de seguridad. Generalmente, como se describe a continuacion, se usan diversas combinaciones de identidades almacenadas en los dispositivos de autentificacion 74 para identificar y autentificar el dispositivo cliente 14 y/o determinar a que tipo de privilegios del usuario del dispositivo cliente 14 se deberian permitir acceder en el objeto contenido en el servidor, por ejemplo, una pagina web ejecutandose en un servidor 18.
Se presenta entonces una lista de dispositivos de autentificacion 74 disponibles que se encuentran presentes y una lista de diversas identidades almacenadas en la misma o la entrada de datos correspondiente necesaria, por ejemplo, datos de huella dactilar, dentro de la interfaz de usuario grafica en la pantalla 46 del dispositivo cliente, como se indico en 120 y 124. En diversas realizaciones, puede que se requiera adicionalmente un nombre de usuario y una contrasena para acceder a la lista de identidades en uno o mas dispositivos de autentificacion 74 presentes.
Como se describe a continuacion, en diversas realizaciones, uno de los dispositivos de autentificacion puede comprender un modulo de plataforma confiable (TPM) dispuesto dentro del dispositivo cliente 14, en el que el sistema y los metodos descritos en el presente documento pueden aprovechar el TPM en el dispositivo cliente 14 de tal manera que no solo se puede identificar al usuario mediante diversos dispositivos de autentificacion 14, sino tambien de tal manera que el dispositivo cliente 14 puede identificarse y autentificarse. Asi, el dispositivo cliente 14 puede ser un sistema informatico en cuarentena que se autentifica particularmente para su uso para acceder al objeto contenido en el servidor solicitado, por ejemplo, una pagina web. Por lo tanto, en diversas realizaciones, la identificacion y la autentificacion del dispositivo cliente 14 pueden requerirse en combinacion con una o mas de las identidades del usuario para acceder al objeto contenido en el servidor solicitado.
Seguidamente, basandose en el objeto contenido en el servidor solicitado, el usuario selecciona una o mas identidades desde las que aparecen en la lista que son necesarias para obtener acceso al objeto contenido en el servidor solicitado, como se indico en 128. Las identidades seleccionadas pasan seguidamente al servidor 18, a traves del segundo canal de comunicaciones de bajo nivel de seguridad 30, donde se interpretan y se verifican, es decir, se validan, por el programa de rele 66, a traves de una autentificacion de pregunta-respuesta, como se indico en 132.
Al validar las identidades seleccionadas, el programa de rele 66 gestiona entonces una sesion de proxy cifrada entre el servidor 18 y el dispositivo cliente 14, como se indico en 136. Particularmente, el programa de rele 66 corrobora un proxy 78 del lado del servidor y se comunica con el programa conector 70 del dispositivo cliente, a traves del segundo canal de comunicacion 30, por el que el programa conector 70 corrobora un proxy 82 del lado del cliente. Una vez que se ha establecido el proxy 82 del lado del cliente, el programa de rele 66 establece el tercer canal de comunicaciones de alto nivel de seguridad 34 y la sesion de proxy cifrada entre el proxy 82 del lado del cliente y el proxy 78 del lado del servidor a traves del tercer canal de comunicaciones de alto nivel de seguridad 34.
Por lo tanto, se puede aplicar una configuracion de reglas de control de acceso en multiples niveles a cualquier objeto contenido en el servidor basado en varias configuraciones de identidades por dispositivo de autentificacion 74. Las identidades dentro de cada dispositivo de autentificacion 74 no solo determinan el usuario que sera un usuario autorizado, sino que puede tambien identificar el dispositivo cliente 14 actual que se esta usando para un acceso autorizado de mayor seguridad. Identificando el dispositivo cliente 14 que se esta utilizando para acceder con autorizacion a un estado de cuarentena se puede implementar desde el lado del servidor, asegurando adicionalmente la seguridad de la sesion de proxy cifrada establecida en ultima instancia.
Una vez que la sesion de proxy cifrada sobre el tercer canal 34 de comunicaciones se establece, la interfaz 58 del router del dispositivo cliente, por ejemplo, un navegador web, se conecta a un cargador de cookies del programa conector 70 y almacena un identificador de sesion para la sesion de proxy cifrada en memoria de acceso aleatorio del dispositivo cliente 14, como se indico en 140. El cargador de cookies adicionalmente redirige la interfaz 62 del router cliente a traves del proxy 82 del lado del cliente de tal manera que todo el contenido protegido pasa entre el servidor 18 y el dispositivo cliente 14 a traves de la sesion de proxy cifrada sobre el tercer canal 34 de comunicaciones, como se indico en 144 y 148.
5
10
15
20
25
30
35
40
45
50
55
60
65
En diversas realizaciones, el objeto contenido en el servidor puede incluir un programa de seguimiento que se ejecuta una vez que se establece la sesion de proxy cifrada sobre el tercer canal 34 de comunicaciones como se describio anteriormente, como se indico en 152. El programa de seguimiento rastrea y mantiene la validez de la sesion de proxy cifrada.
Ademas, la sesion de proxy cifrada puede finalizar de diversas maneras desde tanto el lado del cliente o del lado del servidor, como se indico en 156. Por ejemplo, la sesion de proxy cifrada se puede finalizar por el usuario al cerrar sesion o al cerrar el programa 62 de interfaz del router cliente. O, la sesion de proxy cifrada puede destruirse por el programa 62 del router del lado del cliente, informando al programa conector 70 de comportamiento malicioso o el objeto contenido del servidor del lado del servidor informando al rele 66 de comportamiento malicioso. Por ejemplo, la sesion se puede destruir despues de que transcurra un tiempo de espera predeterminado, o si el usuario intenta acceder a la informacion o a un objeto contenido en el servidor para el cual el usuario no tiene las identidades adecuadas. Al finalizar la sesion de proxy cifrada, de cualquier manera, el tercer canal de comunicaciones de alto nivel de seguridad 34 se destruye.
Alternativamente, la sesion de proxy cifrada puede finalizarse y el tercer canal de comunicaciones de alto nivel de seguridad 34 destruirse eliminando el(los) dispositivo(s) de autentificacion 74 desde el dispositivo cliente 14.
En diversas realizaciones, una vez que el usuario ha establecido una sesion de proxy cifrada y el tercer canal de comunicaciones de alto nivel de seguridad 34, y obtenido acceso a un objeto contenido en el servidor primario, el usuario puede desear acceder a un objeto contenido en el servidor secundario o a informacion particular dentro del objeto accedido actualmente. En tales casos, pueden requerirse identidades adicionales. Tales identidades adicionales pueden requerirse desde los usuarios originales seleccionando identidades adicionales desde los dispositivos de autentificacion 74 ya ubicadas por el programa conector 70, en cuyo caso el usuario podria simplemente seleccionar la identidad o identidades adicionales desde la lista mostrada previamente.
O, en otras realizaciones, las identidades adicionales pueden almacenarse en un dispositivo de autentificacion 74 secundario, es decir, un segundo, un tercero, un cuarto, etc., dispositivo de autentificacion 74. En tales casos, el acceso al objeto contenido en el servidor secundario o informacion solicitada puede requerir que el dispositivo de autentificacion 74 secundario este conectado al dispositivo cliente 14, en cuyo punto, el programa conector 70 podria ubicar el dispositivo de autentificacion 74 secundario y la lista de identidades almacenadas en el mismo. El usuario podria entonces seleccionar las identidades necesarias desde la lista secundaria de identidades para obtener acceso al objeto contenido en el servidor o informacion secundaria.
En diversas otras realizaciones, puede anadirse un nivel adicional de seguridad imponiendo una "Regla en Pareja" para obtener acceso al objeto contenido en el servidor primario, o a un objeto contenido en el servidor o informacion secundaria. En tales realizaciones, el dispositivo de autentificacion 74 secundario y las correspondientes identidades requeridas pueden ser accesibles solo por un segundo usuario, es decir, alguien diferente al primer usuario que originalmente inicio la sesion de proxy cifrada como se describio anteriormente. Tales realizaciones requeririan que el segundo usuario este presente para conectar el(los) dispositivo(s) de autentificacion 74 secundario(s) al dispositivo cliente 14, ademas de cualquier dispositivo de autentificacion 74 conectado actualmente proporcionado por el primer usuario, e introducir un nombre de usuario y/o una contrasena solo conocida por el segundo usuario para obtener acceso a una lista de las identidades almacenadas en el(los) dispositivo(s) de autentificacion 74 secundario(s). Una o mas identidades desde el(los) segundo(s) dispositivo(s) secundario(s) del usuario 74 podria entonces seleccionarse y autentificarse mediante el programa de rele 66 del lado del servidor para obtener acceso al objeto contenido en el servidor o informacion solicitada.
Por ejemplo, si un primer usuario ha proporcionado las identidades apropiadas para establecer la sesion de proxy cifrada y el correspondiente tercer canal de comunicaciones de alto nivel de seguridad 34, y obtenido acceso al objeto contenido en el servidor solicitado, por ejemplo, una cuenta bancaria conjunta. El primer usuario debe tener acceso solo a ciertos privilegios dentro de una tal cuenta bancaria. Por ejemplo, el primer usuario puede estar limitado en la cantidad de dinero que puede transferir desde la cuenta. Transferir dinero en una cantidad superior a este limite puede requerir la implementacion de una "Regla en Pareja". En tales casos, se podria requerir a un segundo usuario proporcionar uno o mas dispositivos de autentificacion 74 secundarios y las identidades necesarias correspondientes, como se describio en el presente documento, con el fin de transferir la mayor suma de dinero.
Alternativamente, en diversas otras realizaciones, la "Regla en Pareja" puede requerir que el segundo usuario use un segundo dispositivo cliente 14 para establecer una segunda sesion de proxy cifrada y el correspondiente segundo tercer canal de comunicaciones de alto nivel de seguridad 34 entre el servidor 18 y el segundo dispositivo cliente 14, de la misma manera que la sesion de proxy cifrada primaria y el correspondiente tercer canal de comunicaciones de alto nivel de seguridad 34 descritos anteriormente. En tales realizaciones, se puede requerir que el segundo usuario proporcione el(los) dispositivo(s) de autentificacion 74 secundario(s) adecuado(s) y las identidades con el fin de que el primer usuario (y el segundo usuario) accedan al objeto contenido en el servidor o informacion solicitada.
Adicionalmente, en diversas realizaciones, la "Regla en Pareja" puede implementarse de tal manera que se requiera que un tercer, cuarto, quinto, etc., usuario proporcione el correspondiente tercer, cuarto, quinto, etc., dispositivo de
5
10
15
20
25
30
35
40
45
50
55
autentificacion 74 y las identidades para acceder al objeto contenido en el servidor o informacion solicitada, de la misma manera en la que se describio anteriormente con respecto a un segundo usuario y a el(los) dispositivo(s) de autentificacion 74 secundario(s).
De manera similar, una vez que el acceso al objeto contenido en el servidor o informacion se ha establecido, como se describio anteriormente, el acceso a otro objeto contenido en el servidor y otra informacion puede no requerir los multiples dispositivos de autentificacion y/o las multiples identidades. En tal caso, los dispositivos de autentificacion 74 no necesarios y/o las multiples identidades se pueden eliminar o finalizar.
En diversas otras realizaciones, el programa de rele 66 puede instalarse sobre una pluralidad de servidores remotos 18 con el fin de ofrecer acceso a la pluralidad de diferentes servidores 18. En tales realizaciones, un servidor 18 y el correspondiente programa de rele 66 actuarian como un "servidor concentrador" y un programa de rele 66 con los que los otros servidores 18 y los programas de rele 66 se comunican de vuelta. El "servidor concentrador" y el correspondiente programa de rele 66 se comunicaria entonces con el dispositivo cliente 14 a traves de la sesion de proxy cifrada y el tercer canal de comunicaciones de alto nivel de seguridad 34 establecidos entre el dispositivo cliente 14 y el "servidor concentrador" 18, como se describio anteriormente. Adicionalmente, en diversas implementaciones, un tercer canal de comunicaciones de alto nivel de seguridad 34 se puede establecer entre el "servidor concentrador" 18 y uno o mas otros servidores remotos 18 de la misma manera en la que se describio anteriormente.
Por lo tanto, el protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento ofrece seguridad mejorada a los sistemas de informacion computarizados de varias maneras. Puede ser un reemplazo directo para mecanismos de tunelizacion basados en SSL exclusivamente. El protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento ofrece el beneficio de identidad basada en una autentificacion basada en pregunta y respuesta y una capa adicional de cifrado. Ademas de estos nuevos beneficios, el protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento ofrece la capacidad para requerir multiples credenciales desde uno o mas usuarios para acceder a conjuntos extendidos de privilegios o documentos secretos u objetos contenidos en un sistema de informacion computarizada de alta seguridad.
El acceso basado en credenciales multiples puede mejorar el nivel de responsabilidad del (de los) usuario(s) y hacer el robo de credenciales mucho mas dificil y, por lo tanto, proteger adicionalmente la integridad del sistema de informacion informatico y sus contenidos y acceso a otros sistemas que estan conectados en la misma red de circuito cerrado. Ademas, el protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento ofrece la capacidad de autentificar el dispositivo cliente 14 que se esta usando para acceder al servidor remoto 18. Una identidad para un dispositivo cliente 14 especifico ofrece una nueva capa de inicio de sesion de acceso y auditoria.
Una serie de requisitos pueden aplicarse a un dispositivo cliente 14 que sera confiable, tal como la ubicacion del dispositivo cliente 14, el tipo de red a la que el dispositivo 14 se conecta, con que frecuencia se inspecciona y mantiene el dispositivo cliente 14, cuantos usuarios diferentes tienen permitido acceder al dispositivo cliente 14, quien tiene permitido acceder al dispositivo cliente 14, asi como que credenciales son necesarios para permitir acceder al servidor remoto 18. Todos estos proporcionan la capacidad de rastrear el acceso y crear pistas de auditoria basadas en fichas de hardware y en criptografia real en oposicion a la autentificacion basada en el secreto (contrasena) y protocolos de baja seguridad tal como SSL y TLS.
Con el protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento, se usan multiples identidades para autentificar una unica sesion. Esto permite escenarios donde una organizacion que ejecuta un servicio seguro (servidor remoto) 18 quiere garantizar que no solo es el usuario del servicio alguien de confianza, sino tambien que el dispositivo cliente 14 que esta accediendo al servicio es de confianza. Tambien, con la utilizacion del protocolo de objeto de rele del tunel de control de acceso de identidad multiple descrito en el presente documento, ciertas operaciones pueden permitirse solo con multiples usuarios presentes y las identidades se pueden anadir y retirar de la sesion en tiempo real, permitiendo una escala flexible de confianza/autentificacion.
La descripcion en el presente documento es simplemente a modo de ejemplo en naturaleza y, por lo tanto, las variaciones que no salen del fundamento de lo que se describe se pretende que esten dentro del ambito de la invention, como se definio en las reivindicaciones.
Claims (14)
- 5101520253035404550556065REIVINDICACIONES1. Un metodo para establecer un tunel seguro entre un dispositivo cliente (14) y un servidor remoto (18) utilizando multiples identidades (74) para autentificar el acceso al servidor remoto (18), comprendiendo dicho metodo:ejecutar un programa de rele (66) en el servidor remoto (18) y descargar un programa conector (70) desde el servidor remoto (18) hasta el dispositivo cliente (14) al ejecutar el programa de rele (66);escanear el dispositivo cliente (14) para uno o mas dispositivos de autentificacion (74) de los que al menos uno esta conectado de manera que se puede retirar y/o esta integrado de manera fija al dispositivo cliente (14), mediante la ejecucion del programa conector (70), habiendo almacenado cada dispositivo de autentificacion (74) alli una o mas identidades;seleccionar multiples identidades desde las identidades almacenadas en uno o mas dispositivos de autentificacion (74), pasar las identidades seleccionadas al servidor remoto (18) y validar las identidades pasadas mediante una autentificacion pregunta-respuesta llevada a cabo por el programa de rele (66);establecer un canal de comunicaciones de alto nivel de seguridad (34) y gestionar una sesion de proxy cifrada entre un proxy (78) del lado del servidor remoto, corroborado mediante la ejecucion del rele, y un proxy (82) del lado del cliente, corroborado mediante la ejecucion del programa conector (70), yproporcionar acceso por el dispositivo cliente (14) a un primer objeto contenido en el servidor mediante la sesion de proxy cifrada (78) sobre el canal de comunicaciones de alto nivel de seguridad (34).
- 2. El metodo de la Reivindicacion 1, en el que ejecutar el programa de rele (66) comprende establecer un primer canal de comunicaciones sustancialmente inseguro (26) entre el dispositivo cliente (14) y el servidor remoto (18), a traves del cual el programa conector (70) se descarga desde el servidor remoto (18) hasta el dispositivo cliente (14).
- 3. El metodo de la Reivindicacion 2 que comprende ademas ejecutar el programa conector (70) en el dispositivo cliente (14) para establecer un segundo canal de comunicaciones de bajo nivel de seguridad (30) entre el programa conector (70) y el programa de rele (66).
- 4. El metodo de la Reivindicacion 3, en el que seleccionar multiples identidades (74) y pasar las identidades seleccionadas al servidor remoto (18) comprende pasar las multiples identidades (74) seleccionadas al servidor remoto (18) a traves del segundo canal de comunicaciones de bajo nivel de seguridad (30).
- 5. El metodo de las Reivindicaciones 1 o 4, en el que seleccionar multiples identidades comprende seleccionar al menos una identidad desde un dispositivo de autentificacion fijo (74) que esta conectado integralmente al dispositivo cliente (14), integrado en el mismo, y seleccionar al menos una identidad desde un dispositivo de autentificacion (74) conectado de manera que se puede retirar que proporciona el usuario y que se puede conectar, de manera que se puede retirar, al dispositivo cliente (14).
- 6. El metodo de la Reivindicacion 5, en el que seleccionar la al menos una identidad desde el dispositivo de autentificacion fijo (74) comprende seleccionar al menos una identidad que identifica al dispositivo cliente.
- 7. El metodo de las Reivindicaciones 1 o 4 que comprende ademas seleccionar identidades adicionales desde uno o mas dispositivos de autentificacion (74) para acceder a un segundo objeto contenido en el servidor o datos particulares dentro del primer objeto contenido en el servidor.
- 8. El metodo de las Reivindicaciones 1 o 4 que comprende ademas conectar de manera que se puede retirar uno o mas dispositivos de autentificacion (74) adicionales al dispositivo cliente (14) para proporcionar identidades requeridas para acceder a un segundo objeto (48) contenido en el servidor o datos particulares dentro del primer objeto (48) contenido en el servidor.
- 9. El metodo de la Reivindicacion 8, que comprende requerir a un segundo usuario proporcionar uno o mas dispositivos de autentificacion (74) adicionales.
- 10. El metodo de la Reivindicacion 1 en el que la etapa de escanear el dispositivo cliente (14) para uno o mas dispositivos de autentificacion (74) implica escanear para un primer dispositivo de autentificacion (74) integralmente conectado al dispositivo cliente, integrado en el mismo, y al menos un segundo dispositivo de autentificacion (74) conectado de manera que se puede retirar al dispositivo cliente, habiendo almacenado alli el primer dispositivo de autentificacion una identidad de dispositivo cliente y habiendo almacenado alli el segundo dispositivo de autentificacion una o mas identidades de usuario; yla etapa de seleccionar multiples identidades implica seleccionar la identidad del dispositivo cliente y al menos una identidad de usuario desde el primer y el segundo dispositivos de autentificacion.
- 11. El metodo de la Reivindicacion 10, en el que ejecutar el programa de rele (66) comprende establecer un primer canal de comunicaciones sustancialmente inseguro (26) entre el dispositivo cliente (14) y el servidor remoto (18), a traves del cual el programa conector (70) se descarga desde el servidor remoto (18) hasta el dispositivo cliente (14).
- 12. El metodo de la Reivindicacion 11, que comprende, ademas:ejecutar el programa conector (70) en el dispositivo cliente (14) para establecer un segundo canal de comunicaciones de bajo nivel de seguridad (30) entre el programa conector (70) y el programa de rele (66); y 5 pasar las identidades (74) seleccionadas al servidor remoto (18) a traves del segundo canal de comunicaciones de bajo nivel de seguridad (30).
- 13. El metodo de la Reivindicacion 10 que comprende ademas seleccionar identidades adicionales desde al menos uno entre el primer y el segundo dispositivos de autentificacion (74) para acceder a un segundo objeto (48)10 contenido en el servidor o datos particulares dentro del primer objeto (48) contenido en el servidor.
- 14. El metodo de la Reivindicacion 1 que comprende ademas conectar de manera que se puede retirar uno o mas dispositivos de autentificacion (74) adicionales al dispositivo cliente (14) para proporcionar identidades requeridas para acceder a un segundo objeto (48) contenido en el servidor o datos particulares dentro del primer objeto (48)15 contenido en el servidor, en donde se requiere que un segundo usuario proporcione uno o mas dispositivos de autentificacion (74) adicionales.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US24414809P | 2009-09-21 | 2009-09-21 | |
US244148P | 2009-09-21 | ||
US886184 | 2010-09-20 | ||
US12/886,184 US8887264B2 (en) | 2009-09-21 | 2010-09-20 | Multi-identity access control tunnel relay object |
PCT/US2010/049611 WO2011035287A2 (en) | 2009-09-21 | 2010-09-21 | Multi-identity access control tunnel relay object |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2614164T3 true ES2614164T3 (es) | 2017-05-29 |
Family
ID=43757786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES10818010.0T Active ES2614164T3 (es) | 2009-09-21 | 2010-09-21 | Objeto de relé de túnel de control de acceso de identidad múltiple |
Country Status (6)
Country | Link |
---|---|
US (1) | US8887264B2 (es) |
EP (1) | EP2481185B1 (es) |
DK (1) | DK2481185T3 (es) |
ES (1) | ES2614164T3 (es) |
HU (1) | HUE031854T2 (es) |
WO (1) | WO2011035287A2 (es) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8671187B1 (en) | 2010-07-27 | 2014-03-11 | Aerohive Networks, Inc. | Client-independent network supervision application |
WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
US20120095919A1 (en) * | 2010-10-15 | 2012-04-19 | Hart Annmarie D | Systems and methods for authenticating aspects of an online transaction using a secure peripheral device having a message display and/or user input |
EP2813092B1 (en) * | 2012-02-07 | 2016-05-25 | Widex A/S | Hearing aid fitting system and a method of fitting a hearing aid system |
US9948626B2 (en) | 2013-03-15 | 2018-04-17 | Aerohive Networks, Inc. | Split authentication network systems and methods |
US9690676B2 (en) | 2013-03-15 | 2017-06-27 | Aerohive Networks, Inc. | Assigning network device subnets to perform network activities using network device information |
EP2860935B1 (en) * | 2013-10-09 | 2019-08-14 | Telefonica Digital España, S.L.U. | A computer implemented method to prevent attacks against authorization systems and computer programs products thereof |
CN103546489B (zh) * | 2013-11-05 | 2017-05-03 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和系统 |
US9152782B2 (en) * | 2013-12-13 | 2015-10-06 | Aerohive Networks, Inc. | Systems and methods for user-based network onboarding |
DE102014204344B4 (de) * | 2014-03-10 | 2020-02-13 | Ecsec Gmbh | Authentifizierungsvorrichtung, Authentifizierungssystem und Authentifizierungsverfahren |
US10257701B2 (en) * | 2014-06-24 | 2019-04-09 | Google Llc | Methods, systems, and media for authenticating a connection between a user device and a streaming media content device |
WO2017028876A1 (en) | 2015-08-14 | 2017-02-23 | Widex A/S | System and method for personalizing a hearing aid |
US10516653B2 (en) | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
US10362015B2 (en) * | 2016-07-14 | 2019-07-23 | Mediatek, Inc. | Method of generating multiple identifications with multi-level security for network-connected devices |
US10951591B1 (en) * | 2016-12-20 | 2021-03-16 | Wells Fargo Bank, N.A. | SSL encryption with reduced bandwidth |
US10587582B2 (en) * | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
JP6751268B2 (ja) * | 2017-06-30 | 2020-09-02 | 京セラドキュメントソリューションズ株式会社 | リモート通信制御システムおよびリモート通信システム |
CN109286485B (zh) * | 2018-10-17 | 2019-10-25 | 西安邮电大学 | 通用可复合的身份代理签密方法 |
CN110198541B (zh) * | 2019-06-03 | 2022-04-12 | 武汉思普崚技术有限公司 | 一种用于网络安全的自适应方法和系统 |
EP4293545A4 (en) * | 2022-04-22 | 2024-06-19 | Samsung Electronics Co., Ltd. | METHOD FOR AUTHENTICATION OF AN ELECTRONIC DEVICE AND ELECTRONIC DEVICE THEREFOR |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7287271B1 (en) * | 1997-04-08 | 2007-10-23 | Visto Corporation | System and method for enabling secure access to services in a computer network |
US7293099B1 (en) * | 1998-09-29 | 2007-11-06 | Sun Microsystems, Inc. | Heterogeneous network file access |
US6895501B1 (en) * | 2000-03-13 | 2005-05-17 | Wrq, Inc. | Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure |
EP2211528B1 (en) * | 2001-04-12 | 2013-07-10 | Research In Motion Limited | A method and a system for pushing an encrypted service book to a mobile user |
US7216173B2 (en) | 2001-06-12 | 2007-05-08 | Varian Medical Systems Technologies, Inc. | Virtual private network software system |
GB0119629D0 (en) | 2001-08-10 | 2001-10-03 | Cryptomathic As | Data certification method and apparatus |
US20030219022A1 (en) | 2002-01-28 | 2003-11-27 | Hughes Electronics | Method and system for utilizing virtual private network (VPN) connections in a performance enhanced network |
EP1349032B1 (en) | 2002-03-18 | 2003-11-19 | Ubs Ag | Secure user authentication over a communication network |
FR2844656B1 (fr) * | 2002-09-18 | 2005-01-28 | France Telecom | Procede de signature electronique, programme et serveur pour la mise en oeuvre du procede |
US7395424B2 (en) * | 2003-07-17 | 2008-07-01 | International Business Machines Corporation | Method and system for stepping up to certificate-based authentication without breaking an existing SSL session |
US20050160161A1 (en) | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
JP4865580B2 (ja) * | 2006-02-23 | 2012-02-01 | キヤノン株式会社 | 情報処理システム、情報機器、マクロ実行方法、及びプログラム |
SI2011301T1 (sl) * | 2006-04-10 | 2011-10-28 | Trust Integration Services B V | Sklop in postopek za varen prenos podatkov |
US8364968B2 (en) | 2006-05-19 | 2013-01-29 | Symantec Corporation | Dynamic web services systems and method for use of personal trusted devices and identity tokens |
JP2009087124A (ja) * | 2007-10-01 | 2009-04-23 | Buffalo Inc | 記憶デバイス及び記憶デバイスアクセス制御方法 |
US8424079B2 (en) | 2008-01-25 | 2013-04-16 | Research In Motion Limited | Method, system and mobile device employing enhanced user authentication |
WO2010022439A1 (en) * | 2008-08-26 | 2010-03-04 | Cinergix Pty Ltd | Modelling of systems |
-
2010
- 2010-09-20 US US12/886,184 patent/US8887264B2/en active Active
- 2010-09-21 HU HUE10818010A patent/HUE031854T2/en unknown
- 2010-09-21 WO PCT/US2010/049611 patent/WO2011035287A2/en active Application Filing
- 2010-09-21 DK DK10818010.0T patent/DK2481185T3/en active
- 2010-09-21 EP EP10818010.0A patent/EP2481185B1/en active Active
- 2010-09-21 ES ES10818010.0T patent/ES2614164T3/es active Active
Also Published As
Publication number | Publication date |
---|---|
EP2481185A4 (en) | 2014-05-07 |
EP2481185B1 (en) | 2016-11-09 |
DK2481185T3 (en) | 2017-02-13 |
WO2011035287A3 (en) | 2011-07-21 |
EP2481185A2 (en) | 2012-08-01 |
US20110072507A1 (en) | 2011-03-24 |
US8887264B2 (en) | 2014-11-11 |
HUE031854T2 (en) | 2017-08-28 |
WO2011035287A2 (en) | 2011-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2614164T3 (es) | Objeto de relé de túnel de control de acceso de identidad múltiple | |
US11057218B2 (en) | Trusted internet identity | |
Josang et al. | Usability and privacy in identity management architectures | |
US10110579B2 (en) | Stateless and secure authentication | |
ES2564128T3 (es) | Un sistema implementado por ordenador para proporcionar a los usuarios acceso seguro a servidores de aplicaciones | |
CN103067399B (zh) | 无线发射/接收单元 | |
ES2554229T3 (es) | Procedimiento y aparato para crear un entorno de navegación web seguro con firma de privilegios | |
US9225690B1 (en) | Browser security module | |
KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
Jalal et al. | Security enhancement for e-learning portal | |
JP2009043037A (ja) | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 | |
Tirfe et al. | A survey on trends of two-factor authentication | |
Casey et al. | An interoperable architecture for usable password-less authentication | |
US7565538B2 (en) | Flow token | |
US20090271629A1 (en) | Wireless pairing ceremony | |
Popescu et al. | An hybrid text-image based authentication for cloud services | |
Sagar et al. | Information security: safeguarding resources and building trust | |
James | Engineering the Human Mind: Social Engineering Attack Using Kali Linux | |
Gupta et al. | Two-Factor Authentication Using QR Code and OTP | |
Ur Rahman et al. | Practical security for rural internet kiosks | |
Jin et al. | Encrypted QR code based optical challenge-response authentication by mobile devices for mounting concealed file system | |
Nardone et al. | The Scope of Security | |
Urban | Zabezpečení distribuovaných cloudových systémů | |
Kondakrindi | FIDO2: A NEW ERA IN SECURE WEB AUTHENTICATION | |
Gerard | Identity and Access Management Via Digital Certificates |