ES2701873T3 - Servicio de inicio de sesión único distribuido - Google Patents

Servicio de inicio de sesión único distribuido Download PDF

Info

Publication number
ES2701873T3
ES2701873T3 ES06813502T ES06813502T ES2701873T3 ES 2701873 T3 ES2701873 T3 ES 2701873T3 ES 06813502 T ES06813502 T ES 06813502T ES 06813502 T ES06813502 T ES 06813502T ES 2701873 T3 ES2701873 T3 ES 2701873T3
Authority
ES
Spain
Prior art keywords
authentication
service provider
client
computing device
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06813502T
Other languages
English (en)
Inventor
Bin Zhu
Tierui Chen
Shipeng Li
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Application granted granted Critical
Publication of ES2701873T3 publication Critical patent/ES2701873T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Un procedimiento realizado por un proveedor (104(1) - 104(n)) de servicios, que comprende: recibir una solicitud (208) de autenticación que incluya al menos un identificador de cliente y un testigo de autenticación encriptado derivado de una pluralidad de testigos de autenticación parcial, en el que cada testigo de autenticación parcial se cifra con una clave dividida generada a partir de una clave secreta conocida solo por el proveedor del servicio, en el que cada testigo de autenticación parcial incluye el identificador del cliente, una dirección de red y un desafío/nonce del proveedor de servicios; intentar descifrar el testigo de autenticación cifrado utilizando la clave secreta; y otorgar comunicación autenticada si el descifrado es posible con la clave secreta y un contenido descifrado del testigo de autenticación cifrado es aceptable.

Description

DESCRIPCIÓN
Servicio de inicio de sesión único distribuido
Antecedentes
Los usuarios en línea suelen ser necesarios para mantener un conjunto de credenciales de autenticación (por ejemplo, un nombre de usuario y contraseña) para cada proveedor de servicios al que él o ella tiene derecho a acceder. Estos usuarios a menudo se enfrentan al dilema de usar diferentes credenciales de autenticación para cada proveedor de servicios individual a fin de mantener un alto nivel de seguridad, o usar las mismas credenciales de autenticación para los diversos proveedores de servicios, lo que resulta en un nivel de seguridad disminuido. Con frecuencia, este último es elegido sobre el primero, ya que es difícil memorizar y mantener numerosas credenciales de autenticación. Además, aparte de las implicaciones de seguridad, exigir a los usuarios que ingresen credenciales de autenticación cada vez que sea necesario el acceso a un proveedor de servicios es un procedimiento generalmente incómodo y lento.
Se han propuesto varias tecnologías convencionales para aliviar o eliminar la necesidad de mantener varios conjuntos de credenciales de autenticación que permiten acceder a diversos servicios en línea. Una de estas tecnologías utiliza una gestión de credenciales centralizada que proporciona servicios de autenticación para los proveedores de servicios participantes. Después de que un usuario establece inicialmente una relación y se autentica con la administración centralizada de credenciales, la administración centralizada de credenciales administra el proceso de autenticación cuando el usuario posteriormente solicita acceso a cualquiera de los proveedores de servicios participantes. Esta tecnología reduce significativamente la complejidad de tener que solicitar el acceso de numerosos proveedores de servicios. La administración de credenciales centralizada maneja de manera transparente los detalles de la autenticación con varios proveedores de servicios participantes, mientras se mantiene un alto nivel de seguridad del usuario.
Las actuales tecnologías de administración de credenciales centralizadas convencionales no son adecuadas para todos los entornos en línea. Una tecnología de administración de credenciales centralizada convencional requiere que un usuario se autentique con un servidor de autenticación. Después de la autenticación, el servidor de autenticación emite un ticket de autenticación al usuario. El usuario utiliza el ticket de autenticación para obtener acceso a un servidor que emite tickets de acceso al servicio. El servidor emitirá un ticket de acceso de servicio al usuario si el ticket de autenticación es válido. El usuario puede usar el ticket de acceso al servicio para obtener acceso a un proveedor de servicios.
La tecnología de gestión de credencial centralizada convencional descrita proporciona la funcionalidad de acceso seguro si los proveedores de servicios se mantienen de forma centralizada. Sin embargo, el acceso seguro a los proveedores de servicios se ve comprometido si los proveedores de servicios forman parte de una red que tiene numerosos usuarios/entidades dispares, como Internet.
Otra tecnología de autenticación convencional utiliza una base de datos centralizada que contiene usuarios registrados y sus credenciales de autenticación asociados. Cada uno de los usuarios registrados tiene un número de identificación único de 64 bits. Esta tecnología de autenticación convencional también asigna a cada proveedor de servicios participante una ID única. Estas ID únicas también se guardan en una base de datos centralizada. Los proveedores de servicios participantes acuerdan implementar un componente de servidor que facilite la comunicación segura con una entidad que administra las bases de datos centralizadas. Cuando un usuario registrado intenta autenticarse con un proveedor de servicios participante, el usuario se redirige de forma transparente a la entidad administradora para facilitar la autenticación. La ruta de comunicación segura implementada entre el proveedor de servicios participante y la entidad administradora ayuda a garantizar la solicitud de autenticación concedida.
La tecnología de autenticación que se discutió anteriormente proporciona autenticación segura basada en la Web. Sin embargo, la tecnología de Internet no ha sido ampliamente adoptada. Esto se debe principalmente a la característica de diseño de base de datos centralizada de la tecnología. Algunos proveedores de servicios no aprueban la tecnología porque se utilizan bases de datos centrales. En particular, un proveedor de servicios debe confiar en una entidad que administra las bases de datos centralizadas para garantizar la autenticación exitosa del usuario. Si la entidad experimenta dificultades técnicas, la autenticación del usuario puede verse interrumpida. Esta posibilidad de interrupción, que no es controlable por el proveedor de servicios, puede ser un riesgo que el proveedor de servicios no está dispuesto a asumir. Además, el uso de bases de datos centralizadas hace que la tecnología de autenticación sea especialmente propensa a los ataques de hackers y malware.
WILLIAM JOSEPHSON ET AL: "Autenticación de igual a igual con un servicio de inicio de sesión único distribuido", TALLER INTERNACIONAL SOBRE SISTEMAS DE PEER-A-PEER, XX, XX, 26 de febrero de 2004 (2004-02-26), páginas 1-6, XP002425458 revela un procedimiento para la autenticación de igual a igual con un servicio de inicio de sesión único distribuido. Los servidores de aplicaciones delegan la verificación de la identificación del cliente a combinaciones de servidores de autenticación. El servidor de aplicaciones S, a través de su política de autenticación, especifica qué subconjuntos de los servidores de autenticación deben trabajar juntos para verificar la identidad de un usuario para que S confíe en el resultado. Los servidores de autenticación crean firmas parciales que, solo cuando t se combinan utilizando criptografía de umbral, producen una declaración firmada por k. Además, esa firma es verificada por el servidor de aplicaciones S, porque la Ki pública correspondiente se envía a S.
Por lo tanto, el objetivo de la presente invención es proporcionar un procedimiento mejorado para otorgar comunicaciones autenticadas y los artículos de fabricación correspondientes para el proveedor de servicios y el servidor de autenticación, y un dispositivo informático correspondiente para el proveedor de servicios.
Este objeto es resuelto por el tema de las reivindicaciones independientes.
Las realizaciones de la invención se definen en las reivindicaciones dependientes.
Sumario
Las implementaciones descritas en este documento se refieren al establecimiento de una comunicación autenticada entre un dispositivo informático cliente y un proveedor de servicios. La comunicación es posible sin el uso de una autoridad confiable que guarda secretos de un dispositivo informático cliente y un proveedor de servicios.
Después de un proceso de registro, un dispositivo informático cliente utiliza los servidores de autenticación para solicitar la comunicación autenticada con un proveedor de servicios. El dispositivo informático del cliente puede usar cualquier conjunto de una pluralidad de servidores de autenticación con los que está registrado, donde el número de servidores en el conjunto es grande o igual a un valor umbral, para solicitar una comunicación autenticada con un proveedor de servicios. El proveedor de servicios también debe estar registrado con los servidores de autenticación que el dispositivo informático del cliente puede usar para establecer una comunicación autenticada.
Un cliente de dispositivo informático puede enviar un proveedor de servicios una solicitud de autenticación que incluye su identificador ID único y un testigo de autenticación cifrado que incluye la ID de identificador único, una dirección de red como la dirección IP del dispositivo y un nonce (clave de un solo uso). El testigo de autenticación cifrado se recibió en una comunicación anterior con los servidores de autenticación. Cada servidor de autenticación usó una clave dividida, obtenida del proveedor de servicios con el que el dispositivo informático del cliente está deseando una comunicación autenticada, para cifrar y generar un testigo de autenticación parcial. El proveedor de servicios utiliza una clave secreta no revelada para descifrar el testigo de autenticación, exponiendo así la información de autenticación cifrada. Esta información, junto con la ID de identificador único enviado, es utilizada por el proveedor del servicio para decidir si se autorizará la comunicación autenticada.
Este sumario se proporciona para introducir una selección de conceptos en una forma simplificada que se describen más adelante en la descripción detallada. Este sumario no tiene la intención de identificar características clave o características esenciales de la materia reclamada, ni pretende ser utilizado como una ayuda para determinar el alcance de la materia reclamada.
Breve descripción de los dibujos
Se describen realizaciones no limitantes y no exhaustivas con referencia a las siguientes figuras, en las que números de referencia se refieren a partes similares en todas las diversas vistas a menos que se especifique lo contrario.
La figura 1 ilustra una implementación ejemplar de un entorno de red informática que incluye varios dispositivos informáticos del cliente que pueden comunicarse con uno o más proveedores de servicios.
La figura 2 ilustra una implementación ejemplar en la que un dispositivo cliente solicita una comunicación autenticada con un proveedor de servicios utilizando un procedimiento de acceso de proveedores de servicios de dispositivos cliente.
La figura 3 ilustra una implementación ejemplar en la que un proveedor de servicios se registra con un servidor de autenticación utilizando un procedimiento de registro de proveedor de servicios.
La figura 4 ilustra una implementación ejemplar en la que un dispositivo informático cliente se registra con un servidor de autenticación utilizando un procedimiento de registro de dispositivo cliente.
La figura 5 ilustra una implementación ejemplar en la que un dispositivo informático cliente se autentica con el servidor de autenticación utilizando un procedimiento de registro de dispositivo informático cliente.
La figura 6 es un dispositivo informático ilustrativo que se puede usar para implementar un proveedor de servicios.
La figura 7 es un dispositivo informático ilustrativo que se puede usar para implementar un dispositivo informático cliente.
La figura 8 es un dispositivo informático ilustrativo que se puede usar para implementar un servidor de autenticación.
Descripción detallada
Visión de conjunto
Se describen los sistemas y procedimientos para la autenticación con un proveedor de servicios. A continuación, se proporciona una amplia discusión de los procedimientos utilizados entre el cliente, el proveedor de servicios y los dispositivos de autenticación para establecer una comunicación autenticada entre un dispositivo informático del cliente y un dispositivo proveedor de servicios. Esta discusión hará uso de un entorno ejemplar ilustrado en la figura 1. Implementaciones ejemplares de diversos procedimientos utilizados entre varios dispositivos se describen a continuación con más detalle. En particular, se proporciona una explicación detallada de un procedimiento utilizado por un dispositivo informático cliente para obtener acceso autenticado a un proveedor de servicios junto con la figura 2; junto con la figura 3, se proporciona una discusión detallada de un procedimiento de registro del proveedor de servicios con un servidor de autenticación; junto con la figura 4 se proporciona una discusión detallada de un procedimiento de registro de dispositivo informático del cliente con un servidor de autenticación; y una discusión detallada de un procedimiento de autenticación del dispositivo informático del cliente con un servidor de autenticación se proporciona junto con la figura 5. Finalmente, las implementaciones ejemplares de un proveedor de servicios, dispositivo informático cliente y servidor de autenticación se discuten en conjunto con las figuras 6 - 8 , respectivamente.
Entorno ejemplar
La figura 1 ilustra una implementación ejemplar de un entorno de red informática 100 que incluye varios dispositivos 102(1) - 102(n) informáticos cliente que pueden comunicarse con uno o más proveedores de servicios 104(1) -104(n). La comunicación bidireccional entre los dispositivos 102(1) - 102(n) informáticos cliente y los proveedores 104(1) - 104(n) de servicios se facilita con una red 120 (por ejemplo, Internet). Los servidores 106(1) - 106(n) de autenticación también están interconectados con la red 120. Uno o más servidores 106 de autenticación trabajan juntos para proporcionar servicios de autenticación a los dispositivos 102(1) - 102(n) informáticos cliente y a los proveedores 104(1) - 104(n) de servicios. Cada servidor de autenticación tiene generalmente la misma funcionalidad que otro servidor de autenticación.
En cualquier momento dado, uno de los varios dispositivos 102(1) - 102(n) informáticos cliente, tales como el dispositivo 102(1) informático cliente, puede requerir los servicios proporcionados por uno de los proveedores 104(1) - 104(n) de servicios, como el proveedor 104(1) de servicios. Un subconjunto de los servidores 106(1) - 106(n) de autenticación proporciona tecnología que permite que el dispositivo 102(1) informático cliente se autentique correctamente con el proveedor 104(1) de servicios. El proveedor 104(1) de servicios generalmente no proporcionará servicios a ninguno de los dispositivos 102(1) - 102(n) informáticos cliente hasta que se logre la autenticación adecuada.
El proveedor 104(1) de servicios y el dispositivo 102(1) informático cliente, cada una a establecer una relación con los servidores 106(1) - 106(n) de autenticación antes de solicitar los servicios de autenticación de los servidores 106(1) - 106(n). Después de que el proveedor 104(1) de servicios establece contacto inicial con los servidores 106(1) -106(n) de autenticación, se proporciona un módulo 130 de servidor al proveedor 104(1) de servicios. Este módulo 130 de servidor proporciona los parámetros operativos que el proveedor 104(1) de servicios necesitará durante una fase de registro de la relación. El módulo 130 de servidor puede almacenarse directamente en una memoria, volátil o no volátil, del proveedor 104(1) de servicios. Si el proveedor 104(1) de servicios comprende varios servidores (por ejemplo, una comunidad de servidores), el módulo 130 de servidor puede almacenarse en uno de esos servidores múltiples.
Después de obtener el módulo 130 de servidor, el proveedor 104(1) de servicios crea una clave de cifrado secreta y una clave de descifrado secreta correspondiente. La clave de cifrado secreta se divide para crear claves adicionales. En una implementación, la clave secreta se divide utilizando un esquema de umbral. Sin embargo, también se pueden usar otros esquemas de división. Una clave dividida se envía de forma segura a cada servidor de autenticación, tal como 106(1) con una ID única que identifica al proveedor 104(1) de servicios. El servidor 106(1) de autenticación envía una respuesta exitosa al proveedor 104(1) de servicios después de recibir la clave dividida y la ID exclusiva del proveedor de servicios. La clave de descifrado secreta permanece en el proveedor 104(1) de servicios y nunca se hace pública a ninguna otra entidad, como el servidor 106(1) de autenticación. El módulo 130 de servidor proporciona las rutinas para crear las claves secretas y dividir la clave de cifrado secreta.
El dispositivo 102(1) informático cliente recibe un módulo 140 cliente. El módulo 140 cliente puede ser un módulo de complemento de navegador web que se integra con un navegador web del dispositivo 102(1) informático cliente. El módulo 140 cliente proporciona los parámetros operativos requeridos durante un procedimiento de registro de relaciones realizado entre el dispositivo 102(1) informático cliente y cada servidor 106(i) de autenticación. El módulo 140 cliente puede almacenarse directamente en una memoria, volátil o no volátil, del dispositivo 102(1) informático cliente.
Después de obtener el módulo 140 cliente, el dispositivo 102(1) informático cliente puede proceder a registrarse con cada servidor 106(i) de autenticación. Esto se debe hacer antes de que el módulo 140 cliente solicite servicios de uno o más de los proveedores 104(1) - 104(n) de servicios. El proceso de registro entre el módulo 140 cliente y un servidor 106(i) de autenticación implica el uso del módulo 140 cliente. Un usuario del dispositivo 102(1) informático cliente utiliza el módulo 140 cliente, a través de una interfaz de usuario como un navegador web asociado, para ingresar un nombre de usuario única y una contraseña. El módulo 140 cliente genera un identificador de cliente único a partir del nombre de usuario única. El módulo 140 cliente también genera una clave de autenticación de cliente para que el cliente se autentique en un servidor 106(i) de autenticación a partir del nombre de usuario única, la contraseña y una identificación del servidor de autenticación que se recibió con el módulo 140 cliente. Se puede usar una función de dispersión para crear la clave de autenticación del cliente. El módulo 140 cliente envía la clave de autenticación del cliente y el identificador del cliente de forma segura a un servidor 106(i) de autenticación. Después de recibir y conservar el identificador del cliente y la clave de autenticación del cliente, el servidor 106(i) enviará un mensaje de éxito al dispositivo 102(1) informático cliente.
Después de registrarse con cada servidor 106(i) de autenticación, el dispositivo 102(1) informático cliente puede usar un subconjunto de los servidores 106(1) - 106(n) de autenticación de establecer comunicación autenticada con uno de los proveedores 104(1) - 104(n) de servicios que ya ha establecido una relación con los servidores 106(1) -106(n) de autenticación.
Antes de solicitar la comunicación autenticada con uno de los proveedores de servicios 104(1) - 104(n), el dispositivo 102(1) informático cliente autenticará con un subconjunto de los servidores 106(1) - 106(n) de autenticación, que proporcionará servicios de autenticación al dispositivo informático del cliente. Este procedimiento de autenticación establece las claves de sesión utilizadas por el dispositivo 102(1) informático cliente y el subconjunto del servidor 106(1) - 106(n) de autenticación para comunicaciones confidenciales posteriores.
Para autenticar, a un usuario del dispositivo 102(1) informático cliente envía cada servidor 106(i) de autenticación en el subconjunto una solicitud de autenticación. La solicitud de autenticación y el establecimiento de una clave de sesión se facilitan utilizando el módulo 140 del cliente. Cada servidor 106(i) de autenticación responde a una solicitud de autenticación enviando un nonce al dispositivo 102(1) informático cliente. El dispositivo 102(1) informático cliente, en respuesta, envía al servidor 106(i) de autenticación el identificador del cliente y el nonce recibidos cifrado mediante la clave de autenticación del cliente al servidor 106(i) de autenticación. El cifrado también incluye un número aleatorio de dispositivo de cliente y un nonce de dispositivo de cliente. El módulo 140 del cliente genera el número aleatorio del dispositivo cliente y el dispositivo cliente. El identificador del cliente y la clave de autenticación del cliente se crearon durante el proceso de registro descrito anteriormente.
El servidor 106(i) de autenticación utiliza el identificador de cliente para recuperar la clave de autenticación de cliente que se creó durante el proceso de registro. La clave de autenticación del cliente recuperada se utiliza para descifrar el nonce del servidor de autenticación cifrado, el número aleatorio del dispositivo del cliente y el nonce del dispositivo del cliente. Si el descifrado es exitoso y el nonce del servidor de autenticación descifrado coincide con el nonce enviado al cliente por el servidor de autenticación en un proceso anterior, el servidor 106(i) de autenticación envía al cliente 102(1) un cifrado que incluye un servidor de autenticación que genera un número aleatorio en el servidor 106, el nonce y el nonce del dispositivo del cliente. En este punto, tanto el servidor 106 como el cliente 102(1) poseen los dos números aleatorios. El servidor 106(i) y el cliente 102(1) utilizan una función de dispersión en los dos números aleatorios para crear una clave de sesión en ambos extremos. Esta clave de sesión se utiliza para establecer un enlace seguro entre el dispositivo 102(1) informático cliente y el servidor 106(i) de autenticación cuando el dispositivo 102(1) informático cliente utiliza el servidor 106(i) de autenticación en el subconjunto de la autenticación elegida servidores para establecer comunicación autenticada con uno de los proveedores 104(1) - 104(n) de servicios.
Después de obtener una clave de sesión desde el servidor 106(i) de autenticación, el dispositivo 102(1) cliente está listo para solicitar la comunicación autenticada con un proveedor de servicios ya registrado con los servidores 106(1) - 106(n) de autenticación (por ejemplo, el proveedor 104(1) de servicios). Esta solicitud comienza en el punto en que el dispositivo 102(1) informático cliente envía una solicitud de acceso al proveedor 104(1) de servicios. El proveedor 104(1) de servicios responde enviando su ID única y un desafío (por ejemplo, un nonce del proveedor de servicios) al dispositivo 102(1) informático cliente. Opcionalmente, el proveedor 104(1) de servicios puede enviar una lista de servidores de autenticación con los que ya se ha registrado en el dispositivo 102(1) informático cliente para que el cliente pueda solicitar servicios de autenticación de esos servidores. Si el cliente no se ha autenticado con los servidores de autenticación en la lista, el cliente se autentica con los servidores de autenticación en la lista y establece una clave de sesión para la posterior comunicación confidencial con cada uno de esos servidores de autenticación.
El dispositivo 102(1) informático cliente ya está listo para ponerse en contacto con cada uno de los servidores de autenticación en el subconjunto de servidores de autenticación, por ejemplo, la autenticación del servidor 106(i), para establecer la comunicación autenticada con el proveedor 104(1) de servicios. El dispositivo 102(1) informático cliente envía a cada servidor 106(i) de autenticación la ID única del proveedor de servicios y el nonce del proveedor de servicios. Opcionalmente, el dispositivo 102(1) informático cliente también puede enviar su propio identificador de cliente al proveedor 104(1) de servicio de autenticación. El servidor 106(i) de autenticación también debe tener el identificador del cliente del dispositivo 102(1) informático cliente y la clave de sesión guardada en la memoria de comunicaciones anteriores entre los dos dispositivos.
El servidor 106(i) de autenticación encripta el identificador de cliente, una dirección de red tal como una dirección IP del dispositivo 102(1) informático cliente, y el nonce del proveedor de servicios utilizando la clave de división recibida previamente del proveedor 104(1) de servicios. Este proceso crea un testigo de autenticación parcial que se pasa al dispositivo 102(1) informático cliente. El dispositivo 102(1) informático cliente crea un testigo de autenticación a partir de los testigos de autenticación parciales recibidos y empaqueta el testigo de autenticación con su propio identificador de cliente y envía el paquete al proveedor 104(1) de servicios. El proveedor 104(1) de servicios intentará descifrar el testigo de autenticación cifrado utilizando su clave de descifrado secreta. Si el descifrado es exitoso y el nonce descifrado coincide con el nonce enviado al cliente en una comunicación autenticada anterior, la comunicación autenticada es exitosa y se otorga acceso al servicio del proveedor del servicio. El proveedor 104(1) de servicios notifica al dispositivo 102(1) informático cliente si se otorga la comunicación autenticada.
Las ventajas del procedimiento de autenticación discutido son al menos las siguientes. Las claves secretas de un proveedor de servicios solo son conocidas por el proveedor. Ciertamente, los servidores de autenticación no conocen las claves secretas y obtener la clave secreta de un proveedor de servicios generalmente solo es posible si ocurriera una colusión significativa entre varios servidores de autenticación. En el lado del dispositivo informático del cliente, la contraseña de un usuario nunca se usa directamente durante el proceso de autenticación. De hecho, cada entidad en el proceso de autenticación, los dispositivos informáticos del cliente y los proveedores de servicios controlan sus propios secretos. Esto hace que el procedimiento de autenticación descrito aquí sea muy atractivo, ya que no se requiere la existencia de una autoridad confiable. Las autoridades confiables se utilizan con muchas otras tecnologías de encriptación/autenticación (por ejemplo, PKI).
Acceso del dispositivo cliente al procedimiento del proveedor de servicios
La figura 2 ilustra una implementación ejemplar en la que el dispositivo 102(1) cliente solicita una comunicación autenticada con el proveedor 104(1) de servicios utilizando un procedimiento 200 de acceso al proveedor de servicios del dispositivo cliente. La comunicación autenticada se facilita utilizando un subconjunto de los servidores 106(1) - 106 (n) de autenticación. Una tabla I proporciona detalles relacionados con las notaciones utilizadas en el texto que sigue.
Tabla I
S Un proveedor de servicios participante.
U Un dispositivo cliente participante.
Ai El i-ésimo servidor de autenticación.
UID Una ID de cliente única para un U participante.
SID Una ID de proveedor de servicios única para un proveedor de servicios participante S.
AIDi Una ID única para el i-ésimo servidor de autenticación Ai.
Ks Una clave de cifrado secreta generada por y conocida solo por S.
Ks '1 Una clave de descifrado secreta correspondiente a Ks y conocida solo por S.
La i-ésima parte parcial de Ks generada por un esquema de umbral.
Una clave de cliente secreta para que U se autentique en el i-ésimo servidor de autenticación Ai.
Ka
p-i, p2 Dos enteros primos correctamente seleccionados, p2 > p-i.
q 7
Un generador en p< ’ 2 < g < pi -2.
SKu, a í Una clave de sesión entre un usuario U y el i-ésimo servidor de autenticación Ai.
<m>k Un mensaje m cifrado por un cifrado simétrico con una clave k.
<m>kp Significa mk mod p donde m e Zp.
nx nonce generado por la entidad X.
rx Un número aleatorio generado por la entidad X.
[x] x es opcional en la descripción de un protocolo. Los corchetes indican parámetros opcionales a lo largo de la descripción.
El procedimiento comienza cuando el dispositivo 102(1) informático cliente envía el proveedor 104(1) de servicios una solicitud de acceso en una comunicación 201. El proveedor 104(1) de servicios responde en una comunicación 202 con SID, ns, [< g >rs-p1], [una lista de t servidores de autenticación {Adf, 1 < f < t}], donde t es el umbral para la cantidad de servidores de autenticación necesarios para proporcionar servicios de autenticación. Una vez que se recibe la comunicación 202, el dispositivo 102(1) informático cliente envía SID, ns, [< g >ru p1], [UID] al servidor 106 de autenticación en una comunicación 204. El servidor 106 de autenticación responde enviando
en una comunicación 206, donde U es el identificador de red del dispositivo 102(1) informático cliente, como la dirección IP del cliente (Dirección IP). El contenido de la comunicación 206 define un testigo de autenticación parcial. El dispositivo 102(1) informático cliente utiliza los testigos de autenticación parcial recibidos en la comunicación 206 con los servidores de autenticación para crear un testigo de autenticación < UID, U, ns, [< g> ru p1 ]> Ks’ p2 que se empaqueta junto con UID y [< ns >k ] y se envía al proveedor de servicios 104(1), donde k = < g> rs r Up1. El proveedor 104(1) de servicios utiliza su clave de descifrado secreta Ks"1 para descifrar el testigo de autenticación cifrado, donde
((UID,U,ns , [ < g l)1'1 )K‘ = (UID,U,ns , [ < g >ru,Pl]) mod^.
De acuerdo con el descifrado anterior y la información adicional recibida con el testigo de autenticación, el proveedor 104(1) de servicios enviará una respuesta de acceso al dispositivo 102(1) informático cliente en una comunicación
210 indicando si se otorga el acceso autenticado. El uso opcional de un generador (g) en Z* pi
durante la comunicación autenticada proporciona una manera de generar una clave de sesión que se utiliza para la comunicación segura posterior entre el dispositivo 102(1) informático cliente y el proveedor 104(1) de servicios después de que se establece la sesión autenticada.
Las comunicaciones 204 y 206 son seguras usando una clave de sesión establecida entre el dispositivo 102(1) informático cliente y un servidor 106(i) de autenticación. El dispositivo 102(1) informático cliente y el servidor 106(i) de autenticación están en posesión de la clave de sesión. Los detalles de la creación de dicha clave de sesión se describen más adelante.
Las diversas comunicaciones discutidas se facilitan utilizando los módulos 140 y 130 de cliente y de servidor. Sin embargo, las diversas comunicaciones e instrucciones pueden llevarse a cabo por cualquier dispositivo habilitado para llevar a cabo dichas comunicaciones e instrucciones, proporcionando así el acceso del dispositivo cliente descrito al procedimiento del proveedor de servicios.
Procedimiento de registro del proveedor de servicios
La figura 3 ilustra una implementación ejemplar en la que el proveedor 104(1) de servicios se registra en el servidor 106(i) de autenticación utilizando un procedimiento 300 de registro de proveedores de servicios. El procedimiento 300 de registro del proveedor de servicios se lleva a cabo antes de que un proveedor de servicios pueda beneficiarse de los servicios de autenticación ofrecidos por un servidor de autenticación. La tabla I anterior proporciona detalles relacionados con las notaciones utilizadas en el texto que sigue.
Antes de que el procedimiento se inicie, el proveedor 104(1) de servicio descarga e instala un módulo 130 de servidor. El módulo 130 de servidor en esta implementación proporciona la funcionalidad que permite al proveedor 104(1) de servicios procesar solicitudes y comunicaciones relacionadas con la autenticación hacia y desde el servidor 106(i) de autenticación. El procedimiento comienza cuando el proveedor 104(1) de servicios envía al servidor 106(i) de autenticación una comunicación 302 que solicita el registro del proveedor de servicios. El servidor 106(i) de autenticación responde con una comunicación 304 que informa al proveedor 104(1) de servicios que está listo para aceptar el registro.
El proveedor 104(1) de servicios utiliza el módulo 130 de servidor para completar el procedimiento de registro proveedor de servicio se ilustra en la figura 3. El proveedor de servicios 104(1) genera una clave secreta Ks, 1 < Ks < p2 - 2, y calcula Ks"1 de tal manera que Ks"1 Ks = Ks Ks"1 = 1 mod (p2 - 1). A continuación, el proveedor 104(1) de jy-i
servicios utiliza un esquema de umbral (t, n) para dividir Ks en n acciones de clave dividida s ’ 1 < i < n. Una de estas claves divididas
Figure imgf000008_0001
y el S/D se envía en una comunicación 306 segura a cada servidor 106(¡) de autenticación. El servidor 106(¡) de autenticación almacena la clave dividida y el S/D para usar durante el procedimiento 200 de acceso al proveedor de servicios del dispositivo cliente discutido en conexión con la figura 2. Habiendo recibido y almacenado la clave dividida K 1 y el S/D, el servidor 106(¡) de autenticación envía al proveedor 104(1) de servicios una respuesta correcta en una comunicación 308.
Varias comunicaciones discutidas son facilitadas mediante el módulo 130 servidor. Sin embargo, las diversas comunicaciones e instrucciones pueden llevarse a cabo por cualquier dispositivo habilitado para llevar a cabo dichas comunicaciones e instrucciones, proporcionando así el procedimiento de registro del proveedor de servicios descrito.
Procedimiento de registro del dispositivo del cliente
La figura 4 ilustra una implementación ejemplar en la que el dispositivo 102(1) informático cliente se registra con cada servidor 106(i) de autenticación utilizando un procedimiento 400 de registro del dispositivo del cliente. El procedimiento 400 de registro del dispositivo cliente se lleva a cabo antes de que un dispositivo informático cliente pueda beneficiarse de los servicios de autenticación ofrecidos por un servidor de autenticación. La tabla I anterior proporciona detalles relacionados con las notaciones utilizadas en el texto que sigue.
Antes de que el procedimiento se inicia, el dispositivo 102(1) informático cliente descarga e instala un módulo 140 cliente. El módulo 140 cliente en esta implementación proporciona la funcionalidad que permite al dispositivo 102(1) informático cliente procesar las comunicaciones hacia y desde cada servidor 106(i) de autenticación. El procedimiento comienza cuando el dispositivo 102(1) informático cliente envía al servidor 106(i) de autenticación una comunicación 402 que solicita el registro del dispositivo informático cliente. El servidor 106(i) de autenticación responde con una comunicación 404 que informa al dispositivo 102(1) informático cliente que está listo para aceptar el registro.
El dispositivo 102(1) informático cliente utiliza el módulo 140 cliente para crear un UID ID de cliente único desde una entrada de nombre de usuario por un usuario del dispositivo 102(1) informático cliente. El UID se puede crear mediante la dispersión del nombre de usuario, o dispersión partes del nombre de usuario. También se puede usar otro proceso que crea un UID de ID de cliente único a partir del nombre de usuario. El dispositivo 102(1) informático cliente utiliza el módulo 140 cliente para crear una clave de cliente Kiu = dispersión (NombreUsuario, Contraseña, AID), 1 < i < n que se utilizará en el procedimiento de autenticación del dispositivo informático del cliente 500 con el servidor 106(i) de autenticación que se muestra en la figura5. La clave del cliente puede crearse usando el nombre de usuario también. El AIDi identifica un i-ésimo servidor de autenticación, en este caso el servidor 106(i) de autenticación.
El dispositivo 102(1) informático cliente envía UID, K * l u , ’ A¡, 1 < / < n, al servidor 106(¡) de autenticación por medio de una comunicación 406 segura. El servidor 106 de autenticación conserva la ID de usuario única UID y la clave del cliente K v para su uso posterior. En particular, el servidor de autenticación utiliza la ID de usuario única UID y la clave del cliente u cuando el dispositivo 102(1) informático cliente realiza una solicitud de comunicación de autenticación con un proveedor de servicios. El proceso de autenticación con un proveedor de servicios generalmente requerirá una comunicación segura entre el dispositivo 102(1) informático cliente y un servidor 106(¡) de autenticación; la ID de usuario única UID y la clave de cliente K " l v facilita la generación de una clave de sesión utilizada para este fin.
Varias comunicaciones discutidas se facilitan usando el módulo 140 cliente. Sin embargo, las diversas comunicaciones e instrucciones pueden llevarse a cabo por cualquier dispositivo habilitado para llevar a cabo dichas comunicaciones e instrucciones, proporcionando así el procedimiento de registro del dispositivo informático del cliente descrito.
Procedimiento de autenticación del dispositivo cliente
La figura 5 ilustra una implementación ejemplar en la que el dispositivo 102(1) informático cliente se autentica con un servidor 106(i) de autenticación utilizando un procedimiento 500 de autenticación del dispositivo informático del cliente. El procedimiento 500 de autenticación del dispositivo informático del cliente se lleva a cabo para autenticar un dispositivo 102(1) informático cliente con un servidor 106(i) de autenticación y para establecer una clave de sesión que sea utilizada por el dispositivo informático del cliente y el servidor de autenticación mientras que el dispositivo cliente está intentando establecer comunicaciones autenticadas con un proveedor de servicios. La tabla I anterior proporciona detalles relacionados con las notaciones utilizadas en el texto que sigue.
El procedimiento comienza cuando el dispositivo 102(1) informático cliente envía un servidor 106 (i) autenticación de una comunicación 502 que solicita la autenticación. El servidor 106(i) de autenticación responde con una comunicación 504 que incluye un nonce nAi. El dispositivo 102(1) informático cliente responde, ayudado por el modulo 140 cliente, con una comunicación 506 que incluye la ID de usuario única UIDy un cifrado <ru, n u, n Á ' >,,, .
El servidor 106(¡) de autenticación usará la clave del cliente K-u recibido en una comunicación previa para intentar < ru ^ u,n Ai >,
descifrar el cifrado u ’ u’ Kv Si el descifrado es exitoso y el nonce descifrado coincide con el nonce dm enviado al cliente en un proceso anterior, el servidor 106(¡) de autenticación envía al dispositivo 102(1) informático < r y}
cliente una comunicación 508 que incluye ’ A¡9 u 4 o un mensaje de error.
En este punto, tanto el dispositivo 102(1) informático cliente y el servidor 106 de autenticación tienen los valores de número aleatorio ru, A Usando estos valores de números aleatorios, tanto el dispositivo 102(1) informático cliente como el servidor 106(i) de autenticación computan una clave de sesión SKu,a í = dispersión (ru, M/). Esta clave de sesión se utiliza cuando el dispositivo 102(1) informático cliente se pone en contacto con el servidor 106(i) de autenticación para solicitar una comunicación autenticada con un proveedor de servicios. El uso de la clave de sesión junto con el establecimiento de una comunicación autenticada con un proveedor de servicios se explica en detalle anteriormente en este documento.
Varias comunicaciones discutidas se facilitan usando el módulo 140 cliente. Sin embargo, las diversas comunicaciones e instrucciones pueden llevarse a cabo por cualquier dispositivo habilitado para llevar a cabo dichas comunicaciones e instrucciones, proporcionando de este modo el procedimiento de autenticación informático del cliente descrito.
Dispositivos informáticos ejemplares
Las figuras 6-8 ilustran dispositivos informáticos ejemplares que pueden usarse para implementar los procedimientos descritos. La figura 6 ilustra una implementación ejemplar de un proveedor 104(1) de servicios; la figura 7 ilustra una implementación ejemplar de un dispositivo 102(1) informático cliente; y la figura 8 ilustra una implementación ejemplar de un dispositivo 800 informático. Un servidor de autenticación, como el servidor 106(i) de autenticación, puede emplear los elementos operativos descritos en conexión con el dispositivo 800 informático. Esto también es válido para los dispositivos informáticos del cliente y los proveedores de servicios descritos en este documento.
La figura 6 es un dispositivo informático ilustrativo que puede usarse para implementar un proveedor 104(1) de servicios. En una configuración muy básica, el dispositivo informático incluye al menos una unidad 604 de procesamiento y una memoria 606 del sistema. Dependiendo de la configuración exacta y el tipo de dispositivo 600 informático, la memoria 606 del sistema puede ser volátil (como RAM), no volátil (como ROM, memoria flash, etc.) o alguna combinación de los dos. La memoria 606 del sistema incluye típicamente un sistema 608 operativo, uno o más módulos 610 de programa, y puede incluir datos 612 de programa. Al menos uno de los módulos 610 de programa incluye un módulo 130 de servidor.
El dispositivo informático puede tener características o funcionalidad adicionales. Por ejemplo, el dispositivo informático también puede incluir dispositivos de almacenamiento de datos adicionales (extraíbles y/o no extraíbles) como, por ejemplo, discos magnéticos, discos ópticos o cintas. Los medios legibles por ordenador pueden implementarse en cualquier procedimiento o tecnología para el almacenamiento de información tal como instrucciones legibles por ordenador, estructuras de datos, módulos de programas u otros datos. La memoria 606 del sistema es un ejemplo de medios de almacenamiento informáticos. Los medios de almacenamiento informáticos incluyen medios físicos (tangibles), tales como, entre otros, RAM, ROM, EEPROM, memoria flash u otra tecnología de memoria, CDROM, discos versátiles digitales (DVD) u otro almacenamiento de disco óptico, casetes magnéticos, cinta magnética, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético que pueden almacenar los datos deseados y a los que se puede acceder desde el ordenador 512. Cualquiera de estos medios de almacenamiento informático puede ser parte del dispositivo. El dispositivo informático también puede tener dispositivo(s) de entrada, como teclado, ratón, lápiz, dispositivo de entrada de voz, dispositivo de entrada táctil, etc. También se pueden incluir dispositivos de salida como una pantalla, altavoces, impresora, etc. Estos dispositivos son bien conocidos en la técnica y no necesitan ser discutidos/ilustrados en detalle.
El dispositivo informático puede contener también una conexión de comunicación que permite que el dispositivo se comunique con otros dispositivos informáticos, tales como en una red. Dicha red se muestra como la red 120 de la figura 1. La(s) conexión(es) de comunicación es un ejemplo de medios de comunicación. Los medios de comunicación pueden estar representados típicamente por instrucciones legibles por ordenador, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada, como una onda portadora u otro mecanismo de transporte, e incluye cualquier medio de entrega de información. El término "señal de datos modulados" significa una señal que tiene una o más de sus características configuradas o modificadas de tal manera que codifican información en la señal. A modo de ejemplo, y no de limitación, los medios de comunicación incluyen medios cableados, como una red cableada o conexión directa, y medios inalámbricos, como acústicos, RF, infrarrojos y otros medios inalámbricos. Los medios legibles por ordenador pueden ser cualquier medio disponible al que se pueda acceder desde un ordenador. A modo de ejemplo, y no de limitación, los medios legibles por ordenador pueden comprender "medios de almacenamiento informático" y "medios de comunicación".
Varios módulos y técnicas pueden ser descritos en este documento en el contexto general de instrucciones ejecutables por ordenador, tales como módulos de programa, ejecutados por uno o más ordenadores u otros dispositivos. Generalmente, los módulos de programa incluyen rutinas, programas, objetos, artefactos físicos, estructuras de datos, etc. que realizan tareas particulares o implementan tipos de datos abstractos particulares. Estos módulos de programas y similares pueden ejecutarse como código nativo o pueden descargarse y ejecutarse, como en una máquina virtual u otro entorno de ejecución de compilación justo a tiempo. Típicamente, la funcionalidad de los módulos del programa puede combinarse o distribuirse según se desee en diversas realizaciones. Una implementación de estos módulos y técnicas puede almacenarse o transmitirse a través de algún tipo de medio legible por ordenador.
La figura 7 es un dispositivo informático ilustrativo que se puede usar para implementar un dispositivo 102(1) informático cliente. En una configuración muy básica, el dispositivo informático incluye al menos una unidad 704 de procesamiento y una memoria 706 del sistema. Dependiendo de la configuración exacta y el tipo de dispositivo 700 informático, la memoria 706 del sistema puede ser volátil (como RAM), no volátil (como ROM, memoria flash, etc.) o alguna combinación de los dos. La memoria 706 del sistema incluye típicamente un sistema 708 operativo, uno o más módulos 710 de programa, y puede incluir datos 712 de programa. Al menos uno de los módulos 710 de programa incluye un módulo 140 cliente.
El dispositivo informático puede tener características o funcionalidades adicionales. Por ejemplo, el dispositivo informático también puede incluir dispositivos de almacenamiento de datos adicionales (extraíbles y/o no extraíbles) como, por ejemplo, discos magnéticos, discos ópticos o cintas. Los medios legibles por ordenador pueden implementarse en cualquier procedimiento o tecnología para el almacenamiento de información tal como instrucciones legibles por ordenador, estructuras de datos, módulos de programas u otros datos. La memoria 706 del sistema es un ejemplo de medios de almacenamiento informáticos. Los medios de almacenamiento informáticos incluyen medios físicos (tangibles), tales como, entre otros, RAM, ROM, EEPROM, memoria flash u otra tecnología de memoria, CDROM, discos versátiles digitales (DVD) u otro almacenamiento de disco óptico, casetes magnéticos, cinta magnética, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético que pueden almacenar los datos deseados y a los que se puede acceder desde el ordenador 512. Cualquiera de estos medios de almacenamiento informático puede ser parte del dispositivo. El dispositivo informático también puede tener dispositivo(s) de entrada, como teclado, ratón, lápiz, dispositivo de entrada de voz, dispositivo de entrada táctil, etc. También se pueden incluir dispositivos de salida como una pantalla, altavoces, impresora, etc. Estos dispositivos son bien conocidos en la técnica y no necesitan ser discutidos/ilustrados en detalle.
El dispositivo informático puede contener también una conexión de comunicación que permite que el dispositivo se comunique con otros dispositivos informáticos, tales como en una red. Dicha red se muestra como la red 120 de la figura 1. La(s) conexión(es) de comunicación es un ejemplo de medios de comunicación. Los medios de comunicación pueden estar representados típicamente por instrucciones legibles por ordenador, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada, como una onda portadora u otro mecanismo de transporte, e incluye cualquier medio de entrega de información. El término "señal de datos modulados" significa una señal que tiene una o más de sus características configuradas o modificadas de tal manera que codifican información en la señal. A modo de ejemplo, y no de limitación, los medios de comunicación incluyen medios cableados, como una red cableada o conexión directa, y medios inalámbricos, como acústicos, RF, infrarrojos y otros medios inalámbricos. Los medios legibles por ordenador pueden ser cualquier medio disponible al que se pueda acceder desde un ordenador. A modo de ejemplo, y no de limitación, los medios legibles por ordenador pueden comprender "medios de almacenamiento informático" y "medios de comunicación".
Varios módulos y técnicas pueden ser descritos en este documento en el contexto general de instrucciones ejecutables por ordenador, tales como módulos de programa, ejecutados por uno o más ordenadores u otros dispositivos. Generalmente, los módulos de programa incluyen rutinas, programas, objetos, artefactos físicos, estructuras de datos, etc. que realizan tareas particulares o implementan tipos de datos abstractos particulares. Estos módulos de programas y similares pueden ejecutarse como código nativo o pueden descargarse y ejecutarse, como en una máquina virtual u otro entorno de ejecución de compilación justo a tiempo. Típicamente, la funcionalidad de los módulos del programa puede combinarse o distribuirse según se desee en diversas realizaciones. Una implementación de estos módulos y técnicas puede almacenarse o transmitirse a través de algún tipo de medio legible por ordenador.
La figura 8 es un dispositivo 800 informático ilustrativo que puede usarse para implementar un servidor de autenticación, o cualquier otro dispositivo informático descrito en el presente documento. En una configuración muy básica, el dispositivo 800 informático incluye al menos una unidad 804 de procesamiento y una memoria 806 del sistema. Dependiendo de la configuración exacta y el tipo de dispositivo 800 informático, la memoria 806 del sistema puede ser volátil (como RAM), no volátil (como ROM, memoria flash, etc.) o alguna combinación de los dos. La memoria 806 del sistema incluye típicamente un sistema 808 operativo, uno o más módulos 810 de programa, y puede incluir datos 812 de programa.
El dispositivo 800 informático puede tener características o funcionalidades adicionales. Por ejemplo, el dispositivo 800 informático también puede incluir dispositivos de almacenamiento de datos adicionales (extraíbles y/o no extraíbles) como, por ejemplo, discos magnéticos, discos ópticos o cintas. Dicho almacenamiento adicional se ilustra en la figura 8 mediante un almacenamiento 820 extraíble y un almacenamiento 822 no extraíble. Los medios legibles por ordenador pueden implementarse en cualquier procedimiento o tecnología para el almacenamiento de información tal como instrucciones legibles por ordenador, estructuras de datos, módulos de programas u otros datos. La memoria 806 del sistema, el almacenamiento 820 extraíble y el almacenamiento 822 no extraíble son ejemplos de medios de almacenamiento de ordenador. Los medios de almacenamiento en ordenador incluyen medios físicos (tangibles), tales como, entre otros, RAM, ROM, EEPROM, memoria flash u otra tecnología de memoria, CDROM, discos versátiles digitales (DVD) u otro almacenamiento de disco óptico, casetes magnéticos, cinta magnética, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético que pueden almacenar los datos deseados y al que se puede acceder desde el ordenador 800. Cualquiera de tales medios de almacenamiento informático puede ser parte del dispositivo 800. El dispositivo 800 informático también puede tener un dispositivo (s) de entrada 824 tal como un teclado, ratón, lápiz, dispositivo de entrada de voz, dispositivo de entrada táctil, etc. Un dispositivo(s) de salida 826 tal como una pantalla, altavoces, impresora, etc. también puede ser incluido. Estos dispositivos son bien conocidos en la técnica y no necesitan ser discutidos extensamente.
El dispositivo 800 informático puede contener también una conexión 828 de comunicación que permiten que el dispositivo se comunique con otros dispositivos 830 informáticos, tal como en una red. Dicha red se muestra como la red 120 de la figura 1. Las conexiones 828 de comunicación son un ejemplo de medios de comunicación. Los medios de comunicación pueden estar representados típicamente por instrucciones legibles por ordenador, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada, como una onda portadora u otro mecanismo de transporte, e incluye cualquier medio de entrega de información. El término "señal de datos modulados" significa una señal que tiene una o más de sus características configuradas o modificadas de tal manera que codifican información en la señal. A modo de ejemplo, y no de limitación, los medios de comunicación incluyen medios cableados, como una red cableada o conexión directa, y medios inalámbricos, como acústicos, RF, infrarrojos y otros medios inalámbricos. Los medios legibles por ordenador pueden ser cualquier medio disponible al que se pueda acceder desde un ordenador. A modo de ejemplo, y no de limitación, los medios legibles por ordenador pueden comprender "medios de almacenamiento informático" y "medios de comunicación".
Varios módulos y técnicas pueden ser descritos en este documento en el contexto general de instrucciones ejecutables por ordenador, tales como módulos de programa, ejecutados por uno o más ordenadores u otros dispositivos. Generalmente, los módulos de programa incluyen rutinas, programas, objetos, artefactos físicos, estructuras de datos, etc. que realizan tareas particulares o implementan tipos de datos abstractos particulares. Estos módulos de programas y similares pueden ejecutarse como código nativo o pueden descargarse y ejecutarse, como en una máquina virtual u otro entorno de ejecución de compilación justo a tiempo. Típicamente, la funcionalidad de los módulos del programa puede combinarse o distribuirse según se desee en diversas realizaciones. Una implementación de estos módulos y técnicas puede almacenarse o transmitirse a través de algún tipo de medio legible por ordenador.
Mientras que las realizaciones de ejemplo se han ilustrado y descrito, debe entenderse que la invención no se limita a la configuración precisa y recursos descrito anteriormente. Se pueden realizar diversas modificaciones, cambios y variaciones evidentes para los expertos en la técnica en la disposición, operación y detalles de las realizaciones descritas en este documento sin apartarse del alcance de la invención reivindicada.

Claims (20)

REIVINDICACIONES
1. Un procedimiento realizado por un proveedor (104(1) - 104(n)) de servicios, que comprende:
recibir una solicitud (208) de autenticación que incluya al menos un identificador de cliente y un testigo de autenticación encriptado derivado de una pluralidad de testigos de autenticación parcial,
en el que cada testigo de autenticación parcial se cifra con una clave dividida generada a partir de una clave secreta conocida solo por el proveedor del servicio, en el que cada testigo de autenticación parcial
incluye el identificador del cliente, una dirección de red y un desafío/nonce del proveedor de servicios;
intentar descifrar el testigo de autenticación cifrado utilizando la clave secreta; y
otorgar comunicación autenticada si el descifrado es posible con la clave secreta y un contenido descifrado del testigo de autenticación cifrado es aceptable.
2. El procedimiento de acuerdo con la reivindicación 1, en el que el testigo de autenticación cifrado incluye un identificador de cliente y un desafío/nonce.
3. El procedimiento de acuerdo con la reivindicación 2, en el que el identificador del cliente identifica un dispositivo (102(1) - 102 (n)) cliente que desea una comunicación autenticada con el proveedor de servicios.
4. El procedimiento de acuerdo con la reivindicación 2, en el que el proveedor de servicios proporciona el desafío/nonce que intenta descifrar el testigo de autenticación cifrado.
5. El procedimiento de acuerdo con la reivindicación 1, en el que el testigo de autenticación cifrado incluye además una dirección de red de un dispositivo (102 (n)) cliente.
6. Un artículo de fabricación para su uso en la programación de un procesador (604), comprendiendo el artículo de fabricación al menos un dispositivo (606) de almacenamiento legible por ordenador que incluye al menos un programa (130) de ordenador incrustado en el mismo que hace que el procesador (604) realice el procedimiento de la reivindicación 1.
7. Un dispositivo informático que comprende:
un procesador (604); y
una memoria (606) que tiene al menos un componente (130) ejecutable por ordenador capaz de realizar el procedimiento de la reivindicación 1.
8. Un procedimiento realizado por un servidor (106 (1) - 106 (n)) de autenticación para proporcionar servicios de autenticación a un proveedor de servicios como se define en la reivindicación 1, que comprende:
establecer una sesión (508) segura con una clave de sesión si dicha sesión (508) segura no se estableció en un procedimiento anterior;
recibir un ID de proveedor de servicios y un desafío/nonce suministrado por un proveedor (104(1) - 104(n)) de servicios;
cifrar una ID única de un dispositivo (102(1) - 102 (n)) informático cliente, una dirección de red del dispositivo informático cliente y el desafío/nonce proporcionado por el proveedor de servicios utilizando una clave dividida derivada de una clave secreta desconocida para el servidor de autentificación y
ofrecer el cifrado al dispositivo informático del cliente, el cifrado utilizable al intentar obtener acceso al proveedor de servicios.
9. El procedimiento de acuerdo con la reivindicación 8, en el que la clave de sesión se genera a partir de una clave de autenticación, la clave de autenticación se deriva de las credenciales de inicio de sesión del dispositivo informático del cliente que desea la autenticación y una ID del servidor de autenticación.
10. El procedimiento de acuerdo con la reivindicación 9, en el que las credenciales de inicio de sesión incluyen una contraseña y un nombre de usuario.
11. El procedimiento de acuerdo con la reivindicación 8, en el que una ID única de una entidad que desea la autenticación se deriva de al menos el nombre de inicio de sesión de la entidad.
12. El procedimiento de acuerdo con la reivindicación 9, en el que la clave de autenticación y la ID única del dispositivo informático del cliente que desea la autenticación son generadas por un módulo (140) en el dispositivo informático del cliente que desea la autenticación durante un procedimiento de autenticación que establece una sesión segura, la clave de autenticación y la ID única que se conoce y almacena mediante una autenticación en un procedimiento anterior.
13. El procedimiento de acuerdo con la reivindicación 8, en el que el cifrado incluye además el cifrado de un elemento o la firma de un elemento, utilizándose el elemento para generar otra clave de sesión para posteriores comunicaciones seguras.
14. El procedimiento de acuerdo con la reivindicación 8, en el que recibir además incluye recibir un elemento, el elemento se usará para generar otra clave de sesión para comunicaciones posteriores seguras.
15. El procedimiento de acuerdo con la reivindicación 8, que además comprende:
recibir una solicitud de autenticación en una pluralidad de servidores (106 (1) - 106 (n)) de autenticación, la solicitud de autenticación solicita una comunicación autenticada con el proveedor de servicios; y
cada servidor (106 (i)) de autenticación proporciona un testigo de autenticación parcial, utilizándose la pluralidad de testigos de autenticación parcial juntos para generar un testigo de autenticación utilizado para lograr una comunicación autenticada con el proveedor de servicios.
16. El procedimiento de acuerdo con la reivindicación 15, en el que cada servidor (106 (i)) de autenticación cifra un testigo de autenticación parcial utilizando la clave dividida derivada de una clave secreta generada por el proveedor de servicios.
17. El procedimiento de acuerdo con la reivindicación 16, en el que se usa un esquema de umbral para generar claves divididas a partir de una clave secreta.
18. El procedimiento de acuerdo con la reivindicación 15, en el que la solicitud de autenticación incluye una ID de proveedor de servicios y un desafío/nonce proporcionado por el proveedor de servicios, estando asociada la ID de proveedor de servicios con el proveedor de servicios.
19. El procedimiento de acuerdo con la reivindicación 15, en el que cada testigo de autenticación parcial incluye una ID de un dispositivo (102(1) - 102(n) informático cliente que solicita comunicación autenticada con el proveedor de servicios, una dirección de red del dispositivo informático cliente y un desafío/nonce suministrado por el proveedor de servicios.
20. Un artículo de fabricación para su uso en la programación de un procesador (604, 704, 804), comprendiendo el artículo de fabricación al menos un dispositivo (606, 706, 806) de almacenamiento legible por ordenador que incluye al menos un programa (610, 710, 810) de ordenador incrustado en el mismo que hace que el procesador (604, 704, 804) realice el procedimiento de la reivindicación 8.
ES06813502T 2005-08-22 2006-08-16 Servicio de inicio de sesión único distribuido Active ES2701873T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/208,509 US7690026B2 (en) 2005-08-22 2005-08-22 Distributed single sign-on service
PCT/US2006/032156 WO2007024626A1 (en) 2005-08-22 2006-08-16 Distributed single sign-on service

Publications (1)

Publication Number Publication Date
ES2701873T3 true ES2701873T3 (es) 2019-02-26

Family

ID=37768631

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06813502T Active ES2701873T3 (es) 2005-08-22 2006-08-16 Servicio de inicio de sesión único distribuido

Country Status (15)

Country Link
US (1) US7690026B2 (es)
EP (1) EP1917603B1 (es)
JP (1) JP5009294B2 (es)
KR (1) KR101265873B1 (es)
CN (1) CN100580657C (es)
AU (1) AU2006283634A1 (es)
BR (1) BRPI0615053A2 (es)
CA (1) CA2619420C (es)
ES (1) ES2701873T3 (es)
IL (1) IL189131A (es)
MX (1) MX2008002504A (es)
NO (1) NO20080532L (es)
RU (1) RU2417422C2 (es)
WO (1) WO2007024626A1 (es)
ZA (1) ZA200801179B (es)

Families Citing this family (101)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8243636B2 (en) 2003-05-06 2012-08-14 Apple Inc. Messaging system and service
GB0321337D0 (en) * 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
US20080141352A1 (en) * 2006-12-11 2008-06-12 Motorola, Inc. Secure password distribution to a client device of a network
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
GB2441399B (en) * 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN101431413B (zh) * 2007-11-08 2012-04-25 华为技术有限公司 进行认证的方法、系统、服务器及终端
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
CN101227275A (zh) * 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
US20100067035A1 (en) * 2008-09-16 2010-03-18 Kawakubo Satoru Image forming apparatus, information processing apparatus, information processing system, information processing method, and program
AU2009295193A1 (en) * 2008-09-22 2010-03-25 Tefaye, Joseph Elie Mr Method and system for user authentication
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
US8839391B2 (en) 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
WO2010090664A1 (en) 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
US8520855B1 (en) * 2009-03-05 2013-08-27 University Of Washington Encapsulation and decapsulation for data disintegration
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8887250B2 (en) * 2009-12-18 2014-11-11 Microsoft Corporation Techniques for accessing desktop applications using federated identity
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
KR101770297B1 (ko) * 2010-09-07 2017-09-05 삼성전자주식회사 온라인 서비스 접속 방법 및 그 장치
US8713589B2 (en) 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US8590017B2 (en) * 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
US9536074B2 (en) 2011-02-28 2017-01-03 Nokia Technologies Oy Method and apparatus for providing single sign-on for computation closures
US20120291096A1 (en) 2011-05-12 2012-11-15 Nokia Corporation Method and apparatus for secure signing and utilization of distributed computations
US8600061B2 (en) * 2011-06-24 2013-12-03 Broadcom Corporation Generating secure device secret key
WO2013012531A2 (en) * 2011-07-18 2013-01-24 Wwpass Corporation Authentication service
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
WO2013060695A1 (en) * 2011-10-24 2013-05-02 Koninklijke Kpn N.V. Secure distribution of content
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
FR2984555A1 (fr) * 2011-12-19 2013-06-21 Sagemcom Documents Sas Procede d'appairage d'un appareil electronique et d'un compte utilisateur au sein d'un service en ligne
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
GB2504457A (en) * 2012-06-06 2014-02-05 Univ Bruxelles Message authentication via distributed secret keys
US10091325B2 (en) 2012-10-30 2018-10-02 Elwha Llc Methods and systems for data services
US9088450B2 (en) 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US9886458B2 (en) * 2012-11-26 2018-02-06 Elwha Llc Methods and systems for managing one or more services and/or device data
US20140123325A1 (en) 2012-11-26 2014-05-01 Elwha Llc Methods and systems for managing data and/or services for devices
US9749206B2 (en) 2012-10-30 2017-08-29 Elwha Llc Methods and systems for monitoring and/or managing device data
US9626503B2 (en) 2012-11-26 2017-04-18 Elwha Llc Methods and systems for managing services and device data
WO2014137063A1 (ko) 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
US9282098B1 (en) 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US9037858B1 (en) * 2013-03-12 2015-05-19 Emc Corporation Distributed cryptography using distinct value sets each comprising at least one obscured secret value
US9203832B2 (en) * 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9628467B2 (en) 2013-03-15 2017-04-18 Aerohive Networks, Inc. Wireless device authentication and service access
US20140281502A1 (en) 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
WO2014202214A1 (en) * 2013-06-20 2014-12-24 Pharmathen S.A. Preparation of polylactide-polyglycolide microparticles having a sigmoidal release profile
US9521146B2 (en) * 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6398308B2 (ja) * 2014-05-15 2018-10-03 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
US9350545B1 (en) 2014-06-30 2016-05-24 Emc Corporation Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens
GB2530726B (en) 2014-09-25 2016-11-02 Ibm Distributed single sign-on
US9674158B2 (en) * 2015-07-28 2017-06-06 International Business Machines Corporation User authentication over networks
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9882901B2 (en) * 2015-12-14 2018-01-30 International Business Machines Corporation End-to-end protection for shrouded virtual servers
CN106341413A (zh) * 2016-09-29 2017-01-18 上海斐讯数据通信技术有限公司 一种portal认证方法及装置
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
EP3376421A1 (en) 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10116635B1 (en) * 2017-04-27 2018-10-30 Otis Elevator Company Mobile-based equipment service system using encrypted code offloading
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
US11509478B2 (en) * 2018-05-08 2022-11-22 Visa International Service Association Password based threshold token generation
EP3579595B1 (en) * 2018-06-05 2021-08-04 R2J Limited Improved system and method for internet access age-verification
KR20210050527A (ko) 2018-08-10 2021-05-07 티제로그룹, 인코포레이티드 투자자의 스마트 계약 기반 글로벌 레지스트리를 컨설팅하는 스마트 계약 기반 준수 규칙을 구현하는 자체 규제 증권형 토큰
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN109922042B (zh) * 2019-01-21 2020-07-03 北京邮电大学 遗失设备的子密钥管理方法和系统
US10862689B1 (en) * 2019-07-23 2020-12-08 Cyberark Software Ltd. Verification of client identities based on non-distributed data
CN111065097B (zh) * 2019-10-11 2021-08-10 上海交通大学 移动互联网中基于共享密钥的通道保护方法及系统
US11314876B2 (en) 2020-05-28 2022-04-26 Bank Of America Corporation System and method for managing built-in security for content distribution
US11652613B2 (en) * 2020-09-04 2023-05-16 Citrix Systems, Inc. Secure information exchange in federated authentication
US11343085B2 (en) * 2020-09-19 2022-05-24 International Business Machines Corporation Threshold encryption for broadcast content
US11792021B2 (en) 2021-06-11 2023-10-17 Humana Inc. Resiliency architecture for identity provisioning and verification
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices
CN113923056B (zh) * 2021-12-15 2022-03-15 天津联想协同科技有限公司 多网段网盘的匹配认证方法、装置、网盘及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
JP3620138B2 (ja) * 1996-02-05 2005-02-16 松下電器産業株式会社 鍵共有システム
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
EP1264463A2 (en) 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
US20030115452A1 (en) 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites
KR20020095815A (ko) 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP4148461B2 (ja) * 2003-01-15 2008-09-10 日本電信電話株式会社 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
KR100626341B1 (ko) 2003-05-12 2006-09-20 학교법인 호서학원 토큰을 이용한 무선 인증시스템과 그 인증방법
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法

Also Published As

Publication number Publication date
KR101265873B1 (ko) 2013-05-20
US7690026B2 (en) 2010-03-30
EP1917603B1 (en) 2018-09-19
CN100580657C (zh) 2010-01-13
EP1917603A4 (en) 2015-01-21
BRPI0615053A2 (pt) 2011-04-26
NO20080532L (no) 2008-05-21
EP1917603A1 (en) 2008-05-07
WO2007024626A1 (en) 2007-03-01
RU2417422C2 (ru) 2011-04-27
AU2006283634A1 (en) 2007-03-01
IL189131A (en) 2011-10-31
MX2008002504A (es) 2008-04-07
KR20080041220A (ko) 2008-05-09
ZA200801179B (en) 2009-06-24
CN101243438A (zh) 2008-08-13
JP2009505308A (ja) 2009-02-05
CA2619420A1 (en) 2007-03-01
IL189131A0 (en) 2008-08-07
US20070044143A1 (en) 2007-02-22
JP5009294B2 (ja) 2012-08-22
RU2008106779A (ru) 2009-08-27
CA2619420C (en) 2014-09-30

Similar Documents

Publication Publication Date Title
ES2701873T3 (es) Servicio de inicio de sesión único distribuido
US11757662B2 (en) Confidential authentication and provisioning
US8516566B2 (en) Systems and methods for using external authentication service for Kerberos pre-authentication
US10951423B2 (en) System and method for distribution of identity based key material and certificate
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US7562221B2 (en) Authentication method and apparatus utilizing proof-of-authentication module
US8281136B2 (en) Techniques for key distribution for use in encrypted communications
US9185111B2 (en) Cryptographic authentication techniques for mobile devices
MXPA04007547A (es) Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion.
Downnard Public-key cryptography extensions into Kerberos
Rana et al. Cryptanalysis and improvement of biometric based content distribution framework for digital rights management systems
US20240171380A1 (en) Methods and devices for authentication
Jacob et al. Security Enhancement of Single Sign on Mechanism for Distributed Computer Networks
RU2771928C2 (ru) Безопасный обмен данными, обеспечивающий прямую секретность
Roopa SSO-key distribution center based implementation using serpent encryption algorithm for distributed network (securing SSO in distributed network)
Thorat et al. Comparative study of various PKINIT methods used in Advanced Kerberos
Rodrıguez-Quintana et al. Secure Data Access in Hadoop Using Elliptic Curve Cryptography
Raluca et al. Using Kerberos to secure TLS Protocol