ES2895975T3 - Método para acceder a un recurso de ordenador seguro mediante una aplicación de ordenador - Google Patents
Método para acceder a un recurso de ordenador seguro mediante una aplicación de ordenador Download PDFInfo
- Publication number
- ES2895975T3 ES2895975T3 ES18706786T ES18706786T ES2895975T3 ES 2895975 T3 ES2895975 T3 ES 2895975T3 ES 18706786 T ES18706786 T ES 18706786T ES 18706786 T ES18706786 T ES 18706786T ES 2895975 T3 ES2895975 T3 ES 2895975T3
- Authority
- ES
- Spain
- Prior art keywords
- application
- resource
- fingerprint
- data
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
Método para acceder a un recurso de TI seguro (3) mediante una aplicación de TI (1) desprovista de la interacción hombre-máquina para ingresar información de autenticación, que comprende: a) una primera etapa de inicialización que comprende: a1) crear una clave criptográfica transitoria no registrada en una memoria permanente, que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento a2) encriptar los datos de autenticación de una cuenta autorizada para acceder a una caja fuerte de contraseña mediante el uso de la clave así calculada a3) registrar el resultado de esta encriptación, llamado archivo de credenciales, en una memoria permanente asociada con la aplicación b) etapas para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, que consisten en: b1) crear una clave criptográfica transitoria no registrada en una memoria permanente, que consiste en aplicar un procesamiento criptográfico a dicha información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento b2) leer el archivo de credenciales creado durante la etapa de inicialización y desencriptar dicho archivo de credenciales mediante el uso de dicha clave criptográfica transitoria calculada en la etapa anterior y b3) durante la primera ejecución del método después de la etapa de inicialización, b3-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI b3-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto b3-3) registrar dicha huella dactilar en forma encriptada en una memoria permanente asociada con la aplicación del resultado de este cálculo b3-4) transferir los datos de dicho recurso de TI a la aplicación que llama b4) durante las siguientes ejecuciones, b4-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI b4-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto b4-3) comparar la huella dactilar calculada con la huella dactilar registrada en la memoria local y b4-4a) en caso de diferencia, rechazar la transferencia de datos a la aplicación que llama b4-4b) en caso de cumplimiento, transferir los datos de dicho recurso de TI a la aplicación que llama.
Description
DESCRIPCIÓN
Método para acceder a un recurso de ordenador seguro mediante una aplicación de ordenador
Campo de la invención
La presente invención se refiere al campo de acceso a un recurso de TI seguro mediante una aplicación de TI desprovista de interacción hombre-máquina y, en particular, a la gestión de contraseñas de una aplicación a otra. Dicha invención se refiere, por ejemplo, a aplicaciones de TI alojadas en una plataforma de aplicaciones tal como “WebSphere Application Server” (nombre comercial). A manera de ejemplo, se relaciona con el acceso a aplicaciones alojadas en una plataforma WebSphere (nombre comercial de IBM) que ofrece un conjunto de soluciones desarrolladas que permiten desarrollar, desplegar y utilizar aplicaciones empresariales, incluso en casos complejos que involucran aplicaciones y hardware heterogéneos.
Muchas aplicaciones, servicios web y soluciones de software requieren acceso a recursos tales como bases de datos o servidores de archivos, por ejemplo. El acceso a estos recursos requiere autenticación, generalmente por medio de un nombre de cuenta y una contraseña.
Una solución para automatizar dicho proceso de comunicación es incluir la información de identificación de la aplicación en texto plano en archivos de configuración y secuencias de comandos.
Los administradores generalmente encuentran difícil identificar, cambiar y administrar estas contraseñas y, como resultado, las contraseñas permanecen estáticas y sin cambios, lo que crea brechas de seguridad.
Como resultado, los poderes permanecen sin cambios, lo que puede conducir a un acceso no autorizado a sistemas sensibles. Por lo tanto, las credenciales codificadas por hardware pueden facilitar el trabajo de los técnicos, pero también son un punto de lanzamiento fácil para los piratas informáticos.
Técnica anterior
Se han propuesto varias soluciones en la técnica anterior para automatizar la gestión de contraseñas en contextos de "aplicación a aplicación".
El documento US7823192 describe una solución que permite que aplicaciones seguras dispares se comuniquen directamente entre sí en un entorno de aplicación heterogéneo, al proporcionar la creación de tokens que se pueden pasar entre aplicaciones sin intervención humana.
En este documento de la técnica anterior, la información de seguridad se pasa entre aplicaciones en forma de un token con un tipo de datos de cadena que puede reconocerse por un gran número de aplicaciones. El token no tiene encabezado y, por lo tanto, no tiene una configuración de encabezado específica para la aplicación, lo que lo convierte en una plataforma independiente. Esto elimina la necesidad de convertir la información de seguridad entre diferentes formatos. El uso de tokens también elimina la necesidad de una solicitud de autenticación y autorización cada vez que envía un mensaje a otra aplicación. En lugar de un contexto o sesión permanente, se crea un contexto con cada invocación de una aplicación a otra.
El documento EP2122526 también es conocido y describe otra solución para la gestión de credenciales, que comprende:
- un módulo interceptor configurado para interceptar un proceso de credencial al recibir la solicitud por parte de una aplicación
- un módulo de configuración/ajustes configurado para leer las configuraciones y ajustes del sistema con el fin de administrar las credenciales de la aplicación
- un módulo de asociación de credenciales configurado para aplicar la lógica de asociación de credenciales sobre la base de las configuraciones y ajustes del sistema.
El documento US9160545 describe otra solución para el acceso seguro de "aplicación a aplicación" (A2A) y "aplicación de base de datos (A2DB)".
Este método implica recibir una solicitud de registro en un primer dispositivo digital para una primera aplicación, recibir un primer factor de programa asociado con la primera aplicación, confirmando de esta manera el primer factor de programa, generar una primera contraseña para una segunda aplicación basada, al menos, en la confirmación del primer factor de programa y proporcionar la primera contraseña a un segundo dispositivo digital. Además, el documento "Credential Manager A2A - CA Privileged Access Manager 2.7" también es un documento relevante de la técnica anterior.
Inconvenientes de la técnica anterior
Las soluciones de la técnica anterior no son completamente satisfactorias.
La solución propuesta por el documento US7823192 tiene el inconveniente de tener que modificar todas las aplicaciones de TI de destino alojadas, lo que a menudo no es posible, particularmente cuando el código fuente de la aplicación alojada no está disponible.
Estas soluciones también son parciales ya que no proporcionan soluciones para proteger la conexión y los datos de autenticación.
Finalmente, la solución propuesta por el documento US9160545 implica calcular una clave encriptada transmitida a la aplicación hospedada de destino. Esta solución no implica garantizar la clave de autenticación original, lo que implica una gran complejidad administrativa, particularmente en el caso de un cambio en la clave de autenticación de la aplicación alojada, por ejemplo, en el caso de una modificación de la aplicación alojada de destino o la instalación en el servidor de una nueva versión de la aplicación.
Solución de acuerdo con la invención
Para superar estos inconvenientes, la invención se refiere, en su sentido más general, a un método para acceder a un recurso de TI seguro mediante una aplicación de TI desprovista de interacción hombre-máquina para ingresar información de autenticación, que comprende:
a) una primera etapa de inicialización que comprende:
a1) crear una clave criptográfica transitoria (no registrada en memoria permanente) que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento
a2) encriptar los datos de autenticación de una cuenta autorizada para acceder a una caja fuerte de contraseña mediante el uso de la clave así calculada
a3) registrar el resultado de esta encriptación (un archivo de credenciales) en una memoria permanente asociada con la aplicación
b) etapas para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, que consisten en: b1) crear una clave criptográfica transitoria (no registrada en memoria permanente) que consiste en aplicar un procesamiento criptográfico a dicha información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento
b2) leer el archivo de credenciales creado durante la etapa de inicialización y desencriptar dicho archivo de credenciales mediante el uso de dicha clave criptográfica transitoria calculada en la etapa anterior y
b3) durante la primera ejecución del método después de la etapa de inicialización,
b3-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI
b3-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b3-3) registrar dicha huella dactilar en forma encriptada en una memoria permanente asociada con la aplicación del resultado de este cálculo
b3-4) transferir los datos de dicho recurso de TI a la aplicación que llama
b4) durante las siguientes ejecuciones,
b4-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI
b4-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b4-3) comparar la huella dactilar calculada con la huella dactilar registrada en la memoria local y b4-4a) en caso de diferencia, rechazar la transferencia de datos a la aplicación que llama
b4-4b) en caso de cumplimiento, transferir los datos de dicho recurso de TI a la aplicación que llama. De acuerdo con una primera variante, dicha huella dactilar se calcula de acuerdo con los datos digitales que comprenden la ruta de acceso al ejecutable de la aplicación, la almohadilla del código binario del ejecutable, la identidad bajo la que se ejecuta el proceso de aplicación.
De acuerdo con una segunda variante, la aplicación se ejecuta por un intérprete o una máquina virtual, y porque dicha huella dactilar se calcula de acuerdo con los datos obtenidos analizando la línea de comando del proceso y buscando el archivo correspondiente a la secuencia de comandos o pseudocódigo de la aplicación y calculando la almohadilla de dicho pseudocódigo.
De acuerdo con una tercera variante, la huella dactilar y los datos extraídos de la caja fuerte se almacenan en una memoria permanente local de forma encriptada en una caché local.
De acuerdo con una realización particular, la huella dactilar y los datos extraídos de la caja fuerte digital están protegidos mediante una técnica de ofuscación.
De acuerdo con una primera variante, la técnica de ofuscación estática consiste en eliminar el registro de puntero de trama o reemplazar constantes del programa con cálculos recursivos.
De acuerdo con una segunda variante, la técnica de ofuscación estática consiste en bloquear el acceso si se detecta una operación de depuración.
La invención también se refiere a un método para inicializar un proceso para acceder a un recurso de TI seguro mediante una aplicación de TI desprovista de interacción hombre-máquina para ingresar información de autenticación, de acuerdo con la reivindicación 1, así como a un método para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, de acuerdo con el método de acceso mencionado anteriormente.
Descripción detallada de una modalidad no limitante
La presente invención se entenderá mejor al leer la siguiente descripción detallada de una modalidad no limitante con referencia a los dibujos adjuntos, en los que:
- La Figura 1 es una vista esquemática funcional del contexto de la invención.
- La Figura 2 es una vista esquemática funcional del proceso de inicialización.
- La Figura 3 es una vista esquemática funcional de la invención.
Contexto de la invención
La Figura 1 es una vista esquemática de cómo funciona una solución para acceder a recursos, tales como una base de datos, mediante aplicaciones alojadas en WebSphere (nombre comercial).
Un ordenador del cliente (11) en el que está instalada una aplicación de tipo navegador web se comunica con un servidor web externo (10) (Apache, Nginx, IHS ..) mediante el uso del protocolo de comunicación HTTP(S) básico para enviar solicitudes (conexión al servidor, página de inicio ...).
Estas solicitudes se dirigen al servidor web interno (12) de un servidor de aplicaciones (1), que las dirige a un contenedor web (13). El navegador (11) puede conectarse directamente al servidor interno. En el ejemplo descrito, el servidor de aplicaciones (1) está aislado y las conexiones se realizan a través del servidor web externo (10).
El contenedor web (14) contiene Servlets y JSP (JPS contiene páginas web dinámicas y Servlets para crear datos dinámicamente) y se conecta cuando sea necesario a una aplicación o base de datos (3).
Los componentes del software EJB en el contenedor (13) pueden comunicarse con la base de datos (3) para recuperar, modificar, borrar datos, etc. La interfaz JDBC garantiza la conexión a cualquier base de datos Oracle, Mysql, etc.
Los clientes de servicios web, tales como las aplicaciones para dispositivos móviles o tabletas, pueden acceder al servidor de aplicaciones mediante el protocolo SOAP encapsulado en el protocolo HTTP y pasado directamente a través del servidor HTTP interno.
Un cliente Java puro (14) puede conectarse directamente al contenedor EJB (13) mediante el uso de los protocolos EMI/IIOP.
La aplicación (1) ejecutada en un servidor remoto (10) lee información de un archivo de configuración (2) que se almacena en el mismo servidor remoto, para conectarse a una base de datos local o remota (3) en el mismo o en un tercer servidor.
Modo de operación
El método de acuerdo con la invención se puede dividir en tres partes:
- un proceso de inicialización
- un proceso de acceso para una primera ejecución
- un proceso de acceso para ejecuciones posteriores.
Proceso de inicialización
El proceso ilustrado en la figura 2 consiste en calcular una clave criptográfica transitoria mediante la ejecución de un código informático en el servidor Websphere que aloja el recurso de destino, por ejemplo, una aplicación alojada. El usuario (4) lanza el comando correspondiente a la ejecución del método que es el objeto de la invención.
Esta ejecución ordena la etapa de inicialización.
Esta etapa consiste en pedir al usuario que ingrese los datos de autenticación necesarios para acceder a una caja fuerte digital en la que se almacenan los datos de autenticación de los recursos alojados a los que debe acceder la aplicación del servidor Websphere (nombre comercial). La caja fuerte digital se almacena en un dispositivo remoto, por ejemplo, una caja física o virtual.
El comando (6) recupera los datos de autenticación y los encripta aplicando un algoritmo criptográfico.
Para este propósito, el comando activa el cálculo de una clave transitoria mediante el uso de parámetros correspondientes a datos invariantes que caracterizan el entorno para ejecutar el comando. Estos son, por ejemplo: - el nombre o identificador del ordenador en el que se ejecuta el comando
- el nombre del comando
- el código ejecutable condensado de este comando
- el identificador del propietario del ejecutable.
Los datos de autenticación se encriptan con la clave transitoria calculada y almacenada por lo tanto en el servidor WebSphere en un archivo de credenciales (5).
Primer acceso al recurso alojado
La Figura 3 muestra el proceso para acceder al recurso alojado.
El lanzamiento del comando (6) por parte del servidor Websphere en el primer modo de acceso da como resultado la ejecución de una etapa de recuperación de los datos de autenticación que permiten el acceso al recurso, en forma encriptada, desde el archivo de credenciales (5).
El comando (6) lanza entonces una etapa (8) de desencriptar los datos de autenticación encriptados mediante el uso del algoritmo de desencriptado sobre la base de los mismos parámetros invariantes que los utilizados para calcular la clave de encriptado en la etapa de inicialización.
El comando inicia entonces una etapa (9) de acceso a la caja fuerte digital (10) que contiene los datos de autenticación para el recurso remoto (11) y calcula la huella dactilar de la aplicación que llama (12).
Los datos de autenticación para el recurso remoto (11) y la huella dactilar de la aplicación que llama (12) se encriptan con la clave utilizada para encriptar el archivo de credenciales, y los datos encriptados se almacenan en una memoria local (13) en el ordenador en que se ejecuta la aplicación Websphere.
La última etapa (14) es proporcionar los datos de autenticación (11) a la aplicación (12), para permitir el acceso (16) al recurso remoto (15).
Acceso posterior al recurso alojado
Las instancias de acceso posterior implementan las mismas etapas, excepto la etapa anterior a la etapa (14). Como la huella dactilar de la aplicación (12) ya está almacenada en la memoria local (13) durante el acceso inicial, esta huella dactilar ya almacenada se compara con la huella dactilar recién calculada.
Si las dos huellas dactilares difieren, el procesamiento se interrumpe y se envía un mensaje de error.
De cualquier otra manera, el proceso continúa con la etapa (14) de proporcionar los datos de autenticación (11) a la aplicación (12), para permitir el acceso (16) al recurso remoto (15).
Indisponibilidad de la caja fuerte (10)
Si el acceso a la caja fuerte (10) no es posible, los datos de autenticación ya almacenados en la memoria local (13) se utilizan sin actualizar.
Claims (10)
1. Método para acceder a un recurso de TI seguro (3) mediante una aplicación de TI (1) desprovista de la interacción hombre-máquina para ingresar información de autenticación, que comprende:
a) una primera etapa de inicialización que comprende:
a1) crear una clave criptográfica transitoria no registrada en una memoria permanente, que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento a2) encriptar los datos de autenticación de una cuenta autorizada para acceder a una caja fuerte de contraseña mediante el uso de la clave así calculada
a3) registrar el resultado de esta encriptación, llamado archivo de credenciales, en una memoria permanente asociada con la aplicación
b) etapas para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, que consisten en:
b1) crear una clave criptográfica transitoria no registrada en una memoria permanente, que consiste en aplicar un procesamiento criptográfico a dicha información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento
b2) leer el archivo de credenciales creado durante la etapa de inicialización y desencriptar dicho archivo de credenciales mediante el uso de dicha clave criptográfica transitoria calculada en la etapa anterior
y
b3) durante la primera ejecución del método después de la etapa de inicialización,
b3-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI b3-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b3-3) registrar dicha huella dactilar en forma encriptada en una memoria permanente asociada con la aplicación del resultado de este cálculo
b3-4) transferir los datos de dicho recurso de TI a la aplicación que llama
b4) durante las siguientes ejecuciones,
b4-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI b4-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b4-3) comparar la huella dactilar calculada con la huella dactilar registrada en la memoria local y
b4-4a) en caso de diferencia, rechazar la transferencia de datos a la aplicación que llama b4-4b) en caso de cumplimiento, transferir los datos de dicho recurso de TI a la aplicación que llama.
2. Método de acuerdo con la reivindicación 1, en donde dicha huella dactilar se calcula de acuerdo con los datos digitales que comprenden la ruta al ejecutable de la aplicación, la almohadilla del código binario del ejecutable, la identidad bajo la cual se ejecuta el proceso de aplicación.
3. Método de acuerdo con la reivindicación 1, en donde la aplicación se ejecuta por un intérprete o una máquina virtual, y en que dicha huella dactilar se calcula de acuerdo con los datos obtenidos analizando la línea de comando del proceso y buscando el archivo correspondiente a la secuencia de comandos o pseudocódigo de la aplicación y calculando la almohadilla de dicho pseudocódigo.
4. Método de acuerdo con la reivindicación 1, en donde la huella dactilar y los datos extraídos de la caja fuerte digital están protegidos por una técnica de ofuscación.
5. Método de acuerdo con la reivindicación 4, en donde la técnica de ofuscación estática consiste en eliminar el registro de puntero de trama.
6. Método de acuerdo con la reivindicación 4, en donde la técnica de ofuscación estática consiste en sustituir constantes del programa por cálculos recursivos.
7. Método de acuerdo con la reivindicación 5, en donde la técnica de ofuscación dinámica consiste en bloquear el acceso si se detecta una operación de depuración.
8. Método para inicializar un proceso para acceder a un recurso de TI seguro mediante una aplicación de TI desprovista de interacción hombre-máquina para ingresar información de autenticación, de acuerdo con la reivindicación 1, que comprende:
a) una primera etapa de inicialización que comprende:
a1) crear una clave criptográfica transitoria no registrada en una memoria permanente, que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento a2) encriptar, mediante el uso de la clave así calculada, los datos de autenticación de una cuenta autorizada para acceder a una caja fuerte de contraseñas
a3) registrar el resultado de esta encriptación, denominado archivo de credenciales, en una memoria permanente asociada a la aplicación.
9. Método para acceder automáticamente a dicho recurso de TI seguro mediante dicha aplicación, de acuerdo con la reivindicación 1, que comprende:
b) etapas para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, que consisten en:
b1) crear una clave criptográfica transitoria no registrada en memoria permanente, que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento b2) leer el archivo de credenciales creado durante la etapa de inicialización y desencriptar dicho archivo de credenciales mediante el uso de dicha clave criptográfica transitoria calculada en la etapa anterior
y
b3) durante la primera ejecución del método después de la etapa de inicialización,
b3-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI b3-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b3-3) registrar dicha huella dactilar en forma encriptada en una memoria permanente asociada con la aplicación del resultado de este cálculo
b3-4) transferir los datos de dicho recurso de TI a la aplicación que llama.
10. Método para acceder automáticamente a dicho recurso de TI seguro mediante dicha aplicación, de acuerdo con la reivindicación 1, que comprende:
b) etapas para acceder automáticamente a dicho recurso de TI seguro por dicha aplicación, que consisten en:
b1) crear una clave criptográfica transitoria no registrada en memoria permanente, que consiste en aplicar procesamiento criptográfico a información que es invariante en el tiempo y representativa del entorno de TI para ejecutar dicha aplicación, y registrar el resultado de este procesamiento b2) leer el archivo de credenciales creado durante la etapa de inicialización y desencriptar dicho archivo de credenciales mediante el uso de dicha clave criptográfica transitoria calculada en la etapa anterior
y durante las ejecuciones,
b4-1) solicitar de dicha caja fuerte, mediante identificación de dicho archivo de credenciales, extraer la información de autenticación necesaria para acceder a dicho recurso de TI
b4-2) calcular una huella dactilar del contexto de llamada de la aplicación de acuerdo con datos invariantes que son representativos de este contexto
b4-3) comparar la huella dactilar calculada con la huella dactilar registrada en la memoria local y b4-4a) en caso de diferencia, rechazar la transferencia de datos a la aplicación que llama b4-4b) en caso de cumplimiento, transferir los datos de dicho recurso de TI a la aplicación que llama.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1752004A FR3063822B1 (fr) | 2017-03-10 | 2017-03-10 | Procede d’acces a une ressource informatique securisee par une application informatique. |
| PCT/FR2018/050183 WO2018162810A1 (fr) | 2017-03-10 | 2018-01-26 | Procede d'acces a une ressource informatique securisee par une application informatique |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2895975T3 true ES2895975T3 (es) | 2022-02-23 |
Family
ID=59699741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES18706786T Active ES2895975T3 (es) | 2017-03-10 | 2018-01-26 | Método para acceder a un recurso de ordenador seguro mediante una aplicación de ordenador |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US11157610B2 (es) |
| EP (1) | EP3593270B1 (es) |
| CA (1) | CA3054991A1 (es) |
| DK (1) | DK3593270T3 (es) |
| ES (1) | ES2895975T3 (es) |
| FR (1) | FR3063822B1 (es) |
| PL (1) | PL3593270T3 (es) |
| WO (1) | WO2018162810A1 (es) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3091601B1 (fr) | 2019-01-04 | 2023-12-15 | Wallix | Procédé de connexion d’une application informatique à une ressource informatique sécurisée |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7823192B1 (en) | 2004-04-01 | 2010-10-26 | Sprint Communications Company L.P. | Application-to-application security in enterprise security services |
| US8468594B2 (en) | 2007-02-13 | 2013-06-18 | Cyber-Ark Software Ltd | Methods and systems for solving problems with hard-coded credentials |
| US9160545B2 (en) | 2009-06-22 | 2015-10-13 | Beyondtrust Software, Inc. | Systems and methods for A2A and A2DB security using program authentication factors |
| JP5570610B2 (ja) * | 2009-11-05 | 2014-08-13 | ヴイエムウェア インク | 遠隔ユーザ・セッションのためのシングル・サインオン |
| US9473485B2 (en) * | 2011-03-21 | 2016-10-18 | Blue Cedar Networks, Inc. | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing |
| IN2015DE01753A (es) * | 2015-06-11 | 2015-08-28 | Pradeep Varma | |
| CZ306210B6 (cs) * | 2015-07-07 | 2016-09-29 | Aducid S.R.O. | Způsob přiřazení alespoň dvou autentizačních zařízení k účtu jednoho uživatele pomocí autentizačního serveru |
| US9946874B2 (en) * | 2015-08-06 | 2018-04-17 | International Business Machines Corporation | Authenticating application legitimacy |
-
2017
- 2017-03-10 FR FR1752004A patent/FR3063822B1/fr active Active
-
2018
- 2018-01-26 DK DK18706786.3T patent/DK3593270T3/da active
- 2018-01-26 US US16/492,890 patent/US11157610B2/en active Active
- 2018-01-26 CA CA3054991A patent/CA3054991A1/fr active Pending
- 2018-01-26 PL PL18706786T patent/PL3593270T3/pl unknown
- 2018-01-26 WO PCT/FR2018/050183 patent/WO2018162810A1/fr active Application Filing
- 2018-01-26 ES ES18706786T patent/ES2895975T3/es active Active
- 2018-01-26 EP EP18706786.3A patent/EP3593270B1/fr active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3593270A1 (fr) | 2020-01-15 |
| WO2018162810A1 (fr) | 2018-09-13 |
| FR3063822B1 (fr) | 2019-03-15 |
| PL3593270T3 (pl) | 2021-12-27 |
| US11157610B2 (en) | 2021-10-26 |
| FR3063822A1 (fr) | 2018-09-14 |
| US20200074066A1 (en) | 2020-03-05 |
| EP3593270B1 (fr) | 2021-08-18 |
| CA3054991A1 (fr) | 2018-09-13 |
| DK3593270T3 (da) | 2021-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6625636B2 (ja) | サービスとしてのアイデンティティインフラストラクチャ | |
| US11184346B2 (en) | Secure asymmetric key application data sharing | |
| CN108369622B (zh) | 软件容器注册表服务 | |
| Pasquier et al. | CamFlow: Managed data-sharing for cloud services | |
| KR101720160B1 (ko) | 인간의 개입이 없는 어플리케이션들을 위한 인증 데이터베이스 커넥티비티 | |
| US10560476B2 (en) | Secure data storage system | |
| US9846778B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
| KR100996784B1 (ko) | 공개 키 암호화에 기초한 데이터의 저장 및 검색을 위한, 컴퓨팅 장치에서 구현되는 방법, 시스템 및 복수의 명령어를 저장하는 하나 이상의 컴퓨터 판독가능 매체 | |
| US9223807B2 (en) | Role-oriented database record field security model | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| BR112019022845B1 (pt) | Método e sistema fornecendo um acesso seguro ao banco de dados | |
| KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
| WO2018162060A1 (en) | Methods and devices for attesting an integrity of a virtual machine | |
| WO2022116761A1 (en) | Self auditing blockchain | |
| US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
| ES2895975T3 (es) | Método para acceder a un recurso de ordenador seguro mediante una aplicación de ordenador | |
| JP2023542527A (ja) | ヘテロジニアス暗号化を通したソフトウェア・アクセス | |
| US9509503B1 (en) | Encrypted boot volume access in resource-on-demand environments | |
| EP3886355B1 (en) | Decentralized management of data access and verification using data management hub | |
| US11750655B2 (en) | Registration of data at a sensor reader and request of data at the sensor reader | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| US20240054209A1 (en) | Identification of a computing device during authentication | |
| US11783070B2 (en) | Managing sensitive information using a trusted platform module | |
| Stöcklin | Evaluating SSH for modern deployments |