IT201600115265A1 - Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale. - Google Patents

Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.

Info

Publication number
IT201600115265A1
IT201600115265A1 IT102016000115265A IT201600115265A IT201600115265A1 IT 201600115265 A1 IT201600115265 A1 IT 201600115265A1 IT 102016000115265 A IT102016000115265 A IT 102016000115265A IT 201600115265 A IT201600115265 A IT 201600115265A IT 201600115265 A1 IT201600115265 A1 IT 201600115265A1
Authority
IT
Italy
Prior art keywords
user
subject
identification
authentication
telecommunication device
Prior art date
Application number
IT102016000115265A
Other languages
English (en)
Inventor
Massimiliano Zanella
Original Assignee
Seecod S R L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seecod S R L filed Critical Seecod S R L
Priority to IT102016000115265A priority Critical patent/IT201600115265A1/it
Publication of IT201600115265A1 publication Critical patent/IT201600115265A1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Description

“Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale”
DESCRIZIONE
La presente invenzione riguarda i sistemi informatici e più specificamente un procedimento ed un sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto o di un utente di un sistema o ambiente informatico fornitore/gestore di servizi secondo il preambolo della rivendicazione 1 e della rivendicazione 21.
Le attuali tecnologie di accesso a sistemi o ambienti informatici sono generalmente basate sull'uso di credenziali che comprendono un nome utente ed una password (parola d'ordine). Queste tecnologie, tuttavia, presentano livelli di sicurezza generalmente ritenuti insufficienti ed hanno lo svantaggio di richiedere all'utente di ricordare un gran numero di credenziali, preferibilmente diverse tra loro, per l'accesso a molteplici sistemi o ambienti, ossia per usufruire di molteplici servizi differenti tra loro, erogati da fornitori diversi.
Un'importante esigenza nell'ambito pubblico e privato è quella di assicurare che l'identità digitale degli utenti dei propri servizi, siano essi cittadini, clienti, soci o affiliati, sia conforme agli standard di sicurezza e garantisca appropriati livelli di certezza per dimostrare la vera identità di un utente che accede ad un sistema o ad un ambiente informatico, nel contempo fornendo ad esso ed al sistema una protezione da frodi, atti di pirateria informatica e simili crimini commessi sulle reti di telecomunicazioni mondiali.
La protezione delle informazioni in un'azienda è diventata una necessità per un'organizzazione moderna. Il furto di identità è uno dei crimini più diffusi sulla rete Internet. Frodi aventi ad oggetto una identità digitale sono anch'essi in crescita, e strumenti sempre più sofisticati sono adottati dai criminali per appropriarsi dell'identità digitale di soggetti ignari (cosiddette tecniche di phishing, man-in-the-middle, spoofing, DNS poisononig, malware, social engineering, ecc.).
Conseguentemente, diversi metodi sono stati sviluppati per migliorare la resistenza di un sistema di autenticazione ad attacchi di furto d'identità.
La criptazione elettronica è una moderna forma di crittografia impiegata per garantire la sicurezza dei dati, in particolare di messaggi o file scambiati su reti di telecomunicazioni. Essa opera codificando i contenuti del dato originale con una chiave digitale, permettendone la lettura soltanto da parte di chi possiede la chiave di decodifica corretta. Scopo principale della criptazione elettronica è quello di proteggere la confidenzialità dei dati digitali memorizzati su sistemi informatici e trasmessi attraverso reti di computer, quale ad esempio Internet.
La criptazione elettronica agisce come protezione dei contenuti di un messaggio prevenendone la interpretazione da parte di chi potesse intercettarlo. Essa tuttavia non previene la possibilità di intercettare dati criptati.
Gli attuali moderni algoritmi di criptazione elettronica giocano un ruolo cruciale nell'assicurare la sicurezza dei sistemi informatici e delle comunicazioni poiché sono in grado di fornire anche ulteriori elementi chiave orientati alla sicurezza, ossia:
- l'autenticità, ovvero la possibilità di verificare l'origine di un messaggio;
- l'integrità, ovvero la possibilità di provare se il contenuto di un messaggio è stato modificato dopo la sua sottomissione; e
- l'impossibilità di ripudio, ovvero il fatto che il mittente del messaggio non possa negare di avere inviato tale messaggio.
Con il termine autenticazione si indica invece un meccanismo di associazione di una richiesta di accesso ricevuta da un sistema informatico ad un insieme di credenziali di identificazione del soggetto che ha avanzato tale richiesta.
Un processo di autenticazione opera determinando se l'utente che avanza una richiesta sia effettivamente colui che dichiara di essere. Durante un processo di autenticazione le credenziali che vengono fornite al sistema informatico di destinazione dell'accesso sono confrontate con credenziali memorizzate localmente o presso un server esterno di autenticazione in una precedente fase di registrazione al sistema informatico da parte dell'utente medesimo. Se le credenziali corrispondono, il processo di autenticazione è completato e l'utente è autorizzato all'accesso.
I tre più comuni fattori di autenticazione, ossia le tre più comuni categorie di credenziali utilizzate per la verifica dell'identità di un utente di un sistema informatico (ovvero di un utente fruitore di un servizio erogato per via informatica o telematica), sono:
- il fattore di conoscenza, che si riferisce a credenziali di autenticazione che consistono di informazioni note all'utente, come ad esempio un numero di identificazione personale o PIN, un nome, una parola d'ordine (password), una risposta ad una domanda prestabilita o una sequenza (di caratteri o di movimenti di sfioramento su uno schermo tattile);
- il fattore di possesso, che si riferisce a credenziali di autenticazione basate su oggetti che un utente possiede e reca con sé, tipicamente un codice emesso da dispositivo hardware come un token di sicurezza o un telefonico portatile cui è installata un'applicazione atta a generare un token di sicurezza;
- il fattore intrinseco all'utente, che si riferisce a credenziali di autenticazione che consistono di elementi propri dell'utente, ad esempio i suoi dati biometrici.
Processi di autenticazione multi-fattore sono meccanismi di sicurezza complessi in cui un utente è autenticato attraverso una pluralità di categorie di credenziali tra quelle descritte sopra, realizzando una autenticazione sulla base di una combinazione di tecniche di autenticazione logiche, fisiche e biometriche.
Un procedimento di autenticazione per via biometrica utilizza una di differenti tecniche di identificazione di un soggetto includenti il rilevamento di una caratteristica biometrica quale una espressione facciale, una impronta digitale, un timbro vocale o un'iride. Un dispositivo di scansione di una caratteristica biometrica è predisposto per acquisire una caratteristica biometrica prescelta di un soggetto e convertirla in una informazione digitale può essere interpretata da un elaboratore preposto alla sua verifica.
Poiché l'autenticazione di un utente presso un sistema o ambiente informatico eseguita sulla base della immissione di parole d'ordine (password) presenta notevoli limitazioni in termini di sicurezza, il riconoscimento di caratteristiche biometriche si sta imponendo come una tecnologia più sicura, poiché rende decisamente più difficile entrare in possesso dei dati biometrici di una persona e al contempo è assai poco probabile che un soggetto commetta errori nella presentazione di tali dati (la dimenticanza di una password e la ripetizione di tentativi di accesso infruttuosi possono portare alla blocco dell'accesso).
La scelta più diffusa al giorno d'oggi tra i sistemi di identificazione biometrica ricade sulle impronte digitali, in quanto uniche e permanenti nel tempo, nonché facili da acquisire e disponibili in numero maggiore rispetto ad altre proprietà biometriche singolari. Inoltre, l'identificazione di soggetti mediati impronte digitali, indipendentemente dagli innovativi mezzi di acquisizione elettronici, è adottata da tantissimi anni e regolamentata da norme di legge in quasi tutti i paesi del mondo.
Lo sviluppo delle tecniche di identificazione sopra elencate ha portato all'adozione di corrispondenti norme in Europa (ISO 29115) e negli Stati Uniti (SP 800-63-1) in tema di identificazione elettronica.
La norma europea ISO 29115 (raccomandazione ITU-T X.1254) definisce quattro livelli di sicurezza (LoA, Level of Assurance), rispettivamente un primo livello di minima sicurezza che non richiede l'utilizzo di tecnologie di autenticazione sofisticate, ma si basa sulla presentazione di un nome utente e/o di una password che corrispondono ad un nome utente e/o password registrati, un secondo livello di sicurezza basato su tecniche di autenticazione a singolo fattore, in cui un autenticazione ha successo se un soggetto è in grado di provare che ha il controllo delle credenziali di accesso attraverso un protocollo di autenticazione sicuro, un terzo livello di sicurezza più elevato basato sull'utilizzo di tecniche di autenticazione multifattore in cui l'informazione indicativa dell'identità del soggetto è verificata e le informazioni scambiate dai protocolli di autenticazione sono cifrate, ed infine un quarto livello di sicurezza di massimo grado basato sull'acquisizione di una prova dell'identità del soggetto che richiede l'accesso e sull'impiego dei dispositivi hardware a prova di manomissione per la memorizzazione delle chiavi di cifratura.
La presente invenzione si prefigge lo scopo di realizzare un procedimento ed un sistema di identificazione ed autenticazione dell'identità digitale di un soggetto che sia efficiente, sicuro e semplice da utilizzare, evitando gli inconvenienti della tecnica nota.
La presente invenzione si prefigge inoltre lo scopo di realizzare un procedimento ed un sistema di identificazione ed autenticazione dell'identità digitale di un utente di un sistema o ambiente informatico fornitore/gestore di servizi in grado di offrire, agli utenti che richiedono di accedere a detto sistema o ambiente informatico, un processo di accesso semplificato, ma al contempo sicuro, evitando gli inconvenienti della tecnica nota.
Ulteriore scopo della presente invenzione è quello di fornire un procedimento ed un sistema di identificazione ed autenticazione di un soggetto che possa cooperare con preesistenti sistemi di gestione di identità, ed in particolare di identità digitali, per certificare l'identificazione ed autenticazione di una identità digitale.
Secondo la presente invenzione tali scopi vengono raggiunti grazie ad un procedimento informatico di identificazione ed autenticazione dell'identità digitale di un soggetto o di un utente di un sistema o ambiente informatico fornitore/gestore di servizi, il quale soggetto o utente è in possesso di un dispositivo di telecomunicazione mobile personale, avente le caratteristiche richiamate nella rivendicazione 1.
Modi particolari di realizzazione formano oggetto delle rivendicazioni dipendenti, il cui contenuto è da intendersi come parte integrale o integrante della presente descrizione.
Forma ulteriore oggetto dell'invenzione un sistema di elaborazione per l'identificazione e l'autenticazione dell'identità digitale di un soggetto o di un utente di un sistema o ambiente informatico fornitore/gestore di servizi, il quale soggetto o utente è in possesso di un dispositivo di telecomunicazione mobile personale, ed un programma di elaborazione o gruppo di programmi eseguibile/i da un sistema di elaborazione, come rivendicato.
In sintesi, la presente invenzione si fonda sul principio di realizzare l'identificazione di un soggetto o di un utente che intende accedere ad un sistema informatico o ad un ambiente informatico mediante l'accoppiamento o combinazione di tre tipologie di informazioni differenti relative al soggetto o utente medesimo, rispettivamente:
- un primo dato identificativo di credenziali del soggetto o utente, comprendenti almeno uno tra un fattore di autenticazione per conoscenza (ad esempio, una password), un fattore di autenticazione per possesso (ad esempio, un token), o un fattore autenticazione intrinseco (ad esempio, una impronta digitale);
- un secondo dato includente un identificativo hardware univoco di un dispositivo di telecomunicazione mobile personale associato al soggetto o utente con cui esso è registrato al servizio e preferibilmente (ma non esclusivamente) effettua l'accesso al sistema o ambiente informatico, quale ad esempio l'identificativo IMEI di un dispositivo di telecomunicazione mobile; ed
- un terzo dato includente un identificativo univoco dell'identità internazionale del soggetto o utente in un servizio di telecomunicazioni, quale ad esempio il codice IMSI assegnato all'utente in forza di un contratto di servizi stipulato con un operatore telefonico di telefonia mobile.
La presente invenzione permette di creare una identità digitale di un soggetto o di un utente di un sistema o ambiente informatico fornitore/gestore di servizi presso un sistema informatico di identi ficazione e autenticazione o sistema informatico di controllo, realizzando differenti livelli di sicurezza o classi di una classificazione di livello di affidabilità o di veridicità di una identità digitale, o più brevemente classificazione di identità digitale, secondo l'invenzione. Tali livelli o classi corrispondono al livello di sicurezza LoA4 secondo la norma europea ISO 29115 (raccomandazione ITU-T X.1254), i quali possono essere definiti come:
- un primo livello di identificazione elettronica di base (prima classe della classificazione di identità digitale secondo l'invenzione, cosiddetta identità digitale riconosciuta), attribuito mediante l'accoppiamento o combinazione in un codice identificativo univoco di utente presso un sistema informatico di controllo delle suddette tre tipologie di informazioni, includenti un primo dato identificativo di credenziali del soggetto o utente, un secondo dato includente un identificativo hardware univoco di un dispositivo di telecomunicazione mobile personale associato al soggetto o utente ed un terzo dato includente un identificativo univoco dell'identità internazionale del soggetto o utente in un servizio di telecomunicazioni;
- un secondo livello di identificazione elettronica (seconda classe della classificazione di identità digitale secondo l'invenzione, cosiddetta identità digitale verificata), attribuito mediante il confronto dei dati personali del soggetto o utente associati a detto codice identificativo univoco di utente e registrati presso il sistema informatico di controllo con corrispondenti dati personali del soggetto o utente verificati con un documento di identità ufficiale reale o digitale e memorizzati presso un sistema informatico di una entità di attestazione estranea a detto sistema informatico di controllo che è una entità presso la quale il soggetto o l'utente ha precedentemente sottoscritto un contratto di servizi.
- un terzo livello di identificazione elettronica (terza classe della classificazione di identità digitale secondo l'invenzione, cosiddetta identità digitale certificata), attribuito mediante il confronto dei dati personali del soggetto o utente associati a detto codice identificativo univoco di utente e registrati presso il sistema informatico di controllo con corrispondenti dati personali del soggetto o utente verificati con un documento di identità ufficiale reale o digitale e memorizzati presso un sistema informatico di una entità di attestazione estranea a detto sistema informatico di controllo che è un ente di certificazione ufficiale, quale ad esempio un ente di pubblica amministrazione.
Per analogia con quanto precede, un terzo livello di identificazione elettronica (ossia una terza classe della classificazione di identità digitale secondo l'invenzione, o identità digitale certificata) può essere ottenuta e riconosciuta nell'ambito ristretto di una azienda o organizzazione lavorativa per confronto dei dati personali del soggetto o utente associati a detto codice identificativo univoco di utente e registrati presso il sistema informatico di controllo con corrispondenti dati personali del soggetto o utente verificati con un documento di identità ufficiale reale o digitale da parte di detta azienda o organizzazione e memorizzati presso un sistema informatico di detta azienda o organizzazione.
A titolo di ulteriore alternativa, un secondo o terzo livello di identificazione elettronica (seconda o terza classe della classificazione di identità digitale secondo l'invenzione) può ottenersi se i dati personali del soggetto o utente, associati a detto codice identificativo univoco di utente e registrati presso il sistema informatico di controllo, sono convalidati, oppure confrontati con corrispondenti dati personali del soggetto o utente comunicati, da una pluralità predeterminata di utenti identificabili ai quali - presso detto sistema informatico di controllo - è stata precedentemente attribuita una seconda o una terza classe di identità digitale.
In una ulteriore forma di realizzazione dell'invenzione, i dati personali del soggetto o utente associati a detto codice identificativo univoco di utente e registrati presso il sistema informatico di controllo sono confrontati con corrispondenti dati personali del soggetto o utente verificati con un documento di identità ufficiale reale presso detto sistema informatico di controllo medesimo per ottenere almeno una seconda classe di detta classificazione di identità digitale. In questo caso, nella forma di realizzazione attualmente preferita, la verifica dei dati personali del soggetto o utente presso il sistema informatico di controllo include la acquisizione presso detto sistema informatico di controllo di una immagine includente un ritratto del viso del soggetto o utente e/o un ritratto di un documento di identità ufficiale reale del soggetto o utente, ciò che è ottenibile ad esempio mediante un autoritratto fotografico (selfie) che mostri il soggetto ed il suo documento di identità.
Le suddette classi di identità digitali possono ad esempio essere messi in relazione con diverse tipologie di servizio a cui un soggetto o utente desidera accedere, quali ad esempio online banking, account personali di e-commerce, account aziendali ed applicazioni di fornitori di servizi.
Per l'attuazione del procedimento secondo l'invenzione, i dati personali del soggetto o utente includono preferibilmente dati biometrici del soggetto o utente, in particolare almeno un dato indicativo di una tra una fisionomia del volto del soggetto o utente, una impronta digitale del soggetto o utente, un'iride del soggetto o utente, una impronta vocale del soggetto o utente.
Vantaggiosamente, il livello di identificazione elettronica, ossia la classe della classificazione di identità digitale secondo l'invenzione, può essere espresso tramite un dato che è convenientemente associato al (ad esempio, incluso nel) codice identificativo univoco di utente o registrato presso il sistema informatico di controllo e associato al codice identificativo univoco di utente presso il sistema informatico di controllo cosicché il sistema informatico di controllo può consentire oppure no l'accesso ad un predeterminato sistema o ambiente informatico fornitore/gestore di servizi da parte dell'utente in funzione della sua classe di identità digitale.
Inoltre, l'attribuzione di un livello di identificazione elettronica, ossia di una classe della classificazione di identità digitale secondo l'invenzione, può essere permanente (preferibilmente per una prima classe di identità digitale) o di lunga durata (preferibilmente per una seconda classe di identità digitale)), ossia essere valida fino ad una successiva richiesta di aggiornamento della medesima da parte dell'utente o fino ad una predeterminata scadenza, oppure temporanea (preferibilmente per una terza classe di identità digitale), nel caso in cui i dati personali del soggetto o utente registrati presso il sistema informatico di controllo siano confrontati con corrispondenti dati personali del soggetto o utente memorizzati in una carta a microprocessore costituente un documento di identità ufficiale digitale, quale una carta d'identità elettronica o analoghi documenti di identità personali emessi o autorizzati da Stati quale, a titolo di esempio, la Carta Nazionale dei Servizi in Italia.
Il procedimento di identificazione ed autenticazione secondo l'invenzione prevede una registrazione di un soggetto o utente presso un sistema informatico di controllo, che si pone come intermediario tra il soggetto o utente ed un fornitore/gestore di servizi di cui detto soggetto o utente fruisce, il quale realizza l'identificazione dell'utente creando un suo codice identificativo digitale univoco (UserID) sulla base della combinazione di detto primo dato identificativo di credenziali dell'utente, di detto secondo dato includente un identificativo hardware univoco di un dispositivo di telecomunicazione associato all'utente ed di detto terzo dato includente un identificativo univoco dell'identità internazionale dell'utente in un servizio di telecomunicazioni.
Il sistema informatico di controllo include un ambiente informatico di raccolta ed elaborazione dati realizzato come applicazione residente sul dispositivo di telecomunicazione mobile personale dell'utente, ed un sistema di elaborazione e banca dati per la verifica dei dati raccolti ed elaborati presso l'ambiente informatico, residente presso uno o più server di elaborazione accessibili dal dispositivo di telecomunicazione dell'utente.
In una prima forma di realizzazione il procedimento di identificazione ed autenticazione dell'identità digitale oggetto dell'invenzione opera ad ogni richiesta di accesso di un utente ad un sistema o ambiente informatico di un fornitore/gestore di servizi terzo (ad esempio, un sistema o ambiente presso cui l'utente possiede un account registrato).
L'ambiente informatico di raccolta ed elaborazione dati opera, alla suddetta richiesta di accesso, richiedendo all'utente di inserire il primo dato identificativo di credenziali dell'utente ed abbinando automaticamente a detto primo dato il secondo dato includente un identificativo hardware univoco del dispositivo di telecomunicazione con cui l'utente si collega al sistema informatico di controllo, il terzo dato includente un identificativo univoco dell'identità internazionale dell'utente nel servizio di telecomunicazione attraverso il quale esso si collega al sistema informatico di controllo, e il codice identificativo digitale univoco (UserID).
Questi dati sono trasmessi al sistema di banca dati e verifica ed in funzione dell'esito della verifica il sistema informatico di controllo acconsente o proibisce l'accesso al sistema o all'ambiente informatico del fornitore/gestore di servizi terzo da parte dell'utente.
Il procedimento oggetto dell'invenzione consente di poter accedere a fornitori/gestori di servizi non solo attraverso l'applicazione residente sul dispositivo di telecomunicazione mobile personale del soggetto o utente registrato, ma anche -essendo forniti di un dispositivo di telecomunicazione mobile personale, che viene identificato come dispositivo univoco certificato - da qualsiasi altro dispositivo di telecomunicazione generico temporaneamente in possesso o in uso al soggetto o utente medesimo, come ad esempio PC, tablet, smart TV, telefoni DTMF, laptop, decoder TV, smart watch ecc..
Il consenso all'accesso al sistema o all'ambiente informatico di un fornitore/gestore di servizi terzo da parte dell'utente avviene tramite la generazione di una chiave d'accesso temporanea, in particolare una chiave di accesso monouso, o una istruzione di indirizzamento verso detto sistema o ambiente informatico fornitore/gestore di servizi. La chiave d'accesso temporanea è generata dal sistema informatico di controllo e trasmessa all'utente (al dispositivo di telecomunicazione mobile personale dell'utente) e da questi al fornitore/gestore di servizi, o è direttamente ed automaticamente trasmessa al fornitore/gestore di servizi, il quale richiede al sistema informatico di controllo la verifica della validità della parola d'ordine ricevuta, convenientemente trasmettendovi insieme un proprio identificativo di fornitore/gestore di servizi attribuito per assicurare al sistema informatico di controllo che la suddetta richiesta proviene da un fornitore/gestore di servizi abilitato.
Nella forma di realizzazione in cui l'accesso a fornitori/gestori di servizi avviene attraverso un dispositivo di telecomunicazione generico temporaneamente in possesso o in uso al soggetto o utente, la chiave di accesso temporanea è comunicata al sistema o ambiente informatico fornitore/gestore di servizi dal dispositivo di telecomunicazione temporaneamente in uso al soggetto o utente e l'accesso al sistema o ambiente informatico fornitore/gestore di servizi da parte di detto dispositivo di telecomunicazione temporaneamente in uso è consentito dopo una istruzione di conferma impartita attraverso il dispositivo di telecomunicazione mobile personale dell'utente al sistema informatico di controllo.
In una forma di realizzazione attualmente preferita, una comunicazione di consenso o di inibizione è trasmessa dal sistema di banca dati e verifica al dispositivo di telecomunicazione mobile personale dell'utente su cui è generato l'ambiente informatico di raccolta ed elaborazione dati, in un canale di banda differente dal canale di banda sul quale sono trasmessi la richiesta ed i dati ad essa associati.
Vantaggiosamente, la chiave d'accesso temporanea è un elemento tra un codice alfanumerico, un codice grafico, un segnale audio, una immagine statica, una immagine in movimento. Ad esempio, essa può essere generata sotto forma di un codice grafico (QRcode) per cui la trasmissione della chiave d'accesso dall'utente (dal dispositivo di telecomunicazione mobile personale dell'utente) al fornitore/gestore di servizi può avvenire anche attraverso una acquisizione della chiave d'accesso da parte del fornitore/gestore di servizi, ad esempio, per scansione del QRcode da parte di un dispositivo lettore, quale un terminale POS, predisposto per eseguire una applicazione di transazione finanziaria elettronica presso un esercente.
Vantaggiosamente, attraverso l'accesso all'ambiente informatico di raccolta ed elaborazione dati del sistema informatico di controllo l'utente può accedere a sistemi ed ambienti informatici di terze parti che delegano il processo di riconoscimento dell'utente al sistema informatico di controllo oggetto dell'invenzione.
L'ambiente informatico di raccolta ed elaborazione dati oggetto dell'invenzione può essere realizzato mediante una applicazione software installabile sul dispositivo di telecomunicazione mobile personale di un utente, che è predisposta per lo scambio di dati con almeno un server remoto di elaborazione. L'utente, scaricando ed installando sul proprio dispositivo di telecomunicazione mobile personale la suddetta applicazione è in grado di registrarsi ed accedere a servizi, quali ad esempio servizi per transazioni bancarie on-line, conti personali per attività di commercio elettronico, profili e conti presso società diverse, applicazioni per clienti di fornitori di servizi di telecomunicazione, senza la necessità di fornire le specifiche credenziali impostate per ciascun servizio ogni qualvolta che viene lanciata o che viene acceduta la specifica applicazione.
In una seconda forma di realizzazione il procedimento di identificazione ed autenticazione dell'identità digitale oggetto dell'invenzione opera ad ogni richiesta di identificazione certa di un soggetto, ad esempio nell'ambito dell'erogazione di un servizio in un ambiente differente dall'ambiente informatico.
Per questo, l'invenzione trova anche applicazione nella identificazione ed autenticazione certificata di un soggetto utilizzabile per l'accesso a piattaforme digitali (ad esempio, piattaforme digitali a cui un soggetto si collega tramite un dispositivo di comunicazione non proprio, quale un dispositivo di comunicazione pubblico), a dispositivi o aree con accesso regolamentato (ad esempio, tornelli o apriporta o dispositivi di rilevamento presenze presso varchi di accesso) o a servizi erogati da operatori umani (ad esempio, consegne di corrispondenza personalizzata).
In questa seconda forma di realizzazione, un dispositivo di telecomunicazione di riconoscimento (quale ad esempio un dispositivo automatico di rilevamento presenze presso un varco di accesso non presidiato) o un operatore in possesso di un dispositivo di assistenza personale con facoltà di telecomunicazione richiede, al sistema informatico di controllo, una identificazione di un soggetto che si presenta ad esso. Tale richiesta avviene mediante invio di uno tra le credenziali del soggetto (ad esempio, per impressione di una impronta digitale su un apposito lettore o area di acquisizione del dispositivo di riconoscimento), i dati personali del soggetto, dati di alias, preferibilmente temporanei, del soggetto che quest'ultimo ha fornito, o ancora un codice identificativo di un prodotto/servizio destinato al soggetto precedentemente associati al codice identificativo univoco di utente.
In conseguenza della richiesta di identificazione del soggetto trasmessa dal dispositivo di telecomunicazione di riconoscimento al sistema informatico di controllo, il sistema informatico di controllo richiede o attende la trasmissione del codice identificativo univoco di utente tramite il dispositivo di telecomunicazione mobile personale del soggetto, e una volta ottenuto detto codice confronta le credenziali del soggetto, o i suoi dati personali o i suoi dati di alias o il codice identificativo di prodotto/servizio trasmessi dal dispositivo di telecomunicazione di riconoscimento con le credenziali o i dati personali o i dati di alias o il codice identificativo di prodotto/servizio associati al codice identificativo univoco di utente del soggetto.
In una variante alternativa di questa seconda forma di realizzazione, in conseguenza della richiesta di identificazione di un soggetto trasmessa dal dispositivo di telecomunicazione di riconoscimento al sistema informatico di controllo, il sistema informatico di controllo genera un codice di identificazione temporaneo di utente, ad esempio un codice grafico quale un codice a barre bidimensionale (QRcode), e trasmette detto codice di identificazione temporaneo di utente al dispositivo di telecomunicazione mobile personale del soggetto ed al dispositivo di telecomunicazione di riconoscimento. Il dispositivo di telecomunicazione di riconoscimento confronta detto codice di identificazione temporaneo di utente ricevuto dal sistema informatico di controllo con il codice di identificazione temporaneo di utente in possesso del dispositivo di telecomunicazione mobile personale del soggetto. In questa seconda forma di realizzazione, il segnale di consenso è un segnale di avvenuta identificazione del soggetto ed è trasmesso al dispositivo di telecomunicazione di riconoscimento.
Ulteriori caratteristiche e vantaggi dell'invenzione verranno più dettagliatamente esposti nella descrizione particolareggiata seguente di una sua forma di attuazione, data a titolo di esempio non limitativo, con riferimento ai disegni allegati, nei quali:
le figure 1a e 1b sono diagrammi schematici di un sistema informatico di controllo dell'identità digitale di un soggetto o di un utente secondo l'invenzione;
la figura 2 è un diagramma schematico del sistema oggetto dell'invenzione in rapporto ad entità di attestazione estranee per la definizione di classi di una classificazione di identità digitale;
la figura 3 è un diagramma schematico del sistema oggetto dell'invenzione in rapporto ad una molteplicità di possibili dispositivi di telecomunicazione in possesso di un soggetto o di un utente;
la figura 4 è una rappresentazione schematica dei mezzi per l'attribuzione di livelli di sicurezza o classi di una classificazione di identità digitale gestiti secondo l'invenzione;
la figura 5 è un diagramma schematico della operatività del sistema oggetto dell'invenzione nella attribuzione di una terza classe di identità digitale;
la figura 6 è un diagramma schematico della operatività del sistema oggetto dell'invenzione nella gestione di una terza classe di identità digitale;
la figura 7 mostra un diagramma di sequenza rappresentativo di uno scenario di registrazione di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, in cui l'identità digitale dell'utente è una identità digitale riconosciuta ai sensi di un primo livello di identificazione secondo l'invenzione;
la figura 8 mostra un diagramma di sequenza rappresentativo di uno scenario di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione;
la figura 9 mostra un diagramma di sequenza rappresentativo di uno scenario di insuccesso di un tentativo di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione;
le figure 10 e 11 mostrano rispettivi diagrammi di sequenza rappresentativi di uno scenario di aggiunta di un account di utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, nel caso di un servizio di nuova sottoscrizione o di un servizio a cui l'utente è già sottoscritto;
le figure 12 e 13 mostrano diagrammi di sequenza rappresentativi di uno scenario di registrazione di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, in cui l'identità digitale dell'utente è una identità digitale verificata ai sensi di un secondo livello di identificazione secondo l'invenzione;
le figure 14 e 15 mostrano diagrammi di sequenza rappresentativi di uno scenario di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, rispettivamente per il tramite di un dispositivo di telecomunicazioni in possesso dell'utente differente dal dispositivo di telecomunicazione mobile personale dell'utente per la sua identificazione in sede di registrazione al sistema di controllo (identificazione ed autenticazione) della presente invenzione, o per il tramite di un dispositivo telefonico DTMF;
la figura 16 mostra un diagramma di sequenza rappresentativo di uno scenario di associazione di un ambiente informatico di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo secondo la presente invenzione con un ambiente informatico generato da una applicazione software di interfaccia di un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo secondo la presente invenzione; e
le figure 17 e 18 mostrano diagrammi di sequenza rappresentativi di uno scenario di accesso di un utente ad un fornitore/gestore di servizi per il tramite del sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, rispettivamente in una modalità manuale ed in una modalità automatica.
Lo scopo della descrizione che segue è quello di fornire una conoscenza di base del procedimento oggetto dell'invenzione e descrivere il contesto in cui esso opera attraverso la certificazione di identità digitale di un soggetto o utente, con riferimento alla architettura di front end del sistema che lo realizza.
Nelle figure elementi o componenti identici o funzionalmente equivalenti sono stati indicati con i medesimi riferimenti.
Con riferimento alle figure 1a e 1b è mostrato nelle linee essenziali un sistema informatico per l'identificazione ed autenticazione di un utente per il controllo di un accesso a sistemi o ambienti informatici, secondo l'invenzione. Esso comprende un sistema informatico di controllo S, ad esempio comprendente uno o più primi server S1 collegati in rete tra loro ed affacciati ad una rete di telecomunicazioni quale una rete di comunicazione WAN o una rete di comunicazione mondiale (ad esempio, Internet).
I primi server S1 sono predisposti per elaborare gruppi o moduli di programmi di elaborazione e calcolo memorizzati su disco o accessibili in rete, che realizzano il procedimento di identificazione e autenticazione secondo l'invenzione, come verrà più avanti descritto in dettaglio.
Il sistema informatico di controllo S secondo l'invenzione comprende inoltre uno o più secondi server S2, collegati ai primi server S1 attraverso una connessione dedicata diretta o per mezzo di una connessione di rete, ed atti a contenere memorizzate banche dati di utenti registrati. Le banche dati di utenti registrati contengono preferibilmente, ma non esclusivamente, dati personali di soggetti o utenti registrati al sistema di controllo (identificazione ed autenticazione) ed i corrispondenti codici identificativi univoci di utente oggetto dell'invenzione ed eventuali dati indicativi della classe di classificazione di identità digitale dei rispettivi soggetti o utenti.
I primi server S1 ed i secondi server S2 possono essere replicati per estendere le potenzialità del sistema.
Naturalmente, le banche dati possono essere anche memorizzate, se di dimensioni limitate, in una o più unità di memoria dei primi server S1 senza che ciò cambi le caratteristiche dell'invenzione.
Inoltre, il sistema può consistere in un sistema di elaborazione di tipo distribuito, ma tali soluzioni qui richiamate sono considerate ben note nella tecnica e non saranno ulteriormente descritte in questa sede perché di per sé non rilevanti ai fini dell'attuazione e della comprensione della presente invenzione.
Con U è indicato genericamente un soggetto o utente in possesso di un dispositivo di telecomunicazione mobile personale D su cui è residente una applicazione che realizza l'ambiente informatico di raccolta ed elaborazione dati, o ambiente informatico di identificazione ed autenticazione, oggetto della presente invenzione. Il dispositivo D è equipaggiato con mezzi di inserimento di dati, quali -a titolo esemplificativo - uno schermo a sfioramento, tasti di comando, mezzi di acquisizione di immagini, mezzi di riconoscimento vocale o mezzi di riconoscimento di caratteristica biometrica, atti a consentire l'inserimento di un primo dato identificativo di credenziali dell'utente, includente almeno uno tra un fattore di conoscenza (ad esempio, una password, un PIN o una sequenza) un fattore di possesso (ad esempio, un token), o un fattore intrinseco (ad esempio, una impronta digitale).
Il dispositivo di telecomunicazione mobile personale D del soggetto o utente è univocamente identificato mediante un associato codice identificativo hardware univoco, ad esempio il codice IMEI (International Mobile Equipment Identity) memorizzato in una unità di memoria ROM del dispositivo.
Il dispositivo D è inoltre equipaggiato con mezzi di telecomunicazione per realizzare un collegamento di telecomunicazione con i primi server S1 mediante accesso ad una rete di telecomunicazioni pubblica, in cui detto accesso è reso possibile in virtù della sottoscrizione di un abbonamento (contratto di servizi) dell'utente ad un servizio di telecomunicazioni, ad esempio un servizio di telefonia mobile, fornito da un operatore telefonico, per cui l'identità internazionale dell'utente nel servizio di telefonia mobile è univocamente identificata mediante un codice univoco, ad esempio un codice IMSI (International Mobile Subscriber Identity), memorizzato in una scheda a processore accoppiata in modo rimovibile al dispositivo di telecomunicazione D.
In figura 1a con C è schematicamente contrassegnato un percorso di comunicazione tra i soggetti (gli utenti) U ed il sistema informatico di controllo S comprendente un canale dati DC operante in una prima banda di trasmissione, per la trasmissione di almeno il codice di identificazione univoco di utente, ed un canale supplementare fuori-banda OOBC, operante in una seconda banda di trasmissione, per la trasmissione di almeno un segnale di consenso.
Vantaggiosamente, il dispositivo D è equipaggiato anche con mezzi di comunicazione a corto raggio, quali ad esempio mezzi di comunicazione secondo un protocollo NFC o simili, particolarmente adatti per una comunicazione tra il dispositivo D e supporti di memorizzazione di dati di tipo passivo, quali smart card a microprocessore, etichette di identificazione a radiofrequenza e simili.
In generale, il sistema nella configurazione descritta, o in altre configurazioni equivalenti, è predisposto per eseguire un procedimento di identificazione ed autenticazione di un utente per il controllo di un accesso a sistemi o ambienti informatici sulla base di programmi o gruppi di programmi (moduli) per l'attuazione del procedimento secondo l'invenzione eseguiti nei primi server S1 e con l'ausilio delle banche dati memorizzate nei secondi server S2.
Il dispositivo di telecomunicazione D è programmato per l'esecuzione di una applicazione software residente di interfaccia del sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, l'esecuzione dell'applicazione generando un ambiente informatico atto ad offrire ad un utente funzioni di registrazione ed accesso al sistema di controllo (identificazione ed autenticazione) dell'invenzione.
In figura 2 è mostrato il sistema informatico di controllo S, presso il quale è registrato un account di utente, in relazione con un soggetto utente U, a cui è associabile un primo dato rappresentativo di credenziali del soggetto o utente U_D, che possiede un dispositivo di telecomunicazione mobile personale D sul quale è residente un ambiente informatico APP per l'accesso al sistema ed al procedimento di identificazione ed autenticazione della presente invenzione, il quale dispositivo è univocamente correlato con un secondo dato includente un identificativo hardware univoco D_D di detto dispositivo, ed il quale è abbonato ad un servizio di telefonia mobile, l'abbonamento essendo rappresentato dal possesso di una carta SIM, recante memorizzato un terzo dato includente un identificativo univoco della identità internazionale del soggetto o utente in un servizio di telefonia mobile SIM_D.
In figura è mostrata la relazione tra il sistema informatico di controllo S ed entità di attestazione estranee a detto sistema.
La generazione di un codice identificativo univoco di utente e la sua registrazione presso il sistema informatico di controllo S, per accoppiamento del primo dato U_D, del secondo dato D_D, e del terzo dato SIM_D (in sintesi: (U_D D_D SIM_D) determina secondo l'invenzione il raggiungimento di una prima classe di identità digitale, indicata in figura con eID1.
Il confronto dei dati personali del soggetto o utente registrati presso il sistema informatico di controllo S in associazione al codice identificativo univoco di utente (U_D D_D SIM_D) con corrispondenti dati personali del medesimo soggetto o utente memorizzati presso una entità di attestazione TS presso la quale il soggetto o l'utente ha precedentemente sottoscritto un contratto di servizi (ad esempio, una società bancaria) determina il raggiungimento di una seconda classe di identità digitale, indicata in figura con eID2. Si noti che la medesima seconda classe di identità digitale può essere raggiunta mediante acquisizione presso il sistema informatico di controllo S di una immagine del soggetto o utente U includente almeno un ritratto del viso del medesimo e/o un suo ritratto di un documento di identità ufficiale reale.
Il confronto dei dati personali del soggetto o utente registrati presso il sistema informatico di controllo S in associazione al codice identificativo univoco di utente (U_D D_D SIM_D) con corrispondenti dati personali del medesimo soggetto o utente memorizzati presso un ente certificatore A (ad esempio, una pubblica amministrazione), o analogamente su un supporto di identità digitale predisposto da detto ente certificatore, determina il raggiungimento di una terza classe di identità digitale, indicata in figura con eID3.
In figura 3 sono rappresentate le fasi di attribuzione della seconda classe di identità digitale mediante assunzione di dati personali di un soggetto o utente registrato presso il sistema di controllo (identificazione ed autenticazione) dell'invenzione.
Con F è indicato un modulo recanti dati personali del soggetto o utente. Con IC è indicato un documento ufficiale di identità recante i dati personali del soggetto o utente, tipicamente associati ad una sua immagine. Con SC è indicata una carta personale del soggetto utente, recante un codice identificativo personale PIC del soggetto o utente, e ad essa è associata l'operazione di acquisizione di una immagine del soggetto o utente medesimo.
In una prima fase di acquisizione dati, indicata con i passi 410, 420, 430 e 440 ed attivata dall’utente U all’interno dell'ambiente informatico APP residente sul proprio dispositivo di telecomunicazione mobile personale D, viene richiesto di compilare uno specifico modulo F, dopodiché viene richiesto di selezionare un documento di identità valido IC e di fotografarlo ed infine viene richiesto di acquisire una immagine dell'utente insieme ad un proprio codice identificativo personale PIC (ad esempio, in Italia il codice fiscale o il codice di tessera sanitaria).
In una seconda fase di identificazione ed associazione, indicata con il passo 450, le informazioni raccolte sono inviate al sistema di controllo (identificazione ed autenticazione) S. Il sistema di controllo (identificazione ed autenticazione) S crea un documento con caratteristiche di non modificabilità (ad esempio, nel formato pdf/A) contenente le informazioni raccolte ai passi 420, 430 e 440, e rispettive specifiche di attivazione di un codice di convalida temporaneo (ad esempio, basato su un codice di ripristino precedentemente comunicato dall'utente al sistema in sede di prima registrazione) di cui il sistema di controllo (identificazione ed autenticazione) S si attende successivamente - in un intervallo di tempo predeterminato di breve scadenza (ad esempio 30 minuti) - conferma dall'utente.
In una terza fase indicata con i passi 460, 470 e 480 il sistema di controllo (identificazione ed autenticazione) S esegue un processo di convalida al fine di accertare che l’intera operazione sia stata realmente eseguita dall’utente U proprietario dell’account. Il documento con caratteristiche di non modificabilità contenente le informazioni raccolte ai passi 420, 430 e 440 e le specifiche di attivazione del codice di convalida temporaneo è trasmesso per altra via 460 all'utente (ad esempio tramite email). L'utente conferma l'operazione tramettendo al sistema di controllo (identificazione ed autenticazione) S il codice di convalida temporaneo (che ricostruisce dal codice di ripristino) tramite l'ambiente informatico di raccolta ed elaborazione dati realizzato come applicazione residente sul dispositivo di telecomunicazione mobile personale dell'utente (passi 470 e 480). Quando l'operazione si conclude con successo, ossia il codice di convalida trasmesso dall'utente è riconosciuto valido dal sistema di controllo (identificazione ed autenticazione) S, il sistema S attribuisce a tale utente la seconda classe di identità digitale eID2.
Questo processo è ulteriormente descritto nel diagramma di sequenza di figura 12.
In figura 4 il sistema oggetto dell'invenzione è mostrato in abbinamento con due fornitori/gestori di servizi SP1 e SP2, presso i quali l'utente U accede, oltre che attraverso il proprio dispositivo di telecomunicazione mobile personale D, anche -per mezzo dello stesso - attraverso un dispositivo di telecomunicazione differente dal proprio dispositivo di telecomunicazione mobile personale D, ad esempio per il tramite di un decoder televisivo DR, di un apparecchio televisivo (smart TV) TV, di un personal computer PC, di un telefono DTMF P, di un tablet T, di uno smart watch W un simile dispositivo indossabile.
In figura 5 è mostrato un diagramma schematico della operatività del sistema oggetto dell'invenzione nella attribuzione di una terza classe di identità digitale.
Ai passi 510 e 512 l'utente U accede ad un server intermediario accreditato come gestore di identità digitale, IP, ad esempio per il tramite del suo personal computer PC e di un Web browser e fornisce le sue credenziali, ad esempio nome utente e parola d'ordine, quindi richiede di procedere nelle operazioni tramite dei servizi del sistema di controllo (identificazione e autenticazione) S.
Ai passi 520 e 522 il server intermediario IP richiede all'utente di inserire un codice di accoppiamento.
Ai passi 530 e 532 l'utente accede all'ambiente informatico di raccolta ed elaborazione dati APP sul proprio dispositivo di telecomunicazione mobile personale D e richiede l'attivazione della funzione di associazione ad un ente certificatore, ad esempio selezionando il server intermediario specifico. Il sistema di controllo (identificazione e autenticazione) S a cui l'utente è registrato genera e visualizza il codice di accoppiamento.
Ai passi 540 e 542 l'utente U comunica il codice di accoppiamento che ha ricevuto al server intermediario IP attraverso il personal computer PC.
Al passo 550 server intermediario IP verifica la validità del codice di accoppiamento ricevuto con il sistema di controllo (identificazione e autenticazione) S.
Ai passi 560, 562 e 564 dopo una verifica con successo del codice di accoppiamento l'utente, attraverso l'ambiente APP residente sul proprio dispositivo di telecomunicazione mobile personale D, richiede di instaurare un canale di comunicazione sicuro, ad esempio secondo un protocollo di comunicazione NFC, ed attraverso il proprio dispositivo di comunicazione mobile personale D acquisisce temporaneamente il certificato digitale memorizzato sulla carta SC. Quindi invia il certificato al server intermediario IP attraverso il sistema di controllo (identificazione e autenticazione) S.
Al passo 570 il server intermediario IP verifica l'autenticità e la validità del certificato digitale con l'ente certificatore A che ha precedentemente messo la carta SC recante detto certificato.
Infine, al passo 580 è completata l'associazione tra il server intermediario IP e il sistema di controllo (identificazione e autenticazione) S e le rispettive banche dati sono aggiornate.
La figura 6 è un diagramma schematico di una operatività alternativa del sistema oggetto dell'invenzione nella gestione di una terza classe di identità digitale.
Ai passi 610 e 612 un utente U presenta una richiesta di autenticazione presso un fornitore/gestore di servizi SP, specificando il gestore di identità digitale, IP, responsabile della identificazione dell'utente. Tale richiesta viene, ad esempio, attraverso un personal computer PC.
Ai passi 620 e 622 il fornitore/gestore di servizi SP indirizza la richiesta di autenticazione dell'utente al server intermediario del gestore di identità digitale IP.
Al passo 630 il server intermediario del gestore di identità digitale IP richiede all'utente di fornire le sue tradizionali credenziali di accesso (ad esempio nome utente e parola d'ordine) oppure le credenziali per procedere con il sistema di controllo (identificazione e autenticazione) dell'invenzione.
Ai passi 640, 642, 644 e 646 l'utente accede all'ambiente informatico di raccolta ed elaborazione dati APP sul proprio dispositivo di telecomunicazione mobile personale D e richiede l'attivazione della funzione di identificazione ad un gestore di identità digitale, ad esempio selezionando il server intermediario specifico. Il sistema di controllo (identificazione e autenticazione) S a cui l'utente è registrato genera e visualizza un codice di identificazione temporaneo di utente che viene comunicato dall'utente al server intermediario IP per mezzo del personal computer PC.
Al passo 650 dopo la verifica con successo delle proprie credenziali l'utente, attraverso l'ambiente APP residente sul proprio dispositivo di telecomunicazione mobile personale D, richiede di instaurare un canale di comunicazione sicuro, ad esempio secondo un protocollo di comunicazione NFC, ed attraverso il proprio dispositivo di comunicazione mobile personale D acquisisce temporaneamente il certificato digitale memorizzato sulla carta SC.
Per verificare che l'utente U che ha effettuato la richiesta di accesso alla fornitore/gestore di servizi SP sia il legittimo titolare del certificato digitale e quindi della carta SC, al passo 660 l'ambiente APP richiede l'utente di fornire un codice di identificazione, ad esempio un PIN, della carta SC.
Infine, ai passi 670, 672 e 674, una volta riconosciuta la validità del PIN immesso dall'utente, il certificato digitale è trasmesso al server intermediario del gestore di identità digitale IP e questi esegue una ultima verifica di validità del certificato digitale con l'ente certificatore A che lo ha emesso.
Quindi, ai passi 680 e 682 il server intermediario del gestore di identità digitale IP autentica l'utente ed invia conferma di accesso con successo al fornitore/gestore di servizi SP.
La figura 7 mostra un diagramma di sequenza rappresentativo di uno scenario di registrazione di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, in cui l'identità digitale dell'utente è una identità digitale riconosciuta ai sensi di un primo livello di identificazione secondo l'invenzione.
Il diagramma di sequenza di figura 7 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione.
Con RegForm1 è indicato un modulo di registrazione di un soggetto o utente al sistema di controllo (identificazione ed autenticazione) S dell'invenzione, che consente di acquisire dati personali del soggetto o utente. Con Metadata sono indicati un secondo dato includente un identificativo hardware univoco del dispositivo di telecomunicazione mobile personale del soggetto o utente, e un terzo dato includente un identificativo univoco dell'identità internazionale del soggetto o utente in un servizio di telefonia mobile. Con OOB ConfirmationCode è indicato un codice di conferma trasmesso sul canale OOBC. Con NewUserData sono indicati i dati di un soggetto o utente in procinto di registrarsi presso il sistema di controllo (identificazione ed autenticazione) S dell'invenzione per la prima volta. Con UserID è indicato il codice identificativo univoco del soggetto o utente registrato.
In una prima fase di registrazione (passi 1-4), successiva all'installazione sul dispositivo di telecomunicazione mobile personale di utente D dell'applicazione che realizza l'ambiente informatico APP di raccolta ed elaborazione dati del sistema di controllo (identificazione ed autenticazione) dell'invenzione, il soggetto o utente U avvia l'applicazione e viene indirizzato alla pagina di registrazione in cui viene richiesta la compilazione di un modulo di attivazione. In una seconda fase di autenticazione e verifica (passi 5–8) il sistema di controllo (identificazione ed autenticazione) S controlla che i dati immessi siano associati alla richiesta di registrazione e dopo aver ricevuto conferma, procede a una successiva fase di verifica sul canale OOBC per assicurare la corretta provenienza della richiesta di registrazione. In una terza fase di conferma registrazione (passi 9– 13) il sistema di controllo (identificazione ed autenticazione) S inserisce il soggetto o utente U appena registrato nella propria banca dati e lo etichetta con un codice identificativo univoco di utente che ne garantisce l'attivazione e la certificazione dell’ambiente informatico locale APP sul dispositivo D. I passi 14-17 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
La figura 8 mostra un diagramma di sequenza rappresentativo di uno scenario di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione.
Il diagramma di sequenza di figura 8 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) di utente S secondo la presente invenzione.
Con RecognizeMode è indicata una modalità di accesso all’ambiente APP (mediante un fattore di autenticazione per conoscenza, un fattore di autenticazione per possesso o un fattore autenticazione intrinseco). Con LoginInfo è indicato l'insieme di UserID e Metadata. Con IDRating è indicata la classe di identità digitale del soggetto o utente. Con UserData sono indicate informazioni specifiche dell’utente (ad esempio, la classe di identità di gitale, gli account attivi, il profilo ecc.).
In una prima fase di identificazione (passi 1– 4, il soggetto o utente U, tramite l'applicazione (ambiente APP), fa richiesta di accesso al sistema di controllo (identificazione ed autenticazione) S, utilizzando una sua personale procedura di accesso (mediante un fattore di autenticazione per conoscenza, un fattore di autenticazione per possesso o un fattore autenticazione intrinseco), e il sistema di controllo (identificazione ed autenticazione) S verifica la corrispondenza dei dati ricevuti dall'ambiente APP con quelli presenti nella propria banca dati.
In una seconda fase di autenticazione ed accesso (passi 5–11), in caso di abbinamento positivo viene attivata una successiva verifica per mezzo del canale fuori banda (OOBC) così da poter terminare il processo di autenticazione e verifica della classe di identità digitale e poter finalizzare l’accesso all'ambiente APP.
I passi 12-15 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
La figura 9 mostra un diagramma di sequenza rappresentativo di uno scenario di insuccesso di un tentativo di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione (ad esempio, a causa della sostituzione della carta SIM nel dispositivo di telecomunicazione mobile personale D).
Il diagramma di sequenza di figura 9 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con IB è indicata un'applicazione per la navigazione di risorse sul web o in generale su una rete di telecomunicazioni (ad esempio, internet browser). Con EML è indicata una applicazione di posta elettronica dell'utente e con ED è indicato un dispositivo elettronico di telecomunicazione accessorio quale un dispositivo di telecomunicazione di emergenza sostitutivo del dispositivo di telecomunicazione mobile personale D con cui l'utente accede al servizio.
Con 1st RecoveryForm è indicata una prima parte di un modulo di accesso utente dove sono richiesti un indirizzo email ed un codice di ripristino, e con 2nd RecoveryForm è indicata una seconda parte del modulo di accesso utente dove è richiesto di inserire codici temporanei di credenziali di ripristino.
In una prima fase di riconoscimento credenziali (passi 5–8), mediante il proprio internet browser IB l’utente accede al sistema di controllo (identificazione ed autenticazione) S e richiede di eseguire una procedura di accesso senza il proprio dispositivo di telecomunicazione mobile personale D (certificato), in quanto non disponibile avendo una carta SIM (e quindi un codice IMSI) differente da quella di prima registrazione.
In una seconda fase di credenziali OTP (passi 9–15), dopo specifiche verifiche, il sistema di controllo (identificazione ed autenticazione) S invia un codice temporaneo (OTP) alla casella di posta elettronica EML dell’utente ed un ulteriore, differente, codice temporaneo (OTP) ad un telefono di emergenza ED ad esso collegato, creando così i presupposti per finalizzare il processo di verifica.
In una terza fase di aggiornamento SIM (passi 16–23) se il processo di verifica è andato a buon fine l’utente U ha accesso al proprio account presso il sistema di controllo (identificazione ed autenticazione) S e può procedere all’aggiornamento della SIM.
I passi 24-26 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Le figure 10 e 11 mostrano rispettivi diagrammi di sequenza rappresentativi di uno scenario di aggiunta di un account di utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, nel caso di un servizio di nuova sottoscrizione o di un servizio a cui l'utente è già sottoscritto.
I diagrammi di sequenza delle figure 10 e 11 mostrano le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con SP è indicato un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione.
In figura 10, con AddAccount è indicata una istruzione di aggiunta di account. Con TypeService è indicata una tipologia di servizio (nuovo account, account esistente ecc.). Con RegForm2 è indicato un modulo di registrazione di un soggetto o utente ad un nuovo servizio. Con AssociationData è indicata una associazione di dati tra RegForm2 e LoginInfo al fine di registrare un nuovo account (con i dati personali, ad esempio nome, cognome ecc.).
Con riferimento al diagramma di sequenza di figura 10, in una prima fase di richiesta di aggiunta account e verifica della classe di identità digitale (passi 1–8), l’utente avvia la richiesta di aggiunta account tramite l'ambiente APP ed il sistema di controllo (identificazione ed autenticazione) S verifica che l'account non risulti già registrato e che all’utente sia attribuita una classe di identità digitale adeguata.
In una seconda fase di selezione account e registrazione (passi 9–16), se la classe di identità digitale soddisfa i requisiti richiesti dall’account, il sistema di controllo (identificazione ed autenticazione) S invia all'utente una richiesta affinché selezioni una tipologia di servizio desiderato e venga compilato il relativo modulo integrativo.
In una terza fase di autenticazione (passi 17– 21), seguono procedure di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di registrazione siano corrette.
In una quarta fase di aggiunta nuovo account (passi 22–28), successivamente alla fase di autenticazione il sistema di controllo (identificazione ed autenticazione) S attiva un processo di associazione con dati "RegForm2" e "LoginInfo" finalizzato a realizzare la registrazione con il fornitore/gestore di servizi SP, il quale a sua volta esegue un aggiornamento della propria banca dati. Ricevuta conferma dell’operazione dal fornitore/gestore di servizi SP, il sistema di controllo (identificazione ed autenticazione) S aggiorna infine la propria banca dati e i dati presenti nell’ambiente APP residente sul dispositivo di telecomunicazione mobile personale D dell’utente U.
I passi 29-34 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
In figura 11, con AddAccount è indicata una istruzione di aggiunta di account. Con TypeService è indicata una tipologia di servizio (nuovo account, account esistente ecc.). Con RegForm3 è indicato un modulo di registrazione di un soggetto o utente ad un servizio esistente. Con AssociationData è indicata una associazione di dati tra RegForm3 e LoginInfo al fine di registrare un account esistente (con i dati personali, ad esempio nome, cognome ecc.).
Con riferimento al diagramma di sequenza di figura 11, in una prima fase di richiesta di aggiunta account e verifica di classe di identità digitale (passi 1–8) l’utente U avvia la richiesta di aggiunta account tramite l'ambiente informatico APP di raccolta ed elaborazione dati ed il sistema di controllo (identificazione ed autenticazione) S verifica che l'account non risulti già registrato e che all’utente sia attribuita una classe di identità digitale adeguata.
In una seconda fase di selezione di account e registrazione (passi 9–19) se la classe di identità digitale soddisfa i requisiti richiesti dall’account, il sistema di controllo (identificazione ed autenticazione) S invia all'utente una richiesta affinché selezioni una tipologia di servizio desiderato e venga compilato il relativo modulo integrativo.
In una terza fase di autenticazione (passi 20– 25) seguono procedure di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di registrazione siano corrette
In una quarta fase di aggiunta di account già registrato (passi 26–30) successivamente alla fase di autenticazione il sistema di controllo (identificazione ed autenticazione) S attiva un processo di associazione con dati "RegForm3" e "LoginInfo" finalizzato a realizzare la registrazione con il fornitore/gestore di servizi SP, il quale a sua volta esegue un aggiornamento della propria banca dati. Ricevuta conferma dell’operazione dal fornitore/gestore di servizi SP, il sistema di controllo (identificazione ed autenticazione) S aggiorna infine la propria banca dati e i dati presenti nell’ambiente APP residente sul dispositivo di telecomunicazione mobile personale D dell’utente U.
I passi 31-41 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Le figure 12 e 13 mostrano diagrammi di sequenza rappresentativi di uno scenario di registrazione di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, in cui l'identità digitale dell'utente è una identità digitale verificata ai sensi di un secondo livello di identificazione secondo l'invenzione.
Il diagramma di sequenza di figura 12 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con EML è indicata una applicazione di posta elettronica dell'utente.
In figura 12, con RegForm4 è indicato un modulo di registrazione per attivazione di una identità digitale di secondo livello (autocertificazione), ossia per l'attribuzione ad un soggetto o utente di una seconda classe di classificazione di identità digitale secondo l'invenzione. Con IDu è indicato un codice di identificazione univoco di utente. Con ConfirmationCode è indicato un codice di attivazione temporaneo (OTP).
Con riferimento al diagramma di sequenza di figura 12, in una prima fase di acquisizione dati (passi 1–15) il processo viene attivato dall’utente U dopo aver eseguito l’accesso al sistema di controllo (identificazione e autenticazione) S e viene richiesto di compilare uno specifico modulo, selezionare un documento di identità valido e fotografarlo, ed infine di acquisire un ritratto dell'utente insieme ad un proprio codice identificativo personale (ad esempio un codice fiscale o un codice identificativo di una tessera sanitaria).
In una seconda fase di identificazione ed associazione (passi 16–19) i dati raccolti ed inviati al sistema di controllo (identificazione e autenticazione) S vengono rielaborati, ricompilati e preparati per il processo di associazione a cui l’utente deve dare seguito attraverso un codice di convalida.
In una terza fase di autenticazione (passi 20– 26) il sistema di controllo (identificazione e autenticazione) S esegue un ultimo processo di autenticazione al fine di sincerarsi che l’intera operazione sia stata realmente richiesta dall’utente proprietario dell’account, dopodiché, se l’intero processo termina positivamente, all’utente viene attribuita una seconda classe della classificazione di identità digitale secondo l'invenzione.
I passi 27-34 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Il diagramma di sequenza di figura 13 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con IB è indicata un'applicazione per il recupero, la presentazione e la navigazione di risorse sul web o in generale su una rete di telecomunicazioni (ad esempio, internet browser). Con TS è indicata l'entità terza di attestazione. Con PC è indicato un dispositivo di collegamento ad una rete di telecomunicazioni in possesso dell'utente, ad esempio un personal computer dell'utente.
In figura 13, con AddAccount è indicata una istruzione di aggiunta account. Con LoginProcedure è indicata una descrizione della procedura necessaria ad ottenere una certificazione da un ente di attestazione esterno. Con OTP ActivationCode è indicato un codice di attivazione temporaneo (OTP). Con OOB ConfirmationCode è indicato un codice di conferma trasmesso su un canale fuori banda. Con AssociationData è indicata l'associazione dei dati LoginInfo utilizzati al fine di registrare un nuovo account (dati personali quali nome, cognome, ecc.). con UserData sono indicate informazioni specifiche dell’utente (classe di identità digitale, account attivi, profilo ecc.).
Con riferimento al diagramma di sequenza di figura 13, in una prima fase di selezione servizio (passi 1–7) l’utente U avvia una richiesta di aggiungere un "Truster account" selezionando l'opzione attraverso l'elenco degli account disponibili e il sistema di controllo (identificazione ed autenticazione) S verifica che l'account non risulti già precedentemente registrato.
In una seconda fase di identificazione e associazione (passi 8–21) il sistema di controllo (identificazione ed autenticazione) S invia all’utente U la procedura da seguire per le diverse varie fasi di attivazione del servizio, monitorando nei diversi passaggi il codice temporaneo (OTP) generato ed utilizzato.
In una terza fase di autenticazione (passi 22– 26), accertato che la verifica del codice temporaneo (OTP) ha avuto successo, il sistema di controllo (identificazione ed autenticazione) S esegue un ulteriore processo di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di registrazione siano corrette.
In una quarta fase di aggiunta servizio (passi 27–36) il sistema di controllo (identificazione ed autenticazione) S invia al fornitore/gestore di servizi SP una richiesta di associazione finalizzata a confrontare i dati in proprio possesso. In caso di esito positivo della verifica dei dati, il fornitore/gestore di servizi SP informa il sistema di controllo (identificazione ed autenticazione) S, il quale quindi provvede ad aggiornare la propria banca dati e l'ambiente informatico APP residente sul dispositivo di telecomunicazione mobile personale D dell'utente U. Al termine della procedura anche la banca dati del fornitore/gestore di servizi SP viene aggiornata ed il servizio è attivato.
I passi 37-51 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Le figure 14 e 15 mostrano diagrammi di sequenza rappresentativi di uno scenario di accesso di un utente ad un sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, rispettivamente per il tramite di un dispositivo di telecomunicazioni in possesso dell'utente differente dal dispositivo di telecomunicazione mobile personale dell'utente per la sua identificazione in sede di registrazione al sistema di controllo (identificazione ed autenticazione) della presente invenzione, o per il tramite di un dispositivo telefonico DTMF.
Il diagramma di sequenza di figura 14 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con IB è indicata un'applicazione per il recupero, la presentazione e la navigazione di risorse sul web o in generale su una rete di telecomunicazioni (ad esempio, internet browser). Con SP è indicato un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con PC è indicato un dispositivo di collegamento ad una rete di telecomunicazioni in possesso dell'utente, ad esempio un personal computer dell'utente, oppure un dispositivo di comunicazione mobile (ad esempio, smartphone) differente dal dispositivo di comunicazione mobile associato all'utente per la sua identificazione in sede di registrazione al sistema e servizio di identificazione ed autenticazione della presente invenzione, una smart TV.
In figura 14, con OTP LoginCode è indicato un codice di accesso temporaneo (OTP) per un personal computer PC, un dispositivo mobile, un apparecchio televisivo (smart TV) TV, uno smart watch W. Con IDu è indicato un codice di identificazione univoco di utente. Con IDsp è indicato un codice di identificazione univoco del fornitore/gestore di servizi SP. Con OOB ConfirmationCode è indicato un codice di conferma trasmesso su un canale fuori banda.
Con riferimento al diagramma di sequenza di figura 14, in una prima fase di scelta del dispositivo di accesso (passi 1–9) l’utente U invia una richiesta per accedere con un personal computer PC, un dispositivo mobile, un apparecchio televisivo TV o uno smart watch W. L'applicazione APP residente sul dispositivo di telecomunicazione mobile personale D dell'utente invia la richiesta al sistema di controllo (identificazione ed autenticazione) S che genera le credenziali di identificazione necessarie ad ingaggiare il fornitore/gestore di servizi SP.
In una seconda fase di identificazione (passi 10–16), con una serie di processi congiunti tra il sistema di controllo (identificazione ed autenticazione) S SEECOD e un fornitore/gestore di servizi, l'utente U viene identificato attraverso il proprio browser IB dalla pagina di accesso del fornitore/gestore di servizi SP utilizzando le credenziali fornite dal sistema di controllo (identificazione ed autenticazione) S.
In una terza fase di autenticazione (passi 17– 21), terminato il processo di identificazione, il sistema di controllo (identificazione ed autenticazione) S esegue un ulteriore processo di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di accesso siano corrette.
In una quarta fase di accesso (passi 22–30), al completamento del processo di autenticazione il sistema di controllo (identificazione ed autenticazione) S conferma la corretta procedura di accesso con il fornitore/gestore di servizi SP e quindi l’utente U viene abilitato all’accesso del proprio account presso il fornitore/gestore di servizi SP.
I passi 31-42 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Il diagramma di sequenza di figura 15 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con IVR è indicato un risponditore vocale interattivo. Con SP è indicato un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con P è indicato un telefono DTMF in possesso dell'utente,
In figura 15, con OTP IVRCode è indicato un codice di accesso temporaneo (OTP) per un apparecchio telefonico DTMF P. Con IDivr è indicato un codice di identificazione IVR (Interactive Voice Responder) di un fornitore/gestore di servizi SP. Con TELivr è indicato un numero di telefono del servizio IVR. Con OOB ConfirmationCode è indicato un codice di conferma trasmesso su un canale fuori banda OOBC.
Con riferimento al diagramma di sequenza di figura 15, in una prima fase di scelta del dispositivo di accesso (passi 1–9), l’utente U invia una richiesta per accedere al sistema di controllo (identificazione e autenticazione) S con un apparecchio telefonico DTMF P. Tramite l'applicazione APP residente sul dispositivo di telecomunicazione mobile personale di utente D è inviata una richiesta al sistema di controllo (identificazione e autenticazione) S che genera le credenziali di identificazione necessarie ad ingaggiare il sistema IVR del fornitore/gestore di servizi SP.
In una seconda fase di identificazione (passi 10–17), con una serie di processi congiunti tra il sistema di controllo (identificazione e autenticazione) S e un fornitore/gestore di servizi, l'utente U viene identificato attraverso l'apparecchio telefonico DTMF P dal canale telefonico di accesso IVR del fornitore/gestore di servizi SP utilizzando le credenziali fornite dal sistema di controllo (identificazione e autenticazione) S.
In una terza fase di autenticazione (passi 18– 22), terminato il processo di identificazione, il sistema di controllo (identificazione e autenticazione) S esegue un ulteriore processo di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di accesso siano corrette.
In una quarta fase di accesso (passi 23–31), al completamento del processo di autenticazione il sistema di controllo (identificazione e autenticazione) S conferma la corretta procedura di accesso con il fornitore/gestore di servizi SP e quindi l’utente U viene abilitato e telefonicamente connesso ad un call center del fornitore/gestore di servizi SP.
I passi 32-43 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
La figura 16 mostra un diagramma di sequenza rappresentativo di uno scenario di associazione di un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) di utente S secondo la presente invenzione con un ambiente informatico generato da una applicazione software di interfaccia di un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione.
Il diagramma di sequenza di figura 16 mostra le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con SP è indicato un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione e con SP_APP è indicato un ambiente informatico generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP.
Con AssociationCodeApp è indicato un codice di associazione fornito dall'ambiente informatico generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP. Con IDu è indicato un codice di identificazione utente. Con IDsp è indicato un codice di identificazione di un fornitore/gestore di servizi SP. Con IDas è indicato un codice di associazione. Con IDapp è indicato un codice di identificazione dell'ambiente informatico APP del sistema di controllo (identificazione ed autenticazione) S residente sul dispositivo di telecomunicazione mobile personale D dell'utente U. Con OOB ConfirmationCode è indicato un codice di conferma trasmesso su un canale fuori banda.
In una prima fase di selezione di modalità di accesso (passi 6-26), dopo che l'utente U ha formulato una richiesta di accesso ad un fornitore/gestore di servizi SP mediante il sistema di controllo (identificazione ed autenticazione) S, l'applicazione APP verifica se il fornitore/gestore di servizi SP è già associato al sistema di controllo (identificazione ed autenticazione) S. Nel caso ancora non lo fosse, l’utente viene invitato ad eseguire la procedura di associazione proseguendo poi alla successiva verifica delle credenziali attraverso l'ambiente APP del sistema di controllo (identificazione ed autenticazione) S. In una seconda fase di verifica dispositivo (passi 27–30) il successo della verifica delle credenziali avvia la verifica del dispositivo certificato.
In una terza fase di associazione (passi 31– 39), al termine dei precedenti processi, viene infine generato e scambiato un codice di associazione e le banche dati del sistema di controllo (identificazione ed autenticazione) S e del fornitore/gestore di servizi SP vengono aggiornate.
I passi 40-55 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Le figure 17 e 18 mostrano diagrammi di sequenza rappresentativi di uno scenario di accesso di un utente ad un fornitore/gestore di servizi per il tramite del sistema di controllo (identificazione ed autenticazione) di utente secondo la presente invenzione, rispettivamente in una modalità manuale ed in una modalità automatica.
I diagrammi di sequenza di figura 17 e 18 mostrano le sequenze di azioni compiute da un utente U, per il tramite di un dispositivo di telecomunicazione mobile personale D, in comunicazione con un ambiente informatico APP di raccolta ed elaborazione dati generato da una applicazione software di interfaccia del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione ed un server di elaborazione di dati del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione. Con SP è indicato un fornitore/gestore di servizi accessibile per il tramite del sistema di controllo (identificazione ed autenticazione) S secondo la presente invenzione e con SP_APP è indicato un ambiente informatico generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP.
In figura 17, con IDapp è indicato un codice di identificazione dell'ambiente informatico SP_APP generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP. Con IDsp è indicato un codice di identificazione del fornitore/gestore di servizi SP. Con OTP IDCode è indicato un codice di accesso temporaneo (OTP).
Con riferimento al diagramma di sequenza di figura 17, in una prima fase di identificazione (passi 3–7), su richiesta di accesso all'ambiente informatico SP_APP generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP, il sistema di controllo (identificazione ed autenticazione) S inizialmente procede con l’identificazione dell'utente U.
In una seconda fase di autenticazione ed accesso (passi 8–20), di seguito, il sistema di controllo (identificazione ed autenticazione) S procede ad inviare un codice di accesso temporaneo (OTP) da utilizzare nell’ambiente informatico SP_APP generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP. Un'ulteriore verifica finale viene attivata e, al completamento, l’utente ottiene l’accesso all'ambiente informatico SP_APP.
I passi 21-30 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
In figura 18, con IDm è indicato un codice di identificazione dell’ambiente informatico SP_APP del fornitore/gestore di servizi SP. Con Recognize-Mode è indicata una modalità di accesso all'ambiente informatico APP del sistema di controllo (identificazione ed autenticazione) S. con LoginInfo è indicato un insieme di UserID, Metadata e IDm. Con OTP AppLoginCode è indicato un codice di accesso temporaneo (OTP) all’ambiente informatico SP_APP del fornitore/gestore di servizi SP. Con IDu è indicato un codice di identificazione univoco di utente. Con IDsp è indicato un codice di identificazione del fornitore/gestore di servizi SP. Con IDapp è indicato un codice di identificazione dell’ambiente informatico SP_APP del fornitore/gestore di servizi SP. Con OOB ConfirmationCode è indicato un codice di conferma trasmesso su un canale fuori banda.
Con riferimento al diagramma di sequenza di figura 18, in una prima fase di identificazione (passi 6–23), ad una richiesta di accesso all'ambiente informatico SP_APP generato da una applicazione software di interfaccia del fornitore/gestore di servizi SP, il sistema di controllo (identificazione ed autenticazione) S inizialmente procede con l’identificazione dell'utente U.
In una seconda fase di autenticazione ed accesso (passi 24–33), terminato il processo di identificazione, il sistema di controllo (identificazione ed autenticazione) S esegue un ulteriore processo di autenticazione fuori banda (OOBC) al fine di garantire che le origini della richiesta di accesso siano corrette.
I passi 34-54 sono procedure di gestione di errore attivate dal sistema di controllo (identificazione ed autenticazione) in caso di verifiche senza successo.
Si noti che la realizzazione proposta per la presente invenzione nella discussione che precede ha carattere puramente esemplificativo e non limitativo della presente invenzione. Fermo restando il principio dell'invenzione, le forme di attuazione ed i particolari di realizzazione potranno essere ampiamente variati rispetto a quanto è stato descritto ed illustrato, senza per questo allontanarsi dall'ambito di protezione dell'invenzione definito dalle rivendicazioni allegate.

Claims (22)

  1. RIVENDICAZIONI 1. Procedimento informatico di identificazione ed autenticazione dell'identità digitale di un soggetto o di un utente (U) di un sistema o ambiente informatico fornitore/gestore di servizi (SP), il quale soggetto o utente (U) è in possesso di un dispositivo di telecomunicazione mobile personale (D), comprendente le fasi di: - inoltrare un codice identificativo univoco di utente mediante detto dispositivo di telecomunicazione mobile personale (D) a un sistema informatico di controllo (S) in associazione ad una richiesta di identificazione di detto soggetto (U) presso detto sistema informatico di controllo (S) o ad una richiesta di accesso ad un sistema o ambiente informatico fornitore/gestore di servizi (SP) da parte di detto utente (U); - presso il sistema informatico di controllo (S), confrontare detto codice identificativo univoco di utente con codici identificativi di riferimento di utenti registrati, precedentemente memorizzati; e - emettere un segnale di consenso da parte del sistema informatico di controllo (S) se detto codice identificativo univoco di utente corrisponde ad uno di detti codici identificativi di riferimento, caratterizzato dal fatto che comprende la generazione di detto codice identificativo univoco di utente per accoppiamento di un primo dato (U_D) rappresentativo di credenziali del soggetto o utente (U), di un secondo dato (D_D) includente un identificativo hardware univoco del dispositivo di telecomunicazione mobile personale (D) del soggetto o utente, e di un terzo dato (SIM_D) includente un identificativo univoco dell'identità internazionale del soggetto o utente (U) in un servizio di telefonia mobile, detto codice identificativo univoco di utente attribuendo una prima classe di una classificazione di identità digitale a detto soggetto o utente (U).
  2. 2. Procedimento secondo la rivendicazione 1, in cui dette credenziali dell'utente comprendono almeno uno tra un fattore di autenticazione per conoscenza, un fattore di autenticazione per possesso, o un fattore di autenticazione intrinseco biometrico.
  3. 3. Procedimento secondo una qualsiasi delle rivendicazioni precedenti, in cui detto codice identificativo univoco di utente è associato a dati personali del soggetto o utente (U) registrati presso il sistema informatico di controllo (S) e detti dati personali del soggetto o utente registrati presso il sistema informatico di controllo (S) sono confrontati con corrispondenti dati personali del soggetto o utente verificati con un documento di identità ufficiale e memorizzati presso un sistema informatico di una entità di attestazione (TS, A) estranea a detto sistema informatico di controllo che attua il procedimento di identificazione ed autenticazione, in modo tale da attribuire una seconda o terza classe di detta classificazione di identità digitale a detto soggetto o utente (U).
  4. 4. Procedimento secondo una qualsiasi delle rivendicazioni 1 o 2, in cui detto codice identificativo univoco di utente è associato a dati personali del soggetto o utente (U) registrati presso il sistema informatico di controllo (S) e detti dati personali del soggetto o utente registrati presso il sistema informatico di controllo (S) sono convalidati, oppure confrontati con corrispondenti dati personali del soggetto o utente comunicati, da una pluralità predeterminata di utenti identificabili presso detto sistema informatico di controllo (S) con una seconda o una terza classe di identità digitale, in modo tale da attribuire una seconda o terza classe di detta classificazione di identità digitale a detto soggetto o utente.
  5. 5. Procedimento secondo la rivendicazione 3, in cui detta entità di attestazione estranea al sistema informatico di controllo (S) che attua il procedimento di identificazione ed autenticazione è una entità (TS) presso la quale il soggetto o l'utente (U) ha precedentemente sottoscritto un contratto di servizi, per cui è attribuita una seconda classe di detta classificazione di identità digitale, o un ente di certificazione ufficiale (A) per cui è attribuita una terza classe di detta classificazione di identità digitale.
  6. 6. Procedimento secondo una qualsiasi delle rivendicazioni precedenti, in cui detto codice identificativo univoco di utente è associato a dati personali del soggetto o utente (U) registrati presso il sistema informatico di controllo (S) e detti dati personali del soggetto o utente (U) registrati presso il sistema informatico di controllo (S) sono confrontati con corrispondenti dati personali del soggetto o utente (U) verificati con un documento di identità ufficiale reale (SC) presso detto sistema informatico di controllo (S) per ottenere una seconda classe di detta classificazione di identità digitale.
  7. 7. Procedimento secondo la rivendicazione 6, in cui la verifica dei dati personali del soggetto o utente (U) presso detto sistema informatico di controllo (S) include la acquisizione presso detto sistema informatico di controllo (S) di una immagine includente un ritratto del viso del soggetto o utente (U) e/o un ritratto di un documento di identità ufficiale reale (SC) del soggetto o utente (U).
  8. 8. Procedimento secondo la rivendicazione 3, 4 o 6, in cui detti dati personali del soggetto o utente (U) includono dati biometrici del soggetto o utente, in particolare almeno un dato indicativo di una tra una fisionomia del volto del soggetto o utente, una impronta digitale del soggetto o utente, un'iride del soggetto o utente, una impronta vocale del soggetto o utente.
  9. 9. Procedimento secondo la rivendicazione 3, 4 o 6, in cui detto codice identificativo univoco di utente include un quarto dato indicativo della classe di detta classificazione di identità digitale.
  10. 10. Procedimento secondo la rivendicazione 3, 4 o 6, in cui detto codice identificativo univoco di utente è associato presso il sistema informatico di controllo (S) ad un quarto dato indicativo della classe di detta classificazione di identità digitale e detto sistema informatico di controllo (S) consente oppure no l'accesso ad un predeterminato sistema o ambiente informatico fornitore/gestore di servizi (SP) in funzione di detta classe di identità digitale.
  11. 11. Procedimento secondo la rivendicazione 9 o 10, in cui detta classificazione di identità digitale è una classificazione temporanea in cui detti dati personali del soggetto o utente (U) registrati presso il sistema informatico di controllo (S) sono confrontati con corrispondenti dati personali del soggetto o utente (U) memorizzati in una carta a microprocessore (SC).
  12. 12. Procedimento secondo una qualsiasi delle rivendicazioni precedenti, in cui detto segnale di consenso è un segnale di autorizzazione all'accesso a detto sistema o ambiente informatico fornitore/gestore di servizi (SP), trasmesso al dispositivo di telecomunicazione mobile personale dell'utente (D).
  13. 13. Procedimento secondo una qualsiasi delle rivendicazioni 1 a 11, in cui detto segnale di consenso è un segnale di avvenuta identificazione del soggetto (U), trasmesso ad un dispositivo di telecomunicazione di riconoscimento differente dal dispositivo di telecomunicazione mobile personale (D) del soggetto in seguito ad una richiesta di identificazione di detto soggetto trasmessa dal dispositivo di telecomunicazione di riconoscimento al sistema informatico di controllo (S) unitamente ad almeno uno tra le credenziali del soggetto, i a dati personali del soggetto, a dati di alias del soggetto, un codice identificativo di un prodotto/servizio destinato al soggetto.
  14. 14. Procedimento secondo la rivendicazione 13, in cui in conseguenza della richiesta di identificazione di detto soggetto (U) trasmessa dal dispositivo di telecomunicazione di riconoscimento al sistema informatico di controllo (S) il sistema informatico di controllo (S) richiede ed ottiene la trasmissione di detto codice identificativo univoco di utente tramite il dispositivo di telecomunicazione mobile personale (D) di detto soggetto (U), e confronta le credenziali di detto soggetto, o i dati personali di detto soggetto o i dati di alias di detto soggetto o il codice identificativo di prodotto/servizio trasmessi dal dispositivo di telecomunicazione di riconoscimento con le credenziali o i dati personali o i dati di alias o il codice identificativo di un prodotto/servizio associati a detto codice identificativo univoco di utente.
  15. 15. Procedimento secondo la rivendicazione 13, in cui in conseguenza della richiesta di identificazione di detto soggetto (U) trasmessa dal dispositivo di telecomunicazione di riconoscimento al sistema informatico di controllo (S), il sistema informatico di controllo (S) genera un codice di identificazione temporaneo di utente e trasmette detto codice di identificazione temporaneo di utente al dispositivo di telecomunicazione mobile personale (D) di detto soggetto (U) ed al dispositivo di telecomunicazione di riconoscimento, il dispositivo di telecomunicazione di riconoscimento confrontando detto codice di identificazione temporaneo di utente ricevuto dal sistema informatico di controllo (S) con il codice di identificazione temporaneo di utente in possesso del dispositivo di telecomunicazione mobile personale (D) di detto soggetto (U).
  16. 16. Procedimento secondo la rivendicazione 12, in cui detto segnale di autorizzazione trasmesso dal sistema informatico di controllo (S) al dispositivo di telecomunicazione mobile personale (D) dell'utente include una chiave di accesso temporanea, in particolare una chiave di accesso monouso, o una istruzione di indirizzamento verso detto sistema o ambiente informatico fornitore/gestore di servizi (SP).
  17. 17. Procedimento secondo la rivendicazione 16, in cui detto segnale di autorizzazione è trasmesso in un canale di trasmissione (OOBC) differente dal canale di trasmissione (DC) del codice identificativo univoco di utente.
  18. 18. Procedimento secondo la rivendicazione 17, in cui il dispositivo di telecomunicazione mobile personale (D) dell'utente (U) trasmette detta chiave di accesso temporanea a detto sistema informatico di controllo (S).
  19. 19. Procedimento secondo la rivendicazione 16, in cui detta chiave di accesso temporanea è comunicata al sistema o ambiente informatico fornitore/gestore di servizi (SP) da un dispositivo di telecomunicazione di utente (PC) differente da detto dispositivo di telecomunicazione mobile personale (D) dell'utente e l'accesso al sistema o ambiente informatico fornitore/gestore di servizi (SP) da parte di detto dispositivo di telecomunicazione di utente (PC) differente da detto dispositivo di telecomunicazione mobile personale (D) dell'utente è consentito dopo una istruzione di conferma impartita attraverso detto dispositivo di telecomunicazione mobile personale (D) dell'utente al sistema informatico di controllo (S).
  20. 20. Procedimento secondo la rivendicazione 16, in cui detta chiave di accesso temporanea è un elemento tra un codice alfanumerico, un codice grafico, un segnale audio, una immagine statica, una immagine in movimento.
  21. 21. Sistema di elaborazione per l'identificazione e l'autenticazione dell'identità digitale di un soggetto o di un utente (U) di un sistema o ambiente informatico fornitore/gestore di servizi (SP), il quale soggetto o utente (U) è in possesso di un dispositivo di telecomunicazione mobile personale (D), caratterizzato dal fatto che comprende un ambiente informatico (APP) di raccolta ed elaborazione dati realizzato come applicazione residente sul dispositivo di telecomunicazione mobile personale (D) dell'utente ed un sistema di controllo (S) per la verifica dei dati raccolti ed elaborati presso l'ambiente informatico con una banca dati, residente presso uno o più server di elaborazione (S1, S2) accessibili dal dispositivo di telecomunicazione mobile personale (D) dell'utente, detto sistema di elaborazione essendo programmato per attuare un procedimento informatico di identificazione ed autenticazione dell'identità digitale di un soggetto o di un utente (U) di un sistema o ambiente informatico fornitore/gestore di servizi (SP) secondo una qualsiasi delle rivendicazioni 1 a 20.
  22. 22. Programma di elaborazione o gruppo di programmi eseguibile/i da un sistema di elaborazione, comprendente/i uno o più moduli di codice per l'attuazione di un procedimento informatico di identificazione ed autenticazione dell'identità digitale di un soggetto o di un utente (U) di un sistema o ambiente informatico fornitore/gestore di servizi (SP), il quale soggetto o utente è in possesso di un dispositivo di telecomunicazione mobile personale, secondo una qualsiasi delle rivendicazioni 1 a 20.
IT102016000115265A 2016-11-15 2016-11-15 Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale. IT201600115265A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102016000115265A IT201600115265A1 (it) 2016-11-15 2016-11-15 Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102016000115265A IT201600115265A1 (it) 2016-11-15 2016-11-15 Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.

Publications (1)

Publication Number Publication Date
IT201600115265A1 true IT201600115265A1 (it) 2018-05-15

Family

ID=58266073

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102016000115265A IT201600115265A1 (it) 2016-11-15 2016-11-15 Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.

Country Status (1)

Country Link
IT (1) IT201600115265A1 (it)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928558B1 (en) * 1999-10-29 2005-08-09 Nokia Mobile Phones Ltd. Method and arrangement for reliably identifying a user in a computer system
US20130298197A1 (en) * 2012-05-03 2013-11-07 At&T Intellectual Property I, L.P. Device-based authentication for secure online access
WO2016001032A1 (en) * 2014-07-03 2016-01-07 Vodafone Ip Licensing Limited User authentication and resource management in a cellular network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6928558B1 (en) * 1999-10-29 2005-08-09 Nokia Mobile Phones Ltd. Method and arrangement for reliably identifying a user in a computer system
US20130298197A1 (en) * 2012-05-03 2013-11-07 At&T Intellectual Property I, L.P. Device-based authentication for secure online access
WO2016001032A1 (en) * 2014-07-03 2016-01-07 Vodafone Ip Licensing Limited User authentication and resource management in a cellular network

Similar Documents

Publication Publication Date Title
US11405380B2 (en) Systems and methods for using imaging to authenticate online users
KR102027630B1 (ko) 이중 인증 시스템과 방법
EP3195108B1 (en) System and method for integrating an authentication service within a network architecture
EP1922632B1 (en) Extended one-time password method and apparatus
CN113302894B (zh) 安全账户访问
CN108684041A (zh) 登录认证的系统和方法
EP2819050B1 (en) Electronic signature system for an electronic document using a third-party authentication circuit
US20100299731A1 (en) Electronic System for Securing Electronic Services
US20200196143A1 (en) Public key-based service authentication method and system
CN107113613B (zh) 服务器、移动终端、网络实名认证系统及方法
CN114531277A (zh) 一种基于区块链技术的用户身份认证方法
US20090077382A1 (en) Method for the preparation of a chip card for electronic signature services
CN104104671B (zh) 建立企业法人账户的统一动态授权码系统
Kerttula A novel federated strong mobile signature service—the finnish case
EP3343494A1 (en) Electronic signature of transactions between users and remote providers by use of two-dimensional codes
CN111723347B (zh) 身份认证方法、装置、电子设备及存储介质
US11461451B2 (en) Document signing system for mobile devices
KR102209481B1 (ko) 계정 키 페어 기반 계정 인증 서비스를 운영하는 방법과 시스템 및 이 방법을 기록한 컴퓨터로 읽을 수 있는 기록 매체
KR20180034199A (ko) 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템
IT201600115265A1 (it) Procedimento e sistema informatico di identificazione ed autenticazione dell'identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.
KR101879842B1 (ko) Otp를 이용한 사용자 인증 방법 및 시스템
KR20150083178A (ko) 인증서 관리 방법
Fujita et al. Design and Implementation of a multi-factor web authentication system with MyNumberCard and WebUSB
WO2017076662A1 (en) A method to grant delegate access to a service
KR20150083175A (ko) 인증서 관리 방법