Autentificación segura en un sistema de múltiples partes.

Método para operar un servidor de autentificación capaz de autentificar cualquiera de varios usuarios diferentes para varios proveedores de servicio a través de una red

, que comprende:

almacenar información de validación para el primer usuario;

almacenar requisitos de política de autentificación de un primero de los varios proveedores de servicio, en asociación con un identificador del primer proveedor;

transmitir un primer número aleatorio al primer proveedor a través de la red;

recibir, desde el primer proveedor a través de la red, otra primera información;

recibir, de un usuario solicitante a través de la red, el primer número aleatorio y una solicitud de este usuario de ser autentificado;

transmitir, después de recibir el primer número aleatorio y la solicitud de autentificación, el primer identificador de proveedor almacenado, la otra primera información recibida, y los requisitos de política de autentificación del primer proveedor almacenados, al usuario solicitante a través de la red;

recibir, en respuesta a los requisitos de política de autentificación del primer proveedor transmitidos, un identificador de usuario e información de validación, del usuario solicitante a través de la red;

emparejar el identificador de usuario solicitante recibido con el primer identificador de usuario almacenado;

determinar que la información de validación recibida del usuario solicitante corresponde a los requisitos de política de autentificación del primer proveedor almacenados;

comparar la información de validación recibida del usuario solicitante con la información de validación del primer usuario almacenada para autentificar que el usuario solicitante es el primer usuario;

recibir del usuario solicitante a través de la red un mensaje con el primer número aleatorio y la primera otra información, firmada con una credencial; y

transmitir, al primer proveedor a través de la red, aviso de autentificación del primer usuario y el mensaje firmado recibido.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2013/034221.

Solicitante: AUTHENTIFY, INC.

Nacionalidad solicitante: Estados Unidos de América.

Dirección: 8745 West Higgins Road, Suite 240 Chicago, IL 60631 ESTADOS UNIDOS DE AMERICA.

Inventor/es: NEUMAN,MICHAEL, NEUMAN,DIANA.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Métodos o disposiciones para el tratamiento de datos... > G06F7/04 (Control de igualdad, es decir, para valores iguales o no)
google+ twitter facebookPin it
Ilustración 1 de Autentificación segura en un sistema de múltiples partes.
Ilustración 2 de Autentificación segura en un sistema de múltiples partes.
Ilustración 3 de Autentificación segura en un sistema de múltiples partes.
Ilustración 4 de Autentificación segura en un sistema de múltiples partes.
Ver la galería de la patente con 10 ilustraciones.
Autentificación segura en un sistema de múltiples partes.

Texto extraído del PDF original:

REIVINDICACIONES

1. Método para operar un servidor de autentificación capaz de autentificar cualquiera de varios usuarios diferentes para varios proveedores de servicio a través de una red, que comprende: almacenar información de validación para el primer usuario; almacenar requisitos de política de autentificación de un primero de los varios proveedores de servicio, en asociación con un identificador del primer proveedor; transmitir un primer número aleatorio al primer proveedor a través de la red; recibir, desde el primer proveedor a través de la red, otra primera información; recibir, de un usuario solicitante a través de la red, el primer número aleatorio y una solicitud de este usuario de ser autentificado; transmitir, después de recibir el primer número aleatorio y la solicitud de autentificación, el primer identificador de proveedor almacenado, la otra primera información recibida, y los requisitos de política de autentificación del primer proveedor almacenados, al usuario solicitante a través de la red; recibir, en respuesta a los requisitos de política de autentificación del primer proveedor transmitidos, un identificador de usuario e información de validación, del usuario solicitante a través de la red; emparejar el identificador de usuario solicitante recibido con el primer identificador de usuario almacenado; determinar que la información de validación recibida del usuario solicitante corresponde a los requisitos de política de autentificación del primer proveedor almacenados; comparar la información de validación recibida del usuario solicitante con la información de validación del primer usuario almacenada para autentificar que el usuario solicitante es el primer usuario; recibir del usuario solicitante a través de la red un mensaje con el primer número aleatorio y la primera otra información, firmada con una credencial; y transmitir, al primer proveedor a través de la red, aviso de autentificación del primer usuario y el mensaje firmado recibido.

2. Método según la reivindicación 1, donde: la credencial es una credencial del primer usuario asociada sólo con el primer proveedor y no con otros de los varios proveedores de servicio; el primer número aleatorio es un identificador de sesión; y la otra información primera es un segundo número aleatorio.

3. Método según la reivindicación 1, que comprende además: recibir, desde el primer usuario a través de la red, una credencial del primer usuario; almacenar la credencial de primer usuario recibida; y verificar el primer número aleatorio y la otra información primera aplicando la credencial de primer usuario almacenada con el mensaje firmado recibido para autentificar adicionalmente al usuario solicitante como el primer usuario.

4. Método según la reivindicación 3, donde la primera credencial de usuario recibida es una clave pública de un par de claves privada/pública del primer usuario, una clave privada del primer par de claves privada/pública de usuario la conoce sólo el primer usuario, y el mensaje firmado recibido se firma con la clave privada, y que además comprende: transmitir con el aviso de autentificación y el mensaje firmado recibido, un certificado que incluye la primera clave pública de usuario y se firma con una clave privada de un par de claves privada/pública del servidor de autentificación.

5. Método según la reivindicación 1, que comprende además: recibir un aviso de que la primera credencial de usuario ha sido comprometida; invalidar la credencial de primer usuario almacenada en respuesta al aviso recibido; después de invalidar la credencial de primer usuario almacenada, transmitir un segundo número aleatorio al primer proveedor a través de la red; recibir, desde el primer proveedor a través de la red, otras segundas informaciones; recibir, de un usuario solicitante a través de la red, el segundo número aleatorio y una solicitud de este usuario para ser autentificado; nuevamente transmitir, después de la recepción del segundo número aleatorio y de esta solicitud de autentificación, el identificador de primer proveedor almacenado, la otra segunda información recibida, y los primeros requisitos de política de autentificación del proveedor almacenados, para este usuario solicitante a través de la red; recibir, en respuesta a los primeros requisitos de política de autentificación del proveedor nuevamente transmitidos, otro identificador de usuario y otra información de validación de este usuario solicitante a través de la red; emparejar el otro identificador de usuario recibido con el primer identificador de usuario almacenado; determinar que la otra información de validación recibida corresponde a los primeros requisitos de política de autentificación del proveedor almacenados; comparar la otra información de validación recibida con la información de validación del primer usuario almacenado para autentificar que este usuario solicitante es el primer usuario; y determinar que la credencial de primer usuario almacenado es inválida.

6. Método según la reivindicación 5, que comprende además: después de determinar que la credencial del primer usuario almacenado es inválida, transmitir, al primer proveedor a través de la red, aviso de autentificación de que el usuario solicitante es el primer usuario y de la incapacidad para autentificar adicionalmente al primer usuario debido a la invalidez de la primera credencial de usuario.

7. Método según la reivindicación 5, que comprende además: después de determinar que la credencial del primer usuario almacenada es inválida, transmitir una solicitud de una credencial de sustitución al usuario solicitante a través de la red; recibir, en respuesta a la solicitud transmitida para la credencial de sustitución, una credencial de sustitución del usuario solicitante a través de la red; almacenar la credencial de sustitución recibida en asociación con el primer identificador de usuario; generar un certificado para la credencial de sustitución recibida; y transmitir al primer usuario a través de la red el certificado generado para el uso en la reinscripción del primer usuario con el primer proveedor.

8. Método según la reivindicación 7, que comprende además: después de recibir la credencial de sustitución, recibir, del usuario solicitante a través de la red, otro mensaje, con el segundo número aleatorio y las otras segundas informaciones, firmado con una credencial del usuario solicitante; verificar el segundo número aleatorio y las otras segundas informaciones aplicando la credencial de sustitución de primer usuario almacenada al otro mensaje firmado recibido para autentificar adicionalmente que el usuario solicitante es el primer usuario; y transmitir, al primer proveedor a través de la red, aviso de autentificación del primer usuario y el otro mensaje firmado.

9. Método según la reivindicación 1, que comprende además: recibir, del primer usuario a través de la red, otra credencial del primer usuario; almacenar la otra credencial de primer usuario recibida, y la primera información de validación de usuario, en asociación con otro identificador para el primer usuario; almacenar los requisitos de política de autentificación de un segundo de varios proveedores de servicio, en asociación con un identificador del segundo proveedor; transmitir un segundo número aleatorio al segundo proveedor a través de la red; recibir, del segundo proveedor a través de la red, segunda otra información; recibir, de un usuario solicitante a través de la red, el segundo número aleatorio y una solicitud de este usuario para ser autentificado; transmitir, después de la recepción del segundo número aleatorio y esta solicitud de autentificación, el segundo identificador de proveedor almacenado, la otra segunda información recibida, y los requisitos de política de autentificación del segundo proveedor almacenados, a este usuario solicitante a través de la red; recibir, en respuesta a los requisitos de política de autentificación del segundo proveedor transmitidos, otro identificador de usuario y otra información de validación; emparejar el otro identificador de usuario recibido con el otro identificador del primer usuario almacenado; determinar que la otra información de validación recibida de este usuario solicitante se corresponde con los requisitos de política de autentificación del segundo proveedor almacenados; comparar la otra información de validación recibida con la información de validación del primer usuario almacenada para autentificar que este usuario solicitante es el primer usuario; recibir, de este usuario solicitante a través de la red, otro mensaje, con el segundo número aleatorio y las otras segundas informaciones, firmado con otra credencial; y transmitir, al segundo proveedor a través de la red, aviso de autentificación del primer usuario y el otro mensaje firmado recibido.

10. Método según la reivindicación 1, que comprende además: recibir, desde el primer usuario a través de la red, requisitos de política de autentificación del primer usuario; almacenar los requisitos de política de autentificación del primer usuario recibidos; comparar los requisitos de política de autentificación del primer proveedor almacenados con los requisitos de política de autentificación del primer usuario almacenados; determinar cualquiera de los requisitos de política de autentificación adicional basados en la comparación; transmitir cualquiera de los requisitos de política de autentificación adicional determinada al usuario solicitante a través de la red; y también determinar que la información de validación recibida del usuario solicitante corresponde a cualquier requisito de política de autentificación adicional determinado.

11. Método según la reivindicación 1, que comprende además: recibir, del primer usuario a través de la red, una primera de varias porciones de datos secretos del primer usuario; almacenar la primera porción recibida de datos secretos; y después de autentificar que el usuario solicitante es el primer usuario, transmitir la primera porción de datos secretos almacenados al primer usuario a través de la red; donde el mensaje firmado se recibe después de la transmisión de la primera porción de datos secretos.

12. Artículo de producción para la autentificación de cualquiera de varios usuarios diferentes a cualquiera de varios proveedores de servicios diferente a través de una red, que comprende: medio de almacenamiento no transitorio; y lógica almacenada en el medio de almacenamiento, donde la lógica almacenada se configura para ser legible por un procesador y así hacer que el procesador funcione para: transmitir un primer número aleatorio a un primero de los varios proveedores a través de la red; recibir, desde el primer proveedor a través de la red, una primera información; recibir, de un usuario solicitante a través de la red, el primer número aleatorio y una solicitud de este usuario para ser autentificado; transmitir, después de recibir el primer número aleatorio y la solicitud de autentificación, un primer identificador de proveedor, la otra primera información recibida, y los primeros requisitos de política de autentificación del proveedor, al usuario solicitante a través de la red; recibir, en respuesta a los primeros requisitos de política de autentificación del proveedor transmitidos, un identificador de usuario e información de validación del usuario solicitante a través de la red; determinar que la información de validación recibida corresponde a los requisitos de política de autentificación del primer proveedor; comparar, basándose en el identificador de usuario recibido, la información de validación recibida con la información de validación almacenada de un primero de los varios usuarios para autentificar que el usuario solicitante es el primer usuario; recibir, del usuario solicitante a través de la red, un mensaje, con el primer número aleatorio y la primera otra información, firmado con una credencial; y transmitir, al primer proveedor a través de la red, aviso de autentificación del primer usuario y el mensaje recibido firmado.

13. Artículo de producción según la reivindicación 12, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: verificar el primer número aleatorio y la primera otra información aplicando, basándose en el identificador de usuario recibido, una credencial almacenada del primer usuario al mensaje recibido firmado para autentificar adicionalmente el usuario solicitante como el primer usuario.

14. Artículo de producción según la reivindicación 13, donde: la credencial del primer usuario almacenada es una clave pública de un par de claves privada/pública del primer usuario, una clave privada del primer par de claves privada/pública de usuario la conoce sólo el primer usuario, y el mensaje recibido firmado se firma con la clave privada; y la lógica almacenada es posteriormente configurada para obligar al procesador a operar para transmitir, con el aviso de autentificación y el mensaje recibido firmado, un certificado que incluye la primera clave pública de usuario y se firma con una clave privada de un par de claves privada/pública del servidor de autentificación.

15. Artículo de producción según la reivindicación 12, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: recibir un aviso de que la primera credencial de usuario ha sido comprometida; transmitir un segundo número aleatorio al primer proveedor a través de la red; recibir, desde el primer proveedor a través de la red, otra segunda información; después de la recepción del aviso, recibir, de un usuario solicitante a través de la red, el segundo número aleatorio y una solicitud de este usuario solicitante de ser autentificado; transmitir nuevamente, después de la recepción del segundo número aleatorio y la solicitud de autentificación, el primer identificador de proveedor, la otra segunda información recibida, y los requisitos de política de autentificación del primer proveedor, a este usuario solicitante a través de la red; recibir, en respuesta a los requisitos de política de autentificación del primer proveedor nuevamente transmitidos, otro identificador de usuario y otra información de validación de este usuario solicitante a través de la red; determinar que la otra información de validación recibida corresponde a los requisitos de política de autentificación del primer proveedor; comparar la otra información de validación recibida con la información de validación del primer usuario almacenada para autentificar que este usuario solicitante es el primer usuario; y transmitir, al primer proveedor a través de la red, aviso de autentificación del primer usuario y que la credencial del primer usuario es inválida.

16. Artículo de producción según la reivindicación 15, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: transmitir una solicitud para una credencial de sustitución a este usuario solicitante a través de la red; recibir, en respuesta a la solicitud transmitida para la credencial de sustitución, una credencial de sustitución de este usuario solicitante a través de la red; almacenar la credencial de sustitución recibida en asociación con el identificador del primer usuario; generar un certificado para la credencial de sustitución del primer usuario recibidos; y transmitir, al primer usuario a través de la red, el certificado generado para usar en la reinscripción del primer usuario con el primer proveedor.

17. Artículo de producción según la reivindicación 16, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: después de la transmisión del certificado generado, recibir, de este usuario solicitante a través de la red, otro mensaje, con el segundo número aleatorio y las otras segundas informaciones, firmadas con una credencial de este usuario solicitante; y transmitir, al primer proveedor a través de la red, el otro mensaje firmado.

18. Artículo de producción según la reivindicación 12, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: recibir, del primer usuario a través de la red, los requisitos de política de autentificación del primer usuario; almacenar los requisitos de política de autentificación del usuario recibidos; comparar los requisitos de política de autentificación del primer proveedor almacenados con los requisitos de política de autentificación del primer usuario almacenados; determinar cualquier requisito de política de autentificación adicional basados en la comparación; transmitir cualquier requisito de política de autentificación adicional determinado al usuario solicitante a través de la red; y también determinar que la información de validación recibida del usuario solicitante corresponde con cualquier requisito de política de autentificación adicional determinado.

19. Artículo de producción según la reivindicación 12, donde la lógica almacenada es posteriormente configurada para obligar al procesador a operar para: recibir, desde el primer usuario a través de la red, una primera de varias porciones de datos secretos del primer usuario; almacenar la primera porción recibida de datos de secreto; y después de autentificar que el usuario solicitante es el primer usuario, transmitir la primera porción de datos secretos almacenada al primer usuario a través de la red; donde el mensaje firmado se recibe después de la transmisión de la primera porción de datos secretos.

20. Método de operar un servidor de autentificación para notificar a una entidad de red de una transacción a través de una red, que comprende: recibir, de una primera entidad de red a través de la red, un identificador de una segunda entidad de red, un identificador de transacción, aprobación de transacción y requisitos de autentificación, y un mensaje con respecto a la transacción, donde el mensaje está (i) encriptado con una credencial de la segunda entidad de red, y (ii) también firmado con una clave privada de un par de claves privada/pública de la primera entidad de red, donde una clave pública del primer par de claves privada/pública de entidad de red se conoce por la segunda entidad de red; transmitir, a la segunda entidad de red a través de la red, el identificador de transacción recibido, la aprobación de transacción y cualquier requisito de autentificación y mensaje firmado encriptado; recibir, de la segunda entidad de red a través de la red después de la transmisión del identificador de transacción, aprobación de transacción y requisitos de autentificación, y mensaje firmado encriptado, al menos uno de una aprobación de transacción e información de autentificación; y determinar, basándose en cualquier información de autentificación recibida, que la segunda entidad de red es auténtica; y transmitir a la primera entidad de red una notificación de cualquier determinación y cualquier aprobación de transacción recibida.