SISTEMA DE AUTENTICACION REMOTA DE LA IDENTIDAD DE USUARIOS MEDIANTE TARJETAS INTELIGENTES EN RED.
Sistema de autenticación remota de la identidad de usuarios mediante tarjetas inteligentes que comprende:
- una tarjeta inteligente (10) que proporciona un certificado de autenticación de dicho usuario (C.X.509.U_AUT),- un punto de acceso (20) para dicha tarjeta inteligente,- un servidor de autenticación remoto (30) para autenticar dicha tarjeta inteligente,en donde:- dicha tarjeta inteligente (10) está configurada como solicitante de autenticación independiente y para responder a una pila de protocolos de red sobre la se que implementa un mecanismo de autenticación remota controlado por dicha tarjeta inteligente;- dicho punto de acceso está configurado como servidor de acceso a la red y para actuar como intermediario de autenticación (A) entre la tarjeta inteligente y el servidor de autenticación remoto;- en respuesta a una autenticación remota y mutua entre dichos servidor de autenticación remota y tarjeta inteligente, queda establecido un canal seguro extremo a extremo (40) mediante una clave de sesión (KSK, KSA/elD) y definido entre dicha tarjeta inteligente y dicho servidor de autenticación remota, y- a través de dicho canal seguro definido entre servidor de autenticación remota y tarjeta inteligente, es ejecutada una autenticación de la identidad del usuario mediante dicho certificado de autenticación (C.X.509.U_AUT)
Tipo: Patente de Invención. Resumen de patente/invención. Número de Solicitud: P200703406.
Solicitante: UNIVERSIDAD CARLOS III DE MADRID.
Nacionalidad solicitante: España.
Provincia: MADRID.
Inventor/es: IZQUIERDO MANZANARES,ANTONIO, SIERRA CAMARA,JOSE MARIA, TORRES MARQUEZ,JOAQUIN.
Fecha de Solicitud: 21 de Diciembre de 2007.
Fecha de Publicación: .
Fecha de Concesión: 16 de Noviembre de 2010.
Clasificación Internacional de Patentes:
- H04L29/06S12
- H04L29/06S4B
- H04L29/06S8C
Clasificación PCT:
- G07F7/08 FISICA. › G07 DISPOSITIVOS DE CONTROL. › G07F APARATOS ACCIONADOS POR MONEDAS O APARATOS SIMILARES (selección de monedas G07D 3/00; verificación de monedas G07D 5/00). › G07F 7/00 Mecanismos accionados por objetos diferentes de las monedas para accionar o activar aparatos de venta, de alquiler, de distribución de monedas o de papel moneda, o de devolución. › por tarjeta de identidad codificada o tarjeta de crédito codificada.
- G07F7/10 G07F 7/00 […] › utilizada simultáneamente con una señal codificada.
- H04L12/28 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › caracterizados por la configuración de los enlaces, p. ej. redes locales (LAN), redes extendidas (WAN) (redes de comunicación inalámbricas H04W).
- H04L29/06 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
Fragmento de la descripción:
Sistema de autenticación remota de la identidad de usuarios mediante tarjetas inteligentes en red.
Campo de la invención
La presente invención se engloba dentro de los sistemas centralizados de Identificación de Personas mediante tokens hardware criptográficos. Más en concreto, en tarjetas inteligentes (o smart cards), y de su utilización para la validación remota de credenciales de identidad.
Antecedentes de la invención
La definición de identidad puede concretarse en el conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás o, más allá, como la conciencia que una persona tiene de ser ella misma y distinta al resto. Así, la identificación puede considerarse como la acción que permite reconocer si una persona es quien se supone.
La gestión de la identidad y los servicios de seguridad relacionados han llegado a representar un desafío importante. Un determinada persona (con una identidad específica, por tanto) está autorizada a realizar ciertas acciones en la medida que una entidad con la correspondiente autoridad confía en su comportamiento según ciertas expectativas asociadas a dicha persona. De este manera, de las técnicas de "autorización", así como de las de "control de acceso", se derivan un conjunto importante de desafíos para la gestión de la identidad. Desde una perspectiva amplia, la inclusión de la identificación debe entenderse como un elemento más para la mitigación del riesgo en la gestión de los sistemas de seguridad.
Las credenciales de identidad electrónica son aquellos elementos lógicos cuyo función principal es la de asociar un conjunto de atributos con los elementos identificadores de un sujeto. El proceso por el que un sujeto prueba su identidad es la Autenticación. De esta manera y de forma general, las credenciales de identidad pueden ser estructuras lógicas o físicas que operan en conjunto, o separadamente, con el objeto de proveer de tal identidad al titular de una credencial dada.
Son varias las características de tipo lógico que una credencial de identidad electrónica puede contener: un PIN o contraseña para acceder a información segura o códigos de autenticación (hash, CRC, etc.), claves y certificados bajo infraestructuras de PKI, claves sobre la base de algoritmos usados para cifrar/descifrar datos o criptogramas de validación, así como los identificadores biométricos.
Uno de los medios más eficaces para la portabilidad de las credenciales de identidad electrónicas asociadas a los individuos son los dispositivos hardware de tipo criptográfico (p.e. USB, tarjetas inteligentes o smart cards, etc.) que, además de por su uso extendido en multitud de escenarios, su tamaño y forma facilitan su manejabilidad. En concreto, las tarjetas inteligentes son consideradas como dispositivos seguros cuya aplicación en esquemas de identificación vienen extendiéndose universalmente en los últimos años en forma de "tarjetas de identificación electrónica" o "ID-cards" (equivalentes al DNI electrónico español) o pasaportes electrónicos. En general, estos sistemas permiten tanto procesos de autenticación off-line (local) entre la tarjeta inteligente y el Terminal (que incorpora el lector de la tarjeta) como procesos on-line (remoto).
Estos sistemas de identificación remota basados en tarjetas electrónicas (ID cards, en adelante eID) pueden presentarse sobre la base de distintos esquemas en función de los objetivos perseguidos (firma digital, autenticación, personalización, etc.). En la Figura 1 se muestra un esquema genérico de identificación remota con tarjeta inteligente, que consta de los siguientes elementos:
- Usuario, U
- Certificado de Autenticación X.509v3 del Usuario, C.X509.U_AUT [Nota: Un certificado de autenticación X.509v3 se caracteriza por el tipo "Digital Signature" en el campo "KeyUsage", frente a un certificado de firma reconocida que es de tipo "contentCommitment". Las claves para dicho certificado de autenticación se han de generar en la propia tarjeta criptográfica, que ha de cumplir un nivel de seguridad CC EAL4+. El control sobre la clave privada asociada y el propio certificado de autenticación constituyen la "credencial de identidad"].
- Tarjeta Inteligente soportando el credencial de identidad, eID
- Certificado de Componente de la Tarjeta Inteligente, C.eID.AUT (obligatorio en entornos no confiables) [Nota: se trata de un certificado Card Verifiable según ISO 7816-8]
- Terminal o Host (incorpora la funcionalidad de lector de tarjetas), H
- Certificado de Componente del Host, C_CV.H.AUT (opcional, aunque obligatorio en los entornos no confiables, según normativa)
- Servidor Remoto de Autenticación, SA.
De esta manera, la identificación de un usuario se realiza mediante un protocolo de autenticación en el que, básicamente, éste debe presentar el certificado de autenticación C.X509.U_AUT y cifrar con la clave privada asociada a este certificado un desafío (challenge) enviado por la entidad en el otro lado de la comunicación (por ej., el servidor remoto de autenticación SA).
Este esquema habitual del empleo de C.X509.U_AUT para la identificación remota está recogido en la normativa CWA 14890-2 "Application Interface for smart cards used as Secure Signature Creation Devices. Part 2: Additional Services", CEN, EUROPEAN COMMITTEE FOR STANDARDIZATION, May 2004, bajo el epígrafe "Client/Server Authentication" y se representa en el esquema de autenticación de la identidad del usuario de la Figura 1; en este caso particularizado con el objetivo de establecer una sesión segura con el protocolo SSL entre H y SA, aunque otros protocolos son posibles (WTLS o Kerberos).
Conviene en este punto señalar la diferencia entre autenticación entre dispositivos ("Device Authentication") y la autenticación de la identidad de usuarios. Si bien para la primera se emplean secretos compartidos (criptografía simétrica) o certificados de componentes (criptografía asimétrica) -propios de los dispositivos e interpretables por una eID-, en la segunda se emplean certificados de autenticación según el estándar X.509v3, emitidos para cada usuario y específicos para su identificación ante el sistema. Dicho certificado, aunque no puede ser verificado por la eID, es portado en ella y empleado, bajo demanda, en los procesos de identificación de usuarios. Por tanto, aun cuando un proceso del tipo "device authentication" podría derivar -tras una autenticación de dispositivos mutua- en un túnel extremo a extremo entre eID y SA, al no requerir del certificado de autenticación C.X509.U_AUT no constituye en sí mismo una proceso de identificación de usuario.
Aunque el esquema de la Figura 1 requiere de la autenticación del usuario de forma remota, el objetivo último no es su identificación sino proveer un mecanismo para el establecimiento de una comunicación segura entre un Terminal (en la lado de usuario) y un servidor remoto. Así el empleo de este esquema para la identificación de usuarios presenta los siguientes inconvenientes, y por tanto, posibilidades de mejora:
1) Existe un claro desacople entre los procesos de autenticación eID-H y H-SA: desacople en el plano de la comunicación (capas) y en el propio de la autenticación. Consecuentemente, la eID no tiene información del resultado de la autenticación entre H y SA (capa de aplicación), e incluso el SA tampoco dispone información del resultado de la autenticación entre eID-H (capa de dispositivos). Al mismo tiempo, eID y SA no se autentican directamente; es decir, no existe ni comunicación ni autenticación mutua en este plano.
2) Es necesario autenticar previamente los dispositivos eID-H (requisito obligado en un entorno no confiable). Una falta de actualización del certificado de componente de H, por ejemplo, bloquearía temporalmente la comunicación de eID con el sistema y por tanto, la identificación del usuario. En este caso, la eID no presenta suficientes recursos (flexibilidad) para enfrentarse a ciertas incidencias en este proceso de autenticación. Al mismo tiempo, se supedita -en gran medida- el proceso remoto a este proceso local.
3) Una vez llevadas a cabo las correspondientes autenticaciones en la Interfaz 1 y en la Interfaz 2, se han establecido claves de sesión distintas en ambas...
Reivindicaciones:
1. Sistema de autenticación remota de una identidad de un usuario, que comprende:
- una tarjeta inteligente (10) que proporciona un certificado de autenticación de dicho usuario (C.X.509.U_AUT),
- un punto de acceso (20) o Terminal para dicha tarjeta inteligente,
- un servidor de autenticación remoto (30) para autenticar dicha tarjeta inteligente,
caracterizado por que:
- dicha tarjeta inteligente (10) está configurada como solicitante de autenticación independiente y para responder a una pila de protocolos de red sobre la que se implementa un mecanismo de autenticación remota controlado por dicha tarjeta inteligente; y por que
- dicho punto de acceso está configurado como servidor de acceso a la red y para actuar como intermediario de autenticación (A) entre la tarjeta inteligente y el servidor de autenticación remoto;
y en el que dicha autenticación se realiza en dos fases:
- una primera fase (fase 1ª) en la que, tras una autenticación remota y mutua entre dichos servidor de autenticación remota y tarjeta inteligente, se establece un canal seguro extremo a extremo (40) mediante una clave de sesión (KSK, KSA/eID), quedando definido dicho canal seguro entre dicha tarjeta inteligente y dicho servidor de autenticación remota; y
- una segunda fase (fase 2ª) en la que es ejecutada la autenticación de la identidad del usuario mediante dicho certificado de autenticación (CX.509.U_AUT) a través de dicho canal seguro (40) definido entre servidor de autenticación remota y tarjeta inteligente.
2. Sistema según la reivindicación 1, en el que dicha autenticación remota y mutua entre la tarjeta inteligente y el servidor de autenticación remoto es ejecutada mediante criptografía asimétrica, basada en un primer y un segundo certificados de componente (C. eID.AUT, C.CV.SA.AUT) asociados a dicha tarjeta inteligente y a dicho servidor de autenticación remota, respectivamente.
3. Sistema según la reivindicación 1, en el que dicha autenticación remota y mutua entre la tarjeta inteligente y el servidor de autenticación remoto es ejecutada mediante criptografía simétrica, basada en una primera y una segunda claves secretas compartidas asociadas a dicha tarjeta inteligente y a dicho servidor de autenticación remota, respectivamente.
4. Sistema según cualquiera de las reivindicaciones 1-3, que además incluye una autenticación mutua en red entre el punto de acceso (20) y el servidor de autenticación remoto (30).
5. Sistema según cualquiera de las reivindicaciones 1-4, que además incluye establecer una clave de sesión, diferente a la clave de sesión para el canal seguro definido entre tarjeta inteligente y servidor de autenticación remoto, para cifrar el tráfico entre la tarjeta inteligente y el punto de acceso.
6. Sistema según cualquiera de las reivindicaciones 1-4, que además incluye establecer un tipo de mecanismo para acceder y emplear una clave privada asociada al certificado de autenticación de usuario, almacenado en la tarjeta inteligente.
7. Sistema según la reivindicación 6, en el que dicho mecanismo está basado en técnicas biométricas.
8. Sistema según la reivindicación 6, en el que dicho mecanismo está basado en técnicas de verificación de un PIN del usuario.
9. Sistema según cualquiera de las reivindicaciones 1-8, en el que dicho certificado de autenticación de usuario tiene establecido un dominio de empleo corporativo, siendo dicho usuario miembro de una empresa.
10. Sistema según cualquiera de las reivindicaciones 1-8, en el dicho que certificado de autenticación de usuario tiene establecido un dominio de empleo gubernativo, siendo dicho usuario un ciudadano.
11. Procedimiento de autenticación remota de una identidad de un usuario, que comprende un intercambio de mensajes entre:
- una tarjeta inteligente (10) que proporciona un certificado de autenticación de dicho usuario (C.X.509.U_AUT), que está configurada como solicitante de autenticación independiente y que responde a una pila de protocolos de red sobre la que se implementa un mecanismo de autenticación remota controlado por dicha tarjeta inteligente;
- un servidor de autenticación remoto (30) para autenticar dicha tarjeta inteligente; y
- un punto de acceso (20) o Terminal para dicha tarjeta inteligente, que está configurado como servidor de acceso a la red y para actuar como intermediario de autenticación (A) entre la tarjeta inteligente y el servidor de autenticación remoto;
en el que dicha autenticación se realiza en dos fases:
- una primera fase (fase 1ª) en la que tras una autenticación remota y mutua entre dichos servidor de autenticación remota y tarjeta inteligente, se establece un canal seguro extremo a extremo (40) mediante una clave de sesión (KSK, KSA/eID), quedando definido dicho canal seguro entre la tarjeta inteligente y el servidor de autenticación remota, y
- una segunda fase (fase 2ª) en la que se ejecuta la autenticación de la identidad del usuario mediante dicho certificado de autenticación (CX.509.U_AUT) a través de dicho canal seguro (40) definido entre servidor de autenticación remota y tarjeta inteligente.
Patentes similares o relacionadas:
CONEXIÓN RÁPIDA A RED, del 18 de Noviembre de 2011, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Procedimiento para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento: enviar una solicitud de conexión […]
UN PROCEDIMIENTO PARA EL ACCESO DEL TERMINAL MÓVIL A LA RED WLAN Y PARA LA COMUNICACIÓN DE DATOS A TRAVÉS DE LA CONEXIÓN INALÁMBRICA DE FORMA SEGURA, del 11 de Noviembre de 2011, de CHINA IWNCOMM CO., LTD: Un procedimiento para el acceso seguro del terminal móvil a la Red de Área Local Inalámbrica, WLAN, y para la comunicación de datos segura a través de […]
DISPOSICIÓN Y MÉTODO PARA LA TRANSMISIÓN SEGURA DE DATOS, del 8 de Noviembre de 2011, de TRUST INTEGRATION SERVICES B.V: Método de transmisión segura de datos en una sesión de comunicación entre un cliente (2(n)) y una disposición informática de un tercero (2(n'); 6), que […]
MONITORIZACIÓN DE CONTENIDO DIGITAL PROPORCIONADO POR UN PROVEEDOR DE CONTENIDOS SOBRE UNA RED, del 15 de Abril de 2011, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método de monitorizar el uso del cliente de los contenidos digitales descargados o difundidos de forma continua proporcionados por un proveedor de contenidos […]
MÉTODO ELECTRÓNICO PARA ALMACENAR Y RECUPERAR DOCUMENTOS ORIGINALES AUTENTIFICADOS, del 22 de Febrero de 2011, de EORIGINAL INC.: Un método para manejar objetos originales electrónicos almacenados que han sido creados firmando objetos de información por los respectivos agentes de transferencia, someter […]
UTILIZACION DE LA RED TELEFONICA PUBLICA CONMUTADA PARA CAPTURAR FIRMAS ELECTRONICAS EN TRANSACCIONES EN LINEA, del 6 de Julio de 2010, de AUTHENTIFY, INC: Sistema seguro para capturar firmas electrónicas que comprende: un sistema de comunicación de tipo red telefónica conmutada y un segundo sistema de comunicación, […]
SISTEMA Y METODO PARA COMPROBAR CERTIFICADOS DIGITALES, del 27 de Abril de 2010, de RESEARCH IN MOTION LIMITED: Un método para manejar en un dispositivo móvil un certificado digital de un destinatario de un mensaje que se ha de enviar, o de un remitente […]
GESTIÓN DE DERECHOS DIGITALES (DRM) ROBUSTA Y FLEXIBLE CON UN MÓDULO DE IDENTIDAD INVIOLABLE, del 22 de Diciembre de 2011, de TELEFONAKTIEBOLAGET L M ERICSSON (PUBL): Un módulo de identidad inviolable adaptado para la conexión física con un sistema cliente que tiene un medio para recibir contenido digital sobre […]