Sistema y procedimiento para delegación de privilegios y control.

Sistema de delegación de privilegios, que comprende:

i. un testigo de seguridad basado en hardware (10) que incluye por lo menos una primera parte de un privilegiodelegable (20) y unos atributos asociados con dicha primera parte de dicho privilegio delegable (20) y unosmedios de transferencia para transferir dicha primera parte de dicho privilegio delegable (20) y dichosatributos por lo menos a una primera unidad de procesamiento de datos (40),

ii. incluyendo dicha primera unidad de procesamiento de datos (40) una segunda parte de dicho privilegiodelegable (20), unos primeros medios de combinación para combinar dicha primera parte de dicho privilegiodelegable (20) con dicha segunda parte de dicho privilegio delegable (20) para formar un privilegio utilizable.

Sistema y procedimiento para delegación de privilegios y control.

Campo de la invención La presente invención se refiere en general a un sistema y un procedimiento de procesamiento de datos y más particularmente a un sistema y un procedimiento para delegar privilegios de uno o más testigos de seguridad a una o más unidades de procesamiento de datos.

Antecedentes La solicitud de patente de Estados Unidos US 2002/0099952 A1 da a conocer un sistema y un procedimiento que controla de forma automática, transparente y segura la ejecución del software mediante la identificación y la clasificación del software y la localización de una regla y nivel de seguridad asociado para ejecutar software ejecutable. El nivel de seguridad puede denegar la ejecución del software, restringir su ejecución en cierta medida o permitir su ejecución sin restricciones. Para restringir software, puede calcularse un testigo de dirección restringida que reduzca el acceso del software a los recursos y/o elimine privilegios, en relación con un testigo de acceso normal del usuario. En la página 4, párrafo [0038] de este documento, se explica que "cuando un usuario inicia una sesión en una máquina o red segura [...] y se autentica, se configura un entorno de ejecución (contexto) para el usuario, que comprende la creación de un testigo de acceso".

La patente US n.º 5.649.099 da a conocer un procedimiento en el que unos programas de control de acceso (ACP) permiten la delegación controlada de los derechos de acceso de los clientes a unos intermediarios no fiables. Los ACP son programas que codifican especificaciones arbitrarias de derechos de acceso delegados. En la col. 2, líneas 41 y ff., se explica que "los sistemas de capacidades se basan en los testigos de capacidades que los servidores entregan a los clientes".

Por lo tanto, ambos documentos dan a conocer testigos generados mediante software.

La delegación de privilegios ofrece la posibilidad de permitir que otro actúe como sustituto del delegante. Hay una serie de estrategias diferentes relevantes para la realización del procedimiento de delegación. Por ejemplo, la patente US nº 5.339.403 concedida a Parker, describe un certificado de atributos de privilegios expedido por un servidor de autenticación para permitir a un cliente acceder a recursos distribuidos. En un segundo ejemplo, la patente US nº 5.918.228 concedida a Rich et al. describe un certificado de atributos de privilegios utilizado para "suplantar" a un cliente en otros servidores basados en la web. Un primer servidor web genera y expide el certificado de atributos de privilegios y lo presenta a otros servidores como un medio para "suplantar" a un cliente con finalidades de acceso. Una forma muy común de delegación de privilegios diseñada para redes que emplean protocolos TCP/IP es la del protocolo denominado Kerberos.

El protocolo Kerberos autentica la identidad de los usuarios que tratan de iniciar una sesión en una red y comprende mensajería segura basada en procedimientos de criptografía simétrica. Kerberos concede "tickets" a los usuarios a título de credenciales, que luego estos utilizarán para identificarse ante otros proveedores de servicios de red. Cada ticket comprende información que permite a otro proveedor de servicios de red determinar que el usuario se ha autenticado correctamente, de manera análoga a un certificado de atributos de privilegios. El ticket adecuado se presenta automáticamente al proveedor de servicios de red como un medio para evitar tener que someterse a diversos procedimientos de autenticación cada vez que se desee acceder a un nuevo servicio de red.

En los ejemplos citados, los servidores que expiden los certificados o tickets de atributos de privilegios son los encargados de la generación y el control de estos, en lugar de la persona que utiliza el sistema. La persona que utiliza el sistema debe, por consiguiente, confiar en las estrategias de delegación empleadas en el sistema. En segundo lugar, los sistemas basados en servidor tal vez no aporten suficiente flexibilidad al procedimiento de delegación cuando los criterios de delegación necesarios se basan en una función o en una regla en lugar de una identidad. Por último, los certificados de atributos de privilegios empleados en la correspondiente técnica son vulnerables en cierta medida a los ataques por personas o entidades que tienen acceso a los servidores que generan el certificado.

Por las anteriores razones, es necesario incorporar un mecanismo de delegación de privilegios flexible en uno o más testigos de seguridad mediante el cual el titular del testigo de seguridad tenga un mayor control sobre la emisión y el uso de los privilegios delegables.

Sumario Según la presente invención, se ofrece un sistema de delegación de privilegios según las reivindicaciones 1, 14, 21

o 28 y un procedimiento para delegar un privilegio según la reivindicación 16.

La presente invención va dirigida a un sistema y un procedimiento de delegación de privilegios que aportan flexibilidad y control sobre la emisión y el uso de los privilegios delegables. La presente invención comprende un testigo de seguridad dotado de la capacidad de transferir privilegios delegables y atributos asociados a otro testigo de seguridad o sistema informático, ambos de los cuales se describen genéricamente en la presente memoria como unidades de procesamiento de datos. Se dan a conocer diversas formas de realización que comprenden un privilegio dividido que permite el acceso a un recurso controlado cuando se combina con todos los componentes para formar un privilegio completo.

La unidad de procesamiento de datos receptora comprende la capacidad operativa de almacenar y utilizar el privilegio delegado y efectuar intercambios de datos con el testigo de seguridad y, opcionalmente, con por lo menos una segunda unidad de procesamiento de datos. Se llevan a cabo autenticaciones mutuas entre el testigo de seguridad delegante y la unidad de procesamiento de datos receptora antes de que se transfiera el privilegio delegado.

La información que se puede comunicar en el intercambio de datos comprende datos de autenticación, uno o más privilegios delegados y los atributos asociados. Se utiliza un protocolo de mensajería segura durante los intercambios de datos. Los privilegios delegables comprenden un certificado de atributos de privilegios, un componente de clave, una clave criptográfica, un ticket digital, unas credenciales digitales, una contraseña, una plantilla biométrica, unos derechos digitales, una licencia o un crédito de fidelización.

Los usos comunes para los privilegios delegados comprenden autenticar, activar un terminal, personalizar un dispositivo inteligente, acceder a los recursos contenidos en la segunda unidad de procesamiento de datos u otra unidad de procesamiento de datos o accesibles a través de estas, permitir que la segunda unidad de procesamiento de datos u otra unidad de procesamiento de datos actúen como sustitutos del testigo de seguridad delegante y gestionar el crédito de fidelización. Los atributos contenidos en el certificado de atributos de privilegios o en el archivo separado definen el alcance de uso y los aspectos de seguridad necesarios para utilizar el privilegio delegado. Cuando los atributos están contenidos en el archivo separado, se añade una referencia cruzada comprobable al privilegio asociado.

Los atributos asociados al privilegio delegado facilitan suficiente información a la unidad de procesamiento de datos receptora para configurar el privilegio y aplicar los aspectos del control indicados en los atributos, que comprenden las políticas de seguridad y el estado del privilegio delegado. Las políticas de seguridad comprenden detalles relacionados con el período de validez, el número de usos restantes, los límites de tiempo y las medidas criptográficas que deben aplicarse. El estado de privilegio delegado comprende los requisitos de almacenamiento (transitorio o permanente) y el estado del sistema principal (inactivo, en arranque, modo seguro, modo inseguro, suspendido.) Los aspectos de control determinan cuándo debe activarse o destruirse el privilegio. Otro tipo de información contenida en los atributos comprende información operativa, tal como nombre de usuario, ID de usuario, nombre de dominio, nombre de cliente o nombre de sistema principal.

A continuación, se ilustran algunas ventajas de la presente invención a título de ejemplo. La delegación y control de privilegios pueden aplicarse al mantenimiento de la privacidad del historial médico de una persona. El historial médico de un paciente debería ser accesible solo para las personas autorizadas o "con privilegio" de acceso al historial. A fin de acceder al historial médico... [Seguir leyendo]

1. Sistema de delegación de privilegios, que comprende:

i. un testigo de seguridad basado en hardware (10) que incluye por lo menos una primera parte de un privilegio delegable (20) y unos atributos asociados con dicha primera parte de dicho privilegio delegable (20) y unos medios de transferencia para transferir dicha primera parte de dicho privilegio delegable (20) y dichos atributos por lo menos a una primera unidad de procesamiento de datos (40) ,

ii. incluyendo dicha primera unidad de procesamiento de datos (40) una segunda parte de dicho privilegio delegable (20) , unos primeros medios de combinación para combinar dicha primera parte de dicho privilegio delegable (20) con dicha segunda parte de dicho privilegio delegable (20) para formar un privilegio utilizable.

2. Sistema según la reivindicación 1, en el que dicha segunda parte de dicho privilegio delegable (20) está 15 contenida en una segunda unidad de procesamiento de datos (50) .

3. Sistema según la reivindicación 2 en el que dicha primera parte de dicho privilegio delegable (20) y dichos atributos asociados (30) son transferidos desde dicha primera unidad de procesamiento de datos (40) hasta dicha segunda unidad de procesamiento de datos (50) .

4. Sistema según la reivindicación 3, en el que dicha segunda unidad de procesamiento de datos (50) incluye unos segundos medios de combinación para combinar dicha primera parte de dicho privilegio delegable (20) con dicha segunda parte de dicho privilegio delegable (20) .

5. Sistema según una de las reivindicaciones 2 a 4, en el que dicha primera unidad de procesamiento de datos (40)

o dicha segunda unidad de procesamiento de datos (50) es un sistema informático.

6. Sistema según una de las reivindicaciones 2 a 5, en el que dicha primera unidad de procesamiento de datos (40)

o dicha segunda unidad de procesamiento de datos (50) es otro testigo de seguridad. 30

7. Sistema según una de las reivindicaciones anteriores, en el que dicho privilegio (20) es transferido desde dicho testigo de seguridad (10) hasta dicha primera unidad de procesamiento de datos (40) utilizando un protocolo de mensajería segura.

8. Sistema según una de las reivindicaciones anteriores, en el que el acceso a un recurso es habilitado combinando dicha primera parte de dicho privilegio delegable (20) con dicha segunda parte de dicho privilegio delegable (20) .

9. Sistema según una de las reivindicaciones 3 a 8, en el que dicho privilegio (20) es transferido desde dicha primera unidad de procesamiento de datos (40) hasta dicha segunda unidad de procesamiento de datos (50) 40 utilizando un protocolo de mensajería segura.

10. Sistema según una de las reivindicaciones 4 a 9, en el que dicha segunda parte de dicho privilegio delegable (20) es transferida desde dicha segunda unidad de procesamiento de datos (50) hasta dicha primera unidad de procesamiento de datos (40) .

11. Sistema según la reivindicación 10, en el que dicho recurso está contenido en dicha primera unidad de procesamiento de datos (40) .

12. Sistema según la reivindicación 10, en el que dicho recurso está contenido en dicha segunda unidad de 50 procesamiento de datos (50) .

13. Sistema según la reivindicación 12, en el que dicho recurso es transferido desde dicha segunda unidad de procesamiento de datos (50) hasta dicha primera unidad de procesamiento de datos (40) .

14. Sistema según la reivindicación 11, en el que dicho recurso es transferido desde dicha primera unidad de procesamiento de datos (40) hasta dicha segunda unidad de procesamiento de datos (50) .

15. Sistema según una de las reivindicaciones anteriores, en el que dicho privilegio delegable (20) es generado combinando una pluralidad de privilegios parciales en una sola unidad de procesamiento de datos. 60