Gestión del inicio de sesión automático a recursos objetivo de Internet.

Sistema para gestionar el inicio de sesión automático en recursos objetivo de Internet,

caracterizado porquecomprende:

- un teléfono móvil (2), provisto de un dispositivo (21) de almacenamiento en el cual están almacenadas identidadesprivadas de usuario;

- un servidor (4) de identificación;

- un ordenador (1) provisto de un navegador (10) de cliente con un complemento (11) de navegador, estandoconfigurado el complemento de navegador para, al producirse la recepción (101, 401) de información que contiene unformulario de inicio de sesión enviado por un recurso objetivo (3) al cual está accediendo un usuario del navegador (10)de cliente:

• detectar el formulario de inicio de sesión contenido en la información recibida;

• solicitar (102) el usuario, y por consiguiente obtener, un identificador de usuario;

• enviar (103, 402) una solicitud de identidad destinada a llegar al servidor (4) de identificación, incluyendo dichasolicitud (103, 402) de identidad por lo menos el identificador de usuario;

estando configurado el servidor (4) de identificación para, al producirse la recepción del identificador de usuario:• obtener un número de teléfono móvil asociado a dicho identificador de usuario;

• enviar (105, 405) un mensaje de identidad destinado al teléfono móvil (2), conteniendo el mensaje deidentidad un identificador del recurso objetivo (3);

estando provisto el teléfono móvil (2) de una aplicación (20) de cliente configurada para, al producirse la recepción deun mensaje de identidad:

• buscar las identidades privadas de usuario asociadas al recurso objetivo (3) en el dispositivo (21) dealmacenamiento;

• si se halla por lo menos una identidad privada de usuario asociada, solicitar (106) al teléfono móvil unaconfirmación de usuario para el inicio de sesión automático en el recurso objetivo (3) utilizando una identidadprivada de usuario seleccionada a partir de dicha por lo menos una identidad privada de usuario asociada;

• si se produce una confirmación para el inicio de sesión automático, enviar (108, 406) dicha confirmación y laidentidad privada de usuario seleccionada al servidor (4) de identificación;

estando configurado además el servidor (4) de identificación, si se recibe la confirmación para el inicio de sesiónautomático, para enviar (109) la identidad privada de usuario seleccionada al navegador (10) de cliente; estandoconfigurado además el complemento (11) de navegador para, al producirse la recepción de la identidad privada deusuario seleccionada, iniciar sesión (110, 407) en el recurso objetivo (3) usando dicha identidad privada de usuarioseleccionada.

Gestión del inicio de sesión automático a recursos objetivo de Internet

Campo de la invención La presente invención se incluye en el campo de la tecnología de la información, y más específicamente en el acceso automático de sitios web de Internet que requieren inicio de sesión.

Antecedentes de la invención Actualmente, una de las frustraciones importantes de los usuarios de Internet es la necesidad de gestionar diferentes identidades de Internet para servicios en línea diferentes, lo cual en la práctica significa recordar muchos nombres de usuario, contraseñas y códigos pin diferentes. El número creciente de aplicaciones y servicios disponibles a partir de dispositivos tanto fijos como móviles demanda una solución para gestionar toda esta información sensible.

Existen soluciones y arquitecturas relacionadas con el uso de identidades, que tratan el Intercambio de identidades en Internet, como las herramientas OpenID, CardSpace, .NET Passport, Sibboleth y Liberty Alliance. Todas ellas se pueden usar únicamente con sitios web y servicios en línea que sean compatibles con estos sistemas. Son herramientas complejas, las cuales se describen detalladamente más adelante, y no están diseñadas para ser usadas con un conjunto telefónico móvil de mano.

Existen dos planteamientos para mejorar la gestión de identidades en Internet: sistemas de inicio de sesión único (SSO) y meta-sistemas de identidades.

Un sistema de inicio de sesión único proporciona a los usuarios una única identidad en Internet que ofrece acceso a múltiples sitios web y servicios en línea. Un meta-sistema de identidades permite que un usuario gestione sus múltiples identidades de Internet existentes, y que seleccione la identidad apropiada de acuerdo con el sitio web o servicio solicitado. Shibboleth, OpenID, Liberty y .NET Password son sistemas de inicio de sesión único, mientras que Windows CardSpace es un meta-sistema de identidades.

Shibboleth es un sistema de inicio de sesión único de código abierto, basado en el Lenguaje de Marcado de Aserción de Seguridad (SAML) , una normativa que describe un formato y protocolo XML para intercambiar aserciones de autenticación y autorización entre servidores. La Figura 1 muestra cómo funciona Shibboleth, el flujo de información de Shibboleth.

El procedimiento de inicio de sesión de Shibboleth consta de las siguientes etapas:

S1. El usuario accede a un recurso protegido (denominado Proveedor de Servicios) , y solicita una página web.

S2. El Proveedor de Servicios redirecciona al usuario al servicio Where Are You From (WAYF) , de manera que pueda seleccionar su organización local (denominada Proveedor de Identidades) .

S3. El servicio WAYF redirecciona al usuario a su Proveedor de Identidades.

S4. El usuario se autentica, mediante cualquiera que sea el procedimiento de autenticación que requiera su Proveedor de Identidades.

S5. Después de una autenticación satisfactoria, el Proveedor de Identidades genera un puntero (handle) único o identificador de sesión para esta sesión, y redirecciona al usuario al Proveedor de Servicios.

S6. El recurso puede utilizar el puntero para solicitar información de atributos para este usuario, del Proveedor de Identidades (opcional) .

S7. El Proveedor de Identidades proporciona o deniega la información de atributos solicitada.

S8. Basándose en la información de autenticación y la información de atributos que se ha puesto a disposición, el Proveedor de Servicios proporciona o deniega al usuario, acceso al recurso solicitado.

En la actualidad, Shibboleth se usa principalmente entre instituciones académicas y centros de investigación. Obsérvese que en Shibboleth, un usuario debe pertenecer a una organización que pueda aseverar su identidad. Una de las características de Shibboleth es que permite una autenticación más fuerte o más débil, en función de los atributos intercambiados entre el Proveedor de Servicios y el Proveedor de Identidades.

OpenID es un sistema de inicio de sesión único que permite a usuarios de Internet acceder a sitios web con un único "OpenID". OpenID es un sistema distribuido abierto cuyo uso es gratuito. En principio, cualquier usuario u organización puede convertirse en un Proveedor de OpenID, y un usuario puede seleccionar cualquier Proveedor de OpenID que se adecue a sus necesidades. De hecho, un usuario puede cambiar muy fácilmente de Proveedores de OpenID sin perder su OpenID.

La Figura 2 muestra cómo funciona OpenID. El procedimiento de inicio de sesión de OpenID consta de las siguientes etapas:

S1'. El usuario accede a un sitio web habilitado para OpenID (denominado Consumidor en la terminología de OpenID) , y el sitio proporciona un formulario que solicita la identidad OpenID del usuario.

S2'. El usuario introduce su OpenID, por ejemplo johan.vodafone-id.com, y presenta el formulario al Consumidor OpenID.

S3'. El Consumidor OpenID convierte el OpenID (por ejemplo, johan.vodafone-id.com) en el formulario normal URI (por ejemplo, http://johan.vodafone-id.com) y efectúa un HTTP GET para este URI.

S4'. El sitio devuelve un documento HTML a partir del cual el Consumidor puede obtener la ubicación del Proveedor de OpenID (obsérvese que, en este ejemplo, son iguales) .

S5'. El Consumidor envía un HTTP POST al Proveedor de OpenID con una solicitud asociada. Esto establece un secreto compartido entre el Proveedor y el Consumidor, utilizando el algoritmo Diffie-Hellman.

S6'. El Proveedor de OpenID devuelve un puntero de asociación (con una fecha y hora de expiración fijadas) para ser usado en solicitudes futuras.

S7'. El Consumidor de OpenID redirecciona a continuación al usuario al Proveedor de OpenID para el inicio de sesión.

S8'. El usuario autentica su identidad con el Proveedor de OpenID.

S9'. El Proveedor de OpenID redirecciona al usuario de vuelta al sitio web del Consumidor, proporcionando la verificación de autenticación necesaria en una cadena de consulta.

Aunque el flujo de información de OpenID recuerda al de Shibboleth, existen dos diferencias importantes:

• En OpenID, el usuario asevera su propia identidad, mientras que en Shibboleth es la organización del usuario (el Proveedor de Identidades) la que "es propietaria" de la identidad del usuario.

• Los OpenIDs son persistentes e independientes del Proveedor de OpenID en el que un usuario elige registrarse. En Shibboleth, la identidad de un usuario está vinculada con su organización (que actúa como Proveedor de Identidades) .

Esto significa que OpenID tiene ciertas ventajas en términos de apertura y universalidad. Aunque el uso del inicio de sesión único en Internet aún no se ha extendido ampliamente, parece como si OpenID estuviera ganando una rápida aceptación. Algunos sitios que aceptan OpenID, o que lo harán en el futuro próximo, incluyen AOL, Yahoo, Flickr, Blogger, Orange, Sun, Novell y Oxfam.

Los críticos argumentan que la implementación actual de OpenID presenta defectos de seguridad. OpenID no ofrece protección contra suplantación de identidades ni contra ataques del tipo hombre en el medio, puesto que la cadena de consulta usada para el inicio de sesión de un usuario en el sitio web del Consumidor se firma con el secreto compartido entre el Consumidor y el Proveedor. No obstante, sigue siendo posible que un Consumidor malintencionado suplante páginas de autenticación del proveedor de OpenID, y que obtenga así la contraseña y las credenciales OpenID de un usuario.

El usuario puede protegerse contra este tipo de ataques registrándose en un proveedor de OpenID seguro que utilice certificados de confianza para acreditar su identidad. Sin embargo, desafortunadamente, el usuario medio en general no tiene conocimiento de cómo funcionan los certificados ni de cómo confiar en (o desconfiar de) ellos.

Liberty Alliance es una arquitectura de gestión completa de identidades que ofrece no solamente un inicio de sesión único sino también un cierre de sesión único, federación de identidades y especificaciones de servicios web para construir aplicaciones de identidades con capacidad de interfuncionamiento. Igual que Shibboleth y OpenID, los protocolos de Liberty también se basan en SAML.

Como muestra la Figura 3, el procedimiento de inicio de sesión único de Liberty es similar al de Shibboleth y OpenID. El procedimiento de inicio de sesión de Liberty consta de las siguientes etapas:

- S1*. El usuario accede al sitio web de un Proveedor de Servicios que está habilitado para Liberty.

- S2*. El Proveedor de Servicios determina el Proveedor de Identidades del usuario... [Seguir leyendo]

1. Sistema para gestionar el inicio de sesión automático en recursos objetivo de Internet, caracterizado porque comprende:

- un teléfono móvil (2) , provisto de un dispositivo (21) de almacenamiento en el cual están almacenadas identidades privadas de usuario;

- un servidor (4) de identificación;

- un ordenador (1) provisto de un navegador (10) de cliente con un complemento (11) de navegador, estando configurado el complemento de navegador para, al producirse la recepción (101, 401) de información que contiene un formulario de inicio de sesión enviado por un recurso objetivo (3) al cual está accediendo un usuario del navegador (10) de cliente:

• detectar el formulario de inicio de sesión contenido en la información recibida;

• solicitar (102) el usuario, y por consiguiente obtener, un identificador de usuario;

• enviar (103, 402) una solicitud de identidad destinada a llegar al servidor (4) de identificación, incluyendo dicha solicitud (103, 402) de identidad por lo menos el identificador de usuario;

estando configurado el servidor (4) de identificación para, al producirse la recepción del identificador de usuario:

• obtener un número de teléfono móvil asociado a dicho identificador de usuario;

• enviar (105, 405) un mensaje de identidad destinado al teléfono móvil (2) , conteniendo el mensaje de identidad un identificador del recurso objetivo (3) ;

estando provisto el teléfono móvil (2) de una aplicación (20) de cliente configurada para, al producirse la recepción de un mensaje de identidad:

• buscar las identidades privadas de usuario asociadas al recurso objetivo (3) en el dispositivo (21) de almacenamiento;

• si se halla por lo menos una identidad privada de usuario asociada, solicitar (106) al teléfono móvil una confirmación de usuario para el inicio de sesión automático en el recurso objetivo (3) utilizando una identidad privada de usuario seleccionada a partir de dicha por lo menos una identidad privada de usuario asociada;

• si se produce una confirmación para el inicio de sesión automático, enviar (108, 406) dicha confirmación y la identidad privada de usuario seleccionada al servidor (4) de identificación;

estando configurado además el servidor (4) de identificación, si se recibe la confirmación para el inicio de sesión automático, para enviar (109) la identidad privada de usuario seleccionada al navegador (10) de cliente; estando configurado además el complemento (11) de navegador para, al producirse la recepción de la identidad privada de usuario seleccionada, iniciar sesión (110, 407) en el recurso objetivo (3) usando dicha identidad privada de usuario seleccionada.

2. Sistema según la reivindicación 1, en el que la solicitud de identidad incluye además un identificador del recurso objetivo (3) al que se está accediendo, y en donde el complemento (11) de navegador está configurado para enviar

(103) la solicitud de identidad directamente al servidor (4) de identificación.

3. Sistema según la reivindicación 1, estando habilitado para OpenID el recurso objetivo, en donde el complemento (11) de navegador está configurado para enviar (402) la solicitud de identidad destinada a llegar al servidor (4) de identificación a través del recurso objetivo (3) .

4. Sistema según cualquiera de las reivindicaciones 1 a 3, en el que la aplicación (20) de cliente está configurada además para, en caso de que se halle una pluralidad de identidades privadas de usuario asociadas al recurso objetivo (3) , solicitar (106) al usuario que seleccione una identidad privada de usuario a enviar al servidor (4) de identificación.

5. Sistema según cualquiera de las reivindicaciones 1 a 4, en el que la aplicación (20) de cliente está asociada a por lo menos un puerto del teléfono móvil (2) , y en donde el teléfono móvil (2) está configurado para, al producirse la recepción (105, 405) de un mensaje de identidad recibido en un puerto predeterminado asociado a la aplicación (20) de cliente, ejecutar la aplicación (20) de cliente, si todavía no se está ejecutando.

6. Sistema según cualquiera de las reivindicaciones 1 a 5, en el que cada comunicación (105, 405) que se origina desde el servidor (4) de identificación y que está destinada al teléfono móvil (2) se lleva a cabo a través del envío de por lo menos un mensaje SMS.

7. Sistema según cualquiera de las reivindicaciones 1 a 6, presentando el teléfono móvil capacidad de acceso inalámbrico a Internet, en donde cada comunicación (108, 406) que se origina desde el teléfono móvil y está destinada al servidor (4) de identificación se lleva a cabo a través del envío de por lo menos un mensaje HTTP.

8. Sistema según cualquiera de las reivindicaciones 1 a 7, en el que cada comunicación (103, 109) entre el ordenador

(1) y el servidor (4) de identificación, en ambas direcciones, se lleva a cabo a través de por lo menos un mensaje HTTP.

9. Método para gestionar el inicio de sesión automático en recursos objetivo de Internet, cuando un ordenador (1) provisto de un navegador (10) de cliente accede (100) a un recurso objetivo (3) que requiere inicio de sesión, caracterizado porque comprende:

- detectar, al producirse la recepción (101, 401) de información que contiene un formulario de inicio de sesión enviado por el recurso objetivo (3) al cual está accediendo un usuario del navegador (10) de cliente, el formulario de inicio de sesión contenido en la información recibida;

- solicitar (102) al usuario, y por consiguiente obtener, un identificador de usuario;

- enviar (103, 402) una solicitud de identidad destinada a llegar a un servidor (4) de identificación, incluyendo dicha solicitud (103, 402) de identidad por lo menos el identificador de usuario;

- obtener, al producirse la recepción del identificador de usuario, un número de teléfono móvil asociado a dicho identificador de usuario;

- enviar (105, 405) un mensaje de identidad destinado al teléfono móvil (2) con dicho número de teléfono móvil, conteniendo el mensaje de identidad un identificador del recurso objetivo (3) ;

- buscar, al producirse la recepción del mensaje de identidad, las identidades privadas de usuario asociadas al recurso objetivo (3) en un dispositivo (21) de almacenamiento del teléfono móvil (2) ;

- si se halla por lo menos una identidad privada de usuario asociada, solicitar (106) al teléfono móvil una confirmación de usuario para el inicio de sesión automático en el recurso objetivo (3) utilizando una identidad privada de usuario seleccionada a partir de dicha por lo menos una identidad privada de usuario asociada;

- si se produce una confirmación para el inicio de sesión automático, enviar (108, 406) dicha confirmación y la identidad privada de usuario seleccionada al servidor (4) de identificación;

- si el servidor (4) de identificación recibe confirmación para el inicio de sesión automático, enviar (109) la identidad privada de usuario seleccionada al navegador (10) de cliente;

- iniciar sesión (110, 407) , al producirse la recepción de la identidad privada de usuario seleccionada, en el recurso objetivo (3) utilizando dicha identidad privada de usuario seleccionada.

10. Método según la reivindicación 9, que comprende además, en caso de que se halle una pluralidad de identidades privadas de usuario asociadas al recurso objetivo (3) , solicitar (106) al usuario que seleccione una identidad privada de usuario a enviar al servidor (4) de identificación.

11. Método según cualquiera de las reivindicaciones 9 a 10, en el que cada comunicación (105, 405) que se origina desde el servidor (4) de identificación y que está destinada al teléfono móvil (2) se lleva a cabo a través del envío de por lo menos un mensaje SMS.

12. Método según cualquiera de las reivindicaciones 9 a 11, en el que cada comunicación (108, 406) que se origina desde el teléfono móvil y que está destinada al servidor (4) de identificación se lleva a cabo a través del envío de por lo menos un mensaje HTTP.

13. Método según cualquiera de las reivindicaciones 9 a 12, en el que cada comunicación (103, 109) entre el ordenador (1) y el servidor (4) de identificación, en ambas direcciones, se lleva a cabo a través de por lo menos un mensaje HTTP.