[go: up one dir, main page]

ITTO20070853A1 - Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali - Google Patents

Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali Download PDF

Info

Publication number
ITTO20070853A1
ITTO20070853A1 IT000853A ITTO20070853A ITTO20070853A1 IT TO20070853 A1 ITTO20070853 A1 IT TO20070853A1 IT 000853 A IT000853 A IT 000853A IT TO20070853 A ITTO20070853 A IT TO20070853A IT TO20070853 A1 ITTO20070853 A1 IT TO20070853A1
Authority
IT
Italy
Prior art keywords
organization
user
gateway
credentials
authentication server
Prior art date
Application number
IT000853A
Other languages
English (en)
Inventor
Stefano Annese
Roberto Borri
Andrea Ghittino
Sergio Sagliocco
Original Assignee
Csp Innovazione Nelle Ict Scar
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Csp Innovazione Nelle Ict Scar filed Critical Csp Innovazione Nelle Ict Scar
Priority to IT000853A priority Critical patent/ITTO20070853A1/it
Priority to CN200880117640.3A priority patent/CN101919221B/zh
Priority to CA2706827A priority patent/CA2706827C/en
Priority to US12/742,761 priority patent/US8386770B2/en
Priority to EP08853846A priority patent/EP2215802A2/en
Priority to JP2010535465A priority patent/JP5507462B2/ja
Priority to KR1020107013948A priority patent/KR101518526B1/ko
Priority to RU2010126178/08A priority patent/RU2507702C2/ru
Priority to BRPI0820065A priority patent/BRPI0820065A2/pt
Priority to PCT/IB2008/003194 priority patent/WO2009068956A2/en
Publication of ITTO20070853A1 publication Critical patent/ITTO20070853A1/it

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

"METODO DI AUTENTICAZIONE PER UTENTI APPARTENENTI AD ORGANIZZAZIONI DIVERSE SENZA DUPLICAZIONE DELLE CREDENZIALI"
RIASSUNTO
La presente invenzione si riferisce ad un metodo per permettere ad un utente di accedere ad Internet. Un utente effettua una richiesta di accesso ad Internet attraverso un gateway di una prima Organizzazione e fornisce a quest'ultimo alcune credenziali di autenticazione presso una seconda Organizzazione. Le credenziali fornite contengono almeno una informazione relativa alla seconda Organizzazione.
La prima Organizzazione contatta la seconda Organizzazione al fine di autenticare l'utente e permettergli l'accesso ad Internet. La seconda Organizzazione rilascia all'utente l'autorizzazione ad accedere ad Internet. Secondo l'invenzione, a seguito della richiesta di accesso il gateway redirige l'utente verso una pagina web della seconda Organizzazione, e a questo punto l'utente fornisce alla seconda Organizzazione, attraverso la pagina web, ulteriori credenziali di autenticazione necessarie ad identificarlo.
DESCRIZIONE
La presente invenzione si riferisce ad un metodo per permettere ad un utente di accedere ad Internet secondo il preambolo della rivendicazione 1.
In particolare, l'invenzione è diretta ad incrementare le possibilità di un utente di accedere ad Internet.
Internet è ormai diventato uno strumento di lavoro indispensabile per molte persone e, tramite le reti wireless (es. WLAN) un utente può accedere ad Internet anche al di fuori dell'ufficio.
Ad esempio negli aeroporti, nelle stazioni ferroviarie, e nelle biblioteche sono previsti Hot Spot, ossia dei punti di accesso dove un utente può collegarsi ad Internet attraverso un gateway.
Solitamente, all'interno di un Hot Spot di una data Organizzazione l'accesso al servizio è consentito solamente agli utenti che hanno un account valido registrato presso la data Organizzazione.
Un utente di una data Organizzazione non può quindi accedere ad Internet in aree non coperte dalla suddetta Organizzazione per mancanza di interesse della stessa o per guasti alle infrastrutture.
Per ovviare a questi problemi, sono state concepite diverse soluzioni che permettono ad un utente di una prima Organizzazione di accedere ad Internet attraverso punti di accesso di una seconda Organizzazione.
Alcune di queste soluzioni prevedono di intervenire sul client dell'utente con configurazioni a volte complesse e dipendenti dalla piattaforma utilizzata.
Altre soluzioni, preferibili dal punto di vista della semplicità di utilizzo e di configurazione del client utente, intervengono solamente a livello di gateway reindirizzando gli utenti che non rientrano nell'elenco degli utenti autorizzati all'accesso, verso l'Authentication Server di una diversa Organizzazione.
Una di queste ultime soluzioni è nota dal brevetto US 5,898,780, il quale rende noto un metodo ed un apparato per permettere ad un utente di accedere ad Internet da una località remota utilizzando un Internet Service Provider (ISP) locale con il quale non ha alcun account. L'utente si registra nel sistema dell'ISP locale utilizzando le credenziali (nome utente e password) dell'account che l'utente ha presso l'ISP remoto.
Un server dell'ISP locale riconosce che le credenziali inserite dall'utente contengono un'informazione che permette di identificare il server dell'ISP locale ed indirizza una query a quest'ultimo al fine di autorizzare l'utente ad accedere ad Internet attraverso l'ISP locale.
Questa soluzione presenta tuttavia lo svantaggio che dati sensibili dell'utente (nome utente e password) vengono fornite al server dell'ISP locale, il che le rende soggette ad attacchi di sniffing.
Una soluzione che utilizza una filosofia opposta rispetto a quella nota dal brevetto US 5,898,780, è stata utilizzata dall'università di Trento e pubblicizzata con il nome di Uni-fy.
Questa soluzione prevede che il client utente esegua una richiesta DHCP al gateway dell'università che gli assegna così un indirizzo IP.
Il gateway è provvisto di alcune regole di firewall, ognuna delle quali prevede due possibili azioni a seconda che i pacchetti dati provengano da un utente che rientra, o meno, in una lista di utenti autorizzati.
Nel caso in cui l'utente non sia tra quelli autorizzati, allora i pacchetti dati vengono indirizzati verso un gatekeeper che si occupa dell'autorizzazione. Secondo un metodo del tipo "captive portai", l'utente non autorizzato viene indirizzato verso una pagina web locale dove può selezionare l'Organizzazione da cui farsi autorizzare.
A questo punto il client utente viene messo in comunicazione con l'Organizzazione selezionata e vengono eseguite le procedure di autenticazione secondo i protocolli richiesti dall'Organizzazione.
Secondo questa soluzione, le apparecchiature della rete dell'Università di Trento non possono e non devono in alcun modo venire a conoscenza di dati sensibili dell'utente, i quali sono trasmessi tutti direttamente alTOrganizzazione selezionata.
In caso di autenticazione, l'Organizzazione selezionata trasmette una richiesta di autorizzazione al gatekeeper dell'università, il quale cambia lo stato dell'utente da non autorizzato ad autorizzato, consentendogli così l'accesso ad Internet.
Questa soluzione presenta lo svantaggio che il riconoscimento dell'utente connesso (ad esempio per motivi di sicurezza o di fatturazione) non è agevole e richiede di legare lo pseudonimo dell'utente all'identità dell'utente registrata presso l'Organizzazione autenticante remota.
Inoltre questa soluzione presenta notevoli limiti di scalabilità del sistema in quanto la selezione manuale dell'Organizzazione da cui farsi autenticare presuppone che il gateway dell'università conosca tutte le Organizzazioni autenticatrici e che sia costantemente aggiornato di eventuali cambiamenti nelle procedure di autenticazione a livello di singola Organizzazione autenticatrice.
Al crescere del numero delle organizzazioni conduttrici, la complessità di gestione del sistema dell'università cresce considerevolmente.
La presente invenzione ha come scopo primario quello di superare gli inconvenienti dell'arte nota presentando un metodo alternativo per permettere ad un utente di accedere ad Internet attraverso un gateway di un'Organizzazione presso la quale non è inizialmente accreditato.
Questo scopo è raggiunto mediante un metodo incorporante le caratteristiche delle rivendicazioni allegate, le quali formano parte integrante della presente descrizione.
L'idea alla base della presente invenzione consiste generalmente nel separare gli istanti di tempo (e i destinatari) in cui sono fornite le credenziali di autenticazione.
Più precisamente, l'idea consiste nel fatto che quando l'utente si connette al gateway di una prima Organizzazione ed effettua una richiesta di accesso ad Internet, questo fornisce una parte delle credenziali necessarie per l'accreditamento presso una seconda Organizzazione. Ad esempio, l'utente può fornire un nome utente e un identificativo della seconda Organizzazione.
Il gateway che riceve tale richiesta e che non riconosce l'utente come utente autorizzato, redirige l'utente verso una pagina web della seconda Organizzazione per l'accreditamento.
A questo punto, l'utente fornisce alla seconda Organizzazione, attraverso la suddetta pagina web, ulteriori credenziali necessarie ad identificarlo presso la seconda Organizzazione, così che quest'ultima possa verificare l'identità dell'utente ed autorizzarlo a navigare in Internet.
Questa soluzione offre diversi vantaggi.
In primo luogo, l'utente è identificabile dalla prima Organizzazione mediante le credenziali fornite in fase di richiesta di accesso ad Internet e quindi questo semplifica l'identificazione dell'utente in caso di sicurezza pubblica o per esigenze di fatturazione; ciò nonostante, la prima Organizzazione non possiede tutte le credenziali dell'utente, il che rende la soluzione piuttosto robusta ad attacchi di sniffing.
In secondo luogo la soluzione è facilmente scalabile, in quanto nuove Organizzazioni possono essere aggiunte alla federazione semplicemente aggiungendo un sistema informatico (in particolare un nodo di rete ed un server) in grado di svolgere le funzioni del metodo secondo l'invenzione.
Vantaggiosamente, le credenziali che l'utente fornisce alla prima Organizzazione sono fornite attraverso una pagina web di benvenuto e contengono uno username nel formato nome@realm, in cui il realm rappresenta il nome a dominio della seconda Organizzazione.
In base al realm introdotto ogni gateway è in grado di individuare il server di autenticazione dell'Organizzazione di appartenenza dell'utente, vuoi tramite una richiesta al DNS, vuoi tramite confronto con una lista memorizzata a livello di singolo gateway, contenente un elenco dei server di autenticazione delle Organizzazioni appartenenti alla federazione.
Vantaggiosamente, per garantire Γ autenticazione delle comunicazioni tra i gateway e i server di autenticazione di Organizzazioni diverse, i messaggi di segnalazione sono firmati e preferibilmente cifrati utilizzando un algoritmo di crittografia asimmetrica, come quello utilizzato da PGP® (Pretty Good Privacy), che utilizza chiavi pubbliche e chiavi private.
Vantaggiosamente, per semplificare la gestione dello scambio delle chiavi in caso di aggiunta (o di rimozione di nuove Organizzazioni), è stato introdotto nell'architettura un server per la gestione delle chiavi.
Ogni volta che viene aggiunta una nuova Organizzazione, la chiave pubblica del suo server di autenticazione viene pubblicata su questo server; i gateway delle varie Organizzazioni, periodicamente, lo contattano attraverso un protocollo di comunicazione sicura (ad es. via HTTPS) per aggiornare il proprio elenco delle chiavi.
Il mantenere un elenco di chiavi a livello di gateway, fa si che un eventuale malfunzionamento del server di gestione delle chiavi non comprometta il servizio, ma, nel caso peggiore, ritardi di alcune ore l'inserimento di un nuovo server di autenticazione nel sistema.
Il server per la gestione delle chiavi è autenticato da tutti i gateway delle varie Organizzazioni attraverso la sua chiave pubblica, presente sugli stessi, e non permette ad esterni di inserire la propria Organizzazione in modo non autorizzato.
Ulteriori scopi e vantaggi della presente invenzione appariranno maggiormente chiari dalla descrizione che segue e dai disegni annessi, forniti a puro titolo esemplificativo e non limitativo in cui:
- la fig. 1 mostra una federazione di Organizzazioni che permettono l'accesso ad Internet ad utenti di una qualsiasi delle Organizzazioni;
- la fig. 2 mostra schematicamente la procedura che permetta ad un utente di una prima Organizzazione, di accedere ad Internet attraverso un punto di accesso di una seconda Organizzazione;
Con riferimento alla figura 1 viene mostrata una federazione di Organizzazioni (El, E2, E3) collegate alla rete Internet 1.
Ai fini della presente descrizione, con Organizzazione si vuole indicare un qualsiasi soggetto in grado di permettere ad un utente un accesso ad Internet, oppure che gestisca un sistema strutturato di gestione degli utenti Nell'esempio di figura 1, le Organizzazioni El ed E2 sono provviste di un sistema informatico, in particolare di un nodo di rete, comprendente un gateway GW, un server di autenticazione AS ed una base di dati DB contenente informazioni necessarie per autenticare gli utenti dell'Organizzazione.
Il gateway GW svolge tutte le funzioni di firewall e di filtro del traffico non autorizzato, mentre il server di autenticazione AS verifica le credenziali utente su una base dati DB (database MySQL, LDAP o file di password) o tramite protocollo standard quale ad esempio RADIUS.
Nell'esempio di figura 1, l'Organizzazione E2 è dotato di un access point 3 attraverso il quale offre un accesso wireless agli utenti.
L'Organizzazione El è dotata di uno switch 4, collegato al gateway GW, per permettere un accesso via cavo agli utenti.
L' Organizzazione E3 è invece un Internet Service Provider ISP sprovvisto di una propria rete di accesso, ma dotato di propri utenti.
Questa Organizzazione è dotata di un server di autenticazione AS e di un database DB come nel caso delle Organizzazioni E1 ed E2; il server di autenticazione AS è collegato ad internet attraverso un router RT che, a differenza del gateway GW delle organizzazioni E1 ed E2, non è in grado di svolgere le funzioni di reindirizzamento degli utenti che verranno di seguito descritte.
Chiaramente il router RT può essere sostituito da un gateway GW, anche se alcune funzioni non sarebbero utilizzate.
Sempre con riferimento alTesempio qui di seguito descritto con riferimento alle figure 1 e 2, Tutente 2 è un utente autorizzato (ossia appartiene al dominio) delTOrganizzazione E1 ed effettua una richiesta web alTOrganizzazione E2 presso la quale non è autenticato.
Questa situazione potrebbe ad esempio verificarsi quando un utente delTOrganizzazione E1 (ad esempio un dipendente dell'azienda ALFA), si trova all'aeroporto o in prossimità di un'altra Organizzazione (ad esempio l'azienda BETA) e desidera accedere ad Internet utilizzando le infrastrutture dell'aeroporto o dell'azienda BETA.
Quando Tutente 2 verifica la presenza di un Hot Spot delTOrganizzazione E2, effettua una richiesta DHCP in seguito alla quale gli viene assegnato un indirizzo IP.
A questo punto Tutente 2 può inoltrare una richiesta di accesso ad Internet.
Il gateway GW intercetta la richiesta e re-dirige il client ad una pagina di benvenuto su cui Tutente inserisce una parte delle credenziali necessarie per autenticarsi presso l'Organizzazione El.
Secondo l'invenzione, le credenziali fornite all'Organizzazione E2 contengono almeno una informazione relativa all' Organizzazione presso la quale l'utente desidera essere autenticato, nell'esempio qui descritto l'Organizzazione El.
Preferibilmente queste credenziali sono costituite dal nome utente dell'utente 2 e dal nome a dominio dell'Organizzazione El che deve autenticare l'utente 2.
Nome utente e nome a dominio possono essere inseriti in campi separati o essere ricavati automaticamente dal gateway nel caso i cui all'utente 2 sia richiesto di inserire un account nel formato nome@realm, in cui 'nome' è il nome utente dell'utente 2 e realm rappresenta il nome a dominio dell'Organizzazione El.
Utilizzando le credenziali fornite dall'utente, l'Organizzazione E2 è quindi in grado di mettersi in contatto con l'Organizzazione El per fare autenticare l'utente 2.
L'indirizzo IP del server di autenticazione dell'Organizzazione El viene determinato attraverso una gerarchia di regole qui di seguito riportate.
In prima istanza, il gateway GW dell'Organizzazione E2 antepone al realm un nome scelto a priori (ad esempio: authserv) ed effettua una richiesta al DNS per conoscere l'indirizzo IP del server di autenticazione AS di origine dell'utente (ossia dell'Organizzazione 1).
Ad esempio, per l'utente mario . rossi @organi z zazionel . it, il gateway GW cercherà sul DNS l'IP di authserv . organi z zazionel . it.
Il nome che viene anteposto al realm è scelto uguale per tutti i server di autenticazione delle organizzazioni che fanno parte di una stessa federazione, in modo da permettere una formulazione semplice della query che il gateway deve inoltrare al DNS .
In caso di risposta positiva da parte del DNS, il gateway GW redirigerà l'utente 2 al server di autenticazione dell'Organizzazione E2; se tale ricerca non da esito positivo, si passa alla regola successiva.
Quest'ultima prevede di ricercare l'indirizzo IP del server di autenticazione AS dell'Organizzazione E1 in una base di dati locale dell'Organizzazione E2.
Secondo l'invenzione, i gateway GW delle diverse Organizzazioni dispongono ognuno di una lista di domini e degli indirizzi IP dei corrispettivi server di autenticazione, in una base dati locale.
Tale lista viene aggiornata con cadenza periodica da un server centrale predefinito, preferibilmente comune a tutte le Organizzazioni federate.
Se anche la ricerca in tale base dati non desse esito positivo, il gateway che ha ricevuto la richiesta web passa all'ultima regola, la quale prevede di redirigere l'utente ad un server di autenticazione di default, configurato in fase di installazione del gateway.
Quest'ultima regola sostanzialmente permette di riconoscere, quale informazione relativa ad un'Organizzazione prefissata, l'assenza di informazioni indicate esplicitamente dall'utente in fase di richiesta di accesso ad Internet.
In altre parole, se l'utente 2 fornisce come uniche credenziali al gateway GW il proprio nome senza indicazione del dominio dell'Organizzazione 1 presso cui autenticarsi, allora il gateway interpreta questa informazione come la volontà di autenticarsi presso un'Organizzazione di default.
Individuato il server di autenticazione, il gateway redirige il client sul server di autenticazione e l'utente per autenticarsi inserisce la propria password, ricadendo in una fase di autenticazione di tipo standard, come ad esempio prevista dai sistemi di tipo 'Captive Portai' come il sistema NoCat.
Se la verifica di username e password va a buon fine, il server di autenticazione trasmette al client dell'utente 2 un messaggio di autorizzazione che viene rediretto al gateway GW.
Quest'ultimo inserisce le necessarie regole di firewall in modo da fornire i servizi previsti dal profilo dell'utente, redirigendo quest'ultimo sulla pagina web inizialmente richiesta.
La procedura qui sopra descritta è esemplificata in figura 2, dove sono riportate le comunicazioni tra il client dell'utente 2, il gateway dell'Organizzazione E2, il server di autenticazione dell'Organizzazione E1 e la base di dati dell'Organizzazione E1 ove sono riposte le identità degli utenti autorizzati presso l'Organizzazione El.
Con riferimento alla figura 2:
il client invia una richiesta web, ad es. http:/ / www.google.it (sequenza cl),
il gateway intercetta la richiesta e redirige il client su un portale di autenticazione (sequenza c2),
il client invia le proprie credenziali, ad esempio lo username (sequenza c3),
il gateway redirige il client sul portale del server di autenticazione (sequenza c4),
l'utente inserisce la password (sequenza c5),
il server di autenticazione verifica le credenziali dell'utente (username e password) confrontandole con quelle contenute in una base di dati, ad esempio tramite protocollo RADIUS (sequenza c6),
l'utente viene autorizzato (sequenza c 7),
il server di autenticazione invia al client un messaggio di apertura del firewall e conferma di avvenuta autenticazione (sequenza c8),
il client inoltra il messaggio ricevuto al gateway per l'apertura del firewall (sequenza c9),
il gateway redirige il client sul sito richiesto http:/ / www. google.it (sequenza clO).
Il client accede ad Internet al sito richiesto http:/ /www. google.it (sequenza eli).
Questo tipo di architettura permette una scalabilità assoluta del sistema.
Per estendere il sistema, infatti, è sufficiente installare un gateway GW presso la nuova Organizzazione EX e registrare il server di autenticazione, che gestirà gli utenti appartenenti al nuovo dominio (es. organizzazioneX.it), sul DNS; per quanto detto sopra, la registrazione nel DNS deve essere effettuata nel formato precedentemente descritto, ad esempio authserv.organizzazioneX.it.
Vantaggiosamente, per evitare che un sistema si sostituisca ad un server di autenticazione, cercando di autenticare utenti non registrati, la comunicazione tra il server di autenticazione ed il gateway viene firmata, in particolare la comunicazione viene firmata e preferibilmente cifrata utilizzando una crittografia asimmetrica del tipo a chiave pubblica/chiave privata.
Preferibilmente, nel caso in cui i messaggi siano solamente firmati, il messaggio viene lasciato in chiaro, ma viene allegato un hash calcolato con la chiave privata, che verificato con quella pubblica, garantisce che il messaggio è quello originale creato dal possessore della chiave privata
I messaggi così scambiati vengono quindi firmati e preferibilmente cifrati tramite una chiave (privata nel caso di firma, e pubblica nel caso di cifratura), ottenuta ad esempio mediante il software PGP.
Ogni gateway GW possiede l'elenco delle chiavi pubbliche dei server di autenticazione AS delle Organizzazioni federate, in modo da poter verificare che non ci sia un falso authentication server che tenti di effettuare lo sniffing delle autenticazioni.
Affinché il sistema rimanga aggiornato senza limitarne la scalabilità, si utilizza un server di gestione delle chiavi (indicato con KS in figura 1) su cui è presente un repository delle chiavi (ad esempio PGP) pubbliche appartenenti ai server di autenticazione riconosciuti dal sistema.
L'aggiunta di una nuova Organizzazione comporta quindi l'inserimento in questa lista della chiave del server di autenticazione AS che gestisce il nuovo dominio.
Ogni gateway possiede una copia dell'elenco delle chiavi e, per fare in modo che il sistema rimanga aggiornato, il metodo secondo l'invenzione prevede che i gateway, periodicamente, consultino il server di gestione delle chiavi KS prelevando l'elenco delle chiavi.
Quando viene aggiunto al sistema un nuovo server di autenticazione, si avrà quindi un primo periodo di transitorio, in cui gli utenti della nuova Organizzazione non potranno utilizzare le proprie credenziali in roaming preso gli altri domini del sistema; tale periodo durerà fino a quando non avverrà raggiornamento delle copie locali delle chiavi in tutti i gateway.
Tale disservizio è quindi limitato e legato solo alTinstallazione di nuove Organizzazioni, non al mantenimento della rete.
Poiché ogni gateway possiede copia delTelenco delle chiavi pubbliche dei server di autenticazione di tutte le Organizzazioni, in caso di un malfunzionamento o guasto del server di gestione delle chiavi KS, il sistema continua a funzionare.
Il sistema così concepito permette di gestire la fatturazione del traffico effettuato dagli utenti delle diverse Organizzazioni poiché ogni gateway attraverso cui avviene Taccesso ad Internet possiede e deve mantenere alTinterno di appositi log le informazioni sugli orari di collegamento di ciascun utente; tale informazione contiene sia il nome dell'utente sia l'Organizzazione di appartenenza e permette la corretta fatturazione del traffico.
Il meccanismo così descritto presuppone delle politiche di fiducia tra le Organizzazioni; nel caso sia necessario un meccanismo di controllo, è preferibile l'introduzione di un server centrale che riceva da tutti le informazioni sui collegamenti degli utenti in modo da verificare quelle memorizzate in ciascun gateway.
E' chiaro che l'esempio di realizzazione sopra descritto deve intendersi in modo non limitativo dell'invenzione e che molte varianti possono essere apportate al sistema senza per questo fuoriuscire dall'ambito di protezione dell'invenzione quale risulta dalle rivendicazioni allegate.
Ad esempio il gateway, il server di autenticazione e la base di dati per l'autenticazione (es. la base di dati SQL), possono essere implementate da una stessa macchina, o essere distribuiti su un numero maggiore di macchine.
Ancora, i metodi di cifratura delle comunicazioni tra server di autenticazione e gateway o tra server di autenticazione e client possono essere di qualsiasi tipo noto.

Claims (15)

  1. RIVENDICAZIONI 1. Metodo per permettere ad un utente di accedere ad Internet, in cui un utente effettua una richiesta di accesso ad Internet attraverso un gateway di una prima Organizzazione, detta richiesta prevedendo che detto utente fornisca a detta prima Organizzazione delle prime credenziali di autenticazione presso una seconda Organizzazione, dette credenziali contenendo almeno una informazione relativa a detta seconda Organizzazione, ed in cui detta prima Organizzazione contatta detta seconda Organizzazione al fine di autenticare detto utente e permettergli l'accesso ad Internet, ed in cui detta seconda Organizzazione rilascia a detto utente rautorizzazione ad accedere ad Internet, caratterizzato dal fatto che a seguito di detta richiesta di accesso detto gateway redirige detto utente verso una pagina web di detta seconda Organizzazione, e dal fatto che detto utente fornisce a detta seconda Organizzazione, attraverso detta pagina web, seconde credenziali di autenticazione necessarie ad identificare detto utente presso detta seconda Organizzazione.
  2. 2. Metodo secondo la rivendicazione 1, in cui dette prime credenziali di autenticazione comprendono un nome utente espresso nel formato nome@realm, dove 'nome' identifica l'utente e realm identifica detta seconda Organizzazione.
  3. 3. Metodo secondo la rivendicazione 1 o 2, in cui dette seconde credenziali comprendono una password.
  4. 4. Metodo secondo una qualsiasi delle rivendicazioni precedenti, in cui detta richiesta di accesso ad Internet comprende una prima fase di assegnazione di un indirizzo IP a detto utente ed una seconda fase in cui detto gateway indirizza detto utente verso una pagina web locale di benvenuto dove detto utente inserisce dette prime credenziali.
  5. 5. Metodo secondo una qualsiasi delle rivendicazioni da 1 a 4, in cui se detto gateway non è in grado individuare un server di autenticazione di detta seconda Organizzazione, allora detto gateway trasmette dette prime credenziali ad un server di autenticazione di default.
  6. 6. Metodo secondo una qualsiasi delle rivendicazioni da 1 a 4, in cui detto gateway trasmette dette prime credenziali ad un server di autenticazione di detta seconda Organizzazione.
  7. 7. Metodo secondo la rivendicazione 6, in cui detto gateway determina l'indirizzo di detto server di autenticazione mediante una query ad un DNS.
  8. 8. Metodo secondo la rivendicazione 6 o 7, in cui detto gateway accede ad una lista di Organizzazioni e determina l'indirizzo di detto server di autenticazione mediante confronto tra detta lista e dette prime credenziali.
  9. 9. Metodo secondo una qualsiasi delle rivendicazioni da 5 a 8, in cui la comunicazione tra detto gateway e detto server di autenticazione è firmata.
  10. 10. Metodo secondo una qualsiasi delle rivendicazioni da 5 a 9, in cui la comunicazione tra detto gateway e detto server di autenticazione è cifrata.
  11. 11. Metodo secondo la rivendicazione 10, in cui la comunicazione tra detto gateway e detto server di autenticazione è cifrata mediante codifica a chiave pubblica/chiave privata.
  12. 12. Metodo secondo la rivendicazione 11, in cui un server di gestione delle chiavi mantiene un elenco delle chiavi pubbliche di una pluralità di server di autenticazione di una corrispondente pluralità di Organizzazioni.
  13. 13. Metodo secondo la rivendicazione 12, in cui i gateway di detta pluralità di Organizzazioni si connettono periodicamente a detto server di gestione delle chiavi e memorizzano a livello locale detto elenco delle chiavi pubbliche.
  14. 14. Sistema informatico atto ad implementare il metodo secondo una qualsiasi delle rivendicazioni da 1 a 13.
  15. 15. Programma per elaboratore atto ad essere memorizzato entro aree di memoria di detto elaboratore e contenente porzioni di codice atte a eseguire il metodo secondo una qualsiasi delle rivendicazioni da 1 a 13 quando eseguite da detto elaboratore.
IT000853A 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali ITTO20070853A1 (it)

Priority Applications (10)

Application Number Priority Date Filing Date Title
IT000853A ITTO20070853A1 (it) 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
CN200880117640.3A CN101919221B (zh) 2007-11-26 2008-11-24 用于属于不同机构的用户的无需证书复制的认证方法
CA2706827A CA2706827C (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations
US12/742,761 US8386770B2 (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations
EP08853846A EP2215802A2 (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations
JP2010535465A JP5507462B2 (ja) 2007-11-26 2008-11-24 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
KR1020107013948A KR101518526B1 (ko) 2007-11-26 2008-11-24 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법
RU2010126178/08A RU2507702C2 (ru) 2007-11-26 2008-11-24 Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям
BRPI0820065A BRPI0820065A2 (pt) 2007-11-26 2008-11-24 método de autenticação de credencial para usuários que pertencem a organizações diferentes
PCT/IB2008/003194 WO2009068956A2 (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT000853A ITTO20070853A1 (it) 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali

Publications (1)

Publication Number Publication Date
ITTO20070853A1 true ITTO20070853A1 (it) 2009-05-27

Family

ID=40315040

Family Applications (1)

Application Number Title Priority Date Filing Date
IT000853A ITTO20070853A1 (it) 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali

Country Status (10)

Country Link
US (1) US8386770B2 (it)
EP (1) EP2215802A2 (it)
JP (1) JP5507462B2 (it)
KR (1) KR101518526B1 (it)
CN (1) CN101919221B (it)
BR (1) BRPI0820065A2 (it)
CA (1) CA2706827C (it)
IT (1) ITTO20070853A1 (it)
RU (1) RU2507702C2 (it)
WO (1) WO2009068956A2 (it)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9420459B2 (en) * 2011-11-16 2016-08-16 Cellco Partnership Method and system for redirecting a request for IP session from a mobile device
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
WO2013116319A1 (en) * 2012-02-01 2013-08-08 Amazon Technologies, Inc. Account management for multiple network sites
JP6111713B2 (ja) * 2013-02-06 2017-04-12 株式会社リコー 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
US9866592B2 (en) * 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US10091212B2 (en) 2016-03-04 2018-10-02 BlueTalon, Inc. Policy management, enforcement, and audit for data security
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
GB201612038D0 (en) * 2016-07-11 2016-08-24 Lookiimedia (Uk) Ltd Providing access to structured stored data
EP3324664A1 (en) 2016-11-22 2018-05-23 Thomson Licensing Method, apparatus, and system for controlling acess to a local network
US10803190B2 (en) 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
US10291602B1 (en) 2017-04-12 2019-05-14 BlueTalon, Inc. Yarn rest API protection
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
US11146563B1 (en) 2018-01-31 2021-10-12 Microsoft Technology Licensing, Llc Policy enforcement for search engines
US11005889B1 (en) 2018-02-02 2021-05-11 Microsoft Technology Licensing, Llc Consensus-based policy management
US11790099B1 (en) 2018-02-09 2023-10-17 Microsoft Technology Licensing, Llc Policy enforcement for dataset access in distributed computing environment

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
JPH10336172A (ja) * 1997-06-04 1998-12-18 Kyushu Syst Joho Gijutsu Kenkyusho 電子認証用公開鍵の管理方法
JP3538527B2 (ja) * 1997-08-05 2004-06-14 株式会社東芝 無線通信システムおよび無線通信方法
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
WO2001031843A2 (en) * 1999-10-22 2001-05-03 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
JP2002202934A (ja) * 2000-12-28 2002-07-19 Daiwa Securities Group Inc ウェブページのレイアウト変更方法
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
JP2003016295A (ja) * 2001-06-28 2003-01-17 Nec Corp オンラインショッピング方法及びそのシステム並びにプログラム
US8484333B2 (en) * 2001-08-22 2013-07-09 Aol Inc. Single universal authentication system for internet services
US7363354B2 (en) * 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
CA2473793C (en) * 2002-02-28 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7191467B1 (en) * 2002-03-15 2007-03-13 Microsoft Corporation Method and system of integrating third party authentication into internet browser code
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
JP2004355073A (ja) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
WO2005002140A1 (en) * 2003-06-30 2005-01-06 Telecom Italia S.P.A. A method for network selection in communication networks, related network and computer program product therefor
CN1830190A (zh) * 2003-07-29 2006-09-06 汤姆森特许公司 使用重定向控制对网络的接入
FI120021B (fi) * 2003-08-27 2009-05-29 Nokia Corp Valtuustiedon hankkiminen
JP4579592B2 (ja) * 2004-06-25 2010-11-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報提供サービスシステムおよび方法
CN100397814C (zh) * 2004-07-13 2008-06-25 中国工商银行股份有限公司 一种基于网络的统一认证方法及系统
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
DE602005024000D1 (de) * 2005-09-30 2010-11-18 Alcyone Holding S A Verfahren und Vorrichtung zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung und einem Netzwerk
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム

Also Published As

Publication number Publication date
KR101518526B1 (ko) 2015-05-07
RU2010126178A (ru) 2012-01-10
US20100281524A1 (en) 2010-11-04
WO2009068956A2 (en) 2009-06-04
US8386770B2 (en) 2013-02-26
CA2706827A1 (en) 2009-06-04
CA2706827C (en) 2017-05-09
WO2009068956A3 (en) 2009-09-03
JP5507462B2 (ja) 2014-05-28
EP2215802A2 (en) 2010-08-11
KR20100106990A (ko) 2010-10-04
CN101919221A (zh) 2010-12-15
JP2011505735A (ja) 2011-02-24
CN101919221B (zh) 2015-09-30
BRPI0820065A2 (pt) 2015-09-08
RU2507702C2 (ru) 2014-02-20

Similar Documents

Publication Publication Date Title
ITTO20070853A1 (it) Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
CN106034104B (zh) 用于网络应用访问的验证方法、装置和系统
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
US10257161B2 (en) Using neighbor discovery to create trust information for other applications
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
US20170230824A1 (en) Exclusive preshared key authentication
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
CN103179554B (zh) 无线宽带网络接入控制方法、装置与网络设备
EP3143780B1 (en) Device authentication to capillary gateway
US20060291659A1 (en) Wireless communication authentication
CN106603513A (zh) 基于主机标识的资源访问控制方法以及系统
CN114500120B (zh) 一种公共云的扩展方法、设备、系统及存储介质
US20160345170A1 (en) Wireless network segmentation for internet connected devices using disposable and limited security keys and disposable proxies for management
CN108243413A (zh) 一种无线接入铁路信息网络的方法及系统
CN105763517A (zh) 一种路由器安全接入和控制的方法及系统
US11297049B2 (en) Linking a terminal into an interconnectable computer infrastructure
CN110771087B (zh) 私钥更新
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
KR101471880B1 (ko) 클라이언트 인증 시스템
US20230198976A1 (en) Devices and methods for incorporating a device into a local area network
US20250119417A1 (en) Method And System For Securely Communicating In A Networked System
CN118509482A (zh) 将基于群组的策略应用于来自客户端的网络流量
Mattos et al. Authentication and access control architecture for software defined networks
Jain et al. Secure Communication Architecture for Privacy and Authentication in Ubiquitous Computing