CZ308358B6 - Method of user authentication to the relying party in an electronic identity federation system - Google Patents

Method of user authentication to the relying party in an electronic identity federation system Download PDF

Info

Publication number
CZ308358B6
CZ308358B6 CZ2019-221A CZ2019221A CZ308358B6 CZ 308358 B6 CZ308358 B6 CZ 308358B6 CZ 2019221 A CZ2019221 A CZ 2019221A CZ 308358 B6 CZ308358 B6 CZ 308358B6
Authority
CZ
Czechia
Prior art keywords
user
authentication
identity provider
relying party
identity
Prior art date
Application number
CZ2019-221A
Other languages
Czech (cs)
Other versions
CZ2019221A3 (en
Inventor
Libor Neumann
Original Assignee
Aducid S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aducid S.R.O. filed Critical Aducid S.R.O.
Priority to CZ2019-221A priority Critical patent/CZ308358B6/en
Priority to PCT/CZ2020/050021 priority patent/WO2020207517A1/en
Publication of CZ2019221A3 publication Critical patent/CZ2019221A3/en
Publication of CZ308358B6 publication Critical patent/CZ308358B6/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Software Systems (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer And Data Communications (AREA)

Abstract

The solution provides a method of authenticating a user to a relying party (4) in an identity federation system via an identity provider (2); a data channel (7) is first established between the user's device (1) and the relying party (4), then the user authenticates at the identity provider (2), and the authentication statement (5, 6) is passed from the identity provider (2) to the relying party (4), where during authentication at the identity provider (2) a data channel (7) is established between the device (1) the user and the relying party (4) with the user authentication, and then the authentication statement (5, 6) linked to the data channel (7) is transmitted from the identity provider (2) to the relying party (4) via the communication module (10), the communication module (10), optionally together with the identity provider (2), controls the authentication with the connection to the data channel. A system for this method is also provided.

Description

Způsob autentizace uživatele ke spoléhající straně v systému federace elektronické identityA method of authenticating a user to a relying party in an electronic identity federation system

Oblast technikyField of technology

Předkládaný vynález se týká způsobu autentizace uživatele ke spoléhající straně v prostředí systémů federace elektronické identity.The present invention relates to a method of authenticating a user to a relying party in an electronic identity federation systems environment.

Dosavadní stav technikyPrior art

V současné době se používají systémy federace elektronické identity, kde autentizaci uživatele provádí systém nazývaný poskytovatel identity (Identity provider) pomocí autentizačního prostředku (například softwaru, aplikace, jména a hesla).Currently, electronic identity federation systems are used, where user authentication is performed by a system called an Identity provider using an authentication tool (such as software, applications, names, and passwords).

Výsledek autentizace používá spoléhající strana (Relying party) k řízení přístupu uživatele k cílovým aktivům (službám, datům), a přitom spoléhá na autentizaci provedenou poskytovatelem identity a na data o uživateli poskytnutá poskytovatelem identity.The result of authentication is used by the Relying party to control the user's access to the target assets (services, data), while relying on authentication performed by the identity provider and on user data provided by the identity provider.

V současné době se používají systémy federace elektronické identity postavené na principu nazývaném „Bearer token based authentication“, „Bearer authentication“ nebo alternativně „Bearer Assertion“. Princip spočívá v tom, že uživatel, resp. jeho zařízení používané k přístupu ke službám, se spoléhající straně prokazuje autentizačním výrokem (assertion), který neumožňuje spoléhající straně ověřit, zda je uživatel oprávněným nositelem autentizačního výroku, tedy spoléhající strana musí vycházet z předpokladu, že uživatel je autentizovanou osobou, pro kterou je platný jím předkládaný autentizační výrok, ale nemůže tento předpoklad nijak ověřit (NIST Special Publication 800-63-2 Electronic Authentication Guideline str.7).Currently, electronic identity federation systems based on the principle called "Bearer token based authentication", "Bearer authentication" or alternatively "Bearer Assertion" are used. The principle lies in the fact that the user, resp. his equipment used to access the services is proven to the relying party by an assertion, which does not allow the relying party to verify that the user is an authorized bearer of the authentication statement, ie the relying party must assume that the user is an authenticated person for whom it is valid the authentication statement he submits, but cannot verify this assumption in any way (NIST Special Publication 800-63-2 Electronic Authentication Guideline p.7).

K přenosu autentizačního výroku mezi systémem poskytovatele identity, kde byla autentizace provedena, a systémem spoléhající strany, kde se autentizační výrok použije, se používá komunikace pomocí přesměrování (redirect) přes webový prohlížeč uživatele. Přesměrování může probíhat automaticky, bez nutnosti jakékoliv akce na straně uživatele.Redirect communication through the user's web browser is used to transmit the authentication statement between the identity provider's system where the authentication was performed and the relying party's system where the authentication statement is used. Redirection can take place automatically, without the need for any action on the part of the user.

Autentizační výrok (assertion) je přenášen s využitím různých standardů např. SAML (OASIS: Security Assertion Markup Language (SAML) V2.0 Technical Overview - http://docs.oasis- open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html), oAuth(IETF: RFC 6749 - The OAuth 2.0 Authorization Framework - https://tools.ietf.org/html/rfc6749), WS-federation (OASIS: Web Services Federation Language (WS-Federation) Version 1.2 - http://docs.oasis- open.org/wsfed/federation/vl.2/ws-federation.html). Funkcionalita přesměrování je standardizována mezinárodními standardy RFC (IETF: RFC 7231 - Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content - https://tools.ietf.org/html/rfc7231;The assertion statement is transmitted using various standards, eg SAML (OASIS: Security Assertion Markup Language (SAML) V2.0 Technical Overview - http: //docs.oasis-open.org/security/saml/Post2.0/ sstc-saml-tech-overview-2.0.html), oAuth (IETF: RFC 6749 - The OAuth 2.0 Authorization Framework - https://tools.ietf.org/html/rfc6749), WS-federation (OASIS: Web Services Federation Language (WS-Federation) Version 1.2 - http: //docs.oasis- open.org/wsfed/federation/vl.2/ws-federation.html). Redirection functionality is standardized by international RFC standards (IETF: RFC 7231 - Hypertext Transfer Protocol (HTTP / 1.1): Semantics and Content - https://tools.ietf.org/html/rfc7231;

https://en.wikipedia.Org/wiki/List of HTTP status codes#3xx Redirection).https://en.wikipedia.Org/wiki/List of HTTP status codes # 3xx Redirection).

V systému federace bývají použity i další systémy, přes které se výsledek přenáší. Bývají označovány jako zprostředkovatel identity (Identity broker nebo Identity node). Jejich cílem bývá umožnit použití více různých poskytovatelů identity pro spoléhající stranu, a tím rozšířit množství uživatelů. V takovém případě uživatel na systému zprostředkovatele identity vybírá svého poskytovatele identity nebo jiného zprostředkovatele identity; a po autentizaci je autentizační výrok (assertion) přenášen vždy pomocí přesměrování (redirect) prostřednictvím webového prohlížeče uživatele zpět přes vložené zprostředkovatele identity až do systému spoléhající strany.Other systems are used in the federation system, through which the result is transmitted. They are often referred to as an identity broker (Identity broker or Identity node). Their goal is to enable the use of multiple different identity providers for the relying party, thus expanding the number of users. In such a case, the user selects his identity provider or another identity provider on the identity broker system; and after authentication, the assertion is always transmitted by redirect via the user's web browser back through the embedded identity providers to the relying party's system.

Při každém přenosu autentizačního výroku (assertion) mezi dvěma systémy různých poskytovatelů identity, zprostředkovatelů identity, spoléhajících stran se využije funkcionalita redirect webového prohlížeče uživatele, a autentizační výrok (assertion) se přenáší minimálně 2xEach time an assertion is transferred between two systems of different identity providers, identity providers, relying parties, the redirect functionality of the user's web browser is used, and the assertion is transmitted at least twice

- 1 CZ 308358 B6 přes Internet po dvou typicky neautentizovaných nebo nedostatečně autentizovaných datových kanálech.- 1 CZ 308358 B6 over the Internet over two typically unauthenticated or insufficiently authenticated data channels.

V systémech federace elektronické identity tedy v současné době existuje způsob autentizace uživatele ke spoléhající straně prostřednictvím poskytovatele identity, při němž se nejprve vytvoří datový kanál mezi uživatelem a spoléhající stranou, uživatel se následně autentizuje u poskytovatele identity, a autentizační výrok se předá od poskytovatele identity spoléhající straně, případně přes další poskytovatele nebo zprostředkovatele identity, přičemž se autentizační výrok předává od každého poskytovatele identity nebo zprostředkovatele identity k dalšímu poskytovateli nebo zprostředkovateli identity a dále ke spoléhající straně vždy prostřednictvím funkcionality přesměrování ve webovém prohlížeči či jiné aplikaci uživatele. Zároveň v současných systémech nemá spoléhající strana možnost ověřit, zda uživatel, jehož zařízení předkládá autentizační výrok, je skutečně osobou, ke které se tento autentizační výrok (assertion) váže. Postupy podle stavu techniky jsou schematicky znázorněny na obr. 1.Thus, in electronic identity federation systems, there is currently a method of authenticating a user to a relying party through an identity provider by first creating a data channel between the user and the relying party, then authenticating with the identity provider, and passing an authentication statement from the relying identity provider. party, or via another identity provider or broker, wherein the authentication statement is passed from each identity provider or identity broker to another provider or identity broker and further to the relying party always through redirection functionality in the user's web browser or other application. At the same time, in current systems, the relying party does not have the possibility to verify whether the user whose device submits the authentication statement is indeed the person to whom this authentication statement (assertion) is bound. Prior art procedures are schematically illustrated in Figure 1.

Dosavadní postupy autentizace v prostředí systémů federace elektronické identity přináší v praktickém nasazení nemalé nevýhody. Jednak vyžadují funkcionalitu přesměrování (redirect) i v případě, že není u uživatele používán webový prohlížeč. To je typické například pro mobilní aplikace. Tím se komplikuje a prodražuje možnost použití existujících federací elektronické identity pro mobilní aplikace, protože je jednak nutné tuto funkcionalitu do aplikací integrovat, a také je potřeba ji dostatečně zabezpečit, protože přes ni procházejí informace potřebné pro provedení a předání autentizace. Dále tyto postupy umožňují útočníkovi odposlechnout autentizační výrok (assertion) při libovolném přenosu přes internet mezi uživatelem a některým ze systémů federace, a tedy se útočník může vydávat za daného uživatele a získat přístup do jeho služeb a dat v cílových aplikacích.The current authentication procedures in the environment of electronic identity federation systems bring considerable disadvantages in practical deployment. On the one hand, they require redirect functionality even if the user does not use a web browser. This is typical for mobile applications, for example. This complicates and increases the cost of using existing electronic identity federations for mobile applications, as it is necessary to integrate this functionality into applications and to secure it sufficiently because the information needed to perform and pass authentication passes through it. Furthermore, these procedures allow an attacker to eavesdrop on an assertion of any transmission over the Internet between a user and one of the federation systems, so that an attacker can impersonate that user and gain access to his services and data in the target applications.

Předkládaný vynález si klade za úkol zlepšit současné způsoby autentizace uživatele k poskytovateli služeb prostřednictvím poskytovatele identity v systémech federace elektronické identity tak, aby bylo možno zachovat použití stávajících standardů pro autentizační výroky (assertion) a jejich přenosy, a přitom významně zvýšit praktičnost, bezpečnost a snížit riziko zneužití odposlechnutého autentizačního výroku útočníkem.It is an object of the present invention to improve current methods of authenticating a user to a service provider through an identity provider in electronic identity federation systems so as to maintain the use of existing standards for assertion and transmission, while significantly increasing practicality, security and reducing the risk of misuse of the intercepted authentication statement by the attacker.

Podstata vynálezuThe essence of the invention

Předmětem předkládaného vynálezu je způsob autentizace uživatele ke spoléhající straně prostřednictvím poskytovatele identity, při němž se nejprve vytvoří datový kanál mezi zařízením uživatele a spoléhající stranou, uživatel se následně autentizuje u poskytovatele identity, a autentizační výrok se předá od poskytovatele identity spoléhající straně, jehož podstata spočívá vtom, že se při autentizaci u poskytovatele identity prováže datový kanál mezi zařízením uživatele a spoléhající stranou s autentizaci uživatele u poskytovatele identity, a vtom, že se autentizační výrok s vazbou k datovému kanálu předá od poskytovatele identity ke spoléhající straně prostřednictvím komunikačního modulu, přičemž komunikační modul, popřípadě spolu s poskytovatelem identity, řídí autentizaci s vazbou k datovému kanálu.The present invention provides a method of authenticating a user to a relying party through an identity provider, wherein a data channel is first established between the user's device and the relying party, the user subsequently authenticates to the identity provider, and the authentication statement is passed from the relying identity provider to the relying party. in that the authentication with the identity provider interconnects the data channel between the user device and the relying party with the authentication of the user with the identity provider, and in that the authentication statement linked to the data channel is passed from the identity provider to the relying party via the communication module. the module, optionally together with the identity provider, controls the authentication with a link to the data channel.

Uživatel (angl. user) je uživatel služeb či dat spoléhající strany, který si přeje přistoupit k těmto službám či datům. Má přístup k aplikaci spoléhající strany, v jejímž rozhraní může zahájit proces přihlášení, který následně zahrnuje autentizaci. Dále vlastní autentizační prostředek.A user is a user of services or data from a relying party who wishes to access those services or data. It has access to a relying party application, in the interface of which it can start the login process, which then includes authentication. It also has its own authentication tool.

Autentizačním prostředkem uživatele může být například mobilní telefon, počítač, tablet nebo chytré hodinky s autentizační aplikací, token, čipová karta, PEIG.The user authentication means can be, for example, a mobile phone, a computer, a tablet or a smart watch with an authentication application, a token, a chip card, a PEIG.

Spoléhající strana (angl. relying party (RP)) je server a/nebo systém entity poskytující služby či data, k nimž si uživatel přeje přistoupit.A relying party (RP) is a server and / or entity system that provides services or data that a user wishes to access.

-2CZ 308358 B6-2GB 308358 B6

Poskytovatel identity (angl. identity provider (IdP)) je server a/nebo systém entity, která poskytuje elektronické identity a poskytuje služby ověření této elektronické identity, tedy služby autentizace.An identity provider (IdP) is a server and / or system of an entity that provides electronic identities and provides authentication services for that electronic identity, i.e., authentication services.

Zprostředkovatel identity (angl. identity broker; uzel systému elektronické identity) je server a/nebo systém, pomocí kterého lze vybírat poskytovatele identity a přes který lze předávat autentizační výrok mezi poskytovatelem identity a spoléhající stranou. Toto předávání autentizačního výroku mezi poskytovatelem identity a spoléhající stranou se v tomto vynálezu provádí prostřednictvím komunikačního modulu.An identity broker (node of an electronic identity system) is a server and / or system through which an identity provider can be selected and through which an authentication statement can be passed between the identity provider and the relying party. This transmission of the authentication statement between the identity provider and the relying party is performed in the present invention via a communication module.

Poskytovatel služeb (angl. service provider) je souhrnný termín zahrnující spoléhající stranu, poskytovatele identity a zprostředkovatele identity.A service provider is a collective term that includes a relying party, an identity provider, and an identity broker.

Autentizační výrok (angl. assertion) je výstup vydaný poskytovatelem identity. Autentizační výrok říká, že uživatel byl autentizován konkrétními prostředky v konkrétním čase. Autentizační výrok je výsledkem ověření identity poskytovatelem identity, který poskytovatel identity předává spoléhající straně, a na jehož základě spoléhající strana poskytne přístup ke službám či datům oprávněnému uživateli. Poskytovatel identity musí být vybaven autentizačními prostředky umožňujícími provázání datového kanálu s autentizací. Takové prostředky jsou v oboru známy.An assertion is an output issued by an identity provider. The authentication statement says that the user was authenticated by specific means at a specific time. The authentication statement is the result of identity verification by the identity provider, which the identity provider passes on to the relying party, on the basis of which the relying party provides access to the services or data to the authorized user. The identity provider must be equipped with authentication means that allow the data channel to be linked to authentication. Such agents are known in the art.

Komunikační modul je server a/nebo systém, který řídí autentizací a její provázání s datovým kanálem mezi zařízením uživatele a spoléhající stranou, a přenáší výsledek autentizace mezi poskytovatelem identity a spoléhající stranou.The communication module is a server and / or system that controls the authentication and its connection to the data channel between the user's device and the relying party, and transmits the result of the authentication between the identity provider and the relying party.

Komunikační modul komunikuje s alespoň jedním poskytovatelem identity, popřípadě s alespoň jedním zprostředkovatelem identity, a s alespoň jednou spoléhající stranou. Na straně spoléhající strany může komunikační modul komunikovat buď přímo s cílovou aplikací spoléhající strany, nebo může komunikovat s reverzním proxy serverem.The communication module communicates with at least one identity provider, or with at least one identity provider, and with at least one relying party. On the relying side, the communication module can either communicate directly with the relying party's target application or can communicate with a reverse proxy server.

Komunikační modul tedy zajišťuje přenos informací nutný k řízení autentizace mezi spoléhající stranou a poskytovatelem identity včetně provázání datového kanálu, vytvořeného mezi spoléhající stranou a zařízením uživatele, s autentizací uživatele. Rovněž zajišťuje vytvoření dat požadavku vytvoření autentizačního výroku (assertion) podle použitých standardů, a přenos vytvořeného autentizačního výroku (assertion) mezi všemi potřebnými poskytovateli služeb ve federaci podle použitých standardů. Komunikační modul dále zajišťuje provázání autentizačního výroku (assertion) s autentizací a s datovým kanálem vytvořeným mezi spoléhající stranou a zařízením uživatele, a zpracování obsahu autentizačního výroku (assertion) a předání autentizačního výroku včetně dat o uživateli cílové aplikaci spoléhající strany, popřípadě prostřednictvím reverzního proxy serveru.Thus, the communication module provides the transmission of information necessary to control the authentication between the relying party and the identity provider, including linking the data channel established between the relying party and the user's device with the user's authentication. It also ensures the creation of the assertion request data according to the standards used, and the transfer of the created assertion statement between all necessary service providers in the federation according to the standards used. The communication module further ensures that the authentication statement is linked to the authentication and data channel created between the relying party and the user device, and the authentication assertion content is processed and the authentication statement is transmitted, including user data to the relying party's target application.

Komunikační modul může být provozován spoléhající stranou nebo jinou entitou, například i samostatným provozovatelem služeb provozu komunikačního modulu různým spoléhajícím stranám.The communication module may be operated by a relying party or other entity, such as a separate operator of the communication module operation services to various relying parties.

Komunikační modul je s výhodou konfigurován tak, že umožňuje uživateli výběr poskytovatele identity a umožňuje spoléhající straně komunikaci s více různými poskytovateli identity.The communication module is preferably configured to allow the user to select an identity provider and allows the relying party to communicate with multiple different identity providers.

Způsoby provázání datového kanálu s autentizací uživatele jsou v oboru známé. Autentizace bývá součástí komunikačního protokolu datového kanálu (např. použití klientského certifikátu při autentizací TLS), autentizační data mohou být předávána přímo mezi příslušnými částmi aplikace (např. vyplnění přihlašovacího formuláře ve webovém prohlížeči na stránce cílové aplikace uživatelským jménem a heslem) nebo kombinace přenosu jiným kanálem a přenosu autentizovaným datovým kanálem (např. přepis kódu zaslaného uživateli pomocí SMS). Může se jednat také o předání dat identifikujících datový kanál ze zakončení datového kanálu u uživatele do autentizačního zařízení uživatele (tj. do zařízení či aplikace, která se na straně uživateleMethods for linking a data channel to user authentication are known in the art. Authentication is usually part of the communication protocol of the data channel (eg using a client certificate for TLS authentication), authentication data can be passed directly between relevant parts of the application (eg filling in a login form in a web browser on the target application page with username and password) or a combination channel and transmission by an authenticated data channel (eg transcription of a code sent to the user via SMS). It can also be a transfer of data identifying the data channel from the end of the data channel at the user to the user's authentication device (ie to a device or application which, on the user's side,

-3 CZ 308358 B6 účastní autentizace) v případě použití externí autentizace. Tato data jsou pak v rámci autentizace předávána či zpracovávána.-3 CZ 308358 B6 participates in authentication) in case of using external authentication. This data is then transmitted or processed within the authentication.

Provázání datového kanálu s autentizací uživatele lze provést s výhodou tak, že se před autentizací přidělí jednoznačný identifikátor datovému kanálu mezi zařízením uživatele a spoléhající stranou, a tento identifikátor se použije jako informace přenášená výše uvedenými způsoby. Identifikátor datového kanálu může přidělovat například spoléhající strana nebo poskytovatel identity.The interconnection of a data channel with user authentication can advantageously be performed by assigning a unique identifier to the data channel between the user's device and the relying party prior to authentication, and this identifier is used as information transmitted by the above methods. For example, a data channel identifier may be assigned by a relying party or an identity provider.

Identifikátorem datového kanálu může být například identifikátor session datového kanálu, nebo identifikátor autentizace. Pro zvýšení bezpečnosti a vyloučení možnosti útoku na tento kanál může být s výhodou spolu s identifikátorem datového kanálu použito navíc neautentizované tajemství datového kanálu (resp. kryptografický materiál odvozený od kryptografického materiálu datového kanálu, např. z neověřeného sdíleného tajemství obou zakončení datového kanálu, jehož vytvoření je popsáno např. v CZ 2013-373).The data channel identifier can be, for example, a data channel session identifier or an authentication identifier. In order to increase security and prevent the possibility of an attack on this channel, an unauthenticated data channel secret (or cryptographic material derived from the data channel's cryptographic material, e.g. from an unverified shared secret of both data channel ends, may be advantageously used together with the data channel identifier). is described eg in CZ 2013-373).

Způsob podle předkládaného vynálezu přináší následující výhody:The method of the present invention offers the following advantages:

- Autentizační výroky (assertion) nejsou přenášeny přes webový prohlížeč uživatele, a tedy nejsou přenášeny přes Internet pomocí nechráněných datových kanálů, ale jsou díky zavedení komunikačního modulu do systému federace elektronické identity přenášeny přímo mezi servery, kde mohou být chráněny standardními bezpečnostními opatřeními mezi poskytovateli služeb.- Assertions are not transmitted via the user's web browser and are therefore not transmitted over the Internet using unprotected data channels, but are transmitted directly between servers due to the introduction of a communication module into the electronic identity federation system, where they can be protected by standard security measures between service providers. .

- Není potřeba funkcionalita přesměrování na straně uživatele, protože přenášení autentizačního výroku (assertion) je namísto přenášení přes webový prohlížeč nebo aplikaci uživatele realizováno prostřednictvím komunikačního modulu. Proto může být snadno integrováno do mobilních aplikací, do kterých není třeba zavádět novou funkci redirect.- No redirection functionality is required on the part of the user, because the transmission of the assertion statement is performed via the communication module instead of the transmission via the user's web browser or application. Therefore, it can be easily integrated into mobile applications in which there is no need to implement the new redirect function.

- Přitom je zachováno používání stávajících standardů přenosu autentizačního výroku (assertion).- At the same time, the use of existing assertion transmission standards is maintained.

- Datový kanál mezi uživatelem a spoléhající stranou je provázán s autentizačním výrokem. Provázání může být i kryptografické, a tak lze vyloučit i sofistikovaný útok na datový kanál mezi uživatelem a spoléhající stranou.- The data channel between the user and the relying party is linked to the authentication statement. The interconnection can also be cryptographic, so a sophisticated attack on the data channel between the user and the relying party can be ruled out.

V některých provedeních vynálezu může cílová aplikace spoléhající strany (tedy aplikace poskytující službu či data požadovaná uživatelem, k níž se uživatel autentizuje) být s výhodou umístěna za reverzní proxy server, jak se v některých případech webové aplikace nebo serverové části mobilních aplikací umísťují. V takovém případě je datový kanál mezi zařízením uživatele a cílovou aplikací ukončen na reverzním proxy serveru. Reverzní proxy server řídí přístup uživatelů k příslušným zdrojům cílové aplikace (např. příslušným webovým stránkám) a zajišťuje přenos dat o uživateli do příslušných interních proměnných (např. Remote user).In some embodiments of the invention, the target application of the relying party (i.e., the application providing the service or data requested by the user to which the user authenticates) may be advantageously located behind a reverse proxy server, as in some cases web applications or server portions of mobile applications are located. In this case, the data channel between the user's device and the target application is terminated on the reverse proxy server. The reverse proxy server controls user access to the relevant resources of the target application (eg the relevant websites) and ensures the transfer of user data to the relevant internal variables (eg Remote user).

Komunikační modul může v takovém případě komunikovat přímo s reverzním proxy serverem. Autentizace datového kanálu i uživatele v takovém případě proběhne z pohledu tvůrce aplikace neviditelně. Programátor nemusí autentizací programovat, může se spolehnout na to, že příslušnou část aplikace používá jen autentizovaný uživatel a data o uživateli může aplikace číst přímo z interních proměnných.In this case, the communication module can communicate directly with the reverse proxy server. In this case, the authentication of the data channel and the user will take place invisibly from the point of view of the application creator. The programmer does not have to program with authentication, he can rely on the fact that the relevant part of the application is used only by the authenticated user and the user can read the user data directly from internal variables.

Autentizací a umístění dat o uživateli do interních proměnných zajistí podle konfigurace systému reverzní proxy server s pomocí komunikačního modulu.By authenticating and placing user data in internal variables, a reverse proxy server with the help of a communication module ensures, depending on the system configuration.

Ve složitějších topologiích systémů federace elektronické identity je často zapojeno více poskytovatelů identity. Uživatel v takovém případě typicky vybírá toho poskytovatele identity, který může jeho identitu ověřit, např. který mu vydal jeho autentizační prostředky (např. elektronický občanský průkaz v příslušném státě nebo autentizační token či čipovou kartu).More complex identity providers are often involved in more complex electronic identity federation system topologies. In such a case, the user typically selects the identity provider who can verify his identity, e.g., who issued his authentication means (e.g., an electronic ID card in the appropriate state or an authentication token or smart card).

-4CZ 308358 B6-4GB 308358 B6

V takových systémech může s výhodou komunikační modul umožnit uživateli výběr poskytovatele identity s využitím existujících standardů a využitím v oboru známých funkčností zprostředkovatele identity.In such systems, the communication module may advantageously allow the user to select an identity provider using existing standards and utilizing known identity broker functionalities.

Jedním z možných způsobů výběru poskytovatele identity je, že uživatel je před zahájením autentizace přesměrován na komunikační modul, který v tom okamžiku funguje jako standardní http proxy server nebo http klient. Uživatel tak může transparentně používat přímo funkčnost zprostředkovatele identity k výběru poskytovatele identity. V okamžiku, kdy uživatel ukončí výběr, je funkčnost http proxy serveru nebo http klienta na komunikačním modulu ukončena, výsledek výběru přenesený ze serveru zprostředkovatele identity do komunikačního modulu se komunikačním modulem zpracuje např. pomocí algoritmu, převodní tabulky atd. a použije se k vytvoření potřebných dat k řízení výběru poskytovatele identity v dalším kroku.One possible way to select an identity provider is for the user to be redirected to a communication module before authentication begins, which then acts as a standard http proxy server or http client. The user can thus transparently use the functionality of the identity provider directly to select the identity provider. When the user completes the selection, the functionality of the http proxy server or http client on the communication module is terminated, the selection result transferred from the identity broker server to the communication module with the communication module is processed by algorithm, conversion table, etc. and used to create the necessary data to control the choice of identity provider in the next step.

Jiný možný způsob je, že uživatel před zahájením autentizace komunikuje sktomu účelu vytvořenou částí cílové aplikace spoléhající strany na serveru spoléhající strany. Tato aplikace komunikuje přímo se zprostředkovatelem identity nebo prostřednictvím komunikačního modulu. Také v tomto případě je výsledek zprostředkované interakce uživatele se zprostředkovatelem identity, tedy výběr poskytovatele identity, zpracován a jsou vytvořena data potřebná k řízení výběru poskytovatele identity v dalším kroku.Another possible way is for the user to communicate with the part of the relying party's target application on the relying party's server created for this purpose before authentication begins. This application communicates directly with the identity provider or through a communication module. Also in this case, the result of the mediated user interaction with the identity provider, i.e. the selection of the identity provider, is processed and the data needed to control the selection of the identity provider in the next step is generated.

Další možný způsob je, že je vytvořen samostatný modul výběru poskytovatele identity komunikující se zprostředkovatelem identity, a ten je umístěn za reverzní proxy server analogicky jako cílová aplikace.Another possible way is to create a separate identity provider selection module communicating with the identity provider, which is located behind the reverse proxy server analogously to the target application.

Po vytvoření dat k řízení výběru poskytovatele identity se tato data použijí ke směrování komunikace řízení autentizace s vybraným poskytovatelem identity pomocí komunikačního modulu. Mohou být použita i k výběru způsobu komunikace (komunikačního protokolu), pokud různí poskytovatelé identity používají různé protokoly. Dále se data k řízení výběru poskytovatele identity použijí k vytvoření směrovacích informací předávaných v rámci provázání kanálu spoléhající strany mezi datovým kanálem spoléhající strany a autentizací u uživatele. Tyto informace mohou mít s výhodou formu standardního URLAfter the identity provider selection control data is created, the data is used to route the authentication control communication with the selected identity provider using the communication module. They can also be used to select the method of communication (communication protocol) if different identity providers use different protocols. Further, the identity provider selection control data is used to create routing information transmitted as part of the relying party channel linking between the relying party data channel and user authentication. This information may advantageously take the form of a standard URL

Předmětem předkládaného vynálezu je dále systém pro autentizací uživatele k spoléhající straně prostřednictvím poskytovatele identity, který zahrnuje alespoň jedno zařízení uživatele, alespoň jednu spoléhající stranu, alespoň jednoho poskytovatele identity, a alespoň jeden komunikační modul upravený pro komunikaci se spoléhající stranou a s poskytovatelem identity a vybavený prostředky pro řízení autentizace s provázáním datového kanálu mezi zařízením uživatele a spoléhající stranou. Systém může dále zahrnovat jednoho nebo více zprostředkovatelů identity.The present invention further provides a system for authenticating a user to a relying party through an identity provider, comprising at least one user device, at least one relying party, at least one identity provider, and at least one communication module adapted to communicate with the relying party and the identity provider. for controlling authentication with data channel interconnection between the user's device and the relying party. The system may further include one or more identity intermediaries.

Objasnění výkresůExplanation of drawings

Obr. 1 znázorňuje schematicky autentizací v systému federace elektronické identity podle stavu techniky.Giant. 1 shows schematically the authentication in a prior art electronic identity federation system.

Obr. 2 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, s provázáním autentizace s datovým kanálem mezi uživatelem a spoléhající stranou, a se zařazením komunikačního modulu.Giant. 2 shows schematically the authentication in an electronic identity federation system according to the invention, with the authentication of the data channel between the user and the relying party, and with the inclusion of the communication module.

Obr. 3 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, ve výhodném provedení s použitím reverzního proxy serveru u spoléhající strany.Giant. 3 shows schematically the authentication in an electronic identity federation system according to the invention, in a preferred embodiment using a reverse proxy server at the relying party.

Obr. 4 znázorňuje schematicky autentizací v systému federace elektronické identity podle vynálezu, ve výhodném provedení s umožněním volby poskytovatele identity.Giant. 4 shows schematically the authentication in an electronic identity federation system according to the invention, in a preferred embodiment with the possibility of selecting an identity provider.

-5 CZ 308358 B6-5 CZ 308358 B6

Příklady uskutečněni vynálezuExamples of embodiments of the invention

Příklad 1Example 1

Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 rozpozná požadavek neautentizovaného uživatele a vyžádá provedení autentizace od poskytovatele 2 identity tak, že požadavek autentizace předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.The user selects a relying party service on his device 1 that requires authentication. The relying party 4 recognizes the unauthenticated user request and requests authentication from the identity provider 2 by passing the authentication request to the communication module 10 via the authentication control 13. The communication module 10 requests authentication by the identity provider 2 using the authentication control 12.

Poskytovatel 2 identity vygeneruje identifikátor autentizace určený k provázání 11 datového kanálu 7 s autentizaci. Ten je předán pomocí řízení 12 a 13 přes komunikační modul 10 aplikaci spoléhající strany 4.The identity provider 2 generates an authentication identifier for linking 11 the data channel 7 with the authentication. This is transmitted via the controls 12 and 13 via the communication module 10 to the application of the relying party 4.

Aplikace přenese pomocí zatím neautentizovaného datového kanálu 7 cílové aplikace všechny potřebné informace k provázání 11 datového kanálu 7 s autentizaci, včetně identifikátoru získaného od poskytovatele 2 identity, uživateli. Zařízení 1 uživatele předá informace 11 autentizačnímu prostředku uživatele například zobrazením a vyfocením QR kódu, využitím URI volání uvnitř operačního systému zařízení j_ nebo jiným způsobem komunikace mezi úlohami v zařízení uživatele 1.The application transmits all the necessary information for linking the data channel 7 with the authentication, including the identifier obtained from the identity provider 2, to the user by means of the not yet authenticated data channel 7 of the target application. The user's device 1 passes the information 11 to the user's authentication means, for example by displaying and photographing a QR code, using a call URI within the operating system of the device 1 or otherwise communicating between tasks in the user's device 1.

Autentizační prostředek přenese informace 11 včetně identifikátoru pomocí datového kanálu 8 autentizace do autentizačního systému poskytovatele 2 identity, kde se propojí podle identifikátoru s výsledkem autentizace.The authentication means transmits the information 11 including the identifier via the authentication data channel 8 to the authentication system of the identity provider 2, where it connects according to the identifier with the authentication result.

Mezitím komunikační modul 10 při zachování kontextu vyžádá podle příslušného standardu vydání autentizačního výroku 5.In the meantime, the communication module 10, while maintaining the context, requests the issuance of an authentication statement 5 according to the relevant standard.

Autentizační výrok 5 se podle příslušného standardu předá jako odpověď komunikačnímu modulu 10, který jej zpracuje jako standardní prohlížeč (http redirect). Tím se vydaný autentizační výrok 5 dostane ve standardní podobě na zprostředkovatele 3 identity. Zprostředkovatel 3 identity zpracuje autentizační výrok 5 standardním způsobem a předá odpověď jako doručovaný autentizační výrok 6 komunikačnímu modulu 10.According to the relevant standard, the authentication statement 5 is passed in response to the communication module 10, which processes it as a standard browser (http redirect). Thus, the issued authentication statement 5 reaches the identity broker 3 in the standard form. The identity broker 3 processes the authentication statement 5 in a standard manner and transmits the response as the delivered authentication statement 6 to the communication module 10.

Komunikační modul zpracovává veškerou komunikaci týkající se jedné autentizace v rámci jediné session, proto může propojit původní požadavek na autentizaci od spoléhající strany 4 s identifikátorem autentizace vygenerovaným poskytovatelem 2 identity a také s doručeným autentizačním výrokem 6.The communication module processes all communication related to one authentication in a single session, therefore it can link the original authentication request from the relying party 4 to the authentication identifier generated by the identity provider 2 and also to the delivered authentication statement 6.

Komunikační modul zpracuje tyto informace a předá spoléhající straně 4 kompletní výsledek autentizace uživatele pomocí řízení 13.The communication module processes this information and transmits to the relying party 4 the complete result of the user authentication by the control 13.

Příklad 2Example 2

Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 rozpozná požadavek neautentizovaného uživatele. Spoléhající strana 4 spolu se zařízením 1 uživatele vytvoří zatím neautentizovaný datový kanál 7 cílové komunikace a vytvoří kryptomateriál a identifikátor tohoto kanálu.The user selects a relying party service on his device 1 that requires authentication. Relying page 4 recognizes the request of an unauthenticated user. The relying page 4 together with the user equipment 1 creates a hitherto unauthenticated data channel 7 of the target communication and creates a cryptocurrency and an identifier of this channel.

Spoléhající strana 4 vyžádá provedení autentizace od poskytovatele 2 identity tak, že požadavek autentizace spolu s identifikátorem datového kanálu 7 a derivátem kryptomateriálu datového kanálu 7 předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.The relying party 4 requests authentication from the identity provider 2 by passing the authentication request together with the identifier of the data channel 7 and the cryptomaterial derivative of the data channel 7 to the communication module 10 via the authentication control 13. The communication module 10 requests authentication by the identity provider 2 using the authentication control 12.

- 6 CZ 308358 B6- 6 CZ 308358 B6

Poskytovatel 2 identity použije identifikátor kanálu 7 a derivát krypromateriálu pro autentizaci uživatele a datového kanálu 7.The identity provider 2 uses the channel identifier 7 and the crypromaterial derivative to authenticate the user and the data channel 7.

Mezitím zařízení 1 uživatele vygeneruje derivát kryptomateriálu datového kanálu 7 a zpracuje identifikátor kanálu 7, čímž vytvoří všechny potřebné informace k provázání 11 datového kanálu 7 s autentizaci a následnou autentizaci.Meanwhile, the user equipment 1 generates a derivative of the cryptaterial of the data channel 7 and processes the identifier of the channel 7, thereby creating all the necessary information to link 11 the data channel 7 with the authentication and the subsequent authentication.

Autentizační prostředek zpracuje informace 11 včetně identifikátoru a kryptomateriálu a pomocí datového kanálu 8 autentizace provede autentizaci včetně autentizace datového kanálu 7 s využitím informací přenesených od spoléhající strany 4 prostřednictvím komunikačního modulu 10.The authentication means processes the information 11 including the identifier and the cryptomaterial and performs the authentication including the data channel 7 using the authentication data channel 8 using the information transmitted from the relying party 4 via the communication module 10.

Dále postup pokračuje jako v příkladu 1.The procedure continues as in Example 1.

Příklad 3Example 3

Uživatel vybere na svém zařízení 1 službu spoléhající strany, která vyžaduje autentizaci. Spoléhající strana 4 využívá reverzní proxy server 14, na kterém zakončuje zabezpečený datový kanál cílové aplikace např. TLS. Reverzní proxy server 14 rozpozná požadavek neautentizovaného uživatele. Reverzní proxy server 14 spolu se zařízením 1 uživatele vytvoří zatím neautentizovaný datový kanál 7 cílové komunikace a vytvoří kryptomateriál a identifikátor tohoto kanálu.The user selects a relying party service on his device 1 that requires authentication. The relying page 4 uses a reverse proxy server 14, on which it terminates the secure data channel of the target application, e.g. TLS. The reverse proxy server 14 recognizes the request of an unauthenticated user. The reverse proxy server 14 together with the user device 1 creates an as yet unauthenticated data channel 7 of the target communication and creates a cryptocurrency and an identifier of this channel.

Reverzní proxy server 14 vyžádá provedení autentizace od poskytovatele 2 autentizace tak, že požadavek autentizace spolu s identifikátorem datového kanálu 7 a derivátem kryptomateriálu datového kanálu 7 předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Komunikační modul 10 vyžádá provedení autentizace poskytovatelem 2 identity pomocí řízení 12 autentizace.The reverse proxy server 14 requests authentication from the authentication provider 2 by passing the authentication request together with the data channel identifier 7 and the cryptoxaterial derivative of the data channel 7 to the communication module 10 via the authentication control 13. The communication module 10 requests authentication by the identity provider 2 using the authentication control 12.

Poskytovatel 2 identity použije identifikátor kanálu a derivát kryptomateriálu pro autentizaci uživatele a datového kanálu 7.The identity provider 2 uses the channel identifier and the cryptomaterial derivative to authenticate the user and the data channel 7.

Mezitím zařízení 1 uživatele vygeneruje derivát kryptomateriálu datového kanálu 7 a zpracuje identifikátor kanálu 7, čímž vytvoří všechny potřebné informace 11 k provázání datového kanálu s autentizaci a následnou autentizaci.Meanwhile, the user equipment 1 generates a derivative of the cryptaterial of the data channel 7 and processes the identifier of the channel 7, thereby generating all the necessary information 11 to link the data channel with the authentication and the subsequent authentication.

Autentizační prostředek zpracuje informace 11 včetně identifikátoru a kryptomateriálu a pomocí datového kanálu 8 autentizace provede autentizaci včetně autentizace datového kanálu 7 s využitím informací přenesených z reverzního proxy serveru 14 prostřednictvím komunikačního modulu 10.The authentication means processes the information 11 including the identifier and the cryptaterial and uses the authentication data channel 8 to authenticate including the data channel 7 using the information transmitted from the reverse proxy server 14 via the communication module 10.

Dále postup pokračuje jako v příkladu 1 s tím, že autentizační výrok 6 je předán reverznímu proxy serveru 14.Next, the procedure proceeds as in Example 1, except that the authentication statement 6 is passed to the reverse proxy server 14.

Reverzní proxy server zpracuje autentizační výrok 6 a podle něj zpřístupní nebo nezpřístupní požadovanou stránku cílové aplikace a případně předá do vnitřních proměnných cílové aplikace zpracované informace z autentizačního výroku 6.The reverse proxy server processes the authentication statement 6 and according to it makes available or does not make the required page of the target application accessible and possibly passes the processed information from the authentication statement 6 to the internal variables of the target application.

Příklad 4Example 4

Uživatel má na svém mobilním zařízení 1 nainstalovánu klienskou část mobilní aplikace spoléhající strany 4. Spoléhající strana 4 má seznam důvěryhodných poskytovatelů 2 identity.The user has a client part of the mobile application of the relying party 4 installed on his mobile device 1. The relying party 4 has a list of trusted identity providers 2.

-7 CZ 308358 B6-7 CZ 308358 B6

Uživatel spustí mobilní aplikaci. Mobilní aplikace vyžádá od serveru spoléhající strany 4 aktuální seznam důvěryhodných poskytovatelů 2 identity, který zobrazí uživateli. Uživatel vybere svého poskytovatele^ identity. Výsledek výběru je předán do serverové části mobilní aplikace, která jej použije jako parametr při vyžádání autentizace, který předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Tento parametr použije komunikační modul 10 při komunikaci s poskytovatelem 2 identity pomocí řízení 12 autentizace.The user launches the mobile application. The mobile application requests from the server of the relying party 4 an up-to-date list of trusted providers 2 of the identity, which it displays to the user. The user selects his provider ^ identity. The result of the selection is passed to the server part of the mobile application, which uses it as a parameter when requesting authentication, which it passes to the communication module 10 via the authentication control 13. This parameter is used by the communication module 10 to communicate with the identity provider 2 via the authentication control 12.

Dále postup pokračuje jako v příkladu 1.The procedure continues as in Example 1.

Příklad 5Example 5

Uživatel má na svém mobilním zařízení 1 nainstalovánu klienskou část mobilní aplikace spoléhající strany 4.The user has a client part of the mobile application of the relying party 4 installed on his mobile device 1.

Spoléhající strana 4 používá reverzní proxy server 14 k zakončení zabezpečeného datového kanálu cílové aplikace, např. TLS, a nemá seznam důvěryhodných poskytovatelů 2 identity. Seznam důvěryhodných poskytovatelů 2 identity má zprostředkovatel 3 identity.The relying party 4 uses the reverse proxy server 14 to terminate the secure data channel of the target application, e.g. TLS, and does not have a list of trusted identity providers 2. The list of trusted identity providers 2 has an identity provider 3.

Uživatel spustí mobilní aplikaci. Mobilní aplikace použije neautentizovaný datový kanál 7 ke komunikaci s reverzním proxy serverem 14. Reverzní proxy server rozpozná neautentizovaného uživatele a spustí serverovou část aplikace výběru poskytovatele identity. Aplikace výběru poskytovatele identity pomocí řízení 13 autentizace vyžádá od komunikačního modulu aktuální seznam důvěryhodných poskytovatelů 2 identity. Komunikační modul 10 vyžádá aktuální seznam důvěryhodných poskytovatelů 2 identity od zprostředkovatele 3 identity pomocí standardní komunikace 17 pro výběr poskytovatele identity. Seznam je předán zpět až do klientské části mobilní aplikace, kde uživatel vybere svého poskytovatele 2 identity. Výsledek výběru je předán do reverzního proxy serveru 14, který jej použije jako parametr při vyžádání autentizace, který předá komunikačnímu modulu 10 prostřednictvím řízení 13 autentizace. Tento parametr použije komunikační modul 10 při komunikaci s poskytovatelem 2 identity pomocí řízení 12 autentizace.The user launches the mobile application. The mobile application uses an unauthenticated data channel 7 to communicate with the reverse proxy server 14. The reverse proxy server recognizes the unauthenticated user and starts the server part of the identity provider selection application. The application of selecting an identity provider by means of the authentication control 13 requests from the communication module an up-to-date list of trusted identity providers 2. The communication module 10 requests the current list of trusted identity providers 2 from the identity provider 3 using the standard identity provider selection communication 17. The list is passed back to the client part of the mobile application, where the user selects his 2 identity providers. The result of the selection is passed to the reverse proxy server 14, which uses it as a parameter when requesting authentication, which it passes to the communication module 10 via the authentication control 13. This parameter is used by the communication module 10 to communicate with the identity provider 2 via the authentication control 12.

Claims (10)

PATENTOVÉ NÁROKYPATENT CLAIMS 1. Způsob autentizace uživatele ke spoléhající straně (4) v systému federace identity prostřednictvím poskytovatele (2) identity, při němž se nejprve vytvoří datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4), uživatel se následně autentizuje u poskytovatele (2) identity, a autentizační výrok (5, 6) se předá od poskytovatele (2) identity spoléhající straně (4), vyznačený tím, že se při autentizaci u poskytovatele (2) identity prováže datový kanál (7) mezi zařízením (1) uživatele a spoléhající stranou (4) s autentizaci uživatele, a pňčemž se autentizační výrok (5, 6) s vazbou k datovému kanálu (7) předá od poskytovatele (2) identity ke spoléhající straně (4) prostřednictvím komunikačního modulu (10), přičemž komunikační modul (10), popřípadě spolu s poskytovatelem (2) identity, řídí autentizaci s vazbou k datovému kanálu (7).A method of authenticating a user to a relying party (4) in an identity federation system via an identity provider (2), wherein a data channel (7) is first established between the user device (1) and the relying party (4), the user is subsequently authenticated at identity provider (2), and the authentication statement (5, 6) is passed from the identity provider (2) to the relying party (4), characterized in that a data channel (7) is established between the device (2) during authentication with the identity provider (2). 1) the user and the relying party (4) with user authentication, and wherein the authentication statement (5, 6) linked to the data channel (7) is transmitted from the identity provider (2) to the relying party (4) via the communication module (10) , wherein the communication module (10), optionally together with the identity provider (2), controls the authentication with the binding to the data channel (7). 2. Způsob podle nároku 1, vyznačený tím, že se provázání datového kanálu (7) s autentizaci uživatele provede tak, že spoléhající strana (4), popřípadě v součinnosti se zařízením (1) uživatele, před autentizaci přidělí jednoznačný identifikátor datovému kanálu (7) mezi zařízením (1) uživatele a spoléhající stranou (4), a tento identifikátor se použije jako informace přenášenáMethod according to claim 1, characterized in that the connection of the data channel (7) with user authentication is performed in such a way that the relying party (4), optionally in cooperation with the user device (1), assigns a unique identifier to the data channel (7) before authentication. ) between the user's device (1) and the relying party (4), and this identifier is used as the information transmitted -8 CZ 308358 B6 mezi zakončením datového kanálu (7) na zařízení (1) uživatele a autentizačním prostředkem uživatele.-8 EN 308358 B6 between the end of the data channel (7) on the user's device (1) and the user's authentication means. 3. Způsob podle nároku 2, vyznačený tím, že identifikátorem datového kanálu (7) je identifikátor session datového kanálu (7) nebo identifikátor autentizace.Method according to claim 2, characterized in that the identifier of the data channel (7) is the session identifier of the data channel (7) or the authentication identifier. 4. Způsob podle nároku 2 nebo 3, vyznačený tím, že se spolu s identifikátorem datového kanálu (7) použije také kryptografický materiál odvozený od kryptografického materiálu datového kanálu (7).Method according to Claim 2 or 3, characterized in that cryptographic material derived from the cryptographic material of the data channel (7) is also used together with the identifier of the data channel (7). 5. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že komunikační modul (10) komunikuje s reverzním proxy serverem (14) a datový kanál (7) mezi zařízením (1) uživatele a cílovou aplikací je ukončen na reverzním proxy serveru (14), a reverzní proxy server (14) řídí přístup uživatelů k příslušným zdrojům cílové aplikace spoléhající strany (4).Method according to any one of the preceding claims, characterized in that the communication module (10) communicates with the reverse proxy server (14) and the data channel (7) between the user device (1) and the target application is terminated at the reverse proxy server (14) , and the reverse proxy server (14) controls user access to the respective resources of the relying party's target application (4). 6. Způsob podle kteréhokoliv z předcházejících nároků, vyznačený tím, že komunikační modul (10) umožňuje výběr poskytovatele (2) identity a komunikaci s více různými poskytovateli (2) identity, s výhodou prostřednictvím zprostředkovatele (3) identity.Method according to any one of the preceding claims, characterized in that the communication module (10) allows the selection of an identity provider (2) and communication with several different identity providers (2), preferably via an identity provider (3). 7. Způsob podle nároku 6, vyznačený tím, že uživatel prostřednictvím zařízení (1) uživatele před zahájením autentizace využije komunikační modul (10), který v tom okamžiku funguje jako standardní http proxy server nebo http klient, pro provedení výběru poskytovatele (2) identity, a následně, když uživatel ukončí výběr, se funkčnost http proxy serveru nebo http klienta na komunikačním modulu (10) ukončí, a výsledek výběru přenesený ze zprostředkovatele (3) identity do komunikačního modulu (10) se komunikačním modulem (10) zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.Method according to claim 6, characterized in that the user uses the communication module (10), which at that time functions as a standard http proxy server or http client, via the user device (1) to select the provider (2) of identity , and subsequently, when the user completes the selection, the functionality of the http proxy server or http client on the communication module (10) is terminated, and the result of the selection transferred from the identity provider (3) to the communication module (10) with the communication module (10) is processed and used. to create the necessary data to control the choice of identity provider (2). 8. Způsob podle nároku 6, vyznačený tím, že uživatel pro provedení výběru poskytovatele (2) identity před zahájením autentizace komunikuje prostřednictvím zařízení (1) uživatele s částí cílové aplikace spoléhající strany (4) na serveru spoléhající strany, tato aplikace přitom komunikuje přímo se zprostředkovatelem (3) identity nebo prostřednictvím komunikačního modulu (10), a výsledek zprostředkované interakce uživatele se zprostředkovatelem (3) identity, tedy výběr poskytovatele (2) identity, se zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.Method according to claim 6, characterized in that the user communicates via a user device (1) with a part of the relying party's target application (4) on the relying party's server to select the identity provider (2), the application communicating directly with by the identity mediator (3) or via the communication module (10), and the result of the mediated user interaction with the identity mediator (3), i.e. the identity provider selection (2), is processed and used to generate the necessary data to control the identity provider selection (2). . 9. Způsob podle nároku 6, vyznačený tím, že uživatel pro provedení výběru poskytovatele (2) identity před zahájením autentizace komunikuje prostřednictvím zařízení (1) uživatele se samostatným modulem výběru poskytovatele (2) identity komunikujícím se zprostředkovatelem (3) identity, a tento modul je umístěn za reverzní proxy server (14), přičemž výsledek interakce uživatele s tímto modulem, tedy výběr poskytovatele (2) identity, se zpracuje a použije se k vytvoření potřebných dat k řízení výběru poskytovatele (2) identity.Method according to claim 6, characterized in that the user communicates with a separate identity provider selection module (2) communicating with the identity provider (3) via the user equipment (1) to perform the identity provider selection (2) before the authentication starts, and this module is located behind the reverse proxy server (14), the result of the user's interaction with this module, i.e. the selection of the identity provider (2), is processed and used to generate the necessary data to control the selection of the identity provider (2). 10. Systém pro autentizaci uživatele k spoléhající straně (4) prostřednictvím poskytovatele (2) identity, který zahrnuje alespoň jedno zařízení (1) uživatele, alespoň jednu spoléhající stranu (4), alespoň jednoho poskytovatele (2) identity, popřípadě i alespoň jednoho zprostředkovatele (3) identity, vyznačený tím, že dále obsahuje alespoň jeden komunikační modul (10) komunikačně propojený se spoléhající stranou (4) a s poskytovatelem (2) identity a popřípadě i se zprostředkovatelem (3) identity a vybavený prostředky pro řízení (12, 13) autentizace s provázáním datového kanálu (7) mezi zařízením (1) uživatele a spoléhající stranou (4).A system for authenticating a user to a relying party (4) via an identity provider (2), comprising at least one user device (1), at least one relying party (4), at least one identity provider (2), or at least one intermediary (3) identity, characterized in that it further comprises at least one communication module (10) communicatively connected to the relying party (4) and to the identity provider (2) and optionally also to the identity broker (3) and equipped with means for control (12, 13). ) authentication with the connection of the data channel (7) between the user device (1) and the relying party (4).
CZ2019-221A 2019-04-08 2019-04-08 Method of user authentication to the relying party in an electronic identity federation system CZ308358B6 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CZ2019-221A CZ308358B6 (en) 2019-04-08 2019-04-08 Method of user authentication to the relying party in an electronic identity federation system
PCT/CZ2020/050021 WO2020207517A1 (en) 2019-04-08 2020-04-07 Method of authenticating a user to a relying party in federated electronic identity systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ2019-221A CZ308358B6 (en) 2019-04-08 2019-04-08 Method of user authentication to the relying party in an electronic identity federation system

Publications (2)

Publication Number Publication Date
CZ2019221A3 CZ2019221A3 (en) 2020-06-17
CZ308358B6 true CZ308358B6 (en) 2020-06-17

Family

ID=71079995

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ2019-221A CZ308358B6 (en) 2019-04-08 2019-04-08 Method of user authentication to the relying party in an electronic identity federation system

Country Status (2)

Country Link
CZ (1) CZ308358B6 (en)
WO (1) WO2020207517A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2588573B (en) * 2019-07-09 2021-11-17 Rimo Capital Ltd A remediation system to prevent incompatible program module installation in an information processing system
CZ2020271A3 (en) 2020-05-14 2021-11-24 Aducid S.R.O. Software system and authentication method
CN113014554B (en) * 2021-02-07 2023-06-13 博为科技有限公司 Automatic switching method and system for internet surfing channels, ONU (optical network Unit) equipment and OLT (optical line terminal) equipment

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021019A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for federated provisioning
WO2008020991A2 (en) * 2006-07-28 2008-02-21 Brown University Notarized federated identity management
US20080271121A1 (en) * 2007-04-27 2008-10-30 Heather Maria Hinton External user lifecycle management for federated environments
WO2010030458A2 (en) * 2008-09-12 2010-03-18 Motorola, Inc. Method for action assertion generation and usage
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization
US20130086210A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Mobile application, identity relationship management
US8776209B1 (en) * 2012-03-09 2014-07-08 Juniper Networks, Inc. Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9578007B2 (en) * 2015-03-31 2017-02-21 Cisco Technology, Inc. Secure transmission of a session identifier during service authentication

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021019A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for federated provisioning
WO2008020991A2 (en) * 2006-07-28 2008-02-21 Brown University Notarized federated identity management
US20080271121A1 (en) * 2007-04-27 2008-10-30 Heather Maria Hinton External user lifecycle management for federated environments
WO2010030458A2 (en) * 2008-09-12 2010-03-18 Motorola, Inc. Method for action assertion generation and usage
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization
US20130086210A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Mobile application, identity relationship management
US8776209B1 (en) * 2012-03-09 2014-07-08 Juniper Networks, Inc. Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway

Also Published As

Publication number Publication date
WO2020207517A1 (en) 2020-10-15
CZ2019221A3 (en) 2020-06-17

Similar Documents

Publication Publication Date Title
JP5635133B2 (en) Secure dynamic privilege delegation
US10136313B2 (en) Method and device for control of a lock mechanism using a mobile terminal
KR101708587B1 (en) Bidirectional authorization system, client and method
US20130117831A1 (en) Method and system for enabling computer access
US20160337338A1 (en) Late binding authentication
JP2008511232A (en) Personal token and method for control authentication
JP2014503094A (en) Communication method between server and client, and corresponding client, server, and system
EP2545676A1 (en) System and method for using a portable security device to cryptographically sign a document in response to signature requests from a relying party to a digital signature service
US20030163694A1 (en) Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes
CZ308358B6 (en) Method of user authentication to the relying party in an electronic identity federation system
CN101222335A (en) Cascade connection authentication method and device between application systems
JP2016521029A (en) Network system comprising security management server and home network, and method for including a device in the network system
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
US11985118B2 (en) Computer-implemented system and authentication method
JPWO2018109897A1 (en) Access token system, information processing apparatus, information processing method and information processing program
US11764964B2 (en) Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication
KR20030075809A (en) Client authentication method using SSO in the website builded on a multiplicity of domains
KR101962349B1 (en) Consolidated Authentication Method based on Certificate
Tauber et al. Towards interoperability: an architecture for pan-European eID-based authentication services
KR100366403B1 (en) Method for authenticating user in internet and system for the same
US12041173B2 (en) Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication
Nenadic et al. FAME: Adding multi-level authentication to shibboleth
Hühnlein et al. Options for integrating eID and SAML
WO2024067419A1 (en) Authorization information acquisition method and apparatus, related device, and storage medium
Malone et al. Mobile Optimized Digital Identity (MODI): A framework for easier digital certificate use

Legal Events

Date Code Title Description
MM4A Patent lapsed due to non-payment of fee

Effective date: 20230408