ES2784137T3 - Método para la prestación de servicios de control externos en una red - Google Patents

Método para la prestación de servicios de control externos en una red Download PDF

Info

Publication number
ES2784137T3
ES2784137T3 ES14154541T ES14154541T ES2784137T3 ES 2784137 T3 ES2784137 T3 ES 2784137T3 ES 14154541 T ES14154541 T ES 14154541T ES 14154541 T ES14154541 T ES 14154541T ES 2784137 T3 ES2784137 T3 ES 2784137T3
Authority
ES
Spain
Prior art keywords
control
component
application
components
transmission component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14154541T
Other languages
English (en)
Inventor
Christoph Scherer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Application granted granted Critical
Publication of ES2784137T3 publication Critical patent/ES2784137T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/566Grouping or aggregating service requests, e.g. for unified processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/567Integrating service provisioning from a plurality of service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

Método para la prestación de servicios de control externos en una red, donde la red comprende un primer componente (11) de aplicación, un segundo componente (12) de aplicación y un componente (31) de transmisión, donde un primer y un segundo componentes (21, 22) de control van conectados a la red, donde el método comprende los siguientes pasos del método: -- recepción de una primera información de petición de control enviada por el primer componente (11) de aplicación al componente (31) de transmisión, -- recepción de una segunda información de petición de control enviada por el segundo componente (12) de aplicación al componente (31) de transmisión, -- consulta de una primera información de respuesta de control en el primer o segundo componentes (21, 22) de control en función de la primera información de petición de control recibida, -- consulta de una segunda información de respuesta de control en el primer o segundo componentes (21, 22) de control en función de la segunda información de petición de control recibida, -- transferencia de la primera información de respuesta de control consultada al primer componente (11) de aplicación y de la segunda información de respuesta de control al segundo componente (11) de aplicación. donde la comunicación del componente (31) de transmisión con el primer y segundo componentes (11, 12) de aplicación se lleva a cabo en cada caso a través de una interfaz del componente (31) de transmisión de un primer tipo de interfaz, donde la comunicación del componente (31) de transmisión con el primer y segundo componentes (21, 22) de control se lleva a cabo en cada caso a través de una segunda interfaz del componente (31) de transmisión de un segundo tipo de interfaz.

Description

DESCRIPCIÓN
Método para la prestación de servicios de control externos en una red
Estado de la técnica
Esta invención se refiere a un método para la prestación de servicios de control externos en una red.
Por ejemplo, se disponen aplicaciones web en un servidor web de la red (por ejemplo, Internet) para facilitar el uso de la aplicación web a un usuario de un terminal (móvil o fijo) conectado a la red. Para ello la aplicación web se ejecuta en el servidor web del operador de la red y/o del terminal del usuario (por ejemplo, en un buscador web). Una aplicación web de este tipo es, por ejemplo, un sistema de compras en línea ofrecido a través de Internet, en el que se requieren diversos servicios de control (por ejemplo, servicios de autenticación y/o servicios de autorización para la autenticación o autorización del usuario) de cara a la solicitud de bienes y/o servicios para un proceso de pedido lo más fiable y seguro posible.
La prestación de varios servicios de control en una red que comprende una pluralidad de aplicaciones web de este tipo generalmente va asociada a un gran esfuerzo técnico para el operador de la red. De ahí que exista la necesidad de mejorar la prestación de los servicios de control en la red. En el artículo titulado "Harmonizing services and network provisioning for federative access in a mobile environment" de Lutz D. J. et al. se describe una arquitectura completa para una fusión de varios dominios. El documento EP2442528 describe un sistema y un método de un modelo de seguridad que ofrece interoperabilidad con dominios externos.
Descripción de la Invención
La invención se define en las reivindicaciones independientes. La invención cumple el cometido de proporcionar un método para la prestación de servicios de control en una red que esté mejorado de manera que se reduzca el esfuerzo técnico para la prestación de los servicios de control, particularmente cuando los servicios de control son servicios de control externos (es decir, servicios de control de un operador ajeno que no es el operador de la red).
Según la invención, este cometido se resolverá mediante un método para la prestación de servicios de control externos en una red, donde la red comprende un primer componente de aplicación, un segundo componente de aplicación y un componente de transmisión, donde un primer y un segundo componentes de control van conectados a la red, donde el método comprende los siguientes pasos del método:
-- recepción de una primera información de petición de control enviada por el primer componente de aplicación al componente de transmisión,
-- recepción de una segunda información de petición de control enviada por el segundo componente de aplicación al componente de transmisión,
-- consulta de una primera información de respuesta de control en el primer o segundo componentes de control en función de la primera información de petición de control recibida,
-- consulta de una segunda información de respuesta de control en el primer o segundo componentes de control en función de la segunda información de petición de control recibida,
-- transferencia de la primera información de respuesta de control consultada al primer componente de aplicación y de la segunda información de respuesta de control al segundo componente de aplicación.
Según la presente invención, mediante el método de acuerdo con la invención convenientemente se pueden prestar servicios de control externos en una red de tal manera que se reduzca el esfuerzo técnico, es decir, particularmente el esfuerzo para mantener las diversas interfaces para la prestación de los servicios de control para los componentes de aplicación. Así, según la invención, es especialmente preferible que el componente de transmisión encapsule (aísle) los servicios de control externos frente a los servicios internos o propios (es decir, los servicios que se encuentran bajo el control del operador de la red). Para ello, es ventajosamente posible simplificar la utilización de los servicios de control. Concretamente, en este documento el término "encapsular" se utiliza en el sentido de un encapsulamiento de datos, es decir, un proceso que completa los datos o informaciones a enviar en un encabezado (y/o tráiler) de las capas correspondientes (de acuerdo a un modelo de referencia para protocolos de red).
Por ejemplo, en una interfaz comprometida al primer componente de control (solamente) se configura o mantiene la interfaz correspondiente del componente de transmisión con el primer componente de control. Eso significa, particularmente, que no se deberán configurar o mantener las interfaces de todos los componentes de aplicación. Además, en dicho caso, el componente de transmisión funciona particularmente de tal manera, que ya no se puede acceder más al primer componente de control (con la interfaz comprometida). Así, ventajosamente se puede reaccionar a problemas de seguridad relativamente rápido.
Según la invención, un componente de aplicación comprende preferiblemente:
-- un sistema de presentación para la presentación de bienes y/o servicios a través de la red (particularmente para un usuario que accede al componente de aplicación),
-- una base de datos de aplicación con informaciones de productos sobre los bienes y/o servicios, otras funcionalidades o herramientas.
Por ejemplo, el componente de aplicación está configurado para la prestación de un servicio de aplicación (por ejemplo, un servicio de correo electrónico u otra aplicación), donde particularmente el servicio de aplicación (solamente) se transmite (o se presta) a través de un método de autenticación o método de registro (es decir, mediante un login o iniciando sesión).
Según la invención, preferiblemente un servicio de control externo es un servicio externo de un operador de una red externa que comprenda particularmente el primero y el segundo componentes de control.
Preferiblemente el primer componente de control estará configurado como un proveedor de identidad (IDP). Particularmente el IDP estará configurado de manera que ofrezca una información de respuesta de control en función de una información de petición de control (es decir, transferida por medio de un mensaje de respuesta al componente solicitante), donde la información de petición de control presenta particularmente datos de control específicos del usuario (como, por ejemplo, datos de inicio de sesión), donde la información de respuesta de control presenta particularmente una información de autenticación.
Preferiblemente el segundo componente de control estará configurado como un proveedor de servicios de pago (PSP). Particularmente el PSP estará configurado de manera que ofrezca una información de respuesta de control en función de una información de petición de control (es decir, como transferida por medio de un segundo mensaje de respuesta al componente solicitante), donde la información de petición de control comprende particularmente datos de control específicos del usuario (es decir, datos de pago, como, por ejemplo, datos bancarios y/u otros datos de cuenta y/o un importe de dinero). Preferiblemente la información de respuesta de control se generará por medio del SPS en función de la información de petición de control, donde la información de respuesta de control presenta una información de autorización para la autorización de los datos de control (y, opcionalmente, para la habilitación de uno o varios modos de pago). La información de autorización se generará particularmente mediante un método de autorización, donde en el método de autorización, por ejemplo, se lleva a cabo una aprobación de un pago por tarjeta EC o de crédito por parte de la entidad de crédito del titular de la tarjeta. Una autorización exitosa generará la información de autorización particularmente de manera que la información de autorización presente información sobre el hecho de que se puede cargar un importe de dinero a una cuenta bancaria o de tarjeta de crédito del usuario (por medio de los datos de control transmitidos al PSP). Particularmente se puede configurar tanto el primer como el segundo componente de control como IDP, PSP o como proveedor de otro servicio de control.
Según la invención, el término "componente" (es decir, especialmente un componente cliente, componente de aplicación, componente de transmisión y/o componente de control) comprende preferiblemente un componente de software y/o un componente de hardware que está configurado especialmente para la comunicación a través de la red con otro componente dado (es decir, especialmente un componente cliente, un componente de aplicación, un componente de transmisión y/o un componente de control). Esto significa, particularmente, que un componente de este tipo está configurado como componente de servidor y/o componente de cliente, donde particularmente por medio del componente de servidor de un componente de cliente se presta un servicio (es decir, por medio del intercambio de mensajes con informaciones de petición e informaciones de respuesta entre el componente de cliente y el componente de servidor). Por ejemplo, se pondrá una aplicación web (por ejemplo, una tienda en línea) a disposición de un buscador web (componente de cliente) de un usuario mediante el componente de aplicación (aquí como componente de servidor). Además, por ejemplo, el servicio de control en cuestión se proporcionará a través de un componente de control (aquí como componente de servidor) del componente de transmisión (aquí como componente cliente), donde el servicio de control se proporcionará (transmitirá) particularmente a través del componente de transmisión (aquí como componente de servidor) del componente de aplicación (aquí como componente cliente).
Según la invención, preferiblemente una interfaz es aquella parte de un componente que sirve para la comunicación. El intercambio de informaciones se lleva a cabo particularmente en forma de dimensiones físicas (por ejemplo, tensión eléctrica, intensidad de corriente) o lógicas (datos) a través de la interfaz.
Según la invención se prefiere que el componente de transmisión presente un componente de regulación (lógica de regulación o normativa de regulación) y una base de datos, donde el componente de transmisión (bajo uso la base de datos) para el registro de datos está configurado en relación a una información sobre el componente de regulación. Según la invención, es preferible que el componente de transmisión esté configurado para la ejecución de un método de regulación, donde en un primer paso de regulación se determina a través del componente de transmisión a qué componente de control (es decir, por ejemplo, el primer u otro primero, segundo u otro segundo componente de control) se va a solicitar la primera información de respuesta de control, donde en un segundo paso de regulación la primera información de respuesta de control se le consulta al componente de control determinado en el primer paso de regulación. Particularmente en el primer paso de regulación se determinará una información de regulación, donde la información de regulación hace referencia, por ejemplo, a una utilidad de un componente de control y/o a un acceso a un componente de control. Particularmente la información de regulación comprende en cada caso un componente de regulación para cada combinación de componente de aplicación y componente de control. Particularmente aquel componente de control al que se le consultará la información de respuesta de control se determinará en función de la información de regulación.
Por ejemplo, el primer componente de aplicación comprende un portal erótico en relación con un servicio de pago anónimo y el segundo componente de aplicación, una tienda en línea con otro servicio de pago. Particularmente el servicio de pago anónimo se presta a través del primer componente de control (primer PSP) y el segundo servicio de pago a través del segundo componente de control (segundo PSP). Por ejemplo, para el otro servicio de pago se solicita una proporción de ingresos (importe absoluto y/o relativo) por cada transacción. Según la invención, preferiblemente el componente de transmisión estará configurado de manera que la segunda información de respuesta de control (en relación con la tienda en línea) se solicite (particularmente solo entonces) al segundo componente de control cuando la información de respuesta de control esté relacionada con un valor de control (por ejemplo, un precio) que supere un valor límite de control (por ejemplo, un límite de precio). Esto significa, por ejemplo, que el componente de transmisión solamente ofrece o presta el otro servicio de pago del segundo PSP (el segundo componente de aplicación) cuando el precio es mayor que un precio mínimo (definido).
Alternativamente (o adicionalmente) el primer (u otro primer) componente de control comprende, por ejemplo, un primer IDP en relación con un primer nivel de seguridad y el segundo (u otro segundo) componente de control, un segundo IDP en relación con un segundo nivel de seguridad. Particularmente el primer nivel de seguridad (estadio de seguridad) es superior al segundo nivel de seguridad. Particularmente la información de regulación está configurada de manera que en el primer paso de regulación se determine el primer componente de control cuando la primera información de petición de control esté relacionada con una primera petición del primer nivel de seguridad y/o en el primer paso de regulación se determine el segundo componente de control cuando la primera información de petición de control esté relacionada con una petición del segundo nivel de seguridad.
Según la invención, es preferible que la comunicación del componente de transmisión con el primer y el segundo componentes de aplicación se lleve a cabo en cada caso a través de una interfaz del componente de transmisión de un primer tipo de interfaz, donde la comunicación del componente de transmisión con el primer y el segundo componentes de control se lleva a cabo en cada caso a través de una segunda interfaz del componente de transmisión de un segundo tipo de interfaz.
Con ello, según la invención, de manera especialmente ventajosa los servicios de control externos se pueden encapsular respecto a los servicios internos de manera que solo se use el primer tipo de interfaz para la comunicación con el componente de aplicación y el segundo tipo de interfaz solo se use para la comunicación con el componente de control.
Según la invención, preferiblemente "interfaz de un primer tipo de interfaz" significa una interfaz del componente de transmisión que está configurado para la comunicación entre el componente de aplicación y el componente de transmisión de manera que se presten uno o varios servicios de control de uno o varios componentes de control del componente de aplicación (a través del encapsulamiento de los datos transferidos por medio de la segunda interfaz). Particularmente, "interfaz de un segundo tipo de interfaz" significa una interfaz del componente de transmisión que está configurado para la comunicación entre un componente de control y el componente de transmisión de manera que se preste un servicio de control del componente de control del componente de transmisión (a través del encapsulamiento de los datos transferidos por medio de la primera interfaz). Preferiblemente una primera y/o segunda interfaz de este tipo es una interfaz de datos, interfaz de hardware, interfaz de red o interfaz de software.
Según la invención, también es preferible que el componente de transmisión se opere o configure de manera que el componente de transmisión reaccione ante el componente de aplicación a través de la interfaz del primer tipo como un componente de control que encapsula particularmente la interfaz del segundo tipo respecto a los servicios de control externos.
Según la invención es aún más preferible que el componente de transmisión aplique un primer protocolo de transferencia para la comunicación con el primer y el segundo componentes de aplicación y, para la comunicación con el primer y el segundo componentes de control, un segundo protocolo de transferencia distinto del primer protocolo de transferencia.
Con ello, según la invención, de manera especialmente ventajosa se puede lograr que el componente de transmisión (aquí también denominado "bróker") reaccione ante los componentes de aplicación por medio de otro protocolo de transferencia que con los componentes de control externos. Por ejemplo, a modo de protocolo de transferencia para la comunicación entre el componente de transmisión y los componentes de aplicación y/o entre el componente de transmisión y los componentes de control se emplean uno o varios de los siguientes protocolos de transferencia:
-- Security Assertion Markup Language (SAML), es decir, un marco XML para el intercambio de informaciones de autenticación y/o informaciones de autorización; SAML ofrece funciones para describir y transferir informaciones relacionadas con la seguridad,
-- OpenID (identificación abierta), es decir, un sistema de autenticación descentralizado para servicios basados en la web; OpenID permite a un usuario registrarse sin nombre de usuario ni contraseña en todos los sitios web de soporte del sistema;
-- OAuth es un protocolo abierto que permite una autorización de interfaces segura y estandarizada para aplicaciones de escritorio, web y móviles.
Según la invención, es preferible que se utilice una primera directriz de seguridad para la comunicación del componente de transmisión con el primer y/o segundo componentes de aplicación y, para la comunicación del componente de transmisión con el primer y/o segundo componentes de control, una segunda directriz de seguridad.
Con ello, según la invención, de manera especialmente ventajosa es posible crear diferentes directrices de seguridad (también denominadas directrices de security) en ambos extremos de la comunicación del componente de transmisión (es decir, por un lado con los componentes de aplicación y, por otro, con los componentes de control). Las directrices de seguridad también se transfieren como los denominados triángulos cerrados (por ejemplo, en caso de una comunicación host-to-host adicional entre el componente de transmisión y el componente de aplicación y/o entre el componente de transmisión y el componente de control) o como los denominados triángulos abiertos (por ejemplo, cuando cada información, es decir, tanto la información de petición de control como también la información de respuesta de control, se cifra a través de un componente de cliente, por ejemplo, el buscador web del cliente, en el denominado Redirect-URL o Uniform Ressource Locator). Particularmente por medio de la comunicación host-to-host adicional se consigue una mayor seguridad, ya que la información de petición de control y/o la información de respuesta de control se transfieren así a través del componente de transmisión directamente (es decir, sin la ruta a través del buscador web del usuario) entre el componente de aplicación y el componente de control de manera que, por ejemplo, no se permite ninguna manipulación de la información de autenticación ni/o de la información de autorización por parte del usuario.
Según la invención, es preferible que el primer componente de control sea un componente de autenticación y el segundo componente de control, un componente de autorización.
Con ello, según la invención, de manera especialmente ventajosa se pueden prestar servicios de autenticación externos y/o servicios de autorización externos (como servicios de control externos) relativamente seguros y fiables para los componentes de aplicación, donde se reduce tanto el esfuerzo de prestación, como el mantenimiento de las interfaces.
Según la invención, un componente de control comprende preferiblemente:
-- una base de datos de administración para la gestión de los usuarios (componente de autenticación) y/o -- un sistema de pago para la liquidación de métodos de pago (componente de autorización). Según la invención, es preferible:
-- que el componente de transmisión consulte la primera y/o segunda información de respuesta de control al componente de autenticación cuando la primera y/o segunda información de petición de control presente una información de petición de autenticación, donde la primera y/o segunda información de respuesta de control consultada presenta una información de autenticación y/o
-- que el componente de transmisión consulte la primera y/o segunda información de respuesta de control al componente de autorización cuando la primera y/o segunda información de petición de control presente una información de petición de autorización, donde la primera y/o segunda información de respuesta consultada presenta una información de autorización.
Según la invención, es preferible que el método comprenda además los siguientes pasos de método:
-- recepción de datos de control a través del primer componente de aplicación, donde los datos de control de un componente de cliente se transfieren al primer componente de aplicación,
-- generación de la primera información de petición de control, de manera que la primera información de petición de control presente los datos de control para la consulta de la primera información de respuesta de control.
Según la invención, es preferible que el primer y el segundo componentes de aplicación sean aplicaciones web, donde el componente de cliente es un buscador web, donde los datos de control son consultados por un usuario del buscador web o son determinados automáticamente por el componente de cliente, donde se emplean datos de inicio de sesión o datos de pago específicos del usuario particularmente como datos de control.
Según la invención, es preferible que el método comprenda además los siguientes pasos de método:
-- recepción de una otra primera información de petición de control enviada por el primer componente de aplicación al componente de transmisión,
-- consulta de una otra primera información de respuesta de control al primer componente de control, un otro primer componente de control, el segundo componente de control o un otro segundo componente de control en función de la otra primera información de petición de control recibida,
-- transferencia de la otra primera información de respuesta de control consultada al primer componente de aplicación.
Según la invención, es preferible que el método comprenda además los siguientes pasos de método:
-- recepción, en el componente de transmisión, de una pluralidad de informaciones de petición de control de una pluralidad de componentes de aplicación, donde cada información de petición de control está asignada de manera inequívoca a un componente de aplicación de entre la pluralidad de componentes de aplicación, -- consulta de una pluralidad de informaciones de respuesta de control a una pluralidad de componentes de control, donde cada información de respuesta de control de entre la pluralidad de informaciones de respuesta de control se consulta exactamente a un componente de control de entre la pluralidad de componentes de control en función de exactamente una información de petición de control de entre la pluralidad de informaciones de petición de control,
-- transferencia de la pluralidad de informaciones de respuesta de control consultadas al componente de aplicación inequívocamente asignado de entre la pluralidad de componentes de aplicación.
Con ello, según la invención, de manera especialmente ventajosa, particularmente de cara a una prestación de la pluralidad de servicios de control para una pluralidad de componentes de aplicación, se puede facilitar una prestación especialmente eficiente y, no obstante, segura y fiable de los servicios de control externos.
Otro objeto de la presente invención es un componente de transmisión para la prestación de servicios de control externos en una red, donde el componente de transmisión está configurado para la comunicación con un primer componente de aplicación, un segundo componente de aplicación de un primer componente de control y un segundo componente de control, donde el componente de transmisión está configurado para la recepción de una primera información de petición de control enviada por el primer componente de aplicación al componente de transmisión y para la recepción de una segunda información de petición de control enviada por el segundo componente de aplicación al componente de transmisión, donde el componente de transmisión está configurado para consultar una primera información de respuesta de control al primer o segundo componentes de control en función de la primera información de petición de control recibida, donde el componente de transmisión está configurado para consultar una segunda información de respuesta de control al primer o segundo componente de control en función de la segunda información de petición de control recibida, donde el componente de transmisión está configurado para transferir la primera información de respuesta de control consultada al primer componente de aplicación y para transferir la segunda información de respuesta de control al segundo componente de aplicación.
Con ello, según la invención, de manera especialmente ventajosa es posible configurar el componente de transmisión de manera que el componente de transmisión reaccione frente al componente de aplicación como un componente de control. De esta manera, se ejecutará una transmisión y prestación eficiente y, no obstante, fiable y segura de los servicios externos a (la pluralidad de) los componentes de aplicación.
Además, particularmente en lo que al componente de transmisión respecta, según la invención es preferible que el componente de transmisión para la comunicación con el primer y segundo componentes de aplicación presente en cada caso una interfaz de un primer tipo de interfaz y, para la comunicación con el primer y segundo componentes de control, presente en cada caso una interfaz de un segundo tipo de interfaz.
Con ello, según la invención, de manera especialmente ventajosa se puede configurar el componente de transmisión de manera que el componente de transmisión reaccione frente a los componentes de aplicación por medio de la interfaz del primer tipo de interfaz como un componente de control que encapsula particularmente la interfaz del segundo tipo de interfaz (es decir, los datos transferidos a través de la segunda interfaz) frente a los servicios de control externos.
Además, particularmente en lo que al componente de transmisión respecta, según la invención es preferible que el componente de transmisión esté configurado de manera que el componente de transmisión determine el componente de control de entre el primer y segundo componentes de control al que se debe consultar la información de respuesta de control en función de la primera y/o segunda información de petición de control recibida.
Con ello, particularmente en lo que al componente de transmisión respecta, según la invención, de manera especialmente ventajosa el componente de transmisión puede presentar funcionalidades y/o lógicas (software o hardware) que determinen qué componente de control se debe utilizar (o se utilizará) para una aplicación. La determinación o selección se lleva a cabo, por ejemplo, en función del nivel de seguridad (o de la directriz de seguridad aplicada) del componente de aplicación, el importe de una cantidad de dinero (específica del usuario), una ubicación (del usuario) indicada u otros datos.
Además, la presente invención también se refiere a un programa informático con medios de codificación de programa con cuya ayuda se pueden ejecutar todos los pasos de un método de acuerdo con la invención cuando el programa informático se ejecuta en al menos un dispositivo programable de una red.
También es objeto de la presente invención un producto de programa informático con un medio legible por ordenador y un programa informático con medios de codificación de programa almacenado en el medio legible por ordenador que sean adecuados para ejecutar todos los pasos del método de acuerdo con la invención cuando el programa informático se ejecuta en al menos un dispositivo programable de una red.
Otras particularidades, características y ventajas de la invención se desprenden de los dibujos, así como de la siguiente descripción de las realizaciones preferidas en función de los dibujos. Los dibujos solo ilustran realizaciones ejemplares de la invención que no limitan la idea esencial de la invención.
Breve descripción de los dibujos
Las figuras 1 a 3 muestran vistas esquemáticas de un método de acuerdo con la invención.
Realizaciones de la Invención
En las diversas figuras se prevén partes similares siempre con los mismos signos de referencia y, por ello, por norma general solo se nombran o mencionan una vez en cada caso.
La figura 1 representa una vista esquemática de una red. Aquí la red presenta un primer componente 11 de aplicación, un segundo componente 12 de aplicación, un tercer componente 13 de aplicación y/o un cuarto componente 14 de aplicación. Además, a la red van vinculados un primer componente 21 de control, otro primer componente 21' de control, un segundo componente 22 de control y un otro segundo componente 22' de control.
Particularmente el primer al cuarto componentes 11, ..., 14 de aplicación son aplicaciones web que se ejecutan en uno o varios servidores web y que están configurados particularmente para la comunicación con un usuario, particularmente a través de un buscador web (véase, por ejemplo, los signos de referencia 41 en la figura 3).
Particularmente el primer y otro primer componente 21,21' de control están configurados de manera que cada servicio de control, por ejemplo, servicios de provisión para servicios de inicio de sesión (IDP), se ofrezcan a través del primer y otro primer componente 21,21' de control al componente solicitante (aquí al primer a cuarto componente 11, ...,, 14 de aplicación).
Además, aquí el segundo y otro segundo componentes 22, 22' de control están configurados particularmente de manera que cada servicio de control, por ejemplo, servicios de provisión para servicios de pago (PSP), se ofrezcan a través del segundo y otro segundo componentes 22, 22' de control al componente solicitante (aquí al primer a cuarto componente 11, ...,, 14 de aplicación).
Tanto en cuanto un operador de la red emplee una pluralidad de componentes de aplicación de este tipo (aquí el primer a cuarto componente 11, ..., 14 de aplicación) con varios servicios externos, es decir, con servicios de control externos como, por ejemplo, servicios de provisión para servicios de inicio de sesión (IDP) o servicios de pago (PSP), cada componente 11, ..., 14 de aplicación deberá ir vinculado a los servicios externos, es decir, configurado para la comunicación con la pluralidad de componentes de control (aquí el primer, otro primer, segundo y otro segundo componentes 21, 21', 22, 22' de control) de manera que los servicios de control de los componentes 21, 21', 22, 22' de control estén a disposición de los componentes 11, ..., 14 de aplicación. Esto supone un esfuerzo relativamente mayor para mantener las interfaces individuales para la comunicación entre la pluralidad de componentes 11, ..., 14 de aplicación y la pluralidad de los componentes 21,21', 22, 22' de control.
La figura 2 representa una vista esquemática de una red de acuerdo con la invención. Aquí la red presenta un componente 31 de transmisión de acuerdo con la invención, donde el componente 31 de transmisión está configurado de manera que los servicios externos, es decir, los servicios de control externos de la pluralidad de componentes 21, 21', 22, 22' de control vinculados a la red estén encapsulados por parte del componente 31 de transmisión respecto a los servicios propios (del primer a cuarto componentes 11, ..., 14 de aplicación) de manera que solo exista cada vez una primera interfaz (de un primer tipo de interfaz) frente a los componentes de aplicación (internos o propios) y solo una segunda interfaz (de un segundo tipo de interfaz) a los servicios de control (externos o ajenos).
El componente 31 de transmisión reacciona aquí respecto al primer a cuarto componentes 11, 12, 13, 14 de aplicación, a través de la primera interfaz (del componente 31 de transmisión) que encapsula las interfaces respecto a la pluralidad de componentes 21,21', 22, 22' de control (ajenos o externos), como un primer, otro primer, segundo y/u otro segundo componente 21,21', 22, 22' de control (es decir por ejemplo, como un IDP y/o PSP).
En la figura 3 se representa esquemáticamente una vista de una red de acuerdo con la invención, donde aquí se muestra la comunicación de un componente 31 de transmisión de acuerdo con la invención con un componente 41 de cliente (por ejemplo, un buscador asociado a un usuario), un primer componente 11 de aplicación (por ejemplo, una aplicación web) y un primer componente 21 de control (y/o segundo componente 22 de control). Aquí se describen el primer componente 11 de aplicación y el primer componente 21 de control de manera representativa para la pluralidad de componentes 11, ..., 14 de aplicación y componentes 21, 21', 22, 22' de control, donde la comunicación del componente 31 de transmisión con la pluralidad de componentes 11, 14 de aplicación y la pluralidad de componentes 21,21', 22, 22' de control se lleva o puede llevar a cabo particularmente en cada caso de manera similar.
El componente 31 de transmisión (que aquí también se denomina "broker") está particularmente configurado de manera que una comunicación del componente 31 de transmisión con el primer componente 11 de aplicación (véase el signo de referencia 100), a través de la primera interfaz del componente de transmisión, y una comunicación del componente 31 de transmisión con el primer componente 21 de control (véase el signo de referencia 200), a través de la segunda interfaz del componente 31 de transmisión, se lleva a cabo por medio de protocolos de transferencia diferentes en cada caso. Por ejemplo, se emplearán SAML, OpenID, OAuth u otros protocolos de transferencia como protocolos de transferencia. En ambos extremos de la comunicación (aquí indicados con los signos de referencia 100 y 200) se crearán particularmente directrices de seguridad diferentes (es decir, las denominadas "directrices de security"). Por ejemplo, con ello se crean el denominado triángulo cerrado (es decir, para que se lleve a cabo, como se indica con las líneas discontinuas, una comunicación host-to-host adicional entre el componente 11 de aplicación o el primer componente 21 de control y el componente 31 de transmisión) o triángulo abierto (es decir, para que se transfieran, como se indica con las líneas continuas, todas las informaciones a través del buscador al usuario cifradas en el denominado Redirect-URL).
El componente de transmisión presenta particularmente una funcionalidad y/o lógica que está/están configurada(s) de manera que se determine de manera adicional qué componente de control de entre la pluralidad de componentes 21, 21', 22, 22' de control (es decir, ISP o PSP) se puede emplear o se empleará para un (determinado) componente de aplicación de entre la pluralidad de componentes 11, ..., 14 de aplicación. Esta determinación o selección se lleva a cabo, por ejemplo, en función de un nivel de seguridad del componente de aplicación determinado (es decir, de la aplicación web), un importe de dinero y/o una ubicación indicada.

Claims (13)

REIVINDICACIONES
1. Método para la prestación de servicios de control externos en una red, donde la red comprende un primer componente (11) de aplicación, un segundo componente (12) de aplicación y un componente (31) de transmisión, donde un primer y un segundo componentes (21,22) de control van conectados a la red, donde el método comprende los siguientes pasos del método:
-- recepción de una primera información de petición de control enviada por el primer componente (11) de aplicación al componente (31) de transmisión,
-- recepción de una segunda información de petición de control enviada por el segundo componente (12) de aplicación al componente (31) de transmisión,
-- consulta de una primera información de respuesta de control en el primer o segundo componentes (21, 22) de control en función de la primera información de petición de control recibida,
-- consulta de una segunda información de respuesta de control en el primer o segundo componentes (21,22) de control en función de la segunda información de petición de control recibida,
-- transferencia de la primera información de respuesta de control consultada al primer componente (11) de aplicación y de la segunda información de respuesta de control al segundo componente (11) de aplicación. donde la comunicación del componente (31) de transmisión con el primer y segundo componentes (11, 12) de aplicación se lleva a cabo en cada caso a través de una interfaz del componente (31) de transmisión de un primer tipo de interfaz, donde la comunicación del componente (31) de transmisión con el primer y segundo componentes (21,22) de control se lleva a cabo en cada caso a través de una segunda interfaz del componente (31) de transmisión de un segundo tipo de interfaz.
2. Método según la reivindicación 1, caracterizado por que el componente (31) de transmisión aplica un primer protocolo de transferencia para la comunicación con el primer y el segundo componentes (11, 12) de aplicación y, para la comunicación con el primer y el segundo componentes (21, 22) de control, aplica un segundo protocolo de transferencia distinto del primer protocolo de transferencia.
3. Método según una de las reivindicaciones precedentes, caracterizado por que se utiliza una primera directriz de seguridad para la comunicación del componente (31) de transmisión con el primer y/o segundo componentes (11, 12) de aplicación y, para la comunicación del componente (31) de transmisión con el primer y/o segundo componentes (21,22) de control, se utiliza una segunda directriz de seguridad.
4. Método según una de las reivindicaciones precedentes, caracterizado por que el primer componente (21) de control es un componente (21, 21') de autenticación y el segundo componente (22) de control, un componente de autorización.
5. Método según una de las reivindicaciones precedentes, caracterizado por que
-- el componente (31) de transmisión consulte la primera y/o segunda información de respuesta de control al componente (21) de autenticación cuando la primera y/o segunda información de petición de control presente una información de petición de autenticación, donde la primera y/o segunda información de respuesta de control consultada presenta una información de autenticación y/o
-- el componente (31) de transmisión consulte la primera y/o segunda información de respuesta de control al componente (22) de autorización cuando la primera y/o segunda información de petición de control presente una información de petición de autorización, donde la primera y/o segunda información de respuesta consultada presenta una información de autorización.
6. Método según una de las reivindicaciones precedentes, caracterizado por que el método comprende además los siguientes pasos de método:
-- recepción de datos de control a través del primer componente (11) de aplicación, donde los datos de control de un componente (41) de cliente se transfieren al primer componente (11) de aplicación,
-- generación de la primera información de petición de control, de manera que la primera información de petición de control presente los datos de control para la consulta de la primera información de respuesta de control.
7. Método según una de las reivindicaciones precedentes, caracterizado por que el primer y el segundo componentes (11, 12) de aplicación son aplicaciones web, donde el componente (41) de cliente es un buscador web, donde los datos de control son consultados por un usuario del buscador web o son determinados automáticamente por el componente de cliente, donde se emplean datos de inicio de sesión o datos de pago específicos del usuario particularmente como datos de control.
8. Método según una de las reivindicaciones precedentes, caracterizado por que el método comprende además los siguientes pasos de método:
-- recepción de una otra primera información de petición de control enviada por el primer componente (11) de aplicación al componente (31) de transmisión,
-- consulta de una otra primera información de respuesta de control al primer componente (21) de control, un otro primer componente (21') de control, el segundo componente (22) de control o un otro segundo componente (22') de control en función de la otra primera información de petición de control recibida,
-- transferencia de la otra primera información de respuesta de control consultada al primer componente (11) de aplicación.
9. Método según una de las reivindicaciones precedentes, caracterizado por que el método comprende además los siguientes pasos de método:
-- recepción, en el componente (31) de transmisión, de una pluralidad de informaciones de petición de control de una pluralidad de componentes (11, 12, 13, 14) de aplicación, donde cada información de petición de control está asignada de manera inequívoca a un componente (11, 12, 13, 14) de aplicación de entre la pluralidad de componentes de aplicación,
-- consulta de una pluralidad de informaciones de respuesta de control a una pluralidad de componentes (21, 21', 22, 22') de control, donde cada información de respuesta de control de entre la pluralidad de informaciones de respuesta de control se consulta exactamente a un componente de control de entre la pluralidad de componentes (21,21', 22, 22') de control en función de exactamente una información de petición de control de entre la pluralidad de informaciones de petición de control,
-- transferencia de la pluralidad de informaciones de respuesta de control consultadas al componente de aplicación inequívocamente asignado de entre la pluralidad de componentes (11, 12, 13, 14) de aplicación.
10. Componente (31) de transmisión para la prestación de servicios de control externos en una red, donde el componente (31) de transmisión está configurado para la comunicación con un primer componente (11) de aplicación, un segundo (12) componente de aplicación de un primer componente (21) de control y un segundo componente (22) de control, donde el componente (31) de transmisión está configurado para la recepción de una primera información de petición de control enviada por el primer componente (11) de aplicación al componente (31) de transmisión y para la recepción de una segunda información de petición de control enviada por el segundo componente (12) de aplicación al componente (31) de transmisión, donde el componente (31) de transmisión está configurado para consultar una primera información de respuesta de control al primer o segundo componentes (21, 22) de control en función de la primera información de petición de control recibida, donde el componente (31) de transmisión está configurado para consultar una segunda información de respuesta de control al primer o segundo componentes (21, 22) de control en función de la segunda información de petición de control recibida, donde el componente (31) de transmisión está configurado para transferir la primera información de respuesta de control consultada al primer componente (11) de aplicación y para transferir la segunda información de respuesta de control al segundo componente (11) de aplicación, donde el componente (31) de transmisión presenta para la comunicación con el primer y segundo componentes (11, 12) de aplicación en cada caso una interfaz de un primer tipo de interfaz y, para la comunicación con el primer y segundo componentes (21,22) de control, en cada caso una interfaz de un segundo tipo de interfaz.
11. Componente (31) de transmisión según la reivindicación 10, caracterizado por que el componente (31) de transmisión está configurado de manera que el componente de transmisión determina el componente de control de entre el primer y segundo componentes (21, 22) de control al que se debe consultar la información de respuesta de control en función de la primera y/o segunda información de petición de control recibida.
12. Programa informático con medios de codificación de programa con cuya ayuda se pueden ejecutar todos los pasos de un método según una de las reivindicaciones 1 a 9 cuando el programa informático se ejecuta en al menos un dispositivo programable de una red.
13. Producto de programa informático con un medio legible por ordenador y un programa informático con medios de codificación de programa almacenado en el medio legible por ordenador que son adecuados para ejecutar todos los pasos de un método según una de las reivindicaciones 1 a 9 cuando el programa informático se ejecuta en al menos un dispositivo programable de una red.
ES14154541T 2014-02-10 2014-02-10 Método para la prestación de servicios de control externos en una red Active ES2784137T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP14154541.8A EP2905943B1 (de) 2014-02-10 2014-02-10 Verfahren zur Bereitstellung von externen Kontrolldiensten in einem Netzwerk

Publications (1)

Publication Number Publication Date
ES2784137T3 true ES2784137T3 (es) 2020-09-22

Family

ID=50150552

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14154541T Active ES2784137T3 (es) 2014-02-10 2014-02-10 Método para la prestación de servicios de control externos en una red

Country Status (2)

Country Link
EP (1) EP2905943B1 (es)
ES (1) ES2784137T3 (es)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10313142B2 (en) * 2008-08-29 2019-06-04 Nec Corporation Process for providing network access for a user via a network provider to a service provider
US9906838B2 (en) * 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8504837B2 (en) * 2010-10-15 2013-08-06 Rockwell Automation Technologies, Inc. Security model for industrial devices

Also Published As

Publication number Publication date
EP2905943B1 (de) 2020-01-08
EP2905943A1 (de) 2015-08-12

Similar Documents

Publication Publication Date Title
US11290255B2 (en) Verifying an identity based on multiple distributed data sources using a blockchain to safeguard the identity
US20190281456A1 (en) System and method for using a symbol as instruction for a target system to request identity information and authentication from a mobile identity
US10528927B2 (en) Automatic provisioning of services to network-connected devices
JP7222484B2 (ja) セキュアなインラインフレームを使用したオンライン支払い処理のシステムおよび方法
US9998455B2 (en) Protection of application passwords using a secure proxy
CN104168304B (zh) Vdi环境下的单点登录***及方法
CN110521182B (zh) 用于协议级身份映射的方法和***
CN107533501A (zh) 使用区块链自动认证设备完整性
US8275985B1 (en) Infrastructure to secure federated web services
CN105659520A (zh) 用于保护私有数据的安全代理
WO2019118682A1 (en) Embedded third-party application programming interface to prevent transmission of sensitive data
US20230353546A1 (en) Systems and processes for vaultless tokenization and encryption
US20140181939A1 (en) Cloud computing exchange for identity proofing and validation
US10885520B2 (en) Script deployment through service provider servers
CN103078932A (zh) 一种实现通用单点登录的方法、装置和***
US20160344728A1 (en) System and method for issuing otp application in face-to-face confirmation manner
CA2847003C (en) Using client certificates to communicate trusted information
US11516872B2 (en) Bridge configurations to communicate with various sites
US20170295148A1 (en) Systems and Methods for Virtualization in Distributed Computing Environment Including a Mobile Monitor
US8788427B2 (en) Limiting data exposure in authenticated multi-system transactions
ES2784137T3 (es) Método para la prestación de servicios de control externos en una red
JP5467119B2 (ja) 不正な商取引を防止するためのシステムおよび方法
US20190075094A1 (en) System and method for remote identification during transaction processing
US11606696B2 (en) Security mechanism for wireless authentication devices
WO2023287977A1 (en) System and method for a trusted digital identity platform