ES2276486T3 - Procedimiento para verificar el acceso de un usuario. - Google Patents

Procedimiento para verificar el acceso de un usuario. Download PDF

Info

Publication number
ES2276486T3
ES2276486T3 ES99103951T ES99103951T ES2276486T3 ES 2276486 T3 ES2276486 T3 ES 2276486T3 ES 99103951 T ES99103951 T ES 99103951T ES 99103951 T ES99103951 T ES 99103951T ES 2276486 T3 ES2276486 T3 ES 2276486T3
Authority
ES
Spain
Prior art keywords
security
computer system
user
shared secret
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99103951T
Other languages
English (en)
Inventor
Neil Beesley
Dietmar Gartner
James Holme
Terence Kennedy
Dieter Kessler
Thomas Vogler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Software AG
Original Assignee
Software AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Software AG filed Critical Software AG
Application granted granted Critical
Publication of ES2276486T3 publication Critical patent/ES2276486T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Memory System Of A Hierarchy Structure (AREA)
  • Lock And Its Accessories (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Un conjunto conector para un cable coaxial (10) que tiene un conductor exterior (11) y un conductor interior hueco (12), incluyendo dicho conjunto conector: un conector exterior (30, 51) para enganchar dicho conductor exterior (11) de dicho cable coaxial (10); un conector interior (20) para enganchar dicho conductor interior hueco (12) de dicho cable coaxial (10) para formar un contacto eléctrico con dicho conductor interior (12); y una porción roscada en dicho conector interior (20) para poner dicho conector interior (20) en enganche con dicho conductor interior (12) caracterizado porque dicha porción roscada (80) que tiene una pluralidad de roscas concéntricas intercaladas (81-84).

Description

Procedimiento para verificar el acceso de un usuario.
La presente invención se refiere a un procedimiento para verificar el acceso de un usuario, que utiliza un primer sistema informático con acceso controlado por un primer sistema de seguridad, al software y/o los datos de un segundo sistema informático con acceso controlado por un segundo sistema de seguridad.
En muchos casos, las aplicaciones de software y los datos serán utilizados a través de diferentes plataformas. Cuanto más amplia y heterogénea sea la disponibilidad de aplicaciones, mayor será el número de problemas asociados a la autentificación y a la autorización (es decir, de control del acceso). En una red informática distribuida, el acceso del usuario a un sistema informático es controlado habitualmente por un procedimiento de autentificación y autorización, refiriéndose el término "autentificación" a la identidad del usuario y el término "autorización", a los derechos de acceso reales del usuario. La autentificación generalmente se realiza en el punto de entrada del usuario, comparando la presunta identidad del usuario, que se suele proporcionar junto con la petición de acceso, con la identidad real del usuario determinada a partir de la contraseña individual indicada por el usuario. La autorización del usuario se obtiene una vez que se ha verificado, en una lista de permisos (registrada en el sistema de seguridad del ordenador y, por ejemplo, accesible sólo por los administradores del sistema), que los permisos de acceso supuestos o deseados del usuario son correctos. Este procedimiento de autentificación y autorización cumple diferentes normas, dependiendo del sistema de software utilizado en el ordenador. Entre las soluciones conocidas cabe citar el servicio SAF (Security Access Facility) para IBM® Mainframes (RACF y ACF2), Kerberos para UNIX® y NTLM (NT LAN Manager) para Windows NT®. Por consiguiente, un usuario que utiliza un primer sistema informático, el acceso al cual está controlado por un primer sistema de seguridad, podrá acceder al software o a los datos de un segundo sistema informático, el acceso al cual está controlado por un segundo sistema de seguridad, únicamente tras ser aceptado por el segundo sistema de seguridad, que también realiza un procedimiento de autentificación y autorización. Esto significa que el usuario deberá solicitar el acceso al segundo sistema de seguridad utilizando una contraseña y repetir el procedimiento de verificación de su identidad y sus derechos de acceso, lo cual resulta molesto y lento. No obstante, la comunicación directa entre los diferentes sistemas de seguridad en general no es posible, debido a los diferentes formatos de procesamiento de datos y de toma de decisiones de estos sistemas de seguridad. Pese a ello, existe una necesidad creciente de acceder a información o software remoto de forma rápida y fácil, sin tener que renunciar al necesario control de acceso. En las denominadas soluciones de inicio de sesión único, esta desventaja se evita pasando la contraseña del usuario desde el primer sistema informático hasta el segundo sistema informático. Aunque esta solución es conveniente para el usuario, resulta significativamente problemática por lo que respecta a la seguridad, puesto que la contraseña del usuario se pasa a otros sistemas informáticos sin el control deseable por parte del usuario. Por consiguiente, cuando la seguridad es una cuestión primordial, estas soluciones son generalmente rechazadas por los expertos en la materia.
En la patente US nº 5.872.917, se da a conocer el procedimiento de autentificación del ordenador de un usuario ante un ordenador principal. El ID del usuario se envía desde el ordenador del usuario hasta el ordenador principal. A continuación, el ordenador principal envía una pregunta de seguridad al usuario y el usuario envía una respuesta generada a partir de una contraseña al ordenador principal. El ordenador principal verifica la identidad del usuario, comparando la respuesta del usuario con la propia respuesta generada internamente utilizando la misma función con los mismos valores de entrada.
En la patente US nº 5.586.260, se describe un procedimiento y un aparato para realizar la autentificación de un cliente para un servidor, cuando el cliente y el servidor presentan mecanismos de seguridad diferentes. Con esta finalidad, se dispone de manera permanente una pasarela de autentificación entre el cliente y el servidor, para que de este modo cualquier comunicación entre el cliente y el sistema informático servidor tenga lugar a través de esta pasarela.
Por consiguiente, el problema subyacente de la presente invención es proporcionar un procedimiento que permita a un usuario que utiliza un primer sistema informático, el acceso al cual le ha sido concedido por un primer sistema de seguridad, acceder al software o los datos remotos de un segundo sistema informático, cuyo acceso es controlado por un segundo sistema de seguridad que es diferente del primer sistema de seguridad, en una forma y una medida que impide la comunicación directa entre el primer y el segundo sistema informático o los correspondientes sistemas de seguridad. Estas diferencias pueden estar causadas por las diferentes configuraciones cliente/servidor y arquitecturas del procesador central, así como por las redes heterogéneas que reflejan esta estructura diferente.
Este problema se resuelve de la forma indicada en la reivindicación 1.
Se describen otras formas de realización de la presente invención en las reivindicaciones subordinadas adjuntas.
Antes de comenzar cualquier comunicación a través de los diferentes sistemas de seguridad, el secreto compartido se registra en el primer y el segundo sistema de seguridad, es decir, se comparte entre ambos sistemas de seguridad. El secreto compartido puede ser cualquier dato secreto, preferentemente un contenido específico para el usuario. Todavía más preferentemente, el secreto compartido es el valor resumen de la contraseña del usuario, es decir el resultado de someter la contraseña a una función resumen, es decir, a una función de un solo sentido que es comparativamente fácil de realizar, pero que es prácticamente imposible de invertir, de tal forma que no se puede determinar la contraseña a partir del valor resumen aunque se conozca la función resumen.
La segunda respuesta se calcula en la unidad de control de acceso del segundo sistema informático, que es controlado por el segundo sistema de seguridad, y que puede funcionar, por ejemplo, con el sistema operativo OS/390, mientras que el primer sistema informático y el primer sistema de seguridad pueden funcionar, por ejemplo, con el sistema operativo Windows NT. Para calcular la segunda respuesta, es necesario que la unidad de control de acceso sea capaz de aplicar las reglas del primer sistema de seguridad para calcular la respuesta a una pregunta de seguridad. Esta unidad de control de acceso es, por ejemplo, un sistema de seguridad DCOM del solicitante u otro fabricante, que aplica las reglas del primer sistema de seguridad que funciona con Windows NT, pero se ejecuta en el entorno OS/390 del segundo sistema informático y el segundo sistema de seguridad. Para calcular la segunda respuesta en la unidad de control de acceso del segundo sistema informático, se necesita conocer el secreto compartido almacenado en el segundo sistema de seguridad. Puesto que la comunicación directa de la unidad de control de acceso con el segundo sistema de seguridad no es posible debido a las diferentes estructuras de funcionamiento, el secreto compartido es recuperado por un agente de confianza. El agente de confianza tiene la confianza del segundo sistema de seguridad y puede comunicarse tanto con la unidad de control de acceso como con el segundo sistema de seguridad.
El agente de confianza está constituido por dos mitades: una para la comunicación con el segundo sistema informático y la otra para la comunicación con el segundo sistema de seguridad. Esta última mitad puede utilizar llamadas de interfaz publicada estándar y no necesita contener ningún secreto, con lo cual su código fuente puede ser examinado por el administrador del sistema.
El segundo sistema informático compara la segunda respuesta con la primera respuesta dada por el primer sistema informático. Si ambas respuestas son idénticas, el usuario es identificado. En caso contrario, se deniega al usuario el acceso al segundo sistema informático. Una vez efectuada una identificación correcta, podrán iniciarse las verificaciones de autorización. Por lo tanto, el usuario podrá finalmente ser autorizado para acceder al segundo sistema informático y a la información de éste, que puede consistir en aplicaciones de software, bases de datos o cualquier otro tipo de información.
El primer sistema informático puede ser un dispositivo autónomo que está temporalmente conectado a una red de igual modo que un elemento permanente de una red informática. Frecuentemente, el primer sistema informático comprende un cliente. El segundo sistema informático puede ser o comprender cualquier dispositivo informático, incluido un ordenador personal y un procesador central, aunque no limitado a éstos. No obstante, el conjunto puede utilizarse a la inversa, es decir, el primer sistema informático puede comprender un procesador central o servidor y el segundo sistema informático puede comprender un ordenador autónomo o similar. Los dos sistemas informáticos están preferentemente enlazados mediante una WAN o una LAN, pero pueden estar enlazados temporalmente o permanentemente mediante cualquier otra conexión adecuada. Es preferible que la comunicación entre ambos se realice por medio de canales seguros. Los canales seguros son líneas de conexión para la transmisión de datos que no permiten ni el registro ni el reenvío de los datos transmitidos para suplantar, de ese modo, la identidad de uno de los participantes en la comunicación. No es necesario impedir que el canal seguro pueda ser leído desde el exterior. Puede utilizarse, por ejemplo, el protocolo SSL (Secure Socket Layer) para proporcionar canales seguros.
El primer y el segundo sistemas de seguridad son sistemas que controlan el acceso de los usuarios al primer y al segundo sistema informático, respectivamente. Estos sistemas de seguridad pueden estar integrados en el correspondiente sistema informático o pueden ser dispositivos externos y, frecuentemente, ocupan una posición central dentro de la red y son controlados por los administradores del sistema de la red informática.
Preferentemente, la autentificación del usuario se realiza sólo en el primer sistema de seguridad, es decir, en el punto de entrada del usuario, mientras que la autorización tiene lugar en el segundo sistema de seguridad, es decir, en el punto de ejecución de los servicios distribuidos. De esta forma, no es necesario realizar diversas conexiones con los diferentes sistemas de seguridad. El resultado de la autentificación se transmite para que pueda ser utilizado en el procedimiento de autorización del segundo sistema informático, sin necesidad de pasar la contraseña del usuario en el momento de la ejecución del acceso remoto al segundo sistema informático. No se necesita ninguna huella, es decir, no se necesita ningún software particular, en el primer sistema informático para realizar el procedimiento de autentificación.
La autorización se realiza en el segundo sistema de seguridad, en el momento de la ejecución de la aplicación de software deseada o de la utilización de los datos. Las reglas de autorización se almacenan en el segundo sistema de seguridad. Por consiguiente, los sistemas de seguridad existentes permanecen activos, pudiéndose de ese modo seguir disfrutando de los beneficios de éstos, tales como la estrecha integración con el respectivo sistema operativo.
Estas operaciones se realizan sin la participación del usuario y sin los problemas causados por las diferencias de los dos sistemas de seguridad o de los sistemas operativos de los dos sistemas informáticos. El agente de confianza permite, con ayuda de un secreto compartido entre los dos sistemas de seguridad, la comunicación indirecta de los dos sistemas de seguridad, que debido a sus diferencias no pueden comunicarse directamente entre sí. El agente de confianza está estructurado internamente de una forma que permite su comunicación con el segundo sistema de seguridad del sistema informático remoto, particularmente un servidor, así como con el primer sistema informático que es dirigido por el primer sistema de seguridad. Aunque no es necesario, esta comunicación del agente de confianza puede ser directa.
El secreto compartido puede establecerse en los dos sistemas de seguridad mediante las etapas siguientes:
a)
calcular el secreto compartido a partir de la contraseña del usuario, sometiendo dicha contraseña a una función secreta. Esta función secreta puede ser cualquier función adecuada, es decir, cualquier función que sea suficientemente segura y que no sea demasiado fácil de invertir (por ejemplo, una función resumen).
b)
registrar dicho secreto compartido en el primer sistema de seguridad, de tal forma que pueda servir como referencia para verificar la autorización del usuario y, si así se desea, la identidad.
c)
calcular un valor encriptado del secreto compartido, sometiendo dicho secreto compartido a una función de encriptación. También aquí, es posible utilizar cualquier código de encriptación conveniente y suficientemente seguro.
d)
transmitir dicho valor encriptado del secreto compartido al agente de confianza y al segundo sistema de seguridad. La encriptación se realiza con la finalidad de proteger la transmisión del secreto compartido entre el primer y el segundo ordenador. Si por cualquier motivo el nivel de seguridad alcanzado mediante la encriptación no se requiere para esta transmisión, entonces la encriptación y la posterior desencriptación del secreto compartido pueden omitirse.
e)
recuperar el secreto compartido en el segundo sistema de seguridad, desencriptando el valor secreto compartido encriptado.
f)
registrar el secreto compartido en el segundo sistema de seguridad. De esta forma, el segundo sistema informático dispone también, por medio del agente de confianza, de la referencia necesaria para el procedimiento de autentificación.
El procedimiento de inicialización puede realizarse sólo una vez cuando el usuario contrata ciertos servicios o posibilidades de acceso. No obstante, por motivos de seguridad, este procedimiento puede realizarse al principio de cada sesión o cada cierto intervalo de tiempo durante la ejecución de las sesiones.
Se proporciona un agente de confianza para permitir la verificación del acceso de un usuario, que utiliza un primer sistema informático controlado por un primer sistema de seguridad, al software o los datos de un segundo sistema informático controlado por un segundo sistema de seguridad. Este agente de confianza comprende por lo menos las funciones especificadas en la reivindicación 1, que se realizan en software.
Preferentemente, el primer sistema informático funciona en este contexto con Windows NT y el segundo sistema informático, con OS/390. La unidad de control de acceso del segundo sistema informático aplica las reglas del protocolo de seguridad de Windows NT, que son aplicadas también, en este ejemplo, por el primer sistema de seguridad.
Todos los cálculos, transmisiones, autenticaciones, recepciones, conversiones, encriptaciones, registros, etc. se realizan preferentemente de forma automática, y en uno o varios ordenadores o sistemas informáticos digitales. La realización preferida del agente de confianza también se halla en un ordenador digital.
A continuación, se describirá la presente invención a título de ejemplo, por medio de los dibujos adjuntos, en los que:
la Figura 1 representa un modelo de seguridad DCOM para Windows NT de técnica anterior,
la Figura 2 representa un modelo de seguridad DCOM para IBM OS/390 de técnica anterior,
la Figura 3 representa la instalación de un secreto compartido según la presente invención,
la Figura 4 representa un modelo de control de acceso según la presente invención y
la Figura 5 representa un procedimiento opcional de sincronización de contraseñas
En la Figura 1, se representa el principio del concepto de seguridad del modelo de objetos de componentes distribuidos (DCOM) implementado por la empresa Microsoft en su sistema Windows NT. Cuando un usuario, que trabaja con un primer sistema informático 1 (cliente), desea acceder a información, tal como información de software o de base de datos, de un segundo sistema informático 2 (servidor), éste debe someterse a un procedimiento de autentificación y autorización que se realiza en Windows NT, el sistema operativo para el cliente 1 y el servidor 2. En una primera etapa, representada mediante la flecha 5, el cliente 1 envía un ID de usuario y un nombre y un nodo de dominio al servidor 2, que responde con una pregunta de seguridad, representada mediante la flecha 6. Esta pregunta de seguridad se pasa, junto con el ID del usuario solicitante, al controlador de dominio principal (PDC) 3, que en este ejemplo está instalado en la ubicación de control remoto 4. El cliente 1 realiza esta transferencia hasta el PDC3, representada mediante la flecha 8, independientemente de la transferencia que realiza el servidor 2 hasta el PDC 3, representada mediante la flecha 11. A continuación, el PDC 3 calcula la respuesta al ID del usuario y la pregunta de seguridad utilizando el valor resumen de la contraseña individual del usuario, es decir, el valor recibido tras someter la contraseña individual del usuario a una función resumen. Como se ha indicado anteriormente, se considera que una función resumen es una función de un solo sentido, es decir, que puede aplicarse en una dirección sin problemas, pero que es prácticamente imposible de invertir. A continuación, la respuesta se transmite al cliente 1 y al servidor 2, tal como se representa mediante las flechas 9 y 10, respectivamente. Junto con la respuesta, se transmite una clave de sesión, que es específica para cada sesión, con la finalidad de obstaculizar el desciframiento del sistema. Por último, el cliente 1 transfiere la respuesta al servidor 2, demostrando de ese modo su identidad y autorización.
En la Figura 2, se representa la implementación del concepto de seguridad DCOM por el solicitante para un entorno de trabajo IBM OS/390. La estructura básica de este concepto es similar al concepto de Microsoft descrito anteriormente. No obstante, las funciones del PDC son sustituidas por la implementación del DCOM. En este caso, el usuario que utiliza un cliente 21 entra en contacto con un servidor 22, ambos de los cuales funcionan con OS/390. Mediante la comunicación 25, el cliente 21 envía su ID de usuario, que puede representar una persona o un trabajo, y solicita acceso al servidor 22. Mediante la comunicación 26, el servidor 22 responde a la petición de acceso con una pregunta de seguridad. Tanto el cliente 21 como el servidor 22 pasan el ID de usuario y la pregunta de seguridad a la unidad DCOM 23, mediante las comunicaciones ilustradas por las flechas 28 y 31, respectivamente. La unidad DCOM 23 se comunica, por medio del servicio SAF (Security Authorisation Facility) 32, con el sistema de seguridad 24 (por ejemplo, RACF, ACF/2 o TopSecret). El SAF 32 es una interfaz de programación de aplicaciones (API) que dirige condicionalmente el control hacia el sistema de seguridad 24 cuando recibe una petición de un gestor de recursos. El sistema de seguridad 24 proporciona información de contraseñas a la unidad DCOM 23 para que ésta pueda calcular la respuesta al ID de usuario y la pregunta de seguridad. Esta respuesta, junto con una clave de sesión, se envía de nuevo al cliente 21 y al servidor 22 mediante las comunicaciones representadas por las flechas 29 y 30, respectivamente. Por último, el cliente pasa la respuesta al servidor 22 mediante la comunicación 27, y el servidor 22 permite o deniega el acceso del cliente 21 de conformidad con dicha respuesta.
Los sistemas de seguridad descritos en las Figuras 1 y 2 no son compatibles en la medida en que no pueden comunicarse directamente entre sí, debido a sus estructuras esencialmente diferentes. Por ejemplo, un servidor objeto DCOM que se ejecuta en OS/390 no puede determinar ni la respuesta correcta ni la clave de sesión para un cliente remoto que funciona con Windows NT. Estos sistemas no pueden comunicarse con un PDC remoto ni de forma directa ni indirecta, puesto que no existe ninguna API adecuada. Pero aunque se pudiera implementar un mecanismo que permitiera el acceso al PDC desde sistemas no Windows, sería indeseable para la mayoría de clientes, puesto que resulta muy poco práctico durante la ejecución de aplicaciones esenciales por cuestiones de rendimiento, tales como la necesidad de los servicios de procesador central de consultar continuamente con el PDC Windows remoto antes de permitir el acceso a objetos DCOM que se ejecutan en el mismo OS/390. No obstante, el problema más fundamental es que los dos sistemas informáticos, el cliente y el servidor, se ejecutan en sistemas de seguridad diferentes, de manera que la información de seguridad no se guarda en el mismo sistema. Para dar a un sistema de seguridad acceso a la información secreta almacenada en el otro sistema de seguridad, será necesario transferir la información secreta entre los dos sistemas de seguridad, lo cual afecta significativamente al concepto global de seguridad. Con el procedimiento y el sistema según la presente invención, es posible evitar este problema.
En la Figura 3, se representa la etapa de inicialización del procedimiento inventivo, en la que se instala un secreto compartido entre los dos sistemas de seguridad diferentes (por ejemplo, los sistemas de seguridad de Windows NT y de OS/390). En este caso, el cliente es un primer sistema informático 40, tal como una estación de trabajo NT. Si el usuario introduce o cambia una contraseña para el acceso al primer sistema informático (el cliente 40), la contraseña o el cambio de contraseña, respectivamente, se comunicarán al primer sistema de seguridad 41 que es responsable del primer sistema informático 40. El sistema de seguridad 41 puede, por ejemplo, ser un PDC de un sistema Windows NT, como el descrito anteriormente, y está conectado a una biblioteca de enlace dinámico (DLL) de cambios de contraseñas 42. La propia DLL 42 está conectada a un primer centinela 43. En el contexto de la presente invención, un centinela es un procedimiento que permanece permanentemente a la escucha de comunicaciones de entrada y que está dispuesto en una puerta dedicada. En el caso de un cambio de contraseña, la contraseña cambiada o la diferencia entre la antigua y la nueva serán comunicadas por el primer sistema de seguridad 41 a la DLL 42, que la aceptará y la pasará al primer centinela 43. El centinela 43 calcula un valor seguro para la contraseña o el cambio de contraseña, sometiéndolas a una función (por ejemplo, una función resumen) y, a continuación, transmite el valor seguro junto con el ID del usuario al segundo centinela 44 situado en el segundo sistema informático 45 (por ejemplo, un servidor que se ejecuta en OS/390). El centinela 44 pasa el valor seguro y el ID del usuario a un agente de confianza 46 que, a continuación, actualiza el segundo sistema de seguridad 47 (por ejemplo, el sistema RACF para OS/390). Con ello, tanto el primer sistema de seguridad 41 como el segundo sistema de seguridad 47 conocen el valor seguro, que representa la nueva contraseña o el cambio de contraseña y que, por consiguiente, se considera un secreto compartido. Debe tenerse en cuenta que no es necesario que el agente de confianza 46 esté instalado dentro del segundo sistema informático 45, sino que puede tener una ubicación remota, por ejemplo, cualquier ubicación administrativamente ventajosa.
En la Figura 3, se muestra cómo puede aumentarse la seguridad de transmisión del secreto compartido desde el primer centinela 43 hasta el segundo centinela 44 si se encripta el secreto compartido, es decir, el valor resumen de la contraseña antes de ser enviado. La desencriptación podrá tener lugar en algún punto del segundo sistema informático, preferentemente en el segundo sistema de seguridad 47, que es el destinatario final del secreto compartido en el segundo sistema informático 45.
En la Figura 4, se representa una forma de realización según la presente invención, en la que un cliente 50, por ejemplo, una estación de trabajo NT 50 funciona bajo control de un primer sistema de seguridad 51, por ejemplo, un PDC 51. El cliente 50 envía una petición 54, que consta por lo menos de un ID de usuario y si es necesario de un nombre y un nodo de dominio también, al segundo sistema informático 64, que es preferentemente un servidor. La unidad de control de acceso 57 (por ejemplo, un sistema de seguridad DCOM para OS/390 como el descrito con referencia a la Figura 2 anterior) del segundo sistema informático 64, que en este ejemplo se ejecuta en OS/390, responde con una pregunta de seguridad 55. El primer sistema de seguridad 50 pasa entonces el ID del usuario y la pregunta de seguridad al primer sistema de seguridad 51 mediante la comunicación 52. El primer sistema de seguridad 51 responde presentando una primera respuesta y, habitualmente, una clave de sesión, mediante la comunicación 53. La primera respuesta se calcula por medio de un secreto compartido registrado en el primer sistema de seguridad 51. La unidad de control de acceso 57 pasa el ID del usuario al agente de confianza 60, mediante la comunicación 58. A continuación, el agente de confianza 60 transfiere el ID del usuario al segundo sistema de seguridad 63, por ejemplo, el sistema RACF para OS/390. Este segundo sistema de seguridad 63 devuelve el secreto compartido al agente de confianza 60 que lo pasa a la unidad de control de acceso 57, permitiendo de ese modo que ésta calcule una segunda respuesta y, si es necesario, la clave de la sesión. La unidad de control de acceso 57 es capaz de aplicar las mismas reglas que el primer sistema de seguridad 51, para calcular una respuesta a una pregunta de seguridad. Por último, mediante la comunicación 56, el primer sistema informático 50 pasa su primera respuesta a la unidad de control de acceso 57 del segundo sistema informático 64, que la compara con la segunda respuesta obtenida a partir del agente de confianza 60. Si la primera y la segunda respuesta son idénticas, se concede el acceso al usuario o al cliente; en caso contrario, el acceso se deniega.
En el ejemplo del segundo sistema informático que se ejecuta en OS/390, el agente de confianza 60 debe obtener el control en el estado APF, lo cual significa que se ejecuta como un programa autorizado. El estado APF indica que se ha cargado un programa de una biblioteca de programas definida como una biblioteca autorizada, y que el programa ha sido sometido a linkedición con AC = 1. En este estado, es posible manipular los bloques de control MVS protegidos, de unas formas que permiten evitar los controles de seguridad normales. El agente de confianza puede, por ejemplo, pasar llamadas al sistema de seguridad 63 en representación de otros usuarios y puede acceder a los datos de los usuarios. Una de las tareas del agente de confianza 60 es, como se ha descrito, recibir nuevas contraseñas sometidas a la función resumen y almacenarlas en el sistema de seguridad 63. Cuando se recibe un nuevo valor resumen de contraseña encriptado para un ID de usuario particular, el perfil de seguridad de dicho usuario se actualiza con el nuevo valor y el campo de estado se cambia como corresponda. Entonces, el sistema de seguridad 63 poseerá toda la información necesaria para permitir el acceso a este usuario en OS/390. La otra tarea del agente de confianza 60 es facilitar la autentificación, recuperando el valor resumen de la contraseña encriptado del sistema de seguridad 63, como se ha descrito anteriormente.
En el ejemplo descrito en la Figura 4, el agente de confianza 60 puede estar estrechamente "vinculado" con la unidad de control de acceso 57 por medio de un canal de comunicación dedicado, según el principio siguiente: en el momento de la instalación, el administrador del sistema indica que el agente de confianza, cuando se ejecute, se iniciará en un procedimiento con el estado APF. Siempre que se inicia la unidad de control de acceso 57 en OS/390, se abre un canal de comunicación dedicado y se inicia el procedimiento del agente de confianza. Esto garantiza que sólo la unidad de control de acceso 57 pueda iniciar el agente de confianza y comunicarse con el mismo. En el segundo sistema de seguridad 63, el agente de confianza 60 utiliza llamadas de comunicación estándar, por ejemplo, llamadas de la API SAF.
El procedimiento inventivo descrito en conexión con la Figura 4 proporciona interoperabilidad de plataformas entre sistemas de seguridad diferentes, sin transferencia de ninguna contraseña de usuario durante el funcionamiento normal (considerado siempre el punto débil de cualquier sistema de seguridad distribuido). Este procedimiento es no invasivo, es decir, no afecta ni al usuario ni a los sistemas de seguridad. Por lo tanto, si el usuario decide acceder directamente al segundo sistema informático en lugar de hacerlo remotamente a través del primer sistema informático, su perfil de seguridad SAF no se verá afectado. Los administradores de seguridad no necesitan modificar sus entornos de seguridad de ninguna forma y pueden continuar utilizando las reglas de seguridad existentes. La solución inventiva puede utilizar las API (interfaces de programación de aplicaciones) estándar de los sistemas de seguridad existentes. Además, es posible ampliar con facilidad el procedimiento inventivo para que sea compatible con los nuevos sistemas de seguridad.
Una característica opcional del procedimiento inventivo, que sin embargo puede debilitar la seguridad del sistema, es la capacidad de sincronizar automáticamente las contraseñas entre los sistemas y las plataformas. En la Figura 5, se representa un ejemplo de forma de realización para esta característica. En esta figura, se representa el concepto de sincronización de contraseñas entre dos sistemas de seguridad diferentes. Habitualmente, los diferentes sistemas de seguridad utilizan diferentes contraseñas para verificar el acceso a su sistema. Si se cambia la contraseña de un usuario para el acceso a un primer sistema informático 70 que funciona bajo control de un primer sistema de seguridad, y este cambio se comunica a un segundo sistema informático 72 que funciona bajo control de un segundo sistema de seguridad diferente 75, para sincronizar las contraseñas de los dos sistemas de seguridad, el cliente 70 envía el ID de usuario, la antigua y la nueva contraseña y el secreto compartido, es decir, el valor resumen obtenido a partir de la nueva contraseña, todo de forma encriptada, al agente de confianza 73. El agente de confianza 73 se comunica con el segundo sistema informático 72 y puede formar parte (aunque no necesariamente), como se muestra aquí, del segundo sistema informático 72. El agente de confianza 73 desencripta la información encriptada transmitida y pasa la nueva contraseña y el secreto compartido, calculados a partir de la nueva contraseña, al segundo sistema de seguridad 75. El resultado de este procedimiento es que el segundo sistema de seguridad dispone de toda la información acerca de las contraseñas del primer sistema de seguridad para el usuario en cuestión. Con dicha información, la comunicación entre los sistemas de seguridad es mucho más fluida, puesto que se evita cualquier confusión derivada de la utilización de contraseñas diferentes.
Por consiguiente, la presente invención proporciona un procedimiento y una herramienta para facilitar el acceso controlado de un usuario de un primer sistema a uno o varios segundos sistemas remotos, siendo controlados los sistemas por diferentes sistemas de seguridad.

Claims (12)

1. Procedimiento que permite verificar el acceso de un usuario, que utiliza un primer sistema informático (50) controlado por un primer sistema de seguridad (51), al software y/o los datos de un segundo sistema informático (64) controlado por un segundo sistema de seguridad (63), en el que el segundo sistema informático comprende una unidad de control de acceso (57) que, debido a las diferentes estructuras de funcionamiento, no es capaz de comunicarse directamente con el segundo sistema de seguridad, comprendiendo el procedimiento las etapas siguientes:
a)
proporcionar un agente de confianza (60), que es un programa que, por un lado, se comunica a través de un canal de comunicación dedicado con dicha unidad de control de acceso (57) del segundo sistema informático (64) que sólo puede ser iniciado por la unidad de control de acceso (57) y, por el otro, se comunica con el segundo sistema de seguridad (63), como un programa autorizado;
b)
recibir por el agente de confianza (60) un ID de usuario desde la unidad de control de acceso (57) de dicho segundo sistema informático (64);
c)
transmitir dicho ID de usuario desde dicho agente de confianza (60) hasta dicho segundo sistema de seguridad (63);
d)
recuperar un secreto compartido registrado en dicho primer sistema de seguridad (51); y
e)
devolver un secreto compartido registrado en dicho segundo sistema de seguridad (63) al agente de confianza (60); y
f)
transmitir dicho secreto compartido desde dicho agente de confianza (60) hasta la unidad de control de acceso (57) de dicho segundo sistema informático (64), para comparar las respuestas en dicha unidad de control de acceso (57), siendo calculadas las respuestas mediante el respectivo secreto compartido de dicho primer y segundo sistemas de seguridad.
2. Procedimiento según la reivindicación 1, caracterizado porque el primer sistema informático (50) funciona con Windows NT® y el segundo sistema informático (64) funciona con OS/390®.
3. Procedimiento según la reivindicación 1 ó 2, que comprende además las etapas siguientes:
g)
calcular una primera respuesta utilizando dicho secreto compartido, en dicho primer sistema de seguridad (51);
h)
calcular una segunda respuesta a dicha pregunta de seguridad utilizando dicho secreto compartido, en la unidad de control de acceso (57) de dicho segundo sistema informático (64), siendo dicha unidad de control de acceso (57) capaz de aplicar las reglas del primer sistema de seguridad (51) para calcular una respuesta a dicha pregunta de seguridad;
i)
transmitir dicha primera respuesta desde dicho primer sistema de seguridad (51) hasta dicho primer sistema informático (50); y
j)
transmitir dicha primera respuesta desde dicho primer sistema informático (50) hasta dicho segundo sistema informático (64), y comparar dicha primera respuesta y dicha segunda respuesta en el segundo sistema informático (64), para completar la verificación de acceso de dicho usuario.
4. Procedimiento según la reivindicación 3, caracterizado porque el secreto compartido es específico para dicho usuario.
5. Procedimiento según la reivindicación 3, caracterizado porque el secreto compartido es un valor resumen de la contraseña de dicho usuario.
6. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque el segundo sistema informático (64) comprende un sistema que emite dicha pregunta de seguridad y calcula dicha respuesta según las reglas del primer sistema de seguridad (51).
7. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque el secreto compartido se establece mediante las etapas siguientes:
-
calcular el secreto compartido de la contraseña de dicho usuario, sometiendo dicha contraseña a una función secreta,
-
registrar dicho secreto compartido en dicho primer sistema de seguridad (51) que controla dicho primer sistema informático (50),
-
calcular el secreto compartido encriptado de dicho secreto compartido, sometiendo dicho secreto compartido a una función de encriptación,
-
transmitir dicho secreto compartido encriptado a dicho agente de confianza (60) y también a dicho segundo sistema de seguridad (63),
-
recuperar dicho secreto compartido en dicho segundo sistema de seguridad (63), desencriptando dicho secreto compartido encriptado, y
-
registrar dicho secreto compartido en dicho segundo sistema de seguridad (63) que controla dicho segundo sistema informático (64).
8. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque el segundo sistema informático (64) comprende un servidor.
9. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque el primer sistema informático (50) comprende un cliente.
10. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque el primer sistema informático (50) y el segundo sistema informático (64) están enlazados por una WAN o una LAN.
11. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque la comunicación entre el primer sistema informático (50) y el segundo sistema informático (64) se realiza por medio de canales seguros.
12. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado porque la autentificación de dicho usuario se realiza en el primer sistema informático (50) y la autorización de dicho usuario se realiza en el segundo sistema informático (64).
ES99103951T 1999-03-08 1999-03-08 Procedimiento para verificar el acceso de un usuario. Expired - Lifetime ES2276486T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP99103951A EP1035462B1 (en) 1999-03-08 1999-03-08 Method for checking user access

Publications (1)

Publication Number Publication Date
ES2276486T3 true ES2276486T3 (es) 2007-06-16

Family

ID=8237671

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99103951T Expired - Lifetime ES2276486T3 (es) 1999-03-08 1999-03-08 Procedimiento para verificar el acceso de un usuario.

Country Status (5)

Country Link
US (1) US6983377B1 (es)
EP (1) EP1035462B1 (es)
AT (1) ATE347131T1 (es)
DE (1) DE69934207T2 (es)
ES (1) ES2276486T3 (es)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6205249B1 (en) * 1998-04-02 2001-03-20 Scott A. Moskowitz Multiple transform utilization and applications for secure digital watermarking
US7877492B2 (en) * 1999-10-12 2011-01-25 Webmd Corporation System and method for delegating a user authentication process for a networked application to an authentication agent
US7444368B1 (en) * 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
US7464162B2 (en) * 2000-07-10 2008-12-09 Oracle International Corporation Systems and methods for testing whether access to a resource is authorized based on access information
US9038170B2 (en) * 2000-07-10 2015-05-19 Oracle International Corporation Logging access system events
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
US7237257B1 (en) * 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
CN1313950C (zh) * 2001-11-29 2007-05-02 上海复旦光华信息科技股份有限公司 域用户集中授权管理系统及其方法
US7178164B1 (en) * 2002-02-01 2007-02-13 Consul Risk Management System and method for ensuring proper implementation of computer security policies
JP3678417B2 (ja) * 2002-04-26 2005-08-03 正幸 糸井 個人認証方法及びシステム
US7596692B2 (en) * 2002-06-05 2009-09-29 Microsoft Corporation Cryptographic audit
US7725730B2 (en) * 2002-08-09 2010-05-25 Emc Corporation Cryptographic methods and apparatus for secure authentication
EP1558983A4 (en) 2002-10-25 2010-07-14 Cambridge Interactive Dev Corp PASSWORD ENCRYPTION KEY
US7249260B2 (en) * 2003-06-12 2007-07-24 Sun Microsystems, Inc. Method and apparatus for implementing a pluggable password obscuring mechanism
US7251732B2 (en) * 2003-06-18 2007-07-31 Microsoft Corporation Password synchronization in a sign-on management system
US7519815B2 (en) * 2003-10-29 2009-04-14 Microsoft Corporation Challenge-based authentication without requiring knowledge of secret authentication data
US7657745B2 (en) 2003-10-29 2010-02-02 Microsoft Corporation Secure electronic transfer without requiring knowledge of secret data
CN1783780B (zh) * 2004-12-04 2010-09-08 华为技术有限公司 域认证和网络权限认证的实现方法及设备
CN100401223C (zh) * 2005-04-28 2008-07-09 中国科学院软件研究所 一种安全操作系统中实现最小特权控制的策略和方法
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US8230487B2 (en) 2005-12-21 2012-07-24 International Business Machines Corporation Method and system for controlling access to a secondary system
WO2011017099A2 (en) * 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
US8484708B2 (en) * 2009-12-11 2013-07-09 Canon Kabushiki Kaisha Delegating authentication using a challenge/response protocol
US10210162B1 (en) 2010-03-29 2019-02-19 Carbonite, Inc. Log file management
WO2012037172A1 (en) * 2010-09-13 2012-03-22 Computer Associates Think, Inc. Methods, apparatus and systems for securing user-associated passwords used for identity authentication
US10979226B1 (en) * 2011-10-12 2021-04-13 Cybrsecurity Corporation Soft-token authentication system with token blocking after entering the wrong PIN
US9715325B1 (en) 2012-06-21 2017-07-25 Open Text Corporation Activity stream based interaction
US9282093B2 (en) * 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
US9133012B2 (en) 2013-11-18 2015-09-15 Wayne Fueling Systems Sweden Ab Systems and methods for fuel dispenser security
CN108259497B (zh) * 2013-11-18 2022-03-04 韦恩加油系统瑞典公司 用于燃料分配器安全的系统和方法
US9139414B2 (en) 2013-11-18 2015-09-22 Wayne Fueling Systems Sweden Ab Systems and methods for fuel dispenser security
US10686759B2 (en) 2014-06-22 2020-06-16 Webroot, Inc. Network threat prediction and blocking
US9477833B2 (en) * 2014-09-22 2016-10-25 Symantec Corporation Systems and methods for updating possession factor credentials
US10395133B1 (en) 2015-05-08 2019-08-27 Open Text Corporation Image box filtering for optical character recognition
US10599844B2 (en) 2015-05-12 2020-03-24 Webroot, Inc. Automatic threat detection of executable files based on static data analysis
US10289686B1 (en) 2015-06-30 2019-05-14 Open Text Corporation Method and system for using dynamic content types
US10230701B2 (en) * 2015-10-30 2019-03-12 Intuit Inc. Selective encryption of profile fields for multiple consumers
US10409780B1 (en) 2015-10-30 2019-09-10 Intuit, Inc. Making a copy of a profile store while processing live updates
US11281779B2 (en) * 2018-01-31 2022-03-22 Cable Television Laboratories, Inc. Systems and methods for privacy management using a digital ledger
US10728034B2 (en) 2018-02-23 2020-07-28 Webroot Inc. Security privilege escalation exploit detection and mitigation
US11159553B2 (en) 2018-04-13 2021-10-26 Webroot Inc. Determining exploit prevention using machine learning
US11314863B2 (en) 2019-03-27 2022-04-26 Webroot, Inc. Behavioral threat detection definition and compilation
US12309152B2 (en) * 2023-08-15 2025-05-20 Citibank, N.A. Access control for requests to services

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5349643A (en) * 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5872917A (en) * 1995-06-07 1999-02-16 America Online, Inc. Authentication using random challenges
US5903732A (en) * 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on

Also Published As

Publication number Publication date
ATE347131T1 (de) 2006-12-15
EP1035462A1 (en) 2000-09-13
DE69934207D1 (de) 2007-01-11
EP1035462B1 (en) 2006-11-29
DE69934207T2 (de) 2007-10-25
US6983377B1 (en) 2006-01-03

Similar Documents

Publication Publication Date Title
ES2276486T3 (es) Procedimiento para verificar el acceso de un usuario.
US6449651B1 (en) System and method for providing temporary remote access to a computer
CA2131510C (en) Smartcard adapted for a plurality of service providers and for remote installation of same
ES2292737T3 (es) Metodo y sistema para asegurar una red informatica y dispositivo de identificacion personal usado en ella para controlar el acceso a los componentes de la red.
US5237614A (en) Integrated network security system
US7228430B2 (en) Security system for preventing a personal computer from being used by an unauthorized people
US8479011B2 (en) Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device
US10659451B2 (en) System and method for injecting a tag into a computing resource
ES2318645T3 (es) Procedimientos y sistema para almacenar y recuperar informacion de mapeo de identidad.
CN112425114A (zh) 受公钥-私钥对保护的密码管理器
US10289826B2 (en) Using hidden secrets and token devices to control access to secure systems
JP2005516268A (ja) コンピュータシステムを動作させる方法
KR20000005527A (ko) 주기적인 챌린지/응답 프로토콜을 근거로 한 인증시스템
BRPI0417326B1 (pt) Sistema de autenticação para aplicativos de computadores em rede
BRPI0520139B1 (pt) método e aparelhos para acesso lan sem fio (wlan) anônimo seguro
EP0661675A3 (en) Access control apparatus and method
JP2017507418A (ja) 物理的にセキュアなラックへのアクセス方法及びコンピュータネットワークインフラストラクチャ
US7500106B2 (en) Method for identifying, authenticating and authorizing a user of protected data
JP4657706B2 (ja) 権限管理システム、認証サーバ、権限管理方法および権限管理プログラム
ES2820434T3 (es) Un procedimiento para la operación segura de un dispositivo informático
JPH11203248A (ja) 認証装置、および、そのプログラムを記録した記録媒体
BRPI0211618B1 (pt) método para criar uma rede privada virtual usando uma rede pública
Collins Access controls
RU2626664C1 (ru) Способ предоставления доступа к распределенным информационно-вычислительным ресурсам в виде корпоративных порталов через защищенную виртуальную среду
JP3293784B2 (ja) 個人情報格納装置および認証装置