ES2985923T3 - Procedimiento de control de acceso web - Google Patents

Procedimiento de control de acceso web Download PDF

Info

Publication number
ES2985923T3
ES2985923T3 ES19801480T ES19801480T ES2985923T3 ES 2985923 T3 ES2985923 T3 ES 2985923T3 ES 19801480 T ES19801480 T ES 19801480T ES 19801480 T ES19801480 T ES 19801480T ES 2985923 T3 ES2985923 T3 ES 2985923T3
Authority
ES
Spain
Prior art keywords
access
bid
content
request
content item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19801480T
Other languages
English (en)
Inventor
Simon Effing
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Digital Tangible S L
Original Assignee
Digital Tangible S L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Digital Tangible S L filed Critical Digital Tangible S L
Application granted granted Critical
Publication of ES2985923T3 publication Critical patent/ES2985923T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/06009Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
    • G06K19/06037Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método para el control de acceso web que comprende los siguientes pasos: - crear un elemento de contenido (1) en un sistema de gestión de contenidos; - generar una serie de tokens de acceso aleatorio seguros únicos (2) y almacenarlos en una base de datos (3); - generar un fichero que contiene los AT con sus correspondientes URL de enlace directo - cuando un dispositivo cliente accede al contenido mediante un navegador (11), comprobar con el servidor si el BID de la petición ya está registrado para este AT; o si ya está registrado, permitir el acceso al contenido; o si no, comprobar si se ha alcanzado un límite preestablecido de BID registrados permitidos para el AT; - si se ha alcanzado el límite, denegar el acceso al contenido; - si no, registrar el nuevo BID en el AT y permitir el acceso al contenido. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Procedimiento de control de acceso web
Objeto de la invención
La invención, como se indica en el título de la presente memoria descriptiva, se refiere a un procedimiento para acceder a contenido colocado en un sistema de gestión de contenido, por ejemplo, una web, que garantiza que el contenido sea accedido por el número permitido de usuarios sin requerir la introducción e intercambio de contraseñas, ni la supervisión de un administrador de la web.
Por ejemplo, puede usarse para permitir que cualquier número de usuarios descargue, transmita o reproduzca una audioguía de un museo, para obtener contenido adicional al comprar entradas para un concierto, etc. Dichos usuarios mantendrán su identidad y sus datos personales privados y no los compartirán.
Antecedentes de la invención
Se han desarrollado varias formas de proteger una aplicación web de libre acceso. El sistema más común es un registro con una dirección de correo electrónico y una contraseña seguido de inicios de sesión cada vez que el usuario quiera acceder nuevamente al mismo contenido. Aveces, el contenido y los datos digitales alojados en un sitio web obtienen una protección adicional contra el robo de contraseñas mediante la llamada autenticación de dos factores, que agrega un token adicional al procedimiento de inicio de sesión a través de un código recibido en el número de teléfono móvil del usuario o un algoritmo de contraseña de un solo uso basado en el tiempo (TOTP). Aveces el registro asegura que la persona que busca el acceso es un humano y no un robot al añadir un llamado "captcha", que consiste en una pequeña acción que teóricamente no puede ser realizada por un robot para demostrar que la persona que busca el acceso es un humano.
Este tipo de protección de contenidos tiene principalmente dos propósitos: privacidad, ya que evitan que ciertos datos sean accesibles públicamente contra la voluntad del propietario, seguridad, asegurando que ningún robot o usuario ilegítimo tenga acceso, pero también la protección de la propiedad intelectual. Algunos periódicos digitales, por ejemplo, exigen un sistema de registro e inicio de sesión para evitar que los no suscriptores lean un contenido que sólo debería ser accesible a los suscriptores.
Este sistema (inicio de sesión con contraseña, a veces con autenticación de dos factores y un captcha) es el estado de la técnica más común y proporciona un grado de seguridad aceptable, pero a costa de requerir datos personales del usuario (como un correo electrónico) y de los problemas que genera tener que encontrar una manera de memorizar o almacenar de forma segura varias contraseñas y perder tiempo resolviendo captchas. Si bien este problema y las cuestiones de privacidad son aceptados por el usuario cuando su propósito es proteger su propio contenido, como cuentas bancarias o información privada contenida en redes sociales, a menudo resulta molesto cuando su único propósito es generar una barrera artificial para evitar que personas no autorizadas accedan a contenidos protegidos intelectualmente.
Los sistemas tradicionales de registro e inicio de sesión son molestos, ralentizan el acceso al contenido digital en una aplicación web protegida y violan la privacidad al exigir que se proporcionen datos personales como nombre y/o correo electrónico y/o número de teléfono móvil.
Se conoce por el documento US7950065 un procedimiento y un sistema para controlar el acceso a contenidos almacenados en un servidor web. Crea un enlace cifrado. Cuando el usuario autorizado accede al contenido con el enlace, el sistema cliente se registra por lo que el contenido solo se muestra a este sistema.
La publicación "Explicación del límite de licencia de libros Kindle | Blog del lector de libros electrónicos" (https://web.archive.Org/web/20180601084955/http://blog.the-ebook-reader.com/2018/01/27/ kindle-book-licenselimit-explained/) divulga algunas sugerencias y comentarios de usuarios de libros electrónicos que enfrentan problemas con el límite de licencia.
El documento US2013232563 A1 divulga un sistema y procedimiento para la concesión de licencias ilimitadas a un número fijo de dispositivos; el documento US2018218145 A1 divulga sistemas y procedimientos para el control de acceso a aplicaciones web e identificación de navegadores web.
Por lo tanto, surge la necesidad de encontrar una forma más sencilla e inmediata de proteger el acceso a los contenidos y limitar al mínimo la invasión de la privacidad del usuario, como proporciona el control de acceso web ligero, objeto de la presente invención.
Por otro lado, y como referencia al estado actual de la técnica, cabe señalar que, por lo que respecta al solicitante, no tiene conocimiento de la existencia de ninguna otra solicitud que tenga las mismas o similares características técnicas a las reivindicadas en la presente memoria.
Descripción de la invención
Lo siguiente pretende ser un breve sumario de la invención y no pretende limitar el ámbito de la invención.
El procedimiento ligero para el control de acceso web (LWAC) de la invención usa una combinación de tokens o códigos de acceso aleatorio seguros únicos (AT) y un ID del navegador (BID). Los AT pueden imprimirse en una superficie física (por ejemplo, una tarjeta de plástico o cartón), por lo que deben ingresarse en un formulario web. Además, un enlace directo que incluya el AT puede codificarse en un código QR que también se imprimirá en una superficie física. El BID es un valor aleatorio único y seguro que se genera sobre la marcha cuando un navegador accede a la aplicación web por primera vez y se almacena en una cookie. Cada AT permite solo un número limitado de BlD. Una opción de inclusión opcional por correo electrónico puede permitir acceso adicional.
La combinación de los tres elementos mencionados permite un acceso rápido y cómodo a un contenido protegido sin comprometer la privacidad o comodidad del usuario.
El procedimiento ligero de control de acceso web (LWAC) permite a cualquier usuario un acceso rápido, anónimo, directo y seguro a una aplicación web sin tener que registrarse, iniciar sesión o proporcionar datos personales. El usuario puede acceder al contenido tantas veces como desee ingresando o escaneando nuevamente el token de acceso (AT) que ha sido impreso en una superficie física, como una tarjeta o un folleto, que el usuario puede conservar y reutilizar un número indefinido de veces. Pero gracias a los tokens de acceso únicos (AT) y al registro del ID del navegador (BID), el acceso no puede transferirse y, por lo tanto, mantiene su valor comercial.
Descripción de los beneficios de la presente invención para sus usuarios:
Al proteger el contenido digital en una aplicación web con un procedimiento ligero de control de acceso web, los museos u operadores turísticos podrían permitir un acceso controlado a una audioguía digital manteniendo su valor comercial y pudiendo venderlas; los periódicos podrían vincular sus suscripciones a un dispositivo y evitar la piratería producida por el mal uso de los datos de inicio de sesión del suscriptor; los editores podrían vender libros electrónicos, audiolibros u otras publicaciones digitales de forma física en tiendas físicas; los músicos podrían usar este procedimiento para proteger su música y venderla en conciertos al imprimir los tokens de acceso (AT) en una superficie física sin tener que usar CD caros y perjudiciales para el medio ambiente.
Al usar el procedimiento ligero de control de acceso web (LWAC) para acceder a contenido digital en una aplicación web, los usuarios podrían liberarse de las molestias y preocupaciones de privacidad que supone introducir datos personales en un registro; podrían tener un acceso mucho más rápido e inmediato al contenido digital en una aplicación web; podrían acceder al contenido varias veces al conservar la superficie física, como una tarjeta de plástico o cartón o un folleto, donde se ha impreso el token de acceso (AT).
El procedimiento ligero para el control de acceso web comprende el uso de una combinación de un token de acceso aleatorio (AT) seguro único y un ID del navegador (BID) mediante los siguientes pasos:
- Primero crea un elemento de contenido, o más, en un sistema de gestión de contenidos.
- Luego genera una serie de tokens únicos de acceso aleatorio seguro y los almacena en una base de datos. - También genera un archivo con el formato apropiado (por ejemplo, CSV) que comprende el número de serie, los AT y una URL de enlace directo (incluido el AT) al contenido.
- Como tal, cuando un dispositivo cliente accede al contenido con la URL del enlace directo mediante el uso de un navegador, el servidor comprueba si el BID de la solicitud ya está registrado para este AT.oSi el BID de la solicitud ya está registrado permite el acceso al contenido.
oSi el BID de la solicitud no está registrado, entonces el servidor comprueba si se ha alcanzado un límite preestablecido de BlD registrados permitidos para el AT. En caso contrario, se registra el BID de la solicitud y se concede el acceso al contenido. Si ya se ha alcanzado el límite preestablecido, se deniega el acceso, aunque puede iniciarse un procedimiento de opción de inclusión.
El código de acceso directo podrá imprimirse en un soporte físico, por ejemplo, mediante el uso de un código QR o similar.
En una realización preferente, el servidor comprueba que el navegador que accede a la aplicación web en busca del contenido de una cookie de ID del navegador (BID) antes de comprobar con el servidor si el BID de la solicitud ya está registrado para este AT. Si la cookie no existe, se genera un nuevo número único aleatorio y seguro y se establece como cookie de BID. El servidor puede firmar criptográficamente los BlD para evitar la suplantación de identidad. Este nuevo número único aleatorio y seguro podría registrarse con el AT solicitado más adelante en la base de datos. Alternativamente, para algún tipo de solicitudes (por ejemplo, una solicitud no inicial), si la cookie no existe, se deniega el acceso.
El procedimiento de opción de inclusión permite acceder al contenido desde otros dispositivos o recuperar el acceso después de que se hayan eliminado las cookies.
En una realización preferente, los registros BID se marcan con una marca de tiempo y tienen una vida útil limitada. Esta vida útil puede estar preestablecida o corresponder al momento de una actualización del contenido.
La invención también se refiere a un servidor configurado para evaluar una solicitud de un dispositivo cliente para acceder a contenido creado, caracterizado porque usa una combinación de un token de acceso aleatorio (AT) seguro único y un ID del navegador (BID) del dispositivo cliente. El servidor comprueba si el BID de la solicitud ya está registrado para este AT:
- Si ya está registrado, permitiendo el acceso al contenido.
- Si aún no está registrado, comprobar si se ha alcanzado un límite preestablecido de BlD registrados permitidos para el AT;
oSi se ha alcanzado el límite, denegar el acceso al contenido;
oSi no se ha alcanzado el límite, registrar el nuevo BID en el AT y permitir el acceso al contenido.
El sistema configurado para llevar a cabo el procedimiento comprende una aplicación web configurada para gestionar los ID del navegador (BlD) mediante cookies y registrar estos BlD con tokens de acceso (AT), de modo que cada AT sólo pueda usarse por un número limitado de BlD.
Los códigos pueden imprimirse en una superficie o soporte físico, como una tarjeta de plástico o cartón o un folleto. Incluye al menos un código QR, o un código alfanumérico que permita dicho acceso, en al menos una de sus caras.
La invención se define en las reivindicaciones independientes adjuntas. Las características ventajosas se exponen en las reivindicaciones dependientes.
Descripción de las figuras
Como complemento a la descripción proporcionada en la presente memoria, y con el fin de ayudar a hacer más fácilmente comprensibles las características de la invención, la presente memoria descriptiva se acompaña de un juego de dibujos que constituyen parte integrante de la misma, los cuales, a modo de ilustración y sin limitación, representan lo siguiente:
Figura 1: Muestra los pasos de creación de tokens de acceso de acuerdo con una realización.
Figura 2: Muestra cómo asignar una ID del navegador al contenido de acuerdo con una realización.
Figura 3: Acceso directo con registro de ID del navegador de acuerdo con una realización.
Figura 4: Primeros pasos de una opción de inclusión o alternativa por correo electrónico de acuerdo con una realización.
Figura 5: Últimos pasos de una reserva de token de correo electrónico de acuerdo con una realización.
Realización preferente de la invención
La terminología usada en la presente memoria tiene por propósito describir solo realizaciones particulares y no pretende limitar la invención. Como se usa en la presente memoria, el término "y/o" incluye cualquiera y todas las combinaciones de uno o más de los elementos enumerados asociados. Como se usa en la presente memoria, las formas singulares "un", "una" y "el/la" pretenden incluir tanto las formas plurales, así como también las formas singulares, a menos que el contexto lo indique claramente de cualquier otra manera.
Se entenderá además que los términos "comprende" y/o "que comprende", cuando se usan en esta memoria descriptiva, especifican la presencia de características, pasos, operaciones, elementos y/o componentes declarados, pero no excluyen la presencia o adición de una o más características, pasos, operaciones, elementos, componentes y/o grupos de los mismos.
A menos que se defina de cualquier otra manera, todos los términos (incluidos los términos técnicos y científicos) usados en la presente memoria tienen el mismo significado que comúnmente entiende un experto en la técnica al que pertenece la presente invención. Se entenderá además que los términos, como los definidos en diccionarios de uso común, deben interpretarse en un sentido que sea coherente con su significado en el contexto de la técnica pertinente y la presente divulgación, y no se interpretarán en un sentido idealizado o excesivamente formal a menos que así se defina expresamente en la presente memoria.
Al describir la invención, se entenderá que se divulgan varias técnicas y pasos. Cada una de estas tiene un beneficio individual y cada una también puede usarse junto con una o más, o en algunos casos con todas, las otras técnicas divulgadas. Por consiguiente, en aras de la claridad, esta descripción se abstendrá de repetir todas las combinaciones posibles de los pasos individuales de manera innecesaria.
Sin embargo, la memoria descriptiva y las reivindicaciones deben leerse con el entendimiento de que tales combinaciones están completamente dentro del ámbito de la invención y las reivindicaciones. La presente divulgación debe considerarse como una ejemplificación de la invención. No se pretende limitar la invención a las realizaciones específicas ilustradas por las figuras o la descripción a continuación.
La presente invención se describirá ahora haciendo referencia a las figuras adjuntas que representan realizaciones preferidas.
El procedimiento comienza con los pasos que se muestran en la Figura 1. Después de crear un elemento de contenido (1) en un CMS o sistema de gestión de contenidos, se genera una serie detokens de acceso aleatorio (AT) únicos y seguros (2). Estos AT se almacenan en una base de datos (3) que realiza un seguimiento del uso de cada AT. Los<a>T pueden descargarse (4) en formato CSV que contiene el número de serie, el AT en formato alfanumérico y una URL de enlace directo a la aplicación web que incluye el AT. Estas URL permiten la generación de códigos de respuesta rápida (QR) para un acceso directo conveniente u otro formato legible similar. Alternativamente, el AT puede ingresarse en un formulario de aplicación web. Los AT y los códigos QR pueden proporcionarse digitalmente o imprimirse en una superficie física como una tarjeta o un folleto (5).
Los siguientes pasos se muestran en la figura 2. Cada navegador (11) que accede a la aplicación web para el contenido se comprueba por el servidor para una cookie (12) de ID del navegador (BID). Si no existe ninguno, se genera un nuevo número único aleatorio y seguro (15) y se establece como cookie de BID. En cualquier caso, la solicitud (22) de contenido se envía para su posterior procesamiento (16). Opcionalmente, algunas solicitudes (22) pueden requerir una cookie (13) previamente existente y dar como resultado un rechazo (14) de la solicitud si no existe ninguna.
En la figura 3 se muestran los pasos a seguir según el usuario solicita el contenido (21) al escanear el QR, ingresando el AT en el formulario web o procedimientos similares. La aplicación web recibe la solicitud (22) del contenido. Luego se comprueba (23) si la BID de la solicitud ya está registrada en el AT o no. Si es así, se concede el acceso al contenido (27). De lo contrario, el sistema comprueba si se alcanza el límite de BlD registrados permitidos para esta AT en un paso de confirmación (24):
Si no se ha alcanzado el límite, se registra un BID adicional en el AT (26) y se concede acceso al contenido (27).
Si se ha alcanzado el límite, se deniega el acceso y se produce un rechazo (14). Es posible que se le ofrezca al usuario una alternativa de opción de inclusión por correo electrónico (25). El número de BlD permitidos puede ser uno, varios... y normalmente se definirá al crear el contenido o configurar el procedimiento.
En las figuras 4 y 5 se muestra el procedimiento de opción de inclusión por correo electrónico. Permite acceder al contenido desde otros dispositivos o recuperar el acceso después de que se hayan eliminado las cookies. Se inicia con la comprobación de si ya existe un correo electrónico de usuario registrado en el AT (31). Si existe un registro de correo electrónico, se pregunta al usuario si se debe enviar un nuevo enlace de token de correo electrónico (enlace ET) a este correo electrónico (33). Debería ser imposible introducir un correo electrónico diferente para evitar apropiación indebida. De lo contrario, se solicita al usuario que introduzca su dirección de correo electrónico (32). Si se aprueba, se genera un ET y se envía un enlace a la dirección de correo electrónico correspondiente (34).
Si el usuario hace clic en el nuevo enlace, la aplicación web recibe la nueva solicitud (35). Si el AT no tiene un correo electrónico registrado (36), se procede al registro del correo electrónico del ET (42) en el AT y se registra el BID en el ET. Para permitir el acceso directo posterior a las cookies de BID en el dispositivo del cliente actual, las solicitudes de BID se registran adicionalmente con el AT (40) y se concede el acceso (41).
Si el AT ya tiene un correo electrónico registrado (36), este correo electrónico se comprueba con el correo electrónico del ET (37). Si no son iguales, se rechaza la solicitud (38). De lo contrario, la BID solicitada se comprueba con la BID registrada del ET (39) para garantizar que el ET solo pueda usarse desde un dispositivo (38). Si el BID es el mismo, el BID se registra adicionalmente con el AT para permitir el acceso directo posterior a las cookies de BID en el dispositivo del cliente actual (40) y se concede el acceso (41).
Este enfoque ofrece a cada AT dos opciones de acceso: directamente a través del primer dispositivo usado y por correo electrónico con la dirección de correo electrónico registrada.
Los registros de BID pueden tener una vida útil limitada. Cuando un BID se registra con un AT, el registro DB correspondiente puede marcarse con una marca de tiempo. El acceso BID posterior puede comprobarse con esta marca de tiempo y rechazar si caduca.
Cada serie AT puede limitar el acceso a uno o más BlD por AT. Esto permite, por ejemplo, el acceso directo de grupos.
El procedimiento puede incluir un fallo por limitador de velocidad de dirección IP, para proteger contra ataques de fuerza bruta. Este limitador también permite AT más cortos, mejorando la experiencia del usuario.
Algunas aplicaciones móviles de lectura de QR envían automáticamente una solicitud HTTP y luego abren un navegador independiente al escanear una URL web. Como la primera solicitud ya registra un BID mediante el uso de la identificación de la aplicación del lector QR, la solicitud posterior del navegador podría ser rechazada indebidamente. Para evitar esto, puede mostrarse una página intersticial con interacción del usuario para que el BID se registre solo cuando el usuario hace clic en un botón. Este botón podría usarse, por ejemplo, para seleccionar el idioma.

Claims (9)

REIVINDICACIONES
1. Un procedimiento para el control de acceso web a un elemento de contenido creado previamente (1) en un sistema
de gestión de contenido, en el que el procedimiento comprende el uso de una combinación de un token único de acceso aleatorio seguro, AT, y un ID del navegador, BID, y ejecutar, por un servidor, los siguientes pasos:
- generar una serie de tokens únicos de acceso aleatorio seguro (2) para acceder directamente al elemento de contenido y almacenarlos en una base de datos (3);
- generar un archivo que contiene los AT con sus correspondientes URL de enlace directo que se proporcionan a un usuario;
- al recibir una solicitud del dispositivo cliente para acceder al elemento de contenido (1) con la URL del enlace directo mediante el uso de un navegador (11), comprobar con el servidor si el BID de la solicitud ya está registrado para este AT;
osi ya está registrado, permitir el acceso al elemento de contenido (1);
osi aún no está registrado, comprobar si se ha alcanzado un límite preestablecido de BID registrados permitidos para el AT;
■ si se ha alcanzado el límite, denegar el acceso al elemento de contenido (1);
■ si no se ha alcanzado el límite, registrar la nueva BID en el AT y permitir el acceso al elemento de contenido (1); y
en el que la URL del enlace directo guía con una solicitud posterior del navegador a una página intersticial que solicita una acción del usuario en la página intersticial y que el BID se registra después de la acción del usuario.
2. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque el código de acceso directo se imprime en un soporte físico.
3. El procedimiento, de acuerdo con la reivindicación 2, caracterizado porque el código de acceso directo al elemento de contenido (1) es un código de respuesta rápida, código QR.
4. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque el navegador (11) que accede a la aplicación web para el elemento de contenido (1) se comprueba por el servidor para una cookie de BID (12) antes de comprobar con el servidor si el BID de la solicitud ya está registrado para este AT y, si no existe ninguno, se genera un nuevo número único aleatorio seguro (15) y se establece como la cookie de BID.
5. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque si se ha alcanzado el límite preestablecido de BID registrados permitidos para el AT, se inicializa un procedimiento de opción de inclusión.
6. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque el servidor comprueba si el navegador (11) que accede a la aplicación web mediante una solicitud no inicial tiene una cookie de BID (12) y, si no existe ninguna, el acceso se deniega.
7. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque los registros de BID se marcan con una marca de tiempo y tienen una vida útil limitada.
8. El procedimiento, de acuerdo con la reivindicación 1, caracterizado porque comprende un limitador de tasa de fallo por dirección IP.
9. Un servidor configurado para evaluar una solicitud de un dispositivo cliente para acceder a un elemento de contenido previamente creado (1), en el que el servidor comprende medios para llevar a cabo el procedimiento de cualquiera de las reivindicaciones 1 a 8.
ES19801480T 2018-10-11 2019-10-04 Procedimiento de control de acceso web Active ES2985923T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201862744310P 2018-10-11 2018-10-11
PCT/EP2019/076982 WO2020074401A1 (en) 2018-10-11 2019-10-04 Web access control method

Publications (1)

Publication Number Publication Date
ES2985923T3 true ES2985923T3 (es) 2024-11-07

Family

ID=68531510

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19801480T Active ES2985923T3 (es) 2018-10-11 2019-10-04 Procedimiento de control de acceso web

Country Status (4)

Country Link
US (1) US11956241B2 (es)
EP (1) EP3864819B1 (es)
ES (1) ES2985923T3 (es)
WO (1) WO2020074401A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11956241B2 (en) 2018-10-11 2024-04-09 Digital Tangible, S.L. Web access control method
US20210174355A1 (en) * 2019-12-09 2021-06-10 Capital One Services, Llc Systems and methods for binding unique tokens with transaction parameters to authorize transactions
US20240046252A1 (en) * 2022-08-04 2024-02-08 Login Id Inc. Device and systems for provisioning and verifying tokens with strong identity and strong authentication

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060036748A1 (en) * 2004-07-28 2006-02-16 Nusbaum Edward S Apparatus and method for computerized information management
US20060272031A1 (en) * 2005-05-24 2006-11-30 Napster Llc System and method for unlimited licensing to a fixed number of devices
JP4781897B2 (ja) * 2006-04-26 2011-09-28 富士通株式会社 センサイベント制御装置
US7950065B2 (en) * 2006-11-11 2011-05-24 Microsoft Corporation Method and system to control access to content stored on a web server
US8245262B2 (en) * 2008-04-07 2012-08-14 Samsung Electronics Co., Ltd. System and method for synchronization of television signals associated with multiple broadcast networks
US20140058792A1 (en) * 2011-01-04 2014-02-27 Albert Talker Management of E-Commerce Data by Consumers
US9934310B2 (en) * 2012-01-18 2018-04-03 International Business Machines Corporation Determining repeat website users via browser uniqueness tracking
WO2013123399A1 (en) * 2012-02-17 2013-08-22 Contentraven, Llc Methods and systems for secure digital content distribution and analytical reporting
US10089650B1 (en) * 2013-07-18 2018-10-02 Amazon Technologies, Inc. Leveraging ad retargeting for universal event notification
US9479615B1 (en) * 2014-01-31 2016-10-25 Google Inc. Systems and methods for providing interstitial content
US10594484B2 (en) * 2015-02-13 2020-03-17 Yoti Holding Limited Digital identity system
US10853592B2 (en) * 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
US9640002B1 (en) * 2015-04-02 2017-05-02 Mark Y. Grosberg System and method for verified admission through access controlled locations using a mobile device
US20170076007A1 (en) * 2015-09-15 2017-03-16 Inbound Retargeting Technologies Inc. Systems and methods for automated delivery of information to user devices
US10044729B1 (en) * 2015-12-01 2018-08-07 Microsoft Technology Licensing, Llc Analyzing requests to an online service
CN106209862B (zh) * 2016-07-14 2019-08-06 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
JP6756207B2 (ja) * 2016-09-14 2020-09-16 富士ゼロックス株式会社 情報処理装置及びプログラム
US10248782B2 (en) * 2017-01-27 2019-04-02 Duo Security, Inc. Systems and methods for access control to web applications and identification of web browsers
JP7119844B2 (ja) * 2018-03-05 2022-08-17 株式会社リコー 情報処理システム、情報処理装置、情報処理方法及びプログラム
US11956241B2 (en) 2018-10-11 2024-04-09 Digital Tangible, S.L. Web access control method
US20230139323A1 (en) * 2020-03-11 2023-05-04 Sharp Kabushiki Kaisha Notification message for backhaul radio link failure in wireless relay networks
KR20230093054A (ko) * 2020-10-30 2023-06-26 세페이드 교체 가능한 처리 모듈 및 원격 모니터링을 갖는 진단 분석 시스템
US20220407702A1 (en) * 2021-06-22 2022-12-22 Artema Labs, Inc Systems and Methods for Token Creation and Management

Also Published As

Publication number Publication date
WO2020074401A1 (en) 2020-04-16
US20210352072A1 (en) 2021-11-11
EP3864819C0 (en) 2024-06-12
US11956241B2 (en) 2024-04-09
EP3864819A1 (en) 2021-08-18
EP3864819B1 (en) 2024-06-12

Similar Documents

Publication Publication Date Title
JP6838799B2 (ja) キーエクスポート技術
CN105072180B (zh) 一种有权限时间控制的云存储数据安全共享方法
ES2985923T3 (es) Procedimiento de control de acceso web
ES2601009T3 (es) Procedimientos para autorizar el acceso a contenido protegido
ES2871062T3 (es) Sistema y método para la gestión de datos basada en cadena de bloques
US9119076B1 (en) System and method for authentication using a mobile communication device
US9325705B2 (en) Trusted internet identity
US20180262503A1 (en) User-generated session passcode for re-authentication
US10757092B2 (en) Controlling access to personal data
ES2807213T3 (es) Dispositivo de generación de contraseñas y dispositivo de verificación de contraseñas
WO2009032511A2 (en) Transferable restricted security tokens
US10250589B2 (en) System and method for protecting access to authentication systems
TW201334482A (zh) 用於保護單點登錄域免於身份碼洩露的方法和裝置
ES2659580T3 (es) Procedimiento de comprobación de la preservación de privacidad entre tres partes que se comunican entre sí
ES2973932T3 (es) Sistema y procedimiento para registrar un usuario
ES2963837T3 (es) Técnica de conexión a un servicio
KR20120087095A (ko) 실시간 패스워드를 생성하는 장치 및 방법 및 저장 매체
ES2385686B1 (es) Elemento de mejora de la privacidad multimedia.
ES2836511T3 (es) Sistema y método relativos a DRM
JP4734512B2 (ja) 安全で回復可能なパスワード
WO2011058211A1 (es) Sistema y método de publicación automática de información de estado actualizada de un usuario en una aplicación informática
Chadwick et al. Leveraging social networks to gain access to organisational resources
Di Federico et al. Cloud Identity Patterns and Strategies: Design enterprise cloud identity models with OAuth 2.0 and Azure Active Directory
Botyriute Access to Online Resources: A Guide for the Modern Librarian
Holmberg AUTHORIZATION OF USERS IN A WEB APPLICATION: using OAuth-flow against Azure AD