Nothing Special   »   [go: up one dir, main page]

IT202100021491A1 - System for authentication, authorization and control of network devices - Google Patents

System for authentication, authorization and control of network devices Download PDF

Info

Publication number
IT202100021491A1
IT202100021491A1 IT102021000021491A IT202100021491A IT202100021491A1 IT 202100021491 A1 IT202100021491 A1 IT 202100021491A1 IT 102021000021491 A IT102021000021491 A IT 102021000021491A IT 202100021491 A IT202100021491 A IT 202100021491A IT 202100021491 A1 IT202100021491 A1 IT 202100021491A1
Authority
IT
Italy
Prior art keywords
actor
block
authentication
devices
control
Prior art date
Application number
IT102021000021491A
Other languages
Italian (it)
Inventor
Francesco Alcaro
Original Assignee
Abelianus Srl
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Abelianus Srl filed Critical Abelianus Srl
Priority to IT102021000021491A priority Critical patent/IT202100021491A1/en
Publication of IT202100021491A1 publication Critical patent/IT202100021491A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

DESCRIZIONE DESCRIPTION

del brevetto per invenzione industriale dal titolo: ?Sistema per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete? of the patent for industrial invention entitled: ?Authentication, authorization and control system for networked devices?

La presente invenzione ? relativa a un sistema per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete. The present invention ? relating to a system for authentication, authorization and control of network devices.

Inoltre, la presente invenzione ? relativa a un metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete. Furthermore, the present invention ? relating to a method for authenticating, authorizing and controlling devices on a network.

In particolare, la presente invenzione ? relativa ad un sistema per l?autenticazione, l?autorizzazione e il controllo di dispositivi connessi in rete, comprendente moduli logici evoluti e hardware dedicato per l?implementazione delle suddette funzionalit?. In particular, the present invention ? relating to a system for the authentication, authorization and control of devices connected to the network, including advanced logic modules and dedicated hardware for the implementation of the aforementioned functions.

Il settore tecnico di riferimento ? quello della sicurezza informatica, nello specifico le tecnologie ICT che consentono di assicurare e verificare l?integrit? e la cifratura di pacchetti dati scambiati su rete di comunicazione, ad esempio il web. The technical sector of reference? that of computer security, specifically the ICT technologies that make it possible to ensure and verify the integrity? and the encryption of data packets exchanged over the communication network, such as the web.

Diversi sistemi per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete sono attualmente noti. Various systems for the authentication, authorization and control of networked devices are currently known.

Un primo esempio di soluzione tecnica nota ? descritto nel testo brevettuale US2003048904A1 che descrive un sistema di autorizzazione basato su caratteristiche biometriche, che vengono rilevate in tempo reale da un dispositivo di acquisizione e comprendenti, in particolare, il record di identificazione biometrica (BIR) e le informazioni personali che vengono memorizzate in un?unit? di memorizzazione dati. Viene descritto anche un processo di compressione e decompressione dati, crittografia e decrittazione, calcolo, raccolta e verifica. Il sistema ? operativamente accoppiato a un sito remoto, in modo da stabilire un collegamento Internet tramite comunicazioni cablate o senza fili. La verifica biometrica viene eseguita con dispositivi periferici come terminali POS, terminali ATM, lettori di carte di credito, controllo accessi o altri meccanismi di controllo. A first example of a known technical solution? described in the patent text US2003048904A1 which describes an authorization system based on biometric characteristics, which are detected in real time by an acquisition device and including, in particular, the biometric identification record (BIR) and the personal information which is stored in a ?unit? of data storage. A process of data compression and decompression, encryption and decryption, computation, collection and verification is also described. The system ? operationally coupled to a remote site, so as to establish an Internet connection via wired or wireless communications. Biometric verification is performed with peripheral devices such as POS terminals, ATM terminals, credit card readers, access control or other control mechanisms.

La domanda internazionale di brevetto WO2008027247A2, invece, cita un metodo per autenticare l'identit? di un individuo, ricevuta da un ente certificato, rispetto a un database biometrico multimodale centralizzato in un processo anonimo. Il metodo include la ricezione di una richiesta di autenticazione dall' ente certificato. La richiesta di autenticazione include un codice di riferimento personale e un modello biometrico per una caratteristica biometrica dell'individuo, ma nessun dato privato o personale. Il metodo include inoltre il determinare se esiste un record nel database che include un codice di riferimento personale che corrisponde al codice di riferimento della richiesta di autenticazione. Il record nel database include inoltre uno o pi? modelli biometrici memorizzati per ogni individuo. Sulla base della determinazione della corrispondenza, il metodo confronta il modello biometrico della richiesta di autenticazione con il modello biometrico memorizzato, e fornisce un'indicazione a un destinatario certificato sulla corrispondenza dei modelli biometrici, confermando cos? l?autenticit? dell'identit?. The international patent application WO2008027247A2, on the other hand, mentions a method for authenticating the identity of an individual, received from a certified body, against a centralized multimodal biometric database in an anonymous process. The method includes receiving an authentication request from the certificate body. The authentication request includes a personal reference code and a biometric template for a biometric characteristic of the individual, but no private or personal data. The method also includes determining if there is a record in the database that includes a personal reference code that matches the authentication request reference code. The record in the database also includes one or more? biometric templates stored for each individual. Based on the match determination, the method compares the biometric template of the authentication request with the stored biometric template, and provides an indication to a certified recipient about the match of the biometric templates, thus confirming the match. the authenticity of the identity.

Tuttavia, tali sistemi noti soffrono di varie limitazioni, non prevedendo, ad esempio un controllo multilivello e a pi? stadi per la verifica dell?accesso di utenti a servizi di rete. However, these known systems suffer from various limitations, as they do not provide, for example, a multi-level and multilevel control. stages for verifying user access to network services.

Scopo della presente invenzione ? fornire un sistema per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete che sia in grado di autenticare l?accesso a servizi di rete secondo differenti step di controllo, avente, quindi, caratteristiche tali da superare i limiti che ancora influenzano gli attuali sistemi, con riferimento alla tecnica nota. Purpose of the present invention? provide a system for the authentication, authorization and control of network devices that is able to authenticate access to network services according to different control steps, thus having characteristics such as to overcome the limits that still affect current systems, with reference to the prior art.

La presente invenzione supera i problemi esistenti allo stato dell'arte attraverso la verifica univoca di dati biometrici e l?analisi dei dati basata su machine learning, l?identit? di utenti ai quali assegna livelli di accesso differenziati, implementando un controllo robusto per l?accesso di utenti a servizi di rete incluse le applicazioni, mediante logiche e hardware anche dedicati, in alcuni casi considerando la posizione GPS definendone quindi la circostanza di luogo con certezza. The present invention overcomes the problems existing in the state of the art through the unique verification of biometric data and data analysis based on machine learning, the identity? of users to whom it assigns differentiated access levels, implementing robust control for user access to network services including applications, using logic and hardware, including dedicated ones, in some cases considering the GPS position, thus defining the location circumstance with certainty .

Secondo la presente invenzione, viene realizzato un sistema e un metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, come definito nella rivendicazione 1. According to the present invention, a system and a method for the authentication, authorization and control of devices on the network are provided, as defined in claim 1.

Secondo la presente invenzione, viene inoltre realizzato un metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, come definito nella rivendicazione 9. According to the present invention, a method for authenticating, authorizing and controlling devices on the network is also provided, as defined in claim 9.

Per una migliore comprensione della presente invenzione viene ora descritta una forma di realizzazione preferita, a puro titolo di esempio non limitativo, con riferimento al disegno allegato, nel quale: For a better understanding of the present invention, a preferred embodiment is now described, purely by way of non-limiting example, with reference to the attached drawing, in which:

- la figura 1 mostra uno schema a blocchi di un sistema per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, secondo l?invenzione; - figure 1 shows a block diagram of a system for the authentication, authorization and control of devices on the network, according to the invention;

- la figura 2 mostra uno schema a blocchi di un metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, secondo l?invenzione. - figure 2 shows a block diagram of a method for authentication, authorization and control of devices on the network, according to the invention.

Con riferimento a tale figura, un sistema e un metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete ? mostrato, secondo l?invenzione. With reference to this figure, a system and a method for the authentication, authorization and control of network devices? shown, according to the invention.

In particolare, il sistema 100 per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete comprende: In particular, the system 100 for the authentication, authorization and control of devices on the network comprises:

- un primo blocco 101 di identificazione di almeno un attore sul sistema 100, atto ad assegnare un livello di accesso a detto almeno un attore; - a first block 101 for identifying at least one actor on the system 100, able to assign an access level to said at least one actor;

- un secondo blocco 102 di autenticazione dell?almeno un attore sul sistema 100, mediante dati biometrici e/o posizione georeferenziata di detto almeno un attore; - a second block 102 for authenticating the at least one actor on the system 100, by means of biometric data and/or georeferenced position of said at least one actor;

- un terzo blocco 103 di autorizzazione dell?almeno un attore sul sistema 100, mediante il livello di accesso assegnato dal blocco 101 e, preferibilmente, alla posizione georeferenziata dell?attore; - a third block 103 for authorizing at least one actor on the system 100, by means of the access level assigned by block 101 and, preferably, to the georeferenced position of the actor;

- un quinto blocco (105) operativo atto ad assegnare azioni all?almeno un attore, con le suddette azioni essendo atte a essere modificate e/o bloccate da parte di un utente gestore, avente livello di accesso superiore al livello di accesso dell?almeno un attore. - a fifth operating block (105) able to assign actions to the at least one actor, with the aforementioned actions being able to be modified and/or blocked by a manager user, having access level higher than the access level of the at least an actor.

Secondo una prima forma realizzativa dell?invenzione l?attore ? un utente umano che il sistema 100 identifica, autentica e autorizza anche in base a dati biometrici. Secondo una seconda forma realizzativa dell?invenzione l?attore ? un dispositivo IOT, ed in tal caso le operazioni di identificazione, autenticazione e autorizzazione prescindono dai dati biometrici dell?attore. According to a first embodiment of the invention, the actor is a human user whom the system 100 identifies, authenticates and also authorizes on the basis of biometric data. According to a second embodiment of the invention, the actor is an IOT device, and in this case the identification, authentication and authorization operations are independent of the biometric data of the actor.

Secondo un aspetto dell?invenzione il sistema 100 comprende un quarto blocco 104 di controllo di logiche eseguite dai suddetti primo blocco 101, secondo blocco 102 e terzo blocco 103. According to one aspect of the invention, the system 100 comprises a fourth block 104 for controlling the logics performed by the aforementioned first block 101, second block 102 and third block 103.

Secondo la presente invenzione, il secondo blocco 102 di autenticazione comprende dispositivi cablati e/o dispositivi portatili atti ad acquisire i dati biometrici e la posizione georeferenziata dell?almeno un attore. According to the present invention, the second authentication block 102 comprises wired devices and/or portable devices able to acquire the biometric data and the georeferenced position of the at least one actor.

Secondo un aspetto dell?invenzione, il quarto blocco 104 comprende un?unit? centrale atta a controllare le logiche eseguite dai suddetti primo blocco 101, secondo blocco 102 e terzo blocco 103, mirate a implementare le rispettive funzionalit? in precedenza descritte, mediante algoritmi di machine learning e reti neurali. According to one aspect of the invention, the fourth block 104 comprises a unit? control unit suitable for controlling the logics performed by the aforementioned first block 101, second block 102 and third block 103, aimed at implementing the respective functionalities? previously described, using machine learning algorithms and neural networks.

Secondo un aspetto dell?invenzione, il livello di accesso dell?almeno un attore ? atto a essere modificato da almeno un utente gestore, che come specificato possiede un livello di accesso superiore rispetto al primo. According to one aspect of the invention, the level of access of the at least one actor ? capable of being modified by at least one manager user, who, as specified, has a higher access level than the first one.

Secondo l?invenzione, un metodo 200 per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, comprende le seguenti fasi: According to the invention, a method 200 for the authentication, authorization and control of devices on the network comprises the following steps:

- 201 identificare almeno un attore ed assegnare un livello di accesso a detto almeno un attore; - 201 identifying at least one actor and assigning an access level to said at least one actor;

- 202 autenticare l?almeno un attore sul sistema (100), mediante acquisizione di dati biometrici e/o posizione georeferenziata di detto almeno un attore; - 202 authenticating the at least one actor on the system (100), by acquiring biometric data and/or georeferenced position of said at least one actor;

- 203 autorizzare l?almeno un utente, in base al livello di accesso assegnato e alla posizione georeferenziata di detto almeno un attore; - 203 authorize at least one user, based on the access level assigned and the georeferenced position of said at least one actor;

- 205 assegnare azioni all?almeno un attore; - 205 assign shares to at least one actor;

- 206 modificare e/o bloccare le azioni, assegnate nella fase precedente, da parte di un utente gestore avente livello di accesso superiore al livello di accesso dell?almeno un attore. - 206 modify and/or block the actions, assigned in the previous phase, by a manager user having an access level higher than the access level of at least one actor.

Secondo un aspetto dell?invenzione il metodo 200 comprende una fase 204 controllare le logiche eseguite nelle fasi 201, 202, 203 precedenti. According to one aspect of the invention the method 200 comprises a step 204 to control the logics performed in the previous steps 201, 202, 203.

Secondo un aspetto dell?invenzione, il metodo 200 comprende una fase di modifica del livello di accesso dell?almeno un attore da parte di almeno un utente gestore. According to one aspect of the invention, the method 200 comprises a step for modifying the access level of the at least one actor by at least one managing user.

Secondo un aspetto dell?invenzione, il metodo 200 viene implementato mediante il sistema 100. According to one aspect of the invention, method 200 is implemented by system 100.

Pi? in dettaglio, con riferimento a quanto sinora riportato, la presente invenzione ? relativa, come detto, a un sistema di autenticazione, autorizzazione, controllo e criptazione attraverso dati biometrici, di sistemi e dispositivi connessi in rete, con l?ausilio di moduli/logiche basati sull?intelligenza artificiale. Pi? in detail, with reference to what has been reported so far, the present invention ? relating, as mentioned, to an authentication, authorisation, control and encryption system using biometric data, of systems and devices connected to the network, with the aid of modules/logics based on artificial intelligence.

Secondo un aspetto dell?invenzione, quindi, il sistema 100 pu? essere applicato anche per il controllo su tutti i livelli del modello OSI e del modello TCP, e include un componente software e un componente hardware che a loro volta si contraddistinguono per tipologia. ? infatti necessario, per ciascun utente operante in un?organizzazione, o attore, essere identificato cos? che gli vengano attribuiti e abilitati procedure, protocolli, file, accessi, applicazioni. According to one aspect of the invention, therefore, the system 100 can can also be applied for control on all levels of the OSI model and the TCP model, and includes a software component and a hardware component which in turn are distinguished by type. ? in fact it is necessary, for each user operating in an? organization, or actor, to be identified so? that procedures, protocols, files, accesses, applications are assigned and enabled.

Le procedure, in tal senso, sono l?insieme di operazioni complesse che necessitano di un livello di autorizzazione per il completamento di un task, e possono agire anche sui protocolli di rete e sui protocolli operativi. Procedures, in this sense, are the set of complex operations that require an authorization level for the completion of a task, and can also act on network protocols and operational protocols.

I protocolli si differenziano in protocolli operativi e protocolli di rete. I primi, a seguito della predisposizione di un modello organizzativo, prevedono che vengano definiti obblighi operativi che vengono poi diffusi alle posizioni apicali e ai relativi dipendenti che operano sotto gli stessi, cos? come a eventuali consulenti esterni coinvolti nelle varie attivit? dell?organizzazione. I protocolli di rete, invece, comprendono l?insieme di regole definite al fine di gestire la comunicazione tra dispositivi. A tal riguardo esistono, allo stato dell?arte, diversi livelli per protocolli differenti, e prendendo in considerazione i modelli OSI e TCP, questi includono determinate regole che dipendono anche dal livello di autorizzazione di un utente, o attore. The protocols are differentiated into operational protocols and network protocols. The former, following the preparation of an organizational model, provide for operational obligations to be defined which are then disseminated to top positions and the related employees who operate under them, as well as how to any external consultants involved in the various activities? of the organization. Network protocols, on the other hand, include the set of rules defined in order to manage communication between devices. In this regard there are, in the state of the art, different levels for different protocols, and taking into consideration the OSI and TCP models, these include certain rules which also depend on the authorization level of a user, or actor.

Per quanto riguarda i file, questi sono identificati da un?architettura, un peso specifico, un?estensione, gli accessi, invece, da regole di abilitazione o diniego su un data-store locale o remoto e le applicazioni, infine, da un accesso ad applicativi stand-alone o cloud, integrali o parziali a supporto di altri dispositivi. As far as files are concerned, these are identified by an architecture, a specific weight, an extension, accesses, on the other hand, by enabling or denying rules on a local or remote data-store and applications, lastly, by an access to stand-alone or cloud applications, integral or partial to support other devices.

La logica di funzionamento del sistema 100 ? suddivisa in fasi distinte, corrispondenti alle fasi del metodo 200, schematizzabili come: The operating logic of the system 100 ? divided into distinct phases, corresponding to the phases of the 200 method, which can be summarized as:

- 201 identificazione; - 201 identification;

- 202 autenticazione; - 202 authentication;

- 203 autorizzazione; - 203 authorization;

- 205 azione. - 205 share.

Secondo un aspetto dell?invenzione ? compresa inoltre una fase ?204 di controllo. According to one aspect of the invention? further comprising a control step 204.

Nella fase 201 di identificazione, implementata dal primo blocco 101, gli utenti vengono identificati e ad essi viene assegnato un livello di operativit? numerico 1,2,?n , dove 1 ? il livello base con accesso minimo, tuttavia la distribuzione dei livelli nel tempo pu? essere variata da un utente gestore tramite una procedura definita ?livelli?. La successiva classificazione dell?attore viene eseguita dall?utente gestore tramite una procedura specifica, denominata ?classificazione?, durante la quale vengono acquisiti i dati biometrici dell?attore, se ? un utente umano. In the identification step 201, implemented by the first block 101, are the users identified and are they assigned an operating level? numeric 1,2,?n , where 1 ? the basic level with minimal access, however the distribution of levels over time pu? be changed by a user manager through a procedure called ?levels?. The subsequent classification of the actor is performed by the managing user through a specific procedure, called ?classification?, during which the biometric data of the actor are acquired, if ? a human user.

Nella fase 202 di autenticazione, implementata dal secondo blocco 102,, l?utente utilizza i propri dati biometrici al fine di autenticarsi ed avere accesso alla posizione richiesta, includendo anche le coordinate GPS della sua posizione, o esclusivamente le coordinate GPS nel caso in cui l?attore sia un dispositivo In the authentication phase 202, implemented by the second block 102, the user uses his own biometric data in order to authenticate himself and have access to the requested position, also including the GPS coordinates of his position, or exclusively the GPS coordinates in case the actor is a device

Nella fase 203 di autorizzazione, eseguita dal terzo blocco 103, il sistema 100 autorizza l?attore autenticatosi, deliberando l?accesso sulla base dei parametri stabiliti mediante la procedura di ?classificazione?. Il sistema 100 utilizza anche i dati GPS dell?attore al fine di poter eventualmente limitare l?autorizzazione nel caso in cui l?accesso sia stato eseguito in una localit? considerata non protetta. In the authorization step 203, performed by the third block 103, the system 100 authorizes the authenticated actor, deciding access on the basis of the parameters established by means of the "classification" procedure. The system 100 also uses the GPS data of the actor in order to possibly be able to limit the authorization in the event that the access has been performed in a locality? considered unprotected.

Nella fase 204 di controllo, per mezzo del quarto blocco 104, in linea di principio il sistema 100, a meno di variazioni legate a limitazioni infrastrutturali, mediante l?unit? centrale, o control unit, gestisce le procedure di identificazione, autenticazione e autorizzazione, eseguite dai blocchi 101, 102 e 103 rilasciando permessi temporanei secondo la procedura di classificazione. Un ?demone?, installato lato server, si occupa di loggare pacchetti sospetti che vengono scambiati inviando tali log alla medesima control unit, preposta all?analisi centralizzata, che effettua uno scraping e un parsing dei log, verificando i pacchetti utilizzando tecniche di machine learning e neural network, paragonando i modelli analitici e identificando eventuali anomalie che conseguono l?attivazione di un?azione. Un injector, inoltre, funge da demone, viene installato all?interno della rete locale e sniffa tutto il traffico di rete generato agendo da broadcaster. In the control phase 204, by means of the fourth block 104, in principle the system 100, unless there are variations linked to infrastructural limitations, by means of the unit? central unit, or control unit, manages the identification, authentication and authorization procedures, performed by blocks 101, 102 and 103, issuing temporary permits according to the classification procedure. A "daemon", installed on the server side, takes care of logging suspicious packets that are exchanged by sending these logs to the same control unit, in charge of centralized analysis, which scrapes and parses the logs, verifying the packets using machine learning techniques and neural network, comparing the analytical models and identifying any anomalies that follow the activation of an action. An injector also acts as a daemon, is installed within the local network and sniffs all the network traffic generated by acting as a broadcaster.

Le azioni, infine, oggetto della logica del quinto blocco 105, sono conseguenti all?analisi e alla verifica eseguita per mezzo del quarto blocco 104 e vengono distribuite a seconda della tipologia dei sistemi di firewalling, oppure di sistemi operativi, ad esempio per imporre un filtro o un blocco o eseguire una sequenza di operazioni. Le azioni possono essere di natura attuativa, come in precedenza descritte, oppure autorizzative. Queste ultime sono una conseguenza di quelle attuative: una volta lanciata una sequenza di operazioni, oppure inserito un filtro, per sbloccarlo ? necessaria un?azione che coinvolge utenti con livello di accesso adeguato, che tramite l?utilizzo dei dispositivi autorizzativi, funzionanti con i dati biometrici, hanno l?unica facolt? di ripristinare il blocco/filtro o la sequenza di operazioni o, diversamente, rendere l?operazione non reversibile. Finally, the actions, object of the logic of the fifth block 105, are consequent to the analysis and verification performed by means of the fourth block 104 and are distributed according to the type of firewalling systems, or operating systems, for example to impose a filter or block or perform a sequence of operations. The actions can be of an implementing nature, as described above, or of an authorisational nature. The latter are a consequence of the implementing ones: once a sequence of operations has been launched, or a filter inserted, to unblock it? An action is necessary that involves users with an adequate level of access, who through the use of authorization devices, which work with biometric data, have the only right to to restore the block/filter or the sequence of operations or, otherwise, make the operation non-reversible.

Come detto, la procedura ?livelli? consente la variazione degli stessi livelli di autorizzazione, e rappresenta una procedura eseguita in fase di setup da un utente installatore e pu? essere modificata solo con autorizzazione di due attori con il massimo livello assegnato. La procedura ?classificazione? ? invece un?operazione eseguita dall?utente gestore, che abilita o revoca i permessi a operare e nella quale ? necessario almeno il consenso di un utente di livello 10 o superiore. As mentioned, the ?levels? allows the variation of the same levels of authorization, and represents a procedure performed in the setup phase by an installer user and can? be modified only with the permission of two actors with the maximum assigned level. The ?classification? ? instead un? operation performed by? user manager, which enables or revokes the permissions to operate and in which ? at least the consent of a user of level 10 or higher is required.

Secondo un aspetto dell?invenzione, l?hardware impiegato nel sistema 100 ? composto dai dispositivi portatili e dai dispositivi cablati. I primi, funzionanti a batteria ricaricabile, comprendono, integrati, lettori di riconoscimento delle impronte digitali, di scansione della retina e altri lettori di dati biometrici. Tutti i suddetti lettori comunicano con la central unit tramite connettivit? Wi-Fi oppure Bluetooth, senza passare dalla rete pubblica, ad esempio mediante una dedicata quale una VPN. I dispositivi fissi/cablati, invece, al pari dei dispositivi portatili, hanno integrati i lettori di riconoscimento delle impronte digitali, di scansione della retina e altri lettori di dati biometrici, e comunicano con la central unit tramite una rete LAN a loro dedicata oppure sfruttando una rete LAN esistente aggiungendo un livello di criptazione supplementare. According to one aspect of the invention, the hardware employed in the system 100 is composed of portable devices and wired devices. The former, running on a rechargeable battery, include integrated fingerprint recognition readers, retina scan readers and other biometric data readers. All the aforementioned readers communicate with the central unit via connectivity? Wi-Fi or Bluetooth, without going through the public network, for example through a dedicated one such as a VPN. Fixed/wired devices, on the other hand, like portable devices, have integrated fingerprint recognition readers, retina scan readers and other biometric data readers, and communicate with the central unit via a dedicated LAN network or by exploiting an existing LAN network by adding an additional level of encryption.

Secondo un altro aspetto dell?invenzione, il sistema 100 comprende funzionalit? di controllo quali: According to another aspect of the invention, the system 100 comprises functionalities control such as:

- archivio storico delle e-mail che vengono trasmesse a un attore; - historical archive of e-mails sent to an actor;

- creazione di un termine di paragone per confrontare un?anomalia tramite un?analisi approfondita, pacchetti, dimensioni, diffusione nella Intranet, orari e firme digitali; - creation of a benchmark to compare an anomaly through in-depth analysis, packets, dimensions, diffusion on the intranet, schedules and digital signatures;

- profilazione delle operazioni; - profiling of operations;

- modifica dei file, autorizzazioni e cambiamenti; - controllo e diligenza delle operazioni. - file modification, permissions and changes; - control and diligence of operations.

Pertanto, il sistema e il metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete secondo l?invenzione consente di verificare univocamente, mediante l?acquisizione di dati biometrici e l?analisi dei dati basata su machine learning, l?identit? di utenti ai quali assegna livelli di accesso differenziati. Therefore, the system and method for the authentication, authorization and control of devices on the network according to the invention make it possible to uniquely verify, by means of the acquisition of biometric data and data analysis based on machine learning, the identity of users to whom it assigns differentiated access levels.

Un ulteriore vantaggio del sistema e del metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete secondo l?invenzione ? che implementa un controllo robusto per l?accesso di utenti a servizi di rete, mediante logiche e hardware dedicati. A further advantage of the system and method for authenticating, authorizing and controlling devices on the network according to the invention is which implements robust control for user access to network services, using dedicated logic and hardware.

Inoltre, il sistema e il metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete secondo l?invenzione risulta essere di costo contenuto. Furthermore, the system and method for authenticating, authorizing and controlling devices on the network according to the invention are of low cost.

Infine, il sistema e il metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete secondo l?invenzione ? agevolmente applicabile al modello ISO/OSI e al modello TCP. Finally, the system and the method for the authentication, authorization and control of devices on the network according to the invention ? easily applicable to the ISO/OSI model and the TCP model.

Risulta infine chiaro che al sistema e al metodo per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, qui descritto e illustrato, possono essere apportate modifiche e varianti senza per questo uscire dall?ambito protettivo della presente invenzione, come definito nelle rivendicazioni allegate. Finally, it is clear that modifications and variations can be made to the system and method for authenticating, authorizing and controlling devices on the network, described and illustrated here, without thereby departing from the protective scope of the present invention, as defined in the attached claims.

Claims (11)

RIVENDICAZIONI 1. Sistema (100) per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, comprendente:1. System (100) for authentication, authorization and control of network devices, comprising: - un primo blocco (101) di identificazione di almeno un attore sul sistema (100), atto ad assegnare un livello di accesso a detto almeno un attore;- a first block (101) for identifying at least one actor on the system (100), able to assign an access level to said at least one actor; - un secondo blocco (102) di autenticazione dell?almeno un attore sul sistema (100), mediante dati biometrici e posizione georeferenziata di detto almeno un attore;- a second block (102) for authenticating the at least one actor on the system (100), by means of biometric data and georeferenced position of said at least one actor; - un terzo blocco (103) di autorizzazione dell?almeno un attore sul sistema (100), mediante il livello di accesso assegnato dal primo blocco (101) e alla posizione georeferenziata di detto almeno un attore;- a third block (103) for authorizing the at least one actor on the system (100), by means of the access level assigned by the first block (101) and to the georeferenced position of said at least one actor; - un quinto blocco (105) operativo atto ad assegnare azioni all?almeno un attore, dette azioni essendo atte a essere modificate e/o bloccate da parte di un utente gestore avente livello di accesso superiore al livello di accesso dell?almeno un attore;- a fifth operating block (105) able to assign actions to the at least one actor, said actions being able to be modified and/or blocked by a manager user having an access level higher than the access level of the at least one actor; caratterizzato dal fatto che il secondo blocco (102) di autenticazione comprende dispositivi cablati e/o dispositivi portatili atti ad acquisire i dati biometrici e/o la posizione georeferenziata di detto almeno un attore. characterized in that the second authentication block (102) comprises wired devices and/or portable devices able to acquire the biometric data and/or the georeferenced position of said at least one actor. 2. Sistema (100) per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, caratterizzato dal fatto di comprendere un quarto blocco (104) di controllo di logiche eseguite da detti primo blocco (101), secondo blocco (102) e terzo blocco (103), detto quarto blocco (104) comprendendo un?unit? centrale atta a controllare le logiche eseguite da detti primo blocco (101), secondo blocco (102) e terzo blocco (103) mediante algoritmi di machine learning e reti neurali.2. System (100) for the authentication, authorization and control of devices on the network, characterized in that it comprises a fourth block (104) for controlling the logics executed by said first block (101), second block (102 ) and third block (103), said fourth block (104) comprising a unit? control unit suitable for controlling the logics performed by said first block (101), second block (102) and third block (103) by means of machine learning algorithms and neural networks. 3. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che il livello di accesso dell?almeno un attore ? atto a essere modificato da almeno un utente gestore.3. System (100) according to claim 1, characterized in that the access level of the at least one actor ? capable of being modified by at least one manager user. 4. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che l?unit? centrale ? dotata di connettivit? Wi-Fi o Bluetooth, e di connettivit? cablata su interfaccia Ethernet.4. System (100) according to claim 1, characterized in that the unit? central ? equipped with connectivity Wi-Fi or Bluetooth, and connectivity? wired on Ethernet interface. 5. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che i dispositivi portatili sono dotati di connettivit? Wi-Fi o Bluetooth e sono connessi all?unit? centrale mediante detta connettivit? Wi-Fi o Bluetooth.5. System (100) according to claim 1, characterized in that the portable devices are provided with connectivity? Wi-Fi or Bluetooth and are they connected to the unit? central using said connectivity? WiFi or Bluetooth. 6. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che i dispositivi cablati sono dotati di connettivit? su interfaccia Ethernet e sono connessi all?unit? centrale mediante detta interfaccia Ethernet.6. System (100) according to claim 1, characterized in that the wired devices are provided with connectivity? on the Ethernet interface and are connected to the unit? control panel via this Ethernet interface. 7. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che i dispositivi cablati e i dispositivi portatili comprendono lettori di riconoscimento delle impronte digitali, scanner retinici e lettori di ulteriori dati biometrici.The system (100) according to claim 1, characterized in that the wired devices and the portable devices include fingerprint recognition readers, retinal scanners and readers of further biometric data. 8. Sistema (100) secondo la rivendicazione 1, caratterizzato dal fatto che detto sistema (100) ? applicabile ai layer dello stack ISO/OSI e/o al modello TCP.8. System (100) according to claim 1, characterized in that said system (100) is applicable to ISO/OSI stack layers and/or TCP model. 9. Metodo (200) per l?autenticazione, l?autorizzazione e il controllo di dispositivi in rete, comprendente le seguenti fasi:9. Method (200) for authentication, authorization and control of devices on the network, including the following steps: - (201) identificare almeno un attore ed assegnare un livello 1,2,? n di accessonumerico, dove 1 ? il livello base con accesso minimo, a detto almeno un attore;- (201) identify at least one actor and assign a level 1,2,? n of numeric access, where 1 ? the basic level with minimal access, to said at least one actor; - (202) autenticare l?almeno un attore sul sistema (100), mediante acquisizione di dati biometrici e/o posizione georeferenziata di detto almeno un attore;- (202) authenticating the at least one actor on the system (100), by acquiring biometric data and/or georeferenced position of said at least one actor; - (203) autorizzare l?almeno un attore, in base al livello di accesso assegnato e alla posizione georeferenziata di detto almeno un attore;- (203) authorize the at least one actor, based on the access level assigned and the georeferenced position of said at least one actor; - (205) assegnare azioni all?almeno un attore; - (205) assign shares to at least one actor; - (206) modificare e/o bloccare le azioni, assegnate nella fase precedente, da parte di un utente gestore avente livello di accesso superiore al livello di accesso dell?almeno un attore.- (206) modify and/or block the actions, assigned in the previous phase, by a manager user having an access level higher than the access level of at least one actor. 10. Metodo (200) secondo la rivendicazione 9, caratterizzato dal fatto di comprendere una fase di modifica del livello di accesso dell?almeno un attore da parte di almeno un utente gestore.10. Method (200) according to claim 9, characterized in that it comprises a step of modifying the access level of the at least one actor by at least one manager user. 11. Metodo (200) secondo la rivendicazione 9, caratterizzato dal fatto di comprendere una fase (204) di controllare le logiche eseguite nelle fasi (201), (202), (203) precedenti, in cui un?unit? centrale gestisce le procedure di identificazione, autenticazione e autorizzazione, rilasciando permessi temporanei secondo una procedura di classificazione in cui un demone, installato lato server, logga pacchetti sospetti che vengono scambiati inviando tali log all?unit? di controllo, che effettua uno scraping e un parsing dei log, verificando i pacchetti utilizzando tecniche di machine learning e neural network, paragonando dei modelli analitici e identificando eventuali anomalie che conseguono l?attivazione di un?azione. 11. Method (200) according to claim 9, characterized in that it comprises a step (204) of controlling the logics performed in the previous steps (201), (202), (203), in which a unit? central unit manages the identification, authentication and authorization procedures, issuing temporary permits according to a classification procedure in which a daemon, installed on the server side, logs suspicious packets that are exchanged by sending these logs to the unit? control, which scrapes and parses the logs, checking the packets using machine learning and neural network techniques, comparing analytical models and identifying any anomalies that follow the activation of an action.
IT102021000021491A 2021-08-06 2021-08-06 System for authentication, authorization and control of network devices IT202100021491A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102021000021491A IT202100021491A1 (en) 2021-08-06 2021-08-06 System for authentication, authorization and control of network devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102021000021491A IT202100021491A1 (en) 2021-08-06 2021-08-06 System for authentication, authorization and control of network devices

Publications (1)

Publication Number Publication Date
IT202100021491A1 true IT202100021491A1 (en) 2023-02-06

Family

ID=78770881

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102021000021491A IT202100021491A1 (en) 2021-08-06 2021-08-06 System for authentication, authorization and control of network devices

Country Status (1)

Country Link
IT (1) IT202100021491A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008027247A2 (en) 2006-08-28 2008-03-06 National Biometric Security Project A method and system for authenticating and validating identities based on multi-modal biometric templates and special codes in a substantially anonymous process
US20140013400A1 (en) * 2012-07-03 2014-01-09 Salesforce.Com, Inc. Computer implemented methods and apparatus for managing permission sets and validating user assignments
US20180260553A1 (en) * 2013-05-13 2018-09-13 Veridium Ip Limited System and method for authorizing access to access-controlled environments
US20200366671A1 (en) * 2019-05-17 2020-11-19 Q5ID, Inc. Identity verification and management system
US20200380106A1 (en) * 2014-12-23 2020-12-03 Ebay Inc. System and Method For Unlocking Devices Associated With A Carrying Bag

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008027247A2 (en) 2006-08-28 2008-03-06 National Biometric Security Project A method and system for authenticating and validating identities based on multi-modal biometric templates and special codes in a substantially anonymous process
US20140013400A1 (en) * 2012-07-03 2014-01-09 Salesforce.Com, Inc. Computer implemented methods and apparatus for managing permission sets and validating user assignments
US20180260553A1 (en) * 2013-05-13 2018-09-13 Veridium Ip Limited System and method for authorizing access to access-controlled environments
US20200380106A1 (en) * 2014-12-23 2020-12-03 Ebay Inc. System and Method For Unlocking Devices Associated With A Carrying Bag
US20200366671A1 (en) * 2019-05-17 2020-11-19 Q5ID, Inc. Identity verification and management system

Similar Documents

Publication Publication Date Title
CN111903104B (en) Method and system for performing user authentication
CN110213246B (en) Wide-area multi-factor identity authentication system
US8843760B2 (en) Biometric identification method
US9755830B2 (en) Dynamic seed and key generation from biometric indicia
US8225384B2 (en) Authentication system for enhancing network security
CN112330855B (en) Electronic lock safety management method, equipment and system
US20220114245A1 (en) Method and system for performing user authentication
Liu et al. Enabling secure and privacy preserving identity management via smart contract
US20220311763A1 (en) Method and system for performing user authentication
CN105809005A (en) Method for locking or unlocking computer screen based on fingerprints
US9654470B2 (en) Multi-function smart communication card
WO2021211983A1 (en) Systems, methods, and non-transitory computer-readable media for secure biometrically-enhanced data exchanges and data storage
CN116248277A (en) Zero-trust security processing method and system for authentication encryption of Internet of things equipment
WO2019200958A1 (en) Composite identity authentication method and composite identity authentication system using same
US20150089240A1 (en) Biometric management system
US10482225B1 (en) Method of authorization dialog organizing
US10073961B2 (en) Authentication system, user terminal, control device, service providing device, program, and authentication method
KR102208139B1 (en) Approval system and approval method for connecting bio recognition device and cloud server
US20060026427A1 (en) Method and system for entity authentication using an untrusted device and a trusted device
US11165773B2 (en) Network device and method for accessing a data network from a network component
CN109584421A (en) A kind of intelligent door lock authentication administrative system based on domestic safety chip
CN112685702B (en) An intelligent dynamic authorization system for external visitors
IT202100021491A1 (en) System for authentication, authorization and control of network devices
CN113221084A (en) Charging authentication method, device, system, charging equipment and storage medium
US20230269249A1 (en) Method and system for performing user authentication