Enhanced Security for Mobile User Authentication and Single Sign-On

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
School of Science | Doctoral thesis (article-based) | Defence date: 2016-11-11
Date
2016
Major/Subject
Mcode
Degree programme
Language
en
Pages
93 + app. 113
Series
Aalto University publication series DOCTORAL DISSERTATIONS, 226/2016
Abstract
Single Sign-on (SSO) systems simplify user authentication for the many online services that we need to access every day. Solutions exist for both intra-organizational use and for the open web. While SSO systems meet their main goal of reducing the number of passwords that a user needs to memorize, many other aspects can still be improved. The goal of this thesis is to investigate how digital user identities are linked to real world identities, what opportunities and challenges mobile devices bring to the SSO systems, and how SSO sessions are managed after the initial authentication. Many countries all around the world provide citizen authentication methods based on smart cards or other credentials. Most of these offer strong two-factor authentication and APIs for integration to private and commercial systems. However, organizations may want to implement strong authentication by themselves without relying on specific national identity systems. We designed and implemented a system that provides two-factor user authentication with mobile phone as a secure store for service-issued credentials. Mobile devices also give rise to questions about session mobility. Stateless web applications that are distributed between the browser and the cloud may store only authentication session information in the client device. We implemented session migration that allows SSO sessions to be moved from one device to another. This enables users to change to the best available device, such as switching between a desktop computer and a mobile device, and still continue working without reauthentication. Moreover, most SSO systems focus on the authentication at the beginning of sessions. We observe that the ending of sessions can be confusing and lead to security failures. We investigate logout in existing SSO systems and suggest separating the concepts of local and global logout. As the computing environment changes, for example, applications move to mobile and cloud platforms, there is continuous need to update authentication technologies. This thesis proposes several incremental improvements to SSO systems and addresses various pain-points from the user's and developer's points of view.

Kertakirjautumisjärjestelmien (SSO) tarkoitus on yksinkertaistaa käyttäjien tunnistamista verkkopalveluissa. Erilaisia SSO-ratkaisuja on tarjolla sekä organisaation sisäiseen käyttöön että avoimille web-palveluille. Niiden ensisijainen tavoite on vähentää muistettavien salasanojen määrää, mutta järjestelmien suunnitteluun liittyy muitakin tekijöitä, joita voidaan kehittää edelleen. Tämän väitöskirjatutkimuksen tavoitteena on selvittää, kuinka käyttäjän digitaaliset identiteetit ovat linkittyneet todellisen maailman identiteetteihin, mitä mahdollisuuksia ja haasteita mobiililaitteet tuovat kertakirjautumisjärjestelmille, ja miten kertakirjautumisjärjestelmän istuntoja hallitaan käyttäjän tunnistamisen jälkeen. Useissa maissa on otettu käyttöön kansallisia järjestelmiä kansalaisten tunnistamiseen sähköisissä palveluissa esimerkiksi älykortteihin ja varmenteisiin perustuen. Nämä järjestelmät toteuttavat yleensä vahvan kaksivaiheisen todennuksen ja tarjoavat palvelurajapintoja yksityisille ja kaupallisille järjestelmille. Kansalliset varmenteet eivät kuitenkaan aina sovellu yksityisten organisaatioiden ja palveluiden käyttöön. Tässä työssä suunnittelimme ja toteutimme kaksivaiheisen käyttäjän tunnistuksen, jossa matkapuhelin toimii turvallisena talletuspaikkana palvelun antamille varmenteille. Mobiililaitteiden myötä herää myös kysymys käyttäjän istuntojen liikkuvuudesta. Selaimen ja pilven välille hajautetut tilattomat web-sovellukset tallettavat usein pelkän istuntoevästeen käyttäjän laitteelle. Käytimme tätä hyväksi kertakirjautumisistuntojen siirtämiseksi laitteelta toiselle. Käyttäjä voi vaihtaa käyttämäänsä laitetta tarpeen mukaan, esimerkiksi tietokoneen ja mobiililaitteen välillä, ja jatkaa työskentelyä ilman uudelleenkirjautumista. Suurin osa käytössä olevista SSO-järjestelmistä keskittyy käyttäjän tunnistamiseen istunnon alussa. Istunnon päättymiseen on kiinnitetty vähemmän huomiota. Uloskirjautumista on usein vaikea ymmärtää, mikä johtaa tietoturvaongelmiin. Väitöskirjan osana tutkimme uloskirjautumisen ongelmia ja ehdotamme ratkaisuksi palvelukohtaisen ja yleisen uloskirjautumisen käsitteiden erottamista toisistaan. Käyttäjän todentamisen tekniikat vaativat jatkuvaa kehittämistä, kun niiden toimintaympäristö muuttuu, esimerkiksi palvelut siirtyvät mobiililaitteille ja pilvialustoille. Tässä väitöskirjassa esitetyt ratkaisut tuovat useita pieniä parannuksia kertakirjautumisjärjestelmiin ja korjaavat ongelmakohtia käyttäjän ja kehittäjän näkökulmista.
Description
Supervising professor
Aura, Tuomas, Prof., Aalto University, Department of Computer Science, Finland
Keywords
computer security, authentication, single sign-on, identity management, tietoturvallisuus, tunnistus, kertakirjautuminen, identiteetinhallinta, SSO
Other note
Parts
  • [Publication 1]: Linda Källström, Simone Leggio, Jukka Manner, Tommi Mikkonen, Kimmo Raatikainen, Jussi Saarinen, Sanna Suoranta, and Antti Ylä-Jääski. A Framework for Seamless Service Interworking in Ad-hoc Networks. Computer Communications, 29, pp 3277-3294, Elsevier, June 2006.
    DOI: 10.1016/j.comcom.2006.05.003 View at publisher
  • [Publication 2]: Sanna Suoranta, Jani Heikkinen, and Pekka Silvekoski. Authentication Session Migration. NORDSEC 2010 The 15th Nordic Conference on Secure IT Systems, LNCS 7127, Espoo, Finland, pp. 17-32, Springer, October 2012.
    DOI: 10.1007/978-3-642-27937-9_2 View at publisher
  • [Publication 3]: Sanna Suoranta, André Andrade, and Tuomas Aura. Strong Authentication with Mobile Phone. Information Security, 15th International Conference, ISC2012, LNCS 7483, Passau, Germany, pp. 70-85, Springer, September 2012.
    DOI: 10.1007/978-3-642-33383-5_5 View at publisher
  • [Publication 4]: Sanna Suoranta, Asko Tontti, Joonas Ruuskanen, and Tuomas Aura. Logout in Single Sign-on Systems. Policies and Research in Identity Management, Third IFIP WG 11.6. Working Conference, IDMAN 2013, London, UK, pp 147-160, Springer, April 2013.
    DOI: 10.1007/978-3-642-37282-7_14 View at publisher
  • [Publication 5]: Sanna Suoranta, Kamran Manzoor, Asko Tontti, Joonas Ruuskanen, and Tuomas Aura. Logout in Single Sign-on Systems: Problems and solutions. Journal of Information Security and Applications, 19, pp 61-77, Elsevier, February 2014.
    DOI: 10.1016/j.jisa.2014.03.005 View at publisher
  • [Publication 6]: Sanna Suoranta, Lari Haataja, and Tuomas Aura. Electronic Citizen Identities and Strong Authentication. NORDSEC 2015. The 20th Nordic Conference on Secure IT Systems, LNCS 9417, Stockholm, Sweden, pp. 213-230, Springer, October 2015.
    DOI: 10.1007/978-3-319-26502-5_16 View at publisher
Citation