KR101385812B1 - 신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치 - Google Patents

신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치 Download PDF

Info

Publication number
KR101385812B1
KR101385812B1 KR1020127005373A KR20127005373A KR101385812B1 KR 101385812 B1 KR101385812 B1 KR 101385812B1 KR 1020127005373 A KR1020127005373 A KR 1020127005373A KR 20127005373 A KR20127005373 A KR 20127005373A KR 101385812 B1 KR101385812 B1 KR 101385812B1
Authority
KR
South Korea
Prior art keywords
request message
credential information
service request
network
service
Prior art date
Application number
KR1020127005373A
Other languages
English (en)
Other versions
KR20120047989A (ko
Inventor
에릭 빌랑쥬
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20120047989A publication Critical patent/KR20120047989A/ko
Application granted granted Critical
Publication of KR101385812B1 publication Critical patent/KR101385812B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

설명된 장치 및 방법은 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하고 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하도록 구성된 보안 에이전트를 포함할 수도 있다. 보안 에이전트는 또한, 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하도록 구성되고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 보안 에이전트는 또한, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하도록 구성된다.

Description

신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치{DEVICE, METHOD, AND APPARATUS FOR AUTHENTICATION ON UNTRUSTED NETWORKS VIA TRUSTED NETWORKS}
다음 설명은 일반적으로 무선 통신에 관한 것이며, 보다 상세하게는, 신뢰된 네트워크들을 통한 신뢰되지 않는 네트워크들에서의 인증에 관한 것이다.
무선 통신 시스템들은 음성, 데이터 등과 같은 다양한 타입들의 통신 콘텐츠를 제공하기 위해서 광범위하게 사용된다. 이러한 시스템들은 가용 시스템 리소스들 (예를 들어, 대역폭 및 송신 전력) 을 공유함으로써, 다수의 사용자들과의 통신을 지원할 수 있는 다중-액세스 시스템들일 수 있다. 이러한 다중-액세스 시스템들의 예들은 코드 분할 다중 액세스 (CDMA) 시스템들, 시분할 다중 액세스 (TDMA) 시스템들, 주파수 분할 다중 액세스 (FDMA) 시스템들, 3 세대 파트너쉽 프로젝트 (3GPP) 롱 텀 에볼루션 (LTE) 시스템, 및 직교 주파수 분할 다중 액세스 (OFDMA) 시스템들을 포함한다.
다중 액세스 시스템과 통신할 수 있는 이동 디바이스들은 또한, 인터넷에서 이용가능한 서비스에 액세스하기 위해서, 802.11 (Wi-Fi), IEEE 802.16 (WiMAX), 무선 로컬 영역 네트워크 (LAN), 및 블루투스와 같은 로컬 (예를 들어, 개인) 데이터 네트워크와 통신하도록 동작할 수도 있다. 이러한 네트워크들에 액세스할 이동 디바이스에 대하여 신뢰의 정도 또는 관계가 요구되지 않을 수도 있기 때문에 이러한 네트워크를 "신뢰되지 않는 네트워크들 (untrusted networks)"로 지칭할 수 있다.
또한, 이동 디바이스들에 대한 데이터 서비스는, 그 이동 디바이스가 가입을 유지하는 이동통신 사업자를 통해 이용가능 할 수 있다. 이들 서비스들에 액세스하는 경우, 이동통신 사업자와 서비스 제공자 간에 확립된 관계 때문에, 이동 디바이스는 이동통신 사업자를 통해 서비스에 대한 거래를 수행할 것을 요구받을 수도 있다. 어떤 경우, 이러한 거래가 로컬 데이터 네트워크, 예를 들어, Wi-Fi 핫스팟을 통해 허가되지 못할 수도 있는데, 로컬 데이터 네트워크가 이동 디바이스를 이동통신 사업자의 가입자로서 인증하지 않기 때문이다. 결과적으로, 사용자는, 대부분의 경우 더 값비싸고 많은 신뢰되지 않은 데이터 네트워크들 보다 적은 대역폭 용량을 갖는 이동통신 사업자 네트워크를 통해, 서비스 제공자의 서비스에 액세스하도록 요구받을 수도 있다.
이러한 문제점을 다루기 위한 일 기술은, 신뢰되지 않은 로컬 데이터 네트워크를 통해 서비스 제공자의 서비스에 액세스하기 위해서 이동 디바이스의 사용자가 사용자명과 패스워드를 입력할 것을 요구하는 수동 인증 절차를 개시하는 것이다. 그러나, 이러한 접근은, 사용자에게 너무 부담이 될 수도 있는 거래 프로세스에 복잡성의 수준을 추가한다.
결과적으로, 신뢰되지 않은 네트워크 (예를 들어, 로컬 데이터 네트워크) 에서의 인증을 개선할 필요가 있다.
이하, 하나 이상의 양태들의 기본적인 이해를 제공하기 위해 이러한 양태들의 간략화된 요약을 제시한다. 이 요약은 모든 고려되는 양태들의 광범위한 개요가 아니며 모든 양태들의 핵심적인 또는 중요한 엘리먼트들을 식별하거나 임의의 또는 모든 양태들의 범위를 한정하도록 의도되지 않는다. 그것의 유일한 목적은 추후에 제시되는 더욱 상세한 설명에 대한 서문으로서 간략화된 형태로 본 개시의 하나 이상의 양태들의 몇몇 개념들을 제시하는 것이다.
본 개시의 일 양태에 따르면, 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상에서 이동 디바이스를 인증하는 방법이 제공된다. 이 방법은, 이동 디바이스에 의해, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하는 단계 및 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하는 단계를 포함한다. 방법은 또한, 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하는 단계를 더 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 방법은 또한, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하는 단계를 더 포함한다.
본 개시의 다른 양태에 따르면, 무선 통신 장치가 제공된다. 이 장치는, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하고 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하도록 구성된 보안 에이전트 (security agent) 를 포함한다. 보안 에이전트는 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하도록 또한 구성되고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 보안 에이전트는 또한, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하도록 구성된다.
본 개시의 추가의 양태에 따르면, 다른 장치가 제공된다. 이 장치는, 이동 디바이스에 의해, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하기 위한 수단 및 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하기 위한 수단을 포함한다. 장치는 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하기 위한 수단을 더 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 장치는 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하기 위한 수단을 더 포함한다.
본 개시의 또 다른 추가의 양태에 따르면, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 판독가능 매체는, 컴퓨터로 하여금, 이동 디바이스에 의해, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하도록 하기 위한 적어도 하나의 명령을 포함한다. 컴퓨터 판독가능 매체는 컴퓨터로 하여금 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하도록 하기 위한 적어도 하나의 명령들 더 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터로 하여금 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하도록 하기 위한 적어도 하나의 명령을 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 컴퓨터 판독가능 매체는, 컴퓨터로 하여금 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하도록 하기 위한 적어도 하나의 명령을 더 포함한다.
본 개시의 또 다른 추가의 양태에 따르면, 무선 통신 장치가 제공된다. 무선 통신 장치는, 이동 디바이스에 의해, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 송신하고 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하도록 구성된 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세서는 또한, 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하도록 구성되고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 적어도 하나의 프로세서는 또한, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하도록 구성된다.
본 개시의 또 다른 추가의 양태에 따르면, 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상에서 이동 디바이스를 인증하는 방법이 제공된다. 이 방법은, 서비스 제공자에서, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하는 단계, 및 크리덴셜 정보를 생성하는 단계를 포함한다. 방법은, 신뢰된 네트워크를 통해 크리덴셜 정보를 송신하는 단계 및 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하는 단계를 더 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 방법은, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하는 단계를 더 포함한다.
본 개시의 또 다른 추가의 양태에 따르면, 무선 통신 장치가 제공된다. 이 장치는, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하고 크리덴셜 정보를 생성하도록 구성된 서비스 제공자를 포함한다. 서비스 제공자는 또한, 신뢰된 네트워크를 통해 크리덴셜 정보를 송신하고 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하도록 구성되고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 서비스 제공자는 또한, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 구성된다.
본 개시의 또 다른 추가의 양태에 따르면, 장치가 제공된다. 이 장치는, 서비스 제공자에서, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하기 위한 수단, 및 크리덴셜 정보를 생성하기 위한 수단을 포함한다. 장치는, 신뢰된 네트워크를 통해 크리덴셜 정보를 송신하기 위한 수단 및 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하기 위한 수단을 더 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 장치는, 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하기 위한 수단을 더 포함한다.
본 개시의 또 다른 추가의 양태에 따르면, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 판독가능 매체는, 컴퓨터로 하여금, 서비스 제공자에서, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하도록 하기 위한 적어도 하나의 명령, 및 크리덴셜 정보를 생성하도록 하기 위한 적어도 하나의 명령을 포함한다. 컴퓨터 판독가능 매체는, 컴퓨터로 하여금 신뢰된 네트워크를 통해 크리덴셜 정보를 송신하도록 하기 위한 적어도 하나의 명령 및 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하도록 하기 위한 적어도 하나의 명령을 더 포함하고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 또한, 컴퓨터 판독가능 매체는, 컴퓨터로 하여금 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 하기 위한 적어도 하나의 명령을 포함한다.
본 개시의 또 다른 추가의 양태에 따르면, 무선 통신 장치가 제공된다. 장치는, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하고 크리덴셜 정보를 생성하도록 구성된 적어도 하나의 프로세서를 포함한다. 적어도 하나의 프로세서는 또한, 신뢰된 네트워크를 통해 크리덴셜 정보를 송신하고 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하도록 구성되고, 여기서 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함한다. 또한, 적어도 하나의 프로세서는 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 구성된다.
상술한 및 관련된 목적들의 달성을 위해, 하나 이상의 양태들은 아래에서 충분히 기술되며 특히 청구범위에서 지목되는 특징들을 포함한다. 이하의 상세한 설명 및 첨부된 도면들은 하나 이상의 양태들의 특정한 예시적인 특징들을 상세히 기술한다. 그러나, 이 특징들은 다양한 양태들의 원리들이 이용될 수 있는 다양한 방법들 중 일부를 나타내고, 본 상세한 설명은 모든 이러한 양태들 및 그 등가물들을 포함하도록 의도된다.
이하 개시된 양태는, 예시를 제공하며 개시된 양태들로 제한되지 않는 첨부 도면과 연결하여 설명되며, 동일한 도면 부호는 동일한 엘리먼트를 지칭한다.
도 1 은, 일 양태에 따라, 신뢰되지 않은 네트워크를 통해 서비스 제공자에게 액세스하는 이동 디바이스를 인증하기 위해 신뢰된 네트워크를 사용하기 위한 예시적인 시스템을 도시하는 블록도이다.
도 2 는, 일 양태에 따라, 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크에 대한 인증을 용이하게 하는 예시적인 이동 디바이스의 블록도이다.
도 3 은, 일 양태에 따라, 이동 디바이스에 의한 사용을 위해 크리덴셜 정보를 생성하는 예시적인 시스템의 블록도이다.
도 4 는, 일 양태에 따라, 이동 디바이스의 관점으로부터 바람직한 네트워크 인증 프로세스의 예를 도시하는 흐름도이다.
도 5 는, 일 양태에 따라, 서비스 제공자의 관점으로부터 바람직한 네트워크 인증 프로세스의 예를 도시하는 흐름도이다.
도 6 은, 일 양태에 따라, 이동 디바이스의 관점으로부터 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상의 이동 디바이스의 인증을 수행하는 예시적인 시스템의 예시이다.
도 7 은, 일 양태에 따라, 서비스 제공자의 관점으로부터 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상의 이동 디바이스의 인증을 수행하는 예시적인 시스템의 예시이다.
본 개시의 하나 이상의 양태들에 따르면, 신뢰된 네트워크 (예를 들어, 이동통신 사업자 등) 를 이용하여 신뢰되지 않은 네트워크 (예를 들어, 로컬 영역 네트워크 (LAN) 등) 상에서 이동 디바이스를 인증하도록 통신 시스템이 구성되어, 이동 디바이스가 더 값비싼 신뢰된 네트워크보다는 신뢰되지 않은 네트워크를 통해 서비스 제공자로부터 서비스를 수신할 수도 있다.
일 양태에서, 인증은 신뢰된 네트워크를 통해 서비스 제공자로부터 크리덴셜 정보를 획득한 후, 이 크리덴셜 정보를 이용하여 신뢰되지 않은 네트워크를 통해 서비스 제공자로부터 서비스를 수신함으로써 달성될 수도 있다.
이제, 다양한 양태들을 도면을 참조하여 설명한다. 다음 설명에서, 설명을 위해서, 하나 이상의 양태들의 완전한 이해를 제공하기 위해서 많은 특정 상세들이 제시된다. 그러나, 그러한 양태(들)은 이들 특정 상세들 없이 실시될 수도 있다는 것이 명백하다.
본 출원에서 이용되는 용어들 "컴포넌트", "모듈," "시스템" 등은 하드웨어, 펌웨어, 하드웨어 및 소프트웨어의 조합, 소프트웨어, 또는 실행 중인 소프트웨어 와 같은 컴퓨터 관련 엔티티를 지칭하는 것으로 의도되지만, 이에 제한되지는 않는다. 예를 들어, 컴포넌트는 프로세서 상에서 실행되는 프로세스, 프로세서, 객체, 실행가능성 (executable), 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 디바이스 상에서 실행되는 애플리케이션 및 컴퓨팅 디바이스 양자 모두가 컴포넌트일 수 있다. 하나 이상의 컴포넌트들은 프로세스 및/또는 실행 스레드 내에 상주할 수 있고, 하나의 컴포넌트는 하나의 컴퓨터에 로컬화될 수 있고/있거나 2 개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이들 컴포넌트들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능 매체로부터 실행할 수 있다. 컴포넌트들은, 예를 들어, 신호에 의해 로컬 시스템에서, 분배형 시스템에서, 다른 컴포넌트와, 그리고/또는 네트워크 예컨대, 인터넷을 통해 다른 시스템들과 상호작용하는 하나의 컴포넌트로부터의 데이터와 같이, 하나 이상의 데이터 패킷들을 갖는 신호에 따라 로컬 및/또는 원격 프로세스들의 방식으로 통신할 수도 있다.
또한, 다양한 양태들이 유선 단말기 또는 무선 단말기일 수 있는 단말기와 관련하여 본원에 설명된다. 단말기는 또한 시스템, 디바이스, 가입자 유닛, 가입자국, 이동국, 모바일, 이동 디바이스, 원격국, 원격 단말기, 액세스 단말기, 사용자 단말기, 단말기, 통신 디바이스, 사용자 에이전트, 사용자 디바이스 또는 사용자 장비 (UE) 로 지칭될 수 있다. 무선 단말기는 셀룰러 전화, 위성 전화, 코드리스 전화, 세션 개시 프로토콜 (SIP) 폰, 무선 로컬 루프 (WLL) 스테이션, 개인용 휴대 정보 단말기 (PDA), 무선 접속 능력을 갖는 핸드헬드 디바이스, 컴퓨팅 디바이스 또는 무선 모뎀에 접속된 다른 처리 디바이스들일 수도 있다. 또한, 다양한 양태들이 기지국과 관련하여 본원에서 설명된다. 기지국은 무선 단말(들)과 통신하기 위해서 이용될 수도 있으며, 또한 액세스 포인트, 노드 B, 일부 다른 용어로 지칭될 수 있다.
또한, 용어 "또는" 은 배타적인 (exclusive) "또는" 보다는 포괄적 "또는" 을 의미하고자 하는 것이다. 즉, 달리 규정되지 않거나, 문맥에서 명확하다면, "X 가 A 또는 B 를 채택한다" 는 문구는 임의의 자연스러운 포함적 변형을 의미하고자 하는 것이다. 즉, "X 가 A 또는 B를 채택한다" 는 문구는 다음의 예들 중 어느 것을 충족한다: X 가 A 를 채택하거나; X 가 B 를 채택하거나; X 가 A 및 B 양자 모두를 채택한다. 추가로, 본 출원 및 첨부된 청구항들에서 이용되는 바로서 단수 형태는 달리 규정되거나 단수 형태를 지향하는 것으로 문맥상 명확하지 않다면 일반적으로 "하나 이상" 을 의미하는 것으로 해석되어야 한다.
본원에 설명된 기술들은 CDMA, TDMA, FDMA, OFDMA, SC-FDMA 및 다른 시스템과 같은 다양한 무선 통신 시스템용으로 이용될 수도 있다. "시스템" 및 "네트워크" 라는 용어들은 종종 상호교환가능하게 사용된다. CDMA 시스템은 UTRA (Universal Terrestrial Radio Access), cdma2000 등과 같은 무선 기술을 구현할 수도 있다. UTRA 는 광대역 CDMA (W-CDMA) 및 CDMA 의 다른 변형을 포함한다. 또한, cdma2000 은 IS-2000, IS-95 및 IS-856 표준들을 커버한다. TDMA 시스템은 GSM (Global System for Mobile Communications) 과 같은 무선 기술을 구현할 수도 있다. OFDMA 시스템은 E-UTRA (Evolved UTRA), UMB (Ultra Mobile Broadband), IEEE 802.11 (Wi-Fi), IEEE 802.16 (WiMAX), IEEE 802.20, Flash-OFDM 등과 같은 무선 기술을 구현할 수도 있다. UTRA 및 E-UTRA는 UMTS (Universal Mobile Telecommunication System) 의 일부이다. 3GPP LTE (Long Term Evolution) 는 E-UTRA 를 이용하는 UMTS의 릴리즈 (release) 인데, 이는 다운링크 상에서 OFDMA 를 이용하고 업링크 상에서 SC-FDMA 를 이용한다. UTRA, E-UTRA, UMTS, LTE 및 GSM 은 "3 세대 파트너쉽 프로젝트 (3GPP)" 라 명명된 기관으로부터의 문서에서 기술된다. 추가로, cdma2000 및 UMB 는 "3 세대 파트너쉽 프로젝트 2 (3GPP2)" 라 명명된 기관으로부터의 문서에서 기술된다. 또한, 이러한 무선 통신 시스템은 언페어드 미허가된 스펙트럼 (unpaired unlicensed spectrums), 802.xx 무선 LAN, 블루투스 (BLUETOOTH) 및 임의의 다른 단거리 또는 장거리 무선 통신 기법들을 종종 이용하는 피어-투-피어 (예를 들어, 모바일-투-모바일) 애드 혹 (ad hoc) 네트워크 시스템들을 추가로 포함할 수도 있다.
다수의 디바이스, 컴포넌트, 모듈 등을 포함할 수도 있는 시스템에 관하여 각종 양태들 또는 특징들이 제시된다. 각종 시스템들은 추가적인 디바이스, 컴포넌트, 모듈 등을 포함할 수도 있고/있거나 도면들과 연결하여 논의되는 디바이스, 컴포넌트, 모듈 등 모두를 포함하지 않을 수도 있다는 것을 이해한다. 이들 접근들의 조합이 또한 이용될 수도 있다.
추가적으로, 본 사안의 설명에서, 단어 "예시적인"은 예, 실례 또는 예증으로서의 역할을 의미하도록 사용된다. "예시적"으로 본원에 설명된 임의의 양태 또는 설계는 다른 양태 또는 설계보다 바람직하거나 유리한 것으로 해석될 필요는 없다. 오히려, 예시적인 단어의 사용은 개념을 구체적인 방식으로 나타내도록 의도된다.
도 1 은, 일 양태에 따라, 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자 (108) 에 대한 보안 액세스를 이동 디바이스 (102) 에 제공하기 위해 신뢰된 네트워크 (104) 를 사용하도록 구성된 시스템 (100) 을 도시하는 블록도이다. 도 1 에 도시된 바와 같이, 이동 디바이스 (102) 는 신뢰된 네트워크 (104) 및 신뢰되지 않은 네트워크 (106) 와 통신을 확립할 수도 있다. 신뢰된 네트워크 (104) 및 신뢰되지 않은 네트워크 (106) 는 이동 디바이스 (102) 를 대신하여 서비스 제공자 (108) 와 차례로 통신을 확립할 수도 있다. 이동 디바이스 (102) 는 적어도 셀룰러 통신 능력과 무선 데이터 통신 능력 (예를 들어, Wi-Fi, WiMax, Bluetooth 등) 을 갖는 무선 디바이스일 수도 있다. 신뢰된 네트워크 (104) 는, 셀룰러 캐리어 네트워크와 같이 무선 디바이스 (102) 가 인증된 가입자인 네트워크일 수도 있으나, 이에 제한되지는 않는다. 신뢰되지 않은 네트워크 (106) 는, 로컬 영역 네트워크 (LAN), 인터넷 프로토콜 (IP) 네트워크, Wi-Fi, WiMax, 블루투스, 또는 인터넷/웹 액세스 포인트 네임 (APN) 등과 같이, 이동 디바이스 (102) 에 대한 데이터 액세스를 제공할 수 있는 임의의 네트워크일 수도 있다. 서비스 제공자 (108) 는, 이동 디바이스 (102) 에 몇몇 종류의 데이터 서비스 (예를 들어, 은행업무, 머천트 등) 를 제공할 수 있는 인터넷 또는 임의의 다른 네트워크에 위치된 데이터 서버일 수도 있다.
동작 동안, 일 양태에서, 이동 디바이스 (102) 의 사용자 또는 오퍼레이터가 서비스 제공자 (108) 에 의해 제공된 서비스 (예를 들어, 기상 위젯 등) 에 액세스하기를 원하는 경우, 사용자는 서비스에 액세스하기 위한 프로그램을 이동 디바이스 (102) 상에서 개시할 수도 있다. 이동 디바이스 (102) 는 이용가능한 네트워크를 자동으로 검출할 수도 있다. 예를 들어, 도 1 에 도시된 바와 같이, 신뢰된 네트워크 (104) 및 신뢰되지 않은 네트워크 (106) 는 이동 디바이스 (102) 에 이용가능한 네트워크일 수도 있다. 이동 디바이스 (102) 는, 네트워크의 현재 상태 (예를 들어, 신뢰된 상태 또는 신뢰되지 않은 상태) 를 나타내는 저장된 정보에 기초하여 검출된 네트워크의 상태가 신뢰되었는지 또는 신뢰되지 않았는지 여부를 결정할 수도 있다. 이러한 정보는, 예를 들어, 이동 디바이스 (102) 의 메모리에 저장될 수도 있다. 검출된 네트워크의 상태가 이동 디바이스 (102) 에 저장되지 않으면, 이동 디바이스 (102) 는 임의의 적절한 수단에 의해 서비스 제공자 (108) 로부터, 검출된 네트워크의 상태를 획득할 수도 있다. 네트워크 이용가능성에 기초하여, 이동 디바이스 (102) 는 그 후 서비스 제공자 (108) 와의 통신 경로를 결정할 수도 있다. 통신의 경로는 신뢰된 네트워크 (104) 를 통한 것 또는 신뢰되지 않은 네트워크 (106) 를 통한 것 중 어느 하나일 수도 있다.
통신 경로의 결정 시, 이동 디바이스 (102) 는 신뢰된 네트워크 (104) 및 신뢰되지 않은 네트워크 (106) 의 각종 통신 파라미터들을 비교하고, 보다 바람직한 통신 파라미터를 갖는 네트워크를 선택하기 위한 적절한 알고리즘을 구현할 수도 있다. 예를 들어, 신뢰된 네트워크가 저렴하고, 강력한 신호를 가지며/갖거나 신뢰된 네트워크보다 우수한 서비스 품질을 제공한다면, 이동 디바이스는 신뢰되지 않은 네트워크를 통해 서비스에 액세스할 것을 자동으로 결정할 수도 있다. 다르게는, 사용자는 또한, 서비스 제공자 (108) 와의 통신을 위해 신뢰된 네트워크 (106) 를 자동으로 선택하도록 이동 디바이스 (102) 를 수동적으로 구성할 수도 있다. 예를 들어, 신뢰되지 않은 네트워크 (106) 가 Wi-Fi 접속을 지원하는 사용자의 개인 무선 LAN 이고, 신뢰된 네트워크 (104) 가, 사용자가 가입자인 셀룰러 캐리어 네트워크이면, 사용자는 더 빠른 데이터 전송 속도 및 저렴한 접속료 때문에 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자 (108) 의 서비스에 액세스하기를 더 선호할 수도 있다.
일 양태에서, 이동 디바이스 (102) 가, 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자 (108) 에 액세스하도록 구성된 후, 이동 디바이스는, 이것이 서비스 제공자 (108) 로부터 세션 토큰을 획득했는지 여부를 결정할 수도 있으며, 세션 토큰은 크리덴셜 정보를 포함하거나 그렇지 않으면 크리덴셜 정보로 지칭된다. 세션 토큰은, 서비스 제공자 (108) 의 서비스에 액세스하도록 이동 디바이스 (102) 를 인증하는 신뢰된 네트워크 (104) 의 가입자로서 이동 디바이스 (102) 를 식별하는 데이터 정보일 수 있다. 이동 디바이스 (102) 가 세션 토큰을 아직 획득하지 않은 경우, 또는 세션 토큰이 이미 만료된 경우, 이동 디바이스 (102) 는 제 1 요청 메시지를 신뢰된 네크워크 (104) 를 통해 서비스 제공자 (108) 에게 송신할 수도 있다. 제 1 요청 메시지는 임의의 적절한 포맷 (예를 들어, HTTP (Hypertext Transfer Protocol), TCP (Transmission Control Protocol), UDP (User Datagram Protocol) 등) 으로, 서비스에 대한 액세스를 요청하려는 서비스 제공자 (108) 에게 송신될 수도 있다.
제 1 요청 메시지의 수신 시에, 신뢰된 네트워크 (104) 는, 제 1 요청 메시지가 신뢰된 네트워크 (104) 의 가입자로부터 전송되었고, 서비스 제공자 (108) 와의 데이터 접속을 구축하도록 이동 디바이스 (102) 가 인증되었음을 확인할 수도 있다. 일단 아이덴티티와 데이터 액세스 특권이 확인되면, 신뢰된 네트워크 (104) 는 추가 정보를 이용하여 이동 디바이스 (102) 로부터 수신된 제 1 요청 메시지를 변형하여서, 서비스 제공자 (108) 는 추가 정보를 포함하는 후속 메시지가 신뢰된 네트워크 (104) 의 인증된 가입자에게 속하는 것으로 인식할 수도 있다. 예를 들어, 일 양태에서, 신뢰된 네트워크 (104) 는 추가 헤더를 이동 디바이스 (102) 의 MSISDN (Mobile Systems International Subscriber Identity Number) 와 함께 추가 헤더를 삽입함으로써 제 1 요청 메시지를 변형할 수도 있다.
일단 제 1 요청 메시지가 변형되면, 신뢰된 네트워크 (104) 는 변형된 제 1 요청 메시지를 서비스 제공자 (108) 에게 중계할 수도 있다. 변형된 제 1 요청 메시지의 수신 시에, 서비스 제공자 (108) 는 인증 컴포넌트를 실행시켜, 제 1 요청 메시지에 임베딩된 식별 정보에 기초하여 제 1 요청 메시지가 신뢰된 네트워크 (104) 에 의한 신뢰된 가입자에 속하는 지를 식별할 수 있다. 일 양태에서, 서비스 제공자 (108) 가, 인증된 액세스 정보를 신뢰된 네트워크 (104) 의 가입자들 (예를 들어, 이동 디바이스 (102)) 에게 제공하기 위해서, 신뢰된 네트워크 (104) 와 서비스 제공자 (108) 사이에 특정 관계가 존재할 것을 요구할 수도 있다는 것에 주목해야 한다. 이러한 관계는 신뢰된 네트워크 (104) 와 서비스 제공자 (108) 사이의 미리결정된 합의에 의해, 또는 어떤 다른 적절한 수단에 의해 확립될 수도 있다.
하나 이상의 구현들에 따르면, 변형된 제 1 요청 메시지들을 확인 및 인증한 후에, 서비스 제공자 (108) 는 그 후, 서비스 제공자 (108) 의 서비스들에 액세스하도록 이동 디바이스 (102) 를 인증하는 크리덴셜 정보 (예를 들어, 인증 세션 넘버) 를 포함하는 세션 토큰을 생성할 수도 있다. 일 양태에 따르면, 크리덴셜 정보는 서비스 제공자 (108) 에 의해 암호화될 수도 있어서, 이후에 단지 서비스 제공자 (108) 가 후속하여 수신된 메시지의 크리덴셜 정보를 암호해독하고, 메시지를 서비스 제공자 (108) 에 의해 인증된 디바이스에 의해 수신되고 있는 것으로서 확인할 수 있다. 서비스 제공자 (108) 는 그 후, 신뢰된 네트워크 (104) 를 통해 이동 디바이스 (102) 로 세션 토큰을 송신할 수도 있다.
일 예에 따라 세션 토큰의 수신 시에, 이동 디바이스 (102) 는 이동 디바이스 (102) 의 메모리 내에 세션 토큰을 저장할 수도 있다. 그 후, 이동 디바이스 (102) 는 신뢰되지 않은 네트워크 (106) 에 대해 미리 확립된 선호도로 인해 신뢰된 네트워크 (104) 대신에 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자 (108) 에게 모든 후속의 통신들을 다이렉팅할 수도 있다. 이와 같이, 이동 디바이스 (102) 는 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자 (108) 에게 제 2 요청 메시지를 송신할 수도 있다. 제 2 요청 메시지는 제 1 요청 메시지의 포맷과 유사한 또는 상이한 포맷으로 송신될 수도 있다. 제 2 요청 메시지는 서비스 제공자 (108) 로부터 획득된 세션 토큰으로부터의 크리덴셜 정보의 복사본을 포함할 수도 있다. 크리덴셜 정보는 추가의 헤더나, 추가의 데이터 패킷이나, 또는 제 2 요청 메시지의 포맷 타입 (예를 들어, HTTP, TCP, UDP, 등) 에 적합한 임의의 다른 방식이나, 또는 몇몇 다른 적절한 수단에 포함될 수도 있다. 서비스 제공자 (108) 가 제 2 요청 메시지를 수신하는 경우, 제 2 요청 메시지로부터 크리덴셜 정보를 추출하고, 크리덴셜 정보를 암호해독하고, 제 2 요청 메시지를 인증된 이동 디바이스 (102) 로부터 전송되는 것으로서 식별하며, 신뢰되지 않은 네트워크 (106) 를 통해 요청된 서비스를 이동 디바이스 (102) 로 송신할 수도 있다. 하나 이상의 양태들에 따르면, 서비스 제공자 (108) 는, 이동 디바이스 (102) 가 다른 신뢰되지 않은 네트워크를 통해 그리고/또는 상이한 IP 주소로부터 제 2 요청 메시지를 송신하더라도, 모든 후속하는 세션들 동안 제공된 크리덴셜 정보를 통해 이동 디바이스 (102) 를 계속해서 인증할 수도 있다.
도 2 는 일 양태에 따라 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크의 인증을 용이하게 하는 이동 디바이스 (200) 의 예시이다. 이동 디바이스 (200) 는 도 1 에 도시된 이동 디바이스 (102) 에 대응할 수도 있다. 도 2 에 도시된 바와 같이, 이동 디바이스 (200) 는 예를 들어 하나 이상의 수신 안테나 (미도시) 로부터 다중 신호들을 수신하고, 수신된 신호들에 대해 통상적인 액션 (예를 들어, 필터링, 증폭, 하향변환 등) 을 수행하며, 컨디셔닝된 신호들을 디지털화하여 샘플들을 획득하는 수신기 (202) 를 포함할 수도 있다. 본원에 설명된 바와 같이, 수신기 (202) 는 각각의 신호로부터 수신된 심볼들을 복조하고 채널 추정을 위해 심볼들을 프로세서 (206) 에 제공할 수 있는 복수의 복조기 (204) 를 포함할 수도 있다. 프로세서 (206) 는 수신기 (202) 에 의해 수신된 정보를 분석하고/하거나 송신기 (216) 에 의한 송신을 위해 정보를 생성하도록 전용된 프로세서, 이동 디바이스 (200) 의 하나 이상의 컴포넌트들을 제어하는 프로세서, 및/또는 수신기 (202) 에 의해 수신된 정보를 분석하고 송신기 (216) 에 의한 송신을 위해 정보를 생성하며, 이동 디바이스 (700) 의 하나 이상의 컴포넌트들을 제어하는 프로세서일 수 있다.
이동 디바이스 (200) 는 또한, 프로세서 (206) 에 동작 가능하게 커플링되고, 송신될 데이터, 수신된 데이터, 이용 가능한 채널들에 관련된 정보, 분석된 신호 및/또는 간섭 세기와 연관된 데이터, 할당된 채널, 전력, 속도 등에 관련된 정보, 및 채널을 추정하고 채널을 통해 통신하기 위한 임의의 다른 적합한 정보를 저장할 수 있는 메모리 (208) 를 포함할 수도 있다. 메모리 (208) 는 또한, (예를 들어, 성능 기반, 용량 기반 등의) 채널을 주정하고/하거나 이용하는 것과 연관된 알고리즘 및/또는 프로토콜을 저장할 수 있다.
본원에 설명된 데이터 저장부 (예를 들어, 메모리 (208)) 는 휘발성 메모리이거나, 또는 비휘발성 메모리일 수 있고, 또는 휘발성 메모리 및 비휘발성 메모리 양자 모두를 포함할 수 있는 것으로 이해된다. 제한이 아닌 예시의 방식에 의해, 비휘발성 메모리는 판독 전용 메모리 (ROM), 프로그래머블 ROM (PROM), 전기적 프로그래머블 ROM (EPROM), 자기적 소거가능 PROM (EEPROM), 또는 플래시 메모리를 포함할 수 있다. 휘발성 메모리는 외부 캐시 메모리로서 작용하는 랜덤 액세스 메모리 (RAM) 를 포함할 수 있다. 제한이 아닌 예시의 방식에 의해, RAM 은 동기식 RAM (SRAM), 다이내믹 RAM (DRAM), 동기식 DRAM (SDRAM), 이중 데이터 레이트 SDRAM (DDR SDRAM), 강화형 SDRAM (ESDRAM), 싱크링크 (Synchlink) DRAM (SLDRAM), 및 다이렉트 램버스 RAM (DRRAM) 과 같은 많은 형태로 이용 가능하다. 본 주제의 시스템 및 방법의 메모리 (208) 는 이들 메모리에 제한되는 것이 아니고 임의의 다른 적합한 타입의 메모리를 포함하도록 의도된다.
일 양태에서, 수신기 (202) 는 또한, 도 1 을 참조하여 논의된 바와 같이, 각종 네트워크 파라미터들에 기초하여 바람직한 네트워크를 결정 및 지정하고, 신뢰되지 않은 네트워크를 통해 각종 서비스 제공자들과의 통신을 위해 하나 또는 복수의 세션 토큰들의 획득 및 메모리 (208) 내 저장을 제어하며, 프로세서 (206) 를 통해 송신기 (214) 와 인터페이스함으로써 신뢰된 네트워크나 또는 신뢰되지 않은 네트워크를 통해 통신을 다이렉팅할 수 있는 보안 에이전트 (210) 에 동작 가능하게 커플링될 수 있다. 이동 디바이스 (200) 는, 신호를 변조하고 송신기 (214) 를 통해, 예를 들어 기지국, 웹/인터넷 액세스 포인트 명칭 (APN), 및 다른 이동 디바이스 등에 신호를 송신하는 변조기 (212) 를 더 포함할 수 있다. 프로세서 (206) 로부터 분리되는 것으로 도시되었으나, 보안 에이전트 (210), 복조기 (204), 및/또는 변조기 (212) 는 프로세서 (206) 또는 다수의 프로세서들 (미도시) 의 일부분일 수 있는 것으로 이해된다. 또한, 보안 에이전트 (210) 의 기능들은 운영 시스템 (OS) 레벨에서, 인터넷 브라우저 애플리케이션에서, 또는 주문형 집적 회로 (ASIC) 에서 애플리케이션 계층, 데이터 스택, HTTP 스택에 통합될 수도 있다.
도 3 은 일 양태에 따른 이동 디바이스에 의한 이용을 위해 크리덴셜 정보를 생성하는 시스템 (300) 의 예시이다. 시스템 (300) 은 복수의 수신 안테나 (306) 를 통해 신뢰된 네트워크 및/또는 신뢰되지 않은 네트워크 (미도시) 를 통해 하나 이상의 이동 디바이스들 (304) 로부터 신호(들)을 수신하는 수신기 (310), 및 송신 안테나 (308) 를 통해 신뢰된 네트워크 및/또는 신뢰되지 않은 네트워크를 통해 하나 이상의 이동 디바이스 (304) 로 송신하는 송신기 (324) 를 갖는 서비스 제공자 (302)(예를 들어, 액세스 포인트, 펨토셀 등) 를 포함할 수 있다. 수신기 (310) 는 수신 안테나 (306) 로부터 정보를 수신하고, 수신된 정보를 복조하는 복조기 (312) 와 동작 가능하게 연관될 수 있다. 복조된 심볼은 도 1 에 관하여 전술된 서비스 제공자 (108) 에 대한 몇몇 또는 모든 기능들 (예를 들어, 제 1 요청 메시지의 확인 및 인증) 을 수행할 수 있고, 신호 (예를 들어, 파일럿) 세기 및/또는 간섭 세기를 추정하는 것에 관련된 정보, 이동 디바이스(들)(304)(또는 별개의 기지국 (미도시)) 로부터 수신 또는 이동 디바이스들로 송신될 데이터, 및/또는 본원에 전술된 각종 액션들 및 기능들을 수행하는 것에 관련된 임의의 다른 적합한 정보를 저장하는 메모리 (316) 에 커플링된 프로세서 (314) 에 의해 분석된다. 프로세서 (314) 는 또한, 이동 디바이스(들)(304) 에 의한 이용을 위해 크리덴셜 정보를 생성할 수 있는 크리덴셜 정보 생성기 (318) 에 커플링될 수 있다.
일 예에 따르면, 서비스 제공자 (302) 는 하나 이상의 이동 디바이스(들)(304) 로부터 서비스 요청 메시지를 수신할 수 있다. 프로세서 (314) 에 의한 서비스 요청 메시지의 확인 및 인증 후에, 크리덴셜 정보 생성기 (318) 는 그 후, 서비스 제공자 (302) 의 서비스들에 액세스하기 위해 이동 디바이스(들)(304) 을 인증하는 크리덴셜 정보를 포함하는 세션 토큰을 생성할 수도 있다. 크리덴셜 정보 생성기 (318) 는 크리덴셜 정보를 암호화할 수도 있어서, 이후에 단지 서비스 제공자 (302) 가 후속적으로 수신된 메시지의 크리덴셜 정보를 암호해독하고, 메시지를 서비스 제공자 (302) 에 의해 인증된 디바이스에 의해 수신되는 것으로서 확인할 수도 있다. 또한, 프로세서 (314) 로부터 분리되는 것으로서 도시되었으나, 크리덴셜 정보 생성기 (318), 복조기 (312), 및/또는 변조기 (320) 는 프로세서 (314) 또는 다수의 프로세서들 (미도시) 의 일부분일 수 있다.
일 양태에 따라 도 4 에 도시된 흐름도를 참조하여 시스템 (100) 및 이동 디바이스 (200) 에서 구현될 수도 있는 바람직한 네트워크 인증 프로세스 (400) 의 예를 설명한다. 도 4 에 도시된 바와 같이, 블록 402 에서, 서비스가 요청되는지 여부에 관한 결정이 이루어질 수도 있다. 예를 들어, 이동 디바이스 (102) 는 서비스 제공자 (108) 로부터 특정 서비스 (예를 들어, 기상 위젯 (widget)) 를 다운로드하도록 요청할 수도 있다. 서비스가 요청되면, 프로세스는 블록 404 로 진행될 수도 있고, 서비스가 요청되지 않으면, 프로세스는 이동 디바이스 (102) 가 서비스를 요청하는지 여부를 계속해서 체크할 수도 있다.
블록 404 에서, 프로세스는 다수의 이용 가능한 네트워크들로부터 바람직한 네트워크를 결정할 수도 있고, 프로세스는 블록 306 으로 진행할 수도 있다. 예를 들어, 보안 에이전트 (210) 는 신뢰되지 않은 네트워크, 예컨대 신뢰되지 않은 네트워크 (206) 가 모든 이용 가능한 네트워크들 중 가장 큰 대역폭을 갖는다고 결정할 수도 있고, 예컨대, 이 신뢰되지 않은 네트워크 (206) 를 서비스 제공자 (208) 로부터 서비스를 수신하기 위한 바람직한 네트워크로서 지정할 수도 있다.
블록 406 에서, 프로세스는 바람직한 네트워크가 신뢰되지 않은 네트워크인지 여부를 결정할 수도 있다. 바람직한 네트워크가 신뢰되지 않으면, 프로세스는 블록 408 로 진행할 수도 있고, 바람직한 네트워크가 신뢰되면, 프로세스는 블록 414 로 진행할 수도 있다.
블록 408 에서, 프로세스는 타겟 서비스 제공자에 대한 크리덴셜 정보가 이동 디바이스에 의해 획득되었는지 여부를 판정할 수도 있다. 크리덴셜 정보가 획득되고, 아직 만료되지 않았으면, 프로세스는 블록 414 로 진행할 수도 있고, 그렇지 않으면 프로세스는 블록 410 으로 진행할 수도 있다.
블록 410 에서, 프로세스는 예를 들어 신뢰된 네트워크, 예컨대 신뢰된 네트워크 (304) 를 통해 서비스 제공자에게 요청 메시지를 송신할 수도 있다. 프로세스는 블록 412 로 진행할 수도 있는데, 블록 412 에서 크리덴셜 정보는 신뢰된 네트워크를 통해 서비스 제공자로부터 획득될 수도 있다. 수신된 크리덴셜 정보는, 서비스 제공자 (108) 의 서비스들에 액세스하도록 이동 디바이스 (102) 를 인증하는, 서비스 제공자 (108) 에 의해 생성된 세션 토큰과 유사한 토큰 내에서 생성, 암호화, 및 송신될 수도 있다. 그 후, 프로세스는 블록 408 로 다시 진행할 수도 있다.
프로세스가, 블록 408 에서 크리덴셜 정보가 획득되었다고 판정한 후에, 프로세스는 블록 414 로 진행할 수도 있는데, 블록 414 에서 이동 디바이스는 바람직한 네트워크를 통해 서비스 제공자에게 제 2 요청 메시지를 송신할 수도 있다. 예를 들어, 신뢰되지 않은 네트워크 (106) 는 바람직한 네트워크일 수도 있고, 제 2 요청 메시지는 서비스 제공자 (108) 에 의해 제공된 서비스들에 대한 액세스에 필요한 크리덴셜 정보를 포함할 수도 있다. 프로세스는 그 후, 블록 416 으로 진행할 수도 있는데, 블록 416 에서 이동 디바이스는 바람직한 네트워크, 예컨대 신뢰되지 않은 네트워크 (106) 를 통해 서비스 제공자로부터 요청된 서비스를 수신할 수도 있다. 예를 들어, 서비스 제공자 (108) 가 제 2 요청 메시지를 수신하는 경우, 제 2 요청 메시지를 인증된 이동 디바이스 (102) 로부터 전송되는 것으로서 식별할 수도 있고, 요청된 서비스를 이동 디바이스 (102) 로 송신할 수도 있다. 그 후, 일 예에서 프로세스는 종료할 수 있다.
일 양태에 따라 도 5 에 도시된 흐름도를 참조하여 시스템 (100) 및 서비스 제공자 (302) 에서 구현될 수도 있는 바람직한 네트워크 인증 프로세스 (500) 의 예를 설명한다. 도 5 에 도시된 바와 같이, 블록 502 에서 서비스 제공자는 신뢰된 네트워크를 통해 이동 디바이스로부터 제 1 서비스 요청을 수신할 수도 있고, 프로세스는 블록 504 로 진행할 수도 있다. 블록 504 에서, 서비스 제공자는 크리덴셜 정보를 생성할 수도 있다. 블록 504 후에, 프로세스는 블록 506 으로 진행할 수도 있는데, 블록 506 에서 서비스 제공자는 신뢰된 네트워크를 통해 이동 디바이스로 크리덴셜 정보를 송신할 수도 있다. 그 후, 프로세스는 블록 508 로 진행할 수도 있는데, 블록 508 에서 서비스 제공자는 신뢰되지 않은 네트워크를 통해 이동 디바이스로부터 제 2 서비스 요청을 수신할 수도 있다. 블록 508 후에, 프로세스는 블록 510 으로 진행할 수도 있는데, 블록 510 에서 서비스 제공자는 신뢰되지 않은 네트워크를 통해 이동 디바이스로 요청된 서비스를 송신할 수도 있다. 그 후, 일 예에서 프로세스는 종료할 수 있다.
도 6 은 일 양태에 따라 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크의 인증을 수행하는 예시의 시스템 (600) 의 예시이다. 예를 들어, 시스템 (600) 은 이동 디바이스 등에 적어도 부분적으로 상주할 수 있다. 시스템 (600) 은, 프로세서, 소프트웨어, 또는 이들의 조합 (예를 들어, 펌웨어) 에 의해 구현된 기능들을 나타내는 기능 블록들일 수 있는 기능 블록들을 포함하는 것으로서 나타나는 것으로 이해된다. 시스템 (600) 은 함께 작용할 수 있는 수단의 논리 그룹 (602) 을 포함한다. 예를 들어, 논리 그룹 (602) 은 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 이동 디바이스에 의해 송신하기 위한 수단 (604) 및 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하기 위한 수단 (606) 을 포함할 수 있다. 논리 그룹 (602) 은 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 송신하기 위한 수단 (608) 및 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 수신하기 위한 수단 (610) 을 더 포함할 수 있다. 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함할 수 있다. 또한, 시스템 (600) 은 수단들 (604 내지 610) 과 연관된 기능들을 실행하기 위한 명령들을 보유하는 메모리 (612) 를 포함할 수 있다. 메모리 (612) 외부에 있는 것으로서 도시되었으나, 수단들 (604 내지 610) 중 하나 이상이 메모리 (612) 내에 존재할 수 있는 것으로 이해되어야 한다.
도 7 은 일 양태에 따라 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크의 인증을 수행하는 예시의 시스템 (700) 의 예시이다. 예를 들어, 시스템 (700) 은 서비스 제공자 등에 적어도 부분적으로 상주할 수 있다. 시스템 (700) 은 프로세서, 소프트웨어, 또는 이들의 조합 (예를 들어, 펌웨어) 에 의해 구현된 기능들을 나타내는 기능 블록들일 수 있는 기능 블록들을 포함하는 것으로서 나타난다. 시스템 (700) 은 함께 작용할 수 있는 수단의 논리 그룹 (702) 을 포함한다. 예를 들어, 논리 그룹 (702) 은 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 서비스 제공자에서 수신하기 위한 수단 (704) 및 크리덴셜 정보를 생성하기 위한 수단 (706) 을 포함할 수 있다. 논리 그룹 (702) 은 신뢰된 네트워크 (708) 를 통해 크리덴셜 정보를 송신하기 위한 수단 (708) 및 신뢰되지 않은 네트워크를 통해 제 2 서비스 요청 메시지를 수신하기 위한 수단 (710) 을 더 포함할 수 있다. 제 2 서비스 요청 메시지는 크리덴셜 정보를 포함할 수 있다. 또한, 논리 그룹 (702) 은 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 신뢰되지 않은 네트워크를 통해 서비스를 송신하기 위한 수단 (712) 을 포함할 수 있다. 또한, 시스템 (700) 은 수단들 (704 내지 712) 과 연관된 기능들을 실행하기 위한 명령들을 보유하는 메모리 (714) 를 포함할 수 있다. 메모리 (714) 외부에 있는 것으로서 도시되었으나, 수단들 (704 내지 712) 중 하나 이상은 메모리 (714) 내에 존재할 수 있는 것으로 이해되어야 한다.
본원에 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 로직, 논리 블록들, 모듈들, 회로들은 범용 프로세서, 디지털 신호 프로세서 (DSP), 주문형 집적회로 (ASIC), 필드 프로그래머블 게이트 어레이 (FPGA), 또는 기타 프로그래머블 로직 디바이스, 별도의 게이트 또는 트랜지스터 로직, 별도의 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능을 수행하도록 설계된 이들의 임의의 조합으로 구현 또는 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 다르게는, 그 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 또한, 프로세서는 컴퓨팅 디바이스들의 조합, 예를 들어, DSP 와 마이크로프로세서의 조합, 복수의 마이크로프로세서들, DSP 코어와 결합된 하나 이상의 마이크로프로세서들, 또는 임의의 기타 다른 구성물로 구현될 수도 있다. 또한, 적어도 하나의 프로세서는 전술된 단계들 및/또는 액션들 중 하나 이상을 수행하도록 동작 가능한 하나 이상의 모듈들을 포함할 수도 있다.
본원에 개시된 양태들과 관련하여 설명된 방법 또는 알고리즘의 단계 및/또는 액션들은 프로세서에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 조합으로 직접 구현될 수도 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 저장 매체에 상주할 수도 있다. 예시적인 저장 매체는 프로세서에 커플링되며, 그 프로세서는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수도 있다. 다르게는, 저장 매체는 프로세서와 일체형일 수도 있다. 또한, 몇몇 양태에서 프로세서 및 저장 매체는 ASIC 내에 상주할 수도 있다. 또한, ASIC 는 사용자 단말기 내에 상주할 수도 있다. 다르게는, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다. 또한, 몇몇 양태들에서, 방법 또는 알고리즘의 단계들 및/또는 액션들은 컴퓨터 프로그램 제품에 통합될 수도 있는 머신 판독가능 매체 및/또는 컴퓨터 판독가능 매체 상의 코드들 및/또는 명령들 중 하나 또는 임의의 조합 또는 세트로서 상주할 수도 있다.
하나 이상의 양태들에서, 본원에 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어 또는 이들의 임의의 조합으로 구현될 수도 있다. 소프트웨어로 구현되면, 그 기능들은 컴퓨터 판독가능 매체 상에서 하나 이상의 명령들 또는 코드로서 저장될 수도 있고 이를 통해 송신될 수도 있다. 컴퓨터 판독가능 매체는 일 장소로부터 다른 장소로 컴퓨터 프로그램의 전송을 용이하게 하는 임의의 매체를 포함하는 통신 매체 및 컴퓨터 저장 매체 양자 모두를 포함한다. 저장 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수도 있다. 제한이 아닌 예시로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EEPROM, CD-ROM 또는 기타 광학 디스크 스토리지, 자기 디스크 스토리지 또는 기타 자기 저장 디바이스, 또는 원하는 프로그램 코드를 컴퓨터에 의해 액세스가능한 명령들 또는 데이터 구조들의 형태로 반송하거나 저장하는데 이용될 수 있는 임의의 다른 매체를 포함할 수 있다. 또한, 임의의 접속이 컴퓨터 판독가능 매체로 적절하게 지칭된다. 예를 들어, 동축 케이블, 광섬유 케이블, 트위스트 쌍, 디지털 가입자 라인 (DSL), 또는 적외선, 무선 및 마이크로파와 같은 무선 기술을 이용하여 소프트웨어가 웹사이트, 서버 또는 기타 원격 소스로부터 송신되면, 그 동축 케이블, 광섬유 케이블, 트위스트 쌍, DSL, 또는 적외선, 무선 및 마이크로파와 같은 무선 기술이 매체의 정의에 포함된다. 본원에 사용되는 바와 같이, 디스크 (disk) 및 디스크 (disc) 는 컴팩트 디스크 (CD), 레이저 디스크, 광 디스크, DVD, 플로피 디스크 및 블루 레이 디스크를 포함하며, 여기서 통상적으로 디스크 (disk) 는 데이터를 자기적으로 재생하는 한편 디스크 (disc) 는 레이저를 이용하여 데이터를 광학적으로 재생한다. 상기의 조합이 컴퓨터 판독가능 매체의 범위 내에 포함될 것이다.
본 개시물의 이전 설명은 예시적인 양태들 및/또는 구현들을 논의하였으나, 첨부된 청구범위에 의해 정의된 설명된 양태들 및/또는 구현들의 범위를 벗어나지 않고 각종 변경 및 변형이 이루어질 수 있다. 또한, 설명된 양태들의 엘리먼트들 및/또는 양태들이 단수형으로 설명 또는 청구될 수도 있으나, 단수형에 대한 제한이 명백하게 언급되지 않으면 복수형이 고려된다. 또한, 모든 또는 일부의 임의의 양태 및/또는 구현은, 다르게 언급되지 않는다면 모든 또는 일부의 임의의 다른 양태 및/또는 실시형태로 이용될 수도 있다.

Claims (37)

  1. 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상에서 이동 디바이스를 인증하는 방법으로서,
    상기 이동 디바이스에 의해, 상기 신뢰된 네트워크를 통해 서비스 제공자에게 제 1 서비스 요청 메시지를 송신하는 단계;
    상기 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하는 단계;
    상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자에게 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 송신하는 단계; 및
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자로부터 서비스를 수신하는 단계를 포함하고,
    상기 크리덴셜 정보를 획득하는 단계는, 상기 신뢰된 네트워크를 통해, 상기 서비스 제공자에서 암호화된, 암호화된 크리덴셜 정보를 수신하는 단계를 포함하는, 이동 디바이스 인증 방법.
  2. 제 1 항에 있어서,
    상기 크리덴셜 정보를 획득하는 단계는, 상기 서비스 제공자에 의해 생성된 상기 크리덴셜 정보를 수신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  3. 제 1 항에 있어서,
    상기 신뢰된 네트워크 및 상기 신뢰되지 않은 네트워크의 통신 파라미터들을 비교함으로써 통신 경로를 결정하는 단계, 및
    더욱 바람직한 통신 파라미터들을 갖는 네트워크를 바람직한 통신 경로로서 지정하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  4. 제 1 항에 있어서,
    상기 제 2 서비스 요청 메시지를 송신하는 단계는, 상기 제 2 서비스 요청 메시지의 헤더에 상기 크리덴셜 정보를 삽입하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 제 2 서비스 요청 메시지를 송신하는 단계는, 상기 서비스 제공자에서 상기 크리덴셜 정보의 암호해독 및 인증을 위해 상기 암호화된 크리덴셜 정보를 송신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  7. 제 1 항에 있어서,
    상기 제 1 서비스 요청 메시지를 송신하는 단계는, 상기 서비스 제공자와의 미리결정된 서비스 관계를 갖는 개별의 신뢰된 네트워크를 통해 서비스 제공자에게 상기 제 1 서비스 요청 메시지를 송신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  8. 제 1 항에 있어서,
    상기 제 1 서비스 요청 메시지를 송신하는 단계는, 이동통신 사업자 네트워크를 통해 상기 제 1 서비스 요청 메시지를 송신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  9. 제 1 항에 있어서,
    상기 제 2 서비스 요청 메시지를 송신하는 단계는, 로컬 영역 네트워크 (local area network; LAN) 를 통해 상기 제 2 서비스 요청 메시지를 송신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  10. 무선 통신 장치로서,
    신뢰된 네트워크를 통해 서비스 제공자에게 제 1 서비스 요청 메시지를 송신하고;
    상기 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하고;
    신뢰되지 않은 네트워크를 통해 상기 서비스 제공자에게 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 송신하며;
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자로부터 서비스를 수신하도록 구성된 보안 에이전트를 포함하고,
    상기 수신된 크리덴셜 정보는 상기 서비스 제공자에서 암호화되는, 무선 통신 장치.
  11. 제 10 항에 있어서,
    상기 크리덴셜 정보는 상기 서비스 제공자에 의해 생성되는, 무선 통신 장치.
  12. 제 10 항에 있어서,
    상기 보안 에이전트는 또한,
    상기 신뢰된 네트워크 및 상기 신뢰되지 않은 네트워크의 통신 파라미터들을 비교함으로써 통신 경로를 결정하고,
    더욱 바람직한 통신 파라미터들을 갖는 네트워크를 바람직한 통신 경로로서 지정하도록 구성되는, 무선 통신 장치.
  13. 제 10 항에 있어서,
    상기 제 2 서비스 요청 메시지는 상기 크리덴셜 정보를 포함하는 헤더를 포함하는, 무선 통신 장치.
  14. 삭제
  15. 제 10 항에 있어서,
    상기 보안 에인전트는 또한, 상기 서비스 제공자와의 미리결정된 서비스 관계를 갖는 개별의 신뢰된 네트워크를 통해 서비스 제공자에게 상기 제 1 서비스 요청 메시지를 송신하도록 구성되는, 무선 통신 장치.
  16. 제 10 항에 있어서,
    상기 보안 에이전트는 또한, 이동통신 사업자 네트워크를 통해 상기 제 1 서비스 요청 메시지를 송신하도록 구성되는, 무선 통신 장치.
  17. 제 10 항에 있어서,
    상기 보안 에이전트는 또한, 로컬 영역 네트워크 (local area network; LAN) 를 통해 상기 제 2 서비스 요청 메시지를 송신하도록 구성되는, 무선 통신 장치.
  18. 이동 디바이스에 의해, 신뢰된 네트워크를 통해 서비스 제공자에게 제 1 서비스 요청 메시지를 송신하기 위한 수단;
    상기 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하기 위한 수단;
    신뢰되지 않은 네트워크를 통해 상기 서비스 제공자에게 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 송신하기 위한 수단; 및
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자로부터 서비스를 수신하기 위한 수단을 포함하고,
    상기 크리덴셜 정보를 획득하기 위한 수단은, 상기 신뢰된 네트워크를 통해, 상기 서비스 제공자에서 암호화된, 암호화된 크리덴셜 정보를 수신하기 위한 수단을 포함하는, 장치.
  19. 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 컴퓨터 판독가능 매체는,
    컴퓨터로 하여금, 이동 디바이스에 의해, 신뢰된 네트워크를 통해 서비스 제공자에게 제 1 서비스 요청 메시지를 송신하도록 하기 위한 적어도 하나의 명령;
    상기 컴퓨터로 하여금, 상기 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하도록 하기 위한 적어도 하나의 명령;
    상기 컴퓨터로 하여금, 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자에게 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 송신하도록 하기 위한 적어도 하나의 명령; 및
    상기 컴퓨터로 하여금, 상기 제 2 서비스 요청 메시지의 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자로부터 서비스를 수신하도록 하기 위한 적어도 하나의 명령을 포함하고,
    상기 컴퓨터로 하여금, 크리덴셜 정보를 획득하기 위한 적어도 하나의 명령은, 상기 컴퓨터로 하여금, 상기 신뢰된 네트워크를 통해, 상기 서비스 제공자에서 암호화된, 암호화된 크리덴셜 정보를 수신하기 위한 적어도 하나의 명령을 포함하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품.
  20. 무선 통신 장치로서,
    이동 디바이스에 의해, 신뢰된 네트워크를 통해 서비스 제공자에게 제 1 서비스 요청 메시지를 송신하고;
    상기 신뢰된 네트워크를 통해 크리덴셜 정보를 획득하고;
    신뢰되지 않은 네트워크를 통해 상기 서비스 제공자에게 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 송신하며;
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 상기 서비스 제공자로부터 서비스를 수신하도록 구성된 적어도 하나의 프로세서를 포함하고,
    상기 수신된 크리덴셜 정보는 상기 서비스 제공자에서 암호화되는, 무선 통신 장치.
  21. 신뢰된 네트워크를 통해 신뢰되지 않은 네트워크 상에서 이동 디바이스를 인증하는 방법으로서,
    서비스 제공자에서, 상기 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하는 단계;
    크리덴셜 정보를 생성하는 단계;
    상기 신뢰된 네트워크를 통해 상기 크리덴셜 정보를 송신하는 단계;
    상기 신뢰되지 않은 네트워크를 통해 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 수신하는 단계; 및
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 서비스를 송신하는 단계를 포함하고,
    상기 크리덴셜 정보를 생성하는 단계는, 상기 크리덴셜 정보를 암호화하는 단계를 포함하는, 이동 디바이스 인증 방법.
  22. 제 21 항에 있어서,
    상기 제 1 서비스 요청 메시지를 수신하는 단계는,
    상기 제 1 서비스 요청 메시지가 상기 신뢰된 네트워크의 인증 가입자에 의해 송신된 것으로서 지정되도록 상기 신뢰된 네트워크에서 변형된 상기 제 1 서비스 요청 메시지를 수신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  23. 삭제
  24. 제 21 항에 있어서,
    상기 제 2 서비스 요청 메시지를 수신하는 단계는,
    상기 제 2 서비스 요청 메시지로부터 상기 암호화된 크리덴셜 정보를 추출하는 단계, 및
    상기 크리덴셜 정보를 암호해독하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  25. 제 21 항에 있어서,
    상기 제 1 서비스 요청 메시지를 수신하는 단계는, 상기 서비스 제공자와의 미리결정된 서비스 관계를 갖는 개별의 신뢰된 네트워크를 통해 상기 제 1 서비스 요청 메시지를 수신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  26. 제 21 항에 있어서,
    상기 제 1 서비스 요청 메시지를 수신하는 단계는, 이동통신 사업자 네트워크를 통해 상기 제 1 서비스 요청 메시지를 수신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  27. 제 21 항에 있어서,
    상기 제 2 서비스 요청 메시지를 수신하는 단계는, 로컬 영역 네트워크 (local area network; LAN) 를 통해 상기 제 2 서비스 요청 메시지를 수신하는 단계를 더 포함하는, 이동 디바이스 인증 방법.
  28. 무선 통신 장치로서,
    신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하고;
    크리덴셜 정보를 생성하고;
    상기 신뢰된 네트워크를 통해 상기 크리덴셜 정보를 송신하고;
    신뢰되지 않은 네트워크를 통해 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 수신하며;
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 구성된 서비스 제공자를 포함하고,
    상기 서비스 제공자는, 상기 크리덴셜 정보를 암호화하도록 구성되는, 무선 통신 장치.
  29. 제 28 항에 있어서,
    상기 제 1 서비스 요청 메시지는,
    상기 제 1 서비스 요청 메시지가 상기 신뢰된 네트워크의 인증 가입자에 의해 송신된 것으로서 지정되도록 상기 신뢰된 네트워크에서 변형되는, 무선 통신 장치.
  30. 삭제
  31. 제 28 항에 있어서,
    상기 서비스 제공자는 또한, 상기 제 2 서비스 요청 메시지로부터 상기 암호화된 크리덴셜 정보를 추출하고, 상기 크리덴셜 정보를 암호해독하도록 구성되는, 무선 통신 장치.
  32. 제 28 항에 있어서,
    상기 제 1 서비스 요청 메시지는, 상기 서비스 제공자와의 미리결정된 서비스 관계를 갖는 개별의 신뢰된 네트워크를 통해 수신되는, 무선 통신 장치.
  33. 제 28 항에 있어서,
    상기 제 1 서비스 요청 메시지는 이동통신 사업자 네트워크를 통해 수신되는, 무선 통신 장치.
  34. 제 28 항에 있어서,
    상기 제 2 서비스 요청 메시지는 로컬 영역 네트워크 (local area network; LAN) 를 통해 수신되는, 무선 통신 장치.
  35. 서비스 제공자에서, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하기 위한 수단;
    크리덴셜 정보를 생성하기 위한 수단;
    상기 신뢰된 네트워크를 통해 상기 크리덴셜 정보를 송신하기 위한 수단;
    신뢰되지 않은 네트워크를 통해 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 수신하기 위한 수단; 및
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 서비스를 송신하기 위한 수단을 포함하고,
    상기 크리덴셜 정보를 생성하기 위한 수단은, 상기 크리덴셜 정보를 암호화하기 위한 수단을 포함하는, 장치.
  36. 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 컴퓨터 판독가능 매체는,
    컴퓨터로 하여금, 서비스 제공자에서, 신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하도록 하기 위한 적어도 하나의 명령;
    상기 컴퓨터로 하여금, 크리덴셜 정보를 생성하도록 하기 위한 적어도 하나의 명령;
    상기 컴퓨터로 하여금, 상기 신뢰된 네트워크를 통해 상기 크리덴셜 정보를 송신하도록 하기 위한 적어도 하나의 명령;
    상기 컴퓨터로 하여금, 신뢰되지 않은 네트워크를 통해 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 수신하도록 하기 위한 적어도 하나의 명령; 및
    상기 컴퓨터로 하여금, 상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 하기 위한 적어도 하나의 명령을 포함하고,
    상기 컴퓨터로 하여금, 크리덴셜 정보를 생성하도록 하기 위한 적어도 하나의 명령은, 상기 컴퓨터로 하여금, 상기 크리덴셜 정보를 암호화하기 위한 적어도 하나의 명령을 포함하는, 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품.
  37. 무선 통신 장치로서,
    신뢰된 네트워크를 통해 제 1 서비스 요청 메시지를 수신하고;
    크리덴셜 정보를 생성하고;
    상기 신뢰된 네트워크를 통해 상기 크리덴셜 정보를 송신하고;
    신뢰되지 않은 네트워크를 통해 상기 크리덴셜 정보를 포함하는 제 2 서비스 요청 메시지를 수신하며;
    상기 제 2 서비스 요청 메시지의 상기 크리덴셜 정보에 기초하여 상기 신뢰되지 않은 네트워크를 통해 서비스를 송신하도록 구성된 적어도 하나의 프로세서를 포함하고,
    상기 적어도 하나의 프로세서는, 상기 크리덴셜 정보를 암호화하도록 구성되는, 무선 통신 장치.

KR1020127005373A 2009-07-31 2010-07-29 신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치 KR101385812B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/533,230 2009-07-31
US12/533,230 US20110030039A1 (en) 2009-07-31 2009-07-31 Device, method and apparatus for authentication on untrusted networks via trusted networks
PCT/US2010/043778 WO2011014698A1 (en) 2009-07-31 2010-07-29 Device, method, and apparatus for authentication on untrusted networks via trusted networks

Publications (2)

Publication Number Publication Date
KR20120047989A KR20120047989A (ko) 2012-05-14
KR101385812B1 true KR101385812B1 (ko) 2014-04-16

Family

ID=42938354

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127005373A KR101385812B1 (ko) 2009-07-31 2010-07-29 신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치

Country Status (6)

Country Link
US (1) US20110030039A1 (ko)
EP (1) EP2460334A1 (ko)
JP (2) JP2013500689A (ko)
KR (1) KR101385812B1 (ko)
CN (1) CN102474516B (ko)
WO (1) WO2011014698A1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9104659B2 (en) 2010-01-20 2015-08-11 Bank Of America Corporation Systems and methods for providing content aware document analysis and modification
US9378379B1 (en) * 2011-01-19 2016-06-28 Bank Of America Corporation Method and apparatus for the protection of information in a device upon separation from a network
KR101819029B1 (ko) 2011-09-29 2018-01-16 삼성전자주식회사 서비스 제공 방법 및 그 장치
US9996403B2 (en) 2011-09-30 2018-06-12 Oracle International Corporation System and method for providing message queues for multinode applications in a middleware machine environment
FR2985400B1 (fr) * 2012-01-03 2013-12-20 Alcatel Lucent Transmission securisee de donnees
US20140025581A1 (en) * 2012-07-19 2014-01-23 Bank Of America Corporation Mobile transactions using authorized tokens
US9043609B2 (en) 2012-07-19 2015-05-26 Bank Of America Corporation Implementing security measures for authorized tokens used in mobile transactions
US9300766B2 (en) 2012-07-31 2016-03-29 At&T Intellectual Property I, L.P. Method and apparatus for initiating and maintaining sessions between endpoints
US9319407B1 (en) * 2014-04-18 2016-04-19 Sprint Communications Company L.P. Authentication extension to untrusted devices on an untrusted network
CN104168565A (zh) * 2014-08-13 2014-11-26 韩洪慧 一种非可信无线网络环境下智能终端安全通讯的控制方法
CN105991600B (zh) * 2015-02-25 2019-06-21 阿里巴巴集团控股有限公司 身份认证方法、装置、服务器及终端
KR101961301B1 (ko) * 2015-06-05 2019-03-25 콘비다 와이어리스, 엘엘씨 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
US9942202B2 (en) 2015-09-08 2018-04-10 Microsoft Technology Licensing, Llc Trust status of a communication session
SG11201806343XA (en) * 2016-01-26 2018-08-30 Soracom Inc Server and program
CN105744595B (zh) 2016-01-29 2018-09-04 北京小米移动软件有限公司 接入无线局域网的方法、装置、系统及存储介质
US10764944B2 (en) 2016-11-30 2020-09-01 At&T Mobility Ii Llc Trust mode switching for wireless access points
CN112217831B (zh) * 2017-09-18 2023-04-25 创新先进技术有限公司 关于物联网设备的信息交互方法、装置及设备
US10728228B2 (en) * 2017-12-29 2020-07-28 Paypal, Inc. Carrier encryption system
WO2021038393A1 (ja) * 2019-08-30 2021-03-04 株式会社半導体エネルギー研究所 半導体装置および制御システム
US11272043B2 (en) * 2020-01-22 2022-03-08 Vmware, Inc. Packet handling based on user information included in packet headers by a network gateway
US11558189B2 (en) 2020-11-30 2023-01-17 Microsoft Technology Licensing, Llc Handling requests to service resources within a security boundary using a security gateway instance

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333126A (ja) * 2000-05-23 2001-11-30 Ntt Docomo Inc 通信システム、通信方法および通信ユニット
JP2004140563A (ja) * 2002-10-17 2004-05-13 Mitsubishi Electric Corp 通信システムおよび通信端末装置

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US233893A (en) * 1880-11-02 Pipe and nut wrench
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US7565326B2 (en) * 2000-05-25 2009-07-21 Randle William M Dialect independent multi-dimensional integrator using a normalized language platform and secure controlled access
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US7489918B2 (en) * 2003-05-09 2009-02-10 Intel Corporation System and method for transferring wireless network access passwords
US7305702B2 (en) * 2002-01-09 2007-12-04 Xerox Corporation Systems and methods for distributed administration of public and private electronic markets
US20030177387A1 (en) * 2002-03-15 2003-09-18 Cyrill Osterwalder Secured web entry server
US20030182551A1 (en) * 2002-03-25 2003-09-25 Frantz Christopher J. Method for a single sign-on
US20040002878A1 (en) * 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
EP1649669A2 (en) * 2003-07-29 2006-04-26 Thomson Licensing Controlling access to a network using redirection
US7924709B2 (en) * 2004-05-12 2011-04-12 Hewlett-Packard Development Company, L.P. Access control of resources using tokens
US20060002556A1 (en) * 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
WO2006065973A2 (en) * 2004-12-15 2006-06-22 Exostar Corporation Enabling trust in a federated collaboration of networks
US20060217147A1 (en) * 2005-01-18 2006-09-28 Interdigital Technology Corporation Method and system for system discovery and user selection
EP1705598A3 (en) * 2005-03-20 2007-03-07 ActivIdentity (Australia) Pty Ltd. Method and system for providing user access to a secure application
CN1838591B (zh) * 2005-03-21 2010-05-05 松下电器产业株式会社 用于无线网络的自动安全认证系统及方法
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US7739726B2 (en) * 2005-11-14 2010-06-15 Route1 Inc. Portable device for accessing host computer via remote computer
US20070183394A1 (en) * 2006-02-03 2007-08-09 Deepak Khandelwal Automatic call origination for multiple wireless networks
US8037522B2 (en) * 2006-03-30 2011-10-11 Nokia Corporation Security level establishment under generic bootstrapping architecture
JP4973300B2 (ja) * 2006-05-26 2012-07-11 富士ゼロックス株式会社 印刷プログラムおよび印刷装置
EP1871065A1 (en) * 2006-06-19 2007-12-26 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Methods, arrangement and systems for controlling access to a network
JP4851886B2 (ja) * 2006-08-22 2012-01-11 ソフトバンクモバイル株式会社 ウェブブラウザ及び移動通信端末装置
US8611859B2 (en) * 2006-09-18 2013-12-17 Samsung Electronics Co., Ltd. System and method for providing secure network access in fixed mobile converged telecommunications networks
US8539559B2 (en) * 2006-11-27 2013-09-17 Futurewei Technologies, Inc. System for using an authorization token to separate authentication and authorization services
JP2008187417A (ja) * 2007-01-30 2008-08-14 Osaka Gas Co Ltd 携帯電話機
US8572716B2 (en) * 2007-04-23 2013-10-29 Microsoft Corporation Integrating operating systems with content offered by web based entities
JP5110082B2 (ja) * 2007-06-12 2012-12-26 日本電気株式会社 通信制御システム、通信制御方法および通信端末
US20090119757A1 (en) * 2007-11-06 2009-05-07 International Business Machines Corporation Credential Verification using Credential Repository
US20090132813A1 (en) * 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
US8140064B2 (en) * 2008-01-27 2012-03-20 Sandisk Il Ltd. Methods and apparatus to use an identity module in telecommunication services
US8407769B2 (en) * 2008-02-22 2013-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for wireless device registration
US9357384B2 (en) * 2009-02-09 2016-05-31 International Business Machines Corporation System and method to support identity theft protection as part of a distributed service oriented ecosystem
WO2010094331A1 (en) * 2009-02-19 2010-08-26 Nokia Siemens Networks Oy Authentication to an identity provider

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001333126A (ja) * 2000-05-23 2001-11-30 Ntt Docomo Inc 通信システム、通信方法および通信ユニット
JP2004140563A (ja) * 2002-10-17 2004-05-13 Mitsubishi Electric Corp 通信システムおよび通信端末装置

Also Published As

Publication number Publication date
US20110030039A1 (en) 2011-02-03
KR20120047989A (ko) 2012-05-14
JP2013500689A (ja) 2013-01-07
CN102474516A (zh) 2012-05-23
JP2014060784A (ja) 2014-04-03
CN102474516B (zh) 2017-10-10
EP2460334A1 (en) 2012-06-06
WO2011014698A1 (en) 2011-02-03

Similar Documents

Publication Publication Date Title
KR101385812B1 (ko) 신뢰된 네트워크를 통한 신뢰되지 않는 네트워크 상에서의 인증을 위한 디바이스, 방법, 및 장치
US11570622B2 (en) Efficient policy enforcement using network tokens for services—user-plane approach
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
JP6189953B2 (ja) 無線ユニットのユーザを認証するための方法およびシステム
US8543814B2 (en) Method and apparatus for using generic authentication architecture procedures in personal computers
EP3972310A1 (en) Method and system for authenticating application program interface (api) invokers
EP3750342B1 (en) Mobile identity for single sign-on (sso) in enterprise networks
JP4701172B2 (ja) リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
US9819596B2 (en) Efficient policy enforcement using network tokens for services C-plane approach
TWI745415B (zh) 基於擴展認證協定(eap)程序的執行來推導蜂巢網路的安全金鑰的技術
CN113796111A (zh) 在无线通信系统中提供移动边缘计算服务的装置和方法
US9668139B2 (en) Secure negotiation of authentication capabilities
TW201345217A (zh) 具區域功能性身份管理
KR20190065413A (ko) 차세대 시스템을 위한 인증
WO2016113593A1 (en) Application protocol query for securing gba usage
KR20140095050A (ko) 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치
WO2023249519A1 (en) Providing an authentication token for authentication of a user device for a third-party application using an authentication server.
WO2024049335A1 (en) Two factor authentication
Bountakas Mobile connect authentication with EAP-AKA

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180329

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee