FI121646B

FI121646B - Method and system for managing user identity

Info

Publication number: FI121646B
Application number: FI20070595A
Authority: FI
Inventors: Paavo Lambropoulos
Original assignee: Teliasonera Finland Oyj
Priority date: 2007-08-08
Filing date: 2007-08-08
Publication date: 2011-02-15
Also published as: FI20070595A0; EP2183901A4; WO2009019325A1; FI20070595A; EP2183901A1

Description

MENETELMÄ JA JÄRJESTELMÄ KÄYTTÄJÄIDENTITEETIN HALLINTAANMETHOD AND SYSTEM FOR MANAGING USER IDENTITY

KEKSINNÖN ALAFIELD OF THE INVENTION

5 Esillä oleva keksintö liittyy käyttäjäidenti- teetin hallintaan telekommunikaatiojärjestelmässä, ja erityisesti modulaariseen autentikointijärjestelmään, jota käytetään federoidun identiteettikehyksen (Identity Federated Framework) yhteydessä.The present invention relates to user identity management in a telecommunication system, and in particular to a modular authentication system used in connection with an Identity Federated Framework.

1010

KEKSINNÖN TAUSTABACKGROUND OF THE INVENTION

Käyttäjäidentiteettien hallinnasta on tullut keskeinen toiminto sähköisen kaupankäynnin ja sähköisen hallinnoinnin sovelluksissa. Nykyään käyttäjien 15 identiteetit ovat fragmentoituneet Internetissä eri paikkoihin ja käyttäjällä on-useita tilejä, tyypillisesti käyttäjätunnus/salasana, eri palveluihin aiheuttaen epämiellyttävän palvelun käyttökokemuksen.User Identity Management has become a central feature of e-commerce and e-government applications. Today, the identities of the users 15 are fragmented across the Internet and the user has-multiple accounts, typically a username / password, for different services, resulting in an unpleasant service experience.

; Liberty Alliance on määritellyt ID-FF:n (Identity 20 Federation Framework) mahdollistaakseen tilin fede-roinnin ja kertakirjautumiskokemuksen käyttäjälle.; The Liberty Alliance has defined ID-FF (Identity 20 Federation Framework) to enable account federation and single sign-on experience for the user.

Liberty Alliance on laajaperustainen teolli-suusstandardikonsortio, joka kehittää federoitua identiteetin hallintaa ja verkkopalveluiden yhteysproto-25 kollia. Tässä federoidussa mallissa useat osapuolet, kuten kuluttajat, kansalaiset ja hallinnot voivat suorittaa verkkopohjaisia transaktioita, kun erilaiset o laitteet ja identiteetit on linkitetty federaatiolla cm ja suojattu yleisellä vahvalla autentikoinnilla. Fede- 30 rointiprosessissa käyttäjä päättää, tahtooko hän cd päästä jokaiselle palveluntarjoajalle ilman uudella leenautentikoitumista. Tämän oikeuden mahdollistavaThe Liberty Alliance is a broad-based industry standard consortium that develops a federated identity management and online service communications protocol suite of 25. In this federated model, multiple parties, such as consumers, citizens, and administrations, can conduct web-based transactions when various devices and identities are linked by federation cm and protected by general strong authentication. In the federation process, the user decides whether he or she wants to access the cd for each service provider without having to re-authenticate. Enabling this right

CCCC

ehto on, että käyttäjän tulee autentikoitua Identitee-provided that the user must authenticate with the Identity

LOLO

σ> tintarjoajalla, joka on Palveluntarjoajan tunnustama.σ> a service provider recognized by the Service Provider.

ft? 35 Liberty Alliancen yhteydessä kertakirjau- o ^ Luminen (SSO) on prosessi, jossa käyttäjä kykenee 2 kirjautumaan yksittäiselle tilille ja pyytämään palveluita useilta palveluntarjoajilta "Luottamusrin-gin" joukosta. SSO-prosessissa Identiteetintarjoaja (IdP) on tärkeimmässä roolissa ja autentikoi 5 käyttäjän, luo vakuudet käyttäjälle ja järjestää vakuustiedot Palveluntarjoajille. Liberty Alliance on määritellyt erilaisia autentikointikontekstiluokkia mahdollistamaan Palveluntarjoajan pyytämään erilaista autentikointia IdP:ltä.ft? 35 In the context of the Liberty Alliance, Single Sign-On (SNO) is a process whereby a user is able to 2 log in to a single account and request services from multiple service providers from the "Trust Trust". In the SSO process, the Identity Provider (IdP) plays a key role and authenticates 5 users, creates collateral for the user and arranges collateral information for the Providers. The Liberty Alliance has defined different authentication context classes to allow the Service Provider to request different authentication from IdP.

10 Operaattorin näkökulmasta tämä tekee tuen muodostamisen erilaisille autentikointikonteksti-luokille erityisen hankalaksi. Tietoliikenneoperaat-torin saattavat tarjota useita tapoja liittyä Internetiin, esimerkiksi matkapuhelinverkon kautta tai 15 kannettavalla/pöytätietokoneella yhdistettynä erilaisiin autentikointimenetelmiin, kuten SIM-kortit, käyttäjätunnus/salasanat, kertakäyttösalasanat, jne. Jokainen autentikointitapa tarvitsee erilaisen tuen operaattorin taustajärjestelmissä. Tavallisesti 20 jokainen muutos taustajärjestelmiin vaatii runsaasti päivittämistä ja ristiintarkistuksia lukemattomien järjestelmien välillä, jotka ovat riippuvaisia kyseisestä taustajärjestelmästä.10 From the operator's point of view, this makes it particularly difficult to set up support for different authentication context classes. A telecom operator may provide several ways to connect to the Internet, for example, via a cellular network or 15 laptops / desktops, combined with various authentication methods such as SIM cards, username / passwords, disposable passwords, etc. Each authentication method requires different support in operator backend systems. Typically, every change to backend systems requires a great deal of updating and cross-checking between the countless systems dependent on that backend.

25 KEKSINNÖN LYHYT KUVAUSBRIEF DESCRIPTION OF THE INVENTION

Esillä olevan keksinnön kohteena on luoda menetelmä ja järjestelmä menetelmän toteuttamiseksi 0 ^ joilla poistetaan edellä kuvattu ongelma tai ainakin ^ lievennetään sitä. Keksinnön kohteet saavutetaan mene-It is an object of the present invention to provide a method and system for implementing the method which eliminate or at least alleviate the above problem. The objects of the invention are achieved by

(M(M

V 30 telmällä ja telekommunikaatiojärjestelmällä käyttäjänV 30 and the telecommunications system of the user

CDCD

i- hallintaan, jotka on tunnettu siitä, mitä on esitetty c itsenäisissä vaatimuksissa. Keksinnön edulliseti-control, known from what is stated in the c independent claims. Advantageous of the Invention

CLCL

sovellukset on esitetty epäitsenäisissä vaatimuksissa.applications are set forth in the dependent claims.

01 m Esillä olevan keksinnön mukainen menetelmä o o 35 toimii telekommunikaatiojärjestelmässä, johon kuuluu01 m The method o 35 of the present invention operates in a telecommunications system comprising

Oo

^ ensisijainen päätelaite, autentikointijärjestelmä,^ primary terminal, authentication system,

Identiteetintarjoajapalvelin sekä palveluntarjoaja,Identity Provider Server and Service Provider,

FF

3 joka on jäsen Luottamusringissä. Menetelmään kuuluu vaiheet.· a) Myönnetään pääsy verkkoon mainitulle ensisijaiselle päätelaitteelle yhteysspesifisellä järjes- 5 telmällä. Ensisijainen päätelaite voi olla matkapuhelin, tietokone, PDA-laite tai vastaava, joka on konfiguroitu liittymään Internetiin joko langallisella tai langattomalla yhteydellä.3 who is a member of the Trust Circle. The method includes the following steps: a) Granting access to the network to said primary terminal using a connection-specific system. The primary terminal may be a cellular telephone, computer, PDA or the like configured to connect to the Internet via either a wired or wireless connection.

b) Autentikoidaan ja autorisoidaan mainittu 10 ensisijainen päätelaite autentikointijärjestelmässä.b) Authenticating and authorizing said 10 primary terminals in the authentication system.

Autentikointijärjestelmä sijaitsee tavallisesti operaattorin tiloissa ja on yhdistetty samaan verkkoon kuin ensisijainen päätelaite.The authentication system is usually located at the operator's premises and is connected to the same network as the primary terminal.

c) Mainittu ensisijainen päätelaite pyytää 15 pääsyä palveluntarjoajalle. Tämä vaihe voidaan tehdä joko aktiivisesti tai passiivisesti. Passiivisella tavalla käyttäjällä ei ole minkäänlaista dialogia käyttöliittymän kanssa pääsyn pyytämisestä, aktiivisella tavalla käyttäjän tulee valita palveluntarjoaja 20 johon haluaa yhteyden.c) The said primary terminal requests 15 access to the service provider. This step can be done either actively or passively. In a passive manner, the user has no dialogue with the user interface to request access, in an active way the user must select the service provider 20 to which he wants to connect.

d) Ohjataan uudelleen ensisijaisen päätelaitteen yhteys mainitulle Identiteetintarjoajapalveli- melle.d) rerouting the connection of the primary terminal to said Identity Provider Server.

e) Identiteetintarjoaja tiedustelee käyttä- 25 jäidentiteettiä autentikointijärjestelmältä.e) The identity provider requests user identity from the authentication system.

f) Käyttäjäidentiteetti palautetaan Identi-teetintarjoajalle ja identiteetin vakuus luodaan.f) The user identity is returned to the Identi provider and an identity security is established.

o g) Uudelleenohjataan pyyntö vaiheesta e) yhteysspesifiselle autentikointimoduulille, joka on 30 yhdistetty autentikointijärjestelmään; i cd h) autentikointimoduuli selvittää käyttäjän x identiteetin vasteena yhteysspesifiselle tiedolle.o g) Redirecting the request from step e) to a connection-specific authentication module 30 connected to the authentication system; i cd h) the authentication module determines the identity of the user x in response to the connection-specific information.

CCCC

Eräässä keksinnön sovelluksessa Identiteetin- LO .... ...In one embodiment of the invention, Identity-LO .... ...

σ> tarjoajapalvelm, tiedusteltuaan kayttä]aidentiteettiä ° 35 autentikointijärjestelmältä, tunnistaa autentikointi-σ> Provider Service, after inquiring about] 35 ° authentication system, identifies authentication-

Oo

° pyynnön palveluntarjoajalta ja pyytää pääsyautenti- 4 kointidataa yhteysspesifiseltä autentikointimoduu-lilta.° request from the service provider and request access authentication data from the connection-specific authentication module.

Eräässä keksinnön sovelluksessa ensisijainen päätelaite autentikoidaan RADIUS-järjestelmällä. Ensi-5 sijaiseen päätelaitteeseen liittyvä liittymätieto voidaan kerätä RADIUS-tietokantaan.In one embodiment of the invention, the primary terminal is authenticated with a RADIUS system. Subscriber data associated with the primary 5 can be collected in the RADIUS database.

Eräässä keksinnön sovelluksessa käyttäjäiden-titeetti palautetaan Identiteetintarjoajan palvelimelle ja identiteetin vakuus luodaan 10 yhteysspesifisellä autentikointimoduulilla, joka vastaanottaa pyynnön Identiteetintarjoajan palvelimelta ja selvitetään ensisijaisen päätelaitteen identiteetti, jolla on spesifinen IP-osoite tiedustelemalla sitä RADIUS-palvelimen tietokannasta.In one embodiment of the invention, user identity is returned to the Identity Provider server and an identity security is created by a 10 connection-specific authentication module that receives a request from the Identity Provider server and retrieves the identity of the primary terminal having a specific IP address by querying it from the RADIUS server.

15 Keksinnön mukaiseen järjestelmään kuuluu seu- raavat elementit: ensisijainen päätelaite, autenti- kointi- ja autorisointijärjestelmä, joihin kuuluu välineet mainitun ensisijaisen päätelaitteen autenti-kointiin ja autorisointiin ja palauttamaan käyttä-20 jäidentiteetin Identiteetintarjoajan palvelimelle, Identiteetintarjoajan palvelin käsittäen välineet käyttäjäidentiteetin pyytämiseksi autentikointijärjestelmältä ja identiteetin vakuuden luomiseen, palveluntarjoaja, joka on federoidun identiteettikehyksen 25 (identity federated framework) jäsen. Järjestelmään kuuluu edelleen välineet mainitun ensisijaisen päätelaitteen pääsypyynnön käsittelemiseksi ja ° välineet ensisijaisen päätelaitteen yhteyden o . ...The system of the invention comprises the following elements: a primary terminal, an authentication and authorization system comprising means for authenticating and authorizing said primary terminal and returning user identity to an identity provider server, an identity provider server comprising means for requesting a user identity, and service provider that is a member of the identity federated framework 25. The system further includes means for processing an access request of said primary terminal and means for connecting the primary terminal o. ...

w uudelleenohjaamiseksi mainitulle Identiteetintarjoajan ^ 30 palvelimelle, yhteysspesifinen järjestelmä johon kuuluu välineet verkkoyhteyden myöntämiseksi x mainitulle ensisijaiselle päätelaitteelle. Keksinnön °· mukaisesti järjestelmään kuuluu yhteysspesif inen m σ> autentikointimoduuli yhdistettynä ° 35 autentikointijärjestelmään, jossa on välineet pyynnönw for redirecting to said server of Identity Provider ^ 30, a connection-specific system including means for providing a network connection to said primary terminal. According to the invention, the system includes a connection-specific authentication module m σ> coupled to an authentication system of means 35,

Oo

^ vastaanottamiseksi Identiteetintarjoajan palvelimelta 5 ja välineet käyttäjän identiteetin selvittämiseksi vasteena yhteysspesifiselle informaatiolle.receive from the Identity Provider server 5, and means for determining the identity of the user in response to the connection-specific information.

Keksinnön sovelluksessa Identiteetintarjoajan palvelimessa on välineet autentikointipyynnön tunnis-5 tamiseksi palveluntarjoajalta ja välineet pääsyauten-tikointidatan pyytämiseksi yhteysspesifiseltä auten-tikointimoduulilta. Autentikointijärjestelmään kuuluu välineet ensisijaisen päätelaitteen autentikoimiseksi RADIUS-järjestelmässä.In an embodiment of the invention, the identity provider server has means for recognizing an authentication request from the provider and means for requesting access authentication data from the connection-specific authentication module. The authentication system includes means for authenticating the primary terminal in the RADIUS system.

10 Keksinnön sovelluksessa autorisointijärjestelmään kuuluu välineet ensisijaiseen päätelaitteeseen liittyvän liittymätiedon keräämiseksi RADIUS-tietokantaan .In an embodiment of the invention, the authorization system includes means for collecting access information associated with a primary terminal in a RADIUS database.

Järjestelmän sovelluksessa yhteysspesifinen 15 autentikointimoduuli käsittää välineet pyynnön vastaanottamiseksi Identiteetintarjoajapalvelimelta ja välineet pyytämään identiteettiä ensisijaiselta päätelaitteelta, jolla on spesifinen IP-osoite, joka on pyydetty RADIUS-palvelimen tietokannasta.In a system application, the connection-specific authentication module 15 comprises means for receiving a request from the Identity Provider server and means for requesting identity from a primary terminal having a specific IP address requested from the RADIUS server database.

20 Liberty Alliance on määritellyt ID-FF:n (Identity Federation Framework) mahdollistaakseen tilin federoinnin ja kertakirjautumiskokemuksen käyttäjälle. Kertakirjautumisprosessissa IdP (Identiteetin-tarjoaja) on tärkeimmässä roolissa ja autentikoi käyt-25 täjän, luo vakuudet käyttäjälle ja järjestää vakuustiedot Palveluntarjoajille. Liberty on määritellyt erilaisia autentikointikontekstiluokkia mahdollis- ^ tamaan Palveluntarjoajan pyytämään erilaista o autentikointia IdP:Itä. Esillä oleva keksintö esittää 30 miten nämä autentikointikontekstiluokat voidaan koh- i distaa erilaisille autentikointimenetelmille ja miten x IdP palvelinjärjestelmä voidaan suunnitella modulaari- sesti.20 The ID-FF (Identity Federation Framework) has been defined by the Liberty Alliance to enable the account federation and single sign-on experience for the user. In the single sign-on process, IdP (Identity Provider) plays a key role and authenticates the user, creates collateral for the user and arranges security information for the Service Providers. Liberty has defined different authentication context classes to allow the Service Provider to request different authentication from IdP. The present invention discloses how these authentication context classes can be targeted to different authentication methods and how the x IdP server system can be modularly designed.

LOLO

g Tämä keksintö esittelee modulaarisen mekanisti 35 min, jolla toteutetaan standardi Liberty Allianceen o ° perustuva identiteetin hallinta yhdistämällä toisiinsa fragmentoitunut pääsyn autentikointi ja Liberty ID-FF-g The present invention provides a modular mechanism for 35 min that implements a standard Liberty Alliance oo-based identity management by combining fragmented access authentication and Liberty ID-FF-

SS

6 autentikointi, tehden mahdolliseksi Libertyn rajapintojen yhdistämisen minkä tahansa operaattorin pää-synautentikointijärjestelmään. Tämä keksintö tulee esittelemään modulaarisen arkkitehtuurin IdP-toimin-5 nallisuuden laajentamiseksi uudella autentikointijär jestelmällä ilman muutoksia ydin-IdP-arkkitehtuuriin. Keksintö kattaa sekä ei-käyttäjä-interaktiiviset ja käyttäjäinteraktiiviset menetelmät toteuttaakseen autentikointimoduulin verkon pääsyjärjestelmän ja 10 IdP:n välillä. Uusia autentikointikontekstiluokkia voidaan tukea lennosta vain lisäämällä uusi autentikointimoduuli järjestelmään ja konfiguroimalla IdP-palvelin.6 authentication, allowing Liberty interfaces to be connected to any operator's main synauthentication system. The present invention will present a modular architecture for extending the IdP function-5 functionality with a new authentication system without modifying the core IdP architecture. The invention encompasses both non-user interactive and user interactive methods for implementing an authentication module between a network access system and 10 IdPs. New authentication context classes can only be supported on the fly by adding a new authentication module to the system and configuring the IdP server.

15 PIIRROKSEN LYHYT KUVAUS15 BRIEF DESCRIPTION OF THE DRAWING

Seuraavassa keksintöä kuvataan yksityiskohtaisemmin viitaten liitteen piirroksissa kuvitettuihin sovelluksiin, joissaThe invention will now be described in more detail with reference to the embodiments illustrated in the accompanying drawings, in which:

Kuva 1 on kaaviomainen näkymä toiminnalli-20 sesta ympäristöstä,Figure 1 is a schematic view of a functional environment,

Kuva 2 on kaaviomainen näkymä keksinnön mukaisesta arkkitehtuurista,Figure 2 is a schematic view of an architecture according to the invention,

Kuva 3 on kaaviomainen esimerkki ei-interak-tiivisesta autentikoinnista, 25 Kuva 4 on kaaviomainen esimerkki autentikoin nista, joka hyödyntää kertakäyttösalasanan menetelmää,Figure 3 is a schematic example of non-interactive authentication, Figure 4 is a schematic example of an authentication that utilizes the disposable password method,

Kuva 5 on signalointikaavio kertakirjautumis- δ menetelmästä tunnetun tekniikan tason mukaisesti, c\jFig. 5 is a signaling diagram of a single sign-on δ method according to the prior art, ci

Kuva 6 on signalointikaavio esillä olevan 1 30 keksinnön mukaisesta menetelmästä, jaFigure 6 is a signaling diagram of a method according to the present invention, and

co ' Jco 'J

Kuva 7 on signalointikaavio esillä olevanFigure 7 is a signaling diagram of the present

XX

£ keksinnön toisesta sovelluksesta.£ another embodiment of the invention.

ioio

CDCD

g - YKSITYISKOHTAINEN KUVAUSg - DETAILED DESCRIPTION

N·OF·

Oo

o 35 Kuvassa 1 on esitetty toimintaympäristö ja olennaiset toimijat. Ensisijainen päätelaite PT on yh- 7 distetty IP-verkkoon. Ensisijainen päätelaite PT voi olla esimerkiksi käyttäjän päätelaite, yhdistettynä käyttäjän identiteettiin tai muuhun kokonaisuuteen, jolla voi olla identiteetti, kuten auto, mikä tahansa 5 kodinkone kuten pesukone, viihdejärjestelmä, hälytysjärjestelmä, jne.o 35 Figure 1 shows the operating environment and relevant actors. The primary terminal PT is connected to an IP network. The primary terminal PT may be, for example, a user terminal, associated with a user's identity or other entity that may have an identity, such as a car, any home appliance such as a washing machine, entertainment system, alarm system, etc.

Palveluntarjoaja SP on myös yhdistetty IP-verkkoon. Palveluntarjoajat ovat käyttäjille palveluita tarjoavia organisaatioita, kuten Internet-por-10 taaleja, jälleenmyyjiä, kuljetuspalvelun tarjoajia, finanssi-instituutioita, viihdeyhtiöitä, ei- kaupallisia organisaatioita, valtionhallinnon laitoksia, jne. Identiteetintarjoajät IdP ovat palveluntarjoajia, jotka jakavat ensisijaisen 15 päätelaitteen PT todellista identiteettiä muille palveluntarjoajille, luoden näin Luottamusringin (Circle of Trust) eri kokonaisuuksien välille. Luottamusringin muodostamista on selvitetty edelleen Liberty Alliancen dokumentaatiossa, kuten Liberty ID-20 FF Architecture Overview, draft-liberty-idff-arch-overview-l.2-errata-vl.0.pdf, saatavilla osoitteesta ww w. p r o j e c 11 i be r t y . o r g .The service provider SP is also connected to the IP network. Service Providers are organizations providing services to users, such as Internet portals, resellers, transportation providers, financial institutions, entertainment companies, non-commercial organizations, government agencies, etc. Identity Providers IdP are service providers that share their primary 15 terminal devices with service providers, thus creating a "Circle of Trust" between different entities. Confidence building is further explained in the Liberty Alliance documentation, such as the Liberty ID-20 FF Architecture Overview, draft-Liberty-idff-arch-overview-1.2-errata-vl.0.pdf, available at ww w. p r o j e c 11 i be r t y. o r g.

Liberty Alliance ei selkeästi määrittele miten palveluntarjoajan tulisi prosessoida identiteetit 25 ensisijaiselle päätelaitteelle ja miten ensisijaiset päätelaitteet autentikoituvat identiteetintarjoajalle. Nämä vaatimukset jätetään määriteltäviksi palvelun ^ luonteen, vaihdettavan informaation arkuuden, liitty- o cm van rahallxsen arvon, palveluntarjoajan riskitolerans- i ^ 30 sin ja vastaavien mukaan.The Liberty Alliance does not clearly define how the service provider should process identities for the 25 primary terminals and how the primary terminals authenticate to the identity provider. These requirements are left to be determined by the nature of the service, the sensitivity of the information to be exchanged, the value of the associated money, the risk tolerance of the service provider, and the like.

Autentikointikonteksti on määritelty infor- x maatioksi, jota palveluntarjoaja voi itse autentikoin- tivakuuden lisäksi vaatia ennen kuin se tekee oikeuk-The authentication context is defined as the information that the service provider may require in addition to the authentication security itself before making the legal

LOLO

sista paatoksen suhteessa autentikointivakuuteen. Ku- ° 35 vassa 1 nämä erilaiset autentikointitaustajärjestelmät o ^ on kuvattu ABlrstä AB5:een, havainnollistaen liitäntä teknologioita kuten GPRS, DSL, MSSP, tai jokin muu 8 järjestelmä jota käyttäjä käyttää liittyäkseen verkkoon. Kun nämä liitäntäteknologiat on yhdistetty erilaisiin autentikointijärjestelmiin, kuten käyttäjätunnus-salasana, kertakäyttösalasana, SIM- tai äly-5 korttipohjäinen autentikointi, PKI-autentikointi, au-tentikointikontekstiluokka pitää konfiguroida kaikkiin näihin kombinaatioihin. Erilaiset konfiguraatiot erilaisille autentikointikonteksteille on käsitelty au-tentikointimoduuleilla AM1...AM3. Liberty Alliancen 10 mukaan erilaisten autentikointikontekstiominaisuuksien permutaatioiden lukumäärä takaa teoriassa äärettömän määrän yksilöllisiä autentikointikonteksteja. Johtopäätös on, että teoriassa luottavan osapuolen odotettaisiin kykenevän jäsentämään satunnaisia autentikoin-15 tikontekstilauseita, ja erityisesti analysoimaan lause arvioidakseen liitetyn autentikointivakuuden 'laatua'. Tämä järjestelmä on optimoitu määrittelemällä joukko erilaisia Autentikointikontekstiluokkia. Jokainen luokka määrittelee riittävän alijoukon täydestä mää-20 rästä autentikointikonteksteja. Identiteetintarjoaja voi sisällyttää palveluntarjoajalle toimittamaansa kokonaiseen autentikointikontekstilauseeseen vakuuden, että autentikointikonteksti kuuluu myös yhteen Libertyn määrittelemistä autentikointiluokista. Joil-25 lekin palveluntarjoajille tämä vakuus on riittävä yksityiskohta, jotta se voidaan osoittaa sopivaksi luottamuksen tasoksi liitetylle autentikointivakuu-delle.the path to the authentication security. In Figure 1, these various authentication backend systems are described from AB1 to AB5, illustrating interface technologies such as GPRS, DSL, MSSP, or any other 8 system used by the user to connect to the network. When these interface technologies are combined with various authentication systems, such as a username password, a one-time password, SIM or smart-card based authentication, PKI authentication, the authentication context class must be configured for each of these combinations. Different configurations for different authentication contexts are handled by the authentication modules AM1 ... AM3. According to the Liberty Alliance 10, the number of permutations of different authentication context features guarantees an infinite number of unique authentication contexts. The conclusion is that the relying party in theory would be expected to be able to parse the extraordinary 15-authenticating tikontekstilauseita, and in particular, to analyze the phrase in order to assess the connected autentikointivakuuden 'quality'. This system is optimized by defining a number of different Authentication Context classes. Each class defines a sufficient subset of the full set of 20 authentication contexts. The identity provider may include in the complete authentication context statement it provides to the service provider that the authentication context also belongs to one of the authentication classes defined by Liberty. For Joil-25 Lek Service Providers, this security is a sufficient detail to demonstrate an appropriate level of confidence in the attached authentication assurance.

^ Kuvassa 2 on kaaviomainen kuvaus esillä ole- C\1Fig. 2 is a schematic representation of the present C 1

V 30 van keksinnön mukaisesta arkkitehtuurista. ID-FFV 30 of the architecture of the invention. ID-FF

API:in kuuluu autentikointipluginmoduuleja, jotka on ^ yhdistetty jokaiseen autentikointimoduuliin, kuten 0_ käyttäjätunnus/salasana, kertakäyttösalasana, GPRS-au-io g torisoinnin delegointi, ΕΑΡ-SIM, EAP-AKA tai MSSP. ID- 35 FF API :11a on IdP-toiminnallisuus, johon kuuluu jo- cm ka ista IdP:n käsittelemää autentikointikontekstiluok- 9 kaa vastaava vakuuden luonti. ID-FF API:in kuuluu myös tieto IdP:n konfiguraatiosta ja federointitaulukoista.The API includes authentication plugin modules that are associated with each authentication module, such as 0_ username / password, disposable password, GPRS-au-io g delegation delegation, ΕΑΡ-SIM, EAP-AKA or MSSP. The ID-35 FF API has the IdP functionality, which includes the creation of a security corresponding to each authentication context class handled by the IdP. The ID-FF API also includes information about the IdP configuration and federation tables.

Kuvassa 3 on esimerkki ei-interaktiivisesta käyttäjän pääsyn autentikoinnista ja Liberty ID-FF au-5 tentikoinnista. Seuraavan tekstin numerointi viittaa tietovuota kuvaaviin nuoliin kuvassa 3.Figure 3 shows an example of non-interactive user access authentication and Liberty ID-FF au-5 authentication. The numbering of the following text refers to the arrows depicting the data flow in Figure 3.

1. Käyttäjä pyytää pääsyä IP-verkkoon, tässä esimerkissä PDP-konteksipyyntö GPRS-verkkoon.1. The user requests access to an IP network, in this example a PDP context request to a GPRS network.

2. Käyttäjä autentikoidaan taustan RADIUS-10 järjestelmässä ja käyttäjälle allokoidaan IP-osoite jotta saadaan käyttäjälle pääsy Internetiin (Auto-risointiprosessi). Tilin tiedot kerätään RADIUS-tieto-kantaan, johon sisältyvät IP-osoite ja MSISDN.2. The user is authenticated in the background RADIUS-10 system and the user is allocated an IP address to gain access to the Internet (Auto-process). Account information is collected in a RADIUS data base that contains the IP address and MSISDN.

3. Käyttäjä yhdistyy Liberty SP:lie ja pyytää 15 autentikoitumista. Tämä tapahtuu kirjautumalla järjestelmään relevantin autentikointimenetelmän avulla. Tässä esimerkissä autentikoitumisinformaatio on saatavilla GPRS-järjestelmästä.3. The user connects to Liberty SP and requests 15 authentications. This is done by logging into the system using the relevant authentication method. In this example, authentication information is available from the GPRS system.

4. Käyttäjä uudelleenohjataan IdP:lle Liberty 20 ID-FF:n määrittelemän AuthnRequest:in avulla. Passiivinen lippu asetetaan todeksi osoittamaan IdP:lle, ettei käyttäjädialogi ole sallittua autentikointipro-sessissa. AuthContextClassRef luodaan seuraamaan autentikoint iprosessia eri elementeissä.4. The user is redirected to IdP by AuthnRequest defined by Liberty 20 ID-FF. The passive flag is set to true to indicate to the IdP that the user dialog is not allowed in the authentication process. AuthContextClassRef is created to track the authentication process in different elements.

25 5. IdP tunnistaa AuthRequest:in ja autenti- kointipluginin sääntöihin perustuen se pyytää pää-synautentikointitietoa GPRS-autentikointimoduulilta. o Tämä päätös voidaan tehdä jos esimerkiksi passiivien seksi tilaksi on asetettu TRUE SP:n lähettämässä 30 AuthnRequest issa.5. IdP identifies AuthRequest and based on the rules of the authentication plugin, it requests the main synauthentication information from the GPRS authentication module. o This decision can be made if, for example, the passive sex is set to 30 in AuthnRequest transmitted by TRUE SP.

i cd 6. GPRS-autentikointimoduuli vastaanottaa x saapuvan pyynnön ja selvittää identiteetin käyttä ne jälle, jolla on spesifinen IP-osoite ja selvittää o? käyttäjäidentiteetin tiedustelemalla sitä RADIUS-pal-i cd 6. The GPRS authentication module receives the x incoming request and re-identifies them with a specific IP address and resolves o? user identity by querying it on the RADIUS

LOLO

35 velimen tietokannasta, o o 7. Käyttäjäidentiteetti (MSISDN) palautetaan35 user database, o o 7. User identity (MSISDN) is restored

IdP:lie ja vakuus luodaan.IdPs and collateral are created.

10 8. Käyttäjä ohjataan uudelleen takaisin SP:lie SAMLart:in avulla.8. The user is redirected to the SP using SAMLart.

9. Joissain tapauksissa vaihtoehtoinen mene-telmävaihe on, että SP pyytää vakuutta IdP:ltä 5 SAMLart:11a.9. In some cases, an alternative method step is for the SP to request security from IdP in 5 SAMLart.

Tämän tapahtumaketjun keksinnöllinen osuus on määritellä erillinen moduuli, jonka vastuulla on saada tieto pääsytason autentikoinnilta Libertyn kerrokselle. Tämä moduuli (tässä esimerkissä GPRS-autenti-10 kointimoduuli) yhdistää IdP:n ja taustan pääsyautentikointijärjestelmät toisiinsa.The inventive part of this chain of events is to define a separate module responsible for obtaining information from access level authentication on the Liberty layer. This module (in this example, the GPRS Authentication 10 module) combines IdP and background access authentication systems.

Kuvassa 4 järjestely poikkeaa edellisestä esimerkistä autentikointimenetelmällä. Seuraavan tekstin numerointi viittaa tietovuota kuvaaviin nuoliin 15 kuvassa 4.In Figure 4, the arrangement differs from the previous example in the authentication method. The following text numbering refers to arrows 15 in Figure 4 that represent the data stream.

1. Käyttäjä pyytää pääsyä palveluntarjoajalle SP, tässä tapauksessa verkkoonpääsymenetelmä ei ole merkityksellinen.1. The user requests access to the service provider SP, in this case the network access method is irrelevant.

2. Käyttäjä ohjataan uudelleen ldP:lle 20 Liberty ID-FF:n määrittelemällä AuthRequest:11a. Tässä autentikointiprosessissa käyttäjädialogi on sallittu. AuthContextClassRef luodaan seuraamaan autentikointi-proseduuria eri elementeissä.2. The user is redirected to ldP by defining 20 Liberty ID-FFs with AuthRequest. User authentication is allowed in this authentication process. AuthContextClassRef is created to follow the authentication procedure on different elements.

3. IdP tunnistaa AuthnRequest:n ja perustuen 25 autentikointipluginin sääntöihin se pyytää pääsyauten- tikointidätaa kertakäyttösalasana-autentikointimoduu- lilta. Esimerkki kertakäyttösalasana-autentikoinnista o ^ on suomalaisen pankkisektorin käyttämä TUPAS-autenti- ^ kointimenetelmä.3. IdP recognizes AuthnRequest and based on the rules of the 25 authentication plugin, it requests access authentication data from the disposable password authentication module. An example of disposable password authentication is the TUPAS authentication method used by the Finnish banking sector.

(M(M

V 30 4. Kertakäyttösalasana-autentikointimoduuli to , >- ohjaa autentikoinnin erilliselle pankkiautorisomti- | palvelulle.V 30 4. Disposable Password Authentication Module to,> - directs authentication to a separate ATM | service.

^ 5. Pankkiautorisointipalvelun autorisointi- jo informaatio palautetaan kertakäyttösalasana-autentίο 35 kointimoduulille.^ 5. The Bank Authorization Service Authorization Alert information is returned to the 35 disposable password authentication module.

oo

CVJCVJ

11 6. IdP saa information kertakäyttösalasana- autentikointimoduulilta käyttäen11 6. IdP receives information from the disposable password authentication module

AuthContextClassRef:ä.AuthContextClassRef: s.

7. Käyttäjäidentiteetti palautetaan IdP:lie 5 ja vakuus luodaan.7. The user identity is returned to IdP 5 and a security is created.

8. Käyttäjä ohjataan uudelleen takaisin SP:lie SAMLart:n avulla.8. The user is redirected to the SP via SAMLart.

Keksinnön ja tunnetun tekniikan välistä eroa on edelleen selitetty kuvissa 5 ja 6, missä kuva 5 10 esittää tunnetun tekniikan mukaisen kertakäyt- tösalasanamenetelmän. Tässä signalointi on esitetty kolmen elementin välillä, ensisijaisen päätelaitteen, palveluntarjoajan ja identiteetin tarjoajan.The difference between the invention and the prior art is further explained in Figures 5 and 6, where Fig. 5-10 shows a prior art disposable password method. Here, signaling is illustrated between three elements, the primary terminal, the service provider, and the identity provider.

Vaiheessa 1 ensisijainen päätelaite valitsee 15 IdP-autentikoinnin. Palveluntarjoaja uudelleenohjaa . session IdP-sisäänkirjautumisen URL-osoitteeseen, : vaihe 1.1. Ensisijainen päätelaite tekee autentikoin- tipyynnön identiteetintarjoajalle, koska kertakirjau-tumissessiota ei ole olemassa, vaihe 2. Käyttäjä au-20 tentikoidaan vaiheessa 2.1 ja identiteetin vakuus luodaan vaiheessa 2.2. Identiteetintarjoajalta HTTP-sessio ohjataan uudelleen palveluntarjoajalle SAMLart:lla, vaihe 2.3.In step 1, the primary terminal selects 15 IdP authentication. Your service provider will redirect you. session IdP login URL, step 1.1. The primary terminal makes an authentication request to the identity provider because there is no single sign-on session, step 2. The user au-20 is authenticated in step 2.1 and the identity security is created in step 2.2. From the identity provider, the HTTP session is redirected to the service provider via SAMLart, step 2.3.

Vaiheessa 3 ensisijainen päätelaite kirjautuu 25 palveluntarjoajalle SAMLart:n avulla. Palveluntarjoaja tekee SOAP-vakuuskyselyn SAMLart:lla identiteetintar joa jalta, vaihe 3.1, ja vakuus palautetaan vai-o heessa 3.1.1. Nyt ensisijainen päätelaite on ^ identifioitu ja palveluntarjoaja esittää tervetulosi- c\j 3 0 vun.In step 3, the primary terminal logs on to 25 service providers via SAMLart. The service provider performs a SOAP security query with SAMLart from the identity provider, step 3.1, and the security is returned in step 3.1.1. Now, the primary terminal is identified and the service provider displays a welcome message.

Esillä olevan keksinnön mukainen menetelmä on esitetty kuvassa 6. Eroa tunnettuun tekniikkaan on koni rostettu lisäämällä keksinnöllinen elementti, autenti- lo kointimoduli, signalointikaavioon. Vaihe 1 vastaa vai- o 35 hetta 2 edellisessä esimerkissä, jossa ensisijainen t'· § päätelaite valitsee autentikointipyynnön identiteetin-The method of the present invention is illustrated in Figure 6. The difference with prior art is highlighted by adding an inventive element, an authenticating module, to the signaling diagram. Step 1 corresponds to step 35 step 2 in the previous example, where the primary t '· § terminal selects the authentication request identity.

OJOJ

tarloajalie. Vaiheessa 1.1. identiteetintar joa ja hank-- 12 kii pyydetyn AuthenticationContextClass:n ja asettaa passiivisen lipun tilaan ei osoittamaan, että autenti-kointi on tehty interaktiivisena tavalla. Identitee-tintarjoaja kartoittaa relevantin 5 AuthenticationContextClass:n vastaavaan autentikointi-moduuliin; vaihe 1.2; ja ohjaa uudelleen HTTP-session autentikointimoduuliin, vaihe 1.3.tarloajalie. In Step 1.1. identity provider and obtain 12 the requested AuthenticationContextClass and set the passive flag to a state not to indicate that authentication has been done in an interactive manner. The Identity Provider maps the relevant AuthenticationContextClass to the corresponding authentication module; step 1.2; and redirects to the HTTP session authentication module, step 1.3.

Ensisijainen päätelaite yhdistyy autentikoin-timoduulin esittämälle interaktiosivuille, vaihe 2. 10 Pankkien tarjoaman kertakäyttösalasanan skenaariossa haluttu pankkiautentikointimenetelmä voidaan valita tässä. Vaiheissa 2.1 ja 2.2 käyttäjä autentikoidaan tausta-autentikointijärjestelmällä, esimerkiksi mainitulla kertakäyttösalasanajärjestelmällä. Autentikoin-15 timoduuliartefakti luodaan autentikointimoduulista ja lähetetään identiteetintarjoajalle HTTP- uudelleenohjaus (redirect) (302)-sanomalla, vaihe 2.3. Tämä artefakti voidaan kuljettaa esimerkiksi AuthenticationContextClassRef-sanoman sisällä.The primary terminal connects to the interaction pages presented by the Authentication module, step 2. 10 In the scenario of a one-time password provided by the banks, the desired bank authentication method can be selected here. In steps 2.1 and 2.2, the user is authenticated by a back-end authentication system, such as said disposable password system. The authentication-15 timing module artifact is created from the authentication module and sent to the identity provider with an HTTP redirect (302) message, step 2.3. For example, this artifact can be transported inside an AuthenticationContextClassRef message.

20 Vaiheessa 3 ensisijainen päätelaite pyytää autentikointia identiteetintarjoajalta autentikointi-moduuliartefaktilla. Identiteetintarjoaja tiedustelee identiteetin vakuutta autentikointimoduulilta; vaihe 3.1; ja luo vakuuden vasteena tiedusteluun. Vaiheessa 25 3.3 ensisijainen päätelaite on ohjattu uudelleen palveluntarjoajalle HTTP-uudelleenohjaus (302)— viestillä käyttäen SAMLartra.In step 3, the primary terminal requests authentication from the identity provider with the authentication module artifact. The identity provider requests an identity guarantee from the authentication module; Step 3.1; and creates a security in response to your inquiry. In step 25 3.3, the primary terminal is redirected to the service provider via an HTTP redirect (302) message using SAMLartra.

^ Kuva 7 poikkeaa kuvasta 6 siten, että auten- o c\i tikomti on tehty passiivisella tavalla, käyttäjä na- 30 kee vähemmän autentikointinäkymiä kuin edellisessä i co esimerkissä. Ensisijainen päätelaite pyytää auto- x risointia identiteetintarjoajalta, vaihe 1. Vaiheessa cc 1.1 identiteetintar joa ja hankkii pyydetyn LO ...Fig. 7 differs from Fig. 6 in that the authentication tag is created in a passive manner, the user seeing less authentication views than in the previous example. The primary terminal requests the xx from the identity provider, step 1. In step cc 1.1, the identity provider obtains the requested LO ...

cd AuthenticationContextClass:n autentikointimoduuliltacd from the AuthenticationContextClass authentication module

LOLO

^ 35 ja passiivinen lippu on asetettu tilaan epätosi. Vai- o ^ heessa 1.2 AuthenticationContextClass kartoitetaan au- tentoikointimoduuliin. Identiteetintarjoaja pyytää au- 13 tentikointia käyttäen ensisijaisen päätelaitteen IP-osoitetta autentikointimoduulista, vaihe 1.3. Autenti-kointimoduuli autentikoi käyttäjän käyttämällä tausta-autentikointijärjestelmää, vaihe 1.3.1. Tämän autenti-5 koinnin jälkeen identiteetintarjoaja on valmis luomaan vakuuden, vaihe 1.4. Nyt sessio siirretään palveluntarjoajalle HTTP-uudelleenohjaus (302)-viestillä käyttäen SAMLart:a.^ 35 and the passive flag is set to false. In step 1.2, AuthenticationContextClass is mapped to the Authentication Module. The identity provider requests authentication using the primary terminal IP address from the authentication module, step 1.3. The Authentication module authenticates the user by using the background authentication system, step 1.3.1. After this authentication, the identity provider is ready to create a security, step 1.4. The session is now transferred to the service provider via an HTTP redirect (302) message using SAMLart.

Yllämainitut välineet ovat sinänsä tunnet-10 tuja, kuten ohjelmistokomponentteja, eikä niitä siksi kuvata tässä tarkemmin. Keksintöä ei rajata edellä mainittuihin sovelluksiin, vaan sitä voidaan muunnella erilaisilla tavoilla poikkeamatta vaatimuksissa määritellystä keksinnöllisestä ajatuksesta.The above-mentioned tools are known per se, such as software components, and are therefore not described in further detail. The invention is not limited to the above embodiments, but may be modified in various ways without departing from the inventive idea defined in the claims.

15 o δ15 o δ

CMCM

COC/O

XX

cccc

CLCL

LOLO

oo

LOLO

o h- o oo h- o o

CMCM

Claims

A method of administering user identity in a telecommunication system comprising: a main terminal (PT); an authentication system (ABI, ..., AB5); an identity provider server (IdP); a service provider (SP) who is a member of a trust circle; Wherein said method comprises the following steps: a) providing said main terminal (PT) network access through a connection-connected system; B) authenticating and authorizing said main terminal (PT) in the authentication system (ABI, ..., AB5); c) the said main terminal (PT) requests access to the service provider (SP); D) redirecting the connection of the main business terminal (PT) to said identity provider server (IdP); e) the identity provider server (IdP) asks the authentication system (ABI, ..., AB5) for a user identity; f) the user identity is returned to the Identity Provider Server (IdP) and an identity confirmation is formed, characterized in that the method comprises the following steps: 5 "30 g) redirecting the request from step e) to a connection-connected authentication module which is £ associated with the authentication system (ABI, ..., AB5); ir) h) The authentication module investigates the user's 05 g identity in response to the connection-related information.: CVJ 1 19

A method according to claim 1, characterized by step e) with the following steps of the identity provider server (IdP): an authentication request from the service provider (SP) is acknowledged; and you are requesting food authentication data from the connection-connected authentication module.

Method according to claim 1, characterized in that the main terminal (PT) is authenticated by the RADIUS system.

4. A method according to claim 1, characterized by gathering billing information associated with the main terminal (PT) in the RADIUS data base.

Method according to any of claims 1-4, characterized by step f) with the following step: the connection-linked authentication module receives the request from the identity provider server (IdP); and one finds the identity of the main terminal (PT) having the specified IP address by querying the RADIUS server database.

A telecommunications system for administering user identity, comprising: c3 a main terminal (PT); i £! An authenticating and authorizing system (ABI, ..., AB5) comprising means for authenticating and authorizing said principal terminal (PT) and for providing the user identity to LO g an identity provider server (IdP); An identity provider server (IdP) comprising means for querying the authentication system (ABI, ..., AB5) for a user identity and for forming an identity confirmation; a service provider (SP) that is a member of a trust circle and comprises: 5 means for processing an access request from said principal terminal (PT); and means for redirecting the connection of the main terminal (PT) to said identity provider server (IdP); A connection-connected system comprising means for granting network access to said main terminal (PT); characterized in that the system comprises: a connection-linked authentication module 15 associated with the authentication system (ABI, ..., AB5) having: means for receiving a request from the identity provider server (IdP); and means for investigating the identity of the user in response to the connection-related information.

System according to claim 6, characterized in that the identity provider server (IdP) has: means for recognizing an authentication request from the service provider (SP); and means for requesting food authentication data ° from the connection-related authentication module. o Ovi

System according to claim 6, characterized in that the authentication system (ABI, ..., AB5) comprises x means for authenticating the main terminal (PT) through the RADIUS system. LO CD LO ^ 35

System according to claim 6, characterized by 0 of the authorization system comprising means for gathering billing information associated with the main terminal (PT) in the RADIUS database.

System according to any of claims 6-9, 5, characterized in that the connection-linked authentication module comprises means for receiving a request from the identity provider server (IdP) / and means for investigating the identity of the main terminal (PT) having the specified the IP address by querying the RADIUS server database for it. o o CM CM CD X ct Q. LO σ> in o N · o o CM