KR100697344B1 - 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템 - Google Patents

유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템 Download PDF

Info

Publication number
KR100697344B1
KR100697344B1 KR1020040115152A KR20040115152A KR100697344B1 KR 100697344 B1 KR100697344 B1 KR 100697344B1 KR 1020040115152 A KR1020040115152 A KR 1020040115152A KR 20040115152 A KR20040115152 A KR 20040115152A KR 100697344 B1 KR100697344 B1 KR 100697344B1
Authority
KR
South Korea
Prior art keywords
domain
authentication
information
user
location information
Prior art date
Application number
KR1020040115152A
Other languages
English (en)
Other versions
KR20060076804A (ko
Inventor
신동규
신동일
정종일
Original Assignee
학교법인 대양학원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인 대양학원 filed Critical 학교법인 대양학원
Priority to KR1020040115152A priority Critical patent/KR100697344B1/ko
Publication of KR20060076804A publication Critical patent/KR20060076804A/ko
Application granted granted Critical
Publication of KR100697344B1 publication Critical patent/KR100697344B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를 위한 시스템에 관한 것으로, 본 발명의 실시예에 따라 유무선 통합 네트워크 환경에 있어서의 단일인증 방법은 제1 도메인이 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 모바일 디바이스로부터 수신하여 사용자 인증 정보 및 인증 도메인 위치 정보를 생성하는 (a) 단계와, 상기 제1 도메인으로부터 상기 생성된 인증 도메인 위치 정보를 상기 모바일 디바이스로 전송하는 (b) 단계와, 상기 모바일 디바이스가 제2 도메인으로 상기 인증 도메인 위치 정보를 전송하는 (c) 단계와, 상기 제2 도메인이 상기 인증 도메인 위치 정보에 따라 상기 제1 도메인에 대하여 상기 생성된 사용자 인증 정보를 요청하여 수신하는 (d) 단계 및 상기 제2 도메인이 상기 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인의 접근을 허용하는 (e) 단계를 포함한다.
단일인증, SAML(Security Assertion Markup Language)

Description

유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를 위한 시스템{Method for single-sign-on in wired and wireless network environment, and system for the same}
도 1은 본 발명의 일 실시예에 따른 단일인증 시스템의 아키텍쳐를 나타내는 예시도이다.
도 2는 본 발명의 실시예에 따른 게이트웨이의 스택 구조를 나타내는 예시도이다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다.
도 9는 SAML에서의 어써션(Assertion) 스키마를 나타내는 데이터 구조이다.
도 10은 본 발명의 일 실시예에 따른 사용자 인증 정보를 담고있는 어써션을 나타내는 데이터 구조이다.
도 11은 본 발명의 일 실시예에 따른 인증 도메인 위치 정보와 사용자 인증에 필요한 정보를 담고 있는 아티팩트를 나타내는 데이터 구조이다.
도 12는 본 발명의 일 실시예에 따른 인증 도메인 위치 정보를 전달하는 방 법을 보여주는 도면이다.
도 13은 본 발명의 일 실시예에 따른 사용자 인증 정보인 어써션을 전달하는 방법을 보여주는 도면이다.
<도면의 주요 부분에 대한 설명>
100: 모바일 디바이스
111, 121, 131: 게이트웨이
112, 122, 132: 인증 에이전트 서버
113, 123, 133: 범용 응용프로그램
본 발명은 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를 위한 시스템에 관한 것이다.
모바일 정보 서비스들은 모바일 운영자, 콘텐츠 제공자, 과금 에이전시 및 서비스 제공자 등에 의해 이루어진다. 그러나 실제적으로 이들을 구별하는 것은 매우 어렵다. 많은 통신회사들, 예를 들면 한국의 SK Telecom과 같은 회사들은 모바일 운영자이면서 서비스 제공자이며 콘텐츠를 제공하기도 한다.
한편, 모바일 기기에서 웹 서비스의 사용은 사용자나 제공자의 위치에 관계없이 서비스를 가능하게 한다. 그렇지만 모바일 환경에 유선인터넷 환경의 시스템들을 적용하려고 할 때 프레임워크 개발과 관련하여 성능, 비용, 그리고 일시적인 사용장애 같은 이슈들을 포함하는 것으로 확장되는 것이 바람직하다. 그러나 모바일 기기가 갖는 성능적인 한계는 유무선 통합 네트워크 환경에 웹 서비스나 단일인증(Single-Sign-On)과 같은 개념을 적용하기 위한 활발한 노력을 가로막는 요인이 되고 있다. 따라서, 웹 서비스 환경을 유무선 통합 네트워크 환경에 적용할 때에는 다음과 같은 접근 방법이 고려되어야 한다. 웹 서비스의 분산 환경에서 제공되는 수많은 서비스들 중에 사용자가 특정 서비스에 접근하기 위해서는 일관적이고 단일화된 접근 방법이 제공되어야 한다. 유선 인터넷 환경에서는 일관적이고 단일화된 접근 방법을 제공하기 위해 단일인증 메커니즘이 활발하게 연구되고 있다.
그렇지만 유무선 통합 네트워크 환경에서의 단일인증은 유선 인터넷 환경에서보다 중요하다. 이는 모바일 기기가 갖는 성능적인 한계에 기인한다. 예를 들면 한 사이트에서 인증을 받은 사용자가 다른 사이트로 이동하려고 할 때 셀룰러폰을 통해 사용자 이름과 비밀번호를 다시 입력하는 것보다는 키보드를 통해 입력하는 것이 훨씬 수월하다. 이러한 성질에 따라, 유무선 통합 네트워크 환경에서 단일인증 방식을 구현하는 것은 무선 인터넷 시장의 발전과 관련하여 매우 중요한 문제가 되고 있다.
따라서, 유무선 통합 네트워크 환경에 있어서, 보다 효율적인 단일인증 방식이 필요하게 되었고, 특히 보다 안전하고 신뢰성 있는 단일인증을 수행하기 위하여 사용자의 인증을 위한 정보들을 정당한 권한없는 제3자로부터 보호하기 위한 방법이 필요하게 되었다.
본 발명은 유무선 통합 네트워크 환경에 있어서 단일인증 방법 및 이를 위한 시스템을 제공하는 것을 그 목적으로 한다.
또한 본 발명은 다른 단일인증 시스템과의 호환성을 갖는 단일인증 방법 및 이를 위한 시스템을 제공하는 것을 목적으로 한다.
또한 본 발명은 유무선 통합 네트워크 환경에서 단일인증을 수행할 때 사용자의 인증을 위한 정보들을 정당한 권한없는 제3자로부터 보호하기 위한 방법을 제공하는 것을 목적으로 한다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따른 유무선 통합 네트워크 환경에 있어서의 단일인증 방법은 제1 도메인이 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 모바일 디바이스로부터 수신하여 사용자 인증 정보 및 인증 도메인 위치 정보를 생성하는 (a) 단계와, 상기 제1 도메인으로부터 상기 생성된 인증 도메인 위치 정보를 상기 모바일 디바이스로 전송하는 (b) 단계와, 상기 모바일 디바이스가 제2 도메인으로 상기 인증 도메인 위치 정보를 전송하는 (c) 단계와, 상기 제2 도메인이 상기 인증 도메인 위치 정보에 따라 상기 제1 도메인에 대하여 상기 생성된 사용자 인증 정보를 요청하여 수신하는 (d) 단계 및 상기 제2 도메인이 상기 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인의 접근을 허 용하는 (e) 단계를 포함한다.
또한, 상기 목적을 달성하기 위하여, 유무선 통합 네트워크 환경에 있어서, 본 발명의 일 실시에 따른 단일인증 방법은 무선 인터넷을 사용하는 사용자가 모바일 디바이스를 이용하여 제1 도메인으로 접근하는 (a) 단계와, 상기 모바일 디바이스가 상기 제1 도메인과 신뢰관계에 있는 제2 도메인으로 접근하는 (b) 단계 및 상기 모바일 디바이스가 상기 제2 도메인을 매개로 하여 상기 제2 도메인과는 신뢰관계가 형성되어 있으나 상기 제1 도메인과는 신뢰관계가 형성되지 않은 제3 도메인으로 접근하는 (c) 단계를 포함한다.
또한, 상기 목적을 달성하기 위하여, 유무선 통합 네트워크 환경에 있어서, 본 발명의 일 실시에 따른 단일인증 시스템은 제1 도메인과 상기 제1 도메인과 신뢰관계에 있는 제2 도메인을 포함하는데, 상기 제 1도메인은 유무선 프로토콜 변환을 수행하는 제1 게이트웨이 및 모바일 디바이스를 사용하는 사용자의 인증에 필요한 정보를 상기 게이트웨이를 통해 상기 모바일 디바이스로부터 수신하여 사용자 인증 정보 및 인증 도메인 위치 정보를 생성하는 제1 인증 에이전트 서버를 포함하고, 상기 제2 도메인은 유무선 프로토콜 변환을 수행하는 제2 게이트웨이 및 상기 인증 도메인 위치 정보를 이용하여 상기 제1 인증 에이전트 서버에 대하여 상기 사용자 인증 정보를 요청하여 수신하고, 상기 모바일 디바이스에 대하여 상기 제2 도메인에의 접근을 허용하는 제2 인증 에이전트 서버를 포함하는데, 상기 인증 도메인 위치 정보는 상기 제1 도메인으로부터 상기 모바일 디바이스를 경유하여 상기 제2 도메인으로 전송된다.
또한, 상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따라 제1 도메인과 상기 제1 도메인과 신뢰관계에 있는 제2 도메인, 상기 제1 도메인과는 신뢰관계가 형성되지 않았으나, 상기 제2 도메인과는 신뢰관계가 형성된 제3 도메인을 포함하는 유무선 통합 네트워크 환경에서의 단일인증 시스템은 상기 제1 도메인은 유무선 프로토콜 변환을 수행하는 제1 게이트웨이 및 모바일 디바이스를 사용하는 사용자의 인증에 필요한 정보를 이용하여 생성된 사용자 인증 정보를 인증 서비스 서버로부터 수신하고, 상기 사용자 인증 정보에 따라 제1 인증 도메인 위치 정보를 생성하여 상기 제1 게이트웨이를 통해 상기 모바일 디바이스로 전송하는 제1 인증 에이전트 서버를 포함하고, 상기 제2 도메인은 유무선 프로토콜 변환을 수행하는 제2 게이트웨이 및 상기 모바일 디바이스로부터 상기 제1 인증 도메인 위치 정보를 수신하여 상기 제1 인증 에이전트 서버로 전송하고, 상기 제1 인증 에이전트 서버로부터 상기 사용자 인증 정보를 수신하여 제2 인증 도메인 위치 정보를 생성하여 상기 제2 게이트웨이를 통해 상기 모바일 디바이스로 전송하는 제2 인증 에이전트 서버를 포함하고, 상기 제3 도메인은 유무선 프로토콜 변환을 수행하는 제3 게이트웨이; 및 상기 모바일 디바이스로부터 상기 제2 인증 도메인 위치 정보를 수신하여 상기 제2 인증 에이전트 서버로 전송하고, 상기 사용자 인증 정보를 상기 제2 인증 에이전트 서버로부터 수신하며, 상기 수신한 사용자 인증 정보를 이용하여 제3 인증 도메인 위치 정보를 생성하여 상기 모바일 디바이스로 전송하는 제3 인증 에이전트 서버를 포함한다.
이하, 첨부된 도면을 참조하여 보다 상세한 실시예를 설명한다. 이하 설명 에서 단일인증은 무선 인터넷의 사용자가 인증에 필요한 정보를 제공하여 유선 인터넷망의 제1 도메인에서 인증을 받은 후에, 제2 도메인에 접근할 때 인증에 필요한 별도의 정보를 제공하지 않고도 제2 도메인의 서비스를 제공받을 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 단일인증 시스템의 아키텍쳐를 나타내는 예시도이다.
모바일 디바이스(100)는 무선 인터넷을 통해 유선 인터넷의 각 도메인들(도 1에서는 '도메인 A', '도메인 B', '도메인 C'로 나타내고 있다)로부터 서비스를 제공받으려고 한다.
각 도메인들은 유선 인터넷과 무선 인터넷 데이터들을 중계하는 게이트웨이와, 접속하려는 디바이스를 인증하고, 인증 정보를 암호화 또는 복호화하는 인증 에이전트 서버와, 범용적인 응용프로그램들, 예를 들면, 웹 서비스를 제공하는 웹 서비스 서버, 및 웹 서비스에 제공될 필요한 정보 등을 저장하는 데이터 베이스 등을 포함한다.
즉, 도메인 A에는 게이트웨이(111)와, 인증 에이전트 서버(112)와, 범용적인 응용프로그램들(113)이 있다. 도메인 B에는 게이트웨이(121)와, 인증 에이전트 서버(122)와, 범용적인 응용프로그램들(123)이 있다. 도메인 C에는 게이트웨이(131)와, 인증 에이전트 서버(132)와, 범용적인 응용프로그램들(133)이 있다.
먼저 도메인 A의 웹 서비스 서버(113)가 제공하는 서비스를 이용하기 위하여 사용자는 모바일 디바이스(100)에 인증에 필요한 정보를 입력한다. 인증에 필요한 정보의 예로서 사용자 이름과 비밀번호, 상기 모바일 디바이스(100)를 다른 모바일 디바이스와 구별할 수 있는 고유의 식별자 또는 이미 이전에 인증되었음을 증명할 수 있는 정보들이 될 수 있다.
위와 같은 인증에 필요한 정보는 무선 인터넷을 거쳐 게이트웨이(111)에 도착한다. 게이트웨이(111)는 인증에 필요한 정보를 유선 인터넷을 통해 인증 에이전트 서버(112)에 전달한다.
인증 에이전트 서버(112)는 상기 전달된 인증에 필요한 정보를 이용하여 사용자 인증 정보를 생성하고, 생성된 사용자 인증 정보를 전자 서명한 후, 전자 서명된 사용자 인증 정보를 암호화한다.
이 때, 인증 에이전트 서버(112)는 인증 도메인 위치 정보를 생성하는데, 상기 인증 도메인 위치 정보는 사용자가 어떤 도메인에서 어떤 방법으로 인증되었는가를 나타내는 정보를 포함하고, 또한 사용자 인증 정보를 처리하기 위한 정보를 포함할 수도 있다.
인증 에이전트 서버(112)는 게이트웨이(111)를 거쳐 상기 생성된 인증 도메인 위치 정보 및 신뢰 관계에 있는 다른 도메인(trusted domain)에 대한 정보를 모바일 디바이스(100)로 전달한다. 여기서 '신뢰 관계'란 각각의 도메인들간에 단일인증이 가능한 관계를 일컫는다.
이 때, 사용자가 모바일 디바이스(100)를 이용하여 도메인 B에 있는 웹 서비스를 이용하고자 할 경우에는, 우선 모바일 디바이스(100)는 상기 인증 도메인 위치 정보를 도메인 B의 게이트웨이(121)로 전송한다.
게이트웨이(121)은 상기 전송된 인증 도메인 위치 정보를 수신하여 인증 에이전트 서버(122)로 전달하고, 인증 에이전트 서버(122)는 상기 전달된 인증 도메인 위치 정보를 도메인 A의 인증 에이전트 서버(112)로 전송한다. 이 때 도메인 A의 인증 에이전트 서버(112)는 전송된 인증 도메인 위치 정보가 제3자에 의해 불법적인 위조 또는 변조가 발생되지 않았는가에 대한 무결성을 검사하여, 만일, 무결하다고 판단될 경우에는 도메인 A의 인증 에이전트 서버(112)는 사용자 인증 정보를 도메인 B의 인증 에이전트 서버(122)로 전달한다.
인증 에이전트 서버(122)는 도메인 A의 인증 에이전트 서버(112)로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용자 인증 정보를 복호화한다.
인증 에이전트 서버(122)는 상기 복호된 사용자 인증 정보를 분석한 결과, 모바일 디바이스(100)의 도메인 B에 대한 접근 권한이 존재한다고 판단될 경우에는 모바일 디바이스(100)에 대하여 도메인 B로의 접근을 허용한다.
한편, 사용자가 모바일 디바이스(100)를 이용하여 다시 도메인 C에 있는 웹 서비스를 이용하고자 할 경우에는, 우선 모바일 디바이스(100)는 도메인 A의 인증 에이전트 서버(112)에서 생성된 도메인 위치 정보를 도메인 C의 게이트웨이(131)로 전송한다.
게이트웨이(131)은 상기 전송된 인증 도메인 위치 정보를 수신하여 인증 에이전트 서버(132)로 전달하고, 인증 에이전트 서버(132)는 상기 전달된 인증 도메인 위치 정보를 도메인 A의 인증 에이전트 서버(112)로 전송한다. 이 때 도메인 A 의 인증 에이전트 서버(112)는 전송된 인증 도메인 위치 정보가 제3자에 의해 불법적인 위조 또는 변조가 발생되지 않았는가에 대한 무결성을 검사하여, 만일, 무결하다고 판단될 경우에는 도메인 A의 인증 에이전트 서버(112)는 사용자 인증 정보를 도메인 C의 인증 에이전트 서버(132)로 전달한다.
인증 에이전트 서버(132)는 도메인 A의 인증 에이전트 서버(112)로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용자 인증 정보를 복호화한다.
인증 에이전트 서버(132)는 상기 복호된 사용자 인증 정보를 분석한 결과, 모바일 디바이스(100)의 도메인 C에 대한 접근 권한이 존재한다고 판단될 경우에는 모바일 디바이스(100)에 대하여 도메인 C로의 접근을 허용한다.
이와 같이, 사용자 인증 정보는 도메인 A의 인증 에이전트 서버(112)에서 생성되어 전자 서명 및 암호화 과정을 거쳐 인증 에이전트 서버(112)에 저장되고, 모바일 디바이스(100)는 인증 에이전트 서버(112)에서 생성된 인증 도메인 위치 정보 및 상기 인증 도메인 위치 정보를 수신하여 처리할 수 있는 다른 도메인에 대한 정보를 저장하게 된다.
모바일 디바이스(100)가 다른 도메인에 접근하기 위해서는 상기 인증 도메인 위치 정보를 접근하고자 하는 도메인으로 전달하고, 해당 도메인의 인증 에이전트 서버는 상기 전달된 인증 도메인 위치 정보를 이용하여 도메인 A의 인증 에이전트 서버(112)로부터 사용자 인증 정보를 수신한다. 그리고 나서, 해당 도메인의 인증 에이전트 서버는 수신한 사용자 인증 정보를 복호화하고 정당한 사용자인지 여부를 확인함으로써 모바일 디바이스(100)가 해당 도메인으로의 접근을 허용하는 것이다.
일 실시예에 있어서, 상기 인증 도메인 위치 정보는 유효 기간을 갖는데, 예컨데, 주어진 기간 내에 도메인 B로부터 도메인 A로 전달되지 않으면 유효하지 않게 함으로써, 인증 도메인 위치 정보의 도난을 방지할 수 있게 된다. 인증 도메인 위치 정보에는 사용자 인증 정보의 발생 시간 및 사용자 인증 시간 등이 포함될 수 있고, 사용자를 인증한 위치를 알 수 있는 IP 주소 등이 포함될 수 있다.
또한, 상기 실시예에서 각 도메인의 게이트웨이와 인증 에이전트 서버와 범용 응용프로그램은 물리적으로 별도의 서버로 구성될 수도 있으나, 하나의 서버에 존재하는 논리적인 구성단위일 수도 있다.
또한, 모바일 디바이스(100)와 각각의 도메인간의 정보 교환은 SSL3.0, TLS1.0 또는 WTLS와 같은 통신 보안 프로토콜을 사용할 수 있으며, 이로한 통신 보안 프로토콜은 각각의 도메인간에 정보를 교환할 때에도 사용할 수 있다.
또한, 사용자 인증 정보에는 사용자 인증 정보의 유효 기간에 대한 정보가 포함될 수 있다.
도 2는 본 발명의 일 실시예에 따른 게이트웨이의 스택 구조를 나타내는 예시도이다.
게이트웨이는 무선 인터넷 데이터를 유선 인터넷 데이터로 변환시켜 유선 인터넷으로 전달하고, 유선 인터넷 데이터를 무선 인터넷 데이터로 변환시켜 무선 인터넷으로 전달한다.
유무선 프로토콜 변환 방식으로 대표적인 방식이 WAP(Wireless Application Protocol) 방식이다. WAP은 셀룰러폰이나 무선호출기 등과 같은 무선장치들이 전자우편, 웹, 뉴스그룹 및 IRC 등의 인터넷 액세스에 사용될 수 있는 방법을 표준화하기 위한 통신 프로토콜들의 규격이다. 종전에도 모바일 디바이스로 인터넷 접속은 가능했지만, 제작회사마다 모두 다른 기술을 사용해서 서로 다른 시스템들간의 상호운용성(Interoperability)에 문제가 있었다. WAP 포럼(http://www.wapforum.org)은 이러한 문제를 해결하기 위해 에릭슨, 모토로라, 노키아 등의 여러 회사가 만든 포럼으로서 무선 인터넷 시스템과 유선 인터넷 시스템의 호환성과 상호운용성을 위한 표준화 작업을 수행해왔다. 따라서, 본 발명의 실시예에서 호환성과 상호운용성을 위하여 유무선 프로토콜 변환 방식으로서 바람직하게는 WAP 프로토콜을 사용한다.
WAP 계층에는 다음과 같은 것들이 있다.
Wireless Application Environment (WAE)
Wireless Session Protocol (WSP)
Wireless Transaction Protocol (WTP)
Wireless Transport Layer Security (WTLS)
Wireless Datagram Protocol (WDP)
WAE는 WAP/Web 어플리케이션과, WAP 마이크로 브라우저를 포함하는 무선 디바이스간의 상호작용을 제공한다. WSP는 HTTP/1.1 기능성을 제공하고 장기 생존하는 세션(long-lived session)의 일시중지/재개(suspend/resume)과 같은 새로운 특징들과 통합된다. WTP는 "가벼운" 클라이언트(모바일 스테이션들)에 적당한 가벼 운 트랜잭션 지향(light weight transaction oriented) 프로토콜로 정의되며, 무선 데이터그램 네트워크들에 효과적으로 동작한다. WTLS는 두 통신 어플리케이션들간의 프라이버시, 데이터 무결성 및 인증을 제공하도록 설계된 계층이다. WDP는 일반 데이터그램 서비스로서, 상위 계층 프로토콜에 지속적인 서비스를 제공하고 이용가능한 하위계층 서비스들의 하나와 투명하게 통신한다.
게이트웨이는 WAP 마이크로 브라우저를 탑재하고 있는 클라이언트와 콘텐츠를 제공하는 서버를 중계한다. 이 때 중계되는 무선 구간과 유선 구간은 보안 채널을 필요로 하는데, 무선 채널 구간은 WTLS가 이를 담당하고 유선 채널은 SSL(Secure Socket Layer)이 이를 담당한다. 도 1의 모바일 디바이스(100)는 도 2의 클라이언트에 해당하고, 인증 에이전트 서버들 및 웹 서비스 서버들은 도 2의 서버에 해당한다. 유무선 데이터를 중계하는 게이트웨이의 방식으로 WAP을 사용하는 것을 설명하였으나, 이는 예시적인 것으로서 일본국 NTT사의 DoCoMo방식, 미합중국 Microsoft사의 Mobile Explorer 방식 등을 사용할 수도 있다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다. 도면에서 점선으로 된 화살표는 무선 구간의 데이터 전송을 의미하고 실선으로 된 화살표는 유선 구간의 데이터 전송을 의미한다.
도 3은 사용자가 도메인 A에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있고, 도 4는 도메인 A에서 인증된 사용자가 도메인 B에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있으며, 도 5는 도메인 A에서 인증된 사용자가 도메인 C에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있다.
먼저 도 3을 참조하면, 사용자는 무선 인터넷을 통해 도메인 A의 서비스 자원에 접근하기 위하여 인증에 필요한 정보를 전송한다(S310). 인증에 필요한 정보의 예로서 사용자 이름과 비밀번호, 이미 이전에 인증되었음을 증명할 수 있는 정보, 사용자가 사용하는 모바일 디바이스를 다른 모바일 디바이스와 구별할 수 있는 고유의 식별자, 예를 들면 전화번호 또는 모바일 디바이스 장치의 맥(MAC; Medium Access Control) 주소 등이 될 수 있다.
사용자가 전송한 인증에 필요한 정보는 무선 인터넷을 통해 게이트웨이에 전달된다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증에 필요한 정보를 유선 인터넷 프로토콜로 변환시킨 후에 인증 에이전트로 전달한다(S312). 인증에 필요한 정보를 전달받은 인증 에이전트는 인증 도메인 위치 정보를 생성한다(S312). 인증 도메인 위치 정보는 사용자가 어떤 도메인(여기에서는 도메인 A)에서 어떤 방법으로 인증되었는가를 나타내는 정보를 포함하고, 또한 사용자 인증 정보를 처리하기 위한 정보를 포함할 수도 있다.
인증 에이전트는 생성된 인증 도메인 위치 정보 및 신뢰 관계에 있는 다른 도메인(여기에서는 도메인 A, 도메인 B 및 도메인 C가 서로 신뢰 관계에 있다고 가정한다)(trusted domain)에 대한 정보를 게이트웨이를 통해(S316) 사용자에게 전달한다(S318).
또한, 인증 에이전트는 게이트웨이로부터 전달된 인증에 필요한 정보를 이용하여 사용자 인증 정보를 생성하고, 생성된 사용자 인증 정보를 전자 서명한 후, 전자 서명된 사용자 인증 정보를 암호화한다(S314). 그리고 나서, 인증 에이전트는 서비스 자원을 요청한다(S320). 서비스 자원은 도메인 A에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S322), 사용자에게 제공된다(324).
도 4을 참조하면, 사용자는 무선 인터넷을 통해 도메인 B의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S410). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 B에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 B의 인증 에이전트로 전달한다(S412).
인증 도메인 위치 정보를 전달받은 도메인 B의 인증 에이전트는 인증 도메인 위치 정보로 도메인 A에 대하여 사용자에 대한 사용자 인증 정보를 요청한다(S414).
도메인 A의 인증 에이전트는 도메인 B의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S416).
인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 A의 인증 에이전트는 도메인 B로 사용자 인증 정보를 전송한다(S418).
도메인 B의 인증 에이전트는 도메인 A의 인증 에이전트로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용자 인증 정보를 복호화한다(S420). 그리고 나서, 상기 복호된 사용자 인증 정보를 분석한 결과, 사용자의 도메인 B에 대한 접근 권한이 존재한다고 판단될 경우에는 사용자에 대하여 도메인 B로의 접근을 허용한다(S422, S424). 또한, 도메인 B의 인증 에이전트는 서비스 자원을 요청하는데(S426), 이 때, 서비스 자원은 도메인 B에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S428), 사용자에게 제공된다(S430).
도 5를 참조하면, 사용자는 무선 인터넷을 통해 도메인 C의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S510). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 C에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 C의 인증 에이전트로 전달한다(S512).
인증 도메인 위치 정보를 전달받은 도메인 C의 인증 에이전트는 인증 도메인 위치 정보로 도메인 A에 대하여 사용자에 대한 사용자 인증 정보를 요청한다(S514).
도메인 A의 인증 에이전트는 도메인 C의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S516).
인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 A의 인증 에이전트는 도메인 C로 사용자 인증 정보를 전송한다(S518).
도메인 C의 인증 에이전트는 도메인 A의 인증 에이전트로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용 자 인증 정보를 복호화한다(S520). 그리고 나서, 상기 복호된 사용자 인증 정보를 분석한 결과, 사용자의 도메인 C에 대한 접근 권한이 존재한다고 판단될 경우에는 사용자에 대하여 도메인 C로의 접근을 허용한다(S522, S524).
또한, 도메인 C의 인증 에이전트는 서비스 자원을 요청하는데(S526), 이 때, 서비스 자원은 도메인 C에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S528), 사용자에게 제공된다(S530).
상기와 같은 제1 실시예에서는 사용자가 도메인 A와 신뢰 관계에 있는 도메인 B 또는 도메인 C에 대하여 접근을 시도하는 경우에 도메인 A에서 생성된 인증 도메인 위치 정보가 이용된다.
한편, 예를 들어 도메인 A와 도메인 B가 서로 신뢰 관계에 있고, 도메인 B와 도메인 C가 서로 신뢰 관계에 있는 경우에는 도메인 A와 도메인 C가 직접적인 신뢰 관계는 형성하지는 않지만, 도메인 B를 매개로 하여 도메인 A에서 인증된 사용자가 도메인 C에 접근할 수 있는 방법을 제공할 수 있는데, 여기에서는 이러한 방법을 제2 실시예로 칭하기로 한다. 제2 실시예에서는 사용자가 도메인 A, 도메인 B, 도메인 C에 접근할 때마다 새로운 인증 도메인 위치 정보가 생성되고 이전에 생성된 인증 도메인 위치 정보는 제거된다는 점에서 제1 실시예와는 차이가 있다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다. 이 때, 제2 실시예는 도 1에서 도시한 단일인증 시스템의 아키텍처에서 동작할 수 있다.
먼저 도 6을 참조하면, 사용자는 무선 인터넷을 통해 도메인 A의 서비스 자 원에 접근하기 위하여 인증에 필요한 정보를 전송한다(S610). 인증에 필요한 정보의 예로서 사용자 이름과 비밀번호, 이미 이전에 인증되었음을 증명할 수 있는 정보, 사용자가 사용하는 모바일 디바이스를 다른 모바일 디바이스와 구별할 수 있는 고유의 식별자, 예를 들면 전화번호 또는 모바일 디바이스 장치의 맥(MAC; Medium Access Control) 주소 등이 될 수 있다.
사용자가 전송한 인증에 필요한 정보는 무선 인터넷을 통해 게이트웨이에 전달된다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증에 필요한 정보를 유선 인터넷 프로토콜로 변환시킨 후에 인증 에이전트로 전달한다(S612).
그리고 나서, 도메인 A의 인증 에이전트는 상기 인증에 필요한 정보를 신뢰할 수 있는 도메인의 인증 서비스 서버로 전달한다(S614). 여기에서는 도메인 B의 인증 에이전트가 인증 서비스를 수행하는 것으로 하는데, 인증 서비스를 수행하는 서버는 이에 한정되지 않고 별도의 인증 기관 또는 인증 서버에 의해 인증 서비스가 수행될 수도 있다.
인증에 필요한 정보를 전달받은 도메인 B의 인증 에이전트는 상기 인증에 필요한 정보를 이용하여 사용자 인증 정보를 생성하고, 생성된 사용자 인증 정보를 전자 서명한 후, 전자 서명된 사용자 인증 정보를 암호화한다(S616). 그리고 나서, 도메인 B의 인증 에이전트는 암호화된 사용자 인증 정보를 도메인 A의 인증 에이전트로 전달한다(S618).
도메인 A의 인증 에이전트는 수신된 사용자 인증 정보가 정당한 권한없는 제3자에 의해 불법적으로 위조 또는 변조가 이루어졌는지에 대한 무결성을 검사한다. 이 때, 사용자 인증 정보가 무결하다고 판단되면, 도메인 A의 인증 에이전트는 암호화된 사용자 인증 정보를 복호화한 후, 인증 도메인 위치 정보를 생성한다(S620). 그리고 나서, 도메인 A의 인증 에이전트는 생성된 인증 도메인 위치 정보 및 신뢰 관계에 있는 다른 도메인에 대한 정보를 게이트웨이를 통해(S622) 사용자에게 전달함으로써(S624), 사용자가 도메인 A에 접근하는 것이 허용된다.
도 7을 참조하면, 사용자는 무선 인터넷을 통해 도메인 B에 접근하면서, 도메인 A에서 생성된 인증 도메인 위치 정보를 도메인 B로 전달한다(S710). 이 때, 도메인 B의 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 B의 인증 에이전트로 전달하게 된다(S712).
인증 도메인 위치 정보를 전달받은 도메인 B의 인증 에이전트는 인증 도메인 위치 정보를 도메인 A의 인증 에이전트로 전달한다(S714). 도메인 A의 인증 에이전트는 수신한 인증 도메인 위치 정보의 무결성을 검사하고(S716), 만일 무결하다고 판단된 경우에는 도 6에서 도시한 과정에서 생성된 사용자 인증 정보를 도메인 B의 인증 에이전트로 전달한다(S718).
도메인 B의 인증 에이전트는 도메인 A의 인증 에이전트로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용자 인증 정보를 복호화한 후, 인증 도메인 위치 정보를 생성한다(S720). 그리고 나서, 도메인 B의 인증 에이전트는 새롭게 생성한 인증 도메인 위치 정보 및 신뢰 관계에 있는 다른 도메인에 대한 정보를 게이트웨이를 통해(S722) 사용자에게 전달함 으로써(S724), 사용자가 도메인 B에 접근하는 것이 허용된다.
도 8을 참조하면, 사용자는 무선 인터넷을 통해 도메인 C의 서비스 자원에 접근하기 위하여, 도메인 B에서 생성된 인증 도메인 위치 정보를 도메인 C로 전달한다(S810). 이 때, 도메인 C의 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 C의 인증 에이전트로 전달하게 된다(S812).
인증 도메인 위치 정보를 전달받은 도메인 C의 인증 에이전트는 인증 도메인 위치 정보를 도메인 B의 인증 에이전트로 전달한다(S814). 도메인 B의 인증 에이전트는 수신한 인증 도메인 위치 정보의 무결성을 검사하고(S816), 만일 무결하다고 판단된 경우에는 도 7에서 도시한 과정에서 도메인 B의 인증 에이전트가 도메인 A의 인증 에이전트로부터 수신한 사용자 인증 정보를 도메인
C의 인증 에이전트로 전달한다(S818).
도메인 C의 인증 에이전트는 도메인 B의 인증 에이전트로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 만일 무결하다고 판단될 경우에는 암호화된 사용자 인증 정보를 복호화한 후, 인증 도메인 위치 정보를 생성한다(S820). 그리고 나서, 도메인 C의 인증 에이전트는 새롭게 생성한 인증 도메인 위치 정보 및 신뢰 관계에 있는 다른 도메인에 대한 정보를 게이트웨이를 통해(S822) 사용자에게 전달함으로써(S824), 사용자가 도메인 C에 접근하는 것이 허용된다.
또한, 도메인 C의 인증 에이전트는 서비스 자원을 요청하는데(S826), 이 때, 서비스 자원은 도메인 C에서 제공하는 서비스 자원으로서 게이트웨이를 통해 (S828), 사용자에게 제공된다(S830).
앞서 설명한 본 발명의 실시예들은 마크업 랭귀지 기반의 단일인증 시스템으로 구현할 수 있다. 예컨대, SGML, HTML, XML 등과 같은 마크업 랭귀지는 구조적인 정보의 전달이 편리하다는 이점 등으로 인해 그 사용이 점점 증대되고 있다. 현재 가장 보편적으로 사용되는 마크업 랭귀지는 표준기구 W3C의 표준인 XML이며, 앞으로도 다양한 마크업 랭귀지가 개발되어 사용될 것으로 예상된다. 특히 XML의 경우에 HTML과는 달리 확장성을 갖기 때문에 점차로 많은 어플리케이션에 적용되고 있는 실정이다. XML에 대한 자세한 정보는 http://www.w3.org 또는 http://www.xml.com 등에서 찾을 수 있다.
본 발명의 실시예들은 마크업 랭귀지를 기반으로 단일인증 시스템을 구현함으로써 기존에 구현된 다양한 인증방법들을 수용할 수 있다. 특히, XML의 부분집합으로서 OASIS(http://www.oasis-open.org)에서 완성한 규격인 SAML(Security Assertion Markup Language)은 도메인들 간의 인증과 권한 정보 교환을 목적으로 한다. 현재 SAML에 의해 지원되는 사용자 인증 방법들은 비밀번호, Kerberos, SRP(Secure Remote Password), Hardware Token, SSL/TLS Certificate Based Client Authentication, X.509 Public Key 등이 있다.
SAML에 대해서 좀더 자세히 살펴보면 다음과 같다.
SAML은 시스템들 사이에서 자동적이고 수동적인 상호작용을 위한 단일인증을 제공하도록 설계되었다. SAML은 사용자가 다른 도메인으로 로그인하는 것을 허용하고 사용자의 모든 권한을 정의한다. 또한 두 도메인 사이에서 자동화된 메시지 교환을 관리한다. SAML은 아래와 같은 자신의 컴포넌트들을 정의하는 명세(specification)의 집합이다.
-Assertions and request/response protocols
-Bidings
-Profiles
-Security considerations while using SAML
-Conformance guidelines and a test suite
-Use cases and requirements
SAML은 사용자, 디바이스 또는 주체(subject)라고 불리는 동일함(identify)을 증명할 수 있는 어떠한 엔터티에 관련된 인증과 권한 정보의 교환을 가능하게 한다. 이를 위해 SAML은 XML의 부분집합을 사용하여 요청-응답 프로토콜을 정의한다.
이 프로토콜에 의해 시스템은 어써션들(assertions)에 기반하여 주체들을 허용하거나 거절한다.
여기서 말하는 어써션은 주체에 대한 사실의 선언으로서, 예컨대, subject (예를 들면 사용자 및 시스템)가 이전에 행한 인증행위, subject의 속성, 그리고 subject가 특정 자원에 접근이 허용되었는지의 여부에 관한 정보를 전달하는 역할을 한다. 이러한 정보를 마크업 랭귀지 형태로 (예를 들면 XML) 표현한 것을 어써션이라고 부른다.
본 발명의 실시예에 있어서 사용자 인증 정보가 어써션에 해당한다고 볼 수 있다. SAML은 세가지 어써션 타입을 정의한다.
-인증(Authentication)
주체가 이전에 어떠한 방법(password, hardware token 또는 X.509 공개 키 같은)으로 인증되었다는 것을 나타낸다.
-권한부여(Authorization)
주체의 자원 접근을 허용하거나 거부해야 함을 나타낸다.
-속성(Attribution)
주체가 속성들에 연관되었다는 것을 나타낸다.
도 9는 SAML에서의 어써션(Assertion) 스키마를 보여주고 있으며, 도 10은 SAML 인증 메시지 생성기에 의해 발행된 인증 어써션을 포함하는 어써션 문장의 예를 보여준다.
한편, SAML은 아티팩트(artifact) 메커니즘을 정의하는데, 이에 대해서는 도 11을 통해 설명하도록 한다.
SAML 아키텍쳐에서 아티팩트들은 서버들이 어써션을 찾는데 사용될 수 있다. 예를 들면, 도 3 내지 도 8의 인증 도메인 위치 정보는 아티팩트들에 해당되며, 각 도메인의 인증 에이전트들은 아티팩트들을 이용하여 인증 어써션을 갖고 있는 도메인의 위치를 찾을 수 있다. SAML에서 아티팩트는 20 바이트의 크기를 갖는 타입 코드(Type-code)와 20 바이트의 크기를 갖는 어써션핸들러(AssertionHandler)로 구성되어 총 40 바이트의 크기를 갖는다. 타입 코드와 어써션핸들러는 각각 아티팩트를 생성한 소스 식별자(SourceID)와 난수(random number)를 의미한다.
소스 식별자는 목적 사이트가 소스 사이트의 동일성(identity)과 위치(location)를 결정하는데 이용된다. 예를 들면, 도 3에서 소스 사이트는 도메인 A에 해당하고 목적 사이트는 도메인 B에 해당한다. 목적 사이트는 일치하는 SAML 응답자에 대한 URL(또는 address)뿐만 아니라 소스 식별자 값의 테이블을 유지한다. 이 정보는 소스 및 목적 사이트 사이에서 전해진다. SAML 아티팩트를 받자마자 목적 사이트는 소스 식별자가 알려진 소스 사이트에 속하고 SAML 요청을 전송하기 전에 사이트의 위치를 얻을 지 여부를 결정한다.
SAML은 다양한 커뮤니케이션 및 전송 프로토콜과 연결될 수 있으나, 주로 HTTP 상의 SOAP와 연결될 수 있다. SAML은 두 가지의 프로파일, 즉 Browser/artifact와 Browser/post 중 하나에서 쿠기 없이 동작될 수 있다. Browser/artifact를 사용한다면 SAML 아티팩트는 URL 쿼리 스트링의 일부로 전달된다. 이 때 아티팩트는 어써션에 대한 포인터가 된다.
그 순서에 대한 설명은 도 12 및 도 13을 통해 설명한다.
도 12는 본 발명의 일 실시예에 따른 인증 도메인 위치 정보를 전달하는 방법을 보여주는 도면이다.
(1) 서버 A에서 인증된 브라우저의 사용자는 서버 B의 범용적인 응용프로그램에 대한 접근을 요청한다. 서버 A는 SAML 아티팩트를 포함하는 서버 B 방향의 URL 리디렉트(redirect)를 생성한다.
(2) 브라우저는 서버 A에 대한 어써션을 가리키고 있는 아티팩트를 서버 B로 리디렉트한다.
(3) 서버 B는 아티팩트를 서버 A에게 전송하고 완전한 어써션을 얻는다.
(4) 서버 B는 전송받은 어써션을 체크하고 범용적인 응용프로그램에 대한 사용자의 접근 요청을 수용할지 혹은 거절할지 체크한다.
Browser/post에서 SAML 어써션은 HTML 폼(form) 내부에서 브라우저에 업로드되고 HTTP post 페이로드의 일부로서 목적지 사이트에 전달된다.
도 13은 본 발명의 다른 실시예에 따른 사용자 인증 정보인 어써션을 전달하는 방법을 보여주는 도면이다.
(1) 서버 A에서 인증된 브라우저의 사용자는 서버 B의 범용적인 응용프로그램에 대한 접근을 요청한다.
(2) 서버 A는 SAML 어써션을 갖는 HTML 폼(form)을 생성하고 사용자에게 되돌려준다.
(3) 브라우저는 서버 B에게 폼을 보낸다.
(4) 서버 B는 어써션을 체크하고 범용적인 응용프로그램에 대한 사용자의 접근 요청을 허용하거나 거부한다.
본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변 형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
본 발명에 따르면 모바일 디바이스에서 단일인증으로 유선 인터넷 자원을 사용할 수 있는 효과가 있다.
또한, 본 발명은 유무선 통합 네트워크 환경에서 단일인증을 수행할 때 사용자의 인증을 위한 정보들을 정당한 권한없는 제3자로부터 보호할 수 있는 효과가 있다.
또한, 마크업 랭귀지, 특히 XML을 기반으로 한 단일인증 방식을 제공함으로써, 기존의 단일인증 방식과의 호환성을 갖는 단일인증 방식을 제공하 수 있는 효과가 있다.

Claims (21)

  1. 유무선 통합 네트워크 환경에 있어서,
    제1 도메인이 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 모바일 디바이스로부터 수신하여 사용자 인증 정보 및 인증 도메인 위치 정보를 생성하는 (a) 단계;
    상기 제1 도메인으로부터 상기 생성된 인증 도메인 위치 정보를 상기 모바일 디바이스로 전송하는 (b) 단계;
    상기 모바일 디바이스가 제2 도메인으로 상기 인증 도메인 위치 정보를 전송하는 (c) 단계;
    상기 제2 도메인이 상기 인증 도메인 위치 정보에 따라 상기 제1 도메인에 대하여 상기 생성된 사용자 인증 정보를 요청하여 수신하는 (d) 단계; 및
    상기 제2 도메인이 상기 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인에의 접근을 허용하는 (e) 단계를 포함하는 단일인증 방법.
  2. 제1항에 있어서,
    상기 (d) 단계는 상기 제2 도메인이 상기 인증 도메인 위치 정보에 따라 상기 제1 도메인에 대하여 상기 생성된 사용자 인증 정보를 요청하면서 상기 인증 도메인 위치 정보를 전송하는 단계;
    상기 제1 도메인이 상기 전송된 인증 도메인 위치 정보에 대하여 무결성을 검사하는 단계;
    상기 인증 도메인 위치 정보가 무결한 경우, 상기 제1 도메인이 상기 제2 도메인으로 상기 요청된 사용자 인증 정보를 전송하는 단계를 포함하는 단일인증 방법.
  3. 제1항에 있어서,
    상기 (e) 단계는 상기 제2 도메인이 상기 수신한 사용자 인증 정보의 무결성을 검사하는 단계; 및
    상기 사용자 인증 정보가 무결한 경우, 상기 제2 도메인이 상기 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인의 접근을 허용하는 단계를 포함하는 단일인증 방법.
  4. 제1항에 있어서,
    상기 (a) 단계는 상기 생성된 사용자 인증 정보를 전자 서명하는 단계 및 전자 서명된 사용자 인증 정보를 암호화하는 단계를 포함하고,
    상기 (e) 단계는 상기 제2 도메인이 상기 수신한 사용자 인증 정보를 복호화하는 단계 및 상기 복호된 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인의 접근을 허용하는 단계를 포함하는 단일인증 방법.
  5. 제1항에 있어서,
    상기 (e) 단계는 상기 제2 도메인이 자신의 서비스 자원을 사용자에게 제공하는 단계를 포함하는 단일인증 방법.
  6. 제1항에 있어서,
    상기 (b) 단계는 상기 제1 도메인으로부터 상기 제1 도메인과 신뢰관계에 있는 도메인들에 대한 정보를 더 포함하여 상기 모바일 디바이스로 전송하는 단계를 포함하는 단일인증 방법.
  7. 유무선 통합 네트워크 환경에 있어서,
    무선 인터넷을 사용하는 사용자가 모바일 디바이스를 이용하여 제1 도메인으로 접근하는 (a) 단계;
    상기 모바일 디바이스가 상기 제1 도메인과 신뢰관계에 있는 제2 도메인으로 접근하는 (b) 단계; 및
    상기 모바일 디바이스가 상기 제2 도메인을 매개로 하여 상기 제2 도메인과는 신뢰관계가 형성되어 있으나 상기 제1 도메인과는 신뢰관계가 형성되지 않은 제3 도메인으로 접근하는 (c) 단계를 포함하는 단일인증 방법.
  8. 제7항에 있어서,
    상기 (a) 단계는
    상기 모바일 디바이스가 상기 사용자의 인증에 필요한 정보를 상기 제1 도메 인으로 전송하는 (a)-1 단계;
    상기 제1 도메인이 상기 인증에 필요한 정보를 사용자에 대한 인증 서비스를 수행하는 인증 서비스 서버로 전송하는 (a)-2 단계;
    상기 인증 서비스 서버가 상기 인증에 필요한 정보를 이용하여 사용자 인증 정보를 생성하여 상기 제1 도메인으로 전송하는 (a)-3 단계;
    상기 제1 도메인이 상기 사용자 인증 정보를 이용하여 제1 인증 도메인 위치 정보를 생성하여 상기 모바일 디바이스로 전송하는 (a)-4 단계; 및
    상기 사용자가 상기 제1 인증 도메인 위치 정보를 이용하여 상기 제1 도메인으로 접근하는 (a)-5 단계를 포함하는 단일인증 방법.
  9. 제8항에 있어서,
    상기 (a)-3 단계는,
    상기 사용자 인증 정보는 전자서명되는 단계 및 상기 전자서명된 사용자 인증 정보가 암호화되어 상기 제1 도메인으로 전송되는 단계를 포함하고,
    상기 (a)-4 단계는,
    상기 암호화된 사용자 인증 정보를 복호화한 후, 복호된 사용자 인증 정보를 이용하여 상기 제1 인증 도메인 위치 정보를 생성하는 단계를 포함하는 단일인증 방법.
  10. 제8항에 있어서,
    상기 (b) 단계는
    상기 제1 인증 도메인 위치 정보가 상기 모바일 디바이스로부터 상기 제2 도메인을 경유하여 상기 제1 도메인으로 전송되는 (b)-1 단계;
    상기 사용자 인증 정보가 상기 제1 도메인으로부터 상기 제2 도메인으로 전송되는 (b)-2 단계;
    상기 제2 도메인이 상기 사용자 인증 정보를 이용하여 제2 인증 도메인 위치 정보를 생성하여 상기 모바일 디바이스로 전송하는 (b)-3 단계; 및
    상기 모바일 디바이스가 제2 인증 도메인 위치 정보를 이용하여 상기 제2 도메인으로 접근하는 (b)-4 단계를 포함하는 단일인증 방법.
  11. 제10항에 있어서,
    상기 (b)-2 단계에서 상기 사용자 인증 정보는 암호화되어 상기 제1 도메인으로부터 상기 제2 도메인으로 전송되고,
    상기 (b)-3 단계에서 상기 제2 도메인이 상기 사용자 인증 정보를 복호화하고, 복호된 사용자 인증 정보를 이용하여 상기 제2 인증 도메인 위치 정보를 생성하는 단계를 포함하는 단일인증 방법.
  12. 제10항에 있어서,
    상기 (c) 단계는
    상기 제2 인증 도메인 위치 정보가 상기 모바일 디바이스로부터 상기 제3 도 메인을 경유하여 상기 제2 도메인으로 전송되는 (c)-1 단계;
    상기 사용자 인증 정보가 상기 제2 도메인으로부터 상기 제3 도메인으로 전송되는 (c)-2 단계;
    상기 제3 도메인이 상기 사용자 인증 정보를 이용하여 제3 인증 도메인 위치 정보를 생성하여 상기 모바일 디바이스로 전송하는 (c)-3 단계; 및
    상기 모바일 디바이스가 제3 인증 도메인 위치 정보를 이용하여 상기 제3 도메인으로 접근하는 (c)-4 단계를 포함하는 단일인증 방법.
  13. 제12항에 있어서,
    상기 (c)-2 단계에서 상기 사용자 인증 정보는 암호화되어 상기 제2 도메인으로부터 상기 제3 도메인으로 전송되고,
    상기 (c)-3 단계에서 상기 제3 도메인이 상기 사용자 인증 정보를 복호화하고, 복호된 사용자 인증 정보를 이용하여 상기 제3 인증 도메인 위치 정보를 생성하는 단계를 포함하는 단일인증 방법.
  14. 제1 도메인과 상기 제1 도메인과 신뢰관계에 있는 제2 도메인을 포함하는 유무선 통합 네트워크 환경에 있어서,
    상기 제 1도메인은 유무선 프로토콜 변환을 수행하는 제1 게이트웨이; 및
    모바일 디바이스를 사용하는 사용자의 인증에 필요한 정보를 상기 게이트웨이를 통해 상기 모바일 디바이스로부터 수신하여 사용자 인증 정보 및 인증 도메인 위치 정보를 생성하는 제1 인증 에이전트 서버를 포함하고,
    상기 제2 도메인은 유무선 프로토콜 변환을 수행하는 제2 게이트웨이; 및
    상기 인증 도메인 위치 정보를 이용하여 상기 제1 인증 에이전트 서버에 대하여 상기 사용자 인증 정보를 요청하여 수신하고, 상기 모바일 디바이스에 대하여 상기 제2 도메인에의 접근을 허용하는 제2 인증 에이전트 서버를 포함하는데,
    상기 인증 도메인 위치 정보는 상기 제1 도메인으로부터 상기 모바일 디바이스를 경유하여 상기 제2 도메인으로 전송되는 단일인증 시스템.
  15. 제14항에 있어서,
    상기 제2 인증 에이전트 서버는 상기 제1 인증 에이전트 서버에 대하여 상기 사용자 인증 정보를 요청하면서 상기 인증 도메인 위치 정보를 전송하면, 상기 제1 인증 에이전트 서버가 상기 전송된 인증 도메인 위치 정보에 대하여 무결성을 검사하고, 상기 인증 도메인 위치 정보가 무결한 경우, 상기 제2 인증 에이전트 서버로 상기 요청된 사용자 인증 정보를 전송하도록 하는 단일인증 시스템.
  16. 제14항에 있어서,
    상기 제2 인증 에이전트 서버는 상기 제1 인증 에이전트 서버로부터 수신한 사용자 인증 정보의 무결성을 검사하고, 상기 사용자 인증 정보가 무결한 경우, 상기 상기 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인에의 접근을 허용하는 단일인증 시스템.
  17. 제14항에 있어서,
    상기 제1 인증 에이전트 서버는 상기 생성된 사용자 인증 정보를 전자 서명하고, 전자 서명된 사용자 인증 정보를 암호화하며,
    상기 제2 인증 에이전트 서버는 상기 제1 인증 에이전트 서버로부터 수신한 사용자 인증 정보를 복호화하고, 복호된 사용자 인증 정보에 따라 사용자에게 상기 제2 도메인에의 접근을 허용하는 단일인증 시스템.
  18. 제1 도메인과 상기 제1 도메인과 신뢰관계에 있는 제2 도메인, 상기 제1 도메인과는 신뢰관계가 형성되지 않았으나, 상기 제2 도메인과는 신뢰관계가 형성된 제3 도메인을 포함하는 유무선 통합 네트워크 환경에 있어서,
    상기 제1 도메인은 유무선 프로토콜 변환을 수행하는 제1 게이트웨이; 및 모바일 디바이스를 사용하는 사용자의 인증에 필요한 정보를 이용하여 생성된 사용자 인증 정보를 인증 서비스 서버로부터 수신하고, 상기 사용자 인증 정보에 따라 제1 인증 도메인 위치 정보를 생성하여 상기 제1 게이트웨이를 통해 상기 모바일 디바이스로 전송하는 제1 인증 에이전트 서버를 포함하고,
    상기 제2 도메인은 유무선 프로토콜 변환을 수행하는 제2 게이트웨이; 및
    상기 모바일 디바이스로부터 상기 제1 인증 도메인 위치 정보를 수신하여 상기 제1 인증 에이전트 서버로 전송하고, 상기 제1 인증 에이전트 서버로부터 상기 사용자 인증 정보를 수신하여 제2 인증 도메인 위치 정보를 생성하여 상기 제2 게 이트웨이를 통해 상기 모바일 디바이스로 전송하는 제2 인증 에이전트 서버를 포함하고,
    상기 제3 도메인은 유무선 프로토콜 변환을 수행하는 제3 게이트웨이; 및
    상기 모바일 디바이스로부터 상기 제2 인증 도메인 위치 정보를 수신하여 상기 제2 인증 에이전트 서버로 전송하고, 상기 사용자 인증 정보를 상기 제2 인증 에이전트 서버로부터 수신하며, 상기 수신한 사용자 인증 정보를 이용하여 제3 인증 도메인 위치 정보를 생성하여 상기 모바일 디바이스로 전송하는 제3 인증 에이전트 서버를 포함하는 단일인증 시스템.
  19. 제18항에 있어서,
    상기 제1 인증 에이전트 서버가 상기 인증 서비스 서버로부터 수신한 사용자 인증 정보는 전자서명 및 암호화되어 있는데, 상기 제1 인증 에이전트 서버는 상기 암호화된 사용자 인증 정보를 복호화한 후, 복호된 사용자 인증 정보를 이용하여 상기 제1 인증 도메인 위치 정보를 생성하는 단일인증 시스템.
  20. 제18항에 있어서,
    상기 제2 인증 에이전트 서버는 상기 제1 인증 에이전트 서버로부터 암호화된 사용자 인증 정보를 수신하여 복호화하고, 복호된 사용자 인증 정보를 이용하여 상기 제2 인증 도메인 위치 정보를 생성하는 단일인증 시스템.
  21. 제18항에 있어서,
    상기 제3 인증 에이전트 서버는 상기 제2 인증 에이전트 서버로부터 암호화된 사용자 인증 정보를 수신하여 복호화하고, 복호된 사용자 인증 정보를 이용하여 상기 제3 인증 도메인 위치 정보를 생성하는 단계를 포함하는 단일인증 시스템.
KR1020040115152A 2004-12-29 2004-12-29 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템 KR100697344B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040115152A KR100697344B1 (ko) 2004-12-29 2004-12-29 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040115152A KR100697344B1 (ko) 2004-12-29 2004-12-29 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템

Publications (2)

Publication Number Publication Date
KR20060076804A KR20060076804A (ko) 2006-07-05
KR100697344B1 true KR100697344B1 (ko) 2007-03-20

Family

ID=37168956

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040115152A KR100697344B1 (ko) 2004-12-29 2004-12-29 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템

Country Status (1)

Country Link
KR (1) KR100697344B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
KR100995904B1 (ko) 2007-12-18 2010-11-23 한국전자통신연구원 웹 서비스 방법 및 그 장치
US8484704B2 (en) 2009-09-16 2013-07-09 Avaya Inc. Next generation integration between different domains, such as, enterprise and service provider using sequencing applications and IMS peering

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050117275A (ko) * 2004-06-10 2005-12-14 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050117275A (ko) * 2004-06-10 2005-12-14 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템

Also Published As

Publication number Publication date
KR20060076804A (ko) 2006-07-05

Similar Documents

Publication Publication Date Title
KR100644616B1 (ko) 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
CN101569217B (zh) 不同认证基础设施的集成的方法和布置
CN102143160B (zh) 用于支持有线和无线客户端和服务器端认证的方法的机制
US8209541B2 (en) Method and system for single sign-on for multiple remote sites of a computer network
US8621206B2 (en) Authority-neutral certification for multiple-authority PKI environments
CN101567878B (zh) 提高网络身份认证安全性的方法
KR20070108365A (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
KR20050066522A (ko) 무선 단말기용 암호키 관리 시스템 및 방법
EP2404427B1 (en) Method and apparatus for securing network communications
EP2979420B1 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
KR20130109322A (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
CN103023856A (zh) 单点登录的方法、系统和信息处理方法、系统
JP2009118110A (ja) 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体
US20060020791A1 (en) Entity for use in a generic authentication architecture
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
CN102083066A (zh) 统一安全认证的方法和系统
KR100697344B1 (ko) 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
Abe et al. Implementing identity provider on mobile phone
KR20060094453A (ko) Eap 를 이용한 시간제 서비스에 대한 인증 방법 및 그시스템
Park et al. Open location-based service using secure middleware infrastructure in web services
Kerttula A novel federated strong mobile signature service—the finnish case
Konidala et al. A secure and privacy enhanced protocol for location-based services in ubiquitous society
Jeong et al. An XML-based single sign-on scheme supporting mobile and home network service environments
Jeong et al. A study on the xml-based single sign-on system supporting mobile and ubiquitous service environments
RU2282311C2 (ru) Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110415

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee