KR101247879B1 - 사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스 - Google Patents

사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스 Download PDF

Info

Publication number
KR101247879B1
KR101247879B1 KR1020117007185A KR20117007185A KR101247879B1 KR 101247879 B1 KR101247879 B1 KR 101247879B1 KR 1020117007185 A KR1020117007185 A KR 1020117007185A KR 20117007185 A KR20117007185 A KR 20117007185A KR 101247879 B1 KR101247879 B1 KR 101247879B1
Authority
KR
South Korea
Prior art keywords
provider
user
network
access
service
Prior art date
Application number
KR1020117007185A
Other languages
English (en)
Other versions
KR20110046576A (ko
Inventor
휴고 산토스
주앙 기라오
Original Assignee
엔이씨 유럽 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔이씨 유럽 리미티드 filed Critical 엔이씨 유럽 리미티드
Publication of KR20110046576A publication Critical patent/KR20110046576A/ko
Application granted granted Critical
Publication of KR101247879B1 publication Critical patent/KR101247879B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/04Billing or invoicing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1453Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network
    • H04L12/1471Methods or systems for payment or settlement of the charges for data transmission involving significant interaction with the data transmission network splitting of costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

단일 서비스에 포커싱한 네트워크에 액세스하기 위해 사용될 수 있는 간단한 네트워크 액세스 프로세스를 제공하기 위해, 서비스 제공자 (SP) 에 네트워크 제공자 (NP) 를 통해 사용자에 대한 네트워크 액세스를 제공하기 위한 프로세스가 청구되며, 상기 프로세스는, 서비스 제공자 (SP) 에 액세스하도록 사용자의 요청에 의해 사용자와 네트워크 제공자 (NP) 사이에 접속을 확립하는 단계; 네트워크 제공자 (NP) 의 요청 시에 사용자의 아이덴티티 제공자 (IdP) 에 의해 사용자를 인증하는 단계; 서비스 제공자 (SP) 또는 제 3 파티가 액세스 요금의 수취인이라는 정보를 네트워크 제공자 (NP) 가 갖도록 아이덴티티 제공자 (IdP) 로부터 네트워크 제공자 (NP) 로 데이터를 송신하는 단계; 및 네트워크 제공자 (NP) 에 의해 서비스 제공자 (SP) 로 네트워크 제공자 (NP) 를 통해 사용자에 대한 액세스를 제공하는 단계를 포함한다.

Description

사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스{PROCESS FOR PROVIDING NETWORK ACCESS FOR A USER VIA A NETWORK PROVIDER TO A SERVICE PROVIDER}
본 발명은 청구항 제 1 항에 따라, 네트워크 제공자 (NP) 를 통해 사용자에 대한 네트워크 액세스를 서비스 제공자 (SP) 에 제공하기 위한 프로세스에 관한 것이다.
현재, 네트워크 액세스는 그 자체가 서비스로서 처리된다. 서비스 제공자 (SP) 에 액세스하기 위해, 사용자는 네트워크 제공자 (NP) 와의 세션을 확립하고, 과금 (charge) 될 액세스에 대한 충분한 정보 또는 요구되는 빌링 (billing) 데이터를 제공받을 필요가 있다. 미국 특허 제 6,862,444 B2 호는 현재의 배치들에서 수행되는 빌링을 도시하고 있다. 예를 들어, 현재의 wifi 핫스팟 배치에서, 이러한 세션은, NP에 대한 인증을 통해, 일반적으로는 사용자가 임의의 외부 웹페이지에 액세스하기를 시도할 경우 사용자에게 제공되는 포탈을 통해 확립된다. 또한, NP는, 사용자에게 과금하는데 요구되는 빌링 정보, 및 사용자의 제 1 액세스 동안 계정이 생성되었을 경우 제공받았던 데이터를 유지한다. 이러한 빌링 정보는, 사용자와 NP (예를 들어, 오퍼레이터 모델) 사이의 이전에 존재했던 접촉의 가입 정보 또는 계좌 번호의 신용카드 번호와 같은 과금될 뱅킹 정보 중 어느 하나일 수 있다.
사용자는, 통상적인 인터넷 모델로서 설명될 수 있는 다수의 서비스들을 소비하거나, 회사 VPN에 액세스, 온라인 체크인을 수행, 방향/맵을 검색, 책을 구입, 이메일을 체크 등과 같은 단일 서비스에 포커싱하도록 핫스팟들에 액세스한다. 이러한 작업의 포커스는, 단일 서비스가 액세스되는 후자의 경우이다. 기존의 배치들은 인터넷 모델을 선호하며, 여기서, 사용자들은 계정의 생성 및 주요한 부담으로서의 빌링 정보의 제공을 관측하지 못한다. 그러나, 이러한 절차는, 사용자가 단일 서비스에 액세스하고 있을 경우, 특히 대부분의 시간들을 고려하여 사용자가 그것을 행할 때, 사용자가 이동중이거나, 여행중이거나, 스마트폰과 같이 제한된 인터넷 디바이스들을 사용할 경우 실용적이지 않다.
마지막으로 언급된 현재의 트렌드들은, 새로운 이메일들 또는 맵 서비스에서 방향을 체크하거나, 인접한 레스토랑을 탐색하거나, 또는 단지 자동적인 콘텍스트 업데이트 (즉, "난 현재 거리에 있다") 와 같이, 매우 유동적인 방식으로 작은 양의 데이터에 대하여 단일 서비스들에 사용자가 접촉하는 것이다. 이들 경우들에서 및 핫스팟 서비스를 사용하여, 사용자는 네트워크 제공자 뿐만 아니라 타겟 서비스 제공자에 대한 인증을 위해 개인 정보를 2번 제공하도록 요구될 것이다. 또한, 사용자는 잠재적으로 미지의 파티일 수 있는 NP와 예를 들어, 사용자의 신용카드 번호와 같은 민감한 개인 정보를 공유해야 할 것이다. 이들 포인트들 양자는 사용자에 대해서는 일반적으로 비추천되며, 종종, 사용자들은 서비스 제공자에 접촉하기를 억제할 것이다.
따라서, 본 발명의 기술적 배경은 다음과 같이 요약될 수 있다.
■ 최근의 트랜드:
- 액세스를 셋업하는 책임으로부터 사용자를 자유롭게 함.
- 액세스를 간단하게 유지함, 즉, 하나의 버튼을 눌러 서비스를 획득함.
- 단독으로 많은 서비스들을 향상시키기 위해 그 많은 서비스들을 메쉬업함.
- 몇몇 서비스들은 속성상 단발성이고 매우 특정적임.
● 예를 들어, '인접한 레스토랑을 탐색', '거리를 네비게이션', '영화 예매'
■ 현실성
- 사용자가 여전히 단독으로 액세스를 획득할 필요가 있음
● 복잡한 핫스팟 액세스 절차
● 높은 대역폭/낮은 레이턴시 서비스 요구들에 적절치 않은 상이 접속 (always on) UMTS.
- 제공자들이 서비스 집합에 대해 종종 요구된다는 것과 종종 이용가능하지 않다는 것 사이의 협의.
- 사용자들이 액세스하기를 원하는 서비스와 독립적으로, 사용자들이 인터넷에 대한 일반적인 접속들을 확립함.
미국 특허 제 6,721,554 B2 로부터, 원격통신 서비스들에 대한 정책-기반 과금을 위한 방법 및 장치가 알려져 있다. 이러한 문헌은, 서비스 레벨 및 미리 특정된 SLA들의 측정된 품질에 기초하여 호들이 빌링될 수 있는 방법을 설명한다.
미국 특허 제 6,266,401 B1 은, 전화통신 네트워크에서의 사용을 위한 통합된 빌링 시스템 및 방법을 설명한다. 이러한 문헌은, 호, 보이스메일 등과 같은 다수의 서비스들에 관한 빌링이 공통적인 사용자 빌링에 합산이 될 수도 있는 방법을 설명한다.
미국 공개 공보 제 2004/0152447 A1 은, 무선 통신 디바이스에 대한 서비스를 인증하기 위한 방법 및 장치를 설명한다. 특히 이러한 문헌에서 관심있는 것은, 실제 핫스팟이 사용되고 있는 경우, 원격 엔티티의 결정에서 로컬 콘텍스트가 변수인 방법이다.
미국 공개 공보 제 2005/0210288 A1 은, 무선 LAN 서비스들을 통한 회사 액세스를 위한 듀얼 인증을 제거하기 위한 방법 및 장치를 설명한다. 그 방법은 단일 인증으로 하여금, 사용자의 회사-특정 인증서들을 사용하여 수행되게 한다. 그러나, 이러한 방법은, 회사 VPN 서버들에 대한 제한된 액세스를 제공하기 위해 회사와 네트워크 제공자 사이에서 수행될 협의들을 요구한다.
미국 공개 공보 제 2004/0203602 A1 은, 무선 핫스팟들에 대한 액세스를 인에이블하고 제어하는 것을 설명한다. 이러한 콘텍스트에서, 종래의 인증은 무선 사용자와 네트워크 제공자 사이에서 교환될 개인 데이터를 기대한다.
단일 서비스에 대한 포커스로 네트워크에 액세스하는데 사용될 수 있는 단일 네트워크 액세스 프로세스를 제공하기 위해 네트워크 액세스를 제공하기 위한 프로세스를 개선시키고 추가적으로 개발하는 것이 본 발명의 목적이다.
본 발명에 따르면, 전술한 목적은 청구항 제 1 항의 특성을 포함하는 방법에 의해 달성된다. 이러한 청구항에 따르면, 프로세스는,
서비스 제공자 (SP) 에 액세스하기 위한 사용자의 요청에 의해, 사용자와 네트워크 제공자 (NP) 사이에 접속을 확립하는 단계;
네트워크 제공자 (NP) 의 요청 시에 사용자의 아이덴티티 제공자 (IdP) 에 의해 사용자를 인증하는 단계;
서비스 제공자 (SP) 또는 제 3 파티가 액세스 요금의 수취인이라는 정보를 네트워크 제공자 (NP) 가 갖도록, 아이덴티티 제공자 (IdP) 로부터 네트워크 제공자 (NP) 로 데이터를 송신하는 단계; 및
네트워크 제공자 (NP) 에 의해 서비스 제공자 (SP) 로 네트워크 제공자 (NP) 를 통해 사용자에 대한 액세스를 제공하는 단계
를 포함한다.
본 발명에 따르면, 네트워크 제공자로 하여금, 사용자의 아이덴티티 제공자에 의해 확립된 제 3 파티에 액세스 요금을 과금하게 하는 메커니즘들을 매우 간단한 네트워크 액세스 프로세스가 포함한다는 것이 인식된다. 본 발명은, 서비스 제공자 또는 제 3 파티가 그의 클라이언트들 중 몇몇 또는 모두의 액세스 요금들을 지원할 수 있으며, 사용자들에 의해 직면되는 이용 부담을 감소시키고 기존의 네트워크 제공자들에 대해 새로운 수익 스트림들을 생성하는 특성을 포함한다. 서비스 제공자 또는 제 3 파티가 액세스 요금들의 수취인이라는 사실은, 사용자가 네트워크 제공자의 가입자일 필요가 없으므로, 네트워크 액세스를 매우 간단하게 한다.
바람직하게, 상기 프로세스는 네트워크 제공자 (NP) 에 의해 액세스 요금을 수취인에게 과금하는 단계를 더 포함한다. 이와 관련하여, 상기 프로세스가 네트워크 제공자 (NP) 에 의해 빌링 정보를 포함하는 약정 (obligation) 을 생성하는 단계를 더 포함하는 것이 가능하다. 약정을 발생시키는 정책 결정 기술은 XACML 기술이다. 임의의 경우에서, 일반적인 이용도 장벽들이 감소되며, 사용자들이 그들의 개인 데이터를 네트워크 제공자에게 직접 제공하지 않으므로, 네트워크에 액세스하는데 더 적은 근심을 갖는다.
매우 간단한 경우에서, 아이덴티티 제공자 (IdP) 는 서비스 제공자 (SP) 일 수 있다.
유리하게, 인증 단계 동안, 네트워크 제공자 (NP) 는 사용자에게 그의 아이덴티티 제공자 (IdP) 를 특정하도록 요청한다. 이와 관련하여, 네트워크 제공자 (NP) 는 사용자가 자신의 아이덴티티 제공자 (IdP) 를 특정할 수 있는 페이지로 사용자를 재안내할 수 있다. 이러한 단계 동안, 사용자는 아이덴티티 제공자 (IdP) 에 대해 인증된다.
바람직하게, 아이덴티티 제공자 (IdP) 로부터 네트워크 제공자 (NP) 로 송신되는 데이터는, 네트워크 제공자 (NP) 에 의해 구축된 콘텍스트, 사용자의 정책 및/또는 액세스될 서비스 제공자 (SP) 의 아이덴티티에 기초한다. 수취인을 선택하기 위해, 네트워크 제공자 (NP) 및 아이덴티티 제공자 (IdP) 는 콘텐스트의 고려사항, 사용자의 정책 및/또는 액세스될 서비스 제공자 (SP) 의 아이덴티티 하에서 협의할 수 있다. 즉, 수취인은 콘텍스트 및/또는 사용자의 정책들에 기초하여 선택될 수 있다.
인증 단계 이후, 아이덴티티 제공자 (IdP) 가 네트워크 제공자 (NP) 로 사용자를 재안내하는 것이 바람직하다.
서비스 액세스에 대한 액세스 제어에 관해, 정책 시행 포인트 (PEP) 로서 기능하는 네트워크 제공자 (NP) 는 정책 결정 요청을 구성하며, 정책 결정 포인트 (PDP) 로서 기능할 아이덴티티 제공자 (IdP) 에 접촉하는 것이 바람직하다. 이러한 요청은, PDP로 하여금 결정에 도달하게 할 콘텍스트 정보를 포함할 수 있다.
유리하게, 네트워크 제공자 (NP) 가, 아이덴티티 제공자 (IdP) 에 의해 수취인에게 제공되는 빌링 약정들 또는 정보를 협의 및/또는 검증하는 것을 더 포함한다. 상기 협의 및/또는 검증 단계 동안, 지불 및/또는 서비스 액세스 옵션이 정밀하게 조정될 수 있다. 이러한 단계는, 수취인 및 네트워크 제공자 (NP) 에 매우 많이 의존하며, 그것을 달성하는 방법에 대한 많은 상이한 가능성들이 존재한다.
효율적인 조건의 협의들에 관해, 네트워크 제공자 (NP) 및 수취인 또는 서비스 제공자 (SP) 양자는 P3P 정책의 관점에서 서비스 제공을 위한 그들의 경계들을 제공한다. 일반적으로, 이들 정책들은, 서비스 레벨 파라미터들을 결정하기 위해 사용자 데이터가 조작되지만 그들의 사용이 확장될 수 있는 방법을 전달하는데 사용된다. P3P 를 선택하기 위한 또 다른 이유는, 이러한 정책이 공용이라는 것을 의미하므로, 네트워크 제공자 (NP) 및 서비스 제공자 (SP) 를 오작동시키는 것을 또한 억제한다는 것이다. 즉, P3P 정책들은 서비스 레벨 파라미터들을 결정하고/하거나 액세스 조건들을 협의하는데 사용될 수 있다.
또한, 효율적이고 간단한 네트워크 액세스에 관해, 수취인 또는 서비스 제공자 (NP) 가 필터들 및 빌링 정보에 포커싱하고, 네트워크 제공자 (NP) 가 지불에 포커싱한다고 가정한다. 필터들 및 빌링 정보에 대한 그리고 지불에 대한 포커싱 정도는 개별 애플리케이션에 의존한다.
또한, 사용자에 대한 다른 개인 또는 개별 정보는, 서비스 제공자 (SP) 또는 네트워크 제공자 (NP) 에 의해 요구되는 정보를 제공하고/하거나 개인화를 향상시키기 위해 네트워크 제공자 (NP) 및/또는 서비스 제공자 (SP) 에 제공될 수도 있다.
매우 간단한 네트워크 액세스에 관해, 네트워크 제공자 (NP) 는 네트워크 액세스를 위해 WLAN을 제공할 수도 있다.
본 발명은, 네트워크 제공자 (NP) 로 하여금 사용자의 아이덴티티 제공자 (IdP) 에 의해 확립된 제 3 파티에 액세스 요금을 과금하게 할 메커니즘들을 제공한다. 이러한 결정은 콘텍스트 및 사용자 정책들에 기초하여 수행될 수도 있지만, 대부분의 경우, 서비스 제공자 (SP) 그 자체가 비용을 지원하는 파티이라는 것이 기대될 수 있다. 이러한 능력은, 아이덴티티 관리 프로토콜들을 통해 네트워크 제공자와 아이덴티티 제공자 사이의 상호작용들을 증가시킴으로써 이용가능하게 하고, 아이덴티티 브로커 (Broker) (IdB) 로 하여금 네트워크 제공자가 서비스 제공자와 추가적으로 협의하고 검증할 빌링 약정들을 확립하게 하며, 최종적으로 네트워크 액세스를 과금하기 위해 사용할 것이다. 실제로, 이들 메커니즘은, 개인화를 향상시키기 위해 사용자에 대한 다른 정보를 NP 또는 SP에 제공하고, SP 또는 NP에 의해 요구되는 콘텍스트 정보 등을 제공하는데 또한 사용될 수 있다.
본 발명의 바람직한 양태들은 다음과 같다.
● 네트워크 제공자가 사용자 인증 동안 서비스 액세스에 관해 서비스 제공자를 빌링할 수 있다.
● 사용자가 액세스 제어 프로토콜에 대한 프라이버시 정책들을 선택할 수 있다.
● 네트워크 제공자 및 서비스 제공자가 아이덴티티 관리 시스템과는 독립적으로 네트워크 액세스에 대한 조건들을 협의할 수 있다.
● 새로운 비지니스 모델에 기초한다.
이러한 작업은, 대부분의 시간에서, 사용자가 자신이 액세스하고 있는 서비스 제공자 (에어라인 그룹, 온라인 숍 등) 의 클라이언트이라는 것을 고려한다. 이러한 경우, 사용자 경험을 향상시키기 위해, 비지니스의 관점에서 서비스 제공자 그 자체가, 통상적으로는 그 자신의 서비스에 대한 부가 가치로서 사용자를 대신하여 이들 액세스 요금을 지원하는 것이 종종 가능하고 바람직하다는 것을 알 수 있다. 이것은, 액세스되고 있는 서비스에 대해 통합된 관점을 사용자에게 제공함으로써 마케팅 이점을 서비스 제공자에게 제공할 것이다. 즉, 네트워크 제공자와의 접속을 확립하고 그 후 서비스에 액세스하는 것 대신에, 사용자는 그 서비스에 대신 "직접" 액세스하며, 그 서비스가 임의의 장소에서 이용가능하다는 개념을 생성한다. 일반적인 사용 장벽이 감소되므로 서비스 및 네트워크 제공자 양자에 대한 인에이블러 (enabler) 로서 또한 기능하며, 사용자들이 그들의 개인 데이터를 NP에 직접 제공하지 않으므로, 사용자들은 네트워크에 액세스하는 것에 더 적은 근심을 갖는다.
본 발명의 교시를 유리한 방식으로 설계하고 추가적으로 개발하는 방법에 대한 수 개의 방식들이 존재한다. 이를 위해, 한편으로는 청구항 제 1 항에 대한 종속항들을 참조하고, 다른 한편으로는 도면에 의해 도시된 본 발명의 실시형태들의 바람직한 실시예들의 다음 설명을 참조한다. 도면의 보조에 의한 본 발명의 실시형태들의 바람직한 실시예들의 설명과 함께, 본 발명의 교시의 바람직한 실시형태들 및 추가적인 개발들이 일반적으로 설명될 것이다.
도 1은, 아이덴티티 제공자에 대한 인증하고, 후속하여, 빌링 정보를 획득하고 최종적으로는 서비스 제공자에 액세스하는 것과 관련된 기존의 네트워크 액세스를 도시한다.
도 2는, 아이덴티티 제공자가 콘텍스트로부터의 과금 파티로서 제 3 파티를 확립할 수 있는 서비스-바운드 빌링의 확립을 도시한다.
도 3은, 본 발명의 일 실시형태에 따른 네트워크 액세스를 제공하기 위한 프로세스를 도시한다.
도 4 내지 도 6은 본 발명의 일 실시형태에 따른 프로세스의 중요 부분들을 도시한다.
도 7은 본 발명의 일 실시형태에 따른 기본 프로세스를 도시한다.
도 8은 본 발명의 일 실시형태에 따른 더 상세한 프로세스를 도시한다.
도 9는 본 발명의 추가적인 실시형태를 도시한다.
도 1은, 아이덴티티 제공자에 대한 인증하고, 후속하여, 빌링 정보를 획득하고 최종적으로는 서비스 제공자에 액세스하는 것과 관련된 기존의 네트워크 액세스를 도시한다.
도 1 내에서, 핫스팟에서 제공되는 것과 같은 기존의 네트워크 액세스에 대한 하나의 일반적인 확장은, 네트워크에 대한 사용자의 초기 부속물의 일부로서, 사용자 자신이 아이덴티티 제공자에 대해 인증하여, 네트워크 제공자 (NP) 가 액세스를 과금하는데 충분한 빌링 정보를 획득할 수도 있다는 것이다. 이러한 정보는, 사용자가 네트워크 제공자에 대한 활성 가입을 갖는지에 관한 정보 또는 네트워크 제공자가 사용자를 빌링하는데 사용할 수도 있는 뱅킹 정보 (신용카드 정보, 은행 계좌번호 등) 일 수도 있다. 이러한 모델은, 액세스하고 있는 서비스에 의존하여 네트워크에 액세스하려는 사용자의 의도에 따라 구축된다.
이러한 모델은, NP와의 부가적인 트랜젝션, 잠재적으로는 접촉을 확립하는 것을 수행하도록 사용자에게 강제한다. 이것은, 이러한 트랜젝션에 대해 요구되는 개인 정보 이외에, 사용자가 과금되기 위해 사용자의 뱅킹 세부사항들 (신용카드 번호) 을 NP에 또한 노출할 필요가 있을 수도 있다는 것을 의미한다.
도 2는, 아이덴티티 제공자가 콘텍스트로부터의 과금 파티로서 제 3 파티를 확립할 수 있는 서비스-바운드 빌링의 확립을 도시한다.
본 발명은, 2개의 포인트들에서 이전 타입의 액세스를 증가시키도록 의도된다.
● 사용자의 액션의 콘텍스트를 보존한다. 본래의 의도 (서비스 제공자에 액세스함) 는 정책 구축 프로세스에 삽입된다. 또한, 위치와 같은 부가적인 콘텍스트 정보가 NP에 의해 부가될 수 있다고 가정한다. NP의 아이덴티티는 NP와 IdP 사이의 통신으로부터 이미 유도되었다.
● 사용자에게 직접 과금하기 위해 아이덴티티 제공자로부터 빌링 정보를 획득하는 것 대신에, 네트워크 제공자는 빌링 정보를 포함하는 약정을 생성한다.
아이덴티티 제공자 (IdP) 에 대한 이러한 쿼리를 가짐으로써, IdP는 NP, 사용자의 정책들, 액세스되는 서비스 제공자 등에 의해 구축된 콘텍스트에 기초하여 빌링 정보를 제공할 수 있다.
NP가 여기에서 정의되는 모든 메커니즘들을 지원하지는 않는 인터액티브 배치 방법을 지원하기 위해, IdP 로 하여금 NP 의 능력들을 추론하게 하며, 이러한 경우에서는 NP가 제 3 파티에 대한 과금의 오프-로딩을 지원하는지를 추론하게 한다.
NP가 이러한 능력을 지원하지 않으면, 이러한 모델은, NP와 SP 사이의 중계를 제공하는 새로운 기능을 도입함으로써 여전히 개발될 수도 있다. 그러한 브로커를 정의하는 것은 본 명세서의 목적은 아니지만, 사실, 이러한 브로커는 SP로부터 빌링 제한들에 관한 정보를 획득할 수 있으며, 이는, 금액/시간의 양과 같이 간단할 수 있거나 (사용도 패턴에 기초하여) 더 복잡할 수 있으며, 과금하는데 필요한 신용 카드 번호와 같은 요구되는 뱅킹 정보를 NP에 제공할 수 있다.
한편, 완전한 컴플리언트 (compliant) NP는 이러한 정보에 대한 몇몇 사용자 제한들과 함께 액세스에 대해 과금되어야 하는 사용자의 아이덴티티를 수신할 수 있다. 가능성들 중 하나는, 빌링 정보가 최대 데이터 벌크 양 또는 시간 제한과 같은 미리 정의된 애플리케이션 유효성을 갖고, 사용자 그 자신이 애플리케이션들을 불량하게 작동시키는 것 또는 유사한 상황들을 완화시키기 위해 사용자가 각각의 액세스에 관해 소비하는 시간을 제한하기를 원할 수도 있다는 것이다. 과금 및 빌링 메커니즘들은 NP로부터의 사용자의 아이덴티티를 보호하기 위해 프라이버시 프로토콜들로 향상될 수 있다.
아이덴티티 관리 프레임워크를 통해, NP는 IdP 에 의해 제공되었던 정보를 검증하고/하거나 협의하기 위해 빌링 파티 (대부분의 경우에서는 액세스되고 있는 SP) 와의 접속을 확립할 수 있다.
일반화된 로밍 지원을 제공하기 위해 개념이 추가적으로 확장될 수 있으며, 여기서, 액세스되고 있는 서비스 제공자 (SP) 는 사용자의 홈 네트워크 제공자 (HNP) 이다. 이러한 경우, HNP는 방문된 네트워크 제공자에 관한 빌링을 지원할 것이며, 그 후, 종래의 로밍으로 행해진 바와 같이 사용자를 빌링하도록 진행할 것이다. 그러나, 이러한 개념을 채용하는 것은 매우 동적인 로밍 연합체가 발생하게 하며, 여기에 제공된 일반적인 조건 협의에 대한 그 용량을 오프로딩하는, 방문된 네트워크 제공자와 홈 네트워크 제공자 사이에 미리 확립된 협의가 존재하지 않는다.
그 개념을 지원하는 4개의 사용 경우들이 다음에 제공된다.
온라인 체크인 (빈번하게 여행하는 사람)
외국에 있는 동안, 임의의 사람이 로컬 커피숍에서 아침을 먹고 있다. 운좋게, 로컬 텔코는 wifi 핫스팟 서비스를 제공한다. 오후에 비행기로 복귀한다면, 그는 이때에는 온라인 체크인을 행할 기회가 있다. 그가 여행한 에어라인 그룹의 빈번하게 여행하는 사람 프로그램의 멤버로서, 그는 이들 인증서들을 사용하여 인증한다. 빈번하게 여행하는 사람의 이점들 중 하나는 비행 시간들을 획득하기 위한 네트워크 액세스의 비용을 지불하는 것 및 온라인 체크인을 행하는 것을 포함한다. 그로서, 에어라인 회사 IdP는, 에어라인 회사를 수취인으로서 포함하는 네트워크 제공자에 인증서들 및 빌링 약정을 제공한다. 사용자는 자신의 휴대 전화를 이용하여 온라인 체크인을 완료할 수 있다.
회사 VPN 액세스
회사는, 그의 고용인들에 대해 회사 VPN 서비스에 대한 그들의 액세스 요금을 지불하기 위한 능력을 제공할 수 있다. 동일한 메커니즘들을 사용하여, 사용자는 자신의 회사의 IdP에 대해 인증할 것이고, 그 후, 사용자가 그 VPN에 대한 접속을 확립할 때마다 네트워크 제공자에게 필요한 인증서들 및 빌링 약정을 제공할 것이다. 이러한 메커니즘은, 이동 단말기가 (예를 들어, TPM을 통해) 강한 디지털 아이덴티티를 갖고 따라서 이러한 서비스가 회사의 하드웨어의 인증을 통해 또한 이용가능할 수 있다면, 추가적으로 증가될 수 있다.
아마존
Figure 112011022659549-pct00001
온라인 쇼핑
그들의 세일즈 볼륨을 증가시키기 위해, 아마존
Figure 112011022659549-pct00002
은, 클라이언트가 특정한 값의 구매를 수행할 때마다 네트워크 액세스 비용을 커버링하도록 제공함으로써 인터넷 액세스의 인에이블러로서 작동할 수 있다. 또한, 이전의 클라이언트들에 대해, 클라이언트들의 구매 이력에 기초하여 스토어를 브라우징하도록 사용할 수 있는 고정된 시간 주기를 제공할 수 있다. 이것은, 시간 또는 다른 것에 기초하여, 아마존
Figure 112011022659549-pct00003
이 행하지 않는 액세스 비용 지원을 사용자가 행하는 상태로 제한될 것이다. 이러한 배치는, 사용자 프로파일에 기초하여 최대 지속기간 및 비용을 확립하는 서비스 제공자 (아마존
Figure 112011022659549-pct00004
) 와 네트워크 제공자 사이의 동적 협의를 사용할 것이다. 인증 및 협의의 표준 수단을 사용함으로써, 아마존
Figure 112011022659549-pct00005
을 아이덴티티 제공자로서 사용하고, 아마존
Figure 112011022659549-pct00006
의 "유연한 지불 서비스" 와 같은 아마존
Figure 112011022659549-pct00007
자신의 웹 서비스를 부가한다면, 일 배치가 현재 기술을 사용하여 가능할 것이다.
Netflix
Figure 112011022659549-pct00008
온-디멘드 비디오 서비스
Netflix
Figure 112011022659549-pct00009
은 그의 사용자로 하여금 영화 또는 그들의 선호하는 TV 시리즈의 최신 에피소드를 빌리게 하고, 그들의 디바이스들로 그 콘텐츠를 스트리밍하게 하여, 사용자들이 그들의 홈에서 편안하게 또는 사용자들이 그들의 Netflix
Figure 112011022659549-pct00010
계정에 액세스할 수 있을 때마다 비디오를 볼 수 있게 한다. 그러나, 높은 대역폭 요건들로 인해, 이러한 서비스는 UMTS와 같은 이동 네트워크에는 적합하지 않다. 그 원인들은, 일률적인 속도가 이용가능하지 않다면 양자의 기술적인 원인, 즉, 매체의 특징, 및 경제적인 원인이다. 동시에, 핫스팟은 특히 호텔 (호텔 룸 포함), 공항, 기차역, 카페 등의 레저 영역에 보급되어 있으며, 여기서, 사용자는 몇몇 시간을 소비하기로 의도된다. 이들 서비스들에 액세스하기 위해, 사용자는 일반적으로, Netflix
Figure 112011022659549-pct00011
가입 이외에 핫스팟 액세스에 대한 값비싼 요금을 지불해야 할 것이다. 이러한 사용 경우는 사용자, 고객 미팅을 위한 여행 중의 피곤한 비지니스맨이 호텔의 바에서 그가 선호하는 소프 오페라를 시청하게 하고, 잠들기 전에 영화를 보게 한다. 이것은 사용자의 Netflix
Figure 112011022659549-pct00012
가입의 모든 부분이며, 즉, 사용자는 그 핫스팟에 대한 복잡하고 비싼 가입을 걱정하지 않고도 사용자가 핫스팟에 접속할 때마다 콘텐츠에 대한 액세스를 획득한다. 또한, 인터페이스가 사용자에게 개인화되어, 핫스팟 또는 위치에 관계없이 SP에 의해 제공된 인터페이스가 사용자가 사용한 인터페이스일 것이다. 배경에서, Netflix
Figure 112011022659549-pct00013
는 이전 사용의 경우에서와 같이 NP에 대한 운송 비용을 커버링하고, 더 포괄적인 리스트의 가입 클래스들을 그의 사용자들에게 제공할 것이다.
도 3은, 네트워크 제공자 (NP) 를 통해 사용자에 대한 네트워크 액세스를 서비스 제공자 (SP) 에 제공하기 위한 프로세스의 일 실시형태를 도시한다. 이러한 예에서 및 일반성의 손실없이, 빈번하게 여행하는 사람의 사용 경우에 포커싱할 것이다. 참고로, 이러한 예는 http 서버를 통해 이용가능한 웹 서비스에 액세스하기 위해 일반적인 wifi 핫스팟의 사용과 관련된다.
서비스 액세스에 관한 절차를 3개의 별개의 부분들, 즉, 인증, 액세스 제어 및 조건 협의로 분할할 수 있다.
사용자의 단말기가 사용될 준비가 되어 있고, 네트워크 액세스가 오픈 핫스팟 (이것은 단말기의 지원 소프트웨어에 의해 자동적으로 행해짐) 을 사용하도록 구성된다고 가정한다. 또한, 아이덴티티 제공자의 보조를 이용하더라도 더 복잡한 탐색 메커니즘이 이러한 셋업 페이즈의 일부일 수 있다.
(1) 사용자는 http://airline.com 에 접속하기를 시도함
사용자는 자신의 브라우저를 오픈하고 에어라인 회사의 웹사이트 (이러한 예에서는, http://airline.com) 를 오픈하기를 시도한다. HTTP 접속은 그 서비스에 관해 확립되지만, 핫스팟은, 모든 HTTP 접속들이 게이트웨이 내의 정책 룰을 통해 재안내되는 투명한 프록시를 사용한다. 이러한 프로세스는 기존의 핫스팟 기술과 유사하다.
(2) 요구된 인증
사용자가 현재 인증되지 않았으므로, 프록시는 사용자가 자신의 아이덴티티 제공자를 특정할 수 있는 페이지로 사용자를 재안내한다. 사용자가 그 특정한 사용자와의 세션에 기초하여 인증되었는지를 핫스팟 게이트웨이가 확립할 수 있다고 가정한다. NP의 페이지에서, 사용자는 자신의 에어라인/빈번하게 여행하는 사람 아이덴티티 제공자를 특정한다. 그 후, 사용자는 빈번하게 여행하는 사람의 프로그램 로그인 페이지에 재안내될 것이다.
대안적으로, 사용자는, 사용자의 빈번하게 여행하는 사람의 아이덴티티에 관해 알고 있는 제 3 파티 아이덴티티 제공자를 특정할 수 있다.
(3) 인증 및 프라이버시 옵션 선택
사용자는 아이덴티티 제공자에서 자신의 인증 인증서들을 입력하고, 임의의 여분의 프라이버시 옵션들을 특정한다. 이들은, 조건 협의가 아이덴티티 제공자 또는 네트워크 제공자에 의해 행해졌는지를 포함하여, 네트워크 제공자가 액세스하는 정보의 양을 제한하는데 사용될 수 있다. 이러한 예에 대해, 사용자는 임의의 여분의 프라이버시 옵션들을 특정하지 않는다.
(4) 액세스 제어
사용자를 식별하는 인증 콘텍스트를 획득한 이후, 프록시는 정보에 대해 사용자의 IdP를 쿼리할 수 있다. 프록시는, 그 자체에 의해 시행될 정책을 확립하기 위해 IdP를 쿼리할 것이다. 이러한 쿼리에서, 네트워크 제공자는, 사용자가 도달하기를 시도하였던 URL 및 서비스 (HTTP 의 경우) 를 포함하는 본래의 콘텍스트를 공급할 것이다. IdP로부터의 PDP (정책 결정 포인트) 응답으로서 획득된 정보는, 프록시로 하여금 누가 지불 파티일 것이고 또한 액세스 인증에 대한 임의의 제한들 (예를 들어, 빈번하게 여행하는 사람의 도메인이 허용되는 통신만) 을 확립하게 할 약정 정보를 포함할 것이다. 누가 이러한 네트워크 액세스에 대해 지불할지를 확립하기 위해, 아이덴티티 제공자는 다음의 단계들을 따를 것이다.
● 사용자가 액세스하고 있는 URL 이 빈번하게 여행하는 사람의 프로그램에 의해 커버링되는 URL인지를 검증함
● 알려진 신뢰 체인에 대한 네트워크 제공자의 아이덴티티를 체크함. 매우 빈번하게, 사용자로서, 에어라인 회사는 네트워크 제공자가 신뢰가능하고 사용자의 데이터에 대한 유효한 취급자인지를 확인해야 한다.
양자의 단계들이 IdP에 의해 긍정적으로 프로세싱될 경우, 이러한 통신의 수취인으로서 에어라인 금융 브랜치의 아이덴티티로 네트워크 제공자에 응답한다.
(5) 정책 결정 체크
응답을 수신하면, 네트워크 제공자 그 자체는, 정보가 현재 확립된 정책들과 호환가능한지 뿐만 아니라 그것이 구성되는 신뢰 레벨들과 호환가능한지 (특히, 이러한 트랜잭션의 수취인을 신뢰할 것인지) 를 검증할 것이다. 그것은, 수취인으로서 에어라인 금융 브랜치의 아이덴티티를 판독하며, 그것이 협의를 갖는 주요한 신용 회사에 의해 지지되는지를 검증한다 (여기에서, 그것은, 다른 피어들과의 협의를 갖는 네트워크 제공자의 금융 뱅킹 그 자체일 수 있지만, 빌링 프로세스 아래의 신뢰는 설명될 절차에 중심은 아니다).
(6) 조건 협의
다음으로 네트워크 제공자는 에어라인 금융 브랜치에 사용자의 기대된 요금들, 후속하여, 지불될 양 및 지불될 때를 협의하기 위하여 양자의 파티들에 의한 협의들을 통지할 것이다. 서비스 제공자에 대한 감소된 비용들 및 빌링의 간략화된 처리를 허용하는 양자의 파티들 사이의 조건들의 확립을 포함하는 수 개의 가능성들이 여기에 존재한다. 또한, 이러한 협의 및 빌링이, 상이한 국가들, 통화들 등의 비용들에 관한 정보를 유지하는 제 3 파티의 빌링 브로커를 통해 행해질 수 있다는 것을 고려한다. SP (이러한 경우에서는 에어라인 회사의 금융 브랜치에 의해 브로커링됨) 에 의해 제공된 응답의 일부는 통신의 제한들 및 가급적 통신의 최대 시간, 최대양의 데이터 및 지불되는 최대양의 금액을 포함해야 한다.
(7) 서비스 액세스
최종적으로, 사용자는 에어라인의 웹사이트에 액세스할 수 있다.
예시된 실시형태의 더 양호한 이해를 위해, 단일 단계들이 다음과 같이 다시 요약된다.
(1) 서비스 및 하이잭 (highjack) 에 대한 액세스
- 사용자는 SP에 접속하며, http가 (핫스팟과 같이) 하이잭된다.
(2) 제공자 인증을 식별
- 사용자는 인증을 위해 IdP에 재안내된다.
(3) 서비스 액세스에 대한 액세스 제어
- 전송 또는 네트워크 제공자는 IdP에 대한 액세스를 검증한다.
(3a) 옵션적: 조건 협의
- 전송 또는 네트워크 제공자는 빌링 옵션들을 검증하며, SP에 대한 액세스 조건들을 정밀하게 조정한다.
(4) 서비스에 대한 액세스 및 액세스 검증
- 옵션적: SP는, 사용자가 NP의 서비스 액세스 조건들 하에서 서비스에 액세스했었는지를 체크할 수 있다.
다음으로, 본 발명에 따른 프로세스의 일 실시형태의 더 상세한 설명이 표현된다.
1) 서비스 및 하이잭에 대한 액세스
이러한 단계에서 사용된 기술은 잘 알려져 있을 것이다. 먼저 투명한 프록시를 사용하여 http 접속을 하이잭하며, 많은 핫스팟들에서도 이와 같이 행해진다. 그 후, 사용자는 핫스팟 웹페이지를 제공받을 것이며, 사용자는 자신의 IdP 정보를 제공하거나, 자동적으로 검색되고 사용자는 IdP로 재안내된다.
2) 제공자 인증을 식별
또한, 이러한 단계에서 그 기술은 잘 알려져 있을 것이다. IdP는 사용자만이 갖는 정보, 예를 들어, 로그인 및 패스워드 또는 SIM 카드 인증을 요청함으로써 사용자의 진정성을 요구한다.
3) 서비스 액세스에 대한 액세스 제어
사용자의 IdP를 알면, 다음으로 NP는 액세스의 관점에서 질의할 수 있다. PEP (정책 시행 포인트) 로서 기능하는 NP는 정책 결정 요청을 구성할 것이고, PDP 로서 기능할 IdP 를 접촉할 것이다 (액세스 제어 프레임워크의 일 예로서, http://www.oasis-open.org/committees/xacml/ 에서 입수가능한 OASIS XACML 를 참조함). 이러한 요청은, PDP가 결정에 도달하게 할 콘텍스트 정보를 포함할 것이다. 또한, IdP는 단계 2) 에서 획득된 어서션 (assertion) 와 같은 NP가 사용자를 갖는 증거를 시행할 수도 있다. 요청을 프로세싱한 이후, IdP는 후술될 바와 같이 약정을 포함하는 정책 결정을 제공할 것이다. 이러한 약정은 지불에 관한 정보 및 프로토콜의 협의 페이즈를 포함할 수도 있다. NP가 이러한 요청에서 모든 정보에 만족되면, 단계 4) 가 스킵될 수 있다.
IdP 로부터의 응답의 일부인 설명된 예시적인 약정은, 협의 페이즈가 어떻게 시작할 수 있는지에 관한 정보 (그 서브젝트는 사용자 및 SP 엔드포인트를 어드레싱하는데 사용될 수 있음), 지불에 관한 정보, 즉, SP가 얼마나 많이 지불할 수 있는지에 관한 정보 (일시불, 레이팅 (rating), 가격, 빌링 정보) 및 어떤 제약이 그 레이트에 있어서 서비스에 대해 시행되어야 하는지를 포함한다.
이러한 약정 예시는 판독을 더 용이하게 하도록 간략화되었으며, 스키마 정의를 패스하지 않을 것이다. 속성들의 데이터 값들은 시리얼라이즈 (serialize) 되어야 한다.
4) 조건 협의
이러한 단계는 SP 및 NP에 매우 많이 의존할 것이며, 그것을 달성하는 방법에 대해 많은 상이한 가능성들이 존재한다.
이러한 단계에서, SP 및 NP 양자는 지불 및 서비스 액세스 옵션들을 정밀하게 조정할 수 있다. 이전의 단락에서 특정된 속성들 모두가 적용되지만, QoS 와 같은 다른 것들이 부가될 수 있다.
3) 에 포함된 약정은 훨씬 더 적은 정보를 제공할 수 있으며, 더 강한 조건 협의를 요구하거나, 단계 3) 가 만족한다면, 이러한 단계는 스킵될 수 있다. 이것이 SP 및 NP에서의 리소스들에 대한 비용을 감소시키므로, SP 및 NP 가 서비스 제공에 대해 최저의 바인딩을 선택한다고 가정한다.
설명된 예에서, NP 및 SP 양자는 P3P (프라이버시 선호도에 대한 플랫폼) 정책들의 관점에서 서비스 제공에 대한 그들의 경계들을 제공할 것이다. 일반적으로, 이들 정책들은 사용자 데이터가 조작되는 방법을 운반하는데 사용되지만, 본 발명은 서비스 레벨 파라미터들을 결정하기 위해 그들의 사용을 확장시킨다. P3P를 선택하는 또 다른 이유는, 이러한 정책이 공용으로 의도되므로, NP들 및 SP들을 오작동시키는 것을 또한 억제한다는 것이다.
P3P를 사용하는 예에서 관측될 수 있는 바와 같이, SP는 필터링 및 빌링 정보 (여기서, 그것은 실제 정보가 아닌 인증된 파티들에 대해 획득될 수 있음) 에 포커싱하고, NP는 지불에 포커싱한다.
도 4 및 도 5를 참조한다.
SP로부터의 정책을 획득한 이후, NP는, 그 자신의 정책들과 호환가능한지를 체크한다. 그것이 특정된 액세스이면, 제한들이 배치되고 사용자는 SP에 접촉하도록 허용된다. SP가 NP의 제안과 협의되지 않으면, 사용자의 그의 페이지에 도달한 이후, 액세스가 로컬적으로 거부될 수 있다.
또한, SP 및 NP 그들 자체가 동시에 프라이버시 정책들을 협의할 수 있지만 이것은 본 발명의 범위 외부에 존재함을 유의한다.
이러한 단계에 대한 다른 가능성들은 협의 단계에 대한 소유 솔루션들을 포함한다.
5) 서비스에 대한 액세스 및 액세스 검증
일단 모든 이전의 단계들이 달성되면, SP는, 사용자가 그의 웹사이트로 로그인하면, NP에 대한 지불을 허용할 수 있다. 로그인 절차는 IdP에 대한 이전의 인증에 기초할 수 있으며, 이러한 방식으로, 사용자에게 투명할 것이다.
도 6을 참조한다.
다음으로, 본 발명의 실시형태는 또한 일부 더 상세하게 설명된다.
도 3은, 교환되는 메시지들을 갖는 프로토콜의 인스턴스화의 다이어그램을 도시한다. 프로토콜 흐름은 상기 주어진 예를 따르지만, 일반화되며, 본 섹션에서 상세히 추가적으로 설명된다.
상이한 동작 제공자들에 의해 소유된 상이한 장비가 이들 교환 동안 상호작용할 것이므로, 이러한 콘텍스트에서 표준이 특히 중요하다. SAML 규격은 HTTP에 의한 사용을 위한 요구된 바인딩들 및 프로파일 확장들을 이미 정의한다. SIP 가 동일한 능력들을 제공하기 위한 확장은 IETF [SIP SAML] 에 제공된다. 다른 전송들은 표준화될 특정한 확장들을 요구할 수도 있다.
서비스 액세스
서비스에 대한 액세스는 서비스 특정 프로토콜을 사용하여 수행된다. 대부분의 경우 상술된 예들과 같이 이것은 HTTP 위에 존재할 것이지만, 로밍을 지원하기 위한 SIP 기반 서비스들과 같은 다른 서비스들은 배제되지 않는다. 시스템은 다른 서비스 프로토콜들에 대한 아이덴티티 제공자로부터의 지원에 매우 의존할 것이다. 그러나, (HTTP 이외의) 다른 서비스들에 의한 사용에 요구되는 SAML 바인딩 및 프로파일 확장들은, SIP에 대한 [SIP SAML] 와 같이 계속 도입된다.
서비스 액세스에 대해, 여기에서 프로세싱된 메시지가 사용되는 서비스 프로토콜의 제 1 메시지라고 가정한다. HTTP의 경우, 이러한 메시지는 HTTP GET 일 것이며, SIP에서는 SIP REGISTER 메시지 등일 수 있다.
서비스 액세스 메시지의 인터셉션 및 프로세싱
이러한 단계가 또한 본 명세서의 범위 외부에 존재하지만, 네트워크 제공자가 사용자의 IdP를 습득하는 메커니즘을 지시하지는 않는다. 그러나, 아래에서, 2개의 제한들은 기존의 기술 및 새로운 표준 시도에 기초하며, 하나는 HTTP 경우에 대한 것이고, 다른 하나는 SIP 경우에 대한 것이다.
대부분의 핫스팟에서와 같이, 서비스 액세스 메시지는, 서비스 액세스에 대해 지불하기 위해 다수의 대안들을 사용자에게 제공하도록 네트워크 제공자에 의해 인터셉트된다. 네트워크 제공자가 사용자의 아이덴티티 제공자를 식별하기 위한 옵션을 포함한다고 제안한다. HTTP에서, 이것은, 사용자의 IdP가 네트워크 제공자라는 것을 나타내는 폼을 사용자가 작성할 수 있는 웹페이지로 재안내될 사용자에게 번역될 것이다. SIP에서, 동일한 기능은 접속 실패 시에 SIP UA에 의해 삽입되는 특수한 헤더에 의해 제공될 수 있거나, 애플리케이션이 인터넷 액세스의 부족을 검출할 수 있으면 사전에 제공될 수 있다. 이러한 특수한 SIP 헤더에 대한 더 상세한 설명은 [SIP SAML] IETF 드래프트에서 발견될 수 있다.
다른 타입의 서비스 전송에 대해, NP에게 사용자의 IdP를 통지하기 위한 적절한 메커니즘이 도입되어야 한다.
IdP 인증 재안내
다음으로, HTTP, SIP 또는 다른 프로토콜들이 사용되는지를 더 이상 특정하지 않는 일반적인 경우를 참조할 것이다. 사실, 교환되는 메시지들은 HTTP 또는 SIP, 또는 임의의 다른 전송 프로토콜과는 독립적이다. 이들 2개의 바인딩들에 대한 이들 프로토콜들을 적용할 방법에 대한 세부사항들에 대해 [SAML] 규격 또는 [SIP SAML] 드래프트를 판독자가 참조하게 한다. 서비스가 상이한 종류이면, 적절한 SAML 프로파일 및 바인딩이 조사되어야 한다. 일단 바인딩 및 프로파일이 존재하면, 다음의 설명이 적용된다.
NP가 사용자의 IdP를 알면, 인증 쿼리 절차를 시작할 수 있다. NP는 SAML 인증 요청 메시지를 생성하고, 그것을 IdP 에 대한 메시지에 삽입한다. 많은 프로파일들에서, 이것은, 사용자가 처리하는 것을 담당하는 재안내 메시지로 번역되며, NP는 사용자의 인증 요청을 운반하는 IdP로 사용자를 재안내한다.
인증 및 옵션적인 프라이버시 옵션 선택
일반적인 SAML 모델에서와 같이, IdP 에 이미 존재하는 인증 콘텍스트가 존재하지 않으면, 사용자는 IdP에 대해 인증되어야 할 것이다. 실제 방법은 정의되지 않지만, 예를 들어, 인증서를 사용하여 로그인 및 패스워드 또는 과제-응답을 사용할 수 있다.
또한 이러한 단계에서, 사용자는 이용가능하다면 자신의 프라이버시 옵션들을 선택할 수 있다. 이들은 서비스 품질 또는 심지어 서비스에 대한 액세스에 영향을 줄 수도 있다. 이러한 단계의 목적은, 사용자가 액세스 제어 프로세스의 일부로서 자신의 콘텍스트의 일부들을 아이덴티티 제공자에게 제공하지 않도록 선택할 수도 있는 프라이버시 확장을 용이하게 하는 것이다.
해당 콘텍스트 정보는 사용자의 디바이스 정보, 디바이스의 위치, 네트워크 오퍼레이터 로컬 정보, 액세스될 서비스 뿐만 아니라 많은 다른 것을 포함할 수도 있다.
IdP는 NP가 사용자의 정책을 고수하는지를 관측하기 위해 감시 툴로서 기능할 수 있다.
프록시 인증 재안내 (인증 응답)
일단 사용자가 인증되면, SAML 모델은, IdP가 NP에 다시 재안내되어야 한다는 것을 지시한다. SAML 메시지에 포함된 정보는 인증 콘텍스트 뿐만 아니라 사용자가 선택한 프라이버시 옵션들을 참조한다.
프라이버시 옵션들이 SAML의 일부로서 현재 표준화되지 않으므로, 그들을 사용자의 속성들로서 고려한다. 통상적인 속성 어서션으로서 SAML 메시지에 그들을 삽입할 수 있다.
프라이버시 정책들 그 자체는 많은 방식들로 특정될 수 있다. 간략화를 위해, 정보의 개시 및 프로세싱을 설명하기 위한 간단한 메커니즘인 W3C P3P [P3P] 의 사용을 가정한다.
메시지가 수신될 경우, 프록시는 SAML 인증 응답 메시지 내의 어서션의 서명 및 인증 콘텍스트의 인증 방법이 수용가능한지를 검증할 것이다. 그 후, P3P 정책들 및 이들이 NP에 수용가능한지를 검증할 것이다.
NP가 이것이 액세스 제어 부분에 충분하지 않다고 생각하면, 인증 단계로 복귀할 것이며, 재인증을 강제하지만 그 자신의 P3P 정책 제안을 인증 요청에 삽입한다. 그외의 것들은, 사용자가 프라이버시 정책의 관점에서 NP의 기대를 통지받아야 한다는 것을 제외하고 이러한 포인트까지 계속되어야 한다.
일단 프라이버시 정책들이 사용자 및 NP의 요건들 양자에 따르면, 서비스에 대한 사용자의 액세스의 프로세싱이 계속될 수 있다.
정책 결정 쿼리
네트워크에 액세스하는 것을 허용하기 위해, NP는 사용자가 정확한 인증 또는 지불 방법을 갖는다고 IdP로 확인해야 할 것이다. 이러한 단계에서, 일반적인 액세스 제어 프레임워크인 [XACML] 을 사용한다. XACML 의 선택은 SAML에 대한 그의 긴 관련성 (long relation) 으로 인한 것이다. SAML 및 XACML 은 함께 XACML 정책 결정 쿼리들 뿐만 아니라 정책 결정 응답들, 정책 결정의 규격 및 프로세싱의 전송을 제공한다.
XACML 정책 결정 쿼리는, 정책이 평가되어야 하는 콘텍스트 뿐만 아니라 정책 결정 포인트 (PDP), 본 발명의 경우에서는 IdP 에서만 인스턴스화될 수 있는 몇몇 변수들을 포함한다.
콘텍스트 정보의 예는 다음과 같을 수 있다.
- 사용자가 액세스하기를 시도하는 서비스에 관한 정보
- 사용자 또는 NP에 의해 주어지는 바와 같은 사용자의 위치
- 사용자의 디바이스/애플리케이션에 대한 정보
- 기타 등등
정책 요청에서의 변수들에 관해, 다음을 포함한다.
- 나이, 성별, 선호도 등과 같은 사용자의 속성들
- 시간, 날짜, 영역/시간대
- 빌링 제공자에 관한 정보
○ 선호 리스트
○ 명칭, 협회, 그룹 등
○ 국가
○ 금융 데이터
- 기타 등등
PDP (IdP) 가 이러한 메시지를 수신할 경우, 그의 내부 정책들에 따라 그 메시지를 프로세싱할 것이다. 이들 정책들은, 가입, 빌링 제공자들 및 선호도들과 같은 사용자 속성들로 액세스 콘텍스트를 바인딩할 방법에 관한 정보를 포함할 수도 있다. 응답은, XACML 약정들과 같은 결정에서 여분의 정보를 포함할 수도 있는 이들 정책들에 따르 구축될 것이다. 그 결정은, NP가 액세스 요청을 수용 (ACCEPT), 협의 (NEGOTIATE) 또는 거부 (REJECT) 하기에 충분해야 한다. 메시지는 NP에 의해 서명된다.
빌링 약정 정의
본 섹션에서, XACML 정책 결정 응답 내부에 빌링 정보 및 파라미터화를 포함하는 규격을 제안한다. 이러한 약정은 SAML 어서션과 같은 데이터 또는 SAML 아티팩트와 같은 정보에 대한 포인터 중 어느 하나를 포함할 수 있으며, 이는 정책이 시행되기 전에 해결되어야 한다.
이러한 어서션에 포함된 정보는 다음과 같다.
- (프로토콜을 포함하는) 빌링 제공자 협의 포인터를 포함해야 함, 또는
- 다이렉트 빌링 정보 (즉, 신용 카드 세부사항 등) 을 포함해야 함
- 정보는 빌링 제공자 또는 또 다른 적절한 공인된 소스에 의해 어서션되어야 함
- 제공자에 관한 정보를 포함할 수도 있음
○ 명칭, 주소 등
○ 가맹점, 그룹 등 (예를 들어, 신용카드, paypal
Figure 112011022659549-pct00014
, 은행, 오퍼레이터 등)
○ 공인 기관
- (최대 지불액과 같은) 최대 위험 인자를 포함할 수도 있음
정책 결정 응답
정책 시행 포인트 (PEP), 본 발명의 경우에서는 NP는 IdP로부터 결정을 수신한다. 다시, 이러한 결정 메시지는 SAML XACML 에 따라 프로세싱되어야 하며, 이것은 서명 검증을 포함한다.
응답은 포지티브 응답, 즉 수용 (ACCEPT) 또는 협의 (NEGOTIATE) 중 어느 하나를 포함해야 할 경우, NP는 약정 섹션이 존재하는지를 체크해야 한다. 다음으로, NP는 이것이 만족되는지를 관측하도록 그 결정의 약정들에 관해 그 자신의 정책 엔진을 구동시킬 수 있다. 이러한 포인트에서 정책이 서비스 액세스를 계속 프로세싱하는 것이면, 액세스에 대한 조건 협의가 필요할 수도 있다.
조건 협의들
다음으로, NP는, 네트워크 액세스 서비스의 빌링에 어느 정보가 요구되는지 뿐만 아니라 다음을 포함할 수도 있는 몇몇 다른 파라미터들을 상세히 나타내는 P3P 정책을 준비할 수 있다.
- 유닛 당 가격, 세션, 협의
- 위험 관리
○ 지불 전의 최대 전달 데이터
○ 최대 허용 지불량
○ 초기 다운 지불
- SP와 NP 사이의 접촉의 경우에서 또는 새로운 연합체를 셋업하기 위한 협의 정보
- 서비스에 대한 제한들
○ 시간, 대역폭, 서비스 등
또한, IdP 로부터 수신된 사용자의 인증 어서션은, 프로세스에서 사용자의 및 IdP의 관련성을 증명하기 위해 초기 협의 메시지에 포함될 수도 있다. 또한, 이러한 파라미터는 SP에 의해 P3P 정책에서 요청될 수도 있다.
이들 파라미터들은, P3P 정책과 함께 SP와 교환되며, 차례로, 협의가 달성될 때까지, 그 SP는 그 자신의 값들을 제안할 것이고, 몇몇 다른 파라미터들을 제공할 수도 있다.
협의가 달성될 수 없다면, 예를 들어, 변경된 것이 없는 2개의 연속물이 교환되면, 서비스는 이러한 방식으로 도달될 수 없으며, 제안은 사용자에게 제공될 수도 있다 (즉, 사용자 자신이 지불해야 함).
그렇지 않으면, 프로세스는 다음 단계로 계속된다.
서비스 제공자 재안내 (인증된 서비스 액세스)
일단 NP가 지불을 보장하면, SP로 사용자를 재안내한다. 이것은, SP가 인증을 요구하면 IdP에 대한 새로운 호를 요구할 수도 있지만, 시스템의 SSO는 이것이 사용자 상호작용없이 발생하게 해야 한다.
사용자는 서비스에 액세스한다.
서비스 제공자 협의 검증
옵션적으로, 일단 협의들이 완료되면 또는 IdP 의 트리거에 의해, SP는, 서비스 액세스에 대해 어느 사용자 및 조건들이 NO SHOW 구문을 제공받는지를 상세히 나타내는 엔트리를 생성한다. 이러한 엔트리는, 사용자가 특정한 시간 이후 서비스에 액세스하지 않으면, FAILED 구문으로 이러한 엔트리를 마킹하는 타이머와 관련될 수 있다.
일단 사용자가 제 1 시간 동안 SP에 액세스하면, SP는 이러한 엔트리를 COMSUMED 로 태깅 (tag) 할 수 있다. 옵션적으로, 그것은, 서비스가 실제로 이러한 방식으로 소비되었다는 것을 사용자에게 증명하도록 SP에 대한 사용자 로그인에 관해 IdP로부터 수신된 인증 어서션을 저장하기를 원할 수도 있다. 이러한 단계는, 사용자가 이러한 방식으로 서비스를 사용하기 위하여 SP에 의해 생성되면 유용하다. 제 3 시나리오 로밍은 이것이 발생하는 통상적인 사용 경우이다.
NP가 SP를 빌링할 경우, SP는 과금에 관해 논쟁하기 위해 엔트리의 상태를 체크할 수 있다.
시스템의 이러한 섹션의 구현은 SP들의 위험 관리 메커니즘들에 의존한다.
본 발명의 일 실시형태의 중요한 특성들은 도 7에 도시되어 있다.
■ 사용자가 서비스에 액세스하고, 핫스팟 제공자에 의한 재안내를 통해 아이덴티티 제공자 (IdP) 에 대해 인증함
■ 핫스팟 제공자에 의해 쿼리될 경우, 사용자 정책들은 지불 파티로서 SP를 확립함.
■ 서비스 제공자와 핫스팟 제공자 사이의 협의가 빌링 세부사항들을 확립함.
추가적인 세부사항들 및 이점들이 도 8에 도시되어 있다.
■ 사용자는 서비스 제공자의 (SP의) 북마크를 선정하고, (자동적일 수 있는) 인접한 핫스팟을 선택함.
■ IdP는 핫스팟의 정책 쿼리를 통해 SP의 아이덴티티를 인식함.
■ IdP는 사용자가 SP에 가입했다고 인식함.
SP는 IdP에 의해 공급된 정책들에 기초하여 사용자의 네트워크 액세스에 대해 과금한다.
■ 개념 이점들
- 이점: 핫스팟이 더 많은 소비자들에 의해 액세스됨.
- 소비자 베이스를 증가시킴: SP는 더 많은 사용자를 획득함; 부가가치 서비스
- 신뢰도: 사용자는 일관되고 간단한 관점의 서비스를 획득함.
애니메이션된 단계들이 도 9에 도시되어 있다.
다음으로, 본 발명의 중요한 양태가 요약된다.
● 네트워크 전송의 제 3 파티 지불을 허용하기 위한 아이덴티티 관리 및 액세스 제어 기술의 새로운 조합.
● 사용자에 대한 프라이버시 옵션들을 포함하도록 인증 페이즈를 확장시킴.
● NP와 SP 사이의 액세스 조건들을 협의하도록 P3P 정책들의 새로운 애플리케이션.
● 네트워크 제공자는 사용자 인증 동안 서비스 액세스에 관해 서비스 제공자를 빌링할 수 있음.
● 사용자는 액세스 제어 프로토콜에 대한 프라이버시 정책들을 선택할 수 있음.
● 네트워크 제공자 및 서비스 제공자는 아이덴티티 관리 시스템과는 독립적으로 네트워크 액세스에 대한 조건들을 협의할 수 있음.
● 새로운 비지니스 모델에 기초함.
본 발명의 이점들이 종래 기술과 비교되었다.
US 2004/0203602 A1, US 2004/0152447, 뿐만 아니라 US 6,862,444 B2 와 관련하여, 본 발명은 아이덴티티 제공자에 대한 지불 파티의 확립 및 인증 양자를 오프로딩하도록 이들 메커니즘들을 증가시키며, 이를 행함으로써, 사전-서비스 정책들이 Id 브로커에 저장된 미리 구성된 지식에 기초하여 효율적으로 확립되게 한다. 네트워크 제공자는 네트워크 액세스에 대해 서비스 제공자들을 빌링할 수 있으며, 사용자 인증 동안 지불 파티의 아이덴티티를 확립하고, 따라서, 사용자의 프라이버시를 보존하며, 이는 임의의 개인 데이터를 NP에 공개하지 않을 것이다. 현재의 모델은 단지 사용자로 하여금, 네트워크 제공자 및 서비스 제공자와의 그 자신의 별개의 계약들 또는 가입들을 개별적으로 레버리지하게 한다.
또한, 제공자들 사이의 사전-협의 (SLA) 또는 임의의 다른 지식이 빌링 메커니즘들의 일반적인 이해를 제외하고 요구된다. US 2005/0210288 A1 에 설명된 메커니즘과 같은 메커니즘은 단지 액세스될 제한된 양의 서비스들만을 허용하며, 여기서, 핫스팟 제공자는 사전 협의를 통해 특수한 종류의 인증 뿐만 아니라 사용자에 이용가능한 서비스들을 인식한다. 본 발명은 임의의 그러한 제한을 부과하지 않는다.
US 6,266,401 B1 및 US 6,721,554 B2 에 설명된 것과 같은 현재의 실행들은, 임의의 특수한 서비스 지원을 시스템에 구축하지 않음으로써 추가적으로 확장되며, 임의의 잠재적인 교환이 본 발명의 발명자에 의해 제공된 것들을 제외하고 현재 및 장래의 빌링 방법들에 구축되어 발생하게 한다. 상세하게, 본 발명에 의해 사용된 프로토콜들은 NP들과 SP들 사이의 새로운 종류의 약정들이 동적 정책 빌딩 상에 구축되어 정의되게 한다.
본 발명은, 사용자의 아이덴티티 그 이후에는 빌링 제공자에게 링크를 제공하도록 확립될 아이덴티티 관리 시스템에 어느 정도 의존한다. 이것은, 서비스 협의들에 의존하여 SP 또는 임의의 다른 제 3 파티가 중요한 역활을 할 수 있으므로, 여전히 강한 요건은 아니다.
여기에 개시된 본 발명의 많은 변형들 및 다른 실시형태들은, 본 발명이 전술한 설명 및 관련 도면들에서 제공된 교시들의 이점을 갖는다는 것을 당업자는 알 것이다. 따라서, 본 발명이 개시된 특정한 실시형태들에 제한되지 않고, 변형들 및 다른 실시형태들이 첨부된 청구항들의 범위 내에 포함되도록 의도된다는 것을 이해할 것이다. 특정한 용어들이 여기에서 사용되었지만, 그들은 단지 일반적이고 설명적인 의미로만 사용되었으며, 제한의 목적을 위해서는 사용되지 않는다.

Claims (20)

  1. 네트워크 제공자 (NP) 를 통해 서비스 제공자 (SP) 에 사용자에 대한 네트워크 액세스를 제공하는 방법으로서,
    상기 서비스 제공자 (SP) 에 액세스하도록 상기 사용자의 요청에 의해 상기 사용자와 상기 네트워크 제공자 (NP) 사이에 접속을 확립하는 단계;
    상기 네트워크 제공자 (NP) 의 요청 시에 상기 사용자의 아이덴티티 제공자 (IdP) 에 의해 상기 사용자를 인증하는 단계;
    상기 서비스 제공자 (SP) 또는 제 3 파티 (party) 가 액세스 요금의 수취인이라는 정보를 상기 네트워크 제공자 (NP) 가 갖도록, 상기 아이덴티티 제공자 (IdP) 로부터 상기 네트워크 제공자 (NP) 로 데이터를 송신하는 단계; 및
    상기 네트워크 제공자 (NP) 에 의해, 상기 서비스 제공자 (SP) 로 상기 네트워크 제공자 (NP) 를 통해 상기 사용자에 대한 액세스를 제공하는 단계를 포함하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  2. 제 1 항에 있어서,
    상기 방법은, 상기 네트워크 제공자 (NP) 에 의해 상기 수취인에게 상기 액세스 요금을 과금하는 단계를 더 포함하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 방법은, 상기 네트워크 제공자 (NP) 에 의해, 빌링 정보를 포함하는 약정 (obligation) 을 생성하는 단계를 더 포함하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  4. 제 3 항에 있어서,
    상기 약정을 생성하는 정책 결정 기술은 XACML 기술인, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 아이덴티티 제공자 (IdP) 는 상기 서비스 제공자 (SP) 인, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 인증하는 단계 동안, 상기 네트워크 제공자 (NP) 가 상기 사용자의 아이덴티티 제공자 (IdP) 를 특정하도록 상기 사용자에게 요청하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  7. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크 제공자 (NP) 는 상기 사용자가 상기 사용자의 아이덴티티 제공자 (IdP) 를 특정할 수 있는 페이지로 상기 사용자를 재안내하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  8. 제 1 항 또는 제 2 항에 있어서,
    상기 사용자는 상기 아이덴티티 제공자 (IdP) 에 대해 인증하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  9. 제 1 항 또는 제 2 항에 있어서,
    상기 아이덴티티 제공자 (IdP) 로부터 상기 네트워크 제공자 (NP) 로 송신되는 데이터는, 상기 네트워크 제공자 (NP) 에 의해 구축된 콘텍스트에 기초하며,
    상기 사용자의 정책들 및/또는 상기 서비스 제공자 (SP) 의 아이덴티티가 액세스되는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  10. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크 제공자 (NP) 및 상기 아이덴티티 제공자 (IdP) 는 상기 수취인을 선택하기 위해 협의하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  11. 제 10 항에 있어서,
    상기 수취인은 콘텍스트 및/또는 사용자 정책들에 기초하여 선택되는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  12. 제 1 항 또는 제 2 항에 있어서,
    상기 아이덴티티 제공자 (IdP) 는 인증 이후 상기 네트워크 제공자 (NP) 로 상기 사용자를 재안내하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  13. 제 1 항 또는 제 2 항에 있어서,
    정책 시행 포인트 (PEP) 로서 기능하는 상기 네트워크 제공자 (NP) 는 정책 결정 요청을 구성하고, 정책 결정 포인트 (PDP) 로서 기능할 상기 아이덴티티 제공자 (IdP) 에 접촉하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  14. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크 제공자 (NP) 는, 또한, 상기 아이덴티티 제공자 (IdP) 에 의해 제공되는 빌링 약정들 또는 정보를 상기 수취인과 협의 및/또는 검증하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  15. 제 14 항에 있어서,
    상기 협의 및/또는 검증 단계 동안, 지불 및/또는 서비스 액세스 옵션들이 정밀하게 조정되는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  16. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크 제공자 (NP) 및 상기 수취인 또는 서비스 제공자 (SP) 양자는 P3P 정책의 관점에서 서비스 제공을 위한 상기 양자들의 경계들을 제공하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  17. 제 16 항에 있어서,
    상기 P3P 정책들은, 서비스 레벨 파라미터들을 결정하고/하거나 액세스 조건들을 협의하는데 사용되는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  18. 제 1 항 또는 제 2 항에 있어서,
    상기 수취인 또는 서비스 제공자 (SP) 는 필터들 및 빌링 정보에 포커싱하고, 상기 네트워크 제공자 (NP) 는 지불에 포커싱하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  19. 제 1 항 또는 제 2 항에 있어서,
    상기 사용자에 관한 다른 개인 또는 개별 정보는, 개인화를 향상시키고/시키거나, 서비스 제공자 (NP) 또는 네트워크 제공자 (NP) 에 의해 요청된 정보를 제공하도록 상기 네트워크 제공자 (NP) 및/또는 상기 서비스 제공자 (SP) 에 제공되는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
  20. 제 1 항 또는 제 2 항에 있어서,
    상기 네트워크 제공자 (NP) 는 네트워크 액세스를 위해 WLAN 을 제공하는, 사용자에 대한 네트워크 액세스를 제공하는 방법.
KR1020117007185A 2008-08-29 2009-07-22 사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스 KR101247879B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP08015346 2008-08-29
EP08015346.3 2008-08-29
PCT/EP2009/005329 WO2010022826A1 (en) 2008-08-29 2009-07-22 Process for providing network access for a user via a network provider to a service provider

Publications (2)

Publication Number Publication Date
KR20110046576A KR20110046576A (ko) 2011-05-04
KR101247879B1 true KR101247879B1 (ko) 2013-03-26

Family

ID=41404098

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117007185A KR101247879B1 (ko) 2008-08-29 2009-07-22 사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스

Country Status (5)

Country Link
US (1) US10313142B2 (ko)
EP (1) EP2359570B1 (ko)
JP (1) JP5582544B2 (ko)
KR (1) KR101247879B1 (ko)
WO (1) WO2010022826A1 (ko)

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8756705B2 (en) * 2009-07-01 2014-06-17 Fiserv, Inc. Personalized security management
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
DE112011102879T5 (de) 2010-08-30 2013-06-06 Mobitv, Inc. Medienrechteverwaltung auf mehreren Geräten
WO2012028168A1 (en) * 2010-08-30 2012-03-08 Nokia Siemens Networks Oy Identity gateway
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US20120203824A1 (en) 2011-02-07 2012-08-09 Nokia Corporation Method and apparatus for on-demand client-initiated provisioning
US9602414B2 (en) 2011-02-09 2017-03-21 Time Warner Cable Enterprises Llc Apparatus and methods for controlled bandwidth reclamation
US9043793B1 (en) * 2011-03-30 2015-05-26 Emc Corporation Verification of controls in information technology infrastructure via obligation assertion
US9270653B2 (en) * 2011-05-11 2016-02-23 At&T Mobility Ii Llc Carrier network security interface for fielded devices
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
CN103098502A (zh) * 2011-08-03 2013-05-08 华为技术有限公司 数据管理方法和装置
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US9532286B2 (en) 2012-06-15 2016-12-27 Hewlett Packard Enterprise Development Lp Controlling communication of data for different user personas
CN104350804A (zh) 2012-06-15 2015-02-11 惠普发展公司,有限责任合伙企业 传送与用户的不同形象相关联的数据
US9246907B2 (en) 2012-07-12 2016-01-26 International Business Machines Corporation Confidence-based authentication discovery for an outbound proxy
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US9326118B2 (en) * 2013-03-15 2016-04-26 Billing Services Group System and method for rating, clearing and settlement of wireless roaming and offloading
JP6128958B2 (ja) * 2013-05-28 2017-05-17 キヤノン株式会社 情報処理サーバーシステム、制御方法、およびプログラム
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
ES2784137T3 (es) * 2014-02-10 2020-09-22 Deutsche Telekom Ag Método para la prestación de servicios de control externos en una red
CN104980412B (zh) * 2014-04-14 2018-07-13 阿里巴巴集团控股有限公司 一种应用客户端、服务端及对应的Portal认证方法
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
JP2017535128A (ja) * 2014-09-24 2017-11-24 ブイ・5・システムズ・インコーポレイテッド 動的データ管理
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US10225245B2 (en) * 2014-11-18 2019-03-05 Auth0, Inc. Identity infrastructure as a service
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10915873B2 (en) * 2016-08-30 2021-02-09 Eric Martin System and method for providing mobile voice, data, and text services to subscribers using cryptocurrency
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
US20220121731A1 (en) 2019-12-20 2022-04-21 Cambrian Designs, Inc. System & Method for Implementing a Digital Data Marketplace
US11627498B2 (en) 2020-10-29 2023-04-11 Cisco Technology, Inc. Implementing service level agreements in an identity federation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050210288A1 (en) * 2004-03-22 2005-09-22 Grosse Eric H Method and apparatus for eliminating dual authentication for enterprise access via wireless LAN services

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11296583A (ja) * 1998-04-09 1999-10-29 Nippon Telegr & Teleph Corp <Ntt> コンテンツ課金方法及びシステム及び代行サーバ及びコンテンツ課金プログラムを格納した記憶媒体
US6266401B1 (en) * 1998-09-17 2001-07-24 Sprint Communications Company, L.P. Consolidated billing system and method for use in telephony networks
JP2002132727A (ja) * 2000-10-27 2002-05-10 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方法及びシステム装置
US6721554B2 (en) * 2000-12-08 2004-04-13 Lucent Technologies Inc. Method and apparatus for policy-based charging for telecommunications services
GB2393073A (en) * 2002-09-10 2004-03-17 Hewlett Packard Co Certification scheme for hotspot services
US20040203602A1 (en) * 2002-09-12 2004-10-14 Broadcom Corporation Enabling and controlling access to wireless hot spots
US6862444B2 (en) * 2002-09-12 2005-03-01 Broadcom Corporation Billing control methods in wireless hot spots
JP2004258872A (ja) * 2003-02-25 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> 個人情報に基づく情報提供方法及びシステム
EP1469633A1 (en) * 2003-04-18 2004-10-20 Alcatel Method, devices, and computer program for negotiating QoS and cost of a network connection during setup
JP2004355073A (ja) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
US20050055371A1 (en) * 2003-06-05 2005-03-10 Singam Sunder Method and system to manage a network connection application
US9232338B1 (en) * 2004-09-09 2016-01-05 At&T Intellectual Property Ii, L.P. Server-paid internet access service
WO2007000181A1 (en) * 2005-06-29 2007-01-04 Telefonaktiebolaget Lm Ericsson (Publ) Technique for negotiating on behalf of a mobile ambient network within a multi-operator wireless communication system
JP4729365B2 (ja) 2005-08-12 2011-07-20 株式会社野村総合研究所 アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム
US8856860B2 (en) * 2006-08-18 2014-10-07 Cisco Technology, Inc. System and method for implementing policy server based application interaction manager

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050210288A1 (en) * 2004-03-22 2005-09-22 Grosse Eric H Method and apparatus for eliminating dual authentication for enterprise access via wireless LAN services

Also Published As

Publication number Publication date
EP2359570A1 (en) 2011-08-24
JP5582544B2 (ja) 2014-09-03
EP2359570B1 (en) 2018-12-19
JP2012509517A (ja) 2012-04-19
WO2010022826A1 (en) 2010-03-04
KR20110046576A (ko) 2011-05-04
US20110213688A1 (en) 2011-09-01
US10313142B2 (en) 2019-06-04

Similar Documents

Publication Publication Date Title
KR101247879B1 (ko) 사용자에 대한 네트워크 액세스를 네트워크 제공자를 통해 서비스 제공자에게 제공하기 위한 프로세스
US7054843B2 (en) Method and apparatus in a telecommunications system
US8819800B2 (en) Protecting user information
US9521695B2 (en) Initializing network advertisements from probe requests
CN106716960B (zh) 用户认证方法和系统
US20170310710A1 (en) Method and apparatus for providing privacy management in machine-to-machine communications
US9854058B2 (en) Proxy-based profile management to deliver personalized services
CN106716918B (zh) 用户认证方法和系统
US20030206533A1 (en) Terminal and repository in a telecommunications system
US8370261B2 (en) System and a method for access management and billing
EP2495695A1 (en) Method and system for conducting a monetary transaction using a mobile communication device
US9049595B2 (en) Providing ubiquitous wireless connectivity and a marketplace for exchanging wireless connectivity using a connectivity exchange
CA2789495A1 (en) Seamless mobile subscriber identification
EP1469633A1 (en) Method, devices, and computer program for negotiating QoS and cost of a network connection during setup
CA3098343A1 (en) Method for mobile network operator-based payment system
WO2007125252A1 (fr) Procede et systeme de gestion d&#39;un paiement electronique
US20230245085A1 (en) Laterpay 5G Secondary Authentication
US8683073B2 (en) Participating with and accessing a connectivity exchange
US20240161119A1 (en) Supertab 5G Secondary Authentication Methods
US20150117268A1 (en) Service provider node, a method therein, and a computer program product
US20130151386A1 (en) Service Delivery in Networks
Raghavan et al. Mobile Operators as Identity Brokers
Barceló et al. Adapting a captive portal to enable sms-based micropayment for wireless internet access
EP1990969A1 (en) Method for data communication and device as well as communication system comprising such device

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160225

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170221

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180302

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190306

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200303

Year of fee payment: 8