KR101324325B1 - 네트워크 운영자에 의해 제공되는 id 관리 서비스 - Google Patents

네트워크 운영자에 의해 제공되는 id 관리 서비스 Download PDF

Info

Publication number
KR101324325B1
KR101324325B1 KR1020117023592A KR20117023592A KR101324325B1 KR 101324325 B1 KR101324325 B1 KR 101324325B1 KR 1020117023592 A KR1020117023592 A KR 1020117023592A KR 20117023592 A KR20117023592 A KR 20117023592A KR 101324325 B1 KR101324325 B1 KR 101324325B1
Authority
KR
South Korea
Prior art keywords
computing device
authentication
identifier
communication network
way
Prior art date
Application number
KR1020117023592A
Other languages
English (en)
Other versions
KR20110126165A (ko
Inventor
이고르 페인버그
후이-란 루
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20110126165A publication Critical patent/KR20110126165A/ko
Application granted granted Critical
Publication of KR101324325B1 publication Critical patent/KR101324325B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

통신 네트워크의 운영자가 예컨대 인증 서비스와 같은 하나 이상의 ID 서비스를 제공할 수 있게 하는 기술이 개시된다. 예컨대, 통신 네트워크에서는 제 1 컴퓨팅 장치가 클라이언트 장치이고, 제 2 컴퓨팅 장치가 애플리케이션 서버이며, 제 3 컴퓨팅 장치가 통신 네트워크의 운영자의 제어 하의 서버인 것으로 가정한다. 방법은 다음의 단계를 포함한다. 제 1 컴퓨팅 장치가 리소스 요청을 제 2 컴퓨팅 장치에 발행하고, 제 1 컴퓨팅 장치가 제 2 컴퓨팅 장치에 대한 제 1 컴퓨팅 장치를 인증할 시에 사용하기 위한 제 1 식별자를 제 2 컴퓨팅 장치에 제공함에 응답하며, 제 2 컴퓨팅 장치가 제 1 컴퓨팅 장치를 인증할 수 없음에 응답하여, 제 3 컴퓨팅 장치가 제 2 컴퓨팅 장치에 대한 제 1 컴퓨팅 장치의 인증을 지원하며, 이때 가입자로서 통신 네트워크에 액세스하기 위해 제 1 컴퓨팅 장치에 의해 송신된 제 1 식별자와 제 1 컴퓨팅 장치에 의해 이용된 제 2 식별자의 사이에는 상관 관계가 존재하며, 제 2 컴퓨팅 장치는 제 3 자 컴퓨팅 장치에 의해 지원되는 성공적 인증 시에 제 1 컴퓨팅 장치에 의해 송신되는 리소스 요청에 응답할 수 있다.

Description

네트워크 운영자에 의해 제공되는 ID 관리 서비스{IDENTITY MANAGEMENT SERVICES PROVIDED BY NETWORK OPERATOR}
관련 출원에 대한 교차 참조
본 출원은 2009년 4월 9일자로 출원된 출원번호 제61/168,057호로 식별되는 미국 가특허 출원에 대한 우선권을 주장한다.
기술 분야
본 발명은 일반적으로 통신 네트워크에 관한 것으로서, 특히 ID(identity) 서비스가 네트워크 운영자에 의해 제공되는 통신 네트워크에 관한 것이다.
이 절은 본 발명의 더욱 많은 이해를 용이하게 도와줄 수 있는 양태들을 소개한다. 따라서, 이 절의 설명은 이러한 견지에서 판독되어야 하며, 종래 기술인 것이나 종래 기술이 아닌 것에 관한 승인으로 이해되지 않아야 한다.
예로서, ITU-T(International Telecommunication Union - Telecommunication Standardization Sector)에 따르면, 차세대 네트워크(Next Generation Network; NGN)는 통신 서비스를 포함하는 서비스를 제공할 수 있으며 다중 광대역, 서비스 품질(QoS) 가능 전송 기술을 이용할 수 있는 패킷 기반 네트워크이며, 여기에서 서비스 관련 기능은 기본적 전송 관련 기술과 독립적이다. 그것은 사용자가 다른 서비스 제공자에게 제한받지 않고 액세스할 수 있도록 해준다. 그것은 사용자에 대한 서비스의 일관성 및 유비쿼터스 제공을 허용할 수 있는 일반화된 이동성을 지원할 수 있다.
더욱이, ITU-T는 이와 같은 IP(Internet Protocol) 기반 NGN(Next Generation Network)에 대한 ID 관리 표준(Identity Management(IdM) Standard)을 개발하였다. " NGN ID 관리 프레임워크(NGN Identity Management Framework)"라는 명칭의 ITU-T Recommendation Y.2720이 그러한 표준이며, IdM 프레임워크를 특정한다.
본 발명의 실시예는 통신 네트워크의 운영자가 예컨대 인증 서비스와 같은 하나 이상의 ID 서비스를 제공할 수 있게 하는 기술을 제공한다.
제 1 양태에서, 통신 네트워크에서는 제 1 컴퓨팅 장치가 클라이언트 장치이고, 제 2 컴퓨팅 장치가 애플리케이션 서버이며, 제 3 컴퓨팅 장치가 통신 네트워크의 운영자의 제어 하의 서버인 것으로 추정되며, 방법은 다음의 단계를 포함한다.
제 1 컴퓨팅 장치가 리소스 요청을 제 2 컴퓨팅 장치에 발행하고, 제 1 컴퓨팅 장치가 제 2 컴퓨팅 장치에 대한 제 1 컴퓨팅 장치를 인증할 시에 사용하기 위한 제 1 식별자를 제 2 컴퓨팅 장치에 제공함에 응답하고, 제 2 컴퓨팅 장치가 제 1 컴퓨팅 장치를 인증할 수 없음에 응답하여, 제 3 컴퓨팅 장치가 제 2 컴퓨팅 장치에 대한 제 1 컴퓨팅 장치의 인증을 지원하며, 이때 가입자로서 통신 네트워크에 액세스하기 위해 제 1 컴퓨팅 장치에 의해 송신된 제 1 식별자와 제 1 컴퓨팅 장치에 의해 이용된 제 2 식별자의 사이에는 상관 관계가 존재하며, 제 2 컴퓨팅 장치는 제 3 자 컴퓨팅 장치에 의해 지원되는 성공적 인증 시에 제 1 컴퓨팅 장치에 의해 송신되는 리소스 요청에 응답할 수 있다.
하나 이상의 예시적인 실시예에서, 방법은 다음의 단계를 더 포함할 수 있다.
제 2 컴퓨팅 장치는 제 1 컴퓨팅 장치가 인증 요청을 제 3 컴퓨팅 장치로 송신하도록 하며, 제 3 컴퓨팅 장치는 제 1 컴퓨팅 장치로부터 인증 요청을 수신한다.
제 3 컴퓨팅 장치는 가입자로서 통신 네트워크에 액세스하기 위해 제 1 컴퓨팅 장치에 의해 송신된 제 1 식별자와 제 1 컴퓨팅 장치에 의해 이용된 제 2 식별자 사이의 상관 관계를 검사한다.
상관 관계가 존재할 때, 제 3 컴퓨팅 장치는 인증 챌린지(authentication challenge)를 제 1 컴퓨팅 장치로 송신한다.
인증 챌린지에 기초하여 인증 응답을 제 3 컴퓨팅 장치로 송신하는 제 1 컴퓨팅 장치에 응답하여, 제 3 컴퓨팅 장치는 인증 응답을 검증하려고 한다.
인증 응답이 검증될 때, 제 3 컴퓨팅 장치는 인증 결과를 제 1 컴퓨팅 장치로 송신하며, 인증 결과는 제 3 컴퓨팅 장치와 제 2 컴퓨팅 장치 사이에서 합의된 키를 이용하여 암호로 서명됨으로써, 제 1 컴퓨팅 장치는 서명된 인증 결과를 제 2 컴퓨팅 장치로 송신할 수 있으며, 서명된 인증 결과가 검증될 때, 제 2 컴퓨팅 장치는 제 1 컴퓨팅 장치에 의해 송신된 리소스 요청에 응답할 수 있다.
더욱이, 하나 이상의 예시적인 실시예에서, 제 1 컴퓨팅 장치의 제 1 식별자는 OpenID 식별자와 같은 오픈 소스 기반의 식별자를 포함할 수 있다. 제 1 컴퓨팅 장치는 웹 클라이언트를 실행할 수 있고, 제 2 컴퓨팅 장치는 신뢰 당사자(relying party)일 수 있으며, 제 3 컴퓨팅 장치는 ID 제공자일 수 있다. 제 1 컴퓨팅 장치는 AKA(Authentication 및 Key Agreement) 알고리즘을 구현하는 SIM(Subscriber Identity Module) 애플리케이션을 지원할 수 있다. 제 2 식별자는 네트워크 운영자에 의해 제공될 수 있고, IMSI(International Mobile Subscriber Identity) 식별자 또는 IMPI(Internet Protocol Multimedia Private User Identity) 식별자를 포함한다.
또한, 하나 이상의 예시적인 실시예에서, 제 3 컴퓨팅 장치는 제 4 컴퓨팅 장치 정보로부터 제 1 컴퓨팅 장치의 사용자와 관련된 정보를 수신할 수 있음으로써, 제 3 컴퓨팅 장치는 이 정보에 기초하여 제 1 컴퓨팅 장치와의 챌린지-응답 상호 작용을 수행하도록 한다. 챌린지-응답 상호 작용은 AKA-인식 챌린지-응답 프로토콜(예컨대, RFC 3310 또는 RFC 4169)에 따를 수 있다. 제 4 컴퓨팅 장치는 HLR(Home Location Register) 또는 HSS(Home Subscriber Server)일 수 있다. HLR 또는 HSS로부터 수신되는 정보는 인증 벡터를 포함할 수 있다. 인증 벡터는 AKA 알고리즘에 따라 생성될 수 있다.
또한, 하나 이상의 예시적인 실시예에서, 제 3 컴퓨팅 장치는 서비스 거부(DOS) 상태의 존재를 판단하도록 인증 요청 빈도를 감시할 수 있고, 이 상태가 존재하는 것으로 판단될 때에 하나 이상의 동작이 DOS 상태를 완화하도록 취해지게 할 수 있다.
이점으로, 본 발명의 예시적인 실시예는 오픈 소스 식별 표준을 하나 이상의 네트워크 보안 프로토콜과 연동하거나 통합하는 네트워크 운영자의 통신 네트워크에서의 게이트웨이형 엔티티(예컨대, ID 제공자)를 제공하여, 네트워크 운영자에 의해 ID 제공 기능을 가능하게 한다.
본 발명의 이들 및 다른 특징 및 이점은 첨부한 도면 및 다음의 상세한 설명에서 더욱 명백해질 것이다.
도 1은 본 발명의 일 실시예에 따라 ID 서비스가 네트워크 운영자에 의해 제공될 수 있는 통신 네트워크의 다이어그램이다.
도 2는 본 발명의 일 실시예에 따라 오픈 소스 식별 표준을 포함하는 애플리케이션 시나리오에 대한 작업 흐름의 다이어그램이다.
도 3은 본 발명의 실시예에 따라 인증 방법 특정 교환을 위한 작업 흐름의 다이어그램이다.
도 4는 본 발명의 실시예에 따라 ID 서비스를 구현하는데 적절한 통신 네트워크의 하드웨어 구조의 다이어그램이다.
Identity Management(IdM) 개념은 통신 네트워크 운영자, 예컨대 텔레콤 운영자 또는 네트워크 운영자(이들 두 구문은 본원에서 교체 가능하게 이용될 수 있음에 주목한다)에 의해 새로운 서비스를 가능하게 해줄 수 있음을 알게 된다. 그러한 운영자의 예들은 AT&T, Verizon, NTT, China Mobile, France Telecom/Orange를 포함할 수 있지만, 이에 제한되지 않는다. 실제로, 텔레콤 운영자는 네트워크 액세스를 "소유하고(own)" 있음을 알게 되므로, 이들은 이들의 가입자와 접속되는 많은 정보를 "소유하고(own)" 있다. 이러한 관점에서, 소유권은: (1) 가입자를 적절하고 효율적으로 인증할 (필요할 때에는, 승인할) 능력; (2) 가입자 데이터의 실제 소유권; 및 (3) 가입자와의 확립된 신뢰를 포함할 수 있다. 따라서, 여기에 이용되는 바와 같이, "네트워크 운영자" (또는 "텔레콤 운영자")는 통신 네트워크를 소유하고 운영하여, 서비스를 가입자에 제공하는 회사로서 정의되며, 예컨대, NGN 운영자는 NGN 네트워크를 소유하고 운영하는 네트워크 운영자이다. 따라서, 네트워크 운영자의 2개의 뚜렷한 특징(features)은: (1) 네트워크를 소유하고; (2) 유료로 서비스를 가입자에 제공하는 것일 수 있다. 제 3 특징은 네트워크 운영자가 전형적으로 규제를 받아 이들이 법적으로 통신의 프라이버시 등을 보장할 책임을 지게 할 수 있다.
이들 자산(assets)에 기초하여, 텔레콤 운영자는 홈 네트워킹에서 기업을 위한 간단한(straight-forward) 인증 서비스까지의 ID 기반 서비스의 범위를, 단지 예로서 금융 및 의료 거래를 포함하는 서비스의 복잡한 혼합(complex blend)에 제공하는 고유 위치에 있음을 알게 된다. 역으로, 또한, 싱글 사인 온(single sign- on)과 연결되는 다중 애플리케이션 제공자로부터의 제휴 데이터(federating data)에 의해, 텔레콤 운영자는 고유 매시-업(unique mash-up) 서비스를 이들의 가입자에 제공할 수 있음을 알게 된다.
본원에서 전체적으로 참조로서 통합되고, 명칭이 "NGN Identity Management Framework"인 ITU-T Recommendation Y.2720에 의해 제공되는 상기 인용된 프레임워크 내에서, 여러 Web 2.0 기술은 UMTS(Universal Mobile Telecommunications System) 또는 IMS(IP Multimedia Subsystem) 등과 같은 NGN 기술과 상호 작용하도록 만들어 질 수 있음을 더 알게 된다. ITU-T Recommendation Y.2720에 의해 설명된 바와 같이, 이와 같은 ID 관리 프레임워크는: (i) 최종 사용자가 점점 여러 ID을 이용하고; (ii) 이들 ID는 상이한 콘텍스트(context) 및 서비스 특권과 관련될 수 있으며; (iii) ID는 최종 사용자를 부분적으로만 식별할 수 있으며; (iv) ID는 임의의 시간, 임의의 장소에서 이용될 수 있음을 고려할 수 있음을 알게 된다.
일 실시예에서, OpenID로 지칭되는 오픈 커뮤니티(오픈 소스) ID 표준은 이와 같은 Web 2.0 기술과 NGN 기술 사이의 상호 작용 기능으로서 이용될 수 있음을 알게 된다.
OpenID는 사용자 중심 디지털 ID에 대한 개방, 분산, 무료 프레임 워크(open, decentralized, free framework)이며, 웹사이트 www.openid.net를 참조한다. 이와 같이, 그것은 로그인 이름 및 암호를 이용하는 공통 로그인 프로세스를 대신한다. OpenID는 기존 인터넷 기술(즉, Uniform Resource Identifier - URI, HyperText Transport Protocol - HTTP, Secure Socket Layer protocol - SSL, Diffie-Hellman protocol)을 이용하여, 개인이 여러 웹사이트 상에서 자신에 대한 ID를 생성함을 실현한다. OpenID는 이들 기존의 URI 중 하나를 OpenID 로그인을 지원하는 사이트에 이용될 수 있는 계정(account)으로 변환하도록 한다. OpenID는 OpenID Foundation(San Ramon, CA)에 의해 관리된다. 표준은 OpenID Authentication 2.0 및 OpenID Provider Authentication Policy Extension 1.0에서 상세히 설명되며, 이는 여기서 전체적으로 참조로서 통합된다.
이러한 특정 실시예가 OpenID 표준 및 사양의 양태를 이용하지만, OpenID는 이용될 수 있는 오픈 소스 식별 표준 및 오픈 소스 기반 식별자의 일례인 것으로 이해될 수 있다. 따라서, OpenID로서 유사한 기능 및 특징을 제공하는 다른 적절한 식별 표준은 본 발명의 실시예의 범주 내에 있는 것으로 간주될 수 있다.
따라서, 본 발명의 예시적 원리는 다음을 포함하지만, 이에 제한되지 않는 다양한 특징 및 이점을 제공한다:
1. (단지 예로서, AT&T 또는 Verizon와 같은) NGN 운영자에 의해 발행되는 IMSI(International Mobile Subscriber Identity) 또는 IMPI(IP Multimedia Private user Identity)와 같은 3GPP(Third Generation Partnership Project) 가입자 식별자에 묶이는(bound) 자신의 OpenID 식별자를 발행하는 최종 사용자;
2. OpenID가 NGN 운영자와 관련된 전통적인 신뢰 수준에 의존하면서 Web 2.0 제공자(예컨대, Yahoo! 또는 VeriSign)에 의해 백업될 때 NGN 운영자에 의해 백업되는 OpenID와 관련된 서비스로 자신이 오늘날 이들을 즐기는 방식과 동일한 방식으로 혜택을 받는 최종 사용자;
3. (단지 예로서, 지불, 사회적 네트워킹 또는 헬스케어 서비스와 같은) 외관상 무한히 다양한 새로운 Web 2.0 서비스를 제공하여, 광고로부터의 적절한 수익, 지불 비율 등을 생성시키도록 상기 신뢰 수준을 이용하는 NGN 운영자;
4. (단지 예로서, 비밀성, 프라이버시 및 부인 방지(non-repudiation)와 같은 상기 서비스의 보안 양태가 어떤 수정 없이 재사용되는 입증된 UMTS 또는 IMS 보안 메카니즘에 의해 확실히 백업되도록 하는 NGN 운영자;
5. 최종 사용자도, 기존 NGN 운영자의 소프트웨어도 수정될 필요가 없을 때에 모듈성 및 역호환성(backward compatibility) 보장. 대신에, (예로서, 일 실시예에서는 소프트웨어 객체 또는 모듈일 수 있고, 다른 실시예에서는 하드웨어 구성 요소일 수 있으며, 또 다른 실시예에서는 소프트웨어 및 하드웨어의 조합일 수 있는) 새로운 독립형(stand-alone) 엔티티가 기존 소프트웨어 및 장비와 효율적으로 상호 작용하는 새로운 소프트웨어를 유지한다;
6. NGN 내에 제공되는 최소한 기본적인 기능성 세트를 이용함으로써 구현의 단순 보장; 및
7. NGN에 대한 서비스 거부(DOS) 공격 완화.
도 1은 본 발명의 일 실시예에 따라 ID 서비스가 네트워크 운영자에 의해 제공될 수 있는 통신 네트워크(100)의 다이어그램이다.
도시된 바와 같이, 사용자 장비(110)는 (단지 예로서, Microsoft Internet Explorer 또는 Firefox와 같은) 웹 브라우저, 또는 (인스턴트 메시징 클라이언트 또는 Voice-over-IP 클라이언트와 같은) 일부 다른 애플리케이션 특정 클라이언트 소프트웨어를 실행하며, 이를 통해 최종 사용자는 (단지 예로서, 지불, 사회적 네트워킹 또는 헬스케어 서비스와 같은) 애플리케이션에 액세스한다. 사용자 장비는, 예로서, 이동 전화, 휴대용 컴퓨터, 무선 이메일 장치, 개인용 휴대 단말기(PDA) 또는 어떤 다른 사용자 통신 장치일 수 있다.
일 실시예에서, UE 애플리케이션 클라이언트(110)는 AKA(Authentication and Key Agreement) 알고리즘을 알고 있는 애플리케이션 프로토콜, 예컨대, 여기서 전제적으로 참조로서 통합되는 RFC 3310: “Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA),”September 2002; 또는 RFC 4169: “Hypertext Transfer Protocol(HTTP) Digest Authentication Using Authentication and Key Agreement(AKA) Version-2,”November 2005을 지원하는 것으로 가정된다. 더욱이, 이러한 예시적 실시예에서, UE는 AKA 알고리즘을 구현하는 SIM(Subscriber Identity Module) 애플리케이션을 지원하는 것으로 가정된다. SIM 애플리케이션에 대한 상세 사항은 3GPP Technical Specifications TS 31.102 및 TS 31.103에서 찾을 수 있으며, 이는 여기서 전체적으로 참조로서 통합된다. AKA에 대한 상세 사항은 또한 3GPP Technical Specifications TS 33.102에서 찾을 수 있으며, 이는 여기서 전체적으로 참조로서 통합된다.
이러한 특정 실시예가 3GPP 인증 프로토콜의 양태를 이용하지만, 이와 같은 프로토콜은 이용될 수 있는 보안 프로토콜의 일례인 것으로 이해될 수 있다. 따라서, 3GPP 인증 프로토콜과 유사한 기능 및 특징을 제공하는 다른 적절한 보안 프로토콜은 본 발명의 실시예의 범주 내에 있는 것으로 간주될 수 있다.
도 1에 도시된 바와 같이, 하나 이상의 웹 서버(애플리케이션 서버) 상의 애플리케이션인 신뢰 당사자(120)는 (단지 예로서, 지불, 사회적 네트워킹 또는 헬스케어 서비스와 같은) 특정 애플리케이션 또는 서비스를 제공하여, (예컨대, 이러한 특정 실시예에서) OpenID를 지원하는 것으로 가정된다.
ID 제공자(IdP)(130)가 또한 도시되고, 이는 그의 경계 내에서 운영자 네트워크에 대한 효율적인 게이트웨이 엔티티이다. 이와 같은 네트워크의 일례는, AT&T 또는 Verizon과 같은 네트워크 운영자에 의해 관리되는 IMS 네트워크이다. 즉, ID 제공자 엔티티는 네트워크 운영자에 의해 제어되고 운영된다. 다시말하면, ID 제공자 엔티티의 구현은 사실상 부하가 프론트엔드(front-end) 서버(132)의 감독 하에 균형을 이루는 그런 기능을 가진 주어진 수의 서버(131-1 내지 131-n)를 포함할 수 있음에 주목되어야 한다. 또한, 그것은 시스템이 적어도 하나의 서버를 "양호한" 요청 (즉, 합법적인 요청 및 DOS 공격의 부분인 것으로 의도되는 요청이 아닌)에 작용하게 함으로써 (성능은 저하되지만) 서비스 거부(DOS) 상태 하에 확실히 기능을 하는 프론트엔드 서버(132)의 기능이다.
일 실시예에서, ID 제공자(130)는 사용자측 상에서 OpenID 및 AKA-인식 HTTP 등, 및 운영자측 상에서 Home Subscriber Server(HSS)(140) 등으로부터 어떤 인증 벡터를 검색하기 위한 Diameter 기반 프로토콜(예컨대, 여기서 전체적으로 참조로서 통합되는 3GPP Technical Specification TS 29.229에서 설명되는 상세 사항) 등을 지원하는 것으로 추정된다. 인증 벡터는 AKA 알고리즘(예컨대, TS 33.102)에 기초하여 HSS 등에 의해 생성된다.
HLR(Home Location Register) 또는 HSS(Home Subscriber Server)(140) 등은 (3GPP 가입자 식별자 및 관련된 공유 비밀을 포함하는) 최종 사용자 프로파일을 저장하고, 요청 시에, AKA 인증 벡터를 생성할 수 있다.
일 실시예에서, 본 발명의 예시적인 원리에 따라 상호 작용 기능을 실행하는 소프트웨어 모듈 또는 소프트웨어 객체는 ID 제공자 엔티티에만 있어, 한 지점에서만 인증 절차를 분리한다. 일 실시예에서, ID 제공자는 (단지 예로서, Linux 또는 Unix와 같은 임의의 운영 체제의 감독 하에 실행하는 프로세스와 같은) 소프트웨어 모듈임을 알게 되며, 이는 운영자의 네트워크에서 하나의 (집중 케이스) 서버 또는 수개의 (분산 케이스) 서버(예컨대, 131-1 내지 131-n, 또는 도시되지 않은 다른 서버) 상에서 실행하는 임의의 다른 NGN 운영자의 소프트웨어와 공동 위치될 수 있다. 또한, 이러한 소프트웨어 모듈에 의해 실행되는 프로토콜은 과부하 제어 및 부하 균형을 지원하는 것을 알게 된다.
도 2는 본 발명의 일 실시예에 따라 OpenID를 포함하는 애플리케이션 시나리오에 대한 작업 흐름(200)을 도시한 것이다. 제 1 요청(단계 1), 최종 응답(단계 12) 및 인증 방법 특정 교환(단계 8)은 OpenID 표준의 부분이 아니지만, 이러한 실시예에서, 다른 단계는 상술한 OpenID 표준에 따라 (어떤 경우에, 특히 아래에 설명되는 바와 같이 수정됨에도 불구하고) 운영할 수 있음에 주목한다.
도 2에 도시되는 (도 3에서는 아래에 설명되는) 엔티티 사이에 송신되는 메시지는 엔티티에 의해 구현되는 하나 이상의 통신 프로토콜에 따라 송수신되는 신호인 것으로 이해될 수 있다. 또한, 메시지 전달의 시퀀스는 본 발명의 원리에 기인하는 하나 이상의 이점을 여전히 제공하면서 재배열되거나 수정될 수 있는 것으로 이해될 수 있다(일부 부가적인 메시지가 부가되고 및/또는 일부는 삭제된다).
단계 1에서, 웹 클라이언트(110)(즉, 사용자 장비에서 실행하는 애플리케이션 클라이언트)는 리소스 요청을 신뢰 당사자(120)(즉, 최종 사용자가, 예컨대, 지불, 사회적 네트워킹 또는 헬스케어 서비스에 액세스하기를 바라는 애플리케이션 또는 서비스를 실행하는 웹 서버)로 송신한다.
단계 2에서, 신뢰 당사자(120)는 OpenID 로그인 페이지를 웹 클라이언트(110)로 송신한다.
단계 3에서, 웹 클라이언트(110)는 이의 OpenID 정보(즉, OpenID 식별자)를 신뢰 당사자(120)로 송신한다. OpenID 식별자는 웹 클라이언트(110)의 사용자에 의해 입력되는 정보, 사용자 장비 상에 저장된 정보 또는 양자 모두를 포함할 수 있다.
단계 4에서, 정규화 발견 절차(normalization discovery procedure)는 OpenID 표준에 따라 수행된다. 일반적으로, 정규화 발견 절차는 표준 형식에서 어떤 비공식(informality)이 있을 경우에 웹 클라이언트에 의해 제공되는 식별자를 효율적으로 보정한다.
단계 5에서, Diffie-Hellman 교환은 신뢰 당사자(120)와 ID 제공자(130)의 사이에서 수행된다. 이것은 OpenID 표준의 부분이고, ID 제공자(130)에서 웹 클라이언트(110)로 송신되는 인증 응답을 서명하기 위한 키를 확립하는데 이용된다. 본 발명의 원리에 따르면, ID 제공자는 이점으로 네트워크 운영자에 의해 운영되는 하나 이상의 웹 서버를 포함할 수 있다.
단계 6에서, 신뢰 당사자(120)는 리디렉션 응답(redirection response)을 웹 클라이언트(110)로 송신한다. 이 응답은 OpenID 인증 요청을 ID 제공자(130)로 전달한다.
단계 7에서, 웹 클라이언트(110)는 인증 요청을 ID 제공자(130)로 전달한다.
단계 8에서, 인증 방법 특정 교환은 웹 클라이언트(110)와 ID 제공자(130)의 사이에서 수행된다. 이러한 인증 방법 특정 교환의 일 실시예는 도시되고, 도 3과 관련하여 설명되는 것을 알게 된다.
단계 9에서, ID 제공자(130)는 인증 응답을 서명한 리디렉션 응답을 송신한다.
단계 10에서, 웹 클라이언트(110)는 서명된 인증 응답을 신뢰 당사자(120)로 전달한다.
단계 11에서, 서명 검증 절차는 신뢰 당사자(120)에 의해 수행된다.
단계 12에서, 신뢰 당사자(120)는 리소스 응답(즉, 단계 1에서 웹 클라이언트에 의해 송신되는 원래의 리소스에 대한 응답)을 웹 클라이언트(110)로 송신한다.
도 3은 인증 방법 특정 교환(예컨대, 도 2에서 단계 8)을 위한 작업 흐름(300)을 도시한 것이다. 특히, 도 3은 일반적 AKA 기반 작업 흐름인데, 이 작업 흐름은 HTTP, Session Initiation Protocol - SIP를 통해 웹 서비스를 지원하는 프로토콜의 일반적 패밀리(generic family), 또는 HTTP 다이제스트(digest)(즉, 여기서 전체적으로 참조로서 통합되는 RFC 2617) 또는 Hash-based Message Authentication Code - HMAC(즉, 여기서 전체적으로 참조로서 통합되는 RFC 2104)의 구성을 이용하는 다양한 다른 애플리케이션 프로토콜을 명백히 규정한다.
단계 1에서, 사용자(웹 클라이언트(110))를 단독으로 인증할 수 없으므로, 신뢰 당사자(120)는 사용자가 ID 제공자(130)로부터 인증을 획득하게 한다. 이것은 HTTP REDIRECT와 같은 방법을 이용하여 달성될 수 있지만, 그것은 또한 네이티브(native) 애플리케이션 방법을 이용하여 달성될 수 있다. 어느 한 경우에, 이러한 방법은 추상적인(abstract) RequestAuthn 요청으로 수행된다.
RequestAuthn 요청은 그의 수신 시에 UE에서 클라이언트가 단계 2에서 부가적인 자기 식별 정보 요소를 수반할 수 있는 그런 요청을 ID 제공자(130)로 지향시키게 한다.
ID 제공자(130)는 메시지 내의 정보를 검사하여, IMPI 또는 IMSI(즉, 3GPP 가입자 식별자)와 주장된 사용자 식별자의 상관 관계를 규정하려고 한다. 이와 같은 상관 관계가 있으면, 단계 3에서, ID 제공자(130)는 HSS(140) 등으로부터 인증 벡터를 획득하며, 이 인증 벡터는 UE 클라이언트를 인증하는 필요한 챌린지 및 이러한 챌린지에 대한 사전 계산된 답변(pre-computed answer)을 포함한다.
아마도 상관 관계가 없다면, 거부 메시지를 송신하거나 초기 요청(보안 이점을 가질 수 있는 단계)을 간단히 무시함으로써 달성될 수 있는 절차는 중단된다. ID 제공자(130)는 또한 DOS 공격을 발견한다는 주제에 대해 요청(특히 로그되어야 하는 잘못된 데이터를 가진 요청) 빈도를 조사한다. 이와 같은 빈도가 설정된 임계치를 초과하면, 네트워크에 대한 게이트웨이에서 의심되는 트래픽을 차단하기 위한 적극적인 조치(measures)와 함께, DOS 공격을 완화하기 위해 오프로딩(offloading), IP 주소의 변경과 같은 조치가 취해진다. 다시말하면, ID 제공자(130) 엔티티의 구현은 사실상 부하가 프론트엔드 서버의 감독 하에 균형을 이루는 그런 기능을 가진 많은 서버를 포함할 수 있음에 주목되어야 한다. 또한, 그것은 시스템이 적어도 하나의 서버를 (상술한 바와 같이) "양호한" 요청에 작용하게 함으로써 (성능은 저하되지만) 확실히 기능을 하는 프론트엔드 서버의 기능이다.
단계 4에서, 모두가 잘 되면(예컨대, HSS로부터 적절한 인증 정보의 성공적 수신을 가정하면), ID 제공자(130)는 (챌린지 및 네트워크 인증자, 즉, 인증을 위해 ID 제공자에 의해 제공되는 값을 포함하는) 인증 방법 및 인증 벡터를 UE에서의 웹 클라이언트(110)로 보낸다.
UE에서의 웹 클라이언트(110)는 ID 제공자(130)를 인증하고, 답변 및 필요한 암호화 세션 키(즉, 암호 키 및 무결성 보호 키)를 계산하며, 자체를 인증하도록 ID 제공자(130)에 대한 응답 내에 포함될 수 있는 수량(quantity)을 계산한다. 이 수량은 3GPP 사용자 ID(IMPI 또는 IMSI)의 다이제스트, 답변 및 세션 키의 조합, 및 RFC 3310 또는 RFC 4169에 명시된 다른 요소일 수 있다. 대안적으로, 수량은 다이제스트 계산에서와 같은 요소를 통해 계산되는 키 메시지 인증 코드일 수 있다. 이 경우에, 서명 키는 세션 키의 연쇄(concatenation)이고, 알고리즘은 HMAC-SHA256 (여기서 전체적으로 참조로서 통합되는 RFC 2104, FIPS 180-2)이다. 단계 5에서, 웹 클라이언트(110)는 응답을 ID 제공자(130)에 제공한다.
이 시점에서, ID 제공자(130)는 응답이 인증 벡터와 일치함을 검증한다. 이것이 그렇지 않은 경우, DOS의 검출을 포함하는 단계 3의 동작이 수행된다. 그렇지 않으면, ID 제공자(130)는 최종 인증 결과를 준비하여, OpenID 표준에 따라 신뢰 당사자(120)에 서명하며, 단계 6에서 신뢰 당사자로의 리디렉션과 함께 서명된 결과를 UE에서의 웹 클라이언트로 복귀시킨다.
단계 7에서, 웹 클라이언트(110)는 인증자를 신뢰 당사자(120)로 재송신하여, 서명의 검증 시에, 적절한 서비스를 이용하도록 클라이언트를 승인한다.
웹 클라이언트와 ID 제공자 사이의 인증 절차의 모두 또는 부분이 장비를 이용하여 사용자에게 명백할 수 있음을 알게 될 수 있다. 그러나, 이것이 필요치 않으며, 즉, 사용자는 웹 클라이언트와 ID 제공자 사이의 교환을 알게 될 수 있다.
최종으로, 도 4는 본 발명의 상술한 원리에 따라 (인증 절차를 포함하는) ID 서비스를 구현하는데 적절한 통신 네트워크(400)의 일반화된 하드웨어 구조를 예시한 것이다.
도시된 바와 같이, (예컨대, 웹 클라이언트(110)에 대응하는) 사용자 장비(410), (예컨대, 신뢰 당사자(120)에 대응하는) 웹 서버(420) 및 (예컨대, ID 제공자(130)에 대응하는) 웹 서버(430)는 통신 네트워크 매체(450)를 통해 유기적으로 연결된다. 네트워크 매체는 사용자 장비 및 웹 서버가 통신하기를 바라는 임의의 네트워크 매체일 수 있다. 예로서, 네트워크 매체는 IP 패킷을 종단간 반송할 수 있고, 액세스 네트워크 내에는 UMTS 또는 WiFi 또는 DSL(Digital Subscriber Line)를 포함할 수 있고, 메트로 네트워크 내에는 Ethernet를 포함할 수 있으며, 백본 내에는 MPLS(Multiprotocol Label Switching)를 포함할 수 있다. 그러나, 본 발명은 특정 타입의 네트워크 매체로 제한되지 않는다. 전형적으로, 사용자 장비(410)는 클라이언트 머신일 수 있고, 웹 서버(420 및 430)는 서버 머신일 수 있다. 여기에 명백히 도시되지 않았지만, (아래에 설명되는 동일한 프로세서/메모리 구성을 가질 수 있는) HSS 서버(140)는 ID 제공자(430)에 유기적으로 결합되는 것으로 이해된다.
당업자에게는 자명하듯이, 서버 및 클라이언트는 컴퓨터 프로그램 코드의 제어 하에 동작하는 프로그래밍된 컴퓨터로서 구현될 수 있다. 컴퓨터 프로그램 코드는 컴퓨터 (또는 프로세서 또는 머신) 판독 가능한 저장 매체(예컨대, 메모리) 내에 저장되고, 이 코드는 컴퓨터의 프로세서에 의해 실행된다. 이러한 본 발명의 공개가 주어지면, 당업자는 본원ㅇ에 설명된 프로토콜을 구현하기 위해 적절한 컴퓨터 프로그램 코드를 쉽게 생산할 수 있다.
그럼에도 불구하고, 도 4는 일반적으로 각 장치가 네트워크 매체를 통해 통신하는 예시적인 구조를 도시한다. 도시된 바와 같이, 사용자 장비(410)는 I/O 장치(412), 프로세서(414) 및 메모리(416)를 포함한다. 신뢰 당사자 웹 서버(420)는 I/O 장치(422), 프로세서(424) 및 메모리(426)를 포함한다. ID 제공자 웹 서버(430)는 I/O 장치(432), 프로세서(434) 및 메모리(436)를 포함한다.
본원에 사용된 바와 같이 용어 "프로세서"는 중앙 처리 유닛(CPU) 또는 다른 처리 회로를 포함하고, 하나 이상의 신호 프로세서, 하나 이상의 집적 회로 등을 포함하지만, 이에 제한되지 않는 하나 이상의 처리 장치를 포함하는 것으로 의도된다는 것이 이해되어야한다. 또한, 본원에 사용된 바와 같이 용어 "메모리"는 RAM, ROM, 고정된 메모리 장치(예컨대, 하드 드라이브) 또는 제거 가능한 메모리 장치(예컨대, 디스켓 또는 CDROM)과 같이 프로세서 또는 CPU와 관련된 메모리를 포함하는 것으로 의도된다. 게다가, 여기에 이용된 바와 같은 용어 "I/O 장치"는 데이터를 처리 유닛으로 입력하기 위한 하나 이상의 입력 장치(예컨대, 키보드, 마우스) 뿐만 아니라 처리 유닛과 관련된 결과를 제공하기 위한 하나 이상의 출력 장치(예컨대, CRT 표시 장치)를 포함하는 것으로 의도된다.
따라서, 본원에 설명된 바와 같이, 본 발명의 방법론들을 수행하기 위한 소프트웨어 명령 또는 코드는 하나 이상의 관련된 메모리 장치, 예컨대, ROM, 고정된 또는 제거 가능한 메모리 내에 저장될 수 있고, 이용될 준비가 되어 있으면, RAM 내로 적재되고, CPU에 의해 실행될 수 있다. 즉, 도 4에 도시된 각 컴퓨팅 장치(410, 420 및 430)는 개별적으로 도 2 및 3에 도시된 프로토콜의 각각의 단계를 수행하도록 프로그래밍 될 수 있다.
본 발명의 예시적 실시예가 첨부한 도면과 관련하여 본원에 설명되었지만, 본 발명은 이들 정확한 실시예로 제한되지 않고, 여러 다른 변경 및 수정이 본 발명의 범주 또는 사상으로부터 벗어나지 않고 당업자에 의해 행해질 수 있는 것으로 이해될 수 있다.

Claims (10)

  1. 제 1 컴퓨팅 장치가 클라이언트 장치이고, 제 2 컴퓨팅 장치가 애플리케이션 서버이며, 제 3 컴퓨팅 장치가 통신 네트워크의 운영자의 제어 하의 서버인 통신 네트워크에서, 상기 제 1 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치로 리소스 요청을 발행하고, 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치를 인증하는 데에 사용하기 위한 제 1 식별자를 상기 제 1 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치로 제공하되, 상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치를 인증할 수 없는 경우에,
    상기 제 1 컴퓨팅 장치가 제공한 상기 제 1 식별자와 상기 제 1 컴퓨팅 장치가 가입자로서 상기 통신 네트워크에 액세스하기 위해 사용하는 제 2 식별자 사이에 상관 관계가 존재할 때, 상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계―상기 제 1 컴퓨팅 장치와 상기 제 3 컴퓨팅 장치 사이의 성공적 인증 교환 시에, 상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치로 리디렉션하면서 암호로 서명된 인증 결과를 상기 제 1 컴퓨팅 장치로 송신하고, 그에 따라 상기 제 1 컴퓨팅 장치가 상기 암호로 서명된 인증 결과를 상기 제 2 컴퓨팅 장치로 송신하고, 상기 제 2 컴퓨팅 장치는 상기 제 1 컴퓨팅 장치가 발행한 상기 리소스 요청에 대해 응답함―를 포함하는
    방법.
  2. 제1항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계는 상기 제 3 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치로부터 인증 요청을 수신하는 단계를 더 포함하는
    방법.
  3. 제2항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계는 상기 제 3 컴퓨팅 장치가, 상기 제 1 컴퓨팅 장치가 제공한 상기 제 1 식별자와 상기 제 1 컴퓨팅 장치가 가입자로서 상기 통신 네트워크에 액세스하기 위해 사용하는 상기 제 2 식별자 사이의 상관 관계를 검사하는 단계를 더 포함하는
    방법.
  4. 제3항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계는 상기 제 3 컴퓨팅 장치가 상기 상관 관계가 존재할 때, 인증 챌린지(authentication challenge)를 상기 제 1 컴퓨팅 장치로 송신하는 단계를 더 포함하는
    방법.
  5. 제4항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계는, 상기 제 1 컴퓨팅 장치가 상기 인증 챌린지에 기초하여 인증 응답(authentication response)을 상기 제 3 컴퓨팅 장치로 송신하는 것에 응답하여, 상기 제 3 컴퓨팅 장치가 상기 인증 응답의 검증을 시도하는 단계를 더 포함하는
    방법.
  6. 제5항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치의 인증을 지원하는 단계는 상기 인증 응답이 상기 제 3 컴퓨팅 장치에 의해 검증될 때, 상기 제 3 컴퓨팅 장치가 암호로 서명된 인증 결과를 상기 제 1 컴퓨팅 장치로 송신하여, 상기 제 1 컴퓨팅 장치가 상기 암호로 서명된 인증 결과를 상기 제 2 컴퓨팅 장치로 송신하고, 상기 암호로 서명된 인증 결과가 검증될 때, 상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치가 발행한 송신된 상기 리소스 요청에 대해 응답하는 단계를 더 포함하는
    방법.
  7. 제6항에 있어서,
    상기 제 3 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치로 송신한 상기 암호로 서명된 인증 결과는 상기 제 3 컴퓨팅 장치와 상기 제 2 컴퓨팅 장치 사이에 합의된 키를 이용하여 서명되는
    방법.
  8. 제1항에 있어서,
    상기 제 1 컴퓨팅 장치에 대한 상기 제 1 식별자는 오픈 소스 기반 식별자를 포함하는
    방법.
  9. 제 1 컴퓨팅 장치가 클라이언트 장치이고, 제 2 컴퓨팅 장치가 애플리케이션 서버이며, 제 3 컴퓨팅 장치가 통신 네트워크의 운영자의 제어 하의 서버인 통신 네트워크에서의 방법으로서,
    상기 제 1 컴퓨팅 장치가 리소스 요청을 상기 제 2 컴퓨팅 장치로 발행하는 단계와,
    상기 제 1 컴퓨팅 장치가, 상기 제 2 컴퓨팅 장치에 대해 상기 제 1 컴퓨팅 장치를 인증하는 데에 사용하기 위한 제 1 식별자를, 상기 제 2 컴퓨팅 장치로 제공하는 단계와,
    상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치를 인증할 수 없을 때, 상기 제 1 컴퓨팅 장치의 인증을 지원하기 위해 상기 제 3 컴퓨팅 장치를 호출하는 단계와,
    상기 제 1 컴퓨팅 장치가 제공한 상기 제 1 식별자와 상기 제 1 컴퓨팅 장치가 가입자로서 상기 통신 네트워크에 액세스하기 위해 사용하는 제 2 식별자의 사이에 상관 관계가 존재할 때에 상기 제 3 컴퓨팅 장치가 상기 인증을 지원하는 단계―상기 제 1 컴퓨팅 장치와 상기 제 3 컴퓨팅 장치 사이의 성공적 인증 교환 시에, 상기 제 3 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치로 리디렉션하면서 암호로 서명된 인증 결과를 상기 제 1 컴퓨팅 장치로 송신하고 그에 따라, 상기 제 1 컴퓨팅 장치가 상기 암호로 서명된 인증 결과를 상기 제 2 컴퓨팅 장치로 송신하며, 상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치가 발행한 상기 리소스 요청에 대해 응답함―를 포함하는
    방법.
  10. 제 1 컴퓨팅 장치가 클라이언트 장치이고, 제 2 컴퓨팅 장치가 애플리케이션 서버이며, 제 3 컴퓨팅 장치가 통신 네트워크의 운영자의 제어 하의 서버인 통신 네트워크에서의 방법으로서,
    상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치가 발행한 리소스 요청을 수신하는 단계와,
    상기 제 2 컴퓨팅 장치가 상기 제 2 컴퓨팅 장치에 대한 상기 제 1 컴퓨팅 장치를 인증하는 데에 사용하기 위한 제 1 식별자를 상기 제 1 컴퓨팅 장치로부터 수신하는 단계와,
    상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치를 인증할 수 없다는 것에 응답하여, 상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치의 인증을 위해 상기 제 3 컴퓨팅 장치의 지원을 호출하는 단계와,
    상기 제 1 컴퓨팅 장치로부터의 상기 제 1 식별자와 상기 제 1 컴퓨팅 장치가 가입자로서 상기 통신 네트워크에 액세스하기 위해 사용하는 제 2 식별자의 사이에 상관 관계가 존재할 때에 상기 제 3 컴퓨팅 장치가 상기 인증을 지원하는 단계―상기 제 1 컴퓨팅 장치와 상기 제 3 컴퓨팅 장치 사이의 성공적인 인증 교환 시에, 상기 제 3 컴퓨팅 장치는 상기 제 2 컴퓨팅 장치로 리디렉션하면서 암호로 서명된 인증 결과를 상기 제 1 컴퓨팅 장치로 송신하고, 그에 따라, 상기 제 1 컴퓨팅 장치가 상기 암호로 서명된 인증 결과를 상기 제 2 컴퓨팅 장치로 송신하며, 상기 제 2 컴퓨팅 장치가 상기 제 1 컴퓨팅 장치가 발행한 상기 리소스 요청에 대해 응답함―를 포함하는
    방법.
KR1020117023592A 2009-04-09 2010-03-18 네트워크 운영자에 의해 제공되는 id 관리 서비스 KR101324325B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US16805709P 2009-04-09 2009-04-09
US61/168,057 2009-04-09
US12/437,248 US8370509B2 (en) 2009-04-09 2009-05-07 Identity management services provided by network operator
US12/437,248 2009-05-07
PCT/US2010/027808 WO2010117587A2 (en) 2009-04-09 2010-03-18 Identity management services provided by network operator

Publications (2)

Publication Number Publication Date
KR20110126165A KR20110126165A (ko) 2011-11-22
KR101324325B1 true KR101324325B1 (ko) 2013-10-31

Family

ID=42935218

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117023592A KR101324325B1 (ko) 2009-04-09 2010-03-18 네트워크 운영자에 의해 제공되는 id 관리 서비스

Country Status (6)

Country Link
US (1) US8370509B2 (ko)
EP (1) EP2417790B1 (ko)
JP (1) JP5490874B2 (ko)
KR (1) KR101324325B1 (ko)
CN (1) CN102388638B (ko)
WO (1) WO2010117587A2 (ko)

Families Citing this family (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
CN101507233B (zh) * 2006-08-22 2013-02-13 交互数字技术公司 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US20090249078A1 (en) * 2008-03-28 2009-10-01 Electronics And Telecommunications Research Institute Open id authentication method using identity selector
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
US8370509B2 (en) 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US9167028B1 (en) * 2009-09-10 2015-10-20 AppDynamics, Inc. Monitoring distributed web application transactions
US8938533B1 (en) * 2009-09-10 2015-01-20 AppDynamics Inc. Automatic capture of diagnostic data based on transaction behavior learning
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
CN102457509B (zh) * 2010-11-02 2015-09-16 中兴通讯股份有限公司 云计算资源安全访问方法、装置及系统
EP2637351A4 (en) * 2010-11-04 2016-09-07 Zte Corp PROCESS AND SYSTEM FOR ONE-CLOSURE NOTIFICATIONS
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
WO2012065128A1 (en) * 2010-11-11 2012-05-18 Ebay Inc. Quick payment using mobile device binding
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US9432282B2 (en) * 2011-02-24 2016-08-30 The University Of Tulsa Network-based hyperspeed communication and defense
US8978100B2 (en) * 2011-03-14 2015-03-10 Verizon Patent And Licensing Inc. Policy-based authentication
CN107070843A (zh) * 2011-04-28 2017-08-18 交互数字专利控股公司 一种用户设备以及在用户设备中的方法
WO2013003535A1 (en) * 2011-06-28 2013-01-03 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols
CN102891832B (zh) * 2011-07-20 2015-11-25 腾讯科技(深圳)有限公司 身份标识绑定方法及系统
US9311598B1 (en) 2012-02-02 2016-04-12 AppDynamics, Inc. Automatic capture of detailed analysis information for web application outliers with very low overhead
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
US9001977B1 (en) * 2012-11-20 2015-04-07 Amazon Technologies, Inc. Telephone-based user authentication
US9930078B2 (en) * 2012-11-28 2018-03-27 Facebook, Inc. Third-party communications to social networking system users using user descriptors
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9350754B2 (en) * 2013-07-18 2016-05-24 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Mitigating a cyber-security attack by changing a network address of a system under attack
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
US20150128236A1 (en) * 2013-11-04 2015-05-07 Google Inc. Systems and Methods for Verifying a User Based on Reputational Information
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US20150381368A1 (en) * 2014-06-27 2015-12-31 William A. Stevens, Jr. Technologies for secure offline activation of hardware features
CN104469765B (zh) * 2014-07-28 2020-10-23 北京佰才邦技术有限公司 用于移动通信系统中的终端认证方法和装置
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
EP3292475B1 (en) 2015-05-07 2020-07-08 Appbus, Inc. Secure container platform for resource access and placement on unmanaged and unsecured devices
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
US11297111B2 (en) 2015-06-30 2022-04-05 Blackberry Limited Establishing a session initiation protocol session
US9451421B1 (en) * 2015-06-30 2016-09-20 Blackberry Limited Method and system to authenticate multiple IMS identities
CN106817347A (zh) * 2015-11-27 2017-06-09 中兴通讯股份有限公司 第三方应用认证方法、认证服务器、终端及管理服务器
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10171467B2 (en) * 2016-07-21 2019-01-01 International Business Machines Corporation Detection of authorization across systems
US10154067B2 (en) 2017-02-10 2018-12-11 Edgewise Networks, Inc. Network application security policy enforcement
US10439985B2 (en) 2017-02-15 2019-10-08 Edgewise Networks, Inc. Network application security policy generation
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks
WO2019094655A1 (en) 2017-11-10 2019-05-16 Edgewise Networks, Inc. Automated load balancer discovery
US11093638B2 (en) 2019-04-05 2021-08-17 Online Media Holdings Ltd Distributed management of user privacy information
US11140170B2 (en) 2019-04-05 2021-10-05 Online Media Holdings Ltd Network-based partial and full user identification techniques
JP7429609B2 (ja) * 2020-06-04 2024-02-08 株式会社東海理化電機製作所 処理装置、システム、プログラム、および照合装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127320A1 (en) 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6490513B1 (en) * 2001-08-22 2002-12-03 Matsushita Electrical Industrial Co., Ltd. Automobile data archive system having securely authenticated instrumentation data storage
ATE367043T1 (de) * 2002-05-24 2007-08-15 Ericsson Telefon Ab L M Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
JP4291213B2 (ja) * 2004-05-26 2009-07-08 日本電信電話株式会社 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
US8904040B2 (en) * 2004-10-29 2014-12-02 Go Daddy Operating Company, LLC Digital identity validation
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
JP5040367B2 (ja) * 2007-03-02 2012-10-03 日本電気株式会社 サービス連携システム、サービス連携方法、およびサービス連携プログラム
EP2106093A1 (en) * 2008-03-28 2009-09-30 British Telecommunications Public Limited Company Devolved authentication
EP2107757A1 (en) * 2008-03-31 2009-10-07 British Telecommunications Public Limited Company Identity management
JP2009282561A (ja) * 2008-05-19 2009-12-03 Kddi Corp ユーザ認証システム、ユーザ認証方法およびプログラム
US8250635B2 (en) * 2008-07-13 2012-08-21 International Business Machines Corporation Enabling authentication of openID user when requested identity provider is unavailable
US9749309B2 (en) * 2008-09-12 2017-08-29 Nokia Solutions And Networks Oy Identity management system
US8881248B2 (en) * 2008-10-06 2014-11-04 Nokia Solutions And Networks Oy Service provider access
WO2010041347A1 (en) * 2008-10-10 2010-04-15 Telefonaktiebolaget L M Ericsson (Publ) Gateway apparatus, authentication server, control method thereof and computer program
US8370509B2 (en) 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080127320A1 (en) 2004-10-26 2008-05-29 Paolo De Lutiis Method and System For Transparently Authenticating a Mobile User to Access Web Services

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Peter Weik 외 1명, Towards a Generic Identity Enabler for Telco Networks, 12TH INTERNATIONAL CONFERENCE ON INTELLIGENT SERVICE DELIVERY NETWORKS. ICIN 2008. *

Also Published As

Publication number Publication date
EP2417790A2 (en) 2012-02-15
CN102388638A (zh) 2012-03-21
WO2010117587A3 (en) 2011-04-21
WO2010117587A2 (en) 2010-10-14
KR20110126165A (ko) 2011-11-22
US20100262703A1 (en) 2010-10-14
EP2417790B1 (en) 2020-04-22
JP2012523614A (ja) 2012-10-04
CN102388638B (zh) 2015-04-29
US8370509B2 (en) 2013-02-05
JP5490874B2 (ja) 2014-05-14

Similar Documents

Publication Publication Date Title
KR101324325B1 (ko) 네트워크 운영자에 의해 제공되는 id 관리 서비스
JP5603485B2 (ja) パケットネットワークにおけるアプリケーションレイヤ認証
US10284555B2 (en) User equipment credential system
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
KR101038064B1 (ko) 애플리케이션 인증
US8321670B2 (en) Securing dynamic authorization messages
US8943321B2 (en) User identity management for permitting interworking of a bootstrapping architecture and a shared identity service
US20060059344A1 (en) Service authentication
Rasol et al. An improved secure SIP registration mechanism to avoid VoIP threats
Beekman et al. Breaking Cell Phone Authentication: Vulnerabilities in {AKA},{IMS}, and Android
Wu et al. Practical authentication scheme for SIP
Song et al. Design and security analysis of improved identity management protocol for 5G/IoT networks
US9485654B2 (en) Method and apparatus for supporting single sign-on in a mobile communication system
Corella et al. Security analysis of double redirection protocols
Hagalisletto et al. Formal modeling of authentication in SIP registration
Torvinen et al. Hypertext transfer protocol (HTTP) digest authentication using authentication and key agreement (AKA) Version-2
Maidine et al. Cloud Identity Management Mechanisms and Issues
Thagadur Prakash Enhancements to Secure Bootstrapping of Smart Appliances
Latze Towards a secure and user friendly authentication method for public wireless networks
Deebak et al. Analyzing Threefold Schemes for Enhancing Communication Channel Efficiencies Using IP Multimedia Server–Client Systems for LTE Networks
Hagalisletto et al. Formal modeling of authentication in SIP
Torvinen et al. RFC 4169: Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA) Version-2
Wahle Design and Implementation of HTTP-Based Authentication Infrastructure for Service Access to the IP Multimedia Subsystem
KR20120054949A (ko) 사용자 중심의 동적 신뢰 관계 형성 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant