KR101578089B1 - 인증 메커니즘 - Google Patents

인증 메커니즘 Download PDF

Info

Publication number
KR101578089B1
KR101578089B1 KR1020147009729A KR20147009729A KR101578089B1 KR 101578089 B1 KR101578089 B1 KR 101578089B1 KR 1020147009729 A KR1020147009729 A KR 1020147009729A KR 20147009729 A KR20147009729 A KR 20147009729A KR 101578089 B1 KR101578089 B1 KR 101578089B1
Authority
KR
South Korea
Prior art keywords
machine
platform
application
network application
network
Prior art date
Application number
KR1020147009729A
Other languages
English (en)
Other versions
KR20140072890A (ko
Inventor
후 딩
샤오준 순
Original Assignee
노키아 솔루션스 앤드 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 솔루션스 앤드 네트웍스 오와이 filed Critical 노키아 솔루션스 앤드 네트웍스 오와이
Publication of KR20140072890A publication Critical patent/KR20140072890A/ko
Application granted granted Critical
Publication of KR101578089B1 publication Critical patent/KR101578089B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

머신-투-머신(M2M) 디바이스의 디바이스 애플리케이션 부분 및 서비스 능력 부분 양측 모두가 M2M 플랫폼에 대해 인증될 수 있는 방법이 제공된다. 첫째, M2M 디바이스의 서비스 능력 부분이 M2M 플랫폼에서 인증되고; 이러한 단계에서, M2M 디바이스는 부분적으로 인증된 상태에 진입한다. 다음으로, 디바이스 애플리케이션 부분이 M2M 시스템의 네트워크 애플리케이션에서 인증된다. M2M 디바이스가, 부분적으로 인증된 상태로부터 완전히 인증된 상태로 이동하도록 하기 위해, 디바이스 애플리케이션의 인증이 M2M 플랫폼에 알려진다.

Description

인증 메커니즘 {AUTHENTICATION MECHANISM}
본 발명은 인증(authentication)에 관한 것이다. 특히, 본 발명은 머신-투-머신(M2M; machine-to-machine) 애플리케이션들에서의 인증에 관한 것이다.
도 1은, 일반적으로 참조 번호 1로 표시되는 시스템의 블록도이다. 시스템(1)은 제 1 M2M 디바이스(2), 제 2 M2M 디바이스(4), 제 3 M2M 디바이스(6), 네트워크(8), 및 네트워크 애플리케이션(10)을 포함한다.
시스템(1)의 머신-투-머신(M2M) 디바이스들, 이를 테면 디바이스들(2, 4, 및 6)은, 다른 머신들 또는 애플리케이션들, 이를 테면 네트워크 애플리케이션(10)에 데이터를 제공하기 위해 이용된다. 이러한 데이터는 네트워크, 이를 테면 네트워크(8)를 통해 전송된다. 네트워크(8)는 무선 네트워크일 수 있다. 예를 들어, 네트워크(8)는 모바일 네트워크 제공자에 의해 제공될 수 있다.
센서들과 같은 디바이스들이, 소프트웨어 프로그램들과 같은 애플리케이션들에 데이터를 제공하는 M2M 애플리케이션들은 잘 확립되고 있다. M2M 시스템들은, 단순하고, 효율적이고, 신뢰적인 데이터 리포팅 및 기록 시스템들을 제공하기 위해 기존의 모바일 통신 인프라스트럭처 상에 구축될 수 있다.
예로서, 시스템(1)은 스마트 계량 시스템(smart metering system)일 수 있다. 디바이스들(2, 4, 및 6)은, 특정 사이트(이를 테면, 사용자의 집)에서 소비되는 계량된(metered) 자원(이를 테면, 전기)의 양에 관한 데이터를 획득하는 센서들일 수 있다. 이러한 데이터는 네트워크(8)를 통해 애플리케이션(10)에 전송된다. 애플리케이션(10)은, 그에 따라, 계량된 자원의 사용자들에게 빌링(bill)하는 빌링 시스템일 수 있다.
도 2는, 일반적으로 참조 번호 20으로 표시되고, M2M 디바이스(22), M2M 플랫폼(24), 및 네트워크 애플리케이션(26)을 포함하는 시스템을 도시한다. M2M 디바이스(22)는 논리적으로 2개의 부분들: 서비스 능력들(SC; service capabilities) 부분(28) 및 하나 또는 다수의 디바이스 애플리케이션(DA; device application) 부분들(30)로 분할된다.
상기 하나 또는 다수의 디바이스 애플리케이션(DA) 부분들(30)은 상기 서비스 능력들(SC) 부분(28) 상에 구축되고, 이는, DA 부분(30)이 단지, SC 부분(28)을 통해서만 M2M 플랫폼(24) 또는 NA(26)와 통신할 수 있다는 것을 의미한다.
시스템(20)의 일 예시적인 이용 경우는 스마트 계량이다. 스마트 계량기(smart meter)(M2M 디바이스(22))에서, SC 계층(28)은 통신 채널 및 다른 코어 M2M 서비스들을 M2M 디바이스(22)와 M2M 플랫폼(24) 사이에서 제공한다. DA 계층(30)에서, 계량 애플리케이션 컴포넌트는, 계량 데이터를 M2M 플랫폼(24) 및 스마트 그리드(Smart Grid) 네트워크 애플리케이션(26)에 리포팅하는 것을 담당한다. 여기서, M2M 플랫폼들은 통상적으로 통신 서비스 제공자(CSP; communication service provider)에 의해 실행될 수 있고, 스마트 그리드 네트워크 애플리케이션은 통상적으로 전력 그리드 엔터프라이즈(power grid enterprise)들에 의해 실행될 수 있다.
M2M 디바이스(자신의 애플리케이션 부분을 포함함)가 M2M 플랫폼에 액세스하도록 허용되기 전에, 인증이 요구된다. 상기 인증은, M2M 플랫폼(이를 테면, 플랫폼(24))이, 무효(invalid) M2M 디바이스들로부터의 요청들을 거절하고, 유효(valid) M2M 디바이스들로부터의 요청들을 수용하고, 그러한 디바이스들 및 그러한 디바이스들 상에서 실행되는 애플리케이션들의 구성 또는 속성들에 기초하여 가입된 플랫폼 서비스들을 제공하는 것을 가능하게 한다.
대부분의 네트워크 애플리케이션들은 M2M 플랫폼 오퍼레이터 이외의 서비스 제공자들에 의해 제공되고, 그러므로 DA들(이를 테면, DA(30))이, M2M 플랫폼 오퍼레이터의 제어의 밖에 있는 서비스 제공자들에 의해 제공될 수 있다. 예시적인 시스템(20)에서, M2M 디바이스(22)의 SC 부분(28) 및 DA 부분(30) 양측 모두가 인증되어야 한다.
시스템(20)은 단일 M2M 디바이스(22) 및 단일 네트워크 애플리케이션(26)을 포함한다. 많은 실제 시스템들은 다수의 M2M 디바이스들 및/또는 다수의 네트워크 애플리케이션들을 포함할 것이고, 상당한 유연성을 제공할 수 있다.
예로서, 도 3은 일반적으로 참조 번호 35로 표시되고, 복수의 M2M 디바이스들(22a, 22b, 22c...22n), M2M 플랫폼(24), 및 복수의 네트워크 애플리케이션들(26a, 26b, 26c...26n)을 포함하는 시스템을 도시한다. 복수의 M2M 디바이스들 각각 및 네트워크 애플리케이션들 각각은 M2M 플랫폼(24)과 양방향(two-way) 통신한다.
M2M 플랫폼(24)은, 복수의 M2M 디바이스들로부터 전송된 데이터를 수집 및 캐싱(caching)하는 것과 같은 서비스 능력들을 갖도록 설계된다. 이러한 데이터는 네트워크 애플리케이션들 중 하나 이상에 의해 소비될 것이다. M2M 디바이스 상에서 실행되는 악의적인(malicious) 또는 기능 불량(mal-functioned) DA가 데이터 ― 그러나, 그러한 데이터를 소비할 네트워크 애플리케이션 없이 ― 를 생성하는 것이 가능하다. 따라서, 자원들, 이를 테면 CPU(Central Processing Unit), 네트워크 대역폭, 및 데이터 캐시가 낭비된다. 더욱이, 악의적인 M2M 디바이스들이 네트워크, 네트워크 애플리케이션, 또는 M2M 플랫폼을 공격할 수 있고, 이는, M2M 플랫폼이 개발될 때, 예견되지 않는다.
시스템(35)에서 다양한 M2M 디바이스들에 의해 제공되는 상이한 디바이스 애플리케이션들은 데이터를 상이한 네트워크 애플리케이션들에 제공할 수 있고, (데이터를 동일한 네트워크 애플리케이션에 공급할지라도) 상이한 액세스 권리들 또는 차징 방식(charging scheme)들을 가질 수 있다. 따라서, M2M 플랫폼(24)은 상이한 디바이스 애플리케이션들(DA들)을 상이하게 다룰 필요가 있다.
M2M 플랫폼(24)은 통상적으로, (과금(accounting), 빌링 등 같은) 부가-가치 서비스(value added service)들의 제공을 가능하게 하기 위해, 각각의 디바이스 애플리케이션(DA)의 거동들을 추적(trace) 또는 감사(audit)할 필요가 있다. 이것을 하기 위해, M2M 플랫폼은 DA들, 특히 동일한 SC를 공유하는 DA들을 식별할 필요가 있다.
당 분야에서, 네트워크 애플리케이션에 대한 DA 인증이, M2M 플랫폼에 대한 SC 인증 후에 별도로(separately) 발생하는 것이 통상적이다. 분리(separation)로 인해, SC는 자신 상의 또는 자신과 연관된 DA(들)을 알지 못하고, 그러므로 DA(들)을 제어할 수 없다.
따라서, 본 발명은, 상기 기술된 통상의 시스템들의 단점들 및/또는 문제들 모두를 또는 몇몇을 적어도 부분적으로 해결하는 것을 추구한다.
본 발명에 제 1 양상에 따르면, 머신-투-머신 플랫폼을 동작시키는 방법이 제공되고, 방법은: 부분적으로 인증된 상태(partially authenticated state)에 진입(enter)하기 위해 머신-투-머신 디바이스의 서비스 능력 부분을 인증하는 단계; 및 완전히 인증된 상태(fully authenticated state)에 진입하기 위해 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리는 통지를 네트워크 애플리케이션으로부터 수신하는 단계를 포함한다.
그러므로, 머신-투-머신 플랫폼은 머신-투-머신 디바이스의 서비스 능력 부분을 인증할 뿐만 아니라, 머신-투-머신 디바이스의 하나 이상의 애플리케이션 부분(들)의 인증을 통지받는다. 일단 머신-투-머신 플랫폼이, 부분들 양측 모두의 인증을 알게 되면, 머신-투-머신 플랫폼이 머신-투-머신 디바이스의 서비스 요청들을 이행하는 것을 가능하게 하는, 완전히 인증된 상태에 진입한다.
통지는, 머신-투-머신 플랫폼이 디바이스 애플리케이션에 제어를 적용하는 것을 가능하게 하기 위해 디바이스 애플리케이션에 관한 하나 이상의 파라미터들을 포함할 수 있다.
방법은, 디바이스 애플리케이션으로부터 서비스 요청을 수신하는 단계; 및 디바이스 애플리케이션에 대한 통지를 네트워크 애플리케이션에 요청하는 단계를 더 포함할 수 있다.
방법은, 일단 완전히 인증된 상태에 진입하면, 디바이스 애플리케이션에 서비스들을 제공하는 단계를 더 포함할 수 있다.
본 발명의 제 2 양상에 따르면, 머신-투-머신 플랫폼이 제공되며, 머신-투-머신 플랫폼은: 부분적으로 인증된 상태에 진입하기 위해 머신-투-머신 디바이스의 서비스 능력 부분을 인증하도록 구성된 프로세서; 및 완전히 인증된 상태에 진입하기 위해 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리는 통지를 네트워크 애플리케이션으로부터 수신하도록 구성된 제 1 입력부를 포함한다.
머신-투-머신 플랫폼은, 디바이스 애플리케이션으로부터 서비스 요청을 수신하도록 구성된 제 2 입력부; 및 디바이스 애플리케이션에 대한 통지를 네트워크 애플리케이션에 요청하도록 구성된 제 1 출력부를 더 포함할 수 있다.
머신-투-머신 플랫폼은, 일단 완전히 인증된 상태에 진입하면, 디바이스 애플리케이션에 서비스들을 제공하도록 구성된 제 2 출력부를 더 포함할 수 있다.
제 1 입력부 및 제 2 입력부는 동일한 입력부 또는 상이한 입력부들일 수 있다. 제 1 출력부 및 제 2 출력부는 동일한 출력부들 또는 상이한 출력부들일 수 있다.
머신-투-머신 플랫폼은 하드웨어, 소프트웨어, 또는 이들의 임의의 결합을 이용하여 구성될 수 있다.
본 발명의 제 3 양상에 따르면, 컴퓨터 판독가능 실행가능 코드를 포함하는 컴퓨터 프로그램 물건이 제공되며, 컴퓨터 판독가능 실행가능 코드는: 부분적으로 인증된 상태에 진입하기 위해 머신-투-머신 디바이스의 서비스 능력 부분을 인증하는 것; 및 완전히 인증된 상태에 진입하기 위해 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리는 통지를 네트워크 애플리케이션으로부터 수신하는 것을 위한 것이다.
본 발명의 제 4 양상에 따르면, 네트워크 애플리케이션을 동작시키는 방법이 제공되며, 방법은: 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하는 단계; 및 머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리기 위해, 통지를 머신-투-머신 플랫폼에 전송하는 단계를 포함한다.
따라서, 네트워크 애플리케이션은 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하고, 머신-투-머신 플랫폼이 머신-투-머신 디바이스에 서비스들을 제공하는 것을 가능하게 하는 완전히 인증된 상태에 머신-투-머신 플랫폼이 진입할 수 있도록, 인증을 머신-투-머신 플랫폼에 알린다.
방법은, 통지에 대한 요청을 머신-투-머신 플랫폼으로부터 수신하는 단계를 더 포함할 수 있다.
방법은, 디바이스 애플리케이션 부분에 관한 하나 이상의 파라미터들을 결정하는 단계; 및 하나 이상의 파라미터들을 통지에 포함시키는 단계를 더 포함할 수 있다.
본 발명의 제 5 양상에 따르면, 네트워크 애플리케이션이 제공되며, 네트워크 애플리케이션은: 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하도록 구성된 제 1 프로세서; 및 머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리기 위해, 통지를 머신-투-머신 플랫폼에 전송하도록 구성된 출력부를 포함한다.
네트워크 애플리케이션은, 통지에 대한 요청을 머신-투-머신 플랫폼으로부터 수신하도록 구성된 입력부를 더 포함할 수 있다.
네트워크 애플리케이션은, 디바이스 애플리케이션 부분에 관한 하나 이상의 파라미터들을 결정하도록 구성된 제 2 프로세서; 및 하나 이상의 파라미터들을 통지에 포함시키도록 구성된 제 3 프로세서를 더 포함할 수 있다.
제 1 프로세서, 제 2 프로세서, 및 제 3 프로세서는 동일한 프로세서, 상이한 프로세서들, 또는 이들의 임의의 결합일 수 있다. 네트워크 애플리케이션은 하드웨어, 소프트웨어, 또는 이들의 임의의 결합에 의해 구성될 수 있다.
본 발명의 제 6 양상에 따르면, 컴퓨터 판독가능 실행가능 코드를 포함하는 컴퓨터 프로그램 물건이 제공되며, 컴퓨터 판독가능 실행가능 코드는: 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하는 것; 및 머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리기 위해, 통지를 머신-투-머신 플랫폼에 전송하는 것을 위한 것이다.
본 발명의 제 7 양상에 따르면, 머신-투-머신 디바이스를 인증하는 방법이 제공되며, 방법은: 부분적으로 인증된 상태에 진입하기 위해 머신-투-머신 플랫폼에서 머신-투-머신 디바이스의 서비스 능력 부분을 인증하는 단계; 네트워크 애플리케이션에서 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하는 단계 ― 네트워크 애플리케이션은 머신-투-머신 플랫폼과 통신함 ―; 및 완전히 인증된 상태에 진입하기 위해 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리는 단계를 포함한다.
본 발명의 제 8 양상에 따르면, 머신-투-머신 시스템이 제공되며, 머신-투-머신 시스템은: 부분적으로 인증된 상태에 진입하기 위해 머신-투-머신 플랫폼에서 머신-투-머신 디바이스의 서비스 능력 부분을 인증하도록 구성된 머신-투-머신 플랫폼; 네트워크 애플리케이션에서 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하도록 구성된 네트워크 애플리케이션을 포함하고, 네트워크 애플리케이션은 머신-투-머신 플랫폼과 통신하고, 네트워크 애플리케이션은, 완전히 인증된 상태에 진입하기 위해 네트워크 애플리케이션에서의 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리도록 추가로 구성된다.
본 발명의 예시적인 실시예들이, 단지 예시로만, 다음의 넘버링된 도면들과 관련하여, 아래에서 기술된다.
도 1은 머신-투-머신 시스템의 블록도이고;
도 2는 머신-투-머신 시스템의 블록도이고;
도 3은 머신-투-머신 시스템의 블록도이고;
도 4는 본 발명의 양상에 따른 알고리즘을 도시하고; 그리고
도 5는 본 발명의 양상에 따른 메시지 흐름도이다.
상기 언급된 문제들을 해결하기 위해, 본 발명은, M2M 플랫폼(이를 테면, 플랫폼(24))이 디바이스 애플리케이션 아이덴티티들(이를 테면, DA(30))을 알게 하고, 그 다음으로 이들을 제어할 수 있게 하는 프로세스를 제안한다. 이는, 아래에서 추가로 기술되는 바와 같이, NA와 M2M 플랫폼 사이에 통지 프로세스를 부가함으로써 달성된다.
도 4는 본 발명의 양상에 따른, 일반적으로 참조 번호 40으로 표시되는 알고리즘을 도시한다.
알고리즘(40)은, M2M 디바이스의 서비스 능력들 부분(28)이 M2M 플랫폼(32)에서 인증되는 단계(42)에서 시작된다. 인증 단계(42)는, 많은 상이한 방식들로 수행될 수 있고, 당 분야에서 통상적이다.
단계(42)에서의 SC 부분의 인증에 응답하여, M2M 디바이스는 "부분적으로 인증된 상태"에 진입한다(알고리즘(40)의 단계(44)). 부분적으로 인증된 상태에서, 디바이스는 네트워크 및 플랫폼 서비스들에 대한 제한된 액세스를 가질 수 있다.
실시예들 중 많은 실시예들에서, M2M 플랫폼은, 하나 이상의 DA(들)(30)의 인증의 통지를 네트워크 애플리케이션(26)에 요청할 수 있다(메시지(45)).
다음으로, M2M 플랫폼이 네트워크 애플리케이션(26)에 DA(들)(30)의 인증의 통지를 요청하였든 요청하지 않았든, 디바이스 애플리케이션(30)은 네트워크 애플리케이션(26)에서 인증된다(단계(46)). 인증 단계(42)에서와 같이, 인증 단계(46) 그 자체는 통상적이다. DA(30)가 인증됨에 따라, 네트워크 애플리케이션(26)은 통지 메시지를 M2M 플랫폼(32)에 전송한다(메시지(48)). 통지 메시지는, M2M 플랫폼이 제어를 DA(30)에 적용하는 것 및/또는 DA(30)를 제어하는 것을 가능하게 하는 하나 이상의 파라미터들(여기서, 파라미터들은 속성들을 포함함)을 포함할 수 있다.
이러한 단계에서, M2M 디바이스의 SC 부분(28) 및 DA 부분(들)(30) 양측 모두는 M2M 플랫폼에서 인증된다. 따라서, M2M 디바이스는 M2M 플랫폼에 "완전히 인증된 상태"에 진입한다(단계(50)). 그 다음으로, M2M 플랫폼은 서비스들을 DA(30)에 제공할 수 있다(메시지(52)).
따라서, 부분적으로 인증된 상태에서, 클라이언트의 DA 계층이 서비스들에 액세스하기를 원할 때, M2M 플랫폼은, 연관된 네트워크 애플리케이션에 의해 상기 DA 계층이 인증될 것을 요청할 것이다. DA가 NA에 의해 인증되고, 이것이 M2M 플랫폼에 통지된 후에, 플랫폼은 M2M 디바이스들을 완전히 인증된 상태로 변경한다. 그 다음으로, M2M 플랫폼은 서비스들을, 이러한 완전히 인증된 DA에 제공할 수 있다. 그렇지 않으면, DA로부터의 미래의 서비스 요청들은 거절될 것이다.
도 5는, 잘-알려진 SAML(security assertion markup language)을 이용한 알고리즘(40)의 예시적인 구현을 도시하는, 일반적으로 참조 번호 60으로 표시되는 메시지 시퀀스이다.
메시지 시퀀스(60)는 단계(62)에서 시작되고, 이때, M2M 디바이스의 서비스 능력들(SC) 부분(28)이 M2M 플랫폼(32)에서 인증된다. 따라서, 단계(62)는 알고리즘(40)의 단계(42)와 대응한다. 단계(42) 다음에, M2M 디바이스는, 상기 논의된 부분적으로 인증된 상태에 진입한다.
다음으로, 단계(64)에서, 디바이스 애플리케이션(30)이 M2M 플랫폼(32)에 서비스 요청을 한다. 디바이스 애플리케이션(30)이 아직 인증되지 않았기 때문에(즉, SC 부분(28)의 인증에 의해 단지 부분적으로만 인증되었음), M2M 플랫폼(32)은, 인증 요청 메시지(66)를 디바이스 애플리케이션(30)에 전송함으로써 요청(64)에 응답하고, 상기 메시지는 네트워크 애플리케이션(26)에 직접적으로 포워딩된다. 메시지(66)는 예를 들어, SAML 인증 요청일 수 있다.
인증 요청(66)에 응답하여, 네트워크 애플리케이션은 디바이스 애플리케이션(30)을 인증한다(메시지 시퀀스(60)의 단계(68)). 그러므로, 단계(68)는 알고리즘(40)의 단계(46)와 대응한다.
디바이스 애플리케이션이 인증됨에 따라, 네트워크 애플리케이션(NA)(26)은 디바이스 애플리케이션(DA)(30)을 통해 M2M 플랫폼에, 메시지(70)에서, SAML 어설션(assertion)을 전송한다. SAML 어설션은, NA 도메인에서 신뢰받는 DA의 속성들을 포함한다. 메시지(70)를 이용시, M2M 플랫폼은, DA가 인증되었다는 것을 알게 된다. 따라서, 메시지(70)는 알고리즘(40)의 단계(48)를 구현한다.
M2M 플랫폼에서 메시지(70)를 수신하는 즉시, M2M 디바이스는, 상술된 완전히 인증된 상태에 진입하고, (메시지 시퀀스(70)의 메시지(72)에 의해 표시되는 바와 같이) M2M 플랫폼으로부터의 서비스들을 인조이(enjoy)할 수 있다.
본 발명이 특정 인증 프로토콜들로 한정되지 않는다는 것이 유의되어야 한다. 그러므로, 본 발명은 또한, EAP(Extensible Authentication Protocol) 또는 임의의 다른 인증 프로토콜들을 이용하여 구현될 수 있다.
본 발명의 이점들은 다음을 포함한다(그러나, 이에 한정되지 않음):
● M2M 플랫폼이, 인증된 DA의 아이덴티티를 알게됨.
● 인증되지 않은 DA로부터의 요청들이 거절될 것이기 때문에, 악의적인 또는 기능 불량 애플리케이션 DA를 방지함.
● 상이한 DA들이 동일한 M2M 디바이스 상에서 또는 M2M 게이트웨이 뒤에서 실행될지라도, 상이한 네트워크 애플리케이션들로부터 상기 상이한 DA들에 기초하여 차별화된 서비스들이 가능함.
● 향상된 보안.
● 네트워크 애플리케이션들이 DA 인스턴스의 속성들을 어설팅(assert)하고, 그에 따라 M2M 플랫폼에 알릴 수 있음.
● 네트워크 애플리케이션들에 대한 변경들이 거의 없거나 또는 어떠한 변경들도 없이 네트워크 애플리케이션들을 포함하는 것이 용이함.
● 플랫폼이 주어진 M2M 디바이스 상에서 실행되는 DA들을 추적하는 것을 가능하게 하고, 이는 M2M 플랫폼의 서비스 능력들을 확장함.
● M2M 디바이스의 서비스 능력들 부분 및 M2M 디바이스의 디바이스 애플리케이션 부분들 양측 모두가 M2M 플랫폼에 대해 인증되고, 이는, M2M 플랫폼이 자신의 서비스들에 액세스하는 디바이스 애플리케이션들을 제어하는 것을 가능하게 함.
상술된 본 발명의 실시예들은 제한적이기보다는 예시적이다. 상기 디바이스들 및 방법들이, 본 발명의 일반적인 범주로부터 벗어남이 없이 다수의 수정들을 포함할 수 있다는 것이 당업자들에게 명백할 것이다. 본 발명의 범주 내의 모든 이러한 수정들이, 첨부된 청구항들의 범주 내에 있는 한, 본 발명은, 본 발명의 범주 내의 모든 이러한 수정들을 포함하도록 의도된다.

Claims (17)

  1. 머신-투-머신(machine-to-machine) 플랫폼을 동작시키는 방법으로서,
    부분적으로 인증된 상태에 진입하기 위해, 머신-투-머신 디바이스의 서비스 능력(service capability) 부분을 인증하는 단계; 및
    완전히 인증된 상태에 진입하기 위해, 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리는 통지를 상기 네트워크 애플리케이션으로부터 수신하는 단계
    를 포함하는,
    머신-투-머신 플랫폼을 동작시키는 방법.
  2. 제 1 항에 있어서,
    상기 통지는, 상기 머신-투-머신 플랫폼이 상기 디바이스 애플리케이션에 제어를 적용하는 것을 가능하게 하기 위한, 상기 디바이스 애플리케이션에 관한 하나 이상의 파라미터들을 포함하는,
    머신-투-머신 플랫폼을 동작시키는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 디바이스 애플리케이션으로부터 서비스 요청을 수신하는 단계; 및
    상기 디바이스 애플리케이션에 대한 통지를 상기 네트워크 애플리케이션에 요청하는 단계
    를 더 포함하는,
    머신-투-머신 플랫폼을 동작시키는 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    일단 상기 완전히 인증된 상태에 진입하면, 상기 디바이스 애플리케이션에 서비스들을 제공하는 단계
    를 더 포함하는,
    머신-투-머신 플랫폼을 동작시키는 방법.
  5. 머신-투-머신 플랫폼을 위한 디바이스로서,
    부분적으로 인증된 상태에 진입하기 위해, 머신-투-머신 디바이스의 서비스 능력 부분을 인증하도록 구성된 프로세서; 및
    완전히 인증된 상태에 진입하기 위해, 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리는 통지를 상기 네트워크 애플리케이션으로부터 수신하도록 구성된 제 1 입력부
    를 포함하는,
    머신-투-머신 플랫폼을 위한 디바이스.
  6. 제 5 항에 있어서,
    상기 디바이스 애플리케이션으로부터 서비스 요청을 수신하도록 구성된 제 2 입력부; 및
    상기 디바이스 애플리케이션에 대한 통지를 상기 네트워크 애플리케이션에 요청하도록 구성된 제 1 출력부
    를 더 포함하는,
    머신-투-머신 플랫폼을 위한 디바이스.
  7. 제 5 항 또는 제 6 항에 있어서,
    일단 상기 완전히 인증된 상태에 진입하면, 상기 디바이스 애플리케이션에 서비스들을 제공하도록 구성된 제 2 출력부
    를 더 포함하는,
    머신-투-머신 플랫폼을 위한 디바이스.
  8. 컴퓨터 판독가능 저장 매체로서,
    부분적으로 인증된 상태에 진입하기 위해, 머신-투-머신 디바이스의 서비스 능력 부분을 인증하고; 그리고
    완전히 인증된 상태에 진입하기 위해, 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 디바이스 애플리케이션 부분의 인증을 머신-투-머신 플랫폼에 알리는 통지를 상기 네트워크 애플리케이션으로부터 수신하기 위한
    컴퓨터로 실행가능한 코드를 포함하는,
    컴퓨터 판독가능 저장 매체.
  9. 네트워크 애플리케이션을 동작시키는 방법으로서,
    머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하는 단계; 및
    머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 상기 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 상기 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리기 위한 통지를 상기 머신-투-머신 플랫폼에 전송하는 단계
    를 포함하는,
    네트워크 애플리케이션을 동작시키는 방법.
  10. 제 9 항에 있어서,
    상기 통지에 대한 요청을 상기 머신-투-머신 플랫폼으로부터 수신하는 단계
    를 더 포함하는,
    네트워크 애플리케이션을 동작시키는 방법.
  11. 제 9 항 또는 제 10 항에 있어서,
    상기 디바이스 애플리케이션 부분에 관한 하나 이상의 파라미터들을 결정하는 단계; 및
    상기 하나 이상의 파라미터들을 상기 통지에 포함시키는 단계
    를 더 포함하는,
    네트워크 애플리케이션을 동작시키는 방법.
  12. 네트워크 애플리케이션을 위한 디바이스로서,
    머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하도록 구성된 제 1 프로세서; 및
    머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 상기 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 상기 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리기 위한 통지를 상기 머신-투-머신 플랫폼에 전송하도록 구성된 출력부
    를 포함하는,
    네트워크 애플리케이션을 위한 디바이스.
  13. 제 12 항에 있어서,
    상기 통지에 대한 요청을 상기 머신-투-머신 플랫폼으로부터 수신하도록 구성된 입력부
    를 더 포함하는,
    네트워크 애플리케이션을 위한 디바이스.
  14. 제 12 항 또는 제 13 항에 있어서,
    상기 디바이스 애플리케이션 부분에 관한 하나 이상의 파라미터들을 결정하도록 구성된 제 2 프로세서; 및
    상기 하나 이상의 파라미터들을 상기 통지에 포함시키도록 구성된 제 3 프로세서
    를 더 포함하는,
    네트워크 애플리케이션을 위한 디바이스.
  15. 컴퓨터 판독가능 저장 매체로서,
    머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하고; 그리고
    머신-투-머신 플랫폼이 완전히 인증된 상태에 진입할 수 있도록, 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 상기 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리기 위한 통지를 상기 머신-투-머신 플랫폼에 전송하기 위한
    컴퓨터로 실행가능한 코드를 포함하는,
    컴퓨터 판독가능 저장 매체.
  16. 머신-투-머신 디바이스를 인증하는 방법으로서,
    부분적으로 인증된 상태에 진입하기 위해, 머신-투-머신 플랫폼에서 상기 머신-투-머신 디바이스의 서비스 능력 부분을 인증하는 단계;
    네트워크 애플리케이션에서 상기 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하는 단계 ― 상기 네트워크 애플리케이션은 상기 머신-투-머신 플랫폼과 통신함 ―; 및
    완전히 인증된 상태에 진입하기 위해, 상기 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 상기 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리는 단계
    를 포함하는,
    머신-투-머신 디바이스를 인증하는 방법.
  17. 머신-투-머신 시스템으로서,
    부분적으로 인증된 상태에 진입하기 위해, 머신-투-머신 플랫폼에서 머신-투-머신 디바이스의 서비스 능력 부분을 인증하도록 구성된 머신-투-머신 플랫폼;
    네트워크 애플리케이션에서 상기 머신-투-머신 디바이스의 디바이스 애플리케이션 부분을 인증하도록 구성된 네트워크 애플리케이션 ― 상기 네트워크 애플리케이션은 상기 머신-투-머신 플랫폼과 통신함 ―
    을 포함하고,
    상기 네트워크 애플리케이션은, 완전히 인증된 상태에 진입하기 위해, 상기 네트워크 애플리케이션에서의 상기 머신-투-머신 디바이스의 상기 디바이스 애플리케이션 부분의 인증을 상기 머신-투-머신 플랫폼에 알리도록 추가로 구성되는,
    머신-투-머신 시스템.
KR1020147009729A 2011-09-13 2011-09-13 인증 메커니즘 KR101578089B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/079574 WO2013037101A1 (en) 2011-09-13 2011-09-13 Authentication mechanism

Publications (2)

Publication Number Publication Date
KR20140072890A KR20140072890A (ko) 2014-06-13
KR101578089B1 true KR101578089B1 (ko) 2015-12-16

Family

ID=47882521

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147009729A KR101578089B1 (ko) 2011-09-13 2011-09-13 인증 메커니즘

Country Status (5)

Country Link
US (1) US20140351903A1 (ko)
EP (1) EP2756697B1 (ko)
KR (1) KR101578089B1 (ko)
CN (1) CN104041096B (ko)
WO (1) WO2013037101A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190119193A (ko) 2018-03-29 2019-10-22 주식회사 스마트엠투엠 이기종 사물인터넷 플랫폼과 블록체인 인터워킹을 위한 인증인가 시스템 및 방법
US11269839B2 (en) * 2018-06-05 2022-03-08 Oracle International Corporation Authenticated key-value stores supporting partial state

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011082150A1 (en) 2009-12-28 2011-07-07 Interdigital Patent Holdings, Inc. Machine-to-machine gateway architecture

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2364246A1 (en) * 1999-03-12 2000-09-14 Michael P. Nova Systems and methods for network based sensing and distributed sensor, data and memory management
AU2003226079A1 (en) * 2002-04-09 2003-10-27 Sapias, Inc. Asset management platform
US8316152B2 (en) * 2005-02-15 2012-11-20 Qualcomm Incorporated Methods and apparatus for machine-to-machine communications
CA2615659A1 (en) * 2005-07-22 2007-05-10 Yogesh Chunilal Rathod Universal knowledge management and desktop search system
US20070055752A1 (en) * 2005-09-08 2007-03-08 Fiberlink Dynamic network connection based on compliance
US20070294209A1 (en) * 2006-06-20 2007-12-20 Lyle Strub Communication network application activity monitoring and control
WO2008111067A1 (en) * 2007-03-12 2008-09-18 Joliper Ltd. Method of providing a service over a hybrid network and system thereof
AR076088A1 (es) * 2009-03-06 2011-05-18 Interdigital Patent Holding Inc Plataforma de validacion y gestion de dispositivos inalambricos
CN102025496B (zh) * 2009-09-14 2015-06-03 中兴通讯股份有限公司 向机器到机器设备提供机器通信身份模块的系统及方法
US20110182177A1 (en) * 2009-12-08 2011-07-28 Ivo Sedlacek Access control of Machine-to-Machine Communication via a Communications Network
CN102804882B (zh) * 2009-12-22 2015-12-16 交互数字专利控股公司 基于组的机器到机器通信
CN102149084B (zh) * 2010-02-09 2015-05-20 中兴通讯股份有限公司 一种识别m2m终端的方法和系统
EP2360871B1 (en) * 2010-02-15 2016-04-06 Accenture Global Services Limited Machine to machine architecture
EP2375849B1 (en) * 2010-03-29 2015-08-12 Vodafone Holding GmbH Connection management for M2M device in a mobile communication network
CN102238571B (zh) * 2010-04-27 2014-01-01 中兴通讯股份有限公司 物联网m2m业务处理的装置、系统以及方法
CN102238573A (zh) * 2010-04-30 2011-11-09 中兴通讯股份有限公司 一种m2m业务的架构及实现m2m业务的方法
US8929339B2 (en) * 2010-05-04 2015-01-06 Lg Electronics Inc. M2M device which performs communication during network entry and handover, and corresponding method for performing communication
US8631466B2 (en) * 2010-08-03 2014-01-14 Interdigital Patent Holdings, Inc. Machine to-machine (M2M) call flow security
WO2012052806A1 (en) * 2010-10-21 2012-04-26 Nokia Corporation Method and apparatus for access credential provisioning
EP2635991B1 (en) * 2010-11-05 2015-09-16 InterDigital Patent Holdings, Inc. Device validation, distress indication, and remediation
US9071925B2 (en) * 2011-01-05 2015-06-30 Alcatel Lucent System and method for communicating data between an application server and an M2M device
US8898268B2 (en) * 2011-01-28 2014-11-25 Arm Finland Oy Method and apparatus for network management
CN102136976B (zh) * 2011-02-24 2014-12-31 华为技术有限公司 一种机器事务控制方法、装置和系统
US20120284777A1 (en) * 2011-04-15 2012-11-08 Eugenio Caballero Herrero Jose Method for managing data in m2m systems
CN103548392B (zh) * 2011-07-01 2018-07-06 诺基亚技术有限公司 用于向连接装置提供网络访问的方法和装置
CN107613011A (zh) * 2013-02-20 2018-01-19 华为技术有限公司 机器通信操作触发方法和装置
TWI526960B (zh) * 2013-12-23 2016-03-21 財團法人工業技術研究院 媒合裝置與網路服務的方法與系統

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011082150A1 (en) 2009-12-28 2011-07-07 Interdigital Patent Holdings, Inc. Machine-to-machine gateway architecture

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
[표준] "Machine-to-Machine communications (M2M); M2M service requirements", pp. 1-34, ETSI TS 102 689 V1.1.1 (2010.08.)

Also Published As

Publication number Publication date
EP2756697A4 (en) 2015-04-29
CN104041096B (zh) 2018-06-26
EP2756697B1 (en) 2019-04-17
US20140351903A1 (en) 2014-11-27
KR20140072890A (ko) 2014-06-13
CN104041096A (zh) 2014-09-10
EP2756697A1 (en) 2014-07-23
WO2013037101A1 (en) 2013-03-21

Similar Documents

Publication Publication Date Title
Khalid et al. A decentralized lightweight blockchain-based authentication mechanism for IoT systems
US10055561B2 (en) Identity risk score generation and implementation
DE60312911T2 (de) System für mobile Authentifizierung mit reduzierten Authentifizierungsverzögerung
CN102771102B (zh) 分发数字内容的网络及管理方法
Li et al. Providing privacy-aware incentives in mobile sensing systems
Jia et al. A2 chain: a blockchain‐based decentralized authentication scheme for 5G‐enabled IoT
US8495377B2 (en) Enabling secure access to sensor network infrastructure using multiple interfaces and application-based group key selection
CN101873331B (zh) 一种安全认证方法和系统
CN102457509B (zh) 云计算资源安全访问方法、装置及系统
CN107483491A (zh) 一种云环境下分布式存储的访问控制方法
CN103597799A (zh) 服务访问认证方法和系统
KR20140043068A (ko) 애플리케이션 증명을 위한 시스템 및 방법
Chen et al. Lightweight authentication protocol in edge-based smart grid environment
CN103685204A (zh) 基于物联网资源共享平台的资源鉴权方法
CN110276184A (zh) 一种云计算资源授权方法及装置
EP3014806B1 (en) Providing toll-free application data access
CN113676447A (zh) 基于区块链的科技服务平台跨域身份认证方案
CN113542242B (zh) 设备管理方法及设备管理装置
Dayaratne et al. Improving Cybersecurity Situational Awareness in Smart Grid Environments
KR101578089B1 (ko) 인증 메커니즘
Liu et al. A trusted access method in software-defined network
Chen et al. Design of web service single sign-on based on ticket and assertion
Fichtinger et al. Trusted infrastructures for identities
Put et al. PACCo: Privacy-friendly Access Control with Context.
Kim et al. General authentication scheme in user-centric IdM

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant