KR20050117275A - 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 - Google Patents

마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 Download PDF

Info

Publication number
KR20050117275A
KR20050117275A KR1020040042538A KR20040042538A KR20050117275A KR 20050117275 A KR20050117275 A KR 20050117275A KR 1020040042538 A KR1020040042538 A KR 1020040042538A KR 20040042538 A KR20040042538 A KR 20040042538A KR 20050117275 A KR20050117275 A KR 20050117275A
Authority
KR
South Korea
Prior art keywords
authentication
domain
user
saml
location information
Prior art date
Application number
KR1020040042538A
Other languages
English (en)
Other versions
KR100644616B1 (ko
Inventor
신동규
신동일
정종일
Original Assignee
세종대학교산학협력단
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 세종대학교산학협력단, 삼성전자주식회사 filed Critical 세종대학교산학협력단
Priority to KR1020040042538A priority Critical patent/KR100644616B1/ko
Priority to US11/149,150 priority patent/US8108921B2/en
Publication of KR20050117275A publication Critical patent/KR20050117275A/ko
Application granted granted Critical
Publication of KR100644616B1 publication Critical patent/KR100644616B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템을 제공한다.
마크업 랭귀지 기반의 단일인증 방법은 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 인증 메시지 생성기에 전송하여 사용자 인증을 요청하는 단계와, 현 도메인의 위치 정보와 인증메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 생성하여 상기 사용자에게 전송하는 단계, 및 상기 인증 메시지 생성기 로부터 마크업 랭귀지 형식의 인증 메시지를 수신하면 사용자 인증 메시지를 분석하여, 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함한다.

Description

마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템{Method for single-sign-on based on markup language, and system for the same}
본 발명은 유무선통합 환경에서 단일인증 방법 및 이를 위한 시스템에 관한 것이다.
모바일 정보 서비스들은 모바일 운영자, 콘텐츠 제공자, 과금 에이전시 및 서비스 제공자 등에 의해 이루어진다. 그러나 실제적으로 이들을 구별하는 것은 매우 어렵다. 많은 통신회사들, 예를 들면 한국의 SK Telecom과 같은 회사들은 모바일 운영자이면서 서비스 제공자이며 콘텐츠를 제공하기도 한다.
모바일 기기에서 웹 서비스의 사용은 사용자나 제공자의 위치에 관계없이 서비스를 가능하게 한다. 그렇지만 모바일 세계에 유선인터넷 환경의 시스템들을 적용하려고 할 때 프레임워크 개발과 관련하여 성능, 비용, 그리고 일시적인 사용장애 같은 이슈들을 포함하는 것으로 확장되는 것이 바람직하다. 그러나 모바일 기기가 갖는 성능적인 한계는 유무선통합환경에 웹 서비스나 단일인증(Single-Sign-On) 같은 개념 적용을 위한 활발한 노력을 가로막는 요인이 되고 있다. 웹 서비스 환경을 유무선 통합환경에 적용시 다음과 같은 접근방법이 고려되어야 한다. 웹 서비스의 분산 환경에서 제공되는 수많은 서비스들 중에 사용자가 특정 서비스에 접근하기 위해서는 일관적이고 단일화된 접근 방법이 제공되어야 한다. 유선인터넷환경에서는 일관적이고 단일화된 접근 방법을 제공하기 위해 단일인증 메커니즘이 활발하게 연구되고 있다.
그렇지만 유무선 통합화경에서 단일인증은 유선인터넷 환경에서보다 중요하다. 이는 모바일 디바이스가 갖는 성능적인 한계에 기인한다. 예를 들면 한 사이트에서 인증 받은 사용자가 다른 사이트로 이동하려고 할 때 셀룰러폰을 통해 사용자이름과 비밀번호를 다시 입력하는 것보다 키보드를 통해 입력하는 것이 훨씬 수월하다. 이러한 성질에 따라 유무선통합환경에서 단일인증 방식의 구현은 무선 인터넷 시장의 발전과 관련하여 매우 중요한 문제가 되고 있다. 대한민국 공개특허 특2003-0040601는 무선 인터넷 망간의 연동에 대한 내용이 개시되어 있으나, 이동통신업자를 중심으로 인증, 권한인가, 과금에 관한 부분을 주로 개시하고 있고 또 다른 단일인증 시스템과의 호환성에 대한 고려가 부족하다. 따라서 유무선 통합환경에서 호환성을 고려한 단일인증 방식이 필요하게 된다.
본 발명은 유무선 통합환경에서 단일인증 방법 및 이를 위한 시스템을 제공하는 것을 그 목적으로 한다.
또한 본 발명은 다른 단일인증 시스템과 호환성이 우수한 단일인증 방법 및 이를 위한 시스템을 제공하는 것을 다른 목적으로 한다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해되어질 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따른 마크업 랭귀지 기반의 단일인증 방법은 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 인증 메시지 생성기에 전송하여 사용자 인증을 요청하는 단계와, 현 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보(예를 들면 SAML artifact)를 생성하여 상기 사용자에게 전송하는 단계, 및 상기 인증 메시지 생성기로부터 마크업 랭귀지 형식의 인증 메시지(예를 들면 SAML 어써션)를 수신하면 사용자 인증 메시지를 분석하여, 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따른 마크업 랭귀지 기반의 단일인증 방법은 무선 인터넷을 통해 유선 인터넷 서비스를 제공하는 제1 도메인의 서비스 자원에 접근하기 위하여 인증에 필요한 정보를 전송하는 단계와, 상기 제1 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 수신하는 단계, 및 상기 인증 도메인 위치 정보를 수신한 후 사용자 인증 메시지를 분석하여, 상기 제1 도메인의 서비스 자원에 접근 및 거부되는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따른 마크업 랭귀지 기반의 단일인증 방법은 무선 인터넷을 사용하는 사용자를 인증한 도메인의 위치 정보를 포함하는 인증 도메인 위치 정보를 수신하는 단계와, 상기 수신된 인증 도메인 위치 정보를 상기 사용자를 인증한 도메인에 전송하여 상기 사용자에 대한 인증 정보를 요청하는 단계, 및 상기 사용자를 인증한 도메인으로부터 마크업 랭귀지 형식의 인증 메시지를 수신하면 사용자 인증 메시지를 분석하여, 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시에 따른 마크업 랭귀지 기반의 단일인증 시스템은 무선 인터넷을 사용하는 사용자에게 유무선 프로토콜 변환을 하는 게이트웨이를 통해 서비스 자원을 제공하는 복수의 도메인들, 및 상기 도메인들 중 어느 한 도메인(A)으로부터 사용자의 인증에 필요한 정보를 받아 상기 사용자를 인증하고, 마크업 랭귀지 형식의 인증 메시지를 생성하여 상기 도메인(A)로 전송하는 인증 메시지 생성기를 포함하며, 상기 인증 메시지를 상기 전송받은 상기 도메인(A)은 사용자 인증 메시지를 분석하여 상기 사용자의 서비스 자원 접근을 허용 또는 거부하고, 자신의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 생성하여 상기 사용자에게 전송하고, 다른 도메인(B)으로부터 상기 사용자에 대한 인증 정보 요청을 수신하면 상기 인증 메시지를 상기 다른 도메인(B)으로 전송하는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 보다 상세한 실시예를 설명한다. 이하 설명에서 단일인증은 무선 인터넷의 사용자가 인증에 필요한 정보를 제공하여 유선 인터넷망의 제1 도메인에서 인증을 받은 후에, 제2 도메인에 접근할 때 인증에 필요한 별도의 정보를 제공하지 않고도 제2 도메인의 서비스를 제공받을 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 단일인증 시스템의 아키텍쳐를 보여주는 도면이다.
모바일 디바이스(100)는 무선 인터넷을 통해 유선 인터넷의 각 도메인들로부터 서비스를 제공받으려고 한다. 모바일 디바이스(100)는 편의상 도메인 A, 도메인 B, 도메인 C 순서로 각 도메인의 서비스를 제공받는 것으로 설명한다.
각 도메인들은 유선 인터넷과 무선 인터넷 데이터들을 중계하는 게이트웨이와, 접속하려는 디바이스를 인증하는 인증 에이전트 서버와, 범용적인 응용프로그램들, 예를 들면, 웹 서비스를 제공하는 웹 서비스 서버, 및 웹 서비스에 제공될 필요한 정보 등을 저장하는 데이터 베이스 등을 포함한다. 즉, 도메인 A에는 게이트웨이(111)와, 인증 에이전트 서버(112)와, 범용적인 응용프로그램들(113)이 있다. 도메인 B에는 게이트웨이(121)와, 인증 에이전트 서버(122)와, 범용적인 응용프로그램들(123)이 있다. 도메인 C에는 게이트웨이(131)와, 인증 에이전트 서버(132)와, 범용적인 응용프로그램들(133)이 있다.
먼저 도메인 A의 웹 서비스 서버(113)가 제공하는 서비스를 이용하기 위하여 사용자는 모바일 디바이스(100)에 인증에 필요한 정보를 입력한다. 예를 들면 사용자이름과 비밀번호를 입력한다. 인증에 필요한 정보는 무선 인터넷을 거쳐 게이트웨이(111)에 도착한다. 게이트웨이(111)는 인증에 필요한 정보를 유선 인터넷을 통해 인증 에이전트 서버(112)에 전달한다.
인증 에이전트 서버(112)는 신뢰할 수 있는 인증 메시지 생성기(authentication message generator)에 사용자의 인증을 요청한다. 인증 메시지 생성기에는 자체적으로 어써션(Assertion)을 생성하거나 어써션을 생성하기 위해 외부의 정보 제공처로부터 인증 메시지를 생성하는데 필요한 정보를 얻어 어써션을 생성한다. 인증 메시지를 생성하는데 필요한 정보를 제공하는 곳은 사용자 정보 데이터베이스, 외부 공개키기반(Public Key Infrastructure; PKI)서비스가 될 수 있으며, 인증 메시지 생성기 자체가 인증 메시지를 생성하는데 필요한 정보를 제공할 수도 있다. 인증 메시지 생성기에는 인증기능을 수행하는 인증 서버(150)와 사용자의 속성(attribute)을 저장하고 있는 사용자정보 DB(152) 또는 외부에서 제공된 인증 메시지를 생성하는데 필요한 정보를 어써션으로 가공할 수 있는 어써션 처리기(153)가 있다. 인증 서버(150)는 사용자를 인증하고, 인증 메시지를 인증 에이전트 서버(112)에 전달한다. 인증 서버(150)는 사용자정보 DB(152)에 저장된 사용자 속성 값들을 인증 메시지에 포함하여 인증 에이전트 서버(112)로 전달할 수 있고 또한 어써션 처리기를 통해 외부에서 입력된 어써션을 인증 에이전트 서버(112)로 전달 할 수도 있다. 사용자 속성 값들은 사용자의 직업, 연령이나 성별 등이 될 수 있다. 인증이 성공적으로 끝나면 사용자는 모바일 디바이스(100)를 통해 웹 서비스 서버(113)를 통해 도메인 A에서 제공하는 다양한 서비스를 제공받을 수 있다.
여기서 어써션이란 subject(예를 들면 사용자 및 시스템)가 이전에 행한 인증행위, subject의 속성, 그리고 subject가 특정 자원에 접근이 허용되었는지의 여부에 관한 정보를 전달하는 역할을 한다. 이러한 정보를 마크업 랭귀지 형태로 (예를 들면 XML) 표현한 것을 어써션이라고 부른다. 어써션의 예는 도 9 및 도 10에 도시된다.
한편, 외부 공개키기반 서비스에서 인증에 필요한 정보를 제공하는 경우에 인증 서버(150)는 공인인증 기관(160)으로부터 모바일 디바이스(100) 인증에 필요한 정보를 제공받는다. 좀더 자세히 살펴보면, 모바일 디바이스(100)는 공인인증 기관(160)으로부터 인증서(certificate)를 사전에 얻는다. 모바일 디바이스(100)는 도메인 A로부터 인증을 얻으려고 할 때, 인증서를 보낸다. 이 경우에 인증서가 인증에 필요한 정보에 해당된다. 인증서는 도메인 A의 인증 에이전트 서버(112)를 거쳐 인증서 메시지 생성기에 전달된다. 인증 서버(150)는 공인인증 기관(160)을 통해 인증서를 조회하고 인증서 상태를 확인한다. 이 경우에 인증서 조회에 대한 인증서 상태 확인이 인증 메시지 생성에 필요한 정보가 된다. 외부의 공인인증 기관(160)을 통한 모바일 디바이스(100)의 인증 방식으로 무선 공개키 기반(Wireless Public Key Infrastructure; 이하, WPKI라 함)가 있다.
WPKI 모델에서는 기본적으로 무선용 X.509 인증서 또는 WTLS 인증서를 사용한다. 한편, 모바일 디바이스(100)는 공인인증 기관(160)으로부터 직접 인증서를 받을 수도 있지만, 인증서의 위치 정보, 예를 들면 URL을 받을 수도 있다. 후자의 경우에 모바일 디바이스(100)는 도메인 A에 인증을 위하여 URL을 전송한다. 이 밖에 WPKI 모델의 특징으로 모바일 디바이스(100)에서 RSA를 사용하여 키를 생성하는 것이 용이하지 않기 때문에 ECDSA를 사용하여 키를 생성하며, 인증서 검증은 CRL(Certificate Revoke List)에 의하지 않고 SLC(Short Lived Certificate) 방식에 의한다.
사용자가 도메인 A에서 도메인 B로 접근할 경우에 모바일 디바이스(100)는 인증 에이전트 서버(112)로부터 인증 도메인 위치 정보, 예를 들면 SAML 아티팩트를 전달받아 도메인 B의 인증 에이전트 서버(122)로 전달하며 인증에 필요한 정보가 도메인 B에 별도로 제공될 필요가 없다. 대신에 도메인 B는 도메인 A로부터 인증 메시지, 예를 들면 인증 어써션을 받아 모바일 디바이스(100)를 인증한다. 즉, 인증 에이전트 서버(122)는 게이트웨이(121)를 통해 접근하려는 모바일 디바이스(100)에 대한 인증 정보를 단말기로부터 전달 받은 인증 도메인 위치 정보에 의거하여 도메인 A의 인증 에이전트 서버(112)에 요청한다. 일 실시예에 있어서, 인증 도메인 위치 정보는 유효기간을 가지며 주어진 시간안에 도메인 B로부터 도메인 A로 전달되지 않으면 유효하지 않아 인증 도메인 위치 정보의 도난에 대한 장치로 작동한다. 인증 정보 요청을 받은 도메인 A의 인증 에이전트 서버(112)는 인증 도메인 위치 정보의 무결성을 체크하여 인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 자신이 갖고 있던 인증 메시지를 도메인 B의 인증 에이전트 서버(121)로 전송하고 자신이 가지고 있던 인증 메시지와 인증 도메인 위치 정보를 삭제한다. 도메인 B의 인증 에이전트 서버(122)는 인증 도메인 위치 정보를 새로이 생성한 후 수신한 인증 메시지를 분석하여 적합한 사용자임이 검증되면 사용자의 인증을 갈음할 수 있다.
사용자가 도메인 B에서 도메인 C로 접근할 경우에도 모바일 디바이스(100)로부터 인증에 필요한 정보가 도메인 C에 별도로 제공될 필요가 없다. 대신에 도메인 C는 도메인 B로부터 인증 메시지를 받아 모바일 디바이스(100)를 인증한다. 즉, 인증 에이전트 서버(132)는 게이트웨이(131)를 통해 접근하려는 모바일 디바이스(100)에 대한 인증 정보를 도메인 B의 인증 에이전트 서버(122)에 요청한다. 인증 정보 요청을 받은 도메인 B의 인증 에이전트 서버(122)는 자신이 갖고 있던 인증 메시지를 도메인 C의 인증 에이전트 서버(131)로 전송한다. 도메인 C의 인증 에이전트 서버(132)는 수신한 인증 메시지를 통해 사용자의 인증을 갈음할 수 있다.
한편, 상기 실시예와는 달리 도메인 B와 도메인 C에 직접 인증 메시지를 보내지 않고 인증된 사용자라는 사실에 대한 정보만을 대신 전달하도록 하는 단일인증 방식도 가능하다. 이러한 경우에 도메인 B의 인증 정보 요청에 대해 도메인 A는 인증된 사용자라는 사실에 대한 정보만을 도메인 B에 전달하고, 도메인 C의 경우에는 도메인 B에 인증 정보 요청을 하지 않고 도메인 A에 인증 정보를 요청한다. 그러면 도메인 A는 인증된 사용자라는 사실에 대한 정보를 도메인 C에 전달한다.
상기 실시예에서 각 도메인의 게이트웨이와 인증 에이전트 서버와 범용 응용프로그램은 물리적으로 별도의 서버로 구성될 수도 있으나, 하나의 서버에 존재하는 논리적인 구성단위일 수도 있다. 또한, 인증 메시지 생성기는 다양한 서비스를 제공하는 각 도메인과 별도의 제3의 기관일 수도 있지만, 어느 한 도메인에 포함될 수도 있다. 예를 들면 도메인 A의 인증 에이전트 서버(112)가 도메인 A와 도메인 B 및 도메인 C를 위한 인증 메시지 생성기로서의 역할을 할 수도 있다.
또한 인증에 필요한 정보는 사용자가 모바일 디바이스(100)를 통해 입력할 수도 있으나, 자동적으로 전송되도록 구현할 수도 있고 인증 정보를 전송하지 않아도 되는 경우가 있다. 후자의 경우를 예로 들면, 모바일 디바이스(100)가 셀룰러 폰이고 도메인 A는 셀룰러 폰이 가입된 이동통신사의 도메인인 경우에 도메인 A에 접속하려는 모바일 디바이스(100)는 별도의 인증에 필요한 정보를 도메인 A로 전송할 필요가 없고 도메인 A는 접속한 모바일 디바이스(100)에 부여된 식별자, 예를 들면 전화번호만으로 모바일 디바이스(100)를 인증할 수 있다.
도 2는 본 발명의 일 실시예에 따른 게이트웨이의 스택 구조를 보여주는 도면이다.
게이트웨이는 무선 인터넷 데이터는 유선 인터넷 데이터로 변환시켜 유선 인터넷으로 전달하고, 유선 인터넷 데이터는 무선 인터넷 데이터로 변환시켜 무선 인터넷으로 전달한다. 유무선 프로토콜 변환 방식으로 대표적인 방식이 WAP(Wireless Application Protocol) 방식이다. WAP은 셀룰러폰이나 무선호출기 등과 같은 무선장치들이 전자우편, 웹, 뉴스그룹 및 IRC 등의 인터넷 액세스에 사용될 수 있는 방법을 표준화하기 위한 통신 프로토콜들의 규격이다. 종전에도 모바일 디바이스로 인터넷 접속은 가능했지만, 제작회사마다 모두 다른 기술을 사용해서 서로 다른 시스템들간의 상호운용성(Interoperability)에 문제가 있었다. WAP 포럼(http://www.wapforum.org)은 이러한 문제를 해결하기 위해 에릭슨, 모토로라, 노키아 등의 여러 회사가 만든 포럼으로서 무선 인터넷 시스템과 유선 인터넷 시스템의 호환성과 상호운용성을 위한 표준화 작업을 수행해왔다. 따라서, 본 발명의 실시예에서 호환성과 상호운용성을 위하여 유무선 프로토콜 변환 방식으로 WAP 프로토콜을 사용한다.
WAP 계층에는 다음과 같은 것들이 있다.
Wireless Application Environment (WAE)
Wireless Session Protocol (WSP)
Wireless Transaction Protocol (WTP)
Wireless Transport Layer Security (WTLS)
Wireless Datagram Protocol (WDP)
WAE는 WAP/Web 어플리케이션과, WAP 마이크로 브라우저를 포함하는 무선 디바이스간의 상호작용을 제공한다. WSP는 HTTP/1.1 기능성을 제공하고 장기 생존하는 세션(long-lived session)의 일시중지/재개(suspend/resume)과 같은 새로운 특징들과 통합된다. WTP는 "가벼운" 클라이언트(모바일 스테이션들)에 적당한 가벼운 트랜잭션 지향(light weight transaction oriented) 프로토콜로 정의되며, 무선 데이터그램 네트워크들에 효과적으로 동작한다. WTLS는 두 통신 어플리케이션들간의 프라이버시, 데이터 무결성 및 인증을 제공하도록 설계된 계층이다. WDP는 일반 데이터그램 서비스로서, 상위 계층 프로토콜에 지속적인 서비스를 제공하고 이용가능한 하위계층 서비스들의 하나와 투명하게 통신한다.
게이트웨이는 WAP 마이크로 브라우저를 탑재하고 있는 클라이언트와 콘텐츠를 제공하는 서버를 중계한다. 이 때 중계되는 무선 구간과 유선 구간은 보안 채널을 필요로 하는데, 무선 채널 구간은 WTLS가 이를 담당하고 유선 채널은 SSL(Secure Socket Layer)이 이를 담당한다. 도 1의 모바일 디바이스(100)는 도 2의 클라이언트에 해당하고, 인증 에이전트 서버들 및 웹 서비스 서버들은 도 2의 서버에 해당한다. 유무선 데이터를 중계하는 게이트웨이의 방식으로 WAP을 사용하는 것을 설명하였으나, 이는 예시적인 것으로서 일본국 NTT사의 DoCoMo방식, 미합중국 Microsoft사의 Mobile Explorer 방식 등을 사용할 수도 있다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다. 도면에서 점선으로 된 화살표는 무선 구간의 데이터 전송을 의미하고 실선으로 된 화살표는 유선 구간의 데이터 전송을 의미한다.
도 3은 사용자가 도메인 A에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있고, 도 4는 도메인 A에서 인증된 사용자가 도메인 B에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있으며, 도 5는 사용자가 도메인 A와 도메인 B의 서비스 자원을 이용한 후에 도메인 C의 서비스 자원을 이용하는 과정을 보여주고 있다.
먼저 도 3을 참조하면, 사용자는 무선 인터넷을 통해 도메인 A의 서비스 자원에 접근하기 위하여 인증에 필요한 정보를 전송한다(S310). 예를 들면 인증에 필요한 정보는 사용자이름과 비밀번호가 될 수 있으나, 사용자가 현재 사용하고 있는 모바일 디바이스의 식별자, 예를 들면 전화번호 또는 디바이스 장치의 MAC(Medium Access Contro) 주소일 수도 있다. 이 밖에 앞서 설명한 바와 같이 사용자의 인증서 일 수도 있다. 사용자가 전송한 인증에 필요한 정보는 무선 인터넷을 통해 게이트웨이에 전달된다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증에 필요한 정보를 유선 인터넷 프로토콜로 변환시킨 후에 인증 에이전트로 전달한다(S311). 인증에 필요한 정보를 전달받은 인증 에이전트는 인증 도메인 위치 정보, 예를 들면 SAML 아티팩트를 생성한다(S312). 인증 도메인 위치 정보는 현재 사용자를 인증하고 있는 도메인(도메인 A)의 위치와 사용자 인증 메시지 처리에 필요한 정보이다. 인증 에이전트는 생성된 인증 도메인 위치 정보를 게이트웨이를 통해(S313) 사용자에게 전달한다(S314). 한편, 인증 에이전트는 신뢰할 수 있는 인증 메시지 생성기에 인증에 필요한 정보를 전송하면서 사용자 인증을 요청한다(S315). 인증 메시지 생성기는 사용자 인증 요청에 따라 사용자를 인증하고, 인증이 성공적일 경우에 인증 메시지를 생성한다(S316). 생성된 인증 메시지는 마크업 랭귀지 형식, 예를 들면 XML 형식을 갖는 메시지로서 인증 에이전트에 전달된다(S317). 인증 메시지를 전달받은 인증 에이전트는 사용자 인증 메시지를 분석하여 사용자의 서비스 자원 접근을 허용 또는 거부한다. 인증 에이전트는 서비스 자원을 요청한다(S318). 서비스 자원은 도메인 A에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S319), 사용자에게 제공된다(320). 한편, 상기 각 단계의 시간적 순서는 일부 바뀔 수도 있다. 예를 들면 인증 에이전트와 인증 메시지 생성기 간의 프로세스가 사용자와 인증 에이전트 간의 프로세스보다 먼저 수행될 수 있다. 이 경우에 S312, S313, S314, S315, S316, S317의 순서는 S315, S316, S317, S312, S313, S314 순서가 될 수 있다.
인증 도메인 위치 정보의 실시 예로써 SAML 아티팩트를 들 수 있는데 그 구조는 도 11을 참조하여 후술한다.
도 4을 참조하면, 사용자는 무선 인터넷을 통해 도메인 B의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S410). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 B에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 B의 인증 에이전트로 전달한다(S411). 인증 도메인 위치 정보를 전달받은 도메인 B의 인증 에이전트는 인증 도메인 위치 정보로 도메인 A에 사용자에 대한 인증 정보를 요청한다(S412). 도메인 A의 인증 에이전트는 도메인 B의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S413). 인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 A의 인증 에이전트는 도메인 B로 인증 메시지를 전송하고 저장되어 있는 인증 메시지와 인증 도메인 위치정보를 삭제한다(S414). 인증 메시지를 전송받은 도메인 B의 인증 에이전트는 새로운 인증 도메인 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 생성한다(S415). 새롭게 생성된 인증 도메인 위치 정보는 도메인 B의 위치에 대한 정보와 사용자 인증 메시지 처리에 필요한 정보를 담고 있다. 새롭게 생성된 인증 도메인 위치 정보는 게이트웨이를 거쳐(S416) 사용자에게 전달된다(S417). 그리고 나서 인증 에이전트는 사용자 인증 메시지를 분석하여 서비스 자원을 요청한다(S418). 서비스 자원은 도메인 B에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S419), 사용자에게 제공된다(420). 도 3의 경우와 마찬가지로 상기 각 단계의 시간적 순서는 일부 바뀔 수도 있다. 예를 들면 도메인 B의 인증 에이전트가 새로운 인증 도메인 위치 정보를 생성하여 사용자에게 전달하는 프로세스가 도메인 A의 인증 인증 에이전트와의 프로세스보다 먼저 수행될 수 있다. 이 경우에 S412, S413, S414, S415, S416, S417의 순서는 S415, S416, S417, S412, S413, S414 순서가 될 수 있다.
도 5를 참조하면, 사용자는 무선 인터넷을 통해 도메인 C의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S510). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 B에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 C의 인증 에이전트로 전달한다(S511). 인증 도메인 위치 정보를 전달받은 도메인 C의 인증 에이전트는 인증 도메인 위치 정보로 도메인 B에 사용자에 대한 인증 정보를 요청한다(S512). 도메인 B의 인증 에이전트는 도메인 C의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S513). 인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 B의 인증 에이전트는 도메인 C로 인증 메시지를 전송하고 저장되어 있는 인증 메시지와 인증 도메인 위치정보를 삭제한다(S514). 인증 메시지를 전송받은 도메인 C의 인증 에이전트는 새로운 인증 도메인 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 생성한다(S515). 새롭게 생성된 인증 도메인 위치 정보는 도메인 C의 위치에 대한 정보와 사용자 인증 메시지 처리에 필요한 정보를 담고 있다. 새롭게 생성된 인증 도메인 위치 정보는 게이트웨이를 거쳐(S516) 사용자에게 전달된다(S517). 그리고 나서 인증 에이전트는 사용자 인증 메시지를 분석하여 서비스 자원을 요청한다(S518). 서비스 자원은 도메인 C에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S519), 사용자에게 제공 및 거부된다(420). 도 3 또는 도 4의 경우와 마찬가지로 상기 각 단계의 시간적 순서는 일부 바뀔 수도 있다. 예를 들면 도메인 C의 인증 에이전트가 새로운 인증 도메인 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 생성하여 사용자에게 전달하는 프로세스가 도메인 B의 인증 에이전트와의 프로세스보다 먼저 수행될 수 있다. 이 경우에 S512, S513, S514, S515, S516, S517의 순서는 S515, S516, S517, S512, S513, S514 순서가 될 수 있다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다.
도 6은 사용자가 도메인 A에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있고, 도 7은 도메인 A에서 인증된 사용자가 도메인 B에 접속하여 서비스 자원을 이용하는 과정을 보여주고 있으며, 도 8은 사용자가 도메인 A와 도메인 B의 서비스 자원을 이용한 후에 도메인 C의 서비스 자원을 이용하는 과정을 보여주고 있다.
먼저 도 6을 참조하면, 사용자는 무선 인터넷을 통해 도메인 A의 서비스 자원에 접근하기 위하여 인증에 필요한 정보를 전송한다(S610). 예를 들면 인증에 필요한 정보는 사용자이름과 비밀번호가 될 수 있으나, 사용자가 현재 사용하고 있는 모바일 디바이스의 식별자, 예를 들면 전화번호 또는 디바이스 장치의 MAC(Medium Access Control) 주소일 수도 있다. 사용자가 전송한 인증에 필요한 정보는 무선 인터넷을 통해 게이트웨이에 전달된다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증에 필요한 정보를 유선 인터넷 프로토콜로 변환시킨 후에 인증 에이전트로 전달한다(S611). 인증에 필요한 정보를 전달받은 인증 에이전트는 인증 도메인 위치 정보를 생성한다(S612). 인증 도메인 위치 정보는 현재 사용자를 인증하고 있는 도메인(도메인 A)의 위치와 사용자 인증 메시지 처리에 필요한 정보를 알려주는 정보이다. 인증 에이전트는 생성된 인증 도메인 위치 정보를 게이트웨이를 통해(S613) 사용자에게 전달한다(S614). 한편, 인증 에이전트는 신뢰할 수 있는 인증 메시지 생성기에 인증에 필요한 정보를 전송하면서 사용자 인증을 요청한다(S615). 인증 메시지 생성기는 사용자 인증 요청에 따라 사용자를 인증하고, 인증이 성공적일 경우에 인증 메시지를 생성한다(S616). 생성된 인증 메시지는 마이크업 랭귀지 형식, 예를 들면 XML 형식을 갖는 메시지로서 인증 에이전트에 전달된다(S617). 인증 메시지를 전달받은 인증 에이전트는 사용자 인증 메시지를 분석하여 사용자의 서비스 자원 접근을 허용 또는 거부한다. 인증 에이전트는 서비스 자원을 요청한다(S618). 서비스 자원은 도메인 A에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S619), 사용자에게 제공된다(320). 한편, 상기 각 단계의 시간적 순서는 일부 바뀔 수도 있다. 예를 들면 인증 에이전트와 인증 메시지 생성기 간의 프로세스가 사용자와 인증 에이전트 간의 프로세스보다 먼저 수행될 수 있다. 이 경우에 S612, S613, S614, S615, S616, S617의 순서는 S615, S616, S617, S612, S613, S614 순서가 될 수 있다.
도 7을 참조하면, 사용자는 무선 인터넷을 통해 도메인 B의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S710). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 B에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 B의 인증 에이전트로 전달한다(S711). 인증 도메인 위치 정보를 전달받은 도메인 B의 인증 에이전트는 인증 도메인 위치 정보로 도메인 A에 사용자에 대한 인증 정보를 요청한다(S712). 도메인 A의 인증 에이전트는 도메인 B의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S713). 인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 A의 인증 에이전트는 도메인 B로 사용자가 도메인 A에 정당하게 인증되었음을 알려주는 인증 알림 메시지를 전송한다(S714). 도 4의 경우와는 달리 도메인 A가 갖고 있던 인증 메시지를 직접 도메인 B로 전송하지 않으며, 도메인 A가 저장하고 있는 인증 메시지를 삭제하지도 않는다. 또한 도 4의 경우와는 달리 도메인 B에서 인증 도메인 위치 정보를 새롭게 생성하지 않는다. 인증 알림 메시지를 전송받은 도메인 B의 인증 에이전트는 서비스 자원을 요청한다(S715). 서비스 자원은 도메인 B에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S716), 사용자에게 제공된다(S717).
도 8을 참조하면, 사용자는 무선 인터넷을 통해 도메인 C의 서비스 자원에 접근하기 위하여 인증 도메인 위치 정보를 전송한다(S810). 인증 도메인 위치 정보는 자동으로 전송되므로 사용자는 도메인 C에 접근 권한을 얻기 위하여 별도로 인증에 필요한 정보, 예를 들면 사용자이름과 비밀번호를 입력할 필요가 없다. 한편, 인증 도메인 위치 정보는 도 6의 경우와는 달리 도메인 A의 위치정보와 사용자 인증 메시지 처리에 필요한 정보를 가지고 있다. 게이트웨이는 무선 인터넷 프로토콜로 전송된 인증 도메인 위치 정보를 유선 인터넷 프로토콜로 변환시킨 후에 도메인 C의 인증 에이전트로 전달한다(S811). 인증 도메인 위치 정보를 전달받은 도메인 C의 인증 에이전트는 인증 도메인 위치 정보로 도메인 A에 사용자에 대한 인증 정보를 요청한다(S812). 도메인 A의 인증 에이전트는 도메인 C의 인증 에이전트가 인증 정보 요청과 함께 전송한 인증 도메인 위치 정보의 무결성을 체크한다(S813). 인증 도메인 위치 정보가 위조 또는 변조되지 않은 경우라면 인증 정보 요청은 정당하고 따라서 도메인 A의 인증 에이전트는 도메인 C로 사용자가 도메인 A에 정당하게 인증되었음을 알려주는 인증 알림 메시지를 전송한다(S814). 도 5의 경우와는 달리 도메인 A가 갖고 있던 인증 메시지를 직접 도메인 C로 전송하지 않으며, 도메인 A가 저장하고 있는 인증 메시지를 삭제하지도 않는다. 또한 도 5의 경우와는 달리 도메인 C에서 인증 도메인 위치 정보를 새롭게 생성하지 않는다. 인증 알림 메시지를 전송받은 도메인 C의 인증 에이전트는 인증 알림 메시지를 분석하여 서비스 자원을 요청한다(S815). 서비스 자원은 도메인 C에서 제공하는 서비스 자원으로서 게이트웨이를 통해(S816), 사용자에게 제공된다(S817).
앞서 설명한 본 발명의 실시예들은 마크업 랭귀지 기반의 단일인증 시스템을 구현한다. SGML, HTML, XML 등과 같은 마크업 랭귀지는 구조적인 정보의 전달이 편리하다는 이점 등으로 인해 그 사용이 점점 증대되고 있다. 현재 가장 보편적으로 사용되는 마크업 랭귀지는 표준기구 W3C의 표준인 XML이며, 앞으로도 다양한 마크업 랭귀지가 개발되어 사용될 것으로 예상된다. 특히 XML의 경우에 HTML과는 달리 확장성을 갖기 때문에 점차로 많은 어플리케이션에 적용되고 있는 실정이다. XML에 대한 자세한 정보는 http://www.w3.org 또는 http://www.xml.com 등에서 찾을 수 있다.
본 발명의 실시예들은 마크업 랭귀지를 기반으로 단일인증 시스템을 구현함으로써 기존에 구현된 다양한 인증방법들을 수용할 수 있다. 특히, XML의 부분집합으로서 OASIS(http://www.oasis-open.org)에서 완성한 규격인 SAML(Security Assertion Markup Language)은 도메인들 간의 인증과 권한 정보 교환을 목적으로 한다. 현재 SAML에 의해 지원되는 사용자 인증 방법들은 비밀번호, Kerberos, SRP(Secure Remote Password), Hardware Token, SSL/TLS Certificate Based Client Authentication, X.509 Public Key 등이 있다.
SAML에 대해서 좀더 자세히 살펴보면 다음과 같다.
SAML은 시스템들 사이에서 자동적이고 수동적인 상호작용을 위한 단일인증을 제공하도록 설계되었다. SAML은 사용자가 다른 도메인으로 로그인하는 것을 허용하고 사용자의 모든 권한을 정의한다. 또한 두 도메인 사이에서 자동화된 메시지 교환을 관리한다. SAML은 아래와 같은 자신의 컴포넌트들을 정의하는 명세(specification)의 집합이다.
-Assertions and request/response protocols
-Bidings
-Profiles
-Security considerations while using SAML
-Conformance guidelines and a test suite
-Use cases and requirements
SAML은 사용자, 디바이스 또는 주체(subject)라고 불리는 동일함(identify)을 증명할 수 있는 어떠한 엔터티에 관련된 인증과 권한 정보의 교환을 가능하게 한다. 이를 위해 SAML은 XML의 부분집합을 사용하여 요청-응답 프로토콜을 정의한다. 이 프로토콜에 의해 시스템은 어써션들(assertions)에 기반하여 주체들을 허용하거나 거절한다.
여기서 말하는 어써션은 주체에 대한 사실의 선언이다. SAML은 세가지 어써션 타입을 정의한다.
-인증(Authentication)
주체가 이전에 어떠한 방법(password, hardware token 또는 X.509 공개 키 같은)으로 인증되었다는 것을 나타낸다.
-권한부여(Authorization)
주체의 자원 접근을 허용하거나 거부해야 함을 나타낸다.
-속성(Attribution)
주체가 속성들에 연관되었다는 것을 나타낸다.
도 9는 SAML에서의 어써션(Assertion) 스키마를 보여주고 있으며, 도 10은 SAML 인증 메시지 생성기에 의해 발행된 인증 어써션을 포함하는 어써션 문장의 예를 보여준다. 도 1과 도 3 내지 도 8의 인증 기관은 SAML 인증 메시지 생성기에 해당하고, 도 3 내지 도 8의 인증 메시지 생성기가 생성한 인증 메시지는 인증 어써션에 해당한다.
한편, SAML은 아티팩트(artifact) 메커니즘을 정의한다. 이에 대해서는 도 11을 통해 설명한다.
SAML 아키텍쳐에서 아티팩트들은 서버들이 어써션을 찾는데 사용될 수 있다. 예를 들면, 도 3 내지 도 8의 인증 도메인 위치 정보는 아티팩트들에 해당되며, 각 도메인의 인증 에이전트들은 아티팩트들을 이용하여 인증 어써션을 갖고 있는 도메인의 위치를 찾을 수 있다. SAML에서 아티팩트는 20 바이트의 크기를 갖는 타입 코드(Type-code)와 20 바이트의 크기를 갖는 어써션핸들러(AssertionHandler)로 구성되어 총 40 바이트의 크기를 갖는다. 타입 코드와 어써션핸들러는 각각 아티팩트를 생성한 소스 식별자(SourceID)와 난수(random number)를 의미한다.
소스 식별자는 목적 사이트가 소스 사이트의 동일성(identity)과 위치(location)를 결정하는데 이용된다. 예를 들면, 도 3에서 소스 사이트는 도메인 A에 해당하고 목적 사이트는 도메인 B에 해당한다. 목적 사이트는 일치하는 SAML 응답자에 대한 URL(또는 address)뿐만 아니라 소스 식별자 값의 테이블을 유지한다. 이 정보는 소스 및 목적 사이트 사이에서 전해진다. SAML 아티팩트를 받자마자 목적 사이트는 소스 식별자가 알려진 소스 사이트에 속하고 SAML 요청을 전송하기 전에 사이트의 위치를 얻을 지 여부를 결정한다.
SAML은 다양한 커뮤니케이션 및 전송 프로토콜과 연결될 수 있으나, 주로 HTTP 상의 SOAP와 연결될 수 있다. SAML은 두 가지의 프로파일, 즉 Browser/artifact와 Browser/post 중 하나에서 쿠기 없이 동작될 수 있다. Browser/artifact를 사용한다면 SAML 아티팩트는 URL 쿼리 스트링의 일부로 전달된다. 이 때 아티팩트는 어써션에 대한 포인터가 된다.
그 순서에 대한 설명은 도 12 및 도 13을 통해 설명한다.
도 12는 본 발명의 일 실시예에 따른 인증 도메인 위치 정보를 전달하는 방법을 보여주는 도면이다.
(1) 서버 A에서 인증된 브라우저의 사용자는 서버 B의 범용적인 응용프로그램에 대한 접근을 요청한다. 서버 A는 SAML 아티팩트를 포함하는 서버 B 방향의 URL 리디렉트(redirect)를 생성한다.
(2) 브라우저는 사용자를 서버 A에 대한 어써션을 가리키고 있는 아티팩트를 받는 서버 B로 리디렉트한다.
(3) 서버 B는 아티팩트를 서버 A에게 전송하고 완전한 어써션을 얻는다.
(4) 서버 B는 전송받은 어써션을 체크하고 범용적인 응용프로그램에 대한 사용자의 접근 요청을 수용할지 혹은 거절할지 체크한다.
Browser/post에서 SAML 어써션은 HTML 폼(form) 내부에서 브라우저에 업로드되고 HTTP post 페이로드의 일부로서 목적지 사이트에 전달된다.
도 13은 본 발명의 다른 실시예에 따른 사용자 인증 메시지인 어써션을 전달하는 방법을 보여주는 도면이다.
(1) 서버 A에서 인증된 브라우저의 사용자는 서버 B의 범용적인 응용프로그램에 대한 접근을 요청한다.
(2) 서버 A는 SAML 어써션을 갖는 HTML 폼(form)을 생성하고 사용자에게 되돌려준다.
(3) 브라우저는 서버 B에게 폼을 보낸다.
(4) 서버 B는 어써션을 체크하고 범용적인 응용프로그램에 대한 사용자의 접근 요청을 허용하거나 거부한다.
단일인증을 구현하는 본 발명의 실시예들을 SAML을 기반으로 한 경우에는 다음과 같이 설명할 수 있다. 도 3의 S312 단계에서 생성하는 인증 도메인 위치 정보는 아티팩트에 해당하고, S316 단계에서 생성하는 인증 메시지는 인증 어써션에 해당한다. 또한, 도 4의 S413 단계에서는 도 3의 S312 단계에서 생성한 아티팩트와 도메인 B로부터 받은 아티팩트를 비교하여 무결성을 체크하여 도메인 B로부터 받은 아티팩트가 변조 또는 위조되었는지를 판단한다. S414 단계에서 전송한 후에 삭제하는 인증 메시지는 인증 어써션이며, S415 단계에서 생성하는 새로운 인증 도메인 위치 정보는 도메인 B의 위치를 나타내는 아티팩트이다.
본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
본 발명에 따르면 모바일 디바이스에서 단일인증으로 유선 인터넷 자원을 사용할 수 있다.
또한 마크업 랭귀지, 특히 XML을 기반으로 한 단일인증 방식을 제공함으로써, 기존의 단일인증 방식과의 호환성을 갖는 단일인증 방식을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 단일인증 시스템의 아키텍쳐를 보여주는 도면이다.
도 2는 본 발명의 일 실시예에 따른 게이트웨이의 스택 구조를 보여주는 도면이다.
도 3 내지 도 5는 본 발명의 제1 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 단일인증 시스템의 동작을 보여주는 시퀀스도이다.
도 9는 SAML에서의 어써션(Assertion) 스키마를 보여주는 도면이다.
도 10은 본 발명의 일 실시예에 따른 인증 메시지를 담고있는 어써션을 보여주는 도면이다.
도 11은 본 발명의 일 실시예에 따른 인증 도메인 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 담고있는 아티팩트를 보여주는 도면이다.
도 12는 본 발명의 일 실시예에 따른 인증 도메인 위치 정보를 전달하는 방법을 보여주는 도면이다.
도 13은 본 발명의 다른 실시예에 따른 사용자 인증 메시지인 어써션을 전달하는 방법을 보여주는 도면이다.

Claims (42)

  1. 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 인증 메시지 생성기에 전송하여 사용자 인증을 요청하는 단계;
    현 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 생성하여 상기 사용자에게 전송하는 단계; 및
    인증 메시지 생성기로부터 마크업 랭귀지 형식의 인증 메시지를 수신하여 사용자 인증 메시지를 분석 후, 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  2. 제1항에 있어서,
    상기 사용자가 사용하는 무선 인터넷 프로토콜은 WAP 방식이고, 상기 사용자와 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 마크업 랭귀지 기반의 단일인증 방법.
  3. 제1항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 사용자이름과 비밀번호인 마크업 랭귀지 기반의 단일인증 방법.
  4. 제1항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 인증서인 마크업 랭귀지 기반의 단일인증 방법.
  5. 제1항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 인증서의 위치를 알려주는 URL인 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 방법.
  6. 제1항에 있어서,
    다른 도메인으로부터 상기 사용자에 대한 인증 정보 요청을 수신하면 상기 인증 메시지를 상기 다른 도메인으로 전송하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  7. 제6항에 있어서,
    상기 인증 메시지를 상기 다른 도메인에 전송하면 현 도메인에 저장되어 있는 인증 메시지와 인증 도메인 위치 정보를 삭제하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  8. 제1항에 있어서,
    다른 도메인으로부터 상기 사용자에 대한 인증 정보 요청을 수신하면 상기 사용자가 현 도메인에 정당하게 인증되었음을 알려주는 인증 알림 메시지를 상기 다른 도메인으로 전송하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  9. 무선 인터넷을 사용하는 사용자의 인증에 필요한 정보를 인증 메시지 생성기에 전송하여 사용자 인증을 요청하는 단계;
    현 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 생성하여 상기 사용자에게 전송하는 단계; 및
    상기 인증기관으로부터 SAML 인증 어써션을 수신하여 분석 후 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함하는 SAML 기반의 단일인증 방법.
  10. 제9항에 있어서,
    상기 사용자가 사용하는 무선 인터넷 프로토콜은 WAP 방식이고, 상기 사용자와 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 SAML 기반의 단일인증 방법.
  11. 제9항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 사용자이름과 비밀번호인 SAML 기반의 단일인증 방법.
  12. 제9항에 있어서,
    다른 도메인으로부터 상기 생성한 SAML 아티팩트를 수신하면 상기 수신한 SAML 아티팩트의 무결성을 체크하여 위조 또는 변조되지 않은 경우라면 상기 SAML 인증 어써션을 상기 다른 도메인으로 전송하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  13. 제12항에 있어서,
    상기 SAML 인증 어써션을 상기 다른 도메인에 전송하면 현 도메인에 저장되어 있는 SAML 인증 어써션과 인증 도메인 위치 정보를 삭제하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  14. 무선 인터넷을 통해 유선 인터넷 서비스를 제공하는 제1 도메인의 서비스 자원에 접근하기 위하여 인증에 필요한 정보와 사용자 인증 메시지 처리에 필요한 정보를 전송하는 단계;
    상기 제1 도메인의 위치 정보를 포함하는 인증 도메인 위치 정보를 수신하는 단계; 및
    상기 인증 도메인 위치 정보를 수신한 후 상기 제1 도메인의 서비스 자원에 접근하는 단계를 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  15. 제14항에 있어서,
    상기 무선 인터넷 프로토콜은 WAP 방식이고, 상기 제1 도메인과 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 마크업 랭귀지 기반의 단일인증 방법.
  16. 제14항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 사용자이름과 비밀번호인 마크업 랭귀지 기반의 단일인증 방법.
  17. 제14항에 있어서,
    무선 인터넷을 통해 유선 인터넷 서비스를 제공하는 제2 도메인의 서비스 자원에 접근하기 위하여 상기 수신한 인증 도메인 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 전송하고, 상기 제2 도메인의 서비스 자원에 접근하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  18. 무선 인터넷을 통해 유선 인터넷 서비스를 제공하는 제1 도메인의 서비스 자원에 접근하기 위하여 인증에 필요한 정보를 전송하는 단계;
    상기 제1 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 수신하는 단계; 및
    상기 SAML 아티팩트를 수신한 후 상기 제1 도메인의 서비스 자원에 접근하는 단계를 포함하는 SAML 기반의 단일인증 방법.
  19. 제18항에 있어서,
    상기 무선 인터넷 프로토콜은 WAP 방식이고, 상기 제1 도메인과 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 SAML 기반의 단일인증 방법.
  20. 제18항에 있어서,
    상기 인증에 필요한 정보는 상기 사용자의 사용자이름과 비밀번호인 SAML 기반의 단일인증 방법.
  21. 제18항에 있어서,
    무선 인터넷을 통해 유선 인터넷 서비스를 제공하는 제2 도메인의 서비스 자원에 접근하기 위하여 상기 수신한 SAML 아티팩트를 전송하고, 상기 제2 도메인의 서비스 자원에 접근하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  22. 무선 인터넷을 사용하는 사용자를 인증한 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 수신하는 단계;
    상기 수신된 인증 도메인 위치 정보를 상기 사용자를 인증한 도메인에 전송하여 상기 사용자에 대한 인증 정보를 요청하는 단계; 및
    상기 사용자를 인증한 도메인으로부터 마크업 랭귀지 형식의 인증 메시지를 수신하여 인증 메시지를 분석 후, 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  23. 제22항에 있어서,
    상기 사용자가 사용하는 무선 인터넷 프로토콜은 WAP 방식이고, 상기 사용자와 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 마크업 랭귀지 기반의 단일인증 방법.
  24. 제22항에 있어서,
    현 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 생성하여 상기 사용자에게 전송하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  25. 제24항에 있어서,
    다른 도메인으로부터 상기 사용자에 대한 인증 정보 요청을 수신하면 상기 인증 메시지를 상기 다른 도메인으로 전송하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  26. 제25항에 있어서,
    상기 인증 메시지를 상기 다른 도메인에 전송하면 현 도메인에 저장되어 있는 인증 메시지와 인증 도메인 위치 정보를 삭제하는 단계를 더 포함하는 마크업 랭귀지 기반의 단일인증 방법.
  27. 무선 인터넷을 사용하는 사용자를 인증한 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 수신하는 단계;
    상기 수신된 SAML 아티팩트를 상기 사용자를 인증한 도메인에 전송하여 사용자에 대한 인증 정보를 요청하는 단계; 및
    상기 사용자를 인증한 도메인으로부터 SAML 인증 어써션을 수신하여 어써션을 분석 후 상기 사용자의 자원 접근을 허용 또는 거부하는 단계를 포함하는 SAML 기반의 단일인증 방법.
  28. 제27항에 있어서,
    상기 사용자가 사용하는 무선 인터넷 프로토콜은 WAP 방식이고, 상기 사용자와 WAP 게이트웨이를 통해 데이터를 송신하거나 수신하는 SAML 기반의 단일인증 방법.
  29. 제27항에 있어서,
    현 도메인의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 생성하여 상기 사용자에게 전송하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  30. 제29항에 있어서,
    다른 도메인으로부터 상기 생성한 SAML 아피팩트를 수신하면 상기 수신한 SAML 아티팩트의 무결성을 체크하여 위조 또는 변조되지 않은 경우라면 상기 SAML 인증 어써션을 상기 다른 도메인으로 전송하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  31. 제30항에 있어서,
    상기 SAML 인증 어써션을 상기 다른 도메인에 전송하면 현 도메인에 저장되어 있는 SAML 인증 어써션과 인증 도메인 위치 정보를 삭제하는 단계를 더 포함하는 SAML 기반의 단일인증 방법.
  32. 무선 인터넷을 사용하는 사용자에게 유무선 프로토콜 변환을 하는 게이트웨이를 통해 서비스 자원을 제공하는 복수의 도메인들; 및
    상기 도메인들 중 어느 한 도메인(A)으로부터 사용자의 인증에 필요한 정보를 받아 상기 사용자를 인증하고, 마크업 랭귀지 형식의 인증 메시지를 생성하여 상기 도메인(A)로 전송하는 인증 메시지 생성기를 포함하며,
    상기 인증 메시지를 상기 전송받은 상기 도메인(A)은 인증 메시지를 분석하여 상기 사용자의 서비스 자원 접근을 허용 또는 거부하고, 자신의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치 정보를 생성하여 상기 사용자에게 전송하고, 다른 도메인(B)으로부터 상기 사용자에 대한 인증 정보 요청을 수신하면 상기 인증 메시지를 상기 다른 도메인(B)으로 전송하는 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 시스템.
  33. 제32항에 있어서,
    상기 도메인(A)은 상기 도메인(B)에 인증 메시지를 전송한 후, 저장하고 있는 인증 메시지와 인증 도메인 위치 정보를 삭제하는 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 시스템.
  34. 제32항에 있어서,
    상기 사용자의 인증에 필요한 정보는 사용자이름과 비밀번호인 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 시스템.
  35. 제32항에 있어서,
    상기 게이트웨이는 WAP 프로토콜을 사용하는 WAP 게이트웨이인 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 시스템.
  36. 제32항에 있어서,
    상기 도메인(B)는 상기 인증 메시지를 전송받고 나서 자신의 위치정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 인증 도메인 위치정보를 생성하여 상기 사용자에게 전송하는 것을 특징으로 하는 마크업 랭귀지 기반의 단일인증 시스템.
  37. 무선 인터넷을 사용하는 사용자에게 유무선 프로토콜 변환을 하는 게이트웨이를 통해 서비스 자원을 제공하는 복수의 도메인들; 및
    상기 도메인들 중 어느 한 도메인(A)으로부터 사용자의 인증에 필요한 정보를 받아 상기 사용자를 인증하고, SAML 인증 어써션을 생성하여 상기 도메인(A)로 전송하는 인증 메시지 생성기를 포함하며,
    상기 SAML 인증 어써션을 전송받은 상기 도메인(A)은 어써션을 분석 후 상기 사용자의 서비스 자원 접근을 허용하고, 자신의 위치 정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 생성하여 상기 사용자에게 전송하고, 다른 도메인(B)으로부터 상기 SAML 아티팩트를 통해 상기 사용자 인증을 요청받으면 상기 SAML 아티팩트의 무결성을 체크하여 위조 또는 변조되지 않은 경우라면 상기 SAML 인증 어써션을 상기 다른 도메인(B)으로 전송하는 것을 특징으로 하는 SAML 기반의 단일인증 시스템.
  38. 제37항에 있어서,
    상기 도메인(A)은 상기 도메인(B)에 SAML 인증 어써션을 전송한 후, 저장하고 있는 SAML 인증 어써션과 인증 도메인 위치 정보를 삭제하는 것을 특징으로 하는 SAML 기반의 단일인증 시스템.
  39. 제37항에 있어서,
    상기 사용자의 인증에 필요한 정보는 사용자이름과 비밀번호인 것을 특징으로 하는 SAML 기반의 단일인증 시스템.
  40. 제37항에 있어서,
    상기 게이트웨이는 WAP 프로토콜을 사용하는 WAP 게이트웨이인 것을 특징으로 하는 SAML 기반의 단일인증 시스템.
  41. 제37항에 있어서,
    상기 도메인(B)는 상기 SAML 인증 어써션을 전송하고 나서 자신의 위치정보와 사용자 인증 메시지 처리에 필요한 정보를 포함하는 SAML 아티팩트를 생성하여 상기 사용자에게 전송하는 것을 특징으로 하는 SAML 기반의 단일인증 시스템.
  42. 제1항 내지 제31항 중 어느 한 항의 방법을 실행하기 위한 컴퓨터로 판독 가능한 프로그램을 기록한 기록매체.
KR1020040042538A 2004-06-10 2004-06-10 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 KR100644616B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040042538A KR100644616B1 (ko) 2004-06-10 2004-06-10 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
US11/149,150 US8108921B2 (en) 2004-06-10 2005-06-10 Single-sign-on method based on markup language and system using the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040042538A KR100644616B1 (ko) 2004-06-10 2004-06-10 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템

Publications (2)

Publication Number Publication Date
KR20050117275A true KR20050117275A (ko) 2005-12-14
KR100644616B1 KR100644616B1 (ko) 2006-11-10

Family

ID=35461170

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040042538A KR100644616B1 (ko) 2004-06-10 2004-06-10 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템

Country Status (2)

Country Link
US (1) US8108921B2 (ko)
KR (1) KR100644616B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100697344B1 (ko) * 2004-12-29 2007-03-20 학교법인 대양학원 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607008B2 (en) * 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
US7702917B2 (en) 2004-11-19 2010-04-20 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US20060123472A1 (en) * 2004-12-07 2006-06-08 Microsoft Corporation Providing tokens to access federated resources
US7603555B2 (en) * 2004-12-07 2009-10-13 Microsoft Corporation Providing tokens to access extranet resources
US8613057B2 (en) * 2006-11-27 2013-12-17 Red Hat, Inc. Identity management facilitating minimum disclosure of user data
JP4314267B2 (ja) * 2006-11-30 2009-08-12 キヤノン株式会社 アクセス制御装置およびアクセス制御方法及び印刷システム
US20100050243A1 (en) * 2006-12-04 2010-02-25 Sxip Identify Corp. Method and system for trusted client bootstrapping
US8613044B2 (en) * 2007-06-22 2013-12-17 4Dk Technologies, Inc. Delegating or transferring of access to resources between multiple devices
KR100995904B1 (ko) * 2007-12-18 2010-11-23 한국전자통신연구원 웹 서비스 방법 및 그 장치
US8327146B2 (en) * 2008-03-31 2012-12-04 General Motors Llc Wireless communication using compact certificates
US8190120B1 (en) * 2008-04-25 2012-05-29 Sprint Communications Company L.P. Method and system for the creation of location based records
US9735964B2 (en) * 2008-06-19 2017-08-15 Microsoft Technology Licensing, Llc Federated realm discovery
US9836702B2 (en) * 2008-10-16 2017-12-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
CN101516126B (zh) * 2009-03-24 2011-04-13 华为技术有限公司 一种无线局域网接入异种网络的方法和装置
US8455859B2 (en) * 2009-10-01 2013-06-04 Taiwan Semiconductor Manufacturing Company, Ltd. Strained structure of semiconductor device
US8645699B2 (en) * 2010-03-15 2014-02-04 Blackberry Limited Use of certificate authority to control a device's access to services
US20120066750A1 (en) * 2010-09-13 2012-03-15 Mcdorman Douglas User authentication and provisioning method and system
KR20120072032A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 모바일 단말의 상호인증 시스템 및 상호인증 방법
JP5929900B2 (ja) * 2011-03-23 2016-06-08 日本電気株式会社 許可証発行装置及び許可証発行方法
US8943574B2 (en) 2011-05-27 2015-01-27 Vantiv, Llc Tokenizing sensitive data
US9058486B2 (en) 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
JP6066586B2 (ja) * 2012-05-22 2017-01-25 キヤノン株式会社 情報処理システム、その制御方法、およびそのプログラム。
US9083751B2 (en) * 2012-08-31 2015-07-14 Cisco Technology, Inc. Method for cloud-based access control policy management
US9197498B2 (en) 2012-08-31 2015-11-24 Cisco Technology, Inc. Method for automatically applying access control policies based on device types of networked computing devices
CN102970297B (zh) * 2012-11-27 2015-03-04 飞天诚信科技股份有限公司 一种行程记录方法
WO2015119658A1 (en) * 2014-02-07 2015-08-13 Oracle International Corporation Mobile cloud service architecture
US9805185B2 (en) * 2014-03-10 2017-10-31 Cisco Technology, Inc. Disposition engine for single sign on (SSO) requests
US9779233B2 (en) * 2015-03-05 2017-10-03 Ricoh Co., Ltd. Broker-based authentication system architecture and design
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
CN108449312B (zh) * 2018-01-31 2021-01-22 北京奇艺世纪科技有限公司 一种协议转换方法、装置、系统及网关
US20200106766A1 (en) * 2018-09-28 2020-04-02 Konica Minolta Laboratory U.S.A., Inc. Method and system for security assertion markup language (saml) service provider-initiated single sign-on

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6977917B2 (en) * 2000-03-10 2005-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a service network
KR100369891B1 (ko) 2000-09-08 2003-01-29 (주) 엘지텔레콤 이종 통신사업자망간의 무선 인터넷 컨텐츠 제공 시스템및 그 운영방법
WO2002080457A1 (en) * 2001-03-29 2002-10-10 Sphere Software Corporation Layering enterprise application services using semantic firewalls
KR20010069606A (ko) * 2001-04-20 2001-07-25 유도욱 Html 문서를 무선 인터넷에서 사용되는 언어로전환하는 방법 및 그 시스템
US20030013558A1 (en) * 2001-06-26 2003-01-16 Viljoen Hendrik Petrus Jacobus Golfing aid
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
EP1288765B1 (en) * 2001-09-04 2007-11-21 Telefonaktiebolaget LM Ericsson (publ) Universal authentication mechanism
US7530099B2 (en) * 2001-09-27 2009-05-05 International Business Machines Corporation Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation
KR100420265B1 (ko) 2001-11-15 2004-03-02 한국전자통신연구원 무선 인터넷 망간 접속 방법
US7363354B2 (en) * 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
FR2834163B1 (fr) 2001-12-20 2004-11-19 Cegetel Groupe Procede de controle d'acces a un contenu et systeme pour le controle d'acces a un contenu
KR100827165B1 (ko) * 2001-12-28 2008-05-02 주식회사 케이티 인터넷 접속 서비스별 도메인 기반 워크플로우 관리 시스템
CA2469664C (en) * 2002-01-15 2016-08-30 Avaya Technology Corp. Communication application server for converged communication services
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20030177388A1 (en) * 2002-03-15 2003-09-18 International Business Machines Corporation Authenticated identity translation within a multiple computing unit environment
US7552481B2 (en) * 2002-03-18 2009-06-23 Sun Microsystems, Inc. Method of assessing an organization's network identity capability
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US20040054898A1 (en) * 2002-08-28 2004-03-18 International Business Machines Corporation Authenticating and communicating verifiable authorization between disparate network domains
US7725562B2 (en) * 2002-12-31 2010-05-25 International Business Machines Corporation Method and system for user enrollment of user attribute storage in a federated environment
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US8554930B2 (en) * 2002-12-31 2013-10-08 International Business Machines Corporation Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
US7797434B2 (en) * 2002-12-31 2010-09-14 International Business Machines Corporation Method and system for user-determind attribute storage in a federated environment
US8561161B2 (en) * 2002-12-31 2013-10-15 International Business Machines Corporation Method and system for authentication in a heterogeneous federated environment
US20040128541A1 (en) * 2002-12-31 2004-07-01 Iinternational Business Machines Corporation Local architecture for federated heterogeneous system
US7587491B2 (en) * 2002-12-31 2009-09-08 International Business Machines Corporation Method and system for enroll-thru operations and reprioritization operations in a federated environment
US20040128546A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for attribute exchange in a heterogeneous federated environment
US20040128544A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for aligning trust relationships with namespaces and policies
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
KR100548354B1 (ko) * 2003-06-14 2006-02-02 엘지전자 주식회사 동기화 프로토콜에서의 사용자 인증 방법
US7698398B1 (en) * 2003-08-18 2010-04-13 Sun Microsystems, Inc. System and method for generating Web Service architectures using a Web Services structured methodology
US7831693B2 (en) * 2003-08-18 2010-11-09 Oracle America, Inc. Structured methodology and design patterns for web services
US7290278B2 (en) * 2003-10-02 2007-10-30 Aol Llc, A Delaware Limited Liability Company Identity based service system
US7788711B1 (en) * 2003-10-09 2010-08-31 Oracle America, Inc. Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts
KR100744531B1 (ko) * 2003-12-26 2007-08-01 한국전자통신연구원 무선 단말기용 암호키 관리 시스템 및 방법
EP1719316B1 (en) * 2003-12-29 2012-05-23 Telefonaktiebolaget LM Ericsson (publ) Means and method for single sign-on access to a service network through an access network
US8528063B2 (en) * 2004-03-31 2013-09-03 International Business Machines Corporation Cross domain security information conversion
US8522039B2 (en) * 2004-06-09 2013-08-27 Apple Inc. Method and apparatus for establishing a federated identity using a personal wireless device
CN101014958A (zh) * 2004-07-09 2007-08-08 松下电器产业株式会社 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
US7603555B2 (en) * 2004-12-07 2009-10-13 Microsoft Corporation Providing tokens to access extranet resources
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US20080046349A1 (en) * 2006-08-17 2008-02-21 Verizon Data Services Inc. Method and systems for providing online banking and account aggregation services

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100697344B1 (ko) * 2004-12-29 2007-03-20 학교법인 대양학원 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login

Also Published As

Publication number Publication date
US8108921B2 (en) 2012-01-31
KR100644616B1 (ko) 2006-11-10
US20050277420A1 (en) 2005-12-15

Similar Documents

Publication Publication Date Title
KR100644616B1 (ko) 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
CN101569217B (zh) 不同认证基础设施的集成的方法和布置
US7221935B2 (en) System, method and apparatus for federated single sign-on services
CA2473793C (en) System, method and apparatus for federated single sign-on services
EP1741268B1 (en) A method for verifying a first identity and a second identity of an entity
US6606663B1 (en) Method and apparatus for caching credentials in proxy servers for wireless user agents
EP2375688B1 (en) Managing automatic log in to Internet target resources
US7389328B2 (en) Method for control of personal data
CN101567878B (zh) 提高网络身份认证安全性的方法
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
WO2013186070A1 (en) A method and a system for providing access to protected resources via an oauth protocol
WO2010094331A1 (en) Authentication to an identity provider
KR20070108365A (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
CN103004244A (zh) 结合Web应用和网页的通用引导架构使用
KR20130109322A (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
CN103023856A (zh) 单点登录的方法、系统和信息处理方法、系统
US20060020791A1 (en) Entity for use in a generic authentication architecture
KR100697344B1 (ko) 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템
WO2021079023A1 (en) Inter-mobile network communication security
CN115086956A (zh) 通信网络的入网方法、入网装置、介质和电子设备
Jeong et al. An XML-based single sign-on scheme supporting mobile and home network service environments
US20040152448A1 (en) Method and arrangement for authenticating terminal equipment
Jeong et al. A study on the xml-based single sign-on system supporting mobile and ubiquitous service environments
Kemp et al. Liberty ID-FF Implementation Guidelines
Moon et al. Trusted certificate validation scheme for open LBS application based on XML web services

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121030

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131030

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141030

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151029

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee