KR20060032602A - 패스워드를 분배하기 위한 방법 - Google Patents

패스워드를 분배하기 위한 방법 Download PDF

Info

Publication number
KR20060032602A
KR20060032602A KR1020057025078A KR20057025078A KR20060032602A KR 20060032602 A KR20060032602 A KR 20060032602A KR 1020057025078 A KR1020057025078 A KR 1020057025078A KR 20057025078 A KR20057025078 A KR 20057025078A KR 20060032602 A KR20060032602 A KR 20060032602A
Authority
KR
South Korea
Prior art keywords
remote server
password
authentication
authentication node
identity
Prior art date
Application number
KR1020057025078A
Other languages
English (en)
Inventor
베사 매티 토르비넨
모니카 위프벤손
알프레도 곤잘레스-플라자
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20060032602A publication Critical patent/KR20060032602A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Burglar Alarm Systems (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

최종-사용자(UE) 장치가 원격 서버(103)에 액세스하도록 사용하기 위한 패스워드 생성 방법은 액세스 요청을 UE로부터 원격 서버로 전송하는 단계, 및 UE의 홈 네트워크(104)의 인증 노드(105)로 액세스 요청의 세부 사항 및 원격 서버의 아이덴티티를 전송하는 단계를 포함한다. HTTP Digest 챌런지는 최종-사용자 패스워드를 생성할 수 있는 알고리즘을 사용하여 인증 노드 또는 원격 서버에서 생성된다. 챌런지는 원격 서버의 아이덴티티 및 UE의 아이덴티티의 세부사항을 포함한다. 패스워드는 HTTP Digest 챌런지에 기초하여 UE(101)에서 생성되고, 저장되는데, 패스워드는 원격 서버(103)의 아이덴티티 및 UE(101)의 아이덴티티에 관련되어 있다.
UE, HTTP Digest 챌런지, 인증 노드, 원격 서버, 패스워드

Description

패스워드를 분배하기 위한 방법{METHOD FOR DISTRIBUTING PASSWORDS}
본 발명은 패스워드를 분배하는 방법에 관한 것이다. 특히, 최종-사용자 장치에 의해 원격 서버에 액세스하도록 사용하기 위한 패스워드 생성 방법을 관한 것에 국한된 것이 아니고, 원격 서버에서 패스워드는 다음 사용을 위해 계속 유지된다.
애플리케이션 및 애플리케이션 프록시를 위한 최종-사용자 패스워드의 생성 및 분배는 문제가 있다. 반면에, 최종-사용자는 단순하고 짧은 패스워드를 만드는 경향이 있는데, 그 결과 승인되지 않은 제3자에게 노출되는 위험이 계속된다. 반면에 최종-사용자 아이덴티티 및 그들의 패스워드의 관계는 불안정하여 손실이 크다는 것이 발견된다.
상이한 트러스트 도메인(trust domain) 사이에 이미 존재하는 패스워드의 재사용을 허락하는 매커니즘이 존재하는데, 예컨대 리버티 얼리언스(Liberty Aliance)에 의해 개발된 싱글-사인-온(Single-Sign-On) 솔루션이다. 그러나 인증을 수행하기 위해 제3자에게 의존하는 것이 종종 필요하다. 이러한 배열이 사용될 때, 서비스 제공자는 인증에 적극적으로 참여하지 않는다. 반면에, 서비스 제공자에 의해 수행되는 패스워드 프로세스는 항상 적절하지 않은데 왜냐하면 애플리케이션 서 버에서 패스워드 프로세스는 복잡하고 비용이 많이 드는 프로세스 절차, 즉, 패스워드 수명시간을 유지하는 것, 패스워드 값을 중복하는 것, 유효한 값에 대한 정책, 등을 요청하기 때문이다. 게다가, 최종-사용자는 많은 패스워드를 기억하는 것을 원하지 않고, 몇몇의 애플리케이션 서버에 같은 패스워드를 사용하는 경향이 있는데, 이것은 명백히 보안의 레벨을 감소시킨다.
하이퍼텍스트 변환 프로토콜 다이제스트(HTTP Digest) 인증 프레임워크는, IETF 문서 RFC 2617에 설명된 바와 같이, 최종-사용자 패스워드를 생성할 수 있는 방법을 포함할 수도 있다. 예를 들면, RFC 3310에 설명된 바와 같이 인증 및 키 일치(Authentication and Key Agreement,AKA) 방식을 사용하여 HTTP Digest 권한은 소위 ISIM/USIM/SIM 카드라 불리는 불법 변조 방지 장치에 저장된 AKA 방식 자격 증명서에 기초하여 기존의 3GPP 인증 구조를 사용하여 최종-사용자 패스워드 생성을 위한 방법이다. 상기 프레임워크 세부 사항은 http://www.ietf.org/rfc.html에서 확인할 수 있다. HTTP Digest AKA 방식이 사용자 관여 없이 새로운 패스워드를 생성하기 위한 융통성 있는 방법을 제공할지라도, 애플리케이션 서버 또는 프록시와 같은 제3자에게 이런 패스워드를 위임하기 위한 표준 방법을 포함하지 않는다. 게다가, HTTP Digest AKA 방식은 패스워드가 오직 한번 사용될 수 있다고 추정된다.
상기 문제를 극복하거나 적어도 완화시키는 것이 본 발명의 목적이다. 특히, 패스워드가 다음 인증을 위해 안전하게 사용될 수 있도록 HTTP Digest AKA 방식을 사용하여 생성된 패스워드를 제3자에게 위임하는 것이 본 발명의 목적이다.
이런 목적 및 다른 목적은 패스워드를 생성할 수 있는 알고리즘, 예컨대 HTTP Digest AKA 방식으로 HTTP Digest를 사용하여 최종-사용자 장치 및 그들의 홈 네트워크 사이에 실행된 최초 인증에 의해 성취된다. 최초 인증 동안에, 홈 네트워크는 새로운 패스워드가 애플리케이션 서버 및 프록시와 같은 제3자의 아이덴티티에 링크되는 패스워드 및 제3자에 대한 일시적인 새로운 최종-사용자 아이덴티티에 링크되는 프로세스를 개시한다. 인증 방법으로서 HTTP Digest를 사용하여 최종-사용자 장치 및 제3자는 새로운 패스워드 및 관련된 아이덴티티를 사용하여 개시할 수 있다.
본 발명의 하나의 양상에 따르면, 최종-사용자(UE) 장치에 의해 원격 서버에 액세스하도록 사용하기 위한 패스워드 생성 방법이 제공되는데, 이 방법은:
UE에서 원격 서버로 액세스 요청을 전송하는 단계;
UE를 위해 일시적인 아이덴티티를 생성하는 단계;
UE의 홈 네트워크의 인증 노드로 액세스 요청의 세부사항을 전송하는 단계;
인증 노드 또는 원격 서버에서, UE의 일시적인 아이덴티티의 세부 사항을 포함하는 최종-사용자 패스워드를 생성할 수 있는 알고리즘을 이용한 HTTP Digest 챌런지(challenge)를 생성하는 단계;
UE에서, HTTP Digest 챌런지에 기초한 패스워드를 생성하는 단계로서, 상기 패스워드가 UE의 원격 서버 및 UE의 아이덴티티에 관련되는, 생성 단계; 및
UE의 패스워드 및 일시적인 아이덴티티를 UE에 저장하는 단계를 포함한다.
다른 알고리즘이 사용될 수도 있다고 인식될지라도, 최종-사용자 패스워드를 생성하기 위한 알고리즘은 HTTP Digest AKA 방식이 바람직하다.
바람직하게 원격 서버의 아이덴티티가 인증 노드로 전송되면, 원격 서버의 아이덴티티를 포함하도록 HTTP Digest 챌런지의 생성시킬 수 있다. 원격 서버의 아이덴티티는 또한 UE에 저장되는 것이 바람직하다.
UE의 일시적인 아이덴티티는 원격 서버에서 생성되는 것이 바람직하다.
하나의 실시예에서, 인증 노드에 액세스 요청의 세부 사항을 전송하는 단계는 인증 노드에 액세스하기 위해 요청을 재전송하는 것을 포함할 수도 있다. 그 다음에 HTTP Digest 챌런지는 인증 노드에서 생성될 수도 있고, 권한 노드로부터 직접 인증 노드로 전송될 수도 있다. 패스워드는 인증 노드에 저장되는 것이 바람직하다.
상기 패스워드가 생성된 후에, UE는 인증 노드에서 바람직하게 인증을 받고, 액세스 요청은 인증 노드부터 원격 서버로 재지향한다. 대안 실시예에서, 인증 노드에 액세스 요청의 세부 사항을 전송하는 단계는 인증 노드에 직접 접촉하는 원격 서버를 포함할 수도 있다. HTTP Digest 챌런지가 인증 노드에서 생성될 수도 있고, 인증 노드에서 원격 서버로 전송될 수도 있다. 대안으로, 원격 서버는 HTTP Digest 챌런지를 생성할 수도 있다. 그 다음에 HTTP Digest 챌런지는 원격 서버에서 UE로 직접 보내진다.
HTTP Digest AKA 방식 챌런지 패스워드는 인증 노드에서 원격 서버로 보내지는 정보에 포함되면, UE가 원격 서버에서 권한을 받는 것을 가능하게 한다. 대안으로, UE는 인증 노드에서 권한을 받게 될 수도 있고, 인증이 원격 서버로 귀환될 수도 있다.
상술된 방법으로 생성된 UE 및 원격 서버의 아이덴티티에 관한 패스워드는 UE 및 인증 노드 또는 원격 서버에 저장된다. 이것은 추가 패스워드를 생성을 위한 요청 없이 UE로부터 원격 서버로 액세스를 계속 가능하게 한다. 본 발명의 다른 양상에 따르면, 최종-사용자 장치로부터 원격 서버로 액세스하는 방법이 제공되는데, 이 방법은;
상술된 방법을 사용하여 패스워드를 생성하고 저장하는 단계;
UE에서 원격 서버로 액세스 요청을 전송하는 단계;
원격 서버에서, 원격 서버의 아이덴티티 및 UE의 일시적인 아이덴티티의 세부사항을 포함하는 HTTP Digest 챌런지를 생성하는 단계 및 UE로 챌런지를 전송하는 단계; 및
UE에서, UE의 일시적인 아이덴티티 및 패스워드의 소유권의 증명을 포함하는 인증 응답을 원격 서버로 전송하는 단계를 포함한다.
패스워드가 원격 서버에 저장되지 않으면, 원격 서버에서 인증 노드로 인증 요청을 전송하는 것이 필요로 될 수도 있다. 그리고 패스워드가 인증 노드에서 원격 서버로 전송되면, 원격 서버에서 UE의 인증을 할 수도 있다. 대안으로, UE는 인증 노드에서 인증될 수 있고, 인증 승인을 인증 노드에서 원격 서버로 전송할 수도 있다.
도 1은 네트워크의 개략도.
도 2A는 최종-사용자(UE) 장치 및 애플리케이션 서버 사이의 패스워드 생성 및 아이덴티티 일치를 위한 순서.
도 2B는 최종-사용자(UE) 장치 애플리케이션 서버 사이의 패스워드 생성 및 아이덴티티 일치를 위한 대안 순서.
도 3은 새로운 패스워드의 사용에 포함된 순서.
본 발명은 다양한 수정 및 대체할 수 있는 형태가 가능한 반면, 그것의 특정한 실시예는 도면의 예로서 도시되고 여기서 상세히 설명될 것이다. 그러나, 이 명세서는 여기서 설명된 특별한 형태로 본 발명을 제한하는 의도가 아니고, 반대로, 추가된 청구항에 의해 규정된 바에 따라, 본 발명의 영역 내의 모든 변형, 등가물, 및 대체할 수 있는 것이 본 발명에 포함된다는 것이 이해되어야만 한다.
도 1은 최종 수요자 장치(UE)(101)가 홈 네트워크(102),예컨대 범용 이동 통신 시스템(UTMS) 네트워크가 부가적인 네트워크(104)에 접속된 애플리케이션 서버(103)로 액세스를 원하는 통상적인 배열을 도해한다. UE(101)는 정보가 저장되는 아이피 멀티미디어 서비스 아이덴티티 모듈(ISIM)과 같은 불법 변조 방지 장치를 통합한다. HTTP Digest AKA 방식 프레임워크에 따라, 공유 시크릿(shared secret)은 UE(101)의 ISIM과 홈 네트워크(102)의 인증자(105) 사이에 이미 성립된다. 시크릿은 UE(101)의 ISIM으로 저장된다.
인증자(105)는 인증 벡터를 생성하는데, 공유 시크릿 및 일련 번호에 기초한 다. 인증 벡터는 임의의 챌런지, 네트워크 인증 토큰, 기대되는 인증 결과, 통합 검사를 위한 세션 키, 및 암호화를 위한 세션 키를 포함한다. 인증 벡터는 애플리케이션 서버(103)로 다운로드 된다. 애플리케이션(103)은 임의의 챌런지 및 UE(101)로 전송되는 네트워크 인증자 토큰을 포함하는 인증 요청을 생성한다.
공유 시크릿 및 일련 번호를 사용하여 UE(101)는 ISIM과 함께 인증 요청에 포함되는 네트워크 인증 토큰을 인증한다. 인증이 성공적이면, 네트워크는 권한을 부여받는다. 그 후에 UE(101)는 인증 응답을 생성하는데, 공유 시크릿 및 임의의 챌런지를 사용하고, 이것을 애플리케이션 서버(103)로 전송한다. 애플리케이션 서버(103)는 UE(101)로부터 받은 인증 응답과 인증자(103)로부터 받은 기대되는 응답을 비교한다. 두 개가 일치한다면, 사용자는 성공적으로 권한을 부여받고, 인증 벡터의 세션 키는 UE(101) 및 애플리케이션 서버(103) 사이의 부가적인 통신을 금지하도록 이용될 수 있다. 그러나, 그 이후에 UE(101)는 네트워크를 인증하고 세션키를 획득하는 것이 뒤따라야만 하는 동일한 절차로 애플리케이션 서버(103)에 접근하기를 희망하는데; UE에 의해 추후 사용하기 위한 패스워드를 저장하는 메커니즘이 없다.
도 2A는 UE(101)를 애플리케이션 서버(AS)(103)로 권한을 부여하기 위한 시스템의 하나의 실시예를 나타낸다. 제 1 위상에서, UE(101)는 HTTP Digest AKA 방식을 사용하여 권한을 부여받고, 생성된 패스워드는 애플리케이션 서버(103) 및 UE(101)의 아이덴티티와 연결된다. 도 2A에서 도시된 절차를 이해하기 위해, HTTP Digest 인증 프레임워크에 사용되는 두 가지 개념 규정되어야 한다.
'realm'은 사용하기 위한 어느 사용자 이름 및 패스워드를 UE(101)에 나타내는 문자열이다. 이런 문자열은 최소한 인증 센터(103)의 이름을 담고 있고, 게다가 누가 액세스했었는지 이용자의 모음을 나타낼 수도 있다. 예는 "registered_users@home.com"일 수 있다. 3GPP/AKA 방식의 문맥에서, 홈 네트워크의 영역는 UE(101)의 SIM/USIM/ISIM 카드에 통상적으로 저장된다.
'username'은 서술된 영역(realm) 내의 사용자이름이다. 이런 문자열은 사용자에 대한 정확한 패스워드를 찾도록 애플리케이션 서버(103)에 의해 사용된다. 3GPP/AKA 방식의 문맥에서, 홈 네트워크를 사용한 사용자이름은 UE(101)의 SIM/USIM/ISIM 카드에 통상적으로 저장된다. 대부분 경우에서, 사용자이름은 소위 프라이벗 아이덴티티(IMPI)와 같다. 3GPP 사용자이름은 서명을 확인하고, 이런 이유로 패스워드는 실제의 최종-사용자보다는 최종-사용자 장치에서 명확하다. 표준 HTTP 인증 프레임워크에서, 사용자 이름 및 패스워드는 최종-사용자에 의해 타이프되어 삽입되지만, 3GPP/AKA 방식의 문맥에서, 이러한 영역은 UE(101)에 의해 자동적으로 채워진다.
도 2A에 나타난 바에 따르면, 제 1 위상으로 UE(101) 및 애플리케이션 서버(103)는 공유 시크릿을 갖지 않는다. UE(101)는 HTTP Digest AKA 방식을 사용하여 권한이 부여되고, 생성된 패스워드는 UE(101) 및 애플리케이션 서버(103)의 아이덴티티에 관련된다. 상기 절차는 다음의 단계를 갖는다:
1a) UE(101)는 HTTP 요청(통상적으로 HTTP GET)을 애플리케이션 서버(103)로 전송한다.
2a) 애플리케이션 서버(103) 및 UE(101)는 공유 시크릿을 갖지 않으므로, 애플리케이션 서버(103)는 요청을 재전송한다. 요청을 재전송하기 전에, 애플리케이션 서버(103)는 UE(101)에 대한 새로운 일시적인 사용자이름을 규정할 수도 있다. 애플리케이션 서버(103)는 요청에 이런 사용자이름 및 고유의 아이덴티티 정보를 포함한다. 아이덴티티 정보는 몇몇 표준 포맷, 예컨대 "username@realm"의 URI 파라미터로 통상적으로 부호화된다.
3a) 애플리케이션 서버(103)가 HTTP 재지향하고, UE(101)에 대한 새로운 HTTP Digest AKA 방식 패스워드를 요청하도록 권한이 부여되는지 여부를 인증자(105)가 확인한다. 이런 경우라면, 그 후에 인증자(105)는 요청으로부터 아이덴티티 정보를 수신하고, HTTP Digest AKA 방식 챌런지에서 UE(101)로 전송하는 이런 정보를 부호화한다. 하나의 실시예에서 인증자(105)는 RFC 3310에 설명된 바와 같이, 소위 HTTP Digest AKA 방식의 "서버 데이터"로 일단 아이덴티티 정보를 전송한다. 챌런지에서 아이덴티티를 포함함으로써, 인증자(105)는 애플리케이션 서버(103)의 아이덴티티를 확실하게 할 수 있고, 또는 일시적인 최종-사용자의 아이덴티티는 UE(101)와 인증자(103) 사이의 어떤 제3자(예컨대 공격자)에 의해 바뀌지 않을 수 있는데, 왜냐하면 챌런지가 다음 메세지에서 인증자(105)로 또다시 회수되기 때문이다.
4a) UE(101)는 네트워크(표준 AKA 프로토콜로 규정된 바에 의함)를 인증하고, HTTP Digest AKA 방식 챌런지에 기초하여 새로운 패스워드를 생성한다. 애플리케이션 서버(103)와 함께 상호 증명을 위해 추후 사용되기 위해서, UE(101)는 애플 리케이션 서버(103)의 아이덴티티 및 새롭게 생성된 패스워드를 국부적으로 저장한다. 챌런지가 애플리케이션 서버(103)에 의해 생성된 새로운 일시적인 'username'을 또한 포함한다면, 이런 사용자이름은 패스워드 및 애플리케이션 서버(103) 아이덴티티와 함께 또한 저장된다. 애플리케이션 서버뿐만 아니라 UE 아이덴티티가 HTTP Digest AKA 챌런지, 예컨대 "username@realm" 포멧으로 부호화된다. UE(101)는 인증자(103)로 인증 응답을 전송한다.
새로운 'username'은 UE(101)에 의해 일시적인 사용자 이름으로서 나타내진다. 이런 사용자 이름과 관련된 HTTP Digest AKA 방식 패스워드는 새로운 'username' 및 패스워드가 같은 영역에 생성될 때, 삭제된다. 챌런지가 새로운 일시적인 사용자 이름을 포함하지 않는다면, 기존의 사용자이름이 재사용될 수도 있다.
5a) 인증자(105)는 UE(101)를 인증하고, 이것이 성공적이라면, 추후 사용되도록 UE(101) 및 애플리케이션 서버(103)의 새로운 패스워드 및 아이덴티티를 저장한다. 요청은 애플리케이션 서버(103)로 재지향한다.
적절하다면, 애플리케이션 서버(103)는 인증자(105)에 의해 구현된 최초의 인증을 확신할 수도 있다. 인증자(105)가 안전하다고 인식되지 않으면, 애플리케이션 서버(103)는 지금 새롭게 생성된 패스워드를 사용하여 UE(101)를 또한 리챌런지할 수도 있다. 이번에는, HTTP Digest AKA 방식이 인증에 사용되지 않는다. 대신, 몇몇 다른 알고리즘을 사용하여 HTTP Digest가 사용되는데, 예컨대 RFC 2617에 도시된 바와 같이 MD5가 사용될 수 있다.
도 2B는 UE(101)를 애플리케이션 서버(AS)(103)에 인증하기 위한 대안 시스템의 실시예를 보여준다. 제 1 위상은 여러 절차로 구성되고, 다음의 단계를 갖는다:
1b) UE(101)는 HTTP 요청(통상적으로 HTTP GET)을 애플리케이션 서버(103)로 전송한다.
2b) 애플리케이션 서버(103) 및 UE(101)가 공유 시크릿을 갖지 않기 때문에, 애플리케이션 서버(103)는 직접 인증자(105)로부터 HTTP Digest AKA 방식 인증 챌런지를 요청한다. 상술된 실시예에 따라, 요청은 애플리케이션(103)의 아이덴티티 및 새로운 일시적인 UE(101)의 아이덴티티를 포함할 수도 있다.
3b) 인증자(105)는 애플리케이션 서버(103)가 이런 UE(101)에 대한 새로운 HTTP Digest AKA 방식 패스워드를 요청하도록 권한을 부여받았는지 여부를 확인하도록 점검한다. 이런 경우라면, 그 후에 인증자는 (만약 존재한다면) 요청으로부터 애플리케이션 서버의 아이덴티티 및 최종-사용자의 아이덴티티를 수신하고, 이미 설명된 실시예에 따라 HTTP Digest AKA 방식 챌런지로 이런 정보를 부호화한다. 대안으로, 애플리케이션 서버(103)는 이하 설명된 4b 단계의 챌런지에서 이런 방법을 또한 포함할 수도 있다. 아이덴티티 정보는 몇몇의 표준 포맷, 예컨대 username@realm 또는 temporary_username@remote_realm으로 부호화된다. HTTP Digest AKA 방식 챌런지를 생성하기 위해 애플리케이션 서버(103)에 의해 요청된 정보는 애플리케이션 서버(103)로 재전송된다. 이런 파라미터가 HTTP Digest AKA 방식 패스워드를 포함한다면, 이하 6b 및 7b 단계가 필요하지 않을 수도 있다.
4b) UE(101)는 HTTP Digest AKA 방식 인증 챌런지에 의해 챌런지된다. 애플리케이션 서버(103)는 UE(101)로 챌런지를 보내기 전에 애플리케이션 서버 및 최종-사용자 아이덴티티를 인증 챌런지에 추가할 수도 있다. 그러나, 이런 경우, 애플리케이션 서버(103)는 인증에 대한 종료점이 되어야만 하며, HTTP Digest AKA 방식 패스워드를 프로세스한다.
5b) UE(101)는 네트워크(표준 AKA 방식 프로토콜로 규정된 바에 의함)를 인증하고, HTTP Digest AKA 방식 챌런지에 기초한 새로운 패스워드를 생성한다. UE는 애플리케이션 서버(103)(예컨대, "realm")의 아이덴티티, 새롭게 생성된 패스워드, 및 애플리케이션 서버(만약 존재한다면)와 함께 상호 인증을 위해서 애플리케이션 서버(103)에 의해 추후 사용되는 그 자체를 위한 새로운 일시적인 'username'(만약 존재한다면)을 국부적으로 저장한다. UE(101)는 애플리케이션 서버(103)로 인증응답을 전송한다. 상술된 실시예에 따라, UE(101)는 일시적인 사용자 이름으로서 잠재적이고 새로운 'username'을 나타낸다.
6b) 상기 3b 단계에서 애플리케이션 서버(103)가 최종-사용자 패스워드를 수신하지 않았다면, 이제 인증자(105)가 인증을 구현하는 것을 요청한다.
7b) 상기 3b 단계에서 애플리케이션 서버(103)가 최종-사용자 패스워드를 수신하지 않고, 6b 단계에서 인증을 요청했다면, 인증자(105)는 UE(101)을 인증하고, 애플리케이션 서버(103)로 적절한 결과를 재전송한다. 인증자(105)는 이번 단계 또는 다음 단계에서 최종-사용자 패스워드를 애플리케이션 서버(103)로 또한 전송할 수도 있다.
8b) UE 인증이 성공적이라면, 서비스는 UE(101)로 전송된다.
도 2A나 도 2B에 관하여 상술된 과정을 거친 후에 공유 시크릿을 갖는 애플리케이션 서버(103) 및 UE(101)의 결과를 가져온다. 다음에서 애플리케이션 서버(103)는 UE(101)의 인증(이것은 이전 과정 이후, 또는 몇몇의 긴 시간 이후 즉시 있을 수도 있는데, 예를 들어, 다음번에 UE(101)가 애플리케이션 서버(103)에 접촉하는 것)을 필요로 하고, 과정은 도 3에서 도시된 바와 같다.
1c) UE(101)는 HTTP 요청(통상적으로 HTTP GET)을 애플리케이션 서버(103)로 전송한다.
2c) 애플리케이션 서버(103) 및 UE(101)는 현재 공유 시크릿을 갖기 때문에, 애플리케이션 서버(103)는 HTTP Digest 챌런지와 함께 UE를 챌런지한다. 챌런지는 "realm" 파라미터의 애플리케이션 서버(103)의 아이덴티티를 포함한다.
3c) UE(101)는 인증응답(통상적으로 HTTP GET 요청)을 이전 양상(도 2B 또는 도 2C와 관련하여 상술된) 동안에 생성된 애플리케이션 서버(103)를 위해 새롭고 일시적인 'username' 및 패스워드를 사용하여 애플리케이션 서버(103)로 재전송한다. 새로운 일시적인 사용자 이름이 생성되지 않는다면, 표준 AKA방식 특정 사용자 이름이 사용된다. UE(101)는 "realm" 파라미터를 적절한 패스워드를 확인하기 위하여 사용한다.
4c) 애플리케이션 서버(103)가 최종-사용자 패스워드를 프로세스 한다면, 이번 단계 및 다음 단계(5c)를 필요로 하지 않는다. 만약 애플리케이션 서버(103)가 최종-사용자 패스워드를 프로세스하지 않는다면, 애플리케이션 서버(103)는 인증자 (105)로부터(또는 UE 특정 패스워드를 저장해 온 몇몇 다른 네트워크 실체(도시되지 않음)) 인증을 위해 요청한다.
5c) 이번 단계에서는 두 개의 상이한 가능성이 있다. 인증자(105)는 애플리케이션 서버(103)를 대신하여 인증을 프로세스 할 수도 있다. 이런 경우, 애플리케이션 서버(103)는 패스워드를 알 필요가 없고, 인증자는 인증이 성공적인지 여부에 따라 정보를 애플리케이션 서버로 간단하게 재전송한다. 대안으로, 인증자(105)는 패스워드를 애플리케이션 서버(103)로 보낼 수도 있고, 그 후에 인증을 구현한다.
인증이 성공적이라면, AS는 서비스를 UE로 전송한다. 상술된 실시예로부터 변화는 본 발명의 영역 안에 여전히 존재하는 것으로 인식될 것이다. 예를 들어, RFC 2617에 나타난 바에 따라, 인증자는 사용자의 평문 패스워드를 실제로 몰라도 된다. 사용자 이름, 영역 및 패스워드의 다이제스트 된 값이 서버에 사용 가능하기만 하면, 인증 헤더의 유효성은 인증될 수도 있다.

Claims (17)

  1. 최종-사용자(UE) 장치에 의해 원격 서버에 액세스하도록 사용하기 위한 패스워드 생성 방법으로서, 이 방법은:
    UE에서 원격 서버로 액세스 요청을 전송하는 단계;
    UE를 위해 일시적인 아이덴티티를 생성하는 단계;
    UE의 홈 네트워크의 인증 노드로 액세스 요청의 세부사항을 전송하는 단계;
    인증 노드 또는 원격 서버에서, UE의 일시적인 아이덴티티의 세부 사항을 포함하여, 최종-사용자 패스워드를 생성할 수 있는 알고리즘을 이용하여 하이퍼텍스트 트랜스퍼 프로토콜(HTTP) Digest 챌런지를 생성하는 단계;
    UE에서, HTTP Digest 챌런지에 기초하여 패스워드를 생성하는 단계로서, 상기 패스워드가 원격 서버의 아이덴티티 및 UE의 아이덴티티에 관련된, 패스워드 생성 단계; 및
    UE의 패스워드 및 일시적인 아이덴티티를 UE에 저장하는 단계를 포함하는 패스워드 생성 방법.
  2. 제 1항에 있어서,
    상기 최종-사용자 패스워드를 생성할 수 있는 알고리즘이 HTTP Digest 인증 및 키 일치(AKA) 방식인 것을 특징으로 하는 패스워드 생성 방법.
  3. 제 1 또는 제 2항에 있어서,
    상기 인증 노드로 원격 서버의 아이덴티티를 전송하는 단계를 더 포함하는데, 상기 HTTP Digest 챌런지를 생성하는 단계가 상기 원격 서버의 아이덴티티를 사용하는 단계를 포함하고, 상기 원격 서버의 아이덴티티가 UE에 저장되는 단계를 특징으로 하는 패스워드 생성 방법.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서,
    상기 일시적인 상기 UE의 아이덴티티가 상기 원격 서버에서 생성되는 것을 특징으로 하는 패스워드 생성 방법.
  5. 제 1항 내지 제 4항 중 어느 한 항에 있어서,
    상기 인증 노드로 액세스 요청의 세부 사항을 전송하는 단계가 상기 인증 노드로 액세스 요청을 재지향하는 단계를 포함하는 것을 특징으로 하는 패스워드 생성 방법.
  6. 제 5항에 있어서,
    상기 HTTP Digest 챌런지는 상기 인증 노드에서 생성되며, 상기 인증 노드에서 상기 UE로 직접 전송하는 단계를 특징으로 하는 패스워드 생성 방법.
  7. 제 5 또는 제 6항에 있어서,
    상기 패스워드가 상기 인증 노드에 저장되는 것을 특징으로 하는 패스워드 생성 방법.
  8. 제 5항 내지 제 7항 중 어느 한 항에 있어서,
    상기 패스워드가 생성된 후에, 상기 인증 노드에서 상기 UE를 인증하는 단계 및 상기 인증 노드에서 상기 원격 서버로 또다시 액세스 요청을 재지향하는 단계를 더 포함하는 것을 특징으로 하는 패스워드 생성 방법.
  9. 제 1 내지 4항 중 어느 항에 있어서,
    상기 인증 노드로 액세스 요청의 세부 사항을 전송하는 단계가 상기 인증 노드에 직접 접촉하는 상기 원격 서버를 포함하는 단계를 특징으로 하는 패스워드 생성 방법.
  10. 제 9항에 있어서,
    상기 HTTP Digest 챌런지가 상기 인증 노드에서 생성되며, 상기 인증 노드에서 상기 원격 서버로 전송되는 단계를 특징으로 하는 패스워드 생성 방법.
  11. 제 9항에 있어서,
    상기 HTTP Digest 챌런지가 상기 원격 서버에서 생성되는 단계를 특징으로 하는 패스워드 생성 방법.
  12. 제 10 또는 제 11항에 있어서,
    상기 HTTP Digest 챌런지를 상기 원격 서버에서 상기 UE로 전송하는 단계를 더 포함하는 것을 특징으로 하는 패스워드 생성 방법.
  13. 제 11항에 있어서,
    상기 인증 노드에서 상기 원격 서버로 보내진 정보에 HTTP Digest AKA 방식 챌런지 패스워드를 포함하는 단계 및 상기 원격 서버에서 상기 UE를 인증하는 단계를 더 포함하는 것을 특징으로 하는 패스워드 생성 방법.
  14. 제 9 내지 12항 중 어느 항에 있어서,
    상기 인증 노드에서 상기 UE를 인증하는 단계 및 인증 결과를 상기 원격 서버로 귀환하는 단계를 더 포함하는 것을 특징으로 하는 패스워드 생성 방법.
  15. 최종-사용자 장치로부터 원격 서버로 액세스하는 방법으로서;
    선행 항 중 어느 한 항에 청구된 바와 같은 방법을 사용하여 패스워드를 생성하고 저장하는 단계;
    상기 UE로부터 상기 원격 서버로 액세스 요청을 전송하는 단계;
    상기 원격 서버에서, 상기 원격 서버의 아이덴티티 및 상기 UE의 일시적인 아이덴티티의 세부사항을 포함하는 HTTP Digest 챌런지를 생성하는 단계 및 상기 UE로 상기 챌런지를 전송하는 단계; 및
    상기 UE에서, 상기 UE의 일시적인 아이덴티티 및 상기 원격 서버로 상기 패스워드의 소유권의 증명을 포함하는 인증 응답을 전송하는 단계를 포함하는 최종-사용자 장치로부터 원격 서버로 액세스하는 방법.
  16. 제 15항에 있어서,
    상기 인증 요청을 상기 원격 서버로부터 상기 인증 노드로 전송하는 단계, 상기 인증 노드로부터 상기 원격 서버로 상기 패스워드를 전송하는 단계, 및 상기 원격 서버에서 상기 UE를 인증하는 단계를 더 포함하는 것을 특징으로 하는 최종-사용자 장치로부터 원격 서버로 액세스하는 방법.
  17. 제 15항에 있어서,
    인증 요청을 상기 원격 서버로부터 상기 인증 노드로 전송하는 단계, 상기 인증 노드에서 상기 UE를 인증하는 단계, 인증 승인을 상기 인증 노드로부터 상기 원격 서버로 전송하는 단계를 더 포함하는 것을 특징으로 하는 최종-사용자 장치로부터 원격 서버로 액세스하는 방법.
KR1020057025078A 2003-06-27 2004-06-24 패스워드를 분배하기 위한 방법 KR20060032602A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0314971.3 2003-06-27
GBGB0314971.3A GB0314971D0 (en) 2003-06-27 2003-06-27 Method for distributing passwords

Publications (1)

Publication Number Publication Date
KR20060032602A true KR20060032602A (ko) 2006-04-17

Family

ID=27637440

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057025078A KR20060032602A (ko) 2003-06-27 2004-06-24 패스워드를 분배하기 위한 방법

Country Status (10)

Country Link
US (1) US20070005730A1 (ko)
EP (1) EP1639782B1 (ko)
KR (1) KR20060032602A (ko)
CN (1) CN100556033C (ko)
AT (1) ATE387795T1 (ko)
DE (1) DE602004012103T2 (ko)
ES (1) ES2300792T3 (ko)
GB (1) GB0314971D0 (ko)
RU (1) RU2325774C2 (ko)
WO (1) WO2005002166A2 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3791489B2 (ja) * 2002-12-13 2006-06-28 ソニー株式会社 ポータブルサーバ
KR100664312B1 (ko) 2005-01-20 2007-01-04 삼성전자주식회사 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치
JP4643657B2 (ja) * 2005-01-28 2011-03-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信システムにおけるユーザ認証及び認可
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
US7861077B1 (en) * 2005-10-07 2010-12-28 Multiple Shift Key, Inc. Secure authentication and transaction system and method
JP2009512928A (ja) * 2005-10-21 2009-03-26 ノキア コーポレイション 移動体端末のセキュア認証レスポンスの装置、コンピュータプログラムプロダクト及び方法
CN101366037A (zh) * 2005-12-05 2009-02-11 诺基亚公司 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法
US8712802B1 (en) 2007-10-08 2014-04-29 United Services Automobile Association (Usaa) Transferring a document
US8156550B2 (en) * 2008-06-20 2012-04-10 Microsoft Corporation Establishing secure data transmission using unsecured E-mail
US20130275492A1 (en) * 2012-04-13 2013-10-17 Microsoft Corporation Enabling Web Clients to Provide Web Services
CN103647695A (zh) * 2013-10-31 2014-03-19 北京奇虎科技有限公司 一种客户端应用程序的用户注册方法、移动终端及服务器
US11095449B2 (en) * 2016-12-16 2021-08-17 Visa International Service Association System and method for securely processing an electronic identity

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6891819B1 (en) * 1997-09-05 2005-05-10 Kabushiki Kaisha Toshiba Mobile IP communications scheme incorporating individual user authentication
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6223287B1 (en) * 1998-07-24 2001-04-24 International Business Machines Corporation Method for establishing a secured communication channel over the internet
JP2000092046A (ja) * 1998-09-11 2000-03-31 Mitsubishi Electric Corp 遠隔認証システム
FI19992343A (fi) * 1999-10-29 2001-04-30 Nokia Mobile Phones Ltd Menetelmä ja järjestely käyttäjän luotettavaksi tunnistamiseksi tietokonejärjestelmässä
US6839761B2 (en) * 2001-04-19 2005-01-04 Microsoft Corporation Methods and systems for authentication through multiple proxy servers that require different authentication data
US7191467B1 (en) * 2002-03-15 2007-03-13 Microsoft Corporation Method and system of integrating third party authentication into internet browser code
US7380124B1 (en) * 2002-03-28 2008-05-27 Nortel Networks Limited Security transmission protocol for a mobility IP network
FI20020733A0 (fi) * 2002-04-16 2002-04-16 Nokia Corp Menetelmä ja järjestelmä tiedonsiirtolaitteen käyttäjän autentikointiin
JP2004032253A (ja) * 2002-06-25 2004-01-29 Hitachi Ltd ネットワーク通信装置および通信方式
US20040043756A1 (en) * 2002-09-03 2004-03-04 Tao Haukka Method and system for authentication in IP multimedia core network system (IMS)
US7865931B1 (en) * 2002-11-25 2011-01-04 Accenture Global Services Limited Universal authorization and access control security measure for applications
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication

Also Published As

Publication number Publication date
US20070005730A1 (en) 2007-01-04
RU2325774C2 (ru) 2008-05-27
DE602004012103T2 (de) 2009-03-12
RU2006102352A (ru) 2006-08-27
ATE387795T1 (de) 2008-03-15
WO2005002166A3 (en) 2005-05-26
EP1639782B1 (en) 2008-02-27
CN1813455A (zh) 2006-08-02
WO2005002166A2 (en) 2005-01-06
CN100556033C (zh) 2009-10-28
GB0314971D0 (en) 2003-07-30
ES2300792T3 (es) 2008-06-16
EP1639782A2 (en) 2006-03-29
DE602004012103D1 (de) 2008-04-10

Similar Documents

Publication Publication Date Title
Niemi et al. Hypertext transfer protocol (HTTP) digest authentication using authentication and key agreement (AKA)
US8769655B2 (en) Shared registration multi-factor authentication tokens
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
JP4294268B2 (ja) クライアント・プロキシ認証のためにセッションイニシエーションプロトコルリクエストメッセージにセキュリティ機構を組み込むための方法およびシステム
Kohl et al. The Kerberos network authentication service (V5)
KR101461455B1 (ko) 인증 방법, 시스템 및 장치
Pritikin et al. Enrollment over secure transport
US20080134311A1 (en) Authentication delegation based on re-verification of cryptographic evidence
EP1724964A1 (en) Encryption method for SIP message and encrypted SIP communication system
WO2006000144A1 (fr) Procede d'identification de protocole initial de session
KR20070032805A (ko) 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법
CN112261022A (zh) 一种基于api网关的安全认证方法
EP1639782B1 (en) Method for distributing passwords
JP4870427B2 (ja) デジタル証明書交換方法、端末装置、及びプログラム
WO2007104248A1 (en) Method, system, apparatus and bsf entity for preventing bsf entity from attack
JP2009303188A (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
US20080256605A1 (en) Localized authorization system in IP networks
CN114915494B (zh) 一种匿名认证的方法、系统、设备和存储介质
Pritikin et al. RFC 7030: Enrollment over secure transport
Niemi et al. RFC3310: Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)
WO2011017851A1 (zh) 客户端安全访问消息存储服务器的方法和相关设备
Moon et al. A study on ticket-based AAA mechanism including time synchronization OTP in ubiquitous environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application