KR20070019795A - 사용자들의 인증 - Google Patents

사용자들의 인증 Download PDF

Info

Publication number
KR20070019795A
KR20070019795A KR1020077002083A KR20077002083A KR20070019795A KR 20070019795 A KR20070019795 A KR 20070019795A KR 1020077002083 A KR1020077002083 A KR 1020077002083A KR 20077002083 A KR20077002083 A KR 20077002083A KR 20070019795 A KR20070019795 A KR 20070019795A
Authority
KR
South Korea
Prior art keywords
service
user
request
authentication
public key
Prior art date
Application number
KR1020077002083A
Other languages
English (en)
Other versions
KR100904004B1 (ko
Inventor
리스토 모노넨
나다라자 아소칸
페카 라이티넨
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Priority to KR1020077002083A priority Critical patent/KR100904004B1/ko
Publication of KR20070019795A publication Critical patent/KR20070019795A/ko
Application granted granted Critical
Publication of KR100904004B1 publication Critical patent/KR100904004B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본원에는 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법이 개시되어 있으며, 상기 사용자의 인증 방법은 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 식별자들을 사용자에게 할당하는 단계; 사용자로부터 요구를 공급하는 단계로서, 상기 요구는 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 단계; 및 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 식별번호를 결합한 공개 키 인증서를 공급하며, 상기 공개 키 인증서를 사용자에게로 복귀시키는 단계를 포함하는 것을 특징으로 한다.

Description

사용자들의 인증{Authenticating users}
본 발명은 특히 무선 통신 네트워크의 사용자들(가입자들)에게 서비스들을 제공하는 것과 관련한 사용자들의 인증에 관한 것이다.
사용자 프라이버시가 유지될 수 있는 한가지 방법은 사용자가 다른 서비스 제공자들에게 다른 식별번호들을 공급하는 것이다. 이러한 식별번호들은 본원 명세서에서 서비스 전용 식별번호들이라고 언급된다. 그러나, 이 같은 경우에, 가입자들을 위한 네트워크의 운영자는 인증된 가입자들과 서비스 전용 식별번호들을 연관시킬 수 있는 식별번호 관리 서비스를 제공할 필요가 있다. 식별번호 관리 제공자가 자기 자신을 대신하는 것뿐만 아니라 다른 서비스 제공자들을 대신해서 인증들을 수행할 수 있는 경우에는 또한 유용하다. 이것이 의미하는 것은 사용자들이 각각의 서비스 프로파일 사이트에 개별적으로 등록할 필요 없이 개인화된 서비스들을 호출할 수 있다는 것을 의미한다.
이러한 구성은 식별번호 페더레이션(identity federation)으로 알려져 있으며 서비스 제공자들이 중앙집중된 위치로부터 사용자의 식별번호를 독출할 수 있게 한다. 사용자는 모든 서비스 제공자들에게 전용 식별번호 정보를 제공할 필요가 없다.
현재에는 이동 단말기의 형태를 이루고 있는 사용자 기기(UE)가 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 무선 통신 네트워크들에 규정된 2가지 중요한 인증 절차가 있다. 소위 리버티 얼라이언스(Liberty Alliance; LA) 표준은 사용자가 서비스 제공자와 함께 사용하고자 하는 식별번호 제공자에 관한 지식을 지니거나 사용자가 서비스 제공자와 함께 사용하고자 하는 식별번호 제공자에 관한 지식을 어떻게 획득해야 하는지를 아는 클라이언트로 인증 리버티 가능 클라이언트(Liberty Enabled Client; LEC)가 되는 인증 절차를 사용한다. 이는 식별번호 제공자(identity provider; IDP) 측에서의 서비스 전용 식별번호 매핑을 규정한다. 각각의 가입자는 서비스 제공자(Service Provider; SP)들에 액세스하기 위한 다수의 식별번호를 지닌다. 상기 식별번호 제공자 측의 페더레이션 디렉토리는 사용자들, 사용자들의 식별번호들 및 서비스들 간의 관계들을 저장한다. 상기 식별번호 제공자는 서비스 전용 식별번호로 사용자를 식별하는 서비스 제공자에 대하여 서비스 전용 식별번호를 검증구현한다. 다른 서비스 제공자들에 다른 식별번호들을 제공할 수 있는 능력은 가입자 프라이버시가 유지될 수 있게 한다. 상기 리버티 얼라이언스 표준에 의하면, 사용자는 서비스들을 호출할 때 자기 자신의 실제 식별번호에 대한 공개를 회피할 수 있다. 자기 자신의 실제 식별번호에 대한 공개 대신에, 사용자는 익명으로 서비스들을 호출할 수도 있고 가명(서비스 전용 식별번호)을 사용할 수도 있다. 상기 페더레이션 디렉토리는 서비스 제공자가 실제 식별번호를 알지 못하도록 자기 자신의 가명들 또는 서비스 전용 식별번호들에 사용자의 실제 식별번호를 매핑한다. 상기 가명 및 상기 매핑 서비스를 통해, 상기 서비 스 제공자는 예를 들면 사용자의 장소 또는 현재 상태에 액세스할 수 있다. 이는 서비스 제공자가 가명을 사용하여 상기 페더레이션 데이터베이스에서의 매핑을 통해 식별번호 서비스 제공자로부터 사용자의 위치에 액세스할 수 있게 한다. 상기 리버티 얼라이언스 표준은 검증구현들을 위해 사용될 등록된 HTTP/soap 결합을 규정한다. 그러나, 리버티 검증구현들을 알고 있지 않고 전형적인 공개 키 인증서들과 같은 액세스를 위한 다른 형태의 "검증구현들(assertions)"에 의존하는 여러 기존의 서비스가 있다. 그러한 서비스의 일례는 가상 사설 네트워크(virtual private network; VPN)들을 통합하게 하는 액세스 제어이다.
다른 한 기존 형태의 인증은 가입자 인증서(subscriber certificate; SSC)를 위한 3GPP 지원이다[3GPP TS 33.221]. 이는 3GPP 일반 인증 아키텍처(generic authentication architecture; GAA)로서 구현되며[3GPP TS 33.220] 인증 기관(certificate authority; CA)으로부터 전용 식별번호를 위한 가입자 인증서를 요구하는 방법을 규정한다. 이러한 경우에, 상기 전용 식별번호는 사용자의 식별번호이고, 서비스 전용이 아니다. GAA/SSC 기술에 의하면, 사용자 기기 측에 삽입된 일반 부트스래핑 아키텍처(generic bootstrapping architecture; GBA)는 서비스 제공자 측의 인증 서버와 관련하여 사용자 기기를 인증하며, 상기 사용자 기기 및 상기 서비스 제공자 측의 인증 서버는 공유 키 재료에 대하여 동의한다. 상기 일반 부트스트래핑 아키텍처는 인증 기관(CA)에 공유 키 재료를 전달한다. 상기 사용자 기기들은 비대칭 공개/비밀 키 쌍을 생성하고 상기 인증 기관으로부터 인증을 요구한다. 인증된 경우에, 요구하는 사용자의 식별번호와 상기 공개 키를 연관시킨 인증 서가 복귀된다. 그러한 인증 절차는 공유 키 재료에 의해 보호를 받는다.
모바일 운영자들은 USIM, ISIM, 사용자명/패스워드 쌍 또는 X.509 공개 키 인증서들을 사용하여 그들 자신의 모바일 가입자들을 인증할 수 있다. 인증서들의 경우에, 인증된 식별번호가 subjectName 필드에 있을 수도 있고 상기 인증서의 SubjectAltName 확장자에 있을 수도 있다[RFC 3280].
상기 3GPP/GAA/SSC 인증 절차는 가입자가 액세스하고자 하는 서비스 제공자를 나타내는 메커니즘을 지니고 있지 않다. 단지 사용자의 식별번호만이 표시되어 상기 인증서에 의해 인증될 수 있다. 다수의 식별번호 또는 서비스 전용 식별번호의 인증서 기반 인증에 대한 어떠한 지원도 존재하지 않는다. 비록 상기 SubjectAltName 확장자가 다수의 식별번호 및 서비스 전용 식별번호를 수반하는데 사용될 수 있지만, 사용자 기기가 인증 절차 동안 의도된 식별번호 또는 식별번호들, 즉 사용자 기기가 인증서와 함께 사용하려고 계획한 서비스 또는 서비스들을 나타낼 필요가 있을 수 있는 문제가 있다. 사용자 기기는 하나의 인증서 내에 가능한 모든 식별번호들을 삽입하기를 원하지 않는데, 그 이유는 인증서가 공개되어 있으므로 인해 다른 식별번호들 간의 결합들에 대한 발견이 매우 용이하게 되기 때문이다.
본 발명의 목적은 위에서 언급된 2가지 시스템의 한계들에 직면하지 않는 인증 시스템을 제공하는 것이다.
본 발명의 한 실시태양에 의하면, 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법이 제공되며, 상기 사용자의 인증 방법은 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 식별자들을 사용자에게 할당하는 단계; 사용자로부터 요구를 공급하는 단계로서, 상기 요구는 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 단계; 및 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 식별번호를 결합한 공개 키 인증서를 공급하며, 상기 공개 키 인증서를 사용자에게로 복귀시키는 단계를 포함하는 것을 특징으로 한다.
이하에서 언급되는 실시예에서, 상기 요구는 액세스될 서비스를 식별하는 서비스 식별자 및 사용자를 식별하는 요구자 식별자를 포함한다. 상기 사용자의 인증 방법은, 상기 인증 기관 측에서, 인증될 서비스 전용 식별번호에 상기 서비스 식별자 및 상기 요구자 식별자를 매핑하는 단계를 더 포함한다. 그러나, 상기 요구는 상기 서비스 전용 식별번호를 식별하고, 상기 사용자의 인증 방법은, 상기 인증 기관을 통해 사용자가 상기 서비스 전용 식별번호를 사용하도록 인증되었는지를 검증하는 단계를 더 포함하는 발명을 구현하는 것도 또한 가능하다.
바람직한 실시예에 있어서, 상기 공개 키는 비밀 키 및 상기 공개 키를 포함하는 비대칭 키 쌍의 일부로서 사용자 단말기 측에서 생성된다. 그러나, 키 쌍들은 예를 들면 상기 사용자 단말기에 부착된 보안 요소로부터 또는 상기 인증 기관에 의해 생성되는 다른 방식으로 획득될 수 있다.
본 발명은 무선 통신 네트워크들과 관련하여 특히 유용하지만, 여기서 알 수 있는 점은 본 발명이 또한 다른 유형의 통신 네트워크들에 적용가능하다는 것이다.
본 발명의 다른 한 실시태양에 의하면, 통신 네트워크에서 사용하는 사용자 단말기가 제공되며, 상기 사용자 단말기는 상기 통신 네트워크를 통해 액세스될 서비스를 식별하고 공개 키를 포함하는 요구를 공급하는 수단; 상기 공개 키와 액세스될 서비스에 대한 서비스 전용 식별번호를 연관시킨 인증 기관에 의해 공급된 공개 키 인증서를 수신하는 수단; 및 사용자를 위한 서비스 전용 식별번호를 인증함으로써 상기 서비스에 대한 액세스를 인증하는 서비스 제공자에게 상기 공개 키 인증서를 서비스 제공자에게 전송하는 수단을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 한 실시태양에 의하면, 서비스 제공자로부터의 서비스에 대한 액세스를 허용하는 통신 네트워크용 인증 시스템이 제공되며, 상기 통신 네트워크용 인증 시스템은 사용자로부터 요구를 수신하는 수단으로서, 상기 요구는 액세스될 서비스를 식별하고 사용자의 공개 키를 포함하는 수단; 및 상기 요구를 인증하고 액세스될 서비스의 서비스 전용 식별번호에 대한 공개 키 인증서를 공급하도록 구성되고 상기 공개 키 인증서를 사용자에게로 복귀시키도록 구성된 인증 기관을 포함하는 것을 특징으로 한다.
본 발명을 더 양호하게 이해하기 위해 그리고 본 발명의 효과가 어떻게 발휘될 수 있는지를 보여주기 위해 지금부터 예를 들어 첨부도면들이 참조될 것이다.
도 1은 가입자가 하나 이상의 서비스들에 액세스할 수 있는 통신 네트워크를 개략적인 선도로 보여주는 도면이다.
도 2는 본 발명의 한 실시예를 구현하기 위한 대표적인 아키텍처를 보여주는 도면이다.
도 3은 페더레이션 디렉토리를 개략적으로 보여주는 선도이다.
도 4는 가입자 및 인증 서버 간의 메시지 흐름을 보여주는 도면이다.
도 5는 가입자 및 인증기관 간의 메시지 흐름을 보여주는 도면이다.
도 1은 가입자에게 서비스들을 제공하기 위한 무선 통신 네트워크를 개략적인 블록 선도로 보여주는 도면이다. 상기 가입자는 이동 전화, 개인용 컴퓨터 또는 기타 종류의 이동 통신 장치와 같은 이동 단말기일 수 있는 사용자 기기(UE)의 형태로 나타난다. 상기 사용자 기기(UE)는 무선 통신을 지원하는 것이 가능한 무선 링크(RL)를 통해 요구 및 응답 메시지들과 같은 데이터를 상기 네트워크로 수신 및 송신하는 것이 가능한 수신/송신 회로(50)를 구비하고 있다. 상기 사용자 기기(UE)는 또한 이하에서 더 상세하게 논의되겠지만 인증 정보를 보유하는 메모리(52)를 포함한다. 상기 이동 단말기는 이하에서 더 상세하게 설명되겠지만 클라이언트 소프트웨어를 실행하는 것이 가능하다. 상기 가입자를 나타내는 사용자 기기(UE)는 운영자 네트워크를 통해 다수의 다른 서비스 제공자(SP1,SP2,...SPN)와 통신한다. 상기 네트워크는 인증 부속시스템(26)을 포함하거나 인증 부속시스템(26)에 액세스할 수 있는데, 상기 인증 부속시스템(26)은 상기 네트워크에 액세스하고 있는 서비스 제공자들에 대한 중앙집중된 식별번호(identity) 제공자로서의 역할을 수행한다. 한 서비스에 액세스하려고 하는 가입자는 자기 자신의 인증된 식별번호를 기반으로 하여 인증된다.
도 2는 본 발명의 한 실시예를 구현하는 대표적인 아키텍처를 보여주는 도면이다. 도 2는 Ub 인터페이스를 통하여 인증 서버(부트스트래핑 서버 기능(Bootstrapping Server Function; BSF)에 접속된 이동 단말기에서 실행되는 일반 부트스트래핑 아키텍처(Generic Bootstrapping Architecture; GBA) 클라이언트(4)를 포함하는 일반 인증 아키텍처(Generic Authentication Architecture; GAA)를 보여주는 도면이다. 상기 인증 서버(6)는 홈 가입자 서버(Home Subscriber Server; HSS)/홈 위치 레지스터(Home Location Register; HLR)(8)에 접속되는데, 상기 홈 가입자 서버(HSS)/홈 위치 레지스터(HLR)(8)는 가입자들을 위한 국제 이동 가입자 식별번호(International Mobile Subscriber Identity; IMSI) 및 키(K)들을 포함하는 인증 데이터를 저장한다. 상기 인증 서버(6)는 Zn 인터페이스를 통해 인증 기관(Certificate Authority; CA; 10)에 접속된다. 상기 인증 기관(10)은 페더레이션 디렉토리(federation directory; FD)를 포함한다. 상기 페더레이션 디렉토리(FD)는 도 3에 예시되어 있다. 상기 페더레이션 디렉토리(FD)는 가입자가 서비스 제공자들로부터의 다른 서비스들에 액세스하기 위해 자신의 얼굴로서 사용하는 복수 개의 서비스 전용 식별번호(Service-specific Identity; SSI)들과 각각의 가입자 식별번호를 연관시킨다. 상기 페더레이션 디렉토리의 가입자 식별번호는 상기 운영자 네트워크가 가입자를 인식하는 사용자명(user name)이다. 참조번호(12)는 공개 키 인증서(Public Key Certificate; PKC) 도메인을 나타낸다. 상기 공개 키 인증서 도메인(12)은 (PK 인터페이스를 통해 상기 인증 클라이언트에 접속되며, 그리고 Ua 인터페이스를 통해 상기 인증 기관(10)에 접속되는 이동 단말기에서 실행되는) 인증 서 클라이언트(14)를 포함한다. 상기 공개 키 인증서 도메인(12)은 또한 PK1 인터페이스를 통해 상기 인증서 클라이언트(14)에 접속된 보안(전송 계층 보안)(Security(Transport Layer Security); SEC(TLS)) 게이트웨이 기능(16)을 포함한다. 상기 보안(전송 계층 보안)(SEC(TLS)) 게이트웨이(16)는 HTTP 서버의 일부이며 HTTP 서버 대신에 전송 계층 보안(TLS) 인증 부분을 수행한다.
이하의 설명에서는 주어진 예에서 http 기반 서비스들이 구현된다는 점에 유념하기로 한다. 그러나, 또한, 인터넷 프로토콜 보안(Internet Protocol Security; IPSec), 가상 사설 네트워크(Virtual Private Networks; VPN) 또는 무선 근거리 통신 네트워크(Wireless Local Area Networks; WLAN)에 대한 기초 원리가 사용될 수 있다.
참조번호(18)는 http 도메인을 나타내며, 상기 http 도메인은 예를 들면 브라우저의 형태로 http 클라이언트(20)를 포함하는데, 상기 http 클라이언트(20)는 HT3 인터페이스를 통해 상기 공개 키 인증서(PKC) 도메인의 인증서 클라이언트(14)에 접속되고 TE-AA 인터페이스를 통해 GAA 도메인의 인증서 클라이언트에 접속된다. 상기 http 클라이언트(20)는 HT1 인터페이스를 통해 http 분류기(22)에 접속된다. 상기 http 분류기는 HT4 인터페이스를 통해 http 서버 기능(24)에 접속된다. 상기 http 분류기(22)는 HT2 인터페이스를 통해 상기 공개 키 인증(PKC) 도메인의 인증 클라이언트에 접속된다. 상기 http 서버 기능(24)은 내부 SP-AA 인터페이스를 통해 상기 공개 키(PKC) 도메인의 보안(전송 계층 보안)(SEC(TLS)) 게이트웨이 기능(16)에 접속된다. 상기 http 클라이언트 및 분류기는 이동 단말기(UE)에서 실행 된다. 상기 http 서버 기능(24)은 도 1의 서비스 제공자(SP)들 중 하나와 연관된다.
상기 GAA 도메인(2)을 다시 참조하면, 상기 사용자 기기(UE)에서의 GBA 인증 클라이언트(4)는 상기 BSF 서버에 대해 인증하며, 상기 사용자 기기(UE)에서의 GBA 인증 클라이언트(4)와 상기 BSF 서버는 공유 키 재료에 대하여 동의한다. 상기 BSF 서버(6)는 커맨드 요구(Request for Comments; RFC) 3310)에서 규정된 HTTP 다이제스트 인증(Digest Authentication) 및 키 동의(Key Agreement; AKA) 프로토콜을 사용하여 사용자 기기를 인증하는데 사용되는데, 이로 인해 상기 BSF 서버(6) 및 사용자 기기(UE) 사이에는 공유 키 재료가 있게 된다. 상기 BSF 서버(6)는 상기 홈 가입자 서버/홈 위치 레지스터(8)와 인터페이스하여 대응하는 인증 정보를 인증 트리플렛/벡터들의 형태로 인출한다. 상기 인증 기관(10)은 PKI 포털로서의 역할을 수행하고 상기 사용자 기기에 대한 인증서를 공급하여 운영자 CA 인증서를 전달할 수 있다. 양자의 경우에, 요구들 및 응답들은 사용자 기기 및 인증 서버 간에 사전 설정된 공유 키 재료에 의해 보호를 받는다.
지금부터 사용자 기기(UE)를 사용하는 가입자가 상기 서비스 제공자(SP)들 중 하나에 의해 제공된 서비스에 액세스할 수 있게 하는 본 발명의 한 실시예에 따른 방법이 설명될 것이다. 상기 GBA 클라이언트(4)는 상기 인증 서버 BSF와 통신하여 자기 자신의 가입자 식별번호(예컨대, 사용자명)를 기반으로 하여 가입자를 인증하고 공유 키 재료(Ks)에 대하여 동의한다. 상기 공유 키 재료는 상기 인증 기관(10) 및 인증 클라이언트(4) 모두의 인증 정보로부터 획득된다. 상기 클라이언 트(4)는 비밀 키 및 암호 기능을 필요로 하는 HTTP 다이제스트 AKA 프로토콜을 통해 공유 키 재료(Ks)를 획득하여 인증 도전으로부터 공유 키 재료(Ks)를 추출한다. 상기 공유 키 재료는 이러한 인증 세션 동안 관련된 가입자 식별번호와 관련하여 상기 페더레이션 디렉토리(FD)에 보유된다. 상기 공유 키 재료는 암호 코드의 형태를 취한다.
이때, 사용자 기기(UE)는 공개 키/비밀 키 쌍을 생성하며 이들을 가입자가 액세스하고자 하는 서비스를 식별하는 서비스 식별자(SIi)와 함께 저장한다. 상기 공개 키/비밀 키 쌍은 사용자 기기의 메모리(52)에 저장될 수도 있고 사용자 기기에 접근가능한 스마트 카드에 저장될 수도 있다.
상기 인증서 클라이언트(14)는 인증서를 요구하도록 호출된다. 요구는 상기 서비스 식별자 및 상기 공개 키를 포함하지만 상기 비밀 키는 비밀을 지켜준다. 상기 인증서에 대한 요구는 상기 공유 키 재료로 보호를 받게 되며 상기 Ua 인터페이스를 통해 인증 기관(CA)에 전송된다. 상기 가입자 식별번호는 또한 상기 요구와 함께 전송된다
상기 인증 기관(10) 측에서는, 상기 페더레이션 디렉토리(FD)가 그러한 서비스 및 그러한 사용자명에 대한 서비스 전용 식별번호(SSIi)에 상기 서비스 식별자(SIi)를 매핑한다.
상기 인증 기관(10)은 BSF 서버(6)로부터의 사용자명을 기반으로 하여 공유 키 재료(Ksi)를 인출하고 상기 요구의 인증 헤더를 검증한다. 이는 TS 33.221에 언 급되어 있다. 상기 요구가 유효하다고 가정하기로 하면, 상기 인증 기관(10)은 공개 키를 상기 요구에서 상기 서비스 식별자에 의해 식별된 서비스에 대한 서비스 전용 식별번호와 연관시킨 인증서를 발급한다. 상기 인증서는 상기 Ua 인터페이스를 통해 가입자를 나타내는 사용자 기기(UE)로 복귀되며, 상기 사용자 기기(UE)는 상기 메모리(52) 또는 스마트 카드에 상기 인증서를 저장한다. 다수의 장치의 경우에, 다른 장치가 비밀 키 자체를 생성하지 않는 한 상기 사용자 기기(UE)는 아마도 비밀 키를 사용하여 상기 인증서를 다른 장치(랩톱)로 전송할 수 있다.
상기 인증서 클라이언트(14)는 유효 인증서가 수신되었으며 상기 PK1 인터페이스를 통해 SEC(TLS) 게이트웨이 기능(16)으로 인증을 위해 상기 인증서를 전송한다는 것을 HT3 인터페이스를 통해 상기 http 클라이언트(20)에 알려준다. 이때, 상기 http 클라이언트(20)는 자신이 액세스하고자 하는 서비스를 위해 상기 서비스 제공자의 http 서버 기능(24)을 호출하고, 상기 인증서를 포함한다. 상기 http 클라이언트(20)는 또한 예를 들면 상기 비밀 키로 암호화된 데이터를 포함하는 디지털 서명을 포함하여, 상기 서비스 제공자가 상기 인증서를 유효하게 할 수 있는 증거를 포함한다.
상기 SEC(TLS) 게이트웨이(16)는 인증 기관 리스트에 대한 PK3 인터페이스를 통해 상기 인증서를 유효하게 하고, 일단 상기 인증서가 인증된 경우에, 상기 서비스는 가입자용으로 호출될 수 있다. 상기 SEC(TLS) 게이트웨이 기능(16)은 또한 상기 클라이언트에 대하여 도전하고 응답을 검증하여 클라이언트(PK1)를 인증하며, 상기 http 서버 기능(24)이 상기 요구된 서비스를 상기 인증된 클라이언트들(HT4) 에 제공하게 한다.
상기 Ub 인터페이스를 통한 인증은 3GGP 표준들 TS 33.220에 따라 이루어지며, 인증이 HTTP 다이제스트 AKA[RFC 3310]를 기반으로 하여 수행되는 경우에, 인증은 또한 2G SIM을 사용하여 수행될 수 있다.
도 4는 상기 부트스트래핑 절차 동안 인증 서버(6)(BSF) 및 인증 클라이언트(4)(UE)를 구현하는 사용자 기기(UE) 간의 메시지 흐름들의 일부를 보여주는 도면이다. GBA 클라이언트(4)는 인증 요구(30)(GET 요구)를 발급함으로써 인증 절차를 개시한다. 상기 인증 요구는 가입자 식별번호를 사용하여 사용자를 식별하지만, 이러한 예에서는, 상기 가입자 식별번호는 IMPI(IP Multimedia Private Identity)이다. 다른 변형예는 IMSI일 수 있거나, 상기 사용자 기기(UE)는 (TS 23.003에서 규정된 바와 같이) 상기 IMSI로부터 의사(pseudo) IMPI를 생성할 수 있다. 사용자 식별번호 IMPI를 확인응답하여 상기 요구를 유일하게 식별하는 AKA의 RAND 및 AUTN을 포함하는 논스(nonce)를 복귀시킴으로써 HTTP 응답(32)이 복귀된다. 상기 사용자 기기 측의 인증 클라이언트(4)는 AKA로부터 획득된 적합한 패스워드를 통해 HTTP 요구(34)를 복귀하며, 상기 인증 서버(BSF)(6)는 Ua 인터페이스에서 사용자명으로서 사용되는 (도 4에 도시되지 않은) 부트스트래핑 트랜잭션 식별자(B-TID)를 포함하는 인증 정보를 복귀시킴으로써 응답하며, 공유 키 재료는 상기 인증 정보로부터 획득된다. 여기서 분명한 점은 상기 BSF가 HSS로부터의 인증 정보에 액세스하지만, 이러한 상호작용이 도시되어 있지 않은데, 그 이유는 그러한 사항이 이미 공지되어 있기 때문이라는 것이다.
공유 키 재료가 도 4의 메시지 교환에 의해 동의된 후에는, 상기 사용자 기기 측의 인증서 클라이언트는 상기 Ua 인터페이스를 통해 상기 CA에 전송되는 인증서 요구(PKCS#10)를 생성한다. 이는 도 5에 도시되어 있다. 상기 인증서 요구는 다음과 같이 설정된 표준에 따라 다수의 필드를 포함한다.
POST /certificaterequest/ HTTP/1.1
Authorization: Digest
username="adf..adf",
realm="ca-naf@operator.com",
qop="auth-int",
algorithm="MD5",
uri="/certificaterequest/",
nonce="dffef12..2ff7",
nc=00000001,
cnonce="0a4fee..dd2f",
response="6629..af3e",
opaque="e23f45..dff2"
<base64 encoded PKCS#10 request>
상기 필드들은 RFC 2617로부터 알려져 있다. 이러한 예에서, 상기 HTTP 메시지는 "username"이 B-TID일 수 있으며 "opaque" 필드가 서비스 식별자들을 포함할 수 있는 인증 HTTP 헤더를 포함한다.
상기 "Authorization"은 HTTP 다이제스트 인증[RFC 2617]과 연관된 HTTP 헤더이다. 상기 인증 헤더의 매개변수들은 상기 요구를 인증하여 상기 요구를 무결성 보호하는데 사용된다. 상기 PKCS#10 요구는 서비스 식별자, 및 사용자의 공개 키를 포함하는 인증서 요구 자체를 포함한다.
본 발명의 한 실시예에 의하면, 상기 인증서 요구(PKCS#10)는 또한 사용자에 의해 액세스될 서비스를 식별하는 서비스 식별자 필드를 포함한다. 상기 서비스는 예를 들면 투명한 문자열, 영역 주소(realm address), URI(Universal Resource Identifier), 차별화된 이름(distinguished name) 등등에 의해 다수의 방법 중 어느 하나로 식별될 수 있다. 필요한 것은 사용자에 의해 액세스될 특정한 서비스에 대한 유일한 식별자이다. 상기 서비스 식별자는 확장자들 중 하나로서 PKCS#10 요구에 포함된다. 일례로서, subjectAltName을 상기 요구된 확장자로서 사용하면서, PKCS#10과 함께 사용될 수 있는 PKCS#9에는 "extension Request" 속성이 존재한다.
변형적으로, CRMF(Certificate Request Message Format)[RFC 2511]에서는 그러한 것이 인증서 템플릿(CertTemplate) 필드의 sujectAltName 확장자일 수 있다.
상기 CA(NAF)는 인증 요구(PKCS#10)에서 공급된 사용자명(B-TID)을 기반으로 하여 인증 서버 BSF로부터 공유 키 재료를 인출하며 상기 공유 키 재료를 사용하여 인증 헤더를 검증한다. 그러한 검증이 성공적으로 수행될 경우에, 상기 CA(NAF)는 인증 요구를 처리하고 도 5에서 CERT라고 언급된 인증서 응답을 복귀시킨다. 상기 인증서 응답은 다음과 같은 포맷을 지닌다.
HTTP/1.1 200 OK
Content Type: application/x509-user-cert
Authentication-info:nextnonce="4ff232dd...dd"
qop=auth-int
rspauth="4dd34...55d2"
cnonce="0a4fee...dd2f"
nc=00000001
<base 64 encoded subscriber x509 certificate>
사용자 기기는 사용자 기기 측의 메모리 또는 스마트 카드에 인증서를 저장한다. 상기 인증서는 서비스 식별자와 함께 공개 키를 활성화하며 비대칭 공개 키/비밀 키 쌍을 사용하여 인증될 수 있다.
상기 서비스 식별자를 인증서 요구에 추가함으로써, 이는 가입자들이 다수의 서비스를 위한 다수의 인증서를 지닐 수 있게 한다. 그러나, 사용자는 각각의 서비스에 대하여 단일의 식별번호를 보유할 수 있는데, 그 이유는 각각의 가입자 인증서가 자신의 활동이 추적되어 가입자 프라이버시가 침해될 수 있는 공통("글로벌") 식별번호보다는 오히려, 특정한 서비스 전용 가입자 식별번호와 연관되기 때문이다. 바꾸어 말하면, 본 발명자들은 가입자 및 서비스 전용 리버티 얼라이언스(Liberty Alliance) 검증구현들을 가입자 및 서비스 전용 공개 키 인증서들로 대체하였다. 위에서 언급된 실시예에서, 상기 CA는 페더레이션 데이터베이스에 보유 된 매핑 및 공유 키 재료를 기반으로 하여 서비스 전용 사용자 식별번호를 식별한다.
변형 실시예에서, 사용자 기기(UE)는 예를 들면 가입자가 서비스 제공자에 액세스하기 위한 여러 이름을 지니고 있는 경우에 자신의 바람직한 식별번호를 나타내는 인증서 요구를 송신할 수 있다.
CA(또는 그에 내재하는 페더레이션 디렉토리) 측에서는, 상기 (요구자 식별자, 서비스 식별자) 쌍이 상기 페더레이션 데이터베이스에 보유된 서비스 전용 가입자 식별번호에 매핑된다. 상기 인증 기관은 상기 매핑된 식별번호에 대하여 상기 공개 키 인증서를 등록하며 이를 사용자 기기로 복귀시킨다.
이는 가입자들이 다수의 인증서에서 다수의 식별번호를 지닐 수 있게 한다.상기 인증서들의 공개 키들은 상기 식별번호들을 링크하지 못하게 하는 것과 다른 것임에 틀림없다. 따라서, 위에서 언급된 본 발명의 실시예는 공개 키 인증서 기술을 통한 식별번호 매핑으로 리버티 얼라이언트(Liberty Alliance; LA) 프라이버시 표준들을 지원하지만, LA 검증구현 메커니즘보다 넓은 범위의 애플리케이션들에 적용될 수 있다.
위에서 언급된 실시예에서, 상기 서비스 식별자는 상기 PKCS#10 메시지의 추가 확장 필드에 포함된다. 상기 서비스 식별자는 인증 기관(CA)과 연관된 페더레이이션 데이터베이스(FD) 측의 서비스 전용 식별번호에 매핑된다.
제1의 변형 실시예에 의하면, 인증서를 위해 요구에서 서비스 전용 식별번호를 송신하는 것이 가능하다. 즉, 사용자 기기(UE) 자체는 인증서를 위해 원하는 서 비스 전용 식별번호에 상기 가입자 식별번호를 매핑한다. 그러한 경우에 인증 기관은 해당 가입자가 실제로 요구된 식별번호를 소유하고 있는지를 검증하고 그러한 검증에 대한 식별번호 데이터베이스를 유지하여야 한다. 그러므로, 결과적인 아키텍처는 위에 언급된 실시예보다 더 복잡하지만, 사용자 기기 및 네트워크 간에 어떠한 것도 추가하지 않고서도 표준 PKCS#10 프로토콜이 채용될 수 있다.
부가적인 변형예는 특정 형태의 이름 문자열이 상기 PKS#10 메시지의 제목 필드에 표시될 수 있게 한다. 예를 들면, 사용자@영역 이름의 경우에, 상기 영역 부분은 서비스 식별자일 수 있다. 차별화된 이름의 경우에, 편성 부분이 서비스 식별자일 수 있다. 예를 들면, 차변화된 이름 "CN=username, O=realm"이 RFC 3280에서 언급된 바와 같이 사용될 수 있다.
위에서 언급된 바와 같이, 본 발명은 위에서 언급된 http 서버 아키텍처와는 다른 아키텍처에서 구현될 수 있다. 특히, 상기 SEC(TLS) 게이트웨이 및 http 서버의 기능들 및 관련 인터페이스들(PK1,PK3,HT4,SP-AA)은 인증을 위해 가입자 인증서를 수신하며, 선택적으로는 상기 인증서를 유효하게 하고(PK3), 상기 클라이언트에 대하여 도전하며 응답을 검증하여 상기 클라이언트를 인증하며(PK1), 요구된 서비스를 인증된 클라이언트들에게 제공(HT4)하는 단일 기능으로 대체될 수 있다.

Claims (19)

  1. 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법에 있어서,
    상기 사용자의 인증 방법은,
    대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 식별자들을 사용자에게 할당하는 단계;
    사용자로부터 요구를 공급하는 단계로서, 상기 요구는 액세스될 서비스를 식별하며 사용자의 공개키를 포함하는 단계; 및
    인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 식별번호를 결합한 공개 키 인증서를 공급하며, 상기 공개 키 인증서를 사용자에게로 복귀시키는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  2. 제1항에 있어서, 상기 요구는 액세스될 서비스를 식별하는 서비스 식별자 및 사용자를 식별하는 요구자 식별자를 포함하며,
    상기 사용자의 인증 방법은,
    상기 인증 기관 측에서, 인증될 서비스 전용 식별번호에 상기 서비스 식별자 및 상기 요구자 식별자를 매핑하는 단계를 더 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  3. 제1항에 있어서, 상기 요구는 상기 서비스 전용 식별번호를 식별하고,
    상기 사용자의 인증 방법은,
    상기 인증 기관을 통해 사용자가 상기 서비스 전용 식별번호를 사용하도록 인증되었는지를 검증하는 단계를 더 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  4. 제1항에 있어서, 상기 공급하는 단계는 하나의 필드가 액세스될 서비스를 식별하기 위한 서비스 식별자를 보유하는 복수 개의 필드들을 구비하는 메시지를 포함하는 요구를 공급하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  5. 제4항에 있어서, 상기 서비스 식별자를 보유하는 필드는 주제 필드(subject field)인 것을 특징으로 하는 사용자의 인증 방법.
  6. 제4항에 있어서, 상기 공급하는 단계는 PKCS#10 메시지를 포함하는 요구를 공급하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  7. 제4항에 있어서, 상기 공급하는 단계는 CRMF 메시지를 포함하는 요구를 공급하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  8. 제4항에 있어서, 상기 공급하는 단계는 HTTP 메시지를 포함하는 요구를 공급 하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  9. 제1항에 있어서,
    상기 사용자의 인증 방법은,
    무선 통신 네트워크에서 할당, 공급, 인증 및 복귀 단계들을 구현하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.
  10. 통신 네트워크에서 사용하는 사용자 단말기에 있어서,
    상기 사용자 단말기는,
    액세스될 서비스를 식별하고 공개 키를 포함하는 요구를 공급하는 수단;
    상기 공개 키와 액세스될 서비스에 대한 서비스 전용 식별번호를 연관시킨 인증 기관에 의해 공급된 공개 키 인증서를 수신하는 수단; 및
    사용자를 위한 서비스 전용 식별번호를 인증함으로써 상기 서비스에 대한 액세스를 인증하는 서비스 제공자에게 상기 공개 키 인증서를 전송하는 수단을 포함하는 것을 특징으로 하는 사용자 단말기.
  11. 제10항에 있어서,
    상기 사용자 단말기는,
    상기 요구를 공급하기 전에 상기 인증 기관을 통해 공유 키 재료를 설정하는 수단을 더 포함하는 것을 특징으로 하는 사용자 단말기.
  12. 제10항에 있어서,
    상기 사용자 단말기는,
    비밀 키 및 상기 공개 키를 포함하는 비대칭 키 쌍을 생성하는 수단을 포함하는 것을 특징으로 하는 사용자 단말기.
  13. 제10항에 있어서,
    상기 사용자 단말기는,
    무선 인터페이스를 통해 상기 요구를 공급하는 수단을 포함하는 것을 특징으로 하는 사용자 단말기.
  14. 서비스 제공자로부터의 서비스에 대한 액세스를 허용하는 통신 네트워크용 인증 시스템에 있어서,
    상기 통신 네트워크용 인증 시스템은,
    사용자로부터 요구를 수신하는 수단으로서, 상기 요구는 액세스될 서비스를 식별하고 사용자의 공개 키를 포함하는 수단; 및
    상기 요구를 인증하고 액세스될 서비스의 서비스 전용 식별번호에 대한 공개 키 인증서를 공급하도록 구성되고 상기 공개 키 인증서를 사용자에게로 복귀시키도록 구성된 인증 기관을 포함하는 것을 특징으로 하는 통신 네트워크용 인증 시스템.
  15. 제14항에 있어서,
    상기 통신 네트워크용 인증 시스템은,
    상기 요구를 공급하는 사용자의 식별번호를 인증하도록 구성된 인증 서버를 포함하는 것을 특징으로 하는 통신 네트워크용 인증 시스템.
  16. 제14항에 있어서,
    상기 통신 네트워크용 인증 시스템은,
    대응하는 서비스들에 액세스하기 위해 서비스 전용 식별번호들에 서비스 및 요구자 식별번호들을 매핑하도록 구성되는 페더레이션(federation) 데이터베이스를 포함하는 것을 특징으로 하는 통신 네트워크용 인증 시스템.
  17. 제14항에 따른 통신 네트워크용 인증 시스템에서 사용하는 인증 서버에 있어서, 상기 인증 서버는 상기 요구를 공급하는 사용자의 식별번호를 인증하도록 채택되는 것을 특징으로 하는 인증 서버.
  18. 제14항에 따른 통신 네트워크용 인증 시스템에서 사용하는 페더레이션 데이터베이스에 있어서, 상기 페더레이션 데이터베이스는 대응하는 서비스들에 액세스하기 위해 서비스 전용 식별자들에 서비스 및 요구자 식별자들을 매핑하도록 채택되는 것을 특징으로 하는 페더레이션 데이터베이스.
  19. 제14항에 있어서, 상기 요구를 수신하는 수단은 무선 인터페이스를 통해 상기 요구를 수신하는 수단을 포함하는 것을 특징으로 하는 통신 네트워크용 인증 시스템.
KR1020077002083A 2004-06-28 2005-06-24 사용자들의 인증 KR100904004B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077002083A KR100904004B1 (ko) 2004-06-28 2005-06-24 사용자들의 인증

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0414421.8 2004-06-28
KR1020077002083A KR100904004B1 (ko) 2004-06-28 2005-06-24 사용자들의 인증

Publications (2)

Publication Number Publication Date
KR20070019795A true KR20070019795A (ko) 2007-02-15
KR100904004B1 KR100904004B1 (ko) 2009-06-22

Family

ID=41349766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077002083A KR100904004B1 (ko) 2004-06-28 2005-06-24 사용자들의 인증

Country Status (1)

Country Link
KR (1) KR100904004B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383810B1 (ko) * 2011-11-14 2014-04-14 한전케이디엔주식회사 스마트 그리드 기기 보안인증 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383810B1 (ko) * 2011-11-14 2014-04-14 한전케이디엔주식회사 스마트 그리드 기기 보안인증 시스템 및 방법

Also Published As

Publication number Publication date
KR100904004B1 (ko) 2009-06-22

Similar Documents

Publication Publication Date Title
US7788493B2 (en) Authenticating users
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
US10284555B2 (en) User equipment credential system
US8261078B2 (en) Access to services in a telecommunications network
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
EP1997292B1 (en) Establishing communications
US8522025B2 (en) Authenticating an application
US20060271785A1 (en) Method for producing key material
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
GB2418819A (en) System which transmits security settings in authentication response message
JP2009500902A (ja) 認証及びプライバシーに対する方法及び装置
GB2505211A (en) Authenticating a communications device
US20080137859A1 (en) Public key passing
US20170331793A1 (en) Method and a system for managing user identities for use during communication between two web browsers
KR100904004B1 (ko) 사용자들의 인증
RU2282311C2 (ru) Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам
Almuhaideb et al. Toward a Ubiquitous Mobile Access Model: A roaming agreement-less approach
HOLTMANNS et al. Identity Management in Mobile Communication Systems
Kang et al. A study on key distribution and ID registration in the AAA system for ubiquitous multimedia environments
Holtmanns et al. CELLULAR AUTHENTICATION
Protocol draft-hallambaker-omnibroker-02
KR20120054949A (ko) 사용자 중심의 동적 신뢰 관계 형성 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130522

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140521

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160517

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170522

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180516

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 11