KR20070103785A - 통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스,서버 - Google Patents

통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스,서버 Download PDF

Info

Publication number
KR20070103785A
KR20070103785A KR1020077022913A KR20077022913A KR20070103785A KR 20070103785 A KR20070103785 A KR 20070103785A KR 1020077022913 A KR1020077022913 A KR 1020077022913A KR 20077022913 A KR20077022913 A KR 20077022913A KR 20070103785 A KR20070103785 A KR 20070103785A
Authority
KR
South Korea
Prior art keywords
identifier
user
network
network generated
generated identifier
Prior art date
Application number
KR1020077022913A
Other languages
English (en)
Inventor
라우리 라이티넨
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20070103785A publication Critical patent/KR20070103785A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사용자들이 네트워크 발생 사용자 식별자에 기반하여 인증되는 통신 네트워크에서의 인증 방법이 개시된다. 이 인증 방법은 사용자로부터 네트워크 발생 식별자를 수신하는 단계와, 상기 네트워크 발생 식별자와 데이터베이스 내에 저장된 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 단계를 포함한다. 상기 사용자로부터 비 네트워크 발생 식별자가 수신될 때, 상기 사용자로부터의 비 네트워크 발생 식별자는 데이터 저장장치로부터의 적어도 하나의 비 네트워크 발생 식별자와 비교된다. 상기 비교가 유효한 경우 상기 사용자는 인증된다.

Description

통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자 인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩 기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스, 서버{METHOD AND APPARATUSES FOR AUTHENTICATING A USER BY COMPARING A NON-NETWORK ORIGINATED IDENTITIES}
본 발명은 통신 네트워크에서의 사용자 인증에 관한 것이다.
통신 시스템은 두 개 이상의 개체, 가령 사용자 장비 및/또는 통신 시스템과 연관된 다른 노드들 간의 통신 세션을 가능하게 하는 수단으로서 간주될 수 있다. 통신은 가령, 음성 통신, 데이터 통신, 멀티미디어 통신 등을 포함할 수도 있다. 통신 시스템에 연결된 사용자 장비에는 가령, 양방향 전화 호출 또는 다방향 회의 호출이 제공되거나 데이터 접속이 제공될 수도 있다. 음성 호출 서비스외에도, 다양한 다른 서비스, 가령 멀티미디어 서비스 혹은 다른 데이터 서비스가 사용자를 위해 제공될 수도 있다. 사용자 장비는 서버 개체에 대해 패킷 데이터를 통신할 수 있거나 두개 이상의 사용자 장비들 간에 패킷 데이터를 통신할 수도 있다.
통신 시스템은 전형적으로 그 시스템과 연관된 다양한 개체들이 무엇을 수행 할 것인지와 어떻게 수행될 것인지를 설정한 소정의 표준 혹은 규약에 따라 동작한다. 접속을 위해 사용될 수 있는 통신 프로토콜 및/또는 파라미터는 또한 통상적으로 규정된다. 다시 말해서, 통신이 기반을 두고 있는 특정 세트의 "룰"은 사용자가 통신 시스템을 통해 통신을 가능하게 하도록 규정될 필요가 있다.
사용자 장비용 무선 통신을 제공하는 통신 시스템이 알려져 있다. 이러한 시스템은 통상적으로 모바일 시스템으로 지칭되지만, 소정의 시스템에서는 상기 이동성은 실질적으로 소규모 영역에 국한될 수도 있다. 모바일 시스템의 예는 공중선 모바일 네트워크(public land mobile network:PLMN)이다. 다른 예는 적어도 부분적으로 통신 위성의 사용에 기반을 두고 있는 모바일 시스템을 들 수 있다. 모바일 통신은 또한 다른 타입의 시스템, 가령 무선랜(WLAN) 수단에 의해 제공될 수도 있다.
PLMN 시스템에서, 기지국은 통신 시스템에 대한 액세스를 갖는 사용자 장비를 제공한다. 사용자 장비는 동시에 두개 이상의 기지국을 갖는 무선 통신 장비일 수 있다. 사용자 장비와 기지국 간의 무선 인터페이스에 관한 통신은 적절한 통신 프로토콜에 기반을 두고 있다. 다양한 무선 액세스 시스템의 예는 CDMA(코드 분할 다중화 액세스), WCDMA(광대역 CDMA), TDMA(시분할 다중화 액세스), FDMA(주파수 분할 다중화 액세스), SDMA(공간 분할 다중화 액세스) 및 그의 하이브리드일 수 있다.
네트워크 장치의 동작은 상이한 기능을 갖는 복수의 다양한 제어 개체를 포함한 적절한 제어 장치에 의해 제어된다. 하나 이상의 게이트웨이 노드는 또한 한 네트워크를 다른 네트워크에 접속하기 위해 제공될 수도 있다. 가령, 셀룰러 네트워크는 다른 셀룰러 또는 고정 라인 통신 네트워크에 접속되거나 IP 및/또는 다른 패킷 데이터 네트워크와 같은 통신 네트워크에 접속될 수도 있다.
사용자 혹은 사용자 장비는 통상적으로 액세스가 허용되기 전에 혹은 다양한 애플리케이션 및 서비스를 사용하기 전에 인증될 필요가 있다. 이러한 것은 보안성 및 사생활 보호의 이유로 요구될 수 있다. 네트워크는 사용자가 가입자이며 소정의 서비스를 사용할 권리를 가지며 민감한 정보 등에 접근할 수 있도록 보장할 필요가 있다.
사용자는 다양한 식별자에 기반하여 식별될 수 있다. 이러한 것은 공개 및 개인 혹은 비밀 식별자로 분할될 수 있다. 이러한 비밀 식별자는 전형적으로 운용자에게만 알려지지만, 공개 식별자는 공개될 수 있다. 비밀 사용자 식별자의 예는 국제 모바일 가입자 식별자(IMSI) 및 인터넷 프로토콜 멀티미디어 비밀 식별자(IMPI)를 들 수 있다. 공개 식별자의 예는 모바일 가입자 통합 시스템 디지털 번호(MSISDN) 및 IP 멀티미디어 공개 식별자(IMPU)를 포함한다.
다양한 인증 메카니즘이 사전에 존재하거나 제안되었다. 인증 메카니즘의 일 예는 3세대 파트너쉽 프로젝트(3GPP)에 의해 "제안된 범용 인증 아키텍처"(GAA)이다. GAA는 다양한 애플리케이션에 대한 보안 절차 및 모바일 사용자 장비의 사용자, 가령 셀룰러 시스템에 대한 모바일 스테이션에 대한 서비스로서 사용될 것이다. GAA는 사용자 장비 및 가입자 데이터베이스와 관련하여 제공되는 특정 보안 저장 개체 상에 저장된 비밀 사용자 식별자에 기반을 두고 있다. 이러한 사용자 장비의 보안 저장 개체는 적절한 보안 모듈 혹은 식별 모듈에 의해 제공될 수도 있다. 가입자 데이터베이스는 네트워크 개체, 가령 홈 로케이션 레지스터 혹은 홈 가입자 서버(HLR/HSS)에 의해 제공될 수 있다. 보안 사용자 식별 저장 개체 및 가입자 데이터베이스 개체는 전형적으로 사용자 식별자를 발행하고 가입자 데이터베이스를 전형적으로 실행 및 소유하는 운용자들에 의해 직접 제어된다. 통상적으로 유지되는 시각은 운용자 제어 데이터베이스와 함께 비밀 식별자의 사용을 통해 고체 플랫폼에 사용자 인증을 제공한다는 것이다.
그러나, 인증 시스템에 대한 제안, 가령 GAA는 가입자 데이터베이스에 기반을 두고 있기 때문에 필요에 의해 운용자들로부터 발생하는 사용자 식별자를 사용하도록 제한된다. 이러한 식별자는 아래에서 용어, 가령 홈 운용자 식별자 혹은 네트워크 발생 식별자에 의해 호출된다. 그러나, 잠재적 애플리케이션은 운용자에게 알려지지 않거나 인증이 운용자들에 의해 확인될 수 없는 사용자 자신의 식별자를 사용할 수 있으며, 따라서 현재의 인증 메카니즘이 적용되지 못할 수도 있다. 이러한 식별자는 일반적으로 비네트워크 발생 식별자로 불리어진다. 이 시점에서 기존 모바일 사용자 식별자의 종류에 존재하지 않는 사용자 식별자, 즉 비 네트워크 발생 식별자는 인증될 수 없다. 그러한 사용자 식별자는 전형적으로 하나의 이유 혹은 다른 이유로 인해 네트워크 발생 식별자를 사용하지 않는 특정 애플리케이션에 액세스할 수 있는 사용자 장비의 사용자에 의해 사용된다. 그럼에도불구하고, 만약 기존의 운용자 기반 인증 메카니즘이 운용자 도메인 외부에서 발생하는 식별자들에 대해서도 사용될 수 있다면 효과적일 것이다.
주목할 것은 그 문제는 모바일 시스템에 국한되는 것이 아니라 사용자가 상이한 타입의 사용자 장비 및/또는 상이한 액세스 시스템을 통해, 서비스 및 애플리케이션에 액세스할 수 있는 임의의 통신 환경에서도 발생할 수 있다는 것이다.
본 발명의 실시예는 전술한 하나 이상의 문제를 해결하기 위한 것이다.
일 실시예에 의하면, 통신 네트워크에서 네트워크 발생 사용자 식별자에 기반하여 사용자들이 식별되는 방법이 제공된다. 이 인증 방법은 사용자로부터 네트워크 발생 식별자를 수신하는 단계 및 네트워크 발생 식별자와 데이터 저장 장치 내에 저장된 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 단계를 포함한다. 비 네트워크 발생 식별자가 사용자로부터 수신될 때, 사용자로부터의 비 네트워크 발생 식별자는 데이터 저장 장치로부터의 적어도 하나의 비 네트워크 발생 식별자와 비교된다. 이 비교가 유효하면 사용자는 인증된다.
다른 실시예에 의하면, 통신 시스템에서 사용자를 인증하는 인증 장치가 제공되는데, 사용자는 네트워크 발생 식별자 및 비 네트워크 발생 식별자를 제공한다. 이 인증 장치는 사용자로부터 네트워크 발생 식별자를 수신하는 수단과, 상기 네트워크 발생 식별자와 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 수단과, 사용자로부터 비 네트워크 발생 식별자를 수신하는 수단과, 사용자로부터의 비 네트워크 발생 식별자와 상기 연관 수단으로부터의 적어도 하나의 비 네트워크 발생 식별자를 비교하는 수단과, 그 비교가 유효하다면 사용자를 인증하는 수단을 포함한다.
또다른 실시예에서, 애플리케이션 서버에 의해 식별자들의 연관이 제공된다.
데이터 저장 장치, 부트스트랩 기능 혹은 애플리케이션 서버에 의해 인증이 제공될 수도 있다.
중간 식별자들이 사용될 수도 있다. 중간 식별자들과 비 네트워크 발생 식별자들 간의 연관을 위한 데이터는 애플리케이션 서버에서 유지될 수 있다. 부트스트랩 기능시 일시적인 식별자들이 생성될 수도 있으며, 이 일시적인 식별자는 사용자 장비로부터 애플리케이션 서버로 전송될 수도 있다.
본 발명의 실시예는 운용자 발생 식별자에 기반을 두고 있는 기존의 인증 메카니즘이 상이한 식별자에 기반한 인증을 위해 사용될 수 있다는 효과를 제공할 수 있다. 운용자는 운용자에 할당되지 않거나 운용자에 의해 제어되지 않는 식별자들을 저장할 필요가 없다. 따라서, 본 실시예들은 가령 모바일 식별자들에 대한 기존의 인증 시스템의 기능이 비 셀룰러, 즉 비 모바일 사용자 식별자들을 사용하는 애플리케이션에 쉽게 확장될 수 있도록 한다.
후술되는 실시예에서는 GAA 내 혹은 외부 어디에서도 IMPI 또는 IMPU를 갖는 비 모바일 식별자들 간의 연관성을 저장함으로써 이러한 것을 달성할 수가 있다.
본 발명의 보다 나은 이해를 위해 예로서 첨부되는 도면이 참조될 것이다.
도 1은 본 발명이 구현될 수 있는 통신 시스템이다.
도 2는 기존의 인증 메카니즘의 아키텍처이다.
도 3은 본 발명의 일 실시예를 나타내는 플로우 챠트이다.
도 4 내지 도 9 및 도 12는 본 발명의 실시예들에서 사용하기 위한 예의 아키텍처를 도시하고 있다.
도 10, 도 11 및 도 13은 다양한 실시예를 구현하는 데 사용가능한 다양한 알고리즘을 도시하고 있다.
본 발명의 실시예가 모바일 통신 네트워크, 가령 공중 지상선 모바일 네트워크(PLMN)를 참조하면서 후술될 것이다. 이러한 것을 상술하기에 앞서, 적어도 하나의 PLMN을 포함하는 통신 시스템이 도 1을 참조하면 간략히 설명된다.
PLMN(10)에서, 다수의 기지국(12)은 다수의 모바일 사용자 장비에 대해 신호를 무선으로 송수신하도록 배열된다. 마찬가지로, 모바일 사용자 장비(14)는 적절한 기지국에 대해 무선 신호를 송수신할 수 있다. 네트워크(10)의 동작은 전형적으로 적절한 제어기 개체에 의해 제어된다. 동작을 위해 요구되는 데이터는 전형적으로 적절한 데이터 저장 개체 내에 저장된다. 명료성을 위해 도 1은 단지 하나의 데이터 저장 개체(16)를 나타내는 데, 이 개체는 가입자 데이터를 저장하도록 구성된다. 가입자 데이터 저장 개체의 예는 다양한 홈 로케이션 레지스터(HLR) 및 홈 가입자 서버(HSS)를 포함한다.
적절한 모바일 사용자 장비에는 필요한 무선 송신 요소 및 제어기 기능이 제 공되어, 네트워크로에 대해 데이터를 송수신할 수 있으며 상기 네트워크로부터 수신할 수 있는 제어 인스트럭션을 처리하며 필요한 제어 정보를 상기 네트워크로 전송할 수가 있다. 사용자 장비(UE)(14)는 임의의 사용자 단말기의 형태를 취할 수 있다. 모바일 통신 시스템에서, 사용자 장비는 모바일 단말기, 가령 모바일 전화기, PDA 혹은 모바일 PC 등을 구성한다. 무선 통신 시스템에서 사용하기 위해, 사용자 장비는 수신 및 송신 회로와, 호출 및 다른 신호 채널을 구현하기 위한 무선 신호를 송신하고 수신하기 위한 수단을 포함한다.
모바일 사용자 장비에는 전형적으로 식별자 모듈(15)이 제공된다. 사용자 장비의 식별자 모듈은 통상적으로 네트워크가 사용자 장비가 그 네트워크에 존재한다는 것을 보장하도록 배열되는 보안 식별자의 저장장치를 지칭하는 것으로 이해된다. 사용자 식별 모듈은 다수의 보안 및 다른 애플리케이션을 포함할 수 있다. 잘 알려진 사용자 식별자 모듈의 예는 2G GSM의 가입자 식별자 모듈(SIM)과 3G 시스템의 사용자 식별자 회로 카드(UICC)이다. 사용자 식별자 모듈 및 HSS는 사용자 식별자, 가령 IMSI 및 IMPI와 다른 공유 비밀을 저장할 수 있다. 사용자는 사용자 식별자 모듈 및 HSS 내에 저장된 수 종류의 사용자 식별자를 가질 수 있다. 가령, IMPI는 보안 도메인 내부에 사용될 수도 있지만 IMPU 세트는 보안 도메인 외부에 사용될 수 있다. 사용자 식별자 모듈은 HSS와 함께 공유 비밀을 유지할 수 있으며 그 공유 비밀로부터 보안 키를 생성할 수도 있다. 이러한 키는 사용자 장비와 부트스트랩과 같은 동작시의 사용자 장비와 네트워크 애플리케이션 기능(NAF) 간의 신뢰형 접속의 생성에 사용될 수 있다.
사용자는 다양한 애플리케이션, 가령 가입하고자 하는 네트워크를 통해 서비스 애플리케이션에 액세스할 수 있다. 애플리케이션은 공급자 개체, 가령 임의의 서비스 공급자 서버(18)에 의해 제공될 수 있다. 주목할 것은 그 애플리케이션 서버가 단지 네트워크에 접속될 필요는 있지만 전적으로 그 네트워크의 일부일 수는 없다는 것이다. 이는 네트워크(10)의 운용자가 단지 애플리케이션 공급자의 동작에 관한 제한된 제어권을 가지거나 전적으로 모든 제어권을 가질 수 없다는 것을 의미한다. 또한, 통신 시스템은 다수의 상이한 통신 네트워크에 의해 제공될 수 있다. 따라서, 애플리케이션 공급자 개체는 사용자가 가입하는 네트워크와는 다른 네트워크에 접속될 수 있다.
도 2는 제안된 인증 메카니즘(20)의 예를 도시한다. 특히, 도 2는 3GPP 시스템에 대한 표준화에서 범용 인증 아키텍처로서 사용되는 기존의 기반구조의 개략도이다. 이러한 아키텍처는 본 발명의 실시예를 통해 아래에서 상술될 다수의 상이한 방식으로 사용될 수 있다. 다양한 구성요소들은 이미 당업자에게는 알려져 있으므로 간략히 기술될 것이다.
GAA는 사용자 장비(14) 상의 적절한 사용자 식별자 모듈(15)과 네트워크 측의 가입자 데이터베이스(16)에 저장된 비밀 사용자 식별자에 기반을 두고 있다. 이러한 개체들은 사용자 식별자를 발행하며 가입자 데이터베이스를 공통으로 실행하고 소유하는 운용자의 제어 하에 있다.
메카니즘은 일반적으로 GAA 보안 도메인(22)과 GAA 애플리케이션 보안 도메인(24) 사이에서 분할될 수 있다. 보안 도메인은 보다 상세하게 후술될 부트스트 랩 기능(BSF)(23)을 포함하는 것으로 기술될 것이다. 애플리케이션 도메인(24)은 GAA 네트워크 애플리케이션 기능(25)과 같은 기능을 포함하는 것으로 이해된다. 애플리케이션 특정 서버는 GAA 애플리케이션 보안 도메인(24) 내에 위치한다.
사용자 장비(14)는 적절한 인터페이스, 가령 Ua 인터페이스를 통한 네트워크 애플리케이션 기능의 형태로 인증 프록시(AP)(25)와 통신할 수 있다. 네트워크 애플리케이션 기능(25)은 사용자 장비(14)에 의해 액세스가능하지만, 서비스를 사용자 장비(14)에 제공할 수 있기 전에는 인증 과정이 구현될 필요가 있다. 사용자 장비(14)는 또한 적절한 인터페이스, 가령 Ub 인터페이스를 통해 GAA 보안 도메인(22) 내에 존재하는 부트스트랩 기능(BSF)(23)과 통신할 수 있다. 점선 X-X는 GAA 애플리케이션 도메인(24)과 GAA 보안 도메인(22) 간의 분리를 나타낸다. 부트스트랩 기능(23)은 적절한 인터페이스, 가령 Zh 인터페이스를 통해 홈 가입자 서버(HSS)와 통신할 수 있다. 선택적으로, 홈 가입자 서버(16)는 GAA 애플리케이션 도메인(24) 내에 존재하는 애플리케이션 특정 서버(ASS)와 통신할 수 있다.
사용자 장비(14)가 네트워크 애플리케이션 기능(25)에 액세스하고자할 경우, Ub 인터페이스를 통해 모바일 사용자 식별자를 부트스트랩 기능(23)으로 디스패칭함으로써 인증 과정을 진행한다. 부트스트랩 기능(23)은 Zn 인터페이스를 통해 네트워크 애플리케이션 기능(25)과 통신하여 인증의 결과를 네트워크 애플리케이션 기능(25)에 전달할 수 있다. 모바일 네트워크로부터 발생하는 식별자를 사용하는 인증은 알려진 방식으로 공유형 키 쌍을 사용하는 부트스트랩 기능(23)에서 구현될 수 있다. 그러나, 현재, GAA 아키텍처는 발생되지 않는, 즉 모바일 시스템에게는 원래 알려지지 않은 식별자용으로는 사용되지 않는다.
본 발명의 실시예는 GAA의 애플리케이션으로 확장되어 비 셀룰러 사용자 식별자를 체킹할 수 있다. 이를 수행하기 위해, 적어도 하나의 비 셀룰러 모바일 사용자 식별자와 통상의 셀룰러 모바일 사용자 식별자 간의 연관성이 제공된다. 아래의 다른 실시예와 관련하여 논의되는 바와 같이, 이러한 연관성은 다수의 상이한 장소에서 만들어질 수 있다. 또한, 그 식별자들의 보정을 검증하기 위한 다양한 메카니즘이 존재한다.
일 실시예에 의하면, GAA 보안 도메인은 비 셀룰러 식별자를 직접 검증한다. 다른 실시예에 의하면, GAA 보안 도메인은 IMPU를 검증하고 GAA 애플리케이션 도메인은 IMPU함께 비 셀룰러 식별자를 검증한다.
모바일 통신 네트워크(10)의 기존 인증 메카니즘(20)은 사용자 장비로부터 수신되는 사용자 식별자들이 네트워크(10)에 의해 알려져 있지 않은 애플리케이션을 커버하도록 확장될 수 있다. 이는 모바일 네트워크(10)로부터 발생하는 식별자와 그외에서 발생하는 식별자 간의 적절한 변환이나 코히어런스 체킹을 수행함으로써 제공된다. 이는 두개의 타입의 식별자들 간의 연관성을 통해 제공될 수 있다.
도 3의 플로우챠트는 실시예에 따른 단계를 나타낸다. 단계 100에서, 네트워크 발생 식별자는 사용자로부터 네트워크에 의해 수신된다. 수신된 식별자는 다음에 단계 102에서 적어도 하나의 비 네트워크 발생 식별자와 연관되며, 이 적어도 하나의 식별자는 바람직하게도 네트워크에 접속된 데이터 저장장치에 저장된다. 단계 104에서, 제 2 식별자는 사용자로부터 수신되며, 제 2 식별자는 비 네트워크 발생 식별자를 포함한다. 단계 106에서 비 네트워크 발생 식별자는 연관성에 기반하여 식별된 상기 적어도 하나의 비 네트워크 발생 식별자와 비교된다. 만약 단계 108에서 식별자 매칭이 발견되면 사용자는 인증되며(110), 그렇지 않으면 인증은 실패로 된다(112)
다음은 일 예를 통해 GAA의 기능들이 네트워크(10)의 운용자로부터 발생하지 않는 식별자를 사용하는 애플리케이션으로 확장될 수 있는 방법을 기술하고 있다. 주목할 것은 이러한 비 네트워크 발생 식별자들이 다음의 일 예에서는 공개 애플리케이션 특정 식별자 혹은 비 셀룰러 사용자 식별자(NCID)로서 지칭된다는 것이다.
사용자는 가령 서비스 애플리케이션 공급자로부터 발생하는 하나 이상의 공개 애플리케이션 특정 식별자를 가질 수 있다. 실시예에 의하면, 애플리케이션 특정 식별자는 애플리케이션 공급자 개체, 가령 애플리케이션 특정 서버에 저장된 데이터에 기반하여 네트워크 운용자에 의해 발생된 식별자들과 연관될 수 있다. 다음은 이러한 연관성이 사용될 수 있는 두개의 다른 인증 메카니즘을 기술한다.
제 1 실시예에 따라, 메카니즘(20)의 GAA 보안 도메인(22)은 애플리케이션 특정 식별자를 검증한다. 가령, 도 4에 도시된 바와 같이, 사용자 장비(14)로부터의 애플리케이션 특정 식별자는 HSS측으로부터의 대응하는 애플리케이션 특정 식별자와의 체킹을 위해 네트워크 애플리케이션 기능(NAF)(18)을 통해 GAA 내의 부트스트랩 기능(BSF)(23)에 전달될 수 있다. 이러한 예에서, 비 셀룰러 도메인과 셀룰러 도메인 간의 연관성은 IMPI 및 NCID 간의 연관성에 기반을 두고 있다.
연관성을 생성하기 위해, 애플리케이션 특정 식별자는 모바일 사용자 장비(14)로부터 BSF(23) 또는 도메인(22) 내의 다른 요소에 전달될 수 있다. HSS(16) 또는 도메인(22)에 접속된 다른 적절한 저장 장치는 사용자자의 IMPI와 적어도 하나의 애플리케이션 특정 식별자를 연관시키는 데이터를 저장할 수 있다.
주목할 것은 메카니즘의 구현이 가령, IMPI와 애플리케이션 특정 식별자 간의 연관성에 관한 데이터의 저장 장소에 관련하여 변경될 수 있다는 것이다. 만약 그 연관성 데이터가 적절한 애플리케이션 서버에 저장되어 있다면, 홈 네트워크 외부에 저장된 IMPI와의 직접적인 결합물을 저장할 수 있다. 선택 사항은 애플리케이션 특정 중간 식별자(ASID) 혹은 임의의 다른 적절한 중간 공개 식별자를 사용하는 것이다. 중간의 공개 식별자를 사용하는 시나리오의 경우, HSS는 IMPI와 애플리케이션 특정 중간 식별자(ASID) 간의 연관성 데이터를 저장할 수 있으며 애플리케이션 서버는 ASID와 애플리케이션 특정 식별자 간의 연관성 데이터를 저장할 수 있다.
IMPI와 애플리케이션 특정 식별자 간의 연관성은 GAA 보안 도메인(22)에 대해 액세스가능하도록 저장된다. 가령, 사용자의 비 셀룰러 사용자 식별자들의 각각은 사용자의 애플리케이션 특정 사용자 보안 세팅(USS)에 저장될 수 있다. 이 보안 세팅 내의 식별자들은, 사용자의 HSS가 액세스를 불가능하게 하도록 애플리케이션 서버와 같은 네트워크 개체 내의 IMPI에 기반하여 발견될 수 있다. 가령, 사용자 보안 세팅(USS)은 HSS 내에 저장될 수 있다. 이 세팅은 제어 플래그와 같은 정보와 애플리케이션 서비스에 대한 사용자 식별자들의 리스트를 포함할 수 있 다.
사용자 장비로부터의 애플리케이션 특정 식별자와 네트워크측으로부터의 적어도 하나의 애플리케이션 특정 식별자의 매칭은 다양한 장소에서, 가령 부트스트랩 기능(23), 홈 가입자 서버(16) 또는 애플리케이션 서버(18)에서 수행될 수 있다. 도 4 및 도 7에서 비 셀룰러 식별자의 검증은 BSF에서 수행되며, 도 5 및 도 6에서는 HSS에서 그리고 도 8 및 도 9에서는 애플리케이션 서버에서 수행된다. 다음은 이러한 변형예의 기본적인 원리를 요약하고 있다.
도 4에서 사용자 장비(14)의 IMPI는 BSF(23)를 통해 사용자의 HSS(16)에 전달되는데, 메시지(1) 및 (2)를 참조하기 바란다. HSS(16)는 자신의 데이터베이스로부터 사용자의 IMPI에 대응하는 저장된 애플리케이션 특정 중간 식별자(ASID)를 검색한다. 그러한 중간 식별자는 가령 운용자가 애플리케이션 서버를 실행하는 측으로 실제의 IMPI를 제공하는 것을 원하지 않거나 제공할 수 없는 경우에 사용될 수 있다. ASID는 애플리케이션 서버의 어드레스 정보를 포함할 수 있다. 이는 IMPI가 사용되는 경우 어드레스 정보가 별도로 저장될 필요가 있으므로 소정의 애플리케이션에서는 효과적일 수 있다.
애플리케이션 서버로부터 적어도 하나의 연관된 애플리케이션 특정 식별자를 인출하는 과정은 다음과 같다. 특히, HSS(16)는 애플리케이션 서버가 그 데이터베이스 내에 적어도 하나의 연관된 비 셀룰러 식별자를 갖는지를 결정한 이후의 메시지(X1)에서 ASID를 애플리케이션 서버(18)에 전송한다. 만약 애플리케이션 특정 식별자가 발견되면, 그에 응답하여 그것은 메시지(X2)에서 HSS(16)로 리턴된다. 적절한 범용 혹은 애플리케이션 특정 인터페이스는 HSS와 상기 서버 간의 통신을 위해 사용될 수 있다. HSS(16)는 특정 IMPI의 인출된 애플리케이션 특정 식별자를 BSF(23)에 전달할 수 있는데, 메시지(3)를 참조하기 바란다. 이러한 정보는 가령, 직경 내의 기존의 UserSecSettings 속성 값 쌍 내에 전달될 수 있다.
사용자 장비로부터의 애플리케이션 특정 식별자의 인증 검증은 BSF(23)에 의해 수행될 수 있다. BSF는 다음에 메시지(4)에서 애플리케이션 특정 식별자, 가령 적절한 일시 식별자(TID)를 사용자 장비에 전달할 수 있다. 사용자 장비는 다음에, 메시지(5)에서 애플리케이션 특정 식별자를 네트워크 기능(NAF)에 전달할 수 있다. 서비스 요청의 수신시, NAF는 그 인증을 위해 애플리케이션 특정 식별자를 BSF에 전달할 수 있는데, 메시지(6)를 참조하기 바란다. 네트워크 애플리케이션 기능(NAF)은 NAF를 통해 사용자 장비로부터 수신된 애플리케이션 특정 식별자와 HSS로부터 수신된 애플리케이션 특정 식별자가 매칭하는지를 검증할 수 있다. 애플리케이션 특정 식별자가 HSS로부터의 애플리케이션 특정 식별자와 매칭한다면, NAF로 OK 메시지(7)가 리턴되며, 사용자 장비는 요청된 서비스를 진행할 수 있는데, 통신(8)을 참조하기 바란다.
사용자 장비로부터 수신되는 비 네트워크 발생 식별자와 네트워크 발생 식별자 간의 연관성에 관한 정보는 애플리케이션 서버 내에 저장될 수 있다. 애플리케이션 서버 내에 이러한 연관성을 저장하는 가능성이 사용되는 실시예들이 도 5 내지 도 9에 도시된다. 이러한 것은 HSS(16)가 ASID 대신에 IMPI를 애플리케이션 서버(12)에 전송하여 연관된 비 네트워크 발생 식별자를 인출함으로써 애플리케이 션 특정 식별자 혹은 다른 비 네트워크 발생 식별자를 인출할 수 있다.
도 5 및 도 6은 사용자 장비로부터의 비 네트워크 발생 식별자가 애플리케이션 서버로부터의 비 네트워크 발생 식별자와 매칭하는지의 검증이 HSS(16)에 의해 수행되는 실시예를 나타내고 있다. 도 5에서, 사용자 장비로부터의 비 네트워크 발생 식별자는 부트스트랩시의 추가적인 정보로서 사용될 수 있다. 부트스트랩시에 사전에 비 네트워크 발생 식별자를 전송하는 이점은, 도 5 및 도 9를 참조하면, 부트스트랩 기능과 홈 가입자 서버 간의 인터페이스 상의 다른 필요한 이중 시그널링(하나는 부트스트랩 동안이며, 다른 하나는 실제의 애플리케이션 과정 동안임)이 방지될 수 있다는 것이다. 도 5의 실시예는 사용자 장비가 사전에 부트스트랩을 사용할 애플리케이션을 결정할 것을 요구할 수 있다.
그 실시예에서 알려지지 않은 애플리케이션 서버로부터의 연관성들을 검색하는 것이 수행될 수 있다. 이는 임의의 비 네트워크 발생 식별자 및 애플리케이션 서버의 사용을 가능하게 한다. 이를 가능하게 하기 위해, 비 네트워크 발생 식별자는 적절한 애플리케이션 서버, 가령 도메인 네임에 관한 정보를 포함할 수 있다. HSS는 허용된 사용자 애플리케이션 특정 서버의 리스트를 알 수 있다. ASID 내에 요구된 것이 포함될 수 있어서 그 자체가 요구된 서버를 식별할 수가 있다.
도 5에서, NAF는 비 네트워크 발생 식별자에 기반하여 인증된다. 도 6에서, BSF는 사용자 장비로부터의 비 네트워크 발생 식별자를 매칭을 위해 HSS로 전달한다. 만약 매칭이 발견되면, BSF를 통해 NAF로 OK 메시지가 리턴될 수 있다.
실시예에서, 일시적 식별자(TID)와 같은 애플리케이션 특정 식별자는 부트스 트랩 기능(BSF)에 이송될 수 있다. 부트스트랩 과정은 BSF 및 사용자 장비에 의해 요구되는 TID를 생성할 수 있다. NAF로부터 정확한 TID가 BSF에 대한 검증물로서 사용되어, 사용자 장비는 NAF에 의해 이전의 부트스트랩 과정의 결과를 사용하도록 인증된다. TID는 실행된 부트스트랩 과정의 식별자로서 보일 수 있으며, 또한 동시에 비밀 키의 기능을 가질 수 있다. TID는 단지 BSF로 향하는 NAF의 인증물일 수 있다.
도 7에서 검증은 보안 도메인 내의 BSF에 의해 수행된다.
도 7 및 도 8은 모든 비 네트워크 발생 식별자들이 부트스트랩 기능 내로 검색되는 가능성을 나타낸다. 이것은 NAF가 연관성을 체크할 것을 규정하고 있는 현재의 3GPP 규약(개정 6)과 호환가능하다. 이 규약에 부가하여, 외부 애플리케이션 서버가 사용되며, 비 네트워크 발생 식별자는 GAA 사용자 보안 세팅 데이터 요소의 IMPU 대신에 사용된다.
도 8 및 도 9에 도시된 실시예에 의하면, 사용자 장비로부터의 비 네트워크 발생 식별자의 검증은 애플리케이션 도메인, 가령 인증 애플리케이션 서버 혹은 프록시에 의해 수행될 수 있다.
도 10은 검증이 부트스트랩 기능에 의해 달성되는 아키텍처에 적용가능한 특정의 실시예에서 취해질 수 있는 이용가능한 단계를 도시한 플로우챠트이다. 단계 S1에서, 사용자 장비는 부트스트랩 기능에 모바일 사용자 IMPI를 전송한다. 부트스트랩 기능은 다음에 IMPI를 단계 S2에 따라 홈 가입자 서버에 전송한다. 다음 단계에서, 홈 가입자 서버는 IMPI를 사용하여 적절한 데이터 저장장치로부터 NCID를 획득한다. 도 10은 이러한 동작을 위해 S3A, S3B, S3C를 도시한다. 단계 S4에서, NCID는 부트스트랩 기능으로 전송된다. BSF는 애플리케이션 특정 식별자가 사용자 장비를 위해 할당되는지를 검증하도록 요구된 부트스트랩 기능을 수행한다. 그것은 또한 단계 S5에서 수신된 IMPIS 및 NCID를 저장한다. 단계 S6에서, BSF는 적절한 애플리케이션 특정 인증물을 사용자 장비에 전송한다.
단계 S7에 의하면, 애플리케이션 측의 사용자 장비는 애플리케이션 특정 식별자와 함께 비 셀룰러 식별자(NCID')를 네트워크 애플리케이션 기능으로 전송한다. 네트워크 애플리케이션 기능은 다음에 이를 단계 S8A에 표시된 바와 같이 부트스트랩 기능으로 전송할 수 있다. 대안으로 단지 TID만이 BSF로 전송되는데, 단계 S8B를 참조하기 바란다. 부트스트랩 기능은 다음에 단계 S9A에서 요구된 소프트웨어를 실행하여 홈 가입자 서버로부터 검색된 NCID와 식별자 NCID'를 비교한다. 부트스트랩 기능은 단계 S10A에 의해 표시된 바와 같이 네트워크 애플리케이션 기능에 대한 응답을 리턴하며, 그 응답이 OK라고 가정하면 네트워크 애플리케이션 기능은 단계 S11에서 표시된 바와 같이 사용자 장비를 인증한다.
대안으로서, 부트스트랩 기능은 NAF를 통해 사용자 장비로부터 수신된 TID에 응답하여 NCID를 리턴하는데, 단계 S9B를 참조하기 바란다. NAF는 단계 S10B에서 검증을 수행할 수 있다. 만약 검증이 긍정적이라면 단계 S11로 진행한다.
도 11은 홈 가입자 서버에 의해 비교 소프트웨어가 실행되는 실시예를 도시한다. 단계 S20에서 프로세스가 개시되어, 사용자 장비는 모바일 식별자 IMPI를 부트스트랩 기능으로 전송한다. 단계 S21 내지 S24는 부트스트랩 과정의 일부로 서, 부트스트랩 기능은 IMPI를 단계 S21에 따라 홈 가입자 서버로 전송하며, 다음에 단계 S22에서 홈 가입자 서버는 적절한 데이터 저장장치로부터 획득한 IMPU를 리턴한다. BSF는 다음에 애플리케이션 특정 식별자가 사용자 장비를 위해 할당될 수 있는지를 검증하도록 상기 요구된 부트스트랩 기능을 수행한다. 그것은 또한, 단계 S23에서 수신된 IMPU를 저장한다. 단계 S24에서, BSF는 애플리케이션 특정 인증 정보를 사용자 장비에 전송할 수 있다.
단계 S25에서, 사용자 장비는 TID를 갖는 비 셀룰러 식별자 NCID'를 네트워크 애플리케이션 기능으로 전송한다. 네트워크 애플리케이션 기능은 식별자 정보를 단계 S26에 표시된 바와 같이 부트스트랩 기능으로 전송할 수 있다. 단계 S27에서, 부트스트랩 기능은 모바일 식별자 IMPI 및 비 셀룰러 식별자 NCID'를 네트워크 애플리케이션 기능으로부터 홈 가입자 서버로 전송한다.
홈 가입자 서버는 NCID를 획득하기 위해 다양한 방식으로 정보를 처리할 수 있다. 홈 가입자 서버는 그 데이터베이스로부터의 IMPI에 기반하여 애플리케이션 특정 식별자(ASID)를 검색하고 그것을 애플리케이션 서버에 전송할 수 있는데, 단계 S28A를 참조하기 바란다. 대안의 실시예에서, 단계 S28B를 참조하면, HSS는 IMPU를 검색하고 그것을 애플리케이션 서버로 전송한다. 이러한 모든 실시예에서, 애플리케이션 서버는 단계 S29에서 NCID를 HSS에 리턴한다. HSS는 다음에 NCID'가 NCID들 중의 하나인지를 검증하고, 그 적절한 응답을 부트스트랩 기능으로 리턴한다(단계 S30, S32).
대안의 실시예에서, HSS는 부트스트랩 기능으로부터의 정보에 응답하여 그것 을 애플리케이션 서버로 전송한다(단계 S28C). 애플리케이션 서버는 비 셀룰러 식별자를 검색하고 요구된 검증을 수행한다(단계 S29C, S30C). 다음에 애플리케이션 서버는 단계 S31C에서 그 결과를 홈 가입자 서버에 리턴하며, 홈 가입자 서버는 단계 S32에서 부트스트랩 기능으로 응답을 리턴한다.
다음에 단계 S32로부터 처리가 진행되어 부트스트랩 기능이 단계 S33에서 네트워크 애플리케이션 기능으로 응답을 리턴한다. 단계 S34에서, 네트워크 애플리케이션 기능은 사용자 장비를 인증한다.
도 12에 도시된 시나리오에 의하면, GAA 보안 도메인은 IMPU를 검증하며, GAA 애플리케이션 도메인은 IMPU와 함께 비 네트워크 발생 식별자를 검증한다. 이러한 경우 비 네트워크 발생 식별자에 관한 데이터는 애플리케이션 특정 서버(18)에 저장되어, 연관된 비 네트워크 발생 식별자가 IMPU를 사용하여 인출될 수 있다. GAA는 사용자 장비가 NAF에 제공하는 IMPU를 검증하며, NAF에는 IMPU 및 일부의 변형예에서 사용자 장비로부터 애플리케이션 특정 서버(18)로의 비 네트워크 발생 식별자를 이송하기 위한 기능이 제공되어, 이것이 애플리케이션 특정 서버측으로부터의 대응하는 비 네트워크 발생 식별자와 매칭되는지를 체킹한다.
이러한 시나리오에서, 모바일 식별자(가령, IMPU)는 중간 검증된 사용자 식별자로서 사용된다. GAA 보안 도메인은 NAF에 대해 상기 제공된 IMPU를 검증한다. 각각의 애플리케이션은 IMPU와 서버(ASS)에 대한 비 네트워크 발생 식별자의 결합에 관한 정보를 저장한다. 비 네트워크 발생 식별자와 IMPU간의 코히어런스 체킹은 NAF 혹은 애플리케이션 서버에서 실행된다. 또한 애플리케이션 특정 NAF 는 임의의 외부 인터페이스 없이도 애플리케이션 서버의 기능을 수행한다. 이러한 실시예에서, 비 네트워크 발생 사용자 식별자는 IMPU와 함께 UE로부터 NAF로 이송된다.
NAF는 사용자 장비로부터의 비 네트워크 발생 식별자와 연관성에 기반하여 발견된 비 네트워크 발생 식별자의 매칭을 체킹할 수 있다. NAF는 애플리케이션 서버로의 IMPU의 전송에 대한 응답으로서 비 네트워크 발생 식별자를 입수할 수 있다. 애플리케이션 서버는 대안으로 사용자 장비로부터의 비 네트워크 발생 식별자와 연관성에 기반하여 발견된 비 네트워크 발생 식별자의 매칭을 체킹할 수 있다.
네트워크 애플리케이션에서 비교 소프트웨어가 실행되는 실시예가 도 13의 플로우챠트를 참조하면서 기술될 것이다. 이러한 대안의 실시예에 의하면, 중간 식별자 IMPU는 중간 검증 사용자 식별자로서 사용된다. 이는 데이터베이스 내의 홈 가입자 서버에서 모바일 식별자 IMPI와 관련하여 유지된다. GAA 보안 도메인은 본 명세서에 기술되지 않는 종래의 GAA 과정에 따라 네트워크 애플리케이션 기능에 대해 상기 제공된 IMPU를 검증한다. 애플리케이션 특정 서버는 IMPU와 데이터베이스 혹은 저장장치 내의 비 셀룰러 식별자 NCID 간의 결합을 유지한다.
단계 S40에서, 사용자 장비는 모바일 식별자 IMPI를 부트스트랩 기능으로 전송한다. 부트스트랩 기능은 단계 S41에 따라 모바일 식별자 IMPI를 홈 가입자 서버로 전송하며, 도 11의 단계 S22 내지 S24에 따른 과정이 후속될 수 있다.
단계 S45에서, 사용자 장비는 본 명세서에서 IMPU로 표시되는 자신의 IMPU 와, 자신의 비 셀룰러 식별자 NCID'와, TID를 네트워크 애플리케이션 기능으로 디스패치한다. 네트워크 애플리케이션 기능은 단계 S46에 따라 TID를 갖는 IMPU'를 부트스트랩 기능으로 디스패치한다. 부트스트랩 기능은 IMPU'를 인증하고 그 결과를 NAF에 전송한다(단계 S47).
NAF는 다음에 다양한 방식으로 도 13에 도시된 두개의 가능성으로 진행한다. NAF는 단계 S48A에서 IMPU'를 애플리케이션 서버로 전송하며 그 후 애플리케이션 서버는 NCID를 단계 S49에서 검색할 수 있다. 애플리케이션 서버는 다음에 NCID를 단계 S50A에 따라 네트워크 애프리케이션 기능으로 리턴할 수 있다. 네트워크 애플리케이션 기능은 다음에 식별자들이 매칭하여 인증을 수행하는 것을 체킹한다(단계 S51A, S52).
대안으로, NAF는 IMPU' 및 NCID'를 애플리케이션 서버로 전송할 수 있다(단계 S48B). 애플리케이션 서버는 IMPU'에 기반하여 NCID를 검색한다(단계 S49B). 애플리케이션 특정 서버는 NCID'가 NCID들 중의 하나인지를 체킹하고 그 결과를 네트워크 애플리케이션 기능으로 리턴한다(단계 S50B, S51B). 네트워크 애플리케이션 기능은 애플리케이션 특정 서버로부터 수신된 비 셀룰러 식별자와 사용자 장비로부터 수신된 비 셀룰러 식별자를 비교하는 비교 소프트웨어를 실행할 수 있다(단계 S52). 상기 비교가 정확하다고 가정하면, 네트워크 애플리케이션 기능은 사용자 장비에 대해 인증한다.
대안의 실시예에서, 애플리케이션 특정 서버에 위치한 비교 소프트웨어(28)는 부트스트랩 기능에 의해 인증된 IMPU와 비 셀룰러 식별자 NCID' 간의 결합과 데 이터베이스 내의 애플리케이션 특정 서버에서 유지되는 IMPU/NCID 결합을 비교할 수 있다.
현재의 GAA 규약에 약간의 변경이 요구될 수 있으며, 그러한 변경은 아래에서 논의될 것이다. 주목할 것은 아래의 변경들은 서로에 대해 대안적이며, 본 발명의 원리에 따른 동작에 모든 변경이 요구되는 것은 아니라는 것이다. 모바일 사용자 장비와 네트워크 간의 인터페이스는 인증이 요구되는 비 셀룰러 사용자 식별자(NCID)를 이송할 수 있는 기능을 가질 필요가 있다. BSF와 NAF 간의 인터페이스는 추가의 기능을 갖는 소정의 실시예에 제공되어 비 셀룰러 사용자 식별자(NCID)를 NAF로부터 BSF로 이송시킬 필요가 있다. 비 네트워크 발생 식별자는 적절한 레지스터 내의 GAA-UserSecSettings 내의 애플리케이션의 사용자 보안 세팅에 영구적으로 저장될 필요가 있다. 일부의 비 네트워크 발생 식별자를 사용하는 각각의 애프리케이션에 대해 규정된 애플리케이션의 사용자 보안 세팅이 존재한다. 모든 GAA 사용자 보안 세팅은 BSF로 다운로딩될 필요가 있다. 만약 비 네트워크 발생 식별자와 IMPI 간의 연관성 데이터가 GAA 외부의 애플리케이션 특정 서버(ASS) 내에 저장된다면, HSS는 그 ASS에 대한 액세스를 가져야한다. 비 네트워크 발생 식별자는 응답 메시지 내의 GAA 사용자 보안 세팅을 사용하여 BSF로 다운로딩될 수 있다. 최적화 이유로, BSF가 알고 있는 경우 BSF로부터 HSS로의 요청 메시지에 대한 GAA 애플리케이션 타입의 추가적인 표시에 대한 요구가 있을 수 있다. 그렇지 않으며, HSS는 모든 GAA 애플리케이션에 대해 사용자 보안 세팅에 대한 비 네트워크 발생 식별자를 생성할 필요가 있다. BSF에는 NAF로부터의 비 네 트워크 발생 식별자와 애플리케이션 사용자 보안 세팅 내의 HSS로부터의 비 네트워크 발생 식별자가 동일하다는 것을 코히어런스 체킹하는 추가적인 기능이 제공될 수 있다. 이러한 변경은 BSF가 비교를 위해 사용되는 변형예에 대해서도 유지된다.
전술한 데이터 처리 기능은 하나 이상의 데이터 프로세서 개체에 의해 제공될 수 있다. 적절히 적응되는 컴퓨터 프로그램 코드 제품은 가령 연산, 검색, 매칭 및 조합 동작들을 수행하는 컴퓨터에 로딩될 때 실시예를 구현하기 위해 사용될 수 있다. 상기 동작을 제공하기 위한 프로그램 코드 제품은 가령 캐리어 디스크, 카드 또는 테이프와 같은 캐리어 매체 상에 저장되며 캐리어 매체에 의해 제공될 수 있다. 데이터 네트워크를 통해 프로그램 코드 제품을 다운로드할 수가 있다. 로케이션 서버에서 적절한 소프트웨어가 제공될 수 있다. 따라서 일부의 애플리케이션에서는 추가적인 하드웨어가 불필요하다. 로케이션 서버에서는 추가적인 메모리 및 처리 수단이 요구될 수 있다.
본 발명의 실시예들이 모바일 스테이션과 같은 사용자 장비와 관련하여 기술되었지만, 임의의 다른 적당한 타입의 사용자 장비에 적용될 수도 있다.
주목할 것은 비록 일 예의 통신 시스템이 UMTS 또는 CDMA2000 PLMN과 같은 3세대(3G) WCDMA의 기술을 사용하고 있지만 제안된 솔루션의 실시예는 본 실시예에 의해 이점이 획득될 수 있는 임의의 통신 시스템에 사용될 수 있다는 것이다. 본 발명은 세룰러 모바일 혹은 WLAN 시스템 등의 환경에 국한되지 않으며, 중요한 것은 통신 서비스의 공급자들이 전적으로 이용가능한 모든 사용자 애플리케이션 식별 자들을 자신의 레지스터에 저장할 필요가 없다는 것이다. 따라서 비 네트워크 발생 식별자와 같은 용어는 누군가에 의해 제공되고 관리되는 식별자, 가령 가입자 데이터베이스 및 터미널 측의 사용자 식별자 모듈을 제공하는 운용자의 데이터베이스 내에만 전적으로 저장되는 것이 아닌 모든 종류의 애플리케이션 특정 식별자들을 광범위하게 지칭하는 것으로 이해될 것이다.
또한 본 명세서에서 주목할 것은 첨부된 특허청구범위에서 규정되는 영역 내에서 개시된 솔루션에 대한 약간의 변형 및 수정이 가해질 수 있다는 것이다.

Claims (27)

  1. 사용자들이 네트워크 발생 사용자 식별자에 기반하여 인증되는 통신 네트워크에서의 인증 방법으로서,
    사용자로부터 네트워크 발생 식별자를 수신하는 단계와,
    상기 네트워크 발생 식별자와 데이터 저장장치 내에 저장된 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 단계와,
    상기 사용자로부터 비 네트워크 발생 식별자를 수신하는 단계와,
    상기 사용자로부터의 비 네트워크 발생 식별자와 상기 데이터 저장장치로부터의 적어도 하나의 비 네트워크 발생 식별자를 비교하는 단계와,
    상기 비교가 유효한 경우 상기 사용자를 인증하는 단계를 포함하는
    통신 네트워크에서의 인증 방법.
  2. 제 1 항에 있어서,
    상기 연관 단계는 상기 네트워크 발생 사용자 식별자와 애플리케이션 서버 내의 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 단계를 포함하는
    통신 네트워크에서의 인증 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 인증 단계는 상기 데이터 저장장치 내에서 상기 사용자를 인증하는 단 계를 포함하는 통신 네트워크에서의 인증 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 인증 단계는 부트스트랩 기능 내에서 상기 사용자를 인증하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 인증 단계는 애플리케이션 서버 내에서 상기 사용자를 인증하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  6. 제 1 항 내지 제 5 항 중의 어느 한 항에 있어서,
    상기 제 1 비 셀룰러 식별자를 연관시키는 단계는 모바일 식별자들과 애플리케이션 특정 식별자들 간의 연관성을 저장하는 중앙 데이터 저장장치에 상기 네트워크 발생 식별자를 디스패치하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  7. 제 1 항 내지 제 6 항 중의 어느 한 항에 있어서,
    상기 연관 단계는 모바일 식별자에 기반하여 애플리케이션 특정 식별자를 검색하는 단계와, 상기 애플리케이션 특정 식별자를 사용하여 상기 적어도 하나의 비 네트워크 발생 식별자에 액세스하는 단계를 포함하는 통신 네트워크에서의 인증 방 법.
  8. 제 1 항 내지 제 7 항 중의 어느 한 항에 있어서,
    상기 비교 단계는 상기 비 네트워크 발생 식별자와 상기 사용자의 홈 가입자 데이터베이스를 제공하는 요소 내의 적어도 하나의 비 네트워크 발생 식별자를 비교하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  9. 제 1 항 내지 제 7 항 중의 어느 한 항에 있어서,
    상기 비교 단계는 상기 비 네트워크 발생 식별자와 애플리케이션 서버 내의 적어도 하나의 비 네트워크 발생 식별자를 비교하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  10. 제 1 항에 있어서,
    상기 사용자의 비 네트워크 발생 식별자와 중간 식별자를 연관시키는 데이터를 저장하는 단계와, 검증을 위해 상기 중간 식별자에 액세스하는 단계를 더 포함하는 통신 네트워크에서의 인증 방법.
  11. 제 10 항에 있어서,
    상기 중간 식별자와 상기 비 네트워크 발생 식별자 간의 연관성을 위한 데이터가 애플리케이션 서버에서 유지되는 통신 네트워크에서의 인증 방법.
  12. 제 10 항 또는 제 11 항에 있어서,
    상기 비교 단계는 연관성을 갖는 상기 적어도 하나의 비 네트워크 발생 식별자와 상기 중간 식별자 및 일반적 인증 아키텍처의 네트워크 애플리케이션 기능에서 사용자로부터 수신되는 비 네트워크 발생 식별자를 비교하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  13. 제 10 항 또는 제 11 항에 있어서,
    상기 비교 단계는 연관성을 갖는 상기 적어도 하나의 비 네트워크 발생 식별자와 상기 중간 식별자 및 애플리케이션 특정 서버에서 사용자로부터 수신되는 비 네트워크 발생 식별자를 비교하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  14. 제 1 항 내지 제 13 항 중의 어느 한 항에 있어서,
    부트스트랩 기능에서 일시적 식별자를 생성하는 단계와, 상기 일시적 식별자를 상기 사용자 장비에 전송하는 단계와, 상기 사용자 장비로부터의 일시적 식별자를 서비스를 요청할 때의 애플리케이션 기능으로 전송하는 단계를 포함하는 통신 네트워크에서의 인증 방법.
  15. 제 1 항 내지 제 14 항 중의 어느 한 항에 있어서,
    3세대 파트너쉽 프로젝트의 규약에 따라 일반적 인증 아키텍처에 의한 인증을 포함하는 통신 네트워크에서의 인증 방법.
  16. 프로그램이 컴퓨터 상에서 실행될 경우 청구항 제 1 항 내지 제 15 항 중의 어느 한 항에 따른 방법의 각각의 단계를 수행하도록 적응된 프로그램 코드 수단을 포함하는 컴퓨터 프로그램.
  17. 사용자들이 네트워크 발생 식별자 및 비 네트워크 발생 식별자를 제공하는 통신 시스템에서 사용자를 인증하는 인증 장치로서,
    사용자로부터 네트워크 발생 식별자를 수신하는 수단과,
    상기 네트워크 발생 식별자와 적어도 하나의 비 네트워크 발생 식별자를 연관시키는 수단과,
    상기 사용자로부터 비 네트워크 발생 식별자를 수신하는 수단과,
    상기 사용자로부터의 비 네트워크 발생 식별자와 상기 연관 수단으로부터의 적어도 하나의 비 네트워크 발생 식별자를 비교하는 수단과,
    상기 비교가 유효한 경우 상기 사용자를 인증하는 수단을 포함하는
    통신 시스템에서의 사용자 인증 장치.
  18. 제 17 항에 있어서,
    상기 사용자로부터 상기 네트워크 발생 식별자를 수신하는 수단은 부트스트 랩 기능을 포함하는 통신 시스템에서의 사용자 인증 장치.
  19. 제 17 항 또는 제 18 항에 있어서,
    상기 사용자로부터 비 네트워크 발생 식별자를 수신하는 수단은 네트워크 애플리케이션 기능을 포함하는 통신 시스템에서의 사용자 인증 장치.
  20. 제 17 항 내지 제 19 항 중의 어느 한 항에 있어서,
    상기 비교 수단은 상기 부트스트랩 기능 내에 구현되는 통신 시스템에서의 사용자 인증 장치.
  21. 제 17 항 내지 제 20 항 중의 어느 한 항에 있어서,
    상기 비교 수단은 홈 가입자 서버 내에 구현되는 통신 시스템에서의 사용자 인증 장치.
  22. 제 17 항 내지 제 20 항 중의 어느 한 항에 있어서,
    상기 비교 수단은 애플리케이션 특정 서버 내에 구현되는 통신 시스템에서의 사용자 인증 장치.
  23. 제 17 항 내지 제 22 항 중의 어느 한 항에 있어서,
    3GPP 표준에 따른 일반 인증 아키텍처를 포함하는 통신 시스템에서의 사용자 인증 장치.
  24. 제 17 항 내지 제 23 항 중의 어느 한 항에 있어서,
    중간 검증 식별자와 네트워크 발생 식별자 간의 연관성에 관한 데이터를 저장하는 수단을 포함하는 통신 시스템에서의 사용자 인증 장치.
  25. 통신 시스템에서 사용자에 대한 부트스트랩 기능을 제공하는 장치로서,
    상기 장치는 상기 사용자로부터의 비 네트워크 발생 식별자와 네트워크 발생 식별자와 비 네트워크 발생 식별자를 연관시키는 수단으로부터 수신되는 적어도 하나의 비 네트워크 발생 식별자를 비교하도록 구성되고, 그리고 상기 비교가 유효하다면 인증 정보를 통신하도록 구성되는
    부트스트랩 기능 제공 장치.
  26. 통신 시스템에 대한 가입자 데이터베이스로서,
    상기 가입자 데이터베이스는 사용자로부터의 비 네트워크 발생 식별자와 네트워크 발생 식별자와 비 네트워크 발생 식별자를 연관시키는 수단으로부터 수신되는 적어도 하나의 비 네트워크 발생 식별자를 비교하도록 구성되고, 그리고 상기 비교의 결과를 인증 기능에 의한 사용을 위해 통신하도록 구성되는
    통신 시스템에 대한 가입자 데이터베이스.
  27. 사용자에 대한 적어도 하나의 서비스를 제공하는 서버로서,
    상기 서버는 상기 사용자로부터의 비 네트워크 발생 식별자와 네트워크 발생 식별자와 비 네트워크 발생 식별자를 연관시키는 수단으로부터 수신되는 적어도 하나의 비 네트워크 발생 식별자를 비교하도록 구성되는
    서버.
KR1020077022913A 2005-03-09 2006-03-07 통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스,서버 KR20070103785A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0504865.7 2005-03-09
GBGB0504865.7A GB0504865D0 (en) 2005-03-09 2005-03-09 User authentication in a communications system

Publications (1)

Publication Number Publication Date
KR20070103785A true KR20070103785A (ko) 2007-10-24

Family

ID=34452084

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077022913A KR20070103785A (ko) 2005-03-09 2006-03-07 통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스,서버

Country Status (7)

Country Link
US (1) US7970380B2 (ko)
EP (1) EP1861983A1 (ko)
KR (1) KR20070103785A (ko)
CN (1) CN101138217A (ko)
GB (1) GB0504865D0 (ko)
TW (1) TW200642410A (ko)
WO (1) WO2006095265A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860749B2 (en) 2013-05-29 2018-01-02 Visa International Service Association Systems and methods for verification conducted at a secure element
KR20200110345A (ko) * 2018-01-19 2020-09-23 오렌지 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8526914B2 (en) * 2004-06-04 2013-09-03 Alcatel Lucent Self-synchronizing authentication and key agreement protocol
CN100379315C (zh) * 2005-06-21 2008-04-02 华为技术有限公司 对用户终端进行鉴权的方法
CN101039181B (zh) * 2006-03-14 2010-09-08 华为技术有限公司 防止通用鉴权框架中服务功能实体受攻击的方法
EP2056570A1 (en) * 2007-10-29 2009-05-06 Nokia Siemens Networks Oy Session and media binding to common control
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
US9560082B2 (en) * 2009-11-30 2017-01-31 Nokia Solutions And Networks Oy Method and network device establishing a binding between a plurality of separate sessions in a network
US8566910B2 (en) 2010-05-18 2013-10-22 Nokia Corporation Method and apparatus to bind a key to a namespace
US8661257B2 (en) * 2010-05-18 2014-02-25 Nokia Corporation Generic bootstrapping architecture usage with Web applications and Web pages
US8489071B2 (en) * 2010-10-27 2013-07-16 Mobilesphere Holdings LLC System and method for assuring identity on a mobile device
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US8898769B2 (en) 2012-11-16 2014-11-25 At&T Intellectual Property I, Lp Methods for provisioning universal integrated circuit cards
US8959331B2 (en) 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
WO2014182694A1 (en) * 2013-05-06 2014-11-13 Convida Wireless LLC Device triggering
US9036820B2 (en) 2013-09-11 2015-05-19 At&T Intellectual Property I, Lp System and methods for UICC-based secure communication
US9124573B2 (en) 2013-10-04 2015-09-01 At&T Intellectual Property I, Lp Apparatus and method for managing use of secure tokens
US9208300B2 (en) 2013-10-23 2015-12-08 At&T Intellectual Property I, Lp Apparatus and method for secure authentication of a communication device
US9240994B2 (en) 2013-10-28 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for securely managing the accessibility to content and applications
US9240989B2 (en) 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US9313660B2 (en) 2013-11-01 2016-04-12 At&T Intellectual Property I, Lp Apparatus and method for secure provisioning of a communication device
US9413759B2 (en) 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
US9713006B2 (en) 2014-05-01 2017-07-18 At&T Intellectual Property I, Lp Apparatus and method for managing security domains for a universal integrated circuit card
EP3158785A4 (en) * 2014-06-18 2017-06-14 Telefonaktiebolaget LM Ericsson (publ) Methods and arrangements for identification of user equipments for authentication purposes
US20170272939A1 (en) * 2015-01-20 2017-09-21 Nokia Solutions And Networks Oy Method, apparatus and computer program product for provisioning multiple user identities in an ip multimedia subsystem

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2662880B1 (fr) * 1990-05-30 1993-05-07 Cit Alcatel Procede d'acces d'un usager aux donnees d'un abonnement a un service de telephonie sans fil.
FI101031B (fi) * 1995-05-12 1998-03-31 Nokia Telecommunications Oy Tilaajalaitteen käyttöoikeuden tarkistus
US7562127B2 (en) * 2001-04-03 2009-07-14 Nippon Telegraph And Telephone Corporation Contents additional service inquiry server for identifying servers providing additional services and distinguishing between servers
FR2837645B1 (fr) * 2002-03-25 2004-07-09 Cit Alcatel Procede de fourniture de services pour terminaux prives distants, et dispositif associe
DE10223248A1 (de) * 2002-05-22 2003-12-04 Siemens Ag Verfahren zum Registrieren eines Kommunikationsendgeräts
US20060288407A1 (en) 2002-10-07 2006-12-21 Mats Naslund Security and privacy enhancements for security devices
US20040167966A1 (en) * 2003-02-21 2004-08-26 Simon Lee Method and system for directing communications in a communications network
CN1315268C (zh) * 2003-11-07 2007-05-09 华为技术有限公司 一种验证用户合法性的方法
CN101147377B (zh) * 2005-02-04 2013-03-27 高通股份有限公司 无线通信的安全自启动

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860749B2 (en) 2013-05-29 2018-01-02 Visa International Service Association Systems and methods for verification conducted at a secure element
KR20200110345A (ko) * 2018-01-19 2020-09-23 오렌지 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법

Also Published As

Publication number Publication date
WO2006095265A1 (en) 2006-09-14
EP1861983A1 (en) 2007-12-05
GB0504865D0 (en) 2005-04-13
TW200642410A (en) 2006-12-01
US20060205387A1 (en) 2006-09-14
US7970380B2 (en) 2011-06-28
CN101138217A (zh) 2008-03-05

Similar Documents

Publication Publication Date Title
KR20070103785A (ko) 통신 네트워크에서의 인증 방법, 통신 시스템에서의 사용자인증 장치, 통신 시스템에서의 사용자에 대한 부트스트랩기능 제공 장치, 통신 시스템에 대한 가입자 데이터베이스,서버
US9247427B2 (en) Multi-factor caller identification
US8249554B2 (en) Methods for provisioning mobile stations and wireless communications with mobile stations located within femtocells
US9503890B2 (en) Method and apparatus for delivering keying information
US8626708B2 (en) Management of user data
EP3679655A1 (en) Authenticating user equipments through relay user equipments
US7885640B2 (en) Authentication in communication networks
EP2938043B1 (en) Method of access provision
US8347077B2 (en) Authenticating a registration request with a mobility key provided to an authenticator
US20110173687A1 (en) Methods and Arrangements for an Internet Multimedia Subsystem (IMS)
US20120222091A1 (en) Methods and apparatus for use in a generic bootstrapping architecture
JP7456444B2 (ja) ネットワーク装置の方法
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
JP2014238664A (ja) ネットワークにおける端末認証方法及びシステム
EP2510717B1 (en) Smart card security feature profile in home subscriber server
US10397965B2 (en) System and method of determining real-time location and status of voice-over Wi-Fi (VoWiFi) users in heterogeneous network environment
US11490255B2 (en) RCS authentication
KR101088321B1 (ko) 이동국들 및 펨토셀들 내에 위치된 이동국들과의 무선 통신들을 프로비저닝하기 위한 방법들
US20230072838A1 (en) Virtual line registration system
JP2012010051A (ja) Ims認証制御システム及びims認証制御方法
CN116827915A (zh) 通信方法、装置以及系统
EP1958370A2 (en) Method and apparatus for delivering keying information

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application