KR20080052980A - Enum system and user authentication method - Google Patents

Enum system and user authentication method Download PDF

Info

Publication number
KR20080052980A
KR20080052980A KR1020060124835A KR20060124835A KR20080052980A KR 20080052980 A KR20080052980 A KR 20080052980A KR 1020060124835 A KR1020060124835 A KR 1020060124835A KR 20060124835 A KR20060124835 A KR 20060124835A KR 20080052980 A KR20080052980 A KR 20080052980A
Authority
KR
South Korea
Prior art keywords
user
authentication
service provider
information
enum
Prior art date
Application number
KR1020060124835A
Other languages
Korean (ko)
Other versions
KR100845235B1 (en
Inventor
안재영
김기천
최지원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060124835A priority Critical patent/KR100845235B1/en
Publication of KR20080052980A publication Critical patent/KR20080052980A/en
Application granted granted Critical
Publication of KR100845235B1 publication Critical patent/KR100845235B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

A telephone number mapping system and a user authentication method applied to the same are provided to improve convenience of a user by using services provided from all service provider connected to a DNS server without an additional authentication process by a single authentication process of a user terminal which is performed through the DNS server of the telephone number mapping system. A user authentication method applied to a telephone number mapping system includes the steps of: if an address request of a service provider is inputted from a user terminal, determining whether an authentication for a corresponding user is needed(1); if the user authentication is needed based on the determination result, requesting a user authentication through the user terminal(2); determining whether a user authentication information inputted in response to the request is available, and if the authentication is available, generating and storing the authentication information of the corresponding user; and if an address for the service provider is requested from the user terminal having the authentication information, providing a corresponding information, and transmitting an acknowledgement information for an user authentication acknowledgement which is requested from the corresponding service provider(3).

Description

ENUM 시스템 및 이에 적용되는 사용자 인증 방법{ENUM system and user authentication method}ENNMW system and user authentication method applied thereto {ENUM system and user authentication method}

도 1은 본 발명의 실시예에 따른 ENUM 시스템을 개략적으로 나타낸 구성도,1 is a schematic view showing an ENUM system according to an embodiment of the present invention;

도 2는 도 1에 적용되는 사용자 인증 방식을 개념적으로 나타낸 일실시예 설명도,FIG. 2 is a diagram illustrating an embodiment conceptually illustrating a user authentication method applied to FIG. 1; FIG.

도 3은 본 발명의 ENUM 시스템에 적용되는 사용자 인증 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating an embodiment of a user authentication method applied to an ENUM system of the present invention.

본 발명은 ENUM(전화번호 매핑) 시스템 및 이에 적용되는 사용자 인증 방법에 관한 것으로, 보다 상세하게는, 사용자 편의성 및 전체적인 시스템 보안성을 향상시킬 수 있도록 개량된 ENUM 시스템과 이에 적용되는 사용자 인증 방법에 관한 것이다. The present invention relates to an ENUM (telephone number mapping) system and a user authentication method applied thereto, and more particularly, to an improved ENUM system and user authentication method applied thereto to improve user convenience and overall system security. It is about.

전화번호 매핑(tElephone Number Mapping; 이하 "ENUM"이라 함)이란 인터넷 엔지니어링 태스크 포스(IETF)의 표준으로 제안된 것으로서, 기존 전화번호를 인터넷 주소 처계로 변환시켜 주는 통신 규약을 의미한다. 즉, 인터넷 응용 서비스를 하나의 식별 체계로 통합하고 공용성을 보장할 수 있는 일반 공중망 "E.164" 번호 체계를 전화번호와 관련된 자원과 접속하는 속성들로 사상(寫像)하기 위해 제안된 것으로, 집 전화, 회사 전화, 팩스, 이동 전화, 이메일 등 많은 번호와 주소를 하나로 통합하는 단일 번호를 제공하도록 한다.TElephone Number Mapping (hereinafter referred to as "ENUM") is a standard of the Internet Engineering Task Force (IETF), which is a communication protocol that converts existing telephone numbers into Internet addressing. In other words, it is proposed to map the general public network "E.164" numbering system which can integrate Internet application service into one identification system and guarantee commonality as attributes that connect with resources related to telephone number. Provide a single number that consolidates many numbers and addresses into one, such as your home phone, work phone, fax, mobile phone, or email.

다시 말해, ENUM은 대표성을 갖는 하나의 전화번호가 다른 여러 자원, 예를 들어 전자 메일, 인터넷 전화, 인터넷 팩스 등에 접근하는 방식이며, 송신자는 단 하나의 수신자의 주소, 즉 ENUM 번호만 알고 있으면 수신자의 여러 서비스나 장치들에 쉽게 접근할 수 있다.In other words, ENUM is a way for a representative phone number to access other resources, such as e-mail, Internet phone, Internet fax, etc., and the sender needs to know the recipient's address, that is, the ENUM number. Easy access to multiple services or devices.

하지만, 이와 같은 종래의 ENUM 시스템에 있어서는, 사용자가 일 서비스 제공자로부터 제공되는 서비스를 이용한 후에 타 서비스 제공자로부터 제공되는 서비스를 이용하기 위해서는 매번 새로운 인증을 해야만 했다.However, in such a conventional ENUM system, a user must use a new authentication every time in order to use a service provided by another service provider after using a service provided by one service provider.

그리고 이는 사용자에게 있어 시스템의 이용에 번거로움으로 작용할 뿐만 아니라, 여러 가지 보안상 취약점의 원인이 되는 등의 문제점이 있었다.And this not only acts as a hassle for the user to use the system, but also causes various security vulnerabilities.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 사용자 편의성 및 전체적인 시스템 보안성을 향상시킬 수 있도록 개량된 ENUM 시스템과 이에 적용되는 사용자 인증 방법을 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and an object thereof is to provide an improved ENUM system and a user authentication method applied thereto to improve user convenience and overall system security.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명은, DNS 서버를 통해 다수의 사용자 단말 및 다수의 서비스 제공자(Service Provider; SP)들이 상호 연결되는 ENUM 시스템에 있어서, 상기 DNS 서버가 상기 사용자 단말에 대한 단일의 인증 과정을 통해, 상기 인증된 사용자 단말이 상기 다수의 서비스 제공자들로부터 제공되는 서비스의 이용을 가능하도록 하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a single authentication for the user terminal in the ENUM system in which a plurality of user terminals and a plurality of service providers (SPs) are interconnected through a DNS server. Through the process, the authenticated user terminal is characterized in that to enable the use of services provided from the plurality of service providers.

이때, 상기 DNS 서버에 의해 수행되는 상기 사용자 단말에 대한 단일의 인증은 SAML 인증일 수 있고, 이 경우, 상기 DNS 서버는 상기 SAML 인증의 수행을 위한 전용 ITS(Inter-Site Transfer Service) 컴포넌트(component)를 구비할 수 있다.In this case, the single authentication for the user terminal performed by the DNS server may be SAML authentication, in which case, the DNS server is a dedicated Inter-Site Transfer Service (ITS) component for performing the SAML authentication. ) May be provided.

한편, 본 발명은, ENUM 시스템에 적용되는 인증 방법에 있어서, 사용자 단말로부터 서비스 제공자의 주소 요청이 입력되면, 해당 사용자에 대한 인증 필요 여부를 판단하는 단계; 상기 판단의 결과 사용자의 인증이 필요할 경우 상기 사용자 단말을 통해 사용자 인증을 요청하는 단계; 상기 요청에 대응되어 입력되는 사용자 인증 정보의 유효 여부를 판단하고, 인증이 유효할 경우 해당 사용자에 대한 인증 정보를 생성, 저장하는 단계; 및 상기 인증 정보가 저장된 사용자 단말로부터 서비 스 제공자 주소 요청이 있을 경우 해당 정보를 제공하며, 이에 대한 대응 서비스 제공자로부터의 사용자 인증 확인 요청에 대해 확인 정보를 전송하는 단계를 포함한다.On the other hand, the present invention, in the authentication method applied to the ENUM system, if the address request of the service provider is input from the user terminal, determining whether the authentication of the user; Requesting user authentication through the user terminal when authentication of the user is required as a result of the determination; Determining whether the user authentication information input in response to the request is valid, and generating and storing authentication information about the corresponding user when the authentication is valid; And providing the corresponding information when there is a service provider address request from the user terminal in which the authentication information is stored, and transmitting confirmation information about the user authentication confirmation request from the corresponding service provider.

여기서, 상기 사용자 및 상기 서비스 제공자 사이의 인증은 어서션(Assertion), 프로토콜(Protocol), 바인딩(Bindings) 및 프로파일(Profiles)을 포함하는 인증 엘리먼트를 이용해 이루어지는 SAML 인증인 것을 특징으로 한다. The authentication between the user and the service provider may be SAML authentication using authentication elements including assertions, protocols, bindings, and profiles.

이때, 상기 사용자에 대한 인증 필요 여부를 판단하는 단계는, 상기 사용자의 인증 정보 저장 여부를 판단함으로써, 해당 사용자에 대한 저장 인증 정보가 존재할 경우 사용자의 인증을 요청하지 않는 것을 특징으로 한다.At this time, the step of determining whether the user needs to authenticate, characterized in that by determining whether to store the authentication information of the user, if there is stored authentication information for the user does not request the user's authentication.

한편, 본 발명의 사용자 인증 방법은, 상기 인증이 유효한 사용자에 대한 인증 정보의 생성, 저장이 완료되면, 상기 사용자의 단말에 전체 서비스 제공자에 대한 리스트를 링크 형태로 제공하는 단계를 더 포함할 수 있으며, 이 경우, 상기 인증 정보가 저장된 사용자 단말로부터의 서비스 제공자 주소 요청은, 상기 링크 형태로 제공되는 서비스 제공자 리스트에 대한 선택에 의해 수행될 수 있다.Meanwhile, the user authentication method of the present invention may further include providing a list of all service providers in a link form to a terminal of the user when generation and storage of authentication information for a user whose authentication is valid is completed. In this case, the service provider address request from the user terminal in which the authentication information is stored may be performed by selecting a service provider list provided in the link form.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실 시예를 상세히 설명하기로 한다. The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 ENUM 시스템을 개략적으로 나타낸 구성도이고, 도 2는 이에 적용되는 사용자 인증 방식을 개념적으로 나타낸 설명도이다.FIG. 1 is a schematic diagram illustrating an ENUM system according to an exemplary embodiment of the present invention, and FIG. 2 conceptually illustrates a user authentication method applied thereto.

먼저, 도 1 은 ENUM DNS(120)를 이용하여 단말 사용자와 서비스 제공자(130, service provider; SP) 사이의 단일 인증 시스템이 구비된 ENUM 시스템을 나타내는데, 이를 참조하면, PDA나 PC 등의 단말(110) 사용자가 서비스를 이용하기 위해서는 우선 자신이 이용하고 있는 단말(110)에서 ENUM DNS(120)로 접속하게 됨을 알 수 있다. First, FIG. 1 illustrates an ENUM system equipped with a single authentication system between a terminal user and a service provider (SP) using the ENUM DNS 120. Referring to this, a terminal such as a PDA or a PC ( 110, in order to use the service, the user may first access the ENUM DNS 120 from the terminal 110 used by the user.

그러면, ENUM DNS(120)는 전화번호를 통해 DNS를 질의할 수 있는 폼을 사용자 단말(110)로 제공하며, 이에 대해 사용자가 단말(110)에 목적지 전화번호 등을 입력하면 사용자의 인증을 위한 사용자 질의를 받는다. Then, the ENUM DNS 120 provides a form for querying the DNS through the telephone number to the user terminal 110. For this, when the user inputs a destination telephone number to the terminal 110, the user's authentication for the user is performed. Receive a user query.

이때, 사용자 인증을 위한 ID로는, 사용자가 단말(110)로 휴대 전화를 사용하는 경우에는 자신의 휴대 전화번호, PDA나 노트북 또는 PC 등을 사용하는 경우에는 개인 전화번호나 또는 이를 대체할 수 있도록 발급받은 별도의 ID 등이 사용될 수 있다. 하지만 본 발명이 반드시 이에 한정되는 것은 아니다.In this case, as an ID for user authentication, when a user uses a mobile phone as the terminal 110, his or her mobile phone number, a personal phone number or a personal phone number when the user uses a PDA or a laptop or a PC, may be replaced. The issued separate ID may be used. However, the present invention is not necessarily limited thereto.

도 1의 구성도에 도시된 각각의 구성 요소들에게는 다음과 같은 기능적 사항들이 요구된다.The following functional matters are required for each component shown in the configuration diagram of FIG. 1.

먼저, 사용자 단말(110) 중 이동통신 사용자의 단말은 무선 데이터 서비스를 받을 수 있는 능력이 있어야 하고, 이동통신 사용자의 단말을 포함한 개인휴대단말기(PDA)나 개인용컴퓨터(PC) 등 모든 단말은 브라우저를 제공해야 한다.First, the mobile communication user terminal of the user terminal 110 should be capable of receiving wireless data service, and all terminals, such as a personal digital assistant (PDA) or personal computer (PC), including the mobile communication user terminal, are browsers. Should be provided.

ENUM DNS(120)는 기본적으로 다수의 SP(130)의 전화번호 목록들과 맵핑(mapping)된 URL 정보를 저장하고 있어야 한다. 또한, IDP(Identity Provider)의 기능인 인증을 수행하는 능력을 가져야 한다.The ENUM DNS 120 should basically store URL information mapped with the telephone number lists of the plurality of SPs 130. In addition, it must have the ability to perform authentication, which is a function of an identity provider (IDP).

SP(130)는 ENUM DNS(120)로부터 전달받은 인증서를 토대로 요청받은 사용자 인증이 유효함을 확인할 수 있는 기능을 가져야 한다.The SP 130 should have a function of confirming that the requested user certificate is valid based on the certificate received from the ENUM DNS 120.

이상의 각각의 구성 요소들에 요구되는 기능들을 이용한, 본 발명의 실시예에 따른 ENUM 시스템에 있어서의 사용자 인증이 이루어지는 개략적인 과정을 살펴보도록 한다.An overview of the process of authenticating a user in an ENUM system according to an embodiment of the present invention using the functions required for each of the above components will be described.

먼저, 사용자 단말(110)이 ENUM DNS(120)에 SP1(133)의 목적지 전화번호를 이용하여 URL을 질의한다.First, the user terminal 110 queries the ENUM DNS 120 using a destination telephone number of the SP1 133.

그러면, ENUM DNS(120)는 사용자 단말(110)에 인증을 요구하게 되며, 이에 대해 사용자는 단말(110)을 통해 아이디(자신의 전화번호 등)와 패스워드를 입력한다.Then, the ENUM DNS 120 requests the user terminal 110 for authentication, and the user inputs an ID (such as his / her phone number) and a password through the terminal 110.

다음으로, ENUM DNS(120)는 입력받은 정보를 토대로 사용자를 인증하고 SP1(133)에 해당 인증서를 전송하며, SP1(133)은 전송받은 인증서를 토대로 인증을 요청받은 사용자 인증의 유효함 여부를 확인한다.Next, the ENUM DNS 120 authenticates the user based on the received information and transmits the corresponding certificate to the SP1 133, and the SP1 133 determines whether the user certificate requested for authentication is valid based on the received certificate. Check it.

SP1(133)은 사용자가 유효하게 인증된 사용자로 판명되면 인증이 완료된 브라우저를 사용자 단말(110)에게 넘겨준다.If the user is found to be a validly authenticated user, the SP1 133 passes the completed browser to the user terminal 110.

이후, 사용자 단말(110)이 SP2(136)로부터 제공되는 서비스를 이용하고자 하는 경우에는 아래와 같은 순서로 인증이 이루어진다.Thereafter, when the user terminal 110 wants to use the service provided from the SP2 136, authentication is performed in the following order.

먼저, 사용자 단말(110)이 ENUM DNS(120)에 SP2(136)의 목적지 전화번호를 이용하여 접속을 요청한다. 그리고 SP2(136)는 ENUM DNS(120)에 사용자 정보를 요청한다.First, the user terminal 110 requests access to the ENUM DNS 120 using the destination telephone number of the SP2 136. The SP2 136 requests user information from the ENUM DNS 120.

ENUM DNS(120)는 SP2(136)로부터 인증 요청이 전달되면, 세션 값을 바탕으로 인증서를 검사함으로써 사용자의 인증 요청이 최초인지 여부를 확인한다. 다음에, 본 발명의 실시예와 같이, 사용자가 이전에 SP1(133)에 로그인하였던 사용자라면 ENUM DNS(120)는 별도의 인증 요청 없이 SP2(136)에 유효한 인증자임을 통보하게 된다.When the authentication request is transmitted from the SP2 136, the ENUM DNS 120 checks whether the authentication request of the user is the first by checking the certificate based on the session value. Next, as in the embodiment of the present invention, if the user has previously logged in to the SP1 133, the ENUM DNS 120 will notify the SP2 136 that it is a valid authenticator without a separate authentication request.

만일, 사용자가 최초 인증 요청자일 경우라면, 상기한 SP1(133)에서의 인증 절차를 수행하게 됨은 당연하다.If the user is the first authentication requester, it is natural that the authentication procedure in the SP1 133 is performed.

SP2(136)는 ENUM DNS(120)로부터 유효한 인증 응답(response)이 수신되면, 사용자의 단말(110)에 인증이 완료된 브라우저를 넘겨줌으로써 사용자가 해당 서비스를 이용할 수 있도록 한다.When a valid authentication response is received from the ENUM DNS 120, the SP2 136 passes the browser on which the authentication is completed to the user's terminal 110 so that the user can use the corresponding service.

따라서 상기와 같은 본 발명의 ENUM 시스템에 적용되는 인증 방식으로는 SAML 인증 방식이 적용되는 것이 바람직할 수 있다.Therefore, it may be desirable to apply the SAML authentication method as the authentication method applied to the ENUM system of the present invention as described above.

SAML은 어서션(Assertion), 프로토콜(Protocol), 바인딩(Bindings), 및 프로파일(Profiles) 등과 같은 요소들을 이용하여 이루어지는 인증 방식이다.SAML is an authentication method that uses elements such as Assertion, Protocol, Bindings, and Profiles.

어서션(Assertion)은 SAML 인증기관에 의해 생성되는 소정의 정보를 담고 있는 패키지로, 특정 대상에 대한 하나 또는 그 이상의 스테이트먼트(statement)를 제공한다.An Assertion is a package containing certain information generated by a SAML Certificate Authority, which provides one or more statements for a particular subject.

프로토콜은 어서션(Assertion)을 얻기 위한 요청/응답 등을 정의한다.The protocol defines the request / response to get the Assertion.

바인딩(Binding)은 SAML 프로토콜을 표준 전송 및 메시지 프로토콜에 어떻게 매핑할 것인지를 상세하게 정의한다.Binding defines in detail how to map the SAML protocol to standard transport and message protocols.

프로파일(Profiles)은 특정한 목적으로 사용되는 어서션(Assertion)과 프로토콜의 흐름을 기술적으로 묘사한다.Profiles technically describe the flow of assertions and protocols used for specific purposes.

도 2는 본 발명의 ENUM 시스템에 적용되는 사용자 인증 방식을 개념적으로 나타낸 일실시예 설명도로서, SAML 아티팩트(artifact)를 사용하여 인증 정보가 필요한 시스템(SP)에서, 특정 주체(사용자 단말)에 대한 인증 정보가 담긴 어서션(Assertion)을 수신받는 방식을 개념적으로 도시하고 있다. FIG. 2 is a diagram schematically illustrating a user authentication method applied to an ENUM system of the present invention. In a system SP requiring authentication information using a SAML artifact, a specific subject (user terminal) is illustrated in FIG. Conceptually, a method of receiving an Assertion containing authentication information is received.

도 2를 참조하면, 본 발명의 ENUM 시스템에 적용되는 릴라잉부(Relying Party)(130)의 단일 인증 처리는 다음과 같이 이루어진다. Referring to FIG. 2, the single authentication process of the relying party 130 applied to the ENUM system of the present invention is performed as follows.

사용자 단말(110)은 어서팅부(Asserting Party), 즉, 여기서는 ENUM DNS(120)에서 인증된 세션을 가지고 있으며, 릴라잉부(Relying Party)(130)에 있는 특정 자원(contents)에 접근하고자 하며, 이때의 아티팩트(artifact)는 base-64로 인코딩(encoding)된 문자열이라 가정한다.The user terminal 110 has an asserting party, that is, a session authenticated in the ENUM DNS 120, and wants to access specific contents in the relying party 130. In this case, it is assumed that the artifact is a base-64 encoded string.

릴라잉부(Relying Party)(130)는 사용자의 신원과 자격을 판단할 필요가 있으며, 따라서 아티팩트(artifact)를 포함하는 SAML 요청을 어서팅부(Asserting Party)(120)로 전송함으로써 로컬 사이트가 해당 사용자에 대해 어떻게 인증하고 있는지에 대한 확인을 요청하고, 이러한 확인 요청에 대한 어서션(Assertion)들을 SAML 응답으로 수신하게 된다.The relying party 130 needs to determine the identity and entitlement of the user, so that the local site sends the SAML request containing the artifact to the asserting party 120 so that the local site can send the user. A request for confirmation of how the user is authenticating, and the assertions of the request for confirmation are received in a SAML response.

그러면, 릴라잉부(Relying Party)(130)는 상기와 같이 수신된 어서션(Assertion)들을 바탕으로 해당 사용자에 대한 인증 및 인가 여부를 결정할 수 있게 되는 것이다.Then, the relying party 130 may determine whether to authenticate or authorize the corresponding user based on the assertions received as described above.

도 3은 본 발명의 ENUM 시스템에 적용되는 사용자 인증 방법에 대한 일실시예 흐름도로서, 사용자 단말의 브라우저에서 목적지 전화번호를 이용하여 질의하는 시나리오에서의 메시지 흐름을 도시하고 있다. FIG. 3 is a flowchart illustrating a user authentication method applied to an ENUM system of the present invention, and illustrates a message flow in a scenario of querying using a destination phone number in a browser of a user terminal.

여기서, ENUM DNS는 ITS(Inter-Site Transfer Service)라 불리는 컴포넌트를 포함한다. 상기 컴포넌트는 아티팩트(artifact)와 리다이렉트 생성과 같은 SAML 관련 처리를 위한 기능을 제공한다. 처리 과정은 다음과 같다. Here, ENUM DNS includes a component called Inter-Site Transfer Service (ITS). The component provides functionality for SAML related processing such as artifacts and redirect generation. The process is as follows.

먼저, 사용자 단말이 ENUM DNS에 목적지 주소를 요구한다(1). 그러면, ENUM DNS는 접근을 체크하고, 해당 사용자가 현재 세션을 가지고 있지 않은지 확인한 후 인증 필요 여부를 결정한다(2).First, the user terminal requests a destination address from the ENUM DNS (1). The ENUM DNS then checks for access, verifies that the user does not have a current session, and determines whether authentication is required (2).

상기 인증 필료 여부 결정 과정(2)에 의해 인증을 받도록 유도된 경우, 사용자는 인증서(예를 들면, 전화번호 등의 ID 및 패스워드)를 ENUM DNS에 제공하며(3), 이를 통해 인증이 성공적으로 이루어지면, ENUM DNS에는 해당 사용자를 위한 세션이 생성된다(4). 이때, 포털 애플리케이션(portal application)의 적당한 환영 메시지 등이 출력될 수도 있을 것이다.In the case where the authentication is required to be authenticated by the authentication decision process (2), the user provides a certificate (e.g., an ID and password such as a phone number) to the ENUM DNS (3). If so, a session is created for that user in ENUM DNS (4). In this case, an appropriate welcome message of a portal application may be output.

다음으로, 사용자는 단말기 상에 출력된 스크린의 메뉴를 선택하는 방식 등에 의해 명령을 입력하게 되는데, 이는 다시 말하면, 사용자가 목적지 웹 사이트에 있는 자원 또는 애플리케이션에 접근하려 한다는 것을 의미한다.Next, the user enters a command by selecting a menu of a screen output on the terminal or the like, which means that the user wants to access a resource or an application at a destination web site.

이와 같은 사용자의 입력은 ENUM DNS의 ITS로 보내지는 HTTP 요청을 발생시킨다. 상기 요청은 목적지 사이트에 있는 자원의 URL을 포함한다(5).This user input generates an HTTP request to the ITS in ENUM DNS. The request includes the URL of the resource at the destination site (5).

ITS는 해당 사용자에 대한 어서션(Assertion)과 아티팩트(artifact)를 생성한다. 아티팩트(artifact)는 SAML 요청에 대한 응답을 해주는 SAML 응답기(responder)의 소오스(source) ID와 어서팅(asserting)에 대한 레퍼런스(AssertionHandle)를 포함한다.ITS generates assertions and artifacts for that user. The artifact contains a source ID of the SAML responder that responds to the SAML request and a reference to the assertion (AssertionHandle).

ITS는 목적지 사이트에 있는 아티팩트 수신(Artifact Receiver) 서비스의 URL, 타겟(TARGET) URL 및 아티팩트(artifact) 등을 포함하는 HTTP 리다이렉션 메시지를 브라우저에 보낸다. 리다이렉트 메시지를 수신한 브라우저는 HTTP 겟(GET) 메시지를 발생하며, <artifact>는 base 64로 인코딩될 값이다.The ITS sends an HTTP redirect message to the browser that includes the URL, TARGET URL and artifact of the Artifact Receiver service at the destination site. The browser receiving the redirect message generates an HTTP Get message, where <artifact> is the base64 encoded value.

상기 메시지는 타겟(TARGET) URL을 호스팅하는 서버로 전송된다(6).The message is sent to the server hosting the TARGET URL (6).

HTTP 메시지를 수신한 목적지 사이트의 아티팩트 수신기(Artifact Receiver)는 소오스(source) ID를 추출한다. 이때, 소오스(source) ID와 원격지의 SAML 어서팅부(Asserting Party)에 대한 매핑은 사전에 맺어진 신뢰 관계 등에 의해 가능할 수 있다.The artifact receiver of the destination site that receives the HTTP message extracts the source ID. In this case, the mapping of the source ID and the remote SAML asserting party may be possible by a trust relationship established in advance.

이렇게 해서 아티팩트 수신기(Artifact Receiver)는 추출된 소오스(source) ID에 대응하는 SAML 어서팅부(Asserting Party), 즉 SAML 응답기와 통신을 해야 한다는 것을 알게 된다. 목적지 사이트의 아티팩트 수신기(Artifact Receiver)는 ENUM DNS의 ITS에서 제공한 아티팩트(artifact)를 포함하는 SAML 요청을 ENUM DNS의 SAML 어서팅부(Asserting Party), 즉 SAML 응답기에 전송한다(7).In this way, the Artifact Receiver learns that it needs to communicate with the SAML Asserting Party corresponding to the extracted source ID, that is, the SAML responder. The artifact receiver of the destination site sends a SAML request including the artifacts provided by the ITS of the ENUM DNS to the SAML Asserting Party, or SAML responder, of the ENUM DNS (7).

ENUM DNS의 SAML 어서팅부(Asserting Party), 즉 SAML 응답기는 앞서 (6) 단계에서 생성한 어서션(Assertion)을 포함하는 SAML 응답 메시지를 전송한다(8). 통상적으로는, 유효한 어서션(assertion)을 수신한 그 시점부터 해당 사용자의 목적지 사이트에 대한 세션이 생성된다.The SAML Asserting Party of the ENUM DNS, that is, the SAML Responder, transmits a SAML response message including the assertion generated in step (6) (8). Typically, from that point on receiving a valid assertion, a session is created for that user's destination site.

목적지 사이트의 아티팩트 수신기(Artifact Receiver)는 생성된 세션을 확인하는 쿠키를 포함하는 리다이렉션 메시지를 브라우저에 전송한다. 브라우저는 리다이렉트 메시지를 처리하고 목적지 사이트의 타겟(TARGET) 자원에 대한 HTTP 겟(GET) 메시지를 발행한다(9).An artifact receiver at the destination site sends a redirect message to the browser that includes a cookie confirming the created session. The browser processes the redirect message and issues an HTTP Get message for the target resource of the destination site (9).

여기서, 겟(GET) 메시지는 아티팩트 수신기(Artifact Receiver)가 보내온 쿠키를 포함한다. 목적지 사이트는 자원에 대한 접근을 허가하기 전에 사용자가 목적지 사이트에 대한 올바른 접근 권한을 가지고 있는지 여부 및 초기 페이지 자원을 사용할 수 있도록 인가되었는지 등에 대한 검사를 수행하게 된다.Here, the GET message includes a cookie sent by an Artifact Receiver. The destination site checks whether the user has the correct access right to the destination site and whether the initial page resource is authorized to use the resource before granting access to the resource.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기한 바와 같은 본 발명에 따르면, ENUM 시스템의 DNS 서버를 통해 수행되는 사용자 단말의 단일 인증 과정에 의해, 해당 인증을 통과한 사용자 단말은 추가 적인 인증 절차 없이 DNS 서버와 연결된 모든 SP(서비스 제공자)들로부터 제공되는 서비스를 이용할 수 있도록 함으로써, 사용자의 ENUM 서비스 사용 편의성을 크게 향상시킬 수 있는 효과가 있다.According to the present invention as described above, by a single authentication process of the user terminal performed through the DNS server of the ENUM system, the user terminal passing the authentication is all SP (service provider) connected to the DNS server without additional authentication procedure By using the services provided from these, there is an effect that can greatly improve the user's ease of use ENUM service.

또한, 본 발명은 각각의 SP에 접속될 때마다 별도의 인증을 받을 필요가 없게 됨으로써, 시스템의 전체적인 보안 수준을 향상시킬 수 있는 등의 효과도 있다.In addition, the present invention does not need to receive a separate authentication each time it is connected to each SP, there is an effect such as to improve the overall security level of the system.

Claims (8)

ENUM 시스템에 적용되는 인증 방법에 있어서,In the authentication method applied to the ENUM system, 사용자 단말로부터 서비스 제공자의 주소 요청이 입력되면, 해당 사용자에 대한 인증 필요 여부를 판단하는 단계;When an address request of a service provider is input from a user terminal, determining whether authentication of the corresponding user is required; 상기 판단 결과, 사용자의 인증이 필요할 경우 상기 사용자 단말을 통해 사용자 인증을 요청하는 단계;As a result of the determination, requesting user authentication through the user terminal when user authentication is required; 상기 요청에 대응되어 입력되는 사용자 인증 정보의 유효 여부를 판단하고, 인증이 유효할 경우 해당 사용자에 대한 인증 정보를 생성하여 저장하는 단계; 및Determining whether the user authentication information input in response to the request is valid, and generating and storing authentication information about the corresponding user when the authentication is valid; And 상기 인증 정보가 저장된 사용자 단말로부터 서비스 제공자 주소 요청이 있을 경우 해당 정보를 제공하며, 이에 대한 대응 서비스 제공자로부터의 사용자 인증 확인 요청에 대해 확인 정보를 전송하는 단계If there is a service provider address request from the user terminal in which the authentication information is stored, providing the corresponding information, and transmitting confirmation information on the user authentication confirmation request from the corresponding service provider. 를 포함하는 ENUM 시스템의 사용자 인증 방법.User authentication method of the ENUM system comprising a. 제 1 항에 있어서,The method of claim 1, 상기 사용자 및 상기 서비스 제공자 사이의 인증은 어서션(Assertion), 프로토콜(Protocol), 바인딩(Bindings), 및 프로파일(Profiles)을 포함하는 인증 엘리먼트를 이용하여 이루어지는 SAML 인증인 것을 특징으로 하는 ENUM 시스템의 사용자 인증 방법.Authentication between the user and the service provider is a user of the ENUM system, characterized in that it is a SAML authentication using authentication elements including Assertions, Protocols, Bindings, and Profiles. Authentication method. 제 2 항에 있어서,The method of claim 2, 상기 사용자에 대한 인증 필요 여부를 판단하는 단계는,Determining whether the user needs to authenticate the user, 상기 사용자의 인증 정보 저장 여부를 판단하여, 해당 사용자에 대한 저장 인증 정보가 존재할 경우 사용자의 인증을 요청하지 않는 것을 특징으로 하는 ENUM 시스템의 사용자 인증 방법.The user authentication method of the ENUM system, characterized in that by determining whether to store the authentication information of the user, if there is stored authentication information for the user does not request authentication of the user. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 3, 상기 인증이 유효한 사용자에 대한 인증 정보의 생성 및 저장이 완료되면, 상기 사용자의 단말에 전체 서비스 제공자에 대한 리스트를 링크 형태로 제공하는 단계When the generation and storage of authentication information for the user whose authentication is valid is completed, providing a list of all service providers in a link form to the terminal of the user. 를 더 포함하는 것을 특징으로 하는 ENUM 시스템의 사용자 인증 방법.User authentication method of the ENUM system, characterized in that it further comprises. 제 4 항에 있어서,The method of claim 4, wherein 상기 인증 정보가 저장된 사용자 단말로부터의 서비스 제공자 주소 요청은, 상기 링크 형태로 제공되는 서비스 제공자 리스트에 대한 선택에 의해 수행되는 것을 특징으로 하는 ENUM 시스템의 사용자 인증 방법.The service provider address request from the user terminal in which the authentication information is stored is performed by selecting a service provider list provided in the form of a link. DNS 서버를 통해 다수의 사용자 단말 및 다수의 서비스 제공자(Service Provider; SP)들이 상호 연결되는 ENUM(전화번호 매핑) 시스템에 있어서,In the ENUM (telephone number mapping) system in which a plurality of user terminals and a plurality of service providers (SPs) are interconnected through a DNS server, 상기 DNS 서버는 상기 사용자 단말에 대한 단일의 인증 과정을 통해, 상기 인증된 사용자 단말이 상기 다수의 서비스 제공자들로부터 제공되는 서비스의 이용을 가능하도록 하는 것을 특징으로 하는 ENUM 시스템.The DNS server enables the authenticated user terminal to use services provided by the plurality of service providers through a single authentication process for the user terminal. 제 6 항에 있어서,The method of claim 6, 상기 DNS 서버에 의해 수행되는 상기 사용자 단말에 대한 단일의 인증은 SAML 인증인 것을 특징으로 하는 ENUM 시스템.ENUM system, characterized in that the single authentication for the user terminal performed by the DNS server is SAML authentication. 제 7 항에 있어서,The method of claim 7, wherein 상기 DNS 서버는 상기 SAML 인증의 수행을 위한 전용 ITS(Inter-Site Transfer Service) 컴포넌트(component)를 구비하는 것을 특징으로 하는 ENUM 시스템.The DNS server comprises a dedicated Inter-Site Transfer Service (ITS) component for performing the SAML authentication.
KR1020060124835A 2006-12-08 2006-12-08 ENUM system and user authentication method KR100845235B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060124835A KR100845235B1 (en) 2006-12-08 2006-12-08 ENUM system and user authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060124835A KR100845235B1 (en) 2006-12-08 2006-12-08 ENUM system and user authentication method

Publications (2)

Publication Number Publication Date
KR20080052980A true KR20080052980A (en) 2008-06-12
KR100845235B1 KR100845235B1 (en) 2008-07-09

Family

ID=39807493

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060124835A KR100845235B1 (en) 2006-12-08 2006-12-08 ENUM system and user authentication method

Country Status (1)

Country Link
KR (1) KR100845235B1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6931414B1 (en) 2000-02-18 2005-08-16 Microsoft Corporation Creating visual data models combining multiple inter-related model segments
KR100452944B1 (en) * 2004-01-20 2004-10-21 한국인터넷진흥원 Telephone Number Mapping system and method for employing as the same
KR101103458B1 (en) * 2004-06-29 2012-01-09 에스케이 텔레콤주식회사 System for servicing telephone number mapping in environment number portability of mobile phone
KR100605644B1 (en) * 2004-11-17 2006-07-31 엘지전자 주식회사 Telephone number management method of mobile station using Telephone Number Mapping and the apparatus of the same

Also Published As

Publication number Publication date
KR100845235B1 (en) 2008-07-09

Similar Documents

Publication Publication Date Title
US10785037B2 (en) Managing secure content in a content delivery network
Groß Security analysis of the SAML single sign-on browser/artifact profile
EP2643955B1 (en) Methods for authorizing access to protected content
US9736153B2 (en) Techniques to perform federated authentication
US7860882B2 (en) Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations
US8646057B2 (en) Authentication and authorization of user and access to network resources using openid
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
US9143502B2 (en) Method and system for secure binding register name identifier profile
US20110030047A1 (en) Method, apparatus and system for protecting user information
KR20050013559A (en) Method and system for user-determined authentication and single-sign-on in a federated environment
CN101567878B (en) Method for improving safety of network ID authentication
EP2702726A1 (en) System and method for data interception and authentication with reverse proxy
CN101420416A (en) Identity management platform, service server, login system and federation method
Jøsang Identity management and trusted interaction in Internet and mobile computing
US11503012B1 (en) Client authentication using a client certificate-based identity provider
CN113411324B (en) Method and system for realizing login authentication based on CAS and third-party server
JP4847483B2 (en) Personal attribute information providing system and personal attribute information providing method
US20120106399A1 (en) Identity management system
EP2805447A1 (en) Integrating server applications with multiple authentication providers
JP2007334753A (en) Access management system and method
KR100845235B1 (en) ENUM system and user authentication method
Jeong et al. An XML-based single sign-on scheme supporting mobile and home network service environments
Pfitzmann et al. BBAE–a general protocol for browser-based attribute exchange
El Maliki et al. User-centric mobile identity management services
Ni An improved Java-based single sign-on solution

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110630

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee