KR20090009978A - 인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체 - Google Patents

인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체 Download PDF

Info

Publication number
KR20090009978A
KR20090009978A KR1020087030477A KR20087030477A KR20090009978A KR 20090009978 A KR20090009978 A KR 20090009978A KR 1020087030477 A KR1020087030477 A KR 1020087030477A KR 20087030477 A KR20087030477 A KR 20087030477A KR 20090009978 A KR20090009978 A KR 20090009978A
Authority
KR
South Korea
Prior art keywords
authentication
session control
server
control server
nonce
Prior art date
Application number
KR1020087030477A
Other languages
English (en)
Inventor
아누 레이노넨
가보 웅바리
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20090009978A publication Critical patent/KR20090009978A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 세션 기반 인증 애플리케이션에서 논스 기반 인증 방식의 사용이 개시된다. 인증은 논스 기반 인증 방식에 기반을 둔다. 논스 기반 인증 방식은 인증 요청 시에, 세션 제어 서버의 동작 모드를 세션 제어 서버로부터 인증 서버로 표시하는 것을 포함하며, 동작 포드는 프록시 모드 및 에이전트 모드를 포함한다.

Description

인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체{METHOD, APPARATUSES AND COMPUTER MEDIA FOR NONCE-BASED AUTHENTICATION SCHEME COMPRISING INDICATION OF SESSION CONTROL SERVER’S OPERATION MODE IN AUTHENTICATION REQUEST}
관련 출원과의 교차 참조
본 명세서는 2006년 6월 16일에 출원된 미국 가특허출원 제60/814,058호 및 이 가특허출원에 대한 우선권을 주장하며 2007년 6월 8일에 제출된 미국 특허출원 제 호를 우선권으로 주장하며, 이들 우선권의 전제 내용은 본 명세서에서 참조로서 인용된다.
본 발명은 세션 기반 인증 애플리케이션(a session-based authentication application)에서 논스 기반 인증 방식(a nonce-based authentication scheme)의 사용에 관한 것이다. 보다 구체적으로, 본 발명은 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 논스 기반 인증 방식에 기초하고 있는 인증에 관한 것이다.
예를 들어, GPRS(General Packet Radio Service), UMTS(Universal Mobile Telecommunication Service) 또는 CDMA(Code Divisional Multiple Access)와 같은 현재 및 미래의 통신 시스템에서, 인증 및 인가(authorization)는 본질적인 문제점을 나타낸다.
보안 관련 개인 및/또는 기밀 데이터 및 서비스에 관한 기능 및 서비스에 특히 중요한 그러한 통신 시스템 내부에서의 보안성 및 신뢰성을 보증하기 위해, 또한 그러한 네트워크 시스템 및 그의 일부로의 액세스를 제어하기 위해, 사용자 인증이 통상적으로 수행된다. 이를 위해, 여러 가지 인증, 인가 및 과금(authentication, authorization and accounting: AAA) 방법이 제안되어 오고 있다. 그러나, 그러한 AAA 방법의 적용성은 통신 시스템의 기본적인 네트워크 개념 및/또는 기술에 의존한다.
예를 들어, 3GPP(3rd General Partnership Project)는 소위 IMS(IP Multimedia Subsystem)를 지정하고 있다. IMS는, 그 중에서도, HSS(a home subscriber server), 여러 가지 CSCF(call state control functions)(CSCF는 프록시 CSCF, 문의 CSCF 및 서빙 CSCF로 분류됨) 및 SLF(server locator function)를 포함한다. 이들 네트워크 개체 사이의 인터페이스(Cx 및 Dx 인터페이스라고 지칭됨) 상에서, RFC3855, 특히 그의 섹션 1 및 2에 정의된 바와 같은 다이아미터 베이스 프로토콜(Diameter Base Protocol)에 따른 다이아미터 프로토콜이 인증을 위해 사용된다.
IMS 네트워크에서, IETF(Internet Engineering Task Force)에 의해 지정된 세션 개시 프로토콜(SIP)은 통상적으로 세션 제어 프로토콜로서 사용된다. 따라서, HSS는 다이아미터 서버라고 지칭될 수 있고, (S-)CSCF는 SIP 서버라고 지칭될 수 있다. 이와 관련하여, IMS는 세션 셋업 동안에 SIP 시그널링과 상호 작용하는 것으로 다이아미터 애플리케이션을 정의하며, 다른 것은 다른 SIP 서비스를 수행 및/또는 제어하는 것으로 정의한다. RFC3261의 섹션 8 및 16에 정의된 바와 같이, SIP 서버는 사용자 에이전트 모드에서 동작하여 최종 시스템을 나타낼 수도 있고, 또는 프록시 모드에서 동작하여 사용자 에이전트 서버와 클라이언트 사이의 매개물을 나타낼 수도 있다.
이와 관련하여, 2006년 4월 28일의 인터넷-드래프트 "draft-ietf-aaa-diameter-sip-app-12"(이미 IETF에 의해 RFC로서 승인되었지만 그 번호를 아직 알려지지 않음) 내에 다이아미터 SIP 애플리케이션이 제안되어 있다. 이 제안은 SIP 서버가 SIP 요청(예를 들어, SIP REGISTER와 같은 SIP 등록 요청)을 인증하고 특정 SIP 서비스의 사용을 인가하기 위한 다이아미터 AAA 인프라구조에 의존한다는 점에서 다이아미터 및 SIP의 상호작용을 설명한다. 다이아미터 SIP 애플리케이션은 SIP 서버와 같은 장소에 배치된 다이아미터 클라이언트에게 다이아미터 서버로부터 사용자의 인증 및 SIP 리소스 사용의 인가를 요청할 능력을 제공한다. 다이아미터 SIP 애플리케이션의 상이한 동작에 따라, 실제 인증은 다이아미터 서버에서 또는 다이아미터 클라이언트(즉, SIP 서버)에서 수행된다.
다음에서는, 다이아미터 SIP 애플리케이션이 세션 기반 인증 애플리케이션에 대한 비제한적 실례로서 지칭된다.
또한, IP 관련 네트워크 환경에 보안성, 즉 통상적으로 "HTTP 다이제스트 인증(HTTP Digest authentication)"이라고 지칭되는 인증을 제공하기 위한 솔루션이 제안되고 있다. 이 솔루션은, 예를 들어 RFC2617에 개시되어 있으며, 인증을 위한 암호 해쉬(cryptographic hashes)를 활용한다. 예를 들어, 전술한 다이아미터 SIP 애플리케이션은 SIP에 따른 세션 제어에서의 유일한 인증 방식으로서 HTTP 다이제스트를 지원한다. 다이제스트 방식은 도전용 논스 값을 이용하는 단순한 도전 응답 패러다임(a simple challenge-response paradigm)에 기반을 두며, 논스("일단 사용된 값(number used once)")는 인증에 사용된 (의사) 난수이다.
다음에서는, HTTP 다이제스트 인증이 논스 기반 인증 방식에 대한 비제한적 실례로서 지칭된다.
예를 들어, 사용자를 인증하기 위한 다이아미터 SIP를 갖는 HTTP 다이제스트의 상호작용에 관하여, 다음의 절차가 적용된다.
SIP 서버가 SIP 사용자 에이전트 클라이언트(예를 들어, 사용자 장비)를 인증하기 원할 때, SIP 서버는 다이아미터 서버로부터 사용자 관련 인증 및 인증 데이터를 획득할 수 잇다. 전술한 바와 같이, 소정 SIP 서버는 그것이 다이아미터 서버로부터 사용자 정보를 얻기 원할 때에는 다이아미터 클라이언트와 동일한 장소에 배치되어야 한다. 소정 SIP 사용자 에이전트 클라이언트(UAC)의 인증 동안에서, SIP 서버 내의 다이아미터 클라이언트는 요청을 전송하고 적절한 다이아미터 서버로/로부터의 응답을 처리해야 한다.
다이아미터 클라이언트가 인증될 사용자 에이전트 클라이언트에 대한 인증 정보를 얻기 원할 때 또는 사용자 에이전트 클라이언트를 인증하기 원할 때, 다이아미터 클라이언트는 MAR 커맨드(Multimedia-Auth-Request)라고 알려진 인증 요청을 사용 가능한 사용자 데이터와 함께 다이아미터 서버로 전송한다. 다이아미터 서버는 응답으로서 MAA 커맨드(Multimedia-Auth-Answer)라고 알려진 인증 응답을 사용자 인증 데이터와 함께 전송하거나, 또는 이 실례의 경우에서 HTTP 다이제스트에 의해 수행되는 인증의 결과를 전송한다. 그 사실에 기초하여, 인증이 다이아미터 서버에서 수행되든 또는 다이아미터 클라이언트(즉, SIP 서버)에서 수행되든지, 2쌍의 MAR/MAA 커맨드 또는 한 쌍의 MAR/MAA가 교환된다.
HTTP 다이제스트 인증은 서버, 이 경우에는 다이아미터 서버에 의해 생성되는 논스를 필요로 한다. 이 논스는 다이아미터 SIP 애플리케이션의 프레임웍에서 다이아미터 서버에 의해 생성된다. 논스 값 이외에도, HTTP 다이제스트 인증에 논스 재사용의 경우에 대한 논스 카운트 값을 사용하는 것도 가능하다.
새로운 논스는 200 (OK) 응답으로, 또는 401(비인가) 또는 407(요구된 프록시 인증) 응답을 전송함으로써 발행될 수 있다. 그것은 논스 옵션이 적용될 수 있는 SIP 서버의 동작 모드, 즉 사용자 에이전트 모드 또는 프록시 모드에 의존한다. SIP 서버가 사용자 에이전트 모드에서, 즉 사용자 에이전트로서 동작하고 있을 때마다, 그것은 각 200 (OK) 응답으로 새로운 논스를 전송하는데, 이것은 각각의 요청 시에 논스 카운트 값을 갱신하는 것보다 새로운 논스를 사용하는 것이 바람직하 기 때문이다. SIP 서버가 프록시 모드에서 동작하고 있을 때마다, 그것은 논스 카운트 값의 사용에 의해 여분의 도전 왕복 지연(extra roundtrip delay of challenging)을 회피하는 것이 바람직하다. 따라서, SIP 서버는 새로운 논스를 전송하고, 논스 사용 카운터의 운용자 정책 및 논스 수명은 실제로 논스 값이 더 이상 사용될 수 없도록 트리거된다.
그러나, 인증을 위해 논스를 생성하는 것으로 예상되는 다이아미터 서버는 HTTP 다이제스트 절차를 정확하게 적용할 수 없다는 문제점이 있다. 다이아미터 서버가 (운용자 정책에 달려 있지만 재생 공격을 회피하기에 유리한) 소정 사용자에게 할당된 논스 카운트 값으로 논스 상태를 관리하도록 할당된다면, 다이아미터 서버는 그에 따라 (성공적인 인증 이후에) 새로운 논스가 생성되어야 하는지 아니면 논스 카운트가 갱신되어야 하는지에 대한 어떠한 정보도 갖지 않는다.
이것은, 성공적인 인증 이후에 다이아미터 서버가 (이전 인증 시에 사용된) 구 논스를 버리고 새로운 논스를 생성하게 할 수 있으며, 다이아미터 서버가 SIP 서버로부터 "nextnonce" 파라미터에 새로운 논스를 전송하도록 예측하므로 해로울 수 있다. 그러나, SIP 서버가 SIP 프록시 서버로서 작동하고 다이아미터 서버에 의해 생성된 새로운 "nextnonce" 논스를 사용할 가능성이 없다는 점이 일어날 수 있다. 그러나, 다이아미터 서버는 SIP 클라이언트(즉, 사용자 에이전트 클라이언트)가 SIP 프로토콜에 기초하여 "nextnonce"를 사용할 것을 추정해야 한다. 따라서, 사용자 에이전트 클라이언트(예를 들어, 사용자 장비)가 다음에 (증가시킨 논스 카운트를 갖는) 구 논스를 이용하여 HTTP 다이제스트 응답을 갖는 요청을 전송 할 때, 사전 생성된 인증 응답을 잘못된 것일 것이다. 이로 인해, 요청은 새로운 논스를 이용한 다이아미터 서버 응답에 기초하여 SIP 서버에 의해 도전될 것이다.
이 동작은 사용자 에이전트 클라이언트가 SIP 서버를 등록 및 사용하지 못하게 하지만, HTTP 다이제스트 인증에서 논스 카운트 및 "nextnonce"를 사용할 대의 이점을 잃어버린다. 이것은 SIP 서버 및 다이아미터 서버 모두에서 네트워크 트래픽을 증가시킨다.
따라서, 세션 기반 인증 애플리케이션에서 논스 기반 인증 방식의 효율적인 사용을 제공하기 위해 전술한 문제점 및 단점에 대한 솔루션이 필요하다.
본 발명의 관심은 전술한 단점을 제거하고 그에 따라 개선된 방법, 장치 등을 제공하는 것이다.
본 발명의 일 양상에 따르면, 이하에 설명되는 인증 방법이 제공된다.
본 발명의 일 양상에 따르면, 이하에서 설명되는 세션 제어 서버 측의 장치가 제공된다.
본 발명의 일 양상에 따르면, 이하에서 설명되는 제 2 양상에 따른 장치를 동작시키는 방법이 제공된다.
본 발명의 일 양상에 따르면, 이하에서 설명되는 인증 서버 측의 장치가 제공된다.
본 발명의 일 양상에 따르면, 이하에서 설명되는 제 4 양상에 따른 장치를 동작시키는 방법이 제공된다.
본 발명의 일 양상에 따르면, 이하에서 설명되는 인증 시스템이 제공되며, 일 구현에서 이 시스템은 제 2 양상에 따른 장치와 제 4 양상에 따른 장치를 기본적으로 포함한다.
본 발명의 제 4 양상에 따르면, 이하에서 설명되는 바와 같이, 각각 독립적으로 또는 임의의 조합으로 전술한 장치를 동작시키는 컴퓨터 프로그램 및 데이터 구조가 제공된다.
기본적으로, 본 발명은 세션 제어 서버의 동작 모드를 세션 제어 서버로부터 인증 서버로 표시하는 단계를 포함하되, 인지 가능한 동작 모드는 프록시 모드 및 사용자 에이전트 모드이다. 또한, 본 발명은 세션 제어 서버의 동작 모드의 관점에서 논스 기반 인증 절차의 적용을 포함한다. 또한, 본 발명은 세션 제어 서버의 동작 모드에 의존한 인증 파라미터의 확산(spreading)을 포함한다.
본 발명의 실시예에 따르면, 세션 제어 서버와 인증 서버 사이의 협력이 개선된다. 이에 따라, 인증 서버는 세션 제어 서버에 의해 사용되는 타입의 인증 모드, 즉 사용자-사용자 모드 또는 프록시-사용자 모드에 관한 지식을 획득한다.
본 발명의 실시예에 의하면, SIP 레벨과 같은 세션 제어 레벨에 대한 동기화는 논스 기반 인증 방식이 세션 기반 인증 애플리케이션에서 이용될 때 SIP 서버와 같은 세션 제어 서버와 다이아미터 서버와 같은 인증 서버 사이에서 달성될 수 있다.
본 발명의 실시예의 다른 면은, 예를 들어 다이아미터 SIP 애플리케이션과 같은 세션 기반 인증 애플리케이션에서 예를 들어 HTTP 다이제스트와 같은 논스 기반 인증 방식의 사용이 인에이블링된다는 것이다. 이것은 사용자 에이전트 클라이언트가 세션 제어 서버의 동작 모드의 각 경우에 세션 기반 인증 프레임웍에서 논스 기반 인증 방식의 임의의 가능한 특징을 활용할 수 있게 한다.
그에 따라, 트래픽은 본 발명의 실시예에 의해 감소한다.
다음에서, 본 발명은 첨부한 도면을 참조하여 보다 상세히 설명될 것이다.
도 1은 본 발명의 실시예에 따른 방법의 시그널링 흐름도,
도 2는 본 발명의 실시예에 따른 시스템의 블록도이다.
본 발명은 본 명세서에서 특정한 비제한적 실례를 참조하여 설명된다. 당업자라면 본 발명이 이들 실례로 제한되는 것이 아니며 보다 넓게 적ㅇ요될 수 있음을 이해할 것이다.
특히, 본 발명은 예시적인 구현으로서 SIP 다이아미터 애플리케이션 프레임웍 내에서의 HTTP 다이제스트 인증에 관해 설명된다. 이와 같이, 본 명세서에 주어진 양상 및 실시예의 설명은 이 실례에 직접적으로 관련된 용어를 구체적으로 상술한다. 그러나, 이러한 용어는 제시된 실례의 문맥에서만 사용되는 것으로서, 본 발명을 어떠한 방법으로든 제한하지 않는다.
도 1은 본 발명의 실시예에 따른 방법의 시그널링 흐름도를 도시한다. 도 1에는, 본 발명의 실시예의 설명과 관련된 메시지 및 동작만이 도시되어 있다.
도 1에 도시된 SIP 서버는 사용자로부터 SIP 요청(예를 들어, 등록)을 직접 수신하는 SIP 서버일 수도 있고 또는 각각의 요청/사용자에 적절하지 않은 다른 SIP 서버로부터 포워드된 SIP 요청(예를 들어, 등록)을 수신하는 (로컬) SIP 서버일 수도 있다.
도 1에 도시된 바와 같이, (다이아미터 클라이언트와 같은 장소에 배치되는) SIP 서버는 다이아미터 서버로부터 사용자 인증을 요청하며, SIP 서버가 다이아미터 SIP 애플리케이션을 제공하기 위해 협력하는 다이아미터 서버를 향해 그것의 동작 모드를 지시한다(단계 S1). 이 단계는, 예를 들어 사용자 에이전트 클라이언트로서 동작하는 사용자(도시하지 않음)의 성공적인 인증 후에 이행될 수도 있고, 또는 SIP 서버가 사용자로부터 인증 요청을 수신하자마자 이행될 수도 있으며, 또는 인증 프로세스 시의 임의의 적절한 다른 경우에 이행될 수도 있다. 이후에 설명되는 본 발명의 구현에 따르면, SIP 서버의 동작 모드는 SIP 서버가 사용자 에이전트 클라이언트(UAC)와 사용자 에이전트 서버(UAS) 사이의 매개물을 나타내는 프록시 모드일 수도 있고, 또는 SIP 서버가 사용자 에이전트 서버(UAS)를 나타내는 사용자 에이전트 모드일 수도 있다.
도 1에는, MAR(Multimedia-Auth-Request)로 표시되는 인증 요청 시에 전송될 동작 모드의 표시가 예시된다. MAR 커맨드의 메시지 포맷은 다이아미터 SIP 애플리케이션의 전술한 인터넷-드래프트의 섹션 8.7에서 정의된다.
그러한 동작 모드 표시를 SIP 서버로부터 수신하자마자, 다이아미터 서버는 아래에서 제시되는 구현 방안 중 하나에 따라 MAR 커맨드의 콘텐츠를 분석한다(단계 S2). 단계 S3에서, 예시된 실시예에 따른 다이아미터 서버는 논스를 생성하며, 가능하다면 이하에서 "nextnonce"라고 지칭되는 후속 인증을 위한 다른 논스도 생성한다. nextnonce의 생성은 세션 제어 서버의 표시된 동작 모드에 기반을 두고 그에 따라 그러한 동작 모드를 고려하며, 적용될 수 있다면, 기타의 사용 가능한 다이제스트 파라미터에도 기반을 둔다. 전술한 바와 같이, 논스 상태를 관리하는 다이아미터 서버에서 새로운 논스가 생성되거나 또는 논스 카운트 값이 갱신된다. 생성된 nextnonce의 종류는 기본적으로 SIP 서버의 동작 모드에 의존하기 때문에, SIP 서버가 사용자 에이전트 모드에서 동작할 때에는 일반적으로 새로운 논스가 생성되며, SIP 서버가 프록시 모드에서 동작할 때에는 논스 카운트 값이 갱신된다.
그 결과, 단계 S4에서, 다이아미터 서버는 단계S2의 이전 분석 및/또는 단계S3의 이전 생성에 기반을 두어 인증 파라미터(가능하게는 생성된 논스를 포함함)를 SIP 서버로 전송한다. 도 1에서, 인증 파라미터의 전송은 MAA(Multimedia-Auth-Answer)로 표시되는 인증 응답 시에 실시되는 것으로 예시된다. MAA 커맨드의 메시지 포맷은 다이아미터 SIP 애플리케이션의 전술한 인터넷-드래프트의 섹션 8.8에서 정의된다.
특히, MAA 메시지는, (RFC2617에서 정의된 바와 같이) H(A1)를 포함하며 다이아미터 클라이언트가 예상 응답을 계산하게 하는 다이제스트-HA1 AVP를 포함한다. 다이제스트-A1 AVP의 존재는 SIP 서버(즉, 다이아미터 클라이언트)에게 사용 자 인증이 발생해야 함을 지시한다. 그러면, SIP 서버는 수신된 파라미터를 이용하여 사용자를 인증할 수 있다.
도 1에는 도시되어 있지 않지만, 전송에 부가하여 또는 전송 대신에, 다이아미터 서버는 전술한 단계 중 하나 이상의 단계에 기반을 둔 다이아미터 SIP 애플리케이션 프레임웍에서 HTTP 다이제스트 인증 방식을 이용하여 인증을 수행할 수 있다.
도 1에 도시된 방법 흐름은 오로지 예시적인 흐름일 뿐이며, 본 발명의 다른 실시예에 따른 방법은 예시된 단계 중 단 하나 또는 일부를 포함할 수도 있고 또는 그러한 단계들 사이에 다른 단계를 포함하거나 다른 순서의 단계를 포함할 수도 있다는 점에 유의해야 할 것이다.
전술한 두 가지 경우(즉, 인증이 다이아미터 클라이언트 내에서 수행되는 경우 또는 다이아미터 서버 내에서 수행되는 경우)와 관련하여, 도 1의 실시예는 첫 번째 경우에 관한 것이다. 그러나, 도시되어 있지는 않지만, 본 발명의 실시예는 두 번째 경우, 즉 다이아미터 서버가 사용자 인증을 수행하는 경우에도 적용될 수 있다. 이 경우, 2쌍의 MAR/MAA 커맨드가 다이아미터 클라이언트와 서버 사이에서 교환된다. 그에 의해, 제 1 MAA 커맨드는 논스를 포함하고, 제 2 MAA 커맨드는 nextnonce를 포함하며, 이러한 양 커맨드는 전술한 원리에 따라 다이아미터 서버에서 생성된다. 도 1의 단계 1의 동작 모드 표시는 이 경우에 제 1 또는 2 MAR 커맨드에 따라 실시될 수 있고, 도 1의 단계 2 및 3의 기능은 이 경우에 제 1 또는 제 2 MAR/MAA 커맨드 라운드트립 동안에 실시될 수 있다.
일 실시예의 제 1 구현 대안에 따르면, 표시는 세션 제어 서버 모드를 나타내기 위해 특정하게 할당된 MAR 메시지 내의 AVP(attribute-value-pair)를 이용하여 실시된다. 즉, 현재 인터넷-드래프트에서 정의된 것 이외에도 새로운 AVP가 도입되어, 새로운 데이터 구조를 형성한다.
그와 같이 새롭게 도입된 다이아미터 AVP(AVP는 메시지 필드에 대해 특정하지만 비제한적인 용어임)는 다이아미터 서버를 향해 SIP 서버가 프록시 모드에서 동작하는지 아니면 UA 모드에서 동작하는지를 표시할 수 있는 SIP-Server-UA-mode AVP를 나타낸다.
이 경우, 다이아미터 서버는 SIP-Server-UA-mode AVP가 SIP UA 모드를 나타내고 HTTP 다이제스트 파라미터가 그것의 사용을 가능하게 한다면 SIP-Authentication-Info AVP 내의 nextnonce를 전송할 수 있다. 새로운 AVP 내의 표시된 SIP 서버 모드가 프록시 모드인 경우, 다른 다이제스트 파라미터가 SIP-Authentication-Info AVP의 전송을 허용한다 하더라도 다이아미터 서버는 그것을 전송하지 않는다.
이 솔루션 대안은 필요에 따라 SIP 서버 동작 모드를 파퓰레이트시키는 가요적인 방법을 제공한다. 필요하지 않은 경우, 이 AVP는 SIP 서버(즉, 다이아미터 클라이언트)로부터 전송된 MAR 커맨드로부터 남겨질 수 있다. 이 대안은, HTTP 다이제스트 이외의 인증 방식이 적용된다면 사용될 수 있다.
일 실시예의 제 2 구현 대안에 따르면, 표시는 세션 제어 방법을 표시하기 위해 할당된 AVP 내에서 세션 제어 서버 모드를 표시하기 위해 특정하게 할당된 파 라미터를 이용하여 실시된다. 즉, 현재 인터넷-드래프트 내의 SIP-Method AVP에 대해 정의된 것 이외에도 새로운 파라미터가 도입되어, 새로운 데이터 구조를 형성한다.
이에 따라, 기존의 SIP-Method AVP는 SIP 요청이 SIP 서버 내에서 프록시 모드에서 처리되고 있는지 아니면 UAS 모드에서 처리되고 있는지를 표시하는 것으로 확장된다. 다이아미터 서버가 그러한 MAR 커맨드를 수신할 때, 그것은 SIP-Method AVP의 이 새로운 파라미터로부터 SIP 서버 UA 모드를 분석해야 한다. 성공적인 인증 후, 다이아미터 서버는, 사용자-사용자 HTTP 다이제스트 인증이 적용되어야 하는지 아니면 프록시-사용자 HTTP 다이제스트 인증이 적용되어야 하는지를 결정할 수 있다.
일 실시예의 제 3 구현 대안에 따르면, 표시는 세션 제어 서버가 프록시 모드에 있다면 세션 제어 서버 모드를 표시하기 위해 특정하게 할당된 AVP를 사용하여 실시되고, 세션 제어 서버가 사용자 에이전트 모드에 있다면 세션 기반 인증 애플리케이션을 위해 할당된 AVP를 이용하여 실시된다. 즉, 사용된 표시의 종류는 SIP 서버의 동작 모드에 기초하여 구별된다. 이 경우, 현재 인터넷-드래프트에서 정의된 것 이외에도 새로운 AVP가 적어도 한 가지 조건을 위해 도입되어, 새로운 데이터 구조를 형성한다.
이에 따라, 새로운 다이아미터 AVP가 SIP 프록시-사용자 HTTP 다이제스트 인증을 위해 정의된다. 이들 AVP는, 예를 들어 SIP 헤더 Proxy-Authorization 및 Proxy-Authenticate와 각각 매칭하도록 하는 SIP-Proxy-Authorization AVP 및 SIP- Proxy-Authenticate AVP일 수 있다. SIP 사용자-사용자 HTTP 다이제스트 인증을 위해서, 이미 정의된 다이아미터 AVP가 사용될 수 있다. 이것은 이미 존재하는 SIP-Authenticate/SIP-Authorization AVP가 제각각 SIP 헤더 WWW-Authenticate 및 Authorization에 매칭된다는 것을 의미한다. 또한, 기존의 SIP-Authentication-Info AVP는 SIP 헤더 Authentication-Info에 맵핑될 수 있다.
도 2는 본 발명의 실시예에 따른 시스템의 블록도를 도시한다. 도 2에 도시된 바와 같이, 본 발명의 시스템은 SIP 서버 및 다이아미터 서버를 포함할 수 있고, 또는 적어도 전술한 방법(들)에 따라 제각각 동작하는 그들 서버 각각 내의 장치를 포함할 수 있다.
일 실시예에 따르면, SIP 서버 측(도 2에 SIP 서버 자체가 예시적으로 도시됨)에서의 장치는 표시자, 즉 다이아미터 서버를 향해 동작 모드(프록시 또는 사용자 에이전트 모드)를 표시하는 수단을 포함한다. 그러한 표시자는 표시를 위해 MAR 커맨드와 같은 인증 요청을 사용하고 이 목적을 위해 전술한 구현 대안 중 임의의 하나를 사용하도록 구성된다. 장치는 수신기, 즉 다이아미터로부터 전송된 인증 파라미터를 수신하는 수단, 및/또는 프로세서, 즉 수신된 파라미터(가능하게는 nextnonce를 포함함)를 이용하여 인증을 수행하는 수단을 더 포함한다.
일 실시예에 따르면, 다이아미터 서버 측(도 2에 다이아미터 서버 자체가 예시적으로 도시됨)에서의 장치는 수신기, 즉 MAR 커맨드와 같은 인증 요청 시에 SIP 서버로부터 SIP 서버의 동작 모드 표시를 수신하는 수단을 포함한다. 장치는 분석기, 즉 SIP 서버로부터 인증 요청을 분석하는 수단을 더 포함할 수 있다. 분석기 는 수신기에 접속되고, 전술한 구현 대안 중 어느 하나에 따라 수신된 인증 요청을 분석하도록 구성된다.
또한, 생성기, 즉 분석기로부터 출력된 결과, 소위 SIP 서버의 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하는 수단이 제공될 수 있다. 논스 카운트 값으로 논스 상태를 유지하여 다이아미터 서버 측이 논스 상태를 관리할 수 있게 하는 저장소가 제공된다. 이를 위해, 저장소는 새롭게 생성된 값을 프로세서, 즉 생성 및/또는 저장된 인증 파라미터에 기초하여 인증을 수행하는 수단 및 송신기, 즉 각각의 인증 파라미터를 SIP 서버로 전송하는 수단으로 입력시키는 생성기에 접속된다.
인증을 위해, 양측의 프로세서(도시하지 않음)는 사용된 인증 방식, 이 경우에는 HTT 다이제스트에 따라 협력하도록 인에이블링된다.
도 2는 본 발명의 설명에 직접 관련된 그들 장치, 부품 및 소자만을 예시하고 있음에 유의해야 할 것이다. 당업자라면 실제로 종래의 장치, 부품 및 소자 중 어떤 것이 어떻게 포함되는지를 이해할 것이다.
도 2의 개별적인 소자의 동작은 도 1에 따른 방법의 상세한 설명을 참조한다면 당업자에게는 더욱 명백할 것이다. 즉, 본 발명의 유형의 실시예는 그것의 방법 실시예에 따라 동작하도록 구성된다. 따라서, 본 발명 및 그것의 실시예를 구현하는 데 필요한 특정 데이터 구조 및 컴퓨터 프로그램도 본 발명에 의해 포함된다.
일반적으로, 본 발명에 따른 언급된 기능 소자, 예를 들어 표시자 및 분석기 는, 그것이 각각의 부품에 대해 설명된 기능을 수행하도록 적응되는 한, 임의의 알려진 수단에 의해 집적 또는 제거 가능한 하드웨어 및/또는 소프트에어로 제각각 구현될 수 있다는 점에 유의해야 한다. 예를 들어, 분석기는 본 명세서에서 정의된 동작 모드 표시의 관점에서 인증 요청을 분석하도록 구성된 임의의 데이터 프로세싱 유닛, 예를 들어 마이크로프로세서에 의해 구현될 수 있다. 언급된 부품은 또한 개별적인 기능 블록에서 또는 개별적인 디바이스에서 구현될 수 있고, 또는 언급된 부품 중의 하나 이상이 단일 기능 블록 내에 또는 단일 디바이스에 의해 구현될 수 있다. 마찬가지로, 도 2의 상기 일례는 단지 예시적인 목적을 위한 것이며, 어떠한 방법으로든 본 발명의 구현을 제한하지 않는다.
또한, 소프트웨어 코드 부분으로서 구현될 가능성이 있으며 개체들 중 하나에서 프로세서를 이용하여 구동되는 방법 단계는 소프트웨어 코드 독립적이며, 예를 들어 Java, C, C++ 및 어셈블러와 같은 기존 프로그래밍 언어 또는 미래에 개발될 프로그래밍 언어를 이용하여 특정될 수 있다. 동등한 개체 중 하나에서 하드웨어 소자로서 구현될 가능성이 있는 방법 단계 및/또는 디바이스나 수단은 하드웨어 독립적이며, 예를 들어 ASIC 소자 또는 DSP 소자를 이용하여 MOS, CMOS, BiCMOS, ECL, TTL 등과 같은 그들의 임의의 알려진 또는 미래에 개발되는 하드웨어 기술 또는 임의의 하이브리드를 이용하여 구현될 수 있다. 일반적으로, 임의의 방법 단계는 본 발명의 착상을 변화시키지 않고 소프트웨어로서 또는 하드웨어에 의해 구현되기에 적합하다. 디바이스 및 수단은 개별적인 디바이스로서 구현될 수 있지만, 이것은 디바이스의 기능이 보존되는 한 그들이 시스템 전반에 걸쳐서 분산된 방식 으로 구현될 수 있음을 배제하지 않는다. 이러한 원리 및 유사한 원리는 당업자에게 알려져 있는 것으로 간주될 수 있다.
본 발명의 실시예에 따르면, 세션 제어 서버, 예를 들어 SIP 서버는 인증 요청, 예를 들어 MAR 커맨드 내에서 세션 제어 시그널링의 관점으로 볼 때 그것이 프록시 모드에서 동작하는지 아니면 사용자 에이전트 모드에서 동작하는지를 표시한다. 그러면, 표시를 수신한 인증 서버, 예를 들어 다이아미터 서버는 논스 기반 인증, 예를 들어 HTTP 다이제스트 인증을 어떻게 적용하는지 또한 인증 응답, 예를 들어 MAA 커맨드 내의 파라미터를 어떻게 세션 제어 서버로 파퓰레이트시키는지를 알게 된다.
본 발명의 실시예는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 어떠한 통신 시스템에도 적용될 수 있다. 이것은, 예를 들어 본 발명이 Cx 인터페이스 상에 적용되는 데 특히 적합한 IMS 시스템에서의 경우일 수 있다. 다른 실례는 ETSI(European Telecommunication Standards Institute), 3GPP(Third Generation Partnership Project) 및 3GPP2, 및 TISPAN (Telecoms & Internet converged Services & Protocols for Advanced Networks)에 의해 정의된 시스템을 포함한다.
간단히 말해서, 전술한 본 발명의 예시적인 실시예는 다이아미터 서버에서 주문형 HTTP 다이제스트 nextnonce 생성(an on-demand HTTP Digest nextnonce generation)으로 요약될 수 있다.
전술한 사항의 관점에서, 본 발명이 다음과 같은 방법, 개체 및 요소의 여러 가지 양상을 설명하는 것은 자명하다.
(제 1 양상)
인증이 논스 기반 인증 방식에 기반을 두는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 인증 방법으로서, 이 인증 방법은,
인증 요청 시에 세션 제어 서버로부터 인증 서버로 세션 제어 서버의 동작 모드를 표시하는 단계를 포함한다.
전술한 방법에서, 세션 제어 서버의 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함한다.
전술한 방법에서, 동작 모드의 표시는 성공적인 인증 전후에 이행된다.
전술한 방법에서, 제 1 옵션에 따라, 동작 모드의 표시는 세션 제어 서버 모드를 표시하기 위해 할당된 AVP(an attribute-value-pair)를 이용하여 실시된다.
전술한 방법에서, 제 2 옵션에 따라, 동작 모드의 표시는 AVP 내에서 세션 제어 서버 모드를 표시하기 위해 할당된 파라미터를 이용하여 실시된다.
전술한 방법에서, 제 3 옵션에 따라, 동작 모드의 표시는 세션 제어 서버가 프록시 모드에 있다면 세션 제어 서버 모드를 표시하기 위해 할당된 AVP를 이용하여 실시되고, 세션 제어 서버가 사용자 에이전트 모드에 있다면 세션 기반 인증 애플리케이션을 위해 할당된 AVP를 이용하여 실시된다.
전술한 방법은,
인증 서버에서, 세션 제어 서버로부터의 인증 요청을 분석하는 단계와,
인증 서버에서, 세션 제어 서버의 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하는 단계를 더 포함한다.
전술한 방법에서, 논스의 생성은 새로운 논스를 생성하는 단계와, 이전 논스의 논스 카운트 값을 갱신하는 단계를 포함한다.
전술한 방법은,
표시된 동작 모드를 고려한 인증 파라미터 및/또는 인증 응답 시에 생성된 논스를 인증 서버로부터 세션 제어 서버로 전송하는 단계, 및/또는
표시된 동작 모드 및/또는 생성된 논스를 고려하여 논스 기반 인증 방식을 이용한 인증을 수행하는 단계를 더 포함한다.
(제 2 양상)
인증이 논스 기반 인증 방식에 기반을 두는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용하는 장치로서, 이 장치는,
인증 요청 시에 세션 제어 서버로부터 인증 서버로 세션 제어 서버의 동작 모드를 표시하도록 구성된 표시자를 포함한다.
전술한 장치에서, 세션 제어 서버의 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함한다.
전술한 장치에서, 표시자는 성공적인 인증 전후에 동작 모드를 표시하도록 구성된다.
전술한 장치에서, 제 1 옵션에 따라, 표시자는 세션 제어 서버 모드를 표시 하기 위해 할당된 AVP를 이용하여 동작 모드를 표시하도록 구성된다.
전술한 장치에서, 제 2 옵션에 따라, 표시자는 세션 제어 방법을 표시하도록 할당된 AVP 내에서 세션 제어 서버 모드를 표시하기 위해 할당된 파라미터를 이용하여 동작 모드를 표시하도록 구성된다.
전술한 장치에서, 제 3 옵션에 따라, 표시자는 세션 제어 서버가 프록시 모드에 있다면 세션 제어 서버를 표시하기 위해 할당된 AVP를 이용하여 동작 모드를 표시하도록 구성되고, 세션 제어 서버가 사용자 에이전트 모드에 있다면 세션 기반 인증 애플리케이션을 위해 할당된 AVP를 이용한다.
전술한 장치는,
인증 서버로부터 인증 파라미터를 수신하도록 구성된 수신기, 및/또는
수신된 인증 파라미터에 기초하여 논스 기반 인증 방식을 이용하여 인증을 수행하도록 구성된 프로세서를 더 포함한다.
전술한 장치에서 인증 파라미터는 논스를 포함한다.
전술한 장치에서 이 장치는 세션 제어 서버에 배치된다.
(제 3 장치)
제 1 양상의 방법에 따라 제 2 양상의 전술한 장치를 동작시키는 방법으로서, 이 방법의 장치는 세션 제어 서버로서 동작한다.
(제 4 양상)
인증이 논스 기반 인증 방식에 기반을 두는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용 하는 장치로서, 이 장치는,
인증 요청 시에 세션 제어 서버로부터 세션 제어 서버의 동작 모드 표시를 수신하도록 구성된 수신기를 포함한다.
전술한 장치에서, 세션 제어 서버의 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함한다.
전술한 장치는,
세션 제어 서버로부터 인증 요청을 분석하도록 구성된 분석기와,
세션 제어 서버의 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하도록 구성된 생성기를 더 포함한다.
전술한 장치는, 논스 카운트 값으로 논스 상태를 유지하도록 구성된 저장소를 더 포함한다.
전술한 장치에서, 생성기는 새로운 논스를 생성하고 이전 논스의 논스 카운트 값을 갱신하도록 구성된다.
전술한 장치는,
표시된 동작 모드를 고려한 인증 파라미터 및/또는 인증 응답 시에 생성된 논스를 인증 서버로부터 세션 제어 서버로 전송하도록 구성된 송신기, 및/또는
표시된 동작 모드 및/또는 생성된 논스를 고려하여 논스 기반 인증 방식을 이용한 인증을 수행하도록 구성된 프로세서를 더 포함한다.
전술한 장치에서, 이 장치는 인증 서버에 배치된다.
(제 5 양상)
제 1 양상의 방법에 따라 제 4 양상의 전술한 장치를 동작시키는 방법으로서, 이 방법에서 장치는 인증 서버로서 동작한다.
(제 6 양상)
인증이 논스 기반 인증 방식에 기반을 두는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 인증 시스템으로서, 이 시스템은,
인증 요청 시에 세션 제어 서버의 동작 모드를 세션 제어 서버로부터 인증 서버로 표시하도록 구성된 표시자를 포함한다.
전술한 시스템에서, 세션 제어 서버의 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함한다.
전술한 시스템에서, 표시자는 전술한 장치와 관련되어 제시된 바와 같이 동작하도록 구성된다.
전술한 시스템은,
세션 제어 서버로부터의 인증 요청을 분석하도록 구성된 분석기와,
세션 제어 서버의 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하도록 구성된 생성기를 더 포함한다.
전술한 시스템에서, 생성기는 새로운 논스를 생성하고 이전 논스의 논스 카운트 값을 갱신하도록 구성된다.
전술한 시스템은,
인증 서버에 있는 송신기 및 세션 제어 서버에 있는 수신기로서, 표시된 동 작 모드 및/또는 생성된 논스를 고려한 인증 파라미터를 인증 응답 시에 인증 서버로부터 세션 제어 서버로 전송하도록 구성된 송신기와 수신기, 및/또는
표시된 동작 모드 및/또는 생성된 논스를 고려하여 논스 기반 인증 방식으로 인증을 수행하도록 구성된 프로세서를 더 포함한다.
전술한 시스템은, 제 2 양상의 장치 및/또는 제 4 양상의 장치를 포함한다.
(제 7 양상)
제 2 양상에 따른 장치를 동작시키도록 구성된 프로그램 코드를 포함하는 컴퓨터 판독가능 매체 내에 내장된 컴퓨터 프로그램.
(제 8 양상)
제 4 양상에 따른 장치를 동작시키도록 구성된 프로그램 코드를 포함하는 컴퓨터 판독가능 매체 내에 내장된 컴퓨터 프로그램.
본 발명의 소정 실시예에 따르면, 전술한 양상의 주제는 다음과 같이 되도록 구성된다.
- 세션 기반 인증 애플리케이션은 다이아미터 SIP 애플리케이션을 포함하고, 및/또는
- 논스 기반 인증 방식은 HTTP 다이제스트 인증을 포함하며, 및/또는
- 세션 제어 서버는 SIP 서버 및/또는 다이아미터 클라이언트를 포함하고, 및/또는
- 인증 서버는 다이아미터 서버를 포함한다.
본 발명의 추가 소정 실시예에 따르면, 전술한 양상의 주제는 다음과 같이 되도록 구성된다.
- 통신 시스템은 IMS(IP Multimedia Subsystem)을 포함하고, 및/또는
- 세션 제어 서버는 CSCF(call state control function)을 포함하며, 및/또는
- 인증 서버는 HSS(home subscriber server)를 포함한다.
요약하면, 인증이 논스 기반 인증 방식을 고려하는 세션 기반 인증 애플리케이션을 제공하도록 구성된 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있으며, 인증 요청 시에 세션 제어 서버의 동작 모드를 세션 제어 서버로부터 인증 서버로 표시하되, 동작 포드는 프록시 모드 및 사용자 에이전트 모드를 포함하는 세션 기반 인증 애플리케이션에서의 논스 기반 인증 방식의 사용이 제공된다.
본 발명이 첨부한 도면에 따른 실례를 참조하여 설명되지만, 본 발명이 그것으로 제한되지 않는다는 것은 명백하다. 오히려, 당업자에게는 본 발명이 전술한 발명적 착상의 범주로부터 벗어나지 않는 수많은 방법으로 수정될 수 있음이 자명하다.

Claims (40)

  1. 통신 시스템에서 사용할 수 있는 인증 방법으로서,
    인증 요청 시에 세션 제어 서버의 동작 모드를 상기 세션 제어 서버로부터 인증 서버로 표시하는 단계를 포함하되,
    상기 통신 시스템은 세션 제어 서버 및 인증 서버를 포함하며,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션(a session-based authentication application)을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식(a nonce-based authentication scheme)에 기반을 두는
    인증 방법.
  2. 제 1 항에 있어서,
    상기 표시 단계에서 상기 세션 제어 서버의 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함하는
    인증 방법.
  3. 제 1 항에 있어서,
    상기 표시 단계에서 동작 모드는 성공적인 인증 전과 후 중 적어도 하나에서 이행되는
    인증 방법.
  4. 제 1 항에 있어서,
    상기 표시 단계에서 동작 모드는 세션 제어 서버 모드를 표시하기 위해 할당되는 AVP(an attribute-value-pair)를 이용하여 실시되는
    인증 방법.
  5. 제 1 항에 있어서,
    상기 표시 단계에서 동작 모드는 세션 제어 서버 모드를 표시하기 위해 할당되는 AVP 내에서 세션 제어 서버 모드를 표시하기 위해 할당되는 파라미터를 이용하여 실시되는
    인증 방법.
  6. 제 1 항에 있어서,
    상기 표시 단계에서 동작 모드는,
    상기 세션 제어 서버가 프록시 모드(proxy mode)에 있는 경우에 세션 제어 서버 모드를 표시하기 위해 할당되는 AVP를 이용하여 실시되고,
    상기 세션 제어 서버가 사용자 에이전트(user agent mode)에 있는 경우에 상기 세션 기반 인증 애플리케이션(the session-based authentication application)을 위해 할당된 AVP를 이용하여 실시되는
    인증 방법.
  7. 제 1 항에 있어서,
    상기 인증 서버에서, 상기 세션 제어 서버로부터의 인증 요청을 분석하는 단계와,
    상기 인증 서버에서, 상기 세션 제어 서버의 상기 표시된 동작 모드를 고려하여 후속 인증을 위한 논스(a nonce)를 생성하는 단계를 더 포함하는
    인증 방법.
  8. 제 7 항에 있어서,
    상기 논스를 생성하는 단계는,
    새로운 논스를 생성하는 과정과,
    이전 논스의 논스 카운트 값(a nonce count value)을 갱신하는 과정을 포함 하는
    인증 방법.
  9. 제 7 항에 있어서,
    인증 응답 시에, 표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 인증 파라미터를 상기 인증 서버로부터 상기 세션 제어 서버로 전송하는 단계와,
    표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 상기 논스 인증 방식을 이용한 인증을 수행하는 단계
    중 적어도 하나를 더 포함하는
    인증 방법.
  10. 제 1 항에 있어서,
    상기 세션 기반 인증 애플리케이션은 다이아미터 세션 개시 프로토콜(SIP) 인증(a Diameter session initiation protocol(SIP) authentication)을 포함하는
    인증 방법.
  11. 제 1 항에 있어서,
    상기 논스 기반 인증 방식은 하이퍼텍스트 전송 프로토콜(HTTP) 다이제스트 인증(a hypertext transfer protocol(HTP) Digest authentication)을 포함하는
    인증 방법.
  12. 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 장치로서,
    인증 요청 시에, 상기 세션 제어 서버의 동작 모드를 상기 세션 제어 서버로부터 상기 인증 서버로 표시하도록 구성된 표시자를 포함하되,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식에 기반을 두는
    장치.
  13. 제 12 항에 있어서,
    상기 세션 제어 서버의 상기 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함하는
    장치.
  14. 제 12 항에 있어서,
    상기 표시자는 성공적인 인증 전과 후 중 적어도 하나에서 동작 모드를 표시하도록 구성된
    장치.
  15. 제 12 항에 있어서,
    상기 표시자는 세션 제어 서버 모드를 표시하기 위해 할당된 AVP를 이용하여 동작 모드를 표시하도록 구성된
    장치.
  16. 제 12 항에 있어서,
    상기 표시자는 세션 제어 방법을 표시하기 위해 할당된 AVP 내에서 세션 제어 서버 모드를 표시하기 위해 할당된 파라미터를 이용하여 동작 모드를 표시하도록 구성된
    장치.
  17. 제 12 항에 있어서,
    상기 표시자는.
    상기 세션 제어 서버가 프록시 모드에 있는 경우에는 세션 제어 서버 모드를 표시하기 위해 할당된 AVP를 이용하여 동작 모드를 표시하고,
    상기 세션 제어 서버가 사용자 에이전트 모드에 있는 경우에는 상기 세션 기반 인증 애플리케이션을 위해 할당된 AVP를 이용하여 동작 모드를 표시하도록 구성된
    장치.
  18. 제 12 항에 있어서,
    상기 인증 서버로부터 인증 파라미터를 수신하도록 구성된 수신기와,
    수신된 인증 파라미터에 기초하여 상기 논스 인증 방식을 이용한 인증을 수행하도록 구성된 프로세서를 더 포함하는
    장치.
  19. 제 12 항에 있어서,
    상기 인증 파라미터는 논스를 포함하는
    장치.
  20. 제 12 항에 있어서,
    상기 장치는 상기 세션 제어 서버에 배치되는
    장치.
  21. 제 20 항에 있어서,
    상기 세션 제어 서버는 세션 개시 프로토콜(SIP) 서버 및 다이아미터 클라이언트(a Diameter client) 중 적어도 하나를 포함하는
    장치.
  22. 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 장치로서,
    인증 요청 시에, 상기 세션 제어 서버의 동작 모드의 표시를 상기 세션 제어 서버로부터 수신하도록 구성된 수신기를 포함하되,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식에 기반을 두는
    장치.
  23. 제 22 항에 있어서,
    상기 세션 제어 서버의 상기 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함하는
    장치.
  24. 제 22 항에 있어서,
    상기 세션 제어 서버로부터의 인증 요청을 분석하도록 구성된 분석기와,
    상기 세션 제어 서버의 상기 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하도록 구성된 생성기를 더 포함하는
    장치.
  25. 제 24 항에 있어서,
    논스 상태를 논스 카운트 값으로 유지하도록 구성된 저장소를 더 포함하는
    장치.
  26. 제 24 항에 있어서,
    상기 생성기는 새로운 논스를 생성하고 논스 상태를 이전 논스의 논스 카운트 값으로 갱신하도록 구성된
    장치.
  27. 제 24 항에 있어서,
    인증 응답 시에, 표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 인증 파라미터를 상기 인증 서버로부터 상기 세션 제어 서버로 전송하도록 구성된 송신기와,
    표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 상기 논스 기반 인증 방식을 이용한 인증을 수행하도록 구성된 프로세서
    중 적어도 하나를 포함하는
    장치.
  28. 제 22 항에 있어서,
    상기 장치는 상기 인증 서버에 배치되는
    장치.
  29. 제 28 항에 있어서,
    상기 인증 서버는 다이아미터 서버를 포함하는
    장치.
  30. 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 인증 시스템으로서,
    인증 요청 시에, 상기 세션 제어 서버에서, 상기 세션 제어 서버의 동작 모드를 상기 세션 제어 서버로부터 상기 인증 서버로 표시하도록 구성된 표시자와,
    인증 요청 시에, 상기 인증 서버에서, 상기 세션 제어 서버로부터 상기 세션 제어 서버의 동작 모드의 표시를 수신하도록 구성된 수신기를 포함하되,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식에 기반을 두는
    시스템.
  31. 제 30 항에 있어서,
    상기 세션 제어 서버의 상기 동작 모드는 프록시 모드 및 사용자 에이전트 모드를 포함하는
    시스템.
  32. 제 30 항에 있어서,
    상기 인증 서버에서,
    상기 세션 제어 서버로부터의 인증 요청을 분석하도록 구성된 분석기와,
    상기 세션 제어 서버의 상기 표시된 동작 모드를 고려하여 후속 인증을 위한 논스를 생성하도록 구성된 생성기를 더 포함하는
    시스템.
  33. 제 30 항에 있어서,
    상기 인증 서버에 있는 송신기 및 상기 세션 제어 서버에 있는 수신기로서, 인증 요청 시에, 표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 인증 파라미터를 상기 인증 서버로부터 상기 세션 제어 서버로 전송하도록 구성된 송신기 및 수신기와,
    상기 인증 서버 및 상기 세션 제어 서버 각각에서, 표시된 동작 모드 및 생성된 논스 중 적어도 하나를 고려하여 상기 논스 기반 인증 방식을 이용한 인증을 수행하도록 구성된 프로세서
    중 적어도 하나를 더 포함하는
    시스템.
  34. 제 30 항에 있어서,
    상기 통신 시스템은 IMS(IP(Internet Protocol) Multimedia Subsystems)을 포함하는
    시스템.
  35. 제 34 항에 있어서,
    상기 세션 제어 서버는 CSCF(a call state control function)를 포함하는
    시스템.
  36. 제 34 항에 있어서,
    상기 인증 서버는 HSS(a home subscriber system)를 포함하는
    시스템.
  37. 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 장치로서,
    인증 요청 시에, 상기 세션 제어 서버의 동작 모드를 상기 세션 제어 서버로부터 사기 인증 서버로 표시하는 표시자 수단을 포함하되,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식에 기반을 두는
    장치.
  38. 세션 제어 서버 및 인증 서버를 포함하는 통신 시스템에서 사용할 수 있는 장치로서,
    인증 요청 시에, 상기 세션 제어 서버로부터 상기 세션 제어 서버의 동작 모드의 표시를 수신하는 수신자 수단을 포함하되,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되고,
    인증은 논스 기반 인증 방식에 기반을 두는
    장치.
  39. 컴퓨터 프로그램으로 인코딩된 컴퓨터 판독가능 매체로서,
    상기 컴퓨터 프로그램은, 인증 요청 시에, 세션 제어 서버의 동작 모드를 상기 세션 제어 서버로부터 인증 서버로 표시하는 단계를 포함하는 방법을 수행하게 하되,
    상기 컴퓨터 판독가능 매체는 상기 세션 제어 서버 및 상기 인증 서버를 포함하는 통신 시스템에서 사용할 수 있고,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제공하도록 구성되며,
    인증은 논스 기반 인증 방식에 기반을 두는
    컴퓨터 판독가능 매체.
  40. 컴퓨터 프로그램으로 인코딩된 컴퓨터 판독가능 매체로서,
    상기 컴퓨터 프로그램은, 인증 서버에서, 세션 제어 서버의 동작 모드의 표시를 상기 세션 제어 서버로부터 수신하는 단계를 포함하는 방법을 수행하게 하되,
    상기 컴퓨터 판독가능 매체는 상기 세션 제어 서버 및 상기 인증 서버를 포함하는 통신 시스템에서 사용할 수 있고,
    상기 세션 제어 서버 및 상기 인증 서버는 세션 기반 인증 애플리케이션을 제고하도록 구성되며,
    인증은 논스 기반 인증 방식에 기반을 두는
    컴퓨터 판독가능 매체.
KR1020087030477A 2006-06-16 2007-06-14 인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체 KR20090009978A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US81405806P 2006-06-16 2006-06-16
US60/814,058 2006-06-16
US11/808,372 US20080005785A1 (en) 2006-06-16 2007-06-08 Usage of nonce-based authentication scheme in a session-based authentication application
US11/808,372 2007-06-08

Publications (1)

Publication Number Publication Date
KR20090009978A true KR20090009978A (ko) 2009-01-23

Family

ID=38817834

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087030477A KR20090009978A (ko) 2006-06-16 2007-06-14 인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체

Country Status (4)

Country Link
US (1) US20080005785A1 (ko)
EP (1) EP2030408A2 (ko)
KR (1) KR20090009978A (ko)
WO (1) WO2007144842A2 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008061570A1 (en) * 2006-11-24 2008-05-29 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a communications network
US20090094372A1 (en) * 2007-10-05 2009-04-09 Nyang Daehun Secret user session managing method and system under web environment, recording medium recorded program executing it
US8401244B2 (en) * 2007-12-21 2013-03-19 General Instrument Corporation Method and system for securely authenticating user identity information

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
EP1864430B1 (en) * 2005-03-29 2009-07-08 Research In Motion Limited Methods and apparatus for use in establishing session initiation protocol communications for virtual private networking
KR100595714B1 (ko) * 2005-04-01 2006-07-03 엘지전자 주식회사 Supl 기반의 위치정보 시스템에서 supl 초기화메시지 및 이를 이용한 supl 처리방법
US7725927B2 (en) * 2005-10-28 2010-05-25 Yahoo! Inc. Low code-footprint security solution

Also Published As

Publication number Publication date
US20080005785A1 (en) 2008-01-03
WO2007144842A3 (en) 2008-03-06
EP2030408A2 (en) 2009-03-04
WO2007144842A2 (en) 2007-12-21

Similar Documents

Publication Publication Date Title
KR100882326B1 (ko) 가입자 신원들
US6938090B2 (en) Authentication and protection for IP application protocols based on 3GPP IMS procedures
US7574735B2 (en) Method and network element for providing secure access to a packet data network
EP1879324B1 (en) A method for authenticating user terminal in ip multimedia sub-system
US9419955B2 (en) System and method for carrying trusted network provided access network information in session initiation protocol
EP2506615B1 (en) Authentication system, method and device
US8713634B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
US20080120705A1 (en) Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS
WO2007003140A1 (fr) Procede d'authentification de sous-systeme multimedia sous protocole ip
US20110083014A1 (en) Method and apparatus for generating temporary gruu in ims system
US20050102501A1 (en) Shared secret usage for bootstrapping
US7940748B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
CN101141251A (zh) 通信系统中消息加密签名的方法及系统和设备
EP2011299B1 (en) Method and apparatuses for securing communications between a user terminal and a sip proxy using ipsec security association
US20120198527A1 (en) IP Multimedia Security
CN102065069B (zh) 一种身份认证方法、装置和系统
KR20090009978A (ko) 인증 방법, 장치 및 시스템과 컴퓨터 판독가능 매체
CN101467421A (zh) 用于在认证请求中包括会话控制服务器的操作模式指示的基于随机数的认证方案的方法、装置和计算机介质
EP2274927A1 (en) Service reporting
KR20060037196A (ko) 아이피 멀티미디어 서브시스템에서 네트워크의 보안처리방법
CN112953718A (zh) Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体
KR20130015964A (ko) 단말, 서비스 시스템 및 그의 인증 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee