KR20100034321A - 네트워크 id 기반 연합 및 싱글사인온 인증 방법 - Google Patents

네트워크 id 기반 연합 및 싱글사인온 인증 방법 Download PDF

Info

Publication number
KR20100034321A
KR20100034321A KR1020080093387A KR20080093387A KR20100034321A KR 20100034321 A KR20100034321 A KR 20100034321A KR 1020080093387 A KR1020080093387 A KR 1020080093387A KR 20080093387 A KR20080093387 A KR 20080093387A KR 20100034321 A KR20100034321 A KR 20100034321A
Authority
KR
South Korea
Prior art keywords
authentication
network
access network
service
node
Prior art date
Application number
KR1020080093387A
Other languages
English (en)
Other versions
KR101001555B1 (ko
Inventor
김귀훈
이현우
류원
김봉태
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080093387A priority Critical patent/KR101001555B1/ko
Priority to PCT/KR2009/004057 priority patent/WO2010035949A2/en
Priority to US13/120,226 priority patent/US20110173689A1/en
Publication of KR20100034321A publication Critical patent/KR20100034321A/ko
Application granted granted Critical
Publication of KR101001555B1 publication Critical patent/KR101001555B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 ID 기반 연합 및 싱글사인온 인증 방법이 개시된다. 본 발명은 차세대 네트워크에서 서비스 네트워크의 서비스 공급 사이트가 웹 응용 서비스 인증을 위해 액세스 네트워크와 연합하는 방법에 있어서, 액세스 네트워크의 인증이 완료된 사용자 단말로부터 연합 요청을 수신하면, 그에 대응하여 사용자 단말에게 인증을 요청하고 연합 수행 여부를 요청하는 단계; 사용자 단말로부터 인증 요청에 대한 응답 및 연합 수행 여부를 수신하는 단계; 및 응답에 따라 인증이 성공하면, 사용자의 연합 목록에 상기 액세스 네트워크를 등록하고, 액세스 네트워크에 연합을 통지하는 단계를 포함을 특징으로 한다.
연합, 싱글사인온 인증, 액세스 네트워크, 웹 응용 서비스. 서비스 네트워크

Description

네트워크 ID 기반 연합 및 싱글사인온 인증 방법{Network ID based federation and Single Sign On authentication method}
본 발명은 차세대 네트워크(Next Generation Network)에서의 인증 방법에 관한 것으로, 네트워크 ID 기반의 연합(federtion) 및 싱글사인온(SIngle Sign On, SSO) 인증 방법에 관한 것이다.
본 발명은 지식경제부의 IT성장동력 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-058-03, 과제명: All-IP 기반 통합 네트워크/서비스 제어 기술개발].
종래의 네트워크 연합 인증 방법으로는, 리버티 얼라이언스(Liberty Alliance)에서 애플리케이션(Application) 간의 연합 SSO 인증 기술이 있다. 이 기술은 가입자가 식별자 공급자(Identity Provider, IdP) 역할을 하는 응용 서비스에 한번 인증하면, 다른 응용은 인증할 필요가 없는 기술이다. 그러나, IdP가 응용서비스인 것은 해킹의 위험이 커서 보안에 취약하다고 할 수 있다. 따라서 NACF(Network Attatchment Control Function) 혹은 IMS(IP Multimedia Subsystem) 같은 신뢰성이 높은 네트워크 장치를 IdP로 이용해서 SSO 인증을 함으로써 좀 더 신뢰성을 높일 필요가 있다.
웹 기반의 응용 인증 기술로써 일회용 비밀번호 생성기(One Time Password, OTP)와 공인인증서가 있다. 공인인증서는 금융권에서 사용하는 대표적인 사용자 인증 방식으로, 개인이 하드디스크에 공인인증서를 저장하거나 보안프로그램이 설치되어 있지 않은 경우, 공인인증서 탈취 및 패스워드 유출의 문제가 있다. 또한, 보안 프로그램이 설치되었다 하더라도 실시간 감시가 이루어지지 않는다면 공인인증서 탈취의 문제가 있다. OTP는 암호 생성의 키(KEY) 값을 사전 공유하고 매번 일회용 비밀번호를 생성하여 사용하는 방법으로 보안성이 높은 기술이다. 그러나, 단말 호환성 문제와 PC 자체를 해킹당할 경우에는 역시 문제가 있다.
기존 ITU-T(International Telecommunication Union - Telecommunication Standardization Sector)와 TISPAN(The Telecoms & Internet converged Services & Protocols for Advanced Networks)의 NGN에서는 NACF L3 레벨 인증이 성공했을 경우, 번들(bundle) 인증 가입 여부에 따라 IMS L5 레벨의 인증 절차를 생략할 수 있었다. 이때, 번들 인증 가입 여부에 대한 정보는 사업자 설정에 의해서 제공되었다. 즉, 사전에 가입자가 번들 인증 가입 여부에 대해 사업자에게 설정 요청을 하면, 사업자는 가입자의 해당 정보를 변경하는 것이다. 그러나, 액세스 네트워크 사업자에게 여러 개의 서비스 네트워크 사업자가 존재한다면, 사용자는 각 서비스 네트워크마다 번들 인증 가입 여부를 결정하여 요청해야 하는 문제가 있다. 사용자가 서비스 네트워크 인증 요청시 번들 인증 가입이 되어있지 있으면 연합 요청을 하는 절차가 필요하다.
본 발명이 이루고자 하는 기술적 과제는 NGN에서 사용자가 액세스 네트워크에 가입되어 있고, 동시에 여러가지 응용 서비스에 가입이 되어 있을 때 연합 방법 및 연합 SSO 인증 방법을 제공하는 데 있다.
상기 기술적 과제를 이루기 위한, 본 발명의 차세대 네트워크에서 서비스 네트워크의 서비스 공급 사이트가 웹 응용 서비스 인증을 위해 액세스 네트워크와 연합하는 방법에 있어서, 액세스 네트워크의 인증이 완료된 사용자 단말로부터 연합 요청을 수신하면, 그에 대응하여 상기 사용자 단말에게 인증을 요청하고 연합 수행 여부를 요청하는 단계; 상기 사용자 단말로부터 상기 인증 요청에 대한 응답 및 연합 수행 여부를 수신하는 단계; 및 상기 응답에 따라 인증이 성공하면, 사용자의 연합 목록에 상기 액세스 네트워크를 등록하고, 상기 액세스 네트워크에 연합을 통지하는 단계를 포함을 특징으로 한다.
상기 기술적 과제를 이루기 위한, 본 발명의 차세대 네트워크에서 서비스 네트워크의 서비스 공급 사이트가 액세스 네트워크와 연합하여 싱글사인온(SSO) 인증하는 방법에 있어서, 액세스 네트워크의 인증이 완료된 사용자 단말로부터 접속이 시도되면, 상기 액세스 네트워크와의 연합에 가입한 것을 확인하고 상기 사용자 단말에게 인증을 요청하는 단계; 상기 사용자 단말로부터 제1인증 콘텍스트를 수신하는 단계; 상기 액세스 네트워크로 제2인증 콘텍스트를 조회하여 수신하는 단계; 및 상기 제1인증 콘텍스트와 제2인증 콘텍스트를 비교하여 동일하면 인증이 성공한 것으로 판단하여 상기 사용자 단말에게 인증 성공을 통지하는 단계를 포함함을 특징으로 한다.
상기 기술적 과제를 이루기 위한, 본 발명의 차세대 네트워크에서 서비스 네트워크의 제1노드가 싱글사인온(SSO) 인증하는 방법에 있어서, 상기 서비스 네트워크의 제1노드가 액세스 네트워크와의 연합에 가입된 상태에서 상기 액세스 네트워크에서 인증이 완료된 사용자 단말에 대한 제1인증 콘텍스트를 수신하여 등록하는 단계; 상기 서비스 네트워크의 제2노드로부터 제2인증 콘텍스트를 수신하는 단계; 및 상기 제1 및 제2인증 콘텍스트가 동일하면 상기 제2노드로 사용자 서비스 프로파일을 전달하여 인증을 완료하는 단계 동일하면 상기 제2노드로 사용자 서비스 프로파일을 전달하여 인증을 완료하는 단계를 포함함을 특징으로 한다.
상기 기술적 과제를 이루기 위한, 본 발명의 차세대 네트워크에서 액세스 네트워크의 노드가 서비스 네트워크와 연합하여 인증하기 위한 동작 방법에 있어서, 상기 노드가 상기 서비스 네트워크로부터 사용자 데이터를 요구받으면, 상기 서비스 네트워크와 연합 등록이 되어있는지를 확인하는 단계; 및 연합 등록이 되어 있으면, 상기 사용자 데이터를 포함하는 메시지에 인증 정보를 더 포함하여 상기 서비스 네트워크로 전송하는 단계를 포함함을 특징으로 한다.
상기 기술적 과제를 이루기 위한, 본 발명의 차세대 네트워크에서 사용자 단말이 로밍 상태일 때, 방문 액세스 네트워크의 제1노드가 서비스 네트워크와 연합하여 인증하기 위해 홈 액세스 네트워크의 제2노드와 연동하는 방법에 있어서, 상 기 제1노드가 상기 제2노드로부터 사용자 데이터를 요구받으면, 상기 서비스 네트워크와 연합 등록이 되어있는지를 확인하는 단계; 및 연합 등록이 되어 있으면, 상기 사용자 데이터를 포함하는 메시지에 인증 정보를 더 포함하여 상기 제2노드로 전송하는 단계를 포함함을 특징으로 한다.
본 발명에 따르면, NGN에서 네트워크 ID를 기반으로 하는 웹 응용 서비스 및 IMS 서비스에 대한 연합 SSO 인증을 제공함으로써, NACF를 IdP로 이용해서 NACF와 웹 응용 서비스간을 SSO 인증함으로써, 웹 응용 서비스 간에만 SSO 인증이 가능했던 종래의 방법보다 신뢰성이 높아질 수 있다.
종래에는 액세스 네트워크/IMS 서비스 네트워크 연합 SSO 인증이 사업자 설정에 의해서만 가능했지만, 본 발명에서는 사용자가 즉시 선택하여 SSO 인증할 수 있다. 따라서 액세스 네트워크에 여러 개의 서비스 네트워크 사업자가 접속해 있을 경우에 유용하고, 단일 서비스 네트워크일 경우에도 사용자가 쉽게 SSO 인증에 가입하도록 유도할 수 있으며, 로밍 가입자에게도 동일하게 액세스 네트워크/IMS 서비스 네트워크 인증 방법을 제공할 수 있다.
또한 본 발명에 따라 IMS 및 모든 웹 응용 서비스가 액세스 네트워크 인증을 이용한다면 향후 NGN 기반에서 연합 과금할 수 있는 기반 기술로 사용될 수 있다.
이하에서 첨부된 도면을 참조하여 본 발명을 상세하게 설명하기로 한다.
NGN에서 사용자가 액세스 네트워크에 가입되어 있고, 동시에 여러가지 응용 서비스에 가입되어 있는 경우, 연합 방식의 SSO 인증을 제공할 수 있다.
NGN에서 액세스 네트워크 사업자는 NACF를 통해서 유무선 액세스 네트워크에 상관없이 연합 인증 기능을 제공한다. NGN 사용자 단말(User Equipment, UE)은 유무선 연합 액세스망을 통해서 NACF에 접속하여 인증한다.
IMS 등의 서비스 네트워크 사업자는 NGN UE에게 접속 설정 프로토콜(Session Initiation Protocol, SIP) 레지스터(register)를 이용한 IMS 인증 방법을 제공한다. IMS 인증은 MD5-Digest, MD5-AKA 방식의 인증을 한다. 이 절차를 간소화하기 위해 NACF의 인증 정보를 이용하여 IMS 인증 절차를 간소화는 방법이 필요하다.
웹 애플리케이션 등의 웹응용 사업자는 NGN UE에게 ID와 패스워드(Password) 기반의 인증 방법을 제공한다. 리버티 얼라이언스의 규격을 적용했을 경우에는 연합된 (Federated) ID 기반 SSO 인증 방식을 제공한다. 즉, IdP(Identity Provider)에 초기 인증을 했을 경우에, 연합(Federation) 중인 모든 서비스 공급 사이트(Relying Party, RP)의 인증을 제공한다. 이때 IdP가 웹응용 기반이여서 PC 해킹 문제가 있을 경우, 신뢰성이 높은 네트워크 기반 인증 방법이 필요하다.
도 1은 본 발명에 따른 서비스 개념도이다. 도시된 바에 따르면, 사용자 단말(10)이 유무선 연합 액세스 네트워크(11)에 접속을 시도하면, 액세스 네트워크 사업자(12)에 의한 NACF 유무선 액세스 연합 인증을 받는다. 인증이 이루어지면, 이 NACF 인증 정보를 이용하여 액세스 네트워크와 서비스 네트워크 사업자(13) 간 연합 SSO 인증을 제공하거나 액세스 네트워크와 웹 애플리케이션 사업자(14) 간 연합 SSO 인증을 제공한다.
도 2는 본 발명에 따른, 액세스 네트워크 ID 기반 웹 응용 서비스 연합 인증을 위한 통신 시스템 구성도를 도시한 것이다.
도시된 바에 따르면, 사용자 단말(10)은 RAS(Remote Access Server)(20)와 같은 접속 장치를 통해 액세스 제어 네트워크인 NACF(21)에 접속한다. NACF(21)는 사용자 단말(10)에 대한 IP 할당 및 접속 인증을 수행한다.
NACF(21)는 액세스 관리를 수행하는 AM-FE(Access Management Functional Entity)(211), 전송 위치를 관리하는 TLM-FE(Transport Location Management Functional Entity)(212), 인증을 담당하는 TAA-FE(Transport Authentication & Authorization Functional Entity)/TUP-FE(Transport User Profile Functional Entity)(213)를 포함한다.
IdMC-FE((Id Management Coordination Functional Entity)(22)는 NGN을 구성하는 장치들의 Id 관련 정보를 관리한다.
애플리케이션 사업자(23)는 인증된 ID로 접속할 수 있는 웹 사이트인 RP(Relying Party)(231)를 다수 포함한다.
도 3은 본 발명에 따른 액세스 네트워크 ID 기반 웹 응용 서비스 연합 인증 방법에 대한 흐름도를 도시한 것이다.
먼저 UE(10)에 대해 NACF(21)가 L2(layer 2)/L3(layer 3) 레벨까지 인증을 완료한 것으로 가정한다(30단계). 이때, NACF 사업자와 연합이 사전에 협약된 RP(231) 사업자들의 목록이 있다면 TLM-FE/TUP-FE(213)는 인증이 완료됐음을 알리는 응답에 연합가능한 RP들의 목록 정보를 UE(10)에게 전달한다(31단계). 사용자는 UE(10)를 통해 연합을 원하는 RP(231) 사업자를 선택하여 연합 대상의 URL을 조회한 다음, TAA-FE/TUP-FE(213)에게 해당 RP(231)에 대한 연합을 요청하여 수락되면(32단계), 해당 RP(231)에게 연합을 요청한다(33단계). 연합 대상 RP(231)는 UE(10)에게 인증을 요청하면서 연합 수행 여부를 요청한다(34단계). UE(10)는 RP(231)에게 인증 응답과, TUP-FE(213)와 RP(231)간 연합 여부를 RP(231)에게 알린다(35단계). 인증이 완료되면, RP(231)는 해당 사용자의 연합 목록에 NACF(21)를 등록한다(36단계). 또한 RP(231)가 IdMC-FE(23)와 TAA-FE/TUP-FE(213)에 연합 성공을 통지하면(37단계), TAA-FE/TUP-FE(213)는 사용자의 연합 목록에 RP(231)를 등록한다(38단계). IdMC-FE(22)는 UE(10)에게 연합이 성공했음을 알린다(39단계).
도 4는 본 발명에 따른 액세스 네트워크 ID 기반 웹 응용 서비스에 대한 SSO 인증 방법에 대한 흐름도이다.
이 방법은 도 3에 도시된 방법에서 사용자가 연합(federation) 가입이 되어 있지 않은 경우를 고려한 것이다.
먼저 UE(10)가 NACF를 통해 L3 레벨까지 인증에 성공한 다음(40단계), 웹 사이트인 RP(231)에 인증을 시도한다고 가정한다(41단계).
RP(231)에 접속시도할 때, RP(231)는 NACF(21)와 연합 가입 여부를 검사한다(42단계). 가입되어 있지 않으면 UE(10)에 인증과 함께 연합을 수행할 것인지를 요청하고(43단계), 연합 과정을 실행한다(44단계). 42단계에서 NACF(21)와 연합가입이 되어 있거나, 44단계의 연합 과정이 실행되었다면, RP(231)는 UE(10)에게 TUP-FE(213)의 주소와 함께 인증을 요청한다(45단계). UE(10)는 수신한 TUP- FE(213)의 주소를 이용하여 TUP-FE(213)에게 인증 요청을 하고(46단계), TUP-FE(213)는 자신과 RP(231)가 연합가입이 되었는지를 검사한다(47단계). 연합가입이 되어있지 않으면, 인증실패를 UE(10)에게 알리면서 UE(10)에게 연합을 수행할 것인지를 요청하고(48단계), 연합과정을 실행한다(49단계). 47단계에서 RP(231)와 연합 가입이 되었거나 49단계에서 연합과정이 실행되었다면, TAA-FE(213)는 인증이 성공했음을 보증하는 인증 콘텍스트(authentication context)를 생성한다(50단계). TAA-FE(213)는 UE(10)를 통해 RP(231)에게 인증 콘텍스트를 전송한다 52단계). 또한 RP(231)는 IdMC-FE(22)를 통해 TUP-FE(213)에게 인증 콘텍스트를 조회 및 그에 대한 응답을 받는다(53, 54단계).
RP(231)는 52단계에서 UE(10)로부터 직접 받은 인증 콘텍스트와 54단계에서 TUP-FE(213)로부터 받은 인증 콘텍스트를 비교하여 두 인증 콘텍스트가 동일하면 인증이 성공한 것으로 보고(55단계), 인증 성공 정보를 UE(10)에게 전달한다(56단계).
도 5는 본 발명에 따른, 액세스 네트워크 ID 기반 IMS 연합 SSO 인증을 위한 통신 시스템 구성도를 도시한 것이다.
도시된 바에 따르면, 사용자 단말(10)은 RAS(20)와 같은 접속 장치를 통해 유무선 통신망인 방문 네트워크(57)에 접속한다. 방문 네트워크(57)는 유무선 통신망인 홈 네트워크(58)에 연결된다. 방문 네트워크(57) 및 홈 네트워크(58)는 액세스 제어 네트워크(NACF)로서 사용자 단말(10)에 대한 IP 할당 및 접속 인증을 수행한다.
제1NACF(57)는 액세스 관리를 수행하는 AM-FE(Access Management Functional Entity)(571), 전송 위치를 관리하는 TLM-FE(Transport Location Management Functional Entity)(572), 인증을 담당하는 TAA-FE(Transport Authentication & Authorization Functional Entity)/TUP-FE(Transport User Profile Functional Entity)(573)를 포함한다.
제2NACF(58)는 TLM-FE(581) 및 TAA-FE/TUP-FE(582)를 포함하며, IdP 동작을 수행한다.
IMS(60)는 서비스 제어 네트워크로 서비스 라우팅과 서비스 인증을 수행하며, P-CSC-FE(Proxy Call Session Control Functional Entity)(601), S-CSC-FE(Serving Call Session Control Functional Entity)(602), SAA-FE(Service Authentication & Authorization Functional Entity)/SUP-FE(Service User Profile Functional Entity)(603)를 포함한다.
도 6은 본 발명에 따른 액세스 네트워크 ID 기반 IMS 연합 SSO 인증 방법에 대한 흐름도이다.
먼저, UE(10)가 홈 NACF(58)에서 L3 레벨까지 인증되면(61단계), UE(10)는 IMS(60)에 REGISTER 메시지를 이용하여 등록한다(62단계). IMS(60)의 P-CSC-FE(601)는 홈 NACF(58)와의 연합 가입 여부를 검사한다(63단계). 연합 가입이 되어 있지 않으면, P-CSC-FE(601)는 S-CSC-FE(602)에 SIP REGISTER 메시지를 이용하여 등록하면서, 연합 여부를 요청한다(64단계). S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA(User Authorization Request/User Authorization Answer) 메시지를 송 수신하여 SAA-FE/SUP-FE(603)에게 가입자를 등록한다(65단계). 또한 S-CSC-FE(602)는 SAA-FE/SUP-FE(603)과 MAR/MAA(Multimedia Authentication Request/Multimedia Authentication Answer) 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 등록되어있는 인증정보를 얻는다(66단계).
S-CSC-FE(602)는 P-CSC-FE(601)를 통해 401 Unauthorized 신호를 이용하여 66단계에서 얻은 인증정보를 UE(10)에 전달하고(67단계), UE(10)는 S-CSC-FE(602)에 SIP REGISTER 메시지를 통한 등록시 연합 여부를 알려준다(68단계). S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에게 가입자를 등록하고(69단계), SAR/SAA(Server Assignment Request/Server Assignment Answer) 메시지를 송수신하여 사용자 서비스 프로파일을 얻는다(70단계). S-CSC-FE(602)는 UE(71)에게 확인신호인 200 ok를 전달한다(71단계)
다음으로, IMS(60)의 P-CSC-FE(601)는 홈 NACF(58)와 연합 여부를 등록하고(72단계), 홈 NACF(58)의 TLM-FE(581)와 PUR/PUA(Profile Update Request/Profile Update Answer) 메시지를 송수신하여 연합 등록 여부를 TLM-FE(581)에 통보한다(73단계).
TLM-FE(581)가 IMS(60)와 연합 가입을 등록하면(74단계), P-CSC-FE(601)는 TLM-FE(581)에 UDR(User Data Request) 메시지를 송신하여 사용자 데이터를 요구한다(75단계). TLM-FE(581)는 홈 NACF(58)와 연합 가입 여부를 검사하여(76단계), 가입되었다면 UDA(User Data Answer) 메시지를 이용하여 인증 콘텍스트를 P-CSC-FE(601)에 보낸다(77단계). P-CSC-FE(601)는 REGISTER 메시지를 통해 인증 콘텍스 트를 S-CSC-FE(602)에 등록하고, S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 가입자를 등록한다(79단계). 또한 S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 MAR/MAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 등록되어있는 인증 콘텍스트를 수신한 다음(81단계), 78단계에서 등록된 인증 콘텍스트와 비교한다(82단계). 비교결과 두 인증 콘텍스트가 동일하면, S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 SAR/SAA(Server Assignment Request/Server Assignment Answer) 메시지를 송수신하여 사용자 서비스 프로파일을 얻는다(83단계). S-CSC-FE(602)는 UE(10)에게 200 ok 신호를 전달한다(84단계).
전체적으로 등록단계(62)부터 IMS와 연합가입 등록 단계(74)까지는 연합요청과정이고, UDR 전달 단계(75)부터 최종 확인단계(84)까지는 SSO 인증과정이다.
도 7은 로밍의 경우 액세스 네트워크 ID 기반의 IMS 연합 SSO 인증 방법에 대한 흐름도이다.
UE(10)가 방문 NACF(57)에서 L3 레벨까지 인증된 다음(90단계). 방문 NACF(57)의 TAA-FE/TUP-FE(573)는 인증 콘텍스트를 홈 NACF(58)의 TAA-FE/TUP-FE(582)를 통해 IMS(60)의 SAA-FE/SUP-FE(603)에 전달(push)한다(91단계). UE(10)는 REGISTER 메시지를 이용하여 IMS(60)에 등록한다(92단계). IMS(60)의 P-CSC-FE(601)는 방문 NACF(57)와의 연합 가입 여부를 검사한다(93단계). 연합 가입이 되어 있지 않으면 P-CSC-FE(601)는 S-CSC-FE(602)에 SIP REGISTER 메시지를 이용한 등록시 연합 여부를 요청한다(94단계). S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에게 가입자를 등록한다(95단계). 또한 S-CSC-FE(602)는 SAA-FE/SUP-FE(603)과 MAR/MAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 등록되어있는 인증정보를 얻는다(96단계).
S-CSC-FE(602)는 P-CSC-FE(601)를 통해 401 Unauthorized 신호를 이용하여 96단계에서 얻은 인증정보를 UE(10)에 전달하고(97단계), UE(10)는 S-CSC-FE(602)에 SIP REGISTER 메시지를 이용한 등록시 연합 여부를 알려준다(98단계). S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에게 가입자를 등록하고(99단계), SAR/SAA 메시지를 송수신하여 사용자 서비스 프로파일을 얻는다(100단계). S-CSC-FE(602)는 UE(71)에게 확인신호 200 ok를 전달한다(101단계)
다음으로, IMS(60)의 P-CSC-FE(601)는 방문 NACF(57)와 연합 여부를 등록하고(92단계), 홈 NACF(58)의 TLM-FE(581)를 통해 방문 NACF(57)의 TLM-FE(572)와 PUR/PUA 메시지를 송수신하여 연합 등록 여부를 TLM-FE(581)에 통보한다(103단계).
TLM-FE(572)가 IMS(60)와 연합 가입을 등록하면(104단계), P-CSC-FE(601)는 TLM-FE(572)에 UDR 메시지를 송신하여 사용자 데이터를 요구한다(105단계). TLM-FE(572)는 방문 NACF(57)와 연합 가입 여부를 검사하여(106단계), 가입되었다면 TLM-FE(581)를 통해 UDA 메시지를 이용하여 인증 콘텍스트를 P-CSC-FE(601)에 보낸다(107단계). P-CSC-FE(601)는 수신한 인증 콘텍스트를 SIP REGISTER 메시지를 이용하여 S-CSC-FE(602)에 등록하고(108단계), S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 UAR/UAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 가입자를 등록한다(109단계). 또한 S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 MAR/MAA 메시지를 송수신하여 SAA-FE/SUP-FE(603)에 등록되어있는 인증 콘텍스트를 수신한 다음(111단계), 108단계에서 등록된 인증 콘텍스트와 비교한다(112단계). 비교결과 두 인증 콘텍스트가 동일하면, S-CSC-FE(602)는 SAA-FE/SUP-FE(603)와 SAR/SAA 메시지를 송수신하여 사용자 서비스 프로파일을 얻는다(113단계). 다음으로, SAA-FE/SUP-FE(603)는 UE(10)에게 확인신호 200 ok를 전달한다(114단계).
전체적으로 등록단계(92)부터 IMS와 연합가입 등록 단계(104)까지는 연합요청과정이고, UDR 전달 단계(105)부터 최종 확인단계(114)까지는 SSO 인증과정이다.
본 발명은 또한 컴퓨터로 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기 테이프, 플로피 디스크 및 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브, 예를 들어 인터넷을 통한 전송의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서, 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1은 본 발명에 따른 서비스 개념도이다.
도 2는 본 발명에 따른, 액세스 네트워크 ID 기반 웹 응용 서비스 연합 인증을 위한 통신 시스템 구성도를 도시한 것이다.
도 3은 본 발명에 따른, 액세스 네트워크 ID 기반 웹 응용 서비스 연합 인증 방법에 대한 흐름도를 도시한 것이다.
도 4는 본 발명에 따른 액세스 네트워크 ID 기반 웹 응용 서비스에 대한 SSO 인증 방법에 대한 흐름도이다.
도 5는 본 발명에 따른, 액세스 네트워크 ID 기반 IMS 연합 SSO 인증을 위한 통신 시스템 구성도를 도시한 것이다.
도 6은 본 발명에 따른 액세스 네트워크 ID 기반 IMS 연합 SSO 인증 방법에 대한 흐름도이다.
도 7은 로밍의 경우 액세스 네트워크 ID 기반의 IMS 연합 SSO 인증 방법에 대한 흐름도이다.

Claims (9)

  1. 차세대 네트워크에서 서비스 네트워크의 서비스 공급 사이트가 웹 응용 서비스 인증을 위해 액세스 네트워크와 연합하는 방법에 있어서,
    액세스 네트워크의 인증이 완료된 사용자 단말로부터 연합 요청을 수신하면, 그에 대응하여 상기 사용자 단말에게 인증을 요청하고 연합 수행 여부를 요청하는 단계;
    상기 사용자 단말로부터 상기 인증 요청에 대한 응답 및 연합 수행 여부를 수신하는 단계; 및
    상기 응답에 따라 인증이 성공하면, 사용자의 연합 목록에 상기 액세스 네트워크를 등록하고, 상기 액세스 네트워크에 연합을 통지하는 단계를 포함을 특징으로 하는 연합 방법.
  2. 차세대 네트워크에서 서비스 네트워크의 서비스 공급 사이트가 액세스 네트워크와 연합하여 싱글사인온(SSO) 인증하는 방법에 있어서,
    액세스 네트워크의 인증이 완료된 사용자 단말로부터 접속이 시도되면, 상기 액세스 네트워크와의 연합에 가입한 것을 확인하고 상기 사용자 단말에게 인증을 요청하는 단계;
    상기 사용자 단말로부터 제1인증 콘텍스트를 수신하는 단계;
    상기 액세스 네트워크로 제2인증 콘텍스트를 조회하여 수신하는 단계; 및
    상기 제1인증 콘텍스트와 제2인증 콘텍스트를 비교하여 동일하면 인증이 성공한 것으로 판단하여 상기 사용자 단말에게 인증 성공을 통지하는 단계를 포함함을 특징으로 하는 SSO 인증 방법.
  3. 제2항에 있어서,
    상기 액세스 네트워크와의 연합에 가입되어 있지 않으면,
    상기 사용자 단말에게 인증을 요청하고 연합 수행 여부를 요청하는 단계;
    상기 사용자 단말로부터 상기 인증 요청에 대한 응답 및 연합 수행 여부를 수신하는 단계; 및
    상기 응답에 따라 인증이 성공하면, 사용자의 연합 목록에 상기 액세스 네트워크를 등록하고, 상기 액세스 네트워크에 연합을 통지하는 단계를 포함함을 특징으로 하는 SSO 인증 방법.
  4. 제2항에 있어서,
    상기 제1인증 콘텍스트는, 상기 사용자 단말에 의해 상기 액세스 네트워크로 인증이 요청된 후 상기 액세스 네트워크에서 생성되어 상기 사용자 단말에 전송되는 것을 특징으로 하는 SSO 인증 방법.
  5. 차세대 네트워크에서 서비스 네트워크의 제1노드가 싱글사인온(SSO) 인증하는 방법에 있어서,
    상기 서비스 네트워크의 제1노드가 액세스 네트워크와의 연합에 가입된 상태에서 상기 액세스 네트워크에서 인증이 완료된 사용자 단말에 대한 제1인증 콘텍스트를 수신하여 등록하는 단계;
    상기 서비스 네트워크의 제2노드로부터 제2인증 콘텍스트를 수신하는 단계; 및
    상기 제1 및 제2인증 콘텍스트가 동일하면 상기 제2노드로 사용자 서비스 프로파일을 전달하여 인증을 완료하는 단계를 포함함을 특징으로 하는 서비스 네트워크에 대한 SSO 인증 방법.
  6. 차세대 네트워크에서 액세스 네트워크의 노드가 서비스 네트워크와 연합하여 인증하기 위한 동작 방법에 있어서,
    상기 노드가 상기 서비스 네트워크로부터 사용자 데이터를 요구받으면, 상기 서비스 네트워크와 연합 등록이 되어있는지를 확인하는 단계; 및
    연합 등록이 되어 있으면, 상기 사용자 데이터를 포함하는 메시지에 인증 정보를 더 포함하여 상기 서비스 네트워크로 전송하는 단계를 포함함을 특징으로 하는 방법.
  7. 제6항에 있어서,
    상기 확인하는 단계 이전에,
    상기 서비스 네트워크로부터 상기 액세스 네트워크와 연합 등록을 알리는 메 시지를 수신하는 단계; 및
    상기 액세스 네트워크와의 연합을 등록하는 단계를 더 포함함을 특징으로 하는 방법.
  8. 차세대 네트워크에서 사용자 단말이 로밍 상태일 때, 방문 액세스 네트워크의 제1노드가 서비스 네트워크와 연합하여 인증하기 위해 홈 액세스 네트워크의 제2노드와 연동하는 방법에 있어서,
    상기 제1노드가 상기 제2노드로부터 사용자 데이터를 요구받으면, 상기 서비스 네트워크와 연합 등록이 되어있는지를 확인하는 단계; 및
    연합 등록이 되어 있으면, 상기 사용자 데이터를 포함하는 메시지에 인증 정보를 더 포함하여 상기 제2노드로 전송하는 단계를 포함함을 특징으로 하는 방법.
  9. 제8항에 있어서,
    상기 확인하는 단계 이전에 상기 제2노드로부터 상기 방문 액세스 네트워크와 연합 등록을 알리는 메시지를 수신하는 단계; 및
    상기 방문 액세스 네트워크와의 연합을 등록하는 단계를 더 포함함을 특징으로 하는 방법.
KR1020080093387A 2008-09-23 2008-09-23 네트워크 id 기반 연합 및 싱글사인온 인증 방법 KR101001555B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020080093387A KR101001555B1 (ko) 2008-09-23 2008-09-23 네트워크 id 기반 연합 및 싱글사인온 인증 방법
PCT/KR2009/004057 WO2010035949A2 (en) 2008-09-23 2009-07-22 Network id based federation and single sign on authentication method
US13/120,226 US20110173689A1 (en) 2008-09-23 2009-07-22 Network id based federation and single sign on authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080093387A KR101001555B1 (ko) 2008-09-23 2008-09-23 네트워크 id 기반 연합 및 싱글사인온 인증 방법

Publications (2)

Publication Number Publication Date
KR20100034321A true KR20100034321A (ko) 2010-04-01
KR101001555B1 KR101001555B1 (ko) 2010-12-17

Family

ID=42060214

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080093387A KR101001555B1 (ko) 2008-09-23 2008-09-23 네트워크 id 기반 연합 및 싱글사인온 인증 방법

Country Status (3)

Country Link
US (1) US20110173689A1 (ko)
KR (1) KR101001555B1 (ko)
WO (1) WO2010035949A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321395B (zh) * 2008-06-24 2012-01-11 中兴通讯股份有限公司 下一代网络中支持移动性安全的方法与系统
CN102131192B (zh) * 2010-01-15 2016-06-15 中兴通讯股份有限公司 Ngn中保护三层移动性用户面数据安全的方法和系统
JP5691238B2 (ja) * 2010-05-19 2015-04-01 富士ゼロックス株式会社 通信装置、画像形成装置及びプログラム
US8881247B2 (en) 2010-09-24 2014-11-04 Microsoft Corporation Federated mobile authentication using a network operator infrastructure
EP2536095B1 (en) 2011-06-16 2016-04-13 Telefonaktiebolaget LM Ericsson (publ) Service access authentication method and system
US8695077B1 (en) * 2013-03-14 2014-04-08 Sansay, Inc. Establishing and controlling communication sessions between SIP devices and website application servers
CN104767721B (zh) * 2014-01-08 2019-03-15 阿尔卡特朗讯公司 向第三方用户提供核心网络服务的方法和网络单元
US10423985B1 (en) 2015-02-09 2019-09-24 Twitter, Inc. Method and system for identifying users across mobile and desktop devices
US10552858B1 (en) 2015-07-10 2020-02-04 Twitter, Inc. Reconciliation of disjoint user identifer spaces
US10805361B2 (en) 2018-12-21 2020-10-13 Sansay, Inc. Communication session preservation in geographically redundant cloud-based systems
US11089005B2 (en) 2019-07-08 2021-08-10 Bank Of America Corporation Systems and methods for simulated single sign-on
US11115401B2 (en) 2019-07-08 2021-09-07 Bank Of America Corporation Administration portal for simulated single sign-on
US11323432B2 (en) 2019-07-08 2022-05-03 Bank Of America Corporation Automatic login tool for simulated single sign-on
CN112861090B (zh) * 2021-03-18 2023-01-31 深圳前海微众银行股份有限公司 信息处理方法、装置、设备、存储介质及计算机程序产品

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7020781B1 (en) * 2000-05-03 2006-03-28 Hewlett-Packard Development Company, L.P. Digital content distribution systems
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
JP4195450B2 (ja) * 2003-01-10 2008-12-10 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法
CN101014958A (zh) * 2004-07-09 2007-08-08 松下电器产业株式会社 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法
BRPI0517521B1 (pt) * 2004-10-26 2019-04-09 Telecom Italia S.P.A. Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud

Also Published As

Publication number Publication date
WO2010035949A3 (en) 2014-09-04
KR101001555B1 (ko) 2010-12-17
US20110173689A1 (en) 2011-07-14
WO2010035949A2 (en) 2010-04-01

Similar Documents

Publication Publication Date Title
KR101001555B1 (ko) 네트워크 id 기반 연합 및 싱글사인온 인증 방법
US9641324B2 (en) Method and device for authenticating request message
RU2414086C2 (ru) Аутентификация приложения
AU2003212723B2 (en) Single sign-on secure service access
US7665129B2 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network
EP1741268B1 (en) A method for verifying a first identity and a second identity of an entity
US7865173B2 (en) Method and arrangement for authentication procedures in a communication network
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
EP1713289A1 (en) A method for establishing security association between the roaming subscriber and the server of the visited network
WO2013056674A1 (zh) 第三方应用的集中式安全管理方法和系统及相应通信系统
JP5567166B2 (ja) 次世代ネットワークでの有無線端末機のサービスネットワークとアクセスネットワークとの間のバンドル認証方法及びシステム
US10284562B2 (en) Device authentication to capillary gateway
WO2012045376A1 (en) A method, a system and a network element for ims control layer authentication from external domains
WO2009097778A1 (zh) 一种安全接口调用方法、装置及系统
CN103069742A (zh) 用于将密钥绑定到名称空间的的方法和装置
CN101990771B (zh) 服务报告
JP5920891B2 (ja) 通信サービス認証・接続システム及びその方法
KR101058100B1 (ko) 차세대 네트워크에서 서비스 네트워크와 액세스 네트워크 간 번들 인증을 위한 서비스 네트워크와 액세스 네트워크 내 노드 인증 및 노드 동작 방법
Kim et al. Implementation for federated Single Sign-on based on network identity
CN116708000A (zh) 基于证书吊销体系的违规外联行为检测方法、设备及介质
KR20090004812A (ko) 차세대 네트워크에서 유무선 단말기의 서비스 네트워크와 액세스 네트워크 간 번들 인증 방법 및 시스템
KR20080031731A (ko) 인증 및 프라이버시를 위한 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee