KR20100106990A - 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법 - Google Patents

서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법 Download PDF

Info

Publication number
KR20100106990A
KR20100106990A KR1020107013948A KR20107013948A KR20100106990A KR 20100106990 A KR20100106990 A KR 20100106990A KR 1020107013948 A KR1020107013948 A KR 1020107013948A KR 20107013948 A KR20107013948 A KR 20107013948A KR 20100106990 A KR20100106990 A KR 20100106990A
Authority
KR
South Korea
Prior art keywords
user
organization
gateway
access
internet
Prior art date
Application number
KR1020107013948A
Other languages
English (en)
Other versions
KR101518526B1 (ko
Inventor
안드레아 기띠노
스테파노 안네스
로베르토 보리
세르지오 사글리오코
Original Assignee
씨에스피-인노바찌오네 넬레 아이씨티 스칼
에스.아이.에스브이.이엘. 쏘시에타‘ 이탈리아나 퍼 로 스빌루포 델‘엘레트로니카 에스.피.에이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 씨에스피-인노바찌오네 넬레 아이씨티 스칼, 에스.아이.에스브이.이엘. 쏘시에타‘ 이탈리아나 퍼 로 스빌루포 델‘엘레트로니카 에스.피.에이. filed Critical 씨에스피-인노바찌오네 넬레 아이씨티 스칼
Publication of KR20100106990A publication Critical patent/KR20100106990A/ko
Application granted granted Critical
Publication of KR101518526B1 publication Critical patent/KR101518526B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 사용자가 인터넷에 접속할 수 있도록 하는 방법에 관한 것이다. 사용자가, 제 1 조직의 게이트 웨이를 통해 인터넷 접속 요청을 전송하고, 사용자가 제 2 조직에서 인증받기 위한 일부 증명물을 상기 게이트 웨이에 공급한다. 제공된 증명물은 제 2 조직에 관한 정보의 일부분 또는 전부를 포함한다. 제 1 조직은, 사용자를 인증하고 사용자가 인터넷에 접속하는 것을 용인하기 위한 목적으로 제 2 조직에 접촉한다. 그 후 제 2 조직은 사용자에게 인증을 제공하여 인터넷에 접속할 수 있도록 한다. 본 발명에 따르면, 접속 요청시, 게이트 웨이는 사용자가 제 2 조직의 웹 페이지를 다시 향하도록 하고, 이러한 웹 페이지 상에서 사용자는, 상기 웹 페이지를 통해, 사용자 인증에 필요한 추가적인 인증 증명물을 제 2 조직에 공급한다.

Description

서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법{AUTHENTICATION METHOD WITHOUT CREDENTIAL DUPLICATION FOR USERS BELONGING TO DIFFERENT ORGANIZATIONS}
본 발명은 사용자로 하여금 청구항 1의 서문에 따라 인터넷에 접속(access)하도록 하는 방법에 관한 것이다.
특히, 본 발명은 사용자에게 인터넷 접속의 가능성을 증대시키는 것을 목표로 한다.
인터넷은 많은 사람들에게 필수적인 작업 툴이 되었고, 무선 네트워크(가령, WLAN) 덕분에 사용자가 사무실 밖에서조차 인터넷에 접속할 수 있게 되었다.
예를 들어, 공항, 기차역 및 도서관이 핫 스팟(Hot Spot), 즉, 사용자가 게이트웨이(gateway)를 통해 인터넷에 접속할 수 있는 접속 지점(access point)을 가진다.
지정 조직(organization)의 핫 스팟 내에서, 이러한 서비스로의 접속은 일반적으로 오직 상기 조직에 등록된 유효 계정을 가진 사용자들에 대해서만 용인된다.
따라서, 지정 조직의 사용자는, 관심이나 기반시설 부족으로 인해 상기 조직에 의해 커버되지 않는 영역에서는 인터넷에 접속할 수 없다.
이러한 문제들을 극복하기 위하여, 몇 가지 해결책이 착상되었는데, 제 1 조직의 사용자가 제 2 조직의 접속 지점을 통해 인터넷에 접속할 수 있도록 하는 것이다.
사용되고 있는 플랫폼과 관련하여, 위의 해결책 중 일부는 때때로 사용자의 클라이언트(client)의 복잡한 설정까지 필요로 한다.
사용과 클라이언트 설정을 용이하게 하는 점에서 좀 더 바람직한 그 밖의 다른 해결책들이, 권한이 부여된 사용자들의 목록에 포함되지 않은 사용자들을 서로 다른 조직의 인증 서버로 향하게 함으로써 오직 게이트웨이 레벨에서 운영된다.
상기 그 밖의 다른 해결책 중 하나가 미국 특허 제5,898,780호로부터 알려져 있으며, 상기 특허에서, 로컬 인터넷 서비스 제공사업자(Internet Service Provider, ISP)를 이용하여 사용자가 원격 장소에서 인터넷에 접속할 수 있도록 하는 방법 및 장치가 개시되며, 사용자는 상기 로컬 인터넷 서비스 제공사업자와의 계정을 가지고 있지 않다. 사용자는 원격 ISP와의 계정의 증명물(사용자 이름 및 패스워드)를 이용함으로써 로컬 ISP의 시스템과 조인(sign with)한다.
사용자에 의해 입력되는 증명물이 정보의 일부분 또는 전부를 포함하고 있고, 상기 정보는 로컬 ISP의 서버를 식별하여 상기 서버에 질문을 전송하도록 하여, 로컬 ISP를 통해 사용자가 인터넷에 접속할 권한을 부여할 수 있음을 로컬 ISP의 서버가 인식한다.
그러나, 이러한 해결책은, 사용자의 민감 데이터(사용자 이름 및 패스워드)가 로컬 ISP의 서버에 공급되어, 상기 데이터가 스니핑(sniffing) 공격을 받기 쉬울 수도 있다는 결점이 있다.
미국 특허 제5,898.780호로부터 알려져 있는 것과 반대되는 원리를 이용하는 해결책이 트랜토의 대학에 의해 사용되어 왔으며, 유니-파이(Uni-fy)의 이름으로 대중에 제시되었다.
이러한 해결책에 따르면, 사용자 클라이언트가 DHCP 요청을 상기 대학의 게이트웨이에 전송하고, 그 후 상기 게이트 웨이가 IP 주소를 사용자 클라이언트에 할당한다.
게이트 웨이는 일부 방화벽 규칙들을 가지는데, 이러한 방화벽 규칙 각각은, 데이터 패킷을 전송하고 있는 사용자가 권한이 부여된 사용자들의 목록에 포함되어 있는지 아닌지에 따라 두 개의 가능한 조치를 구비하고 있다.
사용자가 권한이 부여된 사용자들의 목록에 포함되어 있지 않은 경우, 데이터 패킷은 권한 부여를 다루는 게이트 키퍼(gatekeeper)를 향해 라우팅될 것이다. "종속 포털(captive portal)" 유형의 방법에 따라, 권한 없는 사용자가 로컬 웹 페이지로 유도되고, 상기 웹 페이지에서 사용자는 조직을 선택할 수 있고 이러한 조직으로부터 권한을 부여받기를 희망한다.
이 시점에서, 사용자 클라이언트가 선택된 조직과 통신 관계에 높이고, 상기 조직에 의해 요구되는 프로토콜에 따라 인증 절차가 수행된다.
이러한 해결책을 이용하여, 트렌토의 대학의 네트워크 설비는, 어떤 수단을 쓰더라도, 사용자의 민감 데이터를 알 수 없고 알게 되어서도 안되며, 사용자의 민감 데이터 모두가 선택된 조직으로 직접 전송된다.
인증이 성공적인 경우, 선택된 조직은 권한 부여 요청을 대학의 게이트 키퍼에 전송할 것이고, 상기 게이트 키퍼가 권한이 없던 사용자의 상태가 권한을 부여받은 상태로 바꿀 것이며, 이로써 사용자가 인터넷에 접속할 수 있다.
이러한 해결책은, 접속된 사용자를 인식하는 것이 쉽지 않고(가령, 보안 또는 인보이스(invoice)를 이유로), 사용자의 필명이 원격 인증 조직에 등록된 사용자의 신원과 관련될 것을 요구한다는 결점이 있다.
더욱이, 사용자가 인증되기를 바라는 조직의 매뉴얼 선택이, 대학의 게이트 웨이가 모든 기존의 인증 조직을 알고 있다는 것과 상기 게이트 웨이가 모든 단일 인증 조직의 인증 절차에서의 임의의 변화들이 지속적으로 업데이트되고 있다는 것을 가정하기 때문에, 이러한 해결책은 유의한 시스템 확장성(scalability) 한계를 가진다.
인증 조직의 개수가 증가함에 따라, 대학의 시스템 관리의 복잡성도 마찬가지로 상당히 증가한다.
본 발명의 주요 목적은, 사용자가 처음에 승인되지 않았던 조직의 게이트웨이를 통해 사용자가 인터넷에 접속할 수 있도록 하는 대안적 방법을 제공함으로써 종래 기술의 결점을 극복하기 위한 것이다.
이러한 목적은, 본 명세서의 설명의 필수적인 부분으로 의도된 첨부된 청구항에 제시된 특징들을 포함하는 방법을 통해 성취된다.
본 발명은 인증 증명물(credential) 공급되는 시점(및 수령)을 분리하는 아이디어에 기반을 두고 있다.
더욱 상세히 말하면, 상기 아이디어는, 사용자가 제 1 조직의 게이트웨이에 접속하여 인터넷 접속 요청을 전송할 때, 상기 게이트 웨이가, 제 2 조직에서 사용자를 승인하는데 필요한 증명물의 일부를 공급하는 것이다. 예를 들어, 사용자는 사용자 이름과 제 2 조직의 식별자를 제공할 수 있다.
이러한 요청을 수신하는 게이트 웨이가 사용자를 권한이 부여된 사용자로서 인식하지 않은 경우, 사용자의 인증을 위해 사용자를 제 2 조직의 웹 페이지로 다시 향하게 할 것이다.
이 시점에서 사용자는, 제 2 조직이 사용자의 신원을 검증할 수 있도록 상기 웹 페이지를 통해 사용자의 인증에 필요한 추가적인 증명물을 제 2 조직에 공급하고, 이로 인해 사용자가 인터넷을 항해할 수 있도록 한다.
이러한 해결책은 몇 가지 이점을 제공한다.
첫째로, 인터넷 접속 요청에서 제공된 증명물을 통해 제 1 조직에 의해 사용자가 식별될 수 있고, 따라서, 공공 보안 또는 인보이스(invoice)를 이유로 한 사용자의 인증을 간소화할 수 있으며, 그럼에도 불구하고, 제 1 조직에 모든 사용자의 증명물이 주어지는 것이 아니어서 이러한 해결책이 스니핑 공격에 대해 다소 강할 수 있도록 한다.
둘째로, 본 발명에 따른 방법의 기능들을 수행할 수 있는 컴퓨터 시스템(특히, 네트워크 노드 및 서버)을 간편하게 추가함으로써 새로운 조직이 연합체에 추가될 수 있기 때문에 이러한 해결책은 쉽게 확장될 수 있다.
유리하게, 사용자에 의해 제 1 조직에 공급되는 증명물은, 환영 웹 페이지를 통해 입력되고, 이름@영역(name@realm) 형식으로 사용자 이름을 포함하며, 여기서, 영역(realm)은 제 2 조직의 도메인 이름을 나타낸다.
구체화된 영역에 기초하여, 각각의 게이트 웨이는, DNS로 전송된 요청을 통해서든지, 또는, 게이트 웨이 레벨에 저장되고, 연합체에 속하는 조직들의 모든 인증 서버를 포함하는 목록과의 비교를 통해서든지, 사용자가 속하는 조직의 인증 서버를 찾을 수 있다.
게이트 웨이와, 서로 다른 조직들의 인증 서버 사이의 통신이 인증되는 것을 보장하기 위하여, 신호를 보내는 메시지들이 유리하게 서명(sign)되고, 공개키와 개인키 모두를 사용하는 비대칭 암호화 알고리즘(가령, PGP®(Pretty Good Privacy)에 의해 사용되는 알고리즘)을 이용함으로써 상기 메시지들이 바람직하게 인코딩된다.
새로운 조직들이 추가(또는 제거)될 때 키 교환의 관리를 간소화하기 위한 목적으로, 유리하게 아키텍처가 키 관리 서버를 포함한다.
새로운 조직이 추가될 때마다, 관련 인증 서버의 공개키가 상기 서버에서 공개되고, 다양한 조직들의 게이트 웨이가 보안 통신 프로토콜(가령, HTTPS)을 통해 주기적으로 상기 서버에 접촉하여, 각자의 키 목록을 업데이트할 것이다.
게이트 레벨에서 키 목록을 저장함으로써, 키 관리 서버의 임의의 실패가 서버를 위험에 빠뜨릴 수 없음을 보장한다. 최악의 경우, 새로운 인증 서버가 몇 시간 지연된 상태로 시스템에 추가될 것이다.
키 관리 서버는, 다양한 조직들의 모든 게이트 웨이 상에 존재하는 자신 고유의 공개키를 통해 상기 게이트 웨이 모두에 의해 인증되며, 어떠한 외부 사용자도 허가 없이는 사용자 자신의 조직에 입장할 수 없도록 한다.
더욱이, 본 발명의 목적 및 이점들이 제한 없는 예시로서 제공되는 이하의 설명과 부가 도면으로부터 좀 더 분명해질 것이다.
- 도 1은 조직들의 연합체를 도시하며, 이러한 연합체는 상기 조직들 중 임의의 조직에 속하는 사용자들이 인터넷에 접속할 수 있도록 한다.
- 도 2는 제 1 조직에 속하는 사용자가 제 2 조직의 접속 지점을 통해 인터넷에 접속할 수 있도록 하는 절차를 도식적으로 표현한다.
도 1을 참조하면, 인터넷(1)에 연결되어 있는 조직들(El, E2, E3)의 연합체가 도시된다.
본 발명의 목적을 위하여, "조직(organization)"이라는 용어는, 인터넷으로의 사용자 접속을 용인할 수 있거나, 조직화된 사용자 관리 시스템을 다루는 임의의 개체를 의미한다.
도 1의 예시에서, 조직(E1 및 E2)은 게이트 웨이(GW), 인증 서버(AS), 및조직의 사용자를 인증하는데 필요한 정보를 함유하고 있는 데이터 베이스(DB)를 포함하는 컴퓨터 시스템, 특히 네트워크 노드를 갖추고 있다.
게이트 웨이(GW)가 모든 방화벽 기능을 수행하고 권한이 부여되지 않은 임의의 트래픽을 필터링하며, 인증 서버(AS)는 데이터 베이스(DB)(MySQL 또는 LDAP 데이터 베이스, 또는 패스워드 파일)에서 또는 표준 프로토콜(가령, RADIUS)을 통해 사용자의 증명물을 검증한다.
도 1의 예시에서, 조직(E2)은 접속 지점(3)을 갖추고 있으며, 이러한 접속 지점을 통해 사용자에게 무선 접속을 제공한다.
조직(E1)은 사용자에게 유선 접속을 제공하기 위하여 게이트 웨이(GW)에 연결되는 스위치(4)를 구비하고 있다.
조직(E3)은, 고유의 접속 네트워크는 없으나 고유의 사용자들을 가지고 있는 인터넷 서비스 제공사업자(ISP)이다.
상기 조직은 조직(E1 및 E2)처럼 인증 서버(AS)와 데이터 베이스(DB)를 갖추고 있다. 인증 서버(AS)는 라우터(RT)를 통해 인터넷에 연결되며, 이러한 라우터(RT)는 조직(E1 및 E2)의 게이트 웨이(GW)와 달리 이하에서 기술되는 사용자 방향 재설정(redirect) 기능들을 수행할 수 없다.
물론, 라우터(RT)는, 라우터(RT)에 관한 일부 기능들이 사용되지 않는 상태로 남아 있는 이러한 경우라 하더라도, 게이트 웨이(GW)로 대체될 수 있다.
계속하여 도 1 및 2의 예시를 참조하면, 사용자(2)는, 조직(E1)의 권한을 부여받은 사용자(가령, 조직(E1)의 도메인에 속하는 사용자)이며, 사용자가 인증되지 않은 조직(E2)으로 웹 요청을 전송한다.
이러한 상황은, 예를 들어, 조직(E1)의 사용자(가령, ALFA 회사의 직원)가 공항에 있거나 또 다른 조직(가령, 회사 BETA)의 부근에 있고, 공항의 기반 시설 또는 BETA 회사의 기반시설을 이용하여 인터넷에 접속하기를 희망할 때 발생할 수 있다.
사용자(2)가 조직(E2)의 핫 스팟의 존재를 검증할 때, 사용자가 DHCP 요청을 전송하고, 이러한 요청시 사용자에게 IP 주소가 할당된다.
이 시점에서, 사용자(2)는 인터넷 접속 요청을 전송할 수 있다.
게이트 웨이(GW)가 이러한 요청을 차단하고 클라이언트가 웰컴 페이지로 다시 향하도록 하며, 상기 웰컴 페이지 상에서 사용자는 조직(E1)에서의 사용자의 인증에 필요한 사용자의 증명물의 일부를 입력한다.
본 발명에 따라, 조직(E2)에 공급되는 증명물은, 본 명세서에서 기술되는 예시에서 사용자들이 인증되기를 바라는 조직(즉, 조직(E1))에 대한 정보의 일부분 또는 전부를 포함하고 있다.
바람직하게, 이러한 증명물은 사용자(2)를 인증해야만 하는 조직(E1)의 도메인 이름과 사용자(2)의 사용자 이름으로 구성된다.
사용자 이름과 도메인 이름은, 별개의 필드로 입력될 수 있고, 그렇지 않다면, 사용자(2)가 이름@영역(name@realm) 형식으로 계정을 입력하도록 요구되는 경우 게이트 웨이에 의해 자동적으로 획득될 수 있으며, 여기서, '이름'은 사용자(2)의 사용자 이름이고 영역은 조직(E1)의 도메인 이름을 나타낸다.
따라서, 사용자에 의해 공급되는 증명물을 이용함으로써, 조직(E2)은 조직(E1)과 접촉하여 사용자(2)가 인증될 수 있도록 한다.
조직(E1)의 인증 서버의 IP 주소가 이하의 규칙의 계층 구조에 의해 결정된다.
첫재로, 조직(E2)의 게이트 웨이(GW)를 영역(realm) 앞의 미리 지정된 이름에 위치시키고(가령 : authserv), 상기 게이트 웨이가 DNS에 요청을 보내, 사용자의 출처(origin)(즉, 조직 1(organization 1) 중 하나)의 인증 서버(AS)의 IP 주소를 알 수 있다.
예를 들어, mario.rossi@organizationl.it 사용자에 있어서, 게이트 웨이(GW)는 authserv.organization1.it의 IP 주소에 대한 DNS를 검색할 것이다.
영역(realm) 앞에 위치되는 이름은 동일한 연합체에 속하는 조직들의 모든 인증 서버에 대해 동일하고, 따라서, 게이트 웨이에 의해 DNS로 전송되는 질문이 간단한 방식으로 명확히 나타내어질 수 있다.
긍적적인 응답이 DNS로부터 수신되는 경우, 게이트 웨이(GW)는 사용자(2)를 조직(E2)의 인증 서버로 다시 향하도록 할 것이다. 검색이 성공적이지 않은 경우, 이러한 프로세스는 그 다음 규칙으로 나아갈 것이다.
이러한 그 다음 규칙에 따라, 조직(E1)의 인증 서버(AS)의 IP 주소가 조직(E2)의 로컬 데이터 베이스에서 검색된다.
본 발명에 따라, 다양한 조직들의 모든 게이트 웨이(GW)는 대응하는 인증 서버들의 도메인과 IP 주소의 목록을 로컬 데이터 베이스에 저장한다.
상기 목록은, 가급적 모든 연합 조직들에 일반적인 미리 지정된 중앙 서버에 의해 주기적으로 업데이트 된다.
또한, 상기 데이터 베이스에서의 검색이 성공적이지 않아야 하며, 웹 요청을 수신한 게이트 웨이가 최종 규칙으로 전환할 것이고, 상기 최종 규칙을 따라 사용자는 게이트 웨이가 설치된 때 이미 설정된 디폴트 인증 서버로 다시 향하게 될 것이다.
이러한 최종 규칙은 본질적으로, 미리 지정된 조직에 관한 정보를 인터넷 접속 요청에서 사용자에 의해 명확하게 구체화된 임의의 정보의 부재처럼 인식하도록 한다.
바꾸어 말하면, 사용자(2)가, 자신이 인증되기를 원하는 조직(1)의 도메인을 구체화하지 않고 오직 자신의 이름만을 게이트 웨이(GW)에 공급하는 경우, 게이트 웨이는 이러한 정보를 디폴트 조직에 인증되기를 바라는 것으로 해석할 것이다.
일단 인증 서버가 찾아지면, 게이트 웨이는 클라이언트를 인증 서버로 다시 향하도록 할 것이고, 사용자는 자신 고유의 패스워드를 입력함으로써 인증될 것이며, 따라서 표준 인증 절차(가령, NoCat 시스템과 같은 '종속 포털' 시스템들에 의해 제공되는 절차)로 되돌아올 수 있다.
사용자 이름 및 패스워드 검증이 성공적인 경우, 인증 서버는 인증 메시지를 사용자(2)의 클라이언트에 전송할 것이며, 상기 메시지는 그 후 게이트 웨이(GW)를 다시 향하게 될 것이다.
상기 게이트 웨이는 사용자의 프로파일에 포함되는 서비스들을 제공하도록 필요한 방화벽 규칙을 입력할 것이고, 그 후, 처음에 요청되었던 웹 페이지로 사용자를 다시 향하게 할 것이다.
위에서 기술된 절차가 도 2에서 예시되며, 상기 도면에서, 사용자(2)의 클라이언트, 조직(E2)의 게이트 웨이, 조직(E1)의 인증 서버, 및 조직(E1)에 의해 인증된 모든 사용자들의 신원을 저장하는 조직(E1)의 데이터 베이스 간의 통신을 나타낸다.
도 2와 관련하여:
- 클라이언트가 웹 요청(가령, http://www.google.it)을 전송하고(시퀀스 c1),
- 게이트 웨이가 상기 요청을 차단하고 클라이언트를 인증 포털로 다시 향하도록 하며(시퀀스 c2),
- 클라이언트는 자신의 증명물(가령, 사용자 이름)을 전송하고(시퀀스 c3),
- 게이트 웨이는 클라이언트가 인증 서버의 포털로 다시 향하도록 하며(시퀀스 c4),
- 사용자는 패스워드를 입력하고(시퀀스 c5),
- 인증 서버는, 가령, RADIUS 프로토콜을 통해, 사용자의 증명물(사용자 이름 및 패스워드)을 데이터 베이스에 포함된 것들과 비교함으로써 사용자의 증명물을 검증하며(시퀀스 c6),
- 사용자가 인증되고(시퀀스 c7),
- 인증 서버는 클라이언트에 병화벽 개방 메시지를 인증 확인으로서 전송하며(시퀀스 c8),
- 클라이언트는 수신된 상기 메시지를 게이트 웨이에 전송하여 방화벽을 개방하고(시퀀스 c9),
- 게이트 웨이는 클라이언트를 요청된 사이트(http://www.google.it)로 다시 향하도록 하며(시퀀스 c10),
- 클라이언트는 요청된 사이트(http://www.google.it) 상에서 인터넷에 접속한다(시퀀스 c11).
이러한 유형의 아키텍처가 절대적인 시스템 확장성을 제공한다.
사실상, 시스템은, 새로운 조직(EX)에 게이트 웨이(GW)를 설치함으로써, 그리고 DNS에 새로운 도메인(가령, organizationX.it)에 속하는 사용자들을 관리할 인증 서버를 등록함으로써 쉽게 확장될 수 있으며, 이미 기술된 이유들로 인해, DNS에의 등록은 전술된 형식(가령, authserv.organizationX.it.)으로 이루어져야 한다.
유리하게, 그 밖의 다른 임의의 시스템이, 인증 서버를 대신하는 것과 등록되지 않은 사용자들을 인증하려는 시도를 하는 것을 방지하기 위하여 인증 서버와 게이트 웨이 간의 통신이 서명(sign)되는데, 특히, 통신이 서명되고 공개키/개인키 유형의 비대칭 암호화 방법을 이용하여 바람직하게 인코딩된다.
바람직하게, 메시지들이 서명만 된 경우, 이러한 메시지는 암호화되지 않은 상태로 남아 있으나 개인키를 이용해 산정된 해시(hash)가 상기 메시지에 부착되며, 이는, 일단 공개키를 이용해 검증되면, 이러한 메시지가 개인키의 소유자에 의해 형성된 본래의 것이라는 것을 보장한다.
따라서 그 후 이러한 메시지는, 서명되고, 그리고, 가령 PGP 소프트웨어를 통해 획득되는 키(서명을 위한 개인키, 인코딩을 위한 공개키)를 통해 바람직하게 인코딩된다.
각각의 게이트 웨이(GW)는 연합된 조직들의 인증 서버(AS)의 공개키 목록을 가지고 있고, 따라서, 인증을 스니핑(sniffing)하려는 시도를 하는 부정 인증 서버가 존재하지 않음을 검증할 수 있다.
확장성 한계 없이 시스템이 계속 업데이트되도록 하기 위하여, 시스템에 의해 인식되는 인증 서버들에 속하는 공개키의 저장소(가령, PGP)를 보유하고 있는 키 관리 서버(도 1의 KS)가 사용된다.
따라서, 새로운 조직을 추가하는 것은, 새로운 도메인을 관리하는 인증 서버(AS)의 키를 이러한 리스트에 입력하는 것에 관련된다.
각각의 게이트 웨이는 키 목록의 복사본을 포함하고 있는데, 시스템이 계속 업데이트되도록 하기 위하여, 본 발명의 방법에 따라, 게이트 웨이는 주기적으로 키 관리 서버(KS)를 참고(consult)하여 키 목록을 다운로드한다.
새로운 인증 서버가 시스템에 추가되는 경우, 새로운 조직의 사용자들이 시스템의 그 밖의 다른 영역의 로밍 모드(roaming mode)에서 자신들의 증명물을 이용할 수 없는 제 1 전환기(transitory period)가 있을 것이며, 이러한 기간은 로컬 키 복사본이 모든 게이트 웨이에서 업데이트될 때까지 지속될 것이다.
따라서 이러한 서비스 불능 상태는 네트워크 유지가 아니라 오직 새로운 조직들의 설치에만 관련되고 제한된다.
각각의 게이트 웨이가 모든 조직들의 인증 서버들의 공개키 목록의 복사본을 포함하고 있기 때문에, 시스템은 키 관리 서버(KS)의 오작동 또는 실패의 경우에서조차 계속 동작할 것이다.
따라서 착상된 시스템은, 인터넷 접속이 발생하는 모든 게이트 웨이가 특수 로그(special log)에서 각각의 사용자의 접속 시간(connection time)에 관한 정보를 보유하고 이를 유지해야 하기 때문에, 서로 다른 조직들의 사용자의 트래픽의 인보이스를 관리하도록 하며, 이러한 정보는 사용자의 이름과 각자의 조직 모두를 포함하고, 따라서, 트래픽이 정확하게 인보이스될 수 있다.
전술된 메커니즘은 신용 정책이 다양한 조직들 사이에 존재하고 제어 메커니즘이 필요하다는 것을 가정하며, 이러한 메커니즘은, 그 밖의 다른 모든 서버들로부터 사용자의 접속(connection)에 관한 정보를 수신하는 중앙 서버를 이용하여 각각의 게이트 웨이에 저장된 연결이 검증될 수 있도록 하는 것이 바람직하다.
전술된 실시예는 본 발명의 제한 없는 예시로서 이해되어야 하고, 첨부된 청구항에 명시된 바와 같은 본 발명의 보호 범위를 벗어나지 않는 한 많은 변화들이 시스템에 가해질 수 있음이 명백하다
예를 들어, 게이트 웨이, 인증 서버, 및 인증 데이터 베이스(가령, SQL 데이터 베이스)는 하나의 기계에 의해 구현될 수도 있고, 또는, 다수의 기계에 걸쳐 분포될 수도 있다.
더욱이, 인증 서버와 게이트 웨이간, 또는 인증 서버와 클라이언트간 통신을 인코딩하는데 사용되는 방법은 해당 업계에 알려져 있는 임의의 유형일 수 있다.

Claims (15)

  1. 사용자가 인터넷에 접속할 수 있도록 하는 방법으로서, 여기서, 사용자가 제 1 조직(Organization)의 게이트 웨이를 통해 인터넷 접속 요청(access request)을 전송하고, 상기 요청은 사용자가 제 2 조직과의 인증을 위하여 상기 제 1 조직에 제 1 인증 증명물(credential)을 공급할 것을 요하며, 상기 증명물은 상기 제 2 조직에 관한 정보의 일부분 또는 전부를 포함하고, 여기서 상기 제 1 조직은 상기 사용자를 인증하고 상기 사용자가 인터넷에 접속할 수 있도록 하는 목적을 위하여 상기 제 2 조직에 접촉하며, 여기서 상기 제 2 조직은 상기 사용자에게 인터넷에 접속할 수 있는 권한을 부여하는 특징의 상기 방법에 있어서, 상기 접속 요청시, 상기 게이트 웨이는 상기 사용자가 상기 제 2 조직의 웹 페이지를 다시 향하도록 하고, 상기 사용자는, 상기 웹 페이지를 통해, 상기 제 2 조직에서 상기 사용자를 식별하는데 필수적인 제 2 인증 증명물을 상기 제 2 조직에 공급하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  2. 제 1 항에 있어서,
    상기 제 1 인증 증명물은 이름@영역(name@realm) 형식으로 표현되는 사용자 이름을 포함하고, 여기서 '이름'은 사용자를 식별하고 '영역'은 상기 제 2 조직을 식별하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 제 2 증명물은 패스워드를 포함하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 인터넷 접속 요청은, IP 주소가 상기 사용자에 할당되는 제 1 단계와, 상기 게이트 웨이가 사용자를 로컬 환영 웹 페이지로 다시 향하도록 하는 제 2 단계를 포함하며, 상기 환영 웹 페이지 상에서 상기 사용자가 상기 제 1 증명물을 입력해야 하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 게이트 웨이가 상기 제 2 조직의 인증 서버를 찾을 수 없는 경우, 상기 게이트 웨이는 상기 제 1 증명물을 디폴트 인증 서버로 전송하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  6. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 게이트 웨이는 상기 제 1 증명물을 상기 제 2 조직의 인증 서버에 전송하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  7. 제 6 항에 있어서,
    상기 게이트 웨이는 DNS로 전송된 질문을 통해 상기 인증 서버의 주소를 판단하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  8. 제 6 항 또는 제 7 항에 있어서,
    상기 게이트 웨이는, 조직들의 목록으로의 접근 권한을 갖고, 상기 목록을 상기 제 1 증명물과 비교함으로써 상기 인증 서버의 주소를 판단하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  9. 제 5 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 게이트 웨이와 상기 인증 서버 간의 통신이 서명(sign)되는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  10. 제 5 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 게이트 웨이와 상기 인증 서버 간의 통신이 인코딩되는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  11. 제 10 항에 있어서,
    상기 게이트 웨이와 상기 인증 서버 간의 통신이 공개키/개인키 인코딩을 통해 인코딩되는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  12. 제 11 항에 있어서,
    키 관리 서버가, 대응하는 복수의 조직의 복수의 서버의 공개키의 목록을 유지하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  13. 제 12 항에 있어서,
    상기 복수의 조직의 게이트 웨이가, 상기 키 관리 서버에 주기적으로 접속하여 상기 공개키 목록을 지역적으로 저장하는 것을 특징으로 하는, 사용자가 인터넷에 접속할 수 있도록 하는 방법.
  14. 제 1 항 내지 제 13 항 중 어느 한 항에 의한 방법을 구현하도록 적응된 컴퓨터 시스템.
  15. 제 1 항 내지 제 13 항 중 어느 한 항에 의한 방법을 구현하도록 적응된 코드 부분을 포함하는 컴퓨터 프로그램을 기록한 컴퓨터에 의해 판독 가능한 매체.
KR1020107013948A 2007-11-26 2008-11-24 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법 KR101518526B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IT000853A ITTO20070853A1 (it) 2007-11-26 2007-11-26 Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
ITTO2007A000853 2007-11-26
PCT/IB2008/003194 WO2009068956A2 (en) 2007-11-26 2008-11-24 Authentication method without credential duplication for users belonging to different organizations

Publications (2)

Publication Number Publication Date
KR20100106990A true KR20100106990A (ko) 2010-10-04
KR101518526B1 KR101518526B1 (ko) 2015-05-07

Family

ID=40315040

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107013948A KR101518526B1 (ko) 2007-11-26 2008-11-24 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법

Country Status (10)

Country Link
US (1) US8386770B2 (ko)
EP (1) EP2215802A2 (ko)
JP (1) JP5507462B2 (ko)
KR (1) KR101518526B1 (ko)
CN (1) CN101919221B (ko)
BR (1) BRPI0820065A2 (ko)
CA (1) CA2706827C (ko)
IT (1) ITTO20070853A1 (ko)
RU (1) RU2507702C2 (ko)
WO (1) WO2009068956A2 (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9420459B2 (en) * 2011-11-16 2016-08-16 Cellco Partnership Method and system for redirecting a request for IP session from a mobile device
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
CN104364792B (zh) * 2012-02-01 2017-11-14 亚马逊科技公司 用于多个网络站点的账户管理系统
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
JP6111713B2 (ja) * 2013-02-06 2017-04-12 株式会社リコー 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
US9866592B2 (en) * 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes
US10091212B2 (en) 2016-03-04 2018-10-02 BlueTalon, Inc. Policy management, enforcement, and audit for data security
US11157641B2 (en) 2016-07-01 2021-10-26 Microsoft Technology Licensing, Llc Short-circuit data access
GB201612038D0 (en) * 2016-07-11 2016-08-24 Lookiimedia (Uk) Ltd Providing access to structured stored data
EP3324664A1 (en) 2016-11-22 2018-05-23 Thomson Licensing Method, apparatus, and system for controlling acess to a local network
US10803190B2 (en) 2017-02-10 2020-10-13 BlueTalon, Inc. Authentication based on client access limitation
US10291602B1 (en) 2017-04-12 2019-05-14 BlueTalon, Inc. Yarn rest API protection
US10250723B2 (en) 2017-04-13 2019-04-02 BlueTalon, Inc. Protocol-level identity mapping
US10491635B2 (en) 2017-06-30 2019-11-26 BlueTalon, Inc. Access policies based on HDFS extended attributes
US11146563B1 (en) 2018-01-31 2021-10-12 Microsoft Technology Licensing, Llc Policy enforcement for search engines
US11005889B1 (en) 2018-02-02 2021-05-11 Microsoft Technology Licensing, Llc Consensus-based policy management
US11790099B1 (en) 2018-02-09 2023-10-17 Microsoft Technology Licensing, Llc Policy enforcement for dataset access in distributed computing environment

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898780A (en) * 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
JPH10336172A (ja) * 1997-06-04 1998-12-18 Kyushu Syst Joho Gijutsu Kenkyusho 電子認証用公開鍵の管理方法
JP3538527B2 (ja) * 1997-08-05 2004-06-14 株式会社東芝 無線通信システムおよび無線通信方法
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
DE60045850D1 (de) * 1999-10-22 2011-05-26 Nomadix Inc System und Verfahren zur Bereitstellung dynamischer Netzautorisierung, -authentifizierung und -abrechnung
JP2002202934A (ja) * 2000-12-28 2002-07-19 Daiwa Securities Group Inc ウェブページのレイアウト変更方法
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
JP2003016295A (ja) * 2001-06-28 2003-01-17 Nec Corp オンラインショッピング方法及びそのシステム並びにプログラム
US8484333B2 (en) * 2001-08-22 2013-07-09 Aol Inc. Single universal authentication system for internet services
US7363354B2 (en) * 2001-11-29 2008-04-22 Nokia Corporation System and method for identifying and accessing network services
CA2473793C (en) * 2002-02-28 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7191467B1 (en) 2002-03-15 2007-03-13 Microsoft Corporation Method and system of integrating third party authentication into internet browser code
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
JP2004355073A (ja) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク認証とシングルサインオンの一括認証方法及びシステム
CA2527831C (en) * 2003-06-30 2014-06-10 Telecom Italia S.P.A. A method for network selection in communication networks, related network and computer program product therefor
US20070113269A1 (en) * 2003-07-29 2007-05-17 Junbiao Zhang Controlling access to a network using redirection
FI120021B (fi) * 2003-08-27 2009-05-29 Nokia Corp Valtuustiedon hankkiminen
JP4579592B2 (ja) * 2004-06-25 2010-11-10 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報提供サービスシステムおよび方法
CN100397814C (zh) * 2004-07-13 2008-06-25 中国工商银行股份有限公司 一种基于网络的统一认证方法及系统
US7900247B2 (en) * 2005-03-14 2011-03-01 Microsoft Corporation Trusted third party authentication for web services
DE602005024000D1 (de) * 2005-09-30 2010-11-18 Alcyone Holding S A Verfahren und Vorrichtung zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung und einem Netzwerk
US7886343B2 (en) * 2006-04-07 2011-02-08 Dell Products L.P. Authentication service for facilitating access to services
JP5464794B2 (ja) * 2006-07-24 2014-04-09 コニカミノルタ株式会社 ネットワーク管理方法およびネットワーク管理システム

Also Published As

Publication number Publication date
JP2011505735A (ja) 2011-02-24
WO2009068956A3 (en) 2009-09-03
CA2706827A1 (en) 2009-06-04
CN101919221B (zh) 2015-09-30
US8386770B2 (en) 2013-02-26
CA2706827C (en) 2017-05-09
US20100281524A1 (en) 2010-11-04
RU2010126178A (ru) 2012-01-10
ITTO20070853A1 (it) 2009-05-27
JP5507462B2 (ja) 2014-05-28
RU2507702C2 (ru) 2014-02-20
CN101919221A (zh) 2010-12-15
EP2215802A2 (en) 2010-08-11
BRPI0820065A2 (pt) 2015-09-08
KR101518526B1 (ko) 2015-05-07
WO2009068956A2 (en) 2009-06-04

Similar Documents

Publication Publication Date Title
KR101518526B1 (ko) 서로 다른 조직에 속하는 사용자들에 대한 증명물 복제 없는 인증 방법
US10945127B2 (en) Exclusive preshared key authentication
US8448257B2 (en) Method and system for controlling context-based wireless access to secured network resources
US7792993B1 (en) Apparatus and methods for allocating addresses in a network
EP1614267B1 (en) Techniques for offering seamless accesses in enterprise hot spots for both guest users and local users
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
JP2006304285A (ja) 無線クライアントのロケーションに基づいて無線ネットワーク・アクセス特権を制御する方法および装置
JP2009514100A (ja) アクセス制御システム及びアクセス管理方法
KR20070032805A (ko) 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법
CN101764742A (zh) 一种网络资源访问控制系统及方法
JP2007219935A (ja) 分散認証システム及び分散認証方法
JP2008500632A (ja) アドホックアクセス環境を提供するネットワークシステムおよび方法
US10284562B2 (en) Device authentication to capillary gateway
WO2009074082A1 (fr) Procédé, système et dispositif de contrôle d&#39;accès
CN111885604B (zh) 一种基于天地一体化网络的认证鉴权方法、装置及系统
CN1783780B (zh) 域认证和网络权限认证的实现方法及设备
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
Poger et al. Secure Public Internet Access Handler ({{{{{SPINACH}}}}})
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
KR101471880B1 (ko) 클라이언트 인증 시스템
Varakliotis et al. The use of Handle to aid IoT security
JP2007287097A (ja) アクセス制御システム及び方法
US20230198976A1 (en) Devices and methods for incorporating a device into a local area network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180314

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200218

Year of fee payment: 6