KR20140095050A - 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 - Google Patents

이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 Download PDF

Info

Publication number
KR20140095050A
KR20140095050A KR1020147009432A KR20147009432A KR20140095050A KR 20140095050 A KR20140095050 A KR 20140095050A KR 1020147009432 A KR1020147009432 A KR 1020147009432A KR 20147009432 A KR20147009432 A KR 20147009432A KR 20140095050 A KR20140095050 A KR 20140095050A
Authority
KR
South Korea
Prior art keywords
request
authentication
redirect
information
terminal
Prior art date
Application number
KR1020147009432A
Other languages
English (en)
Inventor
서경주
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20140095050A publication Critical patent/KR20140095050A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명에 따르는 통신 시스템에서 단말이 사용자 승인을 하는 방법은 사용자 식별자를 포함하는 정보를 릴레이 파트(Rely Part, RP)에 송신하는 단계; 상기 RP로부터 OpenID 인증 요청을 포함하는 리다이렉트 요청 메시지를 수신하는 단계; 및 상기 리다이렉트 메시지를 기반으로 RP의 유효성을 검증하는 단계를 포함한다. 본 발명은 3GPP EPS 를 비롯한 진화된 이동 통신 시스템에서 일반 부트스트래핑 아키텍처 (Generic Bootstrapping Architecture) 및 관련 프로토콜과 기타 보안 관련 프로토콜, 그리고 Open ID 를 위한 지원하는 경우, 단말이 네트워크와 통신하는 과정에 있어서, 단말이 단일 사용자 승인 과정을 수행함에 있어서 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다. 따라서 본 발명을 통해 이동 통신 환경하에서 단말이 단일 사용자 승인 절차를 수행함에 있어 보다 안전하게 수행가능하도록 보안 관련 절차를 수행함으로써 단말이 보안 환경하 에서 단일 사용 승인 (Single sign-ON 이하 SSO 로 표기) 을 수행하여 사용자가 네트웍에 한번 로그온하여, 허가된 모든 자원에 접근하여 통신할 수 있는 이점이 있다.

Description

이동 통신 시스템 에서 단일 사용자 승인을 지원하는 관리 방법 및 장치{METHOD AND APPARATUS FOR SUPPORTING SINGLE SIGN-ON IN A MOBILE COMMUNICATION SYSTEM}
본 발명은 이동 통신 시스템에 대한 것으로서, 특히 단말이 이동통신 시스템과 연동하여 단일 사용자 승인 절차를 수행하는 과정을 효율적으로 지원하기 위한 방법 및 시스템에 관한 것이다.
사용자 단말(User Equipment, UE)을 통한 릴레이 파트(Rely Part, RP)와의 통신시 사용자 승인을 위해서 식별자를 전송하고 사용자를 승인하는 방안이 필요하였다.
하지만, 종래의 시스템 구조하에서는 단일 사용자 승인을 위하여 전송되는 식별자 및 검증 과정에 보안의 취약점 존재 한다. 즉 단일 사용자 승인이 가지는 취약점에 의해 피싱 공격 (pishing attack) 등에 취약하며, 이에 따라, 관련 절차 및 개선을 통해 단일 사용자 승인을 보다 효율적으로 지원하는 방법을 제안해야 할 필요가 있다.
본 발명은 3GPP EPS(Evolved Packet System) 를 비롯한 진화된 이동 통신 시스템에서 일반 부트스트래핑 아키텍처 (Generic Bootstrapping Architecture) 및 관련 프로토콜과 기타 보안 관련 프로토콜, 그리고 Open ID 를 위한 지원하는 경우, 단말이 네트워크와 통신하는 과정에 있어서, 단말이 단일 사용자 승인 과정을 수행함에 있어서 안전하고 효율적으로 지원하는 방법 및 장치를 제공하는 것을 그 목적으로 한다.
본 발명에 따르는 통신 시스템에서 단말이 사용자 승인을 하는 방법은 사용자 식별자를 포함하는 정보를 릴레이 파트(Rely Part, RP)에 송신하는 단계; 상기 RP로부터 OpenID 인증 요청을 포함하는 리다이렉트 요청 메시지를 수신하는 단계; 및 상기 리다이렉트 메시지를 기반으로 RP의 유효성을 검증하는 단계를 포함한다.
또한 본 발명의 다른 측면에 따르는 통신 시스템에서 사용자 승인을 위한 단말은 사용자 식별자를 포함하는 정보를 릴레이 파트(Rely Part, RP)에 송신하고, 상기 RP로부터 OpenID 인증 요청을 포함하는 리다이렉트 요청 메시지를 수신하는 송수신부; 및 상기 리다이렉트 메시지를 기반으로 RP의 유효성을 검증하는 제어부를 포함한다.
이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.
본 발명은 3GPP EPS 를 비롯한 진화된 이동 통신 시스템에서 일반 부트스트래핑 아키텍처 (Generic Bootstrapping Architecture) 및 관련 프로토콜과 기타 보안 관련 프로토콜, 그리고 Open ID 를 위한 지원하는 경우, 단말이 네트워크와 통신하는 과정에 있어서, 단말이 단일 사용자 승인 과정을 수행함에 있어서 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다.
따라서 본 발명을 통해 이동 통신 환경하에서 단말이 단일 사용자 승인 절차를 수행함에 있어 보다 안전하게 수행가능하도록 보안 관련 절차를 수행함으로써 단말이 보안 환경하 에서 단일 사용 승인 (Single sign-ON 이하 SSO 로 표기) 을 수행하여 사용자가 네트웍에 한번 로그온하여, 허가된 모든 자원에 접근하여 통신할 수 있는 이점이 있다.
또한 본 발명을 통해 EUTRAN (Evolved Universal Terrestrial Radio Access Network : 이하 EUTRAN 표기) 혹은 UTRAN (Universal Terrestrial Radio Access Network : 이하 UTRAN 표기) / GERAN (GSM/EDGE Radio Access Network : 이하 GERAN 으로 표기) 등과 같은 환경하에서 단말이 단일 사용자 승인 절차를 수행함에 있어 보다 안전하게 수행가능하도록 보안 관련 절차를 수행함으로써 단말이 보안 환경하 에서 단일 사용 승인 ( Single sign-ON 이하 SSO 로 표기) 을 수행하여 사용자가 네트웍에 한번 로그온하여, 기업 내의 허가된 모든 자원에 접근하여 통신할 수 있는 이점이 있다.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템 환경하에서의 단일 사용자 승인 (single Sign-on) 환경을 도시한 블록도이며
도 2는 본 발명 의 일 실시 예에 따른 단일 사용자 승인 과정의 절차를 나타낸 메시지 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
후술되는 본 발명의 요지는 이동 통신 시스템 환경하에서 단말이 단일 사용 승인을 함에 있어서 보다 안전한 단일 사용 승인 절차 및 관리하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP 를 기반으로 하는 EPS 시스템, UTRAN, GERAN 을 이용할 것이며, 본 발명은 다른 이동 시스템에서도 이용 가능할 것이다. 한편 본 발명에서는 단말을 단일 사용 승인 환경에 적합하도록 관련 정보를 처리하는 과정에 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다.
본 발명은 이동통신 네트워크에서 단일 사용 승인 ( Single sign-ON 이하 SSO 로 표기) 에 대한 것으로서 SSO는 사용자가 네트웍에 한번 로그온하여, 기업 내의 허가된 모든 자원에 접근할 수 있는 능력이다. SSO 프로그램은 사용자 아이디와 암호를 받아들여서, 적절한 모든 서버에 자동적으로 로그온 한다. 이에 본 발명에서는 단일 사용자 승인을 이동 통신 네트워크와 연동하여 수행하는 경우 발생하는 보안상의 문제를 프로토콜 및 기타 네트워크 엔티티 간 동작을 통해 해결 및 관리하는 방법 및 시스템에 대한 것으로서,
본 발명에 따른 프로토콜 메시지 및 동작을 이용하여 단일 사용자 환경에서 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말 (이하 UE 로 표기)과, 단말의 초기 보안 관련 정보를 셋업 (setup) 하는데 관여하는 범용 가입자 인증 모듈 센터 (Universal Subscriber Idnentity Module : 이하 USIM 으로 표기 : USIM center), 그리고, 인증 절차에 관여하는 홈 구독자 서버 ( Home Subscriber Server :이하 HSS 로 표기) 또는 인증 센터 (Authentication Center : 이하 AuC), 부트스트래핑 절차를 수행하는 BSF (Bootstrapping Server Function), Open ID authentication 서버 역할을 담당하는 OP( Open ID provider) /NAF (network application function), 웹 어플리케이션을 실행하며 유저를 사용자가 해당 식별자(identifier) 를 컨트롤하는지 검증하기를 원하는 RP (relaying party) 를 포함하며,
단말(UE)은 사용자를 식별하는 식별자(identifier)를 전송하고, 적정한 RP 인지와 적절한 OP 인지를 확인하고 자신에 의해 보내진 접속을 위한 트리거링인지를 파악하는 등의 과정을 통해서 단일 사용자 승인 과정을 수행함으로써 단말이 단일 사용자 승인 과정에서 발생할 수 있는 보안 문제를 해결할 수 있다.
따라서 본 발명을 통해 EUTRAN (Evolved Universal Terrestrial Radio Access Network : 이하 EUTRAN 표기) 혹은 UTRAN (Universal Terrestrial Radio Access Network : 이하 UTRAN 표기) / GERAN (GSM/EDGE Radio Access Network : 이하 GERAN 으로 표기) 등과 같은 환경하에서 단말이 단일 사용자 승인시 관련된 정보, 보안 정보 파라미터를 세팅 (setting) 하고 , 보안 관련 정보를 검증하고, 검증을 위해서 요청 메시지를 전송하는 절차를 수행함으로써 단말이 보안 환경하에서 단일 사용자 승인을 수행할 수 있는 이점이 있다.
한편 본 발명의 도 1에서 보는 바와 같이 도 1의 실시 예는 본 발명의 기본 목적인 단말이 EUTRAN 혹은 3GPP 환경하에서 단말이 단일 사용 승인 하는방법을 제안한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조 (architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능한 것은 자명한 것이다.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템 환경하에서의 단일 사용자 승인 (single Sign-on) 환경을 도시한 블록도이다.
여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다. 본 발명의 경우 EUTRAN 을 중심으로 기술하였으며, 이러한 방법은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다.
도 1을 참조하면, 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)은 기지국과 무선 접속을 설정하고 통신을 수행할 수 있다. UE (110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속할 수 있다.
UE(110) 은 모바일 장비(mobile Equipment : 이하 ME 로 표기) 및 SIM(Subscriber Identification Module)을 포함할 수 있다. 상기 모바일 장비는 사용자나 네트웍과 연동하여 통신을 위해 동작을 수행할 수 있다.
또한 상기 SIM은 사용자의 가입자 관련 정보 및 보안 정보 등의 저장, 관리 등에 관련되는 동작을 수행할 수 있다.
홈 구독자 서버(Home Subscriber Server :이하 HSS)는 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리할 수 있다. 상기 HSS(121)은 홈 위치 등록 서버 (Home location register: 이하 HLR 로 표기), AUC(인증센터:authentication center)를 포함할 수 있다.
부트스트래핑 서버 기능 (Bootstrapping Server Function : 이하 BSF 로 표기)(193)은 일반 부트스트래핑 아키텍쳐를 구성하기 위하여 부트스트래핑 절차에 관여할 수 있다 ,
네트웍 어플리케이션 기능 (Network Application function : 이하 NAF 로 표기)(191)은 어플리케이션을 수행할 수 있다. NAF(191)은 오픈 아이디 제공자(OpenID Provider : 이하 OP로 표기)를 포함할 수 있다.
또한 릴레잉 파티 ( Relaying Parth : 이하 RP )(195)는 단일 사용자 승인 절차에 관여하는 엔티티이다. RP(195)는 사용자가 식별자(identifier)를 사용하는지에 대한 증거를 원하는 웹 어플리케이션 (application )을 포함한다.
또한 상기 OP 는 오픈 아이디 인증 서버 기능을 수행하는 엔티티이다.
따라서, 실시 예에서는 이동 통신 및 인터넷 통신에서 사용되는 프로토콜을 기반으로 UE(110), HSS (121), BSF (193), NAF/OP(191), RP(195) 등 기타 네트웍 엔티티가 사용자의 단일 사용 승인을 좀더 안전하게 동작할 수 있는 방안을 제안한다.
UE(110), HSS (121), BSF (193), NAF/OP(191), RP(195)는 각각 다른 구성요소와 데이터를 송수신 할 수 있는 송수신부 및 상기 송수신부를 통해 수신된 데이터를 기반으로 판단하고, 상기 판단 결과에 따른 결과 값을 상기 송수신부를 통해 송수신 할 수 있는 제어부를 포함한다.
도 2는 본 발명 의 일 실시 예에 따른 단일 사용자 승인 과정의 절차를 나타낸 메시지 흐름도 이다.
도 1 및 도 2를 참조하면, 201 단계에서 UE(110)는 브라우저를 통해서 RP(195)로 사용자 식별자(아이덴티파이어:identifier)를 포함하는 신호를 보낼 수 있다. 상기 식별자를 보내는 과정에는 IMPU (IP Multimdia Public Identity) 가 사용될 수 있다. 상기 식별자를 보내는 과정에서 상기 IMPU를 사용하는 경우 상기 IMPU 뿐 아니라 상기 IMPU를 단말의 보안키(Ks) 등의 값을 기반으로 암호화 한 값을 함께 RP(195)로 전송할 수 있다.
한편 다른 실시예로 상기 사용자 식별자를 전송하는 과정에서 IMPI (IP Multimedia Private Identity) 또는 IMSI(International Mobile Station Identity) 로부터 유도된 IMPI 등도 사용될 수 있다.
한편 다른 일 실시예로서 상기 전송 과정에서 UE(110)는 URL 혹은 Extensible Resource Identifier(확장된 리소스 지시자) 등의 다른 형태의 indentifier를 사용하여 RP(195)에 식별자를 전송할 수 있다. 또한 상기 전송 과정에서 UE(110)는 해당 UE 임을 검증하는데 사용되는 값이나 보안키로 암호화 한 하여 검증할 수 있는 값을 포함하여 RP(195) 포함될 수 있다.
단계 203에서 RP(195)는 단계 201에서 수신한 신호를 기반으로 OP(191)의 주소를 조회할 수 있다. 상기 OP(191)는 NAF를 포함할 수 있다
단계 205에서는 RP(195)는 상기 203 단계에서 조회된 OP/NAF(191) 사이에서 공유 비밀 (shared secret) 정보를 설정할 수 있다.
단계 207에서는 RP(195)가 UE(110)에 상기 단계 205에서 공유 비밀OP(191)로 UE(110)의 브라우저를 리다이렉트(redirect) 하도록 요청하는 정보를 포함한 신호를 전달할 수 있다. 상기 신호는 OpenID 인증 요청 (OpenID authentication request)를 포함할 수 있다.
단계 209에서 상기 단계 207에서 수신한 신호를 기반으로, UE(110)는 RP(195)가 단계 203에서 OP(191)의 주소를 검색한 RP(195)가 적절한 RP인지 검증할 수 있다. 상기와 같은 동작을 RP의 유효성을 검증한다고 할 수 있다. 실시 예에 따라 UE(110)는 상기 RP(195)의 이름과 주소가 정확한지 검증하고, RP(195)에 대응되는 URL (Uniform Resource Locator)이 정확한지도 검증할 수 있다. 상기 RP(195)의 주소는 IP주소를 포함할 수 있다. 즉 자원에 접근하는데 필요한 프로토콜의 이름, 인터넷에서 특정한 컴퓨터를 식별하기 위한 도메인 이름, 그리고 컴퓨터 파일의 위치를 계층적으로 나타낸 경로명 중 하나 이상의 정보를 기반으로 상기 RP(195)가 통신을 하기 적합한지 검증할 수 있다. 또한 실시 예에 따라 단말(110)은 적합한 RP에 대한 허용리스트(whitelist)를 저장할 수 있으며, 상기 허용리스트를 기반으로 RP(195)가 통신을 하기 적합한지 검증할 수 있다.
단계 211에서 UE(110)는 상기 단계 207에서 수신한 신호를 기반으로 자신이 단계 201에서 보낸 아이덴티티에 대응하는 신호가 수신되었는지 검증할 수 있다. 만일 단계 201에서 UE(110)가 IMPU 및 IMPU를 보안키로 암호화된 값이 보내졌다면, IMPU 를 상기 보안키로 암호화 한 것을 해독하고, 상기 해독한 값을 기반으로 UE(110)는 상기 아이덴티티가 자신으로부터 보내진 것임을 알 수 있다.
실시 예에 따라 단계 211를 수행하기 위해 단말은 단계 219와 같은 부트스트래핑 과정이 필요한 경우가 있다. 한편 해당 UE(110) 임을 검증하는데 사용되는 값이 상기 신호에 플레인 상태로 포함되어 전송된 경우 그 값을 기반으로 단말(110)이 보낸 아이덴티티를 검증하거나 보안키로 암호화 한 값에 대하여 상기 아이덴티티를 검증할 수 있다.
단계 213에서 단말(110)은 상기 단계 207에서 수신한 신호를 기반으로 상기 단계 203에서 RP(195)가 검색된 OP(191)가 적합한 OP인지 검증할 수 있다. 상기와 같은 절차를 OP(191)의 유효성을 검증하는 절차라 할 수 있다. 즉 인증 메시지의 목적지로 설정된 OP(191) 로 해당 요청을 전송하는 것이 맞는지 검증하게 된다. 실시 예에 따라 상기 OP(191)의 적합성 여부는 UE(110)에 기 설정 될 수 있으며, 망 사업자의 설정에 의해 변경될 수 있다.
단계 209 내지 단계 213에서 각 구성 요소가 통신을 위해 적합한 것이 판단될 경우 단계 215에서 UE(110)은 단계 207에서 수신된 신호를 기반으로 OP(191)로 HTTPS GET 메시지를 송신 할 수 있다.
단계 217에서 NAF는 단계 215에서 수신한 HTTPS GET 메시시를 기반으로 UE 인증 과정(authneticaiton request) 을 시작할 수 있다.
단계 219에서 UE(110)는 BSF(193)와 부트스트래핑 과정을 수행하게 되고 이후 단계 221에서 UE(110) 는 부트스트래핑 트랜젝션에 사용되는 B-TID (bootstrapping transaction identifier) 를 포함하는 HTTPS request 메시지를 OP/NAF(191) 로 전송할 수 있다.
단계 221에서 전송된 메시지를 기반으로 단계 223에서 OP/NAF(191) 와 BSF(193)는 사용자 인증을 위한 과정을 할 수 있다.
한편 단계 225에서 OP/NAF(191)는 인증 확인과 함께 RP(195) 로 UE(110)의 브라우저를 리다이렉트(redirect) 하도록 요청하는 신호를 송신할 수 있다. 이때 OP/NAF(191)는 RP(195) 와 공유한 키에 의해서 검증을 위한 코드(message authentication code) 나 타임 스탬프 (time stamp) 등을 암호화 해서 전송하거나 디지털 서명을 함께하여 전송할 수 있다.
단계 227 과정에서 UE(110)는 단계 225에서 수신한 신호를 기반으로 통신을 할 RP(195) 가 정당한 것인지 검증할 수 있다. 이렇게 하기 위해선 상기 단계 225에서 단계 229으로 OP/NAF(191)에서 RP(195)로 메시지가 암호화 되어 리다이렉트 되는 경우 중간 노드인 UE(110) 가 RP(195) 가 정당한 메시지 수신자임을 확인하기 위하여 OP/NAF(191) 에서 전송되는 메시지에 RP(195)에 대응되는 주소나 이름(name)을 포함시켜 전송할 수 있다.
UE(227)는 수신한 정보를 기반으로 RP(195)가 정당한 것인지 확인한 후 상기 RP(195)로 메시지를 리다이렉트 할 수 있다. 상기 메시지에는 인종 확인이 포함될 수 있다.
이후 단계 229에서 UE(110)는 RP(195)로 인증 확인과 함께 RP(195)로 UE(110)의 브라우저를 리다이렉트 할 수 있다.
단계 231에서 RP(195)는 상기 수신된 인증 확인을 기반으로 상기 인증 확인을 송신한 UE(110)가 적합한 UE(110)인지 검증할 수 있다. 실시 예에 따라 RP(195)는 단계 229에서 수신한 메시지가 정당한지 서명을 검증하거나 혹은 검증을 위한 코드나 타임 스탬프 값 등을 비교하여 상기 UE(110)검증할 수 있다. 이와 상기의 단계를 통해 단일 사용자 승인 과정이 이루어 지고, 이후 승인된 엔티티 사이에 데이터 통신이 진행될 수 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (14)

  1. 통신 시스템에서 단말이 사용자 승인을 하는 방법에 있어서,
    사용자 식별자를 포함하는 정보를 릴레이 파트(Rely Part, RP)에 송신하는 단계;
    상기 RP로부터 OpenID 인증 요청을 포함하는 리다이렉트 요청 메시지를 수신하는 단계; 및
    상기 리다이렉트 메시지를 기반으로 RP의 유효성을 검증하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 RP의 유효성을 검증하는 단계는
    상기 RP에 대응되는 URL, 이름 및 주소 중 하나를 기반으로 상기 RP의 유효성을 검증하는 단계를 포함하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 리다이렉트 요청 메시지를 기반으로 상기 OpenID 인증 요청이 상기 단말이 송신한 사용자 식별자 정보에 대응하는지 검증하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 리다이렉트 요청 메시지를 수신하는 단계는 리다이렉트 될 오픈 아이디 제공자(OpenID Provider, OP)정보를 포함하는 메시지를 수신하는 것을 포함하고,
    상기 리다이렉트 될 OP의 유효성을 검증하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    상기 리다이렉트 요청 메시지를 기반으로 오픈 아이디 제공자(OpenID Provider, OP)에 인증 요청을 전송하는 단계; 및
    상기 OP로부터 인증 승인 정보 및 RP로 리다이렉트를 요청하는 정보를 수신하는 단계를 더 포함하는 방법.
  6. 제5항에 있어서,
    상기 인증 승인 정보를 기반으로 RP에 인증 요청을 하는 단계를 더 포함하는 방법.
  7. 제5항에 있어서, 상기 OP에 인증 요청을 하는 단계는
    상기 OP에 HTTP GET 요청을 하는 단계;
    상기 HTTP GET 요청을 기반으로 인증 요청을 상기 OP로부터 수신하는 단계;
    상기 인증 요청을 기반으로 부트스트래핑 서버와 부트스트래핑을 하는 단계; 및
    상기 부트스트래핑에 따라 획득된 부트스트래핑 트랜젝션 아이디를 상기 OP 전송하는 단계를 포함하는 방법.
  8. 통신 시스템에서 사용자 승인을 위한 단말에 있어서,
    사용자 식별자를 포함하는 정보를 릴레이 파트(Rely Part, RP)에 송신하고, 상기 RP로부터 OpenID 인증 요청을 포함하는 리다이렉트 요청 메시지를 수신하는 송수신부; 및
    상기 리다이렉트 메시지를 기반으로 RP의 유효성을 검증하는 제어부를 포함하는 단말.
  9. 제8항에 있어서,
    상기 제어부는 상기 RP에 대응되는 URL, 이름 및 주소 중 하나를 기반으로 상기 RP의 유효성을 검증하는 것을 특징으로 하는 단말.
  10. 제8항에 있어서,
    상기 제어부는 상기 리다이렉트 요청 메시지를 기반으로 상기 OpenID 인증 요청이 상기 단말이 송신한 사용자 식별자 정보에 대응하는지 검증하는 것을 특징으로 하는 단말.
  11. 제8항에 있어서,
    상기 송수신부는 리다이렉트 될 오픈 아이디 제공자(OpenID Provider, OP)정보를 포함하는 메시지를 수신하고,
    상기 제어부는 상기 리다이렉트 될 OP의 유효성을 검증하는 것을 특징으로 하는 단말.
  12. 제8항에 있어서,
    상기 송수신부는 상기 리다이렉트 요청 메시지를 기반으로 오픈 아이디 제공자(OpenID Provider, OP)에 인증 요청을 전송하고, 상기 OP로부터 인증 승인 정보 및 RP로 리다이렉트를 요청하는 정보를 수신하는 것을 특징으로 하는 단말.
  13. 제12항에 있어서,
    상기 송수신부는 상기 인증 승인 정보를 기반으로 RP에 인증 요청을 하는 것을 특징으로 하는 단말.
  14. 제5항에 있어서,
    상기 송수신부는 상기 OP에 HTTP GET 요청을 하고, 상기 HTTP GET 요청을 기반으로 인증 요청을 상기 OP로부터 수신하고, 상기 인증 요청을 기반으로 부트스트래핑 서버와 부트스트래핑을 하고, 상기 부트스트래핑에 따라 획득된 부트스트래핑 트랜젝션 아이디를 상기 OP 전송하는 것을 특징으로 하는 단말.
KR1020147009432A 2011-10-28 2012-10-29 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 KR20140095050A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161552673P 2011-10-28 2011-10-28
US61/552,673 2011-10-28
PCT/KR2012/008949 WO2013062393A1 (ko) 2011-10-28 2012-10-29 이동 통신 시스템 에서 단일 사용자 승인을 지원하는 관리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20140095050A true KR20140095050A (ko) 2014-07-31

Family

ID=48168122

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147009432A KR20140095050A (ko) 2011-10-28 2012-10-29 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치

Country Status (3)

Country Link
US (1) US9485654B2 (ko)
KR (1) KR20140095050A (ko)
WO (1) WO2013062393A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
CN109145039B (zh) * 2017-12-25 2022-01-28 北极星云空间技术股份有限公司 一种适用于联邦制工作流集成的ui桥接的方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7457950B1 (en) * 2000-09-29 2008-11-25 Intel Corporation Managed authentication service
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
WO2006121854A2 (en) 2005-05-06 2006-11-16 Verisign, Inc. Token sharing system and method
US8413221B2 (en) * 2007-03-23 2013-04-02 Emc Corporation Methods and apparatus for delegated authentication
KR20100040413A (ko) 2008-10-10 2010-04-20 주식회사 케이티 오픈아이디를 지원하는 단일 사용승인 아이디 인증 방법

Also Published As

Publication number Publication date
WO2013062393A1 (ko) 2013-05-02
US9485654B2 (en) 2016-11-01
US20140308925A1 (en) 2014-10-16

Similar Documents

Publication Publication Date Title
US8347090B2 (en) Encryption of identifiers in a communication system
US8522025B2 (en) Authenticating an application
EP3120591B1 (en) User identifier based device, identity and activity management system
JP2017126987A (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
EP3180934B1 (en) Methods and nodes for mapping subscription to service user identity
EP3143780B1 (en) Device authentication to capillary gateway
JP2008529368A (ja) 通信システムにおけるユーザ認証及び認可
US11711693B2 (en) Non-3GPP device access to core network
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
US8442527B1 (en) Cellular authentication for authentication to a service
KR20200130106A (ko) 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법
KR20200130141A (ko) 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법
US9485654B2 (en) Method and apparatus for supporting single sign-on in a mobile communication system
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid