FI121646B - Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan - Google Patents

Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan Download PDF

Info

Publication number
FI121646B
FI121646B FI20070595A FI20070595A FI121646B FI 121646 B FI121646 B FI 121646B FI 20070595 A FI20070595 A FI 20070595A FI 20070595 A FI20070595 A FI 20070595A FI 121646 B FI121646 B FI 121646B
Authority
FI
Finland
Prior art keywords
authentication
identity
idp
connection
main terminal
Prior art date
Application number
FI20070595A
Other languages
English (en)
Swedish (sv)
Other versions
FI20070595A (fi
FI20070595A0 (fi
Inventor
Paavo Lambropoulos
Original Assignee
Teliasonera Finland Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Finland Oyj filed Critical Teliasonera Finland Oyj
Priority to FI20070595A priority Critical patent/FI121646B/fi
Publication of FI20070595A0 publication Critical patent/FI20070595A0/fi
Priority to PCT/FI2008/050452 priority patent/WO2009019325A1/en
Priority to EP08787725A priority patent/EP2183901A4/en
Publication of FI20070595A publication Critical patent/FI20070595A/fi
Application granted granted Critical
Publication of FI121646B publication Critical patent/FI121646B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)

Description

MENETELMÄ JA JÄRJESTELMÄ KÄYTTÄJÄIDENTITEETIN HALLINTAAN
KEKSINNÖN ALA
5 Esillä oleva keksintö liittyy käyttäjäidenti- teetin hallintaan telekommunikaatiojärjestelmässä, ja erityisesti modulaariseen autentikointijärjestelmään, jota käytetään federoidun identiteettikehyksen (Identity Federated Framework) yhteydessä.
10
KEKSINNÖN TAUSTA
Käyttäjäidentiteettien hallinnasta on tullut keskeinen toiminto sähköisen kaupankäynnin ja sähköisen hallinnoinnin sovelluksissa. Nykyään käyttäjien 15 identiteetit ovat fragmentoituneet Internetissä eri paikkoihin ja käyttäjällä on-useita tilejä, tyypillisesti käyttäjätunnus/salasana, eri palveluihin aiheuttaen epämiellyttävän palvelun käyttökokemuksen.
; Liberty Alliance on määritellyt ID-FF:n (Identity 20 Federation Framework) mahdollistaakseen tilin fede-roinnin ja kertakirjautumiskokemuksen käyttäjälle.
Liberty Alliance on laajaperustainen teolli-suusstandardikonsortio, joka kehittää federoitua identiteetin hallintaa ja verkkopalveluiden yhteysproto-25 kollia. Tässä federoidussa mallissa useat osapuolet, kuten kuluttajat, kansalaiset ja hallinnot voivat suorittaa verkkopohjaisia transaktioita, kun erilaiset o laitteet ja identiteetit on linkitetty federaatiolla cm ja suojattu yleisellä vahvalla autentikoinnilla. Fede- 30 rointiprosessissa käyttäjä päättää, tahtooko hän cd päästä jokaiselle palveluntarjoajalle ilman uudella leenautentikoitumista. Tämän oikeuden mahdollistava
CC
ehto on, että käyttäjän tulee autentikoitua Identitee-
LO
σ> tintarjoajalla, joka on Palveluntarjoajan tunnustama.
ft? 35 Liberty Alliancen yhteydessä kertakirjau- o ^ Luminen (SSO) on prosessi, jossa käyttäjä kykenee 2 kirjautumaan yksittäiselle tilille ja pyytämään palveluita useilta palveluntarjoajilta "Luottamusrin-gin" joukosta. SSO-prosessissa Identiteetintarjoaja (IdP) on tärkeimmässä roolissa ja autentikoi 5 käyttäjän, luo vakuudet käyttäjälle ja järjestää vakuustiedot Palveluntarjoajille. Liberty Alliance on määritellyt erilaisia autentikointikontekstiluokkia mahdollistamaan Palveluntarjoajan pyytämään erilaista autentikointia IdP:ltä.
10 Operaattorin näkökulmasta tämä tekee tuen muodostamisen erilaisille autentikointikonteksti-luokille erityisen hankalaksi. Tietoliikenneoperaat-torin saattavat tarjota useita tapoja liittyä Internetiin, esimerkiksi matkapuhelinverkon kautta tai 15 kannettavalla/pöytätietokoneella yhdistettynä erilaisiin autentikointimenetelmiin, kuten SIM-kortit, käyttäjätunnus/salasanat, kertakäyttösalasanat, jne. Jokainen autentikointitapa tarvitsee erilaisen tuen operaattorin taustajärjestelmissä. Tavallisesti 20 jokainen muutos taustajärjestelmiin vaatii runsaasti päivittämistä ja ristiintarkistuksia lukemattomien järjestelmien välillä, jotka ovat riippuvaisia kyseisestä taustajärjestelmästä.
25 KEKSINNÖN LYHYT KUVAUS
Esillä olevan keksinnön kohteena on luoda menetelmä ja järjestelmä menetelmän toteuttamiseksi 0 ^ joilla poistetaan edellä kuvattu ongelma tai ainakin ^ lievennetään sitä. Keksinnön kohteet saavutetaan mene-
(M
V 30 telmällä ja telekommunikaatiojärjestelmällä käyttäjän
CD
i- hallintaan, jotka on tunnettu siitä, mitä on esitetty c itsenäisissä vaatimuksissa. Keksinnön edulliset
CL
sovellukset on esitetty epäitsenäisissä vaatimuksissa.
01 m Esillä olevan keksinnön mukainen menetelmä o o 35 toimii telekommunikaatiojärjestelmässä, johon kuuluu
O
^ ensisijainen päätelaite, autentikointijärjestelmä,
Identiteetintarjoajapalvelin sekä palveluntarjoaja,
F
3 joka on jäsen Luottamusringissä. Menetelmään kuuluu vaiheet.· a) Myönnetään pääsy verkkoon mainitulle ensisijaiselle päätelaitteelle yhteysspesifisellä järjes- 5 telmällä. Ensisijainen päätelaite voi olla matkapuhelin, tietokone, PDA-laite tai vastaava, joka on konfiguroitu liittymään Internetiin joko langallisella tai langattomalla yhteydellä.
b) Autentikoidaan ja autorisoidaan mainittu 10 ensisijainen päätelaite autentikointijärjestelmässä.
Autentikointijärjestelmä sijaitsee tavallisesti operaattorin tiloissa ja on yhdistetty samaan verkkoon kuin ensisijainen päätelaite.
c) Mainittu ensisijainen päätelaite pyytää 15 pääsyä palveluntarjoajalle. Tämä vaihe voidaan tehdä joko aktiivisesti tai passiivisesti. Passiivisella tavalla käyttäjällä ei ole minkäänlaista dialogia käyttöliittymän kanssa pääsyn pyytämisestä, aktiivisella tavalla käyttäjän tulee valita palveluntarjoaja 20 johon haluaa yhteyden.
d) Ohjataan uudelleen ensisijaisen päätelaitteen yhteys mainitulle Identiteetintarjoajapalveli- melle.
e) Identiteetintarjoaja tiedustelee käyttä- 25 jäidentiteettiä autentikointijärjestelmältä.
f) Käyttäjäidentiteetti palautetaan Identi-teetintarjoajalle ja identiteetin vakuus luodaan.
o g) Uudelleenohjataan pyyntö vaiheesta e) yhteysspesifiselle autentikointimoduulille, joka on 30 yhdistetty autentikointijärjestelmään; i cd h) autentikointimoduuli selvittää käyttäjän x identiteetin vasteena yhteysspesifiselle tiedolle.
CC
Eräässä keksinnön sovelluksessa Identiteetin- LO .... ...
σ> tarjoajapalvelm, tiedusteltuaan kayttä]aidentiteettiä ° 35 autentikointijärjestelmältä, tunnistaa autentikointi-
O
° pyynnön palveluntarjoajalta ja pyytää pääsyautenti- 4 kointidataa yhteysspesifiseltä autentikointimoduu-lilta.
Eräässä keksinnön sovelluksessa ensisijainen päätelaite autentikoidaan RADIUS-järjestelmällä. Ensi-5 sijaiseen päätelaitteeseen liittyvä liittymätieto voidaan kerätä RADIUS-tietokantaan.
Eräässä keksinnön sovelluksessa käyttäjäiden-titeetti palautetaan Identiteetintarjoajan palvelimelle ja identiteetin vakuus luodaan 10 yhteysspesifisellä autentikointimoduulilla, joka vastaanottaa pyynnön Identiteetintarjoajan palvelimelta ja selvitetään ensisijaisen päätelaitteen identiteetti, jolla on spesifinen IP-osoite tiedustelemalla sitä RADIUS-palvelimen tietokannasta.
15 Keksinnön mukaiseen järjestelmään kuuluu seu- raavat elementit: ensisijainen päätelaite, autenti- kointi- ja autorisointijärjestelmä, joihin kuuluu välineet mainitun ensisijaisen päätelaitteen autenti-kointiin ja autorisointiin ja palauttamaan käyttä-20 jäidentiteetin Identiteetintarjoajan palvelimelle, Identiteetintarjoajan palvelin käsittäen välineet käyttäjäidentiteetin pyytämiseksi autentikointijärjestelmältä ja identiteetin vakuuden luomiseen, palveluntarjoaja, joka on federoidun identiteettikehyksen 25 (identity federated framework) jäsen. Järjestelmään kuuluu edelleen välineet mainitun ensisijaisen päätelaitteen pääsypyynnön käsittelemiseksi ja ° välineet ensisijaisen päätelaitteen yhteyden o . ...
w uudelleenohjaamiseksi mainitulle Identiteetintarjoajan ^ 30 palvelimelle, yhteysspesifinen järjestelmä johon kuuluu välineet verkkoyhteyden myöntämiseksi x mainitulle ensisijaiselle päätelaitteelle. Keksinnön °· mukaisesti järjestelmään kuuluu yhteysspesif inen m σ> autentikointimoduuli yhdistettynä ° 35 autentikointijärjestelmään, jossa on välineet pyynnön
O
^ vastaanottamiseksi Identiteetintarjoajan palvelimelta 5 ja välineet käyttäjän identiteetin selvittämiseksi vasteena yhteysspesifiselle informaatiolle.
Keksinnön sovelluksessa Identiteetintarjoajan palvelimessa on välineet autentikointipyynnön tunnis-5 tamiseksi palveluntarjoajalta ja välineet pääsyauten-tikointidatan pyytämiseksi yhteysspesifiseltä auten-tikointimoduulilta. Autentikointijärjestelmään kuuluu välineet ensisijaisen päätelaitteen autentikoimiseksi RADIUS-järjestelmässä.
10 Keksinnön sovelluksessa autorisointijärjestelmään kuuluu välineet ensisijaiseen päätelaitteeseen liittyvän liittymätiedon keräämiseksi RADIUS-tietokantaan .
Järjestelmän sovelluksessa yhteysspesifinen 15 autentikointimoduuli käsittää välineet pyynnön vastaanottamiseksi Identiteetintarjoajapalvelimelta ja välineet pyytämään identiteettiä ensisijaiselta päätelaitteelta, jolla on spesifinen IP-osoite, joka on pyydetty RADIUS-palvelimen tietokannasta.
20 Liberty Alliance on määritellyt ID-FF:n (Identity Federation Framework) mahdollistaakseen tilin federoinnin ja kertakirjautumiskokemuksen käyttäjälle. Kertakirjautumisprosessissa IdP (Identiteetin-tarjoaja) on tärkeimmässä roolissa ja autentikoi käyt-25 täjän, luo vakuudet käyttäjälle ja järjestää vakuustiedot Palveluntarjoajille. Liberty on määritellyt erilaisia autentikointikontekstiluokkia mahdollis- ^ tamaan Palveluntarjoajan pyytämään erilaista o autentikointia IdP:Itä. Esillä oleva keksintö esittää 30 miten nämä autentikointikontekstiluokat voidaan koh- i distaa erilaisille autentikointimenetelmille ja miten x IdP palvelinjärjestelmä voidaan suunnitella modulaari- sesti.
LO
g Tämä keksintö esittelee modulaarisen mekanisti 35 min, jolla toteutetaan standardi Liberty Allianceen o ° perustuva identiteetin hallinta yhdistämällä toisiinsa fragmentoitunut pääsyn autentikointi ja Liberty ID-FF-
S
6 autentikointi, tehden mahdolliseksi Libertyn rajapintojen yhdistämisen minkä tahansa operaattorin pää-synautentikointijärjestelmään. Tämä keksintö tulee esittelemään modulaarisen arkkitehtuurin IdP-toimin-5 nallisuuden laajentamiseksi uudella autentikointijär jestelmällä ilman muutoksia ydin-IdP-arkkitehtuuriin. Keksintö kattaa sekä ei-käyttäjä-interaktiiviset ja käyttäjäinteraktiiviset menetelmät toteuttaakseen autentikointimoduulin verkon pääsyjärjestelmän ja 10 IdP:n välillä. Uusia autentikointikontekstiluokkia voidaan tukea lennosta vain lisäämällä uusi autentikointimoduuli järjestelmään ja konfiguroimalla IdP-palvelin.
15 PIIRROKSEN LYHYT KUVAUS
Seuraavassa keksintöä kuvataan yksityiskohtaisemmin viitaten liitteen piirroksissa kuvitettuihin sovelluksiin, joissa
Kuva 1 on kaaviomainen näkymä toiminnalli-20 sesta ympäristöstä,
Kuva 2 on kaaviomainen näkymä keksinnön mukaisesta arkkitehtuurista,
Kuva 3 on kaaviomainen esimerkki ei-interak-tiivisesta autentikoinnista, 25 Kuva 4 on kaaviomainen esimerkki autentikoin nista, joka hyödyntää kertakäyttösalasanan menetelmää,
Kuva 5 on signalointikaavio kertakirjautumis- δ menetelmästä tunnetun tekniikan tason mukaisesti, c\j
Kuva 6 on signalointikaavio esillä olevan 1 30 keksinnön mukaisesta menetelmästä, ja
co ' J
Kuva 7 on signalointikaavio esillä olevan
X
£ keksinnön toisesta sovelluksesta.
io
CD
g - YKSITYISKOHTAINEN KUVAUS
O
o 35 Kuvassa 1 on esitetty toimintaympäristö ja olennaiset toimijat. Ensisijainen päätelaite PT on yh- 7 distetty IP-verkkoon. Ensisijainen päätelaite PT voi olla esimerkiksi käyttäjän päätelaite, yhdistettynä käyttäjän identiteettiin tai muuhun kokonaisuuteen, jolla voi olla identiteetti, kuten auto, mikä tahansa 5 kodinkone kuten pesukone, viihdejärjestelmä, hälytysjärjestelmä, jne.
Palveluntarjoaja SP on myös yhdistetty IP-verkkoon. Palveluntarjoajat ovat käyttäjille palveluita tarjoavia organisaatioita, kuten Internet-por-10 taaleja, jälleenmyyjiä, kuljetuspalvelun tarjoajia, finanssi-instituutioita, viihdeyhtiöitä, ei- kaupallisia organisaatioita, valtionhallinnon laitoksia, jne. Identiteetintarjoajät IdP ovat palveluntarjoajia, jotka jakavat ensisijaisen 15 päätelaitteen PT todellista identiteettiä muille palveluntarjoajille, luoden näin Luottamusringin (Circle of Trust) eri kokonaisuuksien välille. Luottamusringin muodostamista on selvitetty edelleen Liberty Alliancen dokumentaatiossa, kuten Liberty ID-20 FF Architecture Overview, draft-liberty-idff-arch-overview-l.2-errata-vl.0.pdf, saatavilla osoitteesta ww w. p r o j e c 11 i be r t y . o r g .
Liberty Alliance ei selkeästi määrittele miten palveluntarjoajan tulisi prosessoida identiteetit 25 ensisijaiselle päätelaitteelle ja miten ensisijaiset päätelaitteet autentikoituvat identiteetintarjoajalle. Nämä vaatimukset jätetään määriteltäviksi palvelun ^ luonteen, vaihdettavan informaation arkuuden, liitty- o cm van rahallxsen arvon, palveluntarjoajan riskitolerans- i ^ 30 sin ja vastaavien mukaan.
Autentikointikonteksti on määritelty infor- x maatioksi, jota palveluntarjoaja voi itse autentikoin- tivakuuden lisäksi vaatia ennen kuin se tekee oikeuk-
LO
sista paatoksen suhteessa autentikointivakuuteen. Ku- ° 35 vassa 1 nämä erilaiset autentikointitaustajärjestelmät o ^ on kuvattu ABlrstä AB5:een, havainnollistaen liitäntä teknologioita kuten GPRS, DSL, MSSP, tai jokin muu 8 järjestelmä jota käyttäjä käyttää liittyäkseen verkkoon. Kun nämä liitäntäteknologiat on yhdistetty erilaisiin autentikointijärjestelmiin, kuten käyttäjätunnus-salasana, kertakäyttösalasana, SIM- tai äly-5 korttipohjäinen autentikointi, PKI-autentikointi, au-tentikointikontekstiluokka pitää konfiguroida kaikkiin näihin kombinaatioihin. Erilaiset konfiguraatiot erilaisille autentikointikonteksteille on käsitelty au-tentikointimoduuleilla AM1...AM3. Liberty Alliancen 10 mukaan erilaisten autentikointikontekstiominaisuuksien permutaatioiden lukumäärä takaa teoriassa äärettömän määrän yksilöllisiä autentikointikonteksteja. Johtopäätös on, että teoriassa luottavan osapuolen odotettaisiin kykenevän jäsentämään satunnaisia autentikoin-15 tikontekstilauseita, ja erityisesti analysoimaan lause arvioidakseen liitetyn autentikointivakuuden 'laatua'. Tämä järjestelmä on optimoitu määrittelemällä joukko erilaisia Autentikointikontekstiluokkia. Jokainen luokka määrittelee riittävän alijoukon täydestä mää-20 rästä autentikointikonteksteja. Identiteetintarjoaja voi sisällyttää palveluntarjoajalle toimittamaansa kokonaiseen autentikointikontekstilauseeseen vakuuden, että autentikointikonteksti kuuluu myös yhteen Libertyn määrittelemistä autentikointiluokista. Joil-25 lekin palveluntarjoajille tämä vakuus on riittävä yksityiskohta, jotta se voidaan osoittaa sopivaksi luottamuksen tasoksi liitetylle autentikointivakuu-delle.
^ Kuvassa 2 on kaaviomainen kuvaus esillä ole- C\1
V 30 van keksinnön mukaisesta arkkitehtuurista. ID-FF
API:in kuuluu autentikointipluginmoduuleja, jotka on ^ yhdistetty jokaiseen autentikointimoduuliin, kuten 0_ käyttäjätunnus/salasana, kertakäyttösalasana, GPRS-au-io g torisoinnin delegointi, ΕΑΡ-SIM, EAP-AKA tai MSSP. ID- 35 FF API :11a on IdP-toiminnallisuus, johon kuuluu jo- cm ka ista IdP:n käsittelemää autentikointikontekstiluok- 9 kaa vastaava vakuuden luonti. ID-FF API:in kuuluu myös tieto IdP:n konfiguraatiosta ja federointitaulukoista.
Kuvassa 3 on esimerkki ei-interaktiivisesta käyttäjän pääsyn autentikoinnista ja Liberty ID-FF au-5 tentikoinnista. Seuraavan tekstin numerointi viittaa tietovuota kuvaaviin nuoliin kuvassa 3.
1. Käyttäjä pyytää pääsyä IP-verkkoon, tässä esimerkissä PDP-konteksipyyntö GPRS-verkkoon.
2. Käyttäjä autentikoidaan taustan RADIUS-10 järjestelmässä ja käyttäjälle allokoidaan IP-osoite jotta saadaan käyttäjälle pääsy Internetiin (Auto-risointiprosessi). Tilin tiedot kerätään RADIUS-tieto-kantaan, johon sisältyvät IP-osoite ja MSISDN.
3. Käyttäjä yhdistyy Liberty SP:lie ja pyytää 15 autentikoitumista. Tämä tapahtuu kirjautumalla järjestelmään relevantin autentikointimenetelmän avulla. Tässä esimerkissä autentikoitumisinformaatio on saatavilla GPRS-järjestelmästä.
4. Käyttäjä uudelleenohjataan IdP:lle Liberty 20 ID-FF:n määrittelemän AuthnRequest:in avulla. Passiivinen lippu asetetaan todeksi osoittamaan IdP:lle, ettei käyttäjädialogi ole sallittua autentikointipro-sessissa. AuthContextClassRef luodaan seuraamaan autentikoint iprosessia eri elementeissä.
25 5. IdP tunnistaa AuthRequest:in ja autenti- kointipluginin sääntöihin perustuen se pyytää pää-synautentikointitietoa GPRS-autentikointimoduulilta. o Tämä päätös voidaan tehdä jos esimerkiksi passiivien seksi tilaksi on asetettu TRUE SP:n lähettämässä 30 AuthnRequest issa.
i cd 6. GPRS-autentikointimoduuli vastaanottaa x saapuvan pyynnön ja selvittää identiteetin käyttä ne jälle, jolla on spesifinen IP-osoite ja selvittää o? käyttäjäidentiteetin tiedustelemalla sitä RADIUS-pal-
LO
35 velimen tietokannasta, o o 7. Käyttäjäidentiteetti (MSISDN) palautetaan
IdP:lie ja vakuus luodaan.
10 8. Käyttäjä ohjataan uudelleen takaisin SP:lie SAMLart:in avulla.
9. Joissain tapauksissa vaihtoehtoinen mene-telmävaihe on, että SP pyytää vakuutta IdP:ltä 5 SAMLart:11a.
Tämän tapahtumaketjun keksinnöllinen osuus on määritellä erillinen moduuli, jonka vastuulla on saada tieto pääsytason autentikoinnilta Libertyn kerrokselle. Tämä moduuli (tässä esimerkissä GPRS-autenti-10 kointimoduuli) yhdistää IdP:n ja taustan pääsyautentikointijärjestelmät toisiinsa.
Kuvassa 4 järjestely poikkeaa edellisestä esimerkistä autentikointimenetelmällä. Seuraavan tekstin numerointi viittaa tietovuota kuvaaviin nuoliin 15 kuvassa 4.
1. Käyttäjä pyytää pääsyä palveluntarjoajalle SP, tässä tapauksessa verkkoonpääsymenetelmä ei ole merkityksellinen.
2. Käyttäjä ohjataan uudelleen ldP:lle 20 Liberty ID-FF:n määrittelemällä AuthRequest:11a. Tässä autentikointiprosessissa käyttäjädialogi on sallittu. AuthContextClassRef luodaan seuraamaan autentikointi-proseduuria eri elementeissä.
3. IdP tunnistaa AuthnRequest:n ja perustuen 25 autentikointipluginin sääntöihin se pyytää pääsyauten- tikointidätaa kertakäyttösalasana-autentikointimoduu- lilta. Esimerkki kertakäyttösalasana-autentikoinnista o ^ on suomalaisen pankkisektorin käyttämä TUPAS-autenti- ^ kointimenetelmä.
(M
V 30 4. Kertakäyttösalasana-autentikointimoduuli to , >- ohjaa autentikoinnin erilliselle pankkiautorisomti- | palvelulle.
^ 5. Pankkiautorisointipalvelun autorisointi- jo informaatio palautetaan kertakäyttösalasana-autentίο 35 kointimoduulille.
o
CVJ
11 6. IdP saa information kertakäyttösalasana- autentikointimoduulilta käyttäen
AuthContextClassRef:ä.
7. Käyttäjäidentiteetti palautetaan IdP:lie 5 ja vakuus luodaan.
8. Käyttäjä ohjataan uudelleen takaisin SP:lie SAMLart:n avulla.
Keksinnön ja tunnetun tekniikan välistä eroa on edelleen selitetty kuvissa 5 ja 6, missä kuva 5 10 esittää tunnetun tekniikan mukaisen kertakäyt- tösalasanamenetelmän. Tässä signalointi on esitetty kolmen elementin välillä, ensisijaisen päätelaitteen, palveluntarjoajan ja identiteetin tarjoajan.
Vaiheessa 1 ensisijainen päätelaite valitsee 15 IdP-autentikoinnin. Palveluntarjoaja uudelleenohjaa . session IdP-sisäänkirjautumisen URL-osoitteeseen, : vaihe 1.1. Ensisijainen päätelaite tekee autentikoin- tipyynnön identiteetintarjoajalle, koska kertakirjau-tumissessiota ei ole olemassa, vaihe 2. Käyttäjä au-20 tentikoidaan vaiheessa 2.1 ja identiteetin vakuus luodaan vaiheessa 2.2. Identiteetintarjoajalta HTTP-sessio ohjataan uudelleen palveluntarjoajalle SAMLart:lla, vaihe 2.3.
Vaiheessa 3 ensisijainen päätelaite kirjautuu 25 palveluntarjoajalle SAMLart:n avulla. Palveluntarjoaja tekee SOAP-vakuuskyselyn SAMLart:lla identiteetintar joa jalta, vaihe 3.1, ja vakuus palautetaan vai-o heessa 3.1.1. Nyt ensisijainen päätelaite on ^ identifioitu ja palveluntarjoaja esittää tervetulosi- c\j 3 0 vun.
Esillä olevan keksinnön mukainen menetelmä on esitetty kuvassa 6. Eroa tunnettuun tekniikkaan on koni rostettu lisäämällä keksinnöllinen elementti, autenti- lo kointimoduli, signalointikaavioon. Vaihe 1 vastaa vai- o 35 hetta 2 edellisessä esimerkissä, jossa ensisijainen t'· § päätelaite valitsee autentikointipyynnön identiteetin-
OJ
tarloajalie. Vaiheessa 1.1. identiteetintar joa ja hank-- 12 kii pyydetyn AuthenticationContextClass:n ja asettaa passiivisen lipun tilaan ei osoittamaan, että autenti-kointi on tehty interaktiivisena tavalla. Identitee-tintarjoaja kartoittaa relevantin 5 AuthenticationContextClass:n vastaavaan autentikointi-moduuliin; vaihe 1.2; ja ohjaa uudelleen HTTP-session autentikointimoduuliin, vaihe 1.3.
Ensisijainen päätelaite yhdistyy autentikoin-timoduulin esittämälle interaktiosivuille, vaihe 2. 10 Pankkien tarjoaman kertakäyttösalasanan skenaariossa haluttu pankkiautentikointimenetelmä voidaan valita tässä. Vaiheissa 2.1 ja 2.2 käyttäjä autentikoidaan tausta-autentikointijärjestelmällä, esimerkiksi mainitulla kertakäyttösalasanajärjestelmällä. Autentikoin-15 timoduuliartefakti luodaan autentikointimoduulista ja lähetetään identiteetintarjoajalle HTTP- uudelleenohjaus (redirect) (302)-sanomalla, vaihe 2.3. Tämä artefakti voidaan kuljettaa esimerkiksi AuthenticationContextClassRef-sanoman sisällä.
20 Vaiheessa 3 ensisijainen päätelaite pyytää autentikointia identiteetintarjoajalta autentikointi-moduuliartefaktilla. Identiteetintarjoaja tiedustelee identiteetin vakuutta autentikointimoduulilta; vaihe 3.1; ja luo vakuuden vasteena tiedusteluun. Vaiheessa 25 3.3 ensisijainen päätelaite on ohjattu uudelleen palveluntarjoajalle HTTP-uudelleenohjaus (302)— viestillä käyttäen SAMLartra.
^ Kuva 7 poikkeaa kuvasta 6 siten, että auten- o c\i tikomti on tehty passiivisella tavalla, käyttäjä na- 30 kee vähemmän autentikointinäkymiä kuin edellisessä i co esimerkissä. Ensisijainen päätelaite pyytää auto- x risointia identiteetintarjoajalta, vaihe 1. Vaiheessa cc 1.1 identiteetintar joa ja hankkii pyydetyn LO ...
cd AuthenticationContextClass:n autentikointimoduulilta
LO
^ 35 ja passiivinen lippu on asetettu tilaan epätosi. Vai- o ^ heessa 1.2 AuthenticationContextClass kartoitetaan au- tentoikointimoduuliin. Identiteetintarjoaja pyytää au- 13 tentikointia käyttäen ensisijaisen päätelaitteen IP-osoitetta autentikointimoduulista, vaihe 1.3. Autenti-kointimoduuli autentikoi käyttäjän käyttämällä tausta-autentikointijärjestelmää, vaihe 1.3.1. Tämän autenti-5 koinnin jälkeen identiteetintarjoaja on valmis luomaan vakuuden, vaihe 1.4. Nyt sessio siirretään palveluntarjoajalle HTTP-uudelleenohjaus (302)-viestillä käyttäen SAMLart:a.
Yllämainitut välineet ovat sinänsä tunnet-10 tuja, kuten ohjelmistokomponentteja, eikä niitä siksi kuvata tässä tarkemmin. Keksintöä ei rajata edellä mainittuihin sovelluksiin, vaan sitä voidaan muunnella erilaisilla tavoilla poikkeamatta vaatimuksissa määritellystä keksinnöllisestä ajatuksesta.
15 o δ
CM
CM
CO
X
cc
CL
LO
o
LO
o h- o o
CM

Claims (10)

1. Menetelmä käyttäjän identiteetin hallitsemiseksi tietoliikennejärjestelmässä, johon kuuluu: 5 ensisijainen päätelaite (PT); autentikointijärjestelmä (ABI,..., AB5); Identiteetintarjoajajärjestelmä (IdP); palveluntarjoaja (SP), joka on luottamusrin-gin jäsen; 10 jossa mainittuun menetelmään kuuluu seuraavat vaiheet: a) myönnetään pääsy verkkoon mainitulle ensisijaiselle päätelaitteelle (PT) yhteysspesifisellä j ärjestelmällä; 15 b) autentikoidaan ja autorisoidaan mainittu ensisijainen päätelaite (PT) autentikointijärjestel-mässä (ABI,..., AB5); c) mainittu ensisijainen päätelaite (PT) pyytää pääsyä palveluntarjoajalle (SP); 20 d) ohjataan uudelleen ensisijaisen päätelaitteen (PT) yhteys mainitulle Identiteetintarjoajan (IdP) palvelimelle; e) Identiteetintarjoaja (IdP) pyytää käyttä-jäidentiteettiä autentikointijärjestelmältä (ABI,...,
25 AB5) ; f) käyttäjäidentiteetti palautetaan Identiteetintar joajan (IdP) palvelimelle ja identiteetin va- ? kuus luodaan, tunnettu siitä, että menetelmään o ^ edelleen kuuluu vaiheet: i CNJ *7 30 g) ohjataan uudelleen pyyntö vaiheesta e) yh- $£ teysspesifiseen autentikointimoduuliin, joka on yhdisti; tetty autentikointi järjestelmään (ABI,..., AB5) ; CL h) autentikointimoduuli selvittää käyttäjän LO identiteetin vasteena yhteysspesifiselle informaati- § 35 olle. o o C\l
2. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että vaiheeseen e) kuuluu edelleen vaiheet Identiteetintarjoajan (IdP) palvelimella: tunnistetaan autentikointipyyntöä palvelun-5 tarjoajalta (SP); ja pyydetään pääsyn autentikointidataa yhteyss-pesifiseltä autentikointimoduulilta.
3. Vaatimuksen 1 mukainen menetelmä, tunnettu 10 siitä, että ensisijainen päätelaite (PT) autentikoi- daan RADIUS-järjestelmällä.
4. Vaatimuksen 1 mukainen menetelmä, tunnettu siitä, että kerätään ensisijaiseen päätelaitteeseen 15 (PT) liittyvää liittymätietoa RADIUS-tietokantaan.
5. Minkä tahansa vaatimuksista 1-4 mukainen menetelmä, tunnettu siitä, että vaiheeseen f) kuuluu edelleen vaiheet: 20 yhteysspesifinen autentikointimoduuli vas taanottaa pyynnön Identiteetintarjoajapalvelimelta (IdP); ja selvitetään identiteetti ensisijaiselle päätelaitteelle (PT), jolla on määrätty IP-osoite tiedus-25 telemalla sitä RADIUS-palvelimen tietokannasta.
6. Tietoliikennejärjestelmä käyttäjän identity teetin hallitsemiseksi, johon kuuluu: cm ensisijainen päätelaite (PT) ; £! 30 autentikointi- ja autorisointijärjestelmä i co (ABI,..., AB5), johon kuuluu välineet mainitun ensisi- x jäisen päätelaitteen (PT) autentikoimiseksi ja autori- cc soimiseksi ja palauttamiseksi käyttä j äidentiteetti S Identiteetintarjoajan (IdP) palvelimelle; ° 35 Identiteetintarjoajan (IdP) palvelin, johon o ° kuuluu välineet käyttäjäidentiteetin pyytämiseksi au- tentikointijärjestelmältä (ABI,..., AB5) ja identiteetin vakuuden luomiseksi; palveluntarjoaja (SP), joka on luottamusrin-gin jäsen ja johon kuuluu: 5 välineet pääsypyynnön käsittelemiseksi maini tulta ensisijaiselta päätelaitteelta (PT); ja välineet ensisijaisen päätelaitteen (PT) yhteyden ohjaamiseksi uudelleen mainitulle Identiteetin-tarjoajan (IdP) palvelimelle; 10 yhteysspesifinen järjestelmä, johon kuuluu välineet verkkopääsyn myöntämiseksi mainitulle ensisi jaiselle päätelaitteelle (PT); tunnettu siitä, että järjestelmään kuuluu : 15 yhteysspesifinen autentikointimoduuli yhdistettynä autentikointijärjestelmään (ABI,..., AB5) , jossa on: välineet pyynnön vastaanottamiseksi Identi-teetintarjoajan (IdP) palvelimelta; ja 20 välineet identiteetin selvittämiseksi vas teena yhteysspesifiselle informaatiolle.
7. Vaatimuksen 6 mukainen järjestelmä, tunnettu siitä, että Identiteetintarjoajan (IdP) palveli- 25 mella on: välineet autentikointipyynnön tunnistamiseksi palveluntarjoajalta (SP); ja o välineet pääsyautentikointidatan pyytämiseksi yhteysspesifiseltä autentikointimoduulilta. cvj 30
8. Vaatimuksen 6 mukainen järjestelmä, tun-nettu siitä, että autentikointijärjestelmä (ABI,..., £ AB5) käsittää välineet ensisijaisen päätelaitteen (PT) autentikoimiseksi RADIUS-järjestelmällä. o 35 o 9· Vaatimuksen 6 mukainen järjestelmä, tun- OJ nettu siitä, että autorisointijärjestelmään kuuluu vä- lineet ensisijaiseen päätelaitteeseen (PT) liittyvän liittymätiedon keräämiseksi RADIUS-tietokantaan.
10. Jonkin vaatimuksista 6-9 mukainen jär-5 jestelmä, tunnettu siitä, että yhteysspesifinen au-tentikointimoduuli käsittää välineet pyynnön vastaanottamiseksi Identiteetintarjoajan (IdP) palvelimelta; ja välineet ensisijaisen päätelaitteen (PT), 10 jolla on määrätty IP-osoite, identiteetin tiedustelemiseksi RADIUS-palvelimen tietokannasta. o o (M (M CD X cc CL LO O) LO o N· O O CM
FI20070595A 2007-08-08 2007-08-08 Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan FI121646B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI20070595A FI121646B (fi) 2007-08-08 2007-08-08 Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan
PCT/FI2008/050452 WO2009019325A1 (en) 2007-08-08 2008-08-07 A method and system for managing user identity
EP08787725A EP2183901A4 (en) 2007-08-08 2008-08-07 METHOD AND SYSTEM FOR MANAGING USER IDENTITY

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20070595 2007-08-08
FI20070595A FI121646B (fi) 2007-08-08 2007-08-08 Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan

Publications (3)

Publication Number Publication Date
FI20070595A0 FI20070595A0 (fi) 2007-08-08
FI20070595A FI20070595A (fi) 2009-02-09
FI121646B true FI121646B (fi) 2011-02-15

Family

ID=38468665

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20070595A FI121646B (fi) 2007-08-08 2007-08-08 Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan

Country Status (3)

Country Link
EP (1) EP2183901A4 (fi)
FI (1) FI121646B (fi)
WO (1) WO2009019325A1 (fi)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2950775B1 (fr) * 2009-09-30 2011-10-21 Alcatel Lucent Dispositif et procede de gestion automatisee d'identites et de profils d'usagers d'equipements de communication
US20110191796A1 (en) * 2010-01-29 2011-08-04 Cbs Interactive, Inc. Media Player-Based Authentication

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060053296A1 (en) * 2002-05-24 2006-03-09 Axel Busboom Method for authenticating a user to a service of a service provider
US7207058B2 (en) * 2002-12-31 2007-04-17 American Express Travel Related Services Company, Inc. Method and system for transmitting authentication context information
ES2264853B1 (es) * 2004-06-24 2007-12-16 Vodafone España, S.A. Sistema y metodo de asercion de identidades en una red de telecomunicaciones.
US7954141B2 (en) * 2004-10-26 2011-05-31 Telecom Italia S.P.A. Method and system for transparently authenticating a mobile user to access web services
CA2917442C (en) * 2005-07-25 2017-07-11 Cardinalcommerce Corporation Method and system for extending payment system via text messaging
US8418234B2 (en) * 2005-12-15 2013-04-09 International Business Machines Corporation Authentication of a principal in a federation
US8006289B2 (en) * 2005-12-16 2011-08-23 International Business Machines Corporation Method and system for extending authentication methods

Also Published As

Publication number Publication date
WO2009019325A1 (en) 2009-02-12
EP2183901A4 (en) 2010-11-03
EP2183901A1 (en) 2010-05-12
FI20070595A (fi) 2009-02-09
FI20070595A0 (fi) 2007-08-08

Similar Documents

Publication Publication Date Title
US10182074B2 (en) Techniques for virtual representational state transfer (REST) interfaces
Leiba Oauth web authorization protocol
US7221935B2 (en) System, method and apparatus for federated single sign-on services
US8181010B1 (en) Distributed authentication user interface system
US9258292B2 (en) Adapting federated web identity protocols
CN100461667C (zh) 与异类联合体环境中验证声明相关的拥有证明操作方法和设备
CN1726690B (zh) 用于异构型联合环境中的本机认证协议的方法和***
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
EP1530860B1 (en) Method and system for user-determined authentication and single-sign-on in a federated environment
CN109196500B (zh) 对基于云的服务的基于统一vpn和身份的认证
CN104539615B (zh) 基于cas的级联认证方法
US20140282989A1 (en) Actively Federated Mobile Authentication
CN102638454A (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN111416826B (zh) 一种应用服务安全发布及访问的***及方法
Berbecaru et al. Providing login and Wi-Fi access services with the eIDAS network: A practical approach
Beltran et al. User identity for WebRTC services: A matter of trust
CN111786969A (zh) 单点登录方法、装置及***
Pfitzmann et al. Federated identity-management protocols
CN103023856A (zh) 单点登录的方法、***和信息处理方法、***
CN108200039B (zh) 基于动态创建临时账号密码的无感知认证授权***和方法
CN112039873A (zh) 一种单点登录访问业务***的方法
Berbecaru et al. Supporting Authorize-then-Authenticate for Wi-Fi access based on an electronic identity infrastructure.
Haddouti et al. Towards an interoperable identity management framework: a comparative study
Alsaleh et al. Enhancing consumer privacy in the liberty alliance identity federation and web services frameworks
FI121646B (fi) Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 121646

Country of ref document: FI

MM Patent lapsed