KR20070032805A - 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 - Google Patents

복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 Download PDF

Info

Publication number
KR20070032805A
KR20070032805A KR1020077002869A KR20077002869A KR20070032805A KR 20070032805 A KR20070032805 A KR 20070032805A KR 1020077002869 A KR1020077002869 A KR 1020077002869A KR 20077002869 A KR20077002869 A KR 20077002869A KR 20070032805 A KR20070032805 A KR 20070032805A
Authority
KR
South Korea
Prior art keywords
user
domain
authentication
information
controller
Prior art date
Application number
KR1020077002869A
Other languages
English (en)
Inventor
페이 옌 치아
홍 쳉
Original Assignee
마츠시타 덴끼 산교 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마츠시타 덴끼 산교 가부시키가이샤 filed Critical 마츠시타 덴끼 산교 가부시키가이샤
Publication of KR20070032805A publication Critical patent/KR20070032805A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

복수의 도메인에 존재하는 복수의 네트워크를 액세스하기 위한 싱글-사인-온을 개시한다. 특히, 싱글-사인-온의 특징은, 상이한 네트워크 관할 도메인 중에서 수행되는 인증 및 승인 프로세스를 말하며, 엔드 서비스(end service)를 사용하는 단말은 새로운 서비스를 액세스할 때마다 인증 프로세스를 명시적으로 개시할 필요가 없다. 본 발명의 싱글-사인-온의 특징은, 연계 도메인 환경(a federation domain environment)과 비연계 도메인 환경에서의 사용을 위해서 연장될 수 있다. 비연계 도메인은 본 발명을 사용하기 위해서 다른 도메인을 거쳐서 간접적인 연계 체인을 형성할 수 있다. 따라서, 연계 체인을 형성하기 위한 중간 도메인의 탐색도 다루어진다. 또한, 방문 도메인(a Visited Domain)이 인증을 수행하도록 허용하는 사용자 자격(user credentials)의 관리도 본 발명에서 다루어진다.

Description

복수의 네트워크를 액세스하기 위한 싱글-사인-온을 실현하도록 사용자 인증 및 승인을 관리하는 시스템 및 방법{SYSTEM AND METHOD FOR MANAGING USER AUTHENTICATION AND SERVICE AUTHORIZATION TO ACHIEVE SINGLE-SIGN-ON TO ACCESS MULTIPLE NETWORK INTERFACES}
본 발명은 데이터 통신 네트워크의 분야에 관한 것이다. 특히, 보다 단순한 크로스 도메인 서비스(cross-domain service) 지원을 실현하기 위한 이동통신 네트워크에서의 액세스 제어에 관한 것이다. 통상, 상이한 관할 도메인(administrative domains)의 상이한 네트워크에 의해 제공되는 서비스에 액세스하기 위해, 사용자는 복수의 로그인(multiple logins)을 수행할 필요가 있다. 본 발명은, 직접 또는 간접적으로 연계된 복수의 도메인 환경에서의 사용자가, 싱글-사인-온(single-sign-on)으로 모든 네트워크에 의해 제공되는 서비스에 액세스하는 것을 가능하게 한다. 또한, 상기 제공된 특징에 의해, 본 발명은 사용자가 동일한 서비스를 임의의 때에 제공하는 네트워크로의 전환을 용이하게 하는 고속 핸드오버에 사용될 수 있다. 멀티 모드 단말(multi-mode terminals)이 허용되는 환경에서, 본 발명은 사용자가 싱글 로그인 프로세스(a single login process)에 의해 모든 네트워크 인터페이스를 통해 사용자 액세스 서비스(user accessing service)를 가 능하게 하는 것에서 특히 유용하다.
오늘날 세계의 비즈니스 및 소비자를 위한 네트워크 식별 정보 관리의 비효율성 및 복잡성을 해결하기 위해, 사용자가 그들의 모든 개인 정보를 집중적으로 저장하지 않고서 계정간의 그들의 식별 정보의 요소를 링크하는 것을 가능하게 하는 연계 네트워크 식별 정보 인프라스트럭처(a federated network identity infrastructure)에 대한 강한 수요가 있다. 오늘날의 모바일 컴퓨팅 기술(mobile computing technology)은, 사용자 단말이 그 홈 도메인 내의 액세스 서비스에 한정되지 않고, 그 홈 도메인 외부의 서비스에 액세스하는 것을 가능하게 하였다. 따라서, 복수의 도메인 액세스는 사용자 단말이 복수의 네트워크 제공자에 가입하는 것을 필요로 할 수 있고, 이는 사용자가 복수의 가입을 유지하는 것은 상당히 귀찮을 수 있다. 사용자가 하나의 식별 정보만을 유지할 필요가 있고, 다른 외부 도메인(foreign domains)에 의해 제공되는 서비스를 명시적으로 등록할 필요가 없는 싱글-사인-온의 특징은, 항상 바쁘고 언제 어디서든 모바일 서비스에 액세스할 필요가 있는 사용자에게 있어서 특히 매력적이다.
종래, 싱글-사인-온의 특징은 암호화 키 관리에 중점을 두는 패스워드 관리 기술에 의해 제공될 수 있다(예를 들면, 이하의 특허 문헌 1, 2 참조). 오늘날 그러한 기존의 애플리케이션 중 하나는 커베로스(Kerberos)이다. 커베로스는 비밀키 암호화(secret-key cryptography)를 사용함으로써 클라이언트/서버 애플리케이션에 대한 엄격한 인증을 제공하도록 고안된 네트워크 인증 프로토콜이다. 커베로스 프로토콜은, 엄격한 암호화를 사용하여, 클라이언트가 서버에 대한 그 자신의 식별 정보를 증명하고, 그 반대로 불안정한 네트워크 접속을 가로질러 증명할 수 있다. 커베로스는 개방형 네트워크(an open network) 환경에서의 싱글-사인-온과 인증을 위한 플랫폼을 제공할 수 있다. Microsoft(등록상표) Windows(등록상표) 2000 오퍼레이팅 시스템은 싱글-사인-온을 위해 커베로스를 사용하는 시스템의 예이다. 그러나, 이러한 싱글-사인-온 서비스는 오퍼레이팅 시스템 위의 상부층 애플리케이션을 위한 지원을 제공할 뿐이다. 복수의 네트워크 인터페이스 및 복수의 도메인을 위한 싱글-사인-온의 지원은 여전히 부족하다.
현재, 연계 네트워크 식별 정보 인프라스트럭처를 제공하여 싱글-사인-온 서비스를 제공하는 진행중인 많은 다른 연구들도 있다. 그러한 연구들 중 하나는 리버티 얼라이언스 프로젝트(Liberty Alliance Project)이고, 이는 복수의 서비스 제공자로부터의 분산화된 인증 및 승인의 제공에 중점을 두고 있다. 리버티 얼라이언스 프로젝트에서 언급된 서비스 제공자는 웹 기반의 서비스를 사용자에게 제공하는 조직이다. 복수의 네트워크 액세스 기술을 위한 싱글-사인-온에 대한 문제는 리버티 얼라이언스 프로젝트에서 언급되지 않는다.
그러한 연구의 다른 것으로서는, 액세스 제어 결정에 사용될 수 있는 상호 동작 가능한 승인 정보(interoperable authorization information)의 확실한 교환에 중점을 둔 시볼레스 프로젝트(Shibboleth Project)가 있다. 시볼레스 프로젝트는 액세스 제어되는 내부 기관끼리의 콘텐츠 공유를 지원하는 프레임워크를 생성하 는 것을 목적으로 한다. 리버티 얼라이언스 프로젝트와 마찬가지로, 시볼레스는 복수의 네트워크 액세스 기술을 위한 싱글-사인-온의 문제를 언급하지 않았다.
리버티 얼라이언스 프로젝트와 시볼레스 프로젝트는, 싱글-사인-온을 실현하기 위해, 어써션 질의(assertion queries)를 만드는 SAML(Security Assertion Markup Language)를 이용한다.
연계 네트워크 식별 정보 인프라스트럭처에는 다음과 같은 많은 이점이 있다.
ㆍ개인화(personalization), 보안, 및 식별 정보 정보에 대한 제어의 새로운 레벨뿐만 아니라, 보다 훨씬 만족스러운 온라인 체험을 최종 사용자(end user)에게 제공한다.
ㆍ서비스 제공자가 자원을 보다 쉽게 제공하고 또한 올바른 자원에 대한 액세스를 제공하는 것을 가능하게 한다.
ㆍ새로운 상호 관계를 형성하고 또한 비즈니스의 목표를 보다 빠르고 안정하고 저렴하게 실현하는 것을 가능하게 한다.
따라서, 복수의 도메인을 가로지르는 단일 네트워크의 광역 액세스 관리(a single network wide access management across multiple domains)는, 액세스 권리 정보가 신뢰 도메인(trusted domains)에 분배되는 것을 가능하게 하여, 신뢰 도메인이 액세스 관리 작업의 일부를 수행하도록 함으로써, 인증 및 승인 프로세스를 단순화한다. 또한, 상이한 네트워크 기술을 액세스하기 위한 싱글-사인-온의 특징은, 상이한 네트워크 기술 상에서 동작하는 상이한 장치로의 접속이 필요한 멀티 모드 단말에 있어서 특히 유용하다. 이러한 특징에 의해, 상이한 기본적인 네트워크(underlying network)를 거쳐서 접속되는 장치를 액세스할 때마다, 멀티 모드 단말은 상이한 네트워크를 액세스하기 위한 복수의 사인 온을 수행할 필요가 없다. 싱글-사인-온에 관한 현재의 기술은 애플리케이션 자원을 액세스하는 문제를 언급하고 있지만, 기본적인 네트워크 기술을 액세스하기 위한 인증 및 승인을 지원하는 능력이 부족하다.
특허 문헌 1: 미국 특허 제6,243,816호
특허 문헌 2: 미국 특허 제5,684,950호
새로운 네트워크에 액세스하기 위해, 사용자는 인증 및 승인 프로세스를 재차 행하는 것이 요구된다. 이들 2개의 프로세스는 단말과 네트워크 사이에서 여러 차례의 메시지 교환을 통상적으로 포함한다. 사용자가 그 홈 도메인으로부터 멀리 떨어진 외부 도메인에 있을 때에, 발생되는 지연은 특히 커진다. 소정의 실시간 애플리케이션에 있어서, 이러한 종류 지연은 핸드오버 프로세스에서 수용될 수 없다. 따라서, 서비스에 액세스하기 위해서 사용자를 승인하기 위한 보다 빠른 방법이 필요하다. 특히, 연계 복수의 도메인 환경에서, 네트워크가 이미 신뢰 관계를 갖고 있기 때문에, 각각의 네트워크에서 단말이 인증을 행하도록 요청하는 것은, 최초의 장조에서 연계를 설정하기 위한 목적에 어긋난다.
현재의 모바일 컴퓨팅 환경에서, 더욱더 많은 단말이 복수의 액세스 기술, 예를 들어 무선 LAN 카드, 및 GPRS 인터페이스 등을 갖추고 있다. 이들 형태의 단말에 있어서, 복수의 네트워크에 동시에 액세스하는 것이 요구된다. 이는, 단말이 각각의 인터페이스에 대한 로그인을 수행하는 것을 의미하지 않는다. 모든 인터페이스에 대한 액세스를 가능하게 하는 통합된 인증 프로세스가, 단말로부터의 직접적인 요구이다.
오늘날, 모바일 네트워크는 상호간의 복잡한 로밍 규약을 갖는다. 또한, 네트워크 도메인 연계가 메쉬(a mesh)를 생성한다. 예를 들면, 도메인 A는 도메인 B 및 C와의 연계를 가지며, 양쪽 도메인 B와 C는 도메인 D와의 연계를 갖는다. 이는 도메인 A를 도메인 D와 간접적으로 링크한다. 그러면, 도메인 A는 또 다른 도메인과 그것이 간접적으로 링크되는지 여부를 발견하는 방법의 문제에 직면한다. 이는 정교한 도메인(a sophisticated domain) 발견 방법을 요구한다.
발명의 개시
상기한 문제점을 해결하기 위해서, 연계를 형성하는 네트워크 도메인은, 사전 결정된 인터페이스 및 프로토콜에 대해 동의하여, 단말로부터의 인증 및 승인 요청을 협력 처리할 필요가 있다. 연계한 도메인은 사용자 단말을 담당하는 네트워크를 향해서 사용자 승인 정보를 전달하므로, 후속하는 액세스 제어에 사용되는 시간이 줄어든다.
사용자 단말이 인증을 요청할 때마다, 연계한 네트워크 도메인 중 하나가 앵커 포인트(anchor point)로서 선택된다. 이러한 도메인은 요청을 처리하고, 또한, 단말의 홈 도메인과 통신함으로써 서비스를 승인한다. 임시 증명서(temporary certificate), 사용자 토큰은 앵커 포인트로서 동작하는 도메인에 의해 단말에 대 해 발행된다. 따라서, 단말은 임시 증명서를 사용하여 연계한 도메인에 의해 제공되는 임의의 서비스에 액세스할 수 있다. 서비스를 제공하는 로컬 네트워크는 그 홈 도메인보다 단말에 훨씬 더 가까운 앵커 포인트 도메인으로 인증서를 검사하는 것만을 필요로 한다. 이는 액세스 프로세스를 단순화 및 가속화한다. 전체적으로, 사용자는 그 자격(credentials)을 한번만 제공, 즉, 싱글-사인-온만을 수행하여, 사용자는 상이한 도메인의 복수의 서비스에 액세스할 수 있다. 이는 서비스 요청마다 사용자 식별 정보를 복수회 노출시킬 가능성을 크게 감소시켜, 보다 양호한 보호를 제공한다.
또한, 사용자에게 토큰을 발행함으로써, 네트워크 특정 서비스 제어 정보를 네트워크간에서 전달할 필요가 없다. 네트워크가 도메인 연계 사용자에게 새로운 서비스를 소개하기가 보다 쉬워진다. 로컬 네트워크는 연계를 위해 설정된 정책에 따라, 서비스 제공에 대한 결정을 가질 수 있다.
직접적으로 연계되지 않는 도메인에 있어서, 연계 체인에서의 서로간의 탐색(discovery)은 액세스 제어시에 중요하다. 이러한 문제점을 해결하기 위해서, 단말을 담당하는 로컬 도메인은, 사전 결정된 인터페이스를 통해 직접적으로 연계되는 모든 도메인에 대해 질의 메시지를 송출할 필요가 있다. 메시지를 수신하는 모든 도메인은 협동하여, 로컬 도메인에 대해 그들 자신들이 홈 도메인에 직접적으로 연계되어 있는지를 식별한다. 이렇게 함으로써, 간접적으로 연계된 도메인도 사용자에게 싱글-사인-온 서비스를 제공할 수 있다. 이러한 종류의 탐색은, 최초의 사용자가 홈 도메인과 직접적으로 연계되지 않는 로컬 도메인에 진입하는 경우 에만 발생한다. 최초의 사용자와 동일한 홈 도메인을 갖는 후속 사용자에 대해서는, 탐색 프로세스에서 식별된 경로가 재사용될 수 있다. 따라서, 탐색 프로세스가 야기하는 오버헤드는 전체 시스템의 성능에 영향을 미치지 않는다.
(발명의 작용)
단말이 도메인 연계, 예를 들어 UMTS 네트워크에 진입하는 경우에, 먼저, 일반적인 인증 프로세스가 수행된다. 사용자 자격이 로컬 도메인의 인증 제어기로 제공된다. 인증 제어기는 상기 사용자 자격과 관련된 기존의 토큰이 존재하는지 여부를 검사한다. 아무것도 존재하지 않으면, 단말의 홈 도메인에 있는 액세스 제어 기관(Access Control Authority)을 호출하도록 진행된다. 홈 도메인의 액세스 제어 기관은 그 후에 상기 요청을 인증하여, 로컬 도메인의 인증 제어기로 어써션에 의해 응답한다. 이러한 어써션은 상기 로컬 도메인에서의 허용된 서비스를 나타내는 가입 능력 정보(subscription capability information)를 포함한다.
어써션이 수신되면, 인증 제어기는 사용자를 위한 사용자 토큰을 발행하는 관련 인증 제어기와 접촉한다. 또한, 인증 제어기는 추가적인 사용을 위한 능력 정보를 저장한다. 사용자 토큰이 이용 가능하면, 이는 사용자 단말로 전달된다. 이러한 토큰에 의해, 사용자 단말은 도메인 연계된 모든 네트워크에서 서비스에 액세스할 수 있다.
단말이 서비스를 액세스할 필요가 있을 때마다, 단말은 네트워크에 대해 요청과 함께 토큰을 제공한다. 네트워크는 토큰을 발행하는 인증 제어기에 의해 토 큰을 검증한다. 토큰이 유효하고, 능력 정보가 서비스 요청에 대한 액세스를 허용하면, 네트워크는 즉시 서비스를 제공할 수 있다.
새로운 서비스가 네트워크에 도입되고 능력 정보 내에 존재하지 않으면, 토큰 발행자는 홈 도메인의 액세스 제어 기관에게 질의한다. 액세스 제어 기관은 연계 정책 및 사용자의 가입에 근거하여 사용자에게 서비스를 허용할지 여부를 결정한다. 갱신된 능력 정보는 응답으로서 토큰 발행자에게 전달되며, 후속 서비스 요청은 토큰 발행자에게 있어서 직접적으로 승인될 수 있다.
본 발명은 단말이 상이한 네트워크 도메인에 의해 제공되는 다양한 네트워크 서비스에 액세스하는 경우에 싱글-사인-온의 특징을 허용한다. 서비스 제공자는 연계를 형성하고, 연계된 임의의 도메인에 가입된 사용자에게 서비스를 제공할 수 있다. 이는 네트워크 자원의 공유를 허용하고, 또한 다른 네트워크로 로밍하는 동안에 사용자에 대한 용이한 액세스를 가능하게 한다. 사용자는 한번만 네트워크 도메인에 등록 또는 사인할 필요가 있고, 그들은 도메인과 연계 관계를 갖는 네트워크 또는 서비스 제공자에 의해 제공되는 서비스를 누릴 수 있다. 또한, 인증을 수행하는 한편, 복수의 가입 관리도 본 발명에서 처리된다. 제휴 도메인(affiliated domain)은, "챌린지(challenge)"를 사용자에게 발행하기 전에, 그들 자체 내에서 사용자 인증 상태를 검사 및 유효화할 수 있다. 이는 액세스 제어를 위한 처리 오버헤드를 감소시키고, 또한 동일한 사용자를 담당하는 네트워크간의 고속 핸드오버를 용이하게 한다.
본 발명은 싱글-사인-온 서비스를 사용자에게 제공한다. 이는, 단말이 복수 의 세션 개시를 수행하지 않아도 되어, 하위층이 허가되면, 네트워크 인터페이스간의 전환도 용이하게 실현될 수 있다. 이는 사용자가 액티브 세션 동안에 보다 낮은 비용의 네트워크 인터페이스로 전환하는 것을 가능하게 할 수 있다. 예를 들면, UMTS 네트워크와 WLAN 네트워크 양쪽이 본 발명의 구성을 갖으면, UMTS 네트워크를 사용하는 음성 대화중에 단말은 세션을 재시작하지 않고 WLAN 네트워크로 전환하는 기회를 가진다.
본 발명의 구성에 의해, 도메인은 직접 연계되지 않는 도메인에 대한 관계로도 확장할 수 있다. 본 발명에 제공된 탐색 메카니즘을 사용하면, 도메인은 동적으로 연계 체인을 형성하여, 보다 넓은 범위의 사용자에게 싱글-사인-온 서비스를 제공할 수 있다.
도 1은 연계 환경의 시스템 구조의 개략도,
도 2는 홈 도메인에 연계된 방문 도메인에 대한 액세스의 시스템 구성의 개략도,
도 3은 연계 방문 도메인 환경에서 싱글-사인-온을 실현하는 인증 및 승인의 순차도,
도 4는 인증 프로세스 동안에 획득된 사용자 토큰을 사용하는 승인 프로세스의 순차도,
도 5는 홈 도메인에 직접적으로 연계된 방문 도메인에 대한 액세스의 시스템 구성의 개략도,
도 6은 간접적으로 연계된 환경에서의 승인 프로세스의 순차도,
도 7은 간접적으로 연계된 환경에서의 인증 및 승인의 순차도,
도 8은 간접적으로 연계된 환경에서의 인증 및 승인 프로세스의 또 다른 순차도,
도 9는 인증 요청에 대한 메시지 포맷(포맷 1)의 예의 개략도,
도 10은 인증 어써션 질의에 대한 메시지 포맷(포맷 2)의 예의 개략도,
도 11은 사용자 토큰에 대한 메시지 포맷(포맷 3)의 예의 개략도,
도 12는 인증 어써션 질의에 대한 메시지 포맷(포맷 4)의 예의 개략도,
도 13은 가입 능력에 대한 메시지 포맷(포맷 5)의 예의 개략도,
도 14는 도 7의 단계 7.4에서 방문 도메인 1로 되돌려지는 가입 능력에 대한 메시지 포맷(포맷 6)의 예의 개략도,
도 15는 도 7의 단계 7.9에서 방문 도메인 1로 되돌려지는 가입 능력에 대한 메시지 포맷(포맷 7)의 예의 개략도,
도 16은 네트워크가 인증을 위한 도메인을 선택 가능하게 하는 사용자 식별 기호에 대한 메시지 포맷(포맷 8)의 예의 개략도.
발명을 실시하기 위한 최선의 형태
복수의 네트워크를 액세스하기 위한 싱글-사인-온을 실현하도록 사용자 인증 및 승인을 관리하는 시스템을 본 발명에 개시한다. 본 발명의 이해를 돕기 위해, 이하의 정의가 사용된다.
"WLAN"이란 무선 로컬 영역 네트워크(wireless local area network)를 말한다. WLAN은 무선 기술을 통해 이동 단말에 LAN 서비스를 제공하기 위해 임의의 수의 장치를 포함한다.
"3G 네트워크"란 제 3 세대 공중 액세스 네트워크(3rd generation public access network)를 말한다. 3GPP 또는 3GPP2에 의해 정의된 시스템을 예로 들 수 있다.
"이동 단말 또는 MT"란 다른 무선 기술을 통한 다른 네트워크 및 WLAN에 의해 제공되는 서비스를 액세스하는 데 사용되는 장치를 말한다.
"홈 도메인"이란 상호 접속 시나리오(inter-working scenario)에서 MT가 본래 유래하는 네트워크를 말한다. 홈 도메인은 MT의 서비스 가입 정보가 저장되는 장소이다.
"방문 도메인(Visited Domain)"이란 MT가 접속되는 네트워크를 말한다. 방문 도메인은 이동 단말에 대해 액세스 서비스를 제공하는 네트워크이다.
"QoS"란 데이터 스트림 또는 트래픽의 서비스 품질을 말한다.
"메시지"란 상호 접속 제어를 위해 네트워크 요소간에 교환되는 정보를 말한다.
"상위층"이란 현재의 개체를 통과한 패킷을 처리하는 현재 개체의 상부에 있는 임의의 개체를 말한다.
"AAA"란 이동 단말에 대한 서비스 제공시에 관련된 인증(Authentication), 승인(Authorization), 및 어카운팅(Accounting) 기능을 말한다.
"AA"란 이동 단말에 대한 서비스 제공시에 관련된 인증 및 승인 기능을 말한다.
"AAA 서버"란 홈 도메인에 존재하는 AAA 서비스 제공자를 말한다. AAA 서버는 홈 도메인의 액세스 제어 기관의 일례이다.
"AA 제어기"는 방문 도메인에 의해 제공되는 AA 서비스를 말한다.
"연계 도메인(Federated Domain)"은 신뢰 관계에 의해 연계 또는 연합(alliance)을 형성하는 다수의 네트워크 서비스 제공자를 말한다.
"글로벌 인증(Global Authentication)"이란 사용자가 "연계 네트워크"에 의해 제공되는 다른 모든 네트워크 서비스를 사용자가 액세스하는 것을 가능하게 하는 소정의 네트워크에 대한 인증을 말한다.
"방문 도메인 1"이란 홈 도메인과 연계된 방문 도메인을 말한다.
"방문 도메인 2"란 홈 도메인과 연계되지 않은 방문 도메인을 말한다.
이하의 설명에서, 설명을 위해, 특정 번호, 시간, 구조, 프로토콜명, 및 그 외의 파라미터가 본 발명의 완벽한 이해를 제공하기 위해 설정된다. 그러나, 이들의 특정한 상세가 없어도 본 발명을 실시할 수 있는 것은 당업자에게 있어서 자명한 것이다. 다른 일례에서, 본 발명의 불필요한 부분을 애매하게 하지 않기 위해서, 공지된 구성요소와 모듈을 블록도에 도시한다.
(실시예 1)
도 1은 연계 네트워크 서비스 환경에서 글로벌 인증을 실현하는 본 발명의 실시예를 나타낸다. 본 발명을 유사한 인증 구조를 갖는 임의의 서비스에 적용할 수 있는 것은 당업자에게 있어서 자명한 것이다.
각각의 단말(1.3)은 그 홈 도메인(1.1) 내에 고유한 사용자 식별 기호를 갖는다. 이 식별 기호는 전체적으로 고유하고 홈 도메인의 정보를 포함한다. 이는 사용자가 도메인과 관련되는 경우에 사용자에게 분배된다. 예를 들면, 사용자가 오퍼레이터에 가입하면, 상기 식별 기호는 사용자에게 주어진 SIM/USIM 카드 내에 위치한다. 사용자가 홈 도메인에 대해 그 자신을 인증할 필요가 있는 경우에, 사용자는 상이한 장치, 예를 들어 핸드셋, SIM 판독기를 갖는 랩탑 등을 사용할 수 있다. 또한, 사용자는 다수의 장치를 사용하여 동시 인증을 수행할 수 있다. 따라서, 사용자의 인증 세션을 고유하게 식별하기 위해서, 또 다른 인증 세션 식별 기호를 인증 절차에서 생성하여 사용한다. 새로운 식별 기호는 홈 도메인을 위한 사용자 식별 기호, 노드 식별자, 및 인터페이스 식별자를 포함한다. 이러한 인증 세션 식별자에 의해, 동일한 사용자에 대한 동시 인증 절차가 명확하게 구별된다.
단말(1.3)은 명시적 또는 암시적 로그인을 수행할 수 있는 로그인 구성요소(a login component)를 갖는다. 로그인 구성요소는 인증용 사용자 자격만을 제공함으로써 명시적 로그인을 수행한다. 명시적 로그인에서의 복귀값은 "인증 성공" 또는 에러 코드를 갖는 "인증 실패"이다. 암시적 로그인이 수행되면, 사용자 자격과 요청된 서비스 양쪽이 송출될 필요가 있다. 암시적 로그인에서의 복귀값은 "승인 성공" 또는 에러 코드를 갖는 "승인 실패"이다. "승인 성공"은 성공적인 인증도 의미한다.
단말(1.3)이 예를 들어 WLAN 액세스 포인트일 수 있는 액세스 포인트 1(1.4)에 연관되는 경우에, 인증 프로세스는 자동적으로 개시된다. 단말을 담당하는 WLAN 액세스 포인트(AP1)(1.4)는 AA 제어기(1.6)에 접속된다. AA 제어기는 인증 제어기와 승인 제어기를 포함한다. 액세스 포인트(1.4, 1.5)는 단말 접속의 데이터 경로(1.4b, 1.5b) 상에 있을 수도 없을 수도 있다. 인증 제어기와 승인 제어기의 양쪽은 통합된 개체일 수 있거나, 또는, 인증 제어기는 사용자 식별 기호를 처리하는 반면에 승인 제어기는 허가 제어 및 단말에 대한 자원의 액세스를 승인하는 역할을 담당하는 2개의 엔티티로 분리될 수도 있다.
로컬 승인기(1.4a, 1.5a)는 액세스 포인트(1.4, 1.5) 또는 단말(1.3)에 대한 데이터 접속의 직접 제어를 갖는 어딘가에 있는 것이 가정된다. 로컬 승인기(1.4a, 1.5a)는 단말(1.3)로부터 방문 도메인(1.2)의 AA 제어기(1.6)로 인증 요청을 전달한다. 로컬 승인기(1.4a, 1.5a)는 AA 제어기(1.6)의 어드레스를 구비한다. 또한, 로컬 승인기(1.4a, 1.5a)는 부트스트랩, DHCP, DNS 등과 같은 방법을 통해 동적으로 AA 제어기(1.6) 어드레스를 획득할 수도 있다. AA 제어기(1.6)는 집행자(enforcer)로서 로컬 승인기(1.4a, 1.5a)에게 포트의 개폐 또는 다른 자원의 할당/해제를 지시한다. 또한, AA 제어기(1.6)는 자원 공급을 수행하여 각 단말에 얼만큼의 자원을 제공할지 결정한다. 로컬 승인기(1.4a, 1.5a)는 승인 제어기로부터의 지시를 수행한다. 후술을 위해, AA 제어기(1.6)와 통신하는 단말에 의한 신 호화는 로컬 승인기(1.4a, 1.5a)에 대해 명료하다고 가정된다. AA 제어기(1.6)는 그 관할 도메인 내에서 복수의 로컬 승인기(1.4a, 1.5a)를 집행한다.
홈 도메인(1.1)에서, 인증 기관(Authentication Authority) 및 승인 기관(Authorization Authority)을 포함하는 대응하는 AAA 서버(1.7)가 존재한다. 홈 도메인의 AAA 서버(1.7)는 본 발명의 프레임워크(1.9)를 사용하여 방문 도메인(1.2)의 AA 제어기(1.6)와 통신한다. 홈 도메인의 AAA 서버(1.7)는 중앙 집중식 데이터베이스(a centralized database)에 존재하는 사용자의 서비스 레벨 규약과 사용자 가입 정보를 획득하기 위해 SLA 관리자(1.8)로서 기능하는 애플리케이션 서버와 인터페이스에 의해 접속한다. SLA 관리자(1.8)는 중앙 집중식 데이터베이스에 저장되는 서비스 레벨 규약 정보에 대한 모든 개체 사이에서 인터페이스 포인트로서 동작한다. 그러나, SLA 관리자(1.8)가 필요한 정보를 위치시킬 수 있는 한, 분산 데이터베이스를 사용할 수도 있다.
도 2는 도 1에 도입된 시스템의 사용예를 나타낸다. 단순화를 위해, 이 도면에서는 SLA 관리자, 로컬 승인기 및 데이터 경로를 도시하지 않는다. 인증 제어기(1.6a)와 승인 제어기(1.6b)는 상이한 네트워크 인터페이스의 인증 프로세스 및 승인 프로세스를 각각 제어하고 있다. 이 도면에서, 그것들은 상이한 제어기에 의해 행해지는 상이한 역할을 나타내기 위해 분리되어 있다. 이 도면은 방문 도메인(1.2)의 AA 제어기(1.6)에 의해 관리되고 있는 3개의 서브 시스템을 나타낸다. 3개의 서브 시스템은 UMTS 서브 시스템(2.1)과, WLAN 서브 시스템(2.2)과, 블루투스 서브 시스템(2.3)이다. 그러나, 이 프레임워크가 동시에 서브 시스템의 다른 변경을 지원하도록 연장될 수 있는 것은 당업자에게 있어서 명백한 것이다. 사용자는 이들 서브 시스템 중 임의의 것과 관련되도록 임의의 또는 모든 네트워크 액세스 기술을 갖는 단말(1.3)을 사용할 수 있고, 이들 인터페이스 중 임의의 것을 거쳐서 인증 프로세스를 개시할 수 있다.
단말(1.3)에 연계 네트워크 인터페이스 서비스 환경을 제공하는 방문 도메인(1.2)에 있어서 메시지 교환 시퀀스의 예를 도 3에 나타낸다. 예를 들면, 동일한 부근 내이면, 3G 셀룰러 네트워크(UMTS), 블루투스와 같은 다른 서비스가 모두 연계되고, 단말이 임의의 서비스를 사용하면, 단말은 최초에 그 자신을 인증할 필요만 있다. 이 프레임워크는 연계 인증 네트워크 기술 환경에 있어서의 싱글-사인-온의 특징에 대한 수단을 제공한다.
이러한 예에서, 단말(1.3)이 우선 WLAN 서브 시스템(WLAN 인터페이스)(2.2)을 거쳐서 방문 도메인(1.2)과 관련되는 경우에, 단말(1.3)은 로그인 메시지(3.1)에 내장된 그 자격을 방문 도메인(1.2)의 인증 제어기(1.6a)에 제시한다. 인증 제어기(1.6a)는 로그인 요청 메시지를 분석하여, 사용자 자격을 포함하는 자격 태그(credentials tag)를 추출한다. 사용자 자격은 암호화된 형태로서, 방문 도메인(1.2)의 인증 제어기(1.6a)에 의해 판독할 수 없다. 방문 도메인(1.2)의 인증 제어기(1.6a)에 대한 가시적 정보는 사용자의 홈 도메인(1.1) 정보이다. 방문 도메인(1.2)의 인증 제어기에 대한 단말(1.3)로부터의 메시지 포맷의 예를 포맷 1로서 도 9에 나타낸다.
메시지 포맷은 XML이다. 사용자 식별자는 홈 도메인 정보와 사용자 자격을 포함한다. 전체 자격 요소는 암호화되어야 하지만, 홈 도메인 정보는 판독 가능하다. 암호화 방법은 상기에 도시되어 있지 않다. 암호화 알고리즘은 사용자와 그 홈 도메인 사이에서 협상된다. 이는, 사용자가 가입을 획득하는 경우에, SIM/USIM 카드에 저장되는 정보일 수 있다. 또한, 이는, 접속이 홈 도메인에 의해 확립된 후에, 다운로드 가능한 모듈을 거쳐서 갱신될 수도 있다. 단말과 네트워크의 상호 인증이 요구되면, 자격 일부는 챌린지 또는 응답 정보를 포함할 수도 있다.
그 후에, 방문 도메인의 인증 제어기(1.6)는, "Home_domain_info"의 정보를 사용하여, 홈 도메인(1.1)의 AAA 서버(1.7)와 상호 작용한다. 인증 제어기(1.6a)는 원래의 로그인 요청 메시지를 추출하고, 그 후에, 그것을 "인증 어써션 질의"로 다시 패키지하여, "암호화된 사용자 자격"이 내장된다. 그 후에, "인증 어써션 질의"는 홈 도메인(1.1)의 AAA 서버(1.7)로 전달된다(3.2). 발행자 태그는 방문 도메인의 정보이어야 한다. "인증 어써션 질의"의 메시지 포맷의 예를 포맷 2로서 도 10에 나타낸다.
"인증 어써션 질의"를 수신하자마자 AAA 서버(1.7)는 메시지를 분석하고, 자격이 그 공개키로 암호화되면 소정의 사전 설정된 보안 협정(security association), 예를 들어 그 비밀키를 사용하여 사용자 자격을 해독한다. 그 후에, AAA 서버(1.7)는 그 가입 프로파일 데이터베이스에 대한 사용자 자격을 검사하여 사용자를 인증한다. 사용자 가입 프로파일은 사용자 식별 정보의 정보, 사용자의 개인적인 정보, 사용자가 사용을 승인한 서비스, 서비스 지원 레벨의 품질 등을 포함한다. 또한, 도메인 연계 요구에 따라 적용되는 소정의 정책 정보를 더 포함 할 수도 있다. 연계 정책은 오퍼레이터 구성, 예를 들어 도메인간의 서비스 지원 레벨, 연계 도메인이 가입자에게 승인되도록 허용되는 서비스의 수 등을 포함한다.
AAA 서버(1.7)로부터 인증 제어기(1.6a)로의 응답은 어써션 성공 또는 어써션 실패이어야 한다. 또한, 어써션 성공은 "가입 능력(3.3)"에 대한 정보와 함께 응답된다. AAA 서버(1.7)에서, 가입 능력 정보는 미래의 사용을 위해 데이터베이스에 저장된다(3.4). 각각의 가입 능력은 "인증 어써션 질의"를 발행하는 방문 도메인(1.2)과, 요청을 발행하는 단말(1.3)을 가리키는 고유한 식별자를 갖는다. "가입 능력" 정보는 홈 도메인(1.1)과의 연계 또는 연합을 형성하는 방문 도메인(1.2)만을 의도한다. 이는, 홈 도메인(1.1)에 의해 알 수 있는 바와 같이 상기 방문 도메인(1.2)은 "신뢰" 사이트임을 의미한다. 방문 도메인(1.2)의 승인 제어기(1.6b)는 "가입 능력" 정보를 평가하여, 단말에 대해 제시되는 서비스 형태, 서비스 속성, 서비스 품질을 결정해야 한다.
방문 도메인의 인증 제어기(1.6a)는 "어써션 성공" 응답을 수신하자마자, 능력 정보를 추출하여 데이터베이스에 저장한다(3.4). 가입 능력은 그에 태그된 유효 기간을 갖는다. 유효 기간은 방문 도메인(1.2)이 사용자 계정에 대하여 청구할 수 있는 기간의 블록이다. 그러면, 승인 제어기(1.6b)는 "어써션 성공(3.5)"에 대해서 인증 제어기(1.6a)에 의해 통지된다. 그 후에, 승인 제어기(1.6b)는 인증 제어기(1.6a)로 반송되는(3.7) 사용자 토큰을 발행한다(3.6). 그러면, 인증 제어기(1.6a)는 사용자 토큰을 단말(1.3)로 반송한다(3.8). 단말(1.3)은 후속하는 자원 요청을 위해 상기 사용자 토큰을 그 로컬 데이터베이스에 저장한다.
토큰의 포맷은 "가입 능력 id"를 저장하는 "token_info" 필드를 포함해야 한다. 전체 "token_info" 필드는 토큰 메시지 내에서 암호화된다. 토큰 발행자만이 가입 능력 id를 포함하는 "token_info" 필드를 해석할 수 있다. 또한, 사용자 토큰은 시작 시간, 종료 시간, 토큰 발행자의 어드레스도 갖는다. 토큰 발행자만이 "가입 능력 id"를 해독하여, 보안의 추가적 레벨을 부가하는 키를 갖는다. 단말은 임의의 후속하는 자원 요청을 위해서 그 본래의 형태로 사용자 토큰을 반송하는 것만을 필요로 한다. 이러한 메시지 포맷을 위해서, 가입 능력_id에 대한 정보를 포함하는 "token info" 태그가 암호화된다.
다른 모든 태그는 암호화되지 않는다. 사용자 토큰에 대한 포맷의 예를 포맷 3으로서 도 11에 나타낸다.
이는, 악의적인 개체의 토큰 사용을 방지하기 위해서, 소정의 보안 메카니즘을 함께 사용해야 한다. 사용자 토큰을 보호하는 일례는, 토큰 발행자가 토큰과 함께 초기의 난수(random number)를 제공하는 것이다. 이 난수는 토큰을 사용하기 위한 시퀀스 번호로서 역할을 한다. 사용자가 토큰을 송출할 필요가 있을 때마다, 소정의 암호화 방법을 사용하여, 난수와 그 자신의 자격을 사용하는 보안 코드를 생성한다. 예를 들면, 사용자는 초기의 난수와 함께 자격에 의해 링크된 그 보안 협정을 부가하여, 고유한 번호를 형성한다. 보안 코드는 해쉬 함수, 예를 들어 MD5를 고유한 번호에 적용함으로써 생성될 수 있다. 사용자와 토큰 발행자 사이에서 사전 동의되는 한, 임의의 다른 암호화 방법을 사용할 수 있는 것은 당업자에게 있어서 자명한 것이다. 또한, 토큰 내에 필드를 포함하여, 보안 코드 생성을 위해 서 사용하는 알고리즘을 사용자에 대하여 나타낼 수도 있다. 알고리즘 목록을 포함하는 상기 필드를 가질 수도 있다. 사용자는 코드 생성을 위해 임의의 알고리즘을 상기 목록에서 선택하여, 토큰 발행자에게 보내어진 요청에서 선택된 알고리즘을 나타낼 수 있다.
보안 코드는 검증을 위해 사용자 토큰과 함께 네트워크로 보내어진다. 토큰 발행자는 인증 어써션에서 획득된 동일한 알고리즘과 동일한 정보를 사용하여 검증 코드를 생성한다. 검증 코드와 일치하는 보안 코드를 갖는 토큰만이 토큰발행자에 의해 유효화된다. 재전송 공격(replay attack)을 방지하기 위해서, 사용자와 토큰 발행자는 성공적인 서비스 요청 후마다 사전 동의된 방법에 따라 난수를 변경한다. 예를 들면, 사용자와 토큰 발행자는 토큰과 함께 초기에 획득된 보안 협정의 마지막 4비트만큼 초기의 난수를 증분할 수 있다.
또 다른 대안은 단말의 홈 도메인이 보안 검증 코드의 벡터와, 인증 어써션 질의에 내장된 가입 능력 정보 내의 대응하는 초기의 난수를 제공하는 것이다. 토큰 발행자는 단지 상기한 바와 같이 토큰과 함께 난수를 보내고, 보안 벡터로부터의 검증 코드를 사용하여, 사용자 토큰을 유효화한다. 이러한 옵션은 알고리즘이 홈 도메인과 단말에만 공지된다는 이점을 갖는다. 이는 갱신이 용이하고, 토큰 발행자에 대하여 보다 덜한 요구를 주장한다.
단말(1.3)이 유효한 사용자 토큰을 구비했으면, 자원의 승인을 위해 직접 승인 제어기(1.6b)와 접속해야 한다(3.9). 승인 제어기(1.6b)는 사용자 토큰의 "가입 능력 id"를 해독하여, 승인 제어기(1.6b)가 초기에 획득한 가입 능력과 비교한 다. 상기 능력이 단말의 요청을 승인하면, 승인 제어기(1.6a)는 그에 따라 자원을 할당하고(3.10), 단말(1.3)에 대해 응답해야 한다(3.11). 홈 도메인(1.1)의 AAA 서버(1.7)로부터의 응답이 "어써션 실패"이면, "실패 코드"는 "어써션 실패" 메시지에 부가되어 단말(1.3)로 반송될 필요가 있다.
방문 도메인(1.2)의 인증 제어기(1.6a)와 홈 도메인(1.1)의 AAA 서버(1.7) 사이에서 전달되는 메시지는 안정한 채널을 거친다. SSL/TLS, IPSEC 등과 같은 보안 메카니즘은 필요한 전송 계층 보안을 제공하는 데 사용될 수 있다. 인증이 성공적이지 않으면, 사용자는 그 성공적이지 못한 시도를 통지 받는다. 이는 "실패 코드"로부터 얻어진 소정의 표시 가능한 메시지, 또는, 소정의 사전 구성된 메시지일 수 있고, 예를 들면, 사용자에 대하여 또 다른 홈 도메인으로 시도할 것을 요청한다.
도 4는 명시적 승인 단계 동안에 수행된 메시지의 순차를 나타낸다. 단말(1.3)이 방문 도메인(1.2)으로부터 새로운 서비스를 요청하는 경우, 예를 들어 단말(1.3)이 블루투스 인터페이스(2.3)를 거쳐 접속되는 인쇄 서비스의 사용을 요구하는 경우에, 단말(1.3)은 초기 인증 단계 동안에 획득된 사용자 토큰이 내장된 승인 요청을 개시해야 한다. 이는, 단말이 또 다른 인터페이스 예를 들어 WLAN 인터페이스(2.2)를 사용하여, 인증에 관한 도 3의 초반부에 개시한 바와 같은 단계를 거쳤다고 가정한다. 단말(1.3)이 사용자 토큰을 구비했으면, 상이한 네트워크 인터페이스를 액세스하고 있지만, 인증 단계를 다시 거칠 필요가 없다.
새로운 요청은 승인 제어기(1.6b)를 거쳐야 한다. 승인 제어기(1.6b)가 사 용자 토큰이 내장된 자원 요청 메시지를 제시받았으면(4.1), 승인 제어기(1.6b)는 우선 토큰의 확실성을 검사한다. 또 다른 네트워크 인터페이스를 거치지만, 토큰은 인증 단계 동안에 그 자신에 의해 생성되었기 때문에, 승인 제어기(1.6b)는 토큰의 확실성을 검증할 수 있다. 토큰의 정보에 근거하여, 승인 제어기(1.6b)는 데이터베이스에 초반에 저장된 가입 능력의 정보와, 자원 요청을 비교하여, 사용자 또는 그 외의 사람에 대한 액세스를 승인할지 여부를 결정한다(4.2). 승인 요청이 허가되면, 방문 도메인(1.2)의 승인 제어기(1.6b)는 로컬 승인기(1.5a)에게 필요한 로컬 자원의 승인을 지시하고, 자원이 승인되었음을 단말(1.3)에 대해 응답해야 한다(4.3). 이와 달리, 요청 실패는 단말(1.3)로 반송된다.
라이브니스(liveness)를 유효화하기 위해, 즉, 사용자 토큰의 유효 기간을 결정하여 유효화하기 위해, 각각의 토큰에 관련된 "시작 시간" 및 "종료 시간"이 존재한다. 높은 수준의 보호를 위해, 방문 도메인(1.2)의 승인 제어기(1.6b)는 토큰이 시간 제한에 도달하면 단말(1.3)에 대해 새로운 사용자 토큰을 발행할 수 있고, 즉, 토큰이 만료하면 새로운 요청에 대해 재인증 프로세스가 개시된다. 사용자가 명시적으로 로그아웃하면, 토큰은 철회되어야 하고, 즉, 단말(1.3)은 임의의 다른 서비스 요청에 대해서 그 토큰을 사용할 수 없다. 또한, 방문 도메인(1.2)의 승인 제어기(1.6b)에서의 가입 능력은 삭제되어야 한다.
도 5에는 또 다른 시나리오에 대한 시스템 구조를 채용한 예를 나타내어, 복수의 방문 도메인이 존재하고, 방문 도메인(5.1)과 홈 도메인(5.8) 사이의 엔드 투 엔드 연계(end-to-end federation)가 존재하지 않지만, 싱글-사인-온을 여전히 실 현할 수 있다. 각각의 방문 도메인(5.1, 5.4)은 그 자신의 인증 제어기(5.2a, 5.5a)와 승인 제어기(5.2b, 5.5b)에 의해 관리된다. 도면에서는, 2개의 상이한 관할 도메인만을 도시한다. 복수의 방문 도메인에도 본 해결책을 적용할 수 있는 것은 당업자에게 있어서 자명한 것이다. 방문 도메인 1(5.4)은 홈 도메인(5.8)과 방문 도메인 2(5.2) 양쪽과 개별적으로 연계를 갖는 도메인이다. 방문 도메인 2(5.1)는 홈 도메인이 아니라 방문 도메인 1(5.4)과 연계하고 있다. 도 2에 도시된 구조와 마찬가지로, AA 제어기(5.2, 5.5)의 인증 제어기와 승인 제어기(5.2b, 5.5b)는 제어시에 상이한 역할을 수행하는 2개의 독립적인 개체이다. 그러나, 실행시에는, 통상적으로 이들 2개의 개체는 동일한 장치 상에 배치되기 때문에 통합할 수 있다.
도 5에 도시된 바와 같이, 방문 도메인 1(5.4)은 WLAN(5.6)과 3G UMTS(5.7) 서브 시스템을 포함한다. 방문 도메인 2(5.1)는 블루투스 서브 시스템(5.3)을 포함한다. 이들 2개의 도메인이 다른 서브 시스템의 임의의 조합을 포함할 수 있는 것은 당업자에게 있어서 자명한 것이다. 단말(5.10)은 방문 도메인 1(5.4)과 방문 도메인 2(5.1)의 양쪽에 의해 제공되는 네트워크 인터페이스를 액세스할 수 있다.
도 5의 방문 도메인 1(5.4)이 도 2의 방문 도메인(1.2)으로서 동작하는 도 3에 도시된 프로세스와 유사한 인증 프로세스에 의해, 단말(5.10)이 방문 도메인 1(5.4)을 통해 인증 프로세스를 이미 거쳤다고 가정한다. 예를 들면, 단말(5.10)은 원래 WLAN(5.6) 네트워크 인터페이스를 거쳐 방문 도메인 1(5.4)에 로그 온하여, 도 3개 도시된 바와 같이 동일한 인증 절차를 거쳤다.
단말이 "제3자" 네트워크 인터페이스를 거쳐서 서비스에 액세스하고자 시도하는 상황, 즉, 사용자 토큰을 발행하는 승인 제어기에 의해 제어되는 도메인 외부의 네트워크 인터페이스로부터 자원을 요청하는 상황, 예를 들면, 단말(5.10)이 방문 도메인 2(5.1)에 의해 제공되는 블루투스 네트워크 인터페이스(5.3)를 거쳐 인쇄 서비스에 액세스하고자 하는 상황이 존재한다. 이러한 경우에, 도 6에 상술한 바와 같은 절차가 트리거된다.
단말(5.10)은 사용자 토큰(6.1)이 내장된 "자원 요청" 메시지를 방문 도메인 2(5.1)의 승인 제어기 2(5.2b)로 제시한다. 단말(5.10)이 방문 도메인 2(5.1)와의 접속 포인트를 1개만 가지면, 자원 요청은 인증 제어기 2(5.2a)로부터 방향이 재설정된다고 가정한다.
사용자 토큰은 도 3에 도시된 바와 같이 인증 단계 동안의 초반에 획득되었다. 토큰에는 발행자의 어드레스가 태그되고, 이 경우에는 방문 도메인 1(5.4)의 승인 제어기 1(5.5b)의 어드레스이다. 승인 제어기 1(5.5b)이 토큰의 발행자이고 그것들은 모두 연합되어 있기 때문에, 승인 제어기 2(5.2b)는 승인 제어기 1(5.5b)에게 질의한다(6.2).
승인 제어기 1(5.5b)은 유효 기간과, 토큰(6.3)에 태그된 id 등을 검사함으로써 토큰의 확실성을 검증한다. 그 후에, 단말(5.10)이 요청된 서비스를 사용하도록 허용되는지 여부를 평가(6.3)하기 위해, 승인 제어기 1(5.5b)은 홈 도메인(5.8)으로부터 초반에 획득된 가입 능력을 검사한다. 그 후에, 승인 제어기 1(5.5b)은 승인 상태의 승인 제어기 2(5.2b)에 응답한다. 방문 도메인 1과 방문 도메인 2가 연계하고 있기 때문에, 응답은 방문 도메인 2에 의해 신뢰된다. 이들 2개의 도메인 사이의 메시지 교환은 그들간에 협상된 임의의 방식을 사용하여 안전하게 되어야 한다.
가입 능력 정보가 단말(5.10)에 대해 승인된 네트워크 인터페이스를 갖지 않으면, 승인 제어기 1(5.5b)은 홈 도메인(5.8)의 AAA 서버(5.9)로 "승인 어써션 질의"의 형태로 재승인을 발행한다. "승인 어써션 질의"에 대한 포맷은 포맷 4로서 도 12에 도시된다.
AAA 서버(5.9)는 새로운 요청을 검사하여, 단말(5.10)이 특정한 네트워크 인터페이스를 사용하기 위한 가입을 갖는지 여부에 대해서 응답한다(6.5). "가입 능력 id"에 근거하여, AAA 서버(5.9)는 초반에 발행된 가입 능력을 위치시키고, 사용자 가입 프로파일을 검색한다. 단말(5.10)이 요청된 네트워크 인터페이스를 사용하도록 승인되면, AAA 서버(5.9)는 부가적인 능력이 내장된 승인 성공에 따라 응답한다.
방문 도메인(5.4)의 승인 제어기(5.5b)에 의해 저장된 가입 능력은, 통상, 사용자 가입 프로파일 정보의 전체가 아니라, 방문 도메인 1(5.4)에 의해 제공된 네트워크 인터페이스 서비스만을 포함한다(6.3). 방문 도메인 1에서 새로운 능력을 수신하는 경우에, 데이터베이스를 갱신한다(6.6). 단말(5.10)이 네트워크 인터페이스를 사용하도록 이미 승인되어 있다고 능력에 대한 초반의 검사(6.3)에서 나타나면, 단계 6.4~6.6은 생략된다. "자원 요청"의 결과는 승인 제어기 1(5.5b)로부터 승인 제어기 2(5.2b)로 반송된다(6.7). 승인 제어기 2(5.2b)는 상기 결과에 근거하여 "자원 요청"에 대한 액세스를 허가할지 여부를 결정하고, 또한, 자원 요청의 상태에 관한 결과를 단말(5.10)로 전달한다(6.8).
본 발명은 방문 도메인 2(5.1)가 홈 도메인(5.8)에 연계되어 있는 경우에 적용 가능하다. 동일한 메시지 프로토콜이 적용되어야 한다.
또한, 본 발명은 홈 도메인이 토큰 발행자인 경우에 기능한다. 그러한 경우에 있어서, 홈 도메인에 연계되어 있는 방문 도메인에 대한 후속 액세스를 위해, 동일한 메시지 프로토콜이 적용되어야 한다. 인증이 홈 도메인을 거치는 경우에, 홈 도메인은 단말에 대하여 토큰을 발행해야 한다. 단말이 홈 도메인과 연계되어 있는 방문 도메인에 액세스하고자 시도하면, 토큰은, 이러한 경우에는 홈 도메인이어야 하는 토큰 발행자에 의해 검증된다.
또한, 본 발명은, 토큰 발행자가 연계 도메인에 존재하는 경우와, 단말이 홈 도메인의 자원을 액세스하고자 시도하는 경우에도 적용되어야 한다. 이들 경우에 있어서, 단말은 서비스 요청을 갖는 사용자 토큰을 홈 도메인에 제시한다. 홈 도메인은, 사용자 토큰을 수신하자마자, 단말의 홈 도메인 정보를 포함하는 사용자 토큰을 분석한다. 단말의 홈 도메인 정보가 그 자체인 경우에, 홈 도메인은 토큰 발행자에 의해 사용자 토큰의 확실성을 검증할 필요가 있다. 검증에 성공했으면, 홈 도메인은 가입 능력 정보를 갖는 토큰 발행자로부터의 승인을 획득하는 대신에, 사용자 가입 프로파일에 따라 서비스 사용을 승인한다.
단말(5.10)이 방문 도메인 2(5.1)에 자원 요청을 발행하기 전에, 방문 도메인 1(5.4)에 의해 인증 프로세스를 완료하지 않은 경우에, 도 5의 시스템 구조에 근거한 다른 시나리오를 도 7에 나타낸다. 단말(5.10)이 유효한 토큰 없이 네트워크 인터페이스를 액세스함으로써 개시되면, 인증 프로세스를 실행할 필요가 있다. 단말(5.10)이 액세스하고자 시도하는 방문 도메인이 홈 도메인(5.8)과 연계되어 있지 않으면, 방문 도메인은 신뢰 사이트로 간주되지 않기 때문에, 그에 따라 "가입 능력" 정보의 내용에 의해 제시되지 않아야 하므로, 인증 프로세스는 다소 상이하다. 그러나, 방문 도메인은 단말의 홈 도메인(5.8)과의 연합을 형성하는 다른 네트워크와 소정의 연합을 가질 수 있다. 따라서, 이러한 방식으로, 홈 도메인(5.8)과의 간접적인 연합을 형성한다.
이 시나리오에서 인증을 위한 단계를 도 7에 나타낸다. 방문 도메인 1(5.4)은 홈 도메인(5.8)과 방문 도메인 2(5.1)의 양쪽과 연계되어 있다. 방문 도메인 2(5.1)는 홈 도메인(5.8)과 연계되지 않는다. 단말(5.10)은 암호화된 그 사용자의 자격을 인증 제어기 2(5.2a)에 제시한다(7.1). 방문 도메인 2(5.1)의 인증 제어기 2(5.2a)는 홈 도메인(5.8) 어드레스를 검사하여, 홈 도메인(5.8)과 직접적인 연합을 갖지 않는 것을 찾는다. 따라서, 탐색 프로세스를 수행하여, 방문 도메인 1(5.4)이 단말의 홈 도메인(5.8)에 직접적인 연합을 갖고 있는 것을 찾는다.
상호 접속된 다수의 도메인이 존재하는 경우에, 즉, 탐색 프로세스로부터 복수의 결과, 즉, 홈 도메인(5.8)에도 제휴되어 있는 제휴 네트워크 목록이 존재할 수 있다. 예를 들면, 방문 도메인 2(5.1)는 홈 도메인(5.8)에 대해 연합을 갖는 다른 도메인에도 접속할 수 있다. 방문 도메인 2(5.1)는 임의의 사전 설정된 정책을 사용하여, 요청을 발송할 도메인을 결정할 수 있다. 예를 들면, 상이한 도메인 을 통한 접속은 상이한 차지(charges)를 초래할 수 있고, 또한 방문 도메인 2(5.1)는 가장 저렴하게 도메인을 선택해야 한다. 도메인을 선택함에 있어서 다른 기준, 예를 들어 부하 균형, 영역, 물리적 또는 지리적 거리, 규제적 고려, 또는 이용 가능한 모든 정보의 가중 조합(a weighted combination)을 사용할 수 있는 것이 명백하다. 또 다른 대안은, 방문 도메인 2(5.1)가 사용할 모든 가능한 방문 도메인을 갖는 메시지에 의해 단말(5.10)에 대해 응답하고, 단말(5.10)에 대해 하나를 선택하도록 촉구하는 것이다. 탐색 프로세스가 다양한 방식으로, 예를 들면 접속된 모든 도메인에 대한 단순한 질의, DNS 조사, MIB에 대한 질의, 등으로써 구현될 수 있는 것은 당업자에게 있어서 자명한 것이다.
사용하는 도메인, 예를 들어 방문 도메인 1(5.4)을 특정한 후에, 인증 제어기 2(5.2a)는 홈 네트워크(5.8)와 연합되어 있는 방문 도메인 1(5.4)의 인증 제어기 1(5.5a)에 대해 "인증 및 승인 요청"을 발행한다(7.2). 인증 제어기 1(5.5a)은 홈 도메인(5.8)의 AAA 서버(5.9)에 대해 "인증 어써션 질의"를 발행한다(7.3). 인증 어써션 질의가 성공하면, 가입 능력은 AAA 서버(5.9)로부터 인증 제어기 1(5.5a)로 보내어진다(7.4). 인증 단계가 완료되었음을 승인 제어기 1(5.5b)에게 통지하기(7.6) 전에, 인증 제어기 1은 이러한 가입을 데이터베이스에 저장한다(7.5). "가입 능력"으로부터, 승인 제어기 1(5.5a)은 단말(5.10)이 방문 도메인 2(5.1)에 의해 제공되는 서비스를 사용하도록 승인될지 여부를 분석한다. 인증 제어기 1과 승인 제어기 1의 양쪽은 "가입 능력"을 저장하는 데이터베이스에 액세스할 수 있다. 구현시에, 인증 제어기 1(5.5a), 승인 제어기 1(5.5b), 및 데이터베 이스는 동일하게 위치되거나, 물리적으로 분리될 수 있다.
승인 제어기 1(5.5b)은 서비스 요청에 대한 가입 능력을 검사한다(7.7). 단말이 액세스하길 소망하는 네트워크 인터페이스를 가입 능력 메시지가 포함하지 않으면, 승인 제어기 1(5.5b)은, 단말(5.10)이 제3자 네트워크에서 네트워크 인터페이스를 사용하도록 승인될지를 다시 어써트하도록, AAA 서버(5.9)에게 질의를 시도한다(7.8). 어써션 성공이 수신되면(7.9), 승인 제어기 1(5.5b)은 데이터베이스의 새로운 능력을 갱신하고, 새로운 사용자 토큰을 단말에 대하여 발행한다(7.10).
요청된 네트워크 단말에 대한 승인을 단말이 갖는다고 하는 정보를 가입 능력 메시지가 이미 갖고 있으면, 단계 7.8 및 7.9는 수행되지 않아야 한다. 이러한 경우에, 단계 7.10은 새로운 사용자 토큰의 생성만을 포함해야 한다. 데이터베이스의 갱신은 이 경우에 수행되지 않는다.
단말(5.10)에 대하여 승인이 주어지지 않으면, 사용자 토큰은 단말(5.10)로 반송될 필요가 있다. 사용자 토큰의 생성 후에, 승인 제어기 1(5.5b)은 인증 제어기 1(5.5a)로 사용자 토큰을 반송한다(7.11). 그 후에, 인증 제어기 1(5.5a)은, 요청이 성공적이면 사용자 토큰이 내장된 "인증 및 승인 요청"에 의해 인증 제어기 2(5.2a)에 대해 응답한다(7.12). 그 후에, 인증 제어기 2(5.2a)는 요청 상태에 대해 승인 제어기 2(5.2b)에게 통지한다(7.13). 승인 제어기 2(5.2b)는 필요한 자원을 할당하여(7.14), 인증 제어기 1에 대해 응답한다(7.15). 그 후에, 인증 제어기(5.2a)는 그 요청 상태에 대해 단말(5.10)에게 통지한다(7.16). 새로운 네트워크 인터페이스에 대한 후속 액세스 및 절차는 도 6과 유사하다.
시스템의 일반적인 동작과 사용자 정보의 기밀성을 보호하기 위해서, 보안 보호, 예를 들어 전송 계층 보안(TLS; Transport Layer Security)에 대한 보안 소켓 계층(SSL; Secure Socket Layer), IP 보안(ipsec) 등에 의해 메시지가 전달된다. 상이한 AAA 서버와 상이한 도메인의 AA 제어기 사이의 인증 및 승인의 양쪽에 대해 메시지의 교환 전에, 보안 터널링(secure tunnelling)이 확립된다고 가정한다. 충분한 보안 보호가 메시지 교환에 제공될 수 있는 한, 임의의 형태의 보안을 상기 프레임워크에 적용할 수 있는 것은 당업자에게 있어서 자명한 것이다.
예를 들면, 단말은 UMTS 인터페이스를 통해서 그 MMS를 수신하는 동시에, WLAN을 거쳐서 소정의 파일을 다운로드하는, 동시 다중 접속을 작동시킬 수 있고, 이는 듀얼/멀티 모드 단말에 대해서만 가능하다. 단말이 또 다른 네트워크로부터 보다 저렴한 비용으로 액세스하는 경우에는, 단말은 대안을 통지 받고, 네트워크 제공자가 단말의 서비스 제공자 오퍼레이터와 같이 제휴되거나 또는 동일하게 연계되어 있는 경우에는, 단말은 상기 다른 네트워크 제공자에게 등록될 필요가 없다. 장치가 이들 네트워크의 커버리지 영역 내에 있으면, 연계한 네트워크는 개별화된 영역 네트워크의 형태로 될 수 있다. 예를 들면, 봉쇄 영역에서, 단말이 WLAN 서비스에 대해 로그온하여, 블루투스 또는 적외선 장치의 사용을 결정하면, 단말은 상이한 서비스에 개별적으로 로그인할 필요가 없다.
도 7에 나타낸 단계는 1단(single-tier) 연계 탐색에 대해서만 실행 가능하고, 즉, 단말이 접속하고자 시도하는 새로운 도메인은 홈 도메인과 연계된 도메인에 직접 접속된다. 그러한 가정을 유지하지 않는 경우에, 다단(multi-tier) 탐색 이 구현될 필요가 있다. 다단 탐색을 지원하기 위해서, 탐색에 대해서 추가적인 단계가 수행될 필요가 있다. 하나의 방법은 철저한 검색을 수행하는 것이다. 이는 프록시로서 기능하는 복수의 중간 방문 도메인을 필요로 한다.
도 8은 다단 도메인 연계 시나리오에서의 본 발명에 대한 순차도의 예를 나타낸다. 도 8에서, 단말(8.1)은 우선 "로그인 및 자원 요청"을 발행하고(8.6), 그 사용자 자격을, 단말(8.1)이 그 자원에 액세스하고자 하는 도메인인 방문 도메인 A(8.2)에 제공한다. 인증 제어기 및 승인 제어기는 도시를 단순화하기 위해 여기서는 구별되지 않는다.
방문 도메인 A(8.2)는 다단 연계 프로세스에 대한 검색을 개시한다(8.7). 검색을 수행하기 위해 가능한 방법은, 방문 도메인 A(8.2)가 의도된 홈 도메인 정보를 포함하는 특별한 메시지를 상호 접속된 모든 도메인에게 보내는 것이다. 이러한 메시지는 수명 제한(a life limit)을 포함하고, 한정된 수의 도메인을 가로지른 후에 폐기된다. 도메인이 상기 메시지를 수신하면, 홈 도메인(8.5)과의 연계 접속을 갖는지 여부를 검사한다. 홈 도메인(8.5)과의 연계 접속을 갖으면, 방문 도메인 A(8.2)가 상기 도메인에 대하여 요청을 전달하도록, 상기 도메인은 방문 도메인 A(8.2)에게 통지한다.
메시지를 수신하는 도메인이 홈 도메인(8.5)과 전혀 관계가 없으면, 로컬 정책에 따라 메시지를 폐기하거나, 다른 도메인으로 메시지를 더 전달할지를 결정한다. 메시지를 전달하기 전에, 도메인은 메시지에 그 자신의 정보를 첨부한다. 따라서, 메시지는 가로지르는 모든 도메인에 대한 정보를 운반한다. 이러한 정보는 순환적인 전달을 방지하는 데 사용될 수 있다. 또한, 사용자 요청을 전달하기 위해(8.6) 방문 도메인 A(8.2)에 의해 나중에 사용될 수 있다.
예를 들면, 도메인명 서비스(DNS; Domain Name Service)를 사용하거나, 중앙 서버에 질의하거나 하는 등의 경로를 검색하는 다른 방법이 있을 수 있는 것은 당업자에게 있어서 자명한 것이다. 경로 검색 절차(8.7)는 여러 결과를 가져올 수 있다. 이러한 경우에, 방문 도메인 A(8.2)는 소정의 정책 규칙을 사용하여, 어떤 경로를 사용할지, 예를 들면 가장 짧은 것, 가장 유명한 것 등을 결정한다. 사용할 경로를 선택하는 가능한 방법은 예를 들어 이하의 정보에 근거할 수 있다.
ㆍ홈 도메인에 도달하기 전에 요청이 통과해야 하는 인증 제어기의 수
ㆍ방문 도메인과 대응하는 인증 제어기 사이의 물리적 및 지리적 거리
ㆍ방문 도메인과 노드를 액세스함으로써 발생되는 비용
ㆍ방문 도메인의 부하 상태
ㆍ방문 도메인과 대응하는 인증 제어기의 서비스 능력
ㆍ방문 도메인의 규제적 제약
ㆍ상기 정보의 가중 조합
방문 도메인 A(8.2)가 관련된 모든 정보를 포함하는 에러 메시지를 사용자에게 되돌려, 소망하는 경로를 선택하도록 사용자를 촉구할 수도 있다.
신호화 경로를 특정한 후에, 방문 도메인 A(8.2)는, 단지 다음 도메인 노드로 요청을 전달하는(8.8) 하나 이상의 중간 도메인(8.3)에게 "로그인 및 자원 요청"을 전달한다(8.6). 다음 도메인 노드에 대한 경로는 검색 및 탐색 동안에 결정 된 경로로서 알려져 있다. 전달할 다음 노드가 어떤 것인지 중간 노드가 알기 위해서, 전달하는 동안에 "로그인 및 자원 요청"에 경로 테이블을 내장할 수 있다.
홈 도메인에 직접적으로 연계되어 있는 방문 도메인 B(8.4)에게 요청이 최종적으로 도달하면(8.9), 인증 및 승인을 수행하기 위한 단계가 수행된다(8.10). 이 단계는 도 7에 나타낸 바와 같이 방문 도메인 1(5.4)과 홈 도메인(5.8) 사이의 메시지 교환과 유사할 수 있다. "승인 응답"은, 반대의 순서로 경로 테이블을 사용하여, 홈 도메인(8.5)으로부터 방문 도메인 A(8.2)로 반송된다(8.11, 8.12). 방문 도메인 A(8.2)는 단말(8.1)에 대해 응답하기(8.13) 전에 응답을 처리한다(8.14). 연계의 동일한 개념이 상기 복수의 도메인 연계 환경에서도 여전히 적용된다.
(실시예 2)
AAA 서버에 의해 복귀 메시지에 내장된 가입 능력(3.3, 7.4)은, 승인된 인터페이스 형태 정보와, AAA 서버에 의한 각각의 인터페이스 형태에 대해 허가된 QoS 레벨 정보를, 방문 도메인의 단말에 포함한다.
승인된 인터페이스 형태 정보는, 단말이 방문 도메인에서 사용하도록 승인되는 네트워크 인터페이스 형태의 목록을 포함한다. AAA 서버는 "인증 어써션 질의"를 개시하는 방문 도메인에 의해 제공되는 네트워크 인터페이스 형태와, 사용자에 의해 가입되는 네트워크 인터페이스 형태만을 포함한다. 예를 들면, 도 2에서의 시스템 구조에 있어서, 방문 도메인(1.2)으로 되돌려진 가입 능력 정보는 "블루투스, WLAN, UMTS"를 포함하지만, 사용자는 상기한 3개의 네트워크 인터페이스에 부 가하여 GPRS에도 가입할 수도 있으나, 방문 도메인(1.2)에는 공지되어 있지 않다. 이는, 방문 도메인(1.2)이 3개의 네트워크 인터페이스 서비스만을 제공하기 때문이다. 각각의 인터페이스 형태와 관련된 QoS 레벨은 상기 가입 능력 정보에도 내장된다.
도 7의 시스템 구조의 다른 예에서, 방문 도메인 1(5.4)에 되돌려진 가입 능력 메시지는, 이러한 경우에는 방문 도메인 1이 이들 2개의 네트워크 인터페이스만을 제공하기 때문에, "WLAN 및 UMTS"만을 포함해야 한다. 단말(5.10)이 다른 네트워크(방문 도메인 2(5.1))에 의해 제공되는 블루투스 인터페이스에 액세스하고자 시도하면, 방문 도메인 1(5.4)의 승인 제어기는 블루투스 인터페이스(5.3)에 대해 특정한 다른 "승인 어써션 질의"를 찾아야 한다. 그 승인 어써션이 성공하면, 방문 도메인 2(5.1)는 단말(5.10)에 대한 액세스를 허가하도록 방문 도메인 1(5.4)에게 통지한다.
가입 능력 메시지 포맷의 예를 도 13에 포맷 5로서 나타낸다. 전체 가입 능력 정보는 안정한 방식으로 수취인에게 전달되어야 하고, 예를 들면, 안정한 채널을 사용하여 상기 정보를 전달해야 한다. 채널이 불안정하면, 보안을 제공하는 데 암호화를 사용할 수 있다. 이 가입 능력은 "authentication_assertion_replay"(3.3, 7.4) 메시지에 내장되어, "authentication_assertion_query"를 발행하는 신뢰되는 개체에 대하여 AAA 서버로부터 반송된다.
또한, 가입 능력 정보는 제휴 네트워크가 "authorization_assertion_query" 메시지를 발행하는 경우에도 획득될 수 있다. AAA 서버(1.7, 5.9)는 "authorization_assertion_reply"(6.5, 7.9)에 상기 가입 능력을 내장한다. "authorization_assertion_reply"에서 되돌려진 가입 능력 정보는 통상적으로 소정의 네트워크 인터페이스 자원 상의 "authorization_assertion_query"에 대해 응답한다.
가입 능력 정보에 내장된 보안 벡터 필드는 필요한 경우에 사용자의 식별 정보를 검증하도록 도메인의 수신을 돕는 것이다. 예를 들면, 사용자 토큰을 사용하여 서비스 요청의 유효성을 검증하는 데 승인 제어기를 사용할 수 있다. 보안 벡터는 하나의 보안 정보 또는 홈 도메인에 의해 생성된 검증 코드의 목록을 포함할 수 있다.
도 7을 예로 한다. 단계 7.4에서, 가입 능력은 도 5의 시스템 구조와 관련하여 WLAN(5.6) 및 UMTS(5.7)의 인터페이스 형태를 포함한다. 이는, 방문 도메인 1(5.4)이 2개의 네트워크 인터페이스만을 제공하는 것을, AAA 서버(5.9)가 연계 정책으로부터 알기 때문이다. 이는, 다른 네트워크 기술에 액세스하는 다른 서비스의 전체 범위에 대해 사용자가 가입할 수 있다는 사실을 무시한다. 이는, 사용자 가입 정보의 전체가 아니라, 이 경우에는 방문 도메인 1(5.4)인 제휴 방문 도메인에 제한된 사용자 가입 정보를 제시할 뿐이다.
포맷 5에 나타낸 템플릿 포맷(template format)을 사용하는 포맷 6으로서, 가입 능력을 도 14에 나타낸다.
되돌려진 네트워크 인터페이스마다, QoS 레벨 정보도 내장된다. 예를 들면, WLAN 네트워크 인터페이스는 값 A와 동등한 QoS 레벨을 갖는다. 값 A는 최소 보장 대역폭, 최대 송신율, 버스트 레이트, 지터, 최대 지연 등과 같은 QoS 정보의 목록을 포함한다. 상기 인터페이스 형태 및 그 QoS 레벨만을 도시한다. 네트워크 인터페이스 및 QoS 레벨의 다른 변경을 본 발명에도 적용할 수 있는 것은 당업자에게 있어서 자명한 것이다.
단계 7.8에서, 요청은 블루투스 인터페이스에 대한 액세스를 위한 것이다. 따라서, 블루투스가 WLAN 및 UMTS를 포함하는 초기 목록에 없기 때문에, 승인 제어기 1(5.5b)은 "authorization_assertion_query"를 발행한다. 따라서, "authorization_assertion_reply"에 내장된 가입 능력은 블루투스 인터페이스에 대한 어써션만을 포함한다. 이 정보는 포맷 7로서 도 15에 나타낸다.
WLAN 또는 UMTS에 대한 후속 액세스를 위해서, 단말의 서비스 가입 정보를 이미 알고 있는 승인 제어기 1(5.5b)은, 단말(5.10)이 WLAN 또는 UMTS를 거쳐서 접속되는 다른 서비스에 액세스하고자 시도하는 경우에, 단말(5.10)에 대해 승인을 허가할지 여부 등을 결정한다.
단말이 "authorization_assertion_query"를 발행하는 방문 도메인에 의해 제공되는 서비스에 가입하지 않으면, 가입 능력은 단말에 의해 가입되지 않은 서비스를 가지지 못한다. 요컨대, 상기 바람직한 실시예에서 유도된 가입 능력은 방문 도메인에 의해 제공되는 네트워크 서비스와, 단말에 의해 가입되는 네트워크 서비스와의 결합을 포함한다.
(실시예 3)
복수의 도메인 서비스를 액세스할 때에, 사용자는 복수의 가입을 가질 수 있다. 이 경우에, 사용자 단말은 특히 네트워크 공유를 위해서 복수의 홈 도메인 시나리오를 제공할 필요가 있다. 예를 들면, WLAN 핫스폿(hotspot)은 사용자의 홈 도메인 1과 연계된 도메인에 의해 소유될 수 있지만, 사용자의 홈 도메인 2에 의해 공유될 수도 있다. 따라서, 사용자 단말은 어떤 가입이 인증될지를 선택할 수 있어야 한다.
이를 해결하는 방법은, 사용자의 홈 도메인이 가입 프로파일의 일부로서 사용자에게 관련 정보를 제공하는 것으로서, 예를 들면, 사용자에게 주어진 USIM 카드에 저장하는 것이다. 사용자 단말은 홈 도메인의 목록을 유지한다. 사용자 단말이 네트워크에 액세스할 필요가 있으면, 네트워크와 연관된 도메인 정보를 획득하여, 홈 도메인 목록 내의 정보와 비교한다. 네트워크가 그 홈 도메인 중 하나에 의해 소유되면, 사용자 단말은 그 도메인으로부터의 대응하는 가입을 사용하여 인증을 시도한다. 동일한 네트워크를 공유하는 복수의 홈 도메인이 존재하는 경우에, 홈 도메인을 선택함에 있어서 사용자 단말이 그 선택 기준을 설정할 수 있는 것도 당업자에게 있어서 자명한 것이다. 이 기준은 가입을 사용하여 네트워크를 액세스하는 레이트, 도메인 가입의 용량, 도메인과 그 연계로부터 이용 가능한 서비스, 규제 정보, 사전 설정된 우선권 등을 포함한다. 이들 기준의 가중 조합도 사용될 수 있다. 사용자 단말이, 소정의 사전 설정된 규정에 근거하여, 예를 들면, 로밍 사용자로서 네트워크를 액세스하는 데 보다 저렴해지는 것에 근거하여, 네트워크를 직접 소유하지 않는 도메인을 선택하는 데 이들 기준을 사용할 수도 있다.
통상의 경우에, 사용자 단말의 홈 도메인이 액세스하는 네트워크를 소유하지 않으면, 로컬 방문 도메인에서 사용자를 인증하는 것이 보다 빨라진다. 따라서, 홈 도메인과 연계되고 또한 사용자 단말에 가까운 도메인의 인증 및 승인 제어기는 홈 도메인으로부터, 예를 들어 중앙 데이터베이스로부터 소정의 사용자 가입 정보를 다운로드하여, 사용자 인증 및 서비스 승인을 국부적으로 수행할 수 있다. 이 경우에, 사용자 단말은, 예를 들면, 사용자 단말이 서비스를 가입하는 홈 도메인 대신에 홈 도메인으로서의 연계 도메인을, 그 인증 요청에 있어서 사용함으로써, 국부적으로 인증되길 소망하는 것을 서비스 요청에 나타내어야 한다.
사용자 단말은, 정적 구성 예를 들어 USIM 카드에 저장된 목록, 또는, 동적 탐색 예를 들어 이전의 인증 절차를 거친 학습을 통해서, "대용 홈 도메인"으로서 사용되는 도메인에 대한 정보를 획득할 수 있다. 단말에 저장된 정보는 각각의 홈 도메인이 연계되어 있는 도메인의 목록과, 대응하는 상태 정보 예를 들어 도메인을 사용하는 비용, 규제 정보 등을 포함한다. 사용자 단말이 "대용 홈 도메인" 후보를 동적으로 학습하는 방법 중 하나는, 이전에 수신되었던 사용자 토큰의 발행 도메인을 모두 저장하는 것이다. 사용자 토큰을 사용자 단말에 발행하기 위해, 도메인은 다운로드된 사용자의 가입 정보를 가져야 하고, 사용자의 홈 도메인과의 연계 관계를 가져야 한다. 따라서, 이 도메인에 의해 다시 인증되도록 요청하는 것이 안전하다. 그들 도메인을 탐색하는 다른 가능한 방법이 있는 것은 당업자에게 있 어서 자명한 것이다. 예를 들면, 가입한 사용자 단말의 홈 도메인은 인증 요청 응답에 있어서 그 자신과 연계된 모든 도메인을 내장할 수 있다. 단말은 메시지로부터 그 도메인 목록을 검색하여, 홈 도메인 목록에 저장할 수 있다. 목록에 복수의 "대용 홈 도메인" 후보가 존재하는 경우에, 적절한 홈 도메인을 선택하기 위한 상기 방법은 적절한 "대용 홈 도메인"을 식별하는 데 재사용될 수 있다.
사용자 단말이 인증 요청을 보내는 경우에, 인증 요청은 그 홈 도메인과 "대용 홈 도메인"의 목록의 양쪽을 포함할 수 있다. 이는, 상기 요청을 수신하는 인증 제어기가 적절한 도메인을 선택하여 사용자 단말을 인증하도록 허용한다. 인증 제어기에서의 도메인의 선택은 로컬 도메인 정책, 연계 규약 등에 근거할 수 있다. 이를 가능하게 하기 위해서, 인증 요청에 내장된 User_ID는 대응하는 정보를 포함하도록 연장되어야 한다. User_ID 필드에 대한 포맷의 예를 포맷 8로서 도 16에 나타낸다.
사용자 식별 기호는 일반적으로 사용자 자격과 그 대응하는 홈 도메인 정보를 포함한다. 네트워크가 어떤 도메인에 인증을 수행할지 결정할 수 있게 하는 특징을 지원하기 위해서, "대용 홈 도메인"의 목록은 인증 요청에 포함된다. 포맷 8의 <Sub_Home_Domain> 필드는 "대용 홈 도메인" 목록을 나타낸다. "num" 속성은 상기 목록에서의 요소의 수를 나타낸다. 목록에서의 마지막 요소에 n이 마지막 번호인 "<n>"으로 라벨링될 때까지, 오름차순으로, 상기 "대용 홈 도메인"에서의 제 1 요소는 태그 "<1>"로 저장되고, 제 2 요소는 "<2>"로 저장된다. 목록을 저장하는 임의의 포맷을 본 발명에 적용할 수 있는 것은 당업자에게 있어서 자명한 것이 다. 상기 인증 요청을 받아들인 도메인이 "대용 홈 도메인" 목록에서 자기 자신을 발견하면, 인증이 국부적으로 수행될 수 있음을 알 수 있다. 이러한 도메인이 상기 목록에서 자기 자신을 발견할 수 없으면, 소정의 사전 설정된 기준, 예를 들면 자기 자신과 선택되는 도메인 사이의 거리, 연계 정책의 규칙 등에 따라 가장 적절한 도메인을 선택한다.
사용자 가입 프로파일이 연계 방문 도메인으로 다운로드되는 것이 허용되지 않으면, 가입 능력 정보는 서비스 승인에 사용될 수 있다. 단말이 이전에 방문한 도메인마다, 방문 도메인 내에 방문 기록을 유지할 수 있다. 방문 도메인의 인증 제어기가 인증을 수행하기 위해서, 단말의 가입 능력을 검색할 수 있도록, 단말은 방문 도메인에 대하여 자기 자신을 식별할 필요가 있다. 단말의 본래의 자격을 식별 기호로서 사용하면, 방문 도메인의 인증 제어기는 본래의 자격을 해독하는 수단을 가져야 한다. 따라서, 홈 도메인은 사용자 자격을 해독하는 키를 방문 도메인에게 제공할 필요가 있다. 사용자 자격 및 그 관련 사용자 가입 능력은 단말의 첫 번째 방문 후에 방문 도메인에 저장된다. 따라서, 사용자가 동일한 자격을 사용하여 인증 요청을 제시하는 경우에, 방문 도메인의 인증 제어기는 그 데이터베이스를 검색함으로써 자격을 인식할 수 있다. 따라서, 인증은 상기 방문 도메인 내에서 국부적으로 수행되고, 서비스 승인은 단말의 초반의 방문 동안에 획득된 가입 능력 정보에 근거하여 승인 제어기에 의해 수행될 수 있다.
본래의 사용자 가입 프로파일 또는 사용자 자격을 드러내지 않고 보다 빠른 로컬 인증을 제공하는 대안적인 해결책은, 방문 도메인이 로컬 사용자 자격을 단말 에 제공하는 것이다. 인증 제어기는 별도의 로컬 자격을 단말에 대해 발행할 수 있다. 이 로컬 사용자 자격은 인증 요청의 응답 메시지에서 단말로 반송될 수 있고, 단말은 이 로컬 사용자 자격을 그 로컬 데이터 저장 장치 또는 USIM에 저장할 수 있다. 로컬 자격은 사용자 토큰과는 상이한 목적을 담당한다. 사용자 토큰은 그 유효 수명 내내 사용되고, 사용자 토큰이 서비스 요청 및 싱글-사인-온에 사용되는 경우에 인증이 성공적으로 완료된다고 가정한다. 로컬 사용자 자격은 상기 단말이 상기 방문 도메인을 재방문하여 인증을 재차 구하는 경우에 사용된다. 이 해결책은 방문 도메인에 대하여 드러내어지는 사용자 가입 프로파일 또는 본래의 사용자 자격을 필요로 하지 않는다. 예를 들면, 단말이 상기 방문 도메인과 연관시키고자 시도하는 경우에, 상기 도메인에 이전에 방문했었는지를 검색한다. 그러면, 단말은 인증을 위해 상기 방문 도메인에 의해 제공되는 로컬 id의 사용을 시도할 수 있다. 방문 도메인의 마지막에서, 그 인증 제어기는 상기 로컬 id와 관련된 사용자 가입 능력을 검색하여, 홈 도메인으로부터의 검증을 구하지 않고 인증을 수행한다.
본 발명은 데이터 통신 네트워크 분야에 적용된다. 특히, 본 발명은 이동통신 네트워크에서의 이동 단말의 액세스 제어에 관한 기술에 적용될 수 있다.

Claims (32)

  1. 비즈니스 관계를 갖는 복수의 관할 도메인(administrative domains)의 복수의 네트워크를 액세스하기 위한 싱글-사인-온(single-sign-on)을 실현하도록 사용자 인증 및 승인을 관리하는 시스템으로서,
    사용자 가입 정보, 도메인 정책, 상호 도메인 규약, 사용자 요청에 근거하여, 사용자 인증 및 승인의 상태를 관리하는 기능을 갖는 사용자의 홈 도메인의 액세스 제어 기관(Access Control Authority)과,
    사용자 정보와 도메인 정책을 획득하기 위해 상기 액세스 제어 기관과 통신하고, 상기 사용자를 인증하는 상기 사용자의 홈 도메인과 비즈니스 관계를 갖고 있는 관할 도메인의 인증 제어기(Authentication Controller)와,
    사용자 가입 정보, 도메인 정책, 상호 도메인 규약에 근거하여, 비즈니스 관계를 갖는 관할 도메인과 로컬 관할 도메인의 네트워크를 통해 서비스에 대한 상기 사용자의 액세스를 제어하는 액세스 제어기와 동일한 관할 도메인의 승인 제어기(Authorization Controller)
    를 포함하는 시스템.
  2. 제 1 항에 있어서,
    상기 시스템은, 상기 사용자의 홈 도메인과 비즈니스 관계가 아닌 관할 도메 인의 네트워크를 액세스하는 사용자를 지원하고,
    상기 사용자의 홈 도메인과 직접적인 비즈니스 관계를 갖는 관할 도메인에서의 인증 제어기를 탐색하여, 상기 홈 도메인과 직접적인 비즈니스 관계를 갖는 상기 인증 제어기로 인증 요청을 전달하는 부가적인 기능을 갖는 로컬 관할 도메인의 인증 제어기와,
    동일한 관할 도메인의 상기 인증 제어기와의 통신 결과에 근거하여, 상기 사용자에 대한 네트워크 액세스 및 자원을 제어하는 기능을 갖는 로컬 관할 도메인에서의 승인 제어기
    를 더 포함하는 시스템.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 시스템은, 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위한 싱글-사인-온을 실현하도록 사용자 인증 및 승인을 관리하며,
    사용자의 가입 정보, 상태 정보, 도메인 정책, 상호 도메인 규약을 저장하는 홈 도메인의 중앙 데이터베이스를 더 포함하는 시스템.
  4. 제 1 항에 있어서,
    상기 시스템은, 복수의 가입을 갖는, 복수의 관한 도메인에서의 복수의 네트 워크를 액세스하는 사용자를 지원하고,
    복수의 홈 도메인 가입 정보를 저장하는 홈 도메인 목록을 포함하는 사용자 장치를 더 포함하는 시스템.
  5. 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위한 싱글-사인-온을 실현하도록 사용자 인증 및 승인을 관리하는 방법으로서,
    사용자의 홈 도메인의 액세스 제어 기관이, 수신된 인증 요청에 내장되는 사용자 자격(user credentials)에 의해 식별된 사용자 가입 프로파일로부터 가입 능력 정보(subscription capability information)를 유도하는 단계와,
    사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 인증 제어기가, 상기 액세스 제어 기관으로부터 수신된 상기 가입 능력 정보를, 동일한 도메인의 승인 제어기에 의해 액세스 가능한 로컬 데이터베이스에 저장하는 단계와,
    상기 가입 능력 정보, 도메인 정책, 상호 도메인 규약에 근거하여, 상기 승인 제어기가 사용자 토큰을 생성하는 단계와,
    사용자 단말이 상기 사용자 토큰과 도메인 정보를 수신 및 저장하여, 후속하는 네트워크 액세스 요청을 수행하는 데 사용하는 단계
    를 포함하는 방법.
  6. 제 5 항에 있어서,
    상기 승인 제어기가 자기 자신에게만 알려진 보안키로 상기 사용자 토큰을 암호화하는 단계를 더 포함하는 방법.
  7. 제 5 항에 있어서,
    상기 인증 제어기가, 상기 인증 요청을 수신하여, 상기 요청에 나타내어진 상기 홈 도메인과, 상기 인증 제어기에 속해 있는 관할 도메인 사이의 관계를 검증하는 단계와,
    상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 인증 제어기가, 동일한 도메인에서의 승인 제어기에게 상기 사용자 토큰을 생성하도록 통지하는 단계와,
    상기 승인 제어기가, 동일한 도메인에서의 상기 인증 제어기로 상기 생성된 사용자 토큰을 보내는 단계
    를 더 포함하는 방법.
  8. 싱글-사인-온에 의해 복수의 관할 도메인에서의 복수의 네트워크로부터 서비스를 액세스하는 방법으로서,
    단말이, 청구항 5에 기재된 방법에서 획득된 사용자 토큰을 내장하는 서비스 승인 요청을, 로컬 관할 도메인의 승인 제어기로 보내는 단계와,
    상기 사용자 토큰을 생성한 승인 제어기가, 상기 사용자 토큰을 검증 및 해독하고, 상기 사용자 토큰에 내장된 식별 정보를 사용하여 로컬 데이터베이스로부터 사용자 가입 능력 정보를 검색하는 단계와,
    상기 사용자 토큰을 생성한 상기 승인 제어기가, 상기 가입 능력 정보, 도메인 정책, 상호 도메인 규약에 근거하여, 상기 서비스 승인 요청을 승인하는 단계
    를 포함하는 방법.
  9. 제 8 항에 있어서,
    상기 승인 제어기가, 상기 사용자 토큰에 내장된 정보를 사용하여, 수신된 사용자 토큰을 생성한 승인 제어기의 식별 정보를 획득하여, 상기 사용자 토큰을 생성한 승인 제어기로 대응하는 서비스 승인 요청을 전달하는 단계를 더 포함하는 법.
  10. 제 7 항에 있어서,
    상기 인증 제어기가 인증 요청 메시지를 처리하는 것은,
    상기 인증 요청 메시지에서 홈 도메인 정보를 추출하여, 상기 홈 도메인과 비즈니스 관계를 갖는 도메인에 도달하도록 인증 제어기의 조합에 대한 검색을 개시하는 단계와,
    로컬 선택 기준을 사용하여, 상기 홈 도메인과 비즈니스 관계를 갖는 도메인에 도달하도록, 상기 검색 결과로부터 상기 인증 제어기의 조합을 선택하는 단계
    를 포함하는 방법.
  11. 제 10 항에 있어서,
    상기 인증 제어기가 인증 요청 메시지를 처리하는 것은,
    상기 인증 제어기의 선택된 조합에 근거하여, 상기 홈 도메인과 비즈니스 관계를 갖는 도메인의 인증 제어기로 상기 요청 메시지를 전달하는 단계를 더 포함하는 방법.
  12. 제 10 항에 있어서,
    상기 인증 제어기는,
    상기 조합에서의 인증 제어기의 수와,
    상기 조합에서의 인증 제어기간의 거리와,
    상기 조합에서의 인증 제어기를 액세스함으로써 발생하는 비용과,
    상기 조합에서의 인증 제어기가 속하는 도메인의 부하 상태와,
    상기 조합에서의 인증 제어기의 기능과,
    규제 정보와,
    소정의 사전 설정된 도메인 정책과,
    모든 관련 정보의 가중 조합(weighted combination)
    을 포함하는 정보에 근거하여, 상기 검색 결과로부터 인증 제어기의 조합을 선택하는 것인 방법.
  13. 제 10 항에 있어서,
    상기 인증 제어기가 상기 검색 결과로부터 인증 제어기의 조합을 선택하는 것은,
    상기 인증 제어기가 상기 모든 조합 및 관련 정보를 포함하는 메시지를 사용자에게 보내는 단계와,
    상기 사용자가 상기 조합을 선택하여, 상기 인증 제어기에게 선택된 조합을 나타내는 단계
    를 포함하는 방법.
  14. 제 8 항에 있어서,
    상기 사용자 토큰을 생성하는 승인 제어기가 상기 서비스 승인 요청 메시지 를 처리하는 것은,
    청구항 5에 기재된 인증 제어기에 의해 저장된 가입 능력과, 상기 사용자의 서비스 승인 요청에서의 서비스 요청을 비교하는 단계와,
    상기 가입 능력에서 상기 서비스 요청을 발견하지 못한 경우에 재승인을 수행하는 단계와,
    상기 재승인 결과가 새로운 능력을 포함하면, 상기 로컬 데이터베이스의 가입 능력을 갱신하는 단계
    를 포함하는 방법.
  15. 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 승인 제어기가 상기 사용자의 홈 도메인으로부터 승인을 명시적으로 구하지 않고서 서비스 승인을 수행하는 방법으로서,
    사용자 토큰이 내장된 서비스 요청을 수신한 경우에, 청구항 5에 기재된 인증 프로세스 동안에 상기 사용자의 홈 도메인으로부터 획득된 상기 사용자의 가입 능력을 검색하는 단계와,
    사용자 가입 능력의 서비스 정보, 도메인 정책, 상호 도메인 규약에 근거하여, 서비스 요청을 승인하는 단계
    를 포함하는 방법.
  16. 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 인증 및 승인 제어기가 상기 사용자의 홈 도메인으로부터 검증을 명시적으로 구하지 않고서 인증 및 서비스 승인을 수행하는 방법으로서,
    정보를 저장하는 사용자의 홈 도메인에서의 데이터베이스에 액세스함으로써, 상기 사용자의 홈 도메인으로부터 가입 능력 정보를 획득하는 단계와,
    상기 사용자가 사용자 토큰 없이 서비스를 액세스하는 경우에, 사용자 토큰을 상기 사용자에게 발행하는 단계와,
    상기 사용자의 홈 도메인과 접속하지 않고서, 가입 능력의 서비스 정보, 도메인 정책, 상호 도메인 규약에 근거하여, 상기 사용자로부터의 서비스 요청을 인증 및 승인하는 단계
    를 포함하는 방법.
  17. 사용자의 홈 도메인과 비즈니스 관계를 갖지 않는 도메인의 인증 제어기가 사용자를 인증하기 위한 방법으로서,
    상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인에 대하여, 자기 자신과 비즈니스 관계를 갖는 도메인 중에서 질의하는 단계와,
    서비스 브로커(a service broker)로서 기능하고, 상기 사용자의 서비스 요청의 승인을 수행하도록, 상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 상기 도 메인에 요청하는 단계와,
    상기 사용자를 인증할지 여부를 결정하는 데 상기 서비스 브로커로부터의 정보를 사용하는 단계
    를 포함하는 사용자 인증 방법.
  18. 상기 사용자의 홈 도메인과 비즈니스 관계를 갖지 않는 도메인의 인증 제어기가, 청구항 10에 기재된 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인으로의 경로를 탐색하기 위한 방법으로서,
    상기 인증 제어기가, 로컬 구성에 따라, 상기 사용자의 홈 도메인과 상기 메시지의 수명을 나타내는 질의 메시지를, 자기 자신과 비즈니스 관계를 갖는 도메인의 인증 제어기로 보내는 단계와,
    상기 인증 제어기가 상기 질의 메시지에 나타내어진 상기 사용자의 홈 도메인과 비즈니스 관계를 갖지 않으면, 상기 인증 제어기가 그 자신의 식별 정보를 메시지에 부가한 상기 질의 메시지를 수신하여, 그 자신과 비즈니스 관계를 갖는 도메인의 인증 제어기로 전달하는 단계와,
    상기 질의 메시지에 나타내어진 상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 상기 인증 제어기가, 그 식별 정보를 상기 메시지에 부가하고, 상기 메시지에 부가된 정보를 사용하여 원래의 인증 제어기로 상기 메시지를 반환하는 단계
    를 포함하는 방법.
  19. 청구항 5에 기재된 사용자 토큰을 보호하는 방법으로서,
    토큰 발행자가, 상기 사용자에게 보내어진 인증 메시지에 상기 사용자 토큰과 함께 난수(a random number)를 포함시키는 단계와,
    사용자 단말이, 상기 난수를 사용하여 보안 코드를 생성하고, 상기 서비스 요청 내의 상기 토큰과 함께 상기 보안 코드를 보내는 단계와,
    상기 토큰 발행자가, 동일한 알고리즘을 사용하여 검증 코드를 생성하고, 상기 서비스 요청 내의 상기 토큰과 함께 수신된 보안 코드에 의해 상기 검증 코드를 검증하는 단계와,
    상기 토큰 발행자와 단말이, 서비스 요청 후마다 동일한 방법을 사용하여 상기 난수를 변경하는 단계
    를 포함하는 방법.
  20. 청구항 5에 기재된 사용자 토큰을 보호하는 방법으로서,
    토큰 발행자가, 상기 홈 도메인으로부터 난수를 획득하여, 상기 사용자에게 보내어진 메시지 응답 내의 상기 사용자 토큰과 함께 난수를 전달하는 단계와,
    상기 토큰 발행자가, 서비스 요청 내의 토큰과 함께 보안 코드를 검증하기 위해, 상기 홈 도메인으로부터 수신된 가입 능력 정보에 포함된 검증 코드의 목록을 획득하는 단계와,
    상기 토큰 발행자가, 서비스 요청 후마다 올바른 검증 코드를 획득하기 위해 상기 목록을 세밀하게 조사하는 단계
    를 더 포함하는 방법.
  21. 상기 사용자의 홈 도메인의 액세스 제어 기관이, 청구항 5 또는 16에 기재된 사용자의 제한된 가입 프로파일 정보를, 비즈니스 관계를 갖는 도메인의 인증 제어기에 제공하기 위한 방법으로서,
    비즈니스 관계를 갖는 상기 도메인에 의해 제공되는 네트워크 서비스를, 상기 상호 도메인 규약으로부터 검색하는 단계와,
    상기 사용자에 의해 가입된 네트워크 서비스에 대한 정보를, 상기 사용자 가입 프로파일로부터 검색하는 단계와,
    상기 상호 도메인 규약에 의해 허용되지 않지만, 사용자 가입 프로파일 내에 있는 네트워크 서비스를 제외하는 단계
    를 더 포함하는 방법.
  22. 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하기 위한 청구항 5에 따른 방법에서 사용되는 가입 능력 정보에 대한 포맷으로서,
    상기 메시지를 수신하는 승인 제어기가 승인을 허용하는 네트워크 인터페이스의 수와,
    상기 승인 제어기가 승인을 허용하는 인터페이스 형태마다 주어지는 서비스 품질에 관한 서비스 프로파일의 식별자와,
    상기 단말로부터의 후속 메시지를 검증하기 위한 보안 정보를 포함하는 보안 코드 벡터
    를 포함하는 포맷.
  23. 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하기 위한 청구항 5에 따른 방법에서 사용되는 사용자 토큰에 대한 포맷으로서,
    토큰 발행자의 어드레스와,
    사용자의 홈 도메인 정보와,
    상기 토큰의 기한과,
    상기 토큰 발행자가 상기 가입 능력을 특정하기 위한 가입 능력 id
    를 포함하는 포맷.
  24. 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하기 위한 청구항 5에 따른 방법에서, 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인이 인증 어써션(authentication assertion)을 요청하기 위한 포맷으로서,
    서비스를 요청하는 사용자의 자격과,
    상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 정보와,
    상기 사용자의 홈 도메인의 정보
    를 포함하는 포맷.
  25. 복수의 관할 도메인의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하기 위한 청구항 5에 따른 방법에서, 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인이 승인 어써션을 요청하기 위한 포맷으로서,
    가입 능력 발행자가 사용자 가입 프로파일과 연계 정책을 위치시키기 위한 가입 능력 id와,
    상기 사용자에 의해 요청된 서비스 형태 정보와,
    상기 사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인의 정보와,
    상기 사용자의 홈 도메인의 정보
    를 포함하는 포맷.
  26. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해, 그 자격을 나타내도록 사용자 단말에 대한 인증 요청에 사용되는 포맷으로서,
    사용자 가입 정보를 검색하기 위해 상기 사용자의 홈 도메인 이외의 도메인에 대한 정보와,
    인증 프로세스가 수행될 수 있는 상기 사용자의 홈 도메인 이외의 도메인 목록
    을 포함하는 포맷.
  27. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하는 방법에서, 신속한 인증 및 승인을 실현하는 방법으로서,
    사용자가 또 다른 서비스 요청을 위해 홈 도메인 목록에 토큰 발행자의 도메인 정보를 저장하는 단계를 더 포함하는 방법.
  28. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하는 방법에서, 신속한 인증 및 승인을 실현하는 방법으로서,
    사용자 토큰을 생성한 도메인의 인증 제어기가, 단말이 상기 사용자 토큰을 생성한 도메인을 재방문할 경우에, 인증 요청을 수행하도록 상기 단말에 대해 로컬 식별자를 제공하는 단계와,
    상기 단말이 로컬 도메인을 재방문할 경우에, 상기 단말이 그 인증 요청 내의 상기 생성된 로컬 식별자를 사용하는 단계
    를 더 포함하는 방법.
  29. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하는 방법에서, 신속한 인증 및 승인을 실현하는 방법으로서,
    사용자의 홈 도메인이, 상기 홈 도메인과 비즈니스 관계를 갖는 도메인에, 사용자 자격을 해독하기 위한 보안 협정(a security association)을 제공하는 단계와,
    사용자의 홈 도메인과 비즈니스 관계를 갖는 도메인이, 상기 사용자 자격을, 청구항 5에 기재된 단계에서 획득된 사용자의 가입 능력 정보와 관련시키는 단계와,
    사용자 자격 및 관련된 사용자 가입 능력에 근거하여, 로컬 도메인이 인증 및 승인을 수행하는 단계
    를 더 포함하는 방법.
  30. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하는 방법에서, 신속한 인증 및 승인을 실현하는 방법으로서,
    사용자가 그 인증 요청 내의 홈 도메인을, 그 실제 홈 도메인과 비즈니스 관계를 갖는 다른 관할 도메인으로 대체하는 단계를 더 포함하는 방법.
  31. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세스하기 위해 싱글-사인-온을 실현하는 방법으로서,
    사용자의 홈 도메인에서의 액세스 제어 기관이, 비즈니스 관계를 갖는 도메인을 인증 응답 메시지에 내장하는 단계와,
    사용자가 미래의 서비스 요청을 위해 사용자 장치의 홈 도메인 목록에 도메인 정보를 저장하는 단계
    를 더 포함하는 방법.
  32. 청구항 5 또는 16에 따른 복수의 관할 도메인에서의 복수의 네트워크를 액세 스하기 위해 싱글-사인-온을 실현하는 방법으로서,
    사용자가, 액세스하고 있는 네트워크로부터 로컬 관할 도메인 정보를 획득하는 단계와,
    사용자가, 상기 로컬 관할 도메인 정보와 홈 도메인 목록 내의 도메인 정보를 비교하는 단계와,
    사용자가, 상기 비교 결과 및 일부의 구성 가능한 정책에 근거하여, 홈 도메인으로서, 인증 요청 또는 서비스 승인 요청에서의 홈 도메인 목록 내의 도메인 중 하나를 사용하는 단계
    를 더 포함하는 방법.
KR1020077002869A 2004-07-09 2005-07-11 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법 KR20070032805A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JPJP-P-2004-00203880 2004-07-09
JP2004203880 2004-07-09
PCT/JP2005/013193 WO2006006704A2 (en) 2004-07-09 2005-07-11 System and method for managing user authentication and service authorization to achieve single-sign-on to access multiple network interfaces

Publications (1)

Publication Number Publication Date
KR20070032805A true KR20070032805A (ko) 2007-03-22

Family

ID=35057135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077002869A KR20070032805A (ko) 2004-07-09 2005-07-11 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법

Country Status (7)

Country Link
US (1) US20080072301A1 (ko)
EP (1) EP1774744A2 (ko)
JP (1) JP2008506139A (ko)
KR (1) KR20070032805A (ko)
CN (1) CN101014958A (ko)
BR (1) BRPI0513195A (ko)
WO (1) WO2006006704A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100953092B1 (ko) * 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
KR101358704B1 (ko) * 2012-12-20 2014-02-13 라온시큐어(주) 싱글 사인 온을 위한 인증 방법
CN105791309A (zh) * 2016-04-14 2016-07-20 北京小米移动软件有限公司 一种执行业务处理的方法、装置及***

Families Citing this family (134)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100644616B1 (ko) * 2004-06-10 2006-11-10 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
CN100583761C (zh) * 2005-05-16 2010-01-20 联想(北京)有限公司 一种统一认证的实现方法
US8402525B1 (en) * 2005-07-01 2013-03-19 Verizon Services Corp. Web services security system and method
JP4854338B2 (ja) * 2006-03-07 2012-01-18 ソフトバンクBb株式会社 移動体通信における認証システム及び認証方法
US8959596B2 (en) 2006-06-15 2015-02-17 Microsoft Technology Licensing, Llc One-time password validation in a multi-entity environment
WO2008008014A1 (en) * 2006-07-10 2008-01-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for authentication procedures in a communication network
JP2008052371A (ja) 2006-08-22 2008-03-06 Fujitsu Ltd アウトバンド認証を伴うネットワークシステム
KR101319491B1 (ko) * 2006-09-21 2013-10-17 삼성전자주식회사 도메인 정보를 설정하기 위한 장치 및 방법
US8893231B2 (en) * 2006-11-16 2014-11-18 Nokia Corporation Multi-access authentication in communication system
US7870601B2 (en) * 2006-11-16 2011-01-11 Nokia Corporation Attachment solution for multi-access environments
ATE501583T1 (de) * 2007-01-04 2011-03-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zur bestimmung einer authentifikationsprozedur
US8533291B1 (en) * 2007-02-07 2013-09-10 Oracle America, Inc. Method and system for protecting publicly viewable web client reference to server resources and business logic
US9021140B2 (en) * 2007-03-12 2015-04-28 Citrix Systems, Inc. Systems and methods for error detection
US8572160B2 (en) * 2007-03-12 2013-10-29 Citrix Systems, Inc. Systems and methods for script injection
US8635680B2 (en) * 2007-04-19 2014-01-21 Microsoft Corporation Secure identification of intranet network
US8072990B1 (en) 2007-04-20 2011-12-06 Juniper Networks, Inc. High-availability remote-authentication dial-in user service
US7987516B2 (en) * 2007-05-17 2011-07-26 International Business Machines Corporation Software application access method and system
US20090007256A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Using a trusted entity to drive security decisions
US8447847B2 (en) * 2007-06-28 2013-05-21 Microsoft Corporation Control of sensor networks
KR100981963B1 (ko) * 2007-07-06 2010-09-13 한국전자통신연구원 차세대 네트워크에서 서비스 네트워크와 액세스 네트워크 간 번들 인증을 위한 서비스 네트워크와 액세스 네트워크 내 노드 인증 및 노드 동작 방법
CN100512313C (zh) 2007-08-08 2009-07-08 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接***
US20090232310A1 (en) * 2007-10-05 2009-09-17 Nokia Corporation Method, Apparatus and Computer Program Product for Providing Key Management for a Mobile Authentication Architecture
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
WO2009072801A2 (en) * 2007-12-05 2009-06-11 Electronics And Telecommunications Research Institute System for managing identity with privacy policy using number and method thereof
US8949950B2 (en) * 2007-12-20 2015-02-03 Telefonaktiebolaget L M Ericsson (Publ) Selection of successive authentication methods
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US8220032B2 (en) * 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
GB2458258A (en) 2008-02-04 2009-09-16 Nec Corp Method of controlling base station loading in a mobile communication system
AU2009231624B2 (en) 2008-04-04 2014-07-03 Landmark Graphics Corporation, A Halliburton Company Systems and methods for correlating meta-data model representations and asset-logic model representations
US10552391B2 (en) 2008-04-04 2020-02-04 Landmark Graphics Corporation Systems and methods for real time data management in a collaborative environment
US8726358B2 (en) * 2008-04-14 2014-05-13 Microsoft Corporation Identity ownership migration
US20090271847A1 (en) * 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
WO2009132446A1 (en) * 2008-05-02 2009-11-05 Toposis Corporation Systems and methods for secure management of presence information for communications services
US8141140B2 (en) * 2008-05-23 2012-03-20 Hsbc Technologies Inc. Methods and systems for single sign on with dynamic authentication levels
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8943560B2 (en) 2008-05-28 2015-01-27 Microsoft Corporation Techniques to provision and manage a digital telephone to authenticate with a network
US9735964B2 (en) * 2008-06-19 2017-08-15 Microsoft Technology Licensing, Llc Federated realm discovery
CN101616136B (zh) * 2008-06-26 2013-05-01 阿里巴巴集团控股有限公司 一种提供互联网服务的方法及服务集成平台***
US8700033B2 (en) * 2008-08-22 2014-04-15 International Business Machines Corporation Dynamic access to radio networks
KR101001555B1 (ko) * 2008-09-23 2010-12-17 한국전자통신연구원 네트워크 id 기반 연합 및 싱글사인온 인증 방법
CN101741817B (zh) * 2008-11-21 2013-02-13 ***通信集团安徽有限公司 一种多网络融合***、装置及方法
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US8300637B1 (en) * 2009-01-05 2012-10-30 Sprint Communications Company L.P. Attribute assignment for IP dual stack devices
CN101482882A (zh) * 2009-02-17 2009-07-15 阿里巴巴集团控股有限公司 跨域处理cookie的方法及其***
US9059979B2 (en) * 2009-02-27 2015-06-16 Blackberry Limited Cookie verification methods and apparatus for use in providing application services to communication devices
WO2011000168A1 (zh) 2009-07-03 2011-01-06 华为技术有限公司 一种获取本地域名的方法、装置及***
CN101998360B (zh) * 2009-08-11 2015-05-20 中兴通讯股份有限公司 建立身份管理信任的方法及身份提供方和业务提供方
JP5570610B2 (ja) * 2009-11-05 2014-08-13 ヴイエムウェア インク 遠隔ユーザ・セッションのためのシングル・サインオン
US8539234B2 (en) * 2010-03-30 2013-09-17 Salesforce.Com, Inc. Secure client-side communication between multiple domains
US8688994B2 (en) 2010-06-25 2014-04-01 Microsoft Corporation Federation among services for supporting virtual-network overlays
KR20120002836A (ko) * 2010-07-01 2012-01-09 삼성전자주식회사 복수의 서비스에 대한 접근 제어 장치 및 방법
US9953155B2 (en) * 2010-12-08 2018-04-24 Disney Enterprises, Inc. System and method for coordinating asset entitlements
WO2012106726A1 (en) 2011-02-04 2012-08-09 Nextplane Method and system for federation of proxy-based and proxy-free communications systems
US9203799B2 (en) 2011-03-31 2015-12-01 NextPlane, Inc. Method and system for advanced alias domain routing
US9716619B2 (en) 2011-03-31 2017-07-25 NextPlane, Inc. System and method of processing media traffic for a hub-based system federating disparate unified communications systems
US9077726B2 (en) 2011-03-31 2015-07-07 NextPlane, Inc. Hub based clearing house for interoperability of distinct unified communication systems
JP5259769B2 (ja) 2011-04-13 2013-08-07 シャープ株式会社 画像出力システム
CN103503407B (zh) * 2011-04-28 2016-10-12 交互数字专利控股公司 用于多sso技术的sso框架
US8656154B1 (en) * 2011-06-02 2014-02-18 Zscaler, Inc. Cloud based service logout using cryptographic challenge response
US9418216B2 (en) 2011-07-21 2016-08-16 Microsoft Technology Licensing, Llc Cloud service authentication
US9183361B2 (en) 2011-09-12 2015-11-10 Microsoft Technology Licensing, Llc Resource access authorization
US9280653B2 (en) * 2011-10-28 2016-03-08 GM Global Technology Operations LLC Security access method for automotive electronic control units
JP5786653B2 (ja) * 2011-11-02 2015-09-30 株式会社バッファロー ネットワーク通信装置、使用ネットワークインターフェイス部を選択する方法、パケットの送受信を行う方法、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体
US20140068247A1 (en) * 2011-12-12 2014-03-06 Moose Loop Holdings, LLC Security device access
US8689310B2 (en) * 2011-12-29 2014-04-01 Ebay Inc. Applications login using a mechanism relating sub-tokens to the quality of a master token
JP5932344B2 (ja) * 2012-01-16 2016-06-08 キヤノン株式会社 権限委譲システム、アクセス管理サービスシステム、および権限委譲システムを制御する制御方法
JP5845973B2 (ja) 2012-03-01 2016-01-20 富士通株式会社 サービス利用管理方法、プログラム、および情報処理装置
JP5799855B2 (ja) 2012-03-02 2015-10-28 富士通株式会社 サービス提供方法、プログラム、および情報処理装置
US9166777B2 (en) * 2012-03-05 2015-10-20 Echoworx Corporation Method and system for user authentication for computing devices utilizing PKI and other user credentials
US9003507B2 (en) 2012-03-23 2015-04-07 Cloudpath Networks, Inc. System and method for providing a certificate to a third party request
CN104169935B (zh) * 2012-03-28 2017-10-31 索尼公司 信息处理装置、信息处理***、信息处理方法
US8850187B2 (en) * 2012-05-17 2014-09-30 Cable Television Laboratories, Inc. Subscriber certificate provisioning
US9300570B2 (en) * 2012-05-22 2016-03-29 Harris Corporation Multi-tunnel virtual private network
US9122865B2 (en) * 2012-09-11 2015-09-01 Authenticade Llc System and method to establish and use credentials for a common lightweight identity through digital certificates
US9003189B2 (en) * 2012-09-11 2015-04-07 Verizon Patent And Licensing Inc. Trusted third party client authentication
US8843741B2 (en) 2012-10-26 2014-09-23 Cloudpath Networks, Inc. System and method for providing a certificate for network access
JP6255858B2 (ja) * 2012-10-31 2018-01-10 株式会社リコー システム及びサービス提供装置
CN103051631B (zh) * 2012-12-21 2015-07-15 国云科技股份有限公司 PaaS平台与SaaS应用***的统一安全认证方法
JP5920891B2 (ja) * 2013-02-08 2016-05-18 日本電信電話株式会社 通信サービス認証・接続システム及びその方法
US9009806B2 (en) * 2013-04-12 2015-04-14 Globoforce Limited System and method for mobile single sign-on integration
US9098266B1 (en) * 2013-05-30 2015-08-04 Amazon Technologies, Inc. Data layer service availability
US20140359457A1 (en) * 2013-05-30 2014-12-04 NextPlane, Inc. User portal to a hub-based system federating disparate unified communications systems
US9705840B2 (en) 2013-06-03 2017-07-11 NextPlane, Inc. Automation platform for hub-based system federating disparate unified communications systems
US9819636B2 (en) 2013-06-10 2017-11-14 NextPlane, Inc. User directory system for a hub-based system federating disparate unified communications systems
GB2513669B (en) 2013-06-21 2016-07-20 Visa Europe Ltd Enabling access to data
US9319395B2 (en) * 2013-07-03 2016-04-19 Sailpoint Technologies, Inc. System and method for securing authentication information in a networked environment
CN104753673B (zh) * 2013-12-30 2019-04-30 格尔软件股份有限公司 一种基于随机关联码的用户多认证凭证关联方法
US10142378B2 (en) * 2014-01-30 2018-11-27 Symantec Corporation Virtual identity of a user based on disparate identity services
JP6221803B2 (ja) * 2014-02-13 2017-11-01 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
US9848052B2 (en) * 2014-05-05 2017-12-19 Visa International Service Association System and method for token domain control
US10397213B2 (en) * 2014-05-28 2019-08-27 Conjur, Inc. Systems, methods, and software to provide access control in cloud computing environments
US9985970B2 (en) 2014-05-28 2018-05-29 Conjur, Inc. Individualized audit log access control for virtual machines
US9680821B2 (en) 2014-05-28 2017-06-13 Conjur, Inc. Resource access control for virtual machines
CN103997681B (zh) * 2014-06-02 2016-02-17 合一网络技术(北京)有限公司 对视频直播进行防盗链处理的方法及其***
JP6190538B2 (ja) * 2014-09-01 2017-08-30 パスロジ株式会社 ユーザ認証方法及びこれを実現するためのシステム
GB2532248B (en) * 2014-11-12 2019-05-01 Thales Holdings Uk Plc Network based identity federation
CN105763526B (zh) * 2014-12-19 2019-01-01 ***通信集团公司 一种安全认证方法、网络设备及***
US9516065B2 (en) * 2014-12-23 2016-12-06 Freescale Semiconductor, Inc. Secure communication device and method
US10601809B2 (en) 2015-01-20 2020-03-24 Arris Enterprises Llc System and method for providing a certificate by way of a browser extension
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction
US9825938B2 (en) 2015-10-13 2017-11-21 Cloudpath Networks, Inc. System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
US10367643B2 (en) * 2016-03-28 2019-07-30 Symantec Corporation Systems and methods for managing encryption keys for single-sign-on applications
CN106022625A (zh) * 2016-05-27 2016-10-12 北京农信互联科技有限公司 一种猪场信息管理***和方法
US10171467B2 (en) 2016-07-21 2019-01-01 International Business Machines Corporation Detection of authorization across systems
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
CA3026227A1 (en) * 2016-08-30 2018-03-08 Visa International Service Association Biometric identification and verification among iot devices and applications
US10834069B2 (en) 2016-08-30 2020-11-10 International Business Machines Corporation Identification federation based single sign-on
US11301550B2 (en) * 2016-09-07 2022-04-12 Cylance Inc. Computer user authentication using machine learning
EP3513531B1 (en) * 2016-09-18 2021-06-23 Alcatel Lucent Unified security architecture
US11025627B2 (en) * 2017-07-10 2021-06-01 Intel Corporation Scalable and secure resource isolation and sharing for IoT networks
US10637845B2 (en) * 2017-07-21 2020-04-28 International Business Machines Corporation Privacy-aware ID gateway
US10721222B2 (en) * 2017-08-17 2020-07-21 Citrix Systems, Inc. Extending single-sign-on to relying parties of federated logon providers
US11190516B1 (en) * 2017-08-24 2021-11-30 Amazon Technologies, Inc. Device communication with computing regions
US11128464B1 (en) 2017-08-24 2021-09-21 Amazon Technologies, Inc. Identity token for accessing computing resources
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login
US10855669B2 (en) * 2018-05-03 2020-12-01 Vmware, Inc. Authentication service
US10855670B2 (en) 2018-05-03 2020-12-01 Vmware, Inc. Polling service
CN110971569A (zh) * 2018-09-29 2020-04-07 北京奇虎科技有限公司 网络访问权限管理方法、装置及计算设备
IT201900005876A1 (it) * 2019-04-16 2020-10-16 Roberto Griggio Sistema e metodo per la gestione delle credenziali di accesso multi-dominio di un utente abilitato ad accedere ad una pluralità di domini
CN110278187B (zh) * 2019-05-13 2021-11-16 网宿科技股份有限公司 多终端单点登录方法、***、同步服务器及介质
CN110266640B (zh) * 2019-05-13 2021-11-05 平安科技(深圳)有限公司 单点登录防篡改方法、装置、计算机设备及存储介质
US11582229B2 (en) * 2019-06-01 2023-02-14 Apple Inc. Systems and methods of application single sign on
US11696134B2 (en) * 2019-08-02 2023-07-04 Qualcomm Incorporated Secure path discovery in a mesh network
US20220321357A1 (en) * 2019-08-20 2022-10-06 Nippon Telegraph And Telephone Corporation User credential control system and user credential control method
EP3879422A1 (en) 2020-03-09 2021-09-15 Carrier Corporation Network identifier and authentication information generation for building automation system controllers
CN111371805A (zh) * 2020-03-17 2020-07-03 北京工业大学 基于Token的统一身份认证接口及方法
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN112560059B (zh) * 2020-12-17 2022-04-29 浙江工业大学 一种基于神经通路特征提取的垂直联邦下模型窃取防御方法
WO2022177784A1 (en) * 2021-02-22 2022-08-25 Arris Enterprises Llc Device-independent authentication based on an authentication parameter and a policy
US11689924B2 (en) * 2021-04-02 2023-06-27 Vmware, Inc. System and method for establishing trust between multiple management entities with different authentication mechanisms
US11599677B2 (en) * 2021-04-30 2023-03-07 People Center, Inc. Synchronizing organizational data across a plurality of third-party applications
US11863348B2 (en) * 2021-07-06 2024-01-02 Cisco Technology, Inc. Message handling between domains
CN116760610B (zh) * 2023-06-30 2024-05-07 中国科学院空天信息创新研究院 网络受限条件下的用户跨域认证***、方法、设备及介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US6243816B1 (en) * 1998-04-30 2001-06-05 International Business Machines Corporation Single sign-on (SSO) mechanism personal key manager
US6947432B2 (en) * 2000-03-15 2005-09-20 At&T Corp. H.323 back-end services for intra-zone and inter-zone mobility management
EP1264463A2 (en) * 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
WO2002015519A2 (en) * 2000-08-17 2002-02-21 Mobileum, Inc. Method and system for wireless voice channel/data channel integration
US7174383B1 (en) * 2001-08-31 2007-02-06 Oracle International Corp. Method and apparatus to facilitate single sign-on services in a hosting environment
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
JP2003296277A (ja) * 2002-03-29 2003-10-17 Fuji Xerox Co Ltd ネットワーク装置、認証サーバ、ネットワークシステム、認証方法
US8554930B2 (en) * 2002-12-31 2013-10-08 International Business Machines Corporation Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US20050154887A1 (en) * 2004-01-12 2005-07-14 International Business Machines Corporation System and method for secure network state management and single sign-on

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100953092B1 (ko) * 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
KR101358704B1 (ko) * 2012-12-20 2014-02-13 라온시큐어(주) 싱글 사인 온을 위한 인증 방법
CN105791309A (zh) * 2016-04-14 2016-07-20 北京小米移动软件有限公司 一种执行业务处理的方法、装置及***
CN105791309B (zh) * 2016-04-14 2019-09-17 北京小米移动软件有限公司 一种执行业务处理的方法、装置及***

Also Published As

Publication number Publication date
WO2006006704A3 (en) 2006-03-02
WO2006006704A2 (en) 2006-01-19
EP1774744A2 (en) 2007-04-18
CN101014958A (zh) 2007-08-08
US20080072301A1 (en) 2008-03-20
BRPI0513195A (pt) 2008-04-29
JP2008506139A (ja) 2008-02-28

Similar Documents

Publication Publication Date Title
KR20070032805A (ko) 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
EP1997292B1 (en) Establishing communications
US10284545B2 (en) Secure network access using credentials
KR100995423B1 (ko) 통신 시스템에서 사용자 인증 및 권한 부여
US8261078B2 (en) Access to services in a telecommunications network
EP1763947B1 (en) Authenticating users
US8543814B2 (en) Method and apparatus for using generic authentication architecture procedures in personal computers
EP1849327B1 (en) Methods, apparatuses, system and computer program for optimal transfer of guss data in a wireless communications system
EP3753269A1 (en) Security management for roaming service authorization in communication systems with service-based architecture
US20070178885A1 (en) Two-phase SIM authentication
Matsunaga et al. Secure authentication system for public WLAN roaming
US20060059344A1 (en) Service authentication
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
JP2006515486A (ja) セルラ通信システムにおいて再認証を可能にする方法および装置
WO2004034645A1 (ja) Wlan相互接続における識別情報の保護方法
US10284562B2 (en) Device authentication to capillary gateway
WO2011063658A1 (zh) 统一安全认证的方法和***
SCHMIDT et al. Efficient Application Single-Sign-On for Evolved Mobile Networks
Almuhaideb et al. Authentication in ubiquitous networking
Shi et al. AAA Architecture and Authentication for Wireless Lan roaming
KR20070019795A (ko) 사용자들의 인증

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid