KR20140138982A - 홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법 - Google Patents

홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법 Download PDF

Info

Publication number
KR20140138982A
KR20140138982A KR1020147029123A KR20147029123A KR20140138982A KR 20140138982 A KR20140138982 A KR 20140138982A KR 1020147029123 A KR1020147029123 A KR 1020147029123A KR 20147029123 A KR20147029123 A KR 20147029123A KR 20140138982 A KR20140138982 A KR 20140138982A
Authority
KR
South Korea
Prior art keywords
home network
service provider
network
service
visited
Prior art date
Application number
KR1020147029123A
Other languages
English (en)
Inventor
샤오웨이 장
아난드 라가와 프라사드
Original Assignee
닛본 덴끼 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닛본 덴끼 가부시끼가이샤 filed Critical 닛본 덴끼 가부시끼가이샤
Publication of KR20140138982A publication Critical patent/KR20140138982A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

UE (10) 가 홈 MNO (20) 으로부터 다른 네트워크 (방문 네트워크) (30) 로 트랜싯하는 경우, 방문 네트워크 (30) 또는 UE (10) 는 UE의 로케이션을 홈 MNO (20) 에 통지한다. 홈 MNO (20) 는 UE의 진위 및 그것의 로케이션을 검증하고, 표명을 방문 네트워크 (30) 또는 UE (10) 를 통해 SP (40) 로 전송한다. SP (40) 는 표명의 유효성을 체크하고 방문 네트워크 (30) 를 통해 UE (10) 로 서비스를 제공하는 것을 시작한다.

Description

홈 네트워크의 외부로부터 서비스에 액세스하는 SSO 가입자에 대한 보안 방법{SECURE METHOD FOR SSO SUBSCRIBER ACCESSING SERVICE FROM OUTSIDE OF HOME NETWORK}
본 발명은 단일 사인 온 (Single Sign-On; SSO) 서비스 가입자가 홈 3 세대 파트너십 프로젝트 (3GPP) 네트워크 도메인 밖으로 트랜싯 (transit) 하는 경우 서비스에 지속적으로 액세스하기 위한, 또한 SSO 서비스를 사용자에게 제공하는, SSO 서비스 가입자를 위한 메커니즘에 관한 것이다. 그 메커니즘은 사용자가 이동하고 있는 경우에 SSO 서비스를 제공하고, 서비스 제공자 (SP) 로부터의 서비스에 액세스하는 동안 투명하고 끊김 없는 트랜싯을 가능하게 한다. 그것은 방문 네트워크에서의 또는 루주 (rouge) 방문 네트워크에 의한 사용자 및 자신의 가입에 대한 공격들을 방지한다. 그 메커니즘은 또한 방문 네트워크를 통해 직접 서비스를 제공함으로써 사용자 경험을 향상시킬 수 있다.
단일 사인 온 서비스는 사용자이름과 패스워드를 한 번만 입력함으로써 모든 가입된 서비스들에 로그 인하는 새로운 경험을 사용자에게 제공한다. SSO는 3 세대 파트너십 프로젝트 (3GPP) 에서 3GPP 오퍼레이터들을 SSO 서비스 제공자들로 할 작정으로 연구 중에 있다 (비특허문헌 1 참조). 모바일 오퍼레이터들에게 SSO 비즈니스의 일부를 제공하는 3GPP에 의해 구상되는 해법들 중 하나는, 네트워크 인증 시 사용자들을 인증하는데 사용될 수 있는 사용자 SSO 자격증명 (credential) 들을 오퍼레이터들이 저장하는 것을 가능하게 하는 것이다. 따라서 모바일 오퍼레이터는 아이덴티티 제공자 (IdP) 뿐만 아니라 SSO 서비스 제공자보다 낫다. 정상 SSO 서비스 시나리오와 동일한 방도로, SSO 제공자 (홈 3GPP 네트워크) 는, 사용자가 가입된 서비스에 액세스할 수 있도록 UE (사용자 장비) 의 표명 (assertion) /사용자 인증을 서비스 제공자 (SP) 에게 제공한다.
UE가 구상된 SSO 서비스를 공급하는 현재 3GPP 네트워크로부터 다른 네트워크로 로밍/트랜싯하는 것이 가능하다. 방문 네트워크는 SSO 서비스를 제공하지 않는 비 3GPP 네트워크 또는 3GPP 네트워크일 수 있다. UE/사용자가 개입 없이 현재 서비스를 사용할 수 있어야 한다는 것이 예상된다.
방문 네트워크에서 액세스하는 UE/사용자는 서비스를 지속적으로 그리고 홈 네트워크에서와 동일한 품질로 사용하기를 원한다. 구상된 해법에서 홈 3GPP 네트워크는 사용자의 SSO 자격증명을 저장하고 따라서 다음의 문제들이 생겨난다:
1. 자신의 홈 3GPP 네트워크 밖으로 트랜싯된 사용자의 경우, 홈 3GPP 네트워크는 SSO 서비스를 사용자에게 지속적으로 제공해야 할 것이고, UE의 현재 로케이션을 알고 검증할 수 있어야 한다.
2. 주어진 서비스에 대한 데이터는 UE가 방문 네트워크 내에 있는 동안 항상 홈 MNO (모바일 네트워크 오퍼레이터) 를 통해 간다. 이는 트래픽 부하를 생성하고, 이에 따라, 홈 MNO에게 고통을 주고 사용자에게 제공된 서비스가 품질이 열악해지게 한다.
3. 새로운 표명이 SP에 의해 요청될 수 있고 홈 3GPP 네트워크는 그 표명을 제공할 수 있어야 한다.
4. 사용자 재인증은, 사용자가 홈 MNO 도메인의 외부로부터 서비스에 액세스하고 있는 동안 SP에 의해 요청될 수 있다. 이는 홈 MNO가 재인증 프로시저에 수반되는 것을 요구할 것이다.
본 발명의 일 양태는 사용자가 홈 네트워크의 외부로부터 서비스에 액세스하는 것을 고려한다. UE/사용자는 주어진 SP에 의해 제공된 서비스를 사용하고 있는 동안 자신의 홈 3GPP 네트워크로부터 밖으로 방문 네트워크로 이동한다. 방문 네트워크는 다른 3GPP 네트워크 (SSO 서비스를 지원하거나 또는 지원하지 않음) 또는 비 3GPP 네트워크 중 어느 하나일 수 있다.
UE는 자신의 로케이션 정보를 홈 3GPP 네트워크로 전송할 것이다. 홈 3GPP 네트워크는, UE의 로케이션 정보 및 진위 (authenticity) 의 유효성에 기초하여 홈 3GPP 네트워크가 SSO 서비스를 계속 제공할 수 있도록 UE의 로케이션 정보 및 진위를 검증할 것이다. 그리고 방문 네트워크가 또한 SSO 서비스를 제공할 수 있고 네트워크들 양쪽 모두가 협약을 가지면, 홈 3GPP 네트워크는 표명을 방문 네트워크에 전송할 수 있어서, 서비스는 방문 네트워크를 통해 사용자에게 제공될 수 있다. 새로운 표명 또는 사용자 재인증이 필요한 경우, 홈 3GPP 네트워크는, 홈 3GPP 네트워크 및 방문 네트워크가 협약을 갖는다면, 그것들을 제공할 수 있다. 또는, 사용자 인증의 표명 또는 증거는 UE로 전송되고 SP로 재지향되어야할 것이다.
본 발명에 따르면, 위에서 언급된 문제들을 해결하는 것이 가능하다.
도 1은 본 발명의 예시적인 실시형태에 따른 시스템의 일 구성예를 도시하는 블록도이다;
도 2는 본 발명의 예시적인 실시형태에 따른 시스템에서의 동작의 하나의 예를 도시하는 순서도이다;
도 3은 본 발명의 예시적인 실시형태에 따른 시스템에서의 동작의 다른 예를 도시하는 순서도이다;
도 4는 본 발명의 예시적인 실시형태에 따른 UE의 일 구성예를 도시하는 블록도이다;
도 5는 본 발명의 예시적인 실시형태에 따른 홈 네트워크를 위한 노드의 일 구성예를 도시하는 블록도이다; 그리고
도 6은 본 발명의 예시적인 실시형태에 따른 방문 네트워크를 위한 노드의 일 구성예를 도시하는 블록도이다.
본 발명은 위에서 언급된 문제들을 고려하고 더 자세한 내용은 이 섹션에서 주어질 것이다.
이후로는, 본 발명의 예시적인 실시형태가 도 1 내지 도 6을 참조하여 설명될 것이다.
도 1에 도시된 바와 같이, 이 예시적인 실시형태에 따른 시스템은, 사용자에 의해 사용된 UE (10), UE/사용자의 홈 MNO (20), UE/사용자가 트랜싯하는 방문 네트워크 (30), 및 서비스를 UE (10) / 사용자에게 제공하는 SP (40) 를 포함한다. 홈 MNO (20) 는 IdP 및 SSO 서비스 제공자로서 역할을 한다. 도 2에 도시된 바와 같이, 사용자 및 UE (10) 사이의 상호 인증, UE (10) 및 홈 MNO (20) 사이의 상호 인증, 그리고 홈 MNO (20) 및 방문 네트워크 (30) 사이의 상호 인증이 수행된다 (단계 S2 내지 단계 S4) 는 것에 주의한다. 게다가, 보안 통신이 UE (10) 및 SP (40) 사이에 확립된다 (단계 S5).
몇 가지 가정들이 아래와 같이 이루어진다.
1. 사용자는 홈 3GPP 오퍼레이터에 의해 제공된 SSO 서비스에 가입한다.
2. 방문 네트워크는 SSO 서비스를 지원할 수도 있거나 또는 하지 않을 수도 있다.
3. 방문 네트워크는 UE와의 상호 인증을 수행할 수 있다.
UE (10) 가 도 2에 도시된 바와 같이 홈 MNO (20) 밖으로 트랜싯하는 예를 시나리오로서 취하여, 이 예시적인 실시형태의 동작이 설명될 것이다.
1. 로케이션 정보
사용자가 새로운 네트워크 (30) 로 이동하는 경우 (단계 S6), 홈 3GPP 오퍼레이터는, (1) UE (10) 가 있는 곳을 알아야 하며, UE (10) 에게 현재 로케이션 정보를 보안성 있게 (securely) 전송할 것을 요청하고, (2) 그 로케이션 정보가 올바른 UE로부터 왔는지를 검증할 수 있어야만 한다.
다음과 같이 2 개의 상이한 상황들이 고려된다.
(1) 홈 및 방문 네트워크들 (20, 30) 은 로밍 협약을 갖는다 (단계 S7):
이 경우, 방문 네트워크 (30) 는 UE (10) 에 대해 인증을 수행하고 UE (10) 가 자신의 네트워크 (30) 에 있다는 것을 홈 네트워크 (20) 에게 확인해 줄 것이고 (단계 S8), 홈 네트워크 (20) 는 인증 동안 UE의 진위 및 그것의 로케이션을 검증할 수 있다 (단계 S9).
(2) 홈 네트워크 (20) 및 방문 네트워크 (30) 는 로밍 협약을 갖지 않고 상이한 자격증명들이 방문 네트워크 (30) 에서 UE 인증에 사용된다 (또는 자격증명이 무료 WiFi 네트워크의 경우에 사용되지 않는다) (단계 S13):
이 경우, UE (10) 는 자신의 로케이션을 보안성 있게 홈 네트워크 (20) 에 알려주고 자신의 진위를 홈 네트워크 (20) 에 제공해야 할 것이다 (단계 S14 및 단계 S15).
해법들은 예를 들어 다음의 (a) 또는 (b) 이다.
(a) 홈 3GPP (20) 네트워크의 IdP 및 UE (10) 사이의 공유된 키:
이 키는 서비스 초기화 시에 설정되고 홈 3GPP 네트워크 (20) 에 의해 정기적으로 변경될 수 있다. 키는 전송 보안을 사용하여 보안성 있게 전송될 수 있다. 이 키는 UE (10) 가 방문 네트워크로 이동하는 경우 인증 값을 생성하기 위해 그 UE에 의해 사용되며, 따라서 UE (10) 및 홈 3GPP 네트워크 (20) 가 서로를 상호 인증하는 것을 허용한다. 그 키는 또한 로케이션이 공격자들에게 노출되지 않도록 로케이션 정보를 보호하는데 사용될 수 있다.
(b) 토큰이 전송되거나 또는 UE (10) 에서 생성된다:
UE (10) 및 홈 3GPP 네트워크 (20) 양쪽 모두가 서로를 인증하기 위해 토큰들을 사용한다.
2. 서비스 제공 최적화
전통적인 형태로, 홈 3GPP 네트워크가 UE라고 SP가 가정하면, SP는 데이터를 홈 3GPP 네트워크에 전송할 것이다. 홈 3GPP 네트워크는 트래픽을 방문 네트워크에서의 UE로 포워딩할 것이다. 이는 홈 3GPP 작업에 대한 심한 트래픽 부하와 열악한 서비스 액세스를 유발할 것이다.
서비스 전달의 경로 즉, 홈 3GPP 네트워크 (20) 의 경로를 취하는 대신 직접 방문 네트워크 (30) 를 경유하는 SP (40) 로부터 UE (10) 로의 데이터의 경로를 최적화하기 위해, 상이한 상황들에 대한 해법들이 아래에서 주어진다.
(1) 방문 네트워크 (30) 는 새로운 서비스를 제공할 수 있다:
이 경우, 방문 네트워크 (30) 는 3GPP 네트워크이고 홈 3GPP 네트워크 (20) 와의 로밍 협약을 갖는다고 가정한다. 홈 3GPP 네트워크 (20) 는 새로운 표명을 방문 네트워크 IdP (SSO 서비스 가능함) 로 전송하고 방문 네트워크 (30) 는 그 새로운 표명을 SP (40) 로 포워딩한다 (단계 S10). SP (40) 는 그 표명의 유효성을 체크하고 데이터를 방문 네트워크 (30) 로 전송하는 것을 시작할 것이다 (단계 S11 및 단계 S12).
방문 네트워크 (30) 로부터 SP (40) 로 제공된 표명은 UE (10) 로부터 SP (40) 로의 직접 통신 또는 재지향을 통해 될 수 있다.
(2) 방문 네트워크 (30) 는 새로운 서비스를 할 수 없다:
새로운 표명이 UE (10) 로 전송되는 것을 제외하면 (1) 하에 주어진 단계들 (단계 S16 및 단계 S17) 을 따른다. 이 경우, UE는 업데이트되는 것이 필요할 것이다.
다음으로, 이 예시적인 실시형태의 다른 동작이 도 3을 참조하여 설명될 것이다.
3. 새로운 표명 제공 및 사용자 재인증
표명은 머지 않은 나중에 타임 아웃될 것이거나 또는 SP는 자신의 정책에 따라 타임 아웃 전에 사용자/UE 재인증을 요청할 것이다. 이 경우, SP는 UE 또는 홈 3GPP 네트워크 중 어느 하나와 접촉할 것이다. 구상된 해법의 경우, 앞서의 단계들에서의 상황들에 의존하여, UE는 홈 3GPP 네트워크, 새로운 SSO 서비스를 가지는 방문 네트워크 또는 UE 자체에 의해 표현될 수 있다.
(1) SP (40) 는 홈 3GPP 네트워크 (20) (SSO 제공자) 와 접촉한다 (단계 S22). 홈 3GPP 네트워크 (20) 는 새로운 표명을 생성하거나 또는 사용자 재인증을 수행할 것이다 (단계 S23). 홈 3GPP 네트워크 (20) 는 SP (40) 와의 직접 통신에 의해 또는 이전의 섹션에서 설명된 바와 같은 트래픽 최적화에 의해 새로운 표명 또는 사용자 재인증 증거 중 어느 하나를 제공할 수 있다 (단계 S24).
(2) SP (40) 는 방문 3GPP 네트워크 (30) 와 접촉한다 (단계 S26). 방문 3GPP 네트워크 (30) 는 홈 3GPP 네트워크 (20) 로부터 표명 또는 사용자 재인증을 요청할 것이다 (단계 S27). 홈 및 방문 네트워크들 사이에 협약이 있는지에 의존하여, 홈 3GPP 네트워크 (20) 는 사용자 재인증의 표명 또는 증거를 방문 네트워크 (30) 로 전송할지의 여부를 결정할 수 있다 (단계 S28 및 단계 S29).
(3) SP (40) 는 UE (10) 와 접촉하며, UE (10) 는 결국, 홈 3GPP 네트워크 (20) 와 통신하며, 표명을 획득하고 SP (40) 에 알려준다. 트래픽은 방문 네트워크 (30) 를 통해 흐른다 (단계 S31 내지 단계 S35).
다음으로, 이 예시적인 실시형태에 따른 UE (10), 홈 네트워크 (20) 및 방문 네트워크 (30) 의 구성 예들이 뒤이어서 도 4 내지 도 6을 참조하여 설명될 것이다.
도 4에 도시된 바와 같이, UE (10) 는 전송 유닛 (11) 을 포함한다. 전송 유닛 (11) 은 도 2의 단계 S14에서 도시된 바와 같이 로케이션 정보를 홈 네트워크 (20) 로 보안성 있게 전송한다. 이 유닛 (11) 은, 예를 들어, 홈 네트워크 (20) 및 방문 네트워크 (30) 와의 라디오 통신을 행하는 트랜시버, 그리고 이 트랜시버를 제어하여 도 2 및 도 3에 도시된 프로세스들, 또는 그것들에 동등한 프로세스들을 실행하는 제어기에 의해 구성될 수 있다.
게다가, 홈 네트워크 (20) 는 도 5에 도시된 노드 (50) 를 포함한다. 노드 (50) 는 수신 유닛 (51), 검증 유닛 (52), 전송 유닛 (53), 및 인증 유닛 (54) 을 포함한다. 수신 유닛 (51) 은 도 2의 단계 S8 및 단계 S14에 도시된 바와 같이 방문 네트워크 (30) 또는 UE (10) 로부터 로케이션 정보를 수신한다. 수신 유닛 (51) 은 또한 도 3의 단계 S22, 단계 S27 및 단계 S32에 도시된 바와 같이 SP (40), 방문 네트워크 (30) 또는 UE (10) 로부터 사용자 재인증 요청을 수신한다. 검증 유닛 (52) 은 도 2의 단계 S9 및 단계 S15에 도시된 바와 같이 UE (10) 의 진위와 로케이션 정보를 검증한다. 전송 유닛 (53) 은 도 2의 단계 S10, 단계 S16 및 단계 S17에 도시된 바와 같이 그 표명을 방문 네트워크 (30) 또는 UE (10) 를 통해 SP (40) 로 전송한다. 전송 유닛 (53) 은 또한 도 3의 단계들인 S23, S24, S28, S29 및 S33 내지 S35에 도시된 바와 같이 재인증 요청에 응답하여 그 표명을 SP (40) 로 재전송한다. 인증 유닛 (54) 은 도 3의 단계들인 S23, S28 및 S33에 도시된 바와 같이 재인증 요청에 응답하여 UE (10) 를 재인증한다. 유닛들 (51 내지 54) 은 버스 등을 통해 서로 상호 접속된다는 것에 주의한다. 이들 유닛들 (51 내지 54) 은, 예를 들어, UE (10) 와의 라디오 통신을 행하는 트랜시버, 방문 네트워크 (30) 및 SP (40) 와의 통신을 행하는 트랜시버, 및 이들 트랜시버들을 제어하여 도 2 및 도 3에 도시된 프로세스들, 또는 그것들에 동등한 프로세스들을 실행하는 제어기에 의해 구성될 수 있다.
더욱이, 방문 네트워크 (30) 는 도 6에 도시된 노드 (60) 를 포함한다. 노드 (60) 는 인증 유닛 (61) 과 전송 유닛 (62) 을 포함한다. 인증 유닛 (61) 은 UE (10) 를 인증한다. 전송 유닛 (62) 은 도 2의 단계 S8에 도시된 바와 같이 로케이션 정보를 홈 네트워크 (20) 로 전송한다. 유닛들 (61 및 62) 은 버스 등을 통해 서로 상호 접속된다는 것에 주의한다. 이들 유닛들 (61 및 62) 은, 예를 들어, UE (10) 와의 라디오 통신을 행하는 트랜시버, 홈 네트워크 (20) 및 SP (40) 와의 통신을 행하는 트랜시버, 및 이들 트랜시버들을 제어하여 도 2 및 도 3에 도시된 프로세스들, 또는 그것들에 동등한 프로세스들을 실행하는 제어기에 의해 구성될 수 있다.
본 발명은 위에서 언급된 예시적인 실시형태로 제한되지 않고, 다양한 수정들이 청구항들의 기재에 기초하여 당업자에 의해 만들어질 수 있음이 명백하다는 것에 주의한다.
본 출원은 2012년 4월 24일자로 출원된 일본 특허 출원 제2012-098605호에 기초하며 그것을 우선권 주장하며, 그것의 개시내용은 그것의 전체가 참조로 본원에 통합된다.
위에서 개시된 예시적인 실시형태들의 전체 또는 부분은 다음의 부기들로서 설명될 수 있지만 그것들로 제한되지 않을 수 있다.
(부기 1)
SSO 가입자가 홈 네트워크와의 로밍 협약을 갖는 방문 네트워크로 트랜싯하는 경우, 방문 네트워크는 UE 인증을 수행하고 UE의 로케이션 정보를 홈 네트워크로 전송한다. 홈 네트워크는 UE의 진위 및 그것의 로케이션을 검증한다.
(부기 2)
홈 네트워크와 로밍 협약을 갖지 않는 방문 네트워크로 UE가 트랜싯한 동안, UE 및 홈 네트워크 IdP 사이에 공유된 키 또는 UE에 의해 생성된 토큰은 UE가 로케이션 정보를 홈 3GPP 네트워크로 보안성 있게 전송하기 위해 사용되고, 그 다음에 홈 네트워크는 UE 진위를 검증한다.
(부기 3)
홈 네트워크 IdP는 서비스에 액세스하기 위해 로밍하는 UE 표명을 제공한다.
(부기 4)
UE 또는 사용자 재인증의 새로운 표명을 SP 요청하는 수단은, 3 가지 대안들, 즉, 접촉하는 홈 3GPP 네트워크, 방문 네트워크 또는 UE를 포함한다.
(부기 5)
홈 3GPP 네트워크는 방문 네트워크에서 UE에 대한 사용자 재인증을 수행한다.
(부기 6)
홈 3GPP 네트워크는 방문 네트워크로부터의 서비스에 UE가 액세스하기 위한 새로운 표명을 생성한다.
(부기 7)
서비스를 방문 네트워크를 통해 UE에 전달하는 SP에 의한 트래픽 최적화.
10: UE
11, 53, 62: 전송 유닛
20: 홈 MNO
30: 방문 네트워크
40: SP
50, 60: 노드
51: 수신 유닛
52: 검증 유닛
54, 61: 인증 유닛

Claims (36)

  1. UE (사용자 장비);
    서비스 제공자로부터의 서비스를 상기 UE로 전달하는, 상기 UE의 홈 네트워크; 및
    상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크를 포함하고,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 상기 방문 네트워크로 트랜싯 (transit) 하는 경우, 상기 방문 네트워크는 상기 UE를 인증하고 상기 UE의 로케이션 정보를 상기 홈 네트워크로 전송하고,
    상기 홈 네트워크는, 상기 로케이션 정보의 수신 시, 상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 (authenticity) 및 상기 로케이션 정보를 검증하는, 시스템.
  2. 제 1 항에 있어서,
    상기 홈 네트워크는, 상기 방문 네트워크를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명 (assertion) 을 전송하는, 시스템.
  3. 제 2 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터의 요청에 응답하여 상기 표명을 재전송하는, 시스템.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터의 요청에 응답하여 상기 UE를 재인증하는, 시스템.
  5. 제 3 항 또는 제 4 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터 직접, 또는 상기 방문 네트워크 또는 상기 UE를 통해 상기 요청을 수신하는, 시스템.
  6. UE;
    서비스 제공자로부터의 서비스를 상기 UE로 전달하는, 상기 UE의 홈 네트워크; 및
    상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크를 포함하고,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 상기 방문 네트워크로 트랜싯하는 경우, 상기 UE는 상기 UE의 로케이션 정보를 상기 홈 네트워크로 보안성 있게 전송하고,
    상기 홈 네트워크는, 상기 로케이션 정보의 수신 시, 상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 및 상기 로케이션 정보를 검증하는, 시스템.
  7. 제 6 항에 있어서,
    상기 UE는, 상기 로케이션 정보를 보안성 있게 전송하기 위해, 상기 UE 및 상기 홈 네트워크 사이에 공유된 키, 또는 상기 UE로 전송되거나 또는 상기 UE에서 생성된 토큰을 사용하는, 시스템.
  8. 제 7 항에 있어서,
    상기 키는 상기 서비스가 시작될 시 공유되고, 상기 홈 네트워크에 의해 정기적으로 변경되는, 시스템.
  9. 제 6 항 내지 제 8 항 중 어느 한에 있어서,
    상기 홈 네트워크는, 상기 UE를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는, 시스템.
  10. 제 9 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터의 요청에 응답하여 상기 표명을 재전송하는, 시스템.
  11. 제 6 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터의 요청에 응답하여 상기 UE를 재인증하는, 시스템.
  12. 제 10 항 또는 제 11 항에 있어서,
    상기 홈 네트워크는 상기 서비스 제공자로부터 직접, 또는 상기 UE를 통해 상기 요청을 수신하는, 시스템.
  13. UE (사용자 장비);
    서비스 제공자로부터의 서비스를 상기 UE로 전달하는, 상기 UE의 홈 네트워크; 및
    상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크를 포함하고,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 상기 방문 네트워크로 트랜싯하는 경우, 상기 홈 네트워크는, 상기 방문 네트워크를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는, 시스템.
  14. UE;
    서비스 제공자로부터의 서비스를 상기 UE로 전달하는, 상기 UE의 홈 네트워크; 및
    상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크를 포함하고,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 상기 방문 네트워크로 트랜싯하는 경우, 상기 홈 네트워크는, 상기 UE를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는, 시스템.
  15. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크로 트랜싯하는 경우, 상기 방문 네트워크로부터 상기 UE의 로케이션 정보를 수신하는 수신 수단; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 및 상기 로케이션 정보를 검증하는 검증 수단을 포함하는, 노드.
  16. 제 15 항에 있어서,
    상기 방문 네트워크를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 전송 수단을 더 포함하는, 노드.
  17. 제 16 항에 있어서,
    상기 전송 수단은 상기 서비스 제공자로부터의 요청에 응답하여 상기 표명을 재전송하도록 구성되는, 노드.
  18. 제 15 항 내지 제 17 항 중 어느 한 항에 있어서,
    상기 서비스 제공자로부터의 요청에 응답하여 상기 UE를 재인증하는 인증 수단을 더 포함하는, 노드.
  19. 제 17 항 또는 제 18 항에 있어서,
    상기 수신 수단은 상기 서비스 제공자로부터 직접, 또는 상기 방문 네트워크 또는 상기 UE를 통해 상기 요청을 수신하도록 구성되는, 노드.
  20. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 UE로부터 상기 UE의 로케이션 정보를 보안성 있게 수신하는 수신 수단; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 및 상기 로케이션 정보를 검증하는 검증 수단을 포함하는, 노드.
  21. 제 20 항에 있어서,
    상기 UE를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 전송 수단을 더 포함하는, 노드.
  22. 제 21 항에 있어서,
    상기 전송 수단은 상기 서비스 제공자로부터의 요청에 응답하여 상기 표명을 재전송하도록 구성되는, 노드.
  23. 제 20 항 내지 제 22 항 중 어느 한 항에 있어서,
    상기 서비스 제공자로부터의 요청에 응답하여 상기 UE를 재인증하는 인증 수단을 더 포함하는, 노드.
  24. 제 22 항 또는 제 23 항에 있어서,
    상기 수신 수단은 상기 서비스 제공자로부터 직접, 또는 상기 UE를 통해 상기 요청을 수신하도록 구성되는, 노드.
  25. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와는 로밍에 대한 협약을 갖는 방문 네트워크로 트랜싯하는 경우, 상기 방문 네트워크를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 전송 수단을 포함하는, 노드.
  26. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 UE를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 전송 수단을 포함하는, 노드.
  27. 홈 네트워크가 서비스 제공자로부터의 서비스를 UE로 전달하는, 상기 UE의 상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크 내에 배치된 노드로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 방문 네트워크로 트랜싯하는 경우, 상기 UE를 인증하는 인증 수단; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 홈 네트워크로 하여금 상기 UE의 진위 및 로케이션 정보를 검증하도록 하기 위하여 상기 UE의 상기 로케이션 정보를 상기 홈 네트워크로 전송하는 전송 수단을 포함하는, 노드.
  28. UE의 홈 네트워크에 의해 서비스 제공자로부터 상기 UE로 전달되는 서비스를 수신하는 UE로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 홈 네트워크로 하여금 상기 UE의 진위 및 로케이션 정보를 검증하도록 하기 위하여 상기 홈 네트워크로 상기 UE의 상기 로케이션 정보를 보안성 있게 전송하는 전송 수단을 포함하는, UE.
  29. 제 28 항에 있어서,
    상기 전송 수단은, 상기 로케이션 정보를 보안성 있게 전송하기 위해, 상기 UE 및 상기 홈 네트워크 사이에 공유된 키, 또는 상기 UE로 전송되거나 또는 상기 UE에서 생성된 토큰을 사용하도록 구성되는, UE.
  30. 제 29 항에 있어서,
    상기 키는 상기 서비스가 시작될 시 공유되고, 상기 홈 네트워크에 의해 정기적으로 변경되는, UE.
  31. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드에서 동작을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크로 트랜싯하는 경우, 상기 방문 네트워크로부터 상기 UE의 로케이션 정보를 수신하는 단계; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 및 상기 로케이션 정보를 검증하는 단계를 포함하는, 방법.
  32. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드에서 동작을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 UE로부터 상기 UE의 로케이션 정보를 보안성 있게 수신하는 단계; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 UE의 진위 및 상기 로케이션 정보를 검증하는 단계를 포함하는, 방법.
  33. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드에서의 동작을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크로 트랜싯하는 경우, 상기 방문 네트워크를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 단계를 포함하는, 방법.
  34. UE의 홈 네트워크 내에 배치되고 서비스 제공자로부터의 서비스를 상기 UE로 전달하는 노드에서 동작을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 UE를 통해 상기 서비스 제공자에게, 상기 서비스 제공자로 하여금, 상기 홈 네트워크를 통과하는 일 없이 상기 방문 네트워크를 통해 상기 서비스를 제공하게 하는 표명을 전송하는 단계를 포함하는, 방법.
  35. 홈 네트워크가 서비스 제공자로부터의 서비스를 UE로 전달하는, 상기 UE의 상기 홈 네트워크와 로밍에 대한 협약을 갖는 방문 네트워크 내에 배치된 노드에서의 동작들을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있는 상기 방문 네트워크로 트랜싯하는 경우, 상기 UE를 인증하는 단계; 및
    상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 홈 네트워크로 하여금 상기 UE의 진위 및 로케이션 정보를 검증하도록 하기 위하여 상기 UE의 상기 로케이션 정보를 상기 홈 네트워크로 전송하는 단계를 포함하는, 방법.
  36. UE의 홈 네트워크에 의해 서비스 제공자로부터 상기 UE로 전달되는 서비스를 수신하는 상기 UE에서의 동작을 제어하는 방법으로서,
    상기 UE가 상기 서비스 제공자와 통신하는 동안 상기 홈 네트워크로부터 떨어져 있고 상기 홈 네트워크와 로밍에 대한 협약을 갖지 않는 방문 네트워크로 트랜싯하는 경우, 상기 서비스가 상기 UE에 지속적으로 제공되도록 상기 홈 네트워크로 하여금 상기 UE의 진위 및 로케이션 정보를 검증하도록 하기 위하여 상기 UE의 상기 로케이션 정보를 보안성 있게 전송하는 단계를 포함하는, 방법.
KR1020147029123A 2012-04-24 2013-04-18 홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법 KR20140138982A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JPJP-P-2012-098605 2012-04-24
JP2012098605 2012-04-24
PCT/JP2013/002636 WO2013161230A1 (en) 2012-04-24 2013-04-18 Secure method for sso subscriber accessing service from outside of home network

Publications (1)

Publication Number Publication Date
KR20140138982A true KR20140138982A (ko) 2014-12-04

Family

ID=48428578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147029123A KR20140138982A (ko) 2012-04-24 2013-04-18 홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법

Country Status (8)

Country Link
US (1) US20150074782A1 (ko)
EP (1) EP2842289A1 (ko)
JP (1) JP2015509671A (ko)
KR (1) KR20140138982A (ko)
CN (1) CN104247370A (ko)
BR (1) BR112014026119A2 (ko)
IN (1) IN2014DN08095A (ko)
WO (1) WO2013161230A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3051745B1 (en) * 2013-09-23 2020-05-06 Samsung Electronics Co., Ltd. Security management method and security management device in home network system
US11381387B2 (en) * 2016-07-25 2022-07-05 Telefonaktiebolaget Lm Ericsson (Publ) Proof-of-presence indicator
CN111869182B (zh) 2018-03-22 2023-01-17 英国电讯有限公司 对设备进行认证的方法、通信***、通信设备
GB2587815B (en) * 2019-10-02 2021-12-29 British Telecomm Wireless telecommunications network authentication

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2877199B2 (ja) * 1996-06-21 1999-03-31 日本電気株式会社 ローミング方式
US8849276B2 (en) * 2000-12-29 2014-09-30 At&T Mobility Ii Llc Intelligent network selection based on quality of service and applications over different wireless networks
KR100459183B1 (ko) * 2002-06-29 2004-12-03 엘지전자 주식회사 조합 모바일 ip 시스템 및 그를 이용한 모빌리티 관리방법
US20070281687A1 (en) * 2003-02-14 2007-12-06 Roamware Inc. Method and system for providing PLN service to inbound roamers in a VPMN using a sponsor network when no roaming relationship exists between HPMN and VPMN
US7813718B2 (en) * 2003-12-24 2010-10-12 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a communication network
US8023942B2 (en) * 2004-02-18 2011-09-20 Megasoft Limited Network-based system and method for global roaming
JP2008500632A (ja) * 2004-05-26 2008-01-10 松下電器産業株式会社 アドホックアクセス環境を提供するネットワークシステムおよび方法
GB2421874B (en) * 2004-12-31 2008-04-09 Motorola Inc Mobile station, system, network processor and method for use in mobile communications
CA2622235C (en) * 2005-10-14 2015-09-15 Samsung Electronics Co., Ltd. Roaming service method in a mobile broadcasting system, and system thereof
US7778638B2 (en) * 2006-02-28 2010-08-17 Lg Electronics Inc. Method of roaming in broadcast service and system and terminal thereof
US9031557B2 (en) * 2006-04-21 2015-05-12 Itxc Ip Holdings S.A.R.L. Method and apparatus for steering of roaming
KR101467780B1 (ko) * 2007-10-17 2014-12-03 엘지전자 주식회사 이기종 무선접속망간 핸드오버 방법
US8116735B2 (en) * 2008-02-28 2012-02-14 Simo Holdings Inc. System and method for mobile telephone roaming
US8244238B1 (en) * 2008-04-11 2012-08-14 Cricket Communications, Inc. Dynamic configuration of unlimited service for roaming subscriber
KR101546789B1 (ko) * 2008-12-29 2015-08-24 삼성전자주식회사 위치등록 수행방법, 장치 및 시스템
US20100234022A1 (en) * 2009-03-16 2010-09-16 Andrew Llc System and method for supl roaming in wimax networks
EP2273820A1 (en) * 2009-06-30 2011-01-12 Panasonic Corporation Inter-VPLMN handover via a handover proxy node
CN102036215B (zh) * 2009-09-25 2013-05-08 中兴通讯股份有限公司 实现网间漫游的方法、***及查询和网络附着方法及***
US8737318B2 (en) * 2009-12-01 2014-05-27 At&T Intellectual Property I, L.P. Service models for roaming mobile device
US9112905B2 (en) * 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US8590023B2 (en) * 2011-06-30 2013-11-19 Intel Corporation Mobile device and method for automatic connectivity, data offloading and roaming between networks

Also Published As

Publication number Publication date
US20150074782A1 (en) 2015-03-12
EP2842289A1 (en) 2015-03-04
CN104247370A (zh) 2014-12-24
IN2014DN08095A (ko) 2015-05-01
WO2013161230A1 (en) 2013-10-31
JP2015509671A (ja) 2015-03-30
BR112014026119A2 (pt) 2017-06-27

Similar Documents

Publication Publication Date Title
US11895229B2 (en) States secondary authentication of a user equipment
US9503890B2 (en) Method and apparatus for delivering keying information
RU2745719C2 (ru) Реализация функции межсетевого взаимодействия с использованием недоверенной сети
US8332912B2 (en) Method and apparatus for determining an authentication procedure
CN110999356B (zh) 网络安全管理的方法及装置
KR100995423B1 (ko) 통신 시스템에서 사용자 인증 및 권한 부여
KR102040231B1 (ko) 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
KR101146204B1 (ko) 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법
EP2415226A1 (en) Mechanism for authentication and authorization for network and service access
CN101675644A (zh) 无线通信网络中的用户概况、策略、及pmip密钥分发
KR20100054178A (ko) 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
KR20110021945A (ko) 네트워크 인증을 위한 방법, 장치, 시스템 및 서버
KR20140138982A (ko) 홈 네트워크의 외부로부터 서비스에 액세스하는 sso 가입자에 대한 보안 방법
WO2008099254A2 (en) Authorizing n0n-3gpp ip access during tunnel establishment
WO2017160227A1 (en) Method and system for key generation and service-based authentication in mobile network
WO2009087006A1 (en) Mechanism for authentication and authorization for network and service access
KR100933782B1 (ko) 이동 ip망에서 핸드오버를 처리하는 장치 및 그 방법
WO2023217685A1 (en) A method of joining a communication network
EP4356633A1 (en) Methods and entites for end-to-end security in communication sessions
CN117880808A (zh) 认证授权的方法与通信装置
EP1958370A2 (en) Method and apparatus for delivering keying information

Legal Events

Date Code Title Description
A201 Request for examination
WITB Written withdrawal of application