Nothing Special   »   [go: up one dir, main page]

KR100904004B1 - Authenticating users - Google Patents

Authenticating users Download PDF

Info

Publication number
KR100904004B1
KR100904004B1 KR1020077002083A KR20077002083A KR100904004B1 KR 100904004 B1 KR100904004 B1 KR 100904004B1 KR 1020077002083 A KR1020077002083 A KR 1020077002083A KR 20077002083 A KR20077002083 A KR 20077002083A KR 100904004 B1 KR100904004 B1 KR 100904004B1
Authority
KR
South Korea
Prior art keywords
service
user
request
delete delete
public key
Prior art date
Application number
KR1020077002083A
Other languages
Korean (ko)
Other versions
KR20070019795A (en
Inventor
리스토 모노넨
나다라자 아소칸
페카 라이티넨
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Priority to KR1020077002083A priority Critical patent/KR100904004B1/en
Publication of KR20070019795A publication Critical patent/KR20070019795A/en
Application granted granted Critical
Publication of KR100904004B1 publication Critical patent/KR100904004B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본원에는 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법이 개시되어 있으며, 상기 사용자의 인증 방법은 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 식별자들을 사용자에게 할당하는 단계; 사용자로부터 요구를 제공하는 단계로서, 상기 요구는 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 단계; 및 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 식별번호를 결합한 공개 키 인증서를 제공하며, 상기 공개 키 인증서를 사용자에게로 복귀시키는 단계를 포함하는 것을 특징으로 한다.

Figure R1020077002083

Disclosed herein is a method of authenticating a user who wants to access a service from a service provider in a communication network, the method of authenticating the user comprising: assigning a plurality of service specific identifiers to the user to access corresponding services; Providing a request from a user, the request identifying a service to be accessed and including the user's public key; And at the certification authority, authenticating the request, providing a public key certificate combining the public key in the request and a service specific identification number, and returning the public key certificate to the user.

Figure R1020077002083

Description

사용자들의 인증{Authenticating users}Authenticating users}

본 발명은 특히 무선 통신 네트워크의 사용자들(가입자들)에게 서비스들을 제공하는 것과 관련한 사용자들의 인증에 관한 것이다.The invention relates in particular to the authentication of users in connection with providing services to users (subscribers) of a wireless communication network.

사용자 프라이버시가 유지될 수 있는 한가지 방법은 사용자가 다른 서비스 제공자들에게 다른 아이덴티티(identity)들을 제공하는 것이다. 이러한 아이덴티티들은 본원 명세서에서 서비스 전용 아이덴티티들이라고 언급된다. 그러나, 이 같은 경우에, 가입자들을 위한 네트워크의 운영자는 인증된 가입자들과 서비스 전용 아이덴티티들을 연관시킬 수 있는 아이덴티티 관리 서비스를 제공할 필요가 있다. 아이덴티티 관리 제공자가 자기 자신을 대신하는 것뿐만 아니라 다른 서비스 제공자들을 대신해서 인증들을 수행할 수 있는 경우에도 또한 유용하다. 이것이 의미하는 것은 사용자들이 각각의 서비스 프로파일 사이트에 개별적으로 등록할 필요 없이 개인화된 서비스들을 호출할 수 있다는 것을 의미한다.One way in which user privacy can be maintained is for a user to provide different identities to different service providers. Such identities are referred to herein as service only identities. However, in such a case, the operator of the network for subscribers needs to provide an identity management service that can associate service-specific identities with authenticated subscribers. It is also useful when an identity management provider can perform authentications on behalf of other service providers as well as on its own. This means that users can invoke personalized services without having to register individually with each service profile site.

이러한 구성은 아이덴티티 페더레이션(identity federation)으로 알려져 있으며 서비스 제공자들이 중앙집중된 위치로부터 사용자의 아이덴티티를 독출할 수 있게 한다. 사용자는 모든 서비스 제공자들에게 전용 아이덴티티 정보를 제공할 필요가 없다.This configuration is known as identity federation and allows service providers to read the user's identity from a centralized location. The user does not need to provide dedicated identity information to all service providers.

현재에는 이동 단말기의 형태를 이루고 있는 사용자 기기(UE)가 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 무선 통신 네트워크들에 규정된 2가지 중요한 인증 절차가 있다. 소위 리버티 얼라이언스(Liberty Alliance; LA) 표준은 사용자가 서비스 제공자와 함께 사용하고자 하는 아이덴티티 제공자에 관한 지식을 지니거나 사용자가 서비스 제공자와 함께 사용하고자 하는 아이덴티티 제공자에 관한 지식을 어떻게 획득해야 하는지를 아는 클라이언트로 리버티 가능 클라이언트(Liberty Enabled Client; LEC)가 되는 인증 절차를 사용한다. 이는 아이덴티티 제공자(identity provider; IDP) 측에서의 서비스 전용 아이덴티티 매핑을 규정한다. 각각의 가입자는 서비스 제공자(Service Provider; SP)들에 액세스하기 위한 다수의 아이덴티티들을 지닌다. 상기 아이덴티티 제공자 측의 페더레이션 디렉토리는 사용자들, 사용자들의 아이덴티티들 및 서비스들 간의 관계들을 저장한다. 상기 아이덴티티 제공자는 서비스 전용 아이덴티티로 사용자를 인식하는 서비스 제공자에 대하여 서비스 전용 아이덴티티를 검증구현(assertion)한다. 다른 서비스 제공자들에 다른 아이덴티티들을 제공할 수 있는 능력은 가입자 프라이버시가 유지될 수 있게 한다. 상기 리버티 얼라이언스 표준에 의하면, 사용자는 서비스들을 호출할 때 자기 자신의 실제 아이덴티티에 대한 공개를 회피할 수 있다. 자기 자신의 실제 아이덴티티에 대한 공개 대신에, 사용자는 익명으로 서비스들을 호출할 수도 있고 가명(서비스 전용 아이덴티티)을 사용할 수도 있다. 상기 페더레이션 디렉토리는 서비스 제공자가 실제 아이덴티티를 알지 못하도록 자기 자신의 가명들 또는 서비스 전용 아이덴티티들에 사용자의 실제 아이덴티티를 매핑한다. 상기 가명 및 상기 매핑 서비스를 통해, 상기 서비스 제공자는 예를 들면 사용자의 장소 또는 현재 상태에 액세스할 수 있다. 이는 서비스 제공자가 가명을 사용하여 페더레이션 데이터베이스에서의 매핑을 통해 아이덴티티 서비스 제공자로부터 사용자의 위치에 액세스할 수 있게 한다. 상기 리버티 얼라이언스 표준은 검증구현들을 위해 사용될 등록된 HTTP/soap 결합을 규정한다. 그러나, 리버티 검증구현들을 알고 있지 않고 전형적인 공개 키 인증서들과 같은 액세스를 위한 다른 형태의 "검증구현들(assertions)"에 의존하는 여러 기존의 서비스가 있다. 그러한 서비스의 일례는 가상 사설 네트워크(virtual private network; VPN)들을 통합하게 하는 액세스 제어이다.Currently there are two important authentication procedures defined in wireless communication networks where a user equipment (UE) in the form of a mobile terminal wishes to access a service from a service provider in the network. The so-called Liberty Alliance (LA) standard is a client that has knowledge about the identity provider that the user intends to use with the service provider or knows how to obtain knowledge about the identity provider that the user intends to use with the service provider. Use an authentication procedure that becomes a Liberty Enabled Client (LEC). This defines the service-specific identity mapping at the identity provider (IDP) side. Each subscriber has a number of identities for accessing Service Providers (SPs). The federation directory on the identity provider side stores the relationships between users, their identities and services. The identity provider asserts a service specific identity to a service provider that recognizes the user as a service dedicated identity. The ability to provide different identities to different service providers allows for subscriber privacy to be maintained. According to the Liberty Alliance standard, a user can avoid disclosing his or her actual identity when invoking services. Instead of revealing their own real identity, the user may call the services anonymously or use an alias (a service-specific identity). The federation directory maps the user's actual identity to his own aliases or service-specific identities so that the service provider does not know the actual identity. Through the pseudonym and the mapping service, the service provider can access the user's location or current state, for example. This allows the service provider to use an alias to access the user's location from the identity service provider through a mapping in the federation database. The Liberty Alliance standard specifies a registered HTTP / soap combination to be used for verification implementations. However, there are several existing services that do not know the Liberty verification implementations and rely on other forms of "assertions" for access, such as typical public key certificates. One example of such a service is access control that allows integration of virtual private networks (VPNs).

다른 한 기존 형태의 인증은 가입자 인증서(subscriber certificate; SSC)를 위한 3GPP 지원이다[3GPP TS 33.221]. 이는 3GPP 일반 인증 아키텍처(generic authentication architecture; GAA)로서 구현되며[3GPP TS 33.220] 인증 기관(certificate authority; CA)으로부터 전용 아이덴티티를 위한 가입자 인증서를 요구하는 방법을 규정한다. 이러한 경우에, 상기 전용 아이덴티티는 사용자의 아이덴티티이고, 서비스 전용이 아니다. GAA/SSC 기술에 의하면, 사용자 기기 측에 삽입된 일반 부트스래핑 아키텍처(generic bootstrapping architecture; GBA)는 서비스 제공자 측의 인증 서버와 관련하여 사용자 기기를 인증하며, 상기 사용자 기기 및 상기 서비스 제공자 측의 인증 서버는 공유 키 자료(shared key material)에 대하여 동의한다. 상기 일반 부트스트래핑 아키텍처는 인증 기관(CA)에 공유 키 자료를 전달한다. 상기 사용자 기기들은 비대칭 공개/비밀 키 쌍을 생성하고 상기 인증 기관으로부터 인증을 요구한다. 인증된 경우에, 요구하는 사용자의 아이덴티티와 공개 키를 연관시킨 인증서가 복귀된다. 그러한 인증 절차는 공유 키 자료에 의해 보호를 받는다.Another existing form of authentication is 3GPP support for subscriber certificates (SSCs) [3GPP TS 33.221]. It is implemented as a 3GPP generic authentication architecture (GAA) [3GPP TS 33.220] and specifies how to require subscriber certificates for dedicated identities from a certificate authority (CA). In this case, the dedicated identity is the user's identity and not service only. According to the GAA / SSC technology, a generic bootstrapping architecture (GBA) inserted at the user device side authenticates the user device with respect to an authentication server at the service provider side, and at the user device and the service provider side. The authentication server agrees on the shared key material. The generic bootstrapping architecture delivers shared key material to a Certificate Authority (CA). The user devices generate an asymmetric public / secret key pair and require authentication from the certificate authority. In the case of authentication, the certificate which associates the public key with the identity of the requesting user is returned. Such authentication procedures are protected by shared key material.

모바일 운영자들은 USIM, ISIM, 사용자 이름/패스워드 쌍 또는 X.509 공개 키 인증서들을 사용하여 그들 자신의 모바일 가입자들을 인증할 수 있다. 인증서들의 경우에, 인증된 아이덴티티가 subjectName 필드에 있을 수도 있고 인증서의 SubjectAltName 확장자에 있을 수도 있다[RFC 3280].Mobile operators can authenticate their own mobile subscribers using USIM, ISIM, username / password pair or X.509 public key certificates. In the case of certificates, the authenticated identity may be in the subjectName field or may be in the SubjectAltName extension of the certificate [RFC 3280].

상기 3GPP/GAA/SSC 인증 절차는 가입자가 액세스하고자 하는 서비스 제공자를 나타내는 메커니즘을 지니고 있지 않다. 단지 사용자의 아이덴티티만이 표시되어 상기 인증서에 의해 인증될 수 있다. 다수의 아이덴티티들 또는 서비스 전용 아이덴티티들의 인증서 기반 인증에 대한 어떠한 지원도 존재하지 않는다. 비록 상기 SubjectAltName 확장자가 다수의 아이덴티티들 및 서비스 전용 아이덴티티들을 수반하는데 사용될 수 있지만, 사용자 기기가 인증 절차 동안 의도된 아이덴티티 또는 아이덴티티들, 즉 사용자 기기가 인증서와 함께 사용하려고 계획한 서비스 또는 서비스들을 나타낼 수 있어야 하는 문제가 있다. 사용자 기기는 하나의 인증서 내에 가능한 모든 아이덴티티들을 삽입하기를 원하지 않는데, 그 이유는 인증서가 공개되어 있으므로 인해 다른 아이덴티티들 간의 결합들에 대한 발견이 매우 용이하게 되기 때문이다.The 3GPP / GAA / SSC authentication procedure does not have a mechanism indicating a service provider that the subscriber wants to access. Only the user's identity can be displayed and authenticated by the certificate. There is no support for certificate-based authentication of multiple identities or service-only identities. Although the SubjectAltName extension may be used to involve multiple identities and service-specific identities, it may indicate the identity or identities intended for the user device during the authentication procedure, i.e., the service or services the user device intends to use with the certificate. There is a problem that must be present. The user device does not want to insert all possible identities in one certificate, since the certificate is public, making it very easy to find associations between different identities.

본 발명의 목적은 위에서 언급된 2가지 시스템의 한계들에 직면하지 않는 인증 시스템을 제공하는 것이다.It is an object of the present invention to provide an authentication system which does not face the limitations of the two systems mentioned above.

본 발명의 한 실시태양에 의하면, 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법이 제공되며, 상기 사용자의 인증 방법은 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 아이덴티티들을 사용자에게 할당하는 단계; 사용자로부터 요구를 제공하는 단계로서, 상기 요구는 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 단계; 및 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 아이덴티티를 결합한 공개 키 인증서를 제공하며, 상기 공개 키 인증서를 사용자에게로 복귀시키는 단계를 포함하는 것을 특징으로 한다.According to one aspect of the present invention, there is provided a method for authenticating a user who wants to access a service from a service provider in a communication network, wherein the user's authentication method provides a plurality of service specific identities to access corresponding services. Assigning to a user; Providing a request from a user, the request identifying a service to be accessed and including the user's public key; And at the certificate authority side, authenticating the request and providing a public key certificate combining the public key in the request and a service-specific identity, and returning the public key certificate to the user.

이하에서 언급되는 실시예에서, 상기 요구는 액세스될 서비스를 식별하는 서비스 식별자 및 사용자를 식별하는 요구자 식별자를 포함한다. 상기 사용자의 인증 방법은, 상기 인증 기관 측에서, 인증될 서비스 전용 아이덴티티에 상기 서비스 식별자 및 상기 요구자 식별자 쌍을 매핑하는 단계를 더 포함한다. 그러나, 상기 요구는 상기 서비스 전용 아이덴티티를 식별하고, 상기 사용자의 인증 방법은, 상기 인증 기관을 통해 사용자가 상기 서비스 전용 아이덴티티를 사용하도록 인증되었는지를 검증하는 단계를 더 포함하는 발명을 구현하는 것도 또한 가능하다.In the embodiments mentioned below, the request includes a service identifier identifying a service to be accessed and a claimant identifier identifying a user. The authentication method of the user further includes mapping, at the certification authority side, the service identifier and the claimant identifier pair to a service-only identity to be authenticated. However, the request may also identify the service-only identity, and the user's authentication method may further include verifying that the user is authenticated to use the service-only identity with the certification authority. It is possible.

바람직한 실시예에 있어서, 상기 공개 키는 비밀 키 및 상기 공개 키를 포함하는 비대칭 키 쌍의 일부로서 사용자 단말기 측에서 생성된다. 그러나, 키 쌍들은 예를 들면 상기 사용자 단말기에 부착된 보안 요소로부터 또는 상기 인증 기관에 의해 생성되는 다른 방식으로 획득될 수 있다.In a preferred embodiment, the public key is generated at the user terminal side as part of an asymmetric key pair comprising a secret key and the public key. However, key pairs may be obtained, for example, from a secure element attached to the user terminal or in other ways generated by the certification authority.

본 발명은 무선 통신 네트워크들과 관련하여 특히 유용하지만, 여기서 알 수 있는 점은 본 발명이 또한 다른 유형의 통신 네트워크들에 적용가능하다는 것이다.Although the present invention is particularly useful in connection with wireless communication networks, it is appreciated that the present invention is also applicable to other types of communication networks.

본 발명의 다른 한 실시태양에 의하면, 통신 네트워크에서 사용하는 사용자 단말기가 제공되며, 상기 사용자 단말기는 상기 통신 네트워크를 통해 액세스될 서비스를 식별하고 공개 키를 포함하는 요구를 제공하는 수단; 상기 공개 키와 액세스될 서비스에 대한 서비스 전용 아이덴티티를 연관시킨 인증 기관에 의해 제공된 공개 키 인증서를 수신하는 수단; 및 사용자를 위한 서비스 전용 아이덴티티를 인증함으로써 상기 서비스에 대한 액세스를 인증하는 서비스 제공자에게 상기 공개 키 인증서를 전송하는 수단을 포함하는 것을 특징으로 한다.According to another aspect of the invention, there is provided a user terminal for use in a communication network, the user terminal comprising means for identifying a service to be accessed via the communication network and providing a request comprising a public key; Means for receiving a public key certificate provided by a certificate authority that associates the public key with a service-specific identity for a service to be accessed; And means for transmitting the public key certificate to a service provider that authenticates access to the service by authenticating a service-only identity for a user.

본 발명의 또 다른 한 실시태양에 의하면, 서비스 제공자로부터의 서비스에 대한 액세스를 허용하는 통신 네트워크용 인증 시스템이 제공되며, 상기 통신 네트워크용 인증 시스템은 사용자로부터 요구를 수신하는 수단으로서, 상기 요구는 액세스될 서비스를 식별하고 사용자의 공개 키를 포함하는 수단; 및 상기 요구를 인증하고 액세스될 서비스의 서비스 전용 아이덴티티에 대한 공개 키 인증서를 제공하도록 구성되고 상기 공개 키 인증서를 사용자에게로 복귀시키도록 구성된 인증 기관을 포함하는 것을 특징으로 한다.According to yet another aspect of the present invention, there is provided an authentication system for a communication network that allows access to a service from a service provider, wherein the authentication system for the communication network is a means for receiving a request from a user, wherein the request is Means for identifying a service to be accessed and including a user's public key; And a certification authority configured to authenticate the request and provide a public key certificate for a service-only identity of a service to be accessed and to return the public key certificate to a user.

본 발명을 더 양호하게 이해하기 위해 그리고 본 발명의 효과가 어떻게 발휘될 수 있는지를 보여주기 위해 지금부터 예를 들어 첨부도면들이 참조될 것이다.Reference will now be made, for example, to the accompanying drawings in order to better understand the present invention and to show how the effects of the present invention can be exercised.

도 1은 가입자가 하나 이상의 서비스들에 액세스할 수 있는 통신 네트워크를 개략적인 선도로 보여주는 도면이다.1 is a schematic diagram illustrating a communication network in which a subscriber can access one or more services.

도 2는 본 발명의 한 실시예를 구현하기 위한 대표적인 아키텍처를 보여주는 도면이다.2 shows an exemplary architecture for implementing one embodiment of the present invention.

도 3은 페더레이션 디렉토리를 개략적으로 보여주는 선도이다.3 is a diagram schematically showing a federation directory.

도 4는 가입자 및 인증 서버 간의 메시지 흐름을 보여주는 도면이다.4 is a diagram illustrating a message flow between a subscriber and an authentication server.

도 5는 가입자 및 인증기관 간의 메시지 흐름을 보여주는 도면이다.5 is a diagram illustrating a message flow between a subscriber and a certification authority.

도 1은 가입자에게 서비스들을 제공하기 위한 무선 통신 네트워크를 개략적인 블록 선도로 보여주는 도면이다. 상기 가입자는 이동 전화, 개인용 컴퓨터 또는 기타 종류의 이동 통신 장치와 같은 이동 단말기일 수 있는 사용자 기기(UE)의 형태로 나타나 있다. 상기 사용자 기기(UE)는 무선 통신을 지원하는 것이 가능한 무선 링크(RL)를 통해 요구 및 응답 메시지들과 같은 데이터를 상기 네트워크로 수신 및 송신하는 것이 가능한 수신/송신 회로(50)를 구비하고 있다. 상기 사용자 기기(UE)는 또한 이하에서 더 상세하게 논의되겠지만 인증 정보를 보유하는 메모리(52)를 포함한다. 상기 이동 단말기는 이하에서 더 상세하게 설명되겠지만 클라이언트 소프트웨어를 실행하는 것이 가능하다. 상기 가입자를 나타내는 사용자 기기(UE)는 운영자 네트워크를 통해 다수의 다른 서비스 제공자들(SP1,SP2,...SPN)과 통신한다. 상기 네트워크는 인증 부속시스템(26)을 포함하거나 인증 부속시스템(26)에 액세스할 수 있는데, 상기 인증 부속시스템(26)은 상기 네트워크에 액세스하고 있는 서비스 제공자들에 대한 중앙집중된 아이덴티티(identity) 제공자로서의 역할을 수행한다. 한 서비스에 액세스하려고 하는 가입자는 자기 자신의 인증된 아이덴티티를 기반으로 하여 인증된다.1 is a schematic block diagram illustrating a wireless communication network for providing services to a subscriber. The subscriber is presented in the form of a user equipment (UE), which may be a mobile terminal such as a mobile phone, a personal computer or other kind of mobile communication device. The user equipment UE is provided with a reception / transmission circuit 50 capable of receiving and transmitting data such as request and response messages to the network via a radio link RL capable of supporting wireless communication. . The user equipment UE also includes a memory 52 that holds authentication information, as will be discussed in more detail below. The mobile terminal will be described in more detail below, but it is possible to execute client software. The user equipment UE representing the subscriber communicates with a number of other service providers SP1, SP2, ... SPN via an operator network. The network may include an authentication subsystem 26 or access an authentication subsystem 26, where the authentication subsystem 26 is a centralized identity provider for service providers who are accessing the network. It serves as. Subscribers who wish to access a service are authenticated based on their own authenticated identity.

도 2는 본 발명의 한 실시예를 구현하는 대표적인 아키텍처를 보여주는 도면이다. 도 2는 Ub 인터페이스를 통하여 인증 서버(부트스트래핑 서버 기능(Bootstrapping Server Function; BSF)에 접속된 이동 단말기에서 실행되는 일반 부트스트래핑 아키텍처(Generic Bootstrapping Architecture; GBA) 클라이언트(4)를 포함하는 일반 인증 아키텍처(Generic Authentication Architecture; GAA)를 보여주는 도면이다. 상기 인증 서버(6)는 홈 가입자 서버(Home Subscriber Server; HSS)/홈 위치 레지스터(Home Location Register; HLR)(8)에 접속되는데, 상기 홈 가입자 서버(HSS)/홈 위치 레지스터(HLR)(8)는 가입자들을 위한 국제 이동 가입자 아이덴티티(International Mobile Subscriber Identity; IMSI) 및 키(K)들을 포함하는 인증 데이터를 저장한다. 상기 인증 서버(6)는 Zn 인터페이스를 통해 인증 기관(Certificate Authority; CA; 10)에 접속된다. 상기 인증 기관(10)은 페더레이션 디렉토리(federation directory; FD)를 포함한다. 상기 페더레이션 디렉토리(FD)는 도 3에 예시되어 있다. 상기 페더레이션 디렉토리(FD)는 가입자가 서비스 제공자들로부터의 다른 서비스들에 액세스하기 위해 자신의 얼굴로서 사용하는 복수 개의 서비스 전용 아이덴티티(Service-specific Identity; SSI)들과 각각의 가입자 식별아이덴티티를 연관시킨다. 상기 페더레이션 디렉토리의 가입자 아이덴티티는 상기 운영자 네트워크가 가입자를 인식하는 사용자 이름(user name)이다. 참조번호(12)는 공개 키 인증서(Public Key Certificate; PKC) 도메인을 나타낸다. 상기 공개 키 인증서 도메인(12)은 (PK 인터페이스를 통해 상기 인증 클라이언트(4)에 접속되며, 그리고 Ua 인터페이스를 통해 상기 인증 기관(10)에 접속되는 이동 단말기에서 실행되는) 인증서 클라이언트(14)를 포함한다. 상기 공개 키 인증서 도메인(12)은 또한 PK1 인터페이스를 통해 상기 인증서 클라이언트(14)에 접속된 보안(전송 계층 보안)(Security(Transport Layer Security); SEC(TLS)) 게이트웨이 기능부(16)를 포함한다. 상기 보안(전송 계층 보안)(SEC(TLS)) 게이트웨이(16)는 HTTP 서버의 일부이며 HTTP 서버 대신에 전송 계층 보안(TLS) 인증 부분을 수행한다.2 illustrates an exemplary architecture for implementing one embodiment of the present invention. FIG. 2 illustrates a generic authentication architecture including a Generic Bootstrapping Architecture (GBA) client 4 running on a mobile terminal connected to an authentication server (Bootstrapping Server Function (BSF)) via a Ub interface. (Generic Authentication Architecture; GAA) The authentication server 6 is connected to a Home Subscriber Server (HSS) / Home Location Register (HLR) 8, which is the home subscriber. The server (HSS) / home location register (HLR) 8 stores authentication data including International Mobile Subscriber Identity (IMSI) and keys K for subscribers. Is connected to a Certificate Authority (CA) 10 via a Zn interface, which includes a federation directory (FD). The federation directory FD is illustrated in Figure 3. The federation directory FD is a plurality of service-specific identities that a subscriber uses as his face to access other services from service providers. Associate each subscriber identity with a subscriber identity in the federation directory, a user name by which the operator network recognizes the subscriber, reference number 12 denotes a public key certificate; Certificate (PKC) domain The public key certificate domain 12 executes on a mobile terminal connected to the authentication client 4 via a PK interface and connected to the certificate authority 10 via a Ua interface. Certificate client 14). The public key certificate domain 12 also includes a Security (Transport Layer Security) SEC (TLS) gateway function 16 connected to the certificate client 14 via a PK1 interface. do. The secure (transport layer security) (SEC (TLS)) gateway 16 is part of an HTTP server and performs the transport layer security (TLS) authentication portion instead of the HTTP server.

이하의 설명에서는 주어진 예에서 http 기반 서비스들이 구현된다는 점에 유념하기로 한다. 그러나, 또한, 인터넷 프로토콜 보안(Internet Protocol Security; IPSec), 가상 사설 네트워크(Virtual Private Networks; VPN) 또는 무선 근거리 통신 네트워크(Wireless Local Area Networks; WLAN)에 대한 기초 원리가 사용될 수 있다.In the following description, note that http-based services are implemented in the given example. However, basic principles may also be used for Internet Protocol Security (IPSec), Virtual Private Networks (VPN), or Wireless Local Area Networks (WLAN).

참조번호(18)는 http 도메인을 나타내며, 상기 http 도메인은 예를 들면 브라우저의 형태로 http 클라이언트(20)를 포함하는데, 상기 http 클라이언트(20)는 HT3 인터페이스를 통해 상기 공개 키 인증서(PKC) 도메인의 인증서 클라이언트(14)에 접속되고 TE-AA 인터페이스를 통해 GAA 도메인의 인증 클라이언트에 접속된다. 상기 http 클라이언트(20)는 HT1 인터페이스를 통해 http 분류기(22)에 접속된다. 상기 http 분류기는 HT4 인터페이스를 통해 http 서버 기능부(24)에 접속된다. 상기 http 분류기(22)는 HT2 인터페이스를 통해 상기 공개 키 인증서(PKC) 도메인의 인증서 클라이언트에 접속된다. 상기 http 서버 기능부(24)는 내부 SP-AA 인터페이스를 통해 상기 공개 키(PKC) 도메인의 보안(전송 계층 보안)(SEC(TLS)) 게이트웨이 기능부(16)에 접속된다. 상기 http 클라이언트 및 분류기는 이동 단말기(UE)에서 실행된다. 상기 http 서버 기능부(24)는 도 1의 서비스 제공자(SP)들 중 하나와 연관된다.Reference numeral 18 represents an http domain, which includes, for example, an http client 20 in the form of a browser, which http client 20 provides the public key certificate (PKC) domain via an HT3 interface. It is connected to the certificate client 14 of and connected to the authentication client of the GAA domain through the TE-AA interface. The http client 20 is connected to the http classifier 22 via the HT1 interface. The http classifier is connected to the http server function 24 via the HT4 interface. The http classifier 22 is connected to a certificate client of the public key certificate (PKC) domain via an HT2 interface. The http server function 24 is connected to a secure (transport layer security) (SEC (TLS)) gateway function 16 of the public key (PKC) domain via an internal SP-AA interface. The http client and classifier are run in a mobile terminal (UE). The http server function 24 is associated with one of the service providers (SPs) of FIG.

상기 GAA 도메인(2)을 다시 참조하면, 상기 사용자 기기(UE)에서의 GBA 인증 클라이언트(4)는 상기 BSF 서버에 대해 인증하며, 상기 사용자 기기(UE)에서의 GBA 인증 클라이언트(4)와 상기 BSF 서버는 공유 키 자료에 대하여 동의한다. 상기 BSF 서버(6)는 커맨드 요구(Request for Comments; RFC) 3310)에서 규정된 HTTP 다이제스트 인증(Digest Authentication) 및 키 동의(Key Agreement; AKA) 프로토콜을 사용하여 사용자 기기를 인증하는데 사용되는데, 이로 인해 상기 BSF 서버(6) 및 사용자 기기(UE) 사이에는 공유 키 자료가 있게 된다. 상기 BSF 서버(6)는 상기 홈 가입자 서버/홈 위치 레지스터(8)와 인터페이스하여 대응하는 인증 정보를 인증 트리플렛/벡터들의 형태로 인출한다. 상기 인증 기관(10)은 PKI 포털로서의 역할을 수행하고 상기 사용자 기기에 대한 인증서를 제공하여 운영자 CA 인증서를 전달할 수 있다. 양자의 경우에, 요구들 및 응답들은 사용자 기기 및 인증 서버 간에 사전 설정된 공유 키 자료에 의해 보호를 받는다.Referring back to the GAA domain 2, the GBA authentication client 4 at the user equipment UE authenticates to the BSF server, and the GBA authentication client 4 at the user equipment UE and the The BSF Server agrees on the shared key material. The BSF server 6 is used to authenticate the user device using HTTP Digest Authentication and Key Agreement (AKA) protocols as defined in the Request for Comments (RFC) 3310, whereby This results in shared key material between the BSF server 6 and the user equipment UE. The BSF server 6 interfaces with the home subscriber server / home location register 8 to withdraw corresponding authentication information in the form of authentication triplets / vectors. The certification authority 10 may serve as a PKI portal and provide a certificate for the user device to deliver an operator CA certificate. In both cases, the requests and responses are protected by a shared key material preset between the user equipment and the authentication server.

지금부터 사용자 기기(UE)를 사용하는 가입자가 상기 서비스 제공자(SP)들 중 하나에 의해 제공된 서비스에 액세스할 수 있게 하는 본 발명의 한 실시예에 따른 방법이 설명될 것이다. 상기 GBA 클라이언트(4)는 상기 인증 서버 BSF와 통신하여 자기 자신의 가입자 아이덴티티(예컨대, 사용자 이름)를 기반으로 하여 가입자를 인증하고 공유 키 자료(Ks)에 대하여 동의한다. 상기 공유 키 자료는 상기 인증 기관(10) 및 인증 클라이언트(4) 모두의 인증 정보로부터 획득된다. 상기 클라이언트(4)는 비밀 키 및 암호 기능을 필요로 하는 HTTP 다이제스트 AKA 프로토콜을 통해 공유 키 자료(Ks)를 획득하여 인증 도전으로부터 공유 키 자료(Ks)를 추출한다. 상기 공유 키 자료는 이러한 인증 세션 동안 관련된 가입자 아이덴티티와 관련하여 상기 페더레이션 디렉토리(FD)에 보유된다. 상기 공유 키 자료는 암호 코드의 형태를 취한다.A method according to an embodiment of the present invention will now be described that allows a subscriber using a user equipment (UE) to access a service provided by one of the service providers (SPs). The GBA client 4 communicates with the authentication server BSF to authenticate the subscriber based on his own subscriber identity (e.g. username) and agree on the shared key material Ks. The shared key material is obtained from authentication information of both the certificate authority 10 and the authentication client 4. The client 4 obtains the shared key material Ks through the HTTP Digest AKA protocol, which requires a secret key and cryptographic function, and extracts the shared key material Ks from the authentication challenge. The shared key material is held in the federation directory FD with respect to the associated subscriber identity during this authentication session. The shared key material takes the form of an encryption code.

이때, 사용자 기기(UE)는 공개 키/비밀 키 쌍을 생성하며 이들을 가입자가 액세스하고자 하는 서비스를 식별하는 서비스 식별자(SIi)와 함께 저장한다. 상기 공개 키/비밀 키 쌍은 사용자 기기의 메모리(52)에 저장될 수도 있고 사용자 기기에 접근가능한 스마트 카드에 저장될 수도 있다.At this time, the user equipment UE generates a public key / secret key pair and stores them together with a service identifier SI i , which identifies a service that the subscriber wishes to access. The public key / secret key pair may be stored in the memory 52 of the user device or in a smart card accessible to the user device.

상기 인증서 클라이언트(14)는 인증서를 요구하도록 호출된다. 요구는 상기 서비스 식별자 및 상기 공개 키를 포함하지만 상기 비밀 키는 비밀을 지켜준다. 상기 인증서에 대한 요구는 상기 공유 키 자료로 보호를 받게 되며 상기 Ua 인터페이스를 통해 인증 기관(CA)에 전송된다. 상기 가입자 아이덴티티는 또한 상기 요구와 함께 전송된다The certificate client 14 is called to request a certificate. The request includes the service identifier and the public key but the secret key keeps secret. The request for the certificate is protected with the shared key material and sent to a Certificate Authority (CA) via the Ua interface. The subscriber identity is also sent with the request.

상기 인증 기관(10) 측에서는, 상기 페더레이션 디렉토리(FD)가 그러한 서비스 및 그러한 사용자 이름에 대한 서비스 전용 아이덴티티(SSIi)에 상기 서비스 식별자(SIi)를 매핑한다.On the certificate authority 10 side, the federation directory FD maps the service identifier SI i to a service dedicated identity S i for such a service and such a user name.

상기 인증 기관(10)은 BSF 서버(6)로부터의 사용자 이름을 기반으로 하여 공유 키 자료(Ksi)를 인출하고 상기 요구의 인증 헤더를 검증한다. 이는 TS 33.221에 언급되어 있다. 상기 요구가 유효하다고 가정하기로 하면, 상기 인증 기관(10)은 공개 키를 상기 요구에서 상기 서비스 식별자에 의해 식별된 서비스에 대한 서비스 전용 아이덴티티와 연관시킨 인증서를 제공한다. 상기 인증서는 상기 Ua 인터페이스를 통해 가입자를 나타내는 사용자 기기(UE)로 복귀되며, 상기 사용자 기기(UE)는 상기 메모리(52) 또는 스마트 카드에 상기 인증서를 저장한다. 다수의 장치의 경우에, 다른 장치가 비밀 키 자체를 생성하지 않는 한 상기 사용자 기기(UE)는 아마도 비밀 키를 사용하여 상기 인증서를 다른 장치(랩톱)로 전송할 수 있다.The certification authority 10 fetches the shared key material K si based on the user name from the BSF server 6 and verifies the authentication header of the request. This is mentioned in TS 33.221. Assuming that the request is valid, the certificate authority 10 provides a certificate that associates a public key with a service-specific identity for the service identified by the service identifier in the request. The certificate is returned to a user device (UE) representing a subscriber via the Ua interface, and the user device (UE) stores the certificate in the memory 52 or a smart card. In the case of many devices, the user equipment (UE) may transfer the certificate to another device (laptop), perhaps using the secret key, unless another device generates the secret key itself.

상기 인증서 클라이언트(14)는 유효 인증서가 수신되었으며 상기 PK1 인터페이스를 통해 SEC(TLS) 게이트웨이 기능부(16)로 인증을 위해 상기 인증서를 전송한다는 것을 HT3 인터페이스를 통해 상기 http 클라이언트(20)에 알려준다. 이때, 상기 http 클라이언트(20)는 자신이 액세스하고자 하는 서비스를 위해 상기 서비스 제공자의 http 서버 기능부(24)를 호출하고, 상기 인증서를 포함한다. 상기 http 클라이언트(20)는 또한 예를 들면 상기 비밀 키로 암호화된 데이터를 포함하는 디지털 서명을 포함하여, 상기 서비스 제공자가 상기 인증서를 유효하게 할 수 있는 증거를 포함한다.The certificate client 14 informs the http client 20 via the HT3 interface that a valid certificate has been received and sends the certificate for authentication to the SEC (TLS) gateway function 16 via the PK1 interface. At this time, the http client 20 calls the http server function unit 24 of the service provider for the service that it wants to access, and includes the certificate. The http client 20 also includes evidence that the service provider can validate the certificate, including, for example, a digital signature that includes data encrypted with the secret key.

상기 SEC(TLS) 게이트웨이(16)는 인증 기관 리스트에 대한 PK3 인터페이스를 통해 상기 인증서를 유효하게 하고, 일단 상기 인증서가 인증된 경우에, 상기 서비스는 가입자용으로 호출될 수 있다. 상기 SEC(TLS) 게이트웨이 기능부(16)는 또한 상기 클라이언트에 대하여 도전하고 응답을 검증하여 클라이언트(PK1)를 인증하며, 상기 http 서버 기능부(24)가 요구된 서비스를 인증된 클라이언트들(HT4)에 제공하게 한다.The SEC (TLS) gateway 16 validates the certificate via a PK3 interface to a list of certificate authorities, and once the certificate is authenticated, the service can be called for a subscriber. The SEC (TLS) gateway function 16 also challenges the client and verifies the response to authenticate the client PK1, and the http server function 24 authenticates the requested service to the clients HT4. To provide).

상기 Ub 인터페이스를 통한 인증은 3GGP 표준들 TS 33.220에 따라 이루어지며, 인증이 HTTP 다이제스트 AKA[RFC 3310]를 기반으로 하여 수행되는 경우에, 인증은 또한 2G SIM을 사용하여 수행될 수 있다.Authentication via the Ub interface is made according to 3GGP standards TS 33.220, where authentication can also be performed using 2G SIM if authentication is performed based on HTTP Digest AKA [RFC 3310].

도 4는 상기 부트스트래핑 절차 동안 인증 서버(6)(BSF) 및 인증 클라이언트(4)(UE)를 구현하는 사용자 기기(UE) 간의 메시지 흐름들의 일부를 보여주는 도면이다. GBA 클라이언트(4)는 인증 요구(30)(GET 요구)를 제공함으로써 인증 절차를 개시한다. 상기 인증 요구는 가입자 아이덴티티를 사용하여 사용자를 식별하지만, 이러한 예에서는, 상기 가입자 아이덴티티가 IMPI(IP Multimedia Private Identity)이다. 다른 변형예는 IMSI일 수 있거나, 상기 사용자 기기(UE)는 (TS 23.003에서 규정된 바와 같이) 상기 IMSI로부터 의사(pseudo) IMPI를 생성할 수 있다. 사용자 아이덴티티 IMPI를 확인응답하여 상기 요구를 유일하게 식별하는 AKA의 RAND 및 AUTN을 포함하는 논스(nonce)를 복귀시킴으로써 HTTP 응답(32)이 복귀된다. 상기 사용자 기기 측의 인증 클라이언트(4)는 AKA로부터 획득된 적합한 패스워드를 통해 HTTP 요구(34)를 복귀하며, 상기 인증 서버(BSF)(6)는 Ua 인터페이스에서 사용자 이름으로서 사용되는 (도 4에 도시되지 않은) 부트스트래핑 트랜잭션 식별자(B-TID)를 포함하는 인증 정보를 복귀시킴으로써 응답하며, 공유 키 자료는 상기 인증 정보로부터 획득된다. 여기서 분명한 점은 상기 BSF가 HSS로부터의 인증 정보에 액세스하지만, 이러한 상호작용이 도시되어 있지 않은데, 그 이유는 그러한 사항이 이미 공지되어 있기 때문이라는 것이다.Figure 4 shows part of the message flows between the authentication server 6 (BSF) and the user device (UE) implementing the authentication client 4 (UE) during the bootstrapping procedure. The GBA client 4 initiates the authentication procedure by providing an authentication request 30 (GET request). The authentication request uses the subscriber identity to identify the user, but in this example, the subscriber identity is an IP Multimedia Private Identity (IMPI). Another variant may be IMSI or the user equipment UE may generate a pseudo IMPI from the IMSI (as defined in TS 23.003). The HTTP response 32 is returned by acknowledging the user identity IMPI and returning a nonce containing the RAND and AUTN of the AKA that uniquely identifies the request. The authentication client 4 on the user equipment side returns an HTTP request 34 via a suitable password obtained from AKA, and the authentication server (BSF) 6 is used as a user name in the Ua interface (see FIG. 4). Respond by returning authentication information including a bootstrapping transaction identifier (B-TID) (not shown), and the shared key material is obtained from the authentication information. It is clear here that although the BSF accesses authentication information from the HSS, this interaction is not shown because such is already known.

공유 키 자료가 도 4의 메시지 교환에 의해 동의된 후에는, 상기 사용자 기기 측의 인증서 클라이언트는 상기 Ua 인터페이스를 통해 상기 CA에 전송되는 인증서 요구(PKCS#10)를 생성한다. 이는 도 5에 도시되어 있다. 상기 인증서 요구는 다음과 같이 설정된 표준에 따른 다수의 필드를 포함한다.After the shared key material is agreed by the message exchange of Fig. 4, the certificate client on the user equipment side generates a certificate request (PKCS # 10) which is sent to the CA via the Ua interface. This is shown in FIG. The certificate request includes a number of fields according to a standard set as follows.

POST /certificaterequest/ HTTP/1.1POST / certificaterequest / HTTP / 1.1

Authorization: DigestAuthorization: Digest

username="adf..adf",     username = "adf..adf",

realm="ca-naf@operator.com",     realm = "ca-naf@operator.com",

qop="auth-int",     qop = "auth-int",

algorithm="MD5",     algorithm = "MD5",

uri="/certificaterequest/",     uri = "/ certificaterequest /",

nonce="dffef12..2ff7",     nonce = "dffef12..2ff7",

nc=00000001,     nc = 00000001,

cnonce="0a4fee..dd2f",     cnonce = "0a4fee..dd2f",

response="6629..af3e",     response = "6629..af3e",

opaque="e23f45..dff2"     opaque = "e23f45..dff2"

<base64 encoded PKCS#10 request><base64 encoded PKCS # 10 request>

상기 필드들은 RFC 2617로부터 알려져 있다. 이러한 예에서, 상기 HTTP 메시지는 "username"이 B-TID일 수 있으며 "opaque" 필드가 서비스 식별자들을 포함할 수 있는 인증 HTTP 헤더를 포함한다.The fields are known from RFC 2617. In this example, the HTTP message includes an authentication HTTP header where "username" may be a B-TID and the "opaque" field may contain service identifiers.

상기 "Authorization"은 HTTP 다이제스트 인증[RFC 2617]과 연관된 HTTP 헤더이다. 상기 인증 헤더의 매개변수들은 상기 요구를 인증하여 상기 요구를 무결성 보호하는데 사용된다. 상기 PKCS#10 요구는 서비스 식별자, 및 사용자의 공개 키를 포함하는 인증서 요구 자체를 포함한다.The "Authorization" is an HTTP header associated with HTTP Digest Authentication [RFC 2617]. Parameters of the authentication header are used to authenticate the request to protect the request integrity. The PKCS # 10 request includes a certificate request itself that includes a service identifier and a user's public key.

본 발명의 한 실시예에 의하면, 상기 인증서 요구(PKCS#10)는 또한 사용자에 의해 액세스될 서비스를 식별하는 서비스 식별자 필드를 포함한다. 상기 서비스는 예를 들면 투명한 문자열, 영역 주소(realm address), URI(Universal Resource Identifier), 차별화된 이름(distinguished name) 등등에 의해 다수의 방법 중 어느 하나로 식별될 수 있다. 필요한 것은 사용자에 의해 액세스될 특정한 서비스에 대한 유일한 식별자이다. 상기 서비스 식별자는 확장자들 중 하나로서 PKCS#10 요구에 포함된다. 일례로서, subjectAltName을 요구된 확장자로서 사용하면서, PKCS#10과 함께 사용될 수 있는 PKCS#9에는 "extension Request" 속성이 존재한다.According to one embodiment of the invention, the certificate request (PKCS # 10) also includes a service identifier field that identifies the service to be accessed by the user. The service can be identified in any of a number of ways, for example by a transparent string, a realm address, a Universal Resource Identifier (URI), a distinguished name, and the like. What is needed is a unique identifier for the particular service to be accessed by the user. The service identifier is included in the PKCS # 10 request as one of the extensions. As an example, there is a "extension Request" attribute in PKCS # 9 that can be used with PKCS # 10, using subjectAltName as the requested extension.

변형적으로, CRMF(Certificate Request Message Format)[RFC 2511]에서는 그러한 것이 인증서 템플릿(CertTemplate) 필드의 sujectAltName 확장자일 수 있다.Alternatively, in Certificate Request Message Format (CRMF) [RFC 2511], such may be the sujectAltName extension of the Certificate Template field.

상기 CA(NAF)는 인증 요구(PKCS#10)에서 제공된 사용자 이름(B-TID)을 기반으로 하여 인증 서버 BSF로부터 공유 키 자료를 인출하며 상기 공유 키 자료를 사용하여 인증 헤더를 검증한다. 그러한 검증이 성공적으로 수행될 경우에, 상기 CA(NAF)는 인증 요구를 처리하고 도 5에서 CERT라고 언급된 인증서 응답을 복귀시킨다. 상기 인증서 응답은 다음과 같은 포맷을 지닌다.The CA (NAF) derives the shared key material from the authentication server BSF based on the user name (B-TID) provided in the authentication request (PKCS # 10) and verifies the authentication header using the shared key material. If such verification is successful, the CA (NAF) processes the authentication request and returns a certificate response referred to as CERT in FIG. The certificate response has the following format.

HTTP/1.1 200 OKHTTP / 1.1 200 OK

Content Type: application/x509-user-certContent Type: application / x509-user-cert

Authentication-info:nextnonce="4ff232dd...dd"Authentication-info: nextnonce = "4ff232dd ... dd"

qop=auth-int      qop = auth-int

rspauth="4dd34...55d2"      rspauth = "4dd34 ... 55d2"

cnonce="0a4fee...dd2f"      cnonce = "0a4fee ... dd2f"

nc=00000001      nc = 00000001

<base 64 encoded subscriber x509 certificate><base 64 encoded subscriber x509 certificate>

사용자 기기는 사용자 기기 측의 메모리 또는 스마트 카드에 인증서를 저장한다. 상기 인증서는 서비스 식별자와 함께 공개 키를 활성화하며 비대칭 공개 키/비밀 키 쌍을 사용하여 인증될 수 있다.The user device stores the certificate in a memory or a smart card on the user device side. The certificate activates the public key along with the service identifier and can be authenticated using an asymmetric public / secret key pair.

상기 서비스 식별자를 인증 요구에 추가함으로써, 이는 가입자들이 다수의 서비스를 위한 다수의 인증서를 지닐 수 있게 한다. 그러나, 사용자는 각각의 서비스에 대하여 단일의 아이덴티티를 보유할 수 있는데, 그 이유는 각각의 가입자 인증서가 자신의 활동이 추적되어 가입자 프라이버시가 침해될 수 있는 공통("글로벌") 아이덴티티보다는 오히려, 특정한 서비스 전용 가입자 아이덴티티와 연관되기 때문이다. 바꾸어 말하면, 본 발명자들은 가입자 및 서비스 전용 리버티 얼라이언스(Liberty Alliance) 검증구현들을 가입자 및 서비스 전용 공개 키 인증서들로 대체하였다. 위에서 언급된 실시예에서, 상기 CA는 페더레이션 데이터베이스에 보유된 매핑 및 공유 키 자료를 기반으로 하여 서비스 전용 사용자 아이덴티티를 식별한다.By adding the service identifier to the authentication request, this allows subscribers to have multiple certificates for multiple services. However, a user may have a single identity for each service, because each subscriber certificate may have a specific, rather than common ("global") identity, in which its activities can be tracked and subscriber privacy may be compromised. This is because it is associated with a service-only subscriber identity. In other words, we replaced subscriber and service dedicated Liberty Alliance verification implementations with subscriber and service dedicated public key certificates. In the above-mentioned embodiment, the CA identifies a service dedicated user identity based on the mapping and shared key material held in the federation database.

변형 실시예에서, 사용자 기기(UE)는 예를 들면 가입자가 서비스 제공자에 액세스하기 위한 여러 이름을 지니고 있는 경우에 자신의 바람직한 아이덴티티를 나타내는 인증 요구를 송신할 수 있다.In a variant embodiment, the user equipment (UE) may send an authentication request indicating its preferred identity, for example if the subscriber has several names for accessing the service provider.

CA(또는 그에 내재하는 페더레이션 디렉토리) 측에서는, 상기 (요구자 식별자, 서비스 식별자) 쌍이 상기 페더레이션 데이터베이스에 보유된 서비스 전용 가입자 아이덴티티에 매핑된다. 상기 인증 기관은 상기 매핑된 아이덴티티에 대하여 상기 공개 키 인증서를 등록하며 이를 사용자 기기로 복귀시킨다.On the CA (or inherent federation directory) side, the (claimer identifier, service identifier) pair is mapped to a service-only subscriber identity held in the federation database. The certificate authority registers the public key certificate with respect to the mapped identity and returns it to the user device.

이는 가입자들이 다수의 인증서에서 다수의 아이덴티티를 지닐 수 있게 한다. 상기 인증서들의 공개 키들은 상기 아이덴티티들을 링크하지 못하게 하는 것과 다른 것임에 틀림없다. 따라서, 위에서 언급된 본 발명의 실시예는 공개 키 인증서 기술을 통한 아이덴티티 매핑으로 리버티 얼라이언스(Liberty Alliance; LA) 프라이버시 표준들을 지원하지만, LA 검증구현 메커니즘보다 넓은 범위의 애플리케이션들에 적용될 수 있다.This allows subscribers to have multiple identities in multiple certificates. The public keys of the certificates must be different from disabling the identities. Thus, the embodiments of the present invention mentioned above support Liberty Alliance (LA) privacy standards with identity mapping via public key certificate technology, but can be applied to a wider range of applications than the LA verification implementation mechanism.

위에서 언급된 실시예에서, 상기 서비스 식별자는 상기 PKCS#10 메시지의 추가 확장 필드에 포함된다. 상기 서비스 식별자는 인증 기관(CA)과 연관된 페더레이이션 데이터베이스(FD) 측의 서비스 전용 아이덴티티에 매핑된다.In the above-mentioned embodiment, the service identifier is included in an additional extension field of the PKCS # 10 message. The service identifier is mapped to a service-only identity on the side of the federation database (FD) associated with the certification authority (CA).

제1의 변형 실시예에 의하면, 인증을 위해 요구에서 서비스 전용 아이덴티티를 송신하는 것이 가능하다. 즉, 사용자 기기(UE) 자체는 인증서를 위해 원하는 서비스 전용 아이덴티티에 상기 가입자 아이덴티티를 매핑한다. 그러한 경우에 인증 기관은 해당 가입자가 실제로 요구된 아이덴티티를 소유하고 있는지를 검증하고 그러한 검증에 대한 아이덴티티 데이터베이스를 유지하여야 한다. 그러므로, 결과적인 아키텍처는 위에 언급된 실시예보다 더 복잡하지만, 사용자 기기 및 네트워크 간에 어떠한 것도 추가하지 않고서도 표준 PKCS#10 프로토콜이 채용될 수 있다.According to a first variant embodiment, it is possible to send a service-only identity in a request for authentication. In other words, the UE itself maps the subscriber identity to the desired service-only identity for the certificate. In such cases, the certification body shall verify that the subscriber actually owns the required identity and maintain an identity database for such verification. Therefore, the resulting architecture is more complex than the above-mentioned embodiment, but the standard PKCS # 10 protocol can be employed without adding anything between the user equipment and the network.

부가적인 변형예는 특정 형태의 이름 문자열이 상기 PKS#10 메시지의 제목 필드에 표시될 수 있게 한다. 예를 들면, 사용자@영역 이름의 경우에, 상기 영역 부분은 서비스 식별자일 수 있다. 차별화된 이름의 경우에, 편성 부분이 서비스 식별자일 수 있다. 예를 들면, 차변화된 이름 "CN=username, O=realm"이 RFC 3280에서 언급된 바와 같이 사용될 수 있다.An additional variant allows a particular type of name string to be displayed in the subject field of the PKS # 10 message. For example, in the case of a user @ area name, the area portion may be a service identifier. In the case of a differentiated name, the organization part may be a service identifier. For example, the difference name “CN = username, O = realm” can be used as mentioned in RFC 3280.

위에서 언급된 바와 같이, 본 발명은 위에서 언급된 http 서버 아키텍처와는 다른 아키텍처에서 구현될 수 있다. 특히, 상기 SEC(TLS) 게이트웨이 및 http 서버의 기능들 및 관련 인터페이스들(PK1,PK3,HT4,SP-AA)은 인증을 위해 가입자 인증서를 수신하며, 선택적으로는 상기 인증서를 유효하게 하고(PK3), 상기 클라이언트에 대하여 도전하며 응답을 검증하여 상기 클라이언트를 인증하며(PK1), 요구된 서비스를 인증된 클라이언트들에게 제공(HT4)하는 단일 기능으로 대체될 수 있다.As mentioned above, the present invention may be implemented in an architecture other than the http server architecture mentioned above. In particular, the functions of the SEC (TLS) gateway and http server and associated interfaces (PK1, PK3, HT4, SP-AA) receive a subscriber certificate for authentication, and optionally validate the certificate (PK3). ), It may be replaced by a single function that challenges the client, verifies the response to authenticate the client (PK1), and provides the requested services to the authenticated clients (HT4).

Claims (29)

삭제delete 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법에 있어서,A method of authenticating a user who wants to access a service from a service provider in a communication network, the method comprising: 상기 사용자의 인증 방법은,The authentication method of the user, 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 아이덴티티(service-specific identity)들을 사용자에게 할당하는 단계;Assigning a plurality of service-specific identities to a user for accessing corresponding services; 사용자 기기로부터 요구를 제공하는 단계로서, 상기 요구가 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 상기 요구의 제공 단계; 및Providing a request from a user device, the method comprising: providing a request including a public key of the user and identifying a service to which the request is to be accessed; And 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 아이덴티티를 결합한 공개 키 인증서를 제공하며, 상기 공개 키 인증서를 사용자 기기로 복귀시키는 단계를 포함하고,At the certification authority, authenticating the request and providing a public key certificate combining the public key in the request with a service-specific identity, and returning the public key certificate to the user device, 상기 요구는 액세스될 서비스를 식별하는 서비스 식별자 및 사용자를 식별하는 요구자 식별자를 구비하며,The request includes a service identifier identifying a service to be accessed and a claimant identifier identifying a user, 상기 사용자의 인증 방법은,The authentication method of the user, 상기 인증 기관 측에서, 인증될 서비스 전용 아이덴티티에 상기 서비스 식별자 및 상기 요구자 식별자를 매핑하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.At the certification authority, mapping the service identifier and the claimant identifier to a service-only identity to be authenticated. 통신 네트워크에서 서비스 제공자로부터의 서비스에 액세스하고자 하는 사용자를 인증하는 방법에 있어서,A method of authenticating a user who wants to access a service from a service provider in a communication network, the method comprising: 상기 사용자의 인증 방법은,The authentication method of the user, 대응하는 서비스들에 액세스하기 위해 복수 개의 서비스 전용 아이덴티티(service-specific identity)들을 사용자에게 할당하는 단계;Assigning a plurality of service-specific identities to a user for accessing corresponding services; 사용자 기기로부터 요구를 제공하는 단계로서, 상기 요구가 액세스될 서비스를 식별하며 사용자의 공개 키를 포함하는 상기 요구의 제공 단계; 및Providing a request from a user device, the method comprising: providing a request including a public key of the user, the service identifying the service to be accessed; And 인증 기관 측에서, 상기 요구를 인증하고 상기 요구 내의 공개 키와 서비스 전용 아이덴티티를 결합한 공개 키 인증서를 제공하며, 상기 공개 키 인증서를 사용자 기기로 복귀시키는 단계를 포함하고,At the certification authority, authenticating the request and providing a public key certificate combining the public key in the request with a service-specific identity, and returning the public key certificate to the user device, 상기 요구는 상기 서비스 전용 아이덴티티를 식별하고,The request identifies the service dedicated identity, 상기 사용자의 인증 방법은,The authentication method of the user, 상기 인증 기관을 통해 사용자가 상기 서비스 전용 아이덴티티를 사용하도록 인증되었는지를 검증하는 단계를 포함하는 것을 특징으로 하는 사용자의 인증 방법.Verifying that the user has been authenticated to use the service-only identity through the certification authority. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 서비스 제공자로부터의 서비스에 대한 액세스를 허용하는 통신 네트워크용 인증 시스템에 있어서,An authentication system for a communication network that allows access to services from a service provider, 상기 통신 네트워크용 인증 시스템은,The authentication system for communication network, 사용자로부터 요구를 수신하는 수단으로서, 상기 요구는 액세스될 서비스를 식별하고 사용자의 공개 키를 포함하는 수단; 및Means for receiving a request from a user, the request identifying a service to be accessed and including a user's public key; And 상기 요구를 인증하고 액세스될 서비스의 서비스 전용 아이덴티티에 대한 공개 키 인증서를 제공하도록 구성되고 상기 공개 키 인증서를 사용자에게로 복귀시키도록 구성된 인증 기관을 포함하며,A certification authority configured to authenticate the request and provide a public key certificate for a service-only identity of a service to be accessed and to return the public key certificate to a user, 상기 통신 네트워크용 인증 시스템은,The authentication system for communication network, 대응하는 서비스들에 액세스하기 위해 서비스 전용 아이덴티티들에 서비스 및 요구자 식별자들을 매핑하도록 구성되는 페더레이션(federation) 데이터베이스를 포함하는 것을 특징으로 하는 통신 네트워크용 인증 시스템.And a federation database configured to map service and requestor identifiers to service dedicated identities to access corresponding services. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020077002083A 2004-06-28 2005-06-24 Authenticating users KR100904004B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020077002083A KR100904004B1 (en) 2004-06-28 2005-06-24 Authenticating users

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0414421.8 2004-06-28
KR1020077002083A KR100904004B1 (en) 2004-06-28 2005-06-24 Authenticating users

Publications (2)

Publication Number Publication Date
KR20070019795A KR20070019795A (en) 2007-02-15
KR100904004B1 true KR100904004B1 (en) 2009-06-22

Family

ID=41349766

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077002083A KR100904004B1 (en) 2004-06-28 2005-06-24 Authenticating users

Country Status (1)

Country Link
KR (1) KR100904004B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383810B1 (en) * 2011-11-14 2014-04-14 한전케이디엔주식회사 System and method for certificating security smart grid devices

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Generic Authentication Architecture(GAA); Support for subscriber certificates (Release 6), 3GPP TS 33.221 v6.0.0, 2004.03.
S. Bajaj 외 13명, Web Services Federation Language (WS-Federation), Version 1.0, 2003.07.08.

Also Published As

Publication number Publication date
KR20070019795A (en) 2007-02-15

Similar Documents

Publication Publication Date Title
US7788493B2 (en) Authenticating users
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
KR101158956B1 (en) Method for distributing certificates in a communication system
US20170026371A1 (en) User Equipment Credential System
US8261078B2 (en) Access to services in a telecommunications network
KR101038064B1 (en) Authenticating an application
EP3753269A1 (en) Security management for roaming service authorization in communication systems with service-based architecture
GB2418819A (en) System which transmits security settings in authentication response message
GB2505211A (en) Authenticating a communications device
US20080137859A1 (en) Public key passing
EP3180934A1 (en) Methods and nodes for mapping subscription to service user identity
Holtmanns et al. Cellular authentication for mobile and internet services
KR100904004B1 (en) Authenticating users
JP2017139026A (en) Method and apparatus for reliable authentication and logon
Dimitriadis et al. An identity management protocol for Internet applications over 3G mobile networks
JP2015111440A (en) Method and apparatus for trusted authentication and log-on
RU2282311C2 (en) Method for using a pair of open keys in end device for authentication and authorization of telecommunication network user relatively to network provider and business partners
van Thanhe et al. Strong authentication for web services with mobile universal identity
Schنfer et al. Current Approaches to Authentication in Wireless and Mobile Communications Networks
Choudhury et al. Improving identity privacy in 3GPP-WLAN
HOLTMANNS et al. Identity Management in Mobile Communication Systems
Almuhaideb et al. Toward a Ubiquitous Mobile Access Model: A roaming agreement-less approach
Kang et al. A study on key distribution and ID registration in the AAA system for ubiquitous multimedia environments
Holtmanns et al. CELLULAR AUTHENTICATION
Pagliusi Internet Authentication for Remote Access

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130522

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140521

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160517

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170522

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180516

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 11