KR100383609B1 - 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템 - Google Patents

암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템 Download PDF

Info

Publication number
KR100383609B1
KR100383609B1 KR10-2000-0060297A KR20000060297A KR100383609B1 KR 100383609 B1 KR100383609 B1 KR 100383609B1 KR 20000060297 A KR20000060297 A KR 20000060297A KR 100383609 B1 KR100383609 B1 KR 100383609B1
Authority
KR
South Korea
Prior art keywords
service
mobile station
wireless network
security
controller
Prior art date
Application number
KR10-2000-0060297A
Other languages
English (en)
Other versions
KR20010067325A (ko
Inventor
모리스브리얀제이
할레수드힌드라피
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20010067325A publication Critical patent/KR20010067325A/ko
Application granted granted Critical
Publication of KR100383609B1 publication Critical patent/KR100383609B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 복수의 이동국들과 통신하는 복수의 기지국들을 포함하는 무선 네트워크에서 사용가능 한 보안 장치를 제공한다. 이 보안 장치는 이동국들 중 서비스 설정이 되지 않은 하나의 이동국이 무선 네트워크를 통하여 인터넷 프로토콜(IP) 데이터 네트워크를 액세스하는 것을 방지한다. 보안 장치는 IP 패킷 헤더 및 IP 패킷 페이로드를 포함하는 IP 데이터 패킷을 상기 서비스 설정이 되지 않은 이동국으로부터 수신한다. 보안 장치는 또한 상기 서비스 설정이 되지 못한 이동국이 실제로 서비스 설정이 되지 못함을 판단하기 위한 제2 컨트롤러를 포함한다. 일 실시 예에서 제1 컨트롤러는 데이터 프로세서와 관련 있는 메모리에 저장된 암호화 프로그램을 실행하는 데이터 프로세서를 포함한다.

Description

암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템{SECURITY APPARATUS AND METHOD FOR SECURE PROVISIONING OF A MOBILE STATION FROM A PROVISIONING SERVER USING ENCRYPTION AND A SYSTEM FOR THE SECURITY APPARATUS AND METHOD}
본 발명은 무선 네트워크에 관한 것으로, 특히 셀룰러 폰 핸드셋 및 다른 이동 장치들의 안전한 공중 서비스 설정을 수행하는 보안 장치 및 방법과 그에 따른 시스템에 관한 것이다.
셀룰러 전화의 고객은 2000년도까지 전세계적으로 300백만을 초과할 것으로 예상된다. 미국 내에서, 셀룰러 서비스는 셀룰러 서비스 제공자, 지역 전화 회사 및 국가 장거리 정책자에 의해 제공되고 있다. 이들간의 치열한 경쟁에 의해 큰 인구 밀집 지역에 있어서는 알맞은 정도로 셀룰러 서비스의 가격이 책정되었다.
현세대의 셀룰러 폰은 가입자 핸드셋(또는 이동국)과 다른 가입자 핸드셋간에 네트워크를 통한 음성통화에 주로 사용되고 있다. 적은 수의 이동국은 셀룰러/무선 모뎀을 내장한 개인용 컴퓨터(PC)들과 같은 데이터 장치이다. 현세대의 이동국에서 사용하는 대역폭은 통상적으로 수십 킬로비트(Kbps)에 한정되어 있기 때문에, 현세대의 이동국에 대한 어플리케이션은 상대적으로 제한을 받는다. 그러나, 차세대(또는 제3 세대), 종종 "3G" 무선/셀룰러라고 언급되는 셀룰러/무선 기술에 있어서는 각 이동국에 대해 훨씬 큰 대역폭(즉, 125 Kbps 이상)이 사용가능하게 될 것으로 예상하고 있다. 이동국용 인터넷 어플리케이션은 고데이터율로 인해 일반적으로 사용되게 될 것이다. 예컨대, 3G 셀 폰(또는 3G 셀룰러 모뎀을 갖춘 PC)은 인터넷 상의 웹 사이트를 탐색하고, 그래픽을 전송 및 수신하며, 스트림 형태의 오디오 및/또는 비디오 어플리케이션을 실행하는 등에 사용될 수 있다. 요약하면, 3G 셀룰러 시스템에 의해 처리되는 무선 트래픽에 있어서 인터넷 프로토콜(IP) 트래픽이 높은 비중을 차지하고, 통상적인 음성 트래픽은 낮은 비중을 차지하게 될 것이다.
무선 서비스를 가능한 편리하고 적절한 가격으로 하기 위해서는, 무선 서비스 제공자는 셀룰러 핸드셋(또는 다른 형태의 이동국)을 종종 수퍼마켓 및 백화점에서 진열대에 디스플레이하지 않고 잠재적인 가입자에게 직접 판매한다. 셀룰러 핸드셋을 기동시키고 무선 서비스를 위해 가입하여 가입자가 되는 프로세스를 통하여 셀룰러 핸드셋의 구매자를 안내하도록 간단한 인스트럭션(instructions)들이 제공된다. 통상적인 셀룰러 시스템에서는 핸드셋 구입자가 새로운 핸드셋을 기동하고 핸드셋 인스트럭션에 따라 핸드셋 키패드 상의 "*228xx"를 다이얼링 함으로써 서비스에 가입한다. "xx"의 값은 핸드셋을 판매하는 무선 서비스 제공자의 ID(Identity)에 따라 다양하다.
핸드셋이 초기에 서비스 설정이 되지 않았더라도, 새로운 핸드셋은 필수적으로 핸드셋을 인에이블(enable)하여 서비스 설정이 될 수 있도록 하는 어떤 최소한의 RF(Radio Frequency) 통신 기능을 가져야만 한다. 핸드셋 키패드 상에 "*228xx"를 다이얼링 함으로써 헨드셋 구매자를 오퍼레이터에 접속하게 하는 특정 목적의 호출이 자동적으로 개시된다. 오퍼레이터는 구매자로부터 어떤 계정 정보, 예컨대 개인 정보, 신용 카드 번호, 요금 청구 집주소 등을 요구한다. 계정 정보가 수집되어 계정이 설정되면, 오퍼레이터는 핸드셋 구매자에게 패드워드, 코드 넘버, 핸드셋에서의 어떤 기능을 인에이블하는 메뉴 선택형 명령들을 입력하도록 한다.
이 프로세스는 종종 "서비스 설정(service provisioning)"라고 언급된다. 서비스 설정은 셀룰러 핸드셋에서 넘버 할당 모듈(NAM:Number Assignment Module)을활성화시키는데, 이 넘버 할당 모듈은 진입 호(incoming call)들에 대한 고유 전화번호를 부여하고, 인증된 무선 캐리어(carrier)들을 식별함으로써 로밍(roaming) 기능을 제공한다. 서비스 설정은 핸드셋에서 선호 로밍 리스트(PRL: Preferred Roaming List)를 활성화하는데, 이 선호 로밍 리스트는 각 지리적 영역에서 각 캐리어에 의해 점유된 주파수/대역폭의 리스트이고, 또한 각 영역에서 선호 및/또는 금지된 주파수들을 식별할 수 있다. 서비스 설정은 또한 셀룰러 핸드셋에서 종종 "A-키"로 불리는 인증 코드를 활성화한다. 핸드셋은 가입자가 무선 네트워크에 액세스를 시도할 때, A-키를 사용하여 핸드셋을 인증한다.
무선 네트워크는 홈 위치 등록기(HLR)를 사용하여 A-키, 전화 번호, 로밍 기능 정보 및 무선 네트워크에 의해 인증 및 서비스 설정중인 각 핸드셋에 관련된 다른 데이터를 저장한다. HLR은 무선 서비스 제공자에 의해 사용되어 가입자를 확인/검증하고 특징(features)들 및 서비스에 관련된 개별 가입자 데이터를 저장하는 영구 데이터베이스이다. 가입자의 무선 서비스 제공자는 가입자가 가입자의 홈 커버리지 영역(Home coverage area)에서 무선 네트워크를 액세스할 때 HLR 데이터를 이용한다. 또한 다른 무선 서비스 제공자가 가입자가 자신의 홈 커버리지 영역 밖으로 로밍하는 경우 HLR 데이터(통상적으로 유선 전화 네트워크를 통해 액세스함)를 사용한다.
전술한 통상적인 서비스 설정 과정은 다수의 단점을 갖는다. 사람인 오퍼레이터는 키들을 누르고 스크린 상의 결과들을 검증하는 과정을 통해 사용자와 통신해야만 한다. 이는 시간 소비적이고, 특히 순수 가입자에 대해서 종종 에러를 발생시킨다. 초기에 실수가 인식되지 못할 수 있고, 가입자는 셀룰러 서비스가 공시된 것과 같이 동작하지 않는 것에 실망하게 될 수 있다. 결국 실수가 진단되면 서비스 설정 과정은 적어도 부분적으로 재수행이 필요하게 될 수 있다. 사람인 오퍼레이터는 또한, 서비스 설정 과정에 대한 노동 비용을 추가한다.
띠라서 이러한 노동 비용을 감소하고 에러를 제거하며, 가입자와의 통신을 최소화 또는 제거함으로써 서비스 설정 과정을 더 사용자 친화적으로 만들기 위해 가능한 최대로 셀룰러 서비스 설정 과정을 자동화하는 것이 바람직하다. 더 상세하게는 인터넷 접속을 통해 서비스 설정이 되지 않은 핸드셋으로부터 서비스 설정하는 서버로 액세스하는 것에 의하여 공중 셀룰러 서비스 설정을 수행하는 것이 더 편리하다. 이러한 시나리오에 있어서, 핸드셋은 오퍼레이터에 대해 음성 호를 할당하지 않고, 인터넷 프로토콜(IP) 패킷을 무선 네트워크의 기지국에 전송하고 무선 네트워크의 기지국으로부터 IP 패킷을 수신하는 "데이터 호"를 할당한다. 3G 시스템은 핸드셋의 공중 서비스 설정 과정을 더 용이하고 더 일반적이게 한다.
그러나, 핸드셋의 공중 서비스 설정 과정은 무선 서비스 제공자에 대하여, 특히 부정 행위와 관련하여 심각한 보안 문제를 나타낸다. 서비스 설정이 되지 않은 핸드셋으로부터 초기 셋업 데이터 호를 처리하는 기지국은 요구된 서비스 설정 데이터를 저장하지 않을 수 있다. 그 대신, 기지국은 통상적으로 무선 서비스제공자의 네트워크에서 인트라넷 또는 인터넷에 의해 액세스 가능하거나 불가능할 수 있는 서비스 설정 서버로부터 서비스 설정 데이터를 액세스할 수 있다. 다수의 무선 서비스 제공자는 서로 직접 접속되어 있지 않지만 로컬(local) 벨 전화 회사 및/또는 주요 원거리 캐리어들에 접속된 기지국들의 클러스터(Cluster)들을 동작시킨다. 인터넷의 접속 없이는, 기지국의 각 클러스터는 그 자신의 서비스 설정 서버를 요구하지 않는다. 선택적으로, 무선 캐리어는 기지국을 서비스 설정 서버에 접속시키기 위해 로컬 벨 회사 및/또는 장거리 회사 추가 라인 요금을 지불해야만 할 것이다.
인터넷 접속을 사용하면, 무선 서비스 제공자는 다수의 서비스 설정 서버 사이에서 이러한 정보의 여분의 사본들(redundant copies)을 고비용으로 유지하지 않고, 중앙 저장소(repository)에 모든 서비스 설정 어플리케이션 및 데이터를 통합할 수 있다. 그러나, 순수 사용자가 의사(guise)서비스 설정 하에서 무선 네트워크를 액세스하기 위하여 서비스 설정되지 않은 핸드셋(일부 최소 변경을 가능한 가짐)을 사용할 수 있고, 이후 서비스 설정 서버의 IP 어드레스가 아니고 인터넷 상의 임의의 IP 어드레스를 액세스하기 위하여 무선 네트워크를 사용할 수 있음이 예측된다. 사실, 사용자는 서비스 설정되지 않은 핸드셋을 사용하여 비용을 지불하지 않고 인터넷을 서핑함으로써 무선 서버스 제공자에 대해 부정 행위를 할 수 있다.
이러한 문제점이 발생할 수 있는 몇 가지 근거가 있다. 첫 번째로, 다른 서비스의 IP 어드레스는 공중에 자유롭게 알려진다. 두 번째, 통상적인 무선 네트워크들은 이동국이 서비스 설정되어 있지 않음을 네트워크가 알려줌으로써 개시되는 인증되지 않은 IP 어드레스에 대한 액세스를 차단할 수 있는 방법 또는 장치를 제공하지 않는다. 세 번째로, 네트워크 제공자가 이동국에 서비스 설정을 위해 사용할 어떤 IP 어드레스를 부여하지 않았더라도 이동국은 그 IP 어드레스만을 사용하는 것으로 신뢰되어야 한다.
따라서 무선 핸드셋( 및 다른 형태의 이동국들)의 자동 서비스 설정을 행하는 개선된 보안 장치 및 방법과 그에 따른 시스템이 당업계에 요구된다. 특히, 무선 장치의 보안 공중 서비스 설정을 실행하는 보안 장치 및 방법과 그에 따른 시스템이 당업계에 요구된다. 더 상세하게는 인증되지 않은 사람이 서비스 설정되지 않은 핸드셋 또는 다른 형태의 이동국을 이용하여 인터넷을 탐험하는 것을 방지할 수 있는 보안 장치 및 방법과 그에 따른 시스템이 요구된다.
따라서, 종래 기술의 전술한 문제점을 해결하기 위한 본 발명의 목적은 복수개의 이동국들과 각각 통신할 수 있는 복수개의 기지국들을 포함하는 무선 네트워크에서 사용되는 보안 장치 및 방법과 그에 따른 시스템을 제공하는데 있다. 이 보안 장치는 복수개의 이동국들 중 서비스 설정되지 않은 이동국이 무선 네트워크를 통해 인터넷 프로토콜(IP) 데이터 네트워크를 엑세스하는 것을 방지할 수 있다.
도 1은 본 발명의 일 실시 예에 따른 일반적인 무선 네트워크의 개관을 나타내는 도면,
도 2는 본 발명의 일 실시 예에 따른 공중 서비스 설정을 행하는 도 1에서의 일반적인 무선 네트워크의 일부 선택된 부분을 좀 더 상세히 나타낸 도면,
도 3은 본 발명의 일 실시 예에 따른 일반적인 기지국을 상세히 나타낸 도면,
도 4는 본 발명의 일 실시 예에 따른 서비스 설정 보안 컨트롤러를 상세히 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 도 1 및 2의 무선 네트워크의 일반적인 안전한 서비스 설정 동작을 나타내는 제어흐름도.
본 발명의 바람직한 실시 예에서 보안 장치는 서비스 설정이 되지 않은 이동국으로부터 IP 패킷 헤더 및 IP 패킷 페이로드(payload)를 포함하는 IP 데이터 패킷을 수신하고 이 IP 페이로드의 적어도 한 부분을 암호화 할 수 있는 제1 컨트롤러를 포함한다.
본 발명의 실시 예에서 제1 컨트롤러는 복수개의 기지국 중 적어도 하나의 기지국에 설치된다.
본 발명의 다른 실시 예에서 제1 컨트롤러는 무선 네트워크의 교환기(mobile switching center: MSC)에 설치된다.
본 발명의 실시 예를 위하여, 제1 컨트롤러는 무선 네트워크의 어떤 상호작용기능 유닛에 설치되거나, 또는 교환기와 상호작용기능 유닛 사이에 분배된다.
본 발명의 다른 실시 예에서 제2 컨트롤러는 서비스 설정이 되지 않은 이동국이 무선 네트워크에 대해 인증될 수 없다면 서비스 설정이 되지 않은 이동국이 서비스 설정이 되어 있지 않음을 판단한다.
본 발명의 다른 실시 예에서 제2 컨트롤러는 서비스 설정이 되지 않은 이동국이 소정의 전화번호, 소정의 IP 어드레스 또는 서비스 설정 과정에 관련되고, 서비스 설정이 되지 않은 이동국에 의해 선택된 다른 고유의 식별자 중 하나에 따라 서비스 설정이 되지 않았음을 판단한다.
본 발명의 다른 실시 예에서 제2 컨트롤러는 서비스 설정이 되지 않은 이동국이 무선 네트워크와 관련된 홈 위치 등록기로부터 검색된 데이터에 따라 서비스 설정되지 않았음을 판단한다.
본 발명의 다른 실시 예에서 제2 컨트롤러는 서비스 설정이 되지 않은 이동국이 무선 네트워크와 관련된 홈 위치 등록기로부터 검색된 데이터에 따라 서비스 설정이 되지 않았음을 판단한다.
본 발명의 다른 실시 예에서 제1 컨트롤러는 그 데이터 프로세서와 관련된 메모리에 저장된 암호화 프로그램을 실행할 수 있는 데이터 프로세서를 포함한다.
전술한 것은 본 발명의 특징 및 기술적 이점을 보다 넓게 기술하고 있어, 당업자는 이하의 발명의 상세한 설명을 더 잘 이해할 수 있을 것이다. 본 발명의 청구범위의 주제를 형성하는 본 발명의 다른 특징 및 이점은 이하 설명된다. 당업자는 본 발명의 동일한 목적을 행하기 위한 다른 구성을 변경 또는 설계하기 위한 근거로서 개시된 개념 및 특정 실시 예를 용이하게 사용 할 수 있다. 당업자는 또한, 균등 구성이 그 가장 넓은 형태로 본 발명의 사상 및 범위를 벗어나지 않음을 이해하여야 한다.
이하, 발명의 상세한 설명을 기술하기 이전에 본 발명 전체에 걸쳐 사용되는 특정 용어들과 구들을 정의하는 것이 바람직하다. 용어 "구비하다(include)", "포함하다(comprise)" 와 같은 파생어는 제한 없이 포괄의 의미이다; 용어 "또는"은 "및/또는"의 의미를 포괄한다; 구 "관련된(associated with)", "그와 관련된(associated therewith)" 및 그 파생어는 포함한다, 내에 포함된다, 상호 접속된다, 함유한다, 내에 함유된다, 에 접속된다, 에 결합된다, 와 통신하다, 와 통합하다, 사이에 설치하다, 병치하다, 에 근접하다, 에 구속된다, 가지다, ∼특성을 가지다 등을 의미할 수 있다; 용어 "컨트롤러(controller)"는 임의의 장치, 시스템 또는 적어도 하나의 동작을 제어하는 그 일부분을 의미하고, 이러한 장치는 하드웨어, 펌웨어 또는 소프트웨어, 또는 이들 중 적어도 2개의 어떤 조합으로 구현될 수 있다. 어떤 특정 컨트롤러와 관련된 기능은 부분적이든 원격이든 집중 또는 분산될 수 있다. 어떤 용어 및 구에 대한 정의는 본 명세서에 전반적으로 적용되고, 일시적이지 않다면, 당업자는 많은 경우 이러한 정의가 이와 같이 정의된 용어 및 구의 차후 사용뿐 아니라 종래 기술에 적용됨을 이해하여야 한다.
본 발명 및 그 이점을 더 잘 이해하기 위해, 참조 부호가 이하 발명의 상세한 설명에 첨부된 도면과 관련하여 만들어지며, 도면에서 동일한 참조 부호는 동일한 부분을 나타낸다.
이하 설명되는 도 1 내지 도 5 및 본 명세서에서 본 발명의 이론을 설명하는데 사용되는 다양한 실시 예는 단지 설명을 위한 것으로 본 발명의 범위를 한정하도록 해석되어서는 안 된다. 당업자는 본 발명의 이론이 적절하게 구성된 무선 네트워크에서 구현될 수 있음을 이해하여야 한다.
도 1은 본 발명의 일 실시 예에 따른 일반적인 무선 네트워크(100)의 개관을 나타내는 도면이다. 무선 전화 네트워크(100)는 복수개의 셀 사이트(121-123)를 포함하고, 각 셀 사이트는 기지국, BS(101), BS(102) 또는 BS(103)중 하나를 포함한다. 기지국(101-103)은 복수개의 이동국(MS)(111-114)과 통신하도록 동작 가능하다. 이동국(111-114)은 종래의 셀룰러 전화, PCS 핸드셋 장치, 휴대용 컴퓨터, 원격측정(telemetry) 장치 등을 포함하는 임의의 적절한 무선 통신 장치가 될 수 있다.
도 1에서 점선은 기지국(101-103)이 위치하는 셀 사이트(121-123)의 근사 경계를 나타낸다. 셀 사이트는 단지 도시 및 설명을 위해서 근사적인 원형으로 도시되어 있다. 셀 사이트가 또한 선택된 셀 형태, 자연 및 인공 장애물에 따라 불규칙한 형상을 가질 수 있음을 명백하게 이해하여야 한다.
본 발명의 일 실시 예에서, BS(101), BS(102) 및 BS(103)는 기지국 컨트롤러(BSC) 및 기지국(BTS)을 포함할 수 있다. 기지국 컨트롤러 및 기지국은 당업자에게 잘 알려져 있다. 기지국 컨트롤러는 무선 통신 네트워크 내의 특정된 셀에 대해 기지국을 포함하는 무선 통신 자원을 관리하는 장치이다. 기지국은 RF 송수신기, 안테나 및 각 셀 사이트에 설치된 다른 전기 장비를 포함한다. 이 장비는 호처리 회로뿐만 아니라, 에어컨디셔닝(air conditioning) 유닛, 가열 유닛, 전기 공급 장치, 전화선 인터페이스 및 RF 송신기와 RF 수신기를 포함할 수 있다. 본 발명의 동작을 간단하고 명료하게 설명하기 위해, 각 셀(121, 122, 123)의 기지국 및 이 기지국과 관련된 기지국 컨트롤러는 각각 BS(101), BS(102) 및 BS(103)에 의해 공동으로 나타낸다.
BS(101), BS(102) 및 BS(103)는 음성 및 데이터 신호들을 상호간에, 그리고 공중 전화 시스템(도시되지 않음)과의 사이에서 통신 라인(131) 및 MSC(교환기)(140)를 통해 전송한다. MSC(140)는 당업자에게 잘 알려져 있다. MSC(140)는 공중 전화 시스템 및/또는 인터넷과 같은 무선 네트워크 및 외부 네트워크에서 가입자간에 서비스 및 조정을 제공하는 교환 장치이다. 통신선(131)은 T1 라인, T3 라인, 광섬유 링크, 네트워크 백본 연결 등을 포함하는 임의의 적합한 접속 수단이 될 수 있다. 본 발명의 일부 실시 예에서, 통신선(131)은 몇 개의 상이한 데이터 링크가 될 수 있는데, 이 데이터 링크는 BS(101), BS(102) 또는 BS(103)를 MSC(140)에 결합한다.
전형적인 무선 네트워크(100)에서, MS(111)는 셀 사이트(121)에 위치하며 BS(101)와 통신하고, MS(113)은 셀 사이트(122)에 위치하여 BS(102)와 통신하며, MS(114)는 셀 사이트(123)에 위치하여 BS(103)과 통신한다. MS(112)는 셀 사이트(123)의 가장자리에 인접하여 셀 사이트(121)에 위치한다. MS(112)에 인접한 화살표는 MS(112)가 셀 사이트(123)로 향하는 것을 나타낸다. 이 때, MS(112)가 셀 사이트(121)를 벗어나 셀 사이트(123)로 이동하면 "핸드오프(handoff)"가 발생한다.
공지된 바와 같이, "핸드오프" 절차는 호의 제어를 제1 셀로부터 제2 셀로 전이한다. 예컨대, MS(112)가 BS(101)와 통신 상태에 있고, BS(101)로부터의 신호가 받아들일 수 없이 약해짐을 감지하면 MS(112)는 BS(103)에 의해 송신된 신호와 같이 더 강한 신호를 갖는 BS로 전환할 수 있다. MS(112) 및 BS(103)는 새로운 통신 링크를 형성하고, BS(103)를 통해 진행중인 음성, 데이터 또는 제어 신호들을 전송하기 위하여 BS(101) 및 공중 전화 네트워크로 신호가 전달된다. 그에 따라 호는 BS(101)로부터 BS(103)로 끊어짐이 없이 전송된다. "아이들(idle)" 핸드오프는 정규 통화 채널로 음성 및/또는 데이터 신호를 송신하는 것이 아니라, 제어 또는 페이징 채널로 통신하는 이동 장치의 셀 간 핸드오프이다.
하나 이상의 이동국(111-114)들은 초기에 서비스 설정이 되지 않은 장치들 일 수 있다. 즉, 번호 할당 모듈(NAM) 데이터, 선호 로밍 리스트(PRL) 데이터, 또는 인증 코드(또는 "A-키") 데이터와 같은 필수 구성 데이터는 예를 들어, BS(112)에 존재하지 않을 수 있고, 만약 존재한다면 적절하게 구성 또는 설정되어 있지 않을 수 있으며, 그에 따라 MS(112)는 BS(101)와 통신할 수 없다. 이러한 서비스 설정이 되지 않은 장치들을 무선 네트워크(100)에서 동작이 가능하도록 하기 위해, 공중 서비스를 설정하는 기능이 무선 네트워크(100)에 제공된다.
도 2는 본 발명의 일 실시 예에 따른 공중 서비스 설정을 행하는 도 1에서의 일반적인 무선 네트워크의 다른 선택된 부분을 나타내는 도면이다. MS(112), BS(101) 및 MSC(140)는 도 1에서와 같이 기 설치되어 있다. 도 2에서 무선 네트워크(100)는 상호작용부(interworking function)(IWF)(150), 홈 위치 등록기(HLR)(155), 및 서비스 설정 서버(160)를 더 포함한다. 서비스 설정 서버(160)는 무선 네트워크(100)의 다른 구성요소 즉, BS(101), MSC(140), IWF(150) 및 HLR(155)로부터 멀리 떨어져 있는 시스템-와이드(System-wide) 중앙 서버이다. 서비스 설정 서버(160)의 데이터를 액세스하기 위해 MSC(140)는 인트라넷/인터넷(165)(이하 "인터넷(165)"이라고 함)을 통해 서비스 설정 서버(160)와 통신한다. 무선 네트워크(100) 내의 데이터는 무선 서비스 제공자에 의해 만들어진 선택에 따라 하나 이상의 다양한 통신 프로토콜과 통신될 수 있기 때문에, IWF(150)는 무선 네트워크(100)의 어플리케이션 데이터를 운반하는 "네이티브(native)" 통신 전송 프로토콜을 인터넷(165)에서의 전송에 적합한 인터넷 프로토콜(IP) 기반 데이터 패킷으로 변경하는데 필요하다.
이하 더 상세히 설명하는 바와 같이, 서비스 설정이 되지 않은 이동국, 예를 들어 MS(112)가 무선 네트워크(100)(BS(101)를 통해)를 액세스하면, BS(101) 및/또는 MSC(140)는 HLR(155)의 핸드셋 데이터를 이용하여 서비스 설정이 되지 않은 핸드셋으로서 MS(112)를 식별하고, MS(112)의 서비스 설정 과정을 수행하기 위해 인터넷(165)을 통해 서비스 설정 서버(160)와 세션(session)을 설정한다. 그러나, 인터넷(165)은 무선 네트워크(100)를 운영하는 무선 서비스 제공자에 의해 소유되거나 제어되지 않은 네트워크이기 때문에, 본 발명은 인증받지 않은 사람이 MS(112)를 사용하여 인터넷(165)의 다른 서버/웹사이트에 액세스하는 것을 방지하는 보안 보호(security protection)를 제공한다.
본 발명의 범위는 기지국과 서비스 설정 서버를 링크하기 위해 인터넷을 사용하는 무선 네트워크에 한정되지 않는다는 것이 주지되어야 한다. 본 발명의 다른 실시 예에서 인터넷은 실제로는 기지국 그룹을 하나 이상의 서비스 설정 서버에 링크하는 비교적 적은 양의 보안을 갖는 대형 인트라넷일 수 있다.
도 3은 본 발명의 일 실시 예에 따른 일반적인 기지국(101)을 보다 상세히 도시한 도면이다. 기지국(101)은 기지국 컨트롤러(BSC)(210) 및 기지국 송수신기(BTS)(220)를 포함한다. 기지국 컨트롤러 및 기지국 송수신기는 도 1과 관련하여 전술되었다. 기지국 컨트롤러(BSC)(210)는 BTS(220)를 포함하는, 셀 사이트(212)의 자원을 관리한다. BTS(220)는 BTS 컨트롤러(225), 대표적 채널 엘리먼트(240)를 포함하는 채널 컨트롤러(235), 송수신기 인터페이스(IF)(245), RF 송수신기 유닛(250), 안테나 어레이(255) 및 서비스 설정 보안 컨트롤러(265)를 포함하며, 이하 더욱 상세히 설명한다.
BTS 컨트롤러(225)는 BTS(220)의 전반적 동작을 제어하는 오퍼레이팅 프로그램을 실행할 수 있는 처리 회로 및 메모리를 포함하고 기지국 컨트롤러(BSC)(210)와 통신힌다. 정상 조건시, BTS 컨트롤러(225)는 채널 컨트롤러(235)의 동작을 지시하고, 채널 컨트로러(235)는 순방향 채널 및 역방향 채널에서 양방향 통신을 행하는 채널 엘리먼트(240)를 포함한 복수의 채널 엘리먼트를 포함한다. "순방향" 채널은 기지국으로부터 이동국으로 신호가 나가는 것을 말하고, "역방향" 채널은 이동국으로부터 기지국으로 신호가 들어오는 것을 말한다. 본 발명의 바람직한 실시 예에서, 채널 엘리먼트는 코드 분할 다중 접속(CDMA) 프로토콜에 따라 셀(121)의 이동국과 통신한다. 송수신기 인터페이스(245)는 채널 컨트롤러(235)와 RF 송수신기 유닛(250) 사이에서 양방향 채널 신호를 전송한다.
안테나 어레이(255)는 RF 송수신기 유닛(250)으로부터 수신된 순방향 채널 신호를 BS(101)의 커버리지 영역의 이동국으로 전송한다. 안테나 어레이(255)는 또한 BS(101)의 커버리지 영역의 이동국으로부터 수신된 역방향 채널 신호를 RF 송수신기 유닛(250)에 전송한다. 본 발명의 바람직한 실시 예에서, 안테나 어레이(255)는 각 안테나 섹터가 커버리지 영역을 120°원호로 송수신하는 것을 책임진 3섹터 안테나와 같은 멀티-섹터(multi-sector) 안테나이다. 또, RF 송수신기(250)는 송신 및 수신 동작 동안 안테나 어레이(255)의 서로 다른 안테나 중 하나를 선택하기 위한 안테나 선택 유닛을 포함할 수 있다.
본 발명의 일 실시 예에서, BTS 컨트롤러(225)는 BS(101)를 액세스하는 MS(112)와 같은 이동국이 무선 네트워크(100)에 의해 사전에 인증되어 있는지의 여부를 검증하는 인증 컨트롤러(260)를 더 포함한다. 서비스 설정 보안 컨트롤러(265)와 공동으로 작동하는 인증 컨트롤러(260)는 또한 무선네트워크(100)와 연결된 서비스 설정 서버들이 이외에 인터넷 서버 또는 웹사이트를 액세스하기 위한 MS(112)의 사용을 방지하는 필수적인 보안 기능들을 제공한다. 본 발명의 다른 실시 예에서, 인증은 MSC(140) 또는 무선 네트워크(100)의 어느 곳에서나 행해질 수 있고, 인증 결과는 BTS 컨트롤러(225)로 전송될 수 있다.
MS(112)와 BS(101)을 통한 무선 네트워크(100)의 다른 부분 사이에 임의의 통신이 발생할 수 있기 전에, 인증 컨트롤러(260)는 먼저 MS(112)가 예컨대, 고유 공유 기밀 데이터(SSD) 코드 및 요구된(required) 서비스 설정 데이터를 갖는 지를 판단함으로써 MS(112)가 서비스 설정되었는지를 검증한다(즉, 인증한다). 종래 서비스 설정 과정의 일 형태에서는 가입자가 통상적으로 초기 서비스 설정 과정 동안 이동국으로 인증 코드(즉, A-키)를 입력한다. 그러나, A-키를 입력 또는 획득하기 위한 다른 방법이 채용될 수도 있다. 이어서, 이동국은 A-키로부터 또는 다른 알고리즘에 의해 공유 기밀 데이터(SSD) 코드를 자동적으로 발생할 수 있다. 두 경우 모두에, 이동국은 그것의 SSD 코드를 인증 과정의 일부분으로서 전송한다. 이동국이 서비스 설정되었으면, 네트워크의 각 기지국은 서비스 설정된 이동국에 대한 SSD 코드에 대응하는 SSD 코드를 갖는다.
북미의 이동 통신 시스템은 종종 인증 용도용 셀룰러 인증 검증과 암호화(Cellular Authentication Verification and Encryption: CAVE)알고리즘을 사용한다. 본 발명의 바람직한 실시 예에서, BS(101)와 인터페이싱(interfacing) 장치들은 인증 용도용 CAVE 알고리즘을 활용한다. BS(101)는 오버헤드(overhead) 제어 메시지내의 인증(AUTH) 비트를 셀 사이트(121)에 대한 제어 채널 상으로 전송함으로써 인증 과정을 개시한다. MS(112)가 AUTH 비트를 인식할 때 MS(112)는 자동적으로 SSD 정보, 전자 일련 번호(Electronic Serial Number: ESN) 데이터, 과금(billing) 정보, 다이얼 가입자 번호 및 다른 인에이블링(enabling) 데이터를 포함하는 식별 데이터를 BS(101)에 전송한다.
무선 네트워크(100)에서 사용되는 인증 과정의 상기 설명은 단지 일 예일 뿐이다. 당업자는 본 발명의 다른 실시 예에서 무선 네트워크(100)에서 구현될 수 있는 다수의 상이하고 공지된 인증 과정이 있음을 이해할 것이다. 이들 다른 인증 과정들은 본 발명의 범위를 벗어나지 않는다.
인증 컨트롤러(260)는 MS(112)로부터의 입력 데이터를 초기에 저장하고 수신된 SSD 정보와 HLR(155)로부터 검색된 SSD 정보를 비교한다. 인증 컨트롤러(260)가 MS(112)로부터 수신된 SSD 정보가 유효하다고 판단하면, 인증 컨트롤러(260)는 MS(112)가 서비스 설정되어 있는 지의 여부를 판단하기 위해 HLR(155)에 저장된 다른 데이터, 예컨대 NAM 데이터 및 과금 정보를 검사한다. 인증 컨트롤러(260)가 MS(112)는 정당한 방식으로 서비스 설정되어 있음을 확인하면, 음성/데이터 호는 정상 호 처리를 위해 MSC(140)으로 전송된다. 인증 컨트롤러(260)가 MS(112)는 정당한 방식으로 서비스 설정되어 있지 않음(즉, 과금 정보, NAM 정보의 부재 등)을 확인하면, 인증 컨트롤러(260)는 모든 입력 IP 패킷을, 이하 상세히 설명하는 바와 같이, MSC(140)과 인터넷(165)를 통하여 서비스 설정 서버(160)로의 암호화 및 전송을 위해 서비스 설정 보안 컨트롤러(265)에 전송한다.
본 발명의 다른 실시예에서, 인증 컨트롤러(260)는 다른 방법에 의해BS(101)를 액세스하는 이동국이 서비스 설정되어 있지 않음을 판단할 수 있다. 예컨대, MS(112)가 자체적으로 적절하게 인증할 수 없다고 한다면, 인증 컨트롤러(260)는 간단히 호를 거부할 수 있고 아니면 자동적으로 MS(112)로부터 들어오는 모든 IP 패킷을, 암호화 및 MSC(140) 및 인터넷(165)을 통한 서비스 설정 서버(160)로의 전송을 위해 서비스 설정 보안 컨트롤러(265)에 전송할 수 있다.
선택적으로, MS(112)가 서비스 설정을 위해 지정된 "*228xx"와 같은 특정 전화 번호를 다이얼 하였다면, 인증 컨트롤러(260)는 자동적으로 MS(112)로부터 들어오는 모든 IP 패킷을 암호화 및 서비스 설정 서버(160)로의 전송을 위해 서비스 설정 보안 컨트롤러(265)에 전송할 수 있다.
도 4는 본 발명의 일 실시 예에 따른 서비스 설정 보안 컨트롤러(265)를 보다 상세히 도시한 도면이다. 일반적인 서비스 설정 보안 컨트롤러(265)는 데이터 프로세서(405) 및 메모리(410)를 포함하고, 메모리(410)는 암호화 어플리케이션 프로그램(415), IP 헤더 필드(420), IP 패킷 페이로드 필드(425), 암호화된 페이로드 필드(430)를 위한 저장 공간을 포함한다. 서비스 설정되지 않은 이동국, 예컨대 MS(112)가 검출되면, 데이터 프로세서(405)는 인증 컨트롤러(260)로부터 들어오는 IP 데이터 패킷을 수신하고, 암호화 어플리케이션 프로그램(415)의 제어 하에 수신된 IP 데이터 패킷들의 페이로드 정보를 암호화한다. 이후, 암호화된 IP 데이터 패킷들은 외부로 나가는 IP 데이터 패킷들의 스트림으로서 인증 컨트롤러(260)로 리턴(return)된다.
메모리(410)는 서비스 설정 보안 컨트롤러(265) 및 암호화 어플리케이션 프로그램(415)과 관련된 데이터 및 프로그램을 위한 저장 공간을 제공한다. 들어오는 IP 데이터 패킷은 IP 헤더로 구성되고, IP 헤더는 IP 데이터 패킷이 전송되는 목표 장치의 목적 어드레스 및, 목표 장치로 전송되는 사용자 데이터 및/또는 커맨드를 포함하는 IP 패이로드를 포함한다.
들어오는 IP 데이터 패킷이 인증 컨트롤러(260)로부터 수신되면, 데이터 프로세서(405)는 암호화 어플리케이션 프로그램(415)의 제어 하에서 IP 헤더 필드(420)에 IP 헤더 정보를 저장하고, IP 패킷 페이로드 필드(425)에 IP 데이터 패킷들의 패이로드들을 저장한다.
이어서, 데이터 프로세서(405)는 IP 패킷 페이로드 필드(425)에 저장된 오리지날(original) 데이터를 암호화 어플리케이션 프로그램(415)에 의하여 실행된 암호화 알고리즘에 따라서 암호화하고, 그 암호화된 데이터를 암호화된 페이로드 필드(430)에 저장한다. 암호화 어플리케이션 프로그램(415)은 임의의 공지된 암호화 알고리즘을 실행할 수 있다. 이후, 데이터 프로세서(405)는 암호화된 페이로드 필드(430)로부터 검색된 암호화된 IP 데이터 패킷에, IP 헤더 필드(420)로부터 검색된 오리지날(그리고 암호화되지 않은) IP 헤더 정보를 재 추가함으로써 각 IP 데이터 패킷을 새로 형성한다. 이후, 재 형성된 IP 데이터 패킷들은 외부로 나가는 IP 데이터 패킷들의 스트림으로 인증 컨트롤러(260)에 반환된다.
이후, 인증 컨트롤러(260)는 암호화된 IP 데이터 패킷들을 MSC(140)와 IWP(150)을 통하여 인터넷(165)으로 전송한다. IP 헤더 정보가 암호화되지 않았기 때문에, 암호화된 IP 데이터 패킷들은 MS(112)에 의하여 지시된 목적 IP 어드레스에 전송된다. 그러나, 전체적인 페이로드가 암호화되었기 때문에 IP 데이터 패킷들이 목적 IP 어드레스에 도달했을 때, 목적 IP 어드레스에 있는 장치가 암호화 알고리즘을 알지 못한다면 IP 데이터 패킷들은 사용되지 않을 것이다. 이로 인해 인증받지 않은 사람 또는 장치가 서비스 설정되지 않은 MS(112)를 사용하여 무선 네트워크(100)를 통해 인터넷(165)을 액세스 시도하는 것이 불가능하게 된다. 서비스 설정 서버(160)가 BS(101)에 의해 사용되는 암호화 알고리즘에 대한 키를 가지고 있기 때문에, 서비스 설정 서버(160)는 서비스 설정이 되지 않은 MS(112)로부터 적법한 서비스 설정 요청을 처리할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 도 1 및 2의 무선 네트워크(100)의 일반적인 안전한 서비스 설정 동작을 나타내는 제어흐름도(500) 이다. 먼저, BS(101)는 MS(112)가 BS(101)에 의해 전송된 AUTH 코드에 응답하는지를 판단함으로써 MS(112)에 의한 액세스 시도를 검출한다.(단계 505 처리)
BS(101)는 MS(112)로부터 인증 데이터를 수신하고, 인증 컨트롤러(260)는 MS(112)로부터 수신된 인증 데이터를 이용하여 가입자 서비스 설정 데이터를 액세스하고, 필요하다면 HLR(155)에서 MS(112)가 무선 네트워크(100)에 대해 서비스 설정되었는지의 여부를 판단한다.(단계 510 처리) BS(101)는 이 서비스 설정 상태를 다이얼된 단일의(unique) 서비스 설정 번호, SSD 정보의 부재, 과금 정보의 부재 등을 포함하는 하나 이상의 방법에 의해 판단할 수 있다.
만일 MS(112)가 사전에 서비스 설정이 되어 있으면, BS(101)는 이 수신된 음성 및/또는 데이터 패킷들을 암호화되지 않은 인터넷-바운드 페이로드(Internet-bound payloads)들을 포함하는 정상 호 처리를 위해 MSC(140)로 전송한다.(단계 515 처리) BS(101)가 MS(112)를 인증할 수 없거나 어떤 다른 방식으로 MS(112)가 서비스 설정되어 있지 않음을 판단하면 서비스 설정 보안 컨트롤러(265)는 MS(112)로부터 수신된 IP 데이터 패킷 페이로드들을 암호화하고, BS(101)가 암호화된 IP 데이터 패킷들을 인터넷(165)에 전송하도록 한다.(단계 520 처리)
BS(101)는 MS(112)로부터 현재의 호가 MS(112)의 가입자에 의하여 종료될 때까지 IP 패킷 페이로드들을 무선 네트워크(100)와 인터넷(165) 사이에 전달하기 위하여 IP 패킷 페이로드들을 계속적으로 암호화한다. 만일 MS(112)의 사용자가 제1 시간 동안 MS(112)를 서비스 설정 시도하는 정당한 가입자이면, 이는 BS(101)가 서비스 설정 과정이 완료되고 MS(112)를 사용하는 가입자가 호를 종료할 때까지 인터넷(165)에 전송하기 위하여 IP 데이터 패킷 페이로드들을 계속적으로 암호함을 의미한다. (단계 525 처리) 일단 서비스 설정이 되면 MS(112)는 정상적인 사용을 위해 준비된다.
본 발명의 다른 실시 예에서, 인증 컨트롤러(260) 및 서비스 설정 보안 컨트롤러(265)중 하나 또는 이들 모두는 기지국(101) 외부에 위치할 수 있다. 예컨대, 인증 컨트롤러(260) 및 서비스 설정 보안 컨트롤러(265)는 BS(101)에 직접 또는 간접적으로 결합된 독립형(stand alone) 장치로서 구현될 수 있다. 본 발명의 또 다른 실시 예에서는, 인증 컨트롤러(260) 및 서비스 설정 보안 컨트롤러(265)는 예컨대 MSC(140), IWF(150), 또는 분산된 MSC(140)과 IWF(150)사이에서 구현될 수 있다.
본 발명의 또 다른 실시 예에서, 인증 컨트롤러(260) 및 서비스 설정 보안 컨트롤러(265)는 무선 네트워크의 일부 기지국에서만 구현될 수 있다. 이러한 실시 예에서, 2개 이상의 기지국은 하나의 기지국에만 설치된 동일한 인증 컨트롤러(260) 및 서비스 설정 보안 컨트롤러(265)를 공유할 수 있다.
본 명세서에서 발명이 상세히 설명되었다 하더라도, 당업자는 본 발명의 사상 및 범위의 가장 넓은 형태에서 벗어남이 없이 본 발명이 다양하게 변경, 치환 및 개조될 수 있음을 이해하여야 한다.
상술한 바와 같이 본 발명은 이동국들이 무선 네트워크를 통하여 인터넷 프로토콜 데이터 네트워크를 엑세스하는 서비스 설정 과정에서 무선 핸드셋( 및 다른 형태의 이동국들)의 서비스 설정을 자동으로 행하게 함으로써, 사용자에 의한 서비스 설정 과정에 대한 노동 비용을 줄이고, 에러를 제거하며, 가입자와의 통신을 최소화 또는 제거함으로써 서비스 설정 과정을 더욱 사용자에게 친화적이게 하는 이점이 있다. 또한 무선 장치의 공중 서비스 설정을 실행하는 시스템 및 방법에 있어서 개선된 보안을 제공함으로써, 인터넷 접속을 통해, 서비스 설정이 되지 않은 핸드셋으로부터 서비스 설정을 제공하는 서버를 엑세스하는 것에 의하여 공중 셀룰러 서비스 설정을 편리하게 수행할 수 있도록 하는 이점이 있다.

Claims (20)

  1. 복수의 기지국들과, 상기 복수의 기지국들 각각과 통신 가능한 복수의 이동국들을 포함하는 무선 네트워크에서 사용하며, 서비스 설정이 되지 않은 상기 복수의 이동국들 중 하나의 이동국이 상기 무선 네트워크를 통해 상기 서비스 설정을 위한 서비스 설정 서버 이외의 다른 인터넷 프로토콜 데이터 네트워크를 액세스하는 것을 방지할 수 있는 보안 장치에 있어서,
    아이피 패킷 헤더와 아이피 패킷 패이로드를 포함하는 아이피 데이터 패킷을 상기 서비스 설정이 되지 않은 이동국으로부터 수신하는 경우에 상기 아이피 패킷 페이로드의 최소한 일부분을 상기 서비스 설정 서버와 정해진 암호화 알고리즘에 따라 암호화하여 인터넷을 통하여 상기 서비스 설정 서버로 전송하기 위한 제1 컨트롤러와
    상기 이동국이 상기 무선 네트워크에 대하여 서비스 설정되어 있는 지를 판단하는 제2 컨트롤러를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  2. 제1항에 있어서, 상기 제1 컨트롤러는 상기 복수의 기지국들 중 적어도 하나의 기지국에 설치됨을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  3. 제1항에 있어서, 상기 제1 컨트롤러는 상기 무선 네트워크의 하나 이상의 교환기와 상호작용부에 설치됨을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  4. 삭제
  5. 제1항에 있어서, 상기 제2 컨트롤러는 상기 서비스 설정이 되지 않은 이동국이 상기 무선 네트워크에 대하여 인증될 수 없다면 상기 서비스 설정이 되지 않은 이동국이 서비스 설정되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  6. 제1항에 있어서, 상기 제2 컨트롤러는 상기 서비스 설정이 되지 않은 이동국에 의해 선택된 서비스 설정 과정과 관련 있는 소정의 전화 번호에 따라 상기 서비스 설정이 되지 않은 이동국이 서비스 설정되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  7. 제1항에 있어서, 상기 제2 컨트롤러는 상기 무선 네트워크와 관련 있는 홈 위치 등록기로부터 검색된 데이터에 따라 상기 서비스 설정이 되지 않은 이동국이 서비스 설정되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  8. 제1항에 있어서, 상기 제1 컨트롤러는 상기 데이터 프로세서와 관련 있는 메모리에 저장된 암호화 프로그램을 실행할 수 있는 데이터 프로세서를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치.
  9. 복수의 기지국들과, 상기 기지국들 각각과 통신 가능한 복수의 이동국들을 포함하는 무선 네트워크와,
    상기 복수개의 이동국들 중 서비스 설정이 되지 않은 하나의 이동국이 상기 무선 네트워크를 통하여 상기 서비스 설정을 위한 상기 서비스 설정 서버 이외의 다른 인터넷 프로토콜 데이터 네트워크를 액세스하는 것을 방지할 수 있는 상기 보안 디바이스를 포함하며, 상기 보안 디바이스는,
    아이피 패킷 헤더와 아이피 패킷 패이로드를 포함하는 아이피 데이터 패킷을 상기 서비스 설정이 되지 않은 이동국으로부터 수신하는 경우에, 상기 아이피 패킷 페이로드의 최소한 일부분을 상기 서비스 설정 서버와 정해진 암호화 알고리즘에 따라 암호화하여 인터넷을 통하여 상기 서비스 설정 서버로 전송하기 위한 제1 컨트롤러와,
    상기 이동국이 상기 무선 네트워크에 대하여 서비스 설정되어 있는 지를 판단하는 제2 컨트롤러를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  10. 제9항에 있어서, 상기 제1 컨트롤러는 상기 복수의 기지국들 중 적어도 하나에 설치됨을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  11. 제9항에 있어서, 상기 제1 컨트롤러는 상기 무선 네트워크의 하나 이상의 교환기와 상호작용부에 설치됨을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  12. 삭제
  13. 제9항에 있어서, 상기 제2 컨트롤러는 상기 서비스 설정이 되지 않은 이동국이 상기 무선 네트워크에 대하여 인증될 수 없다면 상기 서비스 설정이 되지 않은 이동국이 서비스 설정이 되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  14. 제9항에 있어서, 상기 제2 컨트롤러는 상기 서비스 설정이 되지 않은 이동국에 의해 선택된 서비스 설정 과정과 관련 있는 소정의 전화 번호에 따라 상기 서비스 설정이 되지 않은 이동국이 서비스 설정이 되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  15. 제9항에 있어서, 상기 제2 컨트롤러는 상기 무선 네트워크와 관련된 홈 위치 등록기로부터 검색된 데이터에 따라 상기 서비스 설정이 되지 않은 이동국이 서비스 설정이 되지 않았음을 판단함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  16. 제9항에 있어서, 상기 제1 컨트롤러는 상기 데이터 프로세서와 관련 있는 메모리에 저장된 암호화 프로그램을 실행할 수 있는 데이터 프로세서를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법에 따른 시스템.
  17. 복수의 기지국들과, 상기 기지국들 각각과 통신 가능한 복수의 이동국들을 포함하는 무선 네트워크에서 사용하며, 상기 복수의 이동국들 중 서비스 설정이 되지 않은 하나의 이동국이 상기 무선 네트워크를 통해 상기 서비스 설정을 위한 서비스 설정 서버 이외의 다른 인터넷 프로토콜(아이피) 데이터 네트워크를 액세스하는 것을 방지하는 방법에 있어서,
    아이피 패킷 헤더 및 아이피 패킷 페이로드를 포함하는 아이피 데이터 패킷을 상기 서비스 설정이 되지 않은 이동국으로부터 수신하는 단계와,
    상기 서비스 설정이 되지 않은 이동국이 서비스 설정되지 않았음을 판단하는 단계와,
    상기 아이피 패킷 페이로드의 최소한 일부분을 암호화하여 인터넷을 통하여 상기 서비스 설정 서버로 전송하는 단계로 구성됨을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 방법.
  18. 제17항에 있어서, 상기 판단 단계는 상기 서비스 설정이 되지 않은 이동국이 무선 네트워크에 대해 인증될 수 없음을 판단하는 단계를 포함함을 특징으로 하는암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 방법.
  19. 제17항에 있어서, 상기 판단 단계는 상기 서비스 설정이 되지 않은 이동국이 서비스 설정 과정과 관련 있는 소정의 전화 번호를 선택했음을 판단하는 단계를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 방법.
  20. 제17항에 있어서, 상기 서비스 설정이 되지 않은 이동국이 서비스 설정이 되지 않았음을 판단하는 단계는 상기 무선 네트워크와 관련 있는 홈 위치 등록기로부터 검색된 데이터를 조사하는 단계를 포함함을 특징으로 하는 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 방법.
KR10-2000-0060297A 1999-12-30 2000-10-13 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템 KR100383609B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/475,766 1999-12-30
US09/475,766 US7024557B1 (en) 1999-12-30 1999-12-30 System and method for secure provisioning of a mobile station from a provisioning server using encryption

Publications (2)

Publication Number Publication Date
KR20010067325A KR20010067325A (ko) 2001-07-12
KR100383609B1 true KR100383609B1 (ko) 2003-05-16

Family

ID=23889043

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0060297A KR100383609B1 (ko) 1999-12-30 2000-10-13 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템

Country Status (2)

Country Link
US (1) US7024557B1 (ko)
KR (1) KR100383609B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW462159B (en) * 1999-05-14 2001-11-01 Ntt Docomo Inc Mobile communication terminal
US8019991B1 (en) * 1999-12-30 2011-09-13 Samsung Electronics Co., Ltd. System and method for secure provisioning of a mobile station from a provisioning server using IP address translation at the BTS/BSC
US7593529B1 (en) * 2000-01-27 2009-09-22 Agere Systems Inc. Scramble methods and apparatus for packetized digital video signal in conditional access system
AU3689301A (en) 2000-02-09 2001-08-20 Apriva Inc Communication systems, components, and methods operative with programmable wireless devices
US7409685B2 (en) 2002-04-12 2008-08-05 Hewlett-Packard Development Company, L.P. Initialization and update of software and/or firmware in electronic devices
US8479189B2 (en) 2000-11-17 2013-07-02 Hewlett-Packard Development Company, L.P. Pattern detection preprocessor in an electronic device update generation system
US8046581B2 (en) * 2002-03-04 2011-10-25 Telespree Communications Method and apparatus for secure immediate wireless access in a telecommunications network
US7418596B1 (en) * 2002-03-26 2008-08-26 Cellco Partnership Secure, efficient, and mutually authenticated cryptographic key distribution
US8555273B1 (en) 2003-09-17 2013-10-08 Palm. Inc. Network for updating electronic devices
US7577836B2 (en) 2004-01-16 2009-08-18 Verizon Business Global Llc Method and system for secured wireless data transmission to and from a remote device
US7904895B1 (en) 2004-04-21 2011-03-08 Hewlett-Packard Develpment Company, L.P. Firmware update in electronic devices employing update agent in a flash memory card
US8526940B1 (en) 2004-08-17 2013-09-03 Palm, Inc. Centralized rules repository for smart phone customer care
US7603109B2 (en) * 2005-03-10 2009-10-13 Qualcomm Incorporated Methods and apparatus for over-the-air subscriptions
US8473570B2 (en) * 2005-05-05 2013-06-25 Qualcomm Incorporated Methods and apparatus for simultaneously hosting multiple service providers on a network
US20070066296A1 (en) * 2005-09-21 2007-03-22 Scott-Goddard Alasdair C Method and apparatus for providing information
US8204039B2 (en) * 2005-11-30 2012-06-19 Symbol Technologies, Inc. System and method for data communication in a wireless network
EP2025095A2 (en) 2006-06-08 2009-02-18 Hewlett-Packard Development Company, L.P. Device management in a network
US8752044B2 (en) 2006-07-27 2014-06-10 Qualcomm Incorporated User experience and dependency management in a mobile device
US9408070B2 (en) * 2006-09-05 2016-08-02 Kyocera Corporation Wireless internet activation system and method
US7979054B2 (en) 2006-10-19 2011-07-12 Qualcomm Incorporated System and method for authenticating remote server access
TR200800488A1 (tr) * 2008-01-24 2009-08-21 Vodafone Teknoloj� H�Zmetler� Anon�M ��Rket� MLP protokolünde istemci-kodu ve parolanın şifrelenerek gönderilmesi yöntemi.
US11233634B1 (en) 2017-06-23 2022-01-25 Wells Fargo Bank, N.A. Systems and methods for network authentication with a shared secret

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0820206A2 (en) * 1996-07-15 1998-01-21 AT&T Wireless Services, Inc. System and method for automatic registration notification for over-the-air activation
US5812671A (en) * 1996-07-17 1998-09-22 Xante Corporation Cryptographic communication system
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5870479A (en) * 1993-10-25 1999-02-09 Koninklijke Ptt Nederland N.V. Device for processing data packets
US5898784A (en) * 1996-01-16 1999-04-27 Raptor Systems, Inc. Transferring encrypted packets over a public network
EP1035702A2 (en) * 1999-03-04 2000-09-13 Sun Microsystems, Inc. Secure communication with mobile hosts

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5592470A (en) * 1994-12-21 1997-01-07 At&T Broadband wireless system and network architecture providing broadband/narrowband service with optimal static and dynamic bandwidth/channel allocation
US6032043A (en) * 1996-09-25 2000-02-29 Telefonaktiebolaget L M Ericsson (Publ) Home location register feature dispatching and arbitration in a wireless intelligent network
US6393270B1 (en) * 1996-10-11 2002-05-21 Bellsouth Intellectual Property Corp. Network authentication method for over the air activation
US5875394A (en) * 1996-12-27 1999-02-23 At & T Wireless Services Inc. Method of mutual authentication for secure wireless service provision
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
AU733803B2 (en) * 1997-05-09 2001-05-24 Connotech Experts-Conseils Inc. Initial secret key establishment including facilities for verification of identity
KR100315641B1 (ko) * 1999-03-03 2001-12-12 서평원 오티에이피에이를 위한 단말기와 시스템의 상호 인증 방법
US6587684B1 (en) * 1998-07-28 2003-07-01 Bell Atlantic Nynex Mobile Digital wireless telephone system for downloading software to a digital telephone using wireless data link protocol
US6651105B1 (en) * 1998-11-12 2003-11-18 International Business Machines Corporation Method for seamless networking support for mobile devices using serial communications
US6141544A (en) * 1998-11-30 2000-10-31 Telefonaktiebolaget Lm Ericsson System and method for over the air activation in a wireless telecommunications network
US6453162B1 (en) * 1998-12-10 2002-09-17 Nortel Networks Limited Method and system for subscriber provisioning of wireless services
US6496505B2 (en) * 1998-12-11 2002-12-17 Lucent Technologies Inc. Packet tunneling optimization to wireless devices accessing packet-based wired networks
US6591306B1 (en) * 1999-04-01 2003-07-08 Nec Corporation IP network access for portable devices
US6647260B2 (en) * 1999-04-09 2003-11-11 Openwave Systems Inc. Method and system facilitating web based provisioning of two-way mobile communications devices
US6275693B1 (en) * 1999-11-22 2001-08-14 Motorola, Inc. Method and apparatus for performing bearer independent wireless application service provisioning

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5870479A (en) * 1993-10-25 1999-02-09 Koninklijke Ptt Nederland N.V. Device for processing data packets
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5898784A (en) * 1996-01-16 1999-04-27 Raptor Systems, Inc. Transferring encrypted packets over a public network
EP0820206A2 (en) * 1996-07-15 1998-01-21 AT&T Wireless Services, Inc. System and method for automatic registration notification for over-the-air activation
US5812671A (en) * 1996-07-17 1998-09-22 Xante Corporation Cryptographic communication system
EP1035702A2 (en) * 1999-03-04 2000-09-13 Sun Microsystems, Inc. Secure communication with mobile hosts

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148263A3 (en) * 2008-06-03 2010-03-18 Samsung Electronics Co., Ltd. A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association
US9906627B2 (en) 2008-06-03 2018-02-27 Samsung Electronics Co., Ltd. System and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association

Also Published As

Publication number Publication date
US7024557B1 (en) 2006-04-04
KR20010067325A (ko) 2001-07-12

Similar Documents

Publication Publication Date Title
KR100383609B1 (ko) 암호화를 이용한 서비스 설정 서버로부터 이동국의 보안 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템
US6725056B1 (en) System and method for secure over-the-air provisioning of a mobile station from a provisioning server via a traffic channel
US6466779B1 (en) System and method for secure provisioning of a mobile station from a provisioning server using IWF-based firewall
KR100414926B1 (ko) 해석된 바이트코드 프로그램의 무선 전송을 이용하여이동국을 준비/업데이트시키기 위한 시스템 및 방법
US7165173B1 (en) System and method for secure over-the-air administration of a wireless mobile station
US8538426B2 (en) Controlling and enhancing handoff between wireless access points
US8522315B2 (en) Automatic configuration of client terminal in public hot spot
EP2763441B1 (en) Self provisioning of wireless terminals in wireless networks
US20040090930A1 (en) Authentication method and system for public wireless local area network system
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
US20070192841A1 (en) Mutual authentication apparatus and method
JP2012060675A (ja) ネットワーク内のハンドオフの実行方法
US6775285B1 (en) System and method for secure provisioning of a mobile station from a provisioning server using IWF-based IP address translation
CN112119651B (zh) 接入技术不可知的服务网络认证方法和装置
US8312151B2 (en) Communication systems and methods for dynamic and secure simplification of equipment networking
US20110002272A1 (en) Communication apparatus and communication method
KR100403737B1 (ko) 기지국 송수신기/기지국 컨트롤러에서 아이피 어드레스 변경을 이용한 서비스 설정 서버로부터 이동국의 안전한 서비스 설정을 위한 보안 장치 및 방법과 그에 따른 시스템
EP1176760A1 (en) Method of establishing access from a terminal to a server
EP1113641B1 (en) System and method for filtering mobile Internet access at BTS/BSC
EP1437907B1 (en) System and method for secure over-the-air provisioning for a mobile station
KR100469738B1 (ko) 이동통신 시스템에서 트래픽 채널을 통하여 프로비져닝을수행하는 프로비져닝 시스템 및 그 방법
KR20050050451A (ko) 무선랜 서비스 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120329

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20130328

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee