KR100667181B1 - 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법 - Google Patents

무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법 Download PDF

Info

Publication number
KR100667181B1
KR100667181B1 KR1020050101814A KR20050101814A KR100667181B1 KR 100667181 B1 KR100667181 B1 KR 100667181B1 KR 1020050101814 A KR1020050101814 A KR 1020050101814A KR 20050101814 A KR20050101814 A KR 20050101814A KR 100667181 B1 KR100667181 B1 KR 100667181B1
Authority
KR
South Korea
Prior art keywords
authentication
identifier
authentication key
base station
terminal
Prior art date
Application number
KR1020050101814A
Other languages
English (en)
Other versions
KR20060134775A (ko
Inventor
조석헌
윤철식
장성철
Original Assignee
한국전자통신연구원
삼성전자주식회사
하나로텔레콤 주식회사
주식회사 케이티
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 삼성전자주식회사, 하나로텔레콤 주식회사, 주식회사 케이티, 에스케이 텔레콤주식회사 filed Critical 한국전자통신연구원
Publication of KR20060134775A publication Critical patent/KR20060134775A/ko
Application granted granted Critical
Publication of KR100667181B1 publication Critical patent/KR100667181B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법에 관한 것으로, 무선 휴대 인터넷 시스템의 PKMv2(Privacy Key Management Version 2)에서 RSA 기반의 인증을 통해 기지국과 단말이 공유하는 PAK(Primary Authorization Key), EAP 기반의 인증을 통해 기지국과 단말이 공유하는 PMK(Pairwise Master Key), PAK와 PMK를 통해 도출되는 인증키들을 식별하기 위한 PAK 식별자, PMK 식별자 및 인증키 식별자를 기지국이 생성하여 단말에 전달하여 공유한다. 따라서, 기지국과 단말이 2개 이상의 인증 관련 키들을 쉽게 식별할 수 있다. 또한, PAK 식별자, PMK 식별자 및 인증키 식별자의 사이즈를 감소시킴으로써 무선 구간의 신호 메시지의 효율적인 전달이 가능해진다.
무선 휴대 인터넷, 인증키, PAK, PMK, AK, PKM, 인증키 식별자

Description

무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법 {METHOD FOR ALLOCATING AUTHORIZATION KEY IDENTIFIER FOR WIRELESS PORTABLE INTERNET SYSTEM}
도 1은 본 발명이 적용되는 무선 휴대 인터넷 시스템의 개요를 도시한 개략도이다.
도 2는 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서 PKMv2의 인증키 관련 파라미터 집합의 구성을 보여주는 테이블을 도시한 도면이다.
도 3은 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서의 RSA 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 4는 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서의 EAP 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 5는 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서 PKMv2의 인증키 관련 파라미터 집합의 구성을 보여주는 테이블을 도시한 도면이다.
도 6은 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서의 RSA 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 7은 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서의 EAP 기반의 인증 정책에 따른 인증 절차 흐름도이다.
본 발명은 무선 휴대 인터넷 시스템에서의 인증 기술에 관한 것으로, 보다 구체적으로는 무선 휴대 인터넷 시스템에서 인증키 식별자를 할당하는 방법에 관한 것이다.
무선 휴대 인터넷은 종래의 무선 LAN과 같이 고정된 액세스 포인트(Access Point:AP)를 이용하는 근거리 데이터 통신 방식에 이동성(mobility)을 더 지원하는 차세대 통신 방식이다. 이러한 무선 휴대 인터넷에 대해 다양한 표준들이 제안되고 있으며, 현재 IEEE 802.16을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다. 여기서 IEEE 802.16은 기본적으로 도시권 통신망(Metropolitan Area Network, MAN)을 지원하는 규격으로서, 구내 정보 통신망(LAN)과 광역 통신망(WAN)의 중간 정도의 지역을 망라하는 정보 통신망을 의미한다.
이러한 IEEE 802.16 무선 MAN 기반의 무선 휴대 인터넷 시스템에서는 다양한 트래픽데이터 서비스를 안전하게 제공하기 위하여 단말에 대한 인증 및 권한 검증 절차를 수행해야 하므로, 이러한 인증 기능은 무선 휴대 인터넷 서비스의 안전성 및 망의 안정성을 위하여 필요한 기본적인 요구사항으로 대두되고 있다. 이러한 요구 사항을 만족시키기 위하여 IEEE 802.16 무선 MAN 시스템에서 보다 강력한 보안성을 제공하는 보안 키 관리 프로토콜인 PKMv2(Privacy Key Management Version 2)가 제안되었다. 이 PKMv2에서는 크게 RSA(Rivest Shamir Adleman) 기반 인증 또 는 EAP(Extensible Authentication Protocol) 기반 인증을 통해 단말 장치 인증, 기지국 장치 인증 그리고 사용자 인증까지 수행할 수 있다. 두 가지 인증 방식을 통해 단말과 기지국은 서로 인증키(AK: Authorization Key)를 공유하게 된다.
보다 구체적으로, 종래 IEEE 802.16 무선 MAN 시스템에서 인증키 식별자를 할당하는 방법에 대해 설명한다.
먼저, RSA 기반의 인증 방식을 지원하는 경우, RSA 기반의 인증이 수행 완료되면 단말과 기지국이 서로 PAK(Primary Authorization Key)를 공유하게 되고, 이 때 공유하는 PAK에 대한 식별자는 기지국이 순차적으로 생성하여 단말로 전달한다. 또한, PAK에 의해 도출되는 인증키에 대한 식별자인 인증키 식별자는 PAK 식별자와 동일한 값을 취한다.
한편, EAP 기반의 인증 방식을 지원하는 경우에는 EAP 기반의 인증이 수행 완료되면 단말과 기지국이 PMK(Pairwise Master Key)를 공유할 수 있다. 만약 단말과 기지국이 EAP 기반 인증 수행 결과로써 PMK를 공유하게 되면 공유하는 PMK에 대한 식별자는 단말과 기지국이 각각 상위 EAP 프로토콜로부터 제공받는 EAP Session ID값으로부터 도출된 값을 취한다. 또한, PMK에 의해 도출되는 인증키에 대한 식별자인 인증키 식별자도 동일한 EAP Session ID값으로부터 도출된 값을 취한다.
이러한 방식에 따라 단말과 기지국이 인증키를 공유한 상태에서, RSA 기반의 인증 방식에서 재인증을 하는 경우 단말과 기지국이 동시에 PAK와 인증키를 두 개씩 가지게 되는데, 이 때 PAK 식별자 및 인증키 식별자는 각각 기지국에서 할당하 므로 두 개의 PAK 식별자로 PAK를 식별할 수 있고, 마찬가지로 두 개의 인증키 식별자를 통해 두 개의 인증키를 식별할 수 있다.
한편, EAP 기반의 인증 방식에서 재인증을 하는 경우 단말과 기지국이 동시에 인증키를 두 개씩 가지게 되는데, 이 때 단말과 기지국에서 EAP Session ID값을 사용하여 각각 자체 도출하는 인증키 식별자를 통해 두 개의 인증키를 식별해야 한다. 그러나, 단말과 기지국이 인증키 식별자를 도출하는데 있어서 입력 데이터로 사용하는 EAP Session ID값은 EAP 기반의 재인증을 수행할지라도 동일한 값을 가지므로, PMK 식별자뿐만 아니라 인증키 식별자도 동일하게 되어 단말과 기지국이 동시에 두 개씩의 PMK와 인증키를 가지게 되는데 이 키들을 구별할 수 없게 되는 문제점이 있다. 따라서, EAP 기반의 인증 방식에서 사용되는 PMK 식별자와 인증키 식별자는 재인증시에 각각 두 개씩 가지고 있는 PMK와 인증키를 구분하지 못하여 EAP 기반의 인증이 정확하게 수행될 수 없다는 문제점이 있다.
또한, 종래의 IEEE 802.16 무선 MAN 시스템 기반의 무선 휴대 인터넷 시스템의 인증키 식별자 할당시에, PAK 식별자와 PMK 식별자 그리고 인증키 식별자들의 사이즈가 길어서 이 식별자들을 포함하고 있는 MAC(Medium Access Control) 메시지들을 전송하는 데에 자원 소모가 커서 비효율적이라는 문제점이 있다.
따라서 단말과 기지국이 서로 공유하는 PAK, PMK 그리고 인증키에 대한 식별자들이 각각의 키들을 식별해주는 역할을 수행해야 할 뿐만 아니라 그 사이즈들도 효율적으로 작아야 할 필요성이 요구된다.
따라서, 본 발명은 상기한 문제점을 해결하고자 하는 것으로, 무선 휴대 인터넷 시스템에서 2개 이상의 인증키를 쉽게 구별할 수 있으며, 또한 그 사이즈 또한 보다 효율적으로 작아진 식별자를 할당하는 방법을 제공한다.
상기 과제를 달성하기 위한 본 발명의 하나의 특징에 따른 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법은,
무선 휴대 인터넷 시스템에서 기지국이 단말과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법으로서,
a) 상기 단말과 인증을 수행하여 인증키를 공유하는 단계; b) 상기 인증키를 식별하기 위한 인증키 식별자를 생성하여 상기 단말로 전달하여 공유하는 단계; c) 상기 단말로부터의 재인증 요청에 따라 인증을 수행하여 상기 단말과 새로운 인증키를 공유하는 단계; 및 d) 상기 새로운 인증키를 식별하기 위한 인증키 식별자를 생성하여 상기 단말로 전달하여 공유하는 단계를 포함한다.
본 발명의 다른 특징에 따른 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법은,
무선 휴대 인터넷 시스템에서 단말이 기지국과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법으로서,
a) 상기 기지국과 인증을 수행하여 인증키를 공유하는 단계; b) 상기 인증키를 식별하기 위한 인증키 식별자를 상기 기지국으로부터 전달받아서 공유하는 단계; c) 상기 기지국으로 재인증을 요청한 후, 상기 기지국과 인증을 수행하여 상기 기지국과 새로운 인증키를 공유하는 단계; 및 d) 상기 새로운 인증키를 식별하기 위한 인증키 식별자를 상기 기지국으로부터 전달받아서 공유하는 단계를 포함한다.
본 발명의 또 다른 특징에 따른 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법은,
무선 휴대 인터넷 시스템에서 기지국이 단말과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법으로서,
a) 상기 단말과 인증을 수행하여 인증키를 공유하는 단계; b) 상기 인증키를 식별하기 위한 인증키 식별자-여기서 인증키 식별자는 상기 기지국에 의해 생성되어 상기 단말로 전달되는 특정 인증키 일련 번호에 의해 생성됨-를 상기 단말과 공유하는 단계; c) 상기 단말로부터의 재인증 요청에 따라 인증을 수행하여 상기 단말과 새로운 인증키를 공유하는 단계; 및 d) 상기 새로운 인증키를 식별하기 위한 새로운 인증키 식별자-여기서 새로운 인증키 식별자는 상기 기지국에 의해 생성되어 상기 단말로 전달되는 새로운 인증키 일련 번호에 의해 생성됨-를 상기 단말과 공유하는 단계를 포함한다.
본 발명의 또 다른 특징에 따른 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법은,
무선 휴대 인터넷 시스템에서 단말이 기지국과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법으로서,
a) 상기 기지국과 인증을 수행하여 인증키를 공유하는 단계; b) 상기 인증키를 식별하기 위한 인증키 식별자-여기서 인증키 식별자는 상기 기지국에서 생성되 어 전달되는 특정 인증키 일련 번호에 의해 생성됨-를 상기 기지국과 공유하는 단계; c) 상기 기지국으로 재인증을 요청한 후, 상기 기지국과 인증을 수행하여 상기 기지국과 새로운 인증키를 공유하는 단계; 및 d) 상기 새로운 인증키를 식별하기 위한 새로운 인증키 식별자-여기서 새로운 인증키 식별자는 상기 기지국에서 생성되어 전달되는 새로운 인증키 일련 번호에 의해 생성됨-를 상기 기지국과 공유하는 단계를 포함한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
도 1은 본 발명이 적용되는 무선 휴대 인터넷의 개요를 도시한 개략도이다.
도 1에 도시된 바와 같이, 무선 휴대 인터넷 시스템은 기본적으로 가입자 단말(Subscribe Station, 10), 가입자 단말(10)과 무선 통신을 수행하는 기지국(Base Station, 20, 21), 기지국(20, 21)에 접속되어 게이트웨이를 통해 접속된 라우터(30, 31) 및 라우터(30, 31)에 접속되어 가입자 단말(10) 및 사용자에 대한 인증을 수행하는 인증 서버(AAA:Authentication Authorization and Accounting Server, 40)를 포함한다.
본 발명의 실시예에 따른 가입자 단말(10)과 기지국(20) 사이에 수행되는 인 증 정책은 PKMv2에 따른 인증 정책들에 기초한다. PKMv2에 따른 인증 정책에는 세 가지의 유형이 있다. 하나는, 단말(10)과 기지국(20)의 장치에 대하여 상호 권한 검증할 수 있는 RSA 기반의 인증 방식이고, 하나는, 상위 EAP 프로토콜을 사용하여 단말 또는 기지국에 대한 장치 인증 및 사용자 인증을 수행하는 EAP 기반의 인증 방식(EAP-based authorization)이다. 또한, 단말과 기지국 장치 인증을 위하여 RSA 기반 인증 방식을 먼저 수행하고 사용자 인증을 위하여 EAP 기반 인증을 수행하는 조합 방식이 있다. 그리고 나머지 하나는, 단말 또는 기지국 장치 인증을 위하여 RSA 기반의 인증 방식 또는 EAP 기반의 인증 방식을 수행하고, 그 결과를 통해 얻게 된 키를 가지고 수행되는 인증된 EAP 기반의 인증 방식(Authenticated EAP-based authorization)이다.
상기한 인증 정책에 따라 본 발명의 제1 실시예에서 인증키 식별자를 할당하는 방법에 대해서 상세하게 설명한다.
도 2는 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서의 인증키 관련 파라미터 집합의 구성을 보여주는 테이블을 도시한 도면이고, 도 3은 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서 RSA 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 2 및 도 3을 참조하면, 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서는 단말(10)과 기지국(20)이 인증 정책으로써 RSA 기반의 인증 방식을 선택한 경우, 단말(10)과 기지국(20) 사이에서는 PKMv2 RSA-Request 메시지(611), PKMv2 RSA-Reply 메시지(612)와 PKMv2 RSA-Acknowledgement 메시지(613)가 사용된 다.
먼저, 단말(10)은 RSA 기반의 인증 정책에 따른 인증 절차를 수행하기 위해 기지국(20)으로 전송하는 PKMv2 RSA-Request 메시지(611)에 단말(10)의 인증서를 포함시킨다.
단말(10)로부터 전송된 PKMv2 RSA-Request 메시지(611)를 수신한 기지국(20)은 단말(10)에 대한 장치 인증을 수행하고, 단말(10)에 대한 장치 인증이 성공적으로 수행되면, 단말(10)에게 기지국(20)의 인증서와 단말(10)의 공개키(public key)로 암호화된 pre-PAK1이 포함된 PKMv2 RSA-Reply 메시지(612)를 전송한다.
기지국(20)에서 전송된 PKMv2 RSA-Reply 메시지(612)를 수신한 단말(10)은 기지국(20)의 인증서를 검증하고, 기지국(20) 장치에 대한 검증이 성공하였을 경우, 기지국(20)에게 PKMv2 RSA-Acknowledgement 메시지(613)를 전송함으로서 RSA 기반의 상호 인증 절차가 완료된다.
이러한 절차를 통해 단말(10)과 기지국(20)은 pre-PAK1을 공유할 수 있게 되고, 이러한 pre-PAK1을 통해 각각 PAK1(Primary AK)을 도출하여 또한 단말(10)과 기지국(20)이 각각 PAK1을 공유한다. 또한, 단말(10)과 기지국(20)은 각각 공유하고 있는 PAK1을 통해 인증키(AK1)를 도출할 수 있으므로 동일한 인증키(AK1)를 공유할 수 있다.
한편, 기지국(20)은 PAK1을 식별할 수 있는 PAK 식별자(PAK Sequence Number, PAK_SN1)를 생성하고 PAK 식별자가 포함된 PKMv2 RSA-Reply 메시지(612)를 단말(10)에게 전송함으로써, 단말(10)과 기지국(20)이 PAK 식별자(PAK_SN1)도 공유하게 된다. 이 때, 단말(10)과 기지국(20)에 의해 공유되는 PAK 식별자(PAK_SN1)는 8비트의 사이즈를 가지도록 설정된다. 즉, 기지국(20)이 PAK 식별자(PAK_SN1)를 생성하여 단말(10)로 할당할 때 8비트의 사이즈가 되도록 하며, 보다 구체적으로 8비트의 PAK 식별자(PAK_SN1) 중에서 상위 4비트는 0으로 항상 세팅하고 나머지 하위 4비트만이 유효하도록 한다. 또한, 하위 4비트는 PAK가 갱신될 때마다 기지국(20)에 의해 하나씩 증가된 후 모듈로 16을 한 값이 취해진다.
또한, 기지국(20)은 단말(10)로 PKMv2 RSA-Reply 메시지(612)를 보낼 때 PAK 유효 시간(lifetime)을 함께 보냄으로써, 단말(10)과 기지국(20)이 PAK 유효 시간도 공유할 수 있다.
한편, 상기와 같은 RSA 기반의 인증이 수행된 후, 인증키의 식별자인 인증키 일련번호(AK Sequence Number), SA-ID(Security Association Identifier)와 각각의 SA마다 사용될 알고리즘들을 단말(10)과 기지국(20)이 알아야 되는데, 이를 위해 단말(10)과 기지국(20) 사이에 3-Way SA-TEK 교환 절차가 사용된다.
먼저, RSA 기반의 인증 정책을 통해 인증키를 도출한 기지국(20)은 단말(10)로 인증키의 일련번호(AK_SN1)와 유효 시간이 포함된 PKMv2 SA-TEK-Challenge 메시지(614)를 전송한다.
이를 수신한 단말(10)은 기지국(20)으로 단말(10) 자신이 지원 가능한 암호화 알고리즘들을 알려주기 위해서 PKMv2 SA-TEK-Request 메시지(615)를 전송한다.
다음, 단말(10)로부터 PKMv2 SA-TEK-Request 메시지(615)를 수신한 기지국(20)은 단말(10)에게 제공 가능한 primary SA와 다수개의 static SA들에 해당하는 SA-ID와 알고리즘을 PKMv2 SA-TEK-Response 메시지(616)를 통해 알려줌으로써 3-Way SA-TEK 절차가 완료된다.
이와 같은 절차를 통해, 단말(10)과 기지국(20)은 서로 인증키 식별자(AK_SN1)를 공유하며, 이 때 공유되는 인증키 식별자(AK_SN1)는 8비트의 사이즈를 가지도록 설정된다. 즉, 기지국(20)이 인증키 식별자(AK_SN1)를 생성하여 단말(10)로 할당할 때 8비트의 사이즈가 되도록 하며, 보다 구체적으로 8비트의 인증키 식별자(AK_SN1) 중에서 상위 4비트는 0으로 항상 세팅하고 나머지 하위 4비트만이 유효하도록 한다. 또한, 하위 4비트는 인증키가 갱신될 때마다 기지국(20)에 의해 하나씩 증가된 후 모듈로 16을 한 값이 취해진다.
한편, 단말(10)은 기지국(20)과 공유하고 있는 PAK 유효 시간이 만료되기 전에 RSA 기반의 재인증을 수행하여야 한다.
이를 위해 단말(10)은 PKMv2 RSA-Request 메시지(611-1)를 기지국(20)으로 보내 RSA 기반의 재인증을 시도한다.
기지국(20)은 단말(10)로부터 재인증 요청을 받아서 새로운 PAK2를 도출할 수 있는 pre-PAK2와 새로운 PAK2를 식별할 수 있는 PAK 식별자(PAK_SN2)를 할당하여 PKMv2 RSA_Reply 메시지(612-1)를 통해 단말(10)에게 전달한다.
다음, 기지국(20)에서 전송된 PKMv2 RSA-Reply 메시지(612)를 수신한 단말(10)에서 기지국(20)에 대한 검증이 성공하였을 경우, 단말(10)이 기지국(20)에게 PKMv2 RSA-Acknowledgement 메시지(613-1)를 전송함으로서 RSA 기반의 재인증 절차가 완료된다.
따라서, 단말(10)과 기지국(20)은 재인증을 통해 생성된 PAK2와 PAK 식별자(PAK_SN2)에 대해서도 서로 공유할 수 있고, 또한, PAK2를 통해 인증키(AK2)를 도출할 수 있으므로 동일한 인증키(AK2)도 새로이 공유할 수 있다.
여기서, 기지국(20)은 새로운 PAK 식별자(PAK_SN2)에 대해 이전의 PAK 식별자(PAK_SN1)와 마찬가지로 8비트의 사이즈가 되도록 하며, RSA 기반 인증 절차가 성공적으로 완료되어 새로운 PAK 식별자(PAK_SN2)를 생성할 때마다 PAK 식별자(PAK_SN2)의 하위 4비트를 1씩 증가시키고 모듈로(modulo) 16을 취하여 생성한다. 즉, 이전의 PAK 식별자(PAK_SN1)가 예를 들어 '00001001'인 경우, 새로이 할당되는 PAK 식별자(PAK_SN2)는 '00001010'의 값을 갖는다. 이처럼 RSA 기반 재인증이 성공한 경우에 있어서, 이전 PAK 식별자(PAK_SN1)가 만료되기 전까지 단말(10)과 기지국 (20)이 동시에 두 개의 PAK(PAK1, PAK2)를 가지게 되는데, 각각의 PAK에 대해 서로 다른 PAK 식별자(PAK_SN1, PAK_SN2)를 가지고 있기 때문에 두 개의 PAK를 쉽게 구별 가능하게 되는 것이다.
한편, 단말(10)과 기지국(20)은 RSA 기반의 재인증 절차를 완료한 후에 다시 3-Way SA-TEK 교환 절차를 수행한다.
RSA 기반의 재인증을 통해 인증키(AK2)를 도출한 기지국(20)은 단말(10)로 새로운 인증키(AK2)를 식별하기 위한 인증키 식별자에 해당하는 인증키 일련번호(AK_SN2)가 포함된 PKMv2 SA-TEK-Challenge 메시지(614-1)를 전송한다.
이를 수신한 단말(10)이 기지국(20)으로 단말(10) 자신이 지원 가능한 암호화 알고리즘들을 알려주기 위해서 PKMv2 SA-TEK-Request 메시지(615-1)를 전송하면, 기지국(20)은 단말(10)에게 제공 가능한 primary SA와 다수개의 static SA들에 해당하는 SA-ID와 알고리즘을 PKMv2 SA-TEK-Response 메시지(616-1)를 통해 알려줌으로써 재인증을 위한 3-Way SA-TEK 절차가 완료된다.
이와 같은 절차를 통해, 단말(10)과 기지국(20)은 새로운 인증키(AK2)에 대한 인증키 식별자(AK_SN2)를 공유하며, 이 때 공유되는 인증키 식별자(AK_SN2)도 이전의 인증키 식별자(AK_SN1)와 마찬가지로 8비트의 사이즈를 가지도록 설정된다. 이 때, 기지국(20)이 인증키 식별자(AK_SN2)를 생성하여 단말(10)로 할당할 때 새로 운 인증키 식별자(AK_SN2)를 생성할 때마다 인증키 식별자(AK_SN2)의 하위 4비트를 1씩 증가시키고 모듈로 16을 취하여 생성한다. 예를 들어, 이전의 인증키 식별자(PAK_SN1)가 '00000011'인 경우, 새로이 할당되는 인증키 식별자(AK_SN2)는 '00000100'의 값을 갖는다. 이처럼 RSA 기반 재인증이 성공한 경우에 있어서, 이전 인증키 식별자(AK_SN1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 인증키(AK1, AK2)를 가지게 되는데, 각각의 인증키에 대해 서로 다른 인증키 식별자(AK_SN1, AK_SN2)를 가지고 있기 때문에 두 개의 인증키를 쉽게 구별 가능하게 되는 것이다.
한편, 도 4는 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서 EAP 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 2 및 도 4를 참조하면, 본 발명의 제1 실시예에 따른 무선 휴대 인터넷 시스템에서는 단말(10)과 기지국(20)이 인증 정책으로써 EAP 기반의 인증 방식을 선택한 경우, 단말(10)과 기지국(20) 사이에서는 PKMv2 EAP-Start 메시지(411)와 PKMv2 EAP-Transfer 메시지(412)가 사용된다. 게다가, 선택적으로 PKMV2 EAP-Transfer-Complete 메시지(413)가 사용될 수도 있다.
먼저, 단말(10)은 망의 EAP 메소드(method) 프로토콜에게 EAP 기반 인증 절차의 시작을 통보하기 위하여 기지국(20)으로 PKMv2 EAP-start 메시지(411)를 전송한다.
이를 수신한 기지국(20)은 망의 EAP 메소드 프로토콜에 EAP 인증 절차 시작을 통보한다. 그 후, EAP 메소드 프로토콜의 절차에 따라 여러 번의 PKMv2 EAP-Transfer 메시지(412)가 단말(10)과 기지국(20) 사이에서 전달된다. 즉, 단말(10)과 기지국(20)의 MAC(Medium Access Control)은 PKMv2 EAP-Transfer 메시지(412)를 통해 EAP 메소드에서 사용되는 EAP 페이로드(payload)만을 단순하게 상대 노드에 전달한다. EAP 기반 인증이 성공되었을 경우 단말(10)은 이를 기지국(20)으로 통보하기 위해서 PKMV2 EAP-Transfer-Complete 메시지(413)를 전송한다. 경우에 따라서는 이 PKMV2 EAP-Transfer-Complete 메시지(413)를 전송하지 않고도 EAP 기반 인증 절차가 완료될 수 있다.
사용하는 EAP 메소드가 EAP-TLS(Transport Layer Security)와 같이 키를 생성하는 프로토콜인 경우에는, 이 절차를 통해 단말(10)과 기지국(20)은 AAA-key1을 공유할 수 있게 되고, 이러한 AAA-key1을 통해 각각 PMK1(Pairwise Master Key)을 도출하여 또한 단말(10)과 기지국(20)이 PMK1을 공유하게 된다. 또한, 단말(10)과 기지국(20)은 각각 공유하고 있는 PMK1을 통해 인증키(AK1)를 도출할 수 있으므로 동일한 인증키(AK1)를 각각 공유할 수 있다.
한편, 상기와 같은 EAP 기반의 인증이 수행된 후, 인증키의 식별자인 인증키 일련번호(AK Sequence Number), SA-ID(Security Association Identifier)와 각각의 SA마다 사용될 알고리즘들을 단말(10)과 기지국(20)이 알아야 되는데, 이를 위해 단말(10)과 기지국(20) 사이에 3-Way SA-TEK 교환 절차가 사용된다.
먼저, EAP 기반의 인증 정책을 통해 인증키(AK1)를 도출한 기지국(20)은 단말(10)로 PMK 유효 시간과 인증키의 일련번호(AK_SN1)가 포함된 PKMv2 SA-TEK-Challenge 메시지(414)를 전송한다.
이로써, 단말(10)과 기지국(20)이 PMK 유효 시간도 공유할 수 있게 된다. 이 때, 기지국(20)은 PMK 유효 시간에 대해 EAP 메소드 프로토콜로부터 받거나 사업자가 규정한 값을 사용함으로써, 어떠한 경우에도 PMK 유효 시간이 할당되지 않는 경우가 없게 된다.
이를 수신한 단말(10)은 기지국(20)으로 단말(10) 자신이 지원 가능한 암호화 알고리즘들을 알려주기 위해서 PKMv2 SA-TEK-Request 메시지(415)를 전송한다.
다음, 단말(10)로부터 PKMv2 SA-TEK-Request 메시지(415)를 수신한 기지국(20)은 단말(10)에게 제공 가능한 primary SA와 다수개의 static SA들에 해당하는 SA-ID와 알고리즘을 PKMv2 SA-TEK-Response 메시지(416)를 통해 알려줌으로써 3-Way SA-TEK 절차가 완료된다.
이와 같은 절차를 통해, 단말(10)과 기지국(20)은 서로 인증키 식별자(AK_SN1)를 공유하며, 이 때 공유되는 인증키 식별자(AK_SN1)는 8비트의 사이즈를 가지도록 설정된다. 즉, 기지국(20)이 인증키 식별자(AK_SN1)를 생성하여 단말(10)로 할당할 때 8비트의 사이즈가 되도록 하며, 보다 구체적으로 8비트의 인증키 식 별자(AK_SN1) 중에서 상위 4비트는 0으로 항상 세팅하고 나머지 하위 4비트만이 유효하도록 한다. 또한, 하위 4비트는 인증키가 갱신될 때마다 기지국(20)에 의해 하나씩 증가된 후 모듈로 16을 한 값이 취해진다.
한편, 단말(10)은 기지국(20)은 공유하고 있는 PMK 유효 시간이 만료되기 전에 EAP 기반의 재인증을 수행하여야 한다.
이를 위해 단말(10)은 망의 EAP 메소드(method) 프로토콜에게 EAP 기반의 재인증 절차의 시작을 통보하기 위하여 기지국(20)으로 PKMv2 EAP-start 메시지(411-1)를 전송한다.
이를 수신한 기지국(20)은 망의 EAP 메소드 프로토콜에 EAP 재인증 절차 시작을 통보한다. 그 후, EAP 메소드 프로토콜의 절차에 따라 여러 번의 PKMv2 EAP-Transfer 메시지(412-1)가 단말(10)과 기지국(20) 사이에서 전달된다. EAP 기반 인증이 성공되었을 경우 단말(10)은 이를 기지국(20)으로 통보하기 위해서 PKMV2 EAP-Transfer-Complete 메시지(413-1)를 전송한다. 경우에 따라서는 이 PKMV2 EAP-Transfer-Complete 메시지(413-1)를 전송하지 않고도 EAP 기반 인증 절차가 완료될 수 있다.
이 과정에서 단말(10)과 기지국(20)은 AAA-key2를 공유할 수 있게 되고, 이러한 AAA-key2를 통해 각각 새로운 PMK2를 도출하여 단말(10)과 기지국(20)이 PMK2를 공유하게 된다. 또한, 단말(10)과 기지국(20)은 각각 공유하고 있는 PMK2를 통 해 새로운 인증키(AK2)를 도출할 수 있으므로 동일한 인증키(AK2)를 각각 공유할 수 있다. 한편, EAP 기반의 인증 정책에서는 재인증이 수행되어 새로운 PMK2가 생성되어 공유되는 경우, 상위의 EAP 메소드 프로토콜에서는 이전의 PMK1은 제거되고 새로운 PMK2만 사용되는 것으로 설정하므로, 단말(10)과 기지국(20)의 MAC에서도 이러한 상위 EAP 메소드 프로토콜 특징을 수용할 경우 2개의 PMK, 즉 PMK1과 PMK2를 식별하기 위한 식별자가 별도로 존재하지 않아도 된다. 즉, PMK 식별자에 대해서는 별도의 정의가 필요하지 않은 것이다.
한편, 단말(10)과 기지국(20)은 EAP 기반의 재인증 절차를 완료한 후에 다시 재인증을 위한 3-Way SA-TEK 교환 절차를 수행한다.
EAP 기반의 재인증을 통해 인증키(AK2)를 도출한 기지국(20)은 단말(10)로 새로운 인증키(AK2)를 식별하기 위한 인증키 식별자에 해당하는 인증키 일련번호(AK_SN2)와 PMK 유효 시간이 포함된 PKMv2 SA-TEK-Challenge 메시지(414-1)를 전송한다.
이를 수신한 단말(10)이 기지국(20)으로 단말(10) 자신이 지원 가능한 암호화 알고리즘들을 알려주기 위해서 PKMv2 SA-TEK-Request 메시지(415-1)를 전송하면, 기지국(20)은 단말(10)에게 제공 가능한 primary SA와 다수개의 static SA들에 해당하는 SA-ID와 알고리즘을 PKMv2 SA-TEK-Response 메시지(416-1)를 통해 알려줌으로써 재인증을 위한 3-Way SA-TEK 절차가 완료된다.
이와 같은 절차를 통해, 단말(10)과 기지국(20)은 새로운 인증키(AK2)에 대한 인증키 식별자(AK_SN2)를 공유하며, 이 때 공유되는 인증키 식별자(AK_SN2)도 이전의 인증키 식별자(AK_SN1)와 마찬가지로 8비트의 사이즈를 가지도록 설정된다. 이 때, 기지국(20)이 인증키 식별자(AK_SN2)를 생성하여 단말(10)로 할당할 때 새로운 인증키 식별자(AK_SN2)를 생성할 때마다 인증키 식별자(AK_SN2)의 하위 4비트를 1씩 증가시키고 모듈로 16을 취하여 생성한다. 예를 들어, 이전의 인증키 식별자(AK_SN1)가 '00000010'인 경우, 새로이 할당되는 인증키 식별자(AK_SN2)는 '00000011'의 값을 갖는다. 이처럼 EAP 기반 재인증이 성공한 경우에 있어서, 이전 인증키 식별자(AK_SN1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 인증키(AK1, AK2)를 가지게 되는데, 각각의 인증키에 대해 서로 다른 인증키 식별자(AK_SN1, AK_SN2)를 가지고 있기 때문에 두 개의 인증키를 쉽게 구별 가능하게 되는 것이다.
상기한 바와 같이, 본 발명의 제1 실시예에 따르면 종래의 IEEE 802.16e 무선 MAN 기반 휴대 인터넷 서비스의 PKMv2에서 정의된 각 키들의 식별자(PAK 식별자와 인증키 식별자)와 PMK 유효 시간의 잘못된 문제점이 해결된다. 즉, EAP 메소드 프로토콜 내에 PMK 유효 시간에 대한 정의가 되어 있는 경우에는 정의된 유효시간을 사용하면 되지만, 그렇지 않은 경우, 즉 EAP 메소드 프로토콜 내에 PMK 유효 시 간이 정의되어 있지 않은 경우에는 사업자가 규정한 PMK 유효 시간을 사용함으로써 EAP 기반의 재인증이 효율적으로 수행될 수 있다.
또한, PAK 식별자 및 인증키 식별자들의 사이즈를 64비트에서 8비트로 줄임으로써 무선 구간에서 식별자 전송 시의 효율성을 높였다.
또한, PMK에 의해 도출되는 인증키 식별자를 EAP session ID값을 이용하지 않고 인증키가 갱신될 때마다 1씩 증가되도록 기지국(10)이 생성하여 단말(10)에게 할당함으로써 인증키 식별자를 통해 2개의 인증키에 대한 식별이 가능하게 되었다.
한편, 상기에서는 RSA 기반의 인증 절차와 EAP 기반의 인증 절차가 어느 하나만 수행되는 경우에 대해서 설명하였으며, 이하 RSA 기반의 인증 절차와 EAP 기반의 인증 절차 또는 인증된 EAP 기반의 인증 절차가 모두 수행되는 경우에 대해서 설명한다.
RSA 기반의 인증 절차와 EAP 기반의 인증 절차 또는 인증된 EAP 기반의 인증절차가 모두 수행되는 경우에는, 먼저 도 3을 참조하여 설명한 바와 마찬가지로 RSA 인증 절차(311, 312, 313)를 통해서 단말(10)과 기지국(20)이 PAK1, PAK 유효 시간(lifetime) 그리고 PAK 식별자(PAK_SN1)를 공유하게 되고, 그 후에 도 4를 참조하여 설명한 바와 마찬가지로 EAP 인증 절차(411, 412, 413)를 통해서 PMK1을 공유하게 된다. 여기에서, EAP 인증 절차(411, 412, 413) 대신에 인증된 EAP 인증 절차가 수행될 경우에 있어서, 인증된 EAP 인증 절차를 통해서 PMK1 을 공유하게 된다.
인증된 EAP 인증 절차에는 PKMv2 EAP-Start 메시지(411)와 선택적으로 PKMv2 EAP-Trasnfer-Complete 메시지(413)가 사용된다. 하지만, EAP 인증 절차 중의 PKMv2 EAP-Transfer 메시지(412) 대신에 메시지 인증 기능이 추가된 PKMv2 Authenticated-EAP-Transfer 메시지가 사용되는 것이다. 이와 같이 공유되는 PAK1과 PMK1을 결합하여 인증키(AK1)가 도출되므로, 단말(10)과 기지국(20)은 마찬가지로 인증키(AK1)도 공유하게 된다. 이 때, 단말(10)과 기지국(20)에서 서로 공유되는 PAK 식별자(PAK_SN1)는 앞에서 설명한 바와 마찬가지로 8비트의 사이즈를 가지며, 상위 4비트는 0으로 항상 세팅하고 나머지 하위 4비트만이 유효하도록 생성된다. 하지만, PMK 식별자는 존재하지 않는다.
그 후, 도 3 및 도 4를 참조하여 설명한 바와 마찬가지로, 3-Way SA-TEK 교환 절차를 통해 기지국(20)에서 인증키 일련번호(AK_SN1)를 생성하여 단말(10)로 할당하여 서로 공유하게 된다. 이 때, 단말(10)과 기지국(20)에서 서로 공유되는 인증키 식별자(AK_SN1)는 앞에서 설명한 바와 마찬가지로 8비트의 사이즈를 가지며, 상위 4비트는 0으로 항상 세팅하고 나머지 하위 4비트만이 유효하도록 생성된다.
상기 RSA 기반 인증 절차를 통해 단말(10)과 기지국(20)은 PAK 유효 시간을 공유하게 되고 상기 3-Way SA-TEK 교환 절차를 통해 단말(10)과 기지국(20)은 PMK 유효 시간을 공유하게 된다.
상기한 바와 같이 RSA 기반 인증 절차와 EAP 기반 인증 절차 또는 인증된 EAP 기반 인증 절차를 동시에 수행하는 경우에 있어서, 이전의 PAK 유효 시간과 PMK 유효 시간이 독립적인 값이기 때문에 RSA 기반 재인증 절차나 EAP 기반 재인증 절차가 독립적으로 발생할 수 있다.
PAK 유효 시간이 만료되기 전에 RSA 기반 재인증 절차를 수행하게 되는데, RSA 기반 재인증 절차를 통해 단말(10)과 기지국(20)은 새로운 PAK2와 새로운 PAK 식별자(PAK_SN2)를 공유하게 되고, 후에 연달아 수행되는 3-Way SA-TEK 절차를 통해 새로운 인증키 식별자(AK_SN2)를 공유하게 되고 기존에 공유하고 있던 PMK1을 가지고 새로운 인증키(AK2)를 생성하고 공유하게 된다.
PMK 유효 시간이 만료되기 전에 EAP 기반 재인증 절차를 수행하게 되는데, EAP 기반 재인증 절차를 통해 단말(10)과 기지국(20)은 새로운 PMK2를 공유하게 되고, 후에 연달아 수행되는 3-Way SA-TEK 절차를 통해 새로운 인증키 식별자(AK_SN2)를 공유하게 되고 기존에 공유하고 있던 PAK1과 PAK 식별자(PAK_SN1)를 가지고 새로운 인증키(AK2)를 생성하고 공유하게 된다.
이와 같이 다양한 재인증 절차를 수행하였을 경우에 PAK 식별자(PAK_SN1, PAK_SN2)를 가지고 두 개의 PAK(PAK1, PAK2)를 구별하고, 인증키 식별자(AK_SN1, AK_SN2)를 가지고 두 개의 인증키(AK1, AK2)를 구별할 수 있게 된다. 여기에서, EAP 기반 재인증의 경우 새로운 PMK(PMK2)가 생성되었을 때 기존의 PMK(PMK1)를 바 로 폐기하고 새로이 생성된 PMK(PMK2)를 바로 사용하는 상위 EAP 인증 프로토콜 특성을 단말(10)과 기지국 MAC(20)에서도 적용할 경우에는 단말(10)과 기지국(20)이 어떠한 순간에도 하나의 PMK만을 공유하고 있기 때문에 PMK 식별자가 필요하지 않게 된다. 또한, 이 때의 PAK 식별자(PAK_SN2)와 인증키 식별자(AK_SN2)가 8비트의 사이즈를 갖도록 설정된다.
이와 같은 재인증 절차에 대해서는 도 3 및 도 4를 참조하여 앞에서 설명한 내용을 참조하는 경우 쉽게 이해될 수 있으므로 여기에서는 상세한 설명을 생략한다.
상기한 바와 같이, 본 발명의 제1 실시예에 따르면 종래의 IEEE 802.16e 무선 MAN 기반 휴대 인터넷 서비스의 PKMv2에서 정의된 각 키들의 식별자와 PMK 유효시간의 잘못된 문제점이 해결된다. 즉, EAP 메소드 프로토콜 내에 PMK 유효 시간에 대한 정의가 되어 있는 경우에는 정의된 유효시간을 사용하면 되지만, 그렇지 않은 경우, 즉 EAP 메소드 프로토콜 내에 PMK 유효 시간이 정의되어 있지 않은 경우에는 사업자가 규정한 PMK 유효 시간을 사용함으로써 EAP 기반의 재인증이 효율적으로 수행될 수 있다.
또한, PAK 식별자와 인증키 식별자들의 사이즈를 64비트에서 8비트로 줄임으로써 무선 구간에서 식별자 전송 시의 효율성을 매우 높였다.
이하, 본 발명의 제2 실시예에서 인증키 식별자를 할당하는 방법에 대해서 상세하게 설명한다.
도 5는 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서 PKMv2의 인증키 관련 파라미터 집합의 구성을 보여주는 테이블을 도시한 도면이고, 도 6은 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서의 RSA 기반의 인증 정책에 따른 인증 절차 흐름도이다.
본 발명의 제2 실시예에서 수행되는 인증 정책과 이에 따른 인증키를 비롯한 각종 키의 식별자를 할당하는 방법은 도 2 내지 도 4를 참조하여 설명한 본 발명의 제1 실시예에서와 유사하므로, 본 발명의 제2 실시예에서는 본 발명의 제1 실시예에서와 다른 내용에 대해서만 설명한다.
도 5 및 도 6을 참조하면, 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서도 단말(10)과 기지국(20)이 인증 정책으로써 RSA 기반의 인증 방식을 선택할 경우, 단말(10)과 기지국(20)은 PKMv2 RSA-Request 메시지(811), PKMv2 RSA-Reply 메시지(812)와 PKMv2 RSA-Acknowledgement 메시지(813)를 사용하여 기지국(20)과 단말(10)에 대한 상호 인증을 수행한다.
이러한 상호 인증이 성공하게 되면 단말(10)과 기지국(20)은 PKMv2 RSA-Reply 메시지(812)를 통해 pre-PAK1, PAK 유효 시간(lifetime) 그리고 PAK 식별자(PAK_SN1)를 공유하게 된다. 또한, 단말(10)과 기지국(20)은 서로 공유하고 있는 pre-PAK1을 통해 각각 PAK1(Primary AK)을 도출하여 공유하고, 이러한 PAK1을 통해 인증키(AK1)를 도출할 수 있으므로 또한 동일한 인증키(AK1)를 공유할 수 있다. 이 때, 단말(10)과 기지국(20)에 의해 공유되는 PAK 식별자(PAK_SN1)는 4비트의 사이즈를 가지도록 설정된다. 즉, 기지국(20)이 PAK 식별자(PAK_SN1)를 생성하여 단말(10)로 할당할 때 4비트의 사이즈가 되도록 하며, 보다 구체적으로 4비트의 PAK 식별자(PAK_SN1) 중에서 상위 2비트는 0으로 항상 세팅하고 나머지 하위 2비트만이 유효하도록 한다. 또한, 하위 2비트는 PAK가 갱신될 때마다 기지국(20)에 의해 하나씩 증가된 후 모듈로 4를 한 값이 취해진다.
또한, 단말(10)과 기지국(20)은 본 발명의 제1 실시예에서와 마찬가지로 3-Way SA-TEK 교환 절차, 특히 PKMv2 SA-TEK-Challenge 메시지(814)를 통해 인증키 일련번호(AK_SN1)를 공유하게 된다. 그러나, 본 발명의 제1 실시예에서와 다른 점은 인증키 일련번호(AK_SN1)가 상기한 PAK 식별자(PAK_SN1)와 동일하게 할당된다는 점이다. 즉, 기지국(20)은 인증키 일련번호(AK_SN1)를 생성하여 단말(10)로 할당할 때 이미 할당된 PAK 식별자(PAK_SN1)의 값을 그대로 사용하여 할당한다. 따라서, 인증키 일련번호(AK_SN1)도 4비트의 사이즈를 가지며, 보다 구체적으로 4비트의 인증키 일련번호(AK_SN1) 중에서 상위 2비트는 0으로 항상 세팅하고 나머지 하위 2비트가 PAK 식별자(PAK_SN1)와 동일하도록 설정된다.
한편, 본 발명의 제2 실시예가 본 발명의 제1 실시예와 또 다른 점은 인증키를 식별하기 위해 상기한 인증키 일련번호(AK_SN1)를 사용하는 것이 아니라 인증키 식별자(AK Identification:AKID1)가 사용되고, 이 인증키 식별자(AKID1)는 이미 할당되어 공유되거나 사전에 미리 알려져 있는 인증키 일련번호(AK_SN1), 인증키(AK1), 단말 MAC 주소(SSID) 및 기지국 식별자(BSID)를 사용하여 생성한다는 점이다. 단말 MAC 주소(SSID)와 기지국 식별자(BSID)는 사전에 미리 알려져 있는 값이므로, RSA 기반 인증 절차와 3-Way SA-TEK 교환 절차를 거친 후에 공유되는 인증키(AK1)와 인증키 일련번호(AK_SN1)가 결정되면 이에 대응되는 인증키 식별자(AKID1)도 결정되어 단말(10)과 기지국(20)에서 서로 공유될 수 있다.
한편, 단말(10)은 기지국(20)은 서로 공유하고 있는 PAK 유효 시간이 만료되기 전에 RSA 기반의 재인증을 수행하여 새로운 PAK2, 인증키(AK2) 및 PAK 식별자(PAK_SN2)를 생성하여 서로 공유하여야 함은 본 발명의 제1 실시예에서 이미 설명한 바와 같다. 즉, 단말(10)과 기지국(20)이 PKMv2 RSA-Request 메시지(811-1), PKMv2 RSA-Reply 메시지(812-1)와 PKMv2 RSA-Acknowledgement 메시지(813-1)를 사용하여 기지국(20)과 단말(10)에 대한 상호 인증을 수행한 후, 새로운 PAK2, 인증키(AK2) 및 PAK 식별자(PAK_SN2)를 공유할 수 있음은 본 발명의 제1 실시예에서 설명한 바와 동일하므로 여기에서는 상세한 설명을 생략한다.
다만, 재인증 절차를 통해 단말(10)과 기지국(20)에서 새로이 공유되는 PAK 식별자(PAK_SN2)가 4비트의 사이즈를 가지도록 할당되는 것이 다르다. 즉, 상위 2비 트는 0으로 항상 세팅하고 나머지 하위 2비트만이 유효하도록 할당되고, RSA 기반 인증 절차가 성공적으로 완료되어 새로운 PAK 식별자(PAK_SN2)를 생성할 때마다 PAK 식별자(PAK_SN2)의 하위 2비트를 1씩 증가시키고 모듈로(modulo) 4를 취하여 생성한다는 점이 다르다. 예를 들어, 이전의 PAK 식별자(PAK_SN1)가 '0001'인 경우, 새로이 할당되는 PAK 식별자(PAK_SN2)는 '0010'의 값을 갖는다. 이처럼 RSA 기반 재인증이 성공한 경우에 있어서, 이전 PAK 식별자(PAK_SN1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 PAK(PAK1, PAK2)를 가지게 되는데, 각각의 PAK에 대해 서로 다른 PAK 식별자(PAK_SN1, PAK_SN2)를 가지고 있기 때문에 두 개의 PAK를 쉽게 구별 가능하게 되는 것이다.
또한, 단말(10)과 기지국(20)이 재인증을 위한 3-Way SA-TEK 교환 절차를 수행하여 새로운 인증키 일련번호(AK_SN2)를 생성하여 서로 공유하여야 함은 본 발명의 제1 실시예에서 이미 설명한 바와 같다. 즉, 단말(10)과 기지국(20)이 PKMv2 SA-TEK-Challenge 메시지(814-1), PKMv2 SA-TEK-Request 메시지(815-1) 및 PKMv2 SA-TEK-Response 메시지(816-1)를 사용하여 새로운 인증키 식별자(AK_SN2)를 공유할 수 있음은 본 발명의 제1 실시예에서 설명한 바와 동일하므로 여기에서는 상세한 설명을 생략한다.
다만, 재인증 절차를 통해 단말(10)과 기지국(20)에서 새로이 공유되는 인증 키 일련번호(AK_SN2)가 PAK 식별자(PAK_SN2)와 동일한 값을 가지도록 할당되는 것이 다르다. 즉, 인증키 일련번호(AK_SN2) 중에서 상위 2비트는 0으로 항상 세팅되고 나머지 하위 2비트가 PAK 식별자(PAK_SN2)와 동일하도록 설정된다.
이와 같이, 재인증 절차를 통해 새로이 공유되는 인증키(AK2)와 인증키 일련번호(AK_SN2)에 의해 실제로 인증키(AK2)를 식별하기 위한 새로운 인증키 식별자(AKID2)도 생성되어 단말(10)과 기지국(20)에서 공유될 수 있다. 이처럼 RSA 기반 재인증이 성공한 경우에 있어서, 이전 인증키 식별자(AKID1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 인증키(AK1, AK2)를 가지게 되는데, 각각의 인증키에 대해 서로 다른 인증키 식별자(AKID1, AKID2)를 가지고 있기 때문에 두 개의 인증키를 쉽게 구별 가능하게 되는 것이다.
한편, 도 7은 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서의 EAP 기반의 인증 정책에 따른 인증 절차 흐름도이다.
도 5 및 도 7을 참조하면, 본 발명의 제2 실시예에 따른 무선 휴대 인터넷 시스템에서도 단말(10)과 기지국(20)이 인증 정책으로써 EAP 기반의 인증 방식을 선택할 경우, 단말(10)과 기지국(20)은 PKMv2 EAP-Start 메시지(711)와 PKMv2 EAP-Transfer 메시지(712)를 사용하여 기지국(20)과 단말(10)에 대한 인증을 수행한다. 게다가, 선택적으로 PKMV2 EAP-Transfer-Complete 메시지(713)가 사용될 수도 있 다.
이러한 인증이 성공하게 되면 단말(10)과 기지국(20)은 PMK1과, 이러한 PMK1을 통해 도출되는 인증키(AK1)를 공유하게 된다.
한편, 본 발명의 제1 실시예에서는 EAP 기반의 인증 정책에 따라 재인증시 PMK가 새로이 생성되는 경우 이전의 PMK는 제거하고 하나의 PMK만 남겨서 사용하는 것으로 설정하였으므로, 2개의 PMK가 존재하는 경우가 없게 되어 PMK 식별자(PMK Sequence Number:PMK_SN)에 대해서는 규정하지 않았다.
그러나, 본 발명의 제2 실시예에서는 EAP 기반의 인증 정책에 따라 상위의 EAP 메소드 프로토콜에서는 재인증시 PMK가 새로이 생성되는 경우 이전의 PMK는 제거하고 하나의 PMK만 남겨서 사용하는 것으로 설정하지만, 단말(10)과 기지국(20)의 MAC 계층에서는 재인증시 여전히 이전의 PMK와 새로이 생성되는 PMK가 저장 관리하기 때문에 이들을 식별할 PMK 식별자(PMK_SN)에 대해 규정하고 있다.
따라서, 기지국(20)은 PMK를 식별하기 위한 PMK 식별자(PMK_SN1)를 생성하지만 EAP 기반의 인증 절차를 통해서 단말(10)로 할당하지는 않는다. 여기서, 기지국(20)에 생성되는 PMK 식별자(PMK_SN1)도 앞에서 설명한 PAK 식별자(PAK_SN)와 마찬가지로 4비트의 사이즈를 가지도록 설정되지만, 구체적으로는 4비트의 PMK 식별자(PMK_SN1) 중에서 하위 2비트는 0으로 항상 세팅하고 나머지 상위 2비트만이 유효하도록 하여 PAK 식별자(PAK_SN)와는 그 사용되는 위치가 다르도록 한다. 또한, 상위 2비트는 PMK가 갱신될 때마다 기지국(20)에 의해 하나씩 증가된 후 모듈로 4를 한 값이 취해진다. 이것은 RSA 기반의 인증과 EAP 기반의 인증을 모두 수행하는 경우를 대비한 것으로 추후 설명하기로 한다.
다음, 단말(10)과 기지국(20)은 도 6을 참조하여 설명한 본 발명의 제2 실시예의 RSA 기반의 인증 절차에서와 유사하게 3-Way SA-TEK 교환 절차, 특히 PKMv2 SA-TEK-Challenge 메시지(714)를 통해 인증키 일련번호(AK_SN1)를 공유하게 되고, PMK 식별자(PMK_SN1)와 동일한 4비트의 값이 인증키 일련번호(AK_SN1)로 할당된다. 기지국(20)이 PMK 식별자를 단말(10)에게 전달하기 위해서 EAP 기반 인증 절차를 사용하지 않고 3-way SA-TEK 교환 절차를 사용한다. 따라서, 인증키 일련번호(AK_SN1)도 4비트의 사이즈를 가지며, 보다 구체적으로 4비트의 인증키 일련번호(AK_SN1) 중에서 하위 2비트는 0으로 항상 세팅하고 나머지 상위 2비트가 PMK 식별자(PMK_SN1)와 동일하도록 설정된다.
여기서, 기지국(20)이 PMK 식별자(PMK_SN1)와 동일한 값의 인증키 일련번호(AK_SN1)를 단말(10)로 할당하여 서로 공유하게 되므로, 단말(10)에서는 기지국(20)에서 할당하는 인증키 일련번호(AK_SN1)를 통해 간접적으로 PMK 식별자(PMK_SN1)를 알 수가 있어, 결과적으로 단말(10)과 기지국(20)이 PMK 식별자(PMK_SN1)에 대해서도 서로 공유하게 된다.
또한, 본 발명의 제2 실시예의 RSA 기반의 인증 절차에서와 마찬가지로, 본 발명의 제1 실시예에서와 달리 인증키를 식별하기 위해 상기한 인증키 일련번호(AK_SN1)를 사용하는 것이 아니라 인증키 식별자(AKID1)를 사용하고, 이 인증키 식별자(AKID1)는 인증키 일련번호(AK_SN1), 인증키(AK1), 단말 MAC 주소(SSID) 및 기지국 식별자(BSID)를 사용하여 생성한다. 따라서, 본 발명의 제2 실시예의 EAP 기반의 인증 절차에서도 인증키(AK1)와 인증키 일련번호(AK_SN1)가 결정되면 이에 대응되는 인증키 식별자(AKID1)도 결정되어 단말(10)과 기지국(20)에서 서로 공유될 수 있다.
게다가, 기지국(20)은 3-way SA-TEK 교환 절차 중의 PKMv2 SA-TEK-Response 메시지(716)를 통해 PMK 유효 시간(lifetime)을 단말(10)에게 전달한다.
한편, 본 발명의 제2 실시예의 RSA 기반의 인증 절차와 동일하게 단말(10)이 기지국(20)과 서로 공유하고 있는 PMK 유효 시간이 만료되기 전에 EAP 기반의 재인증을 수행하여 새로운 PMK2 및 인증키(AK2)를 생성하여 서로 공유하여야 한다. 즉, 단말(10)과 기지국(20)이 PKMv2 EAP-Start 메시지(711-1) 및 PKMv2 EAP-Transfer 메시지(712-1)와 경우에 따라서 선택적으로 PKMv2 EAP-Transfer-Complete 메시지(713-1)를 사용하여 기지국(20)과 단말(10)에 대한 상호 장치 인증 또는 사용자 인증을 수행한 후, 새로운 PMK2와 인증키(AK2)를 공유할 수 있다.
다음, 단말(10)과 기지국(20)이 재인증을 위한 3-Way SA-TEK 교환 절차를 수 행하여 새로운 인증키 일련번호(AK_SN2)를 생성하여 서로 공유할 수 있는 것은 본 발명의 제2 실시예의 RSA 기반의 인증 절차에서 이미 설명한 바와 같다. 즉, 단말(10)과 기지국(20)이 PKMv2 SA-TEK-Challenge 메시지(714-1), PKMv2 SA-TEK-Request 메시지(715-1) 및 PKMv2 SA-TEK-Response 메시지(716-1)를 사용하여 새로운 인증키 일련번호(AK_SN2)를 공유할 수 있다. 이 때, 기지국(20)에 의해 재인증 절차를 통해 단말(10)과 기지국(20)에서 새로이 공유되는 인증키 일련번호(AK_SN2)가 PMK 식별자(PMK_SN2)와 동일한 값을 가지도록 할당된다. 여기서, 기지국(20)은 재인증 절차를 통해 기지국(20)에서 새로이 생성되는 PMK 식별자(PMK_SN2)가 이전의 PMK 식별자(PMK_SN1)와 마찬가지로 4비트의 사이즈를 가지도록 하지만, EAP 기반 인증 절차가 성공적으로 완료되어 새로운 PMK 식별자(PMK_SN2)가 생성되었으므로 PMK 식별자(PMK_SN2)의 상위 2비트를 1씩 증가시키고 모듈로 4를 취하여 생성한다. 예를 들어, 이전의 PMK 식별자(PMK_SN1)가 '0010'인 경우, 새로이 할당되는 PMK 식별자(PMK_SN2)는 '0011'의 값을 갖는다. 이처럼 EAP 기반 재인증이 성공한 경우에 있어서, 이전 PMK 식별자(PMK_SN1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 PMK(PMK1, PMK2)를 가지게 되는데, 각각의 PMK에 대해 서로 다른 PMK 식별자(PMK_SN1, PMK_SN2)를 가지고 있기 때문에 두 개의 PMK를 쉽게 구별 가능하게 되는 것이다.
그 후, 단말(10)은 기지국(20)과 서로 공유하게 되는 인증키 일련번호(AK_SN2)를 통해 간접적으로 새로운 PMK 식별자(PMK_SN2)를 알 수가 있어, 결과적으로 단말(10)과 기지국(20)이 PMK 식별자(PMK_SN2)에 대해서도 서로 공유하게 된다. 왜냐하면, 인증키 일련번호(AK_SN2)와 새로운 PMK 식별자(PMK_SN2)가 동일하기 때문이다. 따라서, 이전의 PMK1과 새로운 PMK2를 식별하기 위한 PMK 식별자(PMK_SN1, PMK_SN2)가 별도로 존재하여 공유될 수 있다.
다음, 재인증 절차를 통해 새로이 공유되는 인증키(AK2)와 인증키 일련번호(AK_SN2)에 의해 실제로 인증키(AK2)를 식별하기 위한 새로운 인증키 식별자(AKID2)도 생성되어 단말(10)과 기지국(20)에서 공유될 수 있다. 이처럼 EAP 기반 재인증이 성공한 경우에 있어서, 이전 인증키 식별자(AKID1)가 만료되기 전까지 단말(10)과 기지국(20)이 동시에 두 개의 인증키(AK1, AK2)를 가지게 되는데, 각각의 인증키에 대해 서로 다른 인증키 식별자(AKID1, AKID2)를 가지고 있기 때문에 두 개의 인증키를 쉽게 구별 가능하게 되는 것이다.
한편, 상기에서는 RSA 기반의 인증 절차와 EAP 기반의 인증 절차가 어느 하나만 수행되는 경우에 대해서 설명하였으며, 이하 RSA 기반의 인증 절차와 EAP 기반의 인증 절차 또는 인증된 EAP 기반의 인증 절차가 모두 수행되는 경우에 대해서 설명한다.
RSA 기반의 인증 절차와 EAP 기반의 인증 절차 또는 인증된 EAP 기반의 인증 절차가 모두 수행되는 경우에는 먼저 도 6을 참조하여 설명한 바와 마찬가지로 RSA 인증 절차(611, 612, 613)를 통해서 단말(10)과 기지국(20)이 PAK1, PAK 유효 시간(lifetime) 그리고 PAK 식별자(PAK_SN1)를 공유하게 되고, 그 후에 도 7을 참조하여 설명한 바와 마찬가지로 EAP 인증 절차(711, 712, 713)를 통해서 PMK1을 공유하게 된다. 여기에서, EAP 인증 절차(711, 712, 713) 대신에 인증된 EAP 인증 절차가 수행될 경우에 있어서, 인증된 EAP 인증 절차를 통해서 PMK1 을 공유하게 된다. 인증된 EAP 인증 절차에는 PKMv2 EAP-Start 메시지(711)과 선택적으로 PKMv2 EAP-Trasnfer-Complete 메시지(713)이 사용된다. 하지만, EAP 인증 절차중의 PKMv2 EAP-Transfer 메시지(712) 대신에 메시지 인증 기능이 추가된 PKMv2 Authenticated-EAP-Transfer 메시지가 사용되는 것이다.
이와 같이 공유되는 PAK1과 PMK1을 결합하여 인증키(AK1)가 도출되므로, 단말(10)과 기지국(20)은 마찬가지로 인증키(AK1)도 공유하게 된다. 이 때, 단말(10)과 기지국(20)에서 서로 공유되는 PAK 식별자(PAK_SN1)는 앞에서 설명한 바와 마찬가지로 4비트의 사이즈를 가지며, 상위 2비트는 0으로 항상 세팅하고 나머지 하위 2비트만이 유효하도록 생성된다.
그 후, 도 6 및 도 7을 참조하여 설명한 바와 마찬가지로, 3-Way SA-TEK 교 환 절차를 통해 기지국(20)에서 인증키 일련번호(AK_SN1)를 생성하여 단말(10)로 할당하여 서로 공유하게 된다. 이 때, 기지국(20)은 RSA 기반의 인증 절차를 통해 PAK 식별자(PAK_SN1)와 EAP 기반의 인증 절차를 통해 PMK 식별자(PMK_SN1)를 모두 가지고 있으므로, 인증키 일련변호(AK_SN1)는 PAK 식별자(PAK_SN1)와 PMK 식별자(PMK_SN1)의 비트 합으로 생성된다. 즉, PAK 식별자(PAK_SN1)는 4비트 중 하위 2비트를 사용하고 있고, PMK 식별자(PMK_SN1)는 4비트 중 상위 2비트를 사용하고 있으므로, 그 사용 비트가 서로 다르기 때문에 비트 합을 취하여도 인증키 일련번호(AK_SN1) 내에는 PAK 식별자(PAK_SN1)의 내용과 PMK 식별자(PMK_SN1)의 내용이 모두 나타나 있다.
이와 같이, 기지국(20)이 인증키 일련번호(AK_SN1)를 단말(10)로 할당하여 서로 공유하게 되므로, 단말(10)에서는 기지국(20)에서 할당하는 인증키 일련번호(AK_SN1)를 통해 간접적으로 PMK 식별자(PMK_SN1)를 알 수가 있어, 결과적으로 단말(10)과 기지국(20)이 PMK 식별자(PMK_SN1)에 대해서도 서로 공유할 수 있게 된다.
그 후, 인증키를 식별하기 위해 상기한 인증키 일련번호(AK_SN1)를 사용하는 것이 아니라 인증키 식별자(AKID1)를 사용하고, 이 인증키 식별자(AKID1)는 인증키 일련번호(AK_SN1), 인증키(AK1), 단말 MAC 주소(SSID) 및 기지국 식별자(BSID)를 사 용하여 생성하고, 이에 대해서는 이미 설명한 바와 동일하므로 상세한 설명은 생략한다.
상기 RSA 기반 인증 절차를 통해 단말(10)과 기지국(20)은 PAK 유효 시간을 공유하게 되고 상기 3-Way SA-TEK 교환 절차를 통해 단말(10)과 기지국(20)은 PMK 유효 시간을 공유하게 된다.
이와 같이 RSA 기반 인증 절차와 EAP 기반 인증 절차 또는 인증된 EAP 기반 인증 절차를 동시에 수행하는 경우에 있어서, 이전의 PAK 유효 시간과 PMK 유효 시간이 독립적인 값이기 때문에 RSA 기반 재인증 절차나 EAP 기반 재인증 절차가 독립적으로 발생할 수 있다.
만약, PAK 유효 시간이 만료되기 전에 RSA 기반 재인증 절차를 수행하게 되는데, RSA 기반 재인증 절차를 통해 단말(10)과 기지국(20)은 새로운 PAK2과 새로운 PAK 식별자(PAK_SN2)를 공유하게 되고, 후에 연달아 수행되는 3-Way SA-TEK 절차를 통해 새로운 인증키 일련번호(AK_SN2)를 공유하게 되며, 기존에 공유하고 있던 PMK1과 PMK 식별자(PMK_SN1)를 가지고 새로운 인증키(AK2)와 인증키 식별자(AKID2)를 생성하고 공유하게 된다.
만약, PMK 유효 시간이 만료되기 전에 EAP 기반 재인증 절차를 수행하게 되는데, EAP 기반 재인증 절차를 통해 단말(10)과 기지국(20)은 새로운 PMK2과 새로운 PMK 식별자(PMK_SN2)를 공유하게 되고, 후에 연달아 수행되는 3-Way SA-TEK 절차를 통해 새로운 인증키 일련번호(AK_SN2)를 공유하게 되고 기존에 공유하고 있던 PAK1과 PAK 식별자(PAK_SN1)를 가지고 새로운 인증키(AK2)와 인증키 식별자(AKID2)를 생성하고 공유하게 된다.
상기처럼 다양한 재인증 절차를 수행하였을 경우에 PAK 식별자(PAK_SN1, PAK_SN2)를 가지고 두개의 PAK(PAK1, PAK2)를 구별하고, PMK 식별자(PMK_SN1, PMK_SN2)를 가지고 두개의 PMK(PMK1, PMK2)를 구별하고, 인증키 식별자(AKID1, AKID2)를 가지고 두개의 인증키(AK1, AK2)를 구별하게 된다. 또한, 이 때의 PAK 식별자(PAK_SN2), PMK 식별자(PMK_SN2) 및 인증키 일련번호(AK_SN2)가 4비트의 사이즈를 갖도록 설정한다.
이와 같은 재인증 절차에 대해서는 도 6 및 도 7을 참조하여 앞에서 설명한 내용을 참조하는 경우 쉽게 이해될 수 있으므로 여기에서는 상세한 설명을 생략한다.
상기한 바와 같이, 본 발명의 제2 실시예에 따르면 종래의 IEEE 802.16e 무선 MAN 기반 휴대 인터넷 서비스의 PKMv2에서 정의된 각 키들의 식별자와 PMK 유효시간의 잘못된 문제점이 해결된다. 즉, EAP 메소드 프로토콜 내에 PMK 유효 시간에 대한 정의가 되어 있는 경우에는 정의된 유효시간을 사용하면 되지만, 그렇지 않은 경우, 즉 EAP 메소드 프로토콜 내에 PMK 유효 시간이 정의되어 있지 않은 경우에는 사업자가 규정한 PMK 유효 시간을 사용함으로써 EAP 기반의 재인증이 효율 적으로 수행될 수 있다.
또한, PAK 식별자, PMK 식별자 및 인증키 식별자들의 사이즈를 64비트에서 4비트로 줄임으로써 무선 구간에서 식별자 전송 시의 효율성을 매우 높였다.
또한, 인증키 식별자를 결정하는 인증키 일련번호를 PAK 식별자 및 PMK 식별자에 의해 도출하고, 인증키가 갱신될 때마다 PAK 식별자 및 PMK 식별자를 1씩 증가하도록 기지국(10)이 생성하여 단말(10)에게 할당함으로써 인증키 식별자를 통해 2개의 인증키에 대한 식별이 가능하게 되었다.
한편, 상기한 RSA 나 EAP 기반의 인증을 통한 검증이 이루어진 단말(10)이 핸드오버를 수행할 경우에 현재 서비스를 받고 있는 기지국(20)에서의 인증키와 핸드오버된 기지국(21)에서의 인증키는 서로 다르게 된다. 이와 같이 서로 다른 인증키를 식별하기 위해서 인증키 식별자(AKID)가 사용된다. 이 인증키 식별자(AKID)가 상기한 바와 같이 인증키 일련번호(AK_SN), 인증키(AK), 단말 MAC 주소(SSID), 기지국 식별자(BSID)들을 가지고 생성되므로, 단말(10)이 핸드오버를 완료해도 핸드오버된 기지국(21)에서 별도로 RSA 기반 인증 절차나 EAP 기반 인증 절차를 수행하지 않아도 될 뿐만 아니라 인증키 식별자를 할당해 줄 필요가 없기 때문에 빠른 핸드오버도 가능하게 된다. 즉, 단말(10)의 핸드오버 시도가 성공한 경우, 핸드오버된 기지국(21)에서 단말(10)에게 별도로 인증키를 식별하기 위한 필드를 전송할 필요없이 원래 서비스를 제공받았던 기지국(20)에서의 인증키 식별자(AKIDold)와 핸드오버된 기지국에서의 인증키 식별자(AKIDnew)가 다르게 되어 핸드오 버된 기지국(21)에서 빠른 핸드오버가 가능해진다.
또한, 단말(10)의 핸드오버 시도가 성공하고 단말(10)과 핸드오버된 기지국(21) 사이의 RSA 기반 재인증이나 EAP 기반 재인증이 수행되지 않는 경우, 단말(10)이 핸드오버된 기지국(21)에서의 인증키 식별자로 핸드오버되기 전 기지국(20)에서 사용하였던 동일한 인증키 식별자를 사용한다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외의 다양한 변경이나 변형이 가능하다.
본 발명에 따르면 IEEE 802.16 무선 MAN 기반의 무선 휴대 인터넷 시스템에서 다음과 같은 효과가 있다.
첫째, EAP 기반 인증을 수행할 경우 PMK 유효 시간을 EAP 메소드 프로토콜로부터 할당받거나 사업자가 규정할 수 있도록 하여 EAP 기반 재인증이 효율적으로 가능해진다.
둘째, PAK 식별자와 PMK 식별자 그리고 인증키 식별자를 기지국이 생성하고 단말에게 전달하여 공유함으로써 각각의 PAK, PMK 및 인증키에 대한 구별이 가능해진다.
셋째, PAK 식별자와 PMK 식별자 그리고 인증키 일련번호 모두의 사이즈를 줄임으로써 무선 구간에서 상기 식별자들을 전송함에 있어 적은 무선 자원만을 사용할 수 있어서 효과적인 무선 자원 이용이 가능해진다.
넷째, 제2 실시예에서 인증키 일련번호를 PAK 식별자와 PMK 식별자의 조합으 로 생성함으로써 별도의 PMK 식별자 전달 절차없이 인증키 일련번호를 가지고 PMK 식별자를 알 수 있다.
다섯째, 제2 실시예에서 인증키에 대한 인증키 일련번호와 인증키 식별자를 따로 관리함으로써, 인증키를 식별하기 위해서 무선 구간에서 사이즈가 작은 인증키 일련번호를 전송하게 되는 장점이 있다.
여섯째, 제2 실시예에서 단말의 핸드오버 시도가 성공한 경우 핸드오버된 기지국에서 빠른 핸드오버가 가능해진다.

Claims (31)

  1. 무선 휴대 인터넷 시스템에서 기지국이 단말과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법에 있어서,
    a) 상기 단말과 인증을 수행하여 인증키를 공유하는 단계;
    b) 상기 인증키를 식별하기 위한 인증키 식별자를 생성하여 상기 단말로 전달하여 공유하는 단계;
    c) 상기 단말로부터의 재인증 요청에 따라 인증을 수행하여 상기 단말과 새로운 인증키를 공유하는 단계; 및
    d) 상기 새로운 인증키를 식별하기 위한 인증키 식별자를 생성하여 상기 단말로 전달하여 공유하는 단계
    를 포함하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  2. 무선 휴대 인터넷 시스템에서 단말이 기지국과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법에 있어서,
    a) 상기 기지국과 인증을 수행하여 인증키를 공유하는 단계;
    b) 상기 인증키를 식별하기 위한 인증키 식별자를 상기 기지국으로부터 전달받아서 공유하는 단계;
    c) 상기 기지국으로 재인증을 요청한 후, 상기 기지국과 인증을 수행하여 상기 기지국과 새로운 인증키를 공유하는 단계; 및
    d) 상기 새로운 인증키를 식별하기 위한 인증키 식별자를 상기 기지국으로부터 전달받아서 공유하는 단계
    를 포함하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 기지국과 상기 단말이 RSA(Rivest Shamir Adleman) 기반의 인증을 수행하는 경우, 상기 a) 단계 및 상기 c) 단계에서 공유되는 인증키는 상기 RSA 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PAK(Primary Authorization Key)로부터 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  4. 제1항 또는 제2항에 있어서,
    상기 기지국과 상기 단말이 EAP((Extensible Authentication Protocol) 기반의 인증을 수행하는 경우, 상기 a) 단계 및 상기 c) 단계에서 공유되는 인증키는 상기 EAP 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PMK(Pairwise Master Key)로부터 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  5. 제4항에 있어서,
    상기 a) 단계에서의 인증 수행 결과 상기 c) 단계의 재인증을 시작하기 위한 시간을 나타내는 PMK 유효시간을 상기 기지국과 상기 단말이 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  6. 제5항에 있어서,
    상기 PMK 유효시간은 상기 EAP 기반 인증을 수행하는 EAP 메소드(method) 프로토콜로부터 할당되는 값 또는 사업자가 규정한 값 중 어느 하나의 값을 가지는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  7. 제3항에 있어서,
    상기 기지국이 상기 인증 수행 결과 상기 단말과 공유하는 PAK를 식별하기 위한 PAK 식별자를 생성하여 상기 단말에 전달하여 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  8. 제7항에 있어서,
    상기 인증키 식별자 및 상기 PAK 식별자는 8비트의 사이즈의 값을 가지며, 8비트 중 상위 4비트는 "0"으로 세팅되고, 하위 4비트의 값이 식별에 사용되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  9. 제8항에 있어서,
    상기 인증키 식별자 및 상기 PAK 식별자의 값은 인증이 성공적으로 완료되어 새로운 인증키를 생성할 때마다 상기 기지국에 의해 상기 하위 4비트의 값이 1씩 증가된 후 모듈로(modulo) 16이 적용되어 상기 단말로 할당되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  10. 무선 휴대 인터넷 시스템에서 기지국이 단말과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법에 있어서,
    a) 상기 단말과 인증을 수행하여 인증키를 공유하는 단계;
    b) 상기 인증키를 식별하기 위한 인증키 식별자-여기서 인증키 식별자는 상기 기지국에 의해 생성되어 상기 단말로 전달되는 특정 인증키 일련 번호에 의해 생성됨-를 상기 단말과 공유하는 단계;
    c) 상기 단말로부터의 재인증 요청에 따라 인증을 수행하여 상기 단말과 새로운 인증키를 공유하는 단계; 및
    d) 상기 새로운 인증키를 식별하기 위한 새로운 인증키 식별자-여기서 새로운 인증키 식별자는 상기 기지국에 의해 생성되어 상기 단말로 전달되는 새로운 인증키 일련 번호에 의해 생성됨-를 상기 단말과 공유하는 단계
    를 포함하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  11. 무선 휴대 인터넷 시스템에서 단말이 기지국과 공유하는 인증키를 식별하기 위한 식별자를 할당하는 방법에 있어서,
    a) 상기 기지국과 인증을 수행하여 인증키를 공유하는 단계;
    b) 상기 인증키를 식별하기 위한 인증키 식별자-여기서 인증키 식별자는 상기 기지국에서 생성되어 전달되는 특정 인증키 일련 번호에 의해 생성됨-를 상기 기지국과 공유하는 단계;
    c) 상기 기지국으로 재인증을 요청한 후, 상기 기지국과 인증을 수행하여 상기 기지국과 새로운 인증키를 공유하는 단계; 및
    d) 상기 새로운 인증키를 식별하기 위한 새로운 인증키 식별자-여기서 새로운 인증키 식별자는 상기 기지국에서 생성되어 전달되는 새로운 인증키 일련 번호에 의해 생성됨-를 상기 기지국과 공유하는 단계
    를 포함하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  12. 제10항 또는 제11항에 있어서,
    상기 기지국과 상기 단말이 RSA(Rivest Shamir Adleman) 기반의 인증을 수행하는 경우, 상기 a) 단계 및 상기 c) 단계에서 공유되는 인증키는 상기 RSA 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PAK(Primary Authorization Key)로부터 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  13. 제10항 또는 제11항에 있어서,
    상기 기지국과 상기 단말이 EAP((Extensible Authentication Protocol) 기반의 인증을 수행하는 경우, 상기 a) 단계 및 상기 c) 단계에서 공유되는 인증키는 상기 EAP 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PMK(Pairwise Master Key)로부터 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  14. 제12항에 있어서,
    상기 기지국은 상기 인증 수행 결과 상기 단말과 공유하는 PAK를 식별하기 위한 PAK 식별자를 생성하여 상기 단말에 전달하여 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  15. 제14항에 있어서,
    상기 PAK 식별자는 4비트의 사이즈의 값을 가지며, 4비트 중 상위 2비트는 "0"으로 세팅되고, 하위 2비트의 값이 상기 PAK 식별에 사용되며,
    상기 PAK 식별자의 값은 인증이 성공적으로 완료되어 새로운 인증키를 생성할 때마다 상기 기지국이 상기 PAK 식별자에 대해서 하위 2비트의 값을 1씩 증가시킨 후 각각 모듈로(modulo) 4를 적용하는
    것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  16. 제15항에 있어서,
    상기 인증키 일련 번호는 4비트의 사이즈의 값을 가지며, 상기 PAK 식별자와 동일한 값을 가지는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  17. 제13항에 있어서,
    상기 기지국은 상기 인증 수행 결과 상기 단말과 공유하는 PMK를 식별하기 위한 PMK 식별자를 생성하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  18. 제17항에 있어서,
    상기 PMK 식별자는 4비트의 사이즈의 값을 가지며, 4비트 중 하위 2비트는 "0"으로 세팅되고, 상위 2비트의 값이 상기 PAK 식별에 사용되며,
    상기 PMK 식별자의 값은 인증이 성공적으로 완료되어 새로운 인증키를 생성할 때마다 상기 기지국이 상기 PMK 식별자에 대해서 상위 2비트의 값을 1씩 증가시킨 후 각각 모듈로(modulo) 4를 적용하는
    것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  19. 제18항에 있어서,
    상기 인증키 일련 번호는 4비트의 사이즈의 값을 가지며, 상기 PMK 식별자와 동일한 값을 가지는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식 별자 할당 방법.
  20. 제10항 또는 제11항에 있어서,
    상기 기지국과 상기 단말이 RSA 기반의 인증과 EAP 기반의 인증 또는 인증된 EAP 기반의 인증을 모두 수행하는 경우, 상기 a) 단계 및 상기 c) 단계에서 공유되는 인증키는 상기 RSA 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PAK와 상기 EAP 기반의 인증 또는 인증된 EAP 기반의 인증 수행 결과 상기 기지국과 상기 단말이 공유하는 PMK의 결합에 의해 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  21. 제13항 또는 제20항에 있어서,
    상기 a) 단계에서의 인증 수행 결과 상기 c) 단계의 재인증을 시작하기 위한 시간을 나타내는 PMK 유효시간을 상기 기지국과 상기 단말이 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  22. 제21항에 있어서,
    상기 PMK 유효시간은 상기 EAP 기반 인증을 수행하는 EAP 메소드(method) 프로토콜로부터 할당되는 값 또는 사업자가 규정한 값 중 어느 하나의 값을 가지는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  23. 제20항에 있어서,
    상기 기지국은 상기 인증 수행 결과 상기 단말과 공유하는 PAK를 식별하기 위한 PAK 식별자와 상기 단말과 공유하는 PMK를 식별하기 위한 PMK 식별자를 생성하고, 상기 PAK 식별자 및 PMK 식별자를 상기 단말에 전달하여 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  24. 제23항에 있어서,
    상기 PAK 식별자는 4비트의 사이즈의 값을 가지며, 4비트 중 상위 2비트는 "0"으로 세팅되고, 하위 2비트의 값이 상기 PAK 식별에 사용되며,
    상기 PMK 식별자는 4비트의 사이즈의 값을 가지며, 4비트 중 하위 2비트는 "0"으로 세팅되고, 상위 2비트의 값이 상기 PAK 식별에 사용되는
    것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  25. 제24항에 있어서,
    상기 PAK 식별자 및 상기 PMK 식별자의 값은 인증이 성공적으로 완료되어 새로운 PAK 또는 PMK를 생성할 때마다 상기 기지국이 상기 PAK 식별자에 대해서는 하위 2비트의 값을 1씩 증가시키고, 상기 PMK 식별자에 대해서는 상위 2비트의 값을 1씩 증가시킨 후 각각 모듈로(modulo) 4를 적용하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  26. 제24항에 있어서,
    상기 인증키 일련 번호는 4비트의 사이즈의 값을 가지며, 상기 PAK 식별자와 상기 PMK 식별자를 비트합한 결과 값으로 설정되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  27. 제26항에 있어서,
    상기 단말이 상기 기지국으로부터 생성되어 전달되는 인증키 일련 번호에 기초하여 상기 PMK 식별자를 추출하여 상기 기지국과 공유하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  28. 제10항 또는 제11항에 있어서,
    상기 인증키 식별자는 상기 인증키 일련 번호, 상기 인증키, 상기 단말의 MAC(Medium Access Control) 주소 및 상기 기지국의 식별자에 기초하여 생성되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  29. 제28항에 있어서,
    상기 단말의 핸드오버 시도가 성공하고 상기 단말과 핸드오버된 기지국 사이의 RSA 기반 재인증이나 EAP 기반 재인증이 수행되지 않는 경우, 상기 단말이 핸드오버된 기지국에서의 인증키 식별자로 상기 핸드오버되기 전 기지국에서 사용하였 던 동일한 인증키 식별자를 사용하는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  30. 제28항에 있어서,
    상기 단말의 핸드오버 시도가 성공한 경우, 상기 단말이 핸드오버된 기지국에서의 인증키 식별자는 상기 핸드오버된 기지국에서 자체적으로 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
  31. 제28항에 있어서,
    상기 단말의 핸드오버 시도가 성공한 경우, 상기 핸드오버된 단말에서의 인증키 식별자는 상기 핸드오버된 단말에서 자체적으로 도출되는 것을 특징으로 하는 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법.
KR1020050101814A 2005-06-22 2005-10-27 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법 KR100667181B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020050054055 2005-06-22
KR20050054055 2005-06-22

Publications (2)

Publication Number Publication Date
KR20060134775A KR20060134775A (ko) 2006-12-28
KR100667181B1 true KR100667181B1 (ko) 2007-01-12

Family

ID=37570618

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050101814A KR100667181B1 (ko) 2005-06-22 2005-10-27 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법

Country Status (4)

Country Link
US (2) US7978855B2 (ko)
JP (1) JP4903792B2 (ko)
KR (1) KR100667181B1 (ko)
WO (1) WO2006137624A1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US20070220598A1 (en) * 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution
KR101042839B1 (ko) 2007-04-16 2011-06-20 재단법인서울대학교산학협력재단 무선 이동 통신 시스템에서 인증 시스템 및 방법
CN101471773B (zh) * 2007-12-27 2011-01-19 华为技术有限公司 一种网络服务的协商方法和系统
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101217811B (zh) * 2008-01-17 2010-06-02 西安西电捷通无线网络通信有限公司 一种宽带无线多媒体网络广播通信的安全传输方法
KR100978928B1 (ko) * 2008-05-20 2010-08-30 주식회사 케이티 무선 인터넷에서의 가입자 인증 시스템 및 방법
KR100970552B1 (ko) * 2008-06-30 2010-07-16 경희대학교 산학협력단 비인증서 공개키를 사용하는 보안키 생성 방법
CN101442531B (zh) * 2008-12-18 2011-06-29 西安西电捷通无线网络通信股份有限公司 一种安全协议第一条消息的保护方法
US8908578B2 (en) 2008-12-22 2014-12-09 Lg Electronics Inc. Method for requesting and allocating uplink resource in wireless communication system
KR101680660B1 (ko) * 2009-02-12 2016-11-29 엘지전자 주식회사 광대역 무선통신 시스템에서 시스템 정보 갱신 방법 및 장치
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
WO2010101439A2 (en) * 2009-03-05 2010-09-10 Lg Electronics Inc. Method and apparatus for updating system information in broadband wireless communication system
CN101540998A (zh) * 2009-04-23 2009-09-23 中兴通讯股份有限公司 无线通信系统中移动台标识分发方法及系统
KR101717571B1 (ko) * 2009-10-16 2017-03-21 삼성전자주식회사 무선 통신 시스템에서 데이터 암호화 방법 및 시스템
JP5865992B2 (ja) * 2011-03-23 2016-02-17 インターデイジタル パテント ホールディングス インコーポレイテッド ネットワーク通信をセキュアにするためのシステムおよび方法
US20130022199A1 (en) * 2011-07-18 2013-01-24 Electronics And Telecommunications Research Institute Encryption method and apparatus for direct communication between terminals
US8666407B2 (en) * 2011-08-15 2014-03-04 Telefonaktiebolaget Lm Ericsson (Publ) Femtocell base station, method, computer program and computer program product
US10044713B2 (en) 2011-08-19 2018-08-07 Interdigital Patent Holdings, Inc. OpenID/local openID security
US8984590B2 (en) * 2011-11-08 2015-03-17 Qualcomm Incorporated Enabling access to key lifetimes for wireless link setup
US9621547B2 (en) 2014-12-22 2017-04-11 Mcafee, Inc. Trust establishment between a trusted execution environment and peripheral devices

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040098586A1 (en) * 2002-11-15 2004-05-20 Rebo Richard D. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US20040168054A1 (en) * 2003-02-26 2004-08-26 Halasz David E. Fast re-authentication with dynamic credentials
KR20050000481A (ko) * 2003-06-27 2005-01-05 주식회사 케이티 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
KR20050064717A (ko) * 2003-12-24 2005-06-29 삼성전자주식회사 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001148886A (ja) 1999-11-19 2001-05-29 Nippon Telegr & Teleph Corp <Ntt> 無線基地局におけるデータ設定のためのアクセス方法及び無線基地局
US6853729B1 (en) * 2000-02-09 2005-02-08 Lucent Technologies Inc. Method and apparatus for performing a key update using update key
GB2366141B (en) 2001-02-08 2003-02-12 Ericsson Telefon Ab L M Authentication and authorisation based secure ip connections for terminals
JP3678166B2 (ja) 2001-04-25 2005-08-03 日本電気株式会社 無線端末の認証方法、無線基地局及び通信システム
FR2825869B1 (fr) 2001-06-08 2003-10-03 France Telecom Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public
JP2003259417A (ja) 2002-03-06 2003-09-12 Nec Corp 無線lanシステム及びそれに用いるアクセス制御方法
US7181196B2 (en) * 2003-05-15 2007-02-20 Lucent Technologies Inc. Performing authentication in a communications system
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
KR100804795B1 (ko) 2003-10-31 2008-02-20 한국전자통신연구원 통신 시스템에서의 인증 요청 방법 및 인증 수행 방법
US20050271209A1 (en) * 2004-06-07 2005-12-08 Meghana Sahasrabudhe AKA sequence number for replay protection in EAP-AKA authentication
US7747862B2 (en) * 2004-06-28 2010-06-29 Intel Corporation Method and apparatus to authenticate base and subscriber stations and secure sessions for broadband wireless networks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040098586A1 (en) * 2002-11-15 2004-05-20 Rebo Richard D. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US20040168054A1 (en) * 2003-02-26 2004-08-26 Halasz David E. Fast re-authentication with dynamic credentials
KR20050000481A (ko) * 2003-06-27 2005-01-05 주식회사 케이티 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체
KR20050064717A (ko) * 2003-12-24 2005-06-29 삼성전자주식회사 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법

Also Published As

Publication number Publication date
US7978855B2 (en) 2011-07-12
JP2008547304A (ja) 2008-12-25
US20110261960A1 (en) 2011-10-27
WO2006137624A1 (en) 2006-12-28
JP4903792B2 (ja) 2012-03-28
US8479270B2 (en) 2013-07-02
KR20060134775A (ko) 2006-12-28
US20080192931A1 (en) 2008-08-14

Similar Documents

Publication Publication Date Title
KR100667181B1 (ko) 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법
JP5597676B2 (ja) 鍵マテリアルの交換
US8397071B2 (en) Generation method and update method of authorization key for mobile communication
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
US20180332471A1 (en) Wireless network connection method, wireless access point, server, and system
EP3410758B1 (en) Wireless network connecting method and apparatus, and storage medium
KR100813295B1 (ko) 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
KR100749846B1 (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
US8762721B2 (en) Method for generating authorization key and method for negotiating authorization in communication system based on frequency overlay
WO2019137030A1 (zh) 安全认证方法、相关设备及系统
KR20060101234A (ko) 무선 휴대 인터넷 시스템에서의 단말 보안 관련 파라미터협상 방법
KR20170097487A (ko) 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템
WO2009088252A2 (en) Pre-authentication method for inter-rat handover
WO2006096017A1 (en) Authentication method and key generating method in wireless portable internet system
CN101911742B (zh) 用于交互rat切换的预认证方法
KR20070101504A (ko) 휴대 인터넷 시스템의 인증 장치 및 방법
WO2008069627A1 (en) Generation method and update method of authorization key for mobile communication
KR20200000861A (ko) 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121218

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20131218

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20141215

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151221

Year of fee payment: 10