KR100978052B1 - 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물 - Google Patents

일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물 Download PDF

Info

Publication number
KR100978052B1
KR100978052B1 KR1020087000776A KR20087000776A KR100978052B1 KR 100978052 B1 KR100978052 B1 KR 100978052B1 KR 1020087000776 A KR1020087000776 A KR 1020087000776A KR 20087000776 A KR20087000776 A KR 20087000776A KR 100978052 B1 KR100978052 B1 KR 100978052B1
Authority
KR
South Korea
Prior art keywords
message
list
authentication
authentication mechanism
node
Prior art date
Application number
KR1020087000776A
Other languages
English (en)
Other versions
KR20080015934A (ko
Inventor
가보르 바즈코
타트 킁 챤
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/232,494 external-priority patent/US8087069B2/en
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20080015934A publication Critical patent/KR20080015934A/ko
Application granted granted Critical
Publication of KR100978052B1 publication Critical patent/KR100978052B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 전형적이지만 비한정적인 한 양태에 따라 제공되는 방법은, 무선 네트워크 (WN)에 노드가 지원하는 인증 메커니즘들의 리스트와 각 인증 메커니즘들과 결부된 해당 아이디로 이뤄진 제1메시지를 전송하는 단계; WN에서 적어도 노드로부터 수신한 리스트에 기초해 부트스트래핑에 사용될 인증 메커니즘을 결정하는 단계; 및 노드로 보내는 제2메시지 안에, 결정된 인증 메커니즘과 해당 아이디를 포함하는 정보를 포함시키는 단계를 포함한다. 그 방법은, 적어도 노드가 지원하는 인증 메커니즘들의 리스트와 해당 아이디들을 보호하고, 적어도 인증 메커니즘들의 리스트 및 해당 아이디들을 포함하는 제2메시지를 네트워크로 전송하는 단계를 더 포함한다. 이 방법은 또한, 선택된 인증 메커니즘의 표시와 해당 아이디를 포함하는 제2응답 메시지를 적어도 부분적으로 무결성 보호 방식으로 네트워크로부터 수신하는 단계를 더 포함한다.

Description

일반 부트스트래핑 아키텍처(GBA)의 인증 환경 설정 관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터 프로그램 생성물{Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)}
전형적이나 제한적인 것은 아닌 본 발명의 실시예들은 일반적으로 통신 시스템, 방법 및 장치들과 관련되고, 특히, 통신 시스템에서의 인증 및 관련 기술과 관련되어 있다.
명세서 상에서 다음과 같은 정의들이 사용될 것이다:
3GPP - Third Generation Partnership Project (3세대 공동 프로젝트)
AAA - Authentication, Authorization and Accounting (인증, 권한허가, 활동기록)
GAA - Generic Authentication Architecture (일반 인증 아키텍처)
GBA - Generic bootstrapping Architecture (일반 부트스트래핑 아키텍처)
BSF - Bootstrapping Server Function (부트스트래핑 서버 기능)
AKA - Authentication and Key Agreement (인증 및 키 동의)
IM - IP Multimedia
ISIM - IM Services Identity Module (IM 서비스 아이디 모듈)
NAI - Network Access Identifier (네트워크 액세스 식별자)
MN - Mobile Node (모바일 노드)
UE - User Equipment (사용자 기기)
EV-DO - Evolution Data Only
3GPP GBA (미국 가출원 번호 60/759,487에 증거서류 A로서 첨부된 3GPP TS 33.220 "GAA:GBA")는 3GPP AKA 메커니즘으로부터 어플리케이션 보안에 대한 인증 및 키 동의를 부트스트래핑하는 메커니즘을 특정하는 것을 목적으로 한다. GBA는, AKA와는 별도로 (CDMA 1x 시스템에 대한) SMEKEY와 (CDMA 1x EV-DO 시스템에 대한) MN-AAA 키를 포함하는 레거시 (legacy) 키 자료들에 기초한 부트스트래핑 역시 규격화되어 있는 3GPP2에도 소개되고 있다. 결과적으로, 3GPP2 시스템에서 동작할 때, MN은 둘 이상의 인증 및 부트스트래핑 메커니즘을 지원하거나, 지원하도록 요청될 수 있다. 따라서, MN 및 네트워크가, 부트스트래핑에 사용되도록 정해진 알고리즘에 대해 동의하도록 하는 기술이 필요하게 된다. 이러한 것은 3GPP 및 3GPP2 네트워크 둘 모두를 지원하는 앞으로의 단말들에 대해서도 필요로 되어, 3GPP 단말이 3GPP2 네트워크에서 로밍 (그리고 그 반대의 경우도 해당)하면서 계속 GBA를 사용할 수 있도록 할 수 있다. 또한, 오퍼레이터들이 3GPP 및 3GPP2 네트워크들을 동일한 지리적 위치에 배치하게 할 수 있다. 이 경우, 단말들은 네트워크와, 사용할 부트스트래핑 메커니즘에 대해 협상도 해야만 한다.
3GPP는 오직 한 인증 및 부트스트래핑 메커니즘, 즉, 3GPP-정의 알고리즘들을 갖는 Digest-AKA 메커니즘 및 AKA 프로토콜만을 지원한다. Digest 인증과 함께하는 AKA의 용도가 Digest-AKA에 특정되어 있다 (상술한 미국 가출원 번호 60/759,487에 증거서류 B로서 첨부된 IETF RFC 3310 "Digest AKA" 참조).
레거시 및 비-레거시 (non-legacy) 단말들 모두가 지원되어야 하기 때문에, 3GPP2에는 네트워크 측에서 지원되는 부트스트래핑을 위한 서로 다른 메커니즘들이 존재한다.
MN은 여러 개의 인증 및 키 생성 메커니즘들 (가령, AKA, MN-AAA, CAVE)에 대한 지원을 포함하고, 사전에 공급된 여러 개의 시크릿 (secret)들을 포함할 수 있다. 3GPP2에는 정의된 메커니즘 선택 절차가 있는데, 이것은 MN이 BSF로 보내는 최초 메시지의 페이로드 안에 BSF로 하여금 선호하는 인증 메커니즘을 선택할 수 있게 하는 지원되는 인증 메커니즘들의 리스트를 삽입하도록 요구한다. BSF가 인증 및 키 생성 메커니즘을 선택하면, BSF는 정당한 데이터베이스에 접촉하여 인증 데이터를 가져온다. 예를 들어, MN이 다른 메커니즘들 이외에 MN-AAA를 지원하는데, BSF가 MN-AAA를 선택하면, BSF는 H-AAA에 접촉하여 챌린지 (challenge)를 가져올 것이다.
MN은 한 개 이상의 아이디들 역시 포함하고 있다. 예를 들어, MN이 ISIM 어플리케이션을 포함하면, MN은 사설 (private) 아이디를 가진다. MN이 EV-DO 단말이면, MN은 NAI를 가진다. MN이 1x 단말이면, MN은 IMSI-유형 아이디를 가진다.
이러한 것이 문제를 만드는데, (상술한 미국 가출원 번호 60/759,487에 증거 자료 C로서 첨부된, 2005년 12월 버전 0.6, 3GPP2 S.P0109-0, "Generic Bootstrapping Architecture (GBA) 프레임워크"에 따라) MN이 HTTP GET 요청을 보냄으로써 우선 BSF를 접촉할 때, MN이 자신의 아이디를 그 요청에 삽입하도록 지시되기 때문이다. 대부분의 아이디들은 특정 인증 및 키 생성 메커니즘들에만 사용될 수 있기 때문에 (가령, 사설 아이디는 AKA에서만 사용될 수 있고, IMSI는 CAVE에 의해서만 사용될 수 있고, EV-DO NAI는 MN-AAA에 의해서만 사용될 수 있다), 자신의 아이디들 중 하나를 선택해 GET 요청에 삽입함으로써 MN은 은연중에 인증 메커니즘까지 사전 선택한다. 이미 삽입된 한 개의 특정 아이디를 가질 때, BSF는 그 한 아이디가 사용될 수 있는 것이 아닌 다른 메커니즘 선택을 할 수가 없다. 다른 대안으로서, BSF에 의해 MN의 다른 아이디들의 매핑이 액세스될 수 있어야 하지만, 이러한 방식은 숱한 이유로 인해 바람직하지 않을 수 있다.
본 발명의 전형적이나 비한정적인 실시예들에 따르면, 본 발명은, 무선 네트워크 (WN)에서 한 노드에 의해 지원되는 인증 메커니즘들의 리스트, 및 각각의 인증 메커니즘과 관련된 해당 아이디로 이뤄진 제1메시지를 수신하는 단계; WN에서 적어도 상기 노드로부터 수신된 상기 리스트에 기반하여, 부트스트래핑에 사용될 인증 메커니즘을 결정하는 단계; 및 상기 노드로 보내지는 제2메시지에, 상기 결정된 인증 메커니즘을 해당 아이디와 함께 구비하는 정보를 포함시키는 단계를 포함하는 방법을 제안한다.
본 발명의 전형적이나 비한정적인 실시예들에 따르면, 본 발명은, 컴퓨터 판독가능 매체에 구현되고, 한 노드의 데이터 프로세서에 의해 실행시, 무선 네트워크 (WN)에서 상기 노드에 의해 지원되는 인증 메커니즘들의 리스트, 및 각각의 인증 메커니즘과 관련된 해당 아이디로 이뤄진 제1메시지를 송신하는 동작; 및 WN으로부터 제1응답 메시지를 수신하는 동작을 포함하여 실행되는 컴퓨터 프로그램 생성물을 더 제안하고, 상기 제1응답 메시지는 상기 제1메시지에서 상기 노드에 의해 제공된 리스트로부터 상기 WN에 의해 선택되는 인증 메커니즘에 부수되는 정보와 해당 아이디를 포함한다.
본 발명의 전형적이지만 비한정적 실시예들에 따르면, 본 발명은 전송기 및 수신기와 연결되어, 전송기를 통해 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘에 대한 해당 아이디로 이뤄진 제1메시지를 네트워크로 전송하고, 수신기를 통해 네트워크로부터 상기 리스트로부터 네트워크에 의해 선택된 인증 메커니즘과 해당 아이디에 부수되는 정보를 포함하는 제1응답 메시지를 수신하도록 동작하는 데이터 프로세서를 포함하는 장치를 더 제안한다.
또한 본 발명의 전형적이지만 비한정적 실시예들에 따르면, 본 발명은 컴퓨터 판독가능 매체에서 실시되고, 무선 네트워크 요소 (WNE, wireless network element)의 데이터 프로세서에 의해, 한 노드에 의해 지원되는 인증 메커니즘들의 리스트, 및 각각의 인증 메커니즘과 관련된 해당 아이디로 이뤄진 제1메시지를 상기 노드로부터 수신하는 동작; 적어도 상기 노드로부터 수신된 상기 리스트에 기반하여, 부트스트래핑에 사용될 인증 메커니즘을 결정하는 동작; 상기 결정된 인증 메커니즘 및 해당 아이디에 부수하는 정보를 포함하는 제1응답 메시지를 상기 노드로 보내는 동작; 및 적어도 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 (integrity) 보호 형식으로 포함하는 제2메시지를 상기 노드로부터 적어도 부분적으로 무결성 보호 방식으로 수신하는 동작을 실행하는 컴퓨터 프로그램 생성물을 제안한다.
또, 본 발명의 전형적이지만 비한정적 실시예들에 따르면, 본 발명은, 전송기 및 수신기와 연결되어, 한 노드로부터 상기 수신기를 통해, 상기 노드에 의해 지원되는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 관련된 해당 아이디로 이뤄진 제1메시지들을 수신하도록 동작하는 데이터 프로세서를 포함하는 네트워크 장치를 제안한다. 데이터 프로세서는 상기 노드로부터 수신된 리스트에 적어도 부분적으로 기초하여 부트스트래핑에 사용될 인증 메커니즘을 결정하고, 상기 전송기를 통해, 상기 결정된 인증 메커니즘 및 해당 아이디에 부수되는 정보를 포함하는 제1응답 메시지를 상기 노드로 전송하도록 더 동작할 수 있다. 데이터 프로세서는 상기 노드로부터, 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 포함하는 제2메시지를 적어도 부분적으로 무결성 보호방식으로 수신하도록 더 동작할 수 있다.
또한, 본 발명의 전형적이지만 비한정적인 실시예들에 따르면, 본 발명은, 전송기 및 수신기와 연결되어, 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 관련된 해당 아이디로 이뤄진 제1메시지를 네트워크로 전송하는 수단; 및 네트워크로부터, 상기 리스트 및 해당 아이디로부터 네트워크에 의해 선택된 인증 메커니즘을 나타낸 정보를 포함하는 제1응답 메시지를 수신하는 수단을 포함하는 장치가 제안된다. 이 장치는 장치에 의해 지원되는 인증 메커니즘들의 상기 리스트를 무결성 보호하고, 장치가 지원하는 인증 메커니즘들의 상기 리스트 및 각 인증 메커니즘들과 결부된 해당 아이디를 무결성 보호 형식으로 구비한 제2메시지를 적어도 부분적으로 무결성 보호되는 방식으로 네트워크에 전송하는 수단을 더 포함한다.
또, 본 발명의 전형적이지만 비한정적인 실시예들에 따르면, 본 발명은 한 노드에 의해 지원되는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄진 제1메시지를 상기 노드로부터 수신하는 수단, 상기 노드로부터 수신된 리스터에 적어도 일부 기초하여 부트스트래핑에 사용될 인증 메커니즘을 선택하는 수단, 및 선택된 인증 메커니즘 및 해당 아이디에 부수되는 정보를 구비한 제1응답 메시지를 상기 노드로 전송하는 수단을 포함하는 네트워크 장치가 제안된다. 수신 수단은 상기 노드로부터 적어도 부분적으로 무결성 보호되는 제2메시지를 수신하도록 동작하고, 상기 제2메시지는 노드가 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디를 포함한다.
다시, 본 발명의 전형적이지만 비한정적인 실시예들에 따르면, 본 발명은 네트워크 장치와 연결된 장치를 포함하는 시스템을 제안하며, 여기서 장치는, 전송기 및 수신기와 연결되어 장치에 의해 지원되는 인증 메커니즘들의 리스트 및, 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄진 제1메시지를 상기 전송기를 통해 네트워크 장치로 전송하도록 동작하는 데이터 프로세서를 포함한다. 네트워크 장치는 전송기 및 수신기와 연결되어, 상기 리스트로부터 한 인증 메커니즘을 선택하도록 동작하는 데이터 프로세서를 포함한다. 장치는 수신기를 통해 네트워크 장치로부터, 네트워크 장치가 상기 리스트로부터 선택한 인증 메커니즘 및 해당 아이디에 부수되는 정보를 포함하는 제1응답 메시지를 수신한다. 장치의 데이터 프로세서는 적어도 부분적으로, 장치가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호하고, 전송기를 통해, 인증 메커니즘들의 리스트 및 해당 아이디들을 포함한 제2메시지를 네트워크 장치로 전송하도록 동작한다.
또한, 본 발명의 전형적이지만 비한정적인 실시예들에 따르면, 본 발명은 한 장치에 의해 지원되는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디로 이뤄진 제1메시지를 네트워크로 전송하는 단계; 및 해당 아이디와 함께 상기 리스트로부터 네트워크에 의해 선택된 인증 메커니즘에 부수되는 정보를 구비하는 제1응답 메시지를 상기 네트워크로부터 수신하는 단계를 포함하는 방법을 제안한다.
도 1은 3GPP2 GBA 참조 네트워크 아키텍처를 도시한 블록도이다;
도 2는 인증 메커니즘 선택을 포함하는 부트스트래핑 절차를 도시한 것이다;
도 3은 MITM 공격이 있는 에러 상황에 대한 일례이다;
도 4는 MITM 공격이 있는 에러 상황에 대한 대른 예이다;
도 5는 여러 번의 메시지 교환 라운드를 이용하는 부트스트래핑이 있는 메커니즘 선택의 일례이다;
도 6은 HTTP 다이제스트 인증을 이용한 협상의 비한정적 예를 보인 것이다;
도 7은 평범한 HTTP 전송을 이용하는 협상의 비한정적 예를 보인 것이다;
도 8은 본 발명의 전형적 실시예들에 따른 인증 메커니즘 선택을 하는 부트스트래핑 절차를 도시한 것으로, 위에서 참조한 미국 가출원 번호 60/759,487에 증거자료 C로서 첨부된 "Generic Bootstrapping Architecture (GBA) Framework", 2005년 12월자 버전 0.6, 3GPP2 S.P0109-0의 부록 C에 보인 AKA에 기초한 부트스트래핑 시그날링에 대한 도 C.3-1로부터 각색된 것이다.
본 발명의 비한정적인 전형적 실시예들은 일반적으로 인증에 대한 것으로, 특히, 3GPP에 정의되어 있고 3GPP2에도 소개되어 있는 3GPP 일반 부트스트래핑 아키텍처 (GBA)에 관한 것이다. 도 1은 일반적이고 비한정적인 부트스트래핑 참조 아키텍처를 도시한 것이다. 도 1에, HSS (Home Subscriber System, 홈 가입자 시스템)(2), HLR (Home Location Register, 홈 위치확인 레지스터)(4), AAA (Access, Authentication and Accounting, 액세스, 인증 및 활동기록)(6), BSF(8), NAF (Network Application Function, 네트워크 어플리케이션 기능)(10) 및 사용자 장치/MN (Mobile Node)(12) 및 이들 구성요소들 사이의 인터페이스들이 도시되어 있다. 적절한 전송기들 (Tx) 및 수신기들 (Rx)이 MN(12), BSF(8) 및 기타 네트워크 구성요소들 사이에서 정보 및 메시지들을 전송하는데 사용된다는 것이 추정된다. 본 발명의 비한정적인 전형적 실시예들은 MN(12)과 부트스트래핑이 수행되는 BSF(8) 사이의 Ub 인터페이스와 관련된 절차들을 주로 다룬다. 모바일 단말은 3GPP에서 사용자 기기 (UE)라고 부르고, 3GPP2에서는 모바일 모드 (MN)로 부른다는 것을 알 아야 한다. 본 출원에서, 이러한 용어들은 일반성을 훼손함이 없이 서로 교환 가능한 것으로 사용될 수 있으며, 이들을 더 일반화하여 장치나 노드라고 부를 수도 있다.
본 발명의 비한정적인 전형적 실시예들은 MN(12)과 네트워크 사이의 부트스트래핑을 위해 지원되는 메커니즘들/알고리즘들을 협상하기 위한 메커니즘을 제공한다.
본 발명의 비한정적인 전형적 실시예들은, MN(12)과 네트워크 요소 (BSF, 8)가 GBA (3GPP2 환경)에 사용할 인증 및 부트스트래핑 메커니즘에 동의하도록 하는 솔루션을 제공하고, 또한 그 메커니즘이 기존 3GPP 절차들 안에 어떻게 병합될 수 있을지도 정의한다. MN(12)는, 데이터 프로세서 (DP)(12B)에 연결된 메모리 (MEM)(12A) 안에 자신이 지원하는 인증 및 부트스트래핑 메커니즘들의 리스트를 저장하는 등의 방식을 통해 그러한 리스트를 보유한다고 추정된다. 메모리(12A)는 또한 본 발명의 다양한 실시예들에 따라 DP를 동작시키는 프로그램 코드를 vhka한다고도 추정된다. BSF(8) 역시 데이터 프로세서 (DP)(8B)에 연결된 메모리 (MEM)(8A)를 포함한다는 것이 더 추정된다. 메모리(8A)는 본 발명의 다양한 실시예들에 따라 DP(8B)를 동작시키는 프로그램 코드를 포함하는 것으로 추정된다.
일반적으로, MN(12)에 대한 다양한 실시예들로는 셀룰라 전화, 무선 통신 기능을 갖춘 PDA (personal digital assistant), 무선 통신 기능을 갖춘 휴대형 컴퓨터, 무선 통신 기능을 가진 디지털 카메라 등의 이미지 캡처 장치, 무선 통신 기능을 갖춘 게임기, 무선 통신 기능을 가진 음악 저장 및 재생기, 무선 인터넷 액세스 및 검색을 가능하게 하는 인터넷 기기, 그리고 그러한 기능들이 조합된 것을 포함하는 휴대형 유닛이나 단말이 포함될 수 있으나, 여기에 국한되는 것은 아니다. 다른 실시예들에서, 노드는 무선 링크를 통해 네트워크와 무선 통신할 수 있는 전송기 및 수신기를 포함하지 않을 수도 있고, 대신 전기 및 광 접속 중 하나 혹은 둘 모두를 포함하는, 케이블이나 배선을 통한 유선 접속이 사용될 수 있다.
메모리들(8A 및 12A)은 로컬 기술 환경에 적합한 어떠한 타입이라도 될 수 있으며, 반도체 기반 메모리 장치, 자기 메모리 장치 및 시스템, 광 메모리 장치 및 시스템, 고정 메모리 및 탈부착 가능 메모리 같은 임의의 적절한 데이터 저장 기술을 이용해 구현될 수 있다. 데이터 프로세서들(8B 및 12B)은 로컬 기술 환경에 적합한 어떤 타입이나 해당할 수 있고, 범용 컴퓨터, 특수용도의 컴퓨터, 마이크로프로세서, 디지털 시그널 프로세서 (DSP) 및 멀티-코어 프로세서 아키텍처에 기반한 프로세서들을 비한정적 예로서 포함할 수 있다.
일반적으로, 본 발명의 전형적 실시예들은 DP(12B) 같은 MN(12)의 데이터 프로세서에 의해 실행될 수 있는 컴퓨터 소프트웨어, 또는 하드웨어 회로, 또는 소프트웨어 및 하드웨어 회로의 조합을 통해 구현될 수 있다. 본 발명의 실시예들은 또한 DP(8B) 같은 BSF(8)의 데이터 프로세서로 실행될 수 있는 컴퓨터 소프트웨어, 또는 하드웨어 회로, 또는 소프트웨어와 하드웨어 회로의 조합을 통해서도 구현될 수 있다.
먼저, 여기 그 전부의 내용이 참조 형태로 포함되는 Gabor Bajko와 Jat Keung Chan에 의해 2005년 9월 21일 출원된 미국 특허 출원 번호 11/232,494, "Method, Apparatus and Computer Product Providing Bootstrapping Mechanism Selection in Generic Bootstrapping Architecture (GBA)"를 참조할 것이다. 미국 특허 출원 번호 11/232,494는 위에서 참조한 미국 가출원 번호 60/759,487에 증명자료 D로서 첨부되었던 것으로, 이 명세서에 그 전체가 참조 형태로 병합되는 2005년 6월 13일 출원된 미국 가출원 번호 60/690,528과 (이하에서 수차례 참조할) 2005년 6월 21일 출원된 미국 가출원 번호 60/692,855를 35 U.S.C.§119(e) 조항 하에서 우선권 주장한다.
본 발명의 전형적 실시예들을 자세히 논하기에 앞서, 그에 대한 보다 충분한 이해를 돕기 위해, 지금부터 미국 출원 번호 11/232,494에 개시된 주제에 관한 논의를 제공할 것이다. 이와 관련해 이하에서 도 2-7을 참조할 것이다.
전형적 실시예에서, 미국 출원 번호 11/232,494에 개시된 비한정적 실시에들에 따른 부트스트래핑 절차는 이하에서 도 2와 관련해 보다 상세히 설명될 이하의 단계들을 구비한다.
A. 초기 부트스트래핑 요청시, MN(12)이 요청문 안에 자신이 지원하는 인증 메커니즘들의 리스트(11)를 BSF(8)로 제공한다. MN(12)은 또 사용자의 아이디도 포함한다.
B. BSF(8)는 MN(12)으로부터 수신한 리스트(11)와 기타 정보 (비한정적인 예로서 BSF(8) 자신이 지원하는 메커니즘들 및, 사용자 아이디에 기초해 북구된 사용자 프로파일을 포함함)에 기초해 부트스트래핑에 사용될 인증 메커니즘을 결정한다. BSF(8)는 그런 다음, 보통 인증 챌린지 (chanllenge)에 대한 응답을 포함하는 선택된 인증 메커니즘과 함께 진행한다. BSF(8)는 그 응답 안에 선택된 인증 메커니즘의 표시 역시 포함한다.
C. MN(12)은 BSF(8)에, 선택된 인증 메커니즘에 기초해 생성되는 챌린지에 대한 응답을 포함하는 새 HTTP 요청을 전송한다. 이 메시지는 MN(12)이 지원하고 이때에만 무결성 보호된 인증 메커니즘들의 오리지널 리스트(11)를 또한 포함한다.
D. BSF(8)는 챌린지에 대한 응답이 바른지를 검증하고, 응답이 기대한 응답에 해당하면 MN의 인증이 성공적이라고 간주한다. 인증이 성공적이고, C 단계에서 수신된 리스트가 A 단계에서와 동일한 것이면, BSF(8)는 HTTP 성공 응답으로 MN에 답한다. 이 응답 메시지 역시 무결성 보호된, 선택된 인증 메커니즘에 대한 표시를 포함할 수 있다.
E. MN(12)은 성공 응답을 수신하고, 선택된 인증 메커니즘이 지시된 대로 인지를 검증할 수 있다.
최초의 두 메시지들 (A 및 B 단계들)은 두 당사자들이 서로를 인증하지 않았기 때문에 일반적으로 보호될 수 없으므로, MITM 공격자 (attacker)가 메시지 A를 가로 채, 리스트 안에서 강력한 인증 메커니즘을 제거하고 BSF(8)가 선택할 리스트 안에 약한 인증 메커니즘(들)만을 남겨놓을 수 있다. 이것은 "bid-down (비드 다운)" 공격을 파생시키는데, 이 공격시 부트스트래핑 절차는 양 당사자 (가령, BSF(8) 및 MN(12)) 모두가 지원하는 강력한 인증 메커니즘들이 있을 때조차 보다 약한 인증 메커니즘에 기초하도록 강제된다. 미국 출원 번호 11/232,494에 개시된 비한정적 실시예들에 따르면 그 절차는, MN(12)이 C 단계의 무결성 보호 형식으로 그 리스트를 반복하게 해, BSF(8)로 하여금 A 및 C 단계의 리스트들이 매치하지 않을 때 MITM 공격을 검출하도록 함으로써 이런 유형의 "bid-down" 공격들을 배제한다.
미국 출원 번호 11/234,494에 개시된 비한정적 실시예들의 다양한 양태들을 이제 더 상세히 설명하자면, 3GPP에서 (MN(12)과 BSF(8) 사이의) Ub 인터페이스는 HTTP 다이제스트 인증에 기반한다. 동일한 메커니즘이 3GPP2에 채택되고 있다. 예를 들어, 3GPP 및 3GPP2 AKA에 대해서는 Digest-AKA가 사용되는 반면, CDMA 1x 및 CDMA EV-DO 시스템들에 대한 부트스트래핑을 위해서는, (SMEKEY 및 MN(12)-AAA Key에 각각 기반하는) 패스워드 보호형 디피-헬만 (Diffie-Hellman)의 HTTP 다이제스트 인증이 이용된다 (3GPP2 기고: 2005년 5월 포틀랜드, 3GPP2 TSG-S WG4, "Bootstrapping procedures for CDMA 1x and CDMA 1x EV-DO systems" 참조). 달리 말해, 가능한 인증 및 부트스트래핑 메커니즘들이 적어도 다움과 같은 것을 포함할 수 있다:
3GPP AKA (알고리즘이 특정되지 않고, 오퍼레이터 사양임);
3GPP2 AKA (SHA-1이 인가된 알고리즘임);
SMEKEY 기반 부트스트래핑; 및
MN-AAA 키 기반 부트스트래핑.
앞으로, 더 많은 인증 메커니즘들이 활용가능하게 될 것이고 MN-BSF 선택 절차에 용이하게 포함될 수 있다.
IETF의 각개 그리고 모든 인증 메커니즘에 대한 다이제스트 변형을 표준화할 필요를 없애기 위해, 지원되는 인증 메커니즘들과 선택된 인증 메커니즘들에 대한 리스트를 HTTP 메시지들의 페이로드 안에 내장되도록 하는 것이, 이 정보를 다이제스트 인증 헤더들 안에 운반시키는 것보다 선호된다.
도 2는 인증 메커니즘 선택이 이뤄지는 GBA 부트스트래핑 절차에 대한 메시지 시퀀스를 보인 것으로, 다음과 같이 보다 상세히 설명될 것이다:
1. MN(12)이 BSF(8)로 HTTP GET의 형식으로 초기 부트스트래핑 요청을 전송한다. MN(12)은 인증 헤더 안에 사용자 아이디를 포함한다. 또, 지원되는 인증 메커니즘들의 리스트 (가령, [A, B, C])가 HTTP 페이로드 안에 포함된다.
2. 부트스트래핑 요청을 수신할 때, BSF(8)는 페이로드로부터, 지원되는 인증 메커니즘들의 리스트를 추출한다. 추출된 인증 메커니즘들, BSF(8) 자신이 지원하는 인증 메커니즘들의 리스트, 사용자 프로파일 (사용자 아이디에 기초해 북구됨), 및 가능하다면 다른 정보에 기초해, BSF(8)가 부트스트래핑에 사용할 인증 메커니즘을 정한다.
3. BSF(8)는 MN(12)으로 HTTP 401 무권한 (unauthorized) 응답을 전송한다. 이 응답은 선택된 인증 메커니즘에 기초한 적절한 정보를 포함한다. 예를 들어, 3GPP AKA가 선택되면, WWW-Authenticate (권한부여) 헤더는 IETF RFC3310 "Digest AKA"에 따라 AKA 파라미터들을 포함한다. 이외에, 페이로드는 선택된 인증 메커니즘 (이 경우, A)의 표시를 포함할 것이다. 그 외에, 다이제스트 인증을 위한 보호 품질 (qop, quality of protection)이 페이로드의 무결성 보호가 필요하다는 것을 가리키는 "auth-int"로 세팅된다.
4. MN(12)은 페이로드에서 BSF(8)의 선택을 찾아, 그 선택에 따른 인증 프로세스를 재개한다. 일반적으로, 이것은 수신된 챌린지 및 일부 공유 시크릿들에 기초한 응답의 산출을 포함할 것이다.
5. MN(12)은 BSF(8)로 HTTP GET의 형식으로 새 부트스트래핑 요청과 함께, 선택된 인증 메커니즘에 따라 산출된 응답을 보낸다. 그외에, 페이로드는 MN(12)이지원하는 인증 메커니즘들의 오리지널 리스트를 포함한다. qop가 "auth-int"로 세팅 되었기 때문에, 이 오리지널 리스트는 다이제스트 응답 산출시 포함되게 되고 따라서 무결성 보호된다.
6. BSF(8)는 먼저 페이로드 안에 주어진 리스트가 2 단계에서 수신된 것과 매치하는지를 검증한다. 매치된다는 것을 알 때에만, BSF(8)는 선택된 메커니즘에 기초한 인증을 계속한다. 일반적으로, 이것은 수신된 다이제스트 응답을 검증하는 단계와, 서버 측 인증 목적의 서버-응답을 산출하는 단계를 포함한다.
7. BSF(8)는 성공적 인증 및 부트스트래핑 동작을 가리키는 HTTP 200 OK 메시지로 응답한다. 이 메시지는 또 BSF에 의해 산출된 다이제스트 응답 역시 포함한다. 또 이 메시지는 MN(12)에 의해 참조 될 선택된 인증 메커니즘에 대한 표시 또한 포함한다. 마찬가지로, 이 표시는 qop를 "auth-int"로 세팅함으로써 무결성 보호된다.
8. MN(12)은 선택된 인증 메커니즘이 실제로 3 단계에서 지시된 것과 같은지를 검증할 수 있다. 그 메커니즘은 선택된 인증 메커니즘을 HTTP 200 OK 응답에 포함시키지 않고도 완벽하게 동작된다는 것을 알아야 한다.
9. BSF(8)와 MN(12) 둘 모두 선택된 인증 및 부트스트래핑 메커니즘에 기초해 부트스트래핑 키를 도출한다.
도 3은 MITM 공격자(14)가 상술한 것과 같은 비드-다운 공격을 시도할 때의 상황을 예시한 것이다. 이하에서 도 3의 각 단계를 설명할 것이다.
1. 도 2의 1 단계와 동일. 오리지널 리스트(11)가, 예를 들어, 지원되는 메커니즘들, 즉, A, B, 및 C를 포함한다.
1a. 메시지 1이 MITM 공격자(14)에 의해 가로채어 진다. 오리지널 리스트(11)는 지원되는 그 세 개 중 가장 약한 것일 수 있는 메커니즘 C 만을 포함하는 리스트로 대체된다.
2. BSF(8)는 메커니즘 C만을 포함하는 그 리스트를 추출하고, 그에 따라 C를 선택해 진행한다.
3. 지시된 메커니즘 C에 의한, 도 2의 3 단계와 동일.
4. MN(12)은, BSF(8)가 메커니즘 C를 선택했다고 믿고 그에 따라 절차를 진행한다.
5. 도 2의 6 단계와 동일. MN(12)은 메커니즘 C를 가지고 절차를 진행하지만, 페이로드 안에 무결성 보호된 [A, B, C]의 오리지널 리스트를 포함하므로, MITM 공격자(14)가 메시지에 대한 변경을 행할 수 없다.
6. BSF(8)는 수신된 리스트를 검증하면서, 그 리스트가 2 단계에서 수신된 것과 같지 않다는 것을 알게 된다. BSF는 비드-다운 공격이 시도되었다는 것으로 결론짓고, 그에 따라 HTTP 403 금지 (Forbidden) 메시지를 가지고 부트스트래핑 절차를 중단한다.
다른 대안으로서, BSF(8)는 2 단계에서 수신된 리스트가 사용자 프로파일에서 지시된 것과 매치하지 않을 때 이 공격을 검출할 수 있고, 이 경우 역시, BSF는 부트스트래핑 절차를 중단하기로 결정할 것이다. 이것이 도 4의 1, 2 및 3 단계에 도시되어 있다.
다시 미국 출원 번호 11/232,494에 개시된 비한정적 실시예들에 따르면, 적어도 한 가지는, 선택된 인증 메커니즘에 대한 부트스트래핑 절차가 둘을 넘는 요청/응답 라운드 이행을 포함하는 경우들에 속하게 된다. 예를 들어, 다이제스트-AKA에 기반하는 부트스트래핑은 두 라운드의 요청/응답이 이행될 것을 요구한다. 앞의 실시예는 SMEKEY 및 MN-AAA Key에 기초한 부트스트래핑이 마찬가지로 두 번의 요청/응답 라운드를 필요로 하는 경우들일 수 있지만, 둘보다 많은 요청/응답 라운드를 요하는 경우들 일 수도 있다. 이 경우, 미국 특허 출원 번호 11/232,494에 개시된 비한정적 실시예들이 계속 적용된다. 이 상황이 도 5에 도시되고 다음과 같이 설명될 것이다:
1. 초기 부트스트래핑 요청시, MN(12)은 요청문에 자신이 지원하는 인증 메커니즘의 리스트 (가령, {A, B, C})를 BSF(8)에 제공한다. MN(12)은 사용자의 아이디 역시 포함한다. 대부분의 경우, 이 리스트는 보호되어 있지 않다고 추정된다.
2. BSF(8)는 MN(12)으로부터 수신되는 리스트, 기타 정보 (BSF(8) 자체가 지 원하는 메커니즘 및 사용자 아이디에 기초해 북구된 사용자 프로파일을 포함함)에 기반해 부트스트래핑에 사용될 인증 메커니즘을 결정한다. 도 5는 메커니즘 A가 선택된 비한정 예라고 전제한다.
3. BSF(8)는 이제 선택된 인증 메커니즘을 가지고, 보통 인증 챌린지에 대한 응답을 포함하는 절차를 진행한다. BSF(8)는 또한 응답시, 선택된 인증 메커니즘 (이 예에서 메커니즘 A)의 표시를 포함한다. 역시, 이 표시도 보호되지 않을 것이다.
이런 점으로부터 MN(12)과 BSF(8)가 선택된 메커니즘 (가령, 도 5에 도시된 것과 같은 메커니즘 A)을 가지고 진행을 계속한다는 것을 알아야 한다. 위에서 주지하였다시피, 서로 다른 메커니즘들은 부트스트래핑 절차를 이행하는데 서로 다른 회수의 메시지 교환 라운드들을 필요로 할 것이다. 예를 들어, 다이제스트-AKA 메커니즘은 3 단계 후 요청/응답이 한 번 더 이행될 것을 요하고, 반면 CAVE 및 MN-AAA 키에 기초한 부트스트래핑에서는, 부가 라운드들이 요구될 수 있다. 본 발명의 전형적 실시예들에 따르면, 후속 메시지들 중 하나를 통해, MN(12)이 오리지널 리스트(11) (메시지 1을 통해 전송된 것과 같음)를 다시 전송하지만, 이것은 보호가 된다 (가령, 무결성 보호됨); 한편 BSF(8)는 선택된 메커니즘 (메시지 3을 통해 전송된 것과 같은)을 다시 전송할 수 있는데, 이것은 보호가 된다 (가령, 무결성 보호됨). MN(12)은 보호된 오리지널 리스트(11)를 다시 전송하지만, BSF(8)가 다시 보호된 선택 메커니즘을 전송하는 것은 옵션이다 (그러나 선호됨). 그러한 파라미터들이 보호되어 다시 전송되면, 상대방은 전송된 그 파라미터가 수신된 오리 지널 파라미터와 같은지를 검증할 수 있어, MITM 공격자에 의해, 비보호로 전송되었던 오리지널 파라미터들을 변경하고자 하는 어떤 시도를 검출할 수 있게 된다. 이하의 설명에서, 무결성 보호가 파라미터들을 보호하기 위한 전형적인 기술로서 사용되고 있다. 그러나, 파라미터들이 암호화될 수도 있다는 것을 알아야 한다.
4. 계속 도 5를 참조하면, 4 단계에서 MN(12)은 메커니즘 A에 따른 응답들을 산출한다.
5-6. MN(12)과 BSF(8) 사이에는 설명한 대로 여러 회의 요청/응답 라운드들이 있게 될 것이다. 이러한 라운드들 가운데 일부에서, 선택 메커니즘이, 요망된 무결성 보호를 지원하지 못할 수도 있다. 그에 따라 MN(12)과 BSF(8)는 무결성 보호된 파라미터들을 전송하지 못할 수 있다.
7. 부트스트래핑 절차의 어떤 소정 지점에서, MN(12)은 무결성 보호된 데이터를 포함하는 메시지를 전송하는 능력을 가질 수 있다. 예를 들어, 메시지 7을 통해, MN(12)이그러한 메시지를 전송할 수 있다고 가정한다. 그렇다면, MN(12)은 도 5에서 P[{A, B, C}]로 표시된, 무결성 보호된 오리지널 리스트(11)를 포함할 섯이다.
8. 그 메시지를 수신하면, BSF(8)는 무결성 보호된 리스트가 메시지 1을 통해 MN(12)에 의해 최초에 보내진 리스트와 같은지를 검증한다. 같지 않으면, BSF(8)는 MN(12)에 에러 응답을 보내, 동작을 중지하도록 할 수 있다(미도시). 이와 달리, BSF(8)가 조용히 동작을 중단할 수도 있다.
9. 부트스트래핑 절차의 소정 지점에서, BSF(8)는 무결성 보호된 데이터를 포함하는 메시지를 전송할 수 있다. 예를 들어, 메시지 9에서, BSF(8)가 그러한 메시지를 전송할 수 있다는 것을 전제한다. BSF는 도 5에서 P[A]라고 표시되는, 무결성 보호된 선택 메커니즘 (이 예에서 메커니즘 A)을 포함할 수 있다.
10. 그 메시지를 수신할 때, MN(12)은 무결성 보호된 선택 메커니즘이 메시지 2를 통해 BSF(8)에 의해 최초 전송된 것과 같은지를 검증한다. 같지 않으면, MN(12)은 BSF(8)로 에러 메시지를 전송해 동작을 중지하게 할 것이다(미도시). 이와 달리, MN(12)이 조용히 동작을 중단할 수도 있다.
11. 성공적이면, 두 당사자들은 선택된 부트스트래핑 메커니즘에 따라 부트스트래핑 키 K들을 도출할 수 있게 된다.
7과 8 단계, 그리고 9와 10 단계 (존재한다면)는 설명한 것과 같은 순서대로 일 필요가 없고, 연속적인 메시지들로 될 필요도 없다는 것을 알 수 있다. 즉, BSF(8)가 먼저 무결성 보호된 파라미터 (선택 메커니즘)를 가진 메시지를 전송할 수 있고, MN(12)이 나중에 무결성 보호된 파라미터 (지원되는 메커니즘의 리스트)를 가진 메시지를 전송할 수가 있다. 또, 무결성 보호된 메시지들이 전송되기 전후에 더 많은 메시지들의 라운드가 있을 수도 있다.
이하의 내용은, HTTP 다이제스트 인증 (도 6) 및 평범한 HTTP 전송 (도 7)을 이용하는, 미국 특허 출원 번호 11/232,494에 개시된 비한정적 실시예들에 따른 전형적 구성들을 나타낸다. 미국 특허 출원 번호 11/232,494에 개시된 전형적이나 비한정적인 실시예들은 그 두 예들에만 국한되는 것이 아니고, 다른 전송/인증 메커니즘들 (가령, 확장형 인증 프로토콜 (EAP, Extensible Authentication Protocol))을 역시 이용하여 구현될 수 있다는 것을 알아야 한다. 이하의 설명에서, 메커니즘 협의에 필요로 되는 파라미터들 (MN(12)에 의해 전송되는 지원되는 메커니즘들의 리스트, 및 BSF(8)에 의해 전송되는 선택 메커니즘)은 HTTP 메시지들의 페이로드들을 통해 전송된다고 전제된다. 그러나, 이 파라미터들이 그와 달리 HTTP 메시지들의 적절한 헤더들을 통해 운반될 수도 있다는 것을 알아야 한다.
HTTP 다이제스트 인증
이 전형적 구현예에서, 패스워드 보호형 디피-헬만을 통한 HTTP 다이제스트 인증이 부트스트래핑에 사용된다. 디폴트 패스워드 (가령, "11...1")가 다이제스트 패스워드로 사용되어, MN(12)과 BSF(8) 간의 상호 인증은 MS_AUTH 및/또는 BS_AUTH를 이용하는 패스워드 보호형 디피-헬만 메커니즘에 기초한다. 패스워드 보호형 디피-헬만 메커니즘의 상세내용은 3GPP2에 명시되고 있는 무선 랜 (LAN) 인터워킹 (interworking) 사양 (2005년 6월 21일 출원된 미국 가출원 번호 60/692,8553에 증명자료 D로서 첨부된, 3GPP2 X.P0028의 섹션 7.1.1, "Wireless LAN interwoking" 참조)에서 설명된 WKEY (Wireless LAN Key) 생성 절차들에 기초한다.
도 6은 선택 메커니즘이 CAVE일 때, 부트스트래핑 메커니즘 협의에 대한 전형적인 한 구현예를 도시한 것으로, 여기서 CAVE를 통한 부트스트래핑 절차는 모두 3 라운드의 HTTP 요청/응답을 요한다. MN-AAA 키에 기반한 부트스트래핑 상황은 매우 유사하며, 따라서 더 자세히 설명하지는 않을 것이다.
다음은 도 6에 도시된 단계들을 더 상세히 설명한 것이다.
1. MN(12)이 BSF(8)을 향해 HTTP GET 요청을 전송한다. "IMSI@realm.com" 형태의 사용자 아이디가 권한위임 (Authority) 헤더 안에 username (사용자 이름)으로서 포함된다. 그 외에, 사용자가 페이로드 안에 지원되는 부트스트래핑/인증 메커니즘들의 리스트(11)를 전송한다 (가령, MN(12)이 CAVE 및 두 개의 다른 메커니즘들인 B와 C를 지원한다는 것을 의미하는 {CAVE, B, C}).
2. BSF(8)는 페이로드로부터 지원되는 메커니즘들의 리스트를 북구하고, 그 리스트, 사용자 프로파일, 및/또는 기타 정보에 기초해 결정을 내리고, BSF(8)가 이 비한정적 예에서 CAVE를 부트스트래핑 메커니즘으로 선택한다. 이 지점부터 부트스트래핑은 CAVE인 선택 메커니즘에 기반한다. BSF(8)는 32 비트 RAND 챌린지 값을 생성한다.
3. BSF(8)는 MN(12)에 HTTP 401 응답을 전송한다. RAND는 base64-인코딩되고 222-인증 헤더의 난스 (nonce) 필드를 통해 운반된다. 필드 "qop-options"가 "auth-int"로 세팅된다. 페이로드는 CAVE가 선택된 메커니즘이라는 표시 또한 포함한다.
4. MN(12)은 페이로드로부터 선택 메커니즘을 추출하고 그에 따라 절차를 진행한다. CAVE에 대해, GBA 기능부에 의해 수신된 RAND 챌린지 값이 모의 (simulated) 글로벌 챌린지 (Global Challenge)로서 R-UIM이나 1X 단말로 보내진다.
5. 1X 단말 (또는 R-UIM)은 글로벌 챌린지에 AUTHR 및 SMEKEY로 응답한다. 그런 다음 AUTHR 및 SMEKEY가 GBA 기능부로 전달된다.
6. GBA 기능부는 MS_PW를 SMEKEY가 되게 세팅한다. 또한 GBA 기능부는 디피-헬만 방식을 위한 시그릿 난수 "x"를 생성한다. 다이제스트 인증을 위해, GBA 기능부는 클라이언트 난스 (nonce)로서 사용될 32 비트 난수인 CRAND를 또한 생성한다.
7. MN(12)은 적절한 권한위임 헤더를 가지고 BSF(8)에 다른 HTTP GET 요청을 보낸다. 다이제스트 응답은 디폴트 패스워드를 사용하는 RFC2617 (2005년 6월 21일 출원된 미국 가출원 번호 60/692,855에 증명자료 C로서 첨부됨)에 따라 산출된다고 전제된다. CRAND는 base64 인코딩되고 cnonce 필드를 통해 운반된다. HTTP 페이로드는 AUTHR 및 MS_RESULT, 즉 MS_ PW = SMEKEY인 SMEKEY의 해시 (hash)에 의해 커버되는 g x mod p를 포함한다.
8. BSF(8)는 수신된 MS_RESULT가 p이 아닌 것을 확인한다. VLR로서 동작하는 BSF(8)는 AUTHREQ를 HLR/AC 4'로 보낸다. AUTHREQ는 RAND, SYSACCTYPE=GAA 액세스 및 AUTHR 파라미터들을 포함한다. ESN 파라미터는 전부 제로들로 세팅된다. SYSCAP 파라미터는 인증 파라미터들이 이 시스템 액세스 상에서 요청되었다는 것과 (bit-A=1) 시그날링 메시지 암호화가 그 시스템에 의해 지원된다는 것 (bit-B=1)을 가리키도록 세팅된다. SYSCAP 파라미터의 다른 모든 비트들은 0으로 세팅됨이 바람직하다.
9. HLR/AC 4'가 AUTHR을 검증하고 SMEKEY를 생성한다.
10. HLR/AC 4'는 SMEKEY 파라미터를 포함하는 TIA-41 AUTHREQ로서 응답한다. 인증이 실패하면, AUTHREQ는 액세스 부인 (deny) 표시만을 포함할 것이다.
11. BSF(8)는 디폴트 패스워드를 이용해 다이제스트 응답을 검증함으로써 MN(12)을 인증한다. 성공적이면, BSF(8)는 BS_PW=SMEKEY를 세팅하고 디피-헬만 방식을 위한 시크릿 난수 "y"를 생성한다.
12. BSF(8)는 128 비트 Ks를 생성한다. B-TID 값 역시, 2 단계에서 base64 인코딩된 RAND 값과, BSF(8) 서버 네임, 즉 base64encode(RAND)@BSF_servers_domain_name을 취함으로써 NAI의 포맷으로 생성된다.
13. BSF(8)는 200 OK 응답을 MN(12)으로 보낸다. 서버 다이제스트 응답 "rspauth"가 디폴트 패스워드를 사용하는 RFC2617 (2005년 6월 21일 출원된 미국 가출원 번호 60/692,855에 증명자료 C로서 첨부됨)에 따라 산출되고 Authentication-Info (인증-정보) 헤더를 통해 운반된다. 200 OK 응답의 페이로드 또한 BS_RESULT, 즉, SMEKEY의 해시, B-TID, 키 Ks의 수명, 선택 메커니즘 (CAVE)의 표시 및 BS_AUTH에 의해 커버되는 g y mod p를 포함한다. BS_AUTH의 산출시 상기 데이터를 포함함으로써 무결성 보호가 이뤄진다는 것을 알아야 한다. 한 전형적 방식은 다음과 같다:
BS_AUTH[data] = SHA-1(0x00000005 | 0x00000C80 + sizeof(data) | BS_PARAM | data | BS_PARAM | data) modulo 2128, 여기서 data는 무결성 보호되어야 되는 정보이고, 이 경우 B-TID, 키 수명 및 선택 메커니즘 (CAVE)의 표시를 포함한다.
14. MN(12)은 디폴트 패스워드를 사용하는 RFC2617 (2005년 6월 21일 출원된 미국 가출원 번호 60/692,855에 증명자료 C로서 첨부됨)에 따라 rspauth를 검증하고, BS_AUTH가 XBS_AUTH' (BS_AUTH와 같은 계산식 사용)와 같다는 것을 검사한다. MN(12)은 또 지시된 선택 메커니즘이 CAVE라는 것 역시 검사한다. 성공적이면, 서버와, 전송된 메시지가 인증된다. 성공하지 못하면, MN(12)은 부트스트래핑 절차를 중단하고 즉시, 혹은 나중에 재시도할 수 있다.
15. MN(12)은 128 비트 Ks를 생성한다.
16. MN(12)은 적절한 권한위임 헤더를 통해 다른 HTTP GET 요청을 BSF(8)로 보낸다. 다이제스트 응답은 디폴트 패스워드를 사용해 계산된다. 페이로드는 지원되는 메커니즘들의 리스트 (이 예에서 {CAVE, B, C}) 및 MS_AUTH를 포함한다. MS_AUTH 산출시 보호되어야 할 데이터를 포함시킴으로써 무결성 보호가 주어질 수 있다. 하나의 전형적 방식이 다음과 같다:
MS_AUTH[data] = SHA-1(0x00000004 | 0x00000C80 + sizeof(data) | MS_PARAM | data | MS_PARAM | data) modulo 2128, 여기서 data는 무결성 보호되어야 되는 정보이고, 이 경우 지원되는 메커니즘들의 오리지널 리스트 ({CAVE, B, C})를 말한다.
17. BSF(8)는 디폴트 패스워드를 사용하여 다이제스트 응답을 검증하고, MS_AUTH가 XMS_AUTH (MS_AUTH와 같은 계산식 사용)와 같다는 것을 검증함으로서 MN(12)을 인증한다. BSF(8)는 또한 지원되는 메커니즘들의 리스트가 2 단계에서 수신된 리스트와 동일한지도 검증한다. 같지 않으면, BSF(8)는 HTTP 403 금지 응답이나 다른 에러 응답들을 MN(12)으로 전송하거나, 조용히 부트스트래핑 절차를 중단할 수 있다(미도시).
18. 성공적이면, BSF(8)는 MN(12)에 200 OK 응답을 보낸다.
상기 절차에는 여러 가능한 변형들이 있다는 것을 알아야 한다. 그러나, 미국 특허 번호 11/232,494에 개시된 전형적이나 비한정적인 실시예들에 따른 기본 개념들이 동일하게 유지되고, 따라서, 가능한 모든 변형들에 대해 다 설명하지는 않을 것이다. 한 가지 변형이, MS_AUTH 및 BS_AU소가 각각 16 단계 및 17 단계에서 다이제스트 패스워드로 사용된다는 것으로, 이 경우 "data"는 MS_AUTH 및 BS_AUTH 산출시 포함되지 않을 것이다. 이 경우의 무결성 보호는 다이제스트 인증 메커니즘에 의해 주어질 것이다. 또 다른 변형이, MN(12) 측에서 MS_AUTH를 사용하고 BSF(8) 측에서 BS_AUTH를 사용하는 대신, MS_AUTH나 BS_AUTH만이 양측 모두에서 사용될 것이라는 것이다. 역시, "data"는 MS_AUTH 또는 BS_AUTH 산출시 포함되지 않으며, 무결성 보호는 다이제스트 인증 메커니즘에 의해 주어진다.
평범한 (Plain) HTTP 전송
이 비한정적 예에서, 평범한 HTTP가 MN(12) 및 BSF(8)가 패스워드 보호형 디피-헬만 파라미터들을 교환하게 하는 전송 메커니즘으로서 사용된다. MN(12) 및 BSF(18) 사이의 상호 인증은 MS_AUTH 및 BS_AUTH를 이용하는 패스워드 보호형 디피-헬만 메커니즘에 기반한다.
도 7은 선택 메커니즘을 CAVE로 하는 부트스트래핑 메커니즘 협상의 한 전형 적 구현예를 도시한 것으로, 여기서 CAVE을 통한 부트스트래핑 절차는 3 라운드의 HTTP GET/응답을 필요로 한다. MN_AAA Key에 기초한 부트스트래핑 상황이 매우 유사하므로, 여기서는 포함되지 않을 것이다. 이하에 그 단계들을 보다 상세히 설명한다.
1. MN(12)이 BSF(8)를 향해 HTTP GET 요청을 보낸다. "IMSI@realm.com" 형식의 사용자 아이디가 페이로드에 포함된다. 이외에, 사용자는 페이로드 안에 지원되는 부트스트래핑/인증 메커니즘의 리스트를 포함한다 (가령, MN(12)이 CAVE 및 다른 두 메커니즘들인 B와 C를 지원한다는 것을 의미하는, {CAVE, B, C}).
2. BSF(8)는 페이로드로부터 지원되는 메커니즘들의 리스트를 북구하고 그 리스트, username (역시 페이로드로부터), 사용자 프로파일, 및/또는 기타 정보에 기초해 결정을 내린다. BSF(8)가 CAVE를 부트스트래핑 메커니즘으로 선택하고, 부트스트래핑의 이 시점부터 그 선택 메커니즘 (가령, CAVE)에 기초한다고 가정한다. BSF(8)는 32 비트 RAND 챌린지 값을 생성한다.
3. BSF(8)는 MN(12)에 응답 (가령, 200 OK)을 전송한다. RAND가 base64 인코딩되어 페이로드를 통해 운반된다. 페이로드는 CAVE가 선택 메커니즘이라는 표시 또한 포함한다.
4. GBA 기능부에 의해 수신된 RAND 챌린지 값이 모의 (simulated) 글로벌 챌린지로서 R-UIM이나 1X 단말로 보내진다.
5. 1X 단말 (또는 R-UIM)은 AUTHR 및 SMEKEY를 가지고 글로벌 챌린지에 응답한다. 그러면 AUTHR 및 SMEKEY는 GBA 기능부로 전달된다.
6. GBA 기능부는 MS_PW를 SMEKEY로 세팅한다. 그것은 또 디피-헬만 방식을 위한 시크릿 난수 "x" 또한 생성한다.
7. MN(12)은 BSF(8)로 또 다른 HTTP GET 요청을 보낸다. HTTP 페이로드가 AUTHR 및 MS_RESULT, 즉, SMEKEY의 해시에 의해 커버되는 g x mod p를 포함한다.
8. BSF(8)는 MS_RESULT가 0이 아닌지를 검증한다. VLR로서 동작하는 BSF(8)는 AUTHREQ를 HLR/AC 4'로 보낸다. AUTHREQ는 RAND, SYSACCTYPE=GAA 액세스 및 AUTHR 파라미터들을 포함한다. ESN 파라미터는 전부 제로들로 세팅된다. SYSCAP 파라미터는 인증 파라미터들이 이 시스템 액세스 상에서 요청되었다는 것과 (bit-A=1) 시그날링 메시지 암호화가 그 시스템에 의해 지원된다는 것 (bit-B=1)을 가리키도록 세팅된다. SYSCAP 파라미터의 다른 모든 비트들은 0으로 세팅될 수 있다.
9. HLR/AC가 AUTHR을 검증하고 SMEKEY를 생성한다.
10. HLR/AC는 SMEKEY 파라미터를 포함하는 TIA-41 AUTHREQ를 가지고 응답한다. 인증이 실패하면, AUTHREQ는 액세스 부인 (deny) 표시만을 포함할 것이다.
11. BSF(8)는 BS_PW=SMEKEY를 세팅하고 디피-헬만 방식을 위한 시크릿 난수 "y"를 생성한다.
12. BSF(8)는 128 비트 Ks를 생성한다. B-TID 값 역시, 2 단계에서 base64 인코딩된 RAND 값과, BSF(8) 서버 네임, 즉 base64encode(RAND)@BSF_servers_domain_name을 취함으로써 NAI의 포맷으로 생성된다.
13. BSF(8)는 응답 (가령, 200 OK)을 MN(12)으로 보낸다. 그 응답의 페이로드는, BS_RESULT, 즉, SMEKEY의 해시 (hash), B-TID, 키 Ks의 수명, 선택 메커니즘 (CAVE)의 표시 및 BS_AUTH에 의해 커버되는 g y mod p를 포함한다. BS_AUTH의 산출시 상기 데이터를 포함함으로써 무결성 보호가 이뤄진다는 것을 알아야 한다. 한 전형적 방식은 다음과 같다:
BS_AUTH[data] = SHA-1(0x00000005 | 0x00000C80 + sizeof(data) | BS_PARAM | data | BS_PARAM | data) modulo 2128, 여기서 data는 무결성 보호되어야 되는 정보이고, B-TID, 키 수명 및 선택 메커니즘 (CAVE)의 표시를 포함한다.
14. MN(12)은 BS_AUTH가 XBS_AUTH (BS_AUTH와 같은 계산식 사용)와 같은지를 검증한다. MN(12)은 또 지시된 선택 메커니즘이 CAVE인지도 역시 검사한다. 성공적이면, 서버와, 전송된 메시지가 인증된다. 성공하지 못하면, MN(12)은 부트스트래핑 절차를 중단하고 즉시, 혹은 나중에 재시도할 수 있다.
15. MN(12)은 128 비트 Ks를 생성한다.
16. MN(12)은 또 다른 HTTP GET 요청을 BSF(8)로 보낸다. 페이로드는 MS_AUTH를 포함한다. 페이로드는 지원되는 메커니즘들의 리스트 (이 예에서 {CAVE, B, C}) 및 MS_AUTH 역시 포함할 수 있다. MS_AUTH의 산출시 보호되어야 할 데이터를 포함시킴으로써 무결성 보호가 주어질 수 있다. 하나의 전형적 방식이 다음과 같다:
MS_AUTH[data] = SHA-1(0x00000004 | 0x00000C80 + sizeof(data) | MS_PARAM | data | MS_PARAM | data) modulo 2128, 여기서 data는 무결성 보호되어야 되는 정보이고, 이 경우 지원되는 메커니즘들의 오리지널 리스트 ({CAVE, B, C})를 말한다.
17. BS는 MS_AUTH가 XMS_AUTH (MS_AUTH와 같은 계산식 사용)와 같다는 것을 검증함으로서 MN(12)을 인증한다. BS는 또한 지원되는 메커니즘들의 리스트가 2 단계에서 수신된 리스트와 동일한지도 검증한다. 같지 않으면, BSF(8)는 HTTP 403 금지 응답이나 다른 에러 응답들을 MN(12)으로 전송하거나, 조용히 부트스트래핑 절차를 중단할 수 있다(미도시).
18. BSF(8)는 MN(12)에 200 OK 응답을 보낸다.
상기 절차에는 여러 가능한 변형들이 있다는 것을 알아야 한다. 그러나, 미국 특허 번호 11/232,494에 개시된 전형적이나 비한정적인 실시예들에 따른 기본 개념들은 동일하게 유지된다.
XML 스키마 (schema) 정의
3GPP GBA에서, 부트스트래핑이 성공적이면, HTTP 페이로드는 B-TID (Bootstraping Transaction Identifier)와 키 수명을 최종 200 OK 응답을 통해 운반한다. 관련 XML스키마가 3GPP TS 24.109의 부록 C에 정의되어 있다. 3GPP2는 이 스키마를 확장하여, 페이로드가 SMEKEY 및 MN-AAA 키에 기초한 부트스트래핑에 필요한 다른 정보를 운반할 수 있게 하며, 여기에는 파라미터 (CAVE에 대한) AUTHR 및 패스워드 보호형 디피-헬만 파라미터들이 포함된다. 미국 특허 출원 번호 11/232,494에 개시된 전형적이지만 비한정적 실시예들은 XML 스키마가, 인증 메커니즘들의 리스트뿐 아니라 선택된 메커니즘의 표시를 포함하도록 추가 확장되는 것을 제안하였다. 한 가능한 스키마 정의는 다음과 같으며, 여기서, 미국 특허 출원 번호 11/232,494에 개시된 비한정적 전형적 실시예들을 지원하는데 사용되는 확장은 밑줄친 상태 및 이탤릭체로 보여지고 있다.
Figure 112008002179810-pct00001
Figure 112008002179810-pct00002
이 스키마에서, "auth_list"라는 요소는 도 2 및 3에서 메시지 1 및 5를 통해 인증 및 부트스트래핑 메커니즘들의 리스트(11)를 운반하는데 사용된다. "auth" 라는 요소는 도 2 및 3에서 메시지 3 및 7을 통해 BSF-선택 메커니즘의 표시를 운반하는데 사용된다. "authType" 타입이 다양한 규격들로 된 현재의 인증 및 부트스트래핑 메커니즘들의 목록들이 되도록 정해지며, 다음과 같은 전형적인 값들을 취할 수 있다:
"3GPP-AKA": 3GPP AKA 메커니즘에 기반한 부트스트래핑;
"3GPP2-AKA": 3GPP2 AKA 메커니즘에 기반한 부트스트래핑;
"CAVE": SMEKEY (CAVE)에 기반한 부트스트래핑; 및
"MN-AAA": MN-AAA 키에 기반한 부트스트래핑.
더 많은 인증 메커니즘들이 GBA에서 지원될 때, 새 인증 메커니즘들의 해당 명칭들이 authType에 더해지게 된다.
이와 달리, "3GPP-AKA"와 "3GPP2-AKA" 둘 모두를 포함하는 대신, 단지 "AKA"만이 이 스키마에 정의될 수 있다. AKA에 사용되는 메커니즘은 이때 네트워크 오퍼레이터에 의해 미리 설정된다.
상기 스키마는 당연히 예를 든 것이며, 같은 목적을 달성하기 위해 다른 기술들도 이용 가능하다는 것을 알아야 한다. 그외에, 상기 스키마가 페이로드를 운반되는 것이 유용한 다른 정보를 포함하도록 확장될 수 있다. 예를 들어, 평범한 HTTP를 상술한 패스워드 보호형 디피-헬만 운반을 위한 전송에 사용하는 전형적 구현예에서, 페이로드는 username, RAND, MS_AUTH, BS_AUTH 등등과 같은 다른 정보를 운반함이 바람직하다. 따라서, 이러한 파라미터들 역시 운반될 수 있도록 스키마가 그에 따라 확장될 수 있다.
위의 정의시, 인증 메커니즘들의 이름들은 예로 든 것으로, 여기서 일반성의 상실 없이 사용되고 있다는 것을 알아야 한다.
도 1-7에 나타낸 전형적 실시예들은 단순하면서, 효율적이고 안전하며, IETF의 규격화 노력을 요하지 않으며, 미래의 인증 및 부트스트래핑 메커니즘을 지원하기 위해 확장가능하고, 3GPP 및 3GPP2 시스템들 모두를 지원한다는 것을 알 수 있 다.
미국 특허 출원 번호 11/232,494에 개시된 비한정적 전형적 실시예들에 따른 장치, 방법 및 컴퓨터 프로그램 생성물에 의하면, 부트스트래핑 절차를 실행하도록BSF(8)같은 네트워크 장치나 노드, 및 MN(12) 같은 장치나 노드에 의해 실행될 기술이 제안되며, 그 절차는, 초기 부트스트래핑 요청시 MN(12)이 자신이 지원하는 인증 메커니즘들의 리스트를 포함하는 제1요청 메시지를 BSF(8)로 보내는 단계; BSF(8)가 적어도 MN(12)으로부터 수신된 리스트에 기초하여 부트스트래핑에 사용될 인증 메커니즘을 결정하고, 선택된 인증 메커니즘에 따라 진행하면서 MN(12)으로의 응답 메시지 안에 상기 결정된 인증 메커니즘의 표시를 포함시키는 단계; MN(12)이 상기 결정된 인증 메커니즘에 기반하여 BSF(8)로, 무결성 보호 형식으로 된 M(12)이 지원하는 인증 메커니즘들의 리스트를 포함하는 제2요청 메시지를 적어도 부분적으로 무결성 보호 상태로 BSF(8)에 전송하는 단계를 포함한다. 인증이 성공적이고, 제2요청 메시지를 통해 수신된 리스트가 제1요청 메시지를 통해 수신된 리스트와 매치되면, 네트워크는 적어도 부분적으로 무결성 보호되는 성공 응답 메시지를 가지고 MN(12)에 응답할 것이고, 이때 상기 성공 응답 메시지는 무결성 보호 형식의 선택 인증 메커니즘 표시를 포함한다. MN(12)은, 성공 응답 메시지 수신시, MN(12)에 의해 사용되는 인증 메커니즘이 BSF(8)에 의해 선택된 인증 메커니즘과 매치하는지를 검증할 수 있다. MN(12)에 의해 전송된 제1요청 메시지는 사용자 아이디를 또한 포함할 수 있고, 이 사용자 아이디는 BSF(8)에 의해 인증 메커니즘 선택을 돕는데 사용될 수 있다.
본 발명에 따른 가르침에 의해 여러 번의 메시지 라운드들이 수용될 수 있다. 비한정적 예들로서, 다이제스트 인증에 의해 협상이 진행되거나, HTTP를 사용해 협상이 진행될 수 있다.
따라서, 미국 특허 출원 번호 11/232,494에 개시된 비한정적 전형적 실시예들이 기술되었으므로, 이제 본 발명에 따른 전형적이나 비한정적인 발명의 실시예들에 대한 설명을 제공할 것이다. 본 발명의 전형적 실시예들은 미국 특허 출원 번호 11/232,495에서 설명한 발명의 다양한 전형적 실시예들 전부나 일부와 연계하여 사용될 수 있다.
본 발명의 전형적 실시예들에 따르면, XML 스키마는, 지원되는 인증 메커니즘과 그 특정 메커니즘과 함께 사용될 아이디나 아이디들 (id들) 사이의 "결합 관계 (binding)"을 명확히 식별하도록 하는 방식으로 수정된다. 만약 한 아이디가 여러 개의 메커니즘들과 함께 사용될 수 있으면, XML 스키마는 모든 가능한 조합들을 나열함이 바람직하고, 그 예는 다음과 같다:
mechanism1 id1
mechanism1 id2
mechanism3 id3
이제 도 8을 참조하면, 페이로드로서 (XML 스키마에 기초한) XML 문서와 함께 최초의 HTTP GET 메시지가 BSF(8)에 의해 수신되면 (도 8의 메시지 1), BSF(8)는 네트워크에 의해 선호되는 메커니즘을 선택하고, 부트스트래핑 절차와 함께 진행하기 위해 적절한 데이터베이스를 접촉한다. 선택된 메커니즘이 (HTTP 페이로드 내 XML 문서로 MN(12)에 의해 나열된 것 같은) 둘 이상의 아이디를 가지고 사용될 수 있게 되면, BSF(8)는 그 아이디들 중 하나를 선택한다. 선택이 이뤄지면, BSF(8)에 의해 MN(12)으로 GET 요청에 대한 401 응답 (도 8의 메시지 5)으로서 리턴 될 XML 문서는 선택 메커니즘 및 그와 결부된 해당 아이디를 명시적으로 식별한다.
XML 스키마가 XML 문서가 어떻게 나타나는지를 정의한다는 것이 주지될 수 있다. XML 문서는 이때 HTTP 메시지들의 페이로드를 통해 전송된다. 따라서, XML 스키마는 고정되었다고 간주될 수 있고, 부트스트래핑 도중에는 전송되지 않는다. 그러나, XML 스키마에 부합하는 XML 문서들은 HTTP 페이로드로서 전송되어, 부트스트래핑에 필요한 정보를 운반한다.
상기 내용에 따르면, 부트스트래핑 절차의 메시지들 안에 삽입될 아이디들은 다음과 같다:
A. MN(12)으로부터 BSF(8)로의 HTTP GET 요청 (도 8의 메시지 1)
HTTP GET 요청의 권한위임 헤더가 MN(12) 아이디들 중 하나를 포함할 수 있다. BSF(8)는 이때 그 아이디에 의존하지 않는다. HTTP 페이로드 내 XML 문서는 상술한 바와 같이 지원되는 메커니즘들의 리스트 및 MN(12) 아이디들을 포함함이 바람직하다.
B. BSF(8)로부터 MN(12)으로의 HTTP 401 UNAUTHORIZED 응답 (도 8의 메시지 5)
BSF(8)는 MN(12)으로부터 수신된 HTTP 페이로드 내 XML 문서에서 찾은 리스 트로부터 한 인증 메커니즘 및 상응하는 한 아이디를 선택한다. 선택된 인증 메커니즘 및 상응하는 아이디가 응답 메시지의 페이로드를 통해 MN(12)으로 리턴된다.
C. MN(12)으로부터 BSF(8)로의 HTTP GET 요청 (도 8의 메시지 7)
MN(12)은 이전 메시지의 페이로드를 통해 BSF(8)에 의해 리턴된 자신의 아이디를, HTTP 다이제스트 인증시 (권한위임 헤더 필드)의 사용자 아이디로서 사용한다. MN(12)과 BSF(8)는 이제 BSF(8)에 의해 선택된 인증 메커니즘에 따라 진행된다. HTTP 페이로드 내 XML 문서는 상술한 바와 같이 지원되는 메커니즘들과 MN(12) 아이디들을 포함함이 바람직하다. 메시지 1과는 달리, 이 정보는 무결성 보호된다.
D. BSF(8)로부터 MN(12)으로의 HTTP 200 OK 응답 (도 8의 메시지 9)
BSF(8)는 성공적 인증 및 부트스트래핑 동작을 가리키는 HTTP 200 OK 메시지를 가지고 응답한다. 이 메시지는 BSF에 의해 산출된 다이제스트 응답 역시 포함한다. 또한 그 메시지는 선택된 인증 메커니즘과 MN(12)에 의해 참조할 해당 아이디에 대한 표시 또한 포함한다. 마찬가지로, 이 표시는 qop를 "auth-int"로 세팅함으로써 무결성 보호된다.
부트스트래핑 절차의 나머지는 이제 위에서 참조한 미국 가출원 번호 60/759,487에 증거자료 C로서 첨부된 2005년 12월 8일자 3GPP2 S.P0109-0, 버전 0.6, "Generic Bootstrapping Architecture (GBA) Framework"에 개시된 것과 같이 계속될 수 있다. 이 문서는 3GPP2 S.S0109-0, v1.0으로 공개되었다고 예상되며, 현재로서 가장 최근의 버전은 S00-20060220-121A__SP0109_V&V_changes.doc이다.
XML 스키마 변형
현재의 XML 스키마는 다음과 같다:
Figure 112008002179810-pct00003
Figure 112008002179810-pct00004
본 발명의 전형적 실시예를 구현하기 위해 상기 XLM 스키마에 대해 이뤄질 수 있는 여러 가능한 변형들이 존재한다. 이어지는 것은 본 발명의 전형적 실시예의 실시 및/또는 사용시 전형적이지만 비한정하는 것으로서 파악되어야 하는 몇 가지 예들이다.
예 1
Figure 112008002179810-pct00005
Figure 112008002179810-pct00006
이어지는 것은 상기 XML 스키마에 따른 "auth_list" 예의 "단편 (snippet)"이다:
Figure 112008002179810-pct00007
Figure 112008002179810-pct00008
예 2
Figure 112008002179810-pct00009
Figure 112008002179810-pct00010
아래는 이 XML 스키마에 따른 "auth_list"의 예의 단편이다:
Figure 112008002179810-pct00011
예 3
Figure 112008002179810-pct00012
Figure 112008002179810-pct00013
이어지는 것은 "auth_list" 및 "clientid_list"의 예의 단편이다.
Figure 112008002179810-pct00014
도 8은 위의 XML 스키마 1을 이용하는 콜 플로우 (call flow)의 예를 보인 것이다. 그 예는 위에서 참조한 미국 가출원 번호 60/759,487에 증거자료 C로서 첨부된 2005년 12월 8일자 3GPP2 S.P0109-0, 버전 0.6, "Generic Bootstrapping Architecture (GBA) Framework"의 도 C.3-1에서 가져온 것이다. 도 8의 예는 HTTP 페이로드에서 이뤄진 변화를 강조하며, 따라서 메시지 1, 5, 7 및 9만이 본 발명의 전형적 실시예들에 대한 이해와 특별한 관련이 있다. 다이어그램의 나머지는 부록 C에 도시된 것에서 달라진 것이 없이 그대로일 수 있다.
메시지 1. 초기 GET 요청 (MN(12)로부터 BSF(8)로)
이 메시지의 목적은 MN(12)과 BSF(8) 사이의 부트스트래핑 절차를 개시하는데 있다. MN(12)이 자신의 홈 BSF(8)를 향해, 사적 사용자 아이디를포함하는 HTTP 요청을 보낸다. MN(12)은 또한 자신의 지원하는 부트스트래핑 메커니즘의 리스트와, 해당 아이디들을 함께 메시지의 페이로드를 통해 제공하기도 한다.
테이블:초기 GET 요청의 예 (MN(12)으로부터 BSF(8)로)
Figure 112008002179810-pct00015
메시지 5. 401 무권한 응답 (BSF(8)로부터 MN(12)으로)
BSF(8)는 HTTP 401 무권한 응답을 통해 MN(8)으로 챌린지를 전송한다 (CK, IK 및 XRES 없이). 이것은 MN(12)에게 스스로를 인증하라고 요구하는 것이다. 챌린지는 RFC 3310 (위에서 참조한 미국 가출원 번호 60/759,487에 증거자료 B로서 첨부된 IETF RFC 3310 "Digest AKA")에 따른 난스 (nonce) 필드에 모여 있는 RAND 및 AUTN을 포함한다.
테이블:401 무권한 응답의 예 (BSF(8)로부터 MN(12)으로)
Figure 112008002179810-pct00016
메시지 7. GET 요청의 예 (MN(12)으로부터 BSF(8)로)
MN(12)은 다시 HTTP GET 요청과, 응답 산출에 사용되는 RES를 함께 BSF(8)로 전송한다.
테이블:GET 요청의 예 (MN(12)로부터 BSF(8)로)
Figure 112008002179810-pct00017
Figure 112008002179810-pct00018
메시지 9. 200 OK 응답의 예 (BSF(8)로부터 MN(12)으로)
BSF(8)은 MN(12)으로 인증의 성공을 알리기 위해 200 OK 응답을 보낸다.
테이블:200 OK 응답 (BSF(8)로부터 MN(12)으로)
Figure 112008002179810-pct00019
위의 내용에 기초할 때, 본 발명의 전형적 실시예들이, 노드에 의해 지원되는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디로 이뤄진 제1메시지를 무선 네트워크 (WN)로 전송하고, WN에서 적어도 상기 노드로부터 수신된 리스트에 기초해 부트스트래핑에 사용될 인증 메커니즘을 결정하고, 해당 아이디와 함께 상기 결정된 메커니즘에 부합하는 정보를 상기 노드로의 제1메시지에 포함시키도록 하는 방법, 장치 및 컴퓨터 프로그램 생성물(들)을 지원한다는 것을 알 수 있을 것이다.
본 발명의 전형적 실시예들의 한 양태는, 본 발명에서, "인증 메커니즘"이 HTTP 페이로드를 통해 보내질 때, 여기서 일반성의 훼손 없이 아이디라고 불리는 해당 식별자 역시 포함된다는 것을 알 수 있다. 이러한 관점으로부터, MN(12)으로 부터의 제1 및 제2요청들에 있어서, 지원되는 메커니즘들의 리스트가 HTTP 페이로드 안에 포함되고, 따라서 해당 식별자들 역시 포함된다. 또한, WN에 의해 보내지는 제1 및 제2응답들에 있어서, 선택(된) 인증 메커니즘이 페이로드에 포함되고, 상응하는 식별자 역시 포함된다. 또, MN(12)으로부터의 제2요청은 상기 리스트 및 해당 식별자들을 역시 포함하고, 그 정보는 무결성 보호된다. 마찬가지로, 선택 메커니즘과 해당 식별자는, 만일 제2응답에 존재한다면, 무결성 보호됨이 바람직하다.
일반적으로, 다양한 실시예들이 하드웨어나 특수용 회로, 소프트웨어, 로직 또는 이들의 어떤 조합을 통해 구현될 수 있을 것이다. 예를 들어, 어떤 양태들은 하드웨어를 통해 구현될 수 있고, 한편 다른 양태들은 제어기, 마이크로프로세서 또는 다른 컴퓨팅 장치에 의해 실행될 수 있는 펌웨어나 소프트웨어를 통해 구현될 수 있으나, 본 발명이 여기에 국한되는 것은 아니다. 본 발명의 여러 양태들은 블록도, 흐름도, 또는 어떤 다른 치환가능한 표현으로 예시되어 나타낼 수 있지만, 여기 개시된 이러한 블록들, 장치, 시스템들, 기술들 혹은 방법들은 비한정적 예들인 하드웨어, 소프트웨어, 펌웨어, 특수용 회로나 로직, 범용 하드웨어나 제어기나 다른 컴퓨팅 장치들, 또는 이들의 어떤 조합을 통해서도 구현될 수 있다.
본 발명의 실시예들은 집적 회로 모듈들 같은 여러 부품들 안에서 실시될 수 있다 집적 회로들의 설계는 대체로 상당히 자동화된 프로세스에 해당한다. 복잡하고도 강력한 소프트웨어 툴들이 로직 레벨 디자인을, 반도체 기판 위에 에칭되고 형성되도록 준비된 반도체 회로 디자인으로 전환하는데 사용될 수 있다.
캘리포니아 마운틴 뷰에 있는 Synopsys 사와 캘리포니아 샌 호세에 있는 Cadence Design이 제공하는 것 같은 프로그램들은 잘 설정된 디자인 규칙과 사전에 저장된 디자인 모듈들의 라이브러리들을 이용해 반도체 칩 상에서 컨덕터들을 자동으로 라우팅하고 부품들을 배치시킨다. 반도체 회로 디자인이 완료되었으면, 표준화된 전자 포맷 (가령, Opus, GDSII 등등)으로 된 그 디자인 결과는 제조되기 위해 반도체 제조 설비나 "제조 공장(fab)"으로 보내질 것이다.
관련 기술분야의 당업자들이라면 첨부된 도면과 함께 파악되는 상기 내용을 토대로 여러 변형 및 각색이 있을 수 있다는 것을 자명하게 알 수 있을 것이다. 비한정적 예들로서, 다른 타입의 메시지 포맷들 등이 장치(12) 및 무선 네트워크 요소(들)(8) 사이의 정보 전달에 사용될 수 있고/거나, 위에서 특정하여 설명한 것 대신이나 그에 추가하여 다른 타입의 인증 메커니즘들이 활용될 수 있다. 그러나, 본 발명의 가르침과 관련한 어떤, 혹은 모든 변형들도 여전히 본 발명의 비한정적 실시예들의 범위 안에 들어오게 될 것이다.
또, 본 발명의 다양한 비한정적 실시예들의 특징들 중 일부는 대응하는 다른 특징들의 사용 없이도 이롭게 사용될 수 있다. 그와 같이, 상기 내용은 단지 본 발명의 원리, 개념 및 전형적 실시예들에 대한 예로서만 간주 되어야 하고, 발명을 한정하는 것으로 간주 되어서는 안 될 것이다.

Claims (61)

  1. 노드에 의해 지원되는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 무선 네트워크 (WN)에서 수신하는 단계;
    WN에서, 적어도 상기 노드로부터 수신된 상기 리스트에 기초해, 부트스트래핑 (bootstrapping)하는데 사용될 인증 메커니즘을 결정하는 단계; 및
    상기 결정된 인증 메커니즘과 해당 아이디로 이뤄진 정보를 상기 노드로 보내지는 제2메시지에 포함시키는 단계를 포함함을 특징으로 하는 방법.
  2. 제1항에 있어서, 상기 결정된 인증 메커니즘이 둘 이상의 아이디와 함께 사용가능할 때,
    상기 아이디들 중 하나를 상기 결정된 인증 메커니즘과 결부되도록 선택하는 단계를 더 포함함을 특징으로 하는 방법.
  3. 제1항에 있어서, 상기 제1메시지는 HTTP GET 요청을 포함하고, 상기 제2메시지는 상기 결정된 인증 메커니즘 및 해당 아이디를 명시적으로 식별하는 XML 문서를 포함하는 제1응답 메시지를 포함함을 특징으로 하는 방법.
  4. 제3항에 있어서,
    상기 결정된 인증 메커니즘에 기초해 무결성 보호되는 (integrity protected), 적어도 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 포함하는 제3메시지를 WN에서 수신하는 단계;
    인증이 성공하고, 상기 제3메시지를 통해 수신된 리스트가 상기 제1메시지를 통해 수신된 리스트와 매치하면, 무결성 보호된 제2응답 메시지를 가지고 상기 노드에 응답하는 단계를 더 포함하고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시 및 해당 아이디들을 무결성 보호 형식으로 포함함을 특징으로 하는 방법.
  5. 제4항에 있어서,
    상기 제3메시지를 수신하고, 상기 노드에 의해 사용되는 인증 메커니즘이 상기 WN에 의해 결정된 인증 메커니즘과 매치하는지를 검증하는 단계를 더 포함함을 특징으로 하는 방법.
  6. 제1항에 있어서, 상기 결정 단계는 부트스트래핑 서버 기능부 (BSF, Bootstrapping Server Function)에 의해 행해짐을 특징으로 하는 방법.
  7. 제1항에 있어서, 상기 제1메시지는 HTTP GET이고, 상기 리스트는 HTTP 페이로드 안에 포함됨을 특징으로 하는 방법.
  8. 제1항에 있어서, 상기 제2메시지는 HTTP 401 무권한 (Unauthorized) 응답임을 특징으로 하는 방법.
  9. 제4항에 있어서, 상기 제3메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET임을 특징으로 하는 방법.
  10. 제4항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지임을 특징으로 하는 방법.
  11. 한 노드의 데이터 프로세서에 의해 실행되는 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체에 있어서,
    상기 컴퓨터 프로그램은,
    상기 노드에 의해 지원되는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 무선 네트워크(WN)로 송신하는 동작; 및
    상기 제1메시지를 통해 상기 노드에 의해 제공되는 리스트로부터 WN에 의해 선택되는 한 인증 메커니즘에 부합하는 정보와 해당 아이디를 포함하는 제1응답 메시지를 상기 WN으로부터 수신하는 동작을 실행하도록 구성됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  12. 제11항에 있어서, 상기 컴퓨터 프로그램은,
    무결성 보호되는 제2메시지를 상기 WN으로 전송하는 동작을 더 실행하도록 구성되고,
    상기 제2메시지는 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 포함함을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  13. 제11항에 있어서, 상기 컴퓨터 프로그램은,
    무결성 보호되는 제2응답 메시지를 수신하는 동작을 더 실행하도록 구성되고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시와 함께 해당 아이디를 무결성 보호 형식으로 포함함을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  14. 제13항에 있어서, 상기 적어도 제1 및 제2응답 메시지들은 부트스트래핑 서버 기능부(BSF)로부터 수신됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  15. 제11항에 있어서, 상기 제1메시지는 HTTP GET으로서 전송되고, 상기 리스트는 HTTP 페이로드 안에 포함되고, 상기 제1응답 메시지는 HTTP 401 무권한 응답으로서 수신됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  16. 제12항에 있어서, 상기 제2메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET으로서 전송됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  17. 제13항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지로서 수신됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  18. 제11항에 있어서, 상기 컴퓨터 프로그램은,
    상기 노드에 의해 사용되는 인증 메커니즘이 상기 WN에 의해 선택된 인증 메커니즘과 매치하는지를 검증하는 동작을 더 실행하도록 구성됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  19. 장치에 있어서,
    전송기 및 수신기와 연결되어 있고, 상기 장치에 의해 지원되는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 상기 전송기를 통해 네트워크로 전송하고, 상기 수신기를 통해 상기 네트워크로부터, 상기 네트워크에 의해 선택된 인증 메커니즘에 부합하는 정보 및 해당 아이디를 구비한 제1응답 메시지를 수신하도록 동작하는 데이터 프로세서를 포함함을 특징으로 하는 장치.
  20. 제19항에 있어서, 상기 데이터 프로세서는, 상기 장치에 의해 지원되는 인증 메커니즘들의 상기 리스트를 무결성 보호하고, 상기 전송기를 통해 상기 네트워크로 무결성 보호되는 제2메시지를 전송하도록 추가 동작하고,
    상기 제2메시지는 상기 장치가 지원하는 적어도 상기 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 포함함을 특징으로 하는 장치.
  21. 제19항에 있어서, 상기 데이터 프로세서는 상기 네트워크로부터 무결성 보호되는 제2응답 메시지를 수신하도록 더 동작하고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시 및 해당 아이디를 무결성 보호 형식으로 구비함을 특징으로 하는 장치.
  22. 제21항에 있어서, 상기 적어도 제1 및 제2응답 메시지들은 상기 네트워크의 일부에 해당하는 부트스트래핑 서버 기능부 (BSF)로부터 수신됨을 특징으로 하는 장치.
  23. 제19항에 있어서, 상기 제1메시지는 HTTP GET으로서 전송되고, 상기 리스트는 HTTP 페이로드 안에 포함되고, 상기 제1응답 메시지는 HTTP 401 무권한 응답으로서 수신됨을 특징으로 하는 장치.
  24. 제20항에 있어서, 상기 제2메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET으로서 전송됨을 특징으로 하는 장치.
  25. 제21항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지로서 수신됨을특징으로 하는 장치.
  26. 제19항에 있어서, 상기 데이터 프로세서는, 상기 장치에 의해 사용되는 인증 메커니즘이 상기 네트워크에 의해 선택된 인증 메커니즘과 매치하는지를 검증하도록 추가 동작함을 특징으로 하는 장치.
  27. 무선 네트워크 요소(WNE, wireless network element)의 데이터 프로세서에 의해 실행되는 컴퓨터 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체에 있어서,
    상기 컴퓨터 프로그램은,
    노드로부터, 상기 노드에 의해 지원되는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 수신하는 동작;
    적어도 상기 노드로부터 수신된 상기 리스트에 기초하여, 부트스트래핑에 사용될 인증 메커니즘을 결정하는 동작;
    상기 결정된 인증 메커니즘에 부합하는 정보 및 해당 아이디를 포함하는 제1응답 메시지를 상기 노드로 전송하는 동작; 및
    무결성 보호되는 제2메시지를 상기 노드로부터 수신하는 동작을 실행하도록 구성되고,
    상기 제2메시지는 적어도 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 구비함을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  28. 제27항에 있어서, 상기 컴퓨터 프로그램은, 인증이 성공적이고, 상기 제2메시지를 통해 수신된 상기 리스트가 상기 제1메시지를 통해 수신된 상기 리스트와 매치하면, 무결성 보호되는 제2응답 메시지를 상기 노드로 전송하는 동작을 더 실행하도록 구성되고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시 및 해당 아이디를 무결성 보호 형식으로 포함함을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  29. 제27항에 있어서, 상기 컴퓨터 프로그램은, 상기 아이디에 기초해 프로파일을 복구하는 동작을 더 실행하도록 구성되고,
    상기 결정하는 동작에서 그 프로파일을 고려함을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  30. 제27항에 있어서, 무선 네트워크가 부트스트래핑 서버 기능부(BSF)로 이뤄짐을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  31. 제27항에 있어서, 상기 제1메시지는 상기 노드의 사용자 아이디를 포함하는 HTTP GET으로서 수신되고, 상기 리스트는 HTTP 페이로드 안에 포함됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  32. 제27항에 있어서, 상기 제1응답 메시지는 HTTP 401 무권한 응답으로서 전송됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  33. 제27항에 있어서, 상기 제2메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET으로서 수신됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  34. 제28항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지로서 전송됨을 특징으로 하는 컴퓨터로 읽을 수 있는 매체.
  35. 네트워크 장치에 있어서,
    전송기 및 수신기에 연결되고, 상기 수신기를 통해 어떤 노드로부터, 상기 노드가 지원하는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디로 이뤄진 제1메시지를 수신하도록 동작하는 데이터 프로세서를 포함하고,
    상기 데이터 프로세서는 상기 노드로부터 수신된 리스트에 적어도 일부 기초하여 부트스트래핑에 사용될 인증 메커니즘을 결정하고, 상기 전송기를 통해 상기 노드로, 상기 결정된 인증 메커니즘에 부합하는 정보 및 해당 아이디를 포함하는 제1응답 메시지를 전송하도록 추가 동작하고,
    상기 데이터 프로세서는 상기 노드로부터 무결성 보호되는 제2메시지를 수신하도록 더 동작하고, 상기 제2메시지는 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호 형식으로 포함하고 있음을 특징으로 하는 네트워크 장치.
  36. 제35항에 있어서, 상기 데이터 프로세서는, 인증이 성공적이고, 제2메시지를 통해 수신된 리스트가 제1메시지를 통해 수신된 리스트와 매치하면, 상기 노드로 무결성 보호되는 제2응답 메시지를 보내도록 더 동작하고,
    상기 제2응답 메시지는 선택된 인증 메커니즘의 표시 및 해당 아이디를 무결성 보호 형식으로 포함함을 특징으로 하는 네트워크 장치.
  37. 제35항에 있어서, 상기 데이터 프로세서는, 부트스트래핑에 사용될 인증 메커니즘 결정시, 상기 아이디에 기초한 프로파일을 복구하여 고려하도록 추가 동작함을 특징으로 하는 네트워크 장치.
  38. 제35항에 있어서, 부트스트래핑 서버 기능부 (BSF)를 포함함을 특징으로 하는 네트워크 장치.
  39. 제35항에 있어서, 상기 제1메시지는 상기 노드의 사용자 아이디를 포함하는 HTTP GET으로서 수신되고, 상기 리스트는 HTTP 페이로드 안에 포함됨을 특징으로 하는 네트워크 장치.
  40. 제35항에 있어서, 상기 제1응답 메시지는 HTTP 401 무권한 응답으로서 전송됨을 특징으로 하는 네트워크 장치.
  41. 제35항에 있어서, 상기 제2메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET으로서 수신됨을 특징으로 하는 네트워크 장치.
  42. 제36항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지로서 전송됨을 특징으로 하는 네트워크 장치.
  43. 장치에 있어서,
    상기 장치에 의해 지원되는 인증 메커니즘의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 네트워크로 전송하는 수단; 및
    상기 네트워크로부터, 상기 네트워크에 의해 선택된 인증 메커니즘에 부합하는 정보 및 해당 아이디를 구비한 제1응답 메시지를 수신하는 수단을 포함하고,
    상기 네트워크로, 무결성 보호되는 제2메시지를 전송하도록, 상기 장치에 의해 지원되는 인증 메커니즘들의 리스트를 무결성 보호하는 수단을 더 포함하고,
    상기 제2메시지는 상기 장치가 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디를 무결성 보호 형식으로 포함함을 특징으로 하는 장치.
  44. 제43항에 있어서, 상기 수신하는 수단은, 무결성 보호되는 제2응답 메시지를 상기 네트워크로부터 수신하도록 더 동작하고, 상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시 및 해당 아이디를 무결성 보호 형식으로 포함함을 특징으로 하는 장치.
  45. 제43항에 있어서,
    상기 장치에 의해 사용되는 인증 메커니즘이 상기 네트워크에 의해 선택된 인증 메커니즘과 매치하는지를 검증하는 수단을 더 포함함을 특징으로 하는 장치.
  46. 네트워크 장치에 있어서,
    한 노드로부터, 상기 노드에 의해 지원되는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디로 이뤄지는 제1메시지를 수신하는 수단;
    상기 노드로부터 수신된 상기 리스트에 적어도 일부 기초하여, 부트스트래핑에 사용될 인증 메커니즘을 선택하는 수단; 및
    상기 선택된 인증 메커니즘에 부합하는 정보 및 해당 아이디를 포함하는 제1응답 메시지를 상기 노드로 전송하는 수단을 포함하고,
    상기 수신하는 수단은, 무결성 보호되는 제2메시지를 상기 노드로부터 수신하도록 더 동작하고, 상기 제2메시지는 상기 노드가 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부되는 해당 아이디를 구비함을 특징으로 하는 네트워크 장치.
  47. 제46항에 있어서, 상기 전송하는 수단은 성공적 인증, 및 제1메시지를 통해 수신된 리스트에 매치하는 제2메시지를 통해 수신된 리스트에 반응하여, 상기 노드로 무결성 보호된 제2응답 메시지를 전송하고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시와 해당 아이디를 무결성 보호 형식으로 구비함을 특징으로 하는 네트워크 장치.
  48. 제46항에 있어서,
    부트스트래핑에 사용될 인증 메커니즘을 선택시, 상기 선택하는 수단에 의해 사용되도록 상기 아이디에 기초한 프로파일을 복구하는 수단을 더 포함함을 특징으로 하는 네트워크 장치.
  49. 제46항에 있어서,
    부트스트래핑 서버 기능부(BSF)를 포함함을 특징으로 하는 네트워크 장치.
  50. 네트워크 장치에 연결된 장치를 포함하는 시스템에 있어서,
    상기 장치는,
    전송기 및 수신기에 연결되고, 상기 전송기를 통해 상기 네트워크 장치로, 상기 장치가 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디로 이뤄진 제1메시지를 전송하도록 동작하는 데이터 프로세서를 포함하고,
    상기 네트워크 장치는,
    전송기 및 수신기에 연결되고, 상기 리스트로부터 한 인증 메커니즘을 선택하도록 동작하는 데이터 프로세서를 포함하고,
    상기 장치는 자신의 수신기를 통해 상기 네트워크 장치로부터, 상기 리스트로부터 네트워크 장치가 선택한 인증 메커니즘에 부합하는 정보 및 해당 아이디를 포함하는 제1응답 메시지를 수신하고, 상기 장치의 데이터 프로세서는 상기 장치가 지원하는 인증 메커니즘들의 리스트 및 해당 아이디들을 무결성 보호하여, 상기 장치의 전송기를 통해 인증 메커니즘들의 리스트와 해당 아이디들을 구비한 제2메시지를 상기 네트워크 장치로 전송하도록 동작함을 특징으로 하는 시스템.
  51. 제50항에 있어서, 상기 데이터 프로세서는 상기 네트워크 장치로부터 무결성 보호된 제2응답 메시지를 추가 수신하고, 상기 제2응답 메시지는 무결성 보호 형식으로 된 상기 네트워크 장치가 선택한 인증 메커니즘의 표시 및 해당 아이디를 구비함을 특징으로 하는 시스템.
  52. 제50항에 있어서, 상기 네트워크 장치는 부트스트래핑 서버 기능부(BSF)로 이뤄짐을 특징으로 하는 시스템.
  53. 제50항에 있어서, 상기 장치는 무선 링크를 통해 상기 네트워크 장치와 연결됨을 특징으로 하는 시스템.
  54. 한 장치가 지원하는 인증 메커니즘들의 리스트 및 각 인증 메커니즘과 결부된 해당 아이디로 이뤄진 제1메시지를 한 네트워크로 전송하는 단계; 및
    상기 네트워크로부터, 상기 리스트로부터 상기 네트워크가 선택한 인증 메커니즘에 부합하는 정보와 해당 아이디를 구비한 제1응답 메시지를 수신하는 단계를 포함함을 특징으로 하는 방법.
  55. 제54항에 있어서,
    적어도 상기 장치가 지원하는 인증 메커니즘들의 리스트와 해당 아이디들을 무결성 보호하는 단계; 및
    적어도 상기 인증 메커니즘들의 리스트 및 해당 아이디들을 구비한 제2메시지를 상기 네트워크로 전송하는 단계를 더 포함함을 특징으로 하는 방법.
  56. 제54항에 있어서,
    무결성 보호된 제2응답 메시지를 상기 네트워크로부터 수신하는 단계를 더 포함하고,
    상기 제2응답 메시지는 상기 선택된 인증 메커니즘의 표시 및 해당 아이디를 구비함을 특징으로 하는 방법.
  57. 제56항에 있어서, 적어도 상기 제1 및 제2응답 메시지들은 상기 네트워크의 일부가 되는 부트스트래핑 서버 기능부 (BSF)로부터 수신됨을 특징으로 하는 방법.
  58. 제54항에 있어서, 상기 제1메시지는 HTTP GET으로서 전송되고, 상기 리스트는 HTTP 페이로드 안에 포함되고, 상기 제1응답 메시지는 HTTP 401 무권한 응답으로서 수신됨을 특징으로 하는 방법.
  59. 제55항에 있어서, 상기 제2메시지는 상기 선택된 인증 메커니즘에 따라 산출된 응답을 포함하는 HTTP GET으로서 전송됨을 특징으로 하는 방법.
  60. 제56항에 있어서, 상기 제2응답 메시지는 HTTP 200 OK 메시지로서 수신됨을 특징으로 하는 방법.
  61. 제54항에 있어서,
    상기 장치에 의해 사용되는 인증 메커니즘이 상기 네트워크에 의해 선택된 인증 메커니즘과 매치하는지를 검증하는 단계를 더 포함함을 특징으로 하는 방법.
KR1020087000776A 2005-06-13 2006-06-07 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물 KR100978052B1 (ko)

Applications Claiming Priority (10)

Application Number Priority Date Filing Date Title
US69052805P 2005-06-13 2005-06-13
US60/690,528 2005-06-13
US69285505P 2005-06-21 2005-06-21
US60/692,855 2005-06-21
US11/232,494 2005-09-21
US11/232,494 US8087069B2 (en) 2005-06-13 2005-09-21 Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US75948706P 2006-01-17 2006-01-17
US60/759,487 2006-01-17
US11/372,333 2006-03-08
US11/372,333 US8353011B2 (en) 2005-06-13 2006-03-08 Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)

Publications (2)

Publication Number Publication Date
KR20080015934A KR20080015934A (ko) 2008-02-20
KR100978052B1 true KR100978052B1 (ko) 2010-08-25

Family

ID=37531982

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087000776A KR100978052B1 (ko) 2005-06-13 2006-06-07 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물

Country Status (5)

Country Link
US (1) US8353011B2 (ko)
EP (1) EP1891789B1 (ko)
KR (1) KR100978052B1 (ko)
TW (1) TWI356625B (ko)
WO (1) WO2006134441A1 (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8522025B2 (en) * 2006-03-28 2013-08-27 Nokia Corporation Authenticating an application
US8619993B2 (en) * 2006-06-29 2013-12-31 Nokia Corporation Content protection for OMA broadcast smartcard profiles
KR101580839B1 (ko) * 2008-08-05 2015-12-29 삼성전자주식회사 홈 네트워크에서 rui 서버의 이벤트를 통지하는 방법 및이를 위한 장치
US8472388B2 (en) * 2008-10-10 2013-06-25 Telefonaktiebolaget Lm Ericsson (Publ) Gateway apparatus, authentication server, control method thereof and computer program
US8886164B2 (en) * 2008-11-26 2014-11-11 Qualcomm Incorporated Method and apparatus to perform secure registration of femto access points
US20100146262A1 (en) * 2008-12-04 2010-06-10 Shenzhen Huawei Communication Technologies Co., Ltd. Method, device and system for negotiating authentication mode
US9729529B2 (en) * 2008-12-31 2017-08-08 Google Technology Holdings LLC Device and method for providing bootstrapped application authentication
CN101478755B (zh) 2009-01-21 2011-05-11 中兴通讯股份有限公司 一种网络安全的http协商的方法及其相关装置
KR101655264B1 (ko) * 2009-03-10 2016-09-07 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
US9775027B2 (en) * 2009-12-31 2017-09-26 Alcatel Lucent Method for interworking among wireless technologies
KR20120002836A (ko) * 2010-07-01 2012-01-09 삼성전자주식회사 복수의 서비스에 대한 접근 제어 장치 및 방법
US8554912B1 (en) 2011-03-14 2013-10-08 Sprint Communications Company L.P. Access management for wireless communication devices failing authentication for a communication network
US8990554B2 (en) 2011-06-30 2015-03-24 Verizon Patent And Licensing Inc. Network optimization for secure connection establishment or secure messaging
US9154527B2 (en) 2011-06-30 2015-10-06 Verizon Patent And Licensing Inc. Security key creation
US9270453B2 (en) 2011-06-30 2016-02-23 Verizon Patent And Licensing Inc. Local security key generation
US8943318B2 (en) * 2012-05-11 2015-01-27 Verizon Patent And Licensing Inc. Secure messaging by key generation information transfer
CN103067168B (zh) * 2011-10-21 2016-01-27 华为技术有限公司 一种gsm安全方法及系统、相关设备
KR101239401B1 (ko) * 2012-10-05 2013-03-06 강명훈 보안 시스템의 로그 분석 시스템 및 방법
CN107437013A (zh) * 2016-05-27 2017-12-05 阿里巴巴集团控股有限公司 身份验证方法和装置
EP3485668B1 (en) * 2016-07-18 2021-07-07 Telefonaktiebolaget LM Ericsson (PUBL) Network nodes and methods performed by network node for selecting authentication mechanism
WO2019194155A1 (en) * 2018-04-06 2019-10-10 Nec Corporation An authentication method for next generation systems
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
CN112188439B (zh) * 2020-09-28 2023-08-01 大唐微电子技术有限公司 一种车联网中v2x设备的接入鉴权系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004112347A1 (en) 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
WO2004112345A1 (en) 2003-06-12 2004-12-23 Nokia Corporation Method and apparatuses for bootstrapping a local authorisation system in ip networks
US20050102501A1 (en) 2003-11-11 2005-05-12 Nokia Corporation Shared secret usage for bootstrapping

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06261033A (ja) 1993-03-08 1994-09-16 Nippon Telegr & Teleph Corp <Ntt> 認証制御方式
JPH10242957A (ja) 1997-02-26 1998-09-11 Hitachi Software Eng Co Ltd ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体
JP4556308B2 (ja) * 2000-08-31 2010-10-06 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
JP2002314549A (ja) * 2001-04-18 2002-10-25 Nec Corp ユーザ認証システム及びそれに用いるユーザ認証方法
WO2003005669A1 (en) * 2001-07-03 2003-01-16 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for handling multiple registration
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US8601566B2 (en) 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
JP3983035B2 (ja) 2001-11-19 2007-09-26 富士通株式会社 ユーザ端末認証プログラム
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US7197301B2 (en) * 2002-03-04 2007-03-27 Telespree Communications Method and apparatus for secure immediate wireless access in a telecommunications network
EP1343342B1 (en) 2002-03-08 2006-11-29 Sony Ericsson Mobile Communications AB Security protection for data communication
US7103359B1 (en) 2002-05-23 2006-09-05 Nokia Corporation Method and system for access point roaming
JP2004021686A (ja) 2002-06-18 2004-01-22 Toshiba Corp 認証処理システム、認証処理装置、プログラム及び認証処理方法
JP2004040555A (ja) 2002-07-04 2004-02-05 Toshiba Corp 認証処理システム、認証処理装置、プログラムおよび認証処理方法
US7272133B2 (en) * 2002-08-12 2007-09-18 Telcordia Technologies, Inc. Method and system for implementing standard applications on an intelligent network service control point through an open services gateway
JP2004297759A (ja) 2003-03-11 2004-10-21 Seiko Epson Corp 無線通信ネットワークシステムにおける接続認証
KR100548354B1 (ko) 2003-06-14 2006-02-02 엘지전자 주식회사 동기화 프로토콜에서의 사용자 인증 방법
CN1836419B (zh) 2003-06-18 2010-09-01 艾利森电话股份有限公司 在cdma系统中支持移动ip第6版业务的方法、系统和设备
JP3825773B2 (ja) 2003-09-10 2006-09-27 株式会社東芝 認証判定ブリッジ
US7395083B2 (en) * 2003-10-30 2008-07-01 Research In Motion Limited Methods and apparatus for the communication of cellular network information between a wireless local area network and a mobile station
US8504704B2 (en) * 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US8087069B2 (en) * 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004112345A1 (en) 2003-06-12 2004-12-23 Nokia Corporation Method and apparatuses for bootstrapping a local authorisation system in ip networks
WO2004112347A1 (en) 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
US20050102501A1 (en) 2003-11-11 2005-05-12 Nokia Corporation Shared secret usage for bootstrapping

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Anderson, R. et al. 'Key infection: smart trust for smart dust' In: Network Protocols, 2004. ICNP 2004. Proceedings of the 12th IEEE International, 2004, pp. 206-215.

Also Published As

Publication number Publication date
TWI356625B (en) 2012-01-11
EP1891789A4 (en) 2010-03-10
US20060280305A1 (en) 2006-12-14
KR20080015934A (ko) 2008-02-20
EP1891789B1 (en) 2019-07-24
TW200711438A (en) 2007-03-16
US8353011B2 (en) 2013-01-08
EP1891789A1 (en) 2008-02-27
WO2006134441A1 (en) 2006-12-21

Similar Documents

Publication Publication Date Title
KR100978052B1 (ko) 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물
US8087069B2 (en) Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US10284555B2 (en) User equipment credential system
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
JP5579872B2 (ja) 安全な複数uim認証および鍵交換
CN101455053B (zh) 对应用进行认证
KR100729105B1 (ko) 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법
EP1865656A1 (en) Provision of secure communications connection using third party authentication
US20120102546A1 (en) Method And System For Authenticating Network Device
WO2006012058A1 (en) Systems and methods for mutual authentication of network
JP4550759B2 (ja) 通信システム及び通信装置
JP4791535B2 (ja) 汎用ブートストラッピング・アーキテクチャ(gba)において、移動ノードの識別子を認証のプリファレンスと共に提供する装置、方法およびコンピュータ・プログラム
US20240064006A1 (en) Identity authentication method and apparatus, storage medium, program, and program product
CN101228769B (zh) 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品
CN115314278B (zh) 可信网络连接身份认证方法、电子设备及存储介质
WO2023011702A1 (en) Establishment of forward secrecy during digest authentication
WO2022262962A1 (en) Digest access authentication for a client device
CN116347432A (zh) 网络认证方法、装置、终端及网络侧设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130801

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150717

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160720

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170719

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180718

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190718

Year of fee payment: 10