KR20050107537A - Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same - Google Patents

Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same Download PDF

Info

Publication number
KR20050107537A
KR20050107537A KR1020040032405A KR20040032405A KR20050107537A KR 20050107537 A KR20050107537 A KR 20050107537A KR 1020040032405 A KR1020040032405 A KR 1020040032405A KR 20040032405 A KR20040032405 A KR 20040032405A KR 20050107537 A KR20050107537 A KR 20050107537A
Authority
KR
South Korea
Prior art keywords
user authentication
key
authentication
security
communication system
Prior art date
Application number
KR1020040032405A
Other languages
Korean (ko)
Inventor
송준혁
장용
임근휘
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020040032405A priority Critical patent/KR20050107537A/en
Publication of KR20050107537A publication Critical patent/KR20050107537A/en

Links

Classifications

    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B3/00Ohmic-resistance heating
    • H05B3/20Heating elements having extended surface area substantially in a two-dimensional plane, e.g. plate-heater
    • H05B3/34Heating elements having extended surface area substantially in a two-dimensional plane, e.g. plate-heater flexible, e.g. heating nets or webs
    • H05B3/342Heating elements having extended surface area substantially in a two-dimensional plane, e.g. plate-heater flexible, e.g. heating nets or webs heaters used in textiles
    • H05B3/347Heating elements having extended surface area substantially in a two-dimensional plane, e.g. plate-heater flexible, e.g. heating nets or webs heaters used in textiles woven fabrics
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47CCHAIRS; SOFAS; BEDS
    • A47C21/00Attachments for beds, e.g. sheet holders, bed-cover holders; Ventilating, cooling or heating means in connection with bedsteads or mattresses
    • A47C21/04Devices for ventilating, cooling or heating
    • A47C21/048Devices for ventilating, cooling or heating for heating
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B3/00Ohmic-resistance heating
    • H05B3/02Details
    • H05B3/03Electrodes
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B3/00Ohmic-resistance heating
    • H05B3/10Heater elements characterised by the composition or nature of the materials or by the arrangement of the conductor
    • H05B3/12Heater elements characterised by the composition or nature of the materials or by the arrangement of the conductor characterised by the composition or nature of the conductive material
    • H05B3/14Heater elements characterised by the composition or nature of the materials or by the arrangement of the conductor characterised by the composition or nature of the conductive material the material being non-metallic
    • H05B3/145Carbon only, e.g. carbon black, graphite
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B2203/00Aspects relating to Ohmic resistive heating covered by group H05B3/00
    • H05B2203/009Heaters using conductive material in contact with opposing surfaces of the resistive element or resistive layer
    • H05B2203/01Heaters comprising a particular structure with multiple layers

Abstract

본 발명은 IEEE 802.16e 기반의 광대역 무선 통신 시스템에서 사용자 인증 메시지를 보호하기 위한 사용자 인증 메시지 암호화 방법과 장치 및 이를 위한 보안키 생성 방법에 대한 것으로서, 본 발명은 기지국과 이동 단말 간에 사용자 인증 메시지의 전송이 요구되는 광대역 무선 통신 시스템에서, 상기 이동 단말로부터의 인증 요청에 응답하여 상기 기지국이 상기 이동 단말에 대한 인증키를 부여하고, 상기 이동 단말/기지국은 상기 사용자 인증 메시지에 포함되는 소정 사용자 인증 정보를 소정 인증 방식으로 캡슐화하며, 상기 인증키를 이용하여 상기 사용자 인증 정보의 암호화를 위한 소정 보안키를 생성한 후, 상기 보안키를 이용하여 상기 캡슐화된 사용자 인증 정보를 암호화하도록 구성됨을 특징으로 한다. 따라서 본 발명에 의하면, 광대역 무선 통신 시스템에서 사용자 인증 정보가 포함된 PKM EAP 메시지를 암호화하여 송수신함으로써 사용자 인증 정보의 보안을 유지함과 아울러 EAP 메시지 보호하여 Man in the middle attack을 방지할 수 있다. The present invention relates to a method and apparatus for encrypting a user authentication message for protecting a user authentication message in an IEEE 802.16e-based broadband wireless communication system, and a method for generating a security key for the same. In a broadband wireless communication system requiring transmission, in response to an authentication request from the mobile terminal, the base station grants an authentication key to the mobile terminal, and the mobile terminal / base station includes a predetermined user authentication included in the user authentication message. And encapsulating information in a predetermined authentication method, generating a predetermined security key for encrypting the user authentication information using the authentication key, and then encrypting the encapsulated user authentication information using the security key. do. Therefore, according to the present invention, the PKM EAP message including the user authentication information is encrypted and transmitted in the broadband wireless communication system, thereby maintaining the security of the user authentication information and preventing the man in the middle attack by protecting the EAP message.

Description

무선 통신 시스템에서 사용자 인증 메시지 암호화 방법과 장치 및 이를 위한 보안키 생성 방법{METHOD AND APPARATUS FOR ENCRYPTING AUTHORIZATION MESSAGE OF USER AND METHOD FOR GENERATING A SECURE KEY USING THE SAME} METHOD AND APPARATUS FOR ENCRYPTING AUTHORIZATION MESSAGE OF USER AND METHOD FOR GENERATING A SECURE KEY USING THE SAME}

본 발명은 무선 통신 시스템에서 메시지 전송 방법과 그 장치에 대한 것으로서, 특히 IEEE 802.16e 기반의 광대역 무선 통신 시스템에서 사용자 인증 메시지를 보호하기 위한 사용자 인증 메시지 암호화 방법과 장치 및 이를 위한 보안키 생성 방법에 대한 것이다. The present invention relates to a method and a device for transmitting a message in a wireless communication system, and more particularly to a method and apparatus for encrypting a user authentication message for protecting a user authentication message in an IEEE 802.16e-based broadband wireless communication system and a method for generating a security key therefor. It is about.

오늘날 이동 통신 산업의 발달과 인터넷 서비스에 대한 사용자의 요구 증가로 인하여 인터넷 서비스를 효율적으로 제공할 수 있는 이동 통신 시스템에 대한 필요성이 증대되고 있다. 기존 이동 통신망은 음성 서비스를 주목적으로 개발되어 데이터 전송 대역폭이 비교적 작고, 사용료가 비싼 단점을 가지고 있다. 국제표준화 기구 중 하나인 전기 전자 공학자 협회(Institute of Electrical and Electronics Engineers, 이하 "IEEE")의 IEEE 802.16 표준화 그룹에서는 고정 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 표준으로 IEEE 802.16, 802.16a, 802.16b 표준을 하나로 통합한 IEEE 802.16d 표준을 제정하고 있으며, 이와 동시에 IEEE 802.16d를 개선하여 이동 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 제정을 추진 중이다.Today, due to the development of the mobile communication industry and increasing user demand for Internet services, there is an increasing need for a mobile communication system capable of efficiently providing Internet services. Existing mobile communication networks have been developed mainly for voice services, and have disadvantages of relatively low data transmission bandwidth and high usage fee. The IEEE 802.16 standardization group of the Institute of Electrical and Electronics Engineers (IEEE), one of the international standardization bodies, is a standard for providing wireless broadband Internet services to fixed terminals as IEEE 802.16, 802.16a, and 802.16 standards. The IEEE 802.16d standard, which integrates the b standard, is enacted. At the same time, the IEEE 802.16e standard is being proposed to provide wireless broadband Internet services to mobile terminals by improving IEEE 802.16d.

상기 IEEE 802.16d와 802.16e 표준은 종래의 음성 서비스를 위한 무선 기술에 비하여, 데이터의 대역폭이 넓어 단시간에 대용량 데이터를 전송할 수 있으며, 모든 사용자가 채널을 공유하여 채널을 효율적으로 사용하는 것이 가능하다. 한편 상기 IEEE 802.16d 표준은 고정 단말로 광대역 인터넷 서비스를 제공하기 위한 것이므로 단말의 이동성에 대한 고려가 되지 않았으며, 이동 단말로 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 또한 상기 IEEE 802.16d 기반 위에 만들어지고 있으므로 현재는 이동 단말에 대한 보안 기능을 포함하여 각종 서비스 기능이 부족한 상태이다.The IEEE 802.16d and 802.16e standards can transmit large amounts of data in a short time due to the wider bandwidth of data than the conventional wireless technology for voice service, and it is possible for all users to share the channel and use the channel efficiently. . Meanwhile, since the IEEE 802.16d standard is for providing broadband Internet service to a fixed terminal, the mobility of the terminal is not considered, and the IEEE 802.16e standard for providing broadband Internet service to a mobile terminal is also based on the IEEE 802.16d base. Currently, various service functions are lacking, including security functions for mobile terminals.

이하에서는 사용자 정보 보호(인증)과 관련하여 종래 IEEE 802.16e 표준의 계층 구조를 간략히 설명하기로 한다.Hereinafter, the hierarchical structure of the conventional IEEE 802.16e standard with respect to user information protection (authentication) will be briefly described.

도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면이다.1 is a diagram illustrating a hierarchical structure of the conventional IEEE 802.16e standard.

도 1의 IEEE 802.16e 계층은 크게 MAC 계층(110)과 물리 계층인 PHY 계층(120) 그리고 MAC 계층(110)과 PHY 계층(120)을 관리하는 다수의 관리 계층(130a, 130b, 130c)을 포함한다. 상기 MAC 계층(110)은 서비스 수용 보조 계층(Service Specific Convergence Sublayer : CS)(111)과, MAC 공통 보조 계층(MAC Common Part Sublayer : MAC CPS)(112) 및 이동 단말에 대한 보안 기능을 담당하는 보안 보조 계층(Privacy Sublayer : PS)(113)으로 구분되며, 각 계층들은 서비스 접속점(Service Access Point : SAP)을 통해 상호 연결된다. IEEE 802.16e에서 정의된 MAC 계층(110)은 IEEE 802.16d에서 정의된 MAC 계층 구조와 같이 MAC 공통 보조 계층(112)과 보안 보조 계층(113)이 서로 연결된 구조임을 특징으로 한다.The IEEE 802.16e layer of FIG. 1 largely includes a MAC layer 110 and a PHY layer 120 which is a physical layer, and a plurality of management layers 130a, 130b, and 130c managing the MAC layer 110 and the PHY layer 120. Include. The MAC layer 110 is responsible for security functions for the Service Specific Convergence Sublayer (CS) 111, the MAC Common Part Sublayer (MAC CPS) 112, and the mobile terminal. It is divided into a security sublayer (PS) 113, and each layer is interconnected through a service access point (SAP). The MAC layer 110 defined in IEEE 802.16e is characterized in that the MAC common auxiliary layer 112 and the security auxiliary layer 113 are connected to each other like the MAC layer structure defined in IEEE 802.16d.

상기 서비스 수용 보조 계층(CS)(111)은 디지털 오디오/비디오 멀티캐스트, 디지털 전화, 인터넷 접속 등의 제공 서비스 프로토콜을 802.16e MAC 프로토콜에 맞도록 변환하는 기능을 수행하며, 상기 MAC 공통 보조 계층(MAC CPS)(112)는 프레임을 만들어 데이터를 송수신하고 공유 무선 매체로의 접속을 제어하는 기능을 수행하며, 기지국이나 가입자가 송수신을 어떻게 언제 시작할지를 정의하는 MAC 프로토콜에 따라 데이터 및 제어 신호의 흐름을 제어한다. 상기 PHY 계층(120)은 데이터 및 제어 신호의 무선 전송을 위한 주파수 대역, 변조 방식, 오류 정정 기술, 기지국과 이동 단말 사이의 동기, 데이터 전송률, 프레임 구조 등을 담당한다.The service acquiring auxiliary layer (CS) 111 performs a function of converting a service protocol such as digital audio / video multicast, digital telephone, Internet access, etc. to conform to the 802.16e MAC protocol. MAC CPS) 112 performs the function of creating a frame to send and receive data and control access to a shared wireless medium, and flow of data and control signals according to a MAC protocol defining how and when a base station or subscriber initiates transmission and reception. To control. The PHY layer 120 is responsible for a frequency band, a modulation scheme, an error correction technique, synchronization between a base station and a mobile terminal, data rate, and frame structure for wireless transmission of data and control signals.

상기 보안 보조 계층(PS)(113)은 사용자 인증, Primary MAC management 커넥션의 메시지 인증 등 보안 관련 기능을 담당하고 있다. 한편 최근 IEEE 802.16e에서는 보안 관련 기능을 더욱 강화하고자 이동 단말에 대한 인증은 물론 확장 인증 프로토콜(Extensible Authentication Protocol : EAP)를 이용한 사용자 인증 방안을 제안하고 있으나, 제안된 방안에서는 사용자 인증 시 EAP 메시지가 그대로 노출되어 사용자의 개인 정보(Identity)가 유출될 우려가 있으며, Man in the middle attack이 노출되는 문제점이 발생된다. 상기 Man in the middle attack을 설명하면, EAP를 사용하여 사용자 인증을 할 경우 EAP의 Inner Method와 Outer Method로 나누어서 쓰이게 된다. EAP Outer method는 EAP Inner Method를 보호하기 위하여 쓰이는 일종의 Tunnel로서 종단점 EAP 단말부터 EAP 서버(사용자 인증 서버)까지 이다. 이 경우 중간의 기지국은 EAP Outer method의 의해서 EAP Inner Method의 정보를 알지 못하고 그와 동시의 EAP 서버는 기지국이 전달하는 메시지를 믿게 된다. 여기서 문제점은 불법적으로 기지국이 단말이 올리는 EAP 메시지를 자기가 중간에 가로채어 Outer method의 초기 생성시의 단말이라고 가장하여 EAP 서버에게 등록하여 나중에 자기가 서비스의 인증을 받는 공격 방법으로 이에 대한 해결 방안이 요구된다. The security assistant layer (PS) 113 is responsible for security related functions, such as user authentication, message authentication of the primary MAC management connection. Recently, IEEE 802.16e proposes a user authentication method using Extensible Authentication Protocol (EAP) as well as authentication of a mobile terminal in order to enhance security related functions. There is a possibility that the user's personal information (Identity) is leaked as it is exposed, the problem that Man in the middle attack is exposed. Referring to the man in the middle attack, when the user is authenticated using the EAP, it is divided into the inner method and the outer method of the EAP. The EAP Outer method is a kind of tunnel used to protect the EAP inner method, from the endpoint EAP terminal to the EAP server (user authentication server). In this case, the intermediate base station does not know the information of the EAP inner method by the EAP outer method, and the EAP server at the same time believes the message transmitted by the base station. The problem here is that the base station illegally impersonates the EAP message posted by the terminal in the middle and impersonates it as the terminal at the initial generation of the outer method, and registers it with the EAP server, so that it can later authenticate itself with the service. Is required.

본 발명의 목적은 광대역 무선 통신 시스템에서 사용자 인증 메시지를 보호하기 위한 사용자 인증 메시지 암호화 방법과 장치를 제공하는 것이다.An object of the present invention is to provide a user authentication message encryption method and apparatus for protecting a user authentication message in a broadband wireless communication system.

본 발명의 다른 목적은 광대역 무선 통신 시스템에서 사용자 인증 메시지의 암호화 시 요구되는 보안키를 생성하는 방법을 제공하는 것이다.Another object of the present invention is to provide a method for generating a security key required for encrypting a user authentication message in a broadband wireless communication system.

상기 목적을 달성하기 위한 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법은 무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지의 암호화 방법에 있어서, 상기 이동 단말로부터의 인증 요청에 응답하여 상기 기지국이 상기 이동 단말에 대한 인증키를 부여하는 과정과, 상기 사용자 인증 메시지에 포함되는 소정 사용자 인증 정보를 소정 인증 방식으로 캡슐화하는 과정과, 상기 인증키를 이용하여 상기 사용자 인증 정보의 암호화를 위한 소정 보안키를 생성하는 과정과, 상기 보안키를 이용하여 상기 캡슐화된 사용자 인증 정보를 암호화하는 과정을 포함하여 이루어짐을 특징으로 한다.A method for encrypting a user authentication message in a wireless communication system according to the present invention for achieving the above object is a method of encrypting a user authentication message transmitted between a base station and a mobile terminal in a wireless communication system, in response to an authentication request from the mobile terminal. Granting, by the base station, an authentication key for the mobile terminal, encapsulating predetermined user authentication information included in the user authentication message by a predetermined authentication method, and encrypting the user authentication information by using the authentication key. And a process of generating a predetermined security key, and encrypting the encapsulated user authentication information using the security key.

상기 다른 목적을 달성하기 위한 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법은 사용자의 서비스 이용 시 인증키가 요구되는 무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지의 암호화를 위한 보안키의 생성 방법에 있어서, 상기 인증키를 소정 바이트로 패딩하는 과정과, 상기 패딩된 인증키와 결합되는 소정 비트의 다운링크/업링크 보안 패드를 생성하는 과정과, 상기 패딩된 인증키와 상기 다운링크/업링크 보안 패드를 결합하는 과정과, 상기 보안 패드가 결합된 인증키의 해쉬값을 생성하는 과정과, 상기 해쉬값을 소정 비트로 절단하여 다운링크/업링크 보안키를 생성하는 과정을 포함하여 이루어짐을 특징으로 한다.Security key generation method for encrypting the user authentication message in the wireless communication system according to the present invention for achieving the above another object is a user authentication message transmitted between the base station and the mobile terminal in a wireless communication system requiring the authentication key when the user uses the service A method of generating a security key for encryption, the method comprising: padding the authentication key with a predetermined byte, generating a downlink / uplink security pad of a predetermined bit combined with the padded authentication key, and the padding; Combining the authenticated authentication key with the downlink / uplink security pad, generating a hash value of the authentication key combined with the security pad, and cutting the hash value into predetermined bits to cut down the downlink / uplink security key. Characterized in that it comprises a process of generating.

상기 목적을 달성하기 위한 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치는 무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지를 암호화하는 장치에 있어서, 상기 이동 단말의 서비스 이용을 위한 소정 인증키를 소정 비트의 패드와 결합한 후, 결합된 정보의 해쉬값을 이용하여 소정 비트의 보안키를 출력하는 보안키 생성부과, 상기 사용자 인증 메시지에 포함된 사용자 인증 정보를 소정 인증 방식으로 캡슐화한 후, 다수의 블록으로 분할하여 출력하는 블록 생성부와, 상기 다수의 블록으로 분할된 사용자 인증 정보를 상기 보안키를 이용하여 암호화하는 암호화부를 포함하여 구성됨을 특징으로 한다. In an apparatus for encrypting a user authentication message in a wireless communication system according to the present invention for achieving the above object, an apparatus for encrypting a user authentication message transmitted between a base station and a mobile terminal in a wireless communication system, the predetermined method for using a service of the mobile terminal After combining the authentication key with the pad of the predetermined bit, a security key generation unit for outputting the security key of the predetermined bit using the hash value of the combined information, and encapsulating the user authentication information contained in the user authentication message by a predetermined authentication method Afterwards, it comprises a block generation unit for dividing the output into a plurality of blocks and an encryption unit for encrypting the user authentication information divided into the plurality of blocks using the security key.

이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.

먼저 본 발명의 이해를 돕기 위해 IEEE 802.16e 기반의 광대역 무선 통신 시스템에서 이동 단말(Subscriber Station : SS)과 기지국(Access Point : AP)은 인증 과정에서 송수신되는 사설키 관리(Privacy Key Management : 이하, "PKM") 메시지를 간략히 설명하기로 한다. 상기 PKM 메시지는 하기 IEEE 802.16e 표준에 하기 <표 1>과 같이 정의되어 있으며, 본 발명에 따라 암호화가 요구되는 메시지는 하기 <표 2>와 같이 Secure EAP 메시지로서 15,16,17,18 번을 새로이 정의하였다.First of all, in order to help the understanding of the present invention, in the IEEE 802.16e-based broadband wireless communication system, a mobile station (Subscriber Station: SS) and a base station (Access Point: AP) are transmitted and received during the authentication process. "PKM") message will be briefly described. The PKM message is defined in the following IEEE 802.16e standard as shown in Table 1, and a message requiring encryption according to the present invention is a Secure EAP message as shown in Table 2 as 15, 16, 17, and 18. Is newly defined.

상기 사용자 인증 메시지는 상기 <표 2>과 같이 이동 단말에서 기지국으로 전송되는 EAP 전송 요구 메시지(EAP Transfer Request)와 기지국에서 이동 단말로 전송되는 EAP 전송 응답 메시지(EAP Transfer Reply)로 구성된다. 상기 사용자 인증 메시지는 이동 단말의 ID 정보와 같은 개인정보를 포함하고 있으므로 개인정보 유출 방지를 위해 본 발명에서는 상기 사용자 인증 메시지의 암호화 방안을 제안한 것이다.The user authentication message is composed of an EAP Transfer Request message (EAP Transfer Request) transmitted from the mobile terminal to the base station and an EAP Transfer Response message (EAP Transfer Reply) transmitted from the base station to the mobile terminal as shown in Table 2. Since the user authentication message includes personal information such as ID information of the mobile terminal, the present invention proposes an encryption scheme of the user authentication message to prevent leakage of personal information.

본 발명에서는 상기 사용자 인증 메시지의 암호화를 위해 도 1에서 설명한 보안 보조 계층(PS)를 새로이 정의하였으며, 도 2는 본 발명에 따른 보안 보조 계층(PS)(200)의 계층 구조를 나타낸 도면이다. In the present invention, the security assistance layer (PS) described in FIG. 1 is newly defined for the encryption of the user authentication message, and FIG. 2 is a diagram illustrating a hierarchical structure of the security assistance layer (PS) 200 according to the present invention.

도 2에서 상기 보안 보조 계층(PS)(200)은 망에 접속하는 사용자의 신원을 인증하는 인증 계층(PKI-Based Authentication)(211)과, 인증된 사용자의 서비스 이용 권한을 검증하는 권한 검증 제어 계층(Authorization Control)(213)과, 키관리 계층(215)과, 상기 사용자 인증 메시지를 EAP 계층으로 캡슐화 즉 코딩하는 EAP 캡슐화 계층(EAP Encapsulation)(217)을 포함한다.In FIG. 2, the security assistance layer (PS) 200 includes a PKI-Based Authentication 211 for authenticating the identity of a user accessing a network, and an authority verification control for verifying a service use right of an authenticated user. An authentication control 213, a key management layer 215, and an EAP encapsulation 217 that encapsulates or codes the user authentication message into an EAP layer.

또한 도 2에서 상기 보안 보조 계층(PS)(200)은 상기 EAP 캡슐화 계층(EAP Encapsulation)(217)을 통해 코딩된 사용자 인증 메시지와 데이터를 암호화하고 HMAC을 생성하는 메시지 계층(PKM messaging layer)(219)을 포함한다. 상기 메시지 계층(219)은 후술할 암호화 방법으로 상기 사용자 인증 메시지를 암호화하는 메시지 암호화 계층(219a)과, HMAC을 생성하는 맥생성 계층(219b) 및 이동 단말과 기지국 간에 송수신되는 데이터를 암호화하는 데이터 암호화 계층(219c)를 포함하여 구성된다.In addition, in FIG. 2, the security assistance layer (PS) 200 encrypts a user authentication message and data coded through the EAP encapsulation 217, and generates a HMAC. 219). The message layer 219 is a message encryption layer 219a for encrypting the user authentication message using an encryption method to be described later, a pulse generation layer 219b for generating an HMAC, and data for encrypting data transmitted and received between a mobile terminal and a base station. Encryption layer 219c.

본 발명에서는 이동 단말 별로 고유한 인증키(Authorization Key : AK)를 이용하여 소정 보안키(Secure EAP Key : SEK)를 생성하고, 상기 보안키(SEK)를 이용하여 상기 사용자 인증 메시지(즉, Primary Management Connection의 EAP Transfer Message)에 실리는 페이로드(Payload)를 암호화하게 된다. 여기서 사용되는 암호화 방식은 예컨대, Rijndael 블록암호(block cipher)를 사용하는 128bit AES(Advanced Encryption Standard) 알고리즘을 사용한다.According to the present invention, a predetermined security key (SEK) is generated using a unique authentication key (AK) for each mobile terminal, and the user authentication message (ie, primary) is generated using the security key (SEK). The payload on the EAP Transfer Message of the Management Connection is encrypted. The encryption method used here uses, for example, a 128-bit Advanced Encryption Standard (AES) algorithm using Rijndael block cipher.

또한 본 발명에서는 상기 AES 알고리즘을 수행할 때 상기 보안키를 암호화되는 블록의 사이즈 만큼 반복하여 사용하는 ECB(Electronics Code Book) 모드를 적용한다. 이하 상기 보안키를 이용하여 ECB 모드로 AES 알고리즘을 수행하는 방식을 AES-ECB 방식이라 칭하기로 한다.In addition, the present invention applies to an ECB (Electronics Code Book) mode in which the security key is repeatedly used as much as the size of an encrypted block when performing the AES algorithm. Hereinafter, a method of performing the AES algorithm in the ECB mode using the security key will be referred to as an AES-ECB method.

도 3은 본 발명에 따라 암호화된 사용자 인증 메시지의 데이터 필드 구성을 나타낸 것으로서, 이는 MAC 헤더 필드(301)와, 전술한 PKM 메시지 타입이 규정된 PKM 헤더 필드(303)와, 상기 EAP 캡슐화 계층(EAP Encapsulation)(217)을 통해 코딩된 사용자 인증 정보가 AES-ECB 방식으로 암호화된 페이로드 필드(305) 및, 오류정정을 위한 CRC 필드(307)를 포함하여 구성된다.3 shows a data field configuration of an encrypted user authentication message according to the present invention, which is a MAC header field 301, a PKM header field 303 in which the above-described PKM message type is defined, and the EAP encapsulation layer ( The user authentication information coded through the EAP Encapsulation 217 is configured to include a payload field 305 encrypted using the AES-ECB scheme, and a CRC field 307 for error correction.

한편 본 발명에서 상기 사용자 인증 메시지는 다운 링크와 업 링크에서 모두 요구되므로 이동 단말과 기지국은 각각 보안키를 생성함과 아울러 생성된 보안키를 이용하여 상기 사용자 인증 메시지를 암호화하게 된다.In the present invention, since the user authentication message is required in both the downlink and the uplink, the mobile terminal and the base station respectively generate a security key and encrypt the user authentication message using the generated security key.

이하에서는 먼저 본 발명에 따라 상기 사용자 인증 메시지의 암호화 시 이용되는 보안키(SEK)의 생성 방법을 설명한 후, 생성된 보안키(SEK)를 이용하여 상기 사용자 인증 메시지를 암호화하는 방법을 보다 상세하게 설명하기로 한다. Hereinafter, a method of generating a security key (SEK) used when encrypting the user authentication message according to the present invention will be described first, and then a method of encrypting the user authentication message using the generated security key (SEK) in more detail. Let's explain.

도 4는 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법을 설명하기 위한 플로우챠트이다.4 is a flowchart illustrating a method for generating a security key for encrypting a user authentication message in a wireless communication system according to the present invention.

도 4의 401 과정에서 이동 단말/기지국은 이동 단말 마다 고유한 인증키(AK)를 예컨대, 해쉬값 산출에 이용될 수 있는 64 바이트 정보로 패딩(padding)한다. 상기 410 과정에서 IEEE 802.16e 표준에 정의된 인증키(AK)는 64 비트 또는 128 비트의 비트 수를 갖게 되고, 64/128 비트의 인증키(AK)에 "0"을 패딩하여 64 바이트 정보로 변환하게 된다.In step 401 of FIG. 4, the mobile terminal / base station pads a unique authentication key (AK) for each mobile terminal with, for example, 64 bytes of information that can be used to calculate a hash value. In step 410, the authentication key (AK) defined in the IEEE 802.16e standard has a 64-bit or 128-bit number, and pads " 0 " Will be converted.

한편 이동 단말은 상기 <표 1>에서 4 번 메시지로 정의된 인증 요구 메시지(Auth Request Message)를 기지국으로 전송하고, 기지국은 해당 이동 단말로 상기 인증키(AK)가 포함된 인증 응답 메시지(Auth Reply Message)을 전송한다. 따라서 이동 단말은 기지국과의 초기 인증 절차 시 상기 인증키(AK)를 전달받게 되고, 이때 전달된 인증키(AK)는 소정 유효 시간을 갖는다.Meanwhile, the mobile terminal transmits an authentication request message (Auth Request Message) defined as message 4 in the <Table 1> to the base station, and the base station sends an authentication response message (Auth) containing the authentication key (AK) to the mobile terminal. Reply Message). Therefore, the mobile terminal receives the authentication key AK during the initial authentication procedure with the base station, and the delivered authentication key AK has a predetermined valid time.

이후 403 과정에서 이동 단말/기지국은 예컨대, Ox3B를 64번 반복하여 512 비트의 다운링크 보안 패드(S_PAD_D)를 생성하고, Ox5D를 64번 반복하여 512 비트의 업링크 보안 패드(S_PAD_U)를 생성한다. 그리고 405 과정에서 이동 단말/기지국은 상기 401 과정에서 패딩된 인증키(AK)와 상기 403 과정에서 생성된 다운링크/업링크 보안 패드를 결합한다.Thereafter, in step 403, the mobile terminal / base station repeats Ox3B 64 times to generate a 512-bit downlink security pad S_PAD_D, and repeats Ox5D 64 times to generate a 512-bit uplink security pad S_PAD_U. . In step 405, the mobile terminal / base station combines the authentication key padded in step 401 with the downlink / uplink security pad generated in step 403.

이후 407 과정에서 이동 단말/기지국은 잘 알려진 해쉬값 생성 알고리즘인 SHA-1 알고리즘을 이용하여 다운링크/업링크 보안 패드가 결합된 인증키의 해쉬값을 생성한다. 그리고 409 과정에서 이동 단말/기지국은 상기 407 과정에 따라 생성된 해쉬값의 비트수가 128 비트에 맞추어지도록 160 비트 해쉬값의 하위비트들을 절단하여 다운링크/업링크 보안키(SEK_D, SEK_U)를 생성한다.Thereafter, in step 407, the mobile terminal / base station generates a hash value of the authentication key combined with the downlink / uplink security pad using the SHA-1 algorithm, which is a well-known hash value generation algorithm. In step 409, the mobile terminal / base station generates the downlink / uplink security key (SEK_D, SEK_U) by cutting the lower bits of the 160-bit hash value so that the number of bits of the hash value generated according to step 407 is set to 128 bits. do.

그리고 상기 401 과정 내지 409 과정에 따른 보안키 생성 알고리즘은 하기 수학식 1, 2와 같이 표현된다. 여기서 수학식 1은 다운링크 보안키(SEK_D)를 생성하기 위한 것이고, 수학식 2는 업링크 보안키(SEK_U)를 생성하기 위한 것이다.The security key generation algorithm according to steps 401 to 409 is represented by Equations 1 and 2 below. Equation 1 is for generating a downlink security key SEK_D, and Equation 2 is for generating an uplink security key SEK_U.

SEK_D (128bits) = Truncate (SHA (S_PAD_D | AK), 128)SEK_D (128bits) = Truncate (SHA (S_PAD_D | AK), 128)

SEK_U (128bits) = Truncate (SHA (S_PAD_U | AK), 128)SEK_U (128bits) = Truncate (SHA (S_PAD_U | AK), 128)

도 5는 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법을 설명하기 위한 플로우챠트이다. 5 is a flowchart illustrating a user authentication message encryption method in a wireless communication system according to the present invention.

먼저 501 과정에서 기지국은 이동 단말로부터 PKM 메시지 중에서 서비스 이용을 위한 인증 요구 메시지(Auth Request Message)가 전송되면, 해당 이동 단말로 고유한 인증키(AK)가 포함된 인증 응답 메시지(Auth Reply Message)를 전송한다. 그리고 503 과정에서 본 발명에 따른 사용자 인증 메시지의 암호화는 업링크와 다운링크에서 모두 요구되므로 이동 단말/기지국은 단말의 ID 정보와 같은 사용자 인증 정보를 보안 보조 계층(PS)(200)의 EAP 캡슐화 계층(217)를 통해 캡슐화한다.First, in step 501, when the base station transmits an Auth Request message for service use from the PKM message to the mobile terminal, the base station authenticates an authentication key including an unique authentication key (AK) to the mobile terminal. Send it. In step 503, since the encryption of the user authentication message according to the present invention is required in both uplink and downlink, the mobile terminal / base station encapsulates user authentication information such as ID information of the terminal in the EAP of the security auxiliary layer (PS) 200. Encapsulate through layer 217.

이후 505 과정에서 이동 단말/기지국은 EAP로 캡슐화된(코딩된) 사용자 인증 정보를 전술한 ECB 모드 수행을 위해 다수의 블록으로 분할한다. 그리고 507 과정에서 이동 단말/기지국은 상기 501 과정에서 부여된 인증키(AK)에 해쉬 알고리즘인 SHA-1 알고리즘을 적용하여 소정 해쉬값을 구하고, 그 해쉬값을 미리 정해진 비트수로 절단하여 암호화를 위한 다운링크/업링크 보안키(SEK)를 생성한다. Thereafter, in step 505, the mobile terminal / base station divides user authentication information encapsulated (coded) into EAP into a plurality of blocks to perform the aforementioned ECB mode. In step 507, the mobile terminal / base station obtains a predetermined hash value by applying the SHA-1 algorithm, which is a hash algorithm, to the authentication key AK, which is given in step 501, and cuts the hash value by a predetermined number of bits to perform encryption. Create a downlink / uplink security key (SEK).

이후 509 과정에서 이동 단말/기지국은 상기 507 과정에서 생성된 보안키(SEK)를 이용하여 상기 505 과정에서 분할된 다수의 블록을 각각 AES-ECB 방식으로 암호화하여 암호화된 사용자 인증 메시지를 생성하게 된다. Thereafter, in step 509, the mobile terminal / base station generates an encrypted user authentication message by encrypting the plurality of blocks divided in step 505 by AES-ECB using the security key generated in step 507. .

도 6은 상기 AES-ECB 방식에 의한 암호화 방식을 도식적으로 나타낸 것으로서, 도 6에서 PLAINTEXT 1 ~ PLAINTEXT n은 다수의 블록으로 분할된 사용자 인증 정보를 의미한다. AES로 암호화되어 출력되는 다수의 블록들(Output block 1 ~ Output block n)은 도 3의 사용자 인증 정보가 AES-ECB 방식으로 암호화된 페이로드 필드(305)를 구성하게 된다.FIG. 6 schematically illustrates the encryption scheme by the AES-ECB scheme. In FIG. 6, PLAINTEXT 1 to PLAINTEXT n denote user authentication information divided into a plurality of blocks. A plurality of output blocks encrypted through AES (Output block 1 to Output block n) constitute a payload field 305 in which user authentication information of FIG. 3 is encrypted in an AES-ECB manner.

도 7은 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치의 구성을 나타낸 블록 구성도로서, 이는 암호화된 사용자 인증 메시지의 전송이 요구되는 이동 단말과 기지국 모두에 구비되며, 도 2에서 설명한 보안 보조 계층(PS)의 구조 하에서 동작된다.FIG. 7 is a block diagram illustrating a configuration of an apparatus for encrypting a user authentication message in a wireless communication system according to the present invention, which is provided to both a mobile terminal and a base station requiring transmission of an encrypted user authentication message. It is operated under the structure of the auxiliary layer (PS).

도 7에서 패딩부(710)는 이동 단말 마다 고유한 인증키(AK)를 SHA-1 해쉬값 산출에 이용되도록 "0"을 패딩하여 예컨대, 64 바이트 정보로 출력한다. 아울러 도 7의 패드 생성부(720)는 다운링크 보안키를 생성하는 경우 Ox3B를 64번 반복하여 512 비트의 다운링크 보안 패드(S_PAD_D)를 생성하고, 업링크 보안키를 생성하는 경우 Ox5D를 64번 반복하여 512 비트의 업링크 보안 패드(S_PAD_U)를 생성하여 결합부(730)로 전달한다.In FIG. 7, the padding unit 710 pads " 0 " to output, for example, 64 byte information so that an authentication key AK unique to each mobile terminal is used to calculate a SHA-1 hash value. In addition, the pad generating unit 720 of FIG. 7 generates 512-bit downlink security pads (S_PAD_D) by repeating Ox3B 64 times when generating the downlink security key, and 64 when the uplink security key is generated. Repeated times, the 512-bit uplink security pad S_PAD_U is generated and delivered to the combiner 730.

상기 결합부(730)는 상기 패딩부(710)로부터 전달된 64 바이트의 패딩된 인증키(AK)와 상기 패드 생성부(720)로부터 전달된 다운링크/업링크 보안 패드를 결합하여 해쉬값 생성부(740)로 출력한다. 상기 해쉬값 생성부(740)는 예컨대, SHA-1 알고리즘을 이용하여 다운링크/업링크 보안 패드가 결합된 인증키(AK)의 해쉬값을 생성하여 비트 절단부(750)로 출력하고, 비트 절단부(750)는 입력된 해쉬값의 하위 비트를 절단하여 160 비트의 다운링크/업링크 보안키(SEK_D, SEK_U)를 출력한다.The combiner 730 generates a hash value by combining the padded authentication key AK transmitted from the padding unit 710 with the downlink / uplink security pad transmitted from the pad generator 720. Output to the unit 740. The hash value generator 740 generates a hash value of the authentication key AK combined with the downlink / uplink security pad by using the SHA-1 algorithm, and outputs the hash value to the bit truncation unit 750. In operation 750, the lower bit of the input hash value is truncated to output 160-bit downlink / uplink security keys SEK_D and SEK_U.

아울러 도 7의 EAP 코딩부(760)는 무선망으로 전송되는 사용자 인증 정보를 입력받아 전술한 보안 보조 계층(PS)의 EAP 캡슐화 계층(217)를 통해 EAP 코딩을 수행하고, 코딩된 사용자 인증 정보를 블록 분할부(770)으로 출력한다. 그리고 상기 블록 분할부(770)는 ECB 모드에 의한 암호화가 수행될 수 있도록 코딩된 사용자 인증 정보를 다수의 블록으로 분할하여 암호화부(780)로 출력한다.In addition, the EAP coding unit 760 of FIG. 7 receives user authentication information transmitted to the wireless network, performs EAP coding through the above-described EAP encapsulation layer 217 of the security auxiliary layer (PS), and codes user authentication information. Is output to the block divider 770. The block dividing unit 770 divides the coded user authentication information into a plurality of blocks and outputs the encoded user authentication information to the encrypting unit 780 so that encryption by ECB mode can be performed.

그리고 상기 암호화부(780)는 상기 비트 절단부(750)로부터 전달된 다운링크/업링크 보안키(SEK_D, SEK_U)를 이용하여 상기 블록 분할부(770)로부터 전달된 분할된 사용자 인증 정보를 예컨대, AES-ECB 방식으로 암호화하여 출력하게 된다. 그리고 상기 암호화된 사용자 인증 정보는 도 3의 페이로드 필드(305)에 실리고, 기지국과 이동 단말은 암호화된 사용자 인증 메시지를 송수신하게 된다.The encryption unit 780 uses the downlink / uplink security keys SEK_D and SEK_U transmitted from the bit cutting unit 750 to divide the user authentication information transmitted from the block dividing unit 770, for example. The AES-ECB method is used for encryption. The encrypted user authentication information is displayed in the payload field 305 of FIG. 3, and the base station and the mobile terminal transmit and receive the encrypted user authentication message.

즉 도 8은 본 발명에 따라 이동 단말(SS)과 기지국(AP) 간에 암호화된 사용자 인증 메시지를 송수신하는 과정을 나타낸 흐름도이다.8 is a flowchart illustrating a process of transmitting and receiving an encrypted user authentication message between a mobile station (SS) and a base station (AP) according to the present invention.

801 과정에서 서비스 이용을 원하는 이동 단말(SS)은 기지국(AP)으로 인증 요구 메시지(PKM Auth Request)를 전송하고, 803 과정에서 인증 요구 메시지를 수신한 기지국(AP)은 전술한 인증키(AK)가 포함된 인증 응답 메시지(PKM Auth Reply)를 해당 이동 단말(SS)로 전송한다.In step 801, the mobile station (SS) desiring to use the service transmits an authentication request message (PKM Auth Request) to the base station (AP), and in step 803, the base station (AP) receiving the authentication request message receives the authentication key (AK). PKM Auth Reply is sent to the mobile station (SS).

이후 805 과정에서 기지국(AP)은 이동 단말(SS)의 단말 ID 확인 등을 위해 사용자 인증 메시지로서 암호화된 EAP 전송 요구 메시지(EAP Transfer Request)를 이동 단말(SS)로 전송하고, 807 과정에서 이동 단말(SS)은 사용자 인증 메시지로서 자신의 단말 ID 정보 등이 포함된 암호화된 EAP 전송 응답 메시지(EAP Transfer Reply)를 기지국(AP)으로 전송한다. Subsequently, in step 805, the base station AP transmits an encrypted EAP Transfer Request message as an user authentication message to the mobile terminal SS to confirm the terminal ID of the mobile terminal SS, and moves in step 807. The terminal SS transmits an encrypted EAP Transfer Reply message including its own terminal ID information as a user authentication message to the base station AP.

이상 설명한 바와 같이 본 발명에 의하면, 광대역 무선 통신 시스템에서 사용자 인증 정보가 포함된 PKM EAP 메시지를 암호화하여 송수신함으로써 사용자 인증 정보의 보안을 유지함과 아울러 EAP 메시지 보호하여 Man in the middle attack을 방지한다.As described above, according to the present invention, the PKM EAP message including the user authentication information is encrypted and transmitted in the broadband wireless communication system to maintain the security of the user authentication information and to prevent the man in the middle attack by protecting the EAP message.

도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면1 illustrates a hierarchical structure of a conventional IEEE 802.16e standard

도 2는 본 발명에 따른 보안 보조 계층의 계층 구조를 나타낸 도면2 is a diagram illustrating a hierarchical structure of a security assistance layer according to the present invention.

도 3은 본 발명에 따라 암호화된 사용자 인증 메시지의 데이터 필드 구성을 나타낸 도면3 is a diagram illustrating a data field configuration of an encrypted user authentication message according to the present invention.

도 4는 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법을 설명하기 위한 플로우챠트4 is a flowchart illustrating a method for generating a security key for encrypting a user authentication message in a wireless communication system according to the present invention.

도 5는 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법을 설명하기 위한 플로우챠트5 is a flowchart for explaining a user authentication message encryption method in a wireless communication system according to the present invention.

도 6은 본 발명에 따른 AES-ECB 암호화 방식을 도식적으로 나타낸 도면6 is a diagram schematically illustrating an AES-ECB encryption scheme according to the present invention.

도 7은 본 발명에 따른 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치의 구성을 나타낸 블록 구성도7 is a block diagram showing the configuration of a user authentication message encryption apparatus in a wireless communication system according to the present invention.

도 8은 본 발명에 따라 이동 단말과 기지국 간에 암호화된 사용자 인증 메시지를 송수신하는 과정을 나타낸 흐름도8 is a flowchart illustrating a process of transmitting and receiving an encrypted user authentication message between a mobile station and a base station according to the present invention.

Claims (17)

무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지의 암호화 방법에 있어서,A method of encrypting a user authentication message transmitted between a base station and a mobile terminal in a wireless communication system, 상기 이동 단말로부터의 인증 요청에 응답하여 상기 기지국이 상기 이동 단말에 대한 인증키를 부여하는 과정과,Granting, by the base station, an authentication key for the mobile terminal in response to the authentication request from the mobile terminal; 상기 사용자 인증 메시지에 포함되는 소정 사용자 인증 정보를 소정 인증 방식으로 캡슐화하는 과정과,Encapsulating predetermined user authentication information included in the user authentication message by a predetermined authentication method; 상기 인증키를 이용하여 상기 사용자 인증 정보의 암호화를 위한 소정 보안키를 생성하는 과정과,Generating a predetermined security key for encrypting the user authentication information using the authentication key; 상기 보안키를 이용하여 상기 캡슐화된 사용자 인증 정보를 암호화하는 과정을 포함하여 이루어짐을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.And encrypting the encapsulated user authentication information using the security key. 제 1 항에 있어서,The method of claim 1, 상기 사용자 인증 메시지는 IEEE 802.16 표준에서 정의된 PKM(Privacy Key Management) 메시지임을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.The user authentication message is a user authentication message encryption method in a wireless communication system, characterized in that the Privacy Key Management (PKM) message defined in the IEEE 802.16 standard. 제 1 항에 있어서,The method of claim 1, 상기 캡슐화하는 과정에서 상기 인증 방식은 EAP(Extensible Authentication Protocol) 방식임을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.The method of encrypting a user authentication message in a wireless communication system, characterized in that in the encapsulating process, the authentication method is an Extensible Authentication Protocol (EAP) method. 제 1 항에 있어서,The method of claim 1, 상기 보안키는 상기 인증키에 소정 해쉬 함수를 적용하여 생성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.And said security key is generated by applying a predetermined hash function to said authentication key. 제 1 항에 있어서,The method of claim 1, 상기 암호화하는 과정은 AES(Advanced Encryption Standard) 알고리즘을 통해 수행됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.The encryption process is a user authentication message encryption method in a wireless communication system, characterized in that performed through the AES (Advanced Encryption Standard) algorithm. 제 5 항에 있어서,The method of claim 5, 상기 AES 알고리즘은 ECB(Electronics Code Book) 모드에서 수행됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.The AES algorithm is a user authentication message encryption method in a wireless communication system, characterized in that performed in the ECB (Electronics Code Book) mode. 제 1 항에 있어서,The method of claim 1, 상기 캡슐화된 사용자 인증 정보를 다수의 블록으로 분할하는 과정을 추가로 포함하고, 상기 암호화하는 과정은 상기 각 블록에 대해 개별적으로 수행됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 방법.And dividing the encapsulated user authentication information into a plurality of blocks, wherein the encrypting is performed individually for each block. 사용자의 서비스 이용 시 인증키가 요구되는 무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지의 암호화를 위한 보안키의 생성 방법에 있어서,A method of generating a security key for encrypting a user authentication message transmitted between a base station and a mobile terminal in a wireless communication system requiring an authentication key when a user uses a service, 상기 인증키를 소정 바이트로 패딩하는 과정과,Padding the authentication key with a predetermined byte; 상기 패딩된 인증키와 결합되는 소정 비트의 다운링크/업링크 보안 패드를 생성하는 과정과,Generating a predetermined bit of downlink / uplink security pad associated with the padded authentication key; 상기 패딩된 인증키와 상기 다운링크/업링크 보안 패드를 결합하는 과정과,Combining the padded authentication key with the downlink / uplink security pad; 상기 보안 패드가 결합된 인증키의 해쉬값을 생성하는 과정과,Generating a hash value of the authentication key combined with the security pad; 상기 해쉬값을 소정 비트로 절단하여 다운링크/업링크 보안키를 생성하는 과정을 포함하여 이루어짐을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법.And generating a downlink / uplink security key by truncating the hash value into a predetermined bit. 제 8 항에 있어서,The method of claim 8, 상기 해쉬값은 SHA-1 알고리즘을 이용하여 생성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법.The hash value is generated using a SHA-1 algorithm, the security key generation method for encrypting user authentication messages in a wireless communication system. 제 8 항에 있어서,The method of claim 8, 상기 보안키는 AES(Advanced Encryption Standard) 알고리즘에 사용되는 128 비트 암호화 키임을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화를 위한 보안키 생성 방법.The security key is a security key generation method for encrypting user authentication messages in a wireless communication system, characterized in that the 128-bit encryption key used in the Advanced Encryption Standard (AES) algorithm. 무선 통신 시스템에서 기지국과 이동 단말 간에 전송되는 사용자 인증 메시지를 암호화하는 장치에 있어서,An apparatus for encrypting a user authentication message transmitted between a base station and a mobile terminal in a wireless communication system, 상기 이동 단말의 서비스 이용을 위한 소정 인증키를 소정 비트의 패드와 결합한 후, 결합된 정보의 해쉬값을 이용하여 소정 비트의 보안키를 출력하는 보안키 생성부과,A security key generation unit for combining a predetermined authentication key for service use of the mobile terminal with a pad of a predetermined bit, and outputting a security key of a predetermined bit using a hash value of the combined information; 상기 사용자 인증 메시지에 포함된 사용자 인증 정보를 소정 인증 방식으로 캡슐화한 후, 다수의 블록으로 분할하여 출력하는 블록 생성부와,A block generation unit for encapsulating user authentication information included in the user authentication message in a predetermined authentication method and dividing the user authentication information into a plurality of blocks and outputting the same; 상기 다수의 블록으로 분할된 사용자 인증 정보를 상기 보안키를 이용하여 암호화하는 암호화부를 포함하여 구성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치.And an encryption unit for encrypting the user authentication information divided into the plurality of blocks by using the security key. 제 11 항에 있어서,The method of claim 11, 상기 사용자 인증 메시지는 IEEE 802.16 표준에서 정의된 PKM(Privacy Key Management) 메시지임을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치.The user authentication message encryption apparatus for a user authentication message in a wireless communication system, characterized in that the Privacy Key Management (PKM) message defined in the IEEE 802.16 standard. 제 11 항에 있어서,The method of claim 11, 상기 인증 방식은 EAP(Extensible Authentication Protocol) 방식임을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치.The authentication method is a user authentication message encryption device in a wireless communication system, characterized in that the EAP (Extensible Authentication Protocol). 제 11 항에 있어서,The method of claim 11, 상기 보안키는 상기 인증키에 SHA-1 해쉬 함수를 적용하여 생성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치.The security key is a user authentication message encryption device in a wireless communication system, characterized in that generated by applying a SHA-1 hash function to the authentication key. 제 11 항에 있어서,The method of claim 11, 상기 암호화부는 AES(Advanced Encryption Standard) 알고리즘으로 상기 암호화를 수행하도록 구성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치.The encryption unit is a user authentication message encryption device in a wireless communication system, characterized in that configured to perform the encryption with the Advanced Encryption Standard (AES) algorithm. 제 15 항에 있어서,The method of claim 15, 상기 AES 알고리즘은 ECB(Electronics Code Book) 모드에서 수행됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치. And the AES algorithm is performed in an electronics code book (ECB) mode. 제 11 항에 있어서,The method of claim 11, 상기 보안키 생성부는 상기 인증키를 소정 바이트로 패딩하는 패딩부와,The security key generation unit and a padding unit for padding the authentication key with a predetermined byte; 소정 비트의 보안 패드를 생성하는 패드 생성부와,A pad generator for generating a security pad of a predetermined bit; 상기 패딩된 인증키와 상기 보안 패드를 결합하는 결합부와, A coupling part for coupling the padded authentication key and the security pad; 상기 보안 패드가 결합된 인증키의 해쉬값을 생성하는 해쉬값 생성부와,A hash value generator for generating a hash value of the authentication key combined with the security pad; 상기 해쉬값을 소정 비트로 절단하는 비트 절단부를 포함하여 구성됨을 특징으로 하는 무선 통신 시스템에서 사용자 인증 메시지 암호화 장치. And a bit truncation unit which truncates the hash value into predetermined bits.
KR1020040032405A 2004-05-07 2004-05-07 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same KR20050107537A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040032405A KR20050107537A (en) 2004-05-07 2004-05-07 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040032405A KR20050107537A (en) 2004-05-07 2004-05-07 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same

Publications (1)

Publication Number Publication Date
KR20050107537A true KR20050107537A (en) 2005-11-11

Family

ID=37309274

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040032405A KR20050107537A (en) 2004-05-07 2004-05-07 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same

Country Status (1)

Country Link
KR (1) KR20050107537A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789920B1 (en) * 2006-09-29 2008-01-02 한국전자통신연구원 Method and apparatus for device and user authentication based on single eap message in mobile communication system
KR101008121B1 (en) * 2006-02-10 2011-01-13 후아웨이 테크놀러지 컴퍼니 리미티드 A method and system for managing xml document
KR101009913B1 (en) * 2010-06-03 2011-01-20 (주)지락인포메이션 Method for providing online payment service, payment module and payment approval server
CN101142784B (en) * 2005-03-17 2012-12-19 韩国电子通信研究院 Method for negotiating security-related functions of subscriber station in wireless portable internet system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101142784B (en) * 2005-03-17 2012-12-19 韩国电子通信研究院 Method for negotiating security-related functions of subscriber station in wireless portable internet system
KR101008121B1 (en) * 2006-02-10 2011-01-13 후아웨이 테크놀러지 컴퍼니 리미티드 A method and system for managing xml document
US9208336B2 (en) 2006-02-10 2015-12-08 Huawei Technologies Co., Ltd. Extensible markup language document management method and system
KR100789920B1 (en) * 2006-09-29 2008-01-02 한국전자통신연구원 Method and apparatus for device and user authentication based on single eap message in mobile communication system
KR101009913B1 (en) * 2010-06-03 2011-01-20 (주)지락인포메이션 Method for providing online payment service, payment module and payment approval server

Similar Documents

Publication Publication Date Title
US6449473B1 (en) Security method for transmissions in telecommunication networks
US10567165B2 (en) Secure key transmission protocol without certificates or pre-shared symmetrical keys
US8538021B2 (en) Sending apparatus, receiving apparatus, sending method, and receiving method
FI108690B (en) Payroll of speech and of control messages in cell systems
KR101294816B1 (en) Method of encrypting control signaling
TWI418194B (en) Mobile station and base station and method for deriving traffic encryption key
JP4002035B2 (en) A method for transmitting sensitive information using unsecured communications
US9088890B2 (en) Method and apparatus for encrypting short data in a wireless communication system
JP2012110009A (en) Methods and arrangements for secure linking of entity authentication and ciphering key generation
US20070192594A1 (en) Apparatus and method for ciphering/deciphering a signal in a communication system
KR20050072789A (en) A method for the access of the mobile terminal to the wlan and for the data communication via the wireless link securely
KR100430358B1 (en) Radio communication device and radio communication method
CN112073115B (en) Lora-based low-orbit satellite Internet of things registration security verification method, Internet of things terminal, network server and user server
WO2012024903A1 (en) Method for encrypting voice calls in mobile communication network, and system, terminal, and network side thereof
CN1323523C (en) Method of forming dynamic key in radio local network
CN106878277B (en) Method and device for realizing voice encryption based on DMR standard
KR20050107537A (en) Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same
Luo A simple encryption scheme based on wimax
RU2132597C1 (en) Method for encryption and transmission of encrypted voice data in gsm-900 and dcs-1800 cellular mobile communication networks
KR20010064766A (en) Authentication and key establishment method for wireless communication system
JP2005051368A (en) Communication apparatus, base station apparatus and communication system
CN110650476B (en) Management frame encryption and decryption
CN1371082A (en) Method and mobile device for end-to-end enciphere
WO2019159290A1 (en) Communication device, terminal device, wireless communication system, and key generation method
KR970056178A (en) SP2 LAN Information Protection Protocol using Time Quantum Key Distribution

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination