KR100527634B1 - 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법 - Google Patents

휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법 Download PDF

Info

Publication number
KR100527634B1
KR100527634B1 KR10-2003-0096300A KR20030096300A KR100527634B1 KR 100527634 B1 KR100527634 B1 KR 100527634B1 KR 20030096300 A KR20030096300 A KR 20030096300A KR 100527634 B1 KR100527634 B1 KR 100527634B1
Authority
KR
South Korea
Prior art keywords
authentication
eap
base station
user
user terminal
Prior art date
Application number
KR10-2003-0096300A
Other languages
English (en)
Other versions
KR20050064717A (ko
Inventor
조석헌
박애순
장성철
차재선
김경수
Original Assignee
삼성전자주식회사
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 삼성전자주식회사
Priority to KR10-2003-0096300A priority Critical patent/KR100527634B1/ko
Publication of KR20050064717A publication Critical patent/KR20050064717A/ko
Application granted granted Critical
Publication of KR100527634B1 publication Critical patent/KR100527634B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법에 관한 것이다.
본 발명에 따른 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법은 단말이 기지국에 장치 인증 및 사용자 인증에 대한 요구를 하면, 기지국은 해당 단말에 대한 장치 인증을 직접 수행하고, 장치 인증이 성공하면, 인증서버로 패킷 접속 라우터를 통해 해당 단말의 사용자 인증을 요청한다. 이 때, 장치 인증 또는 사용자 인증이 실패하면, 각각의 장치 인증 실패 횟수나 사용자 인증 실패 횟수가 유효 장치 인증 횟수나 유효 사용자 인증 횟수보다 작으면 기지국은 단말로 인증 실패의 의미를 포함한 EAP Transfer Reply 메시지를 전달한다. 이를 수신한 단말은 기지국으로 장치 인증 및 사용자 인증을 다시 요청한다. 반면, 각각의 장치 인증 실패 횟수나 사용자 인증 실패 횟수가 유효 장치 인증 횟수나 유효 사용자 인증 횟수 이상이 되면 기지국은 단말로 영구적인 인증 실패의 의미를 포함한 EAP Transfer Reply 메시지를 전달한다. 그리고 기지국은 영구 인증 실패된 단말로부터 장치 인증 및 사용자 인증 요청에 대한 인증을 더 이상 수행하지 않는다.

Description

휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법{AP OPERATING METHOD ON AUTHORIZATION AND AUTHORIZATION FAILURE IN PERSONAL INTERNET SYSTEM}
본 발명은 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법에 관한 것이다.
일반적으로 통신 서비스망에서는 가입자에 대한 적법성 여부를 판단하기 위하여 인증(Authentication) 기능을 사용하고 있으며, 휴대 인터넷 시스템의 가입자가 트래픽 서비스를 실질적으로 제공받기 위해서는 인증 절차가 필수적이다.
그리고 권한이 검증된 단말장치를 통해 불법의 가입자가 서비스를 요청할 경우를 대비하여 장치 인증 뿐만 아니라 사용자에 대한 인증이 수반되어야 한다.
종래에 단말 장치에 대한 권한을 검증하고 검증된 장치에 한해서 초기 접속을 허용하는 IEEE 802.16 기반의 Wireless MAN 시스템이 있다.
IEEE 802.16 기반의 Wireless MAN 시스템은 단말 장치에 대한 장치 인증을 X.509 인증서를 가지고 MAC(Medium Access Control) 계층에서 여러 PKM 메시지들을 통해 해당 장치에 대한 권한을 검증하고, 검증된 장치에 한해서는 Wireless MAN 시스템에 초기 접속할 수 있도록 한다.
Wireless MAN 시스템에서는 장치에 대한 인증을 실행하면서 실패하였을 경우 기지국에서 단말로 전송하는 MAC 계층의 제어 메시지인 PKM 메시지들만 구체화하였지만, 장치 인증 실패 시 기지국이 취해야 할 방안에 대한 정확한 절차는 제시하고 있지 않다. 그리고 Wireless MAN 시스템에서는 하나의 단말장치에 여러 가입자가 동시에 연결되어 사용할 수 있기 때문에 가입자에 대한 인증을 배제하고 있어 권한이 검증된 단말장치를 통해서 불법의 가입자가 서비스를 제공받을 수 있는 문제점이 발생한다.
상기와 같은 문제점을 해결하기 위한 것으로 본 발명이 이루고자 하는 기술적 과제는 휴대 인터넷 시스템 내의 기지국에서 단말 장치에 대한 권한 검증 수행에 따른 장치 인증을 수행하고 장치 인증된 해당 단말에 대한 사용자 인증을 인증 서버에 요청하는 방식의 인증 절차 수행 중 장치 인증 또는 사용자 인증 실패 시 휴대 인터넷 시스템을 효율적으로 운용할 수 있는 휴대 인터넷 시스템에서 인증 실패에 따른 기지국 운용 방법을 제공하기 위한 것이다.
이러한 과제를 해결하기 위해 본 발명에서는 기지국, 패킷 접속 라우터 및 인증 서버를 포함하는 휴대 인터넷 시스템에서 사용자 단말에 대한 인증 및 인증 실패 시 기지국의 운용 방법이 제공된다.
본 발명의 하나의 특징에 따른 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법은 a) 상기 사용자 단말로부터 장치 인증 요청에 따른 상기 사용자 단말에 대한 장치 인증을 수행하는 단계; b) 상기 장치 인증의 성공 여부에 기초하여 상기 장치 인증이 실패한 경우, 상기 사용자 단말에 대한 장치 인증 실패 횟수를 점진적으로 증가시켜 장치 인증 실패 횟수와 유효 장치 인증 횟수를 비교하는 단계; c) 상기 b)단계 비교 결과에 기초하여 재인증 시도 및 영구 인증 실패를 판단하는 단계; d) 상기 c)단계로부터 재인증 시도로 판단된 경우, 상기 사용자 단말로의 재인증 시도 요구에 따른 상기 사용자 단말로부터 장치 인증 요청에 의해 장치 인증을 재수행하는 단계; 및 e) 상기 c)단계로부터 영구 인증 실패로 판단된 경우, 상기 사용자 단말에 대한 장치 인증을 더 이상 수행하지 않고 상기 사용자 단말로부터의 인증 요청에 무조건 거부하는 단계를 포함한다. 이 때, 상기 c)단계는, 상기 장치 인증 실패 횟수가 유효 장치 인증 횟수보다 작은 경우 상기 사용자 단말에 대한 재인증 시도로 판단하고, 상기 장치 인증 실패 횟수가 유효 장치 인증 횟수보다 이상인 경우, 상기 사용자 단말에 대한 영구 인증 실패로 판단할 수 있다.
그리고 상기 a)단계에서 사용자 단말은, 상기 기지국으로 장치 인증 요청의 의미를 포함한 EAP-Transfer Request 메시지를 전송할 수 있다. 상기 EAP-Transfer Request 메시지는, 상기 사용자 단말의 제조업체 인증서를 의미하는 CA(Certificate Authority)-인증서; 상기 사용자 단말의 사용자 인증서가 포함된 SS-인증서; 상기 사용자 단말이 지원하는 보안 능력을 의미하는 보안 능력(Security-Capabilities); SA((Security Association)의 식별자를 의미하는 SAID(Security Association ID); 및 인증에 필요한 EAP-TLS 또는 EAP-TTLS 인증 데이터를 포함한 EAP(Extensible Authentication Protocol) 패이로드를 포함한다.
그리고 상기 a)단계는, ⅰ) 상기 EAP-Transfer Request 메시지를 수신하는 단계; ⅱ) 상기 수신된 EAP-Transfer Request 메시지에 포함된 파라미터를 확인하는 단계; ⅲ) 상기 ⅱ)단계 확인 결과, 상기 파라미터가 모두 포함된 경우, 장치 인증을 수행하는 단계; 및 ⅳ) 상기 ⅱ)단계 확인 결과, 상기 파라미터가 모두 포함되어 있지 않은 경우, 인증 실패로 처리하는 단계를 포함한다.
또한, 휴대 인터넷 시스템에서 인증 실패에 따른 기지국 운용 방법은 상기 ⅳ)단계로부터 인증 실패된 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계를 더 포함할 수 있으며 상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 재인증 시도 요구의 의미가 포함된 메시지일 수 있다. 또한, 상기 EAP-Transfer Reply 메시지는, 인증의 성공 또는 실패 여부를 나타내는 결과 코드; 인증 실패 시 그 이유를 설명해 주는 에러 코드; 사용자 단말의 임시적인 인증키 일련번호를 의미하는 임시 인증키 일련 번호; 사용자 단말의 유효한 인증키 일련번호를 의미하는 인증키 일련 번호; 인증키 유효시간을 의미하는 인증키 유효시간 필드; 사용자 단말로 할당할 SAID와 관련된 SA의 추가적인 기능을 포함한 SA디스크립터; 및 인증시 필요한 EAP-TLS 또는 EAP-TTLS 인증 데이터가 포함된 EAP 패이로드를 포함할 수 있다.
그리고 상기 b)단계로부터 장치 인증이 성공한 경우, f) 상기 사용자 인증 요청에 따른 사용자 인증 관련 정보를 수신하는 단계를 더 포함할 수 있고, 상기 f)단계는, 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 상기 패킷 액세스 라우터로 전송하는 단계; 상기 패킷 액세스 라우터가 수신된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 인증서버에 전송하는 단계; 상기 인증 서버가 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 패킷 액세스 라우터로 전송하는 단계; 상기 패킷 액세스 라우터로부터 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 수신하는 단계를 포함한다. 이 때, 상기 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지는 ANAP(Access Network Application Protocol) 인증 관련 메시지이며, 상기 ANAP 인증 관련 메시지는, 사용자 단말의 MAC(Medium Access Control) 주소를 의미하는 MAC 주소; 인증시 필요한 EAP-TLS 또는 EAP-TTLS 인증 데이터가 포함된 EAP 패이로드; 인증 성공 시 상기 사용자 단말에 대한 인증키를 의미하는 인증키; 상기 인증키 유효 시간을 의미하는 인증키 유효시간; 임시 인증키에 대한 일련번호를 의미하는 임시 인증키 일련번호; 사용자 인증의 성공 또는 실패 여부를 나타내는 결과 코드; 및 사용자 인증이 실패하였을 경우 그 실패 이유를 나타내는 이유 코드를 포함한다. 그리고 상기 마지막 인증 성공의 EAP-Transfer Reply 메시지의 EAP 패이로드는 암호화된 상기 사용자 단말의 인증키를 생성하는 시드(seed)를 포함할 수 있다.
그리고 상기 f)단계 다음, g) 상기 패킷 접속 라우터로부터 전송된 마지막 ANAP 인증 관련 메시지를 통해 사용자 인증을 수행하는 단계를 더 포함할 수 있다.상기 g)단계는, ⅴ) 상기 ANAP 인증 관련 메시지에 포함된 결과 코드에 기초하여 사용자 인증의 성공 또는 실패를 판단하는 단계; ⅵ) 상기 ⅴ)단계로부터 사용자 인증 실패로 판단되면, 상기 사용자 단말에 대한 사용자 인증 실패 횟수를 점진적으로 증가시켜 사용자 인증 실패 횟수와 유효 사용자 인증 횟수를 비교하는 단계; ⅶ) 상기 ⅵ)단계 비교 결과에 기초하여 재인증 시도 및 영구 인증 실패를 판단하는 단계; ⅷ) 상기 ⅶ)단계로부터 재인증 시도로 판단된 경우, 상기 사용자 단말로의 재인증 시도 요구에 따른 상기 사용자 단말로부터 인증 요청에 의해 a)단계부터 재수행하는 단계; 및 ⅸ) 상기 ⅶ)단계로부터 영구 인증 실패로 판단된 경우, 상기 사용자 단말에 대한 인증을 더 이상 수행하지 않는 단계를 포함하며, x) 상기 ⅴ)단계로부터 사용자 인증이 성공되면, 상기 ANAP 인증 관련 메시지에 포함된 파라미터를 확인하는 단계; xi) 상기 ANAP 인증 관련 메시지의 파라미터가 모두 포함된 경우, 상기 사용자 단말에 대한 장치 인증 및 사용자 인증을 성공으로 처리하는 단계; 및 xii) 상기 장치 인증 및 사용자 인증 성공에 따른 정보를 상기 사용자 단말로 전송하는 단계를 더 포함할 수 있다.
그리고 상기 xii)는, PKM-RSP MAC 메시지의 내부 메시지인 EAP-Transfer Reply 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터에 인증키를 암호화하여 전송할 수 있다.
그리고 상기 ⅶ)단계는, 상기 사용자 인증 실패 횟수가 유효 사용자 인증 횟수보다 작은 경우 상기 사용자 단말에 대한 재인증 시도로 판단하고, 상기 사용자 인증 실패 횟수가 유효 사용자 인증 횟수보다 이상인 경우, 상기 사용자 단말에 대한 영구 인증 실패로 판단할 수 있다.
또한, 상기 사용자 단말의 장치 인증 및 사용자 인증 수행 시, 내부 문제가 발생될 경우, 상기 해당 사용자 단말에 재 초기화를 의미하는 RES-CMD 메시지를 전송하는 단계를 더 포함할 수 있다.
그리고 상기 장치 인증 또는 사용자 인증에 대한 재인증 시도로 판단된 경우, 상기 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계를 더 포함하며, 상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 재인증 시도 요구의 의미가 포함된 메시지이며, 상기 장치 인증 또는 사용자 인증에 대한 영구 인증 실패로 판단된 경우, 상기 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계를 더 포함하며, 상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 인증 요청 금지의 의미가 포함된 메시지이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
먼저, 본 발명이 적용되는 휴대 인터넷 시스템 망에 대하여 도 1을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망 구성도이다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 휴대 인터넷 시스템 망(100)은 기지국(Access Point:AP)(120), 패킷 접속 라우터(Packet Access Router:PAR)(130) 및 인증 서버(140)을 포함한다.
기지국(120)은 휴대 인터넷 단말(Access Terminal:AT)(110)과 접속되어 서비스와 관련된 모든 제어 기능을 수행한다. 그리고 기지국(120)과 휴대 인터넷 단말(110) 사이에서는 MAC(Medium Access Control) 프로토콜을 사용한다.
패킷 접속 라우터(130)는 패킷 접속 라이팅 기능 및 모바일 아이피(Mobile IP)의 외부 에이전트(Foreign Agent:FA) 기능을 수행한다. 외부 에이전트는 패킷 기반 인터넷 접속 및 로밍서비스를 제공, 인터넷 접속을 유지한 채로 다른 업체의 서비스망으로 이동할 수 있도록 사용자 등록 및 등록 해제 기능을 수행한다. 그리고 PAR(130)과 기지국(120) 사이에서는 내부프로토콜인 ANAP(Access Network Application Protocol)를 사용한다.
인증서버(AAA:Authentication/Authorization/ Accounting)(140)는 휴대 인터넷 단말(110)에 대한 인증, 권한 검증 및 인증 키 생성 기능을 수행한다. 그리고 인증서버(140)에서는 국제표준기관인 IETF(Internet Engineer Task Force)에서 표준화 진행중인 다이아미터(Diameter) 프로토콜을 사용한다. 다이아미터 프로토콜은 서버간 연동에 의한 인증, 권한검증 및 과금 정보 전송을 가능하게 한다.
이와 같이 구성된 휴대 인터넷 시스템 망(100)은 인증서버(140)를 통하여 타 사업자와도 연동이 가능할 수 있다.
상기와 같이 구성된 휴대 인터넷 시스템 망(100)에서 장치 인증과 사용자 인증에 대한 기지국의 동작 과정에 대해 도 2를 참조하여 상세하게 설명한다.
도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증과 사용자 인증 과정을 나타낸 흐름도이다.
도 2에 나타낸 바와 같이, 휴대 인터넷 시스템 망(100)의 가입자는 실질적인 트래픽 서비스를 제공 받기 전에 장치 인증과 사용자 인증을 거치게 된다(S200).
휴대 인터넷 단말(110)은 MAC 프로토콜의 PKM-REQ 메시지 중의 한 메시지인 EAP-Transfer Request 메시지를 기지국(120)로 전송하여 장치 인증과 사용자 인증을 동시에 요구한다(S201). 이 때, EAP-Transfer Request 메시지에는 장치 인증에 필요한 파라미터들과 사용자 인증에 필요한 EAP-TLS(EAP-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS) 데이터들이 포함된다.
이 EAP-Transfer Request 메시지를 수신한 기지국(120)은 해당 휴대 인터넷 단말(110)에 대한 장치 인증을 수행한다(S202).
기지국(120)이 장치 인증 중 실패하게 되면, 기지국(120)은 해당 휴대 인터넷 단말(110)로 MAC 프로토콜의 PKM-RSP 메시지 중의 한 메시지인 EAP-Transfer Reply 메시지를 해당 휴대 인터넷 단말(110)로 전송하여 인증 실패를 알린다(S203). 이와는 달리, 해당 휴대 인터넷 단말(110)에 대한 장치 인증이 성공하게 되면, 기지국(120)은 실질적인 사용자 인증 수행을 인증 서버(140)로 요청한다. 이 때, 기지국(120)은 휴대 인터넷 단말(110)로부터 수신 받은 EAP-Transfer Request 메시지에 포함된 EAP-TLS 또는 EAP-TTLS 데이터를 ANAP 프로토콜의 인증 관련 메시지에 포함하여 패킷 접속 라우터(130)로 전송한다(S204).
이 ANAP 프로토콜의 인증 관련 메시지를 수신한 패킷 접속 라우터(130)는 EAP-TLS 또는 EAP-TTLS 데이터를 사용자 인증의 한 주체인 인증 서버(140)로 다이아미터 프로토콜을 이용하여 송신한다(S205). 그러면, 이에 대한 응답으로 인증 서버(140)는 인증 데이터를 패킷 접속 라우터(130)로 전송하고(S206), 패킷 접속 라우터(130)는 ANAP 프로토콜의 인증 관련 메시지를 통해 인증 데이터를 기지국으로 전송한다(S207). 그리고 인증 데이터를 수신한 기지국(120)은 MAC 프로토콜의 PKM-RSP의 한 메시지인 EAP-Transfer Reply 메시지를 통해 EAP-TLS 또는 EAP-TTLS 인증 데이터를 휴대 인터넷 단말(110)로 전송한다(S208).
이와 같이 해당 휴대 인터넷 단말(110)에 대한 사용자 인증은 앞서 기술한 단계(S201, S204-S208)들을 여러 번 반복하면서 수행되며, 최종적으로 인증 서버(140)에서의 사용자 인증 결과가 성공이면, 마지막 사용자 인증 단계(S206-S208)를 거치면서 인증 키가 EAP-TLS 또는 EAP-TTLS 인증 데이터 안에 암호화되어 전달된다. 이 때 인증 서버(140)에서 기지국(120)까지 전달되는 인증키를 포함한 인증 정보들이 인터넷 보안 프로토콜(Internet Protocol Security protocol; IPSec)로 암호화되어 전송되기 때문에, 안전성이 보장된다. 그리고 이 인증 정보들을 수신한 기지국(120)은 해당 인증 키에 대한 식별자로 인증 키 일련 번호를 키 관리 메커니즘에 따라 부여한다. 이 후, 기지국(120)은 사용자 인증과 관련된 부가 정보만을 최종적인 EAP-Transfer Reply 메시지를 통해 휴대 인터넷 단말(110)로 전송한다(S208).
기지국(120)은 해당 휴대 인터넷 단말(110)의 인증 키 시드가 EAP-TLS 또는 EAP-TTLS 인증 데이터안에 암호화되어 있기 때문에 이 인증 데이터 또한 휴대 인터넷 단말(110)로 전송한다. 휴대 인터넷 단말(110)이 EAP-Transfer Reply 메시지를 수신 받고 EAP-TLS 또는 EAP-TTLS 계층으로부터 인증 키를 받게 되면 사용자 인증 절차도 끝나면서 해당 휴대 인터넷 단말에 대한 모든 인증 절차가 모두 종료된다.
이상에서 설명한 바와 같이, 휴대 인터넷 시스템의 인증 절차에 따르면, 먼저 휴대 인터넷 단말(110)이 기지국(120)으로 장치 인증 및 사용자 인증에 대한 요구를 하게 되면, 기지국(120)은 장치 인증을 직접 수행하고 성공하였을 경우 인증 서버(140)로 패킷 접속 라우터(130)를 통해 해당 휴대 인터넷 단말(110)의 사용자 인증을 요청한다. 그리고 휴대 인터넷 단말(110)과 인증 서버(140) 사이의 사용자 인증이 완료되면, 기지국(120)은 해당 휴대 인터넷 단말(110)로 인증 키 시드 및 인증 부가 정보들을 전송하면서 휴대 인터넷 시스템 망(100)에서의 장치 인증 및 사용자 인증이 끝나게 되는 것이다.
이와 같이 본 발명의 실시예에서 다루는 인증 메커니즘은 휴대 인터넷 단말(110), 기지국(120), 패킷 접속 라우터(130) 및 인증서버(140)들 사이의 상호 작용에 의하여 실행된다.
다음, 도 3 및 도 4을 참조하여 본 발명의 실시예에 따른 인증 메커니즘에 대하여 자세하게 설명한다.
도 3a는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위해 단말에서 기지국으로 전송하는 PKM-REQ(EAP-Transfer Request) 메시지에 포함되어 있는 구성 요소를 나타낸 테이블 도면이다.
먼저 도 3a를 보면, 장치 인증 및 사용자 인증을 요구하기 위해 휴대 인터넷 단말(110)에서 기지국(120)으로 전송하는 EAP-Transfer Request 메시지(300)에 포함된 파라미터는 CA-인증서(CA-Certificate)(301), SS-인증서(SS-Certificate)(302), 보안 능력(Security-Capabilities)(303), SAID(Security Association ID)(304) 및 EAP 패이로드(EAP Payload)(305)를 포함한다.
CA-인증서(301)는 제조업체의 인증서를 의미한다.
SS-인증서(302)는 휴대 인터넷 단말(SS)의 X.509 사용자 인증서를 포함한다.
보안 능력(303)은 단말이 지원하는 보안 능력을 의미한다.
SAID(304)는 SA(Security Association)의 식별자를 의미한다. 이는 Basic CID와 같은 값이다.
EAP 패이로드(305)는 EAP-TLS 또는 EAP-TTLS 인증 데이터들을 포함한다.
기지국(120)은 이와 같은 파라미터 중에서 CA-인증서 및 SS-인증서를 이용하여 해당 휴대 인터넷 단말(110)의 장치 인증을 수행한다. 그리고 보안 능력(303) 및 SAID(304) 파라미터에는 기지국(120)과 휴대 인터넷 단말(110) 사이에서 제어 메시지나 트래픽 송수신 시에 필요한 알고리즘을 위한 부가 파라미터들이다. 또한, EAP 패이로드(305)에 포함된 EAP-TLS 또는 EAP-TTLS 인증 데이터들을 기지국(120)에서 해석하지 않고 패킷 접속 라우터(130)를 통해 인증 서버로 전달한다. 즉, 기지국(120)에서 CA-인증서 파라미터(301)와 SS-인증서 파라미터(302)를 이용해 장치 인증에 성공하면 단말(110)로부터 전달받은 EAP 패이로드를 패킷 접속 라우터(130)를 경유하여 인증 서버(140)로 전송함으로써 인증서버(140)가 수신받은 EAP-TLS 또는 EAP-TTLS 인증 데이터를 이용해 사용자 인증을 수행하도록 요청하는 것이다. 특히, 첫 번째 EAP-Transfer Request 메시지에는 이와 같은 모든 파라미터들이 반드시 포함되어야 한다. 그렇지 않은 경우에는 기지국은 장치 인증 수행에 앞서 인증 실패로 처리하게 된다.
다음, 도 3b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위해 기지국에서 단말로 전송하는 PKM-REQ(EAP-Transfer Reply) 메시지에 포함되어 있는 구성 요소를 나타낸 테이블 도면이다.
도 3b를 보면, 도 3a와는 다르게 기지국(120)에서 휴대 인터넷 단말(110)로 장치 인증 및 사용자 인증 과정 중에 송신하는 메시지인 EAP-Transfer Reply 메시지(310)에 포함된 파라미터는 EAP 결과 코드(EAP Result Code)(311), 에러 코드(Error Code)(312), 임시 인증키 일련 번호(Temporary Key Sequence Number)(313), 인증키 일련 번호(Key Sequence Number)(314), 인증키 유효시간(Key Lifetime) (315), SA 디스크립터(SA Descriptor)(316) 및 EAP 패이로드(EAP Payload)(317)를 포함한다.
EAP 결과 코드(311)는 인증의 성공 또는 실패 여부를 나타낸다.
에러 코드(312)는 EAP 결과 코드값이 실패일 때만 존재하며, 인증 실패 시 그 이유를 설명해준다.
임시 인증키 일련 번호(313)는 임시적인 인증키 일련번호를 의미한다.
인증키 일련 번호(314)는 유효한 인증키 일련번호를 의미한다.
인증키 유효시간(315)은 인증키 유효시간을 의미한다.
SA 디스크립터(316)는 단말에게 할당할 SAID들과 각각의 SAID와 관련된 SA의 추가적인 기능들을 포함한다.
EAP 패이로드(317)는 EAP-TLS 또는 EAP-TTLS 인증 데이터들을 포함한다.
기지국(120)은 EAP 결과 코드 파라미터를 이용하여 인증의 성공 또는 실패를 휴대 인터넷 단말(110)로 통보한다. 그리고 기지국(120)은 EAP 결과 코드값이 실패일 때만 존재하는 에러 코드 파라미터를 이용하여 휴대 인터넷 단말(110)로 인증 실패에 따른 이유를 설명해준다.
그리고 EAP 패이로드(317)는 인증 서버(140)에서 패킷 접속 라우터(130)를 통해 기지국으로 전달해온 사용자 인증과 관련된 인증 데이터로써 기지국(120)에서는 이를 해석하지 않고 단말로 전송한다. 인증 절차에 있어서 마지막 EAP-Transfer Reply 메시지(310)는 이러한 모든 파라미터들이 포함해야 하고 특히, EAP 패이로드 (317)에는 해당 휴대 인터넷 단말(110)의 인증 키가 암호화되어 있다.
다음, 도 4는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위해 기지국과 패킷 접속 라우터 간에 사용하는 내부 프로토콜인 ANAP 인증 관련 메시지에 포함되어 있는 구성 요소를 나타낸 테이블 도면이다.
도 4를 보면, 휴대 인터넷 시스템 망(100)에서 사용자 인증을 수행하기 위해 기지국(120)과 패킷 접속 라우터(130)와의 내부 프로토콜인 ANAP 인증 관련 메시지(400)는 하나의 메시지로써 정의될 수 있다.
ANAP 프로토콜 인증 관련 메시지(400)에 포함된 파라미터는 MAC 주소(MAC Address)(401), EAP 패이로드(EAP Payload)(402), 인증키(Authorization Key)(403), 인증키 유효시간(Authorization Key Lifetime)(404), 임시 인증키 일련번호(Temporary Key Sequence Number)(405), 결과 코드(Result Code)(406) 및 이유 코드(Reason Code)(407)을 포함한다.
MAC 주소(401)는 단말의 MAC 주소를 의미한다. 그리고 MAC 주소(401)는 기지국(120)에서 패킷 접속 라우터(130)로 전송되는 ANAP 프로토콜 인증 관련 메시지에만 포함된다.
EAP 패이로드(402)는 EAP-TLS 또는 EAP-TTLS 인증 데이터들을 포함한다. 그리고 해당 휴대 인터넷 단말(110)에 대한 사용자 인증이 성공적으로 수행되었을 때에 기지국(120)으로 전달되는 마지막 ANAP 프로토콜 인증 관련 메시지(400)의 EAP 패이로드(402)에는 휴대 인터넷 단말(110)로 전달하는 인증키 시드가 암호화되어 있다.
인증키(403)는 인증 성공 시 단말에 대한 인증키를 의미한다. 이 인증키는 IPSec(IP Security)으로 암호화되어 기지국(120)으로 직접 전달된다.
인증키 유효시간(404)은 인증키 유효시간을 의미한다.
임시 인증키 일련번호(405)는 임시적인 인증키 일련 번호를 의미한다.
결과 코드(406)는 사용자 인증의 성공 또는 실패 여부를 나타낸다.
이유 코드(407)는 사용자 인증이 실패하였을 경우 그 실패 이유를 나타낸다.
한편, 사용자 인증 성공일 경우 ANAP 프로토콜 인증 관련 메시지에는 MAC 주소(401)와 이유 코드(407)를 제외한 모든 파라미터들을 포함해야 한다. 또한, 결과 코드가 사용자 인증 성공을 나타내어야 하며, 그렇지 않은 경우에는 기지국(120)은 인증 실패로 처리한다.
이하에는 도 5를 참조하여 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 인증 실패시 기지국의 운용 방법에 대하여 상세하게 설명한다.
도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 인증 실패 시 기지국의 운용 방법을 나타낸 도면이다.
도 5에 나타낸 바와 같이, 휴대 인터넷 시스템 망(100)에서 인증 실패 시 기지국(120) 운용 방법에 따르면, 휴대 인터넷 시스템 망(100)에서 휴대 인터넷 단말(110)과 기지국(120) 사이에 해당 휴대 인터넷 단말(110)의 기본 기능 협상이 끝나면, 기지국(120)은 휴대 인터넷 단말(110)의 인증 요구를 의미하는 첫 EAP-Transfer Request 메시지를 기다린다(S501).
기지국(120)은 첫 EAP-Transfer Request 메시지를 수신하면(S502), EAP-Transfer Request 메시지의 각 필드에 모든 파라미터들이 포함되어 있는지 체크한다(S503). 만약, 모든 파라미터들이 포함되어 있지 않다면 기지국(120)은 인증 실패로 처리하고, 휴대 인터넷 단말(110)로 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 전송한다(S504). 이 메시지는 기지국(120)이 휴대 인터넷 단말(110)로 재인증 절차를 다시 시도하라는 의미를 포함한다. 휴대 인터넷 단말(110)은 기지국(120)으로부터 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 수신하면 기지국(120)으로 인증 요청을 의미하는 EAP-Transfer Request 메시지를 전송하여 인증 절차를 다시 요청하게 된다.
한편, 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 휴대 인터넷 단말(110)로 전송한 다음, 기지국(120)은 다시 EAP-Transfer Request 메시지를 기다린다(S501).
이와는 달리, 첫 EAP-Transfer Request 메시지에 모든 파라미터들이 포함되어 있으면 기지국(120)은 휴대 인터넷 단말(110)에 대한 장치 인증을 수행한다(S505). 만약, 휴대 인터넷 단말(110)이 전송한 EAP-Transfer Request 메시지에 장치 인증 수행 시 유효하지 못한 제조업체 또는 단말 장치이거나 유효하지 못한 보안 능력(Security-Capabilities)값이나 SAID값이 포함되어 있는 경우, 기지국(120)은 장치 인증 실패로 처리한다. 장치 인증을 실패로 처리한 기지국(120)은 내부적으로 장치 인증 실패 횟수 변수(NEAF: Number of Equipment Authorization Failure)값을 "1"씩 증가시킨다(S506). 그리고 나서, 기지국(120)은 이 장치 인증 실패 횟수 변수 값과 유효 장치 인증 횟수 변수(NVEA: Number of Valid Equipment Authorization)값을 비교한다(S507). 이 때의 유효 장치 인증 횟수 변수 값은 기지국(120)의 운영에 따라 변할 수 있다.
만약, 장치 인증 실패 횟수 변수 값이 유효 장치 인증 횟수 변수값보다 작으면 기지국(120)은 휴대 인터넷 단말(110)로 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 전송한다(S504). 또한, 이 메시지는 기지국(120)이 휴대 인터넷 단말(110)로 재인증 절차를 다시 시도하라는 의미를 포함하고 있기 때문에 이를 수신한 휴대 인터넷 단말(110)은 기지국(120)으로 인증 요청을 의미하는 EAP-Transfer Request 메시지를 전송하여 장치 인증 및 사용자 인증을 다시 요청하고 기지국(120)은 다시 장치 인증 및 사용자 인증을 수행한다.
반면, 장치 인증 실패 횟수 변수 값이 유효 장치 인증 횟수 변수값 이상이 되면, 기지국(120)은 해당 휴대 인터넷 단말(110)에 대하여 영구적인 인증 실패(Permanent Authorization Reject)라는 의미를 포함하는 EAP-Transfer Reply 메시지를 휴대 인터넷 단말(110)로 전송한다(S508). 또한, 이 EAP-Transfer Reply 메시지에는 휴대 인터넷 단말(110)로 더 이상의 재인증을 시도하지 말라는 의미를 포함하고 있다. 따라서, 이를 수신한 휴대 인터넷 단말(110)은 기지국(120)으로 장치 인증 및 사용자 인증을 요구하지 않게 된다. 그러나 영구 인증 실패된 단말이 기지국(120)으로 장치 인증 및 사용자 인증 요청이 오면, 기지국(120)은 해당 단말에 대한 인증 상태를 더 이상 두지 않으므로 인증 요청을 무조건 거부하게 된다.
이와는 달리, 기지국(120)에서 해당 휴대 인터넷 단말(110)의 장치 인증이 성공하게 되면, 기지국(120)은 인증서버(140)로 사용자 인증 수행을 요청하게 된다. 그러면, 도 2에 나타낸 것과 같이 기지국(120)은 사용자 인증 절차(S204-S207)를 여러 번 거쳐 마지막 ANAP 프로토콜 인증 관련 메시지를 수신한다(S509). 이를 수신한 기지국(120)은 인증 관련 메시지의 결과 코드(Result Code)값을 참조하여 성공이면 사용자 인증이 성공하였다고 간주하고, 그 값이 실패이면 사용자 인증이 실패라고 간주한다(S510).
만약, 사용자 인증이 실패하면 기지국(120)은 내부적으로 사용자 인증 실패 횟수 변수(NUAF: Number of User Authorization Failure)값을 "1"씩 증가시키고(S511) 사용자 인증 실패 횟수 변수 값이 유효 사용자 인증 횟수 변수(NVUA: Number of Valid User Authorization)값을 비교한다(S512). 이 때의 유효 사용자 인증 횟수 변수 값은 기지국의 운영에 따라 조정할 수 있다.
만약, 사용자 인증 실패 횟수 변수 값이 유효 사용자 인증 횟수 변수값보다 작으면 기지국(120)은 휴대 인터넷 단말(110)로 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 전송한다(S504). 또한, 이 메시지는 기지국(120)이 휴대 인터넷 단말(110)로 재인증 절차를 다시 시도하라는 의미를 포함하고 있기 때문에 이를 수신한 휴대 인터넷 단말(110)은 기지국(120)으로 인증 요청을 의미하는 EAP-Transfer Request 메시지를 전송하여 장치 인증 및 사용자 인증을 다시 요청하고 기지국(120)은 처음부터(S501) 장치 인증 및 사용자 인증을 수행한다.
반면, 사용자 인증 실패 횟수 변수 값이 유효 사용자 인증 횟수 변수값 이상이 되면, 기지국(120)은 해당 휴대 인터넷 단말(110)에 대하여 영구적인 인증 실패(Permanent Authorization Reject)라는 의미를 포함하는 EAP-Transfer Reply 메시지를 휴대 인터넷 단말(110)로 전송한다(S508). 또한, 이 EAP-Transfer Reply 메시지에는 휴대 인터넷 단말(110)로 더 이상의 재인증을 시도하지 말라는 의미를 포함하고 있기 때문에 이를 수신한 휴대 인터넷 단말(110)은 기지국(120)으로 장치 인증 및 사용자 인증을 요구하지 않게 된다. 그러나 영구 인증 실패된 단말이 기지국(120)으로 장치 인증 및 사용자 인증 요청이 오면, 기지국(120)은 해당 단말에 대한 인증 상태가 존재하지 않기 때문에 인증 요청을 무조건 거부하게 된다.
이와는 달리, 사용자 인증에 대해 성공하면, 기지국(120)은 마지막으로 수신한 ANAP 프로토콜 인증 관련 메시지 해당 필드에 인증키(403)와 인증키 유효시간(404)와 임시 인증키 일련번호(405) 및 EAP 패이로드(407) 파라미터들이 모두 포함되었는지 판단한다(S513). 만약, 파라미터들이 모두 포함되어 있지 않으면, 기지국(120)은 사용자 인증 실패로 처리하고 기지국(120)은 휴대 인터넷 단말(110)로 인증 실패(Reject)의 의미를 포함하는 EAP-Transfer Reply 메시지를 전송한다(S504). 또한, 이 메시지는 기지국(120)이 휴대 인터넷 단말(110)로 재인증 절차를 다시 시도하라는 의미를 포함하고 있기 때문에 이를 수신한 휴대 인터넷 단말(110)은 기지국(120)으로 인증 요청을 의미하는 EAP-Transfer Request 메시지를 전송하여 장치 인증 및 사용자 인증을 다시 요청하고 기지국(120)은 처음부터(S501) 장치 인증 및 사용자 인증을 수행한다.
이와 달리, 해당 파라미터들이 모두 포함되어 있으면, 기지국(120)은 해당 휴대 인터넷 단말(110)에 대하여 장치 인증 및 사용자 인증 모두 성공으로 처리하고, 인증 성공을 의미(Success)하는 EAP-Transfer Reply 메시지를 휴대 인터넷 단말(110)로 전송한다(S514). 그 후, 다음 절차인 휴대 인터넷 단말(110)의 등록 절차를 위한 휴대 인터넷 단말로부터 REG-REQ 메시지를 기다리면서 모든 인증 절차를 완료한다(S515).
또한, 도 5에 도시된 모든 절차(S501-S515) 중간에 기지국(120) 내부에 문제가 발생하여 휴대 인터넷 단말(110)에 대한 더 이상의 인증 절차를 수행할 수 없을 경우, 기지국(120)은 휴대 인터넷 단말(110)로 재 초기화하라는 의미를 포함하고 있는 RES-CMD 메시지를 전송한다. 이 메시지를 수신한 휴대 인터넷 단말(110)은 다시 재 초기화를 수행한다.
상술한 바와 같이 본 발명의 실시예에 따른 휴대 인터넷 시스템 망(100)에서 인증 실패에 따른 기지국 운용 방법에서는 인증 실패 시 기지국(120)에서 결정할 수 있는 모든 경우의 수를 고려하여 실행되고, 휴대 인터넷 시스템 망(100)에서 장치 인증 뿐만 아니라 사용자 인증까지 제공하고 있다.
이상의 실시예들은 본원 발명을 설명하기 위한 것으로, 본원 발명의 범위는 실시예들에 한정되지 아니하며, 첨부된 청구 범위에 의거하여 정의되는 본원 발명의 범주 내에서 당업자들에 의하여 변형 또는 수정될 수 있다.
본 발명에 의하면, 하나의 메시지를 통하여 단말이 장치 인증 및 사용자 인증을 동시에 요구할 수 있도록 하여 메시지를 효율적으로 이용하여 휴대 인터넷 시스템의 가입자에 대한 장치 인증과 사용자 인증을 수행함으로써 보다 비도 높은 인증과 보안을 유지할 수 있게 된다.
또한, 기지국에서 인증과 관련된 실패 횟수와 유효 횟수라는 변수 개념을 고려하여 인증 실패 시 재 인증과 영구 인증 거부를 판단하는데 있어서 보다 탄력적으로 대응할 수 있고 인증 실패에 대해 기지국 내부적으로 해당 단말에 대한 재 인증 및 불법적인 가입자에 대해서 영구 인증 거부를 판단하여 적법한 가입자의 피해를 방지하고 효율적인 가입자 및 망 관리를 할 수 있으므로 휴대 인터넷 시스템 망 전체적으로 효과적인 운영이 가능하다.
도 1은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망 구성도이다.
도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증 과정을 나타낸 흐름도이다.
도 3a 및 도 3b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 MAC 메시지의 구성 요소를 나타낸 테이블 도면이다.
도 4는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 ANAP 메시지의 구성 요소를 나타낸 테이블 도면이다.
도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 인증 실패 시 기지국의 운용 방법을 나타낸 도면이다.

Claims (20)

  1. 기지국, 패킷 접속 라우터 및 인증 서버를 포함하는 휴대 인터넷 시스템에서 사용자 단말에 대한 인증 및 인증 실패 시 기지국의 운용 방법에 있어서,
    a) 상기 사용자 단말로부터 장치 인증 요청에 따른 상기 사용자 단말에 대한 장치 인증을 수행하는 단계;
    b) 상기 장치 인증의 성공 여부에 기초하여 상기 장치 인증이 실패한 경우, 상기 사용자 단말에 대한 장치 인증 실패 횟수를 점진적으로 증가시켜 장치 인증 실패 횟수와 유효 장치 인증 횟수를 비교하는 단계;
    c) 상기 b)단계 비교 결과에 기초하여 재인증 시도 및 영구 인증 실패를 판단하는 단계;
    d) 상기 c)단계로부터 재인증 시도로 판단된 경우, 상기 사용자 단말로의 재인증 시도 요구에 따른 상기 사용자 단말로부터 인증 요청에 의해 상기 a)단계부터 재수행하는 단계; 및
    e) 상기 c)단계로부터 영구 인증 실패로 판단된 경우, 상기 사용자 단말에 대한 인증을 더 이상 수행하지 않는 단계
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  2. 제 1항에 있어서, 상기 c)단계는,
    상기 장치 인증 실패 횟수가 유효 장치 인증 횟수보다 작은 경우 상기 사용자 단말에 대한 재인증 시도로 판단하고, 상기 장치 인증 실패 횟수가 유효 장치 인증 횟수보다 이상인 경우, 상기 사용자 단말에 대한 영구 인증 실패로 판단하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  3. 제 1항에 있어서, 상기 a)단계에서 사용자 단말은,
    상기 기지국으로 장치 인증 요청의 의미를 포함한 EAP-Transfer Request 메시지를 전송하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  4. 제 3항에 있어서, 상기 EAP-Transfer Request 메시지는,
    상기 사용자 단말의 제조업체 인증서를 의미하는 CA(Certificate Authority)-인증서;
    상기 사용자 단말의 사용자 인증서가 포함된 SS-인증서;
    상기 사용자 단말이 지원하는 보안 능력을 의미하는 보안 능력(Security-Capabilities);
    SA(Security Association)의 식별자를 의미하는 SAID(Security Association ID); 및
    인증에 필요한 EAP-TLS(EAP-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS) 인증 데이터를 포함한 EAP(Extensible Authentication Protocol) 패이로드
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  5. 제 3항에 있어서, 상기 a)단계는,
    ⅰ) 상기 EAP-Transfer Request 메시지를 수신하는 단계;
    ⅱ) 상기 수신된 EAP-Transfer Request 메시지에 포함된 파라미터를 확인하는 단계;
    ⅲ) 상기 ⅱ)단계 확인 결과, 상기 EAP-Transfer Request 메시지에 파라미터가 모두 포함된 경우, 장치 인증을 수행하는 단계; 및
    ⅳ) 상기 ⅱ)단계 확인 결과, 상기 EAP-Transfer Request 메시지에 파라미터가 모두 포함되어 있지 않은 경우, 인증 실패로 처리하는 단계
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  6. 제 5항에 있어서,
    상기 ⅲ)단계로부터 상기 EAP-Transfer Request 메시지에 파라미터가 모두 포함된 경우, 상기 CA-인증서 및 상기 SS-인증서에 의해 장치 인증에 대한 성공 또는 실패 여부를 판단하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  7. 제 5항에 있어서,
    상기 ⅳ)단계로부터 인증 실패된 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계
    를 더 포함하며,
    상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 재인증 시도 요구의 의미가 포함된 메시지인 것을 특징으로 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  8. 제 7항에 있어서, 상기 EAP-Transfer Reply 메시지는,
    인증의 성공 또는 실패 여부를 나타내는 결과 코드;
    인증 실패 시 그 이유를 설명해 주는 에러 코드;
    사용자 단말의 임시적인 인증키 일련번호를 의미하는 임시 인증키 일련 번호;
    사용자 단말의 유효한 인증키 일련번호를 의미하는 인증키 일련 번호;
    인증키 유효시간을 의미하는 인증키 유효시간 필드;
    사용자 단말로 할당할 SAID와 관련된 SA의 추가적인 기능을 포함한 SA 디스크립터; 및
    인증시 필요한 EAP-TLS 또는 EAP-TTLS 인증 데이터가 포함된 EAP 패이로드
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  9. 제 1항에 있어서,
    f) 상기 b)단계로부터 장치 인증이 성공한 경우, 상기 사용자 인증 요청에 따른 사용자 인증 관련 정보를 수신하는 단계
    를 더 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  10. 제 9항에 있어서, 상기 f)단계는,
    상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 상기 패킷 액세스 라우터로 전송하는 단계;
    상기 패킷 액세스 라우터가 수신된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 인증서버에 전송하는 단계;
    상기 인증 서버가 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 패킷 액세스 라우터로 전송하는 단계;
    상기 패킷 액세스 라우터로부터 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 수신하는 단계
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  11. 제 10항에 있어서,
    상기 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지는 ANAP(Access Network Application Protocol) 인증 관련 메시지이며,
    상기 ANAP 인증 관련 메시지는,
    사용자 단말의 MAC(Medium Access Control) 주소를 의미하는 MAC 주소;
    인증시 필요한 EAP-TLS 또는 EAP-TTLS 인증 데이터가 포함된 EAP 패이로드;
    인증 성공 시 상기 사용자 단말에 대한 인증키를 의미하는 인증키;
    상기 인증키 유효 시간을 의미하는 인증키 유효시간;
    임시 인증키에 대한 일련번호를 의미하는 임시 인증키 일련번호;
    사용자 인증의 성공 또는 실패 여부를 나타내는 결과 코드; 및
    사용자 인증이 실패하였을 경우 그 실패 이유를 나타내는 이유 코드
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  12. 제 11항에 있어서,
    상기 마지막 인증 성공에 따른 EAP-Transfer Reply 메시지의 EAP 패이로드는 암호화된 상기 사용자 단말의 인증키 시드를 포함하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  13. 제 11항에 있어서, 상기 f)단계 다음,
    g) 상기 패킷 접속 라우터로부터 전송된 마지막 ANAP 인증 관련 메시지를 통해 사용자 인증을 수행하는 단계
    를 더 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  14. 제 13항에 있어서, 상기 g)단계는,
    ⅴ) 상기 ANAP 인증 관련 메시지에 포함된 결과 코드에 기초하여 사용자 인증의 성공 또는 실패를 판단하는 단계;
    ⅵ) 상기 ⅴ)단계로부터 사용자 인증 실패로 판단되면, 상기 사용자 단말에 대한 사용자 인증 실패 횟수를 점진적으로 증가시켜 사용자 인증 실패 횟수와 유효 사용자 인증 횟수를 비교하는 단계;
    ⅶ) 상기 ⅵ)단계 비교 결과에 기초하여 재인증 시도 및 영구 인증 실패를 판단하는 단계;
    ⅷ) 상기 ⅶ)단계로부터 재인증 시도로 판단된 경우, 상기 사용자 단말로의 재인증 시도 요구에 따른 상기 사용자 단말로부터 인증 요청에 의해 상기 a)단계부터 재수행하는 단계; 및
    ⅸ) 상기 ⅶ)단계로부터 영구 인증 실패로 판단된 경우, 상기 사용자 단말에 대한 인증을 더 이상 수행하지 않는 단계
    를 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  15. 제 14항에 있어서,
    x) 상기 ⅴ)단계로부터 사용자 인증이 성공되면, 상기 ANAP 인증 관련 메시지에 포함된 파라미터를 확인하는 단계;
    xi) 상기 ANAP 인증 관련 메시지의 파라미터가 모두 포함된 경우, 상기 사용자 단말에 대한 장치 인증 및 사용자 인증을 성공으로 처리하는 단계; 및
    xii) 상기 장치 인증 및 사용자 인증 성공에 따른 정보를 상기 사용자 단말로 전송하는 단계
    를 더 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  16. 제 15항에 있어서,
    상기 xii)는, PKM-RSP MAC 메시지의 내부 메시지인 EAP-Transfer Reply 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터에 인증키 시드를 암호화하여 전송하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  17. 제 14항에 있어서, 상기 ⅶ)단계는,
    상기 사용자 인증 실패 횟수가 유효 사용자 인증 횟수보다 작은 경우 상기 사용자 단말에 대한 재인증 시도로 판단하고, 상기 사용자 인증 실패 횟수가 유효 사용자 인증 횟수보다 이상인 경우, 상기 사용자 단말에 대한 영구 인증 실패로 판단하는 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  18. 제 1항 내지 제 17항 중 어느 한 항에 있어서,
    상기 사용자 단말의 장치 인증 및 사용자 인증 수행 시, 내부 문제가 발생될 경우, 상기 해당 사용자 단말에 재 초기화를 의미하는 RES-CMD 메시지를 전송하는 단계
    를 더 포함하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  19. 제 1항 내지 제 17항 중 어느 한 항에 있어서,
    상기 장치 인증 또는 사용자 인증에 대한 재인증 시도로 판단된 경우, 상기 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계를 더 포함하며,
    상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 재인증 시도 요구의 의미가 포함된 메시지인 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
  20. 제 1항 내지 제 17항 중 어느 한 항에 있어서,
    상기 장치 인증 또는 사용자 인증에 대한 영구 인증 실패로 판단된 경우, 상기 사용자 단말로 인증 실패를 의미하는 EAP-Transfer Reply 메시지를 전송하는 단계를 더 포함하며,
    상기 EAP-Transfer Reply 메시지는, 상기 사용자 단말로 인증 요청 금지의 의미가 포함된 메시지인 것을 특징으로 하는 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국 운용 방법.
KR10-2003-0096300A 2003-12-24 2003-12-24 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법 KR100527634B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0096300A KR100527634B1 (ko) 2003-12-24 2003-12-24 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0096300A KR100527634B1 (ko) 2003-12-24 2003-12-24 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법

Publications (2)

Publication Number Publication Date
KR20050064717A KR20050064717A (ko) 2005-06-29
KR100527634B1 true KR100527634B1 (ko) 2005-11-09

Family

ID=37256279

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0096300A KR100527634B1 (ko) 2003-12-24 2003-12-24 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법

Country Status (1)

Country Link
KR (1) KR100527634B1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006137624A1 (en) 2005-06-22 2006-12-28 Electronics And Telecommunications Research Institute Method for allocating authorization key identifier for wireless portable internet system
KR100740863B1 (ko) * 2006-02-28 2007-07-19 포스데이타 주식회사 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증방법 및 시스템
KR100730561B1 (ko) * 2006-04-25 2007-06-20 포스데이타 주식회사 휴대 인터넷 단말기의 네트워크 진입 동작을 제어하는 방법및 시스템과, 상기 휴대 인터넷 단말기
KR100787415B1 (ko) * 2007-02-15 2007-12-21 삼성전자주식회사 이동통신 시스템의 인증 장치 및 방법
KR101328903B1 (ko) * 2007-02-16 2013-11-13 삼성전자주식회사 확장 인증 프로토콜 패킷 유실에 따른 사용자 단말의초기화 방법
KR101350984B1 (ko) * 2011-07-06 2014-01-13 삼성에스디에스 주식회사 보안 토큰에 대한 발급자 인증 방법 및 그 장치
CN104333863B (zh) * 2014-10-20 2018-11-30 小米科技有限责任公司 连接管理方法及装置、电子设备
US9913315B2 (en) 2014-10-20 2018-03-06 Xiaomi Inc. Method and device for connection management

Also Published As

Publication number Publication date
KR20050064717A (ko) 2005-06-29

Similar Documents

Publication Publication Date Title
US7650629B2 (en) Enhanced trust relationship in an IEEE 802.1×network
US7181530B1 (en) Rogue AP detection
US8140845B2 (en) Scheme for authentication and dynamic key exchange
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
US7673146B2 (en) Methods and systems of remote authentication for computer networks
KR100762644B1 (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US8959598B2 (en) Wireless device authentication between different networks
JP5199405B2 (ja) 通信システムにおける認証
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
JP4624785B2 (ja) 通信システムにおけるインターワーキング機能
US8433286B2 (en) Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
US8380980B2 (en) System and method for providing security in mobile WiMAX network system
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
KR100527634B1 (ko) 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법
KR100589677B1 (ko) 휴대 인터넷 시스템 및 이의 인증 방법
KR100554520B1 (ko) 휴대 인터넷 시스템의 사용자 인증 및 보안 키 분배 방법
JP3825773B2 (ja) 認証判定ブリッジ

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121019

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20131021

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141020

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20151021

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20161019

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20171019

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20181018

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20191016

Year of fee payment: 15