KR100540329B1 - 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법 - Google Patents

이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법 Download PDF

Info

Publication number
KR100540329B1
KR100540329B1 KR20030043916A KR20030043916A KR100540329B1 KR 100540329 B1 KR100540329 B1 KR 100540329B1 KR 20030043916 A KR20030043916 A KR 20030043916A KR 20030043916 A KR20030043916 A KR 20030043916A KR 100540329 B1 KR100540329 B1 KR 100540329B1
Authority
KR
South Korea
Prior art keywords
mobile communication
user security
user
identifier
assigned
Prior art date
Application number
KR20030043916A
Other languages
English (en)
Other versions
KR20050002536A (ko
Inventor
임상미
오지영
권범준
김효선
임재철
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR20030043916A priority Critical patent/KR100540329B1/ko
Publication of KR20050002536A publication Critical patent/KR20050002536A/ko
Application granted granted Critical
Publication of KR100540329B1 publication Critical patent/KR100540329B1/ko

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 통신망에서 이동통신 단말기 사용자가 무선 데이터 서비스를 이용하고자 할 경우 이동통신 단말기 사용자의 개인정보를 보호하고, 다양한 이동 통신망에서 일관된 서비스를 제공할 수 있는 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법을 제공하는 것이다.
본 발명의 구성은 사용자 보안 아이디 제공 시스템의 전체적인 동작을 제어하는 제어부; 이동 통신망과 연결되어 정보를 송수신하는 정보 송수신부; 이동통신 단말기별 사용자 보안 아이디를 생성하는 수단으로서, 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적에 관계없이 통합된 고유의 보안 아이디를 생성/발급하여 이동통신 단말기별로 할당하는 사용자 보안 아이디 생성부; 사용자 보안 아이디 생성부에서 생성한 사용자 보안 아이디를 사용자 인증시 제공하고 관리하는 사용자 보안 아이디 관리부를 포함하여 이동통신 단말기가 과금 절차를 수행하기 위해 사용하는 사용자 아이디가 타 사용자에게 노출되더라도 사용자의 개인 정보를 보호할 수 있도록 한다.
사용자 보안 아이디, 이동 통신망

Description

이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법{Providing System and Method for Assigned-Client-Id of Mobile Communication}
도 1은 본 발명에 의한 사용자 보안 아이디 제공 시스템과 통신망의 연결 관계를 나타내는 도면,
도 2는 본 발명에 의한 사용자 보안 아이디 제공 시스템의 구성을 상세하게 나타내는 도면,
도 3은 본 발명에 의한 사용자 보안 아이디 제공 방법을 설명하는 흐름도이다.
<도면의 주요한 부분에 대한 부호의 설명>
10, 20 : 이동통신 단말기 30 : 이동 통신망
100 : CP 서버
200 : 사용자 보안 아이디 제공 시스템
210 : 정보 송수신부 230 : 사용자 보안 아이디 생성부
250 : 사용자 보안 아이디 관리부 270 : 제어부
290 : 데이터베이스
본 발명은 사용자 보안 아이디 제공 시스템에 관한 것으로서, 이동 통신망에서의 이동통신 단말기 사용자가 무선 데이터 서비스를 이용하고자 할 경우 이동통신 단말기 사용자의 개인정보를 보호하기 위하여 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법을 제공하는 것이다.
무선 데이터 서비스 환경은 기 유선 데이터 서비스 환경과 같이 사용자의 확인을 위한 사용자 정보를 요구한다. 그러나 유선 데이터 서비스 환경과는 달리 이동통신 단말기의 경우 그 입력 수단의 제한으로 인해 사용자로부터 직접 사용자 아이디를 입력하도록 하는 것은 매우 제한적이다. 물론, 이동통신 단말기는 사용자가 입력한 아이디를 단말기에 저장한 후, 무선 데이터 서비스 이용시 이동통신 단말기에 저장되어 있는 사용자 아이디를 무선 데이터 서비스 제공 서버로 전송하는 것도 가능하다. 그러나 이동통신 단말기가 전송하는 사용자 아이디는 사용자 이름, 주민등록번호 및 사용자 이동통신 단말기 번호와 같은 사용자 개인 정보를 포함하고 있기 때문에 이동 통신망에서의 정보 송수신 시 사용자 아이디가 해킹 당했을 경우 사용자의 개인정보가 노출되어 피해를 입는 경우가 종종 발생하고 있다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 이동 통신망에서의 사용자 정보를 보호하기 위한 보안 아이디를 제공하고, 무선 데이터 서비스를 이용하는 사용자의 인증을 신속하게 할 수 있는 이동 통신망에서의 사용자 보안 아이디 제공 시스템을 제공하는데 그 기술적 과제가 있다.
상술한 목적을 달성하기 위한 본 발명은 이동 통신망과 연결되어 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적의 구분 없이 이동통신 단말기 사용자 인증에 사용되는 사용자 보안 아이디를 제공하기 위한 이동 통신망에서의 사용자 보안 아이디 제공 시스템으로서,
상기 사용자 보안 아이디 제공 시스템의 전체적인 동작을 제어하는 제어부; 상기 이동 통신망과 연결되어 정보를 송수신하는 정보 송수신부; 상기 이동통신 단말기별 사용자 보안 아이디를 생성하는 수단으로서, 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적에 관계없이 통합된 고유의 보안 아이디를 생성/발급하여 상기 이동통신 단말기별로 할당하는 사용자 보안 아이디 생성부; 상기 사용자 보안 아이디 생성부에서 생성한 사용자 보안 아이디를 사용자 인증시 제공하고 관리하는 사용자 보안 아이디 관리부를 포함한다.
다른 본 발명은 이동 통신망과 연결되어 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적 구분 없이 사용자 인증을 위해 사용되는 사용자 보안 아이디를 제공하기 위한 이동 통신망에서의 사용자 보안 아이디 제공 방법으로서, 이동통신 단말기의 서비스 가입 상태에 따라 할당 타입(assigned-type), 할당 서브타입 오퍼레이터(assigned-subtype-operator), 아이디 타입(Identifier-Type), 고유 아이디(Native Identifier), 도메인 네임(Domain Name), 암호화 마스터키 지시자 (Encryption Master-Key-Index), 마스터 암호화 키 값(Master-Encryption-Key-Value), 암호화 IV 지시자(Encryption-IV-Index), 암호화 알고리즘(Encryption Algorithm) 및 상기 이동통신 단말기 가입자별로 고유하게 할당되는 바이너리-파트II 값(Binary-Part-II-Value)이 주어지며,
상기 이동통신 단말기 식별 번호를 나타내는 네트워크 아이디(Network Identifier)를 2진수 형태로 변경하는 제 1 단계; 상기 변경한 네트워크 아이디의 2진수 배열의 총 수가 짝수가 아닐 경우, 특정값을 페딩하여 상기 네트워크 아이디의 2진수 배열의 총 수가 짝수가 되도록 하는 제 2 단계; 상기 제 2 단계에서 생성된 값을 2 바이트씩 세분화하고, 상기 세분화된 각 세그먼트를 순차적으로 쌍을 지어 비트와이즈(Bitwise) XOR 연산을 수행함으로써 2 바이트의 복호화 확인코드(Decryption-Ack-Code)를 생성하는 제 3 단계; 상기 제 3 단계에서 생성한 상기 복호화 코드를 상기 제 2 단계 의 결과값에 연결하는 제 4 단계; 알고리즘 아이디(Algorithm Identifier)에 지시된 암호 알고리즘이 블록 암호 알고리즘(Block Cipher)인 경우, 상기 제 4 단계의 결과값에 페딩 바이트 수에 해당하는 페딩(Padding)값을 추가로 연결하는 제 5 단계; 상기 제 5 단계의 결과값에 암호 알고리즘을 적용하여 이동 통신망에서 의존적인 암호화된 고유 아이디(Encrypted-Native-Identifier)를 생성하는 제 6 단계; 아이디 타입(Identifier-Type)값, 마스터 암호화 키 지시자, 암호화 IV 지시자 및 상기 제 6 단계의 값을 배열하여 바이너리 파트I(Binary-Part-I-Value)을 생성하는 제 7 단계; 상기 제 7 단계에서 생성한 바이너리 파트I과 상기 바이너리 파트II 각각을 출력 문자로 표시하기 위해 Base64 인코딩하는 제 8 단계; 상기 할당 타입, 할당 서브타입 오퍼레이터, 상기 제 8 단계의 결과값 및 도메인 네임을 순차적으로 배열하여 사용자 보안 아이디를 생성하는 단계를 포함한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 보다 상세히 설명하기로 한다.
이하의 설명에서, 사용자 보안 아이디란 통신방식, 망세대(예를 들어 2G, 3G), 이동 통신사(예를 들어 011, 016, 019) 및 서비스 가입 국적 구분 없이 이동통신 단말기(10, 20)별로 제공되는 유일한 아이디를 의미하며, 구체적인 구성은 후술하는 설명에 의해 이해될 것이다.
도 1은 본 발명에 의한 사용자 보안 아이디 제공 시스템(200)과 통신망의 연결 관계를 나타내는 도면이다.
이동 통신망(30)에서의 사용자 보안 아이디를 제공하는 사용자 보안 아이디 제공 시스템(200)은 이동 통신망(30)을 경유하여 이동통신 단말기(10, 20)와 정보를 송수신하고, 이동통신 단말기(10, 20)가 CP 서버(100)에 접속하여 콘텐츠를 이용하고자 할 경우 이동통신 단말기(10, 20)를 확인하는데 요구되는 정보를 제공한다.
좀 더 상세히 설명하자면, 사용자 보안 아이디 제공 시스템(200)은 이동 통신망(30)과 연결되어 송수신되는 이동통신 단말기(10, 20)의 아이디를 발급, 관리 및 인증하는 시스템으로서, 사용자 보안 아이디를 발급받은 이동통신 단말기(10, 20) 번호와 이동통신 단말기(10, 20)별로 생성되는 사용자 보안 아이디(assigned-client-id)를 매칭하여 저장하고, 사용자 보안 아이디를 발급받지 않은 사용자인 경우에는 현재 사용되고 있는 일반 아이디(native-client-id; MIN 정보)를 저장/관 리한다. 본 발명에서는 이동통신 단말기(10, 20)별로 발급되는 사용자 보안 아이디에 관하여 설명하기로 한다.
사용자 보안 아이디 제공 시스템(200)은 이동통신 단말기(10, 20)별로 사용자 보안 아이디를 생성하여 저장하고, 이를 이동통신 단말기(10, 20)에 부여한다. 이때, 사용자 보안 아이디 제공 시스템(200)은 이동통신 단말기(10, 20)가 사용자 보안 아이디 제공 시스템(200)에 접속하여 사용자 보안 아이디 발급을 요청하는 경우 이동통신 단말기(10, 20)에 대한 사용자 보안 아이디를 생성하여 부여하는 방법, IC 카드를 내장한 이동통신 단말기(10, 20)일 경우 IC 카드에 사용자 보안 아이디를 포함하는 형태로 사용자 보안 아이디를 제공하는 방법, 이동통신 단말기(10, 20)를 출시 할 때 사용자 보안 아이디를 포함하여 제공하는 방법 또는 IC 카드를 출시할 때 사용자 보안 아이디를 부여하는 방법 중 어느 하나에 의해 보안 아이디를 발급할 수 있다.
사용자 보안 아이디 제공 시스템(200)이 제공하는 사용자 보안 아이디는 망(2G, 3G), 이동 통신사(예를 들어 011, 016, 019) 및 나라별 구분없이 모든 이동통신 단말기(10, 20)별로 각각 제공되는 고유의 아이디로서, CP 서버(100) 접속에 대한 과금 및 이동 통신망(30) 사용 요금 부과 시 과금을 적용시켜야 할 이동통신 단말기(10, 20)를 신속하게 선별할 수 있도록 하고, 이동 통신망(30)에서 보안성을 보장할 수 있도록 생성된다.
사용자 보안 아이디 제공 시스템(200)은 이동 통신망(30) 운용자가 함께 운영하는 방법도 가능하다.
도 2는 본 발명에 의한 사용자 보안 아이디 제공 시스템(200)의 구성을 상세하게 나타내는 도면이다.
사용자 보안 아이디 제공 시스템(200)은 사용자 보안 아이디 제공 시스템(200)의 전체적인 동작을 제어하는 제어부(270), 이동 통신망(30)과 연결되어 정보를 송수신하는 정보 송수신부(210), 이동통신 단말기(10, 20)별 사용자 보안 아이디를 생성하는 사용자 보안 아이디 생성부(230), 사용자 보안 아이디 생성부(230)에서 생성한 사용자 보안 아이디를 사용자 인증시 제공하거나 관리하는 사용자 보안 아이디 관리부(250), 사용자의 개인정보, 이동통신 단말기(10, 20)별 사용자 보안 아이디 등 정보를 저장하는 데이터베이스(290)를 포함한다.
상기 구성 중 사용자 보안 아이디 생성부(230)를 좀 더 상세히 설명하자면, 사용자 보안 아이디 생성부(230)는 이동통신 단말기(10, 20)를 인증하기 위한 사용자 보안 아이디를 생성하는 수단이다.
여기에서, 사용자 보안 아이디는 상이한 망(예를 들어 2G, 3G)간의 데이터 서비스 정보를 전송하는 이동통신 단말기(10, 20), 서로 다른 무선 데이터 서비스 시스템에 가입되어 있는 이동통신 단말기(예를 들어 011, 016, 019 무선 서비스를 접속하는 이동통신 단말기) 또는 이동통신 단말기(10, 20) 가입 국적에 구별없이 이동통신 단말기별로 사용자 보안 아이디 제공 시스템(200)이 각각 제공하는 아이디로서, 이동통신 단말기(10, 20)에 할당되는 아이디는 서로 중복되지 않는다.
예를 들어, 사용자 보안 아이디 생성부(230)는 사용자 보안 아이디(Assigned Client Id)를 다음과 같은 방법을 적용하여 생성한다.
먼저, 본 발명에 적용되는 사용자 보안 아이디(assigned-client-id)에 대한 ABNF(Augmented Backus Naur Form)는 다음과 같다.
client-id = assigned-client-id | native-client-id
사용자 보안 아이디(assigned-client-id)는 사용자 보안 아이디 발급을 요청한 이동통신 단말기(10, 20)에 부여되는 아이디이고, 일반 아이디(native-client-id)는 사용자 보안 아이디 발급을 요청하지 않은 이동통신 단말기(10, 20)에 부여되는 아이디(예를들어, 이동통신 단말기 번호이며 CDMA 망의 경우 MIN, GSM의 경우 IMSI가 됨)인데, 본 발명은 기 정의된 국제 규격과의 호환성을 준수하면서 본 발명의 목적에 맞게 사용자 보안 아이디(assigned-client-id)를 생성/부여하는 방법에 대하여 설명하기로 한다.
assigned-client-id = assigned-type assigned-identifier
이와 같이 상기 사용자 보안 아이디(assigned-client-id)는 할당 타입(assigned-type)과 할당 아이디(assigned-identifier)의 조합으로 구성되며, 상기 할당 타입은 사용자 아이디가 사용자 보안 아이디인지 일반 아이디인지를 구별하는 식별자이고, 상기 할당 아이디는 사용자 보안 아이디의 실제 아이디 정보가 포함되어 있는 부분이다.
다음은 할당 타입과 할당 아이디를 정의한 예로, 할당 아이디는 다음의 세가지 형태 중 어느 하나를 이용하는 것을 알 수 있다.
assigned-type = “0”
assigned-subtype-operator = “0”
assigned-subtype-nai = “1”
assigned-subtype-push = “2”
assigned-identifier = (assigned-subtype-operator assigned-operator-identifier) | (assigned-subtype-nai assigned-nai-identifier) | (assigned-subtype-push assigned-push-identifier) --- (1)
상기 (1)을 설명하면, 할당 아이디(assigned-identifier)는 할당 서브 타입 오퍼레이터(assigned-subtype-operator)와 할당 오퍼레이터 아이디(assigned-operator-identifier), 할당 서브 타입 nai(assigned-subtype-identifier) 와 할당 nai 아이디(assigned-nai-identifier), 할당 서브타입 푸쉬(assigned-subtype-pus) 또는 할당 푸쉬 아이디(assigned-push-identifier) 중 어느 하나를 채택할 수 있다.
할당 아이디(assigned-identifier)로서 할당 오퍼레이터 아이디(assigned-operator-identifier)를 채택한 경우에 대해서 설명하면 다음과 같다.
assigned-operator-identifier = identifier-string “_” domain-name ---(2)
(2)에서 정의하는 할당 오퍼레이터 아이디(assigned-operator-identifier)는 아이디 스트링(identifier-string), “_” 및 domain-name의 순차적인 배열로 구성되며, 해당 도메인 네임(domain-name)이 지시하는 도메인 내에서 유일한 아이디 스트링(Identifier String)을 갖는다. 또한, 아이디 스트링은 순차적인 번호(Sequence Number), 무작위 선별 번호(Random Number) 또는 일반 아이디(Native Identifier)에 대한 암호화된 값 등으로 정의될 수 있으며 대소문자를 구분하여 구성한다.
상기, 아이디 스트링(identifier-string)은 다음과 같이 정의될 수 있다.
identifier-string = 1*64 ( DIGIT | ALPHA | “+” | “-” | “=” | “/” )
여기에서, DIGIT는 숫자(예를 들어, DIGIT = %x30-39; 0 - 9)이고, ALPHA는 문자(ALPHA = %x41-5A | %x61-7A; A - Z, a - z)를 나타낸다. 도메인 네임은 다음과 같이 정의된다.
domain-name = 1*VCHAR
VCHAR = %x21-7E
할당 아이디(assigned-identifier)로서 채택될 수 있는 할당 nai 아이디(assigned-nai-identifier)와 할당 푸쉬 아이디(assigned-push-identifier)는 다음과 같이 정의된다.
assigned-nai-identifier = 1*(VCHAR except DQUOTE, including SP)
assigned-push-identifier = 1*(VCHAR except DQUOTE, including SP)
상기에서 정의한 할당 nai 아이디(assigned-nai-identifier )와 할당 푸쉬 아이디(assigned-push-identifier)는 각각 RFC 2486 [RFC2486]에 정의된 NAI(Network Access Identifier)와 WAP Push[WAP Push]에 정의된 푸쉬 주소(Push Address)를 의미한다.
이어서, 할당 아이디(assigned-identifier)로써 할당 서브 타입 오퍼레이터(assigned-subtype-operator)를 채택한 경우 ABNF(Augmented Backus Naur Form) 정의에 기초한 본 발명의 아이디 스트링(identifier-string) 생성 방법을 설명하면 다음과 같다. 여기에서, 본 발명에서 정의되는 아이디 스트링은 (identifier-string)는 인코딩 방식에 따라서 대소문자를 구별한다.
Sktelecom-specific-identifier-string
= network-dependent-part “-” network-independent-part
network-dependent-part = 1*OCTET ---(3)
network-independent-part = 12OCTET ---(4)
아이디 스트링(identifier-string)은 네트워크 의존 부분(network-dependent-part)과 네트워크 독립 부분(network-independent-part)으로 이루어지며, (3)에 나타낸 네트워크 의존 부분은 바이너리 파트 I(Binary Part I)의 Base 64 인코딩을 한 결과값이고, (4)에서 나타낸 네트워크 독립 부분은 바이너리 파트 II(Binary Part II)의 Base 64 인코딩을 한 결과값이다. 이때, 바이너리 파트 I 및 바이너리 파트 II의 인코딩시에는 헥사디시멀 디지트(Hexadecimal Digits) 인코딩 방식을 이용하는 것도 가능하다.
(3)을 추출하기 위하여 바이너리 파트 I의 Base64 인코딩을 수행하여야 하며, 바이너리 파트 I(Binary Part I)은 다음[표]와 같은 바이트 시퀀스(Byte Sequence)로 구성된다.
[표]
Bytes 정의
Identifier-Type (1 Byte) Identifier-Type : Native-Identifier-Type 및 Algorithm-Identifier를 지시한다. Native-Identifier-Type (Upper 4 Bits, b7b6b5b4) 0000 - ICCID Type 0001 - MIN Type 0010 - ESN Type 0011 - IMSI Type 0100 - MSISDN Type 0101 - IPv4 Type 0110 - IPv6 Type 0111 - ITSI Type 1000 - MAN Type 1001 ~ 1111 : RFU Algorithm-Identifier (Lower 4 Bits, b3b2b1b0) 0000 - No Cipher 0001 - AES128-CBC 0010 - 1111 : RFU
Master-Encryption-Key-Index (1 Byte) Native-Identifier를 암호화하는데 사용된 마스터 암호화 키(Master Encryption Key)의 지시자(Index)를 의미한다.
Encryption-IV-Index(1 Byte) Native-Identifier를 암호화하는 데 Block Cipher가 사용된 경우 초기화 벡터값에 대한 지시자(Index)를 의미한다.
Encrypted-Native-Identifier (Variable) Native-Identifier-Type 지시자에 해당하는 Network Identifier를 Algorithm-Identifier 지시자에 해당하는 암호 알고리즘에 따라 암호화한 결과값을 의미한다. 이 필드의 길이는 해당 암호 알고리즘에 따라 가변적이다.

상기 [표]를 기초로 네트워크 의존 부분(network-dependent-part)과 네트워크 독립 부분(network-independent-part)을 추출하고 이에 의하여 사용자 고유 아이디를 생성하는 절차는 다음과 같다.
이를 위하여 할당 타입(assigned-type), 할당 서브타입 오퍼레이터(assigned-subtype-operator), 아이디 타입(Identifier-Type), 고유 아이디(Native Identifier), 도메인 네임(Domain Name), 암호화 마스터키 지시자 (Encryption Master-Key-Index), 마스터 암호화 키 값(Master-Encryption-Key- Value), 암호화 IV 지시자(Encryption-IV-Index), 암호화 알고리즘(Encryption Algorithm) 및 바이너리 파트 II 값(Binary-Part-II-Value)은 미리 주어지는 값이다.
첫번째, 모든 정의된 네트워크 아이디(Network Identifier)는 2진수 형태로 변경한다. 예를들어, 8진수와 16진수로 정의된 네트워크 아이디는 4 Bits로 변경한 후 배열한다. 단, IPv4 또는 IPv6의 경우 각각 32 Bits, 128 Bits Binary Form을 사용한다.
두번째, 변경한 네트워크 아이디의 2진수 배열의 총 수가 짝수가 아닐 경우, 사용자 아이디 생성부(230)는 예를 들어 0xF와 같은 특정값을 첫번째 결과값의 오른쪽에 페딩(Right Padding)하여 총 배열의 수가 짝수가 되도록 한다. 여기에서, Padding은 고정된 길이의 블록 또는 레코드의 사용하지 않는 기억 장소를 특정한 정보 등의 문자로 채우는 기법을 의미한다.
셋째, 두번째 결과값을 2 바이트(Bytes)씩 세분화하고, 각 세그먼트를 순차적으로 쌍을 지어 비트와이즈(Bitwise) XOR 연산을 통해 2 바이트 복호화 코드(Decryption-Ack-Code)를 생성한다. 이때, 복호화 코드는 향후 복호 검증 시 참조되도록 제공된다.
넷째, 세번째에서 계산된 복호화 코드(Decryption-Ack-Code)를 두번째 결과값에 연결(Concatenation)한다.
다섯째, 상기 [표]에 개시된 알고리즘 아이디(Algorithm Identifier)의 암호 알고리즘(Cipher Algorithm)이 블록 암호 알고리즘(Block Cipher)인 경우 네번째 결과에 지정된 페딩(Padding)값을 연결한다. 여기에서, 블록 암호(Block Cipher)의 페딩(Padding) 규칙은 페딩 바이트 수에 해당하는 값을 연속 페딩하는 것이다. 단, 네번째의 결과값이 블록 사이즈(Block Size)의 정수배일 경우 블록 사이즈만큼 페딩한다.
여섯째, 다섯번째의 결과값을 해당 암호 알고리즘으로 암호화하여 Encrypted-Native-Identifier를 생성한다. 여기에서, AES128-CBC 암호 알고리즘을 사용할 경우 암호화 키는 다음과 같은 방법으로 유도하고 이로부터 최상위 128 Bits를 추출한다.
AES128-CBC Encryption Key Derivation(Ke)
SHA1(Master-Encryption-Key-Value(32 Bytes) || Identifier-Type(1Byte) || Master-Encryption-Key-Index || Encryption-IV-Index || Binary-Part-II-Value || Domain-Name || “Native Identifier Encryption Key Generation”) 이때, ||는 바이트 연결 기호(Bytes Concatenation)이다.
상기 바이너리 파트 II(Binary Part II)는 부호가 없는 8 바이트의 정수(8 Bytes Unsigned Integer)로 구성되는데 이는 망에서 독립적인 가입자에게 유일하게 부여되는 고유값으로서, 해당 도메인 네임(domain-name)내 유일한 값이다.
일곱번째, 바이너리 파트 I과 바이너리 파트 II의 값에 대해 각각 Bsae64 인코딩을 수행한다. 이때, Base64 인코딩은 바이너리 데이터를 아스키 텍스트로 변환하거나 그와 반대로 변환하는 인코딩 방법이다.
여덟번째, assigned-client-id = assigned-type assigned-identifier로 정의 되므로 주어지거나 추출된 값을 이에 맞게 배열한다.
도 3은 본 발명에 의한 사용자 보안 아이디 제공 방법을 설명하는 흐름도로서, 다음과 같이 변수값이 정의된 경우를 예로 들어 흐름도와 함께 설명하기로 한다.
Native Identifier : IMSI 450-05-0212-345678 (15 Digits)
Domain Name : www.nate.com
Encryption-Master-Key-Index : 0x01
Master-Encryption-Key-Value (32 Bytes):
0xAB 0x3D 0x89 0x4E 0x8F 0x19 0x5B 0x93 0x76 0x3B 0x20 0xBA 0x5F 0xF7 0xEC 0x82 0x23 0x48 0x2D 0x51 0x82 0xAE 0xCF 0x4A 0x39 0x7E 0x2B 0x56 0xF3 0xD9 0xC1 0xFB
Encryption-IV-Index : 0x01
Encryption-IV-Value (16 Bytes):
0x8F 0x39 0x7E 0x2B 0x56 0x3D 0x89 0x4E 0xBA 0x5F 0xF7 0xEC 0xF3 0xD9 0xC1 0xFB
Encryption Algorithm : AES128-CBC
Binary-Part-II-Value : 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x01
Identifier-Type : 0x31
Master-Encryption-Key-Index : 0x01
Encryption-IV-Index : 0x01
상기 개시된 변수값을 적용하여 본 발명의 사용자 보안 아이디(Assigned Client Identifier)의 계산 방법을 설명하면 다음과 같다.
사용자 보안 아이디 제공 시스템(200)은 네트워크 아이디(Network Identifier)를 2진수 형태로 변경한다(S101). 예를 들어, 네트워크 아이디가 IMSI 450-05-0212-345678인 경우 2진수로 형태로 변경한 네트워크 아이디는 0x45 0x00 0x50 0x21 0x23 0x45 0x67 0x8F가 된다.
단계 S101에서 2진수로 변경한 네트워크 아이디의 2진수 배열의 총 수가 짝수가 아닐 경우, 사용자 보안 아이디 제공 시스템(200)은 특정값(예를 들어, 0xF) 을 단계 S101의 결과값 오른쪽에 페딩(Right Padding)하여 총 배열 수가 짝수가 되도록 한다(S103). 본 실시예에서는 2 진수로 변경한 네트워크 아이디의 총 배열 수가 짝수이므로 페딩하지 않게 되며 S103의 결과는 0x45 0x00 0x50 0x21 0x23 0x45 0x67 0x8F 이다.
사용자 보안 아이디 제공 시스템(200)은 단계 S103의 결과값을 2 바이트(Bytes)씩 세분화(Segment)하고, 각 세그먼트 모두를 Bitwise XOR 연산을 통해 2 바이트 복호화 코드(Decryption-Ack-Code)를 생성한다(S105). 예를 들어, 단계 S103의 값을 2바이트씩 세분화하고, 각 세그먼트 모두를 Bitwise XOR 연산을 통해 복호화 코드를 생성하면 0x51 0xEB 가 추출된다.
이후, 사용자 보안 아이디 제공 시스템(200)은 단계 S105에서 계산된 복호화 코드를 단계 S103의 결과값에 연결한다(S107). 예를 들어, 사용자 보안 아이디 제 공 시스템(200)은 단계 S103의 결과값 0x45 0x00 0x50 0x21 0x23 0x45 0x67 0x8F에 단계 S105의 결과값 0x51 0xEB를 연결하여 0x45 0x00 0x50 0x0x21 0x23 0x45 0x67 0x8 0x51 0xEB 값을 생성한다.
사용자 보안 아이디 제공 시스템(200)은 알고리즘 아이디(Algorithm Identifier)의 암호 알고리즘(Cipher Algorithm)이 블록 암호 알고리즘(Block Cipher)인 경우 단계 S107의 결과값에 페딩(Padding)값을 연결한다(S109). 예를 들어, S107의 결과값(0x45 0x00 0x50 0x21 0x23 0x45 0x67 0x8F 0x51 0xEB)은 10byte이므로 이를 16byte로 만들기 위해 0x06 0x06 0x06 0x06 0x06 0x06을 페딩한다. 여기에서, 블록 암호(Block Cipher)의 페딩(Padding) 규칙은 페딩 바이트 수에 해당하는 값을 연속 페딩하는 것이다. 단, 네번째의 결과값이 블록 사이즈(Block Size)의 정수배일 경우 블록 사이즈만큼 페딩한다.
사용자 보안 아이디 제공 시스템(200)은 단계 S109의 결과값에 해당 암호 알고리즘으로 암호화하여 암호화 고유 아이디(Encrypted-Native-Identifier)를 생성한다(S111).
여기에서, AES128-CBC 암호 알고리즘을 사용할 경우 암호화 키는 다음과 같은 방법으로 유도한다.
AES128-CBC Encryption Key Derivation(Ke)
SHA1(Master-Encryption-Key-Value(32 Bytes) || Identifier-Type(1Byte) || Master-Encryption-Key-Index || Encryption-IV-Index || Binary-Part-II-Value || Domain-Name || “Native Identifier Encryption Key Generation”) 이때, ||는 바이트 연결 기호(Bytes Concatenation)이다. 여기에서, 암호화 키 값의 생성에 바이너리 파트 II(Binary Part II) 및 도메인 네임(Domain Name)이 포함되므로 바이너리 파트 I(Binary Part I), 바이너리 파트 II(Binary Part II), 도메인 네임(Domain Name)은 암호학적으로 바인딩되게 된다. 즉, 어떤 임의의 부분을 불법적으로 수정할 경우 이에 대한 검출이 가능하게 된다.
예를 들어, AES128-CBC 암호화 알고리즘에서 암호화 키 지시자(Encryption-Master-Key-Index) 0x01이 지시하는 암호화 키가 0x1F 0xCC 0xAB 0x14 0x27 0xD8 0x53 0x1C 0x42 0x2F 0x99 0xC5 0xF8 0x25 0x1D 0x09로 주어진 경우, 이를 이용하여 단계 S111의 결과값을 암호화하여 암호화된 네트워크 고유 아이디를 생성하면, 0x19 0x9B 0xA7 0x98 0xE1 0x89 0x6A 0xC5 0x99 0xD1 0xDC 0x78 0x72 0x5D 0x89 0x05 가 생성된다.
이어서, 사용자 보안 아이디 제공 시스템(200)은 바이너리 파트 I 값을 계산한다(S113). 예를 들어, 바이너리 파트 I의 값은 [표]에서 나타내는 것과 같이 할당 타입 값(0x31), 마스터 암호키 지시자(0x01), 암호 IV 지시자(0x01) 및 단계 S111의 결과값(0x19 0x9B 0xA7 0x98 0xE1 0x89 0x6A 0xC5 0x99 0xD1 0xDC 0x78 0x72 0x5D 0x89 0x05)을 배열한 0x31, 0x01, 0x01 0x19 0x9B 0xA7 0x98 0xE1 0x89 0x6A 0xC5 0x99 0xD1 0xDC 0x78 0x72 0x5D 0x89 0x05 이다.
사용자 보안 아이디 제공 시스템(200)은 바이너리 파트 I과 바이너리 파트 II의 값에 대하여 각각 Bsae64 인코딩을 한다(S115). 예를 들어, 단계 S113의 바이너리 파트 I(Binary Part I)값을 Base64 인코딩하면 MQEBGZunmOGJasWZ0dx4cl2JBQ== 이 추출되고, 주어진 바이너리 파트 II의 값을 Base 64 인코딩하면 AAAAAAAAAAE= 이 추출된다.
한편, 바이너리 파트 I과 바이너리 파트 II의 인코딩시, 바이너리 파트 I 및 바이너리 파트 II에서 각 2진수 배열의 상위 4비트(Ox)를 삭제하는 헥사디시멀 디지트(Hexadecimal Digits) 인코딩을 적용하면, 바이너리 파트 I 은 3, 1, 0, 1, 0, 1, 1, 9, 9, B, A, 7, 9, 8, E, 1, 8, 9, 6, A, C, 5, 9, 9, D, 1, D, C, 7, 8, 7, 2, 5, D, 8, 9, 0, 5이 추출되고, 바이너리 파트 II는 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1이 추출된다.
바이너리 파트 I을 Base64 인코딩한 값은 네트워크 의존 부분(network-dependent-part)이 되고, 바이너리 파트 II를 Base64 인코딩한 값은 네트워크 독립 부분(network-independent-part)이 된다. 상기 바이너리 파트 I을 Base64 인코딩한 값, “-” 및 바이너리 파트 II를 Base64 인코딩한 값을 배열한 값이 아이디 스트링이고, 아이디 스트링과 “_” 및 도메인 네임을 배열한 값이 할당 오퍼레이터 아이디가 되며, 할당 오퍼레이터 아이디와 할당 서브타입 오퍼레이터를 배열할 값이 할당 아이디, 할당 아이디와 할당 타입을 배열한 값이 사용자 보안 아이디(assigned-client-id)가 된다.
사용자 보안 아이디(assigned-client-id) = 할당 타입(assigned-type) 할당 아이디(assigned-identifier)로 정의되므로 사용자 보안 아이디 제공 시스템(200)는 이를 적용하여 사용자 보안 아이디를 배열한다(S117). 본 실시예에서, 할당 타입과 할당 서브타입 오퍼레이터는 각각 “0”으로 주어지므로 사용자 보안 아이디(Assigned Client Identifier)는 00MQEBGZunmOGJasWZ0dx4cl2JBQ==-AAAAAAAAAAE=_www.nate.com 이다. 바이너리 파트 I 및 바이너리 파트 II에 Hexadecimal Digits 인코딩한 경우, 사용자 보안 아이디는 00310101199BA798E1896AC599D1DC78725D8905-0000000000000001_ www.nate.com 이다.
본 발명의 상세한 설명에서는 이동 통신망과 연결되는 이동통신 단말기에 사용자 보안 아이디를 부여하는 것을 예로 들어 설명하였지만, 운용자의 조작에 의해 유선 단말기의 IP 주소 등과 같은 정보를 이용하여 사용자 보안 아이디를 제공하는 시스템 및 방법을 제공하는 것도 가능하다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
상술한 바와 같이 본 발명은 이동 통신망에서 송수신되는 사용자 보안 아이디를 제공하므로써, 이동통신 단말기가 과금 절차를 수행하기 위해 전송하는 사용자 아이디가 타 사용자에게 노출되더라도 사용자의 개인 정보를 보호할 수 있다.
또한, 본 발명은 통신방식, 세대, 서비스 가입 국적에 관계없이 통합된 사용 자 보안 아이디를 제공하기 때문에 다양한 이동 통신망과의 효과적인 인터페이스를 보장할 수 있고 일관된 서비스를 제공할 수 있으며, 사용자를 인증하기 위한 절차가 신속하게 이루어 질 수 있다.

Claims (6)

  1. 이동 통신망과 연결되어 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적의 구분 없이 이동통신 단말기 사용자 인증에 사용되는 사용자 보안 아이디를 제공하기 위한 이동 통신망에서의 사용자 보안 아이디 제공 시스템으로서,
    상기 사용자 보안 아이디 제공 시스템의 전체적인 동작을 제어하는 제어부;
    상기 이동 통신망과 연결되어 정보를 송수신하는 정보 송수신부;
    상기 이동통신 사용자 보안 아이디를 생성하는 수단으로서, 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적에 관계없이 통합된 고유의 보안 아이디를 생성/발급하여 상기 이동통신 단말기별로 할당하는 사용자 보안 아이디 생성부; 및
    상기 사용자 보안 아이디 생성부에서 생성한 사용자 보안 아이디를 사용자 인증시 제공하고 관리하는 사용자 보안 아이디 관리부;
    를 포함하는 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 시스템.
  2. 제1 항에 있어서,
    상기 사용자 보안 아이디 생성부가 생성하는 상기 사용자 보안 아이디는 할당 타입(assigned type) 및 할당 아이디(assigner-identifier)를 순차적으로 배열한 값으로서, 상기 할당 아이디(assigner-identifier)는 할당 서브타입 오퍼레이터(assigned-subtype-operator) 및 할당 오퍼레이터 아이디(assigned- operator-identifier)의 순차적인 배열이고, 상기 할당 오퍼레이터 아이디는 아이디 스트링(identifier-string)과 도메인 네임(domain-name)을 순차적으로 배열한 값인 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 시스템.
  3. 제2 항에 있어서,
    상기 아이디 스트링은 도메인 네임이 지시하는 도메인 내에서 유일한 값인 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 시스템.
  4. 이동 통신망과 연결되어 통신방식, 망세대, 이동 통신사 및 서비스 가입 국적 구분 없이 사용자 인증을 위해 사용되는 사용자 보안 아이디를 제공하기 위한 이동 통신망에서의 사용자 보안 아이디 제공 방법으로서, 이동통신 단말기의 서비스 가입 상태에 따라 할당 타입(assigned-type), 할당 서브타입 오퍼레이터(assigned-subtype-operator), 아이디 타입(Identifier-Type), 고유 아이디(Native Identifier), 도메인 네임(Domain Name), 암호화 마스터키 지시자(Encryption Master-Key-Index), 마스터 암호화 키 값(Master-Encryption-Key-Value), 암호화 IV 지시자(Encryption-IV-Index), 암호화 알고리즘(Encryption Algorithm) 및 상기 이동통신 단말기 가입자별로 고유하게 할당되는 바이너리-파트II (Binary-Part-II-Value)이 주어지며,
    상기 이동통신 단말기 식별 번호를 나타내는 네트워크 아이디(Network Identifier)를 2진수 형태로 변경하는 제 1 단계;
    상기 변경한 네트워크 아이디의 2진수 배열의 총 수가 짝수가 아닐 경우, 특정값을 페딩하여 상기 네트워크 아이디의 2진수 배열의 총 수가 짝수가 되도록 하는 제 2 단계;
    상기 제 2 단계에서 생성된 값을 2 바이트씩 세분화하고, 상기 세분화된 각 세그먼트를 순차적으로 쌍을 지어 비트와이즈(Bitwise) XOR 연산을 수행함으로써 2 바이트의 복호화 확인코드(Decryption-Ack-Code)를 생성하는 제 3 단계;
    상기 제 3 단계에서 생성한 상기 복호화 코드를 상기 제 2 단계의 결과값에 연결하는 제 4 단계;
    알고리즘 아이디(Algorithm Identifier)에 지시된 암호 알고리즘이 블록 암호 알고리즘(Block Cipher)인 경우, 상기 제 4 단계의 결과값에 페딩 바이트 수에 해당하는 페딩(Padding)값을 추가로 연결하는 제 5 단계;
    상기 제 5 단계의 결과값에 암호 알고리즘을 적용하여 이동 통신망에서 의존적인 암호화된 고유 아이디(Encrypted-Native-Identifier)를 생성하는 제 6 단계;
    아이디 타입(Identifier-Type)값, 마스터 암호화 키 지시자, 암호화 IV 지시자 및 상기 제 6 단계의 값을 배열하여 바이너리 파트I(Binary-Part-I-Value)을 생성하는 제 7 단계;
    상기 제 7 단계에서 생성한 바이너리 파트I과 상기 바이너리 파트II 각각을 출력 문자로 표시하기 위해 인코딩하는 제 8 단계; 및
    상기 할당 타입, 할당 서브타입 오퍼레이터, 상기 제 8 단계의 결과값 및 도메인 네임을 순차적으로 배열하여 사용자 보안 아이디를 생성하는 단계;
    를 포함하는 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 방법.
  5. 제4 항에 있어서,
    상기 제 8 단계는, 상기 제 7 단계에서 생성한 바이너리 파트I과 상기 바이너리 파트II 각각을 출력문자로 표시하기 위해 Base64 인코딩하는 단계인 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 방법.
  6. 제4 항에 있어서,
    상기 제 8 단계는, 상기 제 7 단계에서 생성한 바이너리 파트I과 상기 바이너리 파트II 각각을 출력문자로 표시하기 위해 헥사디시멀 디지트(Hexadecimal Digits) 인코딩하는 단계인 것을 특징으로 하는 이동 통신망에서의 사용자 보안 아이디 제공 방법.
KR20030043916A 2003-06-30 2003-06-30 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법 KR100540329B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20030043916A KR100540329B1 (ko) 2003-06-30 2003-06-30 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20030043916A KR100540329B1 (ko) 2003-06-30 2003-06-30 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20050002536A KR20050002536A (ko) 2005-01-07
KR100540329B1 true KR100540329B1 (ko) 2006-01-10

Family

ID=37218041

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20030043916A KR100540329B1 (ko) 2003-06-30 2003-06-30 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100540329B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100979916B1 (ko) * 2008-07-25 2010-09-03 (주)엔텔스 사용자 정보 처리 방법, 장치 및 그 방법을 실행하는프로그램이 기록된 기록매체
KR102214785B1 (ko) 2013-10-24 2021-02-10 엔테그리스, 아이엔씨. 유압 커넥터용 회전방지 장치
US10584813B2 (en) 2015-09-10 2020-03-10 Entegris, Inc. Anti-rotation device for hydraulic connectors

Also Published As

Publication number Publication date
KR20050002536A (ko) 2005-01-07

Similar Documents

Publication Publication Date Title
US20200372503A1 (en) Transaction messaging
CN102170357B (zh) 组合密钥动态安全管理系统
CN103685282B (zh) 一种基于单点登录的身份认证方法
CN107888381B (zh) 一种密钥导入的实现方法、装置及系统
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
CN101965574B (zh) 认证信息生成系统、认证信息生成方法、客户机装置
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN102571329B (zh) 密码密钥管理
CN101765996A (zh) 远程认证和交易签名
CN101815091A (zh) 密码提供设备、密码认证系统和密码认证方法
CN108768653A (zh) 基于量子密钥卡的身份认证系统
CN101621794A (zh) 一种无线应用服务系统的安全认证实现方法
CN101720071A (zh) 基于安全sim卡的短消息两阶段加密传输和安全存储方法
CN108566273A (zh) 基于量子网络的身份认证系统
CN102064944A (zh) 一种安全发卡方法、发卡设备和系统
CN106327723A (zh) 一种基于智能平台的mPOS交易系统
US7913089B2 (en) Identification information creating apparatus, identification information resolving apparatus, information system utilizing the apparatuses, controlling method and program thereof
CN103237305A (zh) 面向移动终端上的智能卡密码保护方法
CN103457742A (zh) 一种基于usb key的安全套件库系统
CN106411501B (zh) 权限令牌生成方法、系统及其设备
CN102799540B (zh) 利用用户识别卡密钥对存储卡加解密的方法、系统和终端
CN113761488A (zh) 一种内容网络版权溯源加密系统及加密方法
KR100540329B1 (ko) 이동 통신망에서의 사용자 보안 아이디 제공 시스템 및 방법
US20160119334A1 (en) Establishment of communication connection between mobile device and secure element
CN206195801U (zh) 用于cpu卡加密认证的云平台、用户设备和系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121105

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20131121

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141120

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20151123

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee