KR100546778B1 - Method and apparatus for authentication in wireless internet system - Google Patents

Method and apparatus for authentication in wireless internet system Download PDF

Info

Publication number
KR100546778B1
KR100546778B1 KR1020030092564A KR20030092564A KR100546778B1 KR 100546778 B1 KR100546778 B1 KR 100546778B1 KR 1020030092564 A KR1020030092564 A KR 1020030092564A KR 20030092564 A KR20030092564 A KR 20030092564A KR 100546778 B1 KR100546778 B1 KR 100546778B1
Authority
KR
South Korea
Prior art keywords
random number
encryption key
authentication
mobile terminal
secret key
Prior art date
Application number
KR1020030092564A
Other languages
Korean (ko)
Other versions
KR20050060839A (en
Inventor
이문규
김도우
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030092564A priority Critical patent/KR100546778B1/en
Priority to EP04774379A priority patent/EP1695480A4/en
Priority to CN2004800417230A priority patent/CN1918843B/en
Priority to PCT/KR2004/002118 priority patent/WO2005060150A1/en
Publication of KR20050060839A publication Critical patent/KR20050060839A/en
Application granted granted Critical
Publication of KR100546778B1 publication Critical patent/KR100546778B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/10Access restriction or access information delivery, e.g. discovery data delivery using broadcasted information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 인터넷 망에서 가입자와 망 사이의 상호 인증을 제공하고 상호간에 키를 공유하도록 하는 무선 인터넷 가입자 인증 방법 및 그 장치에 관한 것으로, 인증서버는 비밀키 및 제1난수에 기초하여 이동단말기에서 망의 인증용으로 사용되는 정보인 RES1을 생성하고, 상기 비밀키 및 제2난수에 기초하여 가입자의 인증용으로 사용되는 정보인 XRES2를 생성하며, 이동단말기는 비밀키와 제1난수로부터 망 인증 정보인 XRES1를 생성하여 XRES1을 RES1과 비교하여 망을 인증하며, 비밀키와 제2난수로부터 가입자 인증 정보인 RES2를 생성하며, 가입자 인증을 통해 허가받지 않은 사용자의 망 사용을 막는 동시에, 망 및 서버 자체를 인증함으로써 가짜 서버에 의해 가입자의 개인 정보가 유출되는 것을 방지하며, 더 길어진 키로 인해 더욱 안전한 통신을 제공한다.The present invention relates to a wireless internet subscriber authentication method and apparatus for providing mutual authentication between a subscriber and a network in a wireless internet network and sharing a key therebetween, wherein the authentication server is based on a secret key and a first random number. Generates RES1, which is information used for authentication of the network, and generates XRES2, which is information used for authentication of a subscriber, based on the secret key and the second random number, and the mobile terminal generates the network from the secret key and the first random number. Generates XRES1, authentication information, and compares XRES1 with RES1 to authenticate the network, and generates RES2, subscriber authentication information, from the secret key and the second random number, and prevents unauthorized users from using the network. And by authenticating the server itself to prevent leakage of subscriber's personal information by a fake server, and to provide more secure communication with longer keys. The.

무선 인터넷, 사용자 인증, 인증서버, 이동단말기Wireless internet, user authentication, authentication server, mobile terminal

Description

무선 인터넷 가입자 인증 방법 및 그 장치{Method and apparatus for authentication in wireless internet system}Wireless internet subscriber authentication method and apparatus therefor {Method and apparatus for authentication in wireless internet system}

도 1은 본 발명에 따른, SIM을 이용한 이동통신망과 무선 인터넷 망의 연동 구성도이다.1 is a configuration diagram of a mobile communication network using a SIM and a wireless Internet network according to the present invention.

도 2는 이동단말기와 무선 인터넷 망 사이의 상호 인증을 위한 프로토콜을 보여준다.2 shows a protocol for mutual authentication between a mobile terminal and a wireless internet network.

도 3은 TNAI의 데이터 포맷을 나타내는 도면이다.3 is a diagram illustrating a data format of a TNAI.

도 4는 AAAH의 동작을 설명하는 블록도이다. 4 is a block diagram illustrating the operation of AAAH.

도 5는 이동단말기에서의 망 인증 과정을 수행하는 장치의 블록도이다.5 is a block diagram of an apparatus for performing a network authentication process in a mobile terminal.

본 발명은 무선 인터넷 망에서 가입자와 망 사이의 상호 인증을 제공하고 상호간에 키를 공유하도록 하는 무선 인터넷 가입자 인증 방법 및 그 장치에 관한 것이다.The present invention relates to a wireless internet subscriber authentication method and apparatus for providing mutual authentication between a subscriber and a network in a wireless internet network and sharing a key therebetween.

일반적으로 무선 인터넷에서의 가입자 인증은 ID/패스워드 방식으로 이루어지는데, 이 방식은 두 가지의 문제점을 지니고 있다. 첫째는 패스워드가 암호화되 지 않은 상태로 전송되기 때문에 안전성 면에서 치명적인 약점을 가진다는 점이며, 둘째는 가입자를 망 측에만 인증해 줄 뿐 망을 가입자에게 인증해주는 기능은 제공하지 않는다는 것, 즉 상호 인증을 제공하지 않는다는 점이다. 따라서, 가입자는 항상 ID/패스워드가 도용될 위험성에 노출되어 있으며, 또한 가짜 서버에 의해 자신의 개인 정보가 유출될 위험성이 존재한다.In general, subscriber authentication in the wireless Internet is performed using an ID / password method, which has two problems. The first is that it has a fatal weakness in terms of security because the password is transmitted unencrypted. The second is that it authenticates the subscriber only to the network side but does not provide the function of authenticating the network to the subscriber. It does not provide authentication. Therefore, subscribers are always exposed to the risk of ID / password theft, and there is a risk that their personal information is leaked by a fake server.

본 발명이 이루고자 하는 기술적 과제는 무선 인터넷 망의 상호 인증에 있어 가입자와 망 사이에 교환하는 메시지의 수를 최소화하고 기존의 가입자 인증 모듈(Subscriber Identity Module: 이하 SIM) 구조에 별도의 장치 및 알고리즘을 추가하지 않고 간단한 변형만으로 인증이 가능하도록 하는 무선 인터넷 가입자 인증 방법 및 그 장치를 제공하는 것이다.The technical problem to be achieved by the present invention is to minimize the number of messages exchanged between the subscriber and the network in the mutual authentication of the wireless Internet network, and to add a separate device and algorithm to the existing Subscriber Identity Module (SIM) structure The present invention provides a wireless Internet subscriber authentication method and apparatus for enabling authentication by simple modification without addition.

상기의 기술적 과제를 이루기 위한 본 발명에 따른 무선 인터넷 가입자 인증방법은, 이동단말기가 무선 인터넷에 연결되어 게이트웨이를 경유하는 인증 방법에 있어서, 무선 인터넷 망에 연결된 게이트웨이가 에이전트 광고(Agent Advertisement: AA) 메시지를 자신의 서브네트워크로 방송하는 단계; 이동단말기가 상기 서브네트워크 안으로 들어오면, 제1난수 및 가입자 식별자(International Mobile Subscriber Identity: IMSI)를 포함하는 네트워크 억세스 식별자(Network Access Identifier: NAI)를 게이트웨이로 전송하는 단계; 게이트웨이는 가입자 식별자 및 제1난수를 분리하여, 이를 인증서버로 전송하는 단계; 인증서버는 상기 가 입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 XRES2를 생성하는 단계; 인증서버는 상기 RES1, 제2난수, XRES2를 게이트웨이로 전송하는 단계; 게이트웨이는 XRES2를 저장하고 RES1 및 제2난수를 이동단말기로 전송하는 단계; 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1을 생성한 다음 상기 XRES1을 게이트웨이로부터 받은 RES1과 비교하여 망을 인증하는 단계; 이동단말기는 비밀키와 게이트웨이로부터 수신된 제2난수로부터 RES2를 생성한 다음 RES2를 게이트웨이로 전송하는 단계; 및 게이트웨이는 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 단계;를 포함한다.In the wireless Internet subscriber authentication method according to the present invention for achieving the above technical problem, the mobile terminal is connected to the wireless Internet through the gateway, the gateway connected to the wireless Internet network (Agent Advertisement: AA) Broadcasting a message to its subnetwork; When the mobile terminal enters the subnetwork, transmitting a network access identifier (NAI) including a first random number and an International Mobile Subscriber Identity (IMSI) to the gateway; The gateway separating the subscriber identifier and the first random number and transmitting the same to the authentication server; The authentication server extracts a secret key using the subscriber identifier, generates RES1 based on the secret key and the first random number, and generates XRES2 based on the secret key and the second random number; The authentication server transmits the RES1, the second random number, and the XRES2 to the gateway; The gateway storing XRES2 and transmitting the RES1 and the second random number to the mobile terminal; Generating a XRES1 using a secret key and a first random number stored in the mobile terminal, and then comparing the XRES1 with the RES1 received from the gateway to authenticate the network; Generating a RES2 from the secret key and the second random number received from the gateway, and then transmitting the RES2 to the gateway; And the gateway comparing the RES2 received from the mobile terminal with the XRES2 stored therein to authenticate the subscriber.

상기의 기술적 과제를 이루기 위한 본 발명에 따른 무선 인터넷 가입자 인증장치는, 게이트웨이의 서브네트워크 안으로 들어가면, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 게이트웨이로 전송하고, 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1을 생성한 다음 상기 XRES1을 게이트웨이로부터 받은 RES1과 비교하여 망을 인증하고, 비밀키와 게이트웨이로부터 수신된 제2난수로부터 RES2를 생성한 다음 RES2를 게이트웨이로 전송하는 이동단말기; 에이전트 광고 메시지를 자신의 서브네트워크로 방송하고, 자신의 서브네트워크에 들어온 이동단말기로부터 수신된 네트워크 억세스 식별자로부터 가입자 식별자 및 제1난수를 분리하여, 이를 인증서버로 전송하고, 인증서버로부터 수신된 XRES2를 저장하는 한편 RES1 및 제2난수를 이동단말기로 전송하고, 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 게이트웨이; 및 상기 가입자 식별 자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 XRES2를 생성한 다음 상기 RES1, 제2난수, XRES2를 게이트웨이로 전송하는 인증서버를 포함한다.The wireless Internet subscriber authentication apparatus according to the present invention for achieving the above technical problem, when entering into the sub-network of the gateway, transmits the network access identifier including the first random number and the subscriber identifier to the gateway, the secret key and the internal stored A mobile terminal for generating an XRES1 using one random number and then authenticating the network by comparing the XRES1 with the RES1 received from the gateway, generating a RES2 from a secret key and a second random number received from the gateway, and then transmitting the RES2 to the gateway; Broadcasts the agent advertisement message to its subnetwork, separates the subscriber identifier and the first random number from the network access identifier received from the mobile terminal entering its subnetwork, sends it to the authentication server, and receives the XRES2 received from the authentication server. A gateway for transmitting the RES1 and the second random number to the mobile terminal, and comparing the RES2 received from the mobile terminal with the XRES2 stored therein to authenticate the subscriber; And extracting a secret key using the subscriber identifier, generating RES1 based on the secret key and the first random number, generating XRES2 based on the secret key and the second random number, and then calculating RES1, the second random number, and XRES2. Contains an authentication server that sends to the gateway.

또한, 인증서버는 비밀키 및 제1난수에 기초하여 제1암호키를 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키를 생성한 다음 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하여, 이를 게이트웨이로 전송하고, 게이트웨이는 제3암호키를 저장하고, 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 제4암호키를 생성하고, 비밀키와 제2난수에 기초하여 제5암호키를 생성한 다음 상기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하여, 상기 인증서버에서 생성된 제3암호키와 상기 이동단말기에서 생성된 제6암호키는 같은 값을 공유하는 것이 바람직하다.Also, the authentication server generates a first encryption key based on the secret key and the first random number, generates a second encryption key based on the secret key and the second random number, and then joins the first and second encryption keys. The third encryption key is generated and transmitted to the gateway, the gateway stores the third encryption key, and the mobile terminal generates the fourth encryption key using the secret key and the first random number stored therein, A fifth encryption key is generated based on a second random number, and then a fourth encryption key is generated by concatenating the fourth and fifth encryption keys. The third encryption key generated by the authentication server and the mobile terminal are generated. The sixth encryption key preferably shares the same value.

상기의 기술적 과제를 이루기 위한 본 발명에 따른 인증서버는, 수신된 사용자 식별자를 이용하여 비밀키를 추출하는 비밀키 추출부; 상기 비밀키 및 수신된 제1난수에 기초하여 제1암호키 및 이동단말기에서 망의 인증용으로 사용되는 정보인 RES1을 생성하는 제1신호생성부; 제2난수를 생성하는 난수생성부; 상기 비밀키 및 제2난수에 기초하여 제2암호키 및 가입자의 인증용으로 사용되는 정보인 XRES2를 생성하는 제2신호생성부; 및 상기 제1암호키 및 제2암호키를 접합하여 제3암호키를 생성하는 암호키 생성부를 포함한다.The authentication server according to the present invention for achieving the above technical problem, Secret key extraction unit for extracting a secret key using the received user identifier; A first signal generator for generating RES1, which is information used for authentication of a network in a first encryption key and a mobile terminal, based on the secret key and the received first random number; Random number generation unit for generating a second random number; A second signal generator for generating an XRES2, which is information used for authentication of a second encryption key and a subscriber, based on the secret key and the second random number; And an encryption key generation unit for generating a third encryption key by joining the first encryption key and the second encryption key.

상기의 기술적 과제를 이루기 위한 본 발명에 따른 이동단말기에서의 망 인증 장치는, RES1 및 제2난수를 수신하여 이동단말기에서의 망 인증 과정을 수행하 는 장치에 있어서, 제1난수를 생성하는 난수생성부; 내부에 저장된 비밀키와 제1난수로부터 망 인증 정보인 XRES1 및 제1암호키를 생성하는 제1신호생성부; 상기 XRES1을 상기 수신한 RES1과 비교하여 망을 인증하는 비교부; 상기 비밀키와 상기 수신한 제2난수로부터 가입자 인증 정보인 RES2 및 제2암호키를 생성하는 제2신호생성부; 및 상기 제1암호키 및 제2암호키를 접합하여 제3암호키를 생성하는 암호키 생성부를 포함한다.In accordance with an aspect of the present invention, there is provided a network authentication apparatus for a mobile terminal, the apparatus for receiving a RES1 and a second random number and performing a network authentication process in the mobile terminal. The random number for generating a first random number. Generation unit; A first signal generator for generating XRES1 and first encryption keys, which are network authentication information, from a secret key and a first random number stored therein; A comparison unit for authenticating a network by comparing the XRES1 with the received RES1; A second signal generator for generating subscriber authentication information RES2 and a second encryption key from the secret key and the received second random number; And an encryption key generation unit for generating a third encryption key by joining the first encryption key and the second encryption key.

상기의 기술적 과제를 이루기 위한 본 발명에 따른 다른 무선 인터넷 가입자 인증방법은, 무선 인터넷 망에 연결된 FA가 이동 IP 프로토콜에 따라 지속적으로 AA 메시지를 자신의 서브네트워크로 방송하는 단계; 이동단말기가 FA의 서브네트워크 안으로 들어오게 되면, 이동단말기는 AA 메시지를 인식하고, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 FA 및 HA로 전송하는 단계; HA는 가입자 식별자 및 제1난수를 분리하여, 이를 AAAH로 전송하는 단계; AAAH는 상기 가입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 제1암호키 및 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키 및 XRES2를 생성하고, 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하는 단계; AAAH는 상기 RES1, 제2난수, XRES2, 제3암호키를 HA 및 FA로 전송하는 단계; FA는 XRES2와 제3암호키를 저장하고 RES1 및 제2난수를 이동단말기로 전송하는 단계; 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1 및 제4암호키를 생성한 다음 상기 XRES1을 FA로부터 받은 RES1과 비교하여 망을 인증하는 단계; 이동단말기는 비밀키와 FA로부터 수신된 제2난수로부터 RES2 및 제5암호키를 생성한 다음 RES2는 FA로 전송하고, 상기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하는 단계; 및 FA는 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 단계;를 포함하며, 상기 인증서버에서 생성된 제3암호키와 상기 이동단말기에서 생성된 제6암호키는 같은 값을 공유하는 것이 바람직하다.Another wireless Internet subscriber authentication method according to the present invention for achieving the above technical problem, the FA connected to the wireless Internet network continuously broadcasts the AA message to its subnetwork according to the mobile IP protocol; When the mobile terminal enters the subnetwork of the FA, the mobile terminal recognizes the AA message and sends a network access identifier including the first random number and the subscriber identifier to the FA and the HA; The HA separates the subscriber identifier and the first random number and sends it to AAAH; The AAAH extracts a secret key using the subscriber identifier, generates a first encryption key and RES1 based on the secret key and the first random number, and generates a second encryption key and XRES2 based on the secret key and the second random number. And joining the first and second encryption keys to generate a third encryption key; AAAH transmits the RES1, the second random number, the XRES2, and the third encryption key to HA and FA; FA stores the XRES2 and the third encryption key and transmits the RES1 and the second random number to the mobile terminal; Generating a XRES1 and a fourth encryption key using a secret key and a first random number stored therein, and then authenticating the network by comparing the XRES1 with the RES1 received from the FA; The mobile terminal generates the RES2 and the fifth encryption key from the secret key and the second random number received from the FA, then transmits the RES2 to the FA, and concatenates the fourth and fifth encryption keys to generate a sixth encryption key. ; And FA comparing the RES2 received from the mobile terminal with the XRES2 stored therein to authenticate the subscriber. The FA includes a third encryption key generated in the authentication server and a sixth encryption key generated in the mobile terminal. It is desirable to share a value.

이하에서, 도면을 참조하여 본 발명의 실시예에 대하여 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른, SIM을 이용한 이동통신망과 무선 인터넷 망의 연동 구성도로서, 무선 인터넷 망에 이동통신망의 SIM을 접목시켜 두 망을 연동시킨 전체 시스템의 구성을 나타낸다. 도 1에서 SIM(11)은 이동단말기(10)에 삽입되어 이용된다.1 is a diagram illustrating an interworking configuration of a mobile communication network using a SIM and a wireless Internet network according to the present invention. In FIG. 1, the SIM 11 is inserted into and used in the mobile terminal 10.

이동단말기(Mobile Station, 10)는 이동통신망에서 이용될 때는 기지국(Base Station, 12), MSC(Mobile Switching Center, 13)를 거쳐 HLR(Home Location Register, 14)에서 가입자 인증을 받게 된다. 이동단말기(10)가 무선 인터넷 망에서 이용될 때는 AP(Access Point, 15) 및 FA(Foreign Agent, 16)을 거쳐 HA(Home Agent, 17)와 연결된 AAAH(Authentication, Authorization & Accounting Server in Home side, 18)로부터 인증을 받게 된다. 두 가지 망에서 같은 SIM(11)을 이용하기 위해서는 해당 SIM(11)에 맞는 비밀키를 저장하고 있는 데이터베이스를 HLR(14)과 AAAH(18)에서 모두 접근할 수 있어야 하므로 HLR(14)과 AAAH(18) 사이의 연동이 필요하며, 이를 위해 다양한 연동 방식이 가능하다.When used in a mobile communication network, a mobile station 10 receives subscriber authentication from a home location register (HLR) via a base station (12) and a mobile switching center (MSC) 13. When the mobile terminal 10 is used in a wireless Internet network, authentication, authorization & accounting server in home side connected to an HA (Home Agent, 17) via an AP (Access Point, 15) and FA (Foreign Agent, 16). , 18). In order to use the same SIM (11) in both networks, the HLR (14) and AAAH must be accessible to both the HLR (14) and AAAH (18) to store the database storing the secret key for the SIM (11). Interlocking between the 18 is required, for this purpose various interlocking methods are possible.

이동 IP를 지원하는 무선 통신시스템(예: 3G 패킷망)에서, 이동 단말기에게 IP 주소를 할당할 수 있는 네트워크 소자로는 두 가지의 인터넷 접속 게이트웨이들이 있다. 하나는 패킷데이터 서비스노드(Packet Data Service Node: PDSN)(또는 외부 에이전트(FA: Foreign Agent))이고, 다른 하나는 홈 에이전트(Home Agent: HA)이다. FA는 Simple IP 서비스를 요청하는 이동 단말기에게 IP 주소를 할당하고, HA는 이동 IP 서비스를 요청하는 단말기에게 IP 주소를 할당한다. FA에 의해 할당된 IP 주소는 서비스가 종료되면 삭제되지만, HA에 의해 할당된 IP 주소는 이동 단말기가 다른 HA의 영역으로 이동하지 않는 한 변함없이 사용된다. In a wireless communication system supporting a mobile IP (eg, 3G packet network), there are two Internet access gateways that can assign an IP address to a mobile terminal. One is a packet data service node (PDSN) (or a foreign agent (FA)), and the other is a home agent (HA). The FA assigns an IP address to a mobile terminal requesting a simple IP service, and the HA assigns an IP address to a terminal requesting a mobile IP service. The IP address assigned by the FA is deleted when the service is terminated, but the IP address assigned by the HA is invariably used unless the mobile terminal moves to another HA area.

동적 IP 서비스를 지원하는 패킷통신 시스템은 도메인(domain)을 기반으로 구성되며 인터넷을 통해 서로 연결된다. 각 IP 지원 도메인은 이동 통신시스템과 패킷 호 서비스를 위한 다른 네트워크 소자들로 구성된다. 여기서, 이동 통신시스템은 디지털 셀룰러 네트워크(digital cellular network), 개인휴대통신 네트워크(PCS network), 차세대 이동통신 네트워크인 IMT-2000(CDMA2000 혹은 UMTS) 네트워크를 구성하는 기지국(BTS: Base Transceiver System) 및 기지국 제어기(BSC: Base Station Controller)를 포함한다. 또한 패킷 호 서비스를 위한 네트워크 소자들로는 동적 IP 서비스를 지원하기 위한 홈 에이전트(Home Agent: HA), 패킷데이터 서비스노드(PDSN: Packet Data Service Node), 인증 및 과금 서버(Authentication, Authorization & Accounting Server: AAA, 또는 Radius Server), 도메인이름(Domain Name System) 서버, DHCP(Dynamic Host Configuration Protocol) 서버 등이 있다. Packet communication systems supporting dynamic IP services are configured based on domains and connected to each other through the Internet. Each IP support domain consists of a mobile communication system and other network elements for packet call services. Here, the mobile communication system includes a digital cellular network, a PCS network, a base transceiver system (BTS) constituting an IMT-2000 (CDMA2000 or UMTS) network, which is a next-generation mobile communication network, and It includes a base station controller (BSC). Also, network elements for packet call service include home agent (HA), packet data service node (PDSN), authentication and billing server (Authentication, Authorization & Accounting Server) to support dynamic IP service. AAA, or Radius Server), Domain Name System (DHCP) Server, and Dynamic Host Configuration Protocol (DHCP) Server.

이동 단말기는 무선 채널을 통해 패킷데이터 서비스노드에 접속한다. 패킷 데이터 서비스노드 및 홈 에이전트는 패킷 호 서비스를 원하는 이동 단말기에게 IP 주소를 할당한다. 이 때 패킷데이터 서비스노드에 의하여 할당된 IP 주소는 이동 단말기가 다른 패킷데이터 서비스 노드의 영역으로 이동할 때마다 변경될 것이지만 홈 에이전트에 의하여 할당된 IP 주소는 해당하는 도메인 내에서 고정된다. The mobile terminal accesses the packet data service node through a wireless channel. The packet data service node and the home agent assign an IP address to the mobile terminal for which the packet call service is desired. At this time, the IP address assigned by the packet data service node will change every time the mobile terminal moves to the area of another packet data service node, but the IP address assigned by the home agent is fixed in the corresponding domain.

AAA 서버는 무선통신 네트워크 가입자의 인증 및 권한 검증 기능과 과금 기능을 수행한다. 여기서, AAA 서버간에는 보안 채널이 형성되어 있다. 또한 AAA 서버는 NAI(Network Access Identifier : 네트워크 억세스 식별자)를 이용하여 가입자를 식별하는데 이용하며, NAI(이동호스트 네임, PDSN의 IP 주소)와 DNS 서버를 접목하고, 동적으로 IP 주소를 할당받을 때 AAA간 보안 채널을 통해 DNS 갱신을 수행하는 기능을 포함한다. 즉, 이동호스트와 통신을 하려는 상대호스트는 동적으로 할당되는 이동 호스트의 IP 주소를 알 수 없기 때문에 동적으로 DNS 서버를 갱신해 주어야 한다.The AAA server performs the authentication and authority verification function and the charging function of the wireless communication network subscriber. Here, a secure channel is formed between the AAA servers. In addition, AAA server is used to identify subscribers using NAI (Network Access Identifier), and combines NAI (mobile host name, PDSN IP address) with DNS server and dynamically allocates IP address. Includes the ability to perform DNS updates over secure channels between AAAs. In other words, the partner host that wants to communicate with the mobile host does not know the IP address of the mobile host that is dynamically allocated. Therefore, the DNS server must be updated dynamically.

DNS 서버는 도메인 네임과 IP 주소를 매핑시키는 분산 네이밍 시스템이다. DNS 서버는 네트워크 소자들의 요구에 의하여 동적으로 도메인 이름을 갱신함으로써 고정된 도메인 이름을 변화하는 IP 주소에 매핑한다. 도메인 이름은 인터넷에 접속하는 호스트들을 식별하기 위하여 사용되는 문자 형태의 주소로서, 단순한 숫자들의 배열로 구성된 IP 주소보다 기억하기 쉽고 직관적이다.DNS servers are distributed naming systems that map domain names and IP addresses. The DNS server maps fixed domain names to changing IP addresses by dynamically updating the domain name at the request of network elements. A domain name is a textual address used to identify hosts that connect to the Internet. It is easier to remember and more intuitive than an IP address consisting of a simple array of numbers.

도 2는 이동단말기(10)와 무선 인터넷 망 사이의 상호 인증을 위한 프로토콜을 보여주고 있다. 2 shows a protocol for mutual authentication between the mobile terminal 10 and the wireless Internet network.

먼저, 무선 인터넷 망에 연결된 FA(16)는 Mobile IP 프로토콜에 따라 지속적 으로 AA(Agent Advertisement, 20) 메시지를 자신의 서브네트워크로 방송한다. 이동단말기(10)가 FA(16)의 서브네트워크 안으로 들어오게 되면, 이동단말기(10)는 AA(20) 메시지를 인식하고, R_Req(Registration Request, 21) 메시지를 FA(16)를 거쳐 HA(17)에게 전송한다. R_Req(21) 메시지 안에는 FA(16)로부터 받은 care-of-address 및 가입자 ID에 해당하는 네트워크 억세스 식별자(Network Access Identifier: 이하 NAI)가 포함된다.First, the FA 16 connected to the wireless Internet network continuously broadcasts an AA (Agent Advertisement, 20) message to its subnetwork according to the Mobile IP protocol. When the mobile terminal 10 enters the subnetwork of the FA 16, the mobile terminal 10 recognizes the AA (20) message and sends the R_Req (Registration Request, 21) message via the FA 16 to the HA ( To 17). The R_Req 21 message includes a Network Access Identifier (NAI) corresponding to the care-of-address received from the FA 16 and the subscriber ID.

본 발명의 실시예에서는 인증을 위한 메시지 교환 회수를 줄이기 위해 새로운 형태의 NAI, 즉 임시 NAI(Temporary NAI, 이하 TNAI, 22)를 사용하며, 도 3은 이동단말기(10)에서 생성되어 FA(16) 및 HA(17)로 전송되는 R_Req (Registration Request) 메시지에 포함되는 TNAI의 데이터 포맷을 나타내는 도면이다.In the embodiment of the present invention, a new type of NAI, that is, temporary NAI (hereinafter referred to as TNAI, 22), is used to reduce the number of message exchanges for authentication, and FIG. 3 is generated in the mobile terminal 10 and the FA (16). ) And a data format of the TNAI included in an R_Req (Registration Request) message transmitted to the HA 17.

TNAI(22)에는 가입자 식별자(International Mobile Subscriber Identity: 이하 IMSI) (31) 및 망 인증을 위해 SIM(11)에서 생성된 128비트 난수인 제1난수(이하 RAND1) (32), 그리고 가입자의 소속 도메인인 Realm(34) 정보가 포함된다. 태그(30)는 가능한 여러 인증 방식 중에 어떤 인증 방식이 사용되었는지를 나타내는 식별자이며, 분리자(33)는 가입자 ID(31)와 도메인 정보(34)를 분리하기 위한 기호이다.The TNAI 22 includes an International Mobile Subscriber Identity (IMSI) 31 and a first random number (hereinafter referred to as RAND1) 32, which is a 128-bit random number generated by the SIM 11 for network authentication, and the subscriber's affiliation. Realm 34 information, which is a domain, is included. The tag 30 is an identifier indicating which of the possible authentication schemes is used, and the separator 33 is a symbol for separating the subscriber ID 31 and the domain information 34.

TNAI(22) 필드들을 인코딩하는 방법은 다음과 같다. 먼저 태그(30) 및 분리자(33)는, 예컨대 9와 @에 해당하는 아스키 코드 1바이트씩으로 각각 인코딩되며, IMSI(31)는 각 바이트가 0~9, 즉 ASCII 코드 0x30~0x39로 된 15바이트의 문자열로 인코딩된다. RAND1(32)은 128비트의 난수로 하되, 가독 문자열을 생성하기 위해 BASE 64 인코딩을 이용하여 22바이트로 인코딩하며, Realm(34)은 도메인 이름에 해당하는 문자열을 그대로 이용한다.The method of encoding the TNAI 22 fields is as follows. First, the tag 30 and the separator 33 are encoded, for example, by 1 byte of ASCII code corresponding to 9 and @, respectively, and the IMSI 31 recognizes that each byte is 0 to 9, that is, an ASCII code of 0x30 to 0x39. Encoded as a string of bytes. RAND1 (32) uses a 128-bit random number, and encodes 22 bytes using BASE 64 encoding to generate a readable string, and Realm (34) uses the string corresponding to the domain name as it is.

도 2에서, R_Req(22) 메시지를 전달받은 HA(17)는 TNAI에서 IMSI(31) 및 RAND1(32)을 분리하여 A_Req(23) 메시지로 AAAH(18)에게 전송한다. AAAH(18)는 IMSI(31)를 이용하여 데이터베이스로부터 가입자 정보 및 비밀키 Ki를 추출하고, RES1, RAND2, XRES2, Kc를 생성(231)하여 이들을 A_Reply(24)로 하여 HA(17)에게 전송하고, 이는 다시 R_Reply(25)로 하여 FA(16)로 전송된다. 여기서, RES1은 이동단말기에서 망의 인증용으로 사용되는 정보이고, XRES2는 FA에서 가입자의 인증용으로 사용되는 정보이다. 제2난수 RAND2(42)는 AAAH(18)가 임의로 생성하는 128비트 난수이며, Kc는 Ki와 RAND1, Ki와 RAND2로부터 각각 생성되는 64비트 암호 키 Kc1 및 Kc2를 접합하여 생성되는 128비트 암호 키이다.In FIG. 2, the HA 17 receiving the R_Req 22 message separates the IMSI 31 and the RAND1 32 from the TNAI, and transmits the IMSI 31 and the RAND1 32 to the AAAH 18 as an A_Req 23 message. The AAAH 18 extracts the subscriber information and the secret key Ki from the database using the IMSI 31, generates RES1, RAND2, XRES2, and Kc (231) and sends them as A_Reply 24 to the HA 17. This is again sent to the FA 16 as R_Reply (25). Here, RES1 is information used for authentication of a network in a mobile terminal, and XRES2 is information used for authentication of a subscriber in a FA. The second random number RAND2 42 is a 128-bit random number randomly generated by AAAH 18, and Kc is a 128-bit encryption key generated by concatenating 64-bit encryption keys Kc1 and Kc2 generated from Ki and RAND1, Ki and RAND2, respectively. to be.

도 4는 전술한 바와 같은 인증 프로토콜 수행시 인증서버인 AAAH(18)의 동작을 설명하는 블록도이다. HA(17)로부터 수신된 IMSI(31)를 이용하여 데이터베이스(41)로부터 가입자 정보 및 비밀키(Ki)를 추출하고, 제1신호생성부(42)는 비밀키(Ki) 및 RAND1에 기초하여 64비트 암호 키 Kc1 및 RES1을 생성하고, 제2신호생성부(43)는 비밀키(Ki) 및 RAND2에 기초하여 64비트 암호 키 Kc2 및 XRES2를 생성한다. 여기서, RAND2는 난수생성부(45)에서 발생된 난수이다.4 is a block diagram illustrating the operation of the AAAH 18 which is an authentication server when performing the authentication protocol as described above. The subscriber information and the secret key Ki are extracted from the database 41 using the IMSI 31 received from the HA 17, and the first signal generation section 42 is based on the secret key Ki and RAND1. The 64-bit encryption keys Kc1 and RES1 are generated, and the second signal generation unit 43 generates the 64-bit encryption keys Kc2 and XRES2 based on the secret key Ki and RAND2. Here, RAND2 is a random number generated by the random number generator 45.

도 2에서, FA(16)가 HA(17)로부터 RES1, RAND2, XRES2, Kc를 전달받으면, 이들 중 XRES2와 Kc를 저장하고 RES1 및 RAND2는 R_Reply(Registration Reply, 26) 메시지에 포함시켜 이동단말기(10)로 전송한다. 이동단말기에서는 다음과 같은 과정으로 망을 인증한다.In FIG. 2, when the FA 16 receives RES1, RAND2, XRES2, and Kc from the HA 17, the FA 16 stores XRES2 and Kc among them, and includes RES1 and RAND2 in the R_Reply (Registration Reply, 26) message. Transfer to (10). The mobile terminal authenticates the network by the following process.

도 5는 인증 프로토콜 수행 시 이동단말기에서의 망 인증 과정을 수행하는 장치의 블록도이다. 이동단말기(10)에 들어 있는 SIM(11)은 FA(16)로부터 RES1 및 RAND2를 수신하여, 제1신호생성부(52)는 이동단말기의 내부에 저장된 비밀키 Ki와 RAND1을 이용하여 인증 정보 XRES1을 생성(213)하고, 비교부(54)는 XRES1을 FA(16)로부터 받은 RES1과 비교(215)하여 망을 인증하게 된다. 여기서, RAND1은 난수생성부(51)에서 발생된 난수이다. 또한, 제1신호생성부(52)는 64비트 암호 키 Kc1을 생성한다. 제2신호생성부(53)은 비밀키(Ki)와 FA(16)로부터 수신된 RAND2로부터 가입자 인증 정보 RES2 및 64비트 암호 키 Kc2를 생성한다. RES2는 FA(16)로 전송되고, Kc1과 Kc2를 접합하여 128비트 암호 키 Kc가 생성된다(217). 5 is a block diagram of an apparatus for performing a network authentication process in a mobile terminal when performing an authentication protocol. The SIM 11 included in the mobile terminal 10 receives RES1 and RAND2 from the FA 16, and the first signal generation unit 52 uses authentication information Ki and RAND1 stored in the mobile terminal. The XRES1 is generated 213, and the comparator 54 compares the XRES1 with the RES1 received from the FA 16 and 215 authenticates the network. Here, RAND1 is a random number generated by the random number generator 51. In addition, the first signal generation unit 52 generates a 64-bit encryption key Kc1. The second signal generation section 53 generates subscriber authentication information RES2 and 64-bit encryption key Kc2 from the secret key Ki and RAND2 received from the FA 16. RES2 is sent to FA 16, where 128 bits of cryptographic key Kc are generated by concatenating Kc1 and Kc2 (217).

프로토콜에 참여한 개체들이 모두 정상적으로 프로토콜을 따르게 되면, 도 4에서 AAAH(18)가 생성한 Kc와 도 5에서 이동단말기(10)의 SIM(11)이 생성한 Kc는 같은 값이며, 따라서 가입자의 이동단말기(10)와 FA(16)는 암호 키 Kc를 공유하게 되어 안전한 통신을 위해 사용할 수 있게 된다.When all the entities participating in the protocol normally follow the protocol, Kc generated by the AAAH 18 in FIG. 4 and Kc generated by the SIM 11 of the mobile terminal 10 in FIG. The terminal 10 and the FA 16 share the encryption key Kc, so that they can be used for secure communication.

이동단말기(10)의 SIM(11)이 생성한 RES2는 A_Req (Authentication Request, 27) 메시지에 실려 FA(16)로 전달되며, FA(16)는 이동단말기(10)로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여(221) 가입자를 인증한 후, 인증이 성공적이면 A_Reply (Authentication Reply, 28) 메시지에 Success를 포함시켜 이동단말기(10)로 전송한다.The RES2 generated by the SIM 11 of the mobile terminal 10 is delivered to the FA 16 in an A_Req (Authentication Request, 27) message, and the FA 16 is located inside the RES2 received from the mobile terminal 10. After comparing the stored XRES2 (221) and authenticating the subscriber, if the authentication is successful, a success is included in the A_Reply (Authentication Reply, 28) message and transmitted to the mobile terminal 10.

도 2에 도시된 전체 과정을 각 장치별로 그 기능을 정리하면 다음과 같다. The overall process shown in FIG. 2 is summarized as follows for each device.

이동단말기(10)는 게이트웨이의 서브네트워크 안으로 들어가면, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 게이트웨이로 전송하고, 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1을 생성한 다음 XRES1을 게이트웨이로부터 받은 RES1과 비교하여 망을 인증하고, 비밀키와 게이트에이로부터 수신된 제2난수로부터 RES2를 생성한 다음 RES2를 게이트웨이로 전송한다.When entering the subnetwork of the gateway, the mobile terminal 10 transmits a network access identifier including the first random number and the subscriber identifier to the gateway, generates an XRES1 using the secret key and the first random number stored therein, and then stores the XRES1. The network is authenticated against the RES1 received from the gateway, and the RES2 is generated from the second random number received from the secret key and the gate A, and then the RES2 is transmitted to the gateway.

게이트웨이(16, 17)는 에이전트 광고 메시지를 자신의 서브네트워크로 방송하고, 자신의 서브네트워크에 들어온 이동단말기로부터 수신된 네트워크 억세스 식별자로부터 가입자 식별자 및 제1난수를 분리하여 이를 인증서버로 전송하고, 인증서버로부터 수신된 XRES2를 저장하는 한편 RES1 및 제2난수를 이동단말기로 전송하고, 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증한다.The gateways 16 and 17 broadcast the agent advertisement message to its subnetwork, separate the subscriber identifier and the first random number from the network access identifier received from the mobile terminal entering the subnetwork, and transmit it to the authentication server. While storing the XRES2 received from the authentication server, the RES1 and the second random number is transmitted to the mobile terminal, and the subscriber is authenticated by comparing the RES2 received from the mobile terminal with the XRES2 stored therein.

인증서버(18)는 수신된 가입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 XRES2를 생성한 다음 RES1, 제2난수, XRES2를 게이트웨이로 전송한다.The authentication server 18 extracts the secret key using the received subscriber identifier, generates RES1 based on the secret key and the first random number, generates XRES2 based on the secret key and the second random number, and then generates RES1, the first. 2Random number sends XRES2 to gateway.

또한, 인증서버(18)는 비밀키 및 제1난수에 기초하여 제1암호키를 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키를 생성한 다음 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하여, 이를 게이트웨이로 전송하고, 게이트웨이는 제3암호키를 저장하고, 이동단말기(10)는 내부에 저장된 비밀키와 제1난수를 이용하여 제4암호키를 생성하고, 비밀키와 제2난수에 기초하여 제5암호키를 생성한 다음 상 기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하여, 인증서버(18)에서 생성된 제3암호키와 이동단말기(10)에서 생성된 제6암호키는 같은 값을 공유할 수 있다.In addition, the authentication server 18 generates a first encryption key based on the secret key and the first random number, and generates a second encryption key based on the secret key and the second random number, and then the first and second encryption keys. To generate a third encryption key, transmit it to the gateway, the gateway stores the third encryption key, and the mobile terminal 10 uses the secret key and the first random number stored therein to transmit the fourth encryption key. Generate a fifth encryption key based on the secret key and the second random number, and then join the fourth and fifth encryption keys to generate a sixth encryption key, and generate the third encryption key from the authentication server 18. The encryption key and the sixth encryption key generated by the mobile terminal 10 may share the same value.

도 2의 실시예에 의하면, 가입자 및 망의 상호 인증을 위해 이동단말기(10)와 FA(16) 사이에 전송되는 메시지는 FA(16)가 항상 주기적으로 방송하는 AA(20) 메시지 이외에, R_Req(21)/R_Reply(26) 및 A_Req(27)/A_Reply(28) 두 쌍의 요구/응답 메시지들이며, 인증이 완료된 후에는 이동단말기(10)와 FA(16) 사이에 128비트 암호 키 Kc(45)가 공유된다. 따라서, 본 발명의 일 실시예에서는, 무선 인터넷 망에서, FA가 주기적으로 발송하는 AA 메시지 이외에 이동단말기와 FA 사이에 요구/응답 메시지 두 쌍 만으로 가입자 및 망의 상호 인증을 완료하며, SIM 내부의 암호 키 생성 알고리즘을 2회 반복 적용하여 유효 키의 길이를 늘릴 수 있다.According to the embodiment of Figure 2, the message transmitted between the mobile terminal 10 and the FA 16 for mutual authentication of the subscriber and the network is R_Req, in addition to the AA (20) message that the FA 16 is always broadcast periodically (21) / R_Reply (26) and A_Req (27) / A_Reply (28) two pairs of request / response messages.After authentication is completed, the 128-bit encryption key Kc () between the mobile terminal 10 and the FA 16 45) are shared. Therefore, in one embodiment of the present invention, in the wireless Internet network, in addition to the AA message periodically sent by the FA, the mutual authentication of the subscriber and the network is completed by only two pairs of request / response messages between the mobile terminal and the FA, The encryption key generation algorithm can be applied twice to increase the valid key length.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, which are also implemented in the form of a carrier wave (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의 미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.The best embodiments have been disclosed in the drawings and specification above. Although specific terms have been used herein, they are used only for the purpose of describing the present invention and are not used to limit the scope of the present invention as defined in the meaning or claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

상술한 바와 같이, 본 발명에 의하면 가입자와 망은 두 쌍의 요구/응답 (Request/Reply) 메시지만으로 서로를 인식할 수 있으며, 기존의 SIM 방식 이동통신망에서 사용하는 인증 알고리즘을 변형 없이 반복 적용함으로써 추후의 안전한 통신을 위한 128비트 암호 키를 공유할 수 있다. 따라서, 최소한의 비용으로 무선 인터넷 망의 안전성을 높일 수 있으며, 기존의 이동통신망과 무선 인터넷 망을 효과적으로 연동시킬 수 있다.As described above, according to the present invention, the subscriber and the network can recognize each other only by two pairs of request / reply messages, and by repeatedly applying the authentication algorithm used in the existing SIM-based mobile communication network without modification. The 128-bit encryption key can be shared for future secure communication. Therefore, it is possible to increase the safety of the wireless Internet network at a minimum cost and to effectively interwork the existing mobile communication network and the wireless Internet network.

본 발명은 무선 인터넷 망에서 SIM을 이용하여 가입자와 망 사이의 상호 인증을 제공하고 상호간에 키를 공유하는 수단을 제공하며, 무선 인터넷의 가입자와 망은 서로 교환하는 메시지의 수를 요구/응답 메시지 두 쌍으로 최소화하면서, 기존의 SIM 방식 이동통신망에서 사용하는 인증 알고리즘을 그대로 이용하여 인증 및 키 공유를 완료할 수 있다.The present invention provides a means for providing mutual authentication between a subscriber and a network using a SIM in a wireless Internet network and sharing a key with each other, wherein the subscriber and the network of the wireless Internet request / response messages. Minimizing to two pairs, authentication and key sharing can be completed using the authentication algorithm used in the existing SIM-based mobile communication network.

또한, 본 발명은 무선 IP 망에서 경제적인 방법으로 SIM 기반의 상호 인증 및 키 공유를 제공하는 것을 목적으로 하며, 이를 위해 추가되는 비용을 최소화하고자 한다. 2세대 이동통신망의 SIM 기반 가입자 인증 방식을 변형하여 망 인증도 가능하도록 하였으며, 동시에 인증 후 상호간에 공유되는 유효키 비트수를 128비트로 증가시켜 안전성을 향상시킬 수 있다.In addition, an object of the present invention is to provide SIM-based mutual authentication and key sharing in an economical manner in a wireless IP network, and to minimize the added cost for this. The SIM-based subscriber authentication method of the second generation mobile communication network was modified to enable network authentication, and at the same time, the number of valid key bits shared after authentication could be increased to 128 bits to improve safety.

본 발명에 의하면, 가입자 인증을 통해 허가받지 않은 사용자의 망 사용을 막는 동시에, 망 및 서버 자체를 인증함으로써 가짜 서버에 의해 가입자의 개인 정보가 유출되는 것을 방지하며, 더 길어진 키로 인해 더욱 안전한 통신을 제공한다.According to the present invention, the subscriber authentication prevents unauthorized users from using the network, and at the same time, authenticates the network and the server itself, thereby preventing the subscriber's personal information from being leaked by the fake server, and more secure communication due to the longer key. to provide.

Claims (9)

이동단말기가 무선 인터넷에 연결되어 게이트웨이를 경유하는 인증 방법에 있어서,In the authentication method in which the mobile terminal is connected to the wireless Internet via a gateway, 무선 인터넷 망에 연결된 게이트웨이가 에이전트 광고 메시지를 자신의 서브네트워크로 방송하는 단계;A gateway connected to a wireless Internet network, broadcasting an agent advertisement message to its subnetwork; 이동단말기가 상기 서브네트워크 안으로 들어오면, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 게이트웨이로 전송하는 단계;When a mobile terminal enters the subnetwork, transmitting a network access identifier including a first random number and a subscriber identifier to the gateway; 게이트웨이는 가입자 식별자 및 제1난수를 분리하여, 이를 인증서버로 전송하는 단계;The gateway separating the subscriber identifier and the first random number and transmitting the same to the authentication server; 인증서버는 상기 가입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 XRES2를 생성하는 단계;The authentication server extracts a secret key using the subscriber identifier, generates RES1 based on the secret key and the first random number, and generates XRES2 based on the secret key and the second random number; 인증서버는 상기 RES1, 제2난수, XRES2를 게이트웨이로 전송하는 단계;The authentication server transmits the RES1, the second random number, and the XRES2 to the gateway; 게이트웨이는 XRES2를 저장하고 RES1 및 제2난수를 이동단말기로 전송하는 단계;The gateway storing XRES2 and transmitting the RES1 and the second random number to the mobile terminal; 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1을 생성한 다음 상기 XRES1을 게이트웨이로부터 받은 RES1과 비교하여 망을 인증하는 단계;Generating a XRES1 using a secret key and a first random number stored in the mobile terminal, and then comparing the XRES1 with the RES1 received from the gateway to authenticate the network; 이동단말기는 비밀키와 게이트웨이로부터 수신된 제2난수로부터 RES2를 생성한 다음 RES2를 게이트웨이로 전송하는 단계; 및Generating a RES2 from the secret key and the second random number received from the gateway, and then transmitting the RES2 to the gateway; And 게이트웨이는 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 단계;를 포함하는 것을 특징으로 하는 무선 인터넷 가입자 인증방법.And comparing the RES2 received from the mobile terminal with the XRES2 stored therein to authenticate the subscriber. 제1항에 있어서, The method of claim 1, 인증서버는 비밀키 및 제1난수에 기초하여 제1암호키를 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키를 생성한 다음 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하여, 이를 게이트웨이로 전송하고, 게이트웨이는 제3암호키를 저장하는 단계; 및The authentication server generates a first encryption key based on the secret key and the first random number, generates a second encryption key based on the secret key and the second random number, and then joins the first and second encryption keys to form a third encryption key. Generating an encryption key and transmitting it to the gateway, the gateway storing the third encryption key; And 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 제4암호키를 생성하고, 비밀키와 제2난수에 기초하여 제5암호키를 생성한 다음 상기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하는 단계;를 더 포함하여,The mobile terminal generates a fourth encryption key using the secret key and the first random number stored therein, generates a fifth encryption key based on the secret key and the second random number, and then concatenates the fourth and fifth encryption keys. Generating a sixth encryption key by further comprising: 상기 인증서버에서 생성된 제3암호키와 상기 이동단말기에서 생성된 제6암호키는 같은 값을 공유하는 것을 특징으로 하는 무선 인터넷 가입자 인증방법.And a third encryption key generated by the authentication server and a sixth encryption key generated by the mobile terminal share the same value. 제1항에 있어서, The method of claim 1, 이동단말기에서 생성되어 게이트웨이로 전송되는 네트워크 억세스 식별자는 가입자 식별자 및 망 인증을 위해 생성된 제1난수, 그리고 가입자의 소속 도메인 정보를 포함하는 것을 특징으로 하는 무선 인터넷 가입자 인증방법.The network access identifier generated in the mobile terminal and transmitted to the gateway includes a subscriber identifier, a first random number generated for network authentication, and domain information of the subscriber. 게이트웨이의 서브네트워크 안으로 들어가면, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 게이트웨이로 전송하고, 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1을 생성한 다음 상기 XRES1을 게이트웨이로부터 받은 RES1과 비교하여 망을 인증하고, 비밀키와 게이트웨이로부터 수신된 제2난수로부터 RES2를 생성한 다음 RES2를 게이트웨이로 전송하는 이동단말기;When entering the gateway's subnetwork, the network access identifier including the first random number and the subscriber identifier is transmitted to the gateway, the XRES1 is generated using the secret key and the first random number stored therein, and the XRES1 is received from the gateway. Comparing and authenticating the network, generating a RES2 from the second random number received from the secret key and the gateway, and then transmitting the RES2 to the gateway; 에이전트 광고 메시지를 자신의 서브네트워크로 방송하고, 자신의 서브네트워크에 들어온 이동단말기로부터 수신된 네트워크 억세스 식별자로부터 가입자 식별자 및 제1난수를 분리하여, 이를 인증서버로 전송하고, 인증서버로부터 수신된 XRES2를 저장하는 한편 RES1 및 제2난수를 이동단말기로 전송하고, 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 게이트웨이; 및Broadcasts the agent advertisement message to its subnetwork, separates the subscriber identifier and the first random number from the network access identifier received from the mobile terminal entering its subnetwork, sends it to the authentication server, and receives the XRES2 received from the authentication server. A gateway for transmitting the RES1 and the second random number to the mobile terminal, and comparing the RES2 received from the mobile terminal with the XRES2 stored therein to authenticate the subscriber; And 상기 가입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 XRES2를 생성한 다음 상기 RES1, 제2난수, XRES2를 게이트웨이로 전송하는 인증서버를 포함하는 것을 특징으로 하는 무선 인터넷 가입자 인증 장치.Extract the secret key using the subscriber identifier, generate RES1 based on the secret key and the first random number, generate XRES2 based on the secret key and the second random number, and then gateway RES1, the second random number, and XRES2. Wireless Internet subscriber authentication device comprising an authentication server for transmitting to. 제4항에 있어서, The method of claim 4, wherein 인증서버는 비밀키 및 제1난수에 기초하여 제1암호키를 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키를 생성한 다음 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하여, 이를 게이트웨이로 전송하고, 게이트웨이는 제3암호키를 저장하고,The authentication server generates a first encryption key based on the secret key and the first random number, generates a second encryption key based on the secret key and the second random number, and then joins the first and second encryption keys to form a third encryption key. Generate an encryption key, send it to the gateway, the gateway stores the third encryption key, 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 제4암호키를 생성하고, 비밀키와 제2난수에 기초하여 제5암호키를 생성한 다음 상기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하여,The mobile terminal generates a fourth encryption key using the secret key and the first random number stored therein, generates a fifth encryption key based on the secret key and the second random number, and then concatenates the fourth and fifth encryption keys. To generate the sixth encryption key, 상기 인증서버에서 생성된 제3암호키와 상기 이동단말기에서 생성된 제6암호키는 같은 값을 공유하는 것을 특징으로 하는 무선 인터넷 가입자 인증 장치.And a third encryption key generated by the authentication server and a sixth encryption key generated by the mobile terminal share the same value. 수신된 사용자 식별자를 이용하여 비밀키를 추출하는 비밀키 추출부;A secret key extracting unit for extracting a secret key using the received user identifier; 상기 비밀키 및 수신된 제1난수에 기초하여 제1암호키 및 이동단말기에서 망의 인증용으로 사용되는 정보인 RES1을 생성하는 제1신호생성부;A first signal generator for generating RES1, which is information used for authentication of a network in a first encryption key and a mobile terminal, based on the secret key and the received first random number; 제2난수를 생성하는 난수생성부;Random number generation unit for generating a second random number; 상기 비밀키 및 상기 제2난수에 기초하여 제2암호키 및 가입자의 인증용으로 사용되는 정보인 XRES2를 생성하는 제2신호생성부; 및A second signal generator for generating XRES2, which is information used for authentication of a second encryption key and a subscriber, based on the secret key and the second random number; And 상기 제1암호키 및 제2암호키를 접합하여 제3암호키를 생성하는 암호키 생성부를 포함하는 것을 특징으로 하는 인증서버.And an encryption key generation unit for generating a third encryption key by joining the first encryption key and the second encryption key. RES1 및 제2난수를 수신하여 이동단말기에서의 망 인증 과정을 수행하는 장치에 있어서,In the apparatus for receiving the RES1 and the second random number to perform a network authentication process in the mobile terminal, 제1난수를 생성하는 난수생성부;Random number generation unit for generating a first random number; 내부에 저장된 비밀키와 상기 제1난수로부터 망 인증 정보인 XRES1 및 제1암호키를 생성하는 제1신호생성부;A first signal generator for generating XRES1 and a first encryption key, which are network authentication information, from a secret key stored therein and the first random number; 상기 XRES1을 상기 수신한 RES1과 비교하여 망을 인증하는 비교부;A comparison unit for authenticating a network by comparing the XRES1 with the received RES1; 상기 비밀키와 상기 수신한 제2난수로부터 가입자 인증 정보인 RES2 및 제2암호키를 생성하는 제2신호생성부; 및A second signal generator for generating subscriber authentication information RES2 and a second encryption key from the secret key and the received second random number; And 상기 제1암호키 및 제2암호키를 접합하여 제3암호키를 생성하는 암호키 생성부를 포함하는 것을 특징으로 하는 이동단말기에서의 망 인증 장치.And an encryption key generation unit for generating a third encryption key by joining the first encryption key and the second encryption key. 무선 인터넷 망에 연결된 FA(Foreign Agent)가 이동 IP 프로토콜에 따라 지속적으로 AA(Authentication and Authorization) 메시지를 자신의 서브네트워크로 방송하는 단계;A foreign agent (FA) connected to a wireless Internet network continuously broadcasting an authentication and authorization (AA) message to its subnetwork according to a mobile IP protocol; 이동단말기가 FA(Foreign Agent)의 서브네트워크 안으로 들어오게 되면, 이동단말기는 AA(Authentication and Authorization) 메시지를 인식하고, 제1난수 및 가입자 식별자를 포함하는 네트워크 억세스 식별자를 FA(Foreign Agent) 및 HA(Home Agent)로 전송하는 단계;When the mobile terminal enters the subnetwork of the foreign agent, the mobile terminal recognizes an authentication and authorization (AA) message and sets the network access identifier including the first random number and the subscriber identifier to the foreign agent and the HA. Transmitting to a home agent; HA(Home Agent)는 가입자 식별자 및 제1난수를 분리하여, 이를 AAAH(Authentication, Authorization & Accounting server in Home side)로 전송하는 단계;The home agent (HA) separates the subscriber identifier and the first random number, and transmits the same to the authentication, authorization & accounting server in home side (AAAH); AAAH(Authentication, Authorization & Accounting server in Home side)는 상기 가입자 식별자를 이용하여 비밀키를 추출하고, 비밀키 및 제1난수에 기초하여 제1암호키 및 RES1을 생성하고, 비밀키 및 제2난수에 기초하여 제2암호키 및 XRES2를 생성하고, 상기 제1 및 제2 암호키를 접합하여 제3암호키를 생성하는 단계;Authentication, Authorization & Accounting server in Home side (AAAH) extracts a secret key using the subscriber identifier, generates a first encryption key and RES1 based on the secret key and the first random number, and generates the secret key and the second random number. Generating a second encryption key and an XRES2 based on the second encryption key; and concatenating the first and second encryption keys to generate a third encryption key; AAAH(Authentication, Authorization & Accounting server in Home side)는 상기 RES1, 제2난수, XRES2, 제3암호키를 HA(Home Agent) 및 FA(Foreign Agent)로 전송하는 단계;Authentication, Authorization & Accounting server in Home side (AAAH) is the step of transmitting the RES1, the second random number, XRES2, the third encryption key to the HA (Home Agent) and FA (Foreign Agent); FA(Foreign Agent)는 XRES2와 제3암호키를 저장하고 RES1 및 제2난수를 이동단말기로 전송하는 단계;The foreign agent (FA) stores the XRES2 and the third encryption key and transmits the RES1 and the second random number to the mobile terminal; 이동단말기는 내부에 저장된 비밀키와 제1난수를 이용하여 XRES1 및 제4암호키를 생성한 다음 상기 XRES1을 FA(Foreign Agent)로부터 받은 RES1과 비교하여 망을 인증하는 단계;Generating a XRES1 and a fourth encryption key using a secret key and a first random number stored therein, and then authenticating the network by comparing the XRES1 with a RES1 received from a foreign agent (FA); 이동단말기는 비밀키와 FA(Foreign Agent)로부터 수신된 제2난수로부터 RES2 및 제5암호키를 생성한 다음 RES2는 FA(Foreign Agent)로 전송하고, 상기 제4 및 제5 암호키를 접합하여 제6암호키를 생성하는 단계; 및The mobile terminal generates the RES2 and the fifth encryption key from the secret key and the second random number received from the foreign agent (FA), and then sends the RES2 to the foreign agent (FA), and concatenates the fourth and fifth encryption keys. Generating a sixth encryption key; And FA(Foreign Agent)는 이동단말기로부터 수신된 RES2와 내부에 저장된 XRES2를 비교하여 가입자를 인증하는 단계;를 포함하는 것을 특징으로 하는 무선 인터넷 가입자 인증방법.FA (Foreign Agent) is a step of authenticating the subscriber by comparing the RES2 received from the mobile terminal and the XRES2 stored therein; wireless Internet subscriber authentication method comprising a. 제8항에 있어서, The method of claim 8, 상기 인증서버에서 생성된 제3암호키와 상기 이동단말기에서 생성된 제6암호키는 같은 값을 공유하는 것을 특징으로 하는 무선 인터넷 가입자 인증방법.And a third encryption key generated by the authentication server and a sixth encryption key generated by the mobile terminal share the same value.
KR1020030092564A 2003-12-17 2003-12-17 Method and apparatus for authentication in wireless internet system KR100546778B1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020030092564A KR100546778B1 (en) 2003-12-17 2003-12-17 Method and apparatus for authentication in wireless internet system
EP04774379A EP1695480A4 (en) 2003-12-17 2004-08-23 Method and apparatus for authenticating subscriber and network in wireless internet system
CN2004800417230A CN1918843B (en) 2003-12-17 2004-08-23 Method and apparatus for authenticating subscriber and network in wireless internet system
PCT/KR2004/002118 WO2005060150A1 (en) 2003-12-17 2004-08-23 Method and apparatus for authenticating subscriber and network in wireless internet system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030092564A KR100546778B1 (en) 2003-12-17 2003-12-17 Method and apparatus for authentication in wireless internet system

Publications (2)

Publication Number Publication Date
KR20050060839A KR20050060839A (en) 2005-06-22
KR100546778B1 true KR100546778B1 (en) 2006-01-25

Family

ID=36693406

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030092564A KR100546778B1 (en) 2003-12-17 2003-12-17 Method and apparatus for authentication in wireless internet system

Country Status (4)

Country Link
EP (1) EP1695480A4 (en)
KR (1) KR100546778B1 (en)
CN (1) CN1918843B (en)
WO (1) WO2005060150A1 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100759168B1 (en) * 2005-11-16 2007-09-14 엘지노텔 주식회사 Mobile communication system having a safety key generating function and controlling method therefore
KR100790495B1 (en) * 2006-03-07 2008-01-02 와이즈와이어즈(주) Authentication Method, System, Server and Recording Medium for Controlling Mobile Communication Terminal by Using Encryption Algorithm
KR100745617B1 (en) * 2006-11-17 2007-08-03 주식회사 유비닉스 Subscriber authentication system and method for authenticating subscriber using the same
JP5166524B2 (en) * 2007-06-11 2013-03-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for certificate processing
KR100934309B1 (en) * 2007-12-05 2009-12-29 유비벨록스(주) Integrated Subscriber Authentication System and Subscriber Authentication Method Using the Same
CN101483525A (en) * 2009-01-22 2009-07-15 中兴通讯股份有限公司 Implementing method for authentication center
CN101635710B (en) * 2009-08-25 2011-08-17 西安西电捷通无线网络通信股份有限公司 Pre-shared-key-based method for controlling secure access to networks and system thereof
WO2016018028A1 (en) 2014-07-31 2016-02-04 Samsung Electronics Co., Ltd. Device and method of setting or removing security on content
CN107294712B (en) * 2017-07-24 2020-01-31 北京中测安华科技有限公司 key negotiation method and device
KR102553166B1 (en) * 2018-10-19 2023-07-06 주식회사 케이티 Proxyless multi-path transmission system, and authentication method thereof

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19630920C1 (en) * 1996-07-31 1997-10-16 Siemens Ag Subscriber authentication and/or data encryption method
DE19756587C2 (en) * 1997-12-18 2003-10-30 Siemens Ag Method and communication system for encrypting information for radio transmission and for authenticating subscribers
DE19820422A1 (en) * 1998-05-07 1999-11-11 Giesecke & Devrient Gmbh Method for authenticating a chip card within a message transmission network
FR2790177B1 (en) * 1999-02-22 2001-05-18 Gemplus Card Int AUTHENTICATION IN A RADIOTELEPHONY NETWORK
AU4603100A (en) * 1999-05-03 2000-11-17 Nokia Corporation Sim based authentication mechanism for dhcrv4/v6 messages
FI20000760A0 (en) * 2000-03-31 2000-03-31 Nokia Corp Authentication in a packet data network
FI111208B (en) * 2000-06-30 2003-06-13 Nokia Corp Arrangement of data encryption in a wireless telecommunication system
US20020169958A1 (en) * 2001-05-14 2002-11-14 Kai Nyman Authentication in data communication
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol

Also Published As

Publication number Publication date
EP1695480A4 (en) 2012-08-29
EP1695480A1 (en) 2006-08-30
CN1918843A (en) 2007-02-21
CN1918843B (en) 2011-02-09
WO2005060150A1 (en) 2005-06-30
KR20050060839A (en) 2005-06-22

Similar Documents

Publication Publication Date Title
US10425808B2 (en) Managing user access in a communications network
EP3726797B1 (en) Key distribution method, device and system
EP1095533B1 (en) Authentication method and corresponding system for a telecommunications network
US8630420B2 (en) Method for auto-configuration of a network terminal address
KR100450973B1 (en) Method for authentication between home agent and mobile node in a wireless telecommunications system
US7444513B2 (en) Authentication in data communication
ES2349292T3 (en) PROCEDURE AND SERVER TO PROVIDE A MOBILITY KEY.
KR101037844B1 (en) Method and server for providing a mobile key
US8230212B2 (en) Method of indexing security keys for mobile internet protocol authentication
US20040090930A1 (en) Authentication method and system for public wireless local area network system
CN101160924A (en) Method for distributing certificates in a communication system
EA013147B1 (en) Method and system for providing an access specific key
CN101300815A (en) Method and server for providing a mobile key
KR100546778B1 (en) Method and apparatus for authentication in wireless internet system
KR100968522B1 (en) Mobile Authentication Method for Strengthening the Mutual Authentication and Handover Security
KR20060117812A (en) Apparatus and method for security in wireless network using mobile ip
Qian et al. On securing dynamic home agent address discovery of on-board mobile router in mobile IPv6 networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090102

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee