KR100578375B1 - 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템 - Google Patents

고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템 Download PDF

Info

Publication number
KR100578375B1
KR100578375B1 KR1020040015704A KR20040015704A KR100578375B1 KR 100578375 B1 KR100578375 B1 KR 100578375B1 KR 1020040015704 A KR1020040015704 A KR 1020040015704A KR 20040015704 A KR20040015704 A KR 20040015704A KR 100578375 B1 KR100578375 B1 KR 100578375B1
Authority
KR
South Korea
Prior art keywords
authentication
subscriber
chap
user terminal
response
Prior art date
Application number
KR1020040015704A
Other languages
English (en)
Other versions
KR20050090561A (ko
Inventor
최우형
황성호
지현욱
Original Assignee
주식회사 케이티프리텔
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티프리텔 filed Critical 주식회사 케이티프리텔
Priority to KR1020040015704A priority Critical patent/KR100578375B1/ko
Publication of KR20050090561A publication Critical patent/KR20050090561A/ko
Application granted granted Critical
Publication of KR100578375B1 publication Critical patent/KR100578375B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B15/00Driving, starting or stopping record carriers of filamentary or web form; Driving both such record carriers and heads; Guiding such record carriers or containers therefor; Control thereof; Control of operating function
    • G11B15/18Driving; Starting; Stopping; Arrangements for control or regulation thereof
    • G11B15/26Driving record carriers by members acting directly or indirectly thereon
    • G11B15/28Driving record carriers by members acting directly or indirectly thereon through rollers driving by frictional contact with the record carrier, e.g. capstan; Multiple arrangements of capstans or drums coupled to means for controlling the speed of the drive; Multiple capstan systems alternately engageable with record carrier to provide reversal
    • G11B15/29Driving record carriers by members acting directly or indirectly thereon through rollers driving by frictional contact with the record carrier, e.g. capstan; Multiple arrangements of capstans or drums coupled to means for controlling the speed of the drive; Multiple capstan systems alternately engageable with record carrier to provide reversal through pinch-rollers or tape rolls
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B5/00Recording by magnetisation or demagnetisation of a record carrier; Reproducing by magnetic means; Record carriers therefor
    • G11B5/48Disposition or mounting of heads or head supports relative to record carriers ; arrangements of heads, e.g. for scanning the record carrier to increase the relative speed
    • G11B5/52Disposition or mounting of heads or head supports relative to record carriers ; arrangements of heads, e.g. for scanning the record carrier to increase the relative speed with simultaneous movement of head and record carrier, e.g. rotation of head
    • G11B5/53Disposition or mounting of heads on rotating support
    • G11B5/538Disposition or mounting of pole pieces on rotating support
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B2220/00Record carriers by type
    • G11B2220/90Tape-like record carriers

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 고속 패킷 데이터 통신 시스템의 인증 서버(AAA)가 사용자 단말기를 인증하기 위하여, 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A??Key)를 사전 등록한 후, 패킷 데이터 서빙 노드(PDSN)으로부터 가입자 번호를 포함하는 가입자 정보 요청(SubsInfo Request)이 수신되면 해당 가입자가 인증 서비스 가입자인지 여부를 판단하여 인증 서비스 가입자인 경우, 가입자 정보 응답(SubsInfo Response)을 패킷 데이터 서빙 노드(PDSN)로 전송하고, 패킷 데이터 서빙 노드(PDSN)로부터 수신되는 CHAP 응답(CHAP Response)과 자체적으로 생성한 CHAP 응답의 일치 여부를 이용하여 사용자 단말기를 인증하는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템에 관한 것으로, HRPD(High Rated Packet Data) 망에 인증 기능을 도입하여 복제 단말기의 불법 접속 등에 의한 정상 가입자의 피해를 방지할 수 있다.
인증, HRPD, 복제, 파라미터

Description

고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템{The method and system for authenticating user terminal in HRPD network}
도 1은 본 발명의 바람직한 일 실시예에 따른 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법을 수행하기 위한 전체 시스템 구성을 개략적으로 도시한 도면.
도 2는 본 발명의 바람직한 일 실시예에 따른 사용자 단말기 인증 방법을 나타낸 데이터 흐름도.
도 3은 본 발명의 바람직한 일 실시예에 따른 공유 비밀 데이터(SSD : Shared Secret Data) 생성 방법을 나타낸 도면.
도 4는 본 발명의 바람직한 일 실시예에 따른 CHAP 응답(CHAP Response) 생성 방법을 나타낸 도면.
도 5는 본 발명의 바람직한 다른 실시예에 따른 사용자 단말기 인증 방법을 나타낸 데이터 흐름도.
도 6은 본 발명의 바람직한 일 실시예에 따른 인증 서버(AAA)에서의 사용자 단말기 인증 과정을 나타낸 순서도.
<도면의 주요부분에 대한 부호의 설명>
110 : 사용자 단말기
120 : 이동통신 서비스 시스템
125 : 억세스 네트워크(AN : Access Network)
130 : 억세스망 인증 서버(AN-AAA : Access Network - Authorization Authentication and Accounting)
135 : 패킷 데이터 서빙 노드(PDSN : Packet Data Serving Node)
140 : IP 네트워크(IP Network)
145 : 인증 서버(AAA : Authorization Authentication and Accounting)
150 : 고객 정보 시스템
본 발명은 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템에 관한 것으로, 특히 HRPD(High Rated Packet Data) 망에 인증 기능을 도입하여 복제 단말기의 불법 접속을 차단하고, 가입자별로 인증 기능을 활성화/비활성화할 수 있도록 하여 망의 부하 및 단말 부하를 적정하게 조정할 수 있는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템에 관한 것이다.
과학 기술의 발전과 경제 수준의 향상은 광범위한 통신망 구축 및 통신 단말기의 보급을 가속화시키고 있다. 현재의 이동 통신 시스템은 종래의 음성 통화 위주의 통신 서비스에서 게임, 동영상 등을 제공하는 데이터 통신 위주로 빠르게 변화하고 있다. 이를 위한 무선 이동 통신 기술의 발전 과정은 아날로그 AMPS(Advanced Mobile Phone System), 셀룰러(Celluar)/개인 휴대 통신(PCS : Personal Communication Service), IMT-2000(International Mobile Telecommunication-2000)으로 요약할 수 있다.
일반적으로 IMT-2000은 하나의 단말기로 유무선 환경에서 음성, 데이터, 영상 등을 고속으로 주고 받을 수 있는 유무선 홈 개념의 멀티미디어 이동통신 서비스를 말한다. 세계 어느 곳에서도 하나의 단말기 또는 사용자 접속 카드(예를 들어, SIM, UIM 등)를 이용하여 서비스를 이용할 수 있으며, 관련 기술이 표준화되고 동일 주파수를 사용하므로 해외 로밍(Global Roaming)도 가능하다.
현재, 국제 표준화 회의의 양대 기구인 3GPP(3rd Generation Partnership Projects)와 3GPP2에서 IMT-2000 시스템의 표준화를 진행하고 있다. 3GPP2에서 표준화하고 있는 무선 접속 규격으로는 CDMA2000-1x와 CDMA2000-1x가 진화한 형태인 CDMA2000-1xEV-DO(EVolution-Data Only) 등이 있다. CDMA2000-1xEV-DO는 패킷망 전용으로 최대 2.4Mbps의 전송 속도를 갖는 쌍방향 고속 데이터 서비스를 제공한다. 따라서, CDMA2000-1xEV-DO 무선 접속 규격에 따른 패킷 데이터 통신 시스템은 CDMA2000-1X의 써킷망과 패킷망이 혼용된 시스템 구성이 아닌 패킷망 전용의 시스템 구성이 요구된다.
종래 이동통신 시스템은 이동국(MS : Mobile Station)의 인증을 위해 인증 센터(AC : Authentication Center), 홈 위치 등록기(HLR : Home Location Register), 방문자 위치 등록기(VLR : Visitor Location Register) 등을 구비하고 있다. 그러나, 이동국(MS)의 인증을 위한 구성 요소들을 이용해서는 고속 데이터 전송을 목적으로 하는 HRPD(High Rated Packet Data) 시스템에 적용할 수 없는 문제점이 있었다. 그리고, 대부분의 이동 통신 사업자는 망 부하 및 관리 문제 등을 이유로 인증 시스템을 도입하지 않거나 인증 시스템을 사용하지 않는 문제점이 있었다.
이러한 문제점은 최근 불법 복제 단말기에 의한 정상 가입자의 피해를 방치하는 원인이 된다. 또한, 불법 복제 단말기의 등장으로 인해 종래 일부 사용되거나 제시되던 가입자 번호(MIN)와 기기번호(ESN)의 쌍으로 인증을 수행하는 방식은 더 이상 이동국(MS) 인증을 위한 최선의 방법이 되지 못하게 되었다.
따라서, 상술한 문제점을 해결하기 위해, 본 발명의 목적은 HRPD(High Rated Packet Data) 망에 인증 기능을 도입하여 복제 단말기의 불법 접속 등에 의한 정상 가입자의 피해를 방지할 수 있는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템을 제공하는 것이다.
본 발명의 다른 목적은 가입자별로 인증 기능을 활성화 또는 비활성화할 수 있도록 하여 망의 부하 및 단말 부하를 적정하게 조정할 수 있는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은 단말 형태가 개인 휴대 단말기(PDA)나 노트북 등과 같이 자체 PPP 스택을 가지고 있는 경우와 그렇지 않은 경우를 구분하여 인증을 수행할 수 있는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은 인증 과정 수행에 따른 이동국(MS)의 부하를 최소화할 수 있는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은 종래의 시스템이나 추후 개발될 시스템들과의 호환성을 구비하고, 상용망 변경 사상을 최소화하도록 개발함으로써, HRPD 망뿐 아니라 기존의 이동 통신망(예를 들어, IS-95A/B, CDMA-1x) 등에서도 변경없이 적용 가능한 범용성을 구비하는 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템을 제공하는 것이다.
상기 목적들을 달성하기 위하여, 본 발명의 일 측면에 따르면, 고속 패킷 데이터 통신 시스템의 인증 서버(AAA : Authorization Authentication and Accounting)가 사용자 단말기를 인증하는 방법에 있어서, 하나 이상의 인증 서비스 가입자 정보 및 각각의 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A-Key)를 사전 등록하는 단계; 패킷 데이터 서빙 노드(PDSN)으로부터 가입자 번호를 포함 하는 가입자 정보 요청(SubsInfo Request)를 수신하는 단계; 상기 가입자 번호에 상응하는 가입자가 인증 서비스 가입자인지 여부를 판단하는 단계; 인증 서비스 가입자인 경우, 제1 CHAP 챌린지값(CHAP Challenge)을 포함하는 가입자 정보 응답(SubsInfo Response)을 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계; 상기 패킷 데이터 서빙 노드(PDSN)로부터 가입자 식별 정보, 제2 CHAP 챌린지값, 상기 사용자 단말기로부터 수신된 제1 CHAP 응답(CHAP Response)을 포함하는 접속 요청(Access Request)을 수신하는 단계; 상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계; 상기 사용자 단말기에 상응하는 단말기 식별 정보, 상기 가입자 인증키 및 상기 제2 CHAP 챌린지값을 이용하여 제2 CHAP 응답을 생성하는 단계; 상기 제1 CHAP 응답 및 상기 제2 CHAP 응답의 일치 여부를 판단하는 단계; 및 상기 제1 CHAP 응답 및 상기 제2 CHAP 응답이 일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Access Accept)을 전송하는 단계를 포함하는 것을 특징으로 하는 사용자 단말기 인증 방법이 제공되고, 당해 사용자 단말기 인증 방법의 수행을 가능하게 하는 시스템, 장치 및 기록매체가 제공된다.
상기 CHAP 응답을 생성하기 위하여, 상기 사용자 단말기 및/또는 상기 인증 서버는 상기 CHAP 챌린지값, 상기 단말기 식별 정보, 상기 가입자 인증키를 파라미터로 하고, SSD(Shared Secret Data, 공유 비밀 데이터) 생성 알고리즘을 이용하여 신규 공유 비밀 데이터(SSD_New)를 생성하는 단계; 상기 생성된 신규 공유 비밀 데이터에서 미리 지정된 크기의 인증용 공유 비밀 데이터(SSD_A_New)를 추출하는 단계; 및 상기 CHAP 챌린지값, 상기 단말기 식별 정보, 인증 데이터(Auth Data(IMSI_S1)), 상기 인증용 공유 비밀 데이터를 파라미터로 하고, 인증 알고리즘을 이용하여 상기 CHAP 응답을 생성하는 단계를 실행할 수 있다.
또한, 상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계 이전에, 상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값의 일치 여부를 판단하는 단계; 및 상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값이 불일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 거절(Access Reject)을 전송하는 단계가 선행되어 실행될 수 있다.
상기 사용자 단말기는, n-1회차의 사용자 단말기 인증에서 사용된 제3 CHAP 챌린지값 및 제3 CHAP 응답을 저장하는 단계; n회차의 사용자 단말기 인증을 위해 상기 패킷 데이터 서빙 노드(PDSN)로부터 상기 제1 CHAP 챌린지값을 수신하는 단계; 상기 제1 CHAP 챌린지값과 상기 제3 CHAP 챌린지값의 일치 여부를 판단하는 단계; 일치하는 경우, 상기 제3 CHAP 응답을 상기 제1 CHAP 응답으로서 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계; 및 불일치하는 경우, 상기 제1 CHAP 응답을 생성하여 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계를 실행할 수 있다.
상기 사용자 단말기 인증 방법은 상기 가입자가 인증 서비스 가입자가 아닌 경우, 상기 패킷 데이터 서빙 노드(PDSN)를 경유하여 상기 사용자 단말기로 아이디 및 비밀번호 제공 요청을 전송하는 단계; 상기 사용자 단말기로부터 상기 패킷 데이터 서빙 노드(PDSN)를 경유하여 아이디 및 비밀번호를 수신하는 단계; 미리 저장된 가입자 정보를 이용하여 상기 아이디 및 비밀번호의 유효성 여부를 판단하는 단 계; 및 상기 아이디 및 비밀번호가 유효한 경우, 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Access Accept)을 전송하는 단계를 더 포함할 수 있다.
상기 가입자 번호는 전화번호일 수 있다. 그리고, 상기 단말기 식별 정보는 단말기 기기번호(ESN : Electronic Serial Number)일 수 있다.
상기 생성된 신규 공유 비밀 데이터가 2n비트인 경우, 상기 추출된 인증용 공유 비밀 데이터(SSD_A_New)는 상기 신규 공유 비밀 데이터의 상위 n비트이거나 하위 n비트일 수 있다.
본 발명의 바람직한 일 실시예에 따르면, 고속 패킷 데이터 통신 시스템의 인증 서버(AAA : Authorization Authentication and Accounting)가 사용자 단말기를 인증하는 방법에 있어서, 하나 이상의 인증 서비스 가입자 정보 및 각각의 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A-Key)를 사전 등록하는 단계; 패킷 데이터 서빙 노드(PDSN)으로부터 가입자 번호를 포함하는 가입자 정보 요청(SubsInfo Request)를 수신하는 단계; 상기 가입자 번호에 상응하는 가입자가 인증 서비스 가입자인지 여부를 판단하는 단계; 인증 서비스 가입자가 아닌 경우, PAP(Password Authentication Protocol) 인증을 수행하는 단계; 인증 서비스 가입자인 경우, 제1 CHAP 챌린지값(CHAP Challenge)을 포함하는 가입자 정보 응답(SubsInfo Response)를 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계; 상기 패킷 데이터 서빙 노드(PDSN)로부터 가입자 접속 정보, 제2 CHAP 챌린지값, 상기 사용자 단말기로부터 수신된 제1 CHAP 응답(CHAP Response)을 포함하는 접속 요청(Access Request)을 수신하는 단계; 상기 가입자 접속 정보가 가입자 식별 정 보(IMSI : International Mobile Subscriber Identity)를 포함하는지 여부를 판단하는 단계; 가입자 식별 정보를 포함하지 않는 경우, PAP 인증을 수행하는 단계; 가입자 식별 정보를 포함하는 경우, 상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계; 상기 사용자 단말기에 상응하는 단말기 식별 정보, 상기 가입자 인증키를 및 상기 제2 CHAP 챌린지값을 이용하여 제2 CHAP 응답을 생성하는 단계; 상기 제1 CHAP 응답 및 상기 제2 CHAP 응답의 일치 여부를 판단하는 단계; 및 상기 제1 CHAP 응답 및 상기 제2 CHAP 응답이 일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Access Accept)을 전송하는 단계를 포함하는 것을 특징으로 하는 사용자 단말기 인증 방법이 제공되고, 당해 사용자 단말기 인증 방법의 수행을 가능하게 하는 시스템, 장치 및 기록매체가 제공된다.
상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계 이전에, 상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값의 일치 여부를 판단하는 단계; 및 상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값이 불일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 거절(Access Reject)을 전송하는 단계가 선행되어 실행될 수 있다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면 번호에 상관없이 동일한 수단에 대해서는 동일한 참조 번호를 사용하기로 한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 고속 패킷 데이터 통신 시스템 에서의 사용자 단말기 인증 방법을 수행하기 위한 전체 시스템 구성을 개략적으로 도시한 도면이다.
도 1을 참조하면, 사용자 인증을 수행하는 이동통신 서비스 시스템(120)은 억세스 네트워크(AN : Access Network)(125), 억세스망 인증 서버(AN-AAA : Access Network - Authorization Authentication and Accounting)(130), 패킷 데이터 서빙 노드(PDSN : Packet Data Serving Node)(135), IP 네트워크(IP Network)(140), 인증 서버(AAA : Authorization Authentication and Accounting)(145) 및 고객 정보 시스템(150)을 포함한다.
억세스 네트워크(AN)(125)는 복수의 기지국(ANTS : Access Terminal Transceiver Subsystem) 및 제어국(ANC : Access Network Controller)을 포함한다. 기지국(ANTS)은 사용자 단말기(110)를 제어국(ANC)에 접속시키며, 디지털 채널 장치(DCU : Digital Channel Unit), 시간/주파수 제어 장치(TCU : Timing/Frequency Control Unit), 무선 주파수 장치(RFU : Radio Frequency Unit) 및 위치 측정 시스템(GPS : Global Positioning System) 등의 장비를 포함할 수 있다. 또한. 기지국(ANTS)은 유무선 변환 기능(즉, 사용자 단말기(100)와 무선으로 통신하고, 제어국(ANC)과 유선으로 통신을 수행하는 기능)을 수행한다. 제어국(ANC)은 다수의 기지국(ANTS)간의 연결을 조정하는 기능을 수행한다. 또한, 도 1에는 도시되지 않았으나 이동 통신 서비스 시스템(120)은 교환기인 GAN(General ATM Switch Network), 기지국 관리자인 BSM(Base Station Manager), 데이터 위치 등록기인 DLR(Data Location Register), PDSN(135) 과 연동하여 패킷 데이터를 처리하는 패 킷 제어부(PCF : Packet Control Function) 등을 더 포함할 수 있으나, 당해 구성 요소의 기능 및 구성은 당업자에게 자명하므로 이에 대한 설명은 생략한다.
억세스망 인증 서버(AN-AAA)(130)는 억세스 네트워크(AN)(125)를 통해 패킷 데이터 서비스를 이용하고자 하는 사용자 단말기(110)를 인증하고 서비스를 인가하는 기능을 수행한다. 억세스망 인증 서버(130)는 사용자 단말기 식별 번호(MIN : Mobile Identification Number), 사용자 단말기(110)의 ESN(Electronic Serial Number) 등의 정보를 저장할 수 있다. 억세스망 인증 서버(AN-AAA)(130)는 표준화된 챌린지 핸드셰이크 인증 규약(CHAP : Challenge Handshake Authentication Protocol)을 이용하여 억세스 네트워크(AN)(125)에 접속하는 사용자 단말기(100)를 인증한다.
패킷 데이터 서빙 노드(PDSN)(135)는 사용자 단말기(110)에 패킷 데이터 서비스를 제공하며, 인터넷에 연결되어 다양한 멀티미디어 서비스를 사용자 단말기(110)에 제공한다.
인증 서버(AAA)(145)는 억세스망 인증 서버(AN-AAA)(130)에 의해 인증된 사용자 단말기(110)가 패킷 데이터 서비스를 요청할 경우, 당해 사용자가 공유 비밀 데이터(SSD : Shared Secret Data, 이하 SSD라 칭함) 인증 서비스 가입자인지를 확인하여 SSD 인증 서비스 가입자인 경우 미리 지정된 방식을 통해 생성된 SSD를 이용하여 인증 서비스를 수행한다. SSD는 사용자 단말기(110)와 인증 서버(AAA)(145)간에 인증 연산시 사용되는 128비트의 값으로 가입자 인증키(A-key : Authentication-key), CHAP-Challenge 파라미터값, ESN 등을 이용하여 생성할 수 있다. 또한, 인증 서버(AAA)(145)는 당해 사용자 단말기(110)가 통신 단말기로의 용도 대신 무선 모뎀의 용도로 사용되는 경우(예를 들어, 사용자 단말기(110)와 노트북 컴퓨터를 연결하여 노트북 컴퓨터를 이용한 무선 데이터 서비스 이용시)에는 사용자 단말기(110)로부터 수신되는 사용자 접속 정보(예를 들어, 사용자 이름(username) 및 비밀번호(Password))를 이용한 인증을 수행한다.
고객 정보 시스템(150)은 사용자 단말기(110)를 이용하여 패킷 데이터 서비스를 제공받는 사용자의 개인정보(예를 들어, 이름, 주소, 주민등록번호 등), SSD 인증 서비스 가입자 여부, 서비스 상태 정보(예를 들어, 서비스 신청, 서비스 해지, 사용 정지, 발신 정지, 기기 변경, 번호 변경) 등을 저장 및 처리하며, 서비스 상태 정보 등의 변경시에 이를 억세스망 인증 서버(AAA)(145)에 전송 한다. 또한, 고객 정보 시스템(150)은 사용자가 SSD 인증 서비스 가입시 가입자 인증키(A-key)를 사용자 단말기(110)와 인증 서버(AAA)(145)로 전송하여 저장되도록 한다. 가입자 인증키(A-key)는 64비트의 값을 가지며, SSD를 생성하기 위한 파라미터로 사용된다. 물론, 당해 가입자 인증키(A-key)가 사용자 단말기(110)와 인증 서버(AAA)(145)에 저장되도록 하는 방법에는 제한이 없으며, 예를 들어 당해 가입자 인증키(A-key)는 오프라인상의 이동통신 대리점에서 사용자 단말기(110)에 저장되도록 하거나, 사용자가 사용자 단말기(110)에 가입자 인증키(A-key)를 입력하여 인증 서버(AAA)(145) 및/또는 고객 정보 시스템(150)으로 전송하는 등의 다양한 방법이 더 적용될 수 있다.
도 2는 본 발명의 바람직한 일 실시예에 따른 사용자 단말기 인증 방법을 나타낸 데이터 흐름도이고, 도 3은 본 발명의 바람직한 일 실시예에 따른 공유 비밀 데이터(SSD : Shared Secret Data) 생성 방법을 나타낸 도면이며, 도 4는 본 발명의 바람직한 일 실시예에 따른 CHAP 응답(CHAP Response) 생성 방법을 나타낸 도면이다.
도 2를 참조하면, 고객 정보 시스템(150)은 임의의 사용자가 SSD 인증 서비스 가입자로 신규 등록되면, 가입자 인증키(A-key)를 인증 서버(AAA, 이하 AAA라 칭함)(145) 및 당해 사용자의 사용자 단말기(110)로 전송한다(단계 205). 그리고, AAA(145) 및 사용자 단말기(110)는 수신된 가입자 인증키를 저장하게 되며, 이때 고객 정보 시스템(150)은 AAA(145)로 어떤 사용자가 SSD 인증 서비스 가입자로 신규 등록된 것인지에 대한 식별 정보(예를 들어, 전화번호 등)를 함께 전송할 수 있다. 상술한 바와 같이, 가입자 인증키(A-key)가 사용자 단말기(110)와 AAA(145)에 저장되도록 하는 방법에는 제한이 없으며, 예를 들어 당해 가입자 인증키(A-key)는 오프라인상의 이동통신 대리점에서 사용자 단말기(110)에 저장되도록 하거나, 사용자가 사용자 단말기(110)에 가입자 인증키(A-key)를 입력하여 인증 서버(AAA)(145) 및/또는 고객 정보 시스템(150)으로 전송하는 등과 같은 다른 방법도 적용될 수 있다.
단계 210에서 사용자 단말기(110)로부터 데이터 호 발신이 이루어지면, 억세스 네트워크(AN, 이하 AN으로 칭함)(125)는 단계 215에서 사용자 단말기(110)와 CHAP Challenge 및 CHAP Response를 이용한 CHAP(Challenge Handshake Authentication Protocol) 인증을 수행한다. 이때 사용자 단말기(110)는 저장된 ESN을 이용하여 CHAP Response를 생성한다. 즉, CHAP 인증은 사용자 단말기(110)와 AN(125)간에 링크가 확립된 이후 사용자 단말기(110)로 유효성 메시지를 전송하고 사용자 단말기(110)로부터 수신되는 그에 대한 응답을 체크하여 사용자 인증을 수행하는 것이다. 단계 210 내지 단계 245까지의 단계는 표준으로 규정된 사항이므로 이에 대해서는 간략히 설명하기로 한다.
단계 220에서 AN(125)은 억세스망 인증 서버(AN-AAA, 이하 AN-AAA라 칭함)(130)로 접속 요청(예를 들어, Access Request(username=IMSI, CHAP-Password=f(ESN), 1xEVDO-TerminalAuthencication))을 전송한다. 이때 1xEVDO-TerminalAuthentication을 '1'로 설정하여 전송한다.
단계 225에서 AN-AAA(145)는 단계 220을 통해 수신한 접속 요청의 1xEVDO-TerminalAuthentication이 '1'로 설정되어 있는지를 판단하여 '1'로 설정되어 있는 경우 가입자(username=IMSI) 정보를 조회하여 ESN 기반으로 인증을 수행한다. 그리고, 단계 230에서 AN-AAA(145)는 인증 수행 결과 및 콜백 아이디(Callback-ID)를 포함하는 인증 결과(예를 들어, 접속 승인으로서, Access Accept(Callback-Id, ESN))를 AN(125)으로 전송한다.
AN(125)은 AN-AAA(145)로부터 수신한 인증 결과가 인증 성공(예를 들어, 접속 승인)인 경우 사용자 단말기(110)로 CHAP SUCCESS를 전송한다(단계 235).
이후, AN(125)은 사용자 단말기(110)로부터의 데이터 호 발신(단계 240)에 대해 패킷 데이터 서빙 노드(PDSN, 이하 PDSN이라 칭함)(135)과의 A11 연결(A11 Registration)을 수행한다(단계 245). 물론, 단계 210에서의 데이터 호 발신을 단계 235 후에 PDSN(135)으로 전송하는 경우라면 단계 240은 생략될 수 있다. AN(125)과 PDSN(135)의 A11 연결은 AN(125)으로부터 PDSN(135)으로 전송되는 A11 연결 요청(A11 Registration Request) 및 이에 대한 응답으로 PDSN(135)으로부터 AN(125)으로 전송되는 A11 연결 응답(A11 Registration Response)에 의해 이루어진다.
단계 250에서 PDSN(135)은 가입자 정보 질의를 위해 AAA(145)로 가입자 정보 요청(예를 들어, SubsInfo Request(Calling-Station-Id))을 전송한다. 가입자 정보 요청은 가입자 식별을 위한 가입자 식별 정보(예를 들어, 전화번호)를 포함할 수 있다. 가입자 정보 요청(SubsInfo Request)을 구성하는 파라미터들을 예시하면 하기의 표 1과 같다. 표 1의 파라미터 예시는 단지 예시를 위한 것일 뿐 포함된 모든 정보가 반드시 포함되어야 하는 것은 아니다.
표 1. 가입자 정보 요청(SubsInfo Request)의 파라미터
명칭 설명
MN_Table_Id PDSN의 MN Table Index
Calling-Station-Id MIN/IMSI 형식
ESN 예)B012CEF1=0x4230313243454631
Accounting Session Id Session ID와 Timestamp의 조합
NAS-Type NAS 구분(예를 들어, 1: PDSN-1x, 2: PDSN-1xEVDO)
NAS IP Address PDSN의 IP Address
BS/MSC Address (Session Start) 가입자가 서비스를 받기 시작한 SID(4), NID(4), BSC ID(2), BTS ID(2)
Service-Option 서비스 옵션
Proxy State Proxy 메시지 구분을 위해 사용
AAA(145)는 PDSN(135)으로부터 수신한 가입자 정보 요청에 상응하는 가입자 정보를 이용하여 당해 가입자가 SSD 인증 서비스 가입자인지 여부를 확인하고, CHAP Challenge 파라미터를 생성한 후, SSD 인증 가입자인지 여부를 표시하기 위한 정보(즉, 인증 가입자 표시 정보로서, 예를 들어 Auth_SVC)와 CHAP Challenge 값을 포함하는 가입자 정보 응답(예를 들어, SubsInfo Response(Auth_SVC, CHAP-Challenge))을 PDSN(135)으로 전송한다(단계 255). 이때, AAA에서 생성하는 CHAP Challenge 값은 임의의 난수값(Random value), 인증 횟수에 따라 순차적으로 증가하는 값이거나 미리 지정된 규칙에 의해 생성된 값일 수 있으며, 구현 방법에 따라 다양할 수 있다.
가입자 정보 응답(SubsInfo Response)을 구성하는 파라미터들을 예시하면 하기의 표 2와 같다. 표 2의 파라미터 예시는 단지 예시를 위한 것일 뿐 포함된 모든 정보가 반드시 포함되어야 하는 것은 아니다.
표 2. 가입자 정보 응답(SubsInfo Response)의 파라미터
명칭 설명
Calling-Station-Id MIN/IMSI 형식
MSISDN MSISDN/MDN 형식
SubsInfo Result 0: Unsuccessful, 1: Successful
ADR 실패 원인을 포함
AUTH_SVC 인증 서비스 등록 유무(등록시 1)
Terminal Capability 가입 단말 구분 (예를 들어, 0: Cdma2000 1x, 1: 1xEV-DO)
Mobile Type Simple IP / Mobile IP 구분
Always On Always On 서비스 등록 유무
Proxy State Proxy 메시지 구분을 위해 사용
단계 260에서 PDSN(135)은 AAA(145)로부터 수신한 가입자 정보 응답(SubsInfo Response)에 당해 사용자가 SSD 인증 서비스 가입자임을 표시하는 정보(예를 들어, Auth_SVC)가 포함되어 있는 경우, 수신된 CHAP Challenge값을 이용하여 사용자 단말기(110)와 CHAP 인증 과정을 수행한다. 앞서 설명한 바와 같이, AAA(145)에서 PDSN(135)으로 전송하는 가입자 정보 응답(SubsInfo Response)에는 CHAP Challenge값이 포함되지 않을 수 있다. 만일 PDSN(135)이 AAA(145)로부터 CHAP Challenge값을 수신한 경우에는 CHAP 인증 과정에 수신된 당해 CHAP Challenge값을 이용할 수 있다. 그러나, AAA(145)로부터 SSD 인증 서비스 활성 정보(예를 들어, Auth_SVC)만을 수신하고 CHAP Challenge값을 수신하지 못한 경우에는 PDSN(135)이 당해 CHAP Challenge값을 생성하여 CHAP 인증 과정을 수행한다. 이와 같이, 본 발명은 당해 사용자가 SSD 인증 서비스 가입자인 경우에만 SSD 인증 서비스를 수행하므로 망 부하를 절감할 수 있다. 그리고, 사용자 단말기(110)는 수신된 CHAP Challenge값을 이용하여 인증용 공유 비밀 데이터(SSD_A_New)를 생성하고, 생성된 인증용 공유 비밀 데이터(SSD_A_New)를 이용하여 CHAP Response를 생성한다.
사용자 단말기(110)가 CHAP Challenge값을 이용하여 CHAP Response를 생성하는 과정을 도 3 및 도 4를 참조하여 간략히 설명한다.
도 3을 참조하면, 사용자 단말기(110)는 미리 저장된 ESN값, 단계 210을 통해 주입된 가입자 인증키(A-Key) 및 단계 260을 통해 수신한 CHAP Challenge값을 파라미터로 하고 SSD 생성 알고리즘을 이용하여 공유 비밀 데이터(SSD)를 생성한다. 예를 들어, ESN값은 32비트, CHAP Challenge값은 56비트, 가입자 인증키(A-Key)는 64비트의 값일 수 있으며, 또한 SSD 생성 알고리즘에 의해 생성된 공유 비밀 데이터(SSD)는 128비트의 값일 수 있다. 이때, 사용자 단말기(110)는 생성된 공유 비밀 데이터(SSD)의 상위 64비트(즉, 인증용 공유 비밀 데이터(SSD_A_New))를 추출한다. 물론, 인증용 공유 비밀 데이터의 비트수나 위치는 인증 서비스 수행 방 법에 따라 다양하게 구성될 수 있음은 자명하나, 여기서는 생성된 공유 비밀 데이터(SSD)의 상위 64비트를 인증용 공유 비밀 데이터(SSD_A_New)로서 추출하는 경우를 가정하여 설명한다.
이후, 도 4에 도시된 바와 같이 사용자 단말기(110)는 도 3에 도시된 방법에 의해 생성되어 추출된 인증용 공유 비밀 데이터(SSD_A_New), 미리 저장된 ESN값과 인증용 데이터(Auth Data(IMSI_S1) 및 단계 260을 통해 수신한 CHAP Challenge값을 파라미터로 하고 미리 지정된 인증 알고리즘(예를 들어, DES, 3DES, AES, SEED, Blowfish, MD5, SHA1 등)을 이용하여 CHAP Response를 생성한다.
그리고, 사용자 단말기(110)는 단계 260에서 생성된 CHAP Response를 PDSN(135)으로 전송한다. 이제까지 도 3 및 도 4를 참조하여 설명한 CHAP Response 생성 과정은 이전의 인증값(예를 들어, 인증용 공유 비밀 데이터(SSD_A_New) 또는 CHAP Response)이 저장되어 있지 않거나, 이전 인증 과정에서 적용된 CHAP Challenge값과 단계 260을 통해 수신된 CHAP Challenge값이 불일치하는 경우에만 선택적으로 수행될 수 있다. 즉, 이전의 인증값(예를 들어, 인증용 공유 비밀 데이터(SSD_A_New) 또는 CHAP Response)이 이미 저장되어 있고 이전 인증 과정에서 적용된 CHAP Challenge값과 단계 260을 통해 수신된 CHAP Challenge값이 동일한 경우에는 저장된 당해 인증값을 이용하면 족할 것이므로 별도의 CHAP Response 생성 과정을 수행할 필요가 없다. 이를 통해 사용자 단말기(110)의 CHAP Response 생성 과정에서 발생되는 부하를 절감할 수 있다.
다시 도 2를 참조하면, 단계 265에서 PDSN(135)은 사용자 단말기(110)로부터 수신된 CHAP Response와 단계 255를 통해 AAA(145)로부터 수신한 CHAP Challenge를 포함하는 접속 요청(예를 들어, Access Request(Username=IMSI@realm, CHAP-Challenge, CHAP-Password=f(SSD)))을 AAA(145)로 전송한다. 이때, 사용자 단말기로부터 수신된 사용자 식별 정보(예를 들어, IMSI)를 포함하지 않는 경우에는 미리 지정된 디폴트(default) realm을 추가하여 AAA(145)로 전달한다. 디폴트 realm은 PDSN(135) 및/또는 AAA(145)에 의해 정의될 수 있으며, 망 인증의 경우 사용자 식별 정보(예를 들어, IMSI 또는 IMSI@realm)을 사용하고, ISP 인증시에는 별도의 정보를 사용한다(도 5 설명 참조). 또한, 만일 단계 255를 통해 AAA(145)로부터 CHAP Challenge가 수신되지 않아 PDSN에 의해 생성된 CHAP Challenge값이 CHAP 인증 과정에 이용되었다면 당해 CHAP Challenge 값이 포함될 것이다. 그리고, CHAP-Password는 사용자 단말기(110)로부터 수신된 CHAP Response 자체이거나 미리 지정된 형태의 CHAP ID와 사용자 단말기(110)로부터 수신된 CHAP Response를 이용하여 별도로 생성될 수 있다.
접속 요청(Access Request)을 구성하는 파라미터들을 예시하면 하기의 표 3과 같다. 표 3의 파라미터 예시는 단지 예시를 위한 것일 뿐 포함된 모든 정보가 반드시 포함되어야 하는 것은 아니다.
표 3. 접속 요청(Access Request)의 파라미터
명칭 설명
MSISDN MSISDN/MDN
Calling-Station-Id IMSI
User-Name 망인증: IMSI@realm 또는 IMSI ISP 인증: userid@realm
NAS-IP-Address PDSN의 IP Address
Correlation-ID Session ID와 Timestamp의 조합
User-Password 사용자가 입력한 Password
CHAP-Password CHAP Id & CHAP Response
CHAP-Challenge AAA/PDSN에서 할당한 Challenge
Service Option 서비스 옵션(예를 들어, 33: Cdma2000-1x, 59: 1xEVDO)
IP Technology 1: Simple IP, 2: Mobile IP
BS/MSC Address(PPP Start) 가입자가 최초 망에 접속하여 PPP 설정을 수행하고 IP Address를 할당 받은 SID(4), NID(4), BSC ID(2), BTS ID(2)
AAA(145)는 PDSN(135)으로부터 수신한 가입자 식별 정보(예를 들어, Username=IMSI@realm)를 이용하여 HRPD 망인증인지를 판단하고, HRPD 망인증인 경우 수신된 CHAP Challenge값이 단계 255를 통해 PDSN(135)으로 전달한 CHAP Challenge값과 일치하는지 여부를 판단한다. 만일 일치하는 경우에는 CHAP Challenge에 포함된 인증용 공유 비밀 데이터(SSD_A_New)를 이용하여 사용자 단말기(110) 인증을 수행한다. AAA(145)는 가입자 인증키(A-Key), 당해 사용자 단말기(110)에 상응하는 ESN값 등을 이미 알고 있으므로 도 3 및/또는 도 4에 도시된 SSD 생성 방법, CHAP Response 생성 방법을 이용하여 PDSN(135)으로부터 수신된 CHAP-Password의 유효성 여부를 판단할 수 있다. 이후, 인증 성공인 경우 AAA(145)는 단계 270에서 PDSN(135)으로 접속 승인(Access-Accept)을 전송한다.
접속 승인(Access Accept)을 구성하는 파라미터들을 예시하면 하기의 표 4와 같다. 표 4의 파라미터 예시는 단지 예시를 위한 것일 뿐 포함된 모든 정보가 반드시 포함되어야 하는 것은 아니다.
표 4. 접속 승인(Access Accept)의 파라미터
명칭 설명
MSISDN MSISDN/MDN
Calling-Station-Id IMSI
User-Name IMSI@realm, userid@realm
NAS-IP-Address PDSN의 IP Address
Correlation-ID Session ID와 Timestamp의 조합
이후, 단계 275로 진행하여 AAA(145)는 사용자 단말기(110)로부터 수신된 인증용 공유 비밀 데이터(SSD_A_New)를 사용자 단말기(110)에 상응하는 공유 비밀 데이터(SSD)로 갱신한다. 이는 사용자 단말기(110)와 AAA(145)간에 공유 비밀 데이터(SSD)의 불일치를 방지하기 위한 것이다.
단계 280에서, PDSN(135)은 AAA(145)로부터 인증 성공을 나타내는 접속 승인이 수신된 경우 CHAP 인증 성공을 나타내는 CHAP Success를 사용자 단말기(110)로 전송한다.
사용자 단말기(110)는 PDSN(135)으로부터 CHAP Success가 수신된 경우, 단계 285에서 단계 260에서 생성된 인증용 공유 비밀 데이터(SSD_A_New)를 이용하여 미리 저장된 공유 비밀 데이터(SSD)를 갱신한다.
다시 단계 270을 참조하여, 인증 실패인 경우 AAA(145)는 단계 270에서 PDSN(135)으로 접속 거절(Access-Reject)을 전송한다.
접속 거절(Access Reject)을 구성하는 파라미터들을 예시하면 하기의 표 5와 같다. 표 5의 파라미터 예시는 단지 예시를 위한 것일 뿐 포함된 모든 정보가 반드시 포함되어야 하는 것은 아니다.
표 5. 접속 거절(Access Reject)의 파라미터
명칭 설명
MSISDN MSISDN/MDN
Calling-Station-Id IMSI
User-Name IMSI@realm, userid@realm
NAS-IP-Address PDSN의 IP Address
Correlation-ID Session ID와 Timestamp의 조합
Reply-Message 인증 실패에 대한 원인
그리고, PDSN(135)은 단계 280에서 AAA(145)로부터 인증 실패를 나타내는 접속 거절이 수신된 경우 CHAP 인증 실패를 나타내는 CHAP Fail을 사용자 단말기(110)로 전송한다.
도 5는 본 발명의 바람직한 다른 실시예에 따른 사용자 단말기 인증 방법을 나타낸 데이터 흐름도이다.
도 5의 데이터 흐름도는 사용자 단말기(110)가 자체로서 무선 통신 단말기의 기능을 수행하지 않고, 노트북 컴퓨터 등의 외부 장치에 결합되어 무선 모뎀의 기능을 수행하는 경우의 사용자 단말기(110) 인증 방법을 나타낸 것이다.
도 5를 참조하면, 단계 205에서 고객 정보 시스템(150)은 임의의 사용자가 SSD 인증 서비스 가입자로 신규 등록되면, 가입자 인증키(A-key)를 인증 서버(AAA, 이하 AAA라 칭함)(145) 및 당해 사용자의 사용자 단말기(110)로 전송한다.
이후, 사용자 단말기(110) 및 이동 통신 서비스 시스템(120) 간에는 LCP 협상(Negotiation)이 이루어진다. LCP 협상 과정은 당업자에게 자명한 사항이므로 이에 대한 설명은 생략한다. 앞서 도 2를 참조하여 설명한 단계 210 내지 단계 260 등의 과정이 LCP 협상 단계에 해당될 수 있다.
그러나, 도 5의 경우에서 사용자 단말기(110)는 무선 모뎀의 용도로 이용되는 것이고, 실제 인증 과정은 사용자가 사용자 단말기(110)와 결합된 외부 자동화 기기(예를 들어, 노트북 컴퓨터 등)에서 사용하고자 하는 서비스의 인증이 이루어진다. 따라서, 앞서 도 3 내지 도 5를 참조하여 설명한 SSD를 이용한 HRPD 망 인증은 자동으로 수행되지 못할 것이다.
따라서, 사용자 단말기(110)는 단계 510에서 사용자로부터(예를 들어, 외부 자동화 기기를 경유하여) 수신된 아이디(예를 들어, Username) 및 비밀번호(Password)를 포함하는 PAP(Password Authentication Protocol) 인증 요청(PAP Authentication-Request)을 PDSN(135)으로 전송한다. 단계 510은 도 2를 참조하여 설명한 단계 210 내지 단계 260 등의 과정이 모두 완료된 후 수행되는 단계는 아니며, LCP 협상 과정 중의 임의의 과정에서 수행될 수 있다.
PDSN(135)은 단계 515에서 접속 요청(예를 들어, Access Request(username=userid@realm, user-password=PWD))을 AAA(145)로 전송한다. 접속 요청의 파라미터는 표 3에 예시되어 있다.
AAA(145)는 단계 515를 통해 수신한 아이디 및 비밀번호를 이용하여 당해 사용자에 대한 인증을 수행하고, 인증 수행 결과(예를 들어, 접속 승인 또는 접속 거절)를 PDSN(135)으로 전송한다(단계 515). AAA(145)는 예를 들어, 단계 515를 통해 수신한 아이디 및 비밀번호와 당해 사용자에 상응하여 저장된 아이디 및 비밀번호의 일치 여부를 이용하여 인증을 수행할 수 있다.
PDSN(135)은 단계 525에서 단계 520을 통해 수신된 인증 수행 결과에 상응하는 PAP 인증 응답(예를 들어, PAP Authentication-Ack 또는 PAP Fail)을 사용자 단말기(110)로 전송한다.
도 5에 도시된 방법에 의해 사용자 인증이 이루어지는 경우에는 앞서 도 2 내지 도 4를 참조하여 설명한 SSD 갱신 과정은 수행되지 않는다.
도 6은 본 발명의 바람직한 일 실시예에 따른 인증 서버(AAA)에서의 사용자 단말기 인증 과정을 나타낸 순서도이다.
도 6을 참조하면, 단계 610에서 AAA(145)는 PDSN(135)으로부터 접속 요청(Access Request)을 수신한다.
그리고, AAA(145)는 단계 615에서 수신된 접속 요청(Access Request)을 이용하여 당해 사용자가 SSD 인증 서비스 가입자인지 여부를 판단한다. SSD 인증 서비스 가입자가 아닌 경우에는 단계 620으로 진행하여 PAP(Password Authentication Protocol) 인증을 수행한다. 그러나, SSD 인증 서비스 가입자인 경우에는 단계 625로 진행한다.
단계 625에서 AAA(145)는 접속 요청에 포함된 사용자 식별정보가 IMSI값을 가지는지 여부를 판단한다. 물론, 사용자 식별정보는 IMSI값 외에도 다양한 형태로 구현될 수 있으나, 여기서는 사용자 식별 정보가 IMSI값인 경우에는 HRPD 망 인증(즉, SSD 인증 서비스)을 수행하는 경우를 가정한다. 사용자 식별 정보가 IMSI값을 가지지 않는 경우(예를 들어, username=userid@realm), AAA(145)는 단계 630에서 접속 요청에 포함된 아이디와 비밀번호를 이용하여 PAP 인증을 수행한다. 그러나, 사용자 식별 정보가 IMSI값을 가지는 경우(예를 들어, username=IMSI@realm), AAA(145)는 단계 635로 진행한다.
단계 635에서 AAA(145)는 단계 610을 통해 수신한 접속 요청 내에 포함된 CHAP Challenge값과 가입자 정보 응답(예를 들어, SubsInfo Response)을 PDSN(135)으로 전송하는 과정(도 2의 단계 255 참조)에서 SSD 인증 가입자인지 여부에 대한 정보(예를 들어, Auth_SVC)와 함께 전송된 CHAP Challenge 값이 일치하는지 여부를 판단한다. 물론, 당해 CHAP Challenge값은 PDSN(135)에서 생성되어 AAA(145)로 제공된 값일 수 있으며, 이 경우 PDSN(135)으로부터 수신한 CHAP Challenge값과 단계 610을 통해 수신된 접속 요청 내에 포함된 CHAP Challenge값의 일치 여부를 판단한다.
각각의 CHAP Challenge값이 일치하지 않는 경우, AAA(145)는 단계 640에서 당해 사용자 단말기(110)에 대한 인증을 실패로 처리한다. 그러나, 각각의 CHAP Challenge값이 일치하는 경우에는 단계 645로 진행한다. 단계 635 및 단계 640은 인증 수행 과정에서 발생되는 망 부하를 절감하기 위해 선택적으로 포함시킬 수 있는 단계로서 생략될 수 있다.
단계 645에서 AAA(145)는 당해 사용자 단말기(110)에 상응하는 ESN값, 가입자 인증키(A-Key), CHAP Challenge 등을 이용하여 CHAP-Password를 생성한다. 그리고, 단계 650에서 생성된 CHAP-Password와 단계 610을 통해 수신된 접속 요청에 포함된 CHAP-Password가 일치하는지 여부를 판단한다. 만일 단계 610을 통해 수신된 접속 요청에 CHAP-Password가 아닌 CHAP-Response가 포함된 경우라면 AAA(145)는 각각의 파라미터를 이용하여 CHAP Response를 생성하고, 각 CHAP Response간의 일치 여부를 판단할 것이다. 만일 각각의 CHAP-Password(또는 각각의 CHAP Response) 가 일치하지 않는 경우에는 단계 655로 진행하여 인증 실패(Access Reject) 처리한다. 그러나, 만일 각각의 CHAP-Password(또는 각각의 CHAP Response)가 일치하는 경우에는 단계 660으로 진행하여 인증 성공 처리하고, SSD값을 갱신(즉, CHAP Challenge값에 상응하여 생성된 인증용 공유 비밀 데이터(SSD_A_New)를 새로운 SSD값으로 등록)한다.
도 6의 단계 640 및 단계 655에서는 인증 실패 처리 후 단계가 종료되는 것처럼 도시되었으나, 실제로는 인증 실패 처리 후 AAA(145)는 PDSN(135)을 통해 사용자 단말기(110)와의 새로운 HRPD 인증 절차를 수행할 수도 있다.
도 6에 도시된 바와 같이, LCP 협상(Negotiation) 과정 중 인증은 CHAP 인증을 우선하여 수행한 후, 협상 실패시 PAP 인증을 수행한다. PAP 인증까지 실패한 경우 PDSN(135)은 호를 차단한다.
상술한 바와 같이 본 발명에 따른 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증 방법 및 시스템은 HRPD(High Rated Packet Data) 망에 인증 기능을 도입하여 복제 단말기의 불법 접속 등에 의한 정상 가입자의 피해를 방지할 수 있다.
또한, 본 발명은 가입자별로 인증 기능을 활성화 또는 비활성화할 수 있도록 하여 망의 부하 및 단말 부하를 적정하게 조정할 수 있다.
또한, 본 발명은 단말 형태가 개인 휴대 단말기(PDA)나 노트북 등과 같이 자 체 PPP 스택을 가지고 있는 경우와 그렇지 않은 경우를 구분하여 인증을 수행할 수 있다.
또한, 본 발명은 인증 과정 수행에 따른 이동국(MS)의 부하를 최소화할 수 있다.
또한, 본 발명은 종래의 시스템이나 추후 개발될 시스템들과의 호환성을 구비하고, 상용망 변경 사상을 최소화하도록 개발함으로써, HRPD 망뿐 아니라 기존의 이동 통신망(예를 들어, IS-95A/B, CDMA-1x) 등에서도 변경없이 적용 가능한 범용성을 구비한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (12)

  1. 고속 패킷 데이터 통신 시스템의 인증 서버(AAA : Authorization Authentication and Accounting)가 사용자 단말기를 인증하는 방법에 있어서,
    하나 이상의 인증 서비스 가입자 정보 및 각각의 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A-Key)를 사전 등록하는 단계;
    패킷 데이터 서빙 노드(PDSN)으로부터 가입자 번호를 포함하는 가입자 정보 요청(SubsInfo Request)이 수신되면, 상기 가입자 번호에 상응하는 가입자가 인증 서비스 가입자인지 여부를 판단하는 단계; 및
    인증 서비스 가입자인 경우 제1 인증 방식에 의한 인증을 수행하고, 인증 서비스 가입자가 아닌 경우에는 제2 인증 방식에 의한 인증을 수행하는 단계를 포함하되,
    상기 제1 인증 방식에 따른 인증은,
    제1 CHAP 챌린지값(CHAP Challenge)을 포함하는 가입자 정보 응답(SubsInfo Response)을 상기 패킷 데이터 서빙 노드로 전송하는 단계;
    상기 패킷 데이터 서빙 노드로부터 가입자 식별 정보, 제2 CHAP 챌린지값, 상기 사용자 단말기로부터 수신된 제1 CHAP 응답(CHAP Response)을 포함하는 접속 요청(Access Request)을 수신하는 단계;
    상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하고, 상기 추출된 가입자 인증키, 상기 사용자 단말기에 상응하는 단말기 식별 정보 및 상기 제2 CHAP 챌린지값을 이용하여 제2 CHAP 응답을 생성하는 단계;
    상기 제1 CHAP 응답 및 상기 제2 CHAP 응답의 일치 여부를 판단하는 단계; 및
    상기 제1 CHAP 응답 및 상기 제2 CHAP 응답이 일치하는 경우 상기 패킷 데이터 서빙 노드로 접속 승인(Access Accept)을 전송하는 단계를 포함하고,
    상기 제2 인증 방식에 따른 인증은,
    상기 패킷 데이터 서빙 노드를 경유하여 상기 사용자 단말기로 아이디 및 비밀번호 제공 요청을 전송하는 단계;
    상기 사용자 단말기로부터 상기 패킷 데이터 서빙 노드를 경유하여 아이디 및 비밀번호가 수신되면, 미리 저장된 가입자 정보를 이용하여 상기 아이디 및 비밀번호의 유효성 여부를 판단하는 단계; 및
    상기 아이디 및 비밀번호가 유효한 경우, 상기 패킷 데이터 서빙 노드로 접속 승인을 전송하는 단계를 포함하는 것을 특징으로 하는 사용자 단말기 인증 방법.
  2. 제1항에 있어서,
    상기 CHAP 응답을 생성하기 위하여,
    상기 CHAP 챌린지값, 상기 단말기 식별 정보, 상기 가입자 인증키를 파라미터로 하고, SSD(Shared Secret Data, 공유 비밀 데이터) 생성 알고리즘을 이용하여 신규 공유 비밀 데이터(SSD_New)를 생성하는 단계;
    상기 생성된 신규 공유 비밀 데이터에서 미리 지정된 크기의 인증용 공유 비밀 데이터(SSD_A_New)를 추출하는 단계; 및
    상기 CHAP 챌린지값, 상기 단말기 식별 정보, 인증 데이터(Auth Data(IMSI_S1)), 상기 인증용 공유 비밀 데이터를 파라미터로 하고, 인증 알고리즘을 이용하여 상기 CHAP 응답을 생성하는 단계
    가 실행되는 것을 특징으로 하는 사용자 단말기 인증 방법.
  3. 제1항에 있어서,
    상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계 이전에,
    상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값의 일치 여부를 판단하는 단계; 및
    상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값이 불일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 거절(Access Reject)을 전송하는 단계
    가 실행되는 것을 특징으로 하는 사용자 단말기 인증 방법.
  4. 제1항에 있어서,
    상기 사용자 단말기는,
    n-1회차의 사용자 단말기 인증에서 사용된 제3 CHAP 챌린지값 및 제3 CHAP 응답을 저장하는 단계;
    n회차의 사용자 단말기 인증을 위해 상기 패킷 데이터 서빙 노드(PDSN)로부터 상기 제1 CHAP 챌린지값을 수신하는 단계;
    상기 제1 CHAP 챌린지값과 상기 제3 CHAP 챌린지값의 일치 여부를 판단하는 단계;
    일치하는 경우, 상기 제3 CHAP 응답을 상기 제1 CHAP 응답으로서 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계; 및
    불일치하는 경우, 상기 제1 CHAP 응답을 생성하여 상기 패킷 데이터 서빙 노 드(PDSN)로 전송하는 단계
    를 실행하는 것을 특징으로 하는 사용자 단말기 인증 방법.
  5. 삭제
  6. 제1항에 있어서,
    상기 가입자 번호는 전화번호인 것
    을 특징으로 하는 사용자 단말기 인증 방법.
  7. 제1항에 있어서,
    상기 단말기 식별 정보는 단말기 기기번호(ESN : Electronic Serial Number)인 것
    을 특징으로 하는 사용자 단말기 인증 방법.
  8. 제2항에 있어서,
    상기 생성된 신규 공유 비밀 데이터가 2n비트인 경우, 상기 추출된 인증용 공유 비밀 데이터(SSD_A_New)는 상기 신규 공유 비밀 데이터의 상위 n비트인 것
    을 특징으로 하는 사용자 단말기 인증 방법.
  9. 제2항에 있어서,
    상기 생성된 신규 공유 비밀 데이터가 2n비트인 경우, 상기 추출된 인증용 공유 비밀 데이터(SSD_A_New)는 상기 신규 공유 비밀 데이터의 하위 n비트인 것
    을 특징으로 하는 사용자 단말기 인증 방법.
  10. 고속 패킷 데이터 통신 시스템의 인증 서버(AAA : Authorization Authentication and Accounting)가 사용자 단말기를 인증하는 방법에 있어서,
    하나 이상의 인증 서비스 가입자 정보 및 각각의 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A-Key)를 사전 등록하는 단계;
    패킷 데이터 서빙 노드(PDSN)으로부터 가입자 번호를 포함하는 가입자 정보 요청(SubsInfo Request)를 수신하는 단계;
    상기 가입자 번호에 상응하는 가입자가 인증 서비스 가입자인지 여부를 판단하는 단계;
    인증 서비스 가입자가 아닌 경우, PAP(Password Authentication Protocol) 인증을 수행하는 단계;
    인증 서비스 가입자인 경우, 제1 CHAP 챌린지값(CHAP Challenge)을 포함하는 가입자 정보 응답(SubsInfo Response)를 상기 패킷 데이터 서빙 노드(PDSN)로 전송하는 단계;
    상기 패킷 데이터 서빙 노드(PDSN)로부터 가입자 접속 정보, 제2 CHAP 챌린지값, 상기 사용자 단말기로부터 수신된 제1 CHAP 응답(CHAP Response)을 포함하는 접속 요청(Access Request)을 수신하는 단계;
    상기 가입자 접속 정보가 가입자 식별 정보(IMSI : International Mobile Subscriber Identity)를 포함하는지 여부를 판단하는 단계;
    가입자 식별 정보를 포함하지 않는 경우, PAP 인증을 수행하는 단계;
    가입자 식별 정보를 포함하는 경우, 상기 가입자 식별 정보에 상응하는 가입 자 인증키를 추출하는 단계;
    상기 사용자 단말기에 상응하는 단말기 식별 정보, 상기 가입자 인증키를 및 상기 제2 CHAP 챌린지값을 이용하여 제2 CHAP 응답을 생성하는 단계;
    상기 제1 CHAP 응답 및 상기 제2 CHAP 응답의 일치 여부를 판단하는 단계; 및
    상기 제1 CHAP 응답 및 상기 제2 CHAP 응답이 일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Access Accept)을 전송하는 단계
    를 포함하는 것을 특징으로 하는 사용자 단말기 인증 방법.
  11. 제10항에 있어서,
    상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 단계 이전에,
    상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값의 일치 여부를 판단하는 단계; 및
    상기 제1 CHAP 챌린지값(CHAP Challenge) 및 상기 제2 CHAP 챌린지값이 불일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 거절(Access Reject)을 전송하는 단계
    가 실행되는 것을 특징으로 하는 사용자 단말기 인증 방법.
  12. 사용자 단말기의 인증을 수행하는 고속 패킷 데이터 통신 시스템의 인증 서버(AAA : Authorization Authentication and Accounting)에 있어서,
    하나 이상의 인증 서비스 가입자 정보 및 각각의 인증 서비스 가입자 정보에 상응하는 가입자 인증키(A-Key)를 저장하는 저장부;
    패킷 데이터 서빙 노드(PDSN)으로부터 가입자 정보 요청(SubsInfo Request) 및 접속 요청(Access Request)을 수신하거나, 아이디 및 비밀번호를 수신하는 수신부-여기서, 상기 가입자 정보 요청은 가입자 번호를 포함하고, 상기 접속 요청은 가입자 식별 정보, 제1 CHAP 챌린지값, 상기 사용자 단말기로부터 수신된 제1 CHAP 응답(CHAP Response)을 포함함-;
    상기 가입자 번호에 상응하는 가입자가 인증 서비스 가입자인지 여부를 판단하는 가입자 판단부;
    인증 서비스 가입자가 아닌 경우에는 상기 패킷 데이터 서빙 노드(PDSN)를 경유하여 상기 사용자 단말기로 아이디 및 비밀번호 제공 요청을 전송하고 상기 아이디 및 비밀번호가 유효한 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Aceess Aceept)을 전송하며, 인증 서비스 가입자인 경우에는 제2 CHAP 챌린지값(CHAP Challenge)을 포함하는 가입자 정보 응답(SubsInfo Response)를 상기 패킷 데이터 서빙 노드(PDSN)로 전송하고, 상기 제1 CHAP 응답 및 제2 CHAP 응답이 일치하는 경우 상기 패킷 데이터 서빙 노드(PDSN)로 접속 승인(Access Accept)을 전송하는 전송부;
    상기 가입자 식별 정보에 상응하는 가입자 인증키를 추출하는 인증키 추출부;
    상기 사용자 단말기에 상응하는 단말기 식별 정보, 상기 가입자 인증키를 및 상기 제1 CHAP 챌린지값을 이용하여 상기 제2 CHAP 응답을 생성하는 생성부;
    상기 제1 CHAP 응답 및 상기 제2 CHAP 응답의 일치 여부를 판단하는 CHAP 응답 판단부; 및
    미리 저장된 가입자 정보를 이용하여 상기 아이디 및 비밀번호의 유효성 여부를 판단하는 PAP(Password Authentication Protocol) 인증 수행부를 포함하는 것을 특징으로 하는 인증 서버.
KR1020040015704A 2004-03-09 2004-03-09 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템 KR100578375B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040015704A KR100578375B1 (ko) 2004-03-09 2004-03-09 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040015704A KR100578375B1 (ko) 2004-03-09 2004-03-09 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20050090561A KR20050090561A (ko) 2005-09-14
KR100578375B1 true KR100578375B1 (ko) 2006-05-11

Family

ID=37272506

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040015704A KR100578375B1 (ko) 2004-03-09 2004-03-09 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100578375B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094067B (zh) * 2006-08-28 2010-05-12 中兴通讯股份有限公司 一种cdma系统中对用户终端进行鉴权的方法及其装置
KR101038096B1 (ko) * 2010-01-04 2011-06-01 전자부품연구원 바이너리 cdma에서 키 인증 방법
KR101954450B1 (ko) 2011-09-05 2019-05-31 주식회사 케이티 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체
WO2013036010A1 (ko) * 2011-09-05 2013-03-14 주식회사 케이티 내장 uicc의 인증정보를 이용한 인증방법과, 그를 이용한 프로비저닝 및 mno 변경 방법, 그를 위한 내장 uicc, mno 시스템 및 기록매체

Also Published As

Publication number Publication date
KR20050090561A (ko) 2005-09-14

Similar Documents

Publication Publication Date Title
US7515906B2 (en) Method of implementing authentication of high-rate packet data services
RU2372734C2 (ru) Способ и устройство для повторной аутентификации в системе сотовой связи
US7065340B1 (en) Arranging authentication and ciphering in mobile communication system
CN102396203B (zh) 根据通信网络中的认证过程的紧急呼叫处理
EP1672945A1 (en) UMTS-WLAN interworking system and authentication method therefor
US20070178885A1 (en) Two-phase SIM authentication
EP2103078B1 (en) Authentication bootstrapping in communication networks
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
CN110891271B (zh) 一种鉴权方法及装置
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
CN115835203A (zh) 网络安全管理的方法及装置
US7076799B2 (en) Control of unciphered user traffic
WO2006029384A2 (en) Method, apparatus and system for mutual authentication with modified message authentication code
WO2007097101A1 (ja) 無線アクセスシステムおよび無線アクセス方法
KR100578375B1 (ko) 고속 패킷 데이터 통신 시스템에서의 사용자 단말기 인증방법 및 시스템
US7904715B2 (en) Method for authenticating dual-mode access terminals
WO2020208294A1 (en) Establishing secure communication paths to multipath connection server with initial connection over public network
US20060095959A1 (en) System and method to provide umts and internet authentication
EP1176760A1 (en) Method of establishing access from a terminal to a server
Putz et al. Secure interoperation between 2G and 3G mobile radio networks
KR100723678B1 (ko) 1x EV-DO 패킷망에서 단말기의 복제를 방지하는 방법및 시스템
WO2004102883A1 (fr) Procede d&#39;authentification de l&#39;utilisateur
WO2024092529A1 (en) Determining authentication credentials for a device-to-device service
WO2018036514A1 (zh) 消息发送方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120501

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee