KR100589677B1 - 휴대 인터넷 시스템 및 이의 인증 방법 - Google Patents

휴대 인터넷 시스템 및 이의 인증 방법 Download PDF

Info

Publication number
KR100589677B1
KR100589677B1 KR1020030087094A KR20030087094A KR100589677B1 KR 100589677 B1 KR100589677 B1 KR 100589677B1 KR 1020030087094 A KR1020030087094 A KR 1020030087094A KR 20030087094 A KR20030087094 A KR 20030087094A KR 100589677 B1 KR100589677 B1 KR 100589677B1
Authority
KR
South Korea
Prior art keywords
authentication
base station
eap
data
user
Prior art date
Application number
KR1020030087094A
Other languages
English (en)
Other versions
KR20050053857A (ko
Inventor
조석헌
박애순
장성철
차재선
김경수
Original Assignee
삼성전자주식회사
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 삼성전자주식회사
Priority to KR1020030087094A priority Critical patent/KR100589677B1/ko
Publication of KR20050053857A publication Critical patent/KR20050053857A/ko
Application granted granted Critical
Publication of KR100589677B1 publication Critical patent/KR100589677B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 고속 휴대 인터넷 시스템 및 이의 인증 방법에 관한 것이다.
본 발명에 따르면, 단말이 기지국에 장치 인증 및 사용자 인증에 대한 요구를 하면, 기지국은 해당 단말에 대한 장치 인증을 직접 수행하고, 장치 인증이 성공하였을 경우 패킷 액세스 라우터를 통해 인증 서버로 단말의 사용자 인증을 요청한다. 단말과 인증 서버 사이의 사용자 인증 단계가 끝나면 기지국은 해당 단말의 사용자 인증과 관련된 인증 정보들을 인증 정보 공간에 저장하고 단말에게 인증 키 및 인증 부가 정보들을 전송한다.
이와 같이 본 발명에 따르면, 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지할 수 있다.
고속 휴대 인터넷 시스템, 기지국, 장치 인증, 사용자 인증.

Description

휴대 인터넷 시스템 및 이의 인증 방법 {A Personal Internet System and An Authentication Method for the Personal Internet System}
도 1은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망 구성도이다.
도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 프로토콜 구성도이다.
도 3은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 흐름도이다.
도 4a 및 도 4b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 MAC 메시지의 구성 요소를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망의 기지국에서 인증된 가입자에 대한 인증 정보를 저장하는 구조도이다.
본 발명은 고속 휴대 인터넷 및 이의 인증 방법에 관한 것으로서, 특히 고속 휴대 인터넷 시스템의 기지국에서 장치 및 사용자 인증을 수행하는 인증 운용 방법에 관한 것이다.
종래 휴대 인터넷 시스템의 인증과 관련한 기술로 IEEE 802.16 기반의 무선(Wireless) MAN(Metropolitan Area Network) 시스템과 IEEE 802.11기반의 무선(Wireless) LAN(Local Area Network) 시스템이 있다.
IEEE 802.16 기반의 무선 MAN 시스템은 X.509 인증서를 가지고 MAC(Medium Access Control) 계층에서 암호 키 관리(Privacy Key Manager; 이하 'PKM'이라 함) 메시지들을 통해 단말 장치(AT)에 대한 권한을 검증하고, 검증된 장치에 한해 무선 MAN 시스템에 초기 접속할 수 있도록 한다. 이 무선 MAN 시스템은 하나의 단말 장치를 여러 가입자가 동시에 사용할 수 있기 때문에 가입자에 대한 인증을 배제한 것이다. 따라서, IEEE 802.16 기반의 무선 MAN 시스템에 따르면, 권한이 검증된 장치를 통해 불법의 가입자가 서비스를 요청할 경우에 대한 인증이 불충분하다는 문제점이 있다.
이와 달리, IEEE 802.11 기반의 무선 LAN 시스템은 가입자 단말, 무선 접속 장치, 라우터, 인증 서버와의 상호 작용을 통하여 해당 사용자에 대한 권한을 검증하여, 서비스 수락 여부를 결정한다. 이 무선 LAN 시스템에 따르면, 무선 접속 장치와 인증 서버 사이에 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 사용하고, 또한 무선 접속 장치가 RADIUS 클라이언트 기능을 이용하여 인증 서버와 상호 작용함으로써 효율적인 사용자 인증을 수행하고 있다. 하지만, 이 시스템에서는 인증된 가입자가 부적합한 장치를 가지고 서비스를 요청할 경우를 대비한 인증 정책이 존재하지 않고 있다. 또한, 기지국에서 실시간으로 키를 분배, 저장, 유지하는 방법에 있어서도 탄력적이지 못하다는 문제점을 가지고 있다.
이처럼, IEEE 802.16 기반의 무선 MAN 시스템은 장치에 대한 인증만을 고려하고 있고, IEEE 802.11기반의 무선 LAN 시스템은 사용자 인증 기능만을 제공하기 때문에 보다 강력한 인증 기능을 지원하기 위해서는 두 인증 기능들을 서로 보완한 메커니즘이 필요하다.
본 발명이 이루고자 하는 기술적 과제는 상기에 기술한 바와 같은 종래 문제점을 해결하기 위한 것으로서, 본 발명은 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지하기 위한 것이다.
또한, 본 발명은 해당 가입자에 대한 장치 인증과 사용자 인증이 성공적으로 수행되었을 경우, 기지국이 해당 장치와 사용자와 관련된 다양한 인증 정보들을 해당 가입자들에게 실시간으로 분배하고 기지국 내에서 안정하게 저장함으로써 보다 효율적인 인증 정책이 이루어지도록 하기 위한 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 특징에 따른 휴대 인터넷 시스템의 인증방법은
기지국(AP), 패킷 액세스 라우터(PAR) 및 인증(AAA) 서버를 포함하는 휴대 인터넷 시스템에서 상기 기지국에 무선으로 접속되는 사용자 단말(AT)를 인증하는 휴대 인터넷 시스템의 인증방법으로서,
(a) 상기 기지국이 접속한 사용자 단말에 대한 장치 인증을 수행하는 단계;
(b) 상기 장치 인증이 성공한 경우, 기지국이 상기 패킷 액세스 라우터를 통 해 상기 인증 서버로 사용자 인증을 요청하는 단계; 및
(c) 상기 기지국이 상기 인증 서버로부터 사용자 인증 관련 정보를 수신하여, 수신된 정보를 상기 사용자 단말에 전송하는 단계를 포함한다.
한편, 본 발명의 다른 특징에 따른 휴대 인터넷 시스템은 사용자 단말에 대한 장치 인증 및 사용자 인증을 수행하는 휴대 인터넷 시스템으로서,
상기 사용자 단말에 대한 사용자 인증을 수행하고, 인증된 사용자에 대한 인증키를 생성하는 인증 서버;
상기 사용자 단말의 접속 및 서비스와 관련된 제어 기능을 수행하며, 접속된 상기 사용자 단말에 대한 장치 인증을 수행한 후, 장치 인증된 상기 사용자 단말에 대한 사용자 인증을 상기 인증 서버에 요청하여, 사용자 인증 관련 정보를 수신하여 상기 사용자 단말에 전송하는 기지국; 및
상기 기지국 및 상기 인증 서버에 네트워크를 통해 연결되며, 패킷 접속 라우팅 기능 및 모바일 인터넷 프로토콜의 외부 에이전트 기능을 수행하는 패킷 액세스 라우터를 포함한다.
본 발명에 따르면, 휴대 인터넷 시스템의 기지국이 휴대 인터넷 시스템 가입자의 장치에 대한 인증을 먼저 수행하고, 인증된 경우에 한해서만 사용자 인증의 실행을 요청함으로써, 모든 가입자들에게 효율적이고 안정적인 서비스를 제공할 수 있도록 한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상 세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
도 1은 본 발명의 실시예에 따른 고속 휴대 인터넷 시스템의 망 구조도이다.
본 발명의 실시예예 따른 휴대 인터넷 시스템 망(100)은 사용자 단말 (Access Terminal; 이하 'AT'라 함, 101), AT(101)의 접속 및 서비스와 관련된 모든 제어 기능을 수행하는 기지국(Access Point; 이하 'AP'라 함, 102), 패킷 접속 라우팅 기능 및 모바일(Mobile) 인터넷 프로토콜(IP; Internet Protocol)의 외부 에이전트(FA; Foreign Agent) 기능을 수행하는 패킷 액세스 라우터(Packet Access Router; 이하 'PAR'라 함, 103)과 인증, 권한 검증 및 인증 키 생성 기능을 수행하는 인증 서버(Authentication, Authorization, Accounting; 이하 'AAA'라 함, 104)를 포함한다.
휴대 인터넷 시스템 망(100)은 인증 서버를 통하여 타 사업자와도 연동이 가능할 수 있다. 이를 위해서 본 발명의 실시예에 따른 인증 서버는 국제표준기관인 IETF(Internet Engineer Task Force)에서 표준화 진행중인 다이아미터(Diameter) 프로토콜을 사용한다. 본 발명의 실시예에서 다루는 인증 메커니즘은 AT(101), AP(102), PAR(103)과 AAA(104)들 사이의 상호 작용에 의하여 실행된다.
도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 프로토콜 스택의 구성도이다.
인증 절차를 수행하기 위해 사용자 단말(AT; 101)에는 무선 구간에서 정의하는 IEEE 802.16기반의 물리 계층 프로토콜(PHY, 201)과 MAC 계층 프로토콜(202)이 탑재되고, 휴대 인터넷 시스템 망에서 사용자의 이동성 및 보안의 강도를 높이기 위한 사용자 인증 데이터를 전달하기 위한 확장 가능한 인증 프로토콜(Extensible Authentication Protocol; 이하 'EAP'라 함, 203)과 상위 계층의 표준화된 인증 프로토콜인 EAP-TLS(EAP-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS)(204)들이 탑재된다.
기지국(AP; 102)에는 사용자 단말(101)과 상호작용을 위한 프로토콜과 패킷 액세스 라우터(103)와 상호 작용하기 위한 프로토콜들이 탑재된다.
구체적으로 기지국(102)에는 단말과의 상호 작용을 위해 IEEE 802.16기반의 물리 계층 프로토콜(201)과 MAC 계층 프로토콜(202)이 탑재되고, 패킷 액세스 라우터(103)와 연동하기 위한 프로토콜로서 IEEE 802.3기반의 물리 계층인 제 1계층 프로토콜(L1, 205)과 제 2계층 프로토콜(L2, 206)을 비롯하여 인터넷 프로토콜(IP; 207)과 전달 계층으로 SCTP(Stream Control Transmission Protocol)또는 UDP(User Datagram Protocol)(208)가 탑재되며, 기지국(102)과 패킷 액세스 라우터(103) 사이에 협약된 내부 프로토콜인 ANAP(Access Network Application Protocol, 209) 프로토콜이 탑재된다.
패킷 액세스 라우터(103)에는 기지국(102)과 상호작용을 위한 프로토콜과 인증서버(104)와 상호 작용하기 위한 프로토콜들이 탑재된다.
패킷 액세스 라우터(103)에는 기지국(102)과 상호작용을 위해, 기지국과 마 찬가지로 IEEE 802.3 기반의 제1 계층 프로토콜(205)과 제2계층 프로토콜(206)이 탑재되고, IP(207), SCTP 또는 UDP(208), ANAP(209) 프로토콜이 탑재된다. 또한, 패킷 액세스 라우터(103)에는 휴대 인터넷 단말과의 상위 인증 프로토콜인 EAP-TLS 또는 EAP-TTLS 데이터를 전달하기 위해 EAP(203)이 탑재된다.
그리고, 패킷 액세스 라우터(103)에는 인증 서버와 상호 작용하기 위해, IEEE 802.3 기반의 제1 계층 프로토콜(205)과 제2 계층 프로토콜(206), IP(207), SCTP(210)들이 탑재되고, 다이아미터(Diameter) 프로토콜 관련 다이아미터 베이스(Diameter Base) 프로토콜 (211)과 다이아미터 응용(Diameter Application) 프로토콜(212)이 탑재된다.
인증 서버(104)에는 패킷 액세스 라우터(103)와의 연동을 위해, IEEE 802.3 기반의 제 1계층 프로토콜(205), 제2 계층 프로토콜(206), IP 프로토콜(206), SCTP 프로토콜(210), 다이아미터 베이스 프로토콜 (211)과 다이아미터 응용 프로토콜(212)들이 탑재되고, 휴대 인터넷 단말과의 사용자 인증을 위하여 EAP-TLS 또는 EAP-TTLS 프로토콜(204)이 탑재된다.
도 3은 본 발명의 실시예에 따라 휴대 인터넷 시스템 망에서 장치 인증과 사용자 인증을 위한 흐름도이다.
도 3에 도시한 바와 같이, 본 발명의 실시예에 따른 장치 인증 및 사용자 인증 방법은 액세스 단계(S300), 기본 기능 협상 단계(S310) 후에 수행된다.
휴대 인터넷 시스템의 가입자가 초기 접속을 할 때의 억세스 단계(S300)에서, 기지국(102)은 액세스 요청(RNG-REQ)을 단말(101)로부터 수신 받아 해당 단말 의 MAC 주소를 알게 되고(S301), 이 레인징 요청이 성공할 경우 해당 단말로 레이징 응답(RNG-RSP)을 송신한 후(S302) 해당 단말의 MAC 주소를 인증 정보 공간에 저장한다.
그리고 나서, 해당 단말의 기본 기능을 협상하기 위해서 단말(101)은 이에 대한 요청(SBC-REQ)를 하고 이를 수신한 기지국(102)는 응답(SBC-RSP)를 하는 것이다.
그리고 나서, 이하에서 설명하는 실질적인 장치 인증 및 사용자 인증 단계(S320)를 수행한다.
단말(101)은 MAC 프로토콜의 PKM-REQ 메시지 중 한 메시지인 EAP-Transfer Request 메시지를 기지국(102)에 전송하여 장치 인증과 사용자 인증을 동시에 요구한다 (S321). EAP-Transfer Request 메시지에는 장치 인증에 필요한 파라미터들과 사용자 인증에 필요한 EAP-TLS 또는 EAP-TTLS 데이터들이 포함되어 있다.
이 메시지를 수신한 기지국(102)은 인증 정보 공간을 참조하여 해당 단말의 MAC 주소를 가진 장치의 인증에 대한 성공 여부를 조사한다. 만약, 해당 단말 장치가 이미 인증된 것이라면 해당 단말에 대한 장치 인증을 하지 않고 바로 사용자 인증 절차를 수행하고, 인증되지 않은 것이면 해당 단말에 대한 장치 인증을 수행한다 (S322). 이는 하나의 장치를 다수의 사용자가 이용하였을 때 장치 인증은 단 한번만 수행함으로써 기지국에서 동일한 장치에 대한 반복적이고 비효율적인 장치 인증 수행을 줄이기 위한 것이다. 이때, 기지국은 장치 인증 데이터인 단말 제조업체의 인증서와 단말의 인증서를 가지고, 단말에 대한 장치 인증을 수행한다.
만일, 상기 단계 S322에서, 장치 인증이 실패하면 기지국(102)은 해당 단말(101)에게 MAC 프로토콜의 PKM-RSP 메시지 중의 한 메시지인 EAP-Transfer Reply 메시지를 통해 인증 실패를 알리게 된다 (S328).
이와 달리, 상기 단계 S322에서 해당 단말에 대한 장치 인증이 성공하면, 기지국(102)은 실질적인 사용자 인증을 인증 서버로 요청하는데, 이를 위해 기지국(102)은 단말(101)로부터 수신 받은 EAP-Transfer Request 메시지에 포함된 EAP-TLS 또는 EAP-TTLS 데이터를 패킷 액세스 라우터(103)에게 ANAP 프로토콜의 한 메시지를 이용하여 전달한다 (S323).
패킷 액세스 라우터(103)는 기지국(102)로부터 전달받은 EAP-TLS 또는 EAP-TTLS 데이터를 사용자 인증 수행 주체인 인증 서버(104)에게 다이아미터 프로토콜을 이용하여 송신한다 (S324). 이에 대한 응답으로 인증 서버(104)는 인증 데이터를 패킷 액세스 라우터(103)로 전송하고 (S325), 패킷 액세스 라우터(103)는 ANAP 프로토콜의 한 메시지를 통해 이 데이터를 기지국으로 전송하며 (S326), 기지국(102)은 EAP-Transfer Reply 메시지를 통해 EAP-TLS 또는 EAP-TTLS 인증 데이터를 단말(101)로 전송한다 (S327).
해당 단말에 대한 사용자 인증은 앞서 기술한 단계(S321, S323~S327)들을 여러 번 거치면서 수행되며, 최종적으로 인증 서버(104)에서의 사용자 인증 결과가 성공이면, 마지막 사용자 인증 단계 (S325~S327)를 거치면서 인증 키가 EAP-TLS 또는 EAP-TTLS 인증 데이터 안에 암호화되어 단말(101)로 전달된다. 이 때 인증 서버(104)에서 기지국(102)까지 전달되는 키를 포함한 인증 정보들이 인터넷 보안 프로토콜(Internet Protocol Security protocol; IPSec)로 암호화되어 전송되기 때문에, 안전성이 보장된다.
이 인증 정보들을 수신한 기지국(102)은 해당 인증키에 대한 식별자로 인증 키 일련 번호를 키 관리 메커니즘에 따라 부여한다. 이 때 기지국(102)은 인증키와 해당 인증키의 유효 시간과 일련 번호들을 인증 정보 공간에 저장한다. 이후, 기지국(102)은 사용자 인증과 관련된 부가 정보만을 최종적인 EAP-Transfer Reply 메시지를 통해 단말(101)로 전송한다 (S327). 기지국은 해당 단말의 인증키가 EAP-TLS 또는 EAP-TTLS 인증 데이터안에 암호화되어 있기 때문에 이 인증 데이터 또한 단말로 전송하면 된다.
단말이 이 메시지를 수신 받고 EAP-TLS 또는 EAP-TTLS 계층으로부터 인증키를 받으면 사용자 인증 절차도 끝나면서 해당 단말에 대한 모든 인증 절차가 종료된다.
이상에서 설명한 바와 같이, 본 발명의 실시예의 휴대 인터넷 시스템의 인증 절차에 따르면, 먼저 단말(101)이 기지국(102)에게 장치 인증 및 사용자 인증에 대한 요구를 하면, 기지국(102)은 장치 인증에 대한 수행 여부를 인증 정보 공간을 참조하여 결정한다. 이때, 기지국(102)은 해당 단말에 대한 장치 인증이 되어 있지 않은 상태라면 장치 인증을 직접 수행하고, 장치 인증이 성공하였을 경우 패킷 액세스 라우터(103)를 통해 인증 서버(104)로 단말의 사용자 인증을 요청한다. 단말(101)과 인증 서버(104) 사이의 사용자 인증 단계가 끝나면 기지국(102)은 해당 단말의 사용자 인증과 관련된 인증 정보들을 인증 정보 공간에 저장하고 단말(101)에게 인증 키 및 인증 부가 정보들을 전송하면서 휴대 인터넷 시스템 망에서의 장치 인증 및 사용자 인증 절차가 끝나게 되는 것이다.
도 4a 및 도 4b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서의 장치 인증 및 사용자 인증을 위한 MAC 메시지들의 구성요소를 나타내는 도면이다.
도 4a는 장치 인증 및 사용자 인증을 요구하기 위해 단말(101)에서 기지국(102)으로 전송하는 EAP-Transfer Request 메시지에 포함되어 있는 여러 파라미터를 나타내는 도면이다.
본 발명의 실시예에 따른 기지국(102)은 도 4a에 도시한 EAP-Transfer Request 메시지의 파라미터들 중에서 장치 인증 데이터인 CA-Certificate(401)과 SS-Certificate(402)를 이용하여 해당 단말의 장치 인증을 수행한다. 그리고, Security-Capabilities(403)과 SAID(404)들은 인증 절차 후 기지국과 단말 사이의 제어 메시지나 트래픽 송·수신 때 필요한 알고리즘을 위한 부가 파라미터들이다. EAP Payload(405)에는 사용자 인증시 필요한 EAP-TLS 또는 EAP-TTLS의 인증 데이터들을 포함하고 있으며 이는 기지국(102)에서 해석하지 않고 패킷 액세스 라우터(103)를 통해 인증 서버로 전달한다. 즉, 기지국(102)에서 CA-Certificate 파라미터(401)와 SS-Certificate 파라미터(402)를 이용해 장치 인증에 성공하면 단말(101)로부터 전달받은 EAP Payload를 패킷 액세스 라우터(103)를 경유하여 인증 서버(104)로 전송함으로써 인증서버가 수신받은 EAP-TLS 또는 EAP-TTLS 인증 데이터를 이용해 사용자 인증을 수행하도록 요청하는 것이다. 특히, 첫 번째 EAP-Transfer Request 메시지에는 이와 같은 모든 파라미터들이 반드시 포함되어야 한다. 그렇지 않은 경우에는 기지국은 장치 인증 수행에 앞서 인증 실패로 처리하게 된다.
도 4b는 기지국에서 단말로 장치 인증 및 사용자 인증 절차 과정 중에서 송신하는 EAP-Transfer Reply 메시지에 포함되어 있는 여러 파라미터를 나타내는 도면이다.
도 4b를 참조하면, 기지국(102)는 EAP Result Code(411)를 이용하여 인증의 성공 또는 실패를 단말에게 통보하게 되고, Error Code(412) 필드는 EAP Result Code값이 실패일 때만 존재하며 인증 실패 이유에 대해서 설명해 준다. Temporary Key Sequence Number(413)는 해당 인증키에 대해 인증 서버가 임시로 지정해 준 일련 번호이다. Key Sequence Number(414)는 인증 서버로부터 부여 받은 단말의 인증 키에 해당하는 기지국에서 생성하는 일련 번호이고, Key Lifetime(415)는 인증키에 해당하는 유효 시간을 의미한다. SA Descriptor(416)는 EAP-Transfer Request 메시지의 Security-Capabilities 필드의 협상 결과를 포함하고 있다. EAP Payload(417)는 인증 서버에서 패킷 액세스 라우터를 통해 기지국으로 전달해온 사용자 인증과 관련된 인증 데이터로써 기지국에서는 이를 해석하지 않고 단말로 전송한다. 인증 절차에 있어서 마지막 EAP-Transfer Reply 메시지는 이러한 모든 필드들이 포함해야 하고 특히 EAP Payload에는 해당 단말의 인증키가 암호화되어 있다.
본 발명의 실시예에 따르면 도 4a 및 도 4b에 도시한 두 개의 MAC 메시지를 통해 휴대 인터넷 시스템에서 기지국은 장치 인증을 수행하고 인증 서버에 사용자 인증 수행 요청을 할 수 있는 것이다.
도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망의 기지국에서 인증 된 가입자에 대한 인증 정보 공간 구조도이다.
도 3에 도시된 단말의 액세스 단계(S300)가 성공하면, 기지국은 해당 단말의 User Context ID(501)를 할당하고, 이 User Context ID(501)와 AT MAC Address(502)를 인증 정보 공간에 저장한다. 이후 해당 단말(101)이 인증 단계까지 끝나게 되면 기지국은 마지막 EAP-Transfer Reply 메시지를 단말로 전송하기 전에 해당 단말의 Key Sequence Number(503), Key Lifetime(504), Authorization Key(505)값들도 인증 정보 공간에 저장한다. 특히, 인증키를 저장할 시에는 암호화하여 저장한다. 이 때 하나의 기지국에서 인증 정보 공간에 저장할 수 있는 단말의 수는 m개까지이며, 하나의 단말에 n개까지의 인증 키와 그에 따른 인증 정보들을 인증 정보 공간에 저장할 수 있다. 도 3에 도시된 기지국의 장치 인증 수행에 앞서서 이 인증 정보 공간을 참조하여 해당 단말의 장치가 인증되어 있는지를 확인할 수 있다. 인증된 장치라면 기지국은 해당 단말에 대한 장치 인증을 수행하지 않고 인증 서버로 사용자 인증 수행을 요청한다.
이상에서 설명한 본 발명의 실시예에 따르면, 다음과 같은 효과가 있다.
첫째, 휴대 인터넷 시스템의 가입자에 대한 장치 인증과 사용자 인증을모두 수행함으로써 보다 비도 높은 인증과 보안을 유지할 수 있다.
둘째, 휴대 인터넷 시스템의 기지국이 인증 정보 공간 개념을 이용함으로써 이미 인증된 장치에 대한 재 인증을 하지 않기 때문에 보다 효율적으로 인증 절차를 수행할 수 있다.
셋째, 기지국이 해당 단말에 대한 장치 인증이 성공하였을 경우만 인증 서버 로 사용자 인증 수행을 요청함으로써 단말에 대한 계층적이고 체계적인 인증 절차를 수행한다.
넷째, 사용자 인증은 기지국의 MAC 계층이 아닌 인증 서버의 EAP-TLS 또는 EAP-TTLS 계층에서 수행하고 기지국은 단순히 인증 데이터를 단말과 인증 서버로 전달해주는 중계 기능 역할을 함으로써 기지국에서는 사용자 인증에 대한 부하 부담을 줄일 수 있다.
다섯째, 해당 단말에 대한 모든 인증 단계가 성공적으로 끝났을 경우 인증과 관련된 정보들을 기지국에서 인증 정보 공간에 저장함으로써 모든 인증과 관련되어 보다 효율적인 제어 및 관리를 할 수 있다.
여섯째, 인증 정보 공간에 인증키를 저장할 때 암호화를 함으로써 기지국 내부에서도 단말과 기지국 사이의 인증키에 대한 보안을 더욱 강화할 수 있다.
이상에서는 본 발명의 실시예에 대하여 상세히 설명하였으나, 본 발명은 상기한 실시예에만 한정되는 것은 아니며 그 외의 다양한 변형이나 변경이 가능하다.
이상에서 설명한 바와 같이, 본 발명에 의하면 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지할 수 있다. 또한, 본 발명에 따르면 해당 가입자에 대한 장치 인증과 사용자 인증이 성공적으로 수행되었을 경우, 기지국이 해당 장치와 사용자와 관련된 다양한 인증 정보들을 해당 가입자들에게 실시간으로 분배하고 기지국 내에서 안정하게 저장함으로써 보다 효율적으로 인증을 수행할 수 있다.

Claims (21)

  1. 기지국(AP), 패킷 액세스 라우터(PAR) 및 인증(AAA) 서버를 포함하는 휴대 인터넷 시스템에서 상기 기지국에 무선으로 접속되는 사용자 단말(AT)을 인증하는 휴대 인터넷 시스템의 인증방법에 있어서,
    (a) 상기 기지국이 상기 사용자 단말로부터 장치 인증 데이터 및 사용자 인증 데이터를 포함하는 메시지를 수신하는 단계;
    (b) 상기 기지국이 상기 장치 인증 데이터로 상기 사용자 단말에 대한 장치 인증을 수행하는 단계;
    (c) 상기 장치 인증이 성공한 경우, 상기 기지국이 상기 패킷 액세스 라우터에 상기 사용자 인증 데이터를 전송하여 상기 인증 서버로 사용자 인증을 요청하는 단계; 및
    (d) 상기 기지국이 상기 패킷 액세스 라우터를 통해 상기 인증 서버로부터 사용자 인증 관련 정보를 수신하여, 수신한 정보를 상기 사용자 단말에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.
  2. 제1항에 있어서, 상기 단계 (b)는
    상기 기지국이 인증 정보 공간을 참조하여, 상기 사용자 단말이 이미 장치 인증된 단말인지 여부를 확인하는 단계;
    상기 확인 결과 상기 사용자 단말이 이미 장치 인증된 단말인 경우, 장치 인증의 수행 없이 장치 인증의 성공으로 판단하는 단계; 및
    상기 확인 결과 상기 사용자 단말이 이미 장치 인증된 단말이 아닌 경우, 상기 사용자 단말에 대한 장치 인증을 수행하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.
  3. 제1항 또는 제2항에 있어서, 상기 단계 (b)에서
    상기 기지국은 단말 제조 업체의 인증서와 단말의 인증서를 이용하여 상기 접속한 사용자 단말에 대한 장치 인증을 수행하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  4. 제1항 또는 제2항에 있어서, 상기 단계 (b)에서
    상기 기지국은 사용자 단말의 장치 인증이 실패한 경우, 상기 사용자 단말에 장치 인증 실패와 그 이유를 통보하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  5. 제1항에 있어서, 상기 단계 (c)는
    상기 장치 인증이 성공한 경우, 상기 기지국은 상기 사용자 단말로부터 전송된 상위 계층의 표준화된 인증 프로토콜 데이터를 상기 패킷 액세스 라우터를 통해 상기 인증 서버로 전송하여 사용자 인증을 요청하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  6. 제5항에 있어서,
    상기 상위 계층의 표준화된 인증 프로토콜로 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS)를 수용하는 휴대 인터넷 시스템의 인증방법.
  7. 제6항에 있어서, 상기 단계 (c)는
    상기 기지국이 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 기지국과 상기 패킷 액세스 라우터간의 내부 프로토콜의 메시지를 이용하여 상기 패킷 액세스 라우터로 전송하는 단계; 및
    상기 패킷 액세스 라우터가 수신된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 인증서버에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.
  8. 제6항 또는 제7항에 있어서, 상기 단계 (c)에서
    상기 기지국은 상기 사용자 단말로부터 전송된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 해석하지 않고, 상기 패킷 액세스 라우터를 통해 상기 인증 서버에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  9. 제1항에 있어서, 상기 단계 (d)는
    상기 기지국이 상기 인증 서버가 상위 계층의 표준화된 인증 프로토콜 데이터를 이용하여 상기 패킷 액세스 라우터를 통해 전송한 상기 사용자 인증 관련 정보를 수신하여, 상기 사용자 인증 관련 정보를 사용자 단말에게 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  10. 제9항에 있어서,
    상기 상위 계층의 표준화된 인증 프로토콜은 EAP-TLS 또는 EAP-TTLS인 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  11. 제10항에 있어서, 상기 단계 (d)에서,
    상기 기지국은 MAC 프로토콜의 PKM-RSP 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  12. 제10항에 있어서, 상기 단계 (d)는
    상기 인증 서버가 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 패킷 액세스 라우터로 전송하는 단계;
    상기 패킷 액세스 라우터가 상기 수신된 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 기지국과 상기 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 상기 기지국으로 전송하는 단계; 및
    상기 기지국이 PKM-RSP MAC 메시지의 내부 메시지인 EAP-Transfer Reply 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 사용자 단말로 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.
  13. 제11항 또는 제12항에 있어서, 상기 단계 (d)에서
    상기 기지국은 상기 인증 서버로부터 전송된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 해석하지 않고, 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  14. 제1항에 있어서, 상기 단계(d)는
    상기 인증 서버에서의 사용자 인증 결과가 성공인 경우, 상기 기지국이 상기 인증서버로부터 인증 키를 포함한 인증정보를 수신하여, 수신된 인증 키를 상기 사용자 단말로 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  15. 제14항에 있어서,
    상기 인증키는 EAP-TLS 데이터 또는 EAP-TTLS 데이터에 암호화되어 상기 인증 서버로부터 전송되는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  16. 제14항 또는 제15항에 있어서,
    상기 단계 (d)는
    상기 기지국이 상기 인증 서버로부터 상기 사용자 단말에 대한 인증 키를 포함하는 인증정보를 수신하는 단계;
    상기 인증키, 해당 인증키의 유효시간, 일련 번호를 포함한 인증정보를 인증 정보 공간에 저장하는 단계; 및
    상기 기지국이 상기 인증서버로부터 수신된 인증키와 부가 인증정보를 상기 사용자 단말에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.
  17. 제16항에 있어서,
    상기 기지국은 EAP-Transfer Reply 메시지를 통해 상기 부가 인증 정보를 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.
  18. 사용자 단말에 대한 장치 인증 및 사용자 인증을 수행하는 휴대 인터넷 시스템에 있어서,
    상기 사용자 단말에 대한 사용자 인증을 수행하고, 인증된 사용자에 대한 인증키를 생성하는 인증 서버;
    상기 사용자 단말의 접속 및 서비스와 관련된 제어 기능을 수행하며, 접속된 상기 사용자 단말에 대한 장치 인증을 수행한 후, 장치 인증된 상기 사용자 단말에 대한 사용자 인증을 상기 인증 서버에 요청하여, 사용자 인증 관련 정보를 수신하여 상기 사용자 단말에 전송하는 기지국; 및
    상기 기지국 및 상기 인증 서버에 네트워크를 통해 연결되며, 패킷 접속 라우팅 기능 및 모바일 인터넷 프로토콜의 외부 에이전트 기능을 수행하는 패킷 액세스 라우터를 포함하는 휴대 인터넷 시스템.
  19. 제18항에 있어서,
    상기 기지국은 해당 단말의 ID, MAC 어드레스, 상기 사용자 인증 관련 정보 를 저장하고 있는 인증 정보 공간을 가지는 휴대 인터넷 시스템.
  20. 제19항에 있어서,
    상기 기지국은 인증 정보 공간을 참조하여 접속된 사용자 단말이 이미 장치 인증된 단말인지 여부를 확인하여 이미 장치 인증된 단말인 경우, 장치인증수행 없이 상기 단말에 대한 사용자 인증을 상기 패킷 액세스 라우터를 통해 상기 인증서버에 요청하는 것을 특징으로 하는 휴대 인터넷 시스템.
  21. 제18항 내지 제20항 중 어느 한 항에 있어서,
    상기 기지국은 EAP-TLS 데이터 또는 EAP-TTLS 데이터를 상기 패킷 액세스 라우터를 통해 상기 인증 서버로 전송하여 사용자 인증을 요청하는 것을 특징으로 하는 휴대 인터넷 시스템.
KR1020030087094A 2003-12-03 2003-12-03 휴대 인터넷 시스템 및 이의 인증 방법 KR100589677B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030087094A KR100589677B1 (ko) 2003-12-03 2003-12-03 휴대 인터넷 시스템 및 이의 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030087094A KR100589677B1 (ko) 2003-12-03 2003-12-03 휴대 인터넷 시스템 및 이의 인증 방법

Publications (2)

Publication Number Publication Date
KR20050053857A KR20050053857A (ko) 2005-06-10
KR100589677B1 true KR100589677B1 (ko) 2006-06-15

Family

ID=37249268

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030087094A KR100589677B1 (ko) 2003-12-03 2003-12-03 휴대 인터넷 시스템 및 이의 인증 방법

Country Status (1)

Country Link
KR (1) KR100589677B1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100600605B1 (ko) * 2004-11-03 2006-07-13 한국전자통신연구원 휴대 인터넷 시스템의 사용자 및 단말 데이터 관리 장치및 방법
KR100667284B1 (ko) * 2005-02-24 2007-01-12 삼성전자주식회사 네트워크 시스템상의 인증방법 및 그 시스템
KR100704677B1 (ko) 2005-03-17 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템에서의 단말 보안 관련 파라미터협상 방법
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
KR101151029B1 (ko) * 2005-12-08 2012-06-13 한국전자통신연구원 휴대 인터넷 상의 다단계 인증 및 서비스 승인 시스템 구현방법
CN100369446C (zh) * 2006-02-28 2008-02-13 西安西电捷通无线网络通信有限公司 接入点的安全接入协议符合性测试方法及其系统
KR100730561B1 (ko) * 2006-04-25 2007-06-20 포스데이타 주식회사 휴대 인터넷 단말기의 네트워크 진입 동작을 제어하는 방법및 시스템과, 상기 휴대 인터넷 단말기
KR101201668B1 (ko) 2006-07-01 2012-11-15 삼성전자주식회사 광역 망에서의 방송 서비스 방법
KR100864902B1 (ko) * 2007-04-17 2008-10-22 성균관대학교산학협력단 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체
KR100972743B1 (ko) * 2007-10-11 2010-07-27 숭실대학교산학협력단 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법

Also Published As

Publication number Publication date
KR20050053857A (ko) 2005-06-10

Similar Documents

Publication Publication Date Title
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
KR100762644B1 (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US20050254653A1 (en) Pre-authentication of mobile clients by sharing a master key among secured authenticators
US8380980B2 (en) System and method for providing security in mobile WiMAX network system
US8433286B2 (en) Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR20050064119A (ko) 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법
TW200830901A (en) Handoff method of mobile device utilizing dynamic tunnel
WO2006020329A2 (en) Method and apparatus for determining authentication capabilities
JP2008529368A (ja) 通信システムにおけるユーザ認証及び認可
US20070165582A1 (en) System and method for authenticating a wireless computing device
KR100907825B1 (ko) 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법
US7715562B2 (en) System and method for access authentication in a mobile wireless network
KR100589677B1 (ko) 휴대 인터넷 시스템 및 이의 인증 방법
KR20100101887A (ko) 통신시스템에서 인증 방법 및 시스템
KR101718096B1 (ko) 무선통신 시스템에서 인증방법 및 시스템
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
US8516555B2 (en) Method and system for authenticating pay-per-use service using EAP
KR100527634B1 (ko) 휴대 인터넷 시스템에서 인증 및 인증 실패에 따른 기지국운용 방법
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
WO2014117524A1 (zh) Wlan接入网络中传递成对主密钥的方法和系统
KR100554520B1 (ko) 휴대 인터넷 시스템의 사용자 인증 및 보안 키 분배 방법
KR100729729B1 (ko) 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법
KR100495817B1 (ko) 무선망에서의 사용자 인증 처리 시스템 및 그 방법
TWI448128B (zh) 用於雙堆疊操作互通授權的方法及裝置

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130520

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160519

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170519

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180517

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 14