KR100611577B1 - Authenticating method in complex mode mobile terminal and mobile terminal using the same - Google Patents

Authenticating method in complex mode mobile terminal and mobile terminal using the same Download PDF

Info

Publication number
KR100611577B1
KR100611577B1 KR1020030095020A KR20030095020A KR100611577B1 KR 100611577 B1 KR100611577 B1 KR 100611577B1 KR 1020030095020 A KR1020030095020 A KR 1020030095020A KR 20030095020 A KR20030095020 A KR 20030095020A KR 100611577 B1 KR100611577 B1 KR 100611577B1
Authority
KR
South Korea
Prior art keywords
mobile terminal
packet
authentication
mobile
acknowledgment data
Prior art date
Application number
KR1020030095020A
Other languages
Korean (ko)
Other versions
KR20050063602A (en
Inventor
박순기
송평중
박지수
백승권
송재수
남상우
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030095020A priority Critical patent/KR100611577B1/en
Publication of KR20050063602A publication Critical patent/KR20050063602A/en
Application granted granted Critical
Publication of KR100611577B1 publication Critical patent/KR100611577B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Abstract

이동 단말기간 중계 기능을 갖는 복합 기능 이동 단말기에서의 인증 방법을 제안한다. 이를 위해 인증받지 못한 이동 단말기가 기 인증받은 이동 단말기를 선택하여 사전 인증을 받은 후 선택한 이동 단말기로 인증 요구 패킷을 전송하는 사전 인증 방법이 제공된다. 또한, 데이터 패킷인 경우에 네트워크 키를 사용한 검증을 통하여 이동 단말기간에 인증을 하는 방법이 제공된다. 이와 같이 하면, 불법적인 이동 단말기로부터의 서비스 거부 공격에 대하여 불법적인 패킷 유입을 차단할 수 있고 불필요한 인증 요구 패킷을 저감시킬 수 있다.We propose an authentication method in a multi-functional mobile terminal having a relay function between mobile terminals. To this end, a pre-authentication method is provided in which an unauthenticated mobile terminal selects a pre-authenticated mobile terminal, receives pre-authentication, and transmits an authentication request packet to the selected mobile terminal. In addition, in the case of a data packet, a method for authenticating between mobile terminals through verification using a network key is provided. In this way, an illegal packet inflow can be prevented against a denial of service attack from an illegal mobile terminal, and unnecessary authentication request packets can be reduced.

인증, 혼종 네트워크, 중계, 셀룰러, 사전 인증, ICD, 인증서Authentication, hybrid network, relay, cellular, pre-authentication, ICD, certificate

Description

복합 기능 이동 단말기에서의 인증 방법 및 이를 이용한 이동 단말기 {AUTHENTICATING METHOD IN COMPLEX MODE MOBILE TERMINAL AND MOBILE TERMINAL USING THE SAME}Authentication method in composite function mobile terminal and mobile terminal using same {AUTHENTICATING METHOD IN COMPLEX MODE MOBILE TERMINAL AND MOBILE TERMINAL USING THE SAME}

도 1은 본 발명의 실시예에 따른 논리적 혼종 네트워크를 나타내는 도면이다. 1 is a diagram illustrating a logical hybrid network according to an embodiment of the present invention.

도 2는 본 발명의 제1 실시예에 따른 패킷 인증 방법의 개념을 나타내는 도면이다. 2 is a diagram illustrating the concept of a packet authentication method according to a first embodiment of the present invention.

도 3은 본 발명의 제1 실시예에 따른 중계 이동 단말기에서의 패킷 인증 방법을 설명하는 흐름도이다.3 is a flowchart illustrating a packet authentication method in a relay mobile terminal according to a first embodiment of the present invention.

도 4는 목적지 이동 단말기에서의 패킷 인증 방법을 설명하는 흐름도이다. 4 is a flowchart illustrating a packet authentication method in a destination mobile terminal.

도 5는 본 발명의 제2 실시예에 따른 사전 인증 방법의 개념을 나타내는 도면이다. 5 is a diagram illustrating the concept of a pre-authentication method according to a second embodiment of the present invention.

도 6은 본 발명의 제2 실시예에 따른 사전 인증 방법을 설명하는 흐름도이다. 6 is a flowchart illustrating a pre-authentication method according to a second embodiment of the present invention.

도 7은 본 발명의 제3 실시예에 따른 인증 방법을 설명하는 도면이다. 7 is a diagram for explaining an authentication method according to a third embodiment of the present invention.

본 발명은 복합 기능 이동 단말기에서의 인증 방법 및 이를 이용한 이동 단말기에 관한 것으로, 특히 이동 단말기간 중계 기능을 갖는 이중 모드 이동 단말기에서의 인증 방법에 관한 것이다. The present invention relates to an authentication method in a multi-function mobile terminal and a mobile terminal using the same, and more particularly, to an authentication method in a dual mode mobile terminal having a relay function between mobile terminals.

복합 기능 이동 단말기는 이동 통신 기능 이외에 이동 단말기간 중계 기능 등을 갖는 이동 단말기이다. 이러한 복합 기능 이동 단말기를 위한 논리적 혼종 네트워크(hybrid network)는 셀룰러 네트워크와 같은 이동 통신 네트워크와 애드혹(adhoc) 네트워크와 같은 이동 단말기간 중계 네트워크가 혼재되어 있다. The composite function mobile terminal is a mobile terminal having a relay function between mobile terminals in addition to the mobile communication function. The logical hybrid network for such a multi-functional mobile terminal is a mixture of a mobile communication network such as a cellular network and a relay network between mobile terminals such as an adhoc network.

이러한 논리적 혼종 네트워크에서는 불법 이동 단말기가 패킷을 중계 인터페이스로 방송함으로써 혼종 네트워크로 패킷을 전송할 수 있다. 이러한 패킷 전송은 무선 대역폭을 낭비시키고 패킷을 중계하는 이동 단말기에 불필요한 부하를 가한다. 이러한 불법 패킷이 혼종 네트워크로 유입되는 것을 서비스 거부(DoS, denial of service) 공격이라 하는데, 서비스 거부 공격은 패킷 전송 동안 또는 이동 단말기의 인증 과정 동안에 발생할 수 있다. In such a logical hybrid network, an illegal mobile terminal may transmit a packet to the hybrid network by broadcasting the packet through a relay interface. This packet transmission wastes wireless bandwidth and places unnecessary load on the mobile terminal relaying the packets. The introduction of such illegal packets into a hybrid network is called a denial of service (DoS) attack. A denial of service attack may occur during packet transmission or during authentication of a mobile terminal.

또한, 불법 이동 단말기 사용자가 서비스 거부 공격을 시작하기 위해서 라우트 요구 패킷을 이용할 수 있으므로, 이동 단말기는 라우트 설정 프로세스를 실행하기 전에 인증 프로세스를 먼저 수행하여야 한다. 그러므로 많은 이동 단말기가 패킷을 동시에 받고 이를 다른 라우트로 전송하기 때문에, 논리적 혼종 네트워크에서 이동 단말기는 AAA(authentication, authorization and accounting) 서버 또는 접속 스테이션(access station)에 불필요한 인증 요구 패킷을 방송(broadcast)한 다. 이러한 불필요한 인증 요구 패킷에 의해 네트워크 자원이 낭비될 뿐만 아니라 AAA 서버에 과도한 부하가 발생한다. In addition, since the illegal mobile terminal user can use the route request packet to start a denial of service attack, the mobile terminal must first perform the authentication process before executing the route setting process. Therefore, because many mobile terminals receive packets at the same time and send them to different routes, in a logical hybrid network the mobile stations broadcast unnecessary authentication request packets to an authentication, authorization and accounting (AAA) server or access station. do. This unnecessary authentication request packet not only wastes network resources, but also causes excessive load on the AAA server.

이와 같이 논리적 혼종 네트워크에서 종래의 패킷 인증 기술(end to end encryption, RFC2402, IP authentication header)은 서비스 거부 공격에 의한 인증 요구 패킷의 유입을 잘 차단할 수 없으며, 패킷이 중간에 변경되는 경우에 합법적인 이동 단말기에 의한 수정 패킷의 감지 혹은 발신한 이동 단말기로 가장하는(masquerading) 이동 단말기의 감지에 효과적이지 못하다.As such, the conventional end-to-end encryption (RFC2402, IP authentication header) in a logical hybrid network cannot prevent the intrusion of the authentication request packet due to a denial of service attack and is legal when the packet is changed in the middle. It is not effective for detecting a modified packet by a mobile terminal or detecting a mobile terminal masquerading to the originating mobile terminal.

또한, 논리적 혼종 네트워크에서 종래의 이동 단말기 인증 기술(terminal authentication, 3GPP technical specification group services and system aspects, 3G security, security architecture)은 불필요한 인증 요구 패킷의 발생을 막지 못하며 서비스 거부 공격에 의한 인증 요구 패킷의 유입을 차단할 수 없다.In addition, in the logical hybrid network, the conventional mobile terminal authentication technology (terminal authentication, 3GPP technical specification group services and system aspects, 3G security, security architecture) does not prevent unnecessary authentication request packet generation, Inflow cannot be blocked.

본 발명이 이루고자 하는 기술적 과제는 서비스 거부 공격에 의한 인증 요구 패킷의 유입을 차단할 수 있는 인증 방법을 제공하는 것이다. The technical problem to be achieved by the present invention is to provide an authentication method that can block the inflow of the authentication request packet due to a denial of service attack.

또한, 본 발명은 합법적인 이동 단말기에 의한 패킷 수정 감지 및 발신 이동 단말기로 가장하는 불법적인 이동 단말기를 감지할 수 있는 인증 방법을 제공하는 것을 그 기술적 과제로 한다. Another object of the present invention is to provide an authentication method capable of detecting packet modification by a legitimate mobile terminal and detecting an illegal mobile terminal disguised as an outgoing mobile terminal.

본 발명이 이루고자 하는 또다른 기술적 과제는 불필요한 인증 요구 패킷의 발생을 막을 수 있는 인증 방법을 제공하는 것이다. Another technical problem to be achieved by the present invention is to provide an authentication method that can prevent the generation of unnecessary authentication request packets.

이러한 과제를 해결하기 위해, 본 발명은 합법적인 이동 단말기간에 공유되는 정보를 이용하여 패킷을 검증하고, 기 인증받은 이동 단말기를 통하여 사전 인증을 받는다. In order to solve this problem, the present invention verifies a packet by using information shared between legitimate mobile terminals, and is pre-authenticated through a pre-certified mobile terminal.

본 발명의 한 특징에 따르면 이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기에서의 인증 방법이 제공된다. 본 발명의 인증 방법은 a) 제1 이동 단말기가 제2 이동 단말기로부터 제1 패킷 확인 데이터를 포함하는 패킷을 수신하는 단계; b) 상기 제1 이동 단말기가 제2 패킷 확인 데이터를 계산하여 상기 제1 패킷 확인 데이터와 비교하는 단계; 및 c) 상기 b) 단계에서의 비교 결과가 일치하면 상기 제1 이동 단말기는 상기 a) 단계에서 수신된 패킷을 다음 노드 또는 상위 계층으로 전송하는 단계를 포함한다. 이때, 제1 및 제2 패킷 확인 데이터는 합법적인 이동 단말기 사이에서 공유되는 정보에 의해 생성된다. According to one aspect of the present invention there is provided an authentication method in a multi-function mobile terminal having a mobile communication function and a relay function between mobile terminals. The authentication method of the present invention comprises the steps of: a) a first mobile terminal receiving a packet including first packet acknowledgment data from a second mobile terminal; b) calculating and comparing second packet acknowledgment data with the first packet acknowledgment data by the first mobile terminal; And c) if the comparison result in step b) matches, transmitting the packet received in step a) to the next node or higher layer. In this case, the first and second packet acknowledgment data are generated by information shared between the legitimate mobile terminals.

본 발명의 한 실시예에 따르면, 합법적인 이동 단말기 사이에서 공유되는 정보는 네트워크 키를 포함한다. According to one embodiment of the invention, the information shared between legitimate mobile terminals comprises a network key.

본 발명의 다른 실시예에 따르면, 제1 이동 단말기가 제2 이동 단말기로부터 수신하는 패킷은 제3 패킷 확인 데이터를 더 포함한다. 여기서, 제1 이동 단말기가 최종 목적지 이동 단말기인 경우에, 본 발명의 인증 방법은, 제1 이동 단말기가 제4 패킷 확인 데이터를 계산하여 제3 패킷 확인 데이터와 비교하는 단계, 그리고 비교 결과가 일치하면 제1 이동 단말기가 패킷을 상위 계층으로 전송하는 단계를 더 포함한다. 이때, 제3 및 제4 패킷 확인 데이터는 합법적인 단대단 이동 단말기 사이에서 공유되는 정보에 의해 생성된다. According to another embodiment of the present invention, the packet received by the first mobile terminal from the second mobile terminal further includes third packet acknowledgment data. Here, when the first mobile terminal is the final destination mobile terminal, the authentication method of the present invention, the first mobile terminal calculates the fourth packet confirmation data and compare with the third packet confirmation data, and the comparison result is the same And the first mobile terminal transmitting the packet to a higher layer. In this case, the third and fourth packet acknowledgment data are generated by information shared between legitimate end-to-end mobile terminals.

본 발명의 또다른 실시예에 따르면, 합법적인 단대단 이동 단말기 사이에서 공유되는 정보는 단대단 키를 포함한다. According to another embodiment of the present invention, information shared between legitimate end-to-end mobile terminals includes end-to-end keys.

본 발명의 다른 특징에 따르면, 이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기에서의 인증 방법이 제공된다. 본 발명의 인증 방법은 제1 이동 단말기가 제1 이동 단말기의 정보를 포함하는 사전 인증 요구 패킷을 방송하는 단계, 제1 이동 단말기가 사전 인증 요구 패킷을 수신한 적어도 하나의 제2 이동 단말기로부터 제1 이동 단말기의 정보 중 일부와 제2 이동 단말기의 정보를 포함하는 인증 응답 패킷을 수신하는 단계, 그리고 제1 이동 단말기가 인증 응답 패킷을 검증한 후 검증 결과가 타당한 경우에 제2 이동 단말기로 인증 요구를 하는 단계를 포함한다. According to another aspect of the present invention, an authentication method is provided in a multi-function mobile terminal having a mobile communication function and a relay function between mobile terminals. The authentication method of the present invention comprises the steps of: broadcasting, by a first mobile terminal, a pre-authentication request packet including information of a first mobile terminal, from at least one second mobile terminal receiving a pre-authentication request packet by the first mobile terminal; Receiving an authentication response packet including a part of the information of the first mobile terminal and the information of the second mobile terminal, and if the verification result is valid after the first mobile terminal verifies the authentication response packet, authentication with the second mobile terminal Making a request.

본 발명의 한 실시예에 따르면, 제1 이동 단말기의 정보는 타임 스탬프, 제1 이동 단말기의 식별자, 제1 이동 단말기의 서명 및 제1 이동 단말기의 인증서를 포함하며, 제1 이동 단말기의 정보 중 일부는 제1 이동 단말기의 인증서를 포함한다. According to an embodiment of the present invention, the information of the first mobile terminal includes a time stamp, an identifier of the first mobile terminal, a signature of the first mobile terminal, and a certificate of the first mobile terminal, and among the information of the first mobile terminal. Some include a certificate of the first mobile terminal.

본 발명의 다른 실시예에 따르면, 제2 이동 단말기의 정보는 타임 스탬프, 제2 이동 단말기의 식별자 및 제2 이동 단말기의 서명을 포함한다. According to another embodiment of the present invention, the information of the second mobile terminal includes a time stamp, an identifier of the second mobile terminal and a signature of the second mobile terminal.

본 발명의 다른 실시예에 따르면, 본 발명의 인증 방법은 인증 응답 패킷의 검증 결과가 타당한 제2 이동 단말기가 복수 개인 경우에 제1 이동 단말기가 하나의 제2 이동 단말기를 선택하는 단계를 더 포함한다. According to another embodiment of the present invention, the authentication method of the present invention further includes the step of the first mobile terminal selecting one second mobile terminal when there are a plurality of second mobile terminals for which the verification result of the authentication response packet is valid. do.

본 발명의 또다른 특징에 따르면, 이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기가 제공된다. 본 발명의 이동 단말기는 자신의 서명과 인증서를 포함하는 사전 인증 요구 패킷을 생성하여 방송하는 사전 인증 요구부, 인증 요구 패킷을 수신한 적어도 하나의 제1 이동 단말기로부터 인증서와 제1 이동 단말기의 서명을 포함하는 인증 응답 패킷을 수신하는 수신부, 그리고 인증 응답 패킷을 송신한 적어도 하나의 제1 이동 단말기로부터 하나의 제1 이동 단말기를 선택하여 인증 요구를 하는 인증 요구부를 포함한다. According to another feature of the present invention, a multi-function mobile terminal having a mobile communication function and a relay function between mobile terminals is provided. The mobile terminal of the present invention generates a pre-authentication request packet including a signature and a certificate of its own, and a pre-authentication request unit for broadcasting and a signature of the certificate and the first mobile terminal from at least one first mobile terminal receiving the authentication request packet. And a receiving unit for receiving an authentication response packet including an authentication requestor for selecting an first mobile terminal from at least one first mobile terminal that has transmitted the authentication response packet.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention. Like parts are designated by like reference numerals throughout the specification.

이제 본 발명의 실시예에 따른 복합 기능 이동 단말기에서의 인증 방법 및 이를 이용한 이동 단말기에 대하여 도면을 참고로 하여 상세하게 설명한다.Now, an authentication method and a mobile terminal using the same in a multi-function mobile terminal according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 논리적 혼종 네트워크를 나타내는 도면이다. 1 is a diagram illustrating a logical hybrid network according to an embodiment of the present invention.

도 1을 보면, 무선망(10)을 통하여 AAA 서버(authentication, authorization and accounting server)(20)와 접속 스테이션(AS, access station)(AS1, AS2)이 연결되어 있다. 이동 단말기(MT1∼MT4)는 접속 스테이션(AS1)이 서비스하는 셀에 존재하며, 이동 단말기(MT5∼MT8)는 접속 스테이션(AS2)이 서비스하는 셀에 존재한다. AAA 서버(20)는 이동 단말기의 인증과 이동 단말기에서 발생되는 패킷의 인증 을 관리한다. 여기서 이동 단말기(MT1∼MT8)는 셀룰러 인터페이스를 통하여 접속 스테이션(31, 32)과 교신할 수 있을 뿐만 아니라, 중계 인터페이스를 통하여 다른 이동 단말기(MT1∼MT8)와 교신할 수 있다. Referring to FIG. 1, an AAA server 20 and an access station AS1 and AS2 are connected through a wireless network 10. The mobile terminals MT1 to MT4 exist in a cell served by the access station AS1, and the mobile terminals MT5 to MT8 exist in a cell served by the access station AS2. The AAA server 20 manages authentication of the mobile terminal and authentication of packets generated from the mobile terminal. Here, the mobile terminals MT1 to MT8 can communicate with the access stations 31 and 32 through the cellular interface, as well as with other mobile terminals MT1 to MT8 through the relay interface.

종래 기술에서 설명한 불법 이동 단말기의 존재로 인한 불법 패킷 유입을 막기 위해서, 본 발명의 실시예에서 각 이동 단말기(MT1∼MT8)는 이동 단말기간 패킷 인증을 수행한다. In order to prevent illegal packet inflow due to the existence of the illegal mobile terminal described in the prior art, each of the mobile terminals MT1 to MT8 performs packet authentication between mobile terminals.

아래에서는 본 발명의 제1 실시예에 따른 이동 단말기간 패킷 인증에 대하여 도 2 및 도 3을 참조하여 상세하게 설명한다. Hereinafter, packet authentication between mobile terminals according to the first embodiment of the present invention will be described in detail with reference to FIGS. 2 and 3.

도 2는 본 발명의 제1 실시예에 따른 패킷 인증 방법의 개념을 나타내는 도면이다. 도 3은 본 발명의 제1 실시예에 따른 중계 이동 단말기에서의 패킷 인증 방법을 설명하는 흐름도이며, 도 4는 목적지 이동 단말기에서의 패킷 인증 방법을 설명하는 흐름도이다. 2 is a diagram illustrating the concept of a packet authentication method according to a first embodiment of the present invention. 3 is a flowchart for explaining a packet authentication method in a relay mobile terminal according to the first embodiment of the present invention, and FIG. 4 is a flowchart for explaining a packet authentication method in a destination mobile terminal.

도 2 및 도 3에 나타낸 바와 같이, 이동 단말기(MT9)는 패킷을 전송하기 전에 먼저 이동 단말기간 패킷 확인 데이터(inter packet check data, 이하 'ICD'라 함)와 단대단 패킷 확인 데이터(end-to-end packet check data, 이하 'ECD'라 함)를 계산한 다음, ICD와 ECD를 포함하여 패킷을 전송한다(S31). 중계 이동 단말기(MT8)는 이동 단말기(MT9)로부터 패킷을 수신할 때마다(S32), ICD를 계산하고(S33) 수신한 패킷에서의 ICD와 계산한 ICD를 비교한다(S34). 수신한 ICD와 계산한 ICD가 같다면 중계 이동 단말기(MT8)는 다음 이동 단말기(MT5)로 패킷을 보내거나 상위 계층으로 패킷을 전송한다(S35). 수신한 ICD와 계산한 ICD가 같지 않다면 인증은 실패하고 패킷은 폐기된다(S36). 즉, 중계 이동 단말기(MT8)로 패킷을 전송한 이동 단말기(MT9)가 불법 이동 단말기인 경우에는 중계 이동 단말기(MT8)의 ICD 비교에서 패킷이 폐기된다.As shown in FIGS. 2 and 3, before transmitting a packet, the mobile terminal MT9 first checks inter packet check data (hereinafter referred to as 'ICD') and end-to-end packet check data (end−). After calculating the to-end packet check data (hereinafter referred to as 'ECD'), and transmits the packet including the ICD and ECD (S31). Each time the relay mobile terminal MT8 receives a packet from the mobile terminal MT9 (S32), the relay mobile terminal MT8 calculates the ICD (S33), and compares the calculated ICD with the calculated ICD (S34). If the received ICD and the calculated ICD are the same, the relay mobile terminal MT8 sends a packet to the next mobile terminal MT5 or transmits the packet to a higher layer (S35). If the received ICD and the calculated ICD are not the same, authentication fails and the packet is discarded (S36). That is, when the mobile terminal MT9 that has transmitted the packet to the relay mobile terminal MT8 is an illegal mobile terminal, the packet is discarded in the ICD comparison of the relay mobile terminal MT8.

도 4를 보면, 패킷의 목적지에 해당하는 이동 단말기(MT6)가 중계되어 온 패킷을 수신하면(S41), 도 3의 단계 S33, S34 및 S36에서 설명한 것과 같은 방법으로 ICD를 검증한다(S42∼S44). 그리고 수신한 패킷의 ICD와 계산한 ICD가 같으면 목적지 이동 단말기(MT6)는 ICD를 검증한 방법과 유사하게 ECD를 검증한다. 즉, 목적지 이동 단말기(MT6)는 ECD를 계산하고(S45) 계산한 ECD와 수신한 패킷의 ECD를 비교한다(S46). 계산한 ECD와 수신한 ECD의 결과가 같으면 목적지 이동 단말기(MT6)는 패킷을 상위 계층으로 전송하고(s47), 계산한 ECD와 수신한 ECD의 결과가 같지 않으면 패킷은 폐기된다(S48).Referring to FIG. 4, when the mobile terminal MT6 corresponding to the packet destination receives the relayed packet (S41), the ICD is verified in the same manner as described in steps S33, S34, and S36 of FIG. S44). If the ICD and the calculated ICD of the received packet are the same, the destination mobile terminal MT6 verifies the ECD similarly to the method of verifying the ICD. That is, the destination mobile terminal MT6 calculates the ECD (S45) and compares the calculated ECD with the ECD of the received packet (S46). If the calculated ECD and the received ECD result are the same, the destination mobile terminal MT6 transmits the packet to the upper layer (s47). If the calculated ECD and the received ECD result are not the same, the packet is discarded (S48).

네트워크 토폴로지(topology)는 논리적 혼종 네트워크에서 자주 변화될 수 있다. 토폴로지가 변화될 때마다 영향을 받는 이웃 이동 단말기들은 반드시 그들의 공유된 비밀 정보(secret information)를 업데이트 해야만 한다. 그러므로 토폴로지 변화에 따라 변하게 되는 이웃 이동 단말기 비밀 정보를 ICD에 포함시키지 않고 네트워크 키 혹은 단말기 인증서(terminal certificate)와 같은 정보를 사용하는 것이 좋다. 네트워크 키는 비밀 정보로서, 논리적 혼종 네트워크에서 각각의 합법적인 단말기에 의해 공유되는 비밀 정보이다. Network topology can change frequently in logical hybrid networks. Each time the topology changes, the affected neighboring mobile terminals must update their shared secret information. Therefore, it is better to use information such as a network key or terminal certificate without including the secret information of the neighboring mobile terminal that changes according to the topology change in the ICD. The network key is secret information, which is secret information shared by each legitimate terminal in a logical hybrid network.

아래에서는 이동 단말기간 인증을 위한 ICD 계산 방법에 대해서 수학식 1 및 2를 참조하여 설명한다. Hereinafter, an ICD calculation method for authentication between mobile terminals will be described with reference to Equations 1 and 2 below.

먼저, 네트워크 키를 사용하는 ICD 계산 방법은 수학식 1과 같다. First, the ICD calculation method using the network key is shown in Equation 1.

ICD = HK(NK, Packet_data|N)ICD = HK (NK, Packet_data | N)

여기서, HK는 HMAC-MD5(IETF RFC2085 규격)와 같은 keyed 해쉬(hash) 함수이며, NK는 네트워크 키이며, Packet_data|N는 패킷 데이터의 시퀀스 번호 또는 중계 공격에 대항하기 위한 타임 스탬프이다.Here, HK is a keyed hash function such as HMAC-MD5 (IETF RFC2085 standard), NK is a network key, and Packet_data | N is a time stamp for countering a packet attack or a sequence number of packet data.

즉, 네트워크 키와 패킷 데이터의 시퀀스 번호(또는 타임 스탬프)를 매개 변수로 하여 해쉬 함수에 의한 ICD가 계산된다. That is, the ICD by the hash function is calculated using the network key and the sequence number (or time stamp) of the packet data as parameters.

다음, 단말기 인증서를 사용하는 ICD 계산 방법은 수학식 2와 같다. Next, the ICD calculation method using the terminal certificate is shown in Equation 2.

Figure 112003049013419-pat00001
Figure 112003049013419-pat00001

여기서, Sig#i는 이동 단말기(MTi)의 서명이며, Cert#i는 인증기관(CA, certificate authority)에 의해 제공되는 이동 단말기(MTi)의 인증서이다. 그리고 E는 RSA(Rivest Shamir Adleman)와 같은 공개키(public key) 암호화 함수이며, SK#i는 이동 단말기(MTi)의 개인키(secret key)이다. 또한, ID#i는 이동 단말기(MTi)의 식별자(identifier)이며, PK#i는 이동 단말기(MTi)의 공개키(public key)이며, LT는 인증서의 유효기간(life time)이며, SKca는 인증기관의 개인키이며, H는 MD5[메시지 다이제스트 알고리즘(message digest algorithm) 형태의 해쉬 함수]와 같은 단방향 해쉬 함수이다.Here, Sig # i is a signature of a mobile terminal MTi, and Cert # i is a certificate of a mobile terminal MTi provided by a certificate authority (CA). E is a public key encryption function such as RSA (Rivest Shamir Adleman), and SK # i is a secret key of a mobile terminal MTi. In addition, ID # i is an identifier of the mobile terminal MTi, PK # i is a public key of the mobile terminal MTi, LT is a life time of a certificate, and SKca is The private key of the certification authority, where H is a one-way hash function such as MD5 (a hash function in the form of a message digest algorithm).

이러한 이동 단말기간 인증을 위한 ICD 계산 방법에서, 네트워크 키 사용 방식은 데이터 패킷 검증 및 인증 요구 패킷 검증을 위해 사용될 수 있으며, 인증서 사용 방식도 이동 단말기가 네트워크 키를 갖지 않았을 때 데이터 패킷 검증 및 인증 요구 패킷 검증에 사용될 수 있다. In the ICD calculation method for authentication between mobile terminals, the network key usage method can be used for data packet verification and authentication request packet verification, and the certificate usage method also requires data packet verification and authentication request when the mobile terminal does not have a network key. Can be used for packet verification.

그리고 단대단 인증을 위한 ECD 계산 방법은 수학식 3과 같다. And the ECD calculation method for end-to-end authentication is shown in Equation 3.

ECD = HK(Kmn, packet_data|N)ECD = HK (Kmn, packet_data | N)

여기서, Kmn은 이동 단말기(MTm, MTn)에 의해 공유되는 단대단 키(end-to-end key)이다. Here, Kmn is an end-to-end key shared by the mobile terminals MTm and MTn.

그런데 네트워크 키(NK)는 합법적인 이동 단말기에 의해서 공유되는 정보이므로, 네트워크 키(NK) 방식을 사용하는 경우에는 ICD 계산을 통하여 합법적인 이동 단말기와 불법 이동 단말기간에 구분이 된다. 그러나 인증서 방식을 사용하는 경우에는 합법적인 이동 단말기도 다른 이동 단말기의 개인키(SK)를 알 수 없으므로 ICD 계산을 통해 합법적인 이동 단말기와 불법 이동 단말기간의 구분이 되지 않는다. 따라서 본 발명의 제1 실시예에서 설명한 방법으로는 이동 단말기가 네트워크 키를 갖지 않을 때 인증 요구 패킷에 대해서는 인증을 할 수 없다. However, since the network key NK is information shared by the legitimate mobile terminal, the network key NK is distinguished between the legal mobile terminal and the illegal mobile terminal through ICD calculation. However, when the certificate method is used, the legitimate mobile terminal does not know the private key (SK) of the other mobile terminal, and thus, the ICD calculation does not distinguish between the legal mobile terminal and the illegal mobile terminal. Therefore, in the method described in the first embodiment of the present invention, the authentication request packet cannot be authenticated when the mobile terminal does not have a network key.

아래에서는 인증서를 사용하여 합법적인 이동 단말기간에 사전에 인증을 한 후 합법적인 이동 단말기간에 인증 요구 패킷을 처리하는 사전 인증 방법에 대해서 도 5를 참조하여 설명한다. Hereinafter, a pre-authentication method for processing an authentication request packet between legal mobile terminals after authenticating between legal mobile terminals using a certificate will be described with reference to FIG. 5.

도 5는 본 발명의 제2 실시예에 따른 사전 인증 방법의 개념을 나타내는 도면이며, 도 6은 본 발명의 제2 실시예에 따른 사전 인증 방법을 설명하는 흐름도이다. 5 is a diagram illustrating a concept of a pre-authentication method according to a second embodiment of the present invention, and FIG. 6 is a flowchart illustrating a pre-authentication method according to a second embodiment of the present invention.

본 발명의 제2 실시예에서는 먼저 인증을 요구하는 이동 단말기가 하나의 합법적인 이동 단말기를 찾은 다음, 인증자(authenticator)가 AAA 서버로 인증 요구 패킷을 전송한다. In the second embodiment of the present invention, a mobile terminal requesting authentication first finds one legitimate mobile terminal, and then an authenticator sends an authentication request packet to the AAA server.

구체적으로, 논리적 혼종 네트워크에서 무선망으로의 네트워크 접속을 위해 인증을 요구하는 이동 단말기(MT9)는 사전 인증을 위해 PREQ(pre-authentication request) 패킷을 방송한다(S61). PREQ 패킷은 수학식 4에 나타낸 것처럼 이동 단말기(MT9)의 식별자(ID), 타임 스탬프(nonce), 서명 및 인증서를 포함한다. Specifically, the mobile terminal MT9 requesting authentication for network access from the logical hybrid network to the wireless network broadcasts a pre-authentication request (PREQ) packet for pre-authentication (S61). The PREQ packet includes an identifier (ID), a time stamp, a signature, and a certificate of the mobile terminal MT9 as shown in equation (4).

Figure 112003049013419-pat00002
Figure 112003049013419-pat00002

여기서, ID#9는 이동 단말기(MT9)의 식별자이며, N은 타임 스탬프이며, Sig#9는 이동 단말기(MT9)의 서명이며, Cert#9는 인증기관에 의해 제공되는 이동 단말기(MT9)의 인증서이다. 그리고 E는 공개키 암호화 함수이며, SK#9는 이동 단말기(MT9)의 개인키이다. 또한, PK#9는 이동 단말기(MT9)의 공개키이며, LT는 인증서의 유효기간이며, SKca는 인증기관의 개인키이며, H는 단방향 해쉬 함수이다. Here, ID # 9 is an identifier of the mobile terminal MT9, N is a time stamp, Sig # 9 is a signature of the mobile terminal MT9, and Cert # 9 is of a mobile terminal MT9 provided by a certification authority. Certificate. E is a public key encryption function, and SK # 9 is a private key of the mobile terminal MT9. PK # 9 is the public key of the mobile terminal MT9, LT is the validity period of the certificate, SKca is the private key of the certification authority, and H is a one-way hash function.

다른 이동 단말기(MT4)가 PREQ 패킷을 받을 때 접속 스테이션(AS1, AS2)으로 의 라우트를 가지고 있다면 패킷에 있는 타임 스탬프, 서명 및 인증서를 검증한다(S62). 이때 이동 단말기(MT4)가 PREQ 패킷에서 받은 이동 단말기(MT9)의 정보와 기존에 가지고 있는 AAA 서버(20)로의 경로를 이용하여 AAA 서버(20)에 질의하여 검증이 수행된다. 검증 결과가 맞으면, 이동 단말기(MT4)는 수학식 5에 나타낸 것처럼 타임 스탬프, 자신의 식별자와 서명, 그리고 이동 단말기(MT9)의 인증서를 가지는 PREP(pre-authentication reply) 패킷을 이동 단말기(MT9)로 전송한다(S63). 그리고 검증 결과가 틀리면, 이동 단말기(MT4)는 PREQ 패킷을 폐기한다(S63a). 마찬가지로 방송된 PREQ 패킷을 수신한 이동 단말기 중 접속 스테이션(AS1, AS2)으로 라우트를 가지고 있는 이동 단말기(MT8)는 단계 S62, S63 또는 S63a의 절차를 수행한다. If the other mobile terminal MT4 has a route to the access stations AS1 and AS2 when receiving the PREQ packet, the time stamp, signature, and certificate in the packet are verified (S62). At this time, the mobile terminal MT4 queries the AAA server 20 by using the information of the mobile terminal MT9 received in the PREQ packet and a path to the existing AAA server 20 to perform verification. If the verification result is correct, the mobile terminal MT4 transmits a pre-authentication reply (prep) packet having a time stamp, its identifier and signature, and a certificate of the mobile terminal MT9 as shown in equation (5). To transmit (S63). If the verification result is incorrect, the mobile terminal MT4 discards the PREQ packet (S63a). Similarly, the mobile terminal MT8 having a route to the access stations AS1 and AS2 among the mobile terminals receiving the broadcast PREQ packet performs the procedure of step S62, S63 or S63a.

Figure 112003049013419-pat00003
Figure 112003049013419-pat00003

여기서, ID#4는 이동 단말기(MT4)의 식별자이며, N은 타임 스탬프이며, Sig#4는 이동 단말기(MT4)의 서명이다. 그리고 E는 공개키 암호화 함수이며, SK#4는 이동 단말기(MT4)의 개인키이다. Here, ID # 4 is an identifier of the mobile terminal MT4, N is a time stamp, and Sig # 4 is a signature of the mobile terminal MT4. E is a public key encryption function, and SK # 4 is a private key of the mobile terminal MT4.

이동 단말기(MT9)가 PREP 패킷을 받으면 패킷에 있는 인증서, 서명 및 타임 스탬프를 검증한다(S64). 이때 이동 단말기(MT9)는 PREP 패킷의 필드 내의 인증서와 자신이 갖고 있는 인증서가 같은지를 비교하여 검증을 수행한다. 검증 결과가 맞고 이동 단말기(MT9)가 PREP 패킷을 동시에 여러 이동 단말기(MT4, MT8)에서 수 신하면, 검증에서 성공한 합법적인 이동 단말기(MT4, MT8)로부터 하나의 이동 단말기(MT4)를 선택한다(S65). 검증 결과가 틀리면 이동 단말기(MT9)는 PREP 패킷을 폐기한다(S65a). When the mobile terminal MT9 receives the PREP packet, the mobile station MT9 verifies a certificate, a signature, and a time stamp in the packet (S64). At this time, the mobile terminal MT9 performs verification by comparing whether a certificate in a field of a PREP packet is identical to a certificate it has. If the verification result is correct and the mobile terminal MT9 receives PREP packets simultaneously from the multiple mobile terminals MT4 and MT8, the mobile terminal MT4 selects one mobile terminal MT4 from the legal mobile terminals MT4 and MT8 that are successful in the verification. (S65). If the verification result is incorrect, the mobile terminal MT9 discards the PREP packet (S65a).

다음, PREP 패킷의 검증 결과가 맞으면 이동 단말기(MT9)는 선택한 이동 단말기(MT4)에 인증 요구 및/또는 라우트 구축 요구를 보낸다(S66). 이때, 이동 단말기(MT4)로 보내는 모든 패킷에는 패킷 인증을 위한 ICD가 포함된다. 이와 같이 하여 합법적인 이동 단말기간에 사전 인증이 이루어지면, 합법적인 이동 단말기의 중계만으로 AAA 서버(20)와 접속할 수 있다. 따라서 종래 기술처럼 인증 요구 패킷을 수신한 모든 이동 단말기들이 AAA 서버(20)에 인증을 요구하지 않으므로 AAA 서버에 걸리는 부하를 줄일 수 있다. Next, if the verification result of the PREP packet is correct, the mobile terminal MT9 sends an authentication request and / or a route establishment request to the selected mobile terminal MT4 (S66). At this time, all packets sent to the mobile terminal MT4 include an ICD for packet authentication. In this way, if pre-authentication is performed between the legal mobile terminals, the AAA server 20 can be connected only by relaying the legal mobile terminals. Therefore, as in the prior art, all the mobile terminals that receive the authentication request packet do not request authentication to the AAA server 20, thereby reducing the load on the AAA server.

그리고 데이터 패킷 및 인증 요구 패킷은 각각 네트워크 키 방식 또는 인증서 방식으로 처리될 수 있지만, 도 5 및 도 6에서 설명한 사전 인증 방법으로 인증 요구 패킷을 검증하면 AAA 서버(20)에 걸리는 부하를 줄일 수 있으므로, 인증 요구 패킷은 사전 인증 방식으로 처리되고 데이터 패킷은 네트워크 키 방식으로 처리되는 것이 좋다. 아래에서는 도 7을 참조하여 데이터 패킷은 네트워크 키 방식으로 검증되고 인증 요구 패킷은 사전 인증 방식으로 검증되는 실시예에 대해서 설명한다. Although the data packet and the authentication request packet can be processed by the network key method or the certificate method, respectively, verifying the authentication request packet by the pre-authentication method described in FIGS. 5 and 6 can reduce the load on the AAA server 20. For example, the authentication request packet may be processed by a pre-authentication method and the data packet may be processed by a network key method. Hereinafter, an embodiment in which a data packet is verified by a network key method and an authentication request packet is verified by a pre-authentication method will be described with reference to FIG. 7.

도 7은 본 발명의 제3 실시예에 따른 인증 방법을 설명하는 도면이다. 7 is a diagram for explaining an authentication method according to a third embodiment of the present invention.

도 7을 보면, 패킷이 도착하면 이동 단말기의 패킷 구분기는 수신한 패킷이 데이터 패킷인지 인증 요구 패킷(PREQ)인지를 판단한다(S71). 판단 결과 수신한 패 킷이 데이터 패킷이면 도 3의 단계 S33 및 S34에서 설명한 방법으로 네트워크 키 방식을 사용하여 패킷을 검증한다(S72a). 이동 단말기는 검증 결과가 맞으면 현재 도착한 노드가 최종 목적지인지를 판단하고(S73a), 검증 결과가 틀리면 데이터 패킷을 폐기한다(S74a). 다음, 최종 목적지가 아니면 이동 단말기는 다음 노드에 해당하는 이동 단말기로 패킷을 전송하고(S75a), 최종 목적지면 이동 단말기는 도 4의 단계 S46 및 S47에서 설명한 단대단 방식으로 ECD를 검증한다(S76a). ECD 검증 결과가 맞으면 이동 단말기는 데이터 패킷을 상위 계층으로 전송하고(S77a) 맞지 않으면 데이터 패킷을 폐기한다(S78a).Referring to FIG. 7, when a packet arrives, the packet separator of the mobile terminal determines whether the received packet is a data packet or an authentication request packet PREQ (S71). If it is determined that the received packet is a data packet, the packet is verified using the network key method using the method described in steps S33 and S34 of FIG. 3 (S72a). If the verification result is correct, the mobile terminal determines whether the currently arrived node is the final destination (S73a). If the verification result is incorrect, the mobile terminal discards the data packet (S74a). Next, if it is not the final destination, the mobile terminal transmits the packet to the mobile terminal corresponding to the next node (S75a), and the mobile terminal verifies the ECD in the end-to-end manner described in steps S46 and S47 of FIG. 4 (S76a). ). If the ECD verification result is correct, the mobile terminal transmits the data packet to a higher layer (S77a), and if it does not match, discards the data packet (S78a).

그리고 단계 S71의 판단에서 수신한 패킷이 인증 요구 패킷(PREQ)이면 도 5 및 도 6의 단계 S62 내지 S65a에서 설명한 방법으로 검증이 이루어지고(S72b), 검증 결과가 맞으면 선택된 이동 단말기가 PREQ 패킷을 방송한 이동 단말기로부터 인증 요구를 수신하고(S73b), 검증 결과가 틀리면 패킷이 폐기된다(S74b). 그리고 인증 요구를 수신한 이동 단말기는 동일한 방법으로 사전 인증이 된 다른 이동 단말기 등을 거쳐 AAA 서버(20)로 인증 요구를 전달한다(S75b). If the packet received in the determination of step S71 is an authentication request packet PREQ, verification is performed by the method described in steps S62 to S65a of FIGS. 5 and 6 (S72b). If the verification result is correct, the selected mobile terminal selects a PREQ packet. An authentication request is received from the broadcast mobile terminal (S73b), and if the verification result is incorrect, the packet is discarded (S74b). The mobile terminal receiving the authentication request transmits the authentication request to the AAA server 20 via another mobile terminal which has been pre-authenticated in the same manner (S75b).

또한, 본 발명의 실시예에서 설명한 인증 방법을 실현하기 위해, 본 발명의 실시예에 따른 이동 단말기는 사전 인증 요구부, 수신부, 인증 요구부, 인증 응답부, 데이터 패킷 검증부 및 단대단 패킷 검증부를 포함할 수 있다. 이러한 구성은 소프트웨어적으로 구현되어 기록 장치에 기록되어 있을 수도 있으며, 또는 하드웨어적으로 구현될 수도 있다. Further, in order to realize the authentication method described in the embodiment of the present invention, the mobile terminal according to the embodiment of the present invention includes a pre-authentication requesting unit, a receiving unit, an authentication requesting unit, an authentication response unit, a data packet verification unit, and an end-to-end packet verification. It may include wealth. Such a configuration may be implemented in software and recorded in the recording apparatus, or may be implemented in hardware.

사전 인증 요구부는 PREQ 패킷을 생성하여 방송하며(도 6의 단계 S61 참조), 수신부는 다른 이동 단말기에서 전송되어 오는 PREP 패킷을 수신하여 검증한다(도 6의 단계 S64 참조). 인증 요구부는 PREP 패킷을 전송한 이동 단말기 중 하나의 이동 단말기를 선택하여 그 이동 단말기에 인증을 요구한다(도 6의 단계 S65, S66 참조). 그리고 인증 응답부는 다른 이동 단말기에서 PREQ 패킷을 수신한 경우에 검증한 후 PREP 패킷을 생성하여 그 이동 단말기로 전송한다(도 6의 단계 S63 참조). 또한, 데이터 패킷 검증부는 수신한 패킷이 데이터 패킷인 경우에 ICD를 계산하여 수신한 ICD와 비교한 후 일치하면 다음 노드 또는 상위 계층으로 전송한다(도 3의 단계 S32 내지 S35 참조). 그리고 단대단 패킷 검증부는 자신이 최종 목적지인 경우에 ECD를 계산하여 수신한 ECD와 비교한 후 일치하면 상위 계층으로 전송한다(도 4의 단계 S45 내지 S47 참조). The pre-authentication request unit generates and broadcasts a PREQ packet (see step S61 of FIG. 6), and the receiving unit receives and verifies a PREP packet transmitted from another mobile terminal (see step S64 of FIG. 6). The authentication requesting unit selects one of the mobile terminals that transmitted the PREP packet and requests authentication from the mobile terminal (see steps S65 and S66 in FIG. 6). When the authentication response unit receives the PREQ packet from another mobile terminal, the authentication response unit generates the PREP packet and transmits the generated PREP packet to the mobile terminal (see step S63 of FIG. 6). In addition, when the received packet is a data packet, the data packet verification unit calculates the ICD, compares the received ICD, and transmits the data packet to the next node or higher layer if they match (see steps S32 to S35 in FIG. 3). The end-to-end packet verification unit calculates the ECD, compares the received ECD with the received ECD when it is the final destination, and transmits the same to the higher layer (see steps S45 to S47 of FIG. 4).

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

이와 같이 본 발명에 설명한 이동 단말기간 패킷 인증 방법에 의하면 서비스 거부 공격에 의한 영향을 줄일 수 있고 불법적인 혹은 합법적인 이동 단말기들에 의한 패킷의 수정을 감지할 수 있다. 또한, 사전 인증 방법에 의하면 불필요한 인증 요구 패킷을 줄일 수 있다. As described above, according to the packet authentication method between mobile terminals, the influence of the denial of service attack can be reduced and the packet modification by the illegal or legal mobile terminals can be detected. In addition, according to the pre-authentication method, unnecessary authentication request packets can be reduced.

Claims (18)

이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기에서의 인증 방법에 있어서, In the authentication method in a multi-function mobile terminal having a mobile communication function and a relay function between mobile terminals, a) 제1 이동 단말기가 제2 이동 단말기로부터 제1 패킷 확인 데이터를 포함하는 패킷을 수신하는 단계; a) a first mobile terminal receiving a packet including first packet acknowledgment data from a second mobile terminal; b) 상기 제1 이동 단말기가 제2 패킷 확인 데이터를 계산하여 상기 제1 패킷 확인 데이터와 비교하는 단계; 및b) calculating and comparing second packet acknowledgment data with the first packet acknowledgment data by the first mobile terminal; And c) 상기 b) 단계에서의 비교 결과가 일치하면 상기 제1 이동 단말기는 상기 a) 단계에서 수신된 패킷을 다음 노드 또는 상위 계층으로 전송하는 단계c) if the comparison result in step b) is identical, the first mobile terminal transmits the packet received in step a) to the next node or higher layer. 를 포함하며, Including; 상기 제1 및 제2 패킷 확인 데이터는 합법적인 이동 단말기 사이에서 공유되는 정보에 의해 생성되는 복합 기능 이동 단말기에서의 인증 방법. And the first and second packet acknowledgment data are generated by information shared between legitimate mobile terminals. 제1항에 있어서, The method of claim 1, 상기 a) 단계에서 수신된 패킷은 데이터 패킷인 복합 기능 이동 단말기에서의 인증 방법. The packet received in step a) is a data packet. 제1항에 있어서, The method of claim 1, 상기 합법적인 이동 단말기 사이에서 공유되는 정보는 네트워크 키를 포함하는 복합 기능 이동 단말기에서의 인증 방법. The information shared between the legitimate mobile terminal comprises a network key. 제1항 내지 제3항 중 어느 한 항에 있어서, The method according to any one of claims 1 to 3, 상기 a) 단계에서 수신된 패킷은 제3 패킷 확인 데이터를 더 포함하며, The packet received in step a) further includes third packet acknowledgment data, 상기 제1 이동 단말기가 최종 목적지 이동 단말기인 경우에, If the first mobile terminal is the final destination mobile terminal, 상기 인증 방법은, The authentication method, d) 상기 제1 이동 단말기가 제4 패킷 확인 데이터를 계산하여 상기 제3 패킷 확인 데이터와 비교하는 단계; 및 d) calculating, by the first mobile terminal, fourth packet acknowledgment data and comparing it with the third packet acknowledgment data; And e) 상기 d) 단계에서의 비교 결과가 일치하면 상기 제1 이동 단말기가 상기 a) 단계에서 수신된 패킷을 상위 계층으로 전송하는 단계e) the first mobile terminal transmitting the packet received in step a) to a higher layer if the comparison result in step d) is identical; 를 더 포함하며, More, 상기 제3 및 제4 패킷 확인 데이터는 합법적인 단대단 이동 단말기 사이에서 공유되는 정보에 의해 생성되는 복합 기능 이동 단말기에서의 인증 방법. And the third and fourth packet acknowledgment data are generated by information shared between legitimate end-to-end mobile terminals. 제4항에 있어서, The method of claim 4, wherein 상기 합법적인 단대단 이동 단말기 사이에서 공유되는 정보는 단대단 키를 포함하는 복합 기능 이동 단말기에서의 인증 방법. The information shared between the legitimate end-to-end mobile terminal comprises an end-to-end key. 제5항에 있어서, The method of claim 5, 상기 합법적인 이동 단말기 사이에서 공유되는 정보는 상기 a) 단계에서 수신된 패킷의 시퀀스 번호 또는 타임 스탬프를 더 포함하며, The information shared between the legitimate mobile terminal further includes a sequence number or time stamp of the packet received in step a), 상기 합법적인 단대단 이동 단말기 사이에서 공유되는 정보는 상기 a) 단계에서 수신된 패킷의 시퀀스 번호 또는 타임 스탬프를 더 포함하는 복합 기능 이동 단말기에서의 인증 방법. The information shared between the legitimate end-to-end mobile terminal further comprises a sequence number or time stamp of the packet received in step a). 이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기에서의 인증 방법에 있어서, In the authentication method in a multi-function mobile terminal having a mobile communication function and a relay function between mobile terminals, 제1 이동 단말기가 상기 제1 이동 단말기의 정보를 포함하는 사전 인증 요구 패킷을 방송하는 단계, Broadcasting, by a first mobile terminal, a pre-authentication request packet including information of the first mobile terminal, 상기 제1 이동 단말기가 상기 사전 인증 요구 패킷을 수신한 적어도 하나의 제2 이동 단말기로부터 상기 제1 이동 단말기의 정보 중 일부와 상기 제2 이동 단말기의 정보를 포함하는 인증 응답 패킷을 수신하는 단계, 그리고 Receiving, by the first mobile terminal, an authentication response packet including some of the information of the first mobile terminal and information of the second mobile terminal from at least one second mobile terminal that has received the pre-authentication request packet; And 상기 제1 이동 단말기가 상기 인증 응답 패킷을 검증한 후 상기 검증 결과가 타당한 경우에 상기 제2 이동 단말기로 인증 요구를 하는 단계를 포함하는 복합 기능 이동 단말기에서의 인증 방법. And after the first mobile terminal verifies the authentication response packet, if the verification result is valid, making an authentication request to the second mobile terminal. 제7항에 있어서, The method of claim 7, wherein 상기 제1 이동 단말기의 정보는 타임 스탬프, 상기 제1 이동 단말기의 식별자, 상기 제1 이동 단말기의 서명 및 상기 제1 이동 단말기의 인증서를 포함하고, The information of the first mobile terminal includes a time stamp, an identifier of the first mobile terminal, a signature of the first mobile terminal, and a certificate of the first mobile terminal, 상기 제1 이동 단말기의 정보 중 일부는 상기 제1 이동 단말기의 인증서를 포함하며,Some of the information of the first mobile terminal includes a certificate of the first mobile terminal, 상기 제2 이동 단말기의 정보는 타임 스탬프, 상기 제2 이동 단말기의 식별자 및 상기 제2 이동 단말기의 서명을 포함하는 The information of the second mobile terminal includes a time stamp, an identifier of the second mobile terminal and a signature of the second mobile terminal. 복합 기능 이동 단말기에서의 인증 방법. Authentication method in a composite function mobile terminal. 삭제delete 제8항에 있어서, The method of claim 8, 상기 제1 이동 단말기의 서명 및 제2 이동 단말기의 서명은 각각 자신의 개인키를 포함하는 정보에 의해 생성되며, The signature of the first mobile terminal and the signature of the second mobile terminal are each generated by information including its own private key, 상기 제1 이동 단말기의 인증서는 자신의 식별자, 공개키, 인증서의 유효 기간, 그리고 상기 식별자, 공개키 및 인증서 중 적어도 하나와 인증기관의 개인키에 의해 생성되는 정보를 포함하는 복합 기능 이동 단말기에서의 인증 방법. In the multi-functional mobile terminal, the certificate of the first mobile terminal includes information generated by its identifier, public key, validity period of the certificate, and at least one of the identifier, public key and certificate and private key of the certification authority. Authentication method. 제7항 또는 제8항에 있어서, The method according to claim 7 or 8, 상기 제2 이동 단말기는 상기 사전 인증 요구 패킷을 검증하여 검증 결과가 타당하고 상기 제2 이동 단말기가 접속 스테이션으로 라우트를 가지고 있는 경우에 상기 인증 응답 패킷을 상기 제1 이동 단말기로 전송하는 복합 기능 이동 단말기에서의 인증 방법. The second mobile terminal verifies the pre-authentication request packet and transmits the authentication response packet to the first mobile terminal when the verification result is valid and the second mobile terminal has a route to the access station. Authentication method in the terminal. 제7항 또는 제8항에 있어서, The method according to claim 7 or 8, 상기 인증 응답 패킷의 검증 결과가 타당한 상기 제2 이동 단말기가 복수 개인 경우에 상기 제1 이동 단말기가 하나의 제2 이동 단말기를 선택하는 단계를 더 포함하는 복합 기능 이동 단말기에서의 인증 방법. And selecting, by the first mobile terminal, a second mobile terminal when there are a plurality of second mobile terminals for which the verification result of the authentication response packet is valid. 이동 통신 기능 및 이동 단말기간 중계 기능을 가지는 복합 기능 이동 단말기에 있어서, In the composite function mobile terminal having a mobile communication function and a relay function between mobile terminals, 자신의 서명과 인증서를 포함하는 사전 인증 요구 패킷을 생성하여 방송하는 사전 인증 요구부, Pre-authentication request unit for generating and broadcasting a pre-authentication request packet including its signature and certificate 상기 인증 요구 패킷을 수신한 적어도 하나의 제1 이동 단말기로부터 상기 인증서와 상기 제1 이동 단말기의 서명을 포함하는 인증 응답 패킷을 수신하는 수신부, 그리고 A receiving unit for receiving an authentication response packet including the certificate and the signature of the first mobile terminal from at least one first mobile terminal receiving the authentication request packet; and 상기 인증 응답 패킷을 송신한 상기 적어도 하나의 제1 이동 단말기로부터 하나의 제1 이동 단말기를 선택하여 인증 요구를 하는 인증 요구부를 포함하는 복합 기능 이동 단말기.And an authentication request unit which selects one first mobile terminal from the at least one first mobile terminal which has transmitted the authentication response packet and makes an authentication request. 제13항에 있어서, The method of claim 13, 상기 사전 인증 요구 패킷은 자신의 식별자와 타임 스탬프를 더 포함하며, The pre-authentication request packet further includes its identifier and time stamp, 상기 인증 응답 패킷은 상기 제1 이동 단말기의 식별자와 타임 스탬프를 더 포함하는 복합 기능 이동 단말기. The authentication response packet further comprises an identifier and a time stamp of the first mobile terminal. 제13항에 있어서,The method of claim 13, 접속 스테이션으로 라우트를 가지고 있는 경우에, If you have a route to the access station, 제2 이동 단말기로부터 사전 인증 요구 패킷을 수신하면 상기 사전 인증 요구 패킷을 검증한 후 검증 결과가 타당한 경우에 상기 제2 이동 단말기의 인증서와 자신의 서명을 포함하는 인증 응답 패킷을 생성하여 상기 제2 이동 단말기로 전송하는 인증 응답부를 더 포함하는 복합 기능 이동 단말기. When the pre-authentication request packet is received from the second mobile terminal, the pre-authentication request packet is verified, and when the verification result is valid, an authentication response packet including a certificate of the second mobile terminal and its signature is generated and generated by the second mobile terminal. A composite function mobile terminal further comprising an authentication response unit for transmitting to the mobile terminal. 제15항에 있어서, The method of claim 15, 상기 제2 이동 단말기로부터의 상기 인증 요구를 상기 접속 스테이션으로 전달하는 복합 기능 이동 단말기. Multifunction mobile terminal for communicating the authentication request from the second mobile terminal to the access station. 제13항 내지 제16항 중 어느 한 항에 있어서, The method according to any one of claims 13 to 16, 제3 이동 단말기로부터 제1 패킷 확인 데이터를 포함하는 데이터 패킷을 수신하면 상기 제3 이동 단말기의 제1 패킷 확인 데이터를 계산하고, 상기 계산한 제1 패킷 확인 데이터와 상기 수신한 제1 패킷 확인 데이터가 일치하는 경우에 상기 데이터 패킷을 다음 노드 또는 상위 계층으로 전송하는 데이터 패킷 검증부를 더 포함하며, When receiving a data packet including first packet acknowledgment data from a third mobile terminal, the first packet acknowledgment data of the third mobile terminal is calculated, and the calculated first packet acknowledgment data and the received first packet acknowledgment data are received. The data packet verification unit further transmits the data packet to a next node or a higher layer when is matched. 상기 제1 패킷 확인 데이터는 합법적인 이동 단말기 사이에서 공유되는 정보에 의해 생성되는 복합 기능 이동 단말기. And the first packet acknowledgment data is generated by information shared between legitimate mobile terminals. 제17항에 있어서, The method of claim 17, 자신이 최종 목적지인 경우에, If you are the final destination, 상기 제3 이동 단말기의 제2 패킷 확인 데이터를 계산하고, 상기 계산한 제2 패킷 확인 데이터와 상기 제3 이동 단말기로부터 수신된 제1 패킷 확인 데이터를 포함하는 데이터 패킷에 포함된 제2 패킷 확인 데이터가 일치하는 경우에 상기 제3 이동 단말기로부터 수신된 제1 패킷 확인 데이터를 포함하는 데이터 패킷을 상위 계층으로 전송하는 단대단 패킷 검증부를 더 포함하며, Second packet acknowledgment data included in a data packet that calculates second packet acknowledgment data of the third mobile terminal and includes the calculated second packet acknowledgment data and first packet acknowledgment data received from the third mobile terminal. Further includes an end-to-end packet verification unit for transmitting a data packet including the first packet acknowledgment data received from the third mobile terminal to an upper layer when M is matched, 상기 제2 패킷 확인 데이터는 합법적인 단대단 이동 단말기 사이에서 공유되는 정보에 의해 생성되는 복합 기능 이동 단말기. And said second packet acknowledgment data is generated by information shared between legitimate end-to-end mobile terminals.
KR1020030095020A 2003-12-22 2003-12-22 Authenticating method in complex mode mobile terminal and mobile terminal using the same KR100611577B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030095020A KR100611577B1 (en) 2003-12-22 2003-12-22 Authenticating method in complex mode mobile terminal and mobile terminal using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030095020A KR100611577B1 (en) 2003-12-22 2003-12-22 Authenticating method in complex mode mobile terminal and mobile terminal using the same

Publications (2)

Publication Number Publication Date
KR20050063602A KR20050063602A (en) 2005-06-28
KR100611577B1 true KR100611577B1 (en) 2006-08-10

Family

ID=37255432

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030095020A KR100611577B1 (en) 2003-12-22 2003-12-22 Authenticating method in complex mode mobile terminal and mobile terminal using the same

Country Status (1)

Country Link
KR (1) KR100611577B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100915297B1 (en) * 2007-12-06 2009-09-03 한국전자통신연구원 Method and system for detecting bogus sensor nodes in wireless sensor network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010064799A (en) * 1999-12-18 2001-07-11 이계철 Method of authentication services between two different mobile communication systems
JP2002026899A (en) * 2000-06-20 2002-01-25 Internatl Business Mach Corp <Ibm> Verification system for ad hoc wireless communication
KR20030032119A (en) * 2001-10-10 2003-04-26 와이더덴닷컴 주식회사 Relay system and mobile communication terminal for relaying mobile terminal

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010064799A (en) * 1999-12-18 2001-07-11 이계철 Method of authentication services between two different mobile communication systems
JP2002026899A (en) * 2000-06-20 2002-01-25 Internatl Business Mach Corp <Ibm> Verification system for ad hoc wireless communication
KR20030032119A (en) * 2001-10-10 2003-04-26 와이더덴닷컴 주식회사 Relay system and mobile communication terminal for relaying mobile terminal

Also Published As

Publication number Publication date
KR20050063602A (en) 2005-06-28

Similar Documents

Publication Publication Date Title
Paul et al. Context aware detection of selfish nodes in DSR based ad-hoc networks
Sanzgiri et al. A secure routing protocol for ad hoc networks
Hussain et al. Insecure connection bootstrapping in cellular networks: the root of all evil
US7286671B2 (en) Secure network access method
Gupte et al. Secure routing in mobile wireless ad hoc networks
Cao et al. A simple and robust handover authentication between HeNB and eNB in LTE networks
KR100999382B1 (en) Radio information transmitting system, radio communication method, and radio terminal device
Salgarelli et al. Efficient authentication and key distribution in wireless IP networks
US7882349B2 (en) Insider attack defense for network client validation of network management frames
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
JP2011511519A (en) Route optimization in mobile IP networks
WO2011038620A1 (en) Access authentication method, apparatus and system in mobile communication network
CN112564775B (en) Spatial information network access control system and authentication method based on block chain
CN111182545B (en) Micro base station authentication method and terminal
CN111246481B (en) Micro base station authentication method and terminal
US20100177900A1 (en) Method for providing confidentiality protection of control signaling using certificate
EP2561658A1 (en) ENABLING IPv6 MOBILITY WITH SENSING FEATURES FOR AD-HOC NETWORKS DERIVED FROM LONG TERM EVOLUTION NETWORKS
JP3822555B2 (en) Secure network access method
EP3231151B1 (en) Commissioning of devices in a network
Li et al. Efficient authentication for fast handover in wireless mesh networks
US20230308877A1 (en) Method and device for authenticating a primary station
KR100611577B1 (en) Authenticating method in complex mode mobile terminal and mobile terminal using the same
US8359470B1 (en) Increased security during network entry of wireless communication devices
Taha et al. EM 3 A: Efficient mutual multi-hop mobile authentication scheme for PMIP networks
Manulis et al. Authenticated wireless roaming via tunnels: Making mobile guests feel at home

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee