KR100658300B1 - 무선통신시스템에서의 인증 및 키 설정 방법 - Google Patents
무선통신시스템에서의 인증 및 키 설정 방법 Download PDFInfo
- Publication number
- KR100658300B1 KR100658300B1 KR1019990059056A KR19990059056A KR100658300B1 KR 100658300 B1 KR100658300 B1 KR 100658300B1 KR 1019990059056 A KR1019990059056 A KR 1019990059056A KR 19990059056 A KR19990059056 A KR 19990059056A KR 100658300 B1 KR100658300 B1 KR 100658300B1
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- network
- public key
- certificate
- key
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000004891 communication Methods 0.000 title claims abstract description 31
- 230000008569 process Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000028327 secretion Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C15/00—Generating random numbers; Lottery apparatus
- G07C15/006—Generating random numbers; Lottery apparatus electronically
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은, 무선통신시스템에서 상호 인증 및 임시 비밀키 생성시 공개키 방식을 사용함으로써 키 관리를 용이하게 하고 서로 다른 인증기관의 공개키 인증서 사용을 가능하게 함으로써 다수의 서비스 망 및 인증기관이 존재하는 무선통신시스템에 적합한 인증 및 키 설정 방법에 관한 것으로, 단말기 식별자와 단말기의 공개키 인증서와 단말기의 비공개키와 단말기 인증기관의 공개키와 망의 공개키를 저장하는 단말기와, 망의 식별자와 망의 공개키 인증서와 망의 비공개키와 망 인증기관의 공개키를 저장하는 망측 장치를 포함하는 무선통신 시스템에서의 인증 및 키 설정 방법에 있어서, 단말기의 새로운 위치 등록 시 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 식별자가 단말기 인증기관의 식별자와 동일한지 확인하는 제1 단계; 상기 제1 단계에서 동일한 경우, 상기 단말기가 상기 저장된 단말기 인증기관의 공개키를 이용해 수신된 망의 공개키 인증서를 검증하는 제2 단계; 상기 검증 수행 후, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제3 단계; 상기 제3 단계의 수행 결과로 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제4 단계; 상기 제4 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제5 단계; 상기 제1 단계에서 동일하지 않은 경우, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제6 단계; 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 공개키에 대한 인증서 체인으로부터 상기 망 인증 기관의 공개키를 추출하여 망의 공개키 인증서를 검증하는 제7 단계; 상기 제7 단계 수행 후, 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제8 단계; 및 상기 제8 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제9 단계를 포함한다.
인증, 무선통신시스템, 공개키, 키 설정, 암호화
Description
도 1 은 본 발명이 적용되는 무선통신 환경에서의 인증 시스템을 개략적으로 나타낸 일예시도.
도 2a 내지 도 2c 는 본 발명에 따른 무선통신시스템에서의 인증 및 키 설정 방법에 대한 단말기에서의 일실시예 흐름도.
도 3a 내지 도 3c 는 본 발명에 따른 무선통신시스템에서의 인증 및 키 설정 방법에 대한 망에서의 일실시예 흐름도.
*도면의 주요 부분에 대한 부호의 설명
101 : 단말기 102 : 망
103 : 인증기관
본 발명은 무선통신시스템에서의 인증 및 키 설정 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 서로 다른 인증기관의 공개키 인증서를 사용할 수 있는 무선통신시스템에서의 인증 및 키 설정 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
이동통신(Cellular), 개인휴대통신(PCS) 및 차세대 무선통신(IMT-2000) 등과 같은 무선통신 서비스는 시간과 장소의 제약을 받지 않고, 음성 및 데이터 서비스를 제공하는 편리함이 있는 반면에 사용자가 이동성을 가지고 있고, 전파를 통신 매개로 이용하는 특성으로 인하여 보안상의 취약점을 가지고 있다. 따라서, 무선통신 환경에서는 다양한 종류의 보안 위협이 존재하고 있으며, 무선통신 서비스 수요의 급증과 함께 보안 위협의 심각성 또한 커지고 있다.
고속의 멀티미디어 서비스와 글로벌 로밍 서비스 제공을 목적으로 하고 있는 차세대 무선통신(IMT-2000) 서비스에서는 글로벌 로밍시 신호 데이터 및 사용자 데이터가 타 사업자의 망을 거쳐 전송되며 고속의 데이터 통신이 제공됨에 따라 전자상거래 또는 비즈니스 관련 데이터와 같은 비밀성 보호가 필요한 데이터 통신량이 증대될 것이다. 이에 따라 차세대 무선통신(IMT-2000) 서비스에서는 무선 구간뿐만 아니라 유선 구간에서의 데이터 비밀성 및 데이터 무결성 보호와 서비스에 대한 부인 봉쇄 등의 보다 강화된 보안 기능이 요구된다. 이를 위해서는 사용자 인증과 망 인증을 동시에 수행하는 상호 인증과 단말기와 망간에 전송되는 데이터의 비밀성 보호를 위한 암호화에 사용되는 임시 비밀키를 안전하게 생성할 수 있는 인증 및 키 설정 절차가 필요하다. 이러한 인증 및 키 설정 절차는 사용되는 암호학적 메커니즘에 따라 비밀키 방식과 공개키 방식으로 구분된다.
비밀키 방식은 공개키 방식에 비해 수행속도가 빠르다는 장점을 가지는 반면 인증 및 임시 비밀키 설정을 위해 사용되는 비밀키를 단말기와 망이 공유해야 하므로 이에 대한 관리 및 보안에 따른 문제점이 있다. 차세대 무선통신(IMT-2000)은 방문 망의 수가 현재보다 증가하며 분포 지역도 방대하다. 이로 인하여 상기한 바와 같은 문제점이 더욱 심각해진다.
공개키 방식은 공개키와 비공개키를 사용하는 특성으로 인하여 비밀키 방식에 비해 키관리가 용이하고 부인봉쇄 서비스 등의 차세대 무선통신 환경에서 요구되는 보안 기능을 제공할 수 있는 장점이 있다.
그러나, 공개키 방식은 보안 공격을 방지하기 위하여 사용되는 공개키에 대한 검증이 필수적으로 요구되며, 이를 위해서는 인증기관에서 발급한 공개키 인증서가 사용되어야 한다. 또한, 글로벌 로밍 서비스 제공 환경에서는 단말기와 서비스 제공 망이 서로 다른 인증기관을 이용하는 경우가 존재하므로 원활한 인증 및 비화 서비스 제공을 위해서 다수의 서비스 제공망과 다수의 인증기관이 존재하는 환경에서 사용될 수 있는 인증 및 키 설정 방법이 필요한 문제점이 있었다.
본 발명은 상기한 바와 같은 문제점을 해결하기 위하여 안출된 것으로, 무선통신시스템에서 상호 인증 및 임시 비밀키 생성시 공개키 방식을 사용함으로써 키 관리를 용이하게 하고 서로 다른 인증기관의 공개키 인증서 사용을 가능하게 함으로써 다수의 서비스 망 및 인증기관이 존재하는 무선통신시스템에 적합한 인증 및 키 설정 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 방법은, 단말기 식별자와 단말기의 공개키 인증서와 단말기의 비공개키와 단말기 인증기관의 공개키와 망의 공개키를 저장하는 단말기와, 망의 식별자와 망의 공개키 인증서와 망의 비공개키와 망 인증기관의 공개키를 저장하는 망측 장치를 포함하는 무선통신 시스템에서의 인증 및 키 설정 방법에 있어서, 단말기의 새로운 위치 등록 시 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 식별자가 단말기 인증기관의 식별자와 동일한지 확인하는 제1 단계; 상기 제1 단계에서 동일한 경우, 상기 단말기가 상기 저장된 단말기 인증기관의 공개키를 이용해 수신된 망의 공개키 인증서를 검증하는 제2 단계; 상기 검증 수행 후, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제3 단계; 상기 제3 단계의 수행 결과로 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제4 단계; 상기 제4 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제5 단계; 상기 제1 단계에서 동일하지 않은 경우, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제6 단계; 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 공개키에 대한 인증서 체인으로부터 상기 망 인증 기관의 공개키를 추출하여 망의 공개키 인증서를 검증하는 제7 단계; 상기 제7 단계 수행 후, 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제8 단계; 및 상기 제8 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제9 단계를 포함한다.
삭제
또한, 본 발명은, 단말기 식별자와 단말기의 공개키 인증서와 단말기의 비공개키와 단말기 인증기관의 공개키와 망의 공개키를 저장하는 단말기와, 망의 식별자와 망의 공개키 인증서와 망의 비공개키와 망 인증기관의 공개키를 저장하는 망측 장치를 포함하는 무선통신 시스템의 프로세서에서, 단말기의 새로운 위치 등록 시 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 식별자가 단말기 인증기관의 식별자와 동일한지 확인하는 제1 단계; 상기 제1 단계에서 동일한 경우, 상기 단말기가 상기 저장된 단말기 인증기관의 공개키를 이용해 수신된 망의 공개키 인증서를 검증하는 제2 단계; 상기 검증 수행 후, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제3 단계; 상기 제3 단계의 수행 결과로 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제4 단계; 상기 제4 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제5 단계; 상기 제1 단계에서 동일하지 않은 경우, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제6 단계; 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 공개키에 대한 인증서 체인으로부터 상기 망 인증 기관의 공개키를 추출하여 망의 공개키 인증서를 검증하는 제7 단계; 상기 제7 단계 수행 후, 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제8 단계; 및 상기 제8 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제9 단계를 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
삭제
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 무선통신 환경에서의 인증 시스템을 개략적으로 나타낸 일예시도이다.
도면에 도시된 바와 같이, 본 발명이 적용되는 무선통신 환경에서의 인증 시스템은 단말기(101), 망(102) 그리고 망의 인증기관(CA_B, 103)을 구비하고 있다.
먼저, 본 발명에서 기술되는 기호와 의미를 [표 1]에 나타내었다.
| 기호 | 의미 |
| A | 단말기의 식별자 |
| B | 망의 식별자 |
| ACert | 단말기의 공개키 인증서 (단말기의 식별자(A)와 단말기의 공개키(APubKey)가 들어있으며, 이들에 대한 인증기관(CA-A)의 서명이 부가되어 있음) |
| BCert | 망의 공개키 인증서 (망의 식별자(B)와 망의 공개키(BPubKey)가 들어있으며, 이들에 대한 인증기관(CA-B)의 서명이 부가되어 있음) |
| CA_A | 단말기의 인증서를 발급한 인증기관의 식별자 |
| CA_B | 망의 인증서를 발급한 인증기관의 식별자 |
| CA_APubKey | 단말기 인증기관(CA_A)의 공개키 |
| CA_BPubKey | 망 인증기관(CA_B)의 공개키 |
| SessKeyAB | 단말기와 망에서 생성된 임시 비밀키 |
| SessKeyAB{x} | 임시 비밀키(SessKeyAB)를 사용하여 x를 암호화함 |
| BPubKey{x} | 망의 공개키(BPubKey)를 사용하여 x를 암호화함 |
| APriKey | 단말기의 비공개키 |
| BPriKey | 망의 비공개키 |
| APriKey{x} | 단말기의 비공개키(APriKey)로 x를 암호화함 |
| rA | 단말기에서 생성한 난수 |
| rB | 망에서 생성한 난수 |
| f(rA, rB) | 단말기에서 생성한 난수(rA)와 망에서 생성한 난수(rB)를 입력으로 하는 키 생성 함수 |
| CertChain(A, CA_B) | 인증서 체인-이것으로부터 단말기는 망의 공개키 인증서(BCert)를 검증하는데 필요한 신뢰할 수 있는 망 인증기관(CA_B)의 공개키(CA_BPubKey)를 얻는다 |
| CertChain(B, CA_A) | 인증서 체인-이것으로부터 망은 단말기의 공개키 인증서(ACert)를 검증하는데 필요한 신뢰할 수 있는 단말기 인증기관(CA_A)의 공개키(CA_APubKey)를 얻는다 |
또한, 인증을 수행하기 위해 단말기(101)와 망(102)에서 사전에 저장하고 있어야 하는 데이터를 [표 2]와 [표 3]에 나타내었다.
| 단말기의 식별자(A) |
| 단말기의 공개키 인증서(ACert) |
| 단말기의 비공개키(APriKey) |
| 단말기 인증기관(CA_A)의 공개키(CA_APubKey) |
| 망의 공개키(BPubKey)-위치등록 후에 저장됨 |
| 망의 식별자(B) |
| 망의 공개키 인증서(BCert) |
| 망의 비공개키(BPriKey) |
| 망 인증기관(CA_B)의 공개키(CA_BPubKey) |
다음의 [표 4]는 본 발명에서 사용되는 메시지들의 내용과 의미를 나타낸다.
| 메시지1 | BPubKey{rA} 단말기가 생성한 난수(rA)를 망의 공개키(BPubkey)로 암호화한 값 |
| 메시지1_1 | BPubKey{rA}, CA_A 단말기가 생성한 난수(rA)를 망의 공개키(BPubkey)로 암호화한 값과 단말기 인증기관의 식별자 |
| 메시지2 | rB, SessKeyAB{rA} 단말기에서 생성한 난수(rA)를 임시 비밀키(SessKeyAB)로 암호화한 값(SessKeyAB{rA})과 망에서 생성한 난수(rB) |
| 메시지2_1 | rB, SessKeyAB{rA}, CertChain(A, CA_B) 단말기에서 생성한 난수(rA)를 임시 비밀키(SessKeyAB)로 암호화한 값(SessKeyAB{rA}), 망에서 생성한 난수(rB), 망 인증기관의 공개키(CA_BPubKey)에 대한 인증서 체인 (CertChain(A, CA_B)) |
| 메시지3 | APriKey{B, rA, rB}, SessKeyAB{A} 망의 식별자(B), 단말기에서 생성한 난수(rA), 망에서 생성한 난수(rB)에 대한 단말기의 서명값과 단말기의 식별자(A)를 단말기와 망에서 생성된 임시 비밀키(SessKeyAB)로 암호화한 값 |
| 메시지3_1 | APriKey{B, rA, rB}, SessKeyAB{ACert} 망의 식별자(B), 단말기에서 생성한 난수(rA), 망에서 생성한 난수(rB)에 대한 단말기의 서명값과 단말기의 공개키 인증서(ACert)를 단말기와 망에서 생성된 임시 비밀키(SessKeyAB)로 암호화한 값 |
| 메시지A | B, CA_A 망의 식별자와 단말기 인증기관의 식별자 |
| 메시지B | CertChain(A, CA_B), CertChain(B, CA_A) 망 인증기관의 공개키(CA_BPubKey)에 대한 인증서 체인 (CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)에 대한 인증서 체인(CertChain(B, CA_A)) |
인증 수행시 단말기(101)는 메시지1(또는 메시지1-1)(104)을 망(102)에 보내고, 이를 수신한 망(102)은 필요시 자신의 인증기관(103)과 메시지A(105)와 메시지B(106)를 송수신한다. 망은 메시지2(또는 메시지2-1)(107)을 생성하여 단말기에 보내고, 단말기는 메시지3(또는 메시지3-1)(108)을 생성하여 망(102)에 보낸 다.
도 2a 내지 도 2c 는 본 발명에 따른 무선통신시스템에서의 인증 및 키 설정 방법에 대한 단말기에서의 일실시예 흐름도이다.
도 2a 내지 도 2c 는 본 발명에 따른 단말기에서 수행되는 인증 및 키 설정 과정의 흐름도이다.
단말기(101)는 망(102)에서 방송되는 망의 공개키 인증서(BCert)와 망 인증기관의 식별자(CA_B)를 수신한다(201).
새로이 망(102)에 위치 등록하여 인증이 수행되는 상황인지를 단말기(101)가 판단한다(202).
판단 결과, 단말기(101)는 새 위치등록이 아닌 경우, 즉 단말기(101)가 자신이 현재 등록되어 있는 방문자 위치등록 장치(VLR : Visitor Location Register) 영역에 있을 때(이 경우 단말기(101)는 망(102)의 공개키(BPubKey)를 저장하고 있고, 망(102)은 단말기(101)의 공개키(APubKey)를 저장하고 있다), 단말기(101)는 난수(rA)를 발생시키고(203), 망의 공개키(BPubKey)로 생성한 난수를 암호화하여(204), 메시지1을 망으로 보낸다(205). 그 후, 단말기(101)는 메시지2를 수신하는데(206), 메시지2에는 단말기에서 생성한 난수를 임시 비밀키로 암호화한 값과 망에서 생성한 난수가 포함되어 있다. 따라서 단말기에서는 메시지2에 포함된 망에서 생성한 난수(rB)와 단말기 자신이 생성하여 망으로 전송한 난수(rA)를 사용하여 임시 비밀키(SessKeyAB)를 생성한다(207).
이때, 임시 비밀키(SessKeyAB)는 다음의 [수학식 1]과 같이 얻어진다.
수학식 1에서 임시 비밀키는 망에서 생성한 난수와 단말기에서 생성한 난수에 대해 일방성을 가진 해쉬함수(f)를 계산함으로서 획득될 수 있다.
단말기(101)는 임시 비밀키(SessKeyAB)를 사용하여 메시지2에 포함된 암호화되어 있는 단말기에서 생성한 난수(rA)를 복호화하여(208), 자신이 보낸 난수(rA)와 동일한지 확인한다. 동일한 것으로 확인되면 단말기는 망의 식별자(B), 단말기에서 생성한 난수(rA), 망에서 생성한 난수(rB)를 자신의 비공개키(APriKey)로 서명하고(209), 자신의 식별자(A)를 임시 비밀키로 암호화하여(210), 메시지3을 망(102)으로 보낸다(211).
새로이 망(102)에 위치 등록하여 인증이 수행되는 상황인지를 단말기(101)가 판단한 결과, 단말기가 새 위치등록인 경우라면, 즉, 단말기가 새로운 VLR 영역에서 위치등록을 시도하는 경우라면, 수신한 망 인증기관의 식별자(CA_B)가 자신의 인증기관의 식별자(CA_A)와 동일한지 확인하여(212), 만일 동일하다면 저장하고 있던 단말기 인증기관의 공개키(CA_APubKey)를 사용하여 망의 공개키 인증서(BCert)를 검증한다(213). 그 후 단말기는 난수(rA)를 발생하고(214), 망의 공개키(BPubKey)로 생성된 난수를 암호화하여(215), 메시지1-1을 망(102)으로 보낸다(216).
이 후, 단말기(101)는 메시지2를 수신하고(217), 망에서 생성한 난수(rB)와 단말기가 생성한 난수(rA)를 사용하여 임시 비밀키(SessKeyAB)를 생성한다(218). 단말기는 임시 비밀키를 사용하여 단말기에서 생성한 난수(rA)를 복호화하여(219), 자신이 보낸 단말기에서 생성한 난수(rA)와 동일한지 확인한다. 그 후 단말기는 망 식별자(B), 단말기가 생성한 난수(rA), 망에서 생성한 난수(rB)를 자신의 비공개키(APriKey)로 서명하고(220), 자신의 인증서(ACert)를 임시 비밀키로 암호화하여(221), 메시지3-1을 생성하여 망으로 보낸다(222).
수신한 망 인증기관의 식별자(CA_B)가 자신의 인증기관의 식별자(CA_A)와 동일한지 확인한 결과, 망 인증기관의 식별자(CA_B)가 자신의 인증기관의 식별자(CA_A)와 동일하지 않다면(212), 단말기는 난수(rA)를 발생하고(223), 망의 공개키(BPubKey)로 생성한 난수를 암호화하여(224), 메시지1-1을 망(102)으로 보낸다(225).
단말기는 메시지2-1을 수신하고(226), 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))으로부터 신뢰할 수 있는 망 인증기관의 공개키(CA_BPubKey)를 추출하여(227), 망의 공개키 인증서(BCert)를 검증한다(228).
단말기(101)는 망에서 생성한 난수(rB)와 단말기가 생성한 난수(rA)를 사용하여 임시 비밀키(SessKeyAB)를 생성하고(229), 상기 임시 비밀키를 사용하여 단말기가 생성한 난수(rA)를 복호화하여(230), 자신이 보낸 단말기가 생성한 난수(rA)와 동일한지 확인한다. 그 후 단말기는 망 식별자(B), 단말기가 생성한 난수(rA), 망에서 생성한 난수(rB)를 자신의 비공개키(APriKey)로 서명하고(231), 자신의 인증서(ACert)를 임시 비밀키로 암호화하여(232), 메시지3-1을 생성하여 망으로 보낸다(233).
도 3a 내지 도 3c 는 본 발명에 따른 무선통신시스템에서의 인증 및 키 설정 방법에 대한 망에서의 일실시예 흐름도이다.
도 3a 내지 도 3c 는 본 발명에 따른 망에서 수행되는 인증 및 키 설정 과정의 흐름도를 나타내고 있다.
단말기(101)가 새로이 망(102)에 위치 등록하여 인증이 수행되는 상황인지를 망(102)측에서 판단한다(301). 판단 결과, 망(102)은 새 위치등록이 아닌 경우, 단말기가 전송한 메시지1(104)을 수신하여(302), 자신의 비공개키(BPriKey)를 이용하여 단말기(101)가 생성한 난수(rA)를 복호화하고(303), 망(102)에서 난수(rB)를 발생시킨다(304).
망(102)은 단말기(101)가 생성한 난수(rA)와 망에서 생성한 난수(rB)를 사용하여 임시 비밀키(SessKeyAB)를 생성하고(305), 메시지2를 생성하여 단말기로 전송한다(306). 망(102)에서 메시지3을 수신하여(307), 자신이 생성한 임시 비밀키(SessKeyAB)를 이용하여 단말기(101)의 식별자(A)를 복호화한다(308). 망(102)은 단말기의 식별자(A)를 통해 자신이 저장하고 있는 단말기(101)의 공개키(APubKey)를 찾아 수신한 단말기(101)의 서명(APriKey{B, rA, rB})을 검증한다(309).
단말기(101)가 새로이 망(102)에 위치 등록하여 인증이 수행되는 상황인지를 망(102)측에서 판단한 결과, 새 위치등록인 경우, 메시지1-1을 망(101)이 단말기(102)로부터 수신하고(310), 단말기의 인증기관(CA_A)이 망의 인증기관(CA_B)과 동일한지 확인한다(311). 확인 결과, 동일하다면 망은 단말기가 생성한 난수(rA)를 복호화하고(312), 망(102)에서 생성하는 난수(rB)를 발생시킨다(313).
망(102)은 단말기가 생성한 난수(rA)와 망에서 생성한 난수(rB)를 사용하여 임시 비밀키(SessKeyAB)를 생성하고(314), 메시지2를 생성하여 단말기로 전송한다(315).
망(102)은 단말기(101)로부터 메시지3-1을 수신하고(316), 자신이 생성한 임시 비밀키(SessKeyAB)를 이용하여 단말기의 공개키 인증서(ACert)를 복호화한다(317).
망(102)은 자신이 저장하고 있던 단말기 인증기관의 공개키(CA_APubKey)를 사용하여 단말기(101)의 공개키 인증서(ACert)를 검증하고(318), 신뢰할 수 있는 단말기의 공개키(APubKey)를 추출한다. 망(102)은 단말기의 공개키(APubKey)를 사용하여 수신한 단말기의 서명(APriKey{B, rA, rB})를 검증한다(319).
단말기의 인증기관(CA_A)이 망의 인증기관(CA_B)과 동일한지 확인한 결과, 단말기의 인증기관(CA_A)이 망의 인증기관(CA_B)과 동일하지 않다면, 망(102)은 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 자신이 가지고 있는지 확인한다(320). 단말기 인증기관의 공개키(CA_APubKey)는 망(102)이 단말기(101)가 보내온 단말기의 공개키 인증서(ACert)를 검증하는데 필요하며, 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))은 단말기(101)가 망(102)에서 방송한 망의 공개키 인증서(BCert)를 검증하는데 사용되는 망 인증기관의 공개키(CA_BPubKey)를 얻기 위해 필요하다.
망(102)은 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 자신이 가지고 있는지 확인한 결과, 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 가지고 있다면, 단말기가 생성한 난수(rA)를 복호화하고(321), 망에서 생성하는 난수(rB)를 발생시킨다(322).
망(102)은 단말기가 생성한 난수(rA)와 망에서 생성하는 난수(rB)를 사용하여 임시 비밀키(SessKeyAB)를 생성하고(323), 메시지2-1을 생성하여 단말기(101)로 전송한다(324).
망(102)에서는 메시지3-1을 수신하고(325), 자신이 생성한 임시 비밀키(SessKeyAB)를 이용하여 단말기의 공개키 인증서(ACert)를 복호화한다(326).
망(102)은 자신이 저장하고 있는 단말기 인증기관의 공개키(CA_APubKey)를 사용하여 단말기의 공개키 인증서(ACert)를 검증하고(327), 신뢰할 수 있는 단말기의 공개키(APubKey)를 추출한다(328).
망(102)은 단말기의 공개키(APubKey)를 사용하여 수신한 단말기의 서명(APriKey{B, rA, rB})을 검증한다(328).
망(102)은 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 자신이 가지고 있는지 확인한 결과, 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 가지고 있지 않다면, 온라인으로 자신의 인증기관인 망 인증기관(CA_B)에 망의 식별자(B)와 단말기 인증기관의 식별자(CA__A)에 대한 정보를 담은 메시지A를 보내(329), 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키(CA_APubKey)를 요구한다.
메시지A를 수신한 망 인증기관(CA_B)(여기서, 망의 인증기관(CA_B)은 로밍 서비스 협약이 체결된 모든 사업자/망의 인증기관의 공개키를 얻을 수 있는 인증서 체인을 가지고 있다고 가정)은 자신이 저장하고 있던 망 인증기관의 공개키에 대한 인증서 체인(CertChain(A, CA_B))과 단말기 인증기관의 공개키에 대한 인증서 체인(CertChain(B, CA_A))을 메시지B에 실어 망(102)으로 보낸다.
망(102)은 메시지B를 수신하여(330) 단말기 인증기관의 공개키에 대한 인증서 체인(CertChain(B, CA_A))으로부터 단말기 인증기관의 공개키(CA_APubKey)를 얻 는다(331). 이후 단말기가 생성한 난수(rA)를 복호화하는 과정(321)부터 반복 수행한다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 무선통신시스템에서 인증서를 사용하는 공개키 기반의 상호 인증 및 키 설정에 관한 것으로서, 단말기와 망간의 상호 인증과 데이터의 암호화에 필요한 임시 비밀키의 생성을 암호학적으로 안전하고 효율적으로 수행할 수 있는 효과가 있다.
Claims (4)
- 단말기 식별자와 단말기의 공개키 인증서와 단말기의 비공개키와 단말기 인증기관의 공개키와 망의 공개키를 저장하는 단말기와, 망의 식별자와 망의 공개키 인증서와 망의 비공개키와 망 인증기관의 공개키를 저장하는 망측 장치를 포함하는 무선통신 시스템에서의 인증 및 키 설정 방법에 있어서,단말기의 새로운 위치 등록 시 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 식별자가 단말기 인증기관의 식별자와 동일한지 확인하는 제1 단계;상기 제1 단계에서 동일한 경우, 상기 단말기가 상기 저장된 단말기 인증기관의 공개키를 이용해 수신된 망의 공개키 인증서를 검증하는 제2 단계;상기 검증 수행 후, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제3 단계;상기 제3 단계의 수행 결과로 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제4 단계;상기 제4 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제5 단계;상기 제1 단계에서 동일하지 않은 경우, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제6 단계;상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 공개키에 대한 인증서 체인으로부터 상기 망 인증 기관의 공개키를 추출하여 망의 공개키 인증서를 검증하는 제7 단계;상기 제7 단계 수행 후, 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제8 단계; 및상기 제8 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제9 단계를 포함하는 인증 및 키 설정 방법.
- 제 1 항에 있어서,상기 임시 비밀키는, 상기 단말기에서 생성된 난수와 상기 망측 장치에서 생성된 난수에 대해 해쉬함수를 적용하는 것에 의해 획득되는 것을 특징으로 하는 인증 및 키 설정 방법.
- 단말기 식별자와 단말기의 공개키 인증서와 단말기의 비공개키와 단말기 인증기관의 공개키와 망의 공개키를 저장하는 단말기와, 망의 식별자와 망의 공개키 인증서와 망의 비공개키와 망 인증기관의 공개키를 저장하는 망측 장치를 포함하는 무선통신 시스템의 프로세서에서,단말기의 새로운 위치 등록 시 상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 식별자가 단말기 인증기관의 식별자와 동일한지 확인하는 제1 단계;상기 제1 단계에서 동일한 경우, 상기 단말기가 상기 저장된 단말기 인증기관의 공개키를 이용해 수신된 망의 공개키 인증서를 검증하는 제2 단계;상기 검증 수행 후, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제3 단계;상기 제3 단계의 수행 결과로 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제4 단계;상기 제4 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제5 단계;상기 제1 단계에서 동일하지 않은 경우, 상기 단말기가 상기 망의 공개키로 암호화한 난수와 상기 단말기 인증기관의 식별자를 상기 망측 장치로 전송하는 제6 단계;상기 단말기가 상기 망측 장치로부터 수신된 망 인증기관의 공개키에 대한 인증서 체인으로부터 상기 망 인증 기관의 공개키를 추출하여 망의 공개키 인증서를 검증하는 제7 단계;상기 제7 단계 수행 후, 상기 망측 장치로부터 수신된 정보를 이용해 상기 단말기와 상기 망측 장치가 임시 비밀키를 서로 공유하는 제8 단계; 및상기 제8 단계 수행 후, 상기 단말기의 비공개키로 서명한 서명값과, 상기 임시 비밀키를 이용해 암호화한 상기 단말기의 공개키 인증서를 상기 망측 장치로 전송하는 제9 단계를 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019990059056A KR100658300B1 (ko) | 1999-12-18 | 1999-12-18 | 무선통신시스템에서의 인증 및 키 설정 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1019990059056A KR100658300B1 (ko) | 1999-12-18 | 1999-12-18 | 무선통신시스템에서의 인증 및 키 설정 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20010064766A KR20010064766A (ko) | 2001-07-11 |
| KR100658300B1 true KR100658300B1 (ko) | 2006-12-14 |
Family
ID=19627009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1019990059056A KR100658300B1 (ko) | 1999-12-18 | 1999-12-18 | 무선통신시스템에서의 인증 및 키 설정 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100658300B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170119645A (ko) * | 2016-04-19 | 2017-10-27 | 주식회사 엔지스테크널러지 | 차량 시스템의 소프트웨어 보안 업데이트 방법 및 장치 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100499122B1 (ko) * | 2000-03-29 | 2005-07-04 | 삼성전자주식회사 | 패스워드를 이용한 인증 시스템 및 그 방법 |
| KR20020088736A (ko) * | 2001-05-21 | 2002-11-29 | 미테이크 인포메이션 코퍼레이션 | 모빌 커머스 왑 데이터 전송 섹션의 단대단 실시간 암호화처리 및 그 모듈 |
| KR20010079161A (ko) * | 2001-06-19 | 2001-08-22 | 김영진 | 무선통신환경에서 인증서를 사용한 장치 인증 및 통신암호 키 분배 방법 |
| KR100725734B1 (ko) * | 2004-07-05 | 2007-06-08 | 에스케이 텔레콤주식회사 | 무선인터넷 단말기의 암호서명 검증방법 |
| KR100954915B1 (ko) * | 2008-04-01 | 2010-04-27 | 권경아 | 메신저 기반의 웹사이트 관리시스템 및 그 방법 |
-
1999
- 1999-12-18 KR KR1019990059056A patent/KR100658300B1/ko not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170119645A (ko) * | 2016-04-19 | 2017-10-27 | 주식회사 엔지스테크널러지 | 차량 시스템의 소프트웨어 보안 업데이트 방법 및 장치 |
| KR101963776B1 (ko) * | 2016-04-19 | 2019-07-31 | 주식회사 엔지스테크널러지 | 차량 시스템의 소프트웨어 보안 업데이트 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20010064766A (ko) | 2001-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101822082B (zh) | 用于uicc和终端之间安全信道化的技术 | |
| Xu et al. | Security issues in privacy and key management protocols of IEEE 802.16 | |
| US6249867B1 (en) | Method for transferring sensitive information using initially unsecured communication | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| US9392453B2 (en) | Authentication | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| US20060291660A1 (en) | SIM UICC based broadcast protection | |
| Saxena et al. | Authentication protocol for an IoT-enabled LTE network | |
| US8380980B2 (en) | System and method for providing security in mobile WiMAX network system | |
| KR20080053177A (ko) | 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법 | |
| CN101741555A (zh) | 身份认证和密钥协商方法及系统 | |
| WO2018076564A1 (zh) | 车辆通信中的隐私保护方法及隐私保护装置 | |
| CN100456884C (zh) | 无线通信系统中的重认证方法 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| KR100658301B1 (ko) | 무선통신시스템에서의 공개키 기반 상호 인증 방법 | |
| Zheng et al. | Trusted computing-based security architecture for 4G mobile networks | |
| KR100658300B1 (ko) | 무선통신시스템에서의 인증 및 키 설정 방법 | |
| Juang et al. | Efficient 3GPP authentication and key agreement with robust user privacy protection | |
| CN101162955B (zh) | 一种手机电视业务系统获取注册密钥的方法 | |
| KR100588724B1 (ko) | 포워드비밀을 제공하는 무선통신시스템에서의 인증 및 키설정 방법 | |
| KR100458955B1 (ko) | 무선랜 보안 방법 | |
| Schنfer et al. | Current Approaches to Authentication in Wireless and Mobile Communications Networks | |
| Køien | Privacy enhanced device access | |
| JPH0951575A (ja) | 移動通信における認証方法および移動通信システム | |
| CN116325656A (zh) | 通信网络中敏感用户数据的保护 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20111201 Year of fee payment: 6 |
|
| LAPS | Lapse due to unpaid annual fee |