KR100729725B1 - 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템 - Google Patents

무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템 Download PDF

Info

Publication number
KR100729725B1
KR100729725B1 KR1020050037434A KR20050037434A KR100729725B1 KR 100729725 B1 KR100729725 B1 KR 100729725B1 KR 1020050037434 A KR1020050037434 A KR 1020050037434A KR 20050037434 A KR20050037434 A KR 20050037434A KR 100729725 B1 KR100729725 B1 KR 100729725B1
Authority
KR
South Korea
Prior art keywords
authentication
base station
authentication mode
handover
key
Prior art date
Application number
KR1020050037434A
Other languages
English (en)
Other versions
KR20060088806A (ko
Inventor
윤철식
윤미영
장성철
Original Assignee
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
삼성전자주식회사
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 삼성전자주식회사, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 한국전자통신연구원
Publication of KR20060088806A publication Critical patent/KR20060088806A/ko
Application granted granted Critical
Publication of KR100729725B1 publication Critical patent/KR100729725B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0066Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 휴대 인터넷에서의 인증 방법 및 그 시스템에 관한 것이다.
본 발명은 무선 휴대 인터넷 시스템에서 핸드오버 발생시, 타겟 기지국과의 인증을 신속하면서도 다양한 인증모드를 지원할 수 있도록 핸드오버의 과정중 또는 그 이전에 서빙 기지국을 통해 타겟 기지국과의 인증 모드 협상을 수행한다. 상기 인증 모드 협상에 포함된 가입자 단말의 인증 능력에 대응하여 타겟 기지국 후보들은 인증 모드를 지정하여 가입자 단말로 전송한다. 타겟 기지국이 결정되면, 기지국의 고유 특성과 무관한 키를 이용하여 인증키가 생성된다.
무선 휴대 인터넷, 핸드 오버, 인증, PAK, PMK, AAA 서버

Description

무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템{Method for authorization in wireless portable internet and system thereof}
도 1은 핸드오버시에 종래 기술에 따른 인증 정보 전달 방법을 도시한 도면이다.
도 2는 본 발명의 실시예에서 적용되는 보안키 생성 및 분배 방식을 도식화한 도면이다.
도 3은 본 발명의 실시예에 따른 인증 시스템을 개략적으로 도시한 도면이다.
도 4는 본 발명의 실시예에 따른 인증 시스템에서의 신호 흐름도를 도시한 도면이다.
도 5는 본 발명의 실시예에 따른 인증 모드 협상 방법을 도시한 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른 인증모드 협상 방법을 도시한 흐름도이다.
도 7은 본 발명의 실시예에서 구체적인 인증 모드 협상 방법을 도시한 흐름도이다.
도 8은 본 발명의 실시예에 따라 인증키를 생성하는 구체적인 예를 도시한 도면이다.
본 발명은 무선 휴대 인터넷에서 가입자 단말이 다른 기지국으로 핸드오버가 발생하는 경우 인증 방법 및 그 시스템에 관한 것이다.
더욱 상세하게는 무선 휴대 인터넷 시스템에서 다양한 인증 및 권한 검증모드에 통합적으로 적용될 수 있는 인증 방법 및 그 시스템에 관한 것이다.
무선 휴대 인터넷은 종래의 무선 LAN 과 같이 고정된 억세스 포인트를 이용하는 근거리 데이터 통신 방식에 이동성(mobility)을 더 지원하는 차세대 통신 방식이다.
이러한 무선 휴대 인터넷은 다양한 표준들이 제안되고 있으며, 현재 IEEE 802.16e등을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다.
한편, 무선 휴대 인터넷을 포함하는 이동통신 시스템에서 적법한 사용자를 인증하고 서비스 권한을 검증한다(이후로는 "인증(authorization)" 이라는 용어를 통합적인 의미로 사용한다). 전술한 인증을 통하여, 가입자 단말의 사용자가 시스템으로부터 서비스를 받는 동안 안전하게 데이터를 보호하기 위한 암호화키를 분배하고 갱신하는 일련의 작업을 수행하게 된다. 이를 위하여, 각 이동통신 시스템에서는 인증 및 서비스 권한 검증 모드에 따라 다양한 형태의 키의 생성 및 분배 방식들을 지원한다.
예를 들어, IEEE 802.16에서는 인증서를 사용하는 RSA 기반의 인증 및 권한 검증 모드와 EAP(Extensible Authentication Protocol ) 기반의 사용자 인증 및 권한 검증 모드와, 상기 EAP 와 RSA 두 가지 모드의 복합 형태 등 다양한 형태의 인증 및 권한 검증 모드를 이용할 수 있다.
한편, 이동 통신 시스템에서, 서비스 제공 중에 관할 기지국을 변경하는 핸드오버 기능은 이동성을 중시하는 이동통신 시스템에서는 매우 중요한 요소이다.
이동통신 시스템에서 원활한 핸드오버 기능을 제공하기 위해서는 핸드오버 과정이 신속하게 일어나도록 그 절차를 단축하여야 할 필요성이 있다. 즉, 초기 망 접속의 경우와는 달리, 타겟 기지국에서는 인증과정에 필요한 정보를 기존 서빙 기지국으로부터 전달 받음으로써 그러한 절차를 단축할 수도 있다.
종래 기술에서는, 전술한 인증 과정을 생략 또는 단축하기 위해서는 다음과 같은 방법을 사용하였다.
도 1은 핸드오버시에 종래 기술에 따른 인증 정보 전달 방법을 도시한 도면이다.
종래 기술에서는, 핸드오버시에는 보안 관련된 모든 정보 (또는, 보안 맥락 전달; security context transfer)를 서빙 기지국(20)에서 타겟 기지국(21)으로 전달한다. 이러한 보안 맥락 전달 과정에서는 핸드오버하는 단말과 타겟 기지국과는 별도의 인증 과정을 거치지 않으며, 기존 서빙 기지국(20)에서 사용하는 인증키(authentication key)를 타겟 기지국(21)에서도 계속하여 사용할 수 있게 된다.
도 1에 도시된 바와 같이, 종래 기술에서는 가입자 단말(10)이, 기지국(20)에서 기지국(21)으로 핸드오버를 수행하는 경우에는 핸드오버 요청 메시지를 통해 현재의 서빙 기지국(20)에 타겟 기지국의 후보 리스트(BS #2, #3, #4)를 전송한다. 이에 응답하여, 서빙 기지국(20)은 백본 연결을 통해 상기 후보 리스트에 있는 기지국 들이 타겟 기지국이 될 수 있는 지를 정보를 받아온 후, 핸드오버 응답 메시지를 통해 타겟 기지국을 추천(BS#2, #3)하게 된다.
가입자 단말은 추천된 타겟 기지국 중 하나(BS #2)를 선택하여 결정하게 되고, 핸드오버 통지 (Handover indication) 메시지를 전송하고, 핸드오버를 수행하게 된다. 타겟 기지국이 정해지면 약속된 프레임 이후부터는 타겟 기지국(21)과 망 재접속 과정을 진행하게 된다. 서빙 기지국 (20)과 타겟 기지국 (21)은 핸드오버 과정에서 연결 설정 정보의 전달 뿐만 아니라 보안 맥락 전달 (Security Context Transfer)도 수행하게 되며, 이에 따라 타겟 기지국(21)으로의 망 재진입시 인증 절차가 생략될 수 있다.
그러나 한편으로는 보안적인 측면에서 한 기지국과 그 기지국이 서비스를 제공하고 있는 단말간에 사용하는 암호화키를 다른 기지국과 단말의 쌍에서 재사용하는 것은 금기되고 있다. 이는 동일한 키로 암호화된 정보가 무선 구간에서 중복하여 전송되는 것과 같은 효과를 내므로 암호학적 측면에서 취약하다는 것에 근거한다. 따라서 전술한 종래 기술은 이동통신 시스템의 핸드오버에 있어서 보안성이 취약하다는 문제점이 존재한다.
또 다른 종래 기술에 있어서, 인증키는 핸드오버 이후에 타겟 기지국과 단말 사이에서 재 생성하지만, 키의 생성을 위한 인증 과정은 기존 서빙 기지국을 통하여 핸드오버 단말과 타겟 기지국 사이에서 사전에 수행하는 개념으로서, 보안을 위 한 암호학적 측면에서는 더 발전된 개념이다.
하지만, 현재 적용되는 사전 인증 개념은 EAP 기반의 인증 모드에서만 유효한 개념으로서, 다양한 인증 모드에 공통적으로 적용되지 않는다는 단점이 있다. 더욱 상세히 설명하면, 사전 인증 정보의 교환은 마스터 키(Master Key)를 생성하기 위한 것이며, 실제로 사용될 인증키(AK)를 생성하기 위한 것은 아니다. 인증 키 (Authorization Key; AK)는 마스터 키를 사용하여 단말과 기지국의 고유 식별자 (BS ID, SS ID) 등을 입력 정보로 하여 생성된다. 따라서, 무선 구간에서는 동일한 인증 키가 사용될 필요가 없으므로 핸드오버 과정에서 보다 더 안전하게 키를 전달할 수 있게 된다. 이 때에도 역시, 타겟 기지국 (BS #2)으로의 망 재진입시 인증 키를 생성하기 위한 절차가 일부 생략될 수 있으므로 보다 신속한 핸드오버가 가능하다.
그러나, 전술한 종래 기술의 사전 인증 방식은 인증 서버 (AAA server) 등과 같은 중앙 집중적 서버에 의하여 마스터 키가 할당되는 방식에만 사용될 수 있다는 단점이 있다. 즉, RSA 방식과 같이 인증서(certification)를 교환하는 방식을 사용하는 인증 모드에 대해서는 아무런 사전 인증 방안이 지원되지 않는다는 문제가 있다. 따라서, 무선 휴대 인터넷 시스템과 같이 다양한 인증방식이 혼합된 이동통신 시스템에서는 다양한 인증모드를 지원하지 못한다는 문제점이 존재한다.
본 발명은 전술한 종래 기술의 문제점을 해결하기 위하여, 다양한 인증 모드에서도 공통적으로 적용될 수 있는 인증 방법 및 그 시스템을 제공한다.
또한, 본 발명은 핸드오버시에 신속하게 인증 절차를 수행함과 더불어 보안성을 보장할 수 있는 인증 방법 및 시스템을 제공한다.
전술한 본 과제를 해결하기 위하여, 본 발명의 특징에 따른 핸드 오버 방법은, a) 핸드오버가 필요한 시점에, 서빙 기지국이 가입자 단말이 지원할 수 있는 인증 능력을 포함한 인증 모드 협상 요청을 수신하는 단계; b) 상기 인증 모드 협상 요청에 관한 정보를 후보 타겟 기지국으로 전송하는 단계; c) 상기 후보 타겟 기지국에 대하여 인증 모드 협상 결과를 수집하는 단계; d) 상기 인증 모드 협상 결과 정보를 상기 후보 타겟 기지국중 적어도 일부의 기지국 식별자와 함께 가입자 단말에 전송하는 단계; 및 e) 상기 인증 모드 협상 결과에 기초하여, 기지국의 고유 정보와 무관한 제 1 키를 타겟 기지국 후보간에 공유하여 인증키를 생성 및 분배하는 단계를 포함한다.
여기서, 상기 인증 모드 협상 요청 정보는 핸드오버 요청 메시지에 포함되어 서빙 기지국에 전송되고, 상기 인증 모드 협상 결과 정보는 핸드오버 응답 메시지 포함되어 가입자 단말에 전송될 수 있다.
또한, 상기 인증 모드 협상 요청 정보는 사전인증 요청 메시지에 포함되어 서빙 기지국에 전송되고, 상기 인증 모드 협상 결과 정보는 사전인증 응답 메시지 포함되어 가입자 단말에 전송될 수 있다.
또한 본 발명의 특징에 따른 핸드오버 시스템은, 가입자 단말을 무선 링크를 통해 백본망과 접속시키며, 서로 핸드오버가 가능한 제 1 기지국 및 제 2 기지국 및; 상기 제 1 기지국 및 제 2 기지국의 고유 정보와 무관하며 무작위로 생성되는 PAK(Primary Authorization Key) 및 사용자 인증 과정을 통해 마스터 세션키를 생성하는 통합 인증 서버를 포함한다. 여기서, 핸드오버에 의한 새로운 인증이 발생하는 경우, 가입자 단말과의 인증 모드 협상 결과에 따라 상기 PAK 또는 상기 마스터 세션 키의 일부를 상기 제 1 기지국 및 제 2 기지국간에 공유하게 된다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
이제 본 발명의 실시예에 따른 무선 휴대 인터넷에서의 인증 방법 및 시스템에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 2는 본 발명의 실시예에서 적용되는 보안키 생성 및 분배 방식을 도식화한 도면이다.
본 발명의 실시예에서 적용되는 키 생성은 크게 인증서 방식(예를 들어 X.509)과, 사용자 인증을 위한 EAP 방식으로 구분된다.
여기서, 인증서에 의한 인증방식은 단말의 인증서를 이용한 기지국에서의 단말의 인증을 수행하거나 또는 기지국의 인증서를 이용한 단말에서의 기지국의 인증 을 수행한 후, 기지국은 암호학적으로 강인한 무작위로 생성된 번호를 생성하여 PAK(Primary Authorization Key)(310)로 삼는다.
그 다음 단말의 공개키(public key)를 사용하여 RSA 방식으로 암호화하여 단말에게 전달함으로써 단말과 기지국은 PAK를 공유하게 된다.
여기서, 상기 PAK을 사용자 인증을 위한 EAP (Extensible Authentication Protocol)방식의 인증을 적용할 경우, 기지국과 단말은 EAP 메시지들을 보안성 있게 전송하기 위하여 EAP 메시지를 암호화하기 위한 키인 EEK (EAP Encryption Key)와 무결성을 점검하기 위한 키인 EIK (EAP Integrity Key)를 생성한다(320).
한편, EAP 방식의 사용자 인증을 위한 과정은 상위 계층간의 EAP 메시지의 교환을 통하여 수행되며, 그 결과로서 MSK(Master Session Key; 512 bits)를 단말과 AAA 서버와 같은 인증 서버 양측에서 생성하며, 기지국으로 전달한다 (330). RSA 방식과 결합되는 경우에는 EAP 메시지를 암호화하여 주고 받으며, RSA 과 결합되지 않고 EAP 방식만으로 사용되는 경우에는 EAP 메시지의 MAC 계층에서의 암호화는 수행되지 않는다. 다음, MSK의 가장 왼쪽의 160 비트만을 취하여 PMK (Primary Master Key)를 생성한다 (340).
이후, 인증 모드에 따라 입력 파라미터들을 달리하는 키 분배 함수(KDF)에 의하여 인증키 (AK; Authorization Key)를 생성한다 (350). 이 때, 기지국 및 단말에 고유한 키를 생성하기 위하여 단말 및 기지국의 식별자 (SSID, BSID)가 입력 파라미터로서 포함되어 생성된다.
이후, 무선 휴대 인터넷 시스템에서 규정하는 키분배 함수(KDF)를 이용하여 트래픽, 중요 관리 메시지, 멀티캐스트 관련 정보에 대한 암호화 키를 생성한다(360, 370, 380, 390).
한편 종래 기술에 있어서 상기 인증서는 기지국 단위에서, 고유 기지국 식별자(BSID)에 의존하여 생성되기 때문에 핸드오버시에 다양한 모드에 대한 인증 절차의 감축을 수행할 수 없다. 즉, MSK 에와 같은 중앙 서버에서 제공하는 정보는 기지국 간에 공유될 수 있으며, 기지국 특성에 기반하여 생성된 인증서의 경우에는 보안성을 유지하면서 기지국간의 공유가 불가능하였다.
따라서, 본 발명의 실시예에서 상기 PAK 및 PMK는 특정 기지국에 한정되지 않도록 기지국의 식별자 등이 포함되지 않는다. 또한, PAK의 생성을 특정 서빙 기지국에 한정하지 않으며, 인증 서버 등(이하, 본 발명의 실시예에서는 통합 인증 서버라 칭한다)에 의하여 할당되고 기지국으로 분배될 수 있는 개념으로 확장하여 적용한다. 즉, PAK는 기지국에 의하여 할당될 수도 있고, 또한 통합 인증 서버 (예를 들어, AAA 서버)에 의하여 생성되어 각각의 기지국에 분배될 수도 있다. 따라서, PAK와 PMK는 기지국간에 공유되어 사용되어도 문제가 없다
그러므로, 본 발명의 실시예에서는 복수의 인증모드가 복합적으로 사용될 수 있으며, 이러한 키 생성 분배 방식에 의해 핸드오버중 신속한 사용자 인증 또는 가입자 단말 인증을 수행할 수 있다.
도 3은 본 발명의 실시예에 따른 인증 시스템을 개략적으로 도시한 도면이다.
본 발명의 실시예에 따르면 가입자 단말(MSS)의 핸드오버가 발생하는 경우에 는 핸드오버 이전 또는 핸드오버 과정 중에 인증모드 협상을 수행하게 된다.
상기 인증모드 협상은 가입자 단말의 서비스 능력(capability)과 관련된 정보를 서빙 기지국에 전송함에 의해, 인증 정책에 대하여 협상을 하게된다. 즉, 전술한 EAP 인증방식, RSA 방식 또는 EAP 와 RSA의 혼합모드와 같이 복합적인 인증 정책에 대해 가입자 단말과 핸드오버할 타겟 기지국과 협상하게 된다.
예를 들어, 가입자 단말(MSS)이 현재 서빙 기지국과 통화중인 상태에서 타겟 기지국으로 이동할 경우에는 단말 인증 방식이며, 큰 오버헤드를 요구하는 RSA 인증 방식은 비효율적이다. 하지만 이러한 경우에도 타겟 기지국과의 인증 모드 협상이 이뤄져야 한다.
따라서, 가입자 단말은 자신의 서비스 능력을 모두 제시하고, 타겟 기지국 이 이에 대한 인증 모드를 선택하여 통보함으로써 인증 모드 협상을 하게된다.
한편, 전술한 인증모드 협상을 통해 다양한 인증 방식에 대한 협상이 이루어지고 핸드오버에 지원되기 위해서는, 전술한 바와 같이, 통합 인증 서버(100)가 기지국 특성에 의존하지 않는 PMK, PAK를 기지국에 제공한다는 것이 전제되어야 한다. 여기서, 상기 PAK 등은 특정 기지국의 특성(예를 들어, 기지국 식별자)에 한정되지 않는 특성만 가진다면. 본 발명의 목적을 달성할 수 있기 때문에 서빙 기지국이 생성하여 타겟 기지국에게 제공하는 방식 역시 본 발명의 범주에 포함될 수 있다. 따라서, 상기 통합 인증 서버(100)는 서빙 기지국에 통합적으로 구현될 수 있다.
따라서 본 발명의 실시예에서는 핸드오버시에, 가입자 단말(MSS)은 기지국이 공유할 수 있는 인증모드에 대한 협상을 수행하고, 상기 인증 정책이 결정되면 핸드오버 과정중에서 상기 특정 기지국의 고유 정보와 무관한 키를 기지국간에 공유하게 함으로써 신속하게 다양한 인증방식을 지원하게 된다.
상기 인증 모드 협상은 핸드오버 요청/응답 메시지를 이용하거나, 사전 인증 요청/응답 메시지를 이용하여 수행될 수 있다.
이하, 본 발명의 실시예에 따른 시스템에서의 신호흐름에 대해 상세히 설명한다.
도 4는 본 발명의 실시예에 따른 인증 시스템에서의 신호 흐름도를 도시한 도면이다.
가입자 단말은 최초 네트워크 진입시에 기지국(20)에 자신의 기본 서비스 능력에 대해 모두 제시하고, 기본 서비스 능력에 대한 협상을 수행한다. 상기 기본 서비스 능력 정보에는 인증 모드에 관한 정보도 포함되어 있다(S100, S110). 여기서 기본 서비스 능력의 협상은 예를 들어, IEEE 802.16e에서 규정하는 MAC 메시지인 SBC-REQ, SBC-RSP를 이용하여 수행될 수 있다.
최초 네트워크 진입시 이루어진 인증 모드 협상 결과에 따라, 통합 인증 서버(100)는 도 2에 도시된 계위(hierarchy)에 따라 인증키를 생성 및 분배한다. 상기 인증키 생성 및 분배는, 전술한 본 발명의 실시예에 따라 특정 기지국에 한정되지 않는 PAK 또는 PMK에 기지국 식별자 또는 단말 식별자등이 더 부가되어 무선 휴대 인터넷 시스템이 규정하는 키 분배 함수에 의해 수행된다. 서빙 기지국(20) 또는 통합 인증 서버(100)는 상기 PAK 또는 PMK 정보를 저장하고 있다 향후 핸드오버 에서 인증을 위한 정보로서 타겟 기지국에 제공하게 된다.
이후, 핸드오버가 필요하게 되면, 가입자 단말(10)은 타겟 기지국의 후보에 관한 정보를 포함한 핸드오버 요청 메시지(H0-REQ)를 서빙 기지국(20)에 전송하고(S200), 서빙 기지국(20)은 타겟 기지국의 후보를 검색하여 추천 타겟 기지국을 선택한 후 핸드오버 응답 메시지(HO-RSP)를 가입자 단말(10)에 전송한다(S300, S400).
본 발명의 실시예에서는 상기 핸드오버를 위한 요청 및 응답 과정 중 또는 그 이전에 인증모드 협상을 수행한다. 인증모드 협상은 전술한 바와 같이, 가입자 단말이 제공할 수 있는 인증 능력에 대한 정보를 제시하고, 서빙 기지국(10)이 백본 망을 통해 타겟 기지국 후보들과 인증모드 협상을 수행한 후 핸드오버시에 사용될 인증정책을 기지국 별로 맵핑하여 제공하는 방식으로 이뤄질 수 있다.
상기 단계를 통해 핸드오버 요청 및 응답의 과정과 인증 모드 협상이 이뤄지면 가입자 단말은 핸드오버 지정 메시지(HO-IND)를 통해 핸드오버를 수행할 타겟 기지국과 사용될 인증 모드를 지정하여 서빙 기지국에 알려준다(S410).
이후, 특정 프레임 이후에는 새로운 타겟 기지국(21)과 핸드오버가 이뤄지며, 미리 협상된 인증 정책에 따른 인증키 생성 및 분배가 이뤄진다. 본 발명의 실시예에서는 인증키 생성 및 분배를 위한 PMK 또는 PAK 는 기지국간에 공유가 가능하도록 통합 인증 서버 또는 서빙 기지국에서 타겟 기지국(20)에 제공하게 된다.
도 5는 본 발명의 실시예에 따른 인증 모드 협상 방법을 도시한 흐름도이다.
가입자 단말은 이동에 따라 기지국으로 수신되는 전력의 크기를 비교하여, 핸드오버가 필요한 시점이 되면, 핸드오버 및 네트워크 재진입을 위한 준비를 한다(S310).
핸드 오버를 위해 타겟 기지국의 후보 리스트를 생성하고, 가입자 단말이 지원할 수 있는 인증모드에 대한 협상 요청을 수행한다(S320). 여기서 인증모드에 대한 협상의 요청은 가입자 단말이 지원할 수 있는 모든 인증 모드에 대해 기지국에 제공하는 방식으로 수행되어 질수 있다. 또는, 서빙 기지국이 가입자 단말의 인증 모드에 관한 정보를 모두 가지고 있는 상태라면, 단순한 인증 모드 협상 요청 또는 핸드오버 요청 만으로도 수행되어질 수 있다.
상기 타겟 기지국의 후보 리스트와 인증 모드 협상 요청 작업이 가입자 단말내에서 완료되면, 핸드오버 요청 메시지(HO-REQ)를 생성하여 전술한 관련 정보를 포함시켜, 서빙 기지국에 전송한다(S330, S340).
핸드오버 요청 메시지를 수신한 서빙 기지국은 후보 타겟 기지국을 백본망 통해 검색하고, 가입자 단말의 인증 능력 정보를 전송하여 핸드오버를 수락할 수 있는 지를 판단하여 추천 타겟 기지국 리스트를 생성한다(S350). 상기 추천 타겟 기지국 리스트가 생성되면 서빙 기지국은 각각의 기지국이 협상하여 생성한 인증모드에 관한 정보를 수집한다(S360).
추천 타겟 기지국에 대한 인증 모드 정보와 가입자 단말의 인증 능력을 비교하여, 인증 정책이 결정되면 서빙 기지국은 핸드 오버 응답 메시지(HO-RSP)를 생성하여 추천 타겟 기지국의 리스트와 협상된 인증모드에 관한 정보를 맵핑하여 전송하게 된다(S370, S410).
상기 핸드오버 응답 메시지를 수신한 가입자 단말은, 추천된 기지국중 핸드오버를 수행할 타겟 기지국을 선택하고, 상기 타겟 기지국과 협상된 인증모드에 따라서 인증키 생성을 수행할 것을 결정한다(S420).
도 6은 본 발명의 또 다른 실시예에 따른 인증모드 협상 방법을 도시한 흐름도이다.
도 6에 도시된 실시예는 가입자 단말이 서빙 기지국으로 핸드오버 과정 중 또는 핸드오버 과정 이전에 별도로 사전인증 요청 메시지를 전송하여 후보 기지국과의 사전인증을 위한 정보 교환을 수행하는 점에서 도 5에 도시된 실시예와 상이하다.
따라서 가입자 단말은 핸드오버의 요구 시점에서 핸드오버 준비 및 인증 모드 협상 요청을 수행하게 되고(S510, S520), 사전 인증 요청 메시지를 생성하여 가입자 단말의 인증 능력에 관련된 정보와 사전 인증을 위해 필요한 PMK 또는 PAK를 함께 제공한다(S530, S540). PMK 또는 PAK 는 서빙 기지국 이미 관련된 정보를 보유하고 있을 수도 있으며, 통합 인증 서버로부터 요청하여 제공 받을 수도 있다.
이후, 서빙 기지국은 후보 기지국을 검색하여 백본 연결을 통하여 해당 단말의 인증 능력 (capabilities)과 관련된 정보를 함께 전달한다(S550). 후보 기지국들은 각각 그에 따른 인증정책 협상 결과, 후보 기지국의 BS ID 를 포함한 인증 모드 정보를 서빙 기지국으로 전달하고, 서빙 기지국은 추천 타겟 기지국 인증 모드 정보를 수집한다(S560).
서빙 기지국은 사전인증 응답 메시지를 생성하여 인증정책 협상 결과, BS ID, 추천 기지국의 BS ID 등을 가입자 단말에게 전달한다(S570, S580). 가입자 단말은 이 정보를 저장하여 두었다가, 핸드오버 절차를 통하여 타겟 기지국이 정해지고 그 기지국으로의 망 재진입 절차를 수행할 때, 사전인증을 통하여 알고 있는 인증정책 협상 결과, BS ID 등의 정보와 함께 자신이 저장하고 있는 PAK, PMK 등의 정보를 바탕으로 도 2에서 도시된 인증 키 생성 규칙에 따른 인증 키를 생성하여 사용할 수 있다(S590).
도 5 및 도 6에 도시한 실시예에서, 타겟 기지국도 사전인증 또는 핸드오버 요청/응답 과정에서 입수한 해당 가입자 단말의 식별자, 인증 모드, 그리고 PMK 및 PAK 등의 정보를 바탕으로 가입자 단말에서와 같이 동일한 인증 키 생성 규칙에 따라 인증 키 또는 인증키의 하위의 키를 생성할 수 있다.
도 7은 본 발명의 실시예에서 구체적인 인증 모드 협상 방법을 도시한 흐름도이다.
전술한 바와 같이, 서빙 기지국은 가입자 단말의 인증 능력을 수신하여 타겟 기지국 후보에 제공한다(S1000). 여기서 인증 능력은 전술한 바와 같이 EAP, RSA, EAP 와 RSA의 혼합모드 등의 PMK 또는 PAK를 복합적으로 사용할 수 있는 인증모드에 관한 정보이다.
가입자 단말의 인증능력이 제공되면, 서빙 기지국은 관련된 정보를 타겟 후보 기지국에 제공하고 타겟 후보 기지국은 인증 모드에 대한 협상을 수행하여 자신이 수용할 수 있는 인증모드를 서빙 기지국에 제공하고, 서빙 기지국은 이를 수집한다(S1001). 상기 인증 모드 협상은 전술한 바와 같이 가입자 단말의 인증 능력을 참조하여 타겟 기지국이 인증모드를 결정하는 방식이 바람직하다. 이는 추가적인 메시지 교환에 의한 지연과 자원 낭비를 방지하기 위함이다.
인증 모드 협상 결과가 수집되면, 서빙 기지국은 핸드오버 응답 메시지 또는 사전 인증 응답 메시지를 생성하면서 추천 기지국의 관련정보와 인증 모드 협상을 맵핑한 테이블을 작성한다(S1002).
단계(S1003)에서는, 상기 인증 모드 협상 결과 테이블을 참조하여 인증 모드 협상 결과를 핸드오버 응답 메시지 또는 사전 인증 응답 메시지에 포함시켜 가입자 단말에 전송한다.
이후, 가입자 단말은 핸드오버를 수행할 타겟 기지국에 제공한 인증 정책에 따른 인증 키 생성을 수행하고, 타겟 기지국 역시 자신이 가입자 단말에 제공한 인증 정책에 기초하여 인증 키 생성을 수행하게 된다.
도 8은 본 발명의 실시예에 따라 인증키를 생성하는 구체적인 예를 도시한 도면이다.
도 8에서 도시된 바와 같이, 키 생성 및 분배 방식은 단말과 기지국 간에 협상된 인증 모드에 따라 다양하게 적용될 수 있다.
인증키(AK)는 키 분배 함수(예를 들어, IEEE 802.16e 방식에서는 Dot16KDF 방식이 사용될 수 있다)에 PMK, PAK, 가입자 단말 식별자(SSID), 기지국 식별자(BSID)를 그 변수로 사용가능하다.
만약, RSA 및 EAP를 이용한 인증 방식을 채택한다면, PMK, SSID, BSID, PAK를 변수로하여 이중 상위 160 bit를 취하여 인증키를 생성할 수 있다.
여기서, MSK를 산출하지 않는 인증서교환 방식의 경우에는 PMK는 변수에서 제외될 수 있으며, EAP 사용자 인증 방식만 사용하는 경우에는 PAK가 변수에서 제외될 수 있다.
본 발명에 따르면, 전술한 바와 같이 상기 PAK와 PMK는 특정 기지국에 한정되지 않도록 기지국의 식별자 등이 포함되지 않는다. 또한, PAK의 생성을 특정 서빙 기지국에 한정하지 않으며, 인증 서버 등에 의하여 할당되고 기지국으로 분배될 수 있는 개념으로 확장하여 적용한다.
따라서, PAK와 PMK는 기지국간에 공유되어 사용되기 때문에 인증 모드 협상시 PAK 와 PMK가 공유되면, 핸드오버가 결정된 시점에서 SSID 및 BSID를 이용하여 인증키를 생성할 수 있다.
그러므로, 보안성과 신속함을 모두 지원하면서도 다양한 인증 방식을 제공할 수 있게 된다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
본 발명의 구성에 의하면, 무선 휴대 인터넷 시스템에서 인증 모드 협상을 통하여, 핸드오버중에도 다양한 인증 방식을 제공할 수 있는 효과를 구비한다.
또한, 사전 인증 요청/응답 또는 핸드오버 요청/응답중 인증 모드 협상에 의 해 신속한 인증 절차를 제공하며, 인증키 재사용에 의한 보안상의 취약점을 극복할 수 있다.

Claims (12)

  1. 무선 휴대 인터넷에서의 인증 방법에 있어서,
    a) 핸드오버가 필요한 시점에, 서빙 기지국이 가입자 단말이 지원할 수 있는 인증 능력을 포함한 인증 모드 협상 요청을 수신하는 단계;
    b) 상기 인증 모드 협상 요청에 관한 정보를 후보 타겟 기지국으로 전송하는 단계;
    c) 상기 후보 타겟 기지국에 대하여 인증 모드 협상 결과를 수집하는 단계
    d) 상기 인증 모드 협상 결과 정보를 상기 후보 타겟 기지국중 적어도 일부의 기지국 식별자와 함께 가입자 단말에 전송하는 단계; 및
    e) 상기 인증 모드 협상 결과에 기초하여, 기지국의 고유 정보와 무관한 제 1 키를 타겟 기지국 후보간에 공유하여 인증키를 생성 및 분배하는 단계
    를 포함하는 인증 방법.
  2. 제 1 항에 있어서,
    상기 인증 모드 협상 요청 정보는 핸드오버 요청 메시지에 포함되어 서빙 기지국에 전송되고, 상기 인증 모드 협상 결과 정보는 핸드오버 응답 메시지에 포함되어 가입자 단말에 전송되는 인증 방법.
  3. 제 1 항에 있어서,
    상기 인증 모드 협상 요청 정보는 사전인증 요청 메시지에 포함되어 서빙 기지국에 전송되고, 상기 인증 모드 협상 결과 정보는 사전인증 응답 메시지에 포함되어 가입자 단말에 전송되는 인증 방법.
  4. 제 2 항 또는 제 3 항에 있어서,
    상기 단계 e)는, 상기 제 1 키에 더하여 타겟 기지국의 식별자와 가입자 단말의 식별자를 이용하여 인증키를 생성하는 인증 방법.
  5. 제 2 항 또는 제 3 항에 있어서,
    상기 인증 모드는 EAP 기반의 인증 모드, RSA 기반의 인증 모드 및 상기 EAP 및 RSA의 혼합방식의 인증 모드 중 적어도 하나를 포함하는 인증 방법.
  6. 제 2 항 또는 제 3 항에 있어서,
    상기 제 1 키는 무작위로 생성된 PAK(Primary Authorization Key)와 인증 서버로부터 생성된 PMK (Primary Master Key)중 적어도 하나를 포함하는 인증 방법.
  7. 제 6 항에 있어서,
    인증 모드가 인증서 교환 방식인 경우, 상기 PAK를 기지국 간에 공유하는 인증 방법.
  8. 제 6 항에 있어서,
    인증모드가 RSA 또는 EAP 기반의 인증모드가 혼합되어 사용될 경우, 상기 PAK 및 PMK를 기지국간에 공유하는 인증 방법.
  9. 제 2 항 또는 제 3 항에 있어서,
    상기 단계 c)에서, 서빙 기지국과 타겟 기지국 후보는 백본망을 통해 통신을 수행하며, 상기 가입자 단말의 인증 능력을 수신한 타겟 기지국이 지정한 인증 모드를 인증 모드 협상 결과로서 사용하는 인증 방법.
  10. 무선 휴대 인터넷의 인증 시스템에 있어서,
    가입자 단말을 무선 링크를 통해 백본망과 접속시키며, 서로 핸드오버가 가능한 제 1 기지국 및 제 2 기지국 및;
    상기 제 1 기지국 및 제 2 기지국의 고유 정보와 무관하며 무작위로 생성되는 PAK(Primary Authorization Key) 및 사용자 인증 과정을 통해 마스터 세션키를 생성하는 통합 인증 서버를 포함하고,
    핸드오버에 의한 새로운 인증이 발생하는 경우, 가입자 단말과의 인증 모드 협상 결과에 따라 상기 PAK 또는 상기 마스터 세션 키의 일부를 상기 제 1 기지국 및 제 2 기지국간에 공유하는 인증 시스템.
  11. 제 10 항에 있어서,
    제 1 기지국 및 제 2 기지국은 백본망을 통해 서로 연결되며,
    제 1 기지국에 접속된 가입자 단말이 제 2 기지국으로 핸드오버를 시도하는 경우, 상기 제 1 기지국은 상기 가입자 단말의 인증 능력을 상기 제 2 기지국으로 제공하고, 상기 제 2 기지국이 선택한 인증모드를 수신하여 상기 가입자 단말에 제공하는 인증 시스템.
  12. 제 10 항에 있어서,
    상기 통합 인증 서버는 상기 제 1 기지국 또는 제 2 기지국에 통합되어 구현되는 인증 시스템.
KR1020050037434A 2005-02-02 2005-05-04 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템 KR100729725B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020050009484 2005-02-02
KR20050009484 2005-02-02

Publications (2)

Publication Number Publication Date
KR20060088806A KR20060088806A (ko) 2006-08-07
KR100729725B1 true KR100729725B1 (ko) 2007-06-18

Family

ID=37177126

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050037434A KR100729725B1 (ko) 2005-02-02 2005-05-04 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템

Country Status (1)

Country Link
KR (1) KR100729725B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100924168B1 (ko) 2007-08-07 2009-10-28 한국전자통신연구원 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0996304A1 (en) 1998-10-19 2000-04-26 Nortel Matra Cellular Method and apparatus for setting up a connection to a target base station in a cellular or cordless mobile communications system
US6134434A (en) 1997-12-08 2000-10-17 Qualcomm Incorporated System and method for providing service negotiation in a communications network
KR20030008180A (ko) * 2002-12-24 2003-01-24 (주)아이엠넷피아 모바일 환경기반 래디우스 망에서 고속 핸드오프를 위한인증방법
KR20040033761A (ko) * 2002-10-15 2004-04-28 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6134434A (en) 1997-12-08 2000-10-17 Qualcomm Incorporated System and method for providing service negotiation in a communications network
EP0996304A1 (en) 1998-10-19 2000-04-26 Nortel Matra Cellular Method and apparatus for setting up a connection to a target base station in a cellular or cordless mobile communications system
KR20040033761A (ko) * 2002-10-15 2004-04-28 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
KR20030008180A (ko) * 2002-12-24 2003-01-24 (주)아이엠넷피아 모바일 환경기반 래디우스 망에서 고속 핸드오프를 위한인증방법

Also Published As

Publication number Publication date
KR20060088806A (ko) 2006-08-07

Similar Documents

Publication Publication Date Title
KR100480258B1 (ko) 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
JP5597676B2 (ja) 鍵マテリアルの交換
JP4286224B2 (ja) 無線ローカルエリアネットワーク(wlan)に用いられる安全な機密通信のための方法
US7831835B2 (en) Authentication and authorization in heterogeneous networks
JP4903792B2 (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
US20040236939A1 (en) Wireless network handoff key
CN103313242B (zh) 密钥的验证方法及装置
US20080046732A1 (en) Ad-hoc network key management
CN101356759A (zh) 安全密钥材料的基于令牌的分布式生成
CN101233734A (zh) 用于在无线通信系统中的越区切换期间分发安全密钥的方法
JP5290323B2 (ja) 無線アクセス技術及び移動ip基盤の移動性制御技術が適用された次世代のネットワーク環境のための統合ハンドオーバー認証方法
US8407474B2 (en) Pre-authentication method, authentication system and authentication apparatus
Kim et al. MoTH: mobile terminal handover security protocol for HUB switching based on 5G and beyond (5GB) P2MP backhaul environment
US20100189258A1 (en) Method for distributing an authentication key, corresponding terminal, mobility server and computer programs
Ciou et al. A handover security mechanism employing the Diffie-Hellman key exchange approach for the IEEE802. 16e wireless networks
KR100729725B1 (ko) 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템
Zheng et al. Handover keying and its uses
Shen et al. Fast handover pre-authentication protocol in 3GPP-WLAN heterogeneous mobile networks
KR100972743B1 (ko) 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법
Lin et al. Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks.
KR101131936B1 (ko) 미디어-독립-핸드오버를 위한 사전 인증 방법 및 장치
Marques et al. Fast, secure handovers in 802.11: back to the basis
Marques et al. Fast 802.11 handovers with 802.1 X reauthentications
Leu et al. A handover security mechanism employing diffie-Hellman PKDS for IEEE802. 16e wireless networks
Park et al. Secure and seamless handoff scheme for a wireless LAN system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130520

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160519

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee