KR100729729B1 - authentication device and method of access point in wireless portable internet system - Google Patents

authentication device and method of access point in wireless portable internet system Download PDF

Info

Publication number
KR100729729B1
KR100729729B1 KR1020050121330A KR20050121330A KR100729729B1 KR 100729729 B1 KR100729729 B1 KR 100729729B1 KR 1020050121330 A KR1020050121330 A KR 1020050121330A KR 20050121330 A KR20050121330 A KR 20050121330A KR 100729729 B1 KR100729729 B1 KR 100729729B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
message
packet access
access router
Prior art date
Application number
KR1020050121330A
Other languages
Korean (ko)
Other versions
KR20070061685A (en
Inventor
정동수
김경수
Original Assignee
한국전자통신연구원
삼성전자주식회사
에스케이 텔레콤주식회사
주식회사 케이티
하나로텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 삼성전자주식회사, 에스케이 텔레콤주식회사, 주식회사 케이티, 하나로텔레콤 주식회사 filed Critical 한국전자통신연구원
Priority to KR1020050121330A priority Critical patent/KR100729729B1/en
Publication of KR20070061685A publication Critical patent/KR20070061685A/en
Application granted granted Critical
Publication of KR100729729B1 publication Critical patent/KR100729729B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및 그 방법에 관한 것이다. The present invention relates to an apparatus and method for authenticating an access point of a wireless portable Internet system.

무선 휴대 인터넷 시스템에서, 액세스 포인트는 인증 서버와의 연결을 제공하는 라우터와 메시지를 송수신하기 위한 정합 방식을 설정한다. 특히 UDP(User Datagram protocol) 또는 SCTP(Stream Control Transmission Protocol) 중 하나를 상기 패킷 액세스 라우터와의 정합 방식으로 설정할 수 있다. 이후 단말로부터의 요청에 따라 상기 단말과 메시지를 송수신하여 RSA(Rivest Shamir Adleman) 기반의 장치 인증을 수행한다. 그리고 단말로부터의 사용자 인증 요청에 따라, 상기 패킷 액세스 라우터와 설정된 정합 방식에 따라 메시지를 송수신하여, 상기 인증 인증서버를 통한 EAP (Extensible Authentication Protocol) 기반의 사용자 인증을 수행한다. In a wireless portable Internet system, an access point establishes a matching scheme for sending and receiving messages with a router providing a connection with an authentication server. In particular, one of a user datagram protocol (UDP) or a stream control transmission protocol (SCTP) may be set in a matching manner with the packet access router. Subsequently, RSA (Rivest Shamir Adleman) based device authentication is performed by transmitting and receiving a message with the terminal in response to a request from the terminal. In response to a user authentication request from a terminal, a message is transmitted and received with the packet access router according to an established matching scheme, and an EAP (Extensible Authentication Protocol) based user authentication is performed through the authentication authentication server.

따라서, 무선 휴대 인터넷 시스템의 액세스 포인트에서 다양한 방식으로 패킷 액세스 라우터와 연동하여, 사용자 인증 및 장치 인증을 효과적으로 수행할 수 있다. Therefore, in the access point of the wireless portable Internet system, user authentication and device authentication can be effectively performed by interworking with the packet access router in various ways.

무선 휴대 인터넷, 액세스포인트, 인증, RSA, EAP, 패킷 액세스 라우터 Wireless Mobile Internet, Access Points, Authentication, RSA, EAP, Packet Access Routers

Description

무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및 그 방법{authentication device and method of access point in wireless portable internet system}Authentication device and method of access point in wireless portable internet system

도 1은 본 발명의 실시 예에 따른 무선 휴대 인터넷 시스템의 구조를 나타낸 개략도이다. 1 is a schematic diagram showing the structure of a wireless portable Internet system according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 액세스 포인트의 구조도이다. 2 is a structural diagram of an access point according to an embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 인증 방법의 흐름도이다. 3 is a flowchart illustrating an authentication method according to an embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 인증 방법에서, 보안관련 정보를 교환하는 과정의 흐름도이다. 4 is a flowchart illustrating a process of exchanging security related information in an authentication method according to an embodiment of the present invention.

본 발명은 무선 휴대 인터넷 시스템에서의 인증 기술에 관한 것으로, 보다 구체적으로 무선 휴대 인터넷 시스템의 액세스 포인트에서 장치 인증 및 사용자 인증을 수행하는 인증 장치 및 그 방법에 관한 것이다. The present invention relates to an authentication technology in a wireless portable internet system, and more particularly, to an authentication apparatus and method for performing device authentication and user authentication in an access point of a wireless portable internet system.

이동 통신 시스템에서 무선 휴대 인터넷은 종래의 무선 LAN 과 같이 고정된 액세스포인트를 이용하는 근거리 데이터 통신 방식에 이동성(mobility)을 더 지원 하는 차세대 통신 방식이다. 이러한 무선 휴대 인터넷에 대하여 다양한 표준들이 제안되고 있으며, 현재 IEEE 802.16에서 활발하게 휴대 인터넷의 국제 표준화가 진행되고 있다. 여기서 IEEE 802.16은 기본적으로 도시권 통신망(Metropolitan Area Network, MAN)을 지원하는 규격으로서, 구내 정보 통신망(LAN)과 광역 통신망(WAN)의 중간 정도의 지역을 망라하는 정보 통신망을 의미한다. In the mobile communication system, the wireless portable Internet is a next-generation communication method that further supports mobility to a short-range data communication method using a fixed access point like a conventional wireless LAN. Various standards have been proposed for the wireless portable Internet, and international standardization of the portable internet has been actively conducted in IEEE 802.16. Here, IEEE 802.16 is basically a standard that supports Metropolitan Area Network (MAN), and refers to an information communication network covering an intermediate area between a local area network (LAN) and a wide area network (WAN).

무선 휴대 인터넷 시스템에서 다양한 트래픽 데이터 서비스를 안전하게 제공하기 위해서는 단말에 대한 인증 및 권한 검증 절차를 수행해야 한다. 이러한 기능은 무선 휴대 인터넷 서비스의 안전성 및 망의 안정성을 위하여 필요한 기본적인 요구사항으로 대두되고 있다. In order to securely provide various traffic data services in a wireless portable Internet system, an authentication and authority verification procedure for a terminal should be performed. These functions are emerging as the basic requirements for the safety of the wireless mobile Internet service and the network stability.

가입자 단말은 AP(access point) 등의 무선 접속 장치를 통하여 무선 휴대 인터넷 서비스를 받을 수 있는데, 이 경우 무선 접속 장치는 인증 서버를 통하여 상기 가입자 단말에 대한 사용자 인증을 수행한다. 인증시, 무선 접속 장치는 패킷 액세스 라우터를 통해 인증 서버와 통신하여, 사용자 인증을 수행한다. 그러나 이러한 인증 방식은 효율적이기는 하지만, 인증된 가입자가 부적합한 장치를 가지고 서비스를 요청할 경우를 위한 대비책이 없다. 또한 실시간으로 인증 관련된 키를 분배, 저장 및 유지하는 방법이 효율적이지 못한 문제점이 있다. The subscriber station may receive a wireless portable Internet service through a wireless access device such as an access point (AP). In this case, the wireless access device performs user authentication for the subscriber station through an authentication server. In authentication, the wireless access device communicates with an authentication server via a packet access router to perform user authentication. However, although this authentication method is effective, there is no provision for an authenticated subscriber requesting service with an inappropriate device. In addition, there is a problem that the method of distributing, storing and maintaining the authentication related key in real time is not efficient.

그러므로 본 발명이 이루고자 하는 기술적 과제는 위에 기술된 바와 같은 종래의 문제점을 해결하기 위한 것으로, 무선 휴대 인터넷 시스템의 액세스 포인트에서 사용자 인증 뿐만 아니라 장치 인증을 효율적으로 수행하여, 보다 안정적이면서 강력한 인증 기능을 위한 장치 및 그 방법을 제공하는 것이다. Therefore, the technical problem to be achieved by the present invention is to solve the conventional problems as described above, by performing the user authentication as well as the user authentication in the access point of the wireless mobile Internet system efficiently, a more stable and strong authentication function To provide an apparatus and a method for the same.

또한 본 발명이 이루고자 하는 기술적 과제는 무선 휴대 인터넷 시스템의 액세스 포인트에서, 백본망과의 연결을 위한 패킷 액세스 라우터와 다양한 방법을 통하여 접속하여 인증 기능을 수행할 수 있도록 하기 위한 것이다. Another object of the present invention is to enable an access point of a wireless portable Internet system to perform an authentication function by accessing a packet access router for connection with a backbone network through various methods.

이러한 기술적 과제를 달성하기 위하여, 본 발명의 특징에 따른 인증 방법은, 무선 휴대 인터넷 시스템에서, 인증 서버와의 연결을 제공하는 패킷 액세스 라우터, 및 단말과 연결되어 있는 액세스 포인트에서 인증을 수행하는 방법에서, a) 상기 단말로부터의 장치 인증 요청에 따라, 상기 단말과 RSA(Rivest Shamir Adleman) 기반 인증 관련 메시지를 송수신하여 상호 인증을 수행하는 단계; b) 상기 단말로부터의 사용자 인증 요청에 따라, 상기 단말과 EAP (Extensible Authentication Protocol) 기반 인증 관련 메시지를 송수신하여 사용자 인증을 수행하는 단계; 및 c) 상기 장치 인증 및 사용자 인증이 완료되면, 상기 단말과 보안 관련 메시지를 송수신하여, 상기 단말 사이에 인증 알고리즘과 SA(Security Association) 정보 교환을 수행하는 단계를 포함하고, 상기 b) 단계는 상기 패킷 액세스 라우터와의 정합 방식을 설정하는 단계; 및 상기 설정된 정합 방식에 따라 상기 패킷 액세스 라우터와 메시지를 송수신하여, 상기 인증 서버를 통하여 상기 단말의 사용자에 대한 인증을 수행하는 단계를 포함한다. In order to achieve this technical problem, an authentication method according to an aspect of the present invention, in a wireless portable Internet system, a packet access router for providing a connection with the authentication server, and a method for performing authentication in an access point connected to the terminal A) performing mutual authentication by transmitting and receiving a RSA (Rivest Shamir Adleman) based authentication related message with the terminal according to a device authentication request from the terminal; b) transmitting and receiving an EAP (Extensible Authentication Protocol) based authentication message with the terminal according to a user authentication request from the terminal and performing user authentication; And c) when the device authentication and the user authentication are completed, transmitting and receiving a security related message with the terminal, and performing an authentication algorithm and SA (Security Association) information exchange between the terminals, wherein the step b) includes: Establishing a matching scheme with the packet access router; And transmitting and receiving a message to and from the packet access router according to the set matching scheme, and performing authentication of the user of the terminal through the authentication server.

또한 본 발명의 다른 특징에 따른 인증 장치는, 무선 휴대 인터넷 시스템에서, 인증 서버와의 연결을 제공하는 패킷 액세스 라우터, 및 단말과 연결되어 있는 액세스 포인트의 인증 장치에서, 상기 단말과의 메시지 송수신을 수행하는 트래픽 처리부; 상기 패킷 액세스 라우터와 설정된 정합 방식에 따라 메시지 송수신을 수행하는 정합 처리부; 상기 트래픽 처리부를 통하여 제공되는 단말로부터의 인증 요청에 따라 장치 인증을 수행하고, 상기 패킷 액세스 라우터를 통하여 상기 인증 서버와 연계하여 상기 단말에 대한 사용자 인증을 수행하는 인증 처리부; 및 상기 인증 처리부로부터 제공되는 메시지를 송신 가능한 형태로 처리하여 상기 트래픽 처리부로 제공하고, 상기 트래픽 처리부로부터 인가되는 메시지를 상기 인증 처리부가 처리 가능한 형태로 처리하여 인증 처리부로 제공하는 메시지 처리부를 포함한다. In addition, the authentication apparatus according to another aspect of the present invention, in a wireless portable Internet system, a packet access router that provides a connection to the authentication server, and the authentication device of the access point connected to the terminal, the message transmission and reception with the terminal A traffic processing unit to perform; A matching processor configured to transmit and receive a message according to a matching scheme established with the packet access router; An authentication processing unit for performing device authentication according to an authentication request from the terminal provided through the traffic processing unit, and performing user authentication with respect to the terminal in association with the authentication server through the packet access router; And a message processing unit for processing the message provided from the authentication processing unit in a form that can be transmitted to the traffic processing unit, and processing the message authorized from the traffic processing unit in a form that can be processed by the authentication processing unit and providing the message to the authentication processing unit. .

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention.

또한 어떤 부분이 어떤 구성요소를 '포함'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. In addition, when a part is said to "include" a certain component, this means that it may further include other components, except to exclude other components unless otherwise stated.

또한, 본 명세서에서 기재한 모듈(module)이란 용어는 특정한 기능이나 동작을 처리하는 하나의 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현할 수 있다. In addition, the term module described herein refers to a unit for processing a specific function or operation, which may be implemented in hardware or software, or a combination of hardware and software.

도 1은 본 발명의 실시 예에 따른 무선 휴대 인터넷 시스템의 구조를 개략적으로 나타낸 도이다. 1 is a view schematically showing the structure of a wireless portable Internet system according to an embodiment of the present invention.

무선 휴대 인터넷 시스템은 기본적으로 가입자 단말(Subscribe Station, 100), 액세스 포인트(AP:Access point, 200,210, 설명의 편의상 선택적으로 "200"을 대표 번호로 할당함), 상기 액세스 포인트와 접속된 패킷 액세스 라우터(300, 310), 그리고 패킷 액세스 라우터(PAR: packet access router)(300, 310)에 접속되어 가입자 단말(100)에 대한 인증을 수행하는 인증 서버(AAA: Authentication Authorization and Accounting)(400)를 포함한다. 이외에도 단말에 대한 정보를 등록하는 홈 에이전트(HA:home agent)(500)를 더 포함할 수 있다. The wireless mobile Internet system basically includes a subscriber station (Subscribe Station) 100, an access point (AP: 200, 210, optionally assigns "200" as a representative number for convenience of description), and packet access connected with the access point. An authentication server (AAA: Authentication Authorization and Accounting) 400 connected to the routers 300 and 310 and the packet access routers 300 and 310 to authenticate the subscriber station 100. It includes. In addition, a home agent (HA) 500 may be further included.

액세스 포인트는 예를 들어, 도심 밀집 지역 등에 설치되어 여러 단말을 관리하며, 패킷 액세스 라우터는 다수개의 액세스 포인트를 관리함으로써, 계층 구조를 형성한다. The access point is installed in, for example, a dense urban area, and manages multiple terminals, and the packet access router manages a plurality of access points to form a hierarchical structure.

이러한 무선 휴대 인터넷 시스템에서는 가입자 단말(100), 액세스 포인트(200) 및 패킷 액세스 라우터(300)들의 연동에 따라, 무선링크 접속, 기본 기능 협상, 인증, 등록, 핸드오프, 트래픽 연결 설정 기능 등이 수행된다. 이 경우 액세스 포인트(200)는 단말(100)이나 패킷 액세스 라우터(300)로부터 전달되는 신호를 처리하여 패킷 액세스 라우터(300)나 단말(100)로 각각 전달하며, 패킷 액세스 라우터(300)는 다수의 액세스 포인트(200)를 관리하여 핸드오프 제어 및 모바일 IP 기능 등을 수행한다. In such a wireless portable Internet system, a wireless link connection, basic function negotiation, authentication, registration, handoff, traffic connection setting function, etc. may be performed according to the interworking of the subscriber station 100, the access point 200, and the packet access router 300. Is performed. In this case, the access point 200 processes a signal transmitted from the terminal 100 or the packet access router 300 and transmits the signal to the packet access router 300 or the terminal 100, respectively, and the packet access router 300 includes a plurality of packets. It manages the access point 200 to perform handoff control and mobile IP functions.

한편 가입자 단말(100)과 액세스 포인트(200, 210)는 통신을 시작하면서 가 입자 단말(100)에 대한 인증을 위한 인증 모드를 협상하고, 협상 결과에 따라 선택된 방식의 인증 절차를 수행한다. 본 발명의 실시 예에 따른 장치 인증은 단말과 액세스 포인트의 MAC(Media Access Control) 계층에서 이루어지며, 사용자 인증은 단말과 인증 서버의 MAC 계층의 상위 계층(예: EAP (Extensible Authentication Protocol) 계층)에서 이루어진다. Meanwhile, the subscriber station 100 and the access points 200 and 210 start communication to negotiate an authentication mode for authentication of the subscriber terminal 100 and perform an authentication procedure of a selected method according to the negotiation result. According to an embodiment of the present invention, device authentication is performed in a media access control (MAC) layer of a terminal and an access point, and user authentication is performed by an upper layer (eg, an EAP (Extensible Authentication Protocol) layer) of the MAC layer of the terminal and the authentication server. Is done in

MAC 계층은 무선 통신을 가능하게 하기 위한 총체적인 제어를 수행하며, 그 기능별로 MAC 계층은, 시스템 액세스, 대역폭 할당, 트래픽 커넥션(Traffic Connection) 설정 및 유지, QoS 관리에 관한 기능을 담당하는 MAC 공통부 부계층(Common Part Sublayer), 그리고 페이로드 헤더 서프레션(payload header suppression) 및 QoS 맵핑 기능을 담당하는 서비스 특정 수렴 부계층(Service Specific Convergence Sublayer)으로 나뉘어질 수 있다. 이러한 계층 구조에서, 단말 또는 액세스 포인트에 대한 장치 인증 및 보안키 교환, 암호화 기능을 포함하는 보안 기능을 수행하는 보안 부계층(Security sublayer)이, 서비스 특정 수렴 부계층에 정의될 수 있으나, 이에 한정되지는 않는다. The MAC layer performs overall control to enable wireless communication, and the MAC layer for each function includes a MAC common part that performs functions related to system access, bandwidth allocation, traffic connection establishment and maintenance, and QoS management. It may be divided into a common part sublayer, and a service specific convergence sublayer that is responsible for payload header suppression and QoS mapping functions. In this hierarchical structure, a security sublayer that performs security functions including device authentication, security key exchange, and encryption functions for a terminal or an access point may be defined in a service specific convergence sublayer, but is not limited thereto. It doesn't work.

도 2는 이러한 무선 휴대 인터넷 시스템에서, 본 발명의 실시 예에 따른 액세스 포인트의 구조를 나타낸 도이다. 2 is a diagram illustrating the structure of an access point according to an embodiment of the present invention in such a wireless portable Internet system.

첨부한 도 2에 도시되어 있듯이, 본 발명의 실시 예에 따른 액세스 포인트(200)는 메시지 처리부(210), 인증 처리부(220), 트래픽 처리부(240), 및 패킷 액세스 라우터 정합 처리부(230)를 포함한다. As shown in FIG. 2, an access point 200 according to an embodiment of the present invention may include a message processor 210, an authentication processor 220, a traffic processor 240, and a packet access router matching processor 230. Include.

트래픽 처리부(240)는 단말과의 트래픽을 처리하며, 해당 트래픽이 메시지일 경우 메시지 처리부(210)와 연동한다. The traffic processor 240 processes the traffic with the terminal and interworks with the message processor 210 when the corresponding traffic is a message.

메시지 처리부(210)는 트래픽 처리부(240)로부터 제공되는 단말로부터의 메시지를 처리하여 인증 처리부(220)로 제공하며, 인증 처리부(220)로부터 제공되는 메시지를 처리하여 트래픽 처리부(240)로 제공한다. 특히 단말로부터의 메시지 즉, MAC 메시지가 어떤 종류인지를 판단하고, 인증 관련 메시지인 경우 이를 내부 메시지로 변환하여 인증 처리부(220)로 전달한다. 또한 인증 처리부(220)로부터의 메시지를 MAC 메시지로 변환하여 트래픽 처리부(240)로 전달하여, 단말(100)로 제공되도록 한다.The message processor 210 processes the message from the terminal provided from the traffic processor 240 to the authentication processor 220, processes the message provided from the authentication processor 220, and provides the message to the traffic processor 240. . In particular, it determines the type of the message from the terminal, that is, the MAC message, and if the authentication-related message is converted to an internal message and transmitted to the authentication processing unit 220. In addition, the message from the authentication processing unit 220 is converted into a MAC message and transferred to the traffic processing unit 240 to be provided to the terminal 100.

인증 처리부(220)는 메시지 처리부(210)로부터 전달되는 단말로부터의 메시지를 분석해서 소정의 인증 기능을 수행한다. 이를 위하여 인증 처리부(220)는 단말과의 상호 인증을 수행하는 장치 인증 모듈(221), 사용자 인증을 수행하는 사용자 인증 모듈(222), 그리고 인증 관련된 다수의 키를 관리하는 키 관리 모듈(223)을 포함한다. The authentication processor 220 analyzes a message from the terminal transmitted from the message processor 210 and performs a predetermined authentication function. To this end, the authentication processing unit 220 includes a device authentication module 221 for performing mutual authentication with the terminal, a user authentication module 222 for performing user authentication, and a key management module 223 for managing a plurality of keys related to authentication. It includes.

장치 인증 모듈(221)은 단말로부터의 메시지에 따라 장치 인증을 수행하며, 특히 단말과 함께 RSA 기반 인증을 수행한다. 구체적으로 단말로부터의 인증 요청에 따라 상기 단말에 대한 인증을 수행하고, 인증이 성공한 경우 상기 단말로 자신에 대한 인증 즉, 액세스 포인트에 대한 인증을 요청함으로써, 단말과 액세스 포인트간에 RSA 기반의 상호 인증이 이루어지도록 한다. The device authentication module 221 performs device authentication according to a message from the terminal, and in particular, performs RSA based authentication with the terminal. Specifically, the terminal authenticates the terminal according to the authentication request from the terminal, and if the authentication is successful, requesting the terminal to authenticate itself, that is, the authentication of the access point. Let this be done.

사용자 인증 모듈(222)은 단말로부터의 메시지에 따라 사용자 인증을 수행하며, 특히 정합 처리부(230)를 통하여 단말과 인증 서버 사이에서 메시지 송수신을 수행하여 EAP 기반의 사용자 인증을 수행한다. The user authentication module 222 performs user authentication according to a message from the terminal. In particular, the user authentication module 222 performs EAP-based user authentication by performing message transmission and reception between the terminal and the authentication server through the matching processor 230.

키 관리 모듈(223)은 위의 장치 인증 및 사용자 인증에 따라 발생되는 각종 키(예를 들어, 암호화를 위한 공개키, 비밀키, 인증키, 암호화 키 등)를 포함하는 인증 관련 정보를 생성 또는 저장 및 관리한다. The key management module 223 generates or generates authentication related information including various keys (for example, public key, secret key, authentication key, encryption key, etc.) generated according to the device authentication and user authentication. Store and manage.

정합 처리부(230)는 인증 처리부(220)로부터 패킷 액세스 라우터 관련 메시지 송신 요구를 받으면, 미리 정해진 정합 방식에 해당하는 프로토콜에 따라 메시지를 처리하여 패킷 액세스 라우터(300)로 전송하고, 또한 패킷 액세스 라우터(300)로부터의 메시지를 상기 프로토콜에 따라 수신하여 인증 처리부(220)로 전달한다. 이를 위하여 정합 처리부(230)는 메시지를 UDP(User Datagram protocol)에 따라 패킷 액세스 라우터와 송수신하는 UDP 정합 모듈(231), 메시지를 SCTP(Stream Control Transmission Protocol)에 따라 패킷 액세스 라우터와 송수신하는 SCTP 정합 모듈(232)을 포함한다. When the matching processing unit 230 receives a packet access router related message transmission request from the authentication processing unit 220, the matching processing unit 230 processes the message according to a protocol corresponding to a predetermined matching method, and transmits the message to the packet access router 300, and also the packet access router. Receives a message from the 300 according to the protocol and delivers it to the authentication processing unit 220. To this end, the matching processor 230 is a UDP matching module 231 for transmitting and receiving a message with a packet access router according to a User Datagram protocol (UDP), and an SCTP matching for transmitting and receiving a message with a packet access router according to a Stream Control Transmission Protocol (SCTP). Module 232.

이러한 구성 요소에 의하여 액세스 포인트(200)의 인증을 위한 인증 장치가 구현될 수 있다. 또한 액세스 포인트(200)는 위에 기술된 구성 요소 이외에도 액세스 포인트의 다른 기능을 수행하기 위한 구성 요소들을 더 포함하는 형태로 구현될 수 있음은 당업자에게 자명함으로, 여기서는 추가 가능한 구성 요소들에 대해서는 상세한 설명을 생략한다. By such a component, an authentication apparatus for authentication of the access point 200 may be implemented. In addition, it will be apparent to those skilled in the art that the access point 200 may be implemented in a form that further includes components for performing other functions of the access point in addition to the above-described components, and thus, the additional components may be described in detail. Omit.

다음에는 이러한 구조를 토대로 하여 본 발명의 실시 예에 따른 인증 방법에 대하여 설명한다. Next, an authentication method according to an embodiment of the present invention will be described based on this structure.

도 3은 본 발명의 실시 예에 따른 인증 방법을 나타낸 흐름도이다. 3 is a flowchart illustrating an authentication method according to an embodiment of the present invention.

본 발명의 실시 예에서는 단말과 액세스 포인트가 메시지를 주고받으며, IEEE 802.16e PKMv2 기반의 인증을 수행한다. 즉, 메시지가 PKM(Privacy Key Management: 보안키 관리 프로토콜)이라는 MAC 메시지로 처리되어, 단말과 액세스 포인트 사이에 송수신된다. In an embodiment of the present invention, the terminal and the access point exchange messages, and perform authentication based on IEEE 802.16e PKMv2. That is, the message is processed as a MAC message called Privacy Key Management (PKM), and is transmitted and received between the terminal and the access point.

단말(100)과 액세스 포인트(200) 사이에 하향링크 동기가 설정되고, 레인징(Ranging) 절차가 이루어진 다음에, 연결 설정을 위한 단말 기본 기능에 관한 협상이 수행되면서 소정 방식의 인증 방식이 선택될 수 있다. Downlink synchronization is established between the terminal 100 and the access point 200, and after a ranging procedure is performed, an authentication method of a predetermined method is selected while negotiation about the basic function of the terminal for connection establishment is performed. Can be.

또한 액세스 포인트(200)는 패킷 액세스 라우터(300)와 메시지를 송수신하기 위한 프로토콜을, 초기 형상 확정시 미리 결정하여 데이터베이스에 저장하고, 이에 따라 소정의 프로토콜 즉, UDP 또는 SCTP가 설정된다. In addition, the access point 200 stores a protocol for transmitting and receiving a message with the packet access router 300 in a database when the initial shape is determined in advance, and a predetermined protocol, that is, UDP or SCTP is set accordingly.

이와 같이 단말과 액세스 포인트 사이에 인증 방식이 협의되면, 도 3에 도시된 바와 같은 인증 절차가 수행된다. When the authentication scheme is negotiated between the terminal and the access point as described above, an authentication procedure as shown in FIG. 3 is performed.

도 3에서와 같이, 단말(100)은 MAC 메시지 중 인증 메시지인 PKM 메시지를 통해 가입자 디지털 인증서를 액세스 포인트(200)로 전달한다. 구체적으로 PKMv2 RSA-Request 메시지(일명, RSA 인증 요청 메시지라고 명명함)에 단말의 공개키를 포함하는 인증서(예: X.509 CA 인증서)를 포함시켜 전송한다(S100∼S110). As shown in FIG. 3, the terminal 100 transmits the subscriber digital certificate to the access point 200 through a PKM message which is an authentication message among MAC messages. In more detail, a PKMv2 RSA-Request message (also referred to as an RSA authentication request message) is transmitted by including a certificate (eg, an X.509 CA certificate) including the public key of the terminal (S100 to S110).

이 메시지는 액세스 포인트(200)의 트래픽 처리부(240)를 통하여 메시지 처리부(210)로 제공된다. 그리고 메시지 처리부(210)는 전달된 메시지를 내부 메시지 형태로 처리하여 인증 처리부(220)로 제공한다. 따라서 인증 처리부(220)의 소정 모듈이 상기 메시지를 토대로 인증 처리를 수행한다. This message is provided to the message processing unit 210 through the traffic processing unit 240 of the access point 200. The message processor 210 processes the transmitted message in the form of an internal message and provides the message to the authentication processor 220. Therefore, a predetermined module of the authentication processing unit 220 performs authentication processing based on the message.

구체적으로 단말(100)로부터 PKMv2 RSA-Request 메시지를 수신하면, 액세스 포인트(200)의 장치 인증 모듈(221)은 상기 메시지에 포함되어 있는 인증서를 토대로 해당 단말에 대한 장치 인증을 수행한다. Specifically, upon receiving the PKMv2 RSA-Request message from the terminal 100, the device authentication module 221 of the access point 200 performs device authentication for the terminal based on the certificate included in the message.

단말(100)에 대한 인증이 성공하면 장치 인증 모듈(221)은, 액세스 포인트의 인증서와 단말(100)의 공개키로 암호화된 pre-PAK가 포함된 PKMv2 RSA-Reply 메시지(일명, RSA 인증 응답 메시지라고 명명함)를 단말(100)로 전송하여, 액세스 포인트에 대한 인증을 요청한다(S120). 여기서 pre-PAK(Primary Authentication Key)는 인증 키 생성을 위한 기본키이며, PKMv2 RSA-Reply 메시지에는 pre-PAK이외에도, 액세스 포인트 인증, 키 유효 시간, 메시지 인증을 위한 임의의 값(예를 들어, CMAC-Digest 또는 HMAC-Digest 등)이 포함될 수 있다.If authentication of the terminal 100 is successful, the device authentication module 221 may include a PKMv2 RSA-Reply message (aka RSA authentication response message) including a pre-PAK encrypted with a certificate of an access point and a public key of the terminal 100. And transmits the request to the terminal 100 for authentication of the access point (S120). Here, pre-PAK (Primary Authentication Key) is the primary key for generating the authentication key, PKMv2 RSA-Reply message in addition to the pre-PAK, and any value for access point authentication, key validity time, message authentication (for example, CMAC-Digest or HMAC-Digest, etc.) may be included.

한편 단말에 대한 인증이 실패하면 장치 인증 모듈(221)은 RSA 기반의 인증이 실패한 원인을 나타내는 에러 코드를 포함하는 PKMv2 RSA-Reject 메시지를 단말(100)로 전송하여, 인증이 실패하였음을 통보한다. On the other hand, if authentication of the terminal fails, the device authentication module 221 transmits a PKMv2 RSA-Reject message including an error code indicating the cause of the failure of the RSA-based authentication to the terminal 100, and notifies that the authentication has failed. .

위의 단계에서 액세스 포인트(200)로부터 PKMv2 RSA-Reply 메시지를 수신한 단말(100)은, 상기 메시지에 포함된 액세스 포인트의 인증서를 검증하여 액세스 포인트에 대한 권한 검증을 수행하고, 그 결과가 포함된 PKMv2 RSA-Acknowledgement 메시지(일명, "RSA 인증 성공 메시지"라고 명명함)를 액세스 포인트(200)로 송신한다(S130). 이와 같이 단말측에서도 RSA 기반 인증이 수행되며, 액세스 포인트에 대한 검증이 성공하였을 경우, 단말(100)이 액세스 포인트(200)에게 성공의 결과가 포함된 PKMv2 RSA-Acknowledgement 메시지를 전송함으로서, RSA 기반의 상호 인증 절차가 완료된다. 인증이 실패하였을 경우에는 PKMv2 RSA-Acknowledgement 메시지에 실패 이유 등의 정보가 포함되며, 이 경우, 액세스 포인트(200)는 기본 호 처리에 요구하여 접속 제어 절차를 종료하고, 접속 해제 처리를 수행한다. Upon receiving the PKMv2 RSA-Reply message from the access point 200 in the above step, the terminal 100 verifies the certificate of the access point included in the message, performs authority verification for the access point, and includes the result. The PKMv2 RSA-Acknowledgement message (also called "RSA authentication success message") is transmitted to the access point 200 (S130). As described above, RSA-based authentication is performed in the terminal side, and when the verification of the access point is successful, the terminal 100 transmits a PKMv2 RSA-Acknowledgement message including the result of the success to the access point 200, thereby providing RSA-based authentication. The mutual authentication procedure is completed. If the authentication fails, the PKMv2 RSA-Acknowledgement message includes information on the reason for the failure, etc. In this case, the access point 200 requests the basic call processing to terminate the access control procedure and perform the connection release process.

이와 같이 RSA 기반 인증의 장치에 대한 인증 절차가 성공적으로 완료되면 다음과 같이 사용자 인증을 수행한다. 한편 장치 인증이 요구되지 않는 경우에는 바로 이하에 기술되는 사용자 인증이 수행될 수도 있다. As described above, if the authentication procedure for the RSA-based authentication device is successfully completed, user authentication is performed as follows. On the other hand, if device authentication is not required, the user authentication described below may be performed.

구체적으로 도 3에 도시되어 있듯이, 단말(100)은 망의 EAP 인증 프로토콜에게 EAP 기반 인증 절차의 시작을 통보하기 위하여 액세스 포인트(200)로 PKMv2 EAP-start 메시지(일명, "EAP 인증 시작 메시지"라고 명명함)를 전송한다(S140). 이 메시지를 수신한 액세스 포인트(200)의 사용자 인증 모듈(222)은 상위 인증 프로토콜 계층에 EAP 기반 인증 절차 시작을 알린다. 즉, 상위 인증 프로토콜 계층을 통하여 인증 서버(400)로 EAP 기반 인증 절차가 시작되었음을 통보하기 위하여, 상기 메시지를 패킷 액세스 라우터 정합 처리부(230)로 보낸다. 정합 처리부(230)는 이미 정해져 있는 정합 방식에 따라 메시지를 처리하며, 예를 들어 UDP 정합 방식이 설정된 경우에는 상기 메시지를 UDP 정합 모듈(231)로 전달하고, SCTP 방식이 설정된 경우에는 상기 메시지를 SCTP 정합 모듈(232)로 전달한다. 따라서, PKMv2 EAP-start 메시지는 설정된 정합 방식에 따라 처리되어 패킷 액세스 라우터(300)로 전송되며, 패킷 액세스 라우터(300)는 이러한 메시지를 인증 서버(400)로 전달한다(S150). Specifically, as shown in FIG. 3, the terminal 100 transmits a PKMv2 EAP-start message (aka, "EAP authentication start message") to the access point 200 to notify the EAP authentication protocol of the network to start the EAP-based authentication procedure. Is called) (S140). Upon receiving this message, the user authentication module 222 of the access point 200 notifies the upper authentication protocol layer of the start of the EAP based authentication procedure. That is, the message is sent to the packet access router matching processor 230 to notify the authentication server 400 that the EAP-based authentication procedure has been started through the higher authentication protocol layer. The matching processor 230 processes the message according to a predetermined matching method. For example, when the UDP matching method is set, the matching processing unit 230 delivers the message to the UDP matching module 231. Transfer to SCTP matching module 232. Therefore, the PKMv2 EAP-start message is processed and transmitted to the packet access router 300 according to the set matching scheme, and the packet access router 300 transmits the message to the authentication server 400 (S150).

이후, 인증 서버(400)로부터 PKMv2 EAP-start 메시지에 대한 응답 메시지로 인증을 위한 EAP 데이터를 포함하는 EAP-Request/Identify 메시지가 송신되면, 패킷 액세스 라우터(300)는 설정된 정합 방식에 따라 처리하여 상기 응답 메시지를 액세스 포인트(200)로 전달한다(S160). Subsequently, when an EAP-Request / Identify message including EAP data for authentication is transmitted from the authentication server 400 as a response to the PKMv2 EAP-start message, the packet access router 300 processes the packet access router 300 according to the set matching scheme. The response message is transmitted to the access point 200 (S160).

액세스 포인트(200)의 UDP 정합 모듈(231)이나 SCTP 정합 모듈(232)은 상기 응답 메시지를 수신하여 인증 처리부(220)로 제공하며, 인증 처리부(220)의 사용자 인증 모듈(222)은 EAP 인증 프로토콜의 절차에 따라 상위 인증 프로토콜 계층으로부터 EAP 데이터를 포함하는 응답 메시지를 수신받을 때마다, 상기 데이터를 PKMv2 EAP-Transfer 메시지(일명, "EAP 데이터 전송 메시지"라고 명명함)를 통해 단말(100)로 전송한다(S170). 즉 사용자 인증 모듈(222)은 상기 응답 메시지를 메시지 처리부(210)로 제공하며, 메시지 처리부(210)는 상기 응답 메시지에 포함된 가입자의 인증 정보--여기서 인증 정보는 EAP위에 올라가는 응용 계층의 보안 프로토콜인 TLS 또는 TTLS 등의 데이터임-, 예를 들어 EAP 데이터 페이로드(Payload)에 실린 정보를 PKMv2 EAP-transfer 메시지에 포함시켜 트래픽 처리부(240)를 통해 단말(100)로 전달한다The UDP matching module 231 or the SCTP matching module 232 of the access point 200 receives the response message and provides the response message to the authentication processing unit 220. The user authentication module 222 of the authentication processing unit 220 performs EAP authentication. Whenever a response message including EAP data is received from a higher authentication protocol layer according to a protocol procedure, the data is referred to as a terminal through a PKMv2 EAP-Transfer message (aka, "EAP data transmission message"). Transmit to (S170). That is, the user authentication module 222 provides the response message to the message processing unit 210, and the message processing unit 210 stores the authentication information of the subscriber included in the response message--where the authentication information is secured on the EAP. Data such as TLS or TTLS, which is a protocol, for example, the information contained in the EAP data payload is included in the PKMv2 EAP-transfer message and transmitted to the terminal 100 through the traffic processor 240.

한편, 이러한 PKMv2 EAP-transfer 메시지를 수신한 단말(100)도 단말의 상위 프로토콜 계층으로부터 전달되는 EAP 데이터가 제공되면, 상기 EAP 데이터를 포함하는 PKMv2 EAP-transfer 메시지를 액세스 포인트(200)로 전송한다(S180). 이러한 EAP 인증 프로토콜의 절차에 따라 여러 번의 PKMv2 EAP-Transfer 메시지가 단말(100)과 액세스 포인트(200) 사이에서 전달되고, EAP-Transfer 메시지로 변환되어 패킷 액세스 라우터(300)를 거쳐 인증 서버(400)로 전달됨으로써, 단말과 인증 서 버 내부에 존재하는 EAP 인증 프로토콜 계층에서 사용자 인증이 이루어진다. 여기서 단말과 액세스 포인트 사이에 전달되는 PKMv2 EAP-Transfer 메시지 수는 상위 인증 프로토콜에 따라 틀려진다. On the other hand, when the terminal 100 receiving the PKMv2 EAP-transfer message is also provided with EAP data transmitted from the upper protocol layer of the terminal, the terminal 100 transmits the PKMv2 EAP-transfer message including the EAP data to the access point 200. (S180). According to the procedure of the EAP authentication protocol, a plurality of PKMv2 EAP-Transfer messages are transferred between the terminal 100 and the access point 200, converted into EAP-Transfer messages, and then converted to an EAP-Transfer message via the packet access router 300 to the authentication server 400. In this case, user authentication is performed in the EAP authentication protocol layer existing in the terminal and the authentication server. Here, the number of PKMv2 EAP-Transfer messages transmitted between the terminal and the access point is different according to the higher authentication protocol.

상위 인증 프로토콜을 통해 사용자 인증이 성공적으로 수행하였을 경우, 인증 서버(400)로부터 EAP 인증 성공 메시지를 수신하면, 패킷 액세스 라우터(300)는 이 메시지를 설정된 정합 방식에 따라 처리하여 액세스 포인트(200)로 전달한다(S190). 액세스 포인트(200)의 사용자 인증 모듈(222)은 EAP 기반 인증 절차가 성공적으로 완료되었음을 통보하기 위한 PKMv2 EAP-Transfer-Sucess 메시지(일명, "EAP 인증 성공 메시지"라고도 명명함)를 메시지 처리부(210)를 통하여 단말(100)로 전송한다. 이에 따라 EAP 기반 인증 절차가 완료된다(S200). When the user authentication is successfully performed through the higher authentication protocol, upon receiving the EAP authentication success message from the authentication server 400, the packet access router 300 processes the message according to the set matching method to access point 200. Transfer to (S190). The user authentication module 222 of the access point 200 transmits a PKMv2 EAP-Transfer-Sucess message (also referred to as an "EAP authentication success message") to notify that the EAP-based authentication procedure has been completed successfully. Through the terminal 100). Accordingly, the EAP-based authentication procedure is completed (S200).

이러한 EAP 기반 인증 절차가 성공적으로 완료되면 단말(100)과 액세스 포인트(200)는 상위 인증 프로토콜 특성에 따라 인증키(AAA 키)를 공유하게 된다. 구체적으로 액세스 포인트(200)의 사용자 인증 모듈(222)은 인증 서버(400)로부터 제공되는 EAP 인증 성공 메시지에 포함되어 있는 인증 키 정보를 키 관리 모듈(223)로 제공한다. 키 관리 모듈(223)은 인증 키 정보를 저장한 뒤, 인증 키 정보를 포함한 인증 관련 정보들 예를 들어, 인증 알고리즘 및 SA (Security Association) 정보들을 교환하기 위해 절차를 수행한다. 이러한 절차를 SA-TEK 절차라고 명명한다. When the EAP-based authentication procedure is successfully completed, the terminal 100 and the access point 200 share an authentication key (AAA key) according to higher authentication protocol characteristics. In more detail, the user authentication module 222 of the access point 200 provides the authentication key information included in the EAP authentication success message provided from the authentication server 400 to the key management module 223. The key management module 223 stores the authentication key information, and then performs a procedure for exchanging authentication related information including the authentication key information, for example, authentication algorithm and SA (Security Association) information. This procedure is called the SA-TEK procedure.

도 4는 본 발명의 실시 예에 따른 인증 방법에서, 인증 관련 정보를 교환하는 과정의 흐름도이다. 4 is a flowchart illustrating a process of exchanging authentication related information in an authentication method according to an exemplary embodiment of the present invention.

구체적으로 인증이 수행된 후, 도 4에서와 같이, 액세스 포인트(200)의 키 관리 모듈(223)은 PKMv2 SA-TEK-Challenge 메시지(일명, "SA 절차 시작 메시지"라고도 명명함)를 단말(100)로 전송함으로써, SA-TEK 절차를 시작한다(S300). PKMv2 SA-TEK-Challenge 메시지는 인증키 식별자, 인증키의 유효 시간을 나타내는 키 유효 시간 등의 정보를 포함한다. Specifically, after authentication is performed, as shown in FIG. 4, the key management module 223 of the access point 200 transmits a PKMv2 SA-TEK-Challenge message (also called "SA procedure start message") to the terminal ( By transmitting to 100), the SA-TEK procedure is started (S300). The PKMv2 SA-TEK-Challenge message includes information such as an authentication key identifier and a key valid time indicating the valid time of the authentication key.

단말(100)은 PKMv2 SA-TEK-Challenge 메시지에 대한 인증을 수행하고, 인증이 PKMv2 SA-TEK-Challenge 메시지에 포함되어 있는 인증키 식별자와, 단말이 자체적으로 생성한 인증키 식별자의 동일성 여부를 판단하여, 동일한 경우 메시지 인증이 성공한 것으로 처리한다. The terminal 100 performs authentication on the PKMv2 SA-TEK-Challenge message and determines whether the authentication is identical to the authentication key identifier included in the PKMv2 SA-TEK-Challenge message and the authentication key identifier generated by the terminal itself. If it is determined, the message authentication is treated as successful.

메시지 인증이 성공한 경우, 단말(100)은 단말 자신이 지원하는 모든 보안 관련 알고리즘을 포함한 PKMv2 SA-TEK-Request 메시지(일명, "SA 요청 메시지"라고도 명명함)를 액세스 포인트(200)로 전송하여(S310), 자신이 인증키를 소유하고 있으며 인증키가 유효하다는 것을 증명하면서 단말의 인증 능력 관련 정보를 요청한다. If the message authentication is successful, the terminal 100 transmits a PKMv2 SA-TEK-Request message (also called "SA request message") including all security related algorithms supported by the terminal to the access point 200. (S310) While the user owns the authentication key and proves that the authentication key is valid, the terminal requests information related to the authentication capability.

이에 따라 액세스 포인트(200)의 키 관리 모듈(223)은 PKMv2 SA-TEK-Request 메시지의 인증을 수행하고, 인증이 성공하면 메시지 처리부(210)를 통하여 제공 가능한 primary SA와 다수개의 static SA들에 해당하는 SA-ID와 알고리즘을, PKMv2 SA-TEK-Response 메시지(일명, "SA 응답 메시지"라고도 명명함)를 통해 단말(100)에게 알려준다. 구체적으로, 단말이 새로운 액세스포인트로 핸드오버된 후 이전 액세스 포인트에서 사용되던 액티브 SA를 용이하게 갱신하기 위한 SA-TEK 갱신 정보, SA 타입, SA 서비스 타입, SA 내에서 사용하는 암호화 그룹 정보가 포함된 SA 디스 크립터, 인증 성능 향상을 위한 보안 협상 파라미터(security negotiation parameter) 등의 정보를 PKMv2 SA-TEK-Response 메시지에 포함시켜 단말로 전송한다(S320). Accordingly, the key management module 223 of the access point 200 performs authentication of the PKMv2 SA-TEK-Request message, and upon successful authentication, the key management module 223 of the key management module 223 is provided to the primary SA and the plurality of static SAs that can be provided through the message processing unit 210. The corresponding SA-ID and algorithm are informed to the terminal 100 through a PKMv2 SA-TEK-Response message (also called "SA response message"). Specifically, SA-TEK update information, SA type, SA service type, and encryption group information used in the SA for easily updating the active SA used in the previous access point after the UE is handed over to a new access point are included. The SA descriptor and the security negotiation parameters for improving the authentication performance are included in the PKMv2 SA-TEK-Response message and transmitted to the terminal (S320).

이에 따라 단말(100)이 PKMv2 SA-TEK-Response 메시지를 수신하게 되면 SA-TEK 절차가 완료되게 되고, 결국 모든 인증 절차가 끝나게 된다. Accordingly, when the terminal 100 receives the PKMv2 SA-TEK-Response message, the SA-TEK procedure is completed, and all authentication procedures are finished.

이러한 실시 예에 따르면, RSA 기반 인증 절차에서 메시지 인증 기능이 포함된 SA-TEK 절차를 통하여 단말 인증 알고리즘과 SA 정보를 교환함으로써, 신뢰성 있는 정보 교환이 이루어지게 된다. According to this embodiment, a reliable information exchange is achieved by exchanging terminal authentication algorithm and SA information through an SA-TEK procedure including a message authentication function in an RSA-based authentication procedure.

한편 위에 RSA 기반 인증 절차가 성공적으로 수행되고 단말과 액세스 포인트가 인증키를 공유하게 되면, 단말과 액세스 포인트 사이에 전송되는 트래픽 데이터를 암호화하기 위해서, 트래픽 암호화 키(TEK: Traffic Encryption Key)를 생성하고 이를 분배하는 과정을 수행한다. 이러한 과정을 통하여 단말과 액세스 포인트 사이에 트래픽 데이터를 안전하게 전달할 수 있게 된다. On the other hand, when the RSA-based authentication procedure is successfully performed and the terminal and the access point share the authentication key, a traffic encryption key (TEK) is generated to encrypt the traffic data transmitted between the terminal and the access point. And distribute it. Through this process, traffic data can be safely transmitted between the terminal and the access point.

인증 후에, 단말(100)은 도 4에 도시되어 있듯이, 트래픽 보안을 위한 암호화 키를 요청하는 키 요청 메시지인 PKMv2 Key-Request 메시지(일명, "암호화 키 요청 메시지"라고도 명명함)를 액세스 포인트(200)로 전송한다(S330). 이 메시지를 수신한 액세스 포인트(200)의 키 관리 모듈(223)은 해당 메시지가 적법한 단말로부터 수신되었는지를 확인하기 위해서 메시지 인증을 수행하고, 인증이 성공한 경우 PKMv2 Key-Request 메시지에 포함되어 있는 SA에 해당하는 트래픽 암호화 키를 생성하고, 상기 트래픽 암호화 키를 포함하는 키 응답 메시지인 PKMv2 Key-Reply 메 시지(일명, "암호화 응답 메시지"라고도 명명함)를 단말(100)로 전송한다. PKMv2 Key-Reply 메시지에는 암호화 키 이외에도 키의 유효 시간, 해당 키의 일련 번호, CBC(Ciper block Chaining) 초기화 벡터 등이 추가적으로 더 포함될 수 있다. 이에 따라 트래픽 암호화 키 생성 및 분배 절차가 완료된다(S340). After authentication, the terminal 100, as shown in Figure 4, the PKMv2 Key-Request message (also called "encryption key request message"), which is a key request message for requesting an encryption key for traffic security, the access point ( 200) (S330). The key management module 223 of the access point 200 receiving the message performs message authentication to confirm whether the message is received from a legitimate terminal, and if the authentication is successful, the SA included in the PKMv2 Key-Request message. Generates a traffic encryption key corresponding to the PKMv2 key-reply message (also referred to as "encryption response message") that is a key response message containing the traffic encryption key to the terminal 100. In addition to the encryption key, the PKMv2 Key-Reply message may further include a valid time of the key, a serial number of the corresponding key, and a cipher block chaining (CBC) initialization vector. Accordingly, the traffic encryption key generation and distribution procedure is completed (S340).

그러나 단계(S330)에서, 메시지 인증이 실패한 경우에는 수신한 PKMv2 Key-Request 메시지를 폐기 처리하고, 단말이 요청한 트래픽 암호화 키에 해당하는 SA가 존재하지 않는 등의, 트래픽 암호화 키 생성이 실패한 경우, 액세스 포인트(200)의 키 관리 모듈(223)은 PKMv2 Key-Reject 메시지를 단말에게 전달하여 단말의 트래픽 암호화 키 요청을 거절한다. However, in step S330, when the message authentication fails, if the traffic encryption key generation fails, such as discarding the received PKMv2 Key-Request message, there is no SA corresponding to the traffic encryption key requested by the terminal, The key management module 223 of the access point 200 transmits a PKMv2 Key-Reject message to the terminal to reject the traffic encryption key request of the terminal.

이러한 과정을 통하여, 단말과 액세스 포인트는 트래픽 암호화 키를 공유하게 되며, 이와 같이 공유된 트래픽 암호화 키를 토대로 안정적인 트래픽 데이터 전송이 이루어진다. Through this process, the terminal and the access point share a traffic encryption key, and stable traffic data transmission is performed based on the shared traffic encryption key.

이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

위에 기술된 본 발명의 실시 예에 따르면, 무선 휴대 인터넷 시스템의 액세스 포인트에서, IEEE 802.16e 규격에서 요구하는 RSA 인증 알고리즘 기반의 장치 인증 및 EAP 기반의 사용자 인증 그리고 SA-TEK 절차를 모두 지원하는 인증 장치 및 방법을 제공할 수 있다. 또한 단말에서 새로운 키를 요구할 때 이를 처리하여 보다 안정적이고 강력한 보안을 유지할 수 있다. 또한, 패킷 액세스 라우터 연동을 UDP 뿐만이 아니라 SCTP가 모두 가능하도록 하여, 다양한 패킷 액세스 라우터에 접속이 가능하다. According to the embodiment of the present invention described above, in the access point of the wireless portable Internet system, authentication that supports both the RSA authentication algorithm-based device authentication, EAP-based user authentication, and SA-TEK procedures required by the IEEE 802.16e standard An apparatus and method can be provided. In addition, when a terminal requests a new key, it can maintain more stable and stronger security. In addition, the packet access router can be connected to various packet access routers by enabling not only UDP but also SCTP.

Claims (10)

무선 휴대 인터넷 시스템에서, 인증 서버와의 연결을 제공하는 패킷 액세스 라우터, 및 단말과 연결되어 있는 액세스 포인트에서 인증을 수행하는 방법에서,In a wireless portable Internet system, in a packet access router providing a connection with an authentication server, and a method for performing authentication at an access point connected with a terminal, a) 상기 단말로부터의 장치 인증 요청에 따라, 상기 단말과 RSA(Rivest Shamir Adleman) 기반 인증 관련 메시지를 송수신하여 상호 인증을 수행하는 단계;a) performing mutual authentication by transmitting and receiving a RSA-based authentication related message with the terminal according to a device authentication request from the terminal; b) 상기 액세스 포인트는 데이터베이스에 저장되어 있는 설정 정보로부터 상기 패킷 액세스 라우터와의 정합 방식을 판별하는 단계;b) the access point determining a matching scheme with the packet access router from configuration information stored in a database; c) 상기 단말로부터의 사용자 인증 요청에 따라, 상기 단말로부터 제공되는메시지를 상기 판별된 정합 방식에 따라 처리하여 상기 인증 서버에 연결된 패킷 액세스 라우터로 송신하고, 상기 정합 방식에 따라 상기 패킷 액세스 라우터로부터 제공되는 메시지를 수신한 후 EAP (Extensible Authentication Protocol) 기반 인증 관련 메시지로 처리하여 상기 단말로 송신하여, 상기 인증 서버를 통하여 상기 단말의 사용자에 대한 인증을 수행하는 단계c) in response to a user authentication request from the terminal, process a message provided from the terminal according to the determined matching scheme and transmit it to a packet access router connected to the authentication server, and from the packet access router according to the matching scheme Receiving the provided message and processing it as an EAP (Extensible Authentication Protocol) based authentication-related message and transmitting to the terminal, and performing the authentication of the user of the terminal through the authentication server d) 상기 장치 인증 및 사용자 인증이 완료되면, 상기 단말과 보안 관련 메시지를 송수신하여, 상기 단말 사이에 인증 알고리즘과 SA(Security Association) 정보 교환을 수행하는 단계d) when the device authentication and user authentication is completed, transmitting and receiving a security-related message with the terminal, performing an authentication algorithm and SA (Security Association) information exchange between the terminals; 를 포함하고,Including, 상기 정합 방식은 UDP(User Datagram protocol) 또는 SCTP(Stream Control Transmission Protocol) 중 하나인 인증 방법.The matching method is one of a user datagram protocol (UDP) or a stream control transmission protocol (SCTP). 삭제delete 제1항에 있어서The method of claim 1 상기 a) 단계는Step a) 상기 단말로부터 송신되며 단말 인증서를 포함하는 RSA 인증 요청 메시지에 따라 RSA를 기반으로 상기 단말에 대한 장치 인증을 수행하는 단계;Performing device authentication on the terminal based on the RSA according to the RSA authentication request message transmitted from the terminal and including the terminal certificate; 상기 단말에 대한 인증이 성공하면, 액세스 포인트의 인증서를 포함하는 RSA 인증 응답 메시지를 단말로 전송하여 인증을 요청하는 단계; 및If authentication is successful for the terminal, requesting authentication by transmitting an RSA authentication response message including a certificate of an access point to the terminal; And 상기 단말로부터 상기 인증 요청에 대한 RSA 인증 성공 메시지가 수신되면, 상기 단말의 액세스 포인트에 대한 인증이 성공한 것으로 판단하여, 상기 단말과의 상호 인증을 완료하는 단계When the RSA authentication success message for the authentication request is received from the terminal, determining that the authentication of the access point of the terminal is successful, and completing mutual authentication with the terminal 를 포함하는 인증 방법.Authentication method comprising a. 제1항에 있어서The method of claim 1 상기 c) 단계는Step c) c-1) 상기 단말로부터 EAP 인증 시작 메시지가 수신되면, 상기 설정된 정합 방식에 따라 상기 패킷 액세스 라우터로 상기 메시지를 전송하여 인증 시작을 통보하는 단계;c-1) when the EAP authentication start message is received from the terminal, notifying the authentication start by transmitting the message to the packet access router according to the set matching method; c-2) 상기 패킷 액세스 라우터를 통하여 상기 설정된 정합 방식에 따라 인증 관련 데이터를 포함하는 메시지가 송신되면, 상기 메시지를 EAP 데이터 전송 메시지 형태로 처리하여 단말로 송신하는 단계;c-2) if a message including authentication-related data is transmitted through the packet access router according to the set matching scheme, processing the message in the form of an EAP data transmission message and transmitting the message to a terminal; c-3) 상기 단말로부터 제공되는 EAP 데이터 전송 메시지를 설정된 정합 방식에 따라 처리하여 상기 패킷 액세스 라우터를 통하여 인증 서버로 전송하는 단계; 및c-3) processing the EAP data transmission message provided from the terminal according to a set matching scheme and transmitting the same to the authentication server through the packet access router; And c-4) 상기 패킷 액세스 라우터를 통하여 인증 서버로부터의 사용자 인증 성공을 나타내는 메시지가 송신되면, EAP 인증 성공 메시지를 상기 단말로 송신하여 인증 성공을 통보하는 단계c-4) when the message indicating the successful user authentication from the authentication server is transmitted through the packet access router, sending an EAP authentication success message to the terminal to notify the authentication success. 를 포함하며,Including; 상기 c-3) 및 c-4) 단계는 인증 프로토콜 특성에 따라 다수회 반복 수행되는 인증 방법.The c-3) and c-4) step is repeated a plurality of times depending on the characteristics of the authentication protocol. 제1항에 있어서The method of claim 1 상기 d) 단계는 Step d) 상기 단말로 SA 절차 시작 메시지를 단말로 송신하여 SA-TEK 절차를 시작하는 단계; 및Starting a SA-TEK procedure by transmitting an SA procedure start message to the terminal; And 상기 단말로부터 단말이 지원하는 모든 보안 관련 알고리즘을 포함한 SA 요청 메시지를 수신하면, 제공 가능한 SA와 보안 관련 알고리즘을 포함하는 SA 응답 메시지를 단말로 송신하는 단계Receiving an SA request message including all security related algorithms supported by the terminal from the terminal, transmitting an SA response message including an available SA and a security related algorithm to the terminal; 를 포함하는 인증 방법.Authentication method comprising a. 제1항에 있어서The method of claim 1 상기 액세스 포인트와 단말이 트래픽 암호화키를 공유하는 단계를 더 포함하고, And sharing the traffic encryption key between the access point and the terminal. 상기 단계는 The step is 상기 단말로부터 제공되는 암호화 키 요청 메시지에 대한 인증을 수행하는 단계;Performing authentication on an encryption key request message provided from the terminal; 인증이 성공한 경우, 상기 SA에 해당하는 트래픽 암호화 키를 생성하는 단계; 및If authentication is successful, generating a traffic encryption key corresponding to the SA; And 상기 트래픽 암호화 키를 포함하는 암호화 키 응답 메시지를 상기 단말로 전송하는 단계Transmitting an encryption key response message including the traffic encryption key to the terminal; 를 포함하는 인증 방법.Authentication method comprising a. 무선 휴대 인터넷 시스템에서, 인증 서버와의 연결을 제공하는 패킷 액세스 라우터, 및 단말과 연결되어 있는 액세스 포인트의 인증 장치에서,In a wireless portable Internet system, in a packet access router providing a connection with an authentication server, and an authentication device of an access point connected with a terminal, 상기 단말과의 메시지 송수신을 수행하는 트래픽 처리부;A traffic processing unit which transmits and receives a message with the terminal; 상기 패킷 액세스 라우터와 설정된 정합 방식이 저장되어 있는 데이터베이스를 포함하며, 상기 정합 방식에 따라 상기 패킷 액세스 라우터와 메시지 송수신을 수행하는 정합 처리부;A matching processing unit including a database in which a matching method set with the packet access router is stored, and performing message transmission / reception with the packet access router according to the matching method; 상기 트래픽 처리부를 통하여 제공되는 단말로부터의 인증 요청에 따라 장치 인증을 수행하고, 상기 패킷 액세스 라우터를 통하여 상기 인증 서버와 연계하여 상기 단말에 대한 사용자 인증을 수행하는 인증 처리부; 및An authentication processing unit for performing device authentication according to an authentication request from the terminal provided through the traffic processing unit, and performing user authentication with respect to the terminal in association with the authentication server through the packet access router; And 상기 인증 처리부로부터 제공되는 메시지를 송신 가능한 형태로 처리하여 상기 트래픽 처리부로 제공하거나, 상기 트래픽 처리부로부터 인가되는 메시지를 상기 인증 처리부가 처리 가능한 형태로 처리하여 인증 처리부로 제공하는 메시지 처리부A message processing unit for processing the message provided from the authentication processing unit in a form that can be transmitted to the traffic processing unit, or processing the message authorized from the traffic processing unit in a form that can be processed by the authentication processing unit to provide to the authentication processing unit. 를 포함하고,Including, 상기 정합 처리부는 상기 단말로부터의 사용자 인증 요청에 따라, 상기 단말로부터 제공되는 메시지를 상기 데이터베이스에 저장된 정합 방식에 따라 처리하여 상기 인증 서버에 연결된 패킷 액세스 라우터로 송신하고, 상기 정합 방식에 따라 상기 패킷 액세스 라우터로부터 제공되는 메시지를 수신한 후 처리하여 상기 인증 처리부로 제공하며, 상기 정합 방식은 UDP(User Datagram protocol) 또는 SCTP(Stream Control Transmission Protocol) 중 하나인 인증 장치.The matching processing unit processes a message provided from the terminal according to a matching scheme stored in the database according to a user authentication request from the terminal and transmits the message to a packet access router connected to the authentication server, and transmits the packet according to the matching scheme. Receives a message provided from an access router, processes and provides the message to the authentication processing unit, wherein the matching method is one of a user datagram protocol (UDP) or a stream control transmission protocol (SCTP). 제7항에 있어서,The method of claim 7, wherein 상기 정합 처리부는 상기 패킷 액세스 라우터와 소정의 정합 방식을 설정하고,The matching processing unit sets a predetermined matching method with the packet access router, 상기 패킷 액세스 라우터와 메시지를 UDP에 따라 송수신하는 UDP 정합 모듈; 및A UDP matching module for transmitting and receiving a message with the packet access router according to UDP; And 상기 패킷 액세스 라우터와 메시지를 SCTP에 따라 송수신하는 SCTP 정합 모듈SCTP matching module for sending and receiving messages with the packet access router according to SCTP 을 포함하는 인증 장치.Authentication device comprising a. 제7항 또는 제8항에 있어서,The method according to claim 7 or 8, 상기 인증 처리부는 The authentication processing unit 상기 단말로부터의 장치 인증 요청에 따라, 상기 단말과 RSA 기반 인증 관련 메시지를 송수신하여 상호 인증을 수행하는 장치 인증 모듈;A device authentication module configured to perform mutual authentication by transmitting and receiving an RSA-based authentication related message with the terminal according to a device authentication request from the terminal; 상기 단말로부터의 사용자 인증 요청에 따라, 상기 패킷 액세스 라우터와 설정된 정합 방식에 따라 메시지를 송수신하여, 상기 인증서버를 통한 EAP 기반의 사용자 인증을 수행하는 사용자 인증 모듈; 및A user authentication module that transmits and receives a message according to a matching scheme with the packet access router according to a user authentication request from the terminal, and performs EAP-based user authentication through the authentication server; And 상기 인증 수행에 따라 발생되는 정보를 저장 및 관리하는 키 관리 모듈Key management module for storing and managing information generated by performing the authentication 을 포함하는 인증 장치.Authentication device comprising a. 제9항에 있어서,The method of claim 9, 상기 키 관리 모듈은 상기 장치 인증 및 사용자 인증이 완료되면, 상기 단말과 보안 관련 메시지를 송수신하여, 상기 단말 사이에 인증 알고리즘과 SA 정보 교환 및, 트래픽 데이터에 대한 암호화키를 교환하는 인증 장치.When the device authentication and user authentication is completed, the key management module transmits and receives a security related message with the terminal, and exchanges an authentication algorithm and SA information and exchanges an encryption key for traffic data between the terminals.         
KR1020050121330A 2005-12-10 2005-12-10 authentication device and method of access point in wireless portable internet system KR100729729B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050121330A KR100729729B1 (en) 2005-12-10 2005-12-10 authentication device and method of access point in wireless portable internet system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050121330A KR100729729B1 (en) 2005-12-10 2005-12-10 authentication device and method of access point in wireless portable internet system

Publications (2)

Publication Number Publication Date
KR20070061685A KR20070061685A (en) 2007-06-14
KR100729729B1 true KR100729729B1 (en) 2007-06-18

Family

ID=38357403

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050121330A KR100729729B1 (en) 2005-12-10 2005-12-10 authentication device and method of access point in wireless portable internet system

Country Status (1)

Country Link
KR (1) KR100729729B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101965306B1 (en) * 2017-10-25 2019-04-03 삼성에스디에스 주식회사 Message server and message processing apparatus including the same
CN117768874A (en) * 2022-09-26 2024-03-26 中国电信股份有限公司 Processing method, terminal, system and storage medium for authentication capability

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
KR20030075224A (en) * 2002-03-16 2003-09-26 삼성전자주식회사 Method of access control in wireless environment and recording medium in which the method is recorded
KR20050109685A (en) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030053280A (en) * 2001-12-22 2003-06-28 주식회사 케이티 Access and Registration Method for Public Wireless LAN Service
KR20030075224A (en) * 2002-03-16 2003-09-26 삼성전자주식회사 Method of access control in wireless environment and recording medium in which the method is recorded
KR20050109685A (en) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Draft IEEE Standard for Local and metropolitan area networks, Part 16: Air Interface for Fixed and Mobile Broadband Wireless Access Systems, IEEE Computer Society (2005.09.13)

Also Published As

Publication number Publication date
KR20070061685A (en) 2007-06-14

Similar Documents

Publication Publication Date Title
KR100813295B1 (en) Method for security association negotiation with Extensible Authentication Protocol in wireless portable internet system
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
KR100704675B1 (en) authentication method and key generating method in wireless portable internet system
Arbaugh et al. Your 80211 wireless network has no clothes
KR101054202B1 (en) Secure authentication and key management within infrastructure-based wireless multihop networks
KR100749846B1 (en) Device for realizing security function in mac of portable internet system and authentication method using the device
US20090175454A1 (en) Wireless network handoff key
JP5364796B2 (en) Encryption information transmission terminal
WO2010012203A1 (en) Authentication method, re-certification method and communication device
JP2002247047A (en) Session shared key sharing method, radio terminal authenticating method, radio terminal and base station device
JP2008547304A (en) Method of assigning authentication key identifier for wireless portable internet system
EP1864426A1 (en) Authentication method and key generating method in wireless portable internet system
Maccari et al. Security analysis of IEEE 802.16
KR100729729B1 (en) authentication device and method of access point in wireless portable internet system
Kim et al. Improving Cross-domain Authentication overWireless Local Area Networks
KR20080056055A (en) Communication inter-provider roaming authentication method and key establishment method, and recording medium storing program including the same
Li et al. A proxy based authentication localisation scheme for handover between non trust-associated domains
CN1996838A (en) AAA certification and optimization method for multi-host WiMAX system
KR100554520B1 (en) A method for an user authorization and a key distribution in a high-speed portable internet system
JP2006191429A (en) Authentication method and system in assembly type customer station network
Wienzek et al. Fast re-authentication for handovers in wireless communication networks
Park et al. A new user authentication protocol for mobile terminals in wireless network
KR20070101504A (en) Apparatus and method for authentication in portable internet system
CN115278660A (en) Access authentication method, device and system
Bhootna et al. Advanced Identity Management System in 4G Wireless Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20130520

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160519

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee