KR100789920B1 - Method and apparatus for device and user authentication based on single eap message in mobile communication system - Google Patents
Method and apparatus for device and user authentication based on single eap message in mobile communication system Download PDFInfo
- Publication number
- KR100789920B1 KR100789920B1 KR20060096166A KR20060096166A KR100789920B1 KR 100789920 B1 KR100789920 B1 KR 100789920B1 KR 20060096166 A KR20060096166 A KR 20060096166A KR 20060096166 A KR20060096166 A KR 20060096166A KR 100789920 B1 KR100789920 B1 KR 100789920B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- medium
- message
- terminal
- authentication code
- Prior art date
Links
Images
Abstract
Description
도 1은 본 발명의 장치/사용자 인증 방법이 적용되는 이동통신 시스템의 일실시예 구성도,1 is a configuration diagram of an embodiment of a mobile communication system to which a device / user authentication method of the present invention is applied;
도 2는 본 발명에 따른 장치/사용자 인증을 위하여 인증 서버가 사용자 단말로 전송하는 EAP 요청 메시지의 일실시예 구성도, 2 is a diagram illustrating an embodiment of an EAP request message transmitted from an authentication server to a user terminal for device / user authentication according to the present invention;
도 3은 본 발명에 따른 장치/사용자 인증을 위하여 사용자 단말이 인증 서버로 전송하는 EAP 응답 메시지의 일실시예 구성도, 3 is an embodiment configuration diagram of an EAP response message transmitted from a user terminal to an authentication server for device / user authentication according to the present invention;
도 4는 본 발명의 일실시예에 따른 인증 서버와 사용자 단말의 다이나믹 키 생성 방법을 설명하기 위한 도면,4 is a view for explaining a dynamic key generation method of an authentication server and a user terminal according to an embodiment of the present invention;
도 5는 본 발명의 일실시예에 따른 서버 인증 코드와 단말 인증 코드 및 메시지 인증 코드를 생성하는 방법을 설명하기 위한 도면,5 is a view for explaining a method for generating a server authentication code, a terminal authentication code and a message authentication code according to an embodiment of the present invention;
도 6은 본 발명에 따른 인증 서버의 일실시예 블록 구성도, 6 is a block diagram of an embodiment of an authentication server according to the present invention;
도 7은 본 발명에 따른 사용자 단말의 일실시예 블록 구성도, 7 is a block diagram of an embodiment of a user terminal according to the present invention;
도 8은 본 발명에 따라 사용자 단말과 인증 서버 사이에 싱글 EAP 메시지를 이용하여 장치/사용자 인증을 수행하는 방법을 설명하는 일실시예 흐름도이다. 8 is a flowchart illustrating a method of performing device / user authentication using a single EAP message between a user terminal and an authentication server according to the present invention.
본 발명은 싱글 EAP 메시지를 이용한 장치/사용자 인증 방법 및 장치에 관한 것으로, 더욱 상세하게는 이동통신 시스템에서 싱글 EAP 메시지를 이용하여 장치 인증과 사용자 인증을 동시에 수행하는 싱글 EAP 메시지를 이용한 장치/사용자 인증 방법 및 장치에 관한 것이다.The present invention relates to a device / user authentication method and apparatus using a single EAP message, and more particularly, to a device / user using a single EAP message that simultaneously performs device authentication and user authentication using a single EAP message in a mobile communication system. An authentication method and apparatus.
3GE(3G-Evolution) 액세스 시스템은 고품질 멀티미디어 서비스 제공에 적합한 IP 기반의 무선 패킷 액세스 네트워크 시스템으로서, 3GPP 혹은 3GPP2에 기반을 두고 진화하는 모든 차세대 이동통신 시스템을 통칭한다. 3GE 액세스 시스템은 높은 통신품질('High Quality')과 높은 보안성('Good Security')을 지원함과 동시에 저비용('Low Cost')과 고속 통신('High Rate')까지 지원함으로써 기존의 3G 시스템이나 기타 경쟁 대상 시스템과 차별화되는 무선 네트워크('Radio & Network') 기술을 제공함을 목적으로 한다. 또한, 3GE 시스템은 액세스 시스템은 고속 무선 패킷 전송뿐만 아니라 가입자가 원하는 서비스 특성에 따라 기지국을 선택할 수 있는 시스템으로서, WLAN/ GSM/ GPRS/ UTRAN/ HSPDPA/ Emerging System 등의 다중 무선 접속 기술(Multi-RAT; Multi-Radio Access Technology)들을 융합하는 기술과 이들 간의 서비스 연속성(service continuity) 보장을 위한 기술을 제공한다. 그리고 3GE 시스템은 이러한 Multi-RAT 환경에서 가입자가 가입자의 위치와 전파환경 및 서비스 특성에 따라 통신 품질 및 과금에 유리한 기지국을 선택하여 접속할 수 있도록 한다. 또한, 3GE 시스템은 사업자가 자원 및 이동성 관리 체제를 글로벌하게 구축할 수 있도록 함으로써 무선 자원의 효율적 사용, 기지국 간의 트래픽 분배를 통한 가입자 수용 능력 증대, 및 경제적인 인프라 투자/운용 환경을 지원한다. 3G-Evolution (3GE) access system is an IP-based wireless packet access network system suitable for providing high quality multimedia services, and collectively refers to all next-generation mobile communication systems based on 3GPP or 3GPP2. The 3GE access system supports high communication quality ('High Quality') and 'Good Security', and also supports low cost ('Low Cost') and high speed ('High Rate'). It aims to provide a wireless network ('Radio & Network') technology that is differentiated from other competitive systems. In addition, the 3GE system is a system in which an access system can select a base station according to a service characteristic desired by a subscriber as well as high-speed wireless packet transmission, and is a multi-radio access technology such as WLAN / GSM / GPRS / UTRAN / HSPDPA / Emerging System A technology for fusion of multi-radio access technologies (RATs) and a service for guaranteeing service continuity therebetween are provided. In addition, the 3GE system enables subscribers to select and access base stations that are advantageous for communication quality and billing according to the subscriber's location, radio environment and service characteristics in this multi-RAT environment. In addition, the 3GE system enables operators to deploy resource and mobility management systems globally to support efficient use of wireless resources, increased subscriber capacity through traffic distribution between base stations, and economic infrastructure investment / operation environment.
상술한 바와 같은 차세대 이동통신 시스템에서 고속 무선 패킷 서비스 제공을 위해서는, 선결적으로 무선 패킷 서비스를 제공받고자 하는 장치 및 사용자에 대한 인증 기술이 필요하다. 인증에는 이동통신망을 통하여 접속한 장치가 인증 서버에 등록된 적법한 장치인지 여부를 판단하는 장치 인증, 및 이동통신망을 통하여 접속한 사용자가 인증 서버에 등록된 적법한 사용자인지 여부를 판단하는 사용자 인증이 있다. 3GE 액세스 시스템은 장치 인증과 사용자 인증을 선택적으로 또는 동시에 지원할 수 있어야 한다. 현재 장치 인증 또는 사용자 인증을 지원하기 위하여 가장 많이 사용되는 인증 방식은 확장 인증 프로토콜(EAP)에 따른 인증 방식이다. 확장 인증 프로토콜(Extensible Authentication Protocol, 이하 'EAP'라 함)은 장치 인증 및 사용자 인증을 위하여 이동 단말과 인증 서버 사이에 인증 데이터를 전송하는 확장 가능한 인증 프로토콜로서, 현재 다양한 EAP 인증 프로토콜들이 RFC(Request For Comments) 또는 드래프트(Draft) 형식으로 공개되어 있다.In order to provide a high speed wireless packet service in the next generation mobile communication system as described above, an authentication technique for a device and a user who wants to receive a wireless packet service in advance is required. Authentication includes device authentication for determining whether a device connected through a mobile communication network is a legitimate device registered in an authentication server, and user authentication for determining whether a user connected through a mobile communication network is a legitimate user registered in an authentication server. . The 3GE access system must be able to support device authentication and user authentication selectively or simultaneously. Currently, the most commonly used authentication method for supporting device authentication or user authentication is an authentication method according to an extended authentication protocol (EAP). Extensible Authentication Protocol (EAP) is an extensible authentication protocol that transmits authentication data between a mobile terminal and an authentication server for device authentication and user authentication. Currently, various EAP authentication protocols are used for requesting RFCs. For Comments or Draft.
IP 기반의 패킷 이동통신 시스템에는 와이맥스(WiMAX) 규격에 정의된 인증 방법이 적용될 수 있다. 현재 와이맥스 규격 [WiMAX End-to-End Network Systems Architecture (Stage 3: Detailed Protocols and Procedures) April 24, 2006 DRAFT]에 정의된 EAP 인증 방법에는 다음과 같이 네 가지 인증 방법이 있다. 우선, 1) 장치 인증만을 지원하는 경우의 싱글 EAP 장치 인증 방법과 2) 사용자 인증만을 지원하는 경우의 싱글 EAP 사용자 인증 방법이 있다. 그리고 장치/사용자 인증을 모두 지원하는 경우의 3) 싱글 EAP 장치/사용자 인증 방법과 4) 더블 EAP 장치/사용자 인증 방법이 있다. The authentication method defined in the WiMAX standard may be applied to an IP-based packet mobile communication system. There are four EAP authentication methods defined in the WiMAX specification [WiMAX End-to-End Network Systems Architecture (Stage 3: Detailed Protocols and Procedures) April 24, 2006 DRAFT]. First, there is a single EAP device authentication method when only 1) device authentication is supported, and 2) a single EAP user authentication method when only user authentication is supported. There are 3) single EAP device / user authentication method and 4) double EAP device / user authentication method when both device / user authentication is supported.
한편, 와이맥스(WiMAX) 규격에서는 장치 인증을 위한 매개체(credential)로서 인증서 및 프리쉐어드 키(pre-shared key)를 정의하고 있으며, 사용자 인증을 위한 매개체(credential)로서 가입자 루트 키(subscriber root key)를 정의하고 있다. 상기 인증서는 특정한 공개키가 특정한 단말에 결합되어 있음을 증명하기 위하여 인증 기관이 발행하는 디지털 정보로서, 장치 인증에 사용되는 매개체이다. 상기 프리쉐어드 키는 단말과 인증 서버에서 동일하게 가지고 있는 키로서, 상기 인증서와 마찬가지로 장치 인증을 수행하기 위한 매개체이다. 상기 가입자 루트 키는 단말과 인증 서버에서 동일하게 가지고 있는 키로서, 사용자 인증에 사용되는 매개체이다. Meanwhile, the WiMAX standard defines a certificate and a pre-shared key as a credential for device authentication, and a subscriber root key as a credential for user authentication. ) Is defined. The certificate is digital information issued by a certification authority to prove that a specific public key is bound to a specific terminal, and is a medium used for device authentication. The preshared key is a key that is identically held by the terminal and the authentication server, and is a medium for performing device authentication similarly to the certificate. The subscriber root key is a key having the same in the terminal and the authentication server, and is a medium used for user authentication.
더블 EAP 장치/사용자 인증 방법은 동일하거나 서로 다른 EAP 인증 프로토콜 두 개를 사용하는 방법이다. 예를 들면, 장치 인증을 위하여 EAP-TLS 프로토콜 또는 EAP-PSK 프로토콜을 사용한 후, 사용자 인증을 위하여 EAP-AKS 프로토콜을 사용 하는 방법이다. 상기 EAP-TLS(Extensible Authentication Protocol - Transport Layer Security) 프로토콜은 인증서 기반의 인증 프로토콜로서, 인증 서버와 클라이언트 단말의 상호 인증을 위하여 EAP 내부에 공개키 인증서 기술을 사용하는 프로토콜이다. 상기 EAP-PSK(Extensible Authentication Protocol - Pre-Shared Key) 프로토콜은 프리쉐어드 키(pre-shared key)를 이용하여 클라이언트 단말과 서버 간의 상호 인증을 수행하고 세션키를 생성하는 인증 프로토콜이다. 상기 EAP-AKA(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement) 프로토콜은 클라이언트와 서버에 저장된 동일한 키를 이용하여 상호 인증 및 세션 키 분배를 수행하는 인증 프로토콜이다. 이러한 더블 EAP 장치/사용자 인증 방법은 장치 및 사용자 인증을 위하여 두 개의 프로토콜을 사용하기 때문에 인증 소요 시간이 길어질 뿐만 아니라 무선 자원 이용 측면에서도 비효율적이다. The double EAP device / user authentication method uses two identical or different EAP authentication protocols. For example, after the EAP-TLS protocol or the EAP-PSK protocol is used for device authentication, the EAP-AKS protocol is used for user authentication. The EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) protocol is a certificate-based authentication protocol, which uses a public key certificate technology inside the EAP for mutual authentication of an authentication server and a client terminal. The EAP-PSK (Extensible Authentication Protocol-Pre-Shared Key) protocol is an authentication protocol for performing mutual authentication between a client terminal and a server using a pre-shared key and generating a session key. The EAP-AKA (Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement) protocol is an authentication protocol that performs mutual authentication and session key distribution using the same key stored in the client and server. Since the double EAP device / user authentication method uses two protocols for device and user authentication, the authentication time is long and inefficient in terms of radio resource usage.
한편, 싱글 EAP 장치/사용자 인증 방법은 장치와 사용자 인증을 위하여 두 개의 인증 매개체(credential)를 하나의 EAP 인증 프로토콜을 이용하여 인증하는 방법이다. 하지만 와이맥스 규격 [WiMAX End-to-End Network Systems Architecture]의 '5.4.3.8.6 Device-User Single EAP Authentication' 절에서도 "Since an EAP method that can authenticate with two credentials does not exists..."와 같이 기재되어 있듯이, 현재 두 개의 인증 매개체를 동시에 처리할 수 있는 싱글 EAP 장치/사용자 인증 방법은 제시되지 못하고 있는 상황이다.Meanwhile, the single EAP device / user authentication method is a method of authenticating two authentication credentials using one EAP authentication protocol for device and user authentication. However, in the '5.4.3.8.6 Device-User Single EAP Authentication' section of the WiMAX specification [WiMAX End-to-End Network Systems Architecture], as in "Since an EAP method that can authenticate with two credentials does not exists ..." As described, there is currently no single EAP device / user authentication method capable of simultaneously processing two authentication agents.
본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 이동통신 시스템에 있어서 싱글 EAP 메시지를 이용하여 두 개의 인증 매개체를 처리함으로써 장치 인증과 사용자 인증을 수행할 수 있는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and provides a device / user authentication method and apparatus capable of performing device authentication and user authentication by processing two authentication media using a single EAP message in a mobile communication system. Its purpose is to.
특히, 본 발명은 장치 인증 매개체와 사용자 인증 매개체를 하나의 매개체로 암호화함으로써 장치 인증과 사용자 인증을 하나의 싱글 EAP 메시지로 수행할 수 있도록 하고 무선 자원을 효율적으로 이용할 수 있도록 하는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다.In particular, the present invention provides a device / user authentication method that enables device authentication and user authentication to be performed as a single EAP message by encrypting a device authentication medium and a user authentication medium into one medium, and enables efficient use of radio resources. And to provide a device.
또한, 본 발명은 하나의 싱글 EAP 메시지로 장치/사용자 인증을 수행함으로써 더블 EAP 인증 방식에 비하여 장치/사용자 인증의 처리 시간을 단축할 수 있는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다. Another object of the present invention is to provide a device / user authentication method and device capable of shortening the processing time of device / user authentication compared to double EAP authentication by performing device / user authentication with one single EAP message. .
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.
상기 목적을 달성하기 위한 본 발명은 패킷 이동통신을 수행하는 단말에 대하여 장치 및 사용자 인증을 수행하는 인증 서버로서, 상기 단말에 대한 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부, 상기 단말로 송신할 랜덤 값을 생성하고, 상기 랜덤 값 정보를 포함하는 요청 메시지를 생성하여 상기 단말로 송신하는 메시지 생성부, 상기 단말로부터 상기 요청 메시지에 대한 응답 메시지를 수신하고 상기 수신된 응답 메시지로부터 단말인증코드를 추출하는 메시지 처리부, 및 상기 랜덤 값과 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하고, 상기 생성된 단말인증코드와 상기 추출된 단말인증코드를 비교함으로써 상기 단말에 대한 장치 및 사용자 인증을 수행하는 인증부를 포함한다. 상기 응답 메시지로부터 추출된 단말인증코드는 상기 단말에 저장된 장치인증 매개체와 사용자인증 매개체 및 상기 단말이 상기 인증 서버로부터 수신한 요청 메시지에 포함된 랜덤 값으로부터 생성된다. According to an aspect of the present invention, there is provided an authentication server for performing device and user authentication for a terminal performing packet mobile communication, the storage unit storing a device authentication medium and a user authentication medium for the terminal, and transmitting to the terminal. A message generator for generating a random value to be generated, generating a request message including the random value information, and transmitting the request message to the terminal, receiving a response message for the request message from the terminal, and receiving a terminal authentication code from the received response message Message processing unit for extracting the; and generating a terminal authentication code from the random value and the device authentication medium and the user authentication medium, the device for the terminal by comparing the generated terminal authentication code and the extracted terminal authentication code and It includes an authentication unit that performs user authentication. The terminal authentication code extracted from the response message is generated from a device authentication medium and a user authentication medium stored in the terminal, and a random value included in the request message received by the terminal from the authentication server.
또한, 상기 저장부에는 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체가 저장된다. 그리고 상기 인증부는 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부, 및 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부를 포함한다. 상기 예비 인증키 및 상기 장치 및 사용자 인증 매개체는 AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, 상기 단말인증코드는 CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성된다.In addition, the storage unit stores the terminal authentication code generation medium for generating the terminal authentication code. And the authentication unit generates a preliminary authentication key by encrypting the random value and the device authentication medium, and generates a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium, and a user authentication medium generation unit, and And a terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium. The preliminary authentication key and the device and the user authentication medium are generated by AES (Advanced Encryption Standard) encryption method, and the terminal authentication code is generated by CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption method. do.
한편, 상기 메시지 처리부는 상기 응답 메시지로부터 메시지인증코드를 추출한다. 그리고 상기 인증 서버는 상기 장치 및 사용자 인증 매개체 및 상기 응답 메시지의 패킷 길이로부터 메시지인증코드를 생성하고, 상기 생성된 메시지인증코드와 상기 추출된 메시지 인증코드를 비교함으로써 상기 응답 메시지의 무결성을 검증하는 검증부를 더 포함한다. 상기 검증부는 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부, 및 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부를 포함한다. 상기 검증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 메시지인증코드는 CMAC-AES암호화 방식에 의해 생성된다. On the other hand, the message processing unit extracts a message authentication code from the response message. And the authentication server generates a message authentication code from the device and user authentication medium and the packet length of the response message, and verifies the integrity of the response message by comparing the generated message authentication code with the extracted message authentication code. It further includes a verification unit. The verification unit encrypts the device and the user authentication medium to generate a verification medium for verifying the packet data integrity of the response message, and a verification medium generation unit, and encrypts the packet length of the verification medium and the response message to verify the message authentication code. It includes a message authentication code generation unit for generating a. The verification medium is generated by AES encryption, and the message authentication code is generated by CMAC-AES encryption.
또한, 본 발명은 패킷 이동통신을 통해 인증 서버에 접속하여 장치 및 사용자 인증을 받는 단말로서, 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부, 상기 인증 서버로부터 수신한 요청 메시지로부터 상기 인증 서버에서 생성한 랜덤 값을 추출하는 메시지 처리부, 상기 랜덤 값과 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하는 인증키 생성부, 및 상기 단말인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신하는 메시지 생성부를 포함한다. 상기 저장부에는 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체를 저장된다. 그리고 상기 인증키 생성부는 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부, 및 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부를 포함한다. 상기 예비 인증키 및 상기 장치 및 사용자 인증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 단말인증코드는 CMAC-AES 암호화 방식에 의해 생성된다. In addition, the present invention is a terminal for receiving device and user authentication by accessing the authentication server through packet mobile communication, the storage unit for storing the device authentication medium and the user authentication medium, the authentication server from the request message received from the authentication server Message authentication unit for extracting the generated random value, authentication key generation unit for generating a terminal authentication code from the random value and the device authentication medium and the user authentication medium, and generating a response message including the terminal authentication code to the authentication It includes a message generating unit for sending to the server. The storage unit stores a terminal authentication code generation medium for generating the terminal authentication code. And an authentication key generation unit generating a preliminary authentication key by encrypting the random value and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium. And a terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium. The preliminary authentication key, the device and the user authentication medium are generated by AES encryption, and the terminal authentication code is generated by CMAC-AES encryption.
상기 인증키 생성부는 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부, 및 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부를 더 포함할 수 있다. 상기 메시지 생성부는 상기 단말인증코드 및 상기 메시지인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신한다. 상기 검증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 메시지인증코드는 CMAC-AES 암호화 방식에 의해 생성된다. The authentication key generation unit encrypts the device and the user authentication medium to generate a verification medium for verifying the packet data integrity of the response message, and a verification medium generation unit, and encrypts the packet lengths of the verification medium and the response message. It may further include a message authentication code generation unit for generating an authentication code. The message generator generates a response message including the terminal authentication code and the message authentication code and transmits the response message to the authentication server. The verification medium is generated by the AES encryption method, and the message authentication code is generated by the CMAC-AES encryption method.
한편, 본 발명은 싱글 EAP(Extensible Authentication Protocol) 메시지를 이용하여 장치 및 사용자 인증을 수행하는 방법으로서, 장치 인증 매개체 및 랜덤 값을 암호화하여 예비 인증키를 생성하는 단계, 상기 예비 인증키 및 사용자 인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 단계, 상기 장치 및 사용자 인증 매개체를 이용하여 제1 장치 및 사용자 인증코드를 생성하는 단계, 수신된 EAP 메시지로부터 제2 장치 및 사용자 인증코드를 추출하는 단계, 및 상기 제1 장치 및 사용자 인증코드와 상기 제2 장치 및 사용자 인증코드를 비교함으로써 장치 및 사용자 인증을 수행하는 단계를 포함한다. 상기 예비 인증키와 상기 장치 및 사용자 인증 매개체는 AES 암호화 방식에 의해 생성된다. 상기 제1 장치 및 사용자 인증코드는 상기 장치 및 사용자 인증 매개체를 입력 키로 하고 '상기 장치 인증 매개체, 상기 사용자 인증 매개체, 상기 랜덤 값 및 인증코드 생성 매개체의 스트링 연결'을 입력 문자열로 하는 CMAC-AES 암호화 방식에 의해 생성된다. On the other hand, the present invention is a method for performing device and user authentication using a single EAP (Extensible Authentication Protocol) message, generating a preliminary authentication key by encrypting a device authentication medium and a random value, the preliminary authentication key and user authentication Generating a device and a user authentication medium by encrypting the medium, generating a first device and a user authentication code using the device and the user authentication medium, and extracting a second device and a user authentication code from the received EAP message. And performing device and user authentication by comparing the first device and user authentication code with the second device and user authentication code. The preliminary authentication key and the device and user authentication medium are generated by AES encryption. The first device and the user authentication code are CMAC-AES, wherein the device and the user authentication medium are input strings, and the string connection of the device authentication medium, the user authentication medium, the random value, and the authentication code generation medium is an input string. Generated by an encryption scheme.
또한, 본 발명의 장치 및 사용자 인증 방법은 상기 장치 및 사용자 인증 매개체를 암호화하여 메시지 검증 매개체를 생성하는 단계, 상기 메시지 검증 매개체와 상기 수신된 EAP 메시지의 패킷 길이를 이용하여 제1 EAP 메시지 인증코드를 생성하는 단계, 상기 수신된 EAP 메시지로부터 제2 EAP 메시지 인증코드를 추출하는 단계, 및 상기 제1 EAP 메시지 인증코드와 상기 제2 EAP 메시지 인증코드를 비교함으로써 상기 수신된 EAP 메시지의 데이터 무결성을 검증하는 단계를 더 포함할 수 있다. 상기 메시지 검증 매개체는 AES 암호화 방식에 의해 생성된다. 그리고 상기 제1 EAP 메시지 인증코드는 상기 메시지 검증 매개체를 입력 키로 하고 '상기 수신된 EAP 메시지의 패킷 길이 및 상기 랜덤 값의 스트링 연결'을 입력 문자열로 하는 CMAC-AES 암호화 방식에 의해 생성된다. In addition, the device and the user authentication method of the present invention encrypts the device and the user authentication medium to generate a message verification medium, the first EAP message authentication code using the packet verification medium and the packet length of the received EAP message Generating data, extracting a second EAP message authentication code from the received EAP message, and comparing the first EAP message authentication code with the second EAP message authentication code to determine the data integrity of the received EAP message. The method may further include verifying. The message verification medium is generated by AES encryption. The first EAP message authentication code is generated by the CMAC-AES encryption method using the message verification medium as an input key and 'string concatenation of the packet length and the random value of the received EAP message' as an input string.
상술한 본 발명의 내용은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above-described contents of the present invention will become more apparent through the following detailed description with reference to the accompanying drawings, and thus, those skilled in the art to which the present invention pertains may easily implement the technical idea of the present invention. will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명에 따른 장치/사용자 인증 방법은 IP 기반의 패킷 이동 통신을 수행하는 모든 통신 시스템에 적용 가능하다. 도 1은 본 발명의 장치/사용자 인증 방법이 적용되는 이동통신 시스템의 일실시예 구성도이다. The device / user authentication method according to the present invention is applicable to all communication systems that perform IP-based packet mobile communication. 1 is a configuration diagram of an embodiment of a mobile communication system to which the device / user authentication method of the present invention is applied.
도 1에서 사용자 단말(UE)(111)은 고속의 이동 패킷 통신을 수행하는 이동 단말로서, 3GPP 또는 3GPP2를 기반으로 진화된 3GE 인터페이스와 3GPP 또는 3GPP2 규격을 기반으로 하지 않는 non-3GPP 인터페이스(Wireless LAN, WiMAX 등)를 모두 수용하는 듀얼-모드 기능을 가진다. 또한, 상기 사용자 단말(UE, 111)은 3GE 시스템 및 non-3GPP 시스템 간의 이종망 핸드오버(Vertical Handover) 기능을 가진다.In FIG. 1, a user terminal (UE) 111 is a mobile terminal that performs high-speed mobile packet communication. A 3GE interface evolved based on 3GPP or 3GPP2 and a non-3GPP interface based on 3GPP or 3GPP2 are not. LAN, WiMAX, etc.) has dual-mode capability. In addition, the
기지국(E-Node B; Evolution-RAN)(121)은 무선 자원을 관리하고 무선 베어러 설정을 담당하는 기능을 수행한다. 제어 메시지를 처리하는 서빙 노드(Evolution-Serving Node for Control; E-SN(C))(160)는 기지국 간의 핸드오버를 제어 및 관리하며 세션 관리 기능을 수행한다. 사용자 데이터를 처리하는 서빙 노드(Evolution-Serving Node for User Data; E-SN(U))(140)는 이동통신 엑세스 시스템과 운영자 IP 서비스 네트워크 사이의 트래픽 처리 기능을 수행한다. 방문망 에이전트(Foreign Agent; FA)(142, 157) 및 홈 에이전트(Home Agent; HA))(154)는 서로 다른 IP 서브넷 간 사용자 단말(UE)의 이동성을 지원하기 위한 모바일 아이피(Mobile IP) 기능을 수행한다. A base station (E-Node B; Evolution-RAN) 121 manages radio resources and performs a function of managing a radio bearer. The serving node (Evolution-Serving Node for Control; E-SN (C)) 160 that processes the control message controls and manages handover between base stations and performs a session management function. A serving node (Evolution-Serving Node for User Data; E-SN (U)) 140 that processes user data performs a traffic processing function between a mobile communication access system and an operator IP service network. The visitor agent (FA) 142 and 157 and the home agent (HA) 154 are mobile IPs for supporting mobility of UEs between different IP subnets. Perform the function.
도 1의 이동통신 시스템은 WLAN 간의 연동(Inter-working with WLAN; I-WLAN)을 지원한다. 이를 위해 상기 이동통신 시스템은 사용자 단말(UE)과 무선 접속하는 WLAN 무선접속장치(Access Point; AP)(131), WLAN과 IP 백본(IP BackBone; IP-BB)(150)과의 연결 기능을 수행하는 WLAN 접속 게이트웨이(WLAN Access Gateway; WAG)(155), WLAN 무선접속장치(131)로의 IP 패킷 전송 처리 기능을 수행하는 패킷 데이터 게이트웨이(Packet Data Gateway; PDG)(156)를 구비한다. The mobile communication system of FIG. 1 supports Inter-working with WLAN (I-WLAN). To this end, the mobile communication system provides a WLAN access point (AP) 131 wirelessly connected to a user terminal (UE), a WLAN and an IP backbone (IP-BB) 150 connection function. A WLAN Access Gateway (WAG) 155 to perform and a Packet Data Gateway (PDG) 156 to perform an IP packet transmission processing function to the WLAN
홈위치등록기(Home Location Register; HLR)(110)는 가입자의 부가서비스에 대한 정보를 저장하며 서비스 수행에 필요한 정보를 제공한다. 인증 서버(Authentication Authorization Account Server; AAA 서버)(170)는 사용자 단말(UE)에 대한 인증, 권한 검증 및 과금 기능을 수행한다. 상기 홈위치등록기(110) 및 인증 서버(170)는 서비스 프로파일 관리 기능을 담당하는 HSS(Home Subscriber Server)(175)에서 구현될 수 있다. The Home Location Register (HLR) 110 stores information on additional services of subscribers and provides information necessary to perform services. The Authentication Authorization Account Server (AAA Server) 170 performs authentication, authorization verification, and billing functions for the UE. The home location register 110 and the
한편, 도 1의 이동통신 시스템은 IP 프로토콜을 기반으로 하여 오디오, 비디오 및 데이터를 복합적으로 제공하는 IMS(IP Multimedia Subsystem) 서비스를 제공한다. 이를 위해 3GE 액세스 시스템은 컨텐츠 제공자들의 접속점 역할을 하는 BM-SC(Broadcast Multicast-Service Center) 서버(152), 프록시 기능과 홈네트워크 보호를 위한 방화벽 기능을 수행하며 IMS 서비스 브로커 역할을 하는 P/I/S-CSCF(Proxy CSCF/Interrogating CSCF/Serving CSCF) 노드(153)를 구비한다. Meanwhile, the mobile communication system of FIG. 1 provides an IMS (IP Multimedia Subsystem) service that provides a combination of audio, video, and data based on an IP protocol. To this end, the 3GE access system performs a broadcast multicast-service center (BM-SC)
도 2는 본 발명에 따른 장치/사용자 인증을 위하여 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)로 전송하는 EAP 요청 메시지(EAP-Request)의 일실시예 구성도이다. FIG. 2 is a diagram illustrating an embodiment of an EAP request message transmitted by an authentication server (AAA server) 170 to a user terminal (UE) 111 for device / user authentication according to the present invention.
EAP 요청 메시지(EAP-Request)는 도 2에 도시된 바와 같이, Code 필드(201), Identifier 필드(202), Length 필드(203), Type 필드(204), Flags 필드(205), Reserved 필드(206), RANDOM 필드(207), AUTH_S 필드(208) 및 MAC_S 필드(209)를 포함한다. As shown in FIG. 2, the EAP request message (EAP-Request) includes a
Code 필드(201)는 EAP 프로토콜이 수행해야 할 기능에 대한 정보를 가진다. 즉, Code 필드(201)는 EAP 메시지가 EAP 요청 메시지(EAP-Request)인지 EAP 응답 메시지(EAP-Response)인지 여부를 나타내는 EAP-Request/Response 값을 가진다. 상기 EAP-Request/Response 값은 EAP 메시지가 EAP 요청 메시지인 경우(도 2의 경우)에는 '1'로, EAP 응답 메시지인 경우(도 3의 경우)에는 '2'로 설정된다. The
Identifier 필드(202)는 EAP 요청 메시지(EAP-Request)와 EAP 응답 메시지(EAP-Response)의 매칭을 위한 식별 정보(Identifier)를 가진다. 즉, Identifer 필드(202)에 기록된 정보는 사용자 단말(UE, 111)로부터 수신한 EAP 응답 메시지(EAP-Response)가 인증 서버(AAA 서버, 170)가 보낸 EAP 요청 메시지(EAP-Request)에 대한 응답인지 여부를 확인하기 위한 식별 정보이다. 더 구체적으로, 인증 서버(170)가 EAP 요청 메시지를 사용자 단말(111)로 전송하면 사용자 단말(111)은 상기 인증 서버(170)로부터 받은 EAP 요청 메시지의 Identifier 필드에 기록된 식별 정보 값을 EAP 응답 메시지의 Identifier 필드 값으로 사용하며, 인증 서버는(170)는 상기 사용자 단말(111)로부터 수신한 EAP 응답 메시지의 Identifier 필드 값과 상기 사용자 단말(111)로 송신한 EAP 요청 메시지에 기록했던 식별 정보 값을 비교함으로써 상기 EAP 응답 메시지가 EAP 요청 메시지에 대한 응답인지 여부를 확인한다. The
Length 필드(203)는 EAP 패킷의 길이 정보를 가진다. Type 필드(204)는 사용자 단말과 인증 서버 간에 수행되는 인증 프로토콜에 대한 정보를 가진다. 이하, 본 발명에 따른 장치/사용자 인증 프로토콜은 EAP-DUA(Extensible Authentication Protocol - Device User Authentication)로 정의하여 사용한다. The
Flags 필드(205)는 현재 '0'으로 세팅되며 수신시 이를 무시한다. 향후 Flag 필드는 다른 용도로 활용될 수 있다. Reserved 필드(206)는 송신시 '0'으로 세팅되며 수신시 이를 무시한다. The
RANDOM 필드(207)는 인증 서버(AAA 서버, 170)에서 생성한 16 바이트 랜덤 값을 가진다. 상기 랜덤 값은 사용자 단말(UE, 111)과 인증 서버(AAA서버, 170)에서 다이나믹 키(pre-AK, AUTH_S, AUTH_P, MAC_S, MAC_P)를 생성하는데 사용된다. The
AUTH_S 필드(208)는 인증 서버(AAA 서버, 170)가 생성한 16 바이트 인증 값인 서버 인증 코드 'AUTH_S'를 가진다. 상기 'AUTH_S'는 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)를 인증하는데 사용된다. The
MAC_S 필드(209)는 인증 서버(AAA 서버, 170)가 생성하는 EAP 요청 메시지 인증 코드인 'MAC_S'를 가진다. 상기 'MAC_S'는 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)로부터 수신한 EAP 요청 메시지 패킷의 무결성을 확인하는데 사 용된다. The
도 3은 본 발명에 따른 장치/사용자 인증을 위하여 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)로 전송하는 EAP 응답 메시지(EAP-Response)의 일실시예 구성도이다. 3 is a diagram illustrating an embodiment of an EAP response message (EAP-Response) transmitted from a user terminal (UE) 111 to an authentication server (AAA server) 170 for device / user authentication according to the present invention.
EAP 응답 메시지(EAP-Response)는 도 3에 도시된 바와 같이, Code 필드(301), Identifier 필드(302), Length 필드(303), Type 필드(304), Flags 필드(305), Reserved 필드(306), AUTH_P 필드(308) 및 MAC_P 필드(309)를 포함한다. 상기 Code 필드(301), Identifier 필드(302), Length 필드 (303), Type 필드(304), Flags 필드(305) 및 RANDOM 필드(307)는 도 2에서 설명한 바와 동일하므로 그 기재를 생략한다. As shown in FIG. 3, the EAP response message (EAP-Response) includes a
AUTH_P 필드(307)는 사용자 단말(UE, 111)이 생성한 16 바이트 인증 값인 단말 인증 코드 'AUTH_P'를 가진다. 상기 'AUTH_P'는 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)을 인증하는데 사용된다. The
MAC_P 필드(308)는 사용자 단말(UE, 111)이 생성하는 EAP 응답 메시지 인증 코드인 'MAC_P'를 가진다. 상기 'MAC_P'는 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)로부터 수신한 EAP 응답 메시지 패킷의 무결성을 확인하는데 사용된다. The
도 4는 본 발명의 일실시예에 따른 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111)의 다이나믹 키 생성 방법을 설명하기 위한 도면이다. 4 is a diagram illustrating a dynamic key generation method of an authentication server (AAA server) 170 and a user terminal (UE) 111 according to an embodiment of the present invention.
인증 서버(AAA 서버, 170)의 다이나믹 키 생성 방법과 사용자 단말(UE, 111)의 다이나믹 키 생성 방법은 동일하다. 또한, 장치 인증을 위한 인증 매개체인 프리쉐어드 키(PSK; Pre-Shared Key)(401)와 사용자 인증을 위한 인증 매개체인 가입자 루트 키(SRK; Subscriber Root Key)(402)는 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111)에 동일하게 저장되어 있다. 다만, 인증 서버(AAA 서버)는 자체에서 생성한 랜덤 값을 사용하는 데 비하여 사용자 단말(UE)은 상기 인증 서버(AAA 서버)로부터 수신한 EAP 요청 메시지에 포함된 랜덤 값을 이용하여 다이나믹 키를 생성한다. The dynamic key generation method of the authentication server (AAA server) 170 and the dynamic key generation method of the user terminal (UE) 111 are the same. In addition, a Pre-Shared Key (PSK) 401, which is an authentication medium for device authentication, and a Subscriber Root Key (SRK) 402, which is an authentication medium for user authentication, are used as an authentication server (AAA). The same is stored in the
한편, 본 발명의 실시예에서는 AES(Advanced Encryption Standard) 암호화 방식을 사용하여 다이나믹 키를 생성한다. AES-128 암호화 방식은 보안 측면에서 비도가 높은 블록 단위 암호화 방식이다. 하지만, 본 발명의 다이나믹 키 생성에 사용되는 암호화 방식은 AES 방식에 한정되지 않으며, MD-5 또는 DES 등의 여러 암호화 방식이 적용 가능하다. Meanwhile, in the embodiment of the present invention, a dynamic key is generated by using an advanced encryption standard (AES) encryption method. AES-128 encryption is a high-level block-by-block encryption in terms of security. However, the encryption method used for generating the dynamic key of the present invention is not limited to the AES method, and various encryption methods such as MD-5 or DES can be applied.
도 4를 참조하면, AES-128 암호화 방식(410)을 이용하여 장치 인증 매개체인 프리쉐어드 키(PSK)(401)와 인증 서버에서 생성된 랜덤 값(RANDOM)(403)으로부터 프리 인증키(pre-AK; pre-Authentication Key)(404)를 생성한다. 그리고 생성된 프리 인증키(pre-AK)(404)와 사용자 인증 매개체인 가입자 루트 키(SRK; Subscriber Root Key)(402)로부터 AES-128 암호화 방식(420)을 이용하여 장치/사용자 인증 매개체인 인증키(AK; Authentication Key)(405)를 생성한다. 인증 서버(AAA 서버)에 서 생성된 인증키(AK, 405)는 서버 인증 코드 'AUTH_S'를 생성하는데 이용되며, 사용자 단말(UE)에서 생성된 인증키(AK, 405)는 단말 인증 코드 'AUTH_P'를 생성하는데 이용된다(도 5 참조). Referring to FIG. 4, a pre-authentication key (PSK) 401, which is a device authentication medium using the AES-128
한편, TEK(Transient EAP Key, 406) 및 마스터 세션 키(MSK; Master Session Key, 407)는 상기 생성된 인증키(AK, 405)로부터 AES-128 암호화 방식(430)을 통하여 출력된다. 상기 생성된 인증키(AK, 405)로부터 출력된 16 바이트 가운데 앞의 8 바이트는 TEK(406)으로 사용되며, 뒤의 8 바이트는 마스터 세션키(MSK, 407)로 사용된다. 상기 TEK(406)는 EAP 패킷의 무결성을 제공하기 위한 검증 매개체로서, 인증 서버(AAA 서버)에서는 서버 EAP 요청 메시지 인증 코드 'MAC_S'를 생성하는데 이용되며, 사용자 단말에서는 단말 EAP 응답 메시지 인증 코드 'MAC_P'를 생성하는데 이용된다(도 5 참조). 상기 마스터 세션 키(MSK, 407)는 사용자 단말(UE)과 기지국(E-Node B) 간의 무선 데이터 구간에서의 데이터를 암호화하는데 사용된다. On the other hand, the TEK (Transient EAP Key) 406 and the master session key (MSK; Master Session Key, 407) is output from the generated authentication key (AK, 405) through the AES-128
도 5는 본 발명의 일실시예에 따른 서버 인증 코드(AUTH_S)와 단말 인증 코드(AUTH_P) 및 메시지 인증 코드(MAC_S, MAC_P)를 생성하는 방법을 설명하기 위한 도면이다. 5 is a diagram illustrating a method of generating a server authentication code (AUTH_S), a terminal authentication code (AUTH_P) and a message authentication code (MAC_S, MAC_P) according to an embodiment of the present invention.
상기 서버 인증 코드(AUTH_S)와 단말 인증 코드(AUTH_P) 및 메시지 인증 코드(MAC_S, MAC_P)는 CMAC_AES 암호화 방식에 의하여 생성된다. CMAC_AES_128 (Cipher-based Message Authentication Code - Advanced Encryption Standard - 128) 암호화 방식은 입력 키와 가변의 입력 문자열을 입력으로 하여 128비트의 메 시지 인증코드(MAC; Message Authentication Code)를 생성하는 암호화 방식이다. 한편, 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111) 각각에는 서버 인증 코드를 생성하기 위한 고정값을 갖는 매개체인 "AUTH SERVER" 및 단말 인증 코드를 생성하기 위한 고정값을 갖는 매개체인 "AUTH PEER"가 동일하게 저장되어 있다. The server authentication code (AUTH_S), the terminal authentication code (AUTH_P) and the message authentication code (MAC_S, MAC_P) is generated by the CMAC_AES encryption method. CMAC_AES_128 (Cipher-based Message Authentication Code-Advanced Encryption Standard-128) The encryption method is an encryption method that generates a 128-bit message authentication code (MAC) by inputting an input key and a variable input string. On the other hand, each of the authentication server (AAA server) 170 and the user terminal (UE) 111, "AUTH SERVER" which is a medium having a fixed value for generating a server authentication code and a medium having a fixed value for generating a terminal authentication code "AUTH PEER" is stored identically.
서버 인증 코드(AUTH_S, 513)는 도 5의 (A)에서 보는 바와 같이, 인증키(AK, 511)를 입력 키로 하고 '프리쉐어드 키(PSK), 가입자 루트 키(SRK), 랜덤 값(RANDOM) 및 AUTH SERVER의 스트링 연결(512)'을 입력 문자열로 하는 CMAC_AES_128(510) 암호화 방식에 의해 생성된다. 상기 서버 인증 코드(AUTH_S, 513)의 생성 방법은 아래의 [수학식 1]과 같이 표현된다. As shown in (A) of FIG. 5, the server authentication codes (AUTH_S, 513) are the authentication keys (AK, 511) as input keys, and the 'preshared key (PSK), subscriber root key (SRK), and random values ( RANDOM) and AUTH SERVER's string concatenation 512 'are generated by the CMAC_AES_128 (510) encryption method as an input string. The generation method of the server authentication code (AUTH_S, 513) is expressed as
단말 인증 코드(AUTH_P, 523)는 도 5의 (B)에서 보는 바와 같이, 인증키(AK, 521)를 입력 키로 하고 '프리쉐어드 키(PSK), 가입자 루트 키(SRK), 랜덤 값(RANDOM) 및 AUTH PEER의 스트링 연결(522)'을 입력 문자열로 하는 CMAC_AES_128(520) 암호화 방식에 의해 생성된다. 상기 단말 인증 코드(AUTH_P, 523)의 생성 방법은 아래의 [수학식 2]와 같이 표현된다. As shown in (B) of FIG. 5, the terminal authentication codes (AUTH_P, 523) are the authentication keys (AK, 521) as input keys, and the pre-shared key (PSK), subscriber root key (SRK), random value ( RANDOM) and AUTH PEER's string concatenation 522 'are generated by the
서버 EAP 요청 메시지 인증 코드(MAC_S, 533)과 단말 EAP 응답 메시지 인증 코드(MAC_P, 534)의 생성 방법은 동일하며, TEK(531)를 입력키로 하고 'EAP PACKET 및 랜덤 값(RANDOM)의 스트링 연결(532)'을 입력 문자열로 하는 CMAC_AES_128(530) 암호화 방식에 의해 생성된다. 이 때, CMAC_128_AES_128(530) 암호화 방식에 있어서의 입력키 길이는 128 비트가 되어야 하므로, TEK의 8바이트 뒤에 널문자 8바이트를 추가한다. "EAP PACKET"은 MAC_S(533)을 생성하는 경우 'Code 필드(201)부터 AUTH_S 필드(208)까지의 패킷 데이터(도 2 참조)'에 해당하며, MAC_P(534)를 생성하는 경우에는 'Code 필드(301)부터 AUTH_P(307)까지의 패킷 데이터(도 3 참조)'에 해당한다. 상기 서버 EAP 요청 메시지 인증 코드(MAC_S, 533) 및 단말 EAP 응답 메시지 인증 코드(MAC_P, 534)의 생성 방법은 아래의 [수학식 3]과 같이 표현된다. The method of generating the server EAP request message authentication code (MAC_S, 533) and the terminal EAP response message authentication code (MAC_P, 534) is the same. 532 'is generated by the
상기 [수학식 1], [수학식 2] 및 [수학식 3]의 CMAC_AES_128 함수에서 첫번째 파라미터는 입력키를, 두번째 파라미터는 입력 문자열을, 세번째 파라미터는 출력값의 비트 길이를 각각 나타낸다. 또한, 기호 '∥'는 문자 스트링의 연결(concatenation)을 나타낸다. In the CMAC_AES_128 functions of
도 6은 본 발명에 따른 인증 서버(AAA 서버)의 일실시예 블록 구성도이다. 6 is a block diagram of an embodiment of an authentication server (AAA server) according to the present invention.
본 발명의 인증 서버(AAA 서버)는 도 6에 도시된 바와 같이, IP 백본(IP BB)과 유선 또는 무선으로 연결되는 서버 송수신부(610), Diameter 프로토콜에 따른 동작을 수행하는 프로토콜 처리부(620), 송신할 EAP 메시지를 생성하는 EAP 메시지 생성부(630), 인증키 및 인증코드를 생성하는 인증키 생성부(640), 랜덤 키(랜덤 값)을 생성하는 랜덤키 생성부(650), 사용자 인증 매개체 및 장치 인증 매개체 등의 정보를 저장하는 저장부(660), 수신된 EAP 메시지를 처리하는 EAP 메시지 처리부(670), 장치/사용자 인증을 수행하는 인증부(680), 수신된 EAP 메시지의 무결성을 검증하는 검증부(690)를 포함하여 이루어진다. As shown in FIG. 6, the authentication server (AAA server) of the present invention includes a
상기 저장부(660)는 장치 인증 매개체인 프리쉐어드 키(PSK), 사용자 인증 매개체인 가입자 루트 키(SRK), 서버 인증 코드 생성을 위한 매개체(AUTH SERVER) 및 단말 인증 코드 생성을 위한 매개체(AUTH PEER)를 저장한다. 상기 PSK, SRK, AUTH SERVER, AUTH PEER는 인증을 수행하는 사용자 단말에 저장된 값들과 동일하다. 또한, 상기 저장부(660)는 인증 서버가 EAP 요청 메시지를 송신하는 경우에는 상기 EAP 요청 메시지에 포함된 랜덤 키(RANDOM)와 식별 정보(Identifier)를 저장하며, 상기 인증키 생성부(640)에서 생성된 키(AK, TEK) 값들을 추가적으로 저장할 수 있다. The
상기 랜덤키 생성부(650)는 프리 인증키(pre-AK) 생성에 사용할 랜덤 키(RANDOM)를 생성하여, 생성된 랜덤 키를 인증키 생성부(640) 및 저장부(660)에 전달한다. The random
상기 인증키 생성부(640)는 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM), 상기 저장부에 저장된 장치/사용자 인증을 수행하고자 하는 사용자 단말에 매칭되는 프리쉐어드 키(PSK)와 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK), TEK 및 마스터 세션 키(MSK)를 생성한다. 이어서, 상기 인증키 생성부(640)은 생성된 키(AK), 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM) 및 상기 저장부(660)에 저장된 PSK, SRK, "AUTH SERVER"를 이용하여 도 5의 (A)에서 설명한 코드 생성 방법에 따라 서버 인증 코드(AUTH_S)를 생성한다. 마지막으로, 상기 인증키 생성부(640)은 생성된 TEK, 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM) 및 송신할 EAP 요청 메시지의 EAP PACKET을 이용하여 도 5의 (C)에서 설명한 코드 생성 방법에 따라 EAP 요청 메시지 인증 코드(MAC_S)를 생성한다. The authentication
상기 EAP 메시지 생성부(630)는 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM), 상기 인증키 생성부(640)에서 생성된 서버 인증 코드(AUTH_S) 및 EAP 요청 메시지 인증 코드(MAC_S)를 이용하여 도 2에 도시된 EAP 요청 메시지를 생성한다. 생성된 EAP 요청 메시지는 프로토콜 처리부(620)에서 Diameter 프로토콜 처리되어 서버 송수신부(610)을 통해 E-SN(C)로 전송된다. The
상기 EAP 메시지 처리부(670)는 서버 송수신부(610)을 통해 E-SN(C)로부터 수신되어 프로토콜 처리부(620)에서 Diameter 프로토콜 처리된 도 3에 도시된 EAP 응답 메시지를 처리한다. 상기 EAP 메시지 처리부(670)는 상기 EAP 응답 메시지에 대하여 파싱(parsing) 등의 메시지 처리 기능을 수행하고, 상기 EAP 응답 메시지에 포함된 식별 정보(Identifier)를 이용하여 EAP 요청 메시지에 대한 응답인지 여부를 확인한다. EAP 요청 메시지에 대한 응답이 확인된 경우, 상기 EAP 메시지 처리부(670)는 상기 확인 결과와 함께 단말 인증 코드(AUTH_P)는 인증부(680)로 전달하며, EAP 응답 메시지 인증 코드(MAC_P)는 검증부(690)로 전달한다. The EAP
상기 인증부(680)는 상기 EAP 응답 메시지에 대응하는 EAP 요청 메시지의 랜덤 키(RANDOM), 상기 EAP 응답 메시지를 송신한 사용자 단말에 매칭되는 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 상기 저장부(660)로부터 수신하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK)를 생성한다. 이 경우, 상기 인증부(680)는 EAP 요청 메시지 송신시에 상기 저장부(660)에 저장된 AK 값을 이용 가능하다. 이어서 상기 인증부(680)는 상기 PSK, SRK, RANDOM, AK 및 상기 저장부에 저장된 "AUTH PEER"를 이용하여 도 5의 (B)에 도시된 코드 생성 방법에 따라 단말 인증 코드(AUTH_P)를 생성한다. 그리고 생성된 단말 인증 코드와 상기 EAP 메시지 처리부(670)로부터 전달된 단말 인증 코드를 비교함으로써 상기 EAP 응답 메시지를 송신한 단말에 대한 장치/사용자 인증을 수행한다.The
상기 검증부(690)는 상기 EAP 응답 메시지에 대응하는 EAP 요청 메시지의 랜덤 키(RANDOM), 상기 EAP 응답 메시지를 송신한 사용자 단말에 매칭되는 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 상기 저장부(660)로부터 수신하여 도 4에서 설명한 키 생성 방법에 따라 TEK를 생성한다. 이 경우, 상기 검증부(690)는 EAP 요청 메시지 송신시에 상기 저장부(660)에 저장된 TEK 값을 이용 가능하다. 이어서 상기 인증부(680)는 상기 TEK, RANDOM 및 상기 수신된 EAP 응답 메시지의 EAP PACKET을 이용하여 EAP 응답 메시지 인증코드(MAC_P)를 생성한다. 그리고 생성된 EAP 응답 메시지 인증 코드와 상기 EAP 메시지 처리부(670)로부터 전달된 EAP 응답 메시지 인증 코드를 비교함으로써 상기 EAP 응답 메시지의 무결성을 검증한다. The
도 7은 본 발명에 따른 사용자 단말(UE)의 일실시예 블록 구성도이다. 7 is a block diagram of an embodiment of a user terminal (UE) according to the present invention.
본 발명의 사용자 단말(UE)는 도 7에 도시된 바와 같이, 기지국(E-Node B) 또는 무선접속장치(AP)를 통해 IP 기반의 패킷 네트워크에 무선 접속하는 단말 송수신부(710), PMM 프로토콜에 따른 동작을 수행하는 프로토콜 처리부(720), 송신할 EAP 메시지를 생성하는 EAP 메시지 생성부(730), 인증키 및 인증 코드를 생성하는 인증키 생성부(740), 사용자 인증 매개체 및 장치 인증 매개체 등의 정보를 저장하는 저장부(750), 수신된 EAP 메시지를 처리하는 EAP 메시지 처리부(760), 장치/사용자 인증을 수행하는 인증부(770), 수신된 EAP 메시지의 무결성을 검증하는 검증부(780)를 포함하여 이루어진다. As shown in FIG. 7, a user terminal (UE) of the present invention is a
상기 저장부(750)는 장치 인증 매개체인 프리쉐어드 키(PSK), 사용자 인증 매개체인 가입자 루트 키(SRK), 서버 인증 코드 생성을 위한 매개체(AUTH SERVER) 및 단말 인증 코드 생성을 위한 매개체(AUTH PEER)를 저장한다. 상기 PSK, SRK, AUTH SERVER, AUTH PEER는 인증을 수행하는 인증 서버에 저장된 값들과 동일하다. The
상기 EAP 메시지 처리부(760)는 단말 송수신부(710)을 통해 E-SN(C)로부터 수신되어 프로토콜 처리부(720)에서 PMM 프로토콜 처리된 도 2에 도시된 EAP 요청 메시지를 처리한다. 상기 EAP 메시지 처리부(760)는 상기 EAP 요청 메시지에 대하여 파싱(parsing) 등의 메시지 처리 기능을 수행하며, 상기 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 서버 인증 코드(AUTH_S)는 인증부(770)로 전달하고, EAP 요청 메시지 인증 코드(MAC_S)는 검증부(780)로 전달한다. The EAP
상기 인증부(770)는 상기 EAP 메시지 처리부(760)로부터 전달된 랜덤 키(RANDOM), 상기 저장부(750)에 저장된 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK)를 생성한다. 이어서 상기 인증부(770)는 상기 PSK, SRK, RANDOM, AK 및 상기 저장부에 저장된 "AUTH SERVER"를 이용하여 도 5의 (A)에 도시된 코드 생성 방법에 따라 서버 인증 코드(AUTH_S)를 생성한다. 그리고 생성된 서버 인증 코드와 상기 EAP 메시지 처리부(760)로부터 전달된 서버 인증 코드를 비교함으로써 상기 EAP 요청 메시지를 송신한 인증 서버에 대한 인증을 수행한다.The
상기 검증부(780)는 상기 EAP 메시지 처리부(760)로부터 전달된 랜덤 키(RANDOM), 상기 저장부(750)에 저장된 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 TEK를 생성한다. 이 경우, 상기 검증부(780)는 상기 인증부에서 생성된 AK 값을 이용 가능하다. 이어서, 상기 검증부(780)는 상기 TEK, RANDOM 및 상기 수신된 EAP 요청 메시지의 EAP PACKET을 이용하여 EAP 요청 메시지 인증코드(MAC_S)를 생성한다. 그리고 생성된 EAP 요청 메시지 인증 코드와 상기 EAP 메시지 처리부(760)로부터 전달된 EAP 요청 메시지 인증 코드를 비교함으로써 상기 EAP 요청 메시지의 무결성을 검증한다. The
상기 인증키 생성부(740)는 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM), 상기 저장부에 저장된 프리쉐어드 키(PSK)와 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK), TEK 및 마스터 세션 키(MSK)를 생성한다. 이 경우, 상기 인증키 생성부(740)는 상기 인증부(680) 및 검증부(690)에서 생성된 AK 및 TEK 값을 이용 가능하다. 이어서, 상기 인증키 생성부(740)은 생성된 장치/사용자 인증키(AK), 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 상기 저장부(750)에 저장된 PSK, SRK, "AUTH PEER"를 이용하여 도 5의 (B)에서 설명한 코드 생성 방법에 따라 단말 인증 코드(AUTH_P)를 생성한다. 마지막으로, 상기 인증키 생성부(740)은 생성된 TEK, 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 송신할 EAP 응답 메시지의 EAP PACKET을 이용하여 도 5의 (C)에서 설명한 코드 생성 방법에 따라 EAP 응답 메시지 인증 코드(MAC_P)를 생성한다. The authentication
상기 EAP 메시지 생성부(730)는 상기 수신된 EAP 요청 메시지에 포함된 식별정보(Identifier)와 랜덤 키(RANDOM), 상기 인증키 생성부(740)에서 생성된 단말 인증 코드(AUTH_P) 및 EAP 응답 메시지 인증 코드(MAC_P)를 이용하여 도 3에 도시된 EAP 응답 메시지를 생성한다. 생성된 EAP 응답 메시지는 프로토콜 처리부(720)에서 PMM 프로토콜 처리되어 단말 송수신부(710)을 통해 E-SN(C)로 전송된다. The
도 8은 본 발명에 따라 이동통신 시스템에서 사용자 단말과 인증 서버 사이에 싱글 EAP 메시지를 이용하여 장치/사용자 인증을 수행하는 방법을 설명하는 일 실시예 흐름도이다. 8 is a flowchart illustrating a method of performing device / user authentication using a single EAP message between a user terminal and an authentication server in a mobile communication system according to the present invention.
사용자 단말(UE, 810)와 E-SN(C)(820) 사이에는 세션과 이동성을 제어하는 패킷 모빌리티 관리(PMM; Packet Mobility Management) 프로토콜이 위치하며, E-SN(C)(820)와 인증 서버(AAA 서버, 830) 사이에는 모바일 인터넷 환경에서의 인증(Authentication)과 권한검증(Authorization) 및 과금(Accounting)을 위한 AAA 프로토콜인 Diameter 프로토콜이 위치한다. 상기 E-SN(C) 노드(820)는 상기 PMM 프로토콜과 상기 Diameter 프로토콜을 상호 변환하는 기능 및 장치/사용자 인증을 수행하는 동안 세션을 유지하는 기능을 수행한다. 상기 PMM 프로토콜은 위치 등록 및 위치 갱신 기능, 인증 및 암호화 기능, 페이징 기능 및 접속 관리(상위계층 제어 메시지 전송) 기능 등을 제공한다[3GPP TS 23.060 V7.1.0 (2006-06), "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS); Service description; Stage 2 (Release 7)"]. 한편, 상기 Diameter 프로토콜은 로밍이나 모바일 아이피(IP)와 같은 새로운 기술에 대한 AAA 기능을 제공한다[IETF RFC 4072, "Diameter Extensible Authentication Protocol (EAP) Application"]. Between the
도 8을 참조하면, 우선 E-SN(C)가 사용자 단말의 식별 정보(Identity, 820)를 요청하는 EAP 메시지를 PMM 프로토콜에 따라 인캡슐레이션(encapsulation)한 PMM/EAP-Request/Identity 메시지를 사용자 단말(UE, 810)에 전송한다(S805). 이어서 E-SN(C)(820)는 상기 사용자 단말(UE, 810)로부터 수신한 단말 식별 정보를 포함하는 PMM/EAP-Response/Identity 메시지를 Diameter 프로토콜로 변환하며, 상기 변환된 Diameter/EAP-Response/Identity 메시지를 인증 서버(AAA 서버, 830)로 전송한다(S810, S815). Referring to FIG. 8, first, an E-SN (C) performs a PMM / EAP-Request / Identity message that encapsulates an EAP message requesting identification information (820) of a user terminal according to the PMM protocol. In operation S805, the UE transmits to the
인증 서버(AAA 서버, 830)는 상기 E-SN(C)(820)로부터 수신한 메시지에 포함된 식별 정보(Identity)를 서버 저장부의 가입자 정보 데이터베이스에서 검색함으로써 사용자 단말(UE, 810)이 본 발명에 따른 싱글 EAP 인증 서비스 가입자인지 여부를 판단한다(S820). 상기 판단 결가 상기 사용자 단말(UE, 810)이 싱글 EAP 서비스 가입자인 경우에는 본 발명에 따른 싱글 EAP 메시지를 이용한 장치/사용자 인증(EAP-DUA)을 수행한다(S825). The authentication server (AAA server) 830 searches the subscriber information database of the server storage unit for the identification information included in the message received from the E-SN (C) 820, which the user terminal (UE) 810 sees. It is determined whether the subscriber is a single EAP authentication service according to the present invention (S820). When the
인증 서버(AAA 서버, 830)에는 싱글 EAP 인증 서비스에 가입된 단말(UE, 810)에 매칭되는 PSK, SRK, AUTH PEER, AUTH SERVER 값들이 저장되어 있다. 상기 인증 서버(AAA 서버, 830)는 상기 싱글 EAP 인증 서비스에 가입된 단말과 매칭되는 PSK와 SRK, 그리고 랜덤값 생성부에서 생성된 RANDOM 값과 도 4에 도시된 키 생성 방법을 이용하여 pre-AK, AK, TEK 및 MSK를 생성한다(S830). 그리고 상기 PSK, SRK, RANDOM, 상기 생성된 AK 및 AUTH SERVER와 도 5의 (A)에 도시된 코드 생성 방법을 이용하여 AUTH_S 값을 생성한다(S835). 또한, 상기 RANDOM, 상기 생성된 TEK 및 사용자 단말로 송신할 EAP 요청 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_S 값을 생성한다(S835).The authentication server (AAA server) 830 stores PSK, SRK, AUTH PEER, and AUTH SERVER values matching the
이어서, 상기 인증 서버(AAA 서버, 830)는 생성된 RANDOM, AUTH_S 및 MAC_S 를 포함하는 도 2에 도시된 EAP 요청 메시지(EAP-Request)를 Diameter 프로토콜에 담은 Diameter/EAP-Request/EAP-DUA 메시지를 E-SN(C)(820)로 전송한다(S840). 상기 E-SN(C)(820)는 상기 EAP 요청 메시지를 PMM 프로토콜로 변환한 PMM/EAP-Request/EAP-DUA 메시지를 사용자 단말(UE, 810)로 전송한다(S845).Subsequently, the authentication server (AAA server) 830 transmits the Diameter / EAP-Request / EAP-DUA message containing the generated EAP-Request message (EAP-Request) shown in FIG. To the E-SN (C) 820 is transmitted (S840). The E-SN (C) 820 transmits the PMM / EAP-Request / EAP-DUA message obtained by converting the EAP request message to the PMM protocol (S845).
사용자 단말(UE, 810)은 수신한 EAP 요청 메시지로부터 RANDOM 값을 추출하여 단말 저장부에 저장된 PSK 및 SRK 값과 도 4에 도시된 키 생성 방법을 이용하여 pre-AK, AK, TEK 및 MSK를 생성한다(S850). 그리고 상기 PSK, SRK, RANDOM, 상기 생성된 AK 및 단말 저장부에 저장된 AUTH SERVER와 도 5의 (A)에 도시된 코드 생성 방법을 이용하여 AUTH_S 값을 생성하고, 생성된 AUTH_S를 상기 EAP 요청 메시지로부터 추출한 AUTH_S 값과 비교함으로써 AUTH_S를 검증한다(S855). 또한, 상기 RANDOM, 상기 생성된 TEK 및 상기 수신된 EAP 요청 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_S를 생성하고, 생성된 MAC_S를 상기 EAP 요청 메시지로부터 추출한 MAC_S 값과 비교함으로써 MAC_S를 검증한다(S855).The
검증이 성공한 경우, 사용자 단말(UE, 810)은 상기 AK, PSK, SRK, RANDOM 및 AUTH_PEER와 도 5의 (B)에 도시된 코드 생성 방법을 이용하여 AUTH_P를 생성하며, 상기 TEK, RANDOM 및 송신할 EAP 응답 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_P를 생성한다(S860). 이어서, 도 3에 도시된 EAP 응답 메시지를 생성하여 PMM 프로토콜에 담은 PMM/EAP-Response/EAP-DUA 메시지를 E-SN(C)(820)로 전송한다(S865). 상기 E-SN(C)(820)는 상기 EAP 응답 메시지를 Diameter 프로토콜로 변환한 Diameter/EAP-Response/EAP-DUA 메시지를 인증 서버(AAA 서버, 830)로 전송한다(S870).If the verification is successful, the
상기 인증 서버(AAA 서버, 830)는 AK, PSK, SRK, RANDOM 및 AUTH PEER와 도 5의 (B)에 도시된 코드 생성 방법을 이용하여 AUTH_P를 생성하고, 생성된 AUTH_P를 사용자 단말(UE, 810)로부터 수신된 EAP 응답 메시지의 AUTH_P 값과 비교함으로써 단말에 대한 장치/사용자 인증을 수행한다(S875). 또한, TEK, RANDOM 및 수신된 EAP 응답 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_P를 생성하고, 생성된 MAC_P를 상기 EAP 응답 메시지로부터 추출한 MAC_P 값과 비교함으로써 메시지의 무결성을 검증한다(S875). 검증이 성공인 경우, 인증 서버(AAA 서버, 830)는 성공 메시지를 Diameter 프로토콜에 담은 Diamete/EAP-Success 메시지를 E-SN(C)(820)로 전송(S880)하며, 상기 E-SN(C)(820)은 이를 PMM 프로토콜로 변환한 PMM/EAP-Success 메시지를 사용자 단말(UE, 810)로 전송한다(S885).The authentication server (AAA server) 830 generates AUTH_P using AK, PSK, SRK, RANDOM and AUTH PEER and the code generation method shown in FIG. 5 (B), and generates the generated AUTH_P as a user terminal (UE, The device / user authentication is performed on the terminal by comparing the AUTH_P value of the EAP response message received from 810 (S875). In addition, by generating the MAC_P using the EAP PACKET of the TEK, RANDOM and the received EAP response message and the code generation method shown in Figure 5 (C), by comparing the generated MAC_P with the MAC_P value extracted from the EAP response message The integrity of the message is verified (S875). If the verification is successful, the authentication server (AAA server) 830 transmits a Diamete / EAP-Success message containing the success message to the Diameter protocol to the E-SN (C) 820 (S880), and the E-SN ( C) 820 transmits the PMM / EAP-Success message converted to the PMM protocol to the user terminal (UE) 810 (S885).
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.
상기와 같은 본 발명은, 이동통신 시스템에서 싱글 EAP 메시지를 이용하여 장치 인증 매개체와 사용자 인증 매개체를 함께 처리함으로써 장치 인증과 사용자 인증을 동시에 수행할 수 있는 싱글 EAP 장치/사용자 인증 방법 및 장치를 제공하는 효과가 있다. As described above, the present invention provides a single EAP device / user authentication method and apparatus capable of simultaneously performing device authentication and user authentication by processing a device authentication medium and a user authentication medium together using a single EAP message in a mobile communication system. It is effective.
특히, 본 발명은 장치 인증 매개체와 사용자 인증 매개체를 하나의 매개체로 암호화하여 장치 인증과 사용자 인증을 하나의 싱글 EAP 메시지로 수행할 수 있도록 함으로써, 인증 및 보안의 비도를 높이고 무선 자원을 효율적으로 이용할 수 있는 효과가 있다. In particular, the present invention encrypts the device authentication medium and the user authentication medium into a single medium so that device authentication and user authentication can be performed as a single EAP message, thereby increasing authentication and security, and efficiently using radio resources. It can be effective.
또한, 본 발명은 하나의 싱글 EAP 메시지로 장치/사용자 인증을 수행함으로써 더블 EAP 인증 방식에 비하여 무선/유선 구간에서의 인증 신호 송수신 회수를 감소시키고, 그에 따라 장치/사용자 인증의 처리 시간을 단축할 수 있는 효과가 있다. In addition, the present invention reduces the number of times of authentication signal transmission and reception in the wireless / wired interval compared to the double EAP authentication method by performing the device / user authentication with a single EAP message, thereby reducing the processing time of the device / user authentication It can be effective.
Claims (38)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060096166A KR100789920B1 (en) | 2006-09-29 | 2006-09-29 | Method and apparatus for device and user authentication based on single eap message in mobile communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060096166A KR100789920B1 (en) | 2006-09-29 | 2006-09-29 | Method and apparatus for device and user authentication based on single eap message in mobile communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100789920B1 true KR100789920B1 (en) | 2008-01-02 |
Family
ID=39216098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20060096166A KR100789920B1 (en) | 2006-09-29 | 2006-09-29 | Method and apparatus for device and user authentication based on single eap message in mobile communication system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100789920B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905401A (en) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | Identity authentication method and device |
KR101851398B1 (en) * | 2011-10-14 | 2018-04-23 | 삼성전자주식회사 | Apparus and method for authorizing combining code using quick response code |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050107537A (en) * | 2004-05-07 | 2005-11-11 | 삼성전자주식회사 | Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same |
-
2006
- 2006-09-29 KR KR20060096166A patent/KR100789920B1/en not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050107537A (en) * | 2004-05-07 | 2005-11-11 | 삼성전자주식회사 | Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101851398B1 (en) * | 2011-10-14 | 2018-04-23 | 삼성전자주식회사 | Apparus and method for authorizing combining code using quick response code |
CN103905401A (en) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | Identity authentication method and device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10425808B2 (en) | Managing user access in a communications network | |
US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
JP4160049B2 (en) | Method and system for providing access to services of a second network through a first network | |
JP4575679B2 (en) | Wireless network handoff encryption key | |
US8887251B2 (en) | Handover method of mobile terminal between heterogeneous networks | |
US7984486B2 (en) | Using GAA to derive and distribute proxy mobile node home agent keys | |
KR20060067263A (en) | Fast re-authentication method when handoff in wlan-umts interworking network | |
US8031672B2 (en) | System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network | |
CN101160924A (en) | Method for distributing certificates in a communication system | |
KR20070100932A (en) | Method and apparatus for providing bootstrapping procedures in a communication network | |
KR20070116275A (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
KR20070051233A (en) | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system | |
US7715562B2 (en) | System and method for access authentication in a mobile wireless network | |
CN104982053A (en) | Method and network node for obtaining a permanent identity of an authenticating wireless device | |
Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
JP6123035B1 (en) | Protection of WLCP message exchange between TWAG and UE | |
EP1624639B1 (en) | Sim-based authentication | |
CN101079786B (en) | Interconnection system and authentication method and terminal in interconnection system | |
US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
KR100789920B1 (en) | Method and apparatus for device and user authentication based on single eap message in mobile communication system | |
KR100668660B1 (en) | User authentication method for roaming service between portable internet and 3g network, and router of performing the same | |
Haddar et al. | Securing fast pmipv6 protocol in case of vertical handover in 5g network | |
Samoui et al. | Improved IPSec tunnel establishment for 3GPP–WLAN interworking | |
Krichene et al. | Securing roaming and vertical handover between Mobile WiMAX and UMTS | |
JP2008182695A (en) | Method and system for providing access to services of second network via first network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20101201 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |