KR100789920B1 - Method and apparatus for device and user authentication based on single eap message in mobile communication system - Google Patents

Method and apparatus for device and user authentication based on single eap message in mobile communication system Download PDF

Info

Publication number
KR100789920B1
KR100789920B1 KR20060096166A KR20060096166A KR100789920B1 KR 100789920 B1 KR100789920 B1 KR 100789920B1 KR 20060096166 A KR20060096166 A KR 20060096166A KR 20060096166 A KR20060096166 A KR 20060096166A KR 100789920 B1 KR100789920 B1 KR 100789920B1
Authority
KR
South Korea
Prior art keywords
authentication
medium
message
terminal
authentication code
Prior art date
Application number
KR20060096166A
Other languages
Korean (ko)
Inventor
임선화
이상호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20060096166A priority Critical patent/KR100789920B1/en
Application granted granted Critical
Publication of KR100789920B1 publication Critical patent/KR100789920B1/en

Links

Images

Abstract

A device/user authentication method using a single EAP(Extensible Authentication Protocol) message in a mobile communication system and an apparatus thereof are provided to execute both device authentication and user authentication simultaneously by processing a device authentication medium and a user authentication medium together using a single EAP message. An authentication server, which executes device/user authentication for a terminal executing mobile packet communication, includes a storage part(660), a message creation part(630), a message processing part(670), and an authentication part(680). The storage part(660) stores a device authentication medium and a user authentication medium for the terminal. The message creation part(630) creates a random value to be sent to the terminal, creates a request message containing the information of the random value, and transmits it to the terminal. The message processing part(670) receives a response message for the request message from the terminal, and extracts a terminal authentication code from the received response message. The authentication part(680) creates a terminal authentication code using the random value, the device authentication medium, and the user authentication medium, compares the created terminal authentication code with the extracted terminal authentication code, and executes device/user authentication for the terminal.

Description

이동통신 시스템에서 싱글 EAP 메시지를 이용한 장치/사용자 인증 방법 및 장치{Method and Apparatus for Device and User Authentication Based on Single EAP Message in Mobile Communication System}Device and user authentication method and device using single EAP message in mobile communication system {Method and Apparatus for Device and User Authentication Based on Single EAP Message in Mobile Communication System}

도 1은 본 발명의 장치/사용자 인증 방법이 적용되는 이동통신 시스템의 일실시예 구성도,1 is a configuration diagram of an embodiment of a mobile communication system to which a device / user authentication method of the present invention is applied;

도 2는 본 발명에 따른 장치/사용자 인증을 위하여 인증 서버가 사용자 단말로 전송하는 EAP 요청 메시지의 일실시예 구성도, 2 is a diagram illustrating an embodiment of an EAP request message transmitted from an authentication server to a user terminal for device / user authentication according to the present invention;

도 3은 본 발명에 따른 장치/사용자 인증을 위하여 사용자 단말이 인증 서버로 전송하는 EAP 응답 메시지의 일실시예 구성도, 3 is an embodiment configuration diagram of an EAP response message transmitted from a user terminal to an authentication server for device / user authentication according to the present invention;

도 4는 본 발명의 일실시예에 따른 인증 서버와 사용자 단말의 다이나믹 키 생성 방법을 설명하기 위한 도면,4 is a view for explaining a dynamic key generation method of an authentication server and a user terminal according to an embodiment of the present invention;

도 5는 본 발명의 일실시예에 따른 서버 인증 코드와 단말 인증 코드 및 메시지 인증 코드를 생성하는 방법을 설명하기 위한 도면,5 is a view for explaining a method for generating a server authentication code, a terminal authentication code and a message authentication code according to an embodiment of the present invention;

도 6은 본 발명에 따른 인증 서버의 일실시예 블록 구성도, 6 is a block diagram of an embodiment of an authentication server according to the present invention;

도 7은 본 발명에 따른 사용자 단말의 일실시예 블록 구성도, 7 is a block diagram of an embodiment of a user terminal according to the present invention;

도 8은 본 발명에 따라 사용자 단말과 인증 서버 사이에 싱글 EAP 메시지를 이용하여 장치/사용자 인증을 수행하는 방법을 설명하는 일실시예 흐름도이다. 8 is a flowchart illustrating a method of performing device / user authentication using a single EAP message between a user terminal and an authentication server according to the present invention.

본 발명은 싱글 EAP 메시지를 이용한 장치/사용자 인증 방법 및 장치에 관한 것으로, 더욱 상세하게는 이동통신 시스템에서 싱글 EAP 메시지를 이용하여 장치 인증과 사용자 인증을 동시에 수행하는 싱글 EAP 메시지를 이용한 장치/사용자 인증 방법 및 장치에 관한 것이다.The present invention relates to a device / user authentication method and apparatus using a single EAP message, and more particularly, to a device / user using a single EAP message that simultaneously performs device authentication and user authentication using a single EAP message in a mobile communication system. An authentication method and apparatus.

3GE(3G-Evolution) 액세스 시스템은 고품질 멀티미디어 서비스 제공에 적합한 IP 기반의 무선 패킷 액세스 네트워크 시스템으로서, 3GPP 혹은 3GPP2에 기반을 두고 진화하는 모든 차세대 이동통신 시스템을 통칭한다. 3GE 액세스 시스템은 높은 통신품질('High Quality')과 높은 보안성('Good Security')을 지원함과 동시에 저비용('Low Cost')과 고속 통신('High Rate')까지 지원함으로써 기존의 3G 시스템이나 기타 경쟁 대상 시스템과 차별화되는 무선 네트워크('Radio & Network') 기술을 제공함을 목적으로 한다. 또한, 3GE 시스템은 액세스 시스템은 고속 무선 패킷 전송뿐만 아니라 가입자가 원하는 서비스 특성에 따라 기지국을 선택할 수 있는 시스템으로서, WLAN/ GSM/ GPRS/ UTRAN/ HSPDPA/ Emerging System 등의 다중 무선 접속 기술(Multi-RAT; Multi-Radio Access Technology)들을 융합하는 기술과 이들 간의 서비스 연속성(service continuity) 보장을 위한 기술을 제공한다. 그리고 3GE 시스템은 이러한 Multi-RAT 환경에서 가입자가 가입자의 위치와 전파환경 및 서비스 특성에 따라 통신 품질 및 과금에 유리한 기지국을 선택하여 접속할 수 있도록 한다. 또한, 3GE 시스템은 사업자가 자원 및 이동성 관리 체제를 글로벌하게 구축할 수 있도록 함으로써 무선 자원의 효율적 사용, 기지국 간의 트래픽 분배를 통한 가입자 수용 능력 증대, 및 경제적인 인프라 투자/운용 환경을 지원한다. 3G-Evolution (3GE) access system is an IP-based wireless packet access network system suitable for providing high quality multimedia services, and collectively refers to all next-generation mobile communication systems based on 3GPP or 3GPP2. The 3GE access system supports high communication quality ('High Quality') and 'Good Security', and also supports low cost ('Low Cost') and high speed ('High Rate'). It aims to provide a wireless network ('Radio & Network') technology that is differentiated from other competitive systems. In addition, the 3GE system is a system in which an access system can select a base station according to a service characteristic desired by a subscriber as well as high-speed wireless packet transmission, and is a multi-radio access technology such as WLAN / GSM / GPRS / UTRAN / HSPDPA / Emerging System A technology for fusion of multi-radio access technologies (RATs) and a service for guaranteeing service continuity therebetween are provided. In addition, the 3GE system enables subscribers to select and access base stations that are advantageous for communication quality and billing according to the subscriber's location, radio environment and service characteristics in this multi-RAT environment. In addition, the 3GE system enables operators to deploy resource and mobility management systems globally to support efficient use of wireless resources, increased subscriber capacity through traffic distribution between base stations, and economic infrastructure investment / operation environment.

상술한 바와 같은 차세대 이동통신 시스템에서 고속 무선 패킷 서비스 제공을 위해서는, 선결적으로 무선 패킷 서비스를 제공받고자 하는 장치 및 사용자에 대한 인증 기술이 필요하다. 인증에는 이동통신망을 통하여 접속한 장치가 인증 서버에 등록된 적법한 장치인지 여부를 판단하는 장치 인증, 및 이동통신망을 통하여 접속한 사용자가 인증 서버에 등록된 적법한 사용자인지 여부를 판단하는 사용자 인증이 있다. 3GE 액세스 시스템은 장치 인증과 사용자 인증을 선택적으로 또는 동시에 지원할 수 있어야 한다. 현재 장치 인증 또는 사용자 인증을 지원하기 위하여 가장 많이 사용되는 인증 방식은 확장 인증 프로토콜(EAP)에 따른 인증 방식이다. 확장 인증 프로토콜(Extensible Authentication Protocol, 이하 'EAP'라 함)은 장치 인증 및 사용자 인증을 위하여 이동 단말과 인증 서버 사이에 인증 데이터를 전송하는 확장 가능한 인증 프로토콜로서, 현재 다양한 EAP 인증 프로토콜들이 RFC(Request For Comments) 또는 드래프트(Draft) 형식으로 공개되어 있다.In order to provide a high speed wireless packet service in the next generation mobile communication system as described above, an authentication technique for a device and a user who wants to receive a wireless packet service in advance is required. Authentication includes device authentication for determining whether a device connected through a mobile communication network is a legitimate device registered in an authentication server, and user authentication for determining whether a user connected through a mobile communication network is a legitimate user registered in an authentication server. . The 3GE access system must be able to support device authentication and user authentication selectively or simultaneously. Currently, the most commonly used authentication method for supporting device authentication or user authentication is an authentication method according to an extended authentication protocol (EAP). Extensible Authentication Protocol (EAP) is an extensible authentication protocol that transmits authentication data between a mobile terminal and an authentication server for device authentication and user authentication. Currently, various EAP authentication protocols are used for requesting RFCs. For Comments or Draft.

IP 기반의 패킷 이동통신 시스템에는 와이맥스(WiMAX) 규격에 정의된 인증 방법이 적용될 수 있다. 현재 와이맥스 규격 [WiMAX End-to-End Network Systems Architecture (Stage 3: Detailed Protocols and Procedures) April 24, 2006 DRAFT]에 정의된 EAP 인증 방법에는 다음과 같이 네 가지 인증 방법이 있다. 우선, 1) 장치 인증만을 지원하는 경우의 싱글 EAP 장치 인증 방법과 2) 사용자 인증만을 지원하는 경우의 싱글 EAP 사용자 인증 방법이 있다. 그리고 장치/사용자 인증을 모두 지원하는 경우의 3) 싱글 EAP 장치/사용자 인증 방법과 4) 더블 EAP 장치/사용자 인증 방법이 있다. The authentication method defined in the WiMAX standard may be applied to an IP-based packet mobile communication system. There are four EAP authentication methods defined in the WiMAX specification [WiMAX End-to-End Network Systems Architecture (Stage 3: Detailed Protocols and Procedures) April 24, 2006 DRAFT]. First, there is a single EAP device authentication method when only 1) device authentication is supported, and 2) a single EAP user authentication method when only user authentication is supported. There are 3) single EAP device / user authentication method and 4) double EAP device / user authentication method when both device / user authentication is supported.

한편, 와이맥스(WiMAX) 규격에서는 장치 인증을 위한 매개체(credential)로서 인증서 및 프리쉐어드 키(pre-shared key)를 정의하고 있으며, 사용자 인증을 위한 매개체(credential)로서 가입자 루트 키(subscriber root key)를 정의하고 있다. 상기 인증서는 특정한 공개키가 특정한 단말에 결합되어 있음을 증명하기 위하여 인증 기관이 발행하는 디지털 정보로서, 장치 인증에 사용되는 매개체이다. 상기 프리쉐어드 키는 단말과 인증 서버에서 동일하게 가지고 있는 키로서, 상기 인증서와 마찬가지로 장치 인증을 수행하기 위한 매개체이다. 상기 가입자 루트 키는 단말과 인증 서버에서 동일하게 가지고 있는 키로서, 사용자 인증에 사용되는 매개체이다. Meanwhile, the WiMAX standard defines a certificate and a pre-shared key as a credential for device authentication, and a subscriber root key as a credential for user authentication. ) Is defined. The certificate is digital information issued by a certification authority to prove that a specific public key is bound to a specific terminal, and is a medium used for device authentication. The preshared key is a key that is identically held by the terminal and the authentication server, and is a medium for performing device authentication similarly to the certificate. The subscriber root key is a key having the same in the terminal and the authentication server, and is a medium used for user authentication.

더블 EAP 장치/사용자 인증 방법은 동일하거나 서로 다른 EAP 인증 프로토콜 두 개를 사용하는 방법이다. 예를 들면, 장치 인증을 위하여 EAP-TLS 프로토콜 또는 EAP-PSK 프로토콜을 사용한 후, 사용자 인증을 위하여 EAP-AKS 프로토콜을 사용 하는 방법이다. 상기 EAP-TLS(Extensible Authentication Protocol - Transport Layer Security) 프로토콜은 인증서 기반의 인증 프로토콜로서, 인증 서버와 클라이언트 단말의 상호 인증을 위하여 EAP 내부에 공개키 인증서 기술을 사용하는 프로토콜이다. 상기 EAP-PSK(Extensible Authentication Protocol - Pre-Shared Key) 프로토콜은 프리쉐어드 키(pre-shared key)를 이용하여 클라이언트 단말과 서버 간의 상호 인증을 수행하고 세션키를 생성하는 인증 프로토콜이다. 상기 EAP-AKA(Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement) 프로토콜은 클라이언트와 서버에 저장된 동일한 키를 이용하여 상호 인증 및 세션 키 분배를 수행하는 인증 프로토콜이다. 이러한 더블 EAP 장치/사용자 인증 방법은 장치 및 사용자 인증을 위하여 두 개의 프로토콜을 사용하기 때문에 인증 소요 시간이 길어질 뿐만 아니라 무선 자원 이용 측면에서도 비효율적이다. The double EAP device / user authentication method uses two identical or different EAP authentication protocols. For example, after the EAP-TLS protocol or the EAP-PSK protocol is used for device authentication, the EAP-AKS protocol is used for user authentication. The EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) protocol is a certificate-based authentication protocol, which uses a public key certificate technology inside the EAP for mutual authentication of an authentication server and a client terminal. The EAP-PSK (Extensible Authentication Protocol-Pre-Shared Key) protocol is an authentication protocol for performing mutual authentication between a client terminal and a server using a pre-shared key and generating a session key. The EAP-AKA (Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement) protocol is an authentication protocol that performs mutual authentication and session key distribution using the same key stored in the client and server. Since the double EAP device / user authentication method uses two protocols for device and user authentication, the authentication time is long and inefficient in terms of radio resource usage.

한편, 싱글 EAP 장치/사용자 인증 방법은 장치와 사용자 인증을 위하여 두 개의 인증 매개체(credential)를 하나의 EAP 인증 프로토콜을 이용하여 인증하는 방법이다. 하지만 와이맥스 규격 [WiMAX End-to-End Network Systems Architecture]의 '5.4.3.8.6 Device-User Single EAP Authentication' 절에서도 "Since an EAP method that can authenticate with two credentials does not exists..."와 같이 기재되어 있듯이, 현재 두 개의 인증 매개체를 동시에 처리할 수 있는 싱글 EAP 장치/사용자 인증 방법은 제시되지 못하고 있는 상황이다.Meanwhile, the single EAP device / user authentication method is a method of authenticating two authentication credentials using one EAP authentication protocol for device and user authentication. However, in the '5.4.3.8.6 Device-User Single EAP Authentication' section of the WiMAX specification [WiMAX End-to-End Network Systems Architecture], as in "Since an EAP method that can authenticate with two credentials does not exists ..." As described, there is currently no single EAP device / user authentication method capable of simultaneously processing two authentication agents.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 이동통신 시스템에 있어서 싱글 EAP 메시지를 이용하여 두 개의 인증 매개체를 처리함으로써 장치 인증과 사용자 인증을 수행할 수 있는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다.The present invention has been proposed to solve the above problems, and provides a device / user authentication method and apparatus capable of performing device authentication and user authentication by processing two authentication media using a single EAP message in a mobile communication system. Its purpose is to.

특히, 본 발명은 장치 인증 매개체와 사용자 인증 매개체를 하나의 매개체로 암호화함으로써 장치 인증과 사용자 인증을 하나의 싱글 EAP 메시지로 수행할 수 있도록 하고 무선 자원을 효율적으로 이용할 수 있도록 하는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다.In particular, the present invention provides a device / user authentication method that enables device authentication and user authentication to be performed as a single EAP message by encrypting a device authentication medium and a user authentication medium into one medium, and enables efficient use of radio resources. And to provide a device.

또한, 본 발명은 하나의 싱글 EAP 메시지로 장치/사용자 인증을 수행함으로써 더블 EAP 인증 방식에 비하여 장치/사용자 인증의 처리 시간을 단축할 수 있는 장치/사용자 인증 방법 및 장치를 제공하는데 그 목적이 있다. Another object of the present invention is to provide a device / user authentication method and device capable of shortening the processing time of device / user authentication compared to double EAP authentication by performing device / user authentication with one single EAP message. .

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명은 패킷 이동통신을 수행하는 단말에 대하여 장치 및 사용자 인증을 수행하는 인증 서버로서, 상기 단말에 대한 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부, 상기 단말로 송신할 랜덤 값을 생성하고, 상기 랜덤 값 정보를 포함하는 요청 메시지를 생성하여 상기 단말로 송신하는 메시지 생성부, 상기 단말로부터 상기 요청 메시지에 대한 응답 메시지를 수신하고 상기 수신된 응답 메시지로부터 단말인증코드를 추출하는 메시지 처리부, 및 상기 랜덤 값과 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하고, 상기 생성된 단말인증코드와 상기 추출된 단말인증코드를 비교함으로써 상기 단말에 대한 장치 및 사용자 인증을 수행하는 인증부를 포함한다. 상기 응답 메시지로부터 추출된 단말인증코드는 상기 단말에 저장된 장치인증 매개체와 사용자인증 매개체 및 상기 단말이 상기 인증 서버로부터 수신한 요청 메시지에 포함된 랜덤 값으로부터 생성된다. According to an aspect of the present invention, there is provided an authentication server for performing device and user authentication for a terminal performing packet mobile communication, the storage unit storing a device authentication medium and a user authentication medium for the terminal, and transmitting to the terminal. A message generator for generating a random value to be generated, generating a request message including the random value information, and transmitting the request message to the terminal, receiving a response message for the request message from the terminal, and receiving a terminal authentication code from the received response message Message processing unit for extracting the; and generating a terminal authentication code from the random value and the device authentication medium and the user authentication medium, the device for the terminal by comparing the generated terminal authentication code and the extracted terminal authentication code and It includes an authentication unit that performs user authentication. The terminal authentication code extracted from the response message is generated from a device authentication medium and a user authentication medium stored in the terminal, and a random value included in the request message received by the terminal from the authentication server.

또한, 상기 저장부에는 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체가 저장된다. 그리고 상기 인증부는 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부, 및 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부를 포함한다. 상기 예비 인증키 및 상기 장치 및 사용자 인증 매개체는 AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, 상기 단말인증코드는 CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성된다.In addition, the storage unit stores the terminal authentication code generation medium for generating the terminal authentication code. And the authentication unit generates a preliminary authentication key by encrypting the random value and the device authentication medium, and generates a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium, and a user authentication medium generation unit, and And a terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium. The preliminary authentication key and the device and the user authentication medium are generated by AES (Advanced Encryption Standard) encryption method, and the terminal authentication code is generated by CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption method. do.

한편, 상기 메시지 처리부는 상기 응답 메시지로부터 메시지인증코드를 추출한다. 그리고 상기 인증 서버는 상기 장치 및 사용자 인증 매개체 및 상기 응답 메시지의 패킷 길이로부터 메시지인증코드를 생성하고, 상기 생성된 메시지인증코드와 상기 추출된 메시지 인증코드를 비교함으로써 상기 응답 메시지의 무결성을 검증하는 검증부를 더 포함한다. 상기 검증부는 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부, 및 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부를 포함한다. 상기 검증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 메시지인증코드는 CMAC-AES암호화 방식에 의해 생성된다. On the other hand, the message processing unit extracts a message authentication code from the response message. And the authentication server generates a message authentication code from the device and user authentication medium and the packet length of the response message, and verifies the integrity of the response message by comparing the generated message authentication code with the extracted message authentication code. It further includes a verification unit. The verification unit encrypts the device and the user authentication medium to generate a verification medium for verifying the packet data integrity of the response message, and a verification medium generation unit, and encrypts the packet length of the verification medium and the response message to verify the message authentication code. It includes a message authentication code generation unit for generating a. The verification medium is generated by AES encryption, and the message authentication code is generated by CMAC-AES encryption.

또한, 본 발명은 패킷 이동통신을 통해 인증 서버에 접속하여 장치 및 사용자 인증을 받는 단말로서, 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부, 상기 인증 서버로부터 수신한 요청 메시지로부터 상기 인증 서버에서 생성한 랜덤 값을 추출하는 메시지 처리부, 상기 랜덤 값과 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하는 인증키 생성부, 및 상기 단말인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신하는 메시지 생성부를 포함한다. 상기 저장부에는 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체를 저장된다. 그리고 상기 인증키 생성부는 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부, 및 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부를 포함한다. 상기 예비 인증키 및 상기 장치 및 사용자 인증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 단말인증코드는 CMAC-AES 암호화 방식에 의해 생성된다. In addition, the present invention is a terminal for receiving device and user authentication by accessing the authentication server through packet mobile communication, the storage unit for storing the device authentication medium and the user authentication medium, the authentication server from the request message received from the authentication server Message authentication unit for extracting the generated random value, authentication key generation unit for generating a terminal authentication code from the random value and the device authentication medium and the user authentication medium, and generating a response message including the terminal authentication code to the authentication It includes a message generating unit for sending to the server. The storage unit stores a terminal authentication code generation medium for generating the terminal authentication code. And an authentication key generation unit generating a preliminary authentication key by encrypting the random value and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium. And a terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium. The preliminary authentication key, the device and the user authentication medium are generated by AES encryption, and the terminal authentication code is generated by CMAC-AES encryption.

상기 인증키 생성부는 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부, 및 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부를 더 포함할 수 있다. 상기 메시지 생성부는 상기 단말인증코드 및 상기 메시지인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신한다. 상기 검증 매개체는 AES 암호화 방식에 의해 생성되며, 상기 메시지인증코드는 CMAC-AES 암호화 방식에 의해 생성된다. The authentication key generation unit encrypts the device and the user authentication medium to generate a verification medium for verifying the packet data integrity of the response message, and a verification medium generation unit, and encrypts the packet lengths of the verification medium and the response message. It may further include a message authentication code generation unit for generating an authentication code. The message generator generates a response message including the terminal authentication code and the message authentication code and transmits the response message to the authentication server. The verification medium is generated by the AES encryption method, and the message authentication code is generated by the CMAC-AES encryption method.

한편, 본 발명은 싱글 EAP(Extensible Authentication Protocol) 메시지를 이용하여 장치 및 사용자 인증을 수행하는 방법으로서, 장치 인증 매개체 및 랜덤 값을 암호화하여 예비 인증키를 생성하는 단계, 상기 예비 인증키 및 사용자 인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 단계, 상기 장치 및 사용자 인증 매개체를 이용하여 제1 장치 및 사용자 인증코드를 생성하는 단계, 수신된 EAP 메시지로부터 제2 장치 및 사용자 인증코드를 추출하는 단계, 및 상기 제1 장치 및 사용자 인증코드와 상기 제2 장치 및 사용자 인증코드를 비교함으로써 장치 및 사용자 인증을 수행하는 단계를 포함한다. 상기 예비 인증키와 상기 장치 및 사용자 인증 매개체는 AES 암호화 방식에 의해 생성된다. 상기 제1 장치 및 사용자 인증코드는 상기 장치 및 사용자 인증 매개체를 입력 키로 하고 '상기 장치 인증 매개체, 상기 사용자 인증 매개체, 상기 랜덤 값 및 인증코드 생성 매개체의 스트링 연결'을 입력 문자열로 하는 CMAC-AES 암호화 방식에 의해 생성된다. On the other hand, the present invention is a method for performing device and user authentication using a single EAP (Extensible Authentication Protocol) message, generating a preliminary authentication key by encrypting a device authentication medium and a random value, the preliminary authentication key and user authentication Generating a device and a user authentication medium by encrypting the medium, generating a first device and a user authentication code using the device and the user authentication medium, and extracting a second device and a user authentication code from the received EAP message. And performing device and user authentication by comparing the first device and user authentication code with the second device and user authentication code. The preliminary authentication key and the device and user authentication medium are generated by AES encryption. The first device and the user authentication code are CMAC-AES, wherein the device and the user authentication medium are input strings, and the string connection of the device authentication medium, the user authentication medium, the random value, and the authentication code generation medium is an input string. Generated by an encryption scheme.

또한, 본 발명의 장치 및 사용자 인증 방법은 상기 장치 및 사용자 인증 매개체를 암호화하여 메시지 검증 매개체를 생성하는 단계, 상기 메시지 검증 매개체와 상기 수신된 EAP 메시지의 패킷 길이를 이용하여 제1 EAP 메시지 인증코드를 생성하는 단계, 상기 수신된 EAP 메시지로부터 제2 EAP 메시지 인증코드를 추출하는 단계, 및 상기 제1 EAP 메시지 인증코드와 상기 제2 EAP 메시지 인증코드를 비교함으로써 상기 수신된 EAP 메시지의 데이터 무결성을 검증하는 단계를 더 포함할 수 있다. 상기 메시지 검증 매개체는 AES 암호화 방식에 의해 생성된다. 그리고 상기 제1 EAP 메시지 인증코드는 상기 메시지 검증 매개체를 입력 키로 하고 '상기 수신된 EAP 메시지의 패킷 길이 및 상기 랜덤 값의 스트링 연결'을 입력 문자열로 하는 CMAC-AES 암호화 방식에 의해 생성된다. In addition, the device and the user authentication method of the present invention encrypts the device and the user authentication medium to generate a message verification medium, the first EAP message authentication code using the packet verification medium and the packet length of the received EAP message Generating data, extracting a second EAP message authentication code from the received EAP message, and comparing the first EAP message authentication code with the second EAP message authentication code to determine the data integrity of the received EAP message. The method may further include verifying. The message verification medium is generated by AES encryption. The first EAP message authentication code is generated by the CMAC-AES encryption method using the message verification medium as an input key and 'string concatenation of the packet length and the random value of the received EAP message' as an input string.

상술한 본 발명의 내용은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above-described contents of the present invention will become more apparent through the following detailed description with reference to the accompanying drawings, and thus, those skilled in the art to which the present invention pertains may easily implement the technical idea of the present invention. will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명에 따른 장치/사용자 인증 방법은 IP 기반의 패킷 이동 통신을 수행하는 모든 통신 시스템에 적용 가능하다. 도 1은 본 발명의 장치/사용자 인증 방법이 적용되는 이동통신 시스템의 일실시예 구성도이다. The device / user authentication method according to the present invention is applicable to all communication systems that perform IP-based packet mobile communication. 1 is a configuration diagram of an embodiment of a mobile communication system to which the device / user authentication method of the present invention is applied.

도 1에서 사용자 단말(UE)(111)은 고속의 이동 패킷 통신을 수행하는 이동 단말로서, 3GPP 또는 3GPP2를 기반으로 진화된 3GE 인터페이스와 3GPP 또는 3GPP2 규격을 기반으로 하지 않는 non-3GPP 인터페이스(Wireless LAN, WiMAX 등)를 모두 수용하는 듀얼-모드 기능을 가진다. 또한, 상기 사용자 단말(UE, 111)은 3GE 시스템 및 non-3GPP 시스템 간의 이종망 핸드오버(Vertical Handover) 기능을 가진다.In FIG. 1, a user terminal (UE) 111 is a mobile terminal that performs high-speed mobile packet communication. A 3GE interface evolved based on 3GPP or 3GPP2 and a non-3GPP interface based on 3GPP or 3GPP2 are not. LAN, WiMAX, etc.) has dual-mode capability. In addition, the UE 111 has a vertical handover function between a 3GE system and a non-3GPP system.

기지국(E-Node B; Evolution-RAN)(121)은 무선 자원을 관리하고 무선 베어러 설정을 담당하는 기능을 수행한다. 제어 메시지를 처리하는 서빙 노드(Evolution-Serving Node for Control; E-SN(C))(160)는 기지국 간의 핸드오버를 제어 및 관리하며 세션 관리 기능을 수행한다. 사용자 데이터를 처리하는 서빙 노드(Evolution-Serving Node for User Data; E-SN(U))(140)는 이동통신 엑세스 시스템과 운영자 IP 서비스 네트워크 사이의 트래픽 처리 기능을 수행한다. 방문망 에이전트(Foreign Agent; FA)(142, 157) 및 홈 에이전트(Home Agent; HA))(154)는 서로 다른 IP 서브넷 간 사용자 단말(UE)의 이동성을 지원하기 위한 모바일 아이피(Mobile IP) 기능을 수행한다. A base station (E-Node B; Evolution-RAN) 121 manages radio resources and performs a function of managing a radio bearer. The serving node (Evolution-Serving Node for Control; E-SN (C)) 160 that processes the control message controls and manages handover between base stations and performs a session management function. A serving node (Evolution-Serving Node for User Data; E-SN (U)) 140 that processes user data performs a traffic processing function between a mobile communication access system and an operator IP service network. The visitor agent (FA) 142 and 157 and the home agent (HA) 154 are mobile IPs for supporting mobility of UEs between different IP subnets. Perform the function.

도 1의 이동통신 시스템은 WLAN 간의 연동(Inter-working with WLAN; I-WLAN)을 지원한다. 이를 위해 상기 이동통신 시스템은 사용자 단말(UE)과 무선 접속하는 WLAN 무선접속장치(Access Point; AP)(131), WLAN과 IP 백본(IP BackBone; IP-BB)(150)과의 연결 기능을 수행하는 WLAN 접속 게이트웨이(WLAN Access Gateway; WAG)(155), WLAN 무선접속장치(131)로의 IP 패킷 전송 처리 기능을 수행하는 패킷 데이터 게이트웨이(Packet Data Gateway; PDG)(156)를 구비한다. The mobile communication system of FIG. 1 supports Inter-working with WLAN (I-WLAN). To this end, the mobile communication system provides a WLAN access point (AP) 131 wirelessly connected to a user terminal (UE), a WLAN and an IP backbone (IP-BB) 150 connection function. A WLAN Access Gateway (WAG) 155 to perform and a Packet Data Gateway (PDG) 156 to perform an IP packet transmission processing function to the WLAN radio access device 131 are provided.

홈위치등록기(Home Location Register; HLR)(110)는 가입자의 부가서비스에 대한 정보를 저장하며 서비스 수행에 필요한 정보를 제공한다. 인증 서버(Authentication Authorization Account Server; AAA 서버)(170)는 사용자 단말(UE)에 대한 인증, 권한 검증 및 과금 기능을 수행한다. 상기 홈위치등록기(110) 및 인증 서버(170)는 서비스 프로파일 관리 기능을 담당하는 HSS(Home Subscriber Server)(175)에서 구현될 수 있다. The Home Location Register (HLR) 110 stores information on additional services of subscribers and provides information necessary to perform services. The Authentication Authorization Account Server (AAA Server) 170 performs authentication, authorization verification, and billing functions for the UE. The home location register 110 and the authentication server 170 may be implemented in a home subscriber server (HSS) 175 that is in charge of a service profile management function.

한편, 도 1의 이동통신 시스템은 IP 프로토콜을 기반으로 하여 오디오, 비디오 및 데이터를 복합적으로 제공하는 IMS(IP Multimedia Subsystem) 서비스를 제공한다. 이를 위해 3GE 액세스 시스템은 컨텐츠 제공자들의 접속점 역할을 하는 BM-SC(Broadcast Multicast-Service Center) 서버(152), 프록시 기능과 홈네트워크 보호를 위한 방화벽 기능을 수행하며 IMS 서비스 브로커 역할을 하는 P/I/S-CSCF(Proxy CSCF/Interrogating CSCF/Serving CSCF) 노드(153)를 구비한다. Meanwhile, the mobile communication system of FIG. 1 provides an IMS (IP Multimedia Subsystem) service that provides a combination of audio, video, and data based on an IP protocol. To this end, the 3GE access system performs a broadcast multicast-service center (BM-SC) server 152 serving as an access point for content providers, a proxy function and a firewall function for protecting a home network, and a P / I serving as an IMS service broker. / S-CSCF (Proxy CSCF / Interrogating CSCF / Serving CSCF) node 153 is provided.

도 2는 본 발명에 따른 장치/사용자 인증을 위하여 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)로 전송하는 EAP 요청 메시지(EAP-Request)의 일실시예 구성도이다. FIG. 2 is a diagram illustrating an embodiment of an EAP request message transmitted by an authentication server (AAA server) 170 to a user terminal (UE) 111 for device / user authentication according to the present invention.

EAP 요청 메시지(EAP-Request)는 도 2에 도시된 바와 같이, Code 필드(201), Identifier 필드(202), Length 필드(203), Type 필드(204), Flags 필드(205), Reserved 필드(206), RANDOM 필드(207), AUTH_S 필드(208) 및 MAC_S 필드(209)를 포함한다. As shown in FIG. 2, the EAP request message (EAP-Request) includes a Code field 201, an Identifier field 202, a Length field 203, a Type field 204, a Flags field 205, and a Reserved field ( 206, a RANDOM field 207, an AUTH_S field 208, and a MAC_S field 209.

Code 필드(201)는 EAP 프로토콜이 수행해야 할 기능에 대한 정보를 가진다. 즉, Code 필드(201)는 EAP 메시지가 EAP 요청 메시지(EAP-Request)인지 EAP 응답 메시지(EAP-Response)인지 여부를 나타내는 EAP-Request/Response 값을 가진다. 상기 EAP-Request/Response 값은 EAP 메시지가 EAP 요청 메시지인 경우(도 2의 경우)에는 '1'로, EAP 응답 메시지인 경우(도 3의 경우)에는 '2'로 설정된다. The code field 201 has information about a function that the EAP protocol should perform. That is, the code field 201 has an EAP-Request / Response value indicating whether the EAP message is an EAP request message or an EAP response message. The EAP-Request / Response value is set to '1' when the EAP message is an EAP request message (in case of FIG. 2) and to '2' in case of an EAP response message (in case of FIG. 3).

Identifier 필드(202)는 EAP 요청 메시지(EAP-Request)와 EAP 응답 메시지(EAP-Response)의 매칭을 위한 식별 정보(Identifier)를 가진다. 즉, Identifer 필드(202)에 기록된 정보는 사용자 단말(UE, 111)로부터 수신한 EAP 응답 메시지(EAP-Response)가 인증 서버(AAA 서버, 170)가 보낸 EAP 요청 메시지(EAP-Request)에 대한 응답인지 여부를 확인하기 위한 식별 정보이다. 더 구체적으로, 인증 서버(170)가 EAP 요청 메시지를 사용자 단말(111)로 전송하면 사용자 단말(111)은 상기 인증 서버(170)로부터 받은 EAP 요청 메시지의 Identifier 필드에 기록된 식별 정보 값을 EAP 응답 메시지의 Identifier 필드 값으로 사용하며, 인증 서버는(170)는 상기 사용자 단말(111)로부터 수신한 EAP 응답 메시지의 Identifier 필드 값과 상기 사용자 단말(111)로 송신한 EAP 요청 메시지에 기록했던 식별 정보 값을 비교함으로써 상기 EAP 응답 메시지가 EAP 요청 메시지에 대한 응답인지 여부를 확인한다. The Identifier field 202 has identification information (Identifier) for matching the EAP Request message (EAP-Request) and the EAP Response message (EAP-Response). That is, the information recorded in the Identifer field 202 is stored in the EAP request message (EAP-Request) sent by the authentication server (AAA server) 170 by the EAP response message (EAP-Response) received from the user terminal (UE) 111. Identification information for confirming whether the response. More specifically, when the authentication server 170 sends the EAP request message to the user terminal 111, the user terminal 111 EAP the identification information value recorded in the Identifier field of the EAP request message received from the authentication server 170 As an Identifier field value of the response message, the authentication server 170 identifies the Identifier field value of the EAP response message received from the user terminal 111 and the EAP request message sent to the user terminal 111. By comparing the information values, it is checked whether the EAP response message is a response to the EAP request message.

Length 필드(203)는 EAP 패킷의 길이 정보를 가진다. Type 필드(204)는 사용자 단말과 인증 서버 간에 수행되는 인증 프로토콜에 대한 정보를 가진다. 이하, 본 발명에 따른 장치/사용자 인증 프로토콜은 EAP-DUA(Extensible Authentication Protocol - Device User Authentication)로 정의하여 사용한다. The Length field 203 has length information of an EAP packet. The type field 204 has information about an authentication protocol performed between the user terminal and the authentication server. Hereinafter, the device / user authentication protocol according to the present invention is defined and used as EAP-DUA (Extensible Authentication Protocol-Device User Authentication).

Flags 필드(205)는 현재 '0'으로 세팅되며 수신시 이를 무시한다. 향후 Flag 필드는 다른 용도로 활용될 수 있다. Reserved 필드(206)는 송신시 '0'으로 세팅되며 수신시 이를 무시한다. The Flags field 205 is currently set to '0' and ignores this upon receipt. In the future, the Flag field may be used for other purposes. The Reserved field 206 is set to '0' on transmission and ignores it on reception.

RANDOM 필드(207)는 인증 서버(AAA 서버, 170)에서 생성한 16 바이트 랜덤 값을 가진다. 상기 랜덤 값은 사용자 단말(UE, 111)과 인증 서버(AAA서버, 170)에서 다이나믹 키(pre-AK, AUTH_S, AUTH_P, MAC_S, MAC_P)를 생성하는데 사용된다. The RANDOM field 207 has a 16 byte random value generated by the authentication server (AAA server) 170. The random value is used to generate dynamic keys (pre-AK, AUTH_S, AUTH_P, MAC_S, MAC_P) in the user terminal (UE) 111 and the authentication server (AAA server) 170.

AUTH_S 필드(208)는 인증 서버(AAA 서버, 170)가 생성한 16 바이트 인증 값인 서버 인증 코드 'AUTH_S'를 가진다. 상기 'AUTH_S'는 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)를 인증하는데 사용된다. The AUTH_S field 208 has a server authentication code 'AUTH_S' which is a 16 byte authentication value generated by the authentication server (AAA server 170). The 'AUTH_S' is used by the user terminal (UE) 111 to authenticate the authentication server (AAA server) 170.

MAC_S 필드(209)는 인증 서버(AAA 서버, 170)가 생성하는 EAP 요청 메시지 인증 코드인 'MAC_S'를 가진다. 상기 'MAC_S'는 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)로부터 수신한 EAP 요청 메시지 패킷의 무결성을 확인하는데 사 용된다. The MAC_S field 209 has a 'MAC_S' which is an EAP request message authentication code generated by the authentication server (AAA server) 170. The 'MAC_S' is used to confirm the integrity of the EAP request message packet received by the user terminal (UE) 111 from the authentication server (AAA server) 170.

도 3은 본 발명에 따른 장치/사용자 인증을 위하여 사용자 단말(UE, 111)이 인증 서버(AAA 서버, 170)로 전송하는 EAP 응답 메시지(EAP-Response)의 일실시예 구성도이다. 3 is a diagram illustrating an embodiment of an EAP response message (EAP-Response) transmitted from a user terminal (UE) 111 to an authentication server (AAA server) 170 for device / user authentication according to the present invention.

EAP 응답 메시지(EAP-Response)는 도 3에 도시된 바와 같이, Code 필드(301), Identifier 필드(302), Length 필드(303), Type 필드(304), Flags 필드(305), Reserved 필드(306), AUTH_P 필드(308) 및 MAC_P 필드(309)를 포함한다. 상기 Code 필드(301), Identifier 필드(302), Length 필드 (303), Type 필드(304), Flags 필드(305) 및 RANDOM 필드(307)는 도 2에서 설명한 바와 동일하므로 그 기재를 생략한다. As shown in FIG. 3, the EAP response message (EAP-Response) includes a Code field 301, an Identifier field 302, a Length field 303, a Type field 304, a Flags field 305, and a Reserved field ( 306, AUTH_P field 308 and MAC_P field 309. The Code field 301, Identifier field 302, Length field 303, Type field 304, Flags field 305, and RANDOM field 307 are the same as described with reference to FIG.

AUTH_P 필드(307)는 사용자 단말(UE, 111)이 생성한 16 바이트 인증 값인 단말 인증 코드 'AUTH_P'를 가진다. 상기 'AUTH_P'는 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)을 인증하는데 사용된다. The AUTH_P field 307 has a terminal authentication code 'AUTH_P' which is a 16 byte authentication value generated by the user terminal (UE) 111. The 'AUTH_P' is used by the authentication server (AAA server) 170 to authenticate the user terminal (UE) 111.

MAC_P 필드(308)는 사용자 단말(UE, 111)이 생성하는 EAP 응답 메시지 인증 코드인 'MAC_P'를 가진다. 상기 'MAC_P'는 인증 서버(AAA 서버, 170)가 사용자 단말(UE, 111)로부터 수신한 EAP 응답 메시지 패킷의 무결성을 확인하는데 사용된다. The MAC_P field 308 has a 'MAC_P' which is an EAP response message authentication code generated by the user terminal (UE) 111. The 'MAC_P' is used by the authentication server (AAA server) 170 to verify the integrity of the EAP response message packet received from the user terminal (UE) 111.

도 4는 본 발명의 일실시예에 따른 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111)의 다이나믹 키 생성 방법을 설명하기 위한 도면이다. 4 is a diagram illustrating a dynamic key generation method of an authentication server (AAA server) 170 and a user terminal (UE) 111 according to an embodiment of the present invention.

인증 서버(AAA 서버, 170)의 다이나믹 키 생성 방법과 사용자 단말(UE, 111)의 다이나믹 키 생성 방법은 동일하다. 또한, 장치 인증을 위한 인증 매개체인 프리쉐어드 키(PSK; Pre-Shared Key)(401)와 사용자 인증을 위한 인증 매개체인 가입자 루트 키(SRK; Subscriber Root Key)(402)는 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111)에 동일하게 저장되어 있다. 다만, 인증 서버(AAA 서버)는 자체에서 생성한 랜덤 값을 사용하는 데 비하여 사용자 단말(UE)은 상기 인증 서버(AAA 서버)로부터 수신한 EAP 요청 메시지에 포함된 랜덤 값을 이용하여 다이나믹 키를 생성한다. The dynamic key generation method of the authentication server (AAA server) 170 and the dynamic key generation method of the user terminal (UE) 111 are the same. In addition, a Pre-Shared Key (PSK) 401, which is an authentication medium for device authentication, and a Subscriber Root Key (SRK) 402, which is an authentication medium for user authentication, are used as an authentication server (AAA). The same is stored in the server 170 and the user terminal UE 111. However, the authentication server (AAA server) uses a random value generated by itself, whereas the user terminal (UE) uses a dynamic key using the random value included in the EAP request message received from the authentication server (AAA server). Create

한편, 본 발명의 실시예에서는 AES(Advanced Encryption Standard) 암호화 방식을 사용하여 다이나믹 키를 생성한다. AES-128 암호화 방식은 보안 측면에서 비도가 높은 블록 단위 암호화 방식이다. 하지만, 본 발명의 다이나믹 키 생성에 사용되는 암호화 방식은 AES 방식에 한정되지 않으며, MD-5 또는 DES 등의 여러 암호화 방식이 적용 가능하다. Meanwhile, in the embodiment of the present invention, a dynamic key is generated by using an advanced encryption standard (AES) encryption method. AES-128 encryption is a high-level block-by-block encryption in terms of security. However, the encryption method used for generating the dynamic key of the present invention is not limited to the AES method, and various encryption methods such as MD-5 or DES can be applied.

도 4를 참조하면, AES-128 암호화 방식(410)을 이용하여 장치 인증 매개체인 프리쉐어드 키(PSK)(401)와 인증 서버에서 생성된 랜덤 값(RANDOM)(403)으로부터 프리 인증키(pre-AK; pre-Authentication Key)(404)를 생성한다. 그리고 생성된 프리 인증키(pre-AK)(404)와 사용자 인증 매개체인 가입자 루트 키(SRK; Subscriber Root Key)(402)로부터 AES-128 암호화 방식(420)을 이용하여 장치/사용자 인증 매개체인 인증키(AK; Authentication Key)(405)를 생성한다. 인증 서버(AAA 서버)에 서 생성된 인증키(AK, 405)는 서버 인증 코드 'AUTH_S'를 생성하는데 이용되며, 사용자 단말(UE)에서 생성된 인증키(AK, 405)는 단말 인증 코드 'AUTH_P'를 생성하는데 이용된다(도 5 참조). Referring to FIG. 4, a pre-authentication key (PSK) 401, which is a device authentication medium using the AES-128 encryption scheme 410, and a random value (RANDOM) 403 generated by an authentication server are used. generate a pre-AK (pre-Authentication Key) 404. The device / user authentication medium chain is generated using the AES-128 encryption method 420 from the generated pre-AK 404 and the subscriber root key (SRK) 402, which is a user authentication medium. An authentication key (AK) 405 is generated. The authentication key (AK, 405) generated by the authentication server (AAA server) is used to generate the server authentication code 'AUTH_S', the authentication key (AK, 405) generated by the user terminal (UE) is the terminal authentication code ' Used to generate AUTH_P '(see FIG. 5).

한편, TEK(Transient EAP Key, 406) 및 마스터 세션 키(MSK; Master Session Key, 407)는 상기 생성된 인증키(AK, 405)로부터 AES-128 암호화 방식(430)을 통하여 출력된다. 상기 생성된 인증키(AK, 405)로부터 출력된 16 바이트 가운데 앞의 8 바이트는 TEK(406)으로 사용되며, 뒤의 8 바이트는 마스터 세션키(MSK, 407)로 사용된다. 상기 TEK(406)는 EAP 패킷의 무결성을 제공하기 위한 검증 매개체로서, 인증 서버(AAA 서버)에서는 서버 EAP 요청 메시지 인증 코드 'MAC_S'를 생성하는데 이용되며, 사용자 단말에서는 단말 EAP 응답 메시지 인증 코드 'MAC_P'를 생성하는데 이용된다(도 5 참조). 상기 마스터 세션 키(MSK, 407)는 사용자 단말(UE)과 기지국(E-Node B) 간의 무선 데이터 구간에서의 데이터를 암호화하는데 사용된다. On the other hand, the TEK (Transient EAP Key) 406 and the master session key (MSK; Master Session Key, 407) is output from the generated authentication key (AK, 405) through the AES-128 encryption scheme 430. The first 8 bytes of the 16 bytes output from the generated authentication key (AK) 405 are used as the TEK 406, and the subsequent 8 bytes are used as the master session key (MSK) 407. The TEK 406 is a verification medium for providing the integrity of the EAP packet. The TEK 406 is used to generate the server EAP request message authentication code 'MAC_S' in the authentication server (AAA server), and in the user terminal, the terminal EAP response message authentication code ' Used to generate MAC_P '(see FIG. 5). The master session key (MSK) 407 is used to encrypt data in the radio data interval between the user terminal (UE) and the base station (E-Node B).

도 5는 본 발명의 일실시예에 따른 서버 인증 코드(AUTH_S)와 단말 인증 코드(AUTH_P) 및 메시지 인증 코드(MAC_S, MAC_P)를 생성하는 방법을 설명하기 위한 도면이다. 5 is a diagram illustrating a method of generating a server authentication code (AUTH_S), a terminal authentication code (AUTH_P) and a message authentication code (MAC_S, MAC_P) according to an embodiment of the present invention.

상기 서버 인증 코드(AUTH_S)와 단말 인증 코드(AUTH_P) 및 메시지 인증 코드(MAC_S, MAC_P)는 CMAC_AES 암호화 방식에 의하여 생성된다. CMAC_AES_128 (Cipher-based Message Authentication Code - Advanced Encryption Standard - 128) 암호화 방식은 입력 키와 가변의 입력 문자열을 입력으로 하여 128비트의 메 시지 인증코드(MAC; Message Authentication Code)를 생성하는 암호화 방식이다. 한편, 인증 서버(AAA 서버, 170)와 사용자 단말(UE, 111) 각각에는 서버 인증 코드를 생성하기 위한 고정값을 갖는 매개체인 "AUTH SERVER" 및 단말 인증 코드를 생성하기 위한 고정값을 갖는 매개체인 "AUTH PEER"가 동일하게 저장되어 있다. The server authentication code (AUTH_S), the terminal authentication code (AUTH_P) and the message authentication code (MAC_S, MAC_P) is generated by the CMAC_AES encryption method. CMAC_AES_128 (Cipher-based Message Authentication Code-Advanced Encryption Standard-128) The encryption method is an encryption method that generates a 128-bit message authentication code (MAC) by inputting an input key and a variable input string. On the other hand, each of the authentication server (AAA server) 170 and the user terminal (UE) 111, "AUTH SERVER" which is a medium having a fixed value for generating a server authentication code and a medium having a fixed value for generating a terminal authentication code "AUTH PEER" is stored identically.

서버 인증 코드(AUTH_S, 513)는 도 5의 (A)에서 보는 바와 같이, 인증키(AK, 511)를 입력 키로 하고 '프리쉐어드 키(PSK), 가입자 루트 키(SRK), 랜덤 값(RANDOM) 및 AUTH SERVER의 스트링 연결(512)'을 입력 문자열로 하는 CMAC_AES_128(510) 암호화 방식에 의해 생성된다. 상기 서버 인증 코드(AUTH_S, 513)의 생성 방법은 아래의 [수학식 1]과 같이 표현된다. As shown in (A) of FIG. 5, the server authentication codes (AUTH_S, 513) are the authentication keys (AK, 511) as input keys, and the 'preshared key (PSK), subscriber root key (SRK), and random values ( RANDOM) and AUTH SERVER's string concatenation 512 'are generated by the CMAC_AES_128 (510) encryption method as an input string. The generation method of the server authentication code (AUTH_S, 513) is expressed as Equation 1 below.

AUTHAUTH _S = _S = CMACCMAC __ AESAES _128 (AK, _128 (AK, PSKPSK SRKSRK ∥RANDOM∥"∥RANDOM∥ " AUTHAUTH SERVER", 128) SERVER ", 128)

단말 인증 코드(AUTH_P, 523)는 도 5의 (B)에서 보는 바와 같이, 인증키(AK, 521)를 입력 키로 하고 '프리쉐어드 키(PSK), 가입자 루트 키(SRK), 랜덤 값(RANDOM) 및 AUTH PEER의 스트링 연결(522)'을 입력 문자열로 하는 CMAC_AES_128(520) 암호화 방식에 의해 생성된다. 상기 단말 인증 코드(AUTH_P, 523)의 생성 방법은 아래의 [수학식 2]와 같이 표현된다. As shown in (B) of FIG. 5, the terminal authentication codes (AUTH_P, 523) are the authentication keys (AK, 521) as input keys, and the pre-shared key (PSK), subscriber root key (SRK), random value ( RANDOM) and AUTH PEER's string concatenation 522 'are generated by the CMAC_AES_128 520 encryption scheme. The generation method of the terminal authentication code (AUTH_P, 523) is expressed as shown in Equation 2 below.

AUTHAUTH _S = _S = CMACCMAC __ AESAES _128 (AK, _128 (AK, PSKPSK SRKSRK ∥RANDOM∥"∥RANDOM∥ " AUTHAUTH PEER", 128) PEER ", 128)

서버 EAP 요청 메시지 인증 코드(MAC_S, 533)과 단말 EAP 응답 메시지 인증 코드(MAC_P, 534)의 생성 방법은 동일하며, TEK(531)를 입력키로 하고 'EAP PACKET 및 랜덤 값(RANDOM)의 스트링 연결(532)'을 입력 문자열로 하는 CMAC_AES_128(530) 암호화 방식에 의해 생성된다. 이 때, CMAC_128_AES_128(530) 암호화 방식에 있어서의 입력키 길이는 128 비트가 되어야 하므로, TEK의 8바이트 뒤에 널문자 8바이트를 추가한다. "EAP PACKET"은 MAC_S(533)을 생성하는 경우 'Code 필드(201)부터 AUTH_S 필드(208)까지의 패킷 데이터(도 2 참조)'에 해당하며, MAC_P(534)를 생성하는 경우에는 'Code 필드(301)부터 AUTH_P(307)까지의 패킷 데이터(도 3 참조)'에 해당한다. 상기 서버 EAP 요청 메시지 인증 코드(MAC_S, 533) 및 단말 EAP 응답 메시지 인증 코드(MAC_P, 534)의 생성 방법은 아래의 [수학식 3]과 같이 표현된다. The method of generating the server EAP request message authentication code (MAC_S, 533) and the terminal EAP response message authentication code (MAC_P, 534) is the same. 532 'is generated by the CMAC_AES_128 530 encryption method using the input string. At this time, the length of the input key in the CMAC_128_AES_128 530 encryption method should be 128 bits, so 8 bytes of null characters are added after 8 bytes of TEK. "EAP PACKET" corresponds to "packet data from the Code field 201 to the AUTH_S field 208 (see FIG. 2)" when generating the MAC_S 533, and "Code" when generating the MAC_P 534. This corresponds to packet data (see FIG. 3) from the field 301 to the AUTH_P 307. The generation method of the server EAP request message authentication code (MAC_S, 533) and the terminal EAP response message authentication code (MAC_P, 534) is expressed as shown in Equation 3 below.

MAC_S = MAC_P = MAC_S = MAC_P = CMACCMAC __ AESAES _128 (_128 ( TEKTEK , , EAPEAP PACKET∥RANDOM, 128) PACKET∥RANDOM, 128)

상기 [수학식 1], [수학식 2] 및 [수학식 3]의 CMAC_AES_128 함수에서 첫번째 파라미터는 입력키를, 두번째 파라미터는 입력 문자열을, 세번째 파라미터는 출력값의 비트 길이를 각각 나타낸다. 또한, 기호 '∥'는 문자 스트링의 연결(concatenation)을 나타낸다. In the CMAC_AES_128 functions of Equations 1, 2, and 3, the first parameter represents an input key, the second parameter represents an input string, and the third parameter represents a bit length of an output value. Also, the symbol '∥' indicates concatenation of a character string.

도 6은 본 발명에 따른 인증 서버(AAA 서버)의 일실시예 블록 구성도이다. 6 is a block diagram of an embodiment of an authentication server (AAA server) according to the present invention.

본 발명의 인증 서버(AAA 서버)는 도 6에 도시된 바와 같이, IP 백본(IP BB)과 유선 또는 무선으로 연결되는 서버 송수신부(610), Diameter 프로토콜에 따른 동작을 수행하는 프로토콜 처리부(620), 송신할 EAP 메시지를 생성하는 EAP 메시지 생성부(630), 인증키 및 인증코드를 생성하는 인증키 생성부(640), 랜덤 키(랜덤 값)을 생성하는 랜덤키 생성부(650), 사용자 인증 매개체 및 장치 인증 매개체 등의 정보를 저장하는 저장부(660), 수신된 EAP 메시지를 처리하는 EAP 메시지 처리부(670), 장치/사용자 인증을 수행하는 인증부(680), 수신된 EAP 메시지의 무결성을 검증하는 검증부(690)를 포함하여 이루어진다. As shown in FIG. 6, the authentication server (AAA server) of the present invention includes a server transceiver 610 connected to an IP backbone (IP BB) by wire or wirelessly, and a protocol processor 620 performing an operation according to the Diameter protocol. ), An EAP message generator 630 for generating an EAP message to be transmitted, an authentication key generator 640 for generating an authentication key and an authentication code, a random key generator 650 for generating a random key (random value), A storage unit 660 storing information such as a user authentication medium and a device authentication medium, an EAP message processing unit 670 processing a received EAP message, an authentication unit 680 performing device / user authentication, a received EAP message It includes a verification unit 690 for verifying the integrity of the.

상기 저장부(660)는 장치 인증 매개체인 프리쉐어드 키(PSK), 사용자 인증 매개체인 가입자 루트 키(SRK), 서버 인증 코드 생성을 위한 매개체(AUTH SERVER) 및 단말 인증 코드 생성을 위한 매개체(AUTH PEER)를 저장한다. 상기 PSK, SRK, AUTH SERVER, AUTH PEER는 인증을 수행하는 사용자 단말에 저장된 값들과 동일하다. 또한, 상기 저장부(660)는 인증 서버가 EAP 요청 메시지를 송신하는 경우에는 상기 EAP 요청 메시지에 포함된 랜덤 키(RANDOM)와 식별 정보(Identifier)를 저장하며, 상기 인증키 생성부(640)에서 생성된 키(AK, TEK) 값들을 추가적으로 저장할 수 있다. The storage unit 660 may include a pre-shared key (PSK), which is a device authentication medium, a subscriber root key (SRK), which is a user authentication medium, a medium for generating a server authentication code (AUTH SERVER), and a medium for generating a terminal authentication code ( AUTH PEER). The PSK, SRK, AUTH SERVER, and AUTH PEER are the same as the values stored in the user terminal performing authentication. In addition, when the authentication server transmits an EAP request message, the storage unit 660 stores a random key (RANDOM) and identification information (Identifier) included in the EAP request message, and the authentication key generator 640. Additional key (AK, TEK) values generated in the

상기 랜덤키 생성부(650)는 프리 인증키(pre-AK) 생성에 사용할 랜덤 키(RANDOM)를 생성하여, 생성된 랜덤 키를 인증키 생성부(640) 및 저장부(660)에 전달한다. The random key generator 650 generates a random key RANDOM to be used to generate a pre-AK, and transfers the generated random key to the authentication key generator 640 and the storage 660. .

상기 인증키 생성부(640)는 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM), 상기 저장부에 저장된 장치/사용자 인증을 수행하고자 하는 사용자 단말에 매칭되는 프리쉐어드 키(PSK)와 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK), TEK 및 마스터 세션 키(MSK)를 생성한다. 이어서, 상기 인증키 생성부(640)은 생성된 키(AK), 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM) 및 상기 저장부(660)에 저장된 PSK, SRK, "AUTH SERVER"를 이용하여 도 5의 (A)에서 설명한 코드 생성 방법에 따라 서버 인증 코드(AUTH_S)를 생성한다. 마지막으로, 상기 인증키 생성부(640)은 생성된 TEK, 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM) 및 송신할 EAP 요청 메시지의 EAP PACKET을 이용하여 도 5의 (C)에서 설명한 코드 생성 방법에 따라 EAP 요청 메시지 인증 코드(MAC_S)를 생성한다. The authentication key generation unit 640 is a random key (RANDOM) generated by the random key generation unit 650, a pre-shared key (PSK) matching the user terminal to perform the device / user authentication stored in the storage unit And the subscriber root key (SRK) to generate the device / user authentication key (AK), TEK and master session key (MSK) according to the key generation method described in FIG. Subsequently, the authentication key generation unit 640 generates the generated key AK, the random key RANDOM generated by the random key generation unit 650, and the PSK, SRK, and "AUTH SERVER" stored in the storage unit 660. ", To generate a server authentication code (AUTH_S) according to the code generation method described in (A) of FIG. Lastly, the authentication key generator 640 uses the TEK generated, the random key generated by the random key generator 650, and the EAP PACKET of the EAP request message to be transmitted. Generate the EAP request message authentication code (MAC_S) according to the code generation method described above.

상기 EAP 메시지 생성부(630)는 상기 랜덤키 생성부(650)에서 생성된 랜덤 키(RANDOM), 상기 인증키 생성부(640)에서 생성된 서버 인증 코드(AUTH_S) 및 EAP 요청 메시지 인증 코드(MAC_S)를 이용하여 도 2에 도시된 EAP 요청 메시지를 생성한다. 생성된 EAP 요청 메시지는 프로토콜 처리부(620)에서 Diameter 프로토콜 처리되어 서버 송수신부(610)을 통해 E-SN(C)로 전송된다. The EAP message generator 630 may include a random key (RANDOM) generated by the random key generator 650, a server authentication code (AUTH_S) generated by the authentication key generator 640, and an EAP request message authentication code ( MAC_S) is used to generate the EAP request message shown in FIG. The generated EAP request message is processed by the protocol processor 620 in Diameter protocol and transmitted to the E-SN (C) through the server transceiver 610.

상기 EAP 메시지 처리부(670)는 서버 송수신부(610)을 통해 E-SN(C)로부터 수신되어 프로토콜 처리부(620)에서 Diameter 프로토콜 처리된 도 3에 도시된 EAP 응답 메시지를 처리한다. 상기 EAP 메시지 처리부(670)는 상기 EAP 응답 메시지에 대하여 파싱(parsing) 등의 메시지 처리 기능을 수행하고, 상기 EAP 응답 메시지에 포함된 식별 정보(Identifier)를 이용하여 EAP 요청 메시지에 대한 응답인지 여부를 확인한다. EAP 요청 메시지에 대한 응답이 확인된 경우, 상기 EAP 메시지 처리부(670)는 상기 확인 결과와 함께 단말 인증 코드(AUTH_P)는 인증부(680)로 전달하며, EAP 응답 메시지 인증 코드(MAC_P)는 검증부(690)로 전달한다. The EAP message processing unit 670 processes the EAP response message shown in FIG. 3, which is received from the E-SN (C) through the server transceiver 610 and processed by Diameter protocol in the protocol processing unit 620. The EAP message processing unit 670 performs a message processing function such as parsing on the EAP response message, and whether the response is an EAP request message using identification information included in the EAP response message. Check. When the response to the EAP request message is confirmed, the EAP message processing unit 670 transmits the terminal authentication code (AUTH_P) to the authentication unit 680 with the confirmation result, and the EAP response message authentication code (MAC_P) is verified. Pass to section 690.

상기 인증부(680)는 상기 EAP 응답 메시지에 대응하는 EAP 요청 메시지의 랜덤 키(RANDOM), 상기 EAP 응답 메시지를 송신한 사용자 단말에 매칭되는 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 상기 저장부(660)로부터 수신하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK)를 생성한다. 이 경우, 상기 인증부(680)는 EAP 요청 메시지 송신시에 상기 저장부(660)에 저장된 AK 값을 이용 가능하다. 이어서 상기 인증부(680)는 상기 PSK, SRK, RANDOM, AK 및 상기 저장부에 저장된 "AUTH PEER"를 이용하여 도 5의 (B)에 도시된 코드 생성 방법에 따라 단말 인증 코드(AUTH_P)를 생성한다. 그리고 생성된 단말 인증 코드와 상기 EAP 메시지 처리부(670)로부터 전달된 단말 인증 코드를 비교함으로써 상기 EAP 응답 메시지를 송신한 단말에 대한 장치/사용자 인증을 수행한다.The authenticator 680 may include a random key (RANDOM) of an EAP request message corresponding to the EAP response message, a preshared key (PSK) and a subscriber root key (SRK) matching the user terminal that transmitted the EAP response message. Is received from the storage unit 660 to generate the device / user authentication key (AK) according to the key generation method described in FIG. In this case, the authentication unit 680 may use the AK value stored in the storage unit 660 when the EAP request message is transmitted. Subsequently, the authentication unit 680 uses the PSK, SRK, RANDOM, AK, and "AUTH PEER" stored in the storage unit to generate the terminal authentication code (AUTH_P) according to the code generation method shown in FIG. Create The device / user authentication is performed on the terminal that has transmitted the EAP response message by comparing the generated terminal authentication code with the terminal authentication code transmitted from the EAP message processing unit 670.

상기 검증부(690)는 상기 EAP 응답 메시지에 대응하는 EAP 요청 메시지의 랜덤 키(RANDOM), 상기 EAP 응답 메시지를 송신한 사용자 단말에 매칭되는 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 상기 저장부(660)로부터 수신하여 도 4에서 설명한 키 생성 방법에 따라 TEK를 생성한다. 이 경우, 상기 검증부(690)는 EAP 요청 메시지 송신시에 상기 저장부(660)에 저장된 TEK 값을 이용 가능하다. 이어서 상기 인증부(680)는 상기 TEK, RANDOM 및 상기 수신된 EAP 응답 메시지의 EAP PACKET을 이용하여 EAP 응답 메시지 인증코드(MAC_P)를 생성한다. 그리고 생성된 EAP 응답 메시지 인증 코드와 상기 EAP 메시지 처리부(670)로부터 전달된 EAP 응답 메시지 인증 코드를 비교함으로써 상기 EAP 응답 메시지의 무결성을 검증한다. The verification unit 690 may include a random key (RANDOM) of an EAP request message corresponding to the EAP response message, a preshared key (PSK) and a subscriber root key (SRK) matching the user terminal that has transmitted the EAP response message. Is received from the storage unit 660 to generate a TEK according to the key generation method described with reference to FIG. 4. In this case, the verification unit 690 may use the TEK value stored in the storage unit 660 when the EAP request message is transmitted. Subsequently, the authentication unit 680 generates an EAP response message authentication code (MAC_P) using the TEK, RANDOM, and the EAP PACKET of the received EAP response message. The integrity of the EAP response message is verified by comparing the generated EAP response message authentication code with the EAP response message authentication code transmitted from the EAP message processing unit 670.

도 7은 본 발명에 따른 사용자 단말(UE)의 일실시예 블록 구성도이다. 7 is a block diagram of an embodiment of a user terminal (UE) according to the present invention.

본 발명의 사용자 단말(UE)는 도 7에 도시된 바와 같이, 기지국(E-Node B) 또는 무선접속장치(AP)를 통해 IP 기반의 패킷 네트워크에 무선 접속하는 단말 송수신부(710), PMM 프로토콜에 따른 동작을 수행하는 프로토콜 처리부(720), 송신할 EAP 메시지를 생성하는 EAP 메시지 생성부(730), 인증키 및 인증 코드를 생성하는 인증키 생성부(740), 사용자 인증 매개체 및 장치 인증 매개체 등의 정보를 저장하는 저장부(750), 수신된 EAP 메시지를 처리하는 EAP 메시지 처리부(760), 장치/사용자 인증을 수행하는 인증부(770), 수신된 EAP 메시지의 무결성을 검증하는 검증부(780)를 포함하여 이루어진다. As shown in FIG. 7, a user terminal (UE) of the present invention is a terminal transceiver unit 710 for wirelessly accessing an IP-based packet network through a base station (E-Node B) or a wireless access device (AP), and a PMM. A protocol processing unit 720 for performing an operation according to a protocol, an EAP message generating unit 730 for generating an EAP message to be transmitted, an authentication key generating unit 740 for generating an authentication key and an authentication code, and a user authentication medium and device authentication. A storage unit 750 for storing information such as a medium, an EAP message processor 760 for processing the received EAP message, an authentication unit 770 for performing device / user authentication, and verification for verifying the integrity of the received EAP message It comprises a portion 780.

상기 저장부(750)는 장치 인증 매개체인 프리쉐어드 키(PSK), 사용자 인증 매개체인 가입자 루트 키(SRK), 서버 인증 코드 생성을 위한 매개체(AUTH SERVER) 및 단말 인증 코드 생성을 위한 매개체(AUTH PEER)를 저장한다. 상기 PSK, SRK, AUTH SERVER, AUTH PEER는 인증을 수행하는 인증 서버에 저장된 값들과 동일하다. The storage unit 750 may include a pre-shared key (PSK) as a device authentication medium, a subscriber root key (SRK) as a user authentication medium, a medium for generating a server authentication code (AUTH SERVER), and a medium for generating a terminal authentication code ( AUTH PEER). The PSK, SRK, AUTH SERVER, and AUTH PEER are the same as the values stored in the authentication server that performs the authentication.

상기 EAP 메시지 처리부(760)는 단말 송수신부(710)을 통해 E-SN(C)로부터 수신되어 프로토콜 처리부(720)에서 PMM 프로토콜 처리된 도 2에 도시된 EAP 요청 메시지를 처리한다. 상기 EAP 메시지 처리부(760)는 상기 EAP 요청 메시지에 대하여 파싱(parsing) 등의 메시지 처리 기능을 수행하며, 상기 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 서버 인증 코드(AUTH_S)는 인증부(770)로 전달하고, EAP 요청 메시지 인증 코드(MAC_S)는 검증부(780)로 전달한다. The EAP message processing unit 760 processes the EAP request message shown in FIG. 2 that is received from the E-SN (C) through the terminal transceiver 710 and is processed by the protocol processing unit 720 in the PMM protocol. The EAP message processor 760 performs a message processing function such as parsing on the EAP request message, and the random key RANDOM and the server authentication code AUT_S included in the EAP request message are authenticated. In step 770, the EAP request message authentication code MAC_S is transmitted to the verification unit 780.

상기 인증부(770)는 상기 EAP 메시지 처리부(760)로부터 전달된 랜덤 키(RANDOM), 상기 저장부(750)에 저장된 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK)를 생성한다. 이어서 상기 인증부(770)는 상기 PSK, SRK, RANDOM, AK 및 상기 저장부에 저장된 "AUTH SERVER"를 이용하여 도 5의 (A)에 도시된 코드 생성 방법에 따라 서버 인증 코드(AUTH_S)를 생성한다. 그리고 생성된 서버 인증 코드와 상기 EAP 메시지 처리부(760)로부터 전달된 서버 인증 코드를 비교함으로써 상기 EAP 요청 메시지를 송신한 인증 서버에 대한 인증을 수행한다.The authentication unit 770 uses a random key (RANDOM) transmitted from the EAP message processing unit 760, a pre-shared key (PSK) stored in the storage unit 750, and a subscriber root key (SRK) of FIG. 4. A device / user authentication key (AK) is generated according to the key generation method described above. Subsequently, the authentication unit 770 uses the PSK, SRK, RANDOM, AK, and "AUTH SERVER" stored in the storage unit to perform a server authentication code (AUTH_S) according to the code generation method shown in FIG. Create The server authentication code generated is compared with the server authentication code transmitted from the EAP message processor 760 to perform authentication on the authentication server that has transmitted the EAP request message.

상기 검증부(780)는 상기 EAP 메시지 처리부(760)로부터 전달된 랜덤 키(RANDOM), 상기 저장부(750)에 저장된 프리쉐어드 키(PSK) 및 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 TEK를 생성한다. 이 경우, 상기 검증부(780)는 상기 인증부에서 생성된 AK 값을 이용 가능하다. 이어서, 상기 검증부(780)는 상기 TEK, RANDOM 및 상기 수신된 EAP 요청 메시지의 EAP PACKET을 이용하여 EAP 요청 메시지 인증코드(MAC_S)를 생성한다. 그리고 생성된 EAP 요청 메시지 인증 코드와 상기 EAP 메시지 처리부(760)로부터 전달된 EAP 요청 메시지 인증 코드를 비교함으로써 상기 EAP 요청 메시지의 무결성을 검증한다. The verification unit 780 uses the random key RANDOM delivered from the EAP message processing unit 760, the pre-shared key PSK and the subscriber root key SRK stored in the storage unit 750. Create a TEK using the key generation method described in In this case, the verification unit 780 may use the AK value generated by the authentication unit. Subsequently, the verification unit 780 generates an EAP request message authentication code (MAC_S) using the TEK, RANDOM, and the EAP PACKET of the received EAP request message. The integrity of the EAP request message is verified by comparing the generated EAP request message authentication code with the EAP request message authentication code transmitted from the EAP message processing unit 760.

상기 인증키 생성부(740)는 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM), 상기 저장부에 저장된 프리쉐어드 키(PSK)와 가입자 루트 키(SRK)를 이용하여 도 4에서 설명한 키 생성 방법에 따라 장치/사용자 인증키(AK), TEK 및 마스터 세션 키(MSK)를 생성한다. 이 경우, 상기 인증키 생성부(740)는 상기 인증부(680) 및 검증부(690)에서 생성된 AK 및 TEK 값을 이용 가능하다. 이어서, 상기 인증키 생성부(740)은 생성된 장치/사용자 인증키(AK), 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 상기 저장부(750)에 저장된 PSK, SRK, "AUTH PEER"를 이용하여 도 5의 (B)에서 설명한 코드 생성 방법에 따라 단말 인증 코드(AUTH_P)를 생성한다. 마지막으로, 상기 인증키 생성부(740)은 생성된 TEK, 상기 수신된 EAP 요청 메시지에 포함된 랜덤 키(RANDOM) 및 송신할 EAP 응답 메시지의 EAP PACKET을 이용하여 도 5의 (C)에서 설명한 코드 생성 방법에 따라 EAP 응답 메시지 인증 코드(MAC_P)를 생성한다. The authentication key generation unit 740 described with reference to FIG. 4 using a random key RANDOM included in the received EAP request message, a preshared key PSK and a subscriber root key SRK stored in the storage unit. A device / user authentication key (AK), a TEK, and a master session key (MSK) are generated according to the key generation method. In this case, the authentication key generation unit 740 may use the AK and TEK values generated by the authentication unit 680 and the verification unit 690. Subsequently, the authentication key generation unit 740 generates a generated device / user authentication key (AK), a random key (RANDOM) included in the received EAP request message, and a PSK, SRK, " AUTH PEER "to generate the terminal authentication code (AUTH_P) according to the code generation method described in (B) of FIG. Finally, the authentication key generator 740 uses the generated TEK, the random key RANDOM included in the received EAP request message, and the EAP PACKET of the EAP response message to be transmitted. The EAP response message authentication code (MAC_P) is generated according to the code generation method.

상기 EAP 메시지 생성부(730)는 상기 수신된 EAP 요청 메시지에 포함된 식별정보(Identifier)와 랜덤 키(RANDOM), 상기 인증키 생성부(740)에서 생성된 단말 인증 코드(AUTH_P) 및 EAP 응답 메시지 인증 코드(MAC_P)를 이용하여 도 3에 도시된 EAP 응답 메시지를 생성한다. 생성된 EAP 응답 메시지는 프로토콜 처리부(720)에서 PMM 프로토콜 처리되어 단말 송수신부(710)을 통해 E-SN(C)로 전송된다. The EAP message generator 730 may include an identifier and a random key (RANDOM) included in the received EAP request message, a terminal authentication code (AUTH_P) and an EAP response generated by the authentication key generator 740. A message authentication code (MAC_P) is used to generate the EAP response message shown in FIG. The generated EAP response message is PMM protocol processed by the protocol processor 720 and transmitted to the E-SN (C) through the terminal transceiver 710.

도 8은 본 발명에 따라 이동통신 시스템에서 사용자 단말과 인증 서버 사이에 싱글 EAP 메시지를 이용하여 장치/사용자 인증을 수행하는 방법을 설명하는 일 실시예 흐름도이다. 8 is a flowchart illustrating a method of performing device / user authentication using a single EAP message between a user terminal and an authentication server in a mobile communication system according to the present invention.

사용자 단말(UE, 810)와 E-SN(C)(820) 사이에는 세션과 이동성을 제어하는 패킷 모빌리티 관리(PMM; Packet Mobility Management) 프로토콜이 위치하며, E-SN(C)(820)와 인증 서버(AAA 서버, 830) 사이에는 모바일 인터넷 환경에서의 인증(Authentication)과 권한검증(Authorization) 및 과금(Accounting)을 위한 AAA 프로토콜인 Diameter 프로토콜이 위치한다. 상기 E-SN(C) 노드(820)는 상기 PMM 프로토콜과 상기 Diameter 프로토콜을 상호 변환하는 기능 및 장치/사용자 인증을 수행하는 동안 세션을 유지하는 기능을 수행한다. 상기 PMM 프로토콜은 위치 등록 및 위치 갱신 기능, 인증 및 암호화 기능, 페이징 기능 및 접속 관리(상위계층 제어 메시지 전송) 기능 등을 제공한다[3GPP TS 23.060 V7.1.0 (2006-06), "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS); Service description; Stage 2 (Release 7)"]. 한편, 상기 Diameter 프로토콜은 로밍이나 모바일 아이피(IP)와 같은 새로운 기술에 대한 AAA 기능을 제공한다[IETF RFC 4072, "Diameter Extensible Authentication Protocol (EAP) Application"]. Between the UE 810 and the E-SN (C) 820, a packet mobility management (PMM) protocol for controlling session and mobility is located, and the E-SN (C) 820 Between the authentication server (AAA server, 830) is the Diameter protocol, which is an AAA protocol for authentication, authentication, and accounting in a mobile Internet environment. The E-SN (C) node 820 performs a function of mutually converting the PMM protocol and the Diameter protocol and maintains a session while performing device / user authentication. The PMM protocol provides location registration and location update functions, authentication and encryption functions, paging functions, and access management (transmit layer control message). [3GPP TS 23.060 V7.1.0 (2006-06), "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS); Service description; Stage 2 (Release 7) "]. Meanwhile, the Diameter protocol provides AAA functionality for new technologies such as roaming and mobile IP (IETF RFC 4072, "Diameter Extensible Authentication Protocol (EAP) Application").

도 8을 참조하면, 우선 E-SN(C)가 사용자 단말의 식별 정보(Identity, 820)를 요청하는 EAP 메시지를 PMM 프로토콜에 따라 인캡슐레이션(encapsulation)한 PMM/EAP-Request/Identity 메시지를 사용자 단말(UE, 810)에 전송한다(S805). 이어서 E-SN(C)(820)는 상기 사용자 단말(UE, 810)로부터 수신한 단말 식별 정보를 포함하는 PMM/EAP-Response/Identity 메시지를 Diameter 프로토콜로 변환하며, 상기 변환된 Diameter/EAP-Response/Identity 메시지를 인증 서버(AAA 서버, 830)로 전송한다(S810, S815). Referring to FIG. 8, first, an E-SN (C) performs a PMM / EAP-Request / Identity message that encapsulates an EAP message requesting identification information (820) of a user terminal according to the PMM protocol. In operation S805, the UE transmits to the user terminal UE 810. Subsequently, the E-SN (C) 820 converts the PMM / EAP-Response / Identity message including the terminal identification information received from the UE 810 into a Diameter protocol, and converts the converted Diameter / EAP- The response / Identity message is transmitted to the authentication server (AAA server) 830 (S810 and S815).

인증 서버(AAA 서버, 830)는 상기 E-SN(C)(820)로부터 수신한 메시지에 포함된 식별 정보(Identity)를 서버 저장부의 가입자 정보 데이터베이스에서 검색함으로써 사용자 단말(UE, 810)이 본 발명에 따른 싱글 EAP 인증 서비스 가입자인지 여부를 판단한다(S820). 상기 판단 결가 상기 사용자 단말(UE, 810)이 싱글 EAP 서비스 가입자인 경우에는 본 발명에 따른 싱글 EAP 메시지를 이용한 장치/사용자 인증(EAP-DUA)을 수행한다(S825). The authentication server (AAA server) 830 searches the subscriber information database of the server storage unit for the identification information included in the message received from the E-SN (C) 820, which the user terminal (UE) 810 sees. It is determined whether the subscriber is a single EAP authentication service according to the present invention (S820). When the user terminal UE 810 is a single EAP service subscriber, the device / user authentication (EAP-DUA) using the single EAP message according to the present invention is performed (S825).

인증 서버(AAA 서버, 830)에는 싱글 EAP 인증 서비스에 가입된 단말(UE, 810)에 매칭되는 PSK, SRK, AUTH PEER, AUTH SERVER 값들이 저장되어 있다. 상기 인증 서버(AAA 서버, 830)는 상기 싱글 EAP 인증 서비스에 가입된 단말과 매칭되는 PSK와 SRK, 그리고 랜덤값 생성부에서 생성된 RANDOM 값과 도 4에 도시된 키 생성 방법을 이용하여 pre-AK, AK, TEK 및 MSK를 생성한다(S830). 그리고 상기 PSK, SRK, RANDOM, 상기 생성된 AK 및 AUTH SERVER와 도 5의 (A)에 도시된 코드 생성 방법을 이용하여 AUTH_S 값을 생성한다(S835). 또한, 상기 RANDOM, 상기 생성된 TEK 및 사용자 단말로 송신할 EAP 요청 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_S 값을 생성한다(S835).The authentication server (AAA server) 830 stores PSK, SRK, AUTH PEER, and AUTH SERVER values matching the UEs 810 subscribed to the single EAP authentication service. The authentication server (AAA server) 830 uses the PSK and SRK matching the terminal subscribed to the single EAP authentication service and the RANDOM value generated by the random value generator and the key generation method shown in FIG. 4. AK, AK, TEK, and MSK are generated (S830). The AUTH_S value is generated using the PSK, SRK, RANDOM, the generated AK and AUTH SERVER, and the code generation method illustrated in FIG. 5A (S835). In addition, the MAC_S value is generated using the RANDOM, the generated TEK and the EAP PACKET of the EAP request message to be transmitted to the user terminal and the code generation method illustrated in FIG. 5C (S835).

이어서, 상기 인증 서버(AAA 서버, 830)는 생성된 RANDOM, AUTH_S 및 MAC_S 를 포함하는 도 2에 도시된 EAP 요청 메시지(EAP-Request)를 Diameter 프로토콜에 담은 Diameter/EAP-Request/EAP-DUA 메시지를 E-SN(C)(820)로 전송한다(S840). 상기 E-SN(C)(820)는 상기 EAP 요청 메시지를 PMM 프로토콜로 변환한 PMM/EAP-Request/EAP-DUA 메시지를 사용자 단말(UE, 810)로 전송한다(S845).Subsequently, the authentication server (AAA server) 830 transmits the Diameter / EAP-Request / EAP-DUA message containing the generated EAP-Request message (EAP-Request) shown in FIG. To the E-SN (C) 820 is transmitted (S840). The E-SN (C) 820 transmits the PMM / EAP-Request / EAP-DUA message obtained by converting the EAP request message to the PMM protocol (S845).

사용자 단말(UE, 810)은 수신한 EAP 요청 메시지로부터 RANDOM 값을 추출하여 단말 저장부에 저장된 PSK 및 SRK 값과 도 4에 도시된 키 생성 방법을 이용하여 pre-AK, AK, TEK 및 MSK를 생성한다(S850). 그리고 상기 PSK, SRK, RANDOM, 상기 생성된 AK 및 단말 저장부에 저장된 AUTH SERVER와 도 5의 (A)에 도시된 코드 생성 방법을 이용하여 AUTH_S 값을 생성하고, 생성된 AUTH_S를 상기 EAP 요청 메시지로부터 추출한 AUTH_S 값과 비교함으로써 AUTH_S를 검증한다(S855). 또한, 상기 RANDOM, 상기 생성된 TEK 및 상기 수신된 EAP 요청 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_S를 생성하고, 생성된 MAC_S를 상기 EAP 요청 메시지로부터 추출한 MAC_S 값과 비교함으로써 MAC_S를 검증한다(S855).The UE 810 extracts the RANDOM value from the received EAP request message and uses the PSK and SRK values stored in the terminal storage unit and pre-AK, AK, TEK and MSK using the key generation method shown in FIG. 4. It generates (S850). The AUTH_S value is generated using the PSK, SRK, RANDOM, the generated AK and the AUTH SERVER stored in the terminal storage unit, and the code generation method shown in FIG. 5A, and the generated AUTH_S is the EAP request message. The AUTH_S is verified by comparing the AUTH_S value extracted from the SUT (S855). In addition, MAC_S is generated using the RANDOM, the generated TEK, the EAP PACKET of the received EAP request message, and the code generation method illustrated in FIG. 5C, and the generated MAC_S is extracted from the EAP request message. The MAC_S is verified by comparing with the MAC_S value (S855).

검증이 성공한 경우, 사용자 단말(UE, 810)은 상기 AK, PSK, SRK, RANDOM 및 AUTH_PEER와 도 5의 (B)에 도시된 코드 생성 방법을 이용하여 AUTH_P를 생성하며, 상기 TEK, RANDOM 및 송신할 EAP 응답 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_P를 생성한다(S860). 이어서, 도 3에 도시된 EAP 응답 메시지를 생성하여 PMM 프로토콜에 담은 PMM/EAP-Response/EAP-DUA 메시지를 E-SN(C)(820)로 전송한다(S865). 상기 E-SN(C)(820)는 상기 EAP 응답 메시지를 Diameter 프로토콜로 변환한 Diameter/EAP-Response/EAP-DUA 메시지를 인증 서버(AAA 서버, 830)로 전송한다(S870).If the verification is successful, the user terminal UE 810 generates AUTH_P using the AK, PSK, SRK, RANDOM and AUTH_PEER and the code generation method shown in FIG. 5B, and the TEK, RANDOM and transmission. MAC_P is generated using the EAP PACKET of the EAP response message to be performed and the code generation method illustrated in FIG. 5C (S860). Subsequently, the EAP response message shown in FIG. 3 is generated to transmit the PMM / EAP-Response / EAP-DUA message included in the PMM protocol to the E-SN (C) 820 (S865). The E-SN (C) 820 transmits the Diameter / EAP-Response / EAP-DUA message obtained by converting the EAP response message to the Diameter protocol to an authentication server (AAA server) 830 (S870).

상기 인증 서버(AAA 서버, 830)는 AK, PSK, SRK, RANDOM 및 AUTH PEER와 도 5의 (B)에 도시된 코드 생성 방법을 이용하여 AUTH_P를 생성하고, 생성된 AUTH_P를 사용자 단말(UE, 810)로부터 수신된 EAP 응답 메시지의 AUTH_P 값과 비교함으로써 단말에 대한 장치/사용자 인증을 수행한다(S875). 또한, TEK, RANDOM 및 수신된 EAP 응답 메시지의 EAP PACKET과 도 5의 (C)에 도시된 코드 생성 방법을 이용하여 MAC_P를 생성하고, 생성된 MAC_P를 상기 EAP 응답 메시지로부터 추출한 MAC_P 값과 비교함으로써 메시지의 무결성을 검증한다(S875). 검증이 성공인 경우, 인증 서버(AAA 서버, 830)는 성공 메시지를 Diameter 프로토콜에 담은 Diamete/EAP-Success 메시지를 E-SN(C)(820)로 전송(S880)하며, 상기 E-SN(C)(820)은 이를 PMM 프로토콜로 변환한 PMM/EAP-Success 메시지를 사용자 단말(UE, 810)로 전송한다(S885).The authentication server (AAA server) 830 generates AUTH_P using AK, PSK, SRK, RANDOM and AUTH PEER and the code generation method shown in FIG. 5 (B), and generates the generated AUTH_P as a user terminal (UE, The device / user authentication is performed on the terminal by comparing the AUTH_P value of the EAP response message received from 810 (S875). In addition, by generating the MAC_P using the EAP PACKET of the TEK, RANDOM and the received EAP response message and the code generation method shown in Figure 5 (C), by comparing the generated MAC_P with the MAC_P value extracted from the EAP response message The integrity of the message is verified (S875). If the verification is successful, the authentication server (AAA server) 830 transmits a Diamete / EAP-Success message containing the success message to the Diameter protocol to the E-SN (C) 820 (S880), and the E-SN ( C) 820 transmits the PMM / EAP-Success message converted to the PMM protocol to the user terminal (UE) 810 (S885).

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기와 같은 본 발명은, 이동통신 시스템에서 싱글 EAP 메시지를 이용하여 장치 인증 매개체와 사용자 인증 매개체를 함께 처리함으로써 장치 인증과 사용자 인증을 동시에 수행할 수 있는 싱글 EAP 장치/사용자 인증 방법 및 장치를 제공하는 효과가 있다. As described above, the present invention provides a single EAP device / user authentication method and apparatus capable of simultaneously performing device authentication and user authentication by processing a device authentication medium and a user authentication medium together using a single EAP message in a mobile communication system. It is effective.

특히, 본 발명은 장치 인증 매개체와 사용자 인증 매개체를 하나의 매개체로 암호화하여 장치 인증과 사용자 인증을 하나의 싱글 EAP 메시지로 수행할 수 있도록 함으로써, 인증 및 보안의 비도를 높이고 무선 자원을 효율적으로 이용할 수 있는 효과가 있다. In particular, the present invention encrypts the device authentication medium and the user authentication medium into a single medium so that device authentication and user authentication can be performed as a single EAP message, thereby increasing authentication and security, and efficiently using radio resources. It can be effective.

또한, 본 발명은 하나의 싱글 EAP 메시지로 장치/사용자 인증을 수행함으로써 더블 EAP 인증 방식에 비하여 무선/유선 구간에서의 인증 신호 송수신 회수를 감소시키고, 그에 따라 장치/사용자 인증의 처리 시간을 단축할 수 있는 효과가 있다. In addition, the present invention reduces the number of times of authentication signal transmission and reception in the wireless / wired interval compared to the double EAP authentication method by performing the device / user authentication with a single EAP message, thereby reducing the processing time of the device / user authentication It can be effective.

Claims (38)

패킷 이동통신을 수행하는 단말에 대하여 장치 및 사용자 인증을 수행하는 인증 서버로서, An authentication server for performing device and user authentication for a terminal performing packet mobile communication, 상기 단말에 대한 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부;A storage unit which stores a device authentication medium and a user authentication medium for the terminal; 상기 단말로 송신할 랜덤 값을 생성하고, 상기 랜덤 값 정보를 포함하는 요청 메시지를 생성하여 상기 단말로 송신하는 메시지 생성부; A message generator for generating a random value to be transmitted to the terminal, generating a request message including the random value information, and transmitting the generated request message to the terminal; 상기 단말로부터 상기 요청 메시지에 대한 응답 메시지를 수신하고, 상기 수신된 응답 메시지로부터 단말인증코드를 추출하는 메시지 처리부; 및 A message processor for receiving a response message to the request message from the terminal and extracting a terminal authentication code from the received response message; And 상기 랜덤 값, 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하고, 상기 생성된 단말인증코드와 상기 추출된 단말인증코드를 비교함으로써 상기 단말에 대한 장치 및 사용자 인증을 수행하는 인증부Authentication unit for generating a terminal authentication code from the random value, the device authentication medium and the user authentication medium, and performing the device and user authentication for the terminal by comparing the generated terminal authentication code and the extracted terminal authentication code 를 포함하는 인증 서버.Authentication server comprising a. 제 1 항에 있어서, The method of claim 1, 상기 응답 메시지로부터 추출된 단말인증코드는, Terminal authentication code extracted from the response message, 상기 단말에 저장된 장치인증 매개체와 사용자인증 매개체 및 상기 단말이 상기 인증 서버로부터 수신한 요청 메시지에 포함된 랜덤 값으로부터 생성된 것을 특징으로 하는 인증 서버.And a device authentication medium and a user authentication medium stored in the terminal, and a random value included in a request message received by the terminal from the authentication server. 제 1 항 또는 제 2 항에 있어서, The method according to claim 1 or 2, 상기 저장부는, The storage unit, 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체를 저장하며, Stores the terminal authentication code generation medium for generating the terminal authentication code, 상기 인증부는, The authentication unit, 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고, 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부; 및A device and a user authentication medium generation unit for generating a preliminary authentication key by encrypting the random value and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium; And 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부를 포함하는 것을 특징으로 하는 인증 서버.And a terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium. 제 3 항에 있어서, The method of claim 3, wherein 상기 예비 인증키와 상기 장치 및 사용자 인증 매개체는, The preliminary authentication key and the device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 단말인증코드는, The terminal authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 인증 서버.Authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption method. 제 3 항에 있어서, The method of claim 3, wherein 상기 메시지 처리부는, The message processing unit, 상기 응답 메시지로부터 메시지인증코드를 추출하며, 상기 장치 및 사용자 인증 매개체와 상기 응답 메시지의 패킷 길이로부터 메시지인증코드를 생성하고, 상기 생성된 메시지인증코드와 상기 추출된 메시지 인증코드를 비교함으로써 상기 응답 메시지의 무결성을 검증하는 검증부Extracting a message authentication code from the response message, generating a message authentication code from the packet length of the response message and the device and user authentication medium, and comparing the generated message authentication code with the extracted message authentication code; Verification unit to verify the integrity of the message 를 더 포함하는 인증 서버.Authentication server further comprising. 제 5 항에 있어서, The method of claim 5, 상기 검증부는, The verification unit, 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부; 및 A verification medium generator for encrypting the device and the user authentication medium to generate a verification medium for verifying packet data integrity of the response message; And 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부Message authentication code generation unit for generating a message authentication code by encrypting the verification medium and the packet length of the response message 를 포함하는 것을 특징으로 하는 인증 서버.Authentication server comprising a. 제 6 항에 있어서, The method of claim 6, 상기 검증 매개체는, The verification medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 메시지인증코드는, The message authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 인증 서버.Authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption method. 패킷 이동통신을 통해 인증 서버에 접속하여 장치 및 사용자 인증을 받는 단말로서, A terminal that receives device and user authentication by accessing an authentication server through packet mobile communication, 장치인증 매개체와 사용자인증 매개체를 저장하는 저장부;A storage unit for storing the device authentication medium and the user authentication medium; 상기 인증 서버로부터 수신한 요청 메시지로부터 상기 인증 서버에서 생성한 랜덤 값을 추출하는 메시지 처리부;A message processing unit which extracts a random value generated by the authentication server from the request message received from the authentication server; 상기 랜덤 값, 상기 장치인증 매개체 및 상기 사용자인증 매개체로부터 단말인증코드를 생성하는 인증키 생성부; 및Authentication key generation unit for generating a terminal authentication code from the random value, the device authentication medium and the user authentication medium; And 상기 단말인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신하는 메시지 생성부Message generation unit for generating a response message containing the terminal authentication code and transmits to the authentication server 를 포함하는 단말.Terminal comprising a. 제 8 항에 있어서, The method of claim 8, 상기 저장부는, The storage unit, 상기 단말인증코드 생성을 위한 단말인증코드 생성 매개체를 저장하며, Stores the terminal authentication code generation medium for generating the terminal authentication code, 상기 인증키 생성부는, The authentication key generation unit, 상기 랜덤 값과 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고, 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 장치 및 사용자 인증 매개체 생성부; 및A device and a user authentication medium generation unit for generating a preliminary authentication key by encrypting the random value and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium; And 상기 장치 및 사용자 인증 매개체와 상기 단말인증코드 생성 매개체를 암호화하여 단말인증코드를 생성하는 단말인증코드 생성부Terminal authentication code generation unit for generating a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium 를 포함하는 것을 특징으로 하는 단말.Terminal comprising a. 제 9 항에 있어서, The method of claim 9, 상기 예비 인증키와 상기 장치 및 사용자 인증 매개체는, The preliminary authentication key and the device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 단말인증코드는, The terminal authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 단말.Terminal, characterized in that it is generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption scheme. 제 9 항에 있어서, The method of claim 9, 상기 인증키 생성부는,The authentication key generation unit, 상기 장치 및 사용자 인증 매개체를 암호화하여 상기 응답 메시지의 패킷 데이터 무결성을 검증하기 위한 검증 매개체를 생성하는 검증 매개체 생성부; 및A verification medium generator for encrypting the device and the user authentication medium to generate a verification medium for verifying packet data integrity of the response message; And 상기 검증 매개체와 상기 응답 메시지의 패킷 길이를 암호화하여 메시지인증코드를 생성하는 메시지인증코드 생성부를 더 포함하며, Further comprising a message authentication code generation unit for generating a message authentication code by encrypting the packet length of the verification medium and the response message, 상기 메시지 생성부는, The message generator, 상기 단말인증코드 및 상기 메시지인증코드를 포함하는 응답 메시지를 생성하여 상기 인증 서버로 송신하는 것을 특징으로 하는 단말. And generating a response message including the terminal authentication code and the message authentication code and transmitting the response message to the authentication server. 제 11 항에 있어서, The method of claim 11, 상기 검증 매개체는, The verification medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 메시지인증코드는, The message authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 단말.Terminal, characterized in that it is generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption scheme. IP 기반의 패킷 이동통신을 수행하는 장치 및 사용자 인증 시스템으로서, An apparatus and user authentication system for performing IP-based packet mobile communication, 제1 장치 인증 매개체 및 제1 사용자 인증 매개체를 암호화하여 제1 장치 및 사용자 인증 매개체를 생성하고, 상기 제1 장치 및 사용자 인증 매개체로부터 생성된 제1 단말인증코드 포함하는 단말 인증 메시지를 생성하여 인증 서버로 송신하는 단말; 및Encrypts the first device authentication medium and the first user authentication medium to generate a first device and a user authentication medium, and generates and authenticates a terminal authentication message including a first terminal authentication code generated from the first device and the user authentication medium A terminal for transmitting to a server; And 상기 제1 장치 인증 매개체와 동일한 제2 장치 인증 매개체 및 상기 제1 사용자 인증 매개체와 동일한 제2 사용자 인증 매개체를 저장하며, 상기 제2 장치 인증 매개체 및 제2 사용자 인증 매개체를 암호화하여 제2 장치 및 사용자 인증 매개체를 생성하고, 상기 제2 장치 및 사용자 인증 매개체로부터 생성된 제2 단말인증코드를 상기 단말 인증 메시지에 포함된 제1 단말인증코드와 비교함으로써 상기 단말에 대한 장치 및 사용자 인증을 수행하는 인증 서버Storing a second device authentication medium that is identical to the first device authentication medium and a second user authentication medium that is identical to the first user authentication medium, encrypting the second device authentication medium and the second user authentication medium, Generating a user authentication medium and comparing the second terminal authentication code generated from the second device and the user authentication medium with the first terminal authentication code included in the terminal authentication message to perform device and user authentication for the terminal. Authentication server 를 포함하는 장치 및 사용자 인증 시스템.Device and user authentication system comprising a. 제 13 항에 있어서, The method of claim 13, 상기 단말은, The terminal, 상기 인증 서버가 생성하여 송신한 랜덤 값과 상기 제1 장치 인증 매개체를 암호화하여 제1 예비 인증키를 생성하고, 상기 제1 예비 인증키와 상기 제1 사용자 인증 매개체를 암호화하여 제1 장치 및 사용자 인증 매개체를 생성하며, Encrypts the random value generated by the authentication server and the first device authentication medium to generate a first preliminary authentication key, encrypts the first preliminary authentication key and the first user authentication medium, and then encrypts the first device and the user. Create an authentication medium, 상기 인증 서버는 The authentication server 상기 생성한 랜덤 값과 상기 제2 장치 인증 매개체를 암호화하여 제2 예비 인증키를 생성하고, 상기 제2 예비 인증키와 상기 제2 사용자 인증 매개체를 암호화하여 제2 장치 및 사용자 인증 매개체를 생성하는 것을 특징으로 하는 장치 및 사용자 인증 시스템.Generating a second preliminary authentication key by encrypting the generated random value and the second device authentication medium, and generating a second device and a user authentication medium by encrypting the second preliminary authentication key and the second user authentication medium. Device and user authentication system, characterized in that. 제 14 항에 있어서, The method of claim 14, 상기 제1 예비 인증키, 상기 제2 예비 인증키, 상기 제1 장치 및 사용자 인증 매개체, 상기 제2 장치 및 사용자 인증 매개체는, The first preliminary authentication key, the second preliminary authentication key, the first device and the user authentication medium, the second device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 시스템.Device and user authentication system, characterized in that generated by the AES (Advanced Encryption Standard) encryption scheme. 제 14 항 또는 제 15 항에 있어서, The method according to claim 14 or 15, 상기 제1 단말인증코드는, The first terminal authentication code, 상기 제1 장치 및 사용자 인증 매개체 및 상기 제1 단말인증코드 생성을 위하여 상기 단말에 저장된 고정 값인 제1 단말인증코드 생성 매개체로부터 생성되며,It is generated from the first device and the user authentication medium and the first terminal authentication code generating medium which is a fixed value stored in the terminal for generating the first terminal authentication code, 상기 제2 단말인증코드는, The second terminal authentication code, 상기 제2 장치 및 사용자 인증 매개체 및 상기 제2 단말인증코드 생성을 위하여 상기 인증 서버에 상기 제1 단말인증코드 생성 매개체와 동일한 고정 값으로 저장된 제2 단말인증코드 생성 매개체로부터 생성되는 것을 특징으로 하는 장치 및 사용자 인증 시스템.Characterized in that the second device and the user authentication medium and the second terminal authentication code for generating the second terminal authentication code generating medium stored in the same fixed value as the first terminal authentication code generating medium in the authentication server, characterized in that the generated Device and user authentication system. 제 16 항에 있어서, The method of claim 16, 상기 제1 단말인증코드 및 제2 단말인증코드는, The first terminal authentication code and the second terminal authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 시스템.Device and user authentication system, characterized in that generated by the CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption scheme. 제 17 항에 있어서, The method of claim 17, 상기 단말 및 상기 인증 서버는, The terminal and the authentication server, EAP(Extensible Authentication Protocol)를 이용하여 장치 및 사용자 인증을 수행하는 것을 특징으로 하는 장치 및 사용자 인증 시스템.Device and user authentication system characterized in that the device and user authentication using the EAP (Extensible Authentication Protocol). 패킷 이동통신을 수행하는 단말에 대하여 EAP(Extensible Authentication Protocol)에 따른 장치 및 사용자 인증을 수행하는 인증 서버로서, An authentication server that performs device and user authentication according to EAP (Extensible Authentication Protocol) for a terminal performing packet mobile communication. 상기 단말에 대한 장치인증 매개체와 사용자인증 매개체 및 서버 인증코드 생성 매개체를 저장하는 저장부; A storage unit storing a device authentication medium, a user authentication medium, and a server authentication code generation medium for the terminal; 랜덤키를 생성하는 랜덤키 생성부; Random key generation unit for generating a random key; 상기 랜덤키와 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고, 상기 예비 인증키와 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 인증키 생성부; An authentication key generation unit for generating a preliminary authentication key by encrypting the random key and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium; 상기 장치 및 사용자 인증 매개체와 상기 서버 인증코드 생성 매개체를 암호화하여 서버 인증코드를 생성하는 인증코드 생성부; An authentication code generator for encrypting the device and the user authentication medium and the server authentication code generation medium to generate a server authentication code; 상기 랜덤키 및 상기 서버 인증코드를 포함하는 EAP 요청 메시지를 생성하는 EAP 요청 메시지 생성부; 및 An EAP request message generation unit generating an EAP request message including the random key and the server authentication code; And 상기 생성된 EAP 요청 메시지를 상기 단말로 송신하고 상기 단말로부터 상기 EAP 요청 메시지에 대한 EAP 응답 메시지를 수신하는 송수신부Transmitting and receiving unit for transmitting the generated EAP request message to the terminal and receives an EAP response message for the EAP request message from the terminal 를 포함하는 장치 및 사용자 인증 서버.Device and user authentication server comprising a. 제 19 항에 있어서, The method of claim 19, 상기 예비 인증키, 상기 장치 및 사용자 인증 매개체는, The preliminary authentication key, the device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 서버 인증코드는, The server authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 서버.Device and user authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption. 제 19 항에 있어서, The method of claim 19, 상기 인증키 생성부는, The authentication key generation unit, 상기 장치 및 사용자 인증 매개체를 암호화함으로써 메시지 검증 매개체를 생성하며, Generate a message verification agent by encrypting the device and user authentication agent, 상기 인증코드 생성부는, The authentication code generation unit, 상기 메시지 검증 매개체와 상기 EAP 요청 메시지의 패킷 길이를 암호화함으로써 요청 메시지 인증 코드를 생성하며, Generate a request message authentication code by encrypting the message verification medium and the packet length of the EAP request message, 상기 메시지 생성부는, The message generator, 상기 랜덤키, 상기 서버 인증코드 및 상기 요청 메시지 인증 코드를 포함하는 EAP 요청 메시지를 생성하는 것을 특징으로 하는 장치 및 사용자 인증 서버.And an EAP request message including the random key, the server authentication code, and the request message authentication code. 제 21 항에 있어서, The method of claim 21, 상기 메시지 검증 매개체는, The message verification medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 요청 메시지 인증 코드는, The request message authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 서버.Device and user authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption. 제 19 항에 있어서, The method of claim 19, 상기 저장부는 단말 인증코드 생성 매개체를 더 저장하며, The storage unit further stores the terminal authentication code generation medium, 상기 EAP 응답 메시지로부터 단말 인증코드를 추출하는 메시지 처리부; 및 A message processing unit which extracts a terminal authentication code from the EAP response message; And 상기 인증키 생성부에서 생성된 장치 및 사용자 인증 매개체와 상기 단말 인증코드 생성 매개체를 암호화하여 단말 인증코드를 생성하고, 상기 생성된 단말 인증코드와 상기 추출된 단말 인증코드를 비교함으로써 상기 단말에 대한 장치 및 사용자 인증을 수행하는 인증부The terminal authentication code is generated by encrypting the device and user authentication medium generated by the authentication key generation unit and the terminal authentication code generation medium, and comparing the generated terminal authentication code with the extracted terminal authentication code for the terminal. Authentication unit that performs device and user authentication 를 더 포함하는 장치 및 사용자 인증 서버.Device and user authentication server further comprising. 제 23 항에 있어서, The method of claim 23, 상기 단말 인증 코드는, The terminal authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 서버.Device and user authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption. 제 21 항에 있어서, The method of claim 21, 상기 메시지 처리부는 상기 EAP 응답 메시지로부터 응답 메시지 인증코드를 추출하며, The message processing unit extracts a response message authentication code from the EAP response message, 상기 인증키 생성부에서 생성된 메시지 검증 매개체와 상기 EAP 응답 메시지의 패킷 길이를 암호화함으로써 응답 메시지 인증코드를 생성하고, 상기 생성된 응답 메시지 인증코드와 상기 추출된 응답 메시지 인증코드를 비교함으로써 상기 EAP 응답 메시지의 무결성을 검증하는 검증부Generating the response message authentication code by encrypting the message verification medium generated by the authentication key generation unit and the packet length of the EAP response message, and comparing the generated response message authentication code with the extracted response message authentication code. Verification unit to verify the integrity of the response message 를 더 포함하는 장치 및 사용자 인증 서버.Device and user authentication server further comprising. 제 25 항에 있어서, The method of claim 25, 상기 응답 메시지 인증 코드는, The response message authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 서버.Device and user authentication server, characterized in that generated by the Cipher-based Message Authentication Code-Advanced Encryption Standard (CMAC-AES) encryption. 패킷 이동통신을 통해 인증 서버에 접속하여 EAP(Extensible Authentication Protocol)에 따른 장치 및 사용자 인증을 수행하는 단말로서, A terminal that accesses an authentication server through packet mobile communication and performs device and user authentication according to EAP (Extensible Authentication Protocol), 상기 인증 서버로부터 EAP 요청 메시지를 수신하고 상기 EAP 요청 메시지에 대한 EAP 응답 메시지를 상기 인증 서버로 송신하는 송수신부; A transceiver for receiving an EAP request message from the authentication server and transmitting an EAP response message to the authentication server; 상기 EAP 요청 메시지로부터 상기 인증 서버에서 생성된 랜덤키 및 서버 인증코드를 추출하는 메시지 처리부;A message processing unit which extracts a random key and a server authentication code generated by the authentication server from the EAP request message; 장치인증 매개체와 사용자인증 매개체 및 서버 인증코드 생성 매개체를 저장하는 저장부; A storage unit storing a device authentication medium, a user authentication medium, and a server authentication code generation medium; 상기 랜덤키 및 상기 장치인증 매개체를 암호화하여 예비 인증키를 생성하고, 상기 예비 인증키 및 상기 사용자인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 인증키 생성부; 및An authentication key generation unit for generating a preliminary authentication key by encrypting the random key and the device authentication medium, and generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium; And 상기 장치 및 사용자 인증 매개체와 상기 서버 인증코드 생성 매개체를 암호화하여 서버 인증코드를 생성하고, 상기 생성된 서버 인증코드와 상기 추출된 서버 인증코드를 비교함으로써 장치 및 사용자 인증을 수행하는 인증부An authentication unit for generating a server authentication code by encrypting the device and the user authentication medium and the server authentication code generation medium, and performing the device and user authentication by comparing the generated server authentication code and the extracted server authentication code 를 포함하는 장치 및 사용자 인증 단말.Device and user authentication terminal comprising a. 제 27 항에 있어서, The method of claim 27, 상기 예비 인증키, 상기 장치 및 사용자 인증 매개체는, The preliminary authentication key, the device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 서버 인증코드는, The server authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 단말.Device and user authentication terminal, characterized in that generated by the CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption scheme. 제 27 항에 있어서, The method of claim 27, 메시지 처리부는 상기 EAP 요청 메시지로부터 요청 메시지 인증코드를 추출하며, The message processing unit extracts a request message authentication code from the EAP request message, 상기 인증키 생성부는 상기 장치 및 사용자 인증 매개체를 암호화하여 요청 메시지 검증 매개체를 생성하며, The authentication key generation unit encrypts the device and the user authentication medium to generate a request message verification medium, 상기 요청 메시지 검증 매개체와 상기 EAP 요청 메시지의 패킷 길이를 암호화함으로써 요청 메시지 인증 코드를 생성하며, 상기 생성된 요청 메시지 인증코드와 상기 추출된 요청 메시지 인증코드를 비교함으로써 상기 EAP 요청 메시지의 무결성을 검증하는 검증부Generating a request message authentication code by encrypting the request message verification medium and the packet length of the EAP request message, and verifying the integrity of the EAP request message by comparing the generated request message authentication code with the extracted request message authentication code. Verification unit 를 더 포함하는 장치 및 사용자 인증 단말. Device and user authentication terminal further comprising. 제 29 항에 있어서, The method of claim 29, 상기 메시지 검증 매개체는, The message verification medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되며, Generated by AES (Advanced Encryption Standard) encryption method. 상기 요청 메시지 인증 코드는, The request message authentication code is, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 단말.Device and user authentication terminal, characterized in that generated by the CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption scheme. 제 29 항에 있어서, The method of claim 29, 상기 저장부는, The storage unit, 단말 인증코드 생성 매개체를 더 저장하며, 상기 장치 및 사용자 인증 매개체와 상기 단말 인증코드 생성 매개체를 암호화하여 단말 인증코드를 생성하고, 상기 메시지 검증 매개체와 상기 EAP 응답 메시지의 패킷 길이를 암호화하여 응답 메시지 인증코드를 생성하는 인증코드 생성부; 및The apparatus further stores a terminal authentication code generation medium, generates a terminal authentication code by encrypting the device and the user authentication medium and the terminal authentication code generation medium, encrypts the packet length of the message verification medium and the EAP response message, and generates a response message. Authentication code generation unit for generating an authentication code; And 상기 인증코드 생성부에서 생성된 단말 인증코드 및 응답 메시지 인증코드를 포함하는 EAP 응답 메시지를 생성하는 메시지 생성부Message generation unit for generating an EAP response message including the terminal authentication code and the response message authentication code generated by the authentication code generation unit 를 더 포함하는 장치 및 사용자 인증 단말.Device and user authentication terminal further comprising. 제 31 항에 있어서, The method of claim 31, wherein 상기 단말 인증코드 및 응답 메시지 인증코드는, The terminal authentication code and response message authentication code, CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 단말.Device and user authentication terminal, characterized in that generated by the CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption scheme. 싱글 EAP(Extensible Authentication Protocol) 메시지를 이용하여 장치 및 사용자 인증을 수행하는 방법으로서, A method of performing device and user authentication using a single EAP (Extensible Authentication Protocol) message. 장치 인증 매개체 및 랜덤 값을 암호화하여 예비 인증키를 생성하는 단계;Generating a preliminary authentication key by encrypting a device authentication medium and a random value; 상기 예비 인증키 및 사용자 인증 매개체를 암호화하여 장치 및 사용자 인증 매개체를 생성하는 단계; Generating a device and a user authentication medium by encrypting the preliminary authentication key and the user authentication medium; 상기 장치 및 사용자 인증 매개체를 이용하여 제1 장치 및 사용자 인증코드를 생성하는 단계;Generating a first device and a user authentication code using the device and a user authentication medium; 수신된 EAP 메시지로부터 제2 장치 및 사용자 인증코드를 추출하는 단계; 및Extracting a second device and a user authentication code from the received EAP message; And 상기 제1 장치 및 사용자 인증코드와 상기 제2 장치 및 사용자 인증코드를 비교함으로써 장치 및 사용자 인증을 수행하는 단계Performing device and user authentication by comparing the first device and user authentication code with the second device and user authentication code 를 포함하는 장치 및 사용자 인증 방법.Device and user authentication method comprising a. 제 33 항에 있어서, The method of claim 33, wherein 상기 예비 인증키와 상기 장치 및 사용자 인증 매개체는, The preliminary authentication key and the device and the user authentication medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 방법.Device and user authentication method, characterized in that generated by the AES (Advanced Encryption Standard) encryption method. 제 34 항에 있어서, The method of claim 34, wherein 상기 제1 장치 및 사용자 인증코드는, The first device and the user authentication code, 상기 장치 및 사용자 인증 매개체를 입력 키로 하고 '상기 장치 인증 매개체, 상기 사용자 인증 매개체, 상기 랜덤 값 및 인증코드 생성 매개체의 스트링 연결'을 입력 문자열로 하는 CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 방법.CMAC-AES (Cipher-based Message Authentication Code-Advanced) using the device and the user authentication medium as an input key and 'string concatenation of the device authentication medium, the user authentication medium, the random value and the authentication code generation medium' as an input string. Encryption Standard) A device and a user authentication method characterized by being generated by an encryption method. 제 33 항에 있어서, The method of claim 33, wherein 상기 장치 및 사용자 인증 매개체를 암호화하여 메시지 검증 매개체를 생성하는 단계;Encrypting the device and a user authentication medium to generate a message verification medium; 상기 메시지 검증 매개체와 상기 수신된 EAP 메시지의 패킷 길이를 이용하여 제1 EAP 메시지 인증코드를 생성하는 단계;Generating a first EAP message authentication code using the message verification medium and the packet length of the received EAP message; 상기 수신된 EAP 메시지로부터 제2 EAP 메시지 인증코드를 추출하는 단계; 및 Extracting a second EAP message authentication code from the received EAP message; And 상기 제1 EAP 메시지 인증코드와 상기 제2 EAP 메시지 인증코드를 비교함으로써 상기 수신된 EAP 메시지의 데이터 무결성을 검증하는 단계Verifying data integrity of the received EAP message by comparing the first EAP message authentication code with the second EAP message authentication code. 를 더 포함하는 장치 및 사용자 인증 방법.Device and user authentication method further comprising. 제 36 항에 있어서, The method of claim 36, 상기 메시지 검증 매개체는, The message verification medium, AES(Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 방법.Device and user authentication method, characterized in that generated by the AES (Advanced Encryption Standard) encryption method. 제 37 항에 있어서, The method of claim 37, wherein 상기 제1 EAP 메시지 인증코드는, The first EAP message authentication code, 상기 메시지 검증 매개체를 입력 키로 하고 '상기 수신된 EAP 메시지의 패킷 길이 및 상기 랜덤 값의 스트링 연결'을 입력 문자열로 하는 CMAC-AES(Cipher-based Message Authentication Code - Advanced Encryption Standard) 암호화 방식에 의해 생성되는 것을 특징으로 하는 장치 및 사용자 인증 방법.Generated by CMAC-AES (Cipher-based Message Authentication Code-Advanced Encryption Standard) encryption method using the message verification medium as an input key and 'string concatenation of the packet length and the random value of the received EAP message' as an input string. Device and user authentication method characterized in that.
KR20060096166A 2006-09-29 2006-09-29 Method and apparatus for device and user authentication based on single eap message in mobile communication system KR100789920B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20060096166A KR100789920B1 (en) 2006-09-29 2006-09-29 Method and apparatus for device and user authentication based on single eap message in mobile communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20060096166A KR100789920B1 (en) 2006-09-29 2006-09-29 Method and apparatus for device and user authentication based on single eap message in mobile communication system

Publications (1)

Publication Number Publication Date
KR100789920B1 true KR100789920B1 (en) 2008-01-02

Family

ID=39216098

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20060096166A KR100789920B1 (en) 2006-09-29 2006-09-29 Method and apparatus for device and user authentication based on single eap message in mobile communication system

Country Status (1)

Country Link
KR (1) KR100789920B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103905401A (en) * 2012-12-27 2014-07-02 中国移动通信集团公司 Identity authentication method and device
KR101851398B1 (en) * 2011-10-14 2018-04-23 삼성전자주식회사 Apparus and method for authorizing combining code using quick response code

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050107537A (en) * 2004-05-07 2005-11-11 삼성전자주식회사 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050107537A (en) * 2004-05-07 2005-11-11 삼성전자주식회사 Method and apparatus for encrypting authorization message of user and method for generating a secure key using the same

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101851398B1 (en) * 2011-10-14 2018-04-23 삼성전자주식회사 Apparus and method for authorizing combining code using quick response code
CN103905401A (en) * 2012-12-27 2014-07-02 中国移动通信集团公司 Identity authentication method and device

Similar Documents

Publication Publication Date Title
US10425808B2 (en) Managing user access in a communications network
US7546459B2 (en) GSM-like and UMTS-like authentication in a CDMA2000 network environment
JP4160049B2 (en) Method and system for providing access to services of a second network through a first network
JP4575679B2 (en) Wireless network handoff encryption key
US8887251B2 (en) Handover method of mobile terminal between heterogeneous networks
US7984486B2 (en) Using GAA to derive and distribute proxy mobile node home agent keys
KR20060067263A (en) Fast re-authentication method when handoff in wlan-umts interworking network
US8031672B2 (en) System and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network
CN101160924A (en) Method for distributing certificates in a communication system
KR20070100932A (en) Method and apparatus for providing bootstrapping procedures in a communication network
KR20070116275A (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
KR20070051233A (en) System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system
US7715562B2 (en) System and method for access authentication in a mobile wireless network
CN104982053A (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
Sharma et al. Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks
JP6123035B1 (en) Protection of WLCP message exchange between TWAG and UE
EP1624639B1 (en) Sim-based authentication
CN101079786B (en) Interconnection system and authentication method and terminal in interconnection system
US9532218B2 (en) Implementing a security association during the attachment of a terminal to an access network
KR100789920B1 (en) Method and apparatus for device and user authentication based on single eap message in mobile communication system
KR100668660B1 (en) User authentication method for roaming service between portable internet and 3g network, and router of performing the same
Haddar et al. Securing fast pmipv6 protocol in case of vertical handover in 5g network
Samoui et al. Improved IPSec tunnel establishment for 3GPP–WLAN interworking
Krichene et al. Securing roaming and vertical handover between Mobile WiMAX and UMTS
JP2008182695A (en) Method and system for providing access to services of second network via first network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20101201

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee