KR100813295B1 - 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법 - Google Patents

무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법 Download PDF

Info

Publication number
KR100813295B1
KR100813295B1 KR1020050013113A KR20050013113A KR100813295B1 KR 100813295 B1 KR100813295 B1 KR 100813295B1 KR 1020050013113 A KR1020050013113 A KR 1020050013113A KR 20050013113 A KR20050013113 A KR 20050013113A KR 100813295 B1 KR100813295 B1 KR 100813295B1
Authority
KR
South Korea
Prior art keywords
security association
message
base station
subscriber station
authentication
Prior art date
Application number
KR1020050013113A
Other languages
English (en)
Other versions
KR20060042045A (ko
Inventor
윤미영
문정모
윤철식
김영진
Original Assignee
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
삼성전자주식회사
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 삼성전자주식회사, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 한국전자통신연구원
Publication of KR20060042045A publication Critical patent/KR20060042045A/ko
Application granted granted Critical
Publication of KR100813295B1 publication Critical patent/KR100813295B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Abstract

본 발명은 무선 휴대 인터넷 시스템에서의 EAP 인증을 이용한 보안관계 협상 방법에 관한 것이다.
본 발명에 따른 보안 관계 협상 방법은, AAA 키로부터 생성된 마스터키를 이용하여 프리 마스터키를 생성하고, 상기 프리 마스터키로 인증키를 생성한 후, 보안관계 메시지를 이용하여 기지국과 가입자 단말간의 보안관계 협상을 수행한다. 가입자 단말은 보안관계 능력 요구 메시지를 통해 가입자 단말의 보안 능력 정보를 기지국에 제공하면, 기지국이 보안관계 능력 응답 메시지를 통해 보안관계 식별자와 부가 특성에 관한 보안관계 디스크립터를 가입자 단말에 전송하여 가입자 단말의 보안관계 능력을 수용한다.
전술한 구성에 의하여 본 발명은 핸드오버후에도 추가적인 메시지 교환없이 EAP 만을 위한 가입자 인증을 효과적으로 수행할 수 있다.
EAP, 무선 휴대 인터넷, PKM, 보안관계 능력

Description

무선 휴대 인터넷 시스템에서 EAP를 이용한 보안 관계 협상 방법{Method for security association negotiation with Extensible Authentication Protocol in wireless portable internet system}
도 1은 본 발명의 실시예에 따른 무선 휴대 인터넷의 개요를 도시한 개략도이다.
도 2는 도 1에 도시된 무선 휴대 인터넷 시스템의 계층 구조를 도시한 계층도이다.
도 3은 도 1에 도시된 무선 휴대 인터넷 시스템에서 기지국과 가입자 단말의 연결구조를 도시한 개략도이다.
도 4는 본 발명의 실시예에서 EAP를 이용한 인증키를 생성하는 절차를 도시한 흐름도이다.
도 5는 본 발명의 실시예에 따라 인증 처리 절차를 도시한 메시지 흐름이다.
도 6 내지 도 8은 본 발명의 실시예에 따른 보안관계 협상을 위한 메시지의 구성을 도시한 도면이다.
도 9는 본 발명의 실시예에 따라서, 핸드오버 후에 EAP 인증 및 보안 관계 협상 방법을 도시한 개략도이다.
도 10은 본 발명의 실시예에 따른 보안 관계 협상 방법을 도시한 흐름도이 다.
도 11은 핸드오버가 발생한 경우, 본 발명의 실시예에 따라 보안 관계 협상을 수행하는 방법을 도시한 흐름도이다.
본 발명은 무선 휴대 인터넷 시스템에서 가입자 단말의 사용자를 인증하는 EAP 방식에서의 관계 협상 방법에 관한 것이다. 더욱 상세하게는, 본 발명은 휴대 인터넷 시스템에서 EAP(Extensible Authentication Protocol)만을 이용가능한 인증방식에서 추가적인 메시지 교환 없이 인증키를 생성할 수 있는 보안 관계 협상 방법에 관한 것이다.
무선 휴대 인터넷은 종래의 무선 LAN과 같이 고정된 액세스 포인트(Access Point:AP)를 이용하는 근거리 데이터 통신 방식에 이동성(mobility)을 더 지원하는 차세대 통신 방식이다. 이러한 무선 휴대 인터넷은 다양한 표준들이 제안되고 있으며, 현재 IEEE 802.16을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다.
이러한 IEEE 802.16에서 정의하는 인증(Authentication and authorization) 규격은 무선 네트워크로 구성된 광대역 네트워크를 대상으로 단말에 대한 인증 기능을 규격화하고 있다. 특히, IEEE 802.16의 프라이버시(privacy) 계층으로 규격화하여 정의하고 있는 가입자 단말(Subscriber Station, 이하 "SS"라고 함)에 대한 인증 기능은 주로 고정망에서의 사용자를 대상으로 하기 때문에 현재 이동 서비스 의 추세인 단말 또는 가입자의 이동성 지원에 적합하지 않다. 즉, 무선 휴대 인터넷 시스템에서 가입자 단말은 기지국간의 이동이 발생하며, 핸드오버가 발생한 경우에는 새로운 기지국과 인증키 생성과 보안관계 협상이 이뤄져야 하기 때문이다.
이동 단말 혹은 사용자를 인증하기 위한 방안으로 이동 단말의 인증서를 이용하는 방법(Public Key Management , 이하 PKM-RSA)과 이동 가입자를 인증하기 위한 방법(이하, PKM-EAP)들이 정의되고 있다. 이러한 인증 방법은 IEEE 802.16 규격의 이동 단말의 단말 인증서를 이용하여 단말을 인증하고 인증키(Authentication Key, 이하, AK)와 트래픽 암호화 키(Traffic Encryption Key, TEK)를 생성하는 PKMv1 프로토콜이 있다.
한편, 새롭게 정의된 PKMv2 프로토콜은 PKMv1프로토콜보다 다양한 인증 방식을 제공한다. 인증 주체를 기준으로 할때, 이동 단말만을 인증하는 PKM-RSA 방법, 이동 가입자만을 인증하는 PKM-EAP 방법, 이동 단말과 이동 가입자를 복합적으로 인증하는 PKM-RSA with EAP 방법등이 있다. 한편, PKMv2에서는 인증 설계의 기본 개념으로 이동 단말 혹은 사용자의 인증 후에 얻어지는 마스터 키(MK)를 이용하여 인증키를 유도하는 방식을 이용한다.
그러나, 종래 기술에 따르면, EAP와 같은 가입자 인증 방식은 이동 가입자에 대한 인증 후에 상기 마스터키와 기지국과 단말이 발생한 난수를 서로 교환한 후, 인증키를 생성 하고 있다. 즉, 전술한 PKMv2의 설계개념을 따르고 있지 않다. 따라서, 가입자 단말의 핸드오버가 발생한 경우에는, 추가적인 메시지 교환이 필요하며, 새로운 기지국과의 인증키를 생성하기 위해서는 인증 메시지를 통해 난수를 교환이 필요한 문제점이 존재한다.
이러한 문제점에 의해 종래 기술은 무선 휴대 인터넷 시스템에서 가입자 단말의 이동성을 저해하고, 데이터 송수신에 지연을 발생시킨다.
전술한 종래 기술의 문제점을 해결하기 위하여, 본 발명에서는 무선 휴대 인터넷 시스템에서 사용자 인증에서 필요한 보안관계 협상 방법을 제공한다.
또한, 본 발명은 PKMv2 프로토콜의 설계 개념에 부합하는 EAP만을 이용한 인증을 위한 방법을 제공하기 위하여 필요한 보안관계 협상을 위한 메시지와 처리 절차를 제공한다.
또한, 본 발명에서는 가입자 단말의 핸드오버 이후에도 추가적인 메시지 전송을 최소화하여 효율적인 사용자 인증 방법을 제공하는 보안관계 협상 방법을 제공한다.
전술한 본 발명의 기술적 과제를 해결하기 위하여, 본 발명의 한 특징에 따른 보안관계 협상 방법은, 기지국이 가입자 단말의 사용자를 인증하기 위한 인증키를 생성하는 단계; 인증키 생성 후, 상기 가입자 단말의 보안관계 능력 정보가 포함된 보안관계 능력 요구 메시지를 수신하는 단계; 상기 기지국이 상기 보안관계 능력 요구 메시지에 포함된 가입자 단말의 보안관계 능력을 수용할 수 있는지를 판단하는 단계; 및 상기 가입자 단말의 보안관계 능력을 수용할 수 있는 경우에, 상기 기지국이 상기 가입자 단말과의 보안관계를 위해 선택한 정보를 포함한 보안관 계 능력 응답 메시지를 상기 가입자 단말로 전송하는 단계를 포함한다.
또한, 본 발명의 다른 특징에 따른 보안관계 협상 방법은, 제 1 기지국이, 제 2 기지국으로 핸드오버한 가입자 단말의 제 1 인증키의 시드가 되는 마스터 키를 상기 제 2 기지국으로 전송하여 제 2 인증키를 생성하는 단계; 제 1 기지국이, 상기 가입자 단말과 이미 협상된 보안관계 능력 정보를 포함한 제 1 보안관계 디스크립터를 제 2 기지국에 제공하는 단계; 상기 가입자 단말이 제 2 기지국과 레인징 요청 메시지와 레인징 응답 메시지를 교환하는 단계; 상기 레인징 응답메시지를 이용하여, 상기 제 1 보안관계 디스크립터에 기초하여 생성된 제 2 보안관계 디스크립터를 상기 가입자 단말에 제공하여, 보안관계 능력을 만족하는지 확인하는 단계; 및 상기 보안관계 능력을 만족하는 경우, 가입자 단말이 제 2 보안관계 디스크립터의 보안관계 식별자에 대해 승인하는 단계를 포함한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다. (어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라 다른 소자를 사이에 두고 전기적으로 연결되어 있는 경우도 포함한다.)
이제 본 발명의 실시예에 따른 보안관계 협상 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 무선 휴대 인터넷의 개요를 도시한 개략도이다.
도 1에 도시된 바와 같이, 무선 휴대 인터넷 시스템은 기본적으로 가입자 단말(SS, 10), 가입자 단말(10)과 무선 통신을 수행하는 기지국(BS, 20, 21), 기지국(20, 21)에 접속되어 게이트웨이를 통해 접속된 라우터(30, 31) 및 라우터(30, 31)에 접속되어 가입자 단말(20, 21)에 대한 인증을 수행하는 인증 서버(AAA : Authentication Authorization and Accounting) 서버(40)를 포함한다.
종래의 IEEE 802.11과 같은 무선 LAN 방식은 고정된 액세스 포인트를 중심으로 근거리내에서 무선 통신이 가능한 데이터 통신 방식을 제공하고 있으나, 이는 가입자 단말의 이동성을 제공하는 것이 아니고, 단지 유선이 아닌 무선으로 근거리 데이터 통신을 지원한다는 한계를 가지고 있었다.
한편, IEEE 802.16 그룹 등에서 추진중인 무선 휴대 인터넷 시스템은 도 1에 도시된 가입자 단말(10)이 기지국(20)이 관장하는 셀에서 기지국(21)이 관장하는 셀로 이동하는 경우에도 그 이동성을 보장하여 끊기지 않는 데이터 통신 서비스를 제공하게 된다.
이러한 IEEE 802.16은 기본적으로 도시권 통신망(Metropolitan Area Network, MAN)을 지원하는 규격으로서, 구내 정보 통신망(LAN)과 광역 통신망(WAN)의 중간 정도의 지역을 망라하는 정보 통신망을 의미한다.
따라서, 무선 휴대 인터넷 시스템은 이동통신 서비스와 같이 가입자 단말(10)의 핸드오버를 지원하며, 가입자 단말의 이동에 따라 동적인 IP 어드레스 할당을 수행하게 된다.
여기서, 무선 휴대 인터넷 가입자 단말(10)과 기지국(20, 21)은 직교 주파수 분할 다중화(Orthogonal Frequency Division Multiple Access; 이하 OFDMA라고 함)방식으로 통신을 수행한다. OFDMA 방식은 복수의 직교주파수의 부반송파(sub carrier)를 복수의 서브 채널로 이용하는 주파수 분할 방식과, 시분할 방식(TDM) 방식을 결합한 다중화 방식이다. 이러한 OFDMA 방식은 본질적으로 다중 경로(multi path)에서 발생하는 페이딩(fading)에 강하며, 데이터 전송률이 높다.
한편, 가입자 단말(10)과 기지국(20, 21)은 통신을 시작하면서 가입자 단말(10)에 대한 인증을 위한 인증 모드를 협상하고, 협상 결과에 따라 선택된 방식의 인증 절차를 수행한다. 즉, 가입자 단말(10)과 기지국(20, 21)은 협상을 통해 종래의 IEEE 802.16 프라이버시 규격에 따른 디지털 인증서 기반의 인증 모드와 상위 계층의 표준화된 인증 프로토콜 기반의 인증 모드 중 하나를 선택하고, 선택된 인증 모드에 따라 가입자 단말(10)에 대한 인증 절차를 수행한다.
이 때, 상위 계층의 표준화된 인증 프로토콜은 EAP(Extensible Authentication Protocol) 프레임워크(framework)인 EAP-TLS(Transport Layer Security) 또는 EAP-TTLS(Tunneled TLS) 중 어느 하나일 수 있다.
한편, 가입자 단말(10)과 기지국(20, 21) 간의 인증 모드 협상에 따라 상위 계층의 표준화된 인증 프로토콜 기반의 인증 모드가 선택되면, 가입자 단말(10)과 기지국(20)은 상위 계층의 표준화된 인증 프로토콜 기반의 인증 절차를 수행하기 위한 준비를 한 후, 가입자 단말(10)은 인증을 위한 메시지를 생성하여 기지국(20)으로 전달하고, 기지국(20)은 해당 인증 서버인 AAA 서버(40)와의 상호 작용을 통해 가입자 단말(10)에 대한 인증을 수행한다.
도 2는 도 1에 도시된 무선 휴대 인터넷 시스템의 계층 구조를 도시한 계층도이다.
도 2에 도시된 바와 같이, IEEE 802.16의 무선 휴대 인터넷 시스템의 계층 구조는 크게 물리 계층(Physical Layer, L10)과 매체 접근 제어(Media Access Control; 이하 "MAC" 이라고 함) 계층(L21, L22, L23)으로 구분된다.
물리 계층(L10)은 변복조 및 코딩 등 통상의 물리 계층에서 수행하는 무선 통신 기능을 담당하고 있다.
한편, 무선 휴대 인터넷 시스템은 유선 인터넷 시스템과 같이 그 기능별로 세분화된 계층을 가지지 않고 하나의 MAC 계층에서 다양한 기능을 담당하게 된다.
그 기능별로 서브 계층을 살펴보면, MAC 계층은 프라이버시 서브계층(Privacy Sublayer, L21), MAC 공통부 서브계층(MAC Common Part Sublayer, L22), 서비스 특정 집합 서브계층(Service Specific Convergence Sublayer, L23)을 포함한다.
프라이버시 서브계층(L21)은 장치 인증 및 보안키 교환, 암호화 기능을 수행한다. 프라이버시 서브계층(L21)에서 장치에 대한 인증만이 수행되고, EAP와 같은 사용자 인증은 MAC의 상위 계층(도시 생략)에서 수행된다.
MAC 공통부 서브계층(L22)은 MAC 계층의 핵심적인 부분으로서 시스템 액세스, 대역폭 할당, 트래픽 연결(Traffic Connection) 설정 및 유지, QoS 관리에 관한 기능을 담당한다.
서비스 특정 집합 서브계층(L23)은 연속적인 데이터 통신에 있어서, 페이로드 헤더 서프레션(suppression) 및 QoS 맵핑 기능을 담당한다.
도 3은 도 1에 도시된 무선 휴대 인터넷 시스템에서 기지국(20, 21)과 가입자 단말(10)의 연결구조를 도시한 개략도이다.
도 3에 도시된 바와 같이, 가입자 단말(10)의 MAC 계층과 기지국(20, 21)의 MAC 계층은 트래픽 연결(Traffic Connection, C1)이라는 개념이 존재한다.
여기서, "트래픽 연결(C1)"이란 용어는 물리적 연결관계가 아니라 논리적 연결관계를 의미하는 것으로서, 하나의 서비스 플로우에 대하여 트래픽을 전송하기 위해 가입자 단말(10)과 기지국(20, 21)의 MAC 동위계층(peer)들 사이의 맵핑 관계로 정의된다.
따라서, 상기 트래픽 연결(C1) 상에서 정의되는 파라미터 또는 메시지는 MAC 동위 계층간의 기능을 정의한 것이며, 실제로는 그 파라미터 또는 메시지가 가공되어 프레임화되어 물리 계층을 거쳐 전송되고, 상기 프레임을 분석하여 MAC 계층에서 그 파라미터 또는 메시지에 대응하는 기능을 수행하게 되는 것이다.
그 밖에도 MAC 메시지는 각종 동작에 대한 요청(REQ), 응답(RSP), 확인(ACK)기능을 수행하는 다양한 메시지를 포함한다.
도 4는 본 발명의 실시예에서 EAP를 이용한 인증키를 생성하는 절차를 도시 한 흐름도이다.
가입자 단말(10)이 기지국과 접속을 시도하는 경우, AAA 서버(40)와 가입자 단말(10)간의 인증절차가 수행되고, 이로부터 AAA키가 생성된다(S10). 즉, 가입자 단말은 상위 인증 프로토콜인 EAP 전송 요구 메시지를 기지국에 전송하고, 인증 서버는 인증 및 권한 검증을 수행하여 생성된 AAA 키를 기지국과 단말에 분배하게 된다. 상기 AAA 키는 이후, 인증키(AK)의 시드로서 사용된다.
상기 AAA 키가 생성되면, AAA 키로부터 마스터 키(MK)를 생성한다. 상기 마스터키(MK)는 AAA키의 MSB(most significant bit)의 160 bit만을 취하여 생성될 수 있다(S20).
마스터 키(MK)가 생성되면, 가입자 단말 식별자와 기지국의 식별자, 예를 들어 MAC 주소를 이용하여 프리 마스터 키(PMK)를 생성한다(S30).
상기 프리 마스터 키(PMK)가 생성되면, 이로부터 EAP 인증을 위한 인증키(AK)가 가입자 단말과 기지국에서 생성된다. 상기 인증키를 가입자 단말과 기지국에 분배하게 된다. 본 발명의 실시예에서는 EAP 만을 이용한 인증에 대해 설명하였으나, 상기 인증키는 RSA 인증을 위한 필드를 가질수 있다. 본 발명의 실시예에서는 RSA 인증을 위한 필드는 NULL 값이 된다.
도 4에 도시된 실시예에서는 보안 관계(security association ; SA)에 대한 협상과 인증절차는 함께 이뤄지지 않고 분리하여 진행된다.
도 5는 본 발명의 실시예에 따라 인증 처리 절차를 도시한 메시지 흐름이다.
도 4에 도시된 인증키 생성은 가입자 단말(10)과, 기지국(20)간의 복수의 EAP-전송 메시지(EAP-Transfer Massage)의 송수신으로 이뤄진다. 가입자 단말(10)이 기지국(20)에 요청하는 EAP 메시지에는 인증을 요청한 단말이 지원하는 패킷 데이터, 암호화/인증 알고리즘에 대한 식별자, 단말의 Basic CID, 사용자 인증을 위한 인증 데이터인 EAP 페이로드를 포함한다. 한편 AAA 서버(40)(도시 생략)에서는 AAA 키를 분배받은 기지국(20)이 전송하는 EAP 메시지는, 단말과 공유한 암호 알고리즘과 인증 성공 여부, 인증키 유효 시간, 사용자 인증을 위한 EAP 페이로드값을 포함한다.
상기 EAP 메시지의 요청 및 응답은 인증키 생성까지 복수 번 수행될 수 있다. EAP 메시지의 교환후에 가입자에 대한 인증이 성공하면 마지막으로 EAP-전송 메시지(EAP-transfer massage)에 대한 인증 성공을 가입자 단말(10)에 전송하고, 도 4와 같이 가입자 단말(10)과 기지국(20)의 인증키(AK)를 생성하게 된다(S41, S42).
한편, 본 발명의 실시예에서는 인증키 생성 과정과 분리하여 보안 관계 협상을 수행한다(S50). 보안 관계 협상을 위하여, 본 발명의 실시예는 보안관계 능력 요구 메시지와 보안관계 능력 응답 메시지를 새롭게 정의한다.
가입자 단말(10)은 인증키(AK)를 이용하여 생성된 HMAC 튜플 TLV를 포함하는 보안관계(SA) 능력 요구 메시지를 기지국으로 송신한다. 기지국(20)은 HMAC 튜플의 적합성을 검사하고 보안관계 능력 응답 메시지를 이동 단말로 전송한다(205). 만약, 기지국이 이동 단말이 요구한 보안관계 능력 요구를 수용할 수 없으면 보안관계 능력 거부 메시지를 이동 단말로 전송한다.
상기 보안관계 협상을 통하여, 가입자 단말(10)과 기지국(20)의 보안관계 능력의 교집합에 해당하는 보안관계 능력이 선택된다.
도 6 내지 도 8은 본 발명의 실시예에 따른 보안관계 협상을 위한 메시지의 구성을 도시한 도면이다.
도 6은 본 발명의 실시예에 따른 보안관계 능력 요구 메시지의 구성을 도시한 도면이다.
전술한 EAP 인증후에, 가입자 단말이 기지국으로 송신하는 도 6과 같은 보안관계 능력 요구 메시지를 전송하게 된다. 보안 관계 능력 요구 메시지는 보안 능력(Security-Capabilities), Primary 보안 관계 식별자(SAID), HAMC 튜플의 속성 정보를 포함한다.
도 6에 도시된 메시지에서, 보안 능력(Security-Capabilities)은 가입자 단말이 가지는 보안 및 암호화에 대한 모든 능력에 관한 정보이다. Primary SAID 는 가입자 단말의 보안관계(SA)에 관한 식별자로서, Basic CID를 포함한다.
HMAC 튜플은 인증키(AK)를 이용하여 생성된 것으로서, 초기 인증시에는 상기 인증키(AK)를 입력값으로 해쉬함수를 이용하여 HMAC 튜플내의 키순서 번호를 생성한다.
도 7은 본 발명의 실시예에 따른 보안관계 능력 응답 메시지의 구성을 도시한 도면이다.
보안관계 능력 응답 메시지는, 보안관계 능력 요구 메시지에 대한 응답으로서, 기지국이 가입자 단말의 요구 내용을 수용할 수 있을 때, 전송된다. 보안관계 능력 응답 메시지는, 키시퀀스 넘버, 보안관계 디스크립터(SA descriptor), HMAC 튜플의 속성 정보를 포함한다.
키 시퀀스 넘버는, 인증키(AK)에 대한 시퀀스 넘버에 관한 정보로서, 이전의 키 시퀀스 넘버보다 1 큰 값으로 기지국이 생성할 수 있다. 보안관계 디스크립터는, 가입자 단말의 기본 보안 관계를 위해 선택된 암호화 슈트(Cipher Suit)에 대한 식별자인 보안관계 식별자(SAID) 및 보안관계에 관한 부가 특성을 정의하는 복합적인 서술자이다. 예를 들어, 보안관계 디스크립터는, 각각의 SAID 에 대응하는 데이터 암호화 알고리즘, 메시지 인증 방식, 트래픽 키 암호화 방식에 관한 정보를 포함한다.
예를 들어, SAID 1에 대해서는, 데이터 암호화 알고리즘에 DES 알고리즘을 사용하여, 메시지 인증에는 HMAC을 사용하며, 트래픽 키 암호화에는 3DES 알고리즘을 사용하는 것을 서술할 수 있다.
HMAC 튜플은 생성된 인증키(AK)를 이용하여 생성된 것으로서, 초기 인증시에는 상기 인증키(AK)를 입력값으로 해쉬함수를 이용하여 HMAC 튜플내의 키순서 번호를 생성한다.
도 8은 본 발명의 실시예에 따른 보안관계 능력 요구 거부 메시지를 도시한 도면이다.
보안관계 능력 요구 거부 메시지는 보안 관계 능력 요구 메시지에 대한 거절이유를 식별하는 에러 코드와, 인증키를 이용하여 생성한 HMAC 튜플을 포함한다.
전술한 보안관계 능력 요구 메시지와 보안관계 능력 응답 메시지를 통하여 본 발명의 실시예에서는 인증키 생성후에 보안관계 협상이 가능하게 된다.
도 9는 본 발명의 실시예에 따라서, 핸드오버 후에 EAP 인증 및 보안 관계 협상 방법을 도시한 개략도이다.
가입자 단말(10)이, 기지국(20)에서 기지국(21)으로 핸드오버한 경우에, 타겟 기지국인 기지국(21)은 이전 기지국(20)으로부터 인증키 생성을 위하여 마스터 키를 수신받아, 가입자 단말(10)과 인증을 수행하게 된다. 마스터 키를 수신 받은 기지국(21)은 자신의 기지국 식별자를 이용하여 프리마스터키(PMK) 및 인증키(AK)를 생성한다.
한편, 가입자 단말(10)이 기지국(21)으로 핸드오버한 경우에는 초기 타이밍 동기를 위하여 레인징(ranging) 절차를 수행하게 된다. 레인징 이후 가입자 단말의 등록을 위하여, MAC 메시지인 등록 요청 메시지(REG-REQ)와 등록 응답 메시지(REG-RSP)를 서로 교환하게 된다.
상기 등록 응답 메시지에는 기지국(21)이 기지국(20)으로부터 넘겨받은 보안관계 디스크립터 정보에 포함된 보안관계 식별자(ID)에 기초하여, 보안관계 능력이 충족되는지 확인하게 된다. 만약, 가입자 단말(10)이, 이미 협상된 보안관계 능력중의 하나인 보안관계 식별자를 선택하는 경우에는, 추가적인 메시지 없이, 가입자 단말의 EAP 인증 및 보안관계 협상을 수행할 수 있다.
한편, 타겟 기지국인 기지국(21)의 보안관계 협상이 새롭게 필요한 경우에는 가입자 단말은 추가적인 보안관계 협상을 보안관계 능력 추가 메시지를 전송할 수 있다. 상기 보안관계 능력 추가 메시지는 실질적으로 전술한 보안관계 능력 요구 메시지와 동일한 방식으로 구성될 수 있다.
따라서, 본 발명이 실시예에 따를 경우에는, 핸드오버에 후에 기지국과 단말간이 난수 교환과 같은 추가적인 메시지 교환없이 PKMv2의 설계개념에 따른 효율적인 EAP 인증 및 보안관계 협상이 가능하다.
도 10은 본 발명의 실시예에 따른 보안 관계 협상 방법을 도시한 흐름도이다.
가입자 단말이 기지국과 초기 접속을 시도하는 경우에는, 가입자 단말은 AAA 서버과 인증절차를 수행되고, 랜덤하게 이로부터 AAA키가 생성된다(S100). 상기 AAA 키는 기지국과 가입자 단말에 분배되어, 인증키의 시드로서 사용된다.
상기 AAA 키로부터, 기지국과 가입자 단말은 마스터 키(MK)와 프리 마스터(PMK)를 생성한다(S110). 상기 마스터 키(MK)는 용량을 줄이기 위하여 AAA 키의 일부부분을 이용하여 생성된다. 상기 프리 마스터키(PMK)는 마스터 키와 가입자 단말과 기지국 단말을 이용하여 생성할 수 있다.
프리마스터 키가 생성되면, 기지국과 가입자 단말은 각각 인증키(AK)를 유도하여 생성한다(S120). 전술한 과정을 통하여 가입자와 기지국은 PKMv2 프로토콜의 설계개념에 따른 인증키(AK)를 생성할 수 있게 된다.
한편, 인증키가 생성되며, 가입자 단말은 보안관계 능력 요구 메시지를 기지국에 전송한다(S130). 상기 보안관계 능력 요구 메시지는 PKM 프로토콜에서 정의 하는 PKM-REQ 메시지를 이용할 수 있다. 상기 보안관계 능력 요구 메시지는 가입자 단말이 기본 보안 능력에 대한 정보와 가입자 단말의 기본 보안관계 식별자를 포함한다.
보안관계 능력 요구 메시지를 수신한 기지국은 상기 보안관계 능력 요구에 대한 응답으로 가입자 단말의 요구를 수용할 수 있는지 판단한다(S140). 상기 보안관계 능력 요구의 승인여부는 기지국에서 제공할 수 있는 보안관계 능력과 가입자 단말이 요구한 보안관계 능력의 교집합이 있는 지에 의존한다.
만약, 가입자 단말이 요구한 보안관계 능력을 수용할 수 있는 경우에는 보안관계 협상을 수행하고, 보안관계 능력 응답 메시지를 전송하고, 가입자 단말은 이를 수신한다(S170). 상기 보안관계 능력 응답 메시지는 보안관계 식별자(SAID)와 부가적인 특성을 정의한 보안관계 디스크립터를 포함한다.
가입자 단말와 인증키 생성과 보안관계 협상이 완료되면, 마스터키(MK)와 협상된 보안관계 능력에 관련된 보안관계 식별자(SAID)는 저장하고, 핸드오버가 발생할 경우에 상기 마스터 키와 보안관계 식별자를 EAP 인증에 재사용할 수 있도록 한다(S180).
한편, 가입자 단말이 요구한 보안관계 능력을 수용할 수 없거나, 보안관계 능력 요구 메시지에 오류가 있는 경우에는 상기 오류 코드를 포함한 거부 메시지를 전송하고, 가입자 단말은 이를 수신한다(S150).
도 11은 핸드오버가 발생한 경우, 본 발명의 실시예에 따라 보안 관계 협상을 수행하는 방법을 도시한 흐름도이다.
가입자 단말이 제 1 기지국으로부터 제 2 기지국으로 이동하여, 핸드오버가 발생한 경우, 제 2 기지국은 제 1 기지국으로부터 넘겨받은 마스터 키(MK)를 이용 하여 프리 마스터키를 생성하고, 상기 프리 마스터키를 이용하여 인증키를 생성한다.
한편, 가입자 단말은 제 2 기지국과 CID(Connection ID) 동기를 처리하기 위하여, 등록 요청 메시지(REG-REQ)와 등록 응답 메시지(REG-RSP)를 교환한다(S200, S210).
이때, 제 2 기지국은 제 1 기지국으로부터 넘겨받은 보안관계 능력 정보에 기초한 보안관계(SA) 갱신을 위한 등록 응답 메시지를 상기 레인징 응답메시지를 이용하여 전송하고, 가입자 단말은 이를 수신한다(S220).
가입자 단말은 상기 보안관계 디스크립터에 포함된 보안관계 식별자에 대응하는 보안관계 능력이 제 1 기지국과 이미 협상한 보안관계 능력을 만족시키는지를 판단한다(S230).
만약 이미 협상한 보안관계 능력을 만족시키는 경우에는, 해당 보안관계 식별자(SAID)를 갱신하고, EAP 인증을 완료한다(S240).
한편, 제 2 기지국의 보안관계 능력이 가입자 단말의 보안관계 능력을 수용하지 못하는 경우에는, 보안관계 추가 메시지를 전송하고, 제 2 기지국과 보안관계 협상을 수행하게 된다(S250, S260). 보안관계 협상은 전술한 보안관계 능력 요구 메시지와 보안관계 능력 응답 메시지를 이용하여 이뤄질 수 있다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
전술한 구성에 의하여, 본 발명은 이동성을 가진 가입자 단말의 EAP 인증에서 PKMv2 프로토콜의 설계개념에 부합하는 효율적인 보안관계 협상방법을 제공하는 효과를 구비한다.
또한, 본 발명은 핸드오버후에도 추가적인 메시지교환 또는 난수의 교환없이 인증 및 보안관계 협상을 기대할 수 있어, 메시지 전송을 최소화하고 지연없는 통신환경을 제공한다.

Claims (23)

  1. 가입자 단말과 보안관계를 협상하는 방법에 있어서,
    인증키를 생성하는 단계;
    상기 가입자 단말의 보안관계 능력에 대한 정보와 제1 메시지 인증 코드를 포함하는 제1 메시지를 상기 가입자 단말로부터 수신하는 단계;
    상기 제1 메시지 인증 코드의 적합성을 검사하는 단계;
    상기 제1 메시지 인증 코드가 적합한 경우 상기 가입자 단말의 보안관계 능력 중에서 상기 가입자 단말과의 보안 관계를 위한 보안 능력을 선택하는 단계;
    상기 가입자 단말과의 보안관계를 위해 선택한 보안관계 능력에 대한 정보와 상기 인증키를 이용하여 생성되는 제2 메시지 인증 코드를 포함하는 제2 메시지를 상기 가입자 단말로 전송하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 인증키를 생성하는 단계는 상기 가입자 단말과 확장 가능한 인증 프로토콜(Extensible Authentication Protocol, EAP) 메시지를 교환하여 상기 인증키를 생성하는 단계를 포함하는 방법.
  3. 제2항에 있어서,
    상기 제2 메시지는
    보안관계 식별자 및 보안관계에 관한 부가 특성을 규정하는 보안관계 디스크립터를 포함하는 방법.
  4. 제3항에 있어서,
    상기 제2 메시지는
    상기 인증키에 대한 시퀀스 넘버를 더 포함하는 방법.
  5. 제3항에 있어서,
    상기 보안관계 디스크립터는 상기 보안관계를 위한 데이터 암호화 방식에 관한 정보와 트래픽 키 암호화 방식에 관한 정보 중 적어도 하나를 포함하는 방법.
  6. 제2항에 있어서,
    상기 제1 메시지는 상기 가입자 단말이 사용할 수 있는 데이터 암호화 방식에 관한 정보와 메시지 인증 방식에 관한 정보 중 적어도 하나를 포함하는 방법.
  7. 제6항에 있어서,
    상기 제1 메시지는 상기 가입자 단말의 기초 보안 관계 식별자를 더 포함하는 방법.
  8. 제2항에 있어서,
    상기 제1 메시지 및 상기 제2 메시지는 공개 키 관리(public key management, PKM) 프로토콜에서 정의하는 메시지인 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서,
    상기 인증키를 생성하는 단계는,
    인증 서버로부터 생성된 AAA 키를 이용하여, 마스터 키(MK)를 생성하는 단계;
    상기 마스터키, 기지국의 식별자와 상기 가입자 단말의 식별자를 이용하여 프리 마스터 키(PMK)를 생성하는 단계; 및
    상기 프리 마스터 키로부터 상기 인증키를 생성하는 단계를 포함하는 방법.
  10. 제1항 내지 제8항 중 어느 한 항에 있어서,
    상기 가입자 단말의 보안관계 능력을 수용할 수 없는 경우, 보안관계 수용을 거부하는 오류코드를 포함하는 보안관계 거절이유 메시지를 상기 가입자 단말로 전송하는 단계를 더 포함하는 보안관계 협상 방법.
  11. 가입자 단말이 기지국과 보안관계를 협상하는 방법에 있어서,
    인증키를 생성하는 단계;
    상기 인증키를 이용하여 제1 메시지 인증 코드를 생성하는 단계;
    상기 가입자 단말의 보안관계 능력에 대한 정보와 상기 제1 메시지 인증 코드를 포함하는 제1 메시지를 상기 기지국으로 전송하는 단계; 및
    상기 가입자 단말과의 보안관계를 위해 상기 기지국이 선택한 보안관계 능력에 대한 정보와 제2 메시지 인증 코드를 포함하는 제2 메시지를 상기 기지국으로부터 수신하는 단계를 포함하는 방법.
  12. 제11항에 있어서,
    상기 인증키를 생성하는 단계는 상기 기지국과 확장 가능한 인증 프로토콜(Extensible Authentication Protocol, EAP) 메시지를 교환하여 상기 인증키를 생성하는 단계를 포함하는 방법.
  13. 제12항에 있어서,
    상기 제2 메시지는 보안관계 식별자 및 보안관계에 관한 부가 특성을 규정하는 보안관계 디스크립터를 포함하는 방법.
  14. 제13항에 있어서,
    상기 제2 메시지는
    상기 인증키에 대한 시퀀스 넘버를 더 포함하는 방법.
  15. 제13항에 있어서,
    상기 보안관계 디스크립터는 상기 보안관계를 위한 데이터 암호화 방식에 관한 정보 및 트래픽 키 암호화 방식에 관한 정보 중 적어도 하나를 포함하는 방법.
  16. 제15항에 있어서,
    상기 제1 메시지는 상기 가입자 단말이 사용할 수 있는 데이터 암호화 방식에 관한 정보와 메시지 인증 방식에 관한 정보 중 적어도 하나를 포함하는 방법.
  17. 제12항에 있어서,
    상기 제1 메시지 및 상기 제2 메시지는 공개 키 관리(public key management, PKM) 프로토콜에서 정의하는 메시지인 방법.
  18. 제1 기지국에서 제2 기지국으로 핸드오버하는 가입자 단말을 위한 보안관계 협상 방법에 있어서,
    상기 제2 기지국이, 상기 가입자 단말의 제1 인증키의 시드가 되는 마스터 키를 상기 제1 기지국으로부터 수신하여 제2 인증키를 생성하는 단계;
    상기 제2 기지국이, 상기 가입자 단말과 상기 제1 기지국 사이에서 협상된 보안관계 능력에 대한 정보를 포함하는 제1 보안관계 디스크립터를 상기 제1 기지국으로부터 수신하는 단계;
    상기 제2 기지국이, 상기 가입자 단말로부터 등록 요청 메시지를 수신하는 단계; 및
    상기 제2 기지국이, 상기 제1 보안관계 디스크립터에 기초하여 생성된 제2 보안관계 디스크립터를 포함하는 등록 응답 메시지를 상기 가입자 단말에 제공하여, 상기 가입자 단말이 보안관계 능력을 만족하는지 확인하도록 하는 단계를 포함하는 보안관계 협상 방법.
  19. 제18항에 있어서,
    상기 제2 인증키를 생성하는 단계는 상기 마스터 키와 상기 제2 기지국의 식별자를 이용하여 상기 제2 인증키를 생성하는 단계를 포함하는 보안관계 협상 방법.
  20. 제19항에 있어서,
    상기 제2 기지국이, 상기 가입자 단말의 더 추가하고자 하는 보안관계 능력 정보가 포함된 보안관계 능력 추가 메시지를 상기 가입자 단말로부터 수신하는 단계를 더 포함하는 보안관계 협상 방법.
  21. 제20항에 있어서,
    상기 제2 기지국이, 상기 보안관계 능력 추가 메시지에 포함된 가입자 단말의 보안관계 능력을 수용할 수 있는지를 판단하는 단계; 및
    상기 가입자 단말의 보안관계 능력을 수용할 수 있는 경우에, 상기 제2 기지국이 상기 가입자 단말과의 보안관계를 위해 선택한 정보를 포함한 보안관계 능력 응답 메시지를 상기 가입자 단말로 전송하는 단계를 더 포함하는 보안관계 협상 방법.
  22. 제1 기지국에서 제2 기지국으로 핸드오버하는 가입자 단말이 상기 제2 기지국과 보안관계를 협상하는 방법에 있어서,
    상기 가입자 단말과 상기 제1 기지국 사이에서 협상된 보안관계 능력에 대한 정보를 상기 제2 기지국으로부터 수신하는 단계;
    상기 협상된 보안관계 능력을 만족하는 지 확인하는 단계; 및
    상기 협상된 보안관계 능력을 만족하는 경우, 상기 협상된 보안관계 능력을 위한 식별자에 대해 승인하는 단계를 포함하는 방법.
  23. 제22항에 있어서,
    상기 협상된 보안관계 능력을 만족하지 못하는 경우, 추가적인 보안관계 능력에 대한 정보를 상기 제2 기지국에 전송하는 단계; 및
    상기 추가적인 보안관계 능력 중에서 상기 제2 기지국이 상기 가입자 단말과의 보안관계를 위해 선택한 보안관계 능력에 대한 정보를 상기 제2 기지국으로부터 수신하는 단계를 더 포함하는 방법.
KR1020050013113A 2004-08-25 2005-02-17 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법 KR100813295B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040067107 2004-08-25
KR20040067107 2004-08-25

Publications (2)

Publication Number Publication Date
KR20060042045A KR20060042045A (ko) 2006-05-12
KR100813295B1 true KR100813295B1 (ko) 2008-03-13

Family

ID=35967652

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050013113A KR100813295B1 (ko) 2004-08-25 2005-02-17 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법

Country Status (4)

Country Link
US (1) US8127136B2 (ko)
JP (1) JP5042834B2 (ko)
KR (1) KR100813295B1 (ko)
WO (1) WO2006022469A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102124208B1 (ko) 2019-02-20 2020-06-24 김상욱 레이더 포스트의 승하강 장치

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US8392707B2 (en) * 2005-09-07 2013-03-05 Bally Gaming, Inc. Gaming network
KR101137340B1 (ko) * 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
JP2009534910A (ja) * 2006-04-19 2009-09-24 韓國電子通信研究院 移動通信システムの認証キー生成方法
US20070283142A1 (en) * 2006-06-05 2007-12-06 Microsoft Corporation Multimode authentication using VOIP
US8051151B2 (en) * 2006-07-11 2011-11-01 Cisco Technology, Inc. System and method for communicating with a network node behind a subscriber station with an IP convergence sub-layer
KR101018911B1 (ko) * 2006-09-18 2011-03-02 인텔 코오퍼레이션 무선 메쉬 네트워크에서의 보안 정책 교섭을 위한 기술
KR100821183B1 (ko) * 2006-10-31 2008-04-14 주식회사 케이티프리텔 무선 망 제어국에서의 보안 모드 제어 방법 및 장치
US8539559B2 (en) 2006-11-27 2013-09-17 Futurewei Technologies, Inc. System for using an authorization token to separate authentication and authorization services
US8099597B2 (en) * 2007-01-09 2012-01-17 Futurewei Technologies, Inc. Service authorization for distributed authentication and authorization servers
US9350701B2 (en) * 2007-03-29 2016-05-24 Bomgar Corporation Method and apparatus for extending remote network visibility of the push functionality
US8285990B2 (en) 2007-05-14 2012-10-09 Future Wei Technologies, Inc. Method and system for authentication confirmation using extensible authentication protocol
CN101309500B (zh) 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
US8533455B2 (en) * 2007-05-30 2013-09-10 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for combining internet protocol authentication and mobility signaling
KR100924168B1 (ko) * 2007-08-07 2009-10-28 한국전자통신연구원 주파수 오버레이 기반의 통신 시스템의 인증키 생성 방법및 인증 방식 협상 방법
US20090271626A1 (en) * 2007-09-04 2009-10-29 Industrial Technology Research Institute Methods and devices for establishing security associations in communications systems
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
US20090193247A1 (en) * 2008-01-29 2009-07-30 Kiester W Scott Proprietary protocol tunneling over eap
CN101568082A (zh) * 2008-04-25 2009-10-28 中兴通讯股份有限公司 一种基站参数的配置方法
US9706395B2 (en) * 2008-04-28 2017-07-11 Nokia Technologies Oy Intersystem mobility security context handling between different radio access networks
JP5390611B2 (ja) * 2008-08-15 2014-01-15 サムスン エレクトロニクス カンパニー リミテッド 移動通信システムの保安化された非接続階層プロトコル処理方法
KR101485801B1 (ko) * 2008-08-18 2015-01-29 삼성전자주식회사 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템
EP2377288B1 (en) * 2008-08-22 2015-10-14 QUALCOMM Incorporated Method and apparatus for transmitting and receiving secure and non-secure data
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
US8418228B2 (en) 2008-12-03 2013-04-09 Electronics And Telecommunications Research Institute Converged access control method using network access device at penetration node of IP network of convergence ALL-IP network
EP2200358A3 (en) * 2008-12-04 2010-11-03 Huawei Device Co., Ltd. Method, device and system for negotiating authentication mode
KR101025083B1 (ko) * 2008-12-22 2011-03-25 주식회사 케이티 확장가능 인증 프로토콜에서의 인증함수 식별 방법
US8161551B1 (en) * 2009-04-21 2012-04-17 Mcafee, Inc. System, method, and computer program product for enabling communication between security systems
CN102685741B (zh) * 2011-03-09 2014-12-03 华为终端有限公司 接入认证处理方法及系统、终端和网络设备
JP5821390B2 (ja) 2011-08-10 2015-11-24 株式会社リコー 無線通信装置、無線通信プログラム及び無線通信方法
JP5468588B2 (ja) * 2011-09-15 2014-04-09 株式会社東芝 通信装置及びプログラム
KR101931601B1 (ko) * 2011-11-17 2019-03-13 삼성전자주식회사 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치
KR101964142B1 (ko) * 2012-10-25 2019-08-07 삼성전자주식회사 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
JP2017135599A (ja) * 2016-01-28 2017-08-03 サイレックス・テクノロジー株式会社 無線基地局装置、無線通信システム、及び、無線基地局装置の制御方法
WO2018084081A1 (ja) * 2016-11-02 2018-05-11 日本電気株式会社 端末装置、コアネットワークノード、基地局、セキュリティゲートウェイ、装置、方法、プログラム及び記録媒体
CN110024325B (zh) * 2016-11-26 2021-01-29 华为技术有限公司 用于设备之间mka协商的系统、方法和设备
CN108323230B (zh) * 2018-02-06 2021-03-05 福建联迪商用设备有限公司 一种传输密钥的方法、接收终端和分发终端
MX2020008614A (es) * 2018-02-19 2020-09-21 Ericsson Telefon Ab L M Soporte de interfuncionamiento y/o movilidad entre diferentes sistemas de comunicacion inalambricos.
KR102449988B1 (ko) * 2018-06-29 2022-10-05 삼성전자주식회사 무선 통신 시스템에서 통신 방법 및 장치
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
US11677736B2 (en) 2021-03-25 2023-06-13 International Business Machines Corporation Transient identification generation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040026056A (ko) * 2002-09-17 2004-03-27 한국전자통신연구원 무선랜에서의 분산 시스템간 핸드오프 방법
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
KR20060039564A (ko) * 2004-11-03 2006-05-09 에스케이 텔레콤주식회사 휴대 인터넷망에서 가입자 인증 방법 및 시스템

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
US5657390A (en) * 1995-08-25 1997-08-12 Netscape Communications Corporation Secure socket layer application program apparatus and method
US6389534B1 (en) * 1997-06-30 2002-05-14 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
DE19924986B4 (de) * 1998-05-29 2006-03-23 Hitachi, Ltd. Verschlüsselungs-Konversionsvorrichtung, Entschlüsselungs-Konversionsvorrichtung, kryptografisches Kommunikationssystem und elektronische Gebühren-Sammelvorrichtung
EP2043375B1 (en) * 1999-05-17 2011-10-26 Telefonaktiebolaget LM Ericsson (publ) Capability negotiation in a telecommunications network
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
CA2356714A1 (en) * 2001-09-05 2003-03-05 William Martin Snelgrove Subscriber station variations
US8601566B2 (en) * 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication
CN1172469C (zh) * 2001-12-13 2004-10-20 华为技术有限公司 一种自主选择加密算法实现保密通信的方法
US7219223B1 (en) * 2002-02-08 2007-05-15 Cisco Technology, Inc. Method and apparatus for providing data from a service to a client based on encryption capabilities of the client
US20040010713A1 (en) * 2002-07-12 2004-01-15 Vollbrecht John R. EAP telecommunication protocol extension
US7574599B1 (en) * 2002-10-11 2009-08-11 Verizon Laboratories Inc. Robust authentication and key agreement protocol for next-generation wireless networks
US7448068B2 (en) * 2002-10-21 2008-11-04 Microsoft Corporation Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols
US7313234B2 (en) * 2002-10-31 2007-12-25 Matsushita Electric Industrial Co., Ltd. Communication device, communication system, and algorithm selection method
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7263357B2 (en) * 2003-01-14 2007-08-28 Samsung Electronics Co., Ltd. Method for fast roaming in a wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7574600B2 (en) * 2004-03-24 2009-08-11 Intel Corporation System and method for combining user and platform authentication in negotiated channel security protocols
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040026056A (ko) * 2002-09-17 2004-03-27 한국전자통신연구원 무선랜에서의 분산 시스템간 핸드오프 방법
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
KR20060039564A (ko) * 2004-11-03 2006-05-09 에스케이 텔레콤주식회사 휴대 인터넷망에서 가입자 인증 방법 및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102124208B1 (ko) 2019-02-20 2020-06-24 김상욱 레이더 포스트의 승하강 장치

Also Published As

Publication number Publication date
JP2008511240A (ja) 2008-04-10
US20070297611A1 (en) 2007-12-27
US8127136B2 (en) 2012-02-28
WO2006022469A1 (en) 2006-03-02
JP5042834B2 (ja) 2012-10-03
KR20060042045A (ko) 2006-05-12

Similar Documents

Publication Publication Date Title
KR100813295B1 (ko) 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
US7350077B2 (en) 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7831835B2 (en) Authentication and authorization in heterogeneous networks
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
JP4921557B2 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
AU2004231612B2 (en) 802.11 using a compressed reassociation exchange to facilitate fast handoff
KR100749846B1 (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
US20090175454A1 (en) Wireless network handoff key
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
KR20110021945A (ko) 네트워크 인증을 위한 방법, 장치, 시스템 및 서버
WO2009097789A1 (zh) 建立安全关联的方法和通信系统
WO2008148348A1 (fr) Procédé de communication, système et station de base domestique
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
KR100729729B1 (ko) 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법
KR102558364B1 (ko) 5g lan 서비스 제공 방법
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
KR20070101504A (ko) 휴대 인터넷 시스템의 인증 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130221

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140218

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150213

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160217

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170217

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180305

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 13