KR100934309B1 - 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법 - Google Patents

통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법 Download PDF

Info

Publication number
KR100934309B1
KR100934309B1 KR1020070125514A KR20070125514A KR100934309B1 KR 100934309 B1 KR100934309 B1 KR 100934309B1 KR 1020070125514 A KR1020070125514 A KR 1020070125514A KR 20070125514 A KR20070125514 A KR 20070125514A KR 100934309 B1 KR100934309 B1 KR 100934309B1
Authority
KR
South Korea
Prior art keywords
authentication
value
subscriber
message
key
Prior art date
Application number
KR1020070125514A
Other languages
English (en)
Other versions
KR20090058767A (ko
Inventor
이세광
Original Assignee
유비벨록스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유비벨록스(주) filed Critical 유비벨록스(주)
Priority to KR1020070125514A priority Critical patent/KR100934309B1/ko
Publication of KR20090058767A publication Critical patent/KR20090058767A/ko
Application granted granted Critical
Publication of KR100934309B1 publication Critical patent/KR100934309B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 통합 가입자 인증 시스템은 중계기 및 인증 센터와 네트워크로 연결되며, 가입자 인증 모듈 및 무선 단말기를 포함하며 통신 방법에 따라 가입자를 인증한다. 여기서, 가입자 인증 모듈은 인증 센터에서 생성되어 가입자 인증 명령에 포함된 인증 데이터 및 기 저장된 가입자 비밀키로부터 네트워크 예상 인증값, 가입자 응답값, 암/복호화 키, 무결성 키, 및 익명성 키를 생성하고, 동기화 값을 계산하는 인증 데이터 및 키생성 처리부; 가입자 인증 명령을 해석하여, 통신 방법이 이동통신 서비스인지, 휴대/무선 인터넷 서비스인지 확인하는 통신 방식 구별 처리부; 네트워크 예상 인증값을 네트워크를 통해 수신된 네트워크 인증값과 비교하여 네트워크를 인증하는 네트워크 인증 처리부; 익명성 키를 사용하여, 계산된 동기화 값을 네트워크를 통해 수신된 동기화 값과 비교하여 동기화를 확인하는 동기화 처리부; 암/복호화 키 및 무결성 키, 및 가입자 인증 명령에 포함된 가입자 식별값을 통해 마스터 키를 생성하는 마스터 키 생성부; 및 마스터 키를 이용하여 메시지 암/복호화키, 및 메시지 무결성 키를 생성하는 세션키 생성부;를 포함하며, 무선 단말기는 네트워크를 통해 수신된 가입자 인증 요청으로부터 가입자 인증 명령을 생성하는 가입자 인증 명령 생성부; 네트워크를 통해 수신된 통신용 메시지 인증값으로부터 메시지 인증값을 구성하고, 단말기 메시지 인증값으로부터 통신용 단말기 메시지 인증값을 구성하고, 상기 가입자 응답값으로부터 메시지 응답값을 생성하는 휴대/무선 인터넷 데이터 처리부; 및 상기 메시지 무결성키로부터 상기 단말기 메시지 인증값을 생성하고, 상기 단말기 메시지 인증값을 상기 메시지 인증값과 비교하여 메시지의 무결성을 확인하는 메시지 인증값 처리부;를 포함한다.
가입자 인증

Description

통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법{Subscriber authentication system and method for authenticating subscriber using the same}
본 발명은 가입자 인증 시스템 및 이를 이용하는 가입자 인증 방법, 특히 3세대 이동통신을 포함한 이동 통신뿐만 아니라, 휴대 인터넷, 무선 인터넷 등의 가입자 인증에 모두 적용될 수 있는 통합 가입자 인증 시스템 및 인증 방법에 관한 것이다.
이동 통신 기술, 특히 3세대 이동통신 기술은 유럽 등지에서 주로 사용되는 비동기식(WCDMA/HSDPA) 방법과, 미국, 한국 등지에서 주로 사용되는 동기식(CDMA200) 방법으로 크게 구별될 수 있다.
이러한 3 세대 이동통신 기술에서, 서비스 등록되어있는 특정 가입자(예, 서비스 가입자)에 대해서만 서비스가 이루어지도록 네트워크와 가입자 간의 상호인증이 이루어져야 한다. 또한 무선구간에서 사용할 암/복호화 키 및 무결성 키를 생성하는 것이 필요하게 되며, 이를 인증과 키 일치(Authentication and Key Agreement, 이하 'AKA'라고도 한다)라 한다.
한편, 무선인터넷(WLAN)과 휴대인터넷(WiBro) 기술에서도 서비스 등록되어있는 특정 가입자에 대해서만 서비스가 이루어지도록 네트워크와 가입자 간의 상호인증이 이루어져야 한다. 또한, 무선구간에서 사용할 메시지 암/복호화 키, 메시지 무결성 키, 및 세션키를 생성하는 것이 필요하게 되며, 상기 과정에서 무선 인터넷과 휴대 인터넷에서 사용되는 확장형 인증 프로토콜(Extensible Authentication Protocol, 이하 'EAP'라고도 한다)과 AKA가 동시에 사용된다. 이를 EAP-AKA라 한다.
이렇게 3세대 이동통신에서 사용되는 가입자 인증인 AKA 방법은 비동기식에서 사용되는 USIM(Universal Subscriber Identify Module) 또는 동기식에서 사용되는 R-UIM(Removable User Identity Module)와 같은 가입자 인증 모듈을 포함하는 범용IC카드(Universal Integrated Circuit Card, 이하 'UICC'라고도 한다)를 이용하여 수행되며, 휴대/무선인터넷에서 사용되는 가입자 인증은 EAP 방법을 처리하는 모듈을 포함하는 UICC, PCMCIA 카드 등을 이용하여 수행된다.
이상에서 살펴본 바와 같이, 이동통신 기술에서의 가입자 인증 방법과 이를 위한 가입자 인증 시스템의 구성은 휴대/무선 인터넷에서의 가입자 인증 방법과 이를 위한 가입자 인증 시스템의 구성과 각각 서로 상이하게 구성되어 있다.
그런데, 휴대/무선 인터넷 기술의 발달로 인해 이동 통신 단말기에서도 휴대/무선 인터넷을 사용하고자 하는 요구가 현재 증가하고 있으며, 이를 위해 이동 통신뿐만 아니라 휴대/무선 인터넷 사용도 가능한 무선 단말기가 개발되고 있다.
따라서 이동통신 네트워크와 휴대/무선 인터넷 네트워크의 접목 역시 시도되 고 있다.
이를 위해, 3세대 이동 통신, 휴대/무선 인터넷에서 모두 가입자 인증이 가능한 가입자 인증 시스템이 연구되고 있다. 이러한 연구의 결과에 따라, 본 출원인은 한국등록특허공보 제745617호에 게시된 바와 같은 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법을 착안한 바 있다.
이러한 가입자 인증 시스템은 도 1에 도시된 바와 같이, 가입자 인증 모듈(10), 무선 단말기(20), 휴대/무선인터넷 접속 네트워크 기지국, 이동통신 접속 네트워크 기지국, 정산 서버(50), 중계기(60), 홈 위치 등록기, 및 인증 센터(70)를 포함하여 구성된다.
가입자 인증 모듈(10)은 무선 단말기(20)로부터 가입자 인증 명령이 수신되면, 통신 방법이 3세대 이동통신 서비스인지, 휴대/무선 인터넷 서비스인지 확인하고, 해당 통신 방법에 대응하도록 가입자 인증을 수행한다.
무선 단말기(20)는 네트워크로부터 수신된 인증 요청을 받으면 가입자 인증 명령을 생성하여 상기 가입자 인증 모듈에 전달하여, 상기 가입자 인증 모듈과 인증 센터를 무선 네트워크로 연결한다.
정산 서버(50)는 휴대/무선인터넷 단말기 또는 이동통신/휴대/무선통신 단말기와 휴대/무선인터넷 접속 네트워크 기지국을 통해 접속되며, 홈 위치 등록기와의 접속을 통해 휴대/무선인터넷에 대한 가입자와 인증 및 접속을 제어하고 서비스 사용에 대한 정산을 수행한다
중계기(60)는 이동통신/휴대/무선통신 단말기 또는 이동통신 단말기와 이동 통신 접속 네트워크 기지국을 통해 접속되며, 가입자의 위치 정보를 등록하며 필요한 인증 데이터를 저장한다.
인증 센터(70)는 가입자에 대한 키를 저장하며 인증 데이터를 생성하며, 생성된 인증 데이터와 가입자 인증 모듈(10)로부터 전달된 인증 데이터를 이용하여 가입자 인증 및 데이터 무결성을 확인한다.
이하, 도 2 및 도 3을 참조하여, 종래의 가입자 인증 시스템에 의한 3 세대 이동통신과 휴대/무선인터넷에서의 가입자 인증 방법을 예를 들어 구체적으로 설명한다.
먼저, 가입자가 서비스 등록을 한 후, 3세대 이동통신 서비스 지역에 위치한 경우 가입자 인증 방법을 설명한다.
중계기(60)는 무선단말기(20)를 통해 가입자 인증 모듈(10)에 가입자 식별값을 요청한다(s10, s20). 그러면 가입자 인증 모듈(10)은 무선 단말기(20)를 통해 기 저장된 가입자 식별값을 중계기(60)에 전달한다(s30).
그러면, 중계기(60)는 전달받은 가입자 식별값을 저장하고 그 가입자 식별값을 포함하는 인증 데이터 요청 메시지를 인증센터(70)에 전송한다.
인증센터(70)는 요청 메시지에 포함된 가입자 식별값을 이용하여 해당하는 가입자를 확인한 다음, 대응하는 인증 데이터들을 생성한다(s40).
그 후, 인증센터(70)는 생성된 인증데이터를 중계기(60)에 전송한다. 중계기(60)는 전달받은 인증 데이터를 저장하고, 무선단말기에 전송하여 가입자 인증을 요청한다(s50).
무선단말기(20)는 가입자 인증 요청을 수신하면, 가입자 인증 명령을 생성하여 가입자 인증 모듈에 전달한다(s60).
가입자 인증 모듈(10)은 가입자 인증 명령에 포함된 데이터를 이용하여, 인증 센터(70)와 동일한 알고리즘을 통해 네트워크를 인증하고, 동기화를 확인한 후 가입자 응답 값을 생성하고, 암/복호화키, 및 무결성키를 생성한다(s70).
그 후, 가입자 인증 모듈(10)은 가입자 응답 값 및 암/복호화키, 무결성 키를 무선단말기(20)에 전달하고(s80), 무선단말기(20)는 가입자 응답값을 중계기(60)에 전달한다(s85).
그러면, 중계기(60)는 무선단말기(20)로부터 받은 가입자 응답 값과 기 저장하고 있는 응답값을 비교하여 가입자를 인증한다(s86).
다음으로, 가입자가 휴대/무선인터넷 서비스 지역에 위치한 경우의 가입자 인증 방법을 설명한다.
인증 센터(70)는 가입자에 대한 식별값(Identity)을 무선단말기(20)를 통해 가입자 인증 모듈(10)에 요청한다(s10, s20).
그러면 가입자 인증 모듈(10)은 무선 단말기(20)를 통해 기 저장된 가입자 식별값을 응답 메시지로 인증 센터(70)에 전달한다(s30).
그 후, 인증 센터(70)는 전달받은 가입자 식별값을 이용하여 해당하는 가입자를 확인한 다음, 대응하는 인증 데이터 및 세션키를 생성한다(s40).
그 후, 인증센터(70)는 생성된 인증데이터를 무선단말기에 전송하여 가입자 인증을 요청한다(s50).
무선단말기(20)는 가입자 인증 요청을 수신하면, 가입자 인증 명령을 생성하여 가입자 인증 모듈에 전달한다(s60).
가입자 인증 모듈(10)은 가입자 인증 명령에 포함된 데이터를 이용하여, 인증 센터(70)와 동일한 알고리즘을 통해 네트워크를 인증하고, 동기화를 확인한 후 가입자 응답 값을 생성하고, 암/복호화키, 및 무결성키를 생성한다(s70).
그 후, 가입자 인증을 위한 메시지 처리와 세션키 생성이 무선 단말기(20)에서 수행되는 경우(도 2)와, 가입자 인증을 위한 메시지 처리와 세션키 생성이 가입자 인증 모듈(10)에서 수행되는 경우(도 3)가 별도로 수행될 수 있는바, 각각 설명하도록 한다.
즉, 무선단말기(20)에서 메시지 처리를 하는 휴대/무선인터넷 인증 방법에 대해서, 가입자 인증 모듈(10)은 가입자 응답 값 및 암/복호화키, 무결성 키를 무선단말기(20)에 전달하고(s80), 가입자 인증 모듈(10)에서 메시지 처리를 하는 휴대/무선인터넷 인증 방법에 대해서 가입자 인증 모듈(10)은 세션키를 생성한 다음 메시지 무결성 확인을 하고 메시지 인증값을 생성하고(s110), 가입자 응답값과 전달할 메시지의 메시지 인증값을 무선단말기를 통해 인증센터(70)에 전달한다(s115).
여기서, 무선단말기(20)에서 메시지 처리를 하는 휴대/무선인터넷 인증 방법에서는, 무선단말기(20)는 전달된 암/복호화키 및 무결성키를 이용하여 세션키를 생성하고, 메시지의 무결성을 확인하며 인증센터로 전달할 메시지의 메시지 인증값을 생성한다(s90).
메시지 무결성 확인이 정상적으로 이루어지면, 무선단말기(20)는 가입자 응답값과 메시지 인증값을 인증센터(70)에 전달한다(s95).
인증센터는 가입자 응답값을 확인하고, 메시지 무결성 확인을 한다(s100).
이상에서 살펴본 바와 같이, 종래의 가입자 인증 방법은 휴대/무선인터넷 메시지의 처리가 무선단말기(20)에서 이루어지는 방법과 가입자 인증 모듈(10)에서 이루어지는 방법으로 구별된다.
그런데, 무선단말기(20)에서 휴대/무선인터넷 메시지를 처리하는 방법에 있어서는 마스터 키와 세션키의 생성이 무선단말기(20)에서 이루어져야 하는데, 이는 안전해야 할 키가 노출될 수 있게 한다.
또한, 가입자 인증 모듈(10)에서 휴대/무선인터넷 메시지를 처리하는 방법에 있어서도, 메시지의 처리가 가입자 인증 모듈(10)에서 이루어지는 데, 그 경우, 가입자 인증 모듈(10)은 장착되어 있는 범용 집적 회로 카드(Universal Integrated Circuit Card)의 메모리를 이용하게 되므로, 상대적으로 메모리의 용량이 크지 않은 범용IC카드의 메모리를 더 차지하게 되는 원인이 된다.
상기와 같은 종래 기술의 문제점을 해결하기 위해, 본 발명은 이동 통신, 휴대/무선 인터넷의 통신 방법에 대하여 안전하게 가입자를 인증할 수 있는 통합 가입자 인증 시스템을 제공하고자 한다.
또한, 본 발명은 이동 통신, 휴대/무선 인터넷의 통신 방법에 대하여 적은 메모리를 사용하면서도 가입자를 인증할 수 있는 가입자 인증 모듈을 제공하고자 한다.
또한 본 발명은 이동 통신, 휴대/무선 인터넷의 통신 방법에 대하여, 가입자 인증을 위해 사용될 수 있는 무선 단말기를 제공하고자 한다.
위와 같은 과제를 해결하기 위한 본 발명은 마스터 키와 세션키의 생성을 가입자 인증 모듈에서 수행하나, 메시지 무결성 확인 및 메시지 인증 값 생성등 메시지 처리를 무선 단말기에서 수행하는 통합 가입자 인증 시스템을 제공한다.
구체적으로, 본 발명의 한 특징에 따른 통합 가입자 인증 시스템은 중계기 및 인증 센터와 네트워크로 연결되며, 가입자 인증 모듈 및 무선 단말기를 포함하며 통신 방법에 따라 가입자를 인증한다. 여기서, 가입자 인증 모듈은 인증 센터에서 생성되어 가입자 인증 명령에 포함된 인증 데이터 및 기 저장된 가입자 비밀키로부터 네트워크 예상 인증값, 가입자 응답값, 암/복호화 키, 무결성 키, 및 익명성 키를 생성하고, 동기화 값을 계산하는 인증 데이터 및 키생성 처리부; 가입자 인증 명령을 해석하여, 통신 방법이 이동통신 서비스인지, 휴대/무선 인터넷 서비스인지 확인하는 통신 방식 구별 처리부; 네트워크 예상 인증값을 네트워크를 통해 수신된 네트워크 인증 값과 비교하여 네트워크를 인증하는 네트워크 인증 처리부; 익명성 키를 사용하여, 계산된 동기화 값을 네트워크를 통해 수신된 동기화 값과 비교하여 동기화를 확인하는 동기화 처리부; 암/복호화 키 및 무결성 키, 및 가입자 인증 명령에 포함된 가입자 식별값을 통해 마스터 키를 생성하는 마스터 키 생성부; 및 마스터 키를 이용하여 메시지 암/복호화키, 및 메시지 무결성 키를 생성하는 세션키 생성부;를 포함하며, 무선 단말기는 네트워크를 통해 수신된 가입자 인증 요청으로부터 가입자 인증 명령을 생성하는 가입자 인증 명령 생성부; 네트워크를 통해 수신된 통신용 메시지 인증값으로부터 메시지 인증값을 구성하고, 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성하고, 상기 가입자 응답값으로부터 메시지 응답값을 생성하는 휴대/무선 인터넷 데이터 처리부; 및 상기 메시지 무결성키로부터 상기 단말기 메시지 인증값을 생성하고, 상기 단말기 메시지 인증값을 상기 메시지 인증값과 비교하여 메시지의 무결성을 확인하는 메시지 인증값 처리부;를 포함한다.
여기서, 무선 단말기는 중계기 또는 인증 센터로부터 가입자 식별값 요청이 수신되면, 가입자 식별값 요청 명령을 생성하여 가입자 인증 모듈에 전달하는 가입자 식별값 요청 명령 생성부;을 더 포함할 수 있다.
통신 방식 구별 처리부는 통신 방법에 따라 이동통신용 가입자 식별값 또는 휴대/무선 인터넷용 가입자 식별값을 구별하여 무선 단말기에 전달한다.
무선 단말기는 인증 센터로부터 수신된 메시지에 대하여 무결성을 확인하며, 인증 센터는 무선 단말기로부터 수신된 메시지에 대하여 무결성을 확인하도록 구성된다.
동기화 처리부는 인증 데이터 및 키생성 처리부에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 클 경우 기 설정된 상위 최대 범위값 보다 작은 범위에 있는지 확인하고, 인증 데이터 및 키생성 처리부에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 작을 경우 기 설정된 하위 최대 범위값 보다 작은 범위에 있는지 확인한다.
상기 메시지 인증값 처리부는 메시지의 무결성이 확인되면, 상기 메시지 무결성키로부터 응답 단말기 메시지 인증값을 생성하여, 상기 휴대/무선 인터넷 데이터 처리부로 전달하고, 상기 휴대/무선 인터넷 데이터 처리부는 상기 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성한다.
본 발명의 또 다른 특징에 따른 가입자 인증 방법은 중계기 및 인증 센터와 네트워크로 연결되며, 가입자 인증 모듈 및 무선 단말기를 포함하는 통합 가입자 인증 시스템에서 통신 방법에 따라 가입자를 인증한다. 여기서, 가입자 인증 모듈에서 a) 생성된 네트워크 예상 인증값을 네트워크로부터 수신된 네트워크 인증 값과 비교하여 네트워크를 인증 하는 단계; b) 계산된 동기화 값을 네트워크로부터 수신된 동기화 값과 비교하여 동기화를 확인하는 단계; c) 계산된 암/복호화키 및 무결성 키와 네트워크를 통해 수신된 가입자 식별값을 이용하여 마스터 키를 생성하는 단계; d) 마스터 키를 이용하여 메시지 암/복호화키 및 메시지 무결성 키를 생성하는 단계;가 수행되고, 무선 단말기에서 e) 네트워크를 통해 수신된 통신용 메시지 인증값으로부터 메시지 인증값을 구성하는 단계; f) 상기 메시지 무결성 키로부터 단말기 메시지 인증값을 구성하는 단계; g) 상기 단말기 메시지 인증값과 상기 메시지 인증값과 비교하여 메시지의 무결성을 확인하는 단계; h) 상기 메시지 무결성 키로부터 응답 단말기 메시지 인증값을 구성하는 단계; i) 상기 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성하는 단계; j) 상기 통신용 응답 단말기 메시지 인증값을 메시지 응답 값과 함께 상기 인증 센터로 전달하는 단계;가 수행된다.
여기서, 가입자 인증 모듈은 가입자 식별이 요청되면, 통신 방법에 따라 이동 통신용 가입자 식별값 또는 휴대/무선 인터넷용 가입자 식별값을 상기 무선 단말기를 통해 인증 센터로 전달하는 단계를 a) 단계 내지 d) 단계 이전에 수행한다.
본 발명에서는 앞서 개시한 바와 같이, 보안에 특히 중요한 마스터 키와 세션키를 가입자 인증 모듈에서 수행하게 하여, 키의 안전성을 담보하고, 메모리의 용량을 많이 사용하는 메시지 처리를 무선 단말기에서 수행하게 하여, 가입자 인증 모듈의 메시지 용량을 충분하게 확보할 수 있게 하였다.
따라서, 본 발명의 통합 가입자 인증 시스템 및 가입자 인증 방법을 이용하면, 적은 메모리 용량으로도 가입자 인증시 높은 보안성을 달성하는 범용 집적 회로 카드를 제공할 수 있게 된다.
또한, 앞에서 살펴본 바와 같이, 본 발명에 따른 가입자 인증 모듈을 이용하 면, 무선 단말기가 접속되어 있는 통신 서비스가 이동 통신 방식이든지, 휴대/무선 통신 인터넷 방식이든지 구별 없이 가입자를 인증할 수 있다.
따라서, 본 발명에 따른 가입자 인증 모듈을 포함하는 UICC를 소지하는 가입자는 이동통신 단말기, 휴대인터넷 단말기, 무선인터넷 단말기, 또는 두 개 이상을 지원하는 단말기등 무선 단말기의 종류에 상관없이 상기 UICC를 삽입함으로써 상기 모든 서비스에서 가입자 인증을 수행하고 각 통신 서비스에 해당하는 암/복호화 키 및 무결성 키 또는 메시지 암/복호화키 및 메시지 무결성 키를 무선 단말기가 아닌 가입자 인증 모듈에서 생성할 수 있으므로, 어떤 무선 통신 방법이든 안전하게 이용할 수 있다. 또한, 휴대/무선인터넷에 대한 메시지를 가입자 인증 모듈이 아닌 무선 단말기에서 생성함으로써 UICC의 메모리를 줄일 수가 있어서 UICC의 메모리를 확보할 수 있다.
따라서, 본 발명에 따른 가입자 인증 방법을 사용하면, 하나의 가입자 인증 모듈을 이용하여 3세대 이동통신뿐만 아니라 휴대인터넷 및 무선인터넷까지 보안성이 높으면서 신뢰성 높은 서비스를 이용할 수 있다.
이하, 본 발명을 바람직한 실시예와 첨부한 도면을 참고로 하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되는 것은 아니다.
먼저, 도 4를 참조하여 본 발명의 한 실시예에 따른 통합 가입자 인증 시스 템을 구체적으로 설명한다.
도 4에 도시된 통합 가입자 인증 시스템은 도 1에 도시된 종래의 가입자 인증 시스템과 유사하나, 본 발명의 가입자 인증 모듈(100) 및 무선 단말기(200)를 채용하고 있다는 점에서 그 구성이 차별된다.
도 4에 도시된 바와 같이, 본 발명의 한 실시예에 따른 통합 가입자 인증 시스템은 가입자 인증 모듈(100), 무선 단말기(200), 휴대/무선인터넷 접속 네트워크 기지국, 이동통신 접속 네트워크 기지국, 정산 서버(500), 중계기(600), 홈 위치 등록기, 및 인증 센터(700)를 포함한다.
가입자 인증 모듈(100)은 무선 단말기(200)로부터 가입자 인증 명령이 수신되면, 통신 방법이 3세대 이동통신 서비스인지, 휴대/무선 인터넷 서비스인지 확인하고, 해당 통신 방법에 대응하도록 가입자별로 기 저장되어 있는 가입자 데이터를 이용하여 가입자 인증을 수행하고, 무선 단말기(200)에서의 메시지 처리를 위해 마스터 키 및 세션키를 생성하고, 세션키를 전달한다. 여기서 가입자 데이터는 가입자 비밀키 K, 가입자 식별값, 동기화 값 SQN(Sequence Number)(이하, 'SQN'이라고도 한다), 서비스 제공자 구성 필드 OP(Operator Variant Algorithm Configuration Field)(이하, 'OP'라고도 한다) 또는 가입자 비밀키 K를 이용하여 OP를 암호화한 암호화된 서비스 제공자 구성 필드 (이하, 'OPc'라고도 한다), 동기화 확인 범위값 (Delta, L) 등을 포함한다.
여기서, 가입자 식별 값은 통신 방법에 따라, 이동통신용 가입자 식별값 IMSI(International Mobile Subscriber Identity)(이하, 'IMSI'라고도 한다)과 휴 대/무선 인터넷용 가입자 식별값 Identity으로 구별된다. 여기서 OP 또는 OPc는 비동기식 3세대 이동통신에서만 사용되고 동기식에서는 사용되지 않는 데이터이다.
이러한 가입자 인증 모듈(100)은 바람직하게는 범용 집적 회로 카드(Universal Integrated Circuit Card, 이하 'UICC'라고도 한다)내에 설치되어 이용된다. UICC는 가입자가 소지하는 IC 카드로서, 무선 단말기(200)에 삽입되어 무선 단말기(200)를 통하여 가입자 인증을 수행한다.
본 발명의 한 실시예에 따른 가입자 인증 모듈(100)은 모든 종류의 무선 단말기(200), 즉 휴대/무선 인터넷 단말기, 이동 통신 단말기(200), 또는 이동 통신/휴대/무선 통신 단말기(200)와 호환되어 가입자 인증을 수행하고, 마스터 키 및 세션키를 생성할 수 있는 것이 바람직하다.
무선 단말기(200)는 네트워크로부터 수신된 인증 요청을 받으면 가입자 인증 명령을 생성하여 상기 가입자 인증 모듈에 전달하고, 상기 가입자 인증 모듈(100)로부터 전달되는 세션키를 이용하여 메시지의 무결성을 확인하며, 네트워크를 통해 데이터가 통신될 수 있도록 데이터를 처리하여, 상기 가입자 인증 모듈(100)과 인증 센터(700)를 무선 네트워크로 연결한다.
이러한 무선 단말기(200)는 가입자 인증 모듈(100)이 설치되어 있는 UICC를 삽입하기 위한 삽입구를 가지는 것으로서, 휴대/무선 인터넷 단말기, 이동 통신/휴대/무선 통신 단말기, 또는 이동 통신 단말기일 수 있다. 여기서 이동 통신/휴대/무선 통신 단말기는 3세대 이동 통신을 위한 이동 통신 모듈(도시하지 않음)과 휴대/무선 통신을 위한 휴대/무선 통신 모듈(도시하지 않음)이 모두 구비된 무선 단 말기를 의미한다.
정산 서버(500)는 휴대/무선인터넷 단말기 또는 이동통신/휴대/무선인터넷 단말기와 휴대/무선인터넷 접속 네트워크 기지국을 통해 접속되며, 홈 위치 등록기와의 접속을 통해 휴대/무선인터넷에 대한 가입자와 인증 및 접속을 제어하고 서비스 사용에 대한 정산을 수행한다
중계기(600)는 이동통신/휴대/무선 통신 단말기 또는 이동통신 단말기와 이동 통신 접속 네트워크 기지국을 통해 접속되며, 가입자의 위치 정보를 등록하며 IMSI, 가입자 응답값 RES(이하, 'RES'라고도 한다) 등 필요한 인증 데이터를 저장한다.
인증 센터(700)는 가입자에 대한 키를 저장하며 소정의 알고리즘을 통하여 인증 데이터를 생성하며, 생성된 인증 데이터와 가입자 인증 모듈(100)로부터 전달된 인증 데이터를 이용하여 가입자 인증 및 데이터 무결성을 확인할 수 있다. 이러한 인증 센터(700)에서 사용되는 알고리즘으로는 밀레나제(MILENAGE) 알고리즘이 바람직하게 사용된다.
구체적으로 인증 센터(700)는 각 가입자별로 가입자 비밀키 K, 가입자 식별값 (Identity 또는 IMSI), 인증 관리 필드 (Authentication Management Field, 이하 'AMF'라고도 한다), 동기화 값 SQN, 서비스 제공자 구성 필드 OPc를 저장하며, 동기화 확인 범위값 (Delta, L) 등을 생성하여 저장한다.
이하, 도 5를 참조하여 본 발명의 한 실시예에 따른 가입자 인증 모듈(100)을 구체적으로 살펴본다.
도 5에 개시된 바와 같이, 가입자 인증 모듈(100)은 통신 방식 구별 처리부(110), 네트워크 인증 처리부(120), 동기화 처리부(130), 인증데이터 및 키 생성 처리부(140), 마스터 키 생성부(150), 세션키 생성부(160), 및 파일 접근 처리부(170)를 포함한다.
통신 방식 구별 처리부(110)는 무선단말기(200)로부터 전달되는 인증 명령을 해석하여 현재 접속하고 있는 통신 방식이 3세대 이동통신 서비스인지 휴대/무선 인터넷인지 확인하며, 그 방식에 맞게 인증과 키 일치가 이루어지도록 제어한다.
네트워크 인증 처리부(120)는 네트워크를 통해 전달받은 네트워크 인증값을 인증데이터 및 키 생성 처리부(140)에서 계산하여 생성된 네트워크 예상 인증값과 비교하여 네트워크를 인증한다.
동기화 처리부(130)는 인증 데이터 및 키생성 처리부(140)로부터 생성된 익명성 키 AK를 이용하여 인증 데이터 및 키생성 처리부(140)에서 계산된 동기화 값 SQN을 파일 접근 처리부(170)를 통해 읽어드린 기 저장된 동기화 값 SQN과 비교하여 동기화를 수행하고, 동기화가 이루어지지 않으면 재동기화 값을 계산하여 네트워크로 전송한다.
구체적으로, 상기 동기화 처리부(130)는 상기 인증 데이터 및 키생성 처리부(140)에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 클 경우 기 설정된 상위 최대 범위값 보다 작은 범위에 있는지 확인하고, 상기 인증 데이터 및 키생성 처리부(140)에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 작을 경우 기 설정된 하위 최대 범위값 보다 작은 범위에 있는지 확인한다.
인증데이터 및 키 생성 처리부(140)는 인증 명령에 포함된 인증 데이터 및 기 저장된 가입자 비밀키로부터 소정의 알고리즘에 따라 네트워크 예상 인증값, 가입자 응답값, 암/복호화 키 CK, 무결성 키 IK, 및 익명성 키 AK를 생성하고 동기화 값 SQN 을 계산한다. 본 발명의 한 실시예에서는 가입자 인증과 키 일치를 위해 인증센터(700)에서 사용하는 알고리즘과 동일한 밀레나제(MILENAGE) 알고리즘을 바람직하게 사용한다.
이와 같은 밀레나제 알고리즘으로는 본 출원인이 출원하여 등록받은 한국등록특허공보 제745617호에 구체적으로 게시되어 있는 것이 바람직하게 사용될 수 있으며, 이러한 기재는 본 발명의 명세서의 일부로 포함된다.
마스터 키 생성부(150)는 인증데이터 및 키 생성 처리부(140)에서 생성된 암/복호화 키 CK와 무결성 키 IK, 그리고 파일 접근 처리부(170)로부터 읽어오는 가입자 식별값 Identity 을 통해 마스터 키 MK(이하, 'MK'라고도 한다)를 생성한다.
세션키 생성부(160)는 상기 마스터 키 MK를 이용하여 메시지 암/복호화키 K_enr, 및 메시지 무결성 키 K_aut, 및 MSK, EMSK 등의 세션키를 생성한다.
파일 접근 처리부(170)는 통신 방법에 대응하는 인증과 암/복호화 키 CK 및 무결성 키 IK, MSK, EMSK 등의 세션키를 생성하기 위해 필요한 가입자 비밀키 K, 동기화 값 SQN 등과 같은 데이터를 UICC의 메모리에 저장된 파일 구조로부터 읽어 인증 데이터 및 키생성 처리부(140)에 전달한다.
이와 같은 본 발명의 한 실시예에 따른 가입자 인증 모듈(100)은 UICC 에 구비되어 무선 단말기(200)와 통신하여 가입자 인증을 수행한다.
이러한 본 발명의 한 실시예에 따른 무선 단말기(200)를 도 6을 참조하여 구체적으로 살펴본다.
도 6에 도시된 바와 같이, 본 발명의 한 실시예에 따른 무선 단말기(200)는 가입자 식별값 요청 명령 생성부(210), 가입자 인증 명령 생성부(220), 휴대/무선 인터넷 데이터 처리부(230), 및 메시지 인증값 처리부(240)를 포함한다.
가입자 식별값 요청 명령 생성부(210)는 중계기(600) 또는 인증 센터(700)로부터 가입자 식별값 요청이 수신되면, 가입자 식별값 요청 명령을 생성하여 상기 가입자 인증 모듈(100)에 전달한다.
가입자 인증 명령 생성부(220)는 네트워크를 통해 수신된 인증 요청을 이용하여 가입자 인증 명령을 생성한다. 이때, 인증 명령에는 무선단말기(200)가 접속하고 있는 서비스가 3세대 이동통신 서비스인지 휴대/무선인터넷 서비스인지에 대한 정보를 포함한다.
구체적으로 무선단말기(200)가 접속하고 있는 서비스가 3세대 이동통신 서비스인 경우에는 RAND, AUTN가 인증 명령에 포함되며, 이에 대한 결과로 가입자 인증 모듈(100)로부터 가입자 응답값 RES, 암/복호화키 CK, 무결성키 IK를 전달받는다. 그러나, 무선단말기(200)가 접속하고 있는 서비스가 휴대/무선인터넷 서비스인 경우에는 RAND, 및 AUTN이 인증 명령에 포함되며, 이에 대한 결과로 가입자 인증 모듈(100)로부터 가입자 응답값 RES, 메시지 암/복호화키 K_enc, 메시지 무결성 키 K_aut, MSK, EMSK를 전달받는다.
휴대/무선 인터넷 데이터 처리부 (230)는 네트워크로부터 수신된 통신용 데 이터로부터 목적하는 데이터를 구성하거나, 데이터로부터 네트워크로 송신할 통신용 데이터를 구성하도록 데이터를 처리한다. 구체적으로, 휴대/무선 인터넷 데이터 처리부 (230)는 통신용 인증 데이터 AT_RAND, AT_AUTN로부터 인증 데이터 RAND, AUTN를 구성하고, 통신용 메시지 인증값 AT_MAC으로부터 메시지 인증값 MAC을 구성하고, 가입자 응답값 RES로부터 통신용 메시지 응답값 AT_RES를 구성하고, 응답 단말기 메시지 인증값 MAC으로부터 통신용 응답 단말기 메시지 인증값 AT_ MAC을 구성한다. 그밖에 휴대/무선 인터넷 데이터 처리부 (230)는 메시지 암/복호화키 K_encr, 및 메시지 무결성 키 K_aut, 세션키 MSK, EMSK를 저장한다.
메시지 인증값 처리부(240)는 메시지 무결성키 K_aut를 이용하여 전달받은 메시지에 대한 단말기 메시지 인증값 MAC을 생성하고, 이를 휴대/무선 인터넷 데이터 처리부 (230)에서 구성된 메시지 인증값 MAC와 비교하여 메시지의 무결성을 확인한다. 그리고, 메시지 무결성이 확인되면, 메시지 인증값 처리부(240)는 메시지 무결성키 K_aut를 이용하여 전달할 메시지에 대한 응답 단말기 메시지 인증값 MAC을 생성하여 휴대/무선 인터넷 데이터 처리부 (230)로 전달한다.
구체적으로, 통신 서비스가 휴대/무선인터넷 서비스인 경우, 무선단말기(200)는 앞서 휴대/무선 인터넷 데이터 처리부 (230)를 통해 통신용 메시지 인증값 AT_MAC으로부터 메시지 인증값 MAC를 구성하고, 이렇게 구성된 메시지 인증값 MAC은 메시지 인증값 처리부(240)에서 메시지 무결성키 K_aut를 이용하여 생성된 단말기 메시지 인증값 MAC과 비교되어 메시지 무결성이 확인되면, 메시지 인증값 처리부(240)에서 메시지 무결성키 K_aut를 이용하여 생성된 추가 생성된 응답 단말 기 메시지 인증값 MAC는 휴대/무선 인터넷 데이터 처리부 (230)에서 통신용 응답 단말기 메시지 인증값 AT_MAC로 구성되어 가입자 응답값 RES로부터 구성된 통신용 메시지 응답값 AT_RES과 함께 인증 센터(700)로 전달한다.
이렇게 인증 센터(700)에 전달된 AT_RES는 가입자 응답값 RES를 구성하는데 이용되며, 이렇게 구성된 가입자 응답값 RES는 기 저장되어 있는 가입자 예상 응답값 XRES와 비교되어 가입자를 인증하는데 이용된다.
나아가, 무선 단말기(200)에서 생성된 통신용 응답 단말기 메시지 인증값 AT_MAC는 인증 센터(700)로 전달된 후, 응답 단말기 메시지 인증값 MAC으로 구성되고, 기 생성된 메시지 무결성 키 K_aut를 통해 전달된 메시지에 대하여 계산된 메시지 인증값 MAC와 비교되어 메시지에 대한 무결성을 확인하는데 이용된다.
한편, 사용되고 있는 통신 서비스가 3세대 이동통신 서비스인 경우, 무선 단말기(200)는 가입자 인증 모듈(100)로부터 가입자 응답값 RES를 수신하여, 중계기(600)으로 전달하고, 암/복호화키 CK 및 무결성 키 IK를 저장한다. 이렇게 중계기(600)로 전달된 가입자 응답값 RES은 중계기(600)에 기 저장되어 있는 가입자 예상 응답값 XRES와 비교되어 가입자를 인증하는데 이용된다.
이하, 도 7 및 도 8을 참조하여 본 발명의 한 실시예에 따른 통합 가입자 인증 시스템에서 이루어지는 가입자 인증 방법을 구체적으로 설명한다.
먼저, 서비스되고 있는 통신 방법이 3세대 이동통신 서비스인 경우에는 중계기(600)에서, 서비스되고 있는 통신 방법이 휴대/무선인터넷인 경우에는 인증센터(700)에서 가입자 식별값 요청이 무선단말기(200)에 전달된다(s100).
무선단말기(200)는 가입자 식별값 요청이 수신되면, 가입자 식별값 요청 명령을 생성하여 가입자 인증 모듈(100)에 전달한다(s200).
가입자 인증 모듈(100)은 가입자 식별값 요청 명령에 대응하는데, 통신 방법이 3세대 이동통신 서비스인 경우에는 기 저장되어 있는 이동 통신용 가입자 식별값 IMSI를 무선단말기(200)를 통해 인증 센터(700)에 전달하고, 휴대/무선인터넷 서비스인 경우에는 기 저장되어 있는 휴대/무선 인터넷용 가입자 식별값 Identity 을 무선단말기(200)를 통해 인증 센터(700)에 전달한다.
인증센터(700)는 가입자 인증 모듈(100)로부터 수신된 가입자 식별값 IMSI 또는 Identity 을 이용하여 해당하는 가입자에 대하여 밀레나제 알고리즘을 이용하여 인증 데이터와 세션키를 생성한다(s400).
구체적으로, 인증 센터(700)는 가입자 식별값 IMSI 또는 Identity 에 대응하는 기 저장되어 있는 가입자의 비밀키 K, 동기화 값 SQN를 검색하여 획득한다. 이때 3세대 이동통신 시스템이 비동기식인 경우에는 가입자에 대한 OP 또는 OPc를 추가 획득하여 AMF와 난수 RAND를 생성한다. 그 후, 인증 센터(700)는 밀레나제 알고리즘을 이용하여 네트워크 인증값, 가입자 예상 응답값 XRES, 암/복호화키 CK, 무결성 키 IK, 익명성 키 AK를 생성하여 인증데이터를 구성한다. 이때, 익명성 키AK와 XOR된 SQN, AMF, MAC으로 인증 데이터 AUTN을 구성한다.
인증 센터(700)는 이렇게 생성된 인증데이터 RAND, AUTN을 가입자 인증 요청 메시지에 포함하여 무선단말기(200)에게 전송하여 가입자의 인증을 요청한다(s500).
이때, 사용되고 있는 통신 서비스가 휴대/무선인터넷 서비스인 경우, 인증 센터(700)는 인증데이터 중 암/복호화키 CK, 무결성 키 IK와 가입자 식별값 Identity 을 이용하여 SHA-1을 통해 마스터 키 MK를 추가 생성한다. 그리고, 인증 센터(700)는 이렇게 생성된 마스터 키 MK를 이용하여 PRF(Pseudo-Random Number Function)을 통해 메시지 암/복호화키 K_encr, 메시지 무결성 키 K_aut, 세션키를 생성해서 보내는 메시지에 대한 인증값 MAC을 메시지 무결성 키 K_aut를 사용하여 생성한 다음, 통신용 메시지 인증 값 AT_MAC으로 구성한 후, 기 생성된 RAND로부터 구성한 AT_RAND, 기 생성된 AUTN으로부터 구성한 AT_AUTN과 함께 무선단말기(200)에 전달한다.
인증 센터(700)로부터 가입자 인증 요청을 받으면, 무선단말기(200)의 가입자 인증 명령 생성부(220)는, 통신 방법이 3세대 이동통신 서비스인 경우, 인증 데이터 RAND, AUTN를 포함하는 가입자 인증 명령을 생성하고, 휴대/무선인터넷 서비스인 경우, 휴대/무선 인터넷 데이터 처리부(230)는 인증 데이터 AT_RAND, AT_AUTN, AT_MAC으로부터 RAND, AUTN을 구성한 후, RAND 및 AUTN을 포함하는 가입자 인증 명령을 생성해서 어떤 통신 서비스인지에 대한 정보와 함께 가입자 인증 모듈(100)에 전달한다(s600).
인증 명령을 수신하면, 가입자 인증 모듈(100)은 상기 인증 데이터 RAND, AUTN와 기 저장되어 있는 가입자 비밀키 K를 이용하여 인증센터(700)와 동일한 알고리즘을 통해 네트워크 예상 인증값 XMAC, 가입자 응답값 RES, 암/복호화키 CK, 무결성키 IK, 익명성 키 AK를 생성하고, 전달된 AUTN 내 익명성 키 AK와 XOR된 SQN 으로부터 동기화 값 SQN을 계산하여 획득한다(s650).
그 후, 가입자 인증 모듈(100)의 통신 방식 구별 처리부(110)는 인증 명령을 해석하여 이루어지고 있는 통신 방법이 3세대 이동통신 방법인지, 휴대/무선 통신 방법인지 확인한다(s660).
그 경우, 통신 방법이 휴대/무선 통신 방법인 경우, 가입자 인증 모듈(100)은 마스터 키 MK, 메시지 암/복호화키 K_enr, 및 메시지 무결성 키 K_aut, 및 MSK, EMSK 등의 세션키를 생성한다(s670)
구체적으로, 가입자 인증 모듈(100)의 인증데이터 및 키 생성 처리부(140)는 소정의 알고리즘에 따라 네트워크 예상 인증값, 가입자 응답값, 암/복호화 키CK, 무결성 키 IK를 생성하고, 가입자 인증 모듈(100)의 마스터 키 생성부(150)는 인증데이터 및 키 생성 처리부(140)에서 생성된 암/복호화 키 CK와 무결성 키 IK, 그리고 파일 접근 처리부(170)로부터 읽어오는 가입자 식별값 Identity 을 이용하여 SHA-1을 통해 마스터 키 생성 알고리즘에 의해 마스터 키 MK(이하, 'MK'라고도 한다)를 생성하고, 세션키 생성부(160)는 상기 마스터 키 MK를 이용하여 세션키 생성 알고리즘인 PRF(Pseudo-Random Number Function)을 통해 메시지 암/복호화키 K_enr, 및 메시지 무결성 키 K_aut, 및 MSK, EMSK 등의 세션키를 생성한다.
한편, 가입자 인증 모듈(100)은 생성된 네트워크 예상 인증값과 네트워크를 통해 전달받은 인증 데이터 AUTN 내에 포함된 네트워크 인증 값을 비교하여 네트워크를 인증한다(s680).
그리고, 네트워크 인증이 성공적으로 이루어지면, 가입자 인증 모듈(100)은 생성된 익명성 키AK를 사용하여 획득한 동기화 값 SQN과 기 저장된 동기화 값SQN을 동기화 확인 범위값(Delta, L)을 이용하여 동기화를 확인한다(s700).
구체적으로, 상기 가입자 인증 모듈(100)의 동기화 처리부(130)는 상기 인증 데이터 및 키생성 처리부(140)에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 클 경우 동기화 확인 범위값(Delta, L)의 기 설정된 상위 최대 범위값 보다 작은 범위에 있는지 확인하고, 상기 인증 데이터 및 키생성 처리부(140)에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 작을 경우 동기화 확인 범위값(Delta, L)의 기 설정된 하위 최대 범위값 보다 작은 범위에 있는지 확인한다.
이때, 동기화값이 올바르지 않은 경우, 가입자 인증 모듈(100)은 AUTS를 생성해서 AUTS를 무선 단말기(200)로 전달한다(s710, s720).
동기화가 제대로 이루어지면, 가입자 인증 모듈(100)의 통신 방식 구별 처리부(110)는 가입자 인증명령을 해석하여, 통신 방법이 3세대 이동 통신 서비스인지 휴대/무선 통신 서비스인지 확인한다(s750).
그 결과, 통신 방법이 3세대 이동통신 서비스인 경우이면, 가입자 인증 모듈(100)은 생성된 가입자 응답값 RES, 및 암/복호화키 CK, 무결성키 IK를 무선단말기(300)에 전달한다(s800).
한편, 통신 방법이 휴대/무선 통신 서비스인 경우이면, 상기 가입자 인증 모듈(100)은 생성된 가입자 응답값 RES, 상기 메시지 암/복호화키 K_encr, 및 메시지 무결성 키 K_aut, 세션키 MSK, EMSK를 상기 무선 단말기(200)에 전달한다(s1100).
그러면, 무선 단말기(300)의 휴대/무선 인터넷 데이터 처리부(230)는 네트워 크를 통해 인증 센터(700)로부터 수신된 통신용 메시지 인증값 AT_MAC로부터 메시지 인증값 MAC을 구성하여, 메시지 인증값 처리부(240)에 전달한다.
그러면, 메시지 인증값 처리부(240)는 메시지 무결성 키 K_aut를 이용하여 단말기 메시지 인증값 MAC을 구성한 뒤, 휴대/무선 인터넷 데이터 처리부(230)에서 구성된 메시지 인증값 MAC과 비교하여 메시지의 무결성을 확인한다.
이와 같이 메시지의 무결성이 확인되면, 메시지 인증값 처리부(240)는 메시지 무결성 키 K_aut를 이용하여 인증 센터(700)로 전달할 응답 단말기 메시지 인증 값 MAC를 생성한다.
한편, 휴대/무선 인터넷 데이터 처리부(230)는 메시지 인증값 처리부(240)에서 생성된 응답 단말기 메시지 인증 값 MAC으로부터 통신용 응답 단말기 메시지 인증값 AT_MAC을 구성하고, 상기 가입자 응답값 RES로부터 통신용 메시지 응답값 AT_RES를 구성하고, 메시지 암/복호화키 K_encr, 및 메시지 무결성 키 K_aut, 세션키 MSK, EMSK를 저장한다(s1200).
이와 같이 본 발명에서는 메시지의 무결성을 무선 단말기(300)와 인증 센터(700)에서 확인하는데, 무선 단말기(300)에서는 인증 센터(700)가 가입자 인증 요청을 할 때 인증 센터(700)로부터 수신된 메시지에 대하여 무결성을 확인하는 것이며, 인증 센터(700)에서는 무선 단말기(300)가 가입자 응답을 할 때, 무선 단말기(700)로부터 받은 메시지에 대하여 무결성을 확인하는 것이다. 따라서, 서로 다른 메시지에 대하여 무결성을 확인하게 되며, 그에 따라 통신용 메시지 인증값 AT_MAC 값도 상이하게 된다.
한편, 통신 방식이 3세대 이동통신 서비스이어서, 가입자 응답값 RES 및 암/복호화키 CK, 무결성키 IK를 전달 받은 경우, 무선 단말기(300)는 암/복호화키 CK, 및 무결성키 IK를 저장하고 가입자 응답값 RES를 중계기(600)에 전달한다(s900). 그리고, 중계기(600)는 무선단말기(300)로부터 전달받은 가입자 응답값 RES를 기 저장되어 있는 가입자 예상 응답값 XRES와 비교하여 가입자를 인증한다(s1000).
그러나, 통신 방식이 휴대/무선 인터넷 서비스인 경우에는 가입자 응답값 RES를 포함하는 메시지 응답 값 AT_ RES와 메시지 무결성 키 K_aut를 이용하여 전달할 메시지에 대한 통신용 단말기 메시지 인증값 AT_MAC을 인증 센터(700)로 전달한다(s1300).
그러면, 인증센터(700)는 무선단말기(300)로부터 받은 통신용 메시지 응답 값 AT_RES를 통해 가입자 응답값 RES를 구성하고, 구성된 가입자 응답값 RES를 기 저장되어 있는 가입자 예상 응답값 XRES와 비교하여 가입자를 인증하고, 기 생성된 메시지 무결성 키 K_aut를 통해 메시지 인증값 MAC를 계산하고, 무선 단말기(200)로부터 수신된 통신용 응답 단말기 메시지 인증값 AT_MAC로부터 구성한 응답 단말기 메시지 인증값 MAC과 비교하여 메시지에 대한 무결성을 확인한다(s1400).
상기에서는 본 발명의 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 본 발명의 기술 사상 범위 내에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 첨부된 특허 청구 범위에 속하는 것은 당연하다.
도 1은 종래의 가입자 인증 시스템의 구성을 개략적으로 보여준다.
도 2는 종래의 가입자 인증 방법의 일례를 개략적으로 보여주는 흐름도이다.
도 3은 종래의 가입자 인증 방법의 또 다른 예를 개략적으로 보여주는 흐름도이다.
도 4는 본 발명의 한 실시예에 따른 통합 가입자 인증 시스템의 구성을 개략적으로 보여준다.
도 5는 도 4의 가입자 인증 모듈의 구성을 개략적으로 보여준다.
도 6은 도 4의 무선 단말기의 구성을 개략적으로 보여준다.
도 7은 본 발명의 한 실시예에 따른 가입자 인증 방법을 개략적으로 보여주는 흐름도이다.
도 8은 본 발명의 한 실시예에 따른 가입자 인증 방법을 개략적으로 보여주는 순서도이다.

Claims (10)

  1. 중계기 및 인증 센터와 네트워크로 연결되며, 가입자 인증 모듈 및 무선 단말기를 포함하며 통신 방법에 따라 가입자를 인증하는 통합 가입자 인증 시스템에 있어서,
    상기 가입자 인증 모듈은
    상기 인증 센터에서 생성되어 가입자 인증 명령에 포함된 인증 데이터 및 기 저장된 가입자 비밀키로부터 네트워크 예상 인증값, 가입자 응답값, 암/복호화 키, 무결성 키, 및 익명성 키를 생성하고, 동기화 값을 계산하는 인증 데이터 및 키생성 처리부;
    상기 가입자 인증 명령을 해석하여, 상기 통신 방법이 이동통신 서비스인지, 휴대/무선 인터넷 서비스인지 확인하는 통신 방식 구별 처리부;
    상기 네트워크 예상 인증값을 네트워크를 통해 수신된 네트워크 인증 값과 비교하여 네트워크를 인증하는 네트워크 인증 처리부;
    상기 익명성 키를 사용하여, 상기 계산된 동기화 값을 네트워크를 통해 수신된 동기화 값과 비교하여 동기화를 확인하는 동기화 처리부;
    상기 암/복호화 키 및 무결성 키, 및 상기 가입자 인증 명령에 포함된 가입자 식별값을 통해 마스터 키를 생성하는 마스터 키 생성부; 및
    상기 마스터 키를 이용하여 메시지 암/복호화키, 및 메시지 무결성 키를 생성하는 세션키 생성부;
    를 포함하고,
    상기 무선 단말기는
    네트워크를 통해 수신된 가입자 인증 요청으로부터 상기 가입자 인증 명령을 생성하는 가입자 인증 명령 생성부;
    네트워크를 통해 수신된 통신용 메시지 인증값으로부터 메시지 인증값을 구성하고, 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성하고, 상기 가입자 응답값으로부터 메시지 응답값을 생성하는 휴대/무선 인터넷 데이터 처리부; 및
    상기 메시지 무결성키로부터 상기 단말기 메시지 인증값을 생성하고, 상기 단말기 메시지 인증값을 상기 메시지 인증값과 비교하여 메시지의 무결성을 확인하는 메시지 인증값 처리부;
    를 포함하는 것을 특징으로 하는 통합 가입자 인증 시스템.
  2. 제1항에 있어서,
    상기 무선 단말기는
    상기 중계기 또는 인증 센터로부터 가입자 식별값 요청이 수신되면, 가입자 식별값 요청 명령을 생성하여 상기 가입자 인증 모듈에 전달하는 가입자 식별값 요청 명령 생성부;
    를 더 포함하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  3. 제1항에 있어서,
    상기 통신 방식 구별 처리부는 통신 방법에 따라 이동통신용 가입자 식별값 또는 휴대/무선 인터넷용 가입자 식별값을 구별하여 상기 무선 단말기에 전달하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  4. 제1항에 있어서,
    상기 인증 데이터는 상기 가입자 식별값을 이용하여 상기 인증 센터에서 생성된 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  5. 제1항에 있어서,
    상기 가입자 인증 요청은 상기 인증 데이터를 포함하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  6. 제1항에 있어서,
    상기 무선 단말기는 상기 인증 센터로부터 수신된 메시지에 대하여 무결성을 확인하며, 상기 인증 센터는 상기 무선 단말기로부터 수신된 메시지에 대하여 무결성을 확인하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  7. 제1항에 있어서,
    상기 메시지 인증값 처리부는 메시지의 무결성이 확인되면, 상기 메시지 무 결성키로부터 응답 단말기 메시지 인증값을 생성하여, 상기 휴대/무선 인터넷 데이터 처리부로 전달하고,
    상기 휴대/무선 인터넷 데이터 처리부는 상기 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서,
    상기 동기화 처리부는 상기 인증 데이터 및 키생성 처리부에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 클 경우 기 설정된 상위 최대 범위값 보다 작은 범위에 있는지 확인하고,
    상기 인증 데이터 및 키생성 처리부에서 계산된 동기화 값이 기 저장되어 있는 동기화 값보다 작을 경우 기 설정된 하위 최대 범위값 보다 작은 범위에 있는지 확인하는 것을 특징으로 하는 상기 통합 가입자 인증 시스템.
  9. 중계기 및 인증 센터와 네트워크로 연결되며, 가입자 인증 모듈 및 무선 단말기를 포함하는 통합 가입자 인증 시스템에서 통신 방법에 따라 가입자를 인증하는 가입자 인증 방법에 있어서,
    상기 가입자 인증 모듈에서
    a) 생성된 네트워크 예상 인증값을 네트워크로부터 수신된 네트워크 인증 값과 비교하여 네트워크를 인증 하는 단계;
    b) 계산된 동기화 값을 네트워크로부터 수신된 동기화 값과 비교하여 동기화를 확인하는 단계;
    c) 계산된 암/복호화키 및 무결성 키와 네트워크를 통해 수신된 가입자 식별값을 이용하여 마스터 키를 생성하는 단계;
    d) 상기 마스터 키를 이용하여 메시지 암/복호화키 및 메시지 무결성 키를 생성하는 단계;
    가 수행되고,
    상기 무선 단말기에서
    e) 네트워크를 통해 수신된 통신용 메시지 인증값으로부터 메시지 인증값을 구성하는 단계;
    f) 상기 메시지 무결성 키로부터 단말기 메시지 인증값을 구성하는 단계;
    g) 상기 단말기 메시지 인증값과 상기 메시지 인증값과 비교하여 메시지의 무결성을 확인하는 단계;
    h) 상기 메시지 무결성 키로부터 응답 단말기 메시지 인증값을 구성하는 단계;
    i) 상기 응답 단말기 메시지 인증값으로부터 통신용 응답 단말기 메시지 인증값을 구성하는 단계;
    j) 상기 통신용 응답 단말기 메시지 인증값을 메시지 응답 값과 함께 상기 인증 센터로 전달하는 단계;
    가 수행되는 것을 특징으로 하는 가입자 인증 방법.
  10. 제9항에 있어서,
    상기 가입자 인증 모듈은
    가입자 식별이 요청되면, 통신 방법에 따라 이동 통신용 가입자 식별값 또는 휴대/무선 인터넷용 가입자 식별값을 상기 무선 단말기를 통해 상기 인증 센터로 전달하는 단계를 상기 a) 단계 내지 d) 단계 이전에 수행하는 것을 특징으로 하는 상기 가입자 인증 방법.
KR1020070125514A 2007-12-05 2007-12-05 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법 KR100934309B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070125514A KR100934309B1 (ko) 2007-12-05 2007-12-05 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070125514A KR100934309B1 (ko) 2007-12-05 2007-12-05 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법

Publications (2)

Publication Number Publication Date
KR20090058767A KR20090058767A (ko) 2009-06-10
KR100934309B1 true KR100934309B1 (ko) 2009-12-29

Family

ID=40989090

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070125514A KR100934309B1 (ko) 2007-12-05 2007-12-05 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법

Country Status (1)

Country Link
KR (1) KR100934309B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110048974A (ko) * 2009-11-04 2011-05-12 삼성전자주식회사 무선통신 시스템에서 마스터 세션 키를 갱신하기 위한 장치 및 방법
KR101115530B1 (ko) * 2009-12-21 2012-02-27 한국전자통신연구원 다중 접속 네트워크 환경에서의 단말 인증 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050060839A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 무선 인터넷 가입자 인증 방법 및 그 장치
WO2006013150A1 (en) 2004-08-02 2006-02-09 Service Factory Sf Ab Sim-based authentication
KR20060030994A (ko) * 2004-10-07 2006-04-12 한국전자통신연구원 3g인증에서 생성된 암호키를 이용한 공중 무선랜 및 휴대인터넷의 접속 인증 방법
EP1770840A1 (fr) 2003-07-18 2007-04-04 Planet-Wattohm Console avec maintien temporaire d'un couvercle de chemin de câbles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1770840A1 (fr) 2003-07-18 2007-04-04 Planet-Wattohm Console avec maintien temporaire d'un couvercle de chemin de câbles
KR20050060839A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 무선 인터넷 가입자 인증 방법 및 그 장치
WO2006013150A1 (en) 2004-08-02 2006-02-09 Service Factory Sf Ab Sim-based authentication
KR20060030994A (ko) * 2004-10-07 2006-04-12 한국전자통신연구원 3g인증에서 생성된 암호키를 이용한 공중 무선랜 및 휴대인터넷의 접속 인증 방법

Also Published As

Publication number Publication date
KR20090058767A (ko) 2009-06-10

Similar Documents

Publication Publication Date Title
DK1348280T3 (en) Approval data communications
EP2255507B1 (en) A system and method for securely issuing subscription credentials to communication devices
JP5189066B2 (ja) 端末装置におけるユーザ認証方法、認証システム、端末装置及び認証装置
JP5255060B2 (ja) 安全な無線通信
US7640430B2 (en) System and method for achieving machine authentication without maintaining additional credentials
US7793102B2 (en) Method for authentication between a portable telecommunication object and a public access terminal
CN108471610B (zh) 蓝牙连接控制系统
EP1519536B1 (en) Home network device, home network system and method for automating take ownership process
US20140344160A1 (en) Universal Authentication Token
US20110271330A1 (en) Solutions for identifying legal user equipments in a communication network
US10050791B2 (en) Method for verifying the identity of a user of a communicating terminal and associated system
US20030236980A1 (en) Authentication in a communication system
KR20010021127A (ko) 통신 시스템 및 그와 통신하는 유닛간에 키를 갱신하는방법 및 시스템
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
JP4706317B2 (ja) 通信システム,通信方法および通信端末
US20210256102A1 (en) Remote biometric identification
CN112311558B (zh) 一种密钥设备的工作方法及密钥设备
JP7021376B2 (ja) 通信装置、通信方法、およびコンピュータプログラム
CN108352982B (zh) 通信装置、通信方法及记录介质
KR100934309B1 (ko) 통합 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법
WO2006026925A1 (fr) Procede d'etablissement de la cle d'authentification
KR100745617B1 (ko) 가입자 인증 시스템 및 이를 이용한 가입자 인증 방법
CN101228769B (zh) 在通用引导架构(gba)中结合认证偏好来提供移动节点标识的装置、方法和计算机程序产品
JP7036705B2 (ja) 通信装置、通信方法、およびコンピュータプログラム
Latze et al. A Proof-of-Concept Implementation of EAP-TLS with TPM Support.

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121130

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131031

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20141210

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161017

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20171016

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181015

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191015

Year of fee payment: 11