KR101009330B1 - 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 - Google Patents

모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 Download PDF

Info

Publication number
KR101009330B1
KR101009330B1 KR1020087020544A KR20087020544A KR101009330B1 KR 101009330 B1 KR101009330 B1 KR 101009330B1 KR 1020087020544 A KR1020087020544 A KR 1020087020544A KR 20087020544 A KR20087020544 A KR 20087020544A KR 101009330 B1 KR101009330 B1 KR 101009330B1
Authority
KR
South Korea
Prior art keywords
service entity
authentication
service
eac
temporary
Prior art date
Application number
KR1020087020544A
Other languages
English (en)
Other versions
KR20080089500A (ko
Inventor
지웨이 웨이
수얀 판
챠오 리
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CNA2006100333772A external-priority patent/CN101009919A/zh
Priority claimed from CN200610074902A external-priority patent/CN101052032B/zh
Priority claimed from CN200610079252A external-priority patent/CN101060406B/zh
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20080089500A publication Critical patent/KR20080089500A/ko
Application granted granted Critical
Publication of KR101009330B1 publication Critical patent/KR101009330B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Abstract

본 발명은 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티 및 엔티티 인증 센터, EAC를 포함하는 시스템에 적용되는, 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증 방법으로서, 협정된 인증 모드에 따라서 제1 서비스 엔티티 및 EAC 사이 및 제2 서비스 엔티티 및 EAC 사이 각각의 상호 인증을 수행하는 단계; 제1 서비스 엔티티가 서비스를 제공하도록 제2 서비스 엔티티에 요청하면, EAC가 협정된 인증 모드에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 협정된 인증 모드에 따라서 공유 피구동 키를 생성하는 단계; 및 제1 서비스 엔티티 및 제2 서비스 엔티티가 공유 피구동 키 및 협정된 인증 모드에 따라서 서로 인증하며, 서비스를 보호하기 위한 세션 키를 생성하는 단계를 포함한다.

Description

모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터{METHOD, SYSTEM AND AUTHENTICATION CENTRE FOR AUTHENTICATING IN END-TO-END COMMUNICATIONS BASED ON A MOBILE NETWORK}
본 발명은 네트워크 통신 서비스 기술, 특히 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터에 관한 것이다.
현재, 모바일 가입자(mobile subscriber)에게 서비스를 제공할 때, 대부분의 응용 서버(application servers)는 먼저 모바일 가입자와 인증 프록시(authentication proxy) 사이, 모바일 가입자와 공개키 인트라스트럭처(Public Key Infrastructure, PKI) 증명 기관(certificate organization) 사이, 모바일 가입자와 콘텐트 제공 서버(content providing server) 사이, 등에서와 같이 모바일 가입자와의 상호 신뢰 관계를 수립한다. 보통, 이러한 신뢰 관계는 모바일 가입자와 응용 서버 사이의 양방향 인증 프로시져(bidirectional authentication procedure) 동안에 수립된다.
3G 무선 통신 표준(3G radio communication standards)에 있어서, 제너릭 인증 아키텍쳐(Generic Authentication Architecture, GAA)는 가입자 ID(subscriber identities)를 검증하기 위하여 다양한 응용 서비스 엔티티(application service entities)에 의하여 사용되는 일반적 아키텍쳐이며, 응용 서비스 가입자(application service subscribers)를 확인할 수 있으며 가입자 ID를 검증할 수 있다. 상술한 응용 서비스는 멀티캐스트/브로드캐스트 서비스(multicast/broadcast service), 사용자 인증 서비스(user certificate service), 인스턴트 정보(instant information)를 제공하기 위한 서비스, 또는 프록시 서비스(proxy service)가 될 수 있다.
도 1은 통상적으로 가입자(101), 가입자 ID에 대한 초기 확인 및 검증을 수행하는 부트스트랩핑 서버 기능(Bootstrapping Server Function (BSF), 102), 홈 가입자 서버(Home Subscriber Server (HSS), 103) 및 네트워크 응용 기능(Network Application Function (NAF), 104)을 포함하는 GAA의 아키텍쳐를 나타내는 개략적인 도면이다. BSF(102)는 가입자(101)와 함께 상호 ID 검증(mutual identity verification)을 수행하며 BSF(102)와 가입자(101)를 위하여 공유 키(shared key)를 생성하는 역할을 한다. HSS(103)는 가입자 정보(subscriber information)를 기술하기 위한 프로파일(Profile)을 저장하며 인증 정보를 생성하는 기능을 갖는다.
서비스를 이용하기를 원할 때, 만약 서비스가 BSF와의 상호 인증 프로시져를 필요로 하는 경우에 가입자는 상호 인증을 위하여 BSF와 직접 통신을 한다. 그렇지 않으면, 가입자는 먼저 서비스에 상응하는 NAF에 접촉하며, 만약 NAF가 GAA를 사용하고 또 서비스를 요청하는 가입자가 상호 인증 프로시져를 위한 BSF와의 통신을 하지 않는 경우에, NAF는 BSF와 함께 ID 검증을 수행하도록 서비스를 요청하는 가 입자에게 통지한다.
상호 인증이 성공적으로 이루어지면, 가입자와 BSF는 각각 서로의 ID를 인증하며 공유 키, Ks를 생성한다. 더욱이, BSF는 Ks의 업데이트를 촉진하기 위하여 Ks에 대한 유효기간(lifetime)을 정의한다. 마지막으로, BSF는 가입자를 위하여 부트스트랩피 트랜잭션 식별자(Bootstrapping Transaction Identifier (B-TID))를 할당하며 Ks를 위한 유효기간과 함께 B-TID를 사용자 장치(user equipment (UE))로 전달하며, 여기서 B-TID는 Ks에 결합된다. 루트 키(root key)로서 사용되는 공유 키, Ks는 가입자의 UE 및 BSF를 이탈하지 않을 것이다. 가입자가 NAF와 통신할 때, Ks에 의하여 구동되는 키, Ks_NAF는 통신을 보호하기 위하여 사용된다.
GAA의 단점은: 1. 가입자와 BSF 사이의 인증에서 지원되는 오직 하나의 인증 메커니즘(즉, AKA 인증 메커니즘)이며; 2. NAF를 위조하는 공격자들에 의하여 가입자의 비밀 정보에 대한 도난을 초래할 수 있는, BSF 및 NAF 사이의 인증을 제공하지 않는 인증 메커니즘이라는 점이다.
3GPP2에서, 도 2를 참조하면, 역시 GAA가 존재한다. 도 2는 현재의 3GPP2에서의 GAA를 나타내는 도면이다. 3GPP2 내의 GAA는 모바일 노드(Mobile Node (MN), 201), 네트워크 응용 기능(202), 가입자 ID에 대한 초기 확인 및 검증을 위한 BSF(203), 홈 위치 등록기/인증 센터(Home Location Register/Authentication Centre (HLR/AC)), 및 인증 허가 과금(Authentication Authorization Accounting (AAA)) 서버를 포함한다.
NAF에 의하여 제공되는 서비스를 사용하기를 원하면, MN은 먼저 BSF와 상호 인증을 수행하여야 한다. MN의 지원 조건 및 네트워크 및 오퍼레이터의 로컬 정책(local policy)에 따라서 자유롭게 선택될 수 있는 세 종류의 상호 인증 메커니즘(AKA 인증 메커니즘, CAVE-기반 인증 메커니즘 및 AAA-기반 인증 메커니즘을 포함함)이 있다.
그러나 3GPP2에서의 GAA는 하나의 서비스 엔티티와 다양한 네트워크 사이의 상호 인증을 위하여 적용할 수 없는 세 개의 인증 메커니즘만을 지원한다. 더욱이, 인증 메커니즘은 BSF 및 NAF 사이의 인증을 제공하지 않으며, 이것은 NAF를 위조하는 공격자들에 의하여 가입자의 비밀 정보에 대한 도난을 초래할 수 있다.
요약하면, 현재의 GAA들은 단지 그들이 속하며 네트워크 및 서비스 엔티티에 의하여 제한되는 표준 범위 내에서만 적용될 수 있으며, 따라서 몇 가지 제한을 갖는다.
본 발명에 따른 실시예들은 다양한 엔티티 사이의 상호 신뢰 관계를 수립하기 위하여 서로 다른 모바일 네트워크 표준들을 위하여 적용 가능한 제너릭 인증 아키텍쳐를 제공한다.
본 발명의 실시예들에 따른 기술적 솔루션들은 아래와 같다:
본 발명의 실시예들은 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티, 및 엔티티 인증 센터(EAC:Entity Authentication Center)를 포함하는 시스템에 적용되는, 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증 방법으로서,
제1 서비스 엔티티 및 EAC 사이의 인증 모드를 협정하는 단계-여기서, 협정된 인증 모드는 제1 서비스 엔티티 및 EAC 사이의 인증 메커니즘, 제2 서비스 엔티티 및 EAC 사이의 인증 메커니즘, 인증 질의(authentication inquiring)의 메커니즘, 피구동 키(derived key)를 생성하기 위한 메커니즘, 및 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 인증 메커니즘을 포함함-;
협정된 인증 모드에 포함되는 제1 서비스 엔티티 및 EAC 사이의 인증 메커니즘에 따라서 EAC 및 제1 서비스 엔티티 사이의 상호 인증을 수행하며, 협정된 인증 모드에 포함되는 제2 서비스 엔티티 및 EAC 사이의 인증 메커니즘에 따라서 EAC 및 제2 서비스 엔티티 사이의 상호 인증을 수행하는 단계;
만약 제1 서비스 엔티티가 서비스를 제공하도록 제2 서비스 엔티티에 요청하면, EAC가 협정된 인증 모드에 포함되는 인증 질의의 메커니즘에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 협정된 인증 모드에 포함되는 피구동 키를 생성하기 위한 메커니즘에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키(shared derived key)를 생성하는 단계; 및
제1 서비스 엔티티 및 제2 서비스 엔티티가 공유 피구동 키 및 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 인증 메커니즘에 따라서 서로 인증하며, 서비스를 보호하기 위한 세션 키(session key)를 생성하는 단계를 포함하는 인증 방법을 개시한다.
또한 본 발명의 실시예들은 서비스 엔티티 및 EAC에 적용되는, 서비스 엔티티 인증 방법으로서,
서비스 엔티티 및 EAC 사이의 인증 모드를 협정하는 단계-여기서, 협정된 인증 모드는 서비스 엔티티 및 EAC 사이의 인증 메커니즘을 포함함-; 및 협정된 인증 모드에 포함되는 인증 메커니즘에 따라서 서비스 엔티티 및 EAC 사이의 상호 인증을 수행하는 단계를 포함하는 서비스 엔티티 인증 방법을 개시한다.
본 발명의 실시예들은 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티 및 EAC를 포함하는 시스템에 적용되는 인증 질의 방법으로서-여기서, 제1 서비스 엔티티 및 EAC 사이 및 제2 서비스 엔티티 및 EAC 사이의 상호 인증이 각각 수행되며, EAC가 제1 서비스 엔티티 및 제2 서비스 엔티티 각각을 위하여 임시 ID를 할당하며 제1 서비스 엔티티 및 제2 서비스 엔티티와의 통신 및 EAC와의 통신을 각각 보호하기 위하여 공유 키 머티리얼을 획득하며, 제1 서비스 엔티티가 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 포함하는 인증 모드를 협정함-, 방법은:
만약 제1 서비스 엔티티가 제2 서비스 엔티티에 의하여 제공되는 서비스를 요청하면, 협정된 인증 모드에 포함되는 인증 질의의 메커니즘에 따른 제1 서비스 엔티티 및 제2 서비스 엔티티의 임시 ID에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티의 권한을 인증하는 단계; 및 협정된 인증 모드, 제1 서비스 엔티티 및 제2 서비스 엔티티의 임시 ID, 및 제1 서비스 엔티티와의 통신을 보호하기 위한 공유 키 머티리얼 내에 포함되는 피구동 키를 생성하기 위한 메커니즘에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 통신을 보호하기 위하여 공유 피구동 키를 계산하는 단계를 포함하는 인증 질의 방법을 개시한다.
본 발명의 실시예들은 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증 시스템으로서 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티 및 EAC를 포함하되, 여기서,
제1 서비스 엔티티는 인증과 관련된 적어도 하나의 메커니즘을 포함하는 인증 모드를 EAC와 협정하며, 협정된 인증 모드에 따라서 제1 서비스 엔티티 및 EAC 사이의 상호 인증을 수행하며, 제2 서비스 엔티티로부터의 서비스를 요청하며, 협정된 인증 모드에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 상호 인증을 수행하도록 구성되며,
제2 서비스 엔티티는 협정된 인증 모드에 따라서 EAC를 인증하며, 만약 제1 서비스 엔티티가 서비스를 요청하면, 협정된 인증 모드에 따라서 제1 서비스 엔티티와 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키에 따라서 제2 서비스 엔티티와 제1 서비스 엔티티 사이의 상호 인증을 수행하도록 구성되며, 그리고
EAC는 각각 EAC 및 제1 서비스 엔티티 사이 및 EAC 및 제2 서비스 엔티티 사이의 상호 인증을 수행하며, 제1 서비스 엔티티가 서비스를 요청할 때, 협정된 인증 모드에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 제1 서비스 엔티티와 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키를 생성하도록 구성되는, 인증 시스템을 개시한다.
또한 본 발명의 실시예들은 서비스 엔티티 인증 시스템으로서 서비스 엔티티 및 EAC를 포함하되, 여기서,
서비스 엔티티는 서비스 엔티티 및 EAC 사이의 인증 메커니즘을 포함하는 인증 모드를 EAC와 협정하며, 협정된 인증 모드에 포함되는 인증 메커니즘에 따라서 서비스 엔티티 및 EAC 사이의 상호 인증을 수행하도록 구성되는, 서비스 엔티티 인증 시스템을 개시한다.
본 발명의 실시예들은 인증 질의 시스템으로서 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티 및 EAC를 포함하되, 여기서,
제1 서비스 엔티티는 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 포함하는 인증 모드를 EAC와 협정하도록 구성되며; 그리고
EAC는 제1 서비스 엔티티가 서비스를 요청할 때, 협정된 인증 모드에 포함되는 인증 질의의 메커니즘에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티의 권한을 인증하며, 협정된 인증 모드에 포함되는 피구동 키를 생성하기 위한 메커니즘에 따라서 제1 서비스 엔티티 및 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키를 생성하도록 구성되는, 인증 질의 시스템을 더 개시한다.
본 발명의 실시예들은 인증 센터로서,
서비스 엔티티의 인증 모드를 협정하도록 구성되는 제1 모듈-여기서, 인증 모드는 서비스 엔티티와 인증 센터 사이의 인증 메커니즘을 포함함-; 및 제1 모듈에 의하여 협정된 인증 모드에 포함되는 인증 메커니즘에 따라서 서비스 엔티티를 인증하도록 구성되는 제2 모듈을 포함하는 인증 센터를 개시한다.
상술한 인증 센터에 있어서, 제1 모듈은: 서비스를 요청하는 서비스 엔티티 및 서비스를 제공하는 서비스 엔티티 각각의 인증 능력을 획득하도록 신청 데이터를 질의하도록 구성되는 제1 서브-모듈; 및 서비스를 요청하는 서비스 엔티티 및 서비스를 제공하는 서비스 엔티티의 인증 능력에 따라서 인증 모드를 선택하도록 구성되는 제2 서브-모듈-여기서, 인증 능력은 제1 서비스 모듈에 의하여 획득됨-을 포함한다.
상술한 인증 센터에 있어서, 인증 모드는 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 더 포함하며, 인증 센터는: 서비스 엔티티가 서비스를 요청할 때, 서비스를 요청하는 서비스 엔티티 및 서비스를 제공하는 서비스 엔티티를 위한 인증 질의를 제공하며, 제1 모듈에 의하여 협정된 인증 모드에 포함되는 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘에 따라서 두 개의 서비스 엔티티 사이의 통신을 보호하도록 하는 공유 피구동 키를 계산하도록 구성되는 제3 모듈을 더 포함한다.
상술한 인증 센터에 있어서, 제2 모듈은 공유 키 머티리얼 및 두 개의 서비스 엔티티를 위한 임시 ID를 생성하도록 구성되며; 그리고 제3 모듈은 제2 모듈에 의하여 생성되는 공유 키 머티리얼 및 두 개의 서비스 엔티티의 임시 ID에 따라서 공유 피구동 키를 계산하도록 구성된다.
본 발명의 실시예들에 따른 기술적 솔루션에 의하여 초래되는 유리한 효과는 실제의 제너릭 인증 아키텍쳐가 제공된다는 점인데, 여기서 GAA에 의하여 제공되는 인증 메커니즘은 복수의 인증 메커니즘 및 인증 모듈을 위한 협정 및 선택을 수행할 수 있으며, 이는 인증 메커니즘의 유연성 및 보편성을 촉진시킨다. 본 발명의 실시예에 따른 구성에 있어서, 서비스 제공자는 모바일 네트워크에서의 응용 서버, 공개 네트워크에서의 응용 서버 또는 강력한 기능들을 갖는 모바일 단말이 될 수 있으며, 서비스 가입자로 하여금 보다 풍부한 서비스 자원을 사용할 수 있도록 한다. 인증 솔루션은 모바일 단말이 서비스 제공자가 되도록 업그레이드되는 상황을 지원하며, 강력한 기능들을 갖는 모바일 단말이 서비스를 제공하기를 원하는 요구 사항을 만족시킨다.
도 1은 제너릭 인증 아키텍쳐(GAA)의 아키텍쳐를 나타내는 개략적인 도면이다.
도 2는 종래 기술의 3GPP2 내의 GAA의 아키텍쳐를 나타내는 도면이다.
도 3은 본 발명의 실시예들에 따른 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신 인증의 아키텍쳐를 나타내는 개략적인 도면이다.
도 4는 본 발명에 따른 실시예에서의 인증 메커니즘 협정 및 서비스 엔티티 및 엔티티 인증 센터 사이의 상호 인증 수행의 프로세스를 나타내는 순서도이다.
도 5는 본 발명에 따른 실시예에서의 서비스 엔티티 및 엔티티 인증 센터 사이의 인증 질의의 프로세스를 나타내는 순서도이다.
도 6은 커베로스 모델과 결합하는 엔드 투 엔드 인증 모델을 나타내는 개략적인 도면이다.
도 7은 커베로스 모델과 결합하는 인증 질의의 프로세스를 나타내는 블록도 이다.
도 8은 메디에이션 모델과 결합하는 엔드 투 엔드 인증 모델을 나타내는 개략적인 도면이다.
도 9는 메디에이션 모델과 결합하는 인증 질의의 프로세스를 나타내는 블록도이다.
도 10은 본 발명에 따른 실시예에서의 서비스 엔티티를 인증하는 방법을 나타내는 순서도이다.
도 11은 본 발명에 따른 실시예에 따른 3GPP 무선 네트워크에서의 서비스 엔티티를 인증하는 방법을 나타내는 순서도이다.
도 12는 본 발명에 따른 실시예에서의 3GPP2 무선 네트워크에서의 서비스 엔티티를 인증하는 방법을 나타내는 순서도이다.
도 13은 본 발명에 따른 실시예에서의, SP가 은행인 경우에 있어서, SP 및 엔티티 인증 센터 사이의 상호 인증을 위한 방법을 나타내는 순서도이다.
도 14는 본 발명의 실시예에 따른 인증 장치의 실시예에 대한 구조를 나타내는 개략적인 도면이다.
도 15는 본 발명에 따른 실시예에서의 서비스 가입자와 엔티티 인증 센터 사이의 인증 프로세스를 나타내는 순서도이다.
도 16은 본 발명에 따른 실시예에서의 서비스 가입자 및 서비스 제공자 사이의 상호 인증 프로세스를 나타내는 순서도이다.
도 17은 본 발명에 따른 실시예에서의 세션 키를 생성하기 위하여 서비스 가 입자 및 서비스 제공자가 인증 결과를 재사용하는 프로세스를 나타내는 순서도이다.
도 18은 본 발명에 따른 엔드 투 엔드 통신 인증 장치의 실시예의 구조를 나타내는 개략적인 도면이다.
본 발명의 목적, 기술적 해결책 및 이점들을 보다 명백하게 하기 위하여, 본 발명이 아래에서 실시예 뿐만 아니라 수반되는 도면들을 참조하여 보다 상세히 설명될 것이다.
도 3은 본 발명의 실시예에 따른 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신 인증(end-to-end communication authentication)의 아키텍쳐(architecture)를 나타낸다. 이 아키텍쳐는 실제로 서로 다른 모바일 네트워크 표준을 위하여 적용이 가능하며 서로 다른 서비스 엔티티 종류 사이에서 상호 신뢰 관계(mutual trust relationship)를 수립하기에 알맞다는 점에서 제너릭 인증 아키텍쳐(generic authentication architecture)라고 불릴 수 있다. 두 개의 서비스 엔티티(service entities)인 서비스 가입자(Service Subscriber (SS), 301) 및 서비스 제공자(Service Provider (SP), 302) 이외에, 제너릭 인증 아키텍쳐에 포함되는 네트워크 구성요소(network elements)는 오퍼레이터 네트워크(operator's network) 내의 엔티티 인증 센터(Entity Authentication Centre (EAC), 303) 및 엔티티 신청 데이터베이스(Entity Subscription Database (ESD), 304)를 더 포함한다. 이 아키텍쳐에 있어서, SS 및 SP는 서로 통신할 수 있으며, SS 및 SP는 그들 각각의 인 증을 수행하기 위하여 각각 EAC와 통신을 할 수 있으며, EAC는 인증에 필요한 정보를 획득할 수 있는 ESD와 연결될 수 있다. 본 발명의 실시예들에 있어서, 서비스 엔티티는 서비스 가입자(SS) 또는 서비스 제공자(SP)가 될 수 있다. SS는 3GPP GAA의 가입자 또는 3GPP2 GAA의 MN과 균등물이 될 수 있으며, SP는 3GPP GAA 또는 3GPP2 GAA의 NAF로 행동할 수 있으며, EAC는 3GPP GAA 또는 3GPP2 GAA의 BSF와 균등물이 될 수 있다.
모바일 가입자(mobile subscriber)에게 서비스를 제공할 때, 대부분의 응용 서버들은 먼저 모바일 가입자와 상호 신뢰 관계(예를 들어, 모바일 가입자 및 인증 프록시(authentication proxy) 사이, 모바일 가입자 및 PKI 증명 기관(PKI certificate organization) 사이, 모바일 가입자 및 콘텐트 제공 서버(content providing server) 사이, 등의 신뢰 관계)를 수립한다. 일반적으로, 이러한 신뢰 관계는 모바일 가입자 및 응용 서버 사이에서 양방향 인증 프로시져(bidirectional authenticating procedure) 동안에 수립된다. 모바일 네트워크의 개발에 따라서, 서비스 종류가 점점 더 다양화된다. 그동안, SP는 순수 오퍼레이터 네트워크(pure operator network)에 한정되는 것이 아니라, 오퍼레이터 네트워크 또는 심지어 모바일 가입자에 비하여 제3의 SP(third party SP)가 될 수 있다. 즉, 몇몇 모바일 가입자는 네트워크에 의하여 제공되는 응용 서비스를 사용할 수 있을 뿐만 아니라, 네트워크 내에서 다른 가입자에게 몇몇 서비스를 제공할 수도 있다. 본 발명의 실시예들에서 세 종류의 SP가 있는데, 오퍼레이터 네트워크의 AS, 제3의 AS 및 모바일 가입자를 포함한다. 그리고 두 종류의 SS가 있는데, 공통 모바일 가입자(common mobile subscriber) 또는 제3의 AS를 포함한다. 따라서 모바일 가입자는 제3의 AS가 SP 및 SS가 될 수 있을 때, SP 뿐만 아니라 SS가 될 수 있다. 그러므로, 서비스 엔티티가 가입자 및 SP로 분류되는 점에 비하여, 본 발명의 실시예에서의 서비스 엔티티는 세 종류로 분류된다: 1. SS, 서비스를 위해서만 적용될 수 있는 단순 서비스 가입자(보통 공통 모바일 가입자), 2. SP, 단순 서비스 제공자(오퍼레이터 네트워크의 AS 또는 외부 네트워크(external network)의 SP), 3. 서비스 가입자뿐만 아니라 서비스 제공자(공통 모바일 가입자 또는 제3의 AS가 될 수 있음)인 서비스 가입자 및 제공자(service subscriber and provider)(또는 SSP로 언급됨).
도 3에 도시된 아키텍쳐에 있어서, EAC는 인증 방법을 협정(negotiating)하며, 서비스 엔티티를 인증(authenticating)하며, 엔드 투 엔드 통신 엔티티의 ID(identity) 및 서비스를 요청하거나 제공하는 엔티티의 유효성(validity)을 검증(verifying)하며, 그리고 피구동 키(derived key) 등을 생성(generating)하기 위하여 사용된다. ESD는 엔티티에 의하여 신청 및/또는 제공되는 서비스의 종류(the type of the services), 엔티티에 의하여 지원되는 인증 메커니즘(authentication mechanism) 및 인증 정보(authentication information), 등을 포함하는 엔티티의 신청 정보(subscription information)를 저장한다. 엔티티의 신청 정보는 엔티티의 프라이빗 ID(private ID)와 함께 저장된다. SP가 다른 엔티티로 서비스를 제공하거나 SS가 다른 엔티티에 대하여 서비스를 요청하기 전에, SP 및 네트워크 또는 SS 및 네트워크 사이의 신청 관계(subscription relationship)가 존재하여야 하며, ESD에 저장되어야 한다.
본 발명의 실시예들에 의하여 제공되는 인증 프로시져(authentication procedure)는 아래의 단계들을 포함한다.
제1 단계(엔티티 인증 프로세스(entity authentication process)로 언급됨): 네트워크 내의 각 SS가 SP와 통신하기 전에, 서비스 엔티티가 먼저 인증 메커니즘 및 서비스 엔티티의 ID를 인증하기 위하여 EAC로 가야만 한다.
인증 메커니즘을 협정하기 위한 프로세스는 서비스 엔티티에 의하여 개시되며, 서비스 엔티티의 ID 및 서비스의 보안 등급 요청(security degree requirement)이 협정을 개시하기 위하여 요청 메시지(request message) 내에 운반된다. EAC는 보안 등급, 네트워크 지원 조건(network support conditions)(예를 들어, 네트워크 지원 인증 모드(authentication modes)) 및 엔티티 신청 정보에 따라서 인증 메커니즘을 선택하며, 상응하는 정보를 인증 요청자(authentication requester)로서 행동하는 서비스 엔티티로 반환한다. 서비스에 대한 서로 다른 보안 등급은 선택되는 서로 다른 인증 모드로 이어진다. 인증 요청자는 협정 프로시져의 종료를 나타내는 확인 메시지(confirmation message)를 발송한다.
서비스 엔티티 및 EAC는 협정된 메커니즘에 따라서 그들 사이의 상호 인증(mutual authentication)을 수행할 것이다. 인증은 양방향이다. 인증 이후에, 인증 요청자(즉, 인증을 요청하는 서비스 엔티티) 및 EAC는 공유 키 머티리얼(shared key material)을 생성하며, EAC는 그의 신청 정보에 따라서 임시 ID(temporary ID) 및 상응하는 유효기간(corresponding lifetime)을 인증 요청자에 할당한다. 만약 인증 요청자가 SS면, EAC는 인터림 서비스 요청 식별자(Interim Service Request Identifier (ISR-ID))를 그것에 할당할 것이며, 만약 인증 요청자가 SP이면, EAC는 인터림 인증 확인 식별자(Interim Authentication Check Identifier (IAC-ID))를 그것에 할당할 것이다. EAC는 서비스 엔티티의 임시 ID 및 유효기간을 인증을 요청하는 서비스 엔티티로 전달한다. 이 이후에, 인증을 요청하는 서비스 엔티티 및 EAC 사이의 통신은 서비스 엔티티 및 EAC 사이에서 인증 프로시져에서 생성된 공유 키 머티리얼을 사용함으로써 보호될 수 있다.
제2 단계(인증 질의 프로세스(authentication inquiring process)로 언급됨):
EAC와 인증을 수행한 후에, SS는 SP에 서비스를 요청할 수 있다.
서비스 요청을 수신하면, 만약 SP 또는 SSP가 EAC와 인증을 수행했고 또 유효한 IAC-ID를 획득했다면, SP 또는 SSP는 SS의 인증 조건(authentication condition)에 대하여 EAC로 질의할 수 있다. 만약 그렇지 않으면, SP 또는 SSP는 먼저 인증 및 키 협정을 수행하기 위하여 EAC와 통신을 하여야 하며, SS의 ISR-ID 및 SP 또는 SSP의 IAC-ID를 포함하는 질의 요청(inquiry request)을 전송함으로써 SS의 인증 조건에 대하여 EAC로 질의하여야 한다. 질의 요청을 수신하면, EAC는 먼저 SS의 ID 및 SP의 ID에 따라서 SS 및 SP가 권한(authority)을 가지고 있는지의 여부를 질의하며, 이 후 그들의 임시 ID, 및 SS/SP에 의하여 EAC와 함께 협정된 Ks를 사용함으로써 SS 및 SP 사이의 서비스 통신(service communication)을 보호하기 위한 피구동 키(derived key)를 계산하며, 피구동 키를 SP로 전달한다. 그 동안, SS는 동일한 파라미터(parameters) 및 알고리즘(algorithm)에 따라서 피구동 키를 계산한다. 서비스 엔티티 및 EAC 사이에 수립되는 신뢰 관계는 유효기간을 갖는다. 만약 유효기간이 만료되거나 만료되었다면, 서비스 엔티티는 새로운 신뢰 관계를 수립하기 위하여 EAC와 함께 재인증 프로시져(re-authentication procedure)를 필요로 한다.
제3 단계(서비스 엔티티 사이의 상호 인증 프로세스(mutual authentication process between service entities)로 언급됨):
공유 피구동 키를 획득한 후에, SS 및 SP는 각 서비스 통신이 통신 보안을 보호하기 위하여 세션 키(session key), Kr-SS-SP를 더 생성하기 전에, 양쪽 사이의 상호 인증을 수행하도록 피구동 키를 사용할 수 있으며, 이 후에 서비스 통신을 보호하도록 세션 키를 사용한다.
본 발명의 실시예들에 의하여 제공되는 인증 프로시져의 각 단계는 첨부되는 도면들을 참조하여 보다 상세히 설명될 것이다.
도 4는 본 발명에 따른 실시예에서의 서비스 엔티티 및 EAC 사이의 인증 메커니즘 협정 및 상호 인증 수행 프로세스를 나타내는 순서도이다. 본 실시예에서, 서비스 엔티티 및 EAC 사이의 인증 메커니즘 협정 및 상호 인증 수행 프로세스는 도 4에 도시된 바와 같이 서비스 엔티티에 의하여 개시되며, 아래의 단계들을 포함한다.
블록 401: 서비스 엔티티가 자동적으로 요청된 서비스 또는 제공된 서비스(예를 들어, 비디오 컨퍼런스 서비스(video conference service))에 상응하여 인증 메커니즘의 보안 등급 요청(예를 들어, 높은 보안 등급)을 선택한다.
블록 402: 서비스 엔티티가 서비스 엔티티의 ID, 서비스 엔티티에 의하여 선택되는 인증 메커니즘의 보안 등급, 등과 같은 관련 정보를 운반하는 인증 요청을 EAC로 전달한다.
블록 403: 인증 요청을 수신하면, EAC는 네트워크에 의하여 현재 지원되며 인증 프로토콜(authentication protocol) 및 암호화 알고리즘(enciphering algorithm)을 포함하는 보안 등급 요청을 만족시키는 적어도 하나의 인증 메커니즘을 찾기 위하여 로컬에 저장된 보안 등급 리스트(security degree list)를 검색한다. 예를 들어, Http AKA는 무선 네트워크(radio network) 내에서의 네트워크 및 단말 사이의 상호 인증 프로토콜(mutual authentication protocol)이다. 이 프로토콜을 실행함으로써, 두 개의 통신 부분들이 서로의 ID를 인증할 수 있으며, 각각 동일한 키를 생성할 수 있다.
블록 404: 서비스 엔티티의 아인덴티티에 따라서, EAC는 ESD에 저장된 신청 정보를 질의하며, 예를 들어 서비스 엔티티에 의하여 지원되는 인증 메커니즘과 같은, 프로토콜, 암호화 알고리즘, 및 다른 관련된 파라미터를 포함하는, 서비스 엔티티의 인증 정보를 획득한다.
블록 405: ESD는 EAC로 인증 능력 정보(authentication capability information)(즉, 지원되는 인증 프로토콜, 암호화 알고리즘 등) 및 서비스 엔티티의 다른 관련 파라미터를 반환한다.
블록 406: EAC는 로컬 정책(local policy)에 따라서, 서비스 엔티티 및 네트워크에 의하여 지원되는 인증 프로토콜 및 암호화 알고리즘을 매치하며, 보안 등급 요청에 모두 따르는 양측에 의하여 지원되는 인증 프로토콜 및 암호화 알고리즘(즉, 인증 메커니즘)을 결정한다. 만약 보안 등급 요청에 모두 따르는 양측에 의하여 지원되는 인증 프로토콜 및 암호화 알고리즘이 없으면, EAC는 서비스 엔티티로 에러 지시(error indication)를 반환하며 현재의 프로시져를 종료한다.
블록 407: EAC는 인증 프로토콜 및 암호화 알고리즘을 포함하는 선택된 인증 메커니즘을 서비스 엔티티로 반환한다.
블록 408: EAC에 의하여 반환된 정보를 수신하면, 서비스 엔티티는 인증 메커니즘을 결정하며, 확인 응답(confirmation response)을 EAC로 반환한다.
블록 409: 서비스 엔티티 및 EAC는 상호 인증을 수행하기 위하여 선택된 인증 프로토콜 및 암호화 알고리즘을 사용한다. 성공적인 인증 이후에, 양측은 공유 키 머티리얼(공유 비밀 정보(shared secret information)로도 언급됨)을 획득한다.
만약 서비스 엔티티가 모바일 단말이면, 공유 키 머티리얼은 공유 키(Ks)가 될 수 있다. 만약 서비스 엔티티가 모바일 코어 네트워크 도메인(mobile core network domain)에서의 응용 서버(AS)면, 서비스 엔티티 및 EAC 사이에서 상호 인증 프로시져에서 협정된 공유 키 머티리얼은 보안 연합(Security Association (SA)), 즉 인터넷 프로토콜 보안(Internet Protocol Security (IPSec))에 따라서 협정되는 보안 통신의 키 및 키 알고리즘(key algorithm)이 될 수 있다.
블록 410: EAC는 인증 성공 응답(authentication success response)을 서비스 엔티티로 반환하며, 서비스 엔티티를 위한 임시 ID 및 상응하는 유효기간을 할당하며, 아래의 상황을 포함한다: 1) EAC로 인증 요청을 발행하는 서비스 엔티티가 서비스 가입자(SS/SSP)인 경우, EAC는 SS/SSP가 다른 엔티티로 서비스를 요청하면, 사용되는 SS/SSP로 ISR-ID를 할당할 것이며; 2) EAC로 인증 요청을 발행하는 서비스 엔티티가 서비스 제공자(SP/SSP)인 경우, EAC는, SS의 인증 조건에 대하여 EAC로 질의를 할 필요가 있다면, 사용되는 SP/SSP로 IAC-ID를 할당할 것이다.
블록 411: EAC 및 서비스 엔티티 각각은 상응하는 보안 등급에 결합되며, ISR-ID/IAC-ID, 키 머티리얼, 인증 메커니즘 및 보안 등급을 결합하며 저장하는 것을 포함하는 공유 키 머티리얼을 저장한다.
도 5는 본 발명에 따른 실시예에서의 서비스 엔티티와 EAC 사이의 인증 질의 프로세스(authentication inquiring procedure)를 나타내는 순서도이다. 본 실시예에서, 상호 인증을 수행한 후에, 서비스 엔티티 및 EAC는 인증 질의 프로시져를 수행할 것이며, 이에 대한 상세한 설명은 도 5에 도시된 바와 같다.
블록 501: SS (또는 SSP)는 EAC와 함께 인증에서 SS에 의하여 획득되는 ISR-ID 및 다른 서비스 엔티티와 접촉하기 위한 ID인 SP의 퍼블릭 ID(public identity (UID))를 포함하는, 서비스를 제공할 수 있는 SP(또는 다른 SSP)로 서비스 요청을 발행한다.
동일한 서비스 엔티티에 의하여 제공되는 서로 다른 서비스는 서로 다른 UID에 상응하며, 따라서 서로 다른 서비스는 그들 소유의 UID에 의하여 달라질 수 있다.
블록 502: 서비스 요청을 수신하면, SP는 SS를 식별하도록 로컬에 저장되는 SS의 ISR-ID가 있는지의 여부를 검색한다. 만약 저장된 ISR-ID, 그것과 함께 결합된 유효한 피구동 키, 서비스 엔티티의 실제 ID 정보(real identity information) 등이 있으면, SS 및 SP는 그들 사이의 서비스를 보호하기 위하여 피구동 키를 사용할 것이다. 만약 피구동 키 또는 ISR-ID 정보를 찾는 과정이 하이포동작 상태(hypo-operation state)이거나, 취소되거나 훼손되었다면, SP는 SS에게 재인증 요청(re-authentication request)이 개시되어야 하며 현재의 프로시져는 종료된다는 점을 통지하며, 여기서 재인증을 개시하는 프로시져의 상세한 설명은 아래 텍스트에서 언급된다. 만약 ISR-ID가 저장되지 않다면, SP는 EAC로 인증 질의 요청을 전송하며, 인증 질의 요청 내에서 SS의 ISR-ID, SP의 IAC-ID 및 UID를 운반하며, 블록 503을 수행한다.
블록 503: 인증 질의 요청을 수신하면, EAC는 먼저 인증 질의 요청에 운반되는 IAC-ID가 유효한지의 여부 및 SP가 서비스를 제공하기 위하여 권한이 부여되었는지의 여부에 대하여 질의 및 결정하며, 인증 질의 요청에 운반되는 ISR-ID가 유효한지의 여부 및 SS가 서비스를 요청하기 위하여 권한이 부여되었는지의 여부에 대하여 질의 및 결정한다. 만약 ISR-ID가 유효하며 SS가 서비스를 요청하기 위하여 권한이 부여될 뿐만 아니라 IAC-ID가 유효하며 SP가 서비스를 제공하기 위하여 권한이 부여된 것으로 판단되면(즉 인증 통과(passing authentication)), EAC는 SS 및 SP를 위한 피구동 키를 생성한다.
블록 504: EAC는 SP로 블록 503에서 생성된 피구동 키 및 키의 유효기간을 운반하는 인증 질의 응답(authentication inquiring response)를 반환한다. 만약 블록 503의 인증 질의가 성공적이라면(즉, 질의 및 판단의 결과가 예(yes)라면), SP 및 EAC의 공유 키 머티리얼을 암호화함으로써 획득되는 새로운 피구동 키는 반환되는 인증 질의 응답에 운반된다. 그렇지 않다면, EAC는 에러 메시지를 반환하며, 상응하는 서비스 엔티티에 EAC에서의 재인증을 통지하며, 아래에서 언급됨, 현재의 프로시져를 종료한다.
블록 505: SP는 복호화를 함으로써 인증 질의 응답으로부터 새로이 생성되는 피구동 키를 획득하며, 피구동 키, 유효기간, SS의 ISR-ID 및 SP의 UID를 결합하며, 이들을 로컬에 저장한다.
블록 506: SP가 서비스 요청 응답을 SS로 반환한다.
블록 507: SS가 동일한 파라미터 및 데이터 암호화 표준(Data Encryption Standard (DES)), 3원 EDS(ternary DES (3-DES)), 고급 암호화 표준(Advanced Enciphering Standard (AES)) 256, AES 1024 등을 채택할 수 있는 키 알고리즘을 사용함으로써 동일한 피구동 키를 계산하며, 여기서 256 및 1024는 키 길이(key length)를 나타낸다.
블록 508: SS 및 SP는 그들 사이의 서비스를 보호하기 위하여 피구동 키를 사용한다.
인증에 의하여 서비스 엔티티 및 EAC 사이에 수립되는 신뢰 관계가 유효기간을 갖기 때문에(공유 키 머티리얼, 피구동 키 및 임시 ID의 유효기간과 같이), 만약 유효기간이 만료되거나 만료되었다면, 서비스 엔티티는 새로운 신뢰 관계를 수립하기 위하여 그들 사이의 재인증을 위한 EAC와의 연결을 필요로 한다.
덧붙여, 공유 키 머티리얼 또는 임시 ID의 서로 다른 조건에 따라서, 서비스 엔티티는 아래의 상태를 가질 수 있다: 1. 하이포 동작 상태(hypo-operation state): 공유 키 머티리얼, 피구동 키의 유효기간 또는 임시 ID가 만료되며, 따라서 공유 키 머티리얼은 암호화 계산(enciphering calculation)에서 사용될 수 없지만 엔티티 ID에 대한 복호화 및 인증에서 사용될 수 있다; 2. 취소 상태(withdraw state): 공유 키 머티리얼, 피구동 키의 유효기간 또는 임시 ID가 만료되었으며, 공유 키 머티리얼 및 엔티티의 실제 ID(real ID) 사이의 상응하는 관계 또는 엔티티의 임시 ID 및 실제 ID 사이의 상응하는 관계가 제거된다; 3. 훼손 상태(destroyed state): 공유 키 머티리얼, 피구동 키 또는 임시 ID의 관계되는 기록들이 제거된다. 따라서, 적어도 하나의 아래의 상황이 발생하는 경우에, 재인증 프로시져를 개시할 필요성이 있다.
1. 로컬 정책(local policy)에 따라서, 만약 서비스 엔티티 및 EAC의 공유 키 머티리얼 또는 서비스 엔티티의 임시 ID가 하이포 동작 상태에 있다는 점을 발견하면, EAC는 서비스 엔티티에게 재인증 요청이 개시되어야 한다는 점을 통지한다.
2. 로컬 정책에 따라서, 만약 공유 키 머티리얼 또는 임시 ID가 취소 또는 훼손 상태에 있다는 점을 발견하면, EAC는 서비스 엔티티에게 재인증 요청이 개시되어야 한다는 점을 통지한다.
3. 만약 EAC가 임시 ID에 따라서 관련되는 ID 정보 및 키 정보를 찾을 수 없다면(즉, 훼손 상태에 놓여 있는 경우), EAC는 서비스 엔티티로 재인증 요청이 개시되어야 한다는 점을 통지한다.
4. 로컬 정책에 따라서, 만약 피구동 키가 하이포 동작 상태에 있다면, SP는 SS로 재인증 요청이 개시되어야 한다는 점을 통지한다.
5. 로컬 정책에 따라서, 만약 피구동 키가 취소 또는 훼손 상태에 있다면, SP는 SS로 재인증 요청이 개시되어야 한다는 점을 통지한다.
6. 임시 ID에 따라서, 만약 SP가 상응하는 ID 정보 및 키 정보를 찾을 수 없다면(즉, 훼손 상태에 놓여 있는 경우), SP는 SS로 재인증 요청이 개시되어야 한다는 점을 통지한다.
EAC가 서비스 엔티티로 재인증 요청이 개시되어야 한다는 점을 통지하는 때, 재인증을 위한 이유(reason)는 통지 내에서 식별된다. 만약 재인증의 이유가 공유 키 머티리얼 또는 임시 ID가 하이포 동작 상태에 있다는 것이라면, 서비스 엔티티는 개시되는 재인증 요청에서 그 자신을 식별하기 위하여 임시 ID를 사용할 것이다. 재인증 요청을 수신하면, EAC는 임시 ID에 따라서, 인증 메커니즘을 협상할 필요가 없으며, 따라서 상호 인증을 수행하기 위하여 원래 사용되는 인증 메커니즘을 채택할지 여부에 대하여 판단한다. 만약 재인증의 이유가 공유 키 머티리얼 또는 임시 ID가 취소 또는 훼손 상태에 있거나, 키 머티리얼이 필요할 때 임시 ID에 따라서 발견되지 않는다는 것이라면, 서비스 엔티티는 개시되는 재인증 요청에서 그 자신을 식별하기 위하여 프라이빗 ID를 사용할 것이다. 재인증 요청을 수신하면, EAC는 프라이빗 ID에 따라서, 인증 메커니즘을 협상할 필요가 있는지의 여부에 대하여 판단하며, 여기서 인증 메커니즘에 대한 재협상 프로시져는 도 4에 도시된 바와 같이 초기 인증 프로시져(initial authentication procedure)와 동일하다.
유사하게, SP가 SS로 재인증 요청이 개시되어야 한다는 점을 통지하는 때, 재인증의 이유 역시 통지 내에서 식별되어야 한다. 만약 재인증 이유가 임시 ID가 하이포 동작 상태에 있다는 것이라면, SS는 개시되는 재인증 요청에서 그 자신을 식별하도록 임시 ID를 사용할 것이다. 재인증 요청을 수신하면, EAC는 임시 ID에 따라서, 인증 메커니즘을 협상할 필요가 없으며, 따라서 상호 인증을 수행하기 위하여 원래 사용되는 인증 메커니즘을 사용할지 여부를 판단한다. 만약 재인증 이유가 임시 ID가 취소 또는 훼손 상태에 있다는 것이라면, SS는 개시되는 재인증 요청에서 그 자신을 식별하도록 프라이빗 ID를 사용할 것이다. 재인증 요청을 수신하면, EAC는 프라이빗 ID에 따라서, 인증 메커니즘을 협상할 필요가 없는지의 여부를 판단하며, 여기서 인증 메커니즘에 대한 재협상 프로시져는 도 4에 도시된 바와 같이 초기 인증 프로시져와 동일하다.
만약 그것과 결합하는 임시 ID(즉, ISR-ID/IAC-ID) 또는 공유 키 머티리얼(즉, Ks/Kp)을 사용한다면, 서비스 엔티티(SS 또는 SP) 또는 EAC는 임시 ID 또는 공유 키 머티리얼이 하이포 동작, 취소, 또는 훼손 상태에 있는지의 여부를 검증한다. 만약 임시 ID 또는 공유 키 머티리얼이 하이포 동작, 취소, 또는 훼손 상태에 있다면, 서비스 엔티티 또는 EAC는 상응하는 서비스 엔티티 및 EAC 사이의 재인증 프로시져를 개시하여야 한다. 인증 프로시져에 있어서, 만약 실패 이유(failure reasons)를 지칭하는 메시지를 수신한다면, 서비스 엔티티 또는 EAC는 역시 재인증 프로시져를 개시할 수 있다. 게다가, 만약 SP가 SS와 함께 공유 피구동 키가 하이포 동작, 취소, 또는 훼손 상태에 있다는 것을 발견하면, 재인증 요청을 SS로 전송하며, 요청 내에서 재인증 이유를 지칭한다. 또한 만약 공유 피구동 키만이 하이포 동작, 취소, 또는 훼손 상태에 있는 반면에 SS 및 SP의 임시 ID가 정상 상태에 있다면, SS 및 SP는 EAC와 함께 원래의 엔티티 인증(original entity authentication)을 수행할 필요가 없으며, SS는 EAC로 인증 질의 프로시져를 유발시켜야 하며, 이로 인하여 EAC는 SP를 위한 새로운 공유 피구동 키를 생성할 수 있으며, 그리고 SS는 단독으로 동일한 공유 피구동 키를 생성할 수 있다.
여기에 유효기간 및 하이포 동작 상태에 대한 예시가 있다. 한 예로서 공유 키 머티리얼의 유효기간을 택하면, 공유 키 머티리얼이 48 시간이며 44 시간 내지 48 시간의 주기에 있다고 가정하면, 그것은 하이포 동작 상태에 놓여 있는 것이며, 만약 공유 키 머티리얼이 45 시간 동안 유효하다면, 공유 키 머티리얼이 그것의 라이프 사이클(live cycle)의 하이포 동작 상태에 있다고 판단될 수 있다.
만약 엔티티 인증 센터(EAC)가 커베로스 서버(Kerberos server)의 기능들을 갖는다면, 커베로스 모델(Kerberos model)과 결합되는 인증 질의의 메커니즘이 사용된다. 도 6은 커베로스 모델과 결합되는 엔드 투 엔드 인증 모델을 나타내는 개략적인 도면이다. 도 6에 도시된 바와 같이, SS는 서비스 승인 티켓(service granted ticket, (SGT))를 위하여 EAC로의 요청을 생성하며, SS의 ISR-ID 및 UID를 EAC로 제공한다. EAC는 ISR-ID 및 IAC-ID의 유효성을 확인하며, 서비스 승인 티켓을 생성하며, 서비스 승인 티켓를 SS로 반환한다. SP로 서비스 요청을 발행할 때, SS는 요청 내에 서비스 승인 티켓을 운반한다. SP는 서비스 승인 티켓에 따라서 피 구동 키를 생성하며, 그 후 SS로 서비스 응답을 반환한다.
도 7은 도 6에 도시된 커베로스 모델과 결합되는 인증 질의 프로세스를 나타내는 개략적인 도면이다. 도 7에 도시된 바와 같이, 상세한 설명은 아래와 같다:
블록 701: 특정 서비스를 획득하기를 원하는 경우에, SS는 먼저 서비스에 상응하는 서비스 승인 티켓이 로컬에서 저장되어 있는지의 여부를 검색한다. 만약 저장되어 있다면, 블록 705로 진행한다. 만약 저장되어 있지 않다면, SS는 EAC로 SS의 ISR-ID 및 서비스를 제공하는 SP의 UID를 운반하는 서비스 승인 티켓 요청(service granted ticket request)을 전달한다.
블록 702: 서비스 승인 티켓 요청을 수신하면, EAC는 ID 및 권한의 유효성을 확인한다. 먼저, EAC는 요청에 운반되는 ISR-ID가 유효한지의 여부에 대한 질의를 함으로써 SS가 서비스를 사용할 권한이 있는지의 여부를 결정하며, 그 후 요청 내에 운반되는 SP의 UID에 따라서 SP의 IAC-ID를 획득하며, IAC-ID가 유효한지의 여부를 결정함으로써 SP가 서비스를 제공할 권한이 있는지의 여부를 결정한다.
만약 상술한 결정이 SP가 서비스를 제공할 권한이 있다는 것을 보여준다면(즉, SP가 적법함), EAC는 SS 및 SP의 ID 및 SS와 EAC의 공유 키 머티리얼에 따라서, SS와 SP 사이의 서비스 통신을 보호하기 위하여 피구동 키 K-SSP/SP를 계산한다. EAC는 피구동 키 및 SS와 SP의 ID를 포함하는 서비스 승인 티켓을 더 생성하며, SGT를 암호화하기 위하여 그 자신과 SP의 공유 키 머티리얼을 사용한다.
만약 결정이 SP가 서비스를 제공할 권한이 없다는 것을 보여준다면(즉, SP가 불법적임), EAC는 에러 메시지(error message)를 전달할 것이며, EAC에서 그것의 ID에 대한 인증을 상응하는 엔티티로 통지하며, 현재의 프로시져를 종료한다.
블록 703: EAC는 상술한 암호화된 SGT를 SS로 전달한다.
블록 704: SGT를 수신하면, SS는 EAC에 의하여 사용되는 동일한 파라미터 및 알고리즘을 채택함으로써 EAC에서 생성한 것과 함께 동일한 피구동 키를 로컬에서 생성한다.
블록 705: SS는 SP로 SGT를 운반하는 서비스 요청을 전달한다.
블록 706: SP는 피구동 키를 획득하기 위하여 SGT를 복호화한다.
블록 707: SP는 성공을 식별하는 서비스 요청 응답(service request response)을 SS로 반환한다.
블록 708: SS 및 SP는 그들 사이의 서비스를 보호하기 위하여 피구동 키를 사용한다.
상술한 블록들 이외에, EAC는 피구동 키를 암호화하기 위하여 그 자신과 SS의 공유 키 머티리얼을 사용할 수 있으며, 암호화된 피구동 키를 SS로 전달할 수 있다. 따라서, SS는 로컬에서 재계산하는 대신에 복호화를 함으로써 피구동 키를 획득할 수 있다.
유사하게, 공유 피구동 키를 획득한 후에, SS 및 SP는 각 서비스 통신이 시작하기 전에 양측 사이의 상호 인증을 수행하기 위하여 피구동 키를 사용할 수 있으며, 통신 보안을 보호하기 위하여 세션 키, Kr-SS-SP를 더 생성할 수 있으며, 그 후 서비스 통신을 보호하도록 세션 키를 사용할 수 있다.
만약 EAC가 중재자(interceder)로서 제3 신뢰 기관(Trusted Third Party (TTP)) 서빙의 기능을 갖는다면, 메디에이션 모델(Mediation model)과 결합되는 인증 질의의 메커니즘 역시 채택될 수 있다. 도 8은 메디에이션 모델과 결합되는 엔드 투 엔드 인증 모델을 나타내는 개략적인 도면이다. 도 8엥 도시된 바와 같이, SS는 SP에 의하여 제공되는 서비스를 요청하기 위하여 EAC로 서비스 요청을 발행한다. EAC는 SS가 적법하다는 것을 결정한 후에 서비스 요청을 SP로 전달한다. SP는 그 자신의 IAC-ID를 운반하는 서비스 요청 응답을 EAC로 반환한다. EAC는 IAC-ID에 따라서 SP의 유효성을 결정한다. 만약 SP가 적법하면, EAC는 SS와 SP 사이의 피구동 키를 계산하며, 피구동 키를 SP로 전달하며, 동시에 서비스 요청 응답을 SS로 반환한다. SS는 응답을 수신하면 동일한 피구동 키를 계산한다.
도 9는 도 8에 도시된 메디에이션 모델과 결합되는 인증 질의 프로세스를 나타내는 순서도이다. 도 9에 도시된 바와 같이, 상세한 블록들은 아래와 같다:
블록 901: 만약 SP에 의하여 제공되는 서비스를 사용하기를 원한다면, SS는 먼저 SS의 ISR-ID 및 SP의 UID를 운반하는 서비스 요청을 EAC로 발해한다.
블록 902: EAC는 SS가 서비스를 요청할 권한이 있는지의 여부를 결정하기 위하여 SS의 ISR-ID 및 SS의 신청 정보의 유효성을 판단한다.
블록 903: 만약 SS가 적법하면, EAC는 서비스 요청을 SP로 전달하며, 블록 904를 수해한다. 만약 SS가 불법적이면, EAC는 EAC에서 그것의 ID에 대한 인증을 SS로 통지하도록 에러 메시지를 SS로 전달하며, 현재의 프로시져를 종료한다.
블록 904: SP는 그 자신의 IAC-ID를 운반하는 서비스 요청 응답을 반환한다.
블록 905: EAC는 SP가 서비스를 제공할 권한이 있는지의 여부를 판단하기 위 하여 SP의 IAC-ID 및 신청 정보의 유효성을 검증한다. 만약 SP가 적법하면, EAC는 SS와 SP의 ID 및 SS와 EAC의 공유 키 머티리얼에 따라서 SS와 SP 사이의 서비스 통신을 보호하기 위하여 피구동 키를 계산하며, 블록 906을 수행한다. 만약 SP가 불법적이면, EAC는 인증의 SP에게 EAC에서의 그것의 ID를 통지하기 위하여 SP로 에러 메시지를 전달하며, 현재의 프로시져를 종료한다.
블록 906: EAC는 서비스 요청 성공 응답(service request success response)을 SS로 전달하며, SP로 EAC와 SP의 공유 키 머티리얼에 의하여 암호화되는 피구동 키를 전달한다.
블록 907: EAC에 의하여 전달된 서비스 요청 성공 응답을 수신하면, SS는 피구동 키를 획득하기 위하여 EAC에 의하여 사용되는 동일한 파라미터 및 알고리즘을 채택한다.
블록 908: SS와 SP는 그들 사이의 서비스를 보호하기 위하여 피구동 키를 사용한다.
유사하게, 공유 피구동 키를 획득한 이후에, SS와 SP는 각 서비스 통신이 시작하기 전에, 양측 사이의 상호 인증을 수행하기 위하여 피구동 키를 사용하며, 통신 보안을 보호하기 위하여 세션 키, Kr-SS-SP를 더 생성하며, 이 후 서비스 통신을 보호하기 위하여 세션 키를 사용한다.
이전의 설명은 단지 본 발명의 실시예들을 나타낸다. 하나의 유사한 상황에서, SSP가 서비스 엔티티로서 서비스를 제공하는 것과 같이, SSP의 형태가 변할 수 있다. SSP가 서비스를 요청하는 경우에 있어서, 그 프로세싱 방식은 상술한 SS와 동일한 반면, SSP가 서비스를 제공하는 경우에 있어서, 그 프로세싱 방식은 SP와 동일하다. 따라서, 본 발명의 실시예들의 범위 내에서 발생하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의하여 이루어지는 일반적인 변형 및 치환은 본 발명의 보호 범위의 범위 내에 있어야 한다.
본 발명에 따른 실시예들의 인증 방법의 제1 단계 및 제2 단계의 인증 프로시져에 대한 실시예들은 이하 설명된다.
도 10은 본 발명에 따른 실시예의 서비스 엔티티를 인증하는 방법을 나타내는 순서도이다. 도 10을 참조하면, 본 발명에 따른 인증 방법에 대한 설명은 아래와 같다.
블록 1001: 서비스 엔티티는 EAC로 서비스 엔티티의 ID 정보, 보안 등급 정보, 서비스 엔티티에 의하여 지원되는 적어도 하나의 인증 메커니즘에 대한 정보(만약 서비스 엔티티에 의하여 지원되는 적어도 하나의 인증 메커니즘에 대한 정보가 네트워크의 신청 정보 내에 저장되어 있다면, 인증 메커니즘에 대한 정보는 운반되지 않을 수 있음), 등을 운반하는 인증 요청을 전달한다.
ID 정보는 프라이빗 ID(PID) 또는 UID를 포함할 수 있다. 보안 등급을 선택하는 것에 대하여, 아래의 상황이 고려될 수 있다. 1) 서비스 엔티티는 로컬에 저장된 서비스 보안 등급 리스트(service security degree list)를 검색함으로써 원하는 서비스에 상응하는 보안 등급을 선택할 수 있다. 2) 만약 서비스 엔티티가 로컬에 보안 등급 리스트를 저장하지 않는다면, 보안 등급은 휴먼-컴퓨터 인터페이스(human-computer interface)를 통하여 가입자에 의하여 매뉴얼로 선택될 수 있 다. 3) 서비스 엔티티는 단지 보안 등급의 선택 없이, EAC로 상응하는 서비스를 제공하는 SP의 UID를 제공할 수 있으며, 여기서 UID는 SP에 의하여 제공되는 서비스의 종류를 식별할 수 있다. 이 후, EAC는 상응하는 보안 등급을 선택하는 서비스의 종류에 따라서 보안 등급 리스트를 검색할 수 있다.
블록 1002: 인증 요청을 수신하면, EAC는 요청 내의 ID에 따라서 ESD에 저장된 신청 정보를 검색하며, 서비스 엔티티 및 네트워크에 의하여 지원되는 인증 메커니즘 및 보안 등급을 고려하는 로컬 정책에 따라서 인증 메커니즘을 선택한다. 본 실시예에서 선택되는 인증 메커니즘은 인증 메커니즘 b로 식별된다. 지원되는 인증 메커니즘은 AKA, SIM, CAVE, MN-AAA 키, TLS-PSK 또는 TLS-Cert, DH 등을 포함할 수 있다.
네트워크 및 서비스 엔티티가 단지 하나의 인증 메커니즘만을 지원할 때, 양측은 협정 없이, 상호 인증을 수행하도록 인증 메커니즘을 채택할 수 있다. 보안 등급을 선택할 때, EAC는 서비스의 보안 등급 요청(security degree requirement)을 고려할 수도 있고, 고려하지 않을 수도 있는데, 조건으로서의 보안 등급이 인증 협정 프로시져(authentication negotiation procedure)를 위하여 선택적이다.
블록 1003: EAC는 서비스 엔티티로 블록 1002에서 선택된 인증 메커니즘의 식별자(identifier) 및 보안 등급(만약 보안 등급이 블록 1002의 협정 프로시져에서 고려된다면, 보안 등급은 서비스 엔티티에 의하여 선택되는 보안 등급 보다 낮아서는 아니된다), 등을 운반하는 인증 초기화 메시지(authentication initialization message)를 전달한다.
만약 이어지는 인증 인터랙션 프로시져(authentication interaction procedure)가 EAC에 의하여 개시된다면, 인증 초기화 메시지는 인증 메커니즘에 대한 프로시져 내의 제1 인증 메시지(the first authentication message)에 의하여 운반되는 정보를 포함하여야 한다. 제1 인증 메시지의 내용은, AKA 인증 용어로는 인증 벡터(authentication vectors)이며, TLS 인증 방식의 용어로는 헬로 요청(Hello Request)이다.
블록 1004: 서비스 엔티티는 인증 메커니즘을 획득한다. 만약 이어지는 인증이 서비스 엔티티에 의하여 개시되면, 서비스 엔티티는 인증 정보를 계산하며, 만약 이어지는 인증이 EAC에 의하여 개시되면, 서비스 엔티티는 관련되는 인증 정보를 수신한 후에 응답 값(response value)을 계산할 것이다.
블록 1005: 선택된 인증 메커니즘을 기반으로 하는 인증 인터랙션 프로시져가 서비스 엔티티 및 EAC 사이에서 수행된다.
블록 1006: 인증 이후에, 서비스 엔티티 및 EAC 양자는 공유 키 머티리얼을 획득하며, EAC는 공유 키 머티리얼과 결합되어 저장되는 ISR-ID 또는 IAC-ID를 서비스 엔티티로 할당하며, 보안 연결(security connection)의 공유 키 머티리얼 또는 세션 ID(Session ID)를 검색하기 위한 인덱스(index)로서 제공할 수 있다.
도 11은 본 발명에 따른 실시예에서의 3GPP 무선 네트워크(3GPP radio network)의 서비스 엔티티 인증 방법을 나타내는 순서도이다. 도 11을 참조하면, 본 실시예에서, 서비스 엔티티는 SS이다. SS가 3GPP 네트워크에서의 모바일 단말(mobile terminal), 즉 도 11에서 UE이며, 단지 AKA 인증을 지원하는 경우에 있 어서, 인증 프로시져는 아래와 같다.
블록 1101: UE는 EAC로 그 자신의 ID를 운반하는 HTTP 다이제스트 인증 요청(HTTP Digest authentication request)을 발행한다(issue).
블록 1102: 단지 3GPP 네트워크 및 UE가 AKA 메커니즘만을 지원하기 때문에, 양측은 인증 메커니즘의 협정 없이 바로 인증을 위한 AKA 메커니즘을 채택한다. ESD로부터 EAC는 UE 가입자의 인증 벡터를 획득한다(RAND, AUTN, RES, CK, IK).
블록 1103: EAC는 UE로 인증 벡터 내의 RAND 및 AUTN을 운반하는 HTTP 401 메시지(다이제스트 AKA 메시지를 포함함)를 전달한다.
블록 1104: UE는 다이제스트 AKA 챌린지(Digest AKA challenge)를 포함하는 메시지가 권한이 부여된 네트워크로부터의 온 것인지의 여부를 확인하기 위하여 AUTN의 유효성을 계산 및 검증하며, CK, IK, 및 RES를 계산한다.
블록 1105: UE는 EAC로 계산된 RES에 의하여 계산되는 다이제스트 AKA 응답(Digest AKA response) 및 추상값(abstract value)을 포함하는 HTTP 요청 메시지(HTTP request message)를 전달한다.
블록 1106: EAC는 UE의 유효성을 인증하기 위하여 계산된 추상값의 정확성(accuracy)을 검증한다.
블록 1107: EAC는 3GPP 제너릭 인증 아키텍쳐의 B-TID의 그것들과 동일한, 키 머티리얼, Ks=CK∥IK, 및 ISR-ID, 생성 방법(generating method) 및 포맷(format)을 생성한다.
블록 1108: EAC는 UE로 인증에 대한 성공적인 종료(successful end)를 식별 하도록 200 OK 메시지(200 OK message)를 전달하며, 여기서 Ks에 의하여 암호화되는 메시지는 키 머티리얼 및 ISR-ID의 유효기간을 포함한다.
블록 1109: UE는 또한 동일한 키 머티리얼, Ks=CK∥IK를 생성하며, 복호화함으로써 키 머티리얼의 ISR-ID 및 유효기간을 획득하며, 로컬에 키 머티리얼의 ISR-ID 및 유효기간을 저장하며, 그것들을 인증 메커니즘과 결합한다.
도 12는 본 발명에 따른 실시예의 3GPP2 무선 네트워크에서의 서비스 엔티티 인증 방법을 나타내는 순서도이다. 본 실시예에서, 서비스 엔티티는 SS이다. SS가 UE이며 AKA 인증, 인증서 인증(certificate authentication) 등과 같은 인증 방법을 지원하며, 반면에 3GPP2 네트워크가 AKA 인증, CAVE-기반 인증 메커니즘, 및 MN-AAA-기반 인증 메커니즘을 지원하는 경우에 있어서, 인증 프로시져가 도 12를 참조하는 아래와 같다.
블록 1201: UE는 EAC로 UE의 ID 및 UE가 지원하는 AKA 인증 및 인증서 인증과 같은 인증 모드(authentication modes)를 운반하는 HTTP 인증 요청(HTTP authentication request)을 발행한다.
블록 1202: EAC는 UE의 ID에 따라서 ESD에서 UE의 신청 정보(UE's subscription information)를 검색하며, 양측이 AKA 인증, CAVE-기반 인증 메커니즘, 및 MN-AAA-기반 인증 메커니즘과 같은 자기-지원되는(self-supported) 인증 메커니즘에 따라서 로컬 정책을 채택함으로써 인증을 수행하도록 AKA 메커니즘을 사용하는지의 여부를 판단한다. EAC는 ESD로부터 UE 가입자의 인증 벡터, (RAND, AUTN, RES, CK, IK)를 획득한다.
블록 1203: EAC는 UE로 RAND와 AUTN을 운반하는 HTTP 401 메시지(다이제스트 AKA 챌린지를 포함함)를 전달하며, 이 메시지의 페이로드 정보(payload information)에 인증 메커니즘 식별자(authentication mechanism identifier)를 부과한다.
블록 1204: UE는 챌린지를 포함하는 메시지가 권한이 부여된 네트워크로부터 온 것인지의 여부를 확인하기 위하여 AUTN의 정확성을 계산 및 검증하며, CK, IK 및 RES를 계산한다.
블록 1205: UE는 EAC로 RES에 의하여 계산된 다이제스트 AKA 응답(Digest AKA response) 및 추상값을 포함하는 HTTP 요청 메시지를 전송한다.
블록 1206: EAC는 UE의 유효성을 인증하기 위하여 추상값의 정확성을 검증한다.
블록 1207: EAC는 3GPP2 제너릭 인증 아키텍쳐의 그것들과 동일한 키 머티리얼, Ks=CK∥IK, 및 ISR-ID, 생성 방법 및 포맷을 생성한다.
블록 1208: EAC는 UE로 인증의 성공적인 종료를 식별하도록 200 OK 메시지를 전송하며, 여기서 메시지는 Ks에 의하여 암호화되며 키 머티리얼의 ISR-ID 및 유효기간을 포함한다.
블록 1209: 또한 UE는 동일한 Ks=CK∥IK를 생성하며, 이 후 복호화함으로써 인증 메커니즘과 함께 키 머티리얼의 ISR-ID 및 유효기간과 결합되는 키 머티리얼의 ISR-ID 및 유효기간을 획득하며, 그들을 로컬에 저장한다.
인증 요청을 수신한 후에, 만약 UE가 CAVE-기반 인증 메커니즘을 또한 지원 한다면, EAC는 그 자신의 ID에 따라서 신청 정보를 검색하며, 결국 CAVE-기반 인증 메커니즘이 그것이 지원하는 인증 모드의 종류를 고려하여, 로컬 정책을 채택함으로써 사용되어야 하는지의 여부 및 이어지는 인증 프로시져가 3GPP2 제너릭 인증 아키텍쳐에서의 CAVE-기반 인증 프로시져와 동일한지의 여부에 대하여 판단한다. 만약 AAA 인증 메커니즘을 사용하도록 판단되면, 본 발명의 실시예들에서의 제너릭 인증 아키텍쳐 또한 동일한 원리(principle)에 따라서 사용될 수 있다.
도 13은 본 발명에 따른 실시예에서의 SP가 은행인 경우에 SP와 엔티티 인증 센터 사이의 상호 인증 방법을 나타내는 순서도이다. 본 실시예에서, 서비스 엔티티는 은행 SP이다. 은행 SP가 UE를 위한 모바일 전화 은행 서비스(mobile phone bank service)를 제공하기를 원하는 경우, 먼저 공유 키 머티리얼을 생성하기 위하여 EAC와 상호 인증을 수행하며, 보안 연결(security connection)을 수립하는 것을 필요로 하며, 도 13을 참조하여, 인증 프로시져가 아래와 같다.
블록 1301: SP가 EAC로 그 자신의 UID를 운반하는 인증 요청을 전달한다.
블록 1302: EAC가 UID에 따라서 SP의 신청 정보를 검색하며, SP가 서비스를 제공하도록 권한이 부여된 것으로 판단한 이후에, SP의 인증 능력에 대한 정보, 즉 인증서(certificate), 인증서 TLS 인증(certificate TLS authentication), 이전의 공유 키 기반 TLS 인증(pre-shared key-based TLS authentication), 등과 같은 SP에 의하여 지원되는 인증 모드를 획득한다.
이 후, EAC는 서비스 보안 등급 리스트를 검색하며, 인증 보안 등급 리스트를 검색함으로써, 모바일 전화 은행 서비스가 높은 보안 등급 서비스에 속하는지의 여부를 판단하며, 높은 보안 등급과 함께 네트워크에 의하여 지원되는 인증 모드가 HTTP 다이제스트 AKA, 인증서 TLS 인증, 등을 포함하는지의 여부를 찾는다. 그리고 EAC가 마침내 SP에 의하여 지원되는 인증 메커니즘을 매치하며, 상호 인증에 사용되는 인증 메커니즘을 결정한다. 본 실시예에서, 인증서 TLS를 사용하는 것으로 결정된다.
블록 1303: EAC가 SP로 인증 메커니즘 식별자(authentication mechanism identifier)(본 실시예에서, 인증서 TLS 인증의 식별자임) 및 보안 등급 식별자(security degree identifier)를 운반하는 Hello Request 메시지를 개시한다.
블록 1304: SP가 인증 메커니즘이 인증서 TLS인 점을 학습하며, 로컬에서 Session ID:IAC-ID가 있는지의 여부를 검색한다. 만약 TLS 보안 채널(TLS security channel)이 EAC의 인증서 TLS 인증을 통하여 수립되었으며, 채널이 여전히 유효하면, Session ID는 TLS 보안 채널의 인덱스(index)가 될 수 있다.
블록 1305: SP는 EAC로 Client Hello 메시지를 전달한다. 만약 SP가 유효한 Session ID를 저장하고 있지 않으면, 메시지의 Session ID 필드(Session ID field)가 널(null)이며, 만약 SP가 유효한 Session ID:IAC-ID를 저장하고 있으면, 메시지의 Session ID 필드가 IAC-ID가 된다.
블록 1306: Client Hello 메시지를 수신하면, EAC는 Session ID 필드가 널인지의 여부를 검증한다. 만약 Session ID 필드가 널이 아니며, 결합된 보안 연결 정보(associated security connection information)가 Session ID 필드 내에서 운반되는 정보와 매치될 수 있다면, EAC는 보안 연결의 인증 결과(authentication result) 및 공유 키 머티리얼이 사용 가능한지의 여부를 검증하기 위하여 SP로 Finished 메시지(Finished message)를 전달한다. Finished 메시지 내의 파라미터가 정확한지의 여부를 검증한 후에, SP는 또 다른 Finished 메시지를 EAC로 반환한다. 만약 EAC가 Finished 메시지 내의 파라미터가 정확한 것으로 검증하면, 양측은 보안 연결을 재사용한다.
만약 Session ID 필드가 널이거나 상술한 Finished 메시지가 에러를 가지면, EAC는 로컬 정책 구성 메시지(local policy configuration message) 내의 파라미터에 따라서 차례로 Server certificate 메시지, ServerKeyExchange 메시지(선택적), 및 CertificateRequest 메시지를 반환한다. 결국, EAC는 ServerHello 및 관련되는 메시지가 전달되었다는 것을 나타내기 위하여 ServerHelloDone 메시지를 반환한다.
블록 1307: ServerHelloDone 메시지를 수신하면, SP는 Certificate 메시지를 반환하며, 이 후 ClientKeyExchange 메시지를, 이를 통하여 양측이 공유 비밀 파라미터(shared secrete parameters)를 획득함, 전달한다. 이 후, SP는 EAC가 SP의 인증서를 명백하게 검증하도록 촉진하기 위하여 EAC로 CertificateVerify 메시지를 전달한다. 최종적으로, ChangeCipherSpec 메시지의 전달 이후에, SP는 키 교환(key exchange) 및 인증 프로시져가 성공적이라는 점을 식별하기 위하여 Finished 메시지를 EAC로 동시에 전달한다.
블록 1308: EAC는 SP의 Finished 메시지 내의 정보가 정확한지의 여부를 검증한다. 만약 정보가 정확하지 않으면, 현재의 핸드쉐이크 프로시져(handshake procedure)를 종료하며, 만약 정보가 정확하면, 또 다른 Finished 메시지를 SP로 반환한다. 만약 SP가 Finished 메시지 내의 정보가 정확한지의 여부를 검증하면, 이는 양측 사이의 인증 및 키 교환 프로시져가 성공적임을 의미한다.
본 실시예는 3GPP/3GPP2 네트워크 내의 NAF를 인증하는 동질의 프로시져(uniform procedure)를 제공하는 데, 또한 이는 본 발명에 따른 제너릭 인증 아키텍쳐를 위하여 적용이 가능하다.
본 발명의 상술한 실시예들을 기반으로 하여, 엔티티 인증의 장치도 제공된다. 도 14는 본 발명의 실시예들에서의 인증 장치의 실시예를 나타내는 구성도이다. 도 14를 참조하면, 엔티티 인증 장치는 인증 요청을 전달하기 위한 모듈(module for transferring authentication requests), 협정 모듈(module of negotiation), 및 인증 인터랙션 모듈(module of authentication interaction)을 포함한다.
인증 요청을 전달하기 위한 모듈은 서비스 엔티티를 위하여 인증 요청을 EAC로 전달하기 위하여 사용되며, 여기서 인증 요청의 콘텐츠는 서비스 엔티티의 ID를 포함한다. 협정 모듈은 인증 요청을 수신한 후에, EAC를 위한 로컬 정책에 따라서 인증 메커니즘을 선택하기 위하여 구성된다. 인증 인터랙션 모듈은 서비스 엔티티 및 EAC 사이의 선택된 인증 메커니즘을 기반으로 하여 인증 인터랙션을 수행하기 위하여 사용된다. 기능들을 수행하기 위한 이러한 모듈들의 원리는 상술한 프로시져에서 설명되었으므로, 여기에서 설명되지 않을 것이다.
상술한 인증 솔루션을 기반으로, 본 발명의 실시예들에 의하여 제공되는 강화된 솔루션(enhanced solution)은 먼저 대체로 서비스 엔티티 인증, 인증 질의 프 로시져 및 서비스 엔티티 사이의 상호 인증을 정의하는 인증 모드를 정의하는 점을 포함하며, 서비스 엔티티와 EAC 사이의 인증 메커니즘, 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘, 서비스 엔티티 사이의 인증 메커니즘 및 세션 키를 생성하는 방법 등을 포함한다. 이러한 솔루션은 아래와 같이 간단히 설명된다.
1. 인증 모드 정의(Defining an authentication mode)
E2E 인증 모드(E2E authentication mode)는 정의될 수 있으며, 이는 주로 SS와 EAC의 인증 메커니즘에 의하여 결정되며, 때로는 SS와 SP의 인증 메커니즘에 의하여 결정된다. 인증 모드에 있어서, SS와 EAC의 인증 메커니즘, SP와 EAC의 인증 메커니즘, SS와 SP의 인증 메커니즘, 인증 질의 메커니즘, 피구동 키 생성을 위한 메커니즘, 및 세션 키 생성을 위한 메커니즘 등을 포함하는, 몇 가지 정의되는 인증-관련 모드(authentication-related modes)가 있다. 실제 응용에 있어서, 상술한 인증-관련 모드의 한 부분만이 몇 가지 경우에 관하여 인증 모드 내에서 정의될 수 있다. 예를 들어, SS와 SP가 인증 메커니즘에 대한 협정 없이, 바로 인증할 수 있으며, 보안 연결을 수립할 수 있는 경우에, SS와 EAC 사이 및 SP와 EAC 사이의 인증은 필요로 하지 않는다. 따라서, 이러한 경우를 위한 인증-관련 모드에 있어서, 단지 SS와 SP 사이의 인증 메커니즘 및 세션 키 생성을 위한 방법만이 정의되어야 한다.
인증 모드에 있어서, 각 인증 모드에 대한 선택 정책(choosing policy)이 더 포함될 수 있는데, 이는 인증 메커니즘이 선택적인지 혹은 아닌지의 여부 및 인증 방법이 협정되어야 하는지 혹은 그렇지 않은지의 여부에 대한 것을 포함한다.
아래와 같이 본 발명의 실시예들에 의하여 채택될 수 있는 엔드 투 엔드(E2E) 인증 모드의 몇 가지 종류가 있다.
E2E_3GPP_AKA, E2E_3GPP2_AKA, E2E_3GPP2_CAVE, E2E_WLAN, E2E_3GPP2_MNAAA, E2E_3GPP_WLAN, E2E_Kerberos, E2E_Mediation, E2E_TLS (그러나, 인증 모드의 정의가 이러한 종류들에 한정되지 않으며, 새로운 종류가 필요한 경우 정의될 수도 있다). 인증 모드의 이러한 종류에 대한 실시예는 아래와 같다.
1. E2E_3GPP_AKA의 정의는 아래와 같다:
E2E_3GPP_AKA ::= struct {
SS<->EAC 인증 메커니즘 AKA
베어러 프로토콜 HTTP Digest
SP<->EAC 인증 메커니즘 TLS 메커니즘 (또는 the IPSec 채널 메커니즘 등)
SS<->SP 인증 메커니즘 기본 질의 메커니즘
베어러 프로토콜 TLS (또는 기타)
세션 키 생성을 위한 메커니즘 자체 정의 (또는 기타, 선택적)
}
2. E2E_3GPP2_CAVE의 정의는 아래와 같다:
E2E_3GPP2_CAVE ::= struct {
SS<->EAC 인증 메커니즘 CAVE를 기반으로 하는 인증
베어러 프로토콜 HTTP Digest
SP<->EAC 인증 메커니즘 TLS 메커니즘 (또는 IPSec 채널 메커니즘 등)
SS<->SP 인증 메커니즘 기본 질의 메커니즘
베어러 프로토콜 TLS (또는 기타)
세션 키 생성을 위한 메커니즘 자체 정의 (또는 기타, 선택적)
}
3. E2E_WLAN ::= struct {
SS<->EAC 인증 메커니즘 AKA (또는 SIM)
베어러 프로토콜 EAP(확장가능 인증 프로토콜(Extensible Authentication Protocol))
SP<->EAC 인증 메커니즘 TLS 메커니즘 (또는 IPSec 채널 메커니즘 등)
SS<->SP 인증 메커니즘 기본 질의 메커니즘
베어러 프로토콜 TLS (또는 기타)
세션 키 생성을 위한 메커니즘 자체 정의 (또는 기타, 선택적)
}
4. E2E_Kerberos의 정의는 아래와 같다:
SS<->EAC 인증 메커니즘 (협정 가능함, 예를 들어 AKA, CABE-기반 인증, 인증서-기반 인증)
SP<->EAC 인증 메커니즘 IPSec 채널 (또는 기타, 선택적)
SS<->SP 인증 메커니즘 Kerberos (강제적, 커베로스 및 변형된 커베 로스 솔류션 중 어느 하나가 사용되어야 한다는 점이 협정될 수 있다)
베어러 프로토콜 TCP (또는 기타)
세션 키 생성을 위한 메커니즘 TLS-Krb5 (또는 기타, 선택적)
}
5. E2E_TLS의 정의는 아래와 같다:
E2E_TLS ::= struct {
SS<->EAC 인증 메커니즘 없음
SP<->EAC 인증 메커니즘 없음
SS<->SP 인증 메커니즘 TLS
세션 키 생성을 위한 메커니즘 TLS-PSK5 (또는 기타, 선택적)
}
6. E2E_3G_GAA의 정의는 아래와 같다:
SS와 EAC 사이의 인증 메커니즘은 SIM, AKA, CAVE, MN-AAA Key, TLS-PSK, TLS-Cert 등 중 어느 하나가 될 수 있다;
SP와 EAC 사이의 인증 메커니즘은 TLS, IKE가 될 수 있다;
인증 질의의 메커니즘 및 피구동 키 생성을 위한 메커니즘은 GBA이다; 그리고
SS와 SP 사이의 인증 메커니즘은 TLS-PSK, TLS-Cert가 될 수 있다.
7. E2E_KERBEROS의 정의는 아래와 같다:
SS와 ECA 사이의 인증 메커니즘은 E2E_3G_GAA에서 정의되는 것들이 될 수 있 으며, EAC는 SGT를 생성하며 인증 이후에 서비스 엔티티로 전송한다;
SP와 EAC 사이의 인증 메커니즘은 NULL, TLS, IKE이 될 수 있다;
인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘은 커베로스이다; 그리고
SS와 SP 사이의 인증 메커니즘은 NULL, TLS-KBR5가 될 수 있다.
8. E2E_Mediation의 정의는 아래와 같다:
SS와 EAC 사이의 인증 메커니즘은 E2E_3G_GAA에서 정의되는 것들 이외에, IKE가 될 수 있다;
SP와 EAC 사이의 인증 메커니즘은 E2E_3G_GAA에서 정의되는 것들이 될 수 있다;
인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘은 메디에이션이다; 그리고
SS와 SP 사이의 인증 메커니즘은 TLS-PSK이다.
9. E2E_TLS의 정의는 아래와 같다:
SS와 EAC 사이의 인증 메커니즘은 NULL이다;
SP와 EAC 사이의 인증 메커니즘은 NULL이다;
인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘은 NULL이다; 그리고
SS와 SP 사이의 인증 메커니즘은 TLS-Cert, TLS-PSK가 될 수 있다.
상술한 모드들에 있어서, 새로운 인증 모드가 서비스 요청에 따라서 정의될 수 있다. 본 발명의 실시예들은 인증 메커니즘, 선택 정책(selection policy), 및 키를 생성하기 위한 메커니즘 등과 같이, 인증 모드 내에서 정의되는 특정 인증-관련 모드(specific authentication-related modes)를 한정하지 않는다.
도 15는 본 발명의 실시예에서의 서비스 가입자와 EAC 사이의 인증 프로시져를 나타내는 순서도이다. 도 15를 참조하면, 본 실시예에 있어서, 3GPP 네트워크의 모바일 가입자의 UE가 인터넷의 응용 서버에 의하여 제공되는 서비스를 사용한다(서버는 커베로스 인증 프로토콜(Kerberos authentication protocol)을 지원한다). 상세한 프로시져는 아래와 같다.
블록 1501: SS(즉, UE)는 UE의 ID, 인증 능력 식별자(authentication capability identifier), 서비스 종류(service type)를 운반하는 서비스 요청을 EAC로 전달하며, 서비스 요청은 EAC가 UID를 통하여 엔티티 신청 데이터베이스(Entity Subscription Database (ESC))로부터 상응하는 서비스 종류를 검색하도록 하기 위하여 서비스 종류가 아니라 SP의 UID를 운반할 수 있다.
블록 1502: EAC는 서비스 요청 내의 ID, SS와 SP의 인증 능력에 대한 정보에 따라서 로컬 정책을 채택함으로써 인증 모드 및 상응하는 인증 메커니즘을 선택한다. 본 실시예에서, 선택된 인증 모드는 E2E_Kerberos 모드인 것으로 가정한다.
EAC는 인증 모드 내의 로컬 정책 및 선택 정책(selecting policy)에 따라서 각 인증 메커니즘을 결정할 수 있다. 로컬 정책은 SS와 SP가 양측의 인증 능력 및 서비스 종류에 따라서 상호 인증 메커니즘 및 세션 키 생성을 위한 메커니즘을 선택하며, SP와 EAC 사이의 상호 인증을 수행할지의 여부는 SS와 SP의 상호 인증 메 커니즘에 의하여 결정될 수 있다는 점이 될 수 있다. 만약 상호 인증을 수행하는 것이 필요하다면, 인증 메커니즘이 SP와 EAC의 인증 능력 및 서비스 종류 등에 따라서 선택될 수 있다.
블록 1503: E2E_Kerberos 모드의 정의에 따라서, SS와 EAC의 인증 메커니즘은 협상 가능하며, 따라서 인증 메커니즘이 로컬 정책(즉, 양측의 인증 능력, 양측에 의하여 사용되는 서비스의 종류, 등)에 따라서 선택될 수 있다. 본 실시예에서, SS와 EAC의 인증 메커니즘은 AKA 인증 메커니즘인 것으로 가정된다. SS와 EAC의 인증 메커니즘은 IPSec 채널(IPSec channel) 또는 기타가 될 수 있으며, 선택적이다. 본 실시예에서, SS와 EAC의 인증 메커니즘이 널(null)로 구성되는 것으로 가정되며, 즉 SP와 EAC 사이의 인증은 수행되지 않을 것이다. SS와 SP의 인증 메커니즘은 커베로스로 설정되며, 따라서 SS와 SP의 인증 메커니즘은 커베로스를 사용할 것인지 또는 변형된 커베로스 솔루션을 사용할 것인지의 여부를 결정함으로써 협정될 수 있으며, 베어러 프로토콜(bearer protocol)은 협정에 의하여 TCP 또는 기타가 될 수 있다. 본 실시예에서, 양측의 인증 능력, 서비스 종류 등에 따라서, 협정을 통하여, 커베로스는 SS와 SP의 인증 메커니즘으로서 선택되며, TLS-Krb5는 베어러 프로토콜로서 선택된다. 세션 키 생성을 위한 메커니즘은 TLS-Kr5 또는 기타로 설정되며, 본 실시예에서, TLS-Krb5는 세션 키 생성을 위한 메커니즘으로서 선택된다.
상술한 선택된 다양한 인증 모드에 따라서, SS와 EAC 사이의 인증은 시작될 수 있다. 만약 SS와 EAC가 AKA 상호 인증을 수행하였으며, 생성된 공유 키 및 ISR- ID는 여전히 유효기간 이내인 경우라면, AKA 상호 인증은 수행될 필요가 없으며, SGT를 생성하도록 바로 블록 209를 실행한다.
블록 1504: EAC는 ESD로부터 가입자의 인증 벡터(subscriber's authentication vector)(RAND, AUTN, RES, CK, IK)를 획득한다.
블록 1505: EAC는 UE로 RAND와 AUTN을 운반하는 HTTP 401 메시지(게스트 AKA 챌린지(gest AKA challenge)를 포함함)를 전달하며, 인증 메커니즘 식별자(authentication mechanism identifier)를 메시지의 페이로드 정보 내에 운반한다.
블록 1506: UE는 챌린지 메시지가 권한이 있는 네트워크로부터 온 것인지의 여부를 확인하기 위하여 수신된 AUTN의 유효성을 계산 및 검증하며, CK, IK 및 RES를 계산한다.
블록 1507: UE는 EAC로 Digest AKA 응답 및 RES를 사용함으로써 계산된 추상값을 포함하는 HTTP 응답 메시지를 전달한다.
블록 1508: EAC는 UE의 유효성을 인증하기 위하여 계산된 추상값의 정확성을 검증한다.
블록 1509: EAC는 공유 키, Ks=CK∥IK, 및 ISR-ID를 생성하며, 그 후 피구동 키, Ksp를 생성하도록 공유 키, Ks, SS의 ID 및 SP의 UID를 사용하며, 생성되는 피구동 키를 SGT 내에 운반하며, 그 내용은 Ksp, SS의 ISR-ID, SP의 UID, 유효기간, 리플레이 공격(replay attack)의 회피에 대한 파라미터, 등을 포함하며, 여기서 SGT는 EAC와 SP의 공유 키에 의하여 암호화된다.
블록 1510: EAC는 UE로 인증의 성공적인 종료(successful end)를 식별하도록, 공유 키의 유효기간, ISR-ID, 및 Ks를 사용함으로써 암호화된 SGT를 포함하는 200 OK 메시지를 전달한다.
블록 1511: 또한 UE는 공유 키, Ks=CK∥IK, 및 피구동 키, Ksp를 생성하며, 그 후 복호화를 함으로써 200 OK 메시지 내의 ISR-ID를 획득하며, 복호화에 의하여 획득되는 이러한 정보를 인증 모드 정보(authentication mode information)와 결합하며, 결합된 정보를 로컬에 저장한다.
도 16은 본 발명에 따른 실시예에서의 SS와 SP 사이의 상호 인증 프로세스를 나타내는 순서도이다. 도 16을 참조하면, SS와 SP 사이의 상호 인증에 대한 상세한 프로시져는 아래와 같다.
블록 1601: SS는 SP로 SP의 UID, SS에 의하여 지원되는 TLS-KRB5 암호화 슈트(TLS-KRB5 enchiper suite), 및 E2E_Kerberos의 인증 모드에 대한 관련되는 정보를 운반하는 ClientHello 메시지를 전달한다.
E2E_Kerberos의 인증 모드에 대한 관련되는 정보는 SS와 SP 사이의 인증 메커니즘 및 세션 키를 생성하기 위한 메커니즘을 포함하는, 정의되는 모드를 나타낸다.
블록 1602: ClientHello 메시지를 수신하면, SP는 Session ID 필드가 널(null)인 점을 발견하며, 이 후 양측에 의하여 지원되는 TLS-KRB5 암호화 슈트를 선택하며, SS로 ServerRequest 메시지, ServerHello 및 ServerHelloDone 메시지를 전달한다.
블록 1603: ServerHelloDone 메시지를 수신하면, SS는 SP로 ClientKeyExchange 메시지를 전달하는데, 이것에 의하여 양측이 사전 공유 비밀 파라미터(pre-shared secrete parameter)(PreMasterSecret)를 획득한다. SS는 세션 키(MasterSecret)를 생성하기 위하여 PreMasterSecret와 랜덤 숫자(random number)를 사용한다. 이 후, SS는 ChangeCipherSpec 메시지를 SP로 전달하며, 이어서 공식적인 키 교환 및 유효성을 위하여 SP로 Finished 메시지를 전달한다.
블록 1604: SP는 SGT를 복호화하며, SGT의 유효성을 확인하며, 공유 피구동 키, Ksp를 획득하며, PreMasterSecret를 복호화하기 위하여 공유 피구동 키, Ksp를 사용하며, PreMasterSecret 및 랜덤 숫자에 따라서, SS와 SP의 세션 키, MasterSecret를 생성한다. 그리고 이 후, SP는 SS로부터의 Finished 메시지 내의 정보가 정확한지의 여부를 검증한다. 만약 정보가 정확하지 않으면, 현재의 프로시져를 종료하며, 그렇지 않다면, 블록 1605를 실행한다.
블록 1605: SP는 ChangeCipherSpec 메시지를 SS로 전달하며, 나중에 Finished 메시지를 SS로 전달한다.
블록 1606: SS는 SP로부터의 Finished 메시지 내의 정보가 정확한지의 여부를 검증한다. 만약 SS가 SP로부터의 Finished 메시지 내의 정보가 정확한 것으로 판단하면, 이는 양측 사이의 인증 및 키 교환 프로시져가 성공적으로 종료되었음을 의미한다.
블록 1607: SS와 SP는 서비스 통신 데이터(service communication data)를 전달하는 것을 시작한다.
상술한 프로시져에서 수립되는 세션이 종료되지 않은 경우에, 만약 SS가 서비스 요청을 SP로 다시 전달하면, 최종 세션에서 생성되는 PreMasterSecret가 이러한 서비스 통신을 위한 새로운 세션 키(MasterSecret)를 생성하도록 재사용될 수 있다.
도 17은 본 발명에 따른 실시예에서의 세션 키를 생성하도록 SS와 SP가 인증 결과를 재사용하는 프로세스를 나태는 순서도이다. 도 17을 참조하면, 상세한 프로시져는 아래와 같다.
블록 1701: SS는 SP로 이전에 발생한 최종 세션의 Session ID를 운반하는 ClientHello 메시지를 전달한다.
블록 1702: ClientHello 메시지를 수신하면, SP는 메시지 내의 Session ID가 널(null)로 설정되지 않으며, Session ID와 함께 결합되는 보안 연결 정보(security connection information)를 매칭할 능력이 있다는 점을 발견하며, 따라서 Session ID는 이 세션을 식별하도록 재사용된다. 덧붙여, SP는 SS로 Session ID를 운반하는 ServerHello 메시지를 전달하며, 이 후 ServerHelloDone 메시지를 SS로 전달한다.
블록 1703: SS는 세션 키(MasterSecret)를 생성하도록 SP와 공유 PreMasterSecret를 사용한다.
블록 1704: SS는 ChangeCipherSpec 메시지를 SP로 전달하며, 나중에 Finished 메시지를 SP로 전달한다.
블록 1705: 수신된 Finished 메시지가 정확한지의 여부를 판단한 후에, SP는 세션 키(MasterSecret)를 생성하도록 동일한 PreMasterSecret를 사용한다.
블록 1706: SP는 ChangeCipherSpec 메시지를 SS로 전달하며, 이어서 Finished 메시지를 SS로 전달한다.
블록 1707: 만약 SS에 의하여 수신되는 Finished 메시지가 정확한 것으로 판단하면, 양측 사이의 상호 인증은 종료되며, 서비스 통신 데이터가 전달되기 시작한다.
인증 모드를 기반으로 한 강화된 엔티티 인증 솔류션에 따라서, 엔티티 인증의 다른 장치가 본 발명에 따른 실시예에 의하여 제공된다. 이 장치는 도 14에 도시된 장치와 유사하다. 도 18은 본 발명에 따른 엔드 투 엔드 통신 인증 장치(end-to-end communication authentication apparatus)의 실시예를 나타내는 개략적인 도면이다. 도 18을 참조하면, 엔티티 인증 장치는 EAC로 인증 요청을 전달하도록 구성되는 전달을 위한 모듈(module for transferring)(도 14에 도시된 인증 요청을 전달하기 위한 모듈과 유사함), 서비스 엔티티에 전달하거나 통지하기 위한 모듈(module for transferring and informing the service entity)에 의하여 전달되는 인증 요청에 따라서 인증 모드를 선택하도록 구성되는 선택을 위한 모듈(module for selecting)(도 14에 도시된 협정 모듈과 유사함), 선택을 위한 모듈에 의하여 선택된 인증 메커니즘에 따라서 서비스 엔티티와 EAC 사이 또는 서비스 엔티티들 사이의 인증을 수행하도록 구성되는 인증 모듈(module of authentication)을 포함한다. 이러한 모듈들의 특정 기능을 구현하기 위한 원리는 상술한 프로시져들 내에서 설명되었으므로, 이에 대한 보다 상세한 설명은 이하에서 주어지지 않을 것이 다.
물론, 상술한 두 장치의 기능들을 실현하는 능력을 갖는, 다른 엔티티 인증 장치가 본 발명에 따른 실시예에 의하여 제공될 수 있다. 이 장치는 상술한 전달을 위한 모듈의 기능들을 수행하며 인증 요청을 전달하기 위하여 사용되는 제1 모듈(first module), 선택을 위한 모듈 및 협정 모듈의 기능들을 수행하기 위하여 사용되는 제2 모듈(second module), 및 인증 모듈과 인증 인터랙션 모듈의 기능들을 수행하기 위하여 사용되는 제3 모듈(third module)을 포함할 수 있다. 본 장치에 대한 더 이상의 설명은 이하에서 주어지지 않을 것이다.
앞선 설명은 본 발명의 단순한 실시예들이며, 본 발명의 보호 범위를 제한하도록 사용되지 않는다. 본 발명의 사상 및 원리의 범위 내의 모든 변형, 균등 치환 또는 개선은 부가되는 청구항들의 보호 범위 내에 포함될 것이다.

Claims (27)

  1. 서비스를 요청하는 제1 서비스 엔티티, 상기 서비스를 제공하는 제2 서비스 엔티티, 및 엔티티 인증 센터(EAC)를 포함하는 시스템에 적용되는, 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신(end-to-end communication)에서의 인증 방법으로서,
    상기 제1 서비스 엔티티와 상기 EAC 사이의 인증 모드를 협정하는 단계-여기서, 상기 협정된 인증 모드는 상기 제1 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘, 상기 제2 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘, 인증 질의(authentication inquiring)의 메커니즘, 피구동 키(derived key)를 생성하기 위한 메커니즘, 및 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 인증 메커니즘을 포함함-;
    상기 협정된 인증 모드에 포함된 상기 제1 서비스 엔티티와 상기 EAC 사이의 상기 인증 메커니즘에 따라서 상기 EAC와 상기 제1 서비스 엔티티 사이의 상호 인증을 수행하며, 상기 협정된 인증 모드에 포함된 상기 제2 서비스 엔티티와 상기 EAC 사이의 상기 인증 메커니즘에 따라서 상기 EAC와 상기 제2 서비스 엔티티 사이의 상호 인증을 수행하는 단계;
    상기 제1 서비스 엔티티가 상기 서비스를 제공하도록 상기 제2 서비스 엔티티에 요청하면, 상기 EAC가 상기 협정된 인증 모드에 포함되는 상기 인증 질의의 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 상기 협정된 인증 모드에 포함되는 상기 피구동 키를 생성하기 위한 메커니즘에 따라서 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키(shared derived key)를 생성하는 단계; 및
    상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티가, 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 상기 인증 메커니즘 및 상기 공유 피구동 키에 따라서 서로 인증하며, 상기 서비스를 보호하기 위한 세션 키(session key)를 생성하는 단계
    를 포함하는 인증 방법.
  2. 제1항에 있어서,
    상기 제1 서비스 엔티티에 의한 상기 EAC와의 인증 모드를 협정하는 단계는,
    상기 제1 서비스 엔티티에 의하여, 상기 EAC로 인증 요청을 전송하는 단계-여기서, 상기 인증 요청은 상기 제1 서비스 엔티티의 ID 및 현재 요청된 상기 서비스의 종류를 운반함-; 및
    상기 EAC가 현재 요청된 상기 서비스의 종류에 따라서 상기 서비스를 제공하기 위한 상기 제2 서비스 엔티티를 결정하며, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 인증 능력을 획득하며, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 상기 인증 능력에 따라서 상기 인증 모드를 선택하는 단계
    를 포함하여 이루어지는, 인증 방법.
  3. 제1항에 있어서,
    상기 인증 모드는 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 세션 키를 생성하기 위한 메커니즘을 더 포함하며; 및
    상기 서비스를 보호하기 위한 상기 세션 키를 생성하는 단계는, 상기 협정된 인증 모드에 포함되는 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 상기 세션 키를 생성하기 위한 상기 메커니즘에 따라서 상기 세션 키를 생성하는 단계
    를 포함하는, 인증 방법.
  4. 제1항에 있어서,
    상기 EAC와 상기 제1 서비스 엔티티 사이의 상기 상호 인증을 수행하는 것은,
    상기 EAC 및 상기 제1 서비스 엔티티에 의하여 서로 인증하는 단계; 상기 EAC에 의하여 상기 제1 서비스 엔티티를 위한 임시 ID를 할당하는 단계; 상기 EAC 및 상기 제1 서비스 엔티티가 각각, 그들 사이의 통신을 보호하기 위하여 공유 키 머티리얼(shared key material)을 획득하며, 상기 획득된 공유 키 머티리얼과 함께 상기 할당된 임시 ID를 저장하는 단계를 포함하며;
    상기 EAC와 상기 제2 서비스 엔티티 사이의 상기 상호 인증을 수행하는 것은,
    상기 EAC 및 상기 제2 서비스 엔티티에 의하여 서로 인증하는 단계; 상기 EAC에 의하여 상기 제2 서비스 엔티티를 위한 임시 ID를 할당하는 단계; 상기 EAC 및 상기 제2 서비스 엔티티가 각각, 그들 사이의 통신을 보호하기 위하여 공유 키 머티리얼을 획득하며, 상기 획득된 공유 키 머티리얼과 함께 상기 할당된 임시 ID를 저장하는 단계를 포함하며;
    상기 EAC가 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키를 생성하는 것은,
    상기 EAC가 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하고, 상기 EAC와 상기 제1 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID, 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 피구동 키를 계산하며, 상기 제2 서비스 엔티티로 상기 공유 피구동 키를 전달하는 단계; 상기 제2 서비스 엔티티가 상기 제1 서비스 엔티티의 상기 임시 ID, 상기 공유 피구동 키 및 현재 요청되는 상기 서비스의 종류를 결합하며, 상기 결합된 상기 제1 서비스 엔티티의 상기 임시 ID, 상기 공유 피구동 키 및 현재 요청되는 상기 서비스의 종류를 저장하는 단계; 및 상기 제1 서비스 엔티티가 상기 EAC와 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID, 및 상기 제2 서비스 엔티티의 임시 ID에 따라서 상기 공유 피구동 키를 계산하는 단계
    를 포함하는, 인증 방법.
  5. 제4항에 있어서,
    상기 공유 피구동 키, 상기 공유 키 머티리얼 및 상기 임시 ID 각각은 유효기간을 가지며, 상기 인증 방법은,
    상기 EAC에 의하여, 상기 유효기간이 만료하거나 만료된 상기 공유 키 머티리얼 또는 상기 임시 ID에 상응하여 재인증 프로시져가 개시되어야 한다는 것을 상기 제1 서비스 엔티티로 통지하는 단계;
    상기 EAC에 의하여, 상기 유효기간이 만료하거나 만료된 상기 공유 키 머티리얼 또는 상기 임시 ID에 상응하여 재인증 프로시져가 개시되어야 한다는 것을 상기 제2 서비스 엔티티로 통지하는 단계;
    상기 제1 서비스 엔티티에 의하여, 상기 유효기간이 만료하거나 만료된 상기 공유 키 머티리얼 또는 상기 임시 ID에 상응하여, 상기 EAC로 상기 재인증 프로시져를 개시하는 단계;
    상기 제2 서비스 엔티티에 의하여, 상기 유효기간이 만료하거나 만료된 상기 공유 키 머티리얼 또는 상기 임시 ID에 상응하여, 상기 EAC로 상기 재인증 프로시져를 개시하는 단계;
    상기 EAC에 의하여, 상기 유효기간이 만료되거나 만료된 상기 공유 피구동 키에 상응하여 상기 재인증 프로시져가 개시되어야 한다는 점을 상기 제1 서비스 엔티티로 통지하는 단계; 및
    상기 제2 서비스 엔티티에 의하여, 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 피구동 키의 상기 유효기간 또는 상기 제1 서비스 엔티티의 상기 임시 ID의 상기 유효기간이 만료되거나 만료된다면, 상기 재인증 프로시져가 개시되어야 한다는 것을 상기 제1 서비스 엔티티로 통지하는 단계
    중 하나 이상의 단계를 더 포함하는 인증 방법.
  6. 서비스 엔티티 및 엔티티 인증 센터(EAC)에 적용되는, 서비스 엔티티 인증 방법으로서,
    상기 서비스 엔티티와 상기 EAC 사이의 인증 모드를 협정하는 단계-여기서, 상기 협정된 인증 모드는 상기 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘을 포함함-; 및
    상기 협정된 인증 모드에 포함되는 상기 인증 메커니즘에 따라서 상기 서비스 엔티티와 상기 EAC 사이의 상호 인증을 수행하는 단계
    를 포함하는 서비스 엔티티 인증 방법.
  7. 제6항에 있어서,
    상기 서비스 엔티티와 상기 EAC 사이의 인증 모드를 협정하는 단계는,
    요청 서비스 엔티티에 의하여, 상기 EAC로 인증 요청을 전송하는 단계-여기서, 상기 인증 요청은 상기 요청 서비스 엔티티의 ID 및 현재 요청된 서비스의 종류를 운반함-; 및
    상기 EAC가 상기 현재 요청된 상기 서비스의 종류에 따라서 상기 서비스를 제공하는 제공 서비스 엔티티를 결정하며, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 인증 능력을 획득하며, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 상기 인증 능력에 따라서 상기 인증 모드를 선택하는 단계
    를 포함하는, 서비스 엔티티 인증 방법.
  8. 제7항에 있어서,
    상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 상기 인증 능력을 획득하는 것은,
    상기 EAC가 상기 인증 요청으로부터 상기 요청 서비스 엔티티의 상기 인증 능력을 획득하고, 상기 제공 서비스 엔티티를 결정한 후에, 상기 제공 서비스 엔티티의 신청 데이터(subscription data)의 질의에 의하여 상기 제공 서비스 엔티티의 ID에 따라서 상기 제공 서비스 엔티티의 상기 인증 능력을 획득하는 단계; 또는
    상기 EAC가 상기 요청 서비스 엔티티의 상기 신청 데이터의 질의에 의하여 상기 요청 서비스 엔티티의 상기 ID에 따라서 상기 요청 서비스 엔티티의 상기 인증 능력을 획득하고, 상기 제공 서비스 엔티티를 결정한 후에, 상기 제공 서비스 엔티티의 상기 신청 데이터의 질의에 의하여 상기 제공 서비스 엔티티의 상기 인증 능력을 획득하는 단계
    를 포함하는, 서비스 엔티티 인증 방법.
  9. 제6항에 있어서,
    상기 서비스 엔티티와 상기 EAC 사이의 상호 인증을 수행하는 단계는,
    상기 서비스 엔티티 및 상기 EAC가 서로 인증하며, 각각 상기 서비스 엔티티와 상기 EAC 사이의 통신을 보호하기 위한 공유 키 머티리얼을 획득하는 단계; 상기 EAC에 의하여, 상기 서비스 엔티티를 위한 임시 ID를 할당하는 단계; 및 상기 EAC 및 상기 서비스 엔티티 각각이 상기 획득된 공유 키 머티리얼과 함께 상기 할당된 임시 ID를 저장하는 단계
    를 포함하는, 서비스 엔티티 인증 방법.
  10. 제9항에 있어서,
    상기 공유 키 머티리얼 및 상기 임시 ID 각각은 유효기간을 가지며, 상기 방법은,
    상기 EAC에 의하여, 상기 공유 키 머티리얼 또는 상기 임시 ID의 상기 유효기간이 만료되거나 만료되었다면, 재인증 프로시져가 개시되어야 한다는 점을 상기 서비스 엔티티로 통지하는 단계;
    상기 서비스 엔티티에 의하여, 상기 공유 키 머티리얼 또는 상기 임시 ID의 상기 유효기간이 만료되거나 만료되었다면, 상기 EAC로 상기 재인증 프로시져를 개시하는 단계; 또는
    상기 EAC에 의하여, 상기 공유 키 머티리얼 또는 상기 임시 ID의 상기 유효기간이 만료되거나 만료되었다면, 재인증 프로시져가 개시되어야 한다는 점을 상기 서비스 엔티티로 통지하고, 상기 서비스 엔티티에 의하여, 상기 공유 키 머티리얼 또는 상기 임시 ID의 상기 유효기간이 만료되거나 만료되었다면, 상기 EAC로 상기 재인증 프로시져를 개시하는 단계;
    를 더 포함하는 서비스 엔티티 인증 방법.
  11. 서비스를 요청하는 제1 서비스 엔티티, 상기 서비스를 제공하는 제2 서비스 엔티티 및 EAC를 포함하는 시스템에 적용되는 인증 질의 방법으로서-여기서, 상기 제1 서비스 엔티티와 상기 EAC 사이의 상호 인증이 수행되고 상기 제2 서비스 엔티티와 상기 EAC 사이의 상호 인증이 수행되며, 상기 EAC가 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티 각각을 위하여 임시 ID를 할당하며, 상기 EAC가 상기 제1 서비스 엔티티와의 통신 및 상기 제2 서비스 엔티티와의 통신을 각각 보호하기 위하여 공유 키 머티리얼을 획득하며, 상기 제1 서비스 엔티티가 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 포함하는 인증 모드를 상기 EAC와 협정함-, 상기 인증 질의 방법은,
    상기 제1 서비스 엔티티가 상기 제2 서비스 엔티티에 의하여 제공되는 상기 서비스를 요청하면, 상기 협정된 인증 모드에 포함되는 상기 인증 질의의 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따른 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하는 단계; 및
    상기 협정된 인증 모드에 포함된 상기 피구동 키를 생성하기 위한 메커니즘, 상기 제1 서비스 엔티티의 상기 임시 ID, 상기 제2 서비스 엔티티의 상기 임시 ID, 및 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼에 따라서 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위하여 공유 피구동 키를 계산하는 단계
    를 포함하는 인증 질의 방법.
  12. 제11항에 있어서,
    상기 EAC가 상기 협정된 인증 모드에 포함되는 상기 인증 질의의 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티 각각의 상기 임시 ID에 대응하는 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 협정된 인증 모드에 포함된 상기 피동구 키를 생성하기 위한 메커니즘, 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 계산된 공유 피구동 키를 상기 제2 서비스 엔티티로 전달하는 단계;
    상기 제2 서비스 엔티티가 상기 공유 피구동 키와 현재 요청된 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하는 단계; 및
    상기 제1 서비스 엔티티에 의하여, 상기 협정된 인증 모드에 포함된 상기 피구동 키를 생성하기 위한 메커니즘, 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID, 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하는 단계
    를 포함하는 인증 질의 방법.
  13. 제11항에 있어서,
    상기 제1 서비스 엔티티에 의하여, 상기 제2 서비스 엔티티로부터의 상기 서비스에 대한 요청이 있으면, 상기 제1 서비스 엔티티의 상기 임시 ID를 상기 제2 서비스 엔티티로 제공하는 단계;
    상기 제2 서비스 엔티티에 의하여, 상기 제2 서비스 엔티티의 상기 임시 ID 및 상기 제1 서비스 엔티티의 상기 임시 ID를 상기 EAC로 제공하는 단계;
    상기 EAC가 각각 상기 협정된 인증 모드에 포함되는 인증 질의의 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티 각각의 상기 임시 ID에 따른 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 계산된 공유 피구동 키를 상기 제2 서비스 엔티티로 전달하는 단계;
    상기 제2 서비스 엔티티에 의하여, 상기 공유 피구동 키와 현재 요청된 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하는 단계; 및
    상기 제1 서비스 엔티티에 의하여, 상기 협정된 인증 모드에 포함된 상기 피구동 키를 생성하기 위한 메커니즘, 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하는 단계
    를 포함하는 인증 질의 방법.
  14. 제11항에 있어서,
    상기 제1 서비스 엔티티에 의하여, 상기 EAC로부터의 서비스 승인 티켓(SGT)에 대한 요청이 있으면, 상기 제1 서비스 엔티티의 상기 임시 ID 및 현재 요청된 상기 서비스의 종류를 상기 EAC로 제공하는 단계;
    상기 EAC가 상기 제1 서비스 엔티티의 상기 임시 ID에 따라서 상기 제1 서비스 엔티티의 권한을 인증하며, 상기 서비스의 종류에 따라서 상기 제1 서비스 엔티티의 상기 임시 ID를 획득하며, 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 계산된 공유 피구동 키 및 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티의 상기 임시 ID를 포함하는 상기 SGT를 생성하며, 상기 생성된 SGT를 상기 제1 서비스 엔티티로 전송하는 단계;
    상기 제1 서비스 엔티티가 상기 협정된 인증 모드에 포함되는 상기 피구동 키를 생성하기 위한 메커니즘, 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 제2 서비스 엔티티로부터의 상기 서비스에 대한 요청이 있으면, 상기 EAC로부터 전송된 상기 SGT를 상기 제2 서비스 엔티티로 제공하는 단계;
    상기 제2 서비스 엔티티가 상기 제1 서비스 엔티티에 의하여 제공되는 상기 SGT로부터 상기 공유 피구동 키를 획득하며, 상기 공유 피구동 키 및 현재 요청된 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하는 단계
    를 포함하는 인증 질의 방법.
  15. 제11항에 있어서,
    상기 제1 서비스 엔티티에 의하여, 상기 EAC로 서비스 요청에 대한 전송이 있으면, 상기 제1 서비스 엔티티의 상기 임시 ID 및 현재 요청된 상기 서비스의 종류를 상기 EAC로 제공하는 단계;
    상기 EAC가 상기 제1 서비스 엔티티의 상기 임시 ID에 따라서 상기 제1 서비스 엔티티의 권한을 인증하며, 현재 요청된 상기 서비스의 종류에 따라서 상기 서비스 요청을 상기 제2 서비스 엔티티로 발송하는 단계;
    상기 제2 서비스 엔티티에 의하여, 상기 제2 서비스 엔티티의 상기 임시 ID를 상기 EAC로 반환하는 단계;
    상기 EAC가 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 협정된 인증 모드에 포함되는 상기 피구동 키를 생성하기 위한 메커니즘, 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 계산된 공유 피구동 키를 상기 제2 서비스 엔티티로 전송하는 단계;
    상기 제2 서비스 엔티티에 의하여, 상기 공유 피구동 키 및 현재 요청된 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하는 단계;
    상기 제1 서비스 엔티티에 의하여, 상기 협정된 인증 모드에 포함되는 상기 피구동 키를 생성하기 위한 메커니즘, 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하는 단계
    를 포함하는 인증 질의 방법.
  16. 제11항 내지 제15항 중 어느 한 항에 있어서,
    상기 EAC가 상기 공유 피구동 키를 상기 제2 서비스 엔티티로 전달할 때, 상기 인증 질의 방법은, 상기 EAC가, 통신을 보호하기 위하여 상기 제2 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼을 사용하는 단계
    를 더 포함하는 인증 질의 방법.
  17. 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증 시스템으로서 서비스를 요청하는 제1 서비스 엔티티, 서비스를 제공하는 제2 서비스 엔티티 및 EAC를 포함하되, 여기서,
    상기 제1 서비스 엔티티는 인증과 관련된 적어도 하나의 메커니즘을 포함하는 인증 모드를 상기 EAC와 협정하며, 상기 협정된 인증 모드에 따라서 상기 제1 서비스 엔티티와 상기 EAC 사이의 상호 인증을 수행하며, 상기 제2 서비스 엔티티로부터의 서비스를 요청하며, 상기 협정된 인증 모드에 따른 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키에 따라서 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 상호 인증을 수행하도록 구성되며,
    상기 제2 서비스 엔티티는 상기 협정된 인증 모드에 따라서 상기 EAC를 인증하며, 상기 제1 서비스 엔티티가 상기 서비스를 요청하면, 상기 협정된 인증 모드에 따른 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 피구동 키에 따라서 상기 제2 서비스 엔티티와 상기 제1 서비스 엔티티 사이의 상기 상호 인증을 수행하도록 구성되며, 그리고
    상기 EAC는 각각 상기 EAC와 상기 제1 서비스 엔티티 사이의 상기 상호 인증을 수행하고, 상기 EAC와 상기 제2 서비스 엔티티 사이의 상기 상호 인증을 수행하며, 상기 제1 서비스 엔티티가 상기 서비스를 요청할 때, 상기 협정된 인증 모드에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티를 위한 인증 질의를 제공하며, 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 피구동 키를 생성하도록 구성되는, 인증 시스템.
  18. 제17항에 있어서,
    상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 신청 데이터를 저장하기 위한 데이터베이스를 더 포함하고,
    상기 EAC가, 상기 인증 모드에 대한 협정이 있으면, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 인증 능력을 획득하도록 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 ID에 따라서 데이터베이스에 질의하며, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 상기 획득된 인증 능력에 따라서 상기 인증 모드를 선택하도록 더 구성되는, 인증 시스템.
  19. 제17항에 있어서,
    상기 EAC는, 상기 EAC와 상기 제1 서비스 엔티티 사이의 상기 상호 인증을 수행하고 상기 EAC와 상기 제2 서비스 엔티티 사이 각각의 상기 상호 인증을 수행할 때, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티를 위한 임시 ID를 할당하며, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼을 획득하고, 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티를 위한 인증 질의를 제공할 때, 상기 협정된 인증 모드에 따른 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 제1 서비스 엔티티와 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 상기 공유 피구동 키를 계산하며, 상기 공유 피구동 키를 상기 제2 서비스 엔티티로 전달하도록 구성되며;
    상기 제1 서비스 엔티티가 상기 서비스에 대한 요청이 있을 때, 상기 협정된 인증 모드에 따른 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID 에 따라서 상기 공유 피구동 키를 계산하도록 구성되며; 그리고
    상기 제2 서비스 엔티티가 상기 EAC에 의하여 반환되는 상기 공유 피구동 키 및 상기 제1 서비스 엔티티에 의하여 요청되는 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하도록 더 구성되는, 인증 시스템.
  20. 서비스 엔티티 인증 시스템으로서,
    요청 서비스 엔티티, 제공 서비스 엔티티 및 EAC를 포함하고,
    상기 요청 서비스 엔티티는 상기 요청 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘 및 상기 제공 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘을 포함하는 인증 모드를 상기 EAC와 협정하며, 상기 요청 서비스 엔티티와 상기 EAC 사이의 상기 인증 메커니즘에 따라서 상기 EAC와의 상호 인증을 수행하도록 구성되고,
    상기 제공 서비스 엔티티는, 상기 제공 서비스 엔티티와 상기 EAC 사이의 인증 메커니즘에 따라서 상기 EAC와의 상호 인증을 수행하도록 구성되는,
    서비스 엔티티 인증 시스템.
  21. 제20항에 있어서,
    상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 신청 데이터를 저장하기 위한 데이터베이스를 더 포함하고,
    상기 EAC는 상기 인증 모드에 대한 협정이 있을 때, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 ID에 따라서 데이터베이스에 질의하며, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 인증 능력을 획득하며, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 상기 인증 능력에 따라서 상기 인증 모드를 선택하도록 더 구성되는, 서비스 엔티티 인증 시스템.
  22. 인증 질의 시스템으로서,
    서비스를 요청하는 제1 서비스 엔티티, 상기 서비스를 제공하는 제2 서비스 엔티티, 및 엔티티 인증 센터(EAC)를 포함하고,
    상기 제1 서비스 엔티티는 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 포함하는 인증 모드를 상기 EAC와 협정하도록 구성되며; 그리고
    상기 EAC는 상기 제1 서비스 엔티티가 상기 서비스를 요청할 때, 상기 협정된 인증 모드에 포함되는 인증 질의의 상기 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 협정된 인증 모드에 포함되는 상기 피구동 키를 생성하기 위한 상기 메커니즘에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티 사이의 통신을 보호하기 위한 공유 피구동 키를 생성하도록 구성되는, 인증 질의 시스템.
  23. 제22항에 있어서,
    상기 EAC가 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 임시 ID에 따라서 상기 제1 서비스 엔티티 및 상기 제2 서비스 엔티티의 권한을 인증하며, 상기 제1 서비스 엔티티와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 상기 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하며, 상기 계산된 공유 피구동 키를 상기 제2 서비스 엔티티로 전달하도록 구성되며;
    상기 제1 서비스 엔티티는 상기 EAC와의 통신을 보호하기 위한 상기 공유 키 머티리얼, 상기 제1 서비스 엔티티의 임시 ID 및 상기 제2 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하도록 구성되며; 그리고
    상기 제2 서비스 엔티티는 상기 EAC에 의하여 반환되는 상기 공유 피구동 키 및 요청된 상기 서비스의 종류와 함께 상기 제1 서비스 엔티티의 상기 임시 ID를 저장하도록 구성되는, 인증 질의 시스템.
  24. 인증 센터로서,
    요청 서비스 엔티티 및 제공 서비스 엔티티의 인증 모드를 협정하도록 구성되는 제1 모듈-여기서, 상기 인증 모드는 상기 요청 서비스 엔티티와 상기 인증 센터 사이의 인증 메커니즘 및 상기 제공 서비스 엔티티와 상기 인증 센터 사이의 인증 메커니즘을 포함함-; 및
    상기 제1 모듈에 의하여 협정된 상기 인증 모드에 포함되는 상기 인증 메커니즘에 따라서 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티를 인증하도록 구성되는 제2 모듈
    을 포함하는 인증 센터.
  25. 제24항에 있어서,
    상기 제1 모듈은,
    상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티 각각의 인증 능력을 획득하도록 신청 데이터를 질의하도록 구성되는 제1 서브-모듈; 및
    상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티의 상기 인증 능력에 따라서 인증 모드를 선택하도록 구성되는 제2 서브-모듈-여기서, 상기 인증 능력은 상기 제1 서브 모듈에 의하여 획득됨-을 포함하는, 인증 센터.
  26. 제24항 또는 제25항에 있어서,
    상기 인증 모드는 인증 질의의 메커니즘 및 피구동 키를 생성하기 위한 메커니즘을 더 포함하며, 상기 인증 센터는,
    상기 요청 서비스 엔티티가 상기 서비스를 요청할 때, 상기 요청 서비스 엔티티 및 상기 제공 서비스 엔티티를 위한 인증 질의를 제공하며, 상기 제1 모듈에 의하여 협정된 상기 인증 모드에 포함되는 인증 질의의 상기 메커니즘 및 상기 피구동 키를 생성하기 위한 상기 메커니즘에 따라서 상기 요청 서비스 엔티티와 상기 제공 서비스 엔티티 사이의 통신을 보호하도록 하는 상기 공유 피구동 키를 계산하도록 구성되는 제3 모듈을 더 포함하는 인증 센터.
  27. 제26항에 있어서,
    상기 제2 모듈은 공유 키 머티리얼, 상기 요청 서비스 엔티티를 위한 임시 ID 및 상기 제공 서비스 엔티티를 위한 임시 ID를 생성하도록 구성되며; 그리고
    상기 제3 모듈은 상기 제2 모듈에 의하여 생성되는 상기 공유 키 머티리얼, 상기 요청 서비스 엔티티의 상기 임시 ID 및 상기 제공 서비스 엔티티의 상기 임시 ID에 따라서 상기 공유 피구동 키를 계산하도록 구성되는, 인증 센터.
KR1020087020544A 2006-01-24 2006-12-26 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 KR101009330B1 (ko)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
CN200610033377.2 2006-01-24
CNA2006100333772A CN101009919A (zh) 2006-01-24 2006-01-24 一种基于移动网络端到端通信的认证方法
CN200610074902.5 2006-04-04
CN200610074902A CN101052032B (zh) 2006-04-04 2006-04-04 一种业务实体认证方法及装置
CN200610079252A CN101060406B (zh) 2006-04-20 2006-04-20 一种端到端通信认证的方法及装置
CN200610079252.3 2006-04-20

Publications (2)

Publication Number Publication Date
KR20080089500A KR20080089500A (ko) 2008-10-06
KR101009330B1 true KR101009330B1 (ko) 2011-01-18

Family

ID=38068497

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087020544A KR101009330B1 (ko) 2006-01-24 2006-12-26 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터

Country Status (7)

Country Link
US (2) US7984298B2 (ko)
EP (1) EP1811744B1 (ko)
JP (2) JP5123209B2 (ko)
KR (1) KR101009330B1 (ko)
AT (1) ATE442730T1 (ko)
DE (1) DE602007002308D1 (ko)
WO (1) WO2007085175A1 (ko)

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2005318933B2 (en) * 2004-12-21 2011-04-14 Emue Holdings Pty Ltd Authentication device and/or method
JP5123209B2 (ja) 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
JP5205380B2 (ja) * 2006-08-22 2013-06-05 インターデイジタル テクノロジー コーポレーション アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
GB0621772D0 (en) * 2006-11-01 2006-12-13 Nokia Corp Accessing services
US20090109080A1 (en) * 2007-10-30 2009-04-30 Everspring Industry Co., Ltd. Remote control security supervisory control method
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
JP5496907B2 (ja) * 2007-11-30 2014-05-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
US9692602B2 (en) * 2007-12-18 2017-06-27 The Directv Group, Inc. Method and apparatus for mutually authenticating a user device of a primary service provider
US8782759B2 (en) * 2008-02-11 2014-07-15 International Business Machines Corporation Identification and access control of users in a disconnected mode environment
US20090259849A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
KR20100134745A (ko) * 2008-04-14 2010-12-23 코닌클리케 필립스 일렉트로닉스 엔.브이. 분산형 아이덴티피케이션을 위한 방법, 네트워크 내의 스테이션
US9668139B2 (en) * 2008-09-05 2017-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure negotiation of authentication capabilities
KR101089889B1 (ko) * 2008-11-21 2011-12-05 한국전자통신연구원 다운로더블 제한수신시스템 및 상기 다운로더블 제한수신시스템에서 인증 서버와 단말 간 암호화된 양방향 통신을 위한 세션 제어 방법
US8375432B2 (en) * 2009-08-31 2013-02-12 At&T Mobility Ii Llc Methods, apparatus, and computer program products for subscriber authentication and temporary code generation
US8943321B2 (en) 2009-10-19 2015-01-27 Nokia Corporation User identity management for permitting interworking of a bootstrapping architecture and a shared identity service
JP5660050B2 (ja) * 2009-12-28 2015-01-28 日本電気株式会社 ユーザ情報活用システム、装置、方法およびプログラム
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
CN102143491B (zh) * 2010-01-29 2013-10-09 华为技术有限公司 对mtc设备的认证方法、mtc网关及相关设备
US9183374B2 (en) * 2010-07-15 2015-11-10 Novell, Inc. Techniques for identity-enabled interface deployment
JP5652036B2 (ja) 2010-07-29 2015-01-14 ソニー株式会社 通信システム、通信装置及び通信方法、並びにコンピューター・プログラム
WO2012021662A2 (en) * 2010-08-10 2012-02-16 General Instrument Corporation System and method for cognizant transport layer security (ctls)
WO2012058896A1 (zh) * 2010-11-04 2012-05-10 中兴通讯股份有限公司 单点登录方法及系统
EP2461613A1 (en) * 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
EP2656648B1 (en) * 2010-12-21 2018-05-09 Koninklijke KPN N.V. Operator-assisted key establishment
US8914636B2 (en) * 2011-06-28 2014-12-16 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols
WO2014074885A2 (en) * 2012-11-09 2014-05-15 Interdigital Patent Holdings, Inc. Identity management with generic bootstrapping architecture
JP5746774B2 (ja) * 2014-01-06 2015-07-08 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
US9419949B2 (en) 2014-03-31 2016-08-16 EXILANT Technologies Private Limited Increased communication security
US9426136B2 (en) 2014-03-31 2016-08-23 EXILANT Technologies Private Limited Increased communication security
US10389714B2 (en) * 2014-03-31 2019-08-20 Idaax Technologies Private Limited Increased communication security
CN105306406A (zh) * 2014-05-26 2016-02-03 中国移动通信集团公司 认证和密钥协商算法的协商方法、网络侧设备和用户设备
US10250698B2 (en) * 2014-08-25 2019-04-02 Futurewei Technologies, Inc. System and method for securing pre-association service discovery
US9432379B1 (en) * 2014-10-09 2016-08-30 Emc Corporation Dynamic authorization in a multi-tenancy environment via tenant policy profiles
EP3213488A1 (en) * 2014-10-31 2017-09-06 Convida Wireless, LLC End-to-end service layer authentication
EP3272094B1 (en) 2015-03-16 2021-06-23 Convida Wireless, LLC End-to-end authentication at the service layer using public keying mechanisms
JP6331031B2 (ja) * 2015-03-26 2018-05-30 パナソニックIpマネジメント株式会社 認証方法、認証システム及び通信機器
US10050789B2 (en) 2015-04-24 2018-08-14 Red Hat, Inc. Kerberos preauthentication with J-PAKE
US10291607B1 (en) * 2016-02-02 2019-05-14 Wickr Inc. Providing real-time events to applications
CN108702615B (zh) * 2016-02-12 2022-08-05 瑞典爱立信有限公司 保护接口以及用于建立安全通信链路的过程
KR20170104180A (ko) * 2016-03-07 2017-09-15 한국전자통신연구원 전자 장치 및 전자 장치 간의 인증 수행 방법
US10462109B2 (en) * 2016-06-12 2019-10-29 Apple Inc. Secure transfer of a data object between user devices
CN107623668A (zh) * 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
EP3485668B1 (en) 2016-07-18 2021-07-07 Telefonaktiebolaget LM Ericsson (PUBL) Network nodes and methods performed by network node for selecting authentication mechanism
EP3610626B1 (en) * 2017-04-12 2023-06-07 Telefonaktiebolaget LM Ericsson (Publ) Methods for automatic bootstrapping of a device
US20200153807A1 (en) * 2017-07-18 2020-05-14 Hewlett-Packard Development Company, L.P. Rendering apparatus identities
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
US11088829B2 (en) 2018-09-04 2021-08-10 International Business Machines Corporation Securing a path at a node
US11025413B2 (en) 2018-09-04 2021-06-01 International Business Machines Corporation Securing a storage network using key server authentication
US11038698B2 (en) 2018-09-04 2021-06-15 International Business Machines Corporation Securing a path at a selected node
US11038671B2 (en) 2018-09-04 2021-06-15 International Business Machines Corporation Shared key processing by a storage device to secure links
US10833856B2 (en) * 2018-09-04 2020-11-10 International Business Machines Corporation Automatic re-authentication of links using a key server
CN112688782B (zh) 2019-10-17 2023-09-08 华为技术有限公司 一种组合式设备的远程证明方法及设备
CN113163399A (zh) * 2020-01-07 2021-07-23 阿里巴巴集团控股有限公司 一种终端与服务器的通信方法和装置
US20220231837A1 (en) * 2021-01-20 2022-07-21 Cisco Technology, Inc. Intelligent and secure packet captures for cloud solutions

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1343342A1 (en) * 2002-03-08 2003-09-10 Sony Ericsson Mobile Communications AB Security protection for data communication
US20050147249A1 (en) * 2002-03-08 2005-07-07 Carl Gustavsson Security protection for data communication

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2788914B1 (fr) * 1999-01-22 2001-03-23 Sfr Sa Procede d'authentification, avec etablissement d'un canal securise, entre un abonne et un fournisseur de services accessible via un operateur de telecommunication
FI19991733A (fi) * 1999-08-16 2001-02-17 Nokia Networks Oy Autentikointi matkaviestinjärjestelmässä
US6957199B1 (en) * 2000-08-30 2005-10-18 Douglas Fisher Method, system and service for conducting authenticated business transactions
AU2001221632A1 (en) * 2000-11-28 2002-06-11 Nokia Corporation System and method for authentication of a roaming subscriber
US20020147820A1 (en) * 2001-04-06 2002-10-10 Docomo Communications Laboratories Usa, Inc. Method for implementing IP security in mobile IP networks
ES2296693T3 (es) * 2001-09-04 2008-05-01 Telefonaktiebolaget Lm Ericsson (Publ) Mecanismo de aunteficacion universal.
US6993652B2 (en) * 2001-10-05 2006-01-31 General Instrument Corporation Method and system for providing client privacy when requesting content from a public server
US7313816B2 (en) * 2001-12-17 2007-12-25 One Touch Systems, Inc. Method and system for authenticating a user in a web-based environment
US7818792B2 (en) * 2002-02-04 2010-10-19 General Instrument Corporation Method and system for providing third party authentication of authorization
ATE367043T1 (de) * 2002-05-24 2007-08-15 Ericsson Telefon Ab L M Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
US7373508B1 (en) * 2002-06-04 2008-05-13 Cisco Technology, Inc. Wireless security system and method
EP1372317B1 (en) * 2002-06-11 2008-08-27 Matsushita Electric Industrial Co., Ltd. Authentication system
CA2502134A1 (en) * 2002-06-19 2004-03-04 Secured Communications, Inc. Inter-authentication method and device
US7720910B2 (en) * 2002-07-26 2010-05-18 International Business Machines Corporation Interactive filtering electronic messages received from a publication/subscription service
US7386878B2 (en) * 2002-08-14 2008-06-10 Microsoft Corporation Authenticating peer-to-peer connections
KR20040075380A (ko) 2003-02-20 2004-08-30 삼성전자주식회사 억세스 가상 사설망의 데이터 암호화 방법
JP4240297B2 (ja) * 2003-04-21 2009-03-18 ソニー株式会社 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム
JP4476025B2 (ja) * 2003-06-06 2010-06-09 株式会社リコー 画像形成装置
US7526640B2 (en) * 2003-06-30 2009-04-28 Microsoft Corporation System and method for automatic negotiation of a security protocol
US7428637B1 (en) * 2003-07-30 2008-09-23 Billman Richard E Dynamic authentication and initialization method
FR2858732B1 (fr) * 2003-08-05 2005-09-16 France Telecom Systeme de selection automatique d'authentification
JP4617763B2 (ja) * 2003-09-03 2011-01-26 ソニー株式会社 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US8140054B2 (en) * 2003-10-31 2012-03-20 Electronics And Telecommunications Research Institute Method for authenticating subscriber station, method for configuring protocol thereof, and apparatus thereof in wireless portable internet system
CN1315268C (zh) 2003-11-07 2007-05-09 华为技术有限公司 一种验证用户合法性的方法
CN1265607C (zh) * 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
WO2005067199A1 (ja) * 2003-12-26 2005-07-21 Mitsubishi Denki Kabushiki Kaisha 被認証装置及び認証装置及び認証方法
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
JP3944182B2 (ja) * 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法
GB2414144B (en) * 2004-04-19 2006-07-26 Matsushita Electric Ind Co Ltd Fast and secure connectivity for a mobile node
WO2005125261A1 (en) * 2004-06-17 2005-12-29 Telefonaktiebolaget Lm Ericsson (Publ) Security in a mobile communications system
WO2006012058A1 (en) * 2004-06-28 2006-02-02 Japan Communications, Inc. Systems and methods for mutual authentication of network
US20060021018A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
US20060021017A1 (en) * 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for establishing federation relationships through imported configuration files
US8127136B2 (en) * 2004-08-25 2012-02-28 Samsung Electronics Co., Ltd Method for security association negotiation with extensible authentication protocol in wireless portable internet system
US20060059344A1 (en) * 2004-09-10 2006-03-16 Nokia Corporation Service authentication
GB0428084D0 (en) * 2004-12-22 2005-01-26 Nokia Corp Method for producing authentication information
JP4605594B2 (ja) 2005-01-26 2011-01-05 古野電気株式会社 超音波送受波器および水中探知装置
WO2006079419A1 (en) * 2005-01-28 2006-08-03 Telefonaktiebolaget Lm Ericsson (Publ) User authentication and authorisation in a communications system
US20060218628A1 (en) * 2005-03-22 2006-09-28 Hinton Heather M Method and system for enhanced federated single logout
US7631346B2 (en) * 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
WO2006106250A1 (fr) * 2005-04-07 2006-10-12 France Telecom Communication securisee entre un dispositif de traitement de donnees et un module de securite
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US20070198837A1 (en) * 2005-04-29 2007-08-23 Nokia Corporation Establishment of a secure communication
US20060248337A1 (en) * 2005-04-29 2006-11-02 Nokia Corporation Establishment of a secure communication
US8132006B2 (en) * 2005-05-03 2012-03-06 Ntt Docomo, Inc. Cryptographic authentication and/or establishment of shared cryptographic keys, including, but not limited to, password authenticated key exchange (PAKE)
WO2006124841A2 (en) * 2005-05-17 2006-11-23 Telcordia Technologies, Inc. Secure virtual point of service for 3g wireless networks
FI20050562A0 (fi) * 2005-05-26 2005-05-26 Nokia Corp Menetelmä avainmateriaalin tuottamiseksi
KR100652125B1 (ko) * 2005-06-03 2006-12-01 삼성전자주식회사 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치
KR100749846B1 (ko) * 2005-06-22 2007-08-16 한국전자통신연구원 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
US20070015094A1 (en) * 2005-07-13 2007-01-18 Konica Minolta Medical & Graphic, Inc. Electromagnetic wave shielding material, method for manufacturing the same and electromagnetic wave shielding material for plasma display panel
US20070042754A1 (en) * 2005-07-29 2007-02-22 Bajikar Sundeep M Security parameter provisioning in an open platform using 3G security infrastructure
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
US7853995B2 (en) * 2005-11-18 2010-12-14 Microsoft Corporation Short-lived certificate authority service
US7787627B2 (en) * 2005-11-30 2010-08-31 Intel Corporation Methods and apparatus for providing a key management system for wireless communication networks
WO2007063420A2 (en) * 2005-12-01 2007-06-07 Nokia Corporation Authentication in communications networks
CN101001144B (zh) * 2006-01-13 2010-05-12 华为技术有限公司 一种实体认证中心实现认证的方法
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US7653813B2 (en) * 2006-02-08 2010-01-26 Motorola, Inc. Method and apparatus for address creation and validation
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
US7793103B2 (en) * 2006-08-15 2010-09-07 Motorola, Inc. Ad-hoc network key management
US7707415B2 (en) * 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1343342A1 (en) * 2002-03-08 2003-09-10 Sony Ericsson Mobile Communications AB Security protection for data communication
US20050147249A1 (en) * 2002-03-08 2005-07-07 Carl Gustavsson Security protection for data communication

Also Published As

Publication number Publication date
US7984298B2 (en) 2011-07-19
US20080178004A1 (en) 2008-07-24
ATE442730T1 (de) 2009-09-15
US8468353B2 (en) 2013-06-18
DE602007002308D1 (de) 2009-10-22
WO2007085175A1 (fr) 2007-08-02
EP1811744B1 (en) 2009-09-09
US20110258447A1 (en) 2011-10-20
JP5123209B2 (ja) 2013-01-23
JP2012253817A (ja) 2012-12-20
EP1811744A1 (en) 2007-07-25
KR20080089500A (ko) 2008-10-06
JP2009524369A (ja) 2009-06-25

Similar Documents

Publication Publication Date Title
KR101009330B1 (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
CN101156352B (zh) 基于移动网络端到端通信的认证方法、系统及认证中心
JP4741664B2 (ja) 認証及びプライバシーに対する方法及び装置
CN101371550B (zh) 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
KR101078455B1 (ko) 보안 인터넷 프로토콜 권한 관리 아키텍쳐에 대한 키 관리프로토콜 및 인증 시스템
EP1997292B1 (en) Establishing communications
US8161278B2 (en) System and method for distributing keys in a wireless network
US20080178274A1 (en) System for using an authorization token to separate authentication and authorization services
EP1933498B1 (en) Method, system and device for negotiating about cipher key shared by ue and external equipment
KR20180095873A (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
KR20110113565A (ko) 공중 무선 네트워크를 통한 사설 네트워크로의 보안 접근
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
WO2005096644A1 (fr) Procede d&#39;etablissement d&#39;une association de securite entre l&#39;abonne itinerant et le serveur du reseau visite
US20100161958A1 (en) Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device
WO2008006312A1 (en) A realizing method for push service of gaa and a device
CN111756528A (zh) 一种量子会话密钥分发方法、装置及通信架构
WO2015180399A1 (zh) 一种认证方法及装置系统
He et al. An asymmetric authentication protocol for M-Commerce applications
US11838428B2 (en) Certificate-based local UE authentication
CN117376909A (zh) 一种基于通用引导架构的单包授权认证方法及系统
WO2020037958A1 (zh) 基于gba的客户端注册和密钥共享方法、装置及系统
KR20080031731A (ko) 인증 및 프라이버시를 위한 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131219

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151217

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161219

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171219

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20181219

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20191217

Year of fee payment: 10