KR101018470B1 - Secure authentication system in binary cdma communication networks and drive method of the same - Google Patents
Secure authentication system in binary cdma communication networks and drive method of the same Download PDFInfo
- Publication number
- KR101018470B1 KR101018470B1 KR1020100064144A KR20100064144A KR101018470B1 KR 101018470 B1 KR101018470 B1 KR 101018470B1 KR 1020100064144 A KR1020100064144 A KR 1020100064144A KR 20100064144 A KR20100064144 A KR 20100064144A KR 101018470 B1 KR101018470 B1 KR 101018470B1
- Authority
- KR
- South Korea
- Prior art keywords
- key
- value
- mutual authentication
- random variable
- mobile terminal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 바이너리 CDMA 기술과 ARIA 기술이 접목된 무선 통신 보안 기술에 관한 것으로, IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델이다. 특히, 바이너리 CDMA 통신망(ex : 바이너리 CDMA LAN)에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법에 관한 것이다.
The present invention relates to a wireless communication security technology combining binary CDMA technology and ARIA technology, and is a new public network model that can replace IEEE 802.11 WLAN. In particular, by applying mutual authentication and AKA protocol to binary CDMA network (ex: binary CDMA LAN), binary CDMA that permits security authentication and security re-authentication for traffic exchange between user mobile terminal and intermediary server. A security authentication system on a communication network and a driving method thereof.
Koinonia는 국내 독자 기술로 2009년 1월 국제 표준화 기구인 ISO/IEC JTC SC 6에서 표준으로 채택된 근거리 디지털 무선 통신 기술이다.Koinonia is a local proprietary digital wireless communication technology adopted as standard in ISO / IEC JTC SC 6, an international standardization organization in January 2009.
Koinonia 시스템은 크게 물리 계층과 데이터 링크 계층으로 나뉘며, 데이터 링크 계층은 매체 접근(MAC) 부계층과 Adaptation 부계층으로 나뉜다.The Koinonia system is largely divided into a physical layer and a data link layer, and the data link layer is divided into a media access (MAC) sublayer and an adaptation sublayer.
매체 접근 부계층은 물리 계층인 바이너리 CDMA의 특성을 살려 코드와 시간 슬롯의 조합을 통해 매체접근을 하는 HMA(Hybrid Multiple Access) 방식을 사용한다.The media access sublayer uses a hybrid multiple access (HMA) scheme that accesses media through a combination of code and time slots, taking advantage of binary CDMA, a physical layer.
Adaptation 부계층은 하위 프로토콜 스택과 상위의 다른 무선 표준의 프로토콜 스택을 호환해주는 역할을 한다.The Adaptation sublayer is responsible for making the lower protocol stacks compatible with those of other higher wireless standards.
Koinonia 시스템은 잡음이 많은 무선 환경에서도 QoS를 보장하고, 다양한 디지털 기기들을 하나의 네트워크(Koinonia 네트워크)에 묶어 상호 운영을 가능하게 하며, 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특성을 가진다. Koinonia system guarantees QoS even in noisy wireless environment, enables interoperability by tying various digital devices into one network (Koinonia network), and has the characteristics that it can be used simultaneously without interfering with existing communication system.
또한, Koinonia 시스템은 바이너리 CDMA 무선 구간의 암호화 서비스를 위해 ARIA와 AES를 모두 사용할 수 있도록 개발되고 있으므로 국내 기간망 및 공공기관에 사용할 수 있다.In addition, Koinonia system is developed to use both ARIA and AES for encryption service of binary CDMA radio section, so it can be used in domestic backbone network and public institutions.
바이너리 CDMA 기술은 WLAN이나 Bluetooth와 같은 다양한 무선 기술들의 혼재에 따른 주파수 배정 문제나 QoS(Quality of Service) 보장 문제를 해결하기 위해 제안된 무선 기술로써, 바이너리 CDMA 기술을 기반으로 한 Koinonia는 2009년 1월에 국제 표준화 기구 ISO/IEC JTC SC6에서 표준으로 채택된 시스템으로 기존의 여러 기술과의 상호 운영이 가능하고 잡음이 많은 무선 환경에서도 QoS를 보장하며 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특징이 있다.Binary CDMA technology has been proposed to solve the problem of frequency allocation or quality of service (QoS) guarantee due to a mixture of various wireless technologies such as WLAN and Bluetooth. Koinonia, based on binary CDMA technology, It was adopted as a standard by the International Organization for Standardization ISO / IEC JTC SC6 in March, and it can interoperate with many existing technologies, guarantee QoS in noisy wireless environment, and use it simultaneously without interfering with existing communication system. There is a characteristic.
최근에는 바이너리 CDMA 기술에 기반하여 무선 암호화 기술을 적용한 Guardian 기술이 개발 중에 있으나, 무선상에서 다양한 보안 위협들이 날로 늘어남으로 말미암아 개인 정보 또는 국가 기관의 중요한 정보가 유출되거나 혹은 장비 상의 심각한 손상을 초래하는 등 많은 피해가 발생하고 있는 문제점이 있다.Recently, Guardian technology, which is based on binary CDMA technology, has been developed using wireless encryption technology.However, various security threats are increasing over the air, which may lead to the leakage of personal information or important information of national institutions or serious damage to equipment. There is a problem that a lot of damage is occurring.
현재 널리 사용되고 있는 IEEE 802.11 WLAN의 경우, 보안이 강화된 IEEE 802.11i를 권고하고 있지만, 실제 환경에서는 비용이나 관리상의 문제로 기대하는 만큼의 보안을 제공하지 못하는 것이 현실이다.Although IEEE 802.11 WLAN, which is widely used at present, recommends enhanced security of IEEE 802.11i, in reality, it does not provide security as expected in terms of cost and management problems.
이런 이유로 공공망이나 일부 조직에서는 제한적인 내장 보안 기능을 사용하거나, 혹은 전면 금지하는 경우가 많아졌을 뿐만 아니라 AES를 사용한 802.11i WLAN이 안전성을 보장한다 하더라도 공공망 설계시 공공 기관에 도입되는 암호 기술인 ARIA를 보안 제품에 탑재시키는 것이 의무화되어 있어 채택에 대한 정책적 문제점이 있다.
For this reason, public networks and some organizations often use limited built-in security features or prohibit total ban, and even though 802.11i WLAN using AES ensures security, it is a cryptographic technology that is introduced to public institutions when designing public networks. There is a policy problem with adoption as it is mandatory to incorporate ARIA into security products.
본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 앞서 본 종래 기술의 문제점을 해결하기 위해 안출된 것으로, 본 발명의 제 1 목적은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하기 위함이다.A security authentication system and a method of driving the same on a binary CDMA network of the present invention have been devised to solve the problems of the prior art, and a first object of the present invention is mutual authentication and key matching protocol (AKA Protocol) to a binary CDMA network. By applying the security authorization and security re-authentication for traffic exchange between the user mobile terminal and the intermediary server, the mobile terminal possesses the user mobile terminal due to the strong security of the intermediate server connected to the user mobile terminal through the binary CDMA communication network. Not only to prevent the leakage of personal information of a user, but also to protect the leakage of personal information through security re-authentication for a user mobile terminal to be handed over.
또한, 본 발명의 제 2 목적은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있기 위함이다.In addition, the second object of the present invention is not only applicable to the binary CDMA communication network, but also public or private network created for any special purpose to increase the user satisfaction with a user mobile terminal that can protect their personal information, This is to improve the utilization rate of the security authentication system built on the binary CDMA communication network to maximize the company's profits.
또한, 본 발명의 제 3 목적은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될 수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지한다.
In addition, a third object of the present invention is to propose a new network model that enables security authentication and security re-authentication for traffic exchange between a user mobile terminal and an intermediate server on a binary CDMA communication network, and can be widely used in various applications. Not only plays a role in the national backbone network but also contributes greatly to industrial development.
상기의 과제를 달성하기 위한 본 발명은 다음과 같은 구성을 포함한다.The present invention for achieving the above object includes the following configuration.
즉, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템은, 사용자 이동 단말기와 운영관리 서버 간을 서로 연결하는 중개 서버를 활용해 바이너리 CDMA 통신망 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템으로, 상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제 1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기; 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함한다.That is, the security authentication system on the binary CDMA communication network according to the embodiment of the present invention, the security on the binary CDMA communication network to perform the security authentication on the binary CDMA communication network using an intermediary server connecting the user mobile terminal and the operation management server with each other In the authentication system, upon receiving the personal image request signal through the binary CDMA communication network, the registered permanent ID or temporary ID is transmitted to the intermediary server, and the predetermined second mutual authentication is performed on the master shared key identified from the permanent ID. Compares whether or not the second mutual authentication routine operation value generated by the assignment to the function and the first mutual authentication routine operation value are matched to allow communication connection of the intermediate server when they match each other; and the master shared key and the intermediate server. A predetermined first key derivation function for the first random variable In addition to generating a user-side encryption key and a mutual authentication response value by applying to the first mutual authentication function, the second random variable received from the user-side encryption key and the intermediary server is applied to a predetermined second key derivation function. After generating the traffic protection stable key, and verifying the first key matching session value transmitted from the intermediate server, and applying the second traffic protection stable key to the key matching function to generate a second key matching session value to the intermediate server A user mobile terminal for transmitting to; By querying the permanent ID received from the intermediary server, the master shared key matching the permanent ID is 1: 1, as well as generating the first random variable by itself, and generating the master shared key and the first random variable. An operation management server that is assigned to a predetermined first key derivation function and first and second mutual authentication functions to generate a user side encryption key, a mutual authentication expectation value, and a first mutual authentication routine operation value; And transmitting a personal identification request signal for requesting personal identification information about a user possessing the user mobile terminal to the binary CDMA communication network, temporarily storing the user side encryption key and mutual authentication expectation request received from the operations management server. Transmitting the first random variable and the first mutual authentication routine operation value received from the operations management server to the user mobile terminal, and comparing the mutual authentication response value and the mutual authentication expected request value received through the binary CDMA communication network. If they coincide with each other, the user-side encryption key and the second random variable generated by itself are applied to a preset second key derivation function to generate a first traffic protection stable key, and the first traffic protection stable key is a preset key. The first key matching session value and the second LAN generated by applying to the matching function Transmit a variable to the user mobile terminal, and secondly verify the second key agreement session value received through the binary CDMA network to permit security authentication for traffic exchange of the user mobile terminal and permit the security authentication. It includes a mediation server for notifying the operations management server.
또한, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은, 중개 서버가 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망으로 송출하는 제 1 단계; 사용자 이동 단말기가 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하는 제 2 단계; 운영관리 서버가 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출하고 제 1 랜덤변수를 자체적으로 생성시키는 제 3 단계; 상기 운영관리 서버가 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 제 4 단계; 상기 중개 서버가 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하는 제 5 단계; 상기 사용자 이동 단말기가 상기 영구적 아이디로부터 파악되는 상기 마스터 공유키를 상기 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 상기 제 1 상호인증 루틴 연산치 간의 일치 여부 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하는 제 6 단계; 상기 사용자 이동 단말기가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시키는 제 7 단계; 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시키는 제 8 단계; 상기 중개 서버가 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하는 제 9 단계; 상기 사용자 이동 단말기가 상기 사용자측 암호화키와 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 제 10 단계; 및 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 제 11 단계를 포함한다.In addition, the method for driving a security authentication system on a binary CDMA communication network according to an embodiment of the present invention, a binary CDMA communication network that is connected to a personal image request signal for requesting personal identification information about a user possessing the user mobile terminal through an intermediate server A first step of transmitting to the; A second step of transmitting a pre-registered permanent ID or temporary ID to the intermediary server as a user mobile terminal receives the personal image request signal through the binary CDMA communication network; A third step of the operation management server querying the permanent ID received from the intermediary server, calling a master shared key that matches the permanent ID 1: 1, and generating a first random variable by itself; The operation management server substitutes the master shared key and the first random variable into a predetermined first key derivation function and first and second mutual authentication functions, respectively, and calculates a user side encryption key, mutual authentication expectation value, and first mutual authentication routine operation value. Generating a fourth step; The intermediate server temporarily stores the user-side encryption key and the mutual authentication expectation value received from the operations management server, and transmits the first random variable and the first mutual authentication routine operation value received from the operations management server to the user mobile terminal. A fifth step; A coincidence between a second mutual authentication routine operation value generated by substituting the master shared key determined from the permanent ID by the user mobile terminal into the second mutual authentication function and the first mutual authentication routine operation value; A sixth step of allowing a communication connection of the intermediary server when comparing with each other whether or not they match each other; A seventh step of the user mobile terminal generating the user side encryption key and the mutual authentication response value by applying the master shared key and the first random variable to the first key derivation function and the first mutual authentication function; If the intermediary server compares the mutual authentication response value received through the binary CDMA network with the mutual authentication expectation request value, and matches each other, the predetermined key derivation function of the user-side encryption key and the second random variable generated by the intermediate server An eighth step of applying to to generate a first traffic protection stable key; A ninth step of transmitting, by the intermediary server, the first key agreement session value and the second random variable generated by applying the first traffic protection stabilization key to a predetermined key matching function; The user mobile terminal generates the second traffic protection stable key by applying the user-side encryption key and the second random variable to a preset second key derivation function, and after verifying the first key agreement session value first, the second key. A tenth step of applying a traffic protection stable key to the key matching function to generate a second key matching session value and to transmit it to the intermediate server; And authorizing, by the intermediary server, a second security verification for the traffic exchange of the user mobile terminal by second verifying the second key agreement session value received through the binary CDMA communication network, and permitting the security authentication. Including the eleventh step to notify.
향후 운용관리 서버의 개입을 최소화하기 위하여, 중개 서버는 사용자측 암호화 키 만으로 트래픽 보호 안정키를 계속 생성하면서 이동단말과의 재인증을 지속적으로 수행할 수 있다.
In order to minimize the involvement of the operation management server in the future, the intermediary server can continuously perform re-authentication with the mobile terminal while continuously generating the traffic protection stable key only with the user side encryption key.
본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하는 제 1 효과를 준다.The security authentication system and its driving method on the binary CDMA communication network of the present invention are secure authentication and security for the exchange of traffic between the user mobile terminal and the intermediary server by applying mutual authentication and AKA protocol to the binary CDMA communication network. By authorizing the authentication, the strong security of the intermediary server connected to the user mobile terminal through the binary CDMA network prevents the leakage of personal information of the user possessing the user mobile terminal, as well as the user mobile terminal to be handed over. Security re-authentication also has a first effect of protecting personal information leakage.
또한, 본 발명은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있는 제 2 효과를 준다.In addition, the present invention is sufficiently applicable to not only binary CDMA communication network, but also public or private networks established for any special purpose, thereby increasing user satisfaction with a user mobile terminal capable of protecting his or her personal information. By increasing the utilization rate of the security authentication system built in the communication network has a second effect that can maximize the company's profits focused on the system construction.
또한, 본 발명은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될 수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지하는 제 3 효과를 준다.
In addition, the present invention proposes a new network model that enables security authentication and security re-authentication for traffic exchange between a user mobile terminal and an intermediary server on a binary CDMA communication network, and can be widely applied to various applications based on this. It is not only responsible for the axis, but also has a third effect that greatly contributes to industrial development.
도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 3은 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 4는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.
도 5는 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.1 is a diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
2 is a detailed diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
3 is a detailed diagram illustrating a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.
4 is a flowchart illustrating a method of driving a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
5 is a flowchart illustrating a method of driving a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.
[실시예][Example]
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다.1 is a diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
도 1를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델 중 하나인 바이너리 CDMA 통신망(400) 상에서 사용자 이동 단말기(100 : User Mobile Station)와 운영관리 서버(300 : Home Base Station) 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 상호인증 및 키일치 프로토콜(AKA Protocol : Authentication and Key Agreement Protocol)를 적용시키는 시스템이다.Referring to FIG. 1, a
즉, 본 발명은 사용자 이동 단말기(100)와 운영관리 서버(300) 간을 서로 연결하는 중개 서버(200 : Mediation Server)를 활용해 바이너리 CDMA 통신망(400) 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)이다.That is, the present invention utilizes a binary CDMA communication network that performs security authentication on the binary
또한, 본 발명은 사용자 이동 단말기(100)의 빈번한 이동성을 예측하는 핸드오버 시나리오와 빠른 핸드오버를 제공하기 위한 상호인증 및 키일치 프로토콜(AKA Protocol)를 적용시키는 시스템이다.In addition, the present invention is a system for applying a mutual authentication and key matching protocol (AKA Protocol) to provide a fast handover scenario and a handover scenario for predicting frequent mobility of the user mobile terminal (100).
여기서, 본 발명에 적용되는 바이너리 CDMA 통신망(400) 상에 구성된 중개 서버(200)는 무선 공유기(RAP : Radio Access Point)를 이용한 네트워크 구조로, IEEE 802.11 WLAN과 유사한 형태이지만 물리적으로 취약한 무선 공유기들을 관리하고 빠른 핸드오버를 지원하기 위해 바이너리 CDMA 방문자 위치 등록기(BVLR : 바이너리 CDMA Visitor Location Register)가 추가된 것이 특징이다.Here, the
본 발명의 중개 서버(200) 내 적용되는 상호인증 및 키일치 프로토콜(AKA Protocol)은 사용자 이동 단말기(100) 내 기탑재된 바이너리 CDMA 신원확인 모듈(BSIM: 바이너리 CDMA Subscriber Identity Module)로부터 확인 가능한 프로토콜로써, 기기 인증보다는 사용자 인증 측면에서 좀 더 가깝게 접근한 것이 특징이다.Mutual authentication and key matching protocol (AKA Protocol) applied in the
즉, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 사용자 이동 단말기(100), 운영관리 서버(300) 및 중개 서버(200)를 포함한다.That is, the
먼저, 사용자 이동 단말기(100)는 개인신상 요청신호를 바이너리 CDMA 통신망(400)을 통해 수신함에 따라 기등록된 영구적 아이디(PID : Permanent ID) 또는 임시적 아이디(TID : Temporary ID)를 중개 서버(200)로 전달하고, 중개 서버(200)는 수신한 PID나 TID로부터 PID를 운영관리 서버로 송신한다.First, the user
사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 난수 발생된 제 1 랜덤변수와 PID로부터 파악되는 마스터 공유키(MK)를 제 2 상호인증 함수(MAF2())에 대입함으로써 제 2 상호인증 루틴 연산치(MA-R2)를 생성시킨다.The user
사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 생성된 제 1 상호인증 루틴 연산치(MA-R1)와 제 2 상호인증 루틴 연산치(MA-R2) 간의 일치 여부를 서로 비교하여 일치시 중개 서버(200)의 통신 접속을 허용하고, 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨다.The user
사용자 이동 단말기(100)는 중개 서버로부터 제 1 키일치 세션치와 제 2 랜덤 변수를 수신한 후, 사용자측 암호화키(TK : Temporary Key)와 제 2 랜덤변수(Nonce2)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 2 트래픽보호 안정키(SK2 : Session Key 2)를 생성시킨다.After receiving the first key agreement session value and the second random variable from the intermediate server, the user
또한, 사용자 이동 단말기(100)는 제 1 키일치 세션치와 자체 연산한 제 1' 키일치 세션치(KeyA1') 간의 일치 여부를 비교 판단하는 제 1 검증을 실시하고, 서로 일치하는 제 1 검증의 성공시 제 2 트래픽보호 안정키(SK2) 및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.In addition, the user
다시 말해, 사용자 이동 단말기(100)는 제 1 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 중개 서버(200)에 의해 생성된 제 1 키일치 세션치(KeyA1)와, 기소지한 제 2 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 1' 키일치 세션치(KeyA1')를 비교하여 일치 여부를 확인한다.In other words, the user
즉, 제 1 키일치 세션치(KeyA2)와 제 1' 키일치 세션치(KeyA1')가 서로 일치될 경우에 한해, 사용자 이동 단말기(100)는 비로소 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.That is, only when the first key match session value KeyA2 and the first 'key match session value KeyA1' coincide with each other, the user
운영관리 서버(300)는 중개 서버(200)로부터 수신된 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)를 호출하고, 난수 생성시킨 제 1 랜덤변수(Nonce1)과 마스터 공유키(MK)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 각각 대입시켜 소정의 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 제 1 상호인증 루틴 연산치(MA-R1)를 각각 생성시킨다.The
중개 서버(200)는 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망(400)으로 송출하고, 운영관리 서버(300)로부터 수신된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장하고, 운영관리 서버(300)로부터 수신한 제 1 랜덤변수와 제 1 상호인증 루틴 연산치(MA-R1)를 사용자 이동 단말기(100)에 전송한다.The
중개 서버(200)는 바이너리 CDMA 통신망을 통해 수신된 상호인증 응답치(RES)와 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인함에 따라, 서로 일치시 자체적으로 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)와 사용자측 암호화키(TK)를 기설정된 제 2 키 유도함수(KDF2())에 적용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨다.The
또한, 중개 서버(200)는 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 생성시킨 제 1 키일치 세션치(KeyA1)와 제 2 랜덤변수(Nonce2)를 사용자 이동 단말기(100)에 전송한다.In addition, the
중개 서버(200)는 사용자 이동 단말기(100)로부터 수신된 제 2 키일치 세션치(KeyA2)와 자체 연산한 제 2' 키일치 세션치(KeyA2') 간의 일치 여부를 비교 판단하는 제 2 검증을 실시하고, 서로 일치하는 제 2 검증의 성공시 사용자 이동 단말기(100와 운영관리 서버(300) 간의 트래픽 교환에 관한 암호화적 정당성을 인정한다.The
다시 말해, 중개 서버(200)는 사용자 이동 단말기(100)측에서의 제 2 트래픽보호 안정키(SK2) 및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2 키일치 세션치(KeyA2)와, 기소지한 제 1 트래픽보호 안정키(SK1) 및 제 2 랜덤변수(Nonce2)와 제 1 트래픽보호 안정키(SK1)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 2' 키일치 세션치(KeyA2')를 비교하여 일치 여부를 확인한다.In other words, the
하여, 제 2 키일치 세션치(KeyA2)와 제 2' 키일치 세션치(KeyA2')가 서로 일치될 경우, 중개 서버(200)는 이에 따른 결과로 사용자 이동 단말기(100)의 트래픽 교환에 관한 보안 인증을 허가하고 보안 인증을 허가함을 운영관리 서버(300)에 통보한다.
Therefore, when the second key match session value KeyA2 and the second 'key match session value KeyA2' coincide with each other, the
여기서, 사용자측 암호화키(TK)는 운영관리 서버 측(300) 또는 사용자 이동 단말기측(100)에서 각각 생성된 값으로 [수학식 1]에서 표시된 바와 같이, 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 키 유도 함수(KDF1())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the user-side encryption key (TK) is a value generated by the operation
여기서, 제 1 상호인증 루틴 연산치(MA-R1)는 운영관리 서버 측(300)에서 생성된 값으로 [수학식 2]에서 표시된 바와 같이, 마스터 공유키(MK), 기사용된 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증 함수(MAF2())에 적용함에 따라 생성된 연산값임에 유의한다.Here, the first mutual authentication routine operation value (MA-R1) is a value generated at the operation
여기서, 제 2 상호인증 루틴 연산치(MA-R2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 3]에서 표시된 바와 같이, 마스터 공유키(MK), 기사용된 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증 함수(MAF2())에 적용함에 따라 생성된 연산값임에 유의한다.(카운터값(counter)은 보안인증 프로그램의 루틴횟수를 가변시키는 변수로, 상호인증 및 키일치 프로토콜(AKA Protocol)을 통해 출력되는 데이터 값들의 신뢰성을 높이기 위해(데이터값들이 일관성 있게 출력되길 원함)을 적용되는 값임. 필요에 따라 업데이트 혹은 수시 변경됨-이하 동일)Here, the second mutual authentication routine operation value (MA-R2) is a value generated on the user
여기서, 제 1 트래픽보호 안정키(SK1)는 중개 서버(200) 측에서 생성된 값으로 [수학식 4]에서 표시된 바와 같이, 사용자측 암호화키(TK), 제 2 랜덤변수(Nonce2)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the first traffic protection stable key (SK1) is a value generated on the
여기서, 제 2 트래픽보호 안정키(SK2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 5]에서 표시된 바와 같이, 사용자측 암호화키(TK), 중개 서버(200)로부터 수신된 제 2 랜덤변수(Nonce2)룰 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the second traffic protection stable key (SK2) is a value generated on the user
여기서, 상호인증 기대 요구치(XRES)는 운영관리 서버(300) 측에서 생성된 값으로 [수학식 6]에서 표시된 바와 같이, 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Here, the mutual authentication expected request value (XRES) is a value generated by the
여기서, 상호인증 응답치(RES)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 7]에서 표시된 바와 같이, 마스터 공유키(MK), 중개 서버(200)로부터 수신된 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Here, the mutual authentication response value (RES) is a value generated by the user
여기서, 제 1 키일치 세션치(KeyA1)는 중개 서버(200) 측에서 생성된 값으로 [수학식 8]에서 표시된 바와 같이, 제 1 트래픽보호 안정키(SK1) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first key matching session value KeyA1 is a value generated at the
여기서, 제 1' 키일치 세션치(KeyA1')는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 9]에서 표시된 바와 같이, 제 2 트래픽보호 안정키(SK2) 및 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first 'key match session value KeyA1' is a value generated at the user
여기서, 제 2 키일치 세션치(KeyA2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 10]에서 표시된 바와 같이, 제 2 트래픽보호 안정키(SK2)를 키일치 함수(KAF())에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second key matching session value KeyA2 is a value generated at the user
여기서, 제 2' 키일치 세션치(KeyA2')는 중개 서버(200) 측에서 생성된 값으로 [수학식 11]에서 표시된 바와 같이, 제 1 트래픽보호 안정키(SK1)를 키일치 함수(KAF())에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK1)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second 'key matching session value KeyA2' is a value generated at the
계속해서, 사용자 이동 단말기(100)는 도 2에서 보여지는 바와 같이 바이너리 CDMA 신원확인 모듈(110 : BSIM) 및 모바일 단말기기(120)를 포함하고, 운영관리 서버(300)는 인증센터 기기(310, AuC : Authentication Center) 및 바이너리 CDMA 홈 위치 등록기(320, BHLR)를 포함하며, 중개 서버(200)는 바이너리 CDMA 방문자 위치 등록기(220, BVLR) 및 무선 공유기(210, RAP)를 포함한다.Subsequently, the user
즉, 사용자 이동 단말기(100)의 바이너리 CDMA 신원확인 모듈(110)은 영구적 아이디(PID)로부터 인지되는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨다.That is, the binary
바이너리 CDMA 신원확인 모듈(110)은 제 2 랜덤변수(Nonce2)와 사용자측 암호화키(TK)를 제 2 키 유도 함수(KDF1())에 적용하여 제 2 트래픽보호 안정키(SK2)를 생성한다.The binary
바이너리 CDMA 신원확인 모듈(110)은 중개 서버(200)로부터 수신된 제 1 키일치 세션치(KeyA1)와 자체 생성시킨 제 1' 키일치 세션치(KeyA1') 간의 일치 여부를 비교하여 서로 일치시 제 1 검증 성공을 확인함에 따라, 제 2 트래픽보호 안정키(SK2)를 기설정된 키일치 함수(KAF())에 적용하여 제 2 키일치 세션치(KeyA2)를 생성시킨다.The binary
바이너리 CDMA 신원확인 모듈(110)은 사용자가 개별적으로 소유한 가입자를 식별하고 인증하는데 사용되는 장치로, 사용자 인증에 필요한 상호인증 및 키일치 프로토콜(AKA Protocol)과 가입자의 서비스 프로파일을 저장하고 있으며, 물리적인 연결을 책임지는 모바일 단말기기(120)와 서로 상호 작용을 하는 인터페이스를 형성한다.The binary
모바일 단말기기(120)는 개인신상 요청신호를 바이너리 CDMA 통신망(400)을 통해 수신하며, 영구적 아이디(PID), 임시적 아이디(TID) 또는 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.The
운영관리 서버(300)의 인증센터 기기(310)는 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)를 호출하고 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 생성한다.The
인증센터 기기(310)는 사용자 이동 단말기(100)를 소지한 사용자의 신원을 검증하고 각 통화에 대한 보안성을 확보하기 위해 인증 및 암호화에 필요한 값들을 제공하는 역할을 한다.The
또한, 바이너리 CDMA 홈 위치 등록기(320)는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 적용하여 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 상호인증 루틴 연산치(MA-R1)를 각각 생성시킨다.In addition, the binary CDMA
바이너리 CDMA 홈 위치 등록기(320)는 중개 서버(200)로부터 수신한 사용자 이동 단말기(100)의 인증 여부 및 실시간 위치를 저장 관리한다.The binary CDMA home location register 320 stores and manages whether the user
계속해서, 중개 서버(200)의 바이너리 CDMA 방문자 위치 등록기(220)는 운영관리 서버(300)의 인증센터 기기(310)로부터 입력된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장한다.Subsequently, the binary CDMA
바이너리 CDMA 방문자 위치 등록기(220)는 상호인증 응답치(RES)와 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인함에 따라, 서로 일치시 사용자측 암호화키(TK)와 제 2 랜덤변수(Nonce2)를 이용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨 후, 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 키일치 세션치(KeyA1)를 생성시킨다.As the binary CDMA
바이너리 CDMA 방문자 위치 등록기(220)는 사용자 이동 단말기(100)로부터 수신한 제 2 키일치 세션치(KeyA2)와 자체 연산한 제 2 키일치 세션치(Key1) 간의 일치 여부를 비교하여 서로 일치시 제 2 검증 성공을 확인함에 따라, 사용자 이동 단말기(100)의 트래픽 교환에 관한 보안 인증을 허가한다.The binary CDMA
또한, 무선 공유기(210)는 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망(400)으로 송출하고, 운영관리 서버(300)로부터 수신된 제 1 랜덤변수(Nonce1) 및 제 1 상호인증 루틴 연산치(MA-R1)를 비롯하여 제 1 키일치 세션치(KeyA1) 및 제 2 랜덤변수(Nonce2)를 사용자 이동 단말기(100)의 바이너리 CDMA 신원확인 모듈(110)에 전송한다.In addition, the
실상, 제 1, 2 랜덤변수(Nonce1, Nonce2), 제 1 상호인증 루틴 연산치(MA-R1) 및 제 1 키일치 세션치(KeyA1)는 바이너리 CDMA 신원확인 모듈(110)에 바로 전송되는 것이 아니라 모바일 단말기기(120)를 거쳐 입력되는 것이 사용자 이동 단말기 구조상 마땅하다 할 것이다.
In fact, the first and second random variables (Nonce1, Nonce2), the first mutual authentication routine calculation value (MA-R1) and the first key agreement session value (KeyA1) is transmitted directly to the binary
본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 도 3에서 보여지는 바와 같이 구동된다.The
먼저, 사용자 이동 단말기(100)는 바이너리 CDMA 통신망(400) 내에서 핸드오버할 경우 임시적 아이디(TID)를 중개 서버(200)에 전송하며, 사용자측 암호화키(TK)를 이용하여 제 4 트래픽보호 안정키(SK4)를 생성시킴과 더불어 중개 서버(200)로부터 수신된 제 1 재인증 키일치 세션치(RAKA1)와 자체 연산한 제 1' 재인증 키일치 세션치(RAKA1')를 비교하여, 서로 일치시 제 3 검증의 성공을 확인한 후 제 4 트래픽보호 안정키(SK4)를 키일치 함수(KAF())에 대입하여 제 2 재인증 키일치 세션치(RAKA2)를 생성시킨다.First, the user
중개 서버(200)는 임시적 아이디(TID) 참조와 영구적 아이디(PID) 조회로 인지되는 사용자측 암호화키(TK)와 제 1 트래픽보호 안정키(SK1) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시킨 제 3 랜덤변수(Nonce3)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 3 트래픽보호 안정키(SK3)를 생성시킨다.The
중개 서버(200)는 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 재인증 키일치 세션치(RAKA1)를 생성한 후, 바이너리 CDMA 통신망(200)을 이용해 제 1 재인증 키일치 세션치(RAKA1)와 제 3 랜덤변수(Nonce3)를 사용자 이동 단말기(100)에 전송한다.The
다시 말해, 사용자 이동 단말기(100)가 바이너리 CDMA 통신망(400) 내에서 핸드오버할 경우, 중개 서버(200)에 기구비된 제 1 무선 공유기(210)는 스위칭 온에서 오프상태로 변경되며, 중개 서버(200)에 기구비된 제 2 무선 공유기(211)는 스위칭 오프에서 온상태로 변경되어 바이너리 CDMA 통신망(400)을 이용해 제 1 재인증 키일치 세션치(RAKA1)와 제 3 랜덤변수(Nonce3)를 사용자 이동 단말기(100)에 전송한다.In other words, when the user
이에 따라, 중개 서버(200)는 사용자 이동 단말기(100)와 기연결된 바이너리 CDMA 통신망(400)을 통해 수신된 제 2 재인증 키일치 세션치(RAKA2)와 자체 연산한 제 2' 재인증 키일치 세션치(RAKA2')를 서로 비교하여, 일치시 제 4 검증의 성공을 확인한 후 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가한다.Accordingly, the
여기서, 제 3 트래픽보호 안정키(SK3)는 중개 서버(200) 측에서 생성되는 값으로 [수학식 12]에서 표시된 바와 같이, 사용자측 암호화키(TK) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 제 3 랜덤변수(Nonce3)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the third traffic protection stable key (SK3) is a value generated on the
여기서, 제 4 트래픽보호 안정키(SK4)는 사용자 이동 단말기(100) 측에서 생성되는 값으로 [수학식 13]에서 표시된 바와 같이, 사용자측 암호화키(TK) 및 중개 서버로(200)부터 수신된 제 3 랜덤변수(Nonce3)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the fourth traffic protection stable key (SK4) is a value generated by the user
여기서, 제 1 재인증 키일치 세션치(RAKA1)는 중개 서버(200) 측에서 생성되는 값으로 [수학식 14]에서 표시된 바와 같이, 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first re-authentication key matching session value RAKA1 is a value generated at the
여기서, 제 1' 재인증 키일치 세션치(RAKA1')는 사용자 이동 단말기(100) 측에서 생성되는 값으로 [수학식 15]에서 표시된 바와 같이, 제 4 트래픽보호 안정키(SK4)와 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first 're-authentication key matching session value RAKA1' is a value generated by the user
여기서, 제 2 재인증 키일치 세션치(RAKA2)는 사용자 이동 단말기(100) 측에서 생성되는 값으로 [수학식 16]에서 표시된 바와 같이, 제 4 트래픽보호 안정키(SK4)를 키일치 함수(KAF())에 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 제 4 트래픽보호 안정키(SK4)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second re-authentication key matching session value RAKA2 is a value generated on the user
여기서, 제 2' 재인증 키일치 세션치(RAKA2')는 중개 서버(200) 측에서 생성되는 값으로 [수학식 17]에서 표시된 바와 같이, 제 3 트래픽보호 안정키(SK3)를 키일치 함수(KAF())에 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 제 3 트래픽보호 안정키(SK3)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second re-authentication key matching session value RAKA2 'is a value generated at the
도 4는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.4 is a flowchart illustrating a method of driving a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
도 4를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증을 허가하는 구동 방법이다.Referring to FIG. 4, a method of driving a security authentication system on a binary CDMA communication network performs security authentication on traffic exchange between a user mobile terminal and an intermediary server by applying mutual authentication and an AKA protocol to a binary CDMA communication network. It is a driving method to permit.
먼저, 중개 서버는 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망으로 송출한다(S10).First, the intermediary server transmits a personal image request signal for requesting personal identification information about a user possessing a user mobile terminal to a pre-connected binary CDMA communication network (S10).
사용자 이동 단말기는 개인신상 요청신호를 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디(PID) 또는 임시적 아이디(TID)를 바이너리 CDMA 통신망과 기연결된 중개 서버로 전달한다(S20, S30).As the user mobile terminal receives the personal image request signal through the binary CDMA network, the user terminal transmits a pre-registered permanent ID (PID) or temporary ID (TID) to an intermediary server connected to the binary CDMA communication network (S20, S30).
운영관리 서버는 중개 서버로부터 입력된(S40) 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)의 호출 및 제 1 랜덤변수(Nonce1)를 생성하고(S50), 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 각각 적용하여 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 제 1 상호인증 루틴 연산치(MA-R1)를 생성시킨다(S60).The management server inquires the permanent ID (PID) input from the intermediary server (S40) and calls the master shared key (MK) 1: 1 matching the permanent ID (PID) and generates the first random variable (Nonce1). (S50), the master shared key (MK) and the first random variable (Nonce1) are respectively assigned to the first key derivation function (KDF1 ()) and the first and second mutual authentication functions (MAF1 (), MAF2 ()). In operation S60, the user-side encryption key TK, the mutual authentication expectation request value XRES, and the first mutual authentication routine calculation value MA-R1 are generated.
운용관리 서버는 중개 서버에 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES), 제 1 랜덤변수(Nonce1) 및 제 1 상호인증 루틴 연산치(MA-R1)를 전송한다.(S70)The operation management server transmits the user side encryption key (TK), the mutual authentication expectation request value (XRES), the first random variable (Nonce1), and the first mutual authentication routine calculation value (MA-R1) to the intermediate server (S70).
중개 서버는 운영관리 서버로부터 수신된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장하며(S80), 제 1 랜덤변수(Nonce1) 및 제 1 상호인증 루틴 연산치(MA-R1)만을 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송한다(S90).The intermediate server temporarily stores the user side encryption key (TK) and the mutual authentication expected request value (XRES) received from the operation management server (S80), and the first random variable (Nonce1) and the first mutual authentication routine calculation value (MA-R1). ) Is transmitted to the user mobile terminal which is previously connected with the binary CDMA communication network (S90).
사용자 이동 단말기는 중개 서버를 거쳐 수신된 제 1 랜덤변수(Nonce1)와 자체 보유한 마스터 공유키(MK)를 이용하여 제 2 상호인증 루틴 연산치(MA-R2)를 생성한 후, 중개 서버를 거쳐 수신된 제 1 상호인증 루틴 연산치(MA-R1)와 비교하여 서로 일치하면 중개 서버와의 통신 접속을 허용한다(S100).The user mobile terminal generates a second mutual authentication routine operation value (MA-R2) using the first random variable (Nonce1) received through the intermediate server and its own master shared key (MK), and then passes through the intermediate server. If it compares with the received first mutual authentication routine operation value MA-R1 and agrees with each other, communication connection with the intermediate server is allowed (S100).
또한, 사용자 이동 단말기는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨 후(S110), 상호인증 응답치(RES)를 바이너리 CDMA 통신망에 송출한다(S120).In addition, the user mobile terminal generates a mutual authentication response value (RES) by applying the master shared key (MK) and the first random variable (Nonce1) to a predetermined first mutual authentication function (MAF1 ()) (S110). In step S120, the mutual authentication response value RES is transmitted to the binary CDMA communication network.
중개 서버는 바이너리 CDMA 통신망을 거쳐 수신된 상호인증 응답치(RES)와 임시 저장된 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인하여 사용자 이동 단말기에 대한 인증과정을 실시한다(S130).The intermediary server compares and checks whether the mutual authentication response value (RES) received through the binary CDMA communication network and the temporarily stored mutual authentication expectation request value (XRES) are compared to perform an authentication process for the user mobile terminal (S130).
상호인증 응답치(RES)와 상호인증 기대 요구치(XRES)가 서로 일치시, 중개 서버는 무선구간 암호화 키 일치과정을 위해 사용자측 암호화키(TK), 제 1 랜덤변수로부터 발생되는 난수와 구별되는 다른 난수를 발생시킨 제 2 랜덤변수(Nonce2)를 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨다(S140).When the mutual authentication response (RES) and mutual authentication expectation requirement (XRES) match each other, the intermediary server The first traffic is applied to the second key derivation function by applying a second random variable (Nonce2), which generates a user-side encryption key (TK) and another random number different from the random number generated from the first random variable, for the wireless section encryption key matching process. A protection stable key SK1 is generated (S140).
만약, 상호인증 응답치(RES)와 기저장된 상호인증 기대 요구치(XRES)가 불일치할 경우, 중개 서버는 사용자 이동 단말기의 접속을 거부하고, 운영관리 서버에 사용자인증 거부신호를 전송 및 통보한다(S131).If the mutual authentication response value RES and the previously stored mutual authentication expectation request value XRES do not match, the intermediary server rejects the access of the user mobile terminal and transmits and notifies the user authentication rejection signal to the operation management server. S131).
이후, 중개 서버는 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 키일치 세션치(KeyA1)를 생성한 후(S150), 제 2 랜덤변수(Nonce2)와 제 1 키일치 세션치(KeyA1)를 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송한다(S160).Thereafter, the intermediary server issues the first traffic protection stabilization key SK1. After applying the preset key matching function KAF () to generate the first key matching session value KeyA1 (S150), the second random variable Nonce2 and the first key matching session value KeyA1 are binary CDMA. S160 transmits to the user mobile terminal connected to the communication network.
사용자 이동 단말기는 기보유한 마스터 공유키(MK)와 중개 서버로부터 수신된 제 1 랜덤변수(Nonce1)를 이용하여 생성시킨 사용자측 암호화키(TK)와 제 2 랜덤변수(Nonce2)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 2 트래픽보호 안정키(SK2)를 생성시킨다(S170).The user mobile terminal sets the user-side encryption key (TK) and the second random variable (Nonce2) generated using the pre-owned master shared key (MK) and the first random variable (Nonce1) received from the intermediate server. The second traffic protection stabilization key SK2 is generated by applying the derivation function KDF2 () (S170).
또한, 사용자 이동 단말기는 바이너리 CDMA 통신망을 거쳐 수신된 제 1 키일치 세션치(KeyA1)을 제 1 검증하고(S180), 제 1 검증이 성공하면 제 2 트래픽보호 안정키(SK2)를 기설정된 키일치 함수(KAF())에 대입하여 제 2 키일치 세션치(KeyA2)를 생성시킨 후(S190), 제 2 키일치 세션치(KeyA2)를 중개 서버에 전송한다(S200).In addition, the user mobile terminal first verifies the first key agreement session value KeyA1 received through the binary CDMA communication network (S180), and if the first verification is successful, sets the second traffic protection stabilization key SK2 as a preset key. After the second key matching session value KeyA2 is generated by substituting the matching function KAF () (S190), the second key matching session value KeyA2 is transmitted to the intermediate server (S200).
제 1 검증이 미성공될 경우, 사용자 이동 단말기는 중개 서버에 제 1 키일치 세션치의 재전송을 재요청한다(S181).If the first verification is not successful, the user mobile terminal re-requests retransmission of the first key agreement session value to the intermediate server (S181).
이후, 중개 서버는 바이너리 CDMA 통신망과 연결된 사용자 이동 단말기로부터 수신된 제 2 키일치 세션치(KeyA2)를 제 2 검증을 실시한다(S210).Thereafter, the intermediate server performs a second verification on the second key matching session value KeyA2 received from the user mobile terminal connected to the binary CDMA communication network (S210).
다시 말해, 중개 서버는 자체 연산한 제 2' 키일치 세션치(KeyA2')와 제 2 키일치 세션치 값이 동일한 지를 서로 비교한다.In other words, the intermediary server compares whether the second key matching session value KeyA2 'and the second key matching session value are equal to each other.
제 2 키일치 세션치(KeyA2)와 제 2' 키일치 세션치(KeyA2') 값이 서로 일치할 경우, 중개 서버는 사용자 이동 단말기와 운영관리 서버 간의 트래픽 교환에 관한 암호화적 정당성을 인정함에 따라 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 보안 인증을 허가함을 운영관리 서버에 통보한다(S220, S230).When the value of the second key agreement session value KeyA2 and the second key agreement session value KeyA2 'coincide with each other, the mediation server recognizes the encryption justification for the traffic exchange between the user mobile terminal and the operation management server. The security authentication for the traffic exchange of the user mobile terminal is allowed, and the operation management server is notified that the security authentication is allowed (S220, S230).
만약, 수신한 제 2 키일치 세션치(KeyA2)가 불일치할 경우, 중개 서버는 S150 단계를 재실시한다.If the received second key agreement session value KeyA2 does not match, the mediation server re-performs step S150.
여기서, 사용자측 암호화키(TK)는 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 키 유도 함수(KDF1())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Note that the user-side encryption key (TK) is a secret key value generated by applying the first random variable (Nonce1) that generates a random number together with the master shared key (MK) to the first key derivation function (KDF1 ()). do.
여기서, 제 1, 2 상호인증 루틴 연산치(MA-R1, MA-R2)는 마스터 공유키(MK), 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증 함수(MAF2())에 적용함에 따라 생성된 서로 다른 연산값임에 유의한다.Here, the first and second mutual authentication routines MA-R1 and MA-R2 convert the master shared key MK, the first random variable Nonce1 and the counter value into a second mutual authentication function MAF2 ( Note that this is a different operation value generated by applying to)).
여기서, 제 1, 2 트래픽보호 안정키(SK1, SK2)는 사용자측 암호화키(TK), 제 2 랜덤변수(Nonce2)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 서로 다른 값으로, 사용자 이동 단말기와 중개 서버 간의 공유되는 비밀키 값임에 유의한다.Here, the first and second traffic protection stable keys SK1 and SK2 have different values generated by applying the user-side encryption key TK and the second random variable Nonce2 to the second key derivation function KDF2 (). Note that the secret key value is shared between the user mobile terminal and the intermediate server.
여기서, 상호인증 기대 요구치(XRES)는 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Note that the mutual authentication expected request value XRES is a value generated by applying the first random variable Nonce1, which generates a random number together with the master shared key MK, to the first mutual authentication function MAF1 (). .
상호인증 응답치(RES)는 마스터 공유키(MK), 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Note that the mutual authentication response value RES is a value generated by applying the master shared key MK and the first random variable Nonce1 to the first mutual authentication function MAF1 ().
제 1 키일치 세션치(KeyA1)는 제 1 트래픽보호 안정키(SK1)과 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Note that the first key matching session value KeyA1 is a value generated by applying the first traffic protection stable key SK1 and the second random variable Nonce2 to the key matching function KAF ().
제 1' 키일치 세션치(KeyA1')는 제 2 트래픽보호 안정키(SK2)과 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Note that the first 'key match session value KeyA1' is a value generated by applying the second traffic protection stable key SK2 and the second random variable Nonce2 to the key matching function KAF ().
제 2 키일치 세션치(KeyA2)는 제 2 트래픽보호 안정키(SK2)를 키일치 함수에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.The second matched session value KeyA2 pre-applies the second traffic protection stabilization key SK2 to the key matching function, and XORs the second random variable Nonce2 and the second traffic protection stabilization key SK2. Note that a calculation is a value generated by later application of the match function (KAF ()).
제 2' 키일치 세션치(KeyA2')는 제 1 트래픽보호 안정키(SK1)를 키일치 함수에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 1 트래픽보호 안정키(SK1)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.
The second 'matched session value KeyA2' pre-applies the first traffic protection stabilization key SK1 to the key matching function, and the second random variable Nonce2 and the first traffic protection stabilization key SK1. Note that this is a value generated by applying the calculated value of XOR to the key matching function (KAF ()).
도 5는 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.5 is a flowchart illustrating a method of driving a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.
도 5를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 재인증을 허가하는 구동 방법이다.Referring to FIG. 5, in the method of driving a security authentication system on a binary CDMA network, security re-authentication regarding traffic exchange between a user mobile terminal and an intermediary server by applying mutual authentication and an AKA protocol to a binary CDMA network. It is a driving method to permit.
먼저, 사용자 이동 단말기는 바이너리 CDMA 통신망 내에서 핸드오버(사용자가 장소를 이동하면서 사용자 이동 단말기를 이용해 통화를 계속 진행시키는 통신상의 동적 상태를 일컫는 용어임)할 경우, 임시적 아이디(TID)를 중개 서버에 전송한다(S10', S20').First, when a user mobile terminal performs a handover in a binary CDMA network (a term used to refer to a dynamic state of communication in which a user moves through a place using a user mobile terminal), a temporary ID (TID) is relayed to an intermediate server. Are transmitted to (S10 ', S20').
중개 서버는 임시적 아이디(TID) 참조와 하여 영구적 아이디(PID) 조회로 인지되는 사용자측 암호화키(TK)와 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 제 3 랜덤 변수를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 3 트래픽보호 안정키(SK3)를 생성시킨다(S30').The intermediary server stores a third random variable that generates another random number that is distinguished from the random number generated from the first encryption variable and the user-side encryption key (TK) recognized by the permanent ID (PID) lookup with reference to the temporary ID (TID). The third traffic protection stable key SK3 is generated by applying the set second key derivation function KDF2 () (S30 ′).
중개 서버는 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 재인증 키일치 세션치(RAKA1)를 생성한 후, 바이너리 CDMA 통신망을 이용해 제 3 랜덤변수(Nonce3)와 제 1 재인증 키일치 세션치(RAKA1)를 사용자 이동 단말기에 전송한다(S40', S50').The mediation server generates the first re-authentication key matching session value RAKA1 by applying the third traffic protection stabilization key SK3 and the third random variable Nonce3 to the predetermined key matching function KAF (). The third random variable Nonce3 and the first reauthentication key agreement session value RAKA1 are transmitted to the user mobile terminal using the binary CDMA communication network (S40 ', S50').
사용자 이동 단말기는 사용자측 암호화키(TK)와 제 3 랜덤변수(Nonce3)를 제2 키 유도 함수에 적용하여 제 4 트래픽보호 안정키(SK4)를 생성시키고, 바이너리 CDMA 통신망과 연결된 중개 서버로부터 수신된 제 1 재인증 키일치 세션치(RAKA1)와 자체 연산한 제 1' 재인증 키일치 세션치(RAKA1')를 서로 비교하여 일치시, 제 3 검증 의 성공을 확인한 후 제 4 트래픽보호 안정키(SK4)를 기설정된 키일치 함수(KAF())에 대입하여 제 2 재인증 키일치 세션치(RAKA2)를 생성시킨다.(S60', S70', S80')The user mobile terminal applies the user side encryption key (TK) and the third random variable (Nonce3) to the second key derivation function to generate a fourth traffic protection stable key (SK4), and is received from an intermediate server connected to the binary CDMA communication network. Comparing the first re-authentication key match session value RAKA1 with the self-calculated 1 're-authentication key match session value RAKA1', the fourth traffic protection stable key after confirming the success of the third verification is confirmed. The second re-authentication key matching session value RAKA2 is generated by substituting SK4 into the preset key matching function KAF (). (S60 ', S70', S80 ')
중개 서버는 사용자 이동 단말기와 기연결된 바이너리 CDMA 통신망을 거쳐 수신된 제 2 재인증 키일치 세션치(RAKA2)와 자체 연산한 제 2' 재인증 키일치 세션치(RAKA2')를 서로 비교하여 일치시 제 4 검증의 성공을 확인한다(정당성 인정)(S90', S100')The intermediary server compares the second re-authentication key match session value RAKA2 received through the binary CDMA communication network previously connected with the user mobile terminal and the self-calculated second 're-authentication key match session value RAKA2' to each other. Confirm success of the fourth verification (justification) (S90 ', S100')
이에 따라, 중개 서버는 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가한다.(S110')Accordingly, the intermediary server permits secure reauthentication for traffic exchange of the user mobile terminal (S110 ').
만약, 제 2 재인증 키일치 세션치(RAKA2)의 제 2' 재인증 키일치 세션치(RAKA2')가 미성공될 경우, 중개 서버는 제 3 트래픽 보호 안정키(SK3)를 재생성시킨다(S30').If the second 're-authentication key-match session value RAKA2' of the second re-authentication key-match session value RAKA2 is not successful, the intermediary server regenerates the third traffic protection stable key SK3 (S30). ').
여기서, 제 3, 4 트래픽보호 안정키(SK3, SK4)는 사용자측 암호화키(TK) 및 제 3 랜덤변수(Nonce3)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 서로 다른 값임에 유의한다.Here, the third and fourth traffic protection stable keys SK3 and SK4 are different values generated by applying the user-side encryption key TK and the third random variable Nonce3 to the second key derivation function KDF2 (). Pay attention to
여기서, 제 1 재인증 키일치 세션치(RAKA1)는 제 3 트래픽보호 안정키(SK3)와 또 다른 난수를 발생시키는 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first re-authentication key matching session value RAKA1 applies the third random variable Nonce3, which generates another random number, with the third traffic protection stable key SK3, to the key matching function KAF (). Note that this is a generated value.
여기서, 제 1' 재인증 키일치 세션치(RAKA1')는 제 4 트래픽보호 안정키(SK4)와 또 다른 난수를 발생시키는 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first 're-authentication key matching session value RAKA1' applies a third random variable Nonce3 generating another random number with the fourth traffic protection stable key SK4 to the key matching function KAF (). Note that this is a generated value.
여기서, 제 2 재인증 키일치 세션치(RAKA2)는 제 4 트래픽보호 안정키(SK4)를 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 트래픽 보호 안정키(SK4)를 XOR한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second re-authentication key agreement session value RAKA2 is a calculated value obtained by applying the fourth traffic protection stabilization key SK4 in advance and XORing the third random variable Nonce3 and the traffic protection stabilization key SK4. Note that is a value generated by post application to the key matching function (KAF ()).
여기서, 제 2' 재인증 키일치 세션치(RAKA2')는 제 3 트래픽보호 안정키(SK3)를 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 트래픽 보호 안정키(SK3)를 XOR한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second re-authentication key agreement session value RAKA2 'pre-applies the third traffic protection stabilization key SK3, and XORs the third random variable Nonce3 and the traffic protection stabilization key SK3. Note that a calculation is a value generated by later application of the match function (KAF ()).
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to a preferred embodiment of the present invention, those skilled in the art will be able to variously modify and change the present invention without departing from the spirit and scope of the invention as set forth in the claims below. It will be appreciated.
1000: 바이너리 CDMA 통신망 상의 보안 인증 시스템
100 : 사용자 이동 단말기 400 : 바이너리 CDMA 통신망
200 : 중개 서버 300 : 운영관리 서버1000: Security Authentication System on Binary CDMA Network
100: user mobile terminal 400: binary CDMA communication network
200: mediation server 300: operations management server
Claims (26)
상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제 1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기;
상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및
상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
A security authentication system on a binary CDMA communication network that performs security authentication on a binary CDMA communication network using an intermediary server that connects a user mobile terminal and an operation management server.
In response to receiving the personal identification request signal through the binary CDMA network, the registered permanent ID or temporary ID is transmitted to the intermediary server, and the master shared key identified from the permanent ID is substituted into the second predetermined mutual authentication function. Comparing the second mutual authentication routine operation value generated according to the first mutual authentication routine operation value with each other and allowing communication connection of the intermediary server when the mutual mutual identity is matched with each other, and entering through the master shared key and the intermediate server. A random variable is applied to a predetermined first key derivation function and a first mutual authentication function to generate a user-side encryption key and a mutual authentication response, respectively, and to generate a second random variable received from the user-side encryption key and the intermediary server. The second traffic protection stable key is generated by applying the preset second key derivation function. After the first session key matches the value transmitted from the relay server, the first verifying the user's mobile terminal to transmit to the relay server 2 by applying a traffic protection key with the key stability matching function to generate the second key value matching the session;
By querying the permanent ID received from the intermediary server, the master shared key matching the permanent ID is 1: 1, as well as generating the first random variable by itself, and generating the master shared key and the first random variable. An operation management server that is assigned to a predetermined first key derivation function and first and second mutual authentication functions to generate a user side encryption key, a mutual authentication expectation value, and a first mutual authentication routine operation value; And
Transmitting a personal identification request signal for requesting personal identification information about a user possessing the user mobile terminal to the binary CDMA communication network, temporarily storing the user side encryption key and mutual authentication expectation request received from the operations management server, and The first random variable and the first mutual authentication routine operation value received from the operation management server are transmitted to the user mobile terminal, and the mutual authentication response value and the mutual authentication expected request value received through the binary CDMA communication network are compared with each other. If the same, the user-side encryption key and the second random variable generated by itself is applied to a preset second key derivation function to generate a first traffic protection stable key, and the first traffic protection stable key matches a predetermined key. A first key agreement session value generated by applying to a function and the second random Transmit a number to the user mobile terminal, and secondly verify the second key agreement session value received through the binary CDMA communication network to permit security authentication for traffic exchange of the user mobile terminal, and to permit the security authentication. Security authentication system on a binary CDMA communication network including an intermediary server to notify the operation management server.
상기 마스터 공유키 및 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the user-side encryption key,
And a secret key value generated by applying the first random variable generating the master shared key and the random number to the first key derivation function.
상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용함에 따라 생성된 연산값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 2, wherein the first and second mutual authentication routine calculation values,
And a counter value generated by applying the master shared key, a first random variable, and an additional variable counter value to the second mutual authentication function.
상기 사용자측 암호화키, 다른 난수를 발생시키는 상기 제 2 랜덤변수를 상기 제 2 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 2, wherein the first and second traffic protection stabilization key,
And a secret key value generated by applying the user-side encryption key and the second random variable generating another random number to the second key derivation function.
상기 마스터 공유키와 더불어 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the mutual authentication expectation requirement is:
And a data value generated by applying the first random variable, which generates a random number together with the master shared key, to the first mutual authentication function.
상기 마스터 공유키, 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 5, wherein the mutual authentication response value,
And a data value generated by applying the master shared key and the first random variable to the first mutual authentication function.
상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 임시적 아이디를 상기 중개 서버에 전송하며 상기 사용자측 암호화키를 활용하여 제 4 트래픽보호 안정키를 생성시키며, 상기 중개 서버로부터 수신된 제 1 재인증 키일치 세션치와 자체 연산한 제 1' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 3 검증의 성공을 확인한 후 상기 제 4 트래픽보호 안정키를 상기 키일치 함수에 대입하여 제 2 재인증 키일치 세션치를 생성시키는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the user mobile terminal,
When handing over in the binary CDMA network, the temporary ID is transmitted to the intermediary server, and a fourth traffic protection stable key is generated by using the user side encryption key, and the first re-authentication key match received from the intermediary server is matched. Compare the session value with the self-calculated 1 're-authentication key value session value and confirm the success of the third verification, and then substitute the fourth traffic protection stabilization key into the key matching function to match the second re-authentication key value. Generating a session value further comprising: generating a session value.
상기 임시적 아이디에 대한 참조와 상기 영구적 아이디에 대한 조회로 인지되는 상기 사용자측 암호화키를 활용하여 제 3 트래픽보호 안정키를 생성시키고,
상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용하여 제 1 재인증 키일치 세션치를 생성시킨 후, 상기 제 1 재인증 키일치 세션치와 제 3 랜덤변수를 상기 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송하며,
상기 사용자 이동 단말기로부터 수신된 상기 제 2 재인증 키일치 세션치와 자체 연산한 제 2' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 4 검증의 성공을 확인한 후 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가하는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 8, wherein the mediation server,
Generate a third traffic protection stable key by using the user-side encryption key recognized by the reference to the temporary ID and the inquiry on the permanent ID,
After generating the first re-authentication key matching session value by applying the third traffic protection stable key and the third random variable to the key matching function, the first re-authentication key matching session value and the third random variable are converted into the binary CDMA. Transmits to a user mobile terminal connected to a communication network,
Comparing the second re-authentication key matching session value received from the user mobile terminal with the self-calculated second 're-authentication key matching session value and matching each other, and after confirming the success of the fourth verification, exchanging traffic of the user mobile terminal. And authorizing a secure reauthentication for the secure CDMA communication network.
상기 사용자측 암호화키와 상기 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 상기 제 3 랜덤변수를 상기 제 2 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 9, wherein the third, fourth traffic protection stabilization key,
Binary CDMA, characterized in that a secret key value generated by applying the third random variable to the second key derivation function to generate another random number distinct from the user-side encryption key and the random number generated from the first random variable Security authentication system on a network.
상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값이며, 상기 제 1' 재인증 키일치 세션치는,
상기 제 4 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 10, wherein the first re-authentication key matching session value,
A value generated by applying the third traffic protection stable key and the third random variable to the key matching function, wherein the first 're-authentication key matching session value,
And a value generated by applying the fourth traffic protection stabilization key and the third random variable to the key matching function.
상기 사용자 이동 단말기가 상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 중개 서버에 기구비된 제 1 무선 공유기는 스위칭 온에서 오프상태로 변경되며,
상기 중개 서버에 기구비된 제 2 무선 공유기는 스위칭 오프에서 온상태로 변경되어 상기 바이너리 CDMA 통신망을 이용해 상기 제 1 재인증 키일치 세션치를 상기 사용자 이동 단말기에 전송하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 8,
When the user mobile terminal is handed over in the binary CDMA network, the first wireless router device provided to the intermediate server is changed from switching on to off.
On the binary CDMA communication network, the second wireless router configured in the intermediate server is switched on from switching off to transmit the first re-authentication key matching session value to the user mobile terminal using the binary CDMA communication network. Security authentication system.
상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용하여 상기 상호인증 응답치를 생성시키며, 상기 사용자측 암호화키와 제 2 랜덤변수를 상기 제 2 키 유도 함수에 적용하여 상기 제 2 트래픽보호 안정키를 생성시킨 후, 상기 중개 서버로부터 수신된 제 1 키일치 세션치와 자체 연산한 제 1' 키일치 세션치 간의 일치 여부를 비교하여 서로 일치시, 상기 제 1 검증 성공을 확인함에 따라, 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 상기 제 2 키일치 세션치를 생성시키는 바이너리 CDMA 신원확인 모듈; 및
상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신하며, 상기 영구적 아이디, 임시적 아이디 또는 제 2 키일치 세션치를 상기 중개 서버에 전송하는 모바일 단말기기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the user mobile terminal,
The master shared key and the first random variable are applied to the first mutual authentication function to generate the mutual authentication response value, and the user side encryption key and the second random variable are applied to the second key derivation function to generate the second traffic. After generating the protection stabilization key, and compares the first key matching session value received from the intermediary server and the self-operated first 'key matching session value to match each other, and confirms the first verification success A binary CDMA identification module configured to apply the second traffic protection stabilization key to the key matching function to generate the second key matching session value; And
And a mobile terminal device receiving the personal identification request signal through the binary CDMA communication network and transmitting the permanent ID, temporary ID, or second key agreement session value to the intermediary server. .
상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출하고 난수를 발생시키는 상기 제 1 랜덤변수를 생성하는 인증 센터 기기; 및
상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 적용하여 상기 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 각각 생성시키는 바이너리 CDMA 홈 위치 등록기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the operation management server,
An authentication center device for querying the permanent ID to call the master shared key that matches the permanent ID 1: 1 and generate the first random variable to generate a random number; And
Binary CDMA home which applies the master shared key and the first random variable to the first key derivation function and the first and second mutual authentication functions to generate the user side encryption key, mutual authentication expectation value and first mutual authentication routine operation value, respectively. Security authentication system on a binary CDMA network, comprising a location register.
상기 운영관리 서버로부터 입력된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하며, 상기 상호인증 응답치와 상호인증 기대 요구치 간의 일치 여부를 비교하여 서로 일치시 상기 제 1 트래픽보호 안정키를 생성시킨 후, 상기 제 1 트래픽보호 안정키를 키일치 함수에 적용하여 제 1 키일치 세션치를 생성시키며,
상기 제 2 키일치 세션치와 자체 연산한 제 2' 키일치 세션치 간의 일치 여부를 비교하여 서로 일치시 상기 제 2 검증 성공을 확인함에 따라, 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하는 바이너리 CDMA 방문자 위치 등록기; 및
상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 비롯해 상기 제 1 키일치 세션치 및 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하는 무선 공유기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
The method of claim 1, wherein the mediation server,
Temporarily storing the user-side encryption key and the mutual authentication expectation value inputted from the operation management server, and comparing the mutual authentication response value with the mutual authentication expectation request value and generating the first traffic protection stable key when they match each other. Thereafter, the first traffic protection stable key is applied to a key matching function to generate a first key matching session value.
The security verification for the traffic exchange of the user mobile terminal is allowed by comparing the second key agreement session value with the self-operated second key matching session value and confirming the second verification success when the second key match session value is matched with each other. A binary CDMA visitor location register; And
The personal identification request signal is transmitted to the binary CDMA network, and the first key matching session value and the second random variable, including the first random variable and the first mutual authentication routine operation value received from the operation management server, are moved to the user. Security authentication system on a binary CDMA communication network comprising a wireless router for transmitting to the terminal.
사용자 이동 단말기가 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하는 제 2 단계;
운영관리 서버가 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출하고 제 1 랜덤변수를 자체적으로 생성시키는 제 3 단계;
상기 운영관리 서버가 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 제 4 단계;
상기 중개 서버가 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하는 제 5 단계;
상기 사용자 이동 단말기가 상기 영구적 아이디로부터 파악되는 상기 마스터 공유키를 상기 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 상기 제 1 상호인증 루틴 연산치 간의 일치 여부 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하는 제 6 단계;
상기 사용자 이동 단말기가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시키는 제 7 단계;
상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시키는 제 8 단계;
상기 중개 서버가 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하는 제 9 단계;
상기 사용자 이동 단말기가 상기 사용자측 암호화키와 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 제 10 단계; 및
상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 제 11 단계를 포함하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
A first step of the intermediary server transmitting a personal image request signal to a pre-connected binary CDMA communication network requesting personal image information about a user possessing the user mobile terminal;
A second step of transmitting a pre-registered permanent ID or temporary ID to the intermediary server as a user mobile terminal receives the personal image request signal through the binary CDMA communication network;
A third step of the operation management server querying the permanent ID received from the intermediary server, calling a master shared key that matches the permanent ID 1: 1, and generating a first random variable by itself;
The operation management server substitutes the master shared key and the first random variable into a predetermined first key derivation function and first and second mutual authentication functions, respectively, and calculates a user side encryption key, mutual authentication expectation value, and first mutual authentication routine operation value. Generating a fourth step;
The intermediate server temporarily stores the user-side encryption key and the mutual authentication expectation value received from the operations management server, and transmits the first random variable and the first mutual authentication routine operation value received from the operations management server to the user mobile terminal. A fifth step;
A coincidence between a second mutual authentication routine operation value generated by substituting the master shared key determined from the permanent ID by the user mobile terminal into the second mutual authentication function and the first mutual authentication routine operation value; A sixth step of allowing a communication connection of the intermediary server when comparing with each other whether or not they match each other;
A seventh step of the user mobile terminal generating the user side encryption key and the mutual authentication response value by applying the master shared key and the first random variable to the first key derivation function and the first mutual authentication function;
If the intermediary server compares the mutual authentication response value received through the binary CDMA network with the mutual authentication expectation request value, and matches each other, the predetermined key derivation function of the user-side encryption key and the second random variable generated by the intermediate server An eighth step of applying to to generate a first traffic protection stable key;
A ninth step of transmitting, by the intermediary server, the first key agreement session value and the second random variable generated by applying the first traffic protection stabilization key to a predetermined key matching function;
The user mobile terminal generates the second traffic protection stable key by applying the user-side encryption key and the second random variable to a preset second key derivation function, and after verifying the first key agreement session value first, the second key. A tenth step of applying a traffic protection stable key to the key matching function to generate a second key matching session value and to transmit it to the intermediate server; And
The intermediate server grants the security authentication for traffic exchange of the user mobile terminal by second verifying the second key agreement session value received through the binary CDMA communication network, and grants the security authentication to the operations management server. A method of driving a security authentication system on a binary CDMA communication network comprising an eleventh step of notifying.
(4-a) 상기 운영관리 서버가 상기 마스터 공유키와 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 키 유도 함수에 적용하여 상기 사용자측 암호화키를 생성시키는 단계 및
(4-b) 상기 운영관리 서버가 상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용하여 상기 제 1 상호인증 루틴 연산치를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 17, wherein the fourth step,
(4-a) the operation management server generating the user-side encryption key by applying the first random variable that generates the master shared key and a random number to the first key derivation function;
(4-b) the operations management server generating the first mutual authentication routine operation value by applying the master shared key, the first random variable, and an additional variable counter value to the second mutual authentication function. A method of driving a security authentication system on a binary CDMA communication network.
상기 사용자 이동 단말기가 상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용하여 상기 제 2 상호인증 루틴 연산치를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 17, wherein the sixth step,
And generating, by the user mobile terminal, the second mutual authentication routine operation value by applying the master shared key, a first random variable, and an additional variable counter value to the second mutual authentication function. A method of driving a security authentication system on a communication network.
상기 중개 서버가 상기 사용자측 암호화키, 상기 제 1 랜덤변수로부터 발생되는 난수와 구별되는 다른 난수를 발생시키는 상기 제 2 랜덤변수를 상기 제 2 키 유도 함수에 적용하여 상기 제 1 트래픽보호 안정키를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 17, wherein the eighth step is
The intermediate server generates the first traffic protection stable key by applying the second random variable to the second key derivation function to generate another random number distinguished from the random number generated from the user-side encryption key and the first random variable. And driving the secure authentication system on a binary CDMA communication network.
(4-c) 상기 운영관리 서버가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용하여 상기 사용자 이동 단말기와의 통신 연계를 시도하는데 이용되는 상기 상호인증 기대 요구치를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 17, wherein the fourth step,
(4-c) the operations management server applies the master shared key and the first random variable to the first mutual authentication function to generate the mutual authentication expectation request value used to attempt communication linkage with the user mobile terminal. A method of driving a secure authentication system on a binary CDMA communication network, comprising the steps of:
상기 사용자 이동 단말기가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용하여 상기 상호인증 기대 요구치에 응답하는 신호인 상기 상호인증 응답치를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 21, wherein the seventh step is
And generating, by the user mobile terminal, the mutual authentication response value, which is a signal in response to the mutual authentication expectation request, by applying the master shared key and the first random variable to the first mutual authentication function. A method of driving a security authentication system on a CDMA communication network.
상기 사용자 이동 단말기가 상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 임시적 아이디를 상기 중개 서버에 전송하는 제 1' 단계;
상기 중개 서버가 상기 임시적 아이디에 대한 참조와 상기 영구적 아이디에 대한 조회로 인지되는 상기 사용자측 암호화키를 활용하여 제 3 트래픽보호 안정키를 생성시키는 제 2' 단계;
상기 중개 서버가 상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용하여 제 1 재인증 키일치 세션치를 생성시킨 후, 상기 제 1 재인증 키일치 세션치와 제 3 랜덤변수를 상기 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송하는 제 3' 단계;
상기 사용자 이동 단말기가 상기 사용자측 암호화키를 활용하여 제 4 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 수신된 제 1 재인증 키일치 세션치와 자체 연산한 제 1' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 3 검증의 성공을 확인한 후 상기 제 4 트래픽보호 안정키를 상기 키일치 함수에 대입하여 제 2 재인증 키일치 세션치를 생성시키는 제 4' 단계; 및
상기 중개 서버가 상기 사용자 이동 단말기로부터 수신된 상기 제 2 재인증 키일치 세션치와 자체 연산한 제 2' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 4 검증의 성공을 확인한 후 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가하는 제 5' 단계를 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.
The method of claim 17, wherein the operation proceeds after the selected one of the second to tenth steps is performed.
A first 'step of transmitting the temporary ID to the intermediary server when the user mobile terminal hands over the binary CDMA communication network;
A second step of generating, by the intermediate server, a third traffic protection stable key by using the user-side encryption key recognized as a reference to the temporary ID and an inquiry about the permanent ID;
After the intermediate server generates the first re-authentication key matching session value by applying the third traffic protection stable key and the third random variable to the key matching function, the first re-authentication key matching session value and the third random variable are generated. Transmitting 3 'to the user mobile terminal which is previously connected with the binary CDMA communication network;
The user mobile terminal generates a fourth traffic protection stable key using the user-side encryption key, and compares the first reauthentication key matching session value received from the intermediary server with the self-calculated first 'reauthentication key matching session value. A fourth 'step of generating a second re-authentication key-match session value by substituting the fourth traffic protection stabilization key into the key-matching function after confirming the success of the third verification. And
When the intermediary server compares the second re-authentication key matching session value received from the user mobile terminal with the self-calculated second 're-authentication key matching session value, and confirms the success, the user moves after confirming the success of the fourth verification. And a fifth step of permitting secure reauthentication for traffic exchange of the terminal.
상기 중개 서버가 상기 사용자측 암호화키 및 상기 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 상기 제 3 랜덤변수를 상기 제 2 키 유도 함수에 적용하여 상기 제 3 트래픽보호 안정키를 생성시키는 단계를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법.The method of claim 24, wherein the second 'step,
The intermediate server applies the third random variable to the second key derivation function by generating the third random variable that generates another random number distinct from the random number generated from the user-side encryption key and the first random variable. And generating a secure authentication system on a binary CDMA communication network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100064144A KR101018470B1 (en) | 2010-07-03 | 2010-07-03 | Secure authentication system in binary cdma communication networks and drive method of the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100064144A KR101018470B1 (en) | 2010-07-03 | 2010-07-03 | Secure authentication system in binary cdma communication networks and drive method of the same |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101018470B1 true KR101018470B1 (en) | 2011-03-02 |
Family
ID=43938239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100064144A KR101018470B1 (en) | 2010-07-03 | 2010-07-03 | Secure authentication system in binary cdma communication networks and drive method of the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101018470B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101156457B1 (en) | 2010-09-30 | 2012-06-18 | 한국전파기지국주식회사 | Binary CDMA Communication System for applying ARIA Algorithim and Method of the Same |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194765B2 (en) | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
KR100755394B1 (en) | 2006-03-07 | 2007-09-04 | 한국전자통신연구원 | Method for fast re-authentication in umts for umts-wlan handover |
KR20080050971A (en) * | 2006-12-04 | 2008-06-10 | 한국전자통신연구원 | Authentication management method for roaming in heterogeneous wireless network link system |
-
2010
- 2010-07-03 KR KR1020100064144A patent/KR101018470B1/en not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7194765B2 (en) | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
KR100755394B1 (en) | 2006-03-07 | 2007-09-04 | 한국전자통신연구원 | Method for fast re-authentication in umts for umts-wlan handover |
KR20080050971A (en) * | 2006-12-04 | 2008-06-10 | 한국전자통신연구원 | Authentication management method for roaming in heterogeneous wireless network link system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101156457B1 (en) | 2010-09-30 | 2012-06-18 | 한국전파기지국주식회사 | Binary CDMA Communication System for applying ARIA Algorithim and Method of the Same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8259942B2 (en) | Arranging data ciphering in a wireless telecommunication system | |
DK1348280T3 (en) | Approval data communications | |
KR101038096B1 (en) | Secure key authentication method for binary cdma network | |
US5455863A (en) | Method and apparatus for efficient real-time authentication and encryption in a communication system | |
US8582762B2 (en) | Method for producing key material for use in communication with network | |
CN103596173B (en) | Wireless network authentication method, client and service end wireless network authentication device | |
JP4170912B2 (en) | Use of public key pairs at terminals to authenticate and authorize telecommunications subscribers to network providers and business partners | |
CN102111766B (en) | Network accessing method, device and system | |
CN101931955B (en) | Authentication method, device and system | |
US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
US20030120920A1 (en) | Remote device authentication | |
KR100755394B1 (en) | Method for fast re-authentication in umts for umts-wlan handover | |
CN104836787A (en) | System and method for authenticating client station | |
CN104956638A (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
WO2007105911A1 (en) | Apparatus and method for detecting duplication of portable subscriber station in portable internet system | |
KR101765917B1 (en) | Method for authenticating personal network entity | |
KR20070025366A (en) | System and method of security on wireless lan system | |
CN102318386A (en) | Service-based authentication to a network | |
KR100707805B1 (en) | Authentication system being capable of controlling authority based of user and authenticator | |
KR101018470B1 (en) | Secure authentication system in binary cdma communication networks and drive method of the same | |
WO2008148348A1 (en) | Communication method, system, and home bs | |
KR20200000861A (en) | Binary CDMA Communication network security authentication system and its drive method | |
CN102014385A (en) | Authentication method for mobile terminal, and mobile terminal | |
CN101730093A (en) | Safe switching method and system | |
WO2009155812A1 (en) | Terminal access method, access management method, network equipment and communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131210 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20141223 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |