KR101061899B1 - 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 - Google Patents

이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 Download PDF

Info

Publication number
KR101061899B1
KR101061899B1 KR1020070092409A KR20070092409A KR101061899B1 KR 101061899 B1 KR101061899 B1 KR 101061899B1 KR 1020070092409 A KR1020070092409 A KR 1020070092409A KR 20070092409 A KR20070092409 A KR 20070092409A KR 101061899 B1 KR101061899 B1 KR 101061899B1
Authority
KR
South Korea
Prior art keywords
terminal
mac
network
authenticator
msk
Prior art date
Application number
KR1020070092409A
Other languages
English (en)
Other versions
KR20090027299A (ko
Inventor
레이펑
원정재
김영석
최규태
황의석
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070092409A priority Critical patent/KR101061899B1/ko
Priority to US12/283,405 priority patent/US20090067623A1/en
Publication of KR20090027299A publication Critical patent/KR20090027299A/ko
Application granted granted Critical
Publication of KR101061899B1 publication Critical patent/KR101061899B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

본 발명은 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치에 관한 것으로, 서빙 네트워크에 타깃 네트워크로의 핸드오버를 요청하는 과정과, 상기 서빙 네트워크에서 키 생성을 위한 파생된 마스터 세션키(Master session Key: MSK)를 생성하는 과정과, 상기 파생된 마스터 세션키를 상기 타깃 네트워크로 전송하는 과정을 포함하여, 액세스 인증절차를 스킵하고 키 협상 절차를 시작함으로써 빠른 인증절차를 수행할 수 있는 이점이 있다.
Figure R1020070092409
이종망, 매개체 무관 핸드오버(Media Independent Handover: MIH), 전인증(Full Authentication), 마스터 세션키(Master Session Key: MSK)

Description

이종망간 핸드오버를 위한 빠른 인증 방법 및 장치{METHOD AND APPARATUS FOR FAST AUTHENTICATION FOR VERTICAL HANDOVER}
본 발명은 이종망간 핸드오버를 위한 인증 방법 및 장치에 관한 것으로, 특히 매개체 무관 핸드오버(Media Independent Handover: MIH) 기반의 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치에 관한 것이다.
현재 무선통신이 발전함에 따라 3세대 셀룰러 네트워크, IEEE 802.11 무선랜, 광대역 무선통신 네트워크, 그리고 다른 종류의 네트워크들이 공존하고 있다. 상기 공존하는 서로 다른 네트워크들은 특별한 물리계층과 매체접근제어(Media Access Control: 이하 "MAC"라 칭함) 계층을 각각 서로 분리되도록 하여 향상시키고 있다. 따라서, 이종 액세스 기술들간 핸드오버 기술이 요구되고 있다. 이를 위해, IEEE 802.21 그룹에서 이종망간 통화 끊김이 없도록 하기 위해 미디어 독립 핸드오버(Media Independent Handover: 이하 “MIH”라 칭함) 기술을 표준화하고 있다.
이종망간 핸드오버 기술과 함께 고려되어야 점은 이종망 각각의 망에서 단말의 전인증(Full Authentication) 절차이다. 확장 가능 인증 프로토콜(Extensible Authentication Protocol: 이하 “EAP”라 칭함)은 광범위하게 무선네트워크 안에서 사용되는 보편적인 인증 구조이다. 상기 EAP는 인증 구조이지 특별한 인증 메커니즘은 아니다. 그리고, 상기 EAP는 약간의 공통기능들과 원하는 인증 메커니즘의 협상을 제공한다. 뛰어난 확장성과 유연성 때문에, 대부분 무선인증 프로토콜은 EAP 기반에 무선랜의 IEEE 802.11n 또는 광대역 무선통신의 PKMv2을 사용하고 있다.
상기 전인증은 액세스 인증과 키 협상 두 프로세서로 나눌 수 있다. 상기 액세스 인증 동안, 단말은 EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled TLS Authentication Protocol), EAP-AKA(Authentication and Key Agreement), PEAP(Protected Extensible Authentication Protocol) 같은 인증 방법을 통해 액세스 네트워크에 의해 인증된다. 액세스 인증시 512비트 길이의 마스터 세션키(Master Session Key: MSK)가 단말과 인증 서버 양쪽에서 생성되어 상기 인증 서버가 인증자에 분배한다. 액세스 인증 후에, 단말과 인증자는 같은 MSK를 가지게 되며. 키 협상 절차를 위한 루트 키로써 사용한다.
상기 키 협상 동안, 핸드쉐이크(handshake) 메시지, 즉 무선랜에서 4웨이 핸드쉐이크 메시지와 광대역 무선통신망에서의 3웨이 핸드쉐이크 메시지는 단말과 인증자 사이 교환된다. 상기 핸드쉐이크 메시지는 최종적으로 암호화 키들과 보안연결(Security Association: 이하 “SA”라 칭함) 상태의 동기의 결과를 초래한다. 상기 키 협상은 인증 서버의 도움없이 단지 단말과 인증자 사이에서 수행된다. 여 기서, 전체 인증 절차 중 상기 액세스 인증 절차가 키 협상 절차보다 시간을 많이 필요로 한다. 다시 말해 전체 인증절차 시간 중 대부분 액세스 인증절차 시간이 차지한다.
상술한 바와 같이, 상기 IEEE 802.21 국제표준은 이종망간 핸드오버를 지원하기 MIH 기술을 제공하고 있다. 그러나 네트워크 액세스하기 전에 인증이 절대적으로 필요함에도 불구하고 인증 관련 시나리오는 언급하고 있지 않다. 현재 최적화된 인증 스킴은 표준에서 토의되고 있지만 이종망간 사이 핸드오버가 발생하는 동안 전인증(Full Authentication)이 수행되어 진다. 상기 전인증시 코어 네트워크와 통신지연과 인증 서버의 처리지연으로 인해, 실제 전인증을 수행하기 위해서는 수백 msec 혹은 수 초가 소요될 수 있다. 이는 실시간 애플리케이션에서 허용되지 않는다. 예를 들면, 핸드오버 절차는 회복, 등록, 인증, 이동 바운딩 갱신, 기타 등등 때문에 지연 등으로, 종단(End To End)간 지연과 패킷 손실에 민감한 VoIP(Voice over Internet Protocol), 스트리밍 미디어 같은 양방향 애플리케이션 서비스가 중지될 수 있다.
본 발명의 목적은 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치를 제공함에 있다.
본 발명의 다른 목적은 이종망간 핸드오버시 인증자들 사이 파생된 마스터 세션 키를 사용하여 전인증 절차중 액세스 인증 절차를 스킵하고 키 협상 절차을 수행하는 방법 및 장치를 제공함에 있다.
상기한 과제를 달성하기 위한 본 발명의 제 1 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증 방법에 있어서, 서빙 네트워크에 타깃 네트워크로의 핸드오버를 요청하는 과정과, 상기 서빙 네트워크에서 키 생성을 위한 파생된 마스터 세션키(Master session Key: MSK)를 생성하는 과정과, 상기 파생된 마스터 세션키를 상기 타깃 네트워크로 전송하는 과정을 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 2 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 이동통신 시스템에 있어서, 서빙 네트워크에 타깃 네트워크로의 핸드오버를 요청하는 서빙 단말과, 상기 서빙 네트워크에서 키 생성을 위한 파생된 마스터 세션키(Master session Key: MSK)를 생성하여 상기 타깃 네트워크로 전송하는 서빙 인증자를 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 3 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 단말 방법에 있어서, 핸드오버 요청 후 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 생성하기 위한 정보를 제공 받는 과정과, 상기 파생 마스터 세션키를 생성하는 과정과, 상기 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행하는 과정을 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 4 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 타깃 인증자 동작방법에 있어서, 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 서빙 인증자로부터 제공받는 과정과, 상기 파생된 마스터 세션키를 이용하여 단말과 키 협상을 수행하는 과정을 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 5 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 서빙 인증자 동작방법에 있어서, 해당 단말로부터 핸드오버를 요청받는 과정과, 상기 핸드오버 요청 후 파생 마스터 세션키(Master session Key: MSK)를 생성하는 과정과, 상기 파생된 마스터 세션키를 타깃 인증자에 전송하는 과정을 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 6 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 단말 장치에 있어서, 핸드오버 요청 후 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 생성하기 위한 정보를 제공받는 제어부와, 상기 파생 마스터 세션키를 생성하는 인증키 생성부와, 상기 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행하는 인증 처리부를 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 7 견지에 따르면, 이종망간 핸드 오버를 위한 빠른 인증을 위한 타깃 인증장치에 있어서, 서빙 인증자로부터 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 제공받는 제어부와, 상기 파생된 마스터 세션키를 이용하여 단말과 키 협상을 수행하는 인증관리부를 포함하는 것을 특징으로 한다.
상기한 과제를 달성하기 위한 본 발명의 제 8 견지에 따르면, 이종망간 핸드오버를 위한 빠른 인증을 위한 서빙 인증장치에 있어서, 해당 단말로부터 핸드오버를 요청받는 핸드오버 처리부와, 상기 핸드오버 요청 후 파생 마스터 세션키(Master session Key: MSK)를 생성하는 키 생성부와, 상기 파생된 마스터 세션키를 타깃 인증자에 전송하는 인증처리부를 포함하는 것을 특징으로 한다.
상술한 바와 같이, 이종망간 핸드오버시 파생 마스터 세션키를 사용함으로써, 액세스 인증절차를 스킵하고 키 협상 절차를 시작하여 빠른 인증절차를 수행할 수 있는 이점이 있다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조와 함께 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세 한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명은 이종망간 핸드오버를 위한 파생 마스터 세션키를 사용하여 액세스 인증을 스킴하고 키 협상을 수행하는 빠른 인증 방법 및 장치에 대해 설명하기로 한다.
도 1은 본 발명에 따른 무선랜망에서 전인증(Full Authentication) 흐름도를 도시하고 있다.
상기 도 1을 참조하면, 단말(100)이 인증 절차를 시작할 시, 액세스 라우터(Access Router: 이하 "AR"라 칭함)(104)는 108 단계에서 상기 단말(100)에 EAP 신분 확인을 요구한다(EAP Request/Identity). 구현에 따라서 상기 AR(104) 대신 액세스 포인트(Access Point: 이하 "AP"라 칭함)(102)가 EAP 신분 확인을 요구할 수도 있다. 이하 상기 단말(100)과 상기 AAA(Authentication, Authorization, and Accounting) 서버(106) 사이 인증을 중재하는 상기 AR(104)을 인증자(Authenticator)라 칭하기로 한다. 따라서, 인증자는 AP(102) 혹은 AR(104)이 될 수 있다.
이후, 상기 단말(100)은 110 단계에서 상기 AR(104)로 사용자 신 분(Identity)을 전송한다(EAP Reponse/Identity).
이후, 상기 AR(104)는 112 단계에서 사용자 신분을 포함한 상기 EAP Reponse 메시지를 인캡슐레이션하여 AAA 서버(106)로 전송한다(Radius Request).
이후, 상기 AAA 서버(106)는 114 단계에서 신원을 확인한 단말(100)에 인증(예: 패스워드 등등)을 요구하는 Radius Challenge 메시지를 상기 AR(104)로 전송한다.
이후, 상기 AR(104)은 116 단계에서 상기 수신한 Radius Challenge 메시지를 EAP Request/Autentication 포맷 형태의 메시지로 중계한다.
이후, 상기 단말(100)은 118 단계에서 인증서를 포함하는 EAP-Response 메시지를 상기 AR(104)로 전송한다.
이후, 상기 AAA 서버(106)와 상기 단말(100)은 120 단계에서 EAP 인증을 수행한다. 여기서, EAP 인증 방법으로 EAP-TLS(Transport Layer Security), EAP-TTLS(Tunneled TLS Authentication Protocol), EAP-AKA(Authentication and Key Agreement), PEAP(Protected Extensible Authentication Protocol) 등이 있다. 여기서, 상기 EAP-TLS는 사용자와 인증 서버가 인증서를 이용하여 상호인증하고, 세션 기반의 동적인 WEP(Wired Equivalent Privacy) 키를 생성하여 분배하는 대표적인 인증 방식이다. 상기 EAP-TTLS는 EAP-TLS의 확장 형태로 열악한 무선 환경에서 무거운 인증서를 보관하고 전송하는 문제를 보완하기 위하여 단말 인증은 비밀번호로 그리고, 서버 인증은 인증서를 이용하여 인증하는 방식이다. 사용자 정보는 TLS 프로토콜을 통해서 안전하게 터널링함으로써 무선링크를 포함한 인증 서버까지 외 부 도청자에 대한 익명성이 보장된다. 상기 EAP-AKA는 3GPP(3rd Generation Partnership Project)에서 IMT-2000용으로 제안한 인증 및 키 일치 메커니즘을 EAP에 적용한 인증 방식이다. 상기 PEAP는 레거시 암호 기반 프로토콜과 같은 인증 데이터를 802.11 무선 네트워크를 통해 안전하게 전송할 수 있는 방법을 제공한다. 상기 PEAP는 클라이언트와 인증 서버 간 터널링을 사용하여 이 기능을 수행한다. 상기 PEAP는 유사한 기능을 수행하는 TTLS와 같이 서버측 인증서만을 사용하여 보안 무선랜의 구현 및 관리를 간소화함으로써 무선랜 클라이언트를 인증한다.
이후, 상기 AAA 서버(106)는 122 단계에서 상기 단말(100)이 정상 액세스인지 아니면 부정 액세스 인지를 판단하여, 정상 액세스인 경우 상기 AR(104)에 Radius Access 메시지를 전송한다. 이때 상기 Radius Access 메시지는 마스터 세션키(Master Session Key: 이하 "MSK"라 칭함)를 포함하고 있다. 여기서, 상기 MSK는 보안에 필요한 다른 키(예: PMK(Pairwise Master Key), AK(Authentication Key) 등등)를 파생하는데 이용된다.
이후, 상기 AR(104)는 124 단계에서 Radius Access/Accept 메시지를 수신하면 상기 단말(100)에 EAP Success 메시지를 전송한다. 만약, RADIUS Access/Reject 메시지를 수신할 시, 상기 단말(100)에 EAP Failure 메시지를 전송한다. 여기서는 EAP Failure 메시지를 전송하는 경우에 대한 설명은 본 발명에서 중요하지 않으므로 생략하기로 한다.
이후, 상기 단말(100)과 상기 AR(104) 사이 키 교환을 하기 위해 4웨이 핸드쉐이크를 수행한다. 즉, 상기 AR(104)은 126 단계에서 Anonce(Authenticator nonce)를 포함하는 EAPOL Key 메시지를 상기 단말(100)로 전송한다. 상기 단말(100)에서 수신시 세션키인 PTK(Pairwise Transient Key)를 생성할 수 있다. 상기 단말(100)은 128 단계에서 Snonce(Supplicant Nonce)를 포함하는 EAPOL Key 메시지를 상기 AR(104)로 전송한다. 이때, 상기 단말(100)은 PTK로 이 메시지에 대해서 MIC(Message Intergrity Code)을 수행하여 전송함으로써 메시지의 무결성을 보장한다. 상기 AR(104)는 130 단계에서 상기 단말(100)로부터 같은 키를 가지고 있다는 것을 증명하는 EAPOL Key 메시지를 상기 단말(100)로 전송한다. 상기 단말(100)은 132 단계에서 4 웨이 핸드쉐이크를 완료시키는 EAPOL Key 메시지를 상기 AR(104)로 전송한다.
이후, 상기 단말(100)과 상기 AR(104) 사이 GTK(Group Transient Key)를 생성하기 위해 2 웨이 핸드쉐이크를 수행한다. 먼저 상기 AR(104)은 134 단계에서 Gnonce(Group nonce)를 포함하는 EAPOL Key 메시지를 상기 단말(100)로 전송한다. 상기 단말(100)은 136 단계에서 2 웨이 핸드쉐이크를 완료시키는 EAPOL Key 메시지를 상기 AR(104)로 전송한다.
이후, 본 발명의 인증 절차를 종료한다.
도 2는 본 발명에 따른 광대역 무선통신망에서 전인증(Full Authentication) 절차를 도시하고 있다.
상기 도 2를 참조하면, 먼저, 단말(200)은 210 단계에 권한부여 정책(Authorization Policy)과 메시지 인증 코드 모드(Message Authentication Code mode)을 협상하기 위한 기본기능협상요청(Starting Basic Capabilities Negotiation REQuest:이하 "SBC REQ"라 칭함) 메시지를 기지국(202)으로 전송한다.
이후, 상기 단말(200)로부터 상기 SBC-REQ 메시지를 수신한 상기 기지국(202)은 212 단계에서 네트워크에 진입하려는 상기 단말(200)의 정보를 알려주기 위해 네트워크진입 단말상태 변경요청(NetEntry MS State Change Request) 메시지를 AAA 클라이언트(204)로 전송한다.
이후, 상기 네트워크진입 단말상태 변경요청 메시지를 수신한 상기 AAA 클라이언트(204)는 214 단계에서 네트워크진입 단말 상태변경 응답메시지(NetEntry MS State Change Response)를 상기 기지국(202)으로 전송한다.
이후, 상기 네트워크진입 단말 상태변경 응답메시지를 수신한 상기 기지국(202)은 216 단계에서 기본기능협상응답메시지(Starting Basic Capabilities Negotiation Response:이하 "SBC-RSP"라 칭함)를 상기 단말(200)로 전송한다.
이후, 상기 기지국(202)은 218 단계에서 네트워크진입 단말 상태변경 응답메시지에 대한 네트워크진입 단말 상태변경 확인메시지(NetEntry MS State Change Ack)를 상기 AAA 클라이언트(204)로 전송한다.
이후, 상기 AAA 클라이언트(204)는 220 단계에서 신원을 확인한 단말(200)에 인증(예: 패스워드 등등)을 요구하는 AuthRelay_EAP_Transfer 메시지를 상기 기지국(202)으로 전송한다.
이후, 상기 기지국(202)은 222 단계에서 상기 수신한 AuthRelay_EAP_Transfer 메시지를 PMKv.2-RSP/EAP Transfer 포맷 형태의 메시지를 단말(200)로 중계한다.
이후, 상기 단말(200)은 224 단계에서 인증서를 포함하는 PMKv.2-REQ/EAP Transfer 메시지를 상기 기지국(202)으로 전송한다.
이후, 상기 기지국(202)은 226 단계에서 상기 수신한 PMKv.2-REQ/EAP Transfer 메시지를 인캡슐레이션한 AuthRelay EAP Transfer 메시지를 상기 AAA 클라이언트(204)로 중계한다.
이후, 상기 AAA 서버(208)와 상기 단말(200)은 228 단계에서 EAP 인증을 수행한다. 여기서, EAP 인증 방법으로 EAP-TLS, EAP-TTLS, EAP-AKA, PEAP 등을 사용할 수 있다.
이후, EAP 인증 절차 후 상기 AAA 서버(208)는 230 단계에서 단말 상태변경 명령메시지(MS State Change Directive)를 상기 기지국(202)으로 전송한다.
이후, 상기 네트워크진입 단말 상태변경 명령메시지를 수신한 상기 기지국(202)은 232 단계에서 EAP 인증이 성공적으로 완료됐음을 알리는 PKMv2 EAP-Transfer 메시지를 상기 단말(200)로 전송한다. 이후, 상기 기지국(202)은 234 단계에서 상기 단말 상태변경 명령메시지에 대한 네트워크 진입 단말 상태변경 확인(NetEntry MS State Change Ack) 메시지를 상기 AAA 클라이언트(204)로 전송한다.
이후, 상기 기지국(202)은 사용할 인증키(Authentication Key: AK)를 확인하고 기설정된 보안협상(Security Associations: 이하 "SA"라 칭함)를 설정하기 위해서 상기 단말(200)과 PKMv2 3-단계 핸드쉐이크(SA-TEK-Challenge/Request/Response 메시지 교환)를 수행한다. 즉, 상기 기지국(202)은 236 단계에서 SA-TEK-Challenge 메시지를 상기 단말(200)로 전송한다. 상기 SA-TEK-Challenge 메시지를 수신한 상기 단말(200)은 238 단계에서 SA-TEK-Request 메시지를 상기 기지국(202)으로 전송한다. 상기 SA-TEK-Request 메시지를 수신한 상기 기지국(202)은 240 단계에서 SA-TEK-Response 메시지를 상기 단말(200)로 전송한다.
이후, 상기 단말(200)는 상기 기지국(202)과 PKMv2 Key-Request/Reply 메시지(242, 244)를 교환하여 유효한 암호화키(Traffic Encryption Key: 이하"TEK"라 칭함)를 획득한다.
이후, 상기 본 발명의 인증 절차는 종료된다.
이하 도 3 내지 도 4는 광대역 무선통신망과 무선랜망을 액세스할 수 있는 듀얼모드 단말이 광대역 무선통신망에서 무선랜망으로, 무선랜망에서 광대역 무선통신망으로 핸드오버하기 위한 인증절차를 예를 들어 설명하기로 한다. 그리고, 상기 단말은 광대역 무선통신망에서 무선랜으로 혹은 무선랜에서 광대역 무선통신망으로 핸드오버를 지원하기 위해 IEEE 80.21 표준에 기반하여 상기 단말 내부에 매개체 무관 핸드오버 기능(Media Independent Handover Function: 이하 "MIHF"라 칭함)을 지원한다. 여기서, 상기 MIHF는 잘 정의된 서비스 접근점(Service Access Point, SAP)을 통해 상위 계층들과 하위 계층들에게 매개체 무관 이벤트 서비스(Media Independent Event Service: MIES)와 같은 비대칭 서비스와 매개체 무관 명령 서비스(Media Independent Command Service: MICS)와 같은 대칭 서비스를 제공한다. 그리고, 어떤 지리적인 영역내의 동종 혹은 이종망에 대한 정보를 제공하는 매개체 무관정보 서비스(Media Independent InformationService, MIIS)를 제공한다.
도 3은 본 발명의 제 1 실시 예에 따른 이종망간 핸드오버시 인증을 위한 흐름도를 도시하고 있다. 상기 제 1 실시 예는 매개체 무관 핸드오버(Media Independent Handover: 이하 "MIH"라 칭함)을 기반으로 인증을 포함한 광대역 무선통신망에서 무선랜으로의 핸드오버 흐름도이다.
상기 도 3을 참조하면, 상기 듀얼모드를 지원하는 단말(300)은 MIH 사용자 계층부(308), MIHF 계층부(310), 무선랜 MAC(Media Access Control) 계층부(312), 광대역 무선통신망 MAC 계층부(314)를 포함하여 구성된다. 초기 단말(300)은 광대역 무선통신망(306)에 접속되어 있다고 가정한다.
상기 MIH 사용자 계층부(308)는 상기 MAC 계층부(무선랜, 광대역 무선통신망)의 상위 계층으로 응용계층, 전송계층, 네트워크 계층 등이 될 수 있다. 상기 MIHF 계층부(310)는 상기 MIH 사용자 계층부(308)와 상기 MAC 계층부(312, 314) 사이에서 MIES, MICS, MIIS를 제공한다. 상기 무선랜 MAC 계층부(312)는 핫스팟 구역에서 무선서비스를 제공하는 액세스 포인트(Access Point: AP)(316)에 접속하기 위한 MAC 프로토콜을 수행한다. 상기 광대역 무선통신망 MAC 계층부(314)는 광대역 무선통신망(306)을 구성하는 기지국(322)에 접속하기 위한 MAC 프로토콜을 수행한다.
먼저, 하향링크 품질 모니터링과 핸드오버 결정 및 핸드오버할 타깃 기지국의 선택 등을 모두 단말(300)에서 수행하는 MIHO(Mobile Initiated Handover)기반에서,상기 MIH 사용자 계층부(308)는 330 단계에서 핸드오버를 문의하는 MIH 명령을 상기 MIHF 계층부(310)으로 전송한다(MIH_MN_HO_Candidate_Query.request).
상기 MIHF 계층부(310)는 332 단계에서 핸드오버를 문의하는 링크 명령을 인증자인 서빙 제어국(324)으로 전송한다(MIH_MN_HO_Candidate_Query REQUEST FRAME). 구현에 따라서, 상기 MIHF 계층부(310)는 기지국(322)으로 링크 명령을 전송한다. 이때, 상기 기지국(322)은 상기 서빙 제어국(324)을 대신하여 인증자가 될 수 있다.
상기 서빙 제어국(324)은 상기 단말(300)의 상기 MIHF 계층부(310)로부터 핸드오버를 문의받을 시, 오리지널 마스터 세션키(Master Session Key: 이하 "MSK"라 칭함)(예: 최초 광대역 무선통신망 진입시 전인증절차를 통해 생성된 MSK(상기 도 2 참조)), 서빙 네트워크(예: 광대역 무선통신망)와 타깃 네트워크(예: 무선랜)에서 단말의 MAC 주소(무선랜 MAC, 광대역 무선통신망 MAC)와, 인증자 MAC 주소(AP, 서빙 제어국)를 이용하여 핸드오버시 인증을 위한 파생 MSK(MSK')를 계산한다. 상기 MSK'은 하기 <수학식 1>로 생성된다.
MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코 드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
구현에 따라서, 상기 단말(300)도 파생 MSK(MSK')를 생성할 수 있고, 상기 서빙 제어국(324)이 생성한 파생 MSK(MSK')를 제공받을 수 있다. 여기서, 상기 단말(300)과 상기 서빙 제어국(324)은 상기 파생 MSK(MSK')를 생성하기 위해 필요한 PSS_MAC1, PSS_MAC2, Serving Authenticator MAC, Target Authenticator MAC 정보를 교환하여 생성할 수 있다고 가정한다.
상술한 바와 같이, 인증 서버로부터 분배받던 MSK를 상기 MSK와 별도의 네트워크 엔티티의 MAC 정보를 이용하여 파생시킨 MSK'를 이용함으로써, 도미노 현상(domino effect)을 경감시킬 수 있다. 상기 도미노 현상은 인증키 등을 생성하기 위한 키 계층(Key Hierarchy)의 루트 키가 위험에 노출되는 경우, 다른 키들도 영향을 받아 위험에 노출되는 현상이다. 또한, 서빙 네트워크에서 사용하는 MSK를 타깃 네트워크에서 그대로 사용하는 환경에서, 서빙 네트워크에서 MSK가 위험에 노출되는 경우 타깃 네트워크에서도 MSK가 위험에 노출되는 현상이다.
이후, 상기 서빙 제어국(324)은 336 단계에서 MSK', MSK' 수명(lifetime), 단말을 식별하기 위해 사용되는 PSS_MAC1과 PSS_MAC2를 MIH_N2N_HO_Query_Resources request 메시지 안에 포함하여 상기 타깃 인증자 즉 타깃 AR(318)로 전송한다(MIH_N2N_HO_Query_Resources REQUEST FRAME).
이후, 상기 타깃 AR(318)은 338 단계에서 상기 서빙 제어국(324)으로 MIH_ N2N_HO_Query_Resources REQUEST FRAME에 대한 응답메시지를 전송한다(MIH_N2N_HO_Query_Resources RESPONSE FRAME).
이후, 상기 서빙 제어국(324)은 340 단계에서 핸드오버를 문의하는 링크 명령(MIH_Net_HO_Candidate_Query.REQUEST FRAME)에 대한 핸드오버 응답 링크 이벤트(MIH_Net_HO_Candidate_Query.RESPONSE FRAME)를 MIHF 계층부(310)로 전송한다.
이후, 상기 MIHF 계층부(310)는 344 단계에서 상기 MIH 사용자 계층부(308)로 핸드오버 문의에 대한 핸드오버 응답 MIH 이벤트(MIH_Net_HO_Candidate_Query. RESPONSE)를 전송한다.
이후, 상기 MIH 사용자 계층부(308)는 346 단계에서 광대역 무선통신망(306)에서 무선랜(302)으로 핸드오버가 결정될 시 상기 MIHF 계층부(310)로 스위치 요청하는(MIH_Switch.request) MIH 명령을 전송한다.
이후, 상기 MIHF 계층부(310)는 348 단계에서 상기 무선랜 MAC(Media Access Control) 계층부(312)으로 인증요청(MAC Layer Management Entity Autenticate. request: MLME_Autenticate.request) 링크 명령을 전달한다.
이후, 상기 무선랜 MAC 계층부(312)는 350 단계에서 타깃 AR(318)에 인증요청(Authenicate.request)을 한다. 이후, 상기 타깃 AR(318)은 352 단계에서 상기 무선랜 MAC 계층부(312)로 인증응답(Authenicate.response)을 전송한다.
이후, 상기 무선랜 MAC 계층부(312)는 354 단계에서 타깃 AR(318)로 연결요청(Associate.request)을 한다. 이후, 상기 타깃 AR(318)은 356 단계에서 상기 무선랜 MAC 계층부(312)로 연결응답(Associate.response)을 전송한다.
이후, 상기 무선랜 MAC 계층부(312)와 상기 타깃 AR(318)은 358 단계에서 무선랜 네트워크 진입 동안 성공적인 연결 후 MSK' 캐쉬, MSK' 수명을 검사함으로써 상기 타깃 AR(318)은 상기 단말(300)을 위한 유효한 MSK' 여부를 찾을 수 있다. 만약 유효한 MSK'이 있다면, 상기 타깃 AR(318)은 루트 키로써 MSK'를 사용함으로 PMK(Pairwise Master Key)와 PMKID(PMK IDendity)를 계산한다. 여기서, 상기 단말(300)의 상기 무선랜 MAC 계층부(312)는 같은 방법으로 PMK, PMKID 계산할 수 있다.
이후, 상기 무선랜 MAC 계층부(312)와 상기 타깃 AR(318)은 360 단계 내지 366 단계에서 유니캐스트 메시지로 사용되는 PMK를 검증하고 암호와 인증 키를 협상하기 위해 4-웨이 핸드쉐이크(EAPOL-Key)를 수행한다. 이 메시지는 무선랜 표준에 정의 포맷을 따른다. 상세한 내용은 상기 도 1에서 4-웨이 핸드쉐이크(EAPOL-Key)를 참조하기로 한다.
이후, 상기 무선랜 MAC 계층부(312)와 상기 타깃 AR(318)은 368 단계 내지 370 단계에서 암호 키와 인증 키들을 인캡슐레이션하여 전달하기 위해 2-웨이 핸드쉐이크(EAPOL-Key)를 수행한다.
이후, 상기 무선랜 MAC 계층부(312)는 372 단계에서 상기 인증확인을 위한 링크 이벤트(MLME_Authenticate.confirmation)를 상기 MIHF 계층부(310)로 전송한다.
이후,상기 MIHF 계층부(310)는 374 단계에서 상기 MIH 사용자 계층부(308)로 L2 연결이 설정되고 링크를 이용할 수 있음을 통보하는 MIH 이벤트(MIH_Link_UP. indication)를 전송한다.
이후, 상기 무선랜으로 핸드오버하려는 단말(300)과 상기 타깃 AR(318)사이 376 단계에서 DHCP(Dynamic Host Configuration Protocol)를 통해 의탁주소(Care-of-Address: CoA)를 생성한다. 상기 CoA는 이동 노드가 외부망에 위치할 경우 사용되는 IP 주소로, 이동 노드의 통신 상대 노드는 이동 노드의 원래 IP 주소로 데이터그램을 보내면 홈 에이전트가 이를 이동 노드에게 전달해 주어야 한다. 이때 홈 에이전트는 CoA를 이용하여 터널링 기법으로 외부에이전트에게 전달하고 외부 에이전트가 디터널링하여 이동 노드에게 전달한다. 일반적으로 CoA는 외부에이전트의 IP 주소를 사용한다.
이후, 상기 무선랜 MAC 계층부(312)는 378 단계에서 상기 MIHF 계층부(310)로 핸드오버 완료 통보(Link_Handover_Complete. Indication) 링크이벤트를 전송한다.
이후, 상기 MIHF 계층부(310)는 380 단계에서 스위치 요청(MIH_Switch_ request) MIH 이벤트에 대한 스위치 응답(MIH_Switch.response) MIH 이벤트를 상기 MIH 사용자 계층부(308)로 전송한다.
이후, 상기 무선랜으로 핸드오버하려는 단말(300)과 상기 타깃 AR(318)사이 382 단계에서 이동 IP(Mobile IP: MIP) 등록하고 상위계층 프로토콜에 대해 투명성을 제공하기 위해 바인딩 업데이트를 수행한다.
이후, 상기 무선랜 MAC 계층부(312)와 상기 타깃 AP(318) 사이 384 단계에서 트래픽 흐름이 형성된다. 즉, 상기 단말(300)은 광대역 무선통신망(322)으로부터 수신했던 트래픽을 상기 타깃 AP(318)로부터 트래픽을 수신한다.
이후, 상기 광대역 무선통신망의 MAC 계층부(314)는 386 단계에서 L2 연결을 끊고 링크를 이용할 수 없음을 통보(Link_Down.Indication)하는 링크 이벤트를 상기 MIHF 계층부(310)로 전송한다.
이후, 상기 MIHF 계층부(310)는 388 단계에서 L2 연결을 끊고 링크를 이용할 수 없음을 통보하는(MIH_Link_Down.indication) MIH 이벤트를 상기 MIH 사용자 계층부(308)로 전송한다. 이로써 상기 단말(300)은 광대역 무선통신망(306)에서 무선랜(302)으로 핸드오버를 수행하게 된다.
이후, 상기 단말(300)과 상기 타깃 AR(302) 사이 핸드오버가 완료 후에는 전 재인증(Full Re-Authentication)이 시작되어 진다. 이것은 핸드오버 성능에 영향을 끼치지 않으면서 MSK의 분배에 의해 도미노 현상과 인증 파라미터의 불일치를 경감시킬 수 있다.
이후, 본 발명의 인증 절차를 종료한다.
도 4는 본 발명의 제 2 실시 예에 따른 이종망간 핸드오버시 인증을 위한 흐름도를 도시하고 있다. 상기 제 2 실시 예는 MIH를 기반으로 하는 인증을 포함한 무선랜(402)에서 광대역 무선통신망(406)으로 핸드오버 흐름도이다.
상기 도 4를 참조하면, 상기 듀얼모드를 지원하는 단말(400)은 MIH 사용자 계층부(408), MIHF 계층부(410), 무선랜 MAC 계층부(412), 광대역 무선통신망 MAC 계층부(414)를 포함하여 구성된다. 상기 MIH 사용자 계층부(408), 상기 MIHF 계층부(410), 상기 무선랜 MAC 계층부(412), 상기 광대역 무선통신망 MAC 계층부(414)는 상기 도 3에서 설명된 기능과 유사함으로 생략하기로 한다.
먼저, 하향 링크 품질 모니터링과 핸드오버 결정 및 핸드오버할 기지국의 선택 등을 모두 단말(400)에서 수행하는 MIHO에서, 상기 MIH 사용자 계층부(408)는 426 단계에서 핸드오버 문의를 하는 MIH 명령(MIH_MN_HO_Candidate_Query.request)을 상기 MIHF 계층부(410)으로 전송한다.
상기 MIHF 계층부(410)는 428 단계에서 핸드오버 문의를 하는 링크 명령(MIH_MN_HO_Candidate_Query REQUEST FRAME)을 서빙 AR(418)로 전송한다. 구현에 따라서, 상기 MIHF 계층부(410)는 핸드오버 문의를 하는 링크 명령을 AP(416)로 전송할 수도 있다. 이때, 상기 AP(416)는 상기 서빙 AR(418)을 대신하여 인증자가 될 수 있다.
상기 서빙 AR(418)은 상기 단말(400)의 상기 MIHF 계층부(410)로부터 핸드오버 문의를 받을 시, 430 단계에서 오리지널 MSK(Master Session Key)(예: 최초 무선랜망에서 전인증(Full Authentication) 절차를 통해 생성된 MSK(상기 도 1 참조), 서빙 네트워크(예: 무선랜망)와 타깃 네트워크(예: 광대역 무선통신망)에서 단말의 MAC 주소(무선랜 MAC, 광대역 무선통신망 MAC)와, 인증자 MAC 주소(AP, 서빙 제어국)를 이용하여 핸드오버시 인증을 위한 파생 MSK(MSK')를 계산한다. 상기 MSK'은 상기 <수학식 1>로 생성된다
구현에 따라서, 상기 단말(400)도 파생 MSK(MSK')를 생성할 수 있고, 상기 서빙 AR(418)이 생성한 파생 MSK(MSK')를 제공받을 수 있다. 여기서, 상기 단말(400)과 상기 서빙 AR(418)은 상기 파생 MSK(MSK')를 생성하기 위해 필요한 PSS_MAC1, PSS_MAC2, Serving Authenticator MAC, Target Authenticator MAC 정보 를 교환하여 생성할 수 있다고 가정한다.
이후, 상기 서빙 AR(418)은 432 단계에서 MSK', MSK' 수명, 단말을 식별하기 위해 사용되는 PSS MAC1과 PSS MAC2를 MIH_N2N_HO_Query_Resources request 메시지 안에 인캡슐레이션하여 상기 타깃 인증자 즉 타깃 제어국(424)으로 전송하여 핸드오버 자원요청을 한다.
이후, 상기 타깃 제어국(424)은 434 단계에서 상기 서빙 AR(418)으로 핸드오버 자원요청에 대한 응답메시지를 전송한다(MIH_N2N_HO_Query_Resources RESPONSE FRAME).
이후, 상기 서빙 AR(418)은 436 단계에서 핸드오버 문의를 하는 링크 명령(MIH_MN_HO_Candidate_Query.REQUEST FRAME)에 대한 핸드오버 응답 링크명령(MIH_MN_HO_Candidate_Query.RESPONSE FRAME)를 MIHF 계층부(410)로 전송한다.
이후, 상기 MIHF 계층부(410)는 438 단계에서 상기 MIH 사용자 계층부(408)로 핸드오버 문의를 하는 MIH 명령(MIH_MN_HO_Candidate_Query.RESPONSE)를 전송한다.
이후, 상기 MIH 사용자 계층부(408)는 440 단계에서 무선랜에서 광대역 무선통신망으로 핸드오버가 결정될 시 상기 MIHF 계층부(410)로 스위치 요청 MIH 명령(MIH_Switch.request)을 전송한다.
이후, 상기 MIHF 계층부(410)는 442 단계에서 상기 광대역 무선통신망 MAC 계층부(414)로 레인징 요청(C-NEM_REQ(Ranging)) 링크 명령을 전달한다. 이후, 상기 광대역 무선통신망 MAC 계층부(414)는 444 단계에서 상기 MIHF 계층부(410)로 레인징 응답(C-NEM_RSP(Ranging)) 링크 이벤트를 전달한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 446 단계에서 타깃 기지국(422)에 레인징 요청(RNG_REQ) 메시지를 전송한다. 이후, 상기 타깃 기지국(422)은 448 단계에서 상기 광대역 무선통신망 MAC 계층부(414)로 레인징 응답(RNG_RSP) 메시지를 전송한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 450 단계에 권한부여 정책과 메시지 인증 코드 모드 등을 협상하기 위한 기본기능 협상요청(SBC REQ) 메시지를 타깃 기지국(422)으로 전송한다.
이후, 상기 타깃 기지국(422)은 452 단계에서 네트워크에 진입하려는 상기 단말(400)의 정보를 알려주기 위해 네트워크진입 단말상태 변경요청(NetEntry MS State Change Request) 메시지를 상기 타깃 제어국(424)으로 전송한다.
이후, 상기 타깃 제어국(424)은 454 단계에서 네트워크 진입 단말 상태변경 응답 메시지(NetEntry MS State Change Response)를 상기 타깃 기지국(422)으로 전송한다.
이후, 상기 타깃 기지국(422)은 456 단계에서 기본기능협상응답메시지(SBC-RSP)를 상기 광대역 무선통신망 MAC 계층부(414)로 전송한다.
이후, 상기 타깃 기지국(422)은 458 단계에서 네트워크 진입 단말 상태변경 응답 메시지에 대한 네트워크진입 단말 상태변경 확인 메시지(NetEntry MS State Change Ack)를 상기 타깃 제어국(424)으로 전송한다. 구현에 따라서, 네트워크진입 단말 상태변경 확인 메시지가 기본기능협상응답메시지보다 먼저 전송될 수도 있다. 또한, 여기서, 기본기능 협상(Starting Basic Capabilities: SBC)을 통해 상기 단말(400)과 상기 타깃 제어국(424)은 각각 생성해서 가지고 있는 MSK'을 비교하여 매칭되는지를 확인한다.
이후, 상기 광대역 무선통신망(406)에서, 성공적인 기본기능 협상 후, MSK' 캐쉬, MSK' 수명을 검사함으로써 상기 타깃 제어국(424)은 460 단계에서 상기 단말(400)을 위한 유효한 MSK' 여부를 판단할 수 있다. 만일 유효한 MSK'이 있다면, 상기 타깃 제어국(424)은 루트 키로써 MSK' 이용하여 PMK(Pairwise Master Key), EIK(EAP Integrity Key) 그리고, AK(Authentication Key)를 계산한다. 여기서, 상기 단말(400)의 상기 광대역 무선통신망 MAC 계층부(414)는 같은 방법으로 PMK, EIK 그리고 AK를 계산할 수 있다.
이후, 상기 타깃 제어국(424)은 462 단계에서 EAP 성공적인 완료를 통보하기 위해 단말 상태변경 명령 메시지(MS State Change Directive)를 상기 타깃 기지국(422)으로 전송한다. 상기 단말 상태변경 명령 메시지 메시지는 EAP 성공 메시지와 인증 완료 파라미터를 가지는 EAP Payload TLV를 포함한다. 사실, 전인증에서 이 메시지는 성공적인 멀티 라운드 액세스 인증 후에 전달된다. 즉, 상기 도 2에서 단말(400)과 타깃 제어국(424)은 220 단계 내지 228 단계를 거쳐서 상기 단말 상태변경 명령 메시지를 전송한다. 하지만 본 발명에서 파생 MSK'를 사용함으로써, 이 단계는 건너뛰게 되어 핸드오버 지연이 감소한다.
이후, 상기 타깃 기지국(422)은 464 단계에서 EAP 인증이 성공적으로 완료됐음을 알리는 PKM-RSP 메시지를 상기 단말(400)로 전송한다. 이후, 상기 타깃 기지국(422)은 466 단계에서 상기 단말 상태변경 명령 메시지에 대한 네트워크 진입 단말 상태변경 확인(NetEntry MS State Change Ack) 메시지를 상기 타깃 제어국(424)으로 전송한다.
이후, 상기 타깃 기지국(422)은 사용할 인증키(AK)를 확인하고 기설정된 보안 연결(Security Associations)을 설정하기 위해서 상기 단말(400)과 PKMv2 3-단계 핸드쉐이크(SA-TEK-Challenge/Request/Response 메시지 교환)를 수행한다. 즉, 상기 타깃 기지국(422)은 468 단계에서 SA-TEK-Challenge 메시지를 상기 단말(400)로 전송한다. 상기 SA-TEK-Challenge 메시지를 수신한 상기 단말(400)은 470 단계에서 SA-TEK-Request 메시지를 상기 타깃 기지국(422)으로 전송한다. 상기 SA-TEK-Request 메시지를 수신한 상기 타깃 기지국(422)은 471 단계에서 SA-TEK-Response 메시지를 상기 단말(400)로 전송한다.
이후, 상기 단말(400)은 상기 타깃 기지국(422)과 PKMv2 Key-Request/Response메시지(472, 473)를 교환하여 유효한 트래픽 암호화 키를 획득한다.
이후, 상기 MIH 계층부(410)는 475 단계에서 상기 광대역 무선통신망 MAC 계층부(414)로 등록을 요청하는(M-NEM-REQ(register)) 링크 명령을 전송한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 474 단계에서 상기 타깃 기지국(422)으로 등록요청(REGist-REQuest: REG-REQ) 메시지를 전송한다.
이후, 상기 타깃 기지국(422)은 476 단계에서 네트워크에 진입하려는 상기 단말(400)의 정보를 알려주기 위해 네트워크진입 단말상태 변경요청(NetEntry MS State Change Request) 메시지를 상기 타깃 제어국(424)으로 전송한다. 이후, 상기 타깃 제어국(424)은 477 단계에서 네트워크 진입 단말 상태변경 응답 메시지(NetEntry MS State Change Response)를 상기 타깃 기지국(422)으로 전송한다.
이후, 상기 타깃 기지국(422)은 478 단계에서 등록응답(REGist-ReSPonse: REG-RSP) 메시지를 상기 광대역 무선통신망 MAC 계층부(414)로 전송한다.
이후, 상기 타깃 기지국(422)은 479 단계에서 네트워크 진입 단말 상태변경 응답 메시지에 대한 네트워크진입 단말 상태변경 확인 메시지(NetEntry MS State Change Ack)를 상기 타깃 제어국(424)으로 전송한다. 구현에 따라서, 네트워크진입 단말 상태변경 확인 메시지가 상기 등록응답 메시지보다 먼저 전송될 수도 있다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 485 단계에서 상기 MIH 계층부(410)로 L2 연결이 설정되고 링크를 이용할 수 있음을 통보하는 링크 이벤트(MIH_Link_UP.indication)를 전송한다.
이후, 상기 MIHF 계층부(410)는 486 단계에서 상기 MIH 사용자 계층부(408)로 L2 연결이 설정되고 링크를 이용할 수 있음을 통보하는 MIH 이벤트(MIH_Link_UP.indication)를 전송한다.
이후, 상기 타깃 제어국(424)은 480 단계에서 상기 타깃 기지국(422)으로 무선자원을 요청하는 RR-Request 메시지를 전송한다.
이후, 상기 타깃 기지국(422)은 481 단계에서 상기 광대역 무선통신망 MAC 계층부(414)로 새로운 서비스 흐름(service flow)를 생성하기 위한 DSA-REQ(Dynamic Service Addition Request) 메시지를 전송한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 482 단계에서 상기 타깃 기지국(422)으로 상기 DSA-REQ 메시지에 대한 응답으로 DSA-RSP 메시지를 전송한다.
이후, 상기 타깃 기지국(422)은 484 단계에서 상기 타깃 제어국(424)으로 RR-Request 메시지에 대한 RR Response 메시지를 전송한다.
이후, 상기 타깃 기지국(422)은 483 단계에서 상기 광대역 무선통신망 MAC 계층부(414)로 상기 DSA-RSP에 대한 응답으로써 DSA-ACK 메시지를 전송한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)는 487 단계에서 상기 MIHF 계층부(410)로 핸드오버 완료 통보(Link_Handover_Complete. Indication) 링크 이벤트를 전송한다.
이후, 상기 MIHF 계층부(410)는 488 단계에서 스위치 요청(MIH_Switch_ request) MIH 이벤트에 대한 스위치 응답(MIH_Switch.response) MIH 이벤트를 상기 MIH 사용자 계층부(408)로 전송한다.
이후, 상기 광대역 무선통신망으로 핸드오버하려는 단말(400)과 상기 타깃 제어국(424) 사이 489 단계에서 이동 IP(Mobile IP: MIP) 등록하고 상위계층 프로토콜에 대해 투명성을 제공하기 위해 홈 주소와 임시주소를 바인딩 업데이트를 수행한다.
이후, 상기 광대역 무선통신망 MAC 계층부(414)와 상기 타깃 제어국(424) 사이 490 단계에서 트래픽 흐름이 형성된다. 즉, 상기 단말(400)은 무선랜(402)으로부터 트래픽을 상기 타깃 제어국(424)로부터 트래픽을 수신한다.
이후, 상기 무선랜 MAC 계층부(412)는 491 단계에서 L2 연결을 끊고 링크를 이용할 수 없음을 통보(Link_Down.Indication)하는 링크 이벤트를 상기 MIHF 계층부(410)로 전송한다.
이후, 상기 MIHF 계층부(410)는 492 단계에서 L2 연결을 끊고 링크를 이용할 수 없음을 통보하는(MIH_Link_Down.indication) MIH 이벤트를 상기 MIH 사용자 계층부(408)로 전송한다. 따라서, 상기 단말(400)은 무선랜(402)에서 광대역 무선통신망(406)으로 핸드오버를 수행하게 된다.
이후, 상기 단말(400)과 상기 타깃 제어국(424) 사이 핸드오버가 완료되면 전 재인증(Full Re-Authentication)이 시작되어 진다. 이것은 핸드오버 성능에 영향을 끼치지 않으면서 MSK의 분배에 의해 도미노 현상과 인증 파라미터의 불일치를 경감시킬 수 있다.
이후, 본 발명의 인증 절차를 종료한다.
도 5는 본 발명의 실시 예에 따른 이종망간 핸드오버시 빠른 인증을 위한 단말 동작 흐름도를 도시하고 있다.
상기 도 5를 참조하면, 상기 단말은 500 단계에서 타깃 네트워크를 찾기 위해 스캐닝을 수행한다.
이후, 상기 단말은 502 단계에서 스캐닝한 타깃 네트워크 정보를 포함하여 서빙 네트워크에 핸드오버를 요청한다.
이후, 상기 단말은 503 단계에서 핸드오버시 인증을 위한 파생 MSK'를 생성한다. 예를 들면, 상기 단말은 자신의 서빙 네트워크 정보(서빙 네트워크의 인증자 MAC 정보와 단말 MAC 정보)와 스캐닝한 타깃 네트워크 정보(타깃 네트워크의 인증자 MAC 정보와 단말 MAC 정보)를 이용하여 상기 파생 MSK'를 생성한다(상기 <수학식 1> 참조). 구현에 따라서, 상기 단말은 상기 파생 MSK'를 서빙 인증자로부터 제공받을 수 있다.
이후, 상기 단말은 504 단계에서 서빙 네트워크로부터 핸드오버 응답 메시지를 수신한다.
이후, 상기 단말은 506 단계에서 타깃 네트워크로 네트워크 진입(Network Entry)를 수행한다. 여기서, 상기 단말은 상기 네트워크 진입 절차 과정에서 타깃 네트워크가 가지고 있는 파생 MSK'과 자신이 가지고 있는 MSK'를 비교할 수 있다.
이후, 상기 단말은 508 단계에서 해당 타깃 인증자가 생성한 MSK'과 매칭되는 MSK'가 있는지 확인하여, 매칭되는 MSK'가 있을 시 510 단계로 진행하여 새로운 인증키를 생성한다. 예를 들면, 상기 단말이 광대역 무선통신망에서 무선랜으로 핸드오버를 수행하는 환경에서, 상기 단말은 새로운 인증키로써 PMK, PMKID를 생성한다. 상기 단말이 무선랜에서 광대역 무선통신망으로 핸드오버를 수행하는 환경에서, 상기 단말은 PMK, EIK, AK를 생성한다.
반면 상기 508 단계에서 매칭되는 MSK'가 없을 시 516 단계로 진행하여 전인증절차를 수행한다. 상기 도 2에서 도시된 광대역 무선통신망에서 무선랜으로 빠른 인증 절차를 수행하거나, 상기 도 1에서 도시된 무선랜에서 광대역 무선통신망으로 빠른 인증 절차를 수행한다.
이후, 상기 단말은 512 단계에 생성한 키를 일치시키기 위해 타깃 네트워크와 키 협상을 수행한다.
이후, 상기 단말은 514 단계에서 핸드오버 완료한다.
이후, 본 발명의 알고리즘을 종료한다.
도 6은 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 타깃 인증자 동작 흐름도를 도시하고 있다. 여기서, 상기 타깃 인증자는 기지국 혹은 AP가 될 수 있다.
상기 도 6을 참조하면, 먼저 타깃 인증자는 600 단계에서 서빙 네트워크로부터 백본을 통해 파생된 MSK(MSK')를 수신한다.
이후, 상기 타깃 인증자는 602 단계에서 기설정된 절차에 따라 네트워크 진입 허가를 한다. 여기서, 상기 타깃 인증자는 상기 단말과 상기 네트워크 진입 절차를 진행하면서, 상기 단말이 가지고 있는 파생 MSK'과 자신이 가지고 있는 MSK'를 비교할 수 있다.
이후, 상기 단말은 604 단계에서 해당 서빙 네트워크의 단말이 생성한 MSK'과 매칭되는 MSK'가 있는지 확인하여, 매칭되는 MSK'가 있을 시 606 단계로 진행하여 새로운 인증키를 생성한다. 예를 들면, 상기 단말이 광대역 무선통신망에서 무 선랜으로 핸드오버를 수행하는 환경에서, 상기 단말은 새로운 인증키로써 PMK, PMKID를 생성한다. 상기 단말이 무선랜에서 광대역 무선통신망으로 핸드오버를 수행하는 환경에서, 상기 단말은 PMK, EIK, AK를 생성한다.
반면 상기 604 단계에서 매칭되는 MSK'가 없을 시 612 단계로 진행하여 전인증절차를 수행한다. 상기 도 2에서 도시된 광대역 무선통신망에서 무선랜으로 빠른 인증 절차를 수행하거나, 상기 도 1에서 도시된 무선랜에서 광대역 무선통신망으로 빠른 인증 절차를 수행한다.
이후, 상기 타깃 인증자는 608 단계에 생성한 키를 일치시키기 위해 상기 단말과 키 협상을 수행한다.
이후, 상기 단말은 610 단계에서 핸드오버 완료를 완료한다.
이후, 본 발명의 알고리즘을 종료한다.
도 7은 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 서빙 인증자 동작 흐름도를 도시하고 있다. 여기서, 상기 인증자는 기지국 혹은 AP가 될 수 있다.
상기 도 7을 참조하면, 먼저 서빙 인증자는 700 단계에서 해당 단말로부터 핸드오버 요청을 받는다.
이후, 상기 서빙 인증자는 702 단계에서 핸드오버시 인증을 위한 파생 MSK'를 생성한다. 예를 들면, 상기 서빙 인증자는 자신의 서빙 네트워크 정보(서빙 네트워크의 인증자 MAC 정보, 단말 MAC 정보)와 타깃 네트워크 정보(타깃 네트워크의 인증자 MAC 정보, 단말 MAC 정보)를 이용하여 상기 파생 MSK'를 생성한다.(상기 <수학식 1> 참조)
이후, 상기 서빙 인증자는 704 단계에서 단말정보와 함께 생성한 MSK'를 타깃 네트워크로 전송한다.
이후, 상기 서빙 인증자는 706 단계에서 단말의 정보를 참조하여 핸드오버 응답를 전송한다.
이후, 본 발명의 알고리즘을 종료한다.
도 8은 본 발명의 실시 예에 따른 이종망간 핸드오버시 빠른 인증을 위한 단말 장치도이다.
상기 도 8을 참조하면, 상기 단말은 제어부(802), 인증 처리부(808), 무선랜 인터페이스부(800), 광대역 무선통신 인터페이스부(804), 키 생성부(806), 이종망간 핸드오버 제어부(810)를 포함하여 구성된다.
상기 제어부(802)는 상기 무선랜 단말과 상기 광대역 무선통신 단말을 지원하는 듀얼 모드의 전반적인 동작을 제어한다. 예를 들어, 무선랜을 통한 인터넷 서비스(인증, 보안 절차 등등)를 위한 처리 및 제어를 수행하고, 또한, 광대역 무선통신을 통한 멀티미디어 서비스 및 인터넷 서비스를 위한 처리 및 제어를 수행한다. 통상적인 기능에 더하여 본 발명에 따라 무선랜 또는 광대역 무선통신망 시스템 사이 발생하는 재인증 절차를 위한 처리 및 제어기능을 담당한다. 예를 들면, 이종망간 핸드오버 요청 후 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 생성하기 위한 정보를 제공받아 상기 키 생성부(806)로 제공한다. 이하의 설명에 있어서 통상적인 제어부(802)의 처리 및 제어에 관한 설명은 생략한다.
상기 키 생성부(806)는 상기 제어부(802)로부터 정보를 제공받아 파생 마스터 세션키를 생성한다. 상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성된다.
상기 인증 처리부(808)는 인증절차 시, 상기 제어부(802)의 제어하에 인증 제어메시지들을 생성하여 상기 무선랜 인터페이스부(800) 또는 상기 광대역 무선통신인터페이스부(804)로 출력한다. 또한, 상기 무선랜 인터페이스부(800) 또는 대역 무선통신인터페이스부(804)로부터 인증 제어메시지들을 수신하여 상기 메시지들을 분석하여 상기 제어부(802)로 제공한다. 예를 들면, 상기 인증 처리부(808)는 상기 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행한다. 즉, 상기 인증 처리부(808)는 상기 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행하고, 상기 타깃 인증자와 네트워크 진입을 수행하고, 상기 매칭되는 파생 마스터 세션키가 있는지를 확인하고, 상기 파생된 마스터 세션키를 이용하여 새로운 인증키를 생성하고, 상기 타깃 인증자와 상기 새로운 인증키를 교환한다.
상기 이종망 핸드오버 제어부(810)는 MIH 이벤트, MIH 명령, 링크 이벤트, 링크 명령등의 매개체 무관 핸드오버(MIH) 기반으로 이종망간 핸드오버를 제어한다.
도 9는 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 서빙 인증장치도를 도시하고 있다.
상기 도 9를 참조하면, 인증장치는 인터페이스부(900), 제어부(902), 핸드오버 처리부(904), 키 생성부(906), 인증관리부(908)를 포함하여 구성된다.
상기 인터페이스부(900)는 무선랜 단말 또는 광대역 무선통신 단말과 접속할 수 있는 인터페이스를 제공한다. 따라서, 상기 인터페이스부(900)는 생성된 상기 인증 제어 메시지들을 해당 단말로 전송하거나, 상기 해당 단말로부터 인증 제어메시지를 수신하여 상기 제어부(902)를 통해 상기 인증관리부(908)로 전송한다.
상기 제어부(902)는 서빙 인증자로부터 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 제공받는다.
상기 핸드오버 처리부(904)는 MIH 이벤트, MIH 명령, 링크 이벤트, 링크 명령등의 매개체 무관 핸드오버(MIH) 기반으로 이종망간 핸드오버를 제어한다.
상기 키 생성부(906)는 상기 핸드오버 요청 후 파생 마스터 세션키(Master session Key: MSK)를 생성한다. 상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성된다.
상기 인증관리부(908)는 상기 파생된 마스터 세션키를 이용하여 단말과 키 협상을 수행한다. 즉, 상기 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행하고, 상기 단말의 네트워크 진입을 허가하고, 상기 매칭되는 파생 마스터 세션키가 있는지를 확인하고, 상기 파생 마스터 세션키를 이용하여 새로운 인증키를 생성하고, 상기 단말과 상기 새로운 인증키를 교환한다. 또한, 상기 파생된 마스터 세션키를 타깃 인증자에 전송한다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명에 따른 무선랜망에서 전인증(Full Authentication) 흐름도,
도 2는 본 발명에 따른 광대역 무선통신망에서 전인증(Full Authentication) 흐름도,
도 3은 도 3은 본 발명의 제 1 실시 예에 따른 이종망간 핸드오버시 인증을 위한 흐름도,
도 4는 본 발명의 제 2 실시 예에 따른 이종망간 핸드오버시 인증을 위한 흐름도,
도 5는 본 발명의 실시 예에 따른 이종망간 핸드오버시 빠른 인증을 위한 단말 동작 흐름도,
도 6은 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 타깃 인증자 동작 흐름도,
도 7은 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 서빙 인증자 동작 흐름도,
도 8은 본 발명의 실시 예에 따른 이종망간 핸드오버시 빠른 인증을 위한 단말 장치도,
도 9는 본 발명의 실시 예에 따른 이종망간 핸드오버시 인증을 위한 서빙 인증장치도.

Claims (38)

  1. 이종망간 핸드오버를 위한 빠른 인증 방법에 있어서,
    서빙 네트워크에서 타깃 네트워크로 핸드오버를 요청하고 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 생성하는 과정과,
    상기 파생 마스터 세션키를 상기 타깃 네트워크로 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 핸드오버 요청에 대한 응답 과정을 더 포함하는 것을 특징으로 하는 방법.
  3. 제 2항에 있어서,
    상기 핸드오버 요청에 대한 응답 과정시 타깃 네트워크로 서빙 단말의 MAC, 타깃 단말의 MAC, 오리지널 MSK, 그리고 파생된 MSK의 수명 정보 중 적어도 하나 이상 전송되는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 파생 마스터 세션키를 사용하여 키 협상(Key Negotiation)을 수행하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  5. 제 4항에 있어서,
    상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 2>으로 표현되는 것을 특징으로 하는 방법.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
  6. 제 4항에 있어서,
    상기 키 협상 후, 의탁주소(Care-of-Address: CoA)를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  7. 제 6항에 있어서,
    상기 의탁주소를 생성 후, 이동 IP(Internet Protocol) 등록 및 바인딩 업데이트하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  8. 제 1항에 있어서,
    상기 핸드오브 완료 후, 인증을 수행할 경우 전 재인증(Full Re-Authentication) 절차를 수행하는 것을 특징으로 하는 방법.
  9. 제 1항에 있어서,
    상기 이종망간 핸드오버는 매개체 무관 핸드오버(Media Independent Handover: MIH) 기반으로 수행되는 것을 특징으로 방법.
  10. 이종망간 핸드오버를 위한 빠른 인증을 위한 이동통신 시스템에 있어서,
    서빙 네트워크에 타깃 네트워크로의 핸드오버를 요청하는 서빙 단말과,
    상기 서빙 네트워크에서 키 생성을 위한 파생 마스터 세션키(Master session Key: MSK)를 생성하여 상기 타깃 네트워크로 전송하는 서빙 인증자를 포함하는 것을 특징으로 하는 시스템.
  11. 제 10항에 있어서,
    상기 서빙 인증자는 서빙 단말로 상기 핸드오버 요청에 대한 응답을 수행하는 것을 특징으로 하는 시스템.
  12. 제 11항에 있어서,
    상기 핸드오버 요청에 대한 응답 시 타깃 네트워크로 서빙 단말의 MAC, 타깃 단말의 MAC, 오리지널 MSK, 그리고 파생된 MSK의 수명 정보 중 적어도 하나 이상 전송되는 것을 특징으로 하는 시스템.
  13. 제 10항에 있어서,
    상기 파생 마스터 세션키를 사용하여 키 협상(Key Negotiation)을 수행하는 것을 특징으로 하는 시스템.
  14. 제 13항에 있어서,
    상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 3>으로 표현되는 것을 특징으로 하는 시스템.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 임.
  15. 제 13항에 있어서,
    상기 키 협상 후, 상기 서빙 단말과 타깃 인증자 사이에 의탁주소(Care-of-Address: CoA)가 생성되는 것을 특징으로 하는 시스템.
  16. 제 15항에 있어서,
    상기 의탁주소를 생성 후, 상기 서빙 단말과 상기 타깃 인증자 사이 이동 IP(Internet Protocol) 등록 및 바인딩 업데이트하는 것을 특징으로 하는 시스템.
  17. 제 10항에 있어서,
    상기 핸드오브 완료 후, 상기 서빙 단말과 타깃 인증자 사이 인증을 수행할 경우 전 재인증(Full Re-Authentication) 절차를 수행되는 것을 특징으로 하는 시스템.
  18. 제 10항에 있어서,
    상기 이종망간 핸드오버는 매개체 무관 핸드오버(Media Independent Handover: MIH) 기반으로 수행되는 것을 특징으로 시스템.
  19. 이종망간 핸드오버를 위한 빠른 인증을 수행하기 위한 단말 동작 방법에 있어서,
    타깃 네트워크로 핸드오버 요청 후, 키 생성을 위한 제1 파생 마스터 세션키(Master Session Key: MSK)를 생성하기 위한 정보를 제공받는 과정과,
    상기 제1 파생 마스터 세션키를 생성하는 과정과,
    상기 제1 파생 마스터 세션키를 이용하여 상기 타깃 네트워크와 키 협상을 수행하는 과정을 포함하는 것을 특징으로 하는 방법.
  20. 제 19항에 있어서,
    상기 제1 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 4>으로 표현되는 것을 특징으로 하는 방법.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
  21. 제 19항에 있어서,
    상기 제1 파생 마스터 세션키를 이용하여 상기 타깃 네트워크와 키 협상을 수행하는 과정은,
    상기 타깃 네트워크와 네트워크 진입을 수행하는 과정과,
    상기 제 1 파생 마스터 세션키와 상기 타깃 네트워크의 제 2 마스터 세션키가 일치하는지 확인하는 과정과,
    상기 제 1 파생 마스터 세션키를 이용하여 새로운 인증키를 생성하는 과정과,
    상기 타깃 네트워크와 상기 새로운 인증키를 교환하는 과정을 포함하며,
    상기 제 2 마스터 세션키는 서빙 네트워크로부터 상기 타깃 네트워크에 의해 수신되는 것을 특징으로 하는 방법.
  22. 제 19항에 있어서,
    상기 키 협상 후, 핸드오버를 완료하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  23. 이종망간 핸드오버를 위한 빠른 인증을 위한 타깃 인증자 동작방법에 있어서,
    키 생성을 위한 제 1 파생 마스터 세션키(Master session Key: MSK)를 서빙 네트워크로부터 제공받는 과정과,
    상기 제 1 파생된 마스터 세션키를 이용하여 단말과 키 협상을 수행하는 과정을 포함하는 것을 특징으로 하는 방법.
  24. 제 23항에 있어서,
    상기 제 1 파생 마스터 세션키를 이용하여 단말과 키 협상을 수행하는 과정은
    상기 단말의 네트워크 진입을 허가하는 과정과,
    상기 제 1 파생 마스터 세션키와 단말의 제 2 파생 마스터 세션키가 매칭되는지 확인하는 과정과,
    상기 제 1 파생 마스터 세션키를 이용하여 새로운 인증키를 생성하는 과정과,
    상기 단말과 상기 새로운 인증키를 교환하는 과정을 포함하는 것을 특징으로 하는 방법.
  25. 제 23항에 있어서,
    상기 키 협상 후, 핸드오버를 완료하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  26. 이종망간 핸드오버를 위한 빠른 인증을 위한 서빙 인증자 동작방법에 있어서,
    해당 단말로부터 핸드오버를 요청받은 후, 파생 마스터 세션키(Master session Key: MSK)를 생성하는 과정과,
    상기 파생 마스터 세션키를 타깃 네트워크에 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  27. 제 26항에 있어서,
    상기 핸드오버 요청에 대한 응답을 하는 과정을 더 포함하는 것을 특징으로 방법.
  28. 제 26항에 있어서,
    상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 5>으로 표현되는 것을 특징으로 하는 방법.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
  29. 이종망간 핸드오버를 위한 빠른 인증을 위한 단말 장치에 있어서,
    타깃 네트워크로 핸드오버 요청 후, 키 생성을 위한 제 1 파생 마스터 세션키(Master Session Key: MSK)를 생성하기 위한 정보를 제공받는 제어부와,
    상기 제 1 파생 마스터 세션키를 생성하는 키 생성부와,
    상기 제 1 파생 마스터 세션키를 이용하여 상기 타깃 네트워크와 키 협상을 수행하는 인증 처리부를 포함하는 것을 특징으로 하는 장치.
  30. 제 29항에 있어서,
    상기 제 1 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 6>으로 표현되는 것을 특징으로 하는 장치.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
  31. 제 29항에 있어서,
    상기 인증 처리부는,
    상기 타깃 네트워크와 네트워크 진입을 수행하고,
    상기 제 1 파생 마스터 세션키와 상기 타깃 네트워크의 제 2 마스터 세션키가 일치하는지 확인하고,
    상기 제 1 파생 마스터 세션키를 이용하여 새로운 인증키를 생성하고,
    상기 타깃 네트워크와 상기 새로운 인증키를 교환하고,
    상기 제 2 마스터 세션키는 서빙 네트워크로부터 상기 타깃 네트워크에 의해 수신되는 것을 특징으로 하는 장치.
  32. 제 29항에 있어서,
    상기 키 협상 후, 핸드오버를 완료하는 이종망 핸드오버 제어부를 더 포함하는 것을 특징으로 하는 장치.
  33. 이종망간 핸드오버를 위한 빠른 인증을 위한 타깃 인증장치에 있어서,
    서빙 네트워크로부터 키 생성을 위한 제 1 파생 마스터 세션키(Master session Key: MSK)를 제공받는 제어부와,
    상기 제 1 파생 마스터 세션키를 이용하여 단말과 키 협상을 수행하는 인증관리부를 포함하는 것을 특징으로 하는 장치.
  34. 제 33항에 있어서,
    상기 인증관리부는
    상기 제 1 파생 마스터 세션키를 이용하여 타깃 인증자와 키 협상을 수행하고,
    상기 단말의 네트워크 진입을 허가하고,
    상기 제 1 파생 마스터 세션 키와 단말의 제 2 파생 마스터 세션키가 매칭되는지 확인하고,
    상기 제 1 파생 마스터 세션 키를 이용하여 새로운 인증키를 생성하고,
    상기 단말과 상기 새로운 인증키를 교환하는 것을 특징으로 하는 장치.
  35. 제 33항에 있어서,
    상기 키 협상 후, 핸드오버를 완료하는 핸드오버 처리부를 더 포함하는 것을 특징으로 하는 장치.
  36. 이종망간 핸드오버를 위한 빠른 인증을 위한 서빙 인증장치에 있어서,
    해당 단말로부터 핸드오버를 요청받는 핸드오버 처리부와,
    상기 핸드오버 요청 후 파생 마스터 세션키(Master session Key: MSK)를 생성하는 키 생성부와,
    상기 파생 마스터 세션 키를 네트워크에 전송하는 인증처리부를 포함하는 것을 특징으로 하는 장치.
  37. 제 36항에 있어서,
    상기 핸드오버 처리부는 상기 핸드오버 요청에 대한 응답을 하는 것을 특징으로 장치.
  38. 제 36항에 있어서,
    상기 파생 마스터 세션키는 서빙 네트워크에서 인증자 MAC 주소, 단말 MAC 주소, 오리지널 MSK, 타깃 네트워크에서 인증자 MAC 주소, 단말 MAC 주소 정보로부터 생성되며 하기 <수학식 7>으로 표현되는 것을 특징으로 하는 장치.
    MSK' = HMAC-SHA512(MSK, "Derivative of MSK" | PSS_MAC1 | PSS_MAC2 | Serving Authenticator MAC | Target Authenticator MAC)
    여기서, 상기 HMAC-SHA-512은 SHA-512 해시함수를 이용하여 HMAC 메시지 코드의 구현이고, 상기 Serving Authenticator MAC은 서빙 네트워크 인증자 MAC이고, 상기 Target Authenticator MAC은 타깃 네트워크 인증자 MAC이고, 상기 PSS_MAC1는 서빙 네트워크 단말 MAC이고, 상기 PSS_MAC2은 타깃 네트워크 단말 MAC 이다.
KR1020070092409A 2007-09-12 2007-09-12 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치 KR101061899B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070092409A KR101061899B1 (ko) 2007-09-12 2007-09-12 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
US12/283,405 US20090067623A1 (en) 2007-09-12 2008-09-11 Method and apparatus for performing fast authentication for vertical handover

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070092409A KR101061899B1 (ko) 2007-09-12 2007-09-12 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20090027299A KR20090027299A (ko) 2009-03-17
KR101061899B1 true KR101061899B1 (ko) 2011-09-02

Family

ID=40431832

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070092409A KR101061899B1 (ko) 2007-09-12 2007-09-12 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치

Country Status (2)

Country Link
US (1) US20090067623A1 (ko)
KR (1) KR101061899B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101476352B1 (ko) * 2014-05-22 2014-12-24 우희범 플로어힌지장치
KR20190130440A (ko) * 2018-04-25 2019-11-22 고려대학교 산학협력단 센서 장치의 인증을 위해 인증 프로토콜을 수행하는 센서 인증 서버, 소프트웨어 정의 네트워크 컨트롤러 및 방법, 이 방법을 수행하기 위한 기록 매체

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100922899B1 (ko) * 2007-12-06 2009-10-20 한국전자통신연구원 이동단말의 핸드오버시 액세스망 접속인증 제어방법 및 그네트워크 시스템
JP5059592B2 (ja) * 2007-12-27 2012-10-24 京セラ株式会社 無線通信装置及び通信制御方法
US8281133B1 (en) * 2009-01-08 2012-10-02 Juniper Networks, Inc. Predictive real-time pairwise master key identification (PMKID) generation
US8452963B2 (en) * 2009-01-27 2013-05-28 Cisco Technology, Inc. Generating protected access credentials
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
KR20100102026A (ko) * 2009-03-10 2010-09-20 주식회사 케이티 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
CN101841811B (zh) 2009-03-18 2013-04-17 华为技术有限公司 一种预认证方法、设备及系统
CN102687537B (zh) * 2009-05-03 2016-03-09 株式会社东芝 媒体无关切换协议的安全
CN101741548B (zh) * 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
EP2372971A1 (en) 2010-03-30 2011-10-05 British Telecommunications Public Limited Company Method and system for authenticating a point of access
CN102893645B (zh) * 2010-05-10 2016-04-13 诺基亚技术有限公司 网络间切换期间的密钥导出
CN103209160B (zh) * 2012-01-13 2018-05-08 中兴通讯股份有限公司 一种面向异构网络的认证方法及系统
CN103853949A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一个异构的计算机环境上进行用户身份验证的方法
CN104660567B (zh) * 2013-11-22 2017-12-15 中国联合网络通信集团有限公司 D2d终端接入认证方法、d2d终端及服务器
EP3175639B1 (en) * 2014-07-28 2021-04-14 Telefonaktiebolaget LM Ericsson (publ) Authentication during handover between two different wireless communications networks
CN104980482B (zh) * 2014-12-24 2019-09-13 深圳市腾讯计算机系统有限公司 文件发送方法及装置、文件接收方法及装置
CN105792204A (zh) * 2016-02-29 2016-07-20 宇龙计算机通信科技(深圳)有限公司 网络连接的鉴权方法及装置
CN106572470A (zh) * 2016-10-19 2017-04-19 广东欧珀移动通信有限公司 接入网络的方法、移动终端及网关设备
CN106936592B (zh) * 2017-05-11 2020-05-22 成都信息工程大学 一种基于扩展混沌算法的三方认证密钥协商方法
WO2021196047A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 密钥处理方法和装置
KR102443464B1 (ko) * 2020-11-11 2022-09-15 한국철도기술연구원 비면허대역 통신시스템에서 저지연 핸드오버 지원방법 및 장치
US20230130457A1 (en) * 2021-10-25 2023-04-27 Salesforce.Com, Inc. Key management providing high availability without key replication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755394B1 (ko) 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE50200687D1 (de) * 2001-06-18 2004-09-02 Swisscom Mobile Ag Verfahren und System für mobile IP-Nodes in heterogenen Netzwerken
US7363376B2 (en) * 2001-07-31 2008-04-22 Arraycomm Llc Method and apparatus for generating an identifier to facilitate delivery of enhanced data services in a mobile computing environment
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
CN101243719B (zh) * 2005-07-06 2012-10-17 诺基亚公司 安全的会话密钥上下文
US7835743B2 (en) * 2005-08-03 2010-11-16 Toshiba America Research, Inc. Seamless network interface selection, handoff and management in multi-IP network interface mobile devices
US8064948B2 (en) * 2006-01-09 2011-11-22 Cisco Technology, Inc. Seamless roaming for dual-mode WiMax/WiFi stations
CN101422064B (zh) * 2006-02-09 2012-01-04 思达伦特网络有限责任公司 无线网络的快速切换支持
US20080139205A1 (en) * 2006-12-08 2008-06-12 Motorola, Inc. Method and apparatus for supporting handover in a communication network
US8583923B2 (en) * 2006-12-08 2013-11-12 Toshiba America Research, Inc. EAP method for EAP extension (EAP-EXT)
US20090005047A1 (en) * 2007-06-29 2009-01-01 Vivek Gupta Media independent vertical handovers

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755394B1 (ko) 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101476352B1 (ko) * 2014-05-22 2014-12-24 우희범 플로어힌지장치
KR20190130440A (ko) * 2018-04-25 2019-11-22 고려대학교 산학협력단 센서 장치의 인증을 위해 인증 프로토콜을 수행하는 센서 인증 서버, 소프트웨어 정의 네트워크 컨트롤러 및 방법, 이 방법을 수행하기 위한 기록 매체
KR102127758B1 (ko) 2018-04-25 2020-06-29 고려대학교 산학협력단 센서 장치의 인증을 위해 인증 프로토콜을 수행하는 센서 인증 서버, 소프트웨어 정의 네트워크 컨트롤러 및 방법, 이 방법을 수행하기 위한 기록 매체

Also Published As

Publication number Publication date
US20090067623A1 (en) 2009-03-12
KR20090027299A (ko) 2009-03-17

Similar Documents

Publication Publication Date Title
KR101061899B1 (ko) 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
KR100762644B1 (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US8385549B2 (en) Fast authentication between heterogeneous wireless networks
US8731194B2 (en) Method of establishing security association in inter-rat handover
TWI445371B (zh) 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台
US8561200B2 (en) Method and system for controlling access to communication networks, related network and computer program therefor
US8078175B2 (en) Method for facilitating a handover of a communication device, communication device, application server for facilitating a handover of a communication device, and communication system arrangement
EP1639756B1 (en) Facilitating 802.11 roaming by pre-establishing session keys
US8665819B2 (en) System and method for providing mobility between heterogenous networks in a communication environment
US8621201B2 (en) Short authentication procedure in wireless data communications networks
JP5378603B2 (ja) 複数技術インターワーキングでの事前登録セキュリティサポート
US20120005731A1 (en) Handover method of mobile terminal between heterogeneous networks
US8417219B2 (en) Pre-authentication method for inter-rat handover
JPWO2006003859A1 (ja) 通信ハンドオーバ方法及び通信メッセージ処理方法並びに通信制御方法
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
AU2011201655A1 (en) Security Authentication and Key Management Within an Infrastructure-Based Wireless Multi-Hop Network
US20170230826A1 (en) Authentication in a radio access network
WO2009059546A1 (fr) Procédé d&#39;authentification d&#39;accès s&#39;appliquant à un réseau ibss
WO2010115326A1 (zh) 一种无线局域网终端的预鉴别方法及无线局域网系统
KR20080033763A (ko) 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템
WO2009074050A1 (fr) Procede, systeme et appareil d&#39;authentification de dispositif de point d&#39;acces
WO2011127774A1 (zh) 一种用户终端接入互联网方式的控制方法及装置
KR101467784B1 (ko) 이기종망간 핸드오버시 선인증 수행방법
WO2010045985A1 (en) Lightweight authentication framework for inter-network hand-over coordination in untrustworthy heterogeneous network en-vironments
Zheng et al. Handover keying and its uses

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140730

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150730

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160728

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170728

Year of fee payment: 7