KR101101738B1

KR101101738B1 - 통신 시스템에서의 인증 실행

Info

Publication number: KR101101738B1
Application number: KR1020110008268A
Authority: KR
Inventors: 사르바르 파텔
Original assignee: 알카텔-루센트 유에스에이 인코포레이티드
Priority date: 2003-05-15
Filing date: 2011-01-27
Publication date: 2012-01-05
Also published as: EP1771029A1; US7181196B2; EP1478204A3; KR20110016468A; JP4615892B2; EP1771029B1; KR101038229B1; EP1478204B1; US20040229597A1; US7565135B2; KR20040098534A; DE602004003856D1; US20070021105A1; EP1478204A2; JP2004343764A; DE602004014649D1; DE602004003856T2

Abstract

통신 시스템에서 인증을 실행하는 방법 및 장치가 제공된다. 상기 방법은, 제1 및 제2 랜덤 챌린지를 포함하는 인증을 위한 요청을 서버로부터 수신하는 단계와, 상기 제1 및 상기 제2 랜덤 챌린지를 비교하는 단계를 포함한다. 또한, 상기 방법은, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 실질적으로 동일하다는 결정에 응답하여 상기 인증을 위한 요청을 거절하는 단계와, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 상이하다는 결정에 응답하여 상기 서버에 인코딩된 값을 전송하는 단계를 더 포함하며, 상기 인코딩된 값은 상기 제1 및 제2 랜덤 챌린지와 상기 서버와 공유되지 않는 키에 기초하여 생성된다.

Description

통신 시스템에서의 인증 실행{Performing authentication in a communications system}

이용자 가장(masquerading) 및 도청(eavesdropping)은 무선 통신들의 보안에 잠재적인 위협이 된다. 무선 링크상의 통신에 적정한 보호를 제공하기 위하여, 통신 장치들을 우선 인증하고, 통신들의 콘텐츠를 암호화하는 것이 바람직하다. 최근 스탠다드 보디들(bodies)은 원거리 당사자의 동일성을 인증하기 위하여 몇가지 공지된 프토코콜을 제안하고 있다. 현재 고려중인 한 프로토콜은 이동(GSM) 가입자 동일성 모듈(SIM)을 사용하는 인증 및 세션 키 분포의 확장 인증 프로토콜이다. 이 프로토콜은 이후에 EAP-SIM 프로토콜로 언급된다.

EAP-SIM 프로토콜은 이동 통신 인증 절차들에 대한 기존의 글로벌 시스템의 제안된 개량형들에 기초하고 있다. EAP-SIM 프로토콜은 GSM 시스템 동일성 모듈을 사용하는 상호 인증 및 세션 키 동의를 위한 메커니즘을 명기한다. 상호 인증에 있어서, 클라이언트 및 서버는 어떤 어플리케이션 기능들을 실행하기 전에 서로 그들 각각의 동일성들을 증명해야 한다. 상호 인증의 기본 원칙은 어떤 당사자도 동일성을 증명하기 이전에 "신뢰"하지 않는다는 것이다.

GSM 네트워크는 챌린지-응답(challenge-response) 메커니즘에 기초하여 가입자의 동일성들을 인증한다. GSM 네트워크는 이동국에 128-비트 랜덤 번호(RAND) 챌린지를 전송한다. 이동국은 각각의 가입자 인증 키(K_i)를 이용하는 랜덤 번호(RAND)에 기초하여 32-비트 서명 응답(SRES) 및 64-비트 암호 키, K_c를 계산한다. 그런 다음, 이동국은 SRES를 GSM 네트워크에 전송한다. 이동국으로부터 SRES를 수신한 경우, GSM 네트워크는 그 계산을 반복하여 이동국의 동일성을 검증한다. 각각의 가입자 인증 키(K_i)는 라디오 채널 상에서 결코 전송되지 않는다. 이것은 서비스 네트워크의 데이터베이스뿐만 아니라 이동국에서 나타난다. 수신된 SRES가 그 계산된 값과 일치하는 경우, 이동국은 성공적으로 인증되며, 따라서 계속하여 그 계산을 행한다. 만일 그 값이 일치하지 않는 경우에는, 접속을 종료하고 이동국에 인증 실패를 표시한다.

전술된 바와 같이, GSM 네트워크는 이동국의 동일성을 인증하는데 단일의 RAND 챌린지를 사용한다. GSM의 인증 절차들에 기초하는 EAP-SIM 프로토콜은, 64비트 암호 키, K_c를 이용하여 상호 인증을 위한 메커니즘을 명기한다. 그러나, 64비트 키에 기초한 상호 인증 실행은, 예를 들면 96비트 또는 128비트 키로 다르게 제공되는 경우에 소망의 보안을 제공하지 못한다. 보다 보안적인 인증 메커니즘을 제공하기 위하여, EAP-SIM 프로토콜은 최대 3개의 RAND 챌린지들 및 그로 인한 최대 3개의 64비트 키들(K_c)이 인증 절차동안에 사용될 수 있음을 말한다. 3개의 64비트 키들은, 결합될 경우, 아마 향상된 보안을 제공하는 192비트 키를 생성하게 된다. 그러나, 다수의 암호 키들을 단순하게 결합하는 경우 향상된 보안을 반드시 초래하는 것은 아니다. 왜냐하면, 의인자(즉, 비도덕적인 당사자)가 64비트 키 값을 정확하게 추측할 경우, 이동국에 있어서의 인증을 성공적으로 실행할 수 있기 때문이다. 이것은 EAP-SIM 프로토콜이 소정의 트리플렛 세트에 대하여 각각의 RAND 챌린지(및 그로 인한, K_c 키)가 고유하도록 요구하지 않기 때문이다. 따라서, 의인자는 인증되지 않은 세션을 설정할 수 있게 되고, 그로 인해 단일의 64비트 키의 값을 우선 정확하게 추측함으로써 이동국과 모든 대화를 실행하고, 그런 다음 이동국 자체를 인증하기 위하여 그 키의 다수 카피들을 이용한다.

본 발명은 전술된 하나 또는 그 이상의 문제점의 영향을 극복하거나, 또는 적어도 줄이는 것에 관한 것이다.

본 발명의 일 실시예에서, 통신 시스템에서 인증을 실행하는 방법이 제공된다. 이 방법은, 제1 및 제2 랜덤 챌린지(random challenge)를 포함하는 인증을 위한 요청을 서버로부터 수신하는 단계와, 상기 제1 및 상기 제2 랜덤 챌린지를 비교하는 단계를 포함한다. 또한, 상기 방법은, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 실질적으로 동일하다는 결정에 응답하여 상기 인증을 위한 요청을 거절하는 단계와, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 상이하다는 결정에 응답하여 상기 서버에 인코딩된 값을 전송하는 단계를 더 포함하며, 상기 인코딩된 값은 상기 제1 및 제2 랜덤 챌린지와 상기 서버와 공유되지 않는 키에 기초하여 생성된다.

본 발명의 일 실시예에서, 통신 시스템에서 인증을 실행하는 장치가 제공된다. 상기 장치는, 제1 및 제2 랜덤 챌린지를 포함하는 인증을 위한 요청을 수신하는 수신기를 포함한다. 상기 장치는, 상기 수신기에 통신 가능하게 결합되는 제어 유닛을 포함한다. 그 제어 유닛은 상기 제1 및 제2 랜덤 챌린지를 비교하고, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 실질적으로 동일하다는 결정에 응답하여 상기 인증을 위한 요청을 거절한다. 상기 제어 유닛은 또한 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 상이하다는 결정에 응답하여 상기 서버에 인코딩된 값을 전송하며, 그 인코딩된 값은 상기 제1 및 제2 랜덤 챌린지와 상기 서버와 공유되지 않는 키에 기초하여 생성된다.

본 발명의 일 실시예에서, 인증을 실행하기 위한 시스템이 제공된다. 상기 시스템은, 다수의 챌린지들 및 상기 서버에 액세스할 수 없는 키에 기초하여 생성되는 다수의 관련 값들에 액세스하는 서버를 포함하며, 상기 서버는 적어도 제1 및 제2 챌린지를 포함하는 인증을 위한 요청을 상기 다수의 챌린지들로부터 전송한다. 상기 시스템은 상기 제1 및 제2 랜덤 챌린지를 비교하고, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 실질적으로 동일하다는 결정에 응답하여 상기 인증을 위한 요청을 거절하는 장치를 포함한다. 상기 장치는, 상기 제1 랜덤 챌린지가 상기 제2 랜덤 챌린지와 상이하다는 결정에 응답하여 상기 서버에 인코딩된 값을 전송하며, 상기 인코딩된 값은 상기 제1 및 제2 랜덤 챌린지들과 상기 비밀 키와 관련된 값들 중 적어도 일부에 기초한다.

본 발명의 일 실시예에서, 통신 시스템에서 인증을 실행하는 방법이 제공된다. 상기 방법은, 액세스 단말에 전송하기 위해 하나 또는 그 이상의 챌린지들을 결정하고, 그 하나 또는 그 이상의 챌린지들에 대한 메시지 인증 코드 값을 결정하는 단계를 포함한다. 상기 적어도 하나 또는 그 이상의 챌린지들에 대한 상기 메시지 인증 코드 값을 결정하는 단계는, 상기 하나 또는 그 이상의 챌린지들의 각각에 관련된 암호 키를 결정하고, 상기 하나 또는 그 이상의 챌린지들의 각각에 관련된 서명 응답을 결정하고, 상기 메시지 인증 코드를 결정하기 위하여 상기 암호 키들 및 상기 서명 응답들 중 하나 또는 그 이상에 기초하여 마스터 키를 결정하는 단계를 포함한다. 상기 적어도 하나 또는 그 이상의 챌린지들에 대한 상기 메시지 인증 코드 값을 결정하는 단계는, 상기 하나 또는 그 이상의 챌린지들 및 상기 메시지 인증 코드를 상기 액세스 단말에 전송하는 단계를 더 포함한다.

본 발명은 전술되는 하나 또는 그 이상의 문제점의 영향을 극복하거나, 또는 적어도 줄일 수 있다.

도 1은 본 발명의 일 실시예에 따른 통신 시스템에 관한 블록도.
도 2는 본 발명의 일 실시예에 따른 액세스 단말의 블록도.
도 3은 본 발명의 일 실시예에 따른 도 1의 통신 시스템에서 실행되는 인증 절차에 관한 예시적인 메시지 흐름도.
도 4는 본 발명의 일 실시예에 따른 도 1의 통신 시스템에서 사용될 수 있는 방법에 관한 흐름도.

본 발명은 첨부 도면과 결합하여 취해지는 이하의 설명을 참조하면 이해될 수 있으며, 첨부 도면에서 동일 도면 번호들은 동일 구성요소들을 나타낸다.

본 발명이 다양한 변형 들 및 대안의 형태를 수용하지만, 그의 특정 실시예는 도면의 예에 의해 도시되며 본원에 상세히 기술된다. 그러나, 특정 실시예들의 본원 기재가 본 발명을 개시된 특정 형태들에 제안하도록 의도하지 않지만, 대조적으로 본 발명이 첨부된 청구항에 정의된 본 발명의 정신 및 범위 내에 있는 모든 변형들, 등가물들 및 대안들을 커버하는 것을 이해하여야 한다.

이하에서, 본 발명의 실례가 되는 실시예들이 기술된다. 명료히 하기 위하여, 실제 실행의 모든 특징들을 본 명세서에서 기술되지는 못한다 물론, 임의 이러한 실제 실시예의 전개에서, 수많은 특정 실행 결정들은 개발자의 특정 목적들, 예를 들면 관련 시스템에 있어서의 컴플라이언스 및 관련 사업 제한들을 달성하도록 행해져야 하며, 한 실행에서 다른 실행으로 변경하게 된다. 또한, 이러한 전개 노력은 복잡하고 시간 소비가 있을 수 있지만, 그럼에도 불구하고 이 발표의 이익을 갖는 당업자가 착수하는 정해진 일임이 명백하다.

도면으로 돌아가, 보다 명확하게 말하면 도 1을 참조하면, 통신 시스템(100)은 본 발명의 일 실시예에 따라 기술된다. 기술된 목적을 위하여, 도 1의 통신 시스템(100)에서의 인증은 EAP-SIM 프로토콜에 따라 실행되고는 있지만, 다른 인증 프로토콜들이 본 발명의 사상 및 범위를 벗어나지 않고 다른 실시예에서 사용될 수도 있음을 이해하게 된다. EAP-SIM 프로토콜의 인터넷 드래프트(2003, 2)는 인터넷 엔지니어링 태스크 포스에 의해 유용하게 행해져 왔으며, http;//www.watersprings.org/pub/id/draft-haverinen-pppext-eap-sim-10.txt에서 이용할 수 있다.

도 1의 통신 시스템(100)은 하나 또는 그 이상의 기지국들(BTS)(130)을 통해서 하나 또는 그 이상의 액세스 단말들(120)이 인터넷과 같은 데이터 네트워크(129)와 통신할 수 있게 하는 이동 서비스 교환 센터(110)를 포함한다. 도 1의 이동 서비스 교환 센터(110)는 통상적으로 반복, 통신들, 런타임, 및 시스템 관리 서비스들을 제공한다. 이동 서비스 교환 센터(110)는 또한 호출 처리 함수들, 예를 들면 호출 경로 설정 및 종료를 처리하기도 한다. 액세스 단말(120)은 다양한 장치들 중 하나를 포함하며, 다양한 장치에는 셀룰러 폰들, 개인 디지털 보조 장치(PDA), 휴대용 퍼스널 컴퓨터, 디지털 페이저들, 무선 카드들, 및 데이터 네트워크(129)에 액세스할 수 있는 임의 다른 장치가 있다.

액세스 단말(120)의 예시적인 블록도는 본 발명의 일 실시예에 따라 도 2에 도시되고 있다. 기술되는 실시예에서 그렇게 한정되고 않지 않지만, 액세스 단말(120)은 GSM 셀룰러 전화 핸드세트이다. 액세스 단말(120)은 가입자 동일성 모듈(SIM)(121)을 포함하며, 이 모듈은 제어 유닛(122) 및 저장 유닛(123)을 포함한다. 도시되는 실시예에서, SIM(121)은 이하에서 보다 상세하게 기술되는 방법으로 인증 절차를 실행하는 인증 모듈(125)을 포함한다. 인증 모듈(125)은, 소프트웨어에서 실행되는 되는 경우, 제어 유닛(122)에 의해 실행 가능하고 저장 유닛(123)에 저장 가능하다. 도 2에 도시되지 않았지만, SIM(121)은 국제 이동 가입자 동일성(IMSI), 개별 가입자 인증 키(K_i), 암호 키 생성 알고리즘(A8), 및 주변 식별 번호(PIN)를 포함한다. 기술되는 실시예에서의 액세스 단말(120)은 송신/수신 로직(126), 및 무선 링크 상으로 데이터를 송신 및 수신하는 안테나(127)를 포함한다.

도 1에 관하여, 통신 시스템(100)은, 인증, 허가 및 계정(AAA) 서버(140)에 결합되는 이동 서비스 교환 센터(110)를 포함한다. 기술되는 실시예에서, AAA 서버(140)는 EAP 서버(145)를 포함하고 있지만, 다른 실시예들에서 EAP 서버(145)는 독립형 장치에서 실행될 수도 있다. EAP 서버(145)는 GSM 네트워크(150)와 인터페이스로 접속하여 데이터 네트워크(129)와 GSM 네트워크(150)간의 게이트웨이로서 동작한다. GSM 네트워크(150)는 이동 서비스 교환 센터(110)에 하나 또는 그 이상의 트리플렛을 제공하는 홈 로케이션 레지스터(HLR)(155)를 포함하며, 여기서 각각의 트리플렛은 랜덤(RAND) 챌린지(예를 들면, 랜덤 번호), 서명 응답(SRES), 및 암호 키(K_D)를 포함한다. 일 실시예에서, RAND는 128 비트 번호이고, 개별 가입자 인증 키(K_i)(최대 128비트 길이일 수 있음)에 사용되어, 각각 64 비트 및 32 비트 길이인 암호 키(K_D) 및 SRES 값을 생성한다.

이후에 보다 상세하게 기술되는 바와 같이, 본 발명에 관한 하나 또는 그 이상의 실시예들에 따라, 액세스 단말(120)과 EAP 서버(145)간의 상호 인증을 실행하기 위해 개선된 구성이 제공된다. 본 발명의 일 실시예에 따라, 통신 시스템(100)에서 실행되는 상호 인증 절차는 기존의 프로토콜들 중 일부 프로토콜 하에서 이용할 수 있는 것보다 많은 보안을 제공한다.

도 1에 도시되는 데이터 네트워크(129)는 인터넷 프로토콜(IP)에 따른 데이터 네트워크와 같은 패킷-교환 데이터 네트워크일 수 있다. IP의 한 버전은 1981년 9월, "인터넷 프로토콜"이라는 타이틀이 붙여진 의견들에 대한 요청(Request for Comments:RFC)791에서 기술된다. IP의 다른 버전들, 예를 들면 IPv6, 다른 커넥션리스(connectionless), 패킷-교환 스탠다드들은 또한 다른 실시예들에서 사용될 수 있다. IPv6의 버전은, 1998년 10월, "인터넷 프로토콜, 버전 6(IPv6) 설명서" 라는 타이틀이 붙여진 RFC 2460에서 기술된다. 데이터 네트워크(129)는 또한 다른 실시예에서 다른 형태의 패킷-기초 데이터 네트워크들을 포함할 수 있다. 이런 다른 패킷-기초 데이터 네트워크들의 일례들로는 비동기 전송 모드(ATM), 프레임 릴레이 네트워크들 등이 있다.

본원에서 이용되는 바와 같이, "데이터 네트워크"는 하나 또는 그 이상의 통신 네트워크들, 채널들, 링크들, 또는 경로들, 및 이러한 네트워크들 상의 데이터를 루팅하는데 사용되는 시스템들, 즉 장치들(예, 루터)을 말한다.

도 1의 통신 시스템(100)의 구성은 본래 예시적인 것이며, 보다 적은 또는 추가 구성 소자들이 통신 시스템(100)에 관한 다른 실시예들에 사용될 수 있음을 이해하게 된다. 예를 들면, GSM 네트워크(150)는 또한 인증 센터(AuC)(152)에 의해 생성되는 트리플렛 세트들을 저장하는 방문자 로케이션 레지스터(도시되지 않음)를 포함할 수 있다. 또다른 예로, 일 실시예에서, 시스템(100)은 동작, 승인, 유지, 및 공급 함수들을 제공하는 네트워크 관리 시스템(도시되지 않음)을 포함할 수 있다. 부가적으로, 이동 서비스 교환 센터(110) 및 AAA 서버(140)가 별도 구성요소들로 도시되고 있지만, 다른 실시예에서 이러한 구성요소들의 기능은 단일의 구성요소에 의해 실행될 수 있다.

구체적으로 다르게 언급되지 않거나, 또는 논의에서 명백하지 않으면, 용어들, 예를 들면 "처리" 또는 "연산" 또는 "계산" 또는 "결정" 또는 "디스플레이" 등은, 컴퓨터 시스템, 또는 컴퓨터 시스템의 레지스터들 및 메모리들 또는 다른 이러한 정보 저장, 전송 또는 디스플레이 장치들 내에서 물리적, 전자 수량으로 표현되는 데이터를 다루고 또 그것을 물리적 수량들로 동일하게 표현되는 다른 데이터로 변환하는 동일한 전자 연산 장치의 동작 및 처리들로 언급된다.

도 3에 관하여, 도 1의 통신 시스템(100)에 사용되는 인증 절차에 관한 일 실시예가 기술된다. 인증 절차는 액세스 단말(120)에 동일성 요청(205에서)를 제공하는 EAP 서버(145)부터 시작된다. 액세스 단말(120)은 액세스 단말(120)을 고유하게 식별하는 식별자에 응답한다(210에서). 예를 들면, 액세스 단말(120)은 국제 이동 가입자 동일성(IMSI) 또는 일시적 동일성(필명)를 포함하는 식별자를 제공한다.

액세스 단말(120)에 의해 제공되는 응답(210에서)에 따르면, 액세스 단말은 EAP 서버(145)로부터 시작 요청(215에서)를 수신한다. 액세스 단말(120)은 그 수신된 시작 요청에 응답한다(220에서). 시작 요청 및 시작 응답이 있어도, 액세스 단말(120)은 양측에 의해 서포팅되는 프로토콜의 버전을 협상한다. 특히, EAP 서버(145)에 의해 제공되는(215에서) 시작 요청은 EAP 서버(145)에 의해 서포팅되는 버전 리스트를 나타내는 버전_리스트 속성을 포함하고, 액세스 단말(120)에 의해 제공되는(220에서) 시작 응답은 액세스 단말(120)에 의해 선택되는 버전 번호를 포함하는 버전 속성을 포함한다. 그 시작 응답(220에서)에서, 액세스 단말(120)은 또한 초기 챌린지, RAND를 EAP 서버(145)에 전송한다.

액세스 단말(120)로부터 시작 응답(220에서)을 수신한 경우, EAP 서버(145)는 GSM 네트워크(150)의 인증 센터(AuC)(152)로부터 하나 또는 그 이상의 GSM 트리플렛을 얻는다. 어떤 경우에는, GSM 트리플렛들은 가능한 미래 사용 예상 시에 EAP 서버(145)에 의해 사전 추출될 수 있다. EAP-SIM 프로토콜은 인증을 실행하기 위해 최대 3개 트리플렛들 사용을 서포트한다. 초기에 전술된 바와 같이, 각 트리플렛은 랜덤(RAND) 챌린지, 서명 응답(SRES), 및 암호 키(K_c)를 포함하며, SRES 및 K_c는 RAND 값 및 K_c 키에 기초하여 계산된다. EAP 서버(145)는 상이한 트리플렛의 RAND 챌린지들이 상이해야 함을 명기하고 있지 않다.

다음, EAP 서버(145)는 액세스 단말(120)에 챌린지 요청을 제공한다(225에서). 챌린지 요청은 RAND 챌린지들 중 하나 또는 그 이상의 챌린지들과 관련되는 하나 또는 그 이상의 RAND 챌린지 및 메시지 코드, MAC_k 를 포함한다. MAC 값들을 계산하기 위한 알고리즘은 당업자에게 이미 공지되어 있다. MAC 값들을 계산하는 한 예시적인 알고리즘은, 참조 문헌 1997년 2월, RFC 2104, H. Krawczyk, M. Bellar, R. Canetti에 의한, " HMAC: Keyed-Hashing for Message Authentication"에 기술되어 있다.

도 3에 도시되는 인증 절차에서, MAC_k는 적어도 수신되는 트리플렛 및 RAND_c( 액세스 단말(120)에 의해 미리 전송됨)로부터 RAND 값들에 기초하여 계산된다. 예를 들면, EAP 서버(145)가 2개의 RAND 챌린지들(R1, R2)을 전송한다고 가정한 경우, MAC_k는 적어도 R1, R2 및 RAND_C에 기초하여 계산된다. EAP-SIM 프로토콜은 인증 키, k가 MAC 값 계산 이전에 요구됨을 명기한다. 인증 키, k를 계산하기 위하여, 마스터 키(MK)가 우선 계산될 필요가 있다. MK는 이하의 등식을 이용하여 계산될 수 있다.

여기서, SHA는 보안 해시 알고리즘을 나타내고, 암호 키들은 GSM 트리플렛들 중 일부이며, RAND_c는 액세스 단말(120)에 의해 제공되는 초기 챌린지이다. 보안 해시 알고리즘의 한 예는, 1995년 4월 17일자, 스탠다드 및 테크놀로지의 내쇼널 인스터튜에 의해 공개된 "보안 해시 스탠다드" 제목하의 연방 정보 처리 스탠다드(FIPS) 출판물 180-1에 기술되어 있다.

MAC 값 및 마스터 키가 또한 다른 형태들의 정보(예, 버전 번호, 동일성, 등)에 기초하여 계산될 수 있음이 명백해진다; 그러나, 전술된 목적들 및 본 발명의 기술된 실시예를 불필요하게 모호하게 하는 것을 피하기 위하여, 이러한 상세들은 본원에서 기술되지 않는다.

마스터 키(MK)는, 상기 등식(1)을 이용하여 계산되는 경우, 전술된 바와 같이 MAC 값을 계산하는데 요구되는 인증 키,k를 생성하도록 의사-랜덤 번호 함수(PRF)에 제공된다. 사용되는 예시적인 의사-랜덤 번호 함수는 참조 문헌, 1997년 2월, RFC 2104, H. Krawczyk, M. Bellar, R. Canetti에 의한, " HMAC: Keyed-Hashing for Message Authentication"에 기술된다.

인증 키, k가 계산된 경우, EAP 서버(145)는, 액세스 단말(120)에 전송되는 적어도 RAND 챌린지들(즉, 수신된 GSM 트리플렛들로부터의 RAND 및 RAND 번호들)에 기초하여 MAC 값을 결정한다. 하나 또는 그 이상의 GSM 트리플렛의 RAND 챌린지들에 따라 계산된 MAC 값은, 액세스 단말(120)에 전송된다(225에서).

액세스 단말(120)의 인증 모듈(125)(도 2 참조)은 세션이 이동 서비스 교환 센터(110)(도 1참조)에 있어서 확립될 수 있는지를 결정하여, 수신된 RAND 챌린지들 및 MAC 값에 기초하여 데이터 네트워크(129)에 액세스한다. 세션은 액세스 단말(120)이 EAP 서버(145)를 인증할 수 있는 경우 확립될 수 있다. 후술되는 바와 같이, 본 발명의 일 실시예에 따라, 액세스 단말(120)은 수신된 MAC 값이 유효하다는 결정 시에 그리고 수신된 RAND 챌린지들 중 2개가 전혀 동일하지 않다(또는 실질적으로 동일하지 않다)은 결정 시에 세션을 확립한다.

액세스 단말(120)은, EAP 서버(145)에 의해 전송되는 RAND 챌린지들의 MAC 값을 독립적으로 계산하고, 그 계산된 MAC 값을 수신된 MAC 값과 비교함으로써 수신된 MAC 값의 유효성을 검증한다. 초기 키, k가 액세스 단말(120)에 이용가능하기 때문에, 액세스 단말(120)은 EAP 서버(145)에 의해 계산되는 것과 동일한 방법으로 MAC 값을 계산할 수 있다. EAP-SIM 프로토콜 하에서, 액세스 단말(120)은 수신된 MAC 값이 유효하다는 결정에 기초하여 EAP 서버(145)를 인증할 수 있다. 그러나, 수신된 MAC 값의 유효성에 기초한 인증은 한정된 보안을 제공한다. 왜냐하면, 비도덕적인 당사자가 64-비트 K_c 키의 값을 정확하게 추측함으로써 액세스 단말(120)에 세션을 확립할 수도 있기 때문이다. 즉, K_c의 정확한 값을 추측함으로써, 의인자는 마스터 키(MK)를 계산하여 MAC 값을 결정하는데 사용될 수 있는 인증 키,k를 도출한다. 의인자는 MAC 값을 액세스 단말(120)에 전송하여 자체적으로 인증하고, 그 후 인증되지 않은 액세스 단말(120)과의 모든 대화를 실행하게 된다. 또한, EAP-SIM 프로토콜에 의해 허용되는 다수의 GSM 트리플렛들의 다수 RAND 챌린지들을 전송함으로써, 전혀 RAND 챌린지들의 각각이 고유하다고 하는 제한이 없기 때문에 인증 절차를 보다 보안적으로 행하지 않게 된다. 따라서, 의인자는 소정의 RAND 챌린지의 값 K_c를 정확하게 추측할 수 있고, K_c의 다수 카피들에 기초하여 마스터 키를 계산한 후 그 마스터 키에 기초하여 유효한 MAC 값을 계산할 수 있다.

인증되지 않은 액세스의 가능성을 줄이기 위하여, 2개의 실시예가 본원에서 기술된다. 제1 실시예는, 본 발명의 일 실시예에 따라 도 3의 블록(227)의 흐름도를 도시하는 도 4에 도시된다. 전술된 목적들을 위하여, 본원에서 EAP 서버(145)가 다수의 RAND 챌린지들과, 인증 목적용 RAND 챌린지들의 MAC 값을 전송한다고 가정한다. 도 4에 관하여, 인증 모듈(125)(도 2 참조)은 수신된 RAND 챌린지들 중 임의 2개가 동일한지를 결정한다(405에서). 2개 RAND 챌린지들이 전혀 동일하지 않은 경우(또는 RAND 챌린지 모두가 고유한 경우, 다른 방법을 입력), 인증 모듈(125)은 EAP 서버(145)로부터 수신된 MAC 값이 유효한지를 결정한다(410에서). 전술된 바와 같이, 액세스 단말(120)은, EAP 서버(145)에 의해 전송되는 RAND 챌린지들 자체의 MAC 값을 독립적으로 계산하고 그 계산된 MAC 값을 수신된 MAC 값과 함으로써 수신된 MAC 값의 유효성을 결정할 수 있다(410에서). MAC 값이 일치하지 않는 경우, 액세스 단말(120)은 EAP 서버(145)로부터 수신된(도 3의 도면 부호 225 참조) 챌린지 요청을 무시한다(412에서). 유효한 MAC 값이 소정 시간 내에 수신되지 않는 경우, 인증 실패로 어떠한 접속도 확립되지 않는다.

인증 모듈(125)이 수신된 MAC 값이 유효하다고 결정한 경우(410에서), 인증 모듈(125)은 수신된 RAND 챌린지들에 기초하여 SRES 값을 계산하고(415에서), SRES 값의 MAC 값을 결정한다. 다른 실시예에서, 인증 모듈(125)은 다른 정보, 예를 들면 암호 키들, RAND 챌린지들 등에 기초하여 MAC 값을 결정한다. 그런 다음, MAC 값은 챌린지에 대한 응답 패킷(도 3의 도면 부호 230 참조)으로 EAP 서버(145)에 전송된다. EAP 서버(145)는, MAC 값을 액세스 단말(120)로부터 수신한 경우, MAC 값의 유효성을 검증하고, MAC 값이 유효한 것으로 결정된 경우에는 성공 신호(도 3의 도면 부호 235 참조)를 액세스 단말(120)에 전송한다. 성공 신호 수신 시에, 인증 모듈(125)은 세션이 액세스 단말(120)과 이동 서비스 교환 센터(110, 도 1 참조) 사이에서 확립되는 것을 허용한다.

인증 모듈(125)이 EAP 서버(145)로부터 수신되는 MAC 값들 중 적어도 2개가 동일하다고 결정한 경우(405에서), 인증 모듈(125)은 세션이 액세스 단말(120)에 있어서 확립되기 전에 EAP 서버(145)로 하여금 고유한 유효 RAND 챌린지들을 전송하도록 요구한다. 비도덕적인 당사자가 액세스 단말(120)과의 접속을 확립하기 위하여 적어도 2개의 상이한 값들(예를 들면, K_c, 키들)을 정확하게 추측할 때, RAND 챌린지들의 각각이 고유하도록 요구함으로써 인증 절차를 보다 보안적으로 행하게 된다.

EAP 서버(145)로부터의 MAC 값들이 고유하지 않다라고(405에서) 결정된 경우, 인증 모듈(125)은 EAP로 하여금 몇 가지 방법들 중 한 방법으로 새로운 RAND 챌린지들을 전송하게 한다. 일 실시예에서, 인증 모듈(125)은 EAP 서버(145)로부터의 챌린지 요청(도 3의 도면 부호 225 참조)를 무시한다. 미리 선택된 시간 만료 시에, EAP 서버(145)는 그들 MAC 값에 따라 새로운 RAND 챌린지들을 전송한다. 다른 실시예에서, 인증 모듈(125)은 EAP 서버(145)로부터의 챌린지 요청을 거절하며(430에서), 이것에 의해 EAP 서버(145)로 하여금 그들 MAC 값뿐만 아니라 새로운 RAND 챌린지들을 전송하도록 요구한다. 또다른 실시예에서, 인증 모듈(125)은 액세스 단말(120)에 있어서 확립되도록 접속을 허용하고, 그 후 접속을 종료하며, 따라서 EAP 서버(145)로 하여금 새로운 RAND들 및 관련 MAC 값을 전송하도록 요구한다.

따라서, 본 발명의 하나 또는 그 이상의 실시예들에 따라서, 인증 절차는 액세스 단말이 수신된 RAND 챌린지들의 각각이 서로 상이하도록 요구하는 경우 보다 보안적이다. 이러한 방법은 제안된 EAP-SIM 프로토콜에 대한 실질적이거나, 또는 임의 변경들을 요구하지 않고도 EAP-SIM 프로토콜의 환경 내에서 사용될 수 있다. 도 3의 인증 절차를 보안하는 단계에 관한 또다른 실시예는 서명 응답(SRES)이 마스터 키(MK) 계산의 일부가 되도록 요구하는 단계를 포함한다. 따라서, 상기 등식 (1)은 이하 등식 (2)와 같이 재 기록될 수 있다.

SRES 값(들)을 포함하도록 마스터 키들을 정의함으로써, 인증을 보다 보안적으로 행하게 된다. 왜냐하면, 비도덕적인 당사자가 K_c의 정확한 값뿐만 아니라 SRES 값(들)을 추측해야 하기 때문이다. 등식(2)에서 EAP 서버(145)가 3개의 GSM 트리플렛들을 사용하는 것으로 가정되지만, 이 등식은 단일의 트리플렛 또는 임의 다른 개수의 트리플렛들의 용도에 따라서 기꺼이 변경될 수 있다. MK를 계산하는 등식(2)을 사용함으로써, K_c의 값뿐만 아니라 SRES 값을 상대자가 정확하게 추측해야 하기 때문에 단지 1개 트리플렛(및 그에 따라 1개 RAND 챌린지)만이 사용되는 경우에도 인증 절차를 보다 보안 있게 행하게 된다. MK 계산을 변경하는 상기 또다른 실시예에서, EAP-SIM 프로토콜이 마스터 키를 계산하는 알고리즘을 정의하는 한 EAP-SIM 프로토콜에 대한 변경이 요구된다.

일 실시예에서, 등식(2)는 도 3 및 도 4에 기술되는 인증 절차에 관한 등식 (1) 대신에 사용될 수 있다. 즉, 일 실시예에서, 인증 절차는 마스터 키 계산에 SRES 값(들)이 포함되도록 요구하는 단계(등식 (2)에 도시되는 바와 같이)를 포함하며, 또 다수의 GSM 트리플렛들이 사용되는 일례에서 EAP 서버(145)로 하여금 고유 RAND 챌린지들을 전송하도록 요구하는 단계를 포함한다.

도 3이 상호 인증 절차를 도시하고 있지만, 본 발명의 전술된 실시예들 중 하나 또는 그 이상의 실시예들은 또한 일면적인 인증 절차에도 적용 가능함이 인식된다. 일면적인 인증 절차에서, EAP 서버(145)는, 예를 들면 하나 또는 그 이상의 RAND 챌린지들을 액세스 단말(120)에 전송함으로써 액세스 단말(120)을 인증하며, 여기서 액세스 단말(120)은 수신된 RAND 챌린지들에 응답한다.

전술된 목적을 위하여, 본 발명의 하나 또는 그 이상의 실시예들은 무선 통신 시스템의 환경에서 기술된다. 그러나, 다른 실시예에서 본 발명은 또한 유선 네트워크에서 실행될 수도 있음이 인식된다. 또한, 본 발명은 음성-전용 통신들 또는 음성 및 데이터 통신들을 서포팅하는 시스템에도 적용 가능하다.

당업자라면 본원의 다양한 실시예에서 기술되는 다양한 시스템 레이어들, 루틴들, 또는 모듈들이 실행 가능한 제어 유닛(예를 들면 제어 유닛(122)(도 2 참조))임을 이해할 수 있을 것이다. 제어 유닛(122)은 마이크로프로세서, 마이크로콘트롤러, 디지털 신호 프로세서, 프로세서 카드(하나 또는 그 이상의 마이크로프로세서들 또는 콘트롤러들을 포함), 또는 다른 제어 즉 연산 장치들을 포함한다. 상기 논의에서 언급되는 저장 장치들은 데이터 및 인스트럭션들을 저장하기 위한 하나 또는 그 이상의 머신-판독 가능 저장 매체를 포함한다. 저장 매체에는 상이한 형태의 메모리를 포함하며, 이러한 메모리에는, 동적 또는 정적 랜덤 액세스 메모리들(DRAMs 또는 SRAMs), 소거 및 프로그램 가능한 판독 전용 메모리들(EPROMs), 전기적으로 소거 및 프로그램 가능한 판독 전용 메모리들(EEPROMs) 및 플래시 메모리들이 있으며, 예로는 자기 디스크들, 예를 들면 고정, 플로피, 착탈 가능 디스크들; 테이프를 포함한 다른 자기 매체; 콤팩트 디스크들(CDs) 또는 디지털 비디오 디스크들(DVDs)과 같은 광학 매체가 있다. 다양한 시스템들에서 다양한 소프트웨어 레이어들, 루틴들, 또는 모듈을 구성하는 인스트럭션들은 각각의 저장 장치들에 저장될 수 있다. 각각의 제어 유닛(220)에 의해 실행되는 인스트럭션들에 의해 대응 시스템은 프로그래밍된 동작들을 실행한다.

본 발명이 변경되고, 상이하지만 본원에서 교시하는 이점을 갖는 당업자에게 있어 분명한 대응 방법으로 실행될 때, 전술되는 특정 실시예들은 예시적인 것일 뿐이다. 또한, 이하의 청구 범위에서 기술되는 것 이외에, 도시되는 본원의 구성 또는 설계에 관한 상세들에 어떠한 제한도 의도되지 않는다. 따라서, 전술되는 특정 실시예들은 변경 또는 수정될 수 있고, 이러한 모든 변경들은 발명의 범위 및 사상 내에서 생각될 수 있음이 명백해진다. 따라서, 본원에서 추구되는 보호는 이하의 청구 범위에서 설명되는 바이다.

*도면의 주요 부분에 관한 부호 설명*
110 : 이동 서비스 교환 센터(MSC)
129 : 데이터 네트워크
140 : AAA 서버
145 : EAP 서버
150 : GSM 네트워크

Claims

서버에서, 액세스 단말에 전송하는 하나 또는 그 이상의 챌린지들을 결정하는 단계와;
상기 서버에서, 상기 하나 또는 그 이상의 챌린지들에 대하여 메시지 인증 코드 값을 결정하는 단계를 포함하는 방법에 있어서:
상기 하나 또는 그 이상의 챌린지들 각각과 관련된 암호 키를 결정하는 단계;
상기 하나 또는 그 이상의 챌린지들 각각과 관련된 서명 응답(signed response)을 결정하는 단계;
상기 메시지 인증 코드를 결정하기 위해 상기 암호 키들의 하나 또는 그 이상 및 상기 서명 응답들에 기초하여 마스터 키를 결정하는 단계; 및
상기 하나 또는 그 이상의 챌린지들 및 상기 메시지 인증 코드를 상기 서버로부터 상기 액세스 단말에 전송하는 단계를 포함하는 방법.
제1항에 있어서,
상기 서버에서, 상기 메시지 인증 코드를 결정하기 위해 상기 마스터 키를 의사-랜덤 번호에 제공하는 단계를 더 포함하는, 방법.
제2항에 있어서,
상기 서버에서, 상기 전송된 하나 또는 그 이상의 챌린지들 및 상기 메시지 인증 코드를 수신하고, 상기 메시지 인증 코드가 유효한지를 결정하는 단계를 더 포함하는, 방법.
하나 또는 그 이상의 장치들에서, 액세스 단말에 전송하는 하나 또는 그 이상의 챌린지들을 결정하는 단계와;
상기 하나 또는 그 이상의 장치들에서, 상기 하나 또는 그 이상의 챌린지들에 대하여 메시지 인증 코드를 결정하는 단계를 포함하는 방법에 있어서:
상기 하나 또는 그 이상의 챌린지들 각각과 관련된 하나 또는 그 이상의 암호 키들을 결정하는 단계;
상기 하나 또는 그 이상의 챌린지들 각각과 관련된 하나 또는 그 이상의 서명 응답들을 결정하는 단계;
상기 메시지 인증 코드를 결정하기 위해 상기 암호 키들의 적어도 하나 및 상기 서명 응답들의 적어도 하나에 기초하여 마스터 키를 결정하는 단계;
상기 하나 또는 그 이상의 챌린지들 및 상기 메시지 인증 코드를 상기 하나 또는 그 이상의 장치들로부터 상기 액세스 단말에 전송하는 단계;
상기 하나 또는 이상의 장치들에서, 상기 메시지 인증 코드를 결정하기 위해 상기 마스터 키를 의사-랜덤 번호에 제공하는 단계;
상기 액세스 단말에서, 상기 전송된 하나 또는 그 이상의 챌린지들 및 상기 메시지 인증 코드를 수신하고, 상기 메시지 인증 코드가 유효한지를 결정하는 단계; 및
상기 액세스 단말에서, 상기 하나 또는 그 이상의 챌린지들 각각과 관련된 서명 응답을 결정하고, 상기 하나 또는 그 이상의 서명 응답들의 메세지 인증 코드를 결정하고, 상기 하나 또는 그 이상의 서명 응답들의 메시지 인증 코드를 서버에 전송하는 단계를 포함하는 방법.