KR101329150B1 - Pana 인증 방법 및 장치 - Google Patents

Pana 인증 방법 및 장치 Download PDF

Info

Publication number
KR101329150B1
KR101329150B1 KR1020070026580A KR20070026580A KR101329150B1 KR 101329150 B1 KR101329150 B1 KR 101329150B1 KR 1020070026580 A KR1020070026580 A KR 1020070026580A KR 20070026580 A KR20070026580 A KR 20070026580A KR 101329150 B1 KR101329150 B1 KR 101329150B1
Authority
KR
South Korea
Prior art keywords
pana
session
authentication
update request
request packet
Prior art date
Application number
KR1020070026580A
Other languages
English (en)
Other versions
KR20080053160A (ko
Inventor
에민 예긴 알퍼
이병준
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to US11/855,174 priority Critical patent/US8132007B2/en
Priority to PCT/KR2007/005542 priority patent/WO2008069461A1/en
Priority to EP07833850.6A priority patent/EP2095563A4/en
Publication of KR20080053160A publication Critical patent/KR20080053160A/ko
Application granted granted Critical
Publication of KR101329150B1 publication Critical patent/KR101329150B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 PANA 인증 에이전트와 제1 PANA 세션 및 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 설정하고, 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 상기 PAA로 송신하는 PANA 클라이언트, 및 상기 PANA 클라이언트로부터 수신한 PANA 갱신 요구 패킷에 응답하여, 상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PaC와 연관된 것으로 판단하는 PANA 인증 에이전트를 포함하는 PANA 인증 시스템을 제공한다.
PANA(Protocol for Carrying Authentication for Network Access), PANA 클라이언트(PaC), PANA 인증 에이전트(PANA authentication agent)

Description

PANA 인증 방법 및 장치{PANA Authentication Method and System}
도 1은 종래기술에 따른 WiMAX 환경에서 장치 및 사용자 인증을 설명하기 위한 도면이다.
도 2는 본 발명에 따른 PANA 인증 방법을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 PANA 갱신 요구 패킷(PANA Update Request packet)을 도시한 도면이다.
도 4는 본 발명을 WiMAX 환경에 적용하여 장치 및 사용자 인증을 수행하는 방법을 설명하기 위한 도면이다.
본 발명은 네트워크 환경에서의 인증(authentication)에 관한 것으로, 보다 상세하게는 IP 기반 네트워크 환경에서의 인증에 관한 것이다. 상기 IP 환경은 IPv4 환경 및 IPv6 환경을 포함한다.
PANA(Protocol for carrying Authentication for Network Access)는 IETF에 의하여 네트워크 접속을 위해 개발된 인증 기술이다. PANA에 관하여는 RFC 4016, RFC 4058 등에 기재되어 있다. PANA는 네트워크 레이어(network layer)에서 인증 을 수행하는 프로토콜이다. PANA는 IP 기반 환경(IP based environment)에서 링크 프로토콜(link protocol)에 상관 없이 인증을 수행할 수 있도록 설계되었으며, 멀티 접속이나 점대점 접속(multi-point access or point-to-point access) 모두에 적용될 수 있다.
도 1은 종래기술에 따른 WiMAX 환경에서 장치 및 사용자 인증을 설명하기 위한 도면이다.
WiBro, WiMAX 등 몇몇 네트워크 기술은 장치 인증(device authentication) 및 사용자 인증(user authentication)이 분리되어(separately) 수행되는 것을 요구한다. 도 1에 도시된 바와 같이, 이동국(MS: Mobile Station)(110)은 기지국(BS: Base Station)(120)을 통하여 ASN GW(Access Service Network Gateway)(130)와 장치 인증(105) 및 사용자 인증(125)을 수행한다. 이때, PKMv2(Privacy and Key Management v2)가 사용될 수 있다. 이동국(110)을 장치 인증 하기 위해, ASN GW(130)는 다시 ASN(Access Service Network)에 있는 AAA 서버(Authentication, Authorization, and Account server)(140)와 RADIUS를 이용하여 통신한다(115). AAA 서버(140)에 의하여 인증이 성공하면, ASN GW(130)는 사용자 인증을 수행한다. 이동국(110)의 사용자를 인증하기 위해, ASN GW(130)는 다시 홈 CSN(home Connectivity Service Network)에 있는 AAA 서버(150)와 RADIUS를 이용하여 통신한다(135). AAA 서버(150)에 의하여 인증이 성공하면, 이동국(110)은 완전한 IP 접근이 허용된다(145).
이와 같이, WiMAX 환경에서 장치 인증 및 사용자 인증은 순차적으로 수행되 므로, 이동국(110)이 완전한 IP 접근 권한을 얻기까지의 초기 설정 시간(establishment time)이 오래 소요된다.
또 다른 예로, NAP 인증(Network Access Provider authentication) 및 ISP 인증(Internet Service Provider authentication)이 분리되어 수행되는 경우가 있다. 이 경우에도 NAP 인증이 종료된 후 ISP 인증을 수행하므로, 전체 인증 시간이 오래 소요된다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로, 순차적으로 수행되는 2개 이상의 인증 세션을 병렬적으로 수행할 수 있도록 하여 전체 인증 시간을 단축하는 방법 및 장치를 제공하는 것을 목적으로 한다.
또한 본 발명은 상기와 같이 2개 이상의 인증 세션이 병렬적으로 수행되기 때문에, 이렇게 병렬적으로 수행된 상기 2개 이상의 인증 세션을 결합(binding)하는 방법 및 장치를 제공하는 것을 목적으로 한다.
또한 본 발명은 2개 이상의 PANA 세션을 상관(correlating)시키거나 바인딩(binding)하는 방법 및 장치를 제공하는 것을 목적으로 한다.
본 발명의 일측에 따르는 PANA 인증 시스템(PANA authentication system)은 PANA 인증 에이전트(PAA: PANA Authentication Agent)와 제1 PANA 세션 및 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 설정하고, 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 상기 PAA로 송신하는 PANA 클라이언트(PaC: PANA client); 및 상기 PANA 클라이언트로부터 수신한 PANA 갱신 요구 패킷에 응답하여, 상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PaC와 연관(associate)된 것으로 판단하는 PANA 인증 에이전트를 포함한다.
본 발명의 또 다른 일측에 따르는 PANA 인증 방법은, PaC에서 제1 PANA 세션을 PAA와 설정하는 단계, 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 상기 PAA와 설정하는 단계, 및 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 상기 PAA로 송신하는 단계를 포함한다. 상기 제2 PANA 세션은 상기 제1 PANA 세션의 종료 전에 설정되어 상기 제1 PANA 세션 및 상기 제2 PANA 세션은 병렬적으로 진행된다.
본 발명의 또 다른 일측에 따르면, 상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자를 포함한다. 상기 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진 AVP 코드를 포함하는 AVP(Attribute Value Pairs)를 포함한다. 상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성되는 메시지 인증 코드를 상기 PANA 갱신 요구 패킷의 MAC AVP의 MAC 필드에 포함한다.
본 발명의 또 다른 일측에 따르는 PANA 인증 방법은, PAA에서 PaC와 제1 PANA 세션을 설정하는 단계, 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 상기 PaC와 설정하는 단계, 및 상기 PaC로부터 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 수신하는 단계, 및 상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PaC와 연관된 것으로 판단하는 단계를 포함한다.
본 발명의 또 다른 일측에 따르면, 상기 PANA 인증 방법은, 상기 제1 인증 및 상기 제2 인증이 성공하였는지 판단하는 단계, 상기 메시지 인증 코드를 참조하여 상기 PANA 갱신 요구 패킷을 인증하는 단계, 및 상기 PaC에게 PANA 갱신 응답 패킷(PANA Update Acknowledgement packet)을 송신하는 단계를 더 포함한다.
이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명하지만, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 2는 본 발명에 따른 PANA 인증 방법을 설명하기 위한 도면이다.
PANA 클라이언트(PaC: PANA client)(210)는 랩탑(laptop), PDA 등 접속 장치(access device)에 위치하는(reside) 모듈이다. 본 발명에 따른 PANA 클라이언트(210)는 컴퓨터 프로그램 및/또는 접속 장치에 포함되는 하드웨어 장치에 의하여 구현될 수 있다. PANA 클라이언트(210)는 인증을 증명하기 위해 크리덴셜(credential)을 제공한다(it is responsible for providing the credentials in order to prove authentication). PANA 인증 에이전트(PAA: PANA Authentication Agent)(220)는 PANA 클라이언트(210)에 의하여 제공된 상기 크리덴셜(credential)을 검사(verify)하고, 상기 접속 장치를 인가(authorize)한다.
단계(215)에서 PaC(210)와 PAA(220)의 사이에 제1 PANA 세션(PANA session)이 설정(establish)된다. PANA 세션은 PaC(210) 및 PAA(220) 간의 핸드쉐이크(handshake)로 시작하고, 인증(authentication)의 결과에 따라 종료한다. 하나의 PANA 세션 중에 PaC(210) 및 PAA(220)는 복수 회 데이터를 주고 받을 수 있다. 단계(225)에서 PaC(210)와 PAA(220)의 사이에 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션이 설정된다.
상기 제1 PANA 세션은 제1 인증을 위한 세션이고, 상기 제2 PANA 세션은 제2 인증을 위한 세션일 수 있다. 예를 들어, 상기 제1 PANA 세션은 NAP 인증(NAP authentication)을 위한 세션이고, 상기 제2 PANA 세션은 ISP 인증(ISP authentication)을 위한 세션일 수 있다. 또는, 상기 제1 PANA 세션은 장치 인증(device authentication)을 위한 세션이고, 상기 제2 PANA 세션은 사용자 인증(user authentication)을 위한 세션일 수 있다. 본 발명이 WiMAX 환경에 적용되는 경우, 상기 제1 PANA 세션은 장치 인증(device authentication)을 위한 세션이고, 상기 제2 PANA 세션은 사용자 인증(user authentication)을 위한 세션이다.
종래에는 제1 PANA 세션이 종료된 후에 제2 PANA 세션이 시작 되었으나, 본 발명에서 제2 PANA 세션은 제1 PANA 세션의 종료 전에 시작된다. 본 발명에서는 제1 PANA 세션과 제2 PANA 세션이 병렬적으로 수행됨으로써, 전체 인증 시간이 단축된다. 본 발명에서 제1 세션 및 제2 세션은 독립적으로 설정(establish)된다. 각 PANA 세션은 자신의 세션 식별자(session identifier)를 생성한다.
단계(235)에서 PaC(210)는 제1 PANA 세션 및 제2 PANA 세션의 바인딩을 요구 하는 PANA 갱신 요구 패킷(PUR: PANA Update Request packet)을 PAA(220)로 송신한다. 상기 PANA 갱신 요구 패킷에는 바인딩될 세션들이 지정된다. 또한, 상기 세션들의 소유(possession)를 증명할 정보가 포함된다. 상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자를 포함한다. 상기 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진(predetermined) AVP 코드(AVP code)를 포함하는 AVP(Attribute Value Pairs)를 포함한다. 상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성되는 메시지 인증 코드(MAC: Message Authentication Code)를 상기 PANA 갱신 요구 패킷의 MAC AVP에 포함한다. PANA 갱신 요구 패킷(PANA Update Request packet)은 도 3을 참조하여 뒤에서 보다 상세히 설명한다.
PaC(210)로부터 PANA 갱신 요구 패킷(PANA Update Request packet)을 수신한 PAA(220)는, 단계(245)에서, 상기 PANA 갱신 요구 패킷에 응답하여, 상기 제1 PANA 세션과 연관된 제1 인증 및 상기 제2 PANA 세션과 연관된 제2 인증이 성공하였는지 판단한다. 예를 들어, 상기 제1 PANA 세션은 NAP 인증(NAP authentication)을 위한 세션이고, 상기 제2 PANA 세션은 ISP 인증(ISP authentication)을 위한 세션일 수 있다. 이 경우, PAA(220)는 NAP 인증 및 ISP 인증이 모두 성공하였는지 판단한다. 또는 상기 제1 PANA 세션은 장치 인증(device authentication)을 위한 세션이고, 상기 제2 PANA 세션은 사용자 인증(user authentication)을 위한 세션일 수 있다. 이 경우, PAA(220)는 장치 인증 및 사용자 인증이 모두 성공하였는지 판단한 다. 만약 제1 인증 또는 제2 인증이 실패한 경우, PAA(220)는 PaC(210)에게 적당한 정보(appropriate information)를 송신한다.
단계(245)에서 상기 제1 인증 및 상기 제2 인증이 모두 성공하였으면, PAA(220)는 PANA 갱신 요구 패킷에 포함된 메시지 인증 코드(MAC: Message Authentication Code)를 참조하여 상기 PANA 갱신 요구 패킷(PUR)을 인증한다(단계 255). 상기 메시지 인증 코드는 제1 PANA 세션의 세션 식별자 및 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성되어 PaC(210)에 의하여 PANA 갱신 요구 패킷에 포함된다. 예를 들어, 메시지 인증 코드는 다음 식 1에 의하여 생성될 수 있다.
[식1]
MAC = PANA_MAC_PRF(제1 PANA 세션의 세션 식별자 | 제2 PANA 세션의 세션 식별자, PANA_PDU)
먼저 제1 PANA 세션의 세션 식별자 및 제2 PANA 세션의 세션 식별자가 어펜드(appended to each other)된다. 그 다음 결합된 키(combined key)는 PANA_PDU(PANA 갱신 요구 패킷의 페이로드(payload))를 해시(hash)하는데 사용된다. 즉, 메시지 인증 코드(MAC: Message Authentication Code)는 PANA 갱신 요구 패킷의 페이로드(payload)를 제1 PANA 세션의 세션 식별자 및 제2 PANA 세션의 세션 식별자가 결합된 키로 해시하여 생성될 수 있다. 이 경우, PAA(220)는 PaC(210)와 동일한 해시 함수를 사용하여 PANA 갱신 요구 패킷(PUR)을 인증할 수 있다. 해시 함수는 다양한 해시 함수 중에서 선택될 수 있다.
PAA(220)는 PaC(210)의 PANA 갱신 요구 패킷에 의하여 서로 독립된 2개의 세션을 연관시키는데, 이를 위해서는 PaC(210)가 상기 세션들을 소유하고 있음이 증명되어야 한다. PAA(220)는 메시지 인증 코드를 이용하여 이를 확인(verify)한다.
단계(255)에서 PAA(220)는 상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PaC와 연관(associate)된 것으로 판단한다. 이 경우, PAA(220)는 제1 PANA 세션과 연관된 제1 인증 및 제2 PANA 세션과 연관된 제2 인증을 상관(correlate)시킨다. 그리고, 상기 연관과 관련하여 추가 작업이 필요한 경우, PAA(220)는 추가 작업을 수행한다. PAA(220)는 적당한 인가 결정을 한다(make appropriate authorization decision). 이렇게 되면, 상기 2개의 세션은 논리적으로 결합(bind)된다. 그러나, 상기 2개의 세션이 논리적으로 결합되더라도, 상기 2개의 세션은 여전히 독립적으로 관리(manage)된다. 예를 들어, 상기 2개의 세션은 서로 독립적으로 종료될 수 있다.
단계(275)에서 PAA(220)는 PaC(210)에서 PANA 갱신 응답 패킷(PUA: PANA Update Acknowledgement packet)을 송신한다.
이상의 실시예에서는 2개의 PANA 세션을 바인딩하는 경우를 설명하였지만, 본 발명은 3개 이상의 PANA 세션들에 대해서도 동일한 방법으로 적용된다. 이 경우, 메시지 인증 코드(MAC: Message Authentication Code)는 3개 이상의 PANA 세션들의 세션 식별자들을 이용하여 생성될 수 있다.
도 3은 본 발명에 따른 PANA 갱신 요구 패킷(PANA Update Request packet)을 도시한 도면이다.
PANA 갱신 요구 패킷은 크게 PANA 헤더(PANA header)(310), 세션 ID AVP(session ID AVP)(320), 세션 바인드 AVP(session bind AVP)(330), 및 MAC AVP(340)로 구성된다.
도 3에 도시된 바와 같이, 본 발명에 따른 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진 AVP 코드를 포함하는 AVP(Attribute Value Pairs)(330)를 포함한다. 본 발명에서는 상기 AVP(330)를 세션 바인드 AVP(330)로 부른다. 세션 바인드 AVP(330)는 필드(331)에 세션 바인딩에 대하여 미리 정해진 AVP 코드(AVP code)를 포함한다. 따라서, PAA는 필드(331)의 AVP 코드를 참조하여 해당 AVP가 본 발명에 따른 세션 바인드 AVP인지를 판단한다. AVP 플래그(332)는 2 옥테트(octet)인데, PANA의 AVP 정의에 따른다. AVP 길이(AVP length)(333)는 2 옥테트로, 세션 바인드 AVP(330)의 길이를 옥테트 단위로 지시(indicate)한다. 예약 필드(334)는 미래 사용(future use)을 위한 것이다.
필드(335)는 바인딩될 세션의 세션 식별자를 포함한다. 바인딩될 세션이 2개인 경우, 제1 PANA 세션의 세션 식별자는 필드(321)에 저장되고, 제2 PANA 세션의 세션 식별자는 필드(335)에 저장된다. 만약 바인딩되는 세션의 수가 3개 이상인 경우, 필드(335)는 2번째 이후의 모든 세션들에 대한 세션 식별자를 저장한다. 예를 들어, 바인딩될 세션이 3개인 경우, 제1 PANA 세션의 세션 식별자는 필드(321)에 저장되고, 제2 PANA 세션의 세션 식별자 및 제3 PANA 세션의 세션 식별자는 필드(335)에 저장된다. 즉, 본 실시예에서는 바인딩에 의하여 추가되는 세션 식별자들에 대해 추가로 필드(335)만 할당된다. 추가로 바인딩할 PANA 세션이 있는 경우, 상기 추가로 바인딩할 PANA 세션의 세션 식별자는 상기 세션 바인드 AVP(330)에 포함되는 것이다. 이 경우 PANA 갱신 요구 패킷은 하나의 세션 바인드 AVP를 포함한다. 본 발명의 또 다른 실시예에서는 추가되는 세션 식별자들에 대해 추가로 세션 바인드 AVP가 할당될 수도 있다. 이 경우 2개 이상의 세션 바인드 AVP가 PANA 갱신 요구 패킷에 포함된다.
MAC AVP(340)의 MAC 필드(341)는 메시지 인증 코드(MAC: message authentication code)를 포함한다. 상기 메시지 인증 코드는 바인딩될 세션들의 세션 식별자들의 조합에 의하여 PaC에 의하여 생성된 것이다. 결합될 세션이 제1 PANA 세션 및 제2 PANA 세션인 경우, 상기 메시지 인증 코드는 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성된다.
PANA 헤더(310), 세션 ID AVP(320), 및 MAC AVP(340)의 필드들 중 필드(321) 및 필드(341)를 제외한 나머지 필드들은 종래 기술에서와 동일하므로, 설명을 생략한다.
도 4는 본 발명을 WiMAX 환경에 적용하여 장치 및 사용자 인증을 수행하는 방법을 설명하기 위한 도면이다.
본 발명에 따른 PaC가 이동국(410)에서 수행되고, 본 발명에 따른 PAA가 ASN GW(430)에서 수행(run)된다. WiMAX 환경에서는 장치 인증(device authentication) 및 사용자 인증(user authentication)의 2개의 분리된 인증(separate authentication)이 있다. 장치 인증은 ASN GW(430)를 관리하는 ASP(Access Service Provider)에 의하여 수행될 수 있다. 그리고, 사용자 인증은 사용자의 홈 ISP인 NSP(Network Service Provider)에 의하여 수행될 수 있다.
이동국(MS: Mobile Station)(410)은 기지국(BS: Base Station)(420)을 통하여 ASN GW(Access Service Network Gateway)(430)와 장치 인증(405)을 수행한다. 이동국(410)과 ASN GW(430) 간의 통신은 PANA가 이용된다. 이동국(410)을 장치 인증 하기 위해, ASN GW(430)는 다시 ASN(Access Service Network)에 있는 AAA 서버(Authentication, Authorization, and Account server)(440)와 RADIUS를 이용하여 통신한다(415). 이렇게 장치 인증은 이동국(410)과 ASN GW(430) 간에 일어난다(take place).
사용자 인증을 위한 AAA 서버(450)는 NSP 망에 위치한다. 이동국(MS: Mobile Station)(410)은 기지국(BS: Base Station)(420)을 통하여 ASN GW(Access Service Network Gateway)(430)와 장치 인증(425)을 수행한다. 이동국(410)과 ASN GW(430) 간의 통신은 PANA가 이용된다. 이동국(410)의 사용자를 인증하기 위해, ASN GW(430)는 다시 홈 CSN(home Connectivity Service Network)에 있는 AAA 서버(450)와 RADIUS를 이용하여 통신한다(435). 이렇게 사용자 인증도 이동국(410)과 ASN GW(430) 간에 일어난다.
본 발명을 이용하면 장치 인증(405) 및 사용자 인증(425)은 병렬적으로 수행될 수 있다.
장치 인증(405) 및 사용자 인증(425)이 모두 성공하면, ASN GW(430)는 상기 장치 인증(405) 및 사용자 인증(425)의 결과를 알게 된다. ASN GW(430) 및 MS(410)는 PUR(445) 및 PUA(455)를 교환한다. ASN GW(430)는 장치 인증(405) 및 사용자 인증(425)의 결과를 결합한 후, MS(410)에게 완전한 IP 접근을 허락한다. 상기 2개의 세션은 논리적으로 결합(bind)된다. 그러나, 상기 2개의 세션이 논리적으로 결합되더라도, 상기 2개의 세션은 여전히 독립적으로 관리(manage)된다. 예를 들어, 상기 2개의 세션은 서로 독립적으로 종료될 수 있다.
본 발명은 장치 인증 및 사용자 인증을 병렬적으로 수행하는 구성 외에도 NAP 인증(NAP authentication)을 위한 세션 및 ISP 인증(ISP authentication)을 위한 세션을 병렬적으로 수행하는 등 복수 개의 세션을 병렬적으로 수행하는 데에 적용될 수 있다.
상기에서 설명한 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니 라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
본 발명에 따르면, 2개 이상의 인증 세션을 병렬적으로 수행할 수 있는 방법이 제공된다. 본 발명에 따르면, 2개 이상의 인증 세션을 병렬적으로 수행함으로써, 전체 인증 시간이 단축되고 성능이 향상된다. 특히, 바인딩되는 인증 세션의 수가 증가할수록 본 발명에 의한 성능 향상은 더욱 증대된다.
본 발명에 따르면, PANA 프로토콜을 사용하면서도 2개 이상의 독립적인 세션들을 연관시키는 방법이 제공된다. 본 발명에 따르면, 상기 연관된 2개 이상의 세션들은 여전히 독립적으로 수행될 수 있다. 예를 들어, 연관된 이후에도 상기 세션들은 독립적으로 종료될 수 있다.
본 발명에 따르면, NAP 인증 및 ISP 인증을 병렬적으로 수행할 수 있는 방법이 제공된다. 본 발명에 따르면, NAP 인증 및 ISP 인증을 병렬적으로 수행함으로써, 전체 인증 시간을 단축하고 성능을 향상시킨다.
본 발명에 따르면, WiMAX 및/또는 WiBro 환경에서 장치 인증 및 사용자 인증을 병렬적으로 수행할 수 있는 방법이 제공된다. 본 발명에 따르면, 장치 인증 및 사용자 인증을 병렬적으로 수행함으로써, 전체 인증 시간을 단축하고 성능을 향상시킨다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims (27)

  1. PANA 인증 에이전트와 제1 PANA 세션 및 상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 설정하고, 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 상기 PANA 인증 에이전트로 송신하는 PANA 클라이언트; 및
    상기 PANA 클라이언트로부터 수신한 PANA 갱신 요구 패킷에 응답하여, 상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PANA 클라이언트와 연관된 것으로 판단하는 PANA 인증 에이전트
    를 포함하는 것을 특징으로 하는 PANA 인증 시스템.
  2. 제1항에 있어서,
    상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 시스템.
  3. 제2항에 있어서,
    상기 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진 AVP 코드를 포함하는 AVP(Attribute Value Pairs)를 포함하는 것을 특징으로 하는 PANA 인증 시스템.
  4. 제3항에 있어서,
    상기 AVP는 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 시스템.
  5. 제1 PANA 세션을 PANA 인증 에이전트와 설정하는 단계;
    상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 상기 PANA 인증 에이전트와 설정하는 단계; 및
    상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 상기 PANA 인증 에이전트로 송신하는 단계
    를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  6. 제5항에 있어서,
    상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  7. 제6항에 있어서,
    상기 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진 AVP 코드를 포함하는 AVP(Attribute Value Pairs)를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  8. 제7항에 있어서,
    상기 AVP는 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  9. 제8항에 있어서,
    추가로 바인딩할 PANA 세션이 있는 경우, 상기 추가로 바인딩할 PANA 세션의 세션 식별자는 상기 AVP에 포함되는 것을 특징으로 하는 PANA 인증 방법.
  10. 제6항에 있어서,
    상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성되는 메시지 인증 코드를 상기 PANA 갱신 요구 패킷의 MAC AVP에 포함하는 것을 특징으로 하는 PANA 인증 방법.
  11. 제10항에 있어서,
    상기 메시지 인증 코드는 상기 PANA 갱신 요구 패킷의 MAC AVP의 MAC 필드에 저장되는 것을 특징으로 하는 PANA 인증 방법.
  12. 제5항에 있어서,
    상기 제1 PANA 세션의 종료 전에 상기 제2 PANA 세션이 시작되는 것을 특징으로 하는 PANA 인증 방법.
  13. 제5항에 있어서,
    상기 제1 PANA 세션은 NAP 인증(NAP authentication)을 위한 세션이고, 상기 제2 PANA 세션은 ISP 인증(ISP authentication)을 위한 세션인 것을 특징으로 하는 PANA 인증 방법.
  14. 제5항에 있어서,
    상기 제1 PANA 세션은 장치 인증(device authentication)을 위한 세션이고, 상기 제2 PANA 세션은 사용자 인증(user authentication)을 위한 세션인 것을 특징으로 하는 PANA 인증 방법.
  15. PANA 클라이언트와 제1 PANA 세션을 설정하는 단계;
    상기 제1 PANA 세션과 독립적으로 제2 PANA 세션을 상기 PANA 클라이언트와 설정하는 단계; 및
    상기 PANA 클라이언트로부터 상기 제1 PANA 세션 및 상기 제2 PANA 세션의 바인딩을 요구하는 PANA 갱신 요구 패킷(PANA Update Request packet)을 수신하는 단계; 및
    상기 제1 PANA 세션 및 상기 제2 PANA 세션이 동일한 PANA 클라이언트와 연관된 것으로 판단하는 단계
    를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  16. 제15항에 있어서,
    상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  17. 제16항에 있어서,
    상기 제1 PANA 세션은 제1 인증을 위한 세션이고, 상기 제2 PANA 세션은 제2 인증을 위한 세션인 것을 특징으로 하는 PANA 인증 방법.
  18. 제17항에 있어서,
    상기 제1 PANA 세션은 NAP 인증(NAP authentication)을 위한 세션이고, 상기 제2 PANA 세션은 ISP 인증(ISP authentication)을 위한 세션인 것을 특징으로 하는 PANA 인증 방법.
  19. 제17항에 있어서,
    상기 제1 PANA 세션은 장치 인증(device authentication)을 위한 세션이고, 상기 제2 PANA 세션은 사용자 인증(user authentication)을 위한 세션인 것을 특징으로 하는 PANA 인증 방법.
  20. 제17항에 있어서,
    상기 제1 인증 및 상기 제2 인증이 성공하였는지 판단하는 단계
    를 더 포함하는 것을 특징으로 하는 PANA 인증 방법.
  21. 제20항에 있어서,
    상기 PANA 갱신 요구 패킷은 상기 제1 PANA 세션의 세션 식별자 및 상기 제2 PANA 세션의 세션 식별자의 조합에 의하여 생성되는 메시지 인증 코드를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  22. 제21항에 있어서,
    상기 메시지 인증 코드를 참조하여 상기 PANA 갱신 요구 패킷을 인증하는 단계
    를 더 포함하는 것을 특징으로 하는 PANA 인증 방법.
  23. 제22항에 있어서,
    상기 PANA 클라이언트에게 PANA 갱신 응답 패킷(PANA Update Acknowledgement packet)을 송신하는 단계
    를 더 포함하는 것을 특징으로 하는 PANA 인증 방법.
  24. 제15항에 있어서,
    상기 PANA 갱신 요구 패킷은 세션 바인딩에 대하여 미리 정해진 AVP 코드를 포함하는 AVP(Attribute Value Pairs)를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  25. 제24항에 있어서,
    상기 AVP는 상기 제2 PANA 세션의 세션 식별자를 포함하는 것을 특징으로 하는 PANA 인증 방법.
  26. 제15항에 있어서,
    상기 제1 PANA 세션의 종료 전에 상기 제2 PANA 세션이 시작되는 것을 특징으로 하는 PANA 인증 방법.
  27. 제5항 내지 제11항 중 어느 하나의 방법을 실행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체.
KR1020070026580A 2006-12-08 2007-03-19 Pana 인증 방법 및 장치 KR101329150B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US11/855,174 US8132007B2 (en) 2006-12-08 2007-09-14 PANA authentication method and system
PCT/KR2007/005542 WO2008069461A1 (en) 2006-12-08 2007-11-05 Pana authentication method and system
EP07833850.6A EP2095563A4 (en) 2006-12-08 2007-11-05 PANA AUTHENTICATION METHOD AND SYSTEM

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US86913306P 2006-12-08 2006-12-08
US60/869,133 2006-12-08

Publications (2)

Publication Number Publication Date
KR20080053160A KR20080053160A (ko) 2008-06-12
KR101329150B1 true KR101329150B1 (ko) 2013-11-14

Family

ID=39807624

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070026580A KR101329150B1 (ko) 2006-12-08 2007-03-19 Pana 인증 방법 및 장치

Country Status (4)

Country Link
US (1) US8132007B2 (ko)
EP (1) EP2095563A4 (ko)
KR (1) KR101329150B1 (ko)
WO (1) WO2008069461A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7831996B2 (en) * 2005-12-28 2010-11-09 Foundry Networks, Llc Authentication techniques
CN103975333B (zh) * 2011-12-01 2016-10-12 国际商业机器公司 跨系统安全登录
KR102117018B1 (ko) 2019-12-06 2020-05-29 김규형 내솥 광택용 자동 가공장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040098588A1 (en) 2002-11-19 2004-05-20 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
US20050165953A1 (en) 2004-01-22 2005-07-28 Yoshihiro Oba Serving network selection and multihoming using IP access network
WO2006010526A1 (en) 2004-07-30 2006-02-02 Telefonaktiebolaget Lm Ericsson (Publ) A method and device for providing correlation means in hybrid telecommunication networks
JP2006279339A (ja) 2005-03-28 2006-10-12 Keio Gijuku モバイルノードの認証方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5319710A (en) * 1986-08-22 1994-06-07 Tandem Computers Incorporated Method and means for combining and managing personal verification and message authentication encrytions for network transmission
US6084969A (en) * 1997-12-31 2000-07-04 V-One Corporation Key encryption system and method, pager unit, and pager proxy for a two-way alphanumeric pager network
CN100418327C (zh) * 2001-01-18 2008-09-10 株式会社Ntt都科摩 移动代理及其控制方法
GB0103416D0 (en) * 2001-02-12 2001-03-28 Nokia Networks Oy Message authentication
US7339908B2 (en) * 2001-07-31 2008-03-04 Arraycomm, Llc. System and related methods to facilitate delivery of enhanced data services in a mobile wireless communications environment
US20030123394A1 (en) * 2001-11-13 2003-07-03 Ems Technologies, Inc. Flow control between performance enhancing proxies over variable bandwidth split links
AU2002366663A1 (en) * 2001-12-10 2003-06-23 Beamtrust A/S A method of distributing a public key
AU2003276588A1 (en) * 2002-11-18 2004-06-15 Nokia Corporation Faster authentication with parallel message processing
US7437559B2 (en) * 2003-11-19 2008-10-14 Hewlett-Packard Development Company, L.P. Electronic message authentication
US20060002557A1 (en) * 2004-07-01 2006-01-05 Lila Madour Domain name system (DNS) IP address distribution in a telecommunications network using the protocol for carrying authentication for network access (PANA)
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
US7694141B2 (en) * 2005-07-26 2010-04-06 Microsoft Corporation Extended authenticated key exchange with key confirmation
US8006089B2 (en) * 2006-02-07 2011-08-23 Toshiba America Research, Inc. Multiple PANA sessions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040098588A1 (en) 2002-11-19 2004-05-20 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
US20050165953A1 (en) 2004-01-22 2005-07-28 Yoshihiro Oba Serving network selection and multihoming using IP access network
WO2006010526A1 (en) 2004-07-30 2006-02-02 Telefonaktiebolaget Lm Ericsson (Publ) A method and device for providing correlation means in hybrid telecommunication networks
JP2006279339A (ja) 2005-03-28 2006-10-12 Keio Gijuku モバイルノードの認証方法

Also Published As

Publication number Publication date
KR20080053160A (ko) 2008-06-12
WO2008069461A1 (en) 2008-06-12
US20080141344A1 (en) 2008-06-12
EP2095563A1 (en) 2009-09-02
US8132007B2 (en) 2012-03-06
EP2095563A4 (en) 2016-11-16

Similar Documents

Publication Publication Date Title
JP4801147B2 (ja) 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム
JP5166524B2 (ja) 証明書処理のための方法および装置
US7983418B2 (en) AAA support for DHCP
US7882346B2 (en) Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US9686669B2 (en) Method of configuring a mobile node
JP4965671B2 (ja) 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布
US8000704B2 (en) Fast network attachment
KR20060067263A (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
WO2009062415A1 (en) An authentication method for request message and the apparatus thereof
WO2006003631A1 (en) Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana)
WO2013013481A1 (zh) 接入认证方法、设备、服务器及系统
WO2013040957A1 (zh) 单点登录的方法、系统和信息处理方法、系统
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
KR101329150B1 (ko) Pana 인증 방법 및 장치
WO2008006309A1 (fr) Procédé appareil de détermination du type de service d'une demande de clé
KR101025083B1 (ko) 확장가능 인증 프로토콜에서의 인증함수 식별 방법
TWI448128B (zh) 用於雙堆疊操作互通授權的方法及裝置
WO2009086769A1 (zh) 一种网络服务的协商方法和系统
Hartman et al. Channel-Binding Support for Extensible Authentication Protocol (EAP) Methods
WO2023249519A1 (en) Providing an authentication token for authentication of a user device for a third-party application using an authentication server.
Hoeper Channel Binding Support for EAP Methods draft-ietf-emu-chbind-16. txt
Hoeper Internet Engineering Task Force (IETF) S. Hartman, Ed. Request for Comments: 6677 Painless Security Category: Standards Track T. Clancy

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee