KR101338487B1 - I-wlan에서 인증 서버 및 그의 접속 인증 방법 - Google Patents

I-wlan에서 인증 서버 및 그의 접속 인증 방법 Download PDF

Info

Publication number
KR101338487B1
KR101338487B1 KR1020100131415A KR20100131415A KR101338487B1 KR 101338487 B1 KR101338487 B1 KR 101338487B1 KR 1020100131415 A KR1020100131415 A KR 1020100131415A KR 20100131415 A KR20100131415 A KR 20100131415A KR 101338487 B1 KR101338487 B1 KR 101338487B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
identification information
message
eap
Prior art date
Application number
KR1020100131415A
Other languages
English (en)
Other versions
KR20120070027A (ko
Inventor
진성일
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020100131415A priority Critical patent/KR101338487B1/ko
Publication of KR20120070027A publication Critical patent/KR20120070027A/ko
Application granted granted Critical
Publication of KR101338487B1 publication Critical patent/KR101338487B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

I-WLAN에서 인증 서버는 가입자 식별 모듈(User Subscriber Identity Module, USIM)을 가진 단말이 망 접속 정보 서버로부터 획득한 가입자 식별 정보를 게이트웨이를 통해서 수신하여 EAP-TLS 기반 상호 인증을 수행한다.

Description

I-WLAN에서 인증 서버 및 그의 접속 인증 방법{AUTHENTICATION AUTHORIZATION/ACCOUNTIG SERVER AND METHOD FOR AUTHENTICATING ACCESS THEREOF IN INTERWORKING-WIRELESS LOCAL AREA NETWORK}
본 발명은 I-WLAN에서 인증 서버 및 그의 접속 인증 방법에 관한 것으로, USIM(User Subscriber Identity Module)을 가진 단말이 USIM에서 정보를 획득할 수 없는 단말에 대한 접속 인증 방법에 관한 것이다.
최근 이동성을 제공하는 3G 이동통신시스템과 저렴하고 빠른 무선 인터넷을 제공하는 무선 랜(Wireless LAN, WLAN)간의 연동에 의한 무선 인터넷이 상용화되고 있다.
I-WLAN(Interworking WLAN)은 WLAN 접속된 사용자들에게도 3GPP 이동통신시스템의 서비스 및 기능을 제공하기 위한 연동 기술을 말한다. 이러한 I-WLAN에서는 USIM(User Subscriber Identity Module)에서 가져온 가입자 정보를 이용하는 EAP(Extensible Authentication Protocol)-AKA(Authentication and Key Agreement) 기반의 상호 인증을 수행한다. 따라서, USIM을 가지고 있으나 USIM에서 가입자 정보를 가져올 수 없는 일명 아이폰(iphone) 또는 아이패드(ipad)와 같은 3G 단말의 경우 I-WLAN에 접속할 수가 없다.
본 발명이 해결하고자 하는 기술적 과제는 USIM에서 가입자 정보를 가져올 수 없는 3G 단말이 I-WLAN에 접속을 가능하게 하는 I-WLAN에서 인증 서버 및 그의 접속 인증 방법을 제공하는 것이다.
본 발명의 실시 예에 따르면, 인증 서버에서 I-WLAN(Interworking-Wireless Local Area Network)에 접속한 단말의 인증 방법이 제공된다. 이 접속 인증 방법은, 망 접속 정보 서버로부터 획득한 가입자 식별 정보를 상기 단말로부터 수신하는 단계, 그리고 상기 단말의 가입자 식별 정보를 이용하여 확장 인증 프로토콜-전송 계층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 기반의 상호 인증을 수행하는 단계를 포함한다.
본 발명의 다른 실시 예에 따르면, I-WLAN(Interworking-Wireless Local Area Network)에 접속한 단말을 인증하는 인증 서버가 제공된다. 인증 서버는 메시지 처리부, 정보 관리부, 인증부를 포함한다. 메시지 처리부는 패킷 데이터 게이트웨이로부터 상기 단말이 망 접속 정보 서버로부터 획득한 가입자 식별 정보를 포함한 제1 인증 요청 메시지를 수신하여 상기 단말의 가입자 식별 정보를 추출한다. 정보 관리부는 상기 가입자 식별 정보를 관리한다. 인증부는 상기 가입자 식별 정보를 이용하여 확장 인증 프로토콜-전송 계층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 기반의 상호 인증을 수행한다.
본 발명의 실시 예에 의하면, 과제는 USIM에서 가입자 정보를 가져올 수 없는 3G 단말도 I-WLAN에 접속할 수 있다.
도 1은 본 발명의 실시 예에 따른 I-WLAN 구조를 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른 I-WLAN에서의 호 접속 인증 방법을 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 AAA 서버를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 AAA 서버에서 수행하는 호 접속 인증 방법을 나타낸 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
본 명세서에서 단말(terminal)은 이동국(Mobile Station, MS), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등을 지칭할 수도 있고, 단말, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치, 접근 단말 등의 전부 또는 일부의 기능을 포함할 수도 있다.
본 명세서에서 기지국(base station, BS)은, 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 고도화 노드B(evolved NodeB, eNodeB), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, eNodeB, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.
이제 본 발명의 실시 예에 따른 I-WLAN에서의 게이트웨이 및 그의 호 추적 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시 예에 따른 I-WLAN 구조를 설명하기 위한 도면이다.
도 1을 참조하면, I-WLAN은 근거리 무선 접속 네트워크 예를 들면, WLAN(200)과 3GPP 이동통신망(300)을 연동하여 WLAN(200)에 접속한 단말(100)에게 3GPP 이동통신망(300)의 서비스 및 기능을 제공한다.
단말(100)은 WLAN(200)와 3GPP 이동통신망(300)에 접속이 가능한 단말로, WLAN(200)에 접속하여 3GPP 이동통신망(300)을 통해 인터넷과 같은 외부 네트워크에 접속할 수 있으며, 이 경우에 3GPP 이동통신망(300)은 단말(100)의 인증 및 권한 검증을 수행하며, 단말(100)로 데이터를 전달한다.
본 발명의 실시 예에 따른 단말(100)은 가입자 식별 모듈(User Subscriber Identity Module, USIM)을 포함하고 있으나, USIM에서 가입자 정보를 읽어올 수 없는 단말 일명, 아이폰(iphone) 및 아이패드(ipad)와 같은 단말일 수 있다. 아래에서는 설명의 편의상 단말(100)이 USIM에서 가입자 정보를 읽어올 수 없는 단말인 것으로 가정하고 설명한다.
WLAN(200)은 하나의 이상의 기지국 즉, WLAN AP(210)를 포함한다. WLAN AP(210)는 단말(100)과의 통신을 지원하며, 단말(210)로 WLAN 서비스를 제공한다.
3GPP 이동통신망(300)은 패킷 데이터 게이트웨이(Packet Data Gateway, 이하 "PDG"라 함)(310) 및 AAA(Authentication Authorization/Accounting) 서버(320)를 포함한다.
PDG(310)는 3GPP 이동통신망(300)와 특정 서비스를 위한 외부 네트워크간의 게이트웨이 노드로서, 데이터 전달 및 IP 주소 관리 등의 기능을 수행한다. 또한, 본 발명의 실시 예에 따르면, PDG(310)는 단말(100) 및 인증 서버(310)에서 발생하는 모든 호에 대한 모니터닝 및 추적 기능을 수행한다.
AAA 서버(320)는 I-WLAN에 접속한 단말(100)에 대한 인증 및 권한 검증을 수행한다. AAA 서버(320)는 인증 센터(Auth Center)(도시하지 않음)에 접근하여 인증 벡터를 획득한다. AAA 서버(320)는 USIM에서 가입자 정보를 읽어올 수 없는 단말(100)에 대해 확장 인증 프로토콜-전송 계층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 인증을 수행한다. EAP-TLS는 USIM 없이 상호 인증을 가능하게 한다.
도 2는 본 발명의 실시 예에 따른 I-WLAN에서의 호 접속 인증 방법을 나타낸 도면이다.
도 2는 USIM에서 가입자 식별 정보를 가져올 수 없는 단말(100)에 대한 호 접속 인증 방법으로, 도 2를 참조하면, 단말(100)은 3GPP 서비스 사용을 목적으로 WLAN(200)에 접속할 수 있다.
WLAN(200)은 접속한 단말(100)을 인증하고 단말(100)의 로컬 IP 주소를 할당하여 단말(100)로 전송한다. 단말(100)은 DNS 서버(도시하지 않음)에 접속하여 3GPP 이동통신망(300)의 PDG(310)의 주소를 획득할 수 있다.
단말(100)은 USIM에서 가입자 식별 정보를 가져올 수 없으므로, 단말(100)은 가입자 식별 정보를 획득하기 위해 3GPP 이동통신망(300)에 접속하여 3G IP 주소를 할당 받는다(S202). 3GPP 이동통신망(300)의 GGSN(Gateway GPRS Supporting Node)(도시하지 않음)은 단말(100)이 접속하면 단말의 망 접속 정보 예를 들면, IMSI(International Mobile Station Identity) 및/또는 MSISDN(Mobile Subscriber International ISDN Number), 3G IP 주소를 3GPP 이동통신망(300)의 망 접속 정보 서버로 전달한다(S204).
단말(100)은 자신의 3G IP 주소를 이용하여 망 접속 정보 서버로 자신의 가입자 식별 정보를 질의한다(S206).
망 접속 정보 서버는 단말(100)의 가입자 식별 정보인 IMSI 및/또는 MSISDN를 단말(100)로 전송한다(S208).
단말(100)은 망 접속 정보 서버로부터 자신의 가입자 식별 정보를 수신한 후에 I-WLAN에 접속을 시도한다.
이후, 단말(100)은 PDG(310)의 IP 주소를 이용하여 PDG(310)와 보안 협상과 그들의 암호화 키들을 관리하기 위한 IKE(Internet Key Exchange) 절차 예를 들면, IKEv2 절차를 수행한다. IKEv2 절차는 IKE_SA(Security Association)_INIT와 IKE_AUTH로 구성된다. IKE_SA_INIT와 IKE_AUTH는 요청(request)과 응답(response)의 메시지 쌍으로 구성된다.
IKE_SA_INIT는 IKE_SA의 협상 및 설정을 위해 디피헬만(Diffie-Hellman) 키 교환을 수행하고 난스(nonce) 값과 필요한 파라미터를 교환한다. IKE_SA_INIT 단계가 완료된 이후의 모든 메시지들은 설정된 IKE_SA에 의해 암호화된 보호를 받는다. 따라서, IKE_AUTH을 통해 전송되는 인증 정보들은 암호화된다.
IKE_SA_INIT에서, 단말(100)은 IKE_SA_INIT 요청 메시지를 PDG(310)로 전송한다(S210). IKE_SA_INIT 요청 메시지에는 단말(100)의 디피 헬만값과 난스 값이 포함될 수 있다.
IKE_SA_INIT 요청 메시지를 수신한 PDG(310)는 IKE_SA_INIT 응답 메시지를 단말(100)로 전송한다(S212). IKE_SA_INIT 응답 메시지에는 PDG(310)의 디피 헬만값과 난스 값이 포함될 수 있다.
이와 같이, IKE_SA_INIT를 수행하고 나면, 단말(100)과 PDG(310)는 IKE_SA에 사용될 키를 생성함으로써, IKE_SA_INIT 이후에 전송되는 모든 메시지들을 암호화하여 전송한다.
다음, IKE_AUTH는 상호 인증을 위해 식별 정보와 인증 정보를 교환하는 단계이다. 구체적으로, 단말(100)은 PDG(310)로 IKE_AUTH 요청 메시지를 PDG(310)로 전송하여 IKE_AUTH 교환 절차를 개시한다(S214).
단말(100)은 IKE_AUTH 요청 메시지에 자신의 가입자 식별 정보(UserID)를 포함하여 PDG(310)로 전송한다. 이때, 단말(100)은 가입자 식별 정보(UserID)로 단말(100)의 IMSI 및/또는 MSISDN을 포함한다.
단말(100)과 AAA 서버(320) 사이의 WLAN 접속 인증 시그널링은 디아미터(Diameter) EAP에 기반한다.
PDG(310)는 디아미터 EAP 인증 요청 메시지인 DER(Diameter-EAP-Request) 메시지를 AAA 서버(320)로 전송하여 단말(100)에 대한 인증을 요청한다(S216). DER 메시지에는 가입자 식별 정보(UserID)가 포함된다.
AAA 서버(320)는 가입자 식별 정보(UserID)를 인증 정보로 이용하여 EAP-TLS 기반 인증을 수행한다(S218).
AAA 서버(320)는 가입자를 위해 활용 가능한 사용하지 않는 인증 벡터(authentication vector)를 가지고 있는지 검사한다. 사용하지 않는 인증 벡터가 없는 경우, 새로운 인증 벡터를 인증 센로로부터 획득할 수 있다(S220).
또한, AAA 서버(320)는 단말(100)이 WLAN 서비스 사용 권한을 가지는지 검증한다.
이러한 검사를 수행한 AAA 서버(320)은 DER 메시지에 대한 응답 메시지인 DEA(Diameter-EAP-Answer) 메시지를 PDG(310)로 전송한다(S222). DEA 메시지에는 EAP-요청/TLS가 포함된다.
DEA 메시지를 수신한 PDG(310)는 IKE_AUTH 요청 메시지에 대한 IKE_AUTH 응답 메시지를 단말(100)로 전송한다(S224). IKE_AUTH 응답 메시지에는 자신 즉, PDG(310)의 식별자(PDG ID)와 EAP-요청/TLS가 포함된다.
단말(100)은 USIM에서 EAP-요청/TLS에 포함된 MAC(Message Authentication Code) 값을 검증한다.
단말(100)은 EAP-요청에 대한 응답으로, EAP-요청/TLS를 포함하여 IKE_AUTH 요청 메시지를 PDG(310)로 전송한다(S226).
단말(100)로부터 IKE_AUTH 요청 메시지를 수신한 PDG(310)는 DER 메시지에 EAP-요청/TLS를 포함하여 AAA 서버(320)로 전송한다(S228).
AAA 서버(320)는 EAP-요청/TLS가 포함된 DER 메시지를 수신하면, 인증 관련한 검사를 수행하고, 모든 검사가 성공적이면, DEA 메시지를 PDG(310)로 전송하여서 EAP 성공을 알린다. 이때, 키 생성을 위한 키 재료(keying material)가 생성되었다면, 키 재료를 DEA 메시지에 포함하여 PDG(310)로 전송한다. 또한, 본 발명의 실시 예에 따른 AAA 서버(320)는 DEA 메시지에 단말(100)의 가입자 식별 정보인 IMSI 및/또는 MSISDN을 포함하여 PDG(310)로 전송한다(S230).
AAA 서버(320)로부터 DEA 메시지를 수신한 PDG(310)는 해당 인증 관련 동작을 수행한 후에 PDG(310)는 IKE_AUTH 요청 메시지를 대한 IKE_AUTH 응답 메시지를 단말(100)로 전송한다(S232).
이후, 단말(100)과 PDG(310)간 IKE_AUTH 절차가 수행되며(S234), 이 과정에서 보안성을 가진 IP 주소가 단말(100)에 할당된다.
또한, DEA 메시지를 수신한 PDG(310)는 이후부터 단말(100)의 MAC 주소를 이용하여 단말(100)의 세션 관리, 호 추적(call trace) 및 과금을 수행할 수 있다.
다음으로, AAA 서버(320)에서 수행하는 호 접속 인증 방법에 대하여 도 3 및 도 4를 참고로 하여 설명한다.
도 3은 본 발명의 실시 예에 따른 AAA 서버를 나타낸 도면이고, 도 4는 본 발명의 실시 예에 따른 AAA 서버에서 수행하는 호 접속 인증 방법을 나타낸 도면이다.
도 3을 참고하면, AAA 서버(320)는 메시지 처리부(322), 정보 관리부(324) 및 인증부(326)를 포함한다.
메시지 처리부(322)는 PDG(310)와 송수신되는 메시지를 처리한다. 즉, 메시지 처리부(322)는 PDG(310)로부터 메시지를 수신하고, PDG(310)로 메시지를 전송한다.
도 4를 보면, 메시지 처리부(322)는 IKE_AUTH 절차에서 PDG(310)로부터 수신되는 DER 메시지에서 가입자 식별 정보(UserID)를 추출하여 정보 관리부(324) 및 인증부(326)로 전달하고(S410), PDG(310)로 전송할 두 번째 DEA 메시지에 가입자 식별 정보(UserID)를 포함하여 PDG(310)로 전송한다.
정보 관리부(324)는 DER 메시지에서 추출된 가입자 식별 정보(UserID)를 저장 및 관리한다.
다시, 도 4를 보면, 인증부(326)는 가입자 식별 정보(UserID)를 이용하여 단말(100)이 USIM에서 가입자 식별 정보를 가져올 수 없는 단말임을 인지하고 단말(100)에 대해 EAP-TLS 기반 상호 인증을 수행하고(S420), EAP-요청/TSL 챌린지를 메시지 처리부(322)로 전달한다.
메시지 처리부(322)는 인증부(326)로부터 EAP-요청/TSL 챌린지를 수신하여 PDG(310)로 전송할 첫 번째 DEA 메시지에 EAP-요청/TSL 챌린지를 포함하여 전송할 수 있다.
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다.

Claims (11)

  1. 인증 서버에서 I-WLAN(Interworking-Wireless Local Area Network)에 접속한 단말의 인증 방법에 있어서,
    망 접속 정보 서버로부터 획득한 가입자 식별 정보를 포함한 제1 인증 요청 메시지를 패킷 데이터 게이트웨이를 통해 상기 단말로부터 수신하는 단계,
    상기 단말의 가입자 식별 정보를 이용하여 확장 인증 프로토콜-전송 계층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 기반의 인증을 수행하는 단계,
    EAP-요청/TSL 챌린지를 포함한 제1 인증 응답 메시지를 상기 패킷 데이터 게이트웨이를 통해 상기 단말로 전송하는 단계, 그리고
    상기 EAP-요청/TSL 챌린지에 포함된 MAC(Message Authentication Code) 값을 검증한 상기 단말로부터 상기 EAP-요청/TSL 챌린지를 포함한 제2 인증 요청 메시지를 수신하는 단계
    를 포함하는 접속 인증 방법.
  2. 제1항에 있어서,
    상기 단말은 가입자 식별 모듈(User Subscriber Identity Module, USIM)을 포함하는 접속 인증 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 패킷 데이터 게이트웨이와 상기 인증 서버간 상기 제1 인증 요청 메시지 및 상기 제1 인증 응답 메시지는 디아미터(Diameter) EAP 메시지인 접속 인증 방법.
  5. 제1항에 있어서,
    상기 제2 인증 요청 메시지에 대한 제2 인증 응답 메시지를 상기 패킷 데이터 게이트웨이로 전송하는 단계
    를 더 포함하며,
    상기 제2 인증 응답 메시지는 상기 가입자 식별 정보를 포함하는 접속 인증 방법.
  6. 제1항에 있어서,
    상기 가입자 식별 정보는 IMSI(International Mobile Station Identity) 및 MSISDN(Mobile Subscriber International ISDN Number) 중 적어도 하나를 포함하는 접속 인증 방법.
  7. I-WLAN(Interworking-Wireless Local Area Network)에 접속한 단말을 인증하는 인증 서버에 있어서,
    패킷 데이터 게이트웨이로부터 상기 단말이 망 접속 정보 서버로부터 획득한 가입자 식별 정보를 포함한 제1 인증 요청 메시지를 수신하여 상기 단말의 가입자 식별 정보를 추출하는 메시지 처리부,
    상기 가입자 식별 정보를 관리하는 정보 관리부, 그리고
    상기 가입자 식별 정보를 이용하여 확장 인증 프로토콜-전송 계층 보안(Extensible Authentication Protocol-Transport Layer Security, EAP-TLS) 기반의 상호 인증을 수행하는 인증부
    를 포함하며,
    상기 인증부는 제1 인증 요청 메시지를 수신하여 EAP-요청/TSL 챌린지를 생성하고,
    상기 메시지 처리부는 제1 인증 요청 메시지에 대한 제1 인증 응답 메시지에 상기 EAP-요청/TSL 챌린지를 포함하여 상기 패킷 데이터 게이트웨이를 통해 상기 단말로 전달하는 인증 서버.
  8. 제7항에 있어서,
    상기 단말은 가입자 식별 모듈(User Subscriber Identity Module, USIM)을 포함하는 인증 서버.
  9. 제8항에 있어서,
    상기 가입자 식별 정보는 IMSI(International Mobile Station Identity) 및 MSISDN(Mobile Subscriber International ISDN Number) 중 적어도 하나를 포함하는 인증 서버.
  10. 삭제
  11. 제7항에 있어서,
    상기 메시지 처리부는, 상기 패킷 데이터 게이트웨이와 제2 인증 요청 메시지와 상기 제2 인증 응답 메시지를 송수신하고,
    상기 제2 인증 요청 메시지는 상기 EAP-요청/TSL 챌린지를 포함하고, 상기 제2 인증 응답 메시지는 상기 가입자 식별 정보를 포함하는 인증 서버.
KR1020100131415A 2010-12-21 2010-12-21 I-wlan에서 인증 서버 및 그의 접속 인증 방법 KR101338487B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131415A KR101338487B1 (ko) 2010-12-21 2010-12-21 I-wlan에서 인증 서버 및 그의 접속 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131415A KR101338487B1 (ko) 2010-12-21 2010-12-21 I-wlan에서 인증 서버 및 그의 접속 인증 방법

Publications (2)

Publication Number Publication Date
KR20120070027A KR20120070027A (ko) 2012-06-29
KR101338487B1 true KR101338487B1 (ko) 2013-12-10

Family

ID=46687985

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131415A KR101338487B1 (ko) 2010-12-21 2010-12-21 I-wlan에서 인증 서버 및 그의 접속 인증 방법

Country Status (1)

Country Link
KR (1) KR101338487B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101443161B1 (ko) * 2012-11-30 2014-09-22 한국전자통신연구원 능력 정보를 이용한 내장형 범용 아이씨카드의 프로파일 프로비저닝 방법 및 이를 위한 이동통신 단말기
KR102048469B1 (ko) * 2017-02-22 2020-01-08 주식회사 케이티 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000018668A (ko) * 1998-09-03 2000-04-06 구자홍 이동 통신시스템에서의 통신방법
KR20040045998A (ko) * 2002-11-26 2004-06-05 한국전자통신연구원 무선랜 망간 시스템의 가입자 인증 제공 장치 및 방법
KR20050084805A (ko) * 2005-02-15 2005-08-29 토게바 홀딩 아게 Wlan 로밍 중에 gsm 인증을 위한 방법 및 시스템
JP2009515450A (ja) 2005-11-04 2009-04-09 シーメンス アクチエンゲゼルシヤフト モビリティキーを提供する方法とサーバ

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000018668A (ko) * 1998-09-03 2000-04-06 구자홍 이동 통신시스템에서의 통신방법
KR20040045998A (ko) * 2002-11-26 2004-06-05 한국전자통신연구원 무선랜 망간 시스템의 가입자 인증 제공 장치 및 방법
KR20050084805A (ko) * 2005-02-15 2005-08-29 토게바 홀딩 아게 Wlan 로밍 중에 gsm 인증을 위한 방법 및 시스템
JP2009515450A (ja) 2005-11-04 2009-04-09 シーメンス アクチエンゲゼルシヤフト モビリティキーを提供する方法とサーバ

Also Published As

Publication number Publication date
KR20120070027A (ko) 2012-06-29

Similar Documents

Publication Publication Date Title
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
US10939294B2 (en) Network access identifier including an identifier for a cellular access network node
US9648019B2 (en) Wi-Fi integration for non-SIM devices
Mun et al. 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA
US20150327073A1 (en) Controlling Access of a User Equipment to Services
CN109922474B (zh) 触发网络鉴权的方法及相关设备
CN101147377A (zh) 无线通信的安全自启动
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
US10299120B2 (en) Methods and arrangements for identification of user equipments for authentication purposes
KR20180057665A (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
US20170223531A1 (en) Authentication in a wireless communications network
EP3158827B1 (en) Method for generating a common identifier for a wireless device in at least two different types of networks
US20200389788A1 (en) Session Key Establishment
US20230275883A1 (en) Parameter exchange during emergency access using extensible authentication protocol messaging
WO2013152740A1 (zh) 用户设备的认证方法、装置及系统
US20120254615A1 (en) Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network
CN101079786B (zh) 互连系统、互连系统中的认证方法和终端
KR101338487B1 (ko) I-wlan에서 인증 서버 및 그의 접속 인증 방법
US20220030428A1 (en) Communication Method and Communications Device
KR101338486B1 (ko) I-wlan의 게이트웨이 및 그의 호 추적 방법
KR101361198B1 (ko) I-wlan에서 인증 서버 및 그의 접속 인증 방법
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
Leroy et al. Enhanced wireless roaming security using three-party authentication and tunnels

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant