KR101343039B1 - 인증 시스템, 방법 및 장치 - Google Patents

인증 시스템, 방법 및 장치 Download PDF

Info

Publication number
KR101343039B1
KR101343039B1 KR1020127016492A KR20127016492A KR101343039B1 KR 101343039 B1 KR101343039 B1 KR 101343039B1 KR 1020127016492 A KR1020127016492 A KR 1020127016492A KR 20127016492 A KR20127016492 A KR 20127016492A KR 101343039 B1 KR101343039 B1 KR 101343039B1
Authority
KR
South Korea
Prior art keywords
ims
authentication
ims terminal
unit
response value
Prior art date
Application number
KR1020127016492A
Other languages
English (en)
Other versions
KR20120098805A (ko
Inventor
리준 리우
보 양
시아오밍 루
후아시 펭
징 왕
Original Assignee
차이나 모바일 커뮤니케이션즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CN200910238579.4A external-priority patent/CN102082769B/zh
Priority claimed from CN 200910243503 external-priority patent/CN102111379B/zh
Application filed by 차이나 모바일 커뮤니케이션즈 코포레이션 filed Critical 차이나 모바일 커뮤니케이션즈 코포레이션
Publication of KR20120098805A publication Critical patent/KR20120098805A/ko
Application granted granted Critical
Publication of KR101343039B1 publication Critical patent/KR101343039B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1063Application servers providing network services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 인증 시스템, 방법 및 장치를 공개하며, 인증 시스템에는 비 IMS 서비스를 제공하기 위한 AS, 인증 게이트웨이 및 IMS 단말이 포함되는바, AS는 IMS 단말에 의해 송신된 연결 요청 메시지를 상기 인증 게이트웨이에 전달하며, 인증 게이트웨이는 AS를 통해, 획득된 제 1 난수를 상기 IMS 단말에 송신하며, IMS 단말은 제 1 난수에 따라 제 1 응답 값을 생성하여 생성된 제 1 응답 값을 AS를 통해 인증 게이트웨이에 송신하며, 인증 게이트웨이는, 수신된 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며 AS더러 IMS 단말을 위해 비 IMS 서비스를 제공하라 지시한다. 본 발명의 기술안을 채용하면 종래 기술에서 존재하는, 비 IMS AS가 비 IMS 서비스를 획득할 각 IMS 단말에 대해 각각 인증을 진행해야 하므로 AS의 서비스 처리 효율이 저하되는 문제점을 해결한다.

Description

인증 시스템, 방법 및 장치{AUTHENTICATION SYSTEM, METHOD AND DEVICE}
본 발명은 통신 기술 분야에 관한 것으로서 보다 상세하게는 인증 시스템, 방법 및 장치에 관한 것이다.
인터넷 프로토콜 멀티미디어 서브시스템(IMS, Internet Protocol Multimedia Subsystem)은 세션 개시 프로토콜(SIP, Session Initiation Protocol)을 기반으로 하는 세션 제어 시스템이고 패킷 교환(PS, Packet Switching) 도메인 네트워크에 대한 확장이다. IMS 시스템은 호 세션 제어 기능(CSCF, Call Session Control Function), 미디어 게이트웨이 제어 기능(MGCF, Media Gateway Control Function), 멀티미디어 자원 기능 컨트롤러(MRFC, Multimedia Resource Function Controller), 홈 가입자 서버(HSS, Home Subscriber Server), 브레이크아웃 게이트웨이 제어 기능(BGCF, Breakout Gateway Control Function), 멀티미디어 자원 기능 프로세서(MRFP, Multimedia Resource Function Processor), 미디어 게이트웨이(MGW, Media Gateway), IMS 서비스를 제공하는 응용 서버(AS, Application Server) 등 기능 실체로 이루어지는바, 여기서 기능 논리적으로 CSCF는 서빙 CSCF(S-CSCF, Serving-CSCF), 프록시 CSCF(P-CSCF, Proxy-CSCF) 및 조회 CSCF(I-CSCF, Interrogating-CSCF)인 세개의 논리 실체로 나눌 수 있는 바, S-CSCF는 IMS 시스템의 서비스 교환 중심으로서 세션 제어를 수행하고 세션 상태를 유지하고 IMS 단말 정보를 관리하고 요금 부과 정보를 생성하기 위한 것이며, P-CSCF는, IMS 단말이 접속하는 IMS 시스템의 첫번째 액세스 포인트로서 IMS 단말의 등록,서비스 품질(QoS)의 제어와 안전 관리, 및 범용 패킷 무선 서비스(GPRS, General Packet Radio Service) 시스템 간의 통신 등을 완성하기 위한 것이며, I-CSCF는 IMS 시스템 간의 통신을 위한 것이며 S-CSCF의 할당과 선택을 관리하고 외부에 대해 네트워크 토폴로지와 구성을 숨기고 요금 부과 데이터를 생성하며, BGCF는 다른 IMS 시스템과의 통신에 대한 제어를 제공하기 위한 것이며, MGCF와 MGW는 IMS 시스템과 회선 교환(CS, Circuit Switching) 도메인 시스템 및 공중 교환 전화 네트워크(PSTN, Public Switched Telephone Network) 사이의 상호 통신을 실현하기 위한 것이며, MRFC는 미디어 자원을 제공하기 위한 것이며, HSS는 IMS 단말의 가입 데이터, 구성 정보 및 IMS 단말의 인증 데이터 등을 저장하기 위한 것이다.
도 1은 종래 기술의 IMS 시스템의 구성 예시도인바, IMS 단말은 IMS 시스템의 P-CSCF에 접속하여 IMS 내의 등록을 완성한 다음 IMS 서비스를 제공하는 AS에 의해 IMS 단말에 IMS 서비스가 제공된다. 또한 IMS 단말은 비 IMS 서비스를 획득하기 위해 Ut 인터페이스를 통해 비 IMS 서비스를 제공하는 AS와 연결할 수도 있다. IMS 서비스를 제공하는 AS를 “IMS AS”하며 비 IMS 서비스를 제공하는 AS를 “비 IMS AS”하며 아래에 IMS 서비스의 획득 및 비 IMS 서비스의 획득에 대해 각각 상세히 설명한다.
도 2에 도시된 바는 종래 기술에서 IMS 단말이 IMS 서비스를 획득하는 방법의 흐름 예시도인바, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 21, IMS 단말은 IMS 시스템 내의 P-CSCF/S-CSCF를 향한 IMS 등록과 인증 프로세스를 개시한다.
단계 22, IMS 시스템 내의 P-CSCF/S-CSCF는 HSS에 상기 IMS 단말의 로그인 상태를 등록하며 이때 HSS에는 상기 IMS 단말의 가입 데이터와 구성 정보가 저장된다.
단계 23, IMS 단말은 P-CSCF/S-CSCF에 SIP 서비스 요청을 송신하며,상기 SIP 서비스 요청에는 상기 IMS 단말의 사용자 식별자가 포함되는바, IMS 단말의 사용자 식별자는 SIP 서비스 요청 메시지 헤더의 “P-Preferred-Identity”에 포함된다.
단계 24, P-CSCF는 상기 SIP 서비스 요청을 수신한 후 상기 IMS 단말이 이미 등록되었는지 여부를 판단하는바, 상기 IMS 단말이 이미 등록된 것으로 판단되면 상기 IMS 단말의 신분 인증 통과를 표시하기 위해 SIP 서비스 요청 메시지 헤더의 “P-Preferred-Identity”를 “P-Asserted-Identity”로 치환하며, 여기에는 인증을 통과한 사용자 식별자가 포함된다. IMS 단말의 등록 시 P-CSCF에 이미 상기 IMS 단말의 사용자 식별자가 저장되었으므로 P-CSCF가 직접 IMS 단말에 대해 신분 인증을 진행할 수 있다.
단계 25, P-CSCF는 S-CSCF를 통해 IMS AS에 수정된 SIP 서비스 요청을 전달한다.
단계 26, IMS AS는 수정된 SIP 서비스 요청을 수신한 후 수신된 SIP 서비스 요청에 “P-Asserted-Identity”가 포함되어 있는지 여부를 확인하는바, “P-Asserted-Identity”가 포함되어 있으면 상기 IMS 단말의 신분 인증을 통과시킨다.
단계 27, IMS AS는 P-CSCF/S-CSCF에 인증을 통과했다는 인증 결과를 피드백한다.
단계 28, P-CSCF/S-CSCF는 상기 IMS 단말의 SIP 서비스 요청에 대한 응답을 하여 신분 인증을 이미 통과하여 IMS AS와 서비스 교류를 진행할 수 있다는 것을 상기 IMS 단말에 지시한다.
단계 29, 상기 IMS 단말은 IMS AS와 직접 서비스 인터랙션을 진행하여 IMS AS에 의해 제공되는 IMS 서비스를 획득한다.
IMS 시스템에 P-CSCF가 존재하지 않을 경우 P-CSCF와 S-CSCF 기능을 동시에 갖는 S-CSCF를 통해 직접 처리하며, P-CSCF가 존재할 경우 IMS 단말이 현재 속하는 P-CSCF와 S-CSCF의 인터랙션을 통해 처리한다.
상기 처리 과정을 통해 알 수 있다시피 IMS 단말은 IMS 서비스를 획득할 때IMS AS가 IMS 단말의 신분 인증 과정을 독립적으로 진행할 필요 없이 IMS AS 대신에 IMS 시스템 내의 P-CSCF가 IMS 단말에 대해 신분 인증을 진행한다.
도 3에 도시된 바는 종래 기술에서 IMS 단말이 비 IMS 서비스를 획득하는 방법의 흐름 예시도인바, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 31, IMS 단말은 비 IMS AS에 하이퍼 텍스트 전송 프로토콜(HTTP, Hypertext Transfer Protocol) 요청을 개시한다.
단계 32, 비 IMS AS는 상기 비 IMS AS에 의해 랜덤으로 생성된 제 1 난수와 IMS 단말의 도메인 네임(realm)이 포함되는 비 인가 메시지를 피드백하는바, 여기서 realm는 사용자 이름과 비밀 번호를 사용하여 인증을 진행하도록 IMS 단말에 지시하기 위한 것이다.
단계 33, IMS 단말은 상기 메시지를 수신한 후 상기 메시지에 포함된 realm가 검출되면 자신의 사용자 이름, 비밀 번호 및 수신된 제 1 난수에 따라 미리 설정된 알고리즘을 통해 제 1 응답 값을 산출한다.
단계 34, IMS 단말은, 산출된 제 1 응답 값과 IMS 단말에 의해 랜덤으로 생성된 제 2 난수를 HTTP 응답 메시지에 포함시켜 비 IMS AS에 송신한다.
단계 35, 비 IMS AS는 HTTP 응답 메시지를 수신한 후 자신에 의해 생성된 제 1 난수 및 상기 IMS 단말의 사용자 이름과 비밀 번호에 따라 미리 설정된 알고리즘을 통해 제 2 응답 값을 산출한다.
단계 36, 비 IMS AS는, 산출된 제 2 응답 값과 수신된 제 1 응답 값의 일치 여부를 확정하는바, 일치하면 IMS 단말에 대한 신분 인증을 완성한다.
단계 37, 비 IMS AS는, 수신된 HTTP 응답 메시지에 포함된, IMS 단말에 의해 랜덤으로 생성된 제 2 난수 및 상기 IMS 단말의 사용자 이름과 비밀 번호에 따라 미리 설정된 알고리즘을 통해 제 3 응답 값을 산출한다.
단계 38, 비 IMS AS는 산출된 제 3 응답 값을 200 OK 메시지에 포함시켜 IMS 단말에 송신하여 IMS 단말로 하여금 상기 비 IMS AS에 대해 인증을 진행하도록 한다.
단계 39, IMS 단말은 200 OK 메시지를 수신한 후 자신에 의해 랜덤으로 생성된 제 2 난수 및 상기 IMS 단말의 사용자 이름과 비밀 번호에 따라 미리 설정된 알고리즘을 통해 제 4 응답 값을 산출한다.
단계 310, IMS 단말은 산출된 제 4 응답 값과 수신된 제 3 응답 값의 일치 여부를 확정하는바, 일치하면 상기 비 IMS AS에 대한 인증을 완성한다.
단계 311, IMS 단말은 비 IMS AS에 HTTP 서비스 요청을 송신한다.
단계 312, 비 IMS AS는 IMS 단말에 200OK 메시지를 피드백하여 비 IMS AS와 IMS 단말 사이에서 서비스 연결을 설립하여 IMS 단말이 비 IMS AS에 의해 제공되는 비 IMS 서비스를 획득한다.
여기서 IMS 단말은 비 IMS AS에 대해 인증을 진행하지 않을 수도 있다.
상기 처리 과정을 통해 알 수 있다시피 IMS 단말은 비 IMS 서비스를 획득할 때 비 IMS AS가 IMS 시스템으로부터 IMS 단말의 인증 데이터를 획득할 수 없으므로 비 IMS AS와 IMS 단말 사이에서 직접 인증을 진행해야 하며 상이한 비 IMS AS와 IMS 단말 사이의 인증 방식은 통일된 표준도 없어 채용할 수 있는 인증 메커니즘은 사용자 이름/비밀 번호 인증 메커니즘, HTTP 다이제스트(Digest) 메커니즘, 키워드를 사전 공유하는 전송 계층 보안 메커니즘 등일 수 있다.
종래 기술에서 비 IMS AS는 비 IMS 서비스를 획득할 각 IMS 단말에 대해 각각 인증을 진행해야 하므로 AS의 서비스 처리 효율이 저하된다.
종래 기술에서 존재하는, 비 IMS AS가 비 IMS 서비스를 획득할 각 IMS 단말에 대해 각각 인증을 진행해야 하므로 AS의 서비스 처리 효율이 저하되는 문제를 해결하기 위해 본 발명에 따른 실시예는 인증 시스템 및 방법을 제공한다.
상응하게 본 발명에 따른 실시예는 또한 인증 게이트웨이, 응용 서버 및 IMS 단말을 제공한다.
본 발명에 따른 실시예의 기술안은 하기와 같다.
인증 시스템을 제공하는바, 비 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 서비스를 제공하는 응용 서버(AS), 인증 게이트웨이 및 IMS 단말을 포함하는바 여기서,
상기 AS는 IMS 단말에 의해 송신되는 연결 요청 메시지를 상기 인증 게이트웨이에 전달하며 인증 게이트웨이에 의해 송신되는 제 1 난수를 상기 IMS 단말에 전달하며 상기 IMS 단말에 의해 피드백되는, 상기 제 1 난수에 의해 생성되는 제 1 응답 값을 상기 인증 게이트웨이에 송신하며 상기 인증 게이트웨이의 지시에 따라 상기 IMS 단말에 비 IMS 서비스를 제공하며,
상기 인증 게이트웨이는 제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하여 획득된 제 1 난수를 상기 AS에 송신하며 AS에 의해 송신되는 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하며,
상기 IMS 단말은 상기 AS에 연결 요청 메시지를 송신하며 상기 AS에 의해 송신되는 제 1 난수에 따라 제 1 응답 값을 생성하며 생성된 제 1 응답 값을 상기 AS에 송신한다.
인증 방법을 제공하는바, 상기 인증 방법은,
인증 게이트웨이가, 비 IMS 서비스를 제공하는 응용 서버(AS)를 통해 송신되는 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 단말의 연결 요청 메시지를 수신하며,
제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하는 단계;
상기 인증 게이트웨이가 획득된 제 1 난수를 상기 AS를 통해 상기 IMS 단말에 송신하며,
상기 AS를 통해 상기 IMS 단말에 의해 송신되는, 상기 제 1 난수에 따라 상기 IMS 단말에 의해 생성되는 제 1 응답 값을 수신하는 단계; 및
상기 인증 게이트웨이가 수신된 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며,
상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하는 단계를 포함한다.
인증 게이트웨를 제공하는바, 상기 인증 게이트웨이는,
비 IMS 서비스를 제공하는 응용 서버(AS)를 통해 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 단말에 의해 송신되는 연결 요청 메시지를 수신하기 위한 제 1 수신 유닛;
제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하기 위한 획득 유닛;
상기 AS를 통해, 획득 유닛에 의해 획득되는 제 1 난수를 상기 IMS 단말에 송신하기 위한 제 1 송신 유닛;
상기 AS를 통해 상기 IMS 단말에 의해 송신되는, 상기 제 1 난수에 따라 상기 IMS 단말에 의해 생성되는 제 1 응답 값을 수신하기 위한 제 2 수신 유닛;
제 2 수신 유닛에 의해 수신되는 제 1 응답 값과 획득 유닛에 의해 획득된 기대 응답 값의 일치 여부를 비교하기 위한 비교 유닛;
비교 유닛의 비교 결과가 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하기 위한 확인 유닛; 및
상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하기 위한 지시 유닛을 포함한다.
비 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 서비스를 제공하기 위한 응용 서버를 제공하는바, 상기 응용 서버는,
IMS 단말에 의해 송신되는 연결 요청 메시지를 수신하기 위한 제 1 수신 유닛;
제 1 수신 유닛에 의해 수신되는 연결 요청 메시지를 인증 게이트웨이에 전달하기 위한 제 1 전달 유닛;
인증 게이트웨이에 의해 송신되는 제 1 난수를 수신하기 위한 제 2 수신 유닛;
제 2 수신 유닛에 의해 수신되는 제 1 난수를 상기 IMS 단말에 전달하기 위한 제 2 전달 유닛;
상기 IMS 단말에 의해 송신되는 제 1 응답 값을 수신하기 위한 제 3 수신 유닛;
제 3 수신 유닛에 의해 수신되는 제 1 응답 값을 상기 인증 게이트웨이에 전달하기 위한 제 3 전달 유닛; 및
상기 인증 게이트웨이의 지시에 따라 상기 IMS 단말에 비 IMS 서비스를 제공하기 위한 제공 유닛을 포함한다.
인터넷 프로토콜 멀티미디어 서브시스템을 제공하는바, 상기 인터넷 프로토콜 멀티미디어 서브시스템은,
비 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 서비스를 제공하는 응용 서버(AS)에 연결 요청 메시지를 송신하기 위한 제 1 송신 유닛;
상기 AS를 통해 인증 게이트웨이에 의해 송신되는 제 1 난수를 수신하기 위한 제 1 수신 유닛;
제 1 수신 유닛에 의해 수신되는 제 1 난수에 따라 제 1 응답 값을 생성하기 위한 제 1 생성 유닛;
제 1 생성 유닛에 의해 생성되는 제 1 응답 값을 상기 AS에 송신하기 위한 제 2 송신 유닛; 및
상기 AS로부터 비 IMS 서비스를 획득하기 위한 서비스 획득 유닛을 포함한다.
본 발명에 따른 실시예의 기술안에 있어서 인증 시스템에는 비 IMS 서비스를 제공하는 AS, 인증 게이트웨이 및 IMS 단말이 포함되는바, AS는 IMS 단말에 의해 송신되는 연결 요청 메시지를 상기 인증 게이트웨이에 전달하며, 인증 게이트웨이는 획득된 제 1 난수를, AS를 통해 상기 IMS 단말에 송신하며, IMS 단말은 제 1 난수에 따라 제 1 응답 값을 생성하여 생성된 제 1 응답 값을 AS를 통해 인증 게이트웨이에 송신하며, 인증 게이트웨이는 수신된 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며 AS로 하여금 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시한다. 이로부터 알 수 있다시피 본 발명에 의해 제공되는 인증 시스템에 있어서 IMS 단말에 대한 인증은 인증 게이트웨이에 의해 완성됨으로써 AS의 서비스 처리 효율을 효과적으로 향상시켜 IMS 단말에 대한, 비 IMS 서비스를 제공하는 AS의 간단하고 통일된 인증을 실현하여 IMS 단말이 비 IMS 서비스를 제공하는 AS와 일일이 인증 메커니즘을 협상할 필요가 없으므로 인증이 쉽게 실현될 수 있도록 한다.
도 1은 종래 기술에서 IMS 시스템의 구성 예시도이며,
도 2는 종래 기술에서 IMS 단말이 IMS 서비스를 획득하는 방법의 프로세스 예시도이며,
도 3은 종래 기술에서 IMS 단말이 비 IMS 서비스를 획득하는 방법의 프로세스 예시도이며,
도 4는 본 발명에 따른 실시예에 의한 인증 시스템의 구성 예시도이며,
도 5는 본 발명에 따른 실시예에 의한 인증 방법의 프로세스 예시도이며,
도 6은 본 발명에 따른 실시예 1에서 비 IMS 서비스를 제공하는 AS가 IMS단말에 대한 인증을 진행하는 방법의 프로세스 예시도이며,
도 7은 본 발명에 따른 실시예 2에서 공유 암호키를 생성하는 방법의 흐름 예시도이며,
도 8은 본 발명에 따른 실시예 3에서 IE 브라우저의 Cookie를 설정하는 방법의 흐름 예시도이며,
도 9는 본 발명에 따른 실시예 4에서 IMS 단말이 비 IMS 서비스를 획득할 시의 방법의 프로세스 예시도이며,
도 10은 본 발명에 따른 실시예 5에서 IE 브라우저를 갖는 IMS 단말이 비 IMS 서비스를 획득할 시의 방법의 프로세스 예시도이며,
도 11은 본 발명에 따른 실시예 6에서 IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 프로세스 예시도이며,
도 12는 본 발명에 따른 실시예 7에서 IE 브라우저를 갖는IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 프로세스 예시도이며,
도 13은 본 발명에 따른 실시예에 의한 인증 게이트웨이의 구성 예시도이며,
도 14는 본 발명에 따른 실시예에서 비 IMS 서비스를 제공하는 AS의 구성 예시도이며,
도 15는 본 발명에 따른 실시예에 의한 IMS 단말의 구성 예시도이다.
이하, 각 도면을 결합하여 본 발명에 따른 실시예의 기술 방안의 주요 구현 원리, 구체적인 실시 방식 및 그에 대응하여 얻을 수 있는 유익한 효과에 대해 상세히 설명한다.
종래 기술에 있어서 IMS 단말은 비 IMS 서비스를 획득할 때 비 IMS 서비스를 제공하는 AS(비 IMS AS)와의 연결을 설립해야 하며, 연결을 설립하기 전에 비 IMS AS는 IMS 단말에 대해 인증을 진행해야 하며, IMS 단말은 IMS 시스템의 코어 네트워크를 거치지 않고 Ut 인터페이스를 통해 비 IMS AS와 직접 인터랙팅(interacting) 하므로 도 2에 도시된 과정에 따라 비 IMS AS 대신 IMS의 코어 네트워크가 IMS 단말에 대해 인증을 진행할 수 없다. IMS 단말과 비 IMS AS사이에서 직접 인증을 진행하면 AS의 서비스 처리 효율이 저하되며, 둘 사이에서 인증 메커니즘을 사전 협상한 후 인증해야 하므로 하나의 IMS 단말에 있어서 상이한 비 IMS AS에 의해 제공되는 상이한 비 IMS 서비스를 획득하기 위해 상이한 비 IMS AS와 인증해야 하는바 이렇게 되면 IMS 단말은 상이한 비 IMS AS와 일일이 인증 메커니즘을 사전 협상한 후 인증해야 하게 되며 인증 시 상이한 비 IMS AS는 모두 IMS 단말의 인증 데이터를 저장해야 하므로 이는 IMS 단말의 인증 데이터를 누출을 초래하게 되어 인증의 신뢰성 및 안전성이 저하되는 문제점을 야기할 수 있다.
상기와 같은 문제점에 대해 본 발명에 따른 실시예는 인증 시스템을 제공하는바, 그 구성에는 도4에 도시된 바와 같이 비 IMS 서비스를 제공하는 AS(41), 인증 게이트웨이(42) 및 IMS 단말(43)이 포함된다.
AS(41)는 IMS 단말(43)에 의해 송신되는 연결 요청 메시지를 인증 게이트웨이(42)에 전달하며 인증 게이트웨이(42)에 의해 송신되는 제 1 난수(RAND)를 IMS 단말(43)에 전달하며 IMS 단말(43)에 의해 피드백되는, 상기 제 1 RAND에 따라 생성되는 제 1 응답 값(RES, Response Internet Explorer)을 인증 게이트웨이(42)에 송신하며 인증 게이트웨이(42)의 지시에 따라 IMS 단말(43)에 비 IMS 서비스를 제공한다.
인증 게이트웨이(42)는 제 1 RAND와 IMS 단말(43)의 기대 응답 값(XRES, Expected Response lnternet Explorer)을 획득하여 획득된 제 1 RAND를 AS(41)에 송신하며 AS(41)에 의해 송신되는 제 1 RES와 획득된 XRES를 비교한 결과 일치할 경우 상기 IMS 단말(43)에 대한 인증 통과를 확인하며 AS(41)로 하여금 IMS 단말(43)을 위해 비 IMS 서비스를 제공하도록 지시한다.
IMS 단말(43)은 AS(41)에 연결 요청 메시지를 송신하며 AS(41)에 의해 송신되는 제 1 RAND에 따라 제 1 RES를 생성하며 생성된 제 1 RES를 AS(41)에 송신한다.
본 발명에 따른 실시예에 있어서 IMS 단말에 의해 송신되는 연결 요청 메시지는 HTTP 메시지일 수 있지만 이에 제한되지 않는다.
여기서 인증 게이트웨이가 제 1 RAND와 기대 RES를 획득하는 구체적인 실현 프로세스는 하기 두가지 실시 시나리오를 포함할 수 있지만 이에 제한되지 않는다.
첫 번째 실시 시나리오: 인증 게이트웨이가 상기 IMS 단말의 인증 매개변수를 획득하는바, 상기 인증 매개변수에 제 1 RAND와 상기 IMS 단말의 XRES가 포함되며 인증 게이트웨이가 HSS를 통해 인증 매개변수를 획득할 수 있지만 이에 제한되지 않으며, 그렇다면 인증 게이트웨이에 의해 수신된 연결 요청 메시지에는 상기 IMS 단말의 IMS 공중 사용자 식별자(IMPU, IMS Public User Identity)가 포함되며 인증 게이트웨이는 상기 IMPU가 포함된 획득 요청을 HSS에 송신하여 상기 HSS가 수신된 IMPU에 따라 IMPU와 인증 매개변수의 저장된 대응 관계에서 수신된 IMPU와 대응되는 인증 매개변수를 찾으며, 찾아낸 인증 매개변수를 인증 게이트웨이에 송신한다.
두 번째 실시 시나리오: 인증 게이트웨이는 제 1 RAND를 생성하며 상기 IMS 단말의 인증 데이터를 획득한 후 생성된 제 1 RAND와 획득된 인증 데이터에 따라 XRES를 생성하는바, 인증 게이트웨이가 HSS를 통해 인증 매개변수를 획득할 수 있지만 이에 제한되지 않으며, 그렇다면 인증 게이트웨이에 의해 수신된 연결 요청 메시지에는 상기 IMS 단말의 IMPU가 포함되며 인증 게이트웨이는 상기 IMPU가 포함된 획득 요청을 HSS에 송신하여 상기 HSS가 수신된 IMPU에 따라 IMPU와 인증 매개변수의 저장된 대응 관계에서 수신된 IMPU와 대응되는 인증 데이터를 찾으며 찾아낸 인증 데이터를 인증 게이트웨이에 송신한다.
인증 게이트웨이와 HSS 사이의 인터페이스는 Sh 인터페이스일 수 있지만 이에 제한되지 않으며 직경(Diameter) 프로토콜을 채용할 수 있으며, AS와의 인터페이스는 HTTP 프로토콜과 같은 비 SIP 프로토콜이며 인터넷을 통해 연결될 수도 있다.
상기와 같은 과정은 IMS 단말에 대한 단방향 인증이며 물론 양방향 인증도 실현할 수 있는바, 즉 IMS 단말도 AS에 대해 인증을 진행하며 이에 대해 아래에 설명한다.
상기 첫 번째 실시 시나리오에 있어서 인증 게이트웨이에 의해 획득된 인증 매개변수에는 제 1 인증 토큰(AUTN, Authentication Token)이 더 포함되며,
인증 게이트웨이는 또한 상기 AS를 통해 송신된 상기 IMS 단말의 제 1 RES를 수신하기 전에 획득된 제 1 AUTN를 상기 AS에 송신하며,
AS는 또한 인증 게이트웨이에 의해 송신된 제 1 AUTN를 상기 IMS 단말에 송신하며,
IMS 단말은 또한 제 1 RES를 생성하기 전에 상기 제 1 RAND에 따라 제 2 AUTN를 생성하며 생성된 제 2 AUTN와 수신된 제 1 AUTN를 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인한다.
상기 두 번째 실시 시나리오에 있어서 IMS 단말은 또한 제 2 RAND를 생성하며 생성된 제 2 RAND를 AS에 송신하며 AS에 의해 송신된 제 2 RES를 수신하며 상기 제 2 RAND와 자신의 인증 데이터에 따라 제 3 RES를 생성하여 수신된 제 2 RES와 생성된 제 3 RES를 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하여 AS에 의해 제공되는 비 IMS 서비스를 획득하며,
AS는 또한 IMS 단말에 의해 송신된 제 2 RAND를 상기 인증 게이트웨이에 송신하며 상기 인증 게이트웨이에 의해 송신된 제 2 RES를 상기 IMS 단말에 송신하며,
인증 게이트웨이는 또한 상기 AS에 의해 송신된 제 2 RAND를 수신하여 수신된 제 2 RAND와 획득된 인증 데이터에 따라 제 2 RES를 생성하며 생성된 제 2 RES를 상기 AS에 송신한다.
본 발명에 의해 제공되는 시스템에 있어서 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득할 경우, 인증 과정에서 세션 식별자(SessionID)가 AS에 의해 IMS 단말에 송신되고 IE 브라우저의 Cookie에 저장됨으로써, IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득할 때 IE 브라우저를 사용할 시에 다시 입력할 필요 없이 직접 획득할 수 있으며, SessionID는 인증 게이트웨이에 의해 생성된 후 AS에 송신될 수도 있고 AS에 의해 생성될 수도 있다.
상기 처리 과정으로부터 알 수 있다시피 본 발명에 따른 실시예의 기술안에 있어서 인증 시스템에는 비 IMS 서비스를 제공하는 AS, 인증 게이트웨이 및 IMS 단말이 포함되는바, AS는 IMS 단말에 의해 송신된 연결 요청 메시지를 상기 인증 게이트웨이에 전달하며, 인증 게이트웨이는 획득된 제 1 RAND를 AS를 통해 상기 IMS 단말에 송신하며, IMS 단말은 제 1 RAND에 따라 제 1 RES를 생성하여 생성된 제 1 RES를 AS를 통해 인증 게이트웨이에 송신하며, 인증 게이트웨이는 수신된 제 1 RES와 획득된 XRES를 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하여 AS로 하여금 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시한다. 이로부터 알 수 있다시피 본 발명에 의해 제공되는 인증 시스템에 있어서 IMS 단말에 대한 인증은 인증 게이트웨이에 의해 완성됨으로써 AS의 서비스 처리 효율을 효과적으로 향상시켜 IMS 단말에 대한, 비 IMS 서비스를 제공하는 AS의 간단하고 통일한 인증을 실현하여 IMS 단말이 비 IMS 서비스를 제공하는 AS와 일일이 인증 메커니즘을 협상할 필요가 없으므로 인증이 쉽게 실현될 수 있게 된다.
또한 IMS 단말의 인증 매개변수/인증 데이터는, 비 IMS 서비스를 제공하는 모든 AS에 저장되지 않고 인증 게이트웨이에 저장되거나 인증 게이트웨이에 의해 HSS으로부터 획득되므로 IMS 단말의 인증 데이터의 누출을 초래하지 않아 인증의 신뢰성 및 차후의 비 IMS 서비스 획득의 안전성을 향상시킨다.
도 4에 도시된 인증 시스템을 바탕으로 하여 본 발명에 따른 실시예는 인증 방법을 제공하는바, 도 5에 도시된 바와 같이 그 구체적인 처리 프로세스는 하기와 같다.
단계 51: 인증 게이트웨이는, 비 IMS 서비스를 제공하는 AS를 통해 송신되는 IMS 단말의 연결 요청 메시지를 수신한다.
본 발명에 따른 실시예에 있어서 연결 요청 메시지는 HTTP 메시지일 수 있지만 이에 제한되지 않는다.
IMS 단말은 AS에 연결 요청 메시지를 송신하기 전에 IMS 시스템에 등록해야 하는바, 구체적인 등록 프로세스는 종래 기술과 일치하므로 여기서 더 이상 설명하지 않는다.
단계 52: 인증 게이트웨이는 제 1 RAND와 상기 IMS 단말의 XRES를 획득한다.
여기서 인증 게이트웨이는 제 1 RAND와 XRES를 획득하는 구체적인 실현 프로세스는 하기 두가지 실시 시나리오를 포함할 수 있지만 이에 제한되지 않는다.
첫 번째 실시 시나리오: 인증 게이트웨이는 상기 IMS 단말의 인증 매개변수를 획득하는바, 상기 인증 매개변수에는 제 1 RAND와 상기 IMS 단말의 XRES가 포함되며 인증 게이트웨이가 HSS를 통해 인증 매개변수를 획득할 수 있지만 이에 제한되지 않으며, 그렇다면 인증 게이트웨이에 의해 수신된 연결 요청 메시지에는 상기 IMS 단말의IMPU가 포함되며 인증 게이트웨이는 상기 IMPU가 포함된 획득 요청을 HSS에 송신하여 상기 HSS가 수신된 IMPU에 따라 IMPU와 인증 매개변수의 저장된 대응 관계에서 수신된 IMPU와 대응되는 인증 매개변수를 찾으며 찾아낸 인증 매개변수를 인증 게이트웨이에 송신하는바, 여기서 HSS에 의해 찾아낸 인증 매개변수가 5-튜플(tuple) 인증 매개변수일 수도 있고 3-튜플(tuple) 인증 매개변수일 수도 있다. 만약 인증 게이트웨이에 의해 획득된 인증 매개변수가 5-tuple 인증 매개변수이면 인증 매개변수에는 제 1 RAND, 제 1 AUTN, 암호 키(CK, Cipher Key), 무결성 키(IK, Integrity Key) 및 XRES가 포함된다.
두 번째 실시 시나리오: 인증 게이트웨이는 제 1 RAND를 생성하며 상기 IMS 단말의 인증 데이터를 획득한 후, 생성된 제 1 RAND와 획득된 인증 데이터에 따라 XRES를 생성하는바, 인증 게이트웨이가 HSS를 통해 인증 매개변수를 획득할 수 있지만 이에 제한되지 않으며, 그렇다면 인증 게이트웨이에 의해 수신된 연결 요청 메시지에는 상기 IMS 단말의 IMPU가 포함되며 인증 게이트웨이는 상기 IMPU가 포함된 획득 요청을 HSS에 송신하여 상기 HSS가 수신된 IMPU에 따라 IMPU와 인증 매개변수의 저장된 대응 관계에서 수신된 IMPU와 대응되는 인증 데이터를 찾으며 찾아낸 인증 데이터를 인증 게이트웨이에 송신한다.
이 단계에 있어서 HSS는 인증 매개변수 또는 인증 데이터를 AS에 송신하지 않기에, IMS 단말을 인증할 때 도청 또는 위장 인증을 방지하여 인증의 안전성을 향상시킨다.
단계 53, 인증 게이트웨이는 획득된 제 1 RAND를 상기 AS를 통해 상기 IMS 단말에 송신한다.
만약 IMS 단말에 대한 AS의 인증만 필요하면 인증 게이트웨이는 제 1 RAND를 IMS 단말에 송신하면 되며, 만약 AS에 대한 IMS 단말의 인증도 필요하면 즉 양방향 인증을 실현하려면,
첫 번째 실시 시나리오: 인증 게이트웨이는 또한 AS에 대한 IMS 단말의 인증을 위한, 획득된 인증 매개변수에 포함된 제 1 AUTN를 상기 IMS 단말에 송신하며, IMS 단말은 제 1 RAND에 따라 제 2 AUTN를 생성하며 생성된 제 2 AUTN와 수신된 제 1 AUTN를 비교한 결과 일치할 경우 AS에 대한 인증의 통과를 확인하는바, 여기서 인증 게이트웨이는 제 1 AUTN와 제 1 RAND를 함께 IMS 단말에 송신할 수 있지만 이에 제한되지 않으며 제 1 RAND를 먼저 송신한 후 제 1 AUTN를 송신하거나 제 1 AUTN를 먼저 송신한 후 제 1 RAND를 송신할 수 있는바, 즉 인증 게이트웨이가 AS에 의해 송신된 IMS 단말의 제 1 RES를 수신하기 전에 제 1 AUTN를 송신하기만 하면 된다.
두 번째 실시 시나리오: IMS 단말은 제 2 RAND를 생성하며 생성된 제 2 RAND를 AS를 통해 인증 게이트웨이에 송신하며 인증 게이트웨이는 제 2 RAND와 IMS 단말의 인증 데이터에 따라 제 2 RES를 생성하여 AS를 통해 IMS 단말에 송신하며, IMS 단말은 생성된 제 2 RAND와 자신의 인증 데이터에 따라 제 3 RES를 생성하여 생성된 제 3 RES와 수신된 제 2 RES를 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하여 상기 AS에 의해 제공되는 비 IMS 서비스를 획득할 수 있다.
단계 54: IMS 단말은 수신된 제 1 RAND에 따라 제 1 RES를 생성하여 생성된 제 1 RES를 상기 AS를 통해 인증 게이트웨이에 송신하다.
IMS 단말은 제 1 RAND를 수신한 후 미리 설정된 제 1 알고리즘을 통해 제 1 RES를 산출하며 또한 수신된 제 1 RAND에 따라 제 2 알고리즘을 통해 CK를 산출하고 수신된 제 1 RAND에 따라 제 3 알고리즘을 통해 IK를 산출할 수도 있으며, 이로써 인증 게이트웨이와 IMS 단말은 모두 CK와 IK를 가지게 된다.
IMS 단말은 산출된 제 1 RES를 AS를 통해 인증 게이트웨이에 송신하며 상기 제 1 RES는 IMS 단말에 대한 인증 게이트웨이의 인증을 위한 것이다.
단계 55: 인증 게이트웨이는 수신된 제 1 RES와 획득된 XRES를 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인한다.
이 단계에서 만약 비교 결과가 불일치하면 인증은 실패한다.
단계 56: 인증 게이트웨이는 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시한다.
인증 게이트웨이는 상기 IMS 단말에 대한 인증의 통과를 확인한 후 인증 통과 결과를 직접 AS에 송신할 수 있어 AS는 인증 통과 결과를 수신한 후 IMS 단말과의 연결을 설립하며 설립된 연결을 통해 IMS 단말에 비 IMS 서비스를 제공하는바, 인증 게이트웨이는 인증 통과 결과를 200OK 메시지에 포함시켜 AS에 송신할 수 있지만 이에 제한되지 않는다.
만약 IMS 단말은 IE 브라우저를 통해 비 IMS 서비스를 획득하면 인증 과정에서 IE 브라우저는 자동으로 IMS 단말의 인증 데이터를 획득할 수 없으며 사용자가 입력해야 하므로 사용자의 사용감이 떨어지기에 본 발명은 또한 이러한 IMS 단말의 인증 과정에 대해 변경을 진행하였다. SessionID가 AS에 의해 IMS 단말에 송신되고 IE 브라우저의 Cookie에 저장되는바, 즉 AS는 SessionID에 따라 IMS 단말에 의해 개시될 IE 브라우저의 Cookie를 설정하여 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득할 때 IE 브라우저 사용 시에 다시 입력할 필요 없이 직접 획득할 수 있는바, SessionID는 인증 게이트웨이에 의해 생성된 후 AS에 송신될 수도 있고 AS에 의해 생성될 수도 있다.
하기 더 구체적인 실시 방식을 제공한다.
도 6에 도시된 바는 본 발명에 따른 실시예 1에서 비 IMS 서비스를 제공하는 AS(비 IMS AS)가 IMS 단말에 대한 인증을 진행하는 방법의 흐름도인바 그 구체적인 처리 과정은 하기 단계를 포함한다.
단계 61: IMS 단말은 비 IMS AS에 IMPU가 포함된 HTTP 요청 메시지를 송신하며,
단계 62: 비 IMS AS은 수신된 HTTP 요청 메시지를 인증 게이트웨이에 전달하며,
단계 63: 인증 게이트웨이는 수신된 IMPU를 획득 요청에 포함시켜 HSS에 송신하며,
단계 64: HSS는 수신된 IMPU에 따라 IMPU와 5-tuple 인증 매개변수의 대응 관계에서 그에 대응되는 5-tuple 인증 매개변수를 찾으며,
단계 65: HSS는 찾아낸 5-tuple 인증 매개변수를 인증 게이트웨이에 송신하며,
단계 66: 인증 게이트웨이는 수신된 5-tuple 인증 매개변수에 포함된 RAND와 AUTN를 비 IMS AS에 송신하며,
단계 67: 비 IMS AS는 수신된 RAND와 AUTN를 IMS 단말에 송신하며,
단계 68: IMS 단말은 수신된 RAND에 따라 AUTN를 산출하며,
단계 69: IMS 단말은 산출된 AUTN와 수신된 AUTN의 일치 여부를 비교하며,
단계 610: 만약 단계 69의 비교 결과 일치하면 상기 비 IMS AS에 대한 인증의 통과를 확인하며,
단계 611: IMS 단말은 수신된 RAND에 따라 RES를 산출하며,
단계 612: IMS 단말은 산출된 RES를 비 IMS AS에 송신하며,
단계 613: 비 IMS AS는 수신된 RES를 인증 게이트웨이에 전달하며,
단계 614: 인증 게이트웨이는 수신된 RES와 수신된 XRES를 비교하며,
단계 615: 만약 비교 결과 일치하면 상기 IMS 단말에 대한 인증의 통과를 확인하며,
단계 616: 인증 게이트웨이는 인증 통과 결과를 200 OK 메시지에 포함시켜 비 IMS AS에 송신하며,
단계 617: 비 IMS AS는 IMS 단말에 비 IMS 서비스를 제공한다.
또한 상기 실시예 1에서 IMS 단말은 차후에 비 IMS 서비스를 획득할 때 상기 인증 과정을 진행할 필요가 없기 위해 인증 게이트웨이와 IMS 단말은, 차후에 IMS 단말이 비 IMS 서비스를 획득하는 데 필요한 공유 암호키를 확정할 수 있어, 공유 암호키를 확정하는 과정은, IMS 단말에 대한 비 IMS AS의 인증을 통과한 후에 진행되며 도 7에 도시된 바는 본 발명에 따른 실시예 2에서 공유 암호키를 생성하는 방법의 흐름도인바, 그 구체적인 처리 과정은 하기 단계를 포함한다.
단계 71: 인증 게이트웨이는 획득된 인증 매개변수에 포함된 CK와 IK에 따라 암호키(Ks)를 산출하며 RAND와 AS의 식별자(AS_ID)에 따라 부트스트래핑 트랜잭션 식별자(B-TID, Bootstrapping Transaction Identifier)를 생성하며 또한 Ks를 위해 하나의 유효 기간을 정의하며 상기 유효 기간은 주로 Ks의 갱신을 위한 것이며,
단계 72: 인증 게이트웨이는 B-TID와 유효 기간 정보를 200 OK 메시지에 포함시켜 비 IMS AS에 송신하는바, 즉 인증 게이트웨이는 IMS 단말과의 인증 과정을 표시하기 위해 하나의 B-TID를 할당하여 상기 B-TID가 Ks와 관련되게 하여 차후에 상기 B-TID에 따라 Ks를 찾을 수 있도록 하며,
단계 73: 비 IMS AS는 수신된 200 OK 메시지를 IMS 단말에 전달하며,
단계 74: IMS 단말은 200 OK 메시지를 수신한 후 획득된 B-TID와 유효 기간 정보를 저장하며,
단계 75: IMS 단말은 Ks를 생성하며 상기 Ks는 루트 키로서 사용되고 AS와의 통신 시의 공유 암호키를 파생하기 위한 것이며 이때 IMS 단말과 인증 게이트웨이는 공동으로 Ks를 가지며,
단계 76: IMS 단말은 자신의 IMS 개인 사용자 식별자(IMPI, IMS Private User Identity), Ks 및 RAND 등 매개변수에 따라 암호키 유도 함수를 통해 공유 암호키(Ks_AS)를 산출하며,
단계 77: IMS 단말은 B-TID를 비 IMS AS에 송신하며,
단계 78: 비 IMS AS는 B-TID와 AS_ID를 인증 게이트웨이에 송신하며,
단계 79: 인증 게이트웨이는 AS_ID의 유효성을 검증하여 공유 암호키(Ks_AS)를 산출하며,
단계 710: 인증 게이트웨이는 공유 암호키(Ks_AS)와 사용자 보안 설정을 비 IMS AS에 송신하며,
단계 711: 비 IMS AS는 공유 암호키(Ks_AS)와 사용자 보안 설정을 저장하여 이로써 비 IMS AS와 IMS 단말은 공유 암호키(Ks_AS)를 가지게 하여 IMS 단말이 차후에 비 IMS 서비스를 획득할 때 비 IMS AS는 공유 암호키(Ks_AS)에 따라 상기 IMS 단말에 대해 인증을 진행한다.
만약 상기 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득하면 즉 IMS 단말이 IE 브라우저를 가지면 이때 비 IMS AS가 상기 IMS 단말에 비 IMS 서비스를 제공하기 전에 IE 브라우저의 Cookie에 대해 설정을 진행해야 하며, 도 8에 도시된 바는 본 발명에 따른 실시예 3에서 IE 브라우저의 Cookie를 설정하는 방법의 흐름도인바, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 81: 비 IMS AS는 SessionID를 생성하여 수신된 공유 암호키(Ks_AS)에 따라 생성된 SessionID에 대해 암호화를 진행하며,
단계 82: 비 IMS AS는 생성된 SessionID와 상기 IMS 단말의 IMPU를 대응되게 저장하며,
단계 83: 비 IMS AS는 암호화된 SessionID를 IMS 단말에 송신하며,
단계 84: IMS 단말은 산출된 공유 암호키(Ks_AS)에 따라 수신된 암호화된SessionID에 대해 복호화를 진행하며,
단계 85: IMS 단말은 복호화하여 얻은 SessionID와 자신의 IMPU에 따라 IE 브라우저를 개시하며,
단계 86: IMS 단말은 IE 브라우저에서 비 IMS AS에, 자신의 IMPU와 복호화하여 얻은 SessionID가 포함된 HTTP 요청 메시지를 송신하며,
단계 87: 비 IMS AS는 SessionID와 IMPU의 저장된 대응 관계에 따라 수신된 IMPU와 SessionID에 대해 인증을 진행하며,
단계 88: 만약 인증을 통과하면 재생 공격을 방지하기 위해 SessionID와 IMPU의 대응 관계에서 수신된 IMPU와 SessionID를 삭제하며,
단계 89: 비 IMS AS는 수신된 IMPU와 SessionID에 따라 IMS 단말에 의해 개시된 IE 브라우저의 Cookie를 설정한다.
도 9에 도시된 바는 본 발명에 따른 실시예 4에서 IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 흐름도인바, 여기서 IMS 단말의 인증 데이터를 H(AI)로 설정하며, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 91: IMS 단말은 비 IMS AS에, IMPU가 포함된 HTTP 요청 메시지를 송신하며, 상기 IMPU는 IMS 시스템에서 IMS 단말을 유일하게 표시하며,
단계 92: 비 IMS AS는 수신된 HTTP 요청 메시지를 인증 게이트웨이에 전달하며,
단계 93: 인증 게이트웨이는 수신된 IMPU를 획득 요청에 포함시켜 HSS에 송신하며,
단계 94: HSS는 수신된 IMPU에 따라 IMPU와 인증 데이터의 대응 관계에서 그에 대응되는 인증 데이터를 찾으며, 이 단계에서 찾아낸 인증 데이터는 H(A1)이며,
단계 95: HSS는 찾아낸 H(A1)를 인증 게이트웨이에 송신하며,
단계 96: 인증 게이트웨이는 생성된 제 1 RAND를 비 IMS AS에 송신하며,
단계 97: 비 IMS AS는 수신된 제 1 RAND를 IMS 단말에 송신하며,
단계 98: IMS 단말은 수신된 제 1 RAND와 자신에 의해 저장된 H(A1)에 따라 제 1 RES를 생성하며,
단계 99: IMS 단말은 생성된 제 1 RES와 제 2 RAND를 비 IMS AS에 송신하며,
단계 910: 비 IMS AS는 상기 제 1 RES와 제 2 RAND를 인증 게이트웨이에 전달하며,
단계 911: 인증 게이트웨이는 HSS에 의해 송신된 H(A1)와 자신에 의해 생성된 제 1 RAND에 따라 XRES를 생성하며,
단계 912: 인증 게이트웨이는 생성된 XRES와 획득된 제 1 RES를 비교하며,
단계 913: 비교 결과가 일치하면 상기 IMS 단말에 대한 인증의 통과를 확인하며,
단계 914: 인증 게이트웨이는 수신된 제 2 RAND와 HSS에 의해 송신된 H(A1)에 따라 제 2 RES를 생성하며,
단계 915: 인증 게이트웨이는 생성된 제 2 RES를 인증 통과 결과에 포함시켜 비 IMS AS에 송신하며,
단계 916: 비 IMS AS는 인증 통과 결과를 IMS 단말에 송신하며,
단계 917: IMS 단말은 생성된 제 2 RAND와 자신에 의해 저장된 H(A1)에 따라 제 3 RES를 생성하며,
단계 918: IMS 단말은 생성된 제 3 RES와 수신된 제 2 RES를 비교하며,
단계 919: 비교한 결과 일치하면 상기 비 IMS AS에 대한 인증의 통과를 확인하며,
단계 920: IMS 단말과 비 IMS AS 사이에서 연결을 설립하여 IMS 단말은 비 IMS AS로부터 비 IMS 서비스를 획득한다.
만약 본 발명에 따른 실시예 4에서 IMS 단말은 IE 브라우저를 통해 비 IMS 서비스를 획득하면 즉 IMS 단말은 IE 브라우저를 가지면, 도 10에 도시된 바와 같이 본 발명에 따른 실시예 5에서 IE 브라우저를 가진 IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 흐름도인바, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 101: IMS 단말은 비 IMS AS에 IMPU가 포함된 HTTP 요청 메시지를 송신하며,
단계 102: 비 IMS AS는 수신된 HTTP 요청 메시지를 인증 게이트웨이에 전달하며,
단계 103: 인증 게이트웨이는 수신된 IMPU를 획득 요청에 포함시켜 HSS에 송신하며,
단계 104: HSS는 수신된 IMPU에 따라 IMPU와 인증 데이터의 대응 관계에서 그에 대응되는 인증 데이터를 찾으며, 이 단계에서 찾아낸 인증 데이터는 H(A1)이며,
단계 105: HSS는 찾아낸 H(A1)를 인증 게이트웨이에 송신하며,
단계 106: 인증 게이트웨이는 생성된 제 1 RAND를 비 IMS AS에 송신하며,
단계 107: 비 IMS AS는 수신된 제 1 RAND를 IMS 단말에 송신하며,
단계 108: IMS 단말은 제 1 RAND와 자신에 의해 저장된 H(A1)에 따라 제 1 RES를 생성하며,
단계 109: IMS 단말은 생성된 제 1 RES와 생성된 제 2 RAND를 비 IMS AS에 송신하며,
단계 1010: 비 IMS AS는 상기 제 1 RES와 제 2 RAND를 인증 게이트웨이에 전달하며,
단계 1011: 인증 게이트웨이는 HSS에 의해 송신된 H(A1)와 생성된 제 1 RAND에 따라 XRES를 생성하며,
단계 1012: 인증 게이트웨이는 생성된 XRES와 획득된 제 1 RES를 비교하며,
단계 1013: 비교 결과가 일치하면 상기 IMS 단말에 대한 인증의 통과를 확인하며,
단계 1014: 인증 게이트웨이는 수신된 제 2 RAND와 HSS에 의해 송신된 H(A1)에 따라 제 2 RES를 생성하며,
단계 1015: 인증 게이트웨이는 HSS에 의해 송신된 H(A1)에 따라 생성된 SessionID에 대해 암호화를 진행하여 EH(A1)(SessionID)를 획득하며,
단계 1016: 인증 게이트웨이는 생성된 제 2 RES, SessionID와 EH (A1)(SessionID)를 인증 통과 결과에 포함시켜 비 IMS AS에 송신하며,
단계 1017: 비 IMS AS는 제 2 RES와 EH (A1)(SessionID)를 인증 통과 결과에 포함시켜 IMS 단말에 송신하며 자신에 IMPU와 SessionID의 대응 관계를 저장하며,
단계 1018: IMS 단말은 자신에 의해 생성된 제 2 RAND와 자신에 의해 저장된 H(A1)에 따라 제 3 RES를 생성하며,
단계 1019: IMS 단말은 생성된 제 3 RES와 수신된 제 2 RES를 비교하며,
단계 1020: 비교 결과가 일치하면 상기 비 IMS AS에 대한 인증의 통과를 확인하며,
단계 1021: IMS 단말은 자신에 의해 저장된 H(A1)에 따라 EH (A1)(SessionID)에 대해 복호화를 진행하여 SessionID를 획득하며,
단계 1022: IMS 단말은 복호화된 SessionID와 IMPU를 범용 자원 로케이터(URL, Universal Resource Locator) 매개변수로 하여 IE 브라우저를 개시하며,
단계 1023: IMS 단말은 IE 브라우저에서 비 IMS AS에, 자신의 IMPU와 복호화된 SessionID가 포함된 HTTP 요청 메시지를 송신하며,
단계 1024: 비 IMS AS는 상기 HTTP 요청 메시지를 수신한 후 IMPU와 SessionID의 저장된 대응 관계에 따라 수신된 IMPU와 SessionID에 대해 인증을 진행하며,
단계 1025: 인증을 통과하면 IMPU와 SessionID의 대응 관계에서 수신된 IMPU와 SessionID를 삭제하여 재생 공격을 방지하며,
단계 1026: 비 IMS AS는 수신된 IMPU와 SessionID에 따라 IMS 단말에 의해 개시된 IE 브라우저의 Cookie를 설정하며,
본 단계 후 상기 IMS 단말은 IE 브라우저를 실행할 때 다시 상기 단계의 인증을 진행할 필요 없이 비 IMS AS에 직접 Cookie 인증의 통과를 요청하며,
단계 1027: IMS 단말과 비 IMS AS 사이에서 연결을 설립하여 IMS 단말은 비 IMS AS로부터 비 IMS 서비스를 획득한다.
상기 두 프로세스에서 비 IMS AS가 비 신뢰 도메인에 위치하며 인증 게이트웨이가 IMS 시스템 내의 네트워크 엘리먼트이므로 인증 게이트웨이의 안전성을 보장하기 위해 인증 게이트웨이와 비 IMS AS 사이에서 설립된 전송 계층 보안/인터넷 프로토콜 보안 채널의 방식을 채용하여 정보 인터랙션을 진행할 수 있어 안전성을 보장하게 한다.
본 발명에 따른 실시예 4에서 또한 인증 게이트웨이는 IMS 단말의 인증 데이터(H(A1))를 암호화하여 예를 들어 비 IMS AS의 도메인 네임에 따라 H(Al)'를 획득한 후 비 IMS AS에 송신하여 차후에 비 IMS AS는 H(Al)'를 채용하여 IMS 단말과 인증을 진행할 수 있으므로 비 IMS AS의 기능을 향상시킨다. 하기 일반적인 IMS 단말과 IE 브라우저를 가지는 IMS 단말을 각각 예로 들어 이 방안을 설명한다.
도 11은 본 발명에 따른 실시예 6에 의해 제공되는 IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 흐름도인바, 그 구체적인 실시 프로세스는 하기 단계를 포함한다.
단계 111: IMS 단말은 비 IMS AS에 IMPU가 포함된 HTTP 요청 메시지를 송신하며,
단계 112: 비 IMS AS는 IMPU에 대응되는 H(Al)'가 저장되어 있는지 여부를 판단하여 저장되어 있으면 직접 제 1 RAND를 생성하고 IMS 단말에 송신하여 IMS 단말과의 인증 과정을 완성하는바, 이 과정은 종래 기술과 일치하므로 더 이상 설명하지 않는다.
저장되어 있지 않으면 비 IMS AS는 수신된 HTTP 요청 메시지를 인증 게이트웨이에 전달하며,
단계 113: 인증 게이트웨이는 수신된 IMPU에 따라 HSS에서 IMS 단말의 인증 데이터를 획득하는바,
구체적으로 인증 게이트웨이는, IMPU가 현재 등록된 S-CSCF의 전체 주소 도메인 이름(FQDN, Fully Qualified Domain Name)을 조회하기 위해 HSS에 LIR 메시지를 송신하며,
HSS는 인증 게이트웨이에 LIA 메시지를 송신하며,
인증 게이트웨이는 HSS에 의해 피드백된 LIA 메시지에 대해 판단을 진행하여, 만약 IMPU가 와일드카드 IMPU이면 비 IMS AS에 실패 응답을 송신하며, 만약 IMPU에 대응되는 IMS 단말이 IMS 시스템에 등록되어 있지 않으면 비 IMS AS에 실패 응답을 리턴하며, 만약 IMPU에 대응되는 IMS 단말이 이미 성공적으로 등록되어 있으면 인증 게이트웨이는 LIA 메시지에서 IMS 단말이 등록된 S-CSCF의 FQDN를 획득하며,
인증 게이트웨이는 IMPU와 IMPI의 대응 관계에 따라 IMS 단말의 IMPI를 찾으며,
인증 게이트웨이는 IMPU, IMPI와 FQDN가 포함된 멀티미디어 인증 요청(MAR, Multimedia Auth Request) 메시지를 HSS에 송신하며,
HSS는, IMS 단말의 인증 데이터(H(A1))가 포함된 멀티미디어 인증 응답(MAA, Multimedia Auth Answer) 메시지를 리턴하며,
단계 114: 인증 게이트웨이는 IMS 단말의 H(A1)를 저장하며 생성된 제 1 RAND를 비 IMS AS에 송신하며,
단계 115: 비 IMS AS는 IMS 단말에 인증 게이트웨이에 의해 생성된 제 1 RAND를 송신하며,
단계 116: IMS 단말은 자신에 의해 저장된 H(A1)와 수신된 제 1 RAND에 따라 제 1 RES를 생성하며,
이 단계에서 IMS 단말은 또한 비 IMS AS의 FQDN(즉 FQDNAS)에 따라 MD5 암호화 알고리즘을 통해 H(A1)에 대해 암호화를 진행하여 H(Al)'를 획득할 수도 있으며,
단계 117: IMS 단말은 비 IMS AS에 생성된 제 1 RES 및 IMS 단말에 의해 생성된 제 2 RAND를 피드백하며,
단계 118: 비 IMS AS는 상기 제 1 RES 및 제 2 RAND를 인증 게이트웨이에 전달하며,
단계 119: 인증 게이트웨이는 H(A1)와 제 1 RAND에 따라 XRES를 생성하며,
단계 1110: 생성된 XRES와 수신된 제 1 RES를 비교하며,
단계 1111: 비교 결과가 일치하면 상기 IMS 단말에 대한 인증의 통과를 확인하며,
단계 1112: 인증 게이트웨이는 수신된 제 2 RAND와 H(A1)에 따라 제 2 RES를 생성하며,
이 단계에서 인증 게이트웨이는 또한 비 IMS AS의 FQDNAS에 따라 MD5 암호화 알고리즘을 통해 H(A1)에 대해 암호화를 진행하여 H(Al)'를 획득할 수도 있으며,
단계 1113: 인증 게이트웨이는 생성된 제 2 RES와 H(Al)'를 인증 통과 결과에 포함시켜 비 IMS AS에 송신하며,
단계 1114: 비 IMS AS는 수신된 H(Al)'와 IMS 단말의 IMPU를 대응되게 저장하며,
단계 1115: 비 IMS AS는, 제 2 RES가 포함된 인증 통과 결과를 IMS 단말에 송신하며,
단계 1116: IMS 단말은 자신에 의해 생성된 제 2 RAND와 자신에 의해 저장된 H(A1)에 따라 제 3 RES를 생성하며,
단계 1117: 생성된 제 3 RES와 수신된 제 2 RES를 비교하며,
단계 1118: 비교 결과가 일치하면 비 IMS AS에 대한 인증의 통과를 확인하며,
단계 1119: 비 IMS AS는 IMS 단말의 Cookie에 대해 설정을 진행하며,
단계 1120: IMS 단말과 비 IMS AS 사이에서 연결을 설립하여 IMS 단말은 비 IMS AS로부터 비 IMS 서비스를 획득하며,
단계 1121: IMS 단말은 차후에 비 IMS AS를 액세스할 시 설정된 Cookie를 지니며,
단계 1122: 상기 Cookie가 효력을 잃은 후 IMS 단말은 비 IMS AS를 액세스할 시 IMS 단말과 비 IMS AS 사이에서 인증 게이트웨이의 참여가 필요 없이 H(Al)'를 통해 인증을 진행하여 인증의 단계와 시간을 절감한다.
상기 과정에서 IMS 단말이 현재 등록된 S-CSCF의 FQDN를 조회하기 위해 인증 게이트웨이와 HSS 사이에서 인터페이스 Sh 외에 Cx 인터페이스 또는 Zh 인터페이스도 채용하여, 인증 인터페이스와 HSS 사이에서 Cx 인터페이스를 채용할 경우 FQDNAS는 현재 IMS 단말의 S-CSCF의 FQDN이며 인증 게이트웨이와 HSS 사이에서 Zh 인터페이스를 채용할 경우 비 IMS AS는 직접 인증 게이트웨이의 FQDN를 채용할 수 있다.
도 12에 도시된 바는 본 발명에 따른 실시예 7에 의해 제공되는, IE 브라우저를 갖는 IMS 단말이 비 IMS 서비스를 획득할 시의 인증 방법의 흐름도인바, 그 구체적인 처리 프로세스는 하기 단계를 포함한다.
단계 121: IMS 단말은 비 IMS AS에, IMPU가 포함된 HTTP 요청 메시지를 송신하며,
단계 122: 비 IMS AS는 IMPU에 대응되는 H(Al)'가 저장되어 있는지 여부를 판단하여 저장되어 있으면 직접 제 1 RAND를 생성하여 IMS 단말에 송신하여 IMS 단말과의 인증 과정을 완성하는바, 이 과정은 종래 기술과 일치하므로 더 이상 설명하지 않는다.
저장되어 있지 않으면 비 IMS AS는 수신된 HTTP 요청 메시지를 인증 게이트웨이에 전달하며,
단계 123: 인증 게이트웨이는 수신된 IMPU에 따라 HSS에서 IMS 단말의 인증 데이터(H(A1))를 획득하며,
단계 124: 인증 게이트웨이는 IMS 단말의 H(A1)를 저장하며 생성된 제 1 RAND를 비 IMS AS에 송신하며,
단계 125: 비 IMS AS는 IMS 단말에, 인증 게이트웨이에 의해 생성된 제 1 RAND를 송신하며,
단계 126: IMS 단말은 자신에 의해 저장된 H(A1)와 수신된 제 1 RAND에 따라 제 1 RES를 생성하며,
이 단계에서 IMS 단말은 또한 비 IMS AS의 FQDNAS에 따라 MD5 암호화 알고리즘을 통해 H(A1)에 대해 암호화를 진행하여 H(Al)'를 획득할 수도 있으며,
단계 127: IMS 단말은 생성된 제 1 RES 및 생성된 제 2 RAND를 비 IMS AS에 리턴하며,
단계 128: 비 IMS AS는 상기 제 1 RES 및 제 2 RAND를 인증 게이트웨이에 전달하며,
단계 129: 인증 게이트웨이는 IMS 단말의 H(A1)와 제 1 RAND에 따라 XRES를 생성하며,
단계 1210: 생성된 XRES와 수신된 제 1 RES를 비교하며,
단계 1211: 비교 결과가 일치하면 상기 IMS 단말에 대한 인증의 통과를 확인하며,
단계 1212: 인증 게이트웨이는 수신된 제 2 RAND와 IMS 단말의 H(A1)에 따라 제 2 RES를 생성하며,
이 단계에서 인증 게이트웨이는 또한, 비 IMS AS와 IMS 단말이 갖는 IE 브라우저의 일회 인터랙션의 세션 식별자로서 SessionID를 생성하여 생성된 SessionID를 H(A1)에 따라 암호화를 진행하여 EH(A1)(SessionID)를 획득하며, 인증 게이트웨이는 또한 비 IMS AS의 FQDNAS에 따라 MD5 암호화 알고리즘을 통해 H(A1)에 대해 암호화를 진행하여 H(Al)'를 획득할 수도 있으며,
단계 1213: 인증 게이트웨이는 획득된 제 2 RES, H(Al)' 및 EH (A1)(SessionID)를 인증 통과 결과에 포함시켜 비 IMS AS에 송신하며,
단계 1214: 비 IMS AS는 수신된 H(Al)' 와 SessionID 및 IMS 단말의 IMPU를 대응되게 저장하며,
단계 1215: 비 IMS AS는 제 2 RES와 EH (A1)(SessionID)가 포함된 인증 통과 결과를 IMS 단말에 송신하며,
단계 1216: IMS 단말은 생성된 제 2 RAND, SessionID 및 자신에 의해 저장된 H(A1)에 따라 제 3 RES를 생성하며,
단계 1217: 생성된 제 3 RES와 수신된 제 2 RES를 비교하며,
단계 1218: 비교 결과가 일치하면 비 IMS AS에 대한 인증의 통과를 확인하며,
단계 1219: IMS 단말은 EH (A1)(SessionID)에 대해 복호화를 진행하여 SessionID를 획득하며,
이 단계에서 IMS 단말의 Cookie에 대해 설정을 진행하는 것을 더 포함하며,
이 단계에서 상기 인증 통과 결과는 200OK 메시지를 통해 송신될 수 있지만 이에 제한되지 않으며,
단계 1220: IMS 단말은 SessionID와 IMPU를 URL 매개변수로 하여 IE 브라우저를 개시하며, 비 IMS AS에 HTTP 요청 메시지를 송신하며, IMPU와 SessionID를 포함하며,
단계 1221: 비 IMS AS는 상기 HTTP 요청 메시지를 수신한 후 IMPU와 SessionID의 저장된 대응 관계에 따라 수신된 IMPU와 SessionID에 대해 인증을 진행하며,
단계 1222: 인증을 통과하면 IMPU와 SessionID의 대응 관계에서, 수신된 IMPU와 SessionID를 삭제하여 재생 공격을 방지하며,
단계 1223: 수신된 IMPU와 SessionID에 따라 IMS 단말에 의해 개시된 IE 브라우저의 Cookie를 설정하며,
이 단계 후 상기 IMS 단말은 IE 브라우저를 실행할 때 다시 상기 단계의 인증을 진행할 필요 없이 비 IMS AS에 직접 Cookie 인증의 통과를 요청하며,
단계 1224: IMS 단말과 비 IMS AS 사이에서 연결을 설립하여 IMS 단말은 비 IMS AS로부터 비 IMS 서비스를 획득하며,
단계 1225: 상기 Cookie가 효력을 잃은 후 IMS 단말이 비 IMS AS를 액세스할 시 IMS 단말과 비 IMS AS 사이에서 인증 게이트웨이의 참여가 필요 없이 H(Al)'를 통해 인증을 진행하여 인증의 단계와 시간을 절감한다.
상기 두 개의 실시예에 있어서 인증 게이트웨이가 HSS로부터 IMS 단말의 인증 데이터를 획득할 때 HSS는 인증 게이트웨이에 의해 송신된 MAR 요청 메시지를 수신한 후 그 중의 Server-name에 지정된 S-CSCF와 자신에 이미 저장된 S-CSCF의 일치 여부를 비교하여 만약 불일치하면 IMS 단말에 대해 현재 서빙하는 S-CSCF의 등록 취소 과정을 트리거하게 되며 이러한 문제점을 방지하기 위해 본 발명에 의해 제공되는 방법은 두 가지 해결 방식이 있다.
방식 1: 인증 게이트웨이에 IMS 단말의 IMPU과 S-CSCF 사이의 대응 관계를 구성하여 인증 게이트웨이는 상기 MAR 인증 요청을 전달할 때 S-CSCF 정보를 포함시키며,
방식 2: 인증 게이트웨이는 비 IMS AS에 의해 송신된 연결 요청을 수신할 때 HSS에 LIR 요청 메시지를 송신하여 IMS 단말을 현재 서빙하는 S-CSCF를 획득한 후 MAR 요청 메시지에 S-CSCF 메시지를 포함시킨다.
본 발명에 있어서 IMS 단말은 첫 번째 인증을 거친 후 인증 게이트웨이는 IMS 단말의 인증 데이터와 제 1 RAND를 저장하여 다음 인증 시 다시 사용하여 인증할 수 있다. 저장 시 정기적으로 갱신할 수 있다.
본 발명에 의해 제공되는 인증 시스템, 방법 및 장치를 채용하여 IMS 단말과 상이한 비 IMS AS 사이의 통일된 인증 플랫폼을 제공하여 비 IMS 서비스의 획득 시의 복잡성을 줄이고 사용자의 사용감을 개선하며, 비 IMS AS는 IMS 단말의 인증 매개변수/인증 데이터를 지니지 않으므로 비 IMS AS의 인증 과정과 데이터 유지 부담을 줄이며, 설정된 인증 게이트웨이는 인증 시 IMS 단말의 인증 매개변수/인증 데이터를 비 IMS AS에 송신하지 않기에 변조, 도청 및 위조 인증을 방지하며, IE 브라우저를 통해 비 IMS 서비스를 획득하는 IMS 단말은 인증 과정에서 암호화된 SessionID를 채용하여 전송을 진행함으로써 SessionID에 대한 변조를 방지하며 SessionID의 전송과 저장 관계의 처리를 통해 재생 공격을 방지한다.
본 발명에 따른 실시예는 인증 게이트웨이를 제공하며, 도 13에 도시된 바와 같이 상기 인증 게이트웨이는 제 1 수신 유닛(131), 획득 유닛(132), 제 1 송신 유닛(133), 제 2 수신 유닛(134), 비교 유닛(135), 확인 유닛(136) 및 지시 유닛(137)을 포함하는바, 여기서,
제 1 수신 유닛(131)은, IMS 단말이 비 IMS 서비스를 제공하는 AS를 통해 송신하는 연결 요청 메시지를 수신하며,
획득 유닛(132)은 제 1 RAND와 상기 IMS 단말의 XRES를 획득하며,
제 1 송신 유닛(133)은 획득 유닛(132)에 의해 획득된 제 1 RAND를 상기 AS를 통해 상기 IMS 단말에 송신하며,
제 2 수신 유닛(134)은, 상기 IMS 단말이 상기 AS를 통해 송신한 제 1 RES를 수신하며 상기 제 1 RES는, 상기 IMS 단말이 상기 제 1 RAND에 따라 생성하는 것이며,
비교 유닛(135)은 제 2 수신 유닛(134)에 의해 수신된 제 1 RES와 획득 유닛(132)에 의해 획득된 XRES의 일치 여부를 비교하며,
확인 유닛(136)은 비교 유닛(135)의 비교 결과가 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며,
지시 유닛(137)은 상기 AS에 상기 IMS 단말을 위해 비 IMS 서비스를 제공하라 지시한다.
바람직하게 획득 유닛(132)은 상기 IMS 단말의 인증 매개변수를 획득하며, 상기 인증 매개변수는 제 1 RAND와 상기 IMS 단말의 XRES를 포함한다.
더 바람직하게 제 1 수신 유닛(131)에 의해 수신된 연결 요청 메시지에는 상기 IMS 단말의 IMPU를 포함하며,
획득 유닛(132)은 구체적으로,
제 1 수신 유닛(131)에 의해 수신된 상기 IMPU가 포함된 획득 요청을 HSS에 송신하는 송신 서브 유닛; 및
상기 HSS에 의해 송신된 인증 매개변수를 수신하는 수신 서브 유닛을 포함하며, 여기서 상기 인증 매개변수는, 상기 HSS가 상기 IMPU에 따라 IMPU와 인증 매개변수의 대응 관계에서 찾아낸 것이다.
더 바람직하게 획득 유닛(132)에 의해 획득된 인증 매개변수에는 제 1 AUTN가 더 포함되며,
상기 인증 게이트웨이는, 제 2 수신 유닛(134)이 상기 AS를 통해 송신된 상기 IMS 단말의 제 1 RES를 수신하기 전에 획득 유닛에 의해 획득된 제 1 AUTN를 상기 AS를 통해 상기 IMS 단말에 송신하는 제 2 송신 유닛을 더 포함한다.
더 바람직하게, 상기 인증 게이트웨이는,
지시 유닛(137)이 상기 AS에 상기 IMS 단말을 위해 비 IMS 서비스를 제공하라 지시하기 전에 상기 IMS 단말이 차후에 비 IMS 서비스를 획득하는데 필요한 공유 암호키를 확정하는 확정 유닛; 및
확정 유닛에 의해 확정된 공유 암호키를 상기 AS에 송신하는 제 3 송신 유닛을 더 포함한다.
바람직하게 획득 유닛(132)은 구체적으로 제 1 생성 서브 유닛. 획득 서브 유닛 및 제 2 생성 서브 유닛을 포함하는바, 여기서,
제 1 생성 서브 유닛은 제 1 RAND를 생성하며,
획득 서브 유닛은 상기 IMS 단말의 인증 데이터를 획득하며;
제 2 생성 서브 유닛은 제 1 생성 서브 유닛에 의해 생성된 제 1 RAND와 획득 서브 유닛에 의해 획득된 인증 데이터에 따라 상기 IMS 단말의 XRES를 생성한다.
더 바람직하게 제 3 수신 유닛, 생성 유닛 및 제 4 송신 유닛을 더 포함하는바, 여기서,
제 3 수신 유닛은, 상기 IMS 단말이 상기 AS를 통해 송신하는 제 2 RAND를 수신하며,
생성 유닛은 제 3 수신 유닛에 의해 수신된 제 2 RAND와 획득 서브 유닛에 의해 획득된 인증 데이터에 따라 제 2 RES를 생성하며,
제 4 송신 유닛은 생성 유닛에 의해 생성된 제 2 RES를 상기 AS를 통해 상기 IMS 단말에 송신한다.
상기 지시 유닛(137)은 인증 통과 결과를 상기 AS에 송신하여 상기 AS에 상기 IMS 단말을 위해 비 IMS 서비스를 제공하라 지시한다.
본 발명에 따른 실시예는, 비 IMS 서비스를 제공하는 AS를 제공하며, 도 14에 도시된 바와 같이 상기 AS는 제 1 수신 유닛(141), 제 1 전달 유닛(142), 제 2 수신 유닛(143), 제 2 전달 유닛(144), 제 3 수신 유닛(145), 제 3 전달 유닛(146) 및 제공 유닛(147)을 포함하는바, 여기서,
제 1 수신 유닛(141)은 IMS 단말에 의해 송신된 연결 요청 메시지를 수신하며,
제 1 전달 유닛(142)은 제 1 수신 유닛(141)에 의해 수신된 연결 요청 메시지를 인증 게이트웨이에 전달하며,
제 2 수신 유닛(143)은 인증 게이트웨이에 의해 송신된 제 1 RAND를 수신하며,
제 2 전달 유닛(144)은 제 2 수신 유닛(143)에 의해 수신된 제 1 RAND를 상기 IMS 단말에 전달하며,
제 3 수신 유닛(145)은 상기 IMS 단말에 의해 송신된 제 1 RES를 수신하며,
제 3 전달 유닛(146)은 제 3 수신 유닛(145)에 의해 수신된 제 1 RES를 상기 인증 게이트웨이에 전달하며,
제공 유닛(147)은 상기 인증 게이트웨이의 지시에 따라 상기 IMS 단말에 비 IMS 서비스를 제공한다.
바람직하게 상기 AS는 제 4 수신 유닛 및 제 4 전달 유닛을 더 포함하는바, 여기서,
제 4 수신 유닛은, 제 3 수신 유닛(145)이 제 1 RES를 수신하기 전에 인증 게이트웨이에 의해 송신된 AUTN를 수신하며,
제 4 전달 유닛은 제 4 수신 유닛에 의해 수신된 AUTN를 상기 IMS 단말에 전달한다.
바람직하게 제공 유닛(147)은 구체적으로,
상기 인증 게이트웨이에 의해 송신된 인증 통과 결과를 수신하는 수신 서브 유닛;
수신 서브 유닛이 인증 통과 결과를 수신한 후 상기 IMS 단말과의 연결을 설립하는 연결 설립 서브 유닛; 및
연결 설립 서브 유닛에 의해 설립된 연결을 통해 상기 IMS 단말에 비 IMS 서비스를 제공하는 제공 서브 유닛을 포함한다.
바람직하게 상기 AS는, 제공 유닛(147)이 상기 IMS 단말에 비 IMS 서비스를 제공하기 전에 상기 인증 게이트웨이에 의해 송신된 공유 암호키를 수신하여 저장하는 제 5 수신 유닛을 더 포함한다.
더 바람직하게 만약 상기 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득하면 상기 AS는,
SessionID를 생성하는 생성 유닛;
제 5 수신 유닛에 의해 수신된 공유 암호키에 따라 생성 유닛에 의해 생성된 SessionID에 대해 암호화를 진행하는 암호화 유닛;
암호화 유닛에 의해 암호화된 SessionID를 상기 IMS 단말에 송신하는 송신 유닛;
상기 IMS 단말에 의해 송신된, IMPU와 SessionID가 포함된 연결 요청 메시지를 수신하는 제 6 수신 유닛; 및
제 6 수신 유닛에 의해 수신된 IMPU와 SessionID에 따라 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하는 설정 유닛을 더 포함한다.
더 바람직하게 상기 AS는,
송신 유닛이 암호화 유닛에 의해 암호화된 SessionID를 상기 IMS 단말에 송신하기 전에 생성 유닛에 의해 생성된 SessionID와 상기 IMS 단말의 IMPU를 대응하게 저장하는 저장 유닛;
설정 유닛이 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하기 전에 저장 유닛의 SessionID와 IMPU의 대응 관계에 따라 제 6 수신 유닛에 의해 수신된 IMPU와 SessionID에 대해 검증을 진행하는 검증 유닛; 및
검증 유닛의 검증 결과가 검증 통과인 후 저장 유닛에 의해 저장된 SessionID와 IMPU의 대응 관계에서 제 6 수신 유닛에 의해 수신된 상기 IMPU와 SessionID를 삭제하는 삭제 유닛을 더 포함한다.
바람직하게 제 7 수신 유닛, 제 5 전달 유닛, 제 8 수신 유닛 및 제 6 전달 유닛을 더 포함하는바, 여기서,
제 7 수신 유닛은 상기 IMS 단말에 의해 송신된 제 2 RAND를 수신하며,
제 5 전달 유닛은 제 7 수신 유닛에 의해 수신된 제 2 RAND를 상기 인증 게이트웨이에 전달하며,
제 8 수신 유닛은 인증 게이트웨이에 의해 송신된 제 2 RES를 수신하며,
제 6 전달 유닛은 제 8 수신 유닛에 의해 수신된 제 2 RES를 상기 IMS 단말에 전달한다.
본 발명에 따른 실시예는 IMS 단말을 제공하며, 도 15에 도시된 바와 같이 상기 IMS 단말은 제 1 송신 유닛(151), 제 1 수신 유닛(152), 제 1 생성 유닛(153), 제 2 송신 유닛(154) 및 서비스 획득 유닛(155)을 포함하는바, 여기서,
제 1 송신 유닛(151)은 비 IMS 서비스를 제공하는 AS에 연결 요청 메시지를 송신하며,
제 1 수신 유닛(152)은, 인증 게이트웨이가 상기 AS를 통해 송신하는 제 1 RAND를 수신하며,
제 1 생성 유닛(153)은 제 1 수신 유닛(152)에 의해 수신된 제 1 RAND에 따라 제 1 RES를 생성하며,
제 2 송신 유닛(154)은 제 1 생성 유닛(153)에 의해 생성된 제 1 RES를 상기 AS에 송신하며,
서비스 획득 유닛(155)은 상기 AS로부터 비 IMS 서비스를 획득한다.
바람직하게 상기 IMS 단말은 제 2 수신 유닛, 제 2 생성 유닛, 제 1 비교 유닛 및 제 1 확인 유닛을 더 포함하는바, 여기서,
제 2 수신 유닛은, 제 1 생성 유닛(153)이 제 1 RES를 생성하기 전에 상기 인증 게이트웨이가 상기 AS를 통해 송신하는 제 1 AUTN를 수신하며,
제 2 생성 유닛은 제 1 수신 유닛(152)에 의해 수신된 제 1 RAND에 따라 제 2 AUTN를 생성하며,
제 1 비교 유닛은 제 2 생성 유닛에 의해 생성된 제 2 AUTN와 제 2 수신 유닛에 의해 수신된 제 1 AUTN의 일치 여부를 비교하며,
제 1 확인 유닛은 제 1 비교 유닛의 비교 결과가 일치할 경우 상기 AS에 대한 인증의 통과를 확인한다.
바람직하게 제 3 생성 유닛, 제 3 송신 유닛, 제 3 수신 유닛, 제 4 생성 유닛, 제 2 비교 유닛 및 제 2 확인 유닛을 더 포함하는바, 여기서,
제 3 생성 유닛은 제 2 RAND를 생성하며,
제 3 송신 유닛은 제 3 생성 유닛에 의해 생성된 제 2 RAND를 상기 AS를 통해 상기 인증 게이트웨이에 송신하며,
제 3 수신 유닛은, 상기 인증 게이트웨이가 상기 AS를 통해 송신하는 제 2 RES를 수신하며,
제 4 생성 유닛은 제 3 생성 유닛에 의해 생성된 제 2 RAND와 자신의 인증 데이터에 따라 제 3 RES를 생성하며,
제 2 비교 유닛은 제 3 수신 유닛에 의해 수신된 제 2 RES와 제 4 생성 유닛에 의해 생성된 제 3 RES의 일치 여부를 비교하며,
제 2 확인 유닛은 제 2 비교 유닛의 비교 결과가 일치할 경우 상기 AS에 대한 인증의 통과를 확인한다.
당업자들은 본 발명의 사상과 범위를 초과하지 않는 전제하에서 본 발명에 대해 여러 가지 수정과 변형을 진행할 수 있음은 물론이다. 따라서 본 발명의 이러한 수정과 변형이 본 발명의 청구항 및 그 균등한 기술의 범위 내에 속한다면 본 발명은 이러한 수정과 변형도 포함한다.

Claims (30)

  1. 비 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 서비스를 제공하는 응용 서버(AS), 인증 게이트웨이 및 IMS 단말을 포함하는바,
    상기 AS는 IMS 단말에 의해 송신되는 연결 요청 메시지를 상기 인증 게이트웨이에 전달하며 인증 게이트웨이에 의해 송신되는 제 1 난수를 상기 IMS 단말에 전달하며, 상기 IMS 단말에 의해 피드백되는, 상기 제 1 난수에 의해 생성되는 제 1 응답 값을 상기 인증 게이트웨이에 송신하며 상기 인증 게이트웨이의 지시에 따라 상기 IMS 단말에 비 IMS 서비스를 제공하며,
    상기 인증 게이트웨이는 제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하여 획득된 제 1 난수를 상기 AS에 송신하며 AS에 의해 송신되는 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하며,
    상기 IMS 단말은 상기 AS에 연결 요청 메시지를 송신하며 상기 AS에 의해 송신되는 제 1 난수에 따라 제 1 응답 값을 생성하며 생성된 제 1 응답 값을 상기 AS에 송신하는 것을 특징으로 하는 인증 시스템.
  2. 제 1 항에 있어서,
    인증 게이트웨이는 상기 IMS 단말의 인증 매개변수를 획득함으로써 제 1 난수와 상기 기대 응답 값을 획득하는바, 상기 인증 매개변수에는 제 1 난수와 상기 IMS 단말의 기대 응답 값이 포함되는 것을 특징으로 하는 인증 시스템.
  3. 제 2 항에 있어서,
    인증 게이트웨이에 의해 획득되는 인증 매개변수에는 제 1 인증 토큰(AUTN)이 더 포함되며,
    인증 게이트웨이는 또한 상기 AS을 통해 송신되는 상기 IMS 단말의 제 1 응답 값을 수신하기 전에, 획득된 제 1 AUTN를 상기 AS에 송신하며,
    AS는 또한 인증 게이트웨이에 의해 송신되는 제 1 AUTN를 상기 IMS 단말에 송신하며,
    IMS 단말은 또한 제 1 응답 값을 생성하기 전에 상기 제 1 난수에 따라 제 2 AUTN를 생성하며 생성된 제 2 AUTN와 수신된 제 1 AUTN를 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하는 것을 특징으로 하는 인증 시스템.
  4. 제 1 항에 있어서,
    상기 제 1 난수는 상기 인증 게이트웨이에 의해 생성되며, 상기 기대 응답 값은, 상기 인증 게이트웨이가 상기 IMS 단말의 인증 데이터를 획득하여 상기 생성된 제 1 난수와 획득된 인증 데이터에 따라 생성되는 것을 특징으로 하는 인증 시스템.
  5. 제 4 항에 있어서,
    IMS 단말은 또한 제 2 난수를 생성하며 생성된 제 2 난수를 AS에 송신하여 AS에 의해 송신되는 제 2 응답 값을 수신하여 상기 제 2 난수와 자신의 인증 데이터에 따라 제 3 응답 값을 생성하여, 상기 수신된 제 2 응답 값과 생성된 제 3 응답 값을 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하여 AS에 의해 제공되는 비 IMS 서비스를 획득하며,
    AS는 또한 IMS 단말에 의해 송신되는 제 2 난수를 상기 인증 게이트웨이에 송신하여 상기 인증 게이트웨이에 의해 송신되는 제 2 응답 값을 상기 IMS 단말에 송신하며,
    인증 게이트웨이는 또한 상기 AS에 의해 송신되는 제 2 난수를 수신하여 수신된 제 2 난수와 획득된 인증 데이터에 따라 제 2 응답 값을 생성하여 생성된 제 2 응답 값을 상기 AS에 송신하는 것을 특징으로 하는 인증 시스템.
  6. 인증 게이트웨이가, 비 IMS 서비스를 제공하는 응용 서버(AS)를 통해 송신되는 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 단말의 연결 요청 메시지를 수신하며,
    제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하는 단계;
    상기 인증 게이트웨이가 상기 획득된 제 1 난수를, 상기 AS를 통해 상기 IMS 단말에 송신하며,
    상기 AS를 통해 상기 IMS 단말에 의해 송신되는, 상기 제 1 난수에 따라 상기 IMS 단말에 의해 생성되는 제 1 응답 값을 수신하는 단계; 및
    상기 인증 게이트웨이가 상기 수신되는 제 1 응답 값과 획득된 기대 응답 값을 비교한 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하며,
    상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하는 단계를 포함하는 것을 특징으로 하는 인증 방법.
  7. 제 6 항에 있어서,
    인증 게이트웨이가 제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하는 것은 구체적으로,
    인증 게이트웨이가, 제 1 난수와 상기 IMS 단말의 기대 응답 값이 포함되는 상기 IMS 단말의 인증 매개변수를 획득하는 단계를 포함하는 것을 특징으로 하는 인증 방법.
  8. 제 7 항에 있어서,
    인증 게이트웨이에 의해 획득되는 인증 매개변수는 제 1 인증 토큰(AUTN)을 더 포함하며,
    인증 게이트웨이는 상기 AS를 통해 송신되는 상기 IMS 단말의 제 1 응답 값을 수신하기 전에, 상기 획득되는 제 1 AUTN를 상기 AS를 통해 상기 IMS 단말에 송신하며,
    상기 IMS 단말이 제 1 응답 값을 생성하기 전에,
    상기 IMS 단말이 상기 제 1 난수에 따라 제 2 AUTN를 생성하며,
    생성되는 제 2 AUTN와 수신된 제 1 AUTN를 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  9. 제 7 항에 있어서,
    인증 게이트웨이가 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하기 전에,
    인증 게이트웨이와 상기 IMS 단말이 각각 상기 IMS 단말의 차후의 비 IMS 서비스 획득에 필요한 공유 암호키를 확정하는 단계;
    상기 인증 게이트웨이가 상기 확정된 공유 암호키를 상기 AS에 송신하는 단계;
    상기 AS가 상기 공유 암호키를 수신하여 저장하는 단계; 및
    상기 IMS 단말이 차후에 비 IMS 서비스를 획득할 때 상기 AS가 상기 공유 암호키에 따라 상기 IMS 단말에 대해 인증을 진행하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  10. 제 9 항에 있어서,
    만약 상기 IMS 단말은 IE 브라우저를 통해 비 IMS 서비스를 획득하면 상기 AS가 상기 공유 암호키를 수신하여 저장한 후에,
    상기 AS가 상기 수신된 공유 암호키에 따라, 생성되는 세션 식별자에 대해 암호화를 진행한 후 상기 IMS 단말에 송신하는 단계;
    상기 IMS 단말이 상기 확정된 공유 암호키에 따라, 수신되는 암호화된 세션 식별자에 대해 복호화를 진행하며,
    복호화하여 얻은 세션 식별자와 자신의 IMPU에 따라 IE 브라우저를 개시한 후 IE 브라우저를 통해, 상기 IMPU와 복호화하여 얻은 세션 식별자가 포함되는 연결 요청 메시지를 상기 AS에 송신하는 단계; 및
    수신되는 IMPU와 세션 식별자에 따라, 상기 AS가 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  11. 제 10 항에 있어서,
    상기 AS는 암호화된 세션 식별자를 상기 IMS 단말에 송신하기 전에, 상기 생성되는 세션 식별자와 상기 IMPU를 대응되게 저장하며,
    상기 AS가 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하기 전에,
    상기 AS가 상기 저장되는 세션 식별자와 IMPU의 대응 관계에 따라, 수신되는 IMPU와 세션 식별자에 대해 검증을 진행하며,
    검증을 통과한 후 세션 식별자와 IMPU의 대응 관계에서, 상기 수신되는 상기 IMPU와 세션 식별자를 삭제하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  12. 제 6 항에 있어서,
    인증 게이트웨이가 제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하는 것은 구체적으로,
    인증 게이트웨이가 제 1 난수를 생성하는 단계;
    상기 IMS 단말의 인증 데이터를 획득하는 단계; 및
    생성된 제 1 난수와 획득된 인증 데이터에 따라 상기 IMS 단말의 기대 응답 값을 생성하는 단계를 포함하는 것을 특징으로 하는 인증 방법.
  13. 제 12 항에 있어서,
    상기 인증 게이트웨이가 상기 AS를 통해 송신되는 상기 IMS 단말의 제 2 난수를 수신하는 단계;
    수신된 제 2 난수와 획득된 인증 데이터에 따라 제 2 응답 값을 생성하는 단계;
    상기 AS를 통해, 생성된 제 2 응답 값을 상기 IMS 단말에 송신하는 단계;
    상기 IMS 단말이 상기 제 2 난수와 자신의 인증 데이터에 따라 제 3 응답 값을 생성하는 단계; 및
    수신된 제 2 응답 값과 생성된 제 3 응답 값을 비교한 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  14. 제 12 항에 있어서,
    만약 상기 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득하면,
    인증 게이트웨이가 세션 식별자를 생성하며,
    상기 획득된 인증 데이터에 따라, 상기 생성되는 세션 식별자에 대해 암호화를 진행한 후 상기 AS를 통해 상기 IMS 단말에 송신하는 단계;
    상기 IMS 단말이 자신의 인증 데이터에 따라, 상기 수신되는 암호화된 세션 식별자에 대해 복호화를 진행하며,
    복호화하여 얻은 세션 식별자와 자신의 IMPU에 따라 IE 브라우저를 개시한 후 IE 브라우저를 통해 상기 IMPU와 복호화하여 얻은 세션 식별자가 포함되는 연결 요청 메시지를 상기 AS에 송신하는 단계; 및
    상기 AS는 상기 수신되는 IMPU와 세션 식별자에 따라, 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  15. 제 12 항에 있어서,
    인증 게이트웨이가 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하기 전에,
    상기 IMS 단말이 상기 AS의 도메인 네임 정보에 따라 자신의 인증 데이터에 대해 암호화를 진행하며,
    암호화된 인증 데이터를 상기 AS에 송신하는 단계; 및
    상기 IMS 단말이 차후에 비 IMS 서비스를 획득할 때 상기 AS가 상기 암호화된 인증 데이터에 따라 상기 IMS 단말에 대해 인증을 진행하는 단계를 더 포함하는 것을 특징으로 하는 인증 방법.
  16. 비 IMS 서비스를 제공하는 응용 서버(AS)를 통해 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 단말에 의해 송신되는 연결 요청 메시지를 수신하기 위한 제 1 수신 유닛;
    제 1 난수와 상기 IMS 단말의 기대 응답 값을 획득하기 위한 획득 유닛;
    상기 AS를 통해, 획득 유닛에 의해 획득되는 제 1 난수를 상기 IMS 단말에 송신하기 위한 제 1 송신 유닛;
    상기 AS를 통해 상기 IMS 단말에 의해 송신되는, 상기 제 1 난수에 따라 상기 IMS 단말에 의해 생성되는 제 1 응답 값을 수신하기 위한 제 2 수신 유닛;
    제 2 수신 유닛에 의해 수신되는 제 1 응답 값과 획득 유닛에 의해 획득되는 기대 응답 값의 일치 여부를 비교하기 위한 비교 유닛;
    비교 유닛의 비교 결과 일치할 경우 상기 IMS 단말에 대한 인증의 통과를 확인하기 위한 확인 유닛; 및
    상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하기 위한 지시 유닛을 포함하는 것을 특징으로 하는 인증 게이트웨이.
  17. 제 16 항에 있어서,
    획득 유닛은 상기 IMS 단말의 인증 매개변수를 획득하며, 상기 인증 매개변수는 제 1 난수와 상기 IMS 단말의 기대 응답 값을 포함하는 것을 특징으로 하는 인증 게이트웨이.
  18. 제 17 항에 있어서,
    획득 유닛에 의해 획득되는 인증 매개변수에는 제 1 인증 토큰(AUTN)이 더 포함되며,
    상기 인증 게이트웨이는, 제 2 수신 유닛이 상기 AS를 통해 송신되는 상기 IMS 단말의 제 1 RES를 수신하기 전에, 획득 유닛에 의해 획득되는 제 1 AUTN를 상기 AS를 통해 상기 IMS 단말에 송신하기 위한 제 2 송신 유닛을 더 포함하는 것을 특징으로 하는 인증 게이트웨이.
  19. 제 17 항에 있어서,
    지시 유닛이 상기 AS로 하여금 상기 IMS 단말을 위해 비 IMS 서비스를 제공하도록 지시하기 전에, 상기 IMS 단말의 차후의 비 IMS 서비스 획득에 필요한 공유 암호키를 확정하기 위한 확정 유닛; 및
    확정 유닛에 의해 확정되는 공유 암호키를 상기 AS에 송신하기 위한 제 3 송신 유닛을 더 포함하는 것을 특징으로 하는 인증 게이트웨이.
  20. 제 16 항에 있어서,
    획득 유닛은 구체적으로,
    제 1 난수를 생성하기 위한 제 1 생성 서브 유닛;
    상기 IMS 단말의 인증 데이터를 획득하기 위한 획득 서브 유닛; 및
    제 1 생성 서브 유닛에 의해 생성되는 제 1 난수와 획득 서브 유닛에 의해 획득되는 인증 데이터에 따라 상기 IMS 단말의 기대 응답 값을 생성하기 위한 제 2 생성 서브 유닛을 포함하는 것을 특징으로 하는 인증 게이트웨이.
  21. 제 20 항에 있어서,
    상기 AS를 통해 상기 IMS 단말에 의해 송신되는 제 2 난수를 수신하기 위한 제 3 수신 유닛;
    제 3 수신 유닛에 의해 수신되는 제 2 난수와 획득 서브 유닛에 의해 획득되는 인증 데이터에 따라 제 2 응답 값을 생성하기 위한 생성 유닛; 및
    상기 AS를 통해, 생성 유닛에 의해 생성되는 제 2 응답 값을 상기 IMS 단말에 송신하기 위한 제 4 송신 유닛을 더 포함하는 것을 특징으로 하는 인증 게이트웨이.
  22. 비 인터넷 프로토콜 멀티 미디어 서브시스템(IMS) 서비스를 제공하는 응용 서버에 있어서,
    IMS 단말에 의해 송신되는 연결 요청 메시지를 수신하기 위한 제 1 수신 유닛;
    제 1 수신 유닛에 의해 수신되는 연결 요청 메시지를 인증 게이트웨이에 전달하기 위한 제 1 전달 유닛;
    인증 게이트웨이에 의해 송신되는 제 1 난수를 수신하기 위한 제 2 수신 유닛;
    제 2 수신 유닛에 의해 수신되는 제 1 난수를 상기 IMS 단말에 전달하기 위한 제 2 전달 유닛;
    상기 IMS 단말에 의해 송신되는 제 1 응답 값을 수신하기 위한 제 3 수신 유닛;
    제 3 수신 유닛에 의해 수신되는 제 1 응답 값을 상기 인증 게이트웨이에 전달하기 위한 제 3 전달 유닛; 및
    상기 인증 게이트웨이의 지시에 따라 상기 IMS 단말에 비 IMS 서비스를 제공하기 위한 제공 유닛을 포함하는 것을 특징으로 하는 응용 서버.
  23. 제 22 항에 있어서,
    제 3 수신 유닛이 제 1 응답 값을 수신하기 전에, 인증 게이트웨이에 의해 송신되는 인증 토큰(AUTN)을 수신하기 위한 제 4 수신 유닛; 및
    제 4 수신 유닛에 의해 수신되는 AUTN를 상기 IMS 단말에 전달하기 위한 제 4 전달 유닛을 더 포함하는 것을 특징으로 하는 응용 서버.
  24. 제 22 항에 있어서,
    제공 유닛에는 구체적으로,
    상기 인증 게이트웨이에 의해 송신되는 인증 통과 결과를 수신하기 위한 수신 서브 유닛;
    수신 서브 유닛이 인증 통과 결과를 수신한 후, 상기 IMS 단말과의 연결을 설립하기 위한 연결 설립 서브 유닛; 및
    연결 설립 서브 유닛에 의해 설립되는 연결을 통해 상기 IMS 단말에 비 IMS 서비스를 제공하기 위한 제공 서브 유닛을 포함하는 것을 특징으로 하는 응용 서버.
  25. 제 22 항에 있어서,
    제공 유닛이 상기 IMS 단말에 비 IMS 서비스를 제공하기 전에, 상기 인증 게이트웨이에 의해 송신되는 공유 암호키를 수신하여 저장하기 위한 제 5 수신 유닛을 더 포함하며
    만약 상기 IMS 단말이 IE 브라우저를 통해 비 IMS 서비스를 획득하면 상기 응용 서버는,
    세션 식별자를 생성하기 위한 생성 유닛;
    제 5 수신 유닛에 의해 수신되는 공유 암호키에 따라, 생성 유닛에 의해 생성되는 세션 식별자에 대해 암호화를 진행하기 위한 암호화 유닛;
    암호화 유닛에 의해 암호화된 세션 식별자를 상기 IMS 단말에 송신하기 위한 송신 유닛;
    상기 IMS 단말에 의해 송신되는, IMPU와 세션 식별자가 포함되는 연결 요청 메시지를 수신하기 위한 제 6 수신 유닛; 및
    제 6 수신 유닛에 의해 수신되는 IMPU와 세션 식별자에 따라 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하기 위한 설정 유닛을 더 포함하는 것을 특징으로 하는 응용 서버.
  26. 제 25 항에 있어서,
    송신 유닛이 암호화 유닛에 의해 암호화된 세션 식별자를 상기 IMS 단말에 송신하기 전에, 생성 유닛에 의해 생성되는 세션 식별자와 상기 IMS 단말의 IMPU를 대응되게 저장하기 위한 저장 유닛;
    설정 유닛이 상기 IMS 단말에 의해 개시되는 IE 브라우저의 Cookie를 설정하기 전에, 저장 유닛의 세션 식별자와 IMPU의 대응 관계에 따라 제 6 수신 유닛에 의해 수신되는 IMPU와 세션 식별자에 대해 검증을 진행하기 위한 검증 유닛; 및
    검증 유닛의 검증 결과가 검증 통과인 후, 저장 유닛에 의해 저장된 세션 식별자와 IMPU의 대응 관계에서 제 6 수신 유닛에 의해 수신된 상기 IMPU와 세션 식별자를 삭제하기 위한 삭제 유닛을 더 포함하는 것을 특징으로 하는 응용 서버.
  27. 제 22 항에 있어서,
    상기 IMS 단말에 의해 송신된 제 2 난수를 수신하기 위한 제 7 수신 유닛;
    제 7 수신 유닛에 의해 수신되는 제 2 난수를 상기 인증 게이트웨이에 전달하기 위한 제 5 전달 유닛;
    인증 게이트웨이에 의해 송신되는 제 2 응답 값을 수신하기 위한 제 8 수신 유닛; 및
    제 8 수신 유닛에 의해 수신되는 제 2 응답 값을 상기 IMS 단말에 전달하기 위한 제 6 전달 유닛을 더 포함하는 것을 특징으로 하는 응용 서버.
  28. 비 인터넷 프로토콜 멀티미디어 서브시스템(IMS) 서비스를 제공하는 응용 서버(AS)에 연결 요청 메시지를 송신하기 위한 제 1 송신 유닛;
    상기 AS를 통해 인증 게이트웨이에 의해 송신되는 제 1 난수를 수신하기 위한 제 1 수신 유닛;
    제 1 수신 유닛에 의해 수신되는 제 1 난수에 따라 제 1 응답 값을 생성하기 위한 제 1 생성 유닛;
    제 1 생성 유닛에 의해 생성되는 제 1 응답 값을 상기 AS에 송신하기 위한 제 2 송신 유닛; 및
    상기 AS로부터 비 IMS 서비스를 획득하기 위한 서비스 획득 유닛을 포함하는 것을 특징으로 하는 인터넷 프로토콜 멀티미디어 서브시스템 단말.
  29. 제 28 항에 있어서,
    제 1 생성 유닛이 제 1 응답 값을 생성하기 전에, 상기 AS를 통해 상기 인증 게이트웨이에 의해 송신되는 제 1 인증 토큰(AUTN)을 수신하기 위한 제 2 수신 유닛;
    제 1 수신 유닛에 의해 수신되는 상기 제 1 난수에 따라 제 2 AUTN를 생성하기 위한 제 2 생성 유닛;
    제 2 생성 유닛에 의해 생성되는 제 2 AUTN와 제 2 수신 유닛에 의해 수신되는 제 1 AUTN의 일치 여부를 비교하기 위한 제 1 비교 유닛; 및
    제 1 비교 유닛의 비교 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하기 위한 제 1 확인 유닛을 더 포함하는 것을 특징으로 하는 인터넷 프로토콜 멀티미디어 서브시스템 단말.
  30. 제 28 항에 있어서,
    제 2 난수를 생성하기 위한 제 3 생성 유닛;
    상기 AS를 통해, 제 3 생성 유닛에 의해 생성되는 제 2 난수를 상기 인증 게이트웨이에 송신하기 위한 제 3 송신 유닛;
    상기 AS를 통해 상기 인증 게이트웨이에 의해 송신되는 제 2 응답 값을 수신하기 위한 제 3 수신 유닛;
    제 3 생성 유닛에 의해 생성되는 제 2 난수와 자신의 인증 데이터에 따라 제 3 응답 값을 생성하기 위한 제 4 생성 유닛;
    제 3 수신 유닛에 의해 수신되는 제 2 응답 값과 제 4 생성 유닛에 의해 생성되는 제 3 응답 값의 일치 여부를 비교하기 위한 제 2 비교 유닛; 및
    제 2 비교 유닛의 비교 결과 일치할 경우 상기 AS에 대한 인증의 통과를 확인하기 위한 제 2 확인 유닛을 더 포함하는 것을 특징으로 하는 인터넷 프로토콜 멀티미디어 서브시스템 단말.
KR1020127016492A 2009-11-26 2010-11-26 인증 시스템, 방법 및 장치 KR101343039B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN200910238579.4 2009-11-26
CN200910238579.4A CN102082769B (zh) 2009-11-26 2009-11-26 Ims终端在获取非ims业务时的认证系统、装置及方法
CN 200910243503 CN102111379B (zh) 2009-12-24 2009-12-24 认证系统、方法及设备
CN200910243503.0 2009-12-24
PCT/CN2010/001907 WO2011063612A1 (zh) 2009-11-26 2010-11-26 认证系统、方法及设备

Publications (2)

Publication Number Publication Date
KR20120098805A KR20120098805A (ko) 2012-09-05
KR101343039B1 true KR101343039B1 (ko) 2013-12-18

Family

ID=44065837

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127016492A KR101343039B1 (ko) 2009-11-26 2010-11-26 인증 시스템, 방법 및 장치

Country Status (6)

Country Link
US (1) US8959343B2 (ko)
EP (1) EP2506615B1 (ko)
JP (1) JP5378606B2 (ko)
KR (1) KR101343039B1 (ko)
RU (1) RU2541172C2 (ko)
WO (1) WO2011063612A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2735203B1 (en) * 2011-07-22 2019-05-08 BlackBerry Limited Method and apparatuses for using non-ims connections in ims sessions
US8762559B2 (en) * 2011-12-16 2014-06-24 Robert L. Engelhart System and method for non-IMS application service access over IP multimedia subsystem
US9686284B2 (en) 2013-03-07 2017-06-20 T-Mobile Usa, Inc. Extending and re-using an IP multimedia subsystem (IMS)
US9992183B2 (en) * 2013-03-15 2018-06-05 T-Mobile Usa, Inc. Using an IP multimedia subsystem for HTTP session authentication
KR101482938B1 (ko) * 2013-04-22 2015-01-21 주식회사 네이블커뮤니케이션즈 인증 메시지 보안 방법, 이를 수행하는 인증 메시지 보안 서버 및 사용자 단말
US9985967B2 (en) * 2013-05-29 2018-05-29 Telefonaktiebolaget Lm Ericsson (Publ) Gateway, client device and methods for facilitating communication between a client device and an application server
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
CN106487744B (zh) * 2015-08-25 2020-06-05 北京京东尚科信息技术有限公司 一种基于Redis存储的Shiro验证方法
CN109803261B (zh) * 2017-11-17 2021-06-22 华为技术有限公司 鉴权方法、设备及系统
US10990356B2 (en) * 2019-02-18 2021-04-27 Quantum Lock Technologies LLC Tamper-resistant smart factory
US10715996B1 (en) 2019-06-06 2020-07-14 T-Mobile Usa, Inc. Transparent provisioning of a third-party service for a user device on a telecommunications network
CN111400777B (zh) * 2019-11-14 2023-05-02 杭州海康威视系统技术有限公司 一种网络存储系统、用户认证方法、装置及设备
CN112152996B (zh) * 2020-08-19 2022-09-20 杭州数梦工场科技有限公司 基于网关级联的数据传输方法、装置、设备和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080304495A1 (en) 2007-06-08 2008-12-11 At&T Knowledge Ventures, L.P. System for communicating with an internet protocol multimedia subsystem network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2291593C2 (ru) * 2002-08-16 2007-01-10 Сименс Акциенгезелльшафт Способ идентификации оконечного устройства связи
US7835528B2 (en) * 2005-09-26 2010-11-16 Nokia Corporation Method and apparatus for refreshing keys within a bootstrapping architecture
CN100428718C (zh) 2005-10-19 2008-10-22 华为技术有限公司 一种非ims移动终端接入ims域的鉴权注册方法及装置
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
EP1964349B1 (en) * 2005-12-19 2015-12-16 Telefonaktiebolaget LM Ericsson (publ) Technique for providing interoperability between different protocol domains
US8285983B2 (en) * 2006-05-15 2012-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatuses for establishing a secure channel between a user terminal and a SIP server
US7940748B2 (en) * 2006-11-17 2011-05-10 At&T Intellectual Property I, Lp Systems, methods and computer program products supporting provision of web services using IMS
CN101197673B (zh) * 2006-12-05 2011-08-10 中兴通讯股份有限公司 固定网络接入ims双向认证及密钥分发方法
JP5091569B2 (ja) * 2007-07-11 2012-12-05 株式会社日立製作所 サービス毎通信制御装置、システム及び方法
JP4980813B2 (ja) * 2007-07-23 2012-07-18 株式会社エヌ・ティ・ティ・ドコモ 認証処理装置、認証処理方法及び認証処理システム
CN101127603B (zh) 2007-08-16 2010-08-04 中兴通讯股份有限公司 一种实现门户网站单点登录的方法及ims客户端
CN101577910B (zh) * 2008-07-29 2011-03-16 中兴通讯股份有限公司 一种ip多媒体子系统中的注册鉴权方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080304495A1 (en) 2007-06-08 2008-12-11 At&T Knowledge Ventures, L.P. System for communicating with an internet protocol multimedia subsystem network

Also Published As

Publication number Publication date
RU2541172C2 (ru) 2015-02-10
US20120265990A1 (en) 2012-10-18
RU2012125663A (ru) 2013-12-27
KR20120098805A (ko) 2012-09-05
EP2506615A1 (en) 2012-10-03
JP5378606B2 (ja) 2013-12-25
WO2011063612A1 (zh) 2011-06-03
EP2506615B1 (en) 2019-07-24
EP2506615A4 (en) 2017-01-25
US8959343B2 (en) 2015-02-17
JP2013512594A (ja) 2013-04-11

Similar Documents

Publication Publication Date Title
KR101343039B1 (ko) 인증 시스템, 방법 및 장치
EP1879324B1 (en) A method for authenticating user terminal in ip multimedia sub-system
KR101461455B1 (ko) 인증 방법, 시스템 및 장치
US9385863B2 (en) System and method for authenticating a communication device
JP6330916B2 (ja) webRTCのためのシステム及び方法
US8713634B2 (en) Systems, methods and computer program products supporting provision of web services using IMS
WO2007098660A1 (fr) Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
US20160156623A1 (en) Method and System for Transmitting and Receiving Data, Method and Device for Processing Message
US8284935B2 (en) Method, devices and computer program product for encoding and decoding media data
WO2006072209A1 (fr) Procede de negociation d'une cle dans un sous-systeme multimedia ip
WO2007000115A1 (fr) Procede d'authentification de dispositif recevant un message de demande sip
US20040043756A1 (en) Method and system for authentication in IP multimedia core network system (IMS)
WO2008025272A1 (fr) Système de protocole d'ouverture de session, moyen pour établir un canal de sécurité et procédé correspondant
CN102111379B (zh) 认证系统、方法及设备
JP2009303188A (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
WO2011035579A1 (zh) Wapi终端接入ims网络的认证方法、系统和终端
WO2007098669A1 (fr) Procédé, système et dispositif d'authentification de terminal d'utilisateur
WO2013004104A1 (zh) 单点登录方法及系统
WO2012126299A1 (zh) 组合认证系统及认证方法
WO2011147258A1 (zh) 一种实现卡鉴权的方法、系统及用户设备
CN102082769B (zh) Ims终端在获取非ims业务时的认证系统、装置及方法
WO2012072098A1 (en) Cross-authentication arrangement
WO2008037196A1 (fr) Procédé, système et dispositif d'authentification dans un ims
WO2012072099A1 (en) Cross-authentication arrangement
WO2007051430A1 (fr) Procede de modification de mot de passe d’authentification, serveur d’agent utilisateur et client d’agent utilisateur base sur sip

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161205

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171127

Year of fee payment: 5