KR101427447B1 - 원 패스 인증 메커니즘 및 시스템 - Google Patents

원 패스 인증 메커니즘 및 시스템 Download PDF

Info

Publication number
KR101427447B1
KR101427447B1 KR1020107018451A KR20107018451A KR101427447B1 KR 101427447 B1 KR101427447 B1 KR 101427447B1 KR 1020107018451 A KR1020107018451 A KR 1020107018451A KR 20107018451 A KR20107018451 A KR 20107018451A KR 101427447 B1 KR101427447 B1 KR 101427447B1
Authority
KR
South Korea
Prior art keywords
authentication
user
network
identification information
user identification
Prior art date
Application number
KR1020107018451A
Other languages
English (en)
Other versions
KR20100123834A (ko
Inventor
젱시옹 레이
수퀴앙 얀
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20100123834A publication Critical patent/KR20100123834A/ko
Application granted granted Critical
Publication of KR101427447B1 publication Critical patent/KR101427447B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명에 의해 이종 네트워크용 원 패스 인증 메커니즘 및 시스템이 제공된다. 이 메커니즘은 제 1 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 인증키 및 인증 알고리즘에 기초하여 사용자를 인증하는 단계로서, 인증키 및 인증 알고리즘은 제 1 네트워크에 대한 제 1 사용자 식별정보 및 제 2 네트워크에 대한 제 2 사용자 식별정보와 연관되는, 인증 단계와, 인증이 성공적인 경우, 사용자에 의해 제공된 제 2 사용자 식별정보를 통해 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보를 인증시에 사용자에 의해 제공된 제 1 사용자 식별정보와 비교하는 단계와, 만약 검색된 제 1 사용자 식별정보가 사용자에 의해 제공된 제 1 사용자 식별정보와 일치한다면, 제 2 네트워크에 등록하고자 하는 사용자의 요청에 응답하여, 사용자와 제 2 네트워크 사이의 보안 연관을 셋업하는 단계를 포함한다.

Description

원 패스 인증 메커니즘 및 시스템{ONE-PASS AUTHENTICATION MECHANISM AND SYSTEM FOR HETEROGENEOUS NETWORKS}
본 발명은 일반적으로 인증 분야에 관한 것으로, 보다 구체적으로는 이종 네트워크(heterogeneous network)용 원 패스 인증 메커니즘 및 시스템에 관한 것이다.
차세대 통신 네트워크는 데이터 레이트, 라디오 커버리지, 배치 비용 및 멀티미디어 서비스에 대한 다양한 요구사항으로 인한 다양한 네트워크 아키텍처의 공존으로 특징화된다. 3GPP(3rd Generation Partnership Project)는 집적화된 무선 LAN(로컬 영역 네트워크)/UMTS(Universal Mobile Telecommunication System) 네트워크에서의 로밍 메커니즘을 동적으로 명시하고 있다. 이러한 시나리오는 오직 특정 이종 네트워크임을 인지해야 한다. IEEE 802.16 표준(WiMAX)은 최종 마일을 브릿징하고, 비용이 높은 와이어선을 대체하며 고속 멀티미디어 서비스를 제공하는 무선 MAN(Wireless Metropolitan Area Networks)에 대해 명시된 광역 무선 액세스 시스템을 합병한다. 멀티미디어 서비스 제공은 차세대 네트워크에 대한 주요 요구사항 및 동기 중 하나이다. 이러한 목표를 달성하기 위해서, IP 멀티미디어 서브시스템(IMS)이 예컨대 음성 전화, 비디오 회의, 실시간 스트리밍 미디어, 상호작용 게임 및 인스턴트 메시징과 같은 멀티미디어 서비스를 제공하는 코어 네트워크 부분으로서 추가된다. 멀티미디어 세션 관리, 초기화 및 종료가 SIP(Session Initiation Protocol)에 명시 및 구현된다.
WiMAX 및 IMS는 현재 글로벌 시장에서 사용된다. WiMAX는 IMS를 통한 인터넷 프로토콜(IP) 멀티미디어 서비스를 지원한다. 운영자 및 판매자는 모두 WiMAX 이동국(MS)이 IMS에 액세스하는 방식과 사용자 경험을 향상시키기 위한 방법에 관심을 갖는다. IMS 정보가 WiMAX 수송 네트워크를 통해 전달되기 때문에, WiMAX MS는 이것이 IMS 네트워크로 등록될 수 있기 이전에 WiMAX IP 접속가능 액세스 네트워크(IP-CAN; WiMAX IP Connectivity Access Network)를 활성화해야만 한다. 실질적인 기술적 도전은 네트워크의 성능과 가입자의 경험을 고려하여 이러한 이종 네트워크들에 걸친 보안 아키텍처와 프로토콜을 설계 및 구현하는 것이다. 예를 들어, 네트워크 보안 관리의 체계에서의 가장 중요한 특성들 중 하나는 가입자가 네트워크를 인증할 수 있으며 그 네트워크 역시 가입자를 인증할 수 있는 상호 인증 메커니즘이다.
관련된 WiMAX 포럼 및 3GPP 명세에서, 인증은 MS가 IMS 서비스로 액세스할 수 있기 이전에 WiMAX 네트워크 레벨과 IMS 네트워크 레벨 모두에서 수행된다. 예를 들어, 도 1에 도시된 바와 같이 확장가능한 인증 프로토콜-인증 및 키 일치(EAP-AKA; Extensible Authentication Protocol-Authentication and Key Agreement)가 WiMAX 네트워크 레벨에서 WiMAX MS를 인증하는 데에 사용될 수 있는 반면, IMS-AKA는 IMS 레벨에서의 인증 방법이다. 이러한 전체 인증 절차는 두 가지 독립적인 하위-절차, 즉 WiMAX IP-CAN 레벨에서의 하위-절차(도 1의 상단부를 참조) 및 IMS 레벨에서의 다른 인증 하위-절차(도 1의 하단부를 참조)를 포함한다. 단순화를 위해, 우리는 이러한 전체 인증 절차를 "투 패스(two-pass)" 인증 절차라고 지칭한다. 기술적인 문제는 MS가 WiMAX를 통해 IMS로 액세스할 때 사용될 수 있는 원 패스 WiMAX 및 IMS 인증 메커니즘을 어떻게 설계하는가 하는 문제이다.
현재 이용가능한 원 패스 WiMAX 및 IMS 인증 메커니즘은 존재하지 않는다. Yi-Bing Lin 외 다수는 2005년 6월 공개된 선택된 통신 영역에 대한 IEEE 저널 Vol.23, no.6, pp.1233-1239의 "One-Pass GPRS and IMS Authentication Procedure for UMTS"에서 원 패스 인증 절차를 제안한다. 그러나, 이 문서는 오직 UMTS에 대한 원 패스 GPRS 및 IMS 인증 절차만을 포함하고 있을 뿐 WiMAX에는 적용될 수 없다. 또한, 상기 문서는 MS와 P-CSCF(Proxy Call Session Control Function) 사이의 보안 연관(security association)을 셋업하는 방법을 제안하지 않고 사용자가 IMS 네트워크를 올바르게 인증한다는 것을 증명하지 못한다.
다른 한편으로, WiMAX 및 IMS 인증에 대한 현존하는 솔루션은 일반적인 "투 패스" 인증 절차이며, 이것은 "원 패스" 인증 절차에 비하여 등록/인증 트래픽과 같은 보다 많은 네트워크 트래픽을 수반한다.
본 발명의 목적은 이종 네트워크용 원 패스 인증 메커니즘 및 시스템을 제공하는 것으로, 보다 구체적으로는 MS가 WiMAX를 통해 IMS로 액세스할 때 사용될 수 있는 원 패스 인증 메커니즘을 제공하는 것이다. 제안된 원 패스 WiMAX 및 IMS 인증 메커니즘은 오직 WiMAX 인증만을 수행하면 되므로, IMS 등록/인증 트래픽을 뚜렷하게 감소시키고, 네트워크의 성능을 향상시키며 가입자의 경험을 증진시킨다.
본 발명의 일 측면에서, 이종 네트워크용 원 패스 인증 메커니즘이 제공된다. 이 메커니즘은 제 1 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 인증키 및 인증 알고리즘에 기초하여 사용자를 인증하는 단계 -인증키 및 인증 알고리즘은 제 1 네트워크에 대한 제 1 사용자 식별정보 및 제 2 네트워크에 대한 제 2 사용자 식별정보와 연관됨- 와, 인증이 성공적인 경우, 제 2 네트워크에 등록하고자 하는 사용자의 요청에 응답하여, 사용자에 의해 제공된 제 2 사용자 식별정보를 통해 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보를 인증시에 사용자에 의해 제공된 제 1 사용자 식별정보와 비교하는 단계와, 만약 검색된 제 1 사용자 식별정보가 사용자에 의해 제공된 제 1 사용자 식별정보와 일치한다면, 사용자와 제 2 네트워크 사이의 보안 연관을 셋업하는 단계를 포함한다.
본 발명의 다른 측면에서, 이종 네트워크용 원 패스 인증 시스템이 제공된다. 이 시스템은 제 1 네트워크에 대한 제 1 사용자 식별정보, 제 2 네트워크에 대한 제 2 사용자 식별정보, 제 1 및 제 2 사용자 식별정보와 연관된 인증키 및 인증 알고리즘을 저장하는 인증 데이터베이스와, 제 1 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 인증키 및 인증 알고리즘에 기초해 사용자를 인증하도록 구성되는 제 1 인증 서버와, 제 2 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 사용자에 의해 제공된 제 2 사용자 식별정보를 통해 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보와 상기 인증에서 사용자에 의해 제공된 제 1 사용자 식별정보를 비교하고, 만약 검색된 제 1 사용자 식별정보가 사용자에 의해 제공된 제 1 사용자 식별정보와 일치한다면 상기 사용자와 제 2 네트워크 사이의 보안 연관을 셋업하도록 구성되는 제 2 인증 서버를 포함한다.
도 1은 종래 기술의 투 패스 WiMAX 및 IMS 인증 절차를 도시한 예시적인 메시지 흐름도,
도 2는 본 발명의 실시예에 따른 원 패스 인증 메커니즘에 대한 기능적인 아키텍처를 개략적으로 도시한 도면,
도 3은 본 발명의 실시예에 따른 원 패스 WiMAX 및 IMS 인증 절차를 도시한 예시적인 메시지 흐름도,
도 4는 본 발명의 실시예에 따른 투 패스 절차에 대한 원 패스 절차의 트래픽-비용 절감을 도시한 도면,
도 5는 본 발명의 실시예에 따른 원 패스 인증 메커니즘을 도시한 개략적인 순서도.
본 발명의 신규한 특성들이 첨부된 특허청구범위에 기술되었다. 본 발명과 본 발명의 목적 및 장점이 첨부된 도면을 참조하여 아래의 바람직한 실시예에 대한 상세한 설명으로부터 잘 이해될 것이다.
도 1은 종래 기술의 투 패스 WiMAX 및 IMS 인증 절차를 도시한 예시적인 메시지 흐름도이다. 도 1에서, 인증은 위에 나타내어진 바와 같이 MS가 IMS 서비스로 액세스할 수 있기 이전에 WiMAX 네트워크 레벨과 IMS 네트워크 레벨 모두에서 수행된다. WiMAX 네트워크 레벨에서, 예를 들어 EAP-AKA는 WiMAX MS에 대한 인증 절차를 수행하도록 사용된다. 이러한 인증 절차는 도 1에서 단계(101-125)로 표시되었으며 이후에 도 3과 관련하여 추가로 기술될 초기 네트워크 엔트리, WiMAX 액세스 네트워크 인증 및 IP-CAN 세션 확립 절차로 구성된다. 그러나, IMS 네트워크 레벨에서, MS는 단계(126-133)로 도시된 IMS-AKA과 같은 다른 인증 절차를 통해 인증되어야만 한다. 이러한 "투 패스(two-pass)" 인증 절차에서의 일부 단계들이 동일하기 때문에, 본 발명은 WiMAX 인증을 수행하기만 하면 되는 원 패스(one-pass) 인증 절차를 제안한다. IMS 레벨에서, 인증은 명백하게 IMS 등록(registration)에서 수행된다. 이러한 인증 메커니즘은 투 패스 절차와 비교하였을 때 최소 25% 내지 50%까지 IMS 등록/인증 네트워크 트래픽을 절약할 수 있으며, 이는 도 4를 참조로 기술될 것이다.
본 발명에서, WiMAX 네트워크 레벨에서의 WiMAX 사용자 인증에 있어서, MS는 WiMAX NWG 명세 "WiMAX Forum Network Architecture stage 3, Detailed Protocols and Procedures"에 명시된 바와 같이 EAP-AKA 또는 EAP-TTLS 중 적어도 하나를 지원할 수 있다. EAP-AKA가 WiMAX 사용자 인증에 사용될 때, MS는 2006년 1월 공개된 IETF RFC4187의 "Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)"에 기술된 인증 절차를 지원할 수 있고, Subscriber Credentials(SUBC)(WiMAX 가입을 인증하는 데에 사용됨)이 RFC4187에서 규정된 인증 벡터의 생성에 사용되는 크리덴셜(credential)일 수 있다. 또한, NWG 명세는 SUBC가 배치(deployment)에 의존하며 SUBC가 홈 네트워크 및 MS에 의해 알려진다는 것을 명시한다. 그러나, NWG 명세는 SUBC의 포맷을 규정하지는 않는다.
본 발명의 맥락에서, EAP-AKA가 WiMAX 사용자 인증에 사용되며 SUBC가 IMS 인증에서 사용되는 장기간 보안 키 K와 동일하다는 것을 가정한다. 다시 말하면, WiMAX 인증 절차 및 IMS 인증 절차는 동일한 인증키 K 및 인증 함수(인증 벡터를 생성하는 데에 사용됨)를 사용한다. 이러한 가정은 WiMAX 네트워크와 IMS 네트워크가 동일한 운영자에 속하거나 WiMAX 네트워크 운영자가 IMS 네트워크 운영자와 일치하였을 경우에 타당하다.
이러한 가정에 기초하여, 우리는 아래의 결론을 도출할 수 있다. 첫째로, 투 패스 인증 절차에서, 사용자 인증은 WiMAX 네트워크 레벨에서 먼저 수행되며, 그 다음 IMS 네트워크 레벨에서 인증이 수행된다. IMS-AKA가 IMS 인증에 사용되고 EAP-AKA 방법이 WiMAX 인증에 사용되기 때문에, 이러한 "투 패스" 인증 절차에서 대부분의 단계들이 동일하다. 둘째로, WiMAX 인증 절차 및 IMS 인증 절차는 동일한 인증키 K와 인증 함수를 사용한다. 따라서, WiMAX 사용자가 WiMAX 네트워크 레벨에서 성공적으로 인증되었을 때, WiMAX 단말 내의 장기간 사전공유 IMS 보안 키 K가 IMS 네트워크에서의 것(HSS(Home Subscriber Server)에서 찾을 수 있음)과 동일하다는 것을 의미하며, 즉 MS와 IMS 네트워크 사이에서 상호 인증이 획득된다.
상기의 결론으로부터, 제안된 원 패스 인증 절차가 오직 WiMAX 인증만을 수행하면 된다는 것이 이해될 수 있다. IMS 레벨에서, 인증은 명백하게 IMS 등록에서 수행된다. 아래에서는 원 패스 절차가 MS와 IMS 레벨에서의 네트워크 사이의 상호 인증을 획득한다는 것이 공식적으로 증명될 것이다. 또한 본 발명이 WiMAX/IMS 인증 트래픽을 얼마나 절약하는지가 평가될 것이다.
본 명세서 전반에 걸쳐 사용되는 "일 실시예", "실시예" 또는 이와 유사한 용어는 그 실시예와 관련하여 기술되는 특정한 특성, 구성 또는 특징이 본 발명의 적어도 하나의 실시예에 포함됨을 의미한다. 따라서, 본 명세서 전반에서 나타나는 "일 실시예에서", "실시예에서" 및 그외 유사한 표현은 모두 동일한 실시예를 지칭할 수 있지만 반드시 그러한 것은 아니다.
도 2를 참조하면, 본 발명의 실시예에 따른 원 패스 인증 메커니즘에 대한 기능적 아키텍처(200)를 개략적으로 도시한다. 도 2에 도시된 바와 같이, 기능적 아키텍처(200)는 WiMAX 인증을 위한 개선된 AAA(Authentication Authorization Accounting) 서버(202) 및 IMS 인증을 위한 I/S-CSCF(Interrogating/Serving Call Session Control Function)(204)과 같은 다수의 관련 기능 엔티티 및 인터페이스를 포함할 수 있다. 이러한 개선된 AAA 서버(202)는 HSS(201)로부터 인증 벡터와 같은 인증 파라미터를 검색할 수 있는 직경 기반(Diameter based) 인터페이스를 구비한다. CSN(Connectivity Service Network) 내의 AAA 프록시(203)는 WiMAX 네트워크 내의 개선된 AAA 서버(202)와 ASN GW(Access Service Network Gateway)(207) 사이에서 인증 메시지를 프록시한다. IMS 네트워크에서, 예를 들어, I/S CSCF(204)는 HSS(201)와의 Cx 메시지 전달을 통해 인증 벡터 분산 절차를 적용할 수 있다. 홈 에이전트(HA)(206) 및 P-CSCF(205)는 ASN GW(207)과 I/S-CSCF(204) 사이의 통신을 도울 수 있다. BS(208)는 MS(209)와 ASN GW(207)를 통한 통신 네트워크 사이의 상호작용을 용이하게 한다.
일 예시적인 실시예에서, WiMAX 가입자가 IMS 가입자이기도 하며 그 가입자가 WiMAX와 IMS 네트워크에 액세스하는 데에 동일한 MS를 사용하는 경우, 다음이 가정된다:
(1) EAP-AKA가 WiMAX 사용자 인증에 사용된다.
(2) (WiMAX 사용자 인증에 사용되는 장기간 보안 키인) SUBC가 IMS 인증에서 사용되는 장기간 사전공유 보안 키 K와 동일하며, SUBC(K)는 MS와 HSS 내에 저장된다.
(3) 인증키 K 외에도, 인증 함수들이 WiMAX와 IMS 인증 레벨 사이에서 공유된다. 다시 말하면, WiMAX 인증 절차와 IMS 인증 절차는 동일한 인증 함수와 동일한 인증키 K를 사용한다.
(4) AAA 서버는 HSS로부터 인증 벡터를 검색하도록 직경 기반 인터페이스를 이용하여 개선된다. 이러한 개선된 AAA 서버는 3GPP I-WLAN 명세(TS 23.234)에서의 3GGP AAA 서버의 서브세트일 수 있다. 3GPP AAA의 Wx 인터페이스는 HSS로부터 인증 벡터를 검색하는 데에 사용될 수 있다. 따라서 3GPP AAA 서버는 본 발명의 솔루션에서 재사용될 수 있다.
(5) WiMAX 사용자가 IMS 서비스에 가입하였을 때, IMS 운영자는 해당 사용자에게 IMPI 값인 impi 외에도 IMSI 값인 imsi를 할당한다. 다시 말하면, WiMAX MS는 IMPI 값인 impi 및 IMSI 값인 imsi를 가지며, HSS는 해당하는 사용자/MS에 대해 imsi 및 impi를 저장한다. imsi가 WiMAX 네트워크 인증 레벨에 K 값 k를 위치시키는 데에 사용되는 반면, impi는 IMS 네트워크 인증 레벨에 K 값 k를 위치시키는 데에 사용된다. 가정 (2) 및 (3)에서 설명된 바와 같이, imsi와 impi는 동일한 K 값 k 및 인증 함수들과 연관된다. WiMAX MS에서, imsi는 (WiMAX 네트워크 레벨에서의 EAP 기반 인증에 사용되는) 외부-식별정보(outer-identity)/내부-식별정보(inner-identity)를 획득하는 데에 사용될 것이다.
(6) 본 발명의 접근법에서, ASN GW는 (도 3의 단계(326)에서 상술되는) SIP 메시지의 포맷을 수정할 수 있는 SIP 애플리케이션 레벨 게이트웨이(ALG)를 구현할 수 있다.
이러한 가정은 WiMAX 네트워크와 IMS 네트워크가 동일한 운영자에 속하거나 WiMAX 네트워크 운영자가 IMS 네트워크 운영자와 일치하였을 경우에 타당하다.
따라서, 도 2의 기능적 아키텍처를 고려하면, 네트워크 레벨에서, MS(209)는 MS의 IMSI 값인 imsi 값에 기초하여 HSS(201)로부터 인증 벡터를 검색할 수 있는 개선된 AAA 서버(202)에 의해 인증된다. CSN(203) 내의 AAA 프록시는 ASN GW(207)와 개선된 AAA 서버(202) 사이의 인증 메시지를 프록시할 수 있다. IMS 네트워크 레벨에서, MS(209)는 HSS(201)로부터 MS의 IMPI 값인 impi에 기초하여 인증 벡터를 검색할 수 있는 S-CSCF(204)에 의해 인증된다. 가정 (2) 및 (3)에 기술된 바와 같이, HSS(201)과 WiMAX MS(209)는 네트워크에 의해 MS(209)로 할당된 impi(IMS 인증 레벨에서 사용됨) 및 imsi(WiMAX 네트워크 인증 레벨에서 사용됨)와 연관되는 동일한 인증 함수들 및 동일한 장기간 보안 키 K를 공유한다.
본 발명의 예시적인 실시예에 대한 아래의 상세한 설명에서, 원 패스 인증 메커니즘을 통해 WiMAX 네트워크 레벨과 IMS 네트워크 레벨 모두에서 WiMAX MS를 인증하는 방법이 설명될 것이다.
도 3을 참조하면, 원 패스 WiMAX 및 IMS 인증 절차의 예시적인 메시지 흐름도가 본 발명의 실시예에 따라 도시되었다. 이 절차는 두 부분으로 이루어지며, WiMAX 부분은 WiMAX 네트워크 레벨에서의 인증 절차를 나타내는 반면 IMS 부분은 IMS 네트워크 레벨에서의 인증 절차를 나타낸다. 이러한 절차에서, MS는 P-CSCF 및 I-CSCF를 통해 S-CSCF와 상호작용할 수 있다. 논의를 단순화하기 위해서, 도 3은 CSCF의 프록시, 질의(interrogating) 및 서비스 기능을 대표하도록 "CSCF"라는 용어를 사용한다.
단계(301)에 도시된 바와 같이 WiMAX 무선 링크 액세스를 위한 초기화가 종료되고 MS(209)와 같은 MS와 BS(208)와 같은 WiMAX BS 사이의 기본 성능 협상이 성공적으로 확립되면, BS는 단계(302)에서 ASN GW(207)과 같은 ASN GW에게 새로운 MS의 네트워크로의 진입에 대해 알려준다.
MS의 식별정보를 요청하기 위해서, 단계(303, 304)에 도시된 바와 같이, ASN GW는 BS를 통해서 EAP-Request/Identity 메시지를 MS로 전달할 수 있다. 그 다음 단계(305, 306)에 도시된 바와 같이, MS는 "WiMAX Forum Network Architecture stage 3, Detaied Protocols and Procedures"에 명시된 포맷에 따르는 자신의 외부-식별정보를 갖는 EAP-Response/Identity를 BS를 통해서 ASN GW에게 다시 전달한다. 외부-식별정보는 이전의 인증에서 MS에게 할당된 가명(pseudonym), 또는 제 1 인증의 경우에는 IMSI 값인 imsi를 포함한다. 외부-식별정보의 username 필드는 EAP-AKA 인증 방법이 사용되었음을 나타내기 위해 3GPP TS 23.003에 따른다. 외부-식별정보의 username 필드는 예를 들어 EAP-AKA 인증에 있어서 "O<imsi>@WiMAX.mnc<MNC>.mcc<MCC>.3gppnetwork.org"일 수 있다.
단계(307)에서, ASN GW는 MS에 의해 제공된 외부-식별정보를 분석하고 WiMAX MS에 대한 imsi를 저장한다. EAP-Response/Identity 메시지는 외부-식별정보의 라우팅 레음 파트(Routing realm part) 및 레음 파트에 기초하는 하나 이상의 AAA 프록시를 통해서 적절한 개선된 AAA 서버로 라우팅된다. AAA 프록시는 WiMAX 포럼에서의 "WiMAX End-to-End Network Systems Architecture, (Stage 3: WiMAX 3GPP Interworking)"에 따라 전달 메시지를 수정할 수 있다.
개선된 AAA 서버는 수신된 외부-식별정보에 기초하여 EAP-AKA를 이용한 인증에 대한 후보자로서 가입자를 식별하고, 단계(308)에 기술된 바와 같이, 가입자가 이용가능한 사용되지 않은 인증 벡터를 갖는지를 검사한다. 만약 개선된 AAA 서버가 사용되지 않은 인증 벡터를 가지면, 단계(308)는 스킵된다. 만약 그렇지 않으면, 개선된 AAA 서버가 HSS(201)과 같은 HSS에게 직경 기반 메시지를 전송한다(파라미터 imsi를 가짐). HSS는 MS의 기록(장기간 보안 키 K 및 인증 함수 등을 포함)을 검색하는 데에 imsi를 사용할 수 있고, 이에 기초하여 인증 벡터들(예컨대, RAND, AUTN, XRES, IK, CK)의 순서화된 어레이를 생성한다. HSS는 개선된 AAA 서버로 AV 어레이를 전송할 수 있다.
단계(309 내지 314)에서, 개선된 AAA 서버는 EAP Request/AKA Identity 메시지를 이용함으로써 다시 사용자 식별정보를 요청한다. MS는 자신이 EAP Response Identity 메시지에서 사용했던 동일한 식별정보(내부-식별정보로 지칭됨)로 응답한다.
단계(315)에서 만약 WiMAX 가입자가 이용가능한 사용되지 않은 인증 벡터가 존재하지 않으면, 개선된 AAA 서버는 단계(308)에서와 같이 HSS로부터 인증 벡터(AV)의 순서화된 어레이를 검색할 것이다.
단계(316 내지 318)에서, 개선된 AAA 서버는 순서화된 AV 어레이로부터 사용되지 않은 다음 인증 벡터를 선택하고, CK, IK 및 사용자 식별정보로부터 마스터 세션 키(MSK), 확장된 마스터 세션 키(EMSK) 등과 같은 관련된 개인 정보를 도출한다. 예를 들어, MSK, EMSK 등은 사용자 데이트 채널을 보호하도록 WiMAX 네트워크 레벨에서 사용될 것이다. 그 다음 개선된 AAA 서버가 ASN GW 및 BS를 통해 EAP-Request/AKA-Challenge 메시지를 전송한다. 메시지는 랜덤 넘버(AT_RAND), 네트워크 인증 토큰(AT_AUTN) 및 메시지 인증 코드(AT_MAC)인 속성들의 파라미터를 포함한다.
EAP-Request/AKA-Challenge 메시지를 수신하면, MS는 WiMAX MS 내의 장기간 보안 키 K 및 인증 함수에 기초하여 AKA를 실행하고, AT_AUTN을 검증한다. 만약 이것이 성공적이면, MS는 인증 벡터(RES, CK, IK)를 생성하여 TEK, MSK 및 EMSK를 도출해야만 한다. 그 다음 MS는 개선된 AAA 서버에 의해 전달된 AT_MAC 값을 검증한다. 만약 성공적이라면, MS는 단계(319 내지 321)에 기술된 바와 같이 BS 및 ASN GW를 통해서 EAP Response/AKA-Challenge 메시지를 AAA 서버로 전달한다. 이 메시지는 AT_RES 및 AT_MAC을 포함한다.
개선된 AAA 서버는 EAP Response/AKA-Challenge 메시지 내의 AT_RES 및 AT_MAC가 올바르다는 것을 검증한다. 만약 이것이 성공적이면, 개선된 AAA 서버는 단계(322 내지 324)에서 기술된 바와 같이 EAP-Success 메시지를 MS에게 전송한다. 이때, AAA 서버는 메시지 내에 MSK를 포함해야만 한다.
앞선 단계들에서 기본 액세스 인증 절차를 성공적으로 완료한 후에, MS가 IP 네트워크로 접속할 수 있도록 하기 위해, MS는 단계(325)에서 WiMAX 등록 절차를 수행한다. 그리고 그 다음, 만약 WiMAX 사용자가 IMS 가입자이기도 하면, MS는 아래의 단계에서 IMS 등록 절차를 수행할 것이다.
단계(326)에서, P-CSCF 전달 절차 후에, MS는 파라미터 impi를 갖는 SIP REGISTER 메시지를 BS를 통해 ASN GW로 전송한다. WiMAX 기본 액세스 인증 절차 후에 ASN GW가 데이터 패킷을 전송하는 MS의 IMSI(사용자 식별정보) 값인 imsi를 식별할 수 있다는 것을 인지해야 한다. ASN GW는 도 3에 도시된 것과 같이 MS의 IMSI 값 imsi를 검색한다. 그 다음 ASN GW 내의 SIP ALG는 MS의 IMSI 값인 imsi를 SIP REGISTER 메시지 내에 추가하고 이것을 CSCF로 포워딩한다. 그 다음 CSCF는 MS 기록 내에 (imsi, impi) 쌍을 저장한다.
CSCF가 MS용 AV를 갖지 않는다고 가정하자. CSCF는 파라미터 impi에 따라서 HSS에게 Cx Multimedia Authentication Request 메시지를 전송함으로써 단계(327)에서 인증 벡터 분산 절차를 적용한다. 단계(328)에서, HSS는 MS의 기록(장기간 보안 키 k 및 인증 함수들을 포함)을 검색하기 위한 인덱스로서 수신된 impi를 사용하고, AV의 순서화된 어레이를 생성한다. HSS는 Cx Multimedia Authentication Answer 메시지를 통해 CSCF로 AV 어레이를 전송한다. 만약 CSCF가 이미 AV 어레이를 갖는다면 단계(327, 328)는 스킵된다.
단계(329)에서, CSCF는 파라미터 impi를 이용하여 HSS에게 Cx Server Assignment Request 메시지를 전송한다. HSS는 MS의 imsi를 검색하기 위한 인덱스로서 수신된 impi를 사용한다. HSS로부터 검색된 IMSI 값은 IMSIHSS(impi)로 표기된다. HSS는 CSCF 네임을 저장하고 단계(330)에서 CSCF(파라미터 IMSIHSS(impi)를 가짐)에게 Cx Server Assignment Answer를 전송한다.
단계(331)에서, CSCF는 IMSI 값 imsi(단계(326)에서 CSCF가 저장함)와 IMSIHSS(impi)가 동일한지를 검사한다. 만약 그렇다면, S-CSCF는 사용되지 않은 다음 AV를 선택하여 AV의 RAND, CK 및 IK 파라미터를 갖는 SIP 200 OK 메시지를 P-CSCF에게 전송하며, P-CSCF는 CK 및 IK를 저장하고 이들을 제거하여 SIP 200 OK 메시지의 나머지를 MS롤 포워딩한다. 만약 imsi 및 IMSIHSS(impi)가 상이하다면, 이것은 해당 등록이 불법적임을 의미한다. 200 OK SIP 메시지를 수신함에 따라서, MS는 k 및 수신된 RAND에 기초하여 세션 키 CK 및 IK를 컴퓨팅한다. 그 다음 MS와 P-CSCF 사이의 보안 연관이 IK에 기초하여 셋업된다.
WiMAX 및 IMS 인증에 대한 현존하는 솔루션은 도 1에 도시된 것과 같은 일반적인 "투 패스" 인증 절차이며, 이는 전술된 "원 패스" 인증 절차보다 더 많은 네트워크 트래픽을 불러온다. 그러나, 도 1 및 도 3으로부터 "투 패스" 인증 절차 내의 일부 단계들이 동일하다는 것이 관찰될 수 있다. 도 1을 참조하여, 투 패스 WiMAX 및 IMS 인증의 단계들이 아래에 기술된다. 초기 네트워크 엔트리, WiMAX 액세스 네트워크 인증 및 IP-CAN 세션 확립 절차로 이루어지는 도 1의 단계(101 내지 125)는 도 3의 단계(301 내지 325)와 동일하다.
P-CSCF 전달 절차 후에, 단계(126)에서 MS는 WiMAX IP-CAN을 통해 파라미터 impi에 따라 SIP REGISTER 메시지를 CSCF로 전송한다. 만약 CSCF가 MS용 AV를 갖지 않으면, 단계(127)에서 CSCF는 파라미터 impi에 따라서 HSS에게 Cx Multimedia Authentication Request 메시지를 전송함으로써 인증 벡터 분산 절차를 적용한다. 그 다음 HSS는 MS의 기록을 검색하기 위해 impi를 사용하고 AV의 순서화된 어레이를 생성한다. HSS는 단계(128)에서 Cx Multimedia Authentication Answer 메시지를 통해 CSCF로 AV 어레이를 전송한다. 만약 CSCF가 이미 AV 어레이를 갖는다면 단계(127, 128)는 스킵된다.
단계(129)에서, CSCF는 순서화된 AV 어레이로부터 사용되지 않은 다음 인증 벡터(RAND, AUTN, XRES, IK, CK)를 선택하고, 파라미터 RAND 및 AUTN를 SIP(401) Unauthorized 메시지를 통해 MS로 전송한다. MS는 수신된 AUTN이 수용될 수 있는지를 검사한다. 만약 그렇다면, 이것은 응답 RES을 생성하고 세션 키 CK 및 IK를 컴퓨팅한다. 그 다음 MS와 P-CSCF 사이의 보안 연관이 셋업된다. 그 다음 MS는 단계(130)에서 SIP REGISTER 메시지를 통해 CSCF로 RES를 다시 전송한다.
CSCF는 수신된 RES를 XRES와 비교한다. 만약 이들이 일치하면, 인증 및 키 일치 교환이 성공적으로 완료된다. 그 다음 CSCF는 단계(131)에서 HSS로 Cx Server Assignment Request 메시지를 전송한다. Server Assignment Request 메시지를 수신하면, HSS는 CSCF 네임을 저장하고 단계(132)에서 Cx Server Assignment Answer 메시지로 CSCF에게 응답한다. 그 다음 CSCF는 단계(133)에서 IP-CAN을 통해 SIP 200 OK 메시지를 MS로 전송하고, IMS 등록 절차가 완료된다.
표 1은 도 1에 도시된 투 패스 인증 절차와 도 3에 도시된 원 패스 인증 절차에서 실행되는 단계들을 비교한 것이다.
Figure 112012082702613-pct00023
MS와 CSCF 사이의 예상 SIP 메시지 전달 비용(네트워크 전송 비용)이 1이라고 가정할 때, CSCF와 HSS 사이의 예상 Cx 메시지 전달 비용은 β이다. 이때 아래의 두 가지 이유로 인해서 β<1임이 예상된다.
- CSCF와 HSS는 IP 네트워크를 통해 Cx 메시지를 교환한다. 다른 한편으로는, IP 네트워크 오버헤드 외에, MS와 CSCF 사이의 SIP 통신이 WiMAX 코어 네트워크 및 무선 네트워크를 포함한다.
- CSCF와 HSS는 전형적으로 동일한 위치에 배치되는 반면, MS는 원거리에 존재한다.
원 패스인증 절차에서, 만약 HSS로부터 CSCF로의 인증 벡터의 분산(도 3의 단계(327, 238))이 수행되면, 예상 IMS 등록 비용 C1,1은 다음과 같이 표현된다:
Figure 112010053489598-pct00002
만약 인증 벡터 분산이 원 패스 인증 절차에서 실행되지 않으면, 예상 IMS 등록 비용 C1,2는 다음과 같이 표현된다:
Figure 112010053489598-pct00003
IMS 등록은 주기적으로 수행된다. 원 패스 인증 절차의 단계(327, 328)에서, 크기 n(n≥1)의 AV 어레이가 HSS로부터 CSCF로 전송된다. 따라서, n개의 IMS 등록 중 하나가 단계(327, 328)의 실행을 발생시킨다. 따라서, 식(1) 및 (2)로부터, 원 패스 인증 절차에 대한 IMS 등록 비용 C1는 다음과 같다:
Figure 112010053489598-pct00004
투 패스 인증 절차에서, 만약 인증 벡터 분산(도 1의 단계(127, 128))이 실행되면, 예상 IMS 등록 비용 C2,1은 다음과 같이 표현된다:
Figure 112010053489598-pct00005
만약 인증 벡터 분산이 투 패스 인증 절차에서 실행되지 않으면, 예상 IMS 등록 비용 C2,2가 다음과 같이 표현된다:
Figure 112010053489598-pct00006
원 패스 인증 절차에서와 같이, n개의 IMS 등록들 중 하나가 투 패스 인증 절차에 대해 단계(127, 128)의 실행을 발생시킨다. 따라서, 식(4) 및 (5)로부터, 투 패스 인증 절차에 대한 예상 IMS 등록 비용 C2는 다음과 같다:
Figure 112010053489598-pct00007
식(3) 및 (6)으로부터, 투 패스 인증 절차에 대한 원 패스 인증 절차의 트래픽-비용 절감분 S는 다음과 같다:
Figure 112010053489598-pct00008
상기 분석으로부터, 투 패스 인증 절차에 대한 원 패스 인증 절차의 트래픽-비용 절감분을 도시한 도면이 본 발명의 실시예에 따라 도 4에 제공되었다. 예시로서 WiMAX 네트워크를 통해 IMS 네트워크에 액세스하라는 사용자 요청을 획득하여, 도 4는 식(7)에 기초해 n과 β의 함수로서 S를 플롯한다. 이 도면은, 투 패스 인증 절차와 비교하여 제안된 원 패스 인증 절차가 IMS 등록/인증에 의해 생성되는 네트워크 트래픽의 적어도 25%에서 50%까지 절약할 수 있음을 나타낸다.
도 5는 본 발명의 실시예에 따른 원 패스 인증 메커니즘을 도시한 개략적인 순서도이다. 이러한 원 패스 인증 메커니즘에서, 제 1 네트워크 및 제 2 네트워크가동일한 인증키 K 및 인증 함수들을 공유하고, 서로 다른 네트워크들에 대해 사용자에게 할당된 각각의 사용자 식별정보가 이러한 인증키 K 및 인증 함수들과 연관된다는 것을 가정한다. 따라서 인증키 K와 인증 함수들은 각각의 네트워크 내의 상응하는 사용자 식별정보에 의해 위치될 수 있다. 따라서, 만약 사용자에 의해 제공되는 사용자 식별정보가 제 1 및 제 2 네트워크에 대한 인증 데이터베이스 내에 사전저장된 사용자 식별정보와 각각 일치하면, 이러한 사용자 식별정보는 동일한 인증키 K와 인증 함수들에 해당할 것이다. 이러한 메커니즘을 이용하여, 만약 사용자가 제 1 네트워크에 등록하길 요청하고 추가로 제 1 네트워크를 통해서 제 2 네트워크로 액세스하길 원할 때, 이러한 사용자에 대한 인증이 제 1 네트워크에서 성공적이라면 제 2 네트워크에서 추가적인 인증을 수행할 필요가 없다. 이는 제 2 네트워크에서의 인증이 제 2 네트워크에 대한 등록 절차에서 명백하게 수행될 수 있기 때문이다. 아래의 섹션은 제 2 네트워크가 사용자를 올바르게 인증할 수 있으며 이러한 사용자가 본 발명의 원 패스 인증 절차를 통해 제 2 네트워크를 올바르게 인증할 수 있다는 것을 정형적으로 증명할 것이다.
도 2에 도시된 WiMIX-IMS 아키텍처를 고려하면, 모든 MS가 속성 IMSI, IMPI 및 장기간 사전공유 비밀 키 K를 보유한다. 주어진 MS는 IMSI=imsi, IMPI=impi 및 K=k를 갖는 MS(209)이다. 논의를 단순화하기 위해서, 이들 파라미터들이 MS 내에 세트 RMS={imsi, impi, k}로 그룹화되었음이 가정된다. 함수 IMSIMS, IMPIMS 및 KMS는 임의의 x∈RMS이도록 규정한다.
Figure 112010053489598-pct00009
유사하게, 도 2에 도시된 아키텍처 내의 모든 MS에 대해서, HSS(201)는 속성 IMSI, IMPI 및 MS의 K로 구성되는 기록 RHSS을 보유한다. 즉,
RHSS = {imsi, impi, k} = RMS 이다.
또한, 함수 IMSIHSS, IMPIHSS 및 KHSS는 임의의 x∈RHSS이도록 규정한다.
Figure 112010053489598-pct00010
본 발명에서 사용된 AKA 인증 메커니즘이 3GPP TS 33.102, "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3G Security; Security Architecture"에 기술되었다. 이것은 MS와 HSS 사이에서 공유되는 장기간 비밀 키 K에 대한 인식을 나타내는 네트워크와 사용자에 의한 상호 인증을 획득한다. 도 2에 도시된 WiMAX-IMS-상호작업 네트워크 아키텍처에 있어서, WiMAX 네트워크 레벨과 IMS 네트워크 레벨에서의 상호 인증은 아래의 이론에 기초한다.
이론 1: MS는 합법적인 WiMAX이고, 만약 KMS(imsi)=KHSS(imsi)라면 WiMAX 네트워크를 성공적으로 인증한다. 또한 만약 상호 인증이 WiMAX 네트워크 레벨에서 성공적으로 완료되었으면, KMS(imsi)=KHSS(imsi)임이 분명하다.
이론 2: MS는 합법적인 IMS 사용자이며 만약 KMS(impi)=KHSS(impi)이면 IMS 네트워크를 성공적으로 인증한다.
이제, 원 패스 인증 절차(도 3에 도시됨)가 MS와 IMS 레벨에서의 네트워크 사이의 상호 인증을 획득할 수 있음을 증명할 것이다(즉, 이론 2에 따라서 원 패스 인증 절차가 KMS(impi)=KHSS(impi)인지를 검사할 수 있다).
도 3의 원 패스 인증 절차에서, 상호 인증이 단계(301 내지 325)에서 성공적으로 완료되었을 때, 이론 1에 기초하여 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00011
도 3의 단계(326)에서, IMPI 값 impi와 비밀 키 k를 갖는 MS는 IMSI 값이 imsi일 것을, 즉 RMS={imsi, impi, k}일 것을 청구한다. 식(9) 및 (10)로부터, 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00012
단계(330, 331)로부터, HSS는 impi를 IMSI 값인 IMSIHSS(impi)로 맵핑하고, CSCF는,
Figure 112010053489598-pct00013
임을 증명한다.
이때 impi∈RHSS 이고 IMSIHSS(impi)∈RHSS 임을 인지해야 한다. 식(13)으로부터, 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00014
식(17) 및 (18)로부터, 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00015
식(19) 및 (14)로부터, 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00016
식(20) 및 (16)으로부터, 다음과 같이 결론내릴 수 있다:
Figure 112010053489598-pct00017
식(21)과 이론 2에 기초하여, 도 3에 도시된 원 패스 인증 절차가 MS이 합법적인 IMS 사용자이며 IMS 네트워크가 MS에 의해 성공적으로 인증되었음을, 즉 원 패스 인증 절차가 MS와 IMS 레벨에서의 네트워크 사이에서 상호 인증을 획득한다는 것을 검증한다는 결론을 내릴 수 있다.
상기 분석의 관점에서, 본 발명에 따른 원 패스 인증 메커니즘은 사용자가 WiMAX, GPRS, UMTS, WLAN 등과 같은 다른 네트워크를 통해 IMS와 같은 네크워크 내의 서비스 및 애플리케이션에 액세스하고자 요청하는 다른 상호-작업 솔루션에도 적용가능하다. 두 네트워크가 동일한 인증키 및 인증 알고리즘/함수를 공유하고, 상이한 네트워크에서 사용자에게 할당된 각각의 사용자 식별정보가 이러한 인증키 및 인증 알고리즘/함수와 연관된다는 가정을 가지고, 본 발명의 인증 프로세스는 단계(502)에 도시된 것과 같이 사용자로부터 제 1 네트워크로의 등록 요청을 수신함으로써 시작된다. 그 다음 단계(504)에서 제 1 네트워크가 사용자에 의해 제공된 제 1 사용자 식별정보를 획득 및 저장할 수 있으며, 이때 제 1 사용자 식별정보는 제 1 네트워크에서 사용하기 위해 네트워크 운영자에 의해 사용자에게 할당되고 HSS(201)와 같은 인증 데이터베이스에도 저장된다. 제 1 사용자 식별정보에 기초하여, 인증은 사용자와 제 1 네트워크 사이의 인증 일치에 따라서 연관된 인증키와 함수들을 이용하여 단계(506)에서 수행된다. 만약 단계(508)에서 인증이 성공적이었다면, 사용자는 단계(510)에서 제 1 네트워크에 대한 등록을 완료한다. 그렇지 않으면, 이것은 등록이 불법적임을 의미하고 프로세스를 종료한다.
만약 이 사용자가 제 1 네트워크를 통해 액세스할 수 있는 제 2 네트워크의 가입자이기도 하다면, 사용자는 제 2 네트워크로 등록 요청을 전송할 수 있다. 단계(512)에서, 사용자가 제 2 네트워크에 대한 등록을 요청하면, 프로세스는 등록 요청이 사용자에 의해 제공된 제 1 사용자 식별정보(단계(504)에서 저장됨)를 추가함으로써 인터셉트 및 수정되는 단계(514)로 진행한다. 단계(516)에서, 등록을 위해 사용자에 의해 제공된 제 2 사용자 식별정보가 인증 데이터베이스 내에 사전저장된 제 1 사용자 식별정보를 검색하도록 사용될 것이다. 사용자에 의해 제공된 제 1 사용자 식별정보(즉, 단계(504)에서 저장된 제 1 사용자 식별정보)가 인증 데이터베이스 내에 사전저장된 제 1 사용자 식별정보와 일치하는지 여부에 대한 결정이 이루어진다. 단계(518)에서, 만약 사용자에 의해 제공된 제 1 사용자 식별정보가 사전저장된 제 1 사용자 식별정보와 일치하면, 단계(520)에서 사용자와 제 2 네트워크 사이의 인증 일치에 기초하여 이들 간의 보안 연관이 셋업된다. 그렇지 않으면, 이 등록이 불법적임을 의미하며 프로세스가 종료된다.
본 발명의 특정한 실시예에 대한 전술된 설명들은 예시와 설명을 위해 제시되었다. 이는 본 발명을 개시된 정확한 형태로 제한하거나 한정하고자 하는 것이 아니며, 전술된 내용의 관점에서 다수의 변경과 변화가 가능함이 명확하다. 실시예들은 본 발명의 원리와 본 발명의 실제 응용에 대한 최상의 설명을 제공함으로써 당업자로 하여금 고려중인 특정한 용도에 맞추어 다양한 수정사항을 갖는 본 발명과 다수의 실시예들을 최대한 활용할 수 있게 하도록 선택되고 기술되었다. 본 발명의 범주는 첨부된 특허청구범위와 그 균등물에 의해서 규정된다.

Claims (18)

  1. 복수의 이종 네트워크(heterogeneous network)에 대해 사용자를 인증하기 위한 원 패스(one-pass) 인증 시스템에서 수행되는 방법으로서,
    제 1 네트워크에 대한 제 1 사용자 식별정보 및 제 2 네트워크에 대한 제 2 사용자 식별정보는 인증 데이터 베이스에 저장된 인증키 및 인증 알고리즘과 연관되고,
    상기 방법은,
    제 1 인증 서버에 의해 수행되는, 제 1 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 상기 인증키 및 상기 인증 알고리즘에 기초해서 상기 사용자를 인증하는 단계 -상기 인증 데이터베이스에 저장된 상기 인증키 및 상기 인증 알고리즘은 상기 제 1 네트워크에 대한 제 1 사용자 식별정보와 연관됨- 와,
    상기 인증이 성공적인 경우,
    상기 제 2 사용자 식별정보를 포함하는 상기 제 2 네트워크에 등록하고자 하는 상기 사용자의 요청에 응답하여, 요청시에 상기 사용자에 의해 제공된 상기 제 2 네트워크에 대한 상기 제 2 사용자 식별정보에 기초하여, 제 2 인증 서버에 의해 수행되는, 상기 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보를 상기 제 1 인증 서버에 의한 인증시에 상기 사용자에 의해 제공된 제 1 사용자 식별정보와 비교하는 단계와,
    상기 제 1 인증 서버에 의한 인증시에 상기 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보가 상기 사용자에 의해 제공된 제 1 사용자 식별정보와 일치한다면, 상기 제 2 인증 서버에 의해 수행되는, 상기 사용자와 상기 제 2 네트워크 사이의 보안 연관(security association)을 셋업하는 단계를 포함하는
    원 패스 인증 방법.
  2. 제 1 항에 있어서,
    상기 제 2 네트워크에 등록하고자 하는 상기 사용자의 요청을 인터셉트하는 단계 -상기 요청은 상기 사용자에 의해 제공된 상기 제 2 사용자 식별정보를 포함함- 와,
    상기 요청을 포워딩하기 전에, 상기 인증시에 상기 사용자에 의해 제공된 제 1 사용자 식별정보를 추가함으로써 상기 요청을 수정하는 단계를 더 포함하는
    원 패스 인증 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 인증키 및 상기 인증 알고리즘에 기초해서 상기 사용자를 인증하는 단계는,
    상기 사용자에 대한 제 1 인증 파라미터를 선택하는 단계와,
    상기 사용자와 상기 제 1 네트워크 사이의 제 1 인증을 위한 상기 제 1 인증 파라미터에 기초하여 검증을 수행하는 단계를 포함하는
    원 패스 인증 방법.
  4. 제 3 항에 있어서,
    상기 제 1 인증을 위한 인증키 및 인증 알고리즘은 상기 사용자와 상기 제 2 네트워크 사이의 제 2 인증을 위한 인증키 및 인증 알고리즘과 동일한
    원 패스 인증 방법.
  5. 제 3 항에 있어서,
    상기 검증을 성공적으로 수행한 후에 상기 사용자에 대한 상기 제 1 네트워크의 등록 절차를 수행하는 단계를 더 포함하는
    원 패스 인증 방법.
  6. 제 3 항에 있어서,
    미사용된 인증 파라미터가 사용가능하지 않으면,
    상기 사용자에 의해 제공된 제 1 사용자 식별정보를 통해서 상기 인증 데이터베이스로부터 검색된 상기 사용자의 기록에 기초하여 상기 제 1 인증 파라미터를 생성하는 단계를 더 포함하되,
    상기 사용자의 상기 기록은 적어도 상기 인증키와 상기 인증 알고리즘을 포함하는
    원 패스 인증 방법.
  7. 제 4 항에 있어서,
    상기 사용자와 상기 제 2 네트워크 사이의 보안 연관을 셋업하는 단계는 상기 사용자 및 상기 제 2 네트워크에 대한 세션 키(CK 및 IK)인 제 2 인증 파라미터에 기초하는
    원 패스 인증 방법.
  8. 제 7 항에 있어서,
    상기 사용자에 의해 제공된 상기 제 2 사용자 식별정보를 통해 상기 인증 데이터베이스로부터 검색된 상기 사용자의 기록에 기초하여 상기 제 2 인증 파라미터를 생성하는 단계를 더 포함하되,
    상기 사용자의 상기 기록은 적어도 상기 인증키 및 상기 인증 알고리즘을 포함하는
    원 패스 인증 방법.
  9. 제 1 항 또는 제 2 항에 있어서,
    상기 제 1 네트워크는 WiMAX 네트워크이고 상기 제 2 네트워크는 IMS 네트워크인
    원 패스 인증 방법.
  10. 복수의 이종 네트워크에 대한 사용자를 인증하기 위한 원 패스 인증 시스템으로서,
    제 1 네트워크에 대한 제 1 사용자 식별정보, 제 2 네트워크에 대한 제 2 사용자 식별정보, 상기 제 1 사용자 식별정보 및 상기 제 2 사용자 식별정보와 연관된 인증키 및 인증 알고리즘을 저장하는 인증 데이터베이스와,
    상기 제 1 네트워크에 등록하고자 하는 사용자의 요청에 응답하여 상기 인증키 및 상기 인증 알고리즘에 기초해서 상기 사용자를 인증하도록 구성되는 제 1 인증 서버와,
    상기 제 2 네트워크에 등록하고자 하는 사용자의 요청에 응답하여, 상기 사용자에 의해 제공된 상기 제 2 사용자 식별정보를 통해 상기 인증 데이터베이스로부터 검색된 제 1 사용자 식별정보와 상기 인증시에 상기 사용자에 의해 제공된 제 1 사용자 식별정보를 비교하고, 상기 검색된 제 1 사용자 식별정보가 상기 사용자에 의해 제공된 제 1 사용자 식별정보와 일치한다면 상기 사용자와 상기 제 2 네트워크 사이의 보안 연관을 셋업하도록 구성되는 제 2 인증 서버를 포함하는
    원 패스 인증 시스템.
  11. 제 10 항에 있어서,
    상기 제 1 인증 서버와 상기 제 2 인증 서버에 접속되는 액세스 게이트웨이를 더 포함하되,
    상기 액세스 게이트웨이는,
    상기 제 2 네트워크에 등록하고자 하는 상기 사용자의 요청을 인터셉트하고 -상기 요청은 상기 사용자에 의해 제공된 상기 제 2 사용자 식별정보를 포함함- ,
    상기 요청을 포워딩하기 전에, 상기 인증시에 상기 사용자에 의해 제공된 제 1 사용자 식별정보를 추가함으로써 상기 요청을 수정하도록 구성되는
    원 패스 인증 시스템.
  12. 제 10 항 또는 제 11 항에 있어서,
    상기 제 1 인증 서버는,
    상기 사용자에 대한 제 1 인증 파라미터를 선택하고,
    상기 사용자와 상기 제 1 네트워크 사이의 제 1 인증에 따라 상기 제 1 인증 파라미터에 기초하여 검증을 수행하도록 더 구성되는
    원 패스 인증 시스템.

  13. 제 12 항에 있어서,
    상기 제 1 인증을 위한 인증키 및 인증 알고리즘은 상기 사용자와 상기 제 2 네트워크 사이의 제 2 인증을 위한 인증키 및 인증 알고리즘과 동일한
    원 패스 인증 시스템.
  14. 제 12 항에 있어서,
    상기 제 1 인증 서버는 상기 검증을 성공적으로 수행한 후에 상기 사용자에 대한 상기 제 1 네트워크의 등록 절차를 수행하도록 더 구성되는
    원 패스 인증 시스템.
  15. 제 12 항에 있어서,
    미사용된 인증 파라미터가 사용가능하지 않으면,
    상기 제 1 인증 서버는 상기 인증 데이터베이스로부터의 상기 제 1 인증 파라미터에 액세스하도록 더 구성되고,
    상기 인증 데이터베이스는,
    상기 사용자에 의해 제공된 제 1 사용자 식별정보를 통해 상기 사용자의 기록을 검색하고 -상기 사용자의 기록은 적어도 상기 인증키 및 상기 인증 알고리즘을 포함함- ,
    상기 사용자의 상기 기록에 기초하여 상기 제 1 인증 파라미터를 생성하도록 더 구성되는
    원 패스 인증 시스템.
  16. 제 13 항에 있어서,
    상기 제 2 인증 서버는, 상기 사용자 및 상기 제 2 네트워크에 대한 세션 키(CK 및 IK)인 제 2 인증 파라미터에 기초하여 상기 사용자와 상기 제 2 네트워크 사이의 상기 보안 연관을 셋업하도록 더 구성되는
    원 패스 인증 시스템.
  17. 제 16 항에 있어서,
    상기 제 2 인증 서버는 상기 인증 데이터베이스로부터의 상기 제 2 인증 파라미터에 액세스하도록 더 구성되고,
    상기 인증 데이터베이스는,
    상기 사용자에 의해 제공된 상기 제 2 사용자 식별정보를 통해 상기 사용자의 기록을 검색하고 -상기 사용자의 기록은 적어도 상기 인증키 및 상기 인증 알고리즘을 포함함- ,
    상기 사용자의 상기 기록에 기초하여 상기 제 2 인증 파라미터를 생성하도록 더 구성되는
    원 패스 인증 시스템.
  18. 제 10 항 또는 제 11 항에 있어서,
    상기 제 1 네트워크는 WiMAX 네트워크이고 상기 제 2 네트워크는 IMS 네트워크인
    원 패스 인증 시스템.
KR1020107018451A 2008-02-21 2008-02-21 원 패스 인증 메커니즘 및 시스템 KR101427447B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2008/000372 WO2009103188A1 (en) 2008-02-21 2008-02-21 One-pass authentication mechanism and system for heterogeneous networks

Publications (2)

Publication Number Publication Date
KR20100123834A KR20100123834A (ko) 2010-11-25
KR101427447B1 true KR101427447B1 (ko) 2014-08-08

Family

ID=40985040

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107018451A KR101427447B1 (ko) 2008-02-21 2008-02-21 원 패스 인증 메커니즘 및 시스템

Country Status (6)

Country Link
US (1) US9332000B2 (ko)
EP (1) EP2248296A4 (ko)
JP (1) JP5351181B2 (ko)
KR (1) KR101427447B1 (ko)
CN (1) CN101946455B (ko)
WO (1) WO2009103188A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010054903A1 (en) * 2008-11-17 2010-05-20 Nokia Siemens Networks Oy Networking capability determination mechanism
US8973125B2 (en) 2010-05-28 2015-03-03 Alcatel Lucent Application layer authentication in packet networks
US20130227663A1 (en) * 2010-10-08 2013-08-29 Telefonica S.A. Method, a system and a network element for ims control layer authentication from external domains
JP2012247886A (ja) * 2011-05-26 2012-12-13 Sony Corp 無線通信装置、情報処理装置、通信システムおよび無線通信装置の制御方法
US9264898B2 (en) * 2012-04-26 2016-02-16 Juniper Networks, Inc. Non-mobile authentication for mobile network gateway connectivity
FR2994624B1 (fr) * 2012-08-17 2014-08-15 Halys Systeme de communication telephonique par voip
CN103853949A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一个异构的计算机环境上进行用户身份验证的方法
KR20160009276A (ko) * 2014-07-16 2016-01-26 한국전자통신연구원 Ims 기반의 서비스 공유를 위한 마스터 ims 단말, ims 기반의 서비스 공유를 위한 슬레이브 ims 단말, ims 기반의 서비스 공유 시스템, 및 공유 방법.
US9667600B2 (en) 2015-04-06 2017-05-30 At&T Intellectual Property I, L.P. Decentralized and distributed secure home subscriber server device
CN107800539B (zh) * 2016-09-05 2020-07-24 华为技术有限公司 认证方法、认证装置和认证系统
US11483706B2 (en) 2018-12-21 2022-10-25 Sprint Communications Company L.P. Wireless media conferencing
CN113498055B (zh) * 2020-03-20 2022-08-26 维沃移动通信有限公司 接入控制方法及通信设备
WO2023015173A1 (en) * 2021-08-04 2023-02-09 Alarm.Com Incorporated Decentralized home sensor network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040224666A1 (en) * 2003-03-18 2004-11-11 Nikhil Jain Using shared secret data (SSD) to authenticate between a CDMA network and a GSM network

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2315193B (en) * 1996-07-10 2000-11-15 Orange Personal Comm Serv Ltd Mobile communications system
US6069877A (en) * 1996-10-18 2000-05-30 Telxon Corporation Duplicate device detection system
EP0869628A1 (en) * 1997-04-01 1998-10-07 ICO Services Ltd. Interworking between telecommunications networks
US7313381B1 (en) * 1999-05-03 2007-12-25 Nokia Corporation Sim based authentication as payment method in public ISP access networks
GB9913102D0 (en) * 1999-06-04 1999-08-04 Nokia Telecommunications Oy An element for a communications system
CN1144440C (zh) * 1999-07-02 2004-03-31 诺基亚公司 认证方法、认证系统和网关设备
NL1013930C2 (nl) * 1999-12-22 2001-06-25 Koninkl Kpn Nv Systeem voor mobiele telecommunicatie.
DE10043203A1 (de) * 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
US20030115452A1 (en) * 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites
US7743404B1 (en) * 2001-10-03 2010-06-22 Trepp, LLC Method and system for single signon for multiple remote sites of a computer network
BR0215842A (pt) * 2002-08-16 2005-06-21 Siemens Ag Processo para identificação de um terminal de comunicação
US7441043B1 (en) * 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
US7774828B2 (en) * 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
JP4705021B2 (ja) * 2003-04-02 2011-06-22 クゥアルコム・インコーポレイテッド Cdmaネットワークとgsmネットワークとの間の暗号化
US7930253B1 (en) * 2003-08-26 2011-04-19 Mbira Technologies LLC System and method for correlating use of separate network services
WO2005027560A1 (en) * 2003-09-12 2005-03-24 Ntt Docomo, Inc. Secure intra- and inter-domain handover
US7873661B2 (en) * 2004-03-31 2011-01-18 Siemens Aktiengesellschaft Network system as well as a method for controlling access from a first network component to at least one second network component
ATE440467T1 (de) * 2004-06-24 2009-09-15 Spyder Navigations Llc Transfer von paketdaten in einem system mit mobilendgerät, drahtlosem lokalem netzwerk und mobilnetzwerk
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
KR20070118222A (ko) * 2004-11-18 2007-12-14 아자이르 네트웍스, 인코포레이티드 3지/지에스엠 네트워크와 상호작용하는 위-피 네트워크에서서비스 권한부여
BRPI0519184A2 (pt) * 2004-12-21 2008-12-30 Emue Holdings Pty Ltd mÉtodos para autenticar um serviÇo remoto para um usuÁrio, e para autenticar mutuamente um usuÁrio de serviÇo remoto e um serviÇo remoto, arquitetura de software, dispositivo de autenticaÇço, e, mÉtodos para autenticar a identidade e/ou credenciais de um segundo usuÁrio para um primeiro usuÁrio, para criar um dispositivo de autenticaÇço, e, para autenticar um usuÁrio para um serviÇo remoto
EP1708423A1 (en) * 2005-03-29 2006-10-04 Matsushita Electric Industrial Co., Ltd. Inter-domain context transfer using context tranfer managers
WO2006135285A2 (en) * 2005-06-15 2006-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for providing a telecommunications service
CN100379315C (zh) * 2005-06-21 2008-04-02 华为技术有限公司 对用户终端进行鉴权的方法
US7783041B2 (en) * 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
US8229398B2 (en) * 2006-01-30 2012-07-24 Qualcomm Incorporated GSM authentication in a CDMA network
KR100753285B1 (ko) * 2006-03-17 2007-08-29 주식회사 팬택앤큐리텔 이동통신시스템에서의 가입자 인증 방법
JP2007299259A (ja) * 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ
WO2008021513A2 (en) * 2006-08-17 2008-02-21 Neustar Inc. System and method for user identity portability in communication systems
EP1892940A1 (en) * 2006-08-23 2008-02-27 Thomson Telecom Belgium Device and method for enabling SIP DECT terminal mobility
US7929993B2 (en) * 2007-08-30 2011-04-19 International Business Machines Corporation Multi-SIM-based mobile device
US8949950B2 (en) * 2007-12-20 2015-02-03 Telefonaktiebolaget L M Ericsson (Publ) Selection of successive authentication methods
CN101521581A (zh) * 2008-02-25 2009-09-02 上海贝尔阿尔卡特股份有限公司 用于对WiMAX网络接入IMS进行计费关联的方法和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040224666A1 (en) * 2003-03-18 2004-11-11 Nikhil Jain Using shared secret data (SSD) to authenticate between a CDMA network and a GSM network

Also Published As

Publication number Publication date
CN101946455B (zh) 2012-09-05
US20110010764A1 (en) 2011-01-13
KR20100123834A (ko) 2010-11-25
CN101946455A (zh) 2011-01-12
JP2011515898A (ja) 2011-05-19
WO2009103188A1 (en) 2009-08-27
EP2248296A1 (en) 2010-11-10
US9332000B2 (en) 2016-05-03
EP2248296A4 (en) 2017-06-21
JP5351181B2 (ja) 2013-11-27

Similar Documents

Publication Publication Date Title
KR101427447B1 (ko) 원 패스 인증 메커니즘 및 시스템
US8335487B2 (en) Method for authenticating user terminal in IP multimedia sub-system
US8984615B2 (en) Web to IMS registration and authentication for an unmanaged IP client device
US9166799B2 (en) IMS security for femtocells
US7974234B2 (en) Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
EP2103077B1 (en) Method and apparatus for determining an authentication procedure
US8261078B2 (en) Access to services in a telecommunications network
US8972582B2 (en) Method and apparatus enabling reauthentication in a cellular communication system
US9264411B2 (en) Methods, apparatuses and computer program product for user equipment authorization based on matching network access technology specific identification information
US20060128362A1 (en) UMTS-WLAN interworking system and authentication method therefor
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
US20090013381A1 (en) User Authentication and Authorisation in a Communications System
US10461987B2 (en) Voice and text data service for mobile subscribers
WO2008116804A1 (en) Method for providing subscriptions to packet-switched networks
US8453211B2 (en) Method of obtaining proxy call session control function address while roaming
Sharma et al. Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks
CN104640111B (zh) 网络接入处理方法、装置及系统
Zhang et al. Security Management in the Next Generation Wireless Networks.
Díaz-Sánchez et al. A general IMS registration protocol for wireless networks interworking
Dagiuklas et al. Hierarchical AAA architecture for user and multimedia service authentication in hybrid 3G/WLAN networking environments
Matsumoto A study of authentication method on fixed mobile convergence environments
Celentano et al. Improved authentication for ims registration in 3g/wlan interworking
KR20080026419A (ko) 휴대인터넷에서 ims 인증 시스템 및 방법
Dagiuklasa et al. Seamless Multimedia Network and Service Access Over All-IP Based Infrastructures: The EVOLUTE Approach
Salsano et al. Technical Report N: T2. 1_2005_PR_R02 WLAN/3G secure authentication based on SIP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20170721

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180719

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190627

Year of fee payment: 6