KR101455891B1 - 네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법 - Google Patents

네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법 Download PDF

Info

Publication number
KR101455891B1
KR101455891B1 KR1020107004365A KR20107004365A KR101455891B1 KR 101455891 B1 KR101455891 B1 KR 101455891B1 KR 1020107004365 A KR1020107004365 A KR 1020107004365A KR 20107004365 A KR20107004365 A KR 20107004365A KR 101455891 B1 KR101455891 B1 KR 101455891B1
Authority
KR
South Korea
Prior art keywords
sequence number
network
mobile device
hardware identifier
authentication
Prior art date
Application number
KR1020107004365A
Other languages
English (en)
Other versions
KR20100065150A (ko
Inventor
사바 파텔
지비 왕
Original Assignee
알카텔-루센트 유에스에이 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알카텔-루센트 유에스에이 인코포레이티드 filed Critical 알카텔-루센트 유에스에이 인코포레이티드
Publication of KR20100065150A publication Critical patent/KR20100065150A/ko
Application granted granted Critical
Publication of KR101455891B1 publication Critical patent/KR101455891B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Abstract

네트워크(20)와 통신하는 이동 장비(100)에 의해 수행되는 방법이 기술된다. 본 방법은 제 1 메시지 인증 코드, 인증 관리 필드(AMF) 및 제 1 확장된 시퀀스 번호(ESQN)를 갖는 네트워크 인증 토큰(AUTN)을 수신하되, 상기 제 1 확장된 시퀀스 번호(ESQN)가 제 1 하드웨어 식별자와 제 1 시퀀스 번호를 포함하는 단계와, 상기 제 1 메시지 인증 코드, 상기 제 1 하드웨어 식별자 및 상기 제 1 시퀀스 번호에 근거하여 네트워크를 인증하는 단계를 포함한다.

Description

네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법{METHOD AND SYSTEM OF COMMUNICATION USING EXTENDED SEQUENCE NUMBER}
본 발명은 확장된 시퀀스 번호를 이용하는 무선 통신을 위한 방법 및 시스템에 관한 것이다.
최근 수년간 무선 통신에 관한 보안 방법 및 프로세스가 진전되어 왔다. 특히, 2G CDMA 보안성은 3G CDMA 보안성으로 진전되었고, 다수의 동일한 특성의 3G CDMA 보안성은 이하 간략하게 기술되는 바와 같이 IMS 시스템으로 현재 통합되어 있다.
당 분야에서 잘 알려져 있는 바와 같이, 2G CDMA 보안성은 셀룰라 인증 및 음성 암호화(cellular authentication and voice encryption : CAVE)를 수반한다. 일반적으로, 2G CDMA 보안 프로토콜에서, 네트워크의 홈 위치 레지스터(home location register : HLR) 또는 인증 센터(authentication center : AC)는 난수와 2차 키(SSD)를 포함하는 첼린지(challenge)를 전송한다. 첼린지는 HLR 또는 AC에 저장되는, A 키로서 통상 지칭되는 64 비트 루트 키에 근거한다. 첼린지에 응답하여, 가입자의 이동 장비는 응답(AUTHR)을 제공한다. 이동 장비는 A 키를 또한 저장한다. 따라서, 이동 장비는 챌린지로부터 추출된 난수와 2차 키, 및 A 키에 대해 CAVE를 이용하여 AUTHR을 준비한다. HLR로 다시 전송되는 AUTHR을 통해 HLR은 이동 장비에 인증할 수 있다. 통상적인 2G CDMA 보안 프로토콜은 일반적으로 상호 인증을 제공하지 않는다. 2G CDMA 보안 프로토콜은 당 분야에서 잘 알려져 있으므로, 간략화를 위해 본 명세서에서 또 다른 세부 사항이 기술되지 않는다.
통상적인 3G CDMA 보안 프로토콜은 인증 키 일치(authentication key agreement : AKA)에 근거하고, 통신이 수행되기 이전에 (ⅰ) 이동 장비가 네트워크를 인증하고 (ⅱ) 네트워크가 이동 장비를 인증하는 것을 의미하는 상호 인증을 제공한다. 3G CDMA에서 사용된 잘 알려진 AKA 보안 프로토콜은 퀸튜플렛(quintuplet)에 근거한다. 퀸튜플렛은 난수 RAND, 예상 응답 XRES, 암호 키 CK, 무결성 키 IK 및 네트워크 인증 토큰 AUTN을 포함한다. 통상적인 네트워크 인증 토큰 AUTN은 시퀀스 번호 SQN, 익명 키 AK, 인증 관리 필드 AMF 및 메시지 인증 코드 MAC에 근거한다. 통상적인 3G CDMA 보안 프로토콜에서, 시퀀스 번호는 이동 장비의 하드웨어 식별자를 포함하지 않는다는 것에 주목해야 한다.
도 1은 네트워크의 AC에 의해 수행될 수 있는 통상적인 네트워크 인증 토큰 AUTN 및 통상적인 메시지 인증 벡터 AV를 생성하는 방법을 도시하는 도면이다.
도 1의 도면에 도시된 바와 같이, 메시지 인증 코드 MAC는 비밀 키 K, 인증 관리 필드 AMF, 시퀀스 번호 SQN 및 난수 NAND를 프로세스하기 위한 함수 f1을 이용하여 생성된다. 도 1은 통상적인 인증 벡터 AV의 나머지 구성요소가 비밀 키 K와 난수 RAND를 프로세스하기 위한 함수 f2-f5를 이용함으로써 생성되어 예상 응답 XRES, 암호 키 CK, 무결성 키 IK 및 익명 키 AK를 각각 생성하는 것을 또한 도시한다. 당 분야에서 통상의 지식을 가진 자라면 함수 f1-f5는 당 분야에서 잘 알려진 각종 함수일 수 있으므로, 함수의 특정 사항은 간략화를 위해 본 명세서에서 생략되어 있음을 이해할 것이다.
일단 통상적인 인증 벡터 AV가 네트워크의 AC에 의해 생성되면, 인증 벡터 AV는 가입자의 이동 장비에 서비스를 제공하는 네트워크의 서빙 시스템에 전송된다. 서빙 시스템은 인증 벡터 AV로부터 네트워크 인증 토큰 AUTN 및 난수 RAND를 추출하고 네트워크 인증 토큰 AUTN 및 난수 RAND를 이동 장비에 제공한다.
도 1에 대해 앞서 언급된 바와 같이, AUTN은 시퀀스 번호 SQN, 인증 관리 필드 AMF 및 메시지 인증 코드 MAC를 포함한다. 이동 장비는 네트워크 인증 토큰 AUTN으로부터 시퀀스 번호 SQN 및 메시지 인증 코드 MAC를 추출하고, 시퀀스 번호 SQN 및 메시지 인증 코드 MAC에 근거하여 네트워크를 인증한다.
특히, 이동 장비는 이동 장비에 저장된 시퀀스 번호 SQN, 이동 장비에 저장된 비밀 키 K, AMF 및 난수 RAND에 근거하여 그 자신의 메시지 인증 코드 MAC를 생성한다. 그 다음에, 이동 장비에서 생성된 메시지 인증 코드 MAC는 서빙 시스템으로부터 수신된 네트워크 인증 토큰 AUTN으로부터 추출된 MAC와 비교된다. 또한, 이동 장비는 네트워크 인증 토큰으로부터 추출된 시퀀스 번호 SQN이 수용 가능한 값인지를 판정할 수 있다. 예를 들어, 이동 장비는 네트워크 인증 토큰으로부터 추출된 시퀀스 번호가 시퀀스 번호 SQN을 검증하기 위한 수용 가능한 범위 내에 있는지를 판정할 수 있다. 이동 장비가 네트워크를 성공적으로 인증한 경우, 이동 장비는 응답 RES를 준비하고 네트워크의 서빙 시스템에 응답 RES를 다시 전송한다. 네트워크의 서빙 시스템은 예상 응답 XRES와 이동 장비를 인증하기 위한 응답 RES를 비교하여, 통상적인 AKA 보안 프로토콜에 따라 상호 인증을 완료한다.
이동 장비가 인증 프로세스 동안 네트워크 인증 토큰 AUTN으로부터 추출된 메시지 인증 코드 MAC가 이동 장비에서 생성된 MAC와 매칭하지 않는 것으로 판정하면, 이동 장비는 네트워크의 서빙 시스템에 실패 메시지를 전송한다. 또한, 이동 장비가 인증 프로세스 동안 네트워크 인증 토큰 AUTN으로부터 추출된 메시지 인증 코드 MAC 값이 이동 장비에 의해 생성된 MAC 값와 매칭하되, 시퀀스 번호 SQN이 허용 가능한 범위 밖에 있으면, 이동 장비는 네트워크에 재동기화 메시지를 전송한다. 앞서 언급된 바와 같이, 3G CDMA에서 사용된 AKA 보안 프로토콜은 당 분야에서 잘 알려져 있으므로, 또 다른 정보는 간략화를 위해 본 명세서에서 기술되지 않는다.
통상적인 IMS 보안 프로토콜은 본질적으로 3G CDMA에 대해 앞서 기술된 AKA 보안 프로토콜에 근거하는 퀸튜플렛을 포함하여 왔다. 그러나, IMS 보안 메커니즘에서, HTTP AKA 다이제스트(digest)는 AC와 이동 장비 사이의 중간 네트워크 구성요소에 위치한다. 예를 들어, HTTP AKA 다이제스트는 IMS 네트워크의 S-CSCF에 포함될 수도 있다. HTTP AKA 다이제스트는 통상적인 인증 벡터 AV를 IMS 네트워크의 각종 다른 구성요소에 의해 프로세스하기 위한 적절한 포맷이 되도록 재구성한다. IMS 네트워크에서 통상적으로 사용된 HTTP AKA 다이제스트 및 AKA 보안 프로토콜의 특정에 대한 다른 세부 사항은 2006년 12월에 발행된 3GPP TS 33.203 VT.4.0 표준에서 찾아볼 수 있다. 이와 같이, 통상적인 IMS 보안 프로토콜의 다른 세부 사항은 간략화를 위해 본 명세서에서 생략되어 있다.
2G CDMA 보안 프로토콜로부터 통상적인 IMS 보안 프로토콜에서 또한 구현되는 3G CDMA 보안 프로토콜로 천이함으로써 보안 프로토콜이 진전되어 왔으나, 무선 통신에 대해 사용된 하드웨어 장비의 일부는 업데이트되지 않고/않거나 보다 고도로 진전된 프로토콜을 프로세스하는 것이 불가능하다. 예를 들어, 2G CDMA 보안 프로토콜을 프로세스하는데 사용된 하드웨어에 있어 상당한 양의 시간, 연구 및 금전을 투자한 몇몇 회사들은 각종 비용 관련 이유로 하드웨어를 업데이트하지 않도록 선택하여 왔다. 예를 들어, 모바일 폰, PDA 등과 같은 몇몇 무선 디바이스는 2G CDMA 보안 프로토콜에 대해 앞서 기술된 바와 같이, 첼린지로부터 난수 RAND와 시퀀스 번호 SQN을 추출하고, 2G CDMA 보안 프로토콜과 일치하는 응답 AUTHR을 제공하는 것만이 가능할 것이다. 따라서, 몇몇 통상적인 2G CDMA 하드웨어 디바이스는 현재 상호 인증된 통신 채널에 IMS 네트워크를 제공하는 것이 불가능하다.
예시적인 실시예는 확장된 시퀀스 번호를 이용하여 이동 장비와 네트워크 사이의 통신을 수립하는 것에 관한 방법 및 장치를 제공한다. 예시적인 실시예에 따르면, 확장된 시퀀스 번호는 이동 장비의 하드웨어 식별자의 적어도 일부분을 포함한다.
예시적인 실시예는 네트워크와 통신하는 이동 장비에 의해 수행되는 방법을 제공한다. 방법은 제 1 메시지 인증 코드, 및 제 1 하드웨어 식별자와 제 1 시퀀스 번호를 포함하는 제 1 확장된 시퀀스 번호를 갖는 네트워크 인증 토큰을 수신하는 단계와, 상기 제 1 메시지 인증 코드 및 상기 제 1 시퀀스 번호에 근거하여 상기 네트워크를 인증하는 단계를 포함한다. 이동 장비에 의해 수행되는 방법은 상기 네트워크 인증 토큰으로부터 상기 제 1 메시지 인증 코드 및 상기 제 1 확장된 시퀀스 번호를 추출하는 단계와, 상기 난수, 상기 제 1 확장된 시퀀스 번호 및 상기 이동 장비에 저장된 키에 근거하여 제 2 메시지 인증 코드를 계산하는 단계와, 상기 제 1 하드웨어 식별자 및 제 1 시퀀스 번호를 획득하기 위해 상기 제 1 확장된 시퀀스 번호를 분리하는 단계를 더 포함할 수 있다.
예시적인 실시예에 따르면, 상기 인증하는 단계는, 상기 제 1 메시지 인증 코드를 상기 제 2 메시지 인증 코드와 비교하고, 상기 제 1 하드웨어 식별자를 상기 이동 장비에 저장된 제 2 하드웨어 식별자와 비교하며, 상기 제 1 시퀀스 번호를 상기 이동 장비에 저장된 제 2 시퀀스 번호와 비교하고, 상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하고, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하며, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 큰 경우 상기 네트워크를 인증한다.
예시적인 실시예에 따르면, 상기 제 1 하드웨어 식별자는 상기 네트워크의 가입자와 연관된 이동 장비를 참조하고, 상기 제 2 하드웨어 식별자는 상기 네트워크 인증 토큰 및 난수를 수신한 이동 장비를 식별한다.
예시적인 실시예에 따르면, 이동 장비에 의해 수행되는 방법은 상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하지 않는 경우, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하지 않는 경우, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 작은 경우 중 적어도 하나인 경우 재동기화 쌍을 생성하는 단계와, 상기 재동기화 쌍을 상기 네트워크에 전송하는 단계를 더 포함한다.
예시적인 실시예에 따르면, 이동 장비에 의해 수행되는 방법은 제 1 프로토콜 재동기화 메시지와 제 1 프로토콜 시퀀스 번호의 각각에 할당된 사전 설정된 수의 비트를 갖는 제 1 프로토콜 재동기화 쌍의 비트를 재할당하는 단계와, 상기 제 1 프로토콜 재동기화 쌍과 동일한 비트 수를 갖는 제 2 프로토콜 재동기화 쌍을 전송하는 단계를 더 포함한다. 상기 재할당 단계에서 재할당된 상기 비트는 상기 제 1 프로토콜 시퀀스 번호보다 큰 수의 비트를 갖는 상기 제 2 확장된 시퀀스 번호의 비트로서 사용된다.
다른 예시적인 실시예는 이동 장비와 통신하는 네트워크에 의해 수행되는 방법을 제공한다. 방법은 난수와 제 1 확장된 시퀀스 번호를 갖는 인증 토큰을 전송하되, 상기 인증 토큰은 가입자와 연관된 이동 장비의 하드웨어 식별자를 포함하는 단계와, 상기 전송하는 단계로부터 응답을 수신하되, 상기 응답은 상기 난수의 암호화 변환, 및 제 2 확장된 시퀀스와 재동기화 메시지를 포함하는 재동기화 쌍 중 적어도 하나인 단계를 포함한다.
예시적인 실시예에 따르면, 네트워크에 의해 수행되는 방법은 네트워크 인증 토큰을 포함하는 제 1 인증 벡터를 생성하는 단계를 더 포함한다. 상기 제 1 인증 벡터는 난수, 예상 응답, 암호 키, 무결성 키 및 인증 토큰의 연결(concatenation)이다.
예시적인 실시예에 따르면, 네트워크에 의해 수행되는 방법은 상기 전송 단계로부터의 상기 응답을 상기 예상 응답과 비교하는 단계와, 상기 전송 단계로부터의 상기 응답이 상기 예상 응답와 매칭하는 경우 상기 이동 장비를 인증하는 단계를 더 포함한다.
예시적인 실시예에 따르면, 네트워크에 의해 수행되는 방법은 상기 전송 단계로부터의 상기 응답을 상기 예상 응답과 비교하는 단계와, 상기 전송 단계로부터의 상기 응답이 상기 예상 응답와 매칭하지 않는 경우 제 2 확장된 시퀀스 번호를 갖는 제 2 네트워크 인증 토큰을 포함하는 제 2 인증 벡터를 생성하는 단계와, 상기 제 2 네트워크 인증 토큰을 상기 이동 장비에 전송하는 단계를 더 포함한다.
예시적인 실시예에 따르면, 네트워크에 의해 수행되는 방법은 상기 전송 단계로부터의 응답에 포함된 표시자를 검출하는 단계와, 상기 응답이 상기 난수의 암호화 변환이고 상기 난수의 암호화 변환이 상기 예상 응답와 매칭한다고 상기 표시자가 표시하는 경우 상기 이동 장비를 인증하는 단계와, 상기 응답이 상기 재동기화 쌍이라고 상기 표시자가 표시하는 경우 상기 제 2 확장된 시퀀스 번호를 갖는 제 2 네트워크 인증 토큰을 포함하는 제 2 인증 벡터를 생성하는 단계와, 상기 제 2 인증 벡터를 상기 이동 장비에 전송하는 단계를 더 포함한다.
예시적인 실시예에 따르면, 네트워크에 의해 수행되는 방법은 제 1 프로토콜 시퀀스 번호 및 메시지 인증 코드의 각각에 할당된 사전 설정된 수의 비트를 갖는 제 1 프로토콜 네트워크 인증 토큰의 비트를 재할당하는 단계와, 제 2 프로토콜 네트워크 인증 토큰을 포함하는 인증 벡터를 생성하는 단계를 더 포함한다. 상기 제 2 프로토콜 네트워크 인증 토큰은 상기 제 1 프로토콜 네트워크 인증 토큰과 동일한 비트 수를 갖고, 상기 재할당된 비트는 상기 제 1 프로토콜 시퀀스 번호보다 큰 수의 비트를 갖는 상기 제 1 확장된 시퀀스 번호의 비트로서 사용된다.
또 다른 예시적인 실시예는 이동 장비와 네트워크 사이에서 상호 인증된 통신 채널을 수립하는 방법을 제공한다. 방법은 (a) 예상 응답, 난수 및 네트워크 인증 토큰을 생성하되, 상기 네트워크 인증 토큰은 제 1 메시지 인증 코드, 및 상기 네트워크에 의해 상기 이동 장비와 연관되는 제 1 하드웨어 식별자를 갖는 제 1 확장된 시퀀스 번호를 포함하는 단계와, (b) 상기 난수와 상기 네트워크 인증 토큰을 상기 네트워크로부터 상기 이동 장비로 전송하는 단계와, (c) 상기 이동 장비에서 상기 난수와 상기 네트워크 인증 토큰을 수신하는 단계와, (d) 상기 네트워크 인증 토큰에 근거하여 상기 네트워크를 인증하는 단계와, (e) 상기 난수의 암호화 변환을 상기 이동 장비로부터 상기 네트워크에 전송하는 단계와, (f) 상기 난수의 상기 암호화 변환이 상기 예상 응답와 매칭하는 경우 상기 이동 장비를 인증하는 단계와, (g) 상기 이동 장비와 상기 네트워크 사이에서 상호 인증된 채널을 수립하는 단계를 포함한다.
예시적인 실시예에 따르면, 상기 네트워크 인증 단계 (d)는 상기 인증 토큰으로부터 상기 제 1 메시지 인증 코드, 및 상기 제 1 확장된 시퀀스 번호를 추출하고, 상기 난수, 상기 제 1 확장된 시퀀스 번호 및 상기 이동 장비에 저장된 키에 근거하여 제 2 메시지 인증 코드를 계산하며, 상기 제 1 하드웨어 식별자와 제 1 시퀀스 번호를 획득하도록 상기 제 1 확장된 시퀀스 번호를 분리하고, 상기 제 1 메시지 인증 코드를 상기 제 2 메시지 인증 코드와 비교하고, 상기 제 1 하드웨어 식별자를 상기 이동 장비에 저장된 제 2 하드웨어 식별자와 비교하며, 상기 제 1 시퀀스 번호를 상기 이동 장비에 저장된 제 2 시퀀스 번호와 비교하고, 상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하고, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하며, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 큰 경우 상기 네트워크를 인증한다.
예시적인 실시예에 따르면, 상호 인증된 채널을 수립하는 방법은 상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하지 않는 경우, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하지 않는 경우, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 작은 경우 중 적어도 하나인 경우, 상기 이동 장비와 상기 네트워크를 재동기화하는 단계를 더 포함한다.
예시적인 실시예에 따르면, 상기 재동기화 단계는 제 2 확장된 시퀀스 번호를 생성하도록 상기 제 2 하드웨어 식별자와 상기 제 2 시퀀스 번호를 연결하는 단계와, 상기 난수, 상기 제 2 확장된 시퀀스 번호 및 상기 이동 장비에 저장된 키에 근거하여 재동기화 메시지를 계산하는 단계와, 상기 재동기화 쌍을 형성하도록 상기 재동기화 메시지와 함께 상기 제 2 확장된 시퀀스 번호를 그룹화하는 단계와, 상기 재동기화 쌍을 전송하는 단계와, 상기 제 2 확장된 시퀀스 번호를 이용하여 제 2 네트워크 인증 토큰을 생성하는 단계와, 상기 제 2 네트워크 인증 토큰을 상기 네트워크 인증 토큰으로 대체하면서 앞서 언급된 상기 단계 (b)-(f)를 반복하는 단계를 포함한다.
다른 예시적인 실시예는 네트워크와 통신하는 이동 장비에 의해 수행되는 방법을 제공한다. 방법은 제 1 메시지 인증 코드, 및 제 1 하드웨어 식별자의 해시(hash)와 제 1 시퀀스 번호를 포함하는 제 1 확장된 시퀀스 번호를 갖는 네트워크 인증 토큰을 수신하는 단계와, 상기 제 1 메시지 인증 코드, 제 1 하드웨어 식별자의 해시 및 제 1 시퀀스 번호에 근거하여 상기 네트워크를 인증하는 단계를 포함한다.
다른 예시적인 실시예는 이동 장비와 통신하는 네트워크에 의해 수행되는 방법을 제공한다. 방법은 난수와 제 1 확장된 시퀀스 번호를 갖는 인증 토큰을 전송하되, 상기 인증 토큰은 가입자와 연관된 상기 이동 장비의 제 1 하드웨어 식별자의 해시를 포함하는 단계와, 상기 전송 단계로부터의 응답을 수신하는 단계를 포함한다. 응답은 상기 난수의 암호화 변환, 및 제 2 확장된 시퀀스 번호와 재동기화 메시지를 포함하는 재동기화 쌍 중 적어도 하나이다.
본 발명은 본 명세서에서 이하 주어진 상세한 설명 및 첨부 도면으로부터 보다 충분하게 이해될 것이며, 유사한 요소는 유사한 참조 번호로 표시되고, 단지 예시적인 것으로 주어진 것으로서 본 발명을 제한하는 것은 아니며, 도면에서
도 1은 각종 통상적인 보안 프로토콜에서 사용될 수 있는 통상적인 인증 벡터 및 통상적인 네트워크 인증 토큰을 제공하는 방법을 도시하고,
도 2는 예시적인 실시예에 따른 통신 시스템을 도시하며,
도 3은 예시적인 실시예에 따른 이동 장비를 도시하고,
도 4는 예시적인 실시예에 따른 네트워크 인증 토큰 및 인증 벡터를 생성하는 방법을 도시하며,
도 5는 신호 흐름도의 예시적인 실시예를 도시하고,
도 6(a) 및 도 6(b)는 네트워크를 인증하기 위해 이동 장비에 의해 수행되는 방법의 예시적인 실시예를 도시하는 플로우차트이며,
도 7은 이동 장비를 인증하기 위해 네트워크에 의해 수행되는 방법의 예시적인 실시예를 도시하는 플로우차트이다.
도 2는 적어도 하나의 이동국(100)과 네트워크(20)를 포함하는 통신 시스템(10)을 도시한다. 당 분야에서 통상의 지식을 가진 자라면 네트워크(20)가 도 2의 실시예에 도시되어 있는 IP 멀티미디어 서브시스템의 약자 표기 부분(IMS)으로 제한되지 않는다는 것을 이해할 것이다. 도 2에서, IMS 네트워크(20)는 IMS 홈 시스템(300), IMS 방문 시스템(400) 및 중간 IMS 구성요소(200)를 포함한다. 중간 IMS 구성요소(200)는 네트워크(20)에서 단지 블록으로서 도시되어 있으나, 당 분야에서 통상의 지식을 가진 자라면 중간 IMS 구성요소(200)는, 예를 들어, 이동 장비(100)와 IMS 홈 시스템(300) 및 IMS 방문 시스템(400) 사이에 배치된 P-CSCF, I-CSCF, HSS 및 S-CSCF를 포함할 수 있음을 이해할 것이다. IMS 홈 시스템(300) 및 IMS 방문 시스템(400)은 이동 장비(100)에 서비스를 제공하도록 서로 간에 직접 또는 중간 IMS 구성요소(200)를 통해 통신할 수 있다. 이동 장비의 위치, 및 이동 장비에 의해 요청된 서비스 유형 등은 IMS 홈 시스템(300) 또는 IMS 방문 시스템(400)이 이동 장비(100)에 요청된 서비스를 제공하는지를 판정할 수 있다.
도 2에 대해 기술된 바와 같이 예시적인 실시예에 따르면, IMS 홈 시스템(300)은 인증 센터(310)를 포함한다. 도 2에 도시된 인증 센터(310)의 간략화된 버전은 메모리(312), 프로세서(314) 및 트랜시버(316)를 포함한다. 당 분야에서 통상의 지식을 가진 자라면 인증 센터(310)가 도 2에 도시된 간략화된 버전보다 복잡하고 하나 이상의 컴퓨터 시스템을 포함할 수 있음을 이해할 것이다.
도 3은 이동 장비(100)의 예시적인 실시예를 도시한다. 도 3에 도시된 바와 같이, 이동 장비(100)는 제거 가능한 사용자 확인 모듈(removable unit identity module : RUIM), 메모리(120), 프로세서(130) 및 트랜시버(140)를 포함한다. 이동 장비(100)에 포함된 제거 가능한 사용자 확인 모듈 RUIM은 통상적인 제거 가능한 사용자 확인 모듈 RUIM이다. 예를 들어, 제거 가능한 사용자 확인 모듈 RUIM은 2G CDMA 보안 프로토콜에 따라 기능하도록 개발된 모듈일 수 있다. 이와 같이, 제거 가능한 사용자 확인 모듈 RUIM은 당 분야에서 잘 알려져 있는 바와 같이 MIN/IMSI/TMSI를 저장할 수 있고 간략화를 위해 본 명세서에서 더 기술되지 않을 것이다. 이동 장비(100)의 메모리(120)와 프로세서(130)는 도 5의 신호 흐름도 및 도 6의 플로우 차트에 대해 이하 기술된 방법의 예시적인 실시예를 수행하도록 사용될 수 있다.
본 발명에 따른 인증을 위한 방법의 예시적인 실시예를 기술하기 이전에, 방법에 사용된 확장된 시퀀스 번호를 도 4와 참조하여 설명된다.
예시적인 실시예에 따르면, 이동 장비(100)와 인증 센터(310)는 이동 장비(100)에 포함된 통상적인 제거 가능한 사용자 확인 모듈 RUIM(110)의 결함을 해결하기 위한 추가적인 기능을 제공한다. 이동 장비(100)의 예시적인 실시예와 인증 센터(310)의 예시적인 실시예는 확장된 시퀀스 번호 ESQN을 이용하여 이것을 행한다. 예시적인 실시예에 따른 확장된 시퀀스 번호 ESQN은 모든 이동 장비에 대해 전역적으로 반복하지 않는 시퀀스 번호이다. 예시적인 일 실시예에 따르면, 확장된 시퀀스 번호 ESQN은 가입자의 이동 장비(100)의 하드웨어 식별자 및 시퀀스 번호 SQN'의 예시적인 실시예를 포함한다. 특히, 확장된 시퀀스 번호 ESQN은 시퀀스 번호 SQN'과 연결된 이동 장비(100)의 하드웨어 식별자이다.
ESQN이 가입자의 이동 장비(100)의 하드웨어 식별자를 포함하고, 각각의 이동 장비(100)가 상이한 하드웨어 식별자를 가지므로, ESQN은 각각의 이동 장비(100)에 대해 상이하다. 또한, ESQN이 시퀀스 번호 SQN'을 포함하므로, 시퀀스 번호 SQN이 통상적인 AKA 보안 프로토콜에서 증분되는 방법과 유사하게 각각의 시스템 액세스에 대해 ESQN이 증분될 수 있다. 달리 서술하면, ESQN은 이동 장비(100) 내에서 반복되지 않으며 제거 가능한 사용자 확인 모듈 RUIM이 삽입되는 각각의 상이한 이동 장비(100)에 대해 상이하다. 일례에 따르면, ESQN은 104 비트를 포함하며 그 중 56 비트는 하드웨어 식별자에 할당되고 48 비트는 시퀀스 번호 SQN'의 예시적인 실시예에 할당된다.
예시적인 실시예에 따르면, 확장된 시퀀스 번호 ESQN에 포함된 시퀀스 번호 SQN'은, 예를 들어, 이동 장비(100)에 의해 결정된 시간, 또는 카운터 값에 근거할 수 있다. 시간에 근거한 시퀀스 번호 SQN'은 2개의 일괄 요청이 동시에 도달하지 않도록, 예를 들어, 0.1초일 수 있는 클록 값에 근거하여 결정된다. 시간에 근거하는 시퀀스 번호 SQN'의 예는 47 비트를 포함하며, 47 비트 중 5 비트는 어레이 관리에 대해 사용된다. 이 예시적인 시퀀스 번호 SQN'은 대략 65년의 동작을 지원한다. 카운터에 근거하는 시퀀스 번호 SQN'의 예는 34 비트를 포함하며, 1 AKA/초가 최악의 경우의 레이트이고, 이동 장비(100)의 수명이 약 15년이며 각종 IMS 방문 시스템(400)으로부터 요청의 인터리빙을 허용하는 메커니즘이 사용되는 것으로 가정하면 34 비트 중 5 비트를 필요로 한다. 이들 2개의 예로 표시된 바와 같이, 시퀀스 번호 SQN'에 대한 비트 수는 IMS 네트워크(20) 및/또는 이동 장비(100)의 특성에 따라 가변할 수 있다.
도 4는 인증 벡터 AV'의 예시적인 실시예를 생성하기 위해 확장된 시퀀스 번호 ESQN이 인증 센터(310)에서 사용될 수 있는 방법을 예시하는 도면이다. 인증 센터(310)의 메모리(312)는 인증 벡터 AV'를 생성하기 위해 비밀 키 K와 같은 각종 값 및 프로세서(314)에 의해 사용된 f6-f10에 의해 표시된 각종 함수를 저장할 수 있다. 당 분야에서 통상의 지식을 가진 자라면 함수 f6-f10은 당 분야에서 잘 알려진 각종 함수일 수 있으므로, 함수의 세부 사항은 간략화를 위해 본 명세서에서 생략되어 있다.
도 4에 도시된 바와 같이, 프로세서(312)는 비밀 K, 인증 관리 필드 AMF, 확장된 시퀀스 번호 ESQN 및 난수 RAND로 프로세스 f6을 수행함으로써 메시지 인증 코드 MAC'를 생성한다. 또한, 프로세서(314)는 프로세스 f7을 이용하여 비밀 키 K 및 난수 RAND에 근거하여 예상 응답 XRES를 생성하고, 프로세스 f8을 이용하여 비밀 키 K 및 난수 RAND에 근거하여 암호 키 CK를 생성하며, 프로세스 f9를 이용하여 비밀 키 K 및 난수 RAND에 근거하여 무결성 키 IK를 생성하고, 프로세스 f10을 이용하여 비밀 키 K 및 난수 RAND에 근거하여 익명 키 AK'를 생성한다. 프로세서(314)는 이하에 도시된 수학식(1)을 이용하여 인증 토큰 AUTN'의 예시적인 실시예를 생성할 수 있다.
Figure 112010012704380-pct00001
이와 같이 예시적인 실시예에 따른 인증 벡터 AV'는 확장된 시퀀스 번호 ESQN, 익명 키 AK', 인증 관리 필드 AMF 및 메시지 인증 코드 MAC'에 근거한다.
또한, 프로세서(314)는 이하에 도시된 수학식(2)을 이용하여 인증 벡터 AV'의 예시적인 실시예를 계산한다.
Figure 112010012704380-pct00002
수학식(2)으로 표시된 바와 같이, 인증 벡터 AV'의 예시적인 실시예는 난수 RAND, 예상 응답 XRES, 암호 키 CK, 무결성 키 IK 및 네트워크 인증 토큰 AUTN'의 연결일 수 있다.
도 5는 예시적인 실시예에 따른 이동 장비(100), 중간 IMS 구성요소(200a) 및 IMS 홈 시스템(300) 사이의 통신을 도시하는 신호 흐름도이다. 중간 IMS 구성요소(200a)가 도 5에 대해 이하 기술된 예시적인 실시예에서 서빙 시스템으로 간주되는 IMS 방문 시스템(400)을 포함하는 것으로 간주된다는 점에서 중간 IMS 구성요소(200a)는 도 2에 도시된 중간 IMS 구성요소(200)와 약간 상이하다는 것에 주목해야 한다. IMS 방문 시스템(400)에 부가하여, 중간 IMS 구성요소(200a)는, 예를 들어, P-CSCF, I-CSCF, HSS 및 S-CSCF를 더 포함할 수 있다.
도 5는 서비스를 요청하는 IMS 홈 시스템(300)에 서비스 요청을 전송하는 이동 장비(100)를 도시한다(1). 서비스 요청에 응답하여, IMS 홈 시스템(300)은 도 4에 대해 앞서 기술된 바와 같이, 인증 벡터 AV'의 예시적인 실시예를 생성한다.
일단 IMS 홈 시스템(300)이 인증 벡터 AV'를 생성하면, IMS 홈 시스템(300)은 중간 IMS 구성요소(200a)에 인증 벡터 AV'를 제공한다(2). 중간 IMS 구성요소(200a)는 인증 벡터 AV'로부터 난수 RAND, 예상 응답 XRES, 암호 키 CK, 무결성 키 IK 및 네트워크 인증 토큰 AUTN'을 추출하도록 인증 벡터 AV'를 프로세스한다. 중간 IMS 구성요소(200a)는 네트워크 인증 토큰 AUTN'으로부터 확장된 시퀀스 번호 ESQN 및 제 1 메시지 인증 코드 MAC'를 결정하고 이동 장비(100)로부터 수신되는 나중의 응답을 프로세스하는데 사용되는, 예상 응답 XRES, 암호 키 CK 및 무결성 키 IK를 저장한다.
중간 IMS 구성요소(200a)는 이동 장비(100)에 네트워크 인증 토큰 AUTN' 및 난수 RAND를 제공한다(3). 이동 장비(100)는 IMS 네트워크(20)를 인증하기 위해 네트워크 인증 토큰 AUTN' 및 난수 RAND를 수신하고 프로세스한다.
도 6(a)-도 6(b)에 도시된 플로우차트는 IMS 네트워크(20)를 인증하기 위해 이동 장비(100)에 의해 수행되는 방법의 예시적인 실시예를 도시한다. 도 6의 단계 S100에서, 이동 장비(100)의 트랜시버(140)는 중간 IMS 구성요소(200a)로부터 네트워크 인증 토큰 AUTN' 및 난수 RANDN을 수신한다. 트랜시버(140)는 프로세서(130)에 네트워크 인증 토큰 AUTN' 및 난수 RANDN을 제공하고/하거나 프로세서(130)에 의해 액세스될 수 있는 메모리(120)에 네트워크 인증 토큰 AUTN' 및 난수 RANDN을 저장할 수 있다.
단계 S105에서, 이동 장비(100)는 네트워크 인증 토큰 AUTN'으로부터 제 1 메시지 인증 코드 MAC'N, 제 1 확장된 시퀀스 번호 ESQNN 및 인증 관리 필드 AMF를 추출한다. 특히, 프로세서(130)는 네트워크 인증 토큰 AUTN'으로부터 제 1 메시지 인증 코드 MAC'N, 제 1 확장된 시퀀스 번호 ESQNN 및 인증 관리 필드 AMF를 추출하고, 이동 장비(100)의 메모리(120)에 제 1 메시지 인증 코드 MAC'N, 제 1 확장된 시퀀스 번호 ESQNN 및 인증 관리 필드 AMF를 저장한다.
도 6의 단계 S110에서, 이동 장비(100)는 제 2 메시지 인증 코드 MAC'ME을 계산한다. 제 2 메시지 인증 코드 MAC'ME는 제거 가능한 사용자 확인 모듈 RUIM에 저장된 비밀 키 K, 네트워크(20)로부터 수신된 난수 RANDN, 및 단계(105)에서 네트워크 인증 토큰 AUTN'으로부터 추출된 제 1 확장된 시퀀스 번호 ESQNN와 인증 관리 필드 AMF를 이용하여 계산된다. 예를 들어, 프로세서(130)는 제 2 메시지 인증 코드 MAC'ME을 생성하기 위해, 도 4의 설명에서 앞서 언급된 함수 f6을 이용하여 비밀 키 K, 제 1 확장된 시퀀스 번호 ESQNN, 난수 RANDN 및 인증 관리 필드 AMF를 결합한다.
단계 S115에서, 이동 장비(100)는 제 1 메시지 인증 코드 MAC'N이 제 2 메시지 인증 코드 MAC'ME와 매칭하는지를 판정한다. 이동 장비(100)의 프로세서(130)는 이 판정을 행할 수 있다. 이동 장비(100)의 프로세서(130)의 판정에 근거하여, 프로세서(130)는 단계 S120 또는 단계 S155를 수행할 수 있다. 특히, 프로세서(130)가 제 1 메시지 인증 코드 MAC'N이 제 2 메시지 인증 코드 MAC'ME와 매칭하는 것으로 판정하면, 프로세서(130)는 단계 S120을 수행하는 반면, 프로세서(130)가 제 1 메시지 인증 코드 MAC'N이 제 2 메시지 인증 코드 MAC'ME와 매칭하지 않는 것으로 판정하면, 프로세서(130)는 단계 S155를 수행한다. 단계 S155가 도 6(b)에 대해 이하 보다 상세하게 기술되므로, 예시적인 실시예의 이 설명은 제 1 메시지 인증 코드 MAC'N이 제 2 메시지 인증 코드 MAC'ME와 매칭한다는 가정 하에 진행할 것이다. 다른 예시적인 실시예에 따르면, 이동 장비(100)가 제 1 메시지 인증 코드 MAC'N이 제 2 메시지 인증 코드 MAC'ME와 매칭하지 않는 것으로 판정하면, 실패 신호가 네트워크(20)에 전송된다는 것에 주목해야 한다. 또한, 제 1 메시지 인증 코드 MAC'N와 제 2 메시지 인증 코드 MAC'ME를 계산하는데 사용된 모든 변수는 각각의 비밀 키 KN과 KME 및 함수를 제외하고 동일하므로, 네트워크(20) 및/또는 이동 장비(100)의 하나 이상의 구성요소가 오기능을 경험하여, 재동기화하는 것이 불가능하게 될 가능성이 증대된다.
단계 S120에서, 이동 장비(100)는 네트워크 인증 토큰 AUTN'으로부터 추출된 제 1 확장된 시퀀스 번호 ESQNN을 프로세스한다. 예를 들어, 프로세서(130)는 제 1 확장된 시퀀스 번호 ESQNN을 제 1 시퀀스 번호 SQN'N과 제 1 하드웨어 식별자 IDN으로 분리한다. 제 1 하드웨어 식별자 IDN은 네트워크(20)가 IMS 서비스의 가입자와 연관되는 하드웨어 식별자이다. 예를 들어, 가입자가 서비스에 대해 등록할 때, 가입자는 IMS 홈 시스템(300)의 인증 센터(310)에 가입자의 이동 장비의 하드웨어 식별자를 제공할 수 있고, 인증 센터는, 예를 들어, 메모리(314)에 저장된 가입자 프로파일에 이 정보를 저장할 수 있다.
단계 S125에서, 이동 장비(100)는 제 1 하드웨어 식별자 IDN을 제 2 하드웨어 식별자 IDME와 비교한다. 제 2 하드웨어 식별자 IDME는 사용된 가입자에 의해 사용된 제거 가능한 사용자 확인 모듈 RUIM이 삽입되는 이동 장비(100)의 하드웨어 식별자이다. 프로세서(130)는 메모리(120)로부터 제 2 하드웨어 식별자 IDME를 획득하고 획득된 제 2 하드웨어 식별자 IDME를 제 1 하드웨어 식별자 IDN와 비교할 수 있다.
단계 S130에서, 이동 장비(100)는 제 1 확장된 시퀀스 번호 ESQNN으로부터 획득된 제 1 시퀀스 번호 SQN'N을 제 2 시퀀스 번호 SQN'ME와 비교한다. 프로세서(130)는 메모리(140)로부터 제 2 시퀀스 번호 SQN'ME를 획득하고 획득된 제 2 시퀀스 번호 SQN'ME를 제 1 시퀀스 번호 SQN'N와 비교할 수 있다.
단계 S135에서, 이동 장비(100)는 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭하는지를 판정한다. 프로세서(130)는 메모리(140)에 저장된 값을 획득함으로써 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭하는 것을 판정할 수 있다. 예를 들어, 단계 S135에서 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭한다고 표시하는 경우 메모리(120)에 1이 저장될 수 있고, 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭하지 않는 경우 메모리(140)에 0이 저장될 수 있다. 프로세서(130)가 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭한다고 결정하면 프로세서(130)는 단계 S140을 수행하는 반면, 프로세서(130)가 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭하지 않는다고 결정하면 프로세서(130)는 단계 S155을 수행한다. 예시적인 실시예의 이 설명은 제 1 하드웨어 식별자 IDN이 제 2 하드웨어 식별자 IDME와 매칭한다는 가정 하에 진행할 것이다.
도 6(b)의 단계 S140에서, 이동 장비(100)가 제 1 확장된 시퀀스 번호 ESQNN으로부터 획득된 제 1 시퀀스 번호 SQN'N이 제 2 시퀀스 번호 SQN'ME보다 큰지를 판정한다. 제 2 시퀀스 번호 SQN'ME은 이동 장비(100)의 메모리(120)에 저장되고 앞서 기술된 바와 같이 시간 또는 카운터 값에 근거할 수 있다. 프로세서(130)는 제 1 시퀀스 번호 SQN'N이 메모리(120)에 저장된 제 2 시퀀스 번호 SQN'ME보다 크면, 제 1 시퀀스 번호 SQN'N이 유효 시퀀스 번호인 것으로 판정한다. 또한, 프로세서(130)는 제 1 시퀀스 번호 SQN'N이 메모리(120)에 저장된 제 2 시퀀스 번호 SQN'ME보다 작으면, 제 1 시퀀스 번호 SQN'N이 무효 시퀀스 번호인 것으로 판정한다. 제 1 시퀀스 번호 SQN'N이 유효 시퀀스 번호인 것으로 판정되면, 제 1 시퀀스 번호 SQN'N은 프로세서(130)에 의해 메모리(120)에 저장될 수 있고 중간 IMS 구성요소(200a)로부터 네트워크 인증 토큰 AUTN' 및 난수 RANDN이 수신되는 다음 번의 프로세스 시에 제 2 시퀀스 번호 SQN'ME로서 사용된다.
도 6(b)에 도시된 바와 같이, 이동 장비(100)가 제 1 시퀀스 번호 SQN'N이 유효 시퀀스 번호인 것으로 판정하면 이동 장비(100)는 단계 S145를 수행한다. 단계 S145에서, 이동 장비(100)는 응답 메시지 RES를 생성한다. 예를 들어, 프로세서(130)는 함수 f7을 이용하여 중간 IMS 구성요소(200a)로부터 수신된 난수 RANDN를 제거 가능한 사용자 확인 모듈 RUIM에 저장된 비밀 키 KME와 결합함으로써 응답 메시지 RES를 생성한다. 함수 F7은 도 4에 대해 앞서 기술되었다.
단계 S150에서, 이동 장비(100)는 응답 메시지 RES를 IMS 네트워크(20)에 전송한다. 예를 들어, 트랜시버(140)는 응답 메시지 RES를 IMS 네트워크(20)의 중간 IMS 구성요소(200a)에 전송한다.
도 6(a) 및 도 6(b)에 도시된 바와 같이, 이동 장비(100)가 (ⅰ) 제 1 메시지 인증 코드 MAC'N가 제 2 메시지 인증 코드 MAC'ME와 매칭하지 않지 않는 경우, (ⅱ) 제 1 하드웨어 식별자 IDN가 제 2 하드웨어 식별자 IDME와 매칭하지 않는 경우, (ⅲ) 제 1 시퀀스 번호 SQN'N이 제 2 시퀀스 번호 SQN'ME보다 크지 않은 경우 중 적어도 하나인 경우인 것으로 판정하면, 이동 장비(100)는 단계 S155를 수행한다.
예를 들어, 조건 (ⅱ)는 제 1 이동 장비로부터 제거 가능한 사용자 확인 모듈 RUIM이 제거되고 제 1 이동 장비와 상이한 제 2 이동 장비에 위치할 때 충족된다. 제 1 및 제 2 이동 장비의 하드웨어 식별자가 상이하므로, 네트워크(20)는 가입자가 IMS 서비스에 대해 먼저 등록될 때 가입자에 의해 사용된 이동 장비였던 제 1 이동 장비의 하드웨어 식별자 IDN을 이용하는 것이고, 제 2 이동 장비에 의해 사용되는 하드웨어 식별자 IDME는 제거 가능한 사용자 확인 모듈 RUIM을 포함하는 제 2 이동 장비의 하드웨어 식별자이다.
또한, 도 6(b)를 참조하면, 이동 장비(100)는 단계 S155에서 재동기화 메시지 MACS 및 제 2 확장된 시퀀스 번호 ESQNME를 포함하는 재동기화 쌍(MACS, ESQNME)을 생성한다. 재동기화 메시지 MACS는 제 2 메시지 인증 코드 MAC'ME와 유사한 방식으로 계산된다. 그러나, 재동기화 메시지 MACS는 네트워크 인증 토큰 AUTN'으로부터 획득된 제 1 확장된 시퀀스 번호 ESQNN 대신에 제 2 확장된 시퀀스 번호 ESQNME를 포함한다. 재동기화 메시지 MACS를 생성하기 위해, 이동 장비(100)의 프로세서(130)는 제 1 메시지 인증 코드 MAC'N와 제 2 메시지 인증 코드 MAC'ME를 계산하는데 사용된 함수 f6과 상이한 함수 f6*를 이용하여 제 2 확장된 시퀀스 번호 ESQNME를 난수 RANDN및 인증 관리 필드 AMF와 결합한다.
도 6(b)의 단계 S160에서, 이동 장비(100)는 생성된 재동기화 쌍(MACS, ESQNME)을 IMS 네트워크(20)에 전송한다. 예를 들어, 이동 장비(100)의 트랜시버(140)는 재동기화 메시지 MACS 및 제 2 확장된 시퀀스 번호 ESQNME를 포함하는 재동기화 쌍(MACS, ESQNME)을 IMS 네트워크(20)의 중간 IMS 구성요소(200a)에 전송한다.
다시 도 5를 참조하면, 응답은 이동 장비(100)로부터 IMS 네트워크(20)의 중간 IMS 구성요소(200a)에 전송된다(4). 예시적인 실시예에 따르면, 응답은 도 6(b)의 단계 S145에서 생성된 응답 메시지 RES 또는 도 6(b)의 단계 S155에서 생성된 재동기화 쌍(MACS, ESQNME)이다.
도 7은 IMS 네트워크(20)에 의해 생성된 예시적인 실시예를 도시하는 플로우차트이다. 도 7의 단계 S200에서, IMS 네트워크(20)는 이동 장비(100)에 의해 전송된 응답을 수신한다. 예를 들어, 중간 IMS 구성요소(200a)는 이동 장비(100)의 트랜시버(140)에 의해 전송된 응답을 수신한다.
도 7의 단계 S210에서, IMS 네트워크(20)는 수신된 응답을 인증 벡터 AV'로부터 이전에 획득된 예상 응답 XRES와 비교한다. 예를 들어, 중간 IMS 구성요소(200a)는 수신된 응답 RES를 IMS 홈 시스템(300)에 의해 제공된 인증 벡터 AV'로부터 이전에 획득된 예상 응답 XRES와 비교한다. 단계 S210은 수신된 응답과 예상 응답 XRES와의 실제의 비교를 도시하는 한편, 다른 실시예는 수신된 응답에 포함된 표시자를 검출하고 수신된 응답이 표시자로부터의 응답 메시지 RES 또는 재동기화 쌍(MACS, ESQNME)인지를 판정한다는 것에 주목해야 한다.
IMS 네트워크(20)가 도 7에 도시된 단계 S220을 수행하는 것으로 가정하면, 수신된 응답은 예상 응답 XRES와 매칭한다. 수신된 응답이 응답 메시지 RES인 경우 수신된 응답을 예상 응답 XRES와 매칭할 수 있다. 단계 S220에서, 중간 IMS 구성요소(200a)는 이동 장비(100), 및 IMS 서빙 시스템에 의해 제공된 각종 서비스가 제공될 수 있는 네트워크(20) 사이의 상호 인증 통신 채널을 수립한다. IMS 서빙 시스템은 IMS 홈 시스템(300) 또는 IMS 방문 시스템(400)일 수 있다. 그러나, 앞서 언급된 바와 같이, 이 예시적인 실시예에서의 서빙 시스템은 중간 IMS 구성요소(200a)에 포함되는 IMS 방문 시스템(400)인 것으로 간주된다. 상호 인증 통신 채널의 수립은 도 5에서 (5a)로 표시된다. 이동 장비(100)와 네트워크(20가 암호 키 CK 및 무결성 키 IK를 프로세스하므로, 상호 인증 통신 채널을 통해 보안 통신이 제공된다.
이와 달리, 수신된 응답이 예상 응답 XRES와 매칭하지 않을 때 IMS 네트워크(20)는 단계 S230을 수행한다. 예를 들어, 수신된 응답이 재동기화 쌍(MACS, ESQNME)이면, IMS 네트워크(20)의 중간 IMS 구성요소(200a)는 수신된 응답이 예상 응답 XRES와 매칭하지 않는 것으로 판정할 것이다.
단계 S230에서, IMS 네트워크(20)는 재동기화 쌍(MACS, ESQNME)에 포함된 제 2 확장된 시퀀스 번호 ESQNME에 근거하여 다른 인증 벡터 AV"을 계산한다. 예를 들어, 도 5를 다시 참조하면, 중간 IMS 구성요소(200a)는 인증 관리 필드 AMF 및 난수 RANDN와 함께 재동기화 쌍(MACS, ESQNME)을 IMS 홈 시스템(300)에 전송한다(5b). IMS 홈 시스템(300)은 도 4에 대해 앞서 기술된 바와 같이 인증 벡터 AV"을 생성하기 위해 재동기화 쌍(MACS, ESQNME)으로부터 제 2 확장된 시퀀스 번호 ESQNME을 추출하고, 난수 RANDN, 인증 관리 필드 AMF 및 비밀 키 KN을 사용한다. 도 5의 신호 흐름도에 도시된 앞서 기술된 단계와 도 6(a), 도 6(b) 및 도 7에 도시된 플로우차트는 필요한 대로 반복된다.
앞서 기술된 바와 같이, 예시적인 실시예는 IMS 홈 시스템(300) 및/또는 IMS 방문 시스템(400) 사이의 상호 인증 채널을 수립하기 위해 확장된 시퀀스 번호 ESQN을 사용한다. 또한, 확장된 시퀀스 번호 ESQN은 시퀀스 번호 SQN과 연결된 하드웨어 식별자일 수 있다. 따라서, 하드웨어 식별자가 56 비트이면, 확장된 시퀀스 번호 ESQN은 통상적인 시퀀스 번호보다 큰 56 비트이다.
따라서, 이하 기술된 추가적인 예시적인 실시예는 ESQN의 증가된 길이를 보상하는 것에 관한 것이다.
다시 도 5를 참조하면, 신호(3)는 네트워크 인증 토큰 AUTN' 및 난수 RAND를 이동 장비(100)에 전송하는 중간 IMS 구성요소(200a)를 도시한다. 이하의 예시적인 실시예에서, 중간 IMS 구성요소(200a)가 이동 장비(100)에 전송될 수 있는 제한된 수의 비트를 갖는 것으로 가정한다. 제한된 수의 비트는 본 개시 내용의 배경 섹션에 기술된 IMS 보안 프로토콜과 같은 통상적인 방법에서 사용된 난수 RAND와 인증 토큰 AUTN을 전송하도록 요구된 비트 수에 대응한다. 예를 들어, 제한된 비트 수가 200 비트이고 이 비트의 80은 난수 RAND에 대해 할당되고 나머지 120 비트는 인증 토큰 AUTN에 대해 할당된다고 가정한다. 이 예에서, 인증 토큰의 120 비트는 다음과 같이 할당된다. 즉, 48 비트는 통상적인 시퀀스 번호 SQN(또는 익명 키 AK로 마크된 시퀀스 번호 SQN)에 할당되고, 16 비트는 AMF에 할당되며, 56 비트는 메시지 인증 코드 MAC에 할당된다.
상기 가정에 근거하여, 도 5, 도 6(a), 도 6(b) 및 도 7에 기술된 예시적인 실시예에 따라 중간 IMS 구성요소(200a)가 수행하기 위해, 이동 장비(100)와 인증 센터(310)는 하드웨어 식별자의 비트가 전송에 포함될 수 있도록 제한된 수의 비트를 재할당한다. 또한, 하드웨어 식별자가 56 비트인 것으로 가정하면, 이에 따라 200 비트 중 56 비트, 즉, 제한된 수의 비트가 할당되어야 한다.
비트를 재할당하는 일례에서, 인증 센터(310)는 시퀀스 번호 SQN에 최초로 할당된 48 비트 대신에 인증 벡터 AV'의 예시적인 실시예에서 34 비트 수 SQN'N만을 포함하여, 하드웨어 식별자 IDN에 대해 14 비트를 재할당한다. 또한, 인증 센터(310)는 시퀀스 번호 SQN에 최초로 할당된 80 비트 대신에 인증 벡터 AV'의 예시적인 실시예에서 38 비트 난수 RAND만을 포함하여, 하드웨어 식별자 IDN에 대해 42 비트를 재할당한다. 이와 같이, 56 비트는 시퀀스 번호 SQN의 비트 수를 14만큼 감소시키고 난수의 비트 수를 42 비트만큼 감소시킴으로써 하드웨어 식별자 IDN에 대해 인증 센터(310)에 의해 할당된다.
비트를 재할당하는 다른 예에서, 이동 장비(100)는 본 발명의 예시적인 실시예의 재동기화 쌍(MACS, ESQNME)에 포함된 제 2 확장된 시퀀스 번호 ESQNME에 포함된 하드웨어 식별자 IDME의 비트 수를 수용하기 위해 통상적인 IMS 보안 프로토콜에서 사용된 통상적인 재동기화 메시지에 할당된 비트를 재할당할 수 있다.
또 다른 예시적인 실시예에서, 중간 IMS 구성요소(200a)가 이동 장비(100)에 전송될 수 있는 제한된 비트 수를 갖는다고 가정하여, 네트워크 인증 벡터 AV'에 포함된 제 1 확장된 시퀀스 번호 ESQNN은 제 1 하드웨어 식별자 IDN의 해시를 포함한다. 도 6(a)의 단계 S120을 다시 참조하면, 이동 장비(100)는 네트워크 인증 토큰 AUTN'으로부터 추출된 제 1 확장된 시퀀스 번호 ESQNN을 프로세스한다. 제 1 확장된 시퀀스 번호 ESQNN이 제 1 하드웨어 식별자 IDN 대신에 제 1 하드웨어 식별자 IDN의 해시를 포함하면, 프로세서(130)는 제 1 확장된 시퀀스 번호 ESQNNN을 제 1 시퀀스 번호 SQN'N와 제 1 하드웨어 식별자 IDN의 해시로 분리한다. 그 다음에 프로세서는 이동 장비(100)의 메모리(120)로부터 제 2 하드웨어 식별자 IDME을 획득하고, 제 1 하드웨어 식별자 IDN을 해싱하도록 네트워크(20)에 의해 사용된 동일한 해시 함수를 이용하여 제 2 하드웨어 식별자 IDME을 프로세스하며, 이동 장비(100)에 의해 생성된 제 2 하드웨어 식별자 IDME의 해시를 네트워크(20)에 의해 생성된 제 1 하드웨어 식별자 IDN의 해시를 비교한다.
본 발명은 이와 같이 기술되며, 본 발명은 다수의 방식으로 가변될 수 있음이 명백할 것이다. 이러한 변형예는 본 발명의 사상 및 범위로부터 벗어난 것으로서 간주되지 않으며, 모든 이러한 수정예는 당 분야에서 명백한 바와 같이 본 발명이 범위 내에 포함되는 것으로 의도된다.

Claims (10)

  1. 네트워크와 통신하는 이동 장비에 의해 수행되는 방법으로서,
    네트워크 인증 토큰 및 난수를 수신하는 단계-상기 네트워크 인증 토큰은 제 1 메시지 인증 코드, 및 제 1 하드웨어 식별자와 제 1 시퀀스 번호를 포함하는 제 1 확장된 시퀀스 번호를 포함함-와,
    상기 제 1 메시지 인증 코드, 상기 제 1 하드웨어 식별자 및 상기 제 1 시퀀스 번호에 근거하여 상기 네트워크를 인증하는 단계를 포함하되,
    상기 네트워크를 인증하는 단계는,
    상기 네트워크 인증 토큰으로부터 상기 제 1 메시지 인증 코드 및 상기 제 1 확장된 시퀀스 번호를 추출하는 단계와,
    상기 난수, 상기 제 1 확장된 시퀀스 번호 및 상기 이동 장비에 저장된 키에 근거하여 제 2 메시지 인증 코드를 계산하는 단계와,
    상기 제 1 하드웨어 식별자 및 상기 제 1 시퀀스 번호를 획득하기 위해 상기 제 1 확장된 시퀀스 번호를 프로세싱하는 단계와,
    상기 제 1 메시지 인증 코드를 상기 제 2 메시지 인증 코드와 비교하고, 상기 제 1 하드웨어 식별자를 상기 이동 장비에 저장된 제 2 하드웨어 식별자와 비교하며, 상기 제 1 시퀀스 번호를 상기 이동 장비에 저장된 제 2 시퀀스 번호와 비교하는 단계와,
    상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하고, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하며, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 큰 경우 상기 네트워크를 인증하는 단계를 포함하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  2. 제 1 항에 있어서,
    상기 제 1 하드웨어 식별자는 상기 네트워크의 가입자와 연관된 이동 장비를 지칭(refer)하고, 상기 제 2 하드웨어 식별자는 상기 네트워크 인증 토큰 및 상기 난수를 수신한 이동 장비를 식별하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  3. 제 1 항에 있어서,
    상기 이동 장비에 삽입된 제거 가능한 유닛 확인 모듈(removable unit identity module : RUIM)에 저장된 키를 획득하는 단계와,
    획득된 비밀 키를 이용하여 상기 난수의 암호화 변환을 수행하는 단계와,
    상기 인증 단계가 상기 네트워크를 인증하는 경우 상기 난수의 상기 암호화 변환을 응답으로서 전송하는 단계를 더 포함하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  4. 제 1 항에 있어서,
    상기 제 1 메시지 인증 코드가 상기 제 2 메시지 인증 코드와 매칭하지 않는 경우, 상기 제 1 하드웨어 식별자가 상기 제 2 하드웨어 식별자와 매칭하지 않는 경우, 상기 제 1 시퀀스 번호가 상기 제 2 시퀀스 번호보다 작은 경우 중 적어도 하나인 경우 재동기화 쌍을 생성하는 단계와,
    상기 재동기화 쌍을 상기 네트워크에 전송하는 단계를 더 포함하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  5. 제 4 항에 있어서,
    제 1 프로토콜 재동기화 쌍의 비트를 재할당하는 단계-상기 제 1 프로토콜 재동기화 쌍은 제 1 프로토콜 재동기화 메시지와 제 1 프로토콜 시퀀스 번호의 각각에 할당된 사전 설정된 수의 비트를 가짐-와,
    상기 제 1 프로토콜 재동기화 쌍과 동일한 수의 비트를 갖는 제 2 재동기화 쌍을 전송하는 단계-상기 재할당 단계에서 재할당된 상기 비트는 상기 제 1 프로토콜 시퀀스 번호보다 큰 수의 비트를 갖는 제 2 확장된 시퀀스 번호의 비트로서 사용됨-를 더 포함하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  6. 이동 장비와 통신하는 네트워크에 의해 수행되는 방법으로서,
    네트워크 인증 토큰을 포함하는 제 1 인증 벡터를 생성하는 단계-상기 제 1 인증 벡터는 난수, 예상 응답, 암호 키, 무결성 키 및 상기 인증 토큰의 연결(concatenation)임-와,
    상기 이동 장비에 난수와 인증 토큰을 전송하는 단계-상기 인증 토큰은 가입자와 연관된 상기 이동 장비의 하드웨어 식별자를 포함하는 제 1 확장된 시퀀스 번호를 포함함-와,
    상기 전송 단계로부터의 응답을 수신하는 단계-상기 응답은 상기 난수의 암호화 변환, 및 제 2 확장된 시퀀스 번호와 재동기화 메시지를 포함하는 재동기화 쌍 중 적어도 하나임-와,
    상기 전송 단계로부터의 상기 응답을 상기 예상 응답과 비교하는 단계와,
    상기 전송 단계로부터의 상기 응답이 상기 예상 응답과 매칭하지 않는 경우 제 2 인증 벡터를 생성하고-상기 제 2 인증 벡터는 상기 제 2 확장된 시퀀스 번호를 갖는 제 2 네트워크 인증 토큰을 포함함-, 상기 전송 단계로부터의 상기 응답이 상기 예상 응답과 매칭하는 경우 상기 이동 장비를 인증하는 단계를 포함하는
    이동 장비와 통신하는 네트워크에 의해 수행되는 방법.
  7. 제 6 항에 있어서,
    상기 제 2 네트워크 인증 토큰을 상기 이동 장비에 전송하는 단계를 더 포함하는
    이동 장비와 통신하는 네트워크에 의해 수행되는 방법.
  8. 제 6 항에 있어서,
    제 1 프로토콜 네트워크 인증 토큰의 비트를 재할당하는 단계-상기 제 1 프로토콜 네트워크 인증 토큰은 제 1 프로토콜 시퀀스 번호, 인증 메시지 필드 및 메시지 인증 코드의 각각에 할당된 사전 설정된 수의 비트를 가짐-와,
    상기 제 2 인증 벡터를 생성하는 단계-상기 제 2 네트워크 인증 토큰은 제 2 프로토콜 네트워크 인증 토큰이고, 상기 제 2 네트워크 인증 토큰은 상기 제 1 프로토콜 네트워크 인증 토큰과 동일한 수의 비트를 갖고, 상기 재할당된 비트는 상기 제 1 프로토콜 시퀀스 번호보다 큰 수의 비트를 갖는 상기 제 1 확장된 시퀀스 번호의 비트로서 사용됨-를 포함하고,
    상기 전송 단계는 상기 제 2 네트워크 인증 토큰을 상기 네트워크 인증 토큰으로서 전송하는
    이동 장비와 통신하는 네트워크에 의해 수행되는 방법.
  9. 제 1 항에 있어서,
    상기 제 2 시퀀스 번호는 상기 이동 장비에 의해 검출된 시간과 카운터 중 하나에 근거하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
  10. 제 1 항에 있어서,
    상기 제 2 시퀀스 번호가 상기 제 1 시퀀스 번호보다 큰 경우 상기 제 1 시퀀스 번호를 상기 제 2 시퀀스 번호로 덮어쓰는(overwrite) 단계와,
    다음에 획득된 제 1 시퀀스 번호를 승인(validate)하기 위해 상기 다음에 획득된 제 1 시퀀스 번호를 상기 제 2 시퀀스 번호로 테스트하는 단계를 더 포함하는
    네트워크와 통신하는 이동 장비에 의해 수행되는 방법.
KR1020107004365A 2007-08-27 2008-08-13 네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법 KR101455891B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/892,736 2007-08-27
US11/892,736 US8265593B2 (en) 2007-08-27 2007-08-27 Method and system of communication using extended sequence number
PCT/US2008/009686 WO2009029169A1 (en) 2007-08-27 2008-08-13 Method and system of communication using extended sequence number

Publications (2)

Publication Number Publication Date
KR20100065150A KR20100065150A (ko) 2010-06-15
KR101455891B1 true KR101455891B1 (ko) 2014-11-03

Family

ID=40243813

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107004365A KR101455891B1 (ko) 2007-08-27 2008-08-13 네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법

Country Status (6)

Country Link
US (1) US8265593B2 (ko)
EP (1) EP2195997B1 (ko)
JP (1) JP5334974B2 (ko)
KR (1) KR101455891B1 (ko)
CN (1) CN101785277B (ko)
WO (1) WO2009029169A1 (ko)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8379854B2 (en) * 2007-10-09 2013-02-19 Alcatel Lucent Secure wireless communication
US8881309B2 (en) * 2008-03-04 2014-11-04 Microsoft Corporation Systems for finding a lost transient storage device
US8560858B2 (en) * 2008-05-29 2013-10-15 Red Hat, Inc. Secure session identifiers
US8571522B2 (en) * 2008-11-27 2013-10-29 Zte Corporation Authentication method for the mobile terminal and a system thereof
CN101772020B (zh) * 2009-01-05 2011-12-28 华为技术有限公司 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
CN102223347B (zh) * 2010-04-13 2015-01-28 中兴通讯股份有限公司 下一代网络中多接入认证方法及系统
TW201220901A (en) * 2010-11-11 2012-05-16 Gemtek Technology Co Ltd Wireless communication system and device thereof
WO2012141648A2 (en) * 2011-04-12 2012-10-18 Telefonaktiebolaget L M Ericsson (Publ) A method and system for transmitting data from a radio network controller to a user equipment
CN102325322B (zh) * 2011-05-18 2014-01-15 西安电子科技大学 支持无线网络的多方式接入网关设备及认证方法
US9331993B2 (en) * 2011-06-16 2016-05-03 Telefonaktiebolaget L M Ericsson (Publ) Authentication server and communication device
CN102841922B (zh) * 2012-07-04 2015-09-23 北京国双科技有限公司 数据采集方法及装置
CN102983975B (zh) * 2012-11-12 2016-02-24 天地融科技股份有限公司 动态口令显示方法
US9686284B2 (en) 2013-03-07 2017-06-20 T-Mobile Usa, Inc. Extending and re-using an IP multimedia subsystem (IMS)
US9338172B2 (en) * 2013-03-13 2016-05-10 Futurewei Technologies, Inc. Enhanced IPsec anti-replay/anti-DDOS performance
US9992183B2 (en) * 2013-03-15 2018-06-05 T-Mobile Usa, Inc. Using an IP multimedia subsystem for HTTP session authentication
US9460312B2 (en) * 2014-03-11 2016-10-04 Qualcomm Incorporated Data integrity protection from rollback attacks for use with systems employing message authentication code tags
CN105451222B (zh) * 2014-07-31 2019-10-22 华为技术有限公司 一种终端建立连接的方法、装置及系统
JP6459014B2 (ja) 2015-03-31 2019-01-30 エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd ジオフェンシング装置
EP3254404A4 (en) 2015-03-31 2018-12-05 SZ DJI Technology Co., Ltd. Authentication systems and methods for generating flight regulations
EP3633653B1 (en) * 2015-03-31 2021-03-31 SZ DJI Technology Co., Ltd. Systems and methods for mutual authentication between an unmanned aerial vehicle and an authentication center
US9913137B2 (en) * 2015-09-02 2018-03-06 Huawei Technologies Co., Ltd. System and method for channel security
CN108496342B (zh) * 2016-02-23 2021-07-16 谷歌有限责任公司 用于记录用户计算设备的位置的方法、介质和系统
KR20190034657A (ko) 2017-04-11 2019-04-02 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크 인증 방법, 장치, 및 시스템
CN109246701B (zh) * 2017-04-11 2019-11-19 华为技术有限公司 网络认证方法、设备和系统
WO2018190854A1 (en) * 2017-04-14 2018-10-18 Giesecke+Devrient Mobile Security America, Inc. Device and method for authenticating transport layer security communications
EP3661243A1 (en) * 2018-11-29 2020-06-03 Nagravision S.A. Secure beacons
US20200236548A1 (en) * 2019-01-18 2020-07-23 Qualcomm Incorporated Protection of sequence numbers in authentication and key agreement protocol
CN110536292A (zh) * 2019-04-28 2019-12-03 中兴通讯股份有限公司 发送终端序列号的方法和装置以及认证方法和装置
CN110098939B (zh) * 2019-05-07 2022-02-22 浙江中控技术股份有限公司 消息认证方法及装置
US10715996B1 (en) 2019-06-06 2020-07-14 T-Mobile Usa, Inc. Transparent provisioning of a third-party service for a user device on a telecommunications network
CN112636898B (zh) * 2019-09-24 2023-03-14 比亚迪股份有限公司 基于通信网络的通信方法、装置和系统
GB2606035B (en) * 2021-05-24 2023-09-06 Nordic Semiconductor Asa Replay attack protection
WO2023080355A1 (ko) * 2021-11-02 2023-05-11 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치
KR102411841B1 (ko) * 2021-12-21 2022-06-22 주식회사 유니온플레이스 펌웨어를 수신하는 방법 및 펌웨어를 전송하는 방법
KR102437864B1 (ko) * 2021-12-24 2022-08-30 주식회사 유니온플레이스 펌웨어를 수신하는 방법 및 펌웨어를 전송하는 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002052784A1 (en) * 2000-12-27 2002-07-04 Nokia Corporation Authentication in data communication
JP2004518309A (ja) * 2000-04-06 2004-06-17 ノキア コーポレイション 認証に使用されるシーケンス番号を発生する方法及びシステム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1220830A (en) * 1984-12-28 1987-04-21 David S. Drynan Transmitting sequence numbers of information in a packet data transmission system
US5546463A (en) * 1994-07-12 1996-08-13 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
US5778071A (en) * 1994-07-12 1998-07-07 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
US20040128249A1 (en) * 1994-11-28 2004-07-01 Indivos Corporation, A Delaware Corporation System and method for tokenless biometric electronic scrip
KR100470303B1 (ko) * 2002-04-23 2005-02-05 에스케이 텔레콤주식회사 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
US8341700B2 (en) * 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
US6999751B2 (en) * 2004-04-08 2006-02-14 Motorola, Inc. Detection of cloned communication units based on message contents
US20060046690A1 (en) * 2004-09-02 2006-03-02 Rose Gregory G Pseudo-secret key generation in a communications system
CN1767430B (zh) * 2004-10-27 2010-04-21 华为技术有限公司 鉴权方法
CN100428848C (zh) 2005-05-31 2008-10-22 华为技术有限公司 一种对终端用户标识模块进行ip多媒体域鉴权的方法
JP2007041223A (ja) * 2005-08-02 2007-02-15 Mitsubishi Electric Corp データ配信装置及びデータ通信システム
US20070043947A1 (en) * 2005-08-19 2007-02-22 Mizikovsky Semyon B Providing multimedia system security to removable user identity modules
US7725709B2 (en) * 2005-09-09 2010-05-25 Telefonaktiebolaget L M Ericsson (Publ) Methods for secure and bandwidth efficient cryptographic synchronization
US20070165638A1 (en) * 2006-01-13 2007-07-19 Cisco Technology, Inc. System and method for routing data over an internet protocol security network
CN101030854B (zh) * 2006-03-02 2010-05-12 华为技术有限公司 多媒体子系统中网络实体的互认证方法及装置
CN101064606A (zh) * 2006-04-29 2007-10-31 华为技术有限公司 一种用于鉴权的系统、装置及方法
US7886962B2 (en) * 2006-08-17 2011-02-15 Verizon Patent And Licensing Inc. Multi-function transaction device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004518309A (ja) * 2000-04-06 2004-06-17 ノキア コーポレイション 認証に使用されるシーケンス番号を発生する方法及びシステム
WO2002052784A1 (en) * 2000-12-27 2002-07-04 Nokia Corporation Authentication in data communication

Also Published As

Publication number Publication date
EP2195997A1 (en) 2010-06-16
EP2195997B1 (en) 2017-05-03
US20090061820A1 (en) 2009-03-05
CN101785277A (zh) 2010-07-21
CN101785277B (zh) 2013-01-16
JP5334974B2 (ja) 2013-11-06
KR20100065150A (ko) 2010-06-15
JP2010538533A (ja) 2010-12-09
US8265593B2 (en) 2012-09-11
WO2009029169A1 (en) 2009-03-05

Similar Documents

Publication Publication Date Title
KR101455891B1 (ko) 네트워크와 통신하는 이동 장비에 의해 수행되는 방법 및 이동 장비와 통신하는 네트워크에 의해 수행되는 방법
US8379854B2 (en) Secure wireless communication
US7957533B2 (en) Method of establishing authentication keys and secure wireless communication
CN102638794B (zh) 鉴权和密钥协商方法、认证方法、系统及设备
RU2480925C2 (ru) Генерация криптографического ключа
US6839434B1 (en) Method and apparatus for performing a key update using bidirectional validation
US11159940B2 (en) Method for mutual authentication between user equipment and a communication network
KR20060123345A (ko) 무선 랜에서의 인증을 위한 시스템, 방법, 및 장치들
CN102318386A (zh) 向网络的基于服务的认证
CN103313242A (zh) 密钥的验证方法及装置
CN112291064A (zh) 认证系统,注册及认证方法、装置,存储介质及电子设备
CN101938741A (zh) 双向认证的方法、系统及装置
CN101087260B (zh) 基于通用引导构架实现推送功能的方法和设备
CN102014385A (zh) 移动终端的认证方法及移动终端
CN117499920A (zh) 一种认证方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180918

Year of fee payment: 5