KR101515312B1 - 네트워크 액세스의 제어 방법 및 시스템 - Google Patents

네트워크 액세스의 제어 방법 및 시스템 Download PDF

Info

Publication number
KR101515312B1
KR101515312B1 KR1020137012247A KR20137012247A KR101515312B1 KR 101515312 B1 KR101515312 B1 KR 101515312B1 KR 1020137012247 A KR1020137012247 A KR 1020137012247A KR 20137012247 A KR20137012247 A KR 20137012247A KR 101515312 B1 KR101515312 B1 KR 101515312B1
Authority
KR
South Korea
Prior art keywords
access
authentication
req
identity
access device
Prior art date
Application number
KR1020137012247A
Other languages
English (en)
Other versions
KR20130103752A (ko
Inventor
지치앙 두
만시아 티에
전하이 황
준 카오
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CN201010506041XA external-priority patent/CN101958908B/zh
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20130103752A publication Critical patent/KR20130103752A/ko
Application granted granted Critical
Publication of KR101515312B1 publication Critical patent/KR101515312B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 네트워크 액세스 제어 방법 및 시스템은 암호화 메커니즘을 기반으로 하여,액세스 장치가 액세스 요청을 제출한 후에,목적 네트워크에서의 액세스 제어기가 액세스 요청을 처리하며,액세스 장치를 통해 인증 서버에 액세스 장치의 신분 인증 요청을 개시한다. 목적 네트워크에서의 액세스 제어기는 액세스 장치부터 전송(轉送)온 인증 서버의 공개 가능한 인증 결과에 따라 액세스 장치에 대한 신분 인증을 완성한다. 또한, 권한 부여 폴리시에 따라 인증 성공한 액세스 장치에 대해 권한 부여 관리를 수행한다. 본 발명에 의하면 액세스 제어기가 인증 서버에 의해 제공된 인증 서비스를 직접 이용할 수 없음으로 인한 액세스 제어를 실시할 수 없는 문제를 해결하며,본 발명은 액세스 장치에 대한 액세스 제어의 실제 적용 요구를 충분히 충족할 수 있다.

Description

네트워크 액세스의 제어 방법 및 시스템 {METHOD AND SYSTEM FOR NETWORK ACCESS CONTROL}
본 출원은 2010년 10월 13일에 중국 특허청에 제출한, 출원 번호가 201010506041.X이며 "네트워크 액세스의 제어 방법 및 시스템”을 출원 명칭으로 하는 중국 특허출원의 우선권을 주장하며, 그의 전부 내용은 인용을 통하여 본 출원에 통합된다.
본 발명은 정보 보안기술에 속하는 네트워크 보안 응용 분야에 관한 것이며, 보다 상세하게는 네트워크 액세스의 제어 방법 및 시스템에 관한 것이다.
종래 네트워크 액세스의 제어 방법에 있어서,통상적으로 액세스 장치가 목적 네트워크에 액세스 청구를 개시한 후에, 목적 네트워크에서의 액세스 제어기에 의해 액세스 장치에 대한 인증 및 권한 부여를 완성하여,액세스 장치에 대한 액세스 제어를 실현한다. 인증 서버(authentication server)와 같은 제3자가 신분 인증에 참여해야 할 액세스 제어 시나리오에서,액세스 제어기 자신 또는 목적 네트워크의 원인으로 인하여, 액세스 제어기가 인증 서버에 직접 연결하지 못하여 인증 서버가 제공하는 인증 서비스를 직접 이용할 수 없게 된다. 이런 경우,종래 기술에서의 액세스 제어기가 직접 인증 서버에 연결되어 인증 서버로부터 인증 서비스를 제공 받은 액세스 제어 방법은 액세스 장치에 대한 액세스 제어의 실제 적용 요구를 충족할 수 없게 된다.
배경 기술에 설명한 상기 기술 문제를 해결하기 위하여 본 발명은 액세스 장치에 대한 액세스 제어의 적용 요구를 충족할 수 있는 액세스 제어 방법 및 시스템을 제공한다.
본 발명에 따른 네트워크 액세스 제어 방법은,
액세스 장치가 목적 네트워크의 일 액세스 제어기에 상기 액세스 장치의 액세스 요청이 포함되는 액세스 요청 메세지를 송신하는 단계 1);
상기 액세스 제어기가 상기 액세스 요청 메세지를 수신한 후에,상기 액세스 제어기의 신분 인증 정보인 제1신분 인증 정보가 포함되는 액세스 인증 요청 메세지를 구성하여 상기 액세스 장치에 송신하는 단계 2);
상기 액세스 장치가 상기 액세스 인증 요청 메세지를 수신한 후에,신분 인증 요청 메세지를 구성하여 상기 목적 네트워크의 인증 서버에 송신하는 단계 3);
상기 인증 서버가 상기 신분 인증 요청 메세지를 수신한 후에,상기 제1 신분 인증 정보에 따라 상기 액세스 제어기를 인증한 후의 제1 인증 결과 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치를 인증한 후의 제2 인증 결과를 생성하며, 상기 인증 서버가 상기 제1 인증 결과 및 상기 제2 인증 결과가 포함되는 신분 인증 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 단계 4);
상기 액세스 장치가 상기 신분인증 응답 메세지를 수신한 후에, 상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함되는 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하는 단계 5); 및
상기 액세스 제어기가 상기 액세스 인증 응답 메세지를 수신한 후에, 상기 제2 인증 결과 및 권한 부여 폴리시에 따라 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 단계 6)을 포함하며;
상기 신분 인증 요청 메세지는 상기 제1 신분 인증 정보와 제2 신분 인증 정보를 포함하며; 상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며;
상기 권한 부여 폴리시는 상기 액세스 제어기가 상기 액세스 요청에 대해 권한을 부여하는 폴리시이다.
또한 본 발명에 따른 액세스 장치는,
목적 네트워크의 액세스 제어기에 액세스 요청 메세지를 송신하며 상기 액세스 제어기로부터 송신받은 제1 신분 인증 정보가 포함되는 액세스 인증 요청 메세지를 수신하는 액세스 요청 인터랙티브 모듈;
목적 네트워크의 인증 서버에 상기 제1 신분 인증 정보와 제2 신분 인증 정보가 포함되는 신분 인증 요청 메세지를 송신하며, 상기 인증 서버에 의해 송신되는 신분 인증 응답 메세지를 수신하는 인증 요청 인터랙티브 모듈; 및
상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함되는 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며,상기 액세스 장치에 의해 송신되는 액세스 응답 메세지를 수신하는 인증 결과 인터랙티브 모듈을 포함하며;
상기 제1신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며;
상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며; 상기 신분 인증 응답 메세지에는 상기 제1신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행한 후의 제1 인증 결과 및 상기 제2신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후의 제2인증 결과가 포함된다.
또한, 본 발명에 따른 인증 서버는,
액세스 장치가 송신하는 목적 네트워크의 액세스 제어기의 제1 신분 인증 정보와 상기 액세스 장치의 제2 신분 인증 정보가 포함되는 신분 인증 요청 메세지를 수신하는 인증 요청 수신 모듈;
상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행한 후의 제1 인증 결과 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후의 제2 인증 결과를 생성하는 인증 수행 모듈; 및
상기 신분 인증 응답 메세지에 상기 제1 인증 결과 및 제2 인증 결과가 포함되는 신분 인증 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 인증 응답 송신 모듈을 포함한다.
또한, 본 발명에 따른 액세스 제어기는,
액세스 장치가 송신한 액세스 요청 메세지를 수신하는 액세스 요청 수신 모듈;
제1신분 인증 정보가 포함되는 인증 요청 액세스 메세지를 구성하여 상기 액세스 장치에 송신하는 액세스 인증 요청 구성 모듈;
상기 액세스 장치가 송신하는 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득하는 , 액세스 인증 응답 수신 모듈;
획득된 상기 제2 인증 결과 및 권한 부여 폴리시에 따라 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 액세스 응답 송신 모듈을 포함하며;
상기 제1신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며;
액세스 인증 응답 메세지는 상기 액세스 장치가 제1인증 결과에 따라 구성된 것이며; 상기 제1인증 결과와 제2인증 결과는 인증 서버가 신분 인증 응답 메세지를 통해 상기 액세스 장치에 송신되며; 상기 제1 인증 결과는 상기 인증 서버가 상기 액세스 장치에 의해 송신된 신분 인증 요청 메세지에 포함된 상기 제1 신분 인증 정보에 따라, 상기 액세스 제어기에 대해 신분 인증을 수행한 후에 생성된 것이며; 상기 제2인증 결과는 상기 인증 서버가 상기 신분 인증 요청 메세지에 포함된 제2신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후에 생성된 것이다.
또한, 본 발명에 따른 네트워크 액세스 제어 시스템은 액세스 장치, 목적 네트워크의 액세스 제어기 및 인증 서버를 포함하며;
상기 액세스 장치는 상기 액세스 제어기에 액세스 요청 메세지를 송신하며 상기 액세스 제어기가 송신하는 제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 수신하며; 상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며; 및
상기 인증 서버에 상기 제1 신분 인증 정보 및 제2 신신분 인증 정보가 포함된 신분 인증 요청 메세지를 송신하며, 상기 인증 서버가 송신하는 제1 인증 결과 및 제2 인증 결과가 포함된 신분 인증 응답 메세지를 수신하며; 상기 제2 신신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며; 및
상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함된 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며, 상기 액세스 장치가 송신하는 액세스 응답 메세지를 수신하며;
상기 액세스 제어기는,상기 액세스 요청 메세지를 수신하며,상기 액세스 인증 요청 메세지를 송신하며; 및
상기 액세스 장치가 송신하는 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득하며,획득된 상기 제2 인증 결과 및 권한 부여 폴리시에 따라 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하며;
상기 인증 서버는, 상기 액세스 장치가 송신하는 상기 제1 신신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행하여 제1 인증 결과를 획득하며; 상기 액세스 장치가 송신하는 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행하여 제2 인증 결과를 획득하며; 상기 제1 인증 결과 및 제2 인증 결과가 포함된 신분 인증 응답 메세지를 상기 액세스 장치에 송신한다.
본 발명에 따른 네트워크 액세스 제어 방법 및 시스템은,인증 서버가 참여하며 목적 네트워크의 액세스 제어기가 인증 서버로부터 제공받은 인증 서비스를 직접 이용할 수 없는 상황에서 액세스 장치에 대한 신분 인증을 완성할 수 있는 네트워크 액세스 제어 방법이다. 본 발명은 암호 메커니즘을 바탕으로 하며 액세스 장치가 액세스 요청을 송신한 후, 목적 네트워크에서의 액세스 제어기가 액세스 요청을 처리하며 액세스 장치를 통해 인증 서버에 액세스 장치의 신분 인증 요청을 개시한다. 목적 네트워크에서의 액세스 제어기는 액세스 장치로부터 전송(轉送)받은 인증 서버의 공개 가능한 인증 결과에 따라 액세스 장치에 대한 신분 인증을 완성하며 권한 부여 폴리시에 따라 인증 성공한 액세스 장치에 대해 권한 부여 관리를 수행한다. 본 발명은 액세스 제어기가 인증 서버로부터 제공받은 인증 서비스를 직접 이용할 수 없으므로 액세스 제어를 실시할 수 없는 문제를 해결할 수 있으며, 본 발명은 액세스 장치에 대한 액세스 제어의 실제 적용 요구를 충분히 충족할 수 있다.
도 1은 본 발명에 따른 네트워크 액세스 제어 방법의 흐름도.
도 2는 본 발명에 따른 네트워크 액세스 제어 시스템의 동작 개략도.
도 3은 도 2 내의 단계 S1의 세분화 블록도.
도 4는 도 2 내의 단계 S2의 세분화 블록도.
도 5는 도 2 내의 단계 S3의 세분화 블록도.
도 6은 도 2 내의 단계 S4의 세분화 블록도.
도 7은 도 2 내의 단계 S5의 세분화 블록도.
도 8은 도 2 내의 단계 S6의 세분화 블록도.
도 2를 참조하면,본 발명은 네트워크 액세스 제어 시스템 100을 제공한다. 상기 액세스 제어 시스템 100은 액세스 장치 REQ, 인증 서버 AS 및 액세스 제어기 AC를 포함한다. 시스템 100이 동작하기 전에, 액세스 장치 REQ와 인증 서버 AS 사이에, 액세스 제어기 AC와 인증 서버 AS 사이에 이미 서로의 신분을 검증하기 위한 인증 정보를 각각 공유한다.
도 1, 도 3 내지 도 8을 참조하면,네트워크 액세스 제어 시스템 100은 S1~S6, 6개의 단계를 거쳐서 액세스 장치 REQ에 대한 인증과 권한 부여를 완성한다。
단계 S1:도 3을 참조하면,액세스 장치 REQ는 목적 네트워크의 액세스 제어기 AC에 액세스 요청 메세지 M1을 송신한다. 액세스 요청 메세지 M1에는 QREQ가 포함된다. 여기서, QREQ는 액세스 장치 REQ의 액세스 요청이며, 이하 같다.
단계 S2:도 4를 참조하면,목적 네트워크의 액세스 제어기 AC는 액세스 요청 메세지 M1을 수신한 후 액세스 인증 요청 메세지 M2를 구성하여 액세스 장치 REQ에 송신한다. 액세스 인증 요청 메세지 M2에는 액세스 제어기 AC의 신분 인증 정보 I1이 포함되며, 신분 인증 정보 I1은 인증 서버 AS에 액세스 제어기 AC의 신분 합법성을 증명하기 위한 것이다.
단계 S3: 도 5를 참조하면,액세스 장치 REQ가 액세스 인증 요청 메세지 M2를 수신한 후 신분 인증 요청 메세지 M3을 구성하여 인증 서버 AS에 송신한다. 여기서, 신분 인증 요청 메세지 M3에는 상기 신분 인증 정보 I1 및 액세스 장치 REQ의 신분 인증 정보 I2가 포함된다. 신분 인증 정보 I2는 인증 서버 AS에 액세스 장치 REQ의 신분 합법성을 증명하기 위한 것이다.
단계 S4: 도 6을 참조하면,인증 서버 AS는 신분 인증 요청 메세지 M3에 따라 인증 서비스를 제공하며 공개 가능한 인증 결과를 생성한다. 즉, 신분 인증 요청 메세지 M3 내의 신분 인증 정보 I1과 I2에 따라 액세스 제어기 AC에 대해 공개 가능한 인증 결과 C1 및 액세스 장치 REQ의 공개 가능한 인증 결과 C2를 생성한다. 인증 서버 AS는 공개 가능한 인증 결과 C1 및 C2에 따라 신분 인증 응답 메세지 M4를 구성하여 액세스 장치 REQ에 송신한다. 여기서,신분 인증 응답 메세지 M4는 상기 공개 가능한 인증 결과 C1 및 C2를 포함한다.
단계 S5: 도 7을 참조하면,액세스 장치 REQ는 신분 인증 응답 메세지 M4를 수신한 후,공개 가능한 인증 결과 C1에 따라 액세스 인증 응답 메세지 M5를 구성하여 목적 네트워크의 액세스 제어기 AC에 송신한다. 여기서, 액세스 인증 응답 메세지 M5는 공개 가능한 인증 결과 C2를 포함한다.
단계 S6: 도 8을 참조하면, 액세스 제어기 AC는 상기 인증 서버 AS의 공개 가능한 인증 결과 C2 및 권한 부여 폴리시에 따라 액세스 응답 메세지 M6을 구성하여 액세스 장치 REQ에 송신한다. 본 발명이 액세스 장치 REQ에 대한 인증 및 권한 부여 과정은 여기까지 완료된다. 여기서,상기 권한 부여 폴리시는 액세스 제어기 AC가 액세스 장치 REQ의 액세스 요청 QREQ에 대해 권한을 부여하는 폴리시이다. 상기 권한 부여 폴리시는 일 서버로부터 수신 받을 수 있다. 예컨대 인증 서버 AS로부터 획득할 수 있으며 액세스 제어기 AC 로컬로부터 획득할 수도 있다. 상기 권한 부여 폴리시는 이미 사전에 상기 인증 서버 AS 또는 액세스 제어기 AC에 내장되며,본 발명에서는 상기 권한 부여 폴리시만 콜링(calling)한다.
단계 S1~S6의 방법에 따라 시스템 100을 오퍼레이팅하면, 액세스 장치 REQ에 대한 인증 및 권한 부여를 실현할 수 있으며, 액세스 장치에 대한 액세스 제어의 실제 적용 요구를 충족할 수 있게 된다.
본 발명에 따른 상기 방법에 의하면 본 발명에 따른 액세스 장치는, 액세스 요청 인터랙티브 모듈, 인증 요청 인터랙티브 모듈 및 인증 결과 인터랙티브 모듈을 포함한다.
상기 액세스 요청 인터랙티브 모듈은, 목적 네트워크의 액세스 제어기에 액세스 요청 메세지를 송신하며,상기 액세스 제어기가 송신한 제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 수신한다. 상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이다.
상기 인증 요청 인터랙티브 모듈은, 목적 네트워크의 인증 서버에 신분 인증 요청 메세지를 송신하며,상기 인증 서버가 송신한 신분 인증 응답 메세지를 수신한다. 상기 신분 인증 요청 메세지에는 상기 제1 신분 인증 정보 및 제2 신분 인증 정보가 포함된다. 상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이다. 상기 신분 인증 응답 메세지에는 상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행한 후의 제1 인증 결과 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후의 제2 인증 결과를 포함한다.
인증 결과 인터랙티브 모듈은,상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함된 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며,상기 액세스 장치가 송신한 액세스 응답 메세지를 수신한다.
이에 대응되는 본 발명에 따른 인증 서버는, 인증 요청 수신 모듈,인증 수행 모듈 및 인증 응답 송신 모듈을 포함한다.
상기 인증 요청 수신 모듈은,액세스 장치가 송신한 신분 인증 요청 메세지를 수신한다. 상기 신분 인증 요청 메세지에는 목적 네트워크에서의 액세스 제어기의 제1신분 인증 정보와 상기 액세스 장치의 제2 신분 인증 정보가 포함된다.
상기 인증 수행 모듈은,상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행한 후의 제1 인증 결과, 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후의 제2 인증 결과를 생성한다.
상기 인증 응답 송신 모듈은,신분 인증 응답 메세지를 구성하여 상기 액세스 장치에 송신한다. 상기 신분 인증 응답 메세지에는 상기 제1 인증 결과 및 제2 인증 결과가 포함된다.
이에 대응되는 본 발명에 따른 액세스 제어기는, 액세스 요청 수신 모듈, 액세스 인증 요청 구성 모듈, 액세스 인증 응답 수신 모듈 및 액세스 응답 송신 모듈을 포함한다.
상기 액세스 요청 수신 모듈은,액세스 장치가 송신한 액세스 요청 메세지를 수신한다.
상기 액세스 인증 요청 구성 모듈은,제1 신분 인증 정보가 포함되는 액세스 인증 요청 메세지를 구성하여 상기 액세스 장치에 송신한다. 상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이다.
상기 액세스 인증 응답 수신 모듈은,상기 액세스 장치가 송신한 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득한다. 상기 액세스 인증 응답 메세지는 상기 액세스 장치가 제1 인증 결과에 따라 구성된 것이다. 상기 제1 인증 결과와 제2 인증 결과는 인증 서버가 신분 인증 응답 메세지를 통해 상기 액세스 장치에 송신한다. 여기서, 상기 제1 인증 결과는 상기 인증 서버가 상기 액세스 장치로부터 수신받은 신분 인증 요청 메세지에 포함된 상기 제1 신분 인증 정보에 따라, 상기 액세스 제어기에 대해 신분 인증을 수행한 후에 생성된 것이다. 상기 제2 인증 결과는 상기 인증 서버가 상기 신분 인증 요청 메세지에 포함된 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행한 후에 생성된 것이다.
상기 액세스 응답 송신 모듈은,획득한 상기 제2 인증 결과 및 권한 부여 폴리시에 따라, 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신한다.
본 발명이 제공한 방법에 의하여 해당 기능을 구비하는 네트워크 액세스 제어 시스템은, 액세스 장치, 목적 네트워크의 액세스 제어기 및 인증 서버를 포함한다.
상기 액세스 장치는,상기 액세스 제어기에 액세스 요청 메세지를 송신하며, 상기 액세스 제어기가 송신한 제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 수신한다. 상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며; 및
상기 인증 서버에 상기 제1 신분 인증 정보와 제2 신분 인증 정보가 포함된 신분 인증 요청 메세지를 송신하며,상기 인증 서버가 송신한 제1 인증 결과와 제2 인증 결과가 포함된 신분 인증 응답 메세지를 수신하며; 상기 제2 신신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며; 및
상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함된 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며,상기 액세스 장치가 송신한 액세스 응답 메세지를 수신한다.
상기 액세스 제어기는,상기 액세스 요청 메세지를 수신하며,상기 액세스 인증 요청 메세지를 송신하고; 및
상기 액세스 장치가 송신한 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득하여,획득된 상기 제2 인증 결과 및 권한 부여 폴리시에 따라,액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신한다.
상기 인증 서버는,상기 액세스 장치가 송신한 상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행하여 제1 인증 결과를 획득하며; 상기 액세스 장치가 송신한 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행하여 제2 인증 결과를 획득하며; 상기 제1 인증 결과와 제2 인증 결과가 포함된 신분 인증 응답 메세지를 상기 액세스 장치에 송신한다.
이하 구체적인 실시예를 통해 네트워크 액세스 제어 방법 중의 단계 S1~S6을 상세히 설명한다.
실시예一:
바람직하게는, 단계 S1의 일 구체적인 실시예는 이하와 같다.
액세스 장치 REQ는 NREQ||QREQ를 구성하여 액세스 제어기 AC에 송신한다. 본 실시예에서는 NREQ||QREQ는 바로 액세스 요청 메세지 M1이지만,다른 실시예에서 요청 메세지 M1은 최소한 NREQ||QREQ가 포함된 다른 메세지일 수도 있다.
여기서,NREQ는 액세스 장치 REQ가 생성한 난수이며,"||"은 전후 두 정보 간의 직렬 형식임을 표시하며,이하 같다.
바람직하게는,단계 S2의 구체적인 실시예는 이하와 같다.
액세스 제어기 AC는 액세스 장치 REQ의 액세스 요청 메세지 M1, 즉 NREQ||QREQ를 수신한 후,액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||IAAC를 구성하여 액세스 장치 REQ에 송신한다. 다른 실시예에서,액세스 인증 요청 메세지 M2는 적어도 NREQ||NAC||IAAC를 포함하는 메세지이다.
여기서 NAC는 액세스 제어기 AC가 생성한 난수를 의미하며,IAAC는 액세스 제어기 AC의 신분 인증 정보,즉 신분 인증 정보 I1을 의미하며, 액세스 제어기 AC가 인증 서버 AS와의 공유 인증 정보를 이용하여 암호 운산으로 생성된 결과이거나 암호 운산을 거치지 않고 직접 인증 서버 AS에 송신할 수 있는 신분 인증 정보이며, 인증 서버 AS에 액세스 제어기 AC의 신분 합법성을 증명하는데 사용된다.
바람직하게는, 단계 S3의 일 구체적인 실시예는 이하와 같다.
액세스 장치 REQ는 액세스 제어기 AC의 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||IAAC를 수신한 후,NREQ가 액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단하며, 만약 아니면 상기 인증 요청 메세지 M2를 포기하며; 만약 맞다면,인증 서버 AS 간의 공유 인증 정보를 이용하여 암호 운산으로 액세스 장치 REQ의 신분 인증 정보 IAREQ를 생성하거나,암호 운산을 거치지 않고 인증 서버 AS액세스 장치 REQ의 신분 인증 정보 IAREQ 즉, 신분 인증 정보 I2에 직접 송신할 수도 있다. 그 다음, 액세스 장치 REQ는 신분 인증 요청 메세지 M3 즉, IDAC||NREQ||IAREQ||IAAC를 구성하여 인증 서버 AS에 송신한다.
여기서, IDAC는 액세스 제어기 AC의 신분 식별자이며,이하 같다.
다른 실시예에서,신분 인증 요청 메세지 M3은 적어도 IDAC||NREQ||IAREQ||IAAC를 포함하는 메세지이다.
바람직하게는,단계 4)의 일 구체적인 실시예는 이하와 같다.
4.1) 인증 서버 AS는 액세스 장치 REQ의 신분 인증 요청 메세지 M3, 즉 IDAC||NREQ||IAREQ||IAAC를 수신한 후, IAAC에 따라 액세스 제어기 AC의 신분을 우선 인증한다. 만약 액세스 제어기 AC의 신분이 불법이면,4.2)를 수행하고; 만약 액세스 제어기 AC의 신분이 합법이면 4.3)을 수행한다.
4.2)인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)를 구성하여 액세스 장치 REQ에 송신한다. 여기서, 본 실시예에서는, Res(AC)가 공개 가능한 인증 결과 C1이며, Res(REQ)는 공개 가능한 인증 결과 C2이며,이하 같다. Res(AC)는 인증 서버 AS가 액세스 제어기 AC에 대한 인증 결과이거나, 또는 액세스 장치 REQ와의 공유 인증 정보를 이용하여 액세스 제어기 AC의 인증 결과를 암호 운산하여 생성된 결과이며,이하 같다. Res(REQ)는 인증 서버 AS가 액세스 장치 REQ에 대한 인증 결과이거나,또는 액세스 제어기 AC와의 공유 인증 정보를 이용하여 액세스 장치 REQ의 인증 결과를 암호 운산하여 생성된 결과이며,이하 같다. 이때, 인증 서버 AS가 액세스 제어기 AC에 대한 인증 결과가“Failure"이면, 인증 서버 AS의 액세스 제어기 AC에 대한 인증이 실패인 것을 의미하며,즉, 액세스 제어기 AC가 불법이다. 인증 서버 AS가 액세스 장치 REQ에 대한 인증 결과가“Null"이면 인증 결과가 없는 것을 의미한다.
4.3) 인증 서버 AS는 액세스 장치 REQ의 신분을 인증하며,만약 액세스 장치 REQ의 신분이 불법이면 4.3.1)을 수행하며; 만약 액세스 장치 REQ의 신분이 합법이면 4.3.2)를 수행한다.
4.3.1) 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)를 구성하여 액세스 장치 REQ에 송신한다. 이때, 인증 서버 AS가 액세스 제어기 AC에 대한 인증 결과는 “True"이며, 액세스 제어기 AC가 합법임을 의미하며; 인증 서버 AS가 액세스 장치 REQ에 대한 인증 결과는 “Failure"이며, 액세스 장치 REQ의 신분이 불법임을 의미한다.
4.3.2) 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)를 구성하여 액세스 장치 REQ에 송신한다. 이때, 인증 서버 AS가 액세스 제어기 AC에 대한 인증 결과가 “True"이면, 액세스 제어기 AC가 합법임을 의미하며; 인증 서버 AS가 액세스 장치 REQ에 대한 인증 결과가 “True"이면 액세스 장치 REQ의 신분 합법성을 의미한다.
다른 실시예에서, 신분 인증 응답 메세지 M4는 적어도 IDAC||NREQ||Res(AC)||Res(REQ)를 포함한 메세지이다.
바람직하게는, 단계 S5의 구체적인 실시예는 이하와 같다.
5.1) 액세스 장치 REQ는 인증 서버 AS의 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)를 수신한 후에 난수 NREQ이 액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단하며, 아니면 5.2)를 수행하고, 맞으면 5.3)을 수행한다.
5.2) 액세스 장치 REQ는 상기 신분 인증 응답 메세지 M4를 포기한다.
5.3) 만약 Res(AC)는 암호 운산을 거친 후의 결과이면,액세스 장치 REQ는 인증 서버 AS와의 공유 인증 정보를 이용하여 Res(AC)에 대해 암호 운산을 수행하여 인증 서버 AS의 액세스 제어기 AC에 대한 인증 결과를 획득한다. 이 운산은 Res(AC)를 생성할 때 이용했던 암호 운산의 역 운산이다. 만약 Res(AC)가 암호 운산을 거치지 않고 획득한 결과이면 인증 서버 AS의 액세스 제어기 AC에 대한 인증 결과를 직접 얻는다. 만약 인증 결과가 “Failure"이면 액세스 제어기 AC가 불법임을 의미하며 단계 5.3.1)을수행한다. 만약 "True"이면, 액세스 제어기 AC의 합법성을 의미하며 5.3.2)를 수행한다.
5.3.1) 액세스 장치 REQ는 액세스를 종료한다.
5.3.2) 액세스 장치 REQ는 난수 N’REQ,를 다시 생성하여 액세스 인증 응답 메세지 M5, 즉 NAC ||N?EQ||Res(REQ)를 구성하여 액세스 제어기 AC에 송신한다.
다른 실시예에서,액세스 인증 응답 메세지 M5는 최소한 NAC||N'REQ||Res(REQ)를 포함하는 메세지이다.
바람직하게는,단계 S6의 구체적인 실시예는 이하와 같다.
6.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스 인증 응답 메세지 M5, 즉 NAC||N' REQ||Res(REQ)를 수신한 후에,난수 NAC가 액세스 제어기 AC에 의해 생성된 난수 NAC인지 여부를 우선 판단하며, 아니면 6.2)를 수행하고 맞으면 6.3)을 수행한다.
6.2) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3) 만약 Res(REQ)가 암호 운산을 거쳐 얻은 결과이면,액세스 제어기 AC는 인증 서버 AS와의 공유 인증 정보를 이용하여 Res(REQ)를 암호 운산하여 인증 서버 AS의 액세스 장치 REQ에 대한 인증 결과를 얻는다. 이 운산은 Res(REQ)를 생성할 때 이용한 암호 운산의 역 운산이다. 만약 Res(REQ)가 암호 운산을 거치지 않은 결과이면, 인증 서버 AS가 액세스 장치 REQ에 대한 인증 결과를 직접 획득한다. 만약 인증 결과가 “Failure"이면 액세스 장치 REQ의 불법성을 의미하며 6.3.1)을수행한다. 만약 "True"이면, 액세스 장치 REQ의 합법성을 의미하며 6.3.2)를 수행한다.
6.3.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2) 액세스 제어기 AC는 권한 부여 폴리시에 따라 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ가 합법인지 여부를 판단한다. 만약 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ가 불법이라고 판단되면 6.3.2.1)를 수행하고; 만약 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ가 합법이라고 판단되면 6.3.2.2)를 수행한다.
6.3.2.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2.2) 액세스 제어기 AC는 QREQ에 따라 응답 데이터 RAC를 구성하며, 액세스 응답 메세지 M6, 즉 N' REQ||RAC를 구성하여 액세스 장치 REQ에 송신한다. 여기서, 응답 데이터 RAC는 액세스 제어기 AC가 액세스 장치 REQ에, 목적 네트워크에 액세스하는 권한 유무를 통지하는데 사용된다.
여기서,액세스 제어기 AC의 액세스 장치 REQ에 대한 상기 권한 부여 폴리시는 로컬로부터 제공받을 수 있으며 다른 서버로부터 제공받을 수도 있다. 상기 권한 부여 폴리시가 인증 서버 AS로부터 제공받을 경우 단계 S4 에서의 신분 인증 응답 메세지 M4를 IDAC||NREQ||Res(AC)||Res(REQ)||APAS로 수정해야 하며, 여기서, APAS는 액세스 장치 REQ에 대한 권한 부여 폴리시를 의미한다. 아울러 단계 S5에서의 액세스 인증 응답 메세지 M5를 NAC||N'REQ||Res(REQ)||APAS로 수정해야 한다.
이로써, 액세스 제어기 AC가 액세스 장치 REQ에 대한 인증 및 권한 부여는 여기까지 완성되었으며, 액세스 제어기 AC에 대한 액세스 제어를 실현하게 된다.
액세스 장치 REQ는 액세스 응답 메세지 M6을 수신한 후에,난수 N’REQ가 액세스 장치 REQ가 생성한 난수 N’REQ인지 여부를 우선 판단하며, 만약 아니면 상기 액세스 응답 메세지 M6을 포기하고, 만약 맞다면 응답 데이터 RAC에 따라 액세스 제어기 AC에 의해 권한을 부여받은 액세스 목적 네트워크인지 여부를 판단하며, 이에 따라 목적 네트워크에 액세스한다.
다른 실시예에서,액세스 응답 메세지 M6은 최소한 N'REQ||RAC를 포함하는 메세지이다.
실시예 2:
단계 S1:
액세스 장치 REQ는 NREQ||QREQ를 구성하여 액세스 제어기 AC에 송신한다. 본 실시예에서는 NREQ||QREQ가 액세스 요청 메세지 M1이며, 다른 실시예에서 요청 메세지 M1은 다른 메세지일 수도 있으며, 상기 다른 메세지에는 최소한 NREQ||QREQ가 포함된다. 여기서 "||”는 전후 두 정보 사이는 직렬 관계인 것을 의미하며, 이하 같다.
단계 S2:
액세스 제어기 AC는 액세스 요청 메세지 M1, 즉 NREQ||QREQ를 수신한 후, 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||E(KAS , AC,NREQ)를 구성하여 액세스 장치 REQ에 송신한다. 다른 실시예에서, 액세스 인증 요청 메세지 M2는 최소한 NREQ||NAC||E(KAS , AC,NREQ)를 포함하는 메세지이다.
여기서,NAC는 액세스 제어기 AC가 생성한 난수를 의미하며; E(KAS , AC,NREQ)는 공유 시크릿 키 KAS , AC를 이용하여 NREQ를 암호화한 결과이며, 즉 액세스 제어기 AC의 신분 인증 정보 I1을 의미하며, E는 대칭형 암호 기법이며, 이하 같다.
단계 S3:
액세스 장치 REQ는 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||E(KAS , AC,NREQ)를 수신한 후에 NREQ가 액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단하며,만약 아니면,인증 요청 메세지 M2를 포기하며; 만약 맞다면, 액세스 장치 REQ는 공유 시크릿 키 KAS , REQ를 이용하여 E(KAS , REQ,NREQ),즉 액세스 장치 REQ의 신분 인증 정보 I2를 계산하며, 신분 인증 요청 메세지 M3, 즉 IDAC||NREQ||E(KAS,REQ,NREQ)||E(KAS,AC,NREQ)를 구성하여 인증 서버 AS에 송신한다. 여기서, IDAC는 액세스 제어기 AC의 신분 식별자이며,이하 같다.
다른 실시예에서,신분 인증 요청 메세지 M3은 적어도 IDAC||NREQ||E(KAS,REQ,NREQ) ||E(KAS , AC,NREQ)를 포함하는 메세지이다.
단계 S4:
4.1) 인증 서버 AS는 신분 인증 요청 메세지 M3, 즉 IDAC||NREQ||E(KAS,REQ,NREQ)||E(KAS,AC,NREQ)를 수신한 후,액세스 장치 REQ가 이미 인증 서버 AS와 시크릿 키 KAS , REQ,를 공유했는지 여부를 우선 판단하며, 시크릿 키 KAS , REQ를 공용하지 않았다면 4.2)를 수행하고; 시크릿 키 KAS , REQ를 공유했으면 4.3)을 수행한다.
4.2) 인증 서버 AS는 IDAC에 따라 액세스 제어기 AC가 이미 인증 서버 AS와 시크릿 키 KAS , AC를 공유했는지 여부를 판단하며, 시크릿 키 KAS , AC를 공유하지 않았으면 4.2.1)을수행하며; 시크릿 키 KAS , AC를 공용했으면 단계 4.2.2)를 수행한다.
4.2.1) 인증 서버 AS는 인증을 종료한다.
4.2.2) 인증 서버 AS는 공용 시크릿 키 KAS , AC를 이용하여 E(KAS , AC,NREQ),즉 신분 인증 정보 I1을 복호화하고 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 동일하는지 여부를 판단한다. 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하지 않으면 4.2.2.1)을 수행하고; 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 동일하면 4.2.2.2)를 수행한다.
4.2.2.1) 인증 서버 AS는 인증을 종료한다.
4.2.2.2) 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 여기서, Res(AC)가 공개 가능한 인증 결과 C1이며,Res(REQ)는 바로 공개 가능한 인증 결과 C2이며,Res(AC)=E(KAS , REQ,R(AC)),Res(REQ)=E(KAS , AC,R(REQ))이며, R(AC)는 상기 제1 인증 결과이며,R(REQ)가 상기 제2 인증 결과이며,MIC2가 메세지 무결성 인증 코드이며, 이하 같다. 이때, R(AC)=True인 경우,액세스 제어기 AC의 신분 합법성을 의미하며, R(REQ)=Failure인 경우 액세스 장치 REQ의 신분 불법성을 의미한다.
이때,MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))이며, 메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 검증하는데 사용한다.
4.3) 인증 서버 AS는 공유 시크릿 키 KAS , REQ를 이용하여 E(KAS , REQ,NREQ)를 복호화하며, 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하는지 여부를 판단하며,만약 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하지 못하면 4.3.1)을 수행한다. 만약 인증 서버 AS가 공유 시크릿 키 KAS , REQ를 이용하여 E(KAS , REQ,NREQ)를 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 동일하면 4.3.2)를 수행한다.
4.3.1) 인증 서버 AS는 IDAC에 따라 액세스 제어기 AC가 이미 인증 서버 AS와 시크릿 키 KAS , AC를 공유했는지 여부를 판단하며, 만약 시크릿 키 KAS , AC를 공유하지 않았으면 4.3.1.1)을 수행하며; 시크릿 키 KAS,AC를 이미 공유했으면 4.3.1.2)를 수행한다.
4.3.1.1) 인증 서버 AS는 인증을 종료한다.
4.3.1.2) 인증 서버 AS는 공유 시크릿 키 KAS , AC를 이용하여 E(KAS , AC,NREQ)를 복호화하며,복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하는지 여부를 판단하며, 만약 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하지 않으면 4.3.1.2.1)를 수행하며; 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하다면 4.3.1.2.2)를 수행한다.
4.3.1.2.1) 인증 서버 AS는 인증을 종료한다.
4.3.1.2.2) 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 이때,R(AC)=True인 경우 인증 서버 AS의 액세스 제어기 AC에 대한 인증이 성공한 것을 의미한다. R(REQ)=Failure인 경우, 인증 서버 AS의 액세스 장치 REQ에 대한 인증이 실패한 것을 의미하며, 이때,MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))이며,메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 인증하는데 사용된다. 여기서,H는 일 방향 해시 알고리즘이며,이하 같다.
4.3.2) 인증 서버 AS는 IDAC에 따라 액세스 제어기 AC가 이미 인증 서버 AS와 시크릿 키 KAS , AC를 공유했는지 여부를 판단한다. 만약 시크릿 키 KAS , AC를 공유하지 않았으면 4.3.2.1)를 수행하고, 만약 시크릿 키 KAS , AC를 공유했으면 4.3.2.2)를 수행한다.
4.3.2.1) 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 이때, R(AC)=Failure인 경우 인증 서버 AS의 액세스 제어기 AC에 대한 인증 실패를 의미하며; R(REQ)=True인 경우 인증 서버 AS의 액세스 장치 REQ에 대한 인증 성공을 의미한다. 이때, MIC2=H(KAS,REQ,IDAC||NREQ||Res(AC)||Res(REQ))이며, 메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 인증하는데 사용된다.
4.3.2.2) 인증 서버 AS는 공유 시크릿 키 KAS , AC를 이용하여 E(KAS , AC,NREQ)를 복호화하여 얻은 NREQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 신분 인증 요청 메세지 M3 내의 정보 NREQ와 일치하는지 여부를 판단하며, 만약 아니면 단계 4.3.2.1)을 수행하고, 만약 맞으면 4.3.2.3)을 수행한다.
4.3.2.3)인증 서버 AS는 액세스 장치 REQ와 액세스 제어기 AC 사이의 세션 시크릿 키 KAC , REQ를 생성한 후에 공유 시크릿 키 KAS , AC와 KAS , REQ및 세션 시크릿 키 KAC , REQ를 이용하여 E(KAS,AC,IDREQ||KAC,REQ)와 E(KAS , REQ,KAC , REQ)를 계산하고, 이때의 메세지 무결성 인증 코드 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS , AC,IDREQ||KAC , REQ)||E(KAS , REQ,KAC , REQ))를 계산한다. 여기서, IDREQ는 액세스 장치 REQ의 신분 식별자이며, 이하 같다. 이때의 메세지 무결성 인증 코드 MIC2는 메세지 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)의 무결성을 인증하는데 사용된다. 이때, R(AC)=True인 경우 인증 서버 AS의 액세스 제어기 AC에 대한 인증의 성공을 의미하며; R(REQ)=True인 경우, 인증 서버 AS의 액세스 장치 REQ에 대한 인증의 성공을 의미한다. 인증 서버 AS는 계속 이때의 신신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다.
상술에서 알 수 있는 바와 같이, R(AC)=Failure 또는 R(REQ)=Failure인 경우 메세지 무결성 인증 코드는 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))이며, 이에 따라, 신분 인증 응답 메세지 M4는 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2이다. 또한 다른 실시예에서,신분 인증 응답 메세지 M4는 최소한 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 포함하는 메세지이며; R(AC)=True, R(REQ)=True인 경우,메세지 무결성 인증 코드 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS , AC,IDREQ||KAC , REQ)||E(KAS , REQ,KAC , REQ))이다. 이에 따라, 신분 인증 응답 메세지 M4는 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2이며, 또한 다른 실시예에서, 신분 인증 응답 메세지 M4는 적어도 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2를 포함하는 메세지이다.
단계 S5:
5.1) 액세스 장치 REQ는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2 또는 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2를 수신한 후에 난수 NREQ가 액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단하여, 만약 아니면 5.2)를 수행하고, 맞으면 5.3)을 수행한다.
단계 5.2) 액세스 장치 REQ는 상기 신분 인증 응답 메세지 M4를 포기한다.
단계 5.3) 액세스 장치 REQ는 MIC2에 따라 해당 메세지의 무결성이 판단하며, 무결성이 부족하면 5.3.1)을 수행하며, 무결성이 충족하면 5.3.2)를 수행한다.
5.3.1) 액세스 장치 REQ는 상기 신분 인증 응답 메세지 M4를 포기한다.
5.3.2) 액세스 장치 REQ는 KAS , REQ를 이용하여 공개 가능한 인증 결과 C1, 즉 Res(AC) 를 복호화하여 액세스 제어기 AC의 합법성을 판단한다. 만약 Res(AC)를 복호화하여 R(AC)=Failure를 얻으면 액세스 제어기 AC가 불법임을 의미하며 5.3.2.1)을 수행한다. 만약 Res(AC)를 복호화하여 R(AC)=True를 얻으면 액세스 제어기 AC가 합법임을 의미하며 5.3.2.2)를 수행한다.
5.3.2.1) 액세스 장치 REQ는 액세스를 종료한다.
5.3.2.2) 액세스 장치 REQ는 신분 인증 응답 메세지 M4 내의 E(KAS , REQ,KAC , REQ)를 복호화하여 세션 시크릿 키 KAC , REQ를 획득하며 난수 N’REQ를 생성하고, 메세지 무결성 인증 코드 MIC3=H(KAC , REQ,NAC||N’REQ||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ))를 계산하며, 액세스 인증 응답 메세지 M5, 즉 NAC||N’REQ||Res(REQ)||E(KAS , AC,IDREQ||KAC , REQ)||MIC3를 구성하여 액세스 제어기 AC에 송신한다. 여기서, 메세지 무결성 인증 코드 MIC3는 메세지 NAC||N’REQ||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)의 무결성을 인증하는데 사용된다.
다른 실시예에서 액세스 인증 응답 메세지 M5는 적어도 NAC||N’REQ||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||MIC3를 포함하는 메세지이다.
단계 S6:
6.1) 액세스 제어기 AC는 신분 인증 응답 메세지 M5, 즉 NAC||N’REQ||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||MIC3을 수신한 후,난수 NAC가 액세스 제어기 AC가 생성한 난수인지 여부를 우선 판단하며,만약 아니면 6.2)를 수행하고, 만약 맞으면 6.3)을 수행한다.
6.2) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3) 액세스 제어기 AC는 KAS , AC를 이용하여 Res(REQ)를 복호화한다. 만약 Res(REQ)를 복호화하여 R(REQ)=Failure를 얻으면 액세스 장치 REQ의 불법성을 의미하며 6.3.1)을 수행한다. Res(REQ)를 복호화하여 R(REQ)=True를 얻으면 액세스 장치 REQ의 합법성을 의미하며 6.3.2)를 수행한다.
6.3.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2) 액세스 제어기 AC는 E(KAS , AC,IDREQ||KAC , REQ)를 복호화하여 세션 시크릿 키 KAC , REQ를 획득하며, MIC3에 따라 메세지 NAC||N’REQ||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)의 무결성을 판단한다. 만약 무결성이 부족하면 6.3.2.1)을 수행하며, 무결성이 충분하면 6.3.2.2)를 수행한다.
6.3.2.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2.2) 액세스 제어기 AC는 E(KAS , AC,IDREQ||KAC , REQ)를 복호화하여 얻은 IDREQ가 액세스 장치 REQ의 신분 식별자 IDREQ와 일치하는지 여부를 확정한다. 만약 일치하지 않으면 6.3.2.2.1)을 수행하며, 만약 일치하면 6.3.2.2.2)를 수행한다.
6.3.2.2.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2.2.2) 액세스 제어기 AC는 상기 권한 부여 폴리시에 따라 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ의 합법성을 판단한다. 만약 불법이면 6.3.2.2.2.1)을 수행하며, 합법이면 6.3.2.2.2.2)를 수행한다.
6.3.2.2.2.1) 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 거절한다.
6.3.2.2.2.2) 액세스 제어기 AC는 QREQ에 따라 응답 데이터 RAC를 구성하며, 메세지 무결성 인증 코드 MIC4=H(KAC , REQ,N'REQ||E(KAC , REQ,RAC))를 계산하여 액세스 응답 메세지 M6, 즉 N'REQ||E(KAC , REQ,RAC)||MIC4를 구성하여 액세스 장치 REQ에 송신한다. 여기서,RAC는 액세스 제어기 AC가 상기 액세스 장치 REQ에, 상기 목적 네트워크에 액세스하는 권한의 유무를 통지하는데 사용된다.
여기서,메세지 무결성 인증 코드 MIC4는 메세지 N?EQ||E(KAC , REQ,RAC)의 무결성을 인증하는데 사용되며,액세스 제어기 AC의 액세스 장치 REQ에 대한 상기 권한 부여 폴리시는 액세스 제어기 AC 로컬로부터 제공받을 수 있으며, 인증 서버 AS와 같은 다른 서버로부터 제공받을 수도 있다. 상기 권한 부여 폴리시가 인증 서버 AS로부터 제공받을 경우,단계 S4에서의 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2중의 E(KAS,AC,IDREQ||KAC,REQ)를 E(KAS , AC,IDREQ||KAC , REQ||APAS)로 수정해야 하며,동시에 단계 S5에서의 액세스 인증 응답 메세지 M5, 즉 NAC||N’REQ||E(KAS , AC,IDREQ||KAC , REQ)||MIC3중의 E(KAS,AC,IDREQ||KAC,REQ)를 E(KAS , AC,IDREQ||KAC , REQ||APAS)로 수정해야 한다. 여기서,APAS는 액세스 장치 REQ에 대한 권한 부여 폴리시를 의미한다.
이로써,액세스 제어기 AC의 액세스 장치 REQ에 대한 인증 및 권한 부여는 여기까지 다 완성되어 액세스 제어기 AC에 대한 액세스 제어를 실현하게 된다.
6.4)액세스 장치 REQ는 액세스 응답 메세지 M6, 즉 N REQ||E(KAC,REQ,RAC)||MIC4를 수신한 후 난수 N’REQ가 액세스 장치 REQ가 생성한 난수인지 여부를 판단한다. 아니면 6.4.1)을 수행하고, 맞으면 6.4.2)를 수행한다.
6.4.1) 액세스 장치 REQ는 상기 액세스 응답 메세지 M6을 포기한다.
6.4.2) 액세스 장치 REQ는 MIC4에 따라 메세지 N' REQ||E(KAC , REQ,RAC)의 무결성을 판단하며, 만약 무결성이 부족하면 6.4.2.1)을 수행하고, 무결성이 충분하면 6.4.2.2)를 수행한다.
6.4.2.1) 액세스 장치 REQ는 상기 액세스 응답 메세지 M6을 포기한다.
6.4.2.2) 액세스 장치 REQ는 E(KAC , REQ,RAC)를 복호화하여 상기 응답 데이터 RAC를 획득하며, 응답 데이터 RAC에 따라 액세스 제어기 AC로부터 권한을 부여 받아 목적 네트워크에 액세스 했는지 여부를 판단하고,이에 따라 목적 네트워크에 액세스한다.
다른 실시예에서,액세스 응답 메세지 M6은 최소한 N'REQ||E(KAC , REQ,RAC)||MIC4를 포함하는 메세지이다.
상기 실시예 2의 단계 S2~S4는 이하와 같은 다른 실시예로 구현될 수도 있다.
단계 S2:
액세스 제어기 AC는 액세스 요청 메세지 M1, 즉 NREQ||QREQ를 수신한 후 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||H(KAS , AC||NREQ)를 구성하여 액세스 장치 REQ에 송신한다. 다른 실시예에서, 액세스 인증 요청 메세지 M2는 적어도 NREQ||NAC||H(KAS,AC||NREQ)를 포함하는 메세지이다.
여기서,H(KAS , AC||NREQ)는 KAS , AC||NREQ를 해시 알고리즘으로 산출한 결과, 즉 액세스 제어기 AC의 신분 인증 정보 I1을 표시한다.
단계 S3:
액세스 장치 REQ는 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||H(KAS , AC||NREQ)를 수신한 후, NREQ액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단하며,만약 아니면 상기 인증 요청 메세지 M2를 포기하고, 만약 맞으면 액세스 장치 REQ는 공유 시크릿 키 KAS , REQ를 이용하여 메세지 무결성 인증 코드 MIC5=H(KAS,REQ,IDAC||NREQ||H(KAS,AC||NREQ))를 계산하며,신분 인증 요청 메세지 M3, 즉 IDAC||NREQ||H(KAS,AC||NREQ)||MIC5를 구성하여 인증 서버 AS에 송신한다. 여기서, 메세지 무결성 인증 코드 MIC5는 IDAC||NREQ||H(KAS , AC||NREQ)의 무결성을 인증하는데 사용되며, MIC5는 액세스 장치 REQ의 신분 인증 정보 I2이다.
다른 실시예에서, 신분 인증 요청 메세지 M3은 최소한 IDAC||NREQ||H(KAS,AC||NREQ)||MIC5를 포함하는 메세지이다.
단계 S4:
4.1') 인증서버 AS는 신분 인증 요청 메세지 M3, 즉 IDAC||NREQ||H(KAS,AC||NREQ)||MIC5를 수신한 후, 액세스 장치 REQ가 이미 인증 서버 AS와 시크릿 키 KAS , REQ를 공유했는지 여부를 우선 판단한다. 만약 시크릿 키 KAS , REQ를 공유하지 않았으면 4.2')를 수행하며, 이미 시크릿 키 KAS , REQ를 공유했으면 4.3')를 수행한다.
4.2') 인증 서버 AS는 IDAC에 따라 액세스 제어기 AC가 이미 인증 서버 AS와 시크릿 키 KAS , AC를 공유했는지 여부를 판단한다. 만약 시크릿 키 KAS , AC를 공유하지 않았으면 4.2.1')을 수행하며, 시크릿 키 KAS,AC를 이미 공유했으면 4.2.2')를 수행한다.
4.2.1') 인증 서버 AS는 인증을 종료한다.
4.2.2') 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 여기서, Res(AC)는 공개 가능한 인증 결과 C1이며, Res(REQ)는 공개 가능한 인증 결과 C2이며,Res(AC)=E(KAS , REQ,R(AC)),Res(REQ)=E(KAS , AC,R(REQ)),R(AC)는 상기 제1 인증 결과이며,R(REQ) 는 상기 제2 인증 결과이다. MIC2는 메세지 무결성 인증 코드이다. 이때,R(REQ)=Failure인 경우 인증 서버 AS가 액세스 장치 REQ에 대한 인증 실패를 의미하며, R(AC)=True인 경우 인증 서버 AS가 액세스 제어기 AC에 대한 인증 성공을 의미한다. 이때 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))는 메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 인증하는데 사용된다.
4.3') 인증 서버 AS는 신분 인증 요청 메세지 M3 내의 MIC5에 따라 IDAC||NREQ||H(KAS,AC||NREQ)의 무결성을 판단한다. 무결성이 부족하면 4.3.1')를 수행하고, 무결성이 충분하면 액세스 장치 REQ의 합법성을 의미하며 4.3.2')를 수행한다.
4.3.1') 인증 서버 AS는 상기 신분 인증 요청 메세지 M3을 포기한다.
4.3.2') 인증 서버 AS는 IDAC에 따라 액세스 제어기 AC가 이미 인증 서버 AS와 시크릿 키 KAS , AC를 공유했는지 여부를 판단한다. 만약 시크릿 키 KAS , AC를 공유하지 않았으면 4.3.2.1')을 수행하며 만약 이미 시크릿 키 KAS , AC를 공유했으면 4.3.2.2')를 수행한다.
4.3.2.1') 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 이때,R(AC)=Failure인 경우, 인증 서버 AS가 액세스 제어기 AC에 대한 인증의 실패를 의미하며; R(REQ)=True인 경우 인증 서버 AS가 액세스 장치 REQ에 대한 인증의 성공을 의미한다. 이때, MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))는 메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 의미한다.
4.3.2.2') 인증 서버 AS는 NREQ에 따라 H(KAS , AC||NREQ)의 무결성을 인증한다. 인증이 실패하면 4.3.2.2.1')을 수행하고, 인증이 성공하면 4.3.2.2.2')를 수행한다.
4.3.2.2.1') 인증 서버 AS는 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다. 이때,R(AC)=Failure인 경우 인증 서버 AS의 액세스 제어기 AC에 대한 인증의 실패를 의미하며; R(REQ)=True인 경우 인증 서버 AS의 액세스 장치 REQ에 대한 인증 성공을 의미한다. 이때 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))는 메세지 IDAC||NREQ||Res(AC)||Res(REQ)의 무결성을 인증하는데 사용된다.
4.3.2.2.2') 인증 서버 AS는 액세스 장치 REQ와 액세스 제어기 AC 사이의 세션 시크릿 키 KAC , REQ를 생성하고, 공유 시크릿 키 KAS , AC와 KAS , REQ및 시크릿 키 KAC , REQ를 이용하여 E(KAS , AC,IDREQ||KAC , REQ)및 E(KAS,REQ,KAC,REQ)를 계산하며 이때의 메세지 무결성 인증 코드가 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS , AC,IDREQ||KAC , REQ)||E(KAS , REQ,KAC,REQ))인 것을 계산하고, 이는 메세지 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)의 무결성을 인증하는데 사용된다. 이때 R(AC)=True인 경우 인증 서버 AS가 액세스 제어기 AC에 대한 인증 성공을 의미하며; R(REQ)=True인 경우 인증 서버 AS가 액세스 장치 REQ에 대한 인증 성공을 의미한다. 인증 서버 AS는 이때의 신분 인증 응답 메세지 M4, 즉 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2를 구성하여 액세스 장치 REQ에 송신한다.
상술에서 알 수 있는 바와 같이,R(AC)=Failure 또는 R(REQ)=Failure인 경우,메세지 무결성 인증 코드는 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ))이며, 이에 따라,신분 인증 응답 메세지 M4는 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2이고, 다른 실시예에서,신분 인증 응답 메세지 M4는 최소한 IDAC||NREQ||Res(AC)||Res(REQ)||MIC2를 포함하는 메세지이다. R(AC)=True, R(REQ)=True인 경우,메세지 무결성 인증 코드 MIC2=H(KAS , REQ,IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS , AC,IDREQ||KAC , REQ)||E(KAS , REQ,KAC , REQ))이며, 이에 따라, 신분 인증 응답 메세지 M4는 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2이며, 다른 실시예에서,신분 인증 응답 메세지 M4는 적어도 IDAC||NREQ||Res(AC)||Res(REQ)||E(KAS,AC,IDREQ||KAC,REQ)||E(KAS,REQ,KAC,REQ)||MIC2를 포함하는 메세지이다.
실시예 3:
단계 S1:
액세스 장치 REQ는 NREQ||IREQ||QREQ를 구성하여 액세스 제어기 AC에 송신한다. 본 실시예에서 NREQ||IREQ||QREQ는 액세스 요청 메세지 M1이며, 다른 실시예에서 요청 메세지 M1는 최소한 NREQ||IREQ||QREQ를 포함하는 다른 메세지일 수도 있다.
여기서,IREQ는 액세스 장치 REQ의 신분 인증 정보,즉 신분 인증 정보 I2를 의미하며,인증 서버 AS에, 액세스 장치 REQ의 신분 합법성을 증명한다. NREQ는 액세스 장치 REQ가 생성한 난수를 의미하며,"||"는 전후 두 정보 사이가 직렬 관계인 것을 의미하며,이하 같다.
단계 S2:
액세스 제어기 AC는 액세스 요청 메세지 M1, 즉 NREQ||IREQ||QREQ를 수신한 후 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||IREQ||IAC||SAC(NREQ||NAC||IREQ)를 구성하여 액세스 장치 REQ에 송신하며, 다른 실시예에서,액세스 인증 요청 메세지 M2는 적어도 NREQ||NAC||IREQ||IAC||SAC(NREQ||NAC||IREQ)를 표시하는 메세지이다.
여기서,NAC는 액세스 제어기 AC가 생성한 난수를 표시하며,IAC는 액세스 제어기 AC의 신분 인증 정보, 즉 신분 인증 정보 I1을 의미하고, 인증 서버 AS에 액세스 제어기 AC의 신분 합법성을 증명한다. SAC(NREQ||NAC||IREQ)는 액세스 제어기 AC의 NREQ||NAC||IREQ에 대한 서명, 즉 디지털 서명 SIG1을 의미한다.
단계 S3:
액세스 장치 REQ는 액세스 인증 요청 메세지 M2, 즉 NREQ||NAC||IREQ||IAC||SAC(NREQ||NAC||IREQ)를 수신한 후 NREQ가 액세스 장치 REQ가 생성한 난수인지 여부를 우선 판단한다. 만약 아니면 상기 인증 요청 메세지 M2를 포기하고; 만약 맞으면 신분 인증 요청 메세지 M3, 즉 N'REQ||NAC||IREQ||IAC를 구성하여 인증 서버 AS에 송신한다. 여기서, N'REQ는 액세스 장치 REQ가 생성한 난수이며,이하 같다.
다른 실시예에서, 신분 인증 요청 메세지 M3은 적어도 N'REQ||NAC||IREQ||IAC를 포함하는 메세지이다.
단계 S4:
인증 서버 AS는 액세스 장치 REQ의 신분 인증 요청 메세지 M3, 즉 N REQ||NAC||IREQ||IAC를 수신한 후에 IREQ및 IAC를 인증하며, 신분 인증 응답 메세지 M4, 즉 Res(IREQ)||Res(IAC)||SAS(N'REQ||Res(IAC))||SAS(NAC||Res(IREQ))를 구성하여 액세스 장치 REQ에 송신한다.
여기서,Res(IAC)는 공개 가능한 인증 결과 C1이며,인증 서버 AS의 IAC에 대한 인증 결과 및 액세스 제어기 AC의 공개 키가 포함된다. Res(IREQ)는 공개 가능한 인증 결과 C2이며 인증 서버 AS의 IREQ에 대한 인증 결과 및 액세스 장치 REQ의 공개 키가 포함된다. SAS(N’REQ||Res(IAC))및 SAS(NAC||Res(IREQ))는 각각 인증 서버 AS의 N'REQ||Res(IAC)및 NAC||Res(IREQ)에 대한 디지털 서명을 포함한다.
다른 실시예에서, 신분 인증 응답 메세지 M4는 적어도 Res(IREQ)||Res(IAC)||SAS(N'REQ||Res(IAC))||SAS(NAC||Res(IREQ))를 포함하는 메세지이다.
단계 S5:
액세스 장치 REQ는 인증 서버 AS의 신분 인증 응답 메세지 M4, 즉 Res(IREQ)||Res(IAC)||SAS(N'REQ||Res(IAC))||SAS(NAC||Res(IREQ))를 수신한 후, 상기 인증 서버 AS의 공개 키를 우선 이용하여 서명 SAS(N?EQ||Res(IAC))의 유효성을 검증한다. 만약 유효하면, N?EQ가 액세스 장치 REQ가 단계 S3에서 인증 서버 AS에 송신한 난수 N’REQ와 일치하는지 여부를 판단한다. 만약 일치하면, 액세스 장치 REQ는 인증 결과 Res(IAC),즉 공개 가능한 인증 결과 C1에 따라,액세스 제어기 AC의 신분 합법성을 판단한다. 만약 합법이면 Res(IAC)로부터 상기 액세스 제어기 AC의 공개 키를 획득하여, 이 공개 키를 이용하여 액세스 제어기 AC가 단계 S2에서 액세스 장치 REQ에 송신한 디지털 서명 SIG1, 즉 SAC(NREQ||NAC||IREQ)의 유효성을 판단한다. 만약 유효하면 액세스 장치 REQ는 액세스 인증 응답 메세지 M5, 즉 Res(IREQ)||SAS(NAC||Res(IREQ))||SREQ(NREQ||NAC||IAC)를 구성하여 액세스 제어기 AC에 송신하며, 이 메세지에 공개 가능한 인증 결과 C2, 즉 Res(IREQ)가 포함된다. 이 메세지의 SREQ(NREQ||NAC||IAC)는 액세스 장치 REQ의 NREQ||NAC||IAC에 대한 서명,즉 디지털 서명 SIG2를 의미한다.
이상 상황에서 액세스 장치 REQ는 액세스를 종료한다.
1)서명 SAS(N' REQ||Res(IAC))의 무효함이 검증된다.
2)비록 서명 SAS(N' REQ||Res(IAC))의 유효성이 검증되었으나,난수 N’REQ는 일치하지 않음으로 판단된다.
3)비록 서명 SAS(N' REQ||Res(IAC))의 유효성이 검증되었으며,난수 N’REQ가 일치함으로 판단되었으나, 액세스 제어기 AC의 신분이 불법으로 판단된다.
4) 비록 서명 SAS(N' REQ||Res(IAC))의 유효성이 검증되었으며,난수 N’REQ의 일치함과 액세스 제어기 AC의 신분이 합법으로 판단되었으나, 서명 SAC(NREQ||NAC||IREQ)의 무효한 것으로 인증되었다.
다른 실시예에서, 액세스 인증 응답 메세지 M5는 최소한 Res(IREQ)||SAS(NAC||Res(IREQ))||SREQ(NREQ||NAC||IAC)를 포함하는 메세지이다.
단계 S6:
액세스 제어기 AC는 액세스 장치 REQ의 액세스 인증 응답 메세지 M5, 즉 Res(IREQ)||SAS(NAC||Res(IREQ))||SREQ(NREQ||NAC||IAC)를 수신한 후,상기 인증 서버 AS의 공개 키를 우선 이용하여 서명 SAS(NAC||Res(IREQ))의 유효성을 인증한다. 만약 유효하면,Res(IREQ),즉 공개 가능한 인증 결과 C2에 따라 액세스 장치 REQ가 합법인지 여부를 판단한다. 만약 합법이면 NAC가 액세스 제어기 AC가 단계 S2에서 송신한 난수 NAC와 일치하는지 여부를 판단한다. 만약 일치하면 액세스 제어기 AC는 Res(IREQ)로부터 상기 액세스 장치 REQ의 공개 키를 획득하여,상기 공개 키를 이용하여 서명 SREQ(NREQ||NAC||IAC)의 유효성을 인증한다. 만약 유효하면,액세스 제어기 AC는 상기 서명 SREQ(NREQ||NAC||IAC)에 포함된 IAC가 액세스 제어기 AC가 단계 S2에서 송신한 IAC와 일치하는지 여부를 판단한다. 만약 일치하면, 서명 SREQ(NREQ||NAC||IAC)내의 NAC가 액세스 제어기 AC가 단계 S2에서 송신한 난수 NAC와 일치하는지 여부를 판단한다. 만약 일치하면 액세스 제어기 AC는 상기 권한 부여 폴리시에 따라 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ가 합법인지 여부를 판단한다. 만약 합법이면, QREQ에 따라 응답 데이터를 구성하며,액세스 응답 메세지 M6를 구성하여 액세스 장치 REQ에 송신한다. 액세스 응답 메세지 M6은 상기 응답 데이터를 포함하며 액세스 장치 REQ에 송신된다. 상기 응답 데이터는 액세스 장치 REQ에, 상기 목적 네트워크에 액세스하는 권한이 있는지 여부를 통지한다. 이로써, 액세스 장치 REQ의 상기 목적 네트워크에 대한 액세스가 제어된다.
여기서,액세스 제어기 AC의 액세스 장치 REQ에 대한 권한 부여 폴리시는 로컬로부터 제공받을 수 있으며, 인증 서버 AS와 같은 다른 서버로부터 제공받을 수도 있다. 인증 서버 AS로부터 제공받을 경우, 단계 S4에서의 신분 인증 응답 메세지 M4, 즉 Res(IREQ)||Res(IAC)||SAS(N'REQ||Res(IAC))||SAS(NAC||Res(IREQ))를 Res(IREQ)||Res(IAC)||SAS(N'REQ||Res(IAC))||SAS(NAC||Res(IREQ)||APAS)로 수정해야 한다. 여기서, APAS는 상기 권한 부여 폴리시를 의미하며, 이때 단계 S5에서의 액세스 인증 응답 메세지 M5, 즉 Res(IREQ)||SAS(NAC||Res(IREQ))||SREQ(NREQ||NAC||IAC)도 따라서 Res(IREQ)||SAS(NAC||Res(IREQ)||APAS)||SREQ(NREQ||NAC||IAC)로 수정해야 한다.
이하 상황에서 액세스 제어기 AC는 액세스 장치 REQ의 액세스를 전부 거절한다.
1) 서명 SAS(NAC||Res(IREQ))의 무효성이 검증된다.
2) 서명 SAS(NAC||Res(IREQ))의 유효성이 검증되었으나,액세스 장치 REQ의 불법성이 판단된다.
3)서명 SAS(NAC||Res(IREQ))의 유효성이 검증되며, 액세스 장치 REQ의 합법성이 확정되었으나, 난수 NAC의 불 일치함이 판단된다.
4)서명 SAS(NAC||Res(IREQ))의 유효성이 검증되며,액세스 장치 REQ의 합법성 및 난수 NAC의 일치함이 판단되었으나,서명 SREQ(NREQ||NAC||IAC)의 무효성이 검증된다.
5)서명 SAS(NAC||Res(IREQ))의 유효성이 검증되며,액세스 장치 REQ의 합법성 및 난수 NAC의 일치함이 판단되며, 서명 SREQ(NREQ||NAC||IAC)의 유효성이 검증되었으나,서명 SREQ(NREQ||NAC||IAC)내의 IAC와 액세스 제어기 AC의 신분 정보가 일치하지 않음으로 판단된다.;
6)서명 SAS(NAC||Res(IREQ))의 유효성이 검증되며,액세스 장치 REQ의 합법성 및 난수 NAC의 일치함이 판단되며, 서명 SREQ(NREQ||NAC||IAC)의 유효성이 검증되며, 서명 SREQ(NREQ||NAC||IAC)내의 IAC와 액세스 제어기 AC의 신분 정보가 일치하는 것이 판단되었으나,서명 SREQ(NREQ||NAC||IAC)내의 난수 NAC가 불일치함으로 판단된다;
7)서명 SAS(NAC||Res(IREQ))의 유효성이 검증되며,액세스 장치 REQ의 합법성 및 난수 NAC의 일치함이 판단되며, 서명 SREQ(NREQ||NAC||IAC)의 유효성이 검증되며, 서명 SREQ(NREQ||NAC||IAC)내의 IAC와 액세스 제어기 AC의 신분 정보가 일치하는 것이 판단되며,서명 SREQ(NREQ||NAC||IAC)내의 난수 NAC가 일치하는 것이 판단되었으나, 액세스 장치 REQ가 단계 S1에서 송신한 액세스 요청 QREQ가 불법으로 판단된다.
해당 분야의 통상 지식을 가진 기술자라면 본 발명에 따른 실시예는 방법, 시스템 또는 컴퓨터 프로그램 제품으로서 제공될 수 있다는 점은 자명한 것이다. 따라서, 본 발명은 완전 하드웨어적인 실시예, 완전 소프트웨어적인 실시예 또는 소프트웨어 및 하드웨어 결합 실시예의 형식을 채용할 수 있다. 또한, 본 발명은 컴퓨터 사용 가능 프로그램 코드가 포함되는 컴퓨터 사용 가능 저장 매체(디스크 메모리와 광학 메모리 등이 포함되지만 이에 제한되지 않음) 상에서 실행되는 하나 또는 복수의 컴퓨터 프로그램 제품의 형식을 채용할 수 있다.
본 발명은 본 발명에 따른 실시예에 의한 방법, 장치(시스템) 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 설명된다. 컴퓨터 프로그램 지령을 통해 흐름도 및/또는 블록도의 각 절차 및/블록과 흐름도 및/또는 블록도의 절차 및/또는 블록의 결합을 실현할 수 있음을 이해해야 한다. 이러한 컴퓨터 프로그램 지령을 범용 컴퓨터, 전용 컴퓨터, 삽입식 프로세서 또는 기타 프로그래밍 가능한 데이터 처리 장치의 프로세서에 제공하여 하나의 머신을 생성함으로써, 컴퓨터 또는 기타 프로그래밍 가능한 데이터 처리 장치의 프로세서에 의해 실행되는 지령을 통해, 흐름도의 하나 또는 복수의 절차 및/또는 블록도의 하나 또는 복수의 블록에서 지정되는 기능을 구현하기 위한 장치를 생성할 수 있다.
이러한 컴퓨터 프로그램 지령은 또한, 컴퓨터 또는 기타 프로그래밍 가능한 데이터 처리 장치를 특정된 방식으로 작동하도록 가이드하는 컴퓨터 독출 가능한 메모리에 저장됨으로써 해당 컴퓨터 독출 가능한 메모리 내에 저장된 지령을 통해 지령 장치를 포함하는 제조품을 생성할 수 있으며, 해당 지령 장치는 흐름도의 하나 또는 복수의 절차 및/또는 블록도의 하나 또는 복수의 블록에서 지정된 기능을 구현한다.
이러한 컴퓨터 프로그램 지령은 또한, 컴퓨터 또는 기타 프로그래밍 가능한 데이터 처리 장치에 장착함으로써 컴퓨터 또는 기타 프로그래밍 가능한 장치상에서 일련의 조작 단계를 실행하여 컴퓨터적으로 구현되는 처리를 생성할 수 있으며, 따라서 컴퓨터 또는 기타 프로그래밍 가능한 장치상에서 실행되는 지령은 흐름도의 하나 또는 복수의 절차 및/또는 블록도의 하나 또는 복수의 블록에서 지정된 기능을 구현하기 위한 단계를 제공한다.
보다 싶이, 해당 기술 분야의 통상의 지식을 가진 자라면, 본 발명의 사상과 범위를 벗어나지 않는 전제하에서 본 발명에 대한 여러 가지 변경과 변형을 진행할 수 있다. 따라서, 본 발명에 대한 이러한 변경과 변형도 본 발명의 특허청구범위 및 그와 균등한 기술의 범위 내에 속한다면 본 발명에도 이러한 변경과 변형이 포함되어야 할 것이다.

Claims (11)

  1. 액세스 장치가 목적 네트워크의 액세스 제어기에 상기 액세스 장치의 액세스 요청이 포함된 액세스 요청 메세지를 송신하는 단계 1);
    상기 액세스 제어기가 상기 액세스 요청 메세지를 수신한 후에,제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 구성하여 상기 액세스 장치에 송신하는 단계 2);
    상기 액세스 장치가 상기 액세스 인증 요청 메세지를 수신한 후에 상기 제1 신분 인증 정보와 제2 신분 인증 정보가 포함된 신분 인증 요청 메세지를 구성하여 상기 목적 네트워크의 인증 서버에 송신하는 단계 3);
    상기 인증 서버가 상기 신분 인증 요청 메세지를 수신한 후에,상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 인증 후의 제1 인증 결과, 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 인증한 후의 제2 인증 결과를 생성하며; 상기 인증 서버는 상기 제1 인증 결과 및 제2 인증 결과가 포함된 신분 인증 응답 메세지를 상기 액세스 장치에 송신하는 단계 4);
    상기 액세스 장치가 상기 신분 인증 응답 메세지를 수신한 후에, 상기 제2 인증 결과가 포함된 상기 제1 인증 결과에 따라 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하는 단계 5); 및
    상기 액세스 제어기가 상기 액세스 인증 응답 메세지를 수신한 후에, 상기 제2 인증 결과 및 권한 부여 폴리시에 따라 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 단계 6)을 포함하며;
    상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며;
    상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며;
    상기 권한 부여 폴리시는 상기 액세스 제어기가 상기 액세스 요청에 대해 권한을 부여하는 폴리시
    인 것을 특징으로 하는 네트워크 액세스 제어 방법.
  2. 제1항에 있어서,
    상기 단계 4)에서,상기 인증 서버가 상기 제1 신분 인증 정보를 인증하여, 상기 액세스 제어기의 신분이 불법으로 판단될 경우,상기 액세스 장치에 상기 액세스 제어기의 신분이 불법인 제1 인증 결과 및 상기 액세스 장치의 인증 결과가 없는 제2 인증 결과가 포함된 신분 인증 응답 메세지를 피드백하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  3. 제1항에 있어서,
    상기 단계 4)에서,상기 인증 서버가 상기 제1 신분 인증 정보에 대해 인증하여, 상기 액세스 제어기의 신분 합법으로 판단될 경우,계속하여 상기 제2 신분 인증 정보를 인증하며;
    상기 제2 신분 인증 정보를 인증하는 것은,
    상기 제2 신분 인증 정보에 따라 상기 액세스 장치의 신분이 불법으로 판단될 때,상기 액세스 장치에 상기 액세스 제어기의 신분이 합법인 제1 인증 결과 및 상기 액세스 장치의 신분이 불법인 제2 인증 결과가 포함된 신분 인증 응답 메세지를 피드백하거나;
    또는 상기 제2 신분 인증 정보에 따라 상기 액세스 장치의 신분이 합법으로 판단될 때,상기 액세스 장치에 상기 액세스 제어기의 신분이 합법인 제1 인증 결과 및 상기 액세스 장치의 신분이 합법인 제2 인증 결과가 포함된 신분 인증 응답 메세지를 피드백하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  4. 제1항에 있어서,
    상기 단계 5)는,
    상기 액세스 장치가 상기 인증 서버에 의해 피드백된 상기 액세스 제어기의 신분이 불법인 상기 제1 인증 결과를 수신할 경우,상기 액세스 장치가 액세스를 종료하거나;
    또는, 상기 액세스 장치가 상기 액세스 제어기의 신분 합법인 상기 제1 인증 결과를 수신할 경우,상기 제2 인증 결과를 상기 액세스 인증 응답 메세지에 통해 상기 액세스 제어기에 송신하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  5. 제1항에 있어서,
    상기 단계 6)에서,
    상기 액세스 제어기가 상기 액세스 인증 응답 메세지를 수신한 후에,상기 제2 인증 결과가 상기 액세스 장치의 신분 불법을 의미할 경우,상기 액세스 장치의 액세스를 거절하는 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하거나;
    또는, 상기 제2 인증 결과가 상기 액세스 장치의 신분 합법을 의미할 경우, 권한 부여 폴리시에 따라 상기 액세스 장치의 액세스를 허락하는 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  6. 제5항에 있어서,
    상기 제2 인증 결과가 상기 액세스 장치의 신분 합법을 의미할 경우,
    상기 액세스 제어기는 상기 권한 부여 폴리시에 따라 상기 액세스 장치가 송신한 액세스 요청이 합법인지 여부를 판단하여,만약 상기 액세스 요청이 합법이면,상기 액세스 장치의 액세스를 허락하며; 상기 액세스 요청이 합법하지 않으면, 상기 액세스 장치의 액세스를 거절하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  7. 제1항에 있어서,
    상기 권한 부여 폴리시는 상기 액세스 제어기에 저장되거나 또는 상기 인증 서버에 의해 제공되며;
    상기 권한 부여 폴리시는 상기 인증 서버에 의해 제공 받을 경우,상기 인증 서버는 상기 액세스 장치에 상기 제1 인증 결과 및 상기 제2 인증 결과를 피드백하는 동시 상기 권한 부여 폴리시도 피드백하며; 및
    상기 액세스 장치는 상기 권한 부여 폴리시를 상기 액세스 인증 응답 메세지를 통해 상기 액세스 제어기에 송신하는 것을 특징으로 하는 네트워크 액세스 제어 방법.
  8. 목적 네트워크의 액세스 제어기에 액세스 요청 메세지를 송신하며, 상기 액세스 제어기가 송신한 제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 수신하기 위하는 액세스 요청 인터랙티브 모듈;
    목적 네트워크의 인증 서버에 상기 제1 신분 인증 정보 및 제2 신분 인증 정보가 포함된 신분 인증 요청 메세지를 송신하며,상기 인증 서버에 의해 송신된 신분 인증 응답 메세지를 수신하기 위하는 인증 요청 인터랙티브 모듈;
    제1 인증 결과에 따라 제2 인증 결과가 포함된 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며 액세스 장치에 의해 송신된 액세스 응답 메세지를 수신하기 위하는 인증 결과 인터랙티브 모듈을 포함하며;
    상기 제1신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며;
    상기 신분 인증 응답 메세지에는 상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증한 후의 제1 인증 결과 및 상기 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증한 후의 제2 인증 결과가 포함되며; 상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보인
    것을 특징으로 하는 액세스 장치.
  9. 삭제
  10. 액세스 장치에 의해 송신된 액세스 요청 메세지를 수신하기 위하는 액세스 요청 수신 모듈;
    제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 구성하여 상기 액세스 장치에 송신하기 위하는 인증 요청 액세스 구성 모듈;
    상기 액세스 장치에 의해 송신된 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득하기 위하는 인증 응답 액세스 수신 모듈; 및
    획득된 상기 제2 인증 결과 및 권한 부여 폴리시에 따라,액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하기 위하는 액세스 응답 송신 모듈을 포함하며;
    상기 제1 신분 인증 정보는 액세스 제어기의 신분 인증 정보이며;
    상기 액세스 인증 응답 메세지는 상기 액세스 장치가 제1 인증 결과에 따라 구성된 것이며; 상기 제1 인증 결과 및 제2 인증 결과는 인증 서버가 신분 인증 응답 메세지를 통해 상기 액세스 장치에 송신하며;
    상기 제1 인증 결과는 상기 인증 서버가 상기 액세스 장치에 의해 송신된 신분 인증 요청 메세지에 포함된 상기 제1 신분 인증 정보이며,상기 액세스 제어기에 대해 신분 인증한 후의 생성된 것이며;
    상기 제2 인증 결과는 상기 인증 서버가 상기 신분 인증 요청 메세지에 포함된 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증한 후에 생성된 것인
    것을 특징으로 하는 액세스 제어기.
  11. 네트워크 액세스 제어 시스템에 있어서, 액세스 장치, 목적 네트워크의 액세스 제어기 및 인증 서버를 포함하며;
    상기 액세스 장치는,상기 액세스 제어기에 액세스 요청 메세지를 송신하며, 상기 액세스 제어기에 의해 송신된 제1 신분 인증 정보가 포함된 액세스 인증 요청 메세지를 수신하며; 상기 제1 신분 인증 정보는 상기 액세스 제어기의 신분 인증 정보이며; 및
    상기 인증 서버에 상기 제1 신분 인증 정보 및 제2 신분 인증 정보가 포함된 신분 인증 요청 메세지를 송신하며,상기 인증 서버에 의해 송신된 제1 인증 결과 및 제2 인증 결과가 포함된 신분 인증 응답 메세지를 수신하며; 상기 제2 신분 인증 정보는 상기 액세스 장치의 신분 인증 정보이며; 및
    상기 제1 인증 결과에 따라 상기 제2 인증 결과가 포함된 액세스 인증 응답 메세지를 구성하여 상기 액세스 제어기에 송신하며, 상기 액세스 장치에 의해 송신된 액세스 응답 메세지를 수신하며;
    상기 액세스 제어기는,상기 액세스 요청 메세지를 수신하며 상기 액세스 인증 요청 메세지를 송신하며; 및
    상기 액세스 장치에 의해 송신된 액세스 인증 응답 메세지를 수신하여 제2 인증 결과를 획득하여 획득된 상기 제2 인증 결과 및 권한 부여 폴리시에 따라 액세스 응답 메세지를 구성하여 상기 액세스 장치에 송신하며;
    상기 인증 서버는,상기 액세스 장치에 의해 송신된 상기 제1 신분 인증 정보에 따라 상기 액세스 제어기에 대해 신분 인증을 수행하여 제1 인증 결과를 획득하며; 상기 액세스 장치에 의해 송신된 제2 신분 인증 정보에 따라 상기 액세스 장치에 대해 신분 인증을 수행하여 제2 인증 결과를 획득하며; 상기 제1 인증 결과 및 제2 인증 결과가 포함된 신분 인증 응답 메세지를 상기 액세스 장치에 송신하는 것을 특징으로 하는 네트워크 액세스 제어 시스템.


KR1020137012247A 2010-10-13 2011-03-15 네트워크 액세스의 제어 방법 및 시스템 KR101515312B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
CN201010505950.1 2010-10-13
CN201010506041XA CN101958908B (zh) 2010-10-13 2010-10-13 网络访问控制方法及系统
CN201010504262 2010-10-13
CN201010504262.3 2010-10-13
CN201010505950 2010-10-13
CN201010506041.X 2010-10-13
PCT/CN2011/071821 WO2012048552A1 (zh) 2010-10-13 2011-03-15 网络访问控制方法及系统

Publications (2)

Publication Number Publication Date
KR20130103752A KR20130103752A (ko) 2013-09-24
KR101515312B1 true KR101515312B1 (ko) 2015-04-24

Family

ID=45937855

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137012247A KR101515312B1 (ko) 2010-10-13 2011-03-15 네트워크 액세스의 제어 방법 및 시스템

Country Status (4)

Country Link
US (1) US9038143B2 (ko)
JP (1) JP5624219B2 (ko)
KR (1) KR101515312B1 (ko)
WO (1) WO2012048552A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171174B2 (en) 2013-11-27 2015-10-27 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted
US11356460B2 (en) * 2019-12-31 2022-06-07 Equifax Inc. Secure online access control to prevent identification information misuse
CN114760045A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109136A1 (zh) * 2008-03-06 2009-09-11 西安西电捷通无线网络通信有限公司 一种实用的基于可信第三方的实体双向鉴别方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08297638A (ja) 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPH08335208A (ja) * 1995-06-08 1996-12-17 Nippon Telegr & Teleph Corp <Ntt> 代理認証方法及びシステム
US8341700B2 (en) 2003-10-13 2012-12-25 Nokia Corporation Authentication in heterogeneous IP networks
CN1783780B (zh) * 2004-12-04 2010-09-08 华为技术有限公司 域认证和网络权限认证的实现方法及设备
US7552464B2 (en) * 2005-01-29 2009-06-23 Cisco Technology, Inc. Techniques for presenting network identities at a human interface
US9253151B2 (en) * 2006-05-25 2016-02-02 International Business Machines Corporation Managing authentication requests when accessing networks
CN100512111C (zh) * 2006-12-29 2009-07-08 西安西电捷通无线网络通信有限公司 采用分类终端证书实现基于wapi的wlan运营的方法
CN100566251C (zh) * 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100496025C (zh) * 2007-11-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制方法
CN101431517B (zh) * 2008-12-08 2011-04-27 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接握手方法
CN101547444B (zh) 2009-03-11 2010-11-03 西安西电捷通无线网络通信股份有限公司 在wlan中为不同终端提供特定接入流程的方法
CN101572704B (zh) 2009-06-08 2012-05-23 西安西电捷通无线网络通信股份有限公司 一种适合三元对等鉴别可信网络连接架构的访问控制方法
CN101631114B (zh) 2009-08-19 2011-09-21 西安西电捷通无线网络通信股份有限公司 一种基于公钥证书的身份鉴别方法及其系统
CN101958908B (zh) * 2010-10-13 2012-08-08 西安西电捷通无线网络通信股份有限公司 网络访问控制方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009109136A1 (zh) * 2008-03-06 2009-09-11 西安西电捷通无线网络通信有限公司 一种实用的基于可信第三方的实体双向鉴别方法

Also Published As

Publication number Publication date
JP5624219B2 (ja) 2014-11-12
US9038143B2 (en) 2015-05-19
JP2013542521A (ja) 2013-11-21
US20130205374A1 (en) 2013-08-08
WO2012048552A1 (zh) 2012-04-19
KR20130103752A (ko) 2013-09-24

Similar Documents

Publication Publication Date Title
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US8130961B2 (en) Method and system for client-server mutual authentication using event-based OTP
KR20170139093A (ko) 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체
JP6471112B2 (ja) 通信システム、端末装置、通信方法、及びプログラム
CN106713279B (zh) 一种视频终端身份认证系统
TW201701226A (zh) 電子處方操作方法、裝置及系統
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
TW200950441A (en) Mobile station and base station and method for deriving traffic encryption key
WO2014187206A1 (zh) 一种备份电子签名令牌中私钥的方法和系统
CN108599926B (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
WO2010069180A1 (zh) 一种密钥分发方法、系统及装置
WO2014187210A1 (zh) 一种电子签名令牌私钥的备份方法和系统
WO2016011588A1 (zh) 移动管理实体、归属服务器、终端、身份认证系统和方法
KR101383810B1 (ko) 스마트 그리드 기기 보안인증 시스템 및 방법
KR20120072032A (ko) 모바일 단말의 상호인증 시스템 및 상호인증 방법
KR101515312B1 (ko) 네트워크 액세스의 제어 방법 및 시스템
US20240113885A1 (en) Hub-based token generation and endpoint selection for secure channel establishment
WO2017020530A1 (zh) 一种增强的wlan证书鉴别方法、装置及系统
CN112448810B (zh) 一种认证方法以及装置
JP2001094553A (ja) 匿名認証方法および装置
WO2014187208A1 (zh) 一种备份电子签名令牌中私钥的方法和系统
EP3185504A1 (en) Security management system for securing a communication between a remote server and an electronic device
JP4554264B2 (ja) デジタル署名処理方法及びそのためのプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant