KR101655264B1 - 통신시스템에서 인증 방법 및 시스템 - Google Patents

통신시스템에서 인증 방법 및 시스템 Download PDF

Info

Publication number
KR101655264B1
KR101655264B1 KR1020090020318A KR20090020318A KR101655264B1 KR 101655264 B1 KR101655264 B1 KR 101655264B1 KR 1020090020318 A KR1020090020318 A KR 1020090020318A KR 20090020318 A KR20090020318 A KR 20090020318A KR 101655264 B1 KR101655264 B1 KR 101655264B1
Authority
KR
South Korea
Prior art keywords
authentication server
authentication
message
hash value
server
Prior art date
Application number
KR1020090020318A
Other languages
English (en)
Other versions
KR20100101887A (ko
Inventor
이지철
알퍼예긴
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090020318A priority Critical patent/KR101655264B1/ko
Priority to JP2011553949A priority patent/JP5843616B2/ja
Priority to EP10156079.5A priority patent/EP2229018B1/en
Priority to CN201080011209.8A priority patent/CN102349320B/zh
Priority to PCT/KR2010/001487 priority patent/WO2010104325A2/en
Priority to US12/720,972 priority patent/US9161217B2/en
Publication of KR20100101887A publication Critical patent/KR20100101887A/ko
Application granted granted Critical
Publication of KR101655264B1 publication Critical patent/KR101655264B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 통신시스템에서 단말을 인증하기 위한 방법 및 시스템에 관한 것으로서, 제 1 인증 서버(Authenticator)는 물리 계층에 접속한 단말의 링크 계층 진입을 위해 제 2 인증 서버로 인증 서버 변경을 요청하는 과정과, 상기 제 2 인증 서버는 상기 단말의 인증 변수(Authentication Parameter)를 포함하고 있는 경우, 상기 인증 변수에 대한 해쉬 값을 상기 제 1 인증 서버로 전송하는 과정과, 상기 제 1 인증 서버는 상기 제 2 인증 서버로부터 제공받은 인증 변수에 대한 해쉬 값을 AAA(Authentication, Authorization, Accounting) 서버로 전송하는 과정과, 상기 AAA 서버는 상기 제 1 인증 서버로부터 제공받은 인증 변수에 대한 해쉬 값의 유효성을 판단하는 과정과, 상기 인증 변수에 대한 해쉬 값이 유효하다고 판단되는 경우, 상기 AAA 서버는 상기 단말을 인증할 때 사용했던 인증 변수를 상기 제 1 인증 서버로 전송하는 과정을 포함하는 것을 특징으로 EAP 인증에 따른 시간 지연을 줄일 수 있는 이점이 있다.
인증, EAP(Extensible Authentication Protocol), 인증 서 버(Authenticator), MSK(Master Session Key)

Description

통신시스템에서 인증 방법 및 시스템{METHOD AND SYSTEM FOR AUTHENTICATING IN COMMUNICATION SYSTEM}
본 발명은 통신시스템에서 단말을 인증하기 위한 방법 및 시스템에 관한 것으로서, 특히 통신시스템에서 단말의 재인증(reauthentication) 절차를 수행하지 않고 상기 단말의 인증 서버(Authenticator)를 변경(relocation)하기 위한 방법 및 시스템에 관한 것이다.
통신시스템에서 서비스 사업자는 네트워크 서비스를 사용하려는 사용자에 대한 가입 여부 및 서비스 제공 여부를 판단하기 위해 사용자에 대한 인증 절차를 수행한다. 예를 들어, 확장 인증 프로토콜(EAP: Extensible Authentication Protocol)을 사용하는 경우, 단말과 AAA(Authentication, Authorization, Accounting)서버는 상기 단말의 서빙 네트워크를 통해 하기 도 1에 도시된 바와 같은 인증 절차를 수행한다. 여기서, EAP는 MD5(Message Digest number 5), TLS(Transport Layer Security), SRP(Secure Remote Password) 등과 같은 실제 인 증을 위한 인증 방식(method)을 캡슐화하여 전송하는 프로토콜을 나타낸다.
도 1은 종래 기술에 따른 무선통신시스템에서 단말의 인증 절차를 도시하고 있다.
상기 도 1을 참조하면, 단말(MT: Mobile Terminal)(100)이 인증 서버(Authenticator)(110)와의 물리 계층 접속(physical layer attachment)이 완료된 경우(131단계), 상기 단말(100)과 인증 서버(110)는 상기 단말(100)의 링크 계층 진입 절차를 시작한다. 이 경우, 상기 인증 서버(110)는 상기 단말(100)의 인증을 위한 식별 정보를 요청하는 EAP 요청 메시지(EAP Request/Link-layer)를 상기 단말(100)로 전송한다(133단계). 이때, 상기 단말(100)과 인증 서버(110)은 상기 단말(100)과 인증 서버(110) 사이에 위치하는 기지국을 통해 신호를 교환한다. 여기서, 상기 EAP 요청 메시지는 IEEE(Institute of Electrical and Electronics Engineers) 802.16 표준에서는 PKMv2 PKM-REQ/EAP-Transfer로 정의된다.
상기 단말(100)은 상기 EAP 요청 메시지에 대한 응답으로 자신의 식별 정보를 포함하는 EAP 응답 메시지(EAP Response/Link-layer)를 상기 인증 서버(110)로 전송한다(135단계). 여기서, 상기 EAP 응답 메시지는 IEEE 802.16 표준에서는 PKM-RSP/EAP-Transfer로 정의된다.
상기 인증 서버(110)는 EAP 응답 메시지에 포함된 정보를 AAA 요청 메시지(EAP Response/AAA Request)에 포함시켜 AAA서버(120)로 전송한다(137단계).
상기 AAA 서버(120)는 AAA 요청 메시지를 통해 확인한 상기 단말(100)의 식별 정보를 이용하여 EAP 인증 방식(method)을 결정한다. 이후, 상기 AAA 서버(120) 는 상기 결정한 EAP 인증 방식 정보를 상기 인증 서버(110)를 통해 상기 단말(100)로 전송한다(139단계, 141단계).
상기 단말(100)은 상기 인증 서버(110)로부터 제공받은 EAP 요청 메시지를 통해 상기 AAA 서버(120)가 결정한 EAP 인증 방식을 확인한다. 이후, 상기 단말(100)은 EAP 인증 방식에 필요한 정보를 상기 인증 서버(110)를 통해 상기 AAA서버(120)로 전송한다(143단계, 145단계). 이때, 상기 AAA 서버(120)와 인증 서버(110) 및 단말(100)은 패킷 유실에 대비하여 EAP 인증 방식 정보 및 EAP 인증 방식에 필요한 정보의 송수신(139단계부터 145단계)을 여러 번 반복 수행한다.
상기 AAA 서버(120)는 상기 인증 서버(110)로부터 제공받은 AAA 요청 메시지에 포함된 EAP 인증 방식에 필요한 상기 단말(100)의 정보를 이용하여 상기 단말(100)의 인증 여부를 판단한다.
만일, 상기 단말(100)을 인증할 수 있는 경우, 상기 AAA 서버(120)는 인증 성공 메시지를 상기 인증 서버(110)를 통해 상기 단말(100)로 전송한다(147단계, 149단계).
이에 따라, 상기 단말(100)은 상기 인증 서버(110)와의 링크 계층 접속을 완료한다(151단계). 또한, 상기 AAA 서버(120)는 상기 단말(100)과 상기 인증 서버(110)의 링크 계층 접속이 완료된 경우, 상기 인증 서버(110)에 대한 과금을 시작한다(AAA Accounting Start)(153단계).
상술한 인증 절차를 통해 AAA 서버로부터 인증받아 링크 계층 진입을 성공한 단말은 네트워크 서비스를 제공받는다.
하지만, 상술한 인증 절차를 수행하는 경우, 인증 서버와 AAA 서버 사이의 메시지 송수신에 따른 지연에 의해 단말의 네트워크 진입이 실패하는 문제가 발생할 수 있다. 예를 들어, AAA 서버로부터 인증받은 단말이 다른 네트워크의 서비스 영역으로 이동하거나 인증 서버가 변경되는 경우, 단말은 상기 도 1에 도시된 바와 같은 인증 절차를 다시 수행해야 한다. 하지만, 인증 서버와 AAA 서버 사이의 메시지 송수신에 따른 지연으로 인해 단말의 네트워크 진입이 실패하는 문제가 발생할 수 있다.
따라서, 본 발명의 목적은 통신시스템에서 단말의 인증에 따른 시간 지연을 줄이기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 다른 목적은 통신시스템에서 단말의 인증 서버(Authenticator)가 변경(relocation)되는 경우, 단말의 인증에 따른 시간 지연을 줄이기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 통신시스템의 인증 서버에서 다른 인증 서버가 단말의 인증에 사용했던 인증 변수(Authentication parameter)를 이용하여 상기 단말을 인증하기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 통신시스템에서 단말을 인증하기 위한 방법은, 제 1 인증 서버(Authenticator)로부터 제 2 인증 서버로 제 1 메시지를 전송하는 과정과, 상기 제 1 메시지는 상기 제 1 인증 서버의 식별 정보를 포함하며, 상기 제 1 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 상기 제 1 인증 서버로 제 2 메시지를 전송하는 과정과, 상기 제 2 메시지는, 제 1 해쉬 값과 제 1 랜덤 변수와 제 2 랜덤 변수를 포함하고, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며, 상기 제 1 인증 서버로부터 AAA(Authentication, Authorization, Accounting) 서버로 제 3 메시지를 전송하는 과정과, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 장치의 상기 식별 정보를 포함하며, 상기 AAA 서버에서, 상기 제 1 해쉬 값의 유효성을 결정하는 과정과, 상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 3 메시지에 대한 응답으로, 상기 AAA 서버로부터 상기 제 1 인증 서버로 제 4 메시지를 전송하는 과정과, 상기 제 4 메시지는, 단말의 인증 변수를 포함하며, 상기 제 1 인증 서버로부터 상기 제 2 인증 서버로 제 5 메시지를 전송하는 과정과, 상기 제 5 메시지는, 제 2 해쉬 값을 포함하고, 상기 제 2 해쉬 값은 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며, 상기 제 2 인증 장치에서, 상기 제 2 해쉬 값의 유효성을 결정하는 과정과, 상기 제 2 해쉬 값이 유효하다고 결정되면, 상기 제 5 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 상기 제 1 인증 서버로 제 6 메시지를 전송하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 2 견지에 따르면, 단말을 인증하기 위한 통신시스템은, 제 1 인증 서버, 제 2 인증 서버 및 AAA(Authentication, Authorization, Accounting) 서버를 포함하며, 상기 제 1 인증 서버는, 상기 제 2 인증 서버로 제 1 메시지를 전송하며, 상기 제 1 메시지는, 상기 제 1 인증 서버의 식별 정보를 포함하고, 상기 제 2 인증 서버는, 상기 제 1 메시지에 대한 응답으로, 상기 제 1 인증 서버로 제 2 메시지를 전송하며, 상기 제 2 메시지는, 제 1 해쉬 값과, 제 1 랜덤 변수와, 제 2 랜덤 변수를 포함하며, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고, 상기 제 1 인증 서버는, 상기 AAA 서버로 제 3 메시지를 전송하며, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 서버의 상기 식별 정보를 포함하고, 상기 AAA 서버는, 상기 제 1 해쉬 값의 유효성을 결정하고, 상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 1 인증 서버로 제 4 메시지를 전송하며, 상기 제 4 메시지는, 단말의 인증 변수를 포함하고, 상기 제 1 인증 서버는, 상기 제 2 인증 서버로 제 5 메시지를 전송하며, 상기 제 5 메시지는 제 2 해쉬 값을 포함하며, 상기 제 2 해쉬 값은, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고, 상기 제 2 인증 서버는, 상기 제 2 해쉬 값의 유효성을 결정하고, 상기 제 5 메시지에 대한 응답으로, 상기 제 1 인증 서버로 제 6 메시지를 전송하는 것을 특징으로 한다.
본 발명의 제 3 견지에 따르면, 인증 서버에서 단말을 인증하는 방법은, 제 2 인증 서버로 제 1 메시지를 전송하는 과정과, 상기 제 1 메시지는, 제 1 인증 서버의 식별 정보를 포함하며, 상기 제 2 인증 서버로부터 제 2 메시지가 수신되면, 상기 제 2 메시지에서 제 1 해쉬 값과, 제 1 랜덤 변수와, 제 2 랜덤 변수를 확인하는 과정과, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며, AAA(Authentication, Authorization, Accounting) 서버로 제 3 메시지를 전송하는 과정과, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 서버의 상기 식별 정보를 포함하며, 상기 AAA 서버로부터 제 4 메시지가 수신되면, 상기 제 4 메시지에서 단말의 인증 변수를 확인하는 과정과, 상기 제 2 인증 서버로 제 5 메시지를 전송하는 과정과, 상기 제 5 메시지는, 제 2 해쉬 값을 포함하며, 상기 제 2 해쉬 값은, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고, 상기 제 5 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 제 6 메시지를 수신하는 과정을 포함하며, 상기 제 3 메시지에 포함된 상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 4 메시지가 수신되고, 상기 제 5 메시지에 포함된 상기 제 2 해쉬 값이 유효하다고 결정되면, 상기 제 6 메시지가 수신되는 것을 특징으로 한다.
상술한 바와 같이 통신시스템의 인증 서버에서 다른 인증 서버가 단말의 인증에 사용했던 인증 변수(Authentication Parameter)를 이용하여 단말의 인증 절차를 수행함으로써, EAP 인증에 따른 시간 지연을 줄일 수 있는 이점이 있다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 본 발명은 통신시스템에서 단말의 인증 서버(Authenticator) 변경(relocation)될 때 확장 인증 프로토콜(EAP: Extensible Authentication Protocol) 인증에 따른 지연을 줄이기 위한 기술에 대해 설명한다.
이하 설명에서 링크 계층 진입을 요청받은 인증 서버는 다른 인증 서버가 상기 링크 계층 진입을 요청한 단말의 인증에 사용했던 인증 변수(Authentication Parameter)를 이용하여 상기 단말과의 데이터 링크 진입 절차를 수행한다. 이때, 상기 다른 인증 서버는 상기 단말의 인증 변수를 폐기하지 않은 것으로 가정한다. 여기서, 상기 인증 변수는 MSK(Master Session Key)와 MSK의 유효시간(lifetime)을 포함한다.
이하 설명에서 단말의 인증에 사용했던 인증 변수를 폐기하기 않은 다른 인증 서버를 이전 인증 서버(Previous Authenticator: 이하 PA라 칭함)라 칭한다. 즉, 단말과 AAA 서버는 이전 시간 동안 PA를 경유하여 인증 절차를 수행하였으며, 상기 단말이 AAA 서버로부터 인증받아 상기 PA는 상기 단말의 인증 변수를 포함한다.
AAA 서버와 인증 서버 및 단말 사이의 인증을 수행하는 경우, 무선통신시스템은 하기 도 2에 도시된 바와 같이 구성된다.
도 2는 본 발명에 따른 무선통신시스템의 구성을 도시하고 있다.
상기 도 2에 도시된 바와 같이 무선통신시스템은 AAA(Authentication, Authorization, Accounting)서버(200), 접속 게이트웨이(Access Gateway)(210, 220), 기지국(212, 222) 및 단말(230)을 포함하여 구성된다. 여기서, 상기 접속 게이트웨이들은 각각 인증 서버를 포함한다.
상기 단말(230)이 기지국 1(212)에 접속하는 경우, 상기 단말(230)은 접속 게이트웨이 1(210)을 통해 상기 AAA서버(200)와의 인증 절차를 수행한다. 즉, 상기 단말(230)과 상기 AAA 서버(200)는 접속 게이트웨이 1(210)에 포함되는 인증 서버 1을 통해 인증 절차를 수행한다. 예를 들어, 상기 단말(230)이 초기 접속하는 경우, 상기 단말(230)과 상기 AAA 서버(200)는 상기 인증 서버 1을 통해 상기 도 1에 도시된 바와 같이 EAP 인증을 수행한다.
상기 AAA 서버(200)로부터 인증받은 상기 단말(230)이 기지국 2(222)의 서비스 영역으로 이동하는 경우, 상기 단말(230)로 서비스를 제공하는 접속 게이트웨이가 접속 게이트웨이 2(220)로 변경된다. 이에 따라, 상기 접속 게이트웨이 2(220)에 포함되는 인증 서버 2는 상기 인증 서버 1로부터 획득한 단말(230)의 인증 변수를 이용하여 상기 단말(230)에 대한 인증 절차를 수행한다. 예를 들어, 상기 인증 서버 2는 하기 도 3에 도시된 바와 같이 상기 단말(230)에 대한 인증 절차를 수행한다. 이때, 상기 인증 서버 1은 상기 단말(230)의 인증 변수에 대한 해쉬 값(Hash value)을 상기 인증 서버 2로 전송한다.
도 3은 본 발명의 실시 예에 따른 인증 서버에서 단말을 인증하기 위한 절차를 도시하고 있다.
상기 도 3을 참조하면 먼저 인증 서버는 301단계에서 단말의 링크 계층 진입 절차를 수행할 것인지 판단한다. 즉, 상기 인증 서버는 물리 계층 접속(physical layer attachment)이 완료된 단말로부터 링크 계층 진입 요청 신호가 수신되는지 확인한다.
만일, 단말의 링크 계층 진입 절차를 수행하는 경우, 상기 인증 서버는 303단계로 진행하여 상기 단말이 링크 계층 진입을 요청하기 전에 AAA 서버로부터 인증받을 때 경유했던 PA를 확인한다. 예를 들어, 상기 인증 서버는 상기 단말로부터 제공받은 링크 계층 진입 요청 신호 또는 핸드오버 요청 신호를 통해 PA를 확인할 수 있다. 다른 예를 들어, 상기 인증 서버는 상기 단말로부터 제공받은 위치 갱신 요청 신호를 통해 PA를 확인할 수 있다. 또 다른 예를 들어, 상기 인증 서버는 상기 단말이 새롭게 접속한 기지국으로부터 상기 단말의 PA 정보를 제공받을 수도 있다.
PA를 확인한 후, 상기 인증 서버는 305단계로 진행하여 상기 PA로 상기 단말의 인증 서버 변경을 요청한다. 예를 들어, 상기 인증 서버는 링크 계층 진입을 시도하는 단말의 MAC 계층 주소와 자신의 식별자 정보를 포함하는 인증 서버 변경 요 청 신호를 상기 PA로 전송한다.
이후, 상기 인증 서버는 307단계로 진행하여 상기 PA로부터 인증 서버 변경 응답 신호가 수신되는지 확인한다.
만일, 상기 PA로부터 인증 서버 변경 응답 신호가 수신되는 경우, 상기 인증 서버는 309단계로 진행하여 상기 인증 서버 변경 응답 신호에서 상기 단말에 대한 인증 정보를 확인한다. 여기서, 상기 단말에 대한 인증 정보는 상기 인증 서버와 AAA 서버의 인증을 위한 랜덤 변수 1, 상기 인증 서버와 PA의 인증을 위한 랜덤 변수 2, 단말의 인증 변수에 대한 해쉬 값, 단말의 식별자 정보 등을 포함한다.
상기 단말에 대한 인증 정보를 확인한 후, 상기 인증 서버는 311단계로 진행하여 상기 PA로부터 제공받은 상기 단말의 인증 변수에 대한 해쉬 값을 AAA 서버로 전송한다. 예를 들어, 상기 인증 서버는 단말의 인증 변수에 대한 해쉬 값, 랜덤 변수 1, 단말의 식별자 정보 및 자신의 식별자 정보 등을 포함하는 인증 요청 신호를 AAA 서버로 전송한다.
이후, 상기 인증 서버는 313단계로 진행하여 AAA 서버로부터 제공받은 AAA 응답 신호를 통해 상기 AAA 서버가 자신의 인증 요청을 수락하였는지 확인한다.
만일, 상기 AAA 서버가 인증 요청을 수락하지 않은 경우, 상기 인증 서버는 상기 단말에 대한 인증이 실패한 것으로 인식한다. 이에 따라, 상기 인증 서버는 본 알고리즘을 종료한다. 예를 들어, 상기 AAA 서버가 인증 요청을 수락하지 않은 경우, 상기 인증 서버는 상기 도 1에 도시된 바와 같이 상기 단말에 대한 EAP 인증을 수행한다.
한편, 상기 AAA 서버가 인증 요청을 수락한 경우, 상기 인증 서버는 315단계로 진행하여 상기 AAA 응답 신호에 포함된 인증 변수에 대한 해쉬 값을 생성한다. 예를 들어, 상기 인증 서버는 상기 309단계에서 PA로부터 제공받은 랜덤 변수 2를 고려한 해쉬 함수를 이용하여 상기 AAA 응답 신호에 포함된 인증 변수에 대한 해쉬 값을 생성한다. 다른 예를 들어, 상기 인증 서버는 상기 AAA 응답 신호에 포함된 인증 변수를 이용하여 해쉬 값을 생성하기 위한 키를 생성한다. 이후, 상기 인증 서버는 상기 랜덤 변수 2를 고려한 해쉬 함수를 이용하여 상기 키에 대한 해쉬 값을 생성할 수도 있다.
상기 인증 변수에 대한 해쉬 값을 생성한 후, 상기 인증 서버는 317단계로 진행하여 상기 생성한 해쉬 값을 상기 PA로 전송한다. 예를 들어, 상기 인증 서버는 상기 생성한 해쉬 값을 포함하는 인증 서버 변경 확인 요청 신호를 상기 PA로 전송한다.
이후, 상기 인증 서버는 319단계로 진행하여 상기 PA로부터 인증 서버 변경 확인 응답 신호가 수신되는지 확인한다.
만일, 일정시간 동안 상기 PA로부터 인증 서버 변경 확인 응답 신호가 수신되지 않거나 인증 서버 변경 확인 실패 신호가 수신되는 경우, 상기 인증 서버는 상기 단말에 대한 인증 서버 변경이 실패한 것으로 인식한다. 이에 따라, 상기 인증 서버는 본 알고리즘을 종료한다. 예를 들어, 일정시간 동안 상기 PA로부터 인증 성공 응답 신호가 수신되지 않거나 인증 서버 변경 실패 신호가 수신되는 경우, 상기 인증 서버는 상기 도 1에 도시된 바와 같이 상기 단말에 대한 EAP 인증을 수행 한다.
한편, 상기 PA로부터 인증 서버 변경 확인 응답 신호가 수신되는 경우, 상기 인증 서버는 상기 단말의 데이터 링크 진입이 성공한 것으로 인식한다.
이후, 상기 인증 서버는 본 알고리즘을 종료한다.
상술한 바와 같이 인증 서버는 PA가 링크 계층 진입을 요청한 단말의 인증에 사용했던 인증 변수를 이용하여 상기 단말에 대한 인증을 수행한다. 이때, AAA 서버는 하기 도 4에 도시된 바와 같이 상기 단말에 대한 인증을 수행한다.
도 4는 본 발명의 실시 예에 따른 AAA 서버에서 단말의 인증 서버를 변경하기 위한 절차를 도시하고 있다.
상기 도 4를 참조하면 AAA 서버는 401단계에서 인증 서버로부터 인증 요청 신호가 수신되는지 확인한다.
만일, 인증 요청 신호가 수신되는 경우, 상기 AAA 서버는 403단계로 진행하여 상기 인증 요청 신호에 포함된 단말에 대한 인증 정보를 포함한다. 여기서, 상기 단말에 대한 인증 정보는 단말의 인증 변수에 대한 해쉬 값, 랜덤 변수 1, 단말의 식별자 정보 및 인증 요청 신호를 전송한 인증 서버의 식별자 정보 등을 포함한다.
이후, 상기 AAA 서버는 405단계로 진행하여 상기 단말의 인증 변수에 대한 해쉬 값을 이용하여 상기 인증 서버의 인증 요청을 수락할 것인지 결정한다. 예를 들어, 상기 AAA 서버는 상기 단말의 식별자 정보를 통해 상기 단말을 인증할 때 사용했던 인증 변수를 확인한다. 이후, 상기 AAA 서버는 상기 랜덤 변수 1을 이용하 여 상기 단말을 인증할 때 사용했던 인증 변수에 대한 해쉬 값을 생성한다. 이후, 상기 AAA 서버는 상기 인증 서버로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값을 비교하여 상기 인증 서버에 대한 인증 요청을 수락할 것인지 결정한다.
만일, 상기 인증 서버로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값이 동일지 않은 경우, 상기 AAA 서버는 상기 인증 서버로부터 제공받은 해쉬 값이 유효하지 않아 상기 인증 서버의 인증 요청을 수락할 수 없는 것으로 판단한다. 이에 따라, 상기 AAA 서버는 413단계로 진행하여 상기 인증 서버로 인증 실패 정보를 전송한다.
한편, 이때, 상기 인증 서버로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값이 동일한 경우, 상기 AAA 서버는 상기 인증 서버로부터 제공받은 해쉬 값이 유효하여 상기 인증 서버의 인증 요청을 수락하는 것으로 판단한다. 이에 따라, 상기 AAA 서버는 407단계로 진행하여 상기 인증 서버로 인증 성공 정보를 전송한다. 이때, 상기 인증 성공 정보는 상기 단말을 인증할 때 사용했던 인증 변수와 AAA 서버의 주소 정보를 포함한다.
상기 인증 서버의 인증 요청을 수락한 경우, 상기 AAA 서버는 409단계로 진행하여 상기 단말의 PA에 대한 과금을 종료한다.
또한, 상기 단말과 상기 인증 서버의 링크 계층 진입이 완료된 경우, 상기 AAA 서버는 411단계로 진행하여 상기 401단계에서 인증을 요청한 인증 서버에 대한 과금을 시작한다.
이후, 상기 AAA 서버는 본 알고리즘을 종료한다.
상술한 실시 예에서 AAA 서버는 랜덤 변수 1을 이용하여 단말을 인증할 때 사용했던 인증 변수에 대한 해쉬 값을 생성하였다.
다른 실시 예에서 AAA 서버는 단말을 인증할 때 사용했던 인증 변수를 이용하여 해쉬 값을 생성하기 위한 키를 생성한다. 이후, 상기 AAA 서버는 랜덤 변수 1을 이용하여 상기 키에 대한 해쉬 값을 생성한다. 이후, 상기 AAA 서버는 상기 인증 서버로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값을 비교하여 상기 인증 서버에 대한 인증 요청을 수락할 것인지 결정할 수도 있다.
이하 설명은 무선통신시스템에서 단말의 인증 서버를 변경(relocation)하기 위한 절차에 대해 설명한다.
도 5는 본 발명의 실시 예에 따른 무선통신시스템에서 단말의 인증 서버를 변경하기 위한 절차를 도시하고 있다. 미 도시되었지만, 단말(500)과 인증 서버들(510, 520)의 사이에는 각각의 기지국들이 위치한다.
상기 도 5를 참조하면, 단말(MT: Mobile Terminal)(500)과 AAA 서버(530)는 제 1 인증 서버(510)를 통해 인증 절차를 수행한다. 이때, 상기 단말(500)은 상기 AAA 서버(530)와의 인증 절차를 성공한 것으로 가정한다(541단계).
만일, 상기 AAA 서버(530)로부터 인증받은 상기 단말(500)이 이동하여 제 2 인증 서버(520)와의 물리 계층 접속을 수행한 경우(543단계), 상기 제 2 인증 서버(520)는 상기 제 1 인증 서버(520)로 인증 서버 변경 요청 메시지(AuthReloclntiReq)를 전송한다(545단계). 여기서, 상기 인증 서버 변경 요청 메시지는 상기 단말(500)의 MAC 계층 주소와 자신의 식별자 정보를 포함한다. 이때, 상기 제 2 인증 서버(520)는 상기 단말(500)로부터 제공받은 링크 계층 진입 요청 신호 또는 핸드오버 요청 신호를 통해 상기 제 1 인증 서버(510)를 확인할 수 있다. 다른 예를 들어, 상기 제 2 인증 서버(520)는 상기 단말(500)로부터 제공받은 위치 갱신 요청 신호를 통해 제 1 인증 서버(510)를 확인할 수 있다. 또 다른 예를 들어, 상기 제 2 인증 서버(520)는 상기 단말(500)이 새롭게 접속한 기지국으로부터 상기 제 1 인증 서버(510) 정보를 제공받을 수도 있다.
상기 제 1 인증 서버(510)는 상기 인증 서버 변경 요청 메시지가 수신되면, 상기 단말(500)의 인증 변수에 대한 해쉬 값을 생성한다. 예를 들어, 상기 제 1 인증 서버(510)는 랜덤 변수 1을 고려한 해쉬 함수를 이용하여 상기 단말(500)의 인증 변수에 대한 해쉬 값을 생성한다. 다른 예를 들어, 상기 제 1 인증 서버(510)는 상기 단말(500)의 인증 변수를 이용하여 해쉬 값을 생성하기 위한 키를 생성한다. 이후, 상기 제 1 인증 서버(510)는 랜덤 변수 1를 고려한 해쉬 함수를 이용하여 상기 키에 대한 해쉬 값을 생성할 수도 있다. 여기서, 상기 단말(500)의 인증 변수는 상기 제 1 인증 서버(510)가 상기 단말(500)을 인증할 때 사용했던 인증 변수를 나타낸다.
상기 제 1 인증 서버(510)는 해쉬 값을 생성한 후, 상기 생성한 해쉬 값을 포함하는 인증 서버 변경 응답 메시지(AuthReloclntiRsp)를 상기 제 2 인증 서버(520)로 전송한다(547단계). 이때, 상기 인증 서버 변경 응답 메시지는 상기 제 2 인증 서버(520)와 상기 AAA 서버(530)의 인증을 위한 랜덤 변수 1, 상기 제 1 인증 서버(510)와 제 2 인증 서버(520)의 인증을 위한 랜덤 변수 2, 단말(500)의 인 증 변수에 대한 해쉬 값 및 단말의 식별자 정보 등의 상기 단말(500)에 대한 인증 정보를 포함한다.
상기 제 2 인증 서버(520)는 상기 인증 서버 변경 응답 메시지에서 상기 단말(500)에 대한 인증 정보를 확인한다. 여기서, 상기 단말(500)에 대한 인증 정보는 상기 인증 서버 변경 응답 메시지에 포함된 상기 랜덤 변수 1, 상기 랜덤 변수 2, 단말(500)의 인증 변수에 대한 해쉬 값 및 단말의 식별자 정보 등을 포함한다.
이후, 상기 제 2 인증 서버(520)는 상기 단말(500)의 인증 변수에 대한 해쉬 값을 포함하는 AAA 요청 메시지(AAA Request)를 상기 AAA 서버(530)로 전송한다(549단계). 이때, 상기 AAA 요청 메시지는 단말(500)의 인증 변수에 대한 해쉬 값, 상기 랜덤 변수 1, 단말(500)의 식별자 정보, 제 2 인증 서버(520)의 식별자 정보를 포함한다.
상기 AAA 서버(530)는 상기 제 2 인증 서버(520)로부터 제공받은 상기 단말(500)의 인증 변수에 대한 해쉬 값이 유효한지 판단한다. 예를 들어, 상기 AAA 서버(530)는 상기 AAA 요청 메시지에 포함된 단말(500)의 식별자 정보를 통해 상기 단말(500)을 인증할 때 사용했던 인증 변수를 확인한다. 이후, 상기 AAA 서버(530)는 상기 AAA 요청 메시지에 포함된 랜덤 변수 1을 이용하여 상기 단말(500)을 인증할 때 사용했던 인증 변수에 대한 해쉬 값을 생성한다. 이후, 상기 AAA 서버(530)는 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값을 비교하여 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값이 유효한 지 판단한다.
만일, 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값과 상기 생성한 해 쉬 값이 동일한 경우, 상기 AAA 서버(530)는 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값이 유효하다고 판단한다. 이에 따라, 상기 AAA 서버(530)는 상기 단말(500)의 인증 변수를 포함하는 AAA 응답 메시지(AAA Response)를 상기 제 2 인증 서버(520)로 전송한다(551단계). 이때, 상기 AAA 응답 메시지는 상기 단말(500)의 인증 변수와 상기 AAA 서버(530)의 주소 정보를 포함한다.
한편, 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값이 동일하지 않은 경우, 상기 AAA 서버(530)는 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값이 유효하지 않은 것으로 판단한다. 이에 따라, 상기 AAA 서버(530)는 인증 실패 정보를 포함하는 AAA 응답 메시지(AAA Response)를 상기 제 2 인증 서버(520)로 전송한다.
상기 제 2 인증 서버(520)는 상기 AAA 서버(530)로부터 제공받은 AAA 응답 메시지를 통해 상기 AAA 서버(530)가 인증을 수락하였는지 확인한다.
만일 상기 AAA 서버(530)가 인증을 수락한 경우, 상기 제 2 인증 서버(520)는 상기 AAA 응답 메시지에 포함된 상기 단말(500)의 인증 변수에 대한 해쉬 값을 생성한다. 예를 들어, 상기 제 2 인증 서버(520)는 상기 제 1 인증 서버(510)로부터 제공받은 랜덤 변수 2를 고려한 해쉬 함수를 이용하여 상기 AAA 서버(530)로부터 제공받은 인증 변수에 대한 해쉬 값을 생성한다. 다른 예를 들어, 상기 제 2 인증 서버(520)는 상기 AAA 응답 메시지에 포함된 상기 단말(500)의 인증 변수를 이용하여 해쉬 값을 생성하기 위한 키를 생성한다. 이후, 상기 제 2 인증 서버(520)는 상기 제 1 인증 서버(510)로부터 제공받은 랜덤 변수 2를 고려한 해쉬 함수를 이용하여 상기 키에 대한 해쉬 값을 생성할 수도 있다.
이후, 상기 제 2 인증 서버(520)는 상기 단말(500)의 인증 변수에 대한 해쉬 값을 포함하는 인증 서버 변경 확인 요청 메시지(AuthRelocFinReq)를 상기 제 1 인증 서버(510)로 전송한다(553단계).
상기 제 1 인증 서버(510)는 상기 제 2 인증 서버(520)로부터 제공받은 상기 단말(500)의 인증 변수에 대한 해쉬 값이 유효한지 판단한다. 예를 들어, 상기 제 1 인증 서버(510)는 상기 제 2 인증 서버(520)로 전송한 랜덤 변수 2를 이용한 해쉬 함수를 이용하여 자신이 저장하고 있는 단말(500)의 인증 변수에 대한 해쉬 값을 생성한다. 이후, 상기 제 1 인증 서버(510)는 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값을 비교하여 상기 제 2 인증 서버(520)로부터 제공받은 단말(500)의 인증 변수에 대한 해쉬 값의 유효성을 판단한다.
만일, 상기 제 2 인증 서버(520)로부터 제공받은 해쉬 값과 상기 생성한 해쉬 값이 동일한 경우, 상기 제 1 인증 서버(510)는 상기 제 2 인증 서버(520)로부터 제공받은 단말(500)의 인증 변수에 대한 해쉬 값이 유효하다고 판단한다. 이에 따라, 상기 제 1 인증 서버(510)는 인증 서버 변경 확인 응답 메시지(AuthRelocFinRsp)를 상기 제 2 인증 서버(520)로 전송한다(555단계).
상기 제 1 인증 서버(510)는 상기 제 2 인증 서버(520)로부터 제공받은 단말(500)의 인증 변수에 대한 해쉬 값이 유효하다고 판단한 경우, 상기 제 2 인증 서버(520)가 상기 AAA 서버(530)로부터 인증받은 것으로 인식한다. 이에 따라, 상기 제 1 인증 서버(510)와 상기 AAA 서버(530)는 과금 프로세서를 종료한다(557단 계).
상기 제 2 인증 서버(520)는 상기 제 1 인증 서버(510)로부터 인증 서버 변경 확인 응답 메시지를 수신받으면 상기 단말(500)의 데이터 링크 진입이 성공한 것으로 인식한다(559단계). 이에 따라, 상기 제 2 인증 서버(520)와 상기 AAA 서버(530)는 과금 프로세서를 시작한다(561단계).
상술한 실시 예에서 PA는 단말의 인증 변수를 폐기하지 않은 것으로 가정하였다. 하지만, PA가 단말의 인증 변수를 폐기한 경우, 상기 PA는 인증 서버 변경을 요청한 인증 서버로 인증 서버 변경 실패 신호를 전송할 수도 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능하다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 종래 기술에 따른 무선통신시스템에서 단말의 인증 절차를 도시하는 도면,
도 2는 본 발명에 따른 무선통신시스템의 구성을 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 인증 서버에서 단말을 인증하기 위한 절차를 도시하는 도면,
도 4는 본 발명의 실시 예에 따른 AAA 서버에서 단말의 인증 서버를 변경하기 위한 절차를 도시하는 도면, 및
도 5는 본 발명의 실시 예에 따른 무선통신시스템에서 단말의 인증 서버를 변경하기 위한 절차를 도시하는 도면.

Claims (38)

  1. 통신시스템에서 단말을 인증하기 위한 방법에 있어서,
    제 1 인증 서버(Authenticator)로부터 제 2 인증 서버로 제 1 메시지를 전송하는 과정, 상기 제 1 메시지는 상기 제 1 인증 서버의 식별 정보를 포함하며,
    상기 제 1 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 상기 제 1 인증 서버로 제 2 메시지를 전송하는 과정, 상기 제 2 메시지는, 제 1 해쉬 값과 제 1 랜덤 변수와 제 2 랜덤 변수를 포함하고, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며,
    상기 제 1 인증 서버로부터 AAA(Authentication, Authorization, Accounting) 서버로 제 3 메시지를 전송하는 과정, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 서버의 식별 정보를 포함하며,
    상기 AAA 서버에서, 상기 제 1 해쉬 값의 유효성을 결정하는 과정,
    상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 3 메시지에 대한 응답으로, 상기 AAA 서버로부터 상기 제 1 인증 서버로 제 4 메시지를 전송하는 과정, 상기 제 4 메시지는, 단말의 인증 변수를 포함하며,
    상기 제 1 인증 서버로부터 상기 제 2 인증 서버로 제 5 메시지를 전송하는 과정, 상기 제 5 메시지는, 제 2 해쉬 값을 포함하고, 상기 제 2 해쉬 값은 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며,
    상기 제 2 인증 서버에서, 상기 제 2 해쉬 값의 유효성을 결정하는 과정, 및
    상기 제 2 해쉬 값이 유효하다고 결정되면, 상기 제 5 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 상기 제 1 인증 서버로 제 6 메시지를 전송하는 과정을 포함하는 방법.
  2. 제 1항에 있어서,
    상기 제 2 인증 서버는, 상기 단말이 물리 계층에 접속하기 이전에 상기 AAA 서버로부터 인증받았던 경우, 상기 단말과 상기 AAA 서버가 인증을 위해 경유한 인증 서버를 포함하는 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 제 1항에 있어서,
    상기 제 1 해쉬 값의 상기 유효성을 결정하는 과정은,
    상기 AAA 서버에서, 상기 단말을 인증할 때 사용했던 인증 정보를 확인하는 과정,
    상기 AAA 서버에서, 상기 확인된 인증 정보와 상기 제 1 인증 서버로부터 수신된 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 제 3 해쉬 값을 생성하는 과정, 및
    상기 AAA 서버에서, 상기 제 1 해쉬 값과 상기 제 3 해쉬 값을 비교하고, 상기 비교의 결과를 기반으로 상기 제 1 해쉬 값의 상기 유효성을 결정하는 과정을 포함하는 것을 특징으로 하는 방법.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 제 1항에 있어서,
    상기 제 2 해쉬 값의 상기 유효성을 결정하는 과정은,
    상기 제 2 인증 서버에서, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 제 4 해쉬 값을 생성하는 과정, 및
    상기 제 2 인증 서버에서, 상기 제 2 해쉬 값과 상기 제 4 해쉬 값을 비교하고, 상기 비교 결과를 기반으로 상기 제 2 해쉬 값의 상기 유효성을 결정하는 방법.
  12. 삭제
  13. 삭제
  14. 단말을 인증하기 위한 통신시스템에 있어서,
    제 1 인증 서버;
    제 2 인증 서버; 및
    AAA(Authentication, Authorization, Accounting) 서버를 포함하며,
    상기 제 1 인증 서버는, 상기 제 2 인증 서버로 제 1 메시지를 전송하며, 상기 제 1 메시지는, 상기 제 1 인증 서버의 식별 정보를 포함하고,
    상기 제 2 인증 서버는, 상기 제 1 메시지에 대한 응답으로, 상기 제 1 인증 서버로 제 2 메시지를 전송하며, 상기 제 2 메시지는, 제 1 해쉬 값과, 제 1 랜덤 변수와, 제 2 랜덤 변수를 포함하며, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고,
    상기 제 1 인증 서버는, 상기 AAA 서버로 제 3 메시지를 전송하며, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 서버의 상기 식별 정보를 포함하고,
    상기 AAA 서버는, 상기 제 1 해쉬 값의 유효성을 결정하고, 상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 1 인증 서버로 제 4 메시지를 전송하며, 상기 제 4 메시지는, 단말의 인증 변수를 포함하고,
    상기 제 1 인증 서버는, 상기 제 2 인증 서버로 제 5 메시지를 전송하며, 상기 제 5 메시지는 제 2 해쉬 값을 포함하며, 상기 제 2 해쉬 값은, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고,
    상기 제 2 인증 서버는, 상기 제 2 해쉬 값의 유효성을 결정하고, 상기 제 5 메시지에 대한 응답으로, 상기 제 1 인증 서버로 제 6 메시지를 전송하는 통신시스템.
  15. 삭제
  16. 삭제
  17. 제 14항에 있어서,
    상기 제 2 인증 서버는, 상기 단말이 물리 계층에 접속하기 이전에 상기 AAA 서버로부터 인증받았던 경우, 상기 단말과 상기 AAA 서버가 인증을 위해 경유한 인증 서버를 포함하는 통신시스템.
  18. 삭제
  19. 제 14항에 있어서,
    상기 AAA 서버는, 상기 제 1 해쉬 값이 유효하다는 것을 결정할 때, 상기 제 1 인증 서버로부터 수신된 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 상기 단말이 인증할 때 사용했던 인증 정보에 대한 제 3 해쉬 값을 생성하며, 상기 제 3 해쉬 값과 상기 제 1 해쉬 값을 비교하고, 상기 비교 결과를 기반으로 상기 제 1 해쉬 값의 상기 유효성을 결정하는 통신시스템.
  20. 삭제
  21. 삭제
  22. 삭제
  23. 제 14항에 있어서,
    상기 제 2 인증 서버는, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 제 4 해쉬 값을 생성하며, 상기 제 2 해쉬 값과 상기 제 4 해쉬 값을 비교하고, 상기 비교 결과를 기반으로 상기 제 2 해쉬 값의 상기 유효성을 결정하는 통신시스템.
  24. 삭제
  25. 삭제
  26. 인증 서버에서 단말을 인증하는 방법에 있어서,
    제 2 인증 서버로 제 1 메시지를 전송하는 과정, 상기 제 1 메시지는, 제 1 인증 서버의 식별 정보를 포함하며,
    상기 제 2 인증 서버로부터 제 2 메시지가 수신되면, 상기 제 2 메시지에서 제 1 해쉬 값과, 제 1 랜덤 변수와, 제 2 랜덤 변수를 확인하는 과정, 상기 제 1 해쉬 값은, 상기 제 1 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되며,
    AAA(Authentication, Authorization, Accounting) 서버로 제 3 메시지를 전송하는 과정, 상기 제 3 메시지는, 상기 제 1 해쉬 값과, 상기 제 1 랜덤 변수와, 상기 제 1 인증 서버의 상기 식별 정보를 포함하며,
    상기 AAA 서버로부터 제 4 메시지가 수신되면, 상기 제 4 메시지에서 단말의 인증 변수를 확인하는 과정,
    상기 제 2 인증 서버로 제 5 메시지를 전송하는 과정, 상기 제 5 메시지는, 제 2 해쉬 값을 포함하며, 상기 제 2 해쉬 값은, 상기 제 2 랜덤 변수를 이용하는 해쉬 함수를 기반으로 생성되고, 및
    상기 제 5 메시지에 대한 응답으로, 상기 제 2 인증 서버로부터 제 6 메시지를 수신하는 과정을 포함하며,
    상기 제 3 메시지에 포함된 상기 제 1 해쉬 값이 유효하다고 결정되면, 상기 제 4 메시지가 수신되고, 상기 제 5 메시지에 포함된 상기 제 2 해쉬 값이 유효하다고 결정되면, 상기 제 6 메시지가 수신되는 방법.
  27. 제 26항에 있어서,
    상기 제 1 메시지를 수신하기 전에 상기 제 2 인증 서버를 확인하는 과정을 더 포함하는 방법.
  28. 삭제
  29. 제 26항에 있어서,
    상기 제 5 메시지를 수신한 후에, 상기 제 6 메시지가 상기 제 2 인증 서버로부터 수신될 때, 상기 단말이 데이터 링크 계층의 접속에 성공함을 인식하는 동작을 더 포함하는 방법.
  30. 제 26항에 있어서,
    상기 제 1 메시지는, 상기 단말의 식별 정보를 더 포함하는 방법.
  31. 제 26항에 있어서,
    상기 단말에서, 상기 제 1 메시지가 전송되기 전에, 상기 제 2 인증 서버와 성공적으로 인증하고, 상기 제 1 인증 서버와 물리적 계층 진입을 수행하는 과정을 더 포함하는 방법.
  32. 제 26항에 있어서,
    상기 제 1 인증 서버에서, 상기 수신된 제 2 랜덤 변수를 저장하는 과정을 더 포함하는 방법.
  33. 제 1항에 있어서,
    상기 제 1 메시지는, 상기 단말의 식별 정보를 더 포함하는 방법.
  34. 제 1항에 있어서,
    상기 제 1 메시지가 전송되기 전에, 상기 단말에서, 상기 제 2 인증 서버와 성공적으로 인증하고, 상기 제 1 인증 서버와 물리적 계층 진입을 수행하는 과정을 더 포함하는 방법.
  35. 제 1항에 있어서,
    상기 제 1 인증 서버에서 수신된 상기 제 2 랜덤 변수를 저장하는 과정을 더 포함하는 방법.
  36. 제 14항에 있어서,
    상기 제 1 메시지는, 상기 단말의 식별 정보를 더 포함하는 통신시스템.
  37. 제 14항에 있어서,
    상기 단말은, 상기 제 1 메시지가 전송되기 전에, 상기 제 2 인증 서버와 성공적으로 인증하고, 상기 제 1 인증 서버와 물리적 계층 진입을 수행하는 통신시스템.
  38. 제 14항에 있어서,
    상기 제 1 인증 서버는 수신된 상기 제 2 랜덤 변수를 저장하는 통신시스템.
KR1020090020318A 2009-03-10 2009-03-10 통신시스템에서 인증 방법 및 시스템 KR101655264B1 (ko)

Priority Applications (6)

Application Number Priority Date Filing Date Title
KR1020090020318A KR101655264B1 (ko) 2009-03-10 2009-03-10 통신시스템에서 인증 방법 및 시스템
JP2011553949A JP5843616B2 (ja) 2009-03-10 2010-03-10 通信システムにおける認証方法及びそのシステム
EP10156079.5A EP2229018B1 (en) 2009-03-10 2010-03-10 Method and system for authenticating in a communication system
CN201080011209.8A CN102349320B (zh) 2009-03-10 2010-03-10 通信系统中用于验证的方法和系统
PCT/KR2010/001487 WO2010104325A2 (en) 2009-03-10 2010-03-10 Method and system for authenticating in a communication system
US12/720,972 US9161217B2 (en) 2009-03-10 2010-03-10 Method and system for authenticating in a communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090020318A KR101655264B1 (ko) 2009-03-10 2009-03-10 통신시스템에서 인증 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20100101887A KR20100101887A (ko) 2010-09-20
KR101655264B1 true KR101655264B1 (ko) 2016-09-07

Family

ID=42153777

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090020318A KR101655264B1 (ko) 2009-03-10 2009-03-10 통신시스템에서 인증 방법 및 시스템

Country Status (6)

Country Link
US (1) US9161217B2 (ko)
EP (1) EP2229018B1 (ko)
JP (1) JP5843616B2 (ko)
KR (1) KR101655264B1 (ko)
CN (1) CN102349320B (ko)
WO (1) WO2010104325A2 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
CN102196439B (zh) * 2010-03-17 2016-08-03 中兴通讯股份有限公司 一种处理鉴权器重定位请求的方法及系统
US9479928B2 (en) * 2010-11-15 2016-10-25 Blackberry Limited Cross-component message encryption
US8910261B2 (en) * 2012-09-28 2014-12-09 Alcatel Lucent Radius policy multiple authenticator support
US9509693B2 (en) * 2013-12-19 2016-11-29 Alcatel Lucent Flexible and generalized authentication
KR20160131744A (ko) 2015-05-08 2016-11-16 임용훈 사용자 인증을 위한 장치 및 방법
KR101746598B1 (ko) 2015-09-08 2017-06-13 임용훈 사용자 인증을 위한 장치
WO2016039568A1 (ko) * 2014-09-11 2016-03-17 임용훈 사용자 인증을 위한 장치 및 방법
KR20160150097A (ko) 2016-12-21 2016-12-28 임용훈 사용자 인증을 위한 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030028763A1 (en) * 2001-07-12 2003-02-06 Malinen Jari T. Modular authentication and authorization scheme for internet protocol

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151676A (en) * 1997-12-24 2000-11-21 Philips Electronics North America Corporation Administration and utilization of secret fresh random numbers in a networked environment
GB9903124D0 (en) * 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
GB9922847D0 (en) * 1999-09-27 1999-11-24 Simoco Int Ltd Radio communications
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7469341B2 (en) * 2001-04-18 2008-12-23 Ipass Inc. Method and system for associating a plurality of transaction data records generated in a service access system
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
DE60221907T2 (de) 2002-06-20 2008-05-15 Nokia Corp. Verfahren, system und einrichtungen zum transferieren von abrechnungsinformationen
KR100447336B1 (ko) 2002-07-22 2004-09-07 에스케이 텔레콤주식회사 고속 패킷 데이터의 한도관리방법
KR100480258B1 (ko) 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
KR100448318B1 (ko) * 2002-11-08 2004-09-16 삼성전자주식회사 무선망에서의 핸드오프방법
KR100483008B1 (ko) 2002-12-24 2005-04-15 한국전자통신연구원 초고속 통신 시스템에서 패스트 핸드오프에 의한 트래픽서비스의 제어방법
EP1597898A2 (en) * 2003-02-26 2005-11-23 Nokia Corporation A method of reducing denial-of-service attacks and a system as well as an access router therefor
US20060185013A1 (en) * 2003-06-18 2006-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
US7908484B2 (en) * 2003-08-22 2011-03-15 Nokia Corporation Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
US7461248B2 (en) * 2004-01-23 2008-12-02 Nokia Corporation Authentication and authorization in heterogeneous networks
US7546459B2 (en) * 2004-03-10 2009-06-09 Telefonaktiebolaget L M Ericsson (Publ) GSM-like and UMTS-like authentication in a CDMA2000 network environment
US9654963B2 (en) * 2004-07-01 2017-05-16 Qualcomm Incorporated Dynamic assignment of home agent and home address in wireless communications
EP1782575A1 (en) 2004-08-26 2007-05-09 NTT DoCoMo, Inc. Method and apparatus for supporting secure handover
US7450531B2 (en) * 2004-10-26 2008-11-11 Cisco Technology, Inc. System and method for allocating and distributing end user information in a network environment
KR100843072B1 (ko) * 2005-02-03 2008-07-03 삼성전자주식회사 무선 네트워크 시스템 및 이를 이용한 통신 방법
FI20050393A0 (fi) 2005-04-15 2005-04-15 Nokia Corp Avainmateriaalin vaihto
CN101180848A (zh) 2005-05-16 2008-05-14 汤姆森特许公司 无线局域网络中的安全切换
US8353011B2 (en) * 2005-06-13 2013-01-08 Nokia Corporation Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA)
US8027304B2 (en) * 2005-07-06 2011-09-27 Nokia Corporation Secure session keys context
JP4699145B2 (ja) 2005-09-06 2011-06-08 Kddi株式会社 ネットワーク認証システム、認証装置、無線端末及びコンピュータプログラム
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US20070118885A1 (en) * 2005-11-23 2007-05-24 Elrod Craig T Unique SNiP for use in secure data networking and identity management
US8239671B2 (en) * 2006-04-20 2012-08-07 Toshiba America Research, Inc. Channel binding mechanism based on parameter binding in key derivation
KR100907825B1 (ko) * 2006-12-04 2009-07-14 한국전자통신연구원 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법
US9225518B2 (en) * 2006-12-08 2015-12-29 Alcatel Lucent Method of providing fresh keys for message authentication
JP5144679B2 (ja) 2006-12-19 2013-02-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおけるユーザアクセス管理

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030028763A1 (en) * 2001-07-12 2003-02-06 Malinen Jari T. Modular authentication and authorization scheme for internet protocol

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TS 23.401 v8.4.1(2008.12)*

Also Published As

Publication number Publication date
WO2010104325A2 (en) 2010-09-16
KR20100101887A (ko) 2010-09-20
US20100232606A1 (en) 2010-09-16
US9161217B2 (en) 2015-10-13
CN102349320A (zh) 2012-02-08
WO2010104325A3 (en) 2010-12-09
JP2012520601A (ja) 2012-09-06
EP2229018A1 (en) 2010-09-15
EP2229018B1 (en) 2018-06-06
JP5843616B2 (ja) 2016-01-13
CN102349320B (zh) 2015-02-04

Similar Documents

Publication Publication Date Title
KR101655264B1 (ko) 통신시스템에서 인증 방법 및 시스템
US9306748B2 (en) Authentication method and apparatus in a communication system
US7451316B2 (en) Method and system for pre-authentication
US7590246B2 (en) Authentication between a cellular phone and an access point of a short-range network
US8533798B2 (en) Method and system for controlling access to networks
EP2432265B1 (en) Method and apparatus for sending a key on a wireless local area network
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
JP2008529368A (ja) 通信システムにおけるユーザ認証及び認可
KR101718096B1 (ko) 무선통신 시스템에서 인증방법 및 시스템
CN101304319A (zh) 移动通信网络以及用于认证其中的移动节点的方法和装置
WO2009074050A1 (fr) Procede, systeme et appareil d'authentification de dispositif de point d'acces
CN112423299B (zh) 一种基于身份认证进行无线接入的方法及系统
CN101150472A (zh) Wimax中实现认证的方法、认证服务器和终端
WO2019017839A1 (zh) 数据传输方法、相关设备以及系统
US9532218B2 (en) Implementing a security association during the attachment of a terminal to an access network
US8516555B2 (en) Method and system for authenticating pay-per-use service using EAP
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
KR100740863B1 (ko) 무선통신 시스템에서 확장된 인증 프로토콜 기반의 인증방법 및 시스템
JP2012510232A (ja) 通信システムにおける競り下げ攻撃の防止
US9485652B2 (en) Method and system for managing mobility of mobile station in a mobile communication system using mobile IP
CN110226319A (zh) 用于紧急接入期间的参数交换的方法和设备
JP4791535B2 (ja) 汎用ブートストラッピング・アーキテクチャ(gba)において、移動ノードの識別子を認証のプリファレンスと共に提供する装置、方法およびコンピュータ・プログラム
CN103001927B (zh) 一种位置信息处理方法和系统
CN101790164B (zh) 一种认证方法及通信系统以及相关设备
KR101046450B1 (ko) 무선랜에서의 웹인증 도입 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant