KR101718096B1 - 무선통신 시스템에서 인증방법 및 시스템 - Google Patents

무선통신 시스템에서 인증방법 및 시스템 Download PDF

Info

Publication number
KR101718096B1
KR101718096B1 KR1020090118092A KR20090118092A KR101718096B1 KR 101718096 B1 KR101718096 B1 KR 101718096B1 KR 1020090118092 A KR1020090118092 A KR 1020090118092A KR 20090118092 A KR20090118092 A KR 20090118092A KR 101718096 B1 KR101718096 B1 KR 101718096B1
Authority
KR
South Korea
Prior art keywords
authentication
constant
terminal
eap
key
Prior art date
Application number
KR1020090118092A
Other languages
English (en)
Other versions
KR20110061440A (ko
Inventor
이지철
알퍼예긴
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090118092A priority Critical patent/KR101718096B1/ko
Priority to US12/957,946 priority patent/US8705734B2/en
Publication of KR20110061440A publication Critical patent/KR20110061440A/ko
Application granted granted Critical
Publication of KR101718096B1 publication Critical patent/KR101718096B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선통신 시스템에서 단말을 인증하기 위한 방법 및 시스템에 관한 것으로서, 무선통신 시스템에서 단말을 인증하기 위한 시스템은, 핸드오버 시에, 타깃 인증자(Authenticator)가 인증을 위한 네트워크액세스 식별자(Network Access Identifier: NAI) 정보를 요청할 시, 상기 NAI에 인증코드를 추가하여, 상기 NAI 정보를 포함한 응답 메시지를 상기 타깃 인증자로 전송하는 단말기와, 상기 인증코드가 첨부된 NAI를 AAA(Authentication, Authorization, Accounting) 서버로 중계하는 상기 타깃 인증자과, 상기 타깃 인증자(Authenticator)로부터 수신한 상기 인증코드가 첨부된 NAI 정보에서 상기 인증코드를 추출하여 상기 단말기의 인증을 검증하고, 새로운 인증키를 생성하여, 상기 새로운 인증키를 상기 타깃 인증자에게 전송하는 상기 AAA 서버를 포함하여, EAP 인증에 따른 시간 지연을 줄일 수 있는 이점이 있다.
인증, EAP(Extensible Authentication Protocol), 인증 서버(Authenticator), MSK(Master Session Key)

Description

무선통신 시스템에서 인증방법 및 시스템{METHOD AND SYSTEM FOR AUTHENTICATING IN WIRELESS COMMUNICATION SYSTEM}
본 발명은 통신시스템에서 단말을 인증하기 위한 방법 및 시스템에 관한 것으로서, 특히 무선통신 시스템에서 핸드오버에 따른 단말기의 재인증(reauthentication) 절차시 메시지 교환을 최소화하기 위한 방법 및 시스템에 관한 것이다.
다양한 이동통신 네트워크들(예를 들면, WiMAX, 3GPP2, WiFi)에서, EAP(Extensible Authentication Protocol)는 단말기가 네트워크에 액세스할 시 상기 단말기의 인증을 위해 이용된다. 상기 EAP는 네트워크를 액세스하려는 가입자와 상기 가입자의 홈 도메인(상기 가입자가 등록되어 있는 네트워크)에 있는 인증자 사이에서 암호화 인증(cryptographic authentication) 방법을 수행한다.
예들 들면, 상기 EAP는 단말기와 가입자의 홈 AAA(Authentication, Authorization, Accounting) 서버(RADIUS, DIAMETER) 사이에 수행된다. 상기 액세스 네트워크에 동작하며 단말기와 홈 AAA 서버 사이에서 EAP 패킷의 포워딩하는 것 을 처리하는 엔티티(entity)를 인증자(Authenticator)라 칭한다. 일반적으로, 상기 인증자는 액세스 게이트웨이(예: WiMAX에서의 ASN GW(Access Service Network Gateway), WiFi의 Access Controller)와 함께 같은 장소에 위치한다.
도 1는 종래기술에 따른 무선통신 시스템에서 네트워크 진입(network entry) 동안에 EAP 인증을 수행하는 단말기를 위한 호 흐름(call flow)을 도시하고 있다. 여기서, EAP는 MD5(Message Digest number 5), TLS(Transport Layer Security), SRP(Secure Remote Password) 등과 같은 실제 인증을 위한 인증 방식(method)을 캡슐화하여 전송하는 프로토콜을 나타낸다.
상기 도 1을 참조하면, 단말기(MT: Mobile Terminal)(100)가 인증자(Authenticator)(110)와의 물리 계층 접속(physical layer attachment)이 완료된 경우(131단계), 상기 단말기(100)와 인증자(110)는 상기 단말기(100)의 링크 계층 진입 절차를 시작한다. 이 경우, 상기 인증자(110)는 상기 단말기(100)의 인증을 위한 식별 정보를 요청하는 EAP 요청 메시지(EAP Request/Link-layer)를 상기 단말기(100)로 전송한다(133단계). 이때, 상기 단말기(100)와 인증자(110)는 상기 단말기(100)와 인증자(110) 사이에 위치하는 기지국을 통해 신호를 교환한다. 여기서, 상기 EAP 요청 메시지는 IEEE(Institute of Electrical and Electronics Engineers) 802.16 표준에서는 PKMv2 PKM-REQ/EAP-Transfer로 정의된다.
상기 단말기(100)는 상기 EAP 요청 메시지에 대한 응답으로 자신의 식별 정보를 포함하는 EAP 응답 메시지(EAP Response/Link-layer)를 상기 인증자(110)로 전송한다(135단계). 여기서, 상기 EAP 응답 메시지는 IEEE 802.16 표준에서는 PKM- RSP/EAP-Transfer로 정의된다.
상기 인증자(110)는 EAP 응답 메시지에 포함된 정보를 AAA 요청 메시지(EAP Response/AAA Request)에 포함시켜 AAA서버(120)로 전송한다(137단계).
상기 AAA 서버(120)는 AAA 요청 메시지를 통해 확인한 상기 단말기(100)의 식별 정보를 이용하여 EAP 인증 방식(method)을 결정한다. 이후, 상기 AAA 서버(120)는 상기 결정한 EAP 인증 방식 정보를 상기 인증자(110)를 통해 상기 단말기(100)로 전송한다(139단계, 141단계).
상기 단말기(100)는 상기 인증자(110)로부터 제공받은 EAP 요청 메시지를 통해 상기 AAA 서버(120)가 결정한 EAP 인증 방식을 확인한다. 이후, 상기 단말기(100)는 EAP 인증 방식에 필요한 정보를 상기 인증자(110)를 통해 상기 AAA서버(120)로 전송한다(143단계, 145단계). 이때, 상기 AAA 서버(120)와 인증 서버(110) 및 단말(100)은 패킷 유실에 대비하여 EAP 인증 방식 정보 및 EAP 인증 방식에 필요한 정보의 송수신(139단계부터 145단계)을 여러 번 반복 수행한다.
상기 AAA 서버(120)는 상기 인증 서버(110)로부터 제공받은 AAA 요청 메시지에 포함된 EAP 인증 방식에 필요한 상기 단말기(100)의 정보를 이용하여 상기 단말기(100)의 인증 여부를 만일, 상기 단말기(100)를 인증할 수 있는 경우, 상기 AAA 서버(120)는 인증 성공 메시지를 상기 인증자(110)를 통해 상기 단말(100)로 전송한다(147단계, 149단계).
이에 따라, 상기 단말(100)은 상기 인증자(110)와의 링크계층 접속을 완료한다(151단계). 또한, 상기 AAA 서버(120)는 상기 단말기(100)와 상기 인증자(110)의 링크계층 접속이 완료된 경우, 상기 인증자(110)에 대한 과금을 시작한다(AAA Accounting Start)(153단계).
상술한 인증 절차를 통해 AAA 서버로부터 인증받아 링크 계층 진입을 성공한 단말은 네트워크 서비스를 제공받는다.
하지만, 상기 도 1에 도시된 호 흐름(call flow)을 살펴보면, 인증자(110)와 AAA 서버(120) 사이에 많은 메시지가 교환된다. 두 개 망 요소(Network Element: NE)는 서로 매우 멀리 떨어져 있을 수 있다. 더욱이, 인증자(110)와 AAA 서버(120) 사이에서 교환되는 메시지들(139, 141, 143, 145 단계)이 몇 번 더 반복될지 모른다. 이로 인해, EAP 인증 때문에 초래되는 지연(delay)은 2-3초 늘어난다. 상기 EAP 인증 지연은 네트워크 진입 절차의 주공정선(Critical Path) 안에 있다. 따라서, 상기 EAP 인증 지연은 단말기의 네트워크 진입을 방해할 수 있다.
한편, 단말기가 다른 액세스 네트워크로 핸드오버를 수행할 때 상기 EAP 인증 지연이 초래되어, 실시간 데이터 통신 중에 호의 단절(Dropped Calls), 고정 비디오 스트림에 영향을 미칠 수 있다.
따라서, 무선통신 시스템에서 핸드오버 시 EAP 인증 대기시간(latency)을 최소화하기 위한 방법 및 시스템이 필요하다.
따라서, 본 발명의 목적은 무선통신 시스템에서 단말기의 인증에 따른 시간 지연을 줄이기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 다른 목적은 통신시스템에서 단말의 인증자(Authenticator)가 변경(relocation)되는 경우, 단말의 인증에 따른 시간 지연을 줄이기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 또 다른 목적은 무선통신 시스템에서 인증자의 기능을 변경하지 않고 단말기의 인증에 따른 시간 지연을 줄이기 위한 방법 및 시스템을 제공함에 있다.
본 발명의 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 무선통신 시스템에서 단말을 인증하기 위한 단말기 동작 방법에 있어서, 핸드오버 시에, 타깃 인증자(Authenticator)가 인증을 위한 네트워크액세스 식별자(Network Access Identifier: NAI) 정보를 요청할 시, 상기 NAI에 인증코드를 추가하여, 상기 NAI 정보를 포함한 응답 메시지를 상기 타깃 인증자로 전송하는 과정과, 상기 타깃 인증자로부터 상기 단말기 인증에 대해 성공할 시, 기존에 보유하고 있는 인증키와 랜덤상수 값을 입력으로 하는 해시 함수를 이용하여 새로운 인증키를 생성하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 목적들을 달성하기 위한 본 발명의 제 2 견지에 따르면, 무선통신 시스템에서 단말을 인증하기 위한 AAA(Authentication, Authorization, Accounting) 서버 동작 방법에 있어서, 타깃 인증자(Authenticator)로부터 인증코드가 첨부된 네트워크 액세스 식별자(Network Access Identifier: NAI) 정보를 수신하는 과정과, 상기 인증코드를 이용하여, 단말기의 인증을 검증하는 과정과,상기 단말기 인증 검증 후, 상기 인증코드를 이용하여 새로운 인증키를 생성하는 과정과, 상기 새로운 인증키를 상기 타깃 인증자에게 전송하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 목적들을 달성하기 위한 본 발명의 제 3 견지에 따르면, 무선통신 시스템에서 단말을 인증하기 위한 시스템에 있어서, 핸드오버 시에, 타깃 인증자(Authenticator)가 인증을 위한 네트워크액세스 식별자(Network Access Identifier: NAI) 정보를 요청할 시, 상기 NAI에 인증코드를 추가하여, 상기 NAI 정보를 포함한 응답 메시지를 상기 타깃 인증자로 전송하는 단말기와, 상기 인증코드가 첨부된 NAI를 AAA(Authentication, Authorization, Accounting) 서버로 중계하는 상기 타깃 인증자와, 상기 타깃 인증자(Authenticator)로부터 수신한 상기 인증코드가 첨부된 NAI 정보에서 상기 인증코드를 추출하여 상기 단말기의 인증을 검증하고, 새로운 인증키를 생성하여, 상기 새로운 인증키를 상기 타깃 인증자에게 전송하는 상기 AAA 서버를 포함한다.
상술한 바와 같이 무선통신 시스템에서 AAA 서버는 단말기가 전송한 서명된 NAI(Network Access Identifier)로부터 상기 단말기가 사용할 MSK(Master Session Key), EMSK(Extended Master Session Key)를 파생시킴으로써, EAP 인증에 따른 시간 지연을 줄일 수 있는 이점이 있다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 본 발명은 무선통신 시스템에서 핸드오버시 변경된 인증자를 통해 인증을 수행할 시, 확장 인증 프로토콜(EAP: Extensible Authentication Protocol) 인증에 따른 지연을 줄이기 위한 기술에 대해 설명한다.
이하 설명에서 링크계층 진입을 요청받은 인증자는 단말기가 EAP 메시지를 통해 전송하는 서명된 NAI(Network Access Identifier)를 AAA 서버로 중계하여, 상기 AAA 서버와 상기 단말기는 서로 각각 동일한 MSK와 EMSK를 파생시킨다.
도 2는 본 발명에 따른 무선통신 시스템의 구성을 도시하고 있다.
상기 도 2에 도시된 바와 같이 무선통신 시스템은 AAA(Authentication, Authorization, Accounting)서버(200), 인증자(Authenticator)를 포함하는 게이트웨이(Access Gateway)(210, 220), 기지국(212, 222) 및 단말기(230)을 포함하여 구성된다. 여기서, 상기 게이트웨이들은 각각 상기 단말기(230)에 대해 인증을 수행하는 인증자를 포함한다.
상기 단말기(230)는 기지국 1(212)에 접속하는 경우, 상기 단말기(230)는 게이트웨이 1(210)을 통해 상기 AAA서버(200)와의 인증 절차를 수행한다. 즉, 상기 단말기(230)와 상기 AAA 서버(200)는 게이트웨이 1(210)에 포함되는 인증자 1을 통해 인증 절차를 수행한다. 예를 들어, 상기 단말(230)이 초기 접속하는 경우, 상기 단말기(230)와 상기 AAA 서버(200)는 상기 인증자 1을 통해 상기 도 1에 도시된 바와 같이 EAP 인증을 수행한다.
상기 AAA 서버(200)로부터 인증받은 상기 단말기(230)는 기지국 2(222)의 서비스 영역으로 이동하는 경우, 상기 단말기(230)로 서비스를 제공하는 게이트웨이가 게이트웨이 2(220)로 변경된다. 이에 따라, 상기 단말기(230)는 서명된 NAI(Network Access Identifier)를 생성하여 EAP 메시지를 통해 상기 인증자 2로 전송한다. 상기 인증자 2는 별도의 처리 없이 수신한 서명된 NAI가 포함된 EAP 메시지를 AAA 서버(200)로 중계한다. 따라서, 상기 단말기(230)와 상기 AAA 서버(200)는 서명된 NAI의 정보를 각각 이용하여, 동일한 MSK, EMSK를 사용할 수 있게된다. 하기 도 3에 도시된 바와 같이 상기 단말기(230)에 대한 인증 절차를 수행한다.
도 3은 본 발명의 실시 예에 따른 무선통신 시스템에서 인증을 수행하기 위한 관련 네트워크 구성요소들 사이의 호 흐름(call flow)을 도시하고 있다.
상기 도 3을 참조하면, 초기에, 단말기(MT: Mobile Terminal)는 인증자가 pA(Previous Authenticator)인 pBS(Previous BS)을 통하여 액세스 망에 연결되어 있는 것을 고려한다(302). 그것은, 상기 단말기가 이미 pA을 통하여 AAA 서버로 EAP 인증을 수행하였다는 것을 의미한다. 즉, EAP 인증 절차를 통해, 단말기와 AAA 서버는 암호화(cryptographic) EAP 세션 키인 MSK(Master Session Key), 상기 MSK로부터 파생된 EMSK(Extended Master Session Key)를 보유하게 된다(304, 308). 또한, pBS는 MSK를 보유하게 된다(306).
이후, 단말기는 다른 액세스망에 핸드오버를 수행하기로 결정할 때, 이는 물리계층 연결(physical-layer attachment)을 수행하고 링크계층 진입 절차를 시작한다(310). 여기서, 상기 다른 액세스망에 사용된 인증자가 nA(new Authenticator)인 것을 고려한다.
상기 nA는 상기 단말기에 표준 EAP-Request/Identity 메시지를 전송함으로써, EAP에 기반한 액세스 인증을 시작한다(312).
이 새로운 스킴을 실행하지 않은 표준 단말기는, 일반 NAI(Network Access Identifier)를 전송하는 EAP Response/Identity 메시지로 EAP 요청에 응답한다. 일반 NAI는 use@realm과 같은 형식을 따른다.
만약, 이 새로운 스킴을 실행하는 강화된 단말기는, 서명된 NAI를 전송하는 EAP Response/Identity 메시지로 EAP 요청에 응답한다(314). 상기 서명된 NAI는 EAP 방식(예: EAP-TLS, EAP-AKA 등등)을 실행하지 않고, 홈 AAA 서버가 단말기를 인증할 수 있게 하는 서명(signature)을 포함한다. 여기서, 상기 서명된 NAI의 포맷은 하기 <수학식 1>과 같다.
{ac=ASCII print of Nonce1-ASCII print of Nonce2-ASCII print of EMSKhash} username@homerealm
상기 서명된 NAI는 인증 코드(authentication code)를 전달하는 "ac"라 불리는 장식(decoration)을 포함하는 장식된 NAI이다. 상기 장식에 표준 NAI의 username portion과 homerealm portion이 뒤따른다.
"ac" 장식은 하이픈(hyphen)(“-”)에 의해 구분되는 3개 부분으로 구성된다.
Nonce1와 Nonce2 값은 단말기에 의해 생성된 수들이다. Nonce1는 감소하지 않고 증가하는(monotonically-increasing) 수이다. 즉, 상기 Nonce1은 EAP인증 절차를 수행할 때마다 이전 사용했던 Nonce1보다 일정값(일례로, 1만큼)을 증가시켜 사용하다. 그리고, Nonce2는 랜덤하게 발생하는 수이다. Nonce1와 Nonce2 값은 재사용 공격 방지(Replay Protection)을 방지하기 위해 필요하다. 상기 재사용 공격 방지는 전자서명과 같은 암호화된 데이터를 주고받을 때 권한 없는 공격자가 이를 복사했다가 나중에 사용해 합법적인 이용자로 위장하는 것을 방지하는 것이다. 상기 서명된 NAI는 그들의 2진 표현들(그것은 표준 NAI 포맷 안에 수용될 수 없는)보다 오히려 그 수의 ASCII 문자코드로 표현된다.
EMSKhash는 EMSK의 일방향 해쉬(one-way hash)이고 그리고 상기 EMSKhash는 홈 AAA 서버에서 단말기가 실제 EMSK를 보유하여 인증되는(authentic) 것을 증명하기 위해, 단말기에 의해 사용된다. EMSKhash는 하기 <수학식 2>에 따라서 단말기에 의해 결정된다.
EMSKhash = hash(EMSK, Nonce1)
즉, EMSKhash는 보유하고 있는 EMSK와 생성한 Nonce1을 입력으로 하는 해시함수에 의해 생성된 해시 값이다.
또한, Nonce 표현과 유사하게, 상기 EMSKhash는 2진 포맷이 아니라 NAI에 ASCII 문자코드로 표현되어 사용된다. 상기 hash는 일방향 암호화 해시 함수이다. 예를 들면, 상기 해시 함수는 HMAC-SHA256[SHA256]이다. 상기 해시 함수는 단말기와 홈 AAA 서버에 동일한 함수로 사용될 시 어떠한 해시 함수도 적용될 수 있다. 단말기는 상기 계산을 위해 마지막 만료되지 않은 EMSK을 사용한다.
다음은 서명된 NAI 예이다.
{ac=63456-23449-2349872510872345087234985234989273458925578654}joe@ hnsp.com
상기 nA는 EAP-Response/Identity 메시지를 수신할 때, 상기 nA는 홈 AAA Request 메시지를 통해 홈 AAA 서버로 중계한다(316). 상기 nA는 표준 절차와 비교해서 어떤 특별한 방법 내에서 상기 EAP-Response를 처리할 필요가 없다.
상기 홈 AAA 서버가 AAA request 메시지를 nA로부터 수신할 시. 만약 홈 AAA 서버가 새로운 스킴를 수행하지 않은 표준 AAA 서버라면, 홈 AAA 서버는 "ac" 장식을 인지할 수 없으며 그것을 무시한다. 그러한 홈 AAA 서버는 NAI의 표준 부분(username, homerealm)들을 인식하고 적합한 EAP 방식(예를 들면, EAP-TLS, EAP-AKA, 등등)을 수행함으로써, 표준 절차를 따른다.
새로운 스킴을 수행하는 강화된 홈 AAA 서버는 EMSKhash을 증명하기 위해 "ac" 장식을 분해한다(parses)(318). 이를 위해 EMSKhash를 생성하는 상기 <수학식 2>을 사용한다. 홈 AAA 서버가 게다가 단말기가 사용하는 EMSK을 알고 있기 때문에, 홈 AAA 서버는 또한 NAI의 송신자가 EMSKhash를 증명함으로써 동일한 값을 보유한다는 것을 확인할 수 있다.
홈 AAA 서버는 Nonce1 값이 정상적인 값인지를 확인할 필요가 있다. 그 목적은 홈 AAA 서버에서 MSK 혹은 EMSK 수명(lifetime) 동안에 다음(next) Nonce1 값이 이전 Nonce1 보다 더 큰지 확인하기 위해, 이전에 사용된 Nonce1 값을 저장한다. 만약 홈 AAA 서버가 사용된 이전 Nonce1 값보다 작거나 같은 Nonce1 값을 수신하면, 이때 그것은 상기 EMSKhash 검증(verification)이 실패한 것으로 간주된다.그 중간값이 전송시 손실될 때, 그 후에 수신된 Nonce1 값은 즉시 서로 따르지 않도록 해야 한다. 즉, 누군가에 의해 재사용 공격이 발생할 시, 종래 EAP 인증 절차(도 1의 EAP 인증 절차)를 수행한다. 또한, 만약, MSK 혹은 EMSK이 만료될 시 혹은 Nonce1가 최대 가능한 값에 이를 때, 종래 EAP 인증 절차(도 1의 EAP 인증 절차)를 수행한다.
여기서, 단말기에서 생성되는 초기 nonce1 값은 홈 AAA 서버에 초기 nonce1 보다 크게 설정한다.
즉, Nonce1가 최대 가능한 값에 이를 때까지 혹은 MSK 혹은 EMSK이 만료될 때까지, 홈 AAA 서버는 재사용 공격을 방지하기 위해 정상적인 nonce1 값을 저장해야 한다. 상기 정상적인 Nonce1 값은 현재 수신된 nonce1 값이 이전에 nonce1 값이 클 경우, 상기 현재 수신된 nonce1 값이 정상적인 nonce1 값이 된다. 종래 EAP 인증 절차(도 1의 EAP 인증 절차)를 수행한다.
만약 EMSKhash 검증이 실패하면, 홈 AAA 서버는 적합한 EAP 방식(예를 들면, EAP-TLS, EAP-AKA, 등등)을 수행함으로써 표준 절차를 따른다(도시하지 않음).
만약 EMSKhash 검증이 성공하면, 홈 AAA 서버는 하기 <수학식 3>에 따라 사용될 새로운 MSK’와 EMSK’ 값을 계산한다.
MSK' = hash(MSK, Nonce2)
EMSK' = hash(EMSK, Nonce2)
MSK'는 기존 MSK(308)와 단말기로부터 수신한 Nonce2 값을 입력 값으로 하는 해시 함수의 해쉬 값으로 결정되고, EMSK'는 기존 EMSK(308)와 단말기로부터 수신한 Nonce2 값을 입력 값으로 하는 해시 함수의 해쉬 값으로 결정된다.
다른 실시 예에 따라서, 상기 Nonce 2 대신, 다른 입력 변수, 예를 들면 상기 단말기와 상기 홈 AAA 서버 사이에 이미 알려진 정보(예: NAI, 단말식별자, MAC 주소, username, homerealm, 네트워크 주소, 라벨정보(즉, MSK' 앞에 " "으로 첨부되는 내용)) 등을 이용하여 MSK'를 생성할 수도 있다. 혹은 MSK과 Nonce2 이외에 상기 단말기와 상기 홈 AAA 서버 사이에 이미 알려진 정보를 추가 입력 값으로 하여 MSK'를 생성할 수 있다. 마찬가지로, EMSK'도 상기 Nonce2 대신 혹은 추가 입력 값으로 다른 입력 변수를 이용할 수 있다.
여기서, hash는 일방향 암호화 해시 함수이다. 예를 들면, HMAC-SHA256이다. 단말기와 홈 AAA 서버에 모두에 동일한 함수가 사용되는 동안에, 본 발명에서는 어떤 해시 함수도 선택될 수 있다.
홈 AAA 서버는 AAA 수락(AAA accept) 메시지를 생성하여 nA에 EAP-Success 메시지와 생성된 MSK'를 전달한다(320).
상기 nA는 표준 방식으로 들어오는 AAA 메시지를 처리하고 성공적인 결과를 인지하고 새롭게 수신된 MSK’를 저장한다(322). 그리고 상기 nA는 단말기에 EAP-Success을 중계한다(324).
EAP-Response/Identity 전송 후(314), 즉시 상기 EAP-Success 메시지의 수신은 본 발명의 성공적인 실행을 가리킨다. 따라서, 단말기는 MSK'과 EMSK' 값을 계산하는 것을 위해 앞에 기술한 <수학식 3>을 이용한다(326).
만약 단말기가 EAP 방식 요구를 받으면, 이는 새로운 스킴이 따르게 되고 있지 않다라고 결정한다. 그 경우에는, 단말기는 종래에 표준 EAP 방식 절차를 따른다.
이후, AAA 절차에서 3웨이 핸드쉐이크(3-way handshake)(328)와 과금 시작 절차(330)가 계속 수행된다.
도 4는 본 발명의 실시 예에 따른 무선통신 시스템에서 빠른 인증을 수행하기 위한 단말기 동작 흐름도를 도시하고 있다.
상기 도 4를 참조하면, 단말기는 400단계에서 다른 액세스 망으로 핸드오버를 수행할 시, 402 단계로 진행하여, 타깃 기지국과 물리계층 연결(physical-layer attachment)을 수행하고 링크계층 진입 절차를 시작한다.
여기서, 상기 단말기는 핸드오버를 수행하기 전에 서빙 기지국을 통해 서빙 액세스 망에 연결되었고, AAA 서버로 EAP 인증을 수행되어, 암호화 EAP 세션 키인 MSK, 상기 MSK로부터 파생된 EMSK를 보유하고 있다.
상기 단말기는 404단계에서 타깃 인증자로부터 EAP 요청 메시지를 수신하고, 406단계에서 NAI에 서명을 한다. 즉, 종래 NAI에 상기 AAA 서버에서 상기 단말기를 인증코드를 포함한다. 여기서, 상기 서명된 NAI의 포맷은 상기 <수학식 1>과 같다.
상기 인증코드("ac")는 Nonce1, Nonce2, EMSKhash으로 구성된다. 상기 Nonce1는 감소하지 않고 증가하는 수이고(구현에 따라서, 최대 값으로부터 증가하지 않는 감소하는 수를 이용할 수도 있음). 그리고, Nonce2는 랜덤하게 발생하는 수이다. EMSKhash는 EMSK의 일방향 해쉬(one-way hash)이고 그리고 상기 EMSKhash는 상기 AAA 서버에서 상기 단말기가 실제 EMSK를 보유하여 인증되는(authentic) 것을 증명하기 위해, 단말기에 의해 사용된다. EMSKhash는 상기 <수학식 2>에서 처럼 보유하고 있는 EMSK와 생성한 Nonce1을 입력으로 하는 해시함수에 의해 생성된 해시 값이다.
이후, 상기 단말기는 408단계에서 타깃 인증자에 서명된 NAI를 포함한 EAP 응답 메시지를 전송하고, 410단계에서 타깃 인증자로부터 EAP 성공 메시지를 수신한다.
이후, 상기 단말기는 412단계에서 EAP 성공 메시지를 수신할 시, 상기 <수학식 3>에서 처럼 기존 만료되지 않은 MSK와 기존 생성한 Nonce2를 이용하여 새롭게 MSK'를 생성한다.
이후, 상기 단말기는 414 단계에서 상기 MSK'를 이용하여 타깃 인증자와 3-way handshake를 수행한다. 상기 타깃 인증자도 AAA 서버로부터 수신한 MSK'를 보유하고 있으며, 상기 단말기에서 결정된 MSK'과 상기 타깃 인증자가 보유한 MSK'은 동일하다.
도 5는 본 발명의 실시 예에 따른 무선통신 시스템에서 빠른 인증을 수행하기 위한 AAA 서버 동작 흐름도를 도시하고 있다.
상기 도 5를 참조하면, AAA 서버는 500단계로부터 타깃 인증자로부터 AAA 요청 메시지를 수신할 시, 502단계로 진행하여 단말기가 AAA 요청 메시지에 서명된 NAI를 이용하는지를 판단하여, 서명된 NAI를 이용하지 않을 시 508단계로 진행하여 표준 EAP 절차에 따라 인증을 수행한다.
만약, 서명된 NAI를 이용할 시, 504단계에서 서명된 NAI가 검증되었는지를 확인한다. 예를 들면, 서명된 NAI로부터 Nonce1, Nonce2, EMSKhash 정보를 분석하고, 저장되어 있는 Nonce1과 분석된 Nonce1 값을 비교하여 재사용 공격이 있었는지를 검증한다. 또한, 단말기와 동일한 해시 함수를 기반으로 만료되지 않은 EMSK와 분석된 Nonce1을 입력으로 해시 값을 생성하여 분석된 EMSKhash 값하고 동일하지를 비교하여 서명된 NAI를 검증한다.
이후, 상기 AAA 서버는 506 단계에서 서명된 NAI가 검증될 시 MSK'과 EMSK'를 생성한다.
이후, 상기 AAA 서버는 510단계에서 타깃 인증자에게 생성한 MSK'과 함께 AAA 수락 메시지를 전송한다.
상술한 실시 예에서 PA는 단말의 인증 변수를 폐기하지 않은 것으로 가정하였다. 하지만, PA가 단말의 인증 변수를 폐기한 경우, 상기 PA는 인증 서버 변경을 요청한 인증 서버로 인증 서버 변경 실패 신호를 전송할 수도 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능하다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 종래 기술에 따른 무선통신 시스템에서 단말의 인증 절차를 도시하는 도면,
도 2는 본 발명에 따른 무선통신 시스템의 구성을 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 인증 서버에서 단말을 인증하기 위한 절차를 도시하는 도면,
도 4는 본 발명의 실시 예에 따른 AAA 서버에서 단말의 인증 서버를 변경하기 위한 절차를 도시하는 도면, 및
도 5는 본 발명의 실시 예에 따른 무선통신시스템에서 단말의 인증 서버를 변경하기 위한 절차를 도시하는 도면.
*

Claims (20)

  1. 무선통신 시스템에서 단말 인증을 위한 단말기 동작 방법에 있어서,
    기지국과 접속 수행시, 타깃 인증자(Authenticator)로부터 상기 단말 인증을 위한 네트워크액세스 식별자(Network Access Identifier: NAI) 정보를 요청하는 메시지를 수신하는 과정과,
    상기 NAI에, 감소하지 않고 증가하는(monolithically increasing) 제1 상수, 랜덤하게 생성되는 제2 상수 및, 상기 제1 상수와 기존에 보유하고 있는 인증키를 이용하여 해쉬 함수(hash function)에 의해 생성되는 해쉬 값을 포함하는 인증코드를 추가하는 과정과,
    상기 인증코드가 추가된 NAI 정보를 포함한 응답 메시지를 상기 타깃 인증자로 전송하는 과정과,
    상기 타깃 인증자로부터 인증 성공 메시지를 수신하는 경우, 상기 기존에 보유하고 있는 인증키와 상기 제2 상수 및 상기 해쉬 함수를 이용하여 새로운 인증키를 생성하는 과정을 포함하고,
    상기 제1 상수는, 상기 제1 상수의 종전 값과 현재 값의 비교를 통하여 상기 해쉬 값을 검증하기 위하여 사용되는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 제2 상수는, 상기 새로운 인증키를 생성하기 위하여 사용되는 것을 특징으로 하는 방법.
  3. 제 1항에 있어서,
    상기 제1 상수, 상기 제2 상수 및 상기 해쉬 값은 하이픈(hyphen)에 의해 구분하는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 새로운 인증키는, 암호화(cryptographic) EAP(Extensible Authentication Protocol) 세션 키인 MSK(Master Session Key) 또는 상기 MSK로부터 파생된 EMSK(Extended Master Session Key)인 것을 특징으로 하는 방법.
  5. 제 1항에 있어서,
    상기 새로운 인증키를 이용하여, 상기 타깃 인증자와 3-웨이 핸드쉐이크(3-way handshake)를 수행하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  6. 제 1항에 있어서,
    상기 타깃 인증자로부터 상기 인증 성공 메시지를 수신하지 않은 경우, 표준 EAP(Extensible Authentication Protocol) 절차를 수행하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  7. 제 1항에 있어서,
    상기 인증 코드를 생성하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  8. 제 7항에 있어서,
    상기 인증 코드를 생성하는 과정은,
    미리 정의된 스킴(scheme)에 따라, 기존에 보유하고 있는 제1 상수 값을 증가시키거나 감소시켜 새로운 상기 제1 상수를 생성하는 과정과,
    랜덤하게 상기 제2 상수를 생성하는 과정과,
    상기 제1 상수와 상기 기존에 보유하고 있는 인증키를 이용하여 상기 해쉬 값을 생성하는 과정과,
    상기 제1 상수, 상기 제2 상수 및 상기 해쉬 값을 하이픈(hypen)에 의해 구분하는 과정을 포함하는 것을 특징으로 하는 방법.
  9. 무선통신 시스템에서 단말을 인증하기 위한 AAA(Authentication, Authorization, Accounting) 서버 동작 방법에 있어서,
    타깃 인증자(Authenticator)로부터, 감소하지 않고 증가하는 (monolithically increasing) 제1 상수, 랜덤하게 생성되는 제2 상수 및, 상기 제1 상수와 기존에 보유하고 있는 인증키를 이용하여 해쉬 함수(hash function)에 의해 생성되는 해쉬 값을 포함하는 인증코드가 포함된 네트워크 액세스 식별자(Network Access Identifier: NAI) 정보를 수신하는 과정과,
    상기 인증코드를 이용하여, 단말기의 인증을 검증하는 과정과,
    상기 단말기의 인증 검증 후, 상기 인증코드를 이용하여 새로운 인증키를 생성하는 과정과,
    상기 새로운 인증키를 상기 타깃 인증자에게 전송하는 과정을 포함하고,
    상기 제1 상수는, 상기 제1 상수의 종전 값과 현재 값의 비교를 통하여 상기 해쉬 값을 검증하기 위하여 사용되는 것을 특징으로 하는 방법.
  10. 제 9항에 있어서,
    상기 제2 상수는, 상기 새로운 인증키를 생성하기 위하여 사용되는 것을 특징으로 하는 방법.
  11. 제 9항에 있어서,
    상기 새로운 인증키는, 암호화(cryptographic) EAP(Extensible Authentication Protocol) 세션 키인 MSK(Master Session Key) 또는 상기 MSK로부터 파생된 EMSK(Extended Master Session Key)인 것을 특징으로 하는 방법.
  12. 제 9항에 있어서,
    상기 인증코드를 이용하여, 단말기의 인증을 검증하는 과정은,
    상기 인증코드의 상기 제1 상수와 기존에 저장된 제1 상수와 비교하는 과정을 포함하는 것을 특징으로 하는 방법.
  13. 제 9항에 있어서,
    상기 인증코드를 이용하여, 단말기의 인증을 검증하는 과정은,
    상기 인증코드로부터 상기 제1 상수와 상기 해쉬 값을 추출하는 과정과,
    상기 제1 상수와 기존 인증키를 이용하여 제2 해쉬 값을 생성하는 과정과,
    추출된 상기 해쉬 값과 상기 제2 해쉬 값을 비교하는 과정을 포함하는 것을 특징으로 하는 방법.
  14. 제 13항에 있어서,
    상기 인증코드로부터 추출된 상기 제1 상수 값을 저장하는 과정을 포함하는 것을 특징으로 하는 방법.
  15. 제 9항에 있어서,
    상기 단말기의 인증에 대한 검증에 실패할 시, 표준 EAP(Extensible Authentication Protocol) 절차를 따르는 것을 특징으로 하는 방법.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
KR1020090118092A 2009-12-01 2009-12-01 무선통신 시스템에서 인증방법 및 시스템 KR101718096B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090118092A KR101718096B1 (ko) 2009-12-01 2009-12-01 무선통신 시스템에서 인증방법 및 시스템
US12/957,946 US8705734B2 (en) 2009-12-01 2010-12-01 Method and system for authenticating a mobile terminal in a wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090118092A KR101718096B1 (ko) 2009-12-01 2009-12-01 무선통신 시스템에서 인증방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20110061440A KR20110061440A (ko) 2011-06-09
KR101718096B1 true KR101718096B1 (ko) 2017-03-20

Family

ID=44068923

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090118092A KR101718096B1 (ko) 2009-12-01 2009-12-01 무선통신 시스템에서 인증방법 및 시스템

Country Status (2)

Country Link
US (1) US8705734B2 (ko)
KR (1) KR101718096B1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102196407B (zh) * 2010-03-18 2015-09-16 中兴通讯股份有限公司 锚定鉴权器重定位方法及系统
US20130022199A1 (en) * 2011-07-18 2013-01-24 Electronics And Telecommunications Research Institute Encryption method and apparatus for direct communication between terminals
KR20140124157A (ko) 2013-04-16 2014-10-24 삼성전자주식회사 무선 네트워크에서 키 하이어라키 생성 장치 및 방법
US20160134610A1 (en) * 2014-11-11 2016-05-12 Qualcomm Incorporated Privacy during re-authentication of a wireless station with an authentication server
US10044583B2 (en) 2015-08-21 2018-08-07 Barefoot Networks, Inc. Fast detection and identification of lost packets
CN108540493B (zh) * 2018-04-28 2021-05-04 深圳佰才邦技术有限公司 认证方法、用户设备、网络实体以及业务侧服务器
US11997212B2 (en) * 2019-06-26 2024-05-28 Micron Technology, Inc. Payload validation for a memory system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755394B1 (ko) 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20080168537A1 (en) * 2007-01-09 2008-07-10 Futurewei Technologies, Inc. Service Authorization for Distributed Authentication and Authorization Servers
US20090217033A1 (en) * 2005-06-29 2009-08-27 Luciana Costa Short Authentication Procedure In Wireless Data Communications Networks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
GB0400694D0 (en) * 2004-01-13 2004-02-18 Nokia Corp A method of connection
US20050272466A1 (en) * 2004-05-03 2005-12-08 Nokia Corporation Selection of wireless local area network (WLAN) with a split WLAN user equipment
US20060019635A1 (en) * 2004-06-29 2006-01-26 Nokia Corporation Enhanced use of a network access identifier in wlan
CA2642822C (en) * 2006-03-31 2013-01-15 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
KR101407573B1 (ko) * 2007-12-18 2014-06-13 한국전자통신연구원 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법
EP2079253A1 (en) * 2008-01-09 2009-07-15 Panasonic Corporation Non-3GPP to 3GPP network handover optimizations
US8245039B2 (en) * 2008-07-18 2012-08-14 Bridgewater Systems Corp. Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization
US8131296B2 (en) * 2008-08-21 2012-03-06 Industrial Technology Research Institute Method and system for handover authentication
JPWO2010092764A1 (ja) * 2009-02-13 2012-08-16 パナソニック株式会社 ゲートウェイ接続方法及びゲートウェイ接続制御システム並びに移動端末

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090217033A1 (en) * 2005-06-29 2009-08-27 Luciana Costa Short Authentication Procedure In Wireless Data Communications Networks
KR100755394B1 (ko) 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20080168537A1 (en) * 2007-01-09 2008-07-10 Futurewei Technologies, Inc. Service Authorization for Distributed Authentication and Authorization Servers

Also Published As

Publication number Publication date
US20110129088A1 (en) 2011-06-02
KR20110061440A (ko) 2011-06-09
US8705734B2 (en) 2014-04-22

Similar Documents

Publication Publication Date Title
US8533461B2 (en) Wireless local area network terminal pre-authentication method and wireless local area network system
US8887251B2 (en) Handover method of mobile terminal between heterogeneous networks
KR100978052B1 (ko) 일반 부트스트래핑 아키텍처(gba)의 인증 환경 설정관련 모바일 노드 아이디 제공 장치, 방법 및 컴퓨터프로그램 생성물
Mun et al. 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA
US8881235B2 (en) Service-based authentication to a network
US9668139B2 (en) Secure negotiation of authentication capabilities
EP2296392A1 (en) Authentication method, re-certification method and communication device
CN105828332B (zh) 一种无线局域网认证机制的改进方法
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
US8959333B2 (en) Method and system for providing a mesh key
KR101718096B1 (ko) 무선통신 시스템에서 인증방법 및 시스템
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
US20120204027A1 (en) Authentication method and apparatus in a communication system
KR20180057665A (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
KR101655264B1 (ko) 통신시스템에서 인증 방법 및 시스템
TW200522647A (en) System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
WO2010012201A1 (zh) 鉴权方法、通信装置和通信系统
KR20080086127A (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
WO2009074050A1 (fr) Procede, systeme et appareil d&#39;authentification de dispositif de point d&#39;acces
US9532218B2 (en) Implementing a security association during the attachment of a terminal to an access network
JP5399509B2 (ja) 通信システムにおける競り下げ攻撃の防止
CN111526008B (zh) 移动边缘计算架构下认证方法及无线通信系统
WO2012068801A1 (zh) 移动终端的认证方法及移动终端
WO2016065847A1 (zh) WiFi分流的方法、装置及系统
KR20130085170A (ko) 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치

Legal Events

Date Code Title Description
AMND Amendment
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
FPAY Annual fee payment

Payment date: 20200227

Year of fee payment: 4