KR101898934B1 - 통신 시스템에서 인증 방법 및 장치 - Google Patents

통신 시스템에서 인증 방법 및 장치 Download PDF

Info

Publication number
KR101898934B1
KR101898934B1 KR1020140035355A KR20140035355A KR101898934B1 KR 101898934 B1 KR101898934 B1 KR 101898934B1 KR 1020140035355 A KR1020140035355 A KR 1020140035355A KR 20140035355 A KR20140035355 A KR 20140035355A KR 101898934 B1 KR101898934 B1 KR 101898934B1
Authority
KR
South Korea
Prior art keywords
authentication
authentication key
key
terminal
server
Prior art date
Application number
KR1020140035355A
Other languages
English (en)
Other versions
KR20150111687A (ko
Inventor
이덕기
강보경
손중제
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020140035355A priority Critical patent/KR101898934B1/ko
Priority to EP15161068.0A priority patent/EP2925036B1/en
Priority to US14/669,706 priority patent/US9532220B2/en
Publication of KR20150111687A publication Critical patent/KR20150111687A/ko
Application granted granted Critical
Publication of KR101898934B1 publication Critical patent/KR101898934B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

통신 시스템에서 인증 방법 및 장치에 관한 것으로서, 상호 인증을 위한 서버의 방법은, 네트워크 접속을 요청하는 사용자 단말의 식별 정보를 수신하는 과정과, 상기 서버에 연결된 데이터베이스로부터 상기 식별 정보에 대응하는 제 1 인증 키 검색을 시도하는 과정과, 상기 데이터베이스의 오류 상황이 감지될 시, 상기 사용자 단말의 인증을 위한 인증 키 타입을 결정하는 과정과, 상기 결정된 타입의 인증 키를 이용하여 상기 사용자 단말의 인증을 수행하는 과정을 포함하며, 상기 인증 키 타입은 외부 서버에 저장된 각 사용자 단말의 인증 키인 제 2 인증 키와 상기 서버 내 저장 장치에 저장된 공용 인증 키인 제 3 인증 키 중 적어도 하나를 포함할 수 있다.

Description

통신 시스템에서 인증 방법 및 장치{APPARATUS AND METHOD FOR AUTHENTICATION IN WIRELESS COMMUNICATION SYSTEM}
본 발명은 통신 시스템에서 인증에 관한 것으로서, 특히 단말의 네트워크 접속을 위한 인증 및 키 합의(Authentication and Key Agreement)에 관한 것이다.
이동통신 표준 규격을 제정하는 표준단체인 3GPP(3rd Generation Partnership Project)에서는 이동통신 단말이 네트워크에 접속할 때, 단말과 네트워크 사이에 상호인증 규격인 AKA(Authentication and Key Agreement) 프로토콜을 제시하고 있다.
AKA 프로토콜에 따르는 상호인증 절차를 간략히 설명하면 다음과 같다. 먼저, 단말이 네트워크에 접속하기 위해 자신의 식별 정보를 네트워크로 전송한다. 이후, 네트워크에서 AuC(Authentication Center) 서버가 AuC의 데이터베이스로부터 단말의 식별정보에 매핑된 AKA 키 값을 검색하고, 검색된 AKA 키 값을 기반으로 인증 토큰을 생성한다. 이후, AuC에서 생성된 인증 토큰은 단말로 전송되고, 단말은 자신이 보유한 AKA 키 값을 기반으로 인증 토큰을 생성한 후, 생성된 인증 토큰과 네트워크로부터 수신된 인증 토큰을 비교한다. 생성된 인증 토큰과 네트워크로부터 수신된 인증 토큰이 동일한 경우 단말은 네트워크로 인증 성공을 알리는 신호를 전송하여 네트워크에 접속할 수 있다.
상술한 바와 같이, AKA 프로토콜에 따르면 단말과 AuC 서버는 사전에 인증 키를 공유하도록 설정되며, 단말이 실제로 네트워크에 접속하고자 하는 경우에 단말과 AuC 서버가 동일한 인증 키를 공유하고 있는지 검증한다. 이때, 검증이 성공되면, 단말과 AuC 서버 간에 키 합의가 성립되어 통신 트래픽의 보안에 이용될 세션 키를 생성할 수 있다. 반면, 단말과 AuC가 서로 동일한 인증 키를 보유하고 있는지에 대한 검증이 실패되면, AKA 인증은 실패하게 되고, 해당 단말은 네트워크에 접속하지 못하게 된다.
따라서, AuC 서버 혹은 AuC 데이터베이스에 장애가 발생하는 경우, 해당 네트워크를 지원하는 모든 단말이 AKA 인증을 실패하게 되어 네트워크에 접속하지 못하는 상황이 발생될 수 있다.
따라서, 본 발명의 실시 예는 이동통신 네트워크에서 AuC(Authentication Center) 서버 혹은 AuC 데이터베이스에 장애가 발생된 비정상적인 상황에서도 사용자 단말이 네트워크에 접속하여, 통신 서비스를 정상적으로 이용할 수 있도록 하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 다른 실시 예는 통신 시스템에서 AuC(Authentication Center) 서버 혹은 AuC 데이터베이스에 장애가 발생된 경우, 모든 사용자 단말에 대해 공통으로 사용되는 인증 키를 이용하여 상호 인증 절차를 수행하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 또 다른 실시 예는 통신 시스템에서 AuC(Authentication Center) 서버 혹은 AuC 데이터베이스에 장애가 발생된 경우, 각 사용자 단말과 OTA(Over The Air)서버 사이에 미리 공유된 OTA 키를 이용하여 상호 인증 절차를 수행하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 또 다른 실시 예는 통신 시스템에서 AuC(Authentication Center) 서버 혹은 AuC 데이터베이스에 장애가 발생된 경우, 미리 설정된 정책에 따라 공통 인증 키와 OTA 키 중에서 어느 하나를 선택하여 상호 인증 절차를 수행하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 서버의 방법은, 네트워크 접속을 요청하는 사용자 단말의 식별 정보를 수신하는 과정과, 상기 서버에 연결된 데이터베이스로부터 상기 식별 정보에 대응하는 제 1 인증 키 검색을 시도하는 과정과, 상기 데이터베이스의 오류 상황이 감지될 시, 상기 사용자 단말의 인증을 위한 인증 키 타입을 결정하는 과정과, 상기 결정된 타입의 인증 키를 이용하여 상기 사용자 단말의 인증을 수행하는 과정을 포함하며, 상기 인증 키 타입은 외부 서버에 저장된 각 사용자 단말의 인증 키인 제 2 인증 키와 상기 서버 내 저장 장치에 저장된 공용 인증 키인 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 네트워크 노드의 방법은, 네트워크 접속을 요청하는 사용자 단말의 식별 정보를 인증 서버로 전송하여 인증 정보 전송을 요청하는 과정과, 상기 인증 서버의 오류 상황이 감지될 시, 상기 사용자 단말의 인증을 위한 인증 키 타입을 결정하는 과정과, 상기 결정된 타입의 인증 키를 이용하여 상기 사용자 단말의 인증을 수행하는 과정을 포함하며, 상기 인증 키 타입은 외부 서버에 저장된 각 사용자 단말별 인증 키인 제 2 인증 키와 상기 네트워크 노드 내 저장 장치에 저장된 공용 인증 키인 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 사용자 단말의 방법은, 네트워크 접속을 위해 상기 사용자 단말의 식별 정보를 네트워크 노드로 전송하는 과정과, 상기 네트워크 노드로부터 인증 키 타입 정보를 포함하는 인증 토큰을 수신하는 과정과, 상기 사용자 단말에 저장된 서로 다른 타입의 인증 키들 중에서 상기 인증 키 타입 정보에 대응되는 인증 키를 이용하여 인증 토큰을 생성하는 과정과, 상기 수신된 인증 토큰과 상기 생성된 인증 토큰을 비교하여 인증 성공 여부를 판단하는 과정을 포함하며, 상기 서로 다른 타입의 인증 키는, 각각의 사용자 단말과 인증 서버가 공유하는 제 1 인증키와 각각의 사용자 단말과 외부 서버가 공유하는 제 2 인증키와 모든 사용자 단말과 적어도 하나의 네트워크 노드 및 인증 서버가 공유하는 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 서버의 장치는, 네트워크 노드 및 외부 서버 중 적어도 하나와 통신하는 통신부와, 네트워크 접속을 요청하는 사용자 단말의 식별 정가 수신될 시, 상기 서버에 연결된 데이터베이스로부터 상기 식별 정보에 대응하는 제 1 인증 키 검색을 시도하고, 상기 데이터베이스의 오류 상황이 감지될 시, 상기 사용자 단말의 인증을 위한 인증 키 타입을 결정하고, 상기 결정된 타입의 인증 키를 이용하여 상기 사용자 단말의 인증을 수행하는 제어부를 포함하며, 상기 인증 키 타입은 외부 서버에 저장된 각 사용자 단말의 인증 키인 제 2 인증 키와 상기 서버 내 저장 장치에 저장된 공용 인증 키인 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 네트워크 노드의 장치는, 인증 서버, 다른 네트워크 노드, 및 외부 서버 중 적어도 하나와 통신하는 통신부와, 네트워크 접속을 요청하는 사용자 단말의 식별 정보를 인증 서버로 전송하여 인증 정보 전송을 요청하고, 상기 인증 서버의 오류 상황이 감지될 시, 상기 사용자 단말의 인증을 위한 인증 키 타입을 결정하고, 상기 결정된 타입의 인증 키를 이용하여 상기 사용자 단말의 인증을 수행하는 제어부를 포함하며, 상기 인증 키 타입은 외부 서버에 저장된 각 사용자 단말별 인증 키인 제 2 인증 키와 상기 네트워크 노드 내 저장 장치에 저장된 공용 인증 키인 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명의 실시 예에 따르면, 통신 시스템에서 상호 인증을 위한 사용자 단말의 장치는, 네트워크 노드와 통신하는 통신부와, 네트워크 접속을 위해 상기 사용자 단말의 식별 정보를 네트워크 노드로 전송하고, 상기 네트워크 노드로부터 인증 키 타입 정보를 포함하는 인증 토큰이 수신될 시, 상기 사용자 단말에 저장된 서로 다른 타입의 인증 키들 중에서 상기 인증 키 타입 정보에 대응되는 인증 키를 이용하여 인증 토큰을 생성하고, 상기 수신된 인증 토큰과 상기 생성된 인증 토큰을 비교하여 인증 성공 여부를 판단하는 가입자 식별 모듈을 포함하며, 상기 서로 다른 타입의 인증 키는, 각각의 사용자 단말과 인증 서버가 공유하는 제 1 인증키와 각각의 사용자 단말과 외부 서버가 공유하는 제 2 인증키와 모든 사용자 단말과 적어도 하나의 네트워크 노드 및 인증 서버가 공유하는 제 3 인증 키 중 적어도 하나를 포함할 수 있다.
본 발명 실시 예에서는 통신 시스템에서 AuC 서버 혹은 AuC 데이터베이스에 장애가 발생된 경우, 모든 사용자 단말에 대해 공통으로 사용되는 인증 키 혹은 사용자 단말 별로 보유된 OTA(Over The Air) 키를 이용하여 상호 인증 절차를 수행함으로써, AuC 서버 혹은 AuC 데이터베이스에 장애가 발생된 비정상적인 상황에서도 사용자 단말이 네트워크에 접속하여, 통신 서비스를 정상적으로 이용할 수 있는 효과가 있다.
도 1은 본 발명의 실시 예에 따른 통신 시스템의 구조를 도시하는 도면,
도 2a는 본 발명의 일 실시 예에 따라 사용자 단말과 네트워크의 상호 인증을 위한 신호 흐름을 도시하는 도면,
도 2b는 본 발명의 다른 실시 예에 따라 사용자 단말과 네트워크의 상호 인증을 위한 신호 흐름을 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 인증 서버의 블럭 구성을 도시하는 도면,
도 4는 본 발명의 실시 예에 따른 네트워크 노드의 블럭 구성을 도시하는 도면,
도 5는 본 발명의 실시 예에 따른 사용자 단말의 블럭 구성을 도시하는 도면,
도 6은 본 발명의 실시 예에 따른 인증 서버의 동작 절차를 도시하는 도면,
도 7은 본 발명의 실시 예에 따른 네트워크 노드의 동작 절차를 도시하는 도면,
도 8은 본 발명의 실시 예에 따른 단말의 동작 절차를 도시하는 도면.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 설명에서는 통신 시스템에서 AuC 서버 혹은 AuC 데이터베이스에 장애가 발생된 경우, 사용자 단말과 네트워크 사이의 상호 인증 절차를 수행하는 방법 및 장치에 관해 설명할 것이다.
도 1은 본 발명의 실시 예에 따른 통신 시스템의 구조를 도시하고 있다.
도 1을 참조하면, 사용자 단말(UE: User Equipment, 100)은 네트워크 접속을 위해 사용자 단말(100)에 장착된 USIM(Universal Subscriber Identity Module)으로부터 사용자 단말(100)의 식별 정보(예:IMSI(International Mobile Station Identity))를 획득하고, 획득된 식별 정보를 네트워크로 전송한다. 본 발명의 실시 예에 따른 USIM은 사용자 단말(100)의 식별 정보(예: IMSI)와 서로 다른 타입의 인증 키들을 포함할 수 있다. 예를 들어, USIM은 AKA(Authentication and Key Agreement) 키, OTA(Over The Air) 키, 공용(common) AKA 키를 포함할 수 있다. 여기서, AKA 키와 OTA 키는 USIM 카드별로 서로 다르게 설정될 수 있고, 공용 AKA 키는 모든 USIM에 동일하게 설정될 수 있다. 즉, 다수의 사용자 단말들은 서로 다른 AKA 키 및 OTA 키를 가지며, 동일한 공용 AKA 키를 가진다. 또한, 여기서 AKA 키는 두 개의 키 값(예: K 및 OPc)을 포함하여 구성될 수 있고, OTA 키는 세 개의 키 값(예: KIc, KID, DEK)을 포함하여 구성될 수 있다. 또한, 공용 AKA 키는 두 개의 키 값(예: K_c 및 OPc_c)를 포함하여 구성될 수 있다. 상술한 IMSI, AKA 키, OTA 키, 및 공용 AKA 키들은 USIM의 제조 시에 저장될 수 있다. 추가로, 공용 AKA 키의 갱신이 필요한 경우, OTA를 통해 모든 USIM에 기록된 공용 AKA를 갱신할 수 있다.
이후, 사용자 단말(100)은 네트워크로부터 인증 토큰(Authentication Token)을 수신할 수 있다. 사용자 단말(100)에 장착된 USIM은 인증 토큰으로부터 인증 벡터 생성에 이용된 인증 키 타입을 확인하고, 확인된 인증 키 타입에 대응되는 인증 키를 이용할 수 있다. 예를 들어, USIM은 인증 토큰으로부터 확인된 인증 키 타입이 공용 AKA 키를 나타낼 경우 USIM에 저장된 인증 키들 중에서 공용 AKA 키를 이용할 수 있고, 확인된 인증 키 타입이 OTA 키를 나타낼 경우 USIM에 저장된 인증 키들 중에서 OTA 키를 이용할 수 있다. 사용자 단말(100)에 장착된 USIM은 네트워크로부터 수신된 인증 토큰으로부터 인증 키 타입에 대응되는 인증 키를 기반으로 인증 토큰을 생성하고, 생성된 인증 토큰과 수신된 인증 토큰을 비교하여 인증 성공 여부를 확인하고, 인증 성공 여부를 나타내는 신호를 네트워크로 전송할 수 있다. 추가적으로, 사용자 단말(100)에 장착된 USIM은 미리 설정된 정책을 기반으로 해당 인증 키의 타입이 이용 가능한지 여부를 확인하고, 해당 인증 키의 타입이 이용 불가능한 경우 인증 토큰을 생성하지 않고 네트워크로 인증 실패를 나타내는 신호를 전송할 수 있다.
제 1 네트워크 노드(121 내지 124)는 사용자 단말(100)의 USIM으로부터 식별 정보를 수신하고, 상위 네트워크 노드인 제 2 네트워크 노드(130 내지 131)로 사용자 단말(100)의 식별 정보를 전송한다. 여기서, 사용자 단말(100)의 식별 정보는 사용자 단말(100)에 장착된 USIM의 식별 정보를 의미할 수 있다. 제 1 네트워크 노드(121 내지 124)는 도시된 바와 같이, AP(Access Point, 121), ePDG(enhanced Packet DataGateway, 122), S-CSCF(Serving-Call State Control Function, 123) 및 MME(Mobility Management Entity, 124) 중 어느 하나일 수 있다. 또한, 제 1 네트워크 노드(121 내지 124)는 제 2 네트워크 노드(130 내지 131)로부터 수신되는 인증 토큰을 사용자 단말(100)로 전송할 수 있다.
제 2 네트워크 노드(130 내지 131)는 제 1 네트워크 노드(121 내지 124)로부터 네트워크에 접속하고자 하는 사용자 단말(100)의 식별 정보를 수신하고, AuC 서버(140)로 사용자 단말(100)의 식별 정보를 전송하여 인증을 위한 정보를 요청한다. 여기서, 제 2 네트워크 노드(130 내지 131)는 도시된 바와 같이, AAA(Authentication, Authorization, Accounting) 서버(130) 혹은 HSS(Home Subscriber Server) 중 어느 하나일 수 있다. 제 2 네트워크 노드(130 내지 131)는 AuC 서버(140)로부터 인증 토큰을 포함하는 인증 벡터를 수신하고, 수신된 인증 토큰을 제 1 네트워크 노드(121 내지 124)로 전송할 수 있다. 추가로, 본 발명의 실시 예에 따라 제 2 네트워크 노드(130 내지 131)는 AuC 서버(130)의 장애 상황이 감지될 시, 미리 저장된 공용 AKA 키(예:K_c, OPc_c)를 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 예를 들어, 제 2 네트워크 노드(130 내지 131)는 AuC 서버(130)로부터 식별 정보에 대응하는 인증 토큰이 수신되지 않을 시, AuC 서버(130)의 장애 상황이 발생된 것으로 감지할 수 있다. 여기서, 공용 AKA 키는 해당 사업자 네트워크에 접속 가능한 모든 사용자 단말(100)의 USIM에 저장된 공용 AKA 키와 동일한 값으로 구성될 수 있다. 추가로, 본 발명의 실시 예에 따라 제 2 네트워크 노드(130 내지 131)는 AuC 서버(130)의 장애 상황이 감지될 시, OTA 서버(150)로부터 OTA 키를 획득하고, 획득된 OTA 키를 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 여기서, OTA 키는 사용자 단말(100)의 식별 정보에 따라 다른 값으로 구성될 수 있다.
AuC 서버(140)는 제 2 네트워크 노드(130 내지 131)로부터 네트워크에 접속하고자 하는 사용자 단말(100)의 식별 정보를 수신하고, AuC 서버(140)에 연결된 데이터베이스 혹은 AuC 서버(140)에 포함된 데이터베이스로부터 수신된 식별 정보에 대응하는 AKA 키를 검색한다. 여기서, AuC 서버의 데이터베이스는 해당 네트워크에 사용자 단말(100)이 가입할 시, 가입한 사용자 단말(100)의 IMSI와 대응하는 AKA 키를 저장할 수 있다. AuC 서버(140)는 AKA 키가 성공적으로 검색될 시, 검색된 AKA 키를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 생성된 인증 벡터를 제 2 네트워크 노드(130 내지 131)로 전송한다. 반면, 데이터베이스의 장애 상황으로 인해 AKA 키가 성공적으로 검색되지 않을 시, AuC 서버(140)는 사업자 정책을 기반으로 사용자 단말 인증에 이용될 인증 키 타입을 결정하고, 결정된 타입의 인증 키를 이용하여 인증 벡터를 생성할 수 있다. 예를 들어, AuC 서버(140)는 데이터베이스의 장애 상황이 감지될 시, 사업자 정책에 따라 OTA 서버(150)로부터 OTA 키를 획득하여 인증 벡터를 생성할 수 있고, AuC 서버(140) 내에 미리 저장된 공용 AKA 키(예:K_c, OPc_c)를 이용하여 인증 벡터를 생성할 수 있다. 추가로, 본 발명의 실시 예에 따라 AuC 서버(140)는 인증 벡터 생성에 이용되는 인증 키 타입 정보를 포함하는 인증 토큰을 생성할 수 있다.
이하에서는, 도 2a를 참조하여 AuC의 데이터베이스에 장애가 발생되는 상황에서 상호 인증을 위한 신호 흐름에 대해 설명하며, 도 2b를 참조하여 AuC 서버에 장애가 발생되는 상황에서 상호 인증을 위한 신호 흐름에 대해 설명한다. 도 2a 및 도 2b에서는 설명의 편의를 위해, 제 1 네트워크 노드가 MME이고, 제 2 네트워크 노드가 HSS인 경우를 가정하여 설명한다. 그러나, 이하 설명되는 신호 흐름은 제 1 네트워크 노드가 AP, ePDG, S-CSCF, 및 MME 중 어느 하나이고, 제 2 네트워크 노드가 AAA와 HSS 중 어느 하나인 경우에 동일한 방식으로 적용될 수 있다. 또한, 이하에서 설명되는 메시지 명칭은 설명의 편의를 위한 예시적인 것으로서, 설계 방식에 따라 다른 메시지를 이용할 수 있음은 당연하다.
도 2a는 본 발명의 일 실시 예에 따라 사용자 단말과 네트워크의 상호 인증을 위한 신호 흐름을 도시하고 있다.
도 2a를 참조하면, 사용자 단말(UE, 200)은 210단계에서 네트워크에 초기 접속을 위해, 자신의 식별 정보인 IMSI를 포함하는 접속 요청 메시지를 기지국(202)을 통해 MME(204)로 전송한다.
MME(204)는 212단계에서 사용자 단말(200)로부터 수신된 접속 요청 메시지에서 IMSI를 추출하고, 추출된 IMSI를 포함하는 인증 정보 요청 메시지를 HSS(206)로 전송한다. HSS(206)는 MME(204)로부터 IMSI를 포함하는 인증 정보 요청 메시지가 수신되면, 214단계에서 IMSI를 포함하는 인증 정보 요청 메시지를 AuC 서버(208)로 전송한다.
AuC 서버(208)는 MME(204)로부터 IMSI를 포함하는 인증 정보 요청 메시지가 수신되면, AuC의 데이터베이스로부터 IMSI에 대응하는 AKA 키를 검색하기 위한 동작을 수행한다. 여기서는, 본 발명의 실시 예에 따라 AuC 데이터베이스가 장애 상황이 발생되어 AuC 데이터베이스로부터 IMSI에 대응하는 AKA 키를 검색하지 못하는 상황을 가정한다.
AuC 서버(208)는 AuC 데이터베이스의 장애 상황으로 인해 AKA 키를 검색하지 못하는 경우, 216단계에서 사업자에 의해 설정된 정책을 기반으로 사용자 단말(200)의 인증에 이용될 키를 선택하고, 218단계에서 선택된 키를 이용하여 인증 벡터를 생성한다. 예를 들어, 사업자 정책이 AuC 데이터베이스의 장애 상황에서 공용 AKA 키를 이용함을 나타낼 경우, AuC 서버(208)는 AuC 서버(208) 내 저장 장치로부터 공용 AKA 키를 획득하고, 획득된 공용 AKA 키를 이용하여 인증 벡터를 생성할 수 있다. 이때 인증 벡터는 AKA 규격에서 정의하고 있는 방식을 이용하여 생성될 수 있다. 특히, 본 발명의 실시 예에 따라 인증 벡터는 인증 토큰을 포함할 수 있으며, 인증 토큰은 인증 벡터 생성에 이용된 인증 키 타입 정보를 포함하는 AMF(Authentication Management Field)를 포함할 수 있다. 예를 들어, 하기 표 1에 나타낸 바와 같은 방식으로 AMF의 특정 비트를 이용하여 인증 키 타입 정보를 표시할 수 있다.
하기 표 1은 현재 AKA 규격에서 정의하고 있는 AMF 필드의 비트 용도를 나타내고 있다.
AMF bit 설명
0 AMF separation bit for EPS
1-7 RFU(Reserved for Future Use
8-15 Proprietary
14-15 00: AKA 키, 01: 공용 AKA 키, 10: OTA 키, 00: reserved
표 1에 나타낸 바와 같이, 현재 AMF 필드의 16개 비트들 중에서 8비트부터 15비트를 사업자가 이용할 수 있도록 정의되어 있다. 따라서, 본 발명의 실시 예에서는 현재 사업자가 이용 가능한 것으로 정의된 비트들 중에서 두 개의 비트(예: 14-15비트)를 이용하여 인증 벡터 생성 시에 어떤 인증 키가 이용되었는지 표시한다. 예컨대, AKA 키를 이용한 경우 사업자에 의해 지정된 두 개의 비트의 값을 00으로 설정하고, 공용 AKA 키를 이용한 경우 사업자에 의해 지정된 두 개의 비트의 값을 01로 설정하고, OTA 키를 이용한 경우 사업자에 의해 지정된 두 개의 비트 값을 10으로 설정할 수 있다. 여기서는, 하나의 실시 예로서 두 개의 비트 값을 이용하여 인증 벡터 생성 시에 이용된 인증 키 타입을 나타내었으나, 인증 키 타입을 나타내기 위한 비트 수는 설계 방식에 따라 달라질 수 있다. 예를 들어, 다수 개의 OTA 키(제 1 OTA 키 - 제 15 OTA 키)가 존재하는 경우, AMF 비트의 8 내지 15비트 중에서 다수 개의 비트를 이용하여 다수 개의 OTA 키 중에서 어떤 OTA 키가 이용되었는지 나타낼 수도 있다. 마찬가지로, 다수 개의 공용 AKA 키(제 1 AKA 키 - 제 15 AKA 키)가 존재하는 경우, AMF 비트의 8 내지 15비트 중에서 다수 개의 비트를 이용하여 다수 개의 공용 AKA 키 중에서 어떤 공용 AKA 키가 이용되었는지 나타낼 수도 있다.
AuC 서버(208)는 220단계에서 인증 벡터를 포함하는 인증 정보 응답 메시지를 HSS(220)로 전송한다. HSS(220)는 222단계에서 인증 정보 응답 메시지에 포함된 인증 벡터로부터 인증 토큰을 획득한다. HSS(200)는 224단계에서 인증 토큰을 포함하는 인증 정보 응답 메시지를 MME(204)로 제공하고, MME(204)는 226단계에서 인증 토큰을 포함하는 인증 요청 메시지를 기지국(202)을 통해 사용자 단말(200)로 전송한다.
사용자 단말(200)은 228단계에서 MME(204)로부터 수신된 인증 토큰 내 AMF의 미리 지정된 비트 값을 기반으로 인증에 이용될 키를 선택하고, 230단계에서 선택된 키를 기반으로 인증 토큰을 생성한다. 즉, 사용자 단말(200)은 인증 토큰으로부터 표 1에 나타낸 바와 같은 AMF의 미리 지정된 비트 값을 기반으로 인증 벡터 생성에 이용된 인증 키 타입을 확인할 수 있다. 예를 들어, AMF의 14-15비트의 값이 00인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 단말별로 설정된 AKA키이고, 01인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 공용 AKA 키 이고, 10인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 단말별로 설정된 OTA 키임을 확인하고, 사용자 단말(200)에 삽입된 USIM으로부터 해당 키 값을 획득하여 인증 토큰을 생성한다. 예를 들어, 사용자 단말(200)은 인증 벡터 생성에 이용된 인증 키 타입이 AKA 키인 경우 USIM으로부터 K, OPc를 획득하고, 인증 벡터 생성에 이용된 인증 키 타입이 공용 AKA 키인 경우, USIM으로부터 K_c 및 OPc_c를 획득하고, 인증 벡터 생성에 이용된 인증 키 타입이 OTA 키인 경우, USIM으로부터 KIc, KID, DEK를 획득할 수 있다.
이후, 사용자 단말(200)은 232단계에서 사용자 단말이 생성한 인증 토큰과 MME(204)로부터 수신된 인증 토큰을 비교하여 동일한지 여부를 판단한다. 만일, 사용자 단말(200)이 생성한 인증토큰과 수신된 인증 토큰이 동일할 시, 사용자 단말(200)은 234단계와 같이 인증 성공을 나타내는 인증 응답 메시지를 MME(204)로 전송할 수 있다. 반면, 사용자 단말(200)이 생성한 인증 토큰과 수신된 인증 토큰이 동일하지 않을 시, 사용자 단말(200)은 인증 실패를 나타내는 인증 실패 메시지를 MME(204)로 전송한다. 여기서, 도시되지는 않았으나, MME(204)가 수신한 사용자 단말(200)로부터의 인증 응답 메시지 혹은 인증 실패 메시지는 HSS(206)로 전송되고, HSS(206)는 수신 메시지를 기반으로 상호 인증 성공 여부를 결정할 수 있다.
도 2b는 본 발명의 다른 실시 예에 따라 단말과 네트워크의 상호 인증을 위한 신호 흐름을 도시하고 있다.
도 2b를 참조하면, 사용자 단말(UE, 200)은 210단계에서 네트워크에 초기 접속을 위해, 자신의 식별 정보인 IMSI를 포함하는 접속 요청 메시지를 기지국(202)을 통해 MME(204)로 전송한다.
MME(204)는 212단계에서 사용자 단말(200)로부터 수신된 접속 요청 메시지에서 IMSI를 추출하고, 추출된 IMSI를 포함하는 인증 정보 요청 메시지를 HSS(206)로 전송한다. HSS(206)는 MME(204)로부터 IMSI를 포함하는 인증 정보 요청 메시지가 수신되면, 214단계에서 IMSI를 포함하는 인증 정보 요청 메시지를 AuC 서버(208)로 전송한다. 여기서, 본 발명의 실시 예에 따라 AuC 서버(208)에 장애 상황이 발생되어, HSS(206)가 AuC(208)로부터 응답이 수신되지 않은 경우를 가정한다.
HSS(206)는 AuC 서버(208)의 장애 상황으로 인해 AuC 서버(208)로부터 인증 벡터가 수신되지 않을 시, 271단계에서 인증 정보 획득이 실패됨을 감지하고, 273단계에서 사업자에 의해 설정된 정책을 기반으로 사용자 단말(200)의 인증에 이용될 키를 선택하고, 221단계에서 선택된 키를 이용하여 인증 벡터를 생성한다. 예를 들어, 사업자 정책이 AuC 서버의 장애 상황에서 공용 AKA 키를 이용함을 나타낼 경우, HSS(206)는 HSS(206) 내 저장 장치로부터 공용 AKA 키를 획득하고, 획득된 공용 AKA 키를 이용하여 인증 벡터를 생성할 수 있다. 이때 인증 벡터는 AKA 규격에서 정의하고 있는 방식을 이용하여 생성될 수 있다. 특히, 본 발명의 실시 예에 따라 인증 벡터는 인증 토큰을 포함할 수 있으며, 인증 토큰은 인증 벡터 생성에 이용된 인증 키 타입 정보를 포함하는 AMF(Authentication Management Field)를 포함할 수 있다. 예를 들어, 상기 표 1에 나타낸 바와 같은 방식으로 AMF의 특정 비트를 이용하여 인증 키 타입 정보를 표시할 수 있다.
HSS(206)는 224단계에서 인증 토큰을 포함하는 인증 정보 응답 메시지를 MME(204)로 제공하고, MME(204)는 226단계에서 인증 토큰을 포함하는 인증 요청 메시지를 기지국(202)을 통해 사용자 단말(200)로 전송한다.
사용자 단말(200)은 228단계에서 MME(204)로부터 수신된 인증 토큰 내 AMF의 미리 지정된 비트 값을 기반으로 인증에 이용될 키를 선택하고, 230단계에서 선택된 키를 기반으로 인증 토큰을 생성한다. 즉, 사용자 단말(200)은 인증 토큰으로부터 표 1에 나타낸 바와 같은 AMF의 미리 지정된 비트 값을 기반으로 인증 벡터 생성에 이용된 인증 키 타입을 확인할 수 있다. 예를 들어, AMF의 14-15비트의 값이 00인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 단말별로 설정된 AKA키이고, 01인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 공용 AKA 키 이고, 10인 경우에는 인증 벡터 생성에 이용된 인증 키 타입이 단말별로 설정된 OTA 키임을 확인하고, 사용자 단말(200)에 삽입된 USIM으로부터 해당 키 값을 획득하여 인증 토큰을 생성한다. 예를 들어, 사용자 단말(200)은 인증 벡터 생성에 이용된 인증 키 타입이 AKA 키인 경우 USIM으로부터 K, OPc를 획득하고, 인증 벡터 생성에 이용된 인증 키 타입이 공용 AKA 키인 경우, USIM으로부터 K_c 및 OPc_c를 획득하고, 인증 벡터 생성에 이용된 인증 키 타입이 OTA 키인 경우, USIM으로부터 KIc, KID, DEK를 획득할 수 있다.
이후, 사용자 단말(200)은 232단계에서 사용자 단말이 생성한 인증 토큰과 MME(204)로부터 수신된 인증 토큰을 비교하여 동일한지 여부를 판단한다. 만일, 사용자 단말(200)이 생성한 인증토큰과 수신된 인증 토큰이 동일할 시, 사용자 단말(200)은 234단계와 같이 인증 성공을 나타내는 인증 응답 메시지를 MME(204)로 전송할 수 있다. 반면, 사용자 단말(200)이 생성한 인증 토큰과 수신된 인증 토큰이 동일하지 않을 시, 사용자 단말(200)은 인증 실패를 나타내는 인증 실패 메시지를 MME(204)로 전송한다. 여기서, 도시되지는 않았으나, MME(204)가 수신한 사용자 단말(200)로부터의 인증 응답 메시지 혹은 인증 실패 메시지는 HSS(206)로 전송되고, HSS(206)는 수신 메시지를 기반으로 상호 인증 성공 여부를 결정할 수 있다.
도 3은 본 발명의 실시 예에 따른 인증 서버의 블럭 구성을 도시하고 있다. 여기서, 인증 서버는 AuC 서버일 수 있다.
도 3을 참조하면, 인증 서버는 인증 제어부(300), 통신부(310), 저장부(320)를 포함할 수 있으며, 인증 서버는 외부 인증 정보 DB(330)와 연결될 수 있다. 다른 예로, 인증 정보 DB(330)는 인증 서버 내의 저장 장치에 포함될 수도 있다.
인증 제어부(300)는 네트워크에 접속하고자 하는 사용자 단말을 인증하기 위한 기능을 제어 및 처리한다. 인증 제어부(300)는 네트워크 노드(예: AAA 혹은 HSS)로부터 네트워크에 접속하고자 하는 사용자 단말의 식별 정보가 수신될 시, 인증 정보 DB(330)로부터 식별 정보에 대응하는 AKA 키를 검색하기 위한 기능을 제어 및 처리한다. 인증 제어부(300)는 인증 정보 DB(330)로부터 AKA 키가 성공적으로 검색될 시, 검색된 AKA 키를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 생성된 인증 벡터를 해당 네트워크 노드로 전송하기 위한 기능을 제어 및 처리한다.
반면, 인증 정보 DB(330)의 장애 상황으로 인해 AKA 키가 성공적으로 검색되지 않을 시, 인증 제어부(300)는 사업자 정책을 기반으로 사용자 단말 인증에 이용될 인증 키 타입을 결정하고, 결정된 타입의 인증 키를 이용하여 인증 벡터를 생성할 수 있다. 예를 들어, 인증 제어부(300)는 데이터베이스의 장애 상황이 감지될 시, 사업자 정책에 따라 OTA 서버(340)와 통신을 통해 해당 사용자 단말에 대한 OTA 키를 획득하고, 획득된 OTA 키를 이용하여 인증 벡터를 생성할 수 있다. 즉, OTA 서버(340)는 IMSI 별로 OTA 키를 저장하고 있으며, 이러한 OTA 키는 사용자 단말의 USIM에도 저장되어 있으므로, 본 발명의 실시 예에서는 단말별로 설정된 OTA값을 이용하여 인증 벡터를 생성할 수 있다. 또한, 인증 제어부(300)는 데이터베이스의 장애 상황이 감지될 시, 사업자 정책에 따라 저장부(320)에 저장된 공용 AKA 키(예:K_c, OPc_c)를 이용하여 인증 벡터를 생성할 수 있다. 여기서, 인증 제어부(300)는 선택된 인증 키(예: AKA 키, 공용 AKA 키 혹은 OTA 키), 랜덤 넘버(RAND: RAND number) 및 시퀀스 넘버(SQN:Sequence Number)를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다.
또한, 인증 제어부(300)는 AMF(Authentication Management Field)의 일부 비트에 인증 벡터 생성에 이용되는 인증 키 타입 정보를 표시하고, AMF를 포함하는 인증 토큰을 생성하고, 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다. 예를 들어, 인증 제어부(300)은 상기 표 1에 나타낸 바와 같이, AMF의 비트들 중에서 사업자가 이용 가능하도록 정의된 일부 비트를 이용하여 인증 벡터 생성에 이용된 인증 키 타입 정보를 표시할 수 있다.
인증 제어부(300)는 생성된 인증 벡터를 네트워크 노드로 전송하기 위한 기능을 제어 및 처리한다.
통신부(310)는 네트워크 노드, OTA 서버(340) 및 인증 정보 DB(330)와 신호를 송수신하는 기능을 수행한다. 예를 들어, 통신부(340)는 네트워크 노드로부터 사용자 단말의 IMSI를 수신하고, 해당 인증 벡터를 전송하기 위한 기능을 수행한다. 또한, 통신부(310)는 OTA 서버(340)로 특정 IMS에 대응하는 OTA 키의 전송을 요청하고, OTA 서버(340)로부터 OTA 키를 수신하기 위한 기능을 수행한다. 또한, 통신부(310)는 인증 제어부(310)의 제어에 따라 인증 정보 DB(330)로부터 특정 IMSI에 대응하는 AKA 키를 검색하기 위한 기능을 수행한다.
저장부(320)는 인증 서버의 전반적인 동작에 필요한 각종 데이터 및 프로그램을 저장한다. 특히, 본 발명의 실시 예에 따라 저장부(320)는 모든 사용자 단말들에 대해 공통적으로 이용되는 공용 AKA 키를 저장할 수 있다.
인증 정보 DB(330)는 다수의 사용자 단말 각각의 IMSI에 대응하는 AKA를 저장할 수 있다. 이때, 사용자 단말의 IMSI와 대응하는 AKA 키는 해당 네트워크에 해당 사용자 단말이 가입하는 시점에 저장될 수 있다.
도 4는 본 발명의 실시 예에 따른 네트워크 노드의 블럭 구성을 도시하고 있다. 여기서, 네트워크 노드는 AAA 혹은 HSS 일 수 있다.
도 4를 참조하면, 네트워크 노드는 인증 제어부(400), 통신부(410), 저장부(420)를 포함할 수 있다.
인증 제어부(400)는 네트워크에 접속하고자 하는 사용자 단말을 인증하기 위한 기능을 제어 및 처리한다. 예컨대, 인증 제어부(400)는 다른 네트워크 노드(예: AP, ePDG, S-CSCF 혹은 MME)로부터 네트워크에 접속하고자 하는 사용자 단말의 식별 정보가 수신될 시, 식별 정보를 포함하는 인증 정보 요청 신호를 인증 서버로 전송하기 위한 기능을 제어 및 처리한다. 인증 제어부(400)는 인증 서버로부터 인증 벡터가 수신될 시, 인증 벡터로부터 인증 토큰을 획득하고, 인증 토큰을 다른 네트워크 노드를 통해 사용자 단말로 전송하기 위한 기능을 제어 및 처리한다. 또한, 인증 제어부(400)는 인증 벡터로부터 랜덤 넘버(RAND)를 획득하고, 획득된 랜덤 넘버를 인증 토큰과 함께 다른 네트워크 노드를 통해 사용자 단말로 전송할 수 있다. 인증 제어부(400)는 사용자 단말로부터의 인증 응답 혹은 인증 실패 신호를 수신하여 상호 인증 성공 여부를 판단하고, 상호 인증 성공 시 사용자 단말의 네트워크 접속을 승인하기 위한 기능을 제어 및 처리할 수 있다.
또한, 인증 제어부(400)는 인증 서버의 장애 상황으로 인해 인증 벡터가 수신되지 않을 시, 사업자 정책을 기반으로 사용자 단말 인증에 이용될 인증 키 타입을 결정하고, 결정된 타입의 인증 키를 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 예를 들어, 인증 제어부(400)는 인증 서버의 장애 상황이 감지될 시, 사업자 정책에 따라 OTA 서버(440)와 통신을 통해 해당 사용자 단말에 대한 OTA 키를 획득하고, 획득된 OTA 키를 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 즉, OTA 서버(440)는 IMSI 별로 OTA 키를 저장하고 있으며, 이러한 OTA 키는 사용자 단말의 USIM에도 저장되어 있으므로, 본 발명의 실시 예에서는 단말별로 설정된 OTA값을 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 또한, 인증 제어부(400)는 인증 서버의 장애 상황이 감지될 시, 사업자 정책에 따라 저장부(420)에 미리 저장된 공용 AKA 키(예:K_c, OPc_c)를 이용하여 인증 토큰 및/혹은 인증 벡터를 생성할 수 있다. 여기서, 인증 제어부(400)는 선택된 인증 키(예:공용 AKA 키 혹은 OTA 키), 랜덤 넘버(RAND: RAND number) 및 시퀀스 넘버(SQN:Sequence Number)를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다.
또한, 인증 제어부(400)는 AMF(Authentication Management Field)의 일부 비트에 인증 벡터 생성에 이용되는 인증 키 타입 정보를 표시하고, 인증 키 타입 정보가 표시된 AMF를 포함하는 인증 토큰을 생성하고, 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다. 예를 들어, 인증 제어부(400)은 상기 표 1에 나타낸 바와 같이, AMF의 비트들 중에서 사업자가 이용 가능하도록 정의된 일부 비트를 이용하여 인증 벡터 생성에 이용된 인증 키 타입 정보를 표시할 수 있다.
인증 제어부(400)는 생성된 인증 토큰을 다른 네트워크 노드로 전송하기 위한 기능을 제어 및 처리한다.
통신부(410)는 다른 네트워크 노드, 인증 서버 및 OTA 서버와 신호를 송수신하는 기능을 수행한다. 예를 들어, 통신부(440)는 인증 제어부(400)의 제어 하에 다른 네트워크 노드로부터 사용자 단말의 IMSI를 수신하고, 수신된 IMSI를 인증 서버로 전송하기 위한 기능을 수행하고, 인증 서버로부터 IMSI에 대응하는 인증 벡터를 수신하기 위한 기능을 수행한다. 또한, 통신부(410)는 인증 토큰을 다른 네트워크 노드를 통해 사용자 단말로 전송하기 위한 기능을 수행하고, 사용자 단말로부터 인증 응답 신호를 수신하기 위한 기능을 수행한다. 또한, 통신부(410)는 OTA 서버(440)로 특정 IMS에 대응하는 OTA 키의 전송을 요청하고, OTA 서버(440)로부터 OTA 키를 수신하기 위한 기능을 수행한다.
저장부(420)는 해당 네트워크 노드의 전반적인 동작에 필요한 각종 데이터 및 프로그램을 저장한다. 특히, 본 발명의 실시 예에 따라 저장부(420)는 모든 사용자 단말들에 대해 공통적으로 이용되는 공용 AKA 키를 저장할 수 있다.
도 5는 본 발명의 실시 예에 따른 단말의 블럭 구성을 도시하고 있다.
도 5를 참조하면, 사용자 단말은 제어부(500), 통신부(510) 및 USIM(520)을 포함하여 구성될 수 있다.
제어부(500)는 사용자 단말의 전반적인 동작을 위한 제어 및 처리를 수행하며, 본 발명의 실시 예에 따라 인증 제어부(502)를 포함하여, 네트워크 접속을 위해 네트워크와 상호 인증 절차를 수행하기 위한 기능을 제어 및 처리한다. 즉, 인증 제어부(502)는 사용자 단말에 장착된 USIM(520)으로부터 사용자 단말의 식별 정보(예:IMSI)를 획득하고, 획득된 식별 정보를 네트워크로 전송한다. 또한, 인증 제어부(502)는 네트워크로부터 인증 토큰을 포함하는 메시지를 수신하고, 수신된 인증 토큰을 포함하는 메시지를 USIM(520)으로 전송하여, USIM(520)이 인증 기능을 수행하도록 제어한다. 또한, 인증 제어부(502)는 USIM(520)으로부터 인증 성공 여부를 나타내는 신호를 제공받고, 제공받은 인증 성공 여부를 나타내는 신호를 네트워크로 전송하기 위한 기능을 제어 및 처리할 수 있다.
통신부(510)는 네트워크 노드들과 신호를 송수신하는 기능을 수행한다. 예를 들어, 통신부(510)는 인증 제어부(502)의 제어 하에 네트워크 노드로 사용자 단말의 IMSI를 전송하고, 네트워크 노드로부터 IMSI에 대응하는 인증 토큰을 수신하기 위한 기능을 수행한다. 또한, 통신부(510)는 사용자 단말의 인증 성공 여부를 나타내는 신호를 전송하기 위한 기능을 수행한다.
USIM(520)은 사용자(혹은 가입자) 정보를 저장하는 가입자 식별 모듈로서, 가입자 인증, 요금 부과, 보안 등과 같은 기능을 위해 필요한 각종 개인 정보를 저장한다. 특히, USIM(520)은 사용자 단말의 식별 정보(예: IMSI, 521)와 서로 다른 타입의 인증 키들(523, 525, 527)을 포함할 수 있다. 예를 들어, USIM(520)은 AKA 키(523), OTA 키(525), 공용 AKA 키(527)를 포함할 수 있다. 여기서, AKA 키와 OTA 키는 USIM 카드별로 서로 다르게 설정될 수 있고, 공용 AKA 키는 모든 USIM에 동일하게 설정될 수 있다. 즉, 다수의 사용자 단말들은 서로 다른 AKA 키 및 OTA 키를 가지며, 동일한 공용 AKA 키를 가진다. 또한, 여기서 AKA 키는 두 개의 키 값(예: K 및 OPc)과 SQN(Sequence Number)을 포함하여 구성될 수 있고, OTA 키는 세 개의 키 값(예: KIc, KID, DEK)을 포함하여 구성될 수 있다. 또한, 공용 AKA 키는 두 개의 키 값(예: K_c 및 OPc_c)를 포함하여 구성될 수 있다. 상술한 IMSI, AKA 키, OTA 키, 및 공용 AKA 키들은 USIM의 제조 시에 저장될 수 있다. 추가로, 공용 AKA 키는 OTA를 통해 갱신될 수 있다.
또한, USIM(520)은 인증 제어부(502)를 통해 네트워크로부터 수신된 인증 토큰을 포함하는 메시지를 제공받고, 인증 토큰으로부터 인증 벡터 생성에 이용된 인증 키 타입을 확인하고, 확인된 인증 키 타입에 대응되는 인증 키를 결정할 수 있다. 예를 들어, USIM(520)은 인증 토큰으로부터 확인된 인증 키 타입이 AKA 키를 나타낼 경우 USIM(520)에 저장된 인증 키들 중에서 AKA 키를 인증에 이용될 키로 결정할 수 있고, 확인된 인증 키 타입이 공용 AKA 키를 나타낼 경우 USIM(520)에 저장된 인증 키들 중에서 공용 AKA 키를 인증에 이용될 키로 결정할 수 있고, 확인된 인증 키 타입이 OTA 키를 나타낼 경우 USIM(520)에 저장된 인증 키들 중에서 OTA 키를 인증에 이용될 키로 결정할 수 있다. 추가로, USIM(520)은 인증 토큰을 포함하는 메시지로부터 랜덤 넘버(RAND)를 획득할 수 있다. USIM(520)은 결정된 인증 키와 인증 토큰을 기반으로 MAC(Message Authentication Code) 검증을 수행하고, SQN을 획득 및 갱신한 후, 획득된 인증 키와 RAND 및 SQN을 이용하여 인증 토큰을 생성하고, 생성된 인증 토큰과 수신된 인증 토큰을 비교하여 인증 성공 여부를 확인하고, 인증 제어부(502)로 인증 성공 여부를 나타내는 신호를 제공하여 해당 신호를 네트워크로 전송해줄 것을 요청할 수 있다. 추가적으로, USIM(520)은 미리 설정된 정책을 기반으로 인증 토큰으로부터 확인된 인증 키 타입의 이용 가능 여부를 확인하고, 이용이 불가능할 경우 인증 토큰을 생성하지 않고 인증 제어부(502)로 네트워크로 인증 실패를 나타내는 신호를 제공하여 해당 신호를 네트워크로 전송해줄 것을 요청할 수 있다.
도 6은 본 발명의 실시 예에 따른 인증 서버의 동작 절차를 도시하고 있다.
도 6을 참조하면, 인증 서버는 601단계에서 네트워크 노드로부터 IMSI에 대응하는 인증 정보 요청 신호를 수신한다. 인증 서버는 603단계에서 인증 정보 DB로부터 IMSI에 대응하는 인증 키(예: AKA 키(K, OPc, SQN))를 검색한다. 만일, 인증 정보 DB로부터 IMSI에 대응하는 인증 키의 검색이 성공되면, 인증 서버는 605단계로 진행하여 검색된 인증 키를 이용하여 인증 벡터를 생성하고, 생성된 인증 벡터를 전송한다. 인증 서버는 인증 정보 DB로부터 검색된 AKA 키(K, OPc, SQN)와 랜덤 넘버(RAND)를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다. 이후, 인증 서버는 본 발명의 실시 예에 따른 절차를 종료한다.
반면, 인증 정보 DB의 장애 상황이 발생되어 인증 정보 DB로부터 IMSI에 대응하는 인증 키의 검색이 실패되면, 인증 서버는 607단계로 진행하여 인증 키 이용 정책을 확인한다. 인증 키 이용 정책은 사업자 및/혹은 설계자에 의해 설정 변경될 수 있다. 만일, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 OTA 키를 이용함을 나타낼 경우, 인증 서버는 615단계로 진행하여 OTA 서버가 이용 가능한지 여부를 확인한다. 예컨대, 인증 서버는 OTA 서버와 통신이 가능한 상태인지 혹은 OTA 서버의 DB에 접속 가능한지 여부를 통해 OTA 서버가 이용 가능한지 여부를 확인할 수 있다. 만일, OTA 서버가 이용 가능하지 않을 시, 인증 서버는 625단계로 인증 실패 메시지를 전송하고, 본 발명의 실시 예에 따른 절차를 종료할 수 있다. 여기서, 도시되지는 않았으나 인증 서버는 다른 실시 예에 따라 OTA 서버가 이용 가능하지 않을 시, 인증 키 이용 정책을 기반으로 공용 AKA 키를 이용함을 결정하고, 609단계로 진행할 수도 있다.
반면, OTA 서버가 이용 가능할 시, 인증 서버는 617단계로 진행하여 OTA 서버로 IMS를 전송하여 IMSI에 대응되는 OTA 키를 요청하고, 619단계에서 OTA 서버로부터 OTA 키를 획득한다. 이후, 인증 서버는 621단계에서 AMF의 비트에 OTA 키를 이용함을 표시하고, 시퀀스 넘버(SQN)를 설정한다. 이후, 인증 서버는 623단계에서 OTA 키를 이용하여 인증 벡터를 생성하고, 생성된 인증 벡터를 네트워크 노드로 전송한다. 인증 서버는 OTA 키(KIc, KID)와 랜덤 넘버(RAND) 및 시퀀스 넘버를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 생성된 인증 벡터를 네트워크 노드로 전송할 수 있다. 이후, 인증 서버는 본 발명의 실시 예에 따른 절차를 종료한다.
한편, 607단계의 인증 키 이용 정책을 확인한 결과, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 공용 AKA 키를 이용함을 나타낼 경우, 인증 서버는 609단계로 진행하여 인증 서버 내 저장 장치로부터 공용 AKA 키를 획득한다. 이후, 인증 서버는 611단계에서 AMF의 비트에 공용 AKA 키를 이용함을 표시하고, 시퀀스 넘버(SQN)를 설정한다. 이후, 인증 서버는 공용 AKA 키를 이용하여 인증 벡터를 생성하고, 생성된 인증 벡터를 네트워크 노드로 전송한다. 인증 서버는 공용 AKA 키(K_c, OPc_c)와 랜덤 넘버(RAND) 및 시퀀스 넘버(SQN)를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다. 이후, 인증 서버는 본 발명의 실시 예에 따른 절차를 종료한다.
한편, 607단계의 인증 키 이용 정책을 확인한 결과, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 다른 인증 키 이용을 허용하지 않는 경우, 인증 서버는 625단계로 진행하여 인증 실패 메시지를 다른 네트워크 노드를 통해 사용자 단말로 전송한다. 이후, 인증 서버는 본 발명의 실시 예에 따른 절차를 종료한다.
도 7은 본 발명의 실시 예에 따른 네트워크 노드의 동작 절차를 도시하고 있다.
도 7을 참조하면, 네트워크 노드는 701단계에서 다른 네트워크 노드로부터 사용자 단말의 IMSI를 수신하고, 703단계에서 인증 서버(AuC 서버)로 IMSI에 대응하는 인증 정보 요청 신호를 전송한다.
이후, 네트워크 노드는 705 단계에서 인증 서버로부터 인증 벡터가 수신되는지 여부를 확인한다. 만일, 인증 서버로부터 인증 벡터가 수신될 시, 네트워크 노드는 707단계에서 인증 벡터로부터 인증 토큰을 획득하고, 획득된 인증 토큰을 다른 네트워크 노드를 통해 사용자 단말로 전송한다. 이때, 네트워크 노드는 인증 벡터로부터 랜덤 넘버를 획득하고, 획득된 랜덤 넘버를 사용자 단말로 함께 전송할 수 있다. 이후, 네트워크 노드는 본 발명의 실시 예에 따른 절차를 종료한다.
반면, 인증 서버의 장애 상황으로 인해 인증 서버로부터 인증 벡터가 수신될 시, 네트워크 노드는 709단계에서 인증 키 이용 정책을 확인한다. 인증 키 이용 정책은 사업자 및/혹은 설계자에 의해 설정 변경될 수 있다. 만일, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 OTA 키를 이용함을 나타낼 경우, 네트워크 노드는 717단계로 진행하여 OTA 서버가 이용 가능한지 여부를 확인한다. 예컨대, 네트워크 노드는 OTA 서버와 통신이 가능한 상태인지 혹은 OTA 서버의 DB에 접속 가능한지 여부를 통해 OTA 서버가 이용 가능한지 여부를 확인할 수 있다. 만일, OTA 서버가 이용 가능하지 않을 시, 네트워크 노드는 727단계로 인증 실패 메시지를 전송하고, 본 발명의 실시 예에 따른 절차를 종료할 수 있다. 여기서, 도시되지는 않았으나 네트워크 노드는 다른 실시 예에 따라 OTA 서버가 이용 가능하지 않을 시, 인증 키 이용 정책을 기반으로 공용 AKA 키를 이용함을 결정하고, 711단계로 진행할 수도 있다.
반면, OTA 서버가 이용 가능할 시, 네트워크 노드는 719단계로 진행하여 OTA 서버로 IMS를 전송하여 IMSI에 대응되는 OTA 키를 요청하고, 721단계에서 OTA 서버로부터 OTA 키를 획득한다. 이후, 네트워크 노드는 723단계에서 AMF의 비트에 OTA 키를 이용함을 표시하고, 시퀀스 넘버(SQN)를 설정한다. 이후, 네트워크 노드는 725단계에서 OTA 키를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 인증 토큰을 다른 네트워크 노드를 통해 사용자 단말로 전송한다. 네트워크 노드는 OTA 키(KIc, KID)와 랜덤 넘버(RAND) 및 시퀀스 넘버를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 생성된 인증 토큰을 사용자 단말로 전송할 수 있다. 이후, 인증 서버는 본 발명의 실시 예에 따른 절차를 종료한다.
한편, 709단계의 인증 키 이용 정책을 확인한 결과, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 공용 AKA 키를 이용함을 나타낼 경우, 네트워크 노드는 711단계로 진행하여 네트워크 노드 내 저장 장치로부터 공용 AKA 키를 획득한다. 이후, 네트워크 노드는 713단계에서 AMF의 비트에 공용 AKA 키를 이용함을 표시하고, 시퀀스 넘버(SQN)를 설정한다. 이후, 네트워크 노드는 공용 AKA 키를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성하고, 생성된 인증 토큰을 다른 네트워크 노드를 통해 사용자 단말로 전송한다. 네트워크 노드는 공용 AKA 키(K_c, OPc_c)와 랜덤 넘버(RAND) 및 시퀀스 넘버(SQN)를 이용하여 인증 토큰을 포함하는 인증 벡터를 생성할 수 있다. 이후, 네트워크 노드는 본 발명의 실시 예에 따른 절차를 종료한다.
한편, 709단계의 인증 키 이용 정책을 확인한 결과, 인증 키 이용 정책이 인증 정보 DB의 장애 상황에서 다른 인증 키 이용을 허용하지 않는 경우, 네트워크 노드는 727단계로 진행하여 인증 실패 메시지를 다른 네트워크 노드를 통해 사용자 단말로 전송한다. 이후, 네트워크 노드는 본 발명의 실시 예에 따른 절차를 종료한다.
도 8은 본 발명의 실시 예에 따른 단말의 동작 절차를 도시하고 있다.
도 8을 참조하면, 단말은 801단계에서 네트워크 접속을 위해 단말의 식별정보인 IMSI를 네트워크로 전송한다. 이때 단말은 USIM으로부터 IMS를 획득할 수 있다.
이후, 단말은 803단계에서 네트워크로부터 인증 토큰을 포함하는 메시지를 수신할 수 있다. 이때, 인증 토큰을 포함하는 메시지는 네트워크에서 인증 토큰을 위해 생성된 랜덤 넘버와 시퀀스 넘버 중 적어도 하나를 포함할 수 있다.
단말은 805단계에서 인증 토큰으로부터 AMF를 확인하여 인증에 이용된 인증 키 타입을 확인한다. 예를 들어, 단말은 AMF에서 미리 지정된 일부 비트를 이용하여 인증 벡터 생성 시에 어떤 인증 키가 이용되었는지 확인한다. 만일, 인증 키 타입이 AKA 키인 경우, 단말은 827단계에서 USIM으로부터 AKA 키(K,OPC, SQN)을 획드하고, 829단계에서 획득된 AKA 키를 이용하여 인증 토큰을 생성한 후 하기 819단계로 진행한다.
한편, 인증 키 타입이 OTA 키인 경우, 단말은 811단계로 진행하여 OTA 키가 이용 가능한지 여부를 확인한다. 예를 들어, 단말에 미리 설정된 인증 키 이용 정책에서 OTA 키 이용이 허용되는지 여부를 확인한다. 만일, OTA 키 이용이 불가능한 경우, 단말은 825단계로 진행하여 인증 실패 메시지를 전송한다. 한편, OTA 키 이용이 가능한 경우, 단말은 813단계에서 USIM으로부터 OTA 키를 획득하고, 하기 815단계로 진행하여 이하 단계를 수행한다.
반면, 인증 키 타입이 공용 AKA 키인 경우, 단말은 807단계로 진행하여 공용 AKA 키가 이용 가능한지 여부를 확인한다. 예를 들어, 단말에 미리 설정된 인증 키 이용 정책에서 공용 AKA 키 이용이 허용되는지 여부를 확인한다. 만일, 공용 AKA 키 이용이 불가능한 경우, 단말은 825단계로 진행하여 인증 실패 메시지를 전송한다. 한편, 공용 AKA 키 이용이 가능한 경우, 단말은 809단계에서 USIM으로부터 공용 AKA 키를 획득하고, 하기 815단계로 진행한다.
이후, 단말은 815단계에서 획득된 키(예: OTA 키 혹은 공용 AKA 키)를 이용하여 MAC(Message Authentication Code) 검증을 수행하고, 인증 토큰으로부터 SQN을 획득 및 갱신한다. 이후, 단말은 817단계에서 획득된 인증 키와 RAND 및 SQN을 이용하여 인증 토큰을 생성하고, 819단계에서 생성된 인증 토큰과 수신된 인증 토큰을 비교한다. 이후, 단말은 821단계에서 비교 결과를 기반으로 인증 성공 여부를 결정한다. 예를 들어, 생성된 인증 토큰과 수신된 인증 토큰이 동일할 경우, 인증이 성공된 것으로 결정하고, 생성된 인증 토큰과 수신된 인증 토큰이 상이할 경우, 인증이 실패된 것으로 결정할 수 있다.
만일, 인증이 성공된 것으로 결정된 경우, 단말은 823단계에서 인증 성공을 나타내는 인증 응답 메시지를 전송하고, 인증이 실패된 것으로 결정된 경우, 825단계에서 인증 실패를 나타내는 인증 실패 메시지를 전송한다.
이후, 단말은 본 발명의 실시 예에 따른 절차를 종료한다.
이상과 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나 본 발명은 상술한 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
본 발명의 실시 예에 따른 동작들은 단일의 제어부에 의해 그 동작이 구현될 수 있을 것이다. 이러한 경우 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령이 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판단 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM이나 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 본 발명에서 설명된 기지국 또는 릴레이의 전부 또는 일부가 컴퓨터 프로그램으로 구현된 경우 상기 컴퓨터 프로그램을 저장한 컴퓨터 판독 가능 기록 매체도 본 발명에 포함된다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 할 것이다.

Claims (28)

  1. 통신 시스템에서 상호 인증을 위한 서버의 방법에 있어서,
    네트워크에 접속을 요청하기 위한 단말의 식별 정보를 상기 단말로부터 수신하는 과정과,
    상기 서버를 위한 데이터베이스로부터 상기 식별 정보에 대응하는 인증 키가 검출되지 않는 경우, 복수의 인증 키들 중에서 상기 인증 키를 보조하기 위한 다른 인증 키를 결정하는 과정과,
    상기 다른 인증 키의 유형을 가리키기 위한 정보를 포함하는 인증 토큰을 상기 단말에게 전송하는 과정을 포함하고,
    상기 복수의 인증 키들은, 외부 서버 및 상기 단말 간 공유된 제1 인증 키와 상기 서버, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 방법.
  2. 제 1항에 있어서, 상기 다른 인증 키를 결정하는 과정은,
    상기 외부 서버가 이용 가능한 경우, 상기 제1 인증 키를 상기 다른 인증 키로 결정하는 과정과,
    상기 외부 서버가 이용 가능하지 않은 경우, 상기 제2 인증 키를 상기 다른 인증 키로 결정하는 과정을 포함하는 방법.
  3. 제 1항에 있어서, 상기 인증 토큰을 전송하는 과정은,
    상기 결정된 다른 인증 키에 기반하여, 상기 인증 토큰을 포함하는 인증 벡터를 생성하는 과정과,
    상기 생성된 인증 벡터를 네트워크 노드로 전송하는 과정과,
    상기 인증 토큰은 상기 네트워크 노드에서 상기 단말에게 전송되고,
    상기 유형은, 상기 제1 인증 키를 나타내는 제1 유형 또는 상기 제2 인증 키를 나타내는 제2 유형 중 하나인 방법.
  4. 제 3항에 있어서, 상기 인증 토큰을 생성하는 과정은,
    상기 결정된 다른 인증 키의 유형이 상기 제1 인증 키를 나타내는 경우, 상기 식별 정보에 기반하여 상기 외부 서버로부터 상기 제1 인증 키를 획득하는 과정과,
    상기 제1 인증 키에 기반하여, 상기 인증 벡터를 생성하는 과정을 포함하고,
    상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버인 방법.
  5. 제 1항에 있어서, 상기 결정된 다른 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 다른 인증 키의 유형을 나타내는 방법.
  6. 통신 시스템에서 상호 인증을 위한 네트워크 노드의 방법에 있어서,
    네트워크에 접속을 요청하기 위한 단말의 식별 정보를 인증 서버로 전송하여 인증 정보의 전송을 요청하는 과정과,
    상기 식별 정보에 대한 상기 인증 정보가 상기 인증 서버로부터 수신되지 않는 경우, 복수의 인증 키들 중에서 상기 단말의 인증을 위한 인증 키를 결정하는 과정과,
    상기 결정된 인증 키의 유형을 가리키기 위한 정보를 포함하는 인증 토큰을 상기 단말에게 전송하는 과정을 포함하며,
    상기 복수의 인증 키들은, 외부 서버 및 상기 단말 간 공유된 제1 인증 키와 상기 네트워크 노드, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 방법.
  7. 제 6항에 있어서, 상기 인증 키를 결정하는 과정은,
    상기 외부 서버가 이용 가능한 경우, 상기 제1 인증 키를 상기 인증 키로 결정하는 과정과,
    상기 외부 서버가 이용 가능하지 않은 경우, 상기 제2 인증 키를 상기 인증 키로 결정하는 과정을 포함하는 방법.
  8. 제 6항에 있어서, 상기 인증 토큰을 상기 단말에게 전송하는 과정은,
    상기 결정된 인증 키를 기반으로 상기 인증 토큰을 생성하는 과정과,
    상기 생성된 인증 토큰을 상기 단말에게 전송하는 과정을 포함하고,
    상기 유형은, 상기 제1 인증 키를 나타내는 제1 유형 또는 상기 제2 인증 키를 나타내는 제2 유형 중 하나인 방법.
  9. 제 8항에 있어서, 상기 인증 토큰을 생성하는 과정은,
    상기 결정된 인증 키의 유형이 상기 제1 인증 키를 나타내는 경우, 상기 식별 정보에 기반하여 상기 외부 서버로부터 상기 제1 인증 키를 획득하는 과정과,
    상기 제1 인증 키에 기반하여, 상기 인증 토큰을 생성하는 과정을 포함하고,
    상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버인 방법.
  10. 제 6항에 있어서, 상기 결정된 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 인증 키의 유형을 나타내는 방법.
  11. 통신 시스템에서 상호 인증을 위한 단말의 방법에 있어서,
    네트워크에 접속하기 위해 상기 단말의 식별 정보를 네트워크 노드에게 전송하는 과정과,
    상기 네트워크 노드로부터, 복수의 인증 키들 중에서 결정되는 인증 키의 유형을 가리키기 위한 정보를 포함하는 제1 인증 토큰을 수신하는 과정과,
    상기 단말에 저장된, 상기 유형에 대응되는 인증 키를 이용하여 제2 인증 토큰을 생성하는 과정과,
    상기 제1 인증 토큰과 상기 제2 인증 토큰을 비교하여 상기 네트워크에 대한 인증의 성공 여부를 판단하는 과정과,
    상기 인증의 성공 여부를 가리키는 메시지를 전송하는 과정을 포함하고,
    상기 복수의 인증 키들은,
    외부 서버 및 상기 단말 간 공유된 제1 인증 키와,
    상기 인증을 위한 서버, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 방법.
  12. 제 11항에 있어서, 상기 제2 인증 토큰을 생성하는 과정은,
    상기 인증 키의 유형이 상기 제1 인증 키 또는 상기 제2 인증 키를 가리키는 경우, 미리 설정된 정책에 따라, 상기 인증 키가 사용 가능한지 여부를 결정하는 과정과,
    상기 인증 키가 사용 가능한 경우, 상기 제2 인증 토큰을 생성하는 과정을 포함하는 방법.
  13. 제 11항에 있어서, 상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버이고, 상기 제1 인증 키는 상기 식별 정보에 따라 식별되도록 상기 OTA 서버에 저장된 방법.
  14. 제 11항에 있어서,
    상기 결정된 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 인증 키의 유형을 나타내는 방법.
  15. 통신 시스템에서 상호 인증을 위한 서버의 장치에 있어서,
    송수신기와,
    상기 송수신기와 결합된 제어부를 포함하고,
    상기 제어부는,
    네트워크에 접속을 요청하기 위한 단말의 식별 정보를 상기 단말로부터 수신하고,
    상기 서버를 위한 데이터베이스로부터 상기 식별 정보에 대응하는 인증 키가 검출되지 않는 경우, 복수의 인증 키들 중에서 상기 인증 키를 보조하기 위한 다른 인증 키를 결정하고,
    상기 다른 인증 키의 유형을 가리키기 위한 정보를 포함하는 인증 토큰을 상기 단말에게 전송하고,
    상기 복수의 인증 키들은 외부 서버 및 상기 단말 간 공유된 제1 인증 키와 상기 서버, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 장치.
  16. 제 15항에 있어서, 상기 제어부는, 상기 다른 인증 키를 결정하기 위해,
    상기 외부 서버가 이용 가능한 경우, 상기 제1 인증 키를 상기 다른 인증 키로 결정하고,
    상기 외부 서버가 이용 가능하지 않은 경우, 상기 제2 인증 키를 상기 다른 인증 키로 결정하도록 구성되는 장치.
  17. 제 15항에 있어서, 상기 제어부는, 상기 인증 토큰을 전송하기 위해,
    상기 결정된 다른 인증 키에 기반하여, 상기 인증 토큰을 포함하는 인증 벡터를 생성하고,
    상기 생성된 인증 벡터를 네트워크 노드로 전송하도록 구성되고,
    상기 인증 토큰은 상기 네트워크 노드에서 상기 단말에게 전송되고,
    상기 유형은, 상기 제1 인증 키를 나타내는 제1 유형 또는 상기 제2 인증 키를 나타내는 제2 유형 중 하나인 장치.
  18. 제 17항에 있어서, 상기 제어부는, 상기 인증 토큰을 생성하기 위해,
    상기 결정된 다른 인증 키의 유형이 상기 제1 인증 키를 나타내는 경우, 상기 식별 정보에 기반하여 상기 외부 서버로부터 상기 제1 인증 키를 획득하고,
    상기 제1 인증 키에 기반하여, 상기 인증 벡터를 생성하도록 구성되고,
    상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버인 장치.
  19. 제 15항에 있어서, 상기 결정된 다른 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 다른 인증 키의 유형을 나타내는 장치.
  20. 통신 시스템에서 상호 인증을 위한 네트워크 노드의 장치에 있어서,
    송수신기와,
    상기 송수신기와 결합된 제어부를 포함하고,
    상기 제어부는,
    네트워크에 접속을 요청하기 위한 단말의 식별 정보를 인증 서버로 전송하여 인증 정보의 전송을 요청하고,
    상기 식별 정보에 대한 상기 인증 정보가 상기 인증 서버로부터 수신되지 않는 경우, 복수의 인증 키들 중에서 상기 단말의 인증을 위한 인증 키를 결정하고,
    상기 결정된 인증 키의 유형을 가리키기 위한 정보를 포함하는 인증 토큰을 상기 단말에게 전송하고,
    상기 복수의 인증 키들은, 외부 서버 및 상기 단말 간 공유된 제1 인증 키와 상기 네트워크 노드, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 장치.
  21. 제 20항에 있어서, 상기 제어부는, 상기 인증 키를 결정하기 위해,
    상기 외부 서버가 이용 가능한 경우, 상기 제1 인증 키를 상기 인증 키로 결정하고,
    상기 외부 서버가 이용 가능하지 않은 경우, 상기 제2 인증 키를 상기 인증 키로 결정하도록 구성되는 장치.
  22. 제 20항에 있어서, 상기 제어부는, 상기 인증 토큰을 상기 단말에게 전송하기 위해,
    상기 결정된 인증 키를 기반으로 상기 인증 토큰을 생성하고,
    상기 생성된 인증 토큰을 상기 단말에게 전송하도록 구성되고,
    상기 유형은, 상기 제1 인증 키를 나타내는 제1 유형 또는 상기 제2 인증 키를 나타내는 제2 유형 중 하나인 장치.
  23. 제 22항에 있어서, 상기 제어부는, 상기 인증 토큰을 생성하기 위해,
    상기 결정된 인증 키의 유형이 상기 제1 인증 키를 나타내는 경우, 상기 식별 정보에 기반하여 상기 외부 서버로부터 상기 제1 인증 키를 획득하고,
    상기 제1 인증 키에 기반하여, 상기 인증 토큰을 생성하도록 구성되고,
    상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버인 장치.
  24. 제 20항에 있어서, 상기 결정된 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 인증 키의 유형을 나타내는 장치.
  25. 통신 시스템에서 상호 인증을 위한 단말의 장치에 있어서,
    송수신기와,
    상기 송수신기와 결합된 제어부를 포함하고,
    상기 제어부는,
    네트워크에 접속하기 위해 상기 단말의 식별 정보를 네트워크 노드에게 전송하고,
    상기 네트워크 노드로부터 복수의 인증 키들 중에서 결정되는 인증 키의 유형을 가리키기 위한 정보를 포함하는 제1 인증 토큰을 수신하고,
    상기 단말에 저장된, 상기 유형에 대응되는 인증 키를 이용하여 제2 인증 토큰을 생성하고,
    상기 제1 인증 토큰과 상기 제2 인증 토큰을 비교하여 상기 네트워크에 대한 인증의 성공 여부를 판단하고,
    상기 인증의 성공 여부를 가리키는 메시지를 전송하고,
    상기 복수의 인증 키들은,
    외부 서버 및 상기 단말 간 공유된 제1 인증 키와,
    상기 인증을 위한 서버, 상기 단말, 및 적어도 하나의 단말 간 공유된 제2 인증 키를 포함하는 장치.
  26. 제 25항에 있어서, 상기 제어부는, 상기 제2 인증 토큰을 생성하기 위해,
    상기 인증 키의 유형이 상기 제1 인증 키 또는 상기 제2 인증 키를 가리키는 경우, 미리 설정된 정책에 따라, 상기 인증 키가 사용 가능한지 여부를 결정하고,
    상기 인증 키가 사용 가능한 경우, 상기 제2 인증 토큰을 생성하도록 구성되는 장치.
  27. 제 25항에 있어서, 상기 외부 서버는, OTA(over the air) 서비스를 위한 OTA 서버이고, 상기 제1 인증 키는 상기 식별 정보에 따라 식별되도록 상기 OTA 서버에 저장된 장치.
  28. 제 25항에 있어서,
    상기 결정된 인증 키의 유형을 가리키기 위한 정보는, 상기 인증 토큰에 포함되는 AMF(authentication management field)의 적어도 하나의 비트를 이용하여, 상기 인증 키의 유형을 나타내는 장치.
KR1020140035355A 2014-03-26 2014-03-26 통신 시스템에서 인증 방법 및 장치 KR101898934B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020140035355A KR101898934B1 (ko) 2014-03-26 2014-03-26 통신 시스템에서 인증 방법 및 장치
EP15161068.0A EP2925036B1 (en) 2014-03-26 2015-03-26 Apparatus and method for authentication in wireless communication system
US14/669,706 US9532220B2 (en) 2014-03-26 2015-03-26 Apparatus and method for authentication in wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140035355A KR101898934B1 (ko) 2014-03-26 2014-03-26 통신 시스템에서 인증 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20150111687A KR20150111687A (ko) 2015-10-06
KR101898934B1 true KR101898934B1 (ko) 2018-09-14

Family

ID=52780437

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140035355A KR101898934B1 (ko) 2014-03-26 2014-03-26 통신 시스템에서 인증 방법 및 장치

Country Status (3)

Country Link
US (1) US9532220B2 (ko)
EP (1) EP2925036B1 (ko)
KR (1) KR101898934B1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US10142819B2 (en) 2015-07-29 2018-11-27 Blackberry Limited Establishing machine type communications
CN106773797B (zh) * 2015-11-19 2019-06-14 中国移动通信集团公司 一种信息处理方法、系统及管理平台
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
CN109417709B (zh) * 2016-07-05 2022-06-10 三星电子株式会社 用于在移动无线网络系统中认证接入的方法和系统
WO2018044146A1 (en) * 2016-09-05 2018-03-08 Lg Electronics Inc. Lightweight and escrow-less authenticated key agreement for the internet of things
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US10397840B2 (en) 2016-11-15 2019-08-27 At&T Intellectual Property I, L.P. Method and apparatus for communication device handover
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US10085199B1 (en) 2017-07-17 2018-09-25 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless resources in a communication network
US10278108B2 (en) 2017-07-17 2019-04-30 At&T Intellectual Property I, L.P. Method and apparatus for coordinating wireless resources in a communication network
US10462665B2 (en) * 2017-08-17 2019-10-29 Bank Of America Corporation Multifactor network authentication
US10462126B2 (en) * 2017-08-17 2019-10-29 Bank Of America Corporation Self-adjusting multifactor network authentication
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
CN111954318B (zh) * 2020-07-20 2022-06-10 广东工贸职业技术学院 一种设备互联的方法、装置及系统
US11695768B1 (en) 2021-02-09 2023-07-04 Wells Fargo Bank, N.A. Systems and methods for locally conducting delegated authentication at edge nodes
WO2023080355A1 (ko) * 2021-11-02 2023-05-11 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치
CN114599033B (zh) * 2022-05-10 2022-08-16 中移(上海)信息通信科技有限公司 一种通信鉴权处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000504156A (ja) * 1996-01-24 2000-04-04 ノキア テレコミュニカシオンス オサケ ユキチュア 移動通信システムにおける認証キーの管理
US20110119492A1 (en) * 2009-05-11 2011-05-19 Anand Palanigounder Apparatus and Method for Over-the-Air (OTA) Provisioning of Authentication and Key Agreement (AKA) Credentials Between Two Access Systems
KR101148543B1 (ko) * 2007-10-09 2012-05-23 알카텔-루센트 유에스에이 인코포레이티드 통신 인증 방법 및 네트워크 수립 방법
US20120159154A1 (en) * 2009-09-25 2012-06-21 Hisense Mobile Communications Technology Co., Ltd. Authenticating method and mobile terminal for code division multiple access (cdma) evolution to packet data optimized (evdo) network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101772020B (zh) 2009-01-05 2011-12-28 华为技术有限公司 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
FR2956757B1 (fr) * 2010-02-25 2012-09-21 Somfy Sas Affectation de scenarios a des boutons de commande.
ES2488396T3 (es) 2011-03-25 2014-08-27 Airbus Ds Sas Autenticación en un sistema de comunicaciones
KR102138315B1 (ko) 2013-05-30 2020-07-27 삼성전자주식회사 프로파일 설치를 위한 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000504156A (ja) * 1996-01-24 2000-04-04 ノキア テレコミュニカシオンス オサケ ユキチュア 移動通信システムにおける認証キーの管理
KR101148543B1 (ko) * 2007-10-09 2012-05-23 알카텔-루센트 유에스에이 인코포레이티드 통신 인증 방법 및 네트워크 수립 방법
US20110119492A1 (en) * 2009-05-11 2011-05-19 Anand Palanigounder Apparatus and Method for Over-the-Air (OTA) Provisioning of Authentication and Key Agreement (AKA) Credentials Between Two Access Systems
US20120159154A1 (en) * 2009-09-25 2012-06-21 Hisense Mobile Communications Technology Co., Ltd. Authenticating method and mobile terminal for code division multiple access (cdma) evolution to packet data optimized (evdo) network

Also Published As

Publication number Publication date
EP2925036B1 (en) 2017-11-01
US20150281961A1 (en) 2015-10-01
KR20150111687A (ko) 2015-10-06
EP2925036A1 (en) 2015-09-30
US9532220B2 (en) 2016-12-27

Similar Documents

Publication Publication Date Title
KR101898934B1 (ko) 통신 시스템에서 인증 방법 및 장치
US7590246B2 (en) Authentication between a cellular phone and an access point of a short-range network
JP6632713B2 (ja) 直接通信キーの確立のための方法および装置
KR101401190B1 (ko) 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
CN101772020B (zh) 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
US9191387B2 (en) Communication system for checking for unauthorized use of a terminal
US8861732B2 (en) Method and system for supporting security in a mobile communication system
CN102318386B (zh) 向网络的基于服务的认证
US20040162998A1 (en) Service authentication in a communication system
US20170055149A1 (en) Method and Apparatus for Direct Communication Key Establishment
CN111147421B (zh) 一种基于通用引导架构gba的认证方法及相关设备
US11159940B2 (en) Method for mutual authentication between user equipment and a communication network
CN101459904B (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
EP1992185A2 (en) Fast re-authentication method in umts
CN104754575A (zh) 一种终端认证的方法、装置及系统
JPWO2018012611A1 (ja) 加入者情報管理装置、情報取得方法、通信システム、及び通信端末
US10887754B2 (en) Method of registering a mobile terminal in a mobile communication network
CN102652439A (zh) 归属用户服务器中的智能卡安全特征简档
JP6577052B2 (ja) アクセスポイント名許可方法、アクセスポイント名許可装置、およびアクセスポイント名許可システム
CN110226319B (zh) 用于紧急接入期间的参数交换的方法和设备
CN112637841A (zh) 一种电力无线专网的国际移动设备标识检验方法和系统
CN113424506A (zh) 通信系统中的用户设备安全能力的管理
US20230010440A1 (en) System and Method for Performing Identity Management
CN106612205B (zh) 一种节点认证方法、系统及代理节点

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant