KR102632519B1 - 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 - Google Patents

사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 Download PDF

Info

Publication number
KR102632519B1
KR102632519B1 KR1020207021111A KR20207021111A KR102632519B1 KR 102632519 B1 KR102632519 B1 KR 102632519B1 KR 1020207021111 A KR1020207021111 A KR 1020207021111A KR 20207021111 A KR20207021111 A KR 20207021111A KR 102632519 B1 KR102632519 B1 KR 102632519B1
Authority
KR
South Korea
Prior art keywords
user equipment
key
application server
authentication
server
Prior art date
Application number
KR1020207021111A
Other languages
English (en)
Other versions
KR20200110345A (ko
Inventor
토도르 가미세브
Original Assignee
오렌지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오렌지 filed Critical 오렌지
Publication of KR20200110345A publication Critical patent/KR20200110345A/ko
Application granted granted Critical
Publication of KR102632519B1 publication Critical patent/KR102632519B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 사용자 장치(10)와 애플리케이션 서버(40) 간의 통신을 보안하기 위한 키를 결정하기 위한 방법에 관한 것이다. 이동 통신망의 인증 서버(20) 및 사용자 장치는 인증 절차 동안 시크릿 마스터 키를 생성한다. 사용자 장치는 애플리케이션 서버와 통신하기 위한 키의 요청을 인증 서버에 전송하고, 확률 변수를 수신한다. 인증 서버 및 사용자 장치는 마스터 키를 사용하여, 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버 식별자에 적용된 키 유도 함수를 사용하여 요청된 키를 계산한다.

Description

사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법
본 발명은 일반적인 통신 분야에 관한 것이다.
보다 구체적으로는, 본 발명은 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 기술에 관한 것이다.
키를 결정하기 위한 기술은 이동 통신망 분야에 적용 가능하다.
사용자 장비(UE)(단말기로도 지칭됨)가 애플리케이션 서버와 안전하게 통신할 수 있게 하기 위해, 모바일 네트워크, 예를 들어 4세대 모바일 네트워크와 관련하여, 범용 부트스트랩(bootstrapping) 아키텍처(GBA)로도 지칭되는 아키텍처가 3GPP 표준화 기구에 의해 정의되었다. 이러한 아키텍처는 "범용 인증 아키텍처(GAA); 범용 부트스트랩 아키텍처(GBA)(릴리스 15)"라는 명칭의 기술 규격서에 참조된 3GPP TS 33.220 버전 V15.1.0에 정의되어 있다. GBA에서, 단말기의 인증을 수행하고, 부트스트랩 트랜잭션 식별자(B_TID)와 연관된 마스터 키(Ks)를 정의할 수 있게 하는 부트스트랩 서버 기능(BSF)이 제공된다. 이러한 마스터 키(Ks)가 정의되면, 단말기 및 BSF는 애플리케이션 서버 NAF와의 교환을 보안되게 하기 위해, 마스터 키(Ks)로부터 키(Ks_NAF)를 유도한다. 보다 정확하게는, 이러한 키(Ks_NAF)는 키 유도 함수(KDF)를 키 유도 파라미터에 적용함으로써 마스터 키(Ks)로부터 유도된다. 특히, 이러한 파라미터는 애플리케이션 서버의 식별자(NAF_Id), 및 인증에 사용되는 난수(RAND)를 포함한다. 이러한 동작의 종료 시에, 단말기 및 BSF는, 단말기와 애플리케이션 서버 NAF 간의 교환을 보안되게 하기 위해 사용되도록 의도된 키(Ks_NAF)를 공유한다. 그 다음, 애플리케이션 서버 NAF는 BSF로부터 트랜잭션 식별자(B_TID)와 연관된 키(Ks_NAF)를 요청한다. 그 다음, 단말기 및 애플리케이션 서버 NAF는 키(Ks_NAF)를 사용하여 안전하게 통신할 수 있다.
이러한 맥락에서, 모바일 네트워크의 운영자는, 홈 가입자 시스템(HSS)과 단말기의 보안 모듈 간에 공유되는 시크릿(secret)을 사용하여, 애플리케이션 서버 NAF와 단말기(UE) 간의 링크의 보안을, 이러한 2개의 개체가 시크릿을 공유할 필요 없이 보장하는 중개자이다.
이러한 GBA를 모바일 운영자의 네트워크에 도입하면, 특히 BSF의 도입으로 인해, 그리고 모바일 네트워크와의 이의 인터페이싱으로 인해, 상당한 비용이 발생한다.
또한, 3GPP 기구에 의해 표준화되고 있는 중인 5세대(5G) 모바일 네트워크에서, 이러한 GBA 기능과 유사한 기능이 현재 제공되지 않는다.
본 발명의 목적 중 하나는 종래기술의 미흡함/결점을 해결하거나/해결하고, 이의 개선을 제공하는 것이다.
제1 양태에 따라, 본 발명의 하나의 대상은 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법이다. 방법은 사용자 장비에서,
- 이동 통신망의 인증 서버에 의해 사용자 장비를 인증하는 단계로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 단계;
- 애플리케이션 서버와 통신하기 위한 목적으로 키 요청을 사용자 장비에 의해 인증 서버에 전송하는 단계;
- 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여, 상기 키를 계산하는 단계를 포함하며, 상기 확률 변수는 인증 서버로부터 사용자 장비에 의해 수신된다.
상응하여, 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법은 인증 서버에서,
- 이동 통신망의 인증 서버에 의해 사용자 장비를 인증하는 단계로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 단계;
- 애플리케이션 서버와 통신하기 위한 목적으로 사용자 장비에 의해 전송된 키 요청을 인증 서버에 의해 수신하는 단계;
- 인증 서버에 의해 확률 변수를 사용자 장비에 전송하는 단계;
- 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여, 상기 키를 계산하는 단계를 포함한다.
이러한 기술에 의해, 사용자 장비와 애플리케이션 서버 간의 통신이 보안될 수 있게 하는 키는, 이동 통신망의 인증 서버에 의해 수행되는 인증 동안 생성된 마스터 키로부터 유도된다. 따라서, 이미 이동 통신망 내에 통합되어 이에 따라 이동 통신망과 인터페이싱되고, 특히 사용자 데이터를 관리하는 서버와 인터페이싱되는 인증 서버에 의해, 기술이 구현된다. 이러한 키를 결정하기 위해, 특수 서버, 즉 부트스트랩 서버로 지칭되는 특수 서버를 제공할 필요가 없다. 또한, 키는 인증과는 별개로 계산된다: 확률 변수는 인증을 위해 사용된 것과는 별개로 키를 계산하기 위해 사용된다. 따라서, 마스터 키 및 유도된 키가 분리되어 있으며, 별개의 확률 변수가 사용되었다. 따라서, 마스터 키가 만료되지 않은 경우, 필요한 만큼 많은 키를 유도하는 것이 가능하다. 키가 유도되었다면, 후자는 마스터 키가 변경되더라도 유효하게 유지된다. 그 다음, 사용자 장비와 애플리케이션 서버 간에 계산된 키를 사용하는 보안 통신이 설정될 수 있다.
아래에 언급되는 다양한 실시형태 또는 특징은, 키를 결정하기 위한 위에 정의된 바와 같은 방법에 개별적으로 또는 서로 조합하여 추가될 수 있다.
하나의 특정 실시형태에서, 인증 서버는 계산한 키를 애플리케이션 서버에 전달한다.
키를 결정하기 위한 방법의 하나의 특정 실시형태에서, 이러한 인증은 이동 통신망에 사용자 장비를 등록하는 동안 트리거된다.
따라서, 제안된 기술은 이동 통신망에 사용자 장비를 등록하는 동안 수행된 인증을 이용한다. 구체적으로는, 5세대(5G) 시스템을 위해 현재 3GPP 기구에 의해 표준화 중에 있는 인증 절차에서, 이러한 절차는 3GPP 규격서 TS 33.501 V0.6.0(2017년 12월)의 “5G 시스템을 위한 보안 아키텍처 및 절차(릴리스 15)"에 정의되며, 마스터 키(KAUSF)는 사용자 장비, 및 인증 서버 기능(AUSF)을 구현하는 서버에 의해 결정된다. EAP-AKA' 인증의 경우, 마스터 키(KAUSF)는 확장된 마스터 세션 키(EMSK)로부터 결정된다. 5G AKA 인증의 경우, 마스터 키(KAUSF)는 암호화 키 및 무결성 키로부터 유도된다. 이의 현재 버전에서, 그리고 특히 6.2.2.1 단락에서, 규격서 TS 33.501은, 키를 합의하기 위해 사용자 장비와 이동 통신망의 개체 간에 수행되는 절차와 인증 절차 사이에 생성되는 이러한 마스터 키(KAUSF)를 인증 서버가 메모리에 저장할 수 있음을 명시한다. 또한, 동일한 규격서는 6.2.1 단락의 편집자 메모에서, 인증 서버가 이러한 마스터 키(KAUSF)를 메모리에 저장하는 경우, 사용자 장비가 이를 메모리에 저장해야 하는지 여부가 향후 연구의 대상임을 명시한다. 제안된 결정 기술을 구현하기 위해서는, 마스터 키(KAUSF)가 인증 서버 및 사용자 장비 모두에 의해 메모리에 저장되어야 함을 이해할 것이다. 이러한 마스터 키(KAUSF)는 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 유도하기 위해 사용되기 때문에, 새로운 인증 절차가 필요한 현재의 GBA 절차에서와 달리, 애플리케이션 서버와의 이러한 통신에 특정된 새로운 인증 절차를 수행할 필요가 없다. 따라서, 사용자 장비가 애플리케이션 서버와 통신하길 원할 때마다 사용자 장비의 보안 요소를 요청할 필요가 없다. 이러한 기술은 새로운 서비스를 인증 서버에 통합하기에 충분하다면, 5G 이동 통신망으로 구현하기에도 간단하다. 그 다음, 후자는 이러한 새로운 서비스를 노출시키고, 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위해 애플리케이션 서버에 의해 접속될 수 있다.
결정 방법의 하나의 특정 실시형태에서, 사용자 장비는 접속 요청을 애플리케이션 서버에 전송하며, 사용자 장비를 위해 의도되고 인증 서버에 의해 준비되는 증명서(proof)를 애플리케이션 서버로부터 수신하고, 키 요청이 전송되는지 여부는 사용자 장비에 의한 상기 증명서의 검증에 따라 좌우된다.
상응하여, 인증 서버는 사용자 장비를 위해 의도되는 준비된 증명서를 애플리케이션 서버에 전달하며, 상기 증명서는 사용자 장비에 의해 전송된 접속 요청에 응답하여, 애플리케이션 서버에 의해 사용자 장비에 전송되도록 의도되고, 키 요청이 인증 서버에 전송되는지 여부는 사용자 장비에 의한 상기 증명서의 검증에 따라 좌우된다.
이러한 증명서는 예를 들어, 인증 토큰에 포함된다. 인증 서버에 의해 준비되어 애플리케이션 서버에 의해 사용자 장비에 전달되는 이러한 증명서로 인해, 후자는 애플리케이션 서버가 실제로 인증되는지를 검증할 수 있고, 사용자 장비에서 임의의 키 유도가 수행되기 전에 그렇게 할 수 있다. 현재의 GBA 절차에서, 사용자 장비는 애플리케이션 서버가 인증된다는 것을 보장하기 전에도 키를 유도한다. 후자는 BSF 서버에 의해 인증되지 않았을 수 있으므로, 유도된 키를 이에 이용 가능하게 하지 않을 수 있다.
상응하여, 사용자 장비로부터 접속 요청이 수신된 후에, 애플리케이션 서버는 사용자 장비를 위해 의도되는 준비된 증명서를 수신하고, 이러한 증명서를 사용자 장비에 전송하며, 키 요청이 인증 서버에 전송되는지 여부는 사용자 장비에 의한 상기 증명서의 검증에 따라 좌우된다.
하나의 특정 실시형태에서, 인증 서버는 상기 사용자 장비와 상기 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산했는지를 검증하며, 확률 변수가 사용자 장비에 전송되는지 여부는 상기 검증에 따라 좌우된다.
따라서, 애플리케이션 서버가 이러한 사용자 장비를 인증 서버에게 사전에 요청하지 않은 경우, 사용자 장비는 키를 유도하지 않는다.
제2 양태에 따라, 본 발명은 이동 통신망을 통해 애플리케이션 서버와 통신하도록 배치된 사용자 장비에 관한 것으로서, 상기 장비는,
- 이동 통신망의 인증 서버가 사용자 장비의 인증을 수행할 수 있게 하는 인증 모듈로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈;
- 사용자 장비가 애플리케이션 서버와 통신하기 위한 목적으로 키 요청을 인증 서버에 전송할 수 있게 하는 전송 모듈;
- 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여, 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키가 계산될 수 있게 하는 컴퓨팅 모듈을 포함하며, 상기 확률 변수는 인증 서버로부터 사용자 장비에 의해 수신된다.
제1 양태에 따른 키를 결정하기 위한 방법과 관련하여 언급된 이점은 사용자 장비로 직접 바꿔 놓을 수 있다.
물론, 이러한 사용자 장비는 키를 결정하기 위한 전술한 바와 같은 방법의 다양한 특징을 구조적 용어로 포함할 수 있으며, 이러한 특징은 조합될 수 있거나 개별적으로 구현될 수 있다.
제3 양태에 따라, 본 발명은 이동 통신망의 인증 서버에 관한 것으로서, 이러한 인증 서버는,
- 사용자 장비의 인증을 수행하도록 배치된 인증 모듈로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈;
- 애플리케이션 서버와 통신하기 위한 목적으로 사용자 장비에 의해 전송된 키 요청을 수신하기 위한 수신 모듈;
- 인증 서버가 확률 변수를 사용자 장비에 전송할 수 있게 하는 전송 모듈;
- 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산하기 위한 컴퓨팅 모듈을 포함하며, 상기 키는 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여 계산된다.
제1 양태에 따른 키를 결정하기 위한 방법과 관련하여 언급된 이점은 인증 서버로 직접 바꿔 놓을 수 있다.
물론, 이러한 인증 서버는 키를 결정하기 위한 전술한 바와 같은 방법의 다양한 특징을 구조적 용어로 포함할 수 있으며, 이러한 특징은 조합될 수 있거나 개별적으로 구현될 수 있다.
제4 양태에 따라, 본 발명은 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 시스템에 관한 것으로서, 이러한 시스템은 적어도, 제2 양태에 따른 사용자 장비, 및 제3 양태에 따른 인증 서버를 포함한다.
제1 양태에 따른 키를 결정하기 위한 방법과 관련하여 언급된 이점은 키를 결정하기 위한 시스템으로 직접 바꿔 놓을 수 있다.
하나의 특정 실시형태에서, 시스템은 애플리케이션 서버를 더 포함하며, 상기 애플리케이션 서버는 인증 서버로부터 상기 키를 수신하도록 배치된 통신 모듈을 포함한다.
제5 양태에 따라, 본 발명은, 사용자 장비를 위한 프로그램으로서, 이러한 프로그램이 이러한 장비에 의해 실행될 때, 사용자 장비에 의해 구현되는 전술한 키를 결정하기 위한 방법의 그러한 단계의 실행을 명령하도록 의도된 프로그램 코드 명령을 포함하는, 사용자 장비를 위한 프로그램; 및 사용자 장비를 위한 프로그램이 저장되고, 사용자 장비에 의해 판독 가능한 저장 매체에 관한 것이다.
제1 양태에 따른 키를 결정하기 위한 방법과 관련하여 언급된 이점은 사용자 장비를 위한 프로그램 및 저장 매체로 직접 바꿔 놓을 수 있다.
제6 양태에 따라, 본 발명은, 인증 서버를 위한 프로그램으로서, 이러한 프로그램이 이러한 서버에 의해 실행될 때, 인증 서버에 의해 구현되는 전술한 키를 결정하기 위한 방법의 그러한 단계의 실행을 명령하도록 의도된 프로그램 코드 명령을 포함하는, 인증 서버를 위한 프로그램; 및 서버를 위한 프로그램이 저장되고, 서버에 의해 판독 가능한 저장 매체에 관한 것이다.
제1 양태에 따른 키를 결정하기 위한 방법과 관련하여 언급된 이점은 인증 서버를 위한 프로그램 및 저장 매체로 직접 바꿔 놓을 수 있다.
사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 기술은 첨부된 도면을 참조하여 주어지는 특정 실시형태의 이하의 설명에 의해 더 잘 이해될 것이며, 첨부된 도면으로서:
- 도 1은 하나의 특정 실시형태에 따라 키를 결정하기 위한 방법이 구현되는 이동 통신망을 도시한다;
- 도 2는 하나의 특정 실시형태에 따라 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법의 단계를 도시한다;
- 도 3은 하나의 특정 실시형태에 따른 사용자 장비를 도시한다;
- 도 4는 하나의 특정 실시형태에 따른 인증 서버를 도시한다;
- 도 5는 하나의 특정 실시형태에 따른 애플리케이션 서버를 도시한다.
도 1은 하나의 특정 실시형태에 따라 키를 결정하기 위한 방법이 구현되는 이동 통신망을 도시한다.
도 1은 사용자 장비가 이의 공칭 네트워크에 있는 경우, 표준화되고 있는 중인 이동 통신망의 5세대(5G) 시스템의 아키텍처를 도시한다. 이는 "5G 시스템을 위한 시스템 아키텍처; 스테이지 2(릴리스 15)"라는 명칭의 3GPP 규격서 TS 23.501 V2.0.1(2017년 12월)의 도 4.2.3-1에 해당한다. 이러한 5G 시스템 아키텍처는 이러한 규격서 TS 23.501의 6절에서 더 구체적으로 기능적으로 기술되는 복수의 네트워크 기능을 포함한다. 이러한 네트워크 기능의 다양한 약어가 부록에 주어져 있다. 사용자 장비(UE)와 애플리케이션 서버 AF(AF는 애플리케이션 기능을 의미함) 간의 통신을 보안되게 하도록 의도된 키(KAF)를 결정하기 위한 방법의 구현에 기여하는 네트워크 기능만이 아래에 상세하게 설명된다.
따라서, 도 1을 참조하면, 애플리케이션을 구현하기 위해, 사용자 장비(10)와 애플리케이션 서버(40) 간에 보안 통신이 설정되어야 한다.
사용자 장비(UE)(단말기로도 지칭됨)는 (도 1에 도시된) 이동 통신망에 접속하도록 배치된다. 이러한 사용자 장비의 통상적인 아키텍처에서, 사용자의 애플리케이션을 실행하기 위해 적합한 운영 체제를 포함하고, 네트워크 통신을 담당하는 실행 환경("베이스밴드(baseband)"로 지칭됨)은 일반적으로 보안 요소와 구별된다. 이러한 보안 요소는 범용 집적회로 카드(UICC) 또는 내장형 범용 집적회로 카드(eUICC)이다. 보안 모듈의 일 실시예는 사용자 장비 내에 삽입되어 이동 전화를 위해 사용되는 범용 가입자 식별 모듈(USIM)이다. 보안 요소는 민감한 데이터, 예를 들어, 네트워크와의 접속을 허용하는 애플리케이션, 그리고 암호화 알고리즘 및 키와 같은 관련 인증 데이터(증명되는 크리덴셜(credential))를 저장 및 처리하도록 배치된다. 이러한 데이터는 후자에 접속하는 동안 네트워크에 대한 인증 프로토콜에 의해 사용되도록 의도된다. 이러한 유형의 사용자 장비에는 제한이 없으며, 다른 예시적인 실시형태에서, 사용자 장비의 보안 요소는 민감한 네트워크 접속 데이터를 처리하도록 배치된 보안 소프트웨어 영역이다. 사용자 장비는 모바일 장비, 예를 들어 스마트폰, 태블릿 컴퓨터 등과 같은 스마트 단말기이다. 사용자 장비의 사용자는 운영자에 가입을 신청하여, 운영자의 모바일 네트워크에 접속할 수 있게 된다. 이를 위해, 사용자 장비(10)는 네트워크 접속 프로파일을 형성하는 보안 데이터를 포함한다. 네트워크 접속 프로파일은 보안 방식으로 네트워크에 접속할 수 있게 하는 데이터 세트를 포함한다. 보다 정확하게는, 접속 프로파일은, 사용자 장비(10)의 적어도 하나의 식별자, 사용자의 가입에 의해 사용자가 접속할 수 있는 네트워크의 식별자, 및 통상적으로 K로 표시되는 인증 키와 같은, 네트워크와의 인증 단계 동안 사용되도록 의도된 데이터를 포함한다.
사용자 장비(10)는 도 1에서 (R)AN으로 표시된 접속망을 통해 네트워크 개체에 접속한다. 이러한 접속망은 사용자 장비(10)와의 무선 송신 및 수신을 관리하도록 배치된 기지국을 포함한다.
이러한 5G 시스템 아키텍처는 서비스를 기반으로 한다. 보다 정확하게는, 아키텍처 요소는, 이들을 사용하기 위해 인증되는 다른 네트워크 기능에 공통인 개발 인프라와의 인터페이스를 통해 이들의 서비스를 제공하는 네트워크 기능으로 정의된다. 네트워크 저장소 기능(NRF)은 각각의 네트워크 기능이 다른 네트워크 기능에 의해 제공되는 서비스를 탐색할 수 있게 한다. 또한, 네트워크 노출 기능(NEF)은 이에 따라 노출된 용량에 따라 다른 네트워크 기능으로부터 정보를 수신한다. NEF는 수신된 정보를 통합 데이터 저장소(UDR)와의 표준화된 인터페이스를 사용하여 구조화된 데이터로서 메모리에 저장한다.
특히, 이동 통신망은 30으로 참조되는 통합 데이터 관리(UDM) 서버를 포함한다. 특히, 이러한 관리 서버(30)는 이하의 기능을 구현한다:
- 3GPP 인증 및 키 합의(AKA) 데이터의 생성;
- 5G 시스템의 각각의 가입자를 위한 가입 영구 식별자(SUPI)를 메모리에 저장 및 관리;
- 가입 데이터에 따른 접속의 승인;
- 사용자 장비를 연결하기 위한 네트워크 기능의 등록 관리;
- 가입의 관리.
또한, 이동 통신망은 사용자 장비를 인증하기 위해 적합한, (인증 서버 기능을 위한) 인증 서버 AUSF(20으로 참조됨)를 포함한다.
통상적으로, 그리고 네트워크에 접속하기 위한 목적으로, 사용자 장비(10)의 보안 모듈은, 통합 데이터 관리 서버(30)와 공유되는 인증 키(통상적으로 K로 표시됨)를 메모리에 저장한다. 인증 키(K)는, 인증 데이터를 생성하고, KAUSF, KSEAF, KAMF 키, 및 무선 자원의 제어, 사용자 평면의 데이터, 신호 송출을 암호화하기 위한 키 그리고 소위 중간 키와 같은, 키를 유도하기 위해 사용되도록 의도된다. 키의 계층 구조는 예를 들어, 3GPP 규격서 TS 33.501 V0.6.0(2017년 12월)의 "5G 시스템을 위한 보안 아키텍처 및 절차(릴리스 15)"의 도 6.2.1-1에 도시된다. 이러한 인증 절차 동안, 확률 변수(RAND)가 사용된다.
마스터 키(KAUSF)는 인증 서버(20)와 사용자 장비(10) 간에 공유되는 시크릿 키이다. 설명되는 실시형태에서, 이러한 2개의 장치는 인증 절차의 종료 시에 이러한 마스터 키(KAUSF)를 메모리에 저장한다.
EAP-AKA' 인증의 경우, 마스터 키(KAUSF)는 사용자 장비(10) 및 인증 서버(20)에 의해, 확장된 마스터 세션 키(EMSK)로부터 결정된다. 더 자세한 내용으로서, TS 33.501 문서의 6.1.3.1 단락은 이러한 EAP-AKA' 인증 절차를 더 상세히 설명한다. 5G AKA 인증의 경우, 마스터 키(KAUSF)는 사용자 장비(10) 및 인증 서버(20)에 의해, CK/IK 키(CK는 암호화 키를 의미하고, IK는 무결성 키를 의미함)로부터 결정된다. 마스터 키(KAUSF)는 키 유도 함수(KDF)를 입력 파라미터에 적용함으로써, TS 33.501 문서의 부록 A의 A.2 단락에 명시된 바와 같이, CK/IK 키로부터 유도된다. 더 자세한 내용으로서, TS 33.501 문서의 6.1.3.2 단락은 이러한 5G AKA 인증 절차를 더 상세히 설명한다.
아래에서, KDF는 3GPP 규격서 TS 33.220 V15.1.0(2018년 1월)의 "범용 인증 아키텍처(GAA); 범용 부트스트랩 아키텍처(GBA)(릴리스 15)"에 명시된 함수에 해당한다. 특히, 이 문서는, 해당 키를 사용하여, 입력 파라미터의 일부를 형성하는 입력 문자열(S)을 KDF에 대해 구성하는 방법을 명시한다.
제안된 방법을 구현하기 위해, 서비스(Nausf_UEAuthentication)와 더불어, 예를 들어 Nausf_UE_AF_comm(request)로 표시되는 서비스(UE_AF_comm)가 인증 서버(20)에 의해 노출된다. Nausf는 인증 서버 AUSF와 네트워크의 다른 기능 사이의 인터페이스에 주어진 명칭에 해당한다. 마찬가지로, 예를 들어 Naf_UE_AF_comm (UE_ausf_notify)로 표시되는 서비스(UE_AF_comm)가 애플리케이션 서버(40)에 의해 노출된다. Naf는 애플리케이션 서버 AF와 네트워크의 다른 기능 사이의 인터페이스에 주어진 명칭에 해당한다. 다양한 네트워크 기능에 의해 노출되는 서비스는 3GPP 규격서 TS 23.502 V2.0.0(2017년 12월)의 "5G 시스템을 위한 절차; 스테이지 2(릴리스 15)"에 상세히 기술된다.
애플리케이션 서버(40)는 이동 통신망의 운영자에 의해 관리될 수 있거나, 타사에 의해 관리될 수 있다.
사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 시스템(1)은 적어도 사용자 장비(10) 및 인증 서버(20)를 포함한다.
하나의 특정 실시형태에서, 시스템(1)은 애플리케이션 서버(40)를 더 포함한다.
사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법은 사용자 장비(10), 애플리케이션 서버(40), 및 인증 서버(20)에 의해 구현되며, 도 2를 참조하여 이제 설명될 것이다.
이하에서, 환경은 전술한 바와 같은 5G 이동 통신망의 환경이다.
인증 절차는 사용자 장비를 이동 통신망에 등록하는 동안, 단계(E1)에서 사용자 장비(10)에 의해 구현되고, 단계(G1)에서 인증 서버(20)에 의해 구현된다. 이러한 인증 절차 동안, 사용자 장비(10) 및 인증 서버(20)에 의해, 시크릿 마스터 키(KAUSF)가 확률 변수(RAND1)로부터 생성된다. 단계(E1)의 종료 시에, 사용자 장비(10)는 생성된 마스터 키(KAUSF)를 저장 메모리(105)에 저장한다. 상응하여, 단계(G1)의 종료 시에, 인증 서버(20)는 생성된 마스터 키(KAUSF)를 저장 메모리(205)에 저장한다.
사용자 장비(10)는 단계(E2)에서, 접속 요청(M1)을 애플리케이션 서버(40)에 전송한다. 특히, 이러한 접속 요청(M1)은,
- 통신망을 식별할 수 있게 하는 정보(예를 들어, 모바일 국가 코드(MCC) 및 모바일 네트워크 코드(MNC));
- 통신망의 운영자에 의해 사전에 제공된 사용자 장비(10)의 식별자(UEID)를 포함한다.
이러한 식별자(UEID)는 가입 식별자(SUPI)와 상이하지만, 네트워크 운영자는 주어진 연결을 위해 이러한 사용자 식별자(UEID)를 가입 식별자(SUPI)와 연관시키도록 배치된다. 하나의 특정 실시형태에서, 이러한 사용자 식별자(UEID)는 네트워크 운영자에 의해 할당된다.
하나의 특정 실시형태에서, 사용자 식별자(UEID)는 통신망을 식별할 수 있게 하는 정보를 포함한다.
예시로서, 식별자(UEID)는 성.이름@orange.fr의 형식을 취한다. 이러한 식별자는 사용자 장비를 식별할 수 있게 하고, 운영자 Orange를 식별할 수 있게 한다. 그 다음, 네트워크 식별자(MCC 208 및 MNC 01)를 이로부터 추정하는 것이 가능하다.
이러한 메시지(M1)는 단계(F1)에서 애플리케이션 서버(40)에 의해 수신된다. 여전히 이러한 단계(F1) 동안, 애플리케이션 서버(40)는 네트워크 식별자를 결정하고, 적절한 경우, NEF를 담당하는 서버를 통해, 식별된 운영자의 통신망의 인증 서버(20)에 요청(M2)을 전송한다. 특히, 이러한 요청(M2)은 애플리케이션 서버 식별자(AFID), 및 선택적으로, 요구되는 유효 지속시간(ExpireTimeAF)을 포함한다. 예를 들어, 애플리케이션 서버 식별자(AFID)는 "service.fr"에 해당한다.
이러한 요청(M2)은 단계(G2)에서 인증 서버(20)에 의해 수신된다. 여전히 이러한 단계(G2)에서, 인증 서버(20)는 마스터 키(KAUSF)에 기초하여 적용된 KDF를 사용하여, 사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키(KAF)를 계산한다. 특히, 입력 문자열(S)은 사용자 식별자(UEID), 유효 지속시간(ExpireTimeAUSF), 애플리케이션 서버의 식별자(AFID), 및 확률 변수(RAND2)를 포함한다. 후자는 인증 서버(20)에 의해 선택되고, 인증 절차에서 사용된 확률 변수(RAND1)와는 관련이 없다. 유효 지속시간(ExpireTimeAUSF)은 인증 서버(20)에 의해 결정된다.
여전히 이러한 단계(G2)에서, 인증 서버(20)는, 애플리케이션 서버 식별자(AFID) 및 사용자 장비를 위해 의도된 증명서(P)를 포함하는 인증 토큰(AFAUTN)을 준비한다. 이러한 증명서(P)는 마스터 키(KAUSF), 애플리케이션 서버 식별자(AFID) 및 유효 지속시간(ExpireTimeAUSF)을 입력으로 사용하는 함수(f)의 결과에 해당한다:
.
이러한 함수(f)는 리플레이(replay)로부터 보호되도록 선택된다.
따라서, 인증 토큰(AFAUTN)은 에 해당하고, 여기서 는 연결 연산자에 해당한다. 이러한 인증 토큰에서, 애플리케이션 서버 식별자(AFID)는 평문이다.
그 다음, 인증 서버(20)는 마스터 키(KAUSF) 및 가입 식별자(SUPI)와 관련하여, 특히 사용자 식별자(UEID) 및 애플리케이션 서버 식별자(AFID)를 메모리에 저장한다.
그 다음, 인증 서버(20)는 키(KAF) 및 인증 토큰(AFAUTN)을 포함하는 메시지(M3)를 통해, 애플리케이션 서버(40)에 통지한다. 따라서, 인증 서버(20)는 계산된 키(KAF) 및 사용자 장비(10)를 위해 준비된 증명서를 애플리케이션 서버(40)에 전달하며, 이러한 증명서는, 사용자 장비에 의해 전송된 접속 요청(M1)에 응답하여, 애플리케이션 서버(40)에 의해 사용자 장비(10)에 전송되도록 의도된다. 하나의 특정 실시형태에서, 메시지(M3)는 유효 지속시간(ExpireTimeAUSF)을 포함한다.
이러한 메시지(M3)는 단계(F2)에서 애플리케이션 서버(40)에 의해 수신된다. 하나의 특정 실시형태에서, 애플리케이션 서버(40)는 2개의 키로서, 암호화를 위한 KAFenc 및 무결성 보호를 위한 KAFint를 KAF로부터 유도한다.
이러한 단계(F2)에서, 애플리케이션 서버(40)는 단계(F1)에서 수신된 접속 요청(M1)에 응답하여, 메시지(M4)를 사용자 장비(10)에 전송한다. 특히, 이러한 메시지(M4)는 인증 토큰(AFAUTN), 및 적절한 경우, 유효 지속시간(ExpireTimeAUSF)을 포함한다. 여기서, 사용자 장비(10)가 네트워크에 인증되기 때문에, 사용자 장비(10)와 애플리케이션 서버(40) 간의 교환은 네트워크 키에 의해 보호됨을 유의한다.
단계(E3)에서, 사용자 장비(10)는 메시지(M4)를 수신하고, 인증 토큰(AFAUTN)의 증명서를 검증한다. 이러한 증명서는 식별된 애플리케이션 서버(40)가 인증 서버(20)와 실제로 통신했는지 그리고 키(KAF)를 실제로 이에 이용 가능하게 하는지를 사용자 장비(10)가 검증할 수 있게 한다. 이는 사용자 장비(10)에서 임의의 키 유도가 수행되기 전에, 애플리케이션 서버(40)가 그렇게 하도록 실제로 승인되는지를 검증할 수 있게 한다. 키(KAF)의 요청이 인증 서버(20)에 전송되는지 여부는 사용자 장비(10)에 의한 증명서의 검증에 따라 좌우된다.
증명서가 일치하는 것으로 검증되지 않는 경우, 사용자 장비(10)는 키(KAF)를 결정하기 위한 방법을 종료한다.
증명서가 일치하는 것으로 검증되는 경우, 단계(E4)에서, 사용자 장비(10)는 애플리케이션 서버(40)와 통신하기 위한 목적으로 키를 요청하는 메시지(M5)를 인증 서버(20)에 전송한다. 특히, 이러한 메시지(M5)는 이의 사용자 식별자(UEID) 및 애플리케이션 서버 식별자(AFID)를 포함한다. 여기서, 사용자 장비(10)가 네트워크에 인증되기 때문에, 사용자 장비(10)와 인증 서버(20) 간의 교환은 네트워크 키에 의해 보호됨을 유의한다.
이러한 키 요청 메시지(M5)는 단계(G3)에서 인증 서버(20)에 의해 수신된다. 그 다음, 인증 서버는 단계(G2)에서 메모리에 저장된 정보에 의하여, 사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키(KAF)를 이미 계산했는지 여부를 검증한다. 확률 변수(RAND2)가 사용자 장비(10)에 전송되는지 여부는 이러한 검증에 따라 좌우된다. 검증이 부정인 경우, 인증 서버(20)는 키를 결정하기 위한 방법을 종료한다. 검증이 긍정인 경우, 인증 서버(20)는 응답 메시지(M6)를 사용자 장비(10)에 전송한다. 특히, 이러한 메시지(M6)는, 사용자 식별자(UEID), 유효 지속시간(ExpireTimeAUSF), 애플리케이션 서버 식별자(AFID), 및 키(KAF)를 계산하기 위해 인증 서버(20)에 의해 사용된 확률 변수(RAND2)를 포함한다.
단계(E5)에서, 사용자 장비(10)는 메시지(M6)를 수신하고, 인증 서버(20)에 대해 단계(G2)에서 설명된 방식으로, 마스터 키(KAUSF)로부터 키(KAF)를 유도한다. 하나의 특정 실시형태에서, 사용자 장비(10)는 2개의 키로서, 암호화를 위한 KAFenc 및 무결성 보호를 위한 KAFint를 키(KAF)로부터 유도한다.
따라서, 이러한 단계(E5)의 종료 시에, 사용자 장비(10)는 애플리케이션 서버(40)와의 통신을 보안되게 하도록 의도된 키(KAF)를 계산하였다. 또한, 후자는 인증 서버로부터 획득된 이러한 키(KAF)를 이에 이용 가능하게 한다. 이러한 키는 새로운 인증이 요구됨이 없이, 그리고 이에 따라 사용자 장비의 보안 요소를 다시 요청함이 없이 결정되었다.
그 다음, 사용자 장비(10)와 애플리케이션 서버(40) 간에 통신이 설정되고, 이러한 통신은 키(KAF)를 사용하여 보안이 이루어지며, 적절한 경우, 유효 지속시간(ExpireTimeAUSF)에 의해 제한된다. 따라서, 이러한 결정 방법은 사용자 장비와 애플리케이션 서버 간의 보안 통신을 설정하기 위한 방법에 통합될 수 있다.
새로운 인증 이후에 마스터 키(KAUSF)가 변경되는 경우, 키(KAF)가 마스터 키(KAUSF)와 분리되어 있기 때문에, 이것이 보안 통신에 영향을 주지 않는다.
따라서, 키(KAF)는 애플리케이션 서버와의 각각의 통신에 대해 결정될 수 있다.
이러한 서비스는 서비스 기반인 새로운 5G 아키텍처로 인해, 인증 서버 및 애플리케이션 서버에 용이하게 통합된다. 인증 서버에서 새로운 서비스(Nausf_UE_AF_comm(request))가 생성된다. 따라서, 방법은 이에 따라 이미 운영자의 네트워크에 통합된 기존의 인증 서버를 기반으로 한다. 따라서, 이러한 방법은 종래기술의 GBA 기술보다 더 용이하게 구현될 수 있다. 이러한 방법은 또한 사용자 장비에서 용이하게 구현된다. 애플리케이션 서버에서 서비스(Naf_UE_AF_comm(UE_ausf_notitfy))가 생성된다. 방법을 구현할 때 인증 서버와 UDM 서버 간에 교환이 없으며, 후자는 이미 실행되었던 인증을 기반으로 한다. 따라서, 이러한 방법의 배포 비용은 적다.
설명된 실시형태는 사용자 장비를 위해 의도된 증명서를 준비하는 인증 서버를 포함한다. 이러한 증명서는 애플리케이션 서버에 의해 사용자 장비에 전달되며, 후자에 의해 검증된다. 다른 특정 실시형태에서, 이러한 증명서의 준비 및 이의 검증은 구현되지 않는다.
설명된 실시형태는 키 유도 함수의 입력 파라미터를 정의한다. 여기서, 특정 실시형태에서, 이러한 파라미터 중 일부는 없을 수 있거나, 실제로 다른 파라미터가 추가될 수 있음을 유의한다.
키를 결정하기 위한 이러한 기술은 사용자 장비와 애플리케이션 서버 간의 통신을 보안하기 위한 절차를 간소화시킬 수 있게 함을 이해할 것이다. 일단 사용자 장비가 이의 모바일 네트워크 운영자의 인증 서버에 인증되면, 종래기술의 GBA 기술의 제약 없이 이러한 키를 결정하기가 용이하다. 이러한 기술을 5G 이동 통신망에 통합하는 것도 용이하다.
이러한 다양한 실시형태에는 제한이 없으며, 당업자라면, 인증 절차에 사용되는 것과는 별개의 확률 변수를 사용하여, 인증 서버와 사용자 장비 간에 공유되는 마스터 키에 따라, 이러한 키를 결정할 수 있게 하는 다른 것들을 이로부터 한정할 수 있을 것이다.
도 3은 하나의 특정 실시형태의 사용자 장비(10)를 개략적으로 도시한다.
특히, 사용자 장비(10)는,
- 소프트웨어-모듈 코드 명령을 실행하기 위한 프로세서(100);
- 이동 통신망과의 통신 인터페이스를 형성하고, 통신망의 장치(예를 들어, 인증 서버 및 애플리케이션 서버)와 통신하도록 배치되는 통신 모듈(101);
- 결정 방법의 단계를 구현하기 위한 코드 명령을 포함하는 프로그램을 저장하도록 배치된 메모리 영역(105);
- 결정 방법의 구현 동안 사용되는 데이터를 저장하도록 배치된 저장 메모리(106);
- 보안 요소(도 3에 도시되지 않음)를 포함한다.
또한, 사용자 장비는,
- 사용자 장비가 이동 통신망의 인증 서버(20)에 의해 인증될 수 있게 하는 인증 모듈(102)로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈(102);
- 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여, 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키가 계산될 수 있게 하는 컴퓨팅 모듈(103)로서, 상기 확률 변수는 인증 서버로부터 사용자 장비에 의해 수신되는, 컴퓨팅 모듈(103);
- 키(KAF)를 사용하여 애플리케이션 서버(40)와의 보안 통신을 설정하도록 배치된 연결 모듈(104)을 포함한다.
특히, 통신 모듈(101)은 애플리케이션 서버와 통신하기 위한 목적으로 키 요청을 인증 서버에 전송하도록 배치된다.
특히, 저장 메모리(106)는 인증 절차 동안 결정된 마스터 키(KAUSF)를 저장하도록 배치된다. 하나의 특정 실시형태에서, 이러한 인증 절차는 이동 통신망에 사용자 장비를 등록하는 동안 트리거된다.
특히, 하나의 특정 실시형태에서, 통신 모듈(101)은 접속 요청을 애플리케이션 서버에 전송하며, 인증 서버에 의해 준비되고 사용자 장비를 위해 의도되는 증명서를 애플리케이션 서버로부터 수신하도록 배치된다. 그 다음, 컴퓨팅 모듈(103)은 이러한 증명서를 검증하도록 배치되며, 키 요청이 전송되는지 여부는 이러한 검증에 따라 좌우된다.
하나의 특정 실시형태에서, 컴퓨팅 모듈(103)은 2개의 키로서, 암호화를 위한 KAFenc 및 무결성 보호를 위한 KAFint를 KAF로부터 유도하도록 배치된다.
여기서, 사용자 장비(10)는 이러한 사용자 장비의 다양한 기능을 수행하도록 배치된 다른 처리 모듈(도 3에 도시되지 않음)을 더 포함함을 유의한다.
도 4는 하나의 특정 실시형태의 인증 서버(20)를 개략적으로 도시한다.
특히, 이동 통신망의 인증 서버(20)는,
- 소프트웨어-모듈 코드 명령을 실행하기 위한 프로세서(200);
- 이동 통신망과 관련된 통신 인터페이스를 형성하고, 통신망의 장치(예를 들어, 사용자 장비 및 애플리케이션 서버)와 통신하도록 배치되는 통신 모듈(201);
- 결정 방법의 단계를 구현하기 위한 코드 명령을 포함하는 프로그램을 메모리에 저장하도록 배치된 메모리 영역(204);
- 결정 방법의 구현 동안 사용되는 데이터를 저장하도록 배치된 저장 메모리(205)를 포함한다.
또한, 인증 서버(20)는,
- 사용자 장비의 인증을 수행하도록 배치된 인증 모듈(202)로서, 상기 인증 동안, 사용자 장비 및 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈(202);
- 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산하기 위한 컴퓨팅 모듈(203)을 포함하며, 상기 키는 적어도 확률 변수, 사용자 식별자, 및 애플리케이션 서버의 식별자에 적용된 키 유도 함수를 사용하여, 그리고 마스터 키를 사용하여 계산된다.
특히, 통신 모듈(201)은 애플리케이션 서버와 통신하기 위한 목적으로, 그리고 확률 변수를 사용자 장비에 전송되게 하기 위한 목적으로, 사용자 장비에 의해 전송된 키 요청을 수신하도록 배치된다. 또한, 통신 모듈(201)은 계산된 키를 애플리케이션 서버에 전달하도록 배치된다.
특히, 저장 메모리(205)는 인증 절차 동안 결정된 마스터 키(KAUSF)를 저장하도록 배치된다. 하나의 특정 실시형태에서, 이러한 인증 절차는 이동 통신망에 사용자 장비를 등록하는 동안 트리거된다.
특히, 하나의 특정 실시형태에서, 컴퓨팅 모듈(203)은 사용자 장비를 위해 의도된 증명서를 준비하도록 배치된다. 그 다음, 통신 모듈(201)은 이러한 증명서를 애플리케이션 서버에 전달하도록 배치됨으로써, 후자는 사용자 장비에 의해 전송된 접속 요청에 응답하여 사용자 장비에 이를 전송할 수 있으며, 키 요청이 인증 서버에 전송되는지 여부는 사용자 장비에 의해 수행되는 바와 같은 이러한 증명서의 검증에 따라 좌우된다.
하나의 특정 실시형태에서, 저장 메모리(205)는 마스터 키(KAUSF) 및 가입 식별자(SUPI)와 관련하여, 특히 사용자 식별자(UEID) 및 애플리케이션 서버 식별자(AFID)를 저장하도록 배치된다.
특히, 하나의 특정 실시형태에서, 컴퓨팅 모듈(203)은 사용자 장비와 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산했는지를 검증하도록 배치되며, 확률 변수가 사용자 장비에 전송되는지 여부는 이러한 검증에 따라 좌우된다. 특히, 이러한 검증은 저장 메모리(205)의 참조를 포함한다.
하나의 특정 실시형태에서, 인증 서버는 전술한 바와 같은, 서비스(UE_AF_Comm)를 노출시키도록 배치된 모듈을 포함한다.
여기서, 인증 서버(20)는 이러한 인증 서버의 다양한 기능을 수행하도록 배치된 다른 처리 모듈(도 4에 도시되지 않음)을 더 포함함을 유의한다.
도 5는 하나의 특정 실시형태의 애플리케이션 서버(40)를 개략적으로 도시한다.
특히, 애플리케이션 서버(40)는,
- 소프트웨어-모듈 코드 명령을 실행하기 위한 프로세서(400);
- 이동 통신망과의 통신 인터페이스를 형성하고, 통신망의 장치(예를 들어, 사용자 장비 및 인증 서버)와 통신하도록 배치되는 통신 모듈(401);
- 결정 방법의 단계를 구현하기 위한 코드 명령을 포함하는 프로그램을 저장하도록 배치된 메모리 영역(404);
- 결정 방법의 구현 동안 사용되는 데이터를 저장하도록 배치된 저장 메모리(405)를 포함한다.
또한, 애플리케이션 서버(40)는,
- 사용자 장비로부터 수신된 접속 요청(M1)으로부터, 네트워크 식별자를 결정하도록 배치된, 네트워크 식별자를 결정하기 위한 모듈(402);
- 키(KAF)를 사용하여 사용자 장비(10)와의 보안 통신을 설정하도록 배치된 연결 모듈(403)을 포함한다.
특히, 통신 모듈(401)은 사용자 장비에 의해 전송된 접속 요청(M1)을 수신하고, 식별된 운영자의 통신망의 인증 서버(20)에 요청(M2)을 전송하도록 배치된다. 또한, 통신 모듈(401)은 사용자 장비와의 통신을 보안되게 하도록 의도된 키(KAF)를 수신하도록 배치된다.
하나의 특정 실시형태에서, 통신 모듈(401)은 사용자 장비(10)를 위해 의도되는 준비된 증명서를 인증 서버로부터 수신하고, 사용자 장비에 의해 전송된 접속 요청(M1)에 응답하여, 이러한 증명서를 사용자 장비(10)에 전송하도록 배치된다.
하나의 특정 실시형태에서, 애플리케이션 서버(40)는 2개의 키로서, 암호화를 위한 KAFenc 및 무결성 보호를 위한 KAFint를 KAF로부터 유도하도록 배치된 컴퓨팅 모듈을 더 포함한다.
하나의 특정 실시형태에서, 저장 메모리(405)는 사용자 식별자(UEID)와 관련하여, 키(KAF)를 저장하도록 배치된다.
하나의 특정 실시형태에서, 애플리케이션 서버는 전술한 바와 같은, 서비스(UE_AF_Comm)를 노출시키도록 배치된 모듈을 포함한다.
여기서, 애플리케이션 서버(40)는 이러한 애플리케이션 서버의 다양한 기능을 수행하도록 배치된 다른 처리 모듈(도 5에 도시되지 않음)을 더 포함함을 유의한다.
키를 결정하기 위한 기술은 소프트웨어 및/또는 하드웨어 구성 요소를 사용하여 구현된다. 이러한 관점에서, "모듈"이라는 용어는 본 명세서에서, 소프트웨어 구성 요소 또는 하드웨어 구성 요소에 해당할 수 있거나, 해당 모듈과 관련하여 위에서 주어진 설명에 따라, 기능 또는 기능 세트를 수행할 수 있는 하드웨어 및/또는 소프트웨어 구성 요소의 세트에 해당할 수 있다.
소프트웨어 구성 요소는 하나 이상의 컴퓨터 프로그램, 프로그램의 하나 이상의 서브 프로그램, 또는 보다 일반적으로는 소프트웨어 패키지 또는 프로그램의 임의의 요소에 해당한다. 이러한 소프트웨어 구성 요소는 메모리에 저장된 다음, 물리적 개체의 데이터 프로세서에 의해 로딩 및 실행되며, 이러한 물리적 개체의 하드웨어 자원(메모리, 저장 매체, 통신 버스, 입력/출력 회로 기판, 사용자 인터페이스 등)에 접속할 수 있다.
동일한 방식으로, 하드웨어 구성 요소는 하드웨어 조립체의 임의의 요소에 해당한다. 이는 소프트웨어를 실행하기 위한 집적 프로세서가 있거나 없는 프로그래밍 가능한 또는 프로그래밍 가능하지 않은 하드웨어 구성 요소의 사항일 수 있다. 이는 예를 들어, 집적회로, 칩 카드, 펌웨어를 실행하기 위한 회로 기판 등의 사항이다.
하나의 특정 실시형태에서, 모듈(101, 102, 103, 104)은 사용자 장비에 의해 구현되는 전술한 결정 방법의 단계를 구현하도록 배치된다. 이는 바람직하게는, 사용자 장비에 의해 구현되는 전술한 결정 방법의 그러한 단계(또는 동작)를 실행시키기 위한 소프트웨어 명령을 포함하는 소프트웨어 모듈의 사항이다. 따라서, 본 발명은 또한,
- 사용자 장비를 위한 프로그램으로서, 상기 프로그램이 이러한 사용자 장비에 의해 실행될 때, 전술한 바와 같은 결정 방법의 그러한 단계(또는 동작)의 실행을 명령하도록 의도된 프로그램 코드 명령을 포함하는, 사용자 장비를 위한 프로그램;
- 장비를 위한 프로그램이 저장되고, 사용자 장비에 의해 판독 가능한 저장 매체에 관한 것이다.
하나의 특정 실시형태에서, 모듈(201, 202, 203)은 인증 서버에 의해 구현되는 전술한 결정 방법의 단계를 구현하도록 배치된다. 이는 바람직하게는, 인증 서버에 의해 구현되는 전술한 결정 방법의 그러한 단계(또는 동작)를 실행시키기 위한 소프트웨어 명령을 포함하는 소프트웨어 모듈의 사항이다. 따라서, 본 발명은 또한,
- 인증 서버를 위한 프로그램으로서, 상기 프로그램이 이러한 인증 서버에 의해 실행될 때, 전술한 결정 방법의 그러한 단계(또는 동작)의 실행을 명령하도록 의도된 프로그램 코드 명령을 포함하는, 인증 서버를 위한 프로그램;
- 서버를 위한 프로그램이 저장되고, 인증 서버에 의해 판독 가능한 저장 매체에 관한 것이다.
하나의 특정 실시형태에서, 모듈(401, 402, 403)은 애플리케이션 서버에 의해 구현되는 전술한 결정 방법의 단계를 구현하도록 배치된다. 이는 바람직하게는, 애플리케이션 서버에 의해 구현되는 전술한 결정 방법의 그러한 단계(또는 동작)를 실행시키기 위한 소프트웨어 명령을 포함하는 소프트웨어 모듈의 사항이다. 따라서, 본 발명은 또한,
- 애플리케이션 서버를 위한 프로그램으로서, 상기 프로그램이 이러한 애플리케이션 서버에 의해 실행될 때, 전술한 결정 방법의 그러한 단계(또는 동작)의 실행을 명령하도록 의도된 프로그램 코드 명령을 포함하는, 애플리케이션 서버를 위한 프로그램;
- 서버를 위한 프로그램이 저장되고, 애플리케이션 서버에 의해 판독 가능한 저장 매체에 관한 것이다.
소프트웨어 모듈은 데이터 매체에 저장될 수 있거나, 데이터 매체를 통해 전송될 수 있다. 후자는 하드웨어 저장 매체, 예를 들어, CD-ROM, 플로피 디스크 또는 하드 디스크, 또는 실제로 전기, 광 또는 무선 신호와 같은 전송 매체, 또는 통신망일 수 있다.
부록
- 인증 서버 기능(AUSF)
- 접속 및 이동성 관리 기능(AMF)
- 데이터 네트워크(DN), 예를 들어 운영자 서비스, 통신망과의 확장된 접속 또는 실제로 타사 서비스
- 네트워크 노출 기능(NEF)
- NF 저장소 기능(NRF)
- 네트워크 슬라이스 선택 기능(NSSF)
- 정책 제어 기능(PCF)
- 세션 관리 기능(SMF)
- 통합 데이터 관리(UDM)
- 사용자 평면 기능(UPF)
- 애플리케이션 기능(AF)
- 사용자 장비(UE)
- (무선) 접속망((R)AN)

Claims (13)

  1. 사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법으로서,
    - 이동 통신망의 인증 서버(20)에 의해 상기 사용자 장비를 인증하는 단계(E1)로서, 상기 인증 동안, 상기 사용자 장비 및 상기 인증 서버에 의해 시크릿 마스터 키가 생성되는, 단계(E1);
    - 상기 애플리케이션 서버와 통신하기 위한 목적으로 키 요청을 상기 사용자 장비에 의해 상기 인증 서버에 전송하는 단계(E4);
    - 적어도 확률 변수, 사용자 식별자, 및 상기 애플리케이션 서버의 식별자에 적용되는 키 유도 함수를 사용하여, 그리고 상기 마스터 키를 사용하여, 상기 키를 계산하는 단계(E5)를 포함하며,
    상기 확률 변수는 상기 인증 서버로부터 상기 사용자 장비에 의해 수신되는,
    방법.
  2. 제1항에 있어서,
    상기 인증은 상기 이동 통신망에 상기 사용자 장비를 등록하는 동안 트리거되는,
    방법.
  3. 제1항에 있어서,
    상기 사용자 장비는 상기 애플리케이션 서버에 접속 요청을 전송하며(E2), 상기 사용자 장비를 위해 의도되고 상기 인증 서버에 의해 준비되는 증명서를 상기 애플리케이션 서버로부터 수신하고,
    상기 키 요청이 전송되는지 여부는 상기 사용자 장비에 의한 상기 증명서의 검증(E3)에 따라 좌우되는,
    방법.
  4. 사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 방법으로서,
    - 이동 통신망의 인증 서버(20)에 의해 상기 사용자 장비를 인증하는 단계(G1)로서, 상기 인증 동안, 상기 사용자 장비 및 상기 인증 서버에 의해 시크릿 마스터 키가 생성되는, 단계(G1);
    - 상기 애플리케이션 서버와 통신하기 위한 목적으로 상기 사용자 장비에 의해 전송된 키 요청을 상기 인증 서버에 의해 수신하는 단계(G3);
    - 상기 인증 서버에 의해 확률 변수를 상기 사용자 장비에 전송하는 단계(G3);
    - 적어도 상기 확률 변수, 사용자 식별자, 및 상기 애플리케이션 서버의 식별자에 적용되는 키 유도 함수를 사용하여, 그리고 상기 마스터 키를 사용하여, 상기 키를 계산하는 단계(G2)를 포함하는,
    방법.
  5. 제4항에 있어서,
    상기 인증 서버는 상기 사용자 장비를 위해 의도되는 준비된 증명서를 상기 애플리케이션 서버에 전달하며(G2),
    상기 증명서는 상기 사용자 장비에 의해 전송된 접속 요청에 응답하여, 상기 애플리케이션 서버에 의해 상기 사용자 장비에 전송되도록 의도되고,
    상기 키 요청이 상기 인증 서버에 전송되는지 여부는 상기 사용자 장비에 의한 상기 증명서의 검증에 따라 좌우되는,
    방법.
  6. 제4항에 있어서,
    상기 인증 서버는 상기 사용자 장비와 상기 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산했는지를 검증하며(G3),
    상기 확률 변수가 상기 사용자 장비에 전송되는지 여부는 상기 검증에 따라 좌우되는,
    방법.
  7. 이동 통신망을 통해 애플리케이션 서버(40)와 통신하도록 배치된 사용자 장비(10)로서,
    - 상기 이동 통신망의 인증 서버(20)가 상기 사용자 장비의 인증을 수행할 수 있게 하는 인증 모듈(102)로서, 상기 인증 동안, 상기 사용자 장비 및 상기 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈(102);
    - 상기 사용자 장비가 상기 애플리케이션 서버와 통신하기 위한 목적으로 키 요청을 상기 인증 서버에 전송할 수 있게 하는 전송 모듈(101);
    - 적어도 확률 변수, 사용자 식별자, 및 상기 애플리케이션 서버의 식별자에 적용되는 키 유도 함수를 사용하여, 그리고 상기 마스터 키를 사용하여, 상기 사용자 장비와 상기 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키가 계산될 수 있게 하는 컴퓨팅 모듈(103)을 포함하며,
    상기 확률 변수는 상기 인증 서버로부터 상기 사용자 장비에 의해 수신되는,
    이동 통신망을 통해 애플리케이션 서버(40)와 통신하도록 배치된 사용자 장비(10).
  8. 이동 통신망의 인증 서버(20)로서,
    - 사용자 장비의 인증을 수행하도록 배치된 인증 모듈(202)로서, 상기 인증 동안, 상기 사용자 장비 및 상기 인증 서버에 의해 시크릿 마스터 키가 생성되는, 인증 모듈(202);
    - 애플리케이션 서버와 통신하기 위한 목적으로 상기 사용자 장비에 의해 전송된 키 요청을 수신하기 위한 수신 모듈(201);
    - 상기 인증 서버가 확률 변수를 상기 사용자 장비에 전송할 수 있게 하는 전송 모듈(201);
    - 상기 사용자 장비와 상기 애플리케이션 서버 간의 통신을 보안되게 하도록 의도된 키를 계산하기 위한 컴퓨팅 모듈(203)을 포함하며,
    상기 키는 적어도 상기 확률 변수, 사용자 식별자, 및 상기 애플리케이션 서버의 식별자에 적용되는 키 유도 함수를 사용하여, 그리고 상기 마스터 키를 사용하여 계산되는,
    이동 통신망의 인증 서버(20).
  9. 사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 시스템(1)으로서,
    상기 시스템은 적어도, 제7항에 따른 사용자 장비, 및 제8항에 따른 인증 서버를 포함하는,
    사용자 장비(10)와 애플리케이션 서버(40) 간의 통신을 보안되게 하도록 의도된 키를 결정하기 위한 시스템(1).
  10. 프로그램이 저장된 컴퓨터 판독가능 저장 매체로서,
    상기 프로그램은, 상기 프로그램이 프로세서에 의해 실행될 때, 제1항 내지 제3항 중 어느 한 항에 따른 방법의 단계들의 실행을 명령하도록 의도된 프로그램 코드 명령들을 포함하는,
    프로그램이 저장된 컴퓨터 판독가능 저장 매체.
  11. 삭제
  12. 프로그램이 저장된 컴퓨터 판독가능 저장 매체로서,
    상기 프로그램은, 상기 프로그램이 프로세서에 의해 실행될 때, 제4항 내지 제6항 중 어느 한 항에 따른 방법의 단계들의 실행을 명령하도록 의도된 프로그램 코드 명령들을 포함하는,
    프로그램이 저장된 컴퓨터 판독가능 저장 매체.
  13. 삭제
KR1020207021111A 2018-01-19 2019-01-11 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법 KR102632519B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1850440 2018-01-19
FR1850440A FR3077175A1 (fr) 2018-01-19 2018-01-19 Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
PCT/FR2019/050056 WO2019141924A1 (fr) 2018-01-19 2019-01-11 Technique de détermination d'une clé destinée à sécuriser une communication entre un équipement utilisateur et un serveur applicatif

Publications (2)

Publication Number Publication Date
KR20200110345A KR20200110345A (ko) 2020-09-23
KR102632519B1 true KR102632519B1 (ko) 2024-01-31

Family

ID=62167479

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207021111A KR102632519B1 (ko) 2018-01-19 2019-01-11 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법

Country Status (7)

Country Link
US (1) US11895487B2 (ko)
EP (1) EP3741148B1 (ko)
JP (1) JP7301852B2 (ko)
KR (1) KR102632519B1 (ko)
CN (1) CN111630882B (ko)
FR (1) FR3077175A1 (ko)
WO (1) WO2019141924A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11538031B2 (en) * 2017-03-31 2022-12-27 Vijay Madisetti Method and system for identity and access management for blockchain interoperability
CN116097690A (zh) * 2020-08-07 2023-05-09 华为技术有限公司 一种通用引导架构中的方法及相关装置
US11652646B2 (en) * 2020-12-11 2023-05-16 Huawei Technologies Co., Ltd. System and a method for securing and distributing keys in a 3GPP system
US11956627B2 (en) * 2021-02-19 2024-04-09 Nokia Technologies Oy Securing user equipment identifier for use external to communication network
CN114039771B (zh) * 2021-11-08 2023-12-29 阿波罗智联(北京)科技有限公司 一种数据处理方法、装置、系统、电子设备及存储介质
WO2023208183A2 (zh) * 2022-04-29 2023-11-02 中国移动通信有限公司研究院 一种信息传输方法及设备
KR102626310B1 (ko) * 2022-11-17 2024-01-18 주식회사 아이티어뱅크 솔루션 관리대상 시스템의 관리계정 생성방법 및 그 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090117877A1 (en) * 2006-07-04 2009-05-07 Huawei Technologies Co., Ltd. Method and device for realizing push service of gaa
US20150189507A1 (en) * 2012-07-02 2015-07-02 Orange Implementing a Security Association During the Attachment of a Terminal to an Access Network

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1276363C (zh) * 2002-11-13 2006-09-20 深圳市朗科科技有限公司 借助半导体存储装置实现数据安全存储和算法存储的方法
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
US8726023B2 (en) 2005-02-03 2014-05-13 Nokia Corporation Authentication using GAA functionality for unidirectional network connections
GB0504865D0 (en) * 2005-03-09 2005-04-13 Nokia Corp User authentication in a communications system
DE102005026982A1 (de) * 2005-06-10 2006-12-14 Siemens Ag Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
US20070101122A1 (en) * 2005-09-23 2007-05-03 Yile Guo Method and apparatus for securely generating application session keys
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
WO2007085175A1 (fr) 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
EP1835688A1 (en) * 2006-03-16 2007-09-19 BRITISH TELECOMMUNICATIONS public limited company SIM based authentication
DE102006036109B4 (de) * 2006-06-01 2008-06-19 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und System zum Bereitstellen eines Mesh-Schlüssels
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
TR201819540T4 (tr) * 2006-07-06 2019-01-21 Nokia Technologies Oy Kullanıcı Ekipmanı Kimlik Bilgisi Sistemi
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
CN101207477A (zh) * 2006-12-19 2008-06-25 中兴通讯股份有限公司 一种跨域多网守端到端会话密钥协商方法
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
EP2183898B1 (en) * 2007-07-05 2016-09-14 Coherent Logix Incorporated Mobile television broadcast system
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
CN102111759A (zh) * 2009-12-28 2011-06-29 中国移动通信集团公司 一种认证方法、系统和装置
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
US8296836B2 (en) * 2010-01-06 2012-10-23 Alcatel Lucent Secure multi-user identity module key exchange
US9608971B2 (en) * 2011-09-08 2017-03-28 Telefonaktiebolaget Lm Ericcson (Publ) Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers
JP2015501613A (ja) * 2011-10-31 2015-01-15 ノキア コーポレイション 外部コードのためのセキュリティ機構
US8893244B2 (en) * 2011-11-30 2014-11-18 Verizon Patent And Licensing Inc. Application-based credential management for multifactor authentication
US9232391B2 (en) * 2012-05-07 2016-01-05 Industrial Technology Research Institute Authentication system for device-to-device communication and authentication method therefor
EP2885904B1 (en) * 2012-08-03 2018-04-25 Vasco Data Security International GmbH User-convenient authentication method and apparatus using a mobile authentication application
KR102142576B1 (ko) * 2013-05-16 2020-08-10 삼성전자주식회사 단말간 통신을 위한 탐색 방법 및 장치
ES2890499T3 (es) * 2013-09-11 2022-01-20 Samsung Electronics Co Ltd Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB
KR102232121B1 (ko) * 2013-11-14 2021-03-25 삼성전자주식회사 장치 대 장치 통신 시스템에서 보안키를 관리하는 방법 및 장치
US9413759B2 (en) * 2013-11-27 2016-08-09 At&T Intellectual Property I, Lp Apparatus and method for secure delivery of data from a communication device
US9870395B2 (en) * 2014-03-21 2018-01-16 Pearson Education, Inc. Conditioned transmission of query responses and connection assessments
US9491618B2 (en) * 2014-09-26 2016-11-08 Qualcomm Incorporated Serving network authentication
US20160127903A1 (en) * 2014-11-05 2016-05-05 Qualcomm Incorporated Methods and systems for authentication interoperability
US10237729B2 (en) * 2015-03-05 2019-03-19 Qualcomm Incorporated Identity privacy in wireless networks
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9717004B2 (en) * 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US11076269B2 (en) * 2016-07-07 2021-07-27 Nokia Solutions And Networks Oy Machine type communication using mobile originated short messaging service without mobile station international subscriber directory number
US10516994B2 (en) * 2016-07-17 2019-12-24 Qualcomm Incorporated Authentication with privacy identity
US10433163B2 (en) * 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
US10009768B2 (en) * 2016-11-03 2018-06-26 Blackberry Limited Requesting system information
US10708267B2 (en) * 2017-07-19 2020-07-07 Mediatek Inc. Method and associated processor for authentication
CN109560919B (zh) * 2017-09-27 2021-02-09 华为技术有限公司 一种密钥衍生算法的协商方法及装置
US11190510B2 (en) * 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
WO2020146974A1 (en) * 2019-01-14 2020-07-23 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for security
WO2021151888A1 (en) * 2020-01-31 2021-08-05 Sony Group Corporation User equipment, non-public network authentication-authorization-accounting server, authentication server function entity
US11652646B2 (en) * 2020-12-11 2023-05-16 Huawei Technologies Co., Ltd. System and a method for securing and distributing keys in a 3GPP system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090117877A1 (en) * 2006-07-04 2009-05-07 Huawei Technologies Co., Ltd. Method and device for realizing push service of gaa
US20150189507A1 (en) * 2012-07-02 2015-07-02 Orange Implementing a Security Association During the Attachment of a Terminal to an Access Network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TS 33.220 v15.1.0 (2018-01), Generic Authentication Architecture (GAA), Generic Bootstrapping Architecture (GBA) (Release 15)*

Also Published As

Publication number Publication date
EP3741148A1 (fr) 2020-11-25
WO2019141924A1 (fr) 2019-07-25
US11895487B2 (en) 2024-02-06
CN111630882A (zh) 2020-09-04
EP3741148B1 (fr) 2022-05-04
US20200344603A1 (en) 2020-10-29
JP7301852B2 (ja) 2023-07-03
FR3077175A1 (fr) 2019-07-26
CN111630882B (zh) 2024-01-23
JP2021510984A (ja) 2021-04-30
KR20200110345A (ko) 2020-09-23

Similar Documents

Publication Publication Date Title
KR102632519B1 (ko) 사용자 장치와 애플리케이션 서버 간의 통신을 보안하기 위한 키를 결정하기 위한 방법
US11824981B2 (en) Discovery method and apparatus based on service-based architecture
RU2722508C1 (ru) Скрытый идентификатор подписки абонента
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
US10645583B2 (en) Security management for roaming service authorization in communication systems with service-based architecture
US11496320B2 (en) Registration method and apparatus based on service-based architecture
CN111147421B (zh) 一种基于通用引导架构gba的认证方法及相关设备
US10979903B2 (en) Key generation and distribution method based on identity-based cryptography
Edris et al. The case for federated identity management in 5G communications
CA2783570C (en) Smart card security feature profile in home subscriber server
US20210120411A1 (en) Method for obtaining a profile for access to a telecommunications network
EP4425832A1 (en) Verification of user equipment compliance in communication network environment
EP3968590B1 (en) Communication network component and method
CN118803751A (zh) 认证鉴权方法、装置、网络设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant