KR20050053857A - A personal internet system and an authentication method for the personal internet system - Google Patents

A personal internet system and an authentication method for the personal internet system Download PDF

Info

Publication number
KR20050053857A
KR20050053857A KR1020030087094A KR20030087094A KR20050053857A KR 20050053857 A KR20050053857 A KR 20050053857A KR 1020030087094 A KR1020030087094 A KR 1020030087094A KR 20030087094 A KR20030087094 A KR 20030087094A KR 20050053857 A KR20050053857 A KR 20050053857A
Authority
KR
South Korea
Prior art keywords
authentication
eap
base station
terminal
user
Prior art date
Application number
KR1020030087094A
Other languages
Korean (ko)
Other versions
KR100589677B1 (en
Inventor
조석헌
박애순
장성철
차재선
김경수
Original Assignee
삼성전자주식회사
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티
주식회사 케이티프리텔
하나로텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티, 주식회사 케이티프리텔, 하나로텔레콤 주식회사 filed Critical 삼성전자주식회사
Priority to KR1020030087094A priority Critical patent/KR100589677B1/en
Publication of KR20050053857A publication Critical patent/KR20050053857A/en
Application granted granted Critical
Publication of KR100589677B1 publication Critical patent/KR100589677B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명은 고속 휴대 인터넷 시스템 및 이의 인증 방법에 관한 것이다. The present invention relates to a high speed portable Internet system and an authentication method thereof.

본 발명에 따르면, 단말이 기지국에 장치 인증 및 사용자 인증에 대한 요구를 하면, 기지국은 해당 단말에 대한 장치 인증을 직접 수행하고, 장치 인증이 성공하였을 경우 패킷 액세스 라우터를 통해 인증 서버로 단말의 사용자 인증을 요청한다. 단말과 인증 서버 사이의 사용자 인증 단계가 끝나면 기지국은 해당 단말의 사용자 인증과 관련된 인증 정보들을 인증 정보 공간에 저장하고 단말에게 인증 키 및 인증 부가 정보들을 전송한다. According to the present invention, when the terminal requests device authentication and user authentication from the base station, the base station directly performs device authentication for the terminal, and if the device authentication is successful, the user of the terminal to the authentication server through the packet access router. Request authentication. After the user authentication step between the terminal and the authentication server, the base station stores authentication information related to user authentication of the terminal in the authentication information space and transmits the authentication key and authentication additional information to the terminal.

이와 같이 본 발명에 따르면, 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지할 수 있다. As described above, according to the present invention, the portable Internet system simultaneously performs device and user authentication, thereby maintaining more stable and stronger security.

Description

휴대 인터넷 시스템 및 이의 인증 방법 {A Personal Internet System and An Authentication Method for the Personal Internet System}Portable Internet System and its Authentication Method {A Personal Internet System and An Authentication Method for the Personal Internet System}

본 발명은 고속 휴대 인터넷 및 이의 인증 방법에 관한 것으로서, 특히 고속 휴대 인터넷 시스템의 기지국에서 장치 및 사용자 인증을 수행하는 인증 운용 방법에 관한 것이다. The present invention relates to a high speed portable Internet and an authentication method thereof, and more particularly, to an authentication operation method for performing device and user authentication in a base station of a high speed portable Internet system.

종래 휴대 인터넷 시스템의 인증과 관련한 기술로 IEEE 802.16 기반의 무선(Wireless) MAN(Metropolitan Area Network) 시스템과 IEEE 802.11기반의 무선(Wireless) LAN(Local Area Network) 시스템이 있다. BACKGROUND ART Conventions related to authentication of a portable Internet system include IEEE 802.16 based wireless (manufactured) wireless political area network (MAN) system and IEEE 802.11 based wireless (LAN) system.

IEEE 802.16 기반의 무선 MAN 시스템은 X.509 인증서를 가지고 MAC(Medium Access Control) 계층에서 암호 키 관리(Privacy Key Manager; 이하 'PKM'이라 함) 메시지들을 통해 단말 장치(AT)에 대한 권한을 검증하고, 검증된 장치에 한해 무선 MAN 시스템에 초기 접속할 수 있도록 한다. 이 무선 MAN 시스템은 하나의 단말 장치를 여러 가입자가 동시에 사용할 수 있기 때문에 가입자에 대한 인증을 배제한 것이다. 따라서, IEEE 802.16 기반의 무선 MAN 시스템에 따르면, 권한이 검증된 장치를 통해 불법의 가입자가 서비스를 요청할 경우에 대한 인증이 불충분하다는 문제점이 있다. The IEEE 802.16 based wireless MAN system verifies the authority for the AT using X.509 certificates through the Privacy Key Manager (PKM) messages in the Medium Access Control (MAC) layer. Only verified devices can have initial access to the wireless MAN system. This wireless MAN system eliminates authentication for subscribers because a single terminal device can be used simultaneously by multiple subscribers. Therefore, according to the IEEE 802.16 based wireless MAN system, there is a problem that authentication is insufficient for an illegal subscriber requesting a service through an authorized device.

이와 달리, IEEE 802.11 기반의 무선 LAN 시스템은 가입자 단말, 무선 접속 장치, 라우터, 인증 서버와의 상호 작용을 통하여 해당 사용자에 대한 권한을 검증하여, 서비스 수락 여부를 결정한다. 이 무선 LAN 시스템에 따르면, 무선 접속 장치와 인증 서버 사이에 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 사용하고, 또한 무선 접속 장치가 RADIUS 클라이언트 기능을 이용하여 인증 서버와 상호 작용함으로써 효율적인 사용자 인증을 수행하고 있다. 하지만, 이 시스템에서는 인증된 가입자가 부적합한 장치를 가지고 서비스를 요청할 경우를 대비한 인증 정책이 존재하지 않고 있다. 또한, 기지국에서 실시간으로 키를 분배, 저장, 유지하는 방법에 있어서도 탄력적이지 못하다는 문제점을 가지고 있다.In contrast, the IEEE 802.11-based wireless LAN system verifies the authority of the user through interaction with a subscriber station, a wireless access device, a router, and an authentication server to determine whether to accept a service. According to this wireless LAN system, efficient user authentication is achieved by using the Remote Authentication Dial-In User Service (RADIUS) protocol between the wireless access device and the authentication server, and the wireless access device interacts with the authentication server using the RADIUS client function. Is doing. However, in this system, there is no authentication policy in case an authenticated subscriber requests a service with an inappropriate device. In addition, the method of distributing, storing and maintaining keys in real time at the base station has a problem that it is not elastic.

이처럼, IEEE 802.16 기반의 무선 MAN 시스템은 장치에 대한 인증만을 고려하고 있고, IEEE 802.11기반의 무선 LAN 시스템은 사용자 인증 기능만을 제공하기 때문에 보다 강력한 인증 기능을 지원하기 위해서는 두 인증 기능들을 서로 보완한 메커니즘이 필요하다. As such, the IEEE 802.16 based wireless MAN system only considers authentication of the device, and the IEEE 802.11 based wireless LAN system provides only user authentication function. Therefore, the two authentication functions complement each other to support stronger authentication function. This is necessary.

본 발명이 이루고자 하는 기술적 과제는 상기에 기술한 바와 같은 종래 문제점을 해결하기 위한 것으로서, 본 발명은 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지하기 위한 것이다. The technical problem to be achieved by the present invention is to solve the conventional problems as described above, the present invention is to maintain a more stable and stronger security by simultaneously performing the device and user authentication of the portable Internet system.

또한, 본 발명은 해당 가입자에 대한 장치 인증과 사용자 인증이 성공적으로 수행되었을 경우, 기지국이 해당 장치와 사용자와 관련된 다양한 인증 정보들을 해당 가입자들에게 실시간으로 분배하고 기지국 내에서 안정하게 저장함으로써 보다 효율적인 인증 정책이 이루어지도록 하기 위한 것이다. In addition, when the device authentication and user authentication for the subscriber is successfully performed, the present invention is more efficient by the base station distributes various authentication information related to the device and the user to the subscribers in real time and stably stored in the base station This is to ensure that the authentication policy is enforced.

상기와 같은 목적을 달성하기 위한 본 발명의 특징에 따른 휴대 인터넷 시스템의 인증방법은 Authentication method of a portable Internet system according to a feature of the present invention for achieving the above object is

기지국(AP), 패킷 액세스 라우터(PAR) 및 인증(AAA) 서버를 포함하는 휴대 인터넷 시스템에서 상기 기지국에 무선으로 접속되는 사용자 단말(AT)를 인증하는 휴대 인터넷 시스템의 인증방법으로서, An authentication method of a portable internet system for authenticating a user terminal (AT) wirelessly connected to the base station in a portable internet system including a base station (AP), a packet access router (PAR), and an authentication (AAA) server,

(a) 상기 기지국이 접속한 사용자 단말에 대한 장치 인증을 수행하는 단계; (a) performing device authentication on a user terminal connected to the base station;

(b) 상기 장치 인증이 성공한 경우, 기지국이 상기 패킷 액세스 라우터를 통해 상기 인증 서버로 사용자 인증을 요청하는 단계; 및 (b) if the device authentication is successful, requesting a user authentication from the base station to the authentication server through the packet access router; And

(c) 상기 기지국이 상기 인증 서버로부터 사용자 인증 관련 정보를 수신하여, 수신된 정보를 상기 사용자 단말에 전송하는 단계를 포함한다. (c) receiving, by the base station, user authentication related information from the authentication server, and transmitting the received information to the user terminal.

한편, 본 발명의 다른 특징에 따른 휴대 인터넷 시스템은 사용자 단말에 대한 장치 인증 및 사용자 인증을 수행하는 휴대 인터넷 시스템으로서, On the other hand, the portable Internet system according to another aspect of the present invention is a portable Internet system for performing the device authentication and user authentication for the user terminal,

상기 사용자 단말에 대한 사용자 인증을 수행하고, 인증된 사용자에 대한 인증키를 생성하는 인증 서버;An authentication server for performing user authentication on the user terminal and generating an authentication key for the authenticated user;

상기 사용자 단말의 접속 및 서비스와 관련된 제어 기능을 수행하며, 접속된 상기 사용자 단말에 대한 장치 인증을 수행한 후, 장치 인증된 상기 사용자 단말에 대한 사용자 인증을 상기 인증 서버에 요청하여, 사용자 인증 관련 정보를 수신하여 상기 사용자 단말에 전송하는 기지국; 및 Perform a control function related to access and service of the user terminal, perform device authentication on the connected user terminal, and request user authentication of the device authenticated user terminal to the authentication server, thereby relating to user authentication. A base station receiving information and transmitting the information to the user terminal; And

상기 기지국 및 상기 인증 서버에 네트워크를 통해 연결되며, 패킷 접속 라우팅 기능 및 모바일 인터넷 프로토콜의 외부 에이전트 기능을 수행하는 패킷 액세스 라우터를 포함한다. A packet access router connected to the base station and the authentication server through a network and performing a packet access routing function and an external agent function of a mobile internet protocol.

본 발명에 따르면, 휴대 인터넷 시스템의 기지국이 휴대 인터넷 시스템 가입자의 장치에 대한 인증을 먼저 수행하고, 인증된 경우에 한해서만 사용자 인증의 실행을 요청함으로써, 모든 가입자들에게 효율적이고 안정적인 서비스를 제공할 수 있도록 한다. According to the present invention, the base station of the portable Internet system first performs authentication on the apparatus of the subscriber of the portable Internet system, and requests to execute user authentication only when authenticated, thereby providing efficient and stable service to all subscribers. Make sure

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention. Like parts are designated by like reference numerals throughout the specification.

도 1은 본 발명의 실시예에 따른 고속 휴대 인터넷 시스템의 망 구조도이다. 1 is a network structural diagram of a high-speed portable Internet system according to an embodiment of the present invention.

본 발명의 실시예예 따른 휴대 인터넷 시스템 망(100)은 사용자 단말 (Access Terminal; 이하 'AT'라 함, 101), AT(101)의 접속 및 서비스와 관련된 모든 제어 기능을 수행하는 기지국(Access Point; 이하 'AP'라 함, 102), 패킷 접속 라우팅 기능 및 모바일(Mobile) 인터넷 프로토콜(IP; Internet Protocol)의 외부 에이전트(FA; Foreign Agent) 기능을 수행하는 패킷 액세스 라우터(Packet Access Router; 이하 'PAR'라 함, 103)과 인증, 권한 검증 및 인증 키 생성 기능을 수행하는 인증 서버(Authentication, Authorization, Accounting; 이하 'AAA'라 함, 104)를 포함한다. The mobile Internet system network 100 according to an embodiment of the present invention is an access terminal (hereinafter referred to as 'AT', 101), a base station (Access Point) that performs all control functions related to access and service of the AT 101. Hereinafter referred to as an 'AP', a packet access router that performs a packet access routing function and a foreign agent (FA) function of a mobile Internet protocol (IP); 103) and an authentication server (Authentication, Authorization, Accounting; hereinafter referred to as 'AAA', 104) that performs authentication, authorization verification, and authentication key generation functions.

휴대 인터넷 시스템 망(100)은 인증 서버를 통하여 타 사업자와도 연동이 가능할 수 있다. 이를 위해서 본 발명의 실시예에 따른 인증 서버는 국제표준기관인 IETF(Internet Engineer Task Force)에서 표준화 진행중인 다이아미터(Diameter) 프로토콜을 사용한다. 본 발명의 실시예에서 다루는 인증 메커니즘은 AT(101), AP(102), PAR(103)과 AAA(104)들 사이의 상호 작용에 의하여 실행된다.The portable Internet system network 100 may be linked with other providers through an authentication server. To this end, the authentication server according to an embodiment of the present invention uses a standard protocol in progress in the Internet Engineer Task Force (IETF), an international standard organization. The authentication mechanism addressed in the embodiments of the present invention is implemented by the interaction between the AT 101, the AP 102, the PAR 103 and the AAA 104.

도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 프로토콜 스택의 구성도이다. 2 is a block diagram of a protocol stack for device authentication and user authentication in a mobile Internet system network according to an embodiment of the present invention.

인증 절차를 수행하기 위해 사용자 단말(AT; 101)에는 무선 구간에서 정의하는 IEEE 802.16기반의 물리 계층 프로토콜(PHY, 201)과 MAC 계층 프로토콜(202)이 탑재되고, 휴대 인터넷 시스템 망에서 사용자의 이동성 및 보안의 강도를 높이기 위한 사용자 인증 데이터를 전달하기 위한 확장 가능한 인증 프로토콜(Extensible Authentication Protocol; 이하 'EAP'라 함, 203)과 상위 계층의 표준화된 인증 프로토콜인 EAP-TLS(EAP-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS)(204)들이 탑재된다. In order to perform the authentication procedure, the user terminal (AT) 101 is equipped with an IEEE 802.16 based physical layer protocol (PHY) 201 and a MAC layer protocol 202 defined in a wireless section, and user mobility in a portable Internet system network. And an Extensible Authentication Protocol (hereinafter referred to as `` EAP '', 203) for delivering user authentication data for enhanced security, and EAP-TLS (EAP-Transport Layer Security), a standardized authentication protocol of a higher layer. EAP-TLS (EAP-Tunneled TLS) 204 is mounted.

기지국(AP; 102)에는 사용자 단말(101)과 상호작용을 위한 프로토콜과 패킷 액세스 라우터(103)와 상호 작용하기 위한 프로토콜들이 탑재된다. The base station (AP) 102 is equipped with protocols for interacting with the user terminal 101 and protocols for interacting with the packet access router 103.

구체적으로 기지국(102)에는 단말과의 상호 작용을 위해 IEEE 802.16기반의 물리 계층 프로토콜(201)과 MAC 계층 프로토콜(202)이 탑재되고, 패킷 액세스 라우터(103)와 연동하기 위한 프로토콜로서 IEEE 802.3기반의 물리 계층인 제 1계층 프로토콜(L1, 205)과 제 2계층 프로토콜(L2, 206)을 비롯하여 인터넷 프로토콜(IP; 207)과 전달 계층으로 SCTP(Stream Control Transmission Protocol)또는 UDP(User Datagram Protocol)(208)가 탑재되며, 기지국(102)과 패킷 액세스 라우터(103) 사이에 협약된 내부 프로토콜인 ANAP(Access Network Application Protocol, 209) 프로토콜이 탑재된다.Specifically, the base station 102 is equipped with the IEEE 802.16 based physical layer protocol 201 and the MAC layer protocol 202 for interaction with the terminal, and is based on IEEE 802.3 as a protocol for interworking with the packet access router 103. The first layer protocols (L1, 205) and the second layer protocols (L2, 206), which are the physical layers of the Internet protocol (IP) and the transport layer, SCTP (Stream Control Transmission Protocol) or UDP (User Datagram Protocol). 208 is loaded, and an ANAP (Access Network Application Protocol, 209) protocol, which is an internal protocol negotiated between the base station 102 and the packet access router 103, is loaded.

패킷 액세스 라우터(103)에는 기지국(102)과 상호작용을 위한 프로토콜과 인증서버(104)와 상호 작용하기 위한 프로토콜들이 탑재된다. The packet access router 103 is equipped with a protocol for interacting with the base station 102 and a protocol for interacting with the authentication server 104.

패킷 액세스 라우터(103)에는 기지국(102)과 상호작용을 위해, 기지국과 마찬가지로 IEEE 802.3 기반의 제1 계층 프로토콜(205)과 제2계층 프로토콜(206)이 탑재되고, IP(207), SCTP 또는 UDP(208), ANAP(209) 프로토콜이 탑재된다. 또한, 패킷 액세스 라우터(103)에는 휴대 인터넷 단말과의 상위 인증 프로토콜인 EAP-TLS 또는 EAP-TTLS 데이터를 전달하기 위해 EAP(203)이 탑재된다. The packet access router 103 is equipped with a first layer protocol 205 and a second layer protocol 206 based on IEEE 802.3 for interworking with the base station 102 and includes an IP 207, SCTP or UDP 208 and ANAP 209 protocols are mounted. In addition, the packet access router 103 is equipped with an EAP 203 to transfer EAP-TLS or EAP-TTLS data, which is a higher authentication protocol with the portable Internet terminal.

그리고, 패킷 액세스 라우터(103)에는 인증 서버와 상호 작용하기 위해, IEEE 802.3 기반의 제1 계층 프로토콜(205)과 제2 계층 프로토콜(206), IP(207), SCTP(210)들이 탑재되고, 다이아미터(Diameter) 프로토콜 관련 다이아미터 베이스(Diameter Base) 프로토콜 (211)과 다이아미터 응용(Diameter Application) 프로토콜(212)이 탑재된다. In addition, the packet access router 103 is equipped with the first layer protocol 205, the second layer protocol 206, the IP 207, and the SCTP 210 based on the IEEE 802.3 in order to interact with the authentication server. The Diameter Protocol-related Diameter Base Protocol 211 and the Diameter Application Protocol 212 are mounted.

인증 서버(104)에는 패킷 액세스 라우터(103)와의 연동을 위해, IEEE 802.3 기반의 제 1계층 프로토콜(205), 제2 계층 프로토콜(206), IP 프로토콜(206), SCTP 프로토콜(210), 다이아미터 베이스 프로토콜 (211)과 다이아미터 응용 프로토콜(212)들이 탑재되고, 휴대 인터넷 단말과의 사용자 인증을 위하여 EAP-TLS 또는 EAP-TTLS 프로토콜(204)이 탑재된다. The authentication server 104 includes, for interworking with the packet access router 103, a first layer protocol 205, a second layer protocol 206, an IP protocol 206, an SCTP protocol 210, and a diamond based on IEEE 802.3. The meter base protocol 211 and the diameter application protocol 212 are mounted, and the EAP-TLS or EAP-TTLS protocol 204 is mounted for user authentication with the portable Internet terminal.

도 3은 본 발명의 실시예에 따라 휴대 인터넷 시스템 망에서 장치 인증과 사용자 인증을 위한 흐름도이다. 3 is a flowchart illustrating device authentication and user authentication in a portable Internet system network according to an embodiment of the present invention.

도 3에 도시한 바와 같이, 본 발명의 실시예에 따른 장치 인증 및 사용자 인증 방법은 액세스 단계(S300), 기본 기능 협상 단계(S310) 후에 수행된다. As shown in FIG. 3, the device authentication and user authentication method according to an embodiment of the present invention is performed after the access step S300 and the basic function negotiation step S310.

휴대 인터넷 시스템의 가입자가 초기 접속을 할 때의 억세스 단계(S300)에서, 기지국(102)은 액세스 요청(RNG-REQ)을 단말(101)로부터 수신 받아 해당 단말의 MAC 주소를 알게 되고(S301), 이 레인징 요청이 성공할 경우 해당 단말로 레이징 응답(RNG-RSP)을 송신한 후(S302) 해당 단말의 MAC 주소를 인증 정보 공간에 저장한다. In the access step (S300) when the subscriber of the portable Internet system is initially connected, the base station 102 receives the access request (RNG-REQ) from the terminal 101 and knows the MAC address of the terminal (S301). If the ranging request succeeds, the device transmits a Raging Response (RNG-RSP) to the corresponding terminal (S302) and stores the MAC address of the corresponding terminal in the authentication information space.

그리고 나서, 해당 단말의 기본 기능을 협상하기 위해서 단말(101)은 이에 대한 요청(SBC-REQ)를 하고 이를 수신한 기지국(102)는 응답(SBC-RSP)를 하는 것이다. Then, in order to negotiate the basic function of the terminal, the terminal 101 makes a request for this (SBC-REQ) and the base station 102 receives the response (SBC-RSP).

그리고 나서, 이하에서 설명하는 실질적인 장치 인증 및 사용자 인증 단계(S320)를 수행한다. Then, the actual device authentication and user authentication step (S320) described below is performed.

단말(101)은 MAC 프로토콜의 PKM-REQ 메시지 중 한 메시지인 EAP-Transfer Request 메시지를 기지국(102)에 전송하여 장치 인증과 사용자 인증을 동시에 요구한다 (S321). EAP-Transfer Request 메시지에는 장치 인증에 필요한 파라미터들과 사용자 인증에 필요한 EAP-TLS 또는 EAP-TTLS 데이터들이 포함되어 있다. The terminal 101 transmits an EAP-Transfer Request message, which is one of the PKM-REQ messages of the MAC protocol, to the base station 102 and simultaneously requests device authentication and user authentication (S321). The EAP-Transfer Request message includes parameters for device authentication and EAP-TLS or EAP-TTLS data for user authentication.

이 메시지를 수신한 기지국(102)은 인증 정보 공간을 참조하여 해당 단말의 MAC 주소를 가진 장치의 인증에 대한 성공 여부를 조사한다. 만약, 해당 단말 장치가 이미 인증된 것이라면 해당 단말에 대한 장치 인증을 하지 않고 바로 사용자 인증 절차를 수행하고, 인증되지 않은 것이면 해당 단말에 대한 장치 인증을 수행한다 (S322). 이는 하나의 장치를 다수의 사용자가 이용하였을 때 장치 인증은 단 한번만 수행함으로써 기지국에서 동일한 장치에 대한 반복적이고 비효율적인 장치 인증 수행을 줄이기 위한 것이다. 이때, 기지국은 단말 제조업체의 인증서와 단말의 인증서를 가지고, 단말에 대한 장치 인증을 수행한다. Receiving this message, the base station 102 refers to the authentication information space and checks whether the device having the MAC address of the terminal succeeds in authentication. If the corresponding terminal device is already authenticated, the user authentication procedure is immediately performed without device authentication for the corresponding terminal, and if not, the device authentication for the corresponding terminal is performed (S322). This is to reduce repetitive and inefficient device authentication for the same device at the base station by performing device authentication only once when a single device is used by multiple users. At this time, the base station has a certificate of the terminal manufacturer and a certificate of the terminal, and performs the device authentication for the terminal.

만일, 상기 단계 S322에서, 장치 인증이 실패하면 기지국(102)은 해당 단말(101)에게 MAC 프로토콜의 PKM-RSP 메시지 중의 한 메시지인 EAP-Transfer Reply 메시지를 통해 인증 실패를 알리게 된다 (S328).If the device authentication fails in step S322, the base station 102 notifies the terminal 101 of the authentication failure through the EAP-Transfer Reply message, which is one of the PKM-RSP messages of the MAC protocol (S328).

이와 달리, 상기 단계 S322에서 해당 단말에 대한 장치 인증이 성공하면, 기지국(102)은 실질적인 사용자 인증을 인증 서버로 요청하는데, 이를 위해 기지국(102)은 단말(101)로부터 수신 받은 EAP-Transfer Request 메시지에 포함된 EAP-TLS 또는 EAP-TTLS 데이터를 패킷 액세스 라우터(103)에게 ANAP 프로토콜의 한 메시지를 이용하여 전달한다 (S323). On the contrary, if the device authentication for the terminal is successful in step S322, the base station 102 requests a substantial user authentication to the authentication server, for which the base station 102 receives the EAP-Transfer Request received from the terminal 101 The EAP-TLS or EAP-TTLS data included in the message is transmitted to the packet access router 103 using one message of the ANAP protocol (S323).

패킷 액세스 라우터(103)는 기지국(102)로부터 전달받은 EAP-TLS 또는 EAP-TTLS 데이터를 사용자 인증 수행 주체인 인증 서버(104)에게 다이아미터 프로토콜을 이용하여 송신한다 (S324). 이에 대한 응답으로 인증 서버(104)는 인증 데이터를 패킷 액세스 라우터(103)로 전송하고 (S325), 패킷 액세스 라우터(103)는 ANAP 프로토콜의 한 메시지를 통해 이 데이터를 기지국으로 전송하며 (S326), 기지국(102)은 EAP-Transfer Reply 메시지를 통해 EAP-TLS 또는 EAP-TTLS 인증 데이터를 단말(101)로 전송한다 (S327). The packet access router 103 transmits the EAP-TLS or EAP-TTLS data received from the base station 102 to the authentication server 104 which is the user authentication performing agent using the diameter protocol (S324). In response, the authentication server 104 transmits the authentication data to the packet access router 103 (S325), and the packet access router 103 transmits the data to the base station through a message of the ANAP protocol (S326). The base station 102 transmits the EAP-TLS or EAP-TTLS authentication data to the terminal 101 through the EAP-Transfer Reply message (S327).

해당 단말에 대한 사용자 인증은 앞서 기술한 단계(S321, S323??S327)들을 여러 번 거치면서 수행되며, 최종적으로 인증 서버(104)에서의 사용자 인증 결과가 성공이면, 마지막 사용자 인증 단계 (S325??S327)를 거치면서 인증 키가 EAP-TLS 또는 EAP-TTLS 인증 데이터 안에 암호화되어 단말(101)로 전달된다. 이 때 인증 서버(104)에서 기지국(102)까지 전달되는 키를 포함한 인증 정보들이 인터넷 보안 프로토콜(Internet Protocol Security protocol; IPSec)로 암호화되어 전송되기 때문에, 안전성이 보장된다. User authentication for the terminal is performed through the above-described steps (S321, S323 ?? S327) several times, and finally, if the user authentication result in the authentication server 104 is successful, the last user authentication step (S325? S327, the authentication key is encrypted in the EAP-TLS or EAP-TTLS authentication data and transmitted to the terminal 101. At this time, since authentication information including a key transmitted from the authentication server 104 to the base station 102 is encrypted and transmitted to the Internet Protocol Security Protocol (IPSec), safety is ensured.

이 인증 정보들을 수신한 기지국(102)은 해당 인증키에 대한 식별자로 인증 키 일련 번호를 키 관리 메커니즘에 따라 부여한다. 이 때 기지국(102)은 인증키와 해당 인증키의 유효 시간과 일련 번호들을 인증 정보 공간에 저장한다. 이후, 기지국(102)은 사용자 인증과 관련된 부가 정보만을 최종적인 EAP-Transfer Reply 메시지를 통해 단말(101)로 전송한다 (S327). 기지국은 해당 단말의 인증키가 EAP-TLS 또는 EAP-TTLS 인증 데이터안에 암호화되어 있기 때문에 이 인증 데이터 또한 단말로 전송하면 된다. Upon receiving these authentication information, the base station 102 assigns an authentication key serial number according to the key management mechanism as an identifier for the corresponding authentication key. At this time, the base station 102 stores the authentication key, the valid time and serial number of the corresponding authentication key in the authentication information space. Thereafter, the base station 102 transmits only additional information related to user authentication to the terminal 101 through the final EAP-Transfer Reply message (S327). Since the base station's authentication key is encrypted in the EAP-TLS or EAP-TTLS authentication data, the base station may also transmit this authentication data to the terminal.

단말이 이 메시지를 수신 받고 EAP-TLS 또는 EAP-TTLS 계층으로부터 인증키를 받으면 사용자 인증 절차도 끝나면서 해당 단말에 대한 모든 인증 절차가 종료된다. When the terminal receives this message and receives the authentication key from the EAP-TLS or EAP-TTLS layer, the user authentication procedure is completed and all authentication procedures for the terminal are terminated.

이상에서 설명한 바와 같이, 본 발명의 실시예의 휴대 인터넷 시스템의 인증 절차에 따르면, 먼저 단말(101)이 기지국(102)에게 장치 인증 및 사용자 인증에 대한 요구를 하면, 기지국(102)은 장치 인증에 대한 수행 여부를 인증 정보 공간을 참조하여 결정한다. 이때, 기지국(102)은 해당 단말에 대한 장치 인증이 되어 있지 않은 상태라면 장치 인증을 직접 수행하고, 장치 인증이 성공하였을 경우 패킷 액세스 라우터(103)를 통해 인증 서버(104)로 단말의 사용자 인증을 요청한다. 단말(101)과 인증 서버(104) 사이의 사용자 인증 단계가 끝나면 기지국(102)은 해당 단말의 사용자 인증과 관련된 인증 정보들을 인증 정보 공간에 저장하고 단말(101)에게 인증 키 및 인증 부가 정보들을 전송하면서 휴대 인터넷 시스템 망에서의 장치 인증 및 사용자 인증 절차가 끝나게 되는 것이다.As described above, according to the authentication procedure of the portable Internet system according to the embodiment of the present invention, when the terminal 101 first requests the base station 102 for device authentication and user authentication, the base station 102 applies to the device authentication. Determine whether to perform with reference to the authentication information space. At this time, the base station 102 directly performs the device authentication if the device authentication is not performed for the terminal, and if the device authentication is successful, the user authentication of the terminal to the authentication server 104 through the packet access router 103 Ask. After the user authentication step between the terminal 101 and the authentication server 104 is finished, the base station 102 stores the authentication information related to user authentication of the terminal in the authentication information space and sends the authentication key and authentication additional information to the terminal 101. During the transmission, the device authentication and user authentication procedures in the portable Internet system network are completed.

도 4a 및 도 4b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서의 장치 인증 및 사용자 인증을 위한 MAC 메시지들의 구성요소를 나타내는 도면이다. 4A and 4B illustrate components of MAC messages for device authentication and user authentication in a portable Internet system network according to an embodiment of the present invention.

도 4a는 장치 인증 및 사용자 인증을 요구하기 위해 단말(101)에서 기지국(102)으로 전송하는 EAP-Transfer Request 메시지에 포함되어 있는 여러 파라미터를 나타내는 도면이다. 4A is a diagram illustrating various parameters included in an EAP-Transfer Request message transmitted from a terminal 101 to a base station 102 to request device authentication and user authentication.

본 발명의 실시예에 따른 기지국(102)은 도 4a에 도시한 EAP-Transfer Request 메시지의 파라미터들 중에서 CA-Certificate(401)과 SS-Certificate(402)를 이용하여 해당 단말의 장치 인증을 수행한다. 그리고, Security-Capabilities(403)과 SAID(404)들은 인증 절차 후 기지국과 단말 사이의 제어 메시지나 트래픽 송·수신 때 필요한 알고리즘을 위한 부가 파라미터들이다. EAP Payload(405)에는 사용자 인증시 필요한 EAP-TLS 또는 EAP-TTLS의 인증 데이터들을 포함하고 있으며 이는 기지국(102)에서 해석하지 않고 패킷 액세스 라우터(103)를 통해 인증 서버로 전달한다. 즉, 기지국(102)에서 CA-Certificate 파라미터(401)와 SS-Certificate 파라미터(402)를 이용해 장치 인증에 성공하면 단말(101)로부터 전달받은 EAP Payload를 패킷 액세스 라우터(103)를 경유하여 인증 서버(104)로 전송함으로써 인증서버가 수신받은 EAP-TLS 또는 EAP-TTLS 인증 데이터를 이용해 사용자 인증을 수행하도록 요청하는 것이다. 특히, 첫 번째 EAP-Transfer Request 메시지에는 이와 같은 모든 파라미터들이 반드시 포함되어야 한다. 그렇지 않은 경우에는 기지국은 장치 인증 수행에 앞서 인증 실패로 처리하게 된다.The base station 102 according to the embodiment of the present invention performs the device authentication of the corresponding terminal using the CA-Certificate 401 and the SS-Certificate 402 among the parameters of the EAP-Transfer Request message shown in FIG. 4A. . The Security-Capabilities 403 and SAIDs 404 are additional parameters for an algorithm required for control message or traffic transmission / reception between the base station and the terminal after the authentication procedure. The EAP Payload 405 includes authentication data of EAP-TLS or EAP-TTLS required for user authentication, which is transmitted to the authentication server through the packet access router 103 without interpretation by the base station 102. That is, if the base station 102 succeeds in authenticating the device using the CA-Certificate parameter 401 and the SS-Certificate parameter 402, the authentication server receives the EAP Payload received from the terminal 101 via the packet access router 103. By transmitting to the 104, the authentication server requests to perform user authentication using the received EAP-TLS or EAP-TTLS authentication data. In particular, the first EAP-Transfer Request message must include all such parameters. Otherwise, the base station treats the authentication failure before performing device authentication.

도 4b는 기지국에서 단말로 장치 인증 및 사용자 인증 절차 과정 중에서 송신하는 EAP-Transfer Reply 메시지에 포함되어 있는 여러 파라미터를 나타내는 도면이다. 4B is a diagram illustrating various parameters included in an EAP-Transfer Reply message transmitted from a base station to a terminal during a device authentication and user authentication procedure.

도 4b를 참조하면, 기지국(102)는 EAP Result Code(411)를 이용하여 인증의 성공 또는 실패를 단말에게 통보하게 되고, Error Code(412) 필드는 EAP Result Code값이 실패일 때만 존재하며 인증 실패 이유에 대해서 설명해 준다. Temporary Key Sequence Number(413)는 해당 인증키에 대해 인증 서버가 임시로 지정해 준 일련 번호이다. Key Sequence Number(414)는 인증 서버로부터 부여 받은 단말의 인증 키에 해당하는 기지국에서 생성하는 일련 번호이고, Key Lifetime(415)는 인증키에 해당하는 유효 시간을 의미한다. SA Descriptor(416)는 EAP-Transfer Request 메시지의 Security-Capabilities 필드의 협상 결과를 포함하고 있다. EAP Payload(417)는 인증 서버에서 패킷 액세스 라우터를 통해 기지국으로 전달해온 사용자 인증과 관련된 인증 데이터로써 기지국에서는 이를 해석하지 않고 단말로 전송한다. 인증 절차에 있어서 마지막 EAP-Transfer Reply 메시지는 이러한 모든 필드들이 포함해야 하고 특히 EAP Payload에는 해당 단말의 인증키가 암호화되어 있다.Referring to FIG. 4B, the base station 102 uses the EAP Result Code 411 to notify the UE of the success or failure of the authentication, and the Error Code 412 field exists only when the EAP Result Code value fails. Explain the reason for the failure. The Temporary Key Sequence Number 413 is a serial number temporarily designated by the authentication server for the corresponding authentication key. The key sequence number 414 is a serial number generated by the base station corresponding to the authentication key of the terminal granted from the authentication server, and the key lifetime 415 means the valid time corresponding to the authentication key. The SA Descriptor 416 includes a negotiation result of the Security-Capabilities field of the EAP-Transfer Request message. The EAP Payload 417 is authentication data related to user authentication transmitted from the authentication server to the base station through the packet access router, and is transmitted to the terminal without interpretation by the base station. In the authentication process, the last EAP-Transfer Reply message must include all these fields, and in particular, the authentication key of the terminal is encrypted in the EAP Payload.

본 발명의 실시예에 따르면 도 4a 및 도 4b에 도시한 두 개의 MAC 메시지를 통해 휴대 인터넷 시스템에서 기지국은 장치 인증을 수행하고 인증 서버에 사용자 인증 수행 요청을 할 수 있는 것이다.According to an embodiment of the present invention, the base station can perform device authentication and request user authentication to the authentication server in the portable Internet system through two MAC messages shown in FIGS. 4A and 4B.

도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망의 기지국에서 인증된 가입자에 대한 인증 정보 공간 구조도이다. 5 is a structure diagram of an authentication information space for a subscriber authenticated at a base station of a portable Internet system network according to an embodiment of the present invention.

도 3에 도시된 단말의 액세스 단계(S300)가 성공하면, 기지국은 해당 단말의 User Context ID(501)를 할당하고, 이 User Context ID(501)와 AT MAC Address(502)를 인증 정보 공간에 저장한다. 이후 해당 단말(101)이 인증 단계까지 끝나게 되면 기지국은 마지막 EAP-Transfer Reply 메시지를 단말로 전송하기 전에 해당 단말의 Key Sequence Number(503), Key Lifetime(504), Authorization Key(505)값들도 인증 정보 공간에 저장한다. 특히, 인증키를 저장할 시에는 암호화하여 저장한다. 이 때 하나의 기지국에서 인증 정보 공간에 저장할 수 있는 단말의 수는 m개까지이며, 하나의 단말에 n개까지의 인증 키와 그에 따른 인증 정보들을 인증 정보 공간에 저장할 수 있다. 도 3에 도시된 기지국의 장치 인증 수행에 앞서서 이 인증 정보 공간을 참조하여 해당 단말의 장치가 인증되어 있는지를 확인할 수 있다. 인증된 장치라면 기지국은 해당 단말에 대한 장치 인증을 수행하지 않고 인증 서버로 사용자 인증 수행을 요청한다.If the access step (S300) of the terminal shown in FIG. 3 succeeds, the base station allocates the user context ID 501 of the terminal, and assigns the user context ID 501 and the AT MAC address 502 to the authentication information space. Save it. After the terminal 101 is finished until the authentication step, the base station also authenticates the values of the Key Sequence Number (503), Key Lifetime (504), and Authorization Key (505) of the terminal before transmitting the last EAP-Transfer Reply message to the terminal. Store in the information space. In particular, when storing the authentication key is encrypted and stored. At this time, the number of terminals that can be stored in the authentication information space in one base station is m, and up to n authentication keys and corresponding authentication information in one terminal can be stored in the authentication information space. Prior to performing device authentication of the base station shown in FIG. 3, it may be checked whether a device of a corresponding terminal is authenticated with reference to this authentication information space. If the device is authenticated, the base station requests user authentication to the authentication server without performing device authentication for the terminal.

이상에서 설명한 본 발명의 실시예에 따르면, 다음과 같은 효과가 있다.According to the embodiment of the present invention described above, there are the following effects.

첫째, 휴대 인터넷 시스템의 가입자에 대한 장치 인증과 사용자 인증을모두 수행함으로써 보다 비도 높은 인증과 보안을 유지할 수 있다.First, by performing both device authentication and user authentication for the subscriber of the portable Internet system, it is possible to maintain higher non-authentication and security.

둘째, 휴대 인터넷 시스템의 기지국이 인증 정보 공간 개념을 이용함으로써 이미 인증된 장치에 대한 재 인증을 하지 않기 때문에 보다 효율적으로 인증 절차를 수행할 수 있다. Secondly, since the base station of the portable Internet system does not re-authenticate the already authenticated device by using the concept of authentication information space, the authentication procedure can be performed more efficiently.

셋째, 기지국이 해당 단말에 대한 장치 인증이 성공하였을 경우만 인증 서버로 사용자 인증 수행을 요청함으로써 단말에 대한 계층적이고 체계적인 인증 절차를 수행한다.Third, the base station performs a hierarchical and systematic authentication procedure for the terminal by requesting the authentication server to perform user authentication only when the device authentication for the terminal is successful.

넷째, 사용자 인증은 기지국의 MAC 계층이 아닌 인증 서버의 EAP-TLS 또는 EAP-TTLS 계층에서 수행하고 기지국은 단순히 인증 데이터를 단말과 인증 서버로 전달해주는 중계 기능 역할을 함으로써 기지국에서는 사용자 인증에 대한 부하 부담을 줄일 수 있다.Fourth, the user authentication is performed in the EAP-TLS or EAP-TTLS layer of the authentication server, not the MAC layer of the base station, and the base station simply acts as a relay function for transferring authentication data to the terminal and the authentication server, thereby causing the base station to load the user authentication. Reduce the burden

다섯째, 해당 단말에 대한 모든 인증 단계가 성공적으로 끝났을 경우 인증과 관련된 정보들을 기지국에서 인증 정보 공간에 저장함으로써 모든 인증과 관련되어 보다 효율적인 제어 및 관리를 할 수 있다.Fifth, when all the authentication step for the terminal is successfully completed by storing the information related to the authentication in the authentication information space in the base station can be more efficient control and management associated with all authentication.

여섯째, 인증 정보 공간에 인증키를 저장할 때 암호화를 함으로써 기지국 내부에서도 단말과 기지국 사이의 인증키에 대한 보안을 더욱 강화할 수 있다.Sixth, by encrypting when storing the authentication key in the authentication information space, it is possible to further enhance the security of the authentication key between the terminal and the base station in the base station.

이상에서는 본 발명의 실시예에 대하여 상세히 설명하였으나, 본 발명은 상기한 실시예에만 한정되는 것은 아니며 그 외의 다양한 변형이나 변경이 가능하다. Although the embodiments of the present invention have been described in detail above, the present invention is not limited to the above-described embodiments, and various other modifications and changes are possible.

이상에서 설명한 바와 같이, 본 발명에 의하면 휴대 인터넷 시스템이 장치 및 사용자 인증을 동시에 수행함으로써, 보다 안정적이고 강력한 보안을 유지할 수 있다. 또한, 본 발명에 따르면 해당 가입자에 대한 장치 인증과 사용자 인증이 성공적으로 수행되었을 경우, 기지국이 해당 장치와 사용자와 관련된 다양한 인증 정보들을 해당 가입자들에게 실시간으로 분배하고 기지국 내에서 안정하게 저장함으로써 보다 효율적으로 인증을 수행할 수 있다. As described above, according to the present invention, the portable Internet system simultaneously performs device and user authentication, thereby maintaining more stable and stronger security. In addition, according to the present invention, when the device authentication and user authentication for the subscriber is successfully performed, the base station distributes various authentication information related to the device and the user to the subscribers in real time and stably stores in the base station. Authentication can be performed efficiently.

도 1은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망 구성도이다. 1 is a block diagram of a portable Internet system network according to an embodiment of the present invention.

도 2는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 프로토콜 구성도이다. 2 is a diagram illustrating a protocol for device authentication and user authentication in a portable Internet system network according to an embodiment of the present invention.

도 3은 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 흐름도이다. 3 is a flowchart illustrating device authentication and user authentication in a mobile Internet system network according to an embodiment of the present invention.

도 4a 및 도 4b는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망에서 장치 인증 및 사용자 인증을 위한 MAC 메시지의 구성 요소를 나타내는 도면이다. 4A and 4B are diagrams illustrating components of a MAC message for device authentication and user authentication in a portable Internet system network according to an embodiment of the present invention.

도 5는 본 발명의 실시예에 따른 휴대 인터넷 시스템 망의 기지국에서 인증된 가입자에 대한 인증 정보를 저장하는 구조도이다. 5 is a structure diagram of storing authentication information about a subscriber authenticated at a base station of a portable Internet system network according to an embodiment of the present invention.

Claims (21)

기지국(AP), 패킷 액세스 라우터(PAR) 및 인증(AAA) 서버를 포함하는 휴대 인터넷 시스템에서 상기 기지국에 무선으로 접속되는 사용자 단말(AT)를 인증하는 휴대 인터넷 시스템의 인증방법에 있어서, In the portable Internet system including a base station (AP), a packet access router (PAR) and an authentication (AAA) server, the authentication method of the portable Internet system for authenticating a user terminal (AT) wirelessly connected to the base station, (a) 상기 기지국이 접속한 사용자 단말에 대한 장치 인증을 수행하는 단계; (a) performing device authentication on a user terminal connected to the base station; (b) 상기 장치 인증이 성공한 경우, 기지국이 상기 패킷 액세스 라우터를 통해 상기 인증 서버로 사용자 인증을 요청하는 단계; 및 (b) if the device authentication is successful, requesting a user authentication from the base station to the authentication server through the packet access router; And (c) 상기 기지국이 상기 인증 서버로부터 사용자 인증 관련 정보를 수신하여, 수신된 정보를 상기 사용자 단말에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.(c) the base station receiving user authentication related information from the authentication server, and transmitting the received information to the user terminal. 제1항에 있어서, 상기 단계 (a)는The method of claim 1, wherein step (a) 상기 기지국이 인증 정보 공간을 참조하여, 접속한 사용자 단말이 이미 장치 인증된 단말인지 여부를 확인하는 단계; Confirming, by the base station, whether the connected user terminal is a device authenticated terminal by referring to an authentication information space; 상기 확인 결과 이미 장치 인증된 단말인 경우, 장치인증의 수행 없이 장치 인증의 성공으로 판단하는 단계; 및 Determining that the device authentication is successful without performing device authentication when the terminal is already a device authenticated as a result of the checking; And 상기 확인 결과 이미 장치 인증된 단말이 아닌 경우, 접속한 사용자 단말에 대한 장치 인증을 수행하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.And if the device is not already a device authenticated terminal, performing the device authentication on the connected user terminal. 제1항 또는 제2항에 있어서, 상기 단계 (a)에서 The process according to claim 1 or 2, wherein in step (a) 상기 기지국은 단말 제조 업체의 인증서와 단말의 인증서를 이용하여 상기 접속한 사용자 단말에 대한 장치 인증을 수행하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. And the base station performs device authentication on the connected user terminal using a certificate of a terminal manufacturer and a certificate of the terminal. 제1항 또는 제2항에 있어서, 상기 단계 (a)에서 The process according to claim 1 or 2, wherein in step (a) 상기 기지국은 사용자 단말의 장치 인증이 실패한 경우, 상기 사용자 단말에 장치 인증 실패와 그 이유를 통보하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. And when the device authentication of the user terminal fails, the base station notifies the user terminal of the device authentication failure and the reason thereof. 제1항에 있어서, 상기 단계 (b)는The method of claim 1, wherein step (b) 상기 장치 인증이 성공한 경우, 상기 기지국은 상기 사용자 단말로부터 전송된 상위 계층의 표준화된 인증 프로토콜 데이터를 상기 패킷 라우터를 통해 상기 인증 서버로 전송하여 사용자 인증을 요청하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. If the device authentication is successful, the base station transmits the standardized authentication protocol data of the upper layer transmitted from the user terminal to the authentication server through the packet router to request user authentication. Way. 제5항에 있어서,The method of claim 5, 상기 상위 계층의 표준화된 인증 프로토콜로 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 또는 EAP-TTLS(EAP-Tunneled TLS)를 수용하는 휴대 인터넷 시스템의 인증방법.An authentication method of a portable Internet system that accommodates Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) or EAP-Tunneled TLS (EAP-TTLS) as the standardized authentication protocol of the upper layer. 제6항에 있어서, 상기 단계 (b)는The method of claim 6, wherein step (b) 상기 기지국이 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 기지국과 패킷 액세스 라우터간의 내부 프로토콜의 메시지를 이용하여 상기 패킷 액세스 라우터로 전송하는 단계; 및 Transmitting, by the base station, the EAP-TLS data or the EAP-TTLS data to the packet access router using a message of an internal protocol between the base station and the packet access router; And 상기 패킷 액세스 라우터가 수신된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 인증서버에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.And transmitting, by the packet access router, the received EAP-TLS data or the EAP-TTLS data to the authentication server using a diameter protocol. 제6항 또는 제7항에 있어서, 상기 단계 (b)에서 8. A process as claimed in claim 6 or 7, wherein in step (b) 상기 기지국은 상기 사용자 단말로부터 전송된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 해석하지 않고, 상기 패킷 액세스 라우터를 통해 상기 인증 서버에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. And the base station transmits the EAP-TLS data or the EAP-TTLS data transmitted from the user terminal to the authentication server through the packet access router without transmitting the EAP-TLS data or the EAP-TTLS data. 제 1항에 있어서, 상기 단계 (c)는 The method of claim 1, wherein step (c) 상기 기지국이 상기 인증 서버가 상위 계층의 표준화된 인증 프로토콜 데이터를 이용하여 상기 패킷 액세스 라우터를 통해 전송한 상기 사용자 인증 관련 정보를 수신하여, 상기 사용자 인증 관련 정보를 사용자 단말에게 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. Wherein the base station receives the user authentication related information transmitted by the authentication server through the packet access router using standardized authentication protocol data of a higher layer, and transmits the user authentication related information to a user terminal. Authentication method of portable internet system. 제9항에 있어서,The method of claim 9, 상기 상위 계층의 표준화된 인증 프로토콜은 EAP-TLS 또는 EAP-TTLS인 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.And the standardized authentication protocol of the upper layer is EAP-TLS or EAP-TTLS. 제10항에 있어서, 상기 단계 (c)에서, The method of claim 10, wherein in step (c), 상기 기지국은 MAC 프로토콜의 PKM-RSP 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.And the base station transmits the EAP-TLS data or the EAP-TTLS data to the user terminal through a PKM-RSP message of a MAC protocol. 제10항에 있어서, 상기 단계 (c)는 The method of claim 10, wherein step (c) 상기 인증 서버가 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 다이아미터 프로토콜을 이용하여 상기 패킷 액세스 라우터로 전송하는 단계; Sending, by the authentication server, the EAP-TLS data or the EAP-TTLS data to the packet access router using a diameter protocol; 상기 패킷 액세스 라우터가 상기 수신된 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터 기지국과 패킷 액세스 라우터간 내부 프로토콜의 메시지를 이용하여 상기 기지국으로 전송하는 단계; 및 Transmitting, by the packet access router, to the base station using the received EAP-TLS data or an internal protocol message between the EAP-TTLS data base station and the packet access router; And 상기 기지국이 PKM-RSP MAC 메시지의 내부 메시지인 EAP-Transfer Reply 메시지를 통해 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 상기 사용자 단말로 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.And transmitting, by the base station, the EAP-TLS data or the EAP-TTLS data to the user terminal through an EAP-Transfer Reply message, which is an internal message of a PKM-RSP MAC message. 제11항 또는 제12항에 있어서, 상기 단계 (c)에서 The process according to claim 11 or 12, wherein in step (c) 상기 기지국은 상기 인증 서버로부터 전송된 상기 EAP-TLS 데이터 또는 상기 EAP-TTLS 데이터를 해석하지 않고, 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법. And the base station transmits the EAP-TLS data or the EAP-TTLS data transmitted from the authentication server to the user terminal without interpreting the EAP-TLS data or the EAP-TTLS data. 제1항에 있어서, 상기 단계(c)는 The method of claim 1, wherein step (c) 상기 인증 서버에서의 사용자 인증 결과가 성공인 경우, 상기 기지국이 상기 인증서버로부터 인증 키를 포함한 인증정보를 수신하여, 수신된 인증 키를 상기 사용자 단말로 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.If the user authentication result in the authentication server is successful, the base station receives the authentication information including the authentication key from the authentication server, and transmits the received authentication key to the user terminal authentication of the portable Internet system Way. 제14항에 있어서, The method of claim 14, 상기 인증키는 EAP-TLS 데이터 또는 EAP-TTLS 데이터에 암호화되어 상기 인증 서버로부터 전송되는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.And the authentication key is encrypted in EAP-TLS data or EAP-TTLS data and transmitted from the authentication server. 제14항 또는 제15항에 있어서, The method according to claim 14 or 15, 상기 단계 (c)는 Step (c) is 상기 기지국이 상기 인증 서버로부터 상기 사용자 단말에 대한 인증 키를 포함하는 인증정보를 수신하는 단계;Receiving, by the base station, authentication information including an authentication key for the user terminal from the authentication server; 상기 인증키, 해당 인증키의 유효시간, 일련 번호를 포함한 인증정보를 인증 정보 공간에 저장하는 단계; 및 Storing authentication information including the authentication key, an effective time of the corresponding authentication key, and a serial number in an authentication information space; And 상기 기지국이 상기 인증서버로부터 수신된 인증키와 부가 인증정보를 상기 사용자 단말에 전송하는 단계를 포함하는 휴대 인터넷 시스템의 인증방법.And transmitting, by the base station, an authentication key and additional authentication information received from the authentication server to the user terminal. 제16항에 있어서, The method of claim 16, 상기 기지국은 EAP-Transfer Reply 메시지를 통해 상기 부가 인증 정보를 상기 사용자 단말에 전송하는 것을 특징으로 하는 휴대 인터넷 시스템의 인증방법.And the base station transmits the additional authentication information to the user terminal through an EAP-Transfer Reply message. 사용자 단말에 대한 장치 인증 및 사용자 인증을 수행하는 휴대 인터넷 시스템에 있어서, In the portable Internet system for performing the device authentication and user authentication for the user terminal, 상기 사용자 단말에 대한 사용자 인증을 수행하고, 인증된 사용자에 대한 인증키를 생성하는 인증 서버;An authentication server for performing user authentication on the user terminal and generating an authentication key for the authenticated user; 상기 사용자 단말의 접속 및 서비스와 관련된 제어 기능을 수행하며, 접속된 상기 사용자 단말에 대한 장치 인증을 수행한 후, 장치 인증된 상기 사용자 단말에 대한 사용자 인증을 상기 인증 서버에 요청하여, 사용자 인증 관련 정보를 수신하여 상기 사용자 단말에 전송하는 기지국; 및 Perform a control function related to access and service of the user terminal, perform device authentication on the connected user terminal, and request user authentication of the device authenticated user terminal to the authentication server, thereby relating to user authentication. A base station receiving information and transmitting the information to the user terminal; And 상기 기지국 및 상기 인증 서버에 네트워크를 통해 연결되며, 패킷 접속 라우팅 기능 및 모바일 인터넷 프로토콜의 외부 에이전트 기능을 수행하는 패킷 액세스 라우터를 포함하는 휴대 인터넷 시스템.And a packet access router connected to the base station and the authentication server through a network and performing a packet access routing function and an external agent function of a mobile internet protocol. 제18항에 있어서, The method of claim 18, 상기 기지국은 해당 단말의 ID, MAC 어드레스, 상기 사용자 인증 관련 정보를 저장하고 있는 인증 정보 공간을 가지는 휴대 인터넷 시스템. And the base station has an authentication information space storing ID, MAC address, and user authentication related information of a corresponding terminal. 제19항에 있어서, The method of claim 19, 상기 기지국은 인증 정보 공간을 참조하여 접속된 사용자 단말이 이미 장치 인증된 단말인지 여부를 확인하여 이미 장치 인증된 단말인 경우, 장치인증수행 없이 상기 단말에 대한 사용자 인증을 상기 패킷 액세스 라우터를 통해 상기 인증서버에 요청하는 것을 특징으로 하는 휴대 인터넷 시스템.The base station checks whether the connected user terminal is a device authenticated terminal with reference to the authentication information space, and if the device is a device authenticated terminal, the user authentication for the terminal is performed through the packet access router without performing device authentication. A portable Internet system, characterized by requesting an authentication server. 제18항 내지 제20항 중 어느 한 항에 있어서, The method according to any one of claims 18 to 20, 상기 기지국은 EAP-TLS 데이터 또는 EAP-TTLS 데이터를 상기 패킷 라우터를 통해 상기 인증 서버로 전송하여 사용자 인증을 요청하는 것을 특징으로 하는 휴대 인터넷 시스템. The base station transmits EAP-TLS data or EAP-TTLS data to the authentication server through the packet router to request user authentication.
KR1020030087094A 2003-12-03 2003-12-03 A Personal Internet System and An Authentication Method for the Personal Internet System KR100589677B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030087094A KR100589677B1 (en) 2003-12-03 2003-12-03 A Personal Internet System and An Authentication Method for the Personal Internet System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030087094A KR100589677B1 (en) 2003-12-03 2003-12-03 A Personal Internet System and An Authentication Method for the Personal Internet System

Publications (2)

Publication Number Publication Date
KR20050053857A true KR20050053857A (en) 2005-06-10
KR100589677B1 KR100589677B1 (en) 2006-06-15

Family

ID=37249268

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030087094A KR100589677B1 (en) 2003-12-03 2003-12-03 A Personal Internet System and An Authentication Method for the Personal Internet System

Country Status (1)

Country Link
KR (1) KR100589677B1 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100600605B1 (en) * 2004-11-03 2006-07-13 한국전자통신연구원 Apparatus and method for user and terminal data management of portable internet system
KR100667284B1 (en) * 2005-02-24 2007-01-12 삼성전자주식회사 Authentication Method in Network System and System Thereof
KR100730561B1 (en) * 2006-04-25 2007-06-20 포스데이타 주식회사 Method for controlling network entry of portable internet terminals, system enabling the method, and the portable internet terminals
KR100770928B1 (en) * 2005-07-02 2007-10-26 삼성전자주식회사 Authentication system and method thereofin a communication system
KR100864902B1 (en) * 2007-04-17 2008-10-22 성균관대학교산학협력단 Authenticating system, method using extensible authentication protocol and recorded medium having a program therefore
KR100972743B1 (en) * 2007-10-11 2010-07-27 숭실대학교산학협력단 Mutual Authentication Scheme between Mobile Routers using Authentication Token in MANET of MANEMO
KR101017312B1 (en) * 2006-02-28 2011-02-28 차이나 아이더블유엔콤 씨오., 엘티디 Method and device for testing conformity of secure access protocol at access point
KR101151029B1 (en) * 2005-12-08 2012-06-13 한국전자통신연구원 System for providing authentication of multi steps of portable hpi-internet system and service acknowledgement and method thereof
US8547978B2 (en) 2006-07-01 2013-10-01 Samsung Electronics Co., Ltd. Method for providing MBS service in a WAN network, and system thereof
US8656480B2 (en) 2005-03-17 2014-02-18 Samsung Electronics Co., Ltd Method for negotiating security-related functions of subscriber station in wireless portable internet system

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100600605B1 (en) * 2004-11-03 2006-07-13 한국전자통신연구원 Apparatus and method for user and terminal data management of portable internet system
KR100667284B1 (en) * 2005-02-24 2007-01-12 삼성전자주식회사 Authentication Method in Network System and System Thereof
US8656480B2 (en) 2005-03-17 2014-02-18 Samsung Electronics Co., Ltd Method for negotiating security-related functions of subscriber station in wireless portable internet system
KR100770928B1 (en) * 2005-07-02 2007-10-26 삼성전자주식회사 Authentication system and method thereofin a communication system
US7724904B2 (en) 2005-07-02 2010-05-25 Samsung Electronics Co., Ltd Authentication system and method thereof in a communication system
KR101151029B1 (en) * 2005-12-08 2012-06-13 한국전자통신연구원 System for providing authentication of multi steps of portable hpi-internet system and service acknowledgement and method thereof
KR101017312B1 (en) * 2006-02-28 2011-02-28 차이나 아이더블유엔콤 씨오., 엘티디 Method and device for testing conformity of secure access protocol at access point
KR100730561B1 (en) * 2006-04-25 2007-06-20 포스데이타 주식회사 Method for controlling network entry of portable internet terminals, system enabling the method, and the portable internet terminals
US8547978B2 (en) 2006-07-01 2013-10-01 Samsung Electronics Co., Ltd. Method for providing MBS service in a WAN network, and system thereof
KR100864902B1 (en) * 2007-04-17 2008-10-22 성균관대학교산학협력단 Authenticating system, method using extensible authentication protocol and recorded medium having a program therefore
KR100972743B1 (en) * 2007-10-11 2010-07-27 숭실대학교산학협력단 Mutual Authentication Scheme between Mobile Routers using Authentication Token in MANET of MANEMO

Also Published As

Publication number Publication date
KR100589677B1 (en) 2006-06-15

Similar Documents

Publication Publication Date Title
US8539559B2 (en) System for using an authorization token to separate authentication and authorization services
KR100704675B1 (en) authentication method and key generating method in wireless portable internet system
KR100762644B1 (en) WLAN-UMTS Interworking System and Authentication Method Therefor
KR100759489B1 (en) Method and appratus for security of ip security tunnel using public key infrastructure in a mobile communication network
US8176327B2 (en) Authentication protocol
US20050254653A1 (en) Pre-authentication of mobile clients by sharing a master key among secured authenticators
US8433286B2 (en) Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR20050064119A (en) Server certification validation method for authentication of extensible authentication protocol for internet access on user terminal
US8380980B2 (en) System and method for providing security in mobile WiMAX network system
WO2007085175A1 (en) Authentication method, system and authentication center based on end to end communication in the mobile network
EP1779293A2 (en) Method and apparatus for determining authentication capabilities
TW200830901A (en) Handoff method of mobile device utilizing dynamic tunnel
US20070165582A1 (en) System and method for authenticating a wireless computing device
KR100907825B1 (en) Authentication method for roaming in heterogeneous wireless interworking system
US7715562B2 (en) System and method for access authentication in a mobile wireless network
KR100589677B1 (en) A Personal Internet System and An Authentication Method for the Personal Internet System
KR20100101887A (en) Method and system for authenticating in communication system
WO2009082950A1 (en) Key distribution method, device and system
KR20110061440A (en) Method and system for authenticating in wireless communication system
KR100527634B1 (en) Ap operating method on authorization and authorization failure in personal internet system
JP4584776B2 (en) Gateway device and program
WO2014117524A1 (en) Method and system for transmitting pairwise master key in wlan access network
KR100554520B1 (en) A method for an user authorization and a key distribution in a high-speed portable internet system
KR100729729B1 (en) authentication device and method of access point in wireless portable internet system
KR20090093196A (en) Method for re-authentication of indoor mobile terminal in indoor WiBro system, and method for authentication of indoor RAS using it

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130520

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140519

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150519

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160519

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170519

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180517

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 14