KR20050088988A - 통신 단말장치의 식별 방법 - Google Patents

통신 단말장치의 식별 방법 Download PDF

Info

Publication number
KR20050088988A
KR20050088988A KR1020057002630A KR20057002630A KR20050088988A KR 20050088988 A KR20050088988 A KR 20050088988A KR 1020057002630 A KR1020057002630 A KR 1020057002630A KR 20057002630 A KR20057002630 A KR 20057002630A KR 20050088988 A KR20050088988 A KR 20050088988A
Authority
KR
South Korea
Prior art keywords
service
public
communication terminal
service network
token
Prior art date
Application number
KR1020057002630A
Other languages
English (en)
Inventor
게오르크 카스텔레빅츠
페터 킴
Original Assignee
지멘스 악티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지멘스 악티엔게젤샤프트 filed Critical 지멘스 악티엔게젤샤프트
Priority to KR1020057002630A priority Critical patent/KR20050088988A/ko
Publication of KR20050088988A publication Critical patent/KR20050088988A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/147Signalling methods or messages providing extensions to protocols defined by standardisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 통신 가입자의 신원을 검사하기 위한 방법에 관한 것이다. 상기 방법은 다음과 같은 단계들을 포함한다: a) 등록이 이루어지는 중에, 가입자에 대하여 액세스망(GPRS)에 의해서 IP 주소가 할당되고 서비스망(IMS)에 의해서 공개 ID(SIP-공개-ID)가 할당되며; b) 등록이 이루어지는 중에, 무작위 수 및 가입자의 IP 주소로 이루어진 토큰(token)이 암호화 알고리즘을 이용하여 계산된 후에, 주소 및 공개 ID와 함께 가입자에게 전송되어 가입자에 의해 저장되며; c) 가입자는 서비스망으로 서비스 요청을 전송함과 동시에 IP 주소, 공개 ID 및 토큰과 같이 저장된 데이터들을 전송하며; d) 함께 전송된 데이터들이 서비스망에 의해서 상기 서비스망에 저장되거나 다시 계산된 카피들(copies)과 비교되고; e) 상기 데이터들과 카피들이 일치하면 요청된 서비스가 수행된다.

Description

통신 단말장치의 식별 방법{METHOD FOR IDENTIFYING A COMMUNICATIONS TERMINAL}
본 발명은 통신 단말장치의 식별 방법에 관한 것이다.
2/3 세대 이동 통신망에서는 서비스 공급에 맞게 최적화된 특수망(서비스망)에 의해 공급된 서비스들이 이동 통신 사용자들에게 제공된다. 이와 같은 이동 통신망에서 서비스 사용자들은 GPRS 표준에 따라 동작하는 통신망과 같은 액세스망을 통해 서비스망에 접속된다. 전송망사업자(network operator)는 대개 서비스 공급 전에 서비스 사용자의 신원을 확인(식별)하고 성공적인 인증 후에 이 사용자를 등록시키는 것에 주력한다. 이러한 방식의 서비스망의 예로 3GPP 릴리즈 5를 규정으로 하여 표준화된 소위 IMS(IP 멀티미디어 서브시스템)가 있다. IMS에서는 사용자에 의해 요청된 서비스에 대한 요금 부과(service charging)를 위한 전제가 상기 IMS에서의 사용자 식별이며, 이러한 사용자 식별은 3GPP TS 23.228 버전 5.4.1에 기술된 메커니즘에 상응하게 구현될 수 있다. 하지만, 이러한 메커니즘은 통신 단말장치 및 액세스망이 실질적으로 3GPP 표준화 릴리즈 5에 적응되거나 적합해야만 하는데, 이는 아직까지 실현되지 못했다.
그러므로 GPRS 망과 같이 지금도 이용가능한 통신 단말장치 및 액세스망을 사용하기 위해서는 임시 해결책들이 강구되어야만 한다.
전술한 바와 같은 등록 방법은 독일특허출원 DE 10223248.2에 제시된다.
안전성을 증대시키기 위해서는 서비스 사용자 측에서 서비스망의 서비스를 이용하기 직전 또는 이용하는 중에 뿐만 아니라, 서비스망에 서비스 사용자가 등록된 이후에도 서비스 사용자의 식별 및/또는 인증이 수행되는 것이 바람직하다.
도 1은 본 발명에 따른 방법을 실시하기 위한 장치의 실시예이고,
도 2는 본 발명에 따른 방법의 한 실시예에 대한 개략도이다.
따라서 본 발명의 목적은 서비스 사용자가 서비스를 이용하는 중에 또는 이용하기 전에 사용자의 신원을 확인(식별)하기 위해서 안전하고, 확실하며 간단하게 수행될 수 있는 방법을 제공하는 것이다.
본 발명의 도 1에 따르면 서비스망(IMS)에 의해 구성될 수 있는 통신 서비스를 이용하는 중에 상기 서비스망(IMS)에 등록된 통신 단말장치(UE)를 식별하기 위한 방법이 제시되는데, 상기 방법에서는 통신 단말장치 측(UE)이 상기 통신 단말장치(UE)를 서비스망(IMS)에 접속시키는 액세스망(GPRS)을 통해 서비스망(IMS)에 액세스하며, 이러한 액세스가 이루어지기 전에
통신 단말장치(UE)가 액세스망(GPRS)에 로그온될 때 상기 통신 단말장치(UE)에 할당되었던 로그온 IP 주소(IP-SRC-UE)가 서비스망(IMS)에 의해 수신되어, 통신 단말장치의 개별 사용자를 위해 상기 서비스망 내에 저장되었으며,
서비스망(IMS)에 의해서 통신 단말장치(UE)의 공개 ID(SIP-공개-ID)가 로그온 IP 주소(IP-SRC-UE)에 할당되었으며,
통신 단말장치가 서비스망에 등록되면, 로그온 IP 주소(IP-SRC-UE) 및 무작위 수(RN)로 이루어진 서비스망(IMS)에 의해 암호화 방식을 이용하여 생성된 토큰(token)이 상기 통신 단말장치에 할당되어, 상기 통신 단말장치(UE) 내에 저장되고, 상기 토큰에 관련한 식별자 데이터(RN, IP-SRC-UE, SIP-공개-ID)가 서비스망에 저장되었으며,
통신 단말장치 측에서 통신 서비스를 요청하면 통신 서비스를 공급하기 위해 통신 단말장치로부터 서비스망으로 전송되는 소수의 메시지들, 바람직하게는 모든 메시지들(SIP 메시지, SIP INVITE...) 내에 토큰 및 공개 ID가 함께 전송되며,
요청된 통신 서비스를 공급하기 전에, 메시지들(SIP 메시지, SIP INVITE...)과 함께 통신 단말장치 측에서 전송된 토큰은 식별자 데이터와 비교되고 전송된 공개 ID는 서비스망에 저장된 상응하는 공개 ID와 비교되며,
토큰과 식별자 데이터가 일치하고 이와 동시에 통신 단말장치 측에서 통신 서비스를 공급하기 위해 전송되는 메시지들을 포함하는 공개 ID가 서비스망에 저장된 공개 ID와 일치하면 요청된 통신 서비스가 수행되며,
토큰과 식별자 데이터가 일치하지 않고 및/또는 통신 서비스를 공급하기 위해 통신 단말장치 측에서 전송되는 메시지들을 포함하는 공개 ID가 서비스망에 저장된 공개 ID와 일치하지 않으면 요청된 통신 서비스의 수행이 거부된다.
본 발명에 따른 방법은 바람직하게는 3GPP "릴리즈 5" 표준화 규정에 상응하는 통신 단말장치 또는 액세스망을 필요로 하지 않는다. 오히려 본 발명에 따른 방법은 3GPP "릴리즈 1999"("릴리즈 3"이라고 지칭하기도 함) 표준화 규정을 충족시키는 오늘날 통용되는 통신 단말장치 및 액세스망으로도 충분하다. 예컨대 종래의 "가입자 식별 모듈(SIM)" 카드만을 갖는 통신 단말장치들이 적합하다. 본 발명에 따른 방법의 또 다른 장점은, 토큰이 로그온 IP 어드레스 및 무작위 수로부터 암호화 방식을 이용하여 생성되기 때문에 토큰을 "추측"하기가 매우 어렵다는 것이다. 토큰은 로그온 IP 어드레스에 의해 어드레싱된 전송 메시지에 의해 통신 단말장치로 전송된다. 이러한 방식을 통해 그리고 액세스망에서의 루팅(routing)에 의해서, 바람직하게 토큰이 단지 로그온 IP 어드레스를 갖는 통신 단말장치에만 전송되어서, 그 다음 단계에서 단지 이 통신 단말장치에 대해서만 식별이 성공할 수 있다.
본 발명에 따른 방법은 서비스망 내에 식별자 데이터로서 토큰이 저장되며, 통신 단말장치에 할당된 토큰과 서비스망 내에 저장된 식별자 데이터를 비교할 때 통신망에 할당된 토큰이 저장된 토큰과 비교되며, 통신 단말장치에 할당된 토큰이 저장된 토큰과 일치하고 이와 동시에 통신 서비스를 공급하기 위해서 통신 단말장치 측에서 전송되는 메시지를 포함하는 공개 ID가 서비스망 내에 저장된 공개 ID(SIP-공개-ID)와 일치하면 요청된 통신 서비스가 수행되도록 구성된다.
이와 같은 실시예에서는 식별이 특히 간단한 방식으로 수행될 수 있다. 왜냐하면, 단지 하나의 비교 단계만으로 서비스망에 통신 단말장치가 등록되는 중에 미리 통신 단말장치에 할당된 토큰이 저장된 토큰과 비교되면 되기 때문이다. 이를 위해서는 토큰의 암호화가 불필요하므로, 서비스망의 리소스는 매우 적게 요구된다.
본 발명에 따른 방법은 서비스망 내에 식별자 데이터로서 로그온 IP 어드레스 및 무작위 수가 저장되고 통신 서비스를 공급하기 위해 통신 단말장치로부터 서비스망으로 전송되는 메시지들을 서비스망(IMS)에 의해 수신한 후에 이러한 메시지들과 함께 전송되는 토큰의 암호화가 수행되는 방식으로 구성된다. 전송된 토큰과 서비스망에 저장된 식별자 데이터를 비교한다는 것은 암호화 시에 재획득된 로그온 IP 어드레스를 저장된 로그온 IP 어드레스와 비교한다는 것이다. 재획득된 로그온 IP 어드레스와 저장된 로그온 IP 어드레스가 일치하고 이와 동시에 통신 서비스를 공급하기 위해 통신 단말장치 측에서 전송되는 메시지들을 포함하는 공개 ID와 서비스망에 저장된 공개 ID가 일치하면 요청된 통신 서비스가 수행된다.
DE 10223248에 공지된 방법에 따르면 토큰은 미리 정해진 유효 기간이 지나면 무효로 표시된다. 그러므로 바람직하게 토큰은 다만 일정 유효 기간 동안만 사용될 수 있다. 토큰이 비허가된 자에게 알려지면, 원하지 않은 사용 기간의 제한이 나타난다.
토큰은 서비스망의 교환 지점에 의해서도 암호화될 수 있다.
본 발명에 따른 방법은 서비스망의 교환 지점에 의해서 통신 서비스를 공급하기 위해 전송되는 메시지들을 통해 통신 단말장치 측에서 전송되는 토큰이 식별자 데이터와 비교되고, 전송된 공개 ID는 서비스망에 저장된 공개 ID와 비교되며, 토큰과 식별자 데이터가 일치하고 이와 동시에 전송된 공개 ID와 서비스망에 저장된 공개 ID가 일치하면 요청된 통신 서비스가 교환 지점에 의해서 수행되며, 토큰과 식별자 데이터가 일치하지 않고 및/또는 전송된 공개 ID와 서비스망에 저장된 공개 ID가 일치하지 않으면 요청된 통신 서비스의 수행이 교환 지점에 의해 거부된다.
본 발명을 더 자세히 살펴보면 다음과 같다.
도 1에서는 액세스망으로서 "GPRS(general packet radio service)" 규정에 따라 동작하는 이동 통신망 GPRS가 도시된다. 이러한 액세스망 GPRS는 제 1 게이트웨이 GPRS 지원 노드(GGSN1)를 포함하고, 상기 GGSN1은 SIP 표준에 따라 동작하는 제 1 신호 접속(SIP1)에 의해서 제 1 통신 단말장치(UE1)와 접속될 수 있다. 또한, 이러한 액세스망은 제 2 게이트웨이 GPRS 지원 노드(GGSN2)를 포함하며, 상기 GGSN2는 SIP 표준에 따라 동작하는 제 2 신호 접속(SIP2)에 의해서 제 2 통신 단말장치(UE2)와 접속될 수 있다. 제 1 통신 단말장치(UE1) 및 제 2 통신 단말장치 (UE2)로는 예컨대 이동 전화나 이동 무선 모듈을 갖는 랩톱(laptop) 또는 팜톱(palmtop) 등이 사용될 수 있다. 또한, 서비스망 IMS(IP 멀티미디어 서브시스템)이 도시된다. 또한, 서비스망(IMS) 중에서 단지 하나의 교환 지점(S-CSCF)(CSCF=호출 세션 제어 함수; S-CSCF=서빙-CSCF)가 도시되며, 상기 S-CSCF는 데이터 접속(9 및 10)에 의해서 제 1 게이트웨이 GPRS 지원 노드(GGSN1) 및 제 2 게이트웨이 GPRS 지원 노드(GGSN2)와 접속된다. 데이터 접속(9 및 10)에 의해서 SIP 메시지들이 제 1 게이트웨이 GPRS 지원 노드(GGSN1) 및 제 2 게이트웨이 GPRS 지원 노드(GGSN2)로 전송될 수 있다.
제 1 통신 단말장치(UE1)를 이용하여 예컨대 "IMS 인스턴트 메시지"라고 하는 메시지가 제 2 통신 단말장치(UE2)로 전송될 수 있다. 다시 말해 일정한 서비스가 요청될 수 있다. 이와 같은 요청은 등록이 성공한 후에 비로소 실현될 수 있다. 그러나 통신 단말장치(UE1)가 IMS에 성공적으로 등록되면, 서비스 요청 직전에 및/또는 서비스 요청 중에 다시 한번 식별 및/또는 인증이 수행되어야만 한다.
따라서 통신 단말장치의 사용자가 서비스망(IMS)의 서비스를 이용하고자 할 경우에는 사용자의 통신 단말장치가 액세스망 - 오늘날에는 소위 "릴리즈 1999" GPRS 망으로 구현되기도 함 - 에 로그인된다. GPRS 망에 로그인되면 단말장치 내에 존재하는 SIM 카드를 이용하여 공지된 GPRS 사용자 인증이 수행된다. 이에 덧붙여서 통신 단말장치는 서비스망(IMS)에 등록되어, 상기 서비스망에서 인증받아야만 한다. 전술한 두 개의 절차, 즉 액세스망(GPRS)에서의 로그온 및 서비스망(IMS)에서의 로그온(등록)은 단말장치 동작시에 예컨대 자동으로 수행된다. 서비스망에 등록시 가장 중요한 부분은 서비스망을 통한 인증이다. 이 경우에 통신 단말장치가 서비스망에 등록되는 중에 통신 단말장치의 사용자 인증이 수행된다. 더 정확히 말하자면, 통신 단말장치 내에 삽입된 사용자의 SIM 카드가 승인되어 사용자의 신원이 파악된다.
도 2는 통신 서비스 및/또는 IMS 서비스를 이용하기 위한 IMS 사용자 인증이 본 발명에 따라 수행되는 것을 보여준다. 도시된 메시지 흐름(SIP 메시지 흐름)은 TS 24.228 버전 5.00에서 3GPP로 표준화된 메시지 흐름과 일치하지만, 통신 단말장치에 의해서 소위 토큰이 함께 전송되고 서비스망(IMS) 내에서 수행된 본 발명에 따른 식별 절차를 거친다는 점에서는 상기 표준과 다르다.
상기 실시예는 가입자(A)의 제 1 통신 단말장치(UE-A)가 액세스망, 예컨대 GPRS 액세스망에 로그인하는 것으로 시작된다. 이 경우에는 GPRS 사용자 인증이 수행된다. 이러한 인증이 성공하면 소위 "PDP 문맥"이 생성되어, 게이트웨이 GPRS 지원 노드(GGSN)로부터 임시 IP 주소(IP-SRC-UE)가 상기 통신 단말장치(UE-A)에 할당된다. 이러한 IP 주소는 다른 네트워크 가입자가 IP 패킷들을 상기 통신 단말장치에 전송하는 것을 가능하게 한다. 제 2 가입자(B)의 제 2 통신 단말장치(UE-B)도 마찬가지로 로그인된다.
또한, 통신 단말장치(UE-A)가 서비스망(IMS)에 등록된다. DE 10223248에 공지된 등록 절차에 따라 토큰이 제 1 통신 단말장치(UE-A)로 전송된다.
등록 이후에 제 1 가입자(A)가 통신 서비스 및/또는 제 1 통신 단말장치(UE-A)에 대한 IMS 서비스를 개시한다. 그 이후의 메시지 흐름은 표준 TS 23.228에 표시된 메시지 흐름과 유사하다. IMS 서비스를 요청하면 우선 소위 SIP-INVITE 메시지가 가입자(A)의 제 1 통신 단말장치(UE-A)로부터 제 2 가입자(B)의 제 2 통신 단말장치(UE-B)로 전송된다. SIP-INVITE 메시지는 제 1 통신 단말장치(UE-A)의 임시 IP 주소(IP-SRC-UE-1)를 포함한다. 그러나 이러한 임시 IP 주소는 반드시 제 1 통신 단말장치(UE-A)가 GPRS 액세스망에 로그인되는 중에 획득한 IP 주소일 필요는 없다. 부정(不正)한 가입자(A)는 그의 통신 단말장치(UE-A)에 의해서 틀린 IP 주소로 위장할 수도 있다. 이러한 사실은 공지된 릴리즈 99 GPRS 액세스망, 예컨대 GGSN에 의해서 검사되지 않는다. 또한, SIP-INVITE 메시지가 공개 ID(SIP-공개-ID-1)를 가지며, 상기 공개 ID는 서비스망(IMS)에 의해서 통신 단말장치(UE-A)에 할당되었다. 이러한 파라미터도 부정한 가입자(A)에 의해 조작될 수 있다. 이러한 사실을 검사하기 위해서는 통신 단말장치(UE-A)에 의해서 등록시 할당된 토큰이 SIP-INVITE 메시지 내에 포함된다. 지금까지 기술한 내용은 도 2에 도시된 단계들(2 내지 5)을 포함한다.
서비스망(IMS)의 교환 지점(S-CSCF)이 토큰을 갖는 SIP-INVITE 메시지를 획득한다(단계 6). 교환 지점(S-CSCF)에 저장된 정보에 따라 SIP-INVITE 메시지로 이루어진 토큰이 교환 지점(S-CSCF)에 저장된 토큰과 비교되거나, SIP-INVITE 메시지로 이루어진 토큰이 교환 지점(S-CSCF)에서 암호화되고 나서 그 결과 획득된 파라미터(RN 및 IP-SRC-UE)가 교환 지점(S-CSCF)의 데이터베이스 내 상응하는 엔트리<RN, IP-SRC-UE; SIP-공개-ID>와 비교된다. 그리고 나서 공개 ID, 소위 SIP-INVITE 메시지로 이루어진 SIP 공개 사용자 ID가 상기 토큰에 할당된 SIP-공개-IP 및/또는 이에 상응하는 <RN, IP-SRC-UE, SIP-공개-ID> 트리플(triple) 내에 저장된 SIP 공개 사용자 ID와 비교된다.
SIP-INVITE 메시지로 이루어진 토큰이 교환 지점(S-CSCF)에 저장된 토큰과 일치하고 이러한 토큰을 위해 상기 교환 지점(S-CSCF)에 저장된 공개 ID(SIP-공개-ID)가 SIP-INVITE 메시지로 이루어진 공개 ID(SIP-공개-ID-1)와 일치하거나, SIP-INVITE 메시지의 토큰으로부터 암호화된 파라미터(RN 및 IP-SRC-UE)에 매칭되는 <RN, IP-SRC-UE; SIP-공개-ID> 엔트리가 교환 지점(S-CSCF)에 존재하고 이러한 엔트리 내에 저장된 공개 ID(SIP-공개-ID)가 SIP-INVITE 메시지로 이루어진 공개 ID(SIP-공개-ID-1)와 일치하면, 가입자(A) 식별이 수행된다.
전술한 표준들이 모두 맞지 않을 경우에는 서비스망(IMS)에서 가입자(A)의 식별이 이루어진다. 이와 같은 경우에는 교환 지점(S-CSCF)으로부터 SIP-401-비허가(UNAUTHORIZED) 메시지가 가입자(A)의 통신 단말장치(UE-A)로 전송된다.
교환 지점(S-CSCF)에서 가입자(A)의 식별이 성공적으로 수행된 후에 표준 TS 23.228과 유사한 메시지 흐름이 계속된다(단계 7-27). 그러나 가입자(A)의 통신 단말장치(UE-A)를 전송하는 모든 메시지의 경우에 전송된 메시지에 토큰이 함께 포함되고 SIP-INVITE 메시지를 위한 검사가 수행된다. 이와 같은 절차가 성공적으로 수행된 경우에만 메시지 흐름이 도 2에서와 같이 계속되고, 그렇지 않을 경우에는 통신 서비스가 중단된다.
교환 지점(S-CSCF)에서 IMS-사용자 인증이 수행되면, 관련 토큰 또는 관련 데이터레코드-엔트리 <RN, IP-SRC-UE; SIP-공개-ID>에 대한 검색을 가속화하기 위해서는 예컨대 색인 방식(index mode)이 교환 지점 데이터베이스에서 이용될 수 있다. 이를 위해 필요한 데이터베이스 색인은 예컨대 토큰 자체 또는 식별자 데이터(토큰 파라미터)로부터 작성될 수 있다.
전술한 방법의 중심 이념은, 임시 IP 주소(IP-SRC-UE)를 위한 토큰이 이러한 IP 주소를 게이트웨이 GPRS 지원 노드(GGSN)에 의해 할당받은 단말장치에만 전송한다는데 있다. 이는 GPRS 액세스망 내에서의 루팅에 의해서 보장된다. 또한, 에어 인터페이스를 통해 전송될 때 모든 메시지가 암호화되므로, 다른 GPRS 단말장치에 의해 토큰이 도청되는 일은 발생하지 않는다. 토큰 생성시 무작위 수를 사용하면, 토큰이 추후에 동일한 임시 IP 주소를 우연히 할당받은 다른 단말장치에 의해 부정한 의도로 이용되는 일은 발생하지 않는다. 본 발명에 따른 방법은 새로운 인터페이스나 네트워크 요소를 필요로 하지 않는다. 서비스망의 통신 서비스를 이용하고자 하는 가입자의 확실한 식별 없이는 통신 서비스에 대한 요금 부과가 수행될 수 없다. 본 발명에 따른 방법은 안전한 가입자 인증을 위한 해결책을 제시한다. 본 발명에 따른 방법은 IMS와 같은 서비스망에서 이용되는 서비스에 대한 요금 부과뿐만 아니라, IMS와 같은 서비스망에서 공급된 정보들에 대한 요금 부과를 위해서도 이용될 수 있다. 본 발명에 따른 방법은 오늘날 WAP 서비스용으로 존재하는 것과 동일한 안전성을 제공한다.
본 발명에 따른 방법을 이용하면 서비스 사용자의 안전한 인증이 가능하기 때문에, IMS와 같은 서비스망을 위해 오늘날의 릴리즈 99 GPRS 망 또한 액세스망으로 사용될 수 있다는 큰 이점이 전송망사업자에게 주어진다.
서비스 사용자가 암호 입력을 통해 재로그온할 필요없이 GPRS(예컨대 WAP) 서비스 뿐만 아니라 IMS 서비스도 이용할 수 있다는 이점이 서비스 사용자에게 주어진다.
전술한 방법을 이용하면, 예컨대 부정한 의도로 틀린 IP 주소나 틀린 SIP 공개 사용자 ID로 전송된 메시지들이 인증 오류를 야기하는 것을 바람직한 방식으로 막을 수 있다.
이러한 방법의 주요 측면은 특정한 임시 IP 주소를 이용하여 실제로 이러한 특정한 임시 IP 주소를 갖는 단말장치에 어드레싱하는 방식으로 토큰이 통신 단말장치에 할당된다는데 있다. 이는 액세스망(예컨대 GPRS 망)의 루팅 메커니즘에 의해서 보장된다. 임의의 단말장치가 등록중에 임시 IP 주소를 단지 위장한 경우라면, 이러한 토큰이 획득되지 않는다. 하지만, IMS 서비스의 성공적인 요청을 위해서는 토큰이 필요하다. 서비스망(예컨대 IP 멀티미디어 시스템(IMS))에서는 토큰에 의해 임시 IP 주소의 검증이 수행된다. 이로 인해 공개 ID(SIP-공개-ID) 및 이에 대응하는 비공개 ID(SIP-비공개-ID)의 안전한 식별 또한 수행될 수 있다.
서비스망(IMS)(IP Multimedia Subsystem)은 그 자체로 공지되어 있고 예컨대 "TS 23.228 V5.4.1(2002-04);3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; IP Multimedia Subsystem(IMS); Stage 2(Release 5)"에 기술되어 있다. IMS가 오늘날 통용되는 "릴리즈 1999" GPRS 망에 접속되거나, 예컨대 ISIM 카드를 갖지 않는 기존의 "릴리즈 1999" 단말장치가 사용되는 경우에는 가입자가 부정한 의도로 통신 장치를 변형시킬 수 있는 문제가 있다. 이로 인해 SIP 메시지가 틀린 IP 주소 및 틀린 SIP 공개 사용자 ID로 전송되어서, 요금이 다른 IMS 가입자에게 잘못 부과되는 일이 발생할 수 있다. 전술한 방법을 이용하면, 서비스망(IMS)이 오늘날 통용되는 "릴리즈 1999" GPRS 망에 접속되는 경우이거나, ISIM 카드를 갖지 않는 기존의 "릴리즈 1999" 단말장치가 이용되는 경우에도 IMS 사용자의 확실한 식별이 이루어질 수 있다. 이는 IMS에 등록되기 위해서 통신 단말장치로 전송된 토큰을 사용하여, IMS 서비스를 이용하기 위해 서비스 관련 메시지들을 전송하는 가입자의 신원을 검사하는 방식으로 이루어진다. 통신 단말장치가 임시 IP 주소 및/또는 틀린 SIP 공개 사용자 ID를 서비스 이용중에 단지 위장한다면, 이러한 파라미터들은 토큰에 저장되거나 토큰에 할당된 값들에 상반된다. 이러한 방식을 이용하여 서비스망(IMS)은 서비스 관련 메시지에 표시된 임시 IP 주소 및/또는 SIP 공개 사용자 ID가 통신 단말장치 등록시 표시되고 검증되었던 주소 및 ID와 일치하는지 않는지에 대한 검사를 수행할 수 있다. 이와 같은 가입자의 안전한 인증에 의해서 IMS 서비스에 대한 요금 부과가 수행될 수 있다.
이와 같은 IMS 서비스에 대한 요금 부과 상황을 가정한 시나리오를 작성해 보면 다음과 같다:
한 부정한 가입자가 릴리즈 1999 GPRS 액세스망에 로그인한다. 상기 가입자는 IMS 인스턴트 메시지를 다른 가입자에게 전송하고자 하며 이때 상기 인스턴트 메시지를 전송하는데 발생하는 비용을 서비스망의 제 3의 가입자에게 청구되는 방식으로 접속된 서비스망, 예컨대 IMS를 이용하려고 한다. 우선 부정한 가입자는 그 자신의 식별번호로 GPRS 액세스망 및 IMS와 같은 서비스망에 로그인한다. DE 10223248에 공지된 등록 방법에 따라서, 서비스망(IMS)의 개별 가입자는 IMS에 성공적으로 로그인하는 중에 토큰을 획득한다. 이 단계까지 부정한 가입자는 정확한 절차를 따라야만 한다. 그렇지 않으면 그는 서비스망(IMS)에 로그인되지 못한다. 이러한 방식을 통해서 부정한 가입자는 또한 유효 토큰을 획득한다.
그 뒤에 부정한 가입자는 IMS 인스턴트 메시지를 작성하지만, 상기 IMS 인스턴트 메시지는 그의 식별번호(SIP 공개 사용자 ID) 및 그가 GPRS 액세스망에 로그인하는 중에 획득한 임시 IP 주소를 갖지 않는다. 그 대신에 부정한 가입자는 SIP 공개 사용자 ID 및 IMS 서비스망에도 직접 로그인한 제 3 IMS 가입자의 임시 IP 주소를 사용한다. 틀린 정보를 포함하는 인스턴트 메시지를 작성한 후에, 부정한 가입자는 이 메시지를 서비스망(IMS)으로 전송한다.
본 발명에 따른 방법을 적용하지 않으면, 서비스망(IMS)은 상기 인스턴트 메시지를 수신자에게 전송하고 부정한 가입자에 의해 인스턴트 메시지에 부가된 틀린 정보들에 대해서도 요금이 부과될 수 있다. 이는 부정한 IMS 가입자에 의한 요금 부과를 의미하며, 이는 어떠한 경우라도 차단되어야만 한다.
본 발명에 따른 방법은 단지 토큰 공급시에만 IMS 서비스를 이용할 수 있도록 요구한다. 토큰은 표시된 IP 주소 및 표시된 SIP 공개 ID의 검사를 가능하게 한다.
본 발명에 따른 방법을 이용하면, 다른 IMS 가입자의 이름으로 IMS 서비스를 사용하는 일이 완전히 불가능하거나 거의 불가능하다. 모든 IMS 가입자는 등록 중에 그 자신의 토큰 만을 획득하며 다른 IMS 가입자의 토큰을 획득할 수는 없다. 또한, 토큰 내에 포함된 무작위 수 때문에 토큰을 추측하기도 어렵다. 또한, 모든 메시지들이 암호화되어 에어 인터페이스를 통해 전송되기 때문에 토큰을 도청하는 일은 불가능하다.

Claims (5)

  1. 서비스망(IMS)에 의해 구성될 수 있는 통신 서비스를 이용하는 중에 상기 서비스망(IMS)에 등록된 통신 단말장치(UE)를 식별하기 위한 방법으로서,
    상기 통신 단말장치(UE)는 상기 통신 단말장치(UE)를 상기 서비스망(IMS)에 접속시키는 액세스망(GPRS)을 통해 그의 측에서 상기 서비스망(IMS)에 액세스하며,
    상기 액세스가 수행되기 전 단계로서,
    상기 통신 단말장치(UE)가 상기 액세스망(GPRS)에 로그온하는 중에 상기 통신 단말장치(UE)에 할당되었던 로그온 IP 주소(IP-SRC-UE)가 상기 서비스망(IMS)에 의해 수신되어, 상기 통신 단말장치의 개별 사용자를 위해 상기 서비스망 내에 저장되는 단계;
    상기 서비스망(IMS)에 의해서 상기 로그온 IP 주소(IP-SRC-UE)에 상기 통신 단말장치(UE)의 공개 ID(SIP-공개-ID)가 할당되고 상기 서비스망(IMS)에 저장되는 단계; 및
    상기 통신 단말장치(UE)가 상기 서비스망에 등록되면, 상기 로그온 IP 주소(IP-SRC-UE) 및 무작위 수(RN)로부터 상기 서비스망(IMS)에 의해서 암호 방식을 이용하여 생성되었었던 토큰(token)이 상기 통신 단말장치(UE)에 저장되어, 상기 토큰에 관련한 식별자 데이터(RN, IP-SRC-UE, SIP-공개-ID)가 상기 서비스망(IMS)에 저장되는 단계가 제공되며,
    상기 통신 단말장치 측에서 통신 서비스를 요청하면, 상기 통신 서비스를 공급하기 위해 상기 통신 단말장치로부터 상기 서비스망으로 전송되는 소수의 메시지들, 특히 모든 메시지들(SIP 메시지, SIP INVITE...) 내에 상기 토큰 및 상기 공개 ID가 함께 전송되며,
    상기 요청된 통신 서비스를 공급하기 전에, 상기 메시지들(SIP 메시지, SIP INVITE...)과 함께 상기 통신 단말장치 측에서 전송된 상기 토큰은 상기 식별자 데이터와 비교되고 상기 전송된 공개 ID는 상기 서비스망(IMS)에 저장된 상기 공개 ID와 비교되며,
    상기 토큰과 상기 식별자 데이터(RN, IP-SRC-UE, SIP-공개-ID)가 일치하고 이와 동시에 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 메시지들과 함께 전송된 상기 공개 ID가 상기 서비스망(IMS)에 저장된 상기 공개 ID(SIP-공개-ID)와 일치하면 상기 요청된 통신 서비스가 수행되며,
    상기 토큰과 상기 식별자 데이터가 일치하지 않고 및/또는 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 메시지들과 함께 전송된 상기 공개 ID가 상기 서비스망(IMS)에 저장된 상기 공개 ID와 일치하지 않으면 상기 요청된 통신 서비스의 수행이 거부되는, 통신 단말장치의 식별 방법.
  2. 제 1항에 있어서,
    상기 토큰이 상기 식별자 데이터로서 상기 서비스망(IMS)에 저장되고,
    상기 통신 단말장치에 할당된 상기 토큰과 상기 서비스망에 저장된 상기 식별자 데이터를 비교할 때 상기 통신 단말장치에 할당된 상기 토큰이 상기 서비스망에 저장된 상기 토큰과 비교되며,
    상기 통신 단말장치에 할당된 상기 토큰과 상기 서비스망에 저장된 상기 토큰이 일치하고 이와 동시에 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 상기 메시지들을 포함하는 상기 공개 ID가 상기 서비스망에 저장된 상기 공개 ID와 일치하면 상기 요청된 통신 서비스가 수행되는, 통신 단말장치의 식별 방법.
  3. 제 1항에 있어서,
    상기 로그온 IP 주소(IP-SRC-UE) 및 상기 무작위 수(RN)가 상기 식별자 데이터로서 상기 서비스망에 저장되고,
    상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치로부터 상기 서비스망으로 전송되는 메시지들을 수신한 후에 상기 서비스망(IMS)에 의해 상기 메시지들과 함께 전송되는 상기 토큰의 암호화가 수행되며,
    상기 전송된 토큰과 상기 서비스망에 저장된 상기 식별자 데이터를 비교할 때 상기 암호화 시에 재획득된 상기 로그온 IP 주소가 상기 서비스망에 저장된 상기 로그온 IP 주소와 비교되고,
    상기 재획득된 로그온 IP 주소가 상기 서비스망에 저장된 상기 로그온 IP 주소와 일치하고 이와 동시에 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 상기 메시지들을 포함하는 상기 공개 ID가 상기 서비스망에 저장된 상기 공개 ID(SIP-공개-ID)가 일치하면 상기 요청된 서비스가 수행되는, 통신 단말장치의 식별 방법.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서,
    상기 토큰이 상기 서비스망(IMS)의 교환 지점(S-CSCF)에 의해서 암호화되는, 통신 단말장치의 식별 방법.
  5. 제 1항 내지 제 4항 중 어느 한 항에 있어서,
    상기 수신된 토큰과 상기 통신 데이터의 비교, 그리고 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 상기 메시지들을 포함하는 상기 공개 ID와 상기 서비스망에 저장된 상기 공개 ID(SIP-공개-ID)의 비교가 상기 서비스망(IMS)의 상기 교환 지점(S-CSCF)에 의해서 수행되고,
    상기 토큰과 상기 식별자 데이터가 일치하고 이와 동시에 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 상기 메시지들을 포함하는 상기 공개 ID와 상기 서비스망에 저장된 상기 공개 ID(SIP-공개-ID)가 일치하면 상기 요청된 통신 서비스가 상기 교환 지점(S-CSCF)에 의해서 수행되며,
    상기 토큰과 상기 식별자 데이터가 일치하지 않고 및/또는 상기 통신 서비스를 공급하기 위해서 상기 통신 단말장치 측에서 전송되는 상기 메시지들을 포함하는 상기 공개 ID와 상기 서비스망에 저장된 상기 공개 ID(SIP-공개-ID)가 일치하지 않으면 상기 요청된 통신 서비스의 수행이 상기 교환 지점(S-CSCF)에 의해서 거부되는, 통신 단말장치의 식별 방법.
KR1020057002630A 2005-02-16 2002-08-16 통신 단말장치의 식별 방법 KR20050088988A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020057002630A KR20050088988A (ko) 2005-02-16 2002-08-16 통신 단말장치의 식별 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020057002630A KR20050088988A (ko) 2005-02-16 2002-08-16 통신 단말장치의 식별 방법

Publications (1)

Publication Number Publication Date
KR20050088988A true KR20050088988A (ko) 2005-09-07

Family

ID=37271569

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057002630A KR20050088988A (ko) 2005-02-16 2002-08-16 통신 단말장치의 식별 방법

Country Status (1)

Country Link
KR (1) KR20050088988A (ko)

Similar Documents

Publication Publication Date Title
US7610619B2 (en) Method for registering a communication terminal
CN100362896C (zh) 用于验证通信终端设备的方法
EP1492296B1 (en) Apparatus and method for a single a sign-on authentication through a non-trusted access network
US8533798B2 (en) Method and system for controlling access to networks
US8526408B2 (en) Support of UICC-less calls
US7526642B2 (en) Controlling delivery of certificates in a mobile communication system
EP1414212B1 (en) Method and system for authenticating users in a telecommunication system
US20040162998A1 (en) Service authentication in a communication system
JP2007251977A (ja) Ipマルチメディアサブシステムへのアクセスを与える方法
KR20040073329A (ko) 사용자가 인터넷에 접속하는 동안 네트워크 액세스에서사용자를 인증하기 위한 방법 및 시스템
BRPI0517521B1 (pt) Método e sistema para autenticar um assinante de uma primeira rede para acessar um serviço de aplicação através de uma segunda rede
RU2328082C2 (ru) Способ защиты трафика данных между сетью мобильной связи и сетью ims
US7912452B2 (en) Authenticating a removable user identity module to an internet protocol multimedia subsystem (IMS)
US7770216B2 (en) Transparent access authentication in GPRS core networks
WO2004034671A1 (en) Controlling delivery of certificates in a mobile communication system
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
US20020042820A1 (en) Method of establishing access from a terminal to a server
RU2291593C2 (ru) Способ идентификации оконечного устройства связи
KR20050088988A (ko) 통신 단말장치의 식별 방법
CN101341779A (zh) 用于无线接入网的优先化网络接入
KR20050077976A (ko) 무선 데이터 서비스를 위한 사용자의 세션 정보 제공 방법및 시스템
US20050240988A1 (en) Separate accounting server
CN100518182C (zh) 保护移动无线电网和ims网之间的数据通信业务的方法
KR100915043B1 (ko) 이동 무선 네트워크, 상기 네트워크에서 단말기 장치를동작시키기 위한 방법, 및 상기 단말기 장치를 식별하는파라미터들을 저장하기 위해 통합된 전자 회로 설비들을구비하는 단말기 장치
KR20030092851A (ko) 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application