KR20060039126A - Amethod for terminal authenticating in portable internet system - Google Patents

Amethod for terminal authenticating in portable internet system Download PDF

Info

Publication number
KR20060039126A
KR20060039126A KR1020040088188A KR20040088188A KR20060039126A KR 20060039126 A KR20060039126 A KR 20060039126A KR 1020040088188 A KR1020040088188 A KR 1020040088188A KR 20040088188 A KR20040088188 A KR 20040088188A KR 20060039126 A KR20060039126 A KR 20060039126A
Authority
KR
South Korea
Prior art keywords
authentication
terminal
user
eap
internet system
Prior art date
Application number
KR1020040088188A
Other languages
Korean (ko)
Other versions
KR100638590B1 (en
Inventor
임선화
정윤원
김영진
Original Assignee
한국전자통신연구원
삼성전자주식회사
주식회사 케이티
주식회사 케이티프리텔
에스케이 텔레콤주식회사
하나로텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 삼성전자주식회사, 주식회사 케이티, 주식회사 케이티프리텔, 에스케이 텔레콤주식회사, 하나로텔레콤 주식회사 filed Critical 한국전자통신연구원
Priority to KR1020040088188A priority Critical patent/KR100638590B1/en
Publication of KR20060039126A publication Critical patent/KR20060039126A/en
Application granted granted Critical
Publication of KR100638590B1 publication Critical patent/KR100638590B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Abstract

본 발명은 휴대 인터넷 시스템의 단말 인증 방법에 관한 것이다.The present invention relates to a terminal authentication method of a portable internet system.

휴대 인터넷 시스템에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 따라서 본 발명의 휴대 인터넷 시스템의 단말 인증 방법에 따르면, AAA(Authentication, Authorization and Accounting) 서버에서 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하여 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득한 후, 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행한다.In the portable Internet system, user authentication based on the Extensible Authentication Protocol (EAP) framework is defined as a default in order to support interworking between different provider networks in the future. Therefore, according to the terminal authentication method of the portable Internet system of the present invention, an authentication request message for the terminal at the time of user authentication based on an Extensible Authentication Protocol (EAP) framework in an AAA (Authentication, Authorization and Accounting) server The message includes the terminal MAC (Medium Access Control) address and the user ID (identity)-after acquiring the user ID and the MAC address of the terminal requested authentication, the MAC of the terminal corresponding to the user ID Performs terminal authentication by searching for an address.

휴대 인터넷 시스템, AAA, 인증, EAP, Diameter, RADIUS, AVPMobile Internet System, AAA, Authentication, EAP, Diameter, RADIUS, AVP

Description

휴대 인터넷 시스템에서의 단말 인증 방법{AMETHOD FOR TERMINAL AUTHENTICATING IN PORTABLE INTERNET SYSTEM}Terminal authentication method in portable Internet system {AMETHOD FOR TERMINAL AUTHENTICATING IN PORTABLE INTERNET SYSTEM}

도 1은 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 구조를 나타내는 도면이다.1 is a view showing the structure of a portable Internet system according to an embodiment of the present invention.

도 2a 내지 도 2c는 각각 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위해 사용되는 메시지 구조를 나타낸 도면이다.2A to 2C are diagrams illustrating a message structure used to transmit an AT MAC address between an AT and an AP, an AP and a PAR, and a PAR and an AAA server, respectively.

도 3은 도 1에 도시된 AAA 서버에서 관리하고 있는 AT MAC 데이터베이스 구조를 나타낸 도면이다.FIG. 3 is a diagram illustrating an AT MAC database structure managed by the AAA server shown in FIG. 1.

도 4는 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 사용자 인증 시 단말 인증 과정을 나타낸 도면이다.4 is a diagram illustrating a terminal authentication process when a user authenticates a portable Internet system according to an exemplary embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 AAA 서버의 단말 및 사용자 인증 동작을 나타낸 도면이다.5 is a diagram illustrating a terminal and a user authentication operation of an AAA server in a portable Internet system according to an embodiment of the present invention.

본 발명은 휴대 인터넷 시스템에 관한 것으로 특히, EAP 프레임워크를 기반으로 한 사용자 인증 시에 단말 인증도 수행하는 휴대 인터넷 시스템의 단말 인증 방법에 관한 것이다. The present invention relates to a portable internet system, and more particularly, to a terminal authentication method of a portable internet system that performs terminal authentication at the time of user authentication based on the EAP framework.

최근 들어 국내 초고속 인터넷 서비스와 이동통신 서비스 시장은 점차 포화 상태로 접어들고 있으며, 전 세계적으로는 3 세대 이동통신 서비스에 대한 상용화 연기로 인해 이동통신 시장의 침체가 지속되고 있다. 이러한 침체된 통신 시장 환경에서 저렴한 이용 요금으로 이동 중인 가입자에게 고속의 인터넷 접속을 제공하는 무선 인터넷 서비스는 새로운 시장 창출의 돌파구로 여겨지고 있다.Recently, the domestic high-speed Internet service and mobile communication service market is gradually entering a saturation state, and the global mobile communication market is continuing to slump due to delayed commercialization of 3G mobile service. In this stagnant telecommunications market environment, wireless Internet services that provide high-speed Internet access to mobile subscribers at low rates are considered a breakthrough in creating new markets.

일반적으로 무선 인터넷 기술 방식은 크게 상용 무선 랜과 cdma 2000 1xEV-DO와 같은 셀룰라 기반 이동통신 및 앞으로 상용화될 휴대 인터넷으로 분류될 수 있다.In general, the wireless Internet technology may be classified into commercial wireless LAN, cellular based mobile communication such as cdma 2000 1xEV-DO, and portable Internet to be commercialized in the future.

무선 랜은 고속 전송 속도로 인터넷 서비스가 가능하지만 이동성 및 서비스 영역에서 제약을 받고, 셀룰라 기반 이동통신은 광역의 서비스 영역 및 고속의 이동성은 지원하지만 전송 속도 및 사용 요금에서 제약을 받는다. 따라서, 기존의 무선 랜 및 셀룰라 기반 이동통신 시스템으로는 이동 중인 가입자에게 저렴한 요금으로 고속의 데이터 서비스를 제공할 수 없다.Wireless LAN is capable of Internet service at high transmission speed but limited in mobility and service area. Cellular-based mobile communication supports broadband service area and high speed mobility but is limited in transmission speed and usage fee. Therefore, existing wireless LAN and cellular based mobile communication systems cannot provide high-speed data services at low rates to mobile subscribers.

반면, 휴대 인터넷은 무선 랜과 이동통신 기반 무선 인터넷의 중간에 위치해 두 서비스의 장점을 고루 갖춘 서비스로서 휴대용 무선 단말을 이용하여 언제 어디서나 정지 및 중 저속 이동 환경에서 2.3GHz 대역을 이용하여 50Mbps 기반의 영상 및 고속 패킷 데이터를 포함하는 다양한 무선 데이터 서비스를 제공할 수 있다. 이처럼, 휴대 인터넷은 광역의 서비스 영역, 고속의 전송 속도 및 이동성을 지원하기 때문에 차세대 통신 방식으로 각광을 받고 있다. 현재 휴대 인터넷은 다양한 표준 들이 제안되고 있으며, 현재 IEEE 802.16을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다.On the other hand, the mobile Internet is located in the middle of the wireless LAN and the mobile communication-based wireless Internet, and is a service that combines the advantages of both services. Various wireless data services including video and high speed packet data may be provided. As such, the portable Internet is in the spotlight as a next generation communication method because it supports a wide range of service areas, high transmission speeds, and mobility. Currently, various standards have been proposed for the portable Internet, and international standardization of the portable internet is currently underway based on IEEE 802.16.

일반적으로 신뢰성 있는 무선 인터넷 서비스를 제공하기 위해서는 불법 단말의 서비스 사용을 막기 위한 단말 인증이 필요하다. 관련 기술로, 이동통신망에서의 불법단말 사용 방지 방법(한국공개특허 2002-69142호)이 있다. 이 기술에 따르면, HLR(Home Location Register)에서 불법 단말에 대한 정보를 관리하고, 해당 불법 단말을 통한 서비스를 제한하며, 해당 불법 단말에 대한 정보를 고객 센터로 전송하여 적절한 조치가 이루어지도록 한다.In general, in order to provide reliable wireless Internet service, terminal authentication is required to prevent illegal terminal use of the service. As a related technology, there is a method for preventing illegal terminal use in a mobile communication network (Korean Patent Publication No. 2002-69142). According to this technology, a home location register (HLR) manages information on illegal terminals, restricts services through the illegal terminals, and transmits information on the illegal terminals to a customer center so that appropriate measures can be made.

한편, IEEE 802.16에서는 단말의 MAC(Medium Access Control) 주소를 identity로 갖는 디지털 인증서를 기반으로 한 단말 인증을 지원하고 있다. 이 때, 디지털 인증서 기반이므로 단말의 MAC 주소를 복제하기가 쉽지는 않지만 단말, 기지국 및 인증 서버 간에 디지털 인증서를 전송하기 위한 메시지 정의가 필요하다.Meanwhile, IEEE 802.16 supports terminal authentication based on a digital certificate having a medium access control (MAC) address as an identity. At this time, it is not easy to duplicate the MAC address of the terminal because it is digital certificate-based, but it is necessary to define a message for transmitting the digital certificate between the terminal, the base station and the authentication server.

IEEE 802.16은 MAC 규격이기 때문에 단말과 기지국 간에만 디지털 인증서 전송을 위한 메시지가 정의되어 있을 뿐 기지국과 인증 서버 간에 디지털 인증서를 전송하기 위한 메시지 정의는 규격 범위 이상으로 간주하고 있다. 따라서 기지국과 인증 서버 간에 디지털 인증서 전송을 위한 새로운 메시지 정의가 필요하다. Since IEEE 802.16 is a MAC standard, only a message for transmitting a digital certificate is defined between a terminal and a base station, but a message definition for transmitting a digital certificate between a base station and an authentication server is considered to be above a specification. Therefore, a new message definition is required for digital certificate transmission between the base station and the authentication server.

한편, 휴대 인터넷 시스템에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 확장가능 인증프로토콜(Extensible Authentication Protocol 이하, ‘EAP’라 함) 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 그러나 현재 인증 프로토콜로써 많이 사용되고 있는 레디우스 (RADIUS)와 다이아미터(Diameter) 프로토콜에는 단말 인증을 위한 디지털 인증서를 전송할 수 있는 어트리뷰트(Attribute) 또는 에이브이피(AVP;Attribute-Value Pair)가 정의되어 있지 않다. 따라서 기존의 인증 프로토콜을 이용하면서 단말 인증을 할 수 있는 새로운 방법이 필요하다.On the other hand, in the portable Internet system, user authentication based on the Extensible Authentication Protocol (hereinafter, referred to as 'EAP') framework is defined as a default in order to support interworking between different provider networks in the future. However, RADIUS and Diameter protocols, which are widely used as authentication protocols, do not define attributes or attribute-value pairs (AVPs) that can transmit digital certificates for terminal authentication. not. Therefore, there is a need for a new method for terminal authentication using existing authentication protocols.

본 발명이 이루고자 하는 기술적 과제는 휴대 인터넷 시스템에서 사용자 인증 시에 단말 인증을 수행할 수 있는 방법을 제공하기 위한 것이다.An object of the present invention is to provide a method for performing terminal authentication at the time of user authentication in a portable Internet system.

본 발명의 한 특징에 따르면, 휴대 인터넷 시스템에서 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버가 기지국에 무선 연결된 단말을 인증하는 방법이 제공된다. 이 방법은, a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하는 단계; b) 상기 단말 인증 요청 메시지로부터 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득하는 단계; 및 c) 상기 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행하는 단계를 포함한다. 이 때, 상기 인증 요청 메시지는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서가 실어지는 EAP 페이로드를 포함할 수 있다.According to an aspect of the present invention, a method for authenticating a terminal wirelessly connected to an eNB by an authentication, authorization and accounting (AAA) server performing authentication in a portable Internet system is provided. The method comprises: a) an authentication request message for the terminal upon user authentication based on the EAP (Extensible Authentication Protocol) framework; the authentication request message includes a terminal medium access control (MAC) address and a user identity. Receiving a message; b) obtaining a user ID of the terminal requested for authentication and a MAC address of the terminal from the terminal authentication request message; And c) performing terminal authentication by searching for the MAC address of the terminal corresponding to the user ID. In this case, the authentication request message may include an EAP payload on which an EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) based certificate is loaded.

그리고 상기 인증 요청 메시지는, 상기 단말의 MAC 주소가 Calling-Station- Id AVP(Attribute-Value Pair)로 대치되고, 상기 EAP 페이로드가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치된 다이아미터 EAP 메시지일 수 있으며, 상기 인증 요청 메시지는 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나를 통해 전송될 수 있다.In the authentication request message, the MAC address of the terminal is replaced with Calling-Station-Id Attribute-Value Pair (AVP), the EAP payload is replaced with EAP-Payload AVP, and the user ID is User-ID AVP. It may be a diameter EAP message replaced with, and the authentication request message may be transmitted through at least one of the RADIUS protocol or the DIAMETER protocol.

또한 d) 상기 단계 c)에서 단말 인증 성공 시에 상기 EAP-Payload AVP에 따라 사용자 인증을 수행하는 단계를 더 포함할 수 있다. 상기 단말 인증 실패 시에 그 결과를 상기 단말로 전송하며, 이후의 사용자 인증을 수행하지 않을 수 있다.And d) performing user authentication according to the EAP-Payload AVP upon successful terminal authentication in step c). When the terminal authentication fails, the result is transmitted to the terminal, and subsequent user authentication may not be performed.

본 발명의 다른 한 특징에 따르면, 휴대 인터넷 시스템에서 패킷 라우터 기능을 수행하는 PAR(Packet Access Router)가 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버로 기지국에 무선 연결된 단말에 대한 인증을 요청하는 방법이 제공된다. 이 방법은, a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 기지국―여기서, 기지국은 상기 단말과의 무선 링크 초기 접속 시에 상기 단말의 MAC(Medium Access Control) 주소를 전달받아 관리하고 있음―을 통해 상기 단말의 인증 요청 메시지를 수신하는 단계; b) 상기 인증 요청된 단말의 사용자 ID(identity) 및 상기 인증 요청할 단말의 인증 관련 데이터를 상기 기지국을 통해 상기 단말로 요청하여 수신하는 단계; 및 c) 상기 단말의 MAC 주소, 사용자 ID 및 인증 관련 데이터를 인증 프로토콜을 통해 상기 AAA 서버로 전송하여 상기 단말에 대한 인증을 요청하는 단계를 포함한다. 이 때, 상기 단계 c)에서, 상기 단말의 MAC 주소가 Calling-Station-Id AVP로 대치되고, 상기 인증 관련 데이터가 EAP-Payload AVP로 대치되 며, 상기 사용자 ID가 User-ID AVP로 대치되어 전송된다.According to another feature of the present invention, an authentication, authorization and accounting (AAA) server in which a packet access router (PAR) performing a packet router function in a portable Internet system performs authentication request for authentication of a terminal wirelessly connected to a base station. A method is provided. The method comprises: a) the base station upon user authentication based on an Extensible Authentication Protocol (EAP) framework, wherein the base station receives the medium access control (MAC) address of the terminal upon initial wireless link connection with the terminal. Receiving an authentication request message of the terminal through receiving and managing; b) requesting and receiving a user ID of the terminal for which authentication is requested and authentication-related data of the terminal for which authentication is requested from the terminal through the base station; And c) requesting authentication of the terminal by transmitting the MAC address, the user ID and the authentication related data of the terminal to the AAA server through an authentication protocol. At this time, in step c), the MAC address of the terminal is replaced with Calling-Station-Id AVP, the authentication-related data is replaced with EAP-Payload AVP, and the user ID is replaced with User-ID AVP. Is sent.

그리고 상기 단말과 상기 기지국 간 MAC 메시지를 통해 상기 무선 링크 초기 접속을 수행하며, 상기 단말이 상기 기지국으로 레인징(Ranging)을 요청하는 메시지에 상기 단말 MAC 주소를 실어 전송할 수 있다.The wireless link initial access may be performed through a MAC message between the terminal and the base station, and the terminal may carry the terminal MAC address in a message for requesting ranging to the base station.

또한 상기 기지국과 상기 PAR 간 상기 EAP 기반의 단말 인증을 위한 인증 메시지를 통해 통신하며, 상기 기지국이 상기 PAR로 전송하는 첫 번째 인증 메시지에 상기 단말의 MAC 주소를 실어 전송할 수 있다. 이 때, 상기 PAR로부터 사용자 ID 요청 시에 상기 사용자 ID를 상기 인증 메시지의 EAP 페이로드에 실어 전송할 수 있다.In addition, the base station and the PAR may communicate with each other through an authentication message for EAP-based terminal authentication, and the base station transmits the MAC address of the terminal in the first authentication message transmitted to the PAR. At this time, when requesting a user ID from the PAR, the user ID may be carried in the EAP payload of the authentication message.

또한 상기 무선 링크 초기 접속 시 인증 모드 설정을 위한 기본 능력을 협상하며, 상기 인증 메시지의 EAP 페이로드에 상기 설정된 인증 모드의 인증 관련 데이터가 포함될 수 있다.In addition, the base station negotiates a basic capability for setting an authentication mode when the wireless link is initially connected, and the authentication-related data of the set authentication mode may be included in the EAP payload of the authentication message.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention. Like parts are designated by like reference numerals throughout the specification.

이제 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 단말 인증 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.Now, a terminal authentication method of a portable Internet system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

먼저, 본 발명이 적용되는 휴대 인터넷 시스템에 대해서 도 1을 참고로 하여 상세하게 설명한다.First, the portable Internet system to which the present invention is applied will be described in detail with reference to FIG. 1.

도 1은 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 구조를 나타내는 도면이다.1 is a view showing the structure of a portable Internet system according to an embodiment of the present invention.

도 1에 나타낸 바와 같이, 본 발명의 실시 예에 따른 휴대 인터넷 시스템(100)은 단말(Access Terminal; 이하 ‘AT’라 함)(110), 기지국(Access Point; 이하 ‘AP’라 함)(120) 및 패킷 접속 라우터(Packet Access Router; 이하 ‘PAR’라 함)(130), AAA(Authentication, Authorization and Accounting; 이하 ‘AAA’라 함) 서버(140) 및 홈 에이전트(Home Agent; 이하 ‘HA’라 함)(150)를 포함한다.As shown in FIG. 1, the portable Internet system 100 according to an embodiment of the present invention includes an access terminal (hereinafter referred to as an 'AT') 110 and an access point (hereinafter referred to as an 'AP') ( 120), a packet access router (hereinafter referred to as a 'PAR') 130, an AAA (Authentication, Authorization and Accounting; hereinafter referred to as 'AAA') server 140, and a Home Agent (hereinafter referred to as `` AAA '') HA ') 150.

AT(110)는 휴대 인터넷 단말로, 2.3GHz 대역 주파수에서 휴대 인터넷 시스템의 무선 접속 규격에 따른 무선 채널 송수신 기능과 MAC 프로토콜 처리 기능 등을 수행하여 AP(120)에 접속하여 고속 패킷 데이터를 송수신한다.The AT 110 is a portable Internet terminal, which performs wireless channel transmission / reception and MAC protocol processing functions according to the wireless access standard of the portable Internet system at a frequency of 2.3 GHz and accesses the AP 120 to transmit and receive high-speed packet data. .

AP(120)는 AT(110) 사이에서 초기 접속 및 섹터간 핸드오버 제어 기능, QoS(quality of service) 제어 기능을 수행한다. 또한 AP(120)는 AT(110)로부터 무선 신호를 수신하여 PAR(130)로 전달하거나 반대로 PAR(130)로부터 수신되는 각종 정보들을 무선 신호로 변환하여 AT(110)로 전달하는 기능을 수행한다.The AP 120 performs initial access, intersectoral handover control, and quality of service (QoS) control between the ATs 110. In addition, the AP 120 receives a radio signal from the AT 110 and transmits it to the PAR 130 or, conversely, converts various types of information received from the PAR 130 into a radio signal and transmits it to the AT 110. .

PAR(130)는 다수의 AP(120)와 IP 기반 유선으로 접속하여 인터넷망을 구성하는 IP 기반 핵심망으로 접속하고, 인증, MIP(Mobile IP), AP간 핸드오버 및 PAR간 핸드오버 제어 기능 및 QoS 제어 기능을 수행한다. 그리고 PAR(130)과 AP(120) 사이에서는 내부프로토콜인 ANAP(Access Network Application Protocol)를 사용한다.PAR 130 is connected to a plurality of AP (120) by IP-based wired access to the IP-based core network constituting the Internet network, authentication, MIP (Mobile IP), handover between AP and handover control function between PAR and It performs the QoS control function. In addition, between the PAR 130 and the AP 120 uses an internal protocol ANAP (Access Network Application Protocol).

AAA 서버(140)는 PAR(130)와 인터넷망을 통해 접속되어 AT(110) 및 at(110)의 MAC 인증 및 사용자에 대한 인증, 서비스 권한 검증, 인증키 생성 및 과금 기능을 수행한다. 그리고 AAA 서버(140)에서는 국제표준기관인 IETF(Internet Engineer Task Force)에서 표준화 진행중인 다이아미터(Diameter) 프로토콜을 사용한다. 다이아미터 프로토콜은 서버간 연동에 의한 인증, 권한검증 및 과금 정보 전송을 가능하게 한다. 이러한 AAA 서버(140)는 AT MAC 데이터베이스(142)를 포함하고 있으며, 단말 인증을 위해 사용자 ID와 AT MAC 주소를 관리한다.The AAA server 140 is connected to the PAR 130 and the Internet network to perform the MAC authentication and authentication of the user, service authority verification, authentication key generation and billing of the AT (110) and at (110). In addition, the AAA server 140 uses a diameter protocol that is being standardized by the Internet Engineer Task Force (IETF). Diameter protocol enables authentication, authorization and billing information transfer by inter-server interworking. The AAA server 140 includes an AT MAC database 142 and manages a user ID and an AT MAC address for terminal authentication.

HA(150)는 PAR(130)와 인터넷망을 통해 접속되어 MIP 서비스 기능을 수행한다.The HA 150 is connected to the PAR 130 through the Internet network to perform a MIP service function.

종래의 IEEE 802.11과 같은 무선 랜 방식은 고정된 AP를 중심으로 근거리내에서 무선 통신이 가능한 데이터 통신 방식을 제공하고 있으나, 이는 AT의 이동성을 제공하는 것이 아니고 단지 유선이 아닌 무선으로 근거리 데이터 통신을 지원한다는 한계를 가지고 있었다. The conventional wireless LAN method such as IEEE 802.11 provides a data communication method capable of wireless communication within a short distance centering on a fixed AP, but this does not provide mobility of the AT and performs short-range data communication by wireless rather than wired. There was a limit to support.

한편, IEEE 802.16에서 추진중인 도 1에 도시된 휴대 인터넷 시스템(100)은 AAA 서버(140)를 통하여 타 인터넷망과 연동할 수 있고, 동일 망에 한 개 이상의 PAR(130)를 구성할 수도 있다. 또한 하나의 PAR(130) 산하에 한 개 이상의 AP(120)를 구성할 수 있으며, 하나의 AP(120)에 다수의 AT(110)가 연결되어 서비스를 제공받을 수 있다. 그리고 AT(110)가 AP(120)를 관장하는 셀에서 새로운 셀로 이동한 경우에도 기존 셀에서 제공되는 서비스를 제공받을 수도 있다.Meanwhile, the portable Internet system 100 shown in FIG. 1 being promoted by IEEE 802.16 may interwork with other Internet networks through the AAA server 140, and may configure one or more PARs 130 on the same network. . In addition, one or more APs 120 may be configured under one PAR 130, and a plurality of ATs 110 may be connected to one AP 120 to receive a service. In addition, even when the AT 110 moves from a cell that manages the AP 120 to a new cell, the AT 110 may receive a service provided by the existing cell.

앞서 설명한 것처럼 이러한 휴대 인터넷 시스템(100)에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 EAP 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 따라서 본 발명의 실시 예에 따르면, 사용자 인증을 수행하는 동시에 단말 인증이 수행된다.As described above, in the portable Internet system 100, user authentication based on the EAP framework is defined as a default in order to support interworking between different provider networks in the future. Therefore, according to an embodiment of the present invention, the terminal authentication is performed at the same time as the user authentication.

EAP 프레임워크는 EAP 프로토콜 메시지, AT(110), AP(120), PAR(130) 및 AAA 서버(140) 간의 통신을 처리한다. 새로운 인증 유형인 EAP는 임의의 PPP(Point-to-Point Protocol) 연결을 통하여 다양한 인증 방식을 전달하는 기능과 관련된 IETF(Internet Engineering Task Force) RFC 표준이다.The EAP framework handles communication between EAP protocol messages, AT 110, AP 120, PAR 130, and AAA server 140. A new type of authentication, EAP, is an Internet Engineering Task Force (IETF) RFC standard that involves the ability to deliver various authentication schemes over any point-to-point protocol (PPP) connection.

다음으로 도 2a 내지 도 2c를 참고로 하여 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위한 메시지 구조에 대해서 상세하게 설명한다.Next, a message structure for transmitting the AT MAC address between the AT and the AP, the AP and the PAR, and the PAR and the AAA server will be described in detail with reference to FIGS. 2A to 2C.

도 2a 내지 도 2c는 각각 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위해 사용되는 메시지 구조를 나타낸 도면이다.2A to 2C are diagrams illustrating a message structure used to transmit an AT MAC address between an AT and an AP, an AP and a PAR, and a PAR and an AAA server, respectively.

도 2a에 나타낸 바와 같이, AT(110)와 AP(120) 간 무선 구간에서 전송되는 MAC 메시지(이하, ‘RNG-REQ 메시지’라 함)에는 MAC 헤더, 관리 메시지 유형, MAC 주소 및 CRC(cyclic redundancy check) 파라미터가 포함되며, 본 발명의 실시 예에 따르면, 휴대 인터넷 시스템(100)에서 AT(110)와 AP(120)간 무선 링크 초기 접속 시에 MAC 주소 파라미터에 AT MAC 주소를 실어 AP(120)로 전송한다.As shown in FIG. 2A, a MAC message (hereinafter, referred to as an 'RNG-REQ message') transmitted in a wireless section between the AT 110 and the AP 120 includes a MAC header, a management message type, a MAC address, and a CRC (cyclic). redundancy check) parameter, and according to an embodiment of the present invention, in the portable Internet system 100, the AT MAC address is loaded on the MAC address parameter when the wireless link is initially connected between the AT 110 and the AP 120. 120).

다음, 도 2b에 나타낸 바와 같이, AP(120)와 PAR(130) 간에 전송되는 메시지(이하, ‘ADTcmd 메시지’라 함)에는 메시지 ID, AT MAC 주소 및 EAP 페이로드 파라미터가 포함되며, 본 발명의 실시 예에 따르면, 인증 시작 시에 AP(120)가 첫 ADTcmd 메시지의 AT MAC 주소 파라미터에 AT MAC 주소를 실어 PAR(130)에게 전송한 다. 여기서, ADTcmd 메시지는 AP(120)와 PAR(130) 사이에서 인증 메시지를 전송하기 위해 휴대 인터넷 시스템(100)에서 정의한 내부 프로토콜인 ANAP(Access Network Application Protocol) 프로토콜 메시지 중 하나이다.Next, as shown in FIG. 2B, a message (hereinafter, referred to as an 'ADTcmd message') transmitted between the AP 120 and the PAR 130 includes a message ID, an AT MAC address, and an EAP payload parameter. According to an embodiment of the present invention, at the start of authentication, the AP 120 transmits the AT MAC address to the AT MAC address parameter of the first ADTcmd message and transmits it to the PAR 130. Here, the ADTcmd message is one of ANAP (Access Network Application Protocol) protocol messages which are internal protocols defined by the portable Internet system 100 for transmitting an authentication message between the AP 120 and the PAR 130.

그리고 도 2c에 나타낸 바와 같이, PAR(130)와 AAA 서버(140) 간에 전송되는 메시지(이하, ‘DER(Diameter-EAP-Request) 메시지’라 함)에는 다이아미터 헤더, Calling-Station-Id AVP(Attribute/Value Pair) 및 EAP Payload AVP 파라미터가 포함되며, AT MAC 주소를 Calling-Station-Id AVP에 실어 AAA 서버(140)로 전송한다.As shown in FIG. 2C, a message transmitted between the PAR 130 and the AAA server 140 (hereinafter, referred to as a `` diameter-eap-request message '') includes a diameter header, a Calling-Station-Id AVP. (Attribute / Value Pair) and EAP Payload AVP parameters are included, and the AT MAC address is loaded on the Calling-Station-Id AVP and transmitted to the AAA server 140.

도 3은 도 1에 도시된 AAA 서버에서 관리하고 있는 AT MAC 데이터베이스 구조를 나타낸 도면이다.FIG. 3 is a diagram illustrating an AT MAC database structure managed by the AAA server shown in FIG. 1.

도 3에 나타낸 바와 같이, AT MAC 데이터베이스(142)는 사용자 ID(User ID)(142-1) 및 AT MAC 주소(142-2)를 포함한다. 사용자는 다수의 단말을 사용할 수 있으며, 사용자 ID와 AT MAC 주소는 1 대 N의 관계로 매핑된다. 그리고 사용자 ID는 NAI(Network Access Identifier) 포맷을 갖는다.As shown in FIG. 3, the AT MAC database 142 includes a User ID 142-1 and an AT MAC address 142-2. A user may use a plurality of terminals, and the user ID and the AT MAC address are mapped in a 1-N relationship. The user ID has a NAI (Network Access Identifier) format.

다음, 도 4를 참고로 하여 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 단말 인증 방법에 대해서 상세하게 설명한다.Next, a terminal authentication method of the portable Internet system according to an exemplary embodiment of the present invention will be described in detail with reference to FIG. 4.

도 4는 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 사용자 인증 시 단말 인증 과정을 나타낸 도면이다.4 is a diagram illustrating a terminal authentication process when a user authenticates a portable Internet system according to an exemplary embodiment of the present invention.

도 4에 나타낸 바와 같이, 먼저, AT(110)와 AP(120) 간에 휴대 인터넷 시스템(100)의 MAC 규격에 따라 무선 링크 접속 과정이 수행된다(S400). 좀 더 구체적으로 설명하면, AT(100)가 AP(120)에 진입하면, 우선 기지국은 AT(110)와 하향링크 동기를 설정한다. 이와 같이, AP(120)에서 하향링크 동기가 설정되면 AT(110)는 상향링크 파라미터를 획득하게 된다. 그 후, AT(110)는 RNG-REQ(ranging-request) MAC 메시지를 AP(120)로 전송하여 AP(120)와 레인징 절차를 수행한다(S402). 여기서, 레인징은 AT(110)와 AP(120) 간의 타이밍, 전력, 주파수 정보를 정정하여 일치시키는 것으로서, 최초에 초기 레인징(initial ranging)을 수행하고, 이후 주기적 레인징(periodic ranging)을 수행하게 된다. 이 때, 앞서 설명한 것처럼 AT(110)는 RNG-REQ 메시지의 MAC 주소 파라미터에 AT MAC 주소를 포함하여 AP(120)로 전송한다. 그리고 나서 이를 수신한 AP(120)는 단말 인증을 위해 AT MAC 주소를 AT MAC 데이터베이스(142)에 저장하고 관리한다(S404).As shown in FIG. 4, first, a wireless link connection process is performed between the AT 110 and the AP 120 according to the MAC standard of the portable Internet system 100 (S400). In more detail, when the AT 100 enters the AP 120, the base station first sets downlink synchronization with the AT 110. As such, when downlink synchronization is set in the AP 120, the AT 110 acquires an uplink parameter. Thereafter, the AT 110 transmits a ranging-request (RNG-REQ) MAC message to the AP 120 to perform a ranging procedure with the AP 120 (S402). Herein, the ranging is performed by correcting and matching timing, power, and frequency information between the AT 110 and the AP 120. Initial ranging is performed first, and then periodic ranging is performed. Will be performed. At this time, as described above, the AT 110 transmits to the AP 120 including the AT MAC address in the MAC address parameter of the RNG-REQ message. Then, the AP 120 receives the AP and stores the AT MAC address in the AT MAC database 142 for terminal authentication (S404).

레인징 절차가 완료되면, AT(110)와 AP(120) 사이의 연결 설정을 위해 AT(110)는 단말 기본 기능 요청(Subscriber Station Basic Capablity Negotiation-Request, 이하, ‘SBC REQ’라고 함) 메시지를 전송하여 단말 기본 기능에 관한 협상을 요청하고, AP(120)로부터 단말 기본 기능 응답(SBC-Response, 이하, ‘SBC RSP’라고 함) 메시지를 수신하여 단말 기본 기능에 관한 협상이 수행된다(S406). 이 때, AT(110)와 AP(120) 사이의 인증 메커니즘과 암호 알고리즘에 협상 정보가 교환되고 협상된다. 본 발명의 실시 예에 따르면, 불법 단말의 무선 인터넷 서비스 사용을 막기 위해 EAP 프레임워크를 기반으로 사용자 인증을 수행하며, 사용자 인증을 수행하면서 단말 인증을 수행하여 불법 단말인 경우 사용자 인증 절차를 수행하지 않고 휴대 인터넷 서비스를 차단시킨다. 이 때, EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서를 통해 사용자 인증을 수행한다.When the ranging procedure is completed, the AT 110 sends a message to the terminal 110 to establish a connection between the AT 110 and the AP 120. The subscriber station basic capability request (hereinafter, referred to as 'SBC REQ') Request a negotiation about the UE basic function, and receives a UE basic function response (SBC-Response, hereinafter, 'SBC RSP') message from the AP 120 to negotiate the UE basic function ( S406). At this time, the negotiation information is exchanged and negotiated between the authentication mechanism and the encryption algorithm between the AT 110 and the AP 120. According to an embodiment of the present invention, the user authentication is performed based on the EAP framework in order to prevent the illegal terminal from using the wireless Internet service, and the terminal authentication is performed while performing the user authentication. It blocks mobile Internet service without At this time, user authentication is performed through an EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) based certificate.

이와 같이 무선 링크 접속이 성공적으로 수행되면, AT(110)는 인증 시작을 PAR(130)에게 알리기 위해 EAP-Transfer-Request MAC 메시지에 EAP start 페이로드를 실어 AP(120)로 전송하고(S408), AP(120)는 AT MAC 주소와 EAP start 페이로드를 ADTcmd 메시지에 실어 ANAP 프로토콜을 통해 PAR(130)로 전송한다(S410).As such, when the radio link connection is successfully performed, the AT 110 transmits the EAP start payload to the AP 120 in the EAP-Transfer-Request MAC message to inform the PAR 130 of the start of authentication (S408). The AP 120 loads the AT MAC address and the EAP start payload in an ADTcmd message and transmits it to the PAR 130 through the ANAP protocol (S410).

PAR(130)는 AT MAC 주소를 관리하며(S412) AT 사용자의 식별자(identity, 이하 ‘ID’라 함)를 얻기 위해 EAP Request/Identity를 ADTcmd 메시지에 실어 AP(120)로 전송한다(S414). 그러면 AP(120)는 다시 EAP Request/Identity를 포함한 EAP 페이로드를 EAP-Transfer-Reply 메시지에 실어 AT(110)로 전송함으로써 인증 시작에 대한 응답을 수행한다(S416).The PAR 130 manages the AT MAC address (S412) and transmits the EAP Request / Identity to the AP 120 to the AP 120 in order to obtain an identifier (identity, 'ID') of the AT user (S414). . Then, the AP 120 again transmits the EAP payload including the EAP Request / Identity in the EAP-Transfer-Reply message to the AT 110 to perform a response to the authentication start (S416).

그리고 AT(110)는 AT 사용자 ID 요청에 대해 AT 사용자 ID를 포함한 EAP Response/Identity를 EAP-Transfer-Request 메시지에 실어 AP(120)로 전송하고(S418), AP(120)는 다시 EAP Response/Identity를 포함한 EAP 페이로드를 ADTcmd 메시지에 실어 PAR(130)로 전달한다(S420). 즉, 최초의 EAP-Request/Identity 메시지를 포함한 ADTcmd 메시지의 응답인 EAP-Response/Identity 메시지를 포함한 ADTcmd 메시지는 사용자의 ID를 전송한다.The AT 110 transmits the EAP Response / Identity including the AT user ID to the AP 120 in response to the AT user ID request in the EAP-Transfer-Request message (S418), and the AP 120 again transmits the EAP Response / Identity. The EAP payload including the identity is carried in the ADTcmd message and transmitted to the PAR 130 (S420). That is, the ADTcmd message including the EAP-Response / Identity message, which is a response to the ADTcmd message including the first EAP-Request / Identity message, transmits the user's ID.

한편, 상술한 단계(S418-S420) 외에 AT(110)와 PAR(130) 간에는 사용자 인증을 위해 EAP-TLS 기반의 사용자 인증 관련 데이터가 송수신된다.On the other hand, EAP-TLS-based user authentication-related data is transmitted and received between the AT 110 and the PAR 130 in addition to the above-described step (S418-S420).

PAR(130)는 AT MAC 주소를 Calling-Station-Id AVP로 대치하고, EAP Response/Identity를 포함한 EAP 페이로드를 EAP-Payload AVP로 대치하고, 사용자 ID를 User-Name AVP로 대치한 후 다이아미터 요청(Diameter-EAP-Request, 이하 ‘DER’라 함) 메시지를 만들어 AAA 서버(140)로 전송한다(S422).PAR 130 replaces AT MAC address with Calling-Station-Id AVP, EAP payload including EAP Response / Identity, EAP-Payload AVP, user ID with User-Name AVP A request (Diameter-EAP-Request, hereinafter 'DER') message is made and transmitted to the AAA server 140 (S422).

AAA 서버(140)에서는 단말 인증을 위해 관리하고 있는 AT MAC 데이터베이스(142)에서 사용자 ID와 이 사용자가 사용할 수 있는 AT MAC 주소가 있는지 검색한다(S424). 이 때, AT MAC 데이터베이스(142)에 사용자 ID에 해당하는 AT MAC 주소가 없는 경우에는 단말 인증이 실패한 것으로 간주하며(S426), 단말 인증이 실패하게 되면 그 후의 사용자 인증 처리는 수행되지 않는다.The AAA server 140 searches for a user ID and an AT MAC address that can be used by the user in the AT MAC database 142 managed for terminal authentication (S424). At this time, if there is no AT MAC address corresponding to the user ID in the AT MAC database 142, the terminal authentication is considered to be failed (S426). If the terminal authentication fails, subsequent user authentication processing is not performed.

또한 단말 인증 실패 시에 AAA 서버(140)는 다이아미터 응답(Diameter-EAP-Answer, 이하 ‘DEA’라 함) 메시지에 단말 인증 결과를 실어 PAR(130)로 전송하고(S428), PAR(130)는 AP(120)에게 ADTcmd 메시지에 단말 인증 결과를 실어 전송한다(S430). 그리고 AP(120)는 EAP-Transfer-Reply 메시지에 단말 인증 결과를 실어 AT(110)로 전송한다(S432). 구체적으로, AAA 서버(140)는 DEA 메시지의 Result-Code AVP에 DIAMETER_AUTHENTICATION_REJECTED로 해서 PAR(130)에게 전송할 수 있으며(S428), PAR(130)는 ADTcmd 메시지의 resultcode 파라미터 및 reasoncode 파라미터에 각각 FAIL 및 AUTHENTICATION_REJECTED 값으로 세팅해서 AP(120)로 전송할 수 있다(S430). 또한 AP(120)는 EAP-Transfer-Reply 메시지의 EAP Result Code에 FAIL 값으로 셋팅한 후 AT(110)로 전송할 수 있다(S432).In addition, when the terminal authentication fails, the AAA server 140 loads the terminal authentication result in a diameter response (Diameter-EAP-Answer, hereinafter referred to as 'DEA') message to the PAR 130 (S428), and the PAR 130. ) Transmits the terminal authentication result in the ADTcmd message to the AP 120 (S430). The AP 120 loads the terminal authentication result in the EAP-Transfer-Reply message and transmits the result to the AT 110 (S432). Specifically, the AAA server 140 may transmit to the PAR 130 as DIAMETER_AUTHENTICATION_REJECTED in the Result-Code AVP of the DEA message (S428), and the PAR 130 may send FAIL and AUTHENTICATION_REJECTED to the resultcode parameter and reasoncode parameter of the ADTcmd message, respectively. A value may be set and transmitted to the AP 120 (S430). In addition, the AP 120 may set a FAIL value in the EAP Result Code of the EAP-Transfer-Reply message and transmit the same to the AT 110 (S432).

반면, AT MAC 주소 데이터베이스(142)에 사용자 ID에 해당하는 AT MAC 주소가 있는 경우에는 단말 인증이 성공한 것으로 간주하며(S426), 단말 인증이 성공하게 되면 사용자 인증을 위해 AAA 서버(140)는 EAP-Payload AVP에 따라 EAP 인증을 수행한다(S434). 본 발명의 실시 예에서는 EAP 프레임워크에서 사용할 수 있는 여러 프로토콜 중 EAP-TLS(Extensible Authentication Protocol-Transport Level Security) 프로토콜을 사용하여 사용자 인증을 수행하는 것으로 도시하였다. EAP-TLS를 사용하는 인증 시스템에서는 사용자의 인증서를 발급해준 CA(Certificate Authority) 인증서를 이용하여 사용자 인증을 수행한다. 이 때, AT(110), AP(120), PAR(130) 및 AAA 서버(140) 간에 사용자 인증을 위해 여러 번의 EAP-Transfer-Request/Reply MAC 메시지, ADTcmd 메시지 및 DER/DEA 메시지를 주고 받는다. 본 발명에서는 EAP-TLS 프로토콜을 사용하는 사용자 인증에 대해서는 이미 잘 알려져 있으므로 상세한 설명은 생략한다.On the other hand, if there is an AT MAC address corresponding to the user ID in the AT MAC address database 142, the terminal authentication is considered to be successful (S426). If the terminal authentication is successful, the AAA server 140 for the user authentication EAP EAP authentication is performed according to Payload AVP (S434). According to an embodiment of the present invention, user authentication is performed by using an EAP-TLS (Extensible Authentication Protocol-Transport Level Security) protocol among various protocols that can be used in the EAP framework. In the authentication system using EAP-TLS, user authentication is performed using a Certificate Authority (CA) certificate that issued the user's certificate. At this time, a plurality of EAP-Transfer-Request / Reply MAC messages, ADTcmd messages, and DER / DEA messages are exchanged for user authentication between the AT 110, the AP 120, the PAR 130, and the AAA server 140. . In the present invention, since user authentication using the EAP-TLS protocol is well known, a detailed description thereof will be omitted.

다음, 휴대 인터넷 시스템의 AAA 서버에서 수행하는 단말 및 사용자 인증 처리 과정에 대해서 도 5를 참고로 하여 상세하게 설명한다.Next, a terminal and user authentication process performed by the AAA server of the portable Internet system will be described in detail with reference to FIG. 5.

도 5는 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 AAA 서버의 단말 및 사용자 인증 동작을 나타낸 도면이다. 아래에서는 AAA 서버(140)가 관리하는 AT MAC 데이터베이스(142)에는 사용자 ID 및 MAC 주소가 등록되어 있는 것으로 가정하고 설명한다.5 is a diagram illustrating a terminal and a user authentication operation of an AAA server in a portable Internet system according to an embodiment of the present invention. In the following description, it is assumed that the user ID and the MAC address are registered in the AT MAC database 142 managed by the AAA server 140.

도 5에 나타낸 바와 같이, AAA 서버(140)는 PAR(130)로부터 DER 메시지를 수신하면(S500), DER 메시지의 EAP-Payload AVP에 있는 내용이 EAP Response/Identity 메시지인지를 분석한다(S510). 이 때, EAP Response/Identity 메시지인 경우에는 DER 메시지에서 User-Name AVP 및 Calling-Station-Id AVP로부터 사용자 ID 및 AT MAC 주소를 획득한다(S520). 그리고 나서 AAA 서버(140)는 AT MAC 데이터베이스(140)에 사용자 ID에 해당하는 AT MAC 주소가 존재하는지 검색한다(S530). 이 때, AT MAC 데이터베이스에 AT MAC 주소가 존재하면 단말 인증이 성공한 것이며 그 후에 사용자 인증을 수행한다(S540). 반면, AT MAC 데이터베이스에 AT MAC 주소가 존재하지 않으면 단말 인증이 실패한 것이며 PAR(130)에게 불법 단말임을 통보하기 위해 DEA 메시지를 생성한 후 전송한다(S550).As shown in FIG. 5, when the AAA server 140 receives the DER message from the PAR 130 (S500), the AAA server 140 analyzes whether the content in the EAP-Payload AVP of the DER message is an EAP Response / Identity message (S510). . In this case, in the case of the EAP Response / Identity message, the user ID and the AT MAC address are obtained from the User-Name AVP and the Calling-Station-Id AVP in the DER message (S520). Thereafter, the AAA server 140 searches whether the AT MAC address corresponding to the user ID exists in the AT MAC database 140 (S530). At this time, if the AT MAC address exists in the AT MAC database, the terminal authentication is successful, and then user authentication is performed (S540). On the other hand, if the AT MAC address does not exist in the AT MAC database, the terminal authentication has failed and generates and transmits a DEA message to notify the PAR 130 that it is an illegal terminal (S550).

한편, DER 메시지의 EAP-Payload AVP에 있는 내용이 EAP Response/Identity 메시지가 아닌 경우에는 단말 인증이 성공한 후 사용자 인증을 위한 EAP-TLS 메시지이기 때문에 사용자 인증을 수행한다(S540).On the other hand, if the contents of the EAP-Payload AVP of the DER message is not an EAP Response / Identity message, the user authentication is performed because the terminal authentication is successful and the EAP-TLS message for user authentication (S540).

이상의 실시 예들은 본원 발명을 설명하기 위한 것으로, 본원 발명의 범위는 실시 예들에 한정되지 아니하며, 첨부된 청구 범위에 의거하여 정의되는 본원 발명의 범주 내에서 당업자들에 의하여 변형 또는 수정될 수 있다.The above embodiments are intended to illustrate the present invention, the scope of the present invention is not limited to the embodiments, it can be modified or modified by those skilled in the art within the scope of the invention defined by the appended claims.

본 발명에 의하면, 휴대 인터넷 시스템에서 EAP 프레임워크 기반으로 한 사용자 인증 시 단말 인증을 함으로써, 기존의 인증 프로토콜인 레디우스(RADIUS)와 다이아미터(Diameter)에 어트리뷰트(Attribute) 또는 에이브이피(AVP;Attribute-Value Pair)를 추가할 필요가 없어진다. 그리고 EAP 프레임워크 기반 하에 사용자 및 단말 인증이 이루어짐으로써 서로 다른 서비스 사업자 망간 연동이 용이해진다.According to the present invention, by authenticating a terminal upon user authentication based on an EAP framework in a portable Internet system, an attribute or AVP is applied to existing authentication protocols, such as RADIUS and Diameter. There is no need to add an Attribute-Value Pair). In addition, user and terminal authentication is performed based on the EAP framework to facilitate interworking between different service provider networks.

또한 적법한 단말인지를 먼저 확인한 후 사용자 인증을 수행하기 때문에 불법 단말로 인한 인증 처리 시간을 줄일 수 있다.
In addition, since the user authentication is performed after first confirming whether the terminal is a legitimate terminal, authentication processing time due to an illegal terminal can be reduced.

Claims (15)

휴대 인터넷 시스템에서 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버가 기지국에 무선 연결된 단말을 인증하는 방법에 있어서,A method for authenticating a terminal wirelessly connected to a base station by an authentication, authorization and accounting (AAA) server performing authentication in a portable internet system, a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하는 단계;a) an authentication request message for the terminal upon user authentication based on the Extensible Authentication Protocol (EAP) framework, where the authentication request message includes the terminal MAC (Medium Access Control) address and user identity; Receiving; b) 상기 단말 인증 요청 메시지로부터 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득하는 단계; 및b) obtaining a user ID of the terminal requested for authentication and a MAC address of the terminal from the terminal authentication request message; And c) 상기 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행하는 단계c) performing terminal authentication by searching for the MAC address of the terminal corresponding to the user ID; 를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.Terminal authentication method in a portable Internet system comprising a. 제1항에 있어서,The method of claim 1, 상기 인증 요청 메시지는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서가 실어지는 EAP 페이로드를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.The authentication request message is a terminal authentication method in a mobile Internet system including an EAP payload in which a certificate based on EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). 제2항에 있어서,The method of claim 2, 상기 인증 요청 메시지는,The authentication request message, 상기 단말의 MAC 주소가 Calling-Station-Id AVP(Attribute-Value Pair)로 대치되고, 상기 EAP 페이로드가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치된 다이아미터 EAP 메시지인 휴대 인터넷 시스템에서의 단말 인증 방법.Diameter EAP message in which the MAC address of the terminal is replaced by Calling-Station-Id Attribute-Value Pair (AVP), the EAP payload is replaced by EAP-Payload AVP, and the user ID is replaced by User-ID AVP. Terminal authentication method in a portable Internet system. 제3항에 있어서,The method of claim 3, d) 상기 단계 c)에서 단말 인증 성공 시에 상기 EAP-Payload AVP에 따라 사용자 인증을 수행하는 단계d) performing user authentication according to the EAP-Payload AVP upon terminal authentication success in step c); 를 더 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.Terminal authentication method in a portable Internet system further comprising. 제1항 내지 제4항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 4, 상기 단말 인증 실패 시에 그 결과를 상기 단말로 전송하며, 이후의 사용자 인증을 수행하지 않는 휴대 인터넷 시스템에서의 단말 인증 방법.The terminal authentication method in a portable Internet system that transmits the result to the terminal when the terminal authentication fails, and does not perform subsequent user authentication. 제5항에 있어서,The method of claim 5, 상기 인증 요청 메시지는 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나를 통해 전송되는 휴대 인터넷 시스템에서의 단말 인증 방법.The authentication request message is a terminal authentication method in a portable internet system transmitted through at least one of the RADIUS protocol or the DIAMETER protocol. 휴대 인터넷 시스템에서 패킷 라우터 기능을 수행하는 PAR(Packet Access Router)가 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버로 기지국에 무선 연결된 단말에 대한 인증을 요청하는 방법에 있어서,Claims [1] A method for requesting authentication of a terminal wirelessly connected to a base station by an authentication, authorization and accounting (AAA) server in which a packet access router (PAR) performing a packet router function in a portable internet system performs authentication. a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 기지국―여기서, 기지국은 상기 단말과의 무선 링크 초기 접속 시에 상기 단말의 MAC(Medium Access Control) 주소를 전달받아 관리하고 있음―을 통해 상기 단말의 인증 요청 메시지를 수신하는 단계;a) the base station at the time of user authentication based on the Extensible Authentication Protocol (EAP) framework, wherein the base station receives and manages a medium access control (MAC) address of the terminal upon initial access of the radio link with the terminal; Receiving an authentication request message of the terminal via Yes; b) 상기 인증 요청된 단말의 사용자 ID(identity) 및 상기 인증 요청할 단말의 인증 관련 데이터를 상기 기지국을 통해 상기 단말로 요청하여 수신하는 단계; 및b) requesting and receiving a user ID of the terminal for which authentication is requested and authentication-related data of the terminal for which authentication is requested from the terminal through the base station; And c) 상기 단말의 MAC 주소, 사용자 ID 및 인증 관련 데이터를 인증 프로토콜을 통해 상기 AAA 서버로 전송하여 상기 단말에 대한 인증을 요청하는 단계c) requesting authentication of the terminal by transmitting the terminal's MAC address, user ID, and authentication related data to the AAA server through an authentication protocol; 를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.Terminal authentication method in a portable Internet system comprising a. 제7항에 있어서,The method of claim 7, wherein 상기 단계 c)에서,In step c), 상기 단말의 MAC 주소가 Calling-Station-Id AVP로 대치되고, 상기 인증 관련 데이터가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치되어 전송되는 휴대 인터넷 시스템에서의 단말 인증 방법.The terminal authentication method in the mobile Internet system in which the MAC address of the terminal is replaced with Calling-Station-Id AVP, the authentication related data is replaced with EAP-Payload AVP, and the user ID is replaced with User-ID AVP. . 제8항에 있어서,The method of claim 8, 상기 EAP-Payload AVP에는 EAP-TLS 기반의 사용자 인증 관련 데이터가 포함되어 있는 휴대 인터넷 시스템에서의 단말 인증 방법.The EAP-Payload AVP terminal authentication method in a portable Internet system that includes EAP-TLS-based user authentication-related data. 제9항에 있어서,The method of claim 9, 상기 인증 프로토콜은 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나인 휴대 인터넷 시스템에서의 단말 인증 방법.The authentication protocol is at least one of a RADIUS protocol or a DIAMETER protocol. 제7항 내지 제10항 중 어느 한 항에 있어서,The method according to any one of claims 7 to 10, 상기 단말과 상기 기지국 간 MAC 메시지를 통해 상기 무선 링크 초기 접속을 수행하며, 상기 단말이 상기 기지국으로 레인징(Ranging)을 요청하는 메시지에 상기 단말 MAC 주소를 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.Terminal authentication in a mobile Internet system performing initial access of the radio link through a MAC message between the terminal and the base station and transmitting the terminal MAC address in a message requesting ranging by the terminal to the base station. Way. 제11항에 있어서,The method of claim 11, 상기 기지국과 상기 PAR 간 상기 EAP 기반의 단말 인증을 위한 인증 메시지를 통해 통신하며, Communicating through the authentication message for the EAP-based terminal authentication between the base station and the PAR, 상기 기지국이 상기 PAR로 전송하는 첫 번째 인증 메시지에 상기 단말의 MAC 주소를 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.The terminal authentication method in a portable Internet system for transmitting the MAC address of the terminal in the first authentication message transmitted by the base station to the PAR. 제12항에 있어서,The method of claim 12, 상기 PAR로부터 사용자 ID 요청 시에 상기 사용자 ID를 상기 인증 메시지의 EAP 페이로드에 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.The terminal authentication method in a portable Internet system for transmitting the user ID in the EAP payload of the authentication message when the user ID request from the PAR. 제12항에 있어서,The method of claim 12, 상기 무선 링크 초기 접속 시 인증 모드 설정을 위한 기본 능력을 협상하며,Negotiate basic capabilities for setting an authentication mode upon initial access of the wireless link, 상기 인증 메시지의 EAP 페이로드에 상기 설정된 인증 모드의 인증 관련 데이터가 포함되는 휴대 인터넷 시스템에서의 단말 인증 방법.Terminal authentication method in a portable Internet system that includes the authentication-related data of the authentication mode set in the EAP payload of the authentication message. 제14항에 있어서,The method of claim 14, 상기 인증 관련 데이터는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서인 휴대 인터넷 시스템에서의 단말 인증 방법.The authentication-related data is a terminal authentication method in a portable Internet system is a certificate based on EAP-TLS (Extensible Authentication Protocol-Transport Layer Security).
KR1020040088188A 2004-11-02 2004-11-02 Amethod for terminal authenticating in portable internet system KR100638590B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040088188A KR100638590B1 (en) 2004-11-02 2004-11-02 Amethod for terminal authenticating in portable internet system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040088188A KR100638590B1 (en) 2004-11-02 2004-11-02 Amethod for terminal authenticating in portable internet system

Publications (2)

Publication Number Publication Date
KR20060039126A true KR20060039126A (en) 2006-05-08
KR100638590B1 KR100638590B1 (en) 2006-10-26

Family

ID=37146458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040088188A KR100638590B1 (en) 2004-11-02 2004-11-02 Amethod for terminal authenticating in portable internet system

Country Status (1)

Country Link
KR (1) KR100638590B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010139058A1 (en) 2009-06-04 2010-12-09 Research In Motion Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
KR101025083B1 (en) * 2008-12-22 2011-03-25 주식회사 케이티 Method for identifying authentication function in extensible authentication protocol
KR101390895B1 (en) * 2007-10-17 2014-04-30 삼성전자주식회사 System and method of setting authentication mode in wireless communication system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100970207B1 (en) 2008-06-16 2010-07-16 주식회사 케이티 Authentication system for mobile service and method thereof

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101390895B1 (en) * 2007-10-17 2014-04-30 삼성전자주식회사 System and method of setting authentication mode in wireless communication system
KR101025083B1 (en) * 2008-12-22 2011-03-25 주식회사 케이티 Method for identifying authentication function in extensible authentication protocol
WO2010139058A1 (en) 2009-06-04 2010-12-09 Research In Motion Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
EP2438780A1 (en) * 2009-06-04 2012-04-11 Research In Motion Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
EP2438780A4 (en) * 2009-06-04 2017-03-29 BlackBerry Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
US9629038B2 (en) 2009-06-04 2017-04-18 Blackberry Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol

Also Published As

Publication number Publication date
KR100638590B1 (en) 2006-10-26

Similar Documents

Publication Publication Date Title
US8549293B2 (en) Method of establishing fast security association for handover between heterogeneous radio access networks
EP1884137B1 (en) Mechanism to enable discovery of link/network features in wlan networks
US8731194B2 (en) Method of establishing security association in inter-rat handover
US7962123B1 (en) Authentication of access terminals in a cellular communication network
AU2003290841B2 (en) A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure
US9167427B2 (en) Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US8037305B2 (en) Securing multiple links and paths in a wireless mesh network including rapid roaming
EP1465385B1 (en) Method for common authentication and authorization across disparate networks
US7499547B2 (en) Security authentication and key management within an infrastructure based wireless multi-hop network
JP4723158B2 (en) Authentication methods in packet data networks
CN101843145B (en) A system and method for reselection of a packet data network gateway when establishing connectivity
US8417219B2 (en) Pre-authentication method for inter-rat handover
WO2010130191A1 (en) Authentication method of switching access networks, system and device thereof
KR101467784B1 (en) Pre-Authentication method for Inter-RAT Handover
KR100711313B1 (en) Method for operating network link with mobile telecommunication and wireless broadband internet
KR100638590B1 (en) Amethod for terminal authenticating in portable internet system
KR100668660B1 (en) User authentication method for roaming service between portable internet and 3g network, and router of performing the same
KR100623292B1 (en) Method for handoff of relation from portable internet to cdma2000 network
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
GB2417856A (en) Wireless LAN Cellular Gateways
Lim et al. Design and performance analysis of authentication scheme for interworking between High-speed Portable Internet (HPi) system and Wireless Local Area Networks (WLANs)
WO2008101446A1 (en) Method and system for wimax foreign agent relocation with authorization token

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120919

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130916

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140919

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee