KR20070003484A - 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증프로토콜 방식을 사용하는 인증 시스템 및 방법 - Google Patents

광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증프로토콜 방식을 사용하는 인증 시스템 및 방법 Download PDF

Info

Publication number
KR20070003484A
KR20070003484A KR20050059495A KR20050059495A KR20070003484A KR 20070003484 A KR20070003484 A KR 20070003484A KR 20050059495 A KR20050059495 A KR 20050059495A KR 20050059495 A KR20050059495 A KR 20050059495A KR 20070003484 A KR20070003484 A KR 20070003484A
Authority
KR
South Korea
Prior art keywords
pmk
eap
base station
authentication
mobile terminal
Prior art date
Application number
KR20050059495A
Other languages
English (en)
Other versions
KR100770928B1 (ko
Inventor
이지철
송준혁
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR20050059495A priority Critical patent/KR100770928B1/ko
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to RU2007149329A priority patent/RU2367098C1/ru
Priority to EP20060013612 priority patent/EP1739903B1/en
Priority to PCT/KR2006/002571 priority patent/WO2007004824A1/en
Priority to CA 2608261 priority patent/CA2608261C/en
Priority to AU2006266651A priority patent/AU2006266651B2/en
Priority to BRPI0612566-2A priority patent/BRPI0612566B1/pt
Priority to CN2006800229033A priority patent/CN101208901B/zh
Priority to US11/478,830 priority patent/US7724904B2/en
Priority to JP2008519176A priority patent/JP4647689B2/ja
Publication of KR20070003484A publication Critical patent/KR20070003484A/ko
Application granted granted Critical
Publication of KR100770928B1 publication Critical patent/KR100770928B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 단말기와, 기지국과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting) 서버를 포함하는 광대역 무선 접속 통신 시스템에서, 이동 단말기와, 기지국과 AAA 서버는 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하여 상기 이동 단말기에 대한 기기 인증인 제1EAP 인증을 수행하여 제1마스터 세션 키(MSK: Master Session Key)를 획득하고, 상기 제1EAP 인증을 수행한 후 상기 이동 단말기와, 기지국과 AAA 서버는 상기 EAP 방식을 사용하여 상기 이동 단말기에 대한 사용자 인증인 제2EAP 인증을 수행하여 제2MSK를 획득함으로써 신뢰성 높은 인증을 수행한다.
EAP-in-EAP, MSK, MSK2, PMK, PMK2, AK, Dot16KDF

Description

광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증 프로토콜 방식을 사용하는 인증 시스템 및 방법{SYSTEM AND METHOD FOR AUTHENTICATING USING TWICE EXTENSIBLE AUTHENTICATION PROTOCOL SCHEME IN A BROADBAND WIRELESS ACCESS COMMUNICATION SYSTEM}
도 1은 일반적인 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행하는 과정을 도시한 신호 흐름도
도 2는 일반적인 IEEE 802.16e 통신 시스템에서 AK를 생성하는 과정을 도시한 순서도
도 3은 일반적인 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 SA-TEK 3way handshake 과정을 도시한 신호 흐름도
도 4는 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 이중 PMK를 사용하는 EAP-in-EAP 방식을 사용하여 인증을 수행하는 과정을 도시한 신호 흐름도
도 5는 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 AK를 생성하는 과정을 도시한 순서도
도 6은 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 SA-TEK 3way handshake 과정을 도시한 신호 흐름도
본 발명은 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭하기로 한다) 통신 시스템의 인증 시스템 및 방법에 관한 것으로서, 특히 이중 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)를 사용하는 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 인증 시스템 및 방법에 관한 것이다.
차세대 통신 시스템인 4세대(4G: 4th Generation, 이하 '4G'라 칭하기로 한다) 통신 시스템에서는 고속의 다양한 서비스 품질(Quality of Service: 이하 'QoS' 칭하기로 한다)을 가지는 서비스들을 사용자들에게 제공하기 위한 활발한 연구가 진행되고 있다. 특히, 현재 4G 통신 시스템에서는 무선 근거리 통신 네트워크(LAN: Local Area Network, 이하 'LAN'이라 칭하기로 한다) 시스템 및 무선 도시 지역 네트워크(MAN: Metropolitan Area Network, 이하 'MAN'이라 칭하기로 한다) 시스템과 같은 광대역 무선 접속 통신 시스템에 이동성(mobility)과 서비스 품질(QoS: Quality of Service)을 보장하는 형태로 고속 서비스를 지원하도록 하는 연구가 활발하게 진행되고 있으며, 그 대표적인 통신 시스템이 IEEE(Institute of Electrical and Electronics Engineers) 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템이다.
상기 IEEE 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템은 상기 무선 MAN 시스템의 물리 채널(physical channel)에 광대역(broadband) 전송 네트워크를 지원하기 위해 직교 주파수 분할 다중(OFDM: Orthogonal Frequency Division Multiplexing, 이하 'OFDM'이라 칭하기로 한다)/직교 주파수 분할 다중 접속(OFDMA: Orthogonal Frequency Division Multiple Access, 이하 'OFDMA'이라 칭하기로 한다) 방식을 적용한 통신 시스템이다. 상기 IEEE 802.16a/d 통신 시스템은 현재 가입자 단말기(SS: Subscriber Station, 이하 'SS'라 칭하기로 한다)가 고정된 상태, 즉 SS의 이동성을 전혀 고려하지 않은 상태 및 단일 셀 구조만을 고려하고 있는 시스템이다. 이와는 달리 IEEE 802.16e 통신 시스템은 상기 IEEE 802.16a 통신 시스템에 SS의 이동성을 고려하는 시스템이며, 상기 이동성을 가지는 SS를 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)라고 칭하기로 한다. 따라서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS의 이동성을 원활하게 지원하기 위한 인증 방식에 대한 연구가 활발하게 진행되고 있다.
그러면 여기서 도 1을 참조하여 일반적인 IEEE 802.16e 통신 시스템에서의 인증 동작, 특히 twice EAP 방식을 사용하여 인증하는 동작에 대해서 설명하기로 한다. 이하, 설명의 편의상 상기 twice EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다.
상기 도 1은 일반적인 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행하는 과정을 도시한 신호 흐름도이다.
상기 도 1을 참조하면, 상기 IEEE 802.16e 통신 시스템은 MS(100)와, 기지국(BS: Base Station)(140)과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다) 서버(180)를 포함한다. 상기 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하므로 두 번의 EAP 방식에 따른 인증이 수행된다. 이하, 설명의 편의상 상기 EAP 방식을 사용하여 수행하는 인증을 'EAP 인증'이라 칭하기로 한다. 상기 두 번의 EAP 인증들중 첫 번째 EAP 인증(120)은 기기를 인증하기 위한 것이며, 두 번째 EAP 인증(160)은 상기 첫 번째 EAP 인증이 성공한 후 사용자를 인증하기 위한 것이다.
먼저, 상기 기지국(140)은 기기 인증이 필요로 되는 시점에서 상기 MS(100)로 EAP 인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(100)와 기지국(140)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKM_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(140)은 상기 MS(100)로 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(101단계). 상기 기지국(140)으로부터 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(100)는 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKM_EAP/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(140)으로 송신한다(103단계).
상기 MS(100)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(140)은 상기 MS(100)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 AAA 서버(180)로 그대로 포워딩(forwarding)한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 기지국(140)과 AAA 서버(180)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신한다. 상기 도 1에서는 기지국(140)과 AAA 서버(180)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(140)은 RADIUS 억세스 요구/식별(RADIUS ACCESS REQUEST/IDENTITY, 이하 'RADIUS ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA 서버(180)로 송신하게 된다(105단계).
상기 기지국(140)으로부터 RADIUS ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA 서버(180)는 상기 MS(100)에 대한 기기 인증을 수행하는데, 상기 AAA 서버(180)는 EAP-TLS(Transport Level Security) 방식과, EAP-TLSPSK(Transport Level Security Pre-Shared Key) 방식과, EAP-AKA(Authentication and Key Agreement) 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKM_EAP 메시지들을 인증하여 상기 MS(100)에 대한 기기 인증을 수행한다(107단계). 이렇게, 상기 MS(100)에 대한 기기 인증을 완료하면 상기 AAA 서버(180)와 상기 MS(100)는 마스터 세션 키(MSK: Master Session Key, 이하 'MSK'라 칭하기로 한다)를 공유하게 된다(109단계, 111단계).
이후, 상기 AAA 서버(180)는 상기 기지국(140)으로 EAP 인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS 수락(이하, 'RADIUS ACCEPT'라 칭하기로 한다) 메시지를 송신한다(113단계). 여기서, 상기 RADIUS ACCEPT 메시지는 상기 MSK를 포함한다. 상기 AAA 서버(180)로부터 RADIUS SUCCESS 메시지를 수신한 기지국(140)은 상기 MS(100)로 상기 EAP 인증에 성공하였음을 나타내는 PKM_EAP/EAP-SUCCESS 메시지를 송신한다(115단계).
상기와 같은 첫 번째 EAP 인증, 즉 기기 인증(120)을 통해 상기 MS(100) 및 기지국(140)은 상기 MSK로부터 EAP 무결 키(EIK: EAP Integrity Key, 이하 'EIK'라 칭하기로 한다)와 PMK를 생성한다(117단계, 119단계). 여기서, 상기 EIK는 두 번째 EAP 인증인 사용자 인증(160)시 사용되는 EAP 메시지들을 보호하는데 사용된다. 즉, 상기 첫 번째 EAP 인증인 기기 인증(120)에서 생성된 EIK를 사용하여 두 번째 EAP 인증인 사용자 인증(160)시 송수신되는 EAP 메시지들을 보호한다.
이렇게, 첫 번째 EAP 인증인 기기 인증(120)이 완료되면, 두 번째 EAP 인증인 사용자 인증(160)을 수행하게 된다.
먼저, 상기 기지국(140)은 사용자 인증이 필요로 되는 시점에서 상기 MS(100)로 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(161단계). 상기 기지국(140)으로부터 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(100)는 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(140)으로 송신한다(163단계).
상기 MS(100)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국 (140)은 상기 MS(100)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 RADIUS ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA 서버(180)로 포워딩한다(165단계).
상기 기지국(140)으로부터 RADIUS ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA 서버(180)는 상기 MS(100)에 대한 사용자 인증을 수행하는데, 상기 AAA 서버(180)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKM_EAP 메시지들을 인증하여 MS(100)에 대한 사용자 인증을 수행한다(167단계). 그러나, 상기 첫 번째 EAP 인증인 기기 인증(120)시와는 달리 상기 두 번째 EAP 인증인 사용자 인증(160)시에는 상기 MS(100)에 대한 사용자 인증을 완료할지라도 추가적으로 MSK가 생성되지 않는다. 한편, 상기 AAA 서버(180)로부터 RADIUS SUCCESS 메시지를 수신한 기지국(140)은 상기 MS(100)로 PKM_EAP/EAP-SUCCESS 메시지를 송신한다(171단계). 그러면, 상기 MS(100) 및 기지국(140)은 상기 PMK를 가지고 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(173단계, 175단계). 상기 MS(100) 및 기지국(140)이 상기 PMK를 가지고 AK를 생성하는 동작에 대해서는 하기 도 2에서 구체적으로 설명할 것이므로 여기서는 그 상세한 설명을 생략하기로 한다.
상기 도 1에서 설명한 바와 같이 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 첫 번째 EAP 인증에서는 MSK가 생성되지만, 두 번째 EAP 인증에서는 MSK가 생성되지 않는다. 그러면 여기서 도 2를 참조하여 일반적인 IEEE 802.16e 통신 시스템에서 AK를 생성하는 동작에 대해서 설명하기로 한다.
상기 도 2는 일반적인 IEEE 802.16e 통신 시스템에서 AK를 생성하는 과정을 도시한 순서도이다.
상기 도 2에 도시되어 있는 AK 생성 과정은 MS 및 기지국 각각에서 수행되는 동작이며, 이하 설명의 편의상 상기 기지국에서 AK를 생성하는 경우를 가정하여 설명하기로 한다.
상기 도 2를 참조하면, 먼저 211단계에서 기지국은 AAA 서버로부터 첫 번째 EAP 인증, 즉 기기 인증을 통해 생성된 MSK를 수신하고 213단계로 진행한다. 상기 213단계에서 상기 기지국은 상기 AAA 서버로부터 수신한 MSK를 가지고 EIK와 PMK를 생성한 후 215단계로 진행한다. 여기서, 상기 MSK를 가지고 상기 EIK와 PMK를 생성하는 동작을 구체적으로 설명하면, 상기 기지국은 상기 MSK를 제거(truncation) 방식을 사용하여 미리 설정된 비트, 일 예로 128비트의 EIK와 160비트의 PMK로 생성하는 것이다.
상기 215단계에서 상기 기지국은 상기 생성한 PMK를 미리 설정되어 있는 AK 생성 함수에 적용하여 AK를 생성한 후 종료한다. 여기서, 상기 PMK를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.
먼저, 상기 기지국은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식 1과 같이 나타낼 수 있다.
Figure 112005035978506-PAT00001
Figure 112005035978506-PAT00002
상기 수학식 1에서 SSID는 현재 EAP 인증을 수행하는 MS의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK와, SSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다.
다음으로 도 3을 참조하여 일반적인 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다 과정에 대해서 설명하기로 한다.
상기 도 3은 일반적인 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 SA-TEK 3way handshake 과정을 도시한 신호 흐름도이다.
상기 도 3을 참조하면, 상기 IEEE 802.16e 통신 시스템은 MS(300)와, 비정상 MS(이하, 'ADV(adversary)'라 칭하기로 한다)(320)와, 기지국(340)과, AAA 서버(360)를 포함한다. 상기 MS(300)와 기지국(340)은 정상적인 기기/사용자이며, 상기 ADV(320)는 비정상적인 기기/사용자로서, 첫 번째 EAP 인증을 위한 정상적인 키를 가지고 있고, 두 번째 EAP 인증시에 상기 정상적인 기기/사용자인 MS(300)의 EAP 메시지를 가로채어 자신의 EAP 인증에 사용하고자 하는 공격자(attacker)이다.
먼저, 상기 MS(300)와, 기지국(340) 및 AAA 서버(360)간에는 상기 도 1에서 설명한 바와 같은 첫 번째 EAP 인증을 수행한다(311단계). 이렇게, 첫 번째 EAP 인증이 수행 완료됨에 따라 상기 MS(300)와 기지국(340)은 각각 EIK와 PMK를 획득하게 된다(313단계, 315단계). 여기서, 상기 MS(300)와, 기지국(340) 및 AAA 서버(360)간에 수행된 첫 번째 EAP 인증 수행에 따라 생성된 EIK를 EIKMS라고 칭하기로 하며, PMK를 PMKMS라고 칭하기로 한다.
한편, 상기 ADV(320) 역시 기지국(340)과 AAA 서버(360)간에 첫 번째 EAP 인증을 수행한다(317단계). 이렇게, 첫 번째 EAP 인증이 수행 완료됨에 따라 상기 ADV(320)와 기지국(340)은 각각 EIK와 PMK를 획득하게 된다(319단계, 321단계). 여기서, 상기 ADV(320)와, 기지국(340) 및 AAA 서버(360)간에 수행된 첫 번째 EAP 인증 수행에 따라 생성된 EIK를 EIKADV라고 칭하기로 하며, PMK를 PMKADV라고 칭하기로 한다.
이후, 상기 기지국(340)은 사용자 인증이 필요로 되는 시점에서 상기 MS(300)와 ADV(320) 모두에게 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(323단계, 325단계). 상기 기지국(140)으로부터 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(300)는 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지 국(140)으로 송신한다(327단계). 상기 ADV(320)는 상기 MS(300)에서 상기 기지국(340)으로 송신하는 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 모니터링하다가 복사한 후, 상기 ADV(320) 자신의 EIKADV를 사용하여 상기 기지국(340)으로 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신한다(329단계).
상기 MS(300) 및 ADV(320)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(340)은 상기 MS(300) 및 ADV(320)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 RADIUS ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA 서버(360)로 포워딩한다(331단계,333단계).
상기 AAA 서버(360)는 상기 기지국(340)으로부터 상기 MS(300) 및 ADV(320)의 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 전달하는 RADIUS ACCESS REQUEST/IDENTITY 메시지들을 수신함에 따라, 상기 MS(300) 및 ADV(320)으로 접속 시도(ACCESS CHALLENGE, 이하 'ACCESS CHALLENGE'라 칭하기로 한다) 메시지를 송신한다(335단계, 337단계). 여기서, 상기 ACCESS CHALLENGE 메시지는 상기 AAA 서버(360)로의 접속 시도를 위한 인증 파라미터인 CHALLENGE와 SECRETE를 포함한다.
상기 MS(300)는 상기 AAA 서버(360)로부터 수신한 ACCESS CHALLENGE 메시지에 포함되어 있는 파라미터 CHALLENGE와 SECRETE을 사용하여 파라미터 VALUE를 생성한다. 여기서, 상기 파라미터 VALUE는 미리 설정되어 있는 함수, 일 예로 MD5 함수에 의해 생성되는데, 상기 MD5 함수는 하기 수학식 2와 같이 나타낼 수 있다.
Figure 112005035978506-PAT00003
상기 수학식 2에서 ID는 상기 MS(300) 자신의 ID를 나타낸다.
상기 파라미터 VALUE를 결정한 MS(300)는 상기 MS(300) 자신의 ID와 상기 VALUE를 포함하는 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(340)으로 송신한다(341단계). 이와 같이 상기 MS(300)는 상기 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(140)으로 송신하려고 하였지만, 상기 ADV(320)가 상기 MS(300)가 상기 기지국(140)으로 송신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 가로채어 상기 ADV(320) 자신의 EIKADV를 사용하여 상기 ADV(320) 자신의 ID와 상기 MS(300)가 생성한 VALUE를 포함하는 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(340)으로 송신한다(343단계).
상기 ADV(320)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(340)은 상기 ADV(320)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 RADIUS ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA 서버(360)로 송신하게 된다(345단계).
상기 기지국(340)으로부터 RADIUS ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA 서버(360)는 상기 AAA 서버(360) 자신이 저장하고 있는 ID와 SECRETE 및 VALUE를 사용하여 상기 ADV(320)를 인증한다(347단계). 그리고, 상기 인증에 성공함에 따라 상기 기지국(340)으로 EAP 인증에 성공하였음을 나타내는 RADIUS ACCEPT 메시 지를 송신한다(349단계). 그러면 상기 ADV(320)와 기지국(340) 및 AAA 서버(360)간에는 SA-TEK 3 way handshake를 수행하면 비정상적인 기기/사용자인 상기 ADV(320)이 EAP 인증에 성공하게 된다(351단계). 이렇게 비정상적인 기기/사용자가 정상적인 기기/사용자의 AK를 도용하여 EAP 인증을 수행하는 현상이 Man-in-the-middle-Attack 현상이다.
상기 도 3에서 설명한 바와 같이 일반적인 IEEE 802.16e 통신 시스템에서는 EAP-in-EAP 방식을 사용하여 인증을 수행한다고 하더라도 첫 번째 EAP 인증에서만 MSK를 생성하고, 상기 생성한 MSK를 사용하여 생성된 PMK를 가지고 AK를 생성하기 때문에 상기와 같은 Man-in-the-middle-Attack 현상이 발생하게 된다. 상기 Man-in-the-middle-Attack 현상이 발생할 경우 정상적인 기기/사용자에게 정상적인 서비스를 제공하는 것이 불가능하므로 시스템 전체 서비스 품질이 저하된다. 따라서, 상기 Man-in-the-middle-Attack 현상을 제거할 수 있는 새로운 인증 방안에 대한 필요성이 대두되고 있다.
따라서, 본 발명의 목적은 광대역 무선 접속 통신 시스템에서 이중 PMK를 사용하는 EAP-in-EAP 방식을 사용하여 인증을 수행하는 시스템 및 방법을 제공함에 있다.
상기한 목적을 달성하기 위한 본 발명의 시스템은; 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하여 인증을 수행하는 시스템에 있어서, 기지국과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting) 서버를 통해 기기 인증인 제1EAP 인증을 수행하여 제1마스터 세션 키(MSK: Master Session Key)를 획득하고, 상기 제1EAP 인증을 수행한 후 상기 기지국과 AAA 서버를 통해 사용자 인증인 제2EAP 인증을 수행하여 제2MSK를 획득하는 이동 단말기와, 상기 이동 단말기와 기지국을 통해 상기 제1EAP 인증을 수행하여 상기 제1MSK를 획득하고, 상기 이동 단말기와 기지국을 통해 상기 제2EAP 인증을 수행하여 제2MSK를 획득하는 상기 AAA 서버와, 상기 이동 단말기와 AAA 서버를 통해 상기 제1EAP 인증을 수행하여 상기 제1MSK를 획득하고, 상기 이동 단말기와 AAA 서버를 통해 상기 제2EAP 인증을 수행하여 제2MSK를 획득하는 상기 기지국을 포함함을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 방법은; 이동 단말기와, 기지국과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting) 서버를 포함하는 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하여 인증을 수행하는 방법에 있어서, 이동 단말기와, 기지국과 AAA 서버는 EAP 방식을 사용하여 상기 이동 단말기에 대한 기기 인증인 제1EAP 인증을 수행하여 제1마스터 세션 키(MSK: Master Session Key)를 획득하는 과정과, 상기 제1EAP 인증을 수행한 후 상기 이동 단말기와, 기지국과 AAA 서버는 상기 EAP 방식을 사용하여 상기 이동 단말기에 대한 사용자 인증인 제2EAP 인증을 수행하여 제2MSK를 획득하는 과정을 포함함을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명은 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭하기로 한다) 통신 시스템, 일 예로 IEEE(Institute of Electrical and Electronics Engineers) 802.16e 통신 시스템에서 인증 시스템 및 방법을 제안한다. 특히, 본 발명은 IEEE 802.16e 통신 시스템에서 이중 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)를 사용하는 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하여 인증하는 시스템 및 방법을 제안한다. 이하, 설명의 편의상 상기 이중 EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. 또한, 본 발명에서는 설명의 편의상 상기 IEEE 802.16e 통신 시스템을 일 예로 하여 설명하지만, 본 발명에서 제안하는 방안은 상기 IEEE 802.16e 통신 시스템 뿐만 아니라 다른 통신 시스템들에도 적용될 수 있음은 물론이다.
도 4는 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 이중 PMK를 사용하는 EAP-in-EAP 방식을 사용하여 인증을 수행하는 과정을 도시한 신호 흐름도 이다.
상기 도 4를 참조하면, 상기 IEEE 802.16e 통신 시스템은 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(400)와, 기지국(BS: Base Station)(140)과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다) 서버(480)를 포함한다. 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서는 EAP-in-EAP 방식을 사용하므로 두 번의 EAP 방식에 따른 인증이 수행된다. 이하, 설명의 편의상 상기 EAP 방식을 사용하여 수행하는 인증을 'EAP 인증'이라 칭하기로 한다. 상기 두 번의 EAP 인증들중 첫 번째 EAP 인증(420)은 기기를 인증하기 위한 것이며, 두 번째 EAP 인증(440)은 상기 첫 번째 EAP 인증이 성공한 후 사용자를 인증하기 위한 것이다.
먼저, 상기 기지국(440)은 기기 인증이 필요로 되는 시점에서 상기 MS(400)로 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(400)와 기지국(440)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKM_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(440)은 상기 MS(400)로 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(401단계).
상기 기지국(440)으로부터 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(400)는 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKM_EAP/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(440)으로 송신한다(403단계).
상기 MS(400)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(440)은 상기 MS(400)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 AAA 서버(480)로 그대로 포워딩(forwarding)한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 기지국(440)과 AAA 서버(480)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신한다. 상기 도 4에서는 기지국(440)과 AAA 서버(480)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(440)은 RADIUS 억세스 요구/식별(RADIUS ACCESS REQUEST/IDENTITY, 이하 'RADIUS ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA 서버(480)로 송신하게 된다(405단계).
상기 기지국(440)으로부터 RADIUS ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA 서버(480)는 상기 MS(400)에 대한 기기 인증을 수행하는데, 상기 AAA 서버(480)는 EAP-TLS(Transport Level Security) 방식과, EAP-TLSPSK(Transport Level Security Pre-Shared Key) 방식과, EAP-AKA(Authentication and Key Agreement) 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKM_EAP 메시지를 인증하여 MS(400)의 기기 인증을 수행한다(407단계). 이렇게, 상기 MS(400)의 기기 인증을 완료함에 따라 상기 AAA 서버(480)와 상기 MS(400)는 마스터 세션 키(MSK: Master Session Key, 이하 'MSK'라 칭하기로 한다)를 공유하게 된다(409단계, 411단계).
이후, 상기 AAA 서버(480)는 상기 기지국(440)으로 EAP 인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS 수락(이하, 'RADIUS ACCEPT'라 칭하기로 한다) 메시지를 송신한다(413단계). 여기서, 상기 RADIUS ACCEPT 메시지는 MSK를 포함한다. 상기 AAA 서버(480)로부터 RADIUS SUCCESS 메시지를 수신한 기지국(440)은 상기 MS(400)로 EAP-SUCCESS 메시지를 송신한다(415단계). 상기와 같은 첫 번째 EAP 인증, 즉 기기 인증(420)을 통해 상기 기지국(440)은 상기 MSK로부터 EAP 무결 키(EIK: EAP Integrity Key, 이하 'EIK'라 칭하기로 한다)와 PMK를 생성한다(417단계).
상기 생성된 EIK는 두 번째 EAP 인증인 사용자 인증(460)시 사용되는 PKM_EAP 메시지들을 보호하는데 사용된다. 즉, 상기 첫 번째 EAP 인증인 기기 인증(420)에서 생성된 EIK를 사용하여 두 번째 EAP 인증인 사용자 인증(460)시 송수신되는 PKM_EAP 메시지들을 보호한다.
이렇게, 첫 번째 EAP 인증인 기기 인증(420)이 완료되면, 두 번째 EAP 인증인 사용자 인증(460)을 수행하게 된다.
먼저, 상기 기지국(440)은 사용자 인증이 필요로 되는 시점에서 상기 MS(400)로 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(461단계). 상기 기지국(440)으로부터 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(400)는 상기 PKM_EAP/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(440)으로 송신한다(463단계).
상기 MS(400)로부터 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국 (440)은 상기 MS(400)로부터 수신한 PKM_EAP/EAP-RESPONSE/IDENTITY 메시지를 RADIUS ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA 서버(480)로 송신하게 된다(465단계).
상기 기지국(440)으로부터 RADIUS ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA 서버(480)는 상기 MS(400)에 대한 사용자 인증을 수행하는데, 상기 AAA 서버(480)는 EAP-TLS 방식과, EAP-TLS 방식과, EAP-TLSPSK 방식과, EAP-AKA 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKM_EAP 메시지를 인증하여 MS(400)에 대한 사용자 인증을 인증한다(467단계). 이렇게, 상기 MS(400)의 사용자 인증을 완료함에 따라 상기 AAA 서버(480)와 상기 MS(400)는 두 번째 MSK인 MSK2를 공유하게 된다(469단계, 471단계). 이와 같이 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우에는 2개의 MSK들, 즉 첫 번째 EAP 인증인 기기 인증에서 MSK가, 두 번째 EAP 인증인 사용자 인증에서 MSK2가 생성된다.
이후, 상기 AAA 서버(480)는 상기 기지국(440)으로 EAP 인증에 성공하였음을 나타내는 RADIUS ACCEPT 메시지를 송신한다(473단계). 상기 AAA 서버(480)로부터 RADIUS SUCCESS 메시지를 수신한 기지국(440)은 상기 MS(400)로 EAP-SUCCESS 메시지를 송신한다(475단계). 상기와 같은 두 번째 EAP 인증, 즉 사용자 인증(460)을 통해 상기 기지국(440)은 상기 MSK2로부터 PMK2를 생성하고, 또한 상기 PMK와 PMK2로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(477단계). 상기 MS(400) 및 기지국(440)이 상기 PMK와 PMK2를 가지고 AK를 생성하는 동작에 대해서는 하기 도 5에서 구체적으로 설명할 것이므로 여기서는 그 상세 한 설명을 생략하기로 한다.
그러면 여기서 도 5를 참조하여 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 AK를 생성하는 동작에 대해서 설명하기로 한다.
상기 도 5는 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 AK를 생성하는 과정을 도시한 순서도이다.
상기 도 5에서 설명하는 AK 생성 과정은 기지국 및 MS 모두에서 수행되며, 상기 도 5에서는 설명의 편의상 상기 기지국이 AK를 생성하는 경우를 일 예로 하여 설명하기로 한다.
상기 도 5를 참조하면, 먼저 511단계에서 기지국은 첫 번째 EAP 인증, 즉 기기 인증을 통해 MSK를 획득하고 513단계로 진행한다. 상기 513단계에서 상기 기지국은 상기 MSK를 가지고 EIK와 PMK를 생성한 후 519단계로 진행한다. 여기서, 상기 MSK를 가지고 상기 EIK 및 PMK를 생성하는 동작을 구체적으로 설명하면, 상기 기지국은 상기 MSK를 제거(truncation) 방식을 사용하여 미리 설정된 비트, 일 예로 128비트의 EIK와 160비트의 PMK로 생성하는 것이다.
한편, 515단계에서 상기 기지국은 두 번째 EAP 인증, 즉 사용자 인증을 통해 MSK2를 획득하고 517단계로 진행한다. 상기 517단계에서 상기 기지국은 상기 MSK2를 가지고 PMK2를 생성한 후 상기 519단계로 진행한다. 여기서, 상기 MSK2를 가지고 상기 PMK2를 생성하는 동작을 구체적으로 설명하면, 상기 기지국은 상기 MSK2를 제거 방식을 사용하여 미리 설정된 비트, 일 예로 160비트의 PMK2로 생성하는 것이다.
상기 519단계에서 상기 기지국은 상기 생성한 PMK와 PMK2를 미리 설정되어 있는 AK 생성 함수에 적용하여 AK를 생성한 후 종료한다. 여기서, 상기 PMK와 PMK2를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.
먼저, 상기 기지국은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK와 PMK2를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식 3 및 하기 수학식 4와 같은 함수들중 어느 한 함수로 나타낼 수 있다.
Figure 112005035978506-PAT00004
Figure 112005035978506-PAT00005
상기 수학식 3에서 SSID는 현재 EAP 인증을 수행하는 MS의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK와 PMK2를 배타적 논리합(XOR) 연산한 파라미터와, SSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다.
Figure 112005035978506-PAT00006
Figure 112005035978506-PAT00007
상기 수학식 4에서 SSID는 현재 EAP 인증을 수행하는 MS의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK, SSID와 BSID 및 PMK2를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다.
상기에서 설명한 바와 같이 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 이중 MSK를 사용하는 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 AK 생성시 첫 번째 EAP 인증에서 생성된 PMK와 두 번째 인증에서 생성된 PMK2를 사용함으로써 일반적인 IEEE 802.16e 통신 시스템에서 발생하던 Man-in-the-middle-Attack 현상 발생을 제거할 수 있다.
그러면 여기서 도 6을 참조하여 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다 과정에 대해서 설명하기로 한다.
상기 도 6은 본 발명의 실시예에 따른 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 SA-TEK 3way handshake 과정을 도시한 신호 흐름도이다.
상기 도 6을 참조하면, 상기 IEEE 802.16e 통신 시스템은 MS(600)와, 비정상 MS(이하, 'ADV(adversary)'라 칭하기로 한다)(620)와, 기지국(640)과, AAA 서버(660)를 포함한다. 상기 MS(600)와 기지국(640)은 정상적인 기기/사용자이며, 상기 ADV(620)는 비정상적인 기기/사용자로서, 첫 번째 EAP 인증을 위한 정상적인 키를 가지고 있고, 두 번째 EAP 인증시에 상기 정상적인 기기/사용자인 MS(600)의 EAP 메시지를 가로채어 자신의 EAP 인증에 사용하고자 하는 공격자(attacker)이다.
먼저, 상기 MS(600)와, 기지국(640) 및 AAA 서버(660)간에는 상기 도 4에서 설명한 바와 같은 첫 번째 EAP 인증을 수행한다(611단계). 이렇게, 첫 번째 EAP 인증이 수행 완료됨에 따라 상기 MS(600)와 기지국(640)은 각각 EIK와 PMK를 획득하게 된다(613단계, 615단계). 여기서, 상기 MS(600)와, 기지국(640) 및 AAA 서버(660)간에 수행된 첫 번째 EAP 인증 수행에 따라 생성된 EIK를 EIKMS라고 칭하기로 하며, PMK를 PMKMS라고 칭하기로 한다.
한편, 상기 ADV(620) 역시 기지국(640)과 AAA 서버(660)간에 첫 번째 EAP 인증을 수행한다(617단계). 이렇게, 첫 번째 EAP 인증이 수행 완료됨에 따라 상기 ADV(620)와 기지국(640)은 각각 EIK와 PMK를 획득하게 된다(619단계, 621단계). 여기서, 상기 ADV(620)와, 기지국(640) 및 AAA 서버(660)간에 수행된 첫 번째 EAP 인증 수행에 따라 생성된 EIK를 EIKADV라고 칭하기로 하며, PMK를 PMKADV라고 칭하기로 한다.
이후, 상기 MS(600)와, 기지국(640) 및 AAA 서버(660)간에는 첫 번째 EAP 인증이 완료되었으므로 상기 도 4에서 설명한 바와 같은 두 번째 EAP 인증을 수행한다(623단계). 이렇게, 두 번째 EAP 인증이 수행 완료됨에 따라 상기 MS(600)와 기지국(640)은 각각 PMK2를 획득하게 된다(625단계, 627단계). 여기서, 상기 MS(600)와, 기지국(640) 및 AAA 서버(660)간에 수행된 두 번째 EAP 인증 수행에 따라 생성 된 PMK2를 PMK2MS라고 칭하기로 한다. 상기 MS(600)는 상기 PMKMS와 PMK2MS를 사용하여 AK를 생성할 수 있다.
따라서, 상기 MS(600)와 기지국(640)간에 SA-TEK 3way handshake를 수행할 경우 상기 MS(600)는 상기 생성한 AK를 사용하여 결과적으로 SA-TEK 3way handshake에 성공하게 된다(629단계).
또한, 상기 ADV(620)와, 기지국(640)과 AAA 서버(660)간에 첫 번째 EAP 인증이 완료되었으므로 상기 도 4에서 설명한 바와 같은 두 번째 EAP 인증을 수행한다(631단계). 그러나, 상기 ADV(620)는 비정상적인 기기/사용자이므로 상기 두 번째 EAP 인증을 수행 완료하여도 PMK2를 획득하는 것이 불가능하게 된다(633단계). 이렇게, 상기 PMK2를 획득하는 것이 불가능하므로, 상기 ADV(620)는 AK를 생성하는 것이 불가능하게 된다.
따라서, 상기 ADV(620)와 기지국(640)간에 SA-TEK 3way handshake를 수행할 경우 상기 ADV(620)는 상기 AK를 생성하지 못하므로 결과적으로 SA-TEK 3way handshake에 실패하게 된다(635단계).
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같은 본 발명은, IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하여 인증을 수행할 경우 이중 PMK, 즉 PMK와 PMK2를 사용하여 AK를 생성함으로써 인증 신뢰성을 향상시킨다. 이렇게, 인증 신뢰성이 향상됨으로써 Man-in-the-middle-Attack 현상을 제거할 수 있어 결과적으로 전체 시스템 성능을 향상시킨다는 이점을 가진다.

Claims (18)

  1. 이동 단말기와, 기지국과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting) 서버를 포함하는 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하여 인증을 수행하는 방법에 있어서,
    이동 단말기와, 기지국과 AAA 서버는 EAP 방식을 사용하여 상기 이동 단말기에 대한 기기 인증인 제1EAP 인증을 수행하여 제1마스터 세션 키(MSK: Master Session Key)를 획득하는 과정과,
    상기 제1EAP 인증을 수행한 후 상기 이동 단말기와, 기지국과 AAA 서버는 상기 EAP 방식을 사용하여 상기 이동 단말기에 대한 사용자 인증인 제2EAP 인증을 수행하여 제2MSK를 획득하는 과정을 포함함을 특징으로 하는 상기 방법.
  2. 제1항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1MSK와 제2MSK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 더 포함함을 특징으로 하는 상기 방법.
  3. 제2항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 AK를 생성하는 과정은;
    상기 제1MSK를 사용하여 제1페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과,
    상기 제2MSK를 사용하여 제2PMK를 생성하는 과정과,
    상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성하는 과정을 포함함을 특징으로 하는 상기 방법.
  4. 제3항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제1PMK를 생성하는 과정은;
    상기 제1MSK를 제거(truncation) 방식을 사용하여 상기 제1PMK로 생성하는 것임을 특징으로 하는 상기 방법.
  5. 제4항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제2PMK를 생성하는 과정은;
    상기 제2MSK를 제거 방식을 사용하여 상기 제2PMK로 생성하는 것임을 특징으로 하는 상기 방법.
  6. 제5항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성하는 과정은;
    상기 제1PMK와 제2PMK를 배타적 논리합한 파라미터와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 상기 방법.
  7. 제5항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성하는 과정은 상기 제1PMK와 제2PMK를 하기 수학식 5에 적용하여 상기 AK를 생성하는 것임을 특징으로 하는 상기 방법.
    Figure 112005035978506-PAT00008
    Figure 112005035978506-PAT00009
    단, 상기 수학식 5에서 Dot16KDF는 상기 AK를 생성하는 함수를 나타내며, PMK는 상기 제1PMK를 나타내며, PMK2는 상기 제2PMK를 나타내며, SSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함 수에 의해 생성되는 AK의 길이가 160비트임을 나타냄.
  8. 제5항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성하는 과정은;
    상기 제1PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자 및 제2PMK를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 상기 방법.
  9. 제5항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성하는 과정은 상기 제1PMK와 제2PMK를 하기 수학식 6에 적용하여 상기 AK를 생성하는 것임을 특징으로 하는 상기 방법.
    Figure 112005035978506-PAT00010
    Figure 112005035978506-PAT00011
    단, 상기 수학식 6에서 Dot16KDF는 상기 AK를 생성하는 함수를 나타내며, PMK는 상기 제1PMK를 나타내며, PMK2는 상기 제2PMK를 나타내며, SSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 AK의 길이가 160비트임을 나타냄.
  10. 광대역 무선 접속 통신 시스템에서 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하여 인증을 수행하는 시스템에 있어서,
    기지국과, 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting) 서버를 통해 기기 인증인 제1EAP 인증을 수행하여 제1마스터 세션 키(MSK: Master Session Key)를 획득하고, 상기 제1EAP 인증을 수행한 후 상기 기지국과 AAA 서버를 통해 사용자 인증인 제2EAP 인증을 수행하여 제2MSK를 획득하는 이동 단말기와,
    상기 이동 단말기와 기지국을 통해 상기 제1EAP 인증을 수행하여 상기 제1MSK를 획득하고, 상기 이동 단말기와 기지국을 통해 상기 제2EAP 인증을 수행하여 제2MSK를 획득하는 상기 AAA 서버와,
    상기 이동 단말기와 AAA 서버를 통해 상기 제1EAP 인증을 수행하여 상기 제1MSK를 획득하고, 상기 이동 단말기와 AAA 서버를 통해 상기 제2EAP 인증을 수행하여 제2MSK를 획득하는 상기 기지국을 포함함을 특징으로 하는 상기 시스템.
  11. 제10항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1MSK와 제2MSK를 사용하여 권한키(AK: Authorization Key)를 생성함을 특징으로 하는 상기 시스템.
  12. 제11항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1MSK를 사용하여 제1페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 제2MSK를 사용하여 제2PMK를 생성한 후, 상기 제1PMK와 제2PMK를 사용하여 상기 AK를 생성함을 특징으로 하는 상기 시스템.
  13. 제12항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1MSK를 제거(truncation) 방식을 사용하여 상기 제1PMK로 생성함을 특징으로 하는 상기 시스템.
  14. 제13항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제2MSK를 제거 방식을 사용하여 상 기 제2PMK로 생성함을 특징으로 하는 상기 시스템.
  15. 제14항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1PMK와 제2PMK를 배타적 논리합한 파라미터와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성함을 특징으로 하는 상기 시스템.
  16. 제14항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1PMK와 제2PMK를 하기 수학식 7에 적용하여 상기 AK를 생성함을 특징으로 하는 상기 시스템.
    Figure 112005035978506-PAT00012
    Figure 112005035978506-PAT00013
    단, 상기 수학식 7에서 Dot16KDF는 상기 AK를 생성하는 함수를 나타내며, PMK는 상기 제1PMK를 나타내며, PMK2는 상기 제2PMK를 나타내며, SSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 AK의 길이가 160비트임을 나타냄.
  17. 제14항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자 및 제2PMK를 연접한 파라미터를 사용하여 상기 AK를 생성함을 특징으로 하는 상기 시스템.
  18. 제14항에 있어서,
    상기 이동 단말기와 상기 기지국은 상기 제1PMK와 제2PMK를 하기 수학식 8에 적용하여 상기 AK를 생성함을 특징으로 하는 상기 시스템.
    Figure 112005035978506-PAT00014
    Figure 112005035978506-PAT00015
    단, 상기 수학식 8에서 Dot16KDF는 상기 AK를 생성하는 함수를 나타내며, PMK는 상기 제1PMK를 나타내며, PMK2는 상기 제2PMK를 나타내며, SSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 AK의 길이가 160비트임을 나타냄.
KR20050059495A 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법 KR100770928B1 (ko)

Priority Applications (10)

Application Number Priority Date Filing Date Title
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법
EP20060013612 EP1739903B1 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system
PCT/KR2006/002571 WO2007004824A1 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system
CA 2608261 CA2608261C (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system
RU2007149329A RU2367098C1 (ru) 2005-07-02 2006-06-30 Система и способ аутентификации в системе связи
AU2006266651A AU2006266651B2 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system
BRPI0612566-2A BRPI0612566B1 (pt) 2005-07-02 2006-06-30 Método de autenticação em um sistema de comunicação e estação base
CN2006800229033A CN101208901B (zh) 2005-07-02 2006-06-30 通信系统中的认证系统及其方法
US11/478,830 US7724904B2 (en) 2005-07-02 2006-06-30 Authentication system and method thereof in a communication system
JP2008519176A JP4647689B2 (ja) 2005-07-02 2006-06-30 通信システムにおける認証システム及びその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20070003484A true KR20070003484A (ko) 2007-01-05
KR100770928B1 KR100770928B1 (ko) 2007-10-26

Family

ID=36763186

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20050059495A KR100770928B1 (ko) 2005-07-02 2005-07-02 통신 시스템에서 인증 시스템 및 방법

Country Status (10)

Country Link
US (1) US7724904B2 (ko)
EP (1) EP1739903B1 (ko)
JP (1) JP4647689B2 (ko)
KR (1) KR100770928B1 (ko)
CN (1) CN101208901B (ko)
AU (1) AU2006266651B2 (ko)
BR (1) BRPI0612566B1 (ko)
CA (1) CA2608261C (ko)
RU (1) RU2367098C1 (ko)
WO (1) WO2007004824A1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090063851A1 (en) * 2006-03-20 2009-03-05 Nijdam Mark J Establishing communications
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
US8145905B2 (en) 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US8509440B2 (en) * 2007-08-24 2013-08-13 Futurwei Technologies, Inc. PANA for roaming Wi-Fi access in fixed network architectures
US7941663B2 (en) * 2007-10-23 2011-05-10 Futurewei Technologies, Inc. Authentication of 6LoWPAN nodes using EAP-GPSK
CN101471773B (zh) * 2007-12-27 2011-01-19 华为技术有限公司 一种网络服务的协商方法和系统
US9246679B2 (en) * 2007-12-28 2016-01-26 Intel Corporation Apparatus and method for negotiating pairwise master key for securing peer links in wireless mesh networks
CN101827361B (zh) * 2008-11-03 2012-10-17 华为技术有限公司 身份认证方法、可信任环境单元及家庭基站
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
CA2789291A1 (en) 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
US8839373B2 (en) 2010-06-18 2014-09-16 Qualcomm Incorporated Method and apparatus for relay node management and authorization
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
JP6229065B2 (ja) 2013-09-16 2017-11-08 コンヴィーダ ワイヤレス, エルエルシー Epa/ダイアメータによるwifi qosのモバイルネットワークオペレータ(mno)制御
CN106162635A (zh) * 2015-04-01 2016-11-23 北京佰才邦技术有限公司 用户设备的认证方法和装置
NO340973B1 (en) * 2015-12-22 2017-07-31 Aker Solutions As Subsea methane hydrate production
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation
US20190372973A1 (en) * 2018-05-30 2019-12-05 Cisco Technology, Inc. Device onboarding with automatic ipsk provisioning in wireless networks
SG11202107340QA (en) * 2019-01-02 2021-08-30 China Mobile Communication Co Ltd Research Institute Key generation method, terminal device and network device

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2183051C2 (ru) 2000-04-12 2002-05-27 Военный университет связи Способ формирования ключа шифрования/дешифрования
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US20040010713A1 (en) * 2002-07-12 2004-01-15 Vollbrecht John R. EAP telecommunication protocol extension
GB0221674D0 (en) 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
CN1243434C (zh) * 2002-09-23 2006-02-22 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
US7792527B2 (en) * 2002-11-08 2010-09-07 Ntt Docomo, Inc. Wireless network handoff key
CN1549494A (zh) * 2003-05-16 2004-11-24 华为技术有限公司 一种实现用户认证的方法
EP1528718B1 (en) 2003-10-30 2009-12-16 Research In Motion Limited Method for transmitting (receiving) cellular network information (e.g. MNC, NCC) by (from) a wireless local area network in an extensible authentication protocol (EAP)
KR100589677B1 (ko) * 2003-12-03 2006-06-15 삼성전자주식회사 휴대 인터넷 시스템 및 이의 인증 방법
CN1299526C (zh) 2003-12-10 2007-02-07 大唐电信科技股份有限公司 一种基于用户识别模块的无线局域网终端用户认证方法
US20050138355A1 (en) 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
KR20050109685A (ko) * 2004-05-17 2005-11-22 에스케이 텔레콤주식회사 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
US8127136B2 (en) * 2004-08-25 2012-02-28 Samsung Electronics Co., Ltd Method for security association negotiation with extensible authentication protocol in wireless portable internet system
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US7978855B2 (en) * 2005-06-22 2011-07-12 Samsung Electronics Co., Ltd. Method for allocating authorization key identifier for wireless portable internet system
US7602918B2 (en) * 2005-06-30 2009-10-13 Alcatel-Lucent Usa Inc. Method for distributing security keys during hand-off in a wireless communication system
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
US9578498B2 (en) 2010-03-16 2017-02-21 Qualcomm Incorporated Facilitating authentication of access terminal identity
US9385862B2 (en) 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
US9112905B2 (en) 2010-10-22 2015-08-18 Qualcomm Incorporated Authentication of access terminal identities in roaming networks
US9668128B2 (en) 2011-03-09 2017-05-30 Qualcomm Incorporated Method for authentication of a remote station using a secure element

Also Published As

Publication number Publication date
CN101208901B (zh) 2010-09-22
EP1739903B1 (en) 2012-10-31
BRPI0612566B1 (pt) 2019-05-14
CA2608261C (en) 2012-09-25
CN101208901A (zh) 2008-06-25
WO2007004824A1 (en) 2007-01-11
BRPI0612566A2 (pt) 2010-11-23
AU2006266651B2 (en) 2010-04-22
RU2007149329A (ru) 2009-07-10
EP1739903A1 (en) 2007-01-03
CA2608261A1 (en) 2007-01-11
JP4647689B2 (ja) 2011-03-09
RU2367098C1 (ru) 2009-09-10
US20070016780A1 (en) 2007-01-18
AU2006266651A1 (en) 2007-01-11
US7724904B2 (en) 2010-05-25
KR100770928B1 (ko) 2007-10-26
JP2008547350A (ja) 2008-12-25

Similar Documents

Publication Publication Date Title
KR100770928B1 (ko) 통신 시스템에서 인증 시스템 및 방법
US7734280B2 (en) Method and apparatus for authentication of mobile devices
KR101901448B1 (ko) 스테이션과 엑세스 포인트의 결합 방법 및 장치
EP2060052B1 (en) Security authentication and key management within an infrastructure-based wireless multi-hop network
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
Shin et al. Wireless network security and interworking
US7890745B2 (en) Apparatus and method for protection of management frames
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
US7793103B2 (en) Ad-hoc network key management
KR102112542B1 (ko) 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
US11044084B2 (en) Method for unified network and service authentication based on ID-based cryptography
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
WO2006115741A2 (en) Method and apparatus for generating session keys
Zhu et al. Research on authentication mechanism of cognitive radio networks based on certification authority
Fantacci et al. Analysis of secure handover for IEEE 802.1 x-based wireless ad hoc networks
CN114245372B (zh) 一种认证方法、装置和系统
KR101023605B1 (ko) 터널링된 전송계층보안 방식을 이용한 가입자 아이디 획득방법
Rai et al. Strong password based EAP-TLS authentication protocol for WiMAX
Kucharzewski et al. Mobile identity management system in heterogeneous wireless networks
Narmadha et al. Performance analysis of signaling cost on EAP-TLS authentication protocol based on cryptography
Falk et al. WiMAX Security Architecture
KR20070007586A (ko) 광대역 무선 접속 통신 시스템에서 수권 방식 능력 협상시스템 및 방법
KR20080004920A (ko) 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120927

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130927

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160929

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180921

Year of fee payment: 12