KR20070051233A - 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 - Google Patents

이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 Download PDF

Info

Publication number
KR20070051233A
KR20070051233A KR1020050108811A KR20050108811A KR20070051233A KR 20070051233 A KR20070051233 A KR 20070051233A KR 1020050108811 A KR1020050108811 A KR 1020050108811A KR 20050108811 A KR20050108811 A KR 20050108811A KR 20070051233 A KR20070051233 A KR 20070051233A
Authority
KR
South Korea
Prior art keywords
msk
aaa
eap
authentication
base station
Prior art date
Application number
KR1020050108811A
Other languages
English (en)
Inventor
이지철
예긴 알퍼
송준혁
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020050108811A priority Critical patent/KR20070051233A/ko
Priority to US11/503,011 priority patent/US20070112967A1/en
Publication of KR20070051233A publication Critical patent/KR20070051233A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하고; 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하고; 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고; 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성한다.
EAP-in-EAP, MSK_U, MSK_D, MSK_U1, PMK, AK, KDF

Description

이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증 시스템 및 방법{SYSTEM AND METHOD FOR RE-AUTHENTICATING USING TWICE EXTENSIBLE AUTHENTICATION PROTOCOL SCHEME IN A BROADBAND WIRELESS ACCESS COMMUNICATION SYSTEM}
도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면
도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도
도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도
본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭 하기로 한다) 통신 시스템의 재인증 시스템 및 방법에 관한 것으로서, 특히 재인증시 단일 EAP 인증만을 통해 기기 인증과 사용자 인증을 수행하는 시스템 및 방법에 관한 것이다.
차세대 통신 시스템인 4세대(4G: 4th Generation, 이하 '4G'라 칭하기로 한다) 통신 시스템에서는 고속의 다양한 서비스 품질(Quality of Service: 이하 'QoS' 칭하기로 한다)을 가지는 서비스들을 사용자들에게 제공하기 위한 활발한 연구가 진행되고 있다. 특히, 현재 4G 통신 시스템에서는 무선 근거리 통신 네트워크(LAN: Local Area Network, 이하 'LAN'이라 칭하기로 한다) 시스템 및 무선 도시 지역 네트워크(MAN: Metropolitan Area Network, 이하 'MAN'이라 칭하기로 한다) 시스템과 같은 광대역 무선 접속 통신 시스템에 이동성(mobility)과 서비스 품질(QoS: Quality of Service)을 보장하는 형태로 고속 서비스를 지원하도록 하는 연구가 활발하게 진행되고 있으며, 그 대표적인 통신 시스템이 IEEE(Institute of Electrical and Electronics Engineers) 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템이다.
상기 IEEE 802.16a/d 통신 시스템 및 IEEE 802.16e 통신 시스템은 상기 무선 MAN 시스템의 물리 채널(physical channel)에 광대역(broadband) 전송 네트워크를 지원하기 위해 직교 주파수 분할 다중(OFDM: Orthogonal Frequency Division Multiplexing, 이하 'OFDM'이라 칭하기로 한다)/직교 주파수 분할 다중 접속(OFDMA: Orthogonal Frequency Division Multiple Access, 이하 'OFDMA'이라 칭하기로 한다) 방식을 적용한 통신 시스템이다.
그러면 여기서 도 1을 참조하여 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조에 대해서 설명하기로 한다. 이하, 설명의 편의상 상기 twice EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(operation mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다.
상기 도 1은 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조를 개략적으로 도시한 도면이다.
상기 도 1을 참조하면, 상기 IEEE 802.16e 통신 시스템은 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(100)와, 기지국(BS: Base Station)(110)과, 기기(device) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-D'라 칭하기로 한다) 서버(120)와, 사용자(user) AAA(이하, 'AAA-U'라 칭하기로 한다) 서버(130)를 포함한다. 상기 MS(100)는 상기 기지국(110)을 통해 상기 AAA-D 서버(120)와 기기 인증을 수행하고, 상기 기지국(110)을 통해 상기 AAA-U 서버(130)와 사용자 인증을 수행한다. 상기 IEEE 802.16e 통신 시스템에서 EAP-in-EAP 방식을 사용하므로 두 번의 EAP 방식에 따른 인증이 수행된다. 이하, 설명의 편의상 상기 EAP 방식을 사용하여 수행하는 인증을 'EAP 인증'이라 칭하기로 한다. 상기 두 번의 EAP 인증들중 첫 번째 EAP 인증은 사용자를 인증하기 위한 것이며, 두 번째 EAP 인증은 상기 첫 번째 EAP 인증이 성공한 후 기기를 인증하기 위한 것이다.
상기 도 1에서는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 내부 구조에 대해서 설명하였으며, 다음으로 도 2를 참조하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작에 대해서 설명하기로 한다.
상기 도 2는 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.
상기 도 2를 설명하기에 앞서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 하며, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다.
상기 도 2를 참조하면, 먼저 기지국(220)이 사용자 재인증이 필요로 되는 시점에서 MS(200)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(200)와 기지국(220)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(220)은 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(211단계).
상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(220)으로 송신한다(213단계).
상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 AAA-U 서버(260)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 2에서는 상기 기지국(220)과 AAA-U 서버(260)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(220)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(260)로 송신하게 된다(215단계).
상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(260)는 상기 MS(200)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(260)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(200)에 대한 사용자 재인증을 수행한다(217단계). 이렇게, 상기 MS(200)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(260)와 상기 MS(200)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(219단계, 221단계).
이후, 상기 AAA-U 서버(260)는 AAA-D 서버(240)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(223단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 AAA-D 서버(240)는 상기 AAA-U 서버(260)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다(225단계). 여기서, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증시에도 사용자에 대해서 뿐만 아니라 기기에 대해서도 EAP 재인증을 수행해야하므로 상기 AAA-D 서버(240)는 두 번째 EAP 재인증이 필요하다고 판단하게 된다.
이렇게, 두 번째 EAP 재인증이 필요하다고 판단한 AAA-D 서버(240)는 상기 기지국(220)으로 상기 MS(200)에 대한 사용자 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(227단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U를 사용하여 첫 번째 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)인 PMK_1을 생성한다(229단계). 또한, 상기 기지국(220)은 상기 MS(200)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(231단계). 상기 211단계 내지 231단계의 과정을 통해 상기 MS(200)에 대한 사용자 재인증이 완료되며, 이것이 첫 번째 EAP 재인증이 되는 것이다.
한편, 상기 기지국(220)은 기기 재인증이 필요로 되는 시점에서 상기 MS(200)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(233단계). 상기 기지국(220)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(200)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 상기 기지국(220)으로 송신한다(235단계).
상기 MS(200)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(220)은 상기 MS(200)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 RADIUS/ ACCESS REQUEST/IDENTITY 메시지 형태로 생성하여 그대로 상기 AAA-D 서버(240)로 포워딩한다(237단계).
상기 기지국(220)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-D 서버(240)는 상기 MS(200)에 대한 기기 재인증을 수행하는데, 상기 AAA-D 서버(240)는 EAP-TLS(Transport Level Security) 방식과, EAP-TLSPSK(Transport Level Security Pre-Shared Key) 방식과, EAP-AKA(Authentication and Key Agreement) 방식 및 EAP-PSK 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지를 재인증하여 MS(200)의 기기 재인증을 수행한다(239단계). 이렇게, 상기 MS(200)에 대한 기기 재인증을 완료하면 상기 AAA-D 서버(240)와 상기 MS(200)는 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다) 를 공유하게 된다(241단계, 243단계).
이후, 상기 AAA-D 서버(240)는 상기 기지국(220)으로 EAP 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(245단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_D를 포함한다. 상기 기지국(220)은 상기 AAA-D 서버(240)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_D를 사용하여 두 번째 PMK인 PMK_2를 생성한다(247단계). 또한, 상기 기지국(220)은 상기 MS(200)로 기기 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(249단계). 상기 233단계 내지 249단계의 과정을 통해 상기 MS(200)에 대한 기기 재인증이 완료되며, 이것이 두 번째 EAP 재인증이 되는 것이다.
이렇게, 상기 MS(200)의 기기 재인증까지 완료되면, 상기 MS(200)와 기지국(220)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(251단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(200)와 기지국(220)은 상기 PMK_1과 PMK_2로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(253단계, 255단계).
여기서, 상기 PMK_1과 PMK_2를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.
먼저, 상기 MS(200)와 기지국(220)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK_1과 PMK_2를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식1과 같은 함수로 나타낼 수 있다.
Figure 112005065460785-PAT00001
Figure 112005065460785-PAT00002
상기 수학식 1에서 MSID는 현재 EAP 인증을 수행하는 MS(200)의 식별자를 나타내며, BSID는 상기 기지국(220)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK_1과 PMK_2를 배타적 논리합(XOR) 연산한 파라미터와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다.
상기 도 2에서 설명한 바와 같이 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증을 수행할 경우에도 사용자 인증 및 기기 인증의 두 번의 EAP 재인증을 수행하고 있다. 따라서, 상기 두 번의 EAP 재인증으로 인해 무선 자원의 사용량이 증가하게 되고, 재인증 시간이 증가되어 결과적으로 시스템 전체 성능이 저하되었었다.
따라서, 본 발명의 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템 및 방법을 제공함에 있다.
본 발명의 다른 목적은 EAP-in-EAP 방식을 사용하는 광대역 무선 접속 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자 및 기기를 재인증하는 시스템 및 방법을 제공함에 있다.
상기한 목적들을 달성하기 위한 본 발명의 시스템은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템에 있어서, 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 상기 AAA-U 서버와, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 AAA-D 서버와, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 상기 기지국과, 상기 PMK를 사용하여 상기 AK를 생성하는 상기 이동 단말기를 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 과정과, 상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 과정과, 상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 다른 방법은; 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-U 서버로부터 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 수신하는 과정과, 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하여 상기 기지국이 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하도록 제어하는 과정을 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 또 다른 방법은;이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서, 상기 AAA-D 서버로부터 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 생성한, 새로운 MSK_U인 MSK_U1을 수신하는 과정과, 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함하며, 상기 MSK_U는 상기 AAA-U 서버가 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증을 수행하여 생성됨을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명은 광대역 무선 접속(BWA: Broadband Wireless Access, 이하 'BWA'라 칭하기로 한다) 통신 시스템, 일 예로 IEEE(Institute of Electrical and Electronics Engineers) 802.16e 통신 시스템에서 재인증 시스템 및 방법을 제안한 다. 특히, 본 발명은 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol, 이하 'EAP'라 칭하기로 한다)(이하, 'twice EAP'라 칭하기로 한다) 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한 번의 EAP 재인증만을 통해 사용자(user) 및 기기(device)를 재인증하는 시스템 및 방법을 제안한다. 또한, 본 발명은 twice EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 한번의 EAP 재인증만을 통해서도 Man-in-the-middle-Attack 현상을 방지하여 사용자 및 기기를 재인증하는 시스템 및 방법을 제안한다. 여기서, 상기 Man-in-the-middle-Attack 현상은 비정상적인 사용자/기기가 정상적인 사용자/기기의 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 도용하여 EAP 인증을 수행하는 현상이며, 본 발명과 직접적인 연관이 없으므로 그 상세한 설명을 생략하기로 한다.
이하, 설명의 편의상 상기 이중 EAP 방식을 'EAP-in-EAP 방식'이라 칭하기로 하며, 상기 EAP-in-EAP 방식을 사용하는 동작 모드(mode)를 'EAP-in-EAP 모드'라고 칭하기로 한다. 또한, 상기 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템의 구조는 종래 기술 부분의 도 1에서 설명한 구조와 동일하므로, 그 구체적인 설명을 생략하기로 한다. 그리고, 본 발명에서는 설명의 편의상 상기 IEEE 802.16e 통신 시스템을 일 예로 하여 설명하지만, 본 발명에서 제안하는 방안은 상기 IEEE 802.16e 통신 시스템 뿐만 아니라 다른 통신 시스템들에도 적용될 수 있음은 물론이다.
도 3은 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 재인증을 수행하는 동작을 도시한 신호 흐름도이다.
상기 도 3을 설명하기에 앞서, 종래 기술 부분에서도 설명한 바와 같이 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 재인증 동작을 수행할 경우에도 초기 인증 동작을 수행할 경우와 마찬가지로 사용자 재인증 및 기기 재인증의 두 번의 EAP 인증들을 필요로 했었다. 그러나, 본 발명의 실시예에 따른 재인증 동작을 수행할 경우에는 사용자 재인증 및 기기 재인증을 위해 한 번의 EAP 인증만을 필요로 한다. 이하, 설명의 편의상 상기 재인증을 위한 EAP 인증을 'EAP 재인증'이라 칭하기로 한다.
상기 도 3을 참조하면, 먼저 기지국(BS: Base Station)(320)이 사용자 재인증 및 기기 재인증이 필요로 되는 시점에서 이동 단말기(MS: Mobile Station, 이하 'MS'라 칭하기로 한다)(300)로 EAP 재인증을 요구하는 EAP-요구(Request)/식별(Identity)(이하 'EAP-REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 송신한다. 여기서, 상기 IEEE 802.16e 통신 시스템에서는 상기 MS(300)와 기지국(320)간에 프라이버시 키 관리(PKM: Privacy Key Management, 이하 'PKM'이라 칭하기로 한다) 버전 2(version 2)(이하, 'PKMv2'라 칭하기로 한다)_EAP_트랜스퍼(transfer)(이하, PKMv2_EAP_TRANSFER'라 칭하기로 한다) 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신하므로, 상기 기지국(320)은 상기 MS(300)로 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 송신하게 된다(311단계).
상기 기지국(320)으로부터 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지를 수신한 MS(300)는 상기 PKMv2_EAP_TRANSFER/EAP-REQUEST/IDENTITY 메시지 에 대한 응답 메시지인 PKMv2_EAP_TRANSFER/EAP-응답(RESPONSE)/IDENTITY(이하, 'PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY'라 칭하기로 한다) 메시지를 상기 기지국(320)으로 송신한다(313단계).
상기 MS(300)로부터 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 수신한 기지국(320)은 상기 MS(300)로부터 수신한 PKMv2_EAP_TRANSFER/EAP-RESPONSE/IDENTITY 메시지를 사용자(user) 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting, 이하 'AAA'라 칭하기로 한다)(이하 'AAA-U'라 칭하기로 한다) 서버(360)로 그대로 포워딩(forwarding)한다. 상기 IEEE 802.16e 통신 시스템에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS(Remote Authentication Dial - In User Service) 프로토콜 메시지 혹은 DIAMETER 프로토콜 메시지 등을 사용하여 EAP 방식에 따른 메시지들을 송수신하는데, 상기 도 3에서는 상기 기지국(320)과 AAA-U 서버(360)간에 RADIUS 프로토콜 메시지를 사용하여 EAP 방식에 따른 메시지들을 송수신한다고 가정하기로 한다. 따라서, 상기 기지국(320)은 RADIUS/ 억세스 요구/식별(RADIUS/ ACCESS REQUEST/IDENTITY, 이하 'RADIUS/ACCESS REQUEST/IDENTITY'라 칭하기로 한다) 메시지를 상기 AAA-U 서버(360)로 송신하게 된다(315단계).
상기 기지국(320)으로부터 RADIUS/ ACCESS REQUEST/IDENTITY 메시지를 수신한 AAA-U 서버(360)는 상기 MS(300)에 대한 사용자 재인증을 수행하는데, 상기 AAA-U 서버(360)는 EAP-MD5(Message-Digest5) 방식과, EAP-MSCHAPv2(Microsoft Challenge Authentication Protocol version 2) 방식 등을 사용하여 상기 PKMv2_EAP_TRANSFER 메시지들을 재인증하여 상기 MS(300)에 대한 사용자 재인증을 수행한다(317단계). 이렇게, 상기 MS(300)에 대한 사용자 재인증을 완료하면 상기 AAA-U 서버(360)와 상기 MS(300)는 사용자 마스터 세션 키(MSK_U: Master Session Key_User, 이하 'MSK_U'라 칭하기로 한다)를 공유하게 된다(319단계, 321단계).
이후, 상기 AAA-U 서버(360)는 기기(device) AAA(이하, 'AAA-D'라 칭하기로 한다) 서버(340)로 EAP 재인증에 성공하였음을 나타내는 EAP 성공(EAP-SUCCESS, 이하 'EAP-SUCCESS'라 칭하기로 한다) 메시지인 RADIUS/EAP-SUCCESS 메시지를 송신한다(323단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U를 포함한다.
상기 AAA-D 서버(340)는 상기 AAA-U 서버(360)로부터 RADIUS/EAP-SUCCESS 메시지를 수신함에 따라 상기 MS(300)에 대한 사용자 재인증에 성공하였음을 인식하게 되고, 두 번째 EAP 재인증이 필요한지 판단한다. 여기서, 본 발명에서는 재인증시 한 번의 EAP 재인증만으로 사용자 뿐만 아니라 기기 모두에 대해 재인증을 수행할 수 있으므로, 상기 AAA-D 서버(340)는 두 번째 EAP 재인증이 필요하지 않다고 판단하게 된다. 이렇게, 두 번째 EAP 재인증이 필요하지 않다고 판단한 AAA-D 서버(340)는 상기 MSK_U 이외의 또 다른 MSK_U를 생성하는데(325단계), 이를 'MSK_U1'이라 칭하기로 한다. 여기서, 상기 MSK_U1은 하기 수학식 2와 같은 KDF 함수에 의해 생성된다.
Figure 112005065460785-PAT00003
상기 수학식 2에 나타낸 바와 같이 MSK들, 즉 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수가 상기 KDF 함수이다. 여기서, 상기 MSK_D는 상기 MS(300)의 초기 인증시 생성되었었던 기기 마스터 세션 키(MSK_U: Master Session Key_Device, 이하 'MSK_D'라 칭하기로 한다)이다.
이렇게, 상기 MSK_U1을 생성한 후 상기 AAA-D 서버(340)는 상기 기지국(320)으로 상기 MS(300)에 대한 사용자 재인증 및 기기 재인증에 성공하였음을 나타내는 RADIUS/EAP-SUCCESS 메시지를 송신한다(327단계). 여기서, 상기 RADIUS/EAP-SUCCESS 메시지는 상기 MSK_U1를 포함한다. 상기 기지국(320)은 상기 AAA-D 서버(340)로부터 수신한 RADIUS/EAP-SUCCESS 메시지에 포함되어 있는 MSK_U1를 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key, 이하 'PMK'라 칭하기로 한다)를 생성한다(329단계). 또한, 상기 기지국(320)은 상기 MS(300)로 사용자 재인증에 성공하였음을 나타내는 PKMv2_EAP_TRANSFER/EAP-SUCCESS 메시지를 송신한다(331단계).
상기 311단계 내지 331단계를 통해 상기 MS(300)에 대한 사용자 재인증 뿐만 아니라 기기 재인증이 수행되는 것이다. 이렇게, 상기 MS(300)의 사용자 재인증 및 기기 재인증이 완료되면, 상기 MS(300)와 기지국(320)는 보안 관련&트래픽 인크립션 키 3웨이 핸드쉐이크(SA-TEK 3way handshake: Security Association & Traffic Encryption Key 3way handshake, 이하 'SA-TEK 3way handshake'라고 칭하기로 한다) 동작을 수행한다(333단계). 상기 SA-TEK 3way handshake 동작이 완료되면 상기 MS(300)와 기지국(320)은 상기 PMK으로부터 권한키(AK: Authorization Key, 이하 'AK'라 칭하기로 한다)를 생성한다(335단계, 337단계).
여기서, 상기 PMK를 가지고 상기 AK를 생성하는 동작을 구체적으로 설명하면 다음과 같다.
먼저, 상기 MS(300)와 기지국(320)은 상기 AK 생성 함수, 일 예로 Dot16KDF 함수에 PMK를 적용하여 상기 AK를 생성한다. 여기서, 상기 Dot16KDF 함수는 하기 수학식 3과 같은 함수로 나타낼 수 있다.
Figure 112005065460785-PAT00004
Figure 112005065460785-PAT00005
상기 수학식 3에서 MSID는 현재 EAP 인증을 수행하는 MS(300)의 식별자를 나타내며, BSID는 상기 기지국(320)의 식별자를 나타내며, 'AK'는 상기 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타낸다. 즉, 상기 PMK와, MSID와 BSID를 연접(concatenation)한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수가 상기 Dot16KDF 함수이다.
상기 수학식 3에 나타낸 바와 같이 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 사용자 재인증시 생성한 MSK_U와 기기 초기 인증시 생성한 MSK_D 모두를 사용하여 생성한 PMK를 가지고 AK를 생성하기 때문에 Man-in-the-middle-Attack 현상이 발생하는 것을 방지할 수 있다. 즉, 본 발명의 실시예에 따른 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서는 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증이 가능하므로 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같은 본 발명은, EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 1번의 EAP 재인증만으로도 Man-in-the-middle-Attack 현상이 발생하지 않는 사용자 재인증 및 기기 재인증을 가능하게 하여 일반적인 EAP-in-EAP 방식을 사용하는 IEEE 802.16e 통신 시스템에서 2번의 EAP 재인증을 수행함으로 인해 발생되었던 무선 자원의 사용량 증가 및 재인증 시간 증가를 해소하여 시스템 전체 성능을 향상시킨다는 이점을 가진다.

Claims (20)

  1. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서,
    상기 AAA-U 서버는 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 과정과,
    상기 AAA-D 서버는 상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 과정과,
    상기 기지국은 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과,
    상기 이동 단말기와 기지국은 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  2. 제1항에 있어서,
    상기 AAA-D 서버가 MSK_U1을 생성하는 과정은 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  3. 제1항에 있어서,
    상기 AAA-D 서버가 MSK_U1을 생성하는 과정은 하기 수학식 4와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
    Figure 112005065460785-PAT00006
    상기 수학식 4에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임.
  4. 제1항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 AK를 생성하는 과정은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  5. 제1항에 있어서,
    상기 이동 단말기와 상기 기지국이 상기 PMK를 사용하여 상기 AK를 생성하는 과정은 하기 수학식 5와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
    Figure 112005065460785-PAT00007
    상기 수학식 5에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임.
  6. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템에 있어서,
    상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생 성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 상기 AAA-D 서버로 송신하는 상기 AAA-U 서버와,
    상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하는 AAA-D 서버와,
    상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하고, 상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 상기 기지국과,
    상기 PMK를 사용하여 상기 AK를 생성하는 상기 이동 단말기를 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
  7. 제6항에 있어서,
    상기 AAA-D 서버는 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
  8. 제6항에 있어서,
    상기 AAA-D 서버는 하기 수학식 6과 같이 MSK_U1을 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
    Figure 112005065460785-PAT00008
    상기 수학식 6에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임.
  9. 제6항에 있어서,
    상기 기지국은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
  10. 제6항에 있어서,
    상기 이동 단말기는 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
  11. 제6항에 있어서,
    상기 기지국은 하기 수학식 7과 같이 상기 PMK를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
    Figure 112005065460785-PAT00009
    상기 수학식 7에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임.
  12. 제6항에 있어서,
    상기 이동 단말기는 하기 수학식 8과 같이 상기 PMK를 사용하여 상기 AK를 생성함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 시스템.
    Figure 112005065460785-PAT00010
    상기 수학식 8에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160 비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임.
  13. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서,
    상기 AAA-U 서버로부터 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증 수행으로 생성된 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)를 수신하는 과정과,
    상기 MSK_U와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 새로운 MSK_U인 MSK_U1을 생성한 후 상기 MSK_U1을 상기 기지국으로 송신하여 상기 기지국이 상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하도록 제어하는 과정을 포함함을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  14. 제13항에 있어서,
    상기 MSK_U1을 생성하는 과정은 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 상기 MSK_U1로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  15. 제13항에 있어서,
    상기 MSK_U1을 생성하는 과정은 하기 수학식 9와 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
    Figure 112005065460785-PAT00011
    상기 수학식 9에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임.
  16. 이동 단말기와, 기지국과, 사용자 권한, 인증, 어카운팅(AAA: Authorization, Authentication and Accounting)(AAA-U) 서버와, 기기 AAA(AAA-D) 서버를 포함하고, 이중 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방식을 사용하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법에 있어서,
    상기 AAA-D 서버로부터 사용자 마스터 세션 키(MSK: Master Session Key)(MSK_U)와 상기 이동 단말기에 대한 기기 초기 인증시 생성된 기기 MSK(MSK_D)를 사용하여 생성한, 새로운 MSK_U인 MSK_U1을 수신하는 과정과,
    상기 MSK_U1을 사용하여 페어와이즈 마스터 키(PMK: Pairwise Master Key)를 생성하는 과정과,
    상기 PMK를 사용하여 권한키(AK: Authorization Key)를 생성하는 과정을 포함하며,
    상기 MSK_U는 상기 AAA-U 서버가 상기 EAP 방식에 따른 상기 이동 단말기에 대한 사용자 재인증을 수행하여 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  17. 제16항에 있어서,
    상기 MSK_U1는 상기 MSK_U와 상기 MSK_D를 컴바이닝하여 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  18. 제16항에 있어서,
    상기 MSK_U1는 하기 수학식 10과 같이 생성됨을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
    Figure 112005065460785-PAT00012
    상기 수학식 10에서, KDF 함수는 상기 MSK_U와 MSK_D를 컴바이닝하여 MSK_U1을 생성하는 함수임.
  19. 제16항에 있어서,
    상기 AK를 생성하는 과정은 상기 PMK와, 상기 이동 단말기의 식별자와 상기 기지국의 식별자를 연접한 파라미터를 사용하여 상기 AK로 생성하는 것임을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
  20. 제16항에 있어서,
    상기 PMK를 사용하여 상기 AK를 생성하는 과정은 하기 수학식 11과 같이 나타냄을 특징으로 하는 광대역 무선 접속 통신 시스템에서 재인증을 수행하는 방법.
    Figure 112005065460785-PAT00013
    상기 수학식 11에서, MSID는 상기 이동 단말기의 식별자를 나타내며, BSID는 상기 기지국의 식별자를 나타내며, 'AK'는 Dot16KDF 함수에 의해 생성되는 키가 AK임을 나타내며, 160은 상기 Dot16KDF 함수에 의해 생성되는 키인 AK의 길이가 160 비트임을 나타내며, 상기 Dot16KDF 함수는 상기 PMK와, MSID와 BSID를 연접한 파라미터를 사용하여 길이 160 비트의 AK를 생성하는 함수임.
KR1020050108811A 2005-11-14 2005-11-14 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 KR20070051233A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050108811A KR20070051233A (ko) 2005-11-14 2005-11-14 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
US11/503,011 US20070112967A1 (en) 2005-11-14 2006-08-11 Re-authentication system and method in communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050108811A KR20070051233A (ko) 2005-11-14 2005-11-14 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20070051233A true KR20070051233A (ko) 2007-05-17

Family

ID=38042256

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050108811A KR20070051233A (ko) 2005-11-14 2005-11-14 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법

Country Status (2)

Country Link
US (1) US20070112967A1 (ko)
KR (1) KR20070051233A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR101289133B1 (ko) * 2007-05-14 2013-07-23 삼성전자주식회사 이동 통신 시스템에서 보안키 생성 방법 및 장치
US8571211B2 (en) 2007-05-14 2013-10-29 Samsung Electronics Co., Ltd Method and apparatus for generating security key in a mobile communication system

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8447981B2 (en) * 2006-05-24 2013-05-21 Huawei Technologies Co., Ltd. Method and system for generating and distributing mobile IP security key after re-authentication
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
KR101365857B1 (ko) * 2007-06-14 2014-02-21 엘지전자 주식회사 인증서를 이용한 제어 시그널링 보호 방법
US8335490B2 (en) * 2007-08-24 2012-12-18 Futurewei Technologies, Inc. Roaming Wi-Fi access in fixed network architectures
US20090191849A1 (en) * 2008-01-28 2009-07-30 International Business Machines Corporation Enhanced messaging collaboration
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
US8566593B2 (en) * 2009-07-06 2013-10-22 Intel Corporation Method and apparatus of deriving security key(s)
US8881305B2 (en) * 2009-07-13 2014-11-04 Blackberry Limited Methods and apparatus for maintaining secure connections in a wireless communication network
CA2789291A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
US9801099B2 (en) * 2013-05-15 2017-10-24 Blackberry Limited Method and system for use of cellular infrastructure to manage small cell access
US10791093B2 (en) * 2016-04-29 2020-09-29 Avago Technologies International Sales Pte. Limited Home network traffic isolation

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8972582B2 (en) * 2002-10-03 2015-03-03 Nokia Corporation Method and apparatus enabling reauthentication in a cellular communication system
US7882346B2 (en) * 2002-10-15 2011-02-01 Qualcomm Incorporated Method and apparatus for providing authentication, authorization and accounting to roaming nodes
US7206301B2 (en) * 2003-12-03 2007-04-17 Institute For Information Industry System and method for data communication handoff across heterogenous wireless networks
TWI234978B (en) * 2003-12-19 2005-06-21 Inst Information Industry System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
US20070230453A1 (en) * 2004-02-06 2007-10-04 Telecom Italia S.P.A. Method and System for the Secure and Transparent Provision of Mobile Ip Services in an Aaa Environment
US7546459B2 (en) * 2004-03-10 2009-06-09 Telefonaktiebolaget L M Ericsson (Publ) GSM-like and UMTS-like authentication in a CDMA2000 network environment
US7596225B2 (en) * 2005-06-30 2009-09-29 Alcatl-Lucent Usa Inc. Method for refreshing a pairwise master key
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8433286B2 (en) 2007-03-21 2013-04-30 Samsung Electronics Co., Ltd Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network
KR101289133B1 (ko) * 2007-05-14 2013-07-23 삼성전자주식회사 이동 통신 시스템에서 보안키 생성 방법 및 장치
US8571211B2 (en) 2007-05-14 2013-10-29 Samsung Electronics Co., Ltd Method and apparatus for generating security key in a mobile communication system

Also Published As

Publication number Publication date
US20070112967A1 (en) 2007-05-17

Similar Documents

Publication Publication Date Title
KR100770928B1 (ko) 통신 시스템에서 인증 시스템 및 방법
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
JP4921557B2 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
EP1900170B1 (en) Short authentication procedure in wireless data communications networks
KR101901448B1 (ko) 스테이션과 엑세스 포인트의 결합 방법 및 장치
US7793103B2 (en) Ad-hoc network key management
US7890745B2 (en) Apparatus and method for protection of management frames
US7734280B2 (en) Method and apparatus for authentication of mobile devices
AU2004244634B2 (en) Facilitating 802.11 roaming by pre-establishing session keys
US8495360B2 (en) Method and arrangement for providing a wireless mesh network
TWI445371B (zh) 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台
US20050271209A1 (en) AKA sequence number for replay protection in EAP-AKA authentication
JP2010503326A5 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
KR20080090733A (ko) 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템
Falk et al. WiMAX Security Architecture
KR20080004920A (ko) 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application