KR20070101504A - 휴대 인터넷 시스템의 인증 장치 및 방법 - Google Patents

휴대 인터넷 시스템의 인증 장치 및 방법 Download PDF

Info

Publication number
KR20070101504A
KR20070101504A KR1020060032590A KR20060032590A KR20070101504A KR 20070101504 A KR20070101504 A KR 20070101504A KR 1020060032590 A KR1020060032590 A KR 1020060032590A KR 20060032590 A KR20060032590 A KR 20060032590A KR 20070101504 A KR20070101504 A KR 20070101504A
Authority
KR
South Korea
Prior art keywords
message
user authentication
base station
authentication
terminal
Prior art date
Application number
KR1020060032590A
Other languages
English (en)
Inventor
박정은
도경태
김재동
서한신
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020060032590A priority Critical patent/KR20070101504A/ko
Publication of KR20070101504A publication Critical patent/KR20070101504A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 휴대 인터넷 시스템의 인증 장치 및 방법에 관한 것으로, 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하고, 사용자 인증 완료 메시지(PKMv2 EAP End) 생성하여 송신하는 단말기 및, 상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 송신하는 기지국을 포함함을 특징으로 하는 장치로서, 기지국에서 트래픽 보안 지시 메시지의 재발송을 줄인다.
휴대 인터넷, 인증, 보안 키 관리(PKM:Privacy Key Management), IEEE 802.16e, 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success)), 트래픽 보안 지시 메시지(SA-TEK Challenge)

Description

휴대 인터넷 시스템의 인증 장치 및 방법{APPARATUS AND METHOD FOR AUTHENTICATION IN PORTABLE INTERNET SYSTEM}
도 1은 종래 기술에 따른 휴대 인터넷 시스템에서 보안키 관리 과정을 도시한 흐름도,
도 2는 본 발명의 일 실시예에 따른 휴대 인터넷의 개요를 도시한 개략도,
도 3은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 보안키 관리 과정을 도시한 흐름도,
도 4는 본 발명의 일 실시예에 따른 휴대 인터넷 시스템의 인증 장치를 도시한 도면,
도 5는 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 단말기의 보안키 관리 과정을 도시한 흐름도,
도 6은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 기지국의 보안키 관리 과정을 도시한 흐름도 및,
도 7은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템의 단말기에서 사용자 인증 완료 메시지를 생성하는 과정을 도시한 흐름도이다.
본 발명은 휴대 인터넷 시스템의 인증 장치 및 방법에 관한 것으로서, 특히 보안키 관리 프로토콜에 관한 것이다.
무선 휴대 인터넷은 종래의 무선 LAN과 같이 고정된 액세스 포인트(Access Point:AP)를 이용하는 근거리 데이터 통신 방식에 이동성(mobility)을 더 지원하는 차세대 통신 방식이다. 이러한 무선 휴대 인터넷은 다양한 표준들이 제안되고 있으며, 현재 IEEE 802.16을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다. 여기서 IEEE 802.16은 기본적으로 도시권 통신망(Metropolitan Area Network, MAN)을 지원하는 규격으로서, 구내 정보 통신망(LAN)과 광역 통신망(WAN)의 중간 정도의 지역을 망라하는 정보 통신망을 의미한다.
이러한 IEEE 802.16 무선 MAN 시스템에서는 서비스를 안전하게 제공하기 위하여 트래픽 데이터에 대한 암호화 기능을 정의하고 있다. 트래픽 데이터에 대한 암호화 기능은 서비스의 안정성 및 망의 안정성을 위하여 필요한 기본적인 요구사항으로 대두되고 있다.
현재 IEEE 802.16 무선 MAN 시스템에서는 이와 같은 트래픽 데이터를 암호화하기 위해서 트래픽 암호화 키를 생성하고 분배하는 방식을 정의하였다. 또한, 이 트래픽 암호화 키 또한 보안을 유지하기 위해서 일정 시간이 지나면 갱신하여 새로운 트래픽 암호화 키를 생성 및 분배하도록 하고 있다. 이를 통해, 가입자 단말과 기지국은 동일한 트래픽 암호화 키를 공유한다.
상기한 인증 및 보안 관련 기능을 수행하기 위해서, 단말과 기지국은 보안 키 관리 프로토콜인 PKM(Privacy Key Management)-REQ(REQuest) 메시지와 PKM-RSP(ReSPonse) 메시지를 사용한다. 단말은 PKM-REQ 메시지 중 한 메시지인 Key Request 메시지를 기지국으로 전송함으로써 새로운 트래픽 암호화 키에 대한 할당을 요구하거나 트래픽 암호화 키 갱신을 요구한다. 한편, 단말로부터 이러한 메시지를 수신한 기지국은 응답으로서 트래픽 암호화 키 할당이나 갱신이 성공하였을 경우에는 PKM-RSP 메시지 중 한 메시지인 Key Reply 메시지를 전송하고, 만약 실패하였을 경우에는 Key Reject 메시지 또는 Auth Invalid 메시지를 해당 단말로 전송한다. 이와 같은 일련의 트래픽 암호화 키 할당 및 갱신 절차를 통해 단말과 기지국 사이에서 공유하게 된 트래픽 암호화 키를 이용하여 무선 구간의 트래픽 데이터를 암호화 및 복호화하여 송수신하게 된다.
그러면 종래의 인증과정인 보안키 관리 과정을 도면을 참조하여 설명한다. 도 1은 종래 기술에 따른 휴대 인터넷 시스템에서 보안키 관리 과정을 도시한 흐름도이다. 상기 도 1에서 보안키 관리 과정을 크게 사용자 인증과정(130)과 트래픽 보안키 설정과정(140)으로 구분하여 설명한다. 또한 보안키 관리 과정 상세한 내용은 "IEEE 802.16e의 7.8.1장"을 참조한다.
단말기(110)는 기지국(120)으로부터 사용자 인증을 성공하였음을 알리는 메시지 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))(S11)를 수신하면 KEK(Key Encryption Key) 및, HMAC/CMAC 키를 생성한다. 이후 트래픽 보안키 설정 을 위한 과정(140)을 위한 트래픽 보안 지시 메시지(SA-TEK Challenge)(S12)를 수신하면 생성한 HMAC/CMAC 키를 이용하여 트래픽 보안 지시 메시지(SA-TEK Challenge)(S12)의 확인하고, 기지국(120)으로 보안등급을 요구하는 트래픽 보안 요구 메시지(SA-TEK Request)(S13) 송신하고, 기지국(120)으로부터 트래픽 보안 응답 메시지(SA-TEK Response)(S14)를 수신하여 트래픽 보안키를 설정한다.
단말기(110)에서 기지국(120)으로부터 수신하는 트래픽 보안 지시 메시지(SA-TEK Challenge)(S12)는 HMAC/CMAC 다이제스트(digest)를 포함하며 따라서 트래픽 보안 지시 메시지(S12)를 확인하기 위해서는 HMAC/CMAC 키가 필요로 하다.
기지국(120)은 사용자 인증 성공 메시지(S11)를 송신 후에 트래픽 보안키 설정을 위한 과정(140)을 수행하기 위해 트래픽 보안 지시 메시지(SA-TEK Challenge)(S12)를 단말기(130)로 송신한다. 이때 기지국(120)은 단말기(110)가 사용자 인증 성공 메시지(S11)를 수신하였는지 또는 HMAC/CMAC 키를 생성하였는지 여부를 확인하지 않고 트래픽 보안 지시 메시지(S12)를 송신한다. 따라서 단말기(110)은 통신상태 불량으로 사용자 인증 성공 메시지(S11)를 수신하지 못하였거나 수신하였어도 HMAC/CMAC 키를 생성중 일 때 기지국(120)으로부터 트래픽 보안 지시 메시지(S12)를 수신하면 트래픽 보안 지시 메시지(S12)를 처리하지 못하므로 기지국(120)으로 트래픽 보안 요구 메시지(S13)를 생성하여 송신하지 못하게 된다. 한편, 기지국(120)은 트래픽 보안 지시 메시지(S12)를 송신하고 트래픽 보안 요구 메시지(S13)의 수신이 없으면 트래픽 보안 지시 메시지(S12)를 재전송한다. 재전송은 최대 허용 횟수만큼 재전송하면 기지국(120)은 인증과정을 처음부터 다시 진행 하거나 단말기(110)의 인증과정을 포기(drop)한다.
상기 도 1에서 설명한 바와 같이 종래의 인증과정에서 트래픽 보안키 설정은 기지국에서 단말기가 트래픽 보안키 설정을 진행할 준비가 되어있는지 확인하지 않고, 트래픽 보안 지시 메시지(S12)를 송신하여서, 트래픽 보안 지시 메시지(S12)를 재전송해야하는 경우가 발생할 수 있다.
상술한 바와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 보안키 관리 프로토콜을 가지는 휴대 인터넷 시스템의 인증 장치 및 방법을 제공하는데 있다.
본 발명의 다른 목적은 인증 과정 중에서 트래픽 보안키 설정시 발생할 수 있는 기지국의 메시지 재전송 문제를 줄이는 휴대 인터넷 시스템의 인증 장치 및 방법을 제공하는데 있다.
상기한 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 휴대 인터넷 시스템의 인증 장치는, 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하고, 사용자 인증 완료 메시지(PKMv2 EAP End) 생성하여 송신하는 단말기 및, 상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 송신하는 기지국을 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 2 견지에 따르면, 휴대 인터넷 시스템에서 단말기의 인증 장치는, 기지국과 연결하여 메시지를 송/수신하는 통신부, 사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 인증 요청부 및, 상기 기지국으로부터 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하고, 상기 인증 요청부를 통해 상기 사용자 인증 완료 메시지 생성하여 상기 기지국으로 송신하도록 제어하는 제어부를 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 3 견지에 따르면, 휴대 인터넷 시스템에서 기지국의 인증 장치는, 단말기와 연결하여 메시지를 송/수신하는 통신부, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하는 인증 처리부 및, 상기 단말기로부터 사용자 인증 완료 메시지(PKMv2 EAP End)를 수신하면, 상기 인증 처리부를 통해 상기 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 상기 단말기로 송신하도록 제어하는 제어부를 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 4 견지에 따르면, 휴대 인터넷 시스템의 인증 방법은, 단말기에서 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, 사용자 인증 완료 메시지(PKMv2 EAP End) 생성하여 송신하는 과정 및, 기지국에서 상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 송신하는 과정을 포함함을 특징으로 한다.
상기한 목적들을 달성하기 위한 본 발명의 제 5 견지에 따르면 , 휴대 인터 넷 시스템에서 단말기의 인증 방법은, 기지국으로부터 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하는 과정, 상기 HMAC/CMAC 키를 생성하면 사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 과정 및, 생성한 상기 사용자 인증 완료 메시지를 상기 기지국으로 송신하는 과정을 포함함을 특징한다.
상기한 목적들을 달성하기 위한 본 발명의 제 6 견지에 따르면, 휴대 인터넷 시스템에서 기지국의 인증 방법은, 단말기로부터 사용자 인증 완료 메시지(PKMv2 EAP End)를 수신하는 과정, 상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하는 과정 및, 생성한 상기 트래픽 보안 지시 메시지를 상기 단말기로 송신하는 과정을 포함함을 특징으로 한다.
이하 본 발명의 바람직한 실시예를 첨부된 도면의 참조하여 상세히 설명하면 하기와 같다. 그리고 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명은 인증 과정 중에서 트래픽 보안키 설정시 발생할 수 있는 기지국의 메시지 재전송 문제를 해결한 휴대 인터넷 시스템의 인증 장치 및 방법에 관한 것이다.
도 2는 본 발명의 일 실시예에 따른 휴대 인터넷의 개요를 도시한 개략도이다. 상기 도 2를 참조하면, 휴대 인터넷 시스템은 기본적으로 가입자 단 말(SS)(210), 단말기(210)과 무선 통신을 수행하는 기지국(BS)(220, 221), 기지국(220, 221)에 접속되어 게이트웨이를 통해 접속된 라우터(230, 231) 및 라우터(230, 231)에 접속되어 단말기(220, 221)에 대한 인증을 수행하는 인증 서버(AAA:Authentication Authorization and Accounting) 서버(240)를 포함한다.
휴대 인터넷 시스템인 IEEE 802.16은 기본적으로 도시권 통신망(Metropolitan Area Network, MAN)을 지원하는 규격으로서, 구내 정보 통신망(LAN)과 광역 통신망(WAN)의 중간 정도의 지역을 망라하는 정보 통신망을 의미한다. 따라서, 무선 휴대 인터넷 시스템은 이동통신 서비스와 같이 단말기(210)의 핸드오버를 지원하며, 가입자 단말의 이동에 따라 동적인 IP 어드레스 할당을 수행하게 된다.
여기서, 무선 휴대 인터넷의 단말기(210)와 기지국(220, 221)은 직교 주파수 분할 다중화(Orthogonal Frequency Division Multiple Access; 이하 OFDMA라고 함)방식으로 통신을 수행한다. OFDMA 방식은 복수의 직교주파수의 부반송파(subcarrier)를 복수의 서브 채널로 이용하는 주파수 분할 방식과, 시분할 방식(TDM) 방식을 결합한 다중화 방식이다. 이러한 OFDMA 방식은 본질적으로 다중 경로(multi path)에서 발생하는 페이딩(fading)에 강하며, 데이터 전송률이 높다.
한편, 단말기(210)와 기지국(220, 221)은 통신을 시작하면서 단말기(210)에 대한 인증을 위한 인증 모드를 협상하고, 협상 결과에 따라 선택된 방식의 인증 절차를 수행한다. 즉, 단말기(210)과 기지국(220, 221)은 협상을 통해 종래의 IEEE 802.16 프라이버시 규격에 따른 디지털 인증서 기반의 인증 모드와 상위 계층의 표 준화된 인증 프로토콜 기반의 인증 모드 중 하나를 선택하고, 선택된 인증 모드에 따라 가입자 단말(210)에 대한 인증 절차를 수행한다.
이때, 상위 계층의 표준화된 인증 프로토콜은 EAP(Extensible Authentication Protocol) 프레임워크(framework)인 EAP-TLS(Transport Layer Security) 또는 EAP-TTLS(Tunneled TLS) 중 어느 하나일 수 있다.
한편, 단말기(210)과 기지국(220, 221) 간의 인증 모드 협상에 따라 상위 계층의 표준화된 인증 프로토콜 기반의 인증 모드가 선택되면, 단말기(210)과 기지국(220)은 상위 계층의 표준화된 인증 프로토콜 기반의 인증 절차를 수행하기 위한 준비를 한 후, 단말기(210)는 인증을 위한 메시지를 생성하여 기지국(220)으로 전달하고, 기지국(220)은 해당 인증 서버인 AAA 서버(240)와의 상호 작용을 통해 단말기(210)에 대한 인증을 수행한다.
도 3은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 보안키 관리 과정을 도시한 흐름도이다.
단말기(310)는 사용자 인증과정(130)의 마지막 과정으로 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))(S11)를 수신하면, KEK(Key Encryption Key) 및, HMAC/CMAC 키를 생성하고, 트래픽 보안키 설정 과정(340)을 시작할 준비가 되었음을 알리는 메시지인 사용자 인증 완료 메시지(PKMv2 EAP End)(S20)생성하여 기지국(320)으로 송신한다.
한편, 기지국(320)은 사용자 인증 성공 메시지(S11)를 송신한 후에 단말기(320)로부터 사용자 인증 완료 메시지(S20)를 수신하면, 트래픽 보안 지시 메시 지(SA-TEK Challenge)(S12)를 생성하여 단말기(310)로 송신하고, 단말기(310)로부터 트래픽 보안 요구 메시지(SA-TEK Request)(S13)를 수신하면 트래픽 보안 응답 메시지(SA-TEK Response)(S14) 생성하여 단말기(310)로 송신한다.
도 4는 본 발명의 일 실시예에 따른 휴대 인터넷 시스템의 인증 장치를 도시한 도면이다. 상기 도 4를 참조하면, 본 발명의 인증장치는 단말기(310)와 기지국(320)을 포함한다. 여기서, 상기 단말기(310)는 제어부(412), 통신부(414) 및 인증 요청부(416)를 포함하고, 상기 기지국(320)은 제어부(422), 통신부(424) 및 인증 처리부(426)를 포함한다.
상기 단말기(310)의 통신부(414)는 상기 기지국(320)과 직교 주파수 분할 다중화(OFDMA)방식으로 통신하여 메시지를 송/수신한다. 제어부(412)는 상기 기지국(320)으로부터 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))(S11)를 수신하면 KEK(Key Encryption Key) 및, HMAC/CMAC 키를 생성한 후에, 상기 인증 요청부(416)를 제어하여 사용자 인증 완료 메시지(PKMv2 EAP End)(S20)를 생성하고 통신부(414)를 통해 기지국(320)으로 송신하도록 제어한다. 인증 요청부(416)는 제어부(414)의 제어에 따라 사용자 인증 완료 메시지(PKMv2 EAP End)(S20)를 생성한다.
상기 기지국(320)의 통신부(424)는 상기 단말기(310)와 직교 주파수 분할 다중화(OFDMA)방식으로 통신하여 메시지를 송/수신한다. 제어부(422)는 사용자 인증 성공 메시지(S11)를 송신한 후에 단말기(320)로부터 사용자 인증 완료 메시지(S20)를 수신하면, 인증 처리부(426)를 제어하여 트래픽 보안 지시 메시지(SA-TEK Challenge)(S12)를 생성하여 통신부(424)를 통해 단말기(310)로 송신하여 트래픽 보안키 설정과정을 시작하도록 제어한다.
인증 처리부(426)는 상기 제어부(422)의 제어를 받아 인증 과정에서 필요로하는 사용자 인증 성공 메시지(S11), 트래픽 보안 지시 메시지(SA-TEK Challenge) 및, 트래픽 보안 응답 메시지(SA-TEK Response)(S14)등을 생성한다.
이하, 상기와 같이 구성된 본 발명에 따른 휴대 인터넷 시스템에서 단말기와 기지국 각각의 보안키 관리 방법을 아래에서 도면을 참조하여 설명한다.
도 5는 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 단말기의 보안키 관리 과정을 도시한 흐름도이다.
상기 도 5를 참조하면, 단말기는 500단계에서 사용자 인증 성공 메시지의 수신 여부를 검사한다. 상기 500단계의 검사결과 상기 사용자 인증 성공 메시지의 수신이 없으면 휴대 인터넷 시스템의 규약에 따른 해당 기능을 수행한다.
하지만, 500단계의 검사결과 상기 사용자 인증 성공 메시지를 수신하면, 상기 단말기는 502단계로 진행하여 KEK(Key Encryption Key) 및, HMAC/CMAC 키를 생성하고, 504단계로 진행하여 사용자 인증 완료 메시지를 생성하고, 506단계로 진행하여 상기 사용자 인증 완료 메시지를 상기 기지국으로 송신한다. 본 발명에서 정의하는 상기 사용자 인증 완료 메시지는 단말기가 상기 사용자 인증 성공 메시지를 수신하고 KEK(Key Encryption Key) 및, HMAC/CMAC 키의 생성을 완료했음을 알리는 메시지이다. 즉, 단말기가 기지국으로 트래픽 보안 설정을 위한 준비가 완료됐음 알리는 메시지이다.
단말기는 상기 506단계에서 상기 사용자 인증 완료 메시지를 상기 기지국으로 송신한 후, 508단계로 진행하여 트래픽 보안 지시 메시지의 수신 여부를 검사한다. 상기 트래픽 보안 지시 메시지는 기지국과 단말기 사이에 보안을 위해 정의되어야 하는 메시지 인증 코드(Message Authentication code) 정보, 키 갱신 주기 정보, 키 관리를 위한 키 번호순서(sequence number) 정보 등을 포함한다.
상기 508단계의 검사결과 상기 트래픽 보안 지시 메시지의 수신하면 510단계로 진행하여 보안등급의 설정을 요구하는 트래픽 보안 요구 메시지를 생성하고, 512단계로 진행하여 생성한 상기 트래픽 보안 요구 메시지를 기지국으로 송신한다.
상기 트래픽 보안 요구 메시지를 송신한 후, 단말기는 514단계로 진행하여 트래픽 보안 응답메시지의 수신 여부를 검사한다. 만약 상기 514단계의 검사결과 상기 트래픽 보안 응답메시지를 수신하면, 단말기는 516단계로 진행하여 상기 트래픽 보안 응답메시지를 이용하여 트래픽 보안키를 설정한다.
상기 508단계에서 상기 516단계는 보안키 관리(PKM:Privacy Key Management) 과정은 "IEEE 802.16e의 7.8.1장"을 참조한다.
도 6은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템에서 기지국의 보안키 관리 과정을 도시한 흐름도이다.
기지국은 인증 서버(AAA:Authentication Authorization and Accounting 서버)로부터 사용자 인증 성공 메시지를 수신하면 600단계에서 상기 사용자 인증 성 공 메시지를 단말기로 송신하고, 602단계로 진행하여 사용자 인증 완료 메시지의 수신 여부를 검사한다.
상기 602단계의 검사결과 상기 사용자 인증 완료 메시지를 수신하였으면, 기지국은 604단계로 진행하여 트래픽 보완 지시메시지를 생성하고, 606단계로 진행하여 상기 트래픽 보완 지시메시지를 단말기로 송신하고, 608단계로 진행하여 트래픽 보완 요구 메시지의 수신을 검사한다.
상기 608단계의 검사결과 상기 트래픽 보완 요구 메시지를 수신하면, 기지국은 610단계로 진행하여 단말기의 보완 등급을 협상하여 보완등급을 결정하고, 결정한 보완등급을 포함하는 트래픽 보완 응답 메시지를 생성하고, 612단계로 진행하여 생성한 상기 트래픽 보완 응답 메시지를 단말기로 송신한다.
도 7은 본 발명의 일 실시예에 따른 휴대 인터넷 시스템의 단말기에서 사용자 인증 완료 메시지를 생성하는 과정을 도시한 흐름도이다.
상기 도 7을 참조하면, 단말기는 사용자 인증 완료 메시지 생성시 700단계로 진행하여 진행중인 인증과정인 초기인증인지 재인증인지 검사한다. 초기인증과 재인증의 판단은 키 번호순서(sequence number)의 존재 여부에 따라 존재하면 재인증과정이고 존재하지 않으면 초기인증과정으로 판단한다. 상기 키 번호순서(sequence number)는 이전 인증과정에서 트래픽 보안 지시 메시지에 포함되어 수신한 키 번호순서(sequence number)이다.
만약, 상기 700단계의 검사결과 초기인증이면, 단말기는 708단계로 진행하여 ㅂ 키번호 순서 및 HMAC/CMAC 다이제스트(digest)를 포함하지 않는 사용자 인증 완료 메시지를 생성한다.
하지만 상기 700단계의 검사결과 재인증이면, 단말기는 702단계로 진행하여 키 번호순서(sequence number)를 확인하고, 704단계로 진행하여 HMAC/CMAC 다이제스트(digest)를 생성한다. 상기 HMAC/CMAC 다이제스트(digest)를 생성하는 이유는 IEEE 802.16e의 규정상 재인증에서는 HMAC/CMAC 다이제스트(digest)를 송/수신하는 메시지에 포함시켜야 하기 때문이다.
상기 704단계에서 상기 HMAC/CMAC 다이제스트(digest)를 생성하였으면, 단말기는 706단계로 진행하여 상기 702단계에서 확인한 키 번호순서와 상기 704단계에서 생성한 상기 HMAC/CMAC 다이제스트를 포함한 사용자 인증 완료 메시지를 생성한다.
상기 도 7의 설명과 같이 사용자 인증 완료 메시지(PKMv2 EAP End)를 IEEE 802.16e의 형태로 정의하면 아래 <표 1>과 같은 코드값으로 정의할 수 있다.
Code PKM message type MAC Management message name
31 PKMv2 EAP End PKM-REQ
또한, 상기 사용자 인증 완료 메시지(PKMv2 EAP End)는 키 번호순서(sequence number)와 HMAC/CMAC 다이제스트(digest)를 포함한다.
상기 키 번호순서(sequence number)는 초기 인증인 경우 포함하지 않고, 재인증인 경우 이전에 수신한 트래픽 보완 지시 메시지에 포함된 키 번호순서로 설정한다. 상기 키 번호순서에 관한 다른 상세한 내용은 "IEEE 802.16e 규격의 11.9.5 장"을 참조한다.
상기 HMAC/CMAC 다이제스트(digest)는 사용자 인증 완료 메시지에 포함되는 보완을 위한 인증정보로서 초기 인증시에 생성하는 사용자 인증 완료 메시지에는 는 포함 시키지 않고 재인증시에 생성하는 사용자 인증 완료 메시지에 포함 시킨다.
HMAC 다이제스트는, "IETF RFC 2104의 알고리즘"에 따라 생성되며 "IEEE 802.16e 규격의 11.9.6장"을 따른다. 또한, CMAC 다이제스트는 "draft SP 800-38B에서 설명된 알고리즘"에 따라 생성되며 "IEEE 802.16e 규격의 11.9.27장"을 따른다
분명히, 청구항들의 범위내에 있으면서 이러한 실시예들을 변형할 수 있는 많은 방식들이 있다. 다시 말하면, 이하 청구항들의 범위를 벗어남 없이 본 발명을 실시할 수 있는 많은 다른 방식들이 있을 수 있는 것이다.
상술한 바와 같이 본 발명은 인증 과정 중에서 트래픽 보안키 설정시 발생할 수 있는 기지국의 트래픽 보안 지시 메시지(SA-TEK Challenge) 재전송 문제를 줄이는 휴대 인터넷 시스템의 인증 장치 및 방법에 관한 것으로, 트래픽 보안 지시 메시지의 재전송을 줄임으로 기지국의 자원낭비를 줄이는 효과가 있다.

Claims (14)

  1. 휴대 인터넷 시스템의 인증 장치에 있어서,
    사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하고, 사용자 인증 완료 메시지(PKMv2 EAP End) 생성하여 송신하는 단말기; 및
    상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 송신하는 기지국을 포함함을 특징으로 하는 장치.
  2. 제 1항에 있어서,
    상기 단말기는,
    상기 기지국과 연결하여 메시지를 송/수신하는 통신부;
    상기 사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 인증인증 요청부; 및
    상기 기지국으로부터 상기 사용자 인증 성공 메시지를 수신하면, HMAC/CMAC 키를 생성하고, 상기 인증 요청부를 통해 상기 사용자 인증 완료 메시지 생성하여 상기 기지국으로 송신하도록 제어하는 제어부를 포함함을 특징으로 하는 장치.
  3. 제 1항에 있어서,
    상기 기지국은,
    상기 단말기와 연결하여 메시지를 송/수신하는 통신부;
    상기 트래픽 보안 지시 메시지를 생성하는 인증 처리부; 및
    상기 단말기로부터 상기 사용자 인증 완료 메시지를 수신하면, 상기 인증 처리부를 통해 상기 트래픽 보안 지시 메시지를 생성하여 상기 단말기로 송신하도록 제어하는 제어부를 포함함을 특징으로 하는 장치.
  4. 휴대 인터넷 시스템에서 단말기의 인증 장치에 있어서,
    기지국과 연결하여 메시지를 송/수신하는 통신부;
    사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 인증 요청부; 및
    상기 기지국으로부터 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하고, 상기 인증 요청부를 통해 상기 사용자 인증 완료 메시지 생성하여 상기 기지국으로 송신하도록 제어하는 제어부를 포함함을 특징으로 하는 장치.
  5. 휴대 인터넷 시스템에서 기지국의 인증 장치에 있어서,
    단말기와 연결하여 메시지를 송/수신하는 통신부;
    트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하는 인증 처리부; 및
    상기 단말기로부터 사용자 인증 완료 메시지(PKMv2 EAP End)를 수신하면, 상기 인증 처리부를 통해 상기 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 상기 단말기로 송신하도록 제어하는 제어부를 포함함을 특징으로 하는 장치.
  6. 제 1항 또는 제 4항 또는 제 5항에 있어서,
    상기 사용자 인증 완료 메시지(PKMv2 EAP End)는 키 번호순서(sequence number)와 HMAC/CMAC 다이제스트(digest)를 포함함을 특징으로 하는 장치.
  7. 제 2항 또는 제 4항에 있어서,
    상기 인증 요청부는, 재인증시 상기 사용자 인증 완료 메시지(PKMv2 EAP End)에 포함할 키 번호순서(sequence number)를 이전 인증 과정에서 수신한 상기 트래픽 보안 지시 메시지에 포함된 키 번호순서로 설정하고, HMAC/CMAC 다이제스트(digest)를 포함하여 생성함을 특징으로 하는 장치.
  8. 휴대 인터넷 시스템의 인증 방법에 있어서,
    단말기에서 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, 사용자 인증 완료 메시지(PKMv2 EAP End) 생성하여 송신하는 과정; 및
    기지국에서 상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하여 송신하는 과정을 포함함을 특징으로 하는 방법.
  9. 제 8항에 있어서,
    상기 단말기에서 상기 사용자 인증 완료 메시지 생성하여 송신하는 과정은,
    상기 기지국으로부터 상기 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하는 과정;
    상기 HMAC/CMAC 키를 생성하면 상기 사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 과정; 및
    생성한 상기 사용자 인증 완료 메시지를 상기 기지국으로 송신하는 과정을 포함함을 특징으로 하는 방법.
  10. 제 8항에 있어서,
    상기 기지국에서 상기 트래픽 보안 지시 메시지를 송신하는 과정은,
    상기 단말기로부터 상기 사용자 인증 완료 메시지를 수신하는 과정;
    상기 사용자 인증 완료 메시지를 수신하면, 상기 트래픽 보안 지시 메시지를 생성하는 과정; 및
    생성한 상기 트래픽 보안 지시 메시지를 상기 단말기로 송신하는 과정을 포함함을 특징으로 하는 방법.
  11. 휴대 인터넷 시스템에서 단말기의 인증 방법에 있어서,
    기지국으로부터 사용자 인증 성공 메시지(PKMv2 EAP Transfer(EAP Success))를 수신하면, HMAC/CMAC 키를 생성하는 과정;
    상기 HMAC/CMAC 키를 생성하면 사용자 인증 완료 메시지(PKMv2 EAP End)를 생성하는 과정; 및
    생성한 상기 사용자 인증 완료 메시지를 상기 기지국으로 송신하는 과정을 포함함을 특징으로 하는 방법.
  12. 휴대 인터넷 시스템에서 기지국의 인증 방법에 있어서,
    단말기로부터 사용자 인증 완료 메시지(PKMv2 EAP End)를 수신하는 과정;
    상기 사용자 인증 완료 메시지를 수신하면, 트래픽 보안 지시 메시지(SA-TEK Challenge)를 생성하는 과정; 및
    생성한 상기 트래픽 보안 지시 메시지를 상기 단말기로 송신하는 과정을 포함함을 특징으로 하는 방법.
  13. 제 8항 또는 제 11항 또는 제 12항에 있어서,
    상기 사용자 인증 완료 메시지(PKMv2 EAP End)는 키 번호순서(sequence number)와 HMAC/CMAC 다이제스트(digest)를 포함함을 특징으로 하는 방법.
  14. 제 9항 또는 제 11항에 있어서,
    상기 사용자 인증 완료 메시지를 생성하는 과정은,
    재인증시 상기 사용자 인증 완료 메시지에 포함할 키 번호순서(sequence number)를 이전 인증 과정에서 수신한 상기 트래픽 보안 지시 메시지에 포함된 키 번호순서로 설정하고, HMAC/CMAC 다이제스트(digest)를 포함하여 생성함을 특징으로 하는 방법.
KR1020060032590A 2006-04-11 2006-04-11 휴대 인터넷 시스템의 인증 장치 및 방법 KR20070101504A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060032590A KR20070101504A (ko) 2006-04-11 2006-04-11 휴대 인터넷 시스템의 인증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060032590A KR20070101504A (ko) 2006-04-11 2006-04-11 휴대 인터넷 시스템의 인증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20070101504A true KR20070101504A (ko) 2007-10-17

Family

ID=38816733

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060032590A KR20070101504A (ko) 2006-04-11 2006-04-11 휴대 인터넷 시스템의 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20070101504A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148261A2 (en) * 2008-06-03 2009-12-10 Lg Electronics Inc. Method of deriving and updating traffic encryption key

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009148261A2 (en) * 2008-06-03 2009-12-10 Lg Electronics Inc. Method of deriving and updating traffic encryption key
WO2009148261A3 (en) * 2008-06-03 2010-03-11 Lg Electronics Inc. Method of deriving and updating traffic encryption key
US8738913B2 (en) 2008-06-03 2014-05-27 Lg Electronics Inc. Method of deriving and updating traffic encryption key

Similar Documents

Publication Publication Date Title
KR100813295B1 (ko) 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
AU2004244634B2 (en) Facilitating 802.11 roaming by pre-establishing session keys
US8374582B2 (en) Access method and system for cellular mobile communication network
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
JP5597676B2 (ja) 鍵マテリアルの交換
US8533461B2 (en) Wireless local area network terminal pre-authentication method and wireless local area network system
US8397071B2 (en) Generation method and update method of authorization key for mobile communication
US7236477B2 (en) Method for performing authenticated handover in a wireless local area network
KR100667181B1 (ko) 무선 휴대 인터넷 시스템에서의 인증키 식별자 할당 방법
US20090208013A1 (en) Wireless network handoff key
US8959333B2 (en) Method and system for providing a mesh key
US20100211790A1 (en) Authentication
KR20090039593A (ko) 이기종 무선접속망간 보안연계 설정 방법
CN1859098A (zh) 在无线接入系统中实现eap认证中继的方法
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
WO2006115741A2 (en) Method and apparatus for generating session keys
KR20050109685A (ko) 휴대 인터넷 시스템에서 단말기 인증과 공존하는 확장된인증 프로토콜 기반의 사용자 인증 방법 및 시스템
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
KR20070101504A (ko) 휴대 인터넷 시스템의 인증 장치 및 방법
US8713317B2 (en) Method and system for encrypting data in a wireless communication system
KR100729729B1 (ko) 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법
KR20130085170A (ko) 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치
WO2012112124A1 (en) Communication terminal and method for performing communication
KR20080090733A (ko) 다중 홉 기반의 광대역 무선통신 시스템에서 보안연결 방법및 시스템
KR20080004920A (ko) 범용 이동 통신 시스템-무선랜-와이브로 연동을 위한티켓기반의 개선된 이에이피-아카 프로토콜

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid