KR20090093943A - 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증 - Google Patents

네트워크 액세스를 위한 디바이스 및/또는 사용자 인증

Info

Publication number
KR20090093943A
KR20090093943A KR1020097009104A KR20097009104A KR20090093943A KR 20090093943 A KR20090093943 A KR 20090093943A KR 1020097009104 A KR1020097009104 A KR 1020097009104A KR 20097009104 A KR20097009104 A KR 20097009104A KR 20090093943 A KR20090093943 A KR 20090093943A
Authority
KR
South Korea
Prior art keywords
authentication
wireless device
csn
eap
asn
Prior art date
Application number
KR1020097009104A
Other languages
English (en)
Inventor
스티븐 디. 어프
Original Assignee
모토로라 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모토로라 인코포레이티드 filed Critical 모토로라 인코포레이티드
Publication of KR20090093943A publication Critical patent/KR20090093943A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Abstract

다양한 실시예가 무선 디바이스(101) 및/또는 관련 사용자 가입를 인증하기 위해 설명된다. 디바이스 크리덴셜을 획득하기 위해 무선 디바이스와의 단일 인증 교환을 사용함으로써, 연결 서비스 네트워크(connectivity service network; CSN)(231)은 디바이스 아이덴티티를 설정하기 위해 디바이스 크리덴셜을 인증하고 확인한다. 디바이스-아이덴티티-기반의 가입에 대해, 디바이스 아이덴티티는 가입을 확인하는데 사용될 수 있다. 사용자 가입 인증에 대해, 제2 인증 교환은 제1 인증 교환(일명, 외부 교환)에 의해 설정된 암호화된 연결을 사용하여 수행된다. 단 한 번의 외부 인증을 활용함으로써, 실시예는 공지된 기술과 비교할 때 감소된 메시지와 더 낮은 복잡도를 나타내는 것이 가능하게 된다.

Description

네트워크 액세스를 위한 디바이스 및/또는 사용자 인증{DEVICE AND/OR USER AUTHENTICATION FOR NETWORK ACCESS}
본 발명은 일반적으로 통신 시스템에 관한 것으로, 특히 액세스 서비스 네트워크(access service network; ASN)로의 액세스를 부여하기 전에 연결 서비스 네트워크(connectivity service network; CSN)에 의해 무선 디바이스를 인증하는 것에 관한 것이다.
WiMAX(World Interoperability for Microwave Access) 네트워크 액세스 제공자(Network Access Providers; NAPs)(예를 들면, 도매업체)와 네트워크 서비스 제공자(Network Service Providers; NSPs)(예를 들면, 캐리어)는 디바이스를 네트워크에 허용하기 전에 적합성 표준에 대한 무선 디바이스의 인증 상태를 확인하는 것에 관심이 있다. NAPs와 NSPs는 가정 서비스 제공자로부터의 서비스에 대해 사용자의 가입 유효성을 설정하기 위해 디바이스의 최종 사용자를 인증하는 것에 또한 분명히 관심이 있다. WiMAX 디바이스는 신뢰 WIMAX 디바이스 인증 기관으로부터 X.509 디지털 인증서를 갖고 제조되어 디바이스의 아이덴티티가 NAPs와 NSPs 모두에 의해 강력하게 인증될 수 있다. 일반적으로, 액세스 제공자는 네트워크에 디바이스가 들어올 수 있게 하기 전에 표준에 대해 디바이스의 적합성을 확인하는 것에 관심이 있다. 더욱이, 사용자의 아이덴티티가 사용자 이름-암호 조합, 바이오메트릭 데이터, 스마트카드 또는 제거가능한 SIM 카드와 같은 다른 크리덴셜(credential)로도 인증될 수 있다.
IEEE 802.16-2005는 연속하는 2개의 확장 가능 인증 프로토콜(Extensible Authentication Protocol; EAP) 방법을 지원하도록 의도된 방법을 정의했다. 상기 방법은 EAP 후의 EAP로 불리지만, 그 복잡성과 IEEE 802.16 무선 인터페이스와의 상호작용으로 인해 WiMAX 프로파일에 포함되지 않았다. EAP 후 EAP는 하나의 EAP 방법이 성공적으로 완료되고, 제1 인증 서버로 EAP 키 재료(keying material)를 설정한 다음에, 제1 세션에서의 키 재료가 제2 EAP 방법에 대한 EAP 메시지를 제2 인증 서버로 인증하는데 사용되는 제2 EAP 방법이 개시된다는 점에서 복잡하다. EAP 세션의 설정은 상당한 수의 무선 메시지들을 요구한다.
따라서, 디바이스의 사용자와 무선 디바이스를 인증하기 위한 방법 및 장치로써, 현재 기술의 지연 특성과 일부 메시지를 감소시킬 수 있는 방법 및 장치를 갖는 것이 바람직하다.
도 1은 본 발명의 다수의 실시예에 따른 무선 통신 시스템의 블록도이다.
도 2는 본 발명의 다수의 실시예에 따른 무선 통신 시스템의 블록도이다.
도 3은 본 발명의 다수의 실시예에 따라 무선 디바이스 및/또는 (디바이스-아이덴티티-기반의 가입에 대한) 가입의 인증 및 확인이 발생할 수 있는 인증 교환을 도시하는 신호 플로우도이다.
도 4는 본 발명의 다수의 실시예에 따라 무선 디바이스 및 사용자 가입의 인증 및 확인이 발생할 수 있는 2개의 인증 교환들을 도시한 신호 플로우도이다.
도 5는 본 발명의 특정 실시예에 따라 무선 디바이스의 인증 및 확인이 시도될 수 있는 일종의 신호의 일례를 도시하는 상세한 신호 플로우도이다.
도 6은 본 발명의 특정 실시예에 따라 무선 디바이스와 사용자 가입의 인증 및 확인이 시도될 수 있는 일종의 신호의 일례를 도시하는 상세한 신호 플로우도이다.
본 발명의 특정 실시예는 도 1~도 6을 참조하여 이하에 개시된다. 설명과 예시 모두는 이해를 향상시키기 위한 의도를 갖고 작성되었다. 예를 들면, 도면 엘리먼트 중 일부의 치수는 다른 엘리먼트에 비해 과장될 수도 있고, 상업적으로 성공적인 구현에 이롭거나 필요한 것일지라도 공지된 엘리먼트는 도시되지 않을 수도 있어 덜 방해받고 더 명확한 실시예의 표현이 달성될 수 있다. 더욱이, 특정 순서로 교환된 특정 신호에 대해 신호 플로우도가 상술되고 도시되었다할지라도, 신호의 일부는 본 청구 범위의 범주에 벗어남이 없이 생략될 수 있거나 신호의 일부는 결합, 세분, 또는 재정리될 수도 있다. 따라서, 도시된 신호의 순서 및 그룹핑은 이를 구체적으로 표시하지 않는다면, 본 청구항의 범주 내에 있을 수 있는 다른 실시예를 제한하지 않는다.
예시와 설명 모두에서 간략함 및 명확함을 추구하는 것은 당업자가 본 기술에 이미 공지된 것을 고려하여 본 발명의 제작, 사용, 및 최상의 실시를 효과적으로 할 수 있게 하기 위한 것이다. 당업자라면 본 발명의 사상과 범주에 벗어남이 없이 다양한 수정과 변경이 후술된 특정 실시예에 만들어질 수 있다는 것을 인식할 것이다. 따라서, 본 명세서와 도면은 제한하거나 모두 포괄하기보다 예시적이고 설명적으로 간주되고, 후술된 특정 실시예에 대한 모든 수정이 본 발명의 범주 내에 포함되도록 의도된다.
무선 디바이스 및/또는 관련 사용자 가입을 인증하기 위해 다양한 실시예가 설명된다. 디바이스 크리덴셜을 획득하기 위해 무선 디바이스와의 한 번 인증 교환을 사용함으로써, CSN은 디바이스 아이덴티티를 설정하기 위해 디바이스 크리덴셜을 인증하고 확인한다. 디바이스-아이덴티티-기반의 가입에 대해, 디바이스 아이덴티티는 가입을 확인하는데 사용될 수 있다. 사용자 가입 인증에 대해, 제2 인증 교환은 제1 인증 교환(일명, 외부 교환)에 의해 설정된 암호화된 연결을 사용하여 수행된다. 단 하나의 외부 인증을 활용함으로써, 실시예는 공지된 기술과 비교할 때 감소된 메시지와 더 낮은 복잡도를 나타내는 것이 가능하게 된다.
개시된 실시예는 도 1~도 6을 참조하면 더 완전히 이해될 수 있다. 도 1은 본 발명의 다수의 실시예에 따라 무선 통신 시스템(100)의 블록도를 도시한다. 현재, OMA(Open Mobile Alliance), 3GPP(3rd Generation Partnership Project), 3GPP2(3rd Generation Partnership Project 2), IEEE(Institute to Electrical and Electronics Engineers) 802, 및 WiMAX 포럼과 같은 표준 단체들(이 그룹들은 http://www.openmobilealliance.com, http://www.3gpp.org/, http:// 3gpp2.com/, http://www.ieee802.org/, 및 http://wimaxforum.org/를 통해 연락될 수 있다)은 무선 전자 통신 시스템을 위해 표준 사양을 개발하고 있다. 통신 시스템(100)은 본 발명을 구현하기 위해 적절히 수정되는, 하나 이상의 WiMAX 포럼 및/또는 IEEE 802 기술에 따른 아키텍쳐를 갖는 시스템을 나타낸다. 본 발명의 대안적인 실시예는 OMA, 3GPP, 및/또는 3GPP2 사양에 설명된 것과 같은 다른 추가적인 기술을 사용하는 통신 시스템에서 구현될 수 있지만 이에 제한을 두지 않는다.
통신 시스템(100)은 매우 일반화된 방법으로 도시된다. 특히, ASN(121)은 IEEE 802.16-기반의 무선 인터페이스와 같이, ASN(121)에 의해 활용된 특정 액세스 기술에 따른 무선 인터페이스(111)를 통해 무선 디바이스(101)와 통신하는 것으로 도시되어 있다. 더욱이, CSN(131)은 ASN(121)과 인터넷(140)에 네트워크 연결을 갖는 것으로 도시된다. 당업자라면 도 1이 동작하는 시스템(100)을 위해 필요할 수 있는 물리적 고정 네트워크 컴포넌트들 모두를 도시하지 않고 본 명세서에서 특히 실시예의 설명에 관련한 시스템 컴포넌트와 로직 개체만을 도시한다는 것을 인식할 것이다.
예를 들면, 도 1은 프로세싱 유닛(123, 133) 및 네트워크 인터페이스(127, 137)를 각각 포함하는 ASN(121) 및 CSN(131)을 도시한다. 더욱이, 도 1은 송수신기(125)를 포함하는 ASN(121)을 도시한다. 일반적으로, 송수신기, 네트워크 인터페이스 및 프로세싱 유닛과 같은 컴포넌트는 공지되어 있다. 예를 들면, 프로세싱 유닛은 마이크로프로세서, 마이크로컨트롤러, 메모리 디바이스, 주문형 반도체(application-specific integrated circuits; ASICs), 및/또는 로직 회로와 같은 기본 컴포넌트를 포함하는 것으로 알려져 있지만, 이러한 컴포넌트에 한정되는 것도 아니고 반드시 필요로 하지도 않는다. 상술한 컴포넌트는 하이-레벨 설계 언어 또는 설명을 사용하여 표현되고, 컴퓨터 명령어를 사용하여 표현되고, 신호 플로우도 및/또는 로직 플로우도를 사용하여 표현되는 알고리즘 및/또는 프로토콜을 구현하기에 적합한 것이다.
따라서, 하이-레벨 설명, 알고리즘, 로직 플로우, 메시지/신호 플로우, 및/또는 프로토콜 사양이 주어져, 당업자라면 주어진 로직을 실행하는 프로세싱 유닛을 구현할 수 있는 다수의 설계 및 개발 기술을 인지할 것이다. 따라서, ASN(121)과 CSN(131)은 본 명세서에 따라 본 발명의 다수의 실시예를 구현하기에 적합한 공지된 디바이스를 나타낸다. 더욱이, 당업자라면 본 발명의 양상이 다양한 물리적 컴포넌트에서 구현될 수 있고 단일 플랫폼 구현에 반드시 한정되지 않는다는 것을 인식할 것이다. 예를 들면, 프로세싱 유닛(123), 송수신기(125), 및 네트워크 인터페이스(127)는 하나 이상의 기지국(base station; BS) 및/또는 ASN 게이트웨이와 같은 하나 이상의 네트워크 컴포넌트에서 구현될 수 있다. 유사하게, 프로세싱 유닛(133)과 네트워크 인터페이스(137)는 하나 이상의 라우터들, 인증 프록시/서버들, 데이터베이스들, 및/또는 인터워킹 게이트웨이 디바이스들과 같은 하나 이상의 네트워크 컴포넌트에서 구현될 수 있다.
무선 디바이스(101)와 ASN(121)은 기술-의존의, 무선 인터페이스를 통해 통신하는 것으로 도시된다. 무선 디바이스, 가입자국(subscriber station; SS) 또는 사용자 장치(user equipment; UE)는 이동국(mobile station; MS)로서 생각될 수 있다; 그러나, 무선 디바이스는 반드시 모바일이 아니어도 되고 이동가능하지 않아도 된다. 더욱이, 무선 디바이스 플랫폼은 MS, 액세스 단말(access terminal; AT), 터미널 장비, 모바일 디바이스, 게임 디바이스, 퍼스널 컴퓨터, 및 PDA(personal digital assistant)와 같은 폭넓게 다양한 소비자 전자 플랫폼으로 지칭되도록 알려졌지만 이에 제한되지 않는다. 특히, 무선 디바이스(101)는 프로세싱 유닛(105)과 송수신기(107)를 포함한다. 실시예에 따라, 무선 디바이스(101)는 키패드(미도시됨), 스피커(미도시됨), 마이크로폰(미도시됨), 및 디스플레이(미도시됨)를 추가적으로 포함할 수도 있다. 무선 디바이스에 사용된 프로세싱 유닛, 송수신기, 키패드, 스피커, 마이크로폰, 및 디스플레이는 본 기술에 모두 잘 공지되어 있다. 따라서, 하이-레벨 설명, 알고리즘, 로직 플로우, 메시지/신호 플로우, 및/또는 프로토콜 사양이 주어져, 당업자라면 주어진 로직을 실행하는 프로세싱 유닛을 구현할 수 있는 다수의 설계 및 개발 기술을 인지할 것이다. 따라서, 무선 디바이스(101)는 본 명세서에서 설명에 따라, 본 발명의 다수의 실시예를 구현하기에 적합한 공지된 디바이스를 나타낸다.
도 2는 본 발명의 다수의 실시예에 따른 무선 통신 시스템(200)의 블록도를 도시한다. 통신 시스템(200)은 매우 일반화된 방법으로 또한 도시된다. 액세스 제공자 네트워크(220)는 방문 - 인증, 허가 및 어카운팅 프록시 서버(Visited - Authentication, Authorization and Accounting Proxy Server; V-AAA)(223)와 MS(201)와의 무선 인터페이스(211)를 구비한 ASN(221)을 포함하는 것으로 도시된다. CSN(231)은 홈 - 인증, 허가 및 어카운팅 서버(Home - Authentication, Authorization and Accounting Server; H-AAA)(235)를 포함하는 것으로 도시된다. 더욱이, 당업자라면 도 2가 동작하는 시스템(200)을 위해 필요할 수 있는 물리적 고정 네트워크 컴포넌트들 모두를 도시하지 않고 본 명세서에서 특히 실시예의 설명에 관련된 시스템 컴포넌트와 로직 개체만을 도시한다는 것을 인식할 것이다.
예를 들면, WiMAX 포럼 사양에 적합한 ASN은 WiMAX MS와의 WiMAX 레이어-2(Layer-2; L2) 연결을 제공하고, 인증, 허가 및 가입자 세션을 위한 세션 어카운팅을 위해 WiMAX 가입자의 홈 네트워크 서비스 제공자(Home Network Service Provider; H-NSP)에 AAA 메시지 내에 포함된 EAP의 전송을 지원하고, 디바이스 인증에 기초한 정책 및 허가 제어를 제공하고, WiMAX 가입자의 선호 NSP의 네트워크 발견 및 선택을 지원하고, WiMAX MS와의 레이어-3(Layer-3; L3) 연결을 설정하는 릴레이 기능(즉, IP 주소 할당)을 지원하고, 라디오 리소스 관리를 제공하고, ASN-CSN 터널링을 지원하고, ASN 앵커 이동성을 지원하고, CSN 앵커 이동성을 지원하며, 페이징 및 위치 관리를 제공하게 하는 네트워크 엘리먼트를 필요로 할 것이다. 더욱이, ASN은 하나 이상의 CSN에 의해 공유될 수도 있다. WiMAX 포럼 사양과 적합한 CSN은 WiMAX 가입자에게 IP 연결 서비스를 제공하는 네트워크 엘리먼트를 필요로 할 것이다. 따라서, CSN은 MS IP 어드레스 및 사용자 세션에 대해 종료점 파라미터 할당을 제공하고, 인터넷으로의 액세스를 제공하고, 디바이스 및/또는 사용자 가입 프로파일에 기반한 정책 및 허가 제어를 제공하고, ASN-CSN 터널링을 지원하고, WiMAX 가입자 빌링과 인터-오퍼레이터 결제를 지원하고, 로밍을 위해 인터-CSN 터널링을 지원하며, 인터-ASN 모빌리티를 지원해야 할 수도 있다. WiMAX CSN은 위치 기반 서비스, 피어-투-피어를 위한 연결 서비스, IP 멀티미디어에 대한 프로비저닝(provisioning) 허가 및/또는 연결 서비스 및 설비와 같은 WiMAX 서비스를 제공하여, CALEA(Communications Assistance Law Enforcement Act) 프로시져에 맞는 서비스와 같은 법적인 인터셉트 서비스를 지원해야할 수도 있다.
본 발명에 따라 실시예의 동작이 도 1을 참조하여 이하에 실질적으로 발생한다. ASN(121)이 무선 디바이스(101)로부터 네트워크 액세스에 대한 요구를 수신하면, ASN(121)은 CSN(131)이 무선 디바이스(101)를 인증할 것을 요구한다. 실시예에 따라, 프로세싱 유닛(123)과 네트워크 인터페이스(127)의 일부는 V-AAA(또는 그 일부), 네트워크 인증자, 및/또는 프록시 인증자를 포함할 수도 있다. 유사하게, 실시예에 따라, 프로세싱 유닛(133)과 네트워크 인터페이스(137)의 일부는 H-AAA(또는 그 일부) 및/또는 네트워크 인증자를 포함할 수도 있다. CSN 프로세싱 유닛(133)과 무선 디바이스 프로세싱 유닛(105)은 네트워크 인터페이스(137), ASN(121), 및 송수신기(107)를 통해 인증 교환을 실행한다.
이 인증 교환에서, CSN(131)은 무선 디바이스(101)로부터 디바이스 크리덴셜을 요구한다. CSN 프로세싱 유닛(133)은 무선 디바이스의 아이덴티티를 설정하는 것을 시도한다. 디바이스 크리덴셜이 무선 디바이스로부터 획득되는 경우에, 디바이스 아이덴티티를 설정하는 것은 디바이스 크리덴셜을 인증하고 확인하는 것을 포함한다. 통상적으로, X.509-적합 디지트 인증서와 같은, 디지털 인증서가 사용된다. WiMAX 실시예에서 WiMAX 인증 기관으로부터 획득되고 무선 디바이스 제조자에 의해 설치된 디지털 인증서가 사용될 수도 있다. 소정의 실시예에서, 디바이스 프로세싱 유닛(105)은 서버를 확인하기 위해 인증 교환시에 CSN 프로세싱 유닛(133)로부터 서버 크리덴셜을 요구한다.
무선 디바이스의 아이덴티티를 설정하기 위한 CSN의 시도의 결과로, CSN 프로세싱 유닛(133)은 네트워크 인터페이스(127, 137)를 통해 ASN 프로세싱 유닛(123)에 디바이스(101)에 대한 인증 관련 정보를 표시한다. 정보가 나타내는 것은 본 실시예에 높게 의존한다. 예를 들면, 임의의 이하의 정보: 무선 디바이스의 설정된 아이덴티티(예를 들면, MAC 어드레스), 무선 디바이스가 성공적으로 인증되고 확인되는지, 인증서 폐기 목록(Certificate Revocation List; CRL) 체크가 실행되었는지, 무선 디바이스의 하드웨어 버젼, 무선 디바이스의 제조자, 디바이스 크리덴셜에서 획득된 정보, 네트워크 상호운용성 인증 적합성 등급(WiMAX 최소 인증 등급과 같은), 최상위 인증 기관의 아이덴티티, 관련 아이덴티티 정보를 포함하는 디바이스 인증서로부터의 대상 아이덴티티 또는 다른 WiMAX 특정 분야의 전체 콘텐츠, 세션 인증 키(마스터 세션 키와 같은), 허용된 서비스 품질(quality of service; QoS), 허용된 이동성 클래스, 이동성 파라미터, 및/또는 어카운팅 파라미터가 표시될 수 있다.
디바이스(101)에 대해 수신된 인증-관련 정보를 사용하여, ASN 프로세싱 유닛(123)은 디바이스(101)에 액세스를 부여할지를 판정한다. 네트워크 액세스를 판정하는데 사용될 수 있는 액세스 정책은 물론 일 실시예로부터 다음 실시예까지 달라질 것이고, 네트워크 조건에 따라 실시간으로 달라지거나 동적이 될 수도 있다. ASN 프로세싱 유닛(123)은 디바이스(101)가 액세스를 부여받았는지 여부를 디바이스 프로세싱 유닛(105)에 표시한다.
디바이스 인증 뿐만아니라, 상술한 바와 같이, CSN(131)은 소정의 실시예에서 또한 서비스 가입을 확인할 수도 있다. 디바이스-아이덴티티-기반의 가입에 대해, CSN 프로세싱 유닛(133)은 디바이스-아이덴티티-기반의 가입을 확인하기 위해 디바이스 크리덴셜로부터 획득된 디바이스 아이덴티티를 활용할 수도 있다. 사용자 인증을 포함하는 가입에 대해, CSN 프로세싱 유닛(133)은 CSN 프로세싱 유닛(133)과 디바이스 프로세싱 유닛(105) 사이에 설정되는, 암호화된 터널과 같은 암호화된 연결을 가능하게 하는 인증 교환 방법을 사용할 수도 있다.
프로세싱 유닛(133, 105)은 제2 인증 교환을 실행하기 위해 암호화된 연결을 사용한다. 제2 교환에서, CSN 프로세싱 유닛(133)은 디바이스(101)로부터 사용자 가입 크리덴셜을 요구한다. 프로세싱 유닛(105)은 실시예에 따라 사용자 이름과 암호 조합, 바이오메트릭 정보, 미리공유된 키, 및/또는 가입자 아이덴티티 정보(예를 들면, 스마트카드 또는 SIM카드)의 형식을 취할 수 있는 사용자 가입 크리덴셜을 제공한다. CSN 프로세싱 유닛(133)은 수신된 사용자 가입 크리덴셜을 사용하여 사용자 가입을 확인하는 것을 시도한다. CSN 프로세싱 유닛(133)은 ASN 프로세싱 유닛(123)에 디바이스(101)에 대해 인증-관련 정보를 표시하는 것을 진행한다.
도 3은 본 발명의 다수의 실시예에 따라, (디바이스-아이덴티티-기반의 가입에 대한) 무선 디바이스 및/또는 가입의 인증 및 확인이 발생할 수 있는 인증 교환을 도시한 신호 플로우도(300)이다. 도 5는 신호 플로우도(300)에 따라 WiMAX 실시예가 활용할 수 있는 일종의 추가적인 신호의 일례를 도시한 더 상세한 신호 플로우도(500)이다. 액세스 제공자 네트워크(액세스 제공자 네트워크(220)와 같은)를 통해 네트워크 액세스를 획득하는 것을 시도하는 무선 디바이스는 액세스를 요구하고 인증 프로세스를 시작할 일부 초기 신호를 실행한다. 일종의 초기 신호의 예는 신호 플로우도(500)에서 신호(510)에 의해 표현된다.
무선 디바이스 및 CSN은 무선 디바이스로부터의 디바이스 크리덴셜이 CSN에 의해 인증되고 확인되어 무선 디바이스의 아이덴티티를 설정하는 인증 교환(310)을 실행한다. 실시예 및/또는 상황에 따라 가까이 사용될 수 있는 다양한 인증 교환 방법들이 있다. 예를 들면, 인증 교환은 EAP-TLS(EAP - Transport Layer Security)와 같은 EAP 방법을 사용하여 실행될 수 있다. 이 예는 일반적으로 신호(520)와 신호 플로우도(500)에 의해 표현된다. CSN은 가입 확인을 또한 실행하는 경우에 대해, 디바이스-아이덴티티-기반의 가입을 확인하기 위해 디바이스 크리덴셜로부터 획득된 디바이스 아이덴티티를 사용할 수도 있다.
디바이스 및/또는 가입자 확인을 실행한 후에, CSN은 디바이스와 인증 교환에 관한 허가-관련 정보를 액세스 제공자 네트워크에 표시한다(320). 액세스 제공자 네트워크는 수신 표시에 기초하여 무선 디바이스에 액세스를 부여할지를 판정하고 네트워크 액세스가 부여받았는지의 여부를 무선 디바이스에 표시한다(330).
이러한 신호 타입의 3개의 예가 신호 플로우도(500)에 신호(530)에 의해 표현된다. 이 예에서, RADIUS(AAA 프로토콜)는 인증을 성공적으로 완성한 후에 "Access-Accept" 메시지를 보낸다. 이 메시지는 인증 서버(본 명세서에서 H-AAA)가 모든 확인 체크를 완성하고 네트워크로의 MS 액세스를 허용하는데 동의하고 있다는 것을 표시한다. RADIUS를 이용하여, 속성값 쌍(Attribute Value Pairs; AVPs)은 액세스 제공자 네트워크에 허가-관련 정보를 보내는데 사용될 수 있다.
액세스 제공자 네트워크에서의 인증자(본 명세서에서 V-AAA)는 Access-Accept 데이터를 검사하고 Access-Accept에 존재하는 디바이스 정보가 디바이스를 액세스 제공자 네트워크에 허용하는데 충분한지의 여부를 로컬 정책에 기초하여 판정할 수도 있다. 디바이스를 수락하지 않을 수 있고 인증 세션을 거부할 수 있어 디바이스가 액세스를 획득하는 것을 방지하거나, 디바이스 정보가 수락될 경우에 WiMAX 라디오 장비(ASN)에 Access-Accept를 전송하고 네트워크에 디바이스를 허용한다. 추가적으로 또는 대안적으로, ASN은 Access-Accept에 존재하는 디바이스 정보가 디바이스 액세스를 허용하는데 충분한지의 여부를 로컬 정책에 기초하여 판정할 수 있다. 따라서, V-AAA 및/또는 ASN는 인증 정책 집행자일 수도 있다.
더욱이, 신호(510)에서의 RADIUS Access-Request 신호에서, 액세스 제공자 네트워크는 하나 이상의 AVP를 사용하여 디바이스 액세스 정책을 표시하거나 디바이스 인증이 요구되는 H-AAA에 간단히 신호를 보낼 수도 있다. 예를 들면, AVP는 H-AAA가 디바이스를 성공적으로 인증할 수 없을 경우에(즉, 디바이스가 인증서를 갖고 있지 않거나 인증서가 무효인 경우), H-AAA는 인증을 수락해서는 안된다는 것을 표시한다. 이 정보를 가지면, CSN이 디바이스 인증을 실행하는데 관계하지 않고 ASN이 인증을 요구하지 않았는지를 아는 경우에 H-AAA가 디바이스 인증을 실행하지 않게 할 수 있다. AVP는 디바이스 인증이 실행되었을 경우에, 액세스 제공자 네트워크에 크리덴셜을 알리는 것을 표시할 수도 있으나(또는 대안적으로), 디바이스 인증이 실행되지 않을 경우에, 원인을 표시할 수도 있다(예를 들면, 인증서 요구에 응답이 없을 경우, 알 수 없는 인증서일 경우 등).
도 4는 본 발명의 다수의 실시예에 따라, 무선 디바이스 및 사용자 가입의 인증 및 확인이 발생할 수 있는 2개의 인증 교환을 도시한 신호 플로우도(400)이다. 도 6은 신호 플로우도(400)에 따라 WiMAX 실시예가 활용할 수도 있는 일종의 추가적인 신호의 일례를 도시한 더 상세한 신호 플로우도(600)이다. 액세스 제공자 네트워크(액세스 제공자 네트워크(220)와 같은)를 통해 네트워크 액세스를 획득하는 것을 시도하는 무선 디바이스는 초기 신호를 실행하여 액세스를 요구하고 인증 프로세스를 시작한다. 일종의 초기 신호의 예는 신호 플로우도(600)에 신호(610)에 의해 표현된다.
무선 디바이스 및 CSN은 무선 디바이스로부터의 디바이스 크리덴셜이 CSN에 의해 인증되고 확인되어 무선 디바이스의 아이덴티티를 설정하는 인증 교환(410)을 실행한다. 실시예 및/또는 상황에 따라 가까이 사용될 수 잇는 다양한 인증 교환 방법이 있다. 예를 들면, 인증 교환은 EAP-TTLS(EAP-Tunneled Transport Layer Security) 또한 PEAP(Protected EAP)와 같은 EAP 방법을 사용하여 실행될 수도 있다. 이 예는 신호 플로우도(600)에서 신호(620)에 의해 표현된다. EAP-TTLS와 PEAP 둘다는 무선 디바이스에 서버를 인증하기 위해 디지털 인증서를 활용하고, 무선 디바이스에서 디지털 인증서를 요구할 수 있는 선택사양을 제공한다. 본 발명의 바람직한 실시예에서, 이 프로토콜의 선택사양적 성향은 디바이스 크리덴셜을 검색하는데 활용되어, CSN 및 최종적으로 ASN에 의해 디바이스의 확인을 가능하게 한다.
EAP-TTLS 또는 PEAP와 같은 EAP 방법은 두 프로토콜이 제2(또는 내부) 인증 방법이 실행될 수 있는 보안 경로(즉, 암호화된 연결)를 생성하도록 의도되기 때문에, 외부 EAP 방법으로서 사용될 수도 있다(실제로, 암호화된 연결이 설정되면, 다수의 내부 인증 교환들은 암호화된 연결을 통해 실행될 수도 있다). 예를 들면, EAP-TTLS 터널이 인증 서버와 설정되면 MS는 MS-CHAP-v2(Microsoft Challenge-Handshake Authentication Protocol version 2) 사용자이름/암호-기반 인증을 실행할 수도 있다. EAP-TTLS 터널은 MS-CHAP-v2의 일부로서 사용된 챌린지 메시지와 사용자 아이덴티티의 교환을 암호화하고 무결성 체크한다.
사실, 암호화된 연결이 인증 서버와 설정되면, MS는 다수의 상이한 방법들을 사용하여 인증 교환을 실행할 수도 있다. 이들 중 일부는 CHAP(Challenge Authentication-Handshake Protocol), MS-CHAP(Microsoft Challenge-Handshake Authentication Protocol), MS-CHAP-v2(RFC 2759 참조), PAP(Password Authentication Protocol), EAP-SIM(Extensible Authentication Protocol for Global System for Mobile Communications(GSM) Subscriber Identity Modules)(RFC 4186 참조), EAP-AKA(Extensible Aithentication Protocol Method for 3rd Generation Authentication and Key Agreement)(RFC 4187 참조), 및 EAP-PSK(Extensible Authentication Protocol a Pre-shared Key EAP Method)(draft-bersani-eap-psk11.txt 참조)를 포함한다. IETF RFC(Request for Comments) 문서와 초안 문서는 http://www.ietf.org/를 통해 알 수 있다.
따라서, 인증 교환(410)의 결과로서 CSN과 무선 디바이스 사이에 암호화된 연결을 사용하여, 인증 교환(415)이 실행된다. CSN은 교환(415)동안 무선 디바이스에서 획득된 사용자 가입 크리덴셜을 사용하여 사용자 가입을 확인한다. 디바이스와 가입 확인을 실행한 후에, CSN은 디바이스와 인증 교환에 관한 허가-관련 정보를 액세스 제공자 네트워크에 표시한다(420). 액세스 제공자 네트워크는 수신 표시에 기초하여 무선 디바이스에 액세스를 부여할지를 판정하고 무선 디바이스에 네트워크 액세스가 부여되었는지 여부를 표시한다(430). 이러한 신호 타입의 3개의 예들이 신호 플로우도(600)에서 신호(630)에 의해 표현된다. RADIUS 신호에 관한 상술한 설명과 도면(500)에 관한 인증 정책 강화는 일반적으로 적용할 수 있는 도면(600)에 또한 있다(예를 들면, 신호(610, 630)).
당업자라면 본 발명의 사상과 범주에서 벗어나지 않고 상술한 특정 실시예에 다양한 수정과 변경이 만들어질 수 있다는 것을 인식할 것이다. 따라서, 상세히 상술한 특정 실시예의 논의는 제한적이거나 모두 포괄하기 보다는 설명적이고 예시적으로 간주될 것이고, 상술한 특정 실시예의 모든 변경은 본 발명의 범주 내에 포함되도록 의도된다.
본 발명의 이익, 다른 이점 및 문제에 대한 해결책은 특정 실시예에 관해 상술했다. 그러나, 상술한 이익, 이점, 문제에 대한 해결책, 및 이러한 이익, 이점, 또는 해결책을 야기하거나, 이익, 이점, 또는 해결책이 더 명백해지게 하는 어느 요소도 청구 범위의 일부 또는 모두의 필수적인 특징 또는 요소로서 해석되지 않는다.
본 명세서와 첨부된 청구 범위에 사용된 바와 같은, "포함한다(comprises)", "포함하는(comprising)" 또는 그의 다른 변경된 용어는 비배타적 포함을 지칭하는 것으로서, 요소 목록을 포함하는 프로세스, 방법, 제조물, 또는 장치가 목록에서의 요소만을 포함하지 않으며, 프로세스, 방법, 제조물 또는 장치 본래의 또는 명시적으로 목록에 실리지 않은 다른 엘리먼트를 포함할 수도 있다. 본 명세서에 사용된 하나(a 또는 an)라는 용어는 하나 이상으로 정의된다. 본 명세서에 사용된 복수(plurality)라는 용어는 둘 이상으로 정의된다. 본 명세서에 사용된 다른이라는 용어는 적어도 둘 이상으로 정의된다. 본 명세서에 달리 기술되지 않았다면, 제1 및 제2 등과 같은 관계형 용어는 일 개체 또는 다른 개체로부터의 동작을 구분하기 위해 사용된 것으로서, 개체 또는 동작 간에 실제의 관계 또는 순서를 반드시 필요로 하거나 내포하지 않고 사용된 것이다.
본 명세서에 사용된 포함하는(including) 및/또는 갖는(having)이라는 용어는, 포함하는(comprising)(즉, 개방 언어)으로 정의된다. 본 명세서에 사용된 결합된(coupled)이라는 용어는 반드시 직접적으로 또한 기계적으로 연결되지 않는다고 할지라도, 연결된 것으로서 정의된다. "표시하는(indicating)"이라는 단어에서 파생된 용어(예를 들면, "표시한다(indicates)" 및 "표시(indication)")는 표시되는 객체로 통하거나 참조할 수 있는 모든 다양한 기술을 포괄하고자 한다. 표시되는 객체로 통하거나 참조할 수 있는 기술의 전부가 아닌 일부의 예는 표시되는 객체의 전달, 표시되는 개체의 식별자의 전달, 표시되는 개체를 생성하는데 사용되는 정보의 전달, 표시되는 개체의 일부 또는 부분의 전달, 표시되는 개체의 파생물의 전달, 및 표시되는 객체를 표현하는 심볼의 전달을 포함한다. 본 명세서에 사용된 프로그램, 컴퓨터 프로그램, 및 컴퓨터 명령어는 컴퓨터 시스템에 실행하기 위해 설계된 명령어의 시퀀스로 정의된다. 명령어의 시퀀스는 서브루틴, 기능, 프로시져, 객체 방법, 객체 구현, 실행가능한 애플리케이션, 애플릿, 서브렛, 객체 코드, 공유된 라이브러리/동적 로드 라이브러리, 소스 코드, 객체 코드 및/또는 어셈블리 코드를 포함할 수도 있으며, 이에 한정되지 않는다.

Claims (19)

  1. 액세스 서비스 네트워크(access service network; ASN)로의 액세스를 부여하기 전에 연결 서비스 네트워크(connectivity service network; CSN)에 의해 무선 디바이스를 인증하는 방법으로서,
    상기 ASN을 통해 상기 CSN에 의해 디바이스 크리덴셜(credential)이 요구되는 무선 디바이스와 인증 교환을 실행하는 단계;
    상기 CSN에 의해 상기 무선 디바이스의 아이덴티티를 설정하는 단계 - 아이덴티티를 설정하는 단계는 디바이스 크리덴셜이 상기 무선 디바이스로부터 획득되는 경우에, 상기 디바이스 크리덴셜을 인증하고 확인하는 것을 포함한다 - ;
    상기 CSN은, 상기 무선 디바이스의 설정된 아이덴티티, 상기 무선 디바이스가 성공적으로 인증되고 확인되었는지, 인증서 폐기 목록(Certificate Revocation List; CRL) 체크가 실행되었는지, 상기 무선 디바이스의 하드웨어 버전, 상기 무선 디바이스의 제조자, 상기 디바이스 크리덴셜로부터 획득된 정보, 네트워크 상호운용성 인증 적합성 등급, 최상위 인증 기관의 아이덴티티, 및 세션 인증키 중 적어도 하나를 ASN을 위한 인증자에게 표시하는 단계
    를 포함하는 무선 디바이스 인증 방법.
  2. 제1항에 있어서,
    상기 CSN은 홈 - 인증, 허가 및 어카운팅 서버(Home - Authentication, Authorization and Accounting Server; H-AAA)를 포함하고 상기 ASN을 위한 인증자는 방문 - 인증, 허가 및 어카운팅 서버(Visited - Authentication, Authorization and Accounting Proxy Server; V-AAA)를 포함하는 무선 디바이스 인증 방법.
  3. 제1항에 있어서,
    상기 인증 교환을 실행하는 단계는 확장 가능 인증 프로토콜(Extensible Authentication Protocol; EAP) 방법을 사용하여 상기 인증 교환을 실행하는 단계를 포함하는 무선 디바이스 인증 방법.
  4. 제3항에 있어서,
    사용된 상기 EAP 방법은 EAP-TLS(EAP - Transport Layer Security)인 무선 디바이스 인증 방법.
  5. 제1항에 있어서,
    상기 인증 교환의 결과로서 CSN과 무선 디바이스 사이에 암호화된 연결을 설정하는 단계;
    디바이스-아이덴티티-기반의 가입을 확인하기 위해 상기 디바이스 크리덴셜로부터 획득된 디바이스 아이덴티티를 활용하는 단계
    를 더 포함하고,
    ASN를 위한 인증자에게 표시하는 단계는 상기 디바이스-아이덴티티-기반의 가입을 성공적으로 확인하는 것에 응답하여 표시하는 단계를 포함하는 무선 디바이스 인증 방법.
  6. 제1항에 있어서,
    상기 인증 교환의 결과로서 CSN과 무선 디바이스 사이에 암호화된 연결을 설정하는 단계;
    상기 암호화된 연결을 통해 CSN에 의해, 사용자 가입 크리덴셜이 요구되는 상기 무선 디바이스와 제2 인증 교환을 실행하는 단계;
    획득된 상기 사용자 가입 크리덴셜을 사용하여 사용자 가입을 확인하는 단계
    를 더 포함하고,
    ASN를 위한 인증자에게 표시하는 단계는 상기 사용자 가입을 성공적으로 확인한 것에 응답하여 표시하는 단계를 포함하는 무선 디바이스 인증 방법.
  7. 제6항에 있어서,
    인증 교환을 실행하는 단계는 EAP 방법을 사용하여 상기 인증 교환을 실행하는 단계를 포함하고,
    사용된 상기 EAP 방법은 EAP-TTLS(EAP-Tunneled Transport Layer Security)과 PEAP(Protected EAP) 중 하나인 무선 디바이스 인증 방법.
  8. 제6항에 있어서,
    상기 암호화된 연결을 통해 CSN에 의해, 상기 제2 인증 교환을 실행하는 단계는
    CHAP(Challenge Authentication-Handshake Protocol), MS-CHAP(Microsoft Challenge-Handshake Authentication Protocol), MS-CHAP-v2(RFC 2759 참조), PAP(Password Authentication Protocol), EAP-SIM(Extensible Authentication Protocol for Global System for Mobile Communications(GSM) Subscriber Identity Modules)(RFC 4186 참조), EAP-AKA(Extensible Aithentication Protocol Method for 3rd Generation Authentication and Key Agreement)(RFC 4187 참조), 및 EAP-PSK(Extensible Authentication Protocol a Pre-shared Key EAP Method)(draft-bersani-eap-psk11.txt 참조) 중 적어도 하나를 사용하여 상기 제2 인증 교환을 실행하는 단계를 포함하는 무선 디바이스 인증 방법.
  9. 제6항에 있어서,
    상기 사용자 가입 크리덴셜은 사용자 이름과 암호 조합, 바이오메트릭 정보, 가입자 아이덴티티 정보, 및 미리공유된 키 중 적어도 하나를 포함하는 무선 디바이스 인증 방법.
  10. ASN으로의 액세스를 부여하기 전에 CSN에 의해 무선 디바이스를 인증하는 방법으로서,
    ASN을 통해 상기 무선 디바이스에 의해, 상기 무선 디바이스에 의해 디바이스 크리덴셜이 제공된 CSN과 제1 인증 교환 - 상기 제1 인증 교환은 상기 CSN과 상기 무선 디바이스 사이에 암호화된 연결을 만듬 - 을 실행하는 단계;
    상기 암호화된 연결을 통해 상기 무선 디바이스에 의해, 상기 무선 디바이스에 의해 사용자 가입 크리덴셜이 제공되는 CSN과 제2 인증 교환을 실행하는 단계;
    제1과 제2 인증 교환의 결과로서 상기 무선 디바이스에 의해, 상기 무선 디바이스가 ASN으로의 액세스를 부여받았는지의 표시를 수신하는 단계
    를 포함하는 무선 디바이스 인증 방법.
  11. 제10항에 있어서,
    상기 제1 인증 교환을 실행하는 단계는 상기 무선 디바이스에 의해 서버 크리덴셜이 요구된 CSN과 제1 인증 교환을 실행하는 단계를 포함하는 무선 디바이스 인증 방법.
  12. 제10항에 있어서,
    상기 제1 인증 교환을 실행하는 단계는
    EAP 방법을 사용하여 상기 인증 교환을 실행하는 단계를 포함하고,
    사용된 상기 EAP 방법은 EAP-TTLS 및 PEAP 중 하나인 무선 디바이스 인증 방법.
  13. 제10항에 있어서,
    상기 제2 인증 교환을 실행하는 단계는
    CHAP(Challenge Authentication-Handshake Protocol), MS-CHAP(Microsoft Challenge-Handshake Authentication Protocol), MS-CHAP-v2(RFC 2759 참조), PAP(Password Authentication Protocol), EAP-SIM(Extensible Authentication Protocol for Global System for Mobile Communications(GSM) Subscriber Identity Modules)(RFC 4186 참조), EAP-AKA(Extensible Aithentication Protocol Method for 3rd Generation Authentication and Key Agreement)(RFC 4187 참조), 및 EAP-PSK(Extensible Authentication Protocol a Pre-shared Key EAP Method)(draft-bersani-eap-psk11.txt 참조) 중 적어도 하나를 사용하여 상기 제2 인증 교환을 실행하는 단계를 포함하는 무선 디바이스 인증 방법.
  14. 제10항에 있어서,
    상기 사용자 가입 크리덴셜은 사용자 이름과 암호 조합, 바이오메트릭 정보, 가입자 아이덴티티 정보, 및 미리공유된 키 중 적어도 하나를 포함하는 무선 디바이스 인증 방법.
  15. 액세스 서비스 네트워크(ASN)로의 액세스를 부여하기 전에 연결 서비스 네트워크(CSN)에 의해 무선 디바이스를 인증하는 방법으로서,
    상기 ASN을 포함하는, 액세스 제공자 네트워크에 의해, 상기 CSN에게 상기 무선 디바이스를 인증하도록 요구하는 단계;
    상기 액세스 제공자 네트워크가 상기 무선 디바이스의 설정된 아이덴티티, 상기 무선 디바이스가 성공적으로 인증되고 확인되었는지, CRL이 실행되었는지, 상기 무선 디바이스의 하드웨어 버전, 상기 무선 디바이스의 제조자, 상기 디바이스 크리덴셜에서 획득된 정보, 네트워크 상호운용성 인증 적합성 등급, 최상위 인증 기관의 아이덴티티, 및 세션 인증키 중 적어도 하나의 표시를 CSN으로부터 수신하는 단계;
    액세스 제공자 네트워크에 의해, 수신 표시에 기초하여 상기 무선 디바이스에 액세스를 부여하는지를 판정하는 단계;
    상기 무선 디바이스가 액세스를 부여받았는지를 ASN에 의해 상기 무선 디바이스에 표시하는 단계
    를 포함하는 무선 디바이스 인증 방법.
  16. 제15항에 있어서,
    CSN에게 상기 무선 디바이스를 인증하도록 요구하는 단계는 디바이스 인증이 요구되는지와 상기 액세스 제공자 네트워크의 디바이스 액세스 정책 중 적어도 하나를 표시하는 단계를 포함하는 무선 디바이스 인증 방법.
  17. 제15항에 있어서,
    상기 액세스 제공자 네트워크는 ASN과 방문 네트워크 인증자를 포함하고, 상기 수신 표시에 기초하여 상기 무선 디바이스에 액세스를 부여할지를 판정하는 단계는 ASN과 방문 네트워크 인증자 중 적어도 하나에 의해, 디바이스 액세스 정책을 사용하여 상기 무선 디바이스에 액세스를 부여할지를 판정하는 단계를 포함하는 무선 디바이스 인증 방법.
  18. 제17항에 있어서,
    상기 CSN은 H-AAA를 포함하고 상기 방문 네트워크 인증자는 V-AAA를 포함하는 무선 디바이스 인증 방법.
  19. 무선 디바이스로서,
    송수신기; 및
    상기 송수신기에 통신으로 연결된 프로세싱 유닛을 포함하고,
    상기 프로세싱 유닛은
    상기 송수신기와 ASN을 통해, 상기 무선 디바이스에 의해 디바이스 크리덴셜이 제공되는 CSN과의 제1 인증 교환 - 상기 제1 인증 교환은 상기 CSN과 상기 무선 디바이스 사이에 암호화된 연결을 생성함 - 을 실행하고,
    상기 송수신기 및 상기 암호화된 연결을 통해, 상기 무선 디바이스에 의해 사용자 가입 크리덴셜이 제공되는 CSN과의 제2 인증 교환을 실행하며,
    상기 송수신기를 통해 제1 및 제2 인증 교환의 결과로서, 상기 무선 디바이스가 ASN로의 액세스를 부여받았는지의 표시를 수신하는,
    무선 디바이스.
KR1020097009104A 2006-11-03 2007-10-15 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증 KR20090093943A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/556,408 2006-11-03
US11/556,408 US20080108322A1 (en) 2006-11-03 2006-11-03 Device and / or user authentication for network access

Publications (1)

Publication Number Publication Date
KR20090093943A true KR20090093943A (ko) 2009-09-02

Family

ID=39360280

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097009104A KR20090093943A (ko) 2006-11-03 2007-10-15 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증

Country Status (4)

Country Link
US (1) US20080108322A1 (ko)
KR (1) KR20090093943A (ko)
CN (1) CN101536480A (ko)
WO (1) WO2008057715A1 (ko)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE540372T1 (de) * 2003-11-07 2012-01-15 Telecom Italia Spa Methode und system zum authentifizieren eines benutzers eines datenverarbeitungssystems
DE102006038591B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US10068421B2 (en) * 2006-11-16 2018-09-04 Cfph, Llc Using a first device to verify whether a second device is communicating with a server
US7942738B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a gaming device is in communications with a gaming server
US7942740B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device
US7942741B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying whether a device is communicating with a server
US8012015B2 (en) 2006-11-15 2011-09-06 Cfph, Llc Verifying whether a gaming device is communicating with a gaming server
US7942739B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server
US7942742B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Accessing identification information to verify a gaming device is in communications with a server
US20080123621A1 (en) * 2006-11-29 2008-05-29 Alexander Bachmutsky High speed access broadcast system solution
KR20080050937A (ko) * 2006-12-04 2008-06-10 삼성전자주식회사 인증 수행 방법 및 그 장치
US20080139205A1 (en) * 2006-12-08 2008-06-12 Motorola, Inc. Method and apparatus for supporting handover in a communication network
EP2127401A4 (en) * 2007-01-22 2012-12-26 Nortel Networks Ltd INTERWORKING BETWEEN A FIRST AND A SECOND AUTHENTICATION DOMAIN
US8200191B1 (en) * 2007-02-08 2012-06-12 Clearwire IP Holdings Treatment of devices that fail authentication
US8170529B1 (en) * 2007-02-08 2012-05-01 Clearwire Ip Holdings Llc Supporting multiple authentication technologies of devices connecting to a wireless network
US8781441B1 (en) * 2007-02-08 2014-07-15 Sprint Communications Company L.P. Decision environment for devices that fail authentication
US8064598B2 (en) * 2007-02-26 2011-11-22 Nokia Corporation Apparatus, method and computer program product providing enforcement of operator lock
US8050242B2 (en) * 2007-03-01 2011-11-01 Clear Wireless Llc Method and system for tailoring device provisioning based on device capability information communicated to network
US8095816B1 (en) 2007-04-05 2012-01-10 Marvell International Ltd. Processor management using a buffer
US8443187B1 (en) 2007-04-12 2013-05-14 Marvell International Ltd. Authentication of computing devices in server based on mapping between port identifier and MAC address that allows actions-per-group instead of just actions-per-single device
CN101325801B (zh) * 2007-06-12 2013-05-01 北京三星通信技术研究有限公司 Wimax网络中定位业务认证和授权检查的方法和装置
US8811956B2 (en) * 2007-06-14 2014-08-19 Intel Corporation Techniques for lawful interception in wireless networks
US8321706B2 (en) 2007-07-23 2012-11-27 Marvell World Trade Ltd. USB self-idling techniques
EP2023565A1 (en) * 2007-08-10 2009-02-11 Nokia Siemens Networks Oy Method and device for data interception and communication system comprising such device
US9198033B2 (en) * 2007-09-27 2015-11-24 Alcatel Lucent Method and apparatus for authenticating nodes in a wireless network
WO2009079869A1 (fr) * 2007-12-25 2009-07-02 Zte Corporation Dispositif de terminal avec carte et station séparées basé sur un système wimax
US8516133B2 (en) * 2008-02-07 2013-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for mobile device credentialing
MX2010012919A (es) * 2008-05-30 2010-12-20 Zte Usa Inc Metodo y sistema de negociacion y autorizacion de capacidad de servicio de ethernet.
US20090300726A1 (en) * 2008-05-30 2009-12-03 Zte (Usa), Inc. Ethernet service capability negotiation and authorization method and system
US8510560B1 (en) 2008-08-20 2013-08-13 Marvell International Ltd. Efficient key establishment for wireless networks
US8548467B2 (en) * 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
KR101595043B1 (ko) * 2008-09-18 2016-02-17 마벨 월드 트레이드 리미티드 적어도 부분적으로 부팅 동안에 어플리케이션들을 메모리에 프리로딩하는 방법
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
US8181030B2 (en) * 2008-12-02 2012-05-15 Electronics And Telecommunications Research Institute Bundle authentication system and method
US9049595B2 (en) 2008-12-11 2015-06-02 Microsoft Technology Licensing, Llc Providing ubiquitous wireless connectivity and a marketplace for exchanging wireless connectivity using a connectivity exchange
US8683073B2 (en) * 2008-12-11 2014-03-25 Microsoft Corporation Participating with and accessing a connectivity exchange
CN102272734B (zh) * 2009-01-05 2014-09-10 马维尔国际贸易有限公司 使用非易失性存储器设备用于休眠或挂起的方法和系统
EP2540057A2 (en) * 2010-02-26 2013-01-02 General instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
US8645699B2 (en) 2010-03-15 2014-02-04 Blackberry Limited Use of certificate authority to control a device's access to services
EP2367371A1 (en) * 2010-03-15 2011-09-21 Research In Motion Limited Use of certificate authority to control a device's access to servies
US8566926B1 (en) 2010-03-18 2013-10-22 Sprint Communications Company L.P. Mobility protocol selection by an authorization system
US8340292B1 (en) 2010-04-01 2012-12-25 Sprint Communications Company L.P. Lawful intercept management by an authorization system
US9450928B2 (en) * 2010-06-10 2016-09-20 Gemalto Sa Secure registration of group of clients using single registration procedure
WO2013015729A1 (en) * 2011-07-27 2013-01-31 Telefonaktiebolaget L M Ericsson (Publ) Mediation server, control method therefor, subscription information managing apparatus, control method therefor, subscription management server, and control method therefor
US9141394B2 (en) 2011-07-29 2015-09-22 Marvell World Trade Ltd. Switching between processor cache and random-access memory
US9436629B2 (en) 2011-11-15 2016-09-06 Marvell World Trade Ltd. Dynamic boot image streaming
US20130275760A1 (en) * 2012-04-17 2013-10-17 Qualcomm Incorporated Method for configuring an internal entity of a remote station with a certificate
US9575768B1 (en) 2013-01-08 2017-02-21 Marvell International Ltd. Loading boot code from multiple memories
US8943557B2 (en) 2013-01-24 2015-01-27 Bank Of America Corporation Enrollment of user in device identification program
US8990568B2 (en) 2013-01-24 2015-03-24 Bank Of America Corporation Mobile device enrollment for online banking transactions
US8869306B2 (en) 2013-01-24 2014-10-21 Bank Of America Corporation Application usage in device identification program
US9736801B1 (en) 2013-05-20 2017-08-15 Marvell International Ltd. Methods and apparatus for synchronizing devices in a wireless data communication system
US9521635B1 (en) 2013-05-21 2016-12-13 Marvell International Ltd. Methods and apparatus for selecting a device to perform shared functionality in a deterministic and fair manner in a wireless data communication system
US9836306B2 (en) 2013-07-31 2017-12-05 Marvell World Trade Ltd. Parallelizing boot operations
US9603019B1 (en) 2014-03-28 2017-03-21 Confia Systems, Inc. Secure and anonymized authentication
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
DE102015211345A1 (de) * 2015-06-19 2016-12-22 Siemens Aktiengesellschaft Netzwerkgerät und Verfahren zum Zugriff einer Netzwerkkomponente auf ein Datennetz
US10484359B2 (en) 2015-07-25 2019-11-19 Confia Systems, Inc. Device-level authentication with unique device identifiers
US9602292B2 (en) 2015-07-25 2017-03-21 Confia Systems, Inc. Device-level authentication with unique device identifiers
US10171439B2 (en) 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
JP2019508763A (ja) * 2016-01-29 2019-03-28 グーグル エルエルシー ローカルデバイス認証
US10979412B2 (en) 2016-03-08 2021-04-13 Nxp Usa, Inc. Methods and apparatus for secure device authentication
WO2018137873A1 (en) * 2017-01-27 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Secondary authentication of a user equipment
CN110234112B (zh) * 2018-03-05 2020-12-04 华为技术有限公司 消息处理方法、系统及用户面功能设备
CN115022864B (zh) * 2022-05-27 2023-07-21 中移互联网有限公司 订购业务的验证方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030130960A1 (en) * 2001-11-28 2003-07-10 Fraser John D. Bridging service for security validation within enterprises
WO2003067439A1 (en) * 2002-02-04 2003-08-14 Flarion Technologies, Inc. A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity
US7046647B2 (en) * 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
US9686669B2 (en) * 2004-04-08 2017-06-20 Nokia Technologies Oy Method of configuring a mobile node

Also Published As

Publication number Publication date
US20080108322A1 (en) 2008-05-08
CN101536480A (zh) 2009-09-16
WO2008057715A1 (en) 2008-05-15

Similar Documents

Publication Publication Date Title
KR20090093943A (ko) 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증
JP5199405B2 (ja) 通信システムにおける認証
EP1897268B1 (en) Method for refreshing a pairwise master key
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
US8630414B2 (en) Inter-working function for a communication system
US8176327B2 (en) Authentication protocol
US20230070253A1 (en) Methods and systems for authenticating devices using 3gpp network access credentials for providing mec services
US20110302643A1 (en) Mechanism for authentication and authorization for network and service access
US20090217048A1 (en) Wireless device authentication between different networks
EP1992185A2 (en) Fast re-authentication method in umts
US20080148044A1 (en) Locking carrier access in a communication network
KR101025083B1 (ko) 확장가능 인증 프로토콜에서의 인증함수 식별 방법
El Bouabidi et al. Fast and secure handover into visited wlan networks
KR101068426B1 (ko) 통신시스템을 위한 상호동작 기능

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application