KR20090118924A - 통신 네트워크들 내에서의 인증 - Google Patents

통신 네트워크들 내에서의 인증 Download PDF

Info

Publication number
KR20090118924A
KR20090118924A KR1020097016614A KR20097016614A KR20090118924A KR 20090118924 A KR20090118924 A KR 20090118924A KR 1020097016614 A KR1020097016614 A KR 1020097016614A KR 20097016614 A KR20097016614 A KR 20097016614A KR 20090118924 A KR20090118924 A KR 20090118924A
Authority
KR
South Korea
Prior art keywords
database
subscriber
bootstrapping
authentication
processing unit
Prior art date
Application number
KR1020097016614A
Other languages
English (en)
Other versions
KR101123346B1 (ko
Inventor
실케 홀트만스
블라디미르 바쉬키로프
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20090118924A publication Critical patent/KR20090118924A/ko
Application granted granted Critical
Publication of KR101123346B1 publication Critical patent/KR101123346B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

가입자와 관련된 인증 부트스트랩핑 요구를 수신하는 과정과, 가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하는 과정과, 보안 설정 데이터베이스로부터 상기 가입자의 보안 설정을 요구하는 과정과, 상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하는 과정과, 수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하는 과정을 포함하는 방법을 개시한다. 또한, 관련된 장치, 시스템 및 컴퓨터 프로그램들을 개시한다.

Description

통신 네트워크들 내에서의 인증{Authentication in communication networks}
본 발명은 일반적으로 통신 네트워크들 내에서의 인증에 관한 것이다.
통신 네트워크들 내에서 통신이 더 발생할 수 있기 전에, 많은 애플리케이션은 클라이언트(최종사용자 장치 또는 사용자 장치(UE; user equipment))와 애플리케이션 서버 간의 인증을 위한 필요성을 공유하고 있다. 피어(peer; 동등) 인증 메카니즘을 제공하기 위해, 3GPP(3G Partnership Project)는 일반 인증 구조(Generic Authentication Architecture; GAA)와 일반 부트스트래핑 구조(Generic Bootstrapping Architecture; GBA)를 정의한다. GAA/GBA는 어느(현재와 장래) 애플리케이션에 대하여 선험적으로 도움이 될 수 있는 피어 인증을 위한 일반적인 구조를 기술한다. GAA/GBA는 3GPP를 위한 모바일 알고리즘 AKA(Authentication and Key Agreement; 인증 및 키 협약)과 3GPP2를 위한 챌린지 핸드셰이크 인증 규약(Challenge Handshake Authentication Protocol; CHAP)과 셀룰러 인증 및 음성 암호화(Cellular Authentication and Voice Encryption; CAVE)를 기반으로 한다. 부가하여 Cable Labs에 의해 정의된 GAA/GBA의 사용자 이름/패스워드 변형이 있다.
GAA/GBA는 홈 가입자 시스템(Home Subscriber System; HSS)과 다이어미터 액세스(diameter access)와 함께 사용되도록 기술되어 있다. 부트스트래핑 서버 기 능(Bootstrapping Server Function; BSF)으로 칭하는 새로운 네트워크 요소가 GAA/GBA에서 소개된다. 이 BSF는 HSS와의 다이어미터 베이스 인터페이스를 갖는다. GAA/GBA의 부트스트래핑 절차는 3GGP TS29.109 v 7.4.0에서 기술되어 있다.
도 1은 3GPP 사양에 따른 GAA/GBA 시스템(100)을 단순화시킨 블록도를 도시한다. 이 시스템은 부트스트래핑 서버 기능(BSF)(102)에 대한 Ub 인터페이스와, 애플리케이션 서버(네트워크 애플리케이션 기능; NAF)(105)에 대한 Ua 인터페이스를 갖는 사용자 장치(UE)(101)를 포함한다. BSF(102)는 홈 가입자 시스템(HSS)(103)과는 Zh 인터페이스를 가지며, 서버 위치 탐사기 기능(SLF)(104)과는 Dz 인터페이스, NAF(105)와는 Zn 인터페이스를 갖는다.
도 2는 도 1의 시스템에서 3GPP 사양에 따른 GAA/GBA 부트스트래핑 절차를 설명하는 메시징도를 도시한다. 첫 번째로 UE는 UE의 사용자의 IMPI(IMS Private User Identity)를 포함하는 부트스트래핑 요구(2-1)를 전송함으로써 Ub 인터페이스를 통하여 BSF와의 부트스트래핑 절차를 시작한다.
BSF는 UE의 사용자의 IMPI를 포함하는 멀티미디어 인증 요구(2-2)를 전송함으로써 Zh 인터페이스를 통하여 사용자의 HSS로부터 사용자 인증 벡터(AV)와 GBA 사용자 보안 설정(GBA User Security Settings; GUSS)을 요구한다. 멀티미디어 인증 요구는 MAR(Multimedia-Auth-Request) 메시지의 포맷으로 전송된다. HSS는 인증 벡터를 생성하여 단계(2-3)에서 GUSS를 페치하여 가져온 후, GUSS와 인증 벡터를 포함하는 멀티미디어 인증 응답(2-4)을 BSF에 공급한다. 멀티미디어 인증 응답은 MAR(Multimedia-Auth-Request) 메시지의 포맷으로 전송된다. 3GPP에서, 인증벡터는 인증에서의 무작위 수하(random challenge in authentication; RAND), 인증 토큰(authentication token; AUTN), 인증에서 예상된 응답(expected response in authentication; XRES), 비밀키(CK) 및 무결성 키(IK)를 포함한다.
네트워크에 복수의 HSS가 배치되어 있는 경우, BSF는 멀티미디어 인증 요구(2-2)를 송부하기 전에 특정 사용자를 위해 어느 HSS가 연결되어야 하는지를 알기 위하여 Dz 인터페이스를 통하여 SLF(104)와 접촉할 수도 있다. SLF는 요구에 대한 응답으로서 관련된 HSS에 대한 어드레스를 리턴할 수 있다.
BSF는 2-5 단계에서 IMPI에 대한(IMPI, 키 자료 및 GUSS를 포함하는)부트스트래핑 정보 튜플을 저장하고, 부트스트랩핑 응답(2-6)을 UE로 송부한다. 그 후, BSF와 UE는 Ub 인터페이스를 통하여 부트스트래핑 절차를 계속 수행한다.
NAF(105)는 Zn 인터페이스를 통하여 BSF(102)로부터 인증정보(BSF에 저장된 키 자료)를 가져올 수 있으며, 그것에 의해, Ua 인터페이스를 통하여 애플리케이션 세션의 시작에서 UE(101)를 인증하거나, 통신을 보증하기 위해 수신된 키 자료를 사용할 수도 있다.
일부 통신 네트워크 운용자들이 GAA/GBA에서 갖는 문제점은 그들이 다이어미터 베이스 액세스를 갖는 HSS를 (아직) 갖지 못한다는 것이다. 그것에 의해 그들은 3GPP 사양에 따라 GAA/GBA 운용할 수 없다.
본 발명의 제1태양에 의한 방법은,
가입자와 관련된 인증 부트스트랩핑 요구를 수신하는 과정;
가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하는 과정;
보안 설정 데이터베이스로부터 상기 가입자의 보안 설정을 요구하는 과정;
상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하는 과정; 및
수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하는 과정을 포함함을 특징으로 한다.
가입자는 하나의 사용자를 의미할 수 있으며 즉, 용어로서 가입자는 사용자와 동일할 수 있다. 대안으로 가입자는 특정 사용자에 한정될 필요는 없다. 예컨대, 회사는 복수의 사용자가 이용할 수 있도록 가입할 수 있다. 사양은 일반적으로 사용자를 용어로 사용하지만, 실제로는 종종 가입자를 의미한다.
본 발명의 제1 실시예에서, 상기 인증 정보는 예컨대, MAP/SS7 인터페이스일 수도 있는 비-다이어미터(non-diameter) 인터페이스를 통하여 가입자 데이터베이스로부터 요구받을 수 있다.
상기 방법은 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 어느 하나에 대한 어드레스 정보를 어드레스 저장장치로부터 요구하는 과정을 더 포함할 수 있다.
보안 설정 데이터베이스는 예컨대 GUSS(GBA 사용자 보안 설정) 데이터베이스일 수 있으며, 가입자 데이터베이스는 예컨대 홈 위치 레지스터 또는 방문자 위치 레지스터일 수 있다.
본 발명의 제2 태양에 의하면, 부트스트래핑 구성요소는,
가입자와 관련된 인증 부트스트래핑 요구를 수신하기 위해 작동할 수 있는 입력부; 및 프로세싱 유닛을 포함하며, 상기 프로세싱 유닛은,
가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하고,
보안 설정 데이터베이스로부터 상기 가입자의 보안 설정을 요구하며,
상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하고,
수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하기 위해 구성된 것이다.
본 발명의 제3 태양에 의하면, 보안 설정 데이터베이스는,
복수의 가입자들과 관련된 보안 설정을 저장하기 위해 작동 가능한 저장 매체; 및
부트스트래핑 구성요소와 함께 작동하며, 요구에 응답하여 특정 가입자와 관련된 보안 설정들을 상기 부트스트래핑 구성요소에 공급하기 위해 구성된 프로세싱 유닛을 포함함이 바람직하다.
본 발명의 제4 태양에 의한 어드레스 저장장치 구성요소는,
복수의 가입자들을 위한 관련된 보안 설정 데이터베이스의 어드레스 정보를 저장하기 위해 작동 가능한 저장 매체; 및
부트스트래핑 구성요소와 함께 작동하며, 요구에 응답하여 특정 가입자와 관련된 보안 설정 데이터베이스의 어드레스 정보를 상기 부트스트래핑 구성요소에 공급하기 위해 구성된 프로세싱 유닛을 포함함이 바람직하다.
본 발명의 실시예에 있어서,
어드레스 저장장치의 저장 매체는 복수의 가입자를 위한 관련된 가입자 데이터베이스의 어드레스 정보를 저장하기 위해 더 작동할 수 있으며, 상기 프로세싱 유닛은 요구에 응답하여 특정 가입자와 관련된 가입자 데이터베이스의 어드레스 정보를 부트스트래핑 구성요소에 공급하기 위해 더 구성된 유닛임이 바람직하다.
본 발명의 제5 태양에 의한 시스템은,
복수의 가입자들에 관련된 인증 정보를 저장하기 위해 작동 가능한 가입자 데이터베이스;
복수의 가입자들과 관련된 보안 설정을 저장하기 위해 작동 가능한 보안 설정 데이터베이스; 및
상기 가입자 데이터베이스와 보안 설정 데이터베이스와 함께 작동 가능한 부트스트래핑 구성요소를 포함하며, 상기 부트스트래핑 구성요소는,
가입자와 관련된 인증 부트스트래핑 요구를 수신하기 위한 입력부; 및 프로세싱 유닛을 포함하며, 상기 프로세싱 유닛은,
상기 가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하고,
상기 보안 설정 데이터베이스로부터 상기 가입자의 보안 설정들을 요구하며,
상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하고,
수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하기 위해 구성됨을 특징으로 한다.
상기 시스템은,
복수의 가입자들을 위해, 관련된 보안 설정 데이터베이스와 관련된 가입자 데이터베이스 중의 적어도 하나의 어드레스 정보를 저장하기 위한 어드레스 저장장치 구성요소; 를 포함하며,
상기 어드레스 저장장치 구성요소와 함께 작동하며, 상기 가입자와 관련된 상기 가입자 데이터베이스와 상기 보안 설정 데이터베이스 중의 적어도 하나의 어드레스 정보를 상기 어드레스 저장장치 구성요소로부터 요구하기 위해 상기 부트스트래핑 구성요소의 상기 프로세싱유닛이 더 구성됨이 바람직하다.
본 발명의 제6 태양에 의하면, 제1 태양의 방법을 장치가 수행할 수 있도록 적용된 실행 가능한 컴퓨터 프로그램 코드를 포함하는 메모리 매체가 제공된다.
본 발명의 몇몇 실시예로서 성취될 수 있는 이점은 네트워크 운용자들이 3GPP 사양에 의한 GBA(일반 부트스트래핑 구조; General Bootstrapping Architecture)를 사용할 수 있게 하고, 3G 스마트 카드 또는 HSS 사용으로 이동할 필요없이 구체적으로는 "구(old)" HLR과 새로운 BSF를 갖는 3GPP TS 33.920 v.7.1.0에 의한 SIM 기반 GBA를 사용할 수 있게 한다는 것이다. 그러므로 운용자는 네트워크에서 최소한의 변경으로 GBA를 사용할 수 있는 것이다. 업테이트된 데이터베이스가 예상된 방식으로 즉각적으로 작동하지 못할 수 있기 때문에, HLR 같은 거대한 데이터베이스를 HSS로 업데이팅하는 것이 주된 노력인 동시에 모험일 수 있다. 이는 네트워크가 콜을 연결할 수 없는 결과를 초래할 수 있으며, 이 때문에 네트워크 운용자들은 네트워크에 대한 변경을 최소화시키는 것을 선호한다.
하나의 태양에 관련된 하나의 실시예의 요지가 적용될 수 있는 어떤 다른 태양 또는 실시예와 결합될 수 있는 것으로 인정되어야 할 것이다.
도 1은 종래 기술에 의한 시스템을 도시한 도면이다.
도 2는 종래 기술에 의한 메시징도를 도시한다.
도 3은 본 발명의 실시예에 의한 시스템을 도시한 도면이다.
도 4는 본 발명의 하나의 실시예에 의한 메시징도를 도시한다.
도 5는 본 발명의 하나의 실시예에 의한 메시징도를 도시한다.
도 6은 본 발명의 다양한 실시예들을 실행하는데 적합한 장치를 도시한 블록도이다.
도 1 및 도 2는 종래 기술과 관련하여 위에서 상술되었다. 다음 기재에서 같은 번호는 같은 구성요소를 나타낸다.
도 3은 본 발명의 실시예에 의한 인증 시스템(300)의 단순화된 블록도를 도시한다. 시스템(300)은 도 1의 시스템과 같이 Ua 인터페이스를 통하여 애플리케이션 서버(네트워크 애플리케이션 기능; NAF)(105)와 연결되는 사용자 장치(UE)(101)를 포함한다. UE는 어떠한 적합한 통신 장치일 수 있다. UE(101)은 또한 본 실시예에서 부트스트래핑 서버 기능(BSF)인 부트스트래핑 엔티티(301)와 Ub 인터페이스를 가지며, BSF(301)는 NAF(105)와 Zn 인터페이스를 갖는다.
그러나, 본 실시예의 BSF(301)는 도 1의 BSF(102)와 동일하지 않다. BSF(301)는 본 실시예에서 서버 위치탐사기 기능(SLF)인 어드레스 저장장치(304)와, 본 실시예에서 GUSS(GBA 사용자 보안 설정) 데이터베이스인 보안 설정 데이터베이스(302), 그리고 가입자 데이터베이스(303)와 통신할 수 있다. 또한, SLF(304)는 도 1의 SLF(104)와는 다르다. 가입자 데이터베이스(303)는 예컨대, 홈 위치 레지스터(HLR)가 될 수 있으며, 즉 3GPP 사양에 의해 HSS로 될 필요는 없다. 부가하여, 가입자 데이터베이스는 방문자 위치 레지스터(VLR)와 같은 인증 정보(예컨대, 인증 벡터들)를 포함하는 어떤 다른 데이터베이스이어도 된다.
BSF와 가입자 데이터베이스 간의 인터페이스는 예컨대, MAP/SS7(Mobile Application Part/ Signalling System No 7) 인터페이스 (MAP은 SS7 프로토콜의 일부임)와 같은 비-다이어미터(non-diameter) 베이스 인터페이스일 수 있다. MAP은 사용자 인증과, 장치 식별, 로밍(roaming)을 지원하는, 데이터베이스와 모바일 스위치들 간에 전송되는 메시지를 정의한다. 다이어미터 베이스 프로토콜은 GAA/GBA의 3GPP 사양에서 사용되는 인증, 계정 및 권한부여 프로토콜이지만, 보다 오래된 네트워크 구성요소들에서는 지원되지 않을 수도 있다. 다이어미터 베이스 프로토콜 사양은 2003년에 완성되었기 때문에, 이보다 오래된 네트워크 구성요소들은 이 프로토콜을 지원하지 않을 것으로 보인다. 이에 따라, MAP/SS7 프로토콜을 사용할 가능성을 제공하는 본 발명의 실시예는 GAA/GBA가 다이어미터 베이스 프로토콜을 지원하지 않는 보다 오래된 네트워크 구성요소들과 함께 사용될 수 있다는 이점을 제공한다.
BSF(301)와 GUSS 데이터베이스(302) 간의 인터페이스는 LDAP(Lightweight Directory Access Protocol), XED(XML Enable Directory), DSML(Directory Service Markup Language) 또는 SPML(Service Provisioning Markup Language) 또는 SLP(Service Location Protocol) 인터페이스 또는 어떤 다른 적합한 데이터베이스 인터페이스일 수도 있다.
GUSS 데이터베이스(302)와 같은 보안 설정 데이터베이스는 어떤 정해진 애플리케이션(예컨대, IMPUs(IM Public Identity), MSISDN, 익명들)을 위해 필요한 사용자의 신원(identities) 리스트를 포함하는 인증부분과, 사용자 인가 플래그들(예컨대, 허용된 애플리케이션에 대한 액세스, 발행될 수 있는 증명서들의 타입)를 갖는 권한부여 부분을 구비할 수 있는 애플리케이션과 사용자 특정 파라미터들을 포함하는 보안 설정을 저장한다. 부가하여, 파라미터들은 어떤 키 선택 지시를 포함할 수 있다. 보안 설정은 예컨대, 3GPP 사양 TS 29.109 v.7.4.0의 Annex A에서 정의된 GUSS일 수도 있다.
부가하여, BSF(301)는 3GPP 사양들에 따라 홈 가입자 시스템(HSS)에 대한 (다이어미터 베이스)Zh 인터페이스와, 서버 위치탐사기 기능(SLF)에 대한 Dz 인터페이스를 갖는 능력을 구비할 수 있다.
도 4는 도 3의 시스템에서 본 발명의 실시예에 따른 GAA/GBA 부트스트래핑 절차를 설명하는 메시징 도면이다. 첫번째로, UE는 UE 사용자의 IMPI(IMS Private User Identity)를 포함하는 부트스트래핑 요구(2-1)를 전송함으로써 Ub 인터페이스를 통하여 BSF와 함께 부트스트래핑 절차를 시작한다.
그런 다음, BSF는 (UE로부터 수신된 IMPI에 포함된)UE의 사용자의 IMSI(국제 모바일 가입자 신원; International Mobile Subscriber Identity)를 포함하는 인증 정보 요구(4-2)를 전송함으로써 가입자 데이터베이스로부터 사용자에 대한 인증 정보를 요구한다. 대안으로서, 사용자의 어떤 다른 식별자가 인증 정보 요구(4-2)에 포함될 수 있다. 인증 정보 요구는 예컨대, MAP_SendAuthInfo 메시지의 포맷으로 전송될 수 있다. 가입자 데이터베이스는 IMSI에 대응되는 신원증명서들을 포함하는 인증 정보 응답(authentication info answer)(4-3)으로 응답한다. 인증 정보 응답은 예컨대, MAP_SendAuthinfo-ack 메시지의 포맷으로 전송될 수 있다. 신원증명서들은 하나의 트리플릿(triplet) RAND, SRES(Signed Response) 및 Kc(암호키)를 포함하거나, RAND, AUTN, XRES, CK 및 IK를 구비한 인증 벡터를 포함할 수 있다.
이후, BSF는 IMPI를 포함하는 GUSS 요구(4-4)를 GUSS 데이터베이스(302)로 전송한다. GUSS 요구(4-4)는 또한 어떤 적합한 식별자에 의해 그 요구에서 식별된 특정 사용자에 대한 보안 설정을 위한 어떤 다른 요구일 수 있다. GUSS 요구(4-4)는 예컨대, LDAP, XED, DSML, SPML, SLP 또는 유사한 데이터베이스 액세스 프로토콜 요구일 수 있다. GUSS 데이터베이스는 IMPI에 대한 GUSS(4-5)로 리턴함으로써 응답한다. GUSS 데이터베이스는 IMPI 또는 다른 사용자 식별자들에 의해 분류될 수 있다. 이후, BSF는 예컨대, 3GPP 사양에서 상술되어 있는 바와 같이 수신된 신원증명서들과 GUSS를 계속하여 처리한다. 즉, BSF는 IMPI, 관련된 신원증명서(또는 키(key) 자료) 및 GUSS를 포함하는 부트스트래핑 정보 튜플을 저장하고, 도 2에 도시된 바와 같이 부트스트래핑 응답(2-6)을 UE로 전송한다. 그후에, BSF 및 UE는 Ub 인터페이스를 통하여 부트스트래핑 절차를 계속할 수 있다.
추가하여, BSF가 특정 사용자에 대하여 저장된 "구(old)" GUSS를 이미 가지고 있다면, BSF는 GUSS의 어느 버전이 BSF에서 이미 유용한지를 나타내는 타임스탬프를 GUSS 요구(GAUSS request)에 포함할 수 있다.
도 4에서 메시지들 전송(4-2 및 4-4)의 순서는 구속되지 않으며, BSF가 가입자 데이터베이스와 연결하기 전에 GUSS 데이터베이스와 접속할 수 있거나, 한쪽이 응답을 처음에 대기함이 없이 BSF가 동시에 그들 양쪽에 접속할 수 있다는 것에 주목되어야 한다.
복수의 가입자 데이터베이스 및/또는 GUSS 데이터베이스가 네트워크에 배치되어 있다면, BSF(301)는 요구를 전송(4-2, 4-4)전에 특정 사용자를 위해 어느 데이터베이스(들)와 접속되어야 하는지를 알기 위해 SLF(304)와 접속할 수 있다.
도 5는 본 발명의 실시예에 따라 SLF (또는 다른 어드레스 저장장치)와 접속하는 메시징도를 도시한다. BSF는 특정 사용자를 위한 데이터베이스 어드레스(들)에 대한 요구(5-1)를 SLF에 전송한다. 요구(5-1)는 Zh 인터페이스에 의한 요구일 수 있으나, 응답은 표준화된 솔루션과는 상이할 수도 있다. 사용자는 IMSI 또는 IMPI에 의해 요구에서 식별될 수 있다. SLF는 대응된 데이터베이스 어드레스(들)(5-2)를 가지고 응답한다. SLF는 대응된 가입자 데이터베이스 어드레스 또는 대응된 GUSS 데이터베이스(또는 다른 보안 설정 데이터베이스) 어드레스 또는 이들 양쪽의 어드레스들을 모두 리턴할 수 있다. 그 후, BSF는 단계(5-3)에서 미래의 사용을 위해 수신된 어드레스를 저장할 수 있으나 필수적인 사항은 아니다.
본 발명은 예컨대, 적합한 하드웨어 플랫폼에서 구동하는 컴퓨터 프로그램에 의해 실행되거나 하드웨어, 소프트웨어, 특수 목적 회로들 및/또는 로직의 어떠한 다른 적절한 결합의 수단에 의해 실행될 수 있다.
도 6은 본 발명의 다양한 실시예를 수행하기 위해 구성된 장치(600)의 블록도이다. 장치(600)는 일반적인 목적의 컴퓨터 또는 서버와 같은 가능하게 분산된 기능을 갖는 전형적인 컴퓨터이다. 이 장치는 이 장치를 제어하기 위한 프로세싱 유닛(601)과, 컴퓨터 프로그램 코드 또는 소프트웨어(603)를 포함하는 메모리(602)를 포함한다. 이 프로세싱 유닛은 예컨대, 중앙 처리 장치(CPU), 일반적 목적의 프로세서, 마이크로 프로세서, 디지털 신호 처리기, 응용 특수 IC, 필드 프로그램 가능한 게이트 어레이, 마이크로 컨트롤러 또는 그러한 구성요소들의 결합물일 수 있다. 메모리는 또한 본 발명의 구현에 의존하는 예컨대, 인증 정보, 보안 설정 정보 및/또는 어드레스 정보를 저장하는 데이터베이스(604)를 포함할 수 있다.
소프트웨어(603)는 운영체계(OS)와 다른 컴퓨터 애플리케이션들과 같은 장치(600)를 제어하기 위해 CPU(601)을 위한 명령어를 포함한다. 소프트웨어(603)는 본 발명의 어떤 기능을 제공하기 위해 장치를 제어하는 명령어를 포함할 수 있다. 명령어들은 예컨대, 본 발명의 일부 실시예들에 의한 부트스트래핑 구성요소, 보안설정 데이터베이스 구성요소, 가입자 데이터베이스 구성요소 또는 어드레스 저장장치 구성요소로서 동작하도록 장치를 제어할 수 있다. 또한, 명령어들은 본 발명의 일부 실시예에 따른 전술된 복수의 구성요소들처럼 동작하는 동일한 장치를 제어할 수 있다. 즉, 본 발명의 구성요소들은 물리적으로 분리될 필요는 없으나, 그것들은 또한 동일한 물리적 하드웨어상에서 동작하는 논리적으로 다른 구성요소들일 수 있 다. 장치(600)는 LAN(Local Area Network), 이더넷 또는 WLAN(Wireless LAN) 유닛과 같은 I/O(입력/출력)유닛(605)을 포함할 수 있다. 이 장치(600)는 또한 디스플레이와 키보드와 같은 사용자 인터페이스(미도시)를 포함할 수 있으나, 사용자 인터페이스는 또한 I/O 유닛을 통하여 원격 연결의 수단으로서 실행될 수 있다.
본 문헌에서 포함하고, 구비하며, 갖는다는 표현들은 각각 의도된 독점성 없이 상황에 따라 변경될 수 있는 표현으로서 사용되어진다는 것이 인정되어야 한다.
본 발명의 특정한 구현과 실시예들은 GBA 및 GUSS에 관련한 한정되지 않은 예들의 방법에 의해 기술되었다. 본 발명이 위에서 제시된 실시예들의 세부 내용에 한정되지 않는다는 것은 당업자에게 명백하지만, 본 발명의 특징으로부터 이탈함이 없이 균등한 수단을 사용하는 다른 실시예에서 수행될 수 있다. 예컨대, 전술한 예들의 사용자 장치, BSF, SLF, GUSS 및 GUSS 데이터베이스는 어떠한 다른 적합한 통신 장치, QXM 스트랩핑 구성요소, 어드레스 기억장치, 보안 설정 및 보안 설정 데이터베이스로 각각 대체될 수 있다.
더욱이, 본 발명의 상술된 실시예들의 일부 특징들은 다른 특징들의 대응된 사용 없이 이점을 얻기 위해 사용되어 질 수 있다. 그와 같이 상술된 것은 본 발명의 원리의 단순히 실예가 되며, 실예에 한정되지 않은 것으로 고려되어야 한다. 따라서, 본 발명의 범위는 첨부된 특허 청구항들에 의해서만 한정된다.

Claims (18)

  1. 통신 네트워크들 내에서의 인증 방법에 있어서,
    가입자와 관련된 인증 부트스트랩핑 요구를 수신하는 과정;
    가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하는 과정;
    보안 설정 데이터베이스로부터 상기 가입자의 보안 설정을 요구하는 과정;
    상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하는 과정; 및
    수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하는 과정을 포함함을 특징으로 하는 인증 방법.
  2. 제1항에 있어서,
    비-다이어미터(non-diameter) 인터페이스를 통하여 상기 가입자 데이터베이스로부터 상기 인증 정보를 요구하는 과정을 더 포함함을 특징으로 하는 인증 방법.
  3. 제1항에 있어서,
    MAP/SS7 인터페이스를 통하여 상기 가입자 데이터베이스로부터 상기 인증 정보를 요구하는 과정을 더 포함함을 특징으로 하는 인증방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 어느 하나에 대한 어드레스 정보를 어드레스 저장장치로부터 요구하는 과정을 더 포함함을 특징으로 하는 인증방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 보안 설정 데이터베이스는 GUSS(GBA 사용자 보안 설정) 데이터베이스임을 특징으로 하는 인증방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 가입자 데이터베이스는 홈 위치 레지스터임을 특징으로 하는 인증방법.
  7. 가입자와 관련된 인증 부트스트래핑 요구를 수신하기 위해 작동할 수 있는 입력부; 및 프로세싱 유닛을 구비하며, 상기 프로세싱 유닛은,
    가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하고,
    보안 설정 데이터베이스로부터 상기 가입자의 보안 설정을 요구하며,
    상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하고,
    수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하기 위해 구성된 것임을 특징으로 하는 부트스트래핑 구성요소.
  8. 제7항에 있어서, 상기 프로세싱 유닛은
    비-다이어미터 인터페이스를 통하여 상기 가입자 데이터베이스로부터 상기 인증 정보를 요구하기 위해 더 구성됨을 특징으로 하는 부트스트래핑 구성요소.
  9. 제7항에 있어서, 상기 프로세싱 유닛은
    MAP/SS7 인터페이스를 통하여 상기 가입자 데이터베이스로부터 상기 인증 정보를 요구하기 위해 더 구성됨을 특징으로 하는 부트스트래핑 구성요소.
  10. 제7항 내지 제9항 중 어느 한 항에 있어서,
    상기 프로세싱 유닛은 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 어느 하나에 대한 어드레스 정보를 어드레스 저장장치로부터 요구하기 위해 더 구성됨을 특징으로 하는 부트스트래핑 구성요소.
  11. 제7항 내지 제10항 중 어느 한 항에 있어서,
    상기 보안 설정 데이터베이스는 GUSS(GBA 사용자 보안 설정) 데이터베이스임을 특징으로 하는 부트스트래핑 구성요소.
  12. 제7항 내지 제11항 중 어느 한 항에 있어서,
    상기 가입자 데이터베이스는 홈 위치 레지스터임을 특징으로 하는 부트스트 래핑 구성요소.
  13. 복수의 가입자들과 관련된 보안 설정을 저장하기 위해 작동 가능한 저장 매체; 및
    부트스트래핑 구성요소와 함께 작동하며, 요구에 응답하여 특정 가입자와 관련된 보안 설정들을 상기 부트스트래핑 구성요소에 공급하기 위해 구성된 프로세싱 유닛을 포함함을 특징으로 하는 보안 설정 데이터베이스.
  14. 복수의 가입자들을 위한 관련된 보안 설정 데이터베이스의 어드레스 정보를 저장하기 위해 작동 가능한 저장 매체; 및
    부트스트래핑 구성요소와 함께 작동하며, 요구에 응답하여 특정 가입자와 관련된 보안 설정 데이터베이스의 어드레스 정보를 상기 부트스트래핑 구성요소에 제공하기 위해 구성된 프로세싱 유닛을 포함함을 특징으로 하는 어드레스 저장장치 구성요소.
  15. 제14항에 있어서,
    상기 저장 매체는 복수의 가입자를 위한 관련된 가입자 데이터베이스의 어드레스 정보를 저장하기 위해 더 작동할 수 있으며,
    상기 프로세싱 유닛은 요구에 응답하여 특정 가입자와 관련된 가입자 데이터베이스의 어드레스 정보를 부트스트래핑 구성요소에 공급하기 위해 더 구성됨을 특 징으로 하는 어드레스 저장장치 구성요소.
  16. 복수의 가입자들에 관련된 인증 정보를 저장하기 위해 작동 가능한 가입자 데이터베이스;
    복수의 가입자들과 관련된 보안 설정을 저장하기 위해 작동 가능한 보안 설정 데이터베이스; 및
    상기 가입자 데이터베이스와 보안 설정 데이터베이스와 함께 작동 가능한 부트스트래핑 구성요소를 포함하며, 상기 부트스트래핑 구성요소는,
    가입자와 관련된 인증 부트스트래핑 요구를 수신하기 위한 입력부; 및 프로세싱 유닛을 포함하며, 상기 프로세싱 유닛은,
    상기 가입자 데이터베이스로부터 상기 가입자의 인증 정보를 요구하고,
    상기 보안 설정 데이터베이스로부터 상기 가입자의 보안 설정들을 요구하며,
    상기 가입자 데이터베이스와 보안 설정 데이터베이스 중 적어도 하나로부터 응답을 수신하고,
    수신된 응답(들)에 기초하여 적어도 부분적으로 인증 부트스트래핑을 수행하기 위해 구성된 것을 특징으로 하는 시스템.
  17. 제16항에 있어서, 상기 시스템은
    복수의 가입자들을 위해 관련된 보안 설정 데이터베이스와 관련된 가입자 데이터베이스 중의 적어도 하나의 어드레스 정보를 저장하기 위한 어드레스 저장장치 구성요소를 더 포함하며,
    상기 부트스트래핑 구성요소의 상기 프로세싱유닛은, 상기 어드레스 저장장치 구성요소와 함께 작동하며, 상기 가입자와 관련된 상기 가입자 데이터베이스와 상기 보안 설정 데이터베이스 중의 적어도 하나의 어드레스 정보를 상기 어드레스 저장장치 구성요소로부터 요구하기 위해 더 구성됨을 특징으로 하는 인증 시스템.
  18. 제1항 내지 제6항 중 어느 한 항에 기재된 방법을 장치가 수행할 수 있도록 적용된 컴퓨터 실행 가능 프로그램 코드를 포함하는 기억 매체.
KR1020097016614A 2007-01-11 2007-12-03 통신 네트워크들 내에서의 인증 KR101123346B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/652,223 2007-01-11
US11/652,223 US7885640B2 (en) 2007-01-11 2007-01-11 Authentication in communication networks
PCT/FI2007/050653 WO2008084135A1 (en) 2007-01-11 2007-12-03 Authentication in communication networks

Publications (2)

Publication Number Publication Date
KR20090118924A true KR20090118924A (ko) 2009-11-18
KR101123346B1 KR101123346B1 (ko) 2012-03-23

Family

ID=39608399

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097016614A KR101123346B1 (ko) 2007-01-11 2007-12-03 통신 네트워크들 내에서의 인증

Country Status (8)

Country Link
US (1) US7885640B2 (ko)
EP (1) EP2103078B1 (ko)
KR (1) KR101123346B1 (ko)
CN (1) CN101578841B (ko)
AR (1) AR064354A1 (ko)
RU (1) RU2421931C2 (ko)
TW (1) TWI455558B (ko)
WO (1) WO2008084135A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102572833B (zh) 2008-04-28 2016-08-10 华为技术有限公司 一种保持用户业务连续性的方法、系统及装置
US8181030B2 (en) * 2008-12-02 2012-05-15 Electronics And Telecommunications Research Institute Bundle authentication system and method
US9729529B2 (en) * 2008-12-31 2017-08-08 Google Technology Holdings LLC Device and method for providing bootstrapped application authentication
WO2011063826A1 (en) * 2009-11-24 2011-06-03 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for use in a generic bootstrapping architecture
MY172854A (en) * 2009-12-11 2019-12-12 Nokia Technologies Oy Smart card security feature profile in home subscriber server
US8978100B2 (en) * 2011-03-14 2015-03-10 Verizon Patent And Licensing Inc. Policy-based authentication
SG192990A1 (en) * 2011-04-01 2013-10-30 Ericsson Telefon Ab L M Methods and apparatuses for avoiding damage in network attacks
KR20140084100A (ko) 2011-09-29 2014-07-04 인터디지탈 패튼 홀딩스, 인크 방문 네트워크와 통합된 애플리케이션에의 접근을 가능하게 하는 방법 및 장치
US9251315B2 (en) 2011-12-09 2016-02-02 Verizon Patent And Licensing Inc. Security key management based on service packaging
US8776197B2 (en) * 2011-12-09 2014-07-08 Verizon Patent And Licensing Inc. Secure enterprise service delivery
US10708267B2 (en) * 2017-07-19 2020-07-07 Mediatek Inc. Method and associated processor for authentication
CN112672345B (zh) * 2019-09-30 2023-02-10 华为技术有限公司 通信认证方法和相关设备
US20220321605A1 (en) * 2021-04-01 2022-10-06 Cisco Technology, Inc. Verifying trust postures of heterogeneous confidential computing clusters

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2366938B (en) * 2000-08-03 2004-09-01 Orange Personal Comm Serv Ltd Authentication in a mobile communications network
US7035281B1 (en) * 2000-09-13 2006-04-25 Wp Media, Inc. Wireless provisioning device
US9635540B2 (en) * 2002-03-25 2017-04-25 Jeffrey D. Mullen Systems and methods for locating cellular phones and security measures for the same
KR100506528B1 (ko) * 2003-08-12 2005-08-03 삼성전자주식회사 전자 서명을 이용한 모바일 기기 제어 시스템 및 방법
JP2005122606A (ja) * 2003-10-20 2005-05-12 Fujitsu Ltd 情報閲覧装置、情報閲覧システム、及び情報閲覧プログラム
US7539862B2 (en) 2004-04-08 2009-05-26 Ipass Inc. Method and system for verifying and updating the configuration of an access device during authentication
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
GB0409704D0 (en) * 2004-04-30 2004-06-02 Nokia Corp A method for verifying a first identity and a second identity of an entity
CN1299537C (zh) * 2004-06-28 2007-02-07 华为技术有限公司 应用通用鉴权框架对接入拜访网络的用户实现管理的方法
US7418253B2 (en) * 2004-07-19 2008-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Method, security system control module and policy server for providing security in a packet-switched telecommunications system
JP4763726B2 (ja) 2005-02-04 2011-08-31 クゥアルコム・インコーポレイテッド 無線通信のための安全なブートストラッピング
JP2008530879A (ja) * 2005-02-11 2008-08-07 ノキア コーポレイション 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置
US7628322B2 (en) * 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
US20060236116A1 (en) * 2005-04-18 2006-10-19 Lucent Technologies, Inc. Provisioning root keys
US8087069B2 (en) * 2005-06-13 2011-12-27 Nokia Corporation Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA)
US20070101122A1 (en) * 2005-09-23 2007-05-03 Yile Guo Method and apparatus for securely generating application session keys
US7840687B2 (en) * 2007-07-11 2010-11-23 Intel Corporation Generic bootstrapping protocol (GBP)

Also Published As

Publication number Publication date
RU2421931C2 (ru) 2011-06-20
CN101578841A (zh) 2009-11-11
TWI455558B (zh) 2014-10-01
US7885640B2 (en) 2011-02-08
EP2103078A1 (en) 2009-09-23
KR101123346B1 (ko) 2012-03-23
CN101578841B (zh) 2013-04-10
EP2103078B1 (en) 2017-09-20
WO2008084135A1 (en) 2008-07-17
TW200835279A (en) 2008-08-16
US20080171534A1 (en) 2008-07-17
AR064354A1 (es) 2009-04-01
EP2103078A4 (en) 2012-02-22
RU2009130147A (ru) 2011-02-20

Similar Documents

Publication Publication Date Title
KR101123346B1 (ko) 통신 네트워크들 내에서의 인증
US8626708B2 (en) Management of user data
US9503890B2 (en) Method and apparatus for delivering keying information
US11463883B2 (en) Cellular service account transfer for accessory wireless devices
US20170195877A1 (en) Method and Apparatus for Direct Communication Key Establishment
US10511435B2 (en) Methods and apparatus for direct communication key establishment
US11751051B2 (en) Authentication method based on GBA, and device thereof
US20170055149A1 (en) Method and Apparatus for Direct Communication Key Establishment
US10582380B2 (en) Methods and apparatus for direct communication key establishment
JP2012034381A (ja) Gaaのための汎用鍵の決定メカニズム
EP3662691A1 (en) Interfaces for privacy management as service or function
US8782743B2 (en) Methods and apparatus for use in a generic bootstrapping architecture
US20200187000A1 (en) Systems and methods for using gba for services used by multiple functions on the same device
US10897707B2 (en) Methods and apparatus for direct communication key establishment
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
CN110692224B (zh) 隐私保护能力
US20170208450A1 (en) Method and system for determining that a sim and a sip client are co-located in the same mobile equipment
US20210120411A1 (en) Method for obtaining a profile for access to a telecommunications network
JP6591051B2 (ja) ローカルネットワークにおいて加入者を認証する方法
EP1958370A2 (en) Method and apparatus for delivering keying information

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150130

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160127

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170201

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180201

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190129

Year of fee payment: 8