KR20100034461A - 통신 네트워크에서 인증 방법 및 시스템 - Google Patents

통신 네트워크에서 인증 방법 및 시스템 Download PDF

Info

Publication number
KR20100034461A
KR20100034461A KR1020080093612A KR20080093612A KR20100034461A KR 20100034461 A KR20100034461 A KR 20100034461A KR 1020080093612 A KR1020080093612 A KR 1020080093612A KR 20080093612 A KR20080093612 A KR 20080093612A KR 20100034461 A KR20100034461 A KR 20100034461A
Authority
KR
South Korea
Prior art keywords
server
authentication
user terminal
access server
certificate
Prior art date
Application number
KR1020080093612A
Other languages
English (en)
Inventor
레이펑
김영석
원정재
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080093612A priority Critical patent/KR20100034461A/ko
Publication of KR20100034461A publication Critical patent/KR20100034461A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 통신 네트워크에서 인증 방법 및 시스템에 관한 것으로, 이러한 본 발명은, 접속 서버가 사용자 단말의 인증 정보 및 보안 정보와, 접속 서버의 인증 정보 및 보안 정보를 인증 서버로 전송하는 과정과, 인증 서버가 사용자 단말 및 접속 서버의 인증 정보를 이용하여 상기 사용자 단말 및 접속 서버를 각각 인증하고, 상기 사용자 단말 및 접속 서버의 보안 정보를 이용하여 보안키를 생성하는 과정과, 인증 서버가 생성한 보안키와 인증 서버의 인증 정보를 접속 서버 및 사용자 단말에 전송하는 과정과, 접속 서버 및 사용자 단말이 상기 인증 서버의 인증 정보를 통해 인증 서버를 인증하고, 상기 보안키를 상기 인증 서버와 공유하는 과정을 포함하는 것을 특징으로 하는 통신 네트워크의 인증 방법 및 이에 따른 시스템을 제공한다.
AAA, PKI, PRF

Description

통신 네트워크에서 인증 방법 및 시스템{A method for authentication in a communication network and a system thereof}
본 발명은 통신 네트워크에서 인증 방법 및 시스템에 관한 것으로, 통신 네트워크의 인증 양단과 아울러 중계 장치를 같이 인증할 수 있는 인증 방법 및 시스템에 관한 것이다.
EAP(Extensible Authentication Protocol)는 유선 및 무선을 포함한 네트워크에서 다양한 인증(authentication) 방법의 표준을 제공한다. EAP는 인증 방법에 따라 EAP-MD5, EAP-TLS, PEAP, EAP-SIM 및 EAP-AKA 등으로 구분될 수 있다. 이러한 EAP 인증 방법들은 이더넷(ethernet), 무선 랜(802.11 Wireless LAN) 및 와이맥스(802.16 Wimax network) 등에서 사용되고 있다.
PKI(Public Key Infrastructure)는 비대칭 암호키 및 공개키 인증을 관리하기 위해서 만들어진 관리 시스템이다.
특정 단말이 통신 네트워크를 이용하기 위해서는 그 통신 네트워크의 인증 서버에 인증되어야 한다. 이를 위하여, 단말은 NAS를 통해 인증 서버에 접속한다. 그런 다음, 단말과 인증 서버 간에 인증 과정을 거치게 된다.
EAP에 따르면, NAS는 EAP 패킷을 단순히 전달하는 전달자("pass-through authenticator") 역할만 수행하게 된다. 즉, NAS는 peer로부터 수신한 EAP 패킷을 인증 서버로 전달하고, 인증 서버로부터 수신한 EAP 패킷을 peer로 전달하는 역할만 수행한다. NAS는 EAP 패킷에 대해 관여할 필요 없으며, 단지 EAP 인증 과정의 시작과 끝에 대해서만 알면 된다. EAP에서 무결성을 위한 암호화 알고리즘 협상, 상호 인증, 키 교환 등은 peer와 인증 서버간에만 지원된다. 따라서 peer는 자신과 연결된 NAS를 검증할 수 없으며, 인증 서버만이 NAS를 검증할 수 있다. 그러나 NAS 및 인증 서버간의 보안 프로토콜도 안전하지 않다. 이러한 이유로 위조된 NAS가 있는 경우 보안의 취약성을 가져오게 된다.
따라서 상술한 바와 같은 종래의 문제점을 감안한 본 발명의 목적은, 통신 네트워크에서 양단간의 보안뿐만 아니라, 이를 중계하는 NAS 등의 장치의 인증도 함께 수행하여 보안 레벨을 높일 수 있는 무선 통신 네트워크의 인증 방법 및 시스템을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시 예에 따른 통신 네트워크의 인증 방법은, 접속 서버가 사용자 단말의 인증 정보 및 보안 정보와, 접속 서버의 인증 정보 및 보안 정보를 인증 서버로 전송하는 과정과, 인증 서버가 사용자 단말 및 접속 서버의 인증 정보를 이용하여 상기 사용자 단말 및 접속 서버를 인증하고, 상기 사용자 단말 및 접속 서버의 보안 정보를 이용하여 보안키를 생성하는 과정과, 인증 서버가 생성한 보안키와 인증 서버의 인증 정보를 접속 서버 및 사용자 단말로 전송하는 과정과, 접속 서버 및 사용자 단말이 상기 인증 서버의 인증 정보를 통해 인증 서버를 인증하고, 상기 보안키를 상기 인증 서버와 공유하는 과정을 포함한다.
상술한 바와 같은 본 발명의 바람직한 실시 예에 따른 통신 네트워크의 인증 시스템은, 인증 정보 및 보안 정보를 포함하는 메시지를 전송하는 사용자 단말; 상기 사용자 단말이 전송한 인증 정보 및 보안 정보를 포함하는 메시지와, 자신의 인증 정보 및 보안 정보를 포함하는 메시지를 전송하는 접속 서버; 및 상기 사용자 단말 및 접속 서버의 인증 정보를 이용하여 상기 사용자 단말 및 접속 서버를 인증하고, 상기 사용자 단말 및 접속 서버의 보안 정보를 이용하여 보안키를 생성하고, 생성한 보안키와 인증 서버의 인증 정보를 접속 서버 및 사용자 단말로 전송하여 상기 사용자 단말 및 접속 서버와 보안키를 공유하도록 하는 인증 서버;를 포함한다.
본 발명에 따르면, 수신측 단말의 상태 또는 위치에 따라 착신을 수행하고, 수신측 단말의 위치에 따라 착신 대상 단말을 선택할 수 있게 함으로써, 착신 전환 서비스를 보다 효율적으로 제공할 수 있다. 이에 따라 무선 통신 네트워크의 이용을 늘리는 이점이 있다.
이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기의 설명에서는 본 발명에 따른 동작을 이해하는데 필요한 부분만이 설명되며 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않도록 생략될 것이라는 것을 유의하여야 한다.
도 1은 본 발명의 실시 예에 따른 통신 네트워크 시스템의 구성을 도시한 도면이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 무선 네트워크 시스템은, 사용자 단말(peer)(100), 접근 서버(NAS, network access server)(200), 및 AAA(Authentication Authorization Accounting) 서버(이하, "인증 서버"로 축약 함)(300)로 이루어진다.
사용자 단말(100)은 통신 네트워크에 접근하여, 사용자에게 통신 서비스를 제공받기 위한 것이다. 사용자 단말(100)은 통신 네트워크에 접근하기 위하여, 인증 서버(300)에 자신을 인증하도록 하는 인증 정보를 접근 서버를 통해 인증 서버(300)에 제공한다. 또한, 사용자 단말(100)은 보안키 생성을 위한 랜덤 값의 일부를 접근 서버를 통해 인증 서버(300)로 전송한다. 이러한 보안키는 3자(100, 200, 300)간에 공유된다.
접근 서버(200)는 사용자 단말(100)이 네트워크에 접근하도록 네트워크에 대한 관문 역할을 수행하는 관문 장치이다. 즉, 접근 서버(200)는 사용자 단말(100)과 인증 서버(300)를 연결하는 게이트웨이(gateway)와 같다. 접근 서버는 인증 서버(300)에 접근 서버 자신 및 자신과 연결된 사용자 단말(100)을 인증하도록 하는 인증 정보를 인증 서버(300)에 제공한다. 또한, 접근 서버는 사용자 단말(100) 및 인증 서버(300)와의 송수신되는 데이터를 보안하기 위한 보안키를 공유하기 위해, 보안키 생성을 위한 랜덤 값의 일부를 인증 서버(300)에 제공한다.
인증 서버(300)는 사용자 단말(100)의 네트워크 접근과 서비스 제공에 있어서의 인증(Authentication), 허가, 인가(Authorization) 및 과금(Accounting) 기능을 제공하는 서버이다.
인증 서버(300)는 사용자 단말(100) 및 접근 서버의 인증 정보를 수신하여, 사용자 단말(100) 및 접근 서버를 인증하고, 사용자 단말(100) 및 접근 서버로부터 수신한 보안 정보를 이용하여 보안키를 생성하고, 생성한 보안키를 접근 서버 및 사용자 단말(100)에 제공함으로써, 3자간에 보안키를 공유한다.
상술한 바와 같은 통신 네트워크 시스템에서, 본 발명의 실시 예에 따른 인증 방법에 대해서 설명하기로 한다.
먼저, 본 발명의 실시 예에 따른 인증 프로토콜의 계층 구조에 대해서 설명하기로 한다. 도 2는 본 발명의 실시 예에 따른 인증 프로토콜의 계층 구조를 설명하기 위한 도면이다.
도 2에 도시된 바와 같이, 본 발명의 실시 예에 따른 인증 프로토콜은 링크(Link), EAP 및 인증 방법(method) 레이어로 이루어진다. 여기서, EAP는 인증 방법에 따라 EAP-MD5, EAP-TLS, PEAP, EAP-SIM 및 EAP-AKA 등으로 구분될 수 있다. 이러한 EAP 인증 방법들은 이더넷(ethernet), 무선 랜(802.11 Wireless LAN) 및 와이맥스(802.16 Wimax network) 등에서 사용되고 있다.
본 발명의 실시 예에서는 인증 방법(EAP Method)의 하나로 EAP-CPN(Centralized Peer and NAS authentication)을 제안한다. 본 발명의 실시 예에 따른 인증 방법은 사용자 단말(100)의 인증과, 사용자 단말(100)의 인증을 중계하는 접속 서버(200)를 연계하여 같이 인증하는 방법을 제안한다. 도 3은 본 발명의 실시 예에 따른 인증 방법을 설명하기 위한 것이다.
사용자 단말(100), 접속 서버(200) 및 인증 서버(300)간의 데이터 전송의 보안을 위해, 각 구성 요소들(100, 200, 300)은 인증하는 과정을 통해 전송되는 데이터를 보호하기 위한 보안키를 생성하고, 이를 공유하게 된다. 그러면, 이러한 방법에 대해서 설명하기로 한다. 도 3은 본 발명의 바람직한 실시 예에 따른 인증 방법 을 설명하기 위한 흐름도이다.
도 3을 참조하면, 사용자 단말(100)은 S301 단계에서 사용자 단말(100)의 인증 정보 및 보안 정보를 접속 서버(200)로 전송한다. 그러면, 접속 서버(200)는 S303 단계에서 수신한 사용자 단말(100)의 인증 정보 및 보안 정보와, 자신의 인증 정보 및 보안 정보를 인증 서버(300)로 전송한다. 본 발명의 실시 예에서 인증 정보 및 보안 정보 각각은 적어도 하나의 핸드셰이크 메시지에 기술되며, 이러한 핸드셰이크 메시지는 EAP 패킷에 수납되어 전송된다.
여기서, 인증 정보는 사용자 단말(100), 접속 서버(200) 및 인증 서버(300) 간에 서로를 인증하기 위한 정보이며, 인증 정보는 PKI(Public Key Infrastructure) 방식을 따르는 것이 바람직하다.
인증 정보는 개인키(private key) 및 공개키(public key) 쌍과, 인증서(certificate), 및 인증서의 전자 서명(digital signature, 이하, "서명"으로 축약함)을 포함한다.
여기서, 사용자 단말(100) 및 접근 서버(200)는 공개키 및 개인키 쌍을 생성하고, 생성한 공개키를 공인 인증기관(CA, certificate Authority, 이하 CA)에 등록한다. 그러면, CA는 사용자 단말(100) 및 접근 서버(200)에 각각에 각각의 공개키가 수납된 인증서(certificate)를 발급한다. 특히, 이러한 인증서는 CA의 개인키로 서명된다. 또한, CA는 CA의 루트 인증서(root certificate)를 사용자 단말(100), 접근 서버(200) 및 인증 서버(300)에 배포하였다고 가정한다. 따라서 인증 서버(300)는 루트 인증서의 공개키를 이용하여, 사용자 단말(100) 및 접근 서 버(200) 각각의 인증서의 서명을 검증할 수 있다.
보안 정보는 보안키를 생성하기 위한 랜덤 값(random number)이며, 사용자 단말(100) 및 접속 서버(200) 각각은 랜덤 값을 생성하여 이를 전송한다. 이는 하기에서 더 자세히 설명될 것이다.
사용자 단말(100) 및 접속 서버(200)의 핸드셰이크 메시지들을 수신한 인증 서버(300)는 S305 단계에서 사용자 단말(100) 및 접속 서버(200)의 인증 정보를 통해 사용자 단말(100) 및 접속 서버(200)를 각각 인증한다.
이러한 인증이 완료되면, 인증 서버(300)는 S307 단계에서 사용자 단말(100) 및 접속 서버(200)의 보안 정보로부터 보안키를 생성한다.
그런 다음, 인증 서버(300)는 S309 단계에서 생성한 보안키를 자신의 인증 정보와 함께 핸드셰이크 메시지에 수납하여 접속 서버(200) 및 사용자 단말(100)에 순차로 전송한다. 이로써, 사용자 단말(100), 접속 서버(200) 및 인증 서버(300) 3자간에 보안키를 공유하게 된다.
앞서 설명한 바와 같이, 인증 정보 및 보안 정보 각각은 적어도 하나의 핸드셰이크 메시지에 기술되며, 이러한 핸드셰이크 메시지는 EAP 패킷에 수납되어 전송된다. 이러한 EAP 패킷을 대해서 설명하기로 한다. 도 4는 본 발명의 실시 예에 따른 EAP 패킷의 구조를 설명하기 위한 도면이다.
도 4를 참조하면, 본 발명의 실시 예에 따른 EAP 패킷은 EAP 헤더와 EAP 데이터(Data)를 포함한다.
또한, EAP 헤더는 코드(Code), 식별자(Id, sequence number), 길이(Length) 필드를 포함한다. 코드(Code) 필드에는 패킷을 요청(Request), 응답(Response), 성공(Success), 실패(Failure)로 구분하기 위한 코드가 기술된다.
EAP 데이터(Data)는 타입(Type), 플래그(flag), 메시지 길이(message length) 및 레코드 데이터(record data) 필드를 포함한다.
타입(Type) 필드는 EAP 패킷의 형식을 구분하기 위한 것으로, EAP-TLS, PEAP, LEAP 등의 인증 방법에 따라 구분하여 기술한다. 본 발명의 실시 예에 따른 EAP 패킷은 EAP 데이터의 타입을 EAP-CPN으로 설정(type = EAP-CPN)한다.
플래그(flag) 필드에는 L(Length Included), M(More Fragments), S(Start)의 플래그 값이 설정된다. 특히, S(Start)는 "EAP-CPN/Start" 패킷을 표시할 때 설정된다.
레코드 데이터(record data) 필드는 콘텐츠 타입, 버전, 페이로드 길이, 레코드 페이로드 필드 등을 포함한다. 본 발명의 실시 예에 따른 핸드셰이크 메시지는 이러한 레코드 데이터 필드에 수납되어 송수신된다.
그러면, 본 발명의 실시 예에 따른 핸드셰이크 메시지에 대해서 설명하기로 한다.
사용자 단말(100)은 접속 서버(200)를 통해 peer_hello, client hello, client_certificate, client_key_exchange, 및 client_certificate_verify 메시지 등을 인증 서버(300)로 전송한다. 접속 서버(200)는 nas_hello, server_hello, server_key_exchange, server_certificate 및 server_certificate_verify 메시지 등을 인증 서버(300)로 전송한다. 또한, 인증 서버(300)는 접속 서버(200)를 통해 사용자 단말(100)에 peer_answer 및 peer_answer_signature 메시지 등을 전송하며, 접속 서버(200)에 nas_answer 및 nas_answer_signature 메시지 등을 전송한다.
여기서, 사용자 단말(100) 및 접속 서버(200)의 보안 정보를 가지는 핸드셰이크 메시지는 client hello, client_key_exchange, server_hello 및 server_key_exchange 메시지를 포함한다.
client hello 및 server_hello 메시지는 보안키 생성을 위한 랜덤 값(random number)으로 각각 nonce1 및 nonce2를 가진다. nonce1 및 nonce2는 사용자 단말(100) 및 접속 서버(200)가 각각 생성한 랜덤 값이다.
client_key_exchange, 및 server_key_exchange는 보안키 생성을 위한 랜덤 값(random number)으로 PMS1(pre_master_secret1) 및 PMS2(pre_master_secret2)를 가진다. PMS1 및 PMS2는 사용자 단말(100) 및 접속 서버(200)가 각각 생성한 랜덤 값이며, PMS1 및 PMS2를 연결하여 PMS(permaster secret)을 생성할 수 있다.
사용자 단말(100)은 PMS1를 공개키로 암호화하여 client_key_exchange 메시지에 수납하여 전송한다. 이때, 사용자 단말(100)은 PMS1을 다음의 <수학식 1>과 같이, 루트 인증서의 공개키(Public key of the root certificate)로 암호화한다.
{PMS1}Ka, Ka: Public key of the root certificate
수학식 1에서, {x}m은 m을 이용하여 x를 암호화(encrypt) 또는 서명함(sign)을 의미한다. 또한, 이하에서 설명되는 모든 수학식도 이와 같다.
접속 서버(200)는 PMS2를 공개키로 암호화하여 client_key_exchange 메시지 에 수납하여 전송한다. 이때, 접속 서버(200)는 PMS2를 다음의 <수학식 2>과 같이, 루트 인증서의 공개키(Public key of the root certificate)로 암호화한다.
{PMS2}Ka, Ka: Public key of the root certificate
한편, 사용자 단말(100) 및 접속 서버(200)의 인증 정보를 가지는 핸드셰이크 메시지는 client_certificate, client_certificate_verify, server_certificate 및 server_certificate_verify 메시지를 포함한다.
client_certificate 및 server_certificate 메시지는 각각 사용자 단말(100) 및 접속 서버(200)의 인증서(X.509vX certificate)를 수납한다. 인증서의 버전은 "X.509v3"임이 바람직하다. 사용자 단말(100) 및 접속 서버(200)는 각각 PKI에 따라 공개키(public key) 및 개인키(private) 쌍을 생성한다. 여기서, 공개키를 이용하여 암호화한 값은 개인키를 이용하여 복호할 수 있으며, 개인키를 이용하여 암호화한 값은 공개키를 통해 복호할 수 있다. 그런 다음, 사용자 단말(100) 및 접속 서버(200)는 생성된 공개키를 인증서에 수납하며, 생성된 개인키를 이용하여 인증서에 서명한다.
client_certificate_verify, 및 server_certificate_verify 메시지는 client_certificate 및 server_certificate 메시지에 이어, 이 메시지로 사용자 단말(100) 및 접속 서버(200) 자신이 인증서에 수납된 공개키에 대응하는 개인키를 가지고 있음을 서명 값으로 인증 서버(300)에 증명하기 위한 것이다.
이를 위하여, 사용자 단말(100)은 다음의 <수학식 3>과 같이, 핸드셰이크 메 시지의 해싱 값(HASH{Handshake Message})을 개인키(Private key of the peer)를 이용하여 암호화한다.
{HASH{Handshake Message}}Kp-1 KP-1:Private key of the peer
또한, 접속 서버(200)는 다음의 <수학식 4>과 같이, 핸드셰이크 메시지의 해싱 값(HASH{Handshake Message})을 개인키(Private key of the nas)를 이용하여 암호화한다.
{HASH{Handshake Message}}Kn-1 Kn-1:Private key of the NAS
<수학식 3> 및 <수학식 4>에서, 핸드셰이크 메시지(Handshake Message)는 사용자 단말(100) 및 접속 서버(200) 각각이 전송한 모든 핸드셰이크 메시지를 말한다.
상술한 바와 같은 client_certificate, client_certificate_verify, server_certificate 및 server_certificate_verify 메시지를 수신한 인증 서버(300)는 사용자 단말(100) 및 접속 서버(200)의 공개키를 이용하여 인증서의 서명을 복호하여 해싱 값을 도출하고, client_certificate_verify, 및 server_certificate_verify 메시지의 해싱 값을 도출한다. 그런 다음, 인증 서버(300)는 도출한 두 해싱 값이 일치하는지 검사하여 일치하는 경우, 인증서에 수납된 공개키에 대응되는 개인키를 해당 사용자 단말(100) 또는 접속 서버(200)가 분명히 가지고 있음을 인증한다.
인증 서버(300)는 핸드셰이크 메시지를 통해 인증 정보 및 보안키를 전송하며, 이러한 핸드셰이크 메시지는 사용자 단말(100)에 전송하는 peer_answer 및 peer_answer_signature 메시지와, 접속 서버(200)에 전송하는 nas_answer 및 nas_answer_signature 메시지를 포함한다.
인증 서버(300)는 peer_answer 및 nas_answer 메시지를 통해 인증 결과 및 공개키를 전송한다. 다음의 <표 1>은 peer_answer 및 nas_answer 메시지를 설명하기 위한 것이다.
struct { uint32 server_auth_result; //Success or Failure uint32 client_auth_result; //Success or Failure uint8 PMK[64]; //PSK } Answer;
<표 1>에 나타난 바와 같이, peer_answer 및 nas_answer 메시지는 인증 서버(300)의 사용자 단말(100) 및 접속 서버(200) 각각에 대한 인증 결과(server_auth_result; uint32 client_auth_result;)와, 생성된 보안키(PMK[64];)를 포함한다.
인증 서버(300)는 이러한 인증 결과 및 보안키를 다음의 <수학식 5>에 따라 사용자 단말(100)의 공개키(Public key of the peer)를 이용하여 암호화하여 peer_answer 메시지에 수납한다.
{Answer}K K : Public key of the peer
또한, 인증 서버(300)는 이러한 인증 결과 및 보안키를 다음의 <수학식 6>에 따라 접속 서버(200)의 공개키(Public key of the NAS)를 이용하여 암호화하여 peer_answer 메시지에 수납한다.
{Answer}K K : Public key of the NAS
인증 서버(300)는 peer_answer 및 nas_answer 메시지를 검증시키기 위해, peer_answer_signature 및 nas_answer_signature 메시지를 전송한다.
peer_answer_signature 및 nas_answer_signature 메시지는, 다음의 <수학식 7>과 같이, 사용자 단말(100) 및 접속 서버(200)로 전송되는 핸드셰이크 메시지를 공인 인증서의 개인키로 서명하여 전송한다.
{Handshake Message}Ka-1, Ka-1 : Private key of the root certificate
앞서 설명한 바와 같이, 사용자 단말(100), 접속 서버(200) 및 인증 서버(300)는 서로 간을 인증하고, 이러한 인증 과정 중에 보안키를 공유하게 된다. 이를 위하여, 사용자 단말(100) 및 접속 서버(200)는 보안 정보를 전송하고, 이를 수신한 인증 서버(300)는 사용자 단말(100) 및 접속 서버(200)로부터 수신한 보안 정보를 통해 보안키를 생성한다. 본 발명의 실시 예에서 보안키는 MSK(Master Session Key)가 될 수 있다. 이러한 보안키 생성 방법에 대해서 설명하기로 한다.
도 5는 본 발명의 실시 예에 따른 보안키 계층 구조에 따른 보안키 생성 방 법을 설명하기 위한 도면이다.
도 5를 참조하면, MS(master secret)는 PMS1(pre_master_secret1), PMS2(pre_master_secret2), nonce1(client.random), 및 nonce2(server.random)로부터 다음의 <수학식 8>에 따른 PRF(pseudo-random function)를 이용하여 산출될 수 있다.
master_secret = TLS-PRF-48(pre_master_secret1 || pre_master_secret2, "master secret", client.random || server.random)
또한, MSK 및 EMSK는 산출한 MS(master secret), nonce1(client.random), 및 nonce2(server.random)로부터 다음의 <수학식 2>에 따른 PRF를 이용하여 산출될 수 있다.
Key_Material = TLS-PRF-128(master_secret, "client EAP encryption", client.random || server.random)
MSK = Key_Material(0,63)
EMSK = Key_Material(64,127)
<수학식 1> 및 <수학식 2>에서 PMS1(pre_master_secret1) 및 nonce1(client.random)은 사용자 단말(100)이 생성한 랜덤 값이며, PMS2(pre_master_secret2) 및 nonce2(server.random)는 접속 서버(200)가 생성한 랜덤 값이다. 이러한 랜덤 값들은 핸드셰이크(handshake) 메시지를 통해 전달된다. 즉, PMS1(pre_master_secret1) 및 nonce1(client.random)은 각각 client_key_exchange 및 client_hello 메시지를 통해 인증 서버(300)로 전달되며, PMS2(pre_master_secret2) 및 nonce2(server.random)는 각각 server_key_exchange 및 server_hello 메시지를 통해 인증 서버(300)로 전달된다.
이러한 값들을 수신한 인증 서버(300)는 다음의 <수학식 1> 및 <수학식 2>에 따라 순차로 MS 및 MSK를 산출한다.
그러면, 본 발명의 실시 예에 따른 인증 방법에 대해서 보다 자세히 설명하기로 한다. 도 6은 본 발명의 바람직한 실시 예에 따른 인증 방법을 설명하기 위한 도면이다.
도 6을 참조하면, 사용자 단말(100)은 S601 단계에서 접속 서버(200)로 EAP 협상을 위해 협상 개시 패킷(EAP-Start)을 접속 서버(200)로 전송한다.
그러면, 접속 서버(200)는 S603 단계에서 사용자 단말(100)의 사용자 식별자(user-Id)를 요청하는 식별 요청 패킷(EAP-Request/Identity)을 사용자 단말(100)로 전송한다. 이러한 요청을 수신한 사용자 단말(100)은 S605 단계에서 사용자 식별자(user-Id)를 포함하는 식별 응답 패킷(EAP-Response/Identity)을 접속 서버(200)로 전송한다.
식별 응답 패킷(EAP-Response/Identity)을 수신한 접속 서버(200)는 S607 단계에서 사용자 식별자(user-Id)를 포함하는 접속 요청 패킷(Access Request)을 인증 서버(300)로 전송한다. 이때, 접속 서버(200)는 식별 응답 패킷(EAP-Response/Identity)을 유선 구간 보안 프로토콜에 따라 접속 요청 패킷(Access Request)을 생성한다. 유선 구간 보안 프로토콜은 "RADIUS" 및 "DIAMETER" 등을 포함한다. 예컨대, 접속 서버(200)는 EAP 패킷을 RADIUS에 따라 압축된 RADIUS 패킷을 생성한다. 이와 같이, 접속 서버(200)와 인증 서버(300)간의 유선 구간에서는, 유선 구간의 프로토콜에 따라 패킷을 압축하여 전송한다. 이하로는 이러한 유선 구간의 유선 구간 보안 프로토콜에 대한 설명을 생략하기로 한다.
접속 요청 패킷(Access Request)을 수신한 인증 서버(300)는 인증 방법을 선택한다. 이때, 인증 서버(300)는 EAP-MD5, EAP-TLS, PEAP, EAP-SIM, EAP-AKA 및 EAP-CPN 중 어느 하나의 인증 방법을 선택할 수 있다. 여기서, 인증 서버(300)는 EAP-CPN을 선택하였다고 가정한다.
그러면, 인증 서버(300)는 S609 단계에서 nas_hello 및 peer_hello 메시지를 포함하는 접속 지원 패킷(Access Challenge)을 접속 서버(200)로 전송한다. 접속 지원 패킷(Access Challenge)은 EAP 패킷의 타입(Type) 필드를 EAP-CPN으로 설정(type = EAP-CPN)하여 해당 EAP 패킷이 EAP-CPN 방식에 따른 패킷임을 나타낸다. 또한, 인증 서버(300)는 플래그(flag) 필드를 S(Start)로 설정하여, EAP-CPN 방식에 따른 인증 절차가 시작됨을 알린다.
접속 서버(200)는 수신한 접속 지원 패킷(Access Challenge)으로부터 nas_hello 메시지를 추출한다. 그런 다음, 접속 서버(200)는 S611 단계에서 peer_hello 메시지를 포함하는 EAP 요청 패킷(EAP Request)을 사용자 단말(100)로 전송한다. 접속 지원 패킷(Access Challenge)과 마찬가지로, 접속 서버(200)는 EAP 요청 패킷(EAP Request)의 EAP 패킷의 타입(Type) 필드를 EAP-CPN으로 설정(type = EAP-CPN)하고, 플래그(flag) 필드를 S(Start)로 설정하여, EAP-CPN 방식에 따른 인증 절차가 시작됨을 알린다.
사용자 단말(100)은 S613 단계에서 핸드셰이크(handshake) 메시지들을 포함하는 EAP 응답 패킷(EAP Response)을 접속 서버(200)로 전송한다. EAP 응답 패킷(EAP Response)은 핸드셰이크 메시지로 client_hello, client_certificate, client_key_exchange 및 client_certificate_verify 메시지를 포함한다.
client_hello 메시지는 사용자 단말(100)이 생성한 랜덤 값(random number)인 nonce1을 포함한다. 이외로 client_hello 메시지는 사용자 단말(100)의 TLS 버전(version number), 세션 식별자(session_Id), 및 암호화를 위한 알고리즘들의 집합(set of cipher suites)을 포함한다. 여기서, TLS 버전은 TLS v1.0 이상임이 바람직하다. 세션 식별자(session_Id)는 사용자 단말(100)과 인증 서버(300)간의 연결에 대해 사용자 단말(100)이 사용하고자 하는 식별자이다. 암호화를 위한 알고리즘들의 집합(set of cipher suites)은 사용자 단말(100)이 지원 가능한 키 교환 방식, 암호 방식, MAC 방식 등을 포함한다. 사용자 단말(100)은 이러한 집합(suite)을 인증 서버(300)에 제안하고, 인증 서버(300)는 이러한 집합(suite) 중 어느 일 집합(suite)을 선택하는 협상 과정을 수행하나, 발명의 요지를 흐리지 않기 위해 자세한 설명은 생략하기로 한다.
client_certificate 메시지는 사용자 단말(100)의 인증서(X.509v3 certificate) 및 공개키(public key)가 수납된다.
client_key_exchange 메시지는 사용자 단말(100)이 생성한 PMS1을 포함한다. PMS1은, <수학식 1>과 같이, 루트 인증서의 공개키(Public key of the root certificate)로 암호화되어 수납된다.
client_certificate_verify 메시지에는 사용자 단말(100)의 개인키(private key)로 암호화된 해싱 값이 수납되어 전송된다. client_certificate_verify 메시지는 사용자 단말(100)이 Client Certificate 메시지의 인증서에 수납된 공개키에 대응하는 개인키를 가지고 있음을 서명 값으로 인증 서버(300)에 증명하는 것이다. 즉, 인증 서버(300)는 client_certificate_verify 메시지의 서명 값을 검사하여, 인증서에 수납된 공개키에 대응되는 개인키를 사용자 단말(100)이 분명히 가지고 있음을 인증한다. client_certificate_verify 메시지는 <수학식 3>과 같이 개인키를 이용하여 서명한 핸드셰이크 메시지의 해싱 값을 수납한다.
여기서, 서명 값은 해시 결과에 대한 디지털 서명 값이다. 또한, <수학식 3>의 핸드셰이크 메시지는 사용자 단말(100)이 이전까지 송신한 모든 Handshake 메시지들을 말한다. 즉, Handshake Message는 client_hello, client_certificate, client_key_exchange 및 client_certificate_verify 메시지를 포함한다.
EAP 응답 패킷(EAP Response)을 수신한 접속 서버(200)는 S615 단계에서 사용자 단말(100)의 핸드셰이크(handshake) 메시지들에 자신(200)의 핸드셰이크(handshake) 메시지들을 더 포함하는 패킷(Access Request)을 인증 서버(300)로 전송한다. 즉, 접속 서버(200)는 사용자 단말(100)의 핸드셰이크(handshake) 메시지들에 server_hello, server_certificate, server_key_exchange 및 server_certificate_verify 메시지 등의 핸드셰이크(handshake) 메시지를 포함하는 접속 요청 패킷(Access Request)을 인증 서버(300)로 전송한다.
server_hello 메시지는 접속 서버(200)가 생성한 랜덤 값(random number)인, nonce2를 포함한다. 이외로 server_hello 메시지는 접속 서버(200)의 TLS 버전(TLS version number), 세션 식별자(session_Id), 및 암호화를 위한 알고리즘들의 집합(set of cipher suites)을 포함한다. 접속 서버(200)는 사용자 단말(100)의 세션 식별자(session_Id)가 널(null)이거나, 인식할 수 없는 경우, 접속 서버(200)는 새로운 세션 식별자(session_Id)를 선택하여, 세션을 생성하여야한다.
server_certificate 메시지는 접속 서버(200)의 인증서(X.509v3 certificate) 및 공개키(public key)가 수납된다.
server_key_exchange 메시지는 접속 서버(200)가 생성한 랜덤 값(random number)을 포함한다. 여기서, 랜덤 값은 PMS2이며, PMS의 일부이다.
PMS2는 <수학식 2>와 같이, 루트 인증서의 공개키(Public key of the root certificate)로 암호화되어 server_key_exchange 메시지에 수납된다.
server_certificate_verify 메시지에는 접속 서버(200)의 개인키(private key)로 암호화된 해싱 값이 수납되어 전송된다. server_certificate_verify 메시지는 접속 서버(200)가 server_certificate 메시지의 인증서에 수납된 공개키에 대응하는 개인키를 가지고 있음을 서명 값으로 인증 서버(300)에 증명하는 것이다. 즉, 인증 서버(300)는 server_certificate_verify 메시지의 서명 값을 검사하여, 인증서에 수납된 공개키에 대응되는 개인키를 접속 서버(200)가 분명히 가지고 있음을 인증한다. client_certificate_verify 메시지는 <수학식 4>와 같이 개인키를 이용 하여 서명한 핸드셰이크 메시지의 해싱 값(HASH{Handshake Message})을 수납한다.
여기서, 서명 값은 해시 결과에 대한 디지털 서명 값이다. 또한, 핸드셰이크(Handshake) 메시지는 접속 서버(200)가 이전까지 송신한 모든 핸드셰이크(Handshake) 메시지들을 말한다.
인증 서버(300)는 수시한 사용자 단말(100) 및 접속 서버(200)의 핸드셰이크 메시지들을 이용하여 사용자 단말(100) 및 접속 서버(200)를 각각 인증하고, 보안키를 생성한다.
사용자 단말(100)을 인증하기 위하여 인증 서버(300)는 client_certificate 메시지의 사용자 단말(100)의 인증서를 인증서의 서명(signature)을 이용하여 검증한다. 인증 서버(300)는 인증서의 공개키를 이용하여 client_certificate_verify 메시지의 서명 값을 해독하고, 앞서 전송된 핸드셰이크 메시지의 해싱 값을 산출한다. 앞서 설명한 바와 같이, client_certificate_verify 메시지는 사용자 단말(100) 자신이 사용자 단말(100)의 인증서에 수납된 공개키에 대응하는 개인키를 가지고 있음을 서명 값으로 서버에게 증명하는 것이다. 따라서 인증 서버(300)는 서명 값을 검사하여, 인증서에 수납된 공개키에 대응되는 개인키를 해당 사용자 단말(100)이 분명히 가지고 있음을 인증한다.
접속 서버(200)를 인증하기 위하여, 인증 서버(300)는 server_certificate 메시지에 수납된 접속 서버(200)의 인증서를 검증한다. 인증 서버(300)는 인증서의 공개키를 이용하여 server_certificate_verify 메시지의 서명 값을 해독하고, 앞서 전송된 핸드셰이크 메시지의 해싱 값을 산출한다. 앞서 설명한 바와 같이, client_certificate_verify 메시지는 사용자 단말(100) 자신이 접속 서버(200)의 인증서에 수납된 공개키에 대응하는 개인키를 가지고 있음을 서명 값으로 서버에게 증명하는 것이다. 따라서 인증 서버(300)는 서명 값을 검사하여, 인증서에 수납된 공개키에 대응되는 개인키를 해당 접속 서버(200)가 분명히 가지고 있음을 인증한다.
접속 서버(200)를 인증하기 위하여, 인증 서버(300)는 server_certificate 메시지에 수납된 인증서의 서명으로부터 해싱 값을 추출한다. 이때, 인증서의 서명은 접속 서버(200)의 공개키를 이용하여 추출한다. 그런 다음, 인증 서버(300)는 접속 서버(200)의 공개키를 이용하여 server_certificate_verify 메시지의 서명 값을 해독하여 해싱 값을 도출하고, 앞서 전송된 핸드셰이크 메시지의 해싱 값을 산출한다. 이어서, 인증 서버(300)는 산출한 해싱 값들을 비교하여, 인증서에 수납된 공개키에 대응되는 개인키를 해당 접속 서버(200)가 분명히 가지고 있음을 인증한다.
상술한 바와 같이, 사용자 단말(100) 및 접속 서버(200)를 인증한 인증 서버(300)는 <수학식 8> 및 <수학식 9>에서 설명한 바와 같은 방법으로 MS(master secret), KM(Key_Material), MSK(Master session key), 및 EMSK(extended master session key)를 순차로 산출한다. 이때, 인증 서버(300)는 client_key_exchange 및 server_key_exchange 메시지로부터 PMS1 및 PMS2를 얻고, client_key_hello 및 server_key_hello 메시지로부터 nonce1 및 nonce2를 얻는다.
상술한 바와 같이, 보안키(MSK, 필요한 경우 EMSK)를 얻은 인증 서버(300)는 S617 단계에서 접근 허용 패킷(Access Accept)을 접속 서버(200)로 전송한다. 접근 허용 패킷(Access Accept)은 peer_answer, peer_answer_sig, nas_answer 및 nas_answer_sig 메지지를 포함한다.
peer_answer 및 nas_answer 메시지는 인증 결과, 및 보안키(MSK, 필요한 경우, EMSK) 값을 포함한다. 또한, 인증 서버(300)는, <수학식 5> 및 <수학식 6>에 나타난 바와 같이, 사용자 단말(100) 및 접속 서버(200)의 인증 결과 및 보안키를 사용자 단말(100) 또는 접속 서버(200)의 공개키로 암호화하여 수납한다. 이러한 peer_answer 또는 nas_answer 메시지의 예를 <표 1>에 나타내었다.
인증 서버(300)는 peer_answer_signature 및 nas_answer_signature 메시지에 <수학식 7>과 같이 루트 인증서의 개인키를 이용하여 핸드셰이크 메시지를 암호화한 값을 수납한다.
상술한 인증 서버의 핸드셰이크 메시지를 수신한 접근 서버(200)는 S619 단계에서 접근 서버(200) 자신의 개인키를 이용하여 nas_answer 메시지로부터 인증 결과 및 보안키를 추출한다. 그런 다음, 접근 서버(200)는 nas_answer_signature 메시지의 서명 값을 검증하여 인증 서버(300)를 인증한다. 이때, 접근 서버(200)는 사용자 단말(100) 및 접근 서버의 인증 결과 값이 모두 성공이면, nas_answer 메시지로부터 추출한 보안키(MSK, 필요한 경우, EMSK)를 사용한다.
그런 다음, 접근 서버(200)는 S619 단계에서 peer_answer 및 peer_answer_signature 메시지를 EAP 성공 패킷(EAP success)을 통해 사용자 단말(100)로 전송한다. 이를 수신한 사용자 단말(100)은 사용자 단말(100) 자신의 개 인키를 이용하여 peer_answer 메시지의 인증 정보 및 보안키를 추출한다. 그런 다음, 사용자 단말(100)은 루트 인증서의 공개키를 이용하여 peer_answer_signature 메시지의 서명 값을 검증하여 인증 서버(300)를 인증한다. 이때, 사용자 단말(100) 및 접근 서버의 인증 결과 값이 모두 성공이면, 사용자 단말(100)은 peer_answer 메시지로부터 추출한 보안키(MSK, 필요한 경우, EMSK)를 사용한다.
이어서, 사용자 단말(100) 및 접속 서버(200)간에 802.11i 및 PKMv2. 와 같은 L2 프로토콜에 따른 키 협상 과정을 진행한다.
상술한 바와 같이, 본 발명의 실시 예에 따르면, 사용자 단말(100) 및 접속 서버(200) 모두 인증 서버(300)로부터 인증을 받고, 3자간에 모두 보안키를 공유함으로써, 보안 레벨을 높일 수 있다.
이상 본 발명을 몇 가지 바람직한 실시 예를 사용하여 설명하였으나, 이들 실시 예는 예시적인 것이며 한정적인 것이 아니다. 이와 같이, 본 발명이 속하는 기술 분야에서 통상의 지식을 지닌 자라면 본 발명의 사상과 첨부된 특허청구범위에 제시된 권리범위에서 벗어나지 않으면서 균등론에 따라 다양한 변화와 수정을 가할 수 있음을 이해할 것이다.
도 1은 본 발명의 실시 예에 따른 통신 네트워크 시스템의 구성을 도시한 도면.
도 2는 본 발명의 실시 예에 따른 인증 프로토콜의 계층 구조를 설명하기 위한 도면.
도 3은 본 발명의 바람직한 실시 예에 따른 인증 방법을 설명하기 위한 흐름도.
도 4는 본 발명의 실시 예에 따른 EAP 패킷의 구조를 설명하기 위한 도면.
도 5는 본 발명의 실시 예에 따른 보안키 계층 구조에 따른 보안키 생성 방법을 설명하기 위한 도면.
도 6은 본 발명의 바람직한 실시 예에 따른 인증 방법을 설명하기 위한 도면.

Claims (2)

  1. 통신 네트워크의 인증 방법에 있어서,
    접속 서버가 사용자 단말의 인증 정보 및 보안 정보와, 접속 서버의 인증 정보 및 보안 정보를 인증 서버로 전송하는 과정과,
    인증 서버가 사용자 단말 및 접속 서버의 인증 정보를 이용하여 상기 사용자 단말 및 접속 서버를 각각 인증하고, 상기 사용자 단말 및 접속 서버의 보안 정보를 이용하여 보안키를 생성하는 과정과,
    인증 서버가 생성한 보안키와 인증 서버의 인증 정보를 접속 서버 및 사용자 단말에 전송하는 과정과,
    접속 서버 및 사용자 단말이 상기 인증 서버의 인증 정보를 통해 인증 서버를 인증하고, 상기 보안키를 상기 인증 서버와 공유하는 과정을 포함하는 것을 특징으로 하는 통신 네트워크의 인증 방법.
  2. 통신 네트워크의 인증 시스템에 있어서,
    인증 정보 및 보안 정보를 포함하는 메시지를 전송하는 사용자 단말;
    상기 사용자 단말이 전송한 인증 정보 및 보안 정보를 포함하는 메시지와, 자신의 인증 정보 및 보안 정보를 포함하는 메시지를 전송하는 접속 서버; 및
    상기 사용자 단말 및 접속 서버의 인증 정보를 이용하여 상기 사용자 단말 및 접속 서버를 인증하고, 상기 사용자 단말 및 접속 서버의 보안 정보를 이용하여 보안키를 생성하고, 생성한 보안키와 인증 서버의 인증 정보를 접속 서버 및 사용자 단말로 전송하여 상기 사용자 단말 및 접속 서버와 보안키를 공유하도록 하는 인증 서버;를 포함하는 것을 특징으로 하는 통신 네트워크의 인증 시스템.
KR1020080093612A 2008-09-24 2008-09-24 통신 네트워크에서 인증 방법 및 시스템 KR20100034461A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080093612A KR20100034461A (ko) 2008-09-24 2008-09-24 통신 네트워크에서 인증 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080093612A KR20100034461A (ko) 2008-09-24 2008-09-24 통신 네트워크에서 인증 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20100034461A true KR20100034461A (ko) 2010-04-01

Family

ID=42212603

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080093612A KR20100034461A (ko) 2008-09-24 2008-09-24 통신 네트워크에서 인증 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20100034461A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200120968A (ko) * 2019-03-19 2020-10-23 주식회사 쿠노소프트 통신 상태에 영향을 받지 않는 IoT 장치 제어 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200120968A (ko) * 2019-03-19 2020-10-23 주식회사 쿠노소프트 통신 상태에 영향을 받지 않는 IoT 장치 제어 방법

Similar Documents

Publication Publication Date Title
US8001381B2 (en) Method and system for mutual authentication of nodes in a wireless communication network
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US7793103B2 (en) Ad-hoc network key management
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
CN100558035C (zh) 一种双向认证方法及系统
US9392453B2 (en) Authentication
CN105553981B (zh) 一种wlan网络快速认证和密钥协商方法
US20070189528A1 (en) Wireless LAN transmitting and receiving apparatus and key distribution method
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
CN111866881A (zh) 无线局域网认证方法与无线局域网连接方法
Maccari et al. Security analysis of IEEE 802.16
Yang et al. An improved security scheme in WMAN based on IEEE standard 802.16
Chowdhury et al. Security issues in integrated EPON and next-generation WLAN networks
Shojaie et al. Enhancing EAP-TLS authentication protocol for IEEE 802.11 i
Adibi et al. Authentication authorization and accounting (AAA) schemes in WiMAX
Yang et al. Link-layer protection in 802.11 i WLANS with dummy authentication
Liu et al. Extensible authentication protocols for IEEE standards 802.11 and 802.16
KR20100034461A (ko) 통신 네트워크에서 인증 방법 및 시스템
Turab et al. A comparison between wireless LAN security protocols
RU2278477C2 (ru) Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа
Sithirasenan et al. EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability
KR102345093B1 (ko) 무선 인터넷의 보안 세션 제어 시스템 및 보안 세션 제어 방법
Zhao et al. Addressing the vulnerability of the 4-way handshake of 802.11 i
Jiang et al. Network Security in RWNs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20150115

Effective date: 20151230