KR20120080223A - 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법 - Google Patents
인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법 Download PDFInfo
- Publication number
- KR20120080223A KR20120080223A KR1020127011084A KR20127011084A KR20120080223A KR 20120080223 A KR20120080223 A KR 20120080223A KR 1020127011084 A KR1020127011084 A KR 1020127011084A KR 20127011084 A KR20127011084 A KR 20127011084A KR 20120080223 A KR20120080223 A KR 20120080223A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- token
- entity
- msk
- counter value
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
MS의 재인증을 수행하지 않고, 앵커 인증의 재배치 중에 릴레이 보호를 제공하고 무허가 ASN-GW 문제점을 완화하는 확장 인증 프로토콜 등을 적용하는 통신 시스템 내의 인증 재배치를 위한 방법이 제공된다. 본 발명의 방법은 선택적으로 MSK의 안전한 리프레시를 허용한다.
Description
본 발명은 일반적으로 무선 통신 시스템 내의 모바일 단말과 기지국 사이의 인증에 관한 것이다.
WiMAX 포럼은 IEEE 802.16e 기반 무선 인터페이스의 네트워크 지원을 위한 사양을 규정하고 있다. 이 출원의 출원일의 시점에서, 이들 사양의 현재의 릴리즈(release)는 WiMAX 포럼에 의해 출간된 스테이지 2[WMF-T32-005-R010v04_네트워크-스테이지2] 및 스테이지 3[WMF-T33-004-R010v04_네트워크-스테이지3] 문헌에 설명되어 있다.
WiMAX 무선 시스템에 통신 보안을 제공하기 위해, 보안 연관이 모바일 단말과 서빙 네트워크 사이에 유지된다. 이 보안 연관은 네트워크에 진입하는 사용자 단말의 초기 가입 인증 중에 가입자의 홈 네트워크의 지원에 의해 생성되고, 이후에 재인증 이벤트 중에 리프레시될 수 있다. 이러한 재인증 이벤트 중의 시스템 리소스의 최적의 할당은 진행하는 과제를 구성한다.
MS의 재인증을 수행하지 않고 앵커 인증(Anchor Authentication)의 재배치 중에 릴레이 보호를 제공하고 무허가(rogue) ASN-GW 문제점을 완화하는 확장 인증 프로토콜 등을 통상적으로 적용하는 통신 시스템 내의 인증 재배치를 위한 방법이 제공된다. 본 발명의 일 실시예에서, 카운터값의 적용은 인증자의 재배치를 위한 인증 프로토콜의 요소 중에 교환된 메시지 내의 토큰으로서 제공된다. 본 발명의 다른 실시예에서, 재인증을 수행하지 않고 마스터 세션키의 안전한 리프레시를 위한 용례가 제공된다.
본 발명의 교시는 첨부 도면과 관련하여 이하의 상세한 설명을 고려함으로써 즉시 이해될 수 있다.
도 1은 본 발명의 방법이 구현될 수 있는 시스템 아키텍처를 도시하는 도면.
도 2는 종래의 방법에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
도 3은 본 발명의 방법의 실시예에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
도 4는 본 발명의 방법의 다른 실시예에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
도 2는 종래의 방법에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
도 3은 본 발명의 방법의 실시예에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
도 4는 본 발명의 방법의 다른 실시예에 따른 인증을 위한 흐름 시퀀스를 도시하는 도면.
이하의 상세한 설명에서, 한정이 아니라 설명의 목적으로, 본 발명의 예시적인 실시예의 철저한 이해를 제공하기 위해, 특정 아키텍처, 인터페이스, 기술 등과 같은 특정 상세가 설명된다. 그러나, 본 발명은 이들 특정 상세로부터 벗어나는 다른 예시적인 실시예에서 실시될 수도 있다는 것이 당 기술 분야의 숙련자들에게 명백할 것이다. 몇몇 경우에, 공지의 디바이스, 회로 및 방법의 상세한 설명은 불필요한 상세로 설명된 실시예의 설명을 불명료하게 하지 않기 위해 생략된다. 모든 원리, 양태 및 실시예, 뿐만 아니라 그 특정 예는 그 구조적 및 기능적 등가물의 모두를 포함하도록 의도된다. 부가적으로, 이러한 등가물은 현재 공지된 등가물 뿐만 아니라 미래에 개발될 등가물의 모두를 포함하는 것으로 의도된다.
본 발명은 이하에 WiMAX 용례의 견지에서 설명된다. 그러나, 본 발명은 다른 무선 시스템에 적용 가능할 수 있고, 이하의 상세한 설명에서 WiMAX 용례의 사용은 단지 본 발명의 원리를 설명하기 위한 것이고, 본 발명의 범주를 한정하도록 임의의 방식으로 의도되는 것은 아니라는 것이 명백할 것이다.
도 1은 본 명세서에 개시된 본 발명의 방법이 구현될 수 있는 시스템 아키텍처를 도시한다. 이 도면은 WiMAX 표준 WMF-T32-005-R010v04_네트워크-스테이지 2의 도 6-5에 도시된 통상의 네트워크 기준 모델에 대응한다.
무선 통신 시스템에서, 보안 메커니즘이 일반적으로 단지 인증된 사용자만이 통신 시스템으로의 액세스가 제공되는 것을 보장하도록 적용된다. 이러한 보안 메커니즘을 구현하기 위해 수행된 프로토콜은 일반적으로 인증으로서 특징화되고, 통상적으로 3개의 엔티티, 즉 (1) 통신 시스템으로의 액세스를 요구하는 이동국(도 1의 MS)과 같은 탄원자(또는 클라이언트), (2) 통신 네트워크로의 액세스를 위한 게이트-키퍼로서 동작하는 인증자[도 1에 도시된 WiMAX 시스템의 액세스 서비스 네트워크 게이트웨이(ASN-GW)라 칭함] 및 (3) 탄원자와 인증 서버 사이의 인증 메시지(일반적으로 더 많은 키 중 하나로 부호화됨)에 기초하여 판정하는 인증 서버(도 1에 홈 AAA 서버로서 도시됨) 사이에 분배된다.
WiMAX를 포함하는 다수의 무선 통신 시스템에서, 인증은 확장 인증 프로토콜(EAP)을 사용하여 구현된다. WiMAX 보안 프레임워크, 섹션 7.3 및 특히 섹션 7.3.8에 설명된 바와 같이, EAP-기반 인증 프로토콜의 성공적인 완료에 의해, 이동국(MS) 및 홈 AAA(HAAA) 서버의 모두는 비밀 마스터 세션키(MSK)를 생성한다. 이 키는 서빙 시스템 ASN-GW의 인증자 기능에 HAAA에 의해 송신된다.
이 MSK 보안 연관은 또한 정보 부호화, 완전성 보호 등을 위한 다중 저레벨 보안키를 생성하는데 사용된다.
ASN-GW 내의 인증 기능은 앵커링되고, 상당한 시간 기간 동안 정적으로 유지될 수 있고, 반면 MS는 서빙 ASN의 범위 내에서 기지국에 의해 서빙된다. 인증자는 또한 MS가 이웃하는 ASN 내로 로밍하면 이 ASN이 동일한 운영자의 완전히 신뢰된 도메인 내에 속하는 한 앵커링 유지될 수 있다. 그러나, MS가 R4 인터페이스 기준점(도 1에 도시된 바와 같이)을 통해 신뢰 경계를 가로질러 다른 ASN에 핸드오버함에 따라, 보안 프레임워크는 MS의 재인증을 지정한다.
재인증의 결과로서, 새로운 ASN-GW는 인증자 책임을 취하고, 새로운 MSK를 수신한다. 실제로, 이러한 재인증은 인증자의 재배치를 야기한다.
동적 고이동도 환경에서, MS의 급속한 이동은 이웃하는 ASN 사이의 빈번한 핸드오버를 야기할 수 있고, 따라서 하나의 ASN-GW로부터 다른 ASN-GW로의 인증자 기능의 빈번한 재배치를 필요로 할 수 있다. 이러한 반복된 재인증의 수행은 백홀 네트워크(backhaul network), AAA 인프라구조 및 더 중요하게는 공중 인터페이스에 부가의 부담을 부과한다.
예를 들어, 아이들 모드에 있는, 즉 서빙 시스템과 활발하게 통신하지 않는 상태에 있는 동안 하나의 ASN으로부터 다른 ASN으로 로밍하는 MS를 고려한다. 인증자 재배치를 위한 재인증을 수행하기 위해, 시스템은 MS를 "웨이크업(wake up)"하고, 복잡한 EAP 인증 프로토콜을 실행하고, 이어서 MS를 아이들 상태로 재차 해제할 필요가 있을 수 있다. 이 동작은 MS 및 시스템 리소스를 긴장시킬 수 있다.
재인증을 수행하지 않고 인증자 시프팅을 위한 방법이 당 기술 분야에 제공되어 있다. 이 접근법의 본질은 도 2에 도시되어 있고 이하에 요약된다.
? MS는 예를 들어 현재 페이징 영역에 대해 오버레이 서빙 네트워크로부터 수신된 지시를 분석함으로써 다른 ASN 내로 로밍하는 것을 인식하고, 따라서 그 등록된 위치를 업데이트할 필요가 있다는 것을 인지한다. 대안적으로, MS는 세션을 요구하기 위해 새로운 ASN을 액세스하도록 판정할 수 있다. 어느 경우든, MS는 레인징 요구(Ranging Request), RNG-REQ를 영역 내의 가장 가까운 기지국에 송신한다.
? MS로부터의 RNG-REQ 메시지는 기지국(BS)에 의해 수신되고 유효화될 필요가 있다. 이 기능을 구현하기 위해, BS는 이 MS를 서빙하는 현재 앵커 인증자로부터 액세스 보안키(AK)를 요구할 필요가 있다. 도 2의 단계 2에 도시된 바와 같이, BS는 통상적으로 R6 인터페이스(BS와 ASN-GW 사이)를 통해 로컬 ASN-GW로 이 요구를 릴레이하고, 이는 MS를 위한 새로운 타겟 인증자("새로운 인증자"에 대해 nA로 도시됨)가 되어 MS를 이전에 서빙하는 ASN과 연관된 현재의 앵커링된 서빙 인증자("이전의 인증자"에 대해 pA로 도시됨)로부터 차별화된다.
? nA는 MS가 다른 ASN에 레지스터되고 그 보안 연관이 pA에 앵커링되는 것을 인식한다. 도 2의 단계 3에 나타낸 바와 같이, nA는 R4 인터페이스를 통해 pA에 요구를 포워딩한다.
? MS에 대한 현재 인증자, pA는 2개의 넌스, Nonce1 및 Nonce2를 생성한다. pA는 이어서 MSKhash1로서 도 2의 단계 4에 나타낸 메시지 (토큰) 재배치 요구 토큰을 생성하기 위해 nA의 아이덴티티에 추가하여 MSK 및 Nonce1을 사용한다. 이 재배치 요구 토큰은 단계 4에서 새로운 타겟 인증자 nA에 전달되고, 단계 5에서 R3/R5를 통해 nA에 의해 HAAA에 포워딩된다.
? HAAA는 pA(현재 비밀 MSK를 소유하고 있음)가 nA에 그 인증자 책임을 전송하는 것을 동의하는 증명으로서 이 토큰을 유효화한다.
? HAAA는 또한 nA가 현재 MS 세션에 대한 인증자 듀티를 수행하도록 인증되고 동일한 MSK를 수신하기에 충분히 신뢰되는 것을 검증하기 위해 로컬 정책을 검사한다. 이러한 경우에, HAAA는 단계 6에서 현재 활성 MSK를 nA에 송신한다.
? MSK의 수신시에, nA는 수신된 MSK 및 Nonce2를 사용하여 재배치 인증 토큰 MSKhash2를 연산한다. 토큰 MSKhash2는 nA가 이제 MSK를 소유중이고 HAAA가 인증자 전송을 인증하는 것의 증명으로서 단계 7에서 pA에 송신된다.
? 단계 8에서, AuthRelocFinResp 메시지는 단계 7의 메시지에 의해 개시된 트랜잭션을 닫는다. 실제로, AuthRelocFinResp 메시지는 pA가 유효화되고 MSKHash를 수용하게 하고, 이에 의해 만족되고, AAA 인증을 갖는 nA가 이제 유효한 MSK를 소유중이라는 증명으로서 이를 처리한다. 달리 말하면, 인증자 재배치는 이제 종결될 수 있다.
? pA로부터의 후속의 어카운팅 정지(단계 9) 및 nA로부터의 어카운팅 시작(단계 11)은 인증자 재배치가 성공적으로 완료된 것을 HAAA에 지시한다.
전술된 종래의 절차는 이하에 설명되는 바와 같이 다수의 결점을 겪게된다.
? Nonce1 및 Nonce2는 동일한 엔티티, pA에 의해 난수로서 생성되고, 신선성(freshness)을 위해 임의의 다른 네트워크 엔티티에 의해 검증될 수 없다. 즉, nA 또한 HAAA의 어느 것도 제시된 랜덤 Nonce1 또는 Nonce2가 이전에 사용되지 않은 것을 검증할 수 없다. 따라서, 인증자 재배치 트랜잭션을 위한 릴레이 보호의 어떠한 보장도 존재하지 않는다. 그 결과, 무허가 ASN-GW는 HAAA로의 요구시에 재배치 요구 토큰을 반복할 수 있고 MS가 다른 위치에서 서빙되더라도 MSK를 수신할 수 있다. MSK의 소유는 이러한 무허가 ASN-GW가 MS 세션 상에서 도청할 수 있고 심지어 다른 시스템에서 그 서비스를 거부할 수 있게 한다.
? 전술된 종래의 프로토콜은 R4 인터페이스가 전송 레이어 보안 수단에 의해 보호되고, 그 결과 pA 및 nA 인증자가 이들의 아이덴티티를 가장하거나 기만할 수 없다는 것을 가정한다. 이 가정은 무허가 ASN-GW가 pA와 nA 사이에 중간자(Man-in-the Middle) R4 엔티티로서 자체로 삽입되고, 재배치 요구 토큰을 캐시하고, 이를 MSK를 얻기 위해 이후에 재사용할 수 있기 때문에, 보장되지 않는다.
? 하나 초과의 ASN 내의 동일한 MSK를 재사용하는 것은 손상된 ASN-GW가 단지 현재의 MS 트래픽 뿐만 아니라 MSK 유효성의 전체 기간 동안 이 MS의 모든 이전의 및 미래의 데이터를 복호화할 수 있기 때문에 MSK 취약성의 범주를 증가시킨다.
본 발명자들은 여기서 이 접근법에서 식별된 문제점을 다루는 종래의 방법론에 대한 다수의 수정예를 개시하고 있다. 이들 수정예는 본 발명의 2개의 실시예를 도시하고 이하에 설명되는 도 3 및 도 4에 도시되어 있다. 도 2의 흐름도로부터 불변된 단계는 일반적으로 도 3 및 도 4의 이하의 설명에서 반복되지 않는다는 것을 주목하라.
구체적으로,
? 단계 3a에서, 계속 증가하는 카운터에 기초하여 새로운 변수, 카운터 1이 Nonce 2와 함께 pA에서 생성되어[랜덤 넌스(Nonce 1)에 대한 대체물로서], 재배치 요구 토큰을 생성한다.
? 유리하게는, 이러한 카운터는 WiMAX/IEEE 802.16e 시스템에 이미 존재하고, 표준 [WMF-T33-001-R010v04_네트워크-스테이지3-베이스]의 섹션 4.3.4에 설명된 CMAC_KEY_COUNT 카운터로서 정의되어 있다. 이 CMAC_KEY_COUNT는 현재 공중 인터페이스 상의 관리 메시지의 릴레이 보호를 위해 사용되고, MS (CMAC_KEY_COUNTM) 및 앵커 인증자 pA (CMAC_KEY_COUNTM)에 의해 유지된다. CMAC_KEY_COUNTM은 서빙 기지국에 MS에 의해 송신된 물리적 연결 메시지 (RNG-REQ, LU-REQ) 내에 포함된다.
? 이 CMAC_KEY_COUNTM은 도 3 및 도 4의 단계 2 트랜잭션 중에 R6 인터페이스를 통해 서빙 BS에 의해 nA에 포워딩되고, 단계 3에서 R4 인터페이스를 통해 nA에 의해 pA에 릴레이된다. 정상 동작시에, pA는 수신된 CMAC_KEY_COUNTM을 국부적으로 유지된 CMAC_KEY_COUNTN과 비교할 수 있고 CMAC_KEY_COUNTN의 활성값으로서 더 큰 값을 선택한다.
? pA는 이제 재배치 요구 토큰을 연산하는데 있어서 카운터 1 파라미터로서 단계 3a에서 CMAC_KEY_COUNTN을 사용할 수 있다.
? 단계 3b에 나타낸 바와 같이, MSK, 카운터 1, Nonce2, pA-ID 및 nA-ID의 값은 재배치 트랜잭션에 수반된 엔티티의 적절한 바인딩을 보장하기 위해 재배치 요구 토큰의 연산에 포함된다. 이 수단은 무허가 ASN-GW에 의한 가능한 아이덴티티 기만을 방지한다.
? 재배치 요구 토큰, pA-ID, nA-ID, 카운터1 및 Nonce2는 단계 4에서 새로운 인증자 nA에 전달되고, 단계 5에서 nA에 의해 HAAA에 포워딩된다.
? HAAA는 WiMAX 표준 [WMF-T33-001-R010v04_네트워크-스테이지3-베이스]의 섹션 4.3.4에 정의된 요구에 따라, 성공적인 EAP 인증시에 CMAC_KEY_COUNTN이 값 1로 재설정되고 네트워크 내의 매 성공적인 MS 엔트리로 증분된다는 것을 인식한다. HAAA는 또한, 본 발명의 방법에 따라, pA가 CMAC_KEY_COUNTN의 현재 유지된 값에 동일하도록 카운터1을 설정하고, 이는 다음의 재인증까지 1보다 크고 카운터1의 임의의 다른 이전에 수신된 값보다 커야 한다. 이 검사의 임의의 위반은 재배치 요구 토큰의 릴레이를 지시하고, 거절되어야 한다.
? 이전의 섹션(단계 5a에서)의 테스트에 대한 카운터 1의 값을 평가하고 수용 가능한 카운터 1을 발견한 후에, HAAA는 재배치 요구 토큰을 유효화한다(단계 5b에서).
전술된 바와 같이, 본 발명의 2개의 예시적인 실시예가 도 3 및 도 4에 의해 도시되어 있다. 이 시점에서, 2개의 실시예의 동작은 양 도면에서 동일하고, 이러한 공통 동작은 양 도면에 대해 전술되어 있다. 그러나, 이하 2개의 실시예를 위한 동작은 다소 다르고 이들은 도 3 및 도 4에 대해 개별적으로 설명되어 있다.
? 도 3에 도시된 실시예에서, HAAA는 카운터 1 및 MSK의 해시로서 MSK'를 생성하기 위해 단계 5c에 나타낸 바와 같이 신선성 파라미터로서 카운터 1을 사용함으로써 MSK'로 나타낸 MSK의 신선한 버전을 생성한다.
? MSK'는 이어서 단계 6에서 HAAA로부터 nA에 전달된다.
? nA는 MSK'를 사용하여 단계 6a에서 재배치 인증 토큰을 연산하고, 이 토큰을 MSK'의 소유의 증명으로서 pA에 리턴한다(단계 7에서).
? pA는 단계 7a에서 재배치 인증 토큰을 평가하고, 단계 7b에서 유효화하고, 단계 8에서 인증자 재배치를 완료한다.
? 인증자 재배치 지시기(ARI)는 단계 9의 트랜잭션에서 MS에 송신되어, 물리적 인증자 또는 재배치 업데이트가 완료되는 것을 지시하고, 부가적으로 MSK가 리프레시된다. 이 지시를 사용하여, MS는 그 현재값 및 CMAC_KEY_COUNTM을 신선성 파라미터로서 사용하여 MSK를 재연산한다.
? CMAC_KEY_COUNTM의 값이 pA에 유지된 CMAC_KEY_COUNTN보다 작으면, MS는 네트워크 내에 허용되지 않을 수 있다는 것이 주목되어야 한다. CMAC_KEY_COUNTM이 이전에 유지된 CMAC_KEY_COUNTN과 동일하거나 그보다 크면, pA는 MS에 의해 초기에 보고된 CMAC_KEY_COUNTM과 동기화되도록 그 CMAC_KEY_COUNTN을 업데이트한다. 따라서, MS, pA 및 HAAA 내의 CMAC_KEY_COUNT의 값은 이 시점에서 완전히 동기화된다. 그 결과, MS, pA 및 HAAA에 의해 연산된 MSK'는 동일하다.
? 후속의 pA로부터의 래디어스 어카운팅 정지(RADIUS Accounting Stop)(단계 10) 및 nA로부터의 어카운팅 시작(단계 11)은 인증자 재배치가 완료되는 것을 HAAA에 지시한다.
? 이 시점에서, MS, HAAA 및 nA는 새로운 MSK = MSK'가 활성인 것으로 선언할 수 있고, pA는 이전의 MSK를 삭제할 수 있다.
? 도 4에 도시된 대안 실시예에서, 본 발명의 동작은 새로운 MSK의 생성 없이 진행한다. 따라서, 이 실시예에서, HAAA는 MSK, MSK'의 신선한 값을 생성하지 않고(도 3의 단계 5c에 도시된 바와 같이), 대신에 nA에 현재 유효한 MSK를 리턴한다(도 4의 단계 6).
? nA는 MSK를 사용하여 단계 6a에서 재배치 인증 토큰을 연산하고, 단계 7에서 MSK의 소유의 증명으로서 이 토큰을 pA에 리턴한다.
? pA는 단계 7a에서 재배치 인증 토큰을 평가하고, 단계 7b에서 유효화하고, 단계 8에서 인증자 재배치를 완료한다.
? 레인징 응답(RNG-RSP)은 단계 9의 트랜잭션에서 MS에 송신되어, 물리적 연결 또는 위치 업데이트가 MSK의 수정 없이 완료되는 것을 지시한다.
요약하면, 본 발명의 방법론의 수정된 인증 재배치 절차는 본 명세서에 설명된 바와 같이, 선택적으로 MSK의 안전한 리프레시를 허용하면서 MS의 재인증의 수행 없이, 릴레이 보호를 제공하고 앵커 인증의 재배치 중에 무허가 ASN-GW 문제점을 완화한다.
여기서, 본 발명자들은 인증 기능의 재배치를 갖지만 모바일 단말의 재인증의 필요성은 없고, 당 기술 분야의 방법에 비한 네트워크 보안의 상당한 개량을 제공하는 하나의 서빙 시스템으로부터 다른 시스템으로 로밍 모바일 단말의 이동성을 지원하기 위한 방법을 개시하고 있다. 본 발명의 무수히 많은 수정예 및 대안 실시예가 상기 설명의 견지에서 당 기술 분야의 숙련자들에게 명백할 것이다.
따라서, 이 설명은 단지 예시적인 것으로서 해석되어야 하고 본 발명을 수행하는 최선의 모드를 당 기술 분야의 숙련자들에게 교시하기 위한 것이고, 그 모든 가능한 형태를 예시하도록 의도된 것은 아니다. 사용된 용어는 한정보다는 설명의 용어이고, 구조의 상세는 실질적으로 본 발명의 사상으로부터 벗어나지 않고 변경될 수 있고, 첨부된 청구범위의 범주 내에 오게 되는 모든 수정의 배타적인 사용이 확보된다는 것이 또한 이해된다.
Claims (15)
- 인증 방법에 있어서,
2개 이상의 변수의 함수로서 토큰을 형성하는 단계 - 상기 변수 중 하나는 카운터값임 - 와,
상기 토큰과 연관된 요청의 유효성을 판정하기 위해 인증 엔티티에서 상기 토큰을 평가하는 단계를 포함하는
인증 방법.
- 제 1 항에 있어서,
상기 2개 이상의 변수 중 다른 하나는 마스터 세션키(MSK; master session key)인
인증 방법.
- 제 1 항에 있어서,
상기 카운터값은 연관된 엔티티로부터 제공되고 초기에는 인증 이외의 기능을 위해 생성되는
인증 방법.
- 제 2 항에 있어서,
상기 카운터값 및 상기 MSK의 함수로서 제 2 MSK가 생성되는
인증 방법.
- 제 2 항에 있어서,
상기 토큰은 제 1 인증 엔티티로부터 제 2 인증 엔티티로 송신되는
인증 방법.
- 제 5 항에 있어서,
상기 제 1 인증 엔티티는 인증된 사용자와 현재 관계를 갖고 있으며, 상기 토큰의 송신은 상기 인증된 사용자가 상기 제 2 인증 엔티티와 인증 관계를 설정하도록 이동함에 따라 발생하는
인증 방법.
- 제 5 항에 있어서,
상기 제 2 인증 엔티티는 수신된 토큰 및 그 아이덴티티의 지표(indicia)를 인증 서버에 송신하는
인증 방법.
- 제 7 항에 있어서,
상기 인증 서버는 인증을 위해 상기 토큰을 평가하고, 상기 토큰의 인증시에 상기 제 1 인증 엔티티에 포워딩하기 위해 제 2 토큰을 생성하는
인증 방법.
- 제 8 항에 있어서,
상기 제 2 토큰은 상기 카운터값 및 상기 MSK의 함수로서 생성되는
인증 방법.
- 제 8 항에 있어서,
상기 제 2 토큰은 상기 카운터값 및 제 2 MSK의 함수로서 생성되는
인증 방법.
- 제 8 항에 있어서,
상기 사용자에 대한 인증 관계는 상기 제 1 인증 엔티티에서 상기 제 2 토큰의 평가시에 상기 제 1 인증 엔티티로부터 상기 제 2 인증 엔티티로 전송되는
인증 방법.
- 사용자에 대한 인증 관계를 제 1 인증 엔티티로부터 제 2 인증 엔티티로 전송하기 위한 방법에 있어서,
상기 제 1 인증 엔티티에서, 마스터 세션키(MSK) 및 카운터값의 함수로서 제 1 토큰을 생성하는 단계와,
상기 제 1 토큰을 상기 제 1 인증 엔티티로부터 상기 제 2 인증 엔티티로 송신하는 단계와,
상기 제 2 인증 엔티티에 대한 아이덴티티의 지표와 함께 상기 제 1 토큰을 상기 제 2 인증 엔티티로부터 인증 서버로 송신하는 단계와,
상기 인증 서버에서 인증을 위해 상기 제 1 토큰을 평가하고, 상기 제 1 토큰의 인증시에, 상기 제 1 인증 엔티티에 포워딩하기 위해 상기 MSK 및 상기 카운터값의 함수로서 제 2 토큰을 생성하는 단계와,
상기 제 1 인증 엔티티에서 상기 제 2 토큰을 평가하고 상기 사용자에 대한 인증 관계를 상기 제 1 인증 엔티티로부터 상기 제 2 인증 엔티티로 전송하는 단계를 포함하는
방법.
- 제 12 항에 있어서,
상기 카운터값은 연관 엔티티로부터 제공되고 초기에는 인증 이외의 기능을 위해 생성되는
방법.
- 사용자에 대한 인증 관계를 제 1 인증 엔티티로부터 제 2 인증 엔티티로 전송하기 위한 방법에 있어서,
상기 제 1 인증 엔티티에서, 마스터 세션키(MSK) 및 카운터값의 함수로서 제 1 토큰을 생성하는 단계와,
상기 제 1 토큰을 상기 제 1 인증 엔티티로부터 상기 제 2 인증 엔티티로 송신하는 단계와,
상기 제 2 인증 엔티티에 대한 아이덴티티의 지표와 함께 상기 제 1 토큰을 상기 제 2 인증 엔티티로부터 인증 서버로 송신하는 단계와,
상기 인증 서버에서 인증을 위해 상기 제 1 토큰을 평가하는 단계와,
상기 MSK 및 상기 카운터값의 함수로서 상기 인증 서버에 의해 제 2 MSK 값을 생성하는 단계와,
상기 인증 서버에 의한 상기 제 1 토큰의 인증시에, 상기 제 1 인증 엔티티에 포워딩하기 위해 상기 제 2 MSK 값 및 상기 카운터값의 함수로서 제 2 토큰을 생성하는 단계와,
상기 제 1 인증 엔티티에서 상기 제 2 토큰을 평가하고 상기 사용자에 대한 인증 관계를 상기 제 1 인증 엔티티로부터 상기 제 2 인증 엔티티로 전송하는 단계를 포함하는
방법.
- 제 14 항에 있어서,
상기 카운터값은 연관 엔티티로부터 제공되고 초기에는 인증 이외의 기능을 위해 생성되는
방법.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US28016809P | 2009-10-30 | 2009-10-30 | |
| US61/280,168 | 2009-10-30 | ||
| US12/655,842 US8443431B2 (en) | 2009-10-30 | 2010-01-08 | Authenticator relocation method for WiMAX system |
| US12/655,842 | 2010-01-08 | ||
| PCT/US2010/054426 WO2011053680A2 (en) | 2009-10-30 | 2010-10-28 | Authenticator relocation method for wimax system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20120080223A true KR20120080223A (ko) | 2012-07-16 |
| KR101445459B1 KR101445459B1 (ko) | 2014-09-26 |
Family
ID=43507818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020127011084A KR101445459B1 (ko) | 2009-10-30 | 2010-10-28 | 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8443431B2 (ko) |
| EP (1) | EP2494803A2 (ko) |
| JP (1) | JP5535331B2 (ko) |
| KR (1) | KR101445459B1 (ko) |
| CN (1) | CN102668610B (ko) |
| WO (1) | WO2011053680A2 (ko) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010102236A2 (en) * | 2009-03-05 | 2010-09-10 | Interdigital Patent Holdings, Inc. | Secure remote subscription management |
| CN102196407B (zh) * | 2010-03-18 | 2015-09-16 | 中兴通讯股份有限公司 | 锚定鉴权器重定位方法及系统 |
| US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
| US20120204235A1 (en) * | 2011-02-08 | 2012-08-09 | Joe Jaudon | Updating Resource Access Permissions in a Virtual Computing Environment |
| US8875252B2 (en) | 2012-06-07 | 2014-10-28 | Wells Fargo Bank, N.A. | Dynamic authentication in alternate operating environment |
| WO2014185845A1 (en) * | 2013-05-13 | 2014-11-20 | Telefonaktiebolaget L M Ericsson (Publ) | Procedure for platform enforced secure storage in infrastructure clouds |
Family Cites Families (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312265B2 (en) * | 2001-12-11 | 2012-11-13 | Pinder Howard G | Encrypting received content |
| US7200868B2 (en) * | 2002-09-12 | 2007-04-03 | Scientific-Atlanta, Inc. | Apparatus for encryption key management |
| US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| US7987366B2 (en) * | 2004-02-11 | 2011-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Key management for network elements |
| US7624433B1 (en) * | 2005-02-24 | 2009-11-24 | Intuit Inc. | Keyfob for use with multiple authentication entities |
| KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
| US7602918B2 (en) * | 2005-06-30 | 2009-10-13 | Alcatel-Lucent Usa Inc. | Method for distributing security keys during hand-off in a wireless communication system |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| CN1960567B (zh) * | 2005-11-03 | 2010-04-21 | 华为技术有限公司 | 一种终端进入和退出空闲模式的通信方法 |
| CN1980463B (zh) * | 2005-11-29 | 2010-04-21 | 华为技术有限公司 | 一种移动终端上下文的管理方法 |
| US20070150744A1 (en) * | 2005-12-22 | 2007-06-28 | Cheng Siu L | Dual authentications utilizing secure token chains |
| US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US20070154016A1 (en) * | 2006-01-05 | 2007-07-05 | Nakhjiri Madjid F | Token-based distributed generation of security keying material |
| US7752441B2 (en) * | 2006-02-13 | 2010-07-06 | Alcatel-Lucent Usa Inc. | Method of cryptographic synchronization |
| US7561692B2 (en) * | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| PT1999930T (pt) * | 2006-03-28 | 2017-04-07 | ERICSSON TELEFON AB L M (publ) | Método e aparelho para gestão de chaves utilizadas para cifra e integridade |
| US8583929B2 (en) * | 2006-05-26 | 2013-11-12 | Alcatel Lucent | Encryption method for secure packet transmission |
| KR20080033763A (ko) * | 2006-10-13 | 2008-04-17 | 삼성전자주식회사 | 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템 |
| US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| US8539559B2 (en) * | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| US9225518B2 (en) * | 2006-12-08 | 2015-12-29 | Alcatel Lucent | Method of providing fresh keys for message authentication |
| KR101042839B1 (ko) * | 2007-04-16 | 2011-06-20 | 재단법인서울대학교산학협력재단 | 무선 이동 통신 시스템에서 인증 시스템 및 방법 |
| EP1993309B1 (en) * | 2007-05-16 | 2012-07-04 | Nokia Siemens Networks Oy | Mobility Policy in a WiMAX communications system |
| WO2008151663A1 (en) * | 2007-06-12 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatuses for authentication and reauthentication of a user with first and second authentication procedures |
| KR101490243B1 (ko) * | 2007-07-10 | 2015-02-11 | 엘지전자 주식회사 | 이종망간 핸드오버시 빠른 보안연계 설정방법 |
| US20110063997A1 (en) * | 2007-09-07 | 2011-03-17 | Laurence Gras | Interworking between wimax and 3gpp networks |
| TWI351207B (en) * | 2007-10-29 | 2011-10-21 | Inst Information Industry | Key management system and method for wireless networks |
| JP2011504698A (ja) * | 2007-11-23 | 2011-02-10 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 無線lanモビリティ |
| PL2220883T3 (pl) * | 2007-12-11 | 2012-09-28 | Ericsson Telefon Ab L M | Sposoby i urządzenia generujące klucz radiowej stacji bazowej w radiowym systemie komórkowym |
| US8214888B2 (en) * | 2008-01-30 | 2012-07-03 | Vasco Data Security, Inc. | Two-factor USB authentication token |
| JP5225459B2 (ja) * | 2008-04-30 | 2013-07-03 | 聯發科技股▲ふん▼有限公司 | トラフィック暗号化キーの派生方法 |
| US8666077B2 (en) * | 2008-05-07 | 2014-03-04 | Alcatel Lucent | Traffic encryption key generation in a wireless communication network |
| US8793497B2 (en) * | 2008-05-09 | 2014-07-29 | Qualcomm Incorporated | Puzzle-based authentication between a token and verifiers |
| US8595501B2 (en) * | 2008-05-09 | 2013-11-26 | Qualcomm Incorporated | Network helper for authentication between a token and verifiers |
| KR20090126166A (ko) * | 2008-06-03 | 2009-12-08 | 엘지전자 주식회사 | 트래픽 암호화 키 생성 방법 및 갱신 방법 |
| JP4659864B2 (ja) * | 2008-07-30 | 2011-03-30 | 京セラ株式会社 | 通信システム、認証サーバおよび通信方法 |
| US8131296B2 (en) * | 2008-08-21 | 2012-03-06 | Industrial Technology Research Institute | Method and system for handover authentication |
| US8462729B2 (en) * | 2008-12-31 | 2013-06-11 | Motorola Mobility Llc | Method and apparatus to facilitate network processes |
| US8752153B2 (en) * | 2009-02-05 | 2014-06-10 | Wwpass Corporation | Accessing data based on authenticated user, provider and system |
| US20100205448A1 (en) * | 2009-02-11 | 2010-08-12 | Tolga Tarhan | Devices, systems and methods for secure verification of user identity |
| WO2010093200A2 (en) * | 2009-02-12 | 2010-08-19 | Lg Electronics Inc. | Method and apparatus for traffic count key management and key count management |
| US8756674B2 (en) * | 2009-02-19 | 2014-06-17 | Securekey Technologies Inc. | System and methods for online authentication |
| CN104918252A (zh) * | 2009-03-05 | 2015-09-16 | 交互数字专利控股公司 | 用于对wtru执行完整性验证的方法及wtru |
| KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
| US20100235900A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Efficient two-factor authentication |
| US8665819B2 (en) * | 2009-06-19 | 2014-03-04 | Cisco Technology, Inc. | System and method for providing mobility between heterogenous networks in a communication environment |
| US8385549B2 (en) * | 2009-08-21 | 2013-02-26 | Industrial Technology Research Institute | Fast authentication between heterogeneous wireless networks |
| KR101574188B1 (ko) * | 2009-09-30 | 2015-12-03 | 삼성전자주식회사 | 통신 시스템에서 단말의 접속 서비스 네트워크 변경 방법 및 시스템 |
| US9769713B2 (en) * | 2010-03-25 | 2017-09-19 | Alcatel Lucent | Method of relocating access service network functional entities during mobility events in WiMAX networks |
-
2010
- 2010-01-08 US US12/655,842 patent/US8443431B2/en not_active Expired - Fee Related
- 2010-10-28 CN CN201080048368.5A patent/CN102668610B/zh not_active Expired - Fee Related
- 2010-10-28 JP JP2012537034A patent/JP5535331B2/ja not_active Expired - Fee Related
- 2010-10-28 EP EP10776012A patent/EP2494803A2/en not_active Withdrawn
- 2010-10-28 WO PCT/US2010/054426 patent/WO2011053680A2/en active Application Filing
- 2010-10-28 KR KR1020127011084A patent/KR101445459B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011053680A3 (en) | 2011-07-07 |
| JP2013509821A (ja) | 2013-03-14 |
| US8443431B2 (en) | 2013-05-14 |
| CN102668610B (zh) | 2016-08-03 |
| US20110107085A1 (en) | 2011-05-05 |
| CN102668610A (zh) | 2012-09-12 |
| JP5535331B2 (ja) | 2014-07-02 |
| EP2494803A2 (en) | 2012-09-05 |
| KR101445459B1 (ko) | 2014-09-26 |
| WO2011053680A2 (en) | 2011-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5977834B2 (ja) | ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント | |
| US8000704B2 (en) | Fast network attachment | |
| US11689367B2 (en) | Authentication method and system | |
| Fu et al. | A fast handover authentication mechanism based on ticket for IEEE 802.16 m | |
| KR101445459B1 (ko) | 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법 | |
| Nguyen et al. | Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks | |
| EP3525503A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| Elbouabidi et al. | An efficient design and validation technique for secure handover between 3GPP LTE and WLANs systems | |
| CN108495311B (zh) | 基于中继站辅助的高速列车目标基站的安全切换方法 | |
| Lin et al. | A novel localised authentication scheme in IEEE 802.11 based wireless mesh networks | |
| US11202192B2 (en) | Registering user equipment with a visited public land mobile network | |
| EP3518491A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| CN1964259B (zh) | 一种切换过程中的密钥管理方法 | |
| Huang et al. | Design and verification of secure mutual authentication protocols for mobile multihop relay WiMAX networks against rogue base/relay stations | |
| Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| Mathi et al. | A secure and decentralized registration scheme for IPv6 network-based mobility | |
| Taha et al. | Formal analysis of the handover schemes in mobile WiMAX networks | |
| KR100968522B1 (ko) | 상호 인증 및 핸드오버 보안을 강화한 모바일 인증 방법 | |
| Ameur et al. | Secure Reactive Fast Proxy MIPv6-Based NEtwork MObility (SRFP-NEMO) for Vehicular Ad-hoc Networks (VANETs). | |
| El-Amin et al. | Design, verification and implementation of enhanced PKM WiMAX authentication protocol | |
| Ameur et al. | A lightweight mutual authentication mechanism for improving fast PMIPV6-based network mobility scheme | |
| Jiang et al. | Security enhancement on an authentication method for Proxy Mobile IPv6 | |
| Elshakankiry | Securing home and correspondent registrations in mobile IPv6 networks | |
| Ameur et al. | Visiting mobile node authentication protocol for proxy MIPv6-based network mobility |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |