KR20120109580A - 인증 방법, 시스템 및 장치 - Google Patents

인증 방법, 시스템 및 장치 Download PDF

Info

Publication number
KR20120109580A
KR20120109580A KR1020127019645A KR20127019645A KR20120109580A KR 20120109580 A KR20120109580 A KR 20120109580A KR 1020127019645 A KR1020127019645 A KR 1020127019645A KR 20127019645 A KR20127019645 A KR 20127019645A KR 20120109580 A KR20120109580 A KR 20120109580A
Authority
KR
South Korea
Prior art keywords
encryption key
identifier
user identifier
user
request including
Prior art date
Application number
KR1020127019645A
Other languages
English (en)
Other versions
KR101461455B1 (ko
Inventor
샤오밍 루
Original Assignee
차이나 모바일 커뮤니케이션즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 모바일 커뮤니케이션즈 코포레이션 filed Critical 차이나 모바일 커뮤니케이션즈 코포레이션
Publication of KR20120109580A publication Critical patent/KR20120109580A/ko
Application granted granted Critical
Publication of KR101461455B1 publication Critical patent/KR101461455B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1063Application servers providing network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Abstract

본 발명의 실시예는 인증 방법, 시스템 및 장치를 공개하였으며, 상기 방법은, 어플리케이션 서버(AS, Application Server)는 UE(User Equipment, 사용자 단말)가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하는 단계(S101); AS는 사용자 식별자에 근거하여 암호키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계(S102); AS는 네트워크 측이 발송한 암호화 키를 수신하고, 암호화 키에 근거하여 UE에 대해 인증을 진행하는 단계(S103)를 포함한다.
본 발명은 카드를 사용하지 않는 단말과 AS간의 암호화 키를 생성하고, AS에 의해 생성된 암호화 키를 이용하여 UE에 대한 인증을 실현하여, 데이터 전송의 안정성을 향상시켰다.

Description

인증 방법, 시스템 및 장치{AUTHENTICATION METHOD, SYSTEM AND DEVICE}
본 발명의 실시예는 통신 기술분야에 관한 것으로, 특히 인증 방법, 시스템 및 장치에 관한 것이다.
다양한 서비스 발전 요구에 따라, 3GPP(3rd Generation Partnership Project, 제3세대 이동통신 기술표준화 기구)는 IMS(IP Multimedia Subsystem, IP멀티미디어 서브시스템)를 출시하였고, UE(User Equipment, 사용자 단말)는 IMS 액세스 네트워크를 통해 다양한 IMS 응용을 실현할 수 있으며, 동시에 IMS 액세스는 서비스층의 복잡도를 감소시키고, 또한 서비스층에서 서로 다른 액세스 네트워크 또는 인증 매커니즘을 효과적으로 차단하여, 사용자에게 더욱 융합적인 서비스와 더욱 풍부한 서비스을 제공한다.
UE가 IMS에 액세스할 때, IMS 코어 네트워크는 UE의 신원에 대해 인증해야 한다. IMS 액세스 시 사용자 신원에 대한 인증에 있어서, 카드를 사용하는 단말에 대해서는 일반적으로 IMS AKA(Authentication and Key Agreement) 인증 매커니즘을 사용하고, 단말 내의 SIM(Subscriber Identity Module), USIM(Universal Subscriber Indentity Module) 또는 ISIM(IMS Subscriber Identity Module)을 이용하여 사용자 신원에 대한 인증을 실현한다. 카드를 사용하지 않는 단말에 대해서는 SIP(Session Initiation Protocol) Digest 방식에 기반한 인증 매커니즘을 사용할 수 있으며, 사용자 입력 암호를 통해 사용자 신원에 대한 인증을 실현한다. UE는 신원 인증이 통과되면 IMS에 액세스하여, 응용 서버와 서비스 동작을 수행할 수 있으며, UE와 서비스 서버 간에 암호화된 데이터를 전송할 때, 예를 들면 사용자 개인정보 또는 높은 가치의 내용과 관련된 서비스 동작을 수행할 때, 서비스 서버와 UE 간의 암호화된 데이터의 전송 안정성을 보장하기 위해 서비스 서버와 UE간의 인증이 필요하다.
카드를 사용하는 단말에 있어서, 서비스 서버와 UE간의 인증은 SIM/USIM/ISIM에 미리 설정된 Ki/K를 이용할 수 있으며, GBA(General Booststrapping Architecture) 매커니즘을 통해 UE와 서비스 서버 간의 암호화 키를 생성하고, 암호화 키를 이용하여 서비스 서버와 UE간의 인증 과정을 실현한다. 그러나, 카드를 사용하지 않는 단말에 있어서, 종래의 기술에는 서비스 서버와 단말간의 암호화 키를 생성하여 암호화 키에 근거하여 서비스 서버와 단말 간의 인증과정을 실현하는 방법이 아직 없다. IMS 네트워크 외에, 기타 네트워크 시나리오에서 카드를 사용하지 않는 단말이 서비스 서버와 인증을 진행하는 문제 또한 종래기술에서 시급히 해결해야 할 문제이다.
본 발명의 실시예는 카드를 사용하지 않는 단말과 서비스 서버간의 암호화 키를 생성하고, 서비스 서버에 의해 생성된 암호화 키를 이용하여 UE에 대한 인증을 실현함으로써, 데이터 전송의 안정성을 향상시킨 인증 방법, 시스템 및 장치를 제공한다.
본 발명의 실시예에 따른 인증 방법은,
어플리케이션 서버(AS)가 사용자 단말(UE)이 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하는 단계;
상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계;
상기 AS가 상기 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 단계를 포함한다.
상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 인증 서버에 발송하는 단계를 포함하고,
상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 인증 서버가 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 포함한다.
상기 부가 파라미터는 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측의 게이트웨이 장치에 발송하는 단계를 포함하며,
상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파리미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하는 단계; 상기 인증 서버가 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 단계; 상기 게이트웨이 장치가 상기 인증 서버에서 발송한 상기 암호화 키를 수신하여 상기 AS에 발송하는 단계를 포함한다.
상기 부가 파라미터는 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 상기 게이트웨이 장치에 발송하는 단계를 포함하며,
상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하여, 상기 인증 서버에 발송하는 단계; 상기 인증 서버가 상기 사용자 식별자에 근거하여 제1 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 단계; 상기 게이트웨이 장치가 상기 제1 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 포함한다.
상기 인증 서버가 상기 사용자 식별자에 근거하여 제1 암호화 키를 생성하는 단계는, 상기 인증 서버가 상기 사용자 식별자 및 사용자 암호, 난수, 유효기간, 게이트웨이 장치 식별자 및 고정문자열 중의 하나 또는 복수 개를 포함하는 부가 파라미터에 근거하여 암호화 키를 생성하는 단계를 포함하고,
상기 게이트웨이 장치는 상기 제1 암호화 키, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하는 단계에서, 부가 파라미터는 난수, 유효기간, 게이트웨이 장치 식별자와 고정문자열 중의 하나 또는 복수 개를 포함한다.
상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 상기 게이트웨이 장치에 발송하는 단계를 포함하고,
상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 제1 암호화 키, 및 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 포함하며, 상기 제1 암호화 키는 게이트웨이 장치가 사용자 단말이 발송한 암호화 키 협상 요청을 수신할 경우, 상기 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 인증 서버가 상기 사용자 식별자에 근거하여 생성한 것을 수신하여 저장한 제1 암호화 키이다.
본 발명의 실시예에 따른 인증 시스템은,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 인증 서버에 발송하고, 상기 인증 서버가 발송한 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 어플리케이션 서버(AS);
상기 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 인증 서버를 포함한다.
본 발명의 다른 실시예에 따른 인증 시스템은,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 게이트웨이 장치에 발송하고, 상기 게이트웨이 장치가 발송한 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 어플리케이션 서버(AS);
상기 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하고, 상기 인증 서버가 발송한 암호화 키를 수신하여 상기 AS에 발송하거나; 또는 상기 AS가 발송한 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하며, 상기 인증 서버가 발송한 제1 암호화 키를 수신하고, 상기 제1 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하거나; 또는 사용자 단말이 발송한 암호화 키 협상 요청을 수신할 경우, 상기 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 인증 서버가 상기 사용자 식별자에 근거하여 생성한 것을 수신하여 저장한 제1 암호화 키, 상기 AS 식별자와 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 게이트웨이 장치;
상기 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하고, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하거나; 또는 상기 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하고 상기 사용자 식별자에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 인증 서버를 포함한다.
본 발명의 실시예에 따른 AS는,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측에 발송하며, 상기 네트워크 측이 발송한 암호화 키를 수신하는 송수신 모듈;
상기 송수신 모듈이 수신한 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 인증 모듈;
을 포함한다.
본 발명의 실시예에 따른 인증 서버는,
AS가 발송한 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하는 수신 모듈;
상기 수신 모듈이 상기 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하면, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하거나, 또는 상기 수신 모듈이 상기 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하면, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하거나, 또는 상기 수신 모듈이 상기 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하면, 상기 사용자 식별자에 근거하여 암호화 키를 생성하는 생성 모듈;
상기 생성 모듈이 생성한 상기 암호화 키를 발송하는 발송 모듈;
을 포함한다.
본 발명의 실시예에 따른 게이트웨이 장치는 ,
AS가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 인증 서버가 발송한 암호화 키를 수신하는 수신 모듈;
상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하거나, 또는 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하고, 상기 수신 모듈이 상기 인증 서버로부터 수신한 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하는 생성 모듈;
상기 인증 서버에 상기 생성 모듈이 생성한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 AS에 상기 인증 서버로부터 수신한 암호화 키를 발송하거나, 또는 상기 인증 서버에 상기 생성 모듈이 생성한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 AS에 상기 생성 모듈이 생성한 암호화 키를 발송하는 발송 모듈;
을 포함한다.
본 발명의 실시예가 제공한 기술방안을 실시하는 것을 통해, 카드를 사용하지 않는 단말과 서비스 서버 간의 암호화 키를 생성하여, 서비스 서버에 의해 생성된 암호화 키를 이용하여 UE에 대한 인증을 실현함으로써 데이터 전송의 안정성을 향상시켰다.
본 발명의 기타 특징과 장점은 아래에서 설명할 것이며, 그 일부는 설명서에 명백히 드러나거나 또는 본 발명의 실시를 통해 알게 될 것이다. 본 발명의 목적과 기타 장점은 설명서, 청구범위 및 도면에서 특별히 언급한 구조를 통해 실현 및 획득할 수 있다.
이하, 도면과 실시예를 통해, 본 발명의 기술방안에 대해 더욱 상세하게 설명한다.
본 발명 또는 종래 기술중의 기술방안을 더욱 명백하게 설명하기 위하여, 본 발명 또는 종래 기술에 대한 설명에서 사용해야 할 도면을 간단하게 소개한다. 아래에서 설명한 도면은 본 발명의 일부 실시예일뿐, 본 분야의 일반 기술자에게 있어서, 창조적 노동을 필요로 하지 않는 전제하에서, 이러한 도면에 따라 기타의 도면을 얻을 수 있다.
도 1은 본 발명의 실시예 1에 따른 인증 방법의 흐름 개략도이다.
도 2는 본 발명의 실시예 2에 따른 인증 방법의 흐름 개략도이다.
도 3은 본 발명의 실시예 3에 따른 인증 방법의 흐름 개략도이다.
도 4는 본 발명의 실시예 4에 따른 인증 방법의 흐름 개략도이다.
도 5는 본 발명의 실시예 5에 따른 인증 방법의 흐름 개략도이다.
도 6은 본 발명의 실시예 6에 따른 어플리케이션 서버(AS)의 구조 개략도이다.
도 7은 본 발명의 실시예 7에 따른 인증 서버의 구조 개략도이다.
도 8은 본 발명의 실시예 8에 따른 게이트웨이 장치의 구조 개략도이다.
이하, 도면을 결합하여 본 발명의 실시예에 대해 설명하며, 상기 실시예는 단지 본 발명을 설명하고 이해시키기 위한 것일 뿐, 본 발명을 한정하는 것이 아님을 이해해야 한다.
이하, 본 발명의 도면을 결합하여, 본 발명의 기술 방안에 대해 명백하고, 완전하게 설명할 것이며, 서술할 실시예는 본 발명의 일부 실시예일 뿐, 전체 실시예가 아니다. 본 발명의 실시예를 바탕으로, 본 분야의 일반 기술자가 창조적 노동을 하지 않는 전제하에서 얻은 모든 기타 실시예는 모두 본 발명의 보호범위에 속한다.
본 발명의 실시예에 따른 인증 방법은, 도 1에 도시한 바와 같이, 다음과 같은 단계를 포함한다.
단계 s101, AS는 UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신한다.
단계 s102, AS는 사용자 식별자에 근거하여 암호키 생성 요청을 생성하여, 네트워크 측에 발송한다.
단계 s103, AS는 네트워크 측이 발송한 암호화 키를 수신하고, 암호화 키에 근거하여 UE에 대해 인증을 진행한다.
본 발명의 실시예에 따른 방법을 통해, 카드를 사용하지 않는 단말과 AS간의 암호화 키를 생성하고, AS에 의해 생성된 암호화 키를 이용하여 UE에 대한 인증을 실현하여, 데이터 전송의 안정성을 향상시켰다.
이하, 구체적인 실시방식과 결합하여, 본 발명의 실시예에 따른 인증 방법에 대해 상세히 소개한다.
본 발명의 실시예와 관련된 응용 시나리오에서, UE는 카드를 사용하지 않는 단말이며, 카드를 사용하지 않는 단말은 IMS 액세스를 통해 서비스 처리를 진행할 경우, AS(Application Server)와 인증 과정을 진행하여, 데이터 전송의 안정성을 증가시키므로, UE가 AS에 액세스할 때, AS는 네트워크 측에 UE와의 암호화 키를 생성하도록 요청하여, AS와 UE간의 인증에 이용한다.
본 발명의 실시예에 따른 인증 방법은 UE가 IMS 네트워크에 액세스하여 인증할 때 암호화 키를 생성하는 것에 한정되지 않고, UE와 네트워크 측 간에 양방향 인증이 필요할 경우, 모두 본 발명의 실시예에 따른 인증 방법을 이용하여 암호화 키를 생성하고, 생성된 암호화 키에 근거하여 인증을 진행할 수 있다. 구체적인 응용 시나리오의 변화는 본 발명의 보호범위에 영향을 주지 않는다.
설명해야 할 것은, 본 발명의 실시예에서, UE와 AS 간에 인증 과정을 진행하기 전에, UE는 IMS 코어 네트워크에 로그인하고, IMS 코어 네트워크는 UE의 사용자 신원에 대해 인증해야 하며, IMS 코어 네트워크는 사용자가 IMS 코어 네트워크에 로그인하는 사용자 이름, 사용자 암호 및 사용자 IMPU 등을 포함하는 사용자 관련 정보를 저장한다.
구체적으로, IMS 코어 네트워크에는, CSCF(Call Session Control Function)와 HSS(Home Subscriber Server) 기능 실체가 포함된다. 그 중, CSCF는 P-CSCF(Proxy-CSCF), I-CSCF(Interrogating-CSCF) 및 S-CSCF(Serving-CSCF) 3가지 논리 실체를 포함하며, P-CSCF는 단말 사용자가 IMS에 액세스하는 액세스 포인트이며, 사용자 등록, 서비스 품질(QoS) 제어와 안전 관리 등을 완성하는데 이용된다. I-SCF는 IMS 영역 간의 상호 연동, S-CSCF의 할당 관리, 네트워크 토폴로지 구조와 배치 정보의 대외 은폐, 과금 데이트 생성 등을 담당한다. S-CSCF는 IMS의 서비스 교환 센터이며, 세션 제어, 세션 상태 유지, 사용자정보 관리, 과금 정보 생성 등을 수행한다. HSS는 사용자 서명데이터를 저장하고, 네트워크 실체의 호출 및 세션에 대한 처리를 지원하는 데 사용되고, UE의 데이터는 HSS에 저장된다.
UE가 IMS에 액세스하는 표준 절차는 다음과 같다. UE는 IMS 액세스를 시작하고, 사용자가 입력한 암호를 이용하여 IMS 코어 네트워크에서 신원 인증을 진행한다. 구체적으로, UE는 사용자가 입력한 암호에 근거하여 S-CSCF에 SIP Digest 요청을 시작하며, IMS 등록 인증을 진행하고, CSCF는 등록된 사용자의 로그인 상태를 HSS에 발송하고, HSS는 사용자의 로그인 상태정보를 저장하고, 사용자의 로그인 상태 정보는 사용자의 사용자 이름, 사용자 암호 및 IMPU 등 사용자 관련 정보를 포함한다.
사용자가 입력한 암호를 통해 IMS 코어 네트워크에서 신원 인증을 완료하면, IMS 코어 네트워크에 사용자의 관련 정보가 저장되고, 사용자의 관련 정보는 UE와 AS간의 암호화 키를 생성하는데 이용될 수 있다. 그러므로, 사용자가 IMS 코어 네트워크에서 신원 인증을 완료하여 사용자의 관련 정보가 저장되면, UE와 AS간의 암호화 키를 생성하는 과정에서, IMS 신원 인증 과정은 더 이상 필요한 과정이 아니다.
구체적으로, 본 발명의 실시예 2에 따른 인증 방법에서, AS는 UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 사용자 식별자에 근거하여 네트워크 측의 HSS와 같은 인증 서버에 암호화 키 생성 요청을 발송하고, HSS가 발송한 암호화 키를 수신한다. 도 2에 도시한 바와 같이, 상기 인증 방법은 다음과 같은 단계를 포함한다.
단계 s201, UE는 AS에 사용자 식별자를 포함하는 AS 액세스 요청을 발송한다.
UE는 AS에 액세스하고, AS에 사용자 식별자를 포함하는 AS 액세스 요청을 발송한다. 상기 사용자 식별자는 사용자 IMPU(IP Multimedia Public Identity) 또는 사용자 IMPI(IP Multimedia Private Identity) 또는 사용자의 기타 식별자일 수 있으며, 본 발명의 아래 실시예에서는, 모두 AS 액세스 요청에 포함되는 사용자 식별자가 사용자 IMPU인 것을 예로 하여 설명을 진행한다.
단계 s202, AS는 HSS에 사용자 IMPU 및 AS 식별자를 포함하는 암호화 키 생성 요청을 발송한다.
AS는 AS 액세스 요청에 포함된 사용자 IMPU에 근거하여 사용자 IMPU 및 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, HSS에 상기 암호화 키 생성 요청을 발송한다. 여기서, 사용자 IMPU 및 AS 식별자는 AS와 UE간의 암호화 키를 생성하는데 이용된다. 상기 AS 식별자는 도메인 FQDN(Fully Qualified Domain Name) 또는 AS 서비스 명칭, 별명, IP 주소 정보 등과 같은 AS의 기타 관련 식별자일 수 있으며, 본 발명의 실시예에서는, AS 식별자가 AS 도메인인 것을 예로 하여 설명한다. AS 도메인은 AS의 고유 속성이며, 서로 다른 AS는 서로 다른 AS 도메인을 갖는다.
단계 s203, HSS는 AS가 발송한 암호화 키 생성 요청을 수신하고, 암호화 키 생성 요청에 포함된 사용자 IMPU와 AS 도메인에 근거하여 암호화 키 H(A1)를 생성하거나, 또는 사용자 IMPU, AS 도메인 및 부가 파라미터에 근거하여 암호화 키 H(A1)를 생성한다.
HSS는 AS가 발송한 암호화 키 생성 요청을 수신하고, 암호화 키 생성 요청에 사용자 IMPU와 AS 식별자가 포함되고, HSS는 암호화 키 생성 요청에 포함된 IMPU 및 AS 도메인에 근거하여, HTTP Digest 프로토콜에 의해 정의된 방식을 통해 계산을 진행하여 암호화 키 H(A1)를 생성하거나; 또는
HSS는 사용자 IMPU, AS 도메인 및 부가 파라미터에 근거하여 HTTP Digest 프로토콜에 의해 정의된 방식을 통해 계산을 진행하여 암호화 키 H(A1)를 생성한다. 여기서, 부가 파라미터는 구체적으로 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개이다.
이하, HSS가 사용자 IMPU, AS 도메인 및 사용자 암호에 근거하여 암호화 키 H(A1)를 생성하는 것에 대해 설명한다. 또한, 설명해야 할 점은, AS과 UE간에 암호화 키를 생성하여 인증을 진행할 때, HSS와 UE간의 공유 정보를 암호화 키 생성 요소로 이용할 수도 있다. 예를 들면 HSS와 UE는 동일한 계산법을 이용하여 계산한 암호화 키, 사용자의 특정 정보 등을 암호화 키 생성 요소로 이용할 것을 약정한다. 구체적인 세부 사항에 대해 여기서 상세하게 설명하지 않겠다.
단계 s204, HSS는 생성된 암호화 키 H(A1)를 AS에 발송한다.
단계 s205, AS는 수신한 암호화 키 H(A1)에 근거하여 UE에 대해 인증을 진행한다.
AS는 수신한 암호화 키 H(A1)에 근거하여, UE와 HTTP Digest 인증 과정을 진행한다.
예를 들면, AS는 네트워크 측 HSS가 발송한 암호화 키 H(A1)를 수신하고, 상기 암호화 키 H(A1)는 HSS가 사용자 IMPU, AS 도메인 및 사용자 암호에 근거하여 생성한 것이다. AS와 UE가 인증을 진행하는 과정에서, UE는 AS와 동일한 계산방식으로 계산된 암호화 키 H(A1)를 이용할 수 있으며, 구체적으로 UE는 사용자가 IMS 액세스 인증을 진행하는 사용자 암호 및 사용자 IMPU를 획득하고, 또한 UE는 UE가 액세스해야 할 AS 도메인을 획득할 수 있으며, UE는 획득한 사용자 암호, 사용자 IMPU 및 AS 도메인에 근거하여 암호화 키를 생성하고, UE가 생성한 암호화 키와 AS가 수신한 암호화 키 H(A1)는 일대일 대응한다.
그러므로, UE와 AS간에 인증을 진행하는 과정에서, UE는 복수 개의 AS와 대응하는 암호화 키를 저장할 필요가 없으며, UE는 인증이 필요할 때 암호화 키를 생성할 수 있으며, 암호화 키를 생성하는 과정은 HSS가 AS에 발송하는 암호화 키를 생성하는 과정과 동일한 계산법과 암호화 키 생성 요소를 이용하고, UE가 생성한 암호화 키와 AS가 수신한 암호화 키는 일대일 대응하므로, UE의 개발 난이도와 안정강도요구를 낮추므로, 원가를 절약하는데 도움이 된다는 것을 이해할 수 있다.
본 발명의 실시예 3은 인증 방법을 제공하며, AS는 UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 사용자 식별자에 근거하여 AG(Access Gateway)와 같은 게이트웨이 장치에 암호화 키 생성 요청을 발송하고, AG를 통해 네트워크 측의 HSS와 같은 인증 서버와 상호 연동하여 암호화 키를 획득하며, 도 3에 도시한 바와 같이, 다음과 같은 단계를 포함한다.
단계 s301, UE는 AS에 사용자 IMPU를 포함하는 AS 액세스 요청을 발송한다.
단계 s302, AS는 AG에 사용자 IMPU 및 AS 도메인을 포함하는 암호화 키 생성 요청을 발송한다.
AS는 AG에 암호화 키 생성 요청을 발송하는데, 암호화 키 생성 요청에는 사용자의 IMPU 및 AS 도메인이 포함된다.
단계 s303, AG는 HSS에 사용자의 IMPU 및 AS 도메인을 포함하는 인증 데이터 요청을 발송한다.
AG는 암호화 키 생성 요청에 근거하여 인증 데이터 요청을 생성하여 HSS에 발송하는데, 인증 데이터 요청에는 사용자의 IMPU 및 AS 도메인이 포함된다. 구체적으로, AG가 HSS에 발송하는 인증 데이터 요청은 MAR 요청일 수 있으며, MAR 요청에 사용자IMPU 및 AS 도메인이 포함되며, AG와 HSS 간의 인터페이스 MAR 요청은 표준 Cx 인터페이스의 MAR 요청을 바탕으로 AS 도메인을 추가한 것이다.
설명해야 할 것은, AG는 AS가 발송한 암호화 키 생성 요청을 수신하는데, 상기 암호화 키 생성 요청에는 사용자의 IMPU 및 AS 도메인이 포함되고, AG는 HSS에 인증 데이터 요청을 발송하는데, 인증 데이터 요청에는 사용자의 IMPU 및 AS 도메인이 포함된다. 이 과정에서, AG는 수신된 사용자의 IMPU 및 AS 도메인에 대해 어떠한 처리도 하지 않으며, AS를 대신하여 HSS에 요청을 발송함으로써 HSS를 트리거하여 암호화 키를 생성하므로, AG에 의해 AS와 IMS 코어 네트워크 간의 통신을 실현한다.
본 발명의 실시예에서, AS는 AG를 통해 IMS 코어 네트워크에 액세스하여 암호화 키의 생성을 요청하므로, 다수의 AS가 IMS 코어 네트워크에 직접 액세스할 때의 IMS 코어 네트워크 부하에 대한 영향 및 다수의 AS가 IMS 코어 네트워크에 빈번하게 액세스하여 발생하는 IMS 코어 네트워크의 불안정성을 방지할 수 있다. 또한, AS가 비안전 상태일 경우, 비안전 상태의 AS가 IMS 코어 네트워크에 직접 액세스하여 IMS 코어 네트워크의 안정성에 대해 악영향을 미치는 잠재적인 위험을 방지한다.
단계 s304, HSS는 암호화 키 H(A1)를 생성한다. 구체적으로, HSS는 사용자 IMPU 및 AS 도메인에 근거하여 암호화 키 H(A1)를 생성하거나 또는 사용자 IMPU, AS 도메인 및 부가 파라미터에 근거하여 암호화 키를 생성한다. 여기서 부가 파라미터는 암호, 난수, 유효기간, 게이트웨이 장치 식별자 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
예를 들면, HSS는 사용자 IMPU, AS 도메인과 부가 파라미터(사용자 암호와 난수 등)를 암호화 키를 생성하는 요소로 하여, HTTP Digest 프로토콜에 의해 정의된 방식으로 암호화 키 H(A1)를 계산하여 얻는다.
본 단계에서, 암호화 키 H(A1)는 사용자 암호, 사용자 IMPU, AS 도메인과 부가 파라미터에 근거하여 생성되므로, 얻은 암호화 키 H(A1)는 AS 도메인 및 사용자와 관련이 있다.
동일한 사용자가 멀티 서비스 처리를 진행할 경우, UE는 복수 개의 AS와 인증을 진행해야 하며, 각각의 AS에 대한 암호화 키를 생성해야 한다. 서로 다른 AS의 AS 도메인은 서로 다르므로, 동일한 사용자에 대응되는 복수 개의 AS간에 생성된 암호화 키는 서로 다르다. 따라서, AS 도메인을 이용하여 암호화 키 H(A1)를 계산하면 동일한 사용자와 복수 개의 AS간의 암호화 키의 유일성을 보장하며, 설령 어느 하나의 AS가 공격을 당할지라도, 기타 AS의 안정성에 영향을 주지 않는다.
단계 s305, HSS는 암호화 키 H(A1)를 AG에 발송한다.
단계 s306, AG는 암호화 키 H(A1)를 AS에 발송한다.
AG는 HSS가 발송한 암호화 키 H(A1)를 수신하고, 암호화 키 H(A1)에 대해 어떠한 추가처리도 하지 않으며, 수신한 암호화 키 H(A1)를 AS에 직접 발송하고, AS는 상기 암호화 키를 AS와 UE간의 인증과정에 이용할 수 있다.
단계 s307, AS는 수신한 암호화 키 H(A1)에 근거하여 UE에 대해 인증을 진행한다.
AS는 AG가 발송한 암호화 키 H(A1)를 수신하는데, 암호화 키 H(A1)는 사용자 및 AS와 관련된다. 구체적으로, 동일한 UE와 복수 개의 AS가 인증을 진행하는 과정에서, 각 AS는 서로 다른 AS 도메인을 가지며, 각 AS에 대응하는 암호화 키 H(A1)는 유일성을 가지며, AS는 암호화 키 H(A1)를 이용하여 직접 인증을 진행할 수 있다. 즉, AS는 암호화 키 H(A1)를 직접 사용하여 UE와의 HTTP Digest 인증 과정을 시작한다.
UE와의 암호화 키를 추가 생성할 필요가 있을 경우, AS는 동일한 계산법을 이용하여 암호화 키 H(A1)로부터 세션키(session key)를 파생하도록 UE와 약정할 수 있으며, AS와 UE간에는 세션키를 통해 인증을 진행한다. 구체적인 AS와 UE의 인증과정은 여기서 서술하지 않겠다.
설명해야 할 것은, 본 발명의 실시예에서, AG는 AS와 IMS 코어 네트워크 간의 통신을 실현하며, 구체적으로, AS가 UE와의 암호화 키를 생성할 필요가 있을 때, AG는 AS로부터의 암호화 키 생성 요청을 수신하고, HSS에 사용자 IMPU 및 AS 도메인을 포함하는 인증 데이터 요청을 발송한다. AG는 HSS가 인증 데이터 요청에 근거하여 생성한 암호화 키 H(A1)를 수신하여 AS에 상기 암호화 키 H(A1)를 발송한다. 그러므로, 암호화 키 H(A1) 생성 과정에서, AG는 각 AS을 대신하여 IMS 코어 네트워크에 접속하여, AS와 HSS간의 데이터 상호 연동을 수행한다.
본 발명의 실시예 4는 인증 방법을 제공하며, 네트워크 측의 AG와 같은 게이트웨이 장치는 AS가 발송한 암호화 키 생성 요청을 수신하여 네트워크 측의 HSS와 같은 인증 서버에 발송하고, AG는 HSS가 생성한 제1 암호화 키를 수신하고, 제1 암호화 키에 근거하여 제2 암호화 키를 생성하고, 생성된 제2 암호화 키를 AS에 발송하며, 도 4에 도시한 바와 같이, 다음과 같은 단계를 포함한다.
단계 s401, UE는 사용자 IMPU를 포함하는 AS 액세스 요청을 발송한다.
단계 s402, AS는 사용자 IMPU 및 AS 도메인을 포함하는 암호화 키 생성 요청을 AG에 발송한다.
단계 s403, AG는 HSS에 사용자 IMPU를 포함하는 인증 데이터 요청을 발송한다.
본 단계에서, AG는 AS가 발송한 암호화 키 생성 요청을 수신하는데, 암호화 키 생성요청에는 사용자 IMPU 및 AS 도메인이 포함되고, AG는 암호화 키 생성 요청에 근거하여 HSS에 인증 데이터 요청을 발송하는데, 인증 데이터 요청에는 사용자 IMPU만이 포함된다.
단계 s404, HSS는 제1 암호화 키 H(A1)를 생성한다. 구체적으로, HSS는 인증 데이터 요청 중에 포함된 사용자 IMPU에 근거하여 제1 암호화 키 H(A1)를 생성하거나 또는 인증 데이터 요청에 포함된 사용자 IMPU와 부가 파라미터에 근거하여 제1 암호화 키 H(A1)를 생성한다. 여기서 부가 파라미터는 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
예를 들면, HSS는 AG가 발송한 사용자 IMPU를 포함하는 인증 데이터 요청을 수신하고, HSS는 사용자 IMPU, 사용자 암호 및 부가 파라미터에 근거하여 제1 암호화 키 H(A1)를 생성한다. 제1 암호화 키 H(A1) 생성 과정에서, AS 도메인은 제1 암호화 키 H(A1)의 생성 요소가 아니며, 생성된 제1 암호화 키 H(A1)는 AS 도메인과 무관하다. 사용자가 다수의 AS와 서비스 처리를 진행할 때, 동일한 사용자에게 있어서, 사용자와 인증을 진행하는 AS 도메인이 어떻게 변화하든, HSS에 의해 생성된 제1 암호화 키 H(A1)는 모두 고정 값이며, 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있다.
단계 s405, HSS는 제1 암호화 키 H(A1)를 AG에 발송한다.
HSS가 AG에 발송한 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있으며, AS와는 무관하다.
단계 s406, AG는 제2 암호화 키 H(A1)'를 생성한다. 구체적으로, AG는 제1 암호화 키 H(A1)와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성하거나 또는 제1 암호화 키 H(A1)와 AS 도메인 및 부가 파라미터에 근거하여 제2 암호화 키 H(A1)'를 생성한다. 여기서, 부가 파리미터는 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
AG는 수신한 제1 암호화 키 H(A1)와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성하는데, AG가 수신한 암호화 키 생성 요청에 AS 도메인이 포함된다. 그러므로, 제1 암호화 키 및 AS 도메인에 근거하여 생성된 제2 암호화 키 H(A1)'는 사용자 및 AS와 관련되고, 각 AS는 유일한 제2 암호화 키 H(A1)'에 대응되며, AS는 제2 암호화 키 H(A1)'를 이용하여 UE와의 인증을 진행한다.
단계 s407, AG는 제2 암호화 키 H(A1)'를 AS에 발송한다.
AG가 AS에 발송한 제2 암호화 키 H(A1)'는 사용자 및 AS와 관련되고, 서로 다른 AS에 대응되며, 획득한 대응 제2 암호화 키 H(A1)'는 서로 다르며, 제2 암호화 키 H(A1)'의 유일성에 기초하여, AS는 제2 암호화 키 H(A1)'를 이용하여 UE와 인증을 진행한다.
단계 s408, AS는 수신한 제2 암호화 키 H(A1)'에 근거하여 UE에 대해 인증을 진행한다.
설명해야 할 것은, 본 발명의 실시예에서, AG는 AS가 발송한 암호화 키 생성 요청에 근거하여, HSS에 사용자 IMPU를 포함하는 인증 데이터 요청을 발송하고, HSS는 사용자 IMPU에 근거하여 제1 암호화 키 H(A1)를 생성하며, 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있으며, AS와는 무관하고, HSS는 AG에 제1 암호화 키 H(A1)를 발송한다. AG는 제1 암호화 키 H(A1) 및 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성하며, 제2 암호화 키 H(A1)'는 AS 및 사용자와 관련이 있으며, AS는 제2 암호화 키 H(A1)'를 수신한 후 제2 암호화 키 H(A1)'를 이용하여 UE와 인증을 진행한다. 그러므로, 본 발명의 실시예에서, AG는 AS와 IMS 코어 네트워크 간의 데이터 전송을 수행하는 작용을 할 뿐만 아니라, IMS 코어 네트워크에서 피드백하는 제1 암호화 키 H(A1) 및 암호화 키 생성 요청에 포함된 AS 도메인에 근거하여 제2 암호화 키 H(A11)'를 생성해야 하고, AS에 제2 암호화 키 H(A1)'를 발송하여 AS와 UE간의 인증과정에 이용한다.
본 발명의 실시예 5는 인증 방법을 제공하며, 네트워크 측의 AG와 같은 게이트웨이 장치는 HSS와 같은 서버로부터 얻은 제1 암호화 키를 미리 저장하고, AS가 발송한 암호화 키 생성 요청을 수신하면, 미리 얻은 제1 암호화 키에 근거하여 제2 암호화 키를 생성하고, AS에 생성된 제2 암호화 키를 발송하고, 도 5에 도시한 바와 같이, 다음과 같은 단계를 포함한다.
단계 s501, UE는 사용자 IMPU를 포함하는 AS 액세스 요청을 발송한다.
단계 s502, AS는 UE에 메시지를 발송하여, 암호화 키 검증이 필요함을 UE에 알린다.
단계 s503, UE는 AG에 암호화 키 협상 요청을 발송한다.
여기서 UE가 발송한 암호화 키 협상 요청에는 사용자 IMPU가 포함된다.
단계 s504, AG는 HSS에 인증 데이터 요청을 발송한다.
인증 데이터 요청에는 사용자 IMPU가 포함되거나 사용자 IMPU와 AS 도메인이 포함된다. 바람직하게 인증 데이터 요청에는 사용자 IMPU와 AG 식별자가 포함되거나, 또는 사용자 IMPU, AS 도메인 및 AG 식별자가 포함될 수 있다.
단계 s505, HSS는 제1 암호화 키 H(A1)를 생성한다.
구체적으로, HSS는 인증 데이터 요청에 포함된 사용자 IMPU에 근거하여 제1 암호화 키 H(A1)를 생성하거나, 또는 인증 데이터 요청에 포함된 사용자 IMPU와 부가 파라미터에 근거하여 제1 암호화 키 H(A1)를 생성한다. 여기서, 부가 파라미터는 사용자 암호, 난수, 유효기간 및 고정문자열 중의 하나 또는 복수 개를 포함한다.
예를 들면, HSS는 AG가 발송한 사용자 IMPU를 포함하는 인증 데이터 요청을 수신하고, HSS는 사용자 IMPU, 사용자 암호 및 부가 파라미터에 근거하여 제1 암호화 키 H(A1)를 생성한다. 제1 암호화 키 H(A1) 생성 과정에서, AS 도메인은 제1 암호화 키 H(A1)의 생성 요소가 아니며, 생성된 제1 암호화 키 H(A1)는 AS 도메인과 무관하다. 사용자가 다수의 AS와 서비스 처리를 진행할 때, 동일한 사용자에게 있어서, 사용자와 인증을 진행하는 AS 도메인이 어떻게 변화하든, HSS에 의해 생성된 제1 암호화 키 H(A1)은 모두 하나의 고정 값이며, 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있다.
단계 s506, HSS는 제1 암호화 키 H(A1)를 AG에 발송한다.
HSS가 AG에 발송한 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있으며, AS와는 무관하다.
AG는 제1 암호화 키 H(A1)를 얻은 후, 얻은 제1 암호화 키 H(A1)를 저장한다.
단계 s507, AG와 UE는 난수를 협상한다.
예를 들면 AG는 UE에 하나의 난수를 포함하는 도전 정보를 발송한다. UE는 도전 응답 정보를 발송하여 AG가 발송한 도전 정보에 직접 응답하거나 또는 AG에 수정 또는 다시 선택된 하나의 난수를 포함하는 도전 응답 정보를 발송한다.
단계 s508, AG는 협상된 난수에 근거하여 암호화 키 계산의 중간 결과를 생성한다.
예를 들면, AG는 UE의 도전 응답 정보에 근거하여 자신이 발송한 도전 정보 중의 난수 또는 UE가 수정한 난수 또는 UE가 다시 선택한 난수를 이용할지 결정하고, 제1 암호화 키에 근거하여 계산을 진행하여, 암호화 키 계산의 중간 결과를 얻는다.
상기 단계 s507, 단계 s508는 선택 가능한 단계이며, AG가 단계 s507, 단계 s508을 수행하여 중간 결과를 계산한 후, 계산하여 얻은 중간 결과를 저장하고, UE에 200OK 메시지를 응답한다.
단계 s509, UE는 서비스 요청에 이용되는 제2 암호화 키를 계산한다.
UE는 자신의 사용자 IMPU에 근거하여 제1 암호화 키 H(A1)를 생성하거나 또는 자신의 사용자 IMPU와 부가 파라미터에 근거하여 제1 암호화 키 H(A1)를 생성한다. 여기서, 부가 파라미터는 사용자 암호, 난수, 유효기간, 게이트웨이 장치 식별자와 고정문자열 중의 하나 또는 복수 개를 포함한다.
제1 암호화 키 H(A1)에 근거하여 제2 암호화 키를 계산하고, 구체적으로 제1 암호화 키와 AS 도메인에 근거하여 제2 암호화 키를 계산한다. 단계 s507, S508을 선택하여 수행할 경우, 제1 암호화 키, 협상된 난수 및 AS 도메인에 근거하여 제2 암호화 키를 계산한다. 구체적으로 먼저 제1 암호화 키 및 협상된 난수에 근거하여 암호화 키 계산에 이용되는 중간 결과를 계산한 다음, 중간 결과와 AS 도메인에 근거하여 제2 암호화 키를 계산하는 단계를 포함한다. 여기서, AS 도메인은 일종의 AS 식별자이다.
단계 s510, UE는 사용자 IMPU를 포함하는 AS 액세스 요청을 발송한다.
UE는 계산하여 얻은 제2 암호화 키를 사용하여 정보를 암호화한 후 AS에 발송한다.
단계 s511, AS는 AG에 암호화 키 생성 요청을 발송한다.
AS는 사용자 IMPU와 AS 도메인을 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 게이트웨이 장치 AG에 발송한다.
단계 s512, AG는 사용자 식별자에 의하여 제1 암호화에 근거하여 제2 암호화 키를 생성한다.
본 실시예에서, AG는 제2 암호화 키 H(A1)'를 생성한다. 구체적으로, AG는 사전에 HSS로부터 얻은 제1 암호화 키 H(A1)와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성하거나 또는 제1 암호화 키 H(A1)와 AS 도메인 및 부가 파라미터에 근거하여 제2 암호화 키 H(A1)'를 생성한다. 여기서, 부가 파리미터는 사용자 암호, 난수, 유효기간, 게이트웨이 장치 식별자와 고정문자열 중 하나 또는 복수 개를 포함한다.
사전에 HSS로부터 얻은 제1 암호화 키는 UE의 암호화 키 협상 요청을 수신했을 때 얻은 제1 암호화 키 H(A1)일 수 있다.
그리고, 난수에 근거하여 계산할 경우, 상기 단계 s507에 의해 난수를 협상하여 얻고, 선택적으로 단계 s508을 수행하여 중간 결과를 생성한다면, 직접적으로 중간 결과와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 계산할 수 있다. 중간 결과를 계산하지 않을 경우, 단계 s507에서 협상된 난수와 제1 암호화 키 H(A1)에 근거하여 암호화 키 계산에 이용되는 중간 결과를 계산한 다음, 중간 결과와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 계산하므로, 제1 암호화 키 H(A1), 난수 및 AS 도메인에 근거하여 제2 암호화 키 H(A1)'계산하는 것을 실현한다.
AG는 수신한 제1 암호화 키 H(A1)와 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성하는데, AG가 수신한 암호화 키 생성 요청에는 AS 도메인이 포함된다. 그러므로, 제1 암호화 키와 AS 도메인에 근거하여 생성된 제2 암호화 키 H(A1)'는 사용자 및 AS와 관련이 있으며, 각 AS는 유일한 제2 암호화 키 H(A1)'에 대응되며, AS는 제2 암호화 키 H(A1)'를 이용하여 UE와 인증을 진행한다.
단계 s513, 생성된 제2 암호화 키 H(A1)'를 AS에 발송한다.
AG가 AS에 발송한 제2 암호화 키 H(A1)'는 사용자 및 AS와 관련되고, 서로 다른 AS에 대응되며, 획득한 대응 제2 암호화 키 H(A1)'가 서로 다르며, 제2 암호화 키 H(A1)'의 유일성에 기초하여, AS는 제2 암호화 키 H(A1)'를 이용하여 UE와 인증을 진행한다.
단계 s514, AS는 수신된 제2 암호화 키에 근거하여 UE에 대해 인증을 진행한다.
AS는 제2 암호화 키를 사용하여 전송 데이터를 암호화하여, UE와 암호화 데이터의 상호 연동을 진행할 수 있다.
다시 말하면, 본 실시예에서, AS가 네트워크 측이 발송한 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 게이트웨이 장치가 제1 암호화 키 및 AS 식별자와 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 포함한다. 실시예 4와 다른 점은 제1 암호화 키는 게이트웨이 장치가 사용자 설비가 발송한 암호화 키 협상 요청을 수신할 경우, 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 인증 서버가 상기 사용자 식별자에 근거하여 생성한 제1 암호화 키를 수신하여 저장하는 것이라는 점이다.
설명해야 할 점은, 본 발명의 실시예에서, AG는 AS가 발송한 암호화 키 생성 요청, UE와 암호화 키 협상을 진행하는 과정에서 HSS에 발송한 인증 데이터 요청에 근거하여, HSS로부터 얻은 HSS가 사용자 IMPU에 근거하여 생성한 제1 암호화 키 H(A1)와 AS 도메인을 결합하여 제2 암호화 키 H(A1)'를 생성한다. 여기서, 제1 암호화 키 H(A1)는 단지 사용자와 관련이 있으며, AS와는 무관하고, 제2 암호화 키 H(A1)'는 AS 및 사용자와 관련이 있다. AS는 제2 암호화 키 H(A1)'를 수신한 후 제2 암호화 키 H(A1)'를 이용하여 UE와 인증을 진행한다. 그러므로, 본 발명의 실시예에서, AG는 AS와 IMS 코어 네트워크 간의 데이터 전송을 수행하는 작용을 할 뿐만 아니라, IMS 코어 네트워크에서 피드백하는 제1 암호화 키 H(A1) 및 암호화 키 생성 요청에 포함된 AS 도메인에 근거하여 제2 암호화 키 H(A1)'를 생성해야 하고, AS에 제2 암호화 키 H(A1)'를 발송하여 AS와 UE간의 인증 과정에 이용한다.
본 발명의 실시예에 따라 제공된 인증 방법을 통해, 카드를 사용하지 않는 단말과 AS간의 암호화 키를 생성하고, 상기 암호화 키를 사용하여 AS와 UE간의 인증을 진행함으로써 종래의 기술에서 카드를 사용하지 않는 단말과 AS간에 인증을 진행할 수 없었던 문제를 해결하였다.
본 발명의 실시예에서, AG를 통해 AS와 IMS 코어 네트워크 간의 데이터교환을 실현하여, 다수의 AS가 IMS 코어 네트워크에 직접 액세스할 때의 IMS 코어 네트워크 부하에 대한 영향 및 다수의 AS가 IMS 코어 네트워크에 빈번하게 액세스하여 발생하는 IMS 코어 네트워크의 불안정성을 방지할 수 있다. 또한, AS가 비안정 상태일 경우, 비안전 상태의 AS가 IMS 코어 네트워크에 직접 액세스하여 IMS 코어 네트워크의 안정성에 대해 악영향을 미치는 잠재적인 위험을 방지한다.
또한, AS와 UE간의 암호화 키는 사용자 암호를 암호화 키 생성 요소로 이용할 수 있으며, AS는 수신된 암호화 키에 근거하여 사용자 암호를 역추정해 낼 수 없으므로, AS가 비안전 상태일 경우, 사용자의 안전성이 위협받지 않게 보장함으로써, 전체 IMS 네트워크의 안전성에 영향을 주지 않는다.
추가적으로, AS와 UE간에 인증을 진행하는 암호화 키는 사용자 식별자, AS 식별자와 부가 파라미터에 근거하여 생성되므로, 동일한 사용자가 멀티 서비스 처리를 진행할 때, 동일한 사용자에 대응되는 복수 개의 AS간에 생성된 암호화 키는 서로 다르다. 따라서, AS 도메인을 이용하여 암호화 키 H(A1)를 계산하면 동일한 사용자와 복수 개의 AS간의 암호화 키의 유일성을 보장하며, 설령 어느 하나의 AS가 공격을 당할지라도, 사용자의 기타 AS의 안정성에 영향을 주지 않는다.
그밖에 설명해야 할 점은, 본 발명의 실시예에서 AS와 UE간에 암호화 키를 생성하는 실현 과정은 AS와 UE간의 통신 프로토콜과 무관하므로, IMS AS에 적용될 수 있으며, non IMS AS에 적용될 수도 있어, 비교적 광범위한 적용 범위를 가진다. 본 발명의 실시예에서의 인증 서버는 IMS중의 HSS일 수 있으며, 또한 기타 Radius/AAA 서버 등과 같은 인증 시스템 중의 사용자 암호를 관리하는 설비일 수도 있다.
본 발명의 실시예에 따른 인증 방법을 통해, 카드를 사용하지 않는 단말과 AS간의 암호화 키 생성을 실현하고, AS를 통해 생성된 암호화 키를 이용하여 UE에 대해 인증을 진행하므로, 데이터 전송의 안정성을 향상시키고, 종래 기술에서 카드를 사용하지 않는 단말과 AS간에 인증을 진행할 수 없는 문제를 해결한다.
본 발명의 실시예에 따른 인증 시스템은,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 사용자 식별자에 근거하여 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 인증 서버에 발송하고, 인증 서버가 발송한 암호화 키를 수신하고, 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 어플리케이션 서버(AS);
AS가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하고, 바람직하게는 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하는 인증 서버를 포함한다.
본 발명의 다른 실시예에 따른 인증 시스템은,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 사용자 식별자에 근거하여 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 게이트웨이 장치에 발송하고, 상기 게이트웨이 장치가 발송한 암호화 키를 수신하여, 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 AS;
AS가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 사용자 식별자와 AS 식별자를 포함하는 인증 데이터 요청을 생성하여 인증 서버에 발송하고, 인증 서버가 발송한 암호화 키를 수신하여 AS에 발송하거나; 또는 AS가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 사용자 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하며, 인증 서버가 발송한 제1 암호화 키를 수신하고, 제1 암호화 키, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하며, 바람직하게는 제1 암호화 키, AS 식별자와 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하거나; 또는, 사용자 단말이 발송한 암호화 키 협상 요청을 수신할 경우, 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 인증 서버가 상기 사용자 식별자에 근거하여 생성한 것을 수신하여 저장한 제1 암호화 키, 및 AS 식별자와 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 게이트웨이 장치;
상기 게이트웨이 장치가 발송한 사용자 식별자와 AS 식별자를 포함하는 인증 데이터 요청을 수신하고, 사용자 식별자, AS 식별자에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하고, 바람직하게는 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하거나, 또는 게이트웨이 장치가 발송한 사용자 식별자를 포함하는 인증 데이터 요청을 수신하고 사용자 식별자에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 인증 서버를 포함한다.
본 발명의 실시예는 AS를 제공하며, 도 6은 본 발명의 실시예에 따른 AS의 구조 개략도이다.
상기 AS는,
UE가 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 사용자 식별자에 근거하여 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측에 발송하며, 네트워크 측이 발송한 암호화 키를 수신하는 송수신 모듈(51);
송수신 모듈(51)이 수신한 암호화 키에 근거하여 UE에 대해 인증을 진행하는 인증 모듈(52);
을 포함한다.
본 발명의 실시예는 인증 서버를 제공하며, 도 7은 본 발명의 실시예에 따른 인증 서버의 구조 개략도이다.
상기 인증 서버는,
AS가 발송한 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 사용자 식별자와 AS 식별자를 포함하는 인증 데이터 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 사용자 식별자를 포함하는 인증 데이터 요청을 수신하는 수신 모듈(61);
수신 모듈(61)이 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하면, 사용자 식별자 및 AS 식별자에 근거하여 암호화 키를 생성하거나, 또는 수신 모듈(61)이 게이트웨이 장치가 발송한 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하면, 사용자 식별자, AS 식별자에 근거하여 암호화 키를 생성하거나, 또는 상기 수신 모듈(61)이 상기 게이트웨이 장치가 발송한 사용자 식별자를 포함하는 인증 데이터 요청을 수신하면, 사용자 식별자에 근거하여 암호화 키를 생성하고, 바람직하게는 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하는 생성 모듈(62);
생성 모듈(62)이 생성한 상기 암호화 키를 발송하는 발송 모듈(63);
을 포함한다.
본 발명의 실시예는 게이트웨이 장치를 제공하며, 도 8은 본 발명의 실시예에 따른 게이트웨이 장치의 구조 개략도이다.
상기 게이트웨이 장치는,
AS가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 인증 서버가 발송한 암호화 키를 수신하는 수신 모듈(71);
사용자 식별자와 AS 식별자를 포함하는 인증 데이터 요청을 생성하거나, 또는 사용자 식별자를 포함하는 인증 데이터 요청을 생성하고, 수신 모듈(71)이 인증 서버로부터 수신한 암호화 키 및 AS 식별자에 근거하여 암호화 키를 생성하고, 바람직하게는 사용자 식별자, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 AS에 발송하는 생성 모듈(72);
인증 서버에 생성 모듈(72)이 생성한 사용자 식별자와 AS 식별자를 포함하는 인증 데이터 요청을 발송하고, AS에 인증 서버로부터 수신한 암호화 키를 발송하거나, 또는 인증 서버에 생성 모듈(72)이 생성한 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 AS에 상기 생성 모듈(72)이 생성한 암호화 키를 발송하는 발송 모듈(73)을 포함한다.
본 발명의 실시예는 인증 시스템 및 장치를 제공하여, 카드를 사용하지 않는 단말과 AS간의 암호화 키 생성을 실현하고, AS를 통해 생성된 암호화 키를 이용하여 UE에 대해 인증을 진행하여, 데이터 전송의 안전성을 향상시킨다.
이상의 실시방식에 대한 설명을 통해, 본 분야의 기술자라면 본 발명은 소프트웨어와 필요한 통용 하드웨어 플랫폼을 방식에 의해 실현될 수 있음을 명확히 이해할 수 있을 것이다. 당연히 하드웨어를 통해 실현할 수도 있으나, 많은 경우 소프트웨어와 하드웨어를 결합하는 방식이 더욱 바람직하다. 이러한 이해를 바탕으로, 본 발명의 기술방안은 본질적으로 또는 종래 기술에 공헌하는 부분에 있어서 소프트웨어 제품의 형식을 통해 구현될 수 있으며, 상기 컴퓨터 소프트웨어 제품은 하나의 기억매체에 저장되고, 단말장치(휴대폰, 퍼스널컴퓨터, 서버 또는 네트워크 장치 등)가 본 발명의 각 실시예를 수행하도록 여러 개의 명령을 포함한다.
이상의 내용은 본 발명의 바람직한 실시방식일 뿐이며, 본 기술 분야의 통상의 기술자라면 본 발명원리를 벗어나지 않는 전제하에서, 변경과 수정을 할 수 있으며, 이러한 변경과 수정 또한 본 발명의 보호범위에 속한다.
51: 송수신 모듈
52: 인증 모듈
61: 수신 모듈
62: 생성 모듈
63: 발송 모듈
71: 수신 모듈
72: 생성 모듈
73: 발송 모듈

Claims (13)

  1. 어플리케이션 서버(AS)가 사용자 단말(UE)이 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하는 단계;
    상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계;
    상기 AS가 상기 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 단계;
    를 포함하는 인증 방법.
  2. 제1항에 있어서,
    상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워트 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 인증 서버에 발송하는 단계를 더 포함하며;
    상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 인증 서버가 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 더 포함하는 인증 방법.
  3. 제2항에 있어서,
    상기 부가 파라미터는 사용자 암호, 난수, 유효 기간 및 고정문자열 중의 하나 또는 복수 개를 포함하는 인증 방법.
  4. 제1항에 있어서,
    상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측의 게이트웨이 장치에 발송하는 단계를 더 포함하며;
    상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하는 단계; 상기 인증 서버가 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 단계; 상기 게이트웨이 장치가 상기 인증 서버에서 발송한 상기 암호화 키를 수신하여 상기 AS에 발송하는 단계를 더 포함하는 인증 방법.
  5. 제4항에 있어서,
    상기 부가 파라미터는 사용자 암호, 난수, 유효 기간 및 고정문자열 중의 하나 또는 복수 개를 포함하는 인증 방법.
  6. 제1항에 있어서,
    상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 상기 게이트웨이 장치에 발송하는 단계를 더 포함하며;
    상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하여, 상기 인증 서버에 발송하는 단계; 상기 인증 서버가 상기 사용자 식별자에 근거하여 제1 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 단계; 상기 게이트웨이 장치가 상기 제1 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계를 더 포함하는 인증 방법.
  7. 제6항에 있어서,
    상기 인증 서버가 상기 사용자 식별자에 근거하여 제1 암호화 키를 생성하는 단계는, 상기 인증 서버가 상기 사용자 식별자, 및 사용자 암호, 난수, 유효기간, 게이트웨이 장치 식별자 및 고정문자열 중의 하나 또는 복수 개를 포함하는 부가 파라미터에 근거하여 암호화 키를 생성하는 단계를 더 포함하고;
    상기 게이트웨이 장치는 상기 제1 암호화 키, AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하는 단계에서, 부가 파라미터는 난수, 유효기간, 게이트웨이 장치 식별자와 고정문자열 중의 하나 또는 복수 개를 포함하는 인증 방법.
  8. 제1항에 있어서,
    상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측에 발송하는 단계는, 상기 AS가 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 상기 게이트웨이 장치에 발송하는 단계를 포함하고;
    상기 AS가 네트워크 측에서 발송한 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 생성된 암호화 키를 수신하는 단계는, 상기 게이트웨이 장치가 제1 암호화 키, 및 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 단계; 상기 제1 암호화 키는 게이트웨이 장치가 사용자 단말이 발송한 암호화 키 협상 요청을 수신할 경우, 상기 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 인증 서버가 상기 사용자 식별자에 근거하여 생성한 것을 수신하여 저장하는 것이 제1 암호화 키인 단계를 더 포함하는 인증 방법.
  9. 사용자 단말(UE)이 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 인증 서버에 발송하고, 상기 인증 서버가 발송한 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 어플리케이션 서버(AS);
    상기 AS가 발송한 상기 사용자 식별자와 상기AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 인증 서버
    를 포함하는 인증 시스템.
  10. 사용자 단말(UE)이 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여, 네트워크 측의 게이트웨이 장치에 발송하고, 상기 게이트웨이 장치가 발송한 암호화 키를 수신하고, 상기 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 어플리케이션 서버(AS);
    상기 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하고, 상기 인증 서버가 발송한 암호화 키를 수신하여 상기 AS에 발송하거나; 또는 상기 AS가 발송한 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하여 상기 인증 서버에 발송하며, 상기 인증 서버가 발송한 제1 암호화 키를 수신하고, 상기 제1 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하거나; 또는 사용자 단말이 발송한 암호화 키 협상 요청을 수신할 경우, 상기 인증 서버에 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 인증 서버가 상기 사용자 식별자에 근거하여 생성한 것을 수신하여 저장한 제1 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 AS에 발송하는 게이트웨이 장치;
    상기 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하고, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하거나; 또는 상기 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하고 상기 사용자 식별자에 근거하여 암호화 키를 생성하여 상기 게이트웨이 장치에 발송하는 인증 서버
    를 포함하는 인증 시스템.
  11. 사용자 단말(UE)이 발송한 사용자 식별자를 포함하는 AS 액세스 요청을 수신하고, 상기 사용자 식별자에 근거하여 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 생성하여 네트워크 측에 발송하며, 상기 네트워크 측이 발송한 암호화 키를 수신하는 송수신 모듈;
    상기 송수신 모듈이 수신한 암호화 키에 근거하여 상기 UE에 대해 인증을 진행하는 인증 모듈;
    을 포함하는 어플리케이션 서버(AS).
  12. 어플리케이션 서버(AS)가 발송한 상기 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하거나, 또는 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하는 수신 모듈;
    상기 수신 모듈이 상기 AS가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하면, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하거나, 또는 상기 수신 모듈이 상기 게이트웨이 장치가 발송한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 수신하면, 상기 사용자 식별자, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하거나, 또는 상기 수신 모듈이 상기 게이트웨이 장치가 발송한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 수신하면, 상기 사용자 식별자에 근거하여 암호화 키를 생성하는 생성 모듈;
    상기 생성 모듈이 생성한 상기 암호화 키를 발송하는 발송 모듈;
    을 포함하는 인증 서버.
  13. 어플리케이션 서버(AS)가 발송한 사용자 식별자와 AS 식별자를 포함하는 암호화 키 생성 요청을 수신하고, 인증 서버가 발송한 암호화 키를 수신하는 수신 모듈;
    상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 생성하거나, 또는 상기 사용자 식별자를 포함하는 인증 데이터 요청을 생성하고, 상기 수신 모듈이 상기 인증 서버로부터 수신한 암호화 키, 상기 AS 식별자 및 부가 파라미터에 근거하여 암호화 키를 생성하는 생성 모듈;
    상기 인증 서버에 상기 생성 모듈이 생성한 상기 사용자 식별자와 상기 AS 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 AS에 상기 인증 서버로부터 수신한 암호화 키를 발송하거나, 또는 상기 인증 서버에 상기 생성 모듈이 생성한 상기 사용자 식별자를 포함하는 인증 데이터 요청을 발송하고, 상기 AS에 상기 생성 모듈이 생성한 암호화 키를 발송하는 발송 모듈;
    을 포함하는 게이트웨이 장치.


KR1020127019645A 2009-12-28 2010-12-28 인증 방법, 시스템 및 장치 KR101461455B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009102435948A CN102111759A (zh) 2009-12-28 2009-12-28 一种认证方法、系统和装置
CN200910243594.8 2009-12-28
PCT/CN2010/002188 WO2011079522A1 (zh) 2009-12-28 2010-12-28 一种认证方法、系统和装置

Publications (2)

Publication Number Publication Date
KR20120109580A true KR20120109580A (ko) 2012-10-08
KR101461455B1 KR101461455B1 (ko) 2014-11-13

Family

ID=44175755

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127019645A KR101461455B1 (ko) 2009-12-28 2010-12-28 인증 방법, 시스템 및 장치

Country Status (6)

Country Link
US (1) US8880873B2 (ko)
EP (1) EP2521304B1 (ko)
JP (1) JP5709322B2 (ko)
KR (1) KR101461455B1 (ko)
CN (1) CN102111759A (ko)
WO (1) WO2011079522A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021125403A1 (ko) * 2019-12-20 2021-06-24 엘지전자 주식회사 무선 통신 시스템에서 서버를 이용한 v2x 통신을 보호하기 위한 방법

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2656648B1 (en) * 2010-12-21 2018-05-09 Koninklijke KPN N.V. Operator-assisted key establishment
CN103024735B (zh) * 2011-09-26 2015-07-01 中国移动通信集团公司 无卡终端的业务访问方法及设备
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
CN102833417B (zh) * 2012-08-30 2014-07-09 锐迪科科技有限公司 省略用户识别模块的通信终端
CN104038935B (zh) * 2013-03-06 2018-04-24 北京分享在线网络技术有限公司 基于移动终端智能卡的用户认证方法及设备
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9401915B2 (en) * 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
KR102116066B1 (ko) * 2013-06-28 2020-06-05 삼성전자 주식회사 연결된 단말의 접근 관리 방법 및 장치
CN104778421A (zh) * 2014-01-13 2015-07-15 全宏科技股份有限公司 数据安全加密方法、用以加密或认证的数据安全系统及数据载体
KR20150096979A (ko) * 2014-02-17 2015-08-26 한국전자통신연구원 홈 네트워크 접근 제어 장치 및 방법
CN104915601B (zh) * 2014-03-12 2019-04-19 三星电子株式会社 对装置中的文件夹进行加密的系统和方法
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system
US9717004B2 (en) * 2015-03-17 2017-07-25 Qualcomm Incorporated Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials
US9692598B2 (en) 2015-08-07 2017-06-27 Terry L. Davis Multi-use long string authentication keys
KR101680536B1 (ko) 2015-10-23 2016-11-29 한남석 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템
CN105323251A (zh) * 2015-11-13 2016-02-10 飞天诚信科技股份有限公司 一种实现语音播报认证的方法及其云认证服务器
CN108353279B (zh) * 2016-07-14 2020-08-14 华为技术有限公司 一种认证方法和认证系统
FR3077175A1 (fr) * 2018-01-19 2019-07-26 Orange Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif
US10326797B1 (en) * 2018-10-03 2019-06-18 Clover Network, Inc Provisioning a secure connection using a pre-shared key
US11133940B2 (en) * 2018-12-04 2021-09-28 Journey.ai Securing attestation using a zero-knowledge data management network
WO2020221612A1 (en) * 2019-04-29 2020-11-05 Telefonaktiebolaget Lm Ericsson (Publ) Handling of multiple authentication procedures in 5g
CN111050324B (zh) * 2019-12-30 2023-04-14 江苏全链通信息科技有限公司 5g终端设备接入方法、设备及存储介质
CN111901215B (zh) * 2020-07-31 2022-10-18 智车优行科技(北京)有限公司 多总线混合路由方法及网关装置
WO2024000121A1 (zh) * 2022-06-27 2024-01-04 北京小米移动软件有限公司 Ims会话方法、装置、通信设备及存储介质

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1300976C (zh) * 2004-01-16 2007-02-14 华为技术有限公司 一种网络应用实体获取用户身份标识信息的方法
GB0409496D0 (en) * 2004-04-28 2004-06-02 Nokia Corp Subscriber identities
WO2006079419A1 (en) * 2005-01-28 2006-08-03 Telefonaktiebolaget Lm Ericsson (Publ) User authentication and authorisation in a communications system
US8046824B2 (en) * 2005-04-11 2011-10-25 Nokia Corporation Generic key-decision mechanism for GAA
CN100550731C (zh) * 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种固网用户到ip多媒体子系统的接入安全系统和方法
DE602005019255D1 (de) * 2005-07-07 2010-03-25 Ericsson Telefon Ab L M Verfahren und anordnung für authentifikation und privatsphäre
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
WO2008004106A1 (en) * 2006-07-06 2008-01-10 Nokia Corporation User equipment credential system
DE102006042554B4 (de) * 2006-09-11 2009-04-16 Siemens Ag Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
CA2669145C (en) * 2006-11-15 2013-11-05 Certicom Corp. Implicit certificate verification
JP4909773B2 (ja) * 2007-03-16 2012-04-04 日本電気株式会社 ホーム加入者サーバ構成方法、構成システム、プログラム及び記憶媒体
JP2008236183A (ja) * 2007-03-19 2008-10-02 Nec Corp 呼セッション制御サーバ割り当て方法および呼セッション制御サーバ割り当てシステム
CN101272297B (zh) * 2007-03-20 2011-10-26 中兴通讯股份有限公司 一种WiMAX网络用户EAP认证方法
WO2008118050A1 (en) * 2007-03-26 2008-10-02 Telefonaktiebolaget Lm Ericsson (Publ) Prevent unauthorised subscriber access advertisement service system
CN101364909B (zh) * 2007-08-07 2011-04-13 华为技术有限公司 无卡设备接入个人网络的方法、装置及系统
CN101436931B (zh) * 2007-09-04 2013-07-10 财团法人工业技术研究院 无线通信系统中提供安全通信的方法、系统、基站与中继站
US20090259849A1 (en) * 2008-04-10 2009-10-15 Igor Faynberg Methods and Apparatus for Authenticated User-Access to Kerberos-Enabled Applications Based on an Authentication and Key Agreement (AKA) Mechanism
CN101547095B (zh) * 2009-02-11 2011-05-18 广州杰赛科技股份有限公司 基于数字证书的应用服务管理系统及管理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021125403A1 (ko) * 2019-12-20 2021-06-24 엘지전자 주식회사 무선 통신 시스템에서 서버를 이용한 v2x 통신을 보호하기 위한 방법

Also Published As

Publication number Publication date
JP5709322B2 (ja) 2015-04-30
US20130046971A1 (en) 2013-02-21
EP2521304B1 (en) 2019-11-27
WO2011079522A1 (zh) 2011-07-07
EP2521304A4 (en) 2017-09-06
EP2521304A1 (en) 2012-11-07
KR101461455B1 (ko) 2014-11-13
CN102111759A (zh) 2011-06-29
JP2013516121A (ja) 2013-05-09
US8880873B2 (en) 2014-11-04

Similar Documents

Publication Publication Date Title
KR101461455B1 (ko) 인증 방법, 시스템 및 장치
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
CN102160357B (zh) 通信网络中的密钥管理
CN101635823B (zh) 一种终端对视频会议数据进行加密的方法及系统
CN100461942C (zh) Ip多媒体子系统接入域安全机制的选择方法
JP6330916B2 (ja) webRTCのためのシステム及び方法
US20080301785A1 (en) Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an ims network
CN102196426B (zh) 一种接入ims网络的方法、装置和系统
WO2007009343A1 (fr) Systeme d'autorisation d'acces d'un reseau de communication et son procede
WO2007098660A1 (fr) Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
KR20180008411A (ko) 서비스 등록 절차 내에서 다수의 인증을 수행하는 방법
KR20150058534A (ko) 인증 정보 전송
JP5342818B2 (ja) 管理装置、登録通信端末、非登録通信端末、ネットワークシステム、管理方法、通信方法、及びコンピュータプログラム。
CN104753872A (zh) 认证方法、认证平台、业务平台、网元及系统
CN102065069B (zh) 一种身份认证方法、装置和系统
CN106790055B (zh) 一种ims系统的注册方法与装置
CN103905405A (zh) 一种ims的用户注册方法、装置及相关设备
WO2011147258A1 (zh) 一种实现卡鉴权的方法、系统及用户设备
US8683034B2 (en) Systems, methods and computer program products for coordinated session termination in an IMS network
EP2274927A1 (en) Service reporting
KR102024376B1 (ko) 사물 인터넷 장치의 부트스트랩 방법
CN108712410A (zh) 秘钥可配的p-cscf服务器、会话系统及方法
WO2011017851A1 (zh) 客户端安全访问消息存储服务器的方法和相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171101

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181101

Year of fee payment: 5