KR20160086148A - 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템 - Google Patents

공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템 Download PDF

Info

Publication number
KR20160086148A
KR20160086148A KR1020150003518A KR20150003518A KR20160086148A KR 20160086148 A KR20160086148 A KR 20160086148A KR 1020150003518 A KR1020150003518 A KR 1020150003518A KR 20150003518 A KR20150003518 A KR 20150003518A KR 20160086148 A KR20160086148 A KR 20160086148A
Authority
KR
South Korea
Prior art keywords
authentication
subscriber server
home subscriber
vpn terminal
virtual private
Prior art date
Application number
KR1020150003518A
Other languages
English (en)
Inventor
윤사무엘
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150003518A priority Critical patent/KR20160086148A/ko
Publication of KR20160086148A publication Critical patent/KR20160086148A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 VPN 단말의 인증 방법 및 이를 위한 시스템을 개시한다. 본 발명의 일 측면에 따른 이동성 관리 장치 및 홈 가입자 서버를 포함하는 공중망에서 가상 사설망 게이트웨이에 접속하는 VPN 단말의 인증 방법은, 상기 홈 가입자 서버가, 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행하며 저장한 인증 토큰을 포함하는 인증 정보를 상기 가상 사설망 게이트웨이로부터 수신하는 단계; 상기 홈 가입자 서버가, 상기 인증 토큰을 제외한 상기 인증 정보를 이용하여 특정 알고리즘을 수행해 인증 토큰을 산출하고 상기 인증 정보에 포함된 인증 토큰과 비교하는 단계; 및 상기 홈 가입자 서버가, 상기 비교의 결과에 따른 인증 결과를 상기 가상 사설망 게이트웨이로 전송하는 단계;를 포함한다.

Description

공중망을 이용한 가상 사설망 서비스를 제공하는 무선 VPN 단말의 인증 방법 및 이를 위한 시스템{ METHOD FOR AUTHENTICATING OF WIRELESS VPN TERMINAL PROVIDING VIRTUAL PRIVATE NETWORK SERVICE USING PUBLIC NETWORK AND SYSTEM THEREFOR}
본 발명은 VPN(Virtual Private Network) 단말의 인증 방법 및 이를 위한 시스템에 관한 것으로, 더욱 상세하게는 공중망에 무선으로 접속하여 가상 사설망을 구축하는 무선 VPN 단말의 인증 방법 이를 위한 시스템에 관한 것이다.
인터넷 보안 프로토콜(IP Security Protocol : IPSec)은 네트워크 통신의 패킷 처리 계층에서의 보안을 위해 개발된 프로토콜로서, 가상 사설망(Virtual Private Network : VPN)을 통하여 송수신되는 데이터를 공중망 사용자들로부터 보호하기 위하여 이용되는 프로토콜이다.
단말 기반의 IPSec VPN 서비스는, 다양한 통신 단말들이 별도의 VPN 설정 없이, 공중망에 연결된 VPN 단말에 접속하여 원격지의 사설망에 접속해 VPN 트래픽을 주고 받을 수 있는 가상 사설망 서비스이다. 상술한 바와 같은 가상 사설망 서비스를 이용하기 위해 VPN 단말은, 공중망을 통해 가상 사설망 게이트웨이(VPN GateWay : VPN G/W)와 IPSec 터널 생성을 위한 인증 단계를 수행하며, IPSec에서는 상기 인증을 위한 키 교환 절차로 IKE 방식을 1단계(Main Mode or Aggressive Mode)와 2단계(Quick Mode)로 나누어 진행한다. 상기 IKE의 1단계는 보안성이 없는 공중망에서 암호화된 데이터를 주고받기 위한 ISAKMP(Internet Security Association and Key Management Protocol) 단계로서, VPN 단말과 가상 사설망 게이트웨이(VPN G/W)가 서로 사전에 공유하여 가지고 있는 사전 공유키(Pre-Shared Key)와, ISAKMP의 암호화 방법 및 해시 함수 등에 대해 서로 협상하는 단계이다. 그리고, 2단계는 실제 IPSec 터널(Tunnel)을 통해 주고 받을 데이터의 암호화 방법 및 IPSec 터널을 통해 주고 받을 트래픽의 유형 등을 협상하는 단계이다.
이러한 단말 기반의 IPsec VPN 서비스는 유선 기반과 무선 기반으로 나눌 수 있다. 유선 기반은 상술한 VPN 단말이 유선 네트워크를 통해 가상 사설망 게이트(VPN G/W)에 접속하는 것이고, 무선 기반은 상술한 VPN 단말이 무선 네트워크를 통해 가상 사설망 게이트웨이(VPN G/W)에 접속하는 것이다. 유선 기반의 VPN 서비스에서, VPN 단말과 가상 사설망 게이트웨이(VPN G/W) 사이에서 IKE 1단계 인증을 위해, VPN 단말에 고정 IP 주소를 할당하고, VPN 단말과 가상 사설망 게이트웨이(VPN G/W)에 미리 설정된 사전 공유키(Pre-Shared Key)를 저장한 후, 가상 사설망 게이트웨이(VPN G/W)에서 해당 사전 공유키를 가지고 있는 VPN 단말의 IP 주소가 상기 고정으로 할당된 IP 주소인지 여부를 확인하는 방식으로 인증을 수행한다. 이 경우, 가입자의 VPN 단말 하위에 위치하는 실제 사용자 단말은 별도의 인증 절차 없이 VPN 단말을 통해 원격지의 사설망에 접속할 수 있다. 이를 도면을 참조하여 설명하면 다음과 같다.
도 1은 일반적인 유선 가상 사설망에서의 IPSec 접속과정에 대한 흐름도이다.
도 1을 참조하면, 유선으로 공중망에 접속한 VPN 단말(10)은 공중망 인증서버(20)로 인증을 요청하고, 인증 요청에 대한 응답으로 IP 주소를 할당받아 일반 공중망 네트워크 즉, 인터넷에 접속한다(S111)(S113). 이때, 상기 VPN 단말(10)은 고정 단말로써 상기 할당받는 IP 주소는 고정 IP 주소이다.
이후, 가상 사설망을 구성하고자 하는 VPN 단말(10)은 가상 사설망 게이트웨이(VPN G/W)(30)와 1차로 보안협상(IKE SA)단계를 진행하고, 2차로 IPSec 터널 규격을 협상(IPSec SA)하는 단계를 진행한다(S115)(S117). 이때, 상기 VPN 단말(10)은 상기 1차 단계 진행시 가상 사설망 게이트웨이(30)와 사전 공유키를 공유하여 저장할 수 있고, 가상 사설망 게이트웨이(30)는 사전 공유키를 공유한 상기 VPN 단말(10)의 고정 IP 주소를 저장한다.
상기 가상 사설망 게이트웨이(VPN G/W)(30)는 VPN 단말(10)로부터 사설망 접속 요청을 수신하면, 상기 공유한 사전 공유키 및 VPN 단말(10)의 IP 주소를 이용하여 인증을 수행한다(S119). 즉, 상기 가상 사설망 게이트웨이(VPN G/W)(30)는 상기 접속 요청을 시도한 VPN 단말(10)의 사전 공유키가 자신이 저장한 사전 공유키와 일치하고, VPN 단말(10)의 IP 주소가 상기 사전 공유키에 대응하여 저장된 IP 주소와 일치하면 인증을 완료하고 이에 대한 응답을 VPN 단말(10)로 보내 접속 요청을 허용한다(S121).
이후, 상기 VPN 단말이 상기 IPSec SA 협상을 통해 상기 가상 사설망 게이트웨이와 IPSec 터널 생성을 완료 하면, 이후 VPN 단말에 접속하는 통신 단말들은 별도의 인증 절차 없이 VPN 단말을 통해 원격지의 사설망에 접속할 수 있다.
하지만, 상기 VPN 단말이 공중망에 무선으로 접속하는 무선 VPN 단말일 경우, 상기 무선 VPN 단말은 공중망으로부터 유동 IP 주소를 할당받게 된다. 따라서, 상술한 바와 같이 고정 IP 주소를 할당받은 VPN 단말의 인증 방식은 적용할 수 없고, 사전 공유키를 이용한 인증 절차에서 해당 사전 공유키에 대해 접속할 수 있는 IP 주소를 모두(ALL)로 지정하여, 유동 IP 주소로 접속하는 VPN 단말도 접속을 허용할 수 있다. 하지만, 이러한 경우 상기 사전 공유키 값이 노출되면 불특정 다수의 통신 단말이나 소프트웨어가 가상 사설망 게이트웨이(VPN G/W)에 IPSec 연결을 시도할 수 있는 보안 위험성이 존재하게 된다.
따라서, 상술한 바와 같이 유동 IP 주소를 할당받은 무선 VPN 단말에 접속하는 통신 단말은 상기 IKE 1 단계와 IKE 2단계의 사이에서 상기 무선 VPN 단말에 대한 추가적인 인증 절차가 필요하다.
이에 따라, 종래에는 가상 사설망 게이트웨이(VPN G/W)가 VPN 단말에 접속하는 통신 단말에게 아이디와 패스워드 정보를 요청하여 수신하고, 상기 가상 사설망 게이트웨이(VPN G/W)는 상기 VPN 단말의 아이디와 패스워드 정보를 외부 인증 서버로 보내 인증을 수행한다. 하지만 이 방식은 별도의 인증 서버를 추가로 구축해야 하는 문제점이 있다.
한국등록특허 제10-0687415호(2007.02.26 공고)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 VPN 단말에 대해 별도의 인증 서버 구축없이 상기 공중망의 홈 가입자 서버를 이용하여 상기 무선 VPN 단말을 인증할 수 있는 무선 VPN 단말의 인증 방법 및 이를 위한 시스템을 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 이동성 관리 장치 및 홈 가입자 서버를 포함하는 공중망에서 가상 사설망 게이트웨이에 접속하는 VPN 단말의 인증 방법은, 상기 홈 가입자 서버가, 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행하며 저장한 인증 토큰을 포함하는 인증 정보를 상기 가상 사설망 게이트웨이로부터 수신하는 단계; 상기 홈 가입자 서버가, 상기 인증 토큰을 제외한 상기 인증 정보를 이용하여 특정 알고리즘을 수행해 인증 토큰을 산출하고 상기 인증 정보에 포함된 인증 토큰과 비교하는 단계; 및 상기 홈 가입자 서버가, 상기 비교의 결과에 따른 인증 결과를 상기 가상 사설망 게이트웨이로 전송하는 단계;를 포함한다.
상기 비교하는 단계는, 상기 홈 가입자 서버가, 상기 인증 정보 및 상기 특정 알고리즘의 수행 결과 값을 이용하여 최상위 레벨키를 산출하고 그 산출한 최상위 레벨키를 상기 이동성 관리 장치로 전송하는 단계; 및 상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 VPN 단말에 대한 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 단계;를 포함할 수 있다.
상기 홈 가입자 서버는, 상기 인증 정보로서 상기 VPN 단말이 접속한 망의 식별정보와, 시퀀스 넘버(SQN:Sequence Number)를 이용하고, 상기 특정 알고리즘의 수행 결과 값으로서 CK(Cipher Key) 및 IK(Integrity Key)를 이용하여 상기 최상위 레벨키를 산출할 수 있다.
상기 최상위 레벨키의 비교 결과를 수신하는 단계는, 상기 홈 가입자 서버가, 상기 산출한 최상위 레벨키와, 상기 인증 정보에 포함된 최상위 레벨키의 인덱스를 상기 이동성 관리 장치로 전송하는 단계; 상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 최상위 레벨키의 인덱스에 대응하는 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 단계;를 포함할 수 있다.
상기 비교하는 단계는, 상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행할 때 저장한 XRES(Expected Response)를 수신하여 상기 특정 알고리즘의 수행 결과 중 하나인 XRES과 비교하는 단계;를 포함할 수 있다.
상기 방법은, 상기 홈 가입자 서버가, 상기 가상 사설망 게이트웨이로부터 상기 VPN 단말의 IP 주소를 수신하고 그 수신된 IP 주소가 가상 사설망 서비스의 대역인지 확인하는 단계;를 더 포함할 수 있다.
상기 특정 알고리즘은, EPS-AKA(Authentication and Key Agreement) 알고리즘일 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 가상 사설망 게이트웨이에 공중망을 통해 무선으로 접속하는 VPN 단말을 인증하는 시스템은, 사설망 접속을 요청하는 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행하며 저장한 인증 토큰을 포함하는 인증 정보를 상기 VPN 단말로부터 수신하는 가상 사설망 게이트웨이; 및 상기 가상 사설망 게이트웨이로부터 상기 인증 정보를 수신하고, 상기 인증 토큰을 제외한 상기 인증 정보를 이용하여 특정 알고리즘을 수행해 인증 토큰을 산출하며 상기 인증 정보에 포함된 인증 토큰과 비교하고, 상기 비교의 결과에 따른 인증 결과를 상기 가상 사설망 게이트웨이에 전송하는 홈 가입자 서버;를 포함한다.
상기 홈 가입자 서버는, 상기 인증 정보 및 상기 특정 알고리즘의 수행 결과 값을 이용해 최상위 레벨키를 산출하고 그 산출한 최상위 레벨키를 이동성 관리 장치로 전송하며, 상기 이동성 관리 장치로부터 상기 VPN 단말에 대한 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신할 수 있다.
상기 홈 가입자 서버는, 상기 인증 정보로서 상기 VPN 단말이 접속한 망의 식별정보와, 시퀀스 넘버(SQN:Sequence Number)를 이용하고, 상기 특정 알고리즘의 수행 결과 값으로서 CK(Cipher Key) 및 IK(Integrity Key)를 이용하여 상기 최상위 레벨키를 산출할 수 있다.
상기 홈 가입자 서버는, 상기 산출한 최상위 레벨키와 상기 인증 정보에 포함된 최상위 레벨키의 인덱스를 상기 이동성 관리 장치로 전송하고, 상기 이동성 관리 장치로부터 상기 최상위 레벨키의 인덱스에 대응하는 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신할 수 있다.
상기 홈 가입자 서버는, 이동성 관리 장치로부터 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행할 때 저장한 XRES(Expected Response)를 수신하여 상기 특정 알고리즘의 수행 결과 중 하나인 XRES과 비교할 수 있다.
상기 홈 가입자 서버는, 상기 가상 사설망 게이트웨이로부터 상기 VPN 단말의 IP 주소를 수신하고 그 수신된 IP 주소가 가상 사설망 서비스의 대역인지 확인할 수 있다.
상기 특정 알고리즘은, EPS-AKA(Authentication and Key Agreement) 알고리즘일 수 있다.
본 발명의 일 측면에 따르면, 통신 단말을 인증하기 위해 별도의 인증 서버를 구축하지 않고, 상기 통신 단말이 접속하는 VPN 단말과 상기 VPN 단말의 가입자 정보가 저장된 홈 가입자 서버가 인증 정보 교환을 통해 상기 VPN 단말을 인증함으로써 시스템 구축 비용이 절감되는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 일반적인 유선 가상 사설망에서의 IPSec 접속과정에 대한 흐름도,
도 2는 본 발명의 일 실시 예에 따른 무선 VPN 단말을 인증하는 시스템의 개략적인 구성도,
도 3은 공중망에 접속한 VPN 단말의 인증 절차에 대한 흐름도,
도 4는 본 발명의 일 실시 예에 따른 가상 사설망에서의 IPSec 통신을 위한 VPN 단말을 인증하는 방법에 대한 흐름도,
도 5는 본 발명의 일 실시 예에 따른 가상 사설망 게이트웨이(VPN G/W)의 구성도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 2는 본 발명의 일 실시 예에 따른 무선 VPN 단말을 인증하는 시스템의 개략적인 구성도이다.
도 2를 참조하면, 본 실시 예에 따른 시스템은 VPN 단말(210), 가상 사설망 게이트웨이(VPN G/W)(230), 홈 가입자 서버(HSS)(250) 및 이동성 관리 장치(MME)(270)를 포함한다.
VPN 단말(210)은 공중망에 접속 가능한 무선 통신 단말로써 예를 들어, 무선 AP(Access Point)일 수 있다. 상기 공중망은 무선 접속망일 수 있으며, 본 실시예를 설명함에 있어서 LTE 접속망일 수 있다. 이때, 상기 VPN 단말(210)은 LTE 망에 접속하여 유동 IP 주소를 할당받을 수 있으며, 이후 가상 사설망(VPN)을 구성하기 위해 인증 절차를 거친다. 이때, 상기 VPN 단말(210)이 할당받은 유동 IP 주소는 홈 가입자 서버(250)가 VPN 단말(210)에 가상 사설망의 서비스 용도로 할당한다. 상기 유동 IP 주소는 LTE 망에서 가상 사설망 서비스만을 위한 용도로 대역을 분리하여 관리할 수 있으며, 이때 상기 IP 주소 대역은 APN(Access Point Number)으로 식별될 수 있다.
상기 VPN 단말(210)이 LTE 망에 접속할 경우, 상기 단말에 대한 인증 수행절차는 도 3을 통해 자세히 설명하기로 한다.
상기 VPN 단말(210)은 공중망 즉, 무선 접속망을 공유하지만, 사설망 사용자간의 내부통신에 있어서는 별도의 보안 프로토콜(IPSec)을 이용하여 보안된 송수신 데이터 패킷으로 통신한다. 따라서, 상기 VPN 단말(210)은 가상 사설망 구축시 도 1을 통해 설명한 바와 같이 IKE 1 단계 및 IKE 2 단계를 수행할 수 있으며, 상기 1 단계 수행시 가상 사설망 게이트웨이(VPN G/W)(230)와 사전 공유키를 공유할 수 있다.
상기 VPN 단말(210)은 가상 사설망 구축을 위해 인증 절차를 거친다.
상기 VPN 단말(210)은 가상 사설망 게이트웨이(VPN G/W)(230)에 접속시 상기 VPN 단말(210)의 인증 정보가 저장된 홈 가입자 서버(250)와 가상 사설망 게이트웨이(VPN G/W)(230) 간에 인증 정보의 교환을 통해 인증된다. 이와 관련한 자세한 설명은 도 4를 통해 자세히 설명하기로 한다.
가상 사설망 게이트웨이(VPN G/W)(230)는 LTE 망에 접속하여 유동 IP 주소를 할당받은 상기 VPN 단말(210)과 사전 공유키의 교환을 통해 IKE 1 단계를 수행한다. 이때, 상기 가상 사설망 게이트웨이(VPN G/W)(230)는 VPN 단말(210)의 IP 주소와 상관없이 VPN 단말(210)이 상기 사전 공유키를 가지고 있으면 무조건 가상 사설망 접속을 허용할 수 있다. 하지만, 이와 같은 인증 방식은 상기 사전 공유키 값이 노출되면 불특정 다수의 통신 단말이나 소프트웨어가 가상 사설망 게이트웨이(VPN G/W)(230)에 IPSec 연결을 시도할 수 있는 보안 위험성이 존재하므로 별도의 VPN 단말(210)에 대한 인증 절차가 필요하다.
이에 따라, 상기 가상 사설망 게이트웨이(VPN G/W)(230)는 상기 IKE 1 단계에서 사전 공유키만으로 인증을 수행하고, 추가적으로 VPN 단말(210)이 LTE 망에 접속하여 인증을 받을 때 사용한 인증 정보를 상기 VPN 단말(210)로 요청하여 수신하고, 이를 홈 가입자 서버(250)로 전송해 상기 VPN 단말(210)에 대한 인증을 요청한다.
이후, 상기 가상 사설망 게이트웨이(VPN G/W)(230)는 홈 가입자 서버(250)로 요청한 VPN 단말(210)에 대한 인증 결과를 전송받고, 인증이 완료되면, 상기 VPN 단말(210)과 IKE 2 단계를 수행하여 가상 사설망을 구축함으로써, 상기 VPN 단말(210)이 가상 사설망을 통해 별도의 보안 프로토콜(IPSec)을 이용하여 보안된 데이터 패킷의 송수신을 가능하게 한다.
이때, 상기 유동 IP 주소는 VPN 단말(210)이 무선 VPN 서비스를 위해 홈 가입자 서버(250)로부터 할당받은 IP 주소로, LTE 망에서는 상기 IP 주소를 무선 VPN 서비스만을 위한 용도로 대역을 분리하여 관리하고 있으며, 상기 IP 주소 대역은 무선 VPN 서비스를 위한 APN으로 식별될 수 있다.
상기 가상 사설망 게이트웨이(VPN G/W)(230)가 VPN 단말(210)에 대한 인증을 수행하는 절차와 관련한 설명은 도 4를 통해 자세히 후술하기로 한다.
홈 가입자 서버(250)는 LTE 망을 이용해 가상 사설망 서비스를 제공하기 위한 VPN 단말(210)의 인증을 수행하는 장치 중 하나로, 상기 VPN 단말(210)의 가입자 인증 정보를 저장할 수 있다. 예컨대, 상기 홈 가입자 서버(250)는 VPN 단말(210)에 대한 Key 정보 및 가입자 프로파일 정보를 가지고 있을 수 있다. 즉, 상기 홈 가입자 서버(250)는 상기 VPN 단말(210)의 고유 가입자 식별번호(International Mobile Subscriber Identify : IMSI) 및 LTE Key를 공유할 수 있다.
본 실시 예에 따르면, 상기 홈 가입자 서버(250)는 VPN 단말(210)이 LTE 망에 접속하여 인증을 수행할 때 저장한 인증 정보를 가상 사설망 게이트웨이(VPN G/W)(230)로부터 전송받은 VPN 단말(210)의 인증 요청 정보와 비교하여 상기 VPN 단말(210)의 인증을 수행하는 역할을 한다.
상기 홈 가입자 서버(250)가 가상 사설망 게이트웨이(VPN G/W)(230)로부터 VPN 단말(210)의 인증 요청 정보를 수신하여 상기 VPN 단말(210)의 인증을 수행하는 절차에 대한 설명은 도 4를 통해 자세히 후술하기로 한다.
이동성 관리 장치(270)는 LTE 망을 이용해 가상 사설망 서비스를 제공하기 위한 VPN 단말(210)의 인증을 수행하는 장치 중 하나로, 가상 사설망 게이트웨이(VPN G/W)(230)의 인증 요청에 따라 홈 가입자 서버(250)로부터 전송받은 최상위 레벨키(K_ASME)와, VPN 단말(210)이 LTE망에 접속하여 인증을 수행할 때 생성한 최상위 레벨키(K_ASME)의 비교를 통해 상기 VPN 단말(210)을 인증할 수 있다.
상기 이동성 관리 장치(270)가 홈 가입자 서버(250)로부터 최상위 레벨키(K_ASME)를 전송받아 비교를 통해 VPN 단말(210)의 인증을 수행하는 절차에 대한 설명은 도 4를 통해 자세히 후술하기로 한다.
도 3은 공중망에 접속한 VPN 단말의 인증 절차에 대한 흐름도이다. 여기서의 인증은 가상 사설망 서비스를 위한 인증이 아니고, VPN 단말(210)이 공중망에 접속할 때 VPN 단말(210)이 해당 공중망에 가입된 단말인지를 확인하는 것을 의미한다. 가상 사설망 서비스를 위한 VPN 단말(210)의 인증은 도 4를 참조하여 후술한다.
LTE 망에 접속하는 VPN 단말(210)은 EPS-AKA(Authentication and Key Agreement) 절차에 의해 단말의 인증을 수행할 수 있으며, 이를 위한 연동 장치는 홈 가입자 서버(250) 및 이동성 관리 장치(270)이다.
VPN 단말(210)은 제조 시 고유 가입자 식별번호(IMSI)와 LTE Key를 가질 수 있으며, 상기 고유 가입자 식별번호(IMSI)와 LTE Key는 인증센터에 저장되는 값으로 홈 가입자 서버(250)와 VPN 단말(210)이 사전에 공유한 미리 알고 있는 값이다.
도 3을 참조하면, VPN 단말(210)은 이동성 관리 장치(270)로 접속 요청을 할 수 있다(S311). 이때, 상기 VPN 단말(210)은 접속 요청시 고유 가입자 식별번호(IMSI), UE Network Capability, KSI_ASME 등의 정보를 이동성 관리 장치(270)로 전달할 수 있다. 여기서, 상기 고유 가입자 식별번호는 VPN 단말(210)을 식별할 수 있는 단말의 고유 식별번호이고, UE Network Capability는 VPN 단말(210)이 사용 가능한 보안 알고리즘을 나타내며, KSI_ASME는 VPN 단말(210)과 이동성 관리 장치(270) 간의 무결성 검증과 암호화에 사용할 최상위 레벨키(K_ASME)의 인덱스이다. VPN 단말(210)은 아직 이동성 관리 장치(270)와 최상위 레벨키(K_ASME)를 공유하지 않은 상태이므로, KSI_ASME=7과 같은 정보를 이동성 관리 장치(270)로 전달한다. 여기서 ‘7’은 아직 최상위 레벨키가 없음을 나타낸다.
이동성 관리 장치(270)는 VPN 단말(210)로부터 접속 요청을 받으면 홈 가입자 서버(250)로 인증 정보(Authentication Vectors : AV)를 요청할 수 있다(S313). 이때, 상기 인증 정보(AV) 요청시 VPN 단말(210)의 가입자 고유 식별번호(IMSI), SN_ID, n(인증 벡터의 수), Network Type 등 정보가 함께 전송될 수 있다. 여기서, 상기 SN_ID는 VPN 단말(210)이 접속한 망의 식별정보로 PLMN(Pubilic Land Mobile Network) ID(MCC(Mobile Country Code)와 MNC(Mobile Network Code)로 구성됨)로 구성되고, n은 이동성 관리 장치(270)가 홈 가입자 서버(250)에게 요청하는 인증 벡터의 수, Network Type은 VPN 단말(210)이 접속한 접속 망의 종류를 나타낸다.
홈 가입자 서버(250)는 이동성 관리 장치(270)로부터 인증 정보를 요청 받으면, VPN 단말(210)에 대한 인증 정보(AV)를 생성하여 상기 이동성 관리 장치(270)로 전송한다(S315)(S317)(S319)(S321). 이때, 상기 인증 정보에는 난수(Random Number : RAND), 인증 토큰(Authentication Token : AUTN), 홈 가입자 서버(250)가 생성한 예상 응답값(Expected Response : XRES), 무결성 검증과 암호화에 사용할 최상위 레벨 키(K_ASME)가 포함될 수 있다. 예컨대, 상기 홈 가입자 서버(250)는 난수(RAND)와 SQN(Sequence number)을 발생시키고, LTE Key, SQN 및 RAND 값을 EPS-AKA 알고리즘에 입력하여 XRES(Expected Response), AUTN, CK(Cipher Key), IK(Integrity Key)를 생성한다. 여기서, 상기 XRES는 홈 가입자 서버(250)가 생성한 예상 응답값, ATUN은 인증 토큰, CK는 암호키, IK는 무결성 키이다. 이후, 상기 홈 가입자 서버(250)는 키생성함수(Key Derivation Function : KDF)에 상기 CK, IK, SQN 및 SN_ID를 입력하여 이동성 관리 장치(270)에 전송할 최상위 레벨키(K_ASME)를 생성한다. 상기 홈 가입자 서버(250)는 상기 최상위 레벨키(K_ASME)를 생성한 후, 이동성 관리 장치(270)가 요청한 n값의 개수만큼 인증 벡터(AV=(RAND, AUTN, XRES, K_SAME))를 구성하여 상기 이동성 관리 장치(270)로 전송한다.
이동성 관리 장치(270)는 상기 홈 가입자 서버(250)로부터 인증 정보(AV)를 수신하면, 상기 인증 정보 중 예상 응답값(XRES) 및 최상위 레벨키(K_ASME)는 저장한다(S323). 이때 이동성 관리 장치(270)는 상기 최상위 레벨키(K_ASME)에 대한 인덱스(KSI_ASME)를 생성하여 함께 저장한다. 그리고 이동성 관리 장치(270)는 상기 인증 정보(AV) 중에 일부, 즉 난수(RAND), 인증 토큰(AUTN), 그리고 상기 최상위 레벨키의 인덱스(KSI_ASME)를 VPN 단말(210)로 전달하여 인증 요청을 한다(S325). 이와 같이 이동성 관리 장치(270)는 홈 가입자 서버(250)로부터 전달받은 최상위 레벨키(K_ASME)를 실제로 전송하지 않고 상기 최상위 레벨키의 인덱스(KSI_ASME)를 VPN 단말(210)로 전송한다.
VPN 단말(210)은 상기 이동성 관리 장치(270)로부터 인증 요청을 수신하면, 전송받은 난수(RAND), 인증 토큰(AUTN)을 이용해 홈 가입자 서버(250)에서 이용한 EPS-AKA 알고리즘과 동일한 알고리즘을 이용하여 예상 응답값(RES), 인증 토큰(AUTN_UE), 암호키(CK), 무결성키(IK)를 생성한다(S327). EPS AKA 알고리즘을 이용하기 위해서는 상기 난수(RAND)와 SQN, LTE Key가 필요한데, 난수(RAND)는 상기 이동성 관리 장치(270)로부터 수신되었고, SQN은 상기 이동성 관리 장치(270)로부터 수신된 인증 토큰(AUTN)으로부터 추출할 수 있으며, LTE Key는 VPN 단말(210)이 가지고 있는 값이다. 이후, 상기 VPN 단말(210)은 상기 인증 요청 수신시 함께 전달된 정보 중 인증 토큰(AUTN)과 자신이 생성한 상기 인증 토큰(AUTN_UE)을 비교하여 같으면 망 인증에 성공한 것으로 간주하고 예상 응답값(Respose : RES)을 생성하여 이동성 관리 장치(270)로 전달한다(S329)(S331).
이동성 관리 장치(270)는 홈 가입자 서버(250)가 전송한 예상 응답값(XRES)과 상기 VPN 단말(210)이 전달한 예상 응답값(RES)을 비교하여 VPN 단말(210)에 대한 인증을 수행하며, 이때, 상기 비교 값이 같을 경우 VPN 단말(210) 인증에 성공한 것으로 간주한다. 상기 이동성 관리 장치(270)는 VPN 단말(210)의 인증이 완료되면 VPN 단말(210)로 인증 완료 응답 메시지를 전송할 수 있다(S333)(S335).
이후, VPN 단말(210)은 홈 가입자 서버(250)에서 이용한 키생성함수(KDF)와 동일한 키생성함수(KDF)에 암호키(CK), 무결성키(IK), SQN 및 SN_ID를 입력하여 최상위 레벨키(K_ASME)를 생성하고, 그 생성한 최상위 레벨키(K_ASME)와 이동성 관리 장치(270)로부터 수신한 최상위 레벨키의 인덱스(KSI_ASME)를 저장한다(S337). 따라서 VPN 단말(210)은 이동성 관리 장치(270)와 동일한 최상위 레벨키(K_ASME)를 보유하게 된다.
상술한 바와 같이, VPN 단말(210)은 LTE 망과의 상호 인증에 성공하면 LTE 망으로부터 유동 IP 주소를 할당받을 수 있다.
도 4는 본 발명의 일 실시 예에 따른 가상 사설망에서의 IPSec 통신을 위한 VPN 단말을 인증하는 방법에 대한 흐름도이다.
도 4를 참조하면, 유동 IP 주소를 할당받은 VPN 단말(210)은 가상 사설망 게이트웨이(VPN G/W)(230)와 사전 공유키의 교환을 통해 IKE 1 단계를 수행한다(S411). 종래에는 사전 공유키의 교환과 IP 주소의 비교 과정이 IKE 1 단계에서 수행되었으나, 본 실시예의 IKE 1단계에서는 IP 주소의 비교 과정은 생략되고 사전 공유키의 교환 및 비교 과정만이 수행되며, 가상 사설망 게이트웨이(VPN G/W)(230)는 VPN 단말(210)의 IP 주소를 획득만한다. IP 주소의 비교 과정은 이하에서 설명하는 바와 같이, 가상 사설망 게이트웨이(VPN G/W)(230)의 요청에 따라 홈 가입자 서버(250)에서 수행된다.
상기 IKE 1단계 완료 후, 가상 사설망 게이트웨이(VPN G/W)(230)는 접속한 VPN 단말(210)로 인증 정보를 요청한다(S413). 상기 인증 정보는 LTE 망 접속시 인증에 사용한 VPN 단말(210)에 저장되어 있는 인증 정보로서 고유 가입자 식별번호(IMSI), 최상위 레벨키의 인덱스(KSI_ASME), VPN 단말(210)의 인증 토큰(AUTN_UE), SN_ID, SQN을 포함한다.
가상 사설망 게이트웨이(VPN G/W)(230)는 VPN 단말(210)로부터 상기 요청에 따라 상기 인증 정보를 전송받으면, 상기 전송받은 인증 정보에 VPN 단말(210)의 IP 주소 및 APN 값을 추가하여 홈 가입자 서버(250)로 전송하여 VPN 단말(210)에 대한 인증 요청을 한다(S415)(S417).
홈 가입자 서버(250)는 상기 가상 사설망 게이트웨이(VPN G/W)(230)로부터 수신한 정보 중에 VPN 단말(210)의 IP 주소와 APN 값을 저장부에 저장된 VPN 단말(210)의 IP 주소 및 APN과 비교한다(S419). 이때, 상기 저장부에 저장된 VPN 단말(210)의 IP 주소와 APN은 가상 사설망 서비스 용도로 할당된 대역이다.
홈 가입자 서버(250)는 상기 비교 결과 VPN 단말(210)의 IP 주소와 APN이 가상 사설망 서비스 용도로 할당된 값이면, LTE 망에서 가상 사설망 서비스를 이용하는 VPN 단말(210)임을 인지하고, 고유 가입자 식별번호(IMSI)를 이용하여 LTE Key를 식별한 후, 상기 VPN 단말(210)로부터 수신된 난수(RAND), SQN를 이용하여 EPS-AKA 알고리즘을 수행함으로써 XRES, AUTN, CK, IK를 구할 수 있다(S421). 이때, XRES(Expected RESponse)는 상기 홈 가입자 서버(250)가 계산한 예상 응답값, AUTN(Authentication Token)은 인증 토큰, CK(Cipher Key)는 암호키, IK(Integity)는 무결성 키이다.
이후, 홈 가입자 서버(250)는 VPN 단말(210)이 전송한 인증 토큰(AUTN_UE)과 자신이 계산한 인증 토큰(AUTN)을 비교하여 인증을 수행한다(S423).
홈 가입자 서버(250)는 상기 비교시 인증 토큰이 동일하면, 상기 계산하여 산출한 CK, IK 그리고 VPN 단말(210)로부터 수신된 SQN 및 SN_ID를 이용하여 키생성함수(KDF)를 이용해 최상위 레벨키(K_ASME)를 구하고, 이동성 관리 장치(270)로 상기 구한 최상위 레벨키(K_ASME)와 상기 VPN 단말(210)로부터 수신된 고유 가입자 식별번호(IMSI) 및 최상위 레벨키의 인덱스(KSI_ASME)를 전송한다(S425)(S427).
이동성 관리 장치(270)는 상기 홈 가입자 서버(250)로부터 수신한 정보 중에 최상위 레벨키의 인덱스(KSI_ASME)를 이용하여 이에 대응하는 최상위 레벨키(K_ASME)를 검색하고 그 검색한 최상위 레벨키(K_ASME)와 상기 홈 가입자 서버(250)로부터 수신된 최상위 레벨키(K_ASME)를 비교한다(S429). 즉, 도 3을 참조하여 설명한 바와 같이, VPN 단말(210)이 LTE 망에 최초 접속하여 인증에 성공하면 VPN 단말(210)과 이동성 관리 장치(270)는 동일한 최상위 레벨키(K_ASME)를 저장하여 관리하고, 상호 간에 최상위 레벨키(K_ASME)가 아닌 그 최상위 레벨키의 인덱스(KSI_ASME)를 송수신한다. 따라서 본 실시예에서도 VPN 단말(210)은 가상 사설망 게이트웨이(VPN G/W)(230)에 접속시 최상위 레벨키(K_ASME)를 직접 전송하지 않고 최상위 레벨키의 인덱스(KSI_ASME)를 가상 사설망 게이트웨이(VPN G/W)(230)로 전송하고, 그 최상위 레벨키의 인덱스(KSI_ASME)는 홈 가입자 서버(250)를 경유하여 이동성 관리 장치(270)로 전송된다. 이동성 관리 장치(270)는 최상위 레벨키의 인덱스(KSI_ASME)로 해당하는 최상위 레벨키(K_ASME)를 검색한 후 홈 가입자 서버(250)로부터 해당 홈 가입자 서버(250)가 VPN 단말(210)로부터 받은 정보를 기초로 계산한 최상위 레벨키(K_ASME)와 비교하는 것이다. 이동성 관리 장치(270)는 비교 결과, 최상위 레벨키(K_ASME)가 동일한 경우 저장하고 있던 예상 응답값(XRES)을 홈 가입자 서버(250)로 전송한다(S431). 여기서 예상 응답값(XRES)은 VPN 단말(210)이 LTE 망에 접속하여 인증을 받았을 때 홈 가입자 서버(250)에서 생성되어 이동성 관리 장치(270)로 전송되었던 값이다.
홈 가입자 서버(250)는 이동성 관리 장치(270)로부터 수신한 예상 응답값(XRES)과 자신이 EPS-AKA 알고리즘을 통해 구한 예상 응답값(XRES)을 비교하여 만약 동일하면, VPN 단말(210) 인증에 대한 완료 응답을 가상 사설망 게이트웨이(VPN G/W)(230)로 전송한다(S433)(S435).
이후, 가상 사설망 게이트웨이(VPN G/W)(230)는 VPN 단말(210)과 IKE 2 단계를 수행하여 가상 사설망을 구축한다(S437). 따라서, 상기 VPN 단말(210)은 가상 사설망을 통해 별도의 보안 프로토콜(IPSec)을 이용하여 보안된 데이터 패킷의 송수신이 가능하다.
상술한 바와 같이, 가상 사설망 게이트웨이(VPN G/W)(230)는 별도의 인증 서버 없이 VPN 단말(210)이 LTE 망에 접속할 때 인증을 수행하였던 홈 가입자 서버(250)로 VPN 단말(210)로부터 수신된 인증 정보를 전송하여 가상 사설망 서비스에 대한 인증을 수행한다. 따라서 별도의 인증 서버 구축에 따른 비용을 절감할 수 있고, IKE 1 단계의 사전 공유키가 노출되더라도 보안을 유지할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 가상 사설망 게이트웨이(VPN G/W) 의 구성도이다.
도 5를 참조하면, 본 실시 예에 따른 가상 사설망 게이트웨이(VPN G/W)(230)는 접속부(531), 인증 정보 처리부(533) 및 인증 확인 요청부(535)를 포함한다.
접속부(531)는 VPN 단말(210)로부터 접속 요청을 수신할 수 있다. 접속부(531)는 VPN 단말(210)들 각각과 사전 공유키를 공유하고, 상기 접속 요청한 VPN 단말(210)이 접속 요청시 전송하는 사전 공유키와 미리 공유하여 저장하고 있는 사전 공유키를 비교하여 일치하는지 확인한다. 즉, 접속부(531)는 IKE 1 단계를 수행한다. 이 과정에서 접속부(531)는 VPN 단말(210)의 IP 주소를 획득한다. 접속부(531)는, 접속 요청한 VPN 단말(210)이 가지고 있는 사전 공유키가 미리 공유하여 저장하고 있는 사전 공유키와 일치하면서, 인증 정보 처리부(533)로부터 인증 성공 응답을 수신하는 경우, 상기 VPN 단말(210)과 IKE 2 단계 과정을 수행하여 IPSec 터널을 통해 주고 받을 데이터의 암호화 방법 그리고 IPSec 터널을 통해 주고 받을 트래픽의 유형 등을 협상하고, 최종 협상 완료시 IPSec 터널을 형성하여 VPN 단말(210)과 패킷을 송수신한다.
인증 정보 처리부(533)는 상기 접속부(531)에서 IKE 1 단계 과정을 거친 VPN 단말(210)로 LTE 망 접속시 인증에 사용한 인증 정보를 요청하고 수신할 수 있다. 이때, 상기 인증 정보는 LTE 망 접속시 인증에 사용한 VPN 단말(210)에 저장되어 있는 인증 정보로서 고유 가입자 식별번호(IMSI), 최상위 레벨키의 인덱스(KSI_ASME), VPN 단말(210)의 인증 토큰(AUTN_UE), SN_ID, SQN을 포함한다.
인증 확인 요청부(535)는 상기 인증 정보 처리부(533)가 상기 수신한 VPN 단말(210)의 인증 정보를 홈 가입자 서버(250)로 전송하여 상기 VPN 단말(210)에 대한 가상 사설망 인증을 요청한다. 이때, 상기 인증 확인 요청부(535)는 VPN 단말(210)로부터 수신한 인증 정보에 VPN 단말(210)의 IP 주소 및 APN 값을 추가하여 홈 가입자 서버(250)로 전송하여 VPN 단말(210)에 대한 인증 요청을 하고 인증 결과를 수신한다.
홈 가입자 서버(250)는 상기 인증 확인 요청부(535)로부터 수신된 VPN 단말(210)의 IP 주소와 APN이 가상 사설망 서비스 용도로 할당된 값이면, LTE 망에서 가상 사설망 서비스를 이용하는 VPN 단말(210)임을 인지하고, 고유 가입자 식별번호(IMSI)를 이용하여 LTE Key를 식별한 후, 상기 VPN 단말(210)로부터 수신된 난수(RAND), SQN를 이용해 EPS-AKA 알고리즘을 수행하여 XRES, AUTN, CK, IK를 구한다. 그리고 홈 가입자 서버(250)는 VPN 단말(210)이 전송한 인증 토큰(AUTN_UE)과 자신이 계산한 인증 토큰(AUTN)을 비교하여 인증을 수행한다. 홈 가입자 서버(250)는 인증 토큰이 동일하면, 상기 계산하여 산출한 CK, IK 그리고 VPN 단말(210)로부터 수신된 SQN 및 SN_ID를 이용하여 키생성함수(KDF)를 이용해 최상위 레벨키(K_ASME)를 구하고, 이동성 관리 장치(270)로 상기 구한 최상위 레벨키(K_ASME)와 상기 VPN 단말(210)로부터 수신된 고유 가입자 식별번호(IMSI) 및 최상위 레벨키의 인덱스(KSI_ASME)를 전송한다.
이동성 관리 장치(270)는 상기 홈 가입자 서버(250)로부터 수신한 정보 중에 최상위 레벨키의 인덱스(KSI_ASME)를 이용하여 이에 대응하는 최상위 레벨키(K_ASME)를 검색하고 그 검색한 최상위 레벨키(K_ASME)와 상기 홈 가입자 서버(250)로부터 수신된 최상위 레벨키(K_ASME)를 비교한다. 이동성 관리 장치(270)는, 비교 결과, 최상위 레벨키(K_ASME)가 동일한 경우 저장하고 있던 예상 응답값(XRES)을 홈 가입자 서버(250)로 전송하고, 홈 가입자 서버(250)는 이동성 관리 장치(270)로부터 수신한 예상 응답값(XRES)과 자신이 EPS-AKA 알고리즘을 통해 구한 예상 응답값(XRES)을 비교하여 만약 동일하면, VPN 단말(210) 인증에 대한 완료 응답을 상기 인증 확인 요청부(535)로 전송한다.
이상의 실시예에서, 홈 가입자 서버(250) 및 이동성 관리 장치(270)는 가상 사설망 게이트웨이(VPN G/W)(230)의 요청에 따라 총 4 가지의 파라미터를 비교한다. 첫 번째로, 홈 가입자 서버(250)는 VPN 단말(210)의 IP 주소 및 APN을 비교한다. 두 번째로, 홈 가입자 서버(250)는 VPN 단말(210)이 보내온 인증 토큰과 VPN 단말(210)이 보내온 인증 정보를 이용하여 자체적으로 계산한 인증 토큰을 비교한다. 세 번째로 이동성 관리 장치(270)는 자신이 저장하고 있는 최상위 레벨키와 홈 가입자 서버(250)가 계산하여 전송한 최상위 레벨키를 비교한다. 네 번째로, 홈 가입자 서버(250)는 이동성 관리 장치(270)가 XRES 값을 보내오면 VPN 단말(210)이 보내온 인증 정보를 이용하여 자체적으로 산출한 XRES 값을 비교한다. 이와 같이 총 4 가지의 파라미터를 비교하는데, 이 4 가지 비교를 앞서 설명한 바와 같이 모두 수행할 수 있고, 또는 이 중 하나 또는 둘의 조합 또는 셋의 조합을 수행할 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 앱으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.
210 : VPN 단말
230 : 가상 사설망 게이트웨이(VPN G/W)
531 : 접속부
533 : 인증 정보 처리부
535 : 인증 확인 요청부
250 : 홈 가입자 서버(HSS)
270 : 이동성 관리 장치(MME)

Claims (14)

  1. 이동성 관리 장치 및 홈 가입자 서버를 포함하는 공중망에서 가상 사설망 게이트웨이에 접속하는 VPN 단말의 인증 방법에 있어서,
    상기 홈 가입자 서버가, 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행하며 저장한 인증 토큰을 포함하는 인증 정보를 상기 가상 사설망 게이트웨이로부터 수신하는 단계;
    상기 홈 가입자 서버가, 상기 인증 토큰을 제외한 상기 인증 정보를 이용하여 특정 알고리즘을 수행해 인증 토큰을 산출하고 상기 인증 정보에 포함된 인증 토큰과 비교하는 단계; 및
    상기 홈 가입자 서버가, 상기 비교의 결과에 따른 인증 결과를 상기 가상 사설망 게이트웨이로 전송하는 단계;를 포함하는 것을 특징으로 하는 VPN 단말의 인증 방법.
  2. 제 1 항에 있어서,
    상기 비교하는 단계는,
    상기 홈 가입자 서버가, 상기 인증 정보 및 상기 특정 알고리즘의 수행 결과 값을 이용하여 최상위 레벨키를 산출하고 그 산출한 최상위 레벨키를 상기 이동성 관리 장치로 전송하는 단계; 및
    상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 VPN 단말에 대한 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 단계;를 포함하는 것을 특징으로 하는 VPN 단말의 인증 방법.
  3. 제 2 항에 있어서,
    상기 홈 가입자 서버는,
    상기 인증 정보로서 상기 VPN 단말이 접속한 망의 식별정보와, 시퀀스 넘버(SQN:Sequence Number)를 이용하고, 상기 특정 알고리즘의 수행 결과 값으로서 CK(Cipher Key) 및 IK(Integrity Key)를 이용하여 상기 최상위 레벨키를 산출하는 것을 특징으로 하는 VPN 단말의 인증 방법.
  4. 제 2 항에 있어서,
    상기 최상위 레벨키의 비교 결과를 수신하는 단계는,
    상기 홈 가입자 서버가, 상기 산출한 최상위 레벨키와, 상기 인증 정보에 포함된 최상위 레벨키의 인덱스를 상기 이동성 관리 장치로 전송하는 단계;
    상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 최상위 레벨키의 인덱스에 대응하는 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 단계;를 포함하는 것을 특징으로 하는 VPN 단말의 인증 방법.
  5. 제 1 항에 있어서,
    상기 비교하는 단계는,
    상기 홈 가입자 서버가, 상기 이동성 관리 장치로부터 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행할 때 저장한 XRES(Expected Response)를 수신하여 상기 특정 알고리즘의 수행 결과 중 하나인 XRES과 비교하는 단계;를 포함하는 것을 특징으로 하는 VPN 단말의 인증 방법.
  6. 제 1 항에 있어서,
    상기 홈 가입자 서버가, 상기 가상 사설망 게이트웨이로부터 상기 VPN 단말의 IP 주소를 수신하고 그 수신된 IP 주소가 가상 사설망 서비스의 대역인지 확인하는 단계;를 더 포함하는 것을 특징으로 하는 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 특정 알고리즘은, EPS-AKA(Authentication and Key Agreement) 알고리즘인 것을 특징으로 하는 방법.
  8. 가상 사설망 게이트웨이에 공중망을 통해 무선으로 접속하는 VPN 단말을 인증하는 시스템에 있어서,
    사설망 접속을 요청하는 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행하며 저장한 인증 토큰을 포함하는 인증 정보를 상기 VPN 단말로부터 수신하는 가상 사설망 게이트웨이; 및
    상기 가상 사설망 게이트웨이로부터 상기 인증 정보를 수신하고, 상기 인증 토큰을 제외한 상기 인증 정보를 이용하여 특정 알고리즘을 수행해 인증 토큰을 산출하며 상기 인증 정보에 포함된 인증 토큰과 비교하고, 상기 비교의 결과에 따른 인증 결과를 상기 가상 사설망 게이트웨이에 전송하는 홈 가입자 서버;를 포함하는 VPN 단말을 인증하는 시스템.
  9. 제 8 항에 있어서,
    상기 홈 가입자 서버는,
    상기 인증 정보 및 상기 특정 알고리즘의 수행 결과 값을 이용해 최상위 레벨키를 산출하고 그 산출한 최상위 레벨키를 이동성 관리 장치로 전송하며, 상기 이동성 관리 장치로부터 상기 VPN 단말에 대한 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
  10. 제 9 항에 있어서,
    상기 홈 가입자 서버는,
    상기 인증 정보로서 상기 VPN 단말이 접속한 망의 식별정보와, 시퀀스 넘버(SQN:Sequence Number)를 이용하고, 상기 특정 알고리즘의 수행 결과 값으로서 CK(Cipher Key) 및 IK(Integrity Key)를 이용하여 상기 최상위 레벨키를 산출하는 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
  11. 제 9 항에 있어서,
    상기 홈 가입자 서버는,
    상기 산출한 최상위 레벨키와 상기 인증 정보에 포함된 최상위 레벨키의 인덱스를 상기 이동성 관리 장치로 전송하고, 상기 이동성 관리 장치로부터 상기 최상위 레벨키의 인덱스에 대응하는 최상위 레벨키와 상기 산출한 최상위 레벨키의 비교 결과를 수신하는 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
  12. 제 8 항에 있어서,
    상기 홈 가입자 서버는,
    이동성 관리 장치로부터 상기 VPN 단말이 상기 공중망에 접속하여 인증을 수행할 때 저장한 XRES(Expected Response)를 수신하여 상기 특정 알고리즘의 수행 결과 중 하나인 XRES과 비교하는 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
  13. 제 8 항에 있어서,
    상기 홈 가입자 서버는,
    상기 가상 사설망 게이트웨이로부터 상기 VPN 단말의 IP 주소를 수신하고 그 수신된 IP 주소가 가상 사설망 서비스의 대역인지 확인하는 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
  14. 제 8 항 내지 제 13 항 중 어느 한 항에 있어서,
    상기 특정 알고리즘은, EPS-AKA(Authentication and Key Agreement) 알고리즘인 것을 특징으로 하는 VPN 단말을 인증하는 시스템.
KR1020150003518A 2015-01-09 2015-01-09 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템 KR20160086148A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150003518A KR20160086148A (ko) 2015-01-09 2015-01-09 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150003518A KR20160086148A (ko) 2015-01-09 2015-01-09 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템

Publications (1)

Publication Number Publication Date
KR20160086148A true KR20160086148A (ko) 2016-07-19

Family

ID=56616308

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150003518A KR20160086148A (ko) 2015-01-09 2015-01-09 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템

Country Status (1)

Country Link
KR (1) KR20160086148A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210147402A (ko) * 2020-05-28 2021-12-07 고려대학교 산학협력단 피제어 장치의 보안 인증 기법
KR20230085839A (ko) * 2021-12-07 2023-06-14 한국과학기술원 재구성 가능한 지능형 서피스 장치 및 이의 인증 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100687415B1 (ko) 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100687415B1 (ko) 2005-04-14 2007-02-26 주식회사 케이티프리텔 신호처리를 간소화시킨 IPsec 통신시스템, 통신방법및 그 기록매체

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210147402A (ko) * 2020-05-28 2021-12-07 고려대학교 산학협력단 피제어 장치의 보안 인증 기법
US11838755B2 (en) 2020-05-28 2023-12-05 Korea University Research And Business Foundation Techniques for secure authentication of the controlled devices
KR20230085839A (ko) * 2021-12-07 2023-06-14 한국과학기술원 재구성 가능한 지능형 서피스 장치 및 이의 인증 방법

Similar Documents

Publication Publication Date Title
US11212676B2 (en) User identity privacy protection in public wireless local access network, WLAN, access
JP6632713B2 (ja) 直接通信キーの確立のための方法および装置
US11178584B2 (en) Access method, device and system for user equipment (UE)
US10849191B2 (en) Unified authentication for heterogeneous networks
JP6823047B2 (ja) セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子
RU2428809C2 (ru) Поддержка вызовов без uicc
CA2862069C (en) Key generation in a communication system
JP2019512942A (ja) 5g技術のための認証機構
US11902776B2 (en) Authentication device, network device, communication system, authentication method, and non-transitory computer readable medium
DK2924944T3 (en) Presence authentication
US9807088B2 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US20170230826A1 (en) Authentication in a radio access network
US20170223531A1 (en) Authentication in a wireless communications network
CA2979898A1 (en) Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system
JP2022550181A (ja) 事前共有鍵を使用する無線ネットワークプロビジョニング
CN101911742B (zh) 用于交互rat切换的预认证方法
KR20160086148A (ko) 공중망을 이용한 가상 사설망 서비스를 제공하는 무선 vpn 단말의 인증 방법 및 이를 위한 시스템
KR102209289B1 (ko) 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
WO2008148348A1 (fr) Procédé de communication, système et station de base domestique
JP2020505845A (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
WO2017118269A1 (zh) 一种空口标识的保护方法及装置
WO2019024937A1 (zh) 密钥协商方法、装置及系统
JP6205391B2 (ja) アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム
KR20120070026A (ko) I-wlan의 게이트웨이 및 그의 호 추적 방법

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination