KR20190020140A - 이종 네트워크들에 대한 통합 인증 - Google Patents

이종 네트워크들에 대한 통합 인증 Download PDF

Info

Publication number
KR20190020140A
KR20190020140A KR1020197002606A KR20197002606A KR20190020140A KR 20190020140 A KR20190020140 A KR 20190020140A KR 1020197002606 A KR1020197002606 A KR 1020197002606A KR 20197002606 A KR20197002606 A KR 20197002606A KR 20190020140 A KR20190020140 A KR 20190020140A
Authority
KR
South Korea
Prior art keywords
authentication
communication device
network
core network
security context
Prior art date
Application number
KR1020197002606A
Other languages
English (en)
Inventor
하이구앙 왕
리천 리
신 강
지에 시
Original Assignee
후아웨이 인터내셔널 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 인터내셔널 피티이. 엘티디. filed Critical 후아웨이 인터내셔널 피티이. 엘티디.
Publication of KR20190020140A publication Critical patent/KR20190020140A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04W12/005
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은, 코어 네트워크와 직접적으로 통신하는 사용자 장비(UE)로서, 제1 통신 장치; 제2 통신 장치; 인증 관리 모듈; 프로세서; 저장 매체; 및 저장 매체에 저장되며 프로세서에 의해 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하고; 인증 관리 모듈로부터의 보안 콘텍스트를 제1 및 제2 통신 장치 중 적어도 하나에 전송하고, 인증 관리 모듈로부터의 보안 콘텍스트를 사용해서 코어 네트워크와 제1 및 제2 통신 장치 중 하나에 대한 제2 인증을 수행해서 코어 네트워크와의 연결을 확립하도록 실행 가능한 명령어들을 포함하는 UE에 관한 것이다.

Description

이종 네트워크들에 대한 통합 인증
본 발명은 코어 네트워크에 액세스하는 모바일 장치들의 협력 인증을 위한 통합 인증 프레임워크의 방법 및 시스템에 관한 것이다. 특히, 본 발명은 모바일 장치와 코어 네트워크 사이의 협력 인증을 위한 통합 인증 프레임워크의 방법 및 시스템에 관한 것이다.
지난 몇 년간, 스마트폰 사용자의 수가 급격하게 증가했고, 많은 모바일 사용자가 모바일 셀룰러 네트워크를 통해 인터넷에 액세스한다. 그러나, WCDMA(Wideband Code Division Multiple Access) 또는 LTE(Long Term Evolution)와 같은 현재의 셀룰러 기술은 모바일 인터넷 트래픽의 급격한 증가에 대처할 수 없다. 모바일 사용자들로부터의 요구를 충족시키기 위해, 통신 회사 또는 전기통신 사업자라고도 알려져 있는 통신 서비스 제공자(CSP)는 용량 부족을 보완하기 위해 Wi-Fi(Wireless Fidelity) 기술의 잠재력을 활용해오고 있다.
셀룰러 네트워크에 있어서, Wi-Fi 기술은 기본 기술이 아니다. 따라서, Wi-Fi 기술을 3GPP 정의 셀룰러 네트워크에 통합하기 위해, 3GPP에 의해 보안을 비롯하여 몇 가지 사양이 정의되고 있다. 도 1은 신뢰할 수 있는 Wi-Fi 및 신뢰할 수 없는 Wi-Fi를 모두 포함하는 Wi-Fi 액세스 기술을 통합하는 네트워크 아키텍처를 도시한다. 본 개시물의 목적상, 신뢰할 수 있는 Wi-Fi 액세스는 UE(User Equipment)가 연결하기 위한 액세스 포인트(Access Point)가 전기통신 사업자 자신에 의해 배치되는 경우를 의미한다. 신뢰할 수 없는 Wi-Fi 액세스는 액세스 포인트가 전기통신 사업자 이외의 제3자에 의해 배치되는 경우를 의미한다.
보통, 장치 및 네트워크가 정품인지를 확인하기 위해, UE가 네트워크에 액세스하는 첫 번째 단계는 네트워크와 상호간에 인증하는 것이다. 3GPP 네트워크에 의하면, USIM(Universe Subscriber Identity Module) 기반의 사전-공유 키 인증이 채택된다. 한 쌍의 공유 키가 UE와 네트워크 양측 모두에 보존된다. UE 측에서는, UE에 내장되는 독립 장치인 USIM 카드에 크리덴셜이 보존된다. 네트워크 측에서는, HSS(Home Subscriber System)에 크리덴셜이 보존된다. 인증 동안, 보존된 크리덴셜들로부터 인증 벡터 또는 마스터 세션 키가 도출된다. UE 및 네트워크는 인증 벡터를 사용해서 서로 인증한다.
현재의 3GPP 및 Wi-Fi 통합 프레임워크에 의하면, UE는 USIM에 보존된 크리덴셜로 네트워크와 인증한다. 그러나, LTE 및 Wi-Fi 기술에 의해 사용되는 인증 및 키 생성 프로토콜은 다르다. LTE 기술에 의하면, UE와 네트워크의 MME(Mobility Management Entity) 서버는 EPS-AKA(Evolved Packet System Authentication and Key Agreement) 프로토콜을 사용해서 상호 인증을 행한다. 한편, Wi-Fi 기술에 의하면, UE와 네트워크의 AAA(Authentication, Authorization, and Accounting) 서버는 EAP(Extensible Authentication Protocol)-AKA 또는 EAP-AKA' 프로토콜을 사용해서 상호 인증을 행한다. 기존의 프레임워크에 기초하면, 동일한 UE가 2개의 상이한 프로토콜을 사용해서 동일한 네트워크와 인증해야 한다. 네트워크 관리의 관점에서는, 이것은 최적이 아니고, 설계 및 구현을 복잡하게 만들 뿐만 아니라 네트워크 리소스를 낭비하고 운영 비용을 증가시킨다.
따라서, 당업자는 이종 네트워크에 보다 양호한 인증 방법을 제공하기 위해 노력하고 있다.
본 발명에 따른 실시형태들에 의해 제공되는 시스템 및 방법에 의해 상기 및 다른 문제점들이 해결되고 본 기술분야에서의 진보가 이루어진다. 본 발명에 따른 시스템 및 방법의 실시형태들의 첫 번째 이점은 UE 내의 통신 장치들이 코어 네트워크와 인증하기 위해 보안 콘텍스트를 공유할 수 있다는 점이다. 이는, 통신 장치들 중 하나가 미리 코어 네트워크와의 완전 인증을 수행했을 경우 UE가 코어 네트워크와 인증하는 단계를 줄인다. 본 발명에 따른 시스템 및 방법의 실시형태들의 두 번째 이점은 UE와 코어 네트워크 사이에 필요한 상호작용의 횟수가 실질적으로 감소되기 때문에 인증 프로세스가 향상된다는 점이다.
상기 이점들은 코어 네트워크의 네트워크 인증 엔티티와 인증하기 위해 적어도 2개의 통신 장치를 갖는 사용자 장비(User Equipment)에 대한 인증 프레임워크의 시스템 및 방법의 실시형태들에 의해 제공된다.
본 개시물의 양태에 따르면, 코어 네트워크와 직접적으로 통신하는 UE(User Equipment)가 다음과 같이 제공된다. UE는, 제1 통신 장치, 제2 통신 장치, 인증 관리 모듈, 프로세서, 저장 매체, 및 저장 매체에 저장되며 프로세서에 의해 실행 가능한 명령어들로서, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하고, 인증 관리 모듈로부터 제1 및 제2 통신 장치 중 적어도 하나에 보안 콘텍스트를 전송하고, 인증 관리 모듈로부터의 보안 콘텍스트를 사용해서 코어 네트워크와 제1 및 제2 통신 장치 중 하나에 대한 제2 인증을 수행해서 코어 네트워크와의 연결을 확립하도록 하는 명령어들을 포함한다. 본 개시물의 실시형태에 따르면, 명령어는, 제1 통신 장치와 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 보안 콘텍스트를 사용해서 제1 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어를 더 포함한다.
본 개시물의 실시형태에 따르면, 네트워크 관리 모듈은 단말 측의 인증 관리를 위한 기지의 엔티티인 EAP-기반의 인증 프레임워크에서와 같이 "요청자(supplicant)"일 수 있다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치에게, 인증 관리 모듈에 신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 전송하고; 인증 관리 모듈로부터 응답을 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치에게, 인증 관리 모듈에 요청을 전송/포워딩해서 인증 절차를 트리거하고; 인증 관리 모듈로부터 보안 콘텍스트를 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치로부터 요청을 수신하는 것에 응답하여, 인증 관리 모듈에게, 아이덴티티(UE의 ID)를 검색하고; UE의 ID를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 난수(RAND), 및 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(Fast Re-authentication ID)(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, AKA 챌린지 메시지를 수신하는 것에 응답하여, 인증 관리 모듈에게, 제1 통신 장치에 이전에 발급된 키(IK)를 사용해서 MAC의 유효성을 검증하고; MAC가 유효하다는 것에 응답하여, 알고리즘을 사용하여 인증 벡터를 연산해서 AUTNUE, RES, 및 KASME와 같은 파라미터들을 취득하고; AUTNUE가 AUTN과 동일한지의 여부를 판정하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, AUTNUE가 AUTN과 동일하다는 것에 응답하여, 인증 관리 모듈에게, 제1 비밀 키, 즉 k0을 생성하고; FRID, k0, 및 카운터(counter)를 포함하는 보안 콘텍스트를 확립하고; 제1 통신 장치에 대한 제2 비밀 키, 즉 k1을 생성하도록 지시하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 제1 비밀 키는 UE의 ID 및 RAND(또는 네트워크로부터 수신된 NONCE)를 포함하는 입력을 갖는 키 도출 함수(key derivation functions)(KDF)를 사용함으로써 생성되는 반면, 제2 비밀 키는 k0 및 카운터를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성된다. 본 실시형태의 실시형태에 따르면, 제2 비밀 키, 즉 k1은 k0 및 RAND(또는 네트워크로부터 수신된 NONCE)를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성된다.
본 개시물의 실시형태에 따르면, 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 명령어는, 인증 관리 모듈에게, AKA 응답(AKA Response) 메시지― AKA 응답 메시지는 RES를 포함함 ―를 생성해서 코어 네트워크에 전송하도록 지시하는 명령어를 더 포함한다.
본 개시물의 실시형태에 따르면, 인증 관리 모듈로부터 제1 및 제2 통신 장치 중 적어도 하나에 보안 콘텍스트를 전송하도록 하는 명령어는, 인증 관리 모듈에게, 제2 통신 장치로부터 인증 요청을 수신하고; 신속 재인증 ID(FRID)를 포함하는 응답을 생성해서 제2 통신 장치에 전송하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 코어 네트워크와 제1 및 제2 통신 장치 중 하나에 대한 제2 인증을 수행하도록 하는 명령어는, 제2 통신 장치에게, UE의 ID, FRID 및 선택적으로 플래그― 플래그는 FRID가 제2 통신 장치에 속하지 않는다는 지시를 포함함 ―를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고; MAC의 정확도 및 카운터의 신선도(freshness)를 검증하고; MAC가 유효하다는 것에 응답하여, 새로운 FRID를 새로운 신속 재인증 ID로서 인증 관리 모듈에 전송하고, 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고; AKA 재인증 응답― AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 코어 네트워크에 전송하고; 인증이 성공적임을 나타내는 결과 메시지를 코어 네트워크로부터 수신하고; 셀룰러 또는 비-셀룰러 액세스를 위한 키들을 생성하고; 해당 키들을 사용해서 코어 네트워크와의 사이에서 데이터를 전송 및 수신하도록 지시하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 수신된 카운터는 그 값이 UE에 의해 저장된 카운터보다 작지 않을 경우에 신선한 것으로 간주된다. 본 실시형태의 다른 실시형태에 따르면, MAC의 정확도는, 카운터, nonce 및 새로운 FRID를 갖는 MAC를 SK를 사용해서 생성하는 것 및 생성된 MAC와 코어 네트워크로부터 수신한 MAC를 비교하는 것으로 결정된다. 본 실시형태의 다른 실시형태에 따르면, 인증 관리 모듈은, FRID가 제2 통신 장치에 속하지 않을 경우, 제2 통신 장치에 대한 새로운 보안 콘텍스트를 생성한다.
본 개시물의 다른 양태에 따르면, 코어 네트워크와 직접적으로 통신하는 UE(User Equipment)가 다음과 같이 제공된다. UE는, 제1 통신 장치, 제2 통신 장치, 인증 관리 모듈, 프로세서, 저장 매체, 및 저장 매체에 저장되며 프로세서에 의해 실행 가능한 명령어들로서, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하고; 인증 관리 모듈로부터 제2 통신 장치에 보안 콘텍스트의 일부를 전송하고; 인증 관리 모듈로부터의 보안 콘텍스트를 사용해서 제2 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 명령어는 취득된 보안 콘텍스트를 사용해서 제1 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어를 더 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치에게, 인증 관리 모듈에 신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 전송하고; 인증 관리 모듈로부터 응답을 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, 신속 재인증 ID(Fast Re-authentication ID)를 포함하지 않는 인증 관리 모듈로부터의 응답에 응답하여, 제1 통신 장치에게, 아이덴티티(UE의 ID)를 검색하고; UE의 ID를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 난수(RAND), 및 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, AKA 챌린지 메시지를 수신하는 것에 응답하여, 제1 통신 장치에게, 제1 통신 장치에 이전에 발급된 키(IK)를 사용해서 MAC의 유효성을 검증하고; MAC가 유효하다는 것에 응답하여, AKA 알고리즘을 사용하여 인증 벡터를 연산해서 AUTNUE, RES, 및 키(Key)― 일 실시형태에 있어서는, 키가 KASME임 ―를 취득하고; AUTNUE가 AUTN과 동일한지의 여부를 판정하고; AUTNUE가 AUTN과 동일하다는 것에 응답하여, 셀룰러 액세스 또는 비-셀룰러 액세스에 대한 비밀 키들을 도출하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치에게, 보안 콘텍스트― 보안 콘텍스트는 FRID, 비밀 키, 및 카운터를 포함함 ―를 인증 관리 모듈에 전송하고; AKA 응답 메시지― AKA 응답 메시지는 RES를 포함함 ―를 생성해서 코어 네트워크에 전송하도록 지시하는 명령어들을 더 포함한다. 본 실시형태의 실시형태에 따르면, 비밀 키들은 UE의 ID 및 RAND를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용해서 도출된다.
본 개시물의 실시형태에 따르면, 인증 관리 모듈로부터 제2 통신 장치에 보안 콘텍스트를 전송하도록 하는 명령어는, 인증 관리 모듈에게, 제2 통신 장치로부터 신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 수신하고; 신속 재인증 ID(FRID)를 포함하는 응답을 생성해서 제2 통신 장치에 전송하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치로부터의 보안 콘텍스트를 사용해서 제2 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어는, 인증 관리 모듈로부터 FRID를 수신하는 것에 응답하여, 제2 통신 장치에게, UE의 ID, FRID 및 플래그― 플래그는 FRID가 제2 통신 장치에 속하지 않는다는 지시를 포함함 ―를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고; MAC의 정확도 및 카운터의 신선도를 검증하고; MAC가 유효하다는 것에 응답하여, 새로운 FRID를 새로운 신속 재인증 ID로서 인증 관리 모듈에 전송하고, 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고; AKA 재인증 응답― AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 코어 네트워크에 전송하고; 인증이 성공적임을 나타내는 결과 메시지를 코어 네트워크로부터 수신하고; 셀룰러 또는 비-셀룰러 액세스를 위한 키들을 생성하고; 해당 키들을 사용해서 코어 네트워크와의 사이에서 데이터를 전송 및 수신하도록 지시하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 수신된 카운터는 그 값이 UE에 의해 저장된 카운터보다 작지 않을 경우에 신선한 것으로 간주된다. 본 실시형태의 실시형태에 따르면, MAC의 정확도는, 카운터, nonce 및 새로운 FRID를 갖는 MAC를 SK를 사용해서 생성하는 것 및 생성된 MAC와 코어 네트워크로부터 수신한 MAC를 비교하는 것으로 결정된다.
본 개시물의 다른 양태에 따르면, 코어 네트워크와 직접적으로 통신하는 UE(User Equipment)가 다음과 같이 제공된다. UE는, 제1 통신 장치, 제2 통신 장치, 프로세서, 저장 매체, 및 저장 매체에 저장되며 프로세서에 의해 실행 가능한 명령어들로서, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하고; 제1 통신 장치로부터 제2 통신 장치에 보안 콘텍스트를 전송하고; 제1 통신 장치로부터의 보안 콘텍스트를 사용해서 제2 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 명령어는, 제1 통신 장치와 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 보안 콘텍스트를 사용해서 제1 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어를 더 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, 제1 통신 장치에게, 제2 통신 장치에 신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 전송하고; 제2 통신 장치로부터 응답을 수신하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치에 의한 코어 네트워크와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 명령어는, 신속 재인증 ID(Fast Re-authentication ID)를 포함하지 않는 제2 통신 장치로부터의 응답에 응답하여, 제1 통신 장치에게, 아이덴티티(UE의 ID)를 검색하고; UE의 ID를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 난수(RAND), 및 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하고; 제1 통신 장치에 이전에 발급된 키(IK)를 사용해서 MAC의 유효성을 검증하고; MAC가 유효하다는 것에 응답하여, AKA 알고리즘을 사용하여 인증 벡터를 연산해서 AUTNUE, RES, 및 KASME를 취득하고; AUTNUE가 AUTN과 동일한지의 여부를 판정하고, AUTNUE가 AUTN과 동일하다는 것에 응답하여, 셀룰러 액세스 또는 비-셀룰러 액세스에 대한 비밀 키들을 도출하고; FRID, 비밀 키들, 및 카운터를 포함하는 보안 콘텍스트를 저장하고; AKA 응답(AKA Response) 메시지― AKA 응답 메시지는 RES를 포함함 ―를 생성해서 코어 네트워크에 전송하도록 지시하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 비밀 키들은 UE의 ID 및 RAND를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용해서 도출된다.
본 개시물의 실시형태에 따르면, 제1 통신 장치로부터 제2 통신 장치에 보안 콘텍스트를 전송하도록 하는 명령어는, 제1 통신 장치에게, 제2 통신 장치로부터 신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 수신하고; 신속 재인증 ID(FRID)를 포함하는 응답을 생성해서 제2 통신 장치에 전송하도록 지시하는 명령어들을 포함한다.
본 개시물의 실시형태에 따르면, 제1 통신 장치로부터의 보안 콘텍스트를 사용해서 제2 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행하도록 하는 명령어는, 제1 통신 장치로부터 FRID를 수신하는 것에 응답하여, 제2 통신 장치에게, UE의 ID, FRID 및 플래그― 플래그는 FRID가 제2 통신 장치에 속하지 않는다는 지시를 포함함 ―를 포함하는 요청을 생성해서 코어 네트워크에 전송하고; 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고; MAC의 정확도 및 카운터의 신선도를 검증하고; MAC가 유효하다는 것에 응답하여, 새로운 FRID를 새로운 신속 재인증 ID로서 보안 콘텍스트에 저장하고, 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고; AKA 재인증 응답― AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 코어 네트워크에 전송하고; 인증이 성공적임을 나타내는 결과 메시지를 코어 네트워크로부터 수신하고; 셀룰러 또는 비-셀룰러 액세스를 위한 키들을 생성하고; 해당 키들을 사용해서 코어 네트워크와의 사이에서 데이터를 전송 및 수신하도록 지시하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, 수신된 카운터는 그 값이 UE에 의해 저장된 카운터보다 작지 않을 경우에 신선한 것으로 간주된다. 본 실시형태의 실시형태에 따르면, MAC의 정확도는, 카운터, nonce 및 새로운 FRID를 갖는 MAC를 SK를 사용해서 생성하는 것 및 생성된 MAC와 코어 네트워크로부터 수신한 MAC를 비교하는 것으로 결정된다.
본 개시물의 다른 양태에 따르면, 코어 네트워크의 네트워크 인증 엔티티와 인증하기 위한 제1 통신 장치 및 제2 통신 장치를 갖는 사용자 장비(User Equipment)에 대한 인증 방법이 다음과 같이 제공된다. 인증 방법은 먼저, 제1 인증 프로세스를 통해 제1 통신 장치와 네트워크 엔티티 사이의 인증을 해서 보안 콘텍스트를 취득한다. 후속하여, 인증 방법은 보안 콘텍스트 정보를 제2 통신 장치에 전송한다. 따라서, 인증 방법은, 제2 인증 프로세스를 통해 제2 통신 장치와 네트워크 인증 엔티티 사이의 인증을 하고, 제2 통신 장치는 제1 통신 장치로부터의 보안 콘텍스트를 사용해서 네트워크 인증 엔티티와의 인증을 한다. 본 개시물의 실시형태에 따르면, 제1 통신 장치와 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 보안 콘텍스트의 부분을 사용해서 제2 인증 프로세스를 통해 제1 통신 장치와 네트워크 엔티티 사이의 인증을 한다.
본 개시물의 다른 양태에 따르면, 코어 네트워크의 네트워크 인증 엔티티와 인증하기 위한 적어도 2개의 통신 장치를 갖는 사용자 장비(User Equipment)에 대한 인증 프레임워크가 다음과 같이 제공된다. 인증 프레임워크는, UE의 제1 통신 장치에 의한 네트워크 인증 엔티티와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 취득한다. 후속하여, 보안 콘텍스트가 제2 통신 장치에 전송된다. 이후, 제2 통신 장치는 제1 통신 장치로부터의 보안 콘텍스트를 사용해서 코어 네트워크와의 제2 인증을 수행한다. 본 개시물의 실시형태에 따르면, 제1 통신 장치와 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 보안 콘텍스트를 사용해서 제1 통신 장치에 의한 코어 네트워크와의 제2 인증을 수행한다.
본 개시물의 다른 양태에 따르면, 사용자 장비(UE)와의 인증을 위한 코어 네트워크 내의 네트워크 인증 엔티티가 다음과 같이 제공된다. 네트워크 인증 엔티티는, 프로세서, 저장 매체, 및 저장 매체에 저장되며 각각의 프로세서에 의해 실행 가능한 명령어들로서, UE의 제1 통신 장치와의 제1 인증을 수행해서 제1 통신 장치와의 인증 절차를 통해 보안 콘텍스트를 생성하고; UE의 제1 통신 장치와의 인증 절차를 통해 확립되는 보안 콘텍스트에 기초하여 UE의 제2 통신 장치와의 제2 인증을 수행하도록 하는 명령어들을 포함한다.
본 개시물의 다른 양태에 따르면, 네트워크 인증 엔티티는 EAP-기반의 인증 프레임워크 내의 인증 서버일 수 있다. 일부 사양에 있어서는, 인증 유닛(Authentication Unit)(AU) 또는 제어 평면 인증 유닛(Control Plane Authentication Unit)(CP-AU)이라고도 한다.
본 개시물의 실시형태에 따르면, 네트워크 인증 엔티티는 UE 측의 제1 또는 제2 통신 장치를 통해 인증 관리 모듈과의 인증을 거쳐 보안 콘텍스트를 확립한다. 네트워크 인증 엔티티에서의 보안 콘텍스트는 적어도 UE의 ID, 카운터 및 비밀 키(k0)를 포함한다. 네트워크 인증 엔티티는 k0에 기초하여 비밀 키를 도출하고, 해당 키(k1)를 UE와 네트워크 인증 엔티티가 서로 인증하는 기지국 또는 Wi-Fi AP에 전송한다. 본 실시형태의 실시형태에 따르면, 제1 비밀 키는 UE의 ID 및 RAND(또는 네트워크로부터 수신된 NONCE)를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성되는 반면, 제2 비밀 키는 k0 및 카운터를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성된다. 본 실시형태의 실시형태에 따르면, 제2 비밀 키, 즉 k1은 k0 및 RAND(또는 네트워크로부터 수신된 NONCE)를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성된다. 본 실시형태의 실시형태에 따르면, 제1 비밀 키는 네트워크 인증 엔티티에 저장되고, 제2 비밀 키는 기지국 또는 Wi-Fi AP와 같은 네트워크 엔티티에 전송된다.
본 개시물의 실시형태에 따르면, UE의 제1 통신 장치와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 생성하도록 하는 명령어는, 기지국 또는 Wi-Fi AP를 통해 UE로부터 UE의 ID를 포함하는 요청(Request) 메시지를 수신하고; 인증 데이터 요청(Authentication Data Request)― 인증 데이터 요청은 UE의 ID, SN ID, 및 네트워크 타입을 포함함 ―을 생성해서 HSS(Home Subscriber Server)에 전송하고; HSS로부터 인증 데이터 응답(Authentication Data Response)― 인증 데이터 응답은 난수(RAND), AUTN, XRES, IK, 및 CK를 포함함 ―을 수신하고; 신속 재인증 ID(Fast Re-authentication ID)(FRID)를 생성하도록 하는 명령어들을 포함한다. 본 실시형태의 실시형태에 따르면, FRID는 UE의 ID를 난수와 조합함으로써 생성된다. 본 실시형태의 다른 실시형태에 따르면, FRID는 요청을 하는 통신 장치의 타입에 기초하여 UE의 ID를 소정의 수와 조합함으로써 생성된다.
본 개시물의 실시형태에 따르면, UE의 제1 통신 장치와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 생성하도록 하는 명령어는, FRID, RAND, AUTH, 및 메시지 인증 코드(MAC)― MAC는 FRID, RAND, AUTH를 포함하는 MAC의 입력 파라미터들을 갖는 IK를 사용해서 생성되며, 다음과 같이, 즉 MAC = MACIK(FRID||RAND||AUTH)로 표현될 수 있음 ―를 포함하는 AKA 챌린지 메시지를 생성해서, 어느 통신 장치가 인증 프로세스를 개시하는지에 따라 기지국 또는 Wi-Fi AP에 전송하도록 하는 명령어들을 더 포함한다.
본 개시물의 실시형태에 따르면, UE의 제1 통신 장치와의 제1 인증을 수행해서 제1 통신 장치에 대한 보안 콘텍스트를 생성하도록 하는 명령어는, RES를 포함하는 AKA 응답을 UE로부터 수신하고; RES가 XRES와 동일한지의 여부를 판정하고; RES가 XRES와 동일하다는 것에 응답하여, 제1 통신 장치에 대한 비밀 키(k0)를 도출하고; FRID, k0, 및 카운터를 포함하는 보안 콘텍스트를 저장하도록 하는 명령어들을 더 포함한다. 본 실시형태의 실시형태에 따르면, 비밀 키들은 키 도출 함수(KDF)를 사용해서 도출되며, KDF의 입력은 UE의 ID 및 RAND를 포함한다.
본 발명에 따른 상기 이점들 및 특징들은 하기의 상세한 설명에서 설명되며 하기의 도면에 도시된다:
도 1은 신뢰할 수 있는 Wi-Fi 및 신뢰할 수 없는 Wi-Fi를 모두 포함하는 Wi-Fi 액세스 기술을 통합하는 네트워크 아키텍처를 예시하고;
도 2는 UE가 LTE 기술을 통해 네트워크와 상호 인증을 수행해서 네트워크에 액세스하는 4G 네트워크에서 EPS-AKA 프로토콜의 절차의 타이밍도를 예시하고;
도 3은 UE가 Wi-Fi 기술을 통해 네트워크와 상호 인증을 수행해서 네트워크에 액세스하는 4G 네트워크에서 EAP-AKA 프로토콜의 절차의 타이밍도를 예시하고;
도 4는 3GPP 사양 33.402에 제시되는 인증을 가속화하기 위한 신속 재인증 메커니즘의 절차의 타이밍도를 예시하고;
도 5는 본 개시물의 실시형태에 따른 5G 및 Wi-Fi 기술에 대한 통합 인증 프레임워크를 예시하고;
도 6은 본 개시물의 실시형태에 따라 코어 네트워크와 인증하기 위해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 프로세스를 예시하고;
도 7은 본 개시물의 실시형태에 따라 코어 네트워크와 인증하기 위해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 타이밍도를 예시하고;
도 8은 본 개시물의 실시형태에 따른 프로세스(600) 및 타이밍도(700)에 따라 제1 통신 장치에 의해 수행되는 프로세스를 예시하고;
도 9는 본 개시물의 실시형태에 따른 프로세스(600) 및 타이밍도(700)에 따라 통신 장치 2에 의해 수행되는 프로세스를 예시하고;
도 10은 본 개시물의 실시형태에 따른 프로세스(600) 및 타이밍도(700)에 따라 네트워크 인증 엔티티에 의해 수행되는 프로세스를 예시하고;
도 10a는 본 개시물의 실시형태에 따른 프로세스(600) 및 타이밍도(700)에 따라 네트워크 인증 엔티티에 의해 수행되는 대안적인 프로세스를 예시하고;
도 11은 본 개시물의 실시형태에 따라 코어 네트워크와 인증하기 위해 인증 관리 모듈을 통해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 프로세스를 예시하고;
도 12는 본 개시물의 실시형태에 따라 도 11에 도시된 바와 같이 코어 네트워크와 인증하기 위해 인증 관리 모듈을 통해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 타이밍도를 예시하고;
도 12a는 본 개시물의 실시형태에 따라 도 11에 도시된 바와 같이 코어 네트워크와 인증하기 위해 인증 관리 모듈을 통해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 수정된 타이밍도를 예시하고;
도 13은 본 개시물의 실시형태에 따른 프로세스(1100) 및 타이밍도(1200)에 따라 통신 장치 1 및 통신 장치 2 중 어느 하나에 의해 수행되는 프로세스를 예시하고;
도 14는 본 개시물의 실시형태에 따른 프로세스(1100) 및 타이밍도(1200)에 따라 인증 관리 모듈에 의해 수행되는 프로세스를 예시하고;
도 15는 본 개시물의 실시형태에 따른 통합 인증 프레임워크의 제1 부분에 따른 인증 절차의 타이밍도를 예시하고;
도 16은 본 개시물의 실시형태에 따른 타이밍도(1500)에 따라 통신 장치 1 및 통신 장치 2 중 어느 하나에 의해 수행되는 프로세스를 예시하고;
도 17은 본 개시물의 실시형태에 따른 타이밍도(1500)에 따라 네트워크 인증 엔티티에 의해 수행되는 프로세스를 예시하고;
도 18은 본 개시물의 실시형태에 따른 타이밍도(1500)에 따라 HSS에 의해 수행되는 프로세스를 예시하고;
도 19는 본 개시물의 실시형태에 따른 통합 인증 프레임워크의 제2 부분에 따른 신속 재인증 절차의 타이밍도를 예시하고;
도 20은 본 개시물의 실시형태에 따른 타이밍도(1900)에 따라 통신 장치 1 및 통신 장치 2 중 어느 하나에 의해 수행되는 프로세스를 예시하고;
도 21은 본 개시물의 실시형태에 따른 타이밍도(1900)에 따라 네트워크 인증 엔티티에 의해 수행되는 프로세스를 예시하고;
도 22는 본 개시물의 실시형태에 따른 다중 협력 인증을 도시하는 실시형태를 예시하고;
도 23은 다중 액세스 기술을 도시하는 실시형태를 예시하고;
도 24는 균일한 인증 프레임워크로 보안 콘텍스트를 확립하기 위해 2가지의 상이한 액세스 기술을 갖는 UE에 대한 상세한 절차를 도시한다.
본 발명은 코어 네트워크에 액세스하는 모바일 장치들의 협력 인증을 위한 통합 인증 프레임워크의 방법 및 시스템에 관한 것이다. 특히, 본 발명은 모바일 장치와 코어 네트워크 사이의 협력 인증을 위한 통합 인증 프레임워크의 방법 및 시스템에 관한 것이다.
본 개시물에 있어서는, 5G 및 Wi-Fi와 같은 상이한 액세스 기술들이 차세대 통신 네트워크에서 사용될 경우, 통신 네트워크에 대하여 인증 프레임워크를 최적화하는 새로운 인증 해법이 제안된다.
새로운 인증 해법을 보다 잘 이해하기 위해, 먼저 기존의 인증 방법의 간략한 개요를 설명한다.
도 2는 UE가 LTE 기술을 통해 네트워크와 상호 인증을 수행해서 네트워크에 액세스하는 4G 네트워크에서 EPS-AKA 프로토콜의 절차의 타이밍도(200)를 예시한다. 타이밍도(200)는 UE가 접속 요청(Attach Request)을 MME에 송신하는 210에서 시작한다. 접속 요청은 UE의 액세스 ID(Access ID)를 포함한다.
MME는, UE로부터 접속 요청의 수신시에, 단계(220)에서 인증 데이터 요청(Authentication Data Request)을 HSS에 전송한다. 인증 데이터 요청은 액세스 ID, SN ID(Serving Network Identity), 및 네트워크 타입(Network Type)을 포함한다.
HSS는, MME로부터 인증 데이터 요청을 수신하는 것에 응답하여, 단계(230)에서 HSS 데이터베이스에서 액세스 ID와 연관되는 키(K)를 찾아내고, EPS AKA 알고리즘을 사용해서 인증 벡터를 연산한다. 인증 벡터는 난수(RAND), AUTN, KASME 및 XRES를 포함한다. 이후, 단계(240)에서 HSS는 인증 벡터를 갖는 인증 데이터 응답(Authentication Data Response)을 생성하고 MME에 전송한다.
단계(250)에서, MME는 사용자 인증 요청(User Authentication Request)을 생성하고 UE에 전송한다. 사용자 인증 요청은 난수(RAND), 및 인증 벡터로부터 도출되는 인증 토큰(AUTN)을 포함한다.
UE는, RAND 및 AUTN의 수신시에, 단계(260)에서 AUTNUE를 연산하고 나서, AUTNUE가 AUTN과 동일한지의 여부를 검증함으로써 코어 네트워크를 인증한다. AUTNUE가 AUTN과 동일하면, 단계(270)에서 UE는 사용자 인증 응답(User Authentication Response)을 MME에 전송한다. 사용자 인증 응답은 RES를 포함한다.
MME는, 사용자 인증 응답의 수신시에, 단계(280)에서 RES와 XRES를 비교함으로써 UE를 인증한다. RES가 XRES와 동일하면, 인증이 성공하고 MME가 게이트웨이에 대한 UE 액세스를 허가한다. 타이밍도(200)는 단계(280) 이후에 종료한다.
도 3은 UE가 Wi-Fi 기술을 통해 네트워크와 상호 인증을 수행해서 네트워크에 액세스하는 4G 네트워크에서 EAP-AKA/EAP-AKA' 프로토콜의 절차의 타이밍도(300)를 예시한다. 타이밍도(300)는 UE가 Wi-Fi AP와 같은 비-3GPP 액세스 포인트(Non-3GPP Access Point)와 연계되는 310에서 시작한다. UE가 Wi-Fi AP와 연계된 후에, 단계(315)에서 Wi-Fi AP는 아이덴티티에 대한 요청을 UE에 전송한다. UE는, 해당 요청의 수신시에, 단계(320)에서 그 아이덴티티를 검색하고 아이덴티티를 Wi-Fi AP에 전송한다. Wi-Fi AP는, UE로부터 아이덴티티를 수신하는 것에 응답하여, 단계(325)에서 아이덴티티를 AAA 서버에 전송한다.
단계(330)에서, AAA는 AKA 벡터에 대한 요청을 HSS에 전송한다. HSS는, AAA로부터 요청을 수신하는 것에 응답하여, 단계(335)에서 HSS 데이터베이스에서 아이덴티티와 연관되는 키(K)를 찾아내고, EAP AKA 알고리즘을 사용해서 인증 벡터를 연산한다. 인증 벡터는 난수(RAND), AUTN, KASME 및 XRES를 포함한다. 이후, 단계(340)에서 HSS는 인증 벡터를 생성하고 AAA에 전송한다.
AAA가 HSS로부터 인증 벡터를 수신한 후에, 단계(345)에서 AAA는 챌린지 메시지를 생성하고 Wi-Fi AP에 전송한다. Wi-Fi AP는, 챌린지 메시지를 수신하는 것에 응답하여, 단계(350)에서 챌린지 메시지를 UE에 전송한다.
단계(355)에서, UE는 챌린지 메시지에 기초하여 네트워크를 인증한다. 특히, UE는 AUTNUE를 연산하고 나서, AUTNUE가 AUTN과 동일한지의 여부를 검증함으로써 코어 네트워크를 인증한다. AUTNUE가 AUTN과 동일하면, 단계(360)에서 UE는 응답 메시지를 Wi-Fi AP에 전송한다. 사용자 인증 응답은 RES를 포함한다.
Wi-Fi AP는, 응답 메시지를 UE로부터 수신하는 것에 응답하여, 단계(365)에서 응답 메시지를 AAA 서버에 전송한다. AAA는, 응답 메시지의 수신시에, 단계(370)에서 RES와 XRES를 비교함으로써 UE를 인증한다. RES와 XRES가 동일하면, 인증이 성공하고 AAA가 단계(375)에서 프로파일 검색 및 등록을 위해 HSS와 통신하게 된다. AAA는, 단계(370)에서 성공적인 인증시에 게이트웨이에 대한 UE 액세스를 허가하게 된다.
이후, AAA는 단계(380)에서 성공 메시지를 생성하고 Wi-Fi AP에 전송한다. Wi-Fi AP는, AAA로부터 성공 메시지를 수신하는 것에 응답하여, 단계(385)에서 성공 메시지를 UE에 전송한다. 타이밍도(300)는 단계(385) 이후에 종료한다.
도 4는 3GPP 사양 33.402 버전 13.0.0에 제시되는 인증을 가속화하기 위한 신속 재인증 메커니즘의 절차의 타이밍도(400)를 예시한다. 타이밍도(400)는 UE가 Wi-Fi AP와 같은 비-3GPP 액세스 포인트(Non-3GPP Access Point)와 연계되는 410에서 시작한다. UE가 Wi-Fi AP와 연계된 후에, 단계(415)에서 Wi-Fi AP는 아이덴티티에 대한 요청을 UE에 전송한다. UE는, 해당 요청의 수신시에, 단계(420)에서 그 아이덴티티를 검색하고 아이덴티티를 Wi-Fi AP에 전송한다. Wi-Fi AP는, UE로부터 아이덴티티를 수신하는 것에 응답하여, 단계(425)에서 아이덴티티를 AAA 서버에 전송한다.
단계(445)에서, AAA는 재인증 메시지를 생성하고 Wi-Fi AP에 전송한다. Wi-Fi AP는 재인증 메시지를 수신하는 것에 응답하여, 단계(450)에서 재인증 메시지를 UE에 전송한다. 재인증 메시지는 COUNTER, NONCE_S(암호화됨), NEXT_REAUTH_ID(암호화됨), MAC를 포함한다. 이는 공지된 방법이며, 추가적인 상세는 RFC4187의 5.4 섹션에서 확인할 수 있다.
단계(460)에서, UE는 응답 메시지를 Wi-Fi AP에 전송한다. 응답 메시지는 동일한 값을 갖는 COUNTER(암호화됨) 및 MAC를 포함한다.
Wi-Fi AP는, 응답 메시지를 UE로부터 수신하는 것에 응답하여, 단계(465)에서 응답 메시지를 AAA 서버에 전송한다. AAA는, 응답 메시지의 수신시에, 단계(470)에서 통지 메시지를 생성하고 Wi-Fi AP에 전송한다. 통지 메시지는 동일한 값을 갖는 COUNTER(암호화됨) 및 MAC를 포함한다.
Wi-Fi AP는, 통지 메시지를 수신하는 것에 응답하여, 단계(475)에서 통지 메시지를 UE에 전송한다. 단계(480)에서, UE는 통지 메시지를 수신하는 것에 응답하여, 제2 응답 메시지를 생성하고 Wi-Fi AP에 전송한다.
Wi-Fi AP는, 제2 응답 메시지를 수신하는 것에 응답하여, 단계(485)에서 제2 응답 메시지를 UE에 전송한다.
이후, AAA는 단계(490)에서 성공 메시지를 생성하고 Wi-Fi AP에 전송한다. Wi-Fi AP는, AAA로부터 성공 메시지를 수신하는 것에 응답하여, 단계(495)에서 성공 메시지를 UE에 전송한다. 타이밍도(400)는 단계(495) 이후에 종료한다.
도 4에 도시된 바와 같은 신속 재인증을 도 3에 도시된 바와 같은 통상의 EAP-AKA' 완전 인증 절차와 비교하면, AAA 서버는 HSS로부터 인증 벡터(Authentication Vectors)를 취할 필요가 없다. 따라서, 신속 재인증 절차는 통상의 EAP-AKA' 완전 인증보다 더 효율적이다. 당업자라면, 도 2 내지 도 4를 참조하여 전술한 프로세스 흐름이 기존의 프로세스들임을 인식할 것이다. 따라서, 상기의 설명은 모든 것을 망라하는 것을 의미하지 않는다.
이러한 배경을 고려하여, 이제 본 발명에 집중한다. 본 개시물에 있어서는, 5세대(5G) 통신 네트워크와 같은 차세대 무선 통신 네트워크에서, 셀룰러 기술 및 Wi-Fi 기술이 모두, 4G 네트워크에서의 EPS-AKA 및 EAP-AKA'를 대신하여, 동일한 인증 프로토콜, 즉 EAP-AKA'를 사용할 수 있다는 점이 상정된다. 그러나, 본 개시물은 단지 하나의 인증 프로토콜만을 사용하는 것으로 제한되는 것이 아님을 유의한다.
또한, 네트워크 측에서는, 4G 네트워크에서의 별도의 인증 엔티티들, 즉 MME 및 AAA를 갖는 대신에, 단지 하나의 인증 엔티티, 즉 AAA 서버가 사용될 수 있다. 대안으로서, MME 및 AAA는 인증 서버에 의해 관리될 수 있다.
이러한 구성에 기초하여, 상이한 액세스 기술들이 인증 결과를 공유하기 위한 방법 및 시스템이 제공되는 것이 제안된다. 특히, UE의 하나의 액세스 기술이 AAA 서버와 성공적으로 인증하고 나서, UE는 신속 인증 ID를 취득한다. 제2 액세스 기술은, 기존의 기술들과 같은 완전 인증을 수행하는 대신, 신속 인증 ID를 취득하고 AAA 서버와의 신속 인증을 수행할 수 있다.
본 개시물의 목적상, 모바일 장치와 같은 UE는 둘 이상의 액세스 기술을 포함하는 것이 일반적이다. LTE 및 Wi-Fi가 2가지의 전형적인 무선 액세스 기술을 나타낸다. 또한, 이 2가지 기술은 점차 융합되고 있다. 4G 네트워크에 있어서, 이 2가지 액세스 기술은 제각기 USIM 및 HSS에 보존되는 동일한 크리덴셜로 네트워크와 인증하지만, 기저의 인증 프로토콜들 및 인증 엔티티들은 여전히 서로 다르다. 셀룰러 엔티티 및 Wi-Fi 엔티티는 서로 교류하지 않는다. 대신에, 어느 하나의 액세스 기술을 사용할지를 결정하기 위해 관리 모듈이 제공된다.
도 5는 5G 기술 및 Wi-Fi 액세스 기술에 대한 통합 인증 프레임워크를 예시한다. 제안된 프레임워크에 의하면, 액세스 기술과는 독립적으로, 단지 하나의 인증 프로토콜, 즉 EAP-AKA'가 인증에 사용되고, 네트워크 측, 즉 AAA 서버에는 단지 하나의 인증 엔티티만이 존재한다.
제안된 새로운 인증 프레임워크에 의하면, 동일한 UE에 속하는 상이한 액세스 기술들에 대한 제안된 방법들이 인증 정보를 공유하므로, 인증 절차가 더욱 최적화될 수 있다. 본 개시물에 있어서는, 다양한 방법들이 제안된다. 제1 방법은, 하나의 무선 액세스 기술을 갖는 UE가 다른 액세스 기술을 갖는 다른 장치들로부터 신속 인증 정보를 직접 취하는 것이다. 제2 방법은 신속 인증 ID와 같은 인증 정보를 관리하는 인증 관리 모듈과 같은 독립적인 모듈에 관한 것이다. 이는 UE가 인증 정보를 인증 관리 모듈로부터 취득할 수 있게 한다.
본질적으로, 통합 인증 프레임워크는 두 부분(510 및 520)으로 구성된다. 제1 부분(510)은 특정 보안 콘텍스트를 취득하기 위해 코어 네트워크와 인증하는 UE에 있어서의 제1 액세스 기술에 관련된다. 제2 부분은 코어 네트워크와 인증하기 위해 제1 액세스 기술을 통해 확립되는 보안 콘텍스트의 부분을 취득하는 UE에 있어서의 제2 액세스 기술에 관련된다. 도 5에 도시된 바와 같은 예시에 있어서, 제1 액세스 기술은 Wi-Fi 액세스 기술인 반면, 제2 액세스 기술은 셀룰러 기술이다. 그러나, 당업자라면, 제1 액세스 기술 및 제2 액세스 기술이 본 개시물의 범위로부터 일탈함이 없이 상호 교환 가능하다는 것을 인식할 것이다. 다시 말해, 도 5는 본 개시물의 범위로부터 일탈함이 없이 제1 액세스 기술이 셀룰러 기술로 되고 제2 액세스 기술이 Wi-Fi 액세스 기술로 되도록 수정될 수 있다.
UE 및 코어 네트워크는 널리 공지되어 있다는 점에 유의한다. 따라서, 간략화를 위해, 운영 체제, 구성, 구조, 어셈블리 등은 생략된다. 중요하게는, 본 발명에 따른 방법 및 시스템은 저장 매체에 저장되어 UE 및 코어 네트워크 각각의 프로세서에 의해 실행 가능한 명령어의 형태로 제공된다.
2개의 통신 모듈을 갖는 UE (UE with two communication modules)
통합 인증 프레임워크의 제1 방법에 있어서, 동일한 UE 내부의 2개의 통신 엔티티/장치는 신속 재인증 ID 및 관련 비밀 키를 포함하는 인증 정보를 서로간에 직접적으로 공유한다. 이제, 공유 인증을 사용하는 2개의 통신 엔티티/장치에 대한 절차를 아래에서 도 6을 참조하여 설명한다.
도 6은 코어 네트워크와 인증하기 위해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 프로세스를 예시한다. 프로세스(600)는, 통신 장치 1이 코어 네트워크의 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 취득하는 단계(605)로 시작한다. 특히, UE의 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하고, 인증이 성공적이면, 네트워크 인증 엔티티가 보안 콘텍스트를 생성한다. 이 예에 있어서, 네트워크 인증 엔티티는 AAA 서버, MME 또는 AAA 및 MME 서버와 함께 위치될 수 있는 독립적인 보안 관리 모듈일 수 있다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 이후, 인증 메시지가 통신 장치 1에 전송된다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 통신 장치 1이 보안 콘텍스트를 대신 생성할 수 있음을 인식할 것이다. 단계(605)는 통합 인증 프레임워크의 제1 부분에 관련된다. 단계(605)의 추가적인 상세는 아래에서 도 15를 참조하여 설명될 것이다.
단계(610)에서, 통신 장치 2는 코어 네트워크와의 인증을 희망한다. 그러나, 통신 장치 2는, 코어 네트워크와의 인증에 앞서, 신속 재인증 ID를 취득하기 위해 통신 장치 1에 요청을 전송한다.
단계(615)에서, 통신 장치 2는, 통신 장치 1로부터 신속 재인증 ID를 수신하고 나서, 신속 재인증 ID를 사용해서 이후에 코어 네트워크와 인증한다. 특히, 통신 장치 2는 코어 네트워크와의 신속 재인증 절차를 시작한다. 신속 재인증 절차는 통신 장치 2가 메시지를 생성하고 인증 엔티티에 전송하는 것으로 시작한다. 메시지는 신속 재인증 ID를 포함하고, 선택적으로, 신속 재인증 ID가 현재의 통신 장치에 속하지 않으며 현재의 통신 장치가 동일한 UE 내부의 다른 장치로부터 신속 재인증 ID를 취득했다는 것을 나타내는 플래그를 또한 포함한다. 네트워크 측의 인증 엔티티가, 메시지에서 플래그를 추출함으로써, 보안 콘텍스트를 취급함에 있어서의 적절한 동작을 결정한다. 예를 들어, 플래그가 신속 재인증 ID가 통신 장치에 속한다는 것을 나타내면, 서버는 보안 콘텍스트를 단순히 업데이트할 수 있다. 플래그가 신속 재인증 ID가 통신 장치에 속하지 않는다는 것을 나타내면, 인증 엔티티가 새로운 보안 콘텍스트를 생성할 수 있다.
네트워크 인증 엔티티는 인증 동안 통신 장치 2로부터 추가 정보를 요청할 수 있다. 따라서, 통신 장치 2는 통신 장치 1로부터 특정 정보를 요청할 수 있다. 예를 들어, 통신 장치 2는, 네트워크 인증 엔티티로부터 EAP-AKA' 요청에 포함되는 신속 재인증 메시지를 수신하고 나서, 신속 재인증 메시지를 통신 장치 1에 송신할 수 있다. 이후, 통신 장치 1은 신속 재인증 응답을 생성하고 신속 재인증 응답을 통신 장치 2에 전송하게 된다. 이후, 통신 장치 2는 신속 재인증 응답 메시지를 네트워크 측의 네트워크 인증 엔티티에 전송한다. 네트워크 인증 엔티티는 신속 재인증 응답 메시지로 통신 장치 2를 인증한다. 또한, 제2 장치와 네트워크 측의 인증 엔티티 사이에서는 통지 및 성공 메시지와 같은 다른 메시지들이 교환될 수 있다. 단계(615)의 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다.
단계(620)에서, 신속 재인증 ID가 통신 장치 2에 속하지 않고 통신 장치 2와의 인증이 성공적이라고 네트워크 인증 엔티티가 판정하면, 네트워크 인증 엔티티는 통신 장치 2에 대한 보안 콘텍스트를 생성한다. 보안 콘텍스트는 적어도 마스터 세션 키를 포함한다. 보안 콘텍스트는 통신 장치 2에 전송된다. 대안으로서, 마스터 세션 키(Master Session Key)는 통신 장치 1에 의해 생성되고 통신 장치 2에 전송될 수 있다. 단계들(610, 615 및 620)은 통합 인증 프레임워크의 제2 부분에 관련된다. 프로세스(600)는 단계(620) 이후에 종료한다.
도 7은 도 6에 도시된 바와 같은 코어 네트워크와 인증하기 위해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 타이밍도(700)를 예시한다. 타이밍도(700)는, 통신 장치 1이 코어 네트워크의 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 취득하는 단계(705)로 시작한다. 프로세스(600)에서의 단계(605)와 유사하게, UE의 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하고, 인증이 성공적이면, 네트워크 인증 엔티티가 보안 콘텍스트를 생성한다. 이 예에 있어서, 네트워크 인증 엔티티는 AAA 서버, MME 서버 또는 AAA 및 MME 서버 내부 또는 외부의 보안 관리 모듈일 수 있다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 이후, 신속 재인증 ID, 카운터 및 다른 정보를 포함하는 메시지가 통신 장치 1에 전송된다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 통신 장치 1이 보안 콘텍스트를 대신 생성할 수 있음을 인식할 것이다. 단계(705)의 추가적인 상세는 아래에서 도 15를 참조하여 설명될 것이다.
단계(705)에서 인증이 성공한 후에, 네트워크 인증 엔티티는 단계(710a)에서 신속 재인증 ID, 비밀 키를 세이브하고 카운터를 초기화한다. 유사하게, UE 측에서는, 단계(710b)에서 통신 장치 1이 마찬가지로 신속 재인증 ID, 비밀 키를 세이브하고, 카운터를 초기화한다. 단계들(705, 710a 및 710b)은 통합 인증 프레임워크의 제1 부분에 관련된다.
단계(715)에서, 통신 장치 2는 코어 네트워크와의 인증을 희망한다. 그렇게 하기 위해, 통신 장치 2는 신속 재인증 ID를 취득하기 위해 통신 장치 1에 요청을 전송한다. 통신 장치 2로부터의 요청에 응답하여, 통신 장치 1은 단계(720)에서 신속 재인증 ID를 포함하는 응답을 통신 장치 2에 전송한다.
단계(730)에서, 통신 장치 2는, 통신 장치 1로부터 신속 재인증 ID의 수신시에, 신속 재인증 ID를 사용해서 코어 네트워크와 인증한다. 특히, 통신 장치 2는 코어 네트워크의 네트워크 인증 엔티티와의 신속 재인증 절차를 시작한다. 신속 재인증 절차는 통신 장치 2가 메시지를 생성하고 인증 엔티티에 전송하는 것으로 시작한다. 메시지는 신속 재인증 ID와, 신속 재인증 ID가 현재의 통신 장치에 속하지 않으며 현재의 통신 장치가 동일한 UE 내부의 다른 장치로부터 신속 재인증 ID를 취득했다는 것을 나타내는 플래그를 포함한다. 네트워크 측의 인증 엔티티가, 메시지에서 플래그를 추출함으로써, 보안 콘텍스트를 취급함에 있어서의 적절한 동작을 결정한다. 예를 들어, 플래그가 신속 재인증 ID가 통신 장치에 속한다는 것을 나타내면, 서버는 보안 콘텍스트를 단순히 업데이트할 수 있다. 플래그가 신속 재인증 ID가 통신 장치에 속하지 않는다는 것을 나타내면, 인증 엔티티가 새로운 보안 콘텍스트를 생성할 수 있다.
단계(730) 동안, 네트워크 인증 엔티티는 통신 장치 2로부터 추가 정보를 요청할 수 있다. 따라서, 단계(732)에서 통신 장치 2는 통신 장치 1로부터 특정 정보를 요청할 수 있다. 예를 들어, 통신 장치 2는, 네트워크 인증 엔티티로부터 EAP-AKA' 요청에 포함되는 신속 재인증 메시지를 수신하고 나서, 신속 재인증 메시지를 통신 장치 1에 송신할 수 있다. 이후, 통신 장치 1은 신속 재인증 응답을 생성하고 신속 재인증 응답을 통신 장치 2에 전송하게 된다. 이후, 통신 장치 2는 신속 재인증 응답 메시지를 네트워크 측의 네트워크 인증 엔티티에 전송한다. 네트워크 인증 엔티티는 신속 재인증 응답 메시지로 통신 장치 2를 인증한다. 또한, 제2 장치와 네트워크 측의 인증 엔티티 사이에서는 통지 및 성공 메시지와 같은 다른 메시지들이 교환될 수 있다. 단계(730)의 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다.
단계(740a)에서, 신속 재인증 ID가 통신 장치 2에 속하지 않고 통신 장치 2와의 인증이 성공적이라고 네트워크 인증 엔티티가 판정하면, 네트워크 인증 엔티티는 통신 장치 2에 대한 보안 콘텍스트를 생성한다. 보안 콘텍스트는 적어도 마스터 세션 키를 포함한다. 새로운 신속 재인증 ID, 카운터 및 nonce를 포함하는 인증 메시지는 보안 콘텍스트 도출을 위해 통신 장치 2에 전송된다. 대안으로서, 단계(740b)에서 마스터 세션 키(Master Session Key)는 통신 장치 1에 의해 생성되고 통신 장치 2에 전송될 수 있다. 단계들(730, 732, 740a 및 740b)은 통합 인증 프레임워크의 제2 부분에 관련된다. 타이밍도(700)는 단계(740a 또는 740b) 이후에 종료한다.
도 8은 프로세스(600) 및 타이밍도(700)에 따라 통신 장치 1에 의해 수행되는 프로세스(800)를 예시한다. 프로세스(800)는 신속 재인증 ID에 대한 요청을 UE의 제2 통신 장치에 전송함으로써 단계(805)로 시작한다. 단계(810)에서, 제1 통신 장치는 제2 통신 장치로부터 응답을 수신한다. 응답이 신속 재인증 ID를 포함하고 있으면, 통신 장치는 단계(820)로 진행한다. 응답이 신속 재인증 ID를 포함하고 있지 않으면, 통신 장치는 단계(830)로 진행한다.
단계(820)에서, 제1 통신 장치는 통합 인증 프레임워크의 제2 부분으로 진행한다. 단계(830)에서, 제1 통신 장치는 통합 인증 프레임워크의 제1 부분으로 진행한다. 프로세스(800)는 단계(820 또는 830) 이후에 종료한다.
도 9는 프로세스(600) 및 타이밍도(700)에 따라 통신 장치 2에 의해 수행되는 프로세스(900)를 예시한다. 프로세스(900)는 신속 재인증 ID에 대한 요청을 UE의 통신 장치 1로부터 수신함으로써 단계(905)로 시작한다.
단계(910)에서, 통신 장치 2는 신속 재인증 ID, 비밀 키 및 카운터를 포함하는 응답을 생성 및 전송한다. 통신 장치 2가 신속 재인증 ID를 갖고 있지 않으면, 통신 장치 2는 신속 재인증 ID를 갖고 있지 않다는 것을 나타내는 응답을 생성 및 전송한다.
프로세스(900)는 단계(910) 이후에 종료한다.
도 10은 프로세스(600) 및 타이밍도(700)에 따라 네트워크 인증 엔티티에 의해 수행되는 프로세스(1000)를 예시한다. 프로세스(1000)는 UE로부터 요청을 수신함으로써 단계(1005)로 시작한다. 단계(1010)에서, 네트워크 인증 엔티티는 해당 요청이 인증을 위한 것인지 또는 신속 재인증을 위한 것인지의 여부를 판정한다. 요청이 인증을 위한 것이면, 프로세스(1000)는 단계(1015)로 진행한다. 요청이 신속 재인증을 위한 것이면, 프로세스(1000)는 단계(1040)로 진행한다.
단계(1015)에서, 네트워크 인증 엔티티는, 인증 요청을 수신하는 것에 응답하여, UE와 인증한다. 인증이 성공적이면, 프로세스(1000)는 단계(1020)로 진행한다. 인증이 실패하면, 프로세스(1000)는 종료한다.
단계(1020)에서, 네트워크 인증 엔티티는 보안 콘텍스트를 생성한다. 보안 콘텍스트는 신속 재인증 ID(FRID), 비밀 키, 및 카운터를 포함할 수 있다. 단계(1025)에서, 추가적인 비밀 키가 보안 콘텍스트로부터 도출되고 3GPP 기술, 또는 다른 기술들에 의해 규정되는 Wi-Fi AP 또는 기지국과 같은 네트워크 엔티티에 전송된다. 단계(1030)에서는, 보안 콘텍스트의 복사본이 네트워크 인증 엔티티의 데이터베이스에 세이브된다. 기지국 또는 Wi-Fi AP에 전송되는, k1로 표시되는 비밀 키는 KDF 함수를 갖는 보안 콘텍스트의, k0으로 표시되는 비밀 키로부터 도출된다. UE에 전송되는, FRID 또는 카운터(counter), 또는 난수(random number), 또는 nonce와 같은 파라미터가 또한, k1을 도출함에 있어서의 KDF 함수에 입력으로 취해질 수 있다.
단계(1040)에서, 네트워크 인증 엔티티는, 먼저 메시지가 신속 재인증 ID의 기점(origin)에 대한 플래그를 포함하는지의 여부를 판정함으로써 UE로부터 신속 재인증 절차를 개시한다. 이후, 네트워크 인증 엔티티는 신속 재인증 ID의 기점을 결정한다.
플래그가 신속 재인증 ID의 기점이 통신 장치에 속한다는 것을 나타내면, 네트워크 인증 엔티티는 단계(1045)로 진행해서 보안 콘텍스트 내의 카운터와 같은 통신 콘텍스트를 단순히 업데이트한다. 플래그가 신속 재인증 ID의 기점이 통신 장치에 속하지 않는다는 것을 나타내면, 네트워크 인증 엔티티는 단계(1050)로 진행한다.
단계(1050)에서, 네트워크 인증 엔티티는 단계(1020)와 유사하게 새로운 통신 장치에 대한 새로운 보안 콘텍스트를 생성하고, 해당 보안 콘텍스트로부터 추가 도출된 키 또는 키들을 3GPP에 의해 규정되는 Wi-Fi AP 또는 기지국과 같은 네트워크 엔티티에 전송한다. 대안으로서, 보안 콘텍스트는 단계(1055)에서 생성되는 마스터 세션 키와 함께 단계(1060)에서 전송될 수 있다.
단계(1055)에서, 네트워크 인증 엔티티는 신속 재인증 절차를 계속한다. 인증이 성공적이면, 네트워크 인증 엔티티는 마스터 세션 키를 생성한다. 마스터 세션 키는 보안 콘텍스트에 포함될 수 있다. 대안으로서, 보안 콘텍스트는 마스터 세션 키를 포함하지 않을 수도 있다. 대신에, 마스터 세션 키는 신속 재인증 ID를 소유하는 통신 장치에 의해 생성되고 새로운 통신 장치에 전송될 수 있다. 보안 콘텍스트가 또한, 네트워크 인증 엔티티의 데이터베이스에 세이브된다.
단계(1060)에서, 네트워크 인증 엔티티는 신속 재인증 메시지를 보안 콘텍스트를 포함하는 UE에 전송한다. 신속 재인증을 위한 절차에 대한 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다. 프로세스(1000)는 단계(1060) 이후에 종료한다.
도 10a는 프로세스(600) 및 타이밍도(700)에 따라 네트워크 인증 엔티티에 의해 수행되는 대안적인 프로세스(1000A)를 예시한다. 특히, 신속 재인증 절차는 FRID의 기점을 고려하지 않고, 바로 보안 콘텍스트를 업데이트하는 것으로 진행한다. 프로세스(1000A)의 인증 프로세스는 프로세스(1000)의 인증 프로세스와 동일하다.
프로세스(1000A)는 UE로부터 요청을 수신함으로써 단계(1005A)로 시작한다. 단계(1010A)에서, 네트워크 인증 엔티티는 해당 요청이 인증을 위한 것인지 또는 신속 재인증을 위한 것인지의 여부를 판정한다. 요청이 인증을 위한 것이면, 프로세스(1000A)는 단계(1015A)로 진행한다. 요청이 신속 재인증을 위한 것이면, 프로세스(1000A)는 단계(1045A)로 진행한다.
단계(1015A)에서, 네트워크 인증 엔티티는, 인증 요청을 수신하는 것에 응답하여, UE와 인증한다. 인증이 성공적이면, 프로세스(1000A)는 단계(1020A)로 진행한다. 인증이 실패하면, 프로세스(1000A)는 종료한다.
단계(1020A)에서, 네트워크 인증 엔티티는 보안 콘텍스트를 생성한다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 단계(1025A)에서, 추가적인 비밀 키가 보안 콘텍스트로부터 도출되고 3GPP 기술, 또는 다른 기술들에 의해 규정되는 Wi-Fi AP 또는 기지국과 같은 네트워크 엔티티에 전송된다. 단계(1030A)에서는, 보안 콘텍스트의 복사본이 네트워크 인증 엔티티의 데이터베이스에 세이브된다. 기지국 또는 Wi-Fi AP에 전송되는, k1로 표시되는 비밀 키는 KDF 함수를 갖는 보안 콘텍스트의, k0으로 표시되는 비밀 키로부터 도출된다. UE에 전송되는, FRID 또는 카운터(counter), 또는 난수(random number), 또는 nonce와 같은 파라미터가 또한, k1을 도출함에 있어서의 KDF 함수에 입력으로 취해질 수 있다.
단계(1045A)에서, 네트워크 인증 엔티티는 보안 콘텍스트 내의 카운터와 같은 통신 콘텍스트를 업데이트한다.
단계(1050A)에서, 네트워크 인증 엔티티는 신속 재인증 절차를 계속한다. 인증이 성공적이면, 네트워크 인증 엔티티는 마스터 세션 키를 생성한다.
이후, 마스터 세션 키는, 단계(1055A)에서 3GPP에 의해 규정되는 Wi-Fi AP 또는 기지국과 같은 네트워크 엔티티에 전송된다. 프로세스(1000A)는 단계(1055A) 이후에 종료한다.
2개의 통신 모듈 및 전용 인증 관리 모듈을 갖는 UE (UE with two communication modules and a dedicated authentication management module)
통합 인증 프레임워크의 제2 방법에 있어서, 동일한 UE 내부의 2개의 통신 엔티티/장치는 신속 재인증 ID 및 관련 비밀 키를 포함하는 인증 정보를 인증 관리 모듈을 통해 공유한다. 특히, UE 내부에서는, 상이한 통신 장치들로부터의 인증 정보를 관리하기 위해 별도의 모듈이 마련된다. 통신 장치는, 네트워크 인증 엔티티로부터 신속 재인증 ID를 수신한 후에, 신속 재인증 ID, 도출된 비밀 키(선택적), 및 카운터 등을 인증 관리 모듈에 더 전달한다. 이제, 인증 관리 모듈을 통한 공유 인증을 사용하는 2개의 통신 엔티티/장치에 대한 절차를 아래에서 도 11을 참조하여 설명한다.
도 11은 코어 네트워크와 인증하기 위해 인증 관리 모듈을 통해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 프로세스(1100)를 예시한다. 프로세스(1100)는, 통신 장치 1이 코어 네트워크의 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 취득하는 단계(1105)로 시작한다. 특히, UE의 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하고, 인증이 성공적이면, 네트워크 인증 엔티티가 보안 콘텍스트를 생성한다. 이 예에 있어서, 네트워크 인증 엔티티는 AAA 서버, MME 서버 또는 AAA 및 MME 서버를 관리하는 관리 모듈일 수 있다. 네트워크 인증 엔티티는 독립적인 기능 엔티티일 수도 있다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 이후, 보안 콘텍스트는 통신 장치 1에 전송된다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 통신 장치 1이 보안 콘텍스트를 대신 생성할 수 있음을 인식할 것이다. 단계(1105)는 통합 인증 프레임워크의 제1 부분에 관련된다. 단계(1105)의 추가적인 상세는 아래에서 도 15를 참조하여 설명될 것이다.
단계(1110)에서, 통신 장치 1은 보안 콘텍스트를 인증 관리 모듈에 전송한다. 다른 실시형태에 있어서, 인증 관리 모듈은 네트워크 측의 네트워크 인증 엔티티와의 인증 메시지의 교환을 통해 자체적으로 보안 콘텍스트를 확립할 수 있다. 인증 관리 모듈은, 하드웨어 또는 소프트웨어일 수 있으며, 동일한 UE 내부의 상이한 통신 장치들로부터의 인증 정보를 관리하도록 개발되는 독립적인 모듈일 수 있다. 인증 관리 모듈은, 통신 장치 1로부터 보안 콘텍스트의 수신시에, 보안 콘텍스트 정보의 복사본을 세이브한다.
단계(1115)에서, 통신 장치 2는 코어 네트워크와의 인증을 희망한다. 그러나, 통신 장치 2는, 코어 네트워크와의 인증에 앞서, 인증 관리 모듈에 신속 재인증 ID를 취득하기 위한 요청을 전송한다. 대안으로서, 통신 장치 2가 인증 관리 모듈을 트리거해서 인증 절차를 시작할 수 있다.
단계(1120)에서, 통신 장치 2는, 인증 관리 모듈로부터 신속 재인증 ID의 수신시에, 신속 재인증 ID를 사용해서 코어 네트워크와 인증한다. 특히, 통신 장치 2는 코어 네트워크와의 신속 재인증 절차를 시작한다. 신속 재인증 절차는 통신 장치 2 또는 인증 관리 모듈이 메시지를 생성하고 인증 엔티티에 전송하는 것으로 시작한다. 메시지는 신속 재인증 ID와, 신속 재인증 ID가 현재의 통신 장치에 속하지 않으며 현재의 통신 장치가 동일한 UE 내부의 다른 장치로부터 신속 재인증 ID를 취득했다는 것을 나타내는 플래그를 포함한다. 네트워크 측의 인증 엔티티가, 메시지에서 플래그를 추출함으로써, 보안 콘텍스트를 취급함에 있어서의 적절한 동작을 결정한다. 예를 들어, 플래그가 신속 재인증 ID가 통신 장치에 속한다는 것을 나타내면, 서버는 보안 콘텍스트를 단순히 업데이트할 수 있다. 플래그가 신속 재인증 ID가 통신 장치에 속하지 않는다는 것을 나타내면, 인증 엔티티가 새로운 보안 콘텍스트를 생성할 수 있다.
네트워크 인증 엔티티는 인증 동안 통신 장치 2로부터 추가 정보를 요청할 수 있다. 따라서, 통신 장치 2는 인증 관리 모듈로부터 특정 정보를 요청할 수 있다. 예를 들어, 통신 장치 2는, 네트워크 인증 엔티티로부터 EAP-AKA' 요청에 포함되는 신속 재인증 메시지를 수신하고 나서, 신속 재인증 메시지를 인증 관리 모듈에 송신할 수 있다. 이후, 인증 관리 모듈은 신속 재인증 응답을 생성하고 신속 재인증 응답을 통신 장치 2에 전송하게 된다. 이후, 통신 장치 2는 신속 재인증 응답 메시지를 네트워크 측의 네트워크 인증 엔티티에 전송한다. 네트워크 인증 엔티티는 신속 재인증 응답 메시지로 통신 장치 2를 인증한다. 또한, 통신 장치들 또는 인증 관리 모듈과 네트워크 측의 인증 엔티티 사이에서는 통지 및 성공 메시지와 같은 다른 메시지들이 교환될 수 있다. 단계(1120)의 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다.
단계(1125)에서, 신속 재인증 ID가 통신 장치 2에 속하지 않고 통신 장치 2와의 인증이 성공적이라고 네트워크 인증 엔티티가 판정하면, 네트워크 인증 엔티티는 통신 장치 2에 대한 보안 콘텍스트를 생성한다. 보안 콘텍스트는 적어도 마스터 세션 키를 포함한다. 마스터 세션 키는 인증 관리 모듈에 의해 생성되고 통신 장치 2에 전송될 수 있다. 단계들(1115, 1120 및 1125)은 통합 인증 프레임워크의 제2 부분에 관련된다. 프로세스(1100)는 단계(1125) 이후에 종료한다.
도 12는 도 11에 도시된 바와 같이 코어 네트워크와 인증하기 위해 인증 관리 모듈을 통해 공유 인증 정보를 사용하는 2개의 통신 엔티티/장치에 대한 절차에 대한 타이밍도(1200)를 예시한다. 타이밍도(1200)는, 통신 장치 1이 코어 네트워크의 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 확립하는 단계(1205)로 시작한다. 프로세스(1100)에서의 단계(1105)와 유사하게, UE의 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하고, 인증이 성공적이면, 네트워크 인증 엔티티가 보안 콘텍스트를 생성한다. 이 예에 있어서, 네트워크 인증 엔티티는 AAA 서버, MME 서버 또는 AAA 및 MME 서버를 관리하는 관리 모듈일 수 있다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 통신 장치 1이 보안 콘텍스트를 대신 생성할 수 있음을 인식할 것이다. 단계(1205)의 추가적인 상세는 아래에서 도 15를 참조하여 설명될 것이다.
단계(1205)에서 인증이 성공한 후에, 네트워크 인증 엔티티는 단계(1210a)에서 신속 재인증 ID, 비밀 키를 세이브하고 카운터를 초기화한다. 유사하게, UE 측에서는, 단계(1210b)에서 통신 장치 1이 마찬가지로 신속 재인증 ID, 비밀 키를 세이브하고, 카운터를 초기화한다. 단계들(1205, 1210a 및 1210b)은 통합 인증 프레임워크의 제1 부분에 관련된다.
단계(1215)에서, 통신 장치 1은 보안 콘텍스트를 인증 관리 모듈에 전송한다. 인증 관리 모듈은, 하드웨어 또는 소프트웨어일 수 있으며, 동일한 UE 내부의 상이한 통신 장치들로부터의 인증 정보를 관리하도록 개발되는 독립적인 모듈일 수 있다. 인증 관리 모듈은, 통신 장치 1로부터 보안 콘텍스트의 수신시에, 보안 콘텍스트 정보의 복사본을 세이브한다.
단계(1220)에서, 통신 장치 2는 코어 네트워크와의 인증을 희망한다. 그렇게 하기 위해, 통신 장치 2는 인증 관리 모듈에 신속 재인증 ID를 취득하기 위한 요청을 전송한다. 통신 장치 2로부터의 요청에 응답하여, 인증 관리 모듈은 단계(1230)에서 신속 재인증 ID를 포함하는 응답을 통신 장치 1에 전송한다.
단계(1240)에서, 통신 장치 2는, 인증 관리 모듈로부터 신속 재인증 ID의 수신시에, 신속 재인증 ID를 사용해서 코어 네트워크와 인증한다. 특히, 통신 장치 2는 코어 네트워크의 네트워크 인증 엔티티와의 신속 재인증 절차를 시작한다. 신속 재인증 절차는 통신 장치 2가 메시지를 생성하고 인증 엔티티에 전송하는 것으로 시작한다. 메시지는 신속 재인증 ID와, 신속 재인증 ID가 현재의 통신 장치에 속하지 않으며 현재의 통신 장치가 동일한 UE 내부의 다른 장치로부터 신속 재인증 ID를 취득했다는 것을 나타내는 플래그를 포함한다. 네트워크 측의 인증 엔티티가, 메시지에서 플래그를 추출함으로써, 보안 콘텍스트를 취급함에 있어서의 적절한 동작을 결정한다. 예를 들어, 플래그가 신속 재인증 ID가 통신 장치에 속한다는 것을 나타내면, 서버는 보안 콘텍스트를 단순히 업데이트할 수 있다. 플래그가 신속 재인증 ID가 통신 장치에 속하지 않는다는 것을 나타내면, 인증 엔티티가 새로운 보안 콘텍스트를 생성할 수 있다.
단계(1240) 동안, 네트워크 인증 엔티티는 통신 장치 2로부터 추가 정보를 요청할 수 있다. 따라서, 단계(1242)에서 통신 장치 2는 인증 관리 모듈로부터 특정 정보를 요청할 수 있다. 예를 들어, 통신 장치 2는, 네트워크 인증 엔티티로부터 EAP-AKA' 요청에 포함되는 신속 재인증 메시지를 수신하고 나서, 신속 재인증 메시지를 인증 관리 모듈에 송신할 수 있다. 이후, 인증 관리 모듈은 신속 재인증 응답을 생성하고 신속 재인증 응답을 통신 장치 2에 전송하게 된다. 이후, 통신 장치 2는 신속 재인증 응답 메시지를 네트워크 측의 네트워크 인증 엔티티에 전송한다. 네트워크 인증 엔티티는 신속 재인증 응답 메시지로 통신 장치 2를 인증한다. 또한, 통신 장치 2와 네트워크 측의 인증 엔티티 사이에서는 통지 및 성공 메시지와 같은 다른 메시지들이 교환될 수 있다. 단계들(1240 및 1242)의 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다.
단계(1250a)에서, 신속 재인증 ID가 통신 장치 2에 속하지 않고 통신 장치 2와의 인증이 성공적이라고 네트워크 인증 엔티티가 판정하면, 네트워크 인증 엔티티는 통신 장치 2에 대한 보안 콘텍스트를 생성한다. 마스터 세션 키가 또한 생성되고 보안 콘텍스트에 포함된다. 보안 콘텍스트는 3GPP 기술, 또는 다른 기술들에 의해 규정되는 Wi-Fi AP 또는 기지국과 같은 네트워크 엔티티에 전송된다. 네트워크 엔티티는 마스터 세션 키 없이 보안 콘텍스트를 인증 관리 모듈에 더 전송하게 된다. 대안으로서, 단계(1250b)에서 마스터 세션 키는 인증 관리 모듈에 의해 생성되고 통신 장치 2에 전송될 수 있다. 단계들(1240, 1242, 1250a 및 1250b)은 통합 인증 프레임워크의 제2 부분에 관련된다. 보안 콘텍스트가 통신 장치들에 의해 공유되는 대안적인 프로세스에 있어서는, 새로운 보안 콘텍스트는 생성되지 않게 된다. 대신에, 마스터 세션 키만이 생성되고 네트워크 엔티티에 전송된다.
타이밍도(1200)는 단계(1250a 또는 1250b) 이후에 종료한다.
도 12a는 타이밍도(1200)에 대한 변형예를 예시한다. 구체적으로, 타이밍도(1200)에서의 단계들(1205 내지 1215)이 다음과 같이 수정된다. 단계(1205)에서, 통신 장치 1이 코어 네트워크의 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 확립하는 것이 아니라, 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하도록 인증 관리 모듈을 트리거해서 보안 콘텍스트를 확립한다. 특히, 통신 장치 1은 코어 네트워크의 네트워크 인증 엔티티와 인증하도록 인증 요청을 인증 관리 모듈에 전송해서 보안 콘텍스트를 확립한다. UE의 인증 관리 모듈은, 통신 장치 1로부터 트리거를 수신하는 것에 응답하여, 코어 네트워크의 네트워크 인증 엔티티와 인증하고, 인증이 성공적이면, 네트워크 인증 엔티티가 보안 콘텍스트를 생성한다. 보안 콘텍스트는 신속 재인증 ID, 비밀 키, 및 카운터를 포함할 수 있다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 인증 관리 모듈이 보안 콘텍스트를 대신 생성할 수 있음을 인식할 것이다.
단계(1205)에서 인증이 성공한 후에, 네트워크 인증 엔티티는 단계(1210a)에서 신속 재인증 ID, 비밀 키를 세이브하고 카운터를 초기화한다. 유사하게, UE 측에서는, 단계(1210b)에서 인증 관리 모듈이 마찬가지로 신속 재인증 ID, 비밀 키를 세이브하고, 카운터를 초기화한다. 네트워크 인증 엔티티 및 인증 관리 모듈은 인증 절차 이후에 확립되는 비밀 키에 기초하여 새로운 키를 도출한다. 일 실시형태에 있어서, 인증 이후에 확립되는 비밀 키가 k0이면, 인증 모듈 및 네트워크 인증 엔티티는 키 도출 함수(KDF)를 사용해서 새로운 키, 즉 k1을 더 도출한다. 특히, k1은 비밀 키 및 카운터를 사용함으로써 도출될 수 있고, 다음과 같이, 즉 k1 = KDF(k0, counter)로 표현될 수 있다. 다른 실시형태에 있어서, 인증 관리 모듈 및 네트워크 인증 엔티티는 비밀 키 및 신속 재인증 ID를 사용함으로써 k1을 도출할 수 있고, 다음과 같이, 즉 k1 = KDF(k0, Fast Re-authentication ID)로 표현될 수 있다. 비밀 키, 즉 k0은 인증 관리 모듈 및 네트워크 인증 엔티티에 유지되고, k1은 보안 콘텍스트에 포함되고 인증 관리 모듈에 의해 통신 장치에 전송된다. k1은 또한, 네트워크 인증 엔티티에 의해 기지국 또는 Wi-Fi AP에 전송되는 보안 콘텍스트에 포함된다. 인증 관리 모듈은 EAP 프레임워크에서 규정되는 바와 같은 요청자일 수 있고, 네트워크 인증 엔티티는 EAP 프레임워크에서의 인증 서버 또는 3GPP 사양, 예를 들면 TR 23.799에서 CP-AU로 명명되는 인증 유닛일 수 있다. 의심의 여지를 없애기 위해, 비밀 키들은 네트워크 인증 엔티티 및 인증 관리 모듈에 의해 개별적으로 생성된다.
단계(1215)에서, 인증 관리 모듈은 보안 콘텍스트를 통신 장치 1에 전송한다. 통신 장치 1은, 인증 관리 모듈로부터 보안 콘텍스트의 수신시에, 보안 콘텍스트 정보의 복사본을 세이브한다. 나머지 단계들(1220 내지 1250)은 변경되지 않는다.
도 13은 도 12 또는 도 12a의 프로세스(1100) 및 타이밍도(1200)에 따라 통신 장치 1 및 통신 장치 2 중 어느 하나에 의해 수행되는 프로세스(1300)를 예시한다. 프로세스(1300)는 신속 재인증 ID에 대한 요청을 UE의 인증 관리 모듈에 전송함으로써 단계(1305)로 시작한다. 단계(1310)에서, 통신 장치는 인증 관리 모듈로부터 응답을 수신한다. 응답이 신속 재인증 ID를 포함하고 있으면, 통신 장치는 단계(1320)로 진행한다. 응답이 신속 재인증 ID를 포함하고 있지 않으면, 통신 장치는 단계(1330)로 진행한다.
단계(1320)에서, 통신 장치는 통합 인증 프레임워크의 제2 부분으로 진행한다. 단계(1330)에서, 통신 장치는 통합 인증 프레임워크의 제1 부분으로 진행한다. 특히, 통신 장치는 네트워크 인증 엔티티와 인증해서 보안 콘텍스트를 도 12에 예시된 바와 같이 직접적으로 또는 도 12a에 예시된 바와 같이 인증 관리 모듈을 통해 간접적으로 취득한다. 프로세스(1300)는 단계(1320 또는 1330) 이후에 종료한다.
도 14는 도 12 또는 도 12a의 프로세스(1100) 및 타이밍도(1200)에 따라 인증 관리 모듈에 의해 수행되는 프로세스(1400)를 예시한다. 프로세스(1400)는 UE의 통신 장치로부터 메시지를 수신함으로써 단계(1405)로 시작한다. 이후, 프로세스(1400)는, 단계(1410)에서, 메시지가 신속 재인증 ID에 대한 요청인지 또는 코어 네트워크의 네트워크 인증 엔티티와 인증하도록 인증 관리 모듈을 트리거해서 보안 콘텍스트를 확립하라는 요청인지의 여부를 판정한다. 메시지가 UE의 통신 장치로부터의 신속 재인증 ID에 대한 요청이면, 프로세스(1400)는 단계(1415)로 진행한다. 메시지가 코어 네트워크의 네트워크 인증 엔티티와 인증하도록 인증 관리 모듈을 트리거해서 보안 콘텍스트를 확립하라는 요청이면, 프로세스(1400)는 단계(1420)로 진행한다.
단계(1415)에서, 인증 관리 모듈은 신속 재인증 ID, 비밀 키 및 카운터를 포함하는 응답을 생성 및 전송한다. 인증 관리 모듈이 신속 재인증 ID를 갖고 있지 않으면, 인증 관리 모듈은 신속 재인증 ID를 갖고 있지 않다는 것을 나타내는 응답을 생성 및 전송한다.
단계(1420)에서, 프로세스(1400)는 통합 인증 프레임워크의 제1 부분으로 진행한다. 통합 인증 프레임워크의 제1 부분에 대한 추가적인 상세는 아래에서 설명될 것이다.
프로세스(1400)는 단계(1420) 이후에 종료한다.
프로세스(1100) 및 타이밍도(1200)에 따라 네트워크 인증 엔티티에 의해 수행되는 프로세스는 프로세스(1000)와 유사하다.
이제, 인증 절차 및 신속 재인증 절차를 살펴볼 것이다.
협력 인증 (Collaborative authentication)
도 15는 통합 인증 프레임워크의 제1 부분에 따른 인증 절차의 타이밍도(1500)를 예시한다. 인증은 AKA 신속 재인증 절차에 기초한다. 인증 절차에 있어서는 약간의 차이가 있을 수 있으며 이는 UE 내의 통신 장치에 의존한다는 점에 유의해야 한다. 주된 차이는 아래의 설명에서 타이밍도(1500)를 참조하여 강조될 것이다.
타이밍도(1500)는 UE가 3GPP 액세스 네트워크와 같은 셀룰러 액세스 네트워크의 기지국(통신 장치가 셀룰러 기술일 경우) 또는 Wi-Fi AP(통신 장치가 Wi-Fi 엔티티일 경우)와의 연결을 확립하는 단계(1505)로 시작한다. 대안으로서, Wi-Fi AP는 ePDG(Evolved Packet Data Gateway) 또는 TWAG/TWAP(Trusted WLAN Access Gateway/Proxy)일 수 있다.
단계(1510)에서, UE는, 연결을 확립하는 것에 응답하여, UE의 ID를 포함하는 요청(Request)을 기지국(통신 장치가 셀룰러 기술 엔티티일 경우)에 송신함으로써 3GPP 액세스 네트워크에의 액세스를 요청한다. UE의 통신 장치가 Wi-Fi 엔티티일 경우에는, Wi-Fi AP가 요청 메시지를 UE에 송신함으로써 AKA 인증 프로세스를 개시한다. 이에 응답하여, UE의 Wi-Fi 엔티티는 메시지 내에 UE의 ID를 갖는 응답 메시지를 Wi-Fi AP에 응답한다.
단계(1515)에서, 기지국은 요청 메시지를 네트워크 인증 엔티티에 포워딩한다. 유사하게, Wi-Fi AP는 요청 메시지 형태의 응답 메시지를 네트워크 인증 엔티티에 포워딩한다.
단계(1520)에서, 네트워크 인증 엔티티는 인증 데이터 요청 메시지를 HSS(Home Subscriber Server)에 전송해서 UE의 인증 데이터를 취득한다. 인증 데이터 요청 메시지는 UE의 ID를 포함한다.
HSS는, 네트워크 인증 엔티티로부터 인증 데이터 요청 메시지의 수신시에, UE의 ID에 따라 키, 즉 K를 찾아내고, AKA 알고리즘을 사용해서 인증 벡터를 연산한다. 이후, 단계(1525)에서, HSS는 인증 벡터를 갖는 인증 데이터 응답(Authentication Data Response)을 네트워크 인증 엔티티에 송신한다. 인증 데이터 응답은 인증 벡터를 포함한다. 인증 벡터는 난수(RAND), 아이덴티티 모듈에 대하여 네트워크를 인증하는 데 사용된 네트워크 인증 토큰(AUTN), 예상 결과 부분(XRES), 무결성 검사를 위한 128-비트 세션 키(IK), 및 암호화를 위한 128-비트 세션 키(CK)를 포함한다. 인증 벡터를 생성하는 프로세스는 잘 알려져 있으므로 간략화를 위해 설명을 생략한다.
단계(1530)에서, 네트워크 인증 엔티티는 신속 재인증 ID(Fast Re-authentication ID), RAND, AUTH, SN ID(Serving Network Identity), 및 네트워크 타입(Network Type)을 포함하는 AKA 챌린지 메시지 및 메시지 인증 코드(MAC)를, 어느 통신 장치가 인증 프로세스를 개시하는지에 따라, 기지국 또는 Wi-Fi AP에 전송한다. 신속 재인증 ID는 UE의 ID를 난수와 조합함으로써 네트워크 인증 엔티티에 의해 생성될 수 있다. 대안으로서, 신속 재인증 ID는 요청을 하는 통신 장치의 타입에 기초하여 UE의 ID를 소정의 수와 조합함으로써 생성될 수 있다. 예를 들어, 통신 장치가 Wi-Fi 엔티티이면 소정의 수는 01이고, 통신 장치가 셀룰러 엔티티이면 소정의 수는 02이다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 신속 재인증 ID를 생성하는 다른 방법들이 구현될 수 있음을 인식할 것이다. MAC는 입력이 RAND, AUTH 및 신속 재인증 ID인 IK를 사용하여 생성된다. MAC를 생성하는 정확한 프로세스는 공지되어 있으므로 간략화를 위해 설명을 생략한다.
단계(1535)에서는, 기지국이 AKA 챌린지 메시지를 UE에 포워딩하는 한편, Wi-Fi AP가 AKA 챌린지 메시지를 UE에 포워딩한다.
단계(1540)에서, UE는, 먼저 MAC에 기초하여 AKA 챌린지 메시지를 검증하고, 이어서 AKA 챌린지 메시지의 진위를 성공적으로 검증한 후에, RAND 및 AUTH를 사용해서 AKA 알고리즘을 실행함으로써, 네트워크 인증 엔티티를 인증한다. UE는 또한, 셀룰러 액세스를 위한 키 또는 비-셀룰러 액세스를 위한 키를 도출한다. UE는 신속 재인증 ID를 저장하고, 신속 재인증을 위한 키들을 도출하고, 신속 재인증을 위한 카운터를 개시한다. 신속 재인증을 위한 키를 생성하는 UE에 대한 추가적인 상세는 아래에서 도 16을 참조하여 설명될 것이다.
셀룰러 액세스를 위한 키는 UE와 기지국 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다는 점에 유의한다. 또한, 신속 재인증을 위한 키는 재인증 동안 일부 데이터를 암호화하기 위한 암호화 키 및 MAC(메시지 인증 코드)를 생성하기 위한 인증 키를 포함한다.
비-셀룰러 액세스를 위한 키는 UE와 게이트웨이 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다는 점에 유의한다. 또한, 신속 재인증을 위한 키는 재인증 동안 일부 데이터를 암호화하기 위한 암호화 키 및 MAC(메시지 인증 코드)를 생성하기 위한 인증 키를 포함한다.
단계(1545)에서, UE는 AKA 챌린지 응답 메시지를 기지국에 송신한다. Wi-Fi 엔티티를 수반하는 경우에는, UE가 AKA 챌린지 응답 메시지를 게이트웨이에 전송한다. AKA 챌린지 응답 메시지는 UE에 의해 생성되는 RES 및 MAC를 포함한다.
단계(1550)에서, 기지국 또는 Wi-Fi AP는 AKA 챌린지 응답 메시지를 네트워크 인증 엔티티에 포워딩한다.
단계(1555)에서, 네트워크 인증 엔티티는 수신된 AKA 챌린지 메시지를 검증함으로써 UE를 인증한다. 특히, 네트워크 인증 엔티티는 수신된 메시지 내의 RES 및 MAC가 정확한지의 여부를 검사함으로써 메시지를 검증한다. 이후, 네트워크 인증 엔티티는 셀룰러 액세스를 위한 키 또는 비-셀룰러 액세스를 위한 키를 도출하고, 신속 재인증 ID를 저장한다. 키들은 의사-랜덤 함수인 키 도출 함수(KDP)를 사용해서 도출된다. KDF의 입력은 UE의 ID 및 RAND를 포함한다. 이어서, 네트워크 인증 엔티티는 신속 재인증을 위한 카운터를 개시한다.
단계(1560)에서, 네트워크 인증 엔티티는 인증이 성공적이라는 성공 메시지 및 UE의 셀룰러 또는 비-셀룰러 액세스를 위한 키를 기지국 또는 Wi-Fi AP에 전송한다. 기지국 또는 Wi-Fi AP는, 성공 메시지 및 키의 수신시에, 단계(1565)에서 성공 메시지 및 키를 UE에 전송한다. 타이밍도(1500)는 단계(1565) 이후에 종료한다. 통신 장치 중 어느 하나를 대신하여 인증 관리 모듈에 의해 인증이 요청되는 경우에는, 네트워크 인증 엔티티 및 인증 관리 모듈은 인증 절차 이후에 확립되는 비밀 키에 기초하여 새로운 키를 더 도출한다. 일 실시형태에 있어서, 인증 이후에 확립되는 비밀 키가 k0이면, 인증 모듈 및 네트워크 인증 엔티티는 키 도출 함수(KDF)를 사용해서 새로운 키, 즉 k1을 더 도출한다. 특히, k1은 비밀 키 및 카운터를 사용함으로써 도출될 수 있고, 다음과 같이, 즉 k1 = KDF(k0, counter)로 표현될 수 있다. 다른 실시형태에 있어서, 인증 관리 모듈 및 네트워크 인증 엔티티는 비밀 키 및 신속 재인증 ID를 사용함으로써 k1을 도출할 수 있고, 다음과 같이, 즉 k1 = KDF(k0, Fast Re-authentication ID)로 표현될 수 있다. 비밀 키, 즉 k0은 인증 관리 모듈 및 네트워크 인증 엔티티에 유지되지만, k1은 보안 콘텍스트에 포함되고 인증 관리 모듈에 의해 통신 장치에 전송된다. k1은 또한, 네트워크 인증 엔티티에 의해 기지국 또는 Wi-Fi AP에 전송되는 보안 콘텍스트에 포함된다. 인증 관리 모듈은 EAP 프레임워크에서 규정되는 바와 같은 요청자일 수 있고, 네트워크 인증 엔티티는 EAP 프레임워크에서의 인증 서버 또는 3GPP 사양, 예를 들면 TR 23.799에서 CP-AU로 명명되는 인증 유닛일 수 있다.
도 16은, 타이밍도(1500)를 참조하여 설명되는 바와 같이 통합 인증 프레임워크의 제1 부분에 따라 UE에 의해 수행되는 프로세스 흐름(1600)을 예시한다. 프로세스(1600)는, 3GPP 액세스 네트워크와 같은 셀룰러 액세스 네트워크의 기지국(통신 장치가 셀룰러 엔티티일 경우) 또는 Wi-Fi AP(통신 장치가 Wi-Fi 엔티티일 경우)와의 연계를 확립함으로써 단계(1605)로 시작한다. 대안으로서, Wi-Fi AP는 ePDG(Evolved Packet Data Gateway) 또는 TWAG/TWAP(Trusted WLAN Access Gateway/Proxy)일 수 있다.
단계(1610)에서, UE는 그 아이덴티티(UE의 ID)를 검색하고, 이어서 UE의 ID를 포함하는 요청을 생성 및 전송한다. 해당 요청은 기지국(통신 장치가 셀룰러 기술 엔티티일 경우)에 전송된다. 다음으로, 기지국은 요청 메시지를 네트워크 인증 엔티티에 포워딩한다. UE의 통신 장치가 Wi-Fi 엔티티일 경우에는, Wi-Fi AP가 요청 메시지를 UE에 송신함으로써 AKA 인증 프로세스를 개시한다. 이에 응답하여, UE의 Wi-Fi 엔티티는 메시지 내에 UE의 ID를 갖는 응답 메시지로 Wi-Fi AP에 응답한다. 이후, Wi-Fi AP는 요청 메시지로서 응답 메시지를 네트워크 인증 엔티티에 포워딩한다.
단계(1615)에서, UE는 AKA 챌린지 메시지를 수신한다. AKA 챌린지 메시지는 HSS에 의해 생성되는 RAND 및 AUTN을 포함한다. AKA 챌린지 메시지는 또한, 네트워크 인증 엔티티에 의해 생성되는 FRID 및 MAC를 포함한다.
단계(1620)에서, UE는 자신의 키(IK)를 사용하여 MAC를 검증한다. UE는 HSS에 등록되어 있고 UE와 HSS는 모두 동일한 키를 갖는다는 점에 유의한다. MAC를 검증하기 위해, UE는 IK를 갖는 네트워크 인증 엔티티에 의해 사용되는 동일한 MAC 생성 함수를 사용해서 FRID, RAND 및 AUTN을 갖는 MAC를 생성한다. MAC 생성 함수의 일 실시예는 키드(keyed) HMAC(Hash Message Authentication Code)이다. MAC가 유효하면, 단계(1620)는 AKA 알고리즘(1690)을 사용해서 인증 벡터를 계속 연산한다. AKA 알고리즘에 대한 입력 파라미터는 IK, RAND, SN ID, 및 SQN을 포함한다. AKA 키 도출 함수 알고리즘으로부터의 출력 파라미터는 AUTNUE, RES, 및 KASME를 포함한다.
단계(1625)에서, UE는 AUTNUE가 AUTN과 동일한지의 여부를 검증함으로써 네트워크 인증 엔티티와 인증한다. AUTNUE가 AUTN과 동일하지 않으면, 프로세스(1600)는 종료한다. AUTNUE가 AUTN과 동일하면, 프로세스(1600)는 단계(1630)로 진행한다.
단계(1630)에서, UE는 셀룰러 액세스 또는 비-셀룰러 액세스를 위한 비밀 키들을 도출한다. 키들은 의사-랜덤 함수인 키 도출 함수(KDP)를 사용해서 도출된다. KDF의 입력은 UE의 ID 및 RAND를 포함한다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이, UE의 루트 키(root key)와 같은 다른 입력이 비밀 키를 생성하기 위한 KDF의 입력으로서 포함될 수 있음을 인식할 것이다. UE는 FRID, 신속 재인증을 위한 비밀 키를 포함하는 보안 콘텍스트를 저장하고, 신속 재인증을 위한 카운터를 개시한다. 인증 관리 모듈을 이용할 수 있을 경우에는, 보안 콘텍스트가 인증 관리 모듈에 저장된다. 인증 관리 모듈을 이용할 수 없을 경우에는, 보안 콘텍스트가 제1 또는 제2 통신 장치에 저장된다. 통신 장치 중 어느 하나를 대신하여 인증 관리 모듈에 의해 인증이 요청되는 경우에는, 확립된 비밀 키에 기초하여 인증 관리 모듈이 새로운 키를 더 도출하도록 단계(1630)가 수정된다. 일 실시형태에 있어서, 인증 이후에 확립되는 비밀 키가 k0이면, 인증 관리 모듈은 통신 장치에 대한 키 도출 함수(KDF)를 사용해서 새로운 키, 즉 k1을 더 도출한다. 특히, k1은 비밀 키 및 카운터를 사용함으로써 도출될 수 있고, 다음과 같이, 즉 k1 = KDF(k0, counter)로 표현될 수 있다. 다른 실시형태에 있어서, 인증 관리 모듈은 비밀 키 및 신속 재인증 ID를 사용함으로써 k1을 도출할 수 있고, 다음과 같이, 즉 k1 = KDF(k0, Fast Re-authentication ID)로 표현될 수 있다. 비밀 키, 즉 k0은 인증 관리 모듈에 유지되지만, k1은 보안 콘텍스트에 포함되고 인증 관리 모듈에 의해 통신 장치에 전송된다. 인증 관리 모듈은 EAP 프레임워크에서 규정되는 바와 같은 요청자일 수 있다.
단계(1635)에서, UE는 AKA 응답 메시지를 생성하고 네트워크 인증 엔티티에 전송한다. AKA 응답 메시지는 단계(1620)에서 결정된 RES를 포함한다. 프로세스(1600)는 단계(1635) 이후에 종료한다.
도 17은 타이밍도(1500)를 참조하여 설명되는 바와 같이 통합 인증 프레임워크의 제1 부분에 따라 코어 네트워크에서 네트워크 인증 엔티티에 의해 수행되는 프로세스 흐름(1700)을 예시한다. 프로세스(1700)는 기지국 또는 Wi-Fi AP를 통해 UE로부터 요청 메시지를 수신함으로써 단계(1705)로 시작한다.
단계(1710)에서, 네트워크 인증 엔티티는 UE로부터 수신한 정보에 기초하여 인증 데이터 요청(Authentication Data Request)을 생성하고 HSS에 전송한다. SN ID 및 네트워크 타입과 같은 다른 정보는 UE로부터 수신한 요청에 기초하여 MME에 의해 검색될 수 있다. 인증 데이터 요청은 UE의 ID, SN ID, 및 네트워크 타입을 포함한다.
단계(1715)에서, 네트워크 인증 엔티티는 HSS로부터 인증 데이터 응답(Authentication Data Response)을 수신한다. 인증 데이터 응답은 RAND, AUTN, XRES, IK, 및 CK(KASME라고 할 수도 있음)를 포함한다.
단계(1718)에서, 네트워크 인증 엔티티는 UE의 ID를 난수와 조합함으로써 신속 재인증 ID(FRID)를 생성한다. 대안으로서, FRID는 요청을 하는 통신 장치의 타입에 기초하여 UE의 ID를 소정의 수와 조합함으로써 생성될 수 있다. 예를 들어, 통신 장치가 Wi-Fi 엔티티이면 소정의 수는 01이고, 통신 장치가 셀룰러 엔티티이면 소정의 수는 02이고, 요청이 인증 관리 모듈로부터의 것이면 소정의 수는 03이다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이 신속 재인증 ID를 생성하는 다른 방법들이 구현될 수 있음을 인식할 것이다.
단계(1720)에서, 네트워크 인증 엔티티는 FRID, RAND, AUTH, 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 생성하고, 어느 통신 장치가 인증 프로세스를 개시하는지에 따라, 기지국 또는 Wi-Fi AP에 전송한다. MAC는 IK를 사용해서 생성된다. MAC의 입력 파라미터는 FRID, RAND, AUTH를 포함하고, 다음과 같이 표현될 수 있다.
MAC = MACIK(FRID||RAND||AUTH)
단계(1725)에서, 네트워크 인증 엔티티는 UE로부터 AKA 응답을 수신한다. 이에 응답하여, 네트워크 인증 엔티티는 RES(AKA 응답으로부터의 것)가 XRES(인증 데이터 응답으로부터의 것)와 동일한지의 여부를 판정한다. RES가 XRES와 동일하지 않으면, 프로세스(1700)는 종료한다. RES가 XRES와 동일하면, 프로세스(1700)는 단계(1730)로 진행한다.
단계(1730)에서, 네트워크 인증 엔티티는 단계(1730)에서 그 게이트웨이에 대한 UE 액세스를 허가한다. 특히, 네트워크 인증 엔티티는 UE에 대한 액세스를 허가하는 메시지를 게이트웨이에 송신한다. 또한, 네트워크 인증 엔티티는 셀룰러 액세스 또는 비-셀룰러 액세스를 위한 비밀 키들을 도출한다. 키들은 의사-랜덤 함수인 키 도출 함수(KDP)를 사용해서 도출된다. KDF의 입력은 UE의 ID 및 RAND를 포함한다. 당업자라면, 본 개시물의 범위로부터 일탈함이 없이, UE의 루트 키와 같은 다른 입력이 비밀 키를 생성하기 위한 KDF의 입력으로서 포함될 수 있음을 인식할 것이다. 네트워크 인증 엔티티는 FRID, 신속 재인증을 위한 비밀 키를 포함하는 보안 콘텍스트를 저장하고, 신속 재인증을 위한 카운터를 개시한다. 또한, 네트워크 인증 엔티티는 인증이 성공적임을 나타내는 성공 메시지를 생성하고 기지국 또는 Wi-Fi AP를 통해 UE에 전송한다. 프로세스(1700)는 단계(1730) 이후에 종료한다.
통신 장치 중 어느 하나를 대신하여 인증 관리 모듈에 의해 인증이 요청되는 경우에는, 통신 장치에 대하여 확립된 비밀 키에 기초하여 네트워크 인증 엔티티가 새로운 키를 더 도출하도록 단계(1730)가 수정될 수 있다. 일 실시형태에 있어서, 인증 이후에 확립되는 비밀 키가 k0이면, 네트워크 인증 엔티티는 키 도출 함수(KDF)를 사용해서 새로운 키, 즉 k1을 더 도출한다. 특히, k1은 비밀 키 및 카운터를 사용함으로써 도출될 수 있고, 다음과 같이, 즉 k1 = KDF(k0, counter)로 표현될 수 있다. 다른 실시형태에 있어서, 네트워크 인증 엔티티는 비밀 키 및 신속 재인증 ID를 사용함으로써 k1을 도출할 수 있고, 다음과 같이, 즉 k1 = KDF(k0, Fast Re-authentication ID)로 표현될 수 있다. 비밀 키, k0 및 k1은 네트워크 인증 엔티티에 유지되고, 네트워크 인증 엔티티에 의해 기지국 또는 Wi-Fi AP에 전송되는 보안 콘텍스트에 포함된다. 네트워크 인증 엔티티는 EAP 프레임워크에서의 인증 서버 또는 3GPP 사양, 예를 들면 TR 23.799에서 CP-AU로 명명되는 인증 유닛일 수 있다.
도 18은 타이밍도(1500)를 참조하여 설명되는 바와 같이 통합 인증 프레임워크의 제1 부분에 따라 코어 네트워크에서 HSS에 의해 수행되는 프로세스 흐름(1800)을 예시한다. 프로세스(1800)는 네트워크 인증 엔티티로부터 인증 데이터 요청(Authentication Data Request)을 수신함으로써 단계(1805)로 시작한다.
단계(1810)에서, HSS는 인증 벡터를 취득하기 위해 AKA 알고리즘(1890)을 사용해서 인증 데이터 응답(Authentication Data Response)을 생성한다. AKA 알고리즘에 대한 입력 파라미터는 IK, RAND, SN ID, SQN을 포함한다. AKA 알고리즘에 대한 출력 파라미터는 AUTN, XRES, 및 암호화를 위한 128-비트 세션 키(CK)(KASME라고도 함)를 포함한다. RAND는 HSS에 의해 도출되는 난수이다. 인증 데이터 응답은 RAND, AUTN, XRES, IK, 및 CK를 포함한다.
이후, 인증 데이터 응답은 단계(1815)에서 네트워크 인증 엔티티에 전송된다. 프로세스(1800)는 단계(1815) 이후에 종료한다.
도 19는 통합 인증 프레임워크의 제2 부분에 따른 신속 재인증 절차의 타이밍도(1900)를 예시한다. 신속 재인증은 AKA 신속 재인증 절차에 기초한다. 신속 재인증 절차에 있어서는 약간의 차이가 있을 수 있으며 이는 UE 내의 통신 장치에 의존한다는 점에 유의해야 한다. 주된 차이는 아래의 설명에서 타이밍도(1900)를 참조하여 강조될 것이다.
타이밍도(1900)는 UE가 3GPP 액세스 네트워크의 기지국(통신 장치가 셀룰러 엔티티일 경우) 또는 Wi-Fi AP(통신 장치가 Wi-Fi 엔티티일 경우)와의 연결을 확립하는 단계(1905)로 시작한다. Wi-Fi AP는 ePDG(Evolved Packet Data Gateway) 또는 TWAG/TWAP(Trusted WLAN Access Gateway/Proxy)일 수 있다.
단계(1910)에서, 연결을 확립하는 것에 응답하여, UE는 UE의 ID, 신속 재인증 ID 및 플래그를 포함하는 요청을 기지국(통신 장치가 셀룰러 엔티티일 경우)에 송신함으로써 셀룰러 액세스 네트워크에의 액세스를 요청한다. UE의 통신 장치가 Wi-Fi 엔티티일 경우에는, Wi-Fi AP가 요청 메시지를 UE에 송신함으로써 AKA 인증 프로세스를 개시한다. 이에 응답하여, UE의 Wi-Fi 엔티티는 UE의 ID, 신속 재인증 ID 및 플래그를 포함하는 응답 메시지로 Wi-Fi AP에 응답한다.
단계(1915)에서, 기지국은 요청 메시지를 네트워크 인증 엔티티에 포워딩한다. Wi-Fi AP의 경우, Wi-Fi AP는 요청 메시지 형태의 응답 메시지를 네트워크 인증 엔티티에 전송한다. 또한, Wi-Fi AP는 네트워크 인증 엔티티에게 액세스 타입(셀룰러 액세스 또는 비-셀룰러 액세스)을 통지한다.
단계(1920)에서, 네트워크 인증 엔티티는 그 안에 4개의 필드(*counter, *nonce, *new-re-auth-ID, MAC)가 있는 AKA-재인증 요청으로 기지국 또는 Wi-Fi AP에 응답한다. "*" 표시가 있는 필드는 해당 필드가 AKA 신속 재인증을 위한 암호화 키로 암호화됨을 의미한다. *counter는 AKA 신속 재인증을 위한 카운터의 값이다. 네트워크 인증 엔티티 및 UE는 매 재인증마다 해당 값을 적어도 1씩 증가시킨다. 이는 UE가 메시지의 신선도를 검사할 수 있게 한다. *nonce는 네트워크 인증 엔티티에 의해 선택되는 난수이다. *new-re-auth-ID는 다음 재인증을 위한 신속 재인증 ID이다. MAC는 메시지의 생성자를 검증하기 위한 메시지 인증 코드이다.
단계(1930)에서, 기지국 또는 Wi-Fi AP는 AKA-재인증 요청을 UE에 포워딩한다.
단계(1940)에서, UE는 MAC의 정확도 및 카운터의 신선도를 검증함으로써 네트워크 인증 엔티티를 인증한다. 이후, UE는 new-Re-auth-ID를 새로운 신속 재인증 ID로서 저장한다. UE는 또한, 수신된 카운터의 값에 1을 더하여 로컬 카운터를 업데이트하고, 통신 장치의 타입에 따라 셀룰러 또는 비-셀룰러 액세스를 위한 키를 도출한다.
셀룰러 액세스를 위한 키는 UE와 기지국 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다. 또한, 비-셀룰러 액세스를 위한 키는 UE와 Wi-Fi AP 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다. 수신된 카운터는 그 값이 UE에 의해 저장된 카운터보다 작지 않을 경우에만 신선한 것으로 간주된다.
단계(1945)에서, UE는 2개의 필드(*counter 및 MAC)를 포함하는 AKA-재인증 응답을 기지국 또는 Wi-Fi AP에 전송한다. 카운터의 값은 수신된 카운터의 값과 동일해야 한다.
단계(1950)에서, 기지국 또는 Wi-Fi AP는 AKA-재인증 응답을 네트워크 인증 엔티티에 포워딩한다.
단계(1955)에서, 네트워크 인증 엔티티는 수신된 AKA-재인증 응답 메시지의 MAC 및 카운터의 값을 검증함으로써 UE를 인증한다. 네트워크 인증 엔티티는 셀룰러 액세스를 위한 키 또는 비-셀룰러 액세스를 위한 키를 도출하고, 새로운 신속 재인증 ID를 저장한다. 이후, 네트워크 인증 엔티티는 그 카운터를 1씩 증가시킨다. 수신된 카운터의 값은 네트워크 인증 엔티티의 카운터의 값과 동일해야 한다.
단계(1960)에서, 네트워크 인증 엔티티는 신속 재인증의 결과를 기지국 또는 Wi-Fi AP에 통지한다. 인증이 성공적이면, 결과는 UE의 셀룰러 또는 비-셀룰러 액세스를 위한 키를 포함하게 된다. 단계(1965)에서, 기지국 또는 Wi-Fi AP는 결과를 UE에 포워딩한다.
도 20은, 타이밍도(1900)를 참조하여 설명되는 바와 같이 통합 인증 프레임워크의 제2 부분에 따라 UE 장치에 의해 수행되는 프로세스 흐름(2000)을 예시한다. 프로세스(2000)는, 3GPP 액세스 네트워크의 기지국(통신 장치가 셀룰러 엔티티일 경우) 또는 Wi-Fi AP(통신 장치가 Wi-Fi 엔티티일 경우)와의 연결을 확립함으로써 단계(2005)로 시작한다.
단계(2010)에서, 연결을 확립하는 것에 응답하여, UE는 UE의 ID, FRID 및 플래그를 포함하는 요청을 기지국(통신 장치가 셀룰러 엔티티일 경우)에 송신함으로써 셀룰러 액세스 네트워크에의 액세스를 요청한다. 이어서, 기지국은 요청 메시지를 네트워크 인증 엔티티에 포워딩한다. UE의 통신 장치가 Wi-Fi 엔티티일 경우에는, Wi-Fi AP가 요청 메시지를 UE에 송신함으로써 AKA 인증 프로세스를 개시한다. 이에 응답하여, UE의 Wi-Fi 엔티티는 UE의 ID, FRID 및 플래그를 포함하는 응답 메시지로 Wi-Fi AP에 응답한다. 이어서, Wi-Fi AP는 요청 메시지 형태의 응답 메시지를 네트워크 인증 엔티티에 포워딩한다. 플래그는 FRID가 액세스를 요청하는 통신 장치에 속하지 않는다는 지시를 포함한다.
단계(2015)에서, UE는 네트워크 인증 엔티티로부터 AKA 재인증 요청 메시지를 수신한다. AKA 재인증 요청 메시지는 *counter, *nonce, *new FRID 및 MAC를 포함한다.
단계(2018)에서, UE는 MAC의 정확도 및 카운터의 신선도를 검증함으로써 네트워크 인증 엔티티를 인증한다. 수신된 카운터는 그 값이 UE에 의해 저장된 카운터보다 작지 않을 경우에만 신선한 것으로 간주된다. MAC의 정확도는 다음과 같은 방식으로 결정된다. UE는 AKA 재인증 요청 메시지로부터 *counter, *nonce 및 *new FRID를 복호한다. 이후, UE는 SK를 갖는 네트워크 인증 엔티티에 의해 사용되는 동일한 MAC 생성 함수를 사용해서 복호된 카운터, nonce 및 새로운 FRID를 갖는 MAC를 생성함으로써 MAC를 검증한다. MAC가 유효하면, 단계(2018)는 새로운 FRID를 보안 콘텍스트 내의 새로운 신속 재인증 ID로서 저장하는 것을 계속한다. UE는 또한, 수신된 카운터의 값에 1을 더하여 로컬 카운터를 업데이트한다. 인증 관리 모듈을 이용할 수 있을 경우에는, 보안 콘텍스트가 인증 관리 모듈에 저장된다. 인증 관리 모듈을 이용할 수 없을 경우에는, 보안 콘텍스트가 제1 또는 제2 통신 장치에 저장된다.
단계(2020)에서, UE는 통신 장치의 타입에 따라 셀룰러 또는 비-셀룰러 액세스를 위한 키를 결정한다. 셀룰러 액세스를 위한 키는 UE와 기지국 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다. 또한, 비-셀룰러 액세스를 위한 키는 UE와 Wi-Fi AP 사이의 트래픽을 암호화하기 위한 키 및 이러한 트래픽의 무결성 보호를 위한 키를 포함한다.
단계(2025)에서, UE는 2개의 필드(*counter 및 MAC)를 포함하는 AKA 재인증 응답 메시지를 기지국 또는 Wi-Fi AP를 통해 네트워크 인증 엔티티에 전송한다. 카운터의 값은 수신된 카운터의 값과 동일해야 한다. 대안으로서, AKA 재인증 응답은 본 개시물의 범위로부터 일탈함이 없이 암호화한 또는 암호화하지 않은 카운터만을 포함할 수 있다.
단계(2030)에서, UE는 기지국 또는 Wi-Fi AP를 통해 네트워크 인증 엔티티로부터 결과 메시지를 수신한다. 결과 메시지는 인증이 성공적인지의 여부를 나타내게 된다. 인증이 성공적이면, 프로세스(2000)는 단계(2035)로 진행하고, 단계(2020)에서 도출된 키를 사용하여 코어 네트워크와의 사이에서 데이터를 계속해서 전송 및 수신한다. 프로세스(2000)는 단계(2035) 이후에 종료한다.
도 21은 타이밍도(1900)를 참조하여 설명되는 바와 같이 통합 인증 프레임워크의 제2 부분에 따라 코어 네트워크에서 네트워크 인증 엔티티에 의해 수행되는 프로세스 흐름(2200)을 예시한다. 프로세스(2100)는 기지국(통신 장치가 셀룰러 엔티티일 경우) 또는 Wi-Fi AP(통신 장치가 Wi-Fi 엔티티일 경우)로부터 요청 메시지를 수신함으로써 단계(2105)로 시작한다. 요청 메시지는 UE의 ID, FRID 및 플래그를 포함한다.
단계(2110)에서, 네트워크 인증 엔티티는 그 데이터베이스로부터 UE의 ID와 연관된 보안 콘텍스트를 검색한다. 보안 콘텍스트는 FRID, 비밀 키(SK), 및 카운터를 포함한다. 이후, 네트워크 인증 엔티티는 요청 메시지로부터의 FRID가 데이터베이스에 저장된 FRID와 동일한지의 여부를 판정한다. 요청 메시지로부터의 FRID가 데이터베이스에 저장된 FRID와 동일하지 않으면, 프로세스(2100)가 종료한다. 요청 메시지로부터의 FRID가 데이터베이스에 저장된 FRID와 동일하면, 프로세스(2100)는 단계(2115)로 진행한다.
단계(2115)에서, 네트워크 인증 엔티티는 UE의 ID를 난수와 조합함으로써 다음 재인증 절차에 대한 새로운 FRID를 생성한다. 또한, 카운터가 1씩 증가된다. 네트워크 인증 엔티티 및 UE는 매 재인증마다 해당 값을 적어도 1씩 증가시킨다. 이는 UE가 메시지의 신선도를 검사할 수 있게 한다. 새로운 FRID 및 카운터는 UE의 ID와 연관된 보안 콘텍스트에 대하여 업데이트된다. 네트워크 인증 엔티티에 의해 선택되는 난수인 nonce도 UE의 ID와 연관된 보안 콘텍스트에 대하여 업데이트된다.
단계(2120)에서, 네트워크 인증 엔티티는 *counter, *nonce, *new FRID 및 MAC를 갖는 AKA-재인증 요청을 생성 및 전송한다. "*" 표시가 있는 필드는 해당 필드가 AKA 신속 재인증을 위한 암호화 키로 암호화됨을 의미한다. MAC는 비밀 키(SK)를 사용해서 생성된다. MAC의 입력 파라미터는 counter(카운터), nonce, new FRID(새로운 FRID)를 포함하고, 다음과 같이 표현될 수 있다.
MAC = MACSK(counter||nouce||new FRID)
단계(2125)에서, 네트워크 인증 엔티티는 AKA-재인증 응답 메시지를 수신한다. 이에 응답하여, 네트워크 인증 엔티티는 수신된 AKA-재인증 응답 메시지의 MAC 및 카운터의 값을 검증함으로써 UE를 인증한다. 수신된 카운터의 값은 네트워크 인증 엔티티의 카운터의 값과 동일해야 한다. 인증이 유효하지 않으면, 프로세스(2100)가 종료한다. 인증이 유효하면, 프로세스(2100)는 단계(2130)로 진행한다.
단계(2130)에서, 네트워크 인증 엔티티는 셀룰러 또는 비-셀룰러 액세스를 위한 키를 도출한다. 이 프로세스는 프로세스(2000)의 단계(2020)와 유사하다.
단계(2135)에서, 네트워크 인증 엔티티는 증가된 카운터 및 새로운 FRID를 UE의 ID와 연관되는 보안 콘텍스트에 저장한다.
단계(2140)에서, 네트워크 인증 엔티티는 신속 재인증의 결과에 대하여 UE에게 통지하기 위해 결과 메시지를 생성하고 기지국 또는 Wi-Fi AP에 전송한다. 결과 메시지는 UE의 셀룰러 또는 비-셀룰러 액세스를 위한 키를 포함하게 된다. 결과 메시지가 UE에게 직접 전송되지 않는다는 점에 유의한다. 대신에, 결과 메시지에서 키를 이용할 수 있으면, 네트워크 엔티티는 결과 메시지로부터 키를 제거하고, UE에 대하여 인증이 성공적임을 간단히 나타내게 된다. 프로세스(2100)는 단계(2140) 이후에 종료한다.
이종 액세스의 다중 협력 재인증 (Multiple collaborative Re-authentication of heterogeneous access)
도 22는 다중 협력 인증을 도시하는 실시형태를 예시한다. UE의 제1 통신 장치는, 단계(2205)에서, 통합 인증 프레임워크의 제1 부분을 통해 3GPP 게이트웨이와 같은 셀룰러 게이트웨이 또는 Wi-Fi AP와 같은 비-셀룰러 게이트와의 연결을 확립하는 것으로 시작한다.
단계(2210)에서, UE는 네트워크 인증 엔티티와 인증하고, 제1 부분을 통해 완전 인증을 수행해서 서로 인증한다.
단계(2215)에서, UE의 제2 통신 장치는 통합 인증 프레임워크의 제2 부분을 통해 3GPP 게이트웨이와 같은 셀룰러 게이트웨이 또는 Wi-Fi AP와 같은 비-셀룰러 게이트와의 연결을 확립한다.
단계(2220)에서, UE는 네트워크 인증 엔티티와 인증하고, 제2 부분을 통해 신속 재인증을 수행해서 서로 인증한다.
단계(2225)에서, UE의 제1 통신 장치가 게이트웨이에 대한 연결이 끊어지면, UE의 제1 통신 장치는 단계(2230)에서 연결을 재확립한다. 단계(2235)에서, UE는 통합 인증 프레임워크의 제1 또는 제2 부분을 사용해서 게이트웨이와의 연결을 확립한다. 게이트웨이는 단계(2205)에서와 동일한 게이트웨이일 수 있다. 대안으로서, 게이트웨이는 단계(2205)에서의 것과는 다른 게이트웨이일 수 있다.
UE 및 네트워크 인증 엔티티가 완전 인증 이후에 많은 신속 재인증을 수행할 수 있다는 점에 유의한다. 또한, UE의 제1 및 제2 통신 장치는 신속 재인증 ID, 신속 재인증 키(들) 및 카운터로 이루어진 하나의 세트를 공유할 수 있다. 대안으로서, UE와 인증 서버는 완전 인증 동안 또는 이후에 신속 재인증 ID, 신속 재인증 키(들) 및 카운터로 이루어진 2개의 세트를 생성할 수 있다. 하나의 세트는 제1 통신 장치를 위한 것이고, 다른 세트는 제2 통신 장치를 위한 것이다. UE 및 네트워크 인증 엔티티는 2개의 세트를 생성하고 나서 이들을 저장 및 유지할 것이다.
통합 인증 프레임워크는 모바일 사용자 장비와 상이한 액세스 기술을 갖는 네트워크, 예를 들어, 5G 네트워크 사이의 통신에 적용될 수 있을 것으로 생각된다. 통합 인증 프레임워크는 이종 액세스를 이용하는 모바일 네트워크에 대한 신속 인증 및 통합 인증 관리를 가능하게 한다. 이는 인증 관리를 단순화하며, 이종 액세스 기술들간의 신속한 핸드오버를 가능하게 하고, 사용자 경험을 향상시킨다. 또한, HSS의 작업 부하도 감소시킨다.
도 23은 다중 액세스 기술을 도시하는 실시형태를 예시한다. 차세대 네트워크 시스템은 차세대 무선부, Wi-Fi 액세스 기술, 및 블루투스 등을 포함하는 다중 액세스 기술을 지원할 것이다. 많은 UE가 다중 액세스 기술을 지원하며, UE는 동일한 3GPP 크리덴셜로 네트워크에 대한 동시 다중 연결을 확립할 수 있다. SA2가 통합 인증 프레임워크를 제안했기 때문에, 보안 콘텍스트 구조는 네트워크 측에서 정의되어 있다. 보안 콘텍스트 구조는 UE에 대해서는 아직 정의되어 있지 않다. 따라서, 이 제안에 있어서는, 통합 인증 프레임워크와 네트워크측 보안 콘텍스트 구조를 고려한 UE 측에서의 보안 콘텍스트 구조를 제안했다.
5G 시스템에 의하면, UE가 동시 연결로 네트워크에 연결할 수 있다는 것은 일반적이다. 상이한 연결들이 상이한 액세스 기술에 존재해도 된다. 그러나, 상이한 액세스 기술은 동일한 3GPP 크리덴셜로 네트워크와 인증할 수 있다. 이러한 시나리오에 있어서는, UE가 네트워크와 어떻게 인증할지 및 각각의 액세스 기술에 대하여 보안 콘텍스트를 어떻게 도출할지를 검토할 필요가 있다.
이 공헌에 있어서, 본 발명자들은 상이한 액세스 기술이 UE 측의 동일한 요청자를 공유하는 것을 제안한다. 요청자는 상이한 액세스 기술들에 대한 인증을 담당한다.
요청자가 네트워크 측의 인증 유닛(CP-AU)과 상호 인증을 수행하는 경우, 보안 콘텍스트가 요청자측에 확립되어 있지 않으면, UE는 요청자 내부에 보안 콘텍스트를 확립한다.
요청자가 이미 하나의 확립된 보안 콘텍스트를 갖고 있으면, UE는 네트워크 인증 엔티티와의 상호 인증을 위해 기존의 보안 콘텍스트를 사용할 수 있다. 인증이 성공하면, 요청자와 CP-AU가 모두 보안 콘텍스트를 업데이트한다.
요청자는 도출된 보안 콘텍스트를 통신 보호를 위해 상대 액세스 기술로 전송한다.
도 24는 상기에서 제안한 통합 인증 프레임워크 및 보안 콘텍스트 도출 방법으로 보안 콘텍스트를 확립하기 위한 2가지의 상이한 액세스 기술을 갖는 UE에 대한 상세한 절차를 도시한다.
UE 내부의 액세스 기술 1을 갖는 장치는 인증을 위한 요청을 요청자에게 송신한다.
요청자가 코어 네트워크 내의 CP-AU와 인증하는 동안, 요청자 및 CP-AU는 제각기 인증 벡터(2a 및 2b)에 대하여 신뢰할 수 있는 컴퓨팅 스토리지 및 크리덴셜 리포지토리와 통신한다.
요청자 및 CP-AU는, CP-AU 및 요청자 모두와의 인증 보안 콘텍스트(Authentication Security Context)를 확립한다.
요청자 및 CP-AU는 보안 콘텍스트를 UE 측의 상대 장치 및 네트워크 측의 액세스 네트워크(Access Newtork)에 전송한다.
장치 및 AN은 모두 보안 콘텍스트를 인스톨하고 데이터/시그널링 보호에 사용한다.
UE 내부의 액세스 기술 2를 갖는 장치는 인증을 위한 요청을 요청자에게 송신한다.
요청자는 코어 네트워크 내부의 CP-AU와 인증한다. 인증 절차는 제1 액세스 기술에 대한 인증을 통해 확립된 보안 콘텍스트를 재사용한다.
요청자와 CP-AU는 인증 보안 콘텍스트(Authentication Security Context)를 업데이트한다.
요청자 및 CP-AU는 보안 콘텍스트를 UE 측의 상대 장치(액세스 기술 2를 갖는 장치) 및 네트워크 측의 액세스 네트워크(Access Newtork)에 전송한다.
장치 및 AN은 모두 보안 콘텍스트를 인스톨하고 데이터/시그널링 보호에 사용한다.
상술한 내용은 모바일 장치와 코어 네트워크 사이의 협력 인증을 위한 통합 인증 프레임워크의 방법 및 시스템의 실시형태들의 설명이다. 당업자라면, 하기의 청구범위에서 제시되는 바와 같은 본 발명을 침해하는, 본 개시물에 기초한 대안적인 방법 및 시스템을 설계할 수 있고, 또 설계할 것임을 예측할 수 있다.

Claims (39)

  1. 코어 네트워크와 직접적으로 통신하는 사용자 장비(UE)로서,
    제1 통신 장치;
    제2 통신 장치;
    인증 관리 모듈;
    프로세서;
    저장 매체;
    상기 저장 매체에 저장되며 상기 프로세서에 의해, 상기 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하고, 상기 인증 관리 모듈로부터의 상기 보안 콘텍스트를 사용해서 상기 코어 네트워크와 상기 제1 및 제2 통신 장치 중 하나에 대한 제2 인증을 수행해서 상기 코어 네트워크와의 연결을 확립하도록 실행 가능한 명령어들을 포함하는
    UE.
  2. 제1항에 있어서,
    상기 제1 통신 장치와 상기 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 상기 보안 콘텍스트를 사용해서 상기 제1 통신 장치에 의한 상기 코어 네트워크와의 다른 인증을 수행하는 것을 더 포함하는
    UE.
  3. 제1항 또는 제2항에 있어서,
    상기 코어 네트워크와의 제1 인증을 수행해서 보안 콘텍스트를 취득하도록 하는 상기 명령어는, 상기 제1 통신 장치에게,
    상기 인증 관리 모듈에 요청을 전송해서 상기 제1 인증을 트리거하고;
    상기 인증 관리 모듈로부터 응답― 상기 응답은 상기 보안 콘텍스트를 포함함 ―을 수신하도록 지시하는 명령어들을 포함하는
    UE.
  4. 제3항에 있어서,
    상기 제1 통신 장치, 및 신속 재인증 ID(Fast Re-authentication ID)를 포함하지 않는 상기 인증 관리 모듈로부터의 상기 요청을 수신하는 것에 응답하여, 명령어들은, 상기 인증 관리 모듈에게,
    아이덴티티(UE의 ID)를 검색하고;
    상기 UE의 ID를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    난수(RAND), 및 상기 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(Fast Re-authentication ID)(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하고;
    상기 인증 관리 모듈에 발급되는 키(IK)를 사용해서 상기 MAC의 유효성을 검증하고;
    상기 MAC가 유효하다는 것에 응답하여, AKA 알고리즘을 사용해서 인증 벡터를 연산하고;
    상기 인증 벡터로부터의 특정 정보와 상기 AKA 챌린지 메시지로부터의 특정 정보를 비교함으로써 인증이 성공적인지의 여부를 판정하도록 더 지시하는
    UE.
  5. 제4항에 있어서,
    성공적인 인증에 응답하여, 상기 명령어는 상기 인증 관리 모듈에게,
    제1 비밀 키(k0)를 생성하고;
    FRID, 카운터(counter) 및 상기 k0을 포함하는 보안 콘텍스트를 확립하도록 지시하는
    UE.
  6. 제5항에 있어서,
    성공적인 인증에 응답하여, 상기 명령어는 상기 인증 관리 모듈에게,
    상기 제1 통신 장치에 대한 제2 비밀키(k1)를 생성― 상기 제2 비밀 키는, 하기의 입력, 즉 인증 동안 인증 관리 모듈에 의해 생성되거나 또는 네트워크로부터 수신되는 k0 또는 k0으로부터 도출되는 키들, 카운터, FRID, RAND, 및 NONCE 중 어느 2개 이상을 조합하여 갖는 키 도출 함수(KDF)를 사용함으로써 생성됨 ―하도록 지시하는
    UE.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    상기 저장 매체에 저장되며 상기 프로세서에 의해 실행 가능한 상기 명령어들은,
    상기 인증 관리 모듈로부터 상기 제1 및 제2 통신 장치 중 적어도 하나에 보안 콘텍스트를 전송하도록 하는
    UE.
  8. 제7항에 있어서,
    상기 인증 관리 모듈로부터 상기 제1 및 제2 통신 장치 중 적어도 하나에 보안 콘텍스트를 전송하도록 하는 상기 명령어는 상기 인증 관리 모듈에게,
    상기 제2 통신 장치로부터 인증을 위한 요청을 수신하고;
    UE의 ID 및 FRID를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    상기 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― 상기 AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고;
    상기 인증 관리 모듈이 상기 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고;
    AKA 재인증 응답― 상기 AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 상기 코어 네트워크에 전송하고;
    상기 인증이 성공적임을 나타내는 결과 메시지를 상기 코어 네트워크로부터 수신하고;
    하기의 입력, 즉 인증 동안 인증 관리 모듈에 의해 생성되거나 또는 네트워크로부터 수신되는 k0 또는 k0으로부터 도출되는 키들, 카운터, FRID, RAND, 및 NONCE 중 어느 2개 이상을 조합하여 갖는 키 도출 함수(KDF)를 사용함으로써 제3 비밀 키를 생성하고;
    상기 인증이 성공적일 경우, 적어도 k2를 포함하는 상기 보안 콘텍스트를 상기 제1 및 제2 통신 장치 중 적어도 하나에 전송하도록 지시하는 명령어들을 포함하는
    UE.
  9. 코어 네트워크와 직접적으로 통신하는 사용자 장비(UE)로서,
    제1 통신 장치;
    제2 통신 장치;
    인증 관리 모듈;
    프로세서;
    저장 매체;
    상기 저장 매체에 저장되며 상기 프로세서에 의해, 상기 제1 통신 장치에 의한 상기 코어 네트워크와의 제1 인증을 수행해서 상기 제1 통신 장치에 대한 보안 콘텍스트를 취득하고, 상기 보안 콘텍스트를 상기 인증 관리 모듈로부터 상기 제2 통신 장치에 전송하고, 상기 인증 관리 모듈로부터의 상기 보안 콘텍스트를 사용해서 상기 제2 통신 장치에 의한 상기 코어 네트워크와의 제2 인증을 수행하도록 실행 가능한 명령어들을 포함하는
    UE.
  10. 제9항에 있어서,
    상기 제1 통신 장치와 상기 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 상기 보안 콘텍스트를 사용해서 상기 제1 통신 장치에 의한 상기 코어 네트워크와의 다른 인증을 수행하는 것을 더 포함하는
    UE.
  11. 제9항 또는 제10항에 있어서,
    상기 제1 통신 장치에 의한 상기 코어 네트워크와의 제1 인증을 수행해서 상기 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 상기 명령어는, 상기 제1 통신 장치에게,
    신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 상기 인증 관리 모듈에 전송하고;
    상기 인증 관리 모듈로부터 응답을 수신하고;
    상기 제1 통신 장치에 의한 상기 코어 네트워크와의 상기 제1 인증을 상기 응답에 기초하여 수행해서 상기 보안 콘텍스트를 취득하도록 지시하는 명령어들을 포함하는
    UE.
  12. 제11항에 있어서,
    신속 재인증 ID를 포함하지 않는 상기 인증 관리 모듈로부터의 응답에 응답하여, 상기 명령어는 상기 제1 통신 장치에게,
    아이덴티티(UE의 ID)를 검색하고;
    상기 UE의 ID를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    난수(RAND), 및 상기 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(Fast Re-authentication ID)(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하고;
    상기 제1 통신 장치에 이전에 발급된 키(IK)를 사용해서 상기 MAC의 유효성을 검증하고;
    상기 MAC가 유효하다는 것에 응답하여, AKA 알고리즘을 사용해서 인증 벡터를 연산해서 AUTNUE, RES, 및 KASME를 취득하고;
    AUTNUE가 AUTN과 동일한지의 여부를 판정하고;
    AUTNUE가 AUTN과 동일하다는 것에 응답하여, 셀룰러 액세스 또는 비-셀룰러 액세스에 대한 비밀 키들을 도출하고;
    상기 보안 콘텍스트― 상기 보안 콘텍스트는 상기 FRID, 상기 비밀 키들, 및 카운터를 포함함 ―를 상기 인증 관리 모듈에 전송하고;
    AKA 응답(AKA Response) 메시지― 상기 AKA 응답 메시지는 RES를 포함함 ―를 생성해서 상기 코어 네트워크에 전송하도록 더 지시하는
    UE.
  13. 제12항에 있어서,
    상기 비밀 키들은 UE의 ID 및 RAND를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용해서 도출되는
    UE.
  14. 제9항 내지 제13항 중 어느 한 항에 있어서,
    명령어들은 상기 인증 관리 모듈에게,
    상기 제2 통신 장치로부터 신속 재인증 ID에 대한 요청을 수신하고;
    상기 신속 재인증 ID(FRID)를 포함하는 응답을 생성해서 상기 제2 통신 장치에 전송하도록 더 지시하는
    UE.
  15. 제14항에 있어서,
    상기 제1 통신 장치로부터의 상기 보안 콘텍스트를 사용해서 상기 제2 통신 장치에 의한 상기 코어 네트워크와의 제2 인증을 수행하도록 하는 상기 명령어는, 상기 인증 관리 모듈로부터 상기 FRID를 수신하는 것에 응답하여, 상기 제2 통신 장치에게,
    상기 UE의 ID, FRID 및 플래그― 상기 플래그는 상기 FRID가 상기 제2 통신 장치에 속하지 않는다는 지시를 포함함 ―를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    상기 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― 상기 AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고;
    MAC의 정확도 및 카운터의 신선도를 검증하고;
    상기 MAC가 유효하다는 것에 응답하여, 상기 새로운 FRID를 새로운 신속 재인증 ID로서 상기 인증 관리 모듈에 전송하고 상기 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고;
    AKA 재인증 응답― 상기 AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 상기 코어 네트워크에 전송하고;
    상기 인증이 성공적임을 나타내는 결과 메시지를 수신하고;
    셀룰러 또는 비-셀룰러 액세스를 위한 키들을 생성하고;
    상기 키들을 사용해서 상기 코어 네트워크와의 사이에서 데이터를 전송 및 수신하도록 지시하는 명령어들을 포함하는
    UE.
  16. 제15항에 있어서,
    상기 수신된 카운터는 그 값이 상기 UE에 의해 저장된 상기 카운터보다 작지 않을 경우에 신선한 것으로 간주되는
    UE.
  17. 제15항 또는 제16항에 있어서,
    상기 MAC의 정확도는, 상기 카운터, nonce 및 새로운 FRID를 갖는 MAC를 SK를 사용해서 생성하는 것 및 상기 생성된 MAC와 상기 코어 네트워크로부터 수신한 MAC를 비교하는 것으로 결정되는
    UE.
  18. 코어 네트워크와 직접적으로 통신하는 사용자 장비(UE)로서,
    제1 통신 장치;
    제2 통신 장치;
    프로세서;
    저장 매체;
    상기 저장 매체에 저장되며 상기 프로세서에 의해 실행 가능한 명령어들로서,
    상기 제1 통신 장치에 의한 상기 코어 네트워크와의 제1 인증을 수행해서 상기 제1 통신 장치에 대한 보안 콘텍스트를 취득하고;
    상기 보안 콘텍스트를 상기 제1 통신 장치로부터 상기 제2 통신 장치로 전송하고;
    상기 제1 통신 장치로부터의 상기 보안 콘텍스트를 사용해서 상기 제2 통신 장치에 의한 상기 코어 네트워크와의 제2 인증을 수행하도록 하는
    상기 명령어들을 포함하는
    UE.
  19. 제18항에 있어서,
    상기 제1 통신 장치와 상기 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 상기 보안 콘텍스트를 사용해서 상기 제1 통신 장치에 의한 상기 코어 네트워크와의 다른 인증을 수행하는 것을 더 포함하는
    UE.
  20. 제18항 또는 제19항에 있어서,
    상기 제1 통신 장치에 의한 상기 코어 네트워크와의 제1 인증을 수행해서 상기 제1 통신 장치에 대한 보안 콘텍스트를 취득하도록 하는 상기 명령어는, 상기 제1 통신 장치에게,
    신속 재인증 ID(Fast Re-authentication ID)에 대한 요청을 상기 제2 통신 장치에 전송하고;
    상기 제2 통신 장치로부터 응답― 상기 응답은 신속 재인증 ID를 포함함 ―을 수신하도록 지시하는 명령어들을 포함하는
    UE.
  21. 제20항에 있어서,
    신속 재인증 ID를 포함하지 않는 상기 제2 통신 장치로부터의 응답에 응답하여, 상기 명령어는 상기 제1 통신 장치에게,
    아이덴티티(UE의 ID)를 검색하고;
    상기 UE의 ID를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    난수(RAND), 및 상기 코어 네트워크에 의해 생성되는 네트워크 인증 토큰(AUTN), 신속 재인증 ID(Fast Re-authentication ID)(FRID) 및 메시지 인증 코드(MAC)를 포함하는 AKA 챌린지 메시지를 수신하고;
    상기 제1 통신 장치에 이전에 발급된 키(IK)를 사용해서 상기 MAC의 유효성을 검증하고;
    상기 MAC가 유효하다는 것에 응답하여, AKA 알고리즘을 사용해서 인증 벡터를 연산해서 AUTNUE, RES, 및 KASME를 취득하고;
    AUTNUE가 AUTN과 동일한지의 여부를 판정하고;
    AUTNUE가 AUTN과 동일하다는 것에 응답하여, 셀룰러 액세스 또는 비-셀룰러 액세스에 대한 비밀 키들을 도출하고;
    상기 FRID, 상기 비밀 키들, 및 카운터를 포함하는 상기 보안 콘텍스트를 저장하고;
    AKA 응답(AKA Response) 메시지― 상기 AKA 응답 메시지는 RES를 포함함 ―를 생성해서 상기 코어 네트워크에 전송하도록 더 지시하는
    UE.
  22. 제21항에 있어서,
    상기 비밀 키들은 UE의 ID 및 RAND를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용해서 도출되는
    UE.
  23. 제18항 내지 제22항 중 어느 한 항에 있어서,
    상기 명령어는 상기 제1 통신 장치에게,
    상기 제2 통신 장치로부터 신속 재인증 ID에 대한 요청을 수신하고;
    상기 신속 재인증 ID(FRID)를 포함하는 응답을 생성해서 상기 제2 통신 장치에 전송하도록 더 지시하는
    UE.
  24. 제23항에 있어서,
    상기 제1 통신 장치로부터의 상기 보안 콘텍스트를 사용해서 상기 제2 통신 장치에 의한 상기 코어 네트워크와의 제2 인증을 수행하도록 하는 상기 명령어는, 상기 제1 통신 장치로부터 상기 FRID를 수신하는 것에 응답하여, 상기 제2 통신 장치에게,
    상기 UE의 ID, FRID 및 플래그― 상기 플래그는 상기 FRID가 상기 제2 통신 장치에 속하지 않는다는 지시를 포함함 ―를 포함하는 요청을 생성해서 상기 코어 네트워크에 전송하고;
    상기 코어 네트워크로부터 AKA 재인증(AKA Re-authentication) 요청 메시지― 상기 AKA 재인증 요청 메시지는 카운터(counter), nonce, 새로운 FRID(new FRID) 및 MAC를 포함함 ―를 수신하고;
    MAC의 정확도 및 카운터의 신선도를 검증하고;
    상기 MAC가 유효하다는 것에 응답하여, 상기 새로운 FRID를 새로운 신속 재인증 ID로서 상기 보안 콘텍스트에 저장하고 상기 수신된 카운터 값에 1을 더하여 로컬 카운터를 업데이트하고;
    AKA 재인증 응답― 상기 AKA 재인증 응답 메시지는 업데이트된 카운터를 포함함 ―을 상기 코어 네트워크에 전송하고;
    상기 인증이 성공적임을 나타내는 결과 메시지를 수신하고;
    셀룰러 또는 비-셀룰러 액세스를 위한 키들을 생성하고;
    상기 키들을 사용해서 상기 코어 네트워크와의 사이에서 데이터를 전송 및 수신하도록 지시하는 명령어들을 포함하는
    UE.
  25. 제24항에 있어서,
    상기 수신된 카운터는 그 값이 상기 UE에 의해 저장된 상기 카운터보다 작지 않을 경우에 신선한 것으로 간주되는
    UE.
  26. 제24항 또는 제25항에 있어서,
    상기 MAC의 정확도는, 상기 카운터, nonce 및 새로운 FRID를 갖는 MAC를 SK를 사용해서 생성하는 것 및 상기 생성된 MAC와 상기 코어 네트워크로부터 수신한 MAC를 비교하는 것으로 결정되는
    UE.
  27. 코어 네트워크의 네트워크 인증 엔티티와 인증하기 위한 제1 통신 장치 및 제2 통신 장치를 갖는 사용자 장비(User Equipment)에 대한 인증 방법으로서,
    제1 인증 프로세스를 통해 상기 제1 통신 장치와 상기 네트워크 엔티티 사이의 인증을 해서 보안 콘텍스트를 취득하는 단계;
    상기 보안 콘텍스트 정보를 상기 제2 통신 장치에 전송하는 단계; 및
    제2 인증 프로세스를 통해 상기 제2 통신 장치와 상기 네트워크 인증 엔티티 사이의 인증을 하는 단계를 포함하고, 상기 제2 통신 장치는 상기 제1 통신 장치로부터의 상기 보안 콘텍스트를 사용해서 상기 네트워크 인증 엔티티와의 인증을 하는
    인증 방법.
  28. 제27항에 있어서,
    상기 제1 통신 장치와 상기 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 상기 보안 콘텍스트의 부분을 사용해서 상기 제2 인증 프로세스를 통해 상기 제1 통신 장치와 상기 네트워크 엔티티 사이의 인증을 하는 단계를 더 포함하는
    인증 방법.
  29. 코어 네트워크의 네트워크 인증 엔티티와의 인증을 위해 적어도 2개의 통신 장치를 갖는 사용자 장비(User Equipment)에 대한 인증 프레임워크로서,
    상기 UE의 상기 제1 통신 장치에 의한 상기 네트워크 인증 엔티티와의 제1 인증을 수행해서 상기 제1 통신 장치에 대한 보안 콘텍스트를 취득하고;
    제1 보안 콘텍스트를 상기 제2 통신 장치에 전송하고;
    상기 제1 통신 장치로부터의 상기 보안 콘텍스트를 사용해서 상기 제2 통신 장치에 의한 상기 코어 네트워크와의 제2 인증을 수행하는 것을 포함하는
    인증 프레임워크.
  30. 제29항에 있어서,
    상기 제1 통신 장치와 상기 코어 네트워크 사이의 연결이 단절되는 것에 응답하여, 취득된 상기 보안 콘텍스트를 사용해서 상기 제1 통신 장치에 의한 상기 코어 네트워크와의 다른 인증을 수행하는 것을 더 포함하는
    인증 프레임워크.
  31. 사용자 장비(UE)와의 인증을 위한 코어 네트워크 내의 네트워크 인증 엔티티로서,
    프로세서;
    저장 매체, 및
    상기 저장 매체에 저장되며 각각의 상기 프로세서에 의해, 상기 UE와의 제1 인증을 수행해서 보안 콘텍스트를 생성하고, 상기 UE와의 제1 인증을 통해 확립되는 상기 보안 콘텍스트에 기초하여 상기 UE와의 제2 인증을 수행하도록 실행 가능한 명령어들을 포함하는
    네트워크 인증 엔티티.
  32. 제31항에 있어서,
    상기 UE와의 제1 인증을 수행해서 보안 콘텍스트를 생성하도록 하는 상기 명령어는,
    상기 UE로부터 UE의 ID를 포함하는 요청 메시지를 기지국 또는 Wi-Fi AP를 통해 수신하고;
    인증을 위한 키를 검색하고;
    신속 재인증 ID(Fast Re-authentication ID)(FRID)― 상기 FRID는 상기 보안 콘텍스트의 일부임 ―를 생성하도록 하는 명령어들을 포함하는
    네트워크 인증 엔티티.
  33. 제32항에 있어서,
    상기 FRID는 상기 UE의 ID를 난수와 조합함으로써 생성되는
    네트워크 인증 엔티티.
  34. 제32항에 있어서,
    상기 FRID는 상기 요청을 하는 통신 장치의 타입에 기초하여 상기 UE의 ID를 소정의 수와 조합함으로써 생성되는
    네트워크 인증 엔티티.
  35. 제31항에 있어서,
    상기 UE와의 제1 인증을 수행해서 보안 콘텍스트를 생성하도록 하는 상기 명령어는,
    상기 FRID, RAND, AUTH, 및 메시지 인증 코드(MAC)― 상기 MAC는 FRID, RAND, AUTH를 포함하는 MAC의 입력 파라미터들을 갖는 IK를 사용해서 생성되며, 다음과 ?이, 즉 MAC = MACIK(FRID||RAND||AUTH)로 표현될 수 있음 ―를 포함하는 AKA 챌린지 메시지를 생성해서, 어느 통신 장치가 인증 프로세스를 개시하는지에 따라 상기 기지국 또는 Wi-Fi AP에 전송하고;
    RES를 포함하는 상기 UE로부터의 AKA 응답을 수신하고;
    RES가 XRES와 동일한지의 여부를 판정하고;
    상기 RES가 상기 XRES와 동일할 경우 상기 보안 콘텍스트를 생성하도록 하는 명령어들을 더 포함하는
    네트워크 인증 엔티티.
  36. 제31항에 있어서,
    상기 UE와의 제1 인증을 수행해서 보안 콘텍스트를 생성하도록 하는 상기 명령어는,
    비밀 키(k0)를 도출하고;
    FRID, k0, 및 카운터(counter)를 포함하는 상기 보안 콘텍스트를 저장하도록 하는 명령어들을 더 포함하는
    네트워크 인증 엔티티.
  37. 제36항에 있어서,
    상기 비밀 키는 UE의 ID 및 RAND를 포함하는 입력을 갖는 키 도출 함수(KDF)를 사용함으로써 생성되는
    네트워크 인증 엔티티.
  38. 제31항에 있어서,
    상기 명령어는,
    상기 제1 인증이 상기 UE의 인증 관리 모듈에 의해 개시될 경우에는, 다른 비밀 키(k1)를 도출하고;
    상기 네트워크 인증 엔티티가 인증 응답을 수신한 기지국 또는 Wi-Fi AP에 k1을 전송하도록 하는 명령어들을 더 포함하는
    네트워크 인증 엔티티.
  39. 제38항에 있어서,
    상기 다른 비밀 키는, 하기의 입력, 즉 인증 동안 인증 관리 모듈에 의해 생성되거나 또는 네트워크로부터 수신되는 k0 또는 k0으로부터 도출되는 키들, 카운터, FRID, RAND, 및 NONCE 중 어느 2개 이상을 조합하여 갖는 키 도출 함수(KDF)를 사용함으로써 생성되는
    네트워크 인증 엔티티.
KR1020197002606A 2016-07-13 2017-03-28 이종 네트워크들에 대한 통합 인증 KR20190020140A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SG10201605752PA SG10201605752PA (en) 2016-07-13 2016-07-13 A unified authentication work for heterogeneous network
SG10201605752P 2016-07-13
PCT/SG2017/050163 WO2018013052A1 (en) 2016-07-13 2017-03-28 Unified authentication for heterogeneous networks

Publications (1)

Publication Number Publication Date
KR20190020140A true KR20190020140A (ko) 2019-02-27

Family

ID=58670278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197002606A KR20190020140A (ko) 2016-07-13 2017-03-28 이종 네트워크들에 대한 통합 인증

Country Status (7)

Country Link
US (1) US10849191B2 (ko)
EP (1) EP3469823B1 (ko)
JP (1) JP6732095B2 (ko)
KR (1) KR20190020140A (ko)
CN (2) CN110049492B (ko)
SG (1) SG10201605752PA (ko)
WO (1) WO2018013052A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023080355A1 (ko) * 2021-11-02 2023-05-11 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016224522A (ja) * 2015-05-27 2016-12-28 京セラ株式会社 端末装置およびサービスサーバ
US10136305B2 (en) * 2016-12-01 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for using mobile subscriber identification information for multiple device profiles for a device
US10445634B2 (en) * 2016-12-14 2019-10-15 Trackonomy Systems, Inc. Fabricating multifunction adhesive product for ubiquitous realtime tracking
US11540125B2 (en) * 2017-03-17 2022-12-27 Nec Corporation Authentication device, network device, communication system, authentication method, and non-transitory computer readable medium
CN108234642B (zh) * 2017-12-29 2021-01-26 中国银联股份有限公司 一种用户追踪方法、服务器和用户端
US20200145824A1 (en) * 2018-11-05 2020-05-07 Comcast Cable Communications, Llc Localized Multi-Factor Network Authentication
DE102019108049A1 (de) * 2019-03-28 2020-10-01 Pilz Gmbh & Co. Kg Zugriffssteuerungssystem zur Steuerung eines Zugriffs eines Nutzers auf eine oder mehrere Betriebsfunktionen einer technischen Anlage
CN113796111A (zh) 2019-05-09 2021-12-14 三星电子株式会社 在无线通信系统中提供移动边缘计算服务的装置和方法
US11696128B2 (en) * 2019-10-09 2023-07-04 Cisco Technology, Inc. Reducing authentication steps during Wi-Fi and 5G handover
US10750350B1 (en) 2019-12-16 2020-08-18 Cisco Technology, Inc. Techniques for decoupling authentication and subscription management from a home subscriber server
CN111885602B (zh) * 2020-07-27 2021-04-27 西南交通大学 一种面向异构网络的批量切换认证及密钥协商方法
US11819305B1 (en) 2020-10-05 2023-11-21 Trackonomy Systems, Inc. Method for determining direction of movement through gates and system thereof
CN112887981B (zh) * 2021-01-12 2022-10-04 国网电力科学研究院有限公司 一种电力无线专网终端接入的认证方法及系统
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication
CN114760626B (zh) * 2021-10-18 2024-04-02 西安电子科技大学 一种5g大规模终端的自适应组合认证方法
WO2023249519A1 (en) * 2022-06-20 2023-12-28 Telefonaktiebolaget Lm Ericsson (Publ) Providing an authentication token for authentication of a user device for a third-party application using an authentication server.

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072657B2 (en) * 2002-04-11 2006-07-04 Ntt Docomo, Inc. Method and associated apparatus for pre-authentication, preestablished virtual private network in heterogeneous access networks
KR100755394B1 (ko) * 2006-03-07 2007-09-04 한국전자통신연구원 Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
CN101411115B (zh) * 2006-03-31 2012-06-06 三星电子株式会社 用于在接入系统间切换期间优化验证过程的系统和方法
KR101490243B1 (ko) * 2007-07-10 2015-02-11 엘지전자 주식회사 이종망간 핸드오버시 빠른 보안연계 설정방법
PL2274933T3 (pl) 2008-05-09 2021-01-25 Telefonaktiebolaget Lm Ericsson (Publ) Sposób i urządzenia do bezprzerwowego przekazania pomiędzy siecią 3GPP a nie-3GPP
CN101594616B (zh) 2009-07-08 2012-05-23 华为终端有限公司 认证方法、服务器、用户设备及通信系统
US8385549B2 (en) * 2009-08-21 2013-02-26 Industrial Technology Research Institute Fast authentication between heterogeneous wireless networks
BR112012026136B1 (pt) 2010-04-15 2021-09-21 Qualcomm Incorporated Aparelho e método para sinalizar um contexto de segurança aprimorado para chaves de criptografia e integridade de sessão
CN102421097B (zh) 2010-09-27 2015-12-09 中国移动通信集团公司 一种用户认证方法、装置及系统
CN106131081A (zh) 2010-12-30 2016-11-16 交互数字专利控股公司 从应用服务器接入服务的方法及移动装置
WO2013165605A1 (en) 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
CN103609154B (zh) 2012-06-08 2017-08-04 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
US9655012B2 (en) 2012-12-21 2017-05-16 Qualcomm Incorporated Deriving a WLAN security context from a WWAN security context
TWI492656B (zh) 2012-12-25 2015-07-11 廣達電腦股份有限公司 無線存取點
CN103906056B (zh) 2012-12-26 2018-01-09 中国电信股份有限公司 混合组网下统一认证方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023080355A1 (ko) * 2021-11-02 2023-05-11 엘지전자 주식회사 무선 통신 시스템에서 단말 인증 방법 및 장치

Also Published As

Publication number Publication date
EP3469823A1 (en) 2019-04-17
SG10201605752PA (en) 2018-02-27
WO2018013052A1 (en) 2018-01-18
CN109076339A (zh) 2018-12-21
JP6732095B2 (ja) 2020-07-29
CN110049492B (zh) 2020-09-18
US10849191B2 (en) 2020-11-24
US20190149990A1 (en) 2019-05-16
CN110049492A (zh) 2019-07-23
EP3469823B1 (en) 2023-11-22
JP2019527504A (ja) 2019-09-26

Similar Documents

Publication Publication Date Title
US10849191B2 (en) Unified authentication for heterogeneous networks
US11212676B2 (en) User identity privacy protection in public wireless local access network, WLAN, access
US9240881B2 (en) Secure communications for computing devices utilizing proximity services
US8990925B2 (en) Security for a non-3GPP access to an evolved packet system
US10694376B2 (en) Network authentication method, network device, terminal device, and storage medium
US10902110B2 (en) Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
EP3175639B1 (en) Authentication during handover between two different wireless communications networks
CN107205208B (zh) 鉴权的方法、终端和服务器
US20150381611A1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US20210165885A1 (en) Extended Authentication Method And Apparatus For Generic Bootstrapping Architecture, And Storage Medium
US20220182822A1 (en) Methods and apparatus relating to authentication of a wireless device
US11316670B2 (en) Secure communications using network access identity
WO2007025484A1 (fr) Procede de negociation de mise a jour pour cle d'autorisation et dispositif associe
US20230007481A1 (en) Enhancement of authentication
WO2017009714A1 (en) Establishing a temporary subscription with isolated e-utran network
US20230108626A1 (en) Ue challenge to a network before authentication procedure
CN118303052A (en) Security configuration update in a communication network
Rani et al. Study on threats and improvements in LTE Authentication and Key Agreement Protocol

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application