KR20200000861A - 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법 - Google Patents

바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법 Download PDF

Info

Publication number
KR20200000861A
KR20200000861A KR1020180073051A KR20180073051A KR20200000861A KR 20200000861 A KR20200000861 A KR 20200000861A KR 1020180073051 A KR1020180073051 A KR 1020180073051A KR 20180073051 A KR20180073051 A KR 20180073051A KR 20200000861 A KR20200000861 A KR 20200000861A
Authority
KR
South Korea
Prior art keywords
key
value
binary cdma
mobile terminal
mutual authentication
Prior art date
Application number
KR1020180073051A
Other languages
English (en)
Inventor
조인성
Original Assignee
(주)나래컴즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나래컴즈 filed Critical (주)나래컴즈
Priority to KR1020180073051A priority Critical patent/KR20200000861A/ko
Publication of KR20200000861A publication Critical patent/KR20200000861A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 Binary CDMA 기술과 ARIA 기술이 접목된 무선 통신 보안 기술을 개시한다. 즉, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호한다.
또한, 본 발명은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있다.
또한, 본 발명은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지한다.

Description

바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법 { Binary CDMA Communication network security authentication system and its drive method}
본 발명은 바이너리 CDMA 기술과 ARIA 기술이 접목된 무선 통신 보안 기술에 관한 것으로, IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델이다. 특히, 바이너리 CDMA 통신망(ex : 바이너리 CDMA LAN)에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법에 관한 것이다.
Koinonia는 국내 독자 기술로 2009년 1월 국제 표준화 기구인 ISO/IEC JTC SC 6에서 표준으로 채택된 근거리 디지털 무선 통신 기술이다. Koinonia 시스템은 크게 물리 계층과 데이터 링크 계층으로 나뉘며, 데이터 링크 계층은 매체 접근(MAC) 부계층과 Adaptation 부계층으로 나뉜다. 매체 접근 부계층은 물리 계층인 바이너리 CDMA의 특성을 살려 코드와 시간 슬롯의 조합을 통해 매체접근을 하는 HMA(Hybrid Multiple Access) 방식을 사용한다.
Adaptation 부계층은 하위 프로토콜 스택과 상위의 다른 무선 표준의 프로토콜 스택을 호환해주는 역할을 한다. Koinonia 시스템은 잡음이 많은 무선 환경에서도 QoS를 보장하고, 다양한 디지털 기기들을 하나의 네트워크(Koinonia 네트워크)에 묶어 상호 운영을 가능하게 하며, 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특성을 가진다. 또한, Koinonia 시스템은 바이너리 CDMA 무선 구간의 암호화 서비스를 위해 ARIA와 AES를 모두 사용할 수 있도록 개발되고 있으므로 국내 기간망 및 공공기관에 사용할 수 있다.
바이너리 CDMA 기술은 WLAN이나 Bluetooth와 같은 다양한 무선 기술들의 혼재에 따른 주파수 배정 문제나 QoS(Quality of Service) 보장 문제를 해결하기 위해 제안된 무선 기술로써, 바이너리 CDMA 기술을 기반으로 한 Koinonia는 2009년 1월에 국제 표준화 기구 ISO/IEC JTC SC6에서 표준으로 채택된 시스템으로 기존의 여러 기술과의 상호 운영이 가능하고 잡음이 많은 무선 환경에서도 QoS를 보장하며 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특징이 있다.
최근에는 바이너리 CDMA 기술에 기반하여 무선 암호화 기술을 적용한 Guardian 기술이 개발 중에 있으나, 무선상에서 다양한 보안 위협들이 날로 늘어남으로 말미암아 개인 정보 또는 국가 기관의 중요한 정보가 유출되거나 혹은 장비 상의 심각한 손상을 초래하는 등 많은 피해가 발생하고 있는 문제점이 있다. 현재 널리 사용되고 있는 IEEE 802.11 WLAN의 경우, 보안이 강화된 IEEE 802.11i를 권고하고 있지만, 실제 환경에서는 비용이나 관리상의 문제로 기대하는 만큼의 보안을 제공하지 못하는 것이 현실이다.
이런 이유로 공공망이나 일부 조직에서는 제한적인 내장 보안 기능을 사용하거나, 혹은 전면 금지하는 경우가 많아졌을 뿐만 아니라 AES를 사용한 802.11i WLAN이 안전성을 보장한다 하더라도 공공망 설계시 공공 기관에 도입되는 암호 기술인 ARIA를 보안 제품에 탑재시키는 것이 의무화되어 있어 채택에 대한 정책적 문제점이 있다.
본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 앞서 본 종래 기술의 문제점을 해결하기 위해 안출된 것으로, 본 발명의 제 1 목적은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하기 위함이다.
또한, 본 발명의 제 2 목적은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있기 위함이다.
또한, 본 발명의 제 3 목적은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될 수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지한다.
상기의 과제를 달성하기 위한 본 발명은 다음과 같은 구성을 포함한다. 즉, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템은, 사용자 이동 단말기와 운영관리 서버 간을 서로 연결하는 중개 서버를 활용해 바이너리 CDMA 통신망 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템으로, 상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제 1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기; 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함한다.
또한, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은, 중개 서버가 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망으로 송출하는 제 1 단계; 사용자 이동 단말기가 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하는 제 2 단계; 운영관리 서버가 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1매칭되는 마스터 공유키를 호출하고 제 1 랜덤변수를 자체적으로 생성시키는 제 3 단계; 상기 운영관리 서버가 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 제 4 단계; 상기 중개 서버가 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하는 제 5 단계; 상기 사용자 이동 단말기가 상기 영구적 아이디로부터 파악되는 상기 마스터 공유키를 상기
제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 상기 제 1 상호인증 루틴 연산치 간의 일치 여부 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하는 제 6 단계; 상기 사용자 이동 단말기가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시키는 제 7 단계; 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽 보호 안정키를 생성시키는 제 8 단계; 상기 중개 서버가 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하는 제 9단계; 상기 사용자 이동 단말기가 상기 사용자측 암호화키와 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 제 10 단계; 및 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기운영관리 서버에 통보하는 제 11 단계를 포함한다.
향후 운용관리 서버의 개입을 최소화하기 위하여, 중개 서버는 사용자측 암호화 키 만으로 트래픽 보호 안정키를 계속 생성하면서 이동단말과의 재인증을 지속적으로 수행할 수 있다.
본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하는 제 1 효과를 준다.
또한, 본 발명은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있는 제 2 효과를 준다.
또한, 본 발명은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될 수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지하는 제 3 효과를 준다.
도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 3은 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 4는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.
도 5는 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다. 도 1를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델 중 하나인 바이너리 CDMA 통신망(400) 상에서 사용자 이동 단말기(100 : User Mobile Station)와 운영관리 서버(300 : Home Base Station) 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 상호인증 및 키일치 프로토콜(AKA Protocol : Authentication and Key Agreement Protocol)를 적용시키는 시스템이다.
즉, 본 발명은 사용자 이동 단말기(100)와 운영관리 서버(300) 간을 서로 연결하는 중개 서버(200 : Mediation Server)를 활용해 바이너리 CDMA 통신망(400) 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안인증 시스템(1000)이다.
또한, 본 발명은 사용자 이동 단말기(100)의 빈번한 이동성을 예측하는 핸드오버 시나리오와 빠른 핸드오버를 제공하기 위한 상호인증 및 키일치 프로토콜(AKA Protocol)를 적용시키는 시스템이다.
여기서, 본 발명에 적용되는 바이너리 CDMA 통신망(400) 상에 구성된 중개 서버(200)는 무선 공유기(RAP :Radio Access Point)를 이용한 네트워크 구조로, IEEE 802.11 WLAN과 유사한 형태이지만 물리적으로 취약한 무선 공유기들을 관리하고 빠른 핸드오버를 지원하기 위해 바이너리 CDMA 방문자 위치 등록기(BVLR : 바이너리CDMA Visitor Location Register)가 추가된 것이 특징이다.
본 발명의 중개 서버(200) 내 적용되는 상호인증 및 키일치 프로토콜(AKA Protocol)은 사용자 이동 단말기(100)내 기탑재된 바이너리 CDMA 신원확인 모듈(BSIM: 바이너리 CDMA Subscriber Identity Module)로부터 확인 가능한 프로토콜로써, 기기 인증보다는 사용자 인증 측면에서 좀 더 가깝게 접근한 것이 특징이다.즉, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 사용자 이동 단말기(100), 운영관리 서버(300) 및 중개 서버(200)를 포함한다.
먼저, 사용자 이동 단말기(100)는 개인신상 요청신호를 바이너리 CDMA 통신망(400)을 통해 수신함에 따라 기등
록된 영구적 아이디(PID : Permanent ID) 또는 임시적 아이디(TID : Temporary ID)를 중개 서버(200)로 전달하고, 중개 서버(200)는 수신한 PID나 TID로부터 PID를 운영관리 서버로 송신한다.
사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 난수 발생된 제 1 랜덤변수와 PID로부터 파악되는 마스터 공유키(MK)를 제 2 상호인증 함수(MAF2())에 대입함으로써 제 2 상호인증 루틴 연산치(MA-R2)를 생성시킨다.
사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 생성된 제 1 상호인증 루틴 연산치(MA-R1)와 제 2 상호인증 루틴 연산치(MA-R2) 간의 일치 여부를 서로 비교하여 일치시 중개 서버(200)의 통신 접속을 허용하고, 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨다.
사용자 이동 단말기(100)는 중개 서버로부터 제 1 키일치 세션치와 제 2 랜덤 변수를 수신한 후, 사용자측 암호화키(TK : Temporary Key)와 제 2 랜덤변수(Nonce2)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 2트래픽보호 안정키(SK2 : Session Key 2)를 생성시킨다.
또한, 사용자 이동 단말기(100)는 제 1 키일치 세션치와 자체 연산한 제 1' 키일치 세션치(KeyA1') 간의 일치여부를 비교 판단하는 제 1 검증을 실시하고, 서로 일치하는 제 1 검증의 성공시 제 2 트래픽보호 안정키(SK2) 및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.
다시 말해, 사용자 이동 단말기(100)는 제 1 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 중개 서버(200)에 의해 생성된 제 1 키일치 세션치(KeyA1)와, 기소지한 제 2 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 1' 키일치 세션치(KeyA1')를 비교하여 일치 여부를 확인한다.
즉, 제 1 키일치 세션치(KeyA2)와 제 1' 키일치 세션치(KeyA1')가 서로 일치될 경우에 한해, 사용자 이동 단말기(100)는 비로소 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.운영관리 서버(300)는 중개 서버(200)로부터 수신된 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)를 호출하고, 난수 생성시킨 제 1 랜덤변수(Nonce1)과 마스터 공유키(MK)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 각각 대입시켜 소정의 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 제 1 상호인증 루틴 연산치(MA-R1)를 각각 생성시킨다. 중개 서버(200)는 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망(400)으로 송출하고, 운영관리 서버(300)로부터 수신된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장하고, 운영관리 서버(300)로부터 수신한 제 1 랜덤변수와 제 1 상호인증 루틴 연산치(MA-R1)를 사용자 이동 단말기(100)에 전송한다.
중개 서버(200)는 바이너리 CDMA 통신망을 통해 수신된 상호인증 응답치(RES)와 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인함에 따라, 서로 일치시 자체적으로 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)와 사용자측 암호화키(TK)를 기설정된 제 2 키 유도함수(KDF2())에 적용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨다.
또한, 중개 서버(200)는 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 생성시킨 제1 키일치 세션치(KeyA1)와 제 2 랜덤변수(Nonce2)를 사용자 이동 단말기(100)에 전송한다.
중개 서버(200)는 사용자 이동 단말기(100)로부터 수신된 제 2 키일치 세션치(KeyA2)와 자체 연산한 제 2' 키일치 세션치(KeyA2') 간의 일치 여부를 비교 판단하는 제 2 검증을 실시하고, 서로 일치하는 제 2 검증의 성공시사용자 이동 단말기(100와 운영관리 서버(300) 간의 트래픽 교환에 관한 암호화적 정당성을 인정한다.
다시 말해, 중개 서버(200)는 사용자 이동 단말기(100)측에서의 제 2 트래픽보호 안정키(SK2) 및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2키일치 세션치(KeyA2)와, 기소지한 제 1 트래픽보호 안정키(SK1) 및 제 2 랜덤변수(Nonce2)와 제 1 트래픽보호안정키(SK1)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 2' 키일치 세션치(KeyA2')를 비교하여 일치 여부를 확인한다.
하여, 제 2 키일치 세션치(KeyA2)와 제 2' 키일치 세션치(KeyA2')가 서로 일치될 경우, 중개 서버(200)는 이에따른 결과로 사용자 이동 단말기(100)의 트래픽 교환에 관한 보안 인증을 허가하고 보안 인증을 허가함을 운영관리 서버(300)에 통보한다.
여기서, 사용자측 암호화키(TK)는 운영관리 서버 측(300) 또는 사용자 이동 단말기측(100)에서 각각 생성된 값으로 [수학식 1]에서 표시된 바와 같이, 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 키 유도 함수(KDF1())에 적용함에 따라 생성된 비밀키 값임에 유의한다.
1000: 바이너리 CDMA 통신망 상의 보안 인증 시스템
100 : 사용자 이동 단말기 400 : 바이너리 CDMA 통신망
200 : 중개 서버 300 : 운영관리 서버

Claims (14)

  1. 사용자 이동 단말기와 운영관리 서버 간을 서로 연결하는 중개 서버를 활용해 바이너리 CDMA 통신망 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템으로,상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제 1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기;
    상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기 설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  2. 제 1 항에 있어서, 상기 사용자측 암호화키는, 상기 마스터 공유키 및 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템
  3. 제 2 항에 있어서, 상기 제 1, 2 상호인증 루틴 연산치는, 상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용함에 따라 생성된 연산값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  4. 제 2 항에 있어서, 상기 제 1, 2 상호인증 루틴 연산치는, 상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용함에 따라 생성된 연산값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템
  5. 제 1 항에 있어서, 상기 상호인증 기대 요구치는, 상기 마스터 공유키와 더불어 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  6. 제 5 항에 있어서, 상기 상호인증 응답치는, 상기 마스터 공유키, 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  7. 제 1 항에 있어서, 상기 사용자 이동 단말기는, 상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 임시적 아이디를 상기 중개 서버에 전송하며 상기 사용자측 암호화키를 활용하여 제 4 트래픽보호 안정키를 생성시키며, 상기 중개 서버로부터 수신된 제 1 재인증키일치 세션치와 자체 연산한 제 1' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 3 검증의 성공을 확인한 후 상기 제 4 트래픽보호 안정키를 상기 키일치 함수에 대입하여 제 2 재인증 키일치 세션치를 생성시키는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  8. 제 8 항에 있어서, 상기 중개 서버는, 상기 임시적 아이디에 대한 참조와 상기 영구적 아이디에 대한 조회로 인지되는 상기 사용자측 암호화키를 활용하여 제 3 트래픽보호 안정키를 생성시키고, 상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용하여 제 1 재인증 키일치 세션치를 생성시킨 후, 상기 제 1 재인증 키일치 세션치와 제 3 랜덤변수를 상기 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송하며, 상기 사용자 이동 단말기로부터 수신된 상기 제 2 재인증 키일치 세션치와 자체 연산한 제 2' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 4 검증의 성공을 확인한 후 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가하는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  9. 제 9 항에 있어서, 상기 제 3, 4 트래픽보호 안정키는, 상기 사용자측 암호화키와 상기 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 상기 제 3 랜덤변수를 상기 제 2 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  10. 제 10 항에 있어서, 상기 제 1 재인증 키일치 세션치는, 상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값이며, 상기 제 1'재인증 키일치 세션치는,상기 제 4 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값인 것을 특징으로하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  11. 제 8 항에 있어서, 상기 사용자 이동 단말기가 상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 중개 서버에 기구비된 제 1 무선 공유기는 스위칭 온에서 오프상태로 변경되며, 상기 중개 서버에 기구비된 제 2 무선 공유기는 스위칭 오프에서 온상태로 변경되어 상기 바이너리 CDMA 통신망을 이용해 상기 제 1 재인증 키일치 세션치를 상기 사용자 이동 단말기에 전송하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  12. 제 1 항에 있어서, 상기 사용자 이동 단말기는, 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용하여 상기 상호인증 응답치를 생성시키
    며, 상기 사용자측 암호화키와 제 2 랜덤변수를 상기 제 2 키 유도 함수에 적용하여 상기 제 2 트래픽보호 안정키를 생성시킨 후, 상기 중개 서버로부터 수신된 제 1 키일치 세션치와 자체 연산한 제 1' 키일치 세션치 간의 일치 여부를 비교하여 서로 일치시, 상기 제 1 검증 성공을 확인함에 따라, 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 상기 제 2 키일치 세션치를 생성시키는 바이너리 CDMA 신원확인 모듈; 및 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신하며, 상기 영구적 아이디, 임시적 아이디 또는 제 2 키일치 세션치를 상기 중개 서버에 전송하는 모바일 단말기기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
  13. 제 1 항에 있어서, 상기 운영관리 서버는, 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출하고 난수를 발생시키는 상기 제 1 랜덤변수를 생성하는 인증 센터 기기; 및 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 적용하여 상기 사
    용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 각각 생성시키는 바이너리 CDMA 홈 위치 등록기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.

  14. 제 1 항에 있어서, 상기 중개 서버는, 상기 운영관리 서버로부터 입력된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하며, 상기 상호인증 응답치와 상호인증 기대 요구치 간의 일치 여부를 비교하여 서로 일치시 상기 제 1 트래픽보호 안정키를 생성시킨 후, 상기 제 1 트래픽보호 안정키를 키일치 함수에 적용하여 제 1 키일치 세션치를 생성시키며, 상기 제 2 키일치 세션치와 자체 연산한 제 2' 키일치 세션치 간의 일치 여부를 비교하여 서로 일치시 상기 제 2 검증 성공을 확인함에 따라, 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하는 바이너리 CDMA 방문자 위치 등록기; 및 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 비롯해 상기 제 1 키일치 세션치 및 제 2 랜덤변수를 상기 사용자 이동단말기에 전송하는 무선 공유기를 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
KR1020180073051A 2018-06-26 2018-06-26 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법 KR20200000861A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180073051A KR20200000861A (ko) 2018-06-26 2018-06-26 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180073051A KR20200000861A (ko) 2018-06-26 2018-06-26 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법

Publications (1)

Publication Number Publication Date
KR20200000861A true KR20200000861A (ko) 2020-01-06

Family

ID=69158796

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180073051A KR20200000861A (ko) 2018-06-26 2018-06-26 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법

Country Status (1)

Country Link
KR (1) KR20200000861A (ko)

Similar Documents

Publication Publication Date Title
US5689563A (en) Method and apparatus for efficient real-time authentication and encryption in a communication system
KR101038096B1 (ko) 바이너리 cdma에서 키 인증 방법
DK1348280T3 (en) Approval data communications
US8861730B2 (en) Arranging data ciphering in a wireless telecommunication system
US8397071B2 (en) Generation method and update method of authorization key for mobile communication
JP4615892B2 (ja) 通信システム内での認証の実行
JP4263384B2 (ja) ユーザ加入識別モジュールの認証についての改善された方法
KR101097709B1 (ko) 셀룰러 시스템과 연관된 보안값(들)에 기초하여 무선근거리 네트워크에 대한 액세스를 인증하는 방법
US20030120920A1 (en) Remote device authentication
KR100755394B1 (ko) Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법
JP4170912B2 (ja) ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用
US8600356B2 (en) Authentication in a roaming environment
CN1249587A (zh) 双方认证和密钥协定的方法
CN101406021A (zh) 基于sim的认证
JP2008547304A (ja) 無線携帯インターネットシステム用の認証キー識別子の割り当て方法
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
EP2418822A1 (en) Mobile station authentication
CN102685742B (zh) 一种wlan接入认证方法和装置
KR101018470B1 (ko) 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법
KR20200000861A (ko) 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법
KR100968522B1 (ko) 상호 인증 및 핸드오버 보안을 강화한 모바일 인증 방법
KR20180109037A (ko) 바이너리 cdma 통신망 상의 보안 인증 및 그 구동 체계
KR20100054191A (ko) 3지 네트워크에서 효율적인 인증 관리를 위한 개선된 3 지피피 - 에이케이에이 방법
WP USECA