KR100638590B1 - 휴대 인터넷 시스템에서의 단말 인증 방법 - Google Patents

휴대 인터넷 시스템에서의 단말 인증 방법 Download PDF

Info

Publication number
KR100638590B1
KR100638590B1 KR1020040088188A KR20040088188A KR100638590B1 KR 100638590 B1 KR100638590 B1 KR 100638590B1 KR 1020040088188 A KR1020040088188 A KR 1020040088188A KR 20040088188 A KR20040088188 A KR 20040088188A KR 100638590 B1 KR100638590 B1 KR 100638590B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
user
eap
internet system
Prior art date
Application number
KR1020040088188A
Other languages
English (en)
Other versions
KR20060039126A (ko
Inventor
임선화
정윤원
김영진
Original Assignee
한국전자통신연구원
에스케이 텔레콤주식회사
주식회사 케이티프리텔
삼성전자주식회사
하나로텔레콤 주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 에스케이 텔레콤주식회사, 주식회사 케이티프리텔, 삼성전자주식회사, 하나로텔레콤 주식회사, 주식회사 케이티 filed Critical 한국전자통신연구원
Priority to KR1020040088188A priority Critical patent/KR100638590B1/ko
Publication of KR20060039126A publication Critical patent/KR20060039126A/ko
Application granted granted Critical
Publication of KR100638590B1 publication Critical patent/KR100638590B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 휴대 인터넷 시스템의 단말 인증 방법에 관한 것이다.
휴대 인터넷 시스템에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 따라서 본 발명의 휴대 인터넷 시스템의 단말 인증 방법에 따르면, AAA(Authentication, Authorization and Accounting) 서버에서 EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하여 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득한 후, 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행한다.
휴대 인터넷 시스템, AAA, 인증, EAP, Diameter, RADIUS, AVP

Description

휴대 인터넷 시스템에서의 단말 인증 방법{AMETHOD FOR TERMINAL AUTHENTICATING IN PORTABLE INTERNET SYSTEM}
도 1은 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 구조를 나타내는 도면이다.
도 2a 내지 도 2c는 각각 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위해 사용되는 메시지 구조를 나타낸 도면이다.
도 3은 도 1에 도시된 AAA 서버에서 관리하고 있는 AT MAC 데이터베이스 구조를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 사용자 인증 시 단말 인증 과정을 나타낸 도면이다.
도 5는 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 AAA 서버의 단말 및 사용자 인증 동작을 나타낸 도면이다.
본 발명은 휴대 인터넷 시스템에 관한 것으로 특히, EAP 프레임워크를 기반으로 한 사용자 인증 시에 단말 인증도 수행하는 휴대 인터넷 시스템의 단말 인증 방법에 관한 것이다.
최근 들어 국내 초고속 인터넷 서비스와 이동통신 서비스 시장은 점차 포화 상태로 접어들고 있으며, 전 세계적으로는 3 세대 이동통신 서비스에 대한 상용화 연기로 인해 이동통신 시장의 침체가 지속되고 있다. 이러한 침체된 통신 시장 환경에서 저렴한 이용 요금으로 이동 중인 가입자에게 고속의 인터넷 접속을 제공하는 무선 인터넷 서비스는 새로운 시장 창출의 돌파구로 여겨지고 있다.
일반적으로 무선 인터넷 기술 방식은 크게 상용 무선 랜과 cdma 2000 1xEV-DO와 같은 셀룰라 기반 이동통신 및 앞으로 상용화될 휴대 인터넷으로 분류될 수 있다.
무선 랜은 고속 전송 속도로 인터넷 서비스가 가능하지만 이동성 및 서비스 영역에서 제약을 받고, 셀룰라 기반 이동통신은 광역의 서비스 영역 및 고속의 이동성은 지원하지만 전송 속도 및 사용 요금에서 제약을 받는다. 따라서, 기존의 무선 랜 및 셀룰라 기반 이동통신 시스템으로는 이동 중인 가입자에게 저렴한 요금으로 고속의 데이터 서비스를 제공할 수 없다.
반면, 휴대 인터넷은 무선 랜과 이동통신 기반 무선 인터넷의 중간에 위치해 두 서비스의 장점을 고루 갖춘 서비스로서 휴대용 무선 단말을 이용하여 언제 어디서나 정지 및 중 저속 이동 환경에서 2.3GHz 대역을 이용하여 50Mbps 기반의 영상 및 고속 패킷 데이터를 포함하는 다양한 무선 데이터 서비스를 제공할 수 있다. 이처럼, 휴대 인터넷은 광역의 서비스 영역, 고속의 전송 속도 및 이동성을 지원하기 때문에 차세대 통신 방식으로 각광을 받고 있다. 현재 휴대 인터넷은 다양한 표준 들이 제안되고 있으며, 현재 IEEE 802.16을 중심으로 휴대 인터넷의 국제 표준화가 진행되고 있다.
일반적으로 신뢰성 있는 무선 인터넷 서비스를 제공하기 위해서는 불법 단말의 서비스 사용을 막기 위한 단말 인증이 필요하다. 관련 기술로, 이동통신망에서의 불법단말 사용 방지 방법(한국공개특허 2002-69142호)이 있다. 이 기술에 따르면, HLR(Home Location Register)에서 불법 단말에 대한 정보를 관리하고, 해당 불법 단말을 통한 서비스를 제한하며, 해당 불법 단말에 대한 정보를 고객 센터로 전송하여 적절한 조치가 이루어지도록 한다.
한편, IEEE 802.16에서는 단말의 MAC(Medium Access Control) 주소를 identity로 갖는 디지털 인증서를 기반으로 한 단말 인증을 지원하고 있다. 이 때, 디지털 인증서 기반이므로 단말의 MAC 주소를 복제하기가 쉽지는 않지만 단말, 기지국 및 인증 서버 간에 디지털 인증서를 전송하기 위한 메시지 정의가 필요하다.
IEEE 802.16은 MAC 규격이기 때문에 단말과 기지국 간에만 디지털 인증서 전송을 위한 메시지가 정의되어 있을 뿐 기지국과 인증 서버 간에 디지털 인증서를 전송하기 위한 메시지 정의는 규격 범위 이상으로 간주하고 있다. 따라서 기지국과 인증 서버 간에 디지털 인증서 전송을 위한 새로운 메시지 정의가 필요하다.
한편, 휴대 인터넷 시스템에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 확장가능 인증프로토콜(Extensible Authentication Protocol 이하, ‘EAP’라 함) 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 그러나 현재 인증 프로토콜로써 많이 사용되고 있는 레디우스 (RADIUS)와 다이아미터(Diameter) 프로토콜에는 단말 인증을 위한 디지털 인증서를 전송할 수 있는 어트리뷰트(Attribute) 또는 에이브이피(AVP;Attribute-Value Pair)가 정의되어 있지 않다. 따라서 기존의 인증 프로토콜을 이용하면서 단말 인증을 할 수 있는 새로운 방법이 필요하다.
본 발명이 이루고자 하는 기술적 과제는 휴대 인터넷 시스템에서 사용자 인증 시에 단말 인증을 수행할 수 있는 방법을 제공하기 위한 것이다.
본 발명의 한 특징에 따르면, 휴대 인터넷 시스템에서 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버가 기지국에 무선 연결된 단말을 인증하는 방법이 제공된다. 이 방법은, a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하는 단계; b) 상기 단말 인증 요청 메시지로부터 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득하는 단계; 및 c) 상기 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행하는 단계를 포함한다. 이 때, 상기 인증 요청 메시지는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서가 실어지는 EAP 페이로드를 포함할 수 있다.
그리고 상기 인증 요청 메시지는, 상기 단말의 MAC 주소가 Calling-Station- Id AVP(Attribute-Value Pair)로 대치되고, 상기 EAP 페이로드가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치된 다이아미터 EAP 메시지일 수 있으며, 상기 인증 요청 메시지는 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나를 통해 전송될 수 있다.
또한 d) 상기 단계 c)에서 단말 인증 성공 시에 상기 EAP-Payload AVP에 따라 사용자 인증을 수행하는 단계를 더 포함할 수 있다. 상기 단말 인증 실패 시에 그 결과를 상기 단말로 전송하며, 이후의 사용자 인증을 수행하지 않을 수 있다.
본 발명의 다른 한 특징에 따르면, 휴대 인터넷 시스템에서 패킷 라우터 기능을 수행하는 PAR(Packet Access Router)가 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버로 기지국에 무선 연결된 단말에 대한 인증을 요청하는 방법이 제공된다. 이 방법은, a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 기지국―여기서, 기지국은 상기 단말과의 무선 링크 초기 접속 시에 상기 단말의 MAC(Medium Access Control) 주소를 전달받아 관리하고 있음―을 통해 상기 단말의 인증 요청 메시지를 수신하는 단계; b) 상기 인증 요청된 단말의 사용자 ID(identity) 및 상기 인증 요청할 단말의 인증 관련 데이터를 상기 기지국을 통해 상기 단말로 요청하여 수신하는 단계; 및 c) 상기 단말의 MAC 주소, 사용자 ID 및 인증 관련 데이터를 인증 프로토콜을 통해 상기 AAA 서버로 전송하여 상기 단말에 대한 인증을 요청하는 단계를 포함한다. 이 때, 상기 단계 c)에서, 상기 단말의 MAC 주소가 Calling-Station-Id AVP로 대치되고, 상기 인증 관련 데이터가 EAP-Payload AVP로 대치되 며, 상기 사용자 ID가 User-ID AVP로 대치되어 전송된다.
그리고 상기 단말과 상기 기지국 간 MAC 메시지를 통해 상기 무선 링크 초기 접속을 수행하며, 상기 단말이 상기 기지국으로 레인징(Ranging)을 요청하는 메시지에 상기 단말 MAC 주소를 실어 전송할 수 있다.
또한 상기 기지국과 상기 PAR 간 상기 EAP 기반의 단말 인증을 위한 인증 메시지를 통해 통신하며, 상기 기지국이 상기 PAR로 전송하는 첫 번째 인증 메시지에 상기 단말의 MAC 주소를 실어 전송할 수 있다. 이 때, 상기 PAR로부터 사용자 ID 요청 시에 상기 사용자 ID를 상기 인증 메시지의 EAP 페이로드에 실어 전송할 수 있다.
또한 상기 무선 링크 초기 접속 시 인증 모드 설정을 위한 기본 능력을 협상하며, 상기 인증 메시지의 EAP 페이로드에 상기 설정된 인증 모드의 인증 관련 데이터가 포함될 수 있다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였다. 명세서 전체를 통하여 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.
이제 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 단말 인증 방법에 대하여 도면을 참고로 하여 상세하게 설명한다.
먼저, 본 발명이 적용되는 휴대 인터넷 시스템에 대해서 도 1을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 구조를 나타내는 도면이다.
도 1에 나타낸 바와 같이, 본 발명의 실시 예에 따른 휴대 인터넷 시스템(100)은 단말(Access Terminal; 이하 ‘AT’라 함)(110), 기지국(Access Point; 이하 ‘AP’라 함)(120) 및 패킷 접속 라우터(Packet Access Router; 이하 ‘PAR’라 함)(130), AAA(Authentication, Authorization and Accounting; 이하 ‘AAA’라 함) 서버(140) 및 홈 에이전트(Home Agent; 이하 ‘HA’라 함)(150)를 포함한다.
AT(110)는 휴대 인터넷 단말로, 2.3GHz 대역 주파수에서 휴대 인터넷 시스템의 무선 접속 규격에 따른 무선 채널 송수신 기능과 MAC 프로토콜 처리 기능 등을 수행하여 AP(120)에 접속하여 고속 패킷 데이터를 송수신한다.
AP(120)는 AT(110) 사이에서 초기 접속 및 섹터간 핸드오버 제어 기능, QoS(quality of service) 제어 기능을 수행한다. 또한 AP(120)는 AT(110)로부터 무선 신호를 수신하여 PAR(130)로 전달하거나 반대로 PAR(130)로부터 수신되는 각종 정보들을 무선 신호로 변환하여 AT(110)로 전달하는 기능을 수행한다.
PAR(130)는 다수의 AP(120)와 IP 기반 유선으로 접속하여 인터넷망을 구성하는 IP 기반 핵심망으로 접속하고, 인증, MIP(Mobile IP), AP간 핸드오버 및 PAR간 핸드오버 제어 기능 및 QoS 제어 기능을 수행한다. 그리고 PAR(130)과 AP(120) 사이에서는 내부프로토콜인 ANAP(Access Network Application Protocol)를 사용한다.
AAA 서버(140)는 PAR(130)와 인터넷망을 통해 접속되어 AT(110)에 대한 인증 및 AT(110)의 MAC 인증 및 사용자에 대한 인증, 서비스 권한 검증, 인증키 생성 및 과금 기능을 수행한다. 그리고 AAA 서버(140)에서는 국제표준기관인 IETF(Internet Engineer Task Force)에서 표준화 진행중인 다이아미터(Diameter) 프로토콜을 사용한다. 다이아미터 프로토콜은 서버간 연동에 의한 인증, 권한검증 및 과금 정보 전송을 가능하게 한다. 이러한 AAA 서버(140)는 AT MAC 데이터베이스(142)를 포함하고 있으며, 단말 인증을 위해 사용자 ID와 AT MAC 주소를 관리한다.
HA(150)는 PAR(130)와 인터넷망을 통해 접속되어 MIP 서비스 기능을 수행한다.
종래의 IEEE 802.11과 같은 무선 랜 방식은 고정된 AP를 중심으로 근거리내에서 무선 통신이 가능한 데이터 통신 방식을 제공하고 있으나, 이는 AT의 이동성을 제공하는 것이 아니고 단지 유선이 아닌 무선으로 근거리 데이터 통신을 지원한다는 한계를 가지고 있었다.
한편, IEEE 802.16에서 추진중인 도 1에 도시된 휴대 인터넷 시스템(100)은 AAA 서버(140)를 통하여 타 인터넷망과 연동할 수 있고, 동일 망에 한 개 이상의 PAR(130)를 구성할 수도 있다. 또한 하나의 PAR(130) 산하에 한 개 이상의 AP(120)를 구성할 수 있으며, 하나의 AP(120)에 다수의 AT(110)가 연결되어 서비스를 제공받을 수 있다. 그리고 AT(110)가 AP(120)를 관장하는 셀에서 새로운 셀로 이동한 경우에도 기존 셀에서 제공되는 서비스를 제공받을 수도 있다.
앞서 설명한 것처럼 이러한 휴대 인터넷 시스템(100)에서는 향후 서로 다른 사업자 망 간에 연동을 지원할 수 있도록 하기 위해 EAP 프레임워크를 기반으로 한 사용자 인증을 디폴트로 정의하고 있다. 따라서 본 발명의 실시 예에 따르면, 사용자 인증을 수행하는 동시에 단말 인증이 수행된다.
EAP 프레임워크는 EAP 프로토콜 메시지, AT(110), AP(120), PAR(130) 및 AAA 서버(140) 간의 통신을 처리한다. 새로운 인증 유형인 EAP는 임의의 PPP(Point-to-Point Protocol) 연결을 통하여 다양한 인증 방식을 전달하는 기능과 관련된 IETF(Internet Engineering Task Force) RFC 표준이다.
다음으로 도 2a 내지 도 2c를 참고로 하여 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위한 메시지 구조에 대해서 상세하게 설명한다.
도 2a 내지 도 2c는 각각 AT와 AP, AP와 PAR 및 PAR와 AAA 서버 간 AT MAC 주소를 전송하기 위해 사용되는 메시지 구조를 나타낸 도면이다.
도 2a에 나타낸 바와 같이, AT(110)와 AP(120) 간 무선 구간에서 전송되는 MAC 메시지(이하, ‘RNG-REQ 메시지’라 함)에는 MAC 헤더, 관리 메시지 유형, MAC 주소 및 CRC(cyclic redundancy check) 파라미터가 포함되며, 본 발명의 실시 예에 따르면, 휴대 인터넷 시스템(100)에서 AT(110)와 AP(120)간 무선 링크 초기 접속 시에 MAC 주소 파라미터에 AT MAC 주소를 실어 AP(120)로 전송한다.
다음, 도 2b에 나타낸 바와 같이, AP(120)와 PAR(130) 간에 전송되는 메시지(이하, ‘ADTcmd 메시지’라 함)에는 메시지 ID, AT MAC 주소 및 EAP 페이로드 파라미터가 포함되며, 본 발명의 실시 예에 따르면, 인증 시작 시에 AP(120)가 첫 ADTcmd 메시지의 AT MAC 주소 파라미터에 AT MAC 주소를 실어 PAR(130)에게 전송한 다. 여기서, ADTcmd 메시지는 AP(120)와 PAR(130) 사이에서 인증 메시지를 전송하기 위해 휴대 인터넷 시스템(100)에서 정의한 내부 프로토콜인 ANAP(Access Network Application Protocol) 프로토콜 메시지 중 하나이다.
그리고 도 2c에 나타낸 바와 같이, PAR(130)와 AAA 서버(140) 간에 전송되는 메시지(이하, ‘DER(Diameter-EAP-Request) 메시지’라 함)에는 다이아미터 헤더, Calling-Station-Id AVP(Attribute/Value Pair) 및 EAP Payload AVP 파라미터가 포함되며, AT MAC 주소를 Calling-Station-Id AVP에 실어 AAA 서버(140)로 전송한다.
도 3은 도 1에 도시된 AAA 서버에서 관리하고 있는 AT MAC 데이터베이스 구조를 나타낸 도면이다.
도 3에 나타낸 바와 같이, AT MAC 데이터베이스(142)는 사용자 ID(User ID)(142-1) 및 AT MAC 주소(142-2)를 포함한다. 사용자는 다수의 단말을 사용할 수 있으며, 사용자 ID와 AT MAC 주소는 1 대 N의 관계로 매핑된다. 그리고 사용자 ID는 NAI(Network Access Identifier) 포맷을 갖는다.
다음, 도 4를 참고로 하여 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 단말 인증 방법에 대해서 상세하게 설명한다.
도 4는 본 발명의 실시 예에 따른 휴대 인터넷 시스템의 사용자 인증 시 단말 인증 과정을 나타낸 도면이다.
도 4에 나타낸 바와 같이, 먼저, AT(110)와 AP(120) 간에 휴대 인터넷 시스템(100)의 MAC 규격에 따라 무선 링크 접속 과정이 수행된다(S400). 좀 더 구체적으로 설명하면, AT(110)가 AP(120)에 진입하면, 우선 기지국은 AT(110)와 하향링크 동기를 설정한다. 이와 같이, AP(120)에서 하향링크 동기가 설정되면 AT(110)는 상향링크 파라미터를 획득하게 된다. 그 후, AT(110)는 RNG-REQ(ranging-request) MAC 메시지를 AP(120)로 전송하여 AP(120)와 레인징 절차를 수행한다(S402). 여기서, 레인징은 AT(110)와 AP(120) 간의 타이밍, 전력, 주파수 정보를 정정하여 일치시키는 것으로서, 최초에 초기 레인징(initial ranging)을 수행하고, 이후 주기적 레인징(periodic ranging)을 수행하게 된다. 이 때, 앞서 설명한 것처럼 AT(110)는 RNG-REQ 메시지의 MAC 주소 파라미터에 AT MAC 주소를 포함하여 AP(120)로 전송한다. 그리고 나서 이를 수신한 AP(120)는 단말 인증을 위해 AT MAC 주소를 AT MAC 데이터베이스(142)에 저장하고 관리한다(S404).
레인징 절차가 완료되면, AT(110)와 AP(120) 사이의 연결 설정을 위해 AT(110)는 단말 기본 기능 요청(Subscriber Station Basic Capablity Negotiation-Request, 이하, ‘SBC REQ’라고 함) 메시지를 전송하여 단말 기본 기능에 관한 협상을 요청하고, AP(120)로부터 단말 기본 기능 응답(SBC-Response, 이하, ‘SBC RSP’라고 함) 메시지를 수신하여 단말 기본 기능에 관한 협상이 수행된다(S406). 이 때, AT(110)와 AP(120) 사이의 인증 메커니즘과 암호 알고리즘에 협상 정보가 교환되고 협상된다. 본 발명의 실시 예에 따르면, 불법 단말의 무선 인터넷 서비스 사용을 막기 위해 EAP 프레임워크를 기반으로 사용자 인증을 수행하며, 사용자 인증을 수행하면서 단말 인증을 수행하여 불법 단말인 경우 사용자 인증 절차를 수행하지 않고 휴대 인터넷 서비스를 차단시킨다. 이 때, EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서를 통해 사용자 인증을 수행한다.
이와 같이 무선 링크 접속이 성공적으로 수행되면, AT(110)는 인증 시작을 PAR(130)에게 알리기 위해 EAP-Transfer-Request MAC 메시지에 EAP start 페이로드를 실어 AP(120)로 전송하고(S408), AP(120)는 AT MAC 주소와 EAP start 페이로드를 ADTcmd 메시지에 실어 ANAP 프로토콜을 통해 PAR(130)로 전송한다(S410).
PAR(130)는 AT MAC 주소를 관리하며(S412) AT 사용자의 식별자(identity, 이하 ‘ID’라 함)를 얻기 위해 EAP Request/Identity를 ADTcmd 메시지에 실어 AP(120)로 전송한다(S414). 그러면 AP(120)는 다시 EAP Request/Identity를 포함한 EAP 페이로드를 EAP-Transfer-Reply 메시지에 실어 AT(110)로 전송함으로써 인증 시작에 대한 응답을 수행한다(S416).
그리고 AT(110)는 AT 사용자 ID 요청에 대해 AT 사용자 ID를 포함한 EAP Response/Identity를 EAP-Transfer-Request 메시지에 실어 AP(120)로 전송하고(S418), AP(120)는 다시 EAP Response/Identity를 포함한 EAP 페이로드를 ADTcmd 메시지에 실어 PAR(130)로 전달한다(S420). 즉, 최초의 EAP-Request/Identity 메시지를 포함한 ADTcmd 메시지의 응답인 EAP-Response/Identity 메시지를 포함한 ADTcmd 메시지는 사용자의 ID를 전송한다.
한편, 상술한 단계(S418-S420) 외에 AT(110)와 PAR(130) 간에는 사용자 인증을 위해 EAP-TLS 기반의 사용자 인증 관련 데이터가 송수신된다.
PAR(130)는 AT MAC 주소를 Calling-Station-Id AVP로 대치하고, EAP Response/Identity를 포함한 EAP 페이로드를 EAP-Payload AVP로 대치하고, 사용자 ID를 User-Name AVP로 대치한 후 다이아미터 요청(Diameter-EAP-Request, 이하 ‘DER’라 함) 메시지를 만들어 AAA 서버(140)로 전송한다(S422).
AAA 서버(140)에서는 단말 인증을 위해 관리하고 있는 AT MAC 데이터베이스(142)에서 사용자 ID와 이 사용자가 사용할 수 있는 AT MAC 주소가 있는지 검색한다(S424). 이 때, AT MAC 데이터베이스(142)에 사용자 ID에 해당하는 AT MAC 주소가 없는 경우에는 단말 인증이 실패한 것으로 간주하며(S426), 단말 인증이 실패하게 되면 그 후의 사용자 인증 처리는 수행되지 않는다.
또한 단말 인증 실패 시에 AAA 서버(140)는 다이아미터 응답(Diameter-EAP-Answer, 이하 ‘DEA’라 함) 메시지에 단말 인증 결과를 실어 PAR(130)로 전송하고(S428), PAR(130)는 AP(120)에게 ADTcmd 메시지에 단말 인증 결과를 실어 전송한다(S430). 그리고 AP(120)는 EAP-Transfer-Reply 메시지에 단말 인증 결과를 실어 AT(110)로 전송한다(S432). 구체적으로, AAA 서버(140)는 DEA 메시지의 Result-Code AVP에 DIAMETER_AUTHENTICATION_REJECTED로 해서 PAR(130)에게 전송할 수 있으며(S428), PAR(130)는 ADTcmd 메시지의 resultcode 파라미터 및 reasoncode 파라미터에 각각 FAIL 및 AUTHENTICATION_REJECTED 값으로 세팅해서 AP(120)로 전송할 수 있다(S430). 또한 AP(120)는 EAP-Transfer-Reply 메시지의 EAP Result Code에 FAIL 값으로 셋팅한 후 AT(110)로 전송할 수 있다(S432).
반면, AT MAC 주소 데이터베이스(142)에 사용자 ID에 해당하는 AT MAC 주소가 있는 경우에는 단말 인증이 성공한 것으로 간주하며(S426), 단말 인증이 성공하게 되면 사용자 인증을 위해 AAA 서버(140)는 EAP-Payload AVP에 따라 EAP 인증을 수행한다(S434). 본 발명의 실시 예에서는 EAP 프레임워크에서 사용할 수 있는 여러 프로토콜 중 EAP-TLS(Extensible Authentication Protocol-Transport Level Security) 프로토콜을 사용하여 사용자 인증을 수행하는 것으로 도시하였다. EAP-TLS를 사용하는 인증 시스템에서는 사용자의 인증서를 발급해준 CA(Certificate Authority) 인증서를 이용하여 사용자 인증을 수행한다. 이 때, AT(110), AP(120), PAR(130) 및 AAA 서버(140) 간에 사용자 인증을 위해 여러 번의 EAP-Transfer-Request/Reply MAC 메시지, ADTcmd 메시지 및 DER/DEA 메시지를 주고 받는다. 본 발명에서는 EAP-TLS 프로토콜을 사용하는 사용자 인증에 대해서는 이미 잘 알려져 있으므로 상세한 설명은 생략한다.
다음, 휴대 인터넷 시스템의 AAA 서버에서 수행하는 단말 및 사용자 인증 처리 과정에 대해서 도 5를 참고로 하여 상세하게 설명한다.
도 5는 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 AAA 서버의 단말 및 사용자 인증 동작을 나타낸 도면이다. 아래에서는 AAA 서버(140)가 관리하는 AT MAC 데이터베이스(142)에는 사용자 ID 및 MAC 주소가 등록되어 있는 것으로 가정하고 설명한다.
도 5에 나타낸 바와 같이, AAA 서버(140)는 PAR(130)로부터 DER 메시지를 수신하면(S500), DER 메시지의 EAP-Payload AVP에 있는 내용이 EAP Response/Identity 메시지인지를 분석한다(S510). 이 때, EAP Response/Identity 메시지인 경우에는 DER 메시지에서 User-Name AVP 및 Calling-Station-Id AVP로부터 사용자 ID 및 AT MAC 주소를 획득한다(S520). 그리고 나서 AAA 서버(140)는 AT MAC 데이터베이스(142)에 사용자 ID에 해당하는 AT MAC 주소가 존재하는지 검색한다(S530). 이 때, AT MAC 데이터베이스에 AT MAC 주소가 존재하면 단말 인증이 성공한 것이며 그 후에 사용자 인증을 수행한다(S540). 반면, AT MAC 데이터베이스에 AT MAC 주소가 존재하지 않으면 단말 인증이 실패한 것이며 PAR(130)에게 불법 단말임을 통보하기 위해 DEA 메시지를 생성한 후 전송한다(S550).
한편, DER 메시지의 EAP-Payload AVP에 있는 내용이 EAP Response/Identity 메시지가 아닌 경우에는 단말 인증이 성공한 후 사용자 인증을 위한 EAP-TLS 메시지이기 때문에 사용자 인증을 수행한다(S540).
이상의 실시 예들은 본원 발명을 설명하기 위한 것으로, 본원 발명의 범위는 실시 예들에 한정되지 아니하며, 첨부된 청구 범위에 의거하여 정의되는 본원 발명의 범주 내에서 당업자들에 의하여 변형 또는 수정될 수 있다.
본 발명에 의하면, 휴대 인터넷 시스템에서 EAP 프레임워크 기반으로 한 사용자 인증 시 단말 인증을 함으로써, 기존의 인증 프로토콜인 레디우스(RADIUS)와 다이아미터(Diameter)에 어트리뷰트(Attribute) 또는 에이브이피(AVP;Attribute-Value Pair)를 추가할 필요가 없어진다. 그리고 EAP 프레임워크 기반 하에 사용자 및 단말 인증이 이루어짐으로써 서로 다른 서비스 사업자 망간 연동이 용이해진다.
또한 적법한 단말인지를 먼저 확인한 후 사용자 인증을 수행하기 때문에 불법 단말로 인한 인증 처리 시간을 줄일 수 있다.

Claims (15)

  1. 휴대 인터넷 시스템에서 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버가 기지국에 무선 연결된 단말을 인증하는 방법에 있어서,
    a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 단말에 대한 인증 요청 메시지―인증 요청 메시지에는 단말 MAC(Medium Access Control) 주소 및 사용자 ID(identity)가 포함되어 있음―를 수신하는 단계;
    b) 상기 단말 인증 요청 메시지로부터 인증 요청된 단말의 사용자 ID 및 단말의 MAC 주소를 획득하는 단계; 및
    c) 상기 사용자 ID에 해당하는 상기 단말의 MAC 주소를 검색하여 단말 인증을 수행하는 단계
    를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  2. 제1항에 있어서,
    상기 인증 요청 메시지는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서가 실어지는 EAP 페이로드를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  3. 제2항에 있어서,
    상기 인증 요청 메시지는,
    상기 단말의 MAC 주소가 Calling-Station-Id AVP(Attribute-Value Pair)로 대치되고, 상기 EAP 페이로드가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치된 다이아미터 EAP 메시지인 휴대 인터넷 시스템에서의 단말 인증 방법.
  4. 제3항에 있어서,
    d) 상기 단계 c)에서 단말 인증 성공 시에 상기 EAP-Payload AVP에 따라 사용자 인증을 수행하는 단계
    를 더 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 단말 인증 실패 시에 그 결과를 상기 단말로 전송하며, 이후의 사용자 인증을 수행하지 않는 휴대 인터넷 시스템에서의 단말 인증 방법.
  6. 제5항에 있어서,
    상기 인증 요청 메시지는 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나를 통해 전송되는 휴대 인터넷 시스템에서의 단말 인증 방법.
  7. 휴대 인터넷 시스템에서 패킷 라우터 기능을 수행하는 PAR(Packet Access Router)가 인증을 수행하는 AAA(Authentication, Authorization and Accounting) 서버로 기지국에 무선 연결된 단말에 대한 인증을 요청하는 방법에 있어서,
    a) EAP(Extensible Authentication Protocol) 프레임워크를 기반으로 한 사용자 인증 시에 상기 기지국―여기서, 기지국은 상기 단말과의 무선 링크 초기 접속 시에 상기 단말의 MAC(Medium Access Control) 주소를 전달받아 관리하고 있음―을 통해 상기 단말의 인증 요청 메시지를 수신하는 단계;
    b) 상기 인증 요청된 단말의 사용자 ID(identity) 및 상기 인증 요청할 단말의 인증 관련 데이터를 상기 기지국을 통해 상기 단말로 요청하여 수신하는 단계; 및
    c) 상기 단말의 MAC 주소, 사용자 ID 및 인증 관련 데이터를 인증 프로토콜을 통해 상기 AAA 서버로 전송하여 상기 단말에 대한 인증을 요청하는 단계
    를 포함하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  8. 제7항에 있어서,
    상기 단계 c)에서,
    상기 단말의 MAC 주소가 Calling-Station-Id AVP로 대치되고, 상기 인증 관련 데이터가 EAP-Payload AVP로 대치되며, 상기 사용자 ID가 User-ID AVP로 대치되어 전송되는 휴대 인터넷 시스템에서의 단말 인증 방법.
  9. 제8항에 있어서,
    상기 EAP-Payload AVP에는 EAP-TLS 기반의 사용자 인증 관련 데이터가 포함되어 있는 휴대 인터넷 시스템에서의 단말 인증 방법.
  10. 제9항에 있어서,
    상기 인증 프로토콜은 레디우스(RADIUS) 프로토콜 또는 다이아미터(DIAMETER) 프로토콜 중 적어도 하나인 휴대 인터넷 시스템에서의 단말 인증 방법.
  11. 제7항 내지 제10항 중 어느 한 항에 있어서,
    상기 단말과 상기 기지국 간 MAC 메시지를 통해 상기 무선 링크 초기 접속을 수행하며, 상기 단말이 상기 기지국으로 레인징(Ranging)을 요청하는 메시지에 상기 단말 MAC 주소를 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  12. 제11항에 있어서,
    상기 기지국과 상기 PAR 간 상기 EAP 기반의 단말 인증을 위한 인증 메시지를 통해 통신하며,
    상기 기지국이 상기 PAR로 전송하는 첫 번째 인증 메시지에 상기 단말의 MAC 주소를 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  13. 제12항에 있어서,
    상기 PAR로부터 사용자 ID 요청 시에 상기 사용자 ID를 상기 인증 메시지의 EAP 페이로드에 실어 전송하는 휴대 인터넷 시스템에서의 단말 인증 방법.
  14. 제12항에 있어서,
    상기 무선 링크 초기 접속 시 인증 모드 설정을 위한 기본 능력을 협상하며,
    상기 인증 메시지의 EAP 페이로드에 상기 설정된 인증 모드의 인증 관련 데이터가 포함되는 휴대 인터넷 시스템에서의 단말 인증 방법.
  15. 제14항에 있어서,
    상기 인증 관련 데이터는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security) 기반의 인증서인 휴대 인터넷 시스템에서의 단말 인증 방법.
KR1020040088188A 2004-11-02 2004-11-02 휴대 인터넷 시스템에서의 단말 인증 방법 KR100638590B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040088188A KR100638590B1 (ko) 2004-11-02 2004-11-02 휴대 인터넷 시스템에서의 단말 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040088188A KR100638590B1 (ko) 2004-11-02 2004-11-02 휴대 인터넷 시스템에서의 단말 인증 방법

Publications (2)

Publication Number Publication Date
KR20060039126A KR20060039126A (ko) 2006-05-08
KR100638590B1 true KR100638590B1 (ko) 2006-10-26

Family

ID=37146458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040088188A KR100638590B1 (ko) 2004-11-02 2004-11-02 휴대 인터넷 시스템에서의 단말 인증 방법

Country Status (1)

Country Link
KR (1) KR100638590B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100970207B1 (ko) 2008-06-16 2010-07-16 주식회사 케이티 이동 통신 서비스의 인증 시스템 및 그 인증 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101390895B1 (ko) * 2007-10-17 2014-04-30 삼성전자주식회사 무선 통신 시스템 인증 모드 설정 방법 및 그 시스템
KR101025083B1 (ko) * 2008-12-22 2011-03-25 주식회사 케이티 확장가능 인증 프로토콜에서의 인증함수 식별 방법
SG176293A1 (en) 2009-06-04 2012-01-30 Research In Motion Ltd Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100970207B1 (ko) 2008-06-16 2010-07-16 주식회사 케이티 이동 통신 서비스의 인증 시스템 및 그 인증 방법

Also Published As

Publication number Publication date
KR20060039126A (ko) 2006-05-08

Similar Documents

Publication Publication Date Title
US8549293B2 (en) Method of establishing fast security association for handover between heterogeneous radio access networks
EP1884137B1 (en) Mechanism to enable discovery of link/network features in wlan networks
US8731194B2 (en) Method of establishing security association in inter-rat handover
US7962123B1 (en) Authentication of access terminals in a cellular communication network
AU2003290841B2 (en) A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure
US9167427B2 (en) Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US8037305B2 (en) Securing multiple links and paths in a wireless mesh network including rapid roaming
EP1465385B1 (en) Method for common authentication and authorization across disparate networks
US7499547B2 (en) Security authentication and key management within an infrastructure based wireless multi-hop network
JP4723158B2 (ja) パケット・データ・ネットワークにおける認証方法
CN101843145B (zh) 用于建立连接时的分组数据网络网关的重新选择的***和方法
US8417219B2 (en) Pre-authentication method for inter-rat handover
WO2010130191A1 (zh) 一种切换接入网的认证方法、***和装置
KR100711313B1 (ko) 이동통신과 휴대인터넷간의 망 연동 방법
KR100638590B1 (ko) 휴대 인터넷 시스템에서의 단말 인증 방법
KR100668660B1 (ko) 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터
KR100623292B1 (ko) 휴대 인터넷망에서 씨디엠에이 2000 망으로의 핸드오프 방법
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
GB2417856A (en) Wireless LAN Cellular Gateways
Lim et al. Design and performance analysis of authentication scheme for interworking between High-speed Portable Internet (HPi) system and Wireless Local Area Networks (WLANs)
WO2008101446A1 (en) Method and system for wimax foreign agent relocation with authorization token

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120919

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130916

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140919

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee