KR100961797B1

KR100961797B1 - 통신 시스템에서의 인증

Info

Publication number: KR100961797B1
Application number: KR1020047020769A
Authority: KR
Inventors: 레이몬드 티. 휴
Original assignee: 콸콤 인코포레이티드
Priority date: 2002-06-20
Filing date: 2003-06-20
Publication date: 2010-06-08
Also published as: TW200421807A; JP2011141877A; CA2489839A1; WO2004001985A2; US20050090232A1; JP5199405B2; RU2326429C2; TWI315625B; HK1085027A1; EP1535183A4; US20030236980A1; AU2003247574A1; JP2005530457A; CN100390773C; US7197763B2; RU2005101215A; KR20050010959A; BR0311951A; WO2004001985A3; EP1535183A2

Abstract

본 발명은 확장 가능 인증 프로토콜(EAP) 포맷으로 셀룰러 인증 음성 암호(CAVE) 메시지를 제공하기 위한 방법 및 장치를 제공한다. CAVE 메시지들은 EAP 전송 메커니즘을 통해 전송된다. 이동국(MS)은 다른 기술들에 공통 인증 메커니즘을 사용할 수 있다.

Description

통신 시스템에서의 인증{AUTHENTICATION IN A COMMUNICATION SYSTEM}

본 발명은 통신 시스템에서의 인증에 관한 것으로서, 더 상세히 말하면, 음성 및 데이터 통신 양쪽 모두를 위한 셀룰러 인증 음성 암호화(CAVE : Cellular Authentication Voice Encryption)와 같은 공통 포맷을 사용하는 공통 인증 및 세션 키 배포를 위한 메커니즘에 관한 것이다.

다양한 음성 및 데이터 서비스들을 제공하기 위해 통신 시스템들 및 인프라구조들은 확장하기 때문에, 여러 프로토콜 및 인증 절차들이 추가적인 복잡성, 추가적인 자원들의 사용 및 셋업 시의 시간 지연을 초래한다. 셀룰러 전화 시스템들을 위한 공통 인증 메커니즘은 셀룰러 인증 음성 암호화 즉 "CAVE"로 지칭된다. 인증 및 키 협약, 즉 "AKA(Authentication and Key Agreement)"로 지칭되는 메커니즘과 같은 다른 인증을 위한 메커니즘들이 데이터 시스템들에서 구현된다. 통신 시스템들이 다른 서비스들을 포함하도록 확장될 경우에는, 사용되는 다수의 인증 절차들이 있을 수도 있다.

따라서 인증 및 셋업을 위한 공통 포맷을 제공하는 것이 해당 분야에서 요구된다.

도 1은 CAVE(Cellular Authentication Voice Encryption) 알고리즘을 제공하기 위해 확장 가능한 인증 프로토콜(EAP)의 확장에 대한 구조를 나타낸다.

도 2는 통신 시스템을 나타낸다.

도 3은 통신 시스템에서 인증 처리의 타이밍도를 나타낸다.

도 4A 및 도 4B는 EAP 포맷의 필드들을 나타낸다.

도 5A 및 도 5B는 EAP 포맷이 CAVE 알고리즘을 제공하는 시스템에서 인증 처리의 예들을 나타낸다.

도 6은 인증기에서의 인증 처리에 대한 흐름도를 나타낸다.

도 7은 이동국에서의 인증 처리에 대한 흐름도를 나타낸다.

도 8은 CAVE 알고리즘을 제공하는 확장된 EAP 포맷을 제공하고 있는 무선 장치를 나타낸다.

본 명세서에서 "예시적인"이란 단어는 "일례, 인스턴스, 또는 예시로서 제공한다는 것"을 의미하도록 사용된다. 본 명세서에서 "예시적인 것"으로서 설명되는 임의의 실시예는 다른 실시예들에 비해 바람직하거나 유리한 것으로서 해석될 필요는 없다.

액세스 단말기(AT)로 지칭되는 HDR 가입자국은 이동할 수도 있고 고정될 수도 있으며, 본 명세서에서 모뎀 풀 트랜시버(MPT)로 지칭되는 하나 이상의 HDR 기지국들과 통신할 수 있다. 액세스 단말기는 하나 이상의 모뎀 풀 트랜시버들을 통해서 데이터 패킷을 수신하고 또한 그것을 통해서 본 명세서에서 모뎀 풀 제어기(MPC)로 지칭되는 HDR 기지국 제어기에 상기 데이터 패킷을 전송한다. 모뎀 풀 트랜시버들 및 모뎀 풀 제어기들은 액세스 네트워크로 지칭되는 네트워크의 일부분들이다. 액세스 네트워크는 데이터 패킷들을 다수의 액세스 단말기들 간에 전송한다. 액세스 네트워크는 회사의 인트라넷이나 인터넷과 같은 액세스 네트워크 외부의 추가 네트워크에도 접속될 수 있으며, 각각의 액세스 단말기와 그러한 외부 네트워크들 간에 데이터 패킷들을 전송할 수 있다. 하나 이상의 모뎀 풀 트랜시버들과의 액티브 트래픽 채널 접속을 형성하는 액세스 단말기는 액티브 액세스 단말기로 지칭되며, 트래픽 상태에 있다고 한다. 하나 이상의 모뎀 풀 트랜시버들과의 액티브 트래픽 채널 접속을 형성하는 처리 중에 있는 액세스 단말기는 접속 셋업 상태에 있다고 한다. 액세스 단말기는 예컨대 광섬유나 동축케이블을 사용하는 유선 채널을 통해서나 또는 무선 채널을 통해서 통신하는 임의의 데이터 장치일 수 있다. 액세스 단말기는 또한 PC 카드, 소형 플래시, 외장 또는 내장 모뎀, 또는 무선이나 유선 전화기를 포함하는(그러한 이러한 것들로 제한되지는 않음) 여러 타입의 장치들 중 임의의 장치일 수 있다. 액세스 단말기가 신호들을 모뎀 풀 트랜시버에 전송할 수 있게 하는 통신 링크는 역방향 링크로 지칭된다. 모뎀 풀 트랜시버가 신호들을 액세스 단말기에 전송할 수 있게 하는 통신 링크는 순방향 링크로 지칭된다.

인증은 통신에서 개개인 또는 애플리케이션의 신원(identification)을 제공하는 처리이다. 이러한 식별은 서비스 제공자가 유효한 사용자로서 엔티티를 검증할 수 있게 하고, 또한 요청된 특정 서비스들을 위해 사용자를 검증할 수 있게 한다. 인증 및 허가는 그 두 이름이 종종 서로 바뀌어서 사용되고 사실상 종종 명확하게 구분되지 않지만 실제로는 매우 특정한 의미들을 갖는다.

인증은 사용자가 신원을 확인할 권리, 본질적으로는 이름을 사용할 권리를 형성하는 처리이다. 사용자를 인증하기 위해 사용될 수 있는 매우 많은 기술, 즉 패스워드들, 바이오메트릭 기술들, 스마트 카드들, 증명서들이 존재한다.

이름이나 신원은 그와 연관된 속성들을 갖는다. 속성들은 (예컨대, 증명서 페이로드에서) 이름과 유사하게 표현될 수 있거나, 그것들은 이름에 상응하는 키 안에서 사전이나 다른 데이터베이스에 저장될 수 있다. 속성들은 시간에 따라 변경될 수 있다.

허가는 신원(해당 신원과 관련된 한 세트의 속성들 포함)이 자원을 액세스하는 것과 같은 일부 액션을 수행하는 것이 허용되는지 여부를 결정하는 처리이다. 액션을 수행하라는 허용은 상기 액션이 수행될 수 있음을 보장하지는 않는다는 점에 유의한다. 인증 및 허가 결정은 서로 다른 포인트들에서 서로 다른 엔티티들에 의해 이루어질 수 있다는 점에 주목한다.

셀룰러 네트워크에서, 인증 특징은 셀룰러 네트워크들로 하여금 무선 장치의 신원을 확인할 수 있게 함으로써 셀룰러 네트워크들의 허가받지 않은 사용을 감소시키는 네트워크 성능이다. 상기 처리는 가입자들에게 투명하다. 고객들은 통화할 때 자신들의 전화기들의 신원을 인증하기 위해서 어떠한 것도 할 필요가 없다.

인증은 통상적으로 암호화 방식을 수반하는데, 이 방식에서는 서비스 제공자와 사용자가 일부 공유 정보 및 일부 비밀 정보를 갖는다. 상기 공유 정보는 통상 "공유 비밀"로 지칭된다.

A-키

인증 키(A-키)는 각각의 개별 셀룰러 전화기에 있어 고유한 비밀 값이다. 상기 인증 키는 셀룰러 서비스 제공자에 의해서 등록되며, 전화기 및 인증 센터(AC)에 저장된다. A-키는 제작자에 의해서 전화기에 프로그래밍된다. A-키는 또한 무선 장치 메뉴로부터 사용자에 의해서 또는 매장에서 특수 단말기에 의해 수동으로 입력될 수 있다.

무선 장치 및 AC는 동일한 계산을 생성하기 위해서 동일한 A-키를 가져야 한다. A-키의 주기능은 공유 비밀 데이터(SSD)를 계산하기 위한 파라미터로서 사용될 것이다.

공유 비밀 데이터(SSD)

SSD는 무선 장치 및 AC에서 인증 계산을 위한 입력으로서 사용되며, 무선 장치와 AC 양쪽 모두에 저장된다. A-키와는 달리, SSD는 네트워크를 통해 변경될 수 있다. AC 및 무선 장치는 SSD의 계산에 이용되는 세 가지 엘리먼트들, 즉, 1) 전자 일련 번호(ESN), 2) 인증 키(A-키), 및 3) 공유 비밀 데이터 계산을 위한 난수(RANDSSD : RANDom number for Shared Secret Data calculation)를 공유한다.

ESN 및 RANDSSD는 네트워크 및 무선 인터페이스를 통해 전송된다. SSD는 장치가 처음으로 시스템 액세스를 수행할 때 갱신되고 그런 이후에는 주기적으로 갱신된다. SSD가 계산되었을 때, 그 결과는 두 개의 개별 값들, 즉 SSD-A 및 SSD-B 이다. SSD-A는 인증을 위해 사용된다. SSD-B는 암호화 및 음성 비밀화를 위해 사용된다.

서비스 중인 시스템의 성능에 따라서, SSD는 AC 및 서비스 중인 이동 교환국(MSC) 사이에 공유될 수도 있고 그렇지 않을 수도 있다. 비밀 데이터가 공유된다면, 그것은 AC가 비밀 데이터를 상기 서비스 중인 MSC에 전송할 것이고 상기 서비스 중인 MSC는 CAVE를 실행할 수 있어야 한다는 것을 의미한다. 비밀 데이터가 공유되지 않는다면, AC는 데이터를 보유하고 인증을 수행할 것이다.

공유하는 타입은 인증 챌린지가 어떻게 수행될 지에 영향을 준다. 인증 챌린지는 무선 장치의 식별을 챌린지하기 위해 전송되는 메시지이다. 기본적으로, 인증 챌린지는 사용자가 처리하도록 일부 정보, 통상적으로는 난수 데이터를 전송한다. 다음으로, 사용자는 정보를 처리한 후 응답을 전송한다. 상기 응답은 사용자 검증을 위해 분석된다. 공유 비밀 데이터를 통해서는, 챌린지가 서비스 중인 MSC에서 처리된다. 비공유 비밀 데이터를 통해서는, 챌린지가 AC에 의해서 처리된다. 비밀 데이터를 공유함으로써, 시스템은 트래픽의 양을 최소화할 수 있고 챌린지가 상기 서비스 중인 스위치에서 더욱 신속하게 발생할 수 있게 한다.

인증 절차

소정의 시스템에서, HLR(Home Location Register)은 MSC와 AC 사이의 매개로 동작함으로써 인증 처리를 제어한다. 서비스 중인 MC는 모바일의 HLR에 인증을 제공하고 또한 그 반대의 경우도 제공하도록 셋업된다.

장치는 오버헤드 메시지 트레인에 인증 필드를 세팅함으로써 자신이 인증할 수 있는지를 서비스 중인 MSC에 통보하여 처리를 개시한다. 그에 응답하여, 상기 서비스 중인 MSC는 인증 요청(Authentication Request)을 통해 등록/인증 처리를 시작한다.

상기 인증 요청을 전송함으로써, 상기 서비스 중인 MSC는 자신이 CAVE 계산을 수행할 수 있는지 여부를 HR/AC에 알려 준다. AC는 장치 성능뿐 아니라 서비스 중인 MSC 중 어느 것이 이용 가능한 것들 외에 사용될 것인지를 제어한다. 서비스 중인 MSC가 CAVE 성능을 갖지 않을 경우에는, SSD는 AC와 MSC 간에 공유될 수 없고, 따라서 모든 인증 처리들은 AC에서 수행된다.

인증 요청(AUTHREQ)의 목적은 전화기를 인증하고 SSD를 요청하는 것이다. AUTHREQ는 인증을 위한 두 개의 파라미터들, 즉 AUTHR 및 RAND 파라미터들을 포함한다. AC가 AUTHREQ를 획득하였을 경우, 그것은 AUTHR을 계산하기 위해서 RAND 및 알려진 마지막 SSD를 사용한다. 만약 그것이 AUTHREQ를 통해 전송된 AUTH와 일치한다면, 인증은 성공적이다. AUTHREQ에 대한 반환 결과는 SSD가 공유될 수 있는 경우에 SSD를 포함할 것이다.

챌린지

인증 처리는 챌린지 및 응답 다이얼로그로 구성된다. 만약 SSD가 공유된다면, MSC와 장치 사이에서 다이얼로그가 이루어진다. 만약 SDD가 공유되지 않는다면, HLR/AC와 장치 사이에서 다이얼로그가 이루어진다. 스위치 타입에 따라, MSC는 고유 챌린지(Unique Challenge) 및 글로벌 챌린지(Global Challenge) 중 어느 하나일 수도 있고 둘 다일 수 있다. 일부 MSC들은 현재 글로벌 챌린지일 수 없다. 고유 챌린지는 통화 시도 동안에만 발생하는 챌린지인데, 그 이유는 그것이 음성 채널을 사용하기 때문이다. 고유 챌린지는 통화 발신 및 통화 전달 동안에 단일 장치에 인증을 제공한다. 글로벌 챌린지는 등록, 통화 발신, 및 통화 전달 동안에 발생하는 챌린지이다. 글로벌 챌린지는 특정 무선 제어 채널을 사용하고 있는 모든 MSC들에 인증 챌린지를 제공한다. 그것은 무선 제어 채널을 통해 방송되기 때문에 글로벌 챌린지로 불리며, 챌린지는 그 제어 채널을 액세스하는 모든 전화기들에 의해 사용된다.

챌린지 동안에, 장치는 MSC나 AC에 의해 제공되는 난수에 응답한다. 장치는 MSC로의 응답을 계산하기 위해서 자신의 내부에 저장되어 있는 난수 및 공유 비밀 데이터를 사용한다. MSC도 또한 장치로부터의 응답이 무엇일 지를 계산하기 위해서 난수 및 공유 비밀 데이터를 사용한다. 이러한 계산은 CAVE 알고리즘을 통해 이루어진다. 만약 응답이 동일하지 않다면, 서비스는 거부된다. 챌린지 처리는 통화를 접속하는데 걸리는 시간 크기를 증가시킨다. 실제로, 통화는 일부 경우에 진행할 수 있고, 인증이 실패하였을 때에만 차단될 것이다.

위에서 설명된 바와 같이, CAVE 알고리즘은 일반적으로 셀룰러 통신에 사용되고, 따라서 적절하게 사용되고 배포된다. 인증을 위한 대안적인 알고리즘이 또한 사용된다. 특히, 데이터 통신에서는 가변적인 복잡성 및 응용을 갖는 다양한 알고리즘들이 존재한다. 이러한 메커니즘들을 조정하기 위해서, 확장 가능 인증 프로토콜(EAP : Extensible Authentication Protocol)은 다수의 인증 및 키 배포 메커니즘들을 지원하는 일반적인 프로토콜 프레임워크로서 개발되었다. EAP는 1998년 3월에 L.Blunk 등에 의해서 RFC 2284에 공표된 "PPP 확장 가능 인증 프로토콜(EAP)"에 설명되어 있다.

2002년 2월에 J.Arkko 등에 의해서 공표된 "EAP AKA Authentication" 및 현재는 인터넷 드래프트에 정의되어 있는 바와 같은 EAP에 의해 제공되는 이러한 한 메커니즘은 AKA 알고리즘이다. 따라서, 셀룰러 알고리즘 CAVE를 포함하도록 EAP를 확장할 필요가 있다. 이는 새로운 시스템들 및 네트워크들에 역호환성을 제공하는 것이 바람직하다.

EAP

확장 가능 인증 프로토콜(EAP)은 다수의 인증 메커니즘들을 지원하는 인증을 위한 일반 프로토콜이다. EAP는 링크 셋업 및 제어 동안에 특정 인증 메커니즘을 선택하지 않고 오히려 인증 절차가 시작할 때까지 이를 연기한다. 이는 인증기가 특정 인증 메커니즘을 결정하기 전에 더 많은 정보를 요청할 수 있게 한다. 인증기는 인증을 필요로 하는 링크의 종단으로서 정의된다. 인증기는 링크 형성 동안에 사용될 인증 프로토콜을 규정한다.

도 4A는 EAP에 따라 할당되는 필드들 중 일부를 도시한다. 도시된 바와 같이, EAP(300)는 메시지 타입을 식별하는 제 1 필드 코드 필드(302)를 정의한다. 식별자 필드(304)는 상관된 응답을 허용하고, 여기서 챌린지는 상기 챌린지에 대한 응답에 또한 사용되면서 그와 연관된 식별자를 가질 것이다. 길이 필드(306)는 EAP 요청 패킷의 길이를 제공한다. 타입 필드(308)는 페이로드 필드(310)에 포함되어 있는 EAP 메시지의 타입을 식별한다. 예컨대, AKA 인증을 위해서, 타입 필드(308)는 AKA 정보와 같은 정보를 식별할 것이고, 페이로드 필드(310)는 AKA 챌린지, 응답 등을 포함할 것이다.

EAP의 CAVE 할당

본 발명의 일 실시예에 따르면, EAP는 CAVE 인증을 제공하도록 확장된다. 도 1에 도시된 바와 같이, EAP를 사용하여 CAVE를 구현하기 위한 구조는 CAVE 인증 절차들이 CAVE를 제공하는 음성 타입 시스템들 및 임의의 다른 시스템에 직접 적용될 수 있게 한다. 각각의 블록은 본 실시예의 구조에 따라 사용되는 알고리즘 또는 메시징 타입을 나타낸다. CAVE(102)는 음성 네트워크와 데이터 네트워크 양쪽 모두에 적용된다. 음성 통신에 있어서, CAVE(102)는 인증을 용이하게 하기 위해서 시그널링 메시지(120)를 사용한다. 데이터 통신에 있어서, CAVE(102)는 인증을 용이하게 하기 위해서 EAP(104)를 사용한다. EAP(104)는 PPP 프레임화 포맷(106), 인터넷 프로토콜(IP) 패킷 포맷(108), 또는 원격 인증 다이얼-인 사용자 서비스(RADIUS) 메시지 포맷(110)으로 구현될 수 있다. RADIUS는 1997년 4월에 C.Rigney 등에 의해서 공표된 RFC 2138의 "Remote Authentication Dial In User Service(RADIUS)"에 설명되어 있는 인트라넷 사용자 인증이다.

도 2는 일 실시예의 구조를 사용하는 통신 시스템(200)을 도시한다. 이동국(MS;202)은 인증기(204)와 통신하고 있다. 인증기는 MS가 데이터 서비스들(208)(네트워크(210) 밖에 있음)이나 데이터 서비스들(206)(네트워크(210) 안에 있음)에 액세스하려 할 때 MS(202)의 인증을 개시한다. 시스템(200)은 네트워크(210) 안팎에 있는 임의의 수의 서비스들을 포함할 수 있다. 인증기(204)는 EAP를 사용하여 CAVE 알고리즘을 구현한다. 통화 처리는 도 3에 도시되어 있다.

도 3에 도시된 바와 같이, 인증기(204)는 MS(202)와의 인증 처리를 개시한다. 인증기(204)는 먼저 EAP-요청/식별 메시지를 MS(202)에 전송함으로써 MS(202)에 인증 요청을 전송한다. 그에 응답하여, MS는 MS(202)의 국제 모바일 가입자 식별(IMSI)을 포함하거나 MS(202)와 연관된 가명을 포함하는 EAP-응답/식별 메시지를 전송한다. EAP-응답/식별 메시지는 아직 암호화되지 않은 데이터인 원 텍스트의 데이터이기 때문에, 그것은 전송 도중에 무선으로 도청당하기 쉬운 취약점이 있다. IMSI는 MS(202)에 대해 민감한 정보인 것으로 고려되기 때문에, MS(202)는 알려진 가명을 사용하여 식별을 제공하는 것이 유리할 수 있다. 이 경우에, 인증기(204)는 MS(202) 가명을 MS(202) IMSI에 매핑한다. 가명의 예로는 user@realm(예컨대, [email protected])이 있다.

MS(202) IMSI에 기초해서, 인증기(204)는 MS(202)가 액세스 인증을 위해 CAVE를 사용하고 있는지 여부를 결정한다. 이러한 결정을 내리기 위해서, 인증기(204)는 "EAP-요청/CAVE-챌린지" 메시지를 MS에 전송한다. 메시지는 페이로드에 CAVE 메시지를 포함하고 있는 EAP 요청 메시지로서 전송된다. 요청을 위한 포맷은 도 4B에 도시되어 있으며 아래에서 설명된다. EAP-요청/CAVE-챌린지 메시지는 인증기(204)에 의해 생성되는 난수인 챌린지를 포함한다.

다음으로, MS(202)는 1) 비밀 데이터, 2) MS(202)의 IMSI, 및 3) 수신되는 챌린지를 입력으로서 CAVE 알고리즘에 적용함으로써 인증 응답을 계산한다. 다음으로, 그 결과는 "EAP-응답/CAVE-챌린지" 메시지나 응답으로서 인증기(204)에 제공된다. MS(202)는 EAP-응답/CAVE-챌린지 메시지를 인증기(204)에 전송하고, 여기서 상기 메시지는 인증 응답을 포함한다. 그 메시지는 MS(202) 식별(예컨대, IMSI나 가명) 및/또는 챌린지를 반드시 포함하지 않는데, 그 이유는 상기 메시지는 본래 인증기(204)에 의해 전송된 EAP-요청/CAVE-챌린지와 동일한 메시지 식별자를 사용할 것이기 때문이다. 메시지 식별자를 통해서, 인증기(204)는 MS(202) 신원 및 챌린지를 MS(202) 인증 응답과 연관시킬 수 있다.

다음으로서, 인증기(204)는 MS(202) 인증 응답을 예상된 응답과 비교함으로써 상기 MS(202) 인증 응답을 검증한다. 인증기(204)는 MS(202) 공유 비밀을 알 수 있거나 알지 못할 수 있다. 만약 인증기(204)가 상기 공유 비밀을 알거나 인지하였다면, 인증기(204)는 CAVE 알고리즘으로의 입력으로서 MS의 공유 비밀, MS의 IMSI, 및 챌린지들을 사용함으로써 예상된 응답을 계산한다. 만약 인증기(204)가 상기 비밀을 갖지 않는다면, 그것은 MS(202) 공유 비밀을 갖는 엔티티로부터 상기 예상된 응답을 획득한다.

만약 MS(202)가 예상된 응답과 동일한 응답이라면, MS(202)는 인증을 통과하고, 인증기(204)는 상기 인증 통과를 나타내는 "EAP-성공" 메시지를 MS(202)에 전송한다. 만약 MS(202)가 인증에 실패한다면, 인증기(204)는 인증기(204)가 원하는 액세스를 위한 MS(202)를 인증할 수 없다는 것을 나타내는 "EAP-실패" 메시지(미도시)를 MS(202)에 전송한다.

도 4B는 CAVE 인증 절차들의 응용을 위한 EAP의 확장을 도시한다. 도시된 바와 같이, 타입 필드(308)는 CAVE 선택을 포함하는 타입 필드(312)로 확장된다. 다음으로, 연관된 페이로드 필드(314)는 CAVE 메시지, 예컨대 CAVE 챌린지나 CAVE 응답을 포함하도록 적응된다. 이러한 방식으로, EAP는 CAVE 인증 절차들을 통해 사용될 수 있다. 특히, EAP는 CAVE 인증에 수반되는 협상을 위한 전송 메커니즘일 것이다. CAVE는 인증을 위해 필요한 메시지들이나 상기 메시지들의 순서를 규정한다. CAVE는 또한 MS(202) 및 인증기(204)에서 수행되는 인증 절차들뿐만 아니라 그러한 인증을 위해 필요한 정보 및 변수들을 규정한다. EAP는 CAVE 인증을 구현하기 위해 정보 및 변수들, 메시지들 등이 MS(202)와 인증기(204) 간에 어떻게 교환되는지를 규정한다. 일단 CAVE 선택이 EAP 메시지에서 규정되면, CAVE 메시지(들)의 컨텐트는 EAP 절차들에 있어서 보이지 않는다.

도 5A 및 도 5B는 EAP를 통해 CAVE를 구현하기 위한 여러 시나리오를 도시한다. 도 5A에서는, 인증기(204)로부터의 EAP 요청 메시지가 CAVE 챌린지로서 이루어진다. 즉, 타입 필드(312)는 상기 요청 메시지를 CAVE 메시지로서 식별하고, 페이로드 필드(314)는 이 경우에 CAVE 챌린지인 CAVE 메시지를 포함한다. MS(202)는 EAP 요청 메시지를 통해 CAVE 챌린지를 수신하며, CAVE 절차에 따라 페이로드 필드(314)에 포함되어 있는 상기 수신된 정보를 처리하며, 그 결과를 CAVE 응답으로서 EAP 응답 메시지를 통해 인증기(204)에 제공한다.

도 5B에서는, 인증기(204)로부터의 EAP 요청 메시지가 "MD5-챌린지"로 지칭되는 다른 인증 절차에 따라 이루어지는데, 상기 "MD5-챌린지"는 챌린지 핸드쉐이크 인증 프로토콜(CHAP)로도 알려져 있다. MS(202)는 EAP 요청 메시지를 수신하지만 MD5-챌린지 절차를 제공하지 않기 때문에 부정 확인응답 메시지 및 EAP 응답 메시지로 응답한다. 인증기(204)와 MS(202) 간에 전송되는 메시지는 EAP 메시지라는 점에 주목한다. 인증기(204)는 EAP 응답 메시지를 통해 NAK를 수신하며, 다른 타입의 알고리즘을 사용하여 인증하려 시도한다. 인증기(204)는 EAP 포맷에 의해 제공되는 임의의 수의 알고리즘 타입을 시도할 수 있다. 이 경우에, 인증기(204)는 EAP 요청 메시지를 통해 CAVE 챌린지를 전송한다. MS(202)는 정보를 수신하고, 응답을 계산하며, EAP 응답 메시지를 통해 CAVE 응답으로 응답한다. 이러한 방식으로, 인증기(204)는 MS(202)의 성능 및 그에 따른 응답을 결정할 수 있다.

도 6은 인증기(204)에서 일 실시예에 따른 인증 절차의 흐름도이다. 인증기(204)가 단계(402)에서 정해진 서비스 요청을 수신하였을 때 처리(400)가 시작된다. 상기 서비스 요청은 데이터 서비스, 음성 서비스, 또는 그것들의 결합을 위한 것일 수 있다. 다음으로, 인증기(204)는 통신이 결정 단계(404)에서 음성인지 데이터인지를 결정한다. VoIP(Voice over IP)와 같은 결합 타입 서비스는 통상적으로 데이터 통신으로서 처리된다는 것을 주시하자. 데이터 서비스들에 있어서, 처리는 MS(202)의 식별을 위한 EAP 요청을 전송하기 위해서 단계(406)에서 계속된다. 인증기(204)는 단계(408)에서 MS(202)로부터 응답을 수신한다. MS(202) 식별에 응답하여, 인증기(204)는 단계(410)에서 EAP 요청 메시지를 통해 CAVE 챌린지를 전송한다.

다음으로, 인증기(204)는 결정 단계(416)에서 인증 절차의 상태를 결정한다. 만약 MS(202)의 인증이 통과된다면, 인증기(204)는 단계(418)에서 서비스를 허가한다. 만약 MS(202)의 인증이 실패하면, 인증기(204)는 단계(420)에서 인증 실패를 MS(202)에 통보한다.

결정 단계(404)로부터 음성 통신에 있어서는, 인증기(204)는 단계(412)에서 시그널링 메시지로서 CAVE 챌린지들을 전송한다. 인증기(204)는 단계(414)에서 CAVE 응답을 수신한다. 다음으로, 처리는 인증 상태를 결정하기 위해서 결정 블록(416)에서 계속된다.

도 7은 MS(202)에서 인증 절차의 흐름도이다. MS(202)는 단계(502)에서 데이터 서비스들을 위한 요청을 전송한다. 그에 대한 응답으로, MS(202)는 단계(504)에서 EAP 요청 메시지를 통해 식별 요청을 수신한다. 다음으로, MS(202)는 단계(506)에서 EAP 응답 메시지를 통해 식별 정보를 전송한다. 단계(508)에서는 EAP 요청 메시지를 통해서 챌린지가 수신된다. 결정 단계(510)에서, MS(202)는 챌린지의 포맷을 결정한다. 만약 포맷이 CAVE 알고리즘에 따른다면, 처리는 단계(512)에서 계속되고, 그렇지 않다면, 처리는 단계(518)에서 계속되어 EAP 응답을 통해 NAK 메시지를 전송한다. 단계(518)로부터 처리는 단계(508)로 복귀하여 다른 챌린지를 기다린다. 만약 챌린지가 CAVE 챌린지였다면, 처리는 단계(512)에서 위에 설명되고 CAVE 절차에 일치하는 응답을 계산한다. MS(202)는 단계(514)에서 응답으로서 EAP 응답 메시지를 전송한다. 다음으로, MS는 단계(516)에서 인증 확인을 수신하고, 상기 인증 절차는 완료된다.

MS(202)와 같은 무선 장치가 도 8에 도시되어 있다. 장치(600)는 전송 신호들을 수신하고 전송 신호들을 전송하기 위한 수신 회로(602)와 전송 회로(604)를 포함한다. 수신 회로(602) 및 전송 회로(604)는 모두 통신 버스(612)에 연결된다. 장치(600)는 또한 장치(600) 내에서 동작들을 제어하기 위해 중앙 처리 유닛(CPU;606)을 포함한다. CPU(606)는 장치(600) 내의 메모리 저장 장치들에 저장된 컴퓨터-판독 가능 명령들에 응답한다. 그러한 두 저장 장치들은 CAVE 절차(608) 및 EAP 절차(610)를 저장하는 것으로서 도시되어 있다. 하드웨어, 소프트웨어, 펌웨어, 또는 그것들의 결합을 통해 다른 실시예들이 상기 절차를 구현할 수 있다는 점에 유의한다. CPU(606)는 CAVE 절차(608)로부터의 인증 처리 명령들에 응답한다. CPU(606)는 EAP 절차(610)에 응답하여 CAVE 절차(608) 메시지를 EAP 포맷으로 배치한다. CPU(606)는 또한 수신된 EAP 메시지들을 처리하고 그로부터 CAVE 메시지를 추출한다.

당업자라면 정보 및 신호들이 여러 상이한 공학 및 기술들 중 임의의 공학 및 기술을 사용하여 표현될 수 있다는 것을 알 것이다. 예컨대, 위의 설명 전반에 걸쳐 참조될 수 있는 데이터, 지시들, 명령들, 정보, 신호들, 비트들, 심볼들, 및 칩들은 전압들, 전류들, 전자기파들, 자계들 또는 입자들, 광자계들 또는 입자들, 또는 그것들의 임의의 결합으로 표현될 수 있다.

당업자라면, 본 명세서에 개시된 실시예들과 관련하여 설명된 여러 도시적인 논리 블록들, 모듈들, 회로들, 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 그것들의 결합으로 구현될 수 있다는 것을 또한 알 것이다. 하드웨어 및 소프트웨어의 그러한 상호변경가능성을 명확히 도시하기 위해서, 여러 도시적인 구성성분들, 블록들, 모듈들, 회로들 및 단계들이 일반적으로 그것들의 기능과 관련하여 위에서 설명되었다. 그러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는지 여부는 전체적인 시스템에 부가되는 특정 애플리케이션 및 설계의 제한 사항에 의존한다. 숙련된 기술자라면 각각의 특정 애플리케이션에 대해 가변적인 방법들로 상기 설명된 기능을 구현할 수 있지만, 그러한 구현 결정은 본 발명의 범위로부터 벗어나는 것으로서 이해되지 않아야 한다.

본 명세서에 개시된 실시예들과 연관하여 설명된 여러 예시적인 논리 블록들, 모듈들, 및 회로들은 본 명세서에서 설명된 기능들을 수행하도록 설계된 범용 프로세서, 디지털 신호 프로세서(DSP), 주문형 집적 회로(ASIC), 현장 프로그래밍 가능 게이트 어레이(FPGA) 또는 다른 프로그래밍 가능 논리 장치, 이산 게이트 또는 트랜지스터 논리 장치, 이산 하드웨어 성분들, 또는 그것들의 임의의 결합으로 구현되거나 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수 있지만, 선택적으로는, 그 프로세서는 임의의 종래 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수 있다. 프로세서는 또한 컴퓨팅 장치들의 결합, 예컨대, DSP와 마이크로프로세서의 결합, 복수의 마이크로프로세서들, DSP 코어와 관련한 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로 구현될 수 있다.

본 명세서에서 설명된 실시예들과 관련하여 설명된 방법이나 알고리즘의 단계들은 하드웨어나, 프로세서에 의해 실행되는 소프트웨어 모듈, 또는 그 둘의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드디스크, 제거가능 디스크, CD-ROM, 또는 해당 분야에 알려져 있는 임의의 다른 형태의 저장 매체에 상주할 수 있다. 예시적인 저장 매체가 프로세서에 연결됨으로써, 그 프로세서는 저장 매체로부터 정보를 판독하거나 그 저장 매체에 정보를 기록할 수 있다. 선택적으로, 저장 매체는 프로세서에 통합될 수도 있다. 프로세서 및 저장 매체는 ASIC에 상주할 수 있다. ASIC는 이동 유닛에 상주할 수 있다. 선택적으로, 프로세서와 저장 매체는 사용자 단말기 내에 이산 성분들로서 상주할 수 있다.

개시된 실시예들에 대한 앞선 설명은 당업자가 본 발명을 제작하거나 사용할 수 있을 정도로 제공되었다. 그러한 실시예들의 다양한 변경은 당업자에게는 쉽게 자명해질 것이고, 본 명세서에서 정의된 일반적인 원리는 본 발명의 사상이나 범위로부터 벗어나지 않으면서 다른 실시예에도 적용될 수 있다. 따라서, 본 발명은 본 명세서에 도시된 실시예들로 제한되도록 의도되지 않고 본 명세서에 개시된 원리들 및 신규한 특징들에 부합하는 가장 넓은 범위가 제공될 것이다.

Claims

음성 통신 및 패킷 데이터 통신이 모두 가능한 디바이스가 음성 통신 또는 패킷 데이터 통신의 인증을 위해 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 방법으로서,

상기 디바이스로부터 소정의 서비스에 대한 요청을 수신하는 단계;

상기 소정의 서비스가 음성 통신에 대한 것인지 패킷 데이터 통신에 대한 것인지를 결정하는 단계;

상기 소정의 서비스가 음성 서비스라면,

상기 음성 통신 인증 포맷으로 챌린지(challenge)를 전송하는 단계;

상기 음성 통신 인증 포맷으로 응답을 수신하는 단계; 및

상기 음성 통신 인증 포맷을 이용하여 상기 디바이스의 인증을 수행하는 단계;

상기 소정의 서비스가 패킷 데이터 통신이라면,

패킷 데이터 통신 인증 포맷으로 챌린지를 전송하는 단계;

상기 패킷 데이터 통신 인증 포맷으로 응답을 수신하는 단계; 및

패킷 데이터 통신 요청에 음성 통신 챌린지를 삽입하는 단계;

상기 삽입된 음성 통신 챌린지를 전송하는 단계; 및

상기 음성 통신 인증 포맷을 이용하여 상기 디바이스의 인증을 수행하는 단계를 포함하는, 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 방법.
음성 통신 및 패킷 데이터 통신이 모두 가능한 디바이스가 음성 통신 또는 패킷 데이터 통신의 인증을 위해 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 장치로서,

상기 디바이스로부터 소정의 서비스에 대한 요청을 수신하는 수단;

상기 소정의 서비스가 음성 통신에 대한 것인지 패킷 데이터 통신에 대한 것인지를 결정하는 수단;

상기 소정의 서비스가 음성 서비스인 경우에, 상기 음성 통신 인증 포맷으로 챌린지를 전송하고, 상기 음성 통신 인증 포맷으로 응답을 수신하며, 상기 음성 통신 인증 포맷을 이용하여 상기 디바이스의 인증을 수행하는 수단; 및

상기 소정의 서비스가 패킷 데이터 통신인 경우에, 패킷 데이터 통신 인증 포맷으로 챌린지를 전송하고, 상기 패킷 데이터 통신 인증 포맷으로 응답을 수신하며, 패킷 데이터 통신 요청에 음성 통신 챌린지를 삽입하고, 상기 삽입된 음성 통신 챌린지를 전송하며, 상기 음성 통신 인증 포맷을 이용하여 상기 디바이스의 인증을 수행하는 수단을 포함하는, 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 장치.
음성 통신 및 패킷 데이터 통신이 모두 가능한 디바이스가 음성 통신 또는 패킷 데이터 통신의 인증을 위해 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 방법으로서,

패킷 데이터 서비스들에 대한 요청을 인증기에 전송하는 단계;

신원(identification) 요청을 패킷 데이터 포맷으로 수신하는 단계;

신원을 상기 인증기에 상기 패킷 데이터 포맷으로 전송하는 단계;

챌린지를 수신하는 단계;

상기 수신된 챌린지가 음성 통신 인증 포맷에 따라 포맷화되는지 여부를 결정하는 단계;

상기 수신된 챌린지가 상기 음성 통신 인증 포맷에 따라 포맷화되지 않는다면, 부정 응답을 상기 패킷 데이터 포맷으로 전송하는 단계; 및

상기 수신된 챌린지가 상기 음성 통신 인증 포맷에 따라 포맷화된다면,

상기 음성 통신 인증 포맷과 일치하는 응답을 계산하는 단계; 및

상기 응답을 패킷 데이터 포맷으로 전송하는 단계를 포함하는, 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 방법.
음성 통신 및 패킷 데이터 통신이 모두 가능한 디바이스가 음성 통신 또는 패킷 데이터 통신의 인증을 위해 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 장치로서,

패킷 데이터 서비스들에 대한 요청을 인증기에 전송하는 수단;

신원 요청을 패킷 데이터 포맷으로 수신하는 수단;

신원을 상기 인증기에 상기 패킷 데이터 포맷으로 전송하는 수단;

챌린지를 수신하는 수단;

상기 수신된 챌린지가 음성 통신 인증 포맷에 따라 포맷화되는지 여부를 결정하는 수단;

상기 수신된 챌린지가 상기 음성 통신 인증 포맷에 따라 포맷화되지 않는 경우에, 부정 응답을 상기 패킷 데이터 포맷으로 전송하는 수단; 및

상기 수신된 챌린지가 상기 음성 통신 인증 포맷에 따라 포맷화되는 경우에, 상기 음성 통신 인증 포맷과 일치하는 응답을 계산하고, 상기 응답을 패킷 데이터 포맷으로 전송하는 수단을 포함하는, 단일 음성 통신 인증 포맷을 이용할 수 있게 하는 장치.
삭제
삭제
삭제
삭제