KR20070102722A - 통신 시스템에서 사용자 인증 및 권한 부여 - Google Patents

통신 시스템에서 사용자 인증 및 권한 부여 Download PDF

Info

Publication number
KR20070102722A
KR20070102722A KR20077019637A KR20077019637A KR20070102722A KR 20070102722 A KR20070102722 A KR 20070102722A KR 20077019637 A KR20077019637 A KR 20077019637A KR 20077019637 A KR20077019637 A KR 20077019637A KR 20070102722 A KR20070102722 A KR 20070102722A
Authority
KR
South Korea
Prior art keywords
server
client
authentication
challenge
session key
Prior art date
Application number
KR20077019637A
Other languages
English (en)
Other versions
KR100995423B1 (ko
Inventor
베사 매티 토르비넨
베사 페테리 레흐토비르타
모니카 위프베손
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20070102722A publication Critical patent/KR20070102722A/ko
Application granted granted Critical
Publication of KR100995423B1 publication Critical patent/KR100995423B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법에서, 클라이언트 및 제1 서버는 공유 암호화키를 프로세싱한다. 방법은 상기 공유 암호화키를 사용하여 제1 서버에 클라이언트를 인증하는 단계, 제2 서버를 통해 상기 제1 서버 및 클라이언트 간에 전송되는 인증 프로세스에 관하여 시그널링하는 단계, 클라이언트 및 제1 서버에서 세션 키를 발생시키는 단계, 상기 제2 서버로 세션 키를 제공하는 단계, 및 세션 키를 사용하여 클라이언트 및 제2 서버를 인증하는 단계를 포함한다.
클라이언트, 서버, 공유 암호화키, 세션키

Description

통신 시스템에서 사용자 인증 및 권한 부여{USER AUTHENTICATION AND AUTHORISATION IN A COMMUNICATIONS SYSTEM}
본 발명은 통신 시스템에서 사용자 인증 및 권한 부여에 관한 것이고, 특히, 필수적이지는 않을지라도, 사용자가 통신 시스템의 네트워크 응용 기술에 대한 인증을 받아 권한을 부여받는 방법 및 장치에 관한 것이다.
GSM과 같은 기존 제2 세대 셀룰러 무선 통신 시스템은 추가되는 프로세스 내에 있고, 어느 정도까지는 제3 세대 시스템으로 대체된다. 이들은 범용 이동 전기통신 시스템(UMTS)이라 공지된 3G 시스템을 포함한다. 보안은 UMTS 표준의 핵심 요소이고, 제2 세대 시스템 보안에 좌우되지 않는 반면, 동시에 GSM과의 호환성을 보장하여 GSM으로부터 UMTS로의 이동을 쉽게 하고 GSM 및 UMTS 액세스 네트워크 간에 핸드오버를 쉽게 한다. UMTS에 대한 인증 및 키 일치(authentication and key agreement: AKA)의 디자인(3G TS 33.102)은 적어도 가입자가 액세스 네트워크에 대한 인증을 받고 무선 링크를 통해 사용자 데이터를 보안하는 것에 관한 목적을 만족하도록 의도된다.
AKA 프로토콜은 세 개의 통신 파티를 포함하는데, 즉, 사용자 홈 환경의 인증 센터(AuC), 사용자의 서빙 네트워크(SN)의 방문자 위치 등록기(VLR) 및 그 또는 그녀의 UMTS 가입자 식별 모듈(USIM)에 의해 나타내지는 사용자 자신이다. 보안 키는 AuC 및 USIM에 의해 공유된다. HE에 의한 인증 데이터 요청의 수신에 따라, AuC는 (n 개의) 인증 벡터 배열을 발생시킨다. 그 후에 이러한 배열은 SN으로 전송되고 사용자에 의한 n 개의 인증 시도에 양호하다. SN은 배열 내의 다음 벡터를 선택하여 벡터의 임의의 성분을 USIM으로 전송한다. 이는 USIM이 SN을 입증하도록 하고, 세션 키를 계산하도록 하며, 응답을 발생시킨다. 후자는 선택된 벡터에 포함된 기대되는 응답과 상기 응답을 비교하는 SN으로 리턴된다. 이들이 부합된다면, SN은 인증 교환이 성공적으로 완료되었다고 가정한다. 그 후에 설정된 세션 키들은 USIM에 의해 전송되고, UMTS 무선 액세스 네트워크(UTRAN)의 서빙 무선 네트워크 제어기(RNC)로 VLR에 의해 전송된다.
인증 및 권한 부여가 단지 네트워크 레벨에서보다 오히려 응용 레벨에서 필요로 되는 경우가 있다. 여러 경우에, 응용 계층에서 데이터의 연산을 희망할 수 있거나 필요로 할 수조차 있다. 연산은 예컨대 암호화된 비디오 데이터가 웹 서버로부터 브로드캐스트 서비스의 가입자들로 "브로드캐스트"되는 경우를 고려할 수 있다. 가입자들은 그들 자신을 웹 서버에게 우선 인증받아야만 하고, 그 후에 브로드캐스트 데이터를 복호화하는 키를 제공받는다. 이러한 응용 계층 보안을 용이하게 하는 전체적으로 별도의 메커니즘을 제공하기보다는, 이러한 보안이 AuC, USIM 및 3GPP AKA 프로토콜을 포함하는 3GPP 인증 인프라스트럭처 상에서 "부트스트랩핑(bootstrap)"되도록 제안되어왔다. 이러한 접근법은 이는 응용 기능이 위치된 네트워크의 오퍼레이터 및 액세스 오퍼레이터 간에 일부 다른 신뢰 관계가 존재하는 경우일 필요가 없을지라도, 네트워크 측 상의 응용 기능이 액세스 네트워크 오퍼레이터의 제어하에 있다고 적어도 초기에 예측한다.
3GPP TS 33.220은 3GPP AKA 메커니즘 상의 응용 보안을 위한 인증 및 키 일치 절차를 부트스트랩핑하는 일반적인 부트스트랩핑 아키텍처(GBA) 메커니즘을 개시한다. 새로운 절차는 사용자의 HE에 위치된 부트스트랩핑 서버 기능(BSF)으로써 공지된 네트워크 기반 기능을 도입한다. BSF는 홈 가입자 서브시스템(HSS)인 AuC와 통신하여 요청시 인증 벡터를 획득한다. BSF 및 HSS간의 인터페이스는 Zh 인터페이스로 공지된다. 네트워크 측 상의 응용 기능을 구현하는 기능적인 엔티티는 네트워크 응용 기능(NAF)이라 칭해진다. NAF는 (예컨대, DIAMETER 프로토콜을 사용하여) Zn 인터페이스를 통해 BSF와 통신한다. 사용자 장비(UE), BSF 및 NAF 간의 인터페이스는 각각 Ub 및 Ua 인터페이스라 칭해지고 하이퍼텍스트 전송 프로토콜(HTTP)을 사용한다.
GBA가 소정의 NAF와 함께 사용된다는 것과 필수 키들이 아직 존재하지 않아 UE가 Ub 인터페이스를 거쳐 BSF와 함께 HTTP Digest AKA 메커니즘을 개시해야만 한다는 것을 UE가 설정해야 한다고 가정한다. (이런 프로세스의 일부로써, BSF는 HSS로부터 획득된 벡터를 수정할 수 있다. 결과적으로, UE는 BSF에 의해 인증받을 수 있고 필수 보안 키들을 제공받는다. 게다가, UE는 트랜잭션 식별자(TI)를 제공받는다. 그 후에 이러한 TI는 UE에 의해서 NAF로 Ua 인터페이스를 거쳐 제공된다. NAF는 TI를 BSF로 전송하고 차례로 관련된 보안 키들을 수신한다. 그 후에 UE 및 NAF는 보안 방법으로 Ua 인터페이스를 사용할 수 있다.
Ub 인터페이스의 사용이 빈번할 것이라고 기대되지 않을지라도(주의. 동일한 키잉 요소(keying material)가 여러 다른 NAF들과 함께 재사용될 수 있고, 각각의 새로운 NAF는 공통 TI를 사용하여 BSF로부터 키잉 요소를 요청한다), 이들이 사용될 때, 시간이 소모된다. 예를 들어, HTTP Digest가 Ua 인터페이스상에서 사용된다고 가정하는 10번 왕복 운동이 포함된다. 게다가, UE는 NAF 및 BSF 둘 다와 통신하기 위해서 두 개의 별도의 트랜스포트 계층을 사용해야만 해서, 높은 레벨의 트랜스포트 계층 자원들을 야기한다.
본 발명의 목적은 상술된 단점을 극복하거나 적어도 완화시키는 것이다. 이러한 목적은 두 개의 인터페이스를 하나의 인터페이스로 효율적으로 결합함으로써 성취되어, 다수의 인증 및 권한 부여 절차가 동시에 진행되도록 한다.
본 발명의 제1 양상에 따르면, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법이 제공되는데, 여기서 클라이언트 및 제1 서버는 공유 암호화키(shared secret)를 처리하며, 상기 방법은:
상기 공유 암호화키를 사용하여 제1 서버에 클라이언트를 인증하는 단계로서, 인증 프로세스에 관련된 시그널링이 제2 서버를 통해 클라이언트 및 상기 제1 서버 간에 전송되는, 인증 단계;
클라이언트 및 제1 서버에서 세션 키를 생성하여 상기 세션 키를 상기 제2 서버로 제공하는 단계; 및
세션 키를 사용하여 클라이언트를 제2 서버에 인증하는 단계를 포함한다.
바람직하게는, 방법이 제2 서버를 제1 서버에 인증하는 단계 및 이러한 권한 이후에 제1 서버로부터 제2 서버로 상기 세션 키를 제공하는 단계를 포함한다.
본 발명의 제2 양상에 따르면, 통신 시스템 내에서 인증 서버를 동작시키는 방법이 제공되는데, 상기 방법은:
클라이언트 및 부가적인 인증 서버 간에 인증 시그널링을 중계하는 단계로서, 클라이언트 및 부가적인 인증 서버가 암호화키를 공유하는, 중계 단계; 및
상기 부가적인 인증 서버로부터 세션 키를 수신하고, 상기 세션 키를 사용하여 클라이언트를 인증하는 단계를 포함한다.
본 발명의 제3 양상에 따르면, 통신 시스템 내에서 인증 서버를 동작시키는 방법이 제공되는데, 상기 방법은:
상기 클라이언트 단말기를 인증하기 위해서 부가적인 서버를 통해 클라이언트와 시그널링을 교환하는 단계;
클라이언트 및 상기 제1 서버 간에 공유된 암호화 키를 사용하여 세션 키를 발생시키는 단계; 및
세션 키를 상기 제2 서버로 전송하는 단계를 포함한다.
본 발명의 제4 양상에 따르면, 통신 네트워크에 커플링된 클라이언트 단말기를 동작시키는 방법이 제공되는데, 상기 방법은:
클라이언트 단말기를 상기 제1 서버에 인증하기 위해서 제2 서버를 통해 제1 서버와 시그널링을 교환하는 단계;
클라이언트 단말기 및 상기 제1 서버 간에 공유된 비밀키를 사용하여 세션 키를 발생시키는 단계; 및
상기 제2 서버로부터 인증 챌런지를 수신하고, 상기 세션키를 사용하여 인증 응답을 발생시키는 단계를 포함한다.
발명된 방법의 단계는 특정한 순서로 수행될 필요가 없다. 특히, 방법 단계는 오버랩될 수 있다.
본 발명의 제5 양상에 따르면, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버들에게 클라이언트를 인증하는 방법이 제공되는데, 여기서 클라이언트 및 제1 서버는 공유 암호화 키를 프로세스하며, 상기 방법은:
제2 서버를 통해 클라이언트로부터 상기 제1 서버로 인증 요청을 전송하는 단계;
제1 서버에서 상기 요청의 수신시, 상기 공유 암호화키를 사용하여 제1 인증 챌런지를 발생시키고, 상기 챌런지를 제2 서버로 전송하는 단계;
제1 챌런지를 제2 서버로 전송하고, 제2 서버에서 제2 인증 챌런지를 발생시키며, 제1 및 제2 챌런지를 제2 서버로부터 클라이언트로 전송하는 단계;
클라이언트에서 챌런지의 수신시, 공유 암호화키를 사용하여 제1 챌런지로 제1 챌런지 응답 및 세션 키를 발생시키고, 상기 세션 키를 사용하여 제2 챌런지로 제2 챌런지 응답을 발생시키는 단계;
상기 챌런지 응답을 상기 제2 서버로 전송하고, 제1 챌런지 응답을 제1 서버로 전달하는 단계;
제1 챌런지 응답 및 상기 공유 암호화키를 사용하여 제1 서버에서 클라이언트를 인증하고, 클라이언트가 인증받는 경우에, 제1 서버에서 상기 세션키를 발생시키며, 상기 세션 키를 제2 서버로 전송하는 단계; 및
제2 챌런지 응답 및 상기 세션 키를 사용하여 제2 서버에서 클라이언트를 인증하는 단계를 포함한다.
본 발명의 제6 양상에 따르면, 통신 네트워크의 네트워크 응용 기능에 사용자 장비를 인증하는 방법이 제공되는데, 상기 방법은:
사용자 장비로부터 네트워크 응용 기능으로 액세스 요청을 전송하는 단계;
응답이 네트워크 내에서 일부 다른 기능에 의해 수행되어야만 하는 인증에 관한 것이라고 네트워크 응용 기능에서 판단하는 단계;
요청을 상기 다른 기능으로 전달하는 단계;
상기 다른 기능으로부터 네트워크 응용 기능으로 챌런지를 리턴시키는 단계;
네트워크 응용 기능에 의해 발생된 챌런지와 함께 상기 챌런지를 사용자 장비로 전송하는 단계;
사용자 장비로부터 네트워크 응용 기능으로 챌런지 응답들을 전송하고, 상기 다른 기능의 챌런지에 관한 응답을 다른 기능으로 전달하는 단계; 및
네트워크 응용 기능 및 상기 다른 기능에서 응답의 유효성(validity)을 입증하는 단계를 포함한다.
본 발명의 제7 양상에 따르면, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버들에 클라이언트를 인증하는 방법이 제공되고, 여기서 클라이언트 및 제1 서버가 공유 암호화키를 프로세스하며, 상기 방법은:
클라이언트로부터 인증 서버로 인증 요청을 전송하는 단계로서, 상기 요청이 인증 서버가 위치된 곳과 다른 도메인을 식별하는 인증 헤더를 포함하는, 전송 단계;
상기 인증 서버에서, 요청이 다른 도메인을 향한다는 것을 인식하고 인증 헤더를 상기 도메인의 인증 서버로 전달하는 단계; 및
제2 상술된 인증 서버에서 인증 요청의 수신시, 제1 상술된 인증 서버를 인증하고, 클라이언트를 인증하여, 클라이언트를 인증하는 수단을 제1 상술된 인증 서버에 제공하는 단계를 포함한다.
중간 서버로부터 부가적인 서버로 전달되는 상기 인증 또는 액세스 요청에 대한 기준은 수신된 것과 같은 전체 요청 메시지의 전달 또는 그의 단지 일부의 전달을 포함한다. 또한, 요청이 수신된 포맷으로부터 다른 포맷으로 변환될 가능성을 커버한다. 단지 요청의 특성이 유지되는 것이 중요하다.
본 발명의 다른 양상은 이러한 방법에서 사용하는 사용자 장비 및 인증 서버에 관한 것이다.
도1은 일반적인 경우에 동시적인 인증 절차에 관한 시그널링의 흐름도;
도2는 범용 부트스트랩핑 아키텍처(Generic Bootstrapping Architecture)에 적용되는 동시적인 인증 절차에 관련된 시그널링의 흐름도;
도3은 일반적인 경우에 수정된 동시적인 인증 절차에 관련된 흐름도; 및
도4는 범용 부트스트랩핑에 적용되는 수정된 동시적인 인증 절차에 관련된 시그널링의 흐름도.
본 발명은 사용자 및/또는 사용자 장치에 대한 "동시적인" 인증 메커니즘을 제공하는데, 여기서 제2 인증 절차를 위한 자격은 제1 인증 절차가 완료되기 전에 제1 인증 절차의 자격으로부터 비롯된다. 제2 인증 절차는 그 후에 제1 인증 절차의 완료시 완료된다.
클라이언트 및 인증 서버(AUS)는 암호화키(S)를 공유한다. 클라이언트는 (제2) 서버와 접촉하고, 상기 서버는 클라이언트를 인증해야만 한다. 그러나 서버는 그 자신의 자격을 클라이언트와 공유하지 않는다. 클라이언트, 서버 및 AUS는 기존 암호화키(S)를 재사용할 것을 동의한다. 도1은 프로세스에 포함된 시그널링 단계들을 도시한다.
1) 클라이언트는 요청을 서버로 전송한다. 요청은 AUS에 의해 유지되는 서버가 암호화키(S)를 재사용하여 클라이언트를 인증할 수 있다는 것을 나타내는 인증 방법 특정 정보를 포함한다.
2) 서버는 AUS로부터의 정보가 재사용될 수 있다는 것을 인식하고, 인증 방법 특정 정보를 AUS로 전달한다. 서버 및 AUS는 통신의 개시시 서로 상호 인증한다.
3) AUS가 서버와 공동 동작하다면, AUS는 AUS 챌런지를 발생시키고, 상기 챌런지를 서버로 전달한다.
4) 서버는 AUS-챌런지(제1 인증 방법)를 클라이언트에게 중계하고 그 자신의 서버-챌런지(제2 인증 방법)를 추가한다. 이런 단계에서, 서버는 클라이언트에 관하여 자격이 없는 상태로 남을 수 있다.
5) 클라이언트는 두 개의 챌런지를 수신한다. 이는 공유 암호화키(S)를 사용하여 AUS-챌런지에 대한 응답을 준비한다. 그 후에 클라이언트는 제2 챌런지에 대한 응답을 준비하기 위해서 암호화키(S)로부터 서버 특정 키 요소를 얻는다. 클라이언트는 서버가 동일한 키를 프로세스한다는 것을 확실하게 하기 위해서 서버로부터 상호 인증을 요청한다. 이는 AUS가 서버를 신뢰한다는 것을 클라이언트에게 증명할 것이고, 획득된 키가 서버로 제공된다. 클라이언트는 AUS-응답 및 서버 응답 둘 다를 서버로 전송한다.
제1 인증 방법의 특성에 따르면, 클라이언트는 이러한 단계에서 AUS를 인증할 수 있다. 예를 들어, 이는 UMTS AKA, EAP AKA 및 HTTP Digest AKA 메커니즘과 함께 가능할 수 있다. 이는 대안적으로 아래의 단계9)에서 수행될 수 있다.
6) 서버는 서버 응답을 저장하고 AUS로 AUS-응답을 터널링한다(tunnel). 동시에, 서버는 서버-챌런지에 관련된 서버 특정 키 요소(암호화키(S)로부터 획득됨)를 요청한다.
7) AUS는 AUS-응답 및 공유 암호화키(S)를 사용하여 클라이언트를 인증한다. 그 후에 이는 클라이언트가 단계5)에서 행하는 S로부터 동일한 키 요소를 준비하고, 이러한 키 요소를 서버로 전송한다. AUS는 또한 이러한 키 요소에 대한 수명을 규정할 수 있고, 이를 서버에 제공한다. 클라이언트의 인증이 실패한다면, AUS는 키 요소를 리턴시키는 것이 아니라 인증 실패 메시지로 응답한다.
8) 서버는 단계6)로부터의 서버-응답 및 단계7)로부터 수신된 키 요소를 사용하여 클라이언트를 인증한다. 인증이 성공적이라면, 서버는 서비스를 클라이언트에게 제공할 것이다.
9) 클라이언트는 S로부터 얻어진 키 요소 및 서버-응답을 사용하여 서버를 인증한다. 제1 인증 방법의 특징에 따라, 클라이언트는 또한 이 단계에서 AUS를 인증할 수 있다. 예를 들어, 이는 HTTP Digest와의 경우일 것이고, 여기서 클라이언트는 AUS를 인증하기 위해서 인증-정보 헤더(Authentication-Info header)를 포함하기 위해 응답 메시지(예컨대, 200OK)를 요청한다.
클라이언트 및 AUS는 획득된 키가 유효한 시간 기리 상에서 정적 정책(static policy)을 가질 수 있다. 이러한 정책은 암호화키(S)가 규정되는 동시에 클라이언트에서 구성될 수 있다. 그러나 예컨대, 인증 메시지의 일부 파라미터에서 정책을 인코딩하기 위한 키 수명에 대한 승인을 위한 여러 방법이 있을 수 있다.
이런 일반적인 경우에, 클라이언트 아이덴티티는 재사용되었는지, 또는 재발생되었는지를 규정하기 어렵다는 것을 주의하자. 아이덴티티 승인은 특정 응용에 따를 것이다.
본 발명의 제1 예시적인 구현은 이제 도2를 참조하여 설명될 것인데, 상기 도2는 일부 무선 액세스 네트워크(도면에 도시되지 않음)와 통신하는 가입자 소유 3G 이동 단말기(UE)를 도시한다. 여기서 UE가 이미 무선 액세스 네트워크에 인증 받았다는 것과 (상술된 바와 같이 가입자의 홈 환경의 인증 및 액세스 네트워크의 서빙 노드 간의 시그널링의 교환을 포함하는) 3GPP AKA 절차를 사용하여 상기 네트 워크에 의해 제공되는 서비스를 사용하도록 권한을 부여받는다고 가정한다. 또한 네트워크 인증 기능(NAF) 및 부트스트랩핑 서버 기능(BSF)이 도1에 도시된다. 예를 들어, 무선 액세스 네트워크의 오퍼레이터에 의해 동작되어 제어될지라도, NAF의 위치는 이러한 논의의 목적에 중요하지 않다. BSF는 전형적으로 가입자의 홈 환경 내에 위치된다. 상술된 바와 같이, UE는 Ua 인터페이스를 통해 NAF와 통신하고 Ub 인터페이스를 통해 BSF와 통신한다.
단말기(UE)를 소유하는 가입자는 서비스를 사용하기 원하고, NAF에 의해 제어되는 액세스를 행하기를 원한다. 이런 서비스는 웹 서버로부터의 실시간 또는 스트리밍 비디오 브로드캐스트일 수 있다. 전형적으로, NAF는 가입자 자신이 누구인지 주장하는지를 알 필요가 있고, 청구 관계가 가입자를 위해 설정될 수 있다. 이를 행하기 위해서, NAF는 가입자의 홈 환경에 접촉해야만 한다. 종래 접근법에 비해 상당히 간략화된 절차가 이제 설명될 것이다. 이러한 절차는 그의 기초로써 3GPP GBA 표준 TS 33.220(v6.2.0) 및 TS 24.109(v6.0.0)를 취한다.
최적의 절차는 다른 프로토콜이 또한 가능할 수 있지만, 하이퍼텍스트 트랜스퍼 프로토콜(HTTP)이 Ua 인터페이스에서 사용된다고 가정한다. 절차는 다음의 단계를 포함한다:
1) UE는 Ua 인터페이스를 거쳐 HTTP 요청(전형적으로 HTTP GET)을 NAF로 전송한다. UE가 GBA 최적 절차를 지원한다면, Ub 인터페이스에서 사용하는 권한 부여 헤더를 이러한 HTTP 메시지에 포함할 것이다. 이런 권한 부여 헤더는 BSF의 "릴름(realm)" 및 사용자 아이덴티티를 포함한다. 개인적인 이유로, 사용자 아이덴티 티는 통상적인 Ub 인터페이스에 관련된 아이덴티티(IMSI 또는 IMPI)가 아닐 수 있다. 오히려, 아이덴티티는 이미 유효한 Ua 인터페이스에 관련된 아이덴티티, 즉, B-TID일 수 있다. 요청은 또한 다른 권한 부여 헤더를 포함할 수 있고, 특히 NAF에 관련된 권한 부여 헤더를 포함할 수 있다.
UE는 예컨대, 임의의 보안 키 수명이 종료된 것으로 보여진다면 GBA 최적화 절차를 사용하는 것을 시도하거나 GBA 절차가 사용되는지 여부를 UE가 모른다면 디폴트에 의해 GBA 최적화 절차를 사용하는 것을 시도한다고 판단할 수 있다.
2) HTTP 요청이 Ub 인터페이스에서 사용되는 권한 부여 헤더를 포함하는 경우에, NAF는 이런 헤더가 자신 외의 릴름에 대한 것이라는 것을 인식할 것이다. 헤더 정보를 기초로, NAF는 헤더 정보 또는 그의 관련된 부분을 BSF로 Zn 인터페이스를 통해 예컨대, DIAMETER 프로토콜을 사용하여 전달할 수 있다.
NAF가 GBA 최적화를 지원하지 않는다면, 일부 다른 릴름에 대한 것이기 때문에 권한 부여 헤더를 무시해야만 한다. NAF가 GBA 최적화를 지원할지라도, NAF는 또한 GBA 최적화를 사용하지 않는다는 정책 판단을 행할 수 있다. [이런 경우에, NAF가 HTTP 401 권한 부여 챌런지를 갖는 UE를 직접 챌런지하지 않아서, UE 및 NAF가 유효한 패스워드를 공유한다고 가정한다는 것을 주의하자.] NAF는 또한 Ub 인터페이스를 통해 부트스트랩 절차를 개시하는 메시지에 응답할 수 있다.
NAF로부터 HTTP 프로토콜의 수신시, BSF는 NAF가 최적화된 GBA 절차를 사용하도록 권한 부여되는지 여부를 입증한다. 예를 들어, BSF는 TLS를 사용하고, 로컬 데이터베이스로부터 권한 부여 데이터를 입증하는 NAF를 인증할 수 있다.
3) 권한이 부여되었다면, BSF는 DIAMETER 프로토콜 메시지 내에서 NAF로 HTTP Digest AKA를 리턴시킨다. 챌런지는 예컨대, 우선적인 파라미터에서 UE, B-TID2에 대한 새로운 아이덴티티를 포함한다. 또한, 챌런지는 UE가 B-TID2를 구성할 수 있는 "힌트"만을 포함하고, UE 및 BSF는 힌트로부터 아이덴티티를 구성하는 규칙을 알 수 있다. BSF는 가입자의 IMSI/IMPI로 돌아가는 B-TID에 관한 것일 수 있고, 이로써, 정확한 AKA 챌런지를 선택한다.
4) NAF로부터 UE로 향하는 HTTP 401 응답 메시지는 두 개의 권한 부여 챌런지를 포함하는데, 하나는 BSF로부터, 다른 하나는 NAF로부터의 권한 부여 챌런지이다. 주의. 이런 단계에서, NAF는 스테이트리스(stateless) 상태로 남을 수 있는데, 즉, UE를 "잊을 수 있다".
5) UE는 (BSF에서 발생된) Digest AKA 챌런지를 사용하여 홈 네트워크를 인증한다. UE는 HTTP Digest AKA 챌런지 및 다른 관련된 정보에 기초하여 새로운 GBA 관련 키잉 요소를 생성한다. 그 후에 UE는 B-TID2 및 관련된 키잉 요소를 사용하여 NAF 특정 키를 구성하고, 이러한 정보를 사용하여 제2 인증 챌런지(NAF를 향함)에 대한 응답을 생성한다. 제2 HTTP 요청은 NAF를 향하여 UE에 의해 전송되고, 두 개의 권한 부여 헤더를 포함하는데, 하나는 NAF에 대한 것이고 다른 하나는 BSF에 대한 것이다.
6) NAF는 BSF에 대한 AKA 응답(즉, BSF 권한 부여 헤더)을 "터널링"한다. 동시에, 이는 B-TID2 아이덴티티에 관련된 키잉 요소를 요청한다.
7) BSF는 Digest AKA 절차에 따라 UE를 인증한다. 그 후에 UE와 동일한 키잉 요소를 구성하고(단계5), NAF로 관련된 키들을 리턴시킨다. AKA 인증이 실패한다면, BSF는 오류 메시지를 NAF로 리턴시킨다.
8) NAF가 BSF로부터 적합한 키잉 요소를 수신하는 경우에, NAF는 제2 HTTP 요청에 포함된 제2 권한 부여 헤더를 사용하여 UE를 인증할 수 있다(단계5). 그 후에 NAF는 요청된 서비스를 UE로 전달하는 것을 용이하게 한다.
우선 일반적인 용어로 상세한 구현에 대해서 대안적인 평행 인증 메커니즘을 이제 설명할 것이다.
도3은 상술된 바와 같은 통신 시스템의 구성 요소를 도시하는데, 여기서 클라이언트 및 인증 서버(AUS)는 암호화키(S)를 공유한다. 단계1) 내지 단계3)은 도1을 참조하는 상기 설명과 동일하다. 그러나 단계4)에서, 서버가 클라이언트로의 AUS 챌런지를 수신한 후에, 그 자신의 임의의 챌런지를 부가하지 않고 클라이언트로 이들을 전달한다.
클라이언트는 챌런지를 수신하고, 공유 암호화키(S)로부터 서버 특정 키 요소를 획득하며 이들을 사용하여 AUS 챌런지에 응답할 준비를 한다. 클라이언트는 (S로부터 획득된)서버 특정 키 요소를 사용하여 AUS로부터 상호 권한을 요청한다. 이는 AUS가 서버를 신뢰한다는 것을 클라이언트에게 증명할 것이고, 그러므로 S로부터 서버 특정 키 요소가 획득된다. 클라이언트는 단계5)에서 AUS-응답을 서버로 전송한다. 도1의 절차를 참조하면, 제1 인증 방법의 특징에 따라, 클라이언트가 이미 이 단계에서 AUS를 인증할 수 있다.
단계6)에서, 서버는 AUS에 대한 AUS 응답을 터널링하는 반면, 그 자신은 응 답의 사본을 유지한다. 동시에, 서버는 AUS로부터 (S로부터 획득된) 서버 특정 키 요소를 요청한다. 반면, 서버는 진행중인 인증 절차에서 이런 키 요소를 필요로 하지 않고, 나중에 클라이언트를 인증하는데 사용될 수 있다.
AUS는 단계5)에서 클라이언트가 준비한 공유 암호화키(S)와 동일한 키 요소를 준비하고, AUS 응답 및 획득된 키 요소를 사용하여 클라이언트를 인증한다. AUS는 서버 특정 키 요소를 사용하여 인증 반복을 준비하고 이를 단계7)에서 서버로 전송한다. AUS는 서버에 클라이언트가 인증되었다는 것을 나타내고, 키 요소를 서버로 전송한다. 다시, AUS는 새로운 키 요소에 대한 수명을 규정할 수 있고, 이를 서버에 제공한다. 클라이언트에 대한 인증이 실패한다면, AUS는 키 요소를 리턴시키는 것이 아니라, 인증 실패 메시지와 함께 반복된다. AUS가 인증 반복을 준비하는 것이 아니라, 대신 키 요소를 서버로 리턴시켜 서버가 인증 반복을 준비할 수 있게 한다는 것을 주의하자.
서버는 인증 표시 및 키 요소를 AUS로부터 수신한다. 인증이 성공적이라면, 서버는 서비스를 클라이언트에게 제공할 것이다. 서버는 단계8)에서 인증 반복을 클라이언트에게 전달한다. (서버가 AUS에 의해 제공되는 인증에 의존할 수 있음에 따라 필수적이지 않을지라도) 서버는 AUS에 의해 리턴된 키를 사용하여 단계5)에서 클라이언트에 의해 전송된 AUS 응답을 테스트할 수 있다.
단계9)에서, 클라이언트는 공유 암호화키(S)로부터 획득된 키 요소 및 인증 반복을 사용하여 서버를 인증한다. 이는 AUS가 서버를 신뢰한다는 것을 클라이언트에게 증명할 것이다. 인증 방법의 특징에 기초하여, 클라이언트는 또한 이 단계에 서 AUS를 인증할 수 있다. 예를 들어, 이는 HTTP Digest 메커니즘을 사용하는 경우일 것이다.
이런 일반적인 절차의 상세한 구현은 Ua 인터페이스에서 사용된다. 절차는 도4에 도시된다. 단계1) 내지 단계3)은 도2를 참조하여 상술된 바와 같다. 그러나 단계4)에서, NAF는 401 응답 메시지를 UE를 향하여 전달하여, NAF에 의해 생성된 임의의 챌런지 없이 BSF로부터의 인증 챌런지를 나타낸다.
UE는 (BSF로부터의) Digest AKA 챌런지를 사용하여 BSF를 인증한다. UE는 HTTP Digest AKA 챌런지 및 다른 관련 정보에 기초하여 새로운 GBA 관련 키잉 요소를 생성한다. UE는 이런 키잉 요소 및 다른 관련 정보(예컨대, NAF의 아이덴티티)를 사용하여 NAF 특정 키들을 획득하고, 그 후에 BSF를 향하는 HTTP Digest AKA 응답을 준비할 때 패스워드로써 NAF 특정 키들을 사용한다. UE는 HTTP Digest AKA 응답에서 클라이언트 넌스(client nonce)를 포함하고 단계5)에서 응답을 NAF를 향해 전송한다.
이런 UE 행동(behavior)은 HTTP Digest AKA 챌런지에 응답할 때 RFC 3310(HTTP Digest AKA) 상의 표준 동작을 위반한다. HTTP Digest AKA에서 사용되는 패스워드는 NAF 특정 키가 아니라 "RES"이어야만 한다. 그러나 이런 예외적인 절차는 NAF 아이덴티티가 인증 절차에 구속된다는 것을 보장한다.
단계6)에서, NAF는 AKA 응답을 BSF로 터널링한다. 동시에, NAF는 (예컨대, IMSI/IMPI 또는 새로운 B-TID에 의해 식별되는) UE에 관련된 키잉 요소를 요청한다. BSF는 단계5)에서 행해지는 UE와 동일한 NAF 특정 키잉 요소를 구성한다. 그 후에 BSF는 NAF 특정 키를 사용하여 UE(Digest AKA 응답)를 인증한다. BSF는 NAF 특정 키 및 클라이언트 넌스를 사용하여 200 OK 메시지를 준비하고, 단계7)에서 이를 NAF로 전송한다. 메시지는 UE에 대한 새로운 아이덴티티, 즉, B-TID2를 포함할 수 있다. 메시지는 UE가 아이덴티티 B-TID2를 구성할 수 있는 방법으로써 단지 힌트를 포함할 수 있다(새로운 아이덴티티는 단계3) 또는 단계7)에서 할당될 수 있다).
BSF는 또한 UE가 성공적으로 인증되었다는 표시와 함께 관련된 키를 NAF로 전송한다. NAF가 아직 새로운 아이덴티티 B-TID2를 발견하지 않았다면, BSF는 또한 정보를 NAF로 리턴시킨다. AKA 인증이 실패한다면, BSF는 오류 메시지를 NAF로 리턴시킨다.
단계8)에서, NAF는 200 OK 메시지를 UE로 전달한다. NAF는 NAF 특정 키를 저장하여, 예컨대, 다음의 액세스 요청의 경우에 UE를 인증한다. NAF는 이제 서비스를 UE에 제공할 준비를 한다. 단계9)에서, UE는 200 OK 메시지 및 NAF 특정 키의 수신에 기초하여 NAF를 인증할 수 있다. 이는 BSF가 또한 NAF 특정 키를 획득하고, UE는 BSF를 인증하기 때문에, 간접적으로 NAF를 인증할 수 있다.
여러 수정이 본 발명의 범위를 벗어나지 않고 상술된 실시예에서 행해질 수 있다는 것이 당업자에게 명백할 것이다.

Claims (37)

  1. 클라이언트 및 제1 서버가 공유 암호화키를 프로세싱하는, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법에 있어서,
    상기 공유 암호화키를 사용하여 제1 서버에 상기 클라이언트를 인증하고, 제2 서버를 통해 상기 클라이언트 및 상기 제1 서버 간에 전송되는 이런 인증 프로세스에 관하여 시그널링하는 단계;
    상기 클라이언트 및 상기 제1 서버에서 세션 키를 발생시키고 상기 세션 키를 상기 제2 서버에 제공하는 단계; 및
    상기 클라이언트를 상기 제2 서버에 인증하기 위해 상기 세션 키를 사용하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  2. 제 1항에 있어서,
    상기 제2 서버를 상기 제1 서버에 인증하고 상기 세션 키를 이런 인증 프로세스 이후에 상기 제1 서버로부터 제1 서버로 제공하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  3. 제 1항 또는 제 2항에 있어서,
    상기 클라이언트를 제1 서버에 인증하는 단계 및 상기 클라이언트를 제2 서버에 인증하는 단계들 중 하나 또는 둘 다가 HTTP Digest 프로토콜을 사용하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  4. 제 3항에 있어서,
    상기 HTTP Digest 프로토콜이 HTTP Digest AKA 프로토콜인 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  5. 제 3항 또는 제 4항에 있어서,
    HTTP Digest 정보가 다른 프로토콜을 사용하여 상기 제1 및 제2 서버 간에 터널링되는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  6. 제 5항에 있어서,
    상기 다른 프로토콜이 DIAMETER인 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  7. 제 1항 내지 제 6항 중 어느 한 항에 있어서,
    상기 제1 서버로부터 상기 제2 서버로 제1 인증 챌런지를 전송하는 단계 및 상기 제1 인증 챌런지를 제2 서버로부터 상기 클라이언트로 전달하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  8. 제 7항에 있어서,
    상기 제2 서버에서 제2 인증 챌런지를 생성하고 상기 제1 챌런지와 함께 이들을 클라이언트로 전송하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  9. 제 8항에 있어서,
    상기 공유 암호화키를 사용하여 클라이언트에서 제1 챌런지 응답을 발생시키고, 상기 세션 키를 발생시키고, 상기 세션 키를 사용하여 제2 챌런지 응답을 발생시키며, 이러한 응답들을 상기 제2 서버로 전송하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  10. 제 9항에 있어서,
    상기 제1 챌런지 응답을 상기 제1 서버로 전달하고, 상기 응답의 유효성을 입증하고, 상기 세션 키를 상기 제2 서버로 전송하며, 상기 제2 서버에서 상기 제2 챌런지 응답의 유효성을 입증하기 위해서 수신된 세션 키를 사용하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  11. 제 1항 내지 제 10항 중 어느 한 항에 있어서,
    상기 제1 및/또는 제2 서버를 상기 클라이언트에 인증하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  12. 제 11항에 있어서,
    제 7항 내지 제 10항 중 어느 한 항에 부가될 때, 상기 클라이언트가 상기 제1 인증 챌런지를 사용하여 제1 서버를 인증하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  13. 제 11항에 있어서,
    제 8항 내지 제 10항 중 어느 한 항에 부가될 때, 상기 클라이언트가 상기 제2 인증 챌런지의 수신시 제2 서버를 인증하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  14. 제 11항에 있어서,
    제8항 내지 제 10항 중 어느 한 항에 부가될 때, 상기 클라이언트가 상기 인증 응답의 수신시 제2 서버를 인증하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  15. 통신 시스템 내에서 인증 서버를 동작시키는 방법에 있어서,
    클라이언트 및 부가적인 인증 서버가 암호화 키를 공유하는, 상기 클라이언트 및 상기 부가적인 인증 서버 간에 시그널링하는 인증을 중계하는 단계,
    상기 부가적인 인증 서버로부터 세션 키를 수신하고, 상기 클라이언트를 인증하기 위해서 상기 세션 키를 사용하는 단계를 포함하는 것을 특징으로 하는 통신 시스템 내에서 인증 서버를 동작시키는 방법.
  16. 제 15항에 있어서,
    상기 인증 서버가 Ua 인터페이스를 통해 클라이언트와 통신하고, Zn 인터페이스를 통해 부가적인 인증 서버와 통신하는 네트워크 인증 기능인 것을 특징으로 하는 통신 시스템 내에서 인증 서버를 동작시키는 방법.
  17. 통신 네트워크에서 사용하기에 적합한 인증 서버에 있어서,
    클라이언트 및 부가적인 인증 서버 간에 시그널링하는 인증을 중계하는 중계 수단;
    상기 부가적인 인증 서버의 인증에 따라 상기 부가적인 인증 서버로부터 세 션 키를 수신하는 수신 수단; 및
    상기 클라이언트를 인증하기 위해서 상기 세션 키를 사용하는 프로세싱 수단을 포함하는 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  18. 제 17항에 있어서,
    상기 서버가 네트워크 인증 서버인 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  19. 제 18항에 있어서,
    상기 중계 수단은 상기 클라이언트로부터 수신된 액세스 요청이 네트워크 내에서 일부 다른 기능에 의해 수행되어야만 하는 인증에 관한 것을 판단하고, 이에 따라 상기 부가적인 서버로 요청을 중계하도록 배열되는 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  20. 통신 시스템 내에서 인증 서버를 동작시키는 방법에 있어서,
    클라이언트 단말기를 인증하기 위해서 부가적인 서버를 통해 클라이언트와 시그널링을 교환하는 단계;
    상기 클라이언트 및 상기 인증 서버 간에 공유된 암호화키를 사용하여 세션 키를 발생시키는 단계; 및
    상기 세션 키를 상기 부가적인 서버로 전송하는 단계를 포함하는 것을 특징 으로 하는 통신 시스템 내에서 인증 서버를 동작시키는 방법.
  21. 제 20항에 있어서,
    상기 인증 서버가 부트스트래핑 서버 기능이고 Zn 인터페이스를 통해 상기 부가적인 서버와 통신하는 것을 특징으로 하는 통신 시스템 내에서 인증 서버를 동작시키는 방법.
  22. 통신 네트워크에서 사용하기에 적합한 인증 서버에 있어서,
    클라이언트 단말기를 인증하기 위해서 부가적인 서버를 통해 클라이언트와 시그널링을 교환하는 프로세싱 및 통신 수단;
    상기 클라이언트 및 상기 인증 서버 간에 공유된 암호화키를 사용하여 세션 키를 발생시키는 부가적인 프로세싱 수단; 및
    상기 세션 키를 상기 부가적인 서버로 전송하는 부가적인 통신 수단을 포함하는 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  23. 제 22항에 있어서,
    상기 서버가 부트스트래핑 서버 기능인 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  24. 통신 네트워크에 커플링된 클라이언트를 동작시키는 방법에 있어서,
    상기 클라이언트를 제1 서버에 인증하기 위해서 제2 서버를 통해 상기 제1 서버와 시그널링을 교환하는 단계;
    상기 클라이언트 및 상기 제1 서버 간에 공유된 암호화키를 사용하여 세션 키를 발생시키는 단계; 및
    상기 제2 서버로부터 인증 챌런지를 수신하고 상기 세션 키를 사용하여 챌런지 응답을 발생시키는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  25. 제 24항에 있어서,
    상기 클라이언트가 이동 무선 통신 단말기인 것을 특징으로 하는 통신 네트워크에서 사용하기에 적합한 인증 서버.
  26. 클라이언트 단말기에 있어서,
    상기 클라이언트를 상기 제1 서버에 인증하기 위해서 제2 서버를 통해 제1 서버와 시그널링을 교환하는 프로세싱 및 통신 수단;
    상기 클라이언트 및 상기 제1 서버 간에 공유된 암호화키를 사용하여 세션 키를 발생시키는 부가적인 프로세싱 수단; 및
    상기 제2 서버로부터 인증 챌런지를 수신하고 상기 세션 키를 사용하여 챌런지 응답을 발생시키는 입력 및 프로세싱 수단을 포함하는 것을 특징으로 하는 클라이언트 단말기.
  27. 클라이언트 및 제1 서버가 공유 암호화키를 프로세싱하는, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법에 있어서,
    상기 클라이언트로부터 상기 제1 서버로 제2 서버를 통해 인증 요청을 전송하는 단계;
    상기 제1 서버에서 상기 요청의 수신시, 상기 공유 암호화키를 사용하여 제1 인증 챌런지를 발생시키고 상기 챌런지를 상기 제2 서버로 전송하는 단계;
    상기 제1 챌런지를 제2 서버로 전달하고, 상기 제2 서버에서 제2 인증 챌런지를 발생시키며, 상기 제2 서버로부터 상기 클라이언트로 상기 제1 및 제2 챌런지를 전송하는 단계;
    상기 클라이언트에서 상기 챌런지의 수신시, 상기 공유 암호화 키를 사용하여 상기 제1 클라이언트로 제1 챌런지 응답 및 세션 키를 발생시키고, 상기 세션 키를 사용하여 상기 제2 챌런지로 제2 챌런지 응답을 발생시키는 단계;
    상기 챌런지 응답을 상기 제2 서버로 전송하고, 상기 제1 챌런지 응답을 제1 서버로 전달하는 단계;
    상기 제1 챌런지 응답 및 상기 공유 암호화키를 사용하여 상기 제1 서버에서 상기 클라이언트를 인증하고, 상기 클라이언트가 인증되는 경우에, 상기 제1 서버에서 상기 세션 키를 발생시키고 이를 상기 제2 서버로 전송하는 단계; 및
    상기 제2 챌런지 응답 및 상기 세션 키를 사용하여 상기 제2 서버에서 상기 클라이언트를 인증하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버에 클라이언트를 인증하는 방법.
  28. 통신 네트워크의 네트워크 응용 기능에 사용자 장비를 인증하는 방법에 있어서,
    상기 사용자 장비로부터 상기 네트워크 응용 기능으로 액세스 요청을 전송하는 단계;
    상기 네트워크 응용 기능에서 상기 요청이 상기 네트워크 내에서 일부 다른 기능에 의해 수행되어야만 하는 인증에 관한 것이라고 판단하는 단계;
    상기 요청을 상기 다른 기능으로 전달하는 단계;
    상기 다른 기능으로부터 네트워크 응용 기능으로 챌런지를 리턴시키는 단계;
    상기 네트워크 응용 기능의 부가적인 챌런지 및 상기 챌런지를 상기 사용자 장비로 전송하는 단계;
    상기 사용자 장비로부터 상기 네트워크 응용 기능으로 챌런지 응답을 전송하고 상기 다른 기능의 챌런지에 관한 응답을 다른 기능으로 전달하는 단계; 및
    상기 네트워크 응용 기능 및 상기 다른 기능에서 상기 응답의 유효성을 입증하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크의 네트워크 응용 기능에 사용자 장비를 인증하는 방법.
  29. 상기 사용자 장비 및 상기 다른 기능이 암호화 키를 공유하고, 상기 인증 절차 동안 상기 암호화 키로부터 세션 키를 획득하며, 상기 기능은 세션 키를 상기 네트워크 응용 기능에 제공하며, 상기 사용자 장비가 상기 챌런지 응답을 발생시키기 위해서 상기 세션 키를 사용하는 것을 특징으로 하는 통신 네트워크의 네트워크 응용 기능에 사용자 장비를 인증하는 방법.
  30. 클라이언트 및 제1 서버가 공유 암호화키를 프로세싱하는, 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법에 있어서,
    클라이언트로부터 인증 서버로 인증 요청을 전송하는 단계로서, 상기 요청은 상기 인증 서버가 위치된 곳과는 다른 도메인을 식별하는 인증 헤더를 포함하는, 전송 단계;
    상기 인증 서버에서, 상기 요청이 다른 도메인을 향한다는 것을 인식하고, 상기 인증 헤더를 상기 도메인의 인증 서버로 전달하는 단계; 및
    상기 제2 인증 서버에서 상기 인증 요청의 수신시, 상기 제1 인증 서버를 인증하고, 상기 클라이언트를 인증하며 상기 제1 인증 서버에 상기 클라이언트를 인증하는 수단을 제공하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
  31. 제 30항에 있어서,
    상기 클라이언트 및 상기 인증 서버가 상기 공유 암호화키를 사용하여 세션 키를 발생시키고, 상기 제2 인증 서버가 상기 세션 키를 상기 제1 인증 서버에 제공하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서 버로 클라이언트를 인증하는 방법.
  32. 제 31항에 있어서,
    상기 클라이언트가 상기 제1 인증 서버를 인증하기 위해서 상기 세션 키를 사용하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
  33. 제 32항에 있어서,
    상기 제2 인증 서버가 상기 세션 키에 의해 보호받는 상기 클라이언트로 인증 챌런지를 리턴시키는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
  34. 제 30항 내지 제 33항 중 어느 한 항에 있어서,
    상기 클라이언트를 인증하는 수단이 상기 제2 인증 서버가 클라이언트를 인증했다는 통지인 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
  35. 제 30항 내지 제 34항 중 어느 한 항에 있어서,
    상기 제1 및 제2 인증 서버를 상기 클라이언트에 인증하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클 라이언트를 인증하는 방법.
  36. 제 30항 내지 제 35항 중 어느 한 항에 있어서,
    상기 제1 인증 서버가 Ua 인터페이스를 통해 상기 클라이언트와 통신하는 네트워크 인증 기능이고, 상기 제2 인증 서버는 Zn 인터페이스를 통해 상기 제1 인증 서버와 통신하는 부트스트래핑 서버 기능인 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
  37. 제 1항 내지 16항, 20항, 21항, 24항, 25항 및 27항 내지 36항 중 어느 한 항에 있어서,
    상기 통신 시스템이 무선 액세스 네트워크를 포함하고, 상기 클라이언트 또는 통신 장비는 이동 무선 통신 단말기인 것을 특징으로 하는 통신 네트워크를 통해 모두 커플링된 두 개 이상의 서버로 클라이언트를 인증하는 방법.
KR20077019637A 2005-01-28 2005-01-28 통신 시스템에서 사용자 인증 및 권한 부여 KR100995423B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2005/050372 WO2006079419A1 (en) 2005-01-28 2005-01-28 User authentication and authorisation in a communications system

Publications (2)

Publication Number Publication Date
KR20070102722A true KR20070102722A (ko) 2007-10-19
KR100995423B1 KR100995423B1 (ko) 2010-11-18

Family

ID=34960251

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20077019637A KR100995423B1 (ko) 2005-01-28 2005-01-28 통신 시스템에서 사용자 인증 및 권한 부여

Country Status (9)

Country Link
US (1) US8555345B2 (ko)
EP (1) EP1842319B1 (ko)
JP (1) JP4643657B2 (ko)
KR (1) KR100995423B1 (ko)
CN (1) CN101112038B (ko)
BR (1) BRPI0519861A2 (ko)
CA (1) CA2594468A1 (ko)
IL (1) IL184606A0 (ko)
WO (1) WO2006079419A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9826335B2 (en) 2008-01-18 2017-11-21 Interdigital Patent Holdings, Inc. Method and apparatus for enabling machine to machine communication
US9924366B2 (en) 2009-03-06 2018-03-20 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7636940B2 (en) * 2005-04-12 2009-12-22 Seiko Epson Corporation Private key protection for secure servers
DE102005026982A1 (de) * 2005-06-10 2006-12-14 Siemens Ag Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
DE102006038037A1 (de) * 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
EP2056565A1 (fr) * 2007-10-29 2009-05-06 Axalto Procédé d'authentification d'un utilisateur accédant à un serveur distant à partir d'un ordinateur
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
US8918079B2 (en) * 2007-11-19 2014-12-23 Avaya Inc. Determining authentication challenge timing and type
US9027119B2 (en) 2007-11-19 2015-05-05 Avaya Inc. Authentication frequency and challenge type based on application usage
US8978117B2 (en) * 2007-11-19 2015-03-10 Avaya Inc. Authentication frequency and challenge type based on environmental and physiological properties
CN101478755B (zh) * 2009-01-21 2011-05-11 中兴通讯股份有限公司 一种网络安全的http协商的方法及其相关装置
US8484708B2 (en) * 2009-12-11 2013-07-09 Canon Kabushiki Kaisha Delegating authentication using a challenge/response protocol
US8621212B2 (en) * 2009-12-22 2013-12-31 Infineon Technologies Ag Systems and methods for cryptographically enhanced automatic blacklist management and enforcement
CN102111759A (zh) * 2009-12-28 2011-06-29 ***通信集团公司 一种认证方法、***和装置
WO2012092604A2 (en) * 2010-12-30 2012-07-05 Interdigital Patent Holdings, Inc. Authentication and secure channel setup for communication handoff scenarios
US8630411B2 (en) 2011-02-17 2014-01-14 Infineon Technologies Ag Systems and methods for device and data authentication
WO2014113193A1 (en) 2013-01-17 2014-07-24 Intel IP Corporation Dash-aware network application function (d-naf)
WO2015004744A1 (ja) * 2013-07-10 2015-01-15 株式会社野村総合研究所 認証装置、認証方法、およびプログラム
CN104426656B (zh) * 2013-08-19 2019-04-05 中兴通讯股份有限公司 数据收发方法及***、消息的处理方法及装置
US11349675B2 (en) * 2013-10-18 2022-05-31 Alcatel-Lucent Usa Inc. Tamper-resistant and scalable mutual authentication for machine-to-machine devices
US20160249215A1 (en) * 2013-10-29 2016-08-25 Kyocera Corporation Communication control method, authentication server, and user terminal
SE539271C2 (en) 2014-10-09 2017-06-07 Kelisec Ab Mutual authentication
US9967260B1 (en) 2015-01-26 2018-05-08 Microstrategy Incorporated Enhanced authentication security
EP3151503B1 (de) * 2015-09-29 2019-12-11 Siemens Aktiengesellschaft Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
AU2016340025B2 (en) * 2015-10-16 2021-12-09 Kasada Pty Ltd Dynamic Cryptographic Polymorphism (DCP) system and method
EP3427503B1 (en) 2016-03-09 2021-12-15 Telefonaktiebolaget LM Ericsson (publ) Systems and methods for using gba for services used by multiple functions on the same device
CN110198540B (zh) * 2019-05-09 2022-05-24 新华三技术有限公司 Portal认证方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69534012T2 (de) * 1994-03-17 2006-05-04 Kokusai Denshin Denwa Co., Ltd. Authentifizierungsverfahren für mobile Kommunikation
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
JP2001243196A (ja) * 2000-03-01 2001-09-07 Fujitsu Ltd 携帯電話とicカードを利用した個人認証システム
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US7254237B1 (en) * 2001-01-12 2007-08-07 Slt Logic, Llc System and method for establishing a secure connection
DE10392788T5 (de) 2002-06-12 2005-05-25 Telefonaktiebolaget Lm Ericsson (Publ) Nichtablehnung von Dienstvereinbarungen
GB0314971D0 (en) * 2003-06-27 2003-07-30 Ericsson Telefon Ab L M Method for distributing passwords
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
CN100592678C (zh) * 2004-02-11 2010-02-24 艾利森电话股份有限公司 用于网络元件的密钥管理
US7966646B2 (en) * 2006-07-31 2011-06-21 Aruba Networks, Inc. Stateless cryptographic protocol-based hardware acceleration

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9826335B2 (en) 2008-01-18 2017-11-21 Interdigital Patent Holdings, Inc. Method and apparatus for enabling machine to machine communication
US9924366B2 (en) 2009-03-06 2018-03-20 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices

Also Published As

Publication number Publication date
CN101112038B (zh) 2013-04-24
BRPI0519861A2 (pt) 2009-03-24
US8555345B2 (en) 2013-10-08
JP2008529368A (ja) 2008-07-31
EP1842319B1 (en) 2017-12-27
US20090013381A1 (en) 2009-01-08
CA2594468A1 (en) 2006-08-03
EP1842319A1 (en) 2007-10-10
JP4643657B2 (ja) 2011-03-02
CN101112038A (zh) 2008-01-23
KR100995423B1 (ko) 2010-11-18
WO2006079419A1 (en) 2006-08-03
IL184606A0 (en) 2007-12-03

Similar Documents

Publication Publication Date Title
KR100995423B1 (ko) 통신 시스템에서 사용자 인증 및 권한 부여
US8582762B2 (en) Method for producing key material for use in communication with network
KR101038064B1 (ko) 애플리케이션 인증
JP4741664B2 (ja) 認証及びプライバシーに対する方法及び装置
US7984298B2 (en) Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network
US9485232B2 (en) User equipment credential system
JP6086987B2 (ja) ホットスポットネットワークにおける未知のデバイスに対する制限付き証明書登録
US20110004754A1 (en) Method And Apparatuses For Authentication And Reauthentication Of A User With First And Second Authentication Procedures
US8875236B2 (en) Security in communication networks
KR20070032805A (ko) 복수의 네트워크를 액세스하기 위한 싱글-사인-온을실현하도록 사용자 인증 및 승인을 관리하는 시스템 및방법
JP7470671B2 (ja) コアネットワークへの非3gpp装置アクセス
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
Sharma et al. Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks
CN102694779B (zh) 组合认证***及认证方法
EP1844595B1 (en) Authentication using GAA functionality for unidirectional network connections
US9485654B2 (en) Method and apparatus for supporting single sign-on in a mobile communication system
WO2009124587A1 (en) Service reporting
KR20130085170A (ko) 무선 네트워크에서 가입자 단말의 핸드오버 시 인증 절차를 단축시키는 방법 및 장치
Díaz-Sánchez et al. A general IMS registration protocol for wireless networks interworking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131025

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141028

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151027

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161026

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171025

Year of fee payment: 8