KR20080050971A - Authentication management method for roaming in heterogeneous wireless network link system - Google Patents
Authentication management method for roaming in heterogeneous wireless network link system Download PDFInfo
- Publication number
- KR20080050971A KR20080050971A KR20070075990A KR20070075990A KR20080050971A KR 20080050971 A KR20080050971 A KR 20080050971A KR 20070075990 A KR20070075990 A KR 20070075990A KR 20070075990 A KR20070075990 A KR 20070075990A KR 20080050971 A KR20080050971 A KR 20080050971A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- user terminal
- wireless network
- key
- roaming
- Prior art date
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법에 관한 것으로, 특히 USIM 카드가 장착된 사용자 단말기를 이용하여 이종 무선망 사이에서 일관성 있는 인증 및 통신 서비스가 수행되도록 하기 위한 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법에 관한 것이다.The present invention relates to an authentication method required for roaming in a heterogeneous wireless network interworking system. In particular, a heterogeneous wireless network interworking system for performing a consistent authentication and communication service between heterogeneous wireless networks using a user terminal equipped with a USIM card. Relates to the authentication method required for roaming.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2005-S-058-02, 과제명: 무선 네트워크 연동용 보안 플랫폼 기술 개발].The present invention is derived from the research conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. [Task Management Number: 2005-S-058-02, Title: Security Platform for Interworking with Wireless Networks] Technology development].
현재 이동통신을 통한 무선망은 가입자 포화상태에 도달하여 가입자의 증가율이 둔화되는 추세이며, 가입자들은 데이터 서비스를 포함한 신규 서비스를 요구하고 있다. Currently, wireless networks through mobile communication have reached the saturation rate of subscribers, and the rate of increase of subscribers is slowing down. Subscribers are demanding new services including data services.
한편, 무선기술의 발전에 힘입어 랜(LAN: Local Area Network)기술이 무선 랜(WLAN: Wireless LAN)으로 확장되었으며, 이러한 기술력을 토대로 2.3GHz 휴대 인터넷이 탄생하였다. 이들 중 이동통신 서비스는 이동성이 높지만 전송속도가 낮고 요금이 비싸다. 반면, 무선 랜 서비스는 높은 전송속도와 저렴한 요금이라는 장점을 갖지만, 이동성이 낮다는 단점을 가지고 있다. Meanwhile, with the development of wireless technology, LAN (Local Area Network) technology has been extended to wireless LAN (WLAN), and 2.3GHz portable Internet has been created based on this technology. Among them, mobile communication services have high mobility but low transmission speed and high price. On the other hand, wireless LAN service has the advantage of high transmission speed and low rate, but has the disadvantage of low mobility.
휴대 인터넷 서비스는 무선 랜 서비스에 비해 높은 이동성을 제공하고 이동통신 서비스에 비해 높은 전송속도와 저렴한 요금을 목표로 하고 있다. 따라서, 높은 데이터 전송 속도와 이동성을 동시에 만족시키기 위한 방법으로서 서로 다른 무선망을 연동하여 통합 무선 망 서비스 체계를 구축하려는 노력이 이루어지고 있다. Portable Internet service aims to provide higher mobility than wireless LAN service and higher transmission speed and lower rate than mobile communication service. Accordingly, efforts have been made to establish an integrated wireless network service system by interworking different wireless networks as a method for simultaneously satisfying high data transmission speed and mobility.
이러한 이종 망을 연동하기 위해서는 인증, 키 관리, 로밍/핸드오버 관리 등 여러 가지 측면에서 발생할 수 있는 보안상의 문제를 해결하여야 한다. In order to interwork these heterogeneous networks, it is necessary to solve security problems that may occur in various aspects such as authentication, key management, and roaming / handover management.
즉, 이동통신망, 무선 랜, 휴대 인터넷에서는 사용자 인증을 위해 통합된 인증에 필요한 정보를 생성하고, 이에 기반 하여 사용자와 상호 인증을 수행한다. 인증이 성공적으로 종료되면, 사용자 단말기와 망은 데이터 통신 보안에 필요한 암복호화 키 및 무결성 키를 공유하게 된다. That is, the mobile communication network, the wireless LAN, and the portable Internet generate information necessary for integrated authentication for user authentication, and perform mutual authentication with the user based on the information. If the authentication is successfully completed, the user terminal and the network share an encryption key and an integrity key necessary for data communication security.
그러나 이러한 이동통신망, 무선 랜 및 휴대 인터넷은 서로 다른 프로토콜을 사용하고 있기 때문에 각 망에서 사용자 단말기와 공유하는 키들이 다르다. However, since these mobile networks, wireless LANs, and portable Internet use different protocols, the keys shared with the user terminals in each network are different.
따라서, 이동통신, 무선 랜, 휴대인터넷이 연동되는 환경에서 망에 접속하기 위해 인증과정을 수행한 사용자 단말기가 이종 망으로 이동할 경우에 새로운 망에서 다시 인증과정을 수행하여야 한다.Therefore, when a user terminal performing an authentication process to access a network in an environment in which mobile communication, a wireless LAN, and a portable Internet are interworked moves to a heterogeneous network, the authentication process must be performed again in a new network.
이에, 본 발명은 상기와 같은 문제점을 해결하기 위한 것으로, USIM(Universal Subscriber Identity Module) 카드를 사용자 단말기에 장착하여 이종 무선망 연동시 필요한 인증절차를 간단히 한 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법을 제공함에 있다. Accordingly, the present invention is to solve the above problems, the authentication required for roaming in a heterogeneous wireless network interworking system to simplify the authentication procedure required for interworking heterogeneous wireless network by mounting a Universal Subscriber Identity Module (USIM) card to the user terminal In providing a method.
상기 과제를 해결하기 위한 수단으로 본 발명의 일 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기의 로밍에 필요한 인증 방법은, 상기 제2무선망의 제2인증장치가 상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 상기 사용자 단말기가 상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 제2인증장치로 전송하는 단계; 상기 제2인증장치가 상기 사용자 식별자 및 위치정보를 이용하여 키 색인값을 포함하는 상기 사용자 단말기의 인증 데이터를 상기 제1무선망의 제1인증장치로부터 획득하고, 상기 획득된 키 색인값과 상기 사용자 단말기의 현재 위치 정보가 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 전송하는 단계; 상기 사용자 단말기가 상기 키 확인 요구 메시지의 키 색인값과 자신이 기 포함하는 키 색인값을 비교하여 일치하는 경우, 상기 제2인증장치로 키 확인 응답 메시지를 전송하고, 이에 대응하여 상기 제2인증 장치로부터 로밍 성공 메시지를 제공받는 단계를 포함하는 것을 특징으로 한다.In the heterogeneous wireless network interworking system according to an aspect of the present invention as a means for solving the problem, an authentication method required for roaming the user terminal when the user terminal authenticated from the first wireless network is moved to the second wireless network, The second authentication device of the second wireless network generates a user identification request message for identifying the user terminal, and the user terminal sends a roaming request message including the location information and the user identifier of the first wireless network. Transmitting to a second authentication device; The second authentication device obtains authentication data of the user terminal including the key index value from the first authentication device of the first wireless network by using the user identifier and the location information, and obtains the obtained key index value and the Transmitting a key confirmation request message including current location information of the user terminal to the user terminal; When the user terminal compares the key index value of the key confirmation request message with a key index value included therein, the user terminal transmits a key confirmation response message to the second authentication device, and correspondingly, transmits the key authentication response message to the second authentication device. Receiving a roaming success message from the device.
상기 사용자 식별자는, 상기 제1무선망에서의 Pseudonym과 TSMI 중 어느 하나인 것을 특징으로 한다.The user identifier is one of Pseudonym and TSMI in the first wireless network.
상기 사용자 단말기는, USIM(Universial Subscriber Identity Module)카드를 구비하여, 상기 USIM 카드를 통해 제2무선망에서의 상기 인증을 수행하는 것을 특징으로 한다.The user terminal is provided with a Universal Subscriber Identity Module (USIM) card, characterized in that for performing the authentication in the second wireless network through the USIM card.
바람직하게 상기 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법은, 상기 사용자 단말기가 상기 로밍 성공에 따라 상기 현재 위치 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.Preferably, the authentication method required for roaming a user terminal in the heterogeneous wireless network interworking system further comprises the step of the user terminal storing the current location information according to the roaming success.
상기 사용자 단말기가 상기 로밍 요구 메시지를 상게 제2인증장치로 전송하는 단계는, 제2무선망으로 이동되는 경우, 상기 제2인증장치의 기지국으로부터 사용자 식별요구 메시지를 수신하는 단계; 상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 기지국을 통해 상기 제2인증장치의 인증주체로 전달하는 단계를 포함하는 것을 특징으로 한다.The transmitting of the roaming request message to the second authentication device via the user terminal may include: receiving a user identification request message from a base station of the second authentication device when the mobile terminal is moved to a second wireless network; And transmitting a roaming request message including the location information and the user identifier in the first wireless network to the authentication subject of the second authentication apparatus through the base station.
상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는, 상기 제2인증장치의 인증주체가 상기 사용자 식별자 및 위치정보가 포함된 인증 데이터 요구 메시지를 UAGS(USIM Access Gateway System)로 전송하는 단계; 상기 UAGS가 상기 제1무선망에서 상기 사용자 단말기를 인증한 제1인증장치의 인증주체를 상기 인증 데이터 요구 메시지로부터 파악하고, 상기 파악된 제1인증장치의 인증주체로 상기 사용자 식별자를 전송하는 단계; 상기 제1인증장치의 인증주체가 기 포함하는 데이터베이스를 검색하여 상기 UAGS로부터 전송된 사용자 식별자가 존재하는지 여부를 확인하고, 상기 사용자 식별자가 존재하는 경우 이를 이용한 인증 데이터를 생성하여 상기 UAGS로 전송하는 단계; 상기 UAGS가 상기 제1인증장치의 인증주체로부터 전송된 인증 데이터를 상기 제2인증장치의 인증주체로 제공하는 단계를 포함하는 것을 특징으로 한다.In the receiving of the authentication data from the first authentication device by the second authentication device, the authentication subject of the second authentication device sends an authentication data request message including the user identifier and location information to a UIMS (USIM Access Gateway System). Transmitting); Identifying, by the UAGS, an authentication subject of the first authentication apparatus that authenticated the user terminal in the first wireless network from the authentication data request message, and transmitting the user identifier to the identified authentication subject of the first authentication apparatus; ; Searching the database included in the authentication subject of the first authentication device to determine whether the user identifier transmitted from the UAGS exists, and if the user identifier exists, generating authentication data using the same and transmitting the generated authentication data to the UAGS. step; And providing, by the UAGS, authentication data transmitted from the authentication subject of the first authentication apparatus to the authentication subject of the second authentication apparatus.
상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는, 상기 제1인증장치의 인증주체가 상기 데이터베이스로부터 상기 사용자 식별자를 확인하지 못하는 경우, 로밍 실패 메시지를 발생하여 이종 망에서 상기 사용자 단말기의 인증이 종료되도록 하는 단계를 더 포함하는 것을 특징으로 한다.The step of receiving the authentication data from the first authentication device by the second authentication device may include generating a roaming failure message when the authentication principal of the first authentication device fails to check the user identifier from the database. The method further comprises the step of allowing the authentication of the user terminal to terminate.
상기 인증 데이터는, 상기 사용자의 영구 식별자인 IMSI(International Mobile Subscriber Identity), 미사용 인증 벡터들, 사용 중이던 CK(Cipher Key), IK(Integrity Key), 연계된 키 색인값인 KSI(Key Set Identifier), MK 계산에 사용된 사용자 식별자의 종류를 나타내는 IdType, MSK와 EAP-AKA에서 빠른 재인증에 필요한 정보로서 Counter 최종값 및 NxReAuthId를 포함하는 것을 특징으로 한다.The authentication data may include an International Mobile Subscriber Identity (IMSI) that is a permanent identifier of the user, unused authentication vectors, a Cipher Key (CK), an Integrity Key (IK), an associated key index value, and a KSI (Key Set Identifier). , IdType indicating the type of user identifier used for MK calculation, MSK and EAP-AKA, and the counter final value and NxReAuthId as information necessary for fast reauthentication.
상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는, 상기 제2인증장치의 인증주체가 상기 인증 데이터를 이용하여 상기 제1무선망에서 사용한 상기 사용자 단말기의 최종키값들을 계산하는 단계; 상기 인증주체가 상기 계산된 최종키값, 키 색인값 및 현재 위치 정보가 포함된 보안키 정보를 상기 제2인증장치의 기지국으로 전송하는 단계; 상기 기지국이 상기 최종키값을 저장하고, 상기 최종키값을 저장하고 있음을 확인하는 인증코드인 MAC1과 랜덤값 RN을 생성하는 단계; 상기 기지국이 상기 키 색인값, 현재 위치 정보, MAC1 및 랜덤값 RN이 포함된 상기 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계를 포함하는 것을 특징으로 한다.The providing of the key confirmation request message including the key index value to the user terminal by the second authentication device comprises: the authentication subject of the second authentication device using the authentication data in the first wireless network. Calculating final key values of the user terminal; Transmitting, by the authentication subject, security key information including the calculated final key value, key index value, and current location information to a base station of the second authentication device; Generating, by the base station, MAC1 and a random value RN, the authentication code confirming that the final key value is stored and the final key value; And providing, by the base station, the key confirmation request message including the key index value, current location information, MAC1, and random value RN to the user terminal.
상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는, 상기 제2무선망이 무선랜 망 또는 휴대인터넷 망일 경우, 상기 인증 데이터에 포함된 정보 중 CK, IK 및 사용자 Id를 이용하여 MSK, Kencr 및 Kaut를 계산하는 것을 특징으로 한다.The providing of the key confirmation request message including the key index value to the user terminal by the second authentication apparatus includes: among the information included in the authentication data when the second wireless network is a wireless LAN network or a portable Internet network. MSK, Kencr, and Kaut are calculated using CK, IK, and user Id.
상기 기지국이 상기 MAC1을 생성하는 단계는, 상기 제2무선망이 이동통신망인 경우에 상기 IK를 이용하여 상기 MAC1을 생성하고, 상기 제2무선망이 무선랜 망이나 휴대인터넷 망인 경우에 상기 Kaut를 이용하여 상기 MAC1을 생성하는 것을 특징으로 한다.The generating of the MAC1 by the base station may include generating the MAC1 using the IK when the second wireless network is a mobile communication network, and when the second wireless network is a wireless LAN network or a portable Internet network. It is characterized in that for generating the MAC1.
상기 사용자 단말기가 상기 제2인증장치로 키 확인 응답 메시지를 전송하는 단계는, 상기 두 키 색인값이 일치하는 경우, 상기 MAC1을 검증하는 단계; 상기 MAC1 검증이 성공하면 상기 RN에 대한 인증 코드인 MAC2를 생성하고, 상기 MAC2가 포함된 키 확인 응답 메시지를 상기 제2인증장치의 기지국으로 전송하는 단계를 포함하는 것을 특징으로 한다.The transmitting of the key confirmation response message to the second authentication device by the user terminal may include: verifying the MAC1 when the two key index values match; And if MAC1 verification is successful, generating MAC2, which is an authentication code for the RN, and transmitting a key confirmation response message including the MAC2 to the base station of the second authentication device.
상기 제2인증장치가 상기 사용자 단말기로 로밍 성공 메시지를 전송하는 단계는, 상기 사용자 단말기로부터 전송된 키 확인 응답 메시지의 MAC2를 검증하여, 상기 검증이 성공하는 경우 상기 로밍 성공 메시지를 전송하는 것을 특징으로 한다.In the transmitting of the roaming success message to the user terminal, the second authentication device verifies MAC2 of the key confirmation response message transmitted from the user terminal, and transmits the roaming success message when the verification is successful. It is done.
상기 과제를 해결하기 위한 수단으로 본 발명의 다른 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 제2무선망으로 이동되는 사용자 단말기의 인증 방법은, 상기 이동한 제2무선망의 인증장치로부터 사용자 식별요구 메시지가 수신되는 경우, 사용자 식별자 및 상기 제1무선망에서의 위치정보가 포함된 로밍 요구 메시지를 상기 제2무선망의 인증장치로 전송하는 단계; 상기 로밍 요구 메시지에 대응하여 상기 제2무선망의 인증장치로부터 키 확인 요구 메시지가 수신되면, 상기 키 확인 요구 메시지에 포함된 KSI와 자신이 기 포함하는 KSI를 비교하고, 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망의 인증장치로 전송하는 단계; 상기 제2무선망의 인증장치로부터 상기 키 확인 응답 메시지에 따른 로밍 성공 메시지가 수신되는 경우, 상기 키 확인 요구 메시지에 포함된 자신의 현재 위치 정보를 저장하는 단계를 포함한다.In the heterogeneous wireless network interworking system according to another aspect of the present invention as a means for solving the above problems, the authentication method of the user terminal to be moved from the first wireless network to the second wireless network, the authentication device of the second wireless network Transmitting a roaming request message including a user identifier and location information of the first wireless network to an authentication device of the second wireless network when a user identification request message is received from the second wireless network; When a key confirmation request message is received from the authentication apparatus of the second wireless network in response to the roaming request message, the KSI included in the key confirmation request message is compared with the KSI included in the key confirmation message, and the two KSIs are the same. Generating a key confirmation response message and transmitting the generated key confirmation response message to the authentication device of the second wireless network; If a roaming success message according to the key confirmation response message is received from the authentication device of the second wireless network, storing the current location information of the key confirmation request message.
상기 과제를 해결하기 위한 수단으로 본 발명의 또 다른 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기에 대한 제2무선망의 인증 방법은, 상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 이에 대응하여 상기 사용자 단말기로부터 로밍 요구 메시지가 수신되면, 상기 사용자 단말기에 대한 상기 제1무선망에서의 인증정보 및 키 정보 파악을 위해 상기 제1무선망의 인증장치로 사용자 인증 데이터를 요구하는 단계; 상기 제1무선망의 인증장치로부터 상기 사용자 인증 데이터로서 상기 사용자 단말기에 대한 키 색인값인 KSI(Key Set Identifier)가 수신되면, 상기 KSI와 상기 사용자 단말기의 현재 위치정보가 포함 된 키 확인 요구 메시지를 상기 사용자 단말기로 전송하는 단계; 상기 사용자 단말기로부터 상기 KSI 인증에 따른 키 확인 응답 메시지가 수신되면, 상기 사용자 단말기에 로밍 성공 메시지를 전송하는 단계를 포함한다.In the heterogeneous wireless network interworking system according to another aspect of the present invention as a means for solving the above problems, when the user terminal authenticated from the first wireless network is moved to the second wireless network, the second wireless network for the user terminal The authentication method generates a user identification request message for identifying the user terminal, and when the roaming request message is received from the user terminal in response to the authentication information and the key information in the first wireless network for the user terminal. Requesting user authentication data from the authentication apparatus of the first wireless network to identify the first wireless network; When a key set identifier (KSI), which is a key index value for the user terminal, is received as the user authentication data from the authentication device of the first wireless network, a key confirmation request message including the current location information of the KSI and the user terminal. Transmitting to the user terminal; And when a key confirmation response message according to the KSI authentication is received from the user terminal, transmitting a roaming success message to the user terminal.
상기 KSI(Key Set Identifier)와 상기 사용자 단말기의 새로운 위치정보를 상기 사용자 단말기로 전송하는 단계는, 상기 KSI(Key Set Identifier)와 사용자 단말기의 새로운 위치정보의 전송 무결성을 위해 설정된 해시 알고리즘을 이용하여 계산한 해쉬 값을 태깅하여 전송하는 단계를 포함하는 것을 특징으로 한다.The transmitting of the key set identifier (KSI) and new location information of the user terminal to the user terminal may include using a hash algorithm set for transmission integrity of the key set identifier (KSI) and new location information of the user terminal. Tagging and transmitting the calculated hash value.
상기 설정된 해시 알고리즘은, SHA1(Secure Hash Algorithm 1)인 것을 특징으로 한다.The set hash algorithm is characterized in that it is Secure Hash Algorithm 1 (SHA1).
상기 과제를 해결하기 위한 수단으로 본 발명의 또 다른 측면에 따른 이종 무선망 연동 시스템은, 제1무선망으로부터 제2무선망으로 이동되는 경우, 상기 이동한 제2무선망으로부터 수신되는 사용자 식별요구 메시지의 응답으로서 사용자 식별자와 상기 제1무선망에서의 위치정보를 로밍 요구 메시지에 포함시켜 발생하고, 상기 로밍 요구 메시지에 대응하여 상기 제2무선망으로부터 KSI(Key Set Identifier)와 자신의 현재 위치 정보가 제공되면, 상기 제공된 KSI와 기 포함하는 KSI를 비교하고 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망으로 발생하는 사용자 단말기; 상기 발생되는 로밍 요구 메시지의 사용자 식별자 및 위치정보를 이용하여 상기 제1무선망으로부터 KSI를 포함하는 상기 사용자 단말기의 인증 데이터를 획득하고, 상기 획득된 KSI와 상기 사용자 단말기의 현재 위치 정보를 포함하는 키 확인 요구 메시지를 상기 사용자 단말기에 제공한 후, 상기 사용자 단말기로부터 발생되는 키 확인 응답 메시지에 대응된 로밍 성공 메시지를 상기 사용자 단말기로 제공하는 인증장치를 포함한다.The heterogeneous wireless network interworking system according to another aspect of the present invention as a means for solving the above problems, the user identification request received from the moved second wireless network, when moved from the first wireless network to the second wireless network Generated by including a user identifier and location information in the first wireless network as a response to the message in a roaming request message, and in response to the roaming request message, a key set identifier (KSI) and its current location from the second wireless network. When the information is provided, the user terminal compares the provided KSI and the KSI including the pre-existing KSI, and generates a key confirmation response message when the two KSI is the same to generate the second wireless network; Acquiring authentication data of the user terminal including the KSI from the first wireless network by using the user identifier and the location information of the generated roaming request message, and includes the obtained KSI and current location information of the user terminal. And an authentication device for providing a roaming success message corresponding to the key confirmation response message generated from the user terminal to the user terminal after providing a key confirmation request message to the user terminal.
상기 사용자 단말기는, 상기 인증장치로부터 상기 로밍 성공 메시지가 제공되면, 상기 자신의 현재 위치정보를 저장하는 것을 특징으로 한다.When the roaming success message is provided from the authentication device, the user terminal stores the current location information of the user.
상기한 바와 같은 본 발명에 따른 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법은, 이동통신, 무선 랜, 휴대인터넷 망이 연동되는 환경에서 망에 접속하기 위해 인증과정을 수행한 사용자가 이종 망으로 이동할 경우에 새로운 망에서 다시 인증과정을 수행하지 않고, 사용자와 망이 효율적이고 신속하게 보안용 키를 공유할 수 있도록 하며, 이전 망에서 사용되지 않은 정보들을 폐기하지 않고 새로운 망에서 사용할 수 있도록 함으로써 인증정보를 생성하는 인증서버의 부하를 줄일 수 있다.In the heterogeneous wireless network interworking system according to the present invention as described above, the authentication method required for roaming is performed by a user performing an authentication process to access a network in an environment in which mobile communication, wireless LAN, and a mobile Internet network are interworked. When moving, the new network does not need to be re-authenticated, allowing users and networks to share security keys efficiently and quickly, and by using the new network without discarding information that was not used in the old network. It can reduce the load on the authentication server that generates the authentication information.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, in describing in detail the operating principle of the preferred embodiment of the present invention, if it is determined that the detailed description of the related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.In addition, the same reference numerals are used for parts having similar functions and functions throughout the drawings.
도 1a 내지 도 1c는 본 발명이 적용되는 사용자 단말기를 예시한 도면이다.1A to 1C are diagrams illustrating a user terminal to which the present invention is applied.
도 1a 내지 도 1c에 도시된 바와 같이, 본 발명이 적용되는 사용자 단말기는 이동통신망, 무선 랜, 휴대인터넷이 연동된 구조에서 서비스를 받기 위해 사용자 인증에 관련된 정보의 저장 및 처리를 수행하는 USIM(Universal Subscriber Identity Module) 카드(11, 12, 13)를 탑재하고 있다.As shown in Figure 1a to Figure 1c, the user terminal to which the present invention is applied USIM (store and processing of information related to the user authentication to receive the service in the structure of the mobile communication network, wireless LAN, portable Internet) ( Universal Subscriber Identity Module) cards (11, 12, 13) are mounted.
이러한 USIM 카드(11, 12, 13)는 탈부착이 가능하여 단말기를 바꾸더라도 일관성 있게 사용자 인증을 수행할 수 있게 된다. The USIM
도 2는 본 발명이 적용되는 이종 무선망 연동 시스템의 구조 및 각 구간별 프로토콜을 나타낸 도면이다. 2 is a diagram illustrating a structure of a heterogeneous wireless network interworking system to which the present invention is applied and a protocol for each section.
도 2에 도시된 바와 같이, 본 발명이 적용되는 연동 네트워크 시스템은 이동통신망의 인증센터인 HLR/AuC(Home Location Register/Authentication Center)(20)를 이용하여 통합된 과금, 인증 및 로밍을 위해 필요한 정보를 관리한다. As shown in FIG. 2, the interworking network system to which the present invention is applied is required for integrated billing, authentication, and roaming using a home location register / authentication center (HLR / AuC) 20, which is an authentication center of a mobile communication network. Manage your information.
HLR/AuC(20)는 인증에 필요한 정보와 보안을 위한 키 재료(key material)인 인증벡터(Authentication Vector :AV)를 생성하여 이동통신망의 VLR/SGSN(Visited Location Register/Serving GPRS Support Node)(21), 무선 랜의 AAA(Authentication, Authorization and Accounting)서버(22) 및 휴대인터넷의 AAA 서버(23)로 전송한다.The HLR /
VLR/SGSN(21)과 AAA 서버(22, 23)는 사용자 단말기와 망간의 상호 인증을 수행하며, HLR/AuC(20)로부터 수신된 인증벡터를 이용하여 사용자 단말기와 망간의 인증 프로토콜을 수행한다. The VLR /
이때, 인증 프로토콜은 망에 따라 다른데, 이동통신망의 경우에 AKA(Authenicated Key Agreement) 프로토콜이 사용되며, 무선 랜과 휴대인터넷의 경우에 EAP-AKA(Extensible Authentication Protocol-Authentication Key Agreement)가 사용된다. At this time, the authentication protocol is different depending on the network. In the case of a mobile communication network, an AKA (Authenicated Key Agreement) protocol is used, and in the case of a wireless LAN and a portable Internet, an EAP-AKA (Extensible Authentication Protocol-Authentication Key Agreement) is used.
즉, VLR/SGSN(21)과 HLR/AuC(20)간에는 MAP(Mobile Application Part) 프로토콜이 사용되며, AAA 서버(22, 23)의 경우에는 Diameter 프로토콜이 사용된다. That is, MAP (Mobile Application Part) protocol is used between VLR /
한편, UAGS(USIM Access Gateway System)(24)는 HLR/AuC(21)와 AAA 서버(22, 23)간의 인증벡터 송수신 시, 이들 간의 프로토콜 변환을 수행한다.Meanwhile, the USIM Access Gateway System (UAGS) 24 converts protocols between the HLR /
이동통신망에서 인증 프로토콜로 사용하는 AKA 프로토콜에서는 사용자 단말기와 망이 사전에 공유한 키(pre-shared key) K를 가지고 있다. In the AKA protocol used as an authentication protocol in a mobile communication network, a user terminal and a network have a pre-shared key K.
이러한 이동통신망에서 사용자 단말기의 인증에 대해서 도 3을 참조하여 살펴보기로 한다.The authentication of the user terminal in the mobile communication network will be described with reference to FIG. 3.
도 3은 본 발명이 적용되는 AKA 프로토콜을 이용하는 이동통신망에서의 인증과정을 나타낸 도면이다.3 is a diagram illustrating an authentication process in a mobile communication network using the AKA protocol to which the present invention is applied.
도 3에 도시된 바와 같이, 사용자 단말기(25)는 RNC(Radio Network Controller)(26)로부터 사용자 식별자 요구 메시지가 수신되면(S301), 포함하는 USIM 카드의 사용자 식별자인 IMSI(International Mobile Subscriber Identity)를 RNC(28)를 통해 VLR/SGSN(21)으로 전송한다(S302, S303). As shown in FIG. 3, when a user identifier request message is received from a radio network controller (RNC) 26 (S301), the
이하에서, 사용자 단말기에서 인증수행은 사용자 단말기에 구비된 USIM 카드에 의해서 수행되는 것으로 한다. 한편, 사용자의 식별자 보호를 위해 이후의 인증부터는 TMSI(Temporary Mobile Subscriber Identity)를 사용할 수 있다.Hereinafter, authentication is performed in the user terminal by the USIM card provided in the user terminal. Meanwhile, in order to protect the identifier of the user, later authentication may use TMSI (Temporary Mobile Subscriber Identity).
다음으로, 사용자 단말기(25)로부터 제공되는 사용자 식별자인 IMSI를 전송받은 VLR/SGSN(21)은, 인증서버인 HLR/AuC(20)에게 상기 사용자 식별자에 해당하는 인증 데이터를 요구한다(S304).Next, the VLR /
이에, HLR/AuC(20)은 VLR/SGSN(21)로부터 요구된 인증 데이터를 생성한 다(S305).Accordingly, the HLR /
이러한 인증 데이터의 생성과정에 대해서 도 4를 참조하여 구체적으로 살펴보기로 한다.The generation of such authentication data will be described in detail with reference to FIG. 4.
도 4에 도시된 바와 같이, HLR/AuC(20)는 랜덤 값 RAND와 시퀀스 번호 SQN을 생성하고, 생성된 RAND 및 SQN과 사용자와의 공유키 K를 이용하여 MAC(Message Authentication Code), XRES(eXpedied RESponse), CK(Cipher Key), IK(Integrity Key) 및 AK(Authentication Key)를 계산하여 인증벡터 AV 및 인증토큰 AUTN을 생성한다.As shown in FIG. 4, the HLR /
HLR/AuC(20)는 부하를 줄이기 위하여 한번에 이러한 인증벡터를 최대 5세트를 생성하여 VLR/SGSN(21)으로 전달한다(S306). 이때 생성되는 인증벡터의 세트의 수는 시스템의 상황에 따라 달라질 수 있다.The HLR /
여기서, SQN의 일부 비트는 여러 인증벡터들을 구분하는 식별자인 KSI(Key Set Identifier)로 사용된다. Here, some bits of the SQN are used as a key set identifier (KSI) which is an identifier for distinguishing several authentication vectors.
VLR/SGSN(21)은 HLR/AuC(20)로부터 받은 인증벡터 중 RAND와 AUTN 하나를 RNC(28)를 통해 사용자 단말기(25)로 전송한다(S307, S308). The VLR /
즉, VLR/SGSN(21)은 인증 프로토콜이 수행될 때마다 HLR/AuC(20)로부터 받은 여러 개의 인증벡터 중에서 하나씩 차례로 사용한다.That is, each time the authentication protocol is performed, the VLR /
사용자 단말기(25)는 VLR/SGSN(21)로부터 제공되는 RAND, AUTN 및 K를 이용하여 하기 도 5에서와 같은 연산과정을 거쳐서 MAC을 계산하고(S309), 수신한 AUTN 내의 XMAC(eXpected MAC) 값과 같은지 비교함으로써 망을 인증한다(S310). The
사용자 단말기(25)는 계산된 MAC값과 수신한 AUTN 내의 XMAC 값이 일치하면 계산된 RES(RESponse) 값을 RNC(28)를 통해 VLR/SGSN(21)으로 전송한다(S311, S312).If the calculated MAC value and the XMAC value in the received AUTN match, the
이에, VRL/SGSN(21)은 사용자 단말기(25)로부터 제공된 RES값과 HLR/AuC(20)로부터 수신한 XRES 값이 일치하는지 확인하고(S313), 일치할 경우 RNC(28)를 통해 인증 성공 메시지를 사용자 단말기(25)로 전송함으로써(S314, S315), AKA 인증 프로토콜을 성공적으로 종료한다.Accordingly, the VRL /
그리고, VRL/SGSN(21)은 인증이 성공적으로 종료되면 CK와 IK를 RNC(28)에 제공하여(S316), 이들 CK와 IK가 RNC(28)에 저장되도록 한다(S317).When the authentication is successfully completed, the VRL /
이로써, 사용자 단말기와 이동통신망은 이후 통신의 암호화에 사용될 키 CK와 무결성 검증에 사용될 키 IK를 공유하게 된다.As a result, the user terminal and the mobile communication network share a key CK to be used later for encryption and a key IK to be used for integrity verification.
반면, 단계 S310에서 MAC과 XMAC이 일치하지 않거나, 단계 S313에서 RES와 XRES가 일치하지 않으면 인증은 실패로 종료된다. On the other hand, if the MAC and XMAC do not match in step S310, or if the RES and XRES do not match in step S313, authentication ends in failure.
사용자 단말기(25)는 인증이 성공적으로 종료하면 현재 위치를 식별하는 LAI(Local Area Identifier)를 이동통신망에 요청하여 자신의 요청정보를 저장한다.When the authentication is successfully completed, the
한편, 무선 랜과 휴대 인터넷에서 인증 및 키 설정 프로토콜로 사용하는 EAP-AKA 프로토콜은 인증 및 키 분배 메커니즘으로서 AKA를 사용하는 EAP(Extensible Authentication Protocol) 메커니즘이다. Meanwhile, the EAP-AKA protocol used as an authentication and key setting protocol in a wireless LAN and a portable Internet is an EAP (Extensible Authentication Protocol) mechanism using AKA as an authentication and key distribution mechanism.
이와 같은 EAP-AKA는 풀인증(full authentication) 방법과 옵션인 빠른 재인증(fast re-authentication) 방법을 제공한다.EAP-AKA provides a full authentication method and an optional fast re-authentication method.
먼저, 도면을 참조하여 풀인증 방법에 대해 살펴보도록 한다.First, a full authentication method will be described with reference to the drawings.
도 6은 본 발명이 적용되는 EAP-AKA 풀인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면이다.6 is a diagram illustrating an authentication process in a wireless LAN and a portable Internet using the EAP-AKA full authentication protocol to which the present invention is applied.
이하에서, 인증주체인 AAA 서버는 도 2에 도시된 바와 같은 휴대 인터넷의 AAA 서버(23)를 예로 한다.Hereinafter, the AAA server, which is the authentication subject, uses the
도 6에 도시된 바와 같이, 본 발명은 사용자 단말기(27)와 AAA 서버(23)간에 사용자 식별자를 인식하는 과정이 먼저 수행되면(S601, S602, S603). 사용자 단말기(27)와 HLR/AuC(20)간에 AKA 프로토콜이 수행되도록 한다(S604). 여기서, 사용자의 식별자 보호를 위해 IMSI 대신 Pseudonym을 사용할 수 있다. As shown in FIG. 6, when the process of recognizing a user identifier is performed first between the
즉, AAA 서버(23)는 HLR/AuC(20)에 인증벡터 생성을 요구하고, HLR/AuC(20)는 인증벡터들을 생성하여 AAA서버(23)로 전송한다. 이때, 인증벡터 생성요구나 인증벡터 전송메시지들은 프로토콜 변환을 위해 UAGS(24)를 경유하게 된다. That is, the
그리고, AAA 서버(23)는 사용자 단말기(27)와 AKA 프로콜을 이용하여 상호인증을 수행하고, CK와 IK를 서로 공유한다. The
한편, EAP-AKA를 통해 인증을 수행하는 사용자 단말기(27)와 AAA 서버(23)는 CK와 IK를 데이터 통신에 이용하지 않고, AKA 프로토콜을 통하여 공유한 CK, IK를 이용하여 새로운 키를 유도한다.On the other hand, the
이에 대해서 좀 더 구체적으로 살펴보기로 한다.This will be described in more detail.
먼저, 사용자 단말기(27)와 AAA 서버(23)는 하기 도 7에 도시된 바와 같이, CK, IK 및 사용자 식별자 Id를 파라미터로 하여 해시 알고리즘인 SHA1(Secure Hash Algorithm 1)을 수행하고, 그 값으로 의사난수생성함수(PRF : Pseudo Random Function)를 수행시켜 여러 가지 키들을 생성한다(S605). First, the
이때, 사용하는 사용자 식별자 Id는 인증과정에서 사용된 식별자로서 IMSI 값이거나 IMSI 값을 보호하기 위해 사용된 pseudonym일 수 있다. In this case, the user identifier Id to be used may be an IMSI value used in the authentication process or a pseudonym used to protect the IMSI value.
이와 같이 생성하여 공유한 키들 중 MSK(Master Session Key)의 일부를 데이터 통신용 암복호화 키나 무결성 키로 사용한다. MSK로부터 키를 추출하는 방법은 데이터 통신 프로토콜에 따라 다를 수 있다. Among the keys generated and shared in this way, a part of the MSK (Master Session Key) is used as an encryption key or an integrity key for data communication. The method of extracting the key from the MSK may vary depending on the data communication protocol.
한편, 도 7에서와 같이 생성되어 공유된 키들 중 Kaut와 Kencr은 인증 메시지에 대한 무결성 키와 암호화 키로 사용될 수 있다. Meanwhile, among the keys generated and shared as shown in FIG. 7, Kaut and Kencr may be used as integrity keys and encryption keys for authentication messages.
이에, AAA 서버(23)는 인증이 성공적으로 종료되면, AAA 서버(23)는 MSK를 기지국인 AP 혹은 RAS(30)로 전송하여(S606), MSK가 해당 AP 혹은 RAS(30)에 저장되도록 한다(S607).Accordingly, if the
또한, 사용자 단말기(27)는 현재 위치를 식별하는 LAI(Local Area Identifier)를 망에 요청하여 자신의 위치정보를 저장한다.In addition, the
다음으로, EAP-AKA가 제공하는 빠른 재인증 방법에 대해 살펴보도록 한다.Next, let's take a look at the quick reauthentication method provided by EAP-AKA.
도 8은 본 발명이 적용되는 EAP-AKA 빠른 재인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면이다.8 is a diagram illustrating an authentication process in a wireless LAN and the portable Internet using the EAP-AKA fast re-authentication protocol to which the present invention is applied.
인증 절차가 빈번하게 수행되는 환경에서의 효율적인 인증을 위한 EAP-AKA의 빠른 재인증 프로토콜에서는, 새로운 인증 벡터를 이용하지 않고, 풀인증에서 생성한 MK를 이용하여 서버와 사용자 단말기(단말기 내의 USIM 카드)가 동일한 방법으로 다음 세션키인 MSK를 유도하여 공유하도록 한다.In EAP-AKA's fast re-authentication protocol for efficient authentication in an environment where the authentication process is frequently performed, the server and the user terminal (USIM card in the terminal) using MK generated in full authentication, without using a new authentication vector ) Derives and shares the next session key, MSK, in the same way.
빠른 재인증 방법은, 전술된 풀인증 프로토콜을 수행하기 위해 인증센터인 HLR/AuC(20)로부터 인증 벡터를 제공받는데 필요한 인증 센터의 계산 부하와 네트워크 부하를 줄이기 위한 방법이다.The fast reauthentication method is a method for reducing the computational load and the network load of the authentication center required to receive an authentication vector from the HLR /
한편, 이와 같은 빠른 재인증을 지원하려면, 풀인증 프로토콜에서 서버가 재인증용 식별자(next fast re-authentication identity)를 보냈을 경우에만 가능하다.On the other hand, to support such fast reauthentication, it is possible only when the server sends a next fast re-authentication identity in the full authentication protocol.
이에, 도 8에 도시된 바와 같이, 사용자 단말기(27)는 AP 혹은 RAS(30)의 사용자 식별자 요구에 대하여(S801), 빠른 재인증용 사용자 식별자를 응답함으로써 프로토콜이 시작되도록 한다(S802).Accordingly, as shown in FIG. 8, the
이로부터, AP 혹은 RNS(30)는 사용자 단말기(27)로부터 응답된 빠른 재인증용 사용자 식별자를 AAA 서버(23)로 전송하여(S803), 이에 대응되는 암호화된 랜덤값 Nonce, 빠른 재인증 반복 횟수 Counter, 다음 빠른 재인증용 사용자 식별자인 NxReAuthId와 암호화에 사용되는 초기화 벡터 IV(Initialization Vector), 그리고 메시지에 대한 인증코드 MAC1을 AAA 서버(23)로부터 제공받아(S804), 이를 사용자 단말기(27)로 전송한다(S805).From this, the AP or
한편, 도 8에서 '*'은 암호화된 정보를 나타낸다.In FIG. 8, '*' indicates encrypted information.
다음으로, 사용자 단말기(27)는 AP 혹은 RNS(30)로부터 전송받은 정보들 중 MAC1을 검증하여 네트워크를 인증하고(S806), 검증이 성공하면 전송받은 IV와 Counter를 암호화한 값과 이에 대한 인증 코드 MAC2를 AP 혹은 RAS(30)를 통해 AAA 서버(23)로 전송한다(S807, S808).Next, the
이에, AAA 서버(23)는 사용자 단말기(27)로부터 전송받은 MAC2의 값을 검증하여 해당 사용자 단말기(27)를 인증한 후(S809), 검증에 성공하면 도 9에 도시된 바와 같이, Id, Counter, Nomce 및 MK를 파라미터로 하여 해시 알고리즘인 SHA(Secure Hash Algorithm)을 수행하고, 그 값으로 의사난수생성함수(PRF : Pseudo Random Function)를 수행시켜 새로운 MSK를 계산한다(S810).Accordingly, the
그리고, AAA 서버(23)는 인증 완료 메시지와 함께 상기 계산된 MSK를 AP 혹은 RAS(30)로 전송하여(S811), 계산된 MSK가 해당 AP 혹은 RAS(30)에 저장되도록 한다(S812).In addition, the
AP 혹은 RAS(30)는 AAA 서버(23)의 MSK를 저장하면, 사용자 단말기(27)로 빠른 재인증 성공 메시지를 전송하여, 해당 빠른 재인증이 성공적으로 완료되었음을 알린다(S813).When the AP or the
한편, 본 발명에 따른 이종 무선 통신망간의 연동에서 이루어지는 키 관리 방법은, 사용자가 동일 사업자 망 내의 다른 망으로 이동할 경우에 이동하기 전의 망에서 생성된 인증 및 키 재료들을 효율적이고 안전하게 사용하기 위한 방법에 적용된다. On the other hand, the key management method performed in the interworking between the heterogeneous wireless communication network according to the present invention, when the user moves to another network in the same operator network to a method for efficiently and securely using the authentication and key materials generated in the network before moving Apply.
이때, 사용자 단말기의 이동 범위가 동일 사업자 망이라는 것은 인증벡터를 관리하는 HLR/AuC가 동일할 뿐 아니라, 사용자 단말기와 HLR/AuC가 하나의 키를 공유하고 있다는 것을 의미한다. In this case, the movement range of the user terminal is the same operator network means that not only the HLR / AuC managing the authentication vector is the same, but the user terminal and the HLR / AuC share one key.
따라서, 동일한 사업자 망 내에서는 상호인증을 위해 생성되는 인증벡터가 동일함을 의미한다.Therefore, in the same provider network, it means that the authentication vector generated for mutual authentication is the same.
현재, 한 사업자의 이동통신 망 내에서 사용자 단말기가 이동할 경우, 이동하기 이전의 해당 VLR/SGSN이 새로운 지역의 VLR/SGSN에게 아직 사용되지 않은 인증 벡터들과 현재의 키들을 전송하도록 되어 있다. Currently, when a user terminal moves in a mobile communication network of an operator, the corresponding VLR / SGSN before the movement is to transmit authentication keys and current keys that are not yet used to the VLR / SGSN of the new region.
그러나, 이종 무선통신망간의 연동의 경우에 각 망에서 사용하는 키들이 상이하기 때문에 현재의 키 값을 전달하는 것만으로는 해결되지 않는다. However, in the case of interworking between heterogeneous wireless communication networks, since the keys used in each network are different, simply transmitting the current key value is not solved.
새로운 망으로 이동하였을 때, 별도의 절차 없이 HLR/AuC에게 새로운 인증벡터를 생성하도록 요구하고 이동한 망의 인증 프로토콜을 수행할 수도 있다.When moving to a new network, the HLR / AuC may be requested to generate a new authentication vector without additional procedures and the authentication protocol of the moved network may be performed.
그러나, 각 망에서 사용하는 상이한 키들은 동일한 파라미터로부터 생성되기 때문에, 이전 망에서 생성된 인증벡터들을 새로운 망에서 효율적으로 사용할 수 있다.However, since different keys used in each network are generated from the same parameter, the authentication vectors generated in the previous network can be efficiently used in the new network.
본 발명은 현재 사용하고 있는 인증 프로토콜과의 일관성을 유지하고, 구현을 용이하게 하기 위하여, 인증 프로토콜인 EAP-AKA 프로토콜을 확장하여 사용하도록 설계하였다.The present invention is designed to extend the EAP-AKA protocol, which is an authentication protocol, in order to maintain consistency with the currently used authentication protocol and to facilitate implementation.
사용자 단말기가 새로운 망으로 이동하면, 인증 프로토콜에서와 같이 인증 주체가 "사용자 식별 요구" 메시지를 보낸다. 이때 사용자 단말기는 응답 메시지로서 "로밍 요구"메시지를 전송함으로써 로밍을 위한 키 관리 프로토콜이 시작된다.When the user terminal moves to a new network, the authentication subject sends a "user identification request" message as in the authentication protocol. The user terminal then starts a key management protocol for roaming by sending a "roaming request" message as a response message.
이러한 프로토콜 처리 흐름을 나타낸 도면이 도 10에 도시되어 있다.A diagram illustrating this protocol processing flow is shown in FIG. 10.
도 10은 본 발명의 바람직한 일 실시예에 따른 연동 시스템에서 사용자 단말기가 다른 망으로 이동시 인증 데이터 전달 흐름을 나타낸 도면이다.10 is a diagram illustrating an authentication data transmission flow when a user terminal moves to another network in a companion system according to an exemplary embodiment of the present invention.
도 10에 도시된 바와 같이, 먼저 새로운 이동망의 기지국(RNC, AP 혹은 RAS)(81)은 사용자 단말기(80)로 사용자 식별자를 요구한다(S101).As shown in FIG. 10, first, a base station (RNC, AP or RAS) 81 of a new mobile network requests a user identifier from the user terminal 80 (S101).
이에, 사용자 단말기(80)는 사용자 식별 Id와 이전망에서의 위치정보인 LAIo가 포함된 로밍 요구 메시지를 기지국(81)으로 전송하며(S102), 기지국(81)은 전송된 메시지에 이전 위치정보가 포함된 것이 확인되면 해당 메시지가 사용자 단말기(80)의 로밍 요구 메시지임을 인식하여 이를 새로운 망의 인증주체인 VLRn/SGSNn 혹은 AAAn 서버(82)로 전달한다(S103). Accordingly, the
이때, 사용자 식별자는 이전 망에서 사용했던 Pseudonym 이나 TSMI이며, 이전 망에서의 위치정보는 LAIo이다. 이 메시지에 위치정보가 포함되어 있으면 망은 사용자가 이종 망으로 이동하여 로밍을 요구한 것으로 인식하고, 그렇지 않으면 인증 요구로 인식한다.At this time, the user identifier is Pseudonym or TSMI used in the previous network, and the location information in the previous network is LAIo. If the message contains location information, the network recognizes that the user has moved to a heterogeneous network and requested roaming, otherwise it recognizes it as an authentication request.
VLRn/SGSNn 혹은 AAAn 서버(82)는 이전 망에서의 인증주체로부터 인증벡터를 전달받기 위해 사용자 단말기(80)로부터 제공된 메시지를 UAGS(83)로 전달한다(S104).The VLRn / SGSNn or
이에, UAGS(83)는 전달된 메시지의 위치정보로부터 이전 망의 인증주체인 AAAo 서버 혹은 VLRo/SGSNo(84)를 인식하고, 사용자의 식별정보를 AAAo 서버 혹은 VLRo/SGSNo(84)로 전송한다(S105).Accordingly, the
AAAo 서버 혹은 VLRo/SGSNo(84)는 수신정보로부터 사용자 정보를 검색하고, 사용자의 IMSI, 사용되지 않은 인증벡터들, 사용 중인 CK, IK와 그에 연계된 KSI, MK 계산에 사용된 사용자 식별자 종류인 IdType, MSK, 그리고 빠른 재인증에 필요한 카운터(Counter) 최종값, 재인증용 사용자 식별자인 NxReAuthId를 UAGS(83)로 전송한다(S106). The AAAo server or VLRo / SGSNo (84) retrieves user information from the received information and identifies the user's IMSI, unused authentication vectors, the CK and IK in use, and the KSI and MK associated with it. The IdType, the MSK, the last counter value required for fast reauthentication, and the NxReAuthId which is a user ID for reauthentication are transmitted to the UAGS 83 (S106).
반면, AAAo 서버 혹은 VLRo/SGSNo(84)는 소유한 데이터베이스에 사용자 식별자가 없으면, 사용자 단말기(80)에 대한 로밍이 실패한 것으로 판단하여 일련의 로밍 과정을 종료한다.On the other hand, if the AAAo server or VLRo /
다음으로, UAGS(83)는 AAAo 서버 혹은 VLRo/SGSNo(84)로부터 수신한 정보를 VLRn/SGSNn 혹은 AAAn 서버(82)로 전송한다(S107).Next, the
이에, VLRn/SGSNn 혹은 AAAn 서버(82)는 전술된 도 7과 같은 방법에 따라 상기 VLRo/SGSNo(84)로부터 수신된 정보인 CK, IK 및 사용자 Id를 이용하여 MSK, Kencr, Kaut를 계산한다(S108). 여기서, VLRn/SGSNn 혹은 AAAn 서버(82)는 만약 수신된 MSK가 계산된 값과 다를 경우에는 빠른 재인증을 수행한 경우이므로, 수신한 MSK 값으로 대치한다.Accordingly, the VLRn / SGSNn or
그리고, VLRn/SGSNn 혹은 AAAn 서버(82)는 새로운 망의 기지국(81)으로 사용할 키 값들과 현재 이동된 지역정보 LAIn이 포함된 보안키 정보를 전송한다(S109). 즉, VLRn/SGSNn(82)은 KSI, CK, IK를 기지국(81)으로 전송하고, AAAn(82)은 KSI, MSK, Kencr, Kaut를 기지국(81)로 전송한다.The VLRn / SGSNn or
이로부터 기지국(81)은, 수신한 키값들을 저장한 후(S110), 랜덤값 RN을 생성하여 KSI, LAIn, RN을 포함한 키 확인 요구 메시지를 구성하고, 해당 메시지에 대한 인증코드인 MAC1을 계산하여 해당 키 확인 요구 메시지에 추가한 후(S111), 이를 사용자 단말기(80)로 전송한다(S112). 여기서, MAC1에 계산에 사용되는 키는, 이동한 망이 3G 이동통신 망인 경우 IK이며, 무선랜 망이나 휴대인터넷 망인 경우 Kaut이다.From this, the
다음으로, 사용자 단말기(80)는 기지국(81)으로부터 전송받은 키 확인 요구 메시지의 KSI와 보유하고 있던 KSI가 일치하는지 여부를 확인한 후, KSI가 일치하면 대응되는 무결성 키인 IK 혹은 Kaut로 MAC1을 다시 검증한다(S113). 여기서, 사용자 단말기(80)는 상기 두 KSI가 일치하지 않거나, MAC1의 검증이 실패하면 로밍 을 거부한다.Next, the
사용자 단말기(80)는 상기 두 KSI가 일치하고 MAC1의 검증이 성공하면, 기지국(80)으로부터 전송받은 메시지의 RN에 대한 인증 코드인 MAC2를 생성하고(S114), 생성된 MAC2가 포함된 키 확인 응답 메시지를 기지국(81)로 전송한다(S115).If the two KSIs match and the verification of MAC1 succeeds, the
이에, 기지국(81)은 사용자 단말기(80)로부터 수신된 메시지의 MAC2값과 단계 S112에서 사용자 단말기(80)로 전송한 RN에 대한 MAC2값을 검증하고(S116), 검증결과 두 MAC2값이 일치하면 로밍 성공 메시지를 사용자 단말기(80)로 전송한다(S117).Accordingly, the
이에, 사용자 단말기(80)는 기지국(81)로부터 제공받은 새로운 위치정보인 LAIn을 저장하고 로밍 절차를 완료한다(S118).Thus, the
한편, 기지국(81)은 상기 두 MAC2값이 일치하지 않아 검증에 실패하면 로밍 실패로 종료한다.Meanwhile, if the verification fails because the two MAC2 values do not match, the
그리고, 도 10은 단계 S113 및 S116에서의 검증이 실패하면, 기존의 인증 프로토콜인 AKA나 EAP-AKA를 수행하여 사용자와 망이 상호 인증하고 새로운 키를 공유하도록 한다.And, if the verification fails in steps S113 and S116, Figure 10 performs the existing authentication protocol AKA or EAP-AKA so that the user and the network mutually authenticate and share a new key.
도 11은 본 발명의 바람직한 일 실시예에 따른 이종 무선망에서 인증방법에 대한 플로차트를 나타낸 도면이다.11 is a flowchart illustrating an authentication method in a heterogeneous wireless network according to an embodiment of the present invention.
도 11에 도시된 바와 같이, 이전 망에서 인증을 받은 사용자 단말기가 새로운 망으로 이동하면, 새로운 망의 인증주체는 사용자 단말기에게 사용자 식별요구 메시지를 전송한다(S201). 이는 인증 프로토콜의 시작을 알리는 메시지이다.As shown in FIG. 11, when a user terminal authenticated in the previous network moves to a new network, the authentication subject of the new network transmits a user identification request message to the user terminal (S201). This is a message indicating the start of the authentication protocol.
이에, 사용자 단말기는 사용자 식별요구 메시지에 대한 응답으로서 로밍 요구 메시지를 새로운 망의 인증주체로 전송한다(S202).Accordingly, the user terminal transmits a roaming request message to the authentication subject of the new network as a response to the user identification request message (S202).
여기서, 로밍 요구 메시지에는 사용자 식별자와 이전 망에서의 위치 정보를 포함한다.Here, the roaming request message includes a user identifier and location information on the previous network.
새로운 망의 인증주체는 위치정보가 포함된 로밍 요구 메시지를 수신함에 따라 이전 망으로부터 인증정보 및 키 정보를 전달받기 위해 UAGS로 사용자 인증 데이터를 요구한다(S203). The authentication subject of the new network requests user authentication data to the UAGS to receive authentication information and key information from the previous network as it receives a roaming request message including location information (S203).
이에, UAGS는 수신된 사용자 인증 메시지에 포함된 위치 정보로부터 이전 망의 인증주체를 파악한다(S204). Accordingly, the UAGS detects the authentication subject of the previous network from the location information included in the received user authentication message (S204).
그리고, UAGS는 파악된 이전 망의 인증 주체에게 사용자 인증 데이터를 요구하는 메시지를 전송한다(S205).In addition, the UAGS transmits a message requesting user authentication data to the identified authentication entity of the previous network (S205).
UAGS로부터 사용자 인증 데이터를 요구하는 메시지를 전송받은 이전 망의 인증 주체는, 수신된 메시지에 포함된 사용자 식별자가 자신의 데이터베이스에 존재하는지 검사한다(S206).The authentication subject of the previous network receiving the message requesting user authentication data from the UAGS checks whether the user identifier included in the received message exists in its database (S206).
검사결과, 이전 망의 인증 주체는 사용자 식별자가 데이터베이스에 존재하면, 사용자의 영구 식별자와 사용되지 않은 인증정보, 현재의 키 정보 등을 생성하여(S207), 생성된 정보들을 UAGS로 보내고, UAGS는 이를 새로운 망의 인증주체로 전송한다(S208).As a result of the check, the authentication subject of the previous network generates the user's permanent identifier, unused authentication information, current key information, etc., if the user identifier exists in the database (S207), and sends the generated information to the UAGS. This is transmitted to the authentication subject of the new network (S208).
반면, 이전 망의 인증 주체는 데이터베이스에 사용자 정보가 존재하지 않으 면, 로밍이 실패한 것으로 판단하여 일련의 로밍 과정을 종료한 후에 새로운 인증절차를 수행한다(S219).On the other hand, if there is no user information in the database, the authentication subject of the previous network determines that roaming has failed and terminates a series of roaming processes and performs a new authentication procedure (S219).
한편, 새로운 망의 인증주체는 UAGS로부터 수신한 정보를 이용하여 사용자 단말기가 이전 망에서 사용한 최종키값들을 계산하고(S209), 계산된 최종키값과 더불어, UAGS로부터 수신한 정보들 중에서 현재 위치정보 및 키의 색인값을 기지국으로 전송한다(S210). Meanwhile, the authentication subject of the new network calculates the final key values used by the user terminal in the previous network by using the information received from the UAGS (S209), and together with the calculated final key value, the current position information and the information received from the UAGS. The index value of the key is transmitted to the base station (S210).
이에, 기지국은 새로운 망의 인증주체로부터 전송받은 최종키값을 저장하고 자신이 키를 포함하고 있음을 확인하는 인증코드 MAC1을 생성한 후(S211), 키 색인, 현재 위치 정보 및 MAC1을 사용자 단말기로 전송한다(S212).Accordingly, the base station stores the final key value received from the authentication subject of the new network and generates an authentication code MAC1 confirming that it includes the key (S211), and then the key index, the current location information and the MAC1 to the user terminal. Transmit (S212).
이로부터, 사용자 단말기는 수신된 키 색인값과 자신이 소유한 키 색인이 일치하는지 여부를 확인하고, MAC1값이 올바른지를 검증한다(S213).From this, the user terminal checks whether the received key index value and its own key index match, and verifies whether the MAC1 value is correct (S213).
확인결과, 사용자 단말기는 키 색인이 일치하고 MAC1의 검증이 성공하면 자신이 올바른 키들을 소유하고 있음을 검증할 수 있는 MAC2값을 생성하고(S214), 생성된 MAC2값을 기지국으로 전송한다(S215).As a result of the check, if the key index is matched and the verification of MAC1 succeeds, the user terminal generates a MAC2 value capable of verifying that the user owns the correct keys (S214), and transmits the generated MAC2 value to the base station (S215). ).
여기서, 사용자 단말기는 키 색인이 일치하지 않거나 MAC1의 검증이 실패하면 로밍이 실패한 것으로 판단하여 새로운 인증절차를 수행한다(S219).Here, if the key index does not match or the verification of MAC1 fails, the user terminal determines that roaming has failed and performs a new authentication procedure (S219).
한편, 사용자 단말기로부터 MAC2값을 전송받은 기지국은 해당 MAC2값이 올바른지 여부를 검증하고(S216), 검증이 성공하면 사용자 단말기로 로밍 성공 메시지를 제공한다(S217).Meanwhile, the base station receiving the MAC2 value from the user terminal verifies whether the corresponding MAC2 value is correct (S216), and if the verification is successful, provides a roaming success message to the user terminal (S217).
이에, 사용자 단말기는 현재 위치 정보를 저장하고 로밍 절차를 완료한 다(S218).Accordingly, the user terminal stores the current location information and completes the roaming procedure (S218).
그런데, 사용자 단말기로부터 MAC2값을 전송받은 기지국은 상기 검증이 실패하면 로밍이 실패한 것으로 판단하여 새로운 인증절차를 수행한다(S219).However, when the verification fails, the base station receiving the MAC2 value from the user terminal determines that roaming has failed and performs a new authentication procedure (S219).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다. The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and it is common in the art that various substitutions, modifications, and changes can be made without departing from the technical spirit of the present invention. It will be apparent to those skilled in the art.
도 1a 내지 도 1c는 본 발명이 적용되는 사용자 단말기를 예시한 도면,1A to 1C are diagrams illustrating a user terminal to which the present invention is applied;
도 2는 본 발명이 적용되는 이종 무선망 연동 시스템의 구조 및 각 구간별 프로토콜을 나타낸 도면,2 is a view showing a structure of a heterogeneous wireless network interworking system to which the present invention is applied and a protocol for each section;
도 3은 본 발명이 적용되는 AKA 프로토콜을 이용하는 이동통신망에서의 인증과정을 나타낸 도면,3 is a diagram illustrating an authentication process in a mobile communication network using the AKA protocol to which the present invention is applied;
도 4는 본 발명이 적용되는 연동 시스템에서 인증 벡터 생성 흐름을 나타낸 도면,4 is a diagram illustrating an authentication vector generation flow in an interworking system to which the present invention is applied;
도 5는 본 발명이 적용되는 연동 시스템에서 인증벡터의 검증 흐름을 나타낸 도면,5 is a diagram illustrating a verification flow of an authentication vector in an interworking system to which the present invention is applied;
도 6은 본 발명이 적용되는 EAP-AKA 풀인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면,6 is a view showing an authentication process in a wireless LAN and the portable Internet using the EAP-AKA full authentication protocol to which the present invention is applied;
도 7은 본 발명이 적용되는 EAP-AKA 풀인증에서 키 유도 흐름을 나타낸 도면,7 is a diagram illustrating a key derivation flow in EAP-AKA full authentication to which the present invention is applied;
도 8은 본 발명이 적용되는 EAP-AKA 빠른 재인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면,8 is a view showing an authentication process in a wireless LAN and the portable Internet using the EAP-AKA fast re-authentication protocol to which the present invention is applied;
도 9는 본 발명이 적용되는 EAP-AKA 빠른 재인증에서 키 유도 흐름을 나타낸 도면,9 is a view showing a key derivation flow in the EAP-AKA fast re-authentication to which the present invention is applied,
도 10은 본 발명의 바람직한 일 실시예에 따른 연동 시스템에서 사용자 단말기가 다른 망으로 이동시 인증 데이터 전달 흐름을 나타낸 도면, 그리고10 is a view showing an authentication data transmission flow when a user terminal moves to another network in an interworking system according to an embodiment of the present invention; and
도 11은 본 발명의 바람직한 일 실시예에 따른 이종 무선망에서 인증방법에 대한 플로차트를 나타낸 도면이다.11 is a flowchart illustrating an authentication method in a heterogeneous wireless network according to an embodiment of the present invention.
*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *
11, 12, 13 : USIM 카드 20 : HLR/AuC 11, 12, 13: USIM card 20: HLR / AuC
21 : VLR/SGSN 22 : 무선랜의 AAA 서버 21: VLR / SGSN 22: AAA Server of Wireless LAN
23 : 휴대인터넷의 AAA 서버 24 : UAGS 23: AAA server of the mobile Internet 24: UAGS
25, 26, 27 : 사용자 단말기25, 26, 27: user terminal
Claims (20)
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20060121586 | 2006-12-04 | ||
| KR1020060121586 | 2006-12-04 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080050971A true KR20080050971A (en) | 2008-06-10 |
| KR100907825B1 KR100907825B1 (en) | 2009-07-14 |
Family
ID=39806121
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020070075990A KR100907825B1 (en) | 2006-12-04 | 2007-07-27 | Authentication method for roaming in heterogeneous wireless interworking system |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100907825B1 (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100944628B1 (en) * | 2007-12-12 | 2010-02-26 | 에스케이 텔레콤주식회사 | Method of authenticating both wired and wireless network by using usim |
| KR20100101887A (en) * | 2009-03-10 | 2010-09-20 | 삼성전자주식회사 | Method and system for authenticating in communication system |
| KR101018470B1 (en) * | 2010-07-03 | 2011-03-02 | 주식회사 유비즈코아 | Secure authentication system in binary cdma communication networks and drive method of the same |
| KR101129246B1 (en) * | 2009-08-31 | 2012-03-26 | 주식회사 케이티 | Terminal Connected to Wi-Fi Network and Method of Connection |
| KR101130105B1 (en) * | 2009-11-12 | 2012-03-28 | 주식회사 케이티 | Method for authenticating multi band multi mode mobile communication terminal in mobile communication network and multi band multi mode mobile communication terminal thererfor |
| KR101224254B1 (en) * | 2009-09-16 | 2013-01-21 | 아바야 인코포레이티드 | Next generation integration between different domains, such as, enterprise and service provider using sequencing applications and ims peering |
| KR101236894B1 (en) * | 2010-11-11 | 2013-03-06 | 주식회사 유비즈코아 | Mutuality Secure Authentication System in Wire-Wireless Communication Networks and Authentication Method of the Same |
| KR101361198B1 (en) * | 2010-12-21 | 2014-02-07 | 주식회사 케이티 | Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network |
| CN111328066A (en) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | Method and system for fast roaming of heterogeneous wireless network, master and slave access point equipment |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4018573B2 (en) | 2003-03-25 | 2007-12-05 | 株式会社エヌ・ティ・ティ・ドコモ | Authentication system and communication terminal |
| KR20060069611A (en) * | 2004-12-17 | 2006-06-21 | 한국전자통신연구원 | User authentication method in other network using digital signature made by mobile terminal |
| JP4786190B2 (en) * | 2005-02-01 | 2011-10-05 | 株式会社エヌ・ティ・ティ・ドコモ | Authentication vector generation apparatus, subscriber authentication module, wireless communication system, authentication vector generation method, calculation method, and subscriber authentication method |
-
2007
- 2007-07-27 KR KR1020070075990A patent/KR100907825B1/en not_active IP Right Cessation
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100944628B1 (en) * | 2007-12-12 | 2010-02-26 | 에스케이 텔레콤주식회사 | Method of authenticating both wired and wireless network by using usim |
| KR20100101887A (en) * | 2009-03-10 | 2010-09-20 | 삼성전자주식회사 | Method and system for authenticating in communication system |
| US9161217B2 (en) | 2009-03-10 | 2015-10-13 | Samsung Electronics Co., Ltd. | Method and system for authenticating in a communication system |
| KR101129246B1 (en) * | 2009-08-31 | 2012-03-26 | 주식회사 케이티 | Terminal Connected to Wi-Fi Network and Method of Connection |
| KR101224254B1 (en) * | 2009-09-16 | 2013-01-21 | 아바야 인코포레이티드 | Next generation integration between different domains, such as, enterprise and service provider using sequencing applications and ims peering |
| US8484704B2 (en) | 2009-09-16 | 2013-07-09 | Avaya Inc. | Next generation integration between different domains, such as, enterprise and service provider using sequencing applications and IMS peering |
| KR101130105B1 (en) * | 2009-11-12 | 2012-03-28 | 주식회사 케이티 | Method for authenticating multi band multi mode mobile communication terminal in mobile communication network and multi band multi mode mobile communication terminal thererfor |
| KR101018470B1 (en) * | 2010-07-03 | 2011-03-02 | 주식회사 유비즈코아 | Secure authentication system in binary cdma communication networks and drive method of the same |
| KR101236894B1 (en) * | 2010-11-11 | 2013-03-06 | 주식회사 유비즈코아 | Mutuality Secure Authentication System in Wire-Wireless Communication Networks and Authentication Method of the Same |
| KR101361198B1 (en) * | 2010-12-21 | 2014-02-07 | 주식회사 케이티 | Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network |
| CN111328066A (en) * | 2018-12-14 | 2020-06-23 | 中国电信股份有限公司 | Method and system for fast roaming of heterogeneous wireless network, master and slave access point equipment |
| CN111328066B (en) * | 2018-12-14 | 2023-09-01 | 中国电信股份有限公司 | Heterogeneous wireless network fast roaming method and system, master and slave access point devices |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100907825B1 (en) | 2009-07-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2003243680B2 (en) | Key generation in a communication system | |
| KR100762644B1 (en) | WLAN-UMTS Interworking System and Authentication Method Therefor | |
| KR100907825B1 (en) | Authentication method for roaming in heterogeneous wireless interworking system | |
| US8094821B2 (en) | Key generation in a communication system | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| KR101068424B1 (en) | Inter-working function for a communication system | |
| KR100729105B1 (en) | Apparatus And Method For Processing EAP-AKA Authentication In The non-USIM Terminal | |
| TWI307608B (en) | ||
| US20070180244A1 (en) | Rogue access point detection | |
| EP1001570A2 (en) | Efficient authentication with key update | |
| JP4677784B2 (en) | Authentication method and system in collective residential network | |
| KR101068426B1 (en) | Inter-working function for a communication system | |
| Cho et al. | Key Management Protocol for Roaming in Wireless Interworking System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration | ||
| GRNT | Written decision to grant | ||
| LAPS | Lapse due to unpaid annual fee |