KR20080050971A - 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 - Google Patents

이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 Download PDF

Info

Publication number
KR20080050971A
KR20080050971A KR20070075990A KR20070075990A KR20080050971A KR 20080050971 A KR20080050971 A KR 20080050971A KR 20070075990 A KR20070075990 A KR 20070075990A KR 20070075990 A KR20070075990 A KR 20070075990A KR 20080050971 A KR20080050971 A KR 20080050971A
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
wireless network
key
roaming
Prior art date
Application number
KR20070075990A
Other languages
English (en)
Other versions
KR100907825B1 (ko
Inventor
조태남
한진희
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20080050971A publication Critical patent/KR20080050971A/ko
Application granted granted Critical
Publication of KR100907825B1 publication Critical patent/KR100907825B1/ko

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법에 관한 것으로, USIM 카드가 장착된 사용자 단말기를 이용하여 통신 서비스를 받기 위해 접속하려는 망에서 정당한 사용자임을 인증 받은 후, 인증 받은 사용자 단말기의 사용자가 이종 망으로 이동하는 경우에 새로운 인증과정을 거치지 않고, 이전 망에서 새로운 망으로 인증 정보 및 키를 전달함으로써 이전 망과 일관성 있는 인증 및 통신 서비스를 받을 수 있도록 한 것이다.
Figure P1020070075990
3G 이동통신, 무선랜, 휴대인터넷, 인증, 보안, 키관리

Description

이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법{AUTHENTICATION MANAGEMENT METHOD FOR ROAMING IN HETEROGENEOUS WIRELESS NETWORK LINK SYSTEM}
본 발명은 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법에 관한 것으로, 특히 USIM 카드가 장착된 사용자 단말기를 이용하여 이종 무선망 사이에서 일관성 있는 인증 및 통신 서비스가 수행되도록 하기 위한 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2005-S-058-02, 과제명: 무선 네트워크 연동용 보안 플랫폼 기술 개발].
현재 이동통신을 통한 무선망은 가입자 포화상태에 도달하여 가입자의 증가율이 둔화되는 추세이며, 가입자들은 데이터 서비스를 포함한 신규 서비스를 요구하고 있다.
한편, 무선기술의 발전에 힘입어 랜(LAN: Local Area Network)기술이 무선 랜(WLAN: Wireless LAN)으로 확장되었으며, 이러한 기술력을 토대로 2.3GHz 휴대 인터넷이 탄생하였다. 이들 중 이동통신 서비스는 이동성이 높지만 전송속도가 낮고 요금이 비싸다. 반면, 무선 랜 서비스는 높은 전송속도와 저렴한 요금이라는 장점을 갖지만, 이동성이 낮다는 단점을 가지고 있다.
휴대 인터넷 서비스는 무선 랜 서비스에 비해 높은 이동성을 제공하고 이동통신 서비스에 비해 높은 전송속도와 저렴한 요금을 목표로 하고 있다. 따라서, 높은 데이터 전송 속도와 이동성을 동시에 만족시키기 위한 방법으로서 서로 다른 무선망을 연동하여 통합 무선 망 서비스 체계를 구축하려는 노력이 이루어지고 있다.
이러한 이종 망을 연동하기 위해서는 인증, 키 관리, 로밍/핸드오버 관리 등 여러 가지 측면에서 발생할 수 있는 보안상의 문제를 해결하여야 한다.
즉, 이동통신망, 무선 랜, 휴대 인터넷에서는 사용자 인증을 위해 통합된 인증에 필요한 정보를 생성하고, 이에 기반 하여 사용자와 상호 인증을 수행한다. 인증이 성공적으로 종료되면, 사용자 단말기와 망은 데이터 통신 보안에 필요한 암복호화 키 및 무결성 키를 공유하게 된다.
그러나 이러한 이동통신망, 무선 랜 및 휴대 인터넷은 서로 다른 프로토콜을 사용하고 있기 때문에 각 망에서 사용자 단말기와 공유하는 키들이 다르다.
따라서, 이동통신, 무선 랜, 휴대인터넷이 연동되는 환경에서 망에 접속하기 위해 인증과정을 수행한 사용자 단말기가 이종 망으로 이동할 경우에 새로운 망에서 다시 인증과정을 수행하여야 한다.
이에, 본 발명은 상기와 같은 문제점을 해결하기 위한 것으로, USIM(Universal Subscriber Identity Module) 카드를 사용자 단말기에 장착하여 이종 무선망 연동시 필요한 인증절차를 간단히 한 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법을 제공함에 있다.
상기 과제를 해결하기 위한 수단으로 본 발명의 일 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기의 로밍에 필요한 인증 방법은, 상기 제2무선망의 제2인증장치가 상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 상기 사용자 단말기가 상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 제2인증장치로 전송하는 단계; 상기 제2인증장치가 상기 사용자 식별자 및 위치정보를 이용하여 키 색인값을 포함하는 상기 사용자 단말기의 인증 데이터를 상기 제1무선망의 제1인증장치로부터 획득하고, 상기 획득된 키 색인값과 상기 사용자 단말기의 현재 위치 정보가 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 전송하는 단계; 상기 사용자 단말기가 상기 키 확인 요구 메시지의 키 색인값과 자신이 기 포함하는 키 색인값을 비교하여 일치하는 경우, 상기 제2인증장치로 키 확인 응답 메시지를 전송하고, 이에 대응하여 상기 제2인증 장치로부터 로밍 성공 메시지를 제공받는 단계를 포함하는 것을 특징으로 한다.
상기 사용자 식별자는, 상기 제1무선망에서의 Pseudonym과 TSMI 중 어느 하나인 것을 특징으로 한다.
상기 사용자 단말기는, USIM(Universial Subscriber Identity Module)카드를 구비하여, 상기 USIM 카드를 통해 제2무선망에서의 상기 인증을 수행하는 것을 특징으로 한다.
바람직하게 상기 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법은, 상기 사용자 단말기가 상기 로밍 성공에 따라 상기 현재 위치 정보를 저장하는 단계를 더 포함하는 것을 특징으로 한다.
상기 사용자 단말기가 상기 로밍 요구 메시지를 상게 제2인증장치로 전송하는 단계는, 제2무선망으로 이동되는 경우, 상기 제2인증장치의 기지국으로부터 사용자 식별요구 메시지를 수신하는 단계; 상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 기지국을 통해 상기 제2인증장치의 인증주체로 전달하는 단계를 포함하는 것을 특징으로 한다.
상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는, 상기 제2인증장치의 인증주체가 상기 사용자 식별자 및 위치정보가 포함된 인증 데이터 요구 메시지를 UAGS(USIM Access Gateway System)로 전송하는 단계; 상기 UAGS가 상기 제1무선망에서 상기 사용자 단말기를 인증한 제1인증장치의 인증주체를 상기 인증 데이터 요구 메시지로부터 파악하고, 상기 파악된 제1인증장치의 인증주체로 상기 사용자 식별자를 전송하는 단계; 상기 제1인증장치의 인증주체가 기 포함하는 데이터베이스를 검색하여 상기 UAGS로부터 전송된 사용자 식별자가 존재하는지 여부를 확인하고, 상기 사용자 식별자가 존재하는 경우 이를 이용한 인증 데이터를 생성하여 상기 UAGS로 전송하는 단계; 상기 UAGS가 상기 제1인증장치의 인증주체로부터 전송된 인증 데이터를 상기 제2인증장치의 인증주체로 제공하는 단계를 포함하는 것을 특징으로 한다.
상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는, 상기 제1인증장치의 인증주체가 상기 데이터베이스로부터 상기 사용자 식별자를 확인하지 못하는 경우, 로밍 실패 메시지를 발생하여 이종 망에서 상기 사용자 단말기의 인증이 종료되도록 하는 단계를 더 포함하는 것을 특징으로 한다.
상기 인증 데이터는, 상기 사용자의 영구 식별자인 IMSI(International Mobile Subscriber Identity), 미사용 인증 벡터들, 사용 중이던 CK(Cipher Key), IK(Integrity Key), 연계된 키 색인값인 KSI(Key Set Identifier), MK 계산에 사용된 사용자 식별자의 종류를 나타내는 IdType, MSK와 EAP-AKA에서 빠른 재인증에 필요한 정보로서 Counter 최종값 및 NxReAuthId를 포함하는 것을 특징으로 한다.
상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는, 상기 제2인증장치의 인증주체가 상기 인증 데이터를 이용하여 상기 제1무선망에서 사용한 상기 사용자 단말기의 최종키값들을 계산하는 단계; 상기 인증주체가 상기 계산된 최종키값, 키 색인값 및 현재 위치 정보가 포함된 보안키 정보를 상기 제2인증장치의 기지국으로 전송하는 단계; 상기 기지국이 상기 최종키값을 저장하고, 상기 최종키값을 저장하고 있음을 확인하는 인증코드인 MAC1과 랜덤값 RN을 생성하는 단계; 상기 기지국이 상기 키 색인값, 현재 위치 정보, MAC1 및 랜덤값 RN이 포함된 상기 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계를 포함하는 것을 특징으로 한다.
상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는, 상기 제2무선망이 무선랜 망 또는 휴대인터넷 망일 경우, 상기 인증 데이터에 포함된 정보 중 CK, IK 및 사용자 Id를 이용하여 MSK, Kencr 및 Kaut를 계산하는 것을 특징으로 한다.
상기 기지국이 상기 MAC1을 생성하는 단계는, 상기 제2무선망이 이동통신망인 경우에 상기 IK를 이용하여 상기 MAC1을 생성하고, 상기 제2무선망이 무선랜 망이나 휴대인터넷 망인 경우에 상기 Kaut를 이용하여 상기 MAC1을 생성하는 것을 특징으로 한다.
상기 사용자 단말기가 상기 제2인증장치로 키 확인 응답 메시지를 전송하는 단계는, 상기 두 키 색인값이 일치하는 경우, 상기 MAC1을 검증하는 단계; 상기 MAC1 검증이 성공하면 상기 RN에 대한 인증 코드인 MAC2를 생성하고, 상기 MAC2가 포함된 키 확인 응답 메시지를 상기 제2인증장치의 기지국으로 전송하는 단계를 포함하는 것을 특징으로 한다.
상기 제2인증장치가 상기 사용자 단말기로 로밍 성공 메시지를 전송하는 단계는, 상기 사용자 단말기로부터 전송된 키 확인 응답 메시지의 MAC2를 검증하여, 상기 검증이 성공하는 경우 상기 로밍 성공 메시지를 전송하는 것을 특징으로 한다.
상기 과제를 해결하기 위한 수단으로 본 발명의 다른 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 제2무선망으로 이동되는 사용자 단말기의 인증 방법은, 상기 이동한 제2무선망의 인증장치로부터 사용자 식별요구 메시지가 수신되는 경우, 사용자 식별자 및 상기 제1무선망에서의 위치정보가 포함된 로밍 요구 메시지를 상기 제2무선망의 인증장치로 전송하는 단계; 상기 로밍 요구 메시지에 대응하여 상기 제2무선망의 인증장치로부터 키 확인 요구 메시지가 수신되면, 상기 키 확인 요구 메시지에 포함된 KSI와 자신이 기 포함하는 KSI를 비교하고, 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망의 인증장치로 전송하는 단계; 상기 제2무선망의 인증장치로부터 상기 키 확인 응답 메시지에 따른 로밍 성공 메시지가 수신되는 경우, 상기 키 확인 요구 메시지에 포함된 자신의 현재 위치 정보를 저장하는 단계를 포함한다.
상기 과제를 해결하기 위한 수단으로 본 발명의 또 다른 측면에 따른 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기에 대한 제2무선망의 인증 방법은, 상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 이에 대응하여 상기 사용자 단말기로부터 로밍 요구 메시지가 수신되면, 상기 사용자 단말기에 대한 상기 제1무선망에서의 인증정보 및 키 정보 파악을 위해 상기 제1무선망의 인증장치로 사용자 인증 데이터를 요구하는 단계; 상기 제1무선망의 인증장치로부터 상기 사용자 인증 데이터로서 상기 사용자 단말기에 대한 키 색인값인 KSI(Key Set Identifier)가 수신되면, 상기 KSI와 상기 사용자 단말기의 현재 위치정보가 포함 된 키 확인 요구 메시지를 상기 사용자 단말기로 전송하는 단계; 상기 사용자 단말기로부터 상기 KSI 인증에 따른 키 확인 응답 메시지가 수신되면, 상기 사용자 단말기에 로밍 성공 메시지를 전송하는 단계를 포함한다.
상기 KSI(Key Set Identifier)와 상기 사용자 단말기의 새로운 위치정보를 상기 사용자 단말기로 전송하는 단계는, 상기 KSI(Key Set Identifier)와 사용자 단말기의 새로운 위치정보의 전송 무결성을 위해 설정된 해시 알고리즘을 이용하여 계산한 해쉬 값을 태깅하여 전송하는 단계를 포함하는 것을 특징으로 한다.
상기 설정된 해시 알고리즘은, SHA1(Secure Hash Algorithm 1)인 것을 특징으로 한다.
상기 과제를 해결하기 위한 수단으로 본 발명의 또 다른 측면에 따른 이종 무선망 연동 시스템은, 제1무선망으로부터 제2무선망으로 이동되는 경우, 상기 이동한 제2무선망으로부터 수신되는 사용자 식별요구 메시지의 응답으로서 사용자 식별자와 상기 제1무선망에서의 위치정보를 로밍 요구 메시지에 포함시켜 발생하고, 상기 로밍 요구 메시지에 대응하여 상기 제2무선망으로부터 KSI(Key Set Identifier)와 자신의 현재 위치 정보가 제공되면, 상기 제공된 KSI와 기 포함하는 KSI를 비교하고 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망으로 발생하는 사용자 단말기; 상기 발생되는 로밍 요구 메시지의 사용자 식별자 및 위치정보를 이용하여 상기 제1무선망으로부터 KSI를 포함하는 상기 사용자 단말기의 인증 데이터를 획득하고, 상기 획득된 KSI와 상기 사용자 단말기의 현재 위치 정보를 포함하는 키 확인 요구 메시지를 상기 사용자 단말기에 제공한 후, 상기 사용자 단말기로부터 발생되는 키 확인 응답 메시지에 대응된 로밍 성공 메시지를 상기 사용자 단말기로 제공하는 인증장치를 포함한다.
상기 사용자 단말기는, 상기 인증장치로부터 상기 로밍 성공 메시지가 제공되면, 상기 자신의 현재 위치정보를 저장하는 것을 특징으로 한다.
상기한 바와 같은 본 발명에 따른 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법은, 이동통신, 무선 랜, 휴대인터넷 망이 연동되는 환경에서 망에 접속하기 위해 인증과정을 수행한 사용자가 이종 망으로 이동할 경우에 새로운 망에서 다시 인증과정을 수행하지 않고, 사용자와 망이 효율적이고 신속하게 보안용 키를 공유할 수 있도록 하며, 이전 망에서 사용되지 않은 정보들을 폐기하지 않고 새로운 망에서 사용할 수 있도록 함으로써 인증정보를 생성하는 인증서버의 부하를 줄일 수 있다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1a 내지 도 1c는 본 발명이 적용되는 사용자 단말기를 예시한 도면이다.
도 1a 내지 도 1c에 도시된 바와 같이, 본 발명이 적용되는 사용자 단말기는 이동통신망, 무선 랜, 휴대인터넷이 연동된 구조에서 서비스를 받기 위해 사용자 인증에 관련된 정보의 저장 및 처리를 수행하는 USIM(Universal Subscriber Identity Module) 카드(11, 12, 13)를 탑재하고 있다.
이러한 USIM 카드(11, 12, 13)는 탈부착이 가능하여 단말기를 바꾸더라도 일관성 있게 사용자 인증을 수행할 수 있게 된다.
도 2는 본 발명이 적용되는 이종 무선망 연동 시스템의 구조 및 각 구간별 프로토콜을 나타낸 도면이다.
도 2에 도시된 바와 같이, 본 발명이 적용되는 연동 네트워크 시스템은 이동통신망의 인증센터인 HLR/AuC(Home Location Register/Authentication Center)(20)를 이용하여 통합된 과금, 인증 및 로밍을 위해 필요한 정보를 관리한다.
HLR/AuC(20)는 인증에 필요한 정보와 보안을 위한 키 재료(key material)인 인증벡터(Authentication Vector :AV)를 생성하여 이동통신망의 VLR/SGSN(Visited Location Register/Serving GPRS Support Node)(21), 무선 랜의 AAA(Authentication, Authorization and Accounting)서버(22) 및 휴대인터넷의 AAA 서버(23)로 전송한다.
VLR/SGSN(21)과 AAA 서버(22, 23)는 사용자 단말기와 망간의 상호 인증을 수행하며, HLR/AuC(20)로부터 수신된 인증벡터를 이용하여 사용자 단말기와 망간의 인증 프로토콜을 수행한다.
이때, 인증 프로토콜은 망에 따라 다른데, 이동통신망의 경우에 AKA(Authenicated Key Agreement) 프로토콜이 사용되며, 무선 랜과 휴대인터넷의 경우에 EAP-AKA(Extensible Authentication Protocol-Authentication Key Agreement)가 사용된다.
즉, VLR/SGSN(21)과 HLR/AuC(20)간에는 MAP(Mobile Application Part) 프로토콜이 사용되며, AAA 서버(22, 23)의 경우에는 Diameter 프로토콜이 사용된다.
한편, UAGS(USIM Access Gateway System)(24)는 HLR/AuC(21)와 AAA 서버(22, 23)간의 인증벡터 송수신 시, 이들 간의 프로토콜 변환을 수행한다.
이동통신망에서 인증 프로토콜로 사용하는 AKA 프로토콜에서는 사용자 단말기와 망이 사전에 공유한 키(pre-shared key) K를 가지고 있다.
이러한 이동통신망에서 사용자 단말기의 인증에 대해서 도 3을 참조하여 살펴보기로 한다.
도 3은 본 발명이 적용되는 AKA 프로토콜을 이용하는 이동통신망에서의 인증과정을 나타낸 도면이다.
도 3에 도시된 바와 같이, 사용자 단말기(25)는 RNC(Radio Network Controller)(26)로부터 사용자 식별자 요구 메시지가 수신되면(S301), 포함하는 USIM 카드의 사용자 식별자인 IMSI(International Mobile Subscriber Identity)를 RNC(28)를 통해 VLR/SGSN(21)으로 전송한다(S302, S303).
이하에서, 사용자 단말기에서 인증수행은 사용자 단말기에 구비된 USIM 카드에 의해서 수행되는 것으로 한다. 한편, 사용자의 식별자 보호를 위해 이후의 인증부터는 TMSI(Temporary Mobile Subscriber Identity)를 사용할 수 있다.
다음으로, 사용자 단말기(25)로부터 제공되는 사용자 식별자인 IMSI를 전송받은 VLR/SGSN(21)은, 인증서버인 HLR/AuC(20)에게 상기 사용자 식별자에 해당하는 인증 데이터를 요구한다(S304).
이에, HLR/AuC(20)은 VLR/SGSN(21)로부터 요구된 인증 데이터를 생성한 다(S305).
이러한 인증 데이터의 생성과정에 대해서 도 4를 참조하여 구체적으로 살펴보기로 한다.
도 4에 도시된 바와 같이, HLR/AuC(20)는 랜덤 값 RAND와 시퀀스 번호 SQN을 생성하고, 생성된 RAND 및 SQN과 사용자와의 공유키 K를 이용하여 MAC(Message Authentication Code), XRES(eXpedied RESponse), CK(Cipher Key), IK(Integrity Key) 및 AK(Authentication Key)를 계산하여 인증벡터 AV 및 인증토큰 AUTN을 생성한다.
HLR/AuC(20)는 부하를 줄이기 위하여 한번에 이러한 인증벡터를 최대 5세트를 생성하여 VLR/SGSN(21)으로 전달한다(S306). 이때 생성되는 인증벡터의 세트의 수는 시스템의 상황에 따라 달라질 수 있다.
여기서, SQN의 일부 비트는 여러 인증벡터들을 구분하는 식별자인 KSI(Key Set Identifier)로 사용된다.
VLR/SGSN(21)은 HLR/AuC(20)로부터 받은 인증벡터 중 RAND와 AUTN 하나를 RNC(28)를 통해 사용자 단말기(25)로 전송한다(S307, S308).
즉, VLR/SGSN(21)은 인증 프로토콜이 수행될 때마다 HLR/AuC(20)로부터 받은 여러 개의 인증벡터 중에서 하나씩 차례로 사용한다.
사용자 단말기(25)는 VLR/SGSN(21)로부터 제공되는 RAND, AUTN 및 K를 이용하여 하기 도 5에서와 같은 연산과정을 거쳐서 MAC을 계산하고(S309), 수신한 AUTN 내의 XMAC(eXpected MAC) 값과 같은지 비교함으로써 망을 인증한다(S310).
사용자 단말기(25)는 계산된 MAC값과 수신한 AUTN 내의 XMAC 값이 일치하면 계산된 RES(RESponse) 값을 RNC(28)를 통해 VLR/SGSN(21)으로 전송한다(S311, S312).
이에, VRL/SGSN(21)은 사용자 단말기(25)로부터 제공된 RES값과 HLR/AuC(20)로부터 수신한 XRES 값이 일치하는지 확인하고(S313), 일치할 경우 RNC(28)를 통해 인증 성공 메시지를 사용자 단말기(25)로 전송함으로써(S314, S315), AKA 인증 프로토콜을 성공적으로 종료한다.
그리고, VRL/SGSN(21)은 인증이 성공적으로 종료되면 CK와 IK를 RNC(28)에 제공하여(S316), 이들 CK와 IK가 RNC(28)에 저장되도록 한다(S317).
이로써, 사용자 단말기와 이동통신망은 이후 통신의 암호화에 사용될 키 CK와 무결성 검증에 사용될 키 IK를 공유하게 된다.
반면, 단계 S310에서 MAC과 XMAC이 일치하지 않거나, 단계 S313에서 RES와 XRES가 일치하지 않으면 인증은 실패로 종료된다.
사용자 단말기(25)는 인증이 성공적으로 종료하면 현재 위치를 식별하는 LAI(Local Area Identifier)를 이동통신망에 요청하여 자신의 요청정보를 저장한다.
한편, 무선 랜과 휴대 인터넷에서 인증 및 키 설정 프로토콜로 사용하는 EAP-AKA 프로토콜은 인증 및 키 분배 메커니즘으로서 AKA를 사용하는 EAP(Extensible Authentication Protocol) 메커니즘이다.
이와 같은 EAP-AKA는 풀인증(full authentication) 방법과 옵션인 빠른 재인증(fast re-authentication) 방법을 제공한다.
먼저, 도면을 참조하여 풀인증 방법에 대해 살펴보도록 한다.
도 6은 본 발명이 적용되는 EAP-AKA 풀인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면이다.
이하에서, 인증주체인 AAA 서버는 도 2에 도시된 바와 같은 휴대 인터넷의 AAA 서버(23)를 예로 한다.
도 6에 도시된 바와 같이, 본 발명은 사용자 단말기(27)와 AAA 서버(23)간에 사용자 식별자를 인식하는 과정이 먼저 수행되면(S601, S602, S603). 사용자 단말기(27)와 HLR/AuC(20)간에 AKA 프로토콜이 수행되도록 한다(S604). 여기서, 사용자의 식별자 보호를 위해 IMSI 대신 Pseudonym을 사용할 수 있다.
즉, AAA 서버(23)는 HLR/AuC(20)에 인증벡터 생성을 요구하고, HLR/AuC(20)는 인증벡터들을 생성하여 AAA서버(23)로 전송한다. 이때, 인증벡터 생성요구나 인증벡터 전송메시지들은 프로토콜 변환을 위해 UAGS(24)를 경유하게 된다.
그리고, AAA 서버(23)는 사용자 단말기(27)와 AKA 프로콜을 이용하여 상호인증을 수행하고, CK와 IK를 서로 공유한다.
한편, EAP-AKA를 통해 인증을 수행하는 사용자 단말기(27)와 AAA 서버(23)는 CK와 IK를 데이터 통신에 이용하지 않고, AKA 프로토콜을 통하여 공유한 CK, IK를 이용하여 새로운 키를 유도한다.
이에 대해서 좀 더 구체적으로 살펴보기로 한다.
먼저, 사용자 단말기(27)와 AAA 서버(23)는 하기 도 7에 도시된 바와 같이, CK, IK 및 사용자 식별자 Id를 파라미터로 하여 해시 알고리즘인 SHA1(Secure Hash Algorithm 1)을 수행하고, 그 값으로 의사난수생성함수(PRF : Pseudo Random Function)를 수행시켜 여러 가지 키들을 생성한다(S605).
이때, 사용하는 사용자 식별자 Id는 인증과정에서 사용된 식별자로서 IMSI 값이거나 IMSI 값을 보호하기 위해 사용된 pseudonym일 수 있다.
이와 같이 생성하여 공유한 키들 중 MSK(Master Session Key)의 일부를 데이터 통신용 암복호화 키나 무결성 키로 사용한다. MSK로부터 키를 추출하는 방법은 데이터 통신 프로토콜에 따라 다를 수 있다.
한편, 도 7에서와 같이 생성되어 공유된 키들 중 Kaut와 Kencr은 인증 메시지에 대한 무결성 키와 암호화 키로 사용될 수 있다.
이에, AAA 서버(23)는 인증이 성공적으로 종료되면, AAA 서버(23)는 MSK를 기지국인 AP 혹은 RAS(30)로 전송하여(S606), MSK가 해당 AP 혹은 RAS(30)에 저장되도록 한다(S607).
또한, 사용자 단말기(27)는 현재 위치를 식별하는 LAI(Local Area Identifier)를 망에 요청하여 자신의 위치정보를 저장한다.
다음으로, EAP-AKA가 제공하는 빠른 재인증 방법에 대해 살펴보도록 한다.
도 8은 본 발명이 적용되는 EAP-AKA 빠른 재인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면이다.
인증 절차가 빈번하게 수행되는 환경에서의 효율적인 인증을 위한 EAP-AKA의 빠른 재인증 프로토콜에서는, 새로운 인증 벡터를 이용하지 않고, 풀인증에서 생성한 MK를 이용하여 서버와 사용자 단말기(단말기 내의 USIM 카드)가 동일한 방법으로 다음 세션키인 MSK를 유도하여 공유하도록 한다.
빠른 재인증 방법은, 전술된 풀인증 프로토콜을 수행하기 위해 인증센터인 HLR/AuC(20)로부터 인증 벡터를 제공받는데 필요한 인증 센터의 계산 부하와 네트워크 부하를 줄이기 위한 방법이다.
한편, 이와 같은 빠른 재인증을 지원하려면, 풀인증 프로토콜에서 서버가 재인증용 식별자(next fast re-authentication identity)를 보냈을 경우에만 가능하다.
이에, 도 8에 도시된 바와 같이, 사용자 단말기(27)는 AP 혹은 RAS(30)의 사용자 식별자 요구에 대하여(S801), 빠른 재인증용 사용자 식별자를 응답함으로써 프로토콜이 시작되도록 한다(S802).
이로부터, AP 혹은 RNS(30)는 사용자 단말기(27)로부터 응답된 빠른 재인증용 사용자 식별자를 AAA 서버(23)로 전송하여(S803), 이에 대응되는 암호화된 랜덤값 Nonce, 빠른 재인증 반복 횟수 Counter, 다음 빠른 재인증용 사용자 식별자인 NxReAuthId와 암호화에 사용되는 초기화 벡터 IV(Initialization Vector), 그리고 메시지에 대한 인증코드 MAC1을 AAA 서버(23)로부터 제공받아(S804), 이를 사용자 단말기(27)로 전송한다(S805).
한편, 도 8에서 '*'은 암호화된 정보를 나타낸다.
다음으로, 사용자 단말기(27)는 AP 혹은 RNS(30)로부터 전송받은 정보들 중 MAC1을 검증하여 네트워크를 인증하고(S806), 검증이 성공하면 전송받은 IV와 Counter를 암호화한 값과 이에 대한 인증 코드 MAC2를 AP 혹은 RAS(30)를 통해 AAA 서버(23)로 전송한다(S807, S808).
이에, AAA 서버(23)는 사용자 단말기(27)로부터 전송받은 MAC2의 값을 검증하여 해당 사용자 단말기(27)를 인증한 후(S809), 검증에 성공하면 도 9에 도시된 바와 같이, Id, Counter, Nomce 및 MK를 파라미터로 하여 해시 알고리즘인 SHA(Secure Hash Algorithm)을 수행하고, 그 값으로 의사난수생성함수(PRF : Pseudo Random Function)를 수행시켜 새로운 MSK를 계산한다(S810).
그리고, AAA 서버(23)는 인증 완료 메시지와 함께 상기 계산된 MSK를 AP 혹은 RAS(30)로 전송하여(S811), 계산된 MSK가 해당 AP 혹은 RAS(30)에 저장되도록 한다(S812).
AP 혹은 RAS(30)는 AAA 서버(23)의 MSK를 저장하면, 사용자 단말기(27)로 빠른 재인증 성공 메시지를 전송하여, 해당 빠른 재인증이 성공적으로 완료되었음을 알린다(S813).
한편, 본 발명에 따른 이종 무선 통신망간의 연동에서 이루어지는 키 관리 방법은, 사용자가 동일 사업자 망 내의 다른 망으로 이동할 경우에 이동하기 전의 망에서 생성된 인증 및 키 재료들을 효율적이고 안전하게 사용하기 위한 방법에 적용된다.
이때, 사용자 단말기의 이동 범위가 동일 사업자 망이라는 것은 인증벡터를 관리하는 HLR/AuC가 동일할 뿐 아니라, 사용자 단말기와 HLR/AuC가 하나의 키를 공유하고 있다는 것을 의미한다.
따라서, 동일한 사업자 망 내에서는 상호인증을 위해 생성되는 인증벡터가 동일함을 의미한다.
현재, 한 사업자의 이동통신 망 내에서 사용자 단말기가 이동할 경우, 이동하기 이전의 해당 VLR/SGSN이 새로운 지역의 VLR/SGSN에게 아직 사용되지 않은 인증 벡터들과 현재의 키들을 전송하도록 되어 있다.
그러나, 이종 무선통신망간의 연동의 경우에 각 망에서 사용하는 키들이 상이하기 때문에 현재의 키 값을 전달하는 것만으로는 해결되지 않는다.
새로운 망으로 이동하였을 때, 별도의 절차 없이 HLR/AuC에게 새로운 인증벡터를 생성하도록 요구하고 이동한 망의 인증 프로토콜을 수행할 수도 있다.
그러나, 각 망에서 사용하는 상이한 키들은 동일한 파라미터로부터 생성되기 때문에, 이전 망에서 생성된 인증벡터들을 새로운 망에서 효율적으로 사용할 수 있다.
본 발명은 현재 사용하고 있는 인증 프로토콜과의 일관성을 유지하고, 구현을 용이하게 하기 위하여, 인증 프로토콜인 EAP-AKA 프로토콜을 확장하여 사용하도록 설계하였다.
사용자 단말기가 새로운 망으로 이동하면, 인증 프로토콜에서와 같이 인증 주체가 "사용자 식별 요구" 메시지를 보낸다. 이때 사용자 단말기는 응답 메시지로서 "로밍 요구"메시지를 전송함으로써 로밍을 위한 키 관리 프로토콜이 시작된다.
이러한 프로토콜 처리 흐름을 나타낸 도면이 도 10에 도시되어 있다.
도 10은 본 발명의 바람직한 일 실시예에 따른 연동 시스템에서 사용자 단말기가 다른 망으로 이동시 인증 데이터 전달 흐름을 나타낸 도면이다.
도 10에 도시된 바와 같이, 먼저 새로운 이동망의 기지국(RNC, AP 혹은 RAS)(81)은 사용자 단말기(80)로 사용자 식별자를 요구한다(S101).
이에, 사용자 단말기(80)는 사용자 식별 Id와 이전망에서의 위치정보인 LAIo가 포함된 로밍 요구 메시지를 기지국(81)으로 전송하며(S102), 기지국(81)은 전송된 메시지에 이전 위치정보가 포함된 것이 확인되면 해당 메시지가 사용자 단말기(80)의 로밍 요구 메시지임을 인식하여 이를 새로운 망의 인증주체인 VLRn/SGSNn 혹은 AAAn 서버(82)로 전달한다(S103).
이때, 사용자 식별자는 이전 망에서 사용했던 Pseudonym 이나 TSMI이며, 이전 망에서의 위치정보는 LAIo이다. 이 메시지에 위치정보가 포함되어 있으면 망은 사용자가 이종 망으로 이동하여 로밍을 요구한 것으로 인식하고, 그렇지 않으면 인증 요구로 인식한다.
VLRn/SGSNn 혹은 AAAn 서버(82)는 이전 망에서의 인증주체로부터 인증벡터를 전달받기 위해 사용자 단말기(80)로부터 제공된 메시지를 UAGS(83)로 전달한다(S104).
이에, UAGS(83)는 전달된 메시지의 위치정보로부터 이전 망의 인증주체인 AAAo 서버 혹은 VLRo/SGSNo(84)를 인식하고, 사용자의 식별정보를 AAAo 서버 혹은 VLRo/SGSNo(84)로 전송한다(S105).
AAAo 서버 혹은 VLRo/SGSNo(84)는 수신정보로부터 사용자 정보를 검색하고, 사용자의 IMSI, 사용되지 않은 인증벡터들, 사용 중인 CK, IK와 그에 연계된 KSI, MK 계산에 사용된 사용자 식별자 종류인 IdType, MSK, 그리고 빠른 재인증에 필요한 카운터(Counter) 최종값, 재인증용 사용자 식별자인 NxReAuthId를 UAGS(83)로 전송한다(S106).
반면, AAAo 서버 혹은 VLRo/SGSNo(84)는 소유한 데이터베이스에 사용자 식별자가 없으면, 사용자 단말기(80)에 대한 로밍이 실패한 것으로 판단하여 일련의 로밍 과정을 종료한다.
다음으로, UAGS(83)는 AAAo 서버 혹은 VLRo/SGSNo(84)로부터 수신한 정보를 VLRn/SGSNn 혹은 AAAn 서버(82)로 전송한다(S107).
이에, VLRn/SGSNn 혹은 AAAn 서버(82)는 전술된 도 7과 같은 방법에 따라 상기 VLRo/SGSNo(84)로부터 수신된 정보인 CK, IK 및 사용자 Id를 이용하여 MSK, Kencr, Kaut를 계산한다(S108). 여기서, VLRn/SGSNn 혹은 AAAn 서버(82)는 만약 수신된 MSK가 계산된 값과 다를 경우에는 빠른 재인증을 수행한 경우이므로, 수신한 MSK 값으로 대치한다.
그리고, VLRn/SGSNn 혹은 AAAn 서버(82)는 새로운 망의 기지국(81)으로 사용할 키 값들과 현재 이동된 지역정보 LAIn이 포함된 보안키 정보를 전송한다(S109). 즉, VLRn/SGSNn(82)은 KSI, CK, IK를 기지국(81)으로 전송하고, AAAn(82)은 KSI, MSK, Kencr, Kaut를 기지국(81)로 전송한다.
이로부터 기지국(81)은, 수신한 키값들을 저장한 후(S110), 랜덤값 RN을 생성하여 KSI, LAIn, RN을 포함한 키 확인 요구 메시지를 구성하고, 해당 메시지에 대한 인증코드인 MAC1을 계산하여 해당 키 확인 요구 메시지에 추가한 후(S111), 이를 사용자 단말기(80)로 전송한다(S112). 여기서, MAC1에 계산에 사용되는 키는, 이동한 망이 3G 이동통신 망인 경우 IK이며, 무선랜 망이나 휴대인터넷 망인 경우 Kaut이다.
다음으로, 사용자 단말기(80)는 기지국(81)으로부터 전송받은 키 확인 요구 메시지의 KSI와 보유하고 있던 KSI가 일치하는지 여부를 확인한 후, KSI가 일치하면 대응되는 무결성 키인 IK 혹은 Kaut로 MAC1을 다시 검증한다(S113). 여기서, 사용자 단말기(80)는 상기 두 KSI가 일치하지 않거나, MAC1의 검증이 실패하면 로밍 을 거부한다.
사용자 단말기(80)는 상기 두 KSI가 일치하고 MAC1의 검증이 성공하면, 기지국(80)으로부터 전송받은 메시지의 RN에 대한 인증 코드인 MAC2를 생성하고(S114), 생성된 MAC2가 포함된 키 확인 응답 메시지를 기지국(81)로 전송한다(S115).
이에, 기지국(81)은 사용자 단말기(80)로부터 수신된 메시지의 MAC2값과 단계 S112에서 사용자 단말기(80)로 전송한 RN에 대한 MAC2값을 검증하고(S116), 검증결과 두 MAC2값이 일치하면 로밍 성공 메시지를 사용자 단말기(80)로 전송한다(S117).
이에, 사용자 단말기(80)는 기지국(81)로부터 제공받은 새로운 위치정보인 LAIn을 저장하고 로밍 절차를 완료한다(S118).
한편, 기지국(81)은 상기 두 MAC2값이 일치하지 않아 검증에 실패하면 로밍 실패로 종료한다.
그리고, 도 10은 단계 S113 및 S116에서의 검증이 실패하면, 기존의 인증 프로토콜인 AKA나 EAP-AKA를 수행하여 사용자와 망이 상호 인증하고 새로운 키를 공유하도록 한다.
도 11은 본 발명의 바람직한 일 실시예에 따른 이종 무선망에서 인증방법에 대한 플로차트를 나타낸 도면이다.
도 11에 도시된 바와 같이, 이전 망에서 인증을 받은 사용자 단말기가 새로운 망으로 이동하면, 새로운 망의 인증주체는 사용자 단말기에게 사용자 식별요구 메시지를 전송한다(S201). 이는 인증 프로토콜의 시작을 알리는 메시지이다.
이에, 사용자 단말기는 사용자 식별요구 메시지에 대한 응답으로서 로밍 요구 메시지를 새로운 망의 인증주체로 전송한다(S202).
여기서, 로밍 요구 메시지에는 사용자 식별자와 이전 망에서의 위치 정보를 포함한다.
새로운 망의 인증주체는 위치정보가 포함된 로밍 요구 메시지를 수신함에 따라 이전 망으로부터 인증정보 및 키 정보를 전달받기 위해 UAGS로 사용자 인증 데이터를 요구한다(S203).
이에, UAGS는 수신된 사용자 인증 메시지에 포함된 위치 정보로부터 이전 망의 인증주체를 파악한다(S204).
그리고, UAGS는 파악된 이전 망의 인증 주체에게 사용자 인증 데이터를 요구하는 메시지를 전송한다(S205).
UAGS로부터 사용자 인증 데이터를 요구하는 메시지를 전송받은 이전 망의 인증 주체는, 수신된 메시지에 포함된 사용자 식별자가 자신의 데이터베이스에 존재하는지 검사한다(S206).
검사결과, 이전 망의 인증 주체는 사용자 식별자가 데이터베이스에 존재하면, 사용자의 영구 식별자와 사용되지 않은 인증정보, 현재의 키 정보 등을 생성하여(S207), 생성된 정보들을 UAGS로 보내고, UAGS는 이를 새로운 망의 인증주체로 전송한다(S208).
반면, 이전 망의 인증 주체는 데이터베이스에 사용자 정보가 존재하지 않으 면, 로밍이 실패한 것으로 판단하여 일련의 로밍 과정을 종료한 후에 새로운 인증절차를 수행한다(S219).
한편, 새로운 망의 인증주체는 UAGS로부터 수신한 정보를 이용하여 사용자 단말기가 이전 망에서 사용한 최종키값들을 계산하고(S209), 계산된 최종키값과 더불어, UAGS로부터 수신한 정보들 중에서 현재 위치정보 및 키의 색인값을 기지국으로 전송한다(S210).
이에, 기지국은 새로운 망의 인증주체로부터 전송받은 최종키값을 저장하고 자신이 키를 포함하고 있음을 확인하는 인증코드 MAC1을 생성한 후(S211), 키 색인, 현재 위치 정보 및 MAC1을 사용자 단말기로 전송한다(S212).
이로부터, 사용자 단말기는 수신된 키 색인값과 자신이 소유한 키 색인이 일치하는지 여부를 확인하고, MAC1값이 올바른지를 검증한다(S213).
확인결과, 사용자 단말기는 키 색인이 일치하고 MAC1의 검증이 성공하면 자신이 올바른 키들을 소유하고 있음을 검증할 수 있는 MAC2값을 생성하고(S214), 생성된 MAC2값을 기지국으로 전송한다(S215).
여기서, 사용자 단말기는 키 색인이 일치하지 않거나 MAC1의 검증이 실패하면 로밍이 실패한 것으로 판단하여 새로운 인증절차를 수행한다(S219).
한편, 사용자 단말기로부터 MAC2값을 전송받은 기지국은 해당 MAC2값이 올바른지 여부를 검증하고(S216), 검증이 성공하면 사용자 단말기로 로밍 성공 메시지를 제공한다(S217).
이에, 사용자 단말기는 현재 위치 정보를 저장하고 로밍 절차를 완료한 다(S218).
그런데, 사용자 단말기로부터 MAC2값을 전송받은 기지국은 상기 검증이 실패하면 로밍이 실패한 것으로 판단하여 새로운 인증절차를 수행한다(S219).
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
도 1a 내지 도 1c는 본 발명이 적용되는 사용자 단말기를 예시한 도면,
도 2는 본 발명이 적용되는 이종 무선망 연동 시스템의 구조 및 각 구간별 프로토콜을 나타낸 도면,
도 3은 본 발명이 적용되는 AKA 프로토콜을 이용하는 이동통신망에서의 인증과정을 나타낸 도면,
도 4는 본 발명이 적용되는 연동 시스템에서 인증 벡터 생성 흐름을 나타낸 도면,
도 5는 본 발명이 적용되는 연동 시스템에서 인증벡터의 검증 흐름을 나타낸 도면,
도 6은 본 발명이 적용되는 EAP-AKA 풀인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면,
도 7은 본 발명이 적용되는 EAP-AKA 풀인증에서 키 유도 흐름을 나타낸 도면,
도 8은 본 발명이 적용되는 EAP-AKA 빠른 재인증 프로토콜을 이용하는 무선 랜과 휴대 인터넷에서의 인증과정을 나타낸 도면,
도 9는 본 발명이 적용되는 EAP-AKA 빠른 재인증에서 키 유도 흐름을 나타낸 도면,
도 10은 본 발명의 바람직한 일 실시예에 따른 연동 시스템에서 사용자 단말기가 다른 망으로 이동시 인증 데이터 전달 흐름을 나타낸 도면, 그리고
도 11은 본 발명의 바람직한 일 실시예에 따른 이종 무선망에서 인증방법에 대한 플로차트를 나타낸 도면이다.
*도면의 주요 부분에 대한 부호의 설명*
11, 12, 13 : USIM 카드 20 : HLR/AuC
21 : VLR/SGSN 22 : 무선랜의 AAA 서버
23 : 휴대인터넷의 AAA 서버 24 : UAGS
25, 26, 27 : 사용자 단말기

Claims (20)

  1. 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기의 로밍에 필요한 인증 방법에 있어서,
    상기 제2무선망의 제2인증장치가 상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 상기 사용자 단말기가 상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 제2인증장치로 전송하는 단계;
    상기 제2인증장치가 상기 사용자 식별자 및 위치정보를 이용하여 키 색인값을 포함하는 상기 사용자 단말기의 인증 데이터를 상기 제1무선망의 제1인증장치로부터 획득하고, 상기 획득된 키 색인값과 상기 사용자 단말기의 현재 위치 정보가 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 전송하는 단계; 및
    상기 사용자 단말기가 상기 키 확인 요구 메시지의 키 색인값과 자신이 기 포함하는 키 색인값을 비교하여 일치하는 경우, 상기 제2인증장치로 키 확인 응답 메시지를 전송하고, 이에 대응하여 상기 제2인증장치로부터 로밍 성공 메시지를 제공받는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  2. 제1항에 있어서,
    상기 사용자 식별자는,
    상기 제1무선망에서의 Pseudonym과 TSMI 중 어느 하나인 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  3. 제1항에 있어서,
    상기 사용자 단말기는,
    USIM(Universial Subscriber Identity Module)카드를 구비하여, 상기 USIM 카드를 통해 제2무선망에서의 상기 인증을 수행하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  4. 제1항에 있어서,
    상기 사용자 단말기가 상기 로밍 성공에 따라 상기 현재 위치 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  5. 제1항에 있어서,
    상기 사용자 단말기가 상기 로밍 요구 메시지를 상게 제2인증장치로 전송하는 단계는,
    제2무선망으로 이동되는 경우, 상기 제2인증장치의 기지국으로부터 사용자 식별요구 메시지를 수신하는 단계; 및
    상기 제1무선망에서의 위치정보 및 사용자 식별자가 포함된 로밍 요구 메시지를 상기 기지국을 통해 상기 제2인증장치의 인증주체로 전달하는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  6. 제1항에 있어서,
    상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는,
    상기 제2인증장치의 인증주체가 상기 사용자 식별자 및 위치정보가 포함된 인증 데이터 요구 메시지를 UAGS(USIM Access Gateway System)로 전송하는 단계;
    상기 UAGS가 상기 제1무선망에서 상기 사용자 단말기를 인증한 제1인증장치의 인증주체를 상기 인증 데이터 요구 메시지로부터 파악하고, 상기 파악된 제1인증장치의 인증주체로 상기 사용자 식별자를 전송하는 단계;
    상기 제1인증장치의 인증주체가 기 포함하는 데이터베이스를 검색하여 상기 UAGS로부터 전송된 사용자 식별자가 존재하는지 여부를 확인하고, 상기 사용자 식 별자가 존재하는 경우 이를 이용한 인증 데이터를 생성하여 상기 UAGS로 전송하는 단계; 및
    상기 UAGS가 상기 제1인증장치의 인증주체로부터 전송된 인증 데이터를 상기 제2인증장치의 인증주체로 제공하는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  7. 제6항에 있어서,
    상기 제2인증장치가 상기 제1인증장치로부터 상기 인증 데이터를 제공받는 단계는,
    상기 제1인증장치의 인증주체가 상기 데이터베이스로부터 상기 사용자 식별자를 확인하지 못하는 경우, 로밍 실패 메시지를 발생하여 이종 망에서 상기 사용자 단말기의 인증이 종료되도록 하는 단계를 더 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  8. 제1항에 있어서,
    상기 인증 데이터는,
    상기 사용자의 영구 식별자인 IMSI(International Mobile Subscriber Identity), 미사용 인증 벡터들, 사용 중이던 CK(Cipher Key), IK(Integrity Key), 연계된 키 색인값인 KSI(Key Set Identifier), MK 계산에 사용된 사용자 식별자의 종류를 나타내는 IdType, MSK와 EAP-AKA에서 빠른 재인증에 필요한 정보로서 Counter 최종값 및 NxReAuthId를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  9. 제1항에 있어서,
    상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는,
    상기 제2인증장치의 인증주체가 상기 인증 데이터를 이용하여 상기 제1무선망에서 사용한 상기 사용자 단말기의 최종키값들을 계산하는 단계;
    상기 인증주체가 상기 계산된 최종키값, 키 색인값 및 현재 위치 정보가 포함된 보안키 정보를 상기 제2인증장치의 기지국으로 전송하는 단계;
    상기 기지국이 상기 최종키값을 저장하고, 상기 최종키값을 저장하고 있음을 확인하는 인증코드인 MAC1과 랜덤값 RN을 생성하는 단계; 및
    상기 기지국이 상기 키 색인값, 현재 위치 정보, MAC1 및 랜덤값 RN이 포함된 상기 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  10. 제9항에 있어서,
    상기 제2인증장치가 상기 키 색인값이 포함된 키 확인 요구 메시지를 상기 사용자 단말기에 제공하는 단계는,
    상기 제2무선망이 무선랜 망 또는 휴대인터넷 망일 경우, 상기 인증 데이터에 포함된 정보 중 CK, IK 및 사용자 Id를 이용하여 MSK, Kencr 및 Kaut를 계산하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  11. 제10항에 있어서,
    상기 기지국이 상기 MAC1을 생성하는 단계는,
    상기 제2무선망이 이동통신망인 경우에 상기 IK를 이용하여 상기 MAC1을 생성하고, 상기 제2무선망이 무선랜 망이나 휴대인터넷 망인 경우에 상기 Kaut를 이용하여 상기 MAC1을 생성하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  12. 제9항에 있어서,
    상기 사용자 단말기가 상기 제2인증장치로 키 확인 응답 메시지를 전송하는 단계는,
    상기 두 키 색인값이 일치하는 경우, 상기 MAC1을 검증하는 단계; 및
    상기 MAC1 검증이 성공하면 상기 RN에 대한 인증 코드인 MAC2를 생성하고, 상기 MAC2가 포함된 키 확인 응답 메시지를 상기 제2인증장치의 기지국으로 전송하는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  13. 제12항에 있어서,
    상기 제2인증장치가 상기 사용자 단말기로 로밍 성공 메시지를 전송하는 단계는,
    상기 사용자 단말기로부터 전송된 키 확인 응답 메시지의 MAC2를 검증하여, 상기 검증이 성공하는 경우 상기 로밍 성공 메시지를 전송하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 사용자 단말기의 로밍에 필요한 인증 방법.
  14. 이종 무선망 연동 시스템에서 제1무선망으로부터 제2무선망으로 이동되는 사용자 단말기의 인증 방법에 있어서,
    상기 이동한 제2무선망의 인증장치로부터 사용자 식별요구 메시지가 수신되는 경우, 사용자 식별자 및 상기 제1무선망에서의 위치정보가 포함된 로밍 요구 메 시지를 상기 제2무선망의 인증장치로 전송하는 단계;
    상기 로밍 요구 메시지에 대응하여 상기 제2무선망의 인증장치로부터 키 확인 요구 메시지가 수신되면, 상기 키 확인 요구 메시지에 포함된 KSI와 자신이 기 포함하는 KSI를 비교하고, 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망의 인증장치로 전송하는 단계; 및
    상기 제2무선망의 인증장치로부터 상기 키 확인 응답 메시지에 따른 로밍 성공 메시지가 수신되는 경우, 상기 키 확인 요구 메시지에 포함된 자신의 현재 위치 정보를 저장하는 단계를 포함하는 이종 무선망 연동 시스템에서 사용자 단말기의 인증방법.
  15. 이종 무선망 연동 시스템에서 제1무선망으로부터 인증된 사용자 단말기가 제2무선망으로 이동되는 경우 상기 사용자 단말기에 대한 제2무선망의 인증 방법에 있어서,
    상기 사용자 단말기를 식별하기 위한 사용자 식별요구 메시지를 발생하고, 이에 대응하여 상기 사용자 단말기로부터 로밍 요구 메시지가 수신되면, 상기 사용자 단말기에 대한 상기 제1무선망에서의 인증정보 및 키 정보 파악을 위해 상기 제1무선망의 인증장치로 사용자 인증 데이터를 요구하는 단계;
    상기 제1무선망의 인증장치로부터 상기 사용자 인증 데이터로서 상기 사용자 단말기에 대한 키 색인값인 KSI(Key Set Identifier)가 수신되면, 상기 KSI와 상기 사용자 단말기의 현재 위치정보가 포함된 키 확인 요구 메시지를 상기 사용자 단말기로 전송하는 단계; 및
    상기 사용자 단말기로부터 상기 KSI 인증에 따른 키 확인 응답 메시지가 수신되면, 상기 사용자 단말기에 로밍 성공 메시지를 전송하는 단계를 포함하는 이종 무선망 연동 시스템에서 인증장치의 인증방법.
  16. 제15항에 있어서,
    상기 KSI(Key Set Identifier)와 상기 사용자 단말기의 새로운 위치정보를 상기 사용자 단말기로 전송하는 단계는,
    상기 KSI(Key Set Identifier)와 사용자 단말기의 새로운 위치정보의 전송 무결성을 위해 설정된 해시 알고리즘을 이용하여 계산한 해쉬 값을 태깅하여 전송하는 단계를 포함하는 것을 특징으로 하는 이종 무선망 연동 시스템에서 인증장치의 인증방법.
  17. 제16항에 있어서,
    상기 설정된 해시 알고리즘은,
    SHA1(Secure Hash Algorithm 1)인 것을 특징으로 하는 이종 무선망 연동 시스템에서 인증장치의 인증방법.
  18. 제1무선망으로부터 제2무선망으로 이동되는 경우, 상기 이동한 제2무선망으로부터 수신되는 사용자 식별요구 메시지의 응답으로서 사용자 식별자와 상기 제1무선망에서의 위치정보를 로밍 요구 메시지에 포함시켜 발생하고, 상기 로밍 요구 메시지에 대응하여 상기 제2무선망으로부터 KSI(Key Set Identifier)와 자신의 현재 위치 정보가 제공되면, 상기 제공된 KSI와 기 포함하는 KSI를 비교하고 상기 두 KSI가 동일한 경우 키 확인 응답 메시지를 생성하여 상기 제2무선망으로 발생하는 사용자 단말기; 및
    상기 발생되는 로밍 요구 메시지의 사용자 식별자 및 위치정보를 이용하여 상기 제1무선망으로부터 KSI를 포함하는 상기 사용자 단말기의 인증 데이터를 획득하고, 상기 획득된 KSI와 상기 사용자 단말기의 현재 위치 정보를 포함하는 키 확인 요구 메시지를 상기 사용자 단말기에 제공한 후, 상기 사용자 단말기로부터 발생되는 키 확인 응답 메시지에 대응된 로밍 성공 메시지를 상기 사용자 단말기로 제공하는 인증장치를 포함하는 이종 무선망 연동 시스템.
  19. 제18항에 있어서,
    상기 사용자 단말기는,
    상기 인증장치로부터 상기 로밍 성공 메시지가 제공되면, 상기 자신의 현재 위치정보를 저장하는 것을 특징으로 하는 이종 무선망 연동 시스템.
  20. 제18항에 있어서,
    상기 사용자 식별자는,
    상기 제1무선망에서의 Pseudonym와 TSMI 중 어느 하나인 것을 특징으로 하는 이종 무선망 연동 시스템.
KR1020070075990A 2006-12-04 2007-07-27 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법 KR100907825B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060121586 2006-12-04
KR1020060121586 2006-12-04

Publications (2)

Publication Number Publication Date
KR20080050971A true KR20080050971A (ko) 2008-06-10
KR100907825B1 KR100907825B1 (ko) 2009-07-14

Family

ID=39806121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070075990A KR100907825B1 (ko) 2006-12-04 2007-07-27 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법

Country Status (1)

Country Link
KR (1) KR100907825B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100944628B1 (ko) * 2007-12-12 2010-02-26 에스케이 텔레콤주식회사 Usim을 활용한 유무선 통합 인증 제공 방법
KR20100101887A (ko) * 2009-03-10 2010-09-20 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
KR101018470B1 (ko) * 2010-07-03 2011-03-02 주식회사 유비즈코아 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법
KR101129246B1 (ko) * 2009-08-31 2012-03-26 주식회사 케이티 Wi-Fi망에 연결되는 이동단말 및 그 방법
KR101130105B1 (ko) * 2009-11-12 2012-03-28 주식회사 케이티 이동통신망에서의 멀티밴드 멀티모드 단말 인증 방법 및 이를 위한 멀티밴드 멀티모드 단말
KR101224254B1 (ko) * 2009-09-16 2013-01-21 아바야 인코포레이티드 통신 네트워크 통합 방법 및 통신 시스템
KR101236894B1 (ko) * 2010-11-11 2013-03-06 주식회사 유비즈코아 유무선 통신망 상의 상호보안 인증 시스템 및 그 인증 방법
KR101361198B1 (ko) * 2010-12-21 2014-02-07 주식회사 케이티 I-wlan에서 인증 서버 및 그의 접속 인증 방법
CN111328066A (zh) * 2018-12-14 2020-06-23 中国电信股份有限公司 异构无线网络快速漫游方法和***、主和从接入点设备

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4018573B2 (ja) 2003-03-25 2007-12-05 株式会社エヌ・ティ・ティ・ドコモ 認証システム及び通信端末
KR20060069611A (ko) * 2004-12-17 2006-06-21 한국전자통신연구원 이동통신 단말기의 서명을 이용한 이종 네트워크에서의사용자 인증 방법
JP4786190B2 (ja) * 2005-02-01 2011-10-05 株式会社エヌ・ティ・ティ・ドコモ 認証ベクトル生成装置、加入者認証モジュール、無線通信システム、認証ベクトル生成方法、演算方法及び加入者認証方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100944628B1 (ko) * 2007-12-12 2010-02-26 에스케이 텔레콤주식회사 Usim을 활용한 유무선 통합 인증 제공 방법
KR20100101887A (ko) * 2009-03-10 2010-09-20 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
US9161217B2 (en) 2009-03-10 2015-10-13 Samsung Electronics Co., Ltd. Method and system for authenticating in a communication system
KR101129246B1 (ko) * 2009-08-31 2012-03-26 주식회사 케이티 Wi-Fi망에 연결되는 이동단말 및 그 방법
KR101224254B1 (ko) * 2009-09-16 2013-01-21 아바야 인코포레이티드 통신 네트워크 통합 방법 및 통신 시스템
US8484704B2 (en) 2009-09-16 2013-07-09 Avaya Inc. Next generation integration between different domains, such as, enterprise and service provider using sequencing applications and IMS peering
KR101130105B1 (ko) * 2009-11-12 2012-03-28 주식회사 케이티 이동통신망에서의 멀티밴드 멀티모드 단말 인증 방법 및 이를 위한 멀티밴드 멀티모드 단말
KR101018470B1 (ko) * 2010-07-03 2011-03-02 주식회사 유비즈코아 바이너리 cdma 통신망 상의 보안 인증 시스템 및 그 구동 방법
KR101236894B1 (ko) * 2010-11-11 2013-03-06 주식회사 유비즈코아 유무선 통신망 상의 상호보안 인증 시스템 및 그 인증 방법
KR101361198B1 (ko) * 2010-12-21 2014-02-07 주식회사 케이티 I-wlan에서 인증 서버 및 그의 접속 인증 방법
CN111328066A (zh) * 2018-12-14 2020-06-23 中国电信股份有限公司 异构无线网络快速漫游方法和***、主和从接入点设备
CN111328066B (zh) * 2018-12-14 2023-09-01 中国电信股份有限公司 异构无线网络快速漫游方法和***、主和从接入点设备

Also Published As

Publication number Publication date
KR100907825B1 (ko) 2009-07-14

Similar Documents

Publication Publication Date Title
AU2003243680B2 (en) Key generation in a communication system
KR100762644B1 (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
KR100907825B1 (ko) 이종 무선망 연동 시스템에서 로밍에 필요한 인증 방법
US8094821B2 (en) Key generation in a communication system
EP1430640B1 (en) A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
KR100729105B1 (ko) 비 유에스아이엠 단말기에서의 이에이피-에이케이에이 인증처리 장치 및 방법
TWI307608B (ko)
US20070180244A1 (en) Rogue access point detection
EP1001570A2 (en) Efficient authentication with key update
JP4677784B2 (ja) 集合型宅内ネットワークにおける認証方法及びシステム
KR101068426B1 (ko) 통신시스템을 위한 상호동작 기능
Cho et al. Key Management Protocol for Roaming in Wireless Interworking System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee