KR20150135715A - Apparatus and method for protecting privacy of user in mobile communication network - Google Patents
Apparatus and method for protecting privacy of user in mobile communication network Download PDFInfo
- Publication number
- KR20150135715A KR20150135715A KR1020140062511A KR20140062511A KR20150135715A KR 20150135715 A KR20150135715 A KR 20150135715A KR 1020140062511 A KR1020140062511 A KR 1020140062511A KR 20140062511 A KR20140062511 A KR 20140062511A KR 20150135715 A KR20150135715 A KR 20150135715A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- terminal
- network
- request message
- value
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
하기의 실시예들은 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법에 관한 것으로, 구체적으로는 사용자가 어느 셀에 속하는지 여부가 다른 사용자 또는 공격자에게 노출되지 않도록 사용자의 프라이버시를 보호하는 장치 및 방법에 관한 것이다
The following embodiments are directed to an apparatus and method for protecting the privacy of a user in a mobile communication system, and more particularly, to an apparatus and method for protecting privacy of a user such that a user is not exposed to another user or an attacker, ≪ / RTI >
인증 절차는 단말기가 네트워크에 접속하는 경우, 해당 단말기가 네트워크에 등록된 사용자인지, 또는 단말기가 접속할 수 있는 네트워크인지 확인하는 절차이다. 인증 절차는 단말기와 네트워크가 최초로 접촉하는 절차이므로, 인증에 필요한 파라미터들을 암호화하지 않는 경향이 있다.The authentication procedure is a procedure for confirming whether the terminal is a registered user in the network or a network to which the terminal can connect when the terminal is connected to the network. The authentication procedure tends to not encrypt the parameters required for authentication, since it is the initial contact between the terminal and the network.
따라서, 인증에 필요한 파라미터들이 제3자에게 노출되어 사용자의 프라이버시를 위협할 수 있다.Therefore, the parameters required for authentication may be exposed to a third party and may threaten the privacy of the user.
예를 들어, 단말기의 위치를 파악하려는 공격자는 이동성 관리 장치로부터 단말기로 전송되는 인증 요청 메시지를 엿들을 수 있다.For example, an attacker who wants to know the location of the terminal may listen to an authentication request message transmitted from the mobility management apparatus to the terminal.
이 경우 공격자는 이동성 관리 장치를 대신하여 인증 요청 메시지를 단말기로 전송할 수 있고, 단말기가 전송한 네트워크에 대한 인증 결과에 따라 단말기가 어느 기지국의 커버리지 내에 위치하는지 여부를 알 수 있다.In this case, the attacker can transmit the authentication request message to the terminal on behalf of the mobility management apparatus, and can know whether the terminal is located within the coverage of the base station according to the authentication result of the network transmitted by the terminal.
따라서, 이러한 보안 취약점을 이용한 사용자의 프라이버시 노출을 방지하는 기술의 개발이 필요하다.
Therefore, there is a need to develop a technique for preventing exposure of the user's privacy using such a security vulnerability.
하기의 실시예들은 이동통신 시스템에서 사용자의 프라이버시를 보호하는 것을 목적으로 한다.The following embodiments are intended to protect user privacy in a mobile communication system.
하기의 실시예들은 이동통신 시스템에서 사용자의 위치가 타인에게 노출되지 않도록 보호하는 것을 목적으로 한다.
The following embodiments are intended to protect a user's position from being exposed to others in a mobile communication system.
예시적 실시예에 따르면, 이동성 관리 장치로부터 인증 요청 메시지를 수신하는 수신부, 상기 인증 요청 메시지를 USIM으로 전송하고, 상기 USIM으로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 인증 결과 및 암호화 마스터 키를 수신하는 USIM 인터페이스, 상기 암호화 마스터 키를 이용하여 상기 네트워크에 대한 인증 결과를 암호화하는 암호화부 및 상기 암호화된 인증 결과를 상기 이동성 관리 장치로 전송하는 전송부를 포함하는 단말기가 제공된다.According to an exemplary embodiment of the present invention, a receiving unit for receiving an authentication request message from a mobility management apparatus transmits the authentication request message to a USIM, receives an authentication result for a network including the mobility management apparatus and an encryption master key from the USIM An encryption unit for encrypting an authentication result for the network using the encryption master key, and a transmission unit for transmitting the encrypted authentication result to the mobility management apparatus.
여기서, 상기 전송부는 상기 네트워크에 대한 접속 요청 메시지를 상기 이동성 관리 장치로 전송하고, 상기 인증 요청 메시지는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 이동성 관리 장치로부터 상기 단말기로 전송될 수 있다.Here, the transmitting unit transmits an access request message to the network to the mobility management apparatus, and the authentication request message is transmitted from the mobility management apparatus when the identifier of the terminal included in the connection request message is registered in the network And may be transmitted to the terminal.
그리고, 상기 인증 요청 메시지는 랜덤값 및 네트워크의 인증값을 포함하고, 상기 USIM에 저장된 보안키(Security Key) 및 상기 랜덤값에 기반하여 상기 USIM에서 생성된 USIM의 인증값이 상기 네트워크의 인증값과 동일한 경우에 상기 네트워크가 인증될 수 있다.The authentication request message includes a random value and an authentication value of the network, and a security key stored in the USIM and an authentication value of a USIM generated in the USIM based on the random value are used as an authentication value of the network The network can be authenticated.
또한, 상기 네트워크의 인증값은 상기 랜덤값에 기반하여 상기 네트워크의 홈 가입자 서버(Home Subscriber Server)에서 생성된 것일 수 있다.In addition, the authentication value of the network may be generated by a home subscriber server of the network based on the random value.
여기서, 상기 암호화 마스터 키 상기 인증 요청 메시지에 포함된 랜덤값에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 암호화 파라미터에 기반하여 생성될 수 있다.Here, the encryption master key may be generated based on an encryption parameter generated using an AKA (Authentication and Key Agreement) algorithm based on the random value included in the authentication request message.
그리고, 상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함할 수 있다.The authentication result for the network may include a sync failure or a MAC failure.
또 다른 예시적 실시예에 따르면, 네트워크에 등록된 단말기들의 이동성을 관리하는 이동성 관리 장치에 있어서, 인증 요청 메시지를 단말기로 전송하는 전송부, 상기 인증 요청 메시지에 응답하여 상기 단말기에서 생성된 제1 암호화 마스터 키를 이용하여 암호화된 상기 단말기의 상기 네트워크에 대한 인증 결과를 수신하는 수신부, 상기 암호화된 상기 단말기의 상기 네트워크에 대한 인증 결과를 제2 암호화 마스터 키를 이용하여 복호하는 복호부를 포함하는 이동성 관리 장치가 제공된다.According to another exemplary embodiment, there is provided a mobility management apparatus for managing mobility of terminals registered in a network, the mobility management apparatus comprising: a transmitter for transmitting an authentication request message to a terminal; A receiving unit that receives an authentication result for the network of the terminal encrypted using the encryption master key, a decryption unit that decrypts the authentication result for the network of the encrypted terminal using the second encryption master key, A management device is provided.
여기서, 상기 단말기의 상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함할 수 있다.Here, the authentication result of the terminal with respect to the network may include a sync failure or a MAC failure.
그리고, 상기 수신부는 상기 단말기로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 접속 요청 메시지를 수신하고, 상기 인증 요청 메시지는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 전송될 수 있다.The receiving unit receives the connection request message for the network including the mobility management apparatus from the terminal, and transmits the authentication request message when the identifier of the terminal included in the connection request message is registered in the network .
또한, 상기 전송부는 상기 단말기의 식별자를 홈 가입자 서버(Home Subscriber Server)로 전송하고, 상기 수신부는 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 홈 가입자 서버로부터 랜덤값, 상기 제2 암호화 마스터 키를 수신할 수 있다.Also, the transmitting unit transmits the identifier of the terminal to a home subscriber server, and the receiving unit receives a random value from the home subscriber server when the identifier of the terminal is registered in the network, Key can be received.
여기서, 상기 단말기를 인증하는 단말기 인증부를 더 포함하고, 상기 수신부는 상기 홈 가입자 서버로부터 응답 기대값(XRES: Expected Response)를 수신하고, 상기 단말기의 상기 네트워크에 대한 인증 결과는 상기 단말기의 응답값(Response)를 포함하고, 상기 단말기 인증부는 상기 단말기의 응답값과 상기 응답 기대값이 일치하는 경우에 상기 단말기를 인증할 수 있다.Wherein the receiving unit receives an expected response value (XRES: Expected Response) from the home subscriber server, and the authentication result of the terminal on the network is a response value of the terminal The terminal authentication unit may authenticate the terminal when the response value of the terminal matches the expected response value.
그리고, 상기 응답 기대값은 상기 랜덤값 및 상기 홈 가입자 서버에 저장된 보안키(Security Key)에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 것일 수 있다.The response expected value may be generated using an authentication and key agreement (AKA) algorithm based on the random value and a security key stored in the home subscriber server.
또한, 상기 전송부는 상기 랜덤값을 상기 인증 요청 메시지에 포함하여 상기 단말기로 전송하고, 상기 단말기의 응답값은 상기 단말기로 전송된 상기 랜덤값에 기반하여 생성된 것일 수 있다.Also, the transmitter may include the random value in the authentication request message and transmit the random value to the terminal, and the response value of the terminal may be generated based on the random value transmitted to the terminal.
또 다른 예시적 실시예에 따르면, 이동성 관리 장치로부터 인증 요청 메시지를 수신하는 단계, 상기 인증 요청 메시지를 USIM으로 전송하는 단계, 상기 USIM으로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 인증 결과 및 암호화 마스터 키를 수신하는 단계, 상기 암호화 파라미터를 이용하여 암호화 마스터 키를 생성하는 단계, 상기 암호화 마스터 키를 이용하여 상기 네트워크에 대한 인증 결과를 암호화하는 단계 및 상기 암호화된 인증 결과를 상기 이동성 관리 장치로 전송하는 단계를 포함하는 단말기의 인증 방법이 제공된다.According to yet another exemplary embodiment, there is provided a method for managing a mobility management system, comprising: receiving an authentication request message from a mobility management apparatus; transmitting the authentication request message to a USIM; Generating an encryption master key using the encryption parameter, encrypting an authentication result for the network using the encryption master key, and transmitting the encrypted authentication result to the mobility management apparatus The method comprising the steps of:
여기서, 상기 네트워크에 대한 접속 요청 메시지를 상기 이동성 관리 장치로 전송하는 단계를 더 포함하고, 상기 인증 요청 메시지를 수신하는 단계는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 인증 요청 메시지를 수신할 수 있다.The method of claim 1, further comprising transmitting an access request message to the mobility management apparatus when the identifier of the terminal included in the connection request message is registered in the network And may receive the authentication request message.
그리고, 상기 인증 요청 메시지는 랜덤값 및 네트워크의 인증값을 포함하고, 상기 USIM에 저장된 보안키(Security Key) 및 상기 랜덤값에 기반하여 상기 USIM에서 생성된 USIM의 인증값이 상기 네트워크의 인증값과 동일한 경우에 상기 네트워크가 인증될 수 있다.The authentication request message includes a random value and an authentication value of the network, and a security key stored in the USIM and an authentication value of a USIM generated in the USIM based on the random value are used as an authentication value of the network The network can be authenticated.
또한, 상기 네트워크의 인증값은 상기 랜덤값에 기반하여 상기 네트워크의 홈 가입자 서버(Home Subscriber Server)에서 생성된 것일 수 있다.In addition, the authentication value of the network may be generated by a home subscriber server of the network based on the random value.
여기서, 상기 암호화 마스터 키는 상기 인증 요청 메시지에 포함된 랜덤값에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 암호화 파라미터에 기반하여 생성될 수 있다.Here, the encryption master key may be generated based on an encryption parameter generated using an AKA (Authentication and Key Agreement) algorithm based on the random value included in the authentication request message.
그리고, 상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함할 수 있다.
The authentication result for the network may include a sync failure or a MAC failure.
하기의 실시예들에 따르면, 이동통신 시스템에서 사용자의 프라이버시를 보호할 수 있다.According to the embodiments described below, the privacy of a user can be protected in a mobile communication system.
하기의 실시예들에 따르면, 이동통신 시스템에서 사용자의 위치가 타인에게 노출되지 않도록 보호할 수 있다.
According to the embodiments described below, it is possible to protect the position of a user in a mobile communication system from being exposed to others.
도 1은 예시적 실시예에 따른 단말기 및 이동성 관리 장치를 포함하는 이동통신 시스템을 도시한 도면이다.
도 2는 단말기의 위치에 대한 정보를 보호하는 예시적 실시예를 단계별로 설명한 순서도이다.
도 3은 예시적 실시예에 따른 단말기의 구조를 도시한 블록도이다.
도 4는 예시적 실시예에 따른 이동성 관리 장치의 구조를 도시한 블록도이다.
도 5는 예시적 실시예에 따른 단말기의 인증 방법을 단계별로 설명한 순서도이다.1 is a diagram illustrating a mobile communication system including a terminal and a mobility management apparatus according to an exemplary embodiment.
FIG. 2 is a flowchart illustrating a step-by-step exemplary embodiment for protecting information on the location of a terminal.
3 is a block diagram illustrating the structure of a terminal according to an exemplary embodiment.
4 is a block diagram showing a structure of a mobility management apparatus according to an exemplary embodiment.
5 is a flowchart illustrating a stepwise authentication method of a terminal according to an exemplary embodiment.
이하, 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.
도 1은 예시적 실시예에 따른 단말기 및 이동성 관리 장치를 포함하는 이동통신 시스템을 도시한 도면이다.1 is a diagram illustrating a mobile communication system including a terminal and a mobility management apparatus according to an exemplary embodiment.
단말기(120)가 네트워크에 접속하려고 하는 경우, 단말기(120)는 단말기(120, 130)에게 이동성 지원 기능을 제공하는 이동성 관리 장치(110)로 접속 요청 메시지를 전송한다. 여기서, 접속 요청 메시지는 단말기의 식별자(identifier)를 포함할 수 있다.When the
도 1에는 도시되지 않았으나, 단말기(120)는 기지국(미도시)을 경유하여 접속 요청 메시지를 이동성 관리 장치(110)로 전송할 수 있다. 일측에 따르면, LTE 시스템의 MME(Mobility Management Entity)가 도 1에서의 이동성 관리 장치(110)로 사용될 수 있다. 이 경우에, IMSI(International Mobile Subscriber Identity)가 단말기(120)의 식별자로 사용될 수 있다. Although not shown in FIG. 1, the
이동성 관리 장치(110)는 단말기(120)가 네트워크에 접속하는 것을 허용하기 이전에, 단말기(120)에 대한 인증을 수행할 수 있다. 이동성 관리 장치(110)는 단말기(120)로 인증 요청 메시지(Authentication Request)를 전송할 수 있다. 일측에 따르면, 인증 요청 메시지는 이동성 관리 장치(110)와 연결된 홈 가입자 서버(HSS, Home Subscriber Server)에서 생성된 랜덤값(RAND) 및 홈 가입자 서버에서 생성된 네트워크의 인증값(AUTH_hss)를 포함할 수 있다.The
단말기(120)는 인증 요청 메시지를 수신할 수 있다. 단말기(120)는 인증 요청 메시지에 포함된 랜덤값(RAND) 및 홈 가입자 서버에서 생성된 네트워크의 인증값(AUTH_hss)을 단말기(120)에 탑재된 USIM 카드로 전송할 수 있다.The
USIM 카드는 인증 요청 메시지에 포함된 랜덤값(RAND) 및 홈 가입자 서버에서 생성된 네트워크의 인증값(AUTH_hss)을 이용하여 네트워크를 인증할 수 있다. USIM 카드는 네트워크에 대한 인증 결과를 단말기(120)로 전송할 수 있다.The USIM card can authenticate the network using a random value (RAND) included in the authentication request message and an authentication value (AUTH_hss) of the network generated at the home subscriber server. The USIM card may transmit the authentication result to the
또한, USIM 카드는 인증 요청 메시지에 포함된 랜덤값(RAND) 및 USIM 카드에 기 저장된 보안키(Security Key)를 이용하여 암호화 파라미터를 생성할 수 있다. 여기서, USIM 카드는 LTE 시스템의 , 를 암호화 파라미터로 생성할 수 있다.In addition, the USIM card can generate an encryption parameter using a random value (RAND) included in the authentication request message and a security key previously stored in the USIM card. Here, the USIM card is a , As an encryption parameter.
USIM 카드는 생성된 암호화 파라미터에 기반하여 제1 암호화 마스터 키를 생성할 수 있다. 여기서, USIM 카드는 LTE 시스템의 를 제1 암호화 마스터 키로 생성할 수 있다.The USIM card may generate a first cryptographic master key based on the generated cryptographic parameters. Here, the USIM card is a Can be generated with the first cryptographic master key.
USIM 카드는 네트워크에 대한 인증 결과 및 제1 암호화 마스터 키를 단말기(120)로 전송할 수 있다.The USIM card may transmit the authentication result to the network and the first cryptographic master key to the
단말기(120)는 암호화 마스터 키를 이용하여 네트워크에 대한 인증 결과를 암호화하고, 암호화된 인증 결과를 이동성 관리 장치(110)로 전송할 수 있다. 이동성 관리 장치(110)는 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 이용하여 제2 암호화 마스터 키를 생성할 수 있다. 이동성 관리 장치(110)는 단말기(120)로부터 수신한 네트워크에 대한 인증 결과를 제2 암호화 마스터 키를 이용하여 복호할 수 있다. 이동성 관리 장치(110)는 해당 네트워크가 USIM 카드에서 인증된 경우, 단말기(120)를 인증하고, 네트워크에 대한 접속을 허가할 수 있다.
The
도 1에서, 단말기(120)가 네트워크에 대한 인증 결과를 암호화 하지 않는다면, 단말기(120)의 위치에 대한 정보가 공격자(140)에게 노출될 수 있다. 먼저, 공격자(140)는 이동성 관리 장치(110)로부터 단말기(120)로 전송되는 인증 요청 메시지를 수신하고, 랜덤값(RAND) 및 홈 가입자 서버에서 생성된 네트워크의 인증값(AUTH_hss)을 추출하여 저장할 수 있다.In FIG. 1, if the
단말기(120)가 네트워크에 대한 인증 결과를 전송한 이후에, 공격자(140)는 기 저장된 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 이용하여 인증 요청 메시지를 생성하고, 생성된 인증 요청 메시지를 단말기(120, 130)로 전송할 수 있다.After the
단말기(120)는 이미 인증 요청 메시지에 대한 응답을 전송하였기 때문에, 동기 실패(Sync Fail)를 의미하는 인증 결과를 공격자(140)에게 전송한다. 또한 단말기(130)는 자신에게 해당하는 인증 요청 메시지가 아니므로, 맥 실패(MAC Fail)을 의미하는 인증 결과를 공격자(140)에게 전송한다.Since the
만약 단말기(120, 130)가 네트워크에 대한 인증 결과를 암호화 하지 않는다면, 공격자(140)는 인증 결과의 내용을 쉽게 파악할 수 있다. 이 경우, 공격자(140)는 단말기(120, 130)들로부터 각각 수신한 인증 결과를 비교하여 단말기(120, 130)가 특정 기지국의 커버리지 내에 위치하는지 여부를 판단할 수 있다. 예를 들어, 단말기(120)로부터 수신한 인증 결과가 동기 실패인 경우에, 공격자(140)는 단말기(120)가 특정 기지국의 커버리지 내에 위치하는 것으로 판단할 수 있다.
If the
그러나, 단말기(120, 130)가 네트워크에 대한 인증 결과를 암호화 한다면, 공격자(140)는 인증 결과의 내용을 파악할 수 없다. 따라서, 공격자(140)는 특정 단말기(120)가 특정 기지국의 커버리지 내에 위치하는지 여부를 판단할 수 없고, 사용자의 프라이버시는 지켜질 수 있다.
However, if the
도 2는 단말기의 위치에 대한 정보를 보호하는 예시적 실시예를 단계별로 설명한 순서도이다.FIG. 2 is a flowchart illustrating a step-by-step exemplary embodiment for protecting information on the location of a terminal.
단계(250)에서, 단말기(220)는 이동성 관리 장치(230)로 접속 요청 메시지(Attach Request)를 전송한다. 일측에 따르면, 접속 요청 메시지는 단말기(220)의 식별자를 포함할 수 있다. 여기서, 단말기(220)의 전화 번호 또는 IMSI 값이 단말기(220)의 식별자로 사용될 수 있다. 여기서, 이동성 관리 장치(230)는 단말기(220)를 인증하고, 단말기(220)가 네트워크에 접속하는 것을 허용하는 장치이다.At
단계(261)에서, 이동성 관리 장치(230)는 인증 정보 요청 메시지를 전송하여 단말기(220)를 인증하기 위하여 필요한 인증 정보를 홈 가입자 서버(240)에 요청한다. 여기서, 인증 정보 요청 메시지는 단말기(220)의 식별자를 포함할 수 있다.In
일측에 따르면, 홈 가입자 서버(240)는 인증 정보 요청 메시지에 응답하여 랜덤값(RAND)를 생성할 수 있다. 또한, 홈 가입자 서버(240)는 랜덤값(RAND) 및 홈 가입자 서버(240)에 기 저장된 보안키(Security Key)에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 응답 기대값(XRES), 네트워크의 인증값(AUTH_hss) 및 암호화 파라미터들을 생성할 수 있다. 여기서, LTE 시스템의 , 가 암호화 파라미터로 사용될 수 있다.According to one aspect, the
또한, 홈 가입자 서버(240)는 암호화 파라미터들로부터 제2 암호화 마스터 키를 생성할 수 있다.In addition, the
단계(262)에서, 이동성 관리 장치(230)는 홈 가입자 서버(240)로부터 인증 정보 응답 메시지를 수신한다. 일측에 따르면, 인증 정보 응답 메시지는 이동성 관리 장치(230)가 단말기(220)를 인증하기 위하여 사용하는 랜덤값(RAND) 및 제2 암호화 마스터 키를 포함할 수 있다. 또한, 인증 정보 응답 메시지는 네트워크의 인증값(AUTH_hss) 및 단말기(220)에 대한 네트워크의 응답 기대값(XRES: Expected Response)을 포함할 수 있다.In
단계(271)에서, 이동성 관리 장치(230)는 단말기(220)로 인증 요청 메시지를 전송한다. 일측에 따르면, 인증 요청 메시지는 홈 가입자 서버(240)가 생성한 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 포함할 수 있다.In
단계(272)에서, 단말기(220)는 수신한 랜덤값(RAND) 및 홈 가입자 서버(240)가 생성한 네트워크의 인증값(AUTH_hss)을 단말기(220)에 탑재된 USIM 카드(210)로 전송할 수 있다.In
단계(281)에서, USIM 카드(210)는 랜덤값(RAND) 및 홈 가입자 서버(240)가 생성한 네트워크의 인증값(AUTH_hss)을 이용하여 네트워크를 인증한다. 일측에 따르면, USIM 카드(210)는 홈 가입자 서버(240)가 생성한 랜덤값(RAND)과 USIM 카드(210)에 기 저장된 보안키에 기반하여 응답값(RES:Response) 및 USIM의 인증값(AUTH_ue)를 생성한다. 일측에 따르면, USIM 카드(210)는 USIM의 인증값(AUTH_ue)과 네트워크의 인증값(AUTH_hss)가 동일한 값인 경우 네트워크를 인증할 수 있다.In
일측에 따르면, USIM의 인증값(AUTH_ue)과 네트워크의 인증값(AUTH_hss)가 동일한 값인 경우 네트워크의 인증 결과는 '인증 성공'일 수 있다. 반면, '인증 실패'는 다음의 두 가지로 구분할 수 있다.According to one aspect, if the authentication value (AUTH_ue) of the USIM is equal to the authentication value (AUTH_hss) of the network, the authentication result of the network may be 'authentication success'. On the other hand, 'authentication failure' can be divided into the following two.
만약, 단말기(220)가 이미 네트워크를 인증하고, 그 인증 결과를 이동성 관리 장치(230)로 전송한 이후에 또 다시 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기(220)는 중복된 인증 요청 메시지에 대해서 '동기 실패(Sync Fail)'의 인증 결과를 산출한다.After the terminal 220 has already authenticated the network and transmitted the authentication result to the
또한, 단말기(220)는 다른 단말기로 전송되는 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기(220)는 다른 단말기로 전송되는 인증 요청 메시지에 대응하여 '맥 실패(MAC Fail)'의 인증 결과를 산출할 수 있다.In addition, the terminal 220 may receive an authentication request message transmitted to another terminal. In this case, the terminal 220 may calculate an authentication result of 'MAC Fail' in response to an authentication request message transmitted to another terminal.
일측에 따르면, USIM 카드(210)는 랜덤값(RAND)과 USIM 카드(210)에 기 저장된 보안키에 기반하여 암호화 파라미터들을 생성할 수 있다. USIM 카드(210)에 기 저장된 보안키는 홈 가입자 서버(240)에 저장된 보안키와 동일한 값의 키로서, USIM 카드(210)의 제조시에 USIM 카드에 저장될 수 있다. 여기서, USIM 카드(210)는 LTE 시스템의 , 를 암호화 파라미터로 생성할 수 있다. 일측에 따르면, USIM 카드(210)는 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 암호화 파라미터, 응답값(RES) 및 USIM의 인증값을 생성할 수 있다.According to one aspect, the
또한, USIM 카드(210)는 암호화 파라미터에 기반하여 암호화 마스터 키를 생성할 수 있다. 일측에 따르면, USIM 카드(210)는 LTE 시스템의 를 암호화 마스터 키로 생성할 수 있다.In addition, the
단계(281)에서 USIM 카드(210)가 생성한 암호화 파라미터들은 홈 가입자 서버(240)와 동일한 랜덤값(RAND) 및 보안키에 기반하여 생성된 값이다. 따라서, USIM 카드(210)가 생성한 암호화 파라미터들은 홈 가입자 서버(240)가 생성한 암호화 파라미터들과 동일하다. 또한, 단말기(220)가 생성한 암호화 마스터 키는 홈 가입자 서버(240)가 생성하여 이동성 관리 장치(230)로 전송된 암호화 마스터 키와 동일하다.The encryption parameters generated by the
단계(282)에서, 단말기(220)는 USIM 카드(210)로부터 암호화 마스터 키, 네트워크의 인증 결과, 응답값(RES)을 수신한다.At
단계(283)에서, 단말기(220)는 암호화 마스터 키를 이용하여 네트워크의 인증 결과를 암호화 할 수 있다. 일측에 따르면, 단말기(220)는 암호화 마스터 키로부터 유도된 서브 키를 이용하여 인증 결과를 암호화할 수 있다. 여기서, 인증 결과는 USIM 카드(210)가 생성한 응답값(RES:Response)을 포함할 수 있다.At
단계(291)에서, 단말기(220)는 암호화된 인증 결과를 이동성 관리 장치(230)로 전송한다.In
단계(292)에서, 이동성 관리 장치(230)는 기 저장된 암호화 마스터 키를 이용하여 수신한 암호화된 인증 결과를 복호화할 수 있다.In
단계(293)에서, 이동성 관리 장치(230)는 암호화된 인증 결과에 포함된 응답값(RES)를 추출하여 응답 기대값(XRES)과 비교할 수 있다. 만약 응답값(RES)과 응답 기대값(XRES)가 동일하다면, 이동성 관리 장치(230)는 단말기(220)를 인증할 수 있다.
In
일측에 따르면, 단말기(220)를 공격하려는 공격자는 단계(271)에서 인증 요청 메시지를 엿듣고, 홈 가입자 서버(240)가 생성한 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)를 탈취할 수 있다. 공격자는 탈취한 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 이용하여 인증 요청 메시지를 단말기(220)로 재전송할 수 있다.According to one aspect, the attacker who intends to attack the terminal 220 hears the authentication request message at
이동성 관리 장치(230)는 복수의 기지국을 관리할 수 있다. 이 경우, 단말기(220)는 이동성 관리 장치(230)가 관리하는 복수의 기지국 중에서 단말기(220)의 위치를 커버리지로 하는 어느 하나의 기지국을 경유하여 이동성 관리 장치(230)로 접속 할 수 있다.The
이 경우에, 공격자가 전송한 인증 요청 메시지는 단말기(220) 및 단말기(220)와 동일한 기지국의 커버리지에 위치하는 다른 단말기들로도 전송된다. 이 경우에, 단말기(220)는 재전송된 인증 요청 메시지에 대하여 '동기 실패(Sync Fail)'의 인증 결과를 전송할 수 있다. 또한, 다른 단말기들은 '맥 실패(MAC Fail)'의 인증 결과를 전송할 수 있다.In this case, the authentication request message transmitted by the attacker is also transmitted to other terminals located in the coverage of the same base station as the terminal 220 and the terminal 220. In this case, the terminal 220 may transmit an authentication result of 'Sync Fail' to the re-transmitted authentication request message. In addition, other terminals may transmit an authentication result of 'MAC Fail'.
만약 인증 결과가 암호화되어 있지 않다면, 공격자는 각 단말기들로부터 수신한 인증 결과를 비교하여 단말기(220)가 어느 기지국의 커버리지에 위치하는지 알아낼 수 있다.If the authentication result is not encrypted, the attacker can compare the authentication result received from each of the terminals and find out which base station has the coverage of the
그러나, 도 2에 도시된 실시예에 따르면, 각 단말기들의 인증 결과는 마스터 암호화 키를 이용하여 암호화된다. 여기서, 마스터 암호화 키는 단말기(220)와 홈 가입자 서버(240)에서 각각 생성될 뿐, 무선을 통해 전송되지 않는다.However, according to the embodiment shown in FIG. 2, the authentication result of each terminal is encrypted using the master encryption key. Here, the master encryption key is generated only by the terminal 220 and the
따라서, 공격자는 마스터 암호화 키를 파악할 수 없으며, 각 단말기들로부터 수신한 인증 결과를 복호할 수 없다. 그러므로, 단계(271)에서 공격자가 인증 요청 메시지를 엿듣고, 공격자가 인증 요청 메시지를 전송한 경우에도 단말기(220)의 위치에 대한 정보와 관련된 프라이버시는 보호된다.
Therefore, the attacker can not grasp the master encryption key and can not decrypt the authentication result received from each terminal. Therefore, in
도 3은 예시적 실시예에 따른 단말기의 구조를 도시한 블록도이다.3 is a block diagram illustrating the structure of a terminal according to an exemplary embodiment.
예시적 실시예에 따른 단말기(300)는 수신부(310), USIM 인터페이스(320), 마스터 키 생성부(330), 암호화부(340) 및 전송부(350)를 포함한다.The terminal 300 according to the exemplary embodiment includes a receiving
수신부(310)는 이동성 관리 장치(370)으로부터 인증 요청 메시지를 수신한다. 일측에 따르면, 인증 요청 메시지는 홈 가입자 서버가 생성한 랜덤값(RAND) 및 홈 가입자 서버가 생성한 네트워크의 인증값(AUTH_hss)을 포함할 수 있다. 여기서, 인증 요청 메시지는 이동성 관리 장치(370)가 단말기로부터 수신한 접속 요청 메시지에 응답하여 생성된 것일 수 있다. 또한, 네트워크의 인증값(AUTH_hss)은 홈 가입자 서버가 생성한 랜덤값(RAND)에 기반하여 홈 가입자 서버에서 생성된 것일 수 있다.The receiving
일측에 따르면, 전송부(350)는 단말기(300)의 식별자를 포함하는 접속 요청 메시지를 이동성 관리 장치(370)로 전송할 수 있다. 이동성 관리 장치(370)는 수신한 접속 요청 메시지를 홈 가입자 서버(미도시)로 전송할 수 있다. 홈 가입자 서버는 접속 요청 메시지에 포함된 단말기(300)이 식별자가 네트워크에 등록된 것인지 여부를 판단한다. 단말기(300)의 식별자가 네트워크에 등록된 경우에, 홈 가입자 서버는 인증 요청 메시지를 이동성 관리 장치로 전송할 수 있다.According to one aspect, the transmitting unit 350 may transmit an access request message including the identifier of the terminal 300 to the
USIM 인터페이스(320)는 인증 요청 메시지에 포함된 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 USIM 카드(360)로 전송한다.The
USIM 카드(360)는 인증 요청 메시지에 포함된 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)를 이용하여 네트워크를 인증하고, 인증 결과를 생성한다. 일측에 따르면, USIM 카드(360)는 USIM 카드(360)에 기 저장된 보안키 및 수신한 랜덤값(RAND)에 기반하여 USIM의 인증값(AUTH_ue)을 생성할 수 있다. 예를 들어, USIM 카드(360)는 AKA 알고리즘을 이용하여 USIM의 인증값(AUTH_ue)을 생성할 수 있다. USIM 카드(360)는 USIM의 인증값(AUTH_ue)이 네트워크의 인증값(AUTH_hss)과 동일한 경우에, 네트워크를 인증하고 '인증 성공'의 인증 결과를 생성할 수 있다.The
만약 이미 인증 결과를 생성하고, 인증 결과를 이동성 관리 장치(370)로 전송한 경우라면, USIM 카드(360)는 '동기 실패(Sync Fail)'의 인증 결과를 생성할 수 있다. 그러나, 다른 단말기로 전송되는 인증 요청 메시지가 수신된 경우에는, USIM 카드(360)는 '맥 실패(MAC Fail)'의 인증 결과를 생성할 수 있다.If the authentication result has already been generated and the authentication result is transmitted to the
USIM 카드(360)는 AKA 알고리즘을 이용하여 제1 암호화 마스터 키 및 인증 기대값(XRES)를 생성할 수 있다. 일측에 따르면, USIM 카드(360)는 LTE 시스템의 , 를 암호화 파라미터로 생성하고, 생성된 암호화 파라미터에 기반하여 제1 암호화 마스터 키 를 생성할 수 있다.The
USIM 인터페이스(320)는 USIM 카드(360)로부터 인증 결과, 인증 기대값, 암호화 마스터 키를 수신할 수 있다.The
암호화 부(330)는 제1 암호화 마스터 키 를 이용하여 네트워크에 대한 인증 결과를 암호화할 수 있다.The
전송부(340)는 제1 암호화 마스터 키 를 이용하여 암호화된 네트워크에 대한 인증 결과를 이동성 관리 장치(370)로 전송할 수 있다. 네트워크에 대한 암호화된 인증 결과가 공격자(380)에게 유출된 경우에도, 공격자(380)는 암호화 마스터키를 보유하고 있지 않기 때문에, 공격자(380)는 암호화된 인증 결과를 복호하지 못한다.The transmitting
이동성 관리 장치(370)는 제2 암호화 마스터 키를 보유하고, 수신된 네트워크에 대한 암호화된 인증 결과를 복호화할 수 있다.
The
도 4는 예시적 실시예에 따른 이동성 관리 장치의 구조를 도시한 블록도이다.4 is a block diagram showing a structure of a mobility management apparatus according to an exemplary embodiment.
예시적 실시예에 따른 이동성 관리 장치(400)는 전송부(410), 수신부(420), 복호부(430) 및 단말기 인증부(440)를 포함한다The
수신부(420)는 단말기(450)로부터 이동성 관리 장치(400)가 포함된 네트워크에 대한 접속 요청 메시지를 수신한다. 일측에 따르면, 접속 요청 메시지는 단말기(450)의 식별자를 포함할 수 있다.The receiving
전송부(410)는 수신한 접속 요청 메시지에 포함된 단말기(450)의 식별자를 인증 정보 요청 메시지에 포함하여 홈 가입자 서버(460)로 전송한다. 홈 가입자 서버(460)는 접속 요청 메시지에 포함된 단말기(450)의 식별자가 네트워크에 등록된 것인지 여부를 판단한다.The transmitting
접속 요청 메시지에 포함된 단말기(450)의 식별자가 네트워크에 등록된 경우에, 홈 가입자 서버(460)는 인증 정보 응답 메시지를 이동성 관리 장치(400)로 전송할 수 있다. 인증 정보 응답 메시지는 이동성 관리 장치(400)가 단말기(450)를 인증하기 위하여 필요한 정보를 포함한다.When the identifier of the terminal 450 included in the connection request message is registered in the network, the
일측에 따르면, 인증 정보 응답 메시지는 홈 가입자 서버(460)가 생성한 랜덤값(RAND), 단말기(450)에 대한 응답 기대값(XRES), 네트워크의 인증값(AUTH_hss)을 포함할 수 있다. 여기서, 응답 기대값(XRES)는 랜덤값(RAND) 및 홈 가입자 서버(460)에 저장된 보안키에 기반하여 AKA 알고리즘을 이용하여 생성될 수 있다.According to one aspect, the authentication information response message may include a random value (RAND) generated by the
홈 가입자 서버(460)은 접속 요청 메시지에 응답하여 암호화 파라미터를 생성할 수 있다. 여기서, LTE 시스템의 , 가 암호화 파라미터로 사용될 수 있다. 홈 가입자 서버(460)는 암호화 파라미터에 기반하여 제2 암호화 마스터 키를 생성하고, 인증 정보 응답 메시지에 포함하여 제2 암호화 마스터 키를 이동성 관리 장치(400)로 전송할 수 있다.The
수신부(420)는 홈 가입자 서버(460)로부터 랜덤값(RAND), 응답 기대값(XRES), 네트워크의 인증값 및 제2 암호화 마스터 키를 수신한다.The receiving
전송부(410)는 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)를 포함하는 인증 요청 메시지를 단말기(450)로 전송한다. 단말기(450)에 탑재된 USIM 카드는 랜덤값 및 네트워크의 인증값을 이용하여 네트워크를 인증한다.The transmitting
일측에 따르면, USIM 카드는 이동성 관리 장치(400)로부터 수신한 랜덤값(RAND)과 USIM 카드에 기 저장된 보안키에 기반하여 단말기의 인증값(AUTH_ue)를 생성할 수 있다. USIM 카드는 단말기의 인증값(AUTH_ue)와 네트워크의 인증값(AUTH_hss)을 비교하고, 단말기의 인증값(AUTH_ue)와 네트워크의 인증값(AUTH_hss)이 동일한 경우에 네트워크를 인증할 수 있다.According to one aspect, the USIM card may generate an authentication value (AUTH_ue) of the terminal based on a random value (RAND) received from the mobility management device (400) and a security key previously stored in the USIM card. The USIM card compares the authentication value (AUTH_ue) of the terminal with the authentication value (AUTH_hss) of the network and authenticates the network when the authentication value (AUTH_ue) of the terminal is equal to the authentication value (AUTH_hss) of the network.
만약 단말기(450)가 이미 네트워크를 인증하고, 그 인증 결과를 이동성 관리 장치(400)로 전송한 이후에 또 다시 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기(450)는 중복된 인증 요청 메시지에 대해서 '동기 실패(Sync Fail)'의 인증 결과를 산출한다.If the terminal 450 has already authenticated the network and transmitted the authentication result to the
또한, 단말기(450)는 다른 단말기로 전송되는 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기(450)는 다른 단말기로 전송되는 인증 요청 메시지에 대응하여 '맥 실패(MAC Fail)'의 인증 결과를 산출할 수 있다.In addition, the terminal 450 may receive an authentication request message transmitted to another terminal. In this case, the terminal 450 may calculate an authentication result of 'MAC Fail' in response to an authentication request message transmitted to another terminal.
일측에 따르면, USIM 카드는 이동성 관리 장치(400)로부터 수신한 랜덤값(RAND)과 USIM 카드에 기 저장된 보안키에 기반하여 단말기의 응답값(RES), 암호화 파라미터를 생성할 수 있다. 일측에 따르면, USIM 카드는 LTE 시스템의 , 를 암호화 파라미터로 생성할 수 있다.According to one aspect, the USIM card can generate a response value (RES) and an encryption parameter of the terminal based on the random value (RAND) received from the mobility management apparatus (400) and the security key previously stored in the USIM card. According to one side, the USIM card is , As an encryption parameter.
USIM 카드는 암호화 파라미터를 이용하여 제1 암호화 마스터 키를 생성할 수 있다. 단말기(450)는 제1 암호화 마스터 키를 수신하고, 제1 암호화 마스터 키를 이용하여 네트워크에 대한 인증 결과를 암호화할 수 있다. 여기서, 암호화된 인증 결과는 USIM 카드가 생성한 응답값(RES)을 포함할 수 있다.The USIM card may generate the first cryptographic master key using the encryption parameters.
수신부(420)는 단말기(450)로부터 네트워크에 대한 암호화된 인증 결과를 수신할 수 있다.The receiving
복호부(430)는 단말기(450)의 네트워크에 대한 암호화된 인증 결과를 제2 암호화 마스터 키를 이용하여 복호한다.The
단말기 인증부(440)는 암호화된 인증 결과로부터 단말기의 응답값(RES)을 추출하고, 추출된 단말기(450)의 응답값(RES)을 단말기(450)의 응답 기대값(XRES)과 비교할 수 있다. 만약 단말기(450)의 응답값(RES)이 응답 기대값(XRES)과 일치한다면, 단말기 인증부(440)는 단말기(450)를 인증할 수 있다.
The
도 4에 도시된 실시예에 따르면, 단말기(450)로부터 전송되는 네트워크에 대한 인증 결과는 암호화 마스터 키를 이용하여 암호화된다. 따라서, 공격자가 홈 가입자 서버(460)가 생성한 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)를 탈취한 경우에도 공격자는 네트워크에 대한 인증 결과를 해독하지 못한다.According to the embodiment shown in FIG. 4, the authentication result for the network transmitted from the terminal 450 is encrypted using the encryption master key. Therefore, even when the attacker has taken away the random value RAND generated by the
단말기가 네트워크를 인증하지 못한 경우, 인증 결과는 '동기 실패(Sync Fail)'또는 '맥 실패(MAC Fail)' 일 수 있다. 그러나, 공격자는 인증 결과를 알지 못하므로, 단말기(450)가 어느 기지국의 커버리지 내에 위치하는지 전혀 판단할 수 없다.
If the terminal fails to authenticate the network, the authentication result may be 'Sync Fail' or 'MAC Fail'. However, since the attacker does not know the authentication result, it can not determine at all whether the terminal 450 is located within the coverage of a certain base station.
도 5는 예시적 실시예에 따른 단말기의 인증 방법을 단계별로 설명한 순서도이다.5 is a flowchart illustrating a stepwise authentication method of a terminal according to an exemplary embodiment.
단계(510)에서, 단말기는 이동성 관리 장치로 접속 요청 메시지(Attach Request)를 전송한다. 접속 요청 메시지는 단말기의 식별자를 포함할 수 있다. 여기서, 단말기의 전화 번호 또는 IMSI 값이 단말기의 식별자로 사용될 수 있다.In
이동성 관리 장치는 인증 정보 요청 메시지를 전송하여 단말기를 인증하기 위하여 필요한 인증 정보를 홈 가입자 서버에 요청한다. 여기서, 인증 정보 요청 메시지는 단말기의 식별자를 포함할 수 있다.The mobility management apparatus sends an authentication information request message to the home subscriber server to request authentication information necessary for authenticating the terminal. Here, the authentication information request message may include an identifier of the terminal.
일측에 따르면, 홈 가입자 서버는 인증 정보 요청 메시지에 응답하여 랜덤값(RAND)를 생성할 수 있다. 또한, 홈 가입자 서버는 랜덤값(RAND) 및 홈 가입자 서버에 기 저장된 보안키(Security Key)에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 응답 기대값(XRES), 네트워크의 인증값(AUTH_hss) 및 암호화 파라미터들을 생성할 수 있다. 여기서, LTE 시스템의 , 가 암호화 파라미터로 사용될 수 있다.According to one aspect, the home subscriber server may generate a random value (RAND) in response to an authentication information request message. In addition, the home subscriber server uses an authentication and key agreement (AKA) algorithm based on a random value (RAND) and a security key previously stored in the home subscriber server to calculate a response expectation value (XRES) AUTH_hss) and encryption parameters. Here, , Can be used as an encryption parameter.
또한, 홈 가입자 서버는 암호화 파라미터들로부터 제2 암호화 마스터 키를 생성할 수 있다.In addition, the home subscriber server may generate a second cryptographic master key from the cryptographic parameters.
이동성 관리 장치는 홈 가입자 서버로부터 인증 정보 응답 메시지를 수신한다. 일측에 따르면, 인증 정보 응답 메시지는 이동성 관리 장치가 단말기를 인증하기 위하여 사용하는 랜덤값(RAND) 및 제2 암호화 마스터 키를 포함할 수 있다. 또한, 인증 정보 응답 메시지는 네트워크의 인증값(AUTH_hss) 및 단말기에 대한 네트워크의 응답 기대값(XRES: Expected Response)을 포함할 수 있다.The mobility management apparatus receives the authentication information response message from the home subscriber server. According to one aspect, the authentication information response message may include a random value (RAND) and a second cryptographic master key that the mobility management device uses to authenticate the terminal. In addition, the authentication information response message may include an authentication value (AUTH_hss) of the network and an expected response value (XRES) of the network to the terminal.
단계(520)에서, 이동성 관리 장치는 단말기로 인증 요청 메시지를 전송한다. 일측에 따르면, 인증 요청 메시지는 홈 가입자 서버가 생성한 랜덤값(RAND) 및 네트워크의 인증값(AUTH_hss)을 포함할 수 있다.In
단말기는 이동성 관리 장치로부터 수신한 랜덤값(RAND) 및 이동성 관리 장치로부터 수신한 네트워크의 인증값(AUTH_hss)을 단말기에 탑재된 USIM 카드로 전송할 수 있다.The terminal can transmit the random value RAND received from the mobility management apparatus and the authentication value AUTH_hss of the network received from the mobility management apparatus to the USIM card mounted in the terminal.
USIM 카드(210)는 랜덤값(RAND) 및 홈 가입자 서버(240)가 생성한 네트워크의 인증값(AUTH_hss)을 이용하여 네트워크를 인증한다. 일측에 따르면, USIM 카드는 홈 가입자 서버가 생성한 랜덤값(RAND)과 USIM 카드에 기 저장된 보안키에 기반하여 응답값(RES:Response) 및 USIM의 인증값(AUTH_ue)를 생성한다. 일측에 따르면, USIM 카드는 USIM의 인증값(AUTH_ue)과 네트워크의 인증값(AUTH_hss)가 동일한 값인 경우 네트워크를 인증할 수 있다.The
만약, 단말기가 이미 네트워크를 인증하고, 그 인증 결과를 이동성 관리 장치로 전송한 이후에 또 다시 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기는 중복된 인증 요청 메시지에 대해서 '동기 실패(Sync Fail)'의 인증 결과를 산출한다.After the terminal has already authenticated the network and transmitted the authentication result to the mobility management apparatus, the authentication request message can be received again. In this case, the terminal calculates an authentication result of 'Sync Fail' for the duplicated authentication request message.
또한, 단말기는 다른 단말기로 전송되는 인증 요청 메시지를 수신할 수 있다. 이 경우에, 단말기는 다른 단말기로 전송되는 인증 요청 메시지에 대응하여 '맥 실패(MAC Fail)'의 인증 결과를 산출할 수 있다.In addition, the terminal may receive an authentication request message transmitted to another terminal. In this case, the terminal may calculate an authentication result of 'MAC Fail' in response to an authentication request message transmitted to another terminal.
일측에 따르면, USIM 카드는 랜덤값(RAND)과 USIM 카드에 기 저장된 보안키에 기반하여 암호화 파라미터들을 생성할 수 있다. USIM 카드에 기 저장된 보안키는 홈 가입자 서버에 저장된 보안키와 동일한 값의 키로서, USIM 카드의 제조시에 USIM 카드에 저장될 수 있다. 여기서, USIM 카드는 LTE 시스템의 , 를 암호화 파라미터로 생성할 수 있다. 일측에 따르면, USIM 카드는 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 암호화 파라미터, 응답값(RES) 및 USIM의 인증값을 생성할 수 있다.According to one aspect, the USIM card may generate encryption parameters based on the random value (RAND) and the security key previously stored on the USIM card. The security key previously stored in the USIM card is a key having the same value as the security key stored in the home subscriber server, and may be stored in the USIM card when the USIM card is manufactured. Here, the USIM card is a , As an encryption parameter. According to one aspect, the USIM card can generate an authentication value of an encryption key, an acknowledgment value (RES) and a USIM using an AKA (Authentication and Key Agreement) algorithm.
또한, USIM 카드는 단말기는 암호화 파라미터에 기반하여 암호화 마스터 키를 생성한다.In addition, the SIM card generates a cryptographic master key based on encryption parameters.
단계(530)에서, 단말기는 USIM 카드로부터 암호화 마스터 키, 네트워크의 인증 결과, 응?값(RES)을 수신한다.At
단계(540)에서, 단말기는 생성한 암호화 마스터 키를 이용하여 네트워크의 인증 결과를 암호화 할 수 있다. 일측에 따르면, 단말기는 암호화 마스터 키로부터 유도된 서브 키를 이용하여 인증 결과를 암호화할 수 있다. 여기서, 인증 결과는 USIM 카드가 생성한 응답값(RES:Response)을 포함할 수 있다.In
단계(550)에서, 단말기는 암호화된 인증 결과를 이동성 관리 장치로 전송한다. 이동성 관리 장치는 기 저장된 암호화 마스터 키를 이용하여 수신한 암호화된 인증 결과를 복호화할 수 있다. 이동성 관리 장치는 암호화된 인증 결과에 포함된 응답값(RES)를 추출하여 응답 기대값(XRES)과 비교할 수 있다. 만약 응답값(RES)과 응답 기대값(XRES)가 동일하다면, 이동성 관리 장치는 단말기를 인증할 수 있다.
In
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
110: 이동성 관리 장치
120, 130: 단말기
140: 공격자110: mobility management device
120 and 130:
140: Attacker
Claims (20)
상기 인증 요청 메시지를 USIM으로 전송하고, 상기 USIM으로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 인증 결과 및 암호화 마스터키를 수신하는 USIM 인터페이스;
상기 암호화 마스터 키를 이용하여 상기 네트워크에 대한 인증 결과를 암호화하는 암호화부; 및
상기 암호화된 인증 결과를 상기 이동성 관리 장치로 전송하는 전송부
를 포함하는 단말기.
A receiving unit for receiving an authentication request message from the mobility management apparatus;
A USIM interface for transmitting the authentication request message to a USIM, receiving an authentication result for the network including the mobility management apparatus from the USIM and an encryption master key;
An encryption unit encrypting an authentication result for the network using the encryption master key; And
And a transmission unit for transmitting the encrypted authentication result to the mobility management apparatus
Lt; / RTI >
상기 전송부는 상기 네트워크에 대한 접속 요청 메시지를 상기 이동성 관리 장치로 전송하고,
상기 인증 요청 메시지는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 이동성 관리 장치로부터 상기 단말기로 전송되는 단말기.
The method according to claim 1,
Wherein the transmission unit transmits a connection request message to the network to the mobility management apparatus,
Wherein the authentication request message is transmitted from the mobility management apparatus to the terminal when the identifier of the terminal included in the connection request message is registered in the network.
상기 인증 요청 메시지는 랜덤값 및 네트워크의 인증값을 포함하고,
상기 USIM에 저장된 보안키(Security Key) 및 상기 랜덤값에 기반하여 상기 USIM에서 생성된 USIM의 인증값이 상기 네트워크의 인증값과 동일한 경우에 상기 네트워크가 인증되는 단말기.
The method according to claim 1,
Wherein the authentication request message includes a random value and an authentication value of the network,
Wherein the network is authenticated when a security key stored in the USIM and an authentication value of a USIM generated in the USIM based on the random value are equal to an authentication value of the network.
상기 네트워크의 인증값은 상기 랜덤값에 기반하여 상기 네트워크의 홈 가입자 서버(Home Subscriber Server)에서 생성된 것인 단말기.
The method of claim 3,
Wherein the authentication value of the network is generated by a home subscriber server of the network based on the random value.
상기 암호화 마스터 키는 상기 인증 요청 메시지에 포함된 랜덤값에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 암호화 파라미터에 기반하여 생성되는 단말기.
The method according to claim 1,
Wherein the encryption master key is generated based on an encryption parameter generated using an authentication and key agreement (AKA) algorithm based on a random value included in the authentication request message.
상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함하는 단말기.
The method according to claim 1,
Wherein the authentication result for the network includes a synchronization failure or a MAC failure.
인증 요청 메시지를 단말기로 전송하는 전송부;
상기 인증 요청 메시지에 응답하여 상기 단말기의 USIM 카드에서 생성된 제1 암호화 마스터 키를 이용하여 암호화된 상기 단말기의 상기 네트워크에 대한 인증 결과를 수신하는 수신부;
상기 암호화된 상기 단말기의 상기 네트워크에 대한 인증 결과를 제2 암호화 마스터 키를 이용하여 복호하는 복호부
를 포함하는 이동성 관리 장치.
1. A mobility management apparatus for managing mobility of terminals registered in a network,
A transmitting unit for transmitting an authentication request message to a terminal;
A receiving unit for receiving an authentication result for the network encrypted by using the first encryption master key generated in the USIM card of the terminal in response to the authentication request message;
A decryption unit for decrypting the encrypted result of the authentication of the terminal by using the second encryption master key,
The mobility management apparatus comprising:
상기 단말기의 상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함하는 이동성 관리 장치.8. The method of claim 7,
Wherein the authentication result of the terminal with respect to the network includes a synchronization failure or a MAC failure.
상기 수신부는 상기 단말기로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 접속 요청 메시지를 수신하고,
상기 인증 요청 메시지는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 전송되는 이동성 관리 장치.
8. The method of claim 7,
Wherein the receiving unit receives a connection request message for a network including the mobility management apparatus from the terminal,
Wherein the authentication request message is transmitted when an identifier of the terminal included in the connection request message is registered in the network.
상기 전송부는 상기 단말기의 식별자를 홈 가입자 서버(Home Subscriber Server)로 전송하고,
상기 수신부는 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 홈 가입자 서버로부터 랜덤값, 상기 제2 암호화 마스터 키를 수신하는 이동성 관리 장치.
10. The method of claim 9,
The transmitting unit transmits the identifier of the terminal to a home subscriber server,
Wherein the receiving unit receives the random value and the second cryptographic master key from the home subscriber server when the identifier of the terminal is registered in the network.
상기 단말기를 인증하는 단말기 인증부
를 더 포함하고,
상기 수신부는 상기 홈 가입자 서버로부터 응답 기대값(XRES: Expected Response)를 수신하고,
상기 단말기의 상기 네트워크에 대한 인증 결과는 상기 단말기의 응답값(Response)를 포함하고,
상기 단말기 인증부는 상기 단말기의 응답값과 상기 응답 기대값이 일치하는 경우에 상기 단말기를 인증하는 이동성 관리 장치.
11. The method of claim 10,
The terminal authentication unit
Further comprising:
The receiving unit receives an expected response value (XRES: Expected Response) from the home subscriber server,
Wherein the authentication result of the terminal with respect to the network includes a response value of the terminal,
Wherein the terminal authentication unit authenticates the terminal when the response value of the terminal matches the expected response value.
상기 응답 기대값은 상기 랜덤값 및 상기 홈 가입자 서버에 저장된 보안키(Security Key)에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 것인 이동성 관리 장치.
12. The method of claim 11,
Wherein the response expected value is generated using an authentication and key agreement (AKA) algorithm based on the random value and a security key stored in the home subscriber server.
상기 전송부는 상기 랜덤값을 상기 인증 요청 메시지에 포함하여 상기 단말기로 전송하고,
상기 단말기의 응답값은 상기 단말기로 전송된 상기 랜덤값에 기반하여 생성된 것인 이동성 관리 장치.
11. The method of claim 10,
Wherein the transmission unit transmits the random value to the terminal by including the random value in the authentication request message,
Wherein the response value of the terminal is generated based on the random value transmitted to the terminal.
상기 인증 요청 메시지를 USIM으로 전송하는 단계;
상기 USIM으로부터 상기 이동성 관리 장치가 포함된 네트워크에 대한 인증 결과 및 암호화 마스터 키를 수신하는 단계;
상기 암호화 마스터 키를 이용하여 상기 네트워크에 대한 인증 결과를 암호화하는 단계; 및
상기 암호화된 인증 결과를 상기 이동성 관리 장치로 전송하는 단계
를 포함하는 단말기의 인증 방법.
Receiving an authentication request message from the mobility management apparatus;
Transmitting the authentication request message to a USIM;
Receiving an authentication result and a cryptographic master key for the network including the mobility management apparatus from the USIM;
Encrypting an authentication result for the network using the encryption master key; And
Transmitting the encrypted authentication result to the mobility management apparatus
The method comprising the steps of:
상기 네트워크에 대한 접속 요청 메시지를 상기 이동성 관리 장치로 전송하는 단계
를 더 포함하고,
상기 인증 요청 메시지를 수신하는 단계는 상기 접속 요청 메시지에 포함된 상기 단말기의 식별자가 상기 네트워크에 등록된 경우에 상기 인증 요청 메시지를 수신하는 단말기의 인증 방법.
15. The method of claim 14,
Transmitting a connection request message to the network to the mobility management apparatus
Further comprising:
Wherein the step of receiving the authentication request message comprises receiving the authentication request message when the identifier of the terminal included in the connection request message is registered in the network.
상기 인증 요청 메시지는 랜덤값 및 네트워크의 인증값을 포함하고,
상기 USIM에 저장된 보안키(Security Key) 및 상기 랜덤값에 기반하여 상기 USIM에서 생성된 USIM의 인증값이 상기 네트워크의 인증값과 동일한 경우에 상기 네트워크가 인증되는 단말기의 인증 방법.
15. The method of claim 14,
Wherein the authentication request message includes a random value and an authentication value of the network,
Wherein the network is authenticated when a security key stored in the USIM and an authentication value of a USIM generated in the USIM based on the random value are equal to an authentication value of the network.
상기 네트워크의 인증값은 상기 랜덤값에 기반하여 상기 네트워크의 홈 가입자 서버(Home Subscriber Server)에서 생성된 것인 단말기의 인증 방법.
17. The method of claim 16,
Wherein the authentication value of the network is generated by a home subscriber server of the network based on the random value.
상기 암호화 마스터 키는 상기 인증 요청 메시지에 포함된 랜덤값에 기반하여 AKA(Authentication and Key Agreement) 알고리즘을 이용하여 생성된 암호화 파라미터에 기반하여 생성되는 단말기의 인증 방법.
15. The method of claim 14,
Wherein the encryption master key is generated based on an encryption parameter generated using an AKA (Authentication and Key Agreement) algorithm based on a random value included in the authentication request message.
상기 네트워크에 대한 인증 결과는 동기 실패(Sync Fail) 또는 맥 실패(MAC Fail)을 포함하는 단말기의 인증 방법.
15. The method of claim 14,
Wherein the authentication result for the network includes a synchronization failure or a MAC failure.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140062511A KR20150135715A (en) | 2014-05-23 | 2014-05-23 | Apparatus and method for protecting privacy of user in mobile communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140062511A KR20150135715A (en) | 2014-05-23 | 2014-05-23 | Apparatus and method for protecting privacy of user in mobile communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20150135715A true KR20150135715A (en) | 2015-12-03 |
Family
ID=54872006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140062511A KR20150135715A (en) | 2014-05-23 | 2014-05-23 | Apparatus and method for protecting privacy of user in mobile communication network |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20150135715A (en) |
-
2014
- 2014-05-23 KR KR1020140062511A patent/KR20150135715A/en not_active Application Discontinuation
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
CN107800539B (en) | Authentication method, authentication device and authentication system | |
CN108880813B (en) | Method and device for realizing attachment process | |
CN110192381B (en) | Key transmission method and device | |
US8295488B2 (en) | Exchange of key material | |
EP2296392A1 (en) | Authentication method, re-certification method and communication device | |
WO2020221252A1 (en) | Method and apparatus for sending terminal sequence number and authentication method and apparatus | |
US20190149329A1 (en) | Network authentication method, and related device and system | |
CN109922474B (en) | Method for triggering network authentication and related equipment | |
KR20070112260A (en) | Network assisted terminal to sim/uicc key establishment | |
CN108809903B (en) | Authentication method, device and system | |
CN108353279B (en) | Authentication method and authentication system | |
CN112566119A (en) | Terminal authentication method and device, computer equipment and storage medium | |
EP0982958A2 (en) | Method for protecting mobile anonymity | |
CN104243452A (en) | Method and system for cloud computing access control | |
US10700854B2 (en) | Resource management in a cellular network | |
US8855604B2 (en) | Roaming authentication method for a GSM system | |
US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
US20230023665A1 (en) | Privacy information transmission method, apparatus, computer device and computer-readable medium | |
KR20140030518A (en) | Mutual authentication method and system with network in machine type communication, key distribution method and system, and uicc and device pair authentication method and system in machine type communication | |
CN109818903B (en) | Data transmission method, system, device and computer readable storage medium | |
KR20150135717A (en) | Apparatus and method for sharing initial secret key in mobile multi-hop network | |
KR20150135715A (en) | Apparatus and method for protecting privacy of user in mobile communication network | |
US20230108626A1 (en) | Ue challenge to a network before authentication procedure | |
CN110169128B (en) | Communication method, device and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |