KR20180109037A - Secure authentication of binary CDMA telecommunication network and drive system - Google Patents

Secure authentication of binary CDMA telecommunication network and drive system Download PDF

Info

Publication number
KR20180109037A
KR20180109037A KR1020170038119A KR20170038119A KR20180109037A KR 20180109037 A KR20180109037 A KR 20180109037A KR 1020170038119 A KR1020170038119 A KR 1020170038119A KR 20170038119 A KR20170038119 A KR 20170038119A KR 20180109037 A KR20180109037 A KR 20180109037A
Authority
KR
South Korea
Prior art keywords
key
value
authentication
mobile terminal
random variable
Prior art date
Application number
KR1020170038119A
Other languages
Korean (ko)
Inventor
조인성
Original Assignee
조인성
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 조인성 filed Critical 조인성
Priority to KR1020170038119A priority Critical patent/KR20180109037A/en
Publication of KR20180109037A publication Critical patent/KR20180109037A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

According to the present invention, disclosed is a wireless communication security technology in which a binary CDMA technology and an ARIA technology are grafted. According to an embodiment of the present invention of a security authentication system on a binary CDMA communication network and a driving method thereof, security authentication and security re-authentication for a traffic exchange between a user mobile terminal and a mediation server are permitted since an authentication and key agreement (AKA) protocol is applied to a binary CDMA communication network, and thus leakage of personal information of a user having the user mobile terminal is prevented due to strong security of the mediation sever pre-connected to the user mobile terminal through the binary CDMA communication network, and also, personal information is protected from leakage thereof through the security re-authentication even for the user mobile terminal which is handed over. In addition, the system and the method of the present invention are sufficiently applicable not only to a binary CDMA communication network but also to a public or private network configured for any special purpose, thereby increasing satisfaction of the user having the user mobile terminal which can be protected with personal information of the user, and a usage rate of the security authentication system built in the binary CDMA communication network is improved, thereby maximizing profits of an enterprise which strives construction of a system. Furthermore, the system and the method of the present invention can be widely utilized in various application fields based on a new network model capable of security authentication and security re-authentication related to traffic exchange between a user mobile terminal and a mediation server on a binary CDMA communication network, thereby being instrumental in a national backbone network and greatly contributing to an industrial development.

Description

바이너리 CDMA 통신망 상의 보안 인증 및 그 구동 체계 { Secure authentication of binary CDMA telecommunication network and drive system}[0001] DESCRIPTION [0002] Security authentication and its driving system on a binary CDMA communication network [0003]

본 발명은 바이너리 CDMA 기술과 ARIA 기술이 접목된 무선 통신 보안 기술에 관한 것으로, [0001] IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델이다. 특히, 바이너리 CDMA 통신망(ex : 바이너리 CDMA LAN)에 상호인증 및 키 일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법에 관한 것이다.[0001] The present invention relates to a wireless communication security technology combining binary CDMA technology and ARIA technology, and is a new public network model that can replace IEEE 802.11 WLAN. In particular, since the mutual authentication and the key agreement protocol (AKA Protocol) are applied to the binary CDMA communication network (ex: binary CDMA LAN), binary CDMA To a security authentication system on a communication network and a driving method thereof.

Koinonia는 국내 독자 기술로 2009년 1월 국제 표준화 기구인 ISO/IEC JTC SC 6에서 표준으로 채택된 근거리 디지털 무선 통신 기술이다.Koinonia is a local digital wireless communication technology adopted as a standard in ISO / IEC JTC SC 6, an international standardization organization in January 2009 with domestic technology.

Koinonia 시스템은 크게 물리 계층과 데이터 링크 계층으로 나뉘며, 데이터 링크 계층은 매체 접근(MAC) 부계층과 Adaptation 부계층으로 나뉜다.The Koinonia system is divided into a physical layer and a data link layer, and a data link layer is divided into a medium access (MAC) sublayer and an adaptation sublayer.

[0004] 매체 접근 부계층은 물리 계층인 바이너리 CDMA의 특성을 살려 코드와 시간 슬롯의 조합을 통해 매체접근을 하는 HMA(Hybrid Multiple Access) 방식을 사용한다.[0004] The medium access layer uses a hybrid multiple access (HMA) scheme, which utilizes the characteristics of the physical layer, that is, binary CDMA, to access the medium through a combination of code and time slot.

Adaptation 부계층은 하위 프로토콜 스택과 상위의 다른 무선 표준의 프로토콜 스택을 호환해주는 역할을 한다.The adaptation sublayer is compatible with the lower protocol stack and the other protocol stacks of higher standards.

Koinonia 시스템은 잡음이 많은 무선 환경에서도 QoS를 보장하고, 다양한 디지털 기기들을 하나의 네트워크(Koinonia 네트워크)에 묶어 상호 운영을 가능하게 하며, 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특성을 가진다.The Koinonia system guarantees QoS even in a noisy radio environment, enables various digital devices to be interlinked in a single network (Koinonia network), and can be used simultaneously without interfering with existing communication systems.

또한, Koinonia 시스템은 바이너리 CDMA 무선 구간의 암호화 서비스를 위해 ARIA와 AES를 모두 사용할 수 있도록 개발되고 있으므로 국내 기간망 및 공공기관에 사용할 수 있다.In addition, the Koinonia system has been developed to use both ARIA and AES for the cryptographic services of the binary CDMA radio section, and thus can be used for domestic backbone networks and public institutions.

바이너리 CDMA 기술은 WLAN이나 Bluetooth와 같은 다양한 무선 기술들의 혼재에 따른 주파수 배정 문제나 QoS(Quality of Service) 보장 문제를 해결하기 위해 제안된 무선 기술로써, 바이너리 CDMA 기술을 기반으로 한 Koinonia는 2009년 1월에 국제 표준화 기구 ISO/IEC JTC SC6에서 표준으로 채택된 시스템으로 기존의 여러 기술과의 상호 운영이 가능하고 잡음이 많은 무선 환경에서도 QoS를 보장하며 기존 통신 시스템에 간섭을 일으키지 않고 동시에 사용할 수 있는 특징이 있다.Binary CDMA technology is a wireless technology proposed to solve the problem of frequency allocation and quality of service (QoS) due to the mixing of various wireless technologies such as WLAN and Bluetooth. Koinonia, based on binary CDMA technology, It is a system adopted as standard in ISO / IEC JTC SC6 by the International Organization for Standardization (ISO / IEC JTC SC6) in May. It can interoperate with existing technologies and ensures QoS even in a noisy radio environment. Feature.

최근에는 바이너리 CDMA 기술에 기반하여 무선 암호화 기술을 적용한 Guardian [0009] 기술이 개발 중에 있으나, 무선상에서 다양한 보안 위협들이 날로 늘어남으로 말미암아 개인 정보 또는 국가 기관의 중요한 정보가 유출되거나 혹은 장비 상의 심각한 손상을 초래하는 등 많은 피해가 발생하고 있는 문제점이 있다.Recently, Guardian [0009] technology using wireless encryption technology based on binary CDMA technology is being developed, but various security threats on the wireless are increasingly used to cause personal information or important information of a government agency to leak or cause serious damage to equipment. Causing a lot of damage.

현재 널리 사용되고 있는 IEEE 802.11 WLAN의 경우, 보안이 강화된 IEEE 802.11i를 권고하고 있지만, 실제 환경에서는 비용이나 관리상의 문제로 기대하는 만큼의 보안을 제공하지 못하는 것이 현실이다.In the IEEE 802.11 WLAN, which is currently widely used, it is recommended to use IEEE 802.11i with enhanced security, but it is a reality that it can not provide security as much as expected due to cost and management problems in a real environment.

이런 이유로 공공망이나 일부 조직에서는 제한적인 내장 보안 기능을 사용하거나, 혹은 전면 금지하는 경우가 많아졌을 뿐만 아니라 AES를 사용한 802.11i WLAN이 안전성을 보장한다 하더라도 공공망 설계시 공공 기관에 도입되는 암호 기술인 ARIA를 보안 제품에 탑재시키는 것이 의무화되어 있어 채택에 대한 정책적 문제점이 있다.For this reason, public networks or some organizations have been using prohibited built-in security functions or prohibiting them altogether. In addition, even if 802.11i WLAN using AES guarantees security, There is a policy problem with adopting ARIA because it is obligatory to install it in security products.

본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 앞서 본 종래 기술의 문제점을 해결하기 위해 안출된 것으로, 본 발명의 제 1 목적은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKAProtocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하기 위함이다.A first aspect of the present invention is to provide a security authentication system and a method for driving the same on a binary CDMA communication network according to the present invention. The first object of the present invention is to provide a mutual authentication and key agreement protocol (AKAProtocol) The security authentication and the security re-authentication regarding the exchange of traffic between the user mobile terminal and the mediation server are allowed according to the application, and the user mobile terminal is carried by the strong security of the user mobile terminal and the intermediary server connected through the binary CDMA communication network It is intended not only to prevent the leakage of personal information of the user but also to protect the leakage of personal information through the security re-authentication of the user mobile terminal to be handed over.

또한, 본 발명의 제 2 목적은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있기 위함이다.In addition, the second object of the present invention is to provide a user terminal having a user mobile terminal capable of protecting personal information of a user because it can be applied not only to a binary CDMA communication network but also to a public network or a private network created for a special purpose, And to increase the utilization rate of the security authentication system built in the binary CDMA communication network, thereby maximizing the enterprise profit that is devoted to the system construction.

또한, 본 발명의 제 3 목적은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될 수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지한다.A third object of the present invention is to provide a new network model capable of security authentication and security re-authentication regarding traffic exchange between a user mobile terminal and a mediation server on a binary CDMA communication network, and can be widely used for various applications based thereon It is not only responsible for the axis of the national backbone, but also contributes to industrial development.

상기의 과제를 달성하기 위한 본 발명은 다음과 같은 구성을 포함한다.In order to achieve the above object, the present invention includes the following configuration.

즉, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템은, 사용자 이동 단말기와 운영관리서버 간을 서로 연결하는 중개 서버를 활용해 바이너리 CDMA 통신망 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템으로, 상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기; 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함한다. That is, the security authentication system on the binary CDMA communication network according to the embodiment of the present invention is a security authentication system on a binary CDMA communication network that performs security authentication on a binary CDMA communication network using an intermediary server connecting the user mobile terminal and the operation management server The authentication system transmits a pre-registered permanent ID or temporary ID to the intermediary server upon receipt of a personal information request signal through the binary CDMA communication network, and transmits a master shared key identified from the permanent ID to a predetermined second mutual authentication Function to compare the generated value of the second mutual authentication routine computation value with the computed value of the first mutual authentication routine to permit communication access of the mediator server when the two mutually match the mutual authentication values, Lt; RTI ID = 0.0 > 1 < / RTI > 1 mutual authentication function to generate a user side encryption key and a mutual authentication response value, respectively, as well as applying the user side encryption key and the second random variable received from the mediation server to a predetermined second key derivation function, Generating a protection security key, first validating a first key agreement session value delivered from the intermediary server, and applying the second traffic protection integrity key to a key matching function to generate a second key agreement session value, A user mobile terminal for transmitting; Inquiring the permanent ID received from the mediating server to call the master shared key 1: 1 matched with the permanent ID, as well as generating the first random variable by itself, and generating the master random number A first key derivation function and a first and second mutual authentication functions, respectively, to generate a user side encryption key, a mutual authentication expectation requirement, and a first mutual authentication routine operation value; And transmitting a personal information request signal requesting personal information about the user having the user mobile terminal to the binary CDMA communication network, temporarily storing the user side encryption key and the mutual authentication expectation request received from the operation management server Transmits the first random variable and the first mutual authentication routine computation value received from the operation management server to the user mobile terminal and compares the mutual authentication response value received through the binary CDMA communication network with the mutual authentication expectation value The second traffic protection key is generated by applying the user-side encryption key and the self-generated second random variable to the predetermined second key derivation function to generate the first traffic protection stability key, The first key matching session value generated by applying the matching function to the matching function, A second key agreement session value received through the binary CDMA communication network to permit security authentication on the traffic exchange of the user mobile terminal and to permit the security authentication And an intermediary server for notifying the operation management server.

또한, 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은, 중개 서버가 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망으로 송출하는 제 1 단계; 사용자 이동 단말기가 상기 개인신상 요청신호를 상기 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하는 제 2 단계; 운영관리 서버가 상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출하고 제 1 랜덤변수를 자체적으로 생성시키는 제 3 단계; 상기 운영관리 서버가 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 제 4 단계; 상기 중개 서버가 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고, 상기 운영관리 서버로부터 수신된 제 1 랜덤변수 및 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하는 제 5 단계; 상기 사용자 이동 단말기가 상기 영구적 아이디로부터 파악되는 상기 마스터 공유키를 상기 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 상기 제 1 상호인증 루틴 연산치 간의 일치 여부 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하는 제 6 단계; 상기 사용자 이동 단말기가 상기 마스터 공유키와 제 1 랜덤변수를 상기 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시키는 제 7 단계; 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시키는 제 8 단계; 상기 중개 서버가 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하는 제 9단계; 상기 사용자 이동 단말기가 상기 사용자측 암호화키와 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 상기 키일치 함수에 적용하여 제 2 키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 제 10 단계; 및 상기 중개 서버가 상기 바이너리 CDMA 통신망을 통해 수신된 상기 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기운영관리 서버에 통보하는 제 11 단계를 포함한다.A method for operating a security authentication system on a binary CDMA communication network according to an exemplary embodiment of the present invention is a method for operating a security authentication system on a binary CDMA communication network according to an exemplary embodiment of the present invention in which a mediating server transmits a personal information request signal for requesting personal information about a user possessing the user mobile terminal, To a first step; A second step of delivering a pre-registered permanent ID or temporary ID to the intermediary server as the user mobile terminal receives the personal information request signal through the binary CDMA communication network; A third step of the operation management server inquiring the permanent ID received from the mediation server to call a master shared key that matches 1: 1 with the permanent ID and to generate a first random variable by itself; The operation management server substitutes the master shared key and the first random variable into the predetermined first key derivation function and the first and second mutual authentication functions, respectively, to generate a user side encryption key, a mutual authentication expectation requirement and a first mutual authentication routine operation value ; The intermediary server temporarily stores the user side encryption key and the mutual authentication expectation requirement received from the operation management server and transmits the first random variable and the first mutual authentication routine operation value received from the operation management server to the user mobile terminal 5 < th > And the second mutual authentication routine computation value generated by the user mobile terminal substituting the master shared key obtained from the persistent identity into the second mutual authentication function, And allowing the communication connection of the intermediary server when they are matched with each other; A seventh step of the user mobile terminal applying the master shared key and the first random variable to the first key derivation function and the first mutual authentication function to generate a user side encryption key and a mutual authentication response value, respectively; The intermediary server compares the mutual authentication response value received through the binary CDMA communication network with the mutual authentication expectation requirement and if they match with each other, the second random variable generated by the user side encryption key and the self- To generate a first traffic protection stability key; A ninth step of transmitting, to the user mobile terminal, a first key matching session value generated by applying the first traffic protection stability key to the predetermined key matching function and the second random variable; The user mobile terminal applies the user-side encryption key and the second random variable to a predetermined second key derivation function to generate a second traffic protection stability key, and after first verifying the first key agreement session value, Generating a second key agreement session value by applying a traffic protection stability key to the key matching function, and transmitting the second key agreement session value to the intermediary server; And the intermediary server permits security authentication on the traffic exchange of the user mobile terminal by verifying the second key agreement session value received via the binary CDMA communication network, And an eleventh step of informing the user.

향후 운용관리 서버의 개입을 최소화하기 위하여, 중개 서버는 사용자측 암호화 키 만으로 트래픽 보호 안정키를 계속 생성하면서 이동단말과의 재인증을 지속적으로 수행할 수 있다.In order to minimize the intervention of the operation management server in the future, the intermediary server can continuously perform the re-authentication with the mobile terminal while continuously generating the traffic protection stability key using only the user's encryption key.

본 발명의 바이너리 CDMA 통신망 상의 보안 인증 시스템 및 그 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가함으로써, 바이너리 CDMA 통신망을 통해 사용자 이동 단말기와 기연결된 중개 서버의 강한 보안성의 영향으로 사용자 이동 단말기를 소지한 사용자의 개인신상 정보 유출을 방지함은 물론, 핸드오버되는 사용자 이동 단말기에 대해서도 보안 재인증을 통해 개인신상 정보 유출 역시 보호하는 제 1 효과를 준다.The security authentication system and its driving method on a binary CDMA communication network according to the present invention apply a mutual authentication and a key agreement protocol (AKA Protocol) to a binary CDMA communication network, thereby implementing security authentication and security regarding traffic exchange between a user mobile terminal and a mediation server Authentication is permitted to prevent the leakage of personal information of a user possessing the user mobile terminal due to the strong security of the user mobile terminal and the intermediary server connected thereto through the binary CDMA communication network, Security reauthentication also has the first effect of protecting personal information disclosure.

[0020] 또한, 본 발명은 바이너리 CDMA 통신망 뿐만 아니라 어떤 특수 목적으로 조성된 공공망이나 사설망에서도 충분히 적용 가능함으로 자신의 개인신상 정보를 보호 받을 수 있는 사용자 이동 단말기를 소지한 사용자 만족도를 높이고, 이에 따른 바이너리 CDMA 통신망에 구축된 보안 인증 시스템의 이용율을 향상시켜 시스템 구축에 매진한 기업 이익을 극대화시킬 수 있는 제 2 효과를 준다.Further, since the present invention can be applied not only to a binary CDMA communication network but also to a public network or a private network created for a special purpose, it is possible to enhance user satisfaction with a user mobile terminal capable of protecting his or her personal information, It is possible to improve the utilization rate of the security authentication system constructed in the binary CDMA communication network according to the second embodiment, thereby maximizing the enterprise profit that is striving for system construction.

또한, 본 발명은 바이너리 CDMA 통신망 상에서 사용자 이동 단말기와 중개 [0021] 서버 간의 트래픽 교환에 관한 보안인증 및 보안 재인증이 가능한 새로운 네트워크 모델 제시로, 이를 토대로 한 다양한 응용분야에 폭넓게 활용될수 있어 국가 기간망에 한 축을 담당함은 물론 산업 발전에도 크게 이바지하는 제 3 효과를 준다.The present invention also provides a new network model capable of security authentication and security re-authentication regarding traffic exchange between a user mobile terminal and an intermediary server on a binary CDMA communication network, and can be widely used for various applications based on the network model. And the third effect that greatly contributes to industrial development.

도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 3은 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 상세 도면이다.
도 4는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.
도 5는 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.1 is a diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
2 is a detailed diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
3 is a detailed view illustrating a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.
4 is a flowchart illustrating a method of operating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.
5 is a flowchart illustrating a method of operating a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.

[실시예][Example]

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템을 도시한 도면이다.1 is a diagram illustrating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.

도 1를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 IEEE 802.11 WLAN을 대체할 수 있는 새로운 공공망 모델 중 하나인 바이너리 CDMA 통신망(400) 상에서 사용자 이동 단말기(100 : User Mobile Station)와 운영관리 서버(300 : Home Base Station) 간의 트래픽 교환에 관한 보안 인증 및 보안 재인증을 허가하는 상호인증 및 키일치 프로토콜(AKA Protocol : Authentication and Key Agreement Protocol)를 적용시키는 시스템이다.Referring to FIG. 1, a security authentication system 1000 on a binary CDMA communication network includes a user mobile terminal 100 (User Mobile Station 100) on a binary CDMA communication network 400, which is one of new public network models capable of replacing IEEE 802.11 WLAN And a mutual authentication and key agreement protocol (AKA Protocol) that permits security authentication and security re-authentication regarding traffic exchange between the home base station 300 and the home base station 300.

즉, 본 발명은 사용자 이동 단말기(100)와 운영관리 서버(300) 간을 서로 연결하는 중개 서버(200 : Mediation Server)를 활용해 바이너리 CDMA 통신망(400) 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안인증 시스템(1000)이다.That is, the present invention provides a Binary CDMA communication network (BMS) that performs security authentication on a Binary CDMA communication network (400) using a mediation server (200) connecting the user mobile terminal (100) The security authentication system 1000 of FIG.

또한, 본 발명은 사용자 이동 단말기(100)의 빈번한 이동성을 예측하는 핸드오버 시나리오와 빠른 핸드오버를 제공하기 위한 상호인증 및 키일치 프로토콜(AKA Protocol)를 적용시키는 시스템이다.In addition, the present invention is a system for applying a mutual authentication and key agreement protocol (AKA Protocol) for providing a handover scenario and a fast handover for predicting frequent mobility of the user mobile terminal 100.

여기서, 본 발명에 적용되는 바이너리 CDMA 통신망(400) 상에 구성된 중개 서버(200)는 무선 공유기(RAP :Radio Access Point)를 이용한 네트워크 구조로, IEEE 802.11 WLAN과 유사한 형태이지만 물리적으로 취약한 무선 공유기들을 관리하고 빠른 핸드오버를 지원하기 위해 바이너리 CDMA 방문자 위치 등록기(BVLR : 바이너리CDMA Visitor Location Register)가 추가된 것이 특징이다.Here, the mediation server 200 configured on the binary CDMA communication network 400 according to the present invention has a network structure using a wireless access point (RAP), and is similar to the IEEE 802.11 WLAN but includes physically weak wireless routers And a binary CDMA Visitor Location Register (BVLR) to support fast handover and management.

본 발명의 중개 서버(200) 내 적용되는 상호인증 및 키일치 프로토콜(AKA Protocol)은 사용자 이동 단말기(100)내 기탑재된 바이너리 CDMA 신원확인 모듈(BSIM: 바이너리 CDMA Subscriber Identity Module)로부터 확인 가능한 프로토콜로써, 기기 인증보다는 사용자 인증 측면에서 좀 더 가깝게 접근한 것이 특징이다.The mutual authentication and key agreement protocol (AKA Protocol) applied in the mediation server 200 of the present invention is a protocol that can be verified from a binary CDMA Subscriber Identity Module (BSIM) installed in the user mobile terminal 100 It is characterized by approaching more closely in terms of user authentication than device authentication.

즉, 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 사용자 이동 단말기(100), 운영관리 서버(300) 및 중개 서버(200)를 포함한다.That is, the security authentication system 1000 on the binary CDMA communication network includes the user mobile terminal 100, the operation management server 300, and the mediation server 200.

먼저, 사용자 이동 단말기(100)는 개인신상 요청신호를 바이너리 CDMA 통신망(400)을 통해 수신함에 따라 기등록된 영구적 아이디(PID : Permanent ID) 또는 임시적 아이디(TID : Temporary ID)를 중개 서버(200)로 전달하고, 중개 서버(200)는 수신한 PID나 TID로부터 PID를 운영관리 서버로 송신한다.First, the user mobile terminal 100 transmits a Permanent Identifier (PID) or a Temporary Identity (TID) to the mediation server 200 (hereinafter, referred to as " PID ") upon receiving the personal information request signal through the Binary CDMA , And the mediation server 200 transmits the PID to the operation management server from the received PID or TID.

[0033] 사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 난수 발생된 제 1 랜덤변수와 PID로부터 파악되는 마스터 공유키(MK)를 제 2 상호인증 함수(MAF2())에 대입함으로써 제 2 상호인증 루틴 연산치(MA-R2)를 생성시킨다.The user mobile terminal 100 substitutes the first random variable generated random number by the operation management server 300 and the master shared key MK grasped from the PID into the second mutual authentication function MAF2 And generates a second mutual authentication routine calculation value MA-R2.

사용자 이동 단말기(100)는 운영관리 서버(300)에 의해 생성된 제 1 상호인증 루틴 연산치(MA-R1)와 제 2 상호인증 루틴 연산치(MA-R2) 간의 일치 여부를 서로 비교하여 일치시 중개 서버(200)의 통신 접속을 허용하고, 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를생성시킨다.The user mobile terminal 100 compares the first mutual authentication routine calculation value MA-R1 generated by the operation management server 300 with the second mutual authentication routine calculation value MA-R2 And generates a mutual authentication response value RES by applying the master shared key MK and the first random variable Nonce1 to the first mutual authentication function MAF1 .

사용자 이동 단말기(100)는 중개 서버로부터 제 1 키일치 세션치와 제 2 랜덤 변수를 수신한 후, 사용자측 암호화키(TK : Temporary Key)와 제 2 랜덤변수(Nonce2)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 2트래픽보호 안정키(SK2 : Session Key 2)를 생성시킨다.After receiving the first key matching session value and the second random variable from the intermediary server, the user mobile terminal 100 transmits a temporary key (TK) and a second random variable (Nonce2) Function (KDF2 ()) to generate a second traffic protection stable key (SK2: Session Key 2).

또한, 사용자 이동 단말기(100)는 제 1 키일치 세션치와 자체 연산한 제 1' 키일치 세션치(KeyA1') 간의 일치여부를 비교 판단하는 제 1 검증을 실시하고, 서로 일치하는 제 1 검증의 성공시 제 2 트래픽보호 안정키(SK2)및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.In addition, the user mobile terminal 100 performs a first verification to compare the first key agreement session value and the first 'key agreement session value (KeyA1') calculated by itself, (KAF ()) by applying the calculated value obtained by XORing the second traffic protection security key SK2, the second random variable Nonce2 and the second traffic protection security key SK2 to the key matching function KAF 2 key matching session value (KeyA2) to the mediation server (200).

다시 말해, 사용자 이동 단말기(100)는 제 1 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 중개 서버(200)에 의해 생성된 제 1 키일치 세션치(KeyA1)와, 기소지한 제 2 트래픽보호 안정키(SK2)와 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 1' 키일치 세션치(KeyA1')를 비교하여 일치 여부를 확인한다In other words, the user mobile terminal 100 is able to determine whether or not the user terminal 100 has generated the first random number RB2 generated by the mediation server 200 by applying the first traffic protection stability key SK2 and the second random variable Nonce2 to the key matching function KAF 1 'key itself by applying the 1-key matching session value (KeyA1), the established second traffic protection stability key (SK2) and the second random variable (Nonce2) to the key matching function (KAF And the matching session value (KeyA1 ') are compared to check whether they match or not

즉, 제 1 키일치 세션치(KeyA2)와 제 1' 키일치 세션치(KeyA1')가 서로 일치될 경우에 한해, 사용자 이동 단말기(100)는 비로소 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.In other words, the user mobile terminal 100 may notify the second key matching session value (KeyA2) only when the first key matching session value (KeyA2) matches the first 'key matching session value (KeyA1' To the server (200).

운영관리 서버(300)는 중개 서버(200)로부터 수신된 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1매칭되는 마스터 공유키(MK)를 호출하고, 난수 생성시킨 제 1 랜덤변수(Nonce1)과 마스터 공유키(MK)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 각각 대입시켜 소정의 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 제 1 상호인증 루틴 연산치(MA-R1)를 각각 생성시킨다.The operation management server 300 inquires of the PID received from the mediation server 200 to invoke a master shared key MK matching the PID 1 with the PID and generates a first random number The first and second mutual authentication functions MAF1 (MAF1) and MAF2 () by substituting the variable Nonce1 and the master shared key MK into the predetermined first key derivation function KDF1 () and the first and second mutual authentication functions MAF1 (TK), a mutual authentication expectation requirement value (XRES), and a first mutual authentication routine calculation value (MA-R1).

중개 서버(200)는 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망(400)으로 송출하고, 운영관리 서버(300)로부터 수신된 사용자측 암호화키(TK)및 상호인증 기대 요구치(XRES)를 임시 저장하고, 운영관리 서버(300)로부터 수신한 제 1 랜덤변수와 제 1 상호인증 루틴 연산치(MA-R1)를 사용자 이동 단말기(100)에 전송한다.The mediation server 200 transmits a personal information request signal for requesting personal information about the user having the user mobile terminal to the connected binary CDMA communication network 400 and transmits the user side encryption key received from the operation management server 300 (TK) and mutual authentication expectation requirement value (XRES), and transmits the first random variable and the first mutual authentication routine calculation value (MA-R1) received from the operation management server 300 to the user mobile terminal 100 send.

[0041] 중개 서버(200)는 바이너리 CDMA 통신망을 통해 수신된 상호인증 응답치(RES)와 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인함에 따라, 서로 일치시 자체적으로 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)와 사용자측 암호화키(TK)를 기설정된 제 2 키 유도함수(KDF2())에 적용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨다.The mediation server 200 compares the mutual authentication response value (RES) received via the binary CDMA communication network with the mutual authentication expectation requirement value (XRES), and generates a random number by itself The second random variable Nonce2 and the user side encryption key TK are applied to the predetermined second key derivation function KDF2 () to generate the first traffic protection stability key SK1.

또한, 중개 서버(200)는 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 생성시킨 제1 키일치 세션치(KeyA1)와 제 2 랜덤변수(Nonce2)를 사용자 이동 단말기(100)에 전송한다.The mediation server 200 also stores the first key matching session value KeyA1 and the second random variable Nonce2 generated by applying the first traffic protection stability key SK1 to the predetermined key matching function KAF To the user mobile terminal (100).

중개 서버(200)는 사용자 이동 단말기(100)로부터 수신된 제 2 키일치 세션치(KeyA2)와 자체 연산한 제 2' 키일치 세션치(KeyA2') 간의 일치 여부를 비교 판단하는 제 2 검증을 실시하고, 서로 일치하는 제 2 검증의 성공시 사용자 이동 단말기(100와 운영관리 서버(300) 간의 트래픽 교환에 관한 암호화적 정당성을 인정한다.The mediation server 200 performs a second verification for comparing the second key agreement session value (KeyA2 ') calculated by itself with the second key agreement session value (KeyA2) received from the user mobile terminal 100 And acknowledges the encrypted legitimacy of the exchange of traffic between the user mobile terminal 100 and the operations management server 300 upon the success of the second verification that coincide with each other.

다시 말해, 중개 서버(200)는 사용자 이동 단말기(100)측에서의 제 2 트래픽보호 안정키(SK2) 및 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 생성된 제 2키일치 세션치(KeyA2)와, 기소지한 제 1 트래픽보호 안정키(SK1) 및 제 2 랜덤변수(Nonce2)와 제 1 트래픽보호 안정키(SK1)를 XOR한 계산치를 키일치 함수(KAF())에 적용함에 따라 자체 연산한 제 2' 키일치 세션치(KeyA2')를 비교하여 일치 여부를 확인한다.In other words, the mediation server 200 performs a key matching (XOR) between the second traffic protection security key SK2 and the second random variable Nonce2 and the second traffic protection security key SK2 on the user mobile terminal 100 side, The second key agreement session value KeyA2 generated by applying the first traffic protection key KAF (KAF ()), the first traffic protection key SK1 and the second random variable Nonce2, (SK1) is applied to the key matching function (KAF ()) and the second 'key matching session value (KeyA2') calculated by itself is verified to confirm whether or not the matching is performed.

하여, 제 2 키일치 세션치(KeyA2)와 제 2' 키일치 세션치(KeyA2')가 서로 일치될 경우, 중개 서버(200)는 이에 따른 결과로 사용자 이동 단말기(100)의 트래픽 교환에 관한 보안 인증을 허가하고 보안 인증을 허가함을 운영관리 서버(300)에 통보한다.And the second key matching session value (KeyA2 ') is matched with the second key matching session value (KeyA2'), the mediation server 200 determines that the exchange of traffic of the user mobile terminal 100 It notifies the operation management server 300 that the security authentication is permitted and the security authentication is permitted.

여기서, 사용자측 암호화키(TK)는 운영관리 서버 측(300) 또는 사용자 이동 단말기측(100)에서 각각 생성된 값으로 [수학식 1]에서 표시된 바와 같이, 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 키 유도 함수(KDF1())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the user side encryption key TK is a value generated by the operation management server side 300 or the user mobile terminal side 100, and is a random number in addition to the master shared key MK, as shown in Equation (1) Note that the generated random variable Nonce1 is a secret key value generated by applying the first random variable Nonce1 to the first key derivation function KDF1 ().

수학식 1Equation 1

Figure pat00001
Figure pat00001

여기서, 제 1 상호인증 루틴 연산치(MA-R1)는 운영관리 서버 측(300)에서 생성된 [0048] 값으로 [수학식 2]에서 표시된바와 같이, 마스터 공유키(MK), 기사용된 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증 함수(MAF2())에 적용함에 따라 생성된 연산값임에 유의한다.Here, the first mutual authentication routine computation value MA-R1 is a value generated in the operation management server 300, and may be a master shared key MK, Note that the first random variable (Nonce1) and the counter value (counter) are computed values generated by applying the second mutual authentication function (MAF2 ()).

수학식 2Equation 2

Figure pat00002
Figure pat00002

여기서, 제 2 상호인증 루틴 연산치(MA-R2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 3]에서 표시된 바와 같이, 마스터 공유키(MK), 기사용된 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증함수(MAF2())에 적용함에 따라 생성된 연산값임에 유의한다.(카운터값(counter)은 보안인증 프로그램의 루틴횟수를 가변시키는 변수로, 상호인증 및 키일치 프로토콜(AKA Protocol)을 통해 출력되는 데이터 값들의 신뢰성을 높이기 위해(데이터값들이 일관성 있게 출력되길 원함)을 적용되는 값임. 필요에 따라 업데이트 혹은 수시 변경됨-이하 동일)Here, the second mutual authentication routine computation value MA-R2 is a value generated by the user mobile terminal 100 and includes a master shared key MK, Note that it is a computed value generated by applying the variable Nonce1 and the counter value to the second mutual authentication function MAF2 (). (The counter value is a variable for varying the number of routines of the security authentication program. To increase the reliability of data values output through the mutual authentication and key agreement protocol (AKA protocol) (data values are desired to be output consistently).

수학식 3Equation 3

Figure pat00003
Figure pat00003

여기서, 제 1 트래픽보호 안정키(SK1)는 중개 서버(200) 측에서 생성된 값으로 [수학식 4]에서 표시된 바와 같이, 사용자측 암호화키(TK), 제 2 랜덤변수(Nonce2)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.The first traffic protection security key SK1 is a value generated by the intermediary server 200. The first traffic protection security key SK1 is a value obtained by adding the user side encryption key TK and the second random variable Nonce2 to the second Note that it is the generated secret key value as applied to the key derivation function (KDF2 ()).

수학식 4Equation 4

Figure pat00004
Figure pat00004

여기서, 제 2 트래픽보호 안정키(SK2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 5]에서 표시된 바와 같이, 사용자측 암호화키(TK), 중개 서버(200)로부터 수신된 제 2 랜덤변수(Nonce2)룰 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다. Here, the second traffic protection stability key SK2 is a value generated by the user mobile terminal 100, and includes a user side encryption key (TK), an encryption key received from the intermediary server 200 Note that the random variable (Nonce2) rule is the generated secret key value as applied to the second key derivation function (KDF2 ()).

수학식 5Equation 5

Figure pat00005
Figure pat00005

여기서, 상호인증 기대 요구치(XRES)는 운영관리 서버(300) 측에서 생성된 값으로 [수학식 6]에서 표시된 바와 같이, 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다. Here, the mutual authentication expectation requirement value (XRES) is a value generated by the operation management server 300 and is a value of a first random variable (Nonce1) generating a random number in addition to the master shared key (MK) ) Is applied to the first mutual authentication function MAF1 ().

수학식 6Equation 6

Figure pat00006
Figure pat00006

여기서, 상호인증 응답치(RES)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 7]에서 표시된 바와 같이, 마스터 공유키(MK), 중개 서버(200)로부터 수신된 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Here, the mutual authentication response value (RES) is a value generated by the user mobile terminal 100 and includes a master shared key (MK), a first random number received from the intermediary server 200 Note that it is a value generated by applying the variable (Nonce1) to the first mutual authentication function (MAF1 ()).

수학식 7Equation 7

Figure pat00007
]
Figure pat00007
]

여기서, 제 1 키일치 세션치(KeyA1)는 중개 서버(200) 측에서 생성된 값으로 [수학식 8]에서 표시된 바와 같이,제 1 트래픽보호 안정키(SK1) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first key matching session value (KeyA1) is generated from the first traffic protection steady key (SK1) and the first random variable, as shown in Equation (8), as a value generated at the intermediary server 200 side Note that this is a value generated by applying a second random variable (Nonce2) that generates another random number different from the random number to the key matching function (KAF ()).

수학식 8Equation 8

Figure pat00008
Figure pat00008

여기서, 제 1' 키일치 세션치(KeyA1')는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 9]에서 표시된바와 같이, 제 2 트래픽보호 안정키(SK2) 및 다른 난수를 발생시키는 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first key matching session value (KeyA1 ') is a value generated by the user mobile terminal 100 side, and generates a second traffic protection stable key SK2 and another random number as shown in Equation (9) Is a value generated by applying the second random variable (Nonce2) to the key matching function (KAF ()).

수학식 9Equation 9

Figure pat00009
Figure pat00009

[0064] 여기서, 제 2 키일치 세션치(KeyA2)는 사용자 이동 단말기(100) 측에서 생성된 값으로 [수학식 10]에서 표시된 바와 같이, 제 2 트래픽보호 안정키(SK2)를 키일치 함수(KAF())에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second key agreement session value (KeyA2) is a value generated by the user mobile terminal 100 side, and the second traffic protection stability key SK2 is a key matching function (KAF ()) after applying the calculated value obtained by XORing the second random variable (Nonce2) and the second traffic protection stable key (SK2) to the key matching function (KAF Note that this is the value generated accordingly.

수학식 10Equation 10

Figure pat00010
Figure pat00010

여기서, 제 2' 키일치 세션치(KeyA2')는 중개 서버(200) 측에서 생성된 값으로 [수학식 11]에서 표시된 바와 같이, 제 1 트래픽보호 안정키(SK1)를 키일치 함수(KAF())에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK1)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second key matching session value (KeyA2 ') is a value generated by the intermediary server 200 side, and the first traffic protection stable key SK1 is a key matching function KAF (KAF ()) after applying the calculated value obtained by XORing the second random variable (Nonce2) and the second traffic protection stability key (SK1) to the key matching function (KAF .

수학식 11Equation 11

Figure pat00011
Figure pat00011

계속해서, 사용자 이동 단말기(100)는 도 2에서 보여지는 바와 같이 바이너리 CDMA [0068] 신원확인 모듈(110 : BSIM)및 모바일 단말기기(120)를 포함하고, 운영관리 서버(300)는 인증센터 기기(310, AuC : Authentication Center) 및 바이너리 CDMA 홈 위치 등록기(320, BHLR)를 포함하며, 중개 서버(200)는 바이너리 CDMA 방문자 위치 등록기(220, BVLR) 및 무선 공유기(210, RAP)를 포함한다.The user mobile terminal 100 includes a binary CDMA identity module 110 (BSIM) and a mobile terminal 120 as shown in FIG. 2, and the operation management server 300 includes an authentication center An apparatus 310 and a binary CDMA home location register 320. The mediation server 200 includes a binary CDMA visitor location register 220 and a wireless router 210 do.

[0069] 즉, 사용자 이동 단말기(100)의 바이너리 CDMA 신원확인 모듈(110)은 영구적 아이디(PID)로부터 인지되는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨다.That is, the binary CDMA identity module 110 of the user mobile terminal 100 transmits the master shared key MK and the first random variable Nonce 1 recognized from the PID to the first mutual authentication Function MAF1 () to generate the mutual authentication response value RES.

[0070] 바이너리 CDMA 신원확인 모듈(110)은 제 2 랜덤변수(Nonce2)와 사용자측 암호화키(TK)를 제 2 키 유도 함수(KDF1())에 적용하여 제 2 트래픽보호 안정키(SK2)를 생성한다.The binary CDMA identity verification module 110 applies the second random variable Nonce2 and the user side encryption key TK to the second key derivation function KDF1 .

바이너리 CDMA 신원확인 모듈(110)은 중개 서버(200)로부터 수신된 제 1 키일치 세션치(KeyA1)와 자체 생성시킨 제 1' 키일치 세션치(KeyA1') 간의 일치 여부를 비교하여 서로 일치시 제 1 검증 성공을 확인함에 따라, 제 2 트래픽보호 안정키(SK2)를 기설정된 키일치 함수(KAF())에 적용하여 제 2 키일치 세션치(KeyA2)를 생성시킨다.The binary CDMA identity verification module 110 compares the first key agreement session value (KeyA1) received from the mediation server 200 with the self-generated first 'key agreement session value (KeyA1'), Upon confirming the first verification success, the second traffic protection stability key SK2 is applied to the preset key matching function KAF () to generate the second key matching session value KeyA2.

바이너리 CDMA 신원확인 모듈(110)은 사용자가 개별적으로 소유한 가입자를 식별하고 인증하는데 사용되는 장치로, 사용자 인증에 필요한 상호인증 및 키일치 프로토콜(AKA Protocol)과 가입자의 서비스 프로파일을 저장하고 있으며, 물리적인 연결을 책임지는 모바일 단말기기(120)와 서로 상호 작용을 하는 인터페이스를 형성한다.The binary CDMA identity verification module 110 is a device used to identify and authenticate a subscriber individually owned by the user. The binary CDMA identity module 110 stores the mutual authentication and key agreement protocol (AKA Protocol) required for user authentication and the subscriber's service profile, And forms an interface that interacts with the mobile terminal device 120 responsible for the physical connection.

모바일 단말기기(120)는 개인신상 요청신호를 바이너리 CDMA 통신망(400)을 통해 수신하며, 영구적 아이디(PID), 임시적 아이디(TID) 또는 제 2 키일치 세션치(KeyA2)를 중개 서버(200)에 전송한다.The mobile terminal 120 receives the personal information request signal through the binary CDMA communication network 400 and transmits the PID, the temporary ID or the second key matching session value KeyA2 to the mediation server 200, Lt; / RTI >

운영관리 서버(300)의 인증센터 기기(310)는 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)를 호출하고 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 생성한다.The authentication center device 310 of the operation management server 300 inquires of the PID to invoke a master shared key MK matching the PID 1: 1 and generates a first random variable (Nonce1).

인증센터 기기(310)는 사용자 이동 단말기(100)를 소지한 사용자의 신원을 검증하고 각 통화에 대한 보안성을확보하기 위해 인증 및 암호화에 필요한 값들을 제공하는 역할을 한다.The authentication center device 310 serves to verify the identity of the user possessing the user mobile terminal 100 and provide values necessary for authentication and encryption in order to secure security for each call.

또한, 바이너리 CDMA 홈 위치 등록기(320)는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 키유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 적용하여 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 상호인증 루틴 연산치(MA-R1)를 각각 생성시킨다.In addition, the binary CDMA home location register 320 stores the master shared key MK and the first random variable Nonce1 with a predetermined first key derivation function KDF1 () and a first and a second mutual authentication function MAF1 , MAF2 ()) to generate a user side encryption key (TK), a mutual authentication expectation requirement value (XRES), and a mutual authentication routine calculation value (MA-R1).

[0077] 바이너리 CDMA 홈 위치 등록기(320)는 중개 서버(200)로부터 수신한 사용자 이동 단말기(100)의 인증 여부 및실시간 위치를 저장 관리한다.The binary CDMA home location register 320 stores and manages the authentication status and the real time location of the user mobile terminal 100 received from the mediation server 200.

[0078] 계속해서, 중개 서버(200)의 바이너리 CDMA 방문자 위치 등록기(220)는 운영관리 서버(300)의 인증센터 기기(310)로부터 입력된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장한다.The binary CDMA visitor location register 220 of the mediation server 200 receives the user side encryption key TK and the mutual authentication expectation request XRES ).

바이너리 CDMA 방문자 위치 등록기(220)는 상호인증 응답치(RES)와 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인함에 따라, 서로 일치시 사용자측 암호화키(TK)와 제 2 랜덤변수(Nonce2)를 이용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨 후, 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 제1 키일치 세션치(KeyA1)를 생성시킨다.The binary CDMA visitor location register 220 compares the mutual authentication response value RES and the mutual authentication expectation requirement value XRES to check whether the user side encryption key TK and the second random variable Nonce2 match, (SK1) by applying the first traffic protection stability key SK1 to the predetermined key matching function KAF () to generate the first key protection session key (KeyA1) Respectively.

바이너리 CDMA 방문자 위치 등록기(220)는 사용자 이동 단말기(100)로부터 수신한 제 2 키일치 세션치(KeyA2)와 자체 연산한 제 2 키일치 세션치(Key1) 간의 일치 여부를 비교하여 서로 일치시 제 2 검증 성공을 확인함에 따라, 사용자 이동 단말기(100)의 트래픽 교환에 관한 보안 인증을 허가한다.The binary CDMA visitor location register 220 compares the second key matching session value (KeyA2) received from the user mobile terminal (100) with the second key matching session value (Key1) 2 authentication of the user mobile terminal 100, the security authentication regarding the traffic exchange of the user mobile terminal 100 is permitted.

또한, 무선 공유기(210)는 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망(400)으로 송출하고, 운영관리 서버(300)로부터 수신된 제 1 랜덤변수(Nonce1) 및 제 1 상호인증 루틴 연산치(MAR1)를 비롯하여 제 1 키일치 세션치(KeyA1) 및 제 2 랜덤변수(Nonce2)를 사용자 이동 단말기(100)의 바이너리 CDMA 신원확인 모듈(110)에 전송한다.The wireless router 210 transmits a personal information request signal for requesting personal information to the connected binary CDMA communication network 400 and transmits the first random variable Nonce1 received from the operation management server 300 and the first random variable The first key agreement session value KeyA1 and the second random parameter Nonce2 including the mutual authentication routine operation value MAR1 to the binary CDMA identification module 110 of the user mobile terminal 100. [

실상, 제 1, 2 랜덤변수(Nonce1, Nonce2), 제 1 상호인증 루틴 연산치(MA-R1) 및 제 1 키일치 세션치(KeyA1)는 바이너리 CDMA 신원확인 모듈(110)에 바로 전송되는 것이 아니라 모바일 단말기기(120)를 거쳐 입력되는 것이 사용자 이동 단말기 구조상 마땅하다 할 것이다.Actually, the first and second random variables (Nonce1, Nonce2), the first mutual authentication routine computation value (MA-R1) and the first key matching session value (KeyA1) are transmitted directly to the binary CDMA identification module 110 But input through the mobile terminal 120 may be appropriate for the structure of the user mobile terminal.

본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템(1000)은 도 3에서 보여지는 바와 같이 구동된다.The security authentication system 1000 on the binary CDMA communication network according to another embodiment of the present invention is driven as shown in FIG.

먼저, 사용자 이동 단말기(100)는 바이너리 CDMA 통신망(400) 내에서 핸드오버할 경우 임시적 아이디(TID)를 중개 서버(200)에 전송하며, 사용자측 암호화키(TK)를 이용하여 제 4 트래픽보호 안정키(SK4)를 생성시킴과 더불어 중개 서버(200)로부터 수신된 제 1 재인증 키일치 세션치(RAKA1)와 자체 연산한 제 1' 재인증 키일치 세션치(RAKA1')를 비교하여, 서로 일치시 제 3 검증의 성공을 확인한 후 제 4 트래픽보호 안정키(SK4)를 키일치 함수(KAF())에 대입하여 제 2 재인증 키일치 세션치(RAKA2)를 생성시킨다.The user mobile terminal 100 transmits a temporary identity (TID) to the intermediary server 200 when handing over in the binary CDMA communication network 400 and uses the user side encryption key (TK) Key SK4 and compares the first re-authentication key matching session value RAKA1 received from the mediation server 200 with the self-computed first re-authentication key matching session value RAKA1 ' After confirming the success of the third verification at the time of coincidence, the second reauthentication key matching session value RAKA2 is generated by substituting the fourth traffic protection stable key SK4 into the key matching function KAF ().

중개 서버(200)는 임시적 아이디(TID) 참조와 영구적 아이디(PID) 조회로 인지되는 사용자측 암호화키(TK)와 제1 트래픽보호 안정키(SK1) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시킨 제 3 랜덤변수(Nonce3)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 3 트래픽보호 안정키(SK3)를 생성시킨다중개 서버(200)는 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 재인증 키일치 세션치(RAKA1)를 생성한 후, 바이너리 CDMA 통신망(200)을 이용해 제 1 재인증 키일치 세션치(RAKA1)와 제 3 랜덤변수(Nonce3)를 사용자 이동 단말기(100)에 전송한다.The mediation server 200 distinguishes the random number generated from the user side encryption key TK, the first traffic protection key SK1, and the first random variable, which is recognized as a temporary ID (TID) reference and a permanent ID (PID) The mediation server 200 generates the third traffic protection security key SK3 by applying the third random variable Nonce3 generating another random number to the predetermined second key derivation function KDF2 After generating the first re-authentication key matching session value RAKA1 by applying the protection random key SK3 and the third random variable Nonce3 to the predetermined key matching function KAF (RAKA1) and a third random variable (Nonce3) to the user mobile terminal 100 using the first reauthentication key matching session value (RAKA1) and the third random variable (Nonce3).

다시 말해, 사용자 이동 단말기(100)가 바이너리 CDMA 통신망(400) 내에서 핸드오버할 경우, 중개 서버(200)에 기구비된 제 1 무선 공유기(210)는 스위칭 온에서 오프상태로 변경되며, 중개 서버(200)에 기구비된 제 2 무선공유기(211)는 스위칭 오프에서 온상태로 변경되어 바이너리 CDMA 통신망(400)을 이용해 제 1 재인증 키일치 세션치(RAKA1)와 제 3 랜덤변수(Nonce3)를 사용자 이동 단말기(100)에 전송한다.In other words, when the user mobile terminal 100 performs handover in the binary CDMA communication network 400, the first wireless router 210, which is not in the intermediary server 200, is changed from the switching on state to the off state, The second wireless router 211 which is not configured in the server 200 is changed from the switching off state to the on state and the first re-authentication key matching session value RAKA1 and the third random variable Nonce3 To the user mobile terminal (100).

이에 따라, 중개 서버(200)는 사용자 이동 단말기(100)와 기연결된 바이너리 CDMA 통신망(400)을 통해 수신된 제 2 재인증 키일치 세션치(RAKA2)와 자체 연산한 제 2' 재인증 키일치 세션치(RAKA2')를 서로 비교하여, 일치시 제 4 검증의 성공을 확인한 후 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가한다.Accordingly, the mediation server 200 transmits the second re-authentication key matching session value RAKA2 received through the binary CDMA communication network 400 connected to the user mobile terminal 100, The session value (RAKA2 ') is compared with each other, and after confirming the success of the fourth verification at the time of matching, the security re-authentication regarding the traffic exchange of the user mobile terminal is permitted.

여기서, 제 3 트래픽보호 안정키(SK3)는 중개 서버(200) 측에서 생성되는 값으로 [수학식 12]에서 표시된 바와 같이, 사용자측 암호화키(TK) 및 제 1 랜덤변수로부터 발생되는 난수와 구별되는 제 3 랜덤변수(Nonce3)를 제 2키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the third traffic protection stability key SK3 is a value generated by the intermediary server 200, and is distinguished from the random number generated from the user side encryption key TK and the first random variable, as shown in Equation (12) Is a secret key value generated by applying the third random variable (Nonce3) to the second key derivation function (KDF2 ()).

수학식 12Equation 12

Figure pat00012
Figure pat00012

여기서, 제 4 트래픽보호 안정키(SK4)는 사용자 이동 단말기(100) 측에서 생성되는 값으로 [수학식 13]에서 표시된 바와 같이, 사용자측 암호화키(TK) 및 중개 서버로(200)부터 수신된 제 3 랜덤변수(Nonce3)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 비밀키 값임에 유의한다.Here, the fourth traffic protection security key SK4 is a value generated by the user mobile terminal 100, and may include a user side encryption key (TK) and a key received from the intermediary server 200 Note that it is the secret key value generated by applying the third random variable Nonce3 to the second key derivation function KDF2 ().

수학식 13Equation 13

Figure pat00013
Figure pat00013

여기서, 제 1 재인증 키일치 세션치(RAKA1)는 중개 서버(200) 측에서 생성되는 값으로 [수학식 14]에서 표시된바와 같이, 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first re-authentication key matching session value RAKA1 is a value generated on the side of the intermediary server 200 and is a value obtained by multiplying the third traffic protection stable key SK3 and the third random variable < RTI ID = 0.0 > Note that it is a value generated by applying the key matching function (Nonce3) to the key matching function (KAF ()).

수학식 14Equation 14

Figure pat00014
Figure pat00014

여기서, 제 1' 재인증 키일치 세션치(RAKA1')는 사용자 이동 단말기(100) 측에서 [0095] 생성되는 값으로 [수학식 15]에서 표시된 바와 같이, 제 4 트래픽보호 안정키(SK4)와 제 3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first re-authentication key matching session value RAKA1 'is a value generated by the user mobile terminal 100, and is a value obtained by multiplying the fourth traffic protection stability key SK4, as shown in Equation (15) And the third random variable (Nonce3) to the key matching function (KAF ()).

수학식 15Equation 15

Figure pat00015
Figure pat00015

여기서, 제 2 재인증 키일치 세션치(RAKA2)는 사용자 이동 단말기(100) 측에서 생성되는 값으로 [수학식 16]에서 표시된 바와 같이, 제 4 트래픽보호 안정키(SK4)를 키일치 함수(KAF())에 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 제 4 트래픽보호 안정키(SK4)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second re-authentication key matching session value RAKA2 is a value generated by the user mobile terminal 100 side, and the fourth traffic protection stable key SK4 is a key matching function ( KAF ()), applying a calculation value obtained by XORing the third random variable (Nonce3) and the fourth traffic protection stability key (SK4) to the key matching function (KAF ()) Note that this is a generated value.

수학식 16Equation 16

Figure pat00016
Figure pat00016

여기서, 제 2' 재인증 키일치 세션치(RAKA2')는 중개 서버(200) 측에서 생성되는 값으로 [수학식 17]에서 표시된 바와 같이, 제 3 트래픽보호 안정키(SK3)를 키일치 함수(KAF())에 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 제 3 트래픽보호 안정키(SK3)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second 're-authentication key matching session value RAKA2' is a value generated by the intermediary server 200 side, and the third traffic protection stable key SK3 is a key matching function (KAF ()) and applying a calculation value obtained by XORing the third random variable (Nonce3) and the third traffic protection stability key (SK3) to the key matching function (KAF Note that this is the value generated accordingly.

수학식 17Equation 17

Figure pat00017
Figure pat00017

도 4는 본 발명의 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.4 is a flowchart illustrating a method of operating a security authentication system on a binary CDMA communication network according to an embodiment of the present invention.

도 4를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에관한 보안 인증을 허가하는 구동 방법이다.Referring to FIG. 4, a method of operating a security authentication system on a binary CDMA communication network includes applying mutual authentication and a key agreement protocol (AKA Protocol) to a binary CDMA communication network, thereby performing security authentication on traffic exchange between a user mobile terminal and a mediation server This is a driving method that is permitted.

먼저, 중개 서버는 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 기연결된 바이너리 CDMA 통신망으로 송출한다(S10).First, the mediating server transmits a personal information request signal for requesting personal information about a user having the user mobile terminal to a connected binary CDMA communication network (S10).

사용자 이동 단말기는 개인신상 요청신호를 바이너리 CDMA 통신망을 통해 수신함에 따라, 기등록된 영구적 아이디(PID) 또는 임시적 아이디(TID)를 바이너리 CDMA 통신망과 기연결된 중개 서버로 전달한다(S20, S30).As the user mobile terminal receives the personal information request signal through the Binary CDMA communication network, the user mobile terminal transmits the PID or the TID to the intermediary server connected to the binary CDMA communication network at steps S20 and S30.

운영관리 서버는 중개 서버로부터 입력된(S40) 영구적 아이디(PID)를 조회하여 영구적 아이디(PID)와 1:1 매칭되는 마스터 공유키(MK)의 호출 및 제 1 랜덤변수(Nonce1)를 생성하고(S50), 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 키 유도 함수(KDF1()) 및 제 1, 2 상호인증 함수(MAF1(), MAF2())에 각각 적용하여 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES) 및 제 1 상호인증 루틴 연산치(MA-R1)를 생성시킨다(S60).The operation management server inquires the PID entered from the intermediary server at step S40 to generate a first random variable Nonce1 and a call of a master shared key MK matching 1: 1 with a permanent ID (PID) (S50), the master shared key (MK) and the first random variable (Nonce1) are stored in the predetermined first key derivation function (KDF1 ()) and the first and second mutual authentication functions (MAF1 (TK), a mutual authentication expectation requirement value (XRES), and a first mutual authentication routine computation value (MA-R1) (S60).

운용관리 서버는 중개 서버에 사용자측 암호화키(TK), 상호인증 기대 요구치(XRES), [0106] 제 1 랜덤변수(Nonce1) 및제 1 상호인증 루틴 연산치(MA-R1)를 전송한다.(S70)The operation management server transmits a user side encryption key (TK), a mutual authentication expectation requirement value (XRES), a first random variable (Nonce1), and a first mutual authentication routine operation value (MA-R1) to the mediation server (S70 )

중개 서버는 운영관리 서버로부터 수신된 사용자측 암호화키(TK) 및 상호인증 기대 요구치(XRES)를 임시 저장하며(S80), 제 1 랜덤변수(Nonce1) 및 제 1 상호인증 루틴 연산치(MA-R1)만을 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송한다(S90).The mediation server temporarily stores the user side encryption key (TK) and the mutual authentication expectation requirement value (XRES) received from the operation management server (S80), and stores the first random variable Nonce1 and the first mutual authentication routine calculation value MA- ) To the user mobile terminal connected to the binary CDMA communication network (S90).

사용자 이동 단말기는 중개 서버를 거쳐 수신된 제 1 랜덤변수(Nonce1)와 자체 보유한 마스터 공유키(MK)를 이용하여 제 2 상호인증 루틴 연산치(MA-R2)를 생성한 후, 중개 서버를 거쳐 수신된 제 1 상호인증 루틴 연산치(MA-R1)와 비교하여 서로 일치하면 중개 서버와의 통신 접속을 허용한다(S100).The user mobile terminal generates the second mutual authentication routine calculation value MA-R2 using the first random variable Nonce1 received via the intermediary server and its own master shared key MK, (MA-R1), and if they match with each other, the communication with the intermediary server is allowed (S100).

또한, 사용자 이동 단말기는 마스터 공유키(MK)와 제 1 랜덤변수(Nonce1)를 기설정된 제 1 상호인증 함수(MAF1())에 적용하여 상호인증 응답치(RES)를 생성시킨 후(S110), 상호인증 응답치(RES)를 바이너리 CDMA 통신망에 송출한다(S120).The user mobile terminal generates the mutual authentication response value RES by applying the master shared key MK and the first random variable Nonce1 to the predetermined first mutual authentication function MAF1 (S110) , And transmits the mutual authentication response value (RES) to the binary CDMA communication network (S120).

중개 서버는 바이너리 CDMA 통신망을 거쳐 수신된 상호인증 응답치(RES)와 임시 저장된 상호인증 기대 요구치(XRES) 간의 일치 여부를 비교 확인하여 사용자 이동 단말기에 대한 인증과정을 실시한다(S130).The mediating server compares the mutual authentication response value (RES) received via the binary CDMA communication network with the temporarily stored mutual authentication expectation requirement value (XRES), and performs an authentication process for the user mobile terminal (S130).

상호인증 응답치(RES)와 상호인증 기대 요구치(XRES)가 서로 일치시, 중개 서버는 무선구간 암호화 키 일치과정을 위해 사용자측 암호화키(TK), 제 1 랜덤변수로부터 발생되는 난수와 구별되는 다른 난수를 발생시킨 제 2 랜덤변수(Nonce2)를 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키(SK1)를 생성시킨다(S140).When the mutual authentication response value (RES) and the mutual authentication expectation requirement value (XRES) coincide with each other, the mediating server transmits the user side encryption key (TK) The second random variable Nonce2 generating the random number is applied to the second key derivation function to generate the first traffic protection stability key SK1 at step S140.

만약, 상호인증 응답치(RES)와 기저장된 상호인증 기대 요구치(XRES)가 불일치할 경우, 중개 서버는 사용자 이동 단말기의 접속을 거부하고, 운영관리 서버에 사용자인증 거부신호를 전송 및 통보한다(S131).If the mutual authentication response value (RES) and the previously stored mutual authentication expectation requirement value (XRES) do not match, the mediating server rejects the connection of the user mobile terminal and transmits and notifies the operation management server of the user authentication rejection signal S131).

이후, 중개 서버는 제 1 트래픽보호 안정키(SK1)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 키일치 세션치(KeyA1)를 생성한 후(S150), 제 2 랜덤변수(Nonce2)와 제 1 키일치 세션치(KeyA1)를 바이너리 CDMA 통신망과 기연결된 사용자 이동 단말기에 전송한다(S160).After that, the mediation server generates the first key matching session value KeyA1 (S150) by applying the first traffic protection stable key SK1 to the predetermined key matching function KAF Nonce2) and the first key matching session value (KeyA1) to the user mobile terminal connected to the binary CDMA communication network at step S160.

사용자 이동 단말기는 기보유한 마스터 공유키(MK)와 중개 서버로부터 수신된 제 1 랜덤변수(Nonce1)를 이용하여 생성시킨 사용자측 암호화키(TK)와 제 2 랜덤변수(Nonce2)를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 2 트래픽보호 안정키(SK2)를 생성시킨다(S170).The user mobile terminal transmits the user side encryption key TK and the second random variable Nonce2 generated using the master shared key MK and the first random variable Nonce1 received from the intermediary server to the predetermined second key To the derived function KDF2 () to generate the second traffic protection steady key SK2 (S170).

또한, 사용자 이동 단말기는 바이너리 CDMA 통신망을 거쳐 수신된 제 1 키일치 세션치(KeyA1)을 제 1 검증하고(S180), 제 1 검증이 성공하면 제 2 트래픽보호 안정키(SK2)를 기설정된 키일치 함수(KAF())에 대입하여 제 2키일치 세션치(KeyA2)를 생성시킨 후(S190), 제 2 키일치 세션치(KeyA2)를 중개 서버에 전송한다(S200).The user mobile terminal first verifies the first key agreement session value (KeyA1) received via the Binary CDMA communication network (S180). If the first verification is successful, the user MT receives the second traffic protection stability key SK2 The second key agreement session value (KeyA2) is transmitted to the mediation server (S200) after the second key agreement session value (KeyA2) is generated by substituting the second key agreement value (KAF ()).

제 1 검증이 미성공될 경우, 사용자 이동 단말기는 중개 서버에 제 1 키일치 세션치의 재전송을 재요청한다(S181).If the first verification is unsuccessful, the user mobile terminal requests the intermediary server to retransmit the first key matching session value (S181).

이후, 중개 서버는 바이너리 CDMA 통신망과 연결된 사용자 이동 단말기로부터 수신된 제 2 키일치 세션치(KeyA2)를 제 2 검증을 실시한다(S210).Thereafter, the mediation server performs a second verification of the second key agreement session value (KeyA2) received from the user mobile terminal connected to the binary CDMA communication network (S210).

다시 말해, 중개 서버는 자체 연산한 제 2' 키일치 세션치(KeyA2')와 제 2 키일치 세션치 값이 동일한 지를 서로 비교한다.In other words, the mediation server compares the second key matching session value (KeyA2 ') calculated by itself with the second key matching session value.

제 2 키일치 세션치(KeyA2)와 제 2' 키일치 세션치(KeyA2') 값이 서로 일치할 경우, 중개 서버는 사용자 이동단말기와 운영관리 서버 간의 트래픽 교환에 관한 암호화적 정당성을 인정함에 따라 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 보안 인증을 허가함을 운영관리 서버에 통보한다(S220, S230).When the second key agreement session value (KeyA2) and the second 'key agreement session value (KeyA2') values are equal to each other, the intermediary server recognizes the encrypted validity of traffic exchange between the user mobile terminal and the operation management server The security authentication for the traffic exchange of the user mobile terminal is permitted and the operation management server is notified that the security authentication is permitted (S220, S230).

만약, 수신한 제 2 키일치 세션치(KeyA2)가 불일치할 경우, 중개 서버는 S150 단계를 재실시한다.If the received second key agreement session value (KeyA2) does not match, the mediating server re-executes step S150.

여기서, 사용자측 암호화키(TK)는 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제Here, the user side encryption key (TK) includes a first random variable (Nonce1) for generating a random number in addition to the master shared key (MK)

1 키 유도 함수(KDF1())에 적용함에 따라 생성된 비밀키 값임에 유의한다.1 key derivation function (KDF1 ()).

여기서, 제 1, 2 상호인증 루틴 연산치(MA-R1, MA-R2)는 마스터 공유키(MK), 제 1 랜덤변수(Nonce1) 및 카운터값(counter)을 제 2 상호인증 함수(MAF2())에 적용함에 따라 생성된 서로 다른 연산값임에 유의한다.Here, the first and second mutual authentication routine calculation values MA-R1 and MA-R2 correspond to the second mutual authentication function MAF2 (MAF2), the master shared key MK, the first random variable Nonce1, )), It is noted that these values are different from each other.

여기서, 제 1, 2 트래픽보호 안정키(SK1, SK2)는 사용자측 암호화키(TK), 제 2 랜덤변수(Nonce2)를 제 2 키 유도 함수(KDF2())에 적용함에 따라 생성된 서로 다른 값으로, 사용자 이동 단말기와 중개 서버 간의 공유되는 비밀키 값임에 유의한다.Here, the first and second traffic protection stability keys SK1 and SK2 are different values generated by applying the user side encryption key TK and the second random variable Nonce2 to the second key derivation function KDF2 , Which is a secret key value shared between the user mobile terminal and the mediation server.

여기서, 상호인증 기대 요구치(XRES)는 마스터 공유키(MK)와 더불어 난수를 발생시키는 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Note that the mutual authentication expectation requirement value XRES is a value generated by applying the first random variable Nonce1 for generating a random number in addition to the master shared key MK to the first mutual authentication function MAF1 .

상호인증 응답치(RES)는 마스터 공유키(MK), 제 1 랜덤변수(Nonce1)를 제 1 상호인증 함수(MAF1())에 적용함에 따라 생성된 값임에 유의한다.Note that the mutual authentication response value RES is a value generated by applying the master shared key MK and the first random variable Nonce1 to the first mutual authentication function MAF1 ().

제 1 키일치 세션치(KeyA1)는 제 1 트래픽보호 안정키(SK1)과 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Note that the first key agreement session value KeyA1 is a value generated by applying the first traffic protection stability key SK1 and the second random variable Nonce2 to the key agreement function KAF ().

제 1' 키일치 세션치(KeyA1')는 제 2 트래픽보호 안정키(SK2)과 제 2 랜덤변수(Nonce2)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Note that the first key matching session value KeyA1 'is a value generated by applying the second traffic protection steady key SK2 and the second random variable Nonce2 to the key matching function KAF ().

제 2 키일치 세션치(KeyA2)는 제 2 트래픽보호 안정키(SK2)를 키일치 함수에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 2 트래픽보호 안정키(SK2)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다The second key agreement session value KeyA2 is obtained by first applying the second traffic protection steady state key SK2 to the key matching function and setting the second random variable Nonce2 and the second traffic protection steady state key SK2 to XOR Note that it is a value generated as a result of applying a calculation to the key matching function (KAF ())

제 2' 키일치 세션치(KeyA2')는 제 1 트래픽보호 안정키(SK1)를 키일치 함수에 선(先) 적용하고, 제 2 랜덤변수(Nonce2)와 제 1 트래픽보호 안정키(SK1)를 XOR 한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.The second key matching session value KeyA2 'applies the first traffic protection steady key SK1 to the key matching function and the second random variable Nonce2 and the first traffic protection steady key SK1, Is a value generated by applying a computed value obtained by XOR to a key matching function (KAF ()).

도 5는 본 발명의 다른 실시예에 따른 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법을 나타낸 순서도이다.5 is a flowchart illustrating a method of operating a security authentication system on a binary CDMA communication network according to another embodiment of the present invention.

도 5를 참조하면, 바이너리 CDMA 통신망 상의 보안 인증 시스템의 구동 방법은 바이너리 CDMA 통신망에 상호인증 및 키일치 프로토콜(AKA Protocol)을 적용시킴에 따라 사용자 이동 단말기와 중개 서버 간의 트래픽 교환에 관한 보안 재인증을 허가하는 구동 방법이다.Referring to FIG. 5, a method of operating a security authentication system on a binary CDMA communication network includes applying a mutual authentication and key agreement protocol (AKA Protocol) to a binary CDMA communication network, As shown in Fig.

먼저, 사용자 이동 단말기는 바이너리 CDMA 통신망 내에서 핸드오버(사용자가 장소를 이동하면서 사용자 이동단말기를 이용해 통화를 계속 진행시키는 통신상의 동적 상태를 일컫는 용어임)할 경우, 임시적 아이디(TID)를 중개 서버에 전송한다(S10', S20').First, when a user mobile terminal performs a handover in a binary CDMA communication network (a term referring to a dynamic state of communication in which a user continues to make a call using a user mobile terminal while moving a place), a temporary identity (TID) (S10 ', S20').

중개 서버는 임시적 아이디(TID) 참조와 하여 영구적 아이디(PID) 조회로 인지되는 사용자측 암호화키(TK)와 제1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 제 3 랜덤 변수를 기설정된 제 2 키 유도 함수(KDF2())에 적용하여 제 3 트래픽보호 안정키(SK3)를 생성시킨다(S30').The mediating server refers to a temporary random number (TID) and generates a third random variable for generating another random number distinguished from a random number generated from the first random variable and a user side encryption key (TK) recognized as a permanent ID (PID) And generates the third traffic protection stable key SK3 by applying the second key derivation function KDF2 () to the set second key derivation function KDF2 (S30 ').

중개 서버는 제 3 트래픽보호 안정키(SK3)와 제 3 랜덤변수(Nonce3)를 기설정된 키일치 함수(KAF())에 적용하여 제 1 재인증 키일치 세션치(RAKA1)를 생성한 후, 바이너리 CDMA 통신망을 이용해 제 3 랜덤변수(Nonce3)와 제 1재인증 키일치 세션치(RAKA1)를 사용자 이동 단말기에 전송한다(S40', S50').The mediation server generates the first re-authentication key matching session value RAKA1 by applying the third traffic protection security key SK3 and the third random variable Nonce3 to the predetermined key matching function KAF () The third random variable (Nonce3) and the first re-authentication key matching session value (RAKA1) are transmitted to the user mobile terminal (S40 ', S50') using the binary CDMA communication network.

사용자 이동 단말기는 사용자측 암호화키(TK)와 제 3 랜덤변수(Nonce3)를 제2 키 유도 함수에 적용하여 제 4 트래픽보호 안정키(SK4)를 생성시키고, 바이너리 CDMA 통신망과 연결된 중개 서버로부터 수신된 제 1 재인증 키일치 세션치(RAKA1)와 자체 연산한 제 1' 재인증 키일치 세션치(RAKA1')를 서로 비교하여 일치시, 제 3 검증 의성공을 확인한 후 제 4 트래픽보호 안정키(SK4)를 기설정된 키일치 함수(KAF())에 대입하여 제 2 재인증 키일치세션치(RAKA2)를 생성시킨다.(S60', S70', S80')The user mobile terminal generates a fourth traffic protection key SK4 by applying the user side encryption key TK and the third random variable Nonce3 to the second key derivation function and transmits the fourth traffic protection key SK4 received from the intermediary server connected to the binary CDMA communication network The first re-authentication key matching session value RAKA1 is compared with the first re-authentication key matching session value RAKA1 'calculated by itself, SK4) into a predetermined key matching function KAF () to generate a second re-authentication key matching session value RAKA2 (S60 ', S70', S80 ').

중개 서버는 사용자 이동 단말기와 기연결된 바이너리 CDMA 통신망을 거쳐 수신된 제 2 재인증 키일치 세션치(RAKA2)와 자체 연산한 제 2' 재인증 키일치 세션치(RAKA2')를 서로 비교하여 일치시 제 4 검증의 성공을 확인한다(정당성 인정)(S90', S100')The mediation server compares the second re-authentication key matching session value (RAKA2) received via the binary mobile communication network with the user mobile terminal and the second re-authentication key matching session value (RAKA2 ') calculated by itself, Confirm the success of the fourth verification (recognition of legitimacy) (S90 ', S100')

이에 따라, 중개 서버는 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가한다.(S110')Accordingly, the mediating server permits the security re-authentication regarding the traffic exchange of the user mobile terminal (S110 ').

만약, 제 2 재인증 키일치 세션치(RAKA2)의 제 2' 재인증 키일치 세션치(RAKA2')가 미성공될 경우, 중개 서버는 제 3 트래픽 보호 안정키(SK3)를 재생성시킨다(S30').If the second re-authentication key matching session value RAKA2 'of the second re-authentication key matching session value RAKA2 is not successful, the mediating server regenerates the third traffic protection steady key SK3 (S30 ').

여기서, 제 3, 4 트래픽보호 안정키(SK3, SK4)는 사용자측 암호화키(TK) 및 제 3 랜덤변수(Nonce3)를 제 2 키유도 함수(KDF2())에 적용함에 따라 생성된 서로 다른 값임에 유의한다.The third and fourth traffic protection stability keys SK3 and SK4 are different values generated by applying the user side encryption key TK and the third random variable Nonce3 to the second key derivation function KDF2 .

여기서, 제 1 재인증 키일치 세션치(RAKA1)는 제 3 트래픽보호 안정키(SK3)[0140] 와 또 다른 난수를 발생시키는 제 3랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다여기서, 제 1' 재인증 키일치 세션치(RAKA1')는 제 4 트래픽보호 안정키(SK4)와 또 다른 난수를 발생시키는 제3 랜덤변수(Nonce3)를 키일치 함수(KAF())에 적용함에 따라 생성된 값임에 유의한다.Here, the first reauthentication key matching session value RAKA1 corresponds to the third traffic protection stable key SK3 and the third random variable Nonce3 that generates another random number to the key matching function KAF () Note that the first 're-authentication key matching session value (RAKA1') is a value obtained by applying the fourth traffic protection stability key (SK4) and a third random variable (Nonce3) Note that it is a value generated by applying to the matching function (KAF ()).

여기서, 제 2 재인증 키일치 세션치(RAKA2)는 제 4 트래픽보호 안정키(SK4)를 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 트래픽 보호 안정키(SK4)를 XOR한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second reauthentication key matching session value RAKA2 is a value obtained by applying the fourth traffic protection steady key SK4 first, applying the third random variable Nonce3 and the traffic protection steady key SK4 XOR Is applied to the key matching function (KAF ()).

여기서, 제 2' 재인증 키일치 세션치(RAKA2')는 제 3 트래픽보호 안정키(SK3)를 선(先) 적용하고, 제 3 랜덤변수(Nonce3)와 트래픽 보호 안정키(SK3)를 XOR한 계산치를 키일치 함수(KAF())에 후(後) 적용함에 따라 생성된 값임에 유의한다.Here, the second 'reauthentication key matching session value RAKA2' applies the third traffic protection steady key SK3, and the third random variable Nonce3 and the traffic protection steady key SK3 are XOR Note that this is a value generated by applying a calculation to the key matching function (KAF ()).

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims. It can be understood that it is possible.

1000: 바이너리 CDMA 통신망 상의 보안 인증 시스템
100 : 사용자 이동 단말기
400 : 바이너리 CDMA 통신망
200 : 중개 서버
300 : 운영관리 서버1000: Security authentication system on binary CDMA network
100: User mobile terminal
400: Binary CDMA communication network
200: Mediation Server
300: Operation management server

Claims (11)

사용자 이동 단말기와 운영관리 서버 간을 서로 연결하는 중개 서버를 활용해 바이너리 CDMA 통신망 상에서의 보안 인증을 실시하는 바이너리 CDMA 통신망 상의 보안 인증 시스템으로,상기 바이너리 CDMA 통신망을 통해 개인신상 요청신호를 수신함에 따라 기등록된 영구적 아이디 또는 임시적 아이디를 상기 중개 서버로 전달하고, 상기 영구적 아이디로부터 파악되는 마스터 공유키를 기설정된 제 2 상호인증 함수에 대입함에 따라 생성된 제 2 상호인증 루틴 연산치와, 제 1 상호인증 루틴 연산치 간의 일치 여부를 비교하여 서로 일치시 상기 중개 서버의 통신 접속을 허용하며, 상기 마스터 공유키와 상기 중개 서버를 거쳐 들어온 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1 상호인증 함수에 적용하여 사용자측 암호화키와 상호인증 응답치를 각각 생성시킬 뿐만 아니라, 상기 사용자측 암호화키와 상기 중개 서버로부터 수신된 제 2 랜덤변수를 기설정된 제 2 키 유도 함수에 적용하여 제 2 트래픽보호 안정키를 생성시키고, 상기 중개 서버로부터 전달된 제 1 키일치 세션치를 제 1 검증한 후 상기 제 2 트래픽보호 안정키를 키일치 함수에 적용하여 제 2키일치 세션치를 생성시켜 상기 중개 서버에 전송하는 사용자 이동 단말기;
상기 중개 서버로부터 수신된 상기 영구적 아이디를 조회하여 상기 영구적 아이디와 1:1 매칭되는 마스터 공유키를 호출함은 물론 상기 제 1 랜덤변수를 자체적으로 생성시키며, 상기 마스터 공유키와 제 1 랜덤변수를 기설정된 제 1 키 유도 함수 및 제 1, 2 상호인증 함수에 각각 대입시켜 사용자측 암호화키, 상호인증 기대 요구치 및 제 1 상호인증 루틴 연산치를 생성하는 운영관리 서버; 및 상기 사용자 이동 단말기를 소지한 사용자에 관한 개인신상 정보를 요청하는 개인신상 요청신호를 상기 바이너리 CDMA 통신망으로 송출하며, 상기 운영관리 서버로부터 수신된 상기 사용자측 암호화키 및 상호인증 기대 요구치를 임시 저장하고 상기 운영관리 서버로부터 수신된 상기 제 1 랜덤변수와 제 1 상호인증 루틴 연산치를 상기 사용자 이동 단말기에 전송하고, 상기 바이너리 CDMA 통신망을 통해 수신된 상기 상호인증 응답치와 상기 상호인증 기대 요구치를 비교하여 서로 일치할 경우 상기 사용자측 암호화키와 자체 생성시킨 제 2 랜덤변수를 기설정된 제 2 키 유도함수에 적용하여 제 1 트래픽보호 안정키를 생성시킬 뿐만 아니라, 상기 제 1 트래픽보호 안정키를 기설정된 키일치 함수에 적용하여 생성시킨 제 1 키일치 세션치와 상기 제 2 랜덤변수를 상기 사용자 이동 단말기에 전송하며, 상기 바이너리 CDMA 통신망을 통해 수신된 제 2 키일치 세션치를 제 2 검증함으로써 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 인증을 허가하고, 상기 보안 인증을 허가함을 상기 운영관리 서버에 통보하는 중개 서버를 포함하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.A security authentication system on a binary CDMA communication network that performs security authentication on a binary CDMA communication network using an intermediary server connecting the user mobile terminal and an operation management server, A second mutual authentication routine computation value generated by transferring the previously registered permanent ID or temporary ID to the intermediary server and substituting the master shared key obtained from the permanent ID into the predetermined second mutual authentication function, Mutual authentication routines, and permits the communication connection of the intermediary server when the mutual authentication routines coincide with each other. The first random variable entered via the master shared key and the intermediary server is divided into a predetermined first key derivation function and a first random number The mutual authentication function is applied to the encryption key of the user side and the mutual authentication response value And generates a second traffic protection stability key by applying the user's encryption key and a second random variable received from the intermediary server to a predetermined second key derivation function, A first mobile station for generating a second key matching session value by applying the second traffic protection stability key to the key matching function after first verifying the matching session value and transmitting the second key matching session value to the mediation server;
Inquiring the permanent ID received from the mediating server to call the master shared key 1: 1 matched with the permanent ID, as well as generating the first random variable by itself, and generating the master random number A first key derivation function and a first and second mutual authentication functions, respectively, to generate a user side encryption key, a mutual authentication expectation requirement, and a first mutual authentication routine operation value; And transmitting a personal information request signal requesting personal information about the user having the user mobile terminal to the binary CDMA communication network, temporarily storing the user side encryption key and the mutual authentication expectation request received from the operation management server Transmits the first random variable and the first mutual authentication routine computation value received from the operation management server to the user mobile terminal and compares the mutual authentication response value received through the binary CDMA communication network with the mutual authentication expectation value The second traffic protection key is generated by applying the user-side encryption key and the self-generated second random variable to the predetermined second key derivation function to generate the first traffic protection stability key, The first key matching session value generated by applying the matching function to the matching function, A second key agreement session value received through the binary CDMA communication network to permit security authentication on the traffic exchange of the user mobile terminal and to permit the security authentication And a mediation server for notifying the operation management server of the request to the operation management server. 제 1 항에 있어서, 상기 사용자측 암호화키는,상기 마스터 공유키 및 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.2. The method of claim 1, wherein the user side encryption key is a secret key value generated by applying the master random key and the random variable generating the random number to the first key derivation function. Security authentication system. 제 2 항에 있어서, 상기 제 1, 2 상호인증 루틴 연산치는,
상기 마스터 공유키, 제 1 랜덤변수 및 추가 변수인 카운터값을 상기 제 2 상호인증 함수에 적용함에 따라 생성된 연산값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.3. The method according to claim 2, wherein the first and second mutual authentication routine calculation values include:
Wherein the first value is a computed value generated by applying the master shared key, the first random variable, and a counter value, which is an additional variable, to the second mutual authentication function. 제 2 항에 있어서, 상기 제 1, 2 트래픽보호 안정키는,
상기 사용자측 암호화키, 다른 난수를 발생시키는 상기 제 2 랜덤변수를 상기 제 2 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.3. The method of claim 2, wherein the first and second traffic protection steered keys comprise:
Wherein the secret key value is a private key value generated by applying the second random variable for generating the user side encryption key and the other random number to the second key derivation function. 제 1 항에 있어서, 상기 상호인증 기대 요구치는,
상기 마스터 공유키와 더불어 난수를 발생시키는 상기 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.2. The method according to claim 1,
And the first random variable generating the random number together with the master shared key is a data value generated by applying the first random variable to the first mutual authentication function. 제 5 항에 있어서, 상기 상호인증 응답치는,
상기 마스터 공유키, 제 1 랜덤변수를 상기 제 1 상호인증 함수에 적용함에 따라 생성된 데이터 값인 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.6. The method according to claim 5,
Wherein the first random variable is a data value generated by applying the master shared key and the first random variable to the first mutual authentication function. 제 1 항에 있어서, 상기 사용자 이동 단말기는,
상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 임시적 아이디를 상기 중개 서버에 전송하며 상기 사용자측 암호화키를 활용하여 제 4 트래픽보호 안정키를 생성시키며, 상기 중개 서버로부터 수신된 제 1 재인증키일치 세션치와 자체 연산한 제 1' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 3 검증의 성공을 확인한 후 상기 제 4 트래픽보호 안정키를 상기 키일치 함수에 대입하여 제 2 재인증 키일치 세션치를 생성시키는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.The method of claim 1,
And transmits the temporary ID to the intermediary server when the handover is performed in the binary CDMA communication network, generates a fourth traffic protection stability key using the user side encryption key, Comparing the session value with a self-computed first re-authentication key matching session value, confirming success of the third verification when the first and second re-authentication key matching session values match with each other, assigning the fourth traffic protection stability key to the key matching function, Further comprising generating a session value for each of the plurality of users. 제 7 항에 있어서, 상기 중개 서버는,
상기 임시적 아이디에 대한 참조와 상기 영구적 아이디에 대한 조회로 인지되는 상기 사용자측 암호화키를 활용하여 제 3 트래픽보호 안정키를 생성시키고,상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용하여 제 1 재인증 키일치 세션치를 생성시킨 후, 상기 제 1 재인증 키일치 세션치와 제 3 랜덤변수를 상기 바이너리 CDMA 통신망과 기연결된 사용자이동 단말기에 전송하며,상기 사용자 이동 단말기로부터 수신된 상기 제 2 재인증 키일치 세션치와 자체 연산한 제 2' 재인증 키일치 세션치를 비교하여 서로 일치시, 제 4 검증의 성공을 확인한 후 상기 사용자 이동 단말기의 트래픽 교환에 관한 보안 재인증을 허가하는 것을 더 포함하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.8. The information processing apparatus according to claim 7,
Generates a third traffic protection stability key using a reference to the temporary identity and the user's encryption key, which is recognized as an inquiry about the permanent identity, and compares the third traffic protection stability key and the third random variable with the key matching function And transmits the first re-authentication key matching session value and the third random variable to a user mobile terminal connected to the binary CDMA communication network, The second re-authentication key matching session value is compared with the second re-authentication key matching session value calculated by the second re-authentication key matching session value, and if the second re-authentication key matching session value matches the second re-authentication key matching session value, The method comprising the steps of: receiving a first authentication request from the first authentication server; 제 8 항에 있어서, 상기 제 3, 4 트래픽보호 안정키는,
상기 사용자측 암호화키와 상기 제 1 랜덤변수로부터 발생되는 난수와 구별되는 또 다른 난수를 발생시키는 상기 제 3 랜덤변수를 상기 제 2 키 유도 함수에 적용함에 따라 생성된 비밀키 값인 것을 특징으로 하는 바이너리CDMA 통신망 상의 보안 인증 시스템.9. The method of claim 8, wherein the third,
Wherein the first random variable is a secret key value generated by applying the third random variable that generates another random number different from a random number generated from the user side encryption key and the first random variable to the second key derivation function. Security authentication system on the network. 제 9 항에 있어서, 상기 제 1 재인증 키일치 세션치는,
상기 제 3 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값이며, 상기 제 1'재인증 키일치 세션치는,상기 제 4 트래픽보호 안정키와 제 3 랜덤변수를 상기 키일치 함수에 적용함에 따라 생성된 값인 것을 특징으로하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.10. The method of claim 9, wherein the first re-
And the first RRC key matching session value is a value generated by applying the third traffic protection random key and the third random variable to the key matching function, And a value obtained by applying the key matching function to the key matching function. 제 8 항에 있어서,
상기 사용자 이동 단말기가 상기 바이너리 CDMA 통신망 내에서 핸드오버할 경우, 상기 중개 서버에 기구비된 제1 무선 공유기는 스위칭 온에서 오프상태로 변경되며,상기 중개 서버에 기구비된 제 2 무선 공유기는 스위칭 오프에서 온상태로 변경되어 상기 바이너리 CDMA 통신망을 이용해 상기 제 1 재인증 키일치 세션치를 상기 사용자 이동 단말기에 전송하는 것을 특징으로 하는 바이너리 CDMA 통신망 상의 보안 인증 시스템.
9. The method of claim 8,
Wherein when the user mobile terminal performs a handover in the binary CDMA network, the first wireless router, which is not configured as the intermediary server, is changed from the ON state to the OFF state, and the second wireless router, Off state, and transmits the first re-authentication key matching session value to the user mobile terminal using the binary CDMA communication network.
KR1020170038119A 2017-03-26 2017-03-26 Secure authentication of binary CDMA telecommunication network and drive system KR20180109037A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170038119A KR20180109037A (en) 2017-03-26 2017-03-26 Secure authentication of binary CDMA telecommunication network and drive system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170038119A KR20180109037A (en) 2017-03-26 2017-03-26 Secure authentication of binary CDMA telecommunication network and drive system

Publications (1)

Publication Number Publication Date
KR20180109037A true KR20180109037A (en) 2018-10-05

Family

ID=63878172

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170038119A KR20180109037A (en) 2017-03-26 2017-03-26 Secure authentication of binary CDMA telecommunication network and drive system

Country Status (1)

Country Link
KR (1) KR20180109037A (en)

Similar Documents

Publication Publication Date Title
KR101485230B1 (en) Secure multi-uim authentication and key exchange
US8122250B2 (en) Authentication in data communication
US5689563A (en) Method and apparatus for efficient real-time authentication and encryption in a communication system
CA2490131C (en) Key generation in a communication system
KR101038096B1 (en) Secure key authentication method for binary cdma network
US8259942B2 (en) Arranging data ciphering in a wireless telecommunication system
RU2480925C2 (en) Generation of cryptographic key
US7734280B2 (en) Method and apparatus for authentication of mobile devices
US8397071B2 (en) Generation method and update method of authorization key for mobile communication
US20160057725A1 (en) Security method and system for supporting re-subscription or additional subscription restriction policy in mobile communications
US20030120920A1 (en) Remote device authentication
US11159940B2 (en) Method for mutual authentication between user equipment and a communication network
US20070269048A1 (en) Key generation in a communication system
KR20000011999A (en) Method for updating secret shared data in a wireless communication system
CN1249587A (en) Method for mutual authentication and cryptographic key agreement
CN112566119A (en) Terminal authentication method and device, computer equipment and storage medium
CN103096307A (en) Secret key verification method and device
WO2006079953A1 (en) Authentication method and device for use in wireless communication system
WO2007025484A1 (en) Updating negotiation method for authorization key and device thereof
CN111526008B (en) Authentication method under mobile edge computing architecture and wireless communication system
KR100330418B1 (en) Authentication Method in Mobile Communication Environment
KR101018470B1 (en) Secure authentication system in binary cdma communication networks and drive method of the same
KR20180109037A (en) Secure authentication of binary CDMA telecommunication network and drive system
CN116569516A (en) Method for preventing leakage of authentication serial number of mobile terminal
KR20200000861A (en) Binary CDMA Communication network security authentication system and its drive method