KR20110051174A - 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 - Google Patents

사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 Download PDF

Info

Publication number
KR20110051174A
KR20110051174A KR1020110038653A KR20110038653A KR20110051174A KR 20110051174 A KR20110051174 A KR 20110051174A KR 1020110038653 A KR1020110038653 A KR 1020110038653A KR 20110038653 A KR20110038653 A KR 20110038653A KR 20110051174 A KR20110051174 A KR 20110051174A
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
information
reason
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020110038653A
Other languages
English (en)
Inventor
이덕기
방정희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20110051174A publication Critical patent/KR20110051174A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자 단말의 인증 방법에 관한 것으로서, 더욱 상세하게는 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말에 관한 것이다.
본 출원에 개시된 발명의 일 실시예에 따른 사용자 단말 인증 방법은 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 단계, 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 메시지를 사용자 단말로 전송하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.

Description

사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말{Method for User Terminal Authentication and Authentication Server and User Terminal thereof}
본 발명은 사용자 단말의 인증 방법에 관한 것으로서, 더욱 상세하게는 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말에 관한 것이다.
통신 시스템의 발전으로 인해 다양한 네트워크가 구축되어 있다. 이렇게 다양한 네트워크가 혼재되어 있는 것을 멀티 네트워크 환경이라 하며, 멀티 네트워크 환경에서 사용자 단말은 WLAN(Wireless Local Area Network), CDMA(Code Division Multiple Access), WiMAX(World Interoperability for Microwave Access) 등 네트워크에 접속할 수 있다.
이하, WiMAX를 예로 들어 설명한다. WiMAX는 개인용 또는 노트북 컴퓨터, PDA(Personal Digital Assistant), PMP(Portable Multimedia player), 핸드셋 및 스마트 폰 등과 같은 다양한 형태의 사용자 단말기를 이용하여 실내는 물론 실외에서 정지 및 이동 중에도 고속으로 인터넷에 접속하여 필요한 정보나 멀티미디어 콘텐츠를 이용할 수 있는 통신서비스이다. 이러한 WiMAX 서비스는 가정, 학교 및 회사 등 인터넷 회선이 설치된 고정된 장소에서 인터넷 이용이 가능한 초고속 인터넷 서비스와 달리 도심지의 거리나 공원 및 이동중인 차량과 같은 옥외에서도 인터넷 이용을 가능하게 한다.
한편, 이러한 WiMAX 기술을 적용한 장비들 사이의 호환성 확보를 위해 통신사업자, 통신장비 제조업체 및 반도체 기업들에 의해 와이맥스 포럼(WiMax Forum)이 결성되었다. 와이맥스 포럼은 IEEE(Institute of Electrical and Electronics Engineers) 광대역 무선접속 기술표준인 802.16을 기반으로 하고 있으며 기존의 고정형 표준(802.16d)에서 이동형 표준(802.16e)으로의 발전을 모색 중이다.
WiMAX 네트워크는 IEEE 802.16 표준을 기반으로 하는 WMAN(Wireless Metropolitan Area Network) 기술이며, 일반적으로 이동국(MS: Mibile Station)을 포함하는 사용자 단말인 클라이언트, 기지국(BS:Base Station) 및 액세스 서비스 네트워크 게이트웨이(ASN-GW: Access Service Network Gateway)를 포함하는 액세스 서비스 네트워크(ASN: Access Service Network) 및 PF(Policy Function) 엔티티(entity), AAA(Authentication Authorization and Accounting) 서버, AF(Application Function) 엔티티 등과 같은 논리적 엔티티를 포함하는 접속성 서비스 네트워크(CSN: Connectivity Service Network) 등을 포함할 수 있다.
WiMAX 네트워크의 논리적인 구조에 대해 예를 들어 설명한다.
이동국(MS)은 ASN에 무선으로 접속하는 WiMAX 단말기를 지칭하고, WiMAX 네트워크의 무선측에서는 IEEE 802.16D/E 표준을 기반으로 하는 WMAN 액세스 기술이 주로 이용된다.
ASN은 WiMAX 단말기와 WiMAX 기지국(BS)의 접속 구축을 보장하고, 무선 자원관리, 네트워크 발견, WiMAX 가입자를 위한 최적의 네트워크 서비스 제공자(NSP: Network Service Provider)의 선택, 프록시 MIP(Moblie Internet Protocol)에서의 WiMAX 가입자의 AAA(Authentication Authorization and Accounting)를 제어하기 위한 프록시 서버로서의 동작, 및 WiMAX 단말기를 통해 어플리케이션 접속을 구축하는 역할을 한다.
CSN은 WiMAX 가입자의 세션을 위한 인터넷 프로토콜(IP: Internet Protocol) 어드레스의 할당, 인터넷에 대한 액세스를 제공, AAA 프록시 또는 AAA 서버로서 동작, 가입자의 가입 데이터에 기초한 정책(policy)및 액세스 제어를 수행, ASN과 CSN 간의 터널의 구축을 지원, WiMAX 가입자에 대한 청구서의 생성 및 오퍼레이터에 걸쳐 WiMAX 서비스의 정착을 지원, CSN 간의 로밍 터널의 구축을 지원, ASN 간의 이동성을 지원, 위치 기반 서비스, 종단(end-to-end) 서비스, 멀티미디어 브로드캐스트/멀티캐스트 서비스(MBMS: Multimedia Broadcast Multicast Service) 등과 같은 각종 WiMAX서비스를 지원한다.
도 1은 일반적인 네트워크 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 네트워크 시스템은 사용자 단말(110), 통신 시스템(120), 인터넷 망(Internet: 130) 및 응용 서비스 제공자(140)로 구성된다.
사용자 단말(110)은 노트북 또는 개인용 컴퓨터, PDA, 핸드셋 또는 PMP 등을 포함하는 것으로서, 통신 시스템을 포함하는 네트워크에 접속할 수 있는 모든 장치를 포함한다.
통신 시스템(120)은 물리적인 통신 채널의 연결을 담당하는 BS(121) 또는 RAS(Radio Access Station), 접속망의 MAC(Medium Access Control)을 담당하는 ASN-GW(Access Service Network Gate Way: 122) 또는 BSC/SGSN(Base Station Controller/Serving GPRS Supporting Node) 및 네트워크 계층의 연결을 담당하는 CSN(Connectivity Service Network: 123) 또는 PDSN/GGSN(Packet Data Service Node/ Gateway GPRS Support Node)을 포함한다. 통신 시스템(120)은 기타 위치 정보 서버(LIS: Location Information Server), 장치 능력 서버(Device Capability Server), 사용자 프로파일 서버(User Profile Server), 서비스품질 서버(QoS :Quality of Service Server) 및 과금 서버(billing Server) 등을 포함하여 구성될 수 있다.
응용 서비스 제공자(140)는 사용자 단말(110)에서 소정의 서비스를 제공하는 서버를 구비하는 사업자로서, 인터넷 망(130)에 접속된 사용자 단말(110)에게 인터넷 기반의 텔레비전프로그램을 제공하는 IPTV(Internet Protocol Television)서버, 실시간으로 음악(music)/비디오(Video) 콘텐츠를 제공하는 콘텐츠 서버, 사용자 단말(110)의 요구에 따른 검색 요청에 대한 결과를 제공하는 검색 서버, 광고를 제공하는 광고 서버 및 기타의 서비스들을 제공하기 위한 서비스 서버(139)를 구비할 수 있다.
EAP(Extensible Authentication Protocol)는 IETF(Internet Engineering Task Force)에서 RFC(Request for Comments 또는 Remote Function Call) 표준 문서에 정의된 것으로서, EAP는 사용자 단말의 인터넷 접속 시 인증을 수행하기 위한 프로토콜이다. EAP는 무선랜, 와이브로(와이맥스) 등에서 광범위하게 사용되고 있다. EAP 인증서버는 TLS, TTLS, AKA 등 다양한 방식의 EAP Method를 사용하여 사용자 단말을 인증하고, 인증에 성공하면 사용자 단말과 인증 서버 사이에 존재하는 네트워크접속서버(NAS: Network Access Server)를 통해 EAP-Success 메시지를 단말에 전달하고, 실패하면 EAP-Failure 메시지를 전달한다.
인증 실패 메시지를 전달받는 경우 사용자 단말은 네크워크접속서버(NAS)에 의해 인터넷 접속이 거부되는데, 이때 일반적으로 사용자 단말은 다시 몇 번에 걸쳐 자동으로 재접속을 시도하며, 최종적으로 재접속 시도가 실패하는 경우 사용자의 입력을 기다리는 대기 상태로 전환된다. 현재는 인증 실패 후 재접속 시도에 대한 표준 규격이 없기 때문에 사용자 단말 제조사들의 자체적인 알고리즘 또는 정책에 의해 사용자 단말의 재접속 시도 횟수 및 주기가 결정된다.
그러나, 인증 실패의 원인에 따라 재접속 시도 시에 원인이 해결되어 인증에 성공하는 경우도 있지만, 재접속 시도에도 불구하고 계속적인 인증 실패가 반복되는 경우도 발생할 수 있다. 만약 사용자 단말에 의해 자동적으로 반복되는 재접속 시도에 의해 인증 실패가 반복적으로 발생하게 되면 네트워크와 인증 서버에 많은 부하를 발생시키는 원인이 되는 문제점을 발생시키게 된다.
일반적으로 인증 실패 시 사용자 단말이 자동으로 재접속을 시도하는 이유는, 인증 서버가 네트워크 접속거절을 결정한 사유를 사용자 단말이 모르기 때문에 일단 재접속을 다시 시도해 보는 것이다. 따라서, 만약 인증실패 시 사용자 단말이 인증 서버로부터 네트워크 접속거절 사유와 함께 재접속 여부에 대한 지침을 받을 수 있다면, 보다 효과적인 사용자 단말의 접속제어를 통해 네트워크와 인증 서버에 주는 부하를 대폭 감소시킬 수 있다.
따라서, 본 출원에서는 네트워크 접속 거절에 대한 네트워크 접속 거절 사유를 사용자 단말에게 제공하는 것을 목적으로 한다. 또한, 네트워크 접속 거절 사유에 사용자 단말의 재접속 지침을 포함시킴으로서 불필요한 재접속 시도를 감소시켜 네트워크와 인증 서버에 주는 부하를 대폭 감소시키는 것을 목적으로 한다.
이와 함께, 본 출원에서는 네트워크 접속 거절 사유와 사용자 단말의 재접속 지침이 공격자에 의해 위조 또는 변조될 경우 심각한 보안 문제를 일으킬 수 있는 문제점을 해결하는 것을 목적으로 한다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
전술한 과제를 해결하기 위한 본 출원에 개시된 발명의 일 실시예에 따른 사용자 단말 인증 방법은 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 단계, 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 메시지를 사용자 단말로 전송하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
본 출원에 개시된 발명의 다른 실시예에 따른 사용자 단말을 인증하는 인증 서버는 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 수신부, 인증요청 정보에 따라 인증 과정을 처리하는 인증과정 처리부 및 인증 과정에 따른 메시지를 사용자 단말로 전송하는 전송부를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
본 출원에 개시된 발명의 또 다른 실시예에 따른 사용자 단말 인증 방법은 네트워크에 대한 접속을 위한 인증요청 정보를 인증 서버로 전송하는 단계 및 인증 서버로부터 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
본 출원에 개시된 발명의 또 다른 실시예에 따른 사용자 단말은 네트워크에 대한 접속을 위한 인증요청 정보를 인증 서버로 전송하는 전송부 및 인증 서버로부터 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 수신부를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
본 출원에 개시된 발명의 또 다른 실시예에 따른 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터로 읽을 수 있는 기록매체에 있어서, 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위해 수신된 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 메시지를 생성하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는 사용자 단말 인증 방법을 처리하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체이다.
본 출원에 개시된 발명의 또 다른 실시예에 따른 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터로 읽을 수 있는 기록매체에 있어서, 네트워크에 대한 접속을 위한 인증요청 정보를 생성하는 단계 및 인증 서버로부터 수신된, 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 해석하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는 사용자 단말 인증 방법을 처리하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체이다.
본 출원에 개시된 발명의 또 다른 실시예에 따른 사용자 인증 단말은 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 단계, 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 메시지를 사용자 단말로 전송하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함하고, 인증 과정은 EAP(Extensible Authentication Protocol)-TLS(Transport Level Security), EAP-TTLS(Tunneled TLS) 또는 EAP-AKA(Authentication and Key Agreement) 중 어느 하나의 인증 프로토콜에 따른 과정이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.
본 출원에 의하면, 사용자 단말이 네트워크 접속에 대한 인증 실패 시, 보다 효과적인 네트워크 접속을 제어함으로써, 네트워크와 인증 서버에 주는 부하를 감소시키는 효과가 있다.
한편, 이를 위해 사용자 단말에 제공되는 네트워크 접속 거절 사유와 사용자 단말의 재접속 지침이 공격자에 의해 위조 또는 변조되어 발생될 수 있는 심각한 보안 문제를 해결할 수 있는 무결성 보호의 효과가 있다.
도 1은 일반적인 네트워크 시스템을 설명하기 위한 도면이다.
도 2는 사용자 단말이 네트워크에 접속하는 과정을 설명하기 위한 도면이다.
도 3은 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우에 대해 설명하기 위한 도면이다.
도 4는 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우에서의 EAP 인증 프로세스에서 네트워크 접속 거절 절차를 설명하기 위한 도면이다.
도 5는 본 출원에 개시된 실시예인 인증 서버를 설명하기 위한 도면이다.
도 6은 본 출원에 개시된 실시예인 사용자 단말를 설명하기 위한 도면이다.
도 7은 EAP-TLS에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다.
도 8은 EAP-TTLS에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다.
도 9는 EAP-AKA에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다.
이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다.
또한, 본 발명의 원리, 관점 및 실시예들 뿐만 아니라 특정 실시예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.
따라서, 예를 들어, 본 명세서의 블럭도는 본 발명의 원리를 구체화하는 예시적인 회로의 개념적인 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.
프로세서 또는 이와 유사한 개념으로 표시된 기능 블럭을 포함하는 도면에 도시된 다양한 소자의 기능은 전용 하드웨어뿐만 아니라 적절한 소프트웨어와 관련하여 소프트웨어를 실행할 능력을 가진 하드웨어의 사용으로 제공될 수 있다. 프로세서에 의해 제공될 때, 상기 기능은 단일 전용 프로세서, 단일 공유 프로세서 또는 복수의 개별적 프로세서에 의해 제공될 수 있고, 이들 중 일부는 공유될 수 있다.
또한 프로세서, 제어 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비 휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다.
본 명세서의 청구범위에서, 상세한 설명에 기재된 기능을 수행하기 위한 수단으로 표현된 구성요소는 예를 들어 상기 기능을 수행하는 회로 소자의 조합 또는 펌웨어/마이크로 코드 등을 포함하는 모든 형식의 소프트웨어를 포함하는 기능을 수행하는 모든 방법을 포함하는 것으로 의도되었으며, 상기 기능을 수행하도록 상기 소프트웨어를 실행하기 위한 적절한 회로와 결합된다. 이러한 청구범위에 의해 정의되는 본 발명은 다양하게 열거된 수단에 의해 제공되는 기능들이 결합되고 청구항이 요구하는 방식과 결합되기 때문에 상기 기능을 제공할 수 있는 어떠한 수단도 본 명세서로부터 파악되는 것과 균등한 것으로 이해되어야 한다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.
먼저, 사용자 단말이 네트워크에 접속하는 과정에 대해 설명한다.
도 2는 사용자 단말이 네트워크에 접속하는 과정을 설명하기 위한 도면이다. 여기서의 네트워크는 WiMAX 네트워크를 예로 들어 설명한다. 도 2는 최초에 사용자 단말이 네트워크에 접속할 때에 사용자 단말과 네트워크의 EAP 인증 절차를 중심으로 도시된 것이다.
도 2에는 네트워크의 간략한 구성예로서, MS(Moblie Station: 201), BS(Base Station: 203), ASN-GW(Access Network Gateways: 205) 및 인증 서버(207)가 도시되었다. MS(201)은 사용자 단말을 포함하는 것으로서, 노트북 또는 개인용 컴퓨터, PDA, 핸드셋 또는 PMP 등을 포함하며, 네트워크에 접속이 가능한 단말은 모두 포함된다. BS(203)은 기지국을 포함한다. 인증 서버(207)는 네트워크의 접속에 대해 MS(201)을 인증하는 것으로서, AAA(Authentication Authorization Accounting) 서버를 포함할 수 있다. 여기서, AAA 서버는 자원 접근 처리와 서비스 제공에서의 인증(Authentication), 권한검증(Authorization), 과금(Accounting)을 제공하는 서버로서 일반적으로 네트워크 접근과 게이트웨이 서버와의 상호 작용을 통하여 사용자 정보가 있는 데이터베이스와 디렉터리에 상호 작용한다. 이러한 AAA를 구현하는 프로토콜로는 RADIUS(Remote Authentication Dial-In User Service)와 DIAMETER가 있다.
도 2를 참조하여 사용자 단말이 네트워크에 접속하는 각 과정을 설명한다.
(1) DL(Down-Link) 채널을 획득하고, MAC(Medium Access Control) 동기화를 수행하며, UL(Up-Link) 채널 파라미터를 획득한다.
(2) 최초 레인징(Ranging)과 물리층(PHY) 조정이 처리된다. 이를 위해 RNG-REQ(Ranging Request) 메지시와 RNG-RSP(Ranging Response) 메시지의 교환이 이루어진다.
(3) MS(201)는 SBC-REQ(PSS Basic Capability Request) 메지시를 BS(203)로 전송한다.
(4) BS(203)는 새로운 MS(201)이 네트워크에 진입함을 알리기 위해 MS_PreAttachment_Req 메시지를 ASN-GW(205)에 전송한다.
(5) ASN-GW(205)는 MS_PreAttachment_Req 메시지에 대한 응답으로 MS_PreAttachment_Rsp 메시지를 BS(203)에 전송한다.
(6) ASN-GW(205)과 BS(203)에서 MS_PreAttachment_Req 메시지와 MS_PreAttachment_Rsp 메시지의 교환이 완료되면, BS(203)는 SBC-RSP(PSS Basic Capability Response 메시지를 MS(201)에게 전송한다.
(7) 이와 함께, BS(203)는 MS_PreAttachment_Ack 메시지를 ASN-GW(205)에게 전송한다.
(8) ASN-GW(205)는 MS_PreAttachment가 완료된 후, EAP 인증 절차를 개시한다. ASN-GW(205)는 Authentication Relay protocol (AR_EAP_Transfer)로 EAP Request/ Identity 메시지를 BS(203)에게 전송한다.
(9) BS(203)는 EAP Request/ Identity payload 를 PKMv2(Privacy Key Management Version2)-RSP/EAP-Transfer 메시지를 통해 MS(201)로 릴레이한다.
(10) MS(201)는 EAP Request/ Identity 에 응답하여 NAI(network access identifier)를 PKMv2-REQ/EAP-Transfer 메시지를 이용하여 BS(203)에 전송한다.
(11) BS(203)는 Authentication Relay protocol (AR_EAP_Transfer)로 PKMv2-REQ/EAP-Transfer 메시지에 포함된 EAP payload를 ASN-GW(205)에 전송한다.
(12) ASN-GW(205)는 NAI를 분석하고, EAP payload를 인증 서버(207)로 전달한다. MS(201)와 인증 서버(207)는 EAP 인증 프로세스를 수행한다.
(13) ASN-GW(205)는 인증 결과를 수신한다.
(14) ASN-GW(205)는 인증 결과를 Authentication Relay protocol (AR_EAP_Transfer)을 이용하여 BS(203)에게 전달한다.
(15) BS(203)는 PKMv2 EAP-Transfer/ PKM-RSP 메시지를 이용하여 EAP payload를 MS(201)로 릴레이한다.
(16) ASN-GW(205)는 EAP 인증 프로세스가 완료되었음을 알리기 위해 Key_Change_Directive 메시지를 BS(203)로 전송한다.
(17) BS(203)는 Key_Change_Directive 메시지에 대해 Key_Change_Ack 메시지를 ASN-GW(205)에 전송한다.
(18-20) BS(203)와 MS(201)는 PKMv2 3-way 핸드쉐이크(handshake)를 수행한다. 이 과정에서 SA-TEK-Challenge/Request/Response 메시지의 교환이 이루어진다.
(21-22) MS(201)는 BS(203)와 MS(201) 사이에서의 PKMv2 Key-Request/ Reply 메시지의 교환에 의해 유효한 TEK keys를 획득한다.
(23) PKMv2 3-way 핸드쉐이크(handshake)가 완료되면, MS(201)는 REG REQ(registration request) 메시지를 BS(203)에 전송한다. 이 메시지에는 CS capabilities, Mobility parameters 및 Handover support 등에 대한 정보가 포함된다.
(24-25) BS(203)는 MS_Attachment_Req 메시지를 ASN-GW(205)에 전송하고, ASN-GW(205)는 MS_Attachment_Req 메시지에 대한 응답으로 MS_Attachment_Rsp 메시지를 BS(203)에게 전송한다.
(26) BS(203)는 REG RSP(registration response) 메시지를 MS(201)에 전송한다.
(27) BS(203)는 REG RSP(registration response) 메시지를 MS(201)에 전송한 후 MS_Attachment_Ack 메시지를 ASN-GW(205)에 전송한다.
(28-29) ASN-GW(205)는 ISF(Initial service flow)를 생성하고, BS(203), MS(201)와 데이터 경로를 구축하고, 접속을 구축한다.
이하에서는 도 2와 관련하여 인증이 실패한 경우에 대해 설명한다.
도 3은 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우에 대해 설명하기 위한 도면이다. 도 3에서도 도 2에서와 마찬가지로 네트워크의 간략한 구성예로서, MS(Moblie Station: 301), BS(Base Station: 303), ASN-GW(Access Network Gateways: 305) 및 인증 서버(307)가 도시되었다.
사용자 단말은 무선 신호를 검색하고, 채널을 획득하며, 네트워크 접속 서버에 접속한다. 이는 도 2에서 설명한 (1) 단계 내지 (11) 단계에 대응하는 것으로서, 도 3에서도 동일하게 적용된다.
(12) ASN-GW(305)는 NAI를 분석하고, EAP payload를 인증 서버(307)로 전달한다. MS(301)와 인증 서버(307)는 EAP 인증 프로세스를 수행한다. MS(301)의 네트워크에 대한 접속이 거절되는 경우, 인증 서버(307)는 MS(301)에게 네트워크 거절이유 정보를 전송한다. 여기서, ASN-GW(305)는 BS(303)로부터 수신된 EAP 메시지, payload 등의 메시지를 중계하는 역할을 수행할 수 있다.
(13) MS(301), BS(303), ASN-GW(305)는 접속 분리 절차를 실행한다.
이하에서는 도 3에 도시된 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우에서의 EAP 인증 프로세스를 더욱 상세히 설명한다.
도 4는 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우에서의 EAP 인증 프로세스에서 네트워크 접속 거절 절차를 설명하기 위한 도면이다. 도 4는 도 3에 도시된 사용자 단말이 네트워크에 접속에 대해 인증이 실패하는 경우를 상세히 설명하기 위한 것으로서, MS(401)와 인증 서버(403)을 중심으로 설명한다.
*본 출원에서 개시된 네트워크 접속 거절 절차는 EAP 인증 프로세스에서 수행되는 것이 바람직하나 네트워크에 대한 사용자 단말(401)의 인증을 수행하는 일반적인 인증 프로세스에 적용될 수 있다. 여기서, 사용자 단말(401)은 MS를 포함하는 개념임은 전술한 바와 같다.
또한, 본 출원에서 개시된 네트워크 접속 거절 절차는 사용자 단말(401)이 네트워크에 접속이 거절될 때에 사용자 단말(401)에게 네트워크에 접속이 거절되는 이유인 네트워크 거절이유를 사용자 단말(401)에게 제공함으로써, 사용자 단말(401)이 네트워크 거절이유에 대응하는 적절한 조치를 취할 수 있도록 한다.
도 4를 참조하면, 사용자 단말(401)는 네트워크에 대한 접속을 인증하기 위한 인증요청 정보를 인증 서버(403)에게 전송한다. 인증 서버(403)는 사용자 단말(401)로부터 수신된 인증요청 정보에 따라 인증 과정을 처리한다(411). 인증 과정은 EAP에 의한 인증 과정을 포함할 수 있으며, EAP에 의한 인증 과정인 경우에도, EAP-TLS, EAP-TTLS, EAP-AKA 등 특정 EAP 인증 방법을 선택하여 인증 과정을 수행할 수 있다. EAP-TLS, EAP-TTLS, EAP-AKA의 인증 방법에 대한 상세 설명은 후술하기로 한다.
인증 과정에서 사용자 단말(401)에 대한 인증 실패 이유를 발견한 경우, EAP에 의한 인증 과정 절차의 종료를 진행한다. 여기서, 인증 실패는 사용자 단말의 네트워크에 대한 접속의 거절에 의한 실패를 포함한다. 네트워크 접속을 거절하여야 하는 사유가 발견된 경우, 인증 서버(403)는 인증 절차를 마치기 전에, 인증 실패의 이유 정보와 사용자 단말(401)이 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는 메시지를 생성하고(412), 생성된 메시지를 사용자 단말(401)로 전송한다(413).
구체적으로는, 네트워크 접속을 거절하여야 하는 사유가 발견된 경우, 인증 서버(403)는 인증 절차를 마치기 전에, 인증 과정에 따른 메시지를 생성한다. 특히, 인증 과정의 결과, 사용자 단말(401)에 대한 인증이 실패한 경우, 메시지에는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다. 제어 정보는 네트워크 접속 거절 절차에 따라 사용자 단말(401)이 네트워크와의 접속을 분리된 후, 사용자 단말(401)이 네트워크 거절이유 정보에 따라 대응할 수 있도록 하는 정보이다. 예를 들어, 제어 정보에는 네트워크 접속이 해제된 후, 사용자 단말(401)의 재접속 시도 또는 접속 대기 등과 같은 대응을 수행할 수 있는 정보가 포함될 수 있다.
여기서, 메시지는 EAP에 의한 인증의 경우, EAP에 따른 메시지일 수 있다. 구체적으로 EAP에 의한 인증의 경우, 인증 실패의 이유 정보와 사용자 단말(401)이 인증 실패의 이유에 따라 대응할 제어 정보는 EAP-Notification Request 메시지를 이용하여 사용자 단말(401)에 전송될 수 있다. 종래의 EAP 규격에서 EAP-Notification Request 메시지는 인증 서버가 사용자 단말에 UTF-8 형태의 문자열을 보내고 단말은 화면에 그 문자열을 출력하는데 이용되지만, 본 출원에서는 이를 확장하여 문자열 뒤에 접속거절정보를 TLV(Type-Length-Value) 형태로 추가하여, 사용자 단말(401)이 이를 해석하여 그에 따라 동작할 수 있도록 한 것이다. EAP-Notification Request 메시지에 대한 자세한 설명은 후술한다.
한편, 네트워크 거절이유 정보는 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함할 수 있다. 거절이유 인증정보로는 RMAC(Rejection Message Authentication Code)를 예로 들 수 있다.
거절이유 인증정보는 MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성될 수 있다. MSK 또는 EMSK는 네트워크 거절이유 정보를 보호하기 위해 사용되는 거절이유 인증 정보를 생성하기 위한 것이므로, 인증 서버(403)가 인증 과정에 따른 메시지를 사용자 단말(401)에게 전송하기 전에 인증 서버(403)에서 생성되어야 한다. 따라서, 인증 과정에 따른 메시지는 MSK 또는 EMSK가 생성된 후에는 어느 때라도 생성이 가능하다.
여기서, 무결성 보호는 거절이유 인증 정보와 사용자 단말(401)의 MSK 또는 EMSK를 이용하여 생성한 사용자 단말(401)의 거절이유 인증정보의 비교에 의해 수행될 수 있다.
사용자 단말(401)은 인증 서버(403)로부터 전송된 메시지를 해석한다(414). 사용자 단말(401)에서도 무결성 보호를 위해 사용자 단말(401)의 MSK 또는 EMSK를 이용하여 사용자 단말(401)의 거절이유 인증 정보를 생성한다. 사용자 단말(401)은 인증 서버(401)에서 생성된 거절이유 인증 정보와 사용자 단말(403)에서 생성된 거절이유 인정 정보를 비교함으로써, 위조 또는 변조에 의한 공격으로부터 네트워크 거절이유 정보를 보호한다. 예를 들어, RMAC의 경우, 사용자 단말(401)과 인증 서버(403)에서는 동일한 값의 MSK 또는 EMSK가 생성되고, RMAC를 계산하는 알고리즘이 동일하기 때문에, 위조 또는 변조된 것이 아니라면, 사용자 단말(401)과 인증 서버(403)에 의해 계산된 RMAC 값은 동일하게 된다. 네트워크 거절이유 정보에 RMAC 값이 포함되어 있지 않거나 또는 사용자 단말(401)과 인증 서버(403)에 의해 계산된 RMAC 값이 동일하지 않는 등의 이유로 무결성 체크에 실패한 경우 사용자 단말(401)은 수신된 네트워크 거절이유 정보를 무시한다.
사용자 단말(401)은 메시지에 포함된 인증 실패의 이유 정보와 제어 정보를 이용하여 접속 해제 이후의 동작(예를 들어 재접속 여부)을 결정한다(415).
이하에서는, EAP-Notification Request 메시지에 대해 자세히 설명한다.
EAP-Notification Request 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
한편, EAP-Notification Request 메시지는 구분자 정보를 더 포함될 수 있고, 화면 출력용 문자열도 더 포함될 수 있다. 구분자 정보는 통상의 EAP-Notification Request 메시지와 네트워크 거절이유 정보를 포함하는 EAP-Notification Request 메시지를 식별할 수 있도록 해준다. EAP-Notification을 접속거절정보의 전달 목적으로 사용하는 경우, EAP-Notification Request 메시지에는 구분자와 접속거절정보가 포함되고, 화면 출력용 문자열은 필요 시 구분자인 NULL 문자 앞에 추가될 수 있다. 종래의 EAP 규격에서 정의하고 있는 EAP-Notification 메시지에는 NULL 문자가 포함되지 않기 때문에, 사용자 단말(401) 입장에서는 수신한 EAP-Notification 메시지에 NULL 문자가 포함되는 경우 이를 네트워크 거절이유 정보라고 판단하게 된다. 사용자 단말(401)은 수신한 EAP-Notification 메시지에 NULL 문자가 포함되지 않는 경우에는 화면 출력용 문자열만 포함된 종래의 표준 EAP-Notification 메시지로 판단한다.
아래의 [표1]은 EAP-Notification 메시지의 Type-Data 필드의 형식을 나타낸다.
Element Name Length in octets Description
화면출력용문자열
(Human Readable String)		 Variable If required, UTF-8 encoded human readable message MAY be included prior to the NULL character. Then, the MS SHOULD display this message to the user if the integrity check succeeds.
구분자(Delimiter) 1 The NULL character (0x00)
네트워크 거절이유 정
보(Network Rejection
Information String)
Variable		 ASCII string that is BASE64-encoded from the
Network Rejection Information TLV. The MS SHOULD NOT
display this string to the user as it is,
without proper translation.
이하에서는 네트워크 거절이유 정보에 대해 설명한다.
네트워크 거절이유 정보는 TLV(Type-Length-Value)로 코드(code)될 수 있고, TLV로 코드된 네트워크 거절이유 정보는 인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 사용자 단말의 디스플레이 장치에 출력되지 않는 정보일 수 있다. TLV로 코드된 네트워크 거절이유 정보는 EAP-Notification Request 메시지의 Type-Data 필드에 포함되어 사용자 단말(401)로 전달된다.
네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말(401)이 인증 실패의 이유에 따라 대응할 제어 정보를 포함할 수 있다. 여기서, 인증 실패의 이유 정보는 제어 정보로 분류될 수 있다. 이렇게 분류된 정보는 소정의 코드(code)로 표현될 수 있다.
아래의 [표2]는 네트워크 거절이유 정보를 설명하기 위한 예시이다.
Type 3 for Network Rejection Information
Length in octets Variable
Description The Network Rejection Information is coded as follows:
Elements ( Sub - TLVs )
TLV Name Description M/O
Rejection Code M
Received NAI M
Emergency Services Override O
Allowed Location Information O
RMAC (Rejection Message Authentication Code) Value M
여기서, "Rejection Code"는 인증 실패의 이유 정보와 제어 정보가 분류된 거절 코드를 의미한다. 네트워크 거절이유 정보는 거절 코드를 포함할 수 있고, 거절 코드는 사용자 단말(401)의 제어에 필요한 제어 정보인 거절 클래스(rejection calss)로 분류될 수 있다. 아래의 [표3]은 거절 클래스에 대한 예시이다.
Rejection Class Rejection Duration/Criteria Applicability of Visited/Home AAA Scope of Rejection
A Until Manual Retry Home AAA All NAPs
B Until Manual Retry Visited/Home AAA V-NSP
C Until Power Cycle Home AAA All NAPs
D Until Power Cycle Visited/Home AAA V-NSP
E Until Timer Expiry Home AAA All NAPs
F Until Timer Expiry Visited/Home AAA V-NSP
G Until Location Criteria met Home AAA All NAPs
H Until Location Criteria met Visited/Home AAA V-NSP
여기서, 거절 클래스는 A부터 H로 분류된다. "Rejection Duration/Criteria"는 네트워크 거절이유 정보에 따른 사용자 단말(401)의 동작을 분류한 것이다. 예를 들어, "Until Manual Retry"의 경우, 사용자 단말(401)의 사용자가 수동으로 재접속을 요청하지 않는 한 네트워크에 접속하지 않도록 사용자 단말(401)을 제어하는 것을 의미한다. 또한, “Until Power Cycle”의 경우, 사용자 단말(401)의 사용자가 수동으로 사용자 단말(401)의 전원을 재인가할 때까지 네트워크에 접속하지 않도록 사용자 단말(401)을 제어하는 것을 의미한다. 또한, “Until Timer Expiry”의 경우, 소정의 설정된 시간만큼이 경과 되지 않는 한, 네트워크에 접속하지 않도록 사용자 단말(401)을 제어하는 것을 의미한다. 또한, “Until Location Criteria met”는 사용자 단말이 허용된 위치의 기지국으로 이동할 때까지 네트워크에 접속하지 않도록 사용자 단말(401)을 제어하는 것을 의미한다.
이하에서는 거절 코드와 거절 클래스의 관계에 대해 설명한다.
거절 코드는 거절 클래스에 의해 분류된다. 이에 대한 예시는 아래의 [표4]와 같다. 여기서는, [표3]에서의 거절 클래스 중 A 내지 C까지의 거절 클래스만을 기재한다.
Type 4 for Rejection Code
Length in octets 2
The Rejection Code value is defined as follows:

Rejection Class  A -Rejection Codes in the range 0x0000 -0x00FF
0x0000 = Rejection Class A -General Error
0x0001 = Invalid Subscription Information
0x0002 = Major Network Problem
0x0003 = Unpaid Bills
0x0004 = Illegal Mobile Equipment
0x0005 = Device Type not supported by NSP
0x0006 = Misbehaving MS Equipment
All other Rejection codes in Rejection Class A are undefined.

Rejection Class  B -Rejection Codes in the range 0x0100 -0x01FF
0x0100 = Rejection Class B -General Error
0x0101 = No Roaming Agreement existing with the Home or the Visited Network
0x0102 = Illegal Mobile Equipment
0x0103 = Device Type not supported by NSP
0x0104 = Invalid Subscription/Configuration
0x0105 = Misbehaving MS Equipment
All other Rejection codes in Rejection Class B are undefined.

Rejection Class  C -Rejection Codes in the range 0x0200 -0x02FF
0x0200 = Rejection Class C -General Error
0x0201 = Invalid Subscription Information
0x0202 = Major Network Problem
0x0203 = Unpaid Bills
0x0204 = Illegal Mobile Equipment
0x0205 = Device Type not supported by NSP
0x0206 = Misbehaving MS Equipment
All other Rejection codes in Rejection Class C are undefined.
이하에서는 RMAC에 대해 상세히 설명한다. 아래의 [표5]는 RMAC에 대한 예시이다. 32 바이트 RMAC-Value는 EAP 인증 과정 중 사용자 단말(401)과 인증 서버(403) 양측에 동일한 값으로 생성되는 EMSK 값을 이용하여 [표5]와 같은 공식으로 계산한다. RMAC-Value 계산 시 Rejection Information TLV에 포함된 RMAC TLV의 Value 필드는 (초기에) 0으로 채워서 계산하며, 계산 후에 RMAC TLV의 Value 필드를 계산된 RMAC-Value 값으로 치환한다. 여기서, RMAC 값의 계산 시 EAP 표준 인증 과정 중에 사용자 단말(401)과 인증 서버(403) 양측에서 생성되는 512비트 길이의 EMSK(Extended Master Session Key) 값을 이용하게 함으로써, RMAC 값 계산을 위해 사용자 단말(401)과 인증 서버(403) 양측에서 별도의 보안키 값을 사전 공유할 필요가 없다.
Type 8 for RMAC (Rejection Message Authentication Code) Value
Length in octets 32
Value 32 octet RMAC Value SHALL be generated from the EMSK using the following formula:
RMAC-Value = HMAC-SHA256(RMAC Key, Network Rejection Information TLV)
where:
RMAC-1 = HMAC-SHA256(EMSK , usage-data | 0x01)
RMAC-2 = HMAC-SHA256(EMSK, RMAC-1 | usage data | 0x02)
RMAC-Key = RMAC-1 | RMAC-2
where:
usage-data = key label + "\0" + length
key label = rmac-key@wimaxforum.org in ASCII
length = 0x0200 the length in bits of the RMAC-Key expressed as a 2 byte unsigned integer in network order.

RMAC-Value is a 32 octet HMAC-SHA256 digest value, where the RMAC-Key is used for the key and the whole Network Rejection Information TLV is used for the data, except that the value field of the RMAC Value TLV included in the Rejection Information is set to zero when calculating the RMAC-Value. After calculation, the value field of the RMAC Value TLV included in the Network Rejection Information TLV is replaced with the calculated RMAC-Value.
이하에서는, 본 출원에서 개시하는 발명에 대한 실시예를 도면을 참조하여 상세히 설명한다.
<사용자 단말 인증 방법 1>
도 4를 참조하여 사용자 단말 인증 방법을 설명한다. 여기서, 사용자 단말 인증 방법은 인증 서버(403)에서의 인증 방법을 의미한다.
본 출원에 개시된 실시예인 사용자 단말 인증 방법은 사용자 단말(401)로부터 사용자 단말(401)의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 단계, 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 메시지를 사용자 단말(401)로 전송하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말(401)에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말(401)이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
여기서, 인증 과정은 EAP(Extensible Authentication Protocol)에 의한 인증 과정일 수 있고, 여기서 메시지는 EAP메시지일 수 있다. EAP메시지는 구분자 정보를 더 포함할 수 있다.
네트워크 거절이유 정보는 TLV(Type-Length-Value)로 코드될 수 있으며, TLV로 코드된 네트워크 거절이유 정보는 인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 사용자 단말(401)의 디스플레이 장치에 출력되지 않는 정보일 수 있다. 한편, TLV로 코드된 네트워크 거절이유 정보는 EAP메시지의 Type-Data 필드에 포함될 정보일 수 있다. 인증 실패의 이유 정보는 제어 정보로 분류될 수 있다.
네트워크 거절이유 정보는 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함할 수 있다. 여기서, 거절이유 인증정보는 MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성될 수 있으며, 무결성 보호는 인증 서버(403)에서 생성된 거절이유 인증정보와 사용자 단말(401)의 MSK 또는 EMSK를 이용하여 생성한 사용자 단말(401)의 거절이유 인증정보의 비교에 의해 수행될 수 있다.
<사용자 단말 인증 방법 2>
도 4를 참조하여 사용자 단말 인증 방법을 설명한다. 여기서, 사용자 단말 인증 방법은 사용자 단말(401)에서의 인증 방법을 의미한다.
본 출원에 개시된 실시예인 사용자 단말 인증 방법은 네트워크에 대한 접속을 위한 인증요청 정보를 인증 서버(403)로 전송하는 단계 및 인증 서버(403)로부터 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말(401)에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말(401)이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
이러한 사용자 단말 인증 방법에는 제어 정보에 따른 제어를 수행하는 단계를 더 포함할 수 있다.
인증 과정은 EAP(Extensible Authentication Protocol)에 의한 인증 과정일 수 있으며, 여기서 메시지는 EAP메시지일 수 있다. EAP메시지는 구분자 정보를 더 포함할 수 있다. 네트워크 거절이유 정보는 TLV(Type-Length-Value)로 코드될 수 있으며, TLV로 코드된 네트워크 거절이유 정보는 인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 사용자 단말(401)의 디스플레이 장치에 출력되지 않는 정보일 수 있다. 한편, TLV로 코드된 네트워크 거절이유 정보는 EAP메시지의 Type-Data 필드에 포함될 수 있으며, 인증 실패의 이유 정보는 제어 정보로 분류될 수 있다.
네트워크 거절이유 정보는 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함할 수 있으며, 거절이유 인증정보는 MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성될 수 있다. 무결성 보호는 사용자 단말(401)에서 생성된 거절이유 인증정보와 인증 서버(403)의 MSK 또는 EMSK를 이용하여 생성한 인증 서버(403)의 거절이유 인증정보의 비교에 의해 수행될 수 있다.
<인증 서버>
본 출원에서 개시된 실시예인 인증 서버에서의 사용자 단말의 인증 방법이 구현된 인증 서버에 대해 설명한다.
도 5는 본 출원에 개시된 실시예인 인증 서버를 설명하기 위한 도면이다. 도 5를 참조하면, 인증 서버(501)는 수신부(503), 전송부(505) 및 인증과정 처리부(507)를 포함한다.이하 상세히 설명한다.
본 출원에 개시된 인증 서버(501)는 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 수신부(503), 인증요청 정보에 따라 인증 과정을 처리하는 인증과정 처리부(507) 및 인증 과정에 따른 메시지를 사용자 단말로 전송하는 전송부(503)를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
여기서, 인증 과정은 EAP(Extensible Authentication Protocol)에 의한 인증 과정일 수 있고, 여기서, 메시지는 EAP메시지일 수 있다. EAP메시지는 구분자 정보를 더 포함할 수 있으며, 네트워크 거절이유 정보는 TLV(Type-Length-Value)로 코드될 수 있다. TLV로 코드된 네트워크 거절이유 정보는 인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 사용자 단말의 디스플레이 장치에 출력되지 않는 정보일 수 있다. 한편, TLV로 코드된 네트워크 거절이유 정보는 EAP메시지의 Type-Data 필드에 포함될 수 있다. 인증 실패의 이유 정보는 제어 정보로 분류될 수 있다.
네트워크 거절이유 정보는 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함할 수 있고, 이 경우, 사용자 단말을 인증하는 인증 서버(501)는 거절이유 인증정보를 생성하는 인증정보 생성부(509)를 더 포함할 수 있다. 거절이유 인증정보는 MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성될 수 있으며, 여기서 무결성 보호는 인증 서버(501)에서 생성된 거절이유 인증정보와 사용자 단말의 MSK 또는 EMSK를 이용하여 생성한 사용자 단말의 거절이유 인증정보의 비교에 의해 수행될 수 있다.
<사용자 단말>
본 출원에서 개시된 실시예인 사용자 단말에서의 사용자 단말의 인증 방법이 구현된 사용자 단말에 대해 설명한다.
도 6은 본 출원에 개시된 실시예인 사용자 단말를 설명하기 위한 도면이다. 도 6을 참조하면, 사용자 단말(601)은 수신부(603) 및 전송부(605)를 포함한다.이하 상세히 설명한다.
본 출원에 개시된 사용자 단말(601)은 네트워크에 대한 접속을 위한 인증요청 정보를 인증 서버로 전송하는 전송부(603) 및 인증 서버로부터 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 수신부(605)를 포함하고, 인증 과정의 결과, 사용자 단말(601)에 대해 인증 실패한 경우, 메시지는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말(601)이 인증 실패의 이유에 따라 대응할 제어 정보를 포함한다.
여기서, 사용자 단말(601)은 제어 정보에 따른 제어를 수행하는 제어부(607)를 더 포함할 수 있다.
인증 과정은 EAP(Extensible Authentication Protocol)에 의한 인증 과정일 수 있고, 여기서 메시지는 EAP메시지일 수 있다. EAP메시지는 구분자 정보를 더 포함할 수 있으며, 네트워크 거절이유 정보는 TLV(Type-Length-Value)로 코드될 수 있다. TLV로 코드된 네트워크 거절이유 정보는 인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 사용자 단말(601)의 디스플레이 장치에 출력되지 않는 정보일 수 있으며, TLV로 코드된 네트워크 거절이유 정보는 EAP메시지의 Type-Data 필드에 포함될 수 있다. 인증 실패의 이유 정보는 제어 정보로 분류될 수 있다.
네트워크 거절이유 정보는 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함할 수 있으며, 이 경우, 사용자 단말(601)은 거절이유 인증정보를 생성하는 인증정보 생성부(609)를 더 포함할 수 있다. 거절이유 인증정보는 MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성될 수 있으며, 여기서 무결성 보호는 사용자 단말(601)에서 생성된 거절이유 인증정보와 인증 서버의 MSK 또는 EMSK를 이용하여 생성한 인증 서버의 거절이유 인증정보의 비교에 의해 수행될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다. 구체적인 예로서, 본 출원에 개시된 발명의 실시예로서, 컴퓨터로 읽을 수 있는 기록매체에 있어서, 사용자 단말로부터 사용자 단말의 네트워크에 대한 접속을 위해 수신된 인증요청 정보에 따라 인증 과정을 처리하는 단계 및 인증 과정에 따른 결과 정보를 포함하는 메시지를 생성하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 결과 정보는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는 사용자 단말 인증 방법을 처리하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 또는 컴퓨터로 읽을 수 있는 기록매체에 있어서, 네트워크에 대한 접속을 위한 인증요청 정보를 생성하는 단계 및 인증 서버로부터 수신된, 인증요청 정보에 따라 처리된 인증 과정의 결과 정보를 포함하는 메시지를 해석하는 단계를 포함하고, 인증 과정의 결과, 사용자 단말에 대해 인증 실패한 경우, 결과 정보는 네트워크 거절이유 정보를 포함하고, 네트워크 거절이유 정보는 인증 실패의 이유 정보 및 사용자 단말이 상기 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는 사용자 단말 인증 방법을 처리하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체로의 구현도 가능하다.
이하에서는 본 출원에서 개시된 발명의 구체적인 적용예에 대해 설명한다. 구체적으로는 EAP-TLS, EAP-TTLS 및 EAP-AKA에서의 네트워크 접속 거절 절차에 대해 설명한다. 이하 상세히 설명한다.
< EAP - TLS 에서의 네트워크 접속 거절 절차>
EAP(Extensible Authentication Protocol)-TLS(Transport Level Security) 인증 프로토콜 (Authentication Protocol)은 X.509 인증서 기반의 인증 프로토콜로서, 사용자 단말의 인증서를 이용하여 인증 서버가 사용자 단말을 인증하고 인증 서버의 인증서를 이용하여 사용자 단말이 인증 서버를 인증하는 과정으로 구성되는 인증 방식을 지칭한다. 인터넷 서비스를 이용하고자 하는 사용자는 서비스 이용에 앞서 사용자 인증을 받아야 한다. 여기서는 사용자 단말과 인증 서버 사이의 상호 인증을 고려한다.
MSK(Master Session Key) 또는 EMSK(Extended MSK)는 [수학식1]과 같이 유도되다.
Figure pat00001
도 7은 EAP-TLS에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다. 도 7을 참조하면, 먼저 사용자 단말, BS, ASN-GW에서 채널을 획득하고, 네트워크 접속 서버에 접속하는 절차가 진행된다(710). 사용자 단말과 인증 서버 사이의 과정을 중심으로 설명한다.
사용자 단말은 인증 서버로부터 사용자 단말의 identity를 요구하는 EAP-Request/Identity 메시지를 수신하고, 이에 대한 응답인 EAP-Response/Identity 메시지의 Identity 값으로 사용자 단말의 NAI(Network Access Identifier) 값을 설정하여 인증 서버로 전송한다(711).
인증 서버는 EAP-Response/Identity 메시지를 수신하면, EAP-Request/TLS-Start 메시지를 생성하여 사용자 단말로 전송한다(712).
사용자 단말은 EAP-Request/TLS-Start 메시지를 수신하면, EAP-Response/TLS(client_hello) 메시지를 생성하여 인증 서버로 전송한다(713).
인증 서버는 EAP-Response/TLS(client_hello) 메시지를 수신하면, EAP-Request/TLS(server_hello, certificate, [server_key_exchange], [certificate_request], server_hello_done) 메시지를 생성하여 사용자 단말로 전송한다(714).
사용자 단말은 EAP-Request/TLS(server_hello, certificate, [server_key_exchange], [certificate_request], server_hello_done) 메시지를 수신하면, EAP-Response/EAP-TLS.client_hello 메시지를 수신하면, EAP-Response/TLS(certificate, client_key_exchange], [certificate_verify], change_chiper_spec, finish) 메시지를 인증 서버로 전송한다(715).
인증 서버는 EAP-Response/TLS(certificate, client_key_exchange], [certificate_verify], change_chiper_spec, finish) 메시지를 수신하면, EAP-Request/TLS(change_chiper_spec, finish) 메시지를 사용자 단말로 전송하고(716), 사용자 단말은 TLS finished를 검증하여 인증 서버를 인증한 후 이에 대해 인증 서버에 응답한다(717).
한편, 인증 서버는 Diameter(RADIUS)/EAP-Transfer 메시지의 AVP에 AAA-Key (MSK)를 포함시켜 ACR(Access Control Router)에게 전달하고 ACR은 수신한 AAA-Key (MSK)를 안전하게 저장할 수 있다.
인증 서버에서 사용자 단말의 접속 또는 인증이 거절되는 경우, 인증 서버는 사용자 단말에게 EAP-Request/Notification (Displayable message/ Rejection Information) 메시지를 전송한다(718). 이는 전술한 도 4의 설명에 해당하는 부분이다. 사용자 단말은 EAP-Request/Notification에 대한 응답으로 EAP-Response/Notification 메시지를 인증 서버로 전송한다(719).
인증 서버는 인증 결과, 즉 인증 실패를 의미하는 메시지를 사용자 단말에게 전송하고(720), 사용자 단말, BS, ASN-GW에서 접속을 해제한다(721).
< EAP - TTLS 에서의 네트워크 접속 거절 절차>
EAP-TTLS(Tunneled TLS) 인증 프로토콜 (Authentication Protocol)은 EAP-TLS 인증 프로토콜을 확장한 방식으로, 인증 서버의 인증서를 이용하여 사용자 단말이 인증 서버를 인증하면서 TLS (Transport Level Security) 터널을 설정하는 phase 1 과정과 안전한 TLS 터널 상에서 인증 서버가 사용자 단말 또는 사용자를 인증하는 phase 2 과정으로 구성되는 인증 방식을 지칭한다.
MSK(Master Session Key)와 EMSK(Extended MSK)는 [수학식2]와 같이 유도될 수 있다.
Figure pat00002
도 8은 EAP-TTLS에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다. 도 8을 참조하면, 먼저 사용자 단말, BS, ASN-GW에서 채널을 획득하고, 네트워크 접속 서버에 접속하는 절차가 진행된다(811). 사용자 단말과 인증 서버 사이의 과정을 중심으로 설명한다.
사용자 단말은 인증 서버로부터 사용자 단말의 identity를 요구하는 EAP-Request/Identity 메시지를 수신하고, 이에 대한 응답인 EAP-Response/Identity 메시지의 Identity 값으로 사용자 단말의 NAI(Network Access Identifier) 값을 설정하여 인증 서버로 전송한다(812).
인증 서버는 EAP-Response/Identity 메시지를 수신하면, EAP-Request/TTLS-Start 메시지를 생성하여 사용자 단말로 전송한다(813).
사용자 단말과 인증 서버는 TLS Handshake 절차를 수행한다(814).
이상의 절차는 인증 서버의 인증서를 이용하여 사용자 단말이 인증 서버를 인증하면서 TLS (Transport Level Security) 터널을 설정하는 phase 1 과정이다.
이하 TLS 터널 상에서 인증 서버가 사용자 단말 또는 사용자를 인증하는 phase 2 과정에 대해 설명한다.
사용자 단말은 user-name, MS-CHAPChallenge, MS-CHAP2-Response로 구성된 EAP-Response/EAP-TTLS.MSCHAP-V2 메시지를 생성하여 인증 서버에 전송한다(815). 이 때 MS-CHAP-V2-Response는 사용자 단말이 사용자로부터 미리 입력 받았거나 저장하고 있는 사용자의 아이디와 패스워드 값을 단방향 해쉬 함수인 SHA-1을 사용자 패스워드@realm에 적용한 결과값을 MSCHAPv2 알고리즘에 적용하여 도출한다. 여기에서 패스워드 값은 사용자 패스워드 평문 값 그대로 또는 패스워드@realm에 SHA-1을 적용한 해쉬 값을 의미한다.
인증 서버는 MSCHAPv2 알고리즘을 이용하여 사용자 인증을 수행하며, 인증 성공 시 MS-CHAP2-Success가 설정된 EAP-Request/EAP-TTLS(MS-CHAP-V2-Success) 메시지를 생성하여 사용자 단말로 전송하고(816), 사용자 단말은 이에 대해 인증 서버에 응답한다(817).
인증 서버에서 사용자 단말의 접속 또는 인증이 거절되는 경우, 인증 서버는 사용자 단말에게 EAP-Request/Notification (Displayable message/ Rejection Information) 메시지를 전송한다(818). 이는 전술한 도 4의 설명에 해당하는 부분이다. 사용자 단말은 EAP-Request/Notification에 대한 응답으로 EAP-Response/Notification 메시지를 인증 서버로 전송한다(819).
인증 서버는 인증 결과, 즉 인증 실패를 의미하는 메시지를 사용자 단말에게 전송하고(820), 사용자 단말, BS, ASN-GW에서 접속을 해제한다(821).
< EAP - AKA 에서의 네트워크 접속 거절 절차>
EAP-AKA(Authentication and Key Agreement) 인증 프로토콜 (Authentication Protocol)은 UMTS에서 사용하는 AKA 절차를 이용하여 인증 및 세션 키를 분배하는 EAP 인증방식이다.
도 9는 EAP-AKA에서의 네트워크 접속 거절 절차를 설명하기 위한 도면이다. 도 9를 참조하면, 먼저 사용자 단말, BS, ASN-GW에서 채널을 획득하고, 네트워크 접속 서버에 접속하는 절차가 진행된다(910). 사용자 단말과 인증 서버 사이의 과정을 중심으로 설명한다.
사용자 단말은 인증 서버로부터 사용자 단말의 identity를 요구하는 EAP-Request/Identity 메시지를 수신하고, 이에 대한 응답인 EAP-Response/Identity 메시지의 Identity 값으로 사용자 단말의 NAI(Network Access Identifier) 값을 설정하여 인증 서버로 전송한다(911).
인증 서버는 EAP-Request/AKA-Challenge 메지시를 사용자 단말로 전송하고(912), 사용자 단말은 EAP-Response/AKA-Challenge 메시지를 인증 서버로 전송한다(913).
인증 서버에서 사용자 단말의 접속 또는 인증이 거절되는 경우, 인증 서버는 사용자 단말에게 EAP-Request/Notification (Displayable message/ Rejection Information) 메시지를 전송한다(914). 이는 전술한 도 4의 설명에 해당하는 부분이다. 사용자 단말은 EAP-Request/Notification에 대한 응답으로 EAP-Response/Notification 메시지를 인증 서버로 전송한다(915).
인증 서버는 EAP-Request/ AKA-Nitification 메시지를 사용자 단말로 전송하고(916), 사용자 단말은 이에 대해 EAP-Response/ AKA-Nitification 메시지를 인증 서버로 전송한다(917).
인증 서버는 인증 결과, 즉 인증 실패를 의미하는 메시지를 사용자 단말에게 전송하고(918), 사용자 단말, BS, ASN-GW에서 접속을 해제한다(919).
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.

Claims (12)

  1. 사용자 단말이 인증 서버로부터 인증을 받는 방법에 있어서,
    네트워크에 대한 접속을 위한 인증요청 정보를 상기 인증 서버로 전송하는 단계; 및
    상기 인증 서버로부터 상기 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 단계를 포함하고,
    상기 인증 과정의 결과, 상기 사용자 단말에 대해 인증 실패한 경우,
    상기 메시지는 네트워크 거절이유 정보를 포함하고,
    상기 네트워크 거절이유 정보는 상기 인증 실패의 이유 정보 및 상기 사용자 단말이 상기 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는, 사용자 단말 인증 방법.
  2. 제1항에 있어서,
    상기 제어 정보에 따른 제어를 수행하는 단계를 더 포함하는, 사용자 단말 인증 방법.
  3. 제1항에 있어서,
    상기 인증 과정은 EAP(Extensible Authentication Protocol)에 의한 인증 과정이고,
    상기 메시지는 EAP메시지인, 사용자 단말 인증 방법.
  4. 제3항에 있어서,
    상기 EAP메시지는
    상기 네트워크 거절이유 정보의 포함 여부를 나타내기 위한 구분자 정보를 더 포함하는, 사용자 단말 인증 방법.
  5. 제4항에 있어서,
    상기 네트워크 거절이유 정보는
    TLV(Type-Length-Value)로 코드된, 사용자 단말 인증 방법.
  6. 제5항에 있어서,
    상기 TLV로 코드된 네트워크 거절이유 정보는
    인간이 읽을 수 없는 형태로서, 인간이 읽을 수 있는 형태로 변환되지 않는 경우 상기 사용자 단말의 디스플레이 장치에 출력되지 않는 정보인, 사용자 단말 인증 방법.
  7. 제5항에 있어서,
    상기 TLV로 코드된 네트워크 거절이유 정보는
    상기 EAP메시지의 Type-Data 필드에 포함된, 사용자 단말 인증 방법.
  8. 제1항에 있어서,
    상기 네트워크 거절이유 정보는
    상기 네트워크 거절이유 정보에 대한 무결성 보호를 위한 거절이유 인증정보를 더 포함하는, 사용자 단말 인증 방법.
  9. 제8항에 있어서,
    상기 거절이유 인증정보는
    MSK(Master Session Key) 또는 EMSK(Extended Master Session Key)를 이용하여 생성하는, 사용자 단말 인증 방법.
  10. 제9항에 있어서,
    상기 무결성 보호는
    상기 거절이유 인증정보와 상기 인증 서버의 MSK 또는 EMSK를 이용하여 생성한 상기 인증 서버의 거절이유 인증정보의 비교에 의해 수행되는, 사용자 단말 인증 방법.
  11. 인증 서버로부터 인증을 받는 사용자 단말에 있어서,
    네트워크에 대한 접속을 위한 인증요청 정보를 상기 인증 서버로 전송하는 전송부; 및
    상기 인증 서버로부터 상기 인증요청 정보에 따라 처리된 인증 과정에 대한 메시지를 수신하는 수신부를 포함하고,
    상기 인증 과정의 결과, 상기 사용자 단말에 대해 인증 실패한 경우,
    상기 메시지는 네트워크 거절이유 정보를 포함하고,
    상기 네트워크 거절이유 정보는 상기 인증 실패의 이유 정보 및 상기 사용자 단말이 상기 인증 실패의 이유에 따라 대응할 제어 정보를 포함하는, 사용자 단말.
  12. 인증 서버가 사용자 단말을 인증하는 방법에 있어서,
    사용자 단말로부터 상기 사용자 단말의 네트워크에 대한 접속을 위한 인증요청 정보를 수신하는 단계;
    상기 인증요청 정보에 따라 인증 과정을 처리하는 단계; 및
    상기 인증 과정에 따른 메시지를 상기 사용자 단말로 전송하는 단계를 포함하고,
    상기 인증 과정의 결과, 상기 사용자 단말에 대해 인증 실패한 경우,
    상기 메시지는 네트워크 거절이유 정보를 포함하고,
    상기 네트워크 거절이유 정보는 상기 인증 실패의 이유 정보 및 상기 사용자 단말이 상기 인증 실패의 이유에 따라 대응할 제어 정보를 포함하고,
    상기 인증 과정은 EAP(Extensible Authentication Protocol)-TLS(Transport Level Security), EAP-TTLS(Tunneled TLS) 또는 EAP-AKA(Authentication and Key Agreement) 중 어느 하나의 인증 프로토콜에 따른 과정인, 사용자 단말 인증 방법.
KR1020110038653A 2009-03-10 2011-04-25 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 Ceased KR20110051174A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20090020096 2009-03-10
KR1020090020096 2009-03-10

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020090058150A Division KR20100102026A (ko) 2009-03-10 2009-06-29 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말

Publications (1)

Publication Number Publication Date
KR20110051174A true KR20110051174A (ko) 2011-05-17

Family

ID=43007323

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020090058150A Ceased KR20100102026A (ko) 2009-03-10 2009-06-29 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
KR1020110038653A Ceased KR20110051174A (ko) 2009-03-10 2011-04-25 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020090058150A Ceased KR20100102026A (ko) 2009-03-10 2009-06-29 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말

Country Status (4)

Country Link
US (1) US20120005727A1 (ko)
KR (2) KR20100102026A (ko)
CA (1) CA2755142C (ko)
RU (1) RU2491733C2 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014204091A1 (ko) * 2013-06-18 2014-12-24 주식회사에어플러그 무선 통신망의 접속점과의 접속 해제후 그 통신망에 대한 재접속을 제어하는 방법 및 장치
WO2017142271A1 (ko) * 2016-02-16 2017-08-24 주식회사 프로젝트사공구 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템
WO2018236164A1 (ko) * 2017-06-21 2018-12-27 엘지전자(주) 무선 통신 시스템에서 서비스 요청 절차 수행 방법 및 이를 위한 장치
US10872135B2 (en) 2016-02-16 2020-12-22 Myeong Ho Lee User authentication method and authentication system using match with junk data

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352603B2 (en) * 2010-08-10 2013-01-08 Telefonaktiebolaget L M Ericsson (Publ) Limiting resources consumed by rejected subscriber end stations
US8719571B2 (en) * 2011-08-25 2014-05-06 Netapp, Inc. Systems and methods for providing secure multicast intra-cluster communication
US8898752B2 (en) 2012-02-01 2014-11-25 Microsoft Corporation Efficiently throttling user authentication
CN103581860A (zh) * 2012-07-23 2014-02-12 中兴通讯股份有限公司 用户设备辅助信息拒绝方法、装置和系统
CN103857002B (zh) * 2012-11-29 2017-09-29 中国电信股份有限公司 用于网络连接容灾的方法、设备和系统
US9613211B1 (en) * 2012-12-10 2017-04-04 Symantec Corporation Systems and methods for identifying suspicious text-messaging applications on mobile devices
GB2512082A (en) * 2013-03-19 2014-09-24 Vodafone Ip Licensing Ltd WLAN application access control
EP3022973A4 (en) * 2013-07-19 2017-06-21 Appcard, Inc. Methods and apparatus for cellular-based identification of individuals within a vicinity
US10225152B1 (en) 2013-09-30 2019-03-05 Amazon Technologies, Inc. Access control policy evaluation and remediation
US10320624B1 (en) 2013-09-30 2019-06-11 Amazon Technologies, Inc. Access control policy simulation and testing
US11823190B2 (en) 2013-12-09 2023-11-21 Mastercard International Incorporated Systems, apparatus and methods for improved authentication
JP6201835B2 (ja) * 2014-03-14 2017-09-27 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9608963B2 (en) 2015-04-24 2017-03-28 Cisco Technology, Inc. Scalable intermediate network device leveraging SSL session ticket extension
EP3472991A4 (en) * 2016-06-17 2019-11-20 Anchorfree Inc. SECURE PERSONAL SERVER SYSTEM AND METHOD
US10401905B2 (en) * 2016-06-27 2019-09-03 National Products, Inc. Slide dock and methods of making and using
US11188912B2 (en) 2017-12-21 2021-11-30 Mastercard International Incorporated Systems and methods for use in authenticating users to accounts in connection with network transactions
CN113748694B (zh) 2019-04-26 2024-11-29 瑞典爱立信有限公司 用于服务发现的方法和装置
EP4183123B1 (en) * 2020-08-17 2025-10-15 Samsung Electronics Co., Ltd. Methods and systems for aggregating and exchanging messages in an iot communication system
US11943619B2 (en) 2020-10-29 2024-03-26 Cisco Technology, Inc. Openroaming augmentation method for EAP failures
TWI797819B (zh) * 2021-11-08 2023-04-01 光寶科技股份有限公司 認證系統和方法
CN115390521B (zh) * 2022-08-09 2025-02-14 上海轩田智能科技股份有限公司 一种多机台监控管理方法及系统
CN115150833A (zh) * 2022-09-05 2022-10-04 北京珞安科技有限责任公司 一种网络接入控制系统及方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7155526B2 (en) * 2002-06-19 2006-12-26 Azaire Networks, Inc. Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network
GB0324597D0 (en) * 2003-10-21 2003-11-26 Nokia Corp A communication system
CN1330214C (zh) * 2004-02-02 2007-08-01 华为技术有限公司 无线局域网用户终端重新选择运营网络的交互方法
KR20060019674A (ko) * 2004-08-28 2006-03-06 엘지전자 주식회사 이동통신 단말기에서의 전화접속 네트워킹을 위한 인증방법
CN1327663C (zh) * 2005-08-12 2007-07-18 华为技术有限公司 用户接入无线通信网络的方法和无线网络接入控制装置
ATE467299T1 (de) * 2005-12-22 2010-05-15 Microsoft Corp Peer-to-peer-nachrichtenformat
KR101061899B1 (ko) * 2007-09-12 2011-09-02 삼성전자주식회사 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치
EP3291636B1 (en) * 2007-10-25 2020-04-29 Cisco Technology, Inc. Interworking gateway for mobile nodes
RU2476001C2 (ru) * 2008-04-28 2013-02-20 Фудзицу Лимитед Способ обработки соединения в системе беспроводной связи, и базовая станция беспроводной связи и терминал беспроводной связи

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014204091A1 (ko) * 2013-06-18 2014-12-24 주식회사에어플러그 무선 통신망의 접속점과의 접속 해제후 그 통신망에 대한 재접속을 제어하는 방법 및 장치
WO2017142271A1 (ko) * 2016-02-16 2017-08-24 주식회사 프로젝트사공구 정크 데이터 일치여부를 이용한 사용자 인증 방법 및 인증 시스템
US10872135B2 (en) 2016-02-16 2020-12-22 Myeong Ho Lee User authentication method and authentication system using match with junk data
WO2018236164A1 (ko) * 2017-06-21 2018-12-27 엘지전자(주) 무선 통신 시스템에서 서비스 요청 절차 수행 방법 및 이를 위한 장치
US10674469B2 (en) 2017-06-21 2020-06-02 Lg Electronics Inc. Method for performing service request procedure and apparatus therefor in wireless communication system
US11375471B2 (en) 2017-06-21 2022-06-28 Lg Electronics Inc. Method for performing service request procedure and apparatus therefor in wireless communication system

Also Published As

Publication number Publication date
KR20100102026A (ko) 2010-09-20
CA2755142A1 (en) 2010-09-16
RU2491733C2 (ru) 2013-08-27
CA2755142C (en) 2016-04-12
US20120005727A1 (en) 2012-01-05
RU2011140850A (ru) 2013-04-20

Similar Documents

Publication Publication Date Title
KR20110051174A (ko) 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
US8731194B2 (en) Method of establishing security association in inter-rat handover
CN110086833B (zh) 用于到蜂窝网络的受赞助连通性的方法、装置和介质
US8990925B2 (en) Security for a non-3GPP access to an evolved packet system
KR101094577B1 (ko) 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말
US8887251B2 (en) Handover method of mobile terminal between heterogeneous networks
JP5378603B2 (ja) 複数技術インターワーキングでの事前登録セキュリティサポート
KR101068424B1 (ko) 통신시스템을 위한 상호동작 기능
US20080026724A1 (en) Method for wireless local area network user set-up session connection and authentication, authorization and accounting server
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
US20120204027A1 (en) Authentication method and apparatus in a communication system
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
KR20090093943A (ko) 네트워크 액세스를 위한 디바이스 및/또는 사용자 인증
KR20060067263A (ko) Wlan-umts 연동망 시스템과 이를 위한 인증 방법
US9161217B2 (en) Method and system for authenticating in a communication system
US11109219B2 (en) Mobile terminal, network node server, method and computer program
US8571211B2 (en) Method and apparatus for generating security key in a mobile communication system
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
CN101420695A (zh) 一种基于无线局域网的3g用户快速漫游认证方法
CN101471773B (zh) 一种网络服务的协商方法和系统
KR101044125B1 (ko) 인터페이스 서버의 사용자 단말 인증 방법과 그 인터페이스 서버 및 사용자 단말
CN101114958A (zh) WiMAX系统中实现移动IP密钥更新的方法
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
WO2016065847A1 (zh) WiFi分流的方法、装置及系统
WO2009089719A1 (en) Network access method for gateway mobile station, communication system and device thereof

Legal Events

Date Code Title Description
A107 Divisional application of patent
PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20110425

Patent event code: PA01071R01D

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20140221

Comment text: Request for Examination of Application

Patent event code: PA02011R04I

Patent event date: 20110425

Comment text: Divisional Application of Patent

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20140306

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20140520

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20140306

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I