KR101171311B1 - Method of authenticating relay station in broadband wireless access system - Google Patents

Method of authenticating relay station in broadband wireless access system Download PDF

Info

Publication number
KR101171311B1
KR101171311B1 KR1020050134977A KR20050134977A KR101171311B1 KR 101171311 B1 KR101171311 B1 KR 101171311B1 KR 1020050134977 A KR1020050134977 A KR 1020050134977A KR 20050134977 A KR20050134977 A KR 20050134977A KR 101171311 B1 KR101171311 B1 KR 101171311B1
Authority
KR
South Korea
Prior art keywords
authentication
terminal
relay station
message
base station
Prior art date
Application number
KR1020050134977A
Other languages
Korean (ko)
Other versions
KR20070071481A (en
Inventor
류기선
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020050134977A priority Critical patent/KR101171311B1/en
Publication of KR20070071481A publication Critical patent/KR20070071481A/en
Application granted granted Critical
Publication of KR101171311B1 publication Critical patent/KR101171311B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

본 발명은 광대역 무선접속 시스템에서 서비스 범위 확장을 위한 중계 스테이션(relay station)에 대한 인증을 단말에 제공하는 방법에 관한 것이다. 본 발명에 따른 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법은, 광대역 무선접속 시스템에서 기지국과 단말 사이의 통신을 중계하는 중계 스테이션(relay station)을 인증하는 방법에 있어서, 네트워크 진입 과정에 있는 단말에 상기 중계 스테이션의 인증 확인 정보를 제공하는 제1단계와, 상기 단말에 대한 인증 절차를 수행하는 제2단계와, 상기 인증 확인 정보를 상기 인증 절차를 통해 획득된 메시지 인증 기능에 의해 인증 가능한 특정 메시지에 포함시켜 상기 단말에 제공하는 제3단계를 포함하여 구성됨을 특징으로 한다.

Figure R1020050134977

광대역, 무선접속, 중계 스테이션, 인증

The present invention relates to a method for providing a terminal with authentication for a relay station for extending a service range in a broadband wireless access system. The relay station authentication method in the broadband wireless access system according to the present invention is a method for authenticating a relay station for relaying communication between a base station and a terminal in a broadband wireless access system. A first step of providing authentication confirmation information of the relay station, a second step of performing an authentication procedure for the terminal, and a specific message capable of authenticating the authentication confirmation information by a message authentication function obtained through the authentication procedure Included in the characterized in that it comprises a third step provided to the terminal.

Figure R1020050134977

Broadband, wireless access, relay station, authentication

Description

광대역 무선접속 시스템에서의 중계 스테이션 인증 방법{Method of authenticating relay station in broadband wireless access system}Method of authenticating relay station in broadband wireless access system

도1은 IEEE 802.16에서 제공하는 보안 서브레이어(Security Sublayer)의 일례를 도시한 것임.1 shows an example of a security sublayer provided by IEEE 802.16.

도2는 중계 스테이션을 이용한 네트워킹의 일례를 도시한 것임.2 illustrates an example of networking using a relay station.

도3은 IEEE 802.16에 따른 중계 스테이션을 이용한 네트워킹의 동작을 설명하기 위한 도면임.3 is a diagram for explaining the operation of networking using a relay station in accordance with IEEE 802.16.

도4는 광대역 무선접속 시스템에서 단말의 초기화 시 네트워크 진입 절차를 설명한 절차 흐름도임.4 is a flowchart illustrating a network entry procedure when the terminal is initialized in a broadband wireless access system.

도5는 도4에 도시된 단말의 네트워크 진입 절차 가운데 단말의 인증 절차를 세분화하여 설명하기 위한 절차 흐름도임.FIG. 5 is a flowchart illustrating a detailed description of an authentication procedure of a terminal among the network entry procedures of the terminal shown in FIG. 4.

도6은 본 발명의 바람직한 일 실시예의 절차 흐름도임.6 is a process flow diagram of one preferred embodiment of the present invention.

도7은 본 발명의 바람직한 다른 실시예의 절차 흐름도임.7 is a process flow diagram of another preferred embodiment of the present invention.

본 발명은 광대역 무선 접속 시스템에 관한 것이다. 보다 구체적으로, 본 발 명은 광대역 무선접속 시스템에서 서비스 범위 확장을 위한 중계 스테이션(relay station)에 대한 인증을 단말에 제공하는 방법에 관한 것이다.The present invention relates to a broadband wireless access system. More specifically, the present invention relates to a method for providing a terminal with authentication for a relay station for extending a service range in a broadband wireless access system.

광대역 무선접속 시스템에 관한 국제 기술 표준(technical specification)인IEEE 802.16에서는 PKM(Privacy and Key Management) 프로토콜을 통해 통신 프로토콜의 기본적인 보안 요구조건(security requirement)인 인증(authentication), 데이터의 기밀성, 데이터의 무결성을 제공한다. IEEE 802.16, the International Technical Specification for Broadband Wireless Access Systems, uses the Privacy and Key Management (PKM) protocol to provide authentication, data confidentiality, and data security. Provide integrity

도1은 IEEE 802.16에서 제공하는 보안 서브레이어(Security Sublayer)의 일례를 도시한 것이다. IEEE 802.16에서의 인증은 단말의 망 진입이나 인증 키의 유효성 갱신 및 단말의 핸드오버 수행 시 RSA 방식 또는 EAP 방식의 인증 프로토콜을 사용하여 수행될 수 있다. 1 shows an example of a security sublayer provided by IEEE 802.16. Authentication in IEEE 802.16 may be performed using an RSA or EAP authentication protocol when the network enters the terminal, updates the validity of the authentication key, and performs handover of the terminal.

단말과 기지국은 데이터의 기밀성 및 데이터의 무결성을 보장하기 위하여 SA(Security Association)를 설정하는데, SA는 기지국과 단말 사이에서 사용자 데이터 전송 시 데이터 암호화 및 무결성 보장을 위해 사용되는 데이터 암호화 키와 초기화 벡터 등의 암호화 슈트(cryptographic suite)로 구성된다. 또한, PKM 프로토콜은 재인증을 통한 인증 키 갱신 절차와 암호화 키 갱신 절차 등을 정의함으로써, 합법적이지 않은 사용자로부터의 되풀이 공격(replay attack) 등의 위협으로부터 보호될 수 있도록 한다The terminal and the base station establish a security association (SA) to ensure data confidentiality and data integrity. The SA is a data encryption key and initialization vector used to ensure data encryption and integrity when transmitting user data between the base station and the terminal. It consists of a cryptographic suite of the same. In addition, the PKM protocol defines the authentication key renewal procedure and encryption key renewal procedure through re-authentication, so that it can be protected from threats such as replay attacks from unlawful users.

이하에서 광대역 무선접속 시스템에서의 중계 스테이션(relay station)을 이용한 네트워킹(networking) 방법에 대해서 설명한다. 도2는 중계 스테이션을 이용한 네트워킹의 일례를 도시한 것이다.Hereinafter, a networking method using a relay station in a broadband wireless access system will be described. 2 shows an example of networking using a relay station.

IEEE 802.16에서는 광대역 무선접속 시스템에서 기지국의 서비스 커버리지(service coverage)를 확장하고 음영 지역의 단말에게 보다 높은 신호 품질을 제공함으로써, 전체적인 쓰루풋(throughput)을 개선시키기 위한 방법으로 다중-홉 중계 네트워킹(multi-hop relay networking)에 대한 연구가 진행 중이다. In IEEE 802.16, multi-hop relay networking (multi-hop relay) is a method for improving overall throughput by extending service coverage of a base station and providing higher signal quality to a terminal in a shadow area in a broadband wireless access system. (hop relay networking) is in progress.

IEEE 802.16에서는 중계 네트워킹을 위해 물리계층의 프레임 구조를 개선하고, MAC 계층의 새로운 프로토콜을 추가하는 작업이 진행 중이다. 주요 특징으로는 중계되는 데이터 경로의 종착점을 기지국으로 하는 트리(tree) 구조를 가지고, 기존의 점대다(Point to Multi-Point : PMP) 방식과 호환되며, 릴레이 방식과 점대다 방식은 서로 동일한 주파수 대역을 사용하거나 또는 인접한 다른 주파수를 사용하는 것으로 한다. 중계 스테이션의 형태로는 고정식(fixed), 임시 고정식(nomadic), 이동식(mobile) 중계 스테이션이 고려되고 있다.In IEEE 802.16, work is being carried out to improve the frame structure of the physical layer and to add a new protocol of the MAC layer for relay networking. Its main features include a tree structure with the base station as the base point of the relayed data path, compatible with existing point-to-multi-point (PMP) schemes, and relay and point-to-multipoint schemes have the same frequency. Use bands or other adjacent frequencies. As the type of relay station, fixed, temporary, nomadic, and mobile relay stations are considered.

도3은 IEEE 802.16에 따른 중계 스테이션을 이용한 네트워킹의 동작을 설명하기 위한 도면이다. 중계 스테이션의 목적을 크게 기지국의 서비스 커버리지 확장과 쓰루풋 개선의 두 가지로 요약할 수 있는데, 각 목적에 따라 중계 스테이션의 동작을 도3에 도시된 바와 같이 다르게 정의할 수 있다.3 is a view for explaining the operation of the networking using a relay station according to IEEE 802.16. The purpose of the relay station can be summarized in two broad ways: service coverage expansion and throughput improvement of the base station. The operation of the relay station may be differently defined as shown in FIG. 3 according to each purpose.

도3의 중계 스테이션 타입(type) 1과 같이 기지국의 서비스 커버리지 확장을 위하여 중계 스테이션을 사용하는 경우, 중계 스테이션(34)은 단말(35)과 기지국(31) 간에 주고 받는 데이터 뿐만 아니라 기지국(31) 또는 단말(35)로부터 전달되는 모든 제어 메시지를 중계한다. 도3의 중계 스테이션 타입 2와 같이 쓰루풋 개선을 위해 중계 스테이션을 사용하는 경우, 중계 스테이션(32)은 단말(33)과 기지국 (31) 간 교환되는 사용자 데이터만을 중계하고, 기지국(31)의 방송 형태의 제어 메시지 또는 단말(33)의 상향링크 제어 메시지를 단말(33)과 기지국(31)이 직접 교환하도록 할 수 있다. 이와 같이 중계 스테이션을 이용하여 중계되는 데이터는 단말과 기지국이 직접 주고 받는 경우에 비해서 지연이 발생할 수 있으며, 중계 스테이션은 데이터가 중계되는 단말에 좋은 신호 품질을 제공하고 그에 따른 적절한 채널 코딩율(coding rate) 및 변조(modulation) 방식을 사용하여 해당 단말에 중계해 줌으로써, 전체적인 쓰루풋을 증가시킬 수 있다.When the relay station is used to expand the service coverage of the base station as shown in relay station type 1 of FIG. 3, the relay station 34 transmits and receives data between the terminal 35 and the base station 31 as well as the base station 31. Or all control messages transmitted from the terminal 35. When the relay station is used for throughput improvement as shown in the relay station type 2 of FIG. 3, the relay station 32 relays only user data exchanged between the terminal 33 and the base station 31, and broadcasts the base station 31. The terminal 33 and the base station 31 may exchange the control message of the type or the uplink control message of the terminal 33 directly. As such, the data relayed using the relay station may have a delay compared to when the terminal and the base station directly transmit and receive data, and the relay station provides a good signal quality to the terminal to which the data is relayed, and accordingly, an appropriate channel coding rate By relaying to the terminal using a rate and a modulation (modulation) method, the overall throughput can be increased.

도4는 광대역 무선접속 시스템에서 단말의 초기화 시 네트워크 진입 절차를 설명한 절차 흐름도이다.4 is a flowchart illustrating a network entry procedure when the terminal is initialized in a broadband wireless access system.

(1) 단말이 최초 전원을 켜면 하향링크 채널(downlink channel)을 검색하고, 기지국과의 상/하향 동기(synchronization)를 획득한다. 이때, 단말은 기지국으로부터 하향링크 맵(DL-MAP) 메시지, 상향링크 맵(UL-MAP) 메시지, 하향링크 채널 서술자(DCD) 메시지, 상향링크 채널 서술자(UCD) 메시지를 수신하여, 상하향 채널 파라미터를 획득한다.(1) When the UE first powers on, it searches for a downlink channel and acquires up / down synchronization with the base station. In this case, the terminal receives a downlink map (DL-MAP) message, an uplink map (UL-MAP) message, a downlink channel descriptor (DCD) message, and an uplink channel descriptor (UCD) message from the base station, Acquire it.

(2) 단말은 기지국과 레인징(ranging)을 수행하여 상향 전송 파라미터를 조정하고, 기지국으로부터 기본 관리 연결식별자(Basic management CID)와 제1 관리 연결식별자(Primary management CID)를 할당받는다.(2) The terminal performs ranging with the base station to adjust uplink transmission parameters, and receives a basic management CID and a primary management CID from the base station.

(3) 단말은 기지국과 기본 성능에 대한 협상을 수행한다.(3) The terminal negotiates basic performance with the base station.

(4) 단말에 대한 인증을 실시한다.(4) Authenticate the terminal.

(5) 단말은 기지국에 등록하고, IP로 관리되는 단말은 기지국으로부터 제2 관리 연결식별자(Secondary management CID)를 할당받는다.(5) The terminal registers with the base station, and the terminal managed by IP receives a second management connection identifier (Secondary management CID) from the base station.

(6) IP 연결을 설정한다.(6) Set up the IP connection.

(7) 현재 날짜와 시간을 설정한다.(7) Set the current date and time.

(8) 단말의 구성 파일을 TFTP 서버로부터 다운로드(download) 받는다.(8) Download the configuration file of the terminal from the TFTP server.

(9) 미리 준비된 서비스에 대한 연결을 설정한다.(9) Establish a connection to a prepared service.

도5는 도4에 도시된 단말의 네트워크 진입 절차 가운데 단말의 인증 절차를 세분화하여 설명하기 위한 절차 흐름도이다.FIG. 5 is a flowchart illustrating a detailed description of an authentication procedure of a terminal among the network entry procedures of the terminal shown in FIG. 4.

도5를 참조하면, 단말은 네트워크에 등록하기 위해서 하향 채널을 검색하고, 기지국과의 상/하향 동기를 획득한다(S501). 이때, 단말은 레인징을 수행함으로써 상향링크 전송 파라미터를 조정하고, 기지국과 인증 방식, 데이터 암호화 알고리즘, 데이터 무결성 알고리즘, 메시지 인증 방법 등과 같은 보안 관련 기본 성능에 대한 협상을 수행한다.Referring to FIG. 5, the terminal searches for a downlink channel to register with the network and acquires up / down synchronization with the base station (S501). In this case, the terminal adjusts an uplink transmission parameter by performing ranging and negotiates security-related basic performances such as an authentication method, a data encryption algorithm, a data integrity algorithm, and a message authentication method with a base station.

단말은 기지국, 인증 서버(AAA server)와 확장성 인증 프로토콜(Extensible Authentication Protocol; 이하 'EAP')와 같은 인증 프로토콜을 통해 인증 절차를 수행한다(S502). 단말 인증이 성공적으로 수행되면 단말과 인증 서버는 공유된 마스터 키(Master Key)를 설정한다(S503).The terminal performs an authentication procedure through an authentication protocol such as a base station, an AAA server, and an Extensible Authentication Protocol (hereinafter referred to as 'EAP') (S502). If terminal authentication is successfully performed, the terminal and the authentication server set a shared master key (S503).

한편, 기지국은 인증 서버로부터 단말에 대한 마스터 키(Master Key)를 수신하며(S504), 단말과 기지국은 상기 수신된 마스터 키(Master Key)로부터 인증키(Authentication Key)를 생성한다(S505). 단말과 기지국은 상기 생성된 인증 키를 이용하여 매체 접속 제어(Media Access Control) 관리 메시지 무결성을 위한 메시 지 인증 코드(Message Authentication Code) 키(Key)를 생성하고, 트래픽 암호화 키(Traffic Encryption Key; 이하 'TEK')를 암호화하기 위한 키 암호화 키(Key Encryption Key; 이하 'KEK')를 생성한다. 그리고, 단말과 기지국은 3-웨이 핸드쉐이크(3-way handshake)를 수행함으로써 인증키의 유효성을 시험하고, 상호간의 인증을 수행한다(S506). On the other hand, the base station receives a master key (Master Key) for the terminal from the authentication server (S504), the terminal and the base station generates an Authentication Key (Authentication Key) from the received master key (S505). The terminal and the base station generate a message authentication code key for media access control management message integrity using the generated authentication key, and include a traffic encryption key; Hereinafter, a key encryption key (hereinafter referred to as 'KEK') for encrypting 'TEK' is generated. In addition, the terminal and the base station test the validity of the authentication key by performing a 3-way handshake, and perform mutual authentication (S506).

단말은 기지국과 보안 연계(Security Association)를 설정함으로써, 사용자 데이터 전달을 위한 데이터 암호화 및 무결성 알고리즘, 트래픽 키 암호화 알고리즘 등을 결정하고, 기지국으로부터 실제로 사용자 데이터 암호화를 위한 TEK를 수신한다(S507). By establishing a security association with the base station, the terminal determines a data encryption and integrity algorithm, a traffic key encryption algorithm, and the like for user data transfer, and receives a TEK for actually encrypting user data from the base station (S507).

종래 기술의 구성에서 살펴본 바와 같이 중계 스테이션을 이용한 서비스 시나리오는 크게 1) 기지국의 서비스 커버리지 확장이나, 2) 기지국의 전체의 쓰루풋 증가로 구분될 수 있다. 그 가운데 기지국의 서비스 커버리지 확장을 위하여 중계 스테이션을 사용하는 경우(타입 1), 단말과 기지국은 사용자 데이터뿐만 아니라, 제어 시그널링(control signaling)을 중계 스테이션을 통해 주고 받아야 한다. 즉, 단말이 초기 네트워크에 진입하기 위해서 단말과 기지국이 주고 받는 제어 메시지들은 중계 스테이션을 통해 전달해야 하며, 이때 중계되는 제어 메시지의 신뢰성을 단말과 기지국이 서로 확신할 수 있어야 한다. 악의적인 사용자가 중계 스테이션의 기능을 모방하여 단말과 기지국 간 주고 받는 제어 메시지의 변형을 통해 특정 단말의 네트워크 접속을 방해하는 것을 막기 위해서 기지국은 중계 스테이션에 대한 인증을 수행해야 하며, 단말은 기지국과의 제어 시그널링을 중계하는 중계 스테이 션이 인증된 중계 스테이션인지를 확인할 수 있어야 하지만 종래기술에 있어서는 중계 스테이션의 인증과 관련된 절차가 정의되어 있지 않은 문제점이 있다.As described in the configuration of the prior art, the service scenario using the relay station can be largely classified into 1) service coverage expansion of the base station or 2) increased throughput of the entire base station. Among them, when the relay station is used to expand the service coverage of the base station (type 1), the terminal and the base station must transmit and receive not only user data but also control signaling through the relay station. That is, in order for the terminal to enter the initial network, control messages transmitted and received between the terminal and the base station should be transmitted through the relay station, and the terminal and the base station should be able to assure each other the reliability of the relayed control message. In order to prevent a malicious user from imitating the function of the relay station and disrupting the network connection of a specific terminal through the modification of the control message exchanged between the terminal and the base station, the base station must authenticate the relay station. It should be possible to determine whether the relay station relaying the control signaling of is an authorized relay station, but there is a problem in the prior art that a procedure related to authentication of the relay station is not defined.

본 발명은 상기한 바와 같은 종래기술의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 광대역 무선접속 시스템에서 중계 스테이션에 의한 신뢰성있는 중계 동작이 이루어질 수 있도록 하기 위한 중계 스테이션 인증 방법을 제공하는 것이다.The present invention has been made to solve the problems of the prior art as described above, an object of the present invention is to provide a relay station authentication method for a reliable relay operation by the relay station in a broadband wireless access system will be.

본 발명의 일 특징에 따르면, 기지국이 중계 스테이션을 통한 단말의 초기 네트워크 진입 절차에서 상기 단말에 전달하는 제어 메시지를 통해 상기 중계 스테이션에 대한 인증 확인 정보를 제공한다. 본 발명의 다른 특징에 따르면, 상기 기지국이 상기 단말로 적어도 2회에 걸쳐 상기 중계 스테이션에 대한 인증 확인 정보를 제공하는 것이 바람직하다. 이때, 처음에는 상기 단말이 최초 네트워크 진입 시 상기 기지국이 상기 단말에 전송하는 제1메시지를 통해 상기 중계 스테이션에 대한 인증 확인 정보를 제공하고, 다음에는 상기 중계 스테이션에 대한 인증 확인 정보가 중간에 변형되는 것을 방지하기 위하여 상기 단말에 대한 인증 절차가 완료된 후 상기 인증 절차에 따라 상기 단말과 기지국 간에 약속된 메시지 인증 기능에 의해 상기 단말에서의 인증이 가능한 제2메시지를 통해 상기 중계 스테이션에 대한 인증 확인 정보를 전송하는 것이 바람직하다. 상기 단말은 상기 메시지 인증 기능에 의해 상기 제2메시지에 대한 인증이 성공적으로 이루어진 경우에 상기 인증 확 인 정보에 따라 상기 중계 스테이션에 대한 신뢰성 있는 인증을 수행할 수 있다.According to an aspect of the present invention, the base station provides authentication confirmation information for the relay station through a control message transmitted to the terminal in the initial network entry procedure of the terminal through the relay station. According to another feature of the invention, it is preferable that the base station provides authentication confirmation information for the relay station to the terminal at least twice. In this case, initially, the terminal provides authentication confirmation information for the relay station through a first message transmitted by the base station to the terminal when the terminal first enters the network, and then the authentication confirmation information for the relay station is modified in the middle. After the authentication procedure is completed for the terminal to prevent the authentication, the authentication confirmation of the relay station through a second message that can be authenticated by the terminal by the message authentication function promised between the terminal and the base station according to the authentication procedure It is desirable to transmit the information. When the terminal successfully authenticates the second message by the message authentication function, the terminal may perform reliable authentication of the relay station according to the authentication confirmation information.

단말은 상기한 바와 같이 두 단계의 중계 스테이션에 대한 인증 확인을 통해 해당 상기 중계 스테이션을 통해 네트워크에 접속하고, 상기 중계 스테이션을 통한 기지국과의 제어 메시지 교환 및 사용자 데이터 교환에 대한 신뢰성을 확보할 수 있도록 한다.As described above, the terminal accesses the network through the relay station through authentication confirmation of the relay station in two steps, and secures reliability of the control message exchange and the user data exchange with the base station through the relay station. Make sure

상기 특징을 갖는 본 발명의 일 양상으로서, 본 발명에 따른 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법은, 광대역 무선접속 시스템에서 기지국과 단말 사이의 통신을 중계하는 중계 스테이션(relay station)을 인증하는 방법에 있어서, 네트워크 진입 과정에 있는 단말에 상기 중계 스테이션의 인증 확인 정보를 제공하는 제1단계와, 상기 단말에 대한 인증 절차를 수행하는 제2단계와, 상기 인증 확인 정보를 상기 인증 절차를 통해 획득된 메시지 인증 기능에 의해 인증 가능한 특정 메시지에 포함시켜 상기 단말에 제공하는 제3단계를 포함하여 구성됨을 특징으로 한다.In one aspect of the present invention having the above characteristics, the method for authenticating a relay station in a broadband wireless access system according to the present invention is to authenticate a relay station for relaying communication between a base station and a terminal in a broadband wireless access system. A method, comprising: a first step of providing authentication confirmation information of the relay station to a terminal in a network entry process; a second step of performing an authentication procedure for the terminal; and the authentication confirmation information through the authentication procedure And a third step of providing the terminal to the specific message that can be authenticated by the acquired message authentication function.

본 발명의 다른 양상으로서, 본 발명에 따른 광대역 무선접속 시스템에서의 중계 스테이션 인증 방법은, 네트워크 진입 과정에 있는 단말에서 상기 단말과 기지국 사이의 통신을 중계하는 중계 스테이션을 인증하는 방법에 있어서, 상기 기지국으로부터 상기 중계 스테이션의 인증 확인 정보를 수신하는 제1단계와, 상기 단말에 대한 인증 절차를 수행하는 제2단계와, 상기 인증 절차를 통해 획득된 메시지 인증 기능에 의해 인증 가능한 특정 메시지에 포함되어 전송되는 상기 인증 확인 정보를 수신하는 제3단계와, 상기 인증 확인 정보를 통해 상기 중계 스테이션에 대 한 인증 여부를 결정하는 제4단계를 포함하여 구성됨을 특징으로 한다.In another aspect of the present invention, a method for authenticating a relay station in a broadband wireless access system according to the present invention includes a method for authenticating a relay station for relaying communication between the terminal and a base station in a terminal in a network entry process. A first step of receiving authentication confirmation information of the relay station from a base station, a second step of performing an authentication procedure for the terminal, and a specific message that can be authenticated by a message authentication function obtained through the authentication procedure. And a fourth step of receiving the transmitted authentication confirmation information, and a fourth step of determining whether to authenticate the relay station through the authentication confirmation information.

이하에서 첨부된 도면을 참조하여 설명되는 본 발명의 바람직한 실시예들에 의해 본 발명의 구성, 작용 및 다른 특징들이 용이하게 이해될 수 있을 것이다. 도6 및 도7은 본 발명의 바람직한 실시예들의 절차 흐름도이다.The construction, operation, and other features of the present invention will be readily understood by the preferred embodiments of the present invention described below with reference to the accompanying drawings. 6 and 7 are flowcharts of procedures of preferred embodiments of the present invention.

도6은 기지국의 서비스 커버리지 확장을 위해 중계 스테이션을 사용하는 경우(타입 1), 단말로부터의 중계 스테이션에 대한 인증 확인 요청 없이 단말이 네트워크 진입 과정에서 상기 중계 스테이션에 대한 인증을 수행하는 실시예에 관한 것이다. 6 illustrates an embodiment in which the terminal performs authentication for the relay station during network entry without requesting authentication confirmation for the relay station from the terminal when the relay station is used to expand service coverage of the base station. It is about.

도6을 참조하면, 단말이 최초 전원을 키면(S601), 상기 단말은 기지국으로부터 전달되는 프리앰블(preamble)이나 파일롯 신호 등과 같은 기준신호(reference signal)와 방송 형태의 제어 메시지(상/하향링크 맵)를 수신함으로써 하향링크 프레임의 동기를 획득해야 한다. 상기 단말이 상기 기지국의 서비스 커버리지 범위 밖에 위치하여 상기 기지국의 기준신호 및 맵 메시지를 직접 수신하지 못하는 경우(S602), 상기 단말은 중계 스테이션으로부터 전달되는 기준신호를 수신하기 위한 동작을 수행한다. Referring to FIG. 6, when the terminal powers up for the first time (S601), the terminal transmits a reference signal such as a preamble or pilot signal transmitted from the base station and a control message in the form of a broadcast (uplink / downlink map). ), The synchronization of the downlink frame should be obtained. When the terminal is located outside the service coverage range of the base station to directly receive the reference signal and the map message of the base station (S602), the terminal performs an operation for receiving the reference signal transmitted from the relay station.

상기 단말이 상기 중계 스테이션의 기준신호와 상기 기지국에 의해 전송되어 상기 중계 스테이션에 의해 중계되는 맵 메시지를 수신하면(S603), 상기 단말은 수신된 기준신호를 이용하여 상기 중계 스테이션과의 하향링크 동기를 획득하고, 상기 중계 스테이션을 통해 중계되는 상/하향링크 채널 파라미터(UCD/DCD)를 수신한다(S604). 상기 단말은 상향링크 전송 동기를 획득하고, 상기 기지국에 등록하기 위한 절차로서 레인징 요청 메시지(RNG-REQ)를 전송하며, 상기 중계 스테이션은 상기 레인징 요청 메시지를 상기 기지국에 전달한다(S605). When the terminal receives the reference signal of the relay station and the map message transmitted by the base station and relayed by the relay station (S603), the terminal uses the received reference signal to downlink synchronization with the relay station. Acquire and obtain the uplink / downlink channel parameters (UCD / DCD) relayed through the relay station (S604). The terminal acquires an uplink transmission synchronization and transmits a ranging request message (RNG-REQ) as a procedure for registering with the base station, and the relay station transmits the ranging request message to the base station (S605). .

상기 중계 스테이션을 통해 상기 레인징 요청 메시지를 수신한 상기 기지국은 상기 단말에게 상기 레인징 요청 메시지를 중계하는 상기 중계 스테이션이 인증된 것임을 확인해 주기 위하여 레인징 응답 메시지(RNG-RSP)에 상기 중계 스테이션에 대한 인증 확인 정보를 포함하여 상기 중계 스테이션에게 전송하며, 상기 중계 스테이션은 수신한 상기 레인징 응답 메시지를 상기 단말에게 전달한다(S606). 이때, 상기 단말의 상향링크 전송을 위한 레인징 파라미터 조정 값과 상기 단말에게 할당되는 기본 연결 식별자 및 일차 연결 식별자 등이 상기 레인징 응답 메시지에 포함된다. The base station that has received the ranging request message through the relay station checks the ranging station in a ranging response message (RNG-RSP) to confirm that the relay station relaying the ranging request message is authenticated. It includes the authentication confirmation information for the transmission to the relay station, the relay station transmits the received ranging response message to the terminal (S606). In this case, the ranging response message includes a ranging parameter adjustment value for uplink transmission of the terminal, a basic connection identifier and a primary connection identifier assigned to the terminal.

상기 레인징 응답 메시지를 수신한 상기 단말은 기본 성능 협상을 위한 단말 기본 능력 요청 메시지(SBC-REQ)를 상기 기지국에 전송하고(S607), 상기 기지국은 이에 대한 응답으로 단말 기본 능력 응답 메시지(SBC-RSP)를 상기 단말에게 전달한다(S608). 만약, 상기 기지국이 상기 레인징 응답 메시지를 통해 상기 중계 스테이션에 대한 인증 확인 정보를 상기 단말에게 전달하지 않았다면, 상기 기본 능력 응답 메시지를 통해 상기 단말에게 상기 인증 확인 정보를 제공할 수 있다. The terminal receiving the ranging response message transmits a terminal basic capability request message (SBC-REQ) for basic performance negotiation to the base station (S607), and the base station responds to the terminal basic capability response message (SBC). -RSP) is transmitted to the terminal (S608). If the base station does not transmit the authentication confirmation information for the relay station to the terminal through the ranging response message, the authentication confirmation information may be provided to the terminal through the basic capability response message.

상기 단말과 인증 서버(AAA server)는 RSA 또는 EAP 등과 같은 인증 프로토콜을 사용하여 상기 단말에 대한 인증 절차를 수행한다(S609). 상기 단말에 대한 인증 절차가 성공적으로 수행되면 상기 단말과 인증 서버는 동일한 마스터 키(Master Key)를 공유하게 되며, 상기 인증 서버는 상기 마스터 키를 상기 기지국에 전달한다(S610). 상기 마스터 키를 바탕으로 상기 단말과 기지국은 미리 정해진 키 유도 함수를 통해 서로 동일한 인증 키를 유도한다. 상기 기지국은 상기 단말과 공유된 인증 키를 확인하고 보안 연계를 설정하기 위한 첫 단계로서 인증 키 식별자와 기지국 임의수, 또한 메시지 인증을 위한 메시지 인증 코드를 SA-TEK-Challenge 메시지에 포함시켜 상기 단말에게 전달한다(S611). SA-TEK-Challenge 메시지를 수신한 상기 단말은 메시지의 인증을 확인하고, 단말 임의수와 인증 키 식별자, 보안 능력 파라미터, 메시지 인증 코드 등이 포함된 SA-TEK-REQ 메시지를 상기 기지국에 전달한다(S612). 상기 기지국은 이에 대한 응답으로 SA-TEK-RSP 메시지에 보안 연계 파라미터와 중계 스테이션 인증 확인 정보, 메시지 인증 코드 등을 포함하여 상기 단말에게 전달한다(S613). 상기 단말은 수신한 메시지 인증 코드를 통해 SA-TEK-RSP의 메시지 인증이 성공적으로 이루어지고, 상기 중계 스테이션의 인증 확인이 된 경우 등록 절차 등의 나머지 네트워크 진입 절차를 상기 기지국과 수행한다.The terminal and the authentication server (AAA server) performs an authentication procedure for the terminal using an authentication protocol such as RSA or EAP (S609). When the authentication procedure is successfully performed for the terminal, the terminal and the authentication server share the same master key, and the authentication server transfers the master key to the base station (S610). Based on the master key, the terminal and the base station derive the same authentication key from each other through a predetermined key derivation function. The base station includes an authentication key identifier, an arbitrary number of base stations, and a message authentication code for message authentication in a SA-TEK-Challenge message as a first step for checking an authentication key shared with the terminal and establishing a security association. Transfer to (S611). Upon receiving the SA-TEK-Challenge message, the terminal confirms the authentication of the message and delivers the SA-TEK-REQ message including the random number of terminals, an authentication key identifier, a security capability parameter, and a message authentication code to the base station. (S612). The base station transmits the SA-TEK-RSP message with the security association parameter, the relay station authentication confirmation information, the message authentication code, and the like to the terminal in response thereto (S613). When the terminal successfully authenticates the message of the SA-TEK-RSP through the received message authentication code, and the authentication of the relay station is confirmed, the terminal performs the remaining network entry procedure such as a registration procedure with the base station.

표 1은 도6의 실시예에 있어서 상기 중계 스테이션에 대한 상기 인증 확인 정보의 데이터 포맷의 일례를 나타낸다.Table 1 shows an example of the data format of the authentication confirmation information for the relay station in the embodiment of FIG.

NameName TypeType LengthLength ValueValue ScopeScope RS 인증 확인 파라미터RS authentication confirmation parameters TBDTBD 6 바이트6 bytes RS ID or RS preamble indexRS ID or RS preamble index RNG-RSP (SBC-RSP)
SA-TEK-RSPRNG-RSP (SBC-RSP)
SA-TEK-RSP

도7은 본 발명의 바람직한 다른 실시예의 절차 흐름도로서, 단말의 요청에 의해 중계 스테이션에 대한 인증 확인을 기지국이 단말에게 제공하는 실시예에 관한 것이다.7 is a flowchart illustrating another exemplary embodiment of the present invention, and relates to an embodiment in which the base station provides the terminal with authentication confirmation for the relay station at the request of the terminal.

도7에 도시된 실시예의 동작 설명은 도6에 도시된 실시예에서 살펴본 과정과 유사하나, 단말이 레인징 요청 메시지를 기지국에 전달할 때 중계 스테이션의 인증 확인을 요청하는 과정이 추가된다(S705). 또한, 중계 스테이션의 인증 확인 요청은 기본 능력 협상 요청 메시지(S707)와 SA-TEK-REQ 메시지(S712)에 포함될 수도 있다. The operation description of the embodiment shown in FIG. 7 is similar to the process described in the embodiment shown in FIG. 6, but the process of requesting the authentication confirmation of the relay station is added when the terminal transmits the ranging request message to the base station (S705). . In addition, the authentication confirmation request of the relay station may be included in the basic capability negotiation request message (S707) and SA-TEK-REQ message (S712).

표 2와 표 3은 각각 도7에 도시된 실시예에서 단말로부터 기지국으로 전송되는 중계 스테이션 인증 확인 요청 파라미터와 기지국이 이에 대한 응답으로 단말에게 전달하는 중계 스테이션 인증 확인 응답 파라미터의 일례를 나타낸다.Table 2 and Table 3 respectively show an example of the relay station authentication confirmation request parameter transmitted from the terminal to the base station and the relay station authentication confirmation response parameter transmitted by the base station to the terminal in response to the embodiment shown in FIG.

NameName TypeType LengthLength ValueValue ScopeScope RS 인증 요청
파라미터RS authentication request
parameter TBDTBD 6 바이트6 bytes RS ID or RS preamble indexRS ID or RS preamble index RNG-REQ
(SA-TEK-REQ)RNG-REQ
(SA-TEK-REQ)

NameName TypeType LengthLength ValueValue ScopeScope RS 인증 확인
파라미터Check RS Certification
parameter TBDTBD 6 바이트6 bytes RS ID or RS preamble indexRS ID or RS preamble index RNG-REQ
(SA-TEK-REQ)RNG-REQ
(SA-TEK-REQ)

상기한 바와 같이 중계 스테이션에 대한 인증 확인 정보를 초기 레인징 응답 메시지와 SA-TEK-RSP 메시지로 기지국이 단말에 2회에 걸쳐 제공하는 이유는 초기에 레인징 응답 메시지는 메시지 인증 기능이 제공되지 않기 때문이다. 즉, 제3자에 의해 레인징 응답 메시지가 변형될 가능성이 있는데, 이를 방지하기 위하여 단말 인증 절차 수행 후에 단말과 기지국이 서로 공유하는 메시지 인증 코드를 이용하여 메시지 변형 여부를 체크할 수 있는 메시지에 중계 스테이션의 인증 확인 정보를 전달함으로써 레인징 응답 메시지에 수신한 중계 스테이션 인증 확인 정보가 유효한지 단말로 하여금 중복 체크가 가능하도록 하기 위함이다. 또한, 중계 스테이션의 인증 확인 정보를 레인징 응답 메시지를 통해 전달하는 것은 단말이 네트워크 진입 절차 수행 초기에 중계 스테이션의 인증 확인을 수행할 수 있도록 하기 위함이다.As described above, the base station provides the terminal with twice the authentication confirmation information for the relay station as the initial ranging response message and the SA-TEK-RSP message. The ranging response message is not initially provided with the message authentication function. Because it does not. That is, the ranging response message may be modified by a third party. In order to prevent this, the ranging response message may be modified by using a message authentication code shared by the terminal and the base station after performing the terminal authentication procedure. This is to allow the terminal to check whether the relay station authentication confirmation information received in the ranging response message is valid by transmitting the authentication confirmation information of the relay station. In addition, the transmission of the authentication confirmation information of the relay station through the ranging response message is to allow the terminal to perform the authentication confirmation of the relay station at the beginning of the network entry procedure.

본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.It will be apparent to those skilled in the art that the present invention may be embodied in other specific forms without departing from the spirit or essential characteristics thereof. Accordingly, the above detailed description should not be construed as limiting in all aspects and should be considered as illustrative. The scope of the invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention.

본 발명에 따르면 단말과 기지국 간에 중계 스테이션을 통한 신뢰성 있는 중계 네트워킹 동작이 이루어질 수 있는 효과가 있다.According to the present invention, there is an effect that a reliable relay networking operation can be performed through a relay station between a terminal and a base station.

Claims (12)

광대역 무선접속 시스템에서 기지국과 단말 사이의 통신을 중계하는 중계 스테이션(relay station)을 인증하는 방법에 있어서,A method for authenticating a relay station for relaying communication between a base station and a terminal in a broadband wireless access system, 네트워크 진입 과정에 있는 단말에 상기 중계 스테이션의 인증 확인 정보를 제공하는 제1단계;A first step of providing authentication confirmation information of the relay station to a terminal in a network entry process; 상기 단말에 대한 인증 절차를 수행하는 제2단계; 및A second step of performing an authentication procedure for the terminal; And 상기 인증 확인 정보를 상기 인증 절차를 통해 획득된 메시지 인증 기능에 의해 인증 가능한 특정 메시지에 포함시켜 상기 단말에 제공하는 제3단계를 포함하는 중계 스테이션 인증 방법.And a third step of including the authentication confirmation information in a specific message that can be authenticated by the message authentication function obtained through the authentication procedure and providing the authentication confirmation information to the terminal. 제1항에 있어서,The method of claim 1, 상기 단말로부터 상기 중계 스테이션에 대한 인증 확인을 요청받는 단계를 더 포함하는 것을 특징으로 하는 중계 스테이션 인증 방법.And receiving a request for authentication confirmation for the relay station from the terminal. 제1항에 있어서,The method of claim 1, 상기 제1단계에서 상기 인증 확인 정보는 레인징 응답 메시지(ranging response message)에 포함되어 전송되는 것을 특징으로 하는 중계 스테이션 인증 방법.In the first step, the authentication confirmation information is transmitted in a ranging response message (ranging response message) characterized in that the relay station authentication method. 제1항에 있어서,The method of claim 1, 상기 메시지 인증 기능은 상기 인증 절차를 통해 획득된 메시지 인증 코드에 의해 이루어지는 것을 특징으로 하는 중계 스테이션 인증 방법.And the message authentication function is performed by a message authentication code obtained through the authentication procedure. 제4항에 있어서,5. The method of claim 4, 상기 메시지 인증 코드는 상기 특정 메시지에 포함되어 전송되는 것을 특징으로 하는 중계 스테이션 인증 방법.And the message authentication code is included in the specific message and transmitted. 제5항에 있어서,The method of claim 5, 상기 특정 메시지는 SA-TEK-RSP 메시지(Security Association Traffic Encryption Key Response message)인 것을 특징으로 하는 중계 스테이션 인증 방법.The specific message is a relay station authentication method, characterized in that the SA-TEK-RSP (Security Association Traffic Encryption Key Response message). 네트워크 진입 과정에 있는 단말에서 상기 단말과 기지국 사이의 통신을 중계하는 중계 스테이션을 인증하는 방법에 있어서,A method for authenticating a relay station relaying communication between a terminal and a base station in a terminal in a network entry process, 상기 기지국으로부터 상기 중계 스테이션의 인증 확인 정보를 포함하는 레인징 응답 메시지(ranging response message)를 수신하는 제1단계;A first step of receiving a ranging response message including authentication confirmation information of the relay station from the base station; 상기 단말이 인증 서버와 상기 단말에 대한 인증 절차를 수행하는 제2단계;A second step of the terminal performing an authentication procedure with respect to the authentication server and the terminal; 상기 기지국으로부터, 상기 인증 확인 정보가 포함되며 상기 인증 절차를 통해 획득된 메시지 인증 기능에 의해 인증 가능한 SA-TEK-RSP 메시지(Security Association Traffic Encryption Key Response message)를 수신하는 제3단계; 및A third step of receiving, from the base station, a SA-TEK-RSP message (Security Association Traffic Encryption Key Response message) including the authentication confirmation information and capable of authenticating by a message authentication function obtained through the authentication procedure; And 상기 인증 확인 정보를 통해 상기 중계 스테이션에 대한 인증 여부를 결정하는 제4단계를 포함하는 중계 스테이션 인증 방법.And a fourth step of determining whether to authenticate the relay station through the authentication confirmation information. 제7항에 있어서,The method of claim 7, wherein 상기 기지국에 상기 중계 스테이션에 대한 인증 확인을 요청하는 단계를 더 포함하는 것을 특징으로 하는 중계 스테이션 인증 방법.Requesting the base station for authentication confirmation of the relay station. 삭제delete 제7항에 있어서,The method of claim 7, wherein 상기 메시지 인증 기능은 상기 인증 절차를 통해 획득된 메시지 인증 코드에 의해 이루어지는 것을 특징으로 하는 중계 스테이션 인증 방법.And the message authentication function is performed by a message authentication code obtained through the authentication procedure. 제10항에 있어서,The method of claim 10, 상기 메시지 인증 코드는 상기 SA-TEK-RSP 메시지에 포함되어 수신되는 것을 특징으로 하는 중계 스테이션 인증 방법.And the message authentication code is included in the SA-TEK-RSP message and received. 삭제delete
KR1020050134977A 2005-12-30 2005-12-30 Method of authenticating relay station in broadband wireless access system KR101171311B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050134977A KR101171311B1 (en) 2005-12-30 2005-12-30 Method of authenticating relay station in broadband wireless access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050134977A KR101171311B1 (en) 2005-12-30 2005-12-30 Method of authenticating relay station in broadband wireless access system

Publications (2)

Publication Number Publication Date
KR20070071481A KR20070071481A (en) 2007-07-04
KR101171311B1 true KR101171311B1 (en) 2012-08-10

Family

ID=38506607

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050134977A KR101171311B1 (en) 2005-12-30 2005-12-30 Method of authenticating relay station in broadband wireless access system

Country Status (1)

Country Link
KR (1) KR101171311B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4875679B2 (en) * 2007-09-04 2012-02-15 財団法人工業技術研究院 Method and device for establishing security associations and performing handoff authentication in a communication system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001339389A (en) 2000-05-29 2001-12-07 Matsushita Electric Ind Co Ltd Relay station supervisory system
US20050289643A1 (en) 2004-06-28 2005-12-29 Ntt Docomo, Inc. Authentication method, terminal device, relay device and authentication server

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001339389A (en) 2000-05-29 2001-12-07 Matsushita Electric Ind Co Ltd Relay station supervisory system
US20050289643A1 (en) 2004-06-28 2005-12-29 Ntt Docomo, Inc. Authentication method, terminal device, relay device and authentication server

Also Published As

Publication number Publication date
KR20070071481A (en) 2007-07-04

Similar Documents

Publication Publication Date Title
US20230353379A1 (en) Authentication Mechanism for 5G Technologies
US8107629B2 (en) Method of providing security for relay station
TWI411275B (en) Method, system, base station and relay station for establishing security associations in communications systems
EP3410758B1 (en) Wireless network connecting method and apparatus, and storage medium
US8259942B2 (en) Arranging data ciphering in a wireless telecommunication system
US7707415B2 (en) Tunneling security association messages through a mesh network
US7904945B2 (en) System and method for providing security for a wireless network
KR20180119651A (en) Authentication mechanisms for 5G technologies
US20110264915A1 (en) System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US8605908B2 (en) Method and device for obtaining security key in relay system
US8417219B2 (en) Pre-authentication method for inter-rat handover
KR20070034060A (en) Communication handover method, communication message processing method, and communication control method
US20050233729A1 (en) Method and control member for controlling access to a radio communication cellular system through a wireless local netwrok
KR20070051233A (en) System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system
Cao et al. G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks
CN101977378B (en) Information transferring method, network side and via node
KR101467784B1 (en) Pre-Authentication method for Inter-RAT Handover
WO2016184351A1 (en) Ip address allocation method and system for wireless network
KR101171311B1 (en) Method of authenticating relay station in broadband wireless access system
US20240137757A1 (en) Systems and methods for authorization of proximity based services
WO2022236543A1 (en) Systems and methods for authorization of proximity based services
KR20080090733A (en) Method and system for security association in broadband wireless communication system based on multi-hop
CN116918300A (en) Method for operating a cellular network
KR20100053407A (en) Method of sharing security information
KR20070101504A (en) Apparatus and method for authentication in portable internet system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150624

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160624

Year of fee payment: 5