KR101485801B1 - Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system - Google Patents

Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system Download PDF

Info

Publication number
KR101485801B1
KR101485801B1 KR20080080253A KR20080080253A KR101485801B1 KR 101485801 B1 KR101485801 B1 KR 101485801B1 KR 20080080253 A KR20080080253 A KR 20080080253A KR 20080080253 A KR20080080253 A KR 20080080253A KR 101485801 B1 KR101485801 B1 KR 101485801B1
Authority
KR
South Korea
Prior art keywords
nas
security mode
terminal
mme
security
Prior art date
Application number
KR20080080253A
Other languages
Korean (ko)
Other versions
KR20100021690A (en
Inventor
서경주
임채권
이현우
양승기
조영호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR20080080253A priority Critical patent/KR101485801B1/en
Publication of KR20100021690A publication Critical patent/KR20100021690A/en
Application granted granted Critical
Publication of KR101485801B1 publication Critical patent/KR101485801B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다. The present invention relates to a method and system for managing security between a terminal and a network using a non-access stratum (non-access stratum, i.e., NAS) protocol in a mobile communication network, A method for managing security between a terminal and a network using a message includes a terminal (hereinafter referred to as UE) and a mobility management entity (hereinafter referred to as MME) (NAS) security mode command (NAS security mode command) set for the NAS protocol operation between the terminal and the Mobility Management Agent (MME) during the authentication and authentication processes, And the terminal may perform a security mode command during the intermediate process of performing authentication with the network, Performing de command to shorten the time required for security procedures, may perform the operations necessary for the security between the terminal and the mobile manager (MME). Therefore, it is possible to shorten the time required for the authentication process and the security mode command through the present invention. Meanwhile, the authentication process and the security mode command process can be independently performed according to the role to be performed, thereby providing a method of preparing even when the execution of the security mode command is required independently, And efficiently manage the security in the communication between the terminal and the mobile manager, and shorten the time according to the security procedure.

NAS, MME, NAS Security Mode, Authentication NAS, MME, NAS Security Mode, Authentication

Description

이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 {METHOD AND SYSTEM FOR SUPPORTING AUTHENTICATION AND SECURITY PROTECTED NON-ACCESS STRATUM PROTOCOL IN MOBILE TELECOMMUNICATION SYSTEM }TECHNICAL FIELD [0001] The present invention relates to a management method and system for effectively supporting authentication and non-layer protocol security operations in a mobile communication system,

본 발명은 이동 통신 시스템에 관한 것으로서, 특히 단말과 네트웍 의 인증 과정과 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 보안 과정을 효율적으로 지원하기 위한 방법 및 시스템에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a mobile communication system, and more particularly, to a method and system for efficiently supporting an authentication process of a terminal and a network and a NAS protocol security process between a terminal and a mobility manager (MME).

일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다. In a typical 3rd Generation Partnership Project (3GPP) among general mobile communication systems, EPS (Evolved Packet System) is defined for next generation communication and MME is introduced as a mobility management entity of the network.

상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 종래에 수행하던 인증 과정과 무선 접속 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 관리 방안을 강화 하였다. In the above mobile communication system, improvement of the NAS protocol used in the conventional mobile communication system, particularly 3G in 3GPP, has been suggested to provide a high-speed communication service in the next generation mobile communication. In addition to the conventional authentication process and the security process performed at the wireless access layer, the NAS protocol layered in the NAS layer has been introduced to enhance security management.

하지만, 현재 NAS 프로토콜 정의 및 NAS 프로토콜의 보안 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 구체적 절차 및 속성이 정의 되어 있지 않다. 또한 현재 정의된 절차 및 정의된 메시지로는 실제 동작에 동작을 위해 발생되는 신호(signaling)가 많아지고 시그널링 처리에 있어 드는 시간만큼의 시간 소요가 더 있는 문제점이 발생할 수 있다. 따라서 NAS 프로토콜의 보안성을 강화하기 위해 도입된 NAS 보안 모드 명령(NAS security mode command) 명령의 개선을 통해 인증 및 단말과 이동성 관리자(MME) 간의 통신 및 보안을 보다 시간을 절약하고 보안을 효율적으로 지원하는 방법을 명시해야 할 필요가 있다. However, the current definition of the NAS protocol and the security definition of the NAS protocol are in an early stage and do not define specific procedures and attributes for supporting the above functions. In addition, the currently defined procedure and the defined message may cause a problem that the signaling for the operation is increased in actual operation, and the time required for the signaling process is longer. Therefore, by improving the NAS security mode command, which is introduced to enhance the security of the NAS protocol, authentication and security and communication between the terminal and the mobility manager (MME) can be saved more time, You need to specify how to support it.

본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜을 지원하는 경우, 단말과 네트웍간의 인증과 단말과 이동성 관리자(MME) 사이에 보안화된 NAS 메시지 사용을 위하여 보안성을 제공하는 경우 보다 짧은 시간 내에 인증과 보안성을 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다. 또한 본 발명은 단말과 이동성 관리자(MME) 간의 프로토콜인 NAS 프로토콜을 활용하여 NAS 보안 과정이 어떻게 동작하는 지를 명기함으로써, 3GPP EPS 내에서 뿐만 아니라 3GPP EPS가 아닌 다른 무선 접속 기술 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 인증 및 단말과 이동성 관리자(MME)와 같은 역할을 하는 개체(entity) 사이의 보안 관리를 지원하는 방법 등을 제공한다.In the case of supporting the NAS protocol in the advanced mobile communication system including the 3GPP EPS, when authentication between the terminal and the network and security for the use of the NAS message secured between the terminal and the mobility manager (MME) are provided And provides a method and system for securely and efficiently supporting authentication and security in a short period of time. Further, the present invention specifies how the NAS security process operates by using the NAS protocol, which is a protocol between a terminal and a mobility manager (MME), to move to another wireless access technology other than 3GPP EPS in the 3GPP EPS A method of supporting security management between an authentication terminal and an entity acting as a mobility manager (MME) is provided to the terminal using the NAS.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹 은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다. The present invention relates to a method and system for managing security between a terminal and a network using a non-access stratum (non-access stratum, i.e., NAS) protocol in a mobile communication network, A method for managing security between a terminal and a network using a message includes a terminal (hereinafter referred to as UE) and a mobility management entity (hereinafter referred to as MME) (NAS) security mode command (NAS security mode command) set for the NAS protocol operation between the terminal and the Mobility Management Agent (MME) during the authentication and authentication processes, The terminal may perform a security mode command, or the terminal may perform a security mode command during an authentication process with the network Performing de command to shorten the time required for security procedures, may perform the operations necessary for the security between the terminal and the mobile manager (MME). Therefore, it is possible to shorten the time required for the authentication process and the security mode command through the present invention. Meanwhile, the authentication process and the security mode command process can be independently performed according to the role to be performed, thereby providing a method of preparing even when the execution of the security mode command is required independently, And efficiently manage the security in the communication between the terminal and the mobile manager, and shorten the time according to the security procedure.

본 발명의 실시예에 따라 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법이, 단말(이하 UE로 표기), 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 단말과 이동 관리자, HSS 사이에 이루어지는 인증(authentication) 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과, 단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)을 선택적으로 수행하도록 가능하도록 하는 과정과, 단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 한다.According to an embodiment of the present invention, a security management method between a terminal and a network using a non-access stratum (hereinafter referred to as NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE) A step of exchanging necessary information by sending and receiving an authentication request / response message between a terminal and a mobile manager and an HSS including a mobility management entity (MME) and an HSS; (NAS) security mode command (NAS security mode command) set for a NAS protocol operation between a terminal and a mobility manager (MME) during an authentication process between a mobile node and a mobile node, And receiving the message.

여기서 NAS 관련 메시지는 선택적 수행이 가능하도록 하는 메시지인 NAS 보안 모드 활성 타입 정보 요소를 더 포함한다. 그리고 선택적 수행이 가능한 경우 포함되어야할 NAS 보안 모드 정보를 알려주는 NAS 보안 모드 정보 요소를 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 NAS 보안 모드 활성화 타입 값을 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 보안 플래그를 더 포함한다.Here, the NAS related message further includes a NAS security mode active type information element, which is a message enabling selective execution. And a NAS security mode information element for indicating NAS security mode information to be included when selective execution is possible. The NAS security mode activation type information element further includes a NAS security mode activation type value. The NAS security mode activation type information element further includes a security flag.

그리고 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와, 인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말과, 인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 한다.A system for managing security between a terminal and a network using a non-access stratum (hereinafter referred to as NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE) and a mobile manager MME, mobility management entity (hereinafter referred to as MME), an HSS, and transmits an authentication request message, an authentication request message including a NAS security mode or a NAS security mode command message and transmits information necessary for these messages, Response message, a NAS security mode including authentication response message or a NAS security mode complete message, and transmitting information necessary for the messages, and an HSS generating and transmitting an authentication vector required for authentication.

이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다. In the present invention that operates as described in detail above, the effects obtained by the representative ones of the disclosed inventions will be briefly described as follows.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode)를 관리, 등록 관리(registration management : Attach, detach 관리), 위치 관리(location management : tracking area 관리) 하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode) 에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode) 에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP 의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다. The present invention relates to a method and apparatus for managing mobility and idle mode of a terminal using a non-access stratum (hereinafter referred to as NAS) protocol in a mobile communication network, Management and location management (tracking area management), and the present invention relates to a method and system for managing mobility, idle mode management, registration management, and location management using a NAS protocol according to the present invention The method includes a terminal (hereinafter referred to as UE) and a mobility management entity (hereinafter referred to as MME), and performs a handover in a terminal in an active mode, (location management) in the idle mode, when the terminal registers in the network, it is necessary to perform the location management in the idle mode in the network such as the 3GPP Evolved Packet System (EPS) If the received message is a secured NAS message by sending or receiving a message having the above-mentioned role among the EMM (EPS Mobility Management) message, a method for efficiently processing the secured NAS message is proposed, Location management, and registration management.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되 는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.The operation principle of the preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The following terms are defined in consideration of the functions of the present invention and may be changed according to the intention or custom of the user and the operator. Therefore, the definition should be based on the contents throughout this specification.

후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 이동시스템에 인증과 단말과 MME 간의 프로토콜인 NAS 의 보안성을 관리 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다. The gist of the present invention to be described later is to provide a method for managing authentication of a mobile system and supporting security of NAS, which is a protocol between a terminal and an MME, using a NAS protocol which is a protocol between a terminal and an MME for a mobile communication system. Hereinafter, an EPS system based on 3GPP will be used to describe the present invention, and the present invention may be used in other mobile systems using NAS.

한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시예는 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 인증 및 단말과 이동성 관리자(MME) 간의 통신시 보안성을 지원하는 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.As shown in FIG. 1 of the present invention, the embodiment of FIG. 1 has proposed a method for supporting security in authentication between terminals and a mobility manager (MME) using the NAS protocol, which is a basic object of the present invention. May also be implemented in other mobile communication systems having similar technical backgrounds and channel types, or a network architecture or similar protocol or protocol, but with a protocol that performs a similar operation, with a slight variation within the scope of the present invention Which will be possible at the discretion of the person skilled in the art.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도 이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조 를 도시하였다. 1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to a preferred embodiment of the present invention. Here, the 3GPP EPS system structure is shown as an example.

도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함)(112)은 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다. 한편 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 위하여 이동 관리자(Mobility Management Entity : 이하 MME로 표기)(114)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server :이하 HSS)(121)가 MME(114) 와 인터페이스를 가지고 연결되어 있다.Referring to FIG. 1, an evolved Node B (hereinafter referred to as eNB) 112 includes a User Equipment (UE) 110 located in a cell serving as a service area, And establishes a wireless connection and performs communication. The UE 110 refers to a terminal accessing a packet data network such as the Internet through a Serving Gateway (hereinafter referred to as SGW) In this specification, a Packet Data Network Gate Way (PDN GW) 118 serves as a home agent (HA) as a main network entity of a packet data network. Meanwhile, there is a Mobility Management Entity (MME) 114 for managing mobility of a terminal, location management of a terminal, and registration management. Also, a home subscriber server (HSS) 121 is connected to the MME 114 via an interface to manage authentication information and service information for the user and the terminal.

eNB(112)와 Serving GW(116), MME(114) 와 Serving GW(116) 사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의UE(110)과 MME(114)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다. An interface for managing a data path and a mobility of the UE exists between the eNB 112 and the Serving GW 116, the MME 114 and the Serving GW 116. The UE 110 and the MME 114 in the present invention perform mobility management, location management, registration management, and session management by communicating with each other using the NAS protocol stack.

본 발명에서는 UE(110)의 이동성 관리, 위치 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말(110) 사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와, 위치, 세션 관리를 위하여 단말(110)와 MME(114) 사이에 도입된 NAS 프로토콜은 종래의 3GPP 시스템에서도 있던 것으로 EPS 시스템으로 되면서 보안성이 강화 되었다. 즉 NAS 프로토콜 상에서도 무결성과 암호화를 지원하기 위하여 NAS 프로토콜 절차 및 각 엔티티의 역할을 보완해 가고 있으나 현재로서 보완이 미흡하여 본 발명에서는 NAS 프로토콜을 기반으로 UE(110), MME(114)가 효율적으로 동작할 수 있도록 상기의 네트워크를 참조하여 이하 도 2 내지 도 5를 설명하기로 한다. In the present invention, a focus is placed on the NAS protocol, which is a protocol between the MME 114 and the UE 110, which are entities for the mobility management, location management, and session management of the UE 110. That is, the NAS protocol introduced between the terminal 110 and the MME 114 for mobility management, location, and session management has been in the conventional 3GPP system and becomes an EPS system, thereby enhancing security. That is, the NAS protocol procedure and the roles of the respective entities are supplemented in order to support integrity and encryption on the NAS protocol. However, the present invention is insufficient to supplement the NAS protocol procedures and the roles of the respective entities. Therefore, in the present invention, the UE 110 and the MME 114 2 to 5 will be described with reference to the above network so as to be able to operate.

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 이다. 이러한 도 2의 흐름도는 NAS 프로토콜 보안 즉 NAS 프로토콜의 무결성과 암호화 과정으로서 이러한 흐름에 있어서 종래의 기술과 차이점은 하기의 [표 1] 내지 [표 4]의 메시지 포맷을 참조하기로 한다. 인증 과정과 NAS 보안 과정에 있어서 중요한 개체(entity)는 도 2에서 보는 바와 같이 UE(110), MME(114), HSS(121)이다. 201 과정에서 UE(110)는 MME(114)에게 사용자 식별자를 보내고 MME(114)와 HSS(121)는 인증 벡터(authentication vector)를 요청해서 받고, MME(114)는 인증 벡터를 선정하게 된다. 203 단계에서 MME(114)는 UE(110)로 인증 요청(AUTHENTICATION REQUEST) 메시지를 보내어 인증 벡터 중 일부인 인증 토큰(authentication token : 이하 AUTN으로 표기)과 난수 요구(random challenge : 이하 RAND로 표기)를 보내게 되고 UE(110)는 받은 AUTN을 검증한다. 205 단계에서 UE(110)는 인증 응답 메시지를 MME(114)로 보내면서 UE(110)에서 계 산한 응답 매개 변수(RESPONSE : 이후 RES로 표기)를 포함하여 MME(114)로 보내게 된다. 이후 207 단계에서 MME(114)와 UE(110) 에서 인증과 키 일치 프로토콜(authentication and key agreement : 이후 AKA로 표기)의 남은 부분을 수행한다. 즉 UE(110)에서는 무결성 키(Integrity key : 이하 IK로 표기), 암호화 키(cipher key 이하 Ck로 표기)를 계산하고, MME(114)에서는 응답 매개 변수(RES)와 기대된 응답(Expected Response: 이하 XRES로 표기)을 비교하여 MME 자신이 인증 요구를 보낸 단말로부터 온 인증 반응인지 여부를 검증한다. 209 단계에서는 MME(114)에서 UE(110)로 NAS 보안 모드 명령(security mode command) 메시지를 보낸다. 이러한 NAS 보안 모드 명령에는 선택된 NAS 보안 알고리즘과 NAS 키 세트 식별자(key set identifier: 이하 KSI로 표기)를 알려주고, 이에 대한 응답으로서 211 단계에서 UE은 MME에게 NAS 보안 모드 완료(security mode complete) 메시지를 보낸다. 보안 모드 명령은 NAS 메시지 보안 설정을 위해 사용되므로 본 발명에서와 같이 인증 과정과 함께 쓰이는 경우에도 사용이 된다. 따라서 본 발명에서는 인증 과정 이후 보안 모드 명령이 나오는 것을 인증 과정에서 선택적으로 사용할 수 있는 과정을 설명하였는바 이후 도 3의 과정과 [표 1] 내지 [표 4] 의 NAS 보안 모드(NAS security mode) 관련 정보 요소(information element : 이후 IE로 표기)를 참조하기로 한다. 즉 도 2와 같은 동작을 위해서는NAS security mode information 이 포함되지 않은 인증 요청(AUTHENTICAION REQUEST) 메시지를 MME에서 UE로 전송하여야 한다. 이와 같은 동작은 하기의 [표 2] 내지 [표 4]를 참조한다. 2 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. The flowchart of FIG. 2 refers to the message format of [Table 1] to [Table 4], which is different from the conventional technology in this flow as the NAS protocol security, i.e., the integrity and encryption process of the NAS protocol. An important entity in the authentication process and the NAS security process is the UE 110, the MME 114, and the HSS 121 as shown in FIG. In step 201, the UE 110 sends a user identifier to the MME 114 and the MME 114 and the HSS 121 request and receive an authentication vector, and the MME 114 selects an authentication vector. In step 203, the MME 114 sends an authentication request message to the UE 110 to transmit an authentication token (AUTN) and a random challenge (RAND) And the UE 110 verifies the received AUTN. In step 205, the UE 110 sends an authentication response message to the MME 114, including a response parameter (RESPONSE: followed by RES) calculated by the UE 110, to the MME 114. In step 207, the MME 114 and the UE 110 perform the remaining part of authentication and key agreement (hereinafter referred to as AKA). That is, the UE 110 calculates an Integrity key (hereinafter referred to as IK) and an encryption key (hereinafter referred to as Ck) and the MME 114 calculates the response parameter RES and the expected response : Hereinafter referred to as XRES), and verifies whether the MME itself is an authentication response from the terminal that sent the authentication request. In step 209, the MME 114 sends a NAS security mode command message to the UE 110. The NAS security mode command informs the selected NAS security algorithm and a NAS key set identifier (KSI). In response to this, the UE transmits a NAS security mode complete message to the MME in step 211 send. Since the security mode command is used for setting the NAS message security, it is also used in the case of being used together with the authentication process as in the present invention. Accordingly, in the present invention, the process of selectively using the security mode command after the authentication process in the authentication process has been described. The process of FIG. 3 and the NAS security mode of Table 1 to Table 4, We shall refer to the information element (hereinafter referred to as IE). That is, in order to operate as shown in FIG. 2, an authentication request message not including NAS security mode information must be transmitted from the MME to the UE. Such operations are described in [Table 2] to [Table 4] below.

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도이다. 즉 도 3 에서는 도 2와 같은 인증 과정과 보안 모드 명령 과정을 함께 실시 할 경우를 일 실시예를 든 것이다. 3 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. That is, FIG. 3 shows an embodiment in which the authentication process and the security mode command process shown in FIG. 2 are performed together.

상기 도 3을 참조하면, 301 단계에서는 201 단계에서와 같이 UE(110)와 MME(114), HSS(121)는 AKA 앞부분의 동작을 수행한다. 이후 303 단계에서는 AKA의 인증 요청 과정과 NAS 보안 모드 명령 과정을 함께 수행하게 되는데, 이를 본 발명에서는 NAS 보안 모드 포함 인증 요청(AUTHENTICAION REQUEST with NAS SECURITY MODE) 메시지라고 표기하였다. 이러한 과정은 [표 1] 내지 [표 4]의 메시지 포맷에 따른다. 이러한 NAS 보안 모드 포함 인증 요청 메시지는 MME(114)에서 UE(110)로 보내지는 요청 메시지이다. 305 단계에서는 UE(110)로부터 MME(114)로 NAS 보안 모드 포함 인증 응답(AUTHENTICATION RESPONSE with NAS SECURITY MODE) 메시지를 전송한다. 이후 MME는 UE로부터 응답받은 RES와 자신이 가진 XRES를 비교하여 UE로부터 온 메시지인지를 검증한다. Referring to FIG. 3, in step 301, the UE 110, the MME 114, and the HSS 121 perform operations in the front part of the AKA, as in step 201. FIG. In step 303, the AKA authentication request process and the NAS security mode command process are performed together. In the present invention, the message is referred to as an authentication request with NAS security mode (NAS security mode) message. This process is based on the message format of [Table 1] to [Table 4]. This NAS security mode including authentication request message is a request message sent from the MME 114 to the UE 110. [ In step 305, the UE 110 transmits an NAS response message including an authentication response including an NAS security mode to the MME 114. The MME then compares the RES received from the UE with its own XRES to verify that the message is from the UE.

도 4는 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 이다. 4 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in the MME according to an embodiment of the present invention.

상기 도 4를 참조하면, 401 단계에서 AKA 인증 과정의 앞부분을 수행한다. 이러한 과정에 대한 설명은 도 3의 301 단계 혹은 도2 의 201 단계를 참조한다. 403 단계에서 MME(114)는 인증 요청메시지 만을 UE(110)에 요청하는지 혹은 NAS 보안 모드 설정을 포함한 NAS 보안 모드 인증 요청 메시지를 UE로 전송할지를 결정한 다. 인증 요청 메시지만을 전송하는 경우는 421 단계로 진행하여 421 단계에서와 같이 NAS 보안 모드를 포함하지 않는 인증 요청 메시지를 UE로 보내게 되며, 423 단계에서와 같이 UE로부터 인증 응답 메시지를 받게 되면 425 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터 응답이 왔는지 여부를 판단한다. 이후 필요한 경우에 따라 427 단계에서와 같이 MME(114)로부터 UE(110)로 보안 모드 명령(SECURITY MODE COMMAND) 메시지를 보내고 이에 대한 응답으로 보안 모드 완성(SECURITY MODE COMPLETE) 메시지를 429 단계에서 단말로부터 받게 된다. 이 경우 421 단계에서는 NAS 보안 모드를 포함하지 않음을 알리기 위하여 하기의 [표 2] 내지 [표 4]의 메시지 포맷 사용이 가능하다. 혹은 종래의 메시지 포맷을 그대로 이용할 수 도 있다. Referring to FIG. 4, in step 401, an AKA authentication process is performed. For the description of this process, refer to step 301 of FIG. 3 or step 201 of FIG. In step 403, the MME 114 determines whether to request only the authentication request message to the UE 110 or transmit the NAS security mode authentication request message including the NAS security mode setting to the UE. In the case of transmitting only the authentication request message, the UE proceeds to step 421 and sends an authentication request message not including the NAS security mode to the UE as in step 421. If the authentication response message is received from the UE as in step 423, The RES and the XRES are compared with each other to determine whether a response is received from the corresponding terminal. In step 427, the MME 114 sends a SECURITY MODE COMMAND message to the UE 110, and a SECURITY MODE COMPLETE message in response to the SECURITY MODE COMPLETE message is transmitted to the UE 110 in step 429, . In this case, in step 421, it is possible to use the message formats of [Table 2] to [Table 4] below to notify that the NAS security mode is not included. Alternatively, the conventional message format can be used as it is.

한편 405 단계에서와 같이 NAS 보안 모드를 포함한 인증 요청 메시지를 MME로부터 UE로 전송한 경우 407 단계에서와 같이 NAS 보안 모드 포함 인증 응답 메시지를 UE로부터 수신하게 되고 이에 409 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터의 응답인지를 검증한다. 이때 405 내지 407 단계에서 전송하는 NAS 보안 모드 포함 인증 요청 메시지와 NAS 보안 모드 포함 인증 응답 메시지는 하기의 [표 1] 내지 [표 2]의 메시지 포맷 사용이 가능하다. If the authentication request message including the NAS security mode is transmitted from the MME to the UE as in step 405, the UE receives the authentication response message including the NAS security mode from the UE as in step 407. In step 409, And verifies whether the response is from the corresponding terminal. At this time, the NAS security mode including authentication request message and the NAS security mode authentication response message transmitted in steps 405 to 407 can use the message formats of [Table 1] to [Table 2] below.

도 5는 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도이다. 5 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in a terminal according to an embodiment of the present invention.

상기 도 5를 참조하면, 501 단계에서 도2 의 201 단계에서와 같은 AKA 인 증 앞부분을 수행한다. 503 단계에서 UE는 MME로부터 인증 요청 메시지만 포함하는 메시지를 받거나 혹은 NAS 보안 모드 포함 인증 요청 메시지를 받을 수 있다. 이에 인증 요청 메시지만 받은 경우 511 단계로 진행하여, AKA 과정의 일부인 AUTN을 검증하고 RES를 계산하게 된다. 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 513 단계에서UE는 MME로 인증 반응 메시지를 보내게 된다. 이후 515 단계에서는 무결성 키(IK) 와 암호화 키(CK)를 계산한다. Referring to FIG. 5, in step 501, an AKA authentication step as in step 201 of FIG. 2 is performed. In step 503, the UE may receive a message containing only the authentication request message from the MME or receive the authentication request message including the NAS security mode. If only the authentication request message is received, the process proceeds to step 511, where the AUTN, which is a part of the AKA process, is verified and the RES is calculated. An explanation thereof will be made with reference to the later description of step 203 in FIG. In step 513, the UE sends an authentication response message to the MME. In step 515, the integrity key (IK) and the encryption key (CK) are calculated.

한편 UE(110)가 NAS 보안 포함 인증 요청 메시지를 MME로부터 받은 경우는 505 단계에서 AUTN 검증하고 RES를 계산하며, 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 507 단계에서NAS 보안 모드 포함 인증 반응 메시지를 MME로 전송하게 된다. 이후 515 단계는 상기 기술한 바와 동일하다. On the other hand, if the UE 110 receives the NAS security-including authentication request message from the MME, the UE 110 verifies the AUTN and calculates the RES in step 505, and a description thereof will be referred to the later description of step 203 in FIG. In step 507, an authentication response message including the NAS security mode is transmitted to the MME. Step 515 is the same as described above.

상기의 도 2 내지 도 5에서 기술한 대로 단말(UE)과 이동 관리자(MME)가 동작하기 위해서는 다음 [표 1] 내지 [표 4]의 메시지 등이 지원되어야 하는 경우가 있다. 이에 하기에서 이를 기술하기로 한다. In order to operate the UE and the MME as described above with reference to FIGS. 2 to 5, the following messages in Table 1 to Table 4 must be supported. Hereinafter, this will be described.

[표 1]은 NAS 보안 모드 정보 요소( Information element : 이하 IE로 표기)로서 [표 2] 의 NAS 보안 모드 활성 타입 IE(Information element)가 NAS 보안 모드를 활성화하여 사용한다고 지시하는 경우에 있어서 구체적으로 포함되어야 할 정보에 대해 알려주는 정보 요소이다. 따라서 MME 에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함되어 구체적인 NAS 보안 모드 정보를 포함하게 된다. 1 옥텟의 NAS 보안 모드 정보 요소 식별자의 경우 표준 단체에 의해 할당되는 값이다. 2 옥텟에는 NAS 보안 모드 정보 요소의 전체 길이를 나타내는 length 필드로 되어 있고, 3 옥텟에는 선택된 NAS 보안 알고리즘의 정보가 들어간다. 4 옥텟에는 NAS 키 세트 식별자(NAS key set identifier)가 들어가는데 이는 NAS 메시지의 보안에 사용되는 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등의 키세트를 식별하는 식별자이다. 옥텟 5에는 UE에 의해 지원되는 보안 알고리즘을 기술하며 옥텟 6에는 국제 모바일 장비 식별 소프트웨어 버전(international mobile equipment identity software version : 이하 IMEISV로 표기)이 포함되어 통신 가입자(subscriber) 의 모바일 장비와 그 소프트웨어 버전을 알려주게 된다. 이러한 IMEISV는 대체로 인증 혹은 암호화 반응 메시지에 단말에 의해 IMEISV가 포함되기를 요청하는 경우에 포함되는 파라미터 이다. Table 1 shows the NAS security mode information element (information element: hereinafter referred to as IE) indicating that the NAS security mode active type IE (information element) of [Table 2] Is an information element that informs the user about the information to be included. Therefore, the MME includes the specific NAS security mode information included in the authentication request message sent from the MME to the UE. In the case of a 1-octet NAS security mode information element identifier, it is a value assigned by a standard group. The 2 octets contain a length field indicating the total length of the NAS security mode information element, and 3 octets contain the information of the selected NAS security algorithm. The 4 octet contains a NAS key set identifier, which is an identifier that identifies a key set such as the NAS encryption key K NASenc or the integrity key K NASint used to secure the NAS message. Octet 5 describes the security algorithms supported by the UE and octet 6 contains the international mobile equipment identity software version (IMEISV), which identifies the mobile equipment of the subscriber and its software version . This IMEISV is generally a parameter included when requesting that an IMEISV be included by the terminal in an authentication or encryption response message.

Figure 112008058457214-pat00001
Figure 112008058457214-pat00001

메시지 1 : NAS 보안 모드IE(Information element)Message 1: NAS security mode IE (Information element)

하기의 [표 2]는 MME에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함하여 보내는 NAS 보안 모드 활성 타입 IE(Information element)이다. 이는 NAS 보안 모드(security mode)를 사용할지 말지를 UE에게 알려주기 위해 사용하는 정보 요소(information element : 이후 IE로 표기)이다. 총 8 비트로 구성되어 bit 5678 의 경우는 정보 요소 식별자(information element identifier)로서 3GPP나 표준 기관에 의해 할당되는 값이 될 것이다. 한편 비트 123의 경우는 NAS 보안 모드를 활성화 시키는 타입을 알려주기 위해 사용되는 것으로 그 값의 구체적 예 중 하나의 실시예는 [표 3]을 참조하기로 한다. 또한 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되며 그 값의 구체적 예중 하나의 실시예는 [표 4] 의 실시예를 참조하기로 한다.The following Table 2 is an information element of an NAS security mode active type which is included in an authentication request message sent from the MME to the UE. This is an information element (hereinafter referred to as IE) used to inform the UE whether to use the NAS security mode. In total, it is composed of 8 bits. In case of bit 5678, it will be the value assigned by 3GPP or standard organization as information element identifier. In the case of the bit 123, it is used to inform the type of activating the NAS security mode, and one specific example of the value will be described with reference to [Table 3]. It is also used as a flag for determining whether to use the NAS security mode, and one specific example of the value will be described with reference to the embodiment of [Table 4].

Figure 112008058457214-pat00002
Figure 112008058457214-pat00002

메시지 2 : NAS 보안 모드 활성 타입 IE(Information element)Message 2: NAS security mode Active type IE (Information element)

하기의 [표 3]에서는 NAS 보안 모드 활성 타입에 따른 값의 할당에 대한 일 실시예를 기록하였다. 등록(attach), 핸드오버(handover), 위치 갱신(tracking area update), 그리고 MME의 요청 혹은 향후 사용을 위한 예약(reserved) 등의 경우에 다음과 같이 bit 123을 할당하여 000, 001, 010을 사용하여 구분한다. 한편 MME 요청에 의해 NAS 보안 모드를 활성화 하는 경우에는 011을 사용하며, 그 외 비트의 조합은 향후 사용을 위해 예약을 해둔다. Table 3 below shows an example of allocation of values according to the NAS security mode activation type. In the case of attach, handover, tracking area update, and MME request or reserved for future use, allocate bit 123 as follows to assign 000, 001, 010 . On the other hand, if the NAS security mode is activated by the MME request, 011 is used, and the combination of the other bits is reserved for future use.

Figure 112008058457214-pat00003
Figure 112008058457214-pat00003

메시지 3 : NAS 보안 모드 활성 타입 값(value) Message 3: NAS security mode Active type value (value)

하기의 [표 4]에서는 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되는 보안 플래그 값(security flag)에 대해 일 실시예를 표로 나타내었다. 4 bit 의 값이 0으로 세팅된 경우 NAS 보안 모드를 포함하지 않는 인증 요청 메시지(authentication request)를 MME(114)로부터 UE(110)로 전송한다. 이와 반면 1로 세팅된 경우는 NAS 보안 모드를 포함하는 인증 요청 메시지를 전송하게 된다. Table 4 below shows an example of a security flag used as a flag for determining whether to use the NAS security mode. When the value of 4 bits is set to 0, the MME 114 transmits an authentication request message including no NAS security mode from the MME 114 to the UE 110. On the other hand, if it is set to 1, the authentication request message including the NAS security mode is transmitted.

Figure 112008058457214-pat00004
Figure 112008058457214-pat00004

메시지 4 : NAS 보안 모드 활성 타입 IE의 보안 플래그 값 (security flag value) Message 4: security flag value of NAS security mode active type IE

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다. While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiment, it is to be understood that the invention is not limited to the disclosed embodiments, but is capable of various modifications within the scope of the invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the scope of the appended claims, and equivalents thereof.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도,1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to a preferred embodiment of the present invention;

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 2 is a flow diagram illustrating a procedure of authentication and NAS protocol security procedures according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 3 is a message flow diagram illustrating the procedures of authentication and NAS protocol security procedures according to an embodiment of the present invention.

도 4은 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 4 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in an MME according to an embodiment of the present invention.

도 5은 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 5 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in a terminal according to an embodiment of the present invention.

Claims (8)

이동통신 네트워크에서 비접속 계층 프로토콜을 이용한 단말의 네트워크 인증방법에 있어서, A method for network authentication of a terminal using a connectionless layer protocol in a mobile communication network, 이동성 관리 엔티티(MME, Mobility Management Entity)로부터 상기 단말을 인증하기 위한 인증요청메시지를 수신하는 단계;Receiving an authentication request message for authenticating the terminal from a Mobility Management Entity (MME); 상기 인증요청메시지에 상기 단말과 상기 MME사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드의 활성 여부를 나타내는 NAS보안 모드 관련 정보가 포함되었는지 여부를 판단하는 단계; 및Determining whether the NAS security mode related information indicating whether the NAS security mode is set for the NAS protocol operation between the terminal and the MME is included in the authentication request message; And 상기 판단결과에 따라 상기 인증요청메시지를 처리한 응답메시지를 상기 MME로 전송하는 단계;를 포함하는 인증 방법.And transmitting a response message processing the authentication request message to the MME according to the determination result. 제 1항에 있어서, 상기 NAS보안 모드 관련 정보는,The method of claim 1, wherein the NAS security mode related information includes: 보안 모드 활성 유형을 나타내는 필드를 포함하고, 상기 보안 모드 활성 유형은 단말등록, 핸드오버, 트래킹영역업데이트(TAU, Tracking Area Update), MME요청에 의한 경우 중 어느 하나인 인증 방법.Wherein the secure mode activation type is one of a terminal registration, a handover, a Tracking Area Update (TAU), and an MME request. 제 1항에 있어서, 상기 인증요청메시지에 상기 단말과 상기 MME사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 활성 명령이 포함되었는지 여부를 판단하는 단계는,The method of claim 1, wherein the determining whether the NAS security mode activation command for the NAS protocol operation between the terminal and the MME is included in the authentication request message, 상기 보안 모드 관련 정보에 포함된 상기 보안 모드를 사용할 것인지 여부를 나타내는 보안 플래그가 보안모드를 사용하는 것으로 설정되었는지를 판단하는 것인 인증 방법.And determines whether a security flag indicating whether to use the security mode included in the security mode related information is set to use the security mode. 제 3항에 있어서, 상기 보안플래그가 보안모드를 사용하는 것으로 설정된 경우,4. The method of claim 3, wherein if the security flag is set to use the security mode, 상기 인증요청메시지를 처리한 응답메시지를 상기 MME로 전송하는 단계는,Wherein the step of transmitting a response message to the MME processing the authentication request message comprises: 상기 응답메시지에 NAS 보안 모드가 활성화 된 것을 확인하였다는 보안 모드 완료 응답을 포함시켜 상기 MME로 전송하는 것을 특징으로 하는 인증 방법.Wherein the response message includes a security mode completion response indicating that the NAS security mode is activated, and transmits the security mode completion response to the MME. 이동통신시스템에서 비접속계층(NAS, non-Access Stratum)프로토콜을 이용한 이동성 관리 엔티티(MME, Mobility Management Entity)의 네트워크 보안관리방법에 있어서,A network security management method of a Mobility Management Entity (MME) using a non-access stratum (NAS) protocol in a mobile communication system, 단말과 상기 MME사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드의 활성 여부를 나타내는 NAS보안 모드 관련 정보를 포함하는 상기 단말의 인증을 위한 인증요청메시지 생성하는 단계;Generating an authentication request message for authentication of the terminal, the NAS security mode related information indicating whether the NAS security mode is set for the NAS protocol operation between the terminal and the MME; 상기 NAS보안 모드 관련 정보가 포함된 상기 인증요청메시지를 상기 단말에 전송하는 단계;및Transmitting the authentication request message including the NAS security mode related information to the terminal; 상기 NAS 보안 모드 관련 정보에 따라 상기 단말이 상기 인증요청메시지를 처리한 결과를 수신하는 단계;를 포함하는 네트워크 보완관리방법.And receiving a result of processing the authentication request message by the terminal according to the NAS security mode related information. 제 5항에 있어서, 상기 NAS 보안 모드 관련 정보는,6. The method of claim 5, wherein the NAS security mode related information comprises: 보안 모드 활성 유형을 나타내는 필드를 포함하고, 상기 보안 모드 활성 유형은 단말등록, 핸드오버, 트래킹영역업데이트(TAU, Tracking Area Update), MME요청에 의한 경우 중 어느 하나인 네트워크 보안관리방법.Wherein the secure mode activation type is one of a terminal registration, a handover, a Tracking Area Update (TAU), and an MME request. 제 5항에 있어서, 상기 NAS보안 모드 관련 정보는,6. The method of claim 5, wherein the NAS security mode related information comprises: 상기 보안 모드를 사용할 것인지 여부를 나타내는 보안 플래그를 포함하고, 상기 보안 플래그의 값에 따라 상기 단말이 상기 인증요청메시지를 처리하는 것을 특징으로 하는 네트워크 보안관리방법.And a security flag indicating whether to use the security mode, wherein the terminal processes the authentication request message according to the value of the security flag. 제 7항에 있어서, 상기 보안플래그가 보안모드를 사용하는 것으로 설정된 경우,8. The method of claim 7, wherein when the security flag is set to use the security mode, 상기 단말로부터 수신한 인증요청메시지의 처리 결과는 상기 단말의 NAS 보안 모드 완료 응답을 포함하는 것을 특징으로 하는 네트워크 보안관리방법.Wherein the processing result of the authentication request message received from the terminal includes a NAS security mode completion response of the terminal.
KR20080080253A 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system KR101485801B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Publications (2)

Publication Number Publication Date
KR20100021690A KR20100021690A (en) 2010-02-26
KR101485801B1 true KR101485801B1 (en) 2015-01-29

Family

ID=42091237

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Country Status (1)

Country Link
KR (1) KR101485801B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101706383B1 (en) 2010-05-03 2017-02-14 삼성전자주식회사 Short message service message delivery method and system in a mobile telecommunication system
KR101712865B1 (en) * 2010-09-09 2017-03-08 삼성전자주식회사 Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
KR102394620B1 (en) 2015-11-10 2022-05-09 삼성전자주식회사 Method and electronic device for establishing communication connection between electronic devices

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060042045A (en) * 2004-08-25 2006-05-12 한국전자통신연구원 Method for security association negotiation with extensible authentication protocol in wireless portable internet system
KR20070007373A (en) * 2004-04-26 2007-01-15 노키아 코포레이션 Improved subscriber authentication for unlicensed mobile access signaling
KR20070073343A (en) * 2006-01-04 2007-07-10 삼성전자주식회사 Method and appratus for session initiation protocol data transmission of idle mode user equipment in a mobile communication internet protocol mutimedia subsystem
EP1835652A1 (en) 2005-01-07 2007-09-19 Huawei Technologies Co., Ltd. A method for ensuring the safety of the media-flow in ip multimedia sub-system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070007373A (en) * 2004-04-26 2007-01-15 노키아 코포레이션 Improved subscriber authentication for unlicensed mobile access signaling
KR20060042045A (en) * 2004-08-25 2006-05-12 한국전자통신연구원 Method for security association negotiation with extensible authentication protocol in wireless portable internet system
EP1835652A1 (en) 2005-01-07 2007-09-19 Huawei Technologies Co., Ltd. A method for ensuring the safety of the media-flow in ip multimedia sub-system
KR20070073343A (en) * 2006-01-04 2007-07-10 삼성전자주식회사 Method and appratus for session initiation protocol data transmission of idle mode user equipment in a mobile communication internet protocol mutimedia subsystem

Also Published As

Publication number Publication date
KR20100021690A (en) 2010-02-26

Similar Documents

Publication Publication Date Title
KR101700448B1 (en) Method and system for managing security in mobile communication system
US11689920B2 (en) System and method for security protection of NAS messages
KR101213285B1 (en) METHOD AND APPRATUS FOR Session Initiation Protocol DATA TRANSMISSION OF IDLE MODE USER EQUIPMENT IN A MOBILE COMMUNICATION SYSTEM
US8861732B2 (en) Method and system for supporting security in a mobile communication system
KR101167781B1 (en) System and method for authenticating a context transfer
EP1881660B1 (en) A method, apparatus and system for wireless access
US9276909B2 (en) Integrity protection and/or ciphering for UE registration with a wireless network
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
US9609498B2 (en) Security control method and device in a mobile communication system supporting emergency calls, and a system therefor
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
KR101712865B1 (en) Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
KR101442325B1 (en) Emergency call handling in accordance with authentication procedure in communication network
US10320754B2 (en) Data transmission method and apparatus
JP7423744B2 (en) User data transmission over the control plane in communication systems using designated payload container types
US20100142499A1 (en) Support of uicc-less calls
US20170026896A1 (en) Terminal device, relay terminal device, and communication control method
KR101148036B1 (en) Method and system for handover to WLAN network from LTE network
EP2317694B1 (en) Method and system and user equipment for protocol configuration option transmission
KR20150051568A (en) Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment
CN111466131B (en) Method and computing device for partitioning traffic between multiple accesses
CN109691059A (en) The selection of IP version
US11882445B2 (en) Authentication system
EP3132627B1 (en) Gsm a3/a8 authentication in an ims network
KR101485801B1 (en) Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system
US11882105B2 (en) Authentication system when authentication is not functioning

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee