KR101490243B1 - 이종망간 핸드오버시 빠른 보안연계 설정방법 - Google Patents

이종망간 핸드오버시 빠른 보안연계 설정방법 Download PDF

Info

Publication number
KR101490243B1
KR101490243B1 KR20080059741A KR20080059741A KR101490243B1 KR 101490243 B1 KR101490243 B1 KR 101490243B1 KR 20080059741 A KR20080059741 A KR 20080059741A KR 20080059741 A KR20080059741 A KR 20080059741A KR 101490243 B1 KR101490243 B1 KR 101490243B1
Authority
KR
South Korea
Prior art keywords
network
security
authentication
related information
heterogeneous network
Prior art date
Application number
KR20080059741A
Other languages
English (en)
Other versions
KR20090005971A (ko
Inventor
한진백
김용호
류기선
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR20080059741A priority Critical patent/KR101490243B1/ko
Priority to PCT/KR2008/003937 priority patent/WO2009008627A2/en
Priority to US12/668,312 priority patent/US8549293B2/en
Publication of KR20090005971A publication Critical patent/KR20090005971A/ko
Application granted granted Critical
Publication of KR101490243B1 publication Critical patent/KR101490243B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/005Control or signalling for completing the hand-off involving radio access media independent information, e.g. MIH [Media independent Hand-off]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 명세서는 이종망간 핸드오버시 빠른 보안연계를 설정하기 위한 방법을 개시한다. 본 발명의 일 실시예에 따른 이종망간 보안연계를 설정하는 방법은, 단말 주변의 이종망에 대한 정보를 수신하는 제 1 단계와 단말 주변의 이종망 중에서 단말이 핸드오버 하고자하는 타겟 이종망으로 인증관련 정보의 전달을 요청하는 메시지를 전송하는 제 2 단계와 타겟 이종망의 인증 관련 정보 및 키 관련 정보를 수신하는 제 3 단계를 포함할 수 있다. 이때, 제 1 단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버 수행 전에 수행되는 것이 바람직하다.
이종망간 핸드오버, 보안연계, MIH

Description

이종망간 핸드오버시 빠른 보안연계 설정방법{A Method of establishing fast security association for handover between heterogeneous radio access networks}
본 발명은 광대역 무선접속 시스템에서 이종의 무선접속망간에 핸드오버를 하는 경우, 핸드오버 이전에 빠른 보안연계를 설정하는 방법에 관한 것이다.
이하에서는 멀티모드(Multi-Modal) 이동단말이 이종 무선접속망간 핸드오버를 수행할 때, 현재 제공받는 서빙 품질에 가능한 적은 영향을 주기 위한 MIH(Media Independent Handover) 기반의 빠른 보안연계 설정방법에 대하여 설명한다.
IEEE(Institute of Electrical and Electronic Engineers) 802.21 표준의 범위는 링크계층에 지능성을 제공하고, 이종망(Heterogeneous Network) 간의 핸드오버를 최적화하기 위해 연관된 망 정보를 상위계층에 전달하는 규격을 제정하는 것이다. IEEE 802.21 표준의 범위는 3GPP/3GPP2에 의해 명시된 링크뿐 아니라, IEEE 802 계열의 유무선망을 포함한다. 즉, IEEE 802.21 표준은 서로 다른 무선접속망간의 핸드오버를 지원하여 사용자 성능(User Experience)을 향상시키는 것을 목적으 로 하며, 이동단말과 망(Network)에서 사용할 수 있는 정보들의 협력적인 사용을 지원한다. 이를 위해, 이동단말 및 기지국과 같은 망의 접속점(Access Point)은 다중모드(Multi-Modal)를 제공해야 하며, 이는 복수의 무선표준을 지원하고, 동시에 하나 이상의 무선 인터페이스상(radio interface)의 연결을 허용할 수 있음을 의미한다.
MIH 기능(MIH Function)은 논리적인 개체로써, 이동단말(MS; Mobile Station)이 핸드오버 결정을 하도록 도와준다. MIH 개체는 이동단말과 망 모두에 위치할 수 있으며, 이동단말 주위의 접속망(Access Network)에 대한 설정이나 상태에 대한 정보를 주고받을 수 있도록 해준다. 이러한 정보는 이동단말의 서로 다른 프로토콜 스택에서 발생할 수도 있고, 여러 가지 망 개체에서 발생할 수도 있다. 일례로서, MIH 개체의 매체독립 정보서빙(MIIS : Media Independent Information Service)는 모든 형태의 망에 대한 정보에 접근할 수 있도록 하는 기능을 제공하며, 이는 매체에 종속되는 기술들을 통한 보고를 수신함에 의해 이루어진다.
도 1은 멀티모드(Multi-Modal) 이동단말과 IEEE 802 계열의 망 및 3GPP/3GPP2 망의 프로토콜 계층 구성도를 나타내는 도면이다.
멀티모드 이동단말은 모드별 인터페이스를 가지며, 이는 물리계층(PHY : Physical Layer)과 매체접근 제어계층(MAC : Medium Access Control Layer)으로 나눌 수 있다. MIH 개체는 IP 계층을 포함하는 상위계층 아래에 위치하며, 이는 IEEE 802 계열의 인터페이스간의 핸드오버 뿐만 아니라, IEEE 802 계열의 인터페이스와 3GPP/3GPP2에 의해 정의된 인터페이스 상호간의 핸드오버를 정의한다. 즉, MIH 개 체는 다른 망에 대한 정보를 제 2 계층으로부터 얻어서 이종망간 핸드오버 처리과정을 용이하게 한다. 한편, MIH 기능(MIH Function)은 사용자 정책이나 구성 등과 같은 제 3 계층으로부터의 정보를 이용하여 MIH 시그널링을 교환할 수도 있다.
도 2는 종래기술에 따른, IEEE 802.16 시스템의 이동단말에 대한 인증절차를 설명하기 위한 흐름도이다.
도 2는 현재 쓰이고 있는 인증절차에 관한 것으로서, 개략적인 메시지의 흐름과 정보의 전송형태를 나타내고 있다. 다만, 이동단말이나 기지국(BS: Base Station) 또는 인증서버에서 송수신하는 정보들을 포함하는 메시지들의 형태는 다양할 수 있다.
도 2를 참조하면, 이동단말이 망에 진입하고자 하는 경우, 이동단말은 기지국과 동기를 획득하고, 레인징을 수행하고, SBC-REQ/RSP 메시지를 통해 서로 간에 초기성능에 대한 협의를 수행한다(S201). 상기 S201 단계에서 이동단말과 기지국은 초기성능을 협상한다. 이때 이동단말과 기지국 사이에서 송수신되는 메시지의 일례로서 표 1의 SBC-REQ/RSP 메시지가 있다.
SBC-REQ/RSP{
필수적 파라미터
Physical Parameters Supported
Bandwidth Allocation Support
선택적 파라미터
Capabilities for construction and transmission of MAC PDUs
PKM Flow Control
Authorization Policy Support
Maximum Number of Supported Security Association
Security Negotiaiton Parameters
HMAC-CMAC Tuple
}
표 1에서 SBC-REQ(Subscribe Station Basic Request) 메시지는 초기화시 이동단말에 의해 전송되며, 이에 대한 응답으로서 기지국에서는 SBC-RSP(Subscribe Station Basic Response) 메시지를 이동단말로 전송한다. SBC-REQ/RSP 메시지는 이동단말과 기지국간의 기본능력을 협상하기 위한 메시지이다.
기본능력 협상은 레인징이 끝난 직후에 이동단말이 자신의 기본 능력(basic capabilities)을 기지국에 알리고자 하는 것이다. 표 1에서 SBC-REQ/RSP 메시지에는 반드시 포함되어야 하는 파리미터들 이외에 선택적으로 포함될 수 있는 파라미터들이 존재한다. 이 중에서 보안연계(SA: Security Association)와 관련된 것은 인가정책 지원(Authorization Policy Support) 필드와 보안협상(Security Negotiation) 파라미터들이 있다.
인가정책 지원 필드는 SBC-REQ/RSP 메시지에 포함되는 필드의 한가지로서, 이동단말과 기지국이 협상하고 동기를 맞춰야하는 인가정책을 명시한다. 인가정책 지원필드가 생략되면 이동단말 및 기지국은 X.509 인증서와 RSA 공개키 알고리즘을 갖는 IEEE 802.16 보안을 인가정책으로 사용해야 한다. 인가정책 지원(Authorization Policy Support) 필드의 일례는 다음의 표 2와 같다.
타입 길이 영역
1 Bit #0: IEEE 802.16 Privacy Supported
Bits #1-7: Reserved, shall be set to zero		 SBC-REQ, SBC-RSP
상기 표 1에 포함될 수 있는 보안협상 파라미터 필드는 초기 인가절차나 재인가(Reauthorization) 절차를 수행하기 전에 협상하여야 하는 보안 능력(Security Capabilities)을 지원하는지 여부를 명시한다.
표 3은 보안협상(Security Negotiation) 파라미터 필드의 일례를 나타낸다.
타입 길이 내용 영역
25 variable The Compound field contains the subattributes as defined in the table below SBC-REQ, SBC-SRP
타입 길이
1 Bit #0: RSA-Based Authorization at the Initial Network Entry
Bit #1: EAP-Based Authorization at Initial Network Entry
Bit #2: Authenticated EAP-based Authorization at the initial
Network Entry
Bit #3: Reserved, set to 0
Bit #4: RSA-Based Authorization at Reentry
Bit #5: EAP-Based Authorization at Reentry
Bit #6: Authentiacted EAP-Based Authorization Reentry
Bit #7: reserved, shall be set to 0
Subattribute 내용
PKM Version Support Version of Privacy Sublayer Supported
Authorization Policy Support Authorization Policy to Support
Message Authentication code Mode Message Authentication Code to Support
PN Window size Size Capability of the Receiver PN Window per SAID
한편, 상기 표 3의 PKM Version Support 필드는 PKM 버전을 명시한다. 즉, 단말과 기지국 모두가 오직 하나의 PKM Version을 협상해야만 한다. 표 4는 PKM Version Support 필드의 일례를 나타낸다.
타입 길이
25.1 1 Bit #0: PKM Version 1
Bit #1: PKM Version 2
Bits #2-7: 예약값, 0으로 설정
도 2를 참조하면, 이동단말은 기지국을 통해 인증서버(AAA Server: Authentication, Authorication, Accounting Server)로 확장가능 인증 프로토콜(EAP: Extensible Authentization Protocol) 인증을 요청한다. 이에 응답하여, 인증서버는 이동단말에 EAP 인증방법을 통해 사용자에 대한 인증을 수행한다(S202). EAP 인증방법으로 EAP-TLS의 경우 X.509 인증서를 사용하는 방법이 가능하며, EAP-SIM의 경우 가입자 식별 모듈(SIM: Subscriber Identity Module)과 같은 특정한 형태의 신용 보증서를 사용하는 방법이 가능하다. 다만 시스템의 요구사항에 따라, 공개키 암호방식을 이용한 암호 알고리즘을 사용하는 RSA 인증방식이 사용될 수도 있다.
상기 S202 단계에서 이동단말(또는, 사용자)에 대한 인증이 성공적으로 완료되면, 인증서버에서 EAP 기반 인증방식을 통해 마스터 키(MSK: Master Session Key)를 생성한다. 인증서버는 MSK를 기지국에 전송한다(S203). 기지국은 인증서버로부터 수신한 MSK를 이동단말에 전송하여 공유한다(S204).
인증 키(AK: Authorization Key)는 PMK를 이용하여 이동단말 및 기지국에서 생성될 수 있다(S205). MSK를 이용하여 AK를 생성할 수 있고, AK는 이동단말과 기지국 사이에 통신을 위한 TEK(Traffic Encryption Key)를 생성하기 위해 사용된다.
이동단말과 기지국은 3-Way 핸드세이킹(handshaking)을 통해 TEK를 공유한다(S206). 3-Way 핸드세이킹은 SA-TEK 챌린지(SA-TEK challenge), SA-TEK 요청, SA-TEK 응답의 3 단계 핸드세이킹을 통해 수행된다. 이때 실제 데이터를 암호화하기 위해 사용되는 TEK를 생성해서 단말과 기지국이 공유한다.
인증 절차를 수행하여 AK를 생성한 기지국과 이동단말은 TEK를 공유하고 이후 망 진입 절차를 수행한다(S207).
상술한 바와 같이, 종래의 이동 통신 시스템에서는 이종 무선접속망간 핸드오버시의 보안연계에 대해서는 기술된 것이 없다. 예를 들어, IEEE 802.16 망을 사용하는 이동단말이 다른 무선접속 시스템으로 핸드오버를 할 경우, 이를 위한 보안연계를 설정방법에 대해서 정의되어 있지 않다. 따라서, 이를 위한 방안이 필요하다.
또한, 종래기술에서 설명한 IEEE 802.21 시스템에서 정의하는 멀티모드(Multi-Modal) 이동단말의 이종 무선접속망간 핸드오버는 이동단말이 새로운 망과 제 2 계층 핸드오버를 수행하는 과정에서 인증 및 암호화 키 획득절차를 새로 수행하도록 정의하고 있다. 이는 사용자가 서비스를 제공받는 경우 적지않은 시간의 지연을 초래할 것으로 예상되며, 데이터 손실의 가능성도 배제할 수 없다. IEEE 802.16m 시스템의 기본 요구사항 중 하나는 상이한 무선접속 시스템으로의 접근이 가능해야 한다는 것이므로, IEEE 802.16 광대역 무선접속 시스템이 아닌 다른 이종의 무선접속 시스템으로 이동단말이 핸드오버하는 경우에 대한 보안연계의 설정방안이 필요하다.
본 발명은 상기한 바와 같은 종래기술의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 서로 다른 무선접속기술 상호간의 접근을 허용하고, 사용자의 입장에서 끊김 없는 서비스를 제공받을 수 있도록 하면서, 시스템망에 큰 부하를 주지 않는 빠른 보안연계 설정방법을 제공하는 것이다.
본 발명의 다른 목적은 멀티모드 이동단말의 MIH(Media Independent Handover) 개체를 통해, 각 무선접속기술이 사용하는 인증서버 상호 간에 단말의 인증 성공 여부에 대한 정보를 교환하여, 종래기술에서와 같이 처음부터 인증을 새로이 수행함에 의해 초래될 수 있는 부하와 지연을 줄이고 빠른 보안연계를 설정할 수 있는 방법을 제안하는 것이다.
본 발명의 또 다른 목적은, 신속한 보안연계를 설정하기 위해 상이한 무선접속기술간(Inter-Radio Access Technology) 핸드오버가 발생하는 경우에 타겟망(Target Network)에서 사용될 보안 컨텍스트들(Security Contexts)을 빨리 이동단말에게 전달하는 방법을 제공하는 것이다.
본 발명의 일 실시예로서 이종망간 보안연계를 설정하는 방법은 단말 주변의 이종망에 대한 정보를 수신하는 제 1 단계와 단말 주변의 이종망 중에서 단말이 핸드오버 하고자하는 타겟 이종망으로 인증관련 정보의 전달을 요청하는 메시지를 전송하는 제 2 단계와 타겟 이종망의 인증 관련 정보 및 키 관련 정보를 수신하는 제 3 단계를 포함할 수 있다. 이때, 제 1 단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버 수행 전에 수행되는 것이 바람직하다. 또한, 제 1 단계, 제 2 단계 및 제 3 단계는, 이동단말의 MIH 개체에서 수행되는 것이 바람직하다.
또한, 상기 주변의 이종망에 대한 정보는, 주변의 이종망의 인증 방법 및 암호화 알고리즘을 포함하는 제 2 계층의 보안 관련 파라미터를 포함할 수 있다.
또한, 상기 방법에서 타겟 이종망의 인증관련정보는, 타겟 이종망에서 사용되는 보안 컨텍스트들을 포함할 수 있다. 이때, 보안 컨텍스트들 및 키 관련 정보 는, 타겟망 인증서버에서 생성되는 것이 바람직하다.
또한, 상기 방법에서 상기 이종망에 관한 정보는 정보 서버에서 생성될 수 있다.
본 발명의 다른 실시예로서 이종망간 보안연계를 설정하는 방법은 단말로부터 단말 주변의 이종망으로 인증관련 정보의 전달을 요청하는 메시지를 수신하는 제 1단계와 이종망 중 단말이 진입하고자 하는 타겟 이종망의 인증서버로 이종망의 인증관련 정보의 전달을 요청하는 메시지를 전송하는 제 2 단계와 타겟 이종망의 인증서버로부터 이종망의 인증 및 키 관련 정보를 포함하는 메시지를 수신하는 제 3 단계를 포함할 수 있다. 이때, 제 1 단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버시 서빙 인증서버에서 미리 수행되는 것이 바람직하다.
상기 방법에서 제 1 단계, 제 2 단계 및 제 3 단계는, 서빙 인증서버의 MIH 개체에서 이루어지는 것이 바람직하다.
본 발명의 또 다른 실시예로서 이종망간 보안연계를 설정하는 방법은, 타겟 이종망의 인증 관련 정보 및 키 관련 정보를 요청하는 메시지를 수신하는 제 1 단계와 인증 관련 정보 및 키 관련 정보를 생성하는 제 2 단계와 인증 관련 정보 및 키 관련 정보를 포함하는 메시지를 전송하는 단계를 포함할 수 있다. 이때, 제 1단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버 전에 미리 수행되는 것이 바람직하다.
상기 방법은, 타겟망 인증서버의 매체독립핸드오버(MIH) 엔터티에서 상위계층 또는 하위계층으로 인증관련정보 및 키관련정보를 요청하는 단계와 상위계층 또 는 하위계층에서 인증관련정보 및 키관련정보를 생성하는 단계를 더 포함할 수 있다. 이때, 타겟 이종망의 인증관련정보는 타겟 이종망에서 사용되는 보안 컨텍스트들을 포함할 수 있다.
본 발명의 또 다른 실시예로서 이종망간 보안연계를 설정하는 방법은, 정보서버로부터 단말 주변의 이종망에 대한 정보를 수신하는 제 1 단계와 단말이 핸드오버 하고자하는 타겟 이종망으로 인증관련 정보의 전달을 요청하는 메시지를 서빙 인증자의 MIH 개체로 전송하는 제 2 단계와 타겟 이종망의 인증관련 정보 및 키 관련 정보를 서빙 인증자의 MIH 개체로부터 수신하는 제 3 단계를 포함할 수 있다. 이때, 제 1 단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버를 수행하는 경우에 단말의 MIH 개체에서 미리 수행될 수 있다.
본 발명의 또 다른 실시예로서 이종망간 보안연계를 설정하는 방법은, 단말의 MIH 개체로부터 타겟 이종망에서 사용되는 인증관련정보를 요청하는 메시지를 수신하는 제 1단계와 타겟 이종망 인증자의 MIH 개체로 인증관련정보의 전달을 요청하는 메시지를 전송하는 제 2 단계와 타겟 이종망 인증자의 MIH 개체로부터 인증관련정보 및 키 관련 정보를 포함하는 메시지를 수신하는 제 3 단계를 포함할 수 있다. 이때, 제 1 단계, 제 2 단계 및 제 3 단계는 이종망간 핸드오버시 서빙 인증자에서 미리 수행되는 것이 바람직하다.
본 발명에 따르면 다음과 같은 효과가 있다.
첫째, 이동단말이 이종 무선접속망으로 핸드오버를 하는 경우에, 이동단말, 기지국 및 인증서버들의 MIH 개체를 이용하여 빠른 보안연계를 설정함으로써, 이종 무선접속망간 핸드오버 절차를 빠르게 수행할 수 있게 하는 효과가 있다.
둘째, 이종 무선접속기술간 핸드오버가 발생하는 경우에 타겟망에서 사용되는 보안 컨텍스트들을 핸드오버 전에 미리 이동단말에 전송함으로써, 신속한 보안연계를 설정할 수 있는 효과가 있다.
셋째, 이종 무선접속망간 핸드오버를 하는 경우에, 각 무선접속기술이 사용하는 인증서버 상호간에 이동단말의 인증관련 정보를 미리 교환함으로써, 핸드오버시 새로 인증절차 등을 수행하지 않게 되어, 통신망 상호간 정보전달에 따른 부하와 전송 지연을 줄일 수 있다.
상기의 기술적 과제를 해결하기 위해, 본 발명은 광대역 무선접속 시스템에 관한 것으로서 멀티모드 이동단말이 이종 무선접속망간 핸드오버를 수행할 때, 현재 제공받는 서빙 품질에 가능한 적은 영향을 주기 위한 빠른 보안연계 설정방법을 제공한다.
본 발명의 일 특징은, 이동단말이 이종 무선접속망으로 핸드오버를 하는 경우에 해당 이동단말에 대해 시간이 많이 소요되는 인증 절차를 대신하여, 현재의 무선접속 시스템이 단말의 잠재적인 핸드오버 대상 무선접속 시스템으로 인증의 성공 여부를 안전하게 전달하여 빠른 보안연계를 설정하는 것이다.
본 발명의 다른 특징은, 멀티모드 이동단말의 MIH 개체를 통해 각 무선접속 기술이 사용하는 인증서버 상호 간에 단말의 인증 여부에 대한 정보를 교환하여, 종래기술과 달리 인증 과정을 새로이 수행함에 의해 초래될 수 있는 부하와 지연을 줄이고, 빠른 보안연계를 설정하는 방법을 제공하는 것이다.
본 발명의 또 다른 특징은, 신속한 보안연계를 설정하기 위해 상이한 무선접속기술간(Inter-Radio Access Technology) 핸드오버가 발생하는 경우에 타겟망(Target Network)에서 사용될 보안 컨텍스트들(Security Contexts)을 신속히 이동단말에게 전달하는 방법을 제공하는 데 있다.
이하에서 첨부된 도면을 참조하여 설명되는 본 발명의 실시예들에 의해 본 발명의 구성, 작용 및 다른 특징들이 용이하게 이해될 수 있을 것이다.
도 3은 핸드오버 및 초기 망 진입 절차를 설명하기 위한 흐름도이다.
도 3을 참조하면, 이동단말이 핸드오버 및 초기 망 진입시 셀을 선택한다(S301, S302). 셀 선택은 이동단말이 네트워크 연결이나 핸드오버를 위한 적당한 기지국을 찾기 위해 하나 이상의 기지국과 스캐닝(Scanning)이나 레인징(Ranging)을 수행하는 절차이다. 이동단말은 기지국으로의 초기 망 진입 또는 타겟 기지국으로 핸드오버 가능성을 판단하기 위해 스캔 구간이나 슬립 구간을 스케줄링해야 한다.
이동단말은 초기 망 진입시 서빙 기지국과의 동기 및 하향링크 파라미터를 획득한다(S303). 서빙(Servce) 기지국은 현재 이동단말이 진입하고자 하는 망에서 서비스를 제공하는 기지국을 말한다. 서빙 기지국과의 동기를 획득한 이동단말은 서빙 기지국으로의 상향링크 파라미터를 획득하고(S304), 서빙 기지국과 레인징 절차를 수행하며 상향링크 파라미터를 조정한다(S305). 이상의 절차를 통해 이동단말 과 서빙 기지국은 통신을 위한 기본 기능을 형성하게 된다(S306). 서빙 기지국은 이동단말을 인가하고 키(key)를 교환한다(S307). 이로써 이동단말은 서빙 기지국에 등록되고(S308), IP 연결이 설정된다(S309).
서빙 기지국은 이동단말에 동작 파라미터들을 전송하여 이동단말의 통신 절차를 수행하게 하고(S310), 이동단말과 서빙 기지국이 연결이 설립되어(S311), 이동단말과 기지국은 정상적인 동작을 수행할 수 있다(S312). 이동단말은 서빙 기지국에서 정상적인 동작을 수행하는 도중에도 계속해서 인접 기지국을 탐색한다(S313). 이는 이동단말이 이동 과정에서 서빙 기지국으로부터 멀어짐에 따라 서빙 기지국에서 제공되는 서빙의 품질이 약해지므로 보다 나은 서비스를 제공할 수 있는 기지국을 탐색하기 위해서이다. 따라서, 서빙 기지국보다 나은 서비스를 제공하는 인접 기지국을 타겟(Target) 기지국이라 하며, 타겟 기지국을 탐색하여 이동단말은 핸드오버를 수행한다.
일반적으로 핸드오버는 이동단말이 서빙 기지국에서 타겟 기지국으로 셀 영역을 이동하는 경우에 발생하는 것이다. 핸드오버는 이동단말이 무선 인터페이스, 서빙 플로우 및 망 접속점을 서빙 기지국에서 타겟 기지국으로 전환하는 것으로, 이동단말, 서빙 기지국 또는 망 관리자에서 핸드오버를 결정하는 것으로 시작된다(S314).
이동단말은 타겟 기지국을 선택하고(S315), 타겟 기지국과 동기 획득 및 하향링크 파라미터를 획득한다(S316). 이동단말은 타겟 기지국의 상향링크 파라미터를 획득하고(S317), 타겟 기지국과 레인징 및 상향링크 파라미터를 조정한 다(S318). 이때, 이동단말이 타겟 기지국의 식별자, 주파수, 상향/하향 채널 디스크립터(UCD/DCD)를 포함한 NBR-ADV 메시지를 미리 수신하였다면 스캔 과정과 동기화 절차가 간소화될 수 있다. 타겟 기지국이 백본망을 통해 서빙 기지국으로부터 핸드오버 통보를 수신하였다면 비경쟁 방식의 초기 레인징 기회를 UL-MAP으로 제공할 수 있다.
이상의 절차를 통해 이동단말과 타겟 기지국은 기본 기능을 형성하게 되고(S319), 이동단말과 타겟 기지국은 레인징을 수행하여 망 재진입 절차를 시작한다. 또한, 이동단말은 타겟 기지국에 재등록 및 재연결이 설정된다(S320). 이로써 이동단말은 타겟 기지국에 등록되며(S321), 타겟 기지국의 IP 연결도 이동단말에 재설정 된다(S322). 이로써, 타겟 기지국은 서빙 기지국이 되어 단말에 서비스를 제공할 수 있다.
도 3에서 핸드오버를 하는 경우를 다시 설명하면, 이동단말은 스캐닝을 통해 얻은 인접 기지국들에 대한 정보를 통해 셀을 선택하고, 서빙 기지국에서 타겟 기지국으로 핸드오버를 한다는 결정을 내릴 수 있다. 핸드오버를 결정하면 이동단말은 타겟 기지국과 동기화를 수행하고, 레인징 절차를 수행한다. 그 후, 이동단말에 대한 재인가(reauthorization)가 수행되는데, 이때, 타겟 기지국은 백본 메시지를 통해 서빙 기지국에게 이동단말에 대한 정보를 요청할 수 있다.
타겟 기지국이 보유하는 이동단말과 관련된 정보에 따라 핸드오버 및 망 재진입(Network Reentry) 절차가 많이 감소할 수 있다. 또한, 타겟 기지국이 보유하는 단말에 대한 정보의 양에 따라서 몇 가지 망 진입(Network Entry) 절차들이 생 략될 수 있다.
도 4는 본 발명의 일 실시예에 따른, MIH(Media Independent Handover) 개체 기반의 멀티모드 이동단말에 의한 이종 무선접속망 간의 핸드오버를 설명하기 위한 흐름도이다.
도 4를 참조하면, 멀티모드 이동단말은 망 X와 연결을 유지하고 통신을 수행하면서 망 X로부터 주변의 다른 망에 대한 정보를 획득할 수 있다. 이때, 이동단말은 도 1의 프로토콜 계층의 MIH 기능에서 정의하는 정보 서비스를 통해 인증방법, 암호화 알고리즘 등 제 2 계층 보안과 관련된 정보를 획득할 수 있다(S401).
이때, 본 발명의 일 실시예에서의 이동단말은 멀티모드를 지원한다. 이동단말의 MAC 계층은 MAC 1 및 MAC 2 계층으로 구성되어, MAC 1 계층은 망 X와 통신을 수행할 수 있고, MAC 2 계층은 망 Y와 통신 수행을 지원할 수 있다. 즉, 이종망간에 핸드오버가 발생하는 경우에도 이동단말은 각 이종망과 메시지를 송수신할 수 있는 것이다.
이동단말은 스캐닝을 통해 인접 망으로부터 신호를 수신하며, 망 발견 및 선택 절차를 수행한다(S402). 이때, 이동단말의 상위 계층인 L3 MP에서는 핸드오버를 결정하고 핸드오버 대상 망을 선택한다(S403).
현재의 서빙망 X로부터 수신되는 신호 레벨이 일정수준 이하로 떨어지는 경우, 이동단말의 MAC 1 인터페이스는 이를 상위 계층의 MIH 개체에 로컬 이벤트 트리거를 통해 보고하고, 원격 이벤트 트리거를 통해 망 X의 MIH 개체에 알린다(S404).
망 X의 MIH 개체는 핸드오를 수행할 망 Y의 MIH 개체에 IP 정보를 요청하고(S405), 이를 수신한 망 Y는 IP 정보를 망 X의 MIH 개체에 전달한다(S406). 망 X는 망 Y로부터 IP 정보를 수신하여 이동단말의 MIH 개체로 전송한다(S407).
망 Y의 IP 정보를 수신한 이동단말은 이를 바탕으로 CoA를 생성하고, 망 Y로 핸드오버시 사용할 IP 주소를 미리 얻을 수 있다(S408). 이동단말의 MIH 개체는 망 Y로 핸드오버를 위하여 해당 인터페이스의 MAC 개체에 제 2 계층 핸드오버를 위한 절차를 수행하도록 명령한다(S409).
이동단말은 망 Y와 인증(Authentication) 및 보안관련 절차를 포함해서, 망 초기 등록 절차를 수행함으로써 망 Y로의 제 2 계층 핸드오버 절차를 수행한다. 즉, 이동단말의 MAC 2 계층에서 망 Y의 MAC 계층으로 인증을 요청하고(S410), 망 Y의 MAC 계층에서 이에 대한 응답으로 연계를 허락하는 메시지를 이동단말의 MAC 2 계층으로 전송한다(S411).
이동단말이 망 Y와 제 2 계층 핸드오버(망 등록 절차)를 완료하면, 이동단말의 MAC 계층은 제 3계층 핸드오버 수행을 위해 이를 상위 계층인 L3 MP에 보고한다(S412). 이동단말은 새로운 망(예를 들어, 망 Y)으로부터 획득한 CoA를 홈 에이전트(HA: Home Agent)에 등록하는 절차를 포함하는 제 3 계층 핸드오버를 수행하며, 핸드오버가 완료되면 새로운 망과 통신을 재개한다(S413). 이동단말은 이전 망인 망 X와의 연결을 해제한다(S414, S415).
본 발명의 일 실시예들을 설명하기에 앞서, 본 발명의 일 실시예들이 바람직하게 수행되기 위해 요구되는 보안 요구사항이 있다.
예를 들어, 3GPP 망과 같은 이기종 무선접속기술에서 이동단말과 망에 의해 장기간 공유되는 보안 인증서(Security Credential)는 멀티모드 이동단말의 SIM 카드나 UICC 카드에 저장될 수 있으며, 본 발명의 일 실시예에서 예시하는 IEEE 802.16 망이외의 이기종 무선접속망은 보호된 인증의 성공이나 실패 여부를 알려주기 위한 다양한 EAP 방법 기반의 인증서버와 연계되는 것이다. 또한 IEEE 802.16 망은 3GPP 망이나 기타 이기종 무선접속망과의 연동을 위해 로밍협약을 맺고 있는 것이 바람직하다. 이기종 무선접속망에서 제공되는 보안 컨텍스트들은 IEEE 802.16 망에서 요구되는 것과 동등한 수준의 보안성(예를 들어, 키의 길이)을 제공하는 것이 본 발명의 실시예를 위해 적합하다. 또한, 서빙망 인증서버와 타겟망 인증서버간에 교환되는 인증성공의 여부나 보안 컨텍스트들에 대한 보호가 제공되는 것이 바람직하다. 사용자 식별자(예를 들어, IMSI, TMSI)의 보호를 위해, 상기 식별자들이 노출되지 않는 것이 바람직하다.
도 5는 본 발명의 일 실시예에 따른, 이종의 무선접속망간 핸드오버를 하는 경우 빠른 보안연계 설정방법을 설명하기 위한 흐름도이다.
도 5에서는 이종의 무선접속 망간 핸드오버를 하는 경우를 가정하는데, 현재 서비스를 제공받는 망은 IEEE 802.16 시스템을, 핸드오버를 하고자 하는 다른 종류의 망은 3GPP 시스템을 채택한 망을 예로 들어 설명한다. 다만, 이는 3GPP 망에서 IEEE 802.16 망으로 핸드오버 하는 경우에도 유사한 절차가 수행될 수 있으며, 기타 다른 종류의 망에서도 유사한 절차로서 이종의 무선접속 망간 핸드오버를 하는 경우의 빠른 보안 연계 설정방법에도 적용이 가능하다.
또한, 인증서버는 네트워크 개체 중 하나로서, 실제 사용자에 대한 인증 및 보안관련 키(Keying Material)의 생성과 분배가 인증서버에서 수행될 수 있다. 인증서버는 각 이동단말의 인증, 키 관리 및 과금 등과 관련된 개체이다. 또한, 정보서버는 네트워크 개체 중 하나로서, 정보서버는 인접한 이종 및/또는 동종 망에 대한 정보를 제공할 수 있다. 정보서버는 특히 이종망간 핸드오버(MIH: Media Independent Handover)를 위한 것이다. 즉 이종망간의 핸드오버를 하기 위해서 이종망의 정보를 핸드오버 이전에 획득하여 이동단말에 제공하는 역할을 수행할 수 있다.
MIH 기능(MIH Function)은 논리적인 개체로서, 이종 무선접속망간 핸드오버 결정을 하도록 도와준다. 이는 이동단말과 기지국 및 인증서버에 모두 존재할 수 있으며, 이동단말 주위의 접속망에 대한 설정이나 상태에 대한 정보를 주고받을 수 있게 해 준다.
본 발명의 일 실시예에서 사용되는 용어들은 본 발명의 기술적 사상을 효과적으로 전달하기 위해 사용된 것으로서, 다른 형태의 용어라도 동일하거나 균등한 범위에서의 기술적 사상을 표현하는 용어로서 사용될 수 있음은 당업자에 자명하다. 또한, 현재 서비스를 제공하는 기지국을 서빙(Service) 기지국으로, 현재 이동단말 및 기지국이 속해 있는 망의 인증서버를 서빙 인증서버로, 현재 망을 서빙망으로 호칭할 수 있다. 본 발명의 일 실시예에서, 서빙 기지국은 서빙 인증자로 사용될 수 있다. 서빙 인증자는 서빙 기지국을 포함하는 상위 개념이다.
도 5를 참조하면, 초기 단계에서 이동단말은 도 2의 과정을 현재 서비스를 받고 있는 기지국 및 기지국이 속해 있는 망의 인증서버와 수행한다. 즉, 멀티모드 이동단말이 IEEE 802.16 망에 접속하여 EAP 기반의 인증 방법을 통한 마스터 세션 키(Master Session Key) 및 AK(Authorization key) 공유, 3-Way 핸드세이킹을 통한 TEK 공유 등의 과정을 수행한다(S501~S505). S501~S505 단계를 통해 IEEE 802.16 망 인증서버는 이동단말에 대한 인증 성공 여부를 인식할 수 있게 되고, 향후 이종 무선접속망간 핸드오버시에 이를 활용할 수 있다.
본 발명의 일 실시예에서 예시하는 시스템 중 하나인 IEEE 802.16e 시스템에서, 기본능력 협상 과정은 레인징이 종료된 후 SBC-REQ 메시지를 통해서 이동단말이 자신의 기본능력을 망에 알리고, 이에 대한 응답으로서 망(또는, 네트워크)은 SBC-RSP 메시지를 통해 망과 이동단말의 능력 중 공통되는 부분을 알려주는 것으로 이루어진다. 본 발명의 일 실시예에서 제안하는 이종 무선접속망간 핸드오버시 빠른 보안연계 설정을 위해, SBC-REQ 및 SBC-RSP 메시지는 이종 무선접속망간 인가정책 지원(Inter-RAT Authorization Policy Support) 파라미터를 포함할 수 있다. 따라서, 이종 무선접속망간 핸드오버를 수행할 경우, 단말 및 타겟 망 인증 서버는 처음부터 새로운 인증절차를 수행해야 한다. 이 인증 절차는 타겟 망 인증서버에 의해 지원되는 인증방식을 따를 수 있다.
수정된 SBC-REQ 및 SBC-RSP 메시지는 상기 S501 단계에서 쓰일 수 있다. 다음의 표 5는 수정된 SBC-REQ 및 SBC-RSP 메시지의 일례를 나타낸다.
SBC-REQ/RSP{
필수적 파라미터
Physical Parameters Supported
Bandwidth Allocation Support
선택적 파라미터
Capabilities for construction and transmission of MAC PDUs
PKM Flow Control
Authorization Policy Support
Inter_RAT Authorization Policy Support
Maximum Number of Supported Security Association
Security Negotiaiton Parameters
HMAC-CMAC Tuple
}
표 5의 수정된 SBC-REQ 및 SBC-RSP 메시지는 이종 무선접속망간 인가정책 지원(Inter-RAT Authorization Policy Support) 파라미터를 포함할 수 있다. 이종 무선접속망간 인가정책 지원 파라미터는 이동단말이 다른 무선접속망으로 핸드오버 하는 경우, 이동단말과 망이 협상하고 동기를 맞추어야하는 인가정책 지원 여부를 명시한다. Inter-RAT Authorization Policy Support 파라미터는 종래의 인가정책 지원과 유사하게, SBC-REQ/RSP 관리메시지 인코딩에 포함되는 하나의 필드이다.
다음 표 6은 본 발명의 일 실시예에서 사용되는 Inter-RAT Authorization Policy Support 파라미터의 일례를 나타낸다.
타입 길이 영역
1 Bit #0: IEEE 802.16m Privacy Supported
Bits #1-7: Reserved, shall be set to zero		 SBC-REQ, SBC-RSP
타입 길이
1 Bit #0: RSA-Based Authoriization at Inter-RAT Handover
Bit #1: EAP-Based Authoriization at Inter-RAT Handover
Bits #2-#7: Reserved, shall be set to zero
만약, 표 5에서 표 6의 Inter-RAT Authorization Policy Support 파라미터가 생략되면 이종 무선접속망간의 핸드오버시 빠른 보안연계 설정은 지원되지 않고, 단말과 망은 X.509 인증서 및 RSA 공개키 암호화 알고리즘과 또는 EAP 인증 방법을 사용하는 종래의 IEEE 802.16 보안을 인가정책으로 사용해야 한다. 따라서, 이종 무선접속망간 핸드오버를 수행할 경우, 단말과 타겟 망 인증서버는 처음부터 새로운 인증절차를 수행해야 한다. 이 인증절차는 타겟 망 인증서버에 의해 지원되는 인증방식을 따른다.
이종 무선접속망간 보안협상(Security Negotiation) 파라미터 필드는 상이한 무선접속기술을 사용하는 망으로 핸드오버할 경우, 인가절차 이전에 협상되어야하는 보안능력을 명시한다.
본 발명의 바람직한 일 실시예에서 사용될 수 있는 수정된 보안협상 파라미터의 일례는 표 7과 같다.
타입 길이 영역
25 1 The compound field contains the
subattributes as defined in the table below		 SBC-REQ, SBC-RSP
Subattribute 내용
PKM Version Support Version of Privacy Sublayer Supported
Authorization Policy Support Authorization Policy to Support
Inter-RAT Authorization Policy Support Inter-RAT Authorization Policy to Support
Message Authentication code Mode Message Authentication Code to Support
PN Window size Size Capability of the Receiver PN Window per SAID
수정된 보안협상 파라미터 필드는 초기 인가절차나 재인가(Reauthorization) 절차를 수행하기 전에 협상되어야 할 보안능력을 명시한다. PKM Version Support 필드는 PKM 버전을 명시한다. 즉, 단말과 망 모두 하나의 PKM Version을 협상하여야 한다는 의미이다.
본 발명의 일 실시예에서 사용되는 수정된 보안협상 파라미터 필드에 포함되는 PKM Version Support 필드는 표 8에 나타나있다.
타입 길이
25.1 1 Bit #0: PKM Version 1
Bit #1: PKM Version 2
Bit #2: PKM Version 3
Bits #3-#7: Reserved, shall be set to zero
상기 표 5 내지 표 8에서 나타낸 이종 무선접속망간 핸드오버시 사용되는 메시지와 메시지에 포함되는 파라미터들은 도 5에서 나타낸 S501 과정에서 사용될 수 있다.
도 5를 참조하면, 멀티모드 이동단말은 IEEE 802.16 망과의 연결을 유지하며, 주변 망에 대한 정보(Neighbor Network Information)를 획득할 수 있다. 본 발명의 일 실시예에서 이동단말은 MIH_Information Request 메시지를 이용하여 인접한 이종망에 대한 정보를 요청하고, MIH_Information Response 메시지를 통해 인접한 이종 망에 대한 정보를 수신할 수 있다(S506).
상기 S506 단계에서, MIH_Information Request 메시지는 이동단말이 핸드오버 하고자 하는 망에 대한 정보를 요청할 때 사용되며, 또한 해당 망에서 지원하는 인증방식을 파악하기 위해 사용할 수 있다. MIH_Information Response 메시지는 망에 대한 정보를 이동단말에게 제공하기 위한 목적으로 사용된다. 예를 들어, MIH_Information Response 메시지는 사용 가능한 망의 리스트, 지리적인 위치정보, 전송기술 정보, 망 제공자의 식별자, 망 제공자 이름, IP 버전, 로밍 파트너 리스트, 서비스 수준 리스트, 주변망 정보, 링크계층 보안정보, 링크계층 서비스품질 파리미터 및 라우터 정보 등이 포함될 수 있다.
이동단말은 MIH_Information Response 메시지를 통해 주변망에 대한 정보를 제공받을 수 있다. 또한, 서빙망은 정보서버에서 전달받은 MIH_Information Response 메시지를 방송형태로 주기적으로 이동단말들에게 전송할 수 있다. 따라서, 이동단말은 서비스망과 정상적으로 통신하고 있는 상황에서도 주변망에 대한 정보를 얻을 수 있다. 즉, 이동단말은 상기 S506 단계를 통해 주변망의 인증방법 및 암호화 알고리즘과 같은 링크계층(제 2 계층)의 보안관련 파라미터를 수신할 수 있다.
물론, 이동단말에서 정보서버로 바로 인접망에 대한 정보를 요청할 수는 없다. 즉, 인동단말은 현재 서빙 기지국을 경유하여 정보서버에 요청 메시지를 전송하며, 서빙 기지국을 경유하여 응답 메시지를 수신할 수 있다. 예를 들어, 메시지 전송경로는 이동단말에서 서빙 기지국으로, 서빙 기지국에서 서빙망 인증서버로, 서빙망 인증서버에서 정보서버로 메시지가 전송되며, 이에 대한 응답메시지는 반대 방향으로 전송됨은 자명한 것이다.
표 9는 MIH_Information Request 및 MIH_Information Response 메시지들의 일례를 나타낸다.
구문 크기 내용
MIH_Information Request{
Info_Query_Filter 정보 요청 망의 타입(예를 들어, IEEE 802.16,
GSM, CDMA 등)
Infor_Query_Parameters 요청 정보의 구체적인 파라미터(예를 들어, 링크
계층정보, 상위계층 정보, 보안관련 정보 등)
}
구문 크기 내용
MIH_Information Response{
Info_Query_Filter 망의 타입(예를 들어, IEEE 802.16, GSM, CDMA 등)
MIH_REPORT 정보의 구체적인 파라미터(예를 들어, 인접 망 관련정보, 링크계층정보, 상위계층 정보, 보안관련정보 등)
Status 정보전달 상태(예를 들어, 성공 또는 실패)
}
표 9의 MIH_Information Request 메시지는 IEEE 802.21 표준의 리모트(Remote) MIH 메시지로써, 이동단말의 MIH 개체로부터 현재의 서빙망의 MIH 개체로 전달된다. MIH_Information Request 메시지는 이동단말이 타겟 망에 대한 정보를 요청하거나 해당 망에서 지원하는 인증 방식을 파악하기 위해 사용할 수 있다.
표 9의 MIH_Information Response 메시지는 망에 대한 정보를 이동단말에 제공하기 위한 목적으로 사용된다. 즉, MIH_Information Response 메시지는 사용 가능한 망의 리스트, 지리적인 위치정보, 전송기술 정보, 망 제공자의 식별자, 망 제공자 이름, IP 버전, 로밍 파트너 리스트, 서빙 수준 리스트, 주변 망 정보, 링크계층 보안 정보, 링크계층 서빙품질 파리미터 및 라우터 정보 중 하나 이상이 포함될 수 있다.
이동단말은 S506 단계를 통해 주변 망 정보를 제공받을 수 있다. 또한, 서빙망이 MIH_Information Response 메시지를 방송형태로 주기적으로 이동단말들에게 전송함으로써, 이동단말이 서빙망과 정상적으로 통신하고 있는 상황에서도 주변망에 대한 정보를 얻을 수 있다. 즉, 이동단말은 상기 S506 단계를 통해 이동단말의 주변망의 인증방법 및 암호화 알고리즘과 같은 링크계층(제 2 계층)의 보안관련 파라미터를 수신할 수 있다.
이후, 멀티모드 이동단말은 스캐닝을 통해 주변망으로부터 신호를 수신하며, 망 탐색 및 선택절차를 수행할 수 있다. 이동단말은 스캐닝을 통해 3GPP 망을 잠재적인 핸드오버 목적망(즉, 타겟망)으로 결정할 수 있다. 물론, 3GPP 망은 예시에 불과하며 타겟망으로 다른 이종의 망으로 설정할 수 있다. IEEE 802.16 망의 인증서버의 MIH 개체는 핸드오버가 예상되는 3GPP망의 MIH 개체에 IP 정보를 요청하고, 이를 이동단말에 전달한다. 상기 IP 주소는 이동단말의 핸드오버시에 사용된다.
멀티모드 이동단말이 서비스를 제공받는 도중에, IEEE 802.16 망으로부터 수신하는 신호의 레벨이 일정수준 이하로 떨어질 수 있다. 이때, 이동단말의 MIH 개체가 MIH_Auth_Info_transfer Request 메시지를 통해, IEEE 802.16 망 인증서버의 MIH 개체로 하여금 타겟망인 3GPP 망 인증서버의 MIH 개체에게 이동단말의 인증관련 정보를 전송하도록 요청한다(S507).
다음 표 10은 본 발명의 일실시예에서 사용되는 MIH_Auth_Info_Transfer Request 메시지의 일례를 나타낸다.
구문 크기 내용
MIH_Auth_Info_Transfer Request{
Current_Link_Identifier 현재 접속망의 식별자
Target_Link_Identifier 타겟 접속망의 식별자
Current_Authentication_Server_Identifier 현재 접속망 인증서버의 식별자
Target_Authentication_Server_Identifier 타겟 접속망 인증서버의 식별자
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
Authorization Status Transfer Request
}
표 10을 참조하면, MIH_Auth_Info_Transfer Request 메시지는 리모트 MIH 메시지로서, 타겟망에서 사용되는 인증관련 정보를 요청하는 메시지이다. MIH_Auth_Info_Transfer Request 메시지는 현재 접속망 식별자, 타겟 접속망 식별자, 현재 접속망 인증서버 식별자, 타겟 접속망 인증서버 식별자 및 이동단말의 식별자 등을 포함할 수 있다. 즉, 이동단말은 MIH_Auth_Info_Transfer Request 메시지를 서빙망 인증서버에 전송하여, 타겟망에서 사용하는 보안 컨텍스트들을 요청할 수 있다.
도 5를 참조하면, 서빙 인증서버(예를 들어, IEEE 802.16 망 인증서버)의 MIH 개체는 MIH_Security_Context_Transfer Request 메시지를 이용하여 타겟망(예를 들어, 3GPP 망)의 인증서버로 타겟망의 보안 컨텍스트(Security Context)들을 요청할 수 있다(S508).
다음 표 11은 상기 S508 단계에서 쓰이는 MIH_Security_Context_Transfer Request 메시지의 일례를 나타낸다.
구문 크기 내용
MIH_Security_Context_Transfer Request{
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC
주소, IMSI 등)
Authorization Status 예를 들어, Success, Fail, Fail의 이유 등등
List of Security_Contexts
}
보안 컨텍스트는 키 사용시 보안을 고려하면서 각각의 시스템 체계에 대한 키들을 연결시켜 주는 파라미터의 집합을 말한다. 보안 컨텍스트에는 키 유효 시간과 동일한 암호화가 한 번 이상 사용되지 않음을 확인하는 카운터가 존재할 수 있다. 인증 서버는 키에 대한 컨텍스트가 만료될 때, 지속적으로 서비스를 제공받기 위해서 새로운 키를 제공받을 수 있다.
상기 S508 단계에서, MIH_Security_Context_Transfer Request 메시지는 동일한 사업자의 경우에는 로컬(local) 메시지이고, 사업자가 다른 경우에는 리모트(remote) 메시지로 볼 수 있다. MIH_Security_Context_Transfer Request 메시지는 이동단말에 대한 서빙망 인증서버의 인증 결과 및 이동단말에 관한 정보들을 더 포함할 수 있다.
3GPP 망 인증서버의 MIH는 MIH_Security_Context_Transfer.Request 프리미티브를 수신한 하면, 3GPP망 인증서버의 상위계층 프로토콜로 이동단말에게 전달할 보안 컨텍스트들을 요청한다. 이때, 3GPP 망 인증서버의 MIH는 MIH_Security_Context.Request를 이용할 수 있다. 3GPP 망 인증서버의 상위계층은 HSS와의 연계를 통해서 타겟 망인 3GPP 망에서 사용될 보안 컨텍스트들을 생성할 수 있다. 또한, 3GPP망 인증서버의 상위계층은 생성한 보안 컨텍스트들을 포함하는 MIH_Security_Context.Response 프리미티브를 3GPP망 인증서버의 MIH로 전달할 수 있다. 이 절차에서 타겟 망이 EAP을 기본 접속 인증으로 사용하지 않는다면, 3GPP망 인증서버는 HSS와 같은 타겟망 고유의 개체가 가진 키 생성 알고리즘을 사용하여 서빙망의 인증서버로부터 수신된 사용자나 단말의 정보에 따라 키를 생성할 수 있다(S509).
표 12는 본 발명의 일 실시예에서 사용되는 MIH_Security_Context.Request 및 MIH_Security_Context.Response 메시지의 일례를 나타낸다.
구문 크기 내용
MIH_Security_Context.Request{
List of Security_Contexts
}
구문 크기 내용
MIH_Security_Context.Response{
Security_contexts
}
상기 S509 단계에서, MIH_Security_Context.Request 메시지는 로컬 메시지로서, 타겟망 인증서버의 MIH 개체에서 상위계층으로 보안 컨텍스트들을 요청할 경우에 사용된다. S509 단계에서 MIH_Security_Context.Request/Response 메시지는 MIH 및 상위계층 간에 사용되지만, 사용자의 요구사항이나 시스템 환경에 따라 MIH와 하위계층(예를 들어, MAC 계층) 간에 사용될 수 있다.
타겟망에서 사용하는 보안 컨텍스트들을 획득한 3GPP 망 인증서버의 MIH 개체는, MIH_Security_Context_Transfer Response 메시지를 이용하여 IEEE 802.16 망 인증서버의 MIH 개체로 보안 컨텍스트들을 전송할 수 있다(S510).
다음 표 13은 MIH_Security_Context_Transfer Response 메시지 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_Security_Context_Transfer Response{
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
Security_Contexts
}
표 13을 참조하면, MIH_Security_Context_Transfer Response 메시지는 단말 식별자 및 타겟 망에서 사용되는 보안 컨텍스트들을 포함할 수 있다.
S510 단계에서 타겟망의 보안 컨텍스트들을 획득한 IEEE 802.16 망 인증서버의 MIH 개체는, MIH_Auth_Info_Transfer Response 메시지를 이용하여 이동단말에 타겟망에서 사용되는 보안 컨텍스트들을 전송할 수 있다(S511).
다음 표 14는 MIH_Auth_Info_Transfer Response 메시지 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_Auth_Info_Transfer Response{
Current_Link_Identifier 서빙 접속망의 식별자
Target_Link_Identifier 타겟 접속망의 식별자
Target_Authentication_Server_Identifier 타겟 접속망 인증서버의 식별자
Security_Context 타겟망의 인증서버에 의해 사용되는 보안관련 컨텍스트들(예를 들어, GSM의경우에는 RAND,KC이고 UMTS의 경우에는 RAND, AUTN, CK, LK 등)
Protected Psuedonym 예를 들어, TMSI
}
표 14를 참조하면, MIH_Auth_Info_Transfer Response 메시지는 서빙 접속망의 식별자, 타겟 접속망의 식별자, 타겟 접속망 인증서버의 식별자, 타겟망의 보안 컨텍스트들 및 보호된 익명(예를 들어, TMSI) 등을 포함할 수 있다.
멀티모드 이동단말은 타겟망과 제 2 계층(또는, 링크 계층) 핸드오버를 수행할 수 있다. 이동단말은 상기 S507~S511 단계를 통해 획득한 보안 컨텍스트들에 관련된 정보를 바탕으로 타겟망과 빠른 보안연계를 설정할 수 있다. 예를 들어, 타겟망(예들 들어, 3GPP 망)으로의 등록 절차에서 이동단말은 인증 절차를 처음부터 새로 수행할 필요가 없으며, 키(Key)를 얻는 보안관련 절차를 상당부분 생략할 수 있다. 이로써, 이동단말은 이종망간 핸드오버시 인증 절차를 거치지 않고도 타겟망과 빠른 보안연계를 설정할 수 있다. 또한, 핸드오버 절차도 간략하게 진행될 수 있다. 제 2 계층 핸드오버를 완료하면, 이동단말의 MAC 계층은 제 3 계층 핸드오버 수행을 위해 제 2 계층에서의 핸드오버 완료를 상위계층에 보고한다(S512).
3GPP 망의 인증서버는 인증자(Authenticator)로 이동단말과 데이터 송수신시에 필요한 보안 컨텍스트들을 전달하고, 보안 컨텍스트들은 최종적으로 접속점(예를 들어, 기지국 또는 eNode B)가 수신한다. 따라서, 기지국 등은 핸드오버를 수행한 이동단말과의 통신을 준비한다(SS513).
멀티모드 이동단말은 3GPP으로부터 획득한 CoA를 홈 에이전트(Home Agent)에 등록하는 절차를 포함하는 3 계층 핸드오버를 수행할 수 있다. 이동단말은 핸드오버가 완료되면 3GPP 망과 데이터를 송수신하며, 이전 서빙 망인 IEEE 802.16 망과의 연결은 해제한다(S514).
도 6은 본 발명의 다른 실시예에 따른, 이종의 무선접속망간 핸드오버를 하는 경우 빠른 보안연계 설정방법을 설명하기 위한 흐름도이다.
도 6을 참조하면, 이동단말(MS: Mobile Station)은 보안 엔티티(Security Entity), IP 계층, MIH 개체, IEEE 802.16 링크(Link), 3GPP 링크를 포함한다. 또한, 서빙 인증자(Serving Authenticator)는 IEEE 802.16 링크, MIH 개체, NCMS 개체, 보안 엔티티(Security Entity)를 포함한다. 이때, 서빙 인증자는 서빙 기지국이라 불릴 수 있으며, 서빙 인증자는 서빙 기지국을 포함하는 상위개념으로 사용될 수 있다. 현재 이동단말에 서비스를 제공하는 서빙 인증자가 포함된 네트워크의 인증서버를 서빙 인증서버라 부르기로 한다.
핸드오버의 대상이 되는 네트워크를 타겟망 또는 타겟 네트워크라 부르고, 타겟망은 타겟 인증자(Target Authenticator)를 포함한다. 타겟 인증자는 3GPP 링크, MIH 개체 및 보안 엔티티(Security Entity)를 포함한다. 타겟 인증자는 타겟 기지국이라 불릴 수 있으며, 타겟 인증자는 타겟 기지국을 포함하는 상위계념으로 사용될 수 있다. 또한, 타겟망은 타겟 인증서버를 포함하고 있으며, 타겟 인증서버는 해당 서버가 관리하는 영역에서의 이동단말의 인증, 과금 등을 담당하는 네트워크 개체이다.
정보서버는 네트워크 개체의 하나로서, 이동단말과 인접한 네트워크와 관련된 정보를 제공해주는 서버를 말한다. 다만, 본 발명의 다른 실시예인 도 6에서는 서빙 인증서버 및 타겟 인증서버에 MIH 기능이 없는 것을 가정한다.
이동단말이 이종 무선접속망으로 핸드오버를 하고자 할 때, 서빙 인증서버 및 타겟 인증서버가 MIH 기능을 제공하지 않을 경우, 접속점(예를 들어, 기지국이나 액세스 포인트)의 MIH 기능을 이용하여 빠른 보안연계(SA: Security Association) 설정을 제공하면서 핸드오버를 수행할 수 있다.
도 6을 참조하면, 멀티모드 이동단말은 IEEE 802.16 시스템의 접속과정을 통해서 링크를 설정하며, 이때에는 802.16 망을 통해 인증절차가 수행된다(S601).
S601 단계는 도 2에서 설명한 절차와 유사하게 동작한다. 따라서, 이동단말은 IEEE 802.16 망에 접속하여 EAP 기반의 인증을 통한 마스터 세션키 공유 및 AK 공유, 3-Way 핸드세이킹을 통한 TEK 공유 등의 과정을 수행한다. 이 결과로서 서빙 인증서버는 이동단말에 대한 인증 성공 여부를 보유하게 되며, 향후 이종 무선접속망간 핸드오버시에 이를 활용할 수 있다.
무선환경이나 망의 상태에 의해 타 종류의 망으로 핸드오버(Inter-RAT)를 하게 되는 상황이 발생할 수 있다(S602).
이동단말은 네트워크 개체인 정보서버에 MIH_Information.Request 메시지를 전송하여 인접한 이종의 망에 대한 정보를 요청하고, 정보서버는 MIH_Information.Response 메시지를 통해 인접한 이종 망에 대한 정보를 이동단말에 전송한다(S603).
상기 S603 단계를 통해 이동단말은 핸드오버가 가능한 망이 어떤 것이 있는지 인식할 수 있다. 또한, 이동단말은 이종 무선접속망간 핸드오버에 관련된 정보를 획득하는 절차를 수행한다. 이동단말이 획득한 정보에는 보안관련 정보도 포함될 수 있다. 보안관련 정보에는 인증결과를 현재 망에서 핸드오버 하려는 이종 무선접속망으로 넘길 수 있는지의 여부도 포함될 수 있다.
이동단말이 획득한 정보에 따라 핸드오버가 예상되는 타겟 이종 무선접속망이 인증결과를 현재 서빙망으로부터 수신할 수 있는 경우, 현재 접속점(Current Point of Attachment)을 통해 인증결과를 요청하기 위해 이동단말의 보안 엔티티(Security Entity)가 MIH_MN_Auth_Info_Transfer.request 프리미티브를 이동단말의 MIH 개체에게 전달한다(S604).
다음 표 15는 MIH_MN_Auth_Info_Transfer.request 프리미티브 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_MN_auth_Info_Transfer.request{
Current_Link_Identifier 서빙 접속망 식별자
Target_Link_Identifier 타겟 접속망 식별자
Current_Authentication_Server_Identifier 서빙 접속망 인증서버의 식별자
Target_Authentication_Server_Identifier 타겟 접속망 인증서버의 식별자
Mobile_Treminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
Authorization Status Transfer Request
}
표 15를 참조하면, MIH_MN_Auth_Info_Transfer.request 프리미티브는 서빙 접속망 식별자, 타겟 접속망 식별자, 서빙 접속망 인증서버 식별자, 타겟 접속망 인증서버 식별자 및 이동단말의 식별자를 포함할 수 있다.
이동단말의 MIH 개체는 수신한 MIH_MN_Auth_Info_Transfer.request 프리미티브에 포함된 정보를 서빙망 인증자(802.16 Authenticator)에 전달한다. 이때, 서빙망 인증자는 원격 MIH 개체이므로, 단말은 MIH_MN_Auth_Info_Transfer request 프로토콜 메시지를 이용한다(S605).
S605 단계에서, 이동단말은 제어 평면(control plane) 또는 데이터 평면(Data Plane)을 통해 MIH_MN_Auth_Info_Transfer request 프로토콜 메시지를 전송할 수 있다. 예를 들어, 단말이 제어 평면을 이용하는 경우 MAC 관리 메시지를 이용할 수 있다. 만약, 단말이 데이터 평면을 이용한다면, 제 2 계층(layer 2)의 경우 이더넷 프레임(Ethernet Frame (Ether type= MIH)) 을 사용하고, 제 3 계층(Layer 3)의 경우 IP 패킷을 사용하여 서빙망 인증자에 MIH 프로토콜 메시지를 전달할 수 있다
원격 MIH 프로토콜 메시지를 수신한 서빙 인증자의 MIH 개체는 원격 MIH 프로토콜 메시지를 수신하였음을 상위계층의 보안을 담당하는 개체에 알릴 수 있다. 즉, 서빙 인증자의 MIH 개체는 보안 엔티티(Security Entity)에 MIH_MN_Auth_Info_ Transfer.Indication 프리미티브를 이용하여 알릴 수 있다(S606).
다음 표 16은 MIH_MN_Auth_Info_Transfer.Indication 프리미티브 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_MN_auth_Info_Transfer.Indication{
Current_Link_Identifier 서빙 접속망 식별자
Target_Link_Identifier 타겟 접속망 식별자
Current_Authentication_Server_Identifier 서빙 접속망 인증서버의 식별자
Target_Authentication_Server_Identifier 타겟 접속망 인증서버의 식별자
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
Authorization Status Transfer Request
}
MIH_MN_Auth_Info_Transfer.Indication 프리미티브를 수신한 서빙 인증자는 서빙망의 인증서버(AAA Server)에 인증전달 요청(AAA_Auth_Info_Transfer Request) 프로토콜 메시지를 전달한다. 즉, 서빙 인증자의 보안 엔터티는 인증결과의 전송 준비를 요청하는 메시지를 서빙 인증서버에 전송한다(S607).
서빙망 인증자의 보안 엔티티는, MIH_Net_Auth_Info_Transfer.Request 프리미티브를 서빙망 인증자의 MIH 개체에게 전달한다(S608).
S608 단계에서 MIH_Net_Auth_Info_Transfer.Request 프리미티브는 서빙망 인증서버가 이종망간 핸드오버(Inter-RAT)를 하려는 이동단말의 인증결과를 이종 무선접속망으로 넘길 수 있다는 것을 알리기 위해 사용될 수 있다.
다음 표 17은 MIH_Net_Auth_Info_Transfer.Rquest 프리미티브의 일례를 나타낸다.
구문 크기 내용
MIH_Net_Auth_Info_Transfer.Request{
Current_Link_Identifier 서빙 접속망 식별자
Target_Link_Identifier 타겟 접속망 식별자
Current_Authentication_Server_Indentifier 서빙 접속망 인증서버의 식별자
Mobile_Termianl_Identifier 타겟접속망 인증서버의 식별자
Target_Authentication_Server_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
}
표 17을 참조하면, MIH_Net_Auth_Info_Transfer.Rquest 프리미티브는 서빙 접속망 식별자, 타겟 접속망 식별자, 서빙 접속망 인증서버 식별자, 타겟 접속망 인증서버 식별자 및 이동단말의 식별자 등을 포함할 수 있다.
MIH_Net_Auth_Info_Transfe.Request 프리미티브에 의해 트리거(Trigger)된 MIH_Net_Auth_Info_Transfe Request 프로토콜 메시지는 타겟 인증자의 MIH 개체에 전송된다. 이때, MIH_Net_Auth_Info_Transfe Request 프로토콜 메시지는 리모트 MIH 프로토콜 메시지이다(S609).
타겟망 인증자의 MIH 개체는 수신한 MIH 프로토콜 메시지가 보안관련 메시지이므로, 이를 MIH_Net_Auth_Info_Transfer.Indication 프리미티브를 이용하여 보안 엔티티(Security Entity)에게 전달한다(S610).
다음 표 18은 MIH_Net_Auth_Info_Transfer.Indication 프리미티브의 일례를 나타낸다.
구문 크기 내용
MIH_Net_Auth_Info_Transfer.Response{
Current_Authentication_Server_Identifier 서빙망 인증서버의 식별자
Target_Authentication_Server_Identifier 타겟망 인증서버의 식별자
Mobile_Terminal_Identifier 이동단말의 식별자 (예를 들어, MAC 주소, IMSI 등)
}
MIH_Net_Auth_Info_Transfer.Indication 프리미티브는 서빙망 인증서버 식별자, 타겟망 인증서버 식별자 및 이동단말의 식별자 등을 포함할 수 있다.
타겟망 인증자는 수신한 보안관련 MIH 프리미트브에 대한 응답을 전송하기 위해 MIH_Net_Auth_Info_Transfer.Response 프리미티브를 타겟망 인증자의 MIH 개체에 전송할 수 있다(S611).
이를 수신한 타겟망 인증자의 MIH 개체는 원격으로 MIH 프로토콜 메시지(MIH_Net_Auth_Info_Transfer Response)를 서빙망 인증자의 MIH 개체에 전송할 수 있다(S612).
다음 표 19는 MIH_Net_Auth_Info_Transfer Response 프로토콜 메시지 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_Net_Auth_Info_Transfer.Response{
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
Security_Context 타겟망의 인증서버에 의해 사용되는 보안관련 컨텍스트들 (예를 들어, GSM의 경우, (RAND,Kc), UMTS의 경우 (RAND, AUTN, CK, IK), 등)
Protected Psuedonym 예를 들어, TMSI
Status
List of not Acquired Security Contexts
}
표 19를 참조하면, MIH_Net_Auth_Info_Transfer Response 프로토콜 메시지는 이동단말의 식별자 및 타겟망 인증서버에서 사용하는 보안관련 컨텍스트 정보를 포함할 수 있다.
상기 S612 단계에서, MIH_Net_Auth_Info_Transfer Response 프로토콜 메시지는 인증관련 정보전달 요청의 수행결과를 통보하기 위해, 타겟망 MIH 개체가 서빙망 MIH 개체에 전달하는 메시지이다. MIH_Net_Auth_Info_Transfer Response 프로토콜 메시지에 전달되는 파라미터들은 인증정보 전달요청에 의해 전달된 결과(Status)와 전달받지 못한 보안 컨텍스트들의 리스트가 포함된다. 또한, 타겟망에서 사용되는 보안 컨텍스트들과 보호된 임시 식별자가 추가로 포함된다.
S610 단계에서 보안관련 MIH 프로토콜 메시지(MIH_Net_Auth_Info_Transfer Indication)를 수신한 보안 엔티티(Security Entity)는 보안 엔티티와 연동되어 있는 타겟망 인증서버에게 보안 컨텍스트(Security Context)를 요청하기 위한 메시지(AAA_Auth_Info_Transfer request)를 전달한다(S613).
타겟 인증서버는 현재 이동단말이 접속되어 있는 서빙망 인증 서버에게 보안 컨텍스트의 전송을 요청하고, 서빙망 인증 서버로부터 보안 컨텍스트를 획득할 수 있다. 이때, 보안 컨텍스트에는 이동단말의 식별자, 인증여부 정보 및 추가적인 정보들이 포함될 수 있다(S614).
다만, 사용자의 요구사항 및 채널환경에 따라, 상기 S613 및 S614 단계는 각각 상기 S610 단계 및 S611 단계에서 수행될 수 있다.
리모트 MIH 프로토콜 메시지를 수신한 서빙망 인증자의 MIH 개체는 이를 MIH_Net_Auth_Info_Transfer.Confirmation 프리미티브를 통해 서빙망 인증자의 보안 엔티티에 알릴 수 있다(S615).
다음 표 20은 MIH_Net_Auth_Info_Transfer.Confirmation 메시지의 일례를 나타낸다.
구문 크기 내용
MIH_Net_Auth_Info_Transfer.Confirmation{
Mobile_Terminal_Identifier 이동단말의 식별자(예를 들어, MAC 주소, IMSI 등)
SecurityContext 타겟망의 인증서버에 의해 사용되는 보안관련컨텍스트들 (예를 들어, GSM의 경우, (RAND,Kc), UMTS의 경우 (RAND, AUTN, CK, IK), 등)
Protected Psuedonym 예를 들어, TMSI
Status
List of not Acquired Security Contexts
}
MIH_Net_Auth_Info_Transfer.Confirmation 프리미티브는 서빙망에서 인증받은 이동단말에 대해 타겟망의 인증서버로부터 전달받은 보안관련 컨텍스트들을 제공하기 위한 목적으로 사용될 수 있다. 타겟망 고유의 보안관련 컨텍스트들이 포함될 수 있다. 표 20을 참조하면, MIH_Net_Auth_Info_Transfer.Confirmation 프리미티브는 이동단말의 식별자, 타겟망 인증서버에서 사용하는 보안 컨텍스트 및 보호된 익명(예를 들어, TMSI) 등을 포함할 수 있다.
타겟망이 필요한 절차를 취할 수 있음을 인식한 서빙망 인증자의 보안 엔터티(Security Entity)는 보안 컨텍스트를 포함하는 MIH 프리미티브 메시지를 MIH 개체에 전송할 수 있다. 예를 들어, 보안 엔터티는 MIH_MN_Auth_Info_Transfer.Response 프리미티브를 이용하여 타겟망의 보안 컨텍스트을 MIH 개체에 전달할 수 있다(S616).
서빙망의 MIH 개체는 타겟망의 보안 컨텍스트 정보를 포함하는 리모트 MIH 프로토콜 메시지(MIH_MN_Auth_Info_Transfer Response)를 생성하여 이동단말의 MIH 개체에 전송한다(S617).
다음 표 21은 MIH_MN_Auth_Info_Transfer Response 메시지의 일례를 나타낸다.
구문 크기 내용
MIH_MN_Auth_Info_Transfer Response{
Current_Link_Identifier 서빙망의 식별자
Target_Link_Identifier 타켓망의 식별자
Target_Authentication_Server_Identifier 타겟망 인증서버의 식별자
Security Contexts 타겟망의 인증서버에 의해 사용되는 보안관련 컨텍스트들 (예를 들어, GSM의 경우, (RAND,Kc), UMTS의 경우 (RAND, AUTN, CK, IK), 등)
Protected Psuedonym 예를 들어, TMSI
Status
List of not Acquired Security Contexts
}
표 21을 참조하면, MIH_MN_Auth_Info_Transfer Response 메시지는 서빙망 식별자, 타겟망 식별자, 타겟망 인증서버 식별자, 타겟망에서 사용되는 보안관련 컨텍스트 및 보호된 익명 정보들을 포함할 수 있다.
이동단말의 MIH 개체는 타겟망의 인증관련 정보들을 MIH_MN_Auth_Info_ Transfer.Confirmation 프리미티브를 통해 이동단말의 보안 엔티티에 전달한다(S618).
MIH_MN_Auth_Info_Transfer.Confirmation 프리미티브는 MIH_MN_Auth_Info_ Transfer Response 프로토콜 메시지에 포함된 파라미터들 중에서 보안관련 파라미터들을 전달하기 위해 사용된다.
다음 표 22는 MIH_MN_Auth_Info_Transfer.Confirmation 프리미티브 포맷의 일례를 나타낸다.
구문 크기 내용
MIH_MN_Auth_Info_Transfer.Confirmation{
Secutiry Contexts 타겟망의 인증서버에 의해 사용되는 보안 관련 컨텍스트들(예를 들어, GSM의 경우,(RAND,Kc), UMTS의 경우, (RAND, AUTN, CK, IK), 등)
Protected Psuedonvm 예를 들어, TMSI
Status
List of not Acquired Security Contexts
}
MIH_MN_Auth_Info_Transfer.Confirmation 프리미티브는 타겟망의 보안 컨텍스트, 보호된 익명 및 요구되지 않는 보안 컨텍스트 리스트를 포함할 수 있다.
이동단말에 대한 인증여부 정보의 전송 및 보안 컨텍스트들의 교환이 성공적으로 이루어진 후에, 보안 엔터티는 타겟 망과의 핸드오버, 즉 링크설정 절차의 개시를 요청하는 MIH_Link_Action.request(W/O Security Procedure) 프리미티브을 이동단말의 MIH 개체로 전달한다. 이때, 보안 엔터티는 완전히 새로운 인증 및 키 교환과 같은 부하가 크고, 지연을 초래할 수 있는 보안관련 절차를 생략할 수 있음을 MIH에 통보해준다(S619).
이동단말의 MIH는 타겟망과의 링크 설정 명령을 위한 Link_Action.request(W/O security Procedure) 프리미티브를 이동단말의 3GPP 링크로 전송한다(S620).
이동단말은 상기와 같은 과정들을 통해, 새로운 인증 및 키 교환과 같은 보안관련 절차를 생략하고 해당 링크를 신속히 설정한다(S621).
링크를 설정하는 과정에서 타겟망 인증자는 타겟 인증서버로부터 이동단말의 보안 컨텍스트(Security Context)를 수신할 수 있다. 즉, 타겟망 인증 서버는 타겟망 인증자의 보안 엔터티에 Security_Context transfer 메시지를 전송하여 이동단말에 대한 보안 컨텍스트를 요청할 수 있다(S622). 이 절차에서 이동단말은 보안 컨텍스트를 새로운 링크를 설정할 때 수신하거나 또는 새로운 링크를 설정하기 이전에 미리 수신할 수 있다.
도 6에서 설명한 본 발명의 다른 실시예도 IEEE 802.16 망의 멀티모드 이동단말이 3GPP 망으로 핸드오버 하는 경우를 예로 든 것이다. 이와 반대로 3GPP 망에서 IEEE 802.16 망으로 핸드오버 하는 경우에도 유사한 절차가 수행될 수 있다. 이때는 보안 컨텍스트들에 대한 부분이 3GPP 시스템에서 사용되는 파라미터 대신 IEEE 802.16 시스템과 관련된 파라미터들로 대체될 수 있다.
본 발명의 실시예들에서 사용된 용어들은 본 발명의 기술적 사상을 명확히 나타내기 위해 사용되었고, 기술 영역에 따라 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 용어로 사용될 수 있음은 자명하다. 또한, 본 발명의 실시예들에서 사용되는 메시지들에 포함되는 파라미터의 명칭 또한 다른 표현으로 사용될 수 있음은 자명하다.
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
도 1은 멀티모드(Multi-Modal) 이동단말과 IEEE 802 계열의 망 및 3GPP/3GPP2 망의 프로토콜 계층 구성도를 나타내는 도면이다.
도 2는 종래기술에 따른, IEEE 802.16 시스템의 이동단말에 대한 인증절차를 설명하기 위한 흐름도이다.
도 3은 핸드오버 및 초기 망 진입 절차를 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른, MIH(Media Independent Handover) 기반의 멀티모드 이동단말에 의한 이종 무선접속망간의 핸드오버를 설명하기 위한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른, 이종의 무선접속망간 핸드오버를 하는 경우 빠른 보안연계 설정방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 다른 실시예에 따른, 이종의 무선접속망간 핸드오버를 하는 경우 빠른 보안연계 설정방법을 설명하기 위한 흐름도이다.

Claims (18)

  1. 이종 망(Heterogeneous Network)간 보안연계를 설정하는 방법에 있어서,
    단말 주변의 이종 망에 대한 정보를 수신하는 제 1 단계;
    상기 단말 주변의 이종 망 중에서 상기 단말이 핸드오버(Handover)를 수행하고자 하는 타겟 이종 망으로 인증 관련 정보의 전달을 요청하는 요청 메시지를 전송하는 제 2 단계; 및
    상기 타겟 이종 망의 인증 관련 정보 및 키 관련 정보를 수신하는 제 3 단계를 포함하되,
    상기 제 1 단계, 상기 제 2 단계 및 상기 제 3 단계는 이종 망간 핸드오버가 수행되기 전에 수행되며,
    서빙(Serving) 이종 망의 인증 서버가 상기 타겟(Target) 이종 망의 인증 서버로 보안 관련 정보의 전달을 요청하는 요청 메시지를 전송하고, 상기 제 2 단계 및 상기 제 3 단계 사이에서 상기 타겟 이종 망의 인증 서버로부터 보안 관련 정보의 전달 요청에 대한 응답 메시지를 수신하며,
    상기 보안 관련 정보는 상기 이종 망 각각에 대한 키들의 보안을 고려하면서 상호 연결 시켜주는 파라미터를 포함하는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  2. 제 1 항에 있어서,
    상기 제 1, 상기 제 2 및 상기 제 3 단계는,
    상기 단말의 MIH(Media Independent Handover) 개체에서 수행되는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  3. 제 1 항에 있어서,
    상기 제 1 단계를 수행하기 이전에,
    상기 단말이 서빙 인증자로부터 이종 망간 인가정책 지원 여부를 나타내는 파라미터 및 보안협상 파라미터를 포함하는 성능 메시지를 수신하는 단계를 더 포함하는, 이종 망간 보안연계 설정방법.
  4. 제 1 항에 있어서,
    상기 단말 주변의 이종 망에 대한 정보는,
    상기 단말 주변의 이종 망의 인증 방법 및 암호화 알고리즘을 포함하는 제 2 계층(Layer)의 보안 관련 파라미터를 포함하는 이종 망간 보안연계 설정방법.
  5. 제 1 항에 있어서,
    상기 타겟 이종 망의 인증관련정보는,
    상기 타겟 이종 망에서 사용되는 보안 컨텍스트(Context)들을 포함하는, 이종 망간 보안연계 설정방법.
  6. 제 5 항에 있어서,
    상기 보안 컨텍스트들 및 상기 키 관련 정보는,
    타겟 망 인증서버에서 생성되는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  7. 제 1 항에 있어서,
    상기 이종 망에 관한 정보는 정보 서버에서 생성되는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  8. 이종 망간 보안연계를 설정하는 방법에 있어서,
    단말로부터 상기 단말 주변의 이종 망으로 인증관련 정보의 전달을 요청하는 요청 메시지를 수신하는 제 1단계;
    상기 단말 주변의 이종 망 중 상기 단말이 진입하고자 하는 타겟 이종 망의 인증서버로 상기 인증관련 정보를 요청하는 요청 메시지를 전송하는 제 2 단계; 및
    상기 타겟 이종 망의 인증서버로부터 상기 이종 망의 인증 관련 정보 및 키 관련 정보를 포함하는 메시지를 수신하는 제 3 단계를 포함하고,
    상기 제 1 단계, 상기 제 2 단계 및 상기 제 3 단계는 이종 망간 핸드오버시 서빙 인증서버에서 미리 수행되며,
    서빙(Serving) 이종 망의 인증 서버가 상기 타겟(Target) 이종 망의 인증 서버로 보안 관련 정보의 전달을 요청하는 요청 메시지를 전송하고, 상기 제 2 단계 및 상기 제 3 단계 사이에서 상기 타겟 이종 망의 인증 서버로부터 보안 관련 정보의 전달 요청에 대한 응답 메시지를 수신하며,
    상기 보안 관련 정보는 상기 이종 망 각각에 대한 키들의 보안을 고려하면서 상호 연결 시켜주는 파라미터를 포함하는, 이종 망간 보안연계 설정방법.
  9. 제 8 항에 있어서,
    상기 제 1 단계, 상기 제 2 단계 및 상기 제 3 단계는,
    상기 서빙 인증서버의 MIH(Media Independent Handover) 개체에서 이루어지는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  10. 제 8 항에 있어서,
    상기 제 1 단계를 수행하기 전에,
    이종 망간 인가정책 지원 여부를 나타내는 파라미터를 포함하는 메시지를 상기 단말에 전송하는 단계를 더 포함하는, 이종 망간 보안연계 설정방법.
  11. 제 10 항에 있어서,
    상기 메시지는,
    인가절차 이전에 상기 단말 및 기지국에서 협상 되는 보안능력을 나타내는 보안협상 파라미터를 더 포함하는, 이종 망간 보안연계 설정방법.
  12. 제 8 항에 있어서,
    상기 타겟 이종 망의 상기 인증관련정보를 포함하는 메시지를 상기 단말로 전송하는 단계를 더 포함하는, 이종 망간 보안연계 설정방법.
  13. 제 8 항 또는 제 12 항에 있어서,
    상기 타겟 이종 망의 인증관련정보는,
    상기 타겟 이종 망에서 사용되는 보안 컨텍스트(Context)들을 포함하는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  14. 이종망간 보안연계를 설정하는 방법에 있어서,
    타겟 이종 망의 인증 관련 정보 및 키 관련 정보를 요청하는 요청 메시지를 수신하는 제 1 단계;
    상기 인증 관련 정보 및 상기 키 관련 정보를 생성하는 제 2 단계; 및
    상기 인증 관련 정보 및 상기 키 관련 정보를 포함하는 메시지를 전송하는 제 3 단계를 포함하되,
    상기 제 1단계, 상기 제 2 단계 및 상기 제 3 단계는 이종망간 핸드오버가 수행되기 전에 미리 수행되며,
    서빙(Serving) 이종 망의 인증 서버가 상기 타겟(Target) 이종 망의 인증 서버로 보안 관련 정보의 전달을 요청하는 요청 메시지를 전송하고, 상기 제 2 단계 및 상기 제 3 단계 사이에서 상기 타겟 이종 망의 인증 서버로부터 보안 관련 정보의 전달 요청에 대한 응답 메시지를 수신하며,
    상기 보안 관련 정보는 상기 이종 망 각각에 대한 키들의 보안을 고려하면서 상호 연결 시켜주는 파라미터를 포함하는 것을 특징으로 하는, 이종 망간 보안연계 설정방법.
  15. 제 14 항에 있어서,
    상기 제 2 단계는,
    타겟 망 인증서버의 매체독립핸드오버(MIH) 엔터티로부터 상위계층 또는 하위계층으로 상기 인증 관련 정보 및 상기 키 관련 정보를 요청하는 단계; 및
    상기 상위계층 또는 상기 하위계층에서 상기 인증 관련 정보 및 상기 키 관련 정보를 생성하는 단계를 더 포함하는 이종 망간 보안연계 설정방법.
  16. 제 14 항에 있어서,
    상기 타겟 이종 망의 상기 인증 관련 정보는,
    상기 타겟 이종 망에서 사용되는 보안 컨텍스트(Context)들을 포함하는, 이종 망간 보안연계 설정방법.
  17. 삭제
  18. 삭제
KR20080059741A 2007-07-10 2008-06-24 이종망간 핸드오버시 빠른 보안연계 설정방법 KR101490243B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR20080059741A KR101490243B1 (ko) 2007-07-10 2008-06-24 이종망간 핸드오버시 빠른 보안연계 설정방법
PCT/KR2008/003937 WO2009008627A2 (en) 2007-07-10 2008-07-03 A method of establishing fast security association for handover between heterogeneous radio access networks
US12/668,312 US8549293B2 (en) 2007-07-10 2008-07-03 Method of establishing fast security association for handover between heterogeneous radio access networks

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020070069294 2007-07-10
KR20070069294 2007-07-10
KR20080059741A KR101490243B1 (ko) 2007-07-10 2008-06-24 이종망간 핸드오버시 빠른 보안연계 설정방법

Publications (2)

Publication Number Publication Date
KR20090005971A KR20090005971A (ko) 2009-01-14
KR101490243B1 true KR101490243B1 (ko) 2015-02-11

Family

ID=40229248

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20080059741A KR101490243B1 (ko) 2007-07-10 2008-06-24 이종망간 핸드오버시 빠른 보안연계 설정방법

Country Status (3)

Country Link
US (1) US8549293B2 (ko)
KR (1) KR101490243B1 (ko)
WO (1) WO2009008627A2 (ko)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2006225396B2 (en) * 2005-03-24 2009-09-10 Lg Electronics Inc. Method of executing handover in broadband wireless access system
CN101668317B (zh) * 2008-09-04 2012-07-11 华为技术有限公司 一种网络资源预留的方法、系统和装置
US8611537B2 (en) 2009-05-11 2013-12-17 Samsung Electronics Co., Ltd. Method and system for optimizing authentication procedures in media independent handover services
ES2957533T3 (es) 2009-06-04 2024-01-22 Blackberry Ltd Métodos y aparato para su uso para facilitar la comunicación de información de redes vecinas a un terminal móvil con la utilización de una solicitud relacionada con un protocolo compatible con RADIUS
US8429728B2 (en) * 2009-08-24 2013-04-23 Alcatel Lucent Pre-registration security support in multi-technology interworking
ES2488132T3 (es) * 2009-10-05 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) Método y disposición en un sistema de telecomunicación
US8427991B2 (en) 2009-10-11 2013-04-23 Research In Motion Limited Handling wrong WEP key and related battery drain and communication exchange failures
US8695063B2 (en) * 2009-10-11 2014-04-08 Blackberry Limited Authentication failure in a wireless local area network
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
US9264448B2 (en) * 2010-01-20 2016-02-16 Blackberry Limited Apparatus, and an associated method, for facilitating secure operations of a wireless device
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
US8848916B2 (en) 2010-04-15 2014-09-30 Qualcomm Incorporated Apparatus and method for transitioning from a serving network node that supports an enhanced security context to a legacy serving network node
KR101474094B1 (ko) * 2010-04-16 2014-12-17 퀄컴 인코포레이티드 강화된 보안 콘텍스트를 지원하는 서빙 네트워크 노드로부터 레거시 서빙 네트워크 노드로 전이하기 위한 장치 및 방법
CN102378167B (zh) * 2010-08-17 2015-11-25 中兴通讯股份有限公司 安全信息获取方法及多系统网络
KR101407128B1 (ko) * 2012-04-04 2014-06-13 주식회사 엘지유플러스 이종망 연계 통신 시스템 및 그 제어방법
FR3015830B1 (fr) * 2013-12-19 2017-03-17 Sagem Defense Securite Dispositif d'interconnexion de reseaux de communication a securite controlee
JP2016063234A (ja) * 2014-09-12 2016-04-25 富士通株式会社 通信装置の通信制御方法,通信装置,通信制御システム
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
KR101657005B1 (ko) * 2015-06-11 2016-09-12 전문석 심전도 생체 인증 방법
US11659012B2 (en) * 2015-06-15 2023-05-23 Apple Inc. Relayed communication channel establishment
WO2017062039A1 (en) * 2015-10-09 2017-04-13 Hewlett Packard Enterprise Development Lp Biographical badges
SG10201605752PA (en) * 2016-07-13 2018-02-27 Huawei Int Pte Ltd A unified authentication work for heterogeneous network
US20190014095A1 (en) * 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
KR102425582B1 (ko) 2018-05-11 2022-07-26 삼성전자주식회사 무선통신 시스템에서 정보 보호 방법 및 장치
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
CN113890740B (zh) * 2021-09-28 2023-08-01 西南交通大学 一种基于变色龙哈希函数的安全认证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070015770A (ko) * 2005-08-01 2007-02-06 엘지전자 주식회사 이종망간의 핸드오버 수행 및 제어방법
KR20070067074A (ko) * 2005-07-14 2007-06-27 가부시끼가이샤 도시바 매체 독립 사전 인증 프레임워크의 개선
US20080310366A1 (en) 2007-06-08 2008-12-18 Toshiba America Research, Inc MIH Pre-Authentication
US20100211786A1 (en) 2007-08-07 2010-08-19 Electronics And Telecommunications Research Institute Method for generating authorization key and method for negotiating authorization in communication system based on frequency overlay

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006332788A (ja) * 2005-05-23 2006-12-07 Toshiba Corp 基地局装置、無線通信システム、基地局制御プログラムおよび基地局制御方法
KR100877136B1 (ko) * 2005-06-23 2009-01-07 삼성전자주식회사 무선통신시스템에서 이종망간 핸드오프 처리 장치 및 방법
US7603138B2 (en) * 2005-08-22 2009-10-13 Toshiba American Research, Inc. Environmental monitoring using mobile devices and network information server
US7536184B2 (en) * 2005-09-29 2009-05-19 Sun Microsystems, Inc. Seamless mobility management with service detail records
US8583923B2 (en) * 2006-12-08 2013-11-12 Toshiba America Research, Inc. EAP method for EAP extension (EAP-EXT)

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070067074A (ko) * 2005-07-14 2007-06-27 가부시끼가이샤 도시바 매체 독립 사전 인증 프레임워크의 개선
KR20070015770A (ko) * 2005-08-01 2007-02-06 엘지전자 주식회사 이종망간의 핸드오버 수행 및 제어방법
US20080310366A1 (en) 2007-06-08 2008-12-18 Toshiba America Research, Inc MIH Pre-Authentication
US20100211786A1 (en) 2007-08-07 2010-08-19 Electronics And Telecommunications Research Institute Method for generating authorization key and method for negotiating authorization in communication system based on frequency overlay

Also Published As

Publication number Publication date
WO2009008627A3 (en) 2009-03-12
KR20090005971A (ko) 2009-01-14
US20100180111A1 (en) 2010-07-15
WO2009008627A2 (en) 2009-01-15
US8549293B2 (en) 2013-10-01

Similar Documents

Publication Publication Date Title
KR101490243B1 (ko) 이종망간 핸드오버시 빠른 보안연계 설정방법
US10728757B2 (en) Security implementation method, related apparatus, and system
KR101481558B1 (ko) 이기종 무선접속망간 보안연계 설정 방법
EP1414262B1 (en) Authentication method for fast handover in a wireless local area network
US7421268B2 (en) Method for fast roaming in a wireless network
US7831835B2 (en) Authentication and authorization in heterogeneous networks
KR101467780B1 (ko) 이기종 무선접속망간 핸드오버 방법
TWI393414B (zh) 安全交談金鑰上下文
KR101800659B1 (ko) 이동 통신 시스템에서 단말 설정 방법
JP6022596B2 (ja) 融合ワイヤレスネットワークにおいての認証の方法およびデバイス
US8417219B2 (en) Pre-authentication method for inter-rat handover
WO2007045147A1 (fr) Procede, systeme et terminal de reseau d’acces du terminal de reseau local sans fil
US8094621B2 (en) Fast handover protocols for WiMAX networks
KR101467784B1 (ko) 이기종망간 핸드오버시 선인증 수행방법
KR20070015770A (ko) 이종망간의 핸드오버 수행 및 제어방법
CN101540993B (zh) 一种邻区消息的下发方法及微波存取全球互通系统
KR100638590B1 (ko) 휴대 인터넷 시스템에서의 단말 인증 방법
WO2009051405A2 (en) Method of establishing security association in inter-rat handover

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171214

Year of fee payment: 4