KR100969782B1 - Authentication method and apparatus using privacy key management protocol in wireless broadband internet system - Google Patents
Authentication method and apparatus using privacy key management protocol in wireless broadband internet system Download PDFInfo
- Publication number
- KR100969782B1 KR100969782B1 KR1020060040777A KR20060040777A KR100969782B1 KR 100969782 B1 KR100969782 B1 KR 100969782B1 KR 1020060040777 A KR1020060040777 A KR 1020060040777A KR 20060040777 A KR20060040777 A KR 20060040777A KR 100969782 B1 KR100969782 B1 KR 100969782B1
- Authority
- KR
- South Korea
- Prior art keywords
- update
- message
- mobile terminal
- tlv
- tek
- Prior art date
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 무선 통신 시스템에서 인증을 위한 방법 및 시스템에 관한 것으로 특히 휴대 인터넷 시스템에서 이동 단말의 핸드오버 또는 네트워크 재진입(Network re-entry)시 비밀 키 관리 프로토콜(PKM)을 사용하여 인증을 수행하기 위한 방법 및 장치에 관한 것이다. 본 발명에 따른 휴대 인터넷 시스템에서 기지국이 이동 단말을 인증하기 위한 방법은, 아이들 상태에서 네트워크로 재진입하거나 또는 핸드오버 상태인 이동 단말로부터, 접속을 요청하기 위해 레인징 요청(RNG-REQ)메시지를 수신하는 과정과, 상기 레인징 요청 메시지를 수신한 뒤 상기 이동 단말로 보안 서비스를 계속 제공해 주기 위한 정보의 갱신(Update)이 필요한 경우, 상기 이동 단말로 상기 보안 서비스를 계속 제공하기 위하여 보안 관련-트래픽 인크립션 키 챌린지(Security Association - Traffic Encryption Key Challenge) 메시지의 속성들이 포함된 보안 관련 챌린지 튜플(SA Challenge Tuple)을 포함하지 않고, 상기 정보의 갱신을 지시하는 TLV(Type Length Value)를 포함하는 레인징 응답(RNG-RSP)메시지를 상기 이동 단말로 전송하는 과정을 포함한다.The present invention relates to a method and system for authentication in a wireless communication system, and more particularly, to perform authentication using a secret key management protocol (PKM) during handover or network re-entry of a mobile terminal in a portable Internet system. A method and apparatus for the same. In the mobile Internet system according to the present invention, a method for authenticating a mobile terminal by a base station includes a ranging request (RNG-REQ) message for requesting access from a mobile terminal reentering the network in an idle state or handover state. Receiving the ranging request message and updating information for continuously providing a security service to the mobile terminal after receiving the ranging request message, in order to continuously provide the security service to the mobile terminal. Lanes that contain a Type Length Value (TLV) that does not include a SA Challenge Tuple that includes the attributes of a Security Association-Traffic Encryption Key Challenge message and indicates an update of the information. And transmitting a RNG-RSP message to the mobile terminal.
IEEE 802.16e, WiBro, PKM, Handover, Network re-entry IEEE 802.16e, WiBro, PKM, Handover, Network re-entry
Description
도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면,1 illustrates a hierarchical structure of a conventional IEEE 802.16e standard;
도 2는 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 초기에 네트워크로 진입할 때 또는 재인증을 받기 위한 SA-TEK 3단계 절차를 도시한 도면,FIG. 2 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal initially enters a network or undergoes reauthentication in an IEEE 802.16e system for better understanding of the present invention;
도 3은 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 도면,3 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal reenters a handover or a network in an IEEE 802.16e system for better understanding of the present invention;
도 4는 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태(idle mode)에서 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 흐름도,4 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention;
도 5는 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태(idle mode)에서 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 흐름도,5 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle mode in a portable Internet system according to a second embodiment of the present invention;
도 6은 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태(idle mode)에서 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 단말 순서도,FIG. 6 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention.
도 7은 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태(idle mode)에서 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 단말 순서도,7 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle mode in a portable Internet system according to a second embodiment of the present invention.
도 8은 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말과 기지국의 블록 구성도.8 is a block diagram of a mobile terminal and a base station in a portable Internet system according to an embodiment of the present invention.
본 발명은 무선 통신 시스템에서 인증을 위한 방법 및 시스템에 관한 것으로 특히 휴대 인터넷 시스템에서 이동 단말의 핸드오버 또는 네트워크 재진입시 비밀 키 관리 프로토콜(Privacy Key Management : 이하 "PKM"이라 함)을 사용하여 인증을 수행하기 위한 방법 및 장치에 관한 것이다.The present invention relates to a method and system for authentication in a wireless communication system, and more particularly, to authentication using a secret key management protocol (PKM) during handover or network reentry of a mobile terminal in a mobile Internet system. It relates to a method and apparatus for performing the.
일반적으로 무선 통신 시스템이라 함은, 고정적인 유선 네트워크를 연결하여 사용할 수 없는 경우를 위해 개발된 시스템이다. 이러한 무선 통신 시스템의 대표적인 시스템으로는 음성 및 데이터 서비스를 제공하는 일반 이동 통신 시스템은 물론, 무선 랜, 와이브로(WiBro), 이동 애드 혹(Mobile Ad Hoc)네트워크 등 을 들 수 있다.In general, a wireless communication system is a system developed for a case where a fixed wired network cannot be connected and used. Representative systems of such wireless communication systems include wireless LAN, WiBro, and mobile ad hoc networks, as well as general mobile communication systems that provide voice and data services.
근래의 컴퓨터, 전자, 통신 기술의 비약적인 발전과 인터넷 서비스에 대한 사용자의 요구 증가 등으로 인하여 인터넷 서비스를 효율적으로 제공할 수 있는 이동 통신 시스템에 대한 필요성이 증대되고 있다. 가장 기본적인 무선 통신 서비스는 이동 통신 단말 사용자들에게 무선으로 음성 통화를 제공하는 무선 음성 통화 서비스로서 이는 시간과 장소에 구애받지 않고 서비스를 제공할 수 있다는 특징이 있다. 또한 문자 메시지 서비스를 제공하여 음성 통화 서비스를 보완해주고 있다. 뿐만 아니라 사용자들의 인터넷 서비스에 대한 요구가 급증하여 무선 인터넷 서비스를 효율적으로 제공할 수 있는 무선 이동 통신 시스템에 대한 필요성이 증대되고 있다. Recently, due to the rapid development of computer, electronic, and communication technologies and increasing user demand for Internet services, there is an increasing need for a mobile communication system capable of efficiently providing Internet services. The most basic wireless communication service is a wireless voice call service that provides a voice call to a mobile terminal user wirelessly, which can provide a service regardless of time and place. It also supplements voice call service by providing text message service. In addition, there is an increasing demand for a wireless mobile communication system that can efficiently provide wireless Internet services due to the rapid increase in the demand for users' Internet services.
그러나 이러한 기존 이동 통신망은 음성 서비스를 주목적으로 개발되어 데이터 전송 대역폭이 비교적 작고, 기지국 구축비용이 높기 때문에 속도가 느리고 사용료가 비싸며, 이동 통신 단말의 화면 크기가 작아 이용할 수 있는 컨텐츠의 제약이 있다는 단점을 가지고 있다. 국제표준화 기구 중 하나인 전기 전자 공학자 협회(Institute of Electrical and Electronics Engineers, 이하 "IEEE")의 IEEE 802.16 표준화 그룹에서는 고정 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 표준으로 IEEE 802.16, 802.16a, 802.16b 표준을 하나로 통합한 IEEE 802.16d 표준을 제정하고 있으며, 이와 동시에 IEEE 802.16d를 개선하여 이동 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 제정을 추진 중이다.However, such a conventional mobile communication network has been developed mainly for voice service, which has a relatively small data transmission bandwidth, a high base station construction cost, and thus is slow and expensive to use, and there is a limitation of content available due to the small screen size of the mobile communication terminal. Have The IEEE 802.16 standardization group of the Institute of Electrical and Electronics Engineers (IEEE), one of the international standardization bodies, is a standard for providing wireless broadband Internet services to fixed terminals as IEEE 802.16, 802.16a, and 802.16 standards. The IEEE 802.16d standard, which integrates the b standard, is enacted. At the same time, the IEEE 802.16e standard is being proposed to provide wireless broadband Internet services to mobile terminals by improving IEEE 802.16d.
상기 IEEE 802.16d와 802.16e 표준은 종래의 음성 서비스를 위한 무선 기술에 비하여, 데이터의 대역폭이 넓어 단시간에 대용량 데이터를 전송할 수 있으며, 모든 사용자가 채널을 공유하여 채널을 효율적으로 사용하는 것이 가능하다. 한편 상기 IEEE 802.16d 표준은 고정 단말로 광대역 인터넷 서비스를 제공하기 위한 것이므로 단말의 이동성에 대한 고려가 되지 않았으며, 이동 단말로 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 또한 상기 IEEE 802.16d 기반 위에 만들어지고 있으므로 현재는 이동 단말에 대한 보안 기능을 포함하여 각종 서비스 기능이 부족한 상태이다. 이중 IEEE 802.16e에 대해서 좀 더 알아보기로 하자.The IEEE 802.16d and 802.16e standards can transmit large amounts of data in a short time due to the wider bandwidth of data than the conventional wireless technology for voice service, and it is possible for all users to share the channel and use the channel efficiently. . Meanwhile, since the IEEE 802.16d standard is for providing broadband Internet service to a fixed terminal, the mobility of the terminal is not considered, and the IEEE 802.16e standard for providing broadband Internet service to a mobile terminal is also based on the IEEE 802.16d base. Currently, various service functions are lacking, including security functions for mobile terminals. Let's learn more about IEEE 802.16e.
IEEE 802.16e는 이동 단말에 대해 무선 광대역 인터넷 서비스를 제공하기 위하여 표준을 제정하였으며, 2.3GHz 동작 주파수 대역과 OFDM(Orthogonal Frequency Division Multiplexing), OFDMA(Orthogonal Frequency Division Multiple Access), 그리고 단일 반송파 변조(Single Carrier Modulation)를 위한 규격을 제시한다. 따라서 종래 음성 서비스의 무선 기술에 비하여 데이터 대역폭이 넓어 단시간에 대용량의 데이터를 전송할 수 있으며, 채널을 효율적으로 사용하는 것이 가능하게 되었다.IEEE 802.16e has established standards to provide wireless broadband Internet services for mobile terminals, and has a 2.3 GHz operating frequency band, orthogonal frequency division multiplexing (OFDM), orthogonal frequency division multiple access (OFDMA), and single carrier modulation (Single). The specification for Carrier Modulation) is presented. As a result, the data bandwidth is wider than that of the conventional voice service wireless technology, and thus a large amount of data can be transmitted in a short time, and the channel can be efficiently used.
이하에서는 사용자 및 단말의 정보 보호(인증)와 관련하여 종래 IEEE 802.16e 표준의 계층 구조를 간략히 설명하기로 한다.Hereinafter, a hierarchical structure of the conventional IEEE 802.16e standard will be briefly described with respect to information protection (authentication) of a user and a terminal.
도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면이다. 1 is a diagram illustrating a hierarchical structure of the conventional IEEE 802.16e standard.
도 1의 IEEE 802.16e 계층은 크게 MAC 계층(110)과 물리 계층인 PHY 계층(120) 그리고 MAC 계층(110)과 PHY 계층(120)을 관리하는 다수의 관리 계층(Management Plane)(130a, 130b, 130c)을 포함한다. 상기 MAC 계층(110)은 서비스 수용 보조 계층(Service Specific Convergence Sublayer : CS)(111)과, MAC 공 통 보조 계층(MAC Common Part Sublayer : MAC CPS)(112) 및 이동 단말에 대한 보안 기능을 담당하는 보안 보조 계층(Security Sublayer : SS)(113)으로 구분되며, 각 계층들은 서비스 접속점(Service Access Point : SAP)을 통해 상호 연결된다. IEEE 802.16e에서 정의된 MAC 계층(110)은 IEEE 802.16d에서 정의된 MAC 계층 구조와 같이 MAC 공통 보조 계층(112)과 보안 보조 계층(113)이 서로 연결된 구조임을 특징으로 한다.The IEEE 802.16e layer of FIG. 1 is largely composed of the
상기 서비스 수용 보조 계층(CS)(111)은 디지털 오디오/비디오 멀티캐스트, 디지털 전화, 인터넷 접속 등의 제공 서비스 프로토콜을 802.16e MAC 프로토콜에 맞도록 변환하는 기능을 수행한다. 상기 MAC 공통 보조 계층(MAC CPS)(112)은 프레임을 만들어 데이터를 송수신하고 공유 무선 매체로의 접속을 제어하는 기능을 수행하며, 기지국이나 가입자가 송수신을 어떻게 언제 시작할지를 정의하는 MAC 프로토콜에 따라 데이터 및 제어 신호의 흐름을 제어한다. 상기 PHY 계층(120)은 데이터 및 제어 신호의 무선 전송을 위한 주파수 대역, 변조 방식, 오류 정정 기술, 기지국과 이동 단말 사이의 동기, 데이터 전송률, 프레임 구조 등을 담당한다.The service acquiring auxiliary layer (CS) 111 performs a function of converting a service protocol such as digital audio / video multicast, digital telephone, Internet access, etc. to conform to the 802.16e MAC protocol. The MAC Common Aid Layer (MAC CPS) 112 performs a function of creating a frame to transmit and receive data and control access to a shared wireless medium, and according to a MAC protocol defining how and when a base station or subscriber starts transmission and reception. Control the flow of data and control signals. The
이중 보안 보조 계층(SS)(113)은 PHY 계층(120)과 인접하여 패킷 데이터를 암호화/복호화하며, 적법한 사용자와 단말의 망 진입을 허용하기 위한 인증 및 메시지 인증을 위해 key 관련 정보를 관리하고 전송하는 Privacy Key Management protocol(PKM) 기능을 한다. PKM 프로토콜은 기지국에서 이동 단말로의 트래픽 keying material의 분배뿐만 아니라 단말과 기지국의 상호 인증을 원활하게 한다. 또한 주기적인 재인증/재인가와 key refresh를 지원하며, PKM은 인증을 통해 이동 단말과 기지국간의 shared secret(AK : Authorization Key)을 설정한다. 이 AK는 메시지 인증을 위한 key와 TEK(Traffic Encryption Key)를 암호화하기 위한 key를 생성할 때 사용된다.The dual security secondary layer (SS) 113 encrypts / decrypts packet data adjacent to the
기지국은 이동 단말 또는 사용자를 인증함으로써 가입자의 접근을 허용할 수 있으며, 합법적인 가입자로 사칭하여 이동 단말을 사용하는 공격자로부터 보호한다. 단말은 기지국으로부터 인증과 트래픽 keying material을 획득하기 위해 주기적인 재인증 및 key refreshing을 시도한다. IEEE 802.16e의 PKMv2는 RSA(Rivest Shamir Adleman)와 EAP(Extensible Authentication Protocol)를 기반으로 인증을 제공한다. The base station can allow the access of the subscriber by authenticating the mobile terminal or the user, and protects it from an attacker using the mobile terminal by impersonating a legitimate subscriber. The terminal attempts periodic re-authentication and key refreshing to obtain authentication and traffic keying material from the base station. PKMv2 of IEEE 802.16e provides authentication based on RSA (Rivest Shamir Adleman) and Extensible Authentication Protocol (EAP).
RSA 인증은 X.509 certificate를 이용한 단말 인증에 속하고, EAP는 대부분 사용자 인증이며, 단말 인증의 방식도 존재한다. RSA 인증은 항상 online으로 연결될 필요는 없으나 X.509 Certificate를 제공하는 CA(Certificate Authority)가 필요하고, modular exponentiation 계산을 필요로 하므로 encryption 및 decryption에 CPU, power 등의 resource가 많이 필요하다. 반면 EAP는 AAA(Authentication, Authorization, Accounting) 서버가 항상 접속되어 있어야 하며 RSA에 비해 송수신 하는 메시지의 개수가 많으나 대부분 대칭키 기반의 계산을 하므로 빠른 시간 내에 적은 resource로 처리할 수 있다. RSA authentication belongs to terminal authentication using X.509 certificate, EAP is mostly user authentication, and there is a method of terminal authentication. RSA certification does not always need to go online, but requires a CA (Certificate Authority) that provides an X.509 certificate, and requires modular exponentiation calculations, which requires a lot of resources such as CPU and power for encryption and decryption. On the other hand, EAP requires AAA (Authentication, Authorization, Accounting) server to be connected at all times, and the number of messages sent / received is higher than that of RSA.
이와 같은 RSA 나 EAP 인증을 통해서 유효한 AK를 공유하게 되면 초기 네트워크 접속이나 재인증시에는 SA-TEK 3단계 절차인 SA-TEK 3-way handshake(SA-TEK 챌린지(SA-TEK challenge), SA-TEK 요청(SA-TEK Request), SA-TEK 응답(SA-TEK Response)를 진행하게 되는데 휴대 인터넷 시스템에서 이동 단말이 네트워크로 재진입하거나 핸드오버할 때 발생하는 지연을 줄이기 위하여 상기 SA-TEK 3단계 절차를 수행하지 않고 빠르게 네트워크에 접속할 수 있는 방안이 필요하다. When a valid AK is shared through RSA or EAP authentication, SA-TEK 3-way handshake, SA-TEK challenge, SA-TEK SA-TEK Request and SA-TEK Response are performed. In order to reduce the delay that occurs when the mobile terminal reenters or handovers into the network, the SA-TEK 3-step procedure is performed. There is a need for a way to quickly connect to a network without doing the following.
본 발명은 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 절차를 간략화하기 위한 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for simplifying a procedure when a mobile terminal reenters a handover or a network in a portable internet system.
본 발명에 따른 휴대 인터넷 시스템에서 기지국이 이동 단말을 인증하기 위한 방법은, 아이들 상태에서 네트워크로 재진입하거나 또는 핸드오버 상태인 이동 단말로부터, 접속을 요청하기 위해 레인징 요청(RNG-REQ)메시지를 수신하는 과정과, 상기 레인징 요청 메시지를 수신한 뒤 상기 이동 단말로 보안 서비스를 계속 제공해 주기 위한 정보의 갱신(Update)이 필요한 경우, 상기 이동 단말로 상기 보안 서비스를 계속 제공하기 위하여 보안 관련-트래픽 인크립션 키 챌린지(Security Association - Traffic Encryption Key Challenge) 메시지의 속성들이 포함된 보안 관련 챌린지 튜플(SA Challenge Tuple)을 포함하지 않고, 상기 정보의 갱신을 지시하는 TLV(Type Length Value)를 포함하는 레인징 응답(RNG-RSP)메시지를 상기 이동 단말로 전송하는 과정을 포함하고, 상기 기지국은 상기 레인징 응답 메시지를 상기 이동 단말로 전송한 경우, 상기 이동 단말과 보안 관련-트래픽 인크립션 키(Security Association - Traffic Encryption Key : SA - TEK) 3단계 절차를 수행하지 않음을 특징으로 한다.In the mobile Internet system according to the present invention, a method for authenticating a mobile terminal by a base station includes a ranging request (RNG-REQ) message for requesting access from a mobile terminal reentering the network in an idle state or handover state. Receiving the ranging request message and updating information for continuously providing a security service to the mobile terminal after receiving the ranging request message, in order to continuously provide the security service to the mobile terminal. Lanes that contain a Type Length Value (TLV) that does not include a SA Challenge Tuple that includes the attributes of a Security Association-Traffic Encryption Key Challenge message and indicates an update of the information. Sending a mobile station response message (RNG-RSP) message to the mobile station; When transmitting the ranging response message to the mobile terminal, the mobile terminal and the security-traffic encryption key: characterized by (Security Association - - Traffic Encryption Key TEK SA) does not perform a three-step process.
본 발명에 따른 휴대 인터넷 시스템에서 이동 단말이 기지국으로부터 인증을 받기 위한 방법은, 네트워크로 재진입하거나 또는 핸드오버할 경우에 상기 기지국으로 접속을 요청하기 위해 레인징 요청(RNG-REQ) 메시지를 전송하는 과정과, 상기 레인징 요청 메시지에 대한 응답으로서, 상기 기지국으로부터 레인징 응답(RNG-RSP) 메시지를 수신하는 과정과, 상기 레인징 응답 메시지에 보안 관련-트래픽 인크립션 키 챌린지(Security Association - Traffic Encription Key) 메시지의 속성들이 포함된 보안 관련 챌린지 튜플(SA Challenge Tuple)이 포함되지 않고, 보안 서비스를 제공하기 위해 필요한 정보의 갱신을 지시하는 정보가 포함되어 있는지 검사하는 과정과, 상기 정보의 갱신을 지시하는 TLV(Type Length Value)가 포함되어있다면, 상기 정보를 상기 정보의 갱신을 지시하는 TLV에 포함된 값으로 갱신하는 과정을 포함하고, 상기 이동 단말은 상기 레인징 응답 메시지를 수신한 경우, 상기 기지국과 보안 관련-트래픽 인크립션 키(Security Association - Traffic Encryption Key : SA-TEK) 3단계 절차를 수행하지 않음을 특징으로 한다.
본 발명에 따른 이동 통신 시스템에서 이동 단말을 인증하기 위한 기지국 장치는, 상기 이동 단말로부터 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 수신하고 상기 이동 단말로 레인징 응답(RNG-RSP) 메시지를 송신하는 송수신부와, 상기 레인징 요청 메시지를 수신할 경우, 상기 레인징 요청 메시지에 대한 응답으로 상기 이동 단말로 보안 서비스를 계속 제공해주기 위한 정보의 갱신(Update)이 필요한 경우, 상기 이동 단말로 상기 보안 서비스를 계속 제공하기 위하여 보안 관련-트래픽 인크립션 키 챌린지(Security Association - Traffic Encryption Key Challenge) 메시지의 속성들이 포함된 보안 관련 챌린지 튜플(SA Challenge Tuple)을 포함하지 않고, 상기 정보의 갱신을 지시하는 TLV(Type Length Value)를 레인징 응답(RNG-RSP)메시지에 포함하여 전송하게 상기 송수신부를 제어하는 스케줄러 및 제어부를 포함하고, 상기 스케줄러 및 제어부는 상기 레인징 응답 메시지를 전송한 경우, 상기 이동 단말과 보안 관련-트래픽 인크립션 키(Security Association Traffic Encryption Key : SA-TEK) 3단계 절차를 수행하지 않음을 특징으로 한다.
본 발명에 따른 이동 통신 시스템에서 기지국으로부터 인증을 받기 위한 이동 단말 장치는, 상기 기지국에 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 송신하고 상기 기지국으로부터 레인징 응답(RNG-RSP) 메시지를 수신하는 송수신부와, 상기 레인징 응답 메시지에 보안 관련-트래픽 인크립션 키 챌린지(Security Association - Traffic Encription Key) 메시지의 속성들이 포함된 보안 관련 챌린지 튜플(SA Challenge Tuple)이 포함되지 않고, 보안 서비스를 제공하기 위해 필요한 정보의 갱신을 지시하는 정보가 포함되어 있는지 검사하고, 상기 정보의 갱신을 지시하는 정보가 포함되어 있다면, 상기 정보의 갱신을 지시하는 TLV(Type Length Value)에 포함된 값으로 갱신하는 제어부를 포함하고, 상기 제어부는 상기 레인징 응답 메시지를 수신한 경우, 상기 기지국과 보안 관련-트래픽 인크립션 키(Security Association - Traffic Encryption Key : SA-TEK) 3단계 절차를 수행하지 않음을 특징으로 한다.In the portable Internet system according to the present invention, a method for a mobile terminal to authenticate from a base station includes transmitting a ranging request (RNG-REQ) message to request access to the base station when reentering or handing over to a network. And receiving a ranging response (RNG-RSP) message from the base station as a response to the ranging request message, and a security association-traffic encryption key challenge to the ranging response message. Key) checking whether the SA Challenge Tuple including the attributes of the message is not included and including information indicating update of information required to provide a security service, and updating the information. If a TLV (Type Length Value) indicating is included, the TLV indicating the update of the information is included. Updating to a value included in the mobile terminal, and when the mobile station receives the ranging response message, a three-step procedure of a security association-traffic encryption key (SA-TEK) with the base station; It is characterized by not performing.
In the mobile communication system according to the present invention, a base station apparatus for authenticating a mobile terminal receives a ranging request (RNG-REQ) message for requesting access from the mobile terminal and sends a ranging response (RNG-RSP) to the mobile terminal. And a transmitter / receiver for transmitting a message and, when receiving the ranging request message, updating of information for continuously providing a security service to the mobile terminal in response to the ranging request message. Does not include a SA Challenge Tuple that includes attributes of a Security Association-Traffic Encryption Key Challenge message to continue providing the security service to a mobile terminal; The transceiver unit includes a TLV (Type Length Value) indicating an update in a ranging response (RNG-RSP) message. And a scheduler and a controller, wherein the scheduler and the controller perform a security association traffic encryption key (SA-TEK) step 3 with the mobile terminal when the ranging response message is transmitted. It is characterized by not.
In the mobile communication system according to the present invention, a mobile terminal apparatus for receiving authentication from a base station transmits a ranging request (RNG-REQ) message for requesting access to the base station and receives a ranging response (RNG-RSP) from the base station. Transmitting and receiving unit for receiving the message, and the Security Response Challenge Tuple (SA Challenge Tuple) that includes the attributes of the Security Association-Traffic Encryption Key message in the ranging response message, A value included in the TLV (Type Length Value) indicating the update of the information, if the information indicating the update of the information necessary for providing the service is included and the information indicating the update of the information is included. And a control unit for updating to the base station, wherein the control unit secures the base station and the base station when the ranging response message is received. It does not perform the three steps of the Security Association-Traffic Encryption Key (SA-TEK).
삭제delete
삭제delete
삭제delete
삭제delete
삭제delete
삭제delete
이하 첨부된 도면을 참조하여 본 발명의 실시 예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted.
도 2는 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 초기에 네트워크로 진입할 때 또는 재인증을 받기 위한 보안 관련-트래픽 암호화 키(Security Association - Traffic Encryption Key : 이하 "SA-TEK"라 함) 3단계 절차를 도시한 도면이다.FIG. 2 illustrates a security association-traffic encryption key (hereinafter referred to as “SA-TEK”) for initial authentication when a mobile terminal enters a network or for re-authentication in an IEEE 802.16e system to facilitate understanding of the present invention. Is a diagram illustrating a three-step procedure.
도 2에서 이동 단말(Mobile Station : MS)(200)과 기지국(Base Station : BS)(210)이 SA-TEK 챌린지(SA-TEK Challenge)(AKID)(220), SA-TEK 요청(SA-TEK Request)(AKID, Security Capabilities)(230), SA-TEK 응답(SA-TEK Response)(AKID, SA Descriptor)(240)과 같은 SA-TEK 3단계 절차(SA-TEK 3-way handshake)를 통하여 기존의 SBC-REQ/RSP를 통해 협상한 security 사항을 다시 확인하고, 트래픽 데이터 및 트래픽 암호화 키(Traffic Encryption Key:이하 "TEK"라 함)의 실제 암호화 방식에 대해 협상하며 보안 관련 (Security Association: 이하 "SA"라 함) 정보를 공유한다. In FIG. 2, a mobile station (MS) 200 and a base station (BS) 210 perform a SA-TEK challenge (AKID) 220 and a SA-TEK request (SA-). SA-TEK 3-way handshake (TEK Request) (AKID, Security Capabilities) (230) and SA-TEK Response (AKID, SA Descriptor) 240 Reconfirm security matters negotiated through SBC-REQ / RSP, negotiate the actual encryption method of traffic data and traffic encryption key (hereinafter referred to as "TEK"). Share information).
기지국(210)이 전송한 SA-TEK 챌린지(SA-TEK Challenge)(220) 메시지에 대한 응답으로 SA챌린지 타이머(SAChallengeTimer)를 모두 계수하기 전에 SA-TEK 요청(SA-TEK Request)(230) 메시지를 수신하지 못하면 SAChallengeMaxResends 만큼 재전송(222)을 시도한다. 그리고 이동 단말이 전송한 SA-TEK 요청(SA-TEK Request)(230) 메시지에 대한 응답으로 SATEK 타이머(SATEKTimer) 내에 SA-TEK 응답(SA-TEK Response)(240) 메시지를 수신하지 못하면 SATEKRequestMaxResends 만큼 재전송(232)을 시도한다. SA-TEK Request (230) message before counting all the SA ChallengeTimer in response to the SA-TEK Challenge (220) message sent by the base station (210) If it does not receive the SAChallengeMaxResends attempts to retransmit (222). If the SA-
도 3은 본 발명의 이해를 돕기 위해 IEEE 802.16e 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 도면이다.FIG. 3 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal reenters a handover or a network in an IEEE 802.16e system for better understanding of the present invention.
도 3은 참조번호 300과 같이 이동 단말(200)이 핸드오버나 네트워크 재진입을 시도할 때, 기지국(210)은 302단계에서 레인징 응답(RNG-RSP) 메시지의 핸드오버 프로세스 최적화(HO process optimization) TLV Bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)을 1로 설정하여 전송할 때 IEEE 802.16e에서 제안하는 절차를 보여준다. 3 illustrates that when the mobile terminal 200 attempts handover or network reentry as shown by
기지국(210)은 302단계에서 레인징 응답(RNG-RSP) 메시지에 상기 도 2에서의 SA-TEK 챌린지 메시지 역할을 하는 SA 챌린지 튜플(SA Challenge Tuple)을 첨부하여 전송함과 동시에 SA 챌린지 타이머(SAChallengeTimer)(핸드오버 및 네트워크 재진입의 경우는 초기 네트워크 접속이나 재인증 때보다 긴 SA 챌린지 타이머(SAChallengeTimer)를 갖는다)(304)를 구동시킨다. 기지국(210)은 상기 SA 챌린지 타이머(304)가 종료되기 전에 이동 단말(200)로부터 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신하면 SA 챌린지 타이머(SAChallengeTimer)(304)의 동작을 종료한다. In
SA 챌린지 타이머(304)의 동작이 종료된 후에도 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신하지 못하면 기지국은(210)은 재인증을 초기화하거나, 해당 이동 단말(200)에 대한 서비스 제공을 중단한다. If the SA-
레인징 절차가 (RNG-REQ/RSP) 종료되면 306단계에서 협상 절차(SBC-REQ/RSP)를 수행하나, 아이들 상태에서 네트워크 재진입 또는 핸드오버 시에는 상황에 따라 생략 가능하다. 그리고 협상 절차(306)는 SA-TEK 3단계 수행과 별개 과정이다.When the ranging procedure is terminated (RNG-REQ / RSP), the negotiation procedure (SBC-REQ / RSP) is performed in
상기 302단계에서 SA 챌린지 튜플(SA Challenge Tuple)을 포함한 레인징 응답(RNG-RSP) 메시지를 수신한 이동 단말(200)은 308단계에서 SA-TEK 요청(SA-TEK Request) 메시지를 전송한다. 이동 단말(200)은 SA-TEK 요청(SA-TEK Request) 메시지를 전송함과 동시에 SATEK 타이머(SATEKTimer)(307)를 구동시킨다. 이동 단말(200)은 SATEK 타이머(310)내에 SA-TEK 응답(SA-TEK Response)(312)메시지를 수신하면 SATEK 타이머(SATEKTimer)(307)의 동작을 종료시킨다. In
이동 단말(200)은 SATEK 타이머(SATEKTimer)(307)가 미리 설정한 시간을 계수하기 이전에 SA-TEK 응답(SA-TEK Response)(312)메시지를 수신하지 못하면 상기 SA-TEK 요청(SA-TEK Request) 메시지를 재전송하고, SATEK 타이머(SATEKTimer)(307)를 재구동 시킨다. 그리고 SATEKRequestMaxResends(310) 만큼의 SA-TEK Request 메시지의 재전송 후에도 응답이 없으면, 이동 단말(200)은 재인증을 초기화하거나, 다른 기지국으로 접속을 시도한다. If the
마지막으로 312단계에서 상기 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신한 기지국(210)이 SA-TEK 응답(SA-TEK Response) 메시지를 전송하고 이동단말(200)이 SA-TEK 응답(SA-TEK Response) 메시지를 무사히 수신함으로써 SA-TEK 3단계 절차가 종료된다.Finally, in
상술한 도 3에서 302단계의 레인징 응답(RNG-RSP) 메시지 핸드오버 프로세스 최적화(HO process optimization) TLV 필드의 Bit #1(두 번째 Bit)이"1"로 설정되었을 때는 다음과 같은 의미를 갖는다. 이동 단말(200)의 핸드오버나 네트워크 재진입 과정에서 인증 키(AK)에 관련된 인증 정보가 기지국간의 백본(Backbone)을 통해 타겟 기지국(이동 단말이 핸드오버 또는 네트워크 재진입하고자 하는 기지국)으로 전달되므로 TEK 획득 단계를 제외한 인증 절차의 생략을 의미한다. IEEE 802.16e에서 정의 하는 인증 절차는 EAP나 RSA 기반의 사용자 인증 또는 단말 인증과 그에 대한 인증키(AK)의 생성을 의미한다. In FIG. 3, when Bit # 1 (second bit) of the ranging response (RNG-RSP) message handover process optimization (HO process optimization) TLV field of
따라서 이동 단말(200)이 핸드오버를 수행할 때나 아이들 상태에서 네트워크 재진입할 때, 레인징 응답 메시지의 핸드오버 프로세스 최적화 TLV 필드 Bit#1이 1로 설정되면 이동 단말(200)과 기지국(210)간의 security를 위한 과정은 SA-TEK 3단계 절차(SA-TEK 3-way handshake)부터 시작한다. 핸드오버 및 네트워크 재진입시 SA-TEK 3단계 절차의 주목적은 기지국(210)과 이동 단말(200)간의 트래픽 암호화 키 공유 및 SA 공유에 있다. SA는 접속(unicast, multicast, MBS(Multicast Broadcast Service)에 관한 정보, 서비스 타입과 트래픽 암호화를 위한 알고리즘 등이 포함된다.Therefore, when the
그런데 IEEE 802.16e는 레인징 응답(Ranging Response : RNG-RSP) 메시지에 포함된 TLV(Type Length Value) 리스트에서 보안 관련 식별자 업데이트(SAID_Update) 필드를 제시하고 있다. SAID_Update 필드는 이동 단말이 핸드오버 후에 새로운 기지국으로부터 security 서비스를 계속 제공하기 위해 SA를 갱신하기 위한 필드라 정의한다.However, IEEE 802.16e presents a security-related identifier update (SAID_Update) field in a type length value (TLV) list included in a ranging response (RNG-RSP) message. The SAID_Update field is defined as a field for updating the SA so that the mobile terminal continues to provide security service from the new base station after the handover.
따라서 이동 단말(200)이 핸드오버 또는 네트워크 재진입하는 과정에서 기지국(210)과 이동 단말(200)간의 SA의 업데이트가 필요할 경우 IEEE 802.16e에서 정의한 SA-TEK 3단계 절차는 레인징 응답(RNG-RSP) 메시지의 SAID_Update(SA Identifier_Update) 필드와 중복되므로 상술한 바와 같은 과정들은 불필요한 과정을 한 번 더 수행하는 셈이다. 또한 기지국에서 SA 뿐만 아니라 TEK의 업데이트가 필요한 경우라도 일반적인 IEEE 802.16e에 정의된 SA 챌린지 튜플(SA Challenge Tuple)대신 SA-TEK 응답(SA-TEK Response)메시지에 포함된 SA-TEK Update TLV를 첨부하여 전송하면 SA-TEK 3단계 절차를 생략 할 수 있다. 여기서 SA-TEK Update TLV는 이동 단말이 핸드오버 또는 아이들 상태에서 네트워크 재진입 후에 새로운 기지국으로 security 서비스를 계속 유지하기 위해 SA 또는 TEK를 업데이트하기 위해 필요한 필드이다. Therefore, when the
본 발명을 설명하기 전에 본 발명이 이루고자 하는 바를 요약하면 다음과 같이 두 가지 방안으로 기술하였다. 첫째는 SA(Security Association) 정보의 갱신이 필요한 경우 기지국이 이동 단말로 레인징 응답(RNG-RSP) 메시지의 SA 챌린지 튜플(SA Challenge Tuple)대신 SAID_Update TLV나 레인징 응답 메시지의 Compound TLV에 포함된 SAID_Update TLV를 포함하여 전송함으로써 일반적인 IEEE 802.16e 방식에 따른 SA-TEK 3단계 절차를 생략한다. Before describing the present invention, the present invention has been briefly described in two ways as follows. First, when the SA (Security Association) information needs to be updated, the base station is included in the SAID_Update TLV or the Compound TLV of the ranging response message instead of the SA Challenge Tuple of the ranging response (RNG-RSP) message to the mobile station. By including the SAID_Update TLV, the SA-TEK 3-step procedure according to the general IEEE 802.16e scheme is omitted.
둘째는 SA나 TEK(Traffic Encryption Key) 중 적어도 하나의 보안 관련 정보의 갱신이 필요한 경우, 일반적인 IEEE 802.16e 방식의 휴대 인터넷 시스템에서 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 추가하는 방식에 착안하여 본원발명에서는 기지국이 SA 챌린지 튜플(SA Challenge Tuple)대신 SA-TEK Update TLV를 첨부하여 전송한다. 그럼으로써 SA-TEK 3단계 절차(SA-TEK 3-way handshake)를 수행하지 않고도 단순히 기지국이 레인징 응답(RNG-RSP) 메시지만을 전송하여 네트워크 재진입 또는 핸드오버 상황 시의 불필요한 절차를 생략할 수 있다. 이하 본 명세서에서는 SA와 TEK를 보안 서비스를 제공하기 위해 필요한 정보라 칭하기로 한다. Secondly, when renewal of security-related information of at least one of SA or Traffic Encryption Key (TEK) is required, the SA Challenge Tuple is included in a ranging response (RNG-RSP) message in a general IEEE 802.16e-type portable Internet system. In the present invention, the base station attaches and transmits the SA-TEK Update TLV instead of the SA Challenge Tuple. This allows the base station to simply send a ranging response (RNG-RSP) message without the need for a SA-TEK 3-way handshake, eliminating unnecessary steps in network reentry or handover situations. have. Hereinafter, in the present specification, SA and TEK will be referred to as information necessary to provide a security service.
도 4는 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태에서 네트워크로의 재진입할 때의 SA-TEK 3단계 기능을 도시한 흐름도이다.4 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle state in the portable Internet system according to the first embodiment of the present invention.
도 4를 참조하면, 이동 단말(400)이 404단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국(402)과 핸드오버 또는 네트워크로의 재진입을 수행하고, 406단계에서 기지국(402)은 레인징 응답(RNG-RSP) 메시지의 핸드오버 프로세스 최적화 TLV Bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)을 1로 설정하여 전송하고, 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 삽입하지 않고 전송한다. 이동 단말(400)은 네트워크 재진입과 핸드오버 상태에서 수신한 레인징 응답 메시지 SAID_Update TLV 필드의 포함 여부를 확인하고, 상기 SAID_Update TLV가 포함된 경우 SAID의 업데이트를 처리하면 기존의 SA-TEK 3단계 절차의 주기능이 수행되는 셈이다. 즉, 기지국(402)은 406단계에서 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 삽입하지 않고 전송함으로써, 도 3의 304단계, 307 ~ 312단계를 생략할 수 있다. Referring to FIG. 4, the
도 5는 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태에서 네트워크로의 재진입할 때의 SA-TEK 3단계 절차를 도시한 흐름도이다. 일반적인 IEEE 802.16e 시스템에서는 500단계에서와 같이 레인징 요청(RNG-REQ)메시지를 통해 이동 단말이 핸드오버나 아이들 상태로부터 네트워크 재진입을 시도할 때, 기지국(402)은 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 추가하여 SA-TEK 3단계 절차를 계속 진행한다.5 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle state in a portable Internet system according to a second embodiment of the present invention. In a typical IEEE 802.16e system, when the mobile terminal attempts to reenter the network from a handover or idle state through a ranging request (RNG-REQ) message as in
상기 SA-TEK 3단계 절차 과정의 SA-TEK 응답(SA-TEK Response) 메시지는 기지국이 단말에 SA 및 TEK 업데이트 사항을 알려 주는 역할을 하는 요소를 포함하고 있다. 따라서 본 발명의 제2 실시 예에서는 SA-TEK 응답(SA-TEK Response)메시지에서 SA 및 TEK의 갱신을 알려주는 정보인 SA-TEK Update TLV를 레인징 응답(RNG-RSP) 메시지에 첨부하여 SA 및 TEK의 업데이트가 동시에 가능하도록 구성함으로써 SA-TEK 3단계 절차를 생략하게 된다. 따라서 IEEE 802.16e의 휴대 인터넷 시스템은 SA-TEK Update TLV가 포함된 레인징 응답(RNG-RSP) 메시지만으로 SA-TEK 3단계 절차의 주 기능을 처리할 수 있다. 즉, 도 5에서는 기지국(402)이 502단계에서 SA Challenge Tuple을 삽입하지 않고, 보안 관련 정보의 갱신을 지시하는 정보로서, SA-TEK Update TLV가 포함된 레인징 응답(RNG-RSP) 메시지를 전송함으로써 도 3의 304단계, 307 ~ 312단계를 생략할 수 있다. The SA-TEK Response (SA-TEK Response) message of the three-step SA-TEK procedure includes an element that the base station informs the UE of the SA and TEK update. Therefore, in the second embodiment of the present invention, the SA-TEK Update TLV, which informs the update of the SA and the TEK in the SA-TEK Response message, is attached to the ranging response (RNG-RSP) message. And to update the TEK at the same time to omit the three-step SA-TEK procedure. Therefore, the IEEE 802.16e portable Internet system can handle the main function of the SA-TEK 3-step procedure with only the ranging response (RNG-RSP) message including the SA-TEK Update TLV. That is, in FIG. 5, the
도 6은 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태에서 네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 이동 단말 순서도이다.FIG. 6 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle state in the portable Internet system according to the first embodiment of the present invention.
도 6을 참조하면, 이동 단말이 602단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국과 네트워크 재진입 및 핸드오버를 수행하고, 604단계에서 핸드오버 프로세스 최적화 TLV Bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)이 1로 설정된 레인징 응답(RNG-RSP) 메시지를 수신한다. 606단계에서 레인징 응답(RNG-RSP) 메시지의 보안 관련 정보 갱신을 지시하는 SAID_Update TLV 필드를 확인하고, 상기 레인징 응답 메시지에 SAID_Update TLV가 포함되었다면 상기 SAID_Update TLV 필드에 정의되어 있는 것과 같이 이동 단말의 SA를 갱신한다.Referring to FIG. 6, the mobile terminal performs network reentry and handover with a base station through a ranging request (RNG-REQ) message in
그리고, 상기 606단계의 검사결과 SAID_Update TLV 필드 포함여부와 상관없이 이동 단말은 610단계에서 SA 챌린지 튜플(SA Challenge Tuple)이 첨부 되어 있는지 확인한다. 확인 결과 SA 챌린지 튜플(SA Challenge Tuple)이 없으면 SA-TEK 3단계 절차를 종료하고, SA 챌린지 튜플(SA Challenge Tuple)을 확인하면 612단계로 진행하여 도 3에 도시된 것과 같은 기존의 IEEE 802.16e가 제시하는 방법으로 SA-TEK 3단계 절차를 수행한다. In addition, regardless of whether the SAID_Update TLV field is included in the check result of
도 7은 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 아이들 상태에서 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 이동 단말 순서도이다.FIG. 7 is a flowchart illustrating a three-stage SA-TEK procedure when a mobile terminal re-enters a network in a handover or idle state in the portable Internet system according to the second embodiment of the present invention.
도 7을 참조하면, 이동 단말이 702단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국과 네트워크 재진입 또는 핸드오버를 수행하고, 704단계에서 핸드오버 프로세스 최적화 TLV Bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)이 1로 설정된 레인징 응답(RNG-RSP) 메시지를 수신한다.Referring to FIG. 7, the mobile terminal performs network reentry or handover with a base station through a ranging request (RNG-REQ) message in
그리고 706단계에서 이동 단말은 레인징 응답 메시지에 보안 관련-트래픽 암화화 키 업데이트 지시 정보인 SA-TEK Update TLV가 포함되었는지를 검사하고 포함되었다면 708단계로 진행한다. 708단계에서 이동 단말은 상기 SA-TEK Update TLV를 확인하고, 상기 레인징 응답 메시지의 보안 관련-트래픽 암호화 키 업데이트 지시 정보인 SA-TEK Update TLV를 근거로 이미 저장된 SA 또는 TEK를 갱신한 후 종료한다. 반면 상기 706단계의 검사결과 수신한 레인징 응답(RNG-RSP)메시지에 SA-TEK Update TLV가 없다면, 기존의 SA 및 TEK를 그대로 사용하고 해당 과정을 종료한다. In
도 8은 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말(400)과 기지국(402)의 블록 구성도이다.8 is a block diagram of a
이동 단말(400)의 송수신부(400b)는 기지국(402)과 무선 통신을 수행하며, 수신된 신호를 복조하여 제어부(400a)로 제공하고 제어부(400a)에서 생성한 신호를 부호화 및 변조하여 안테나를 통해 기지국(402)으로 전송한다. 제어부(400a)는 네트워크로 재진입하거나 핸드오버 상황이 발생하였을 때 기지국(402)으로 전송할 레인징 요청(RNG-REQ) 메시지를 생성하여 전송한다.The
본 발명의 제1 실시 예에 따라 이동 단말(400)이 기지국(402)으로 레인징 요청(RNG-REG) 메시지를 전송한 후 SA 챌린지 튜플(SA Challenge Tuple)이 포함되지 않은 레인징 응답(RNG-RSP) 메시지를 수신하면 제어부(400a)에서는 일반적인 IEEE 802.16e 시스템에서 수행하는 3단계 절차(3-way handshake)를 수행하지 않고 SAID_Update 필드가 제시한 SA로 갱신한다. 그리고, 상기 SA 챌린지 튜플(SA Challenge Tuple)이 설정된 레인징 응답(RNG-RSP) 메시지를 수신할 경우에는 제어부(400a)는 상기 3단계 절차를 수행한다.According to the first embodiment of the present invention, after the
그리고 제2 실시 예에 따라 제어부(400a)는 기지국(402)으로 레인징 요 청(RNG-REG) 메시지 송신 후에 기지국(402)으로부터 SA-TEK Update TLV가 포함된 레인징 응답(RNG-RSP) 메시지를 수신하면 SA 및 TEK를 업데이트하고 상기 3단계 절차를 수행하지 않는다.According to the second exemplary embodiment, the
기지국(402)에서 송수신부(402a)는 이동 단말(400)과 무선으로 통신을 수행하며 이동 단말(400)로부터 수신된 신호를 복조하여 스케줄러 및 제어부(402b)로 제공하거나 스케줄러 및 제어부(402b)에서 생성한 신호를 부호화한 후 변조하여 안테나를 통해 이동 단말(400)로 전송한다. 본 발명의 실시 예에서 기지국(402)의 송수신부(402a)는 이동 단말로(400)로 레인징 응답 메시지를 송신하고, 이동 단말(400)로부터 레인징 요청 메시지를 수신한다. In the
스케줄러 및 제어부(402b)는 본 발명의 실시 예에 따라 이동 단말(400)이 핸드오버 상태나 아이들 상태에서 네트워크로 재진입할 때 레인징 응답(RNG-RSP) 메시지의 SA 챌린지 튜플(SA Challenge Tuple)을 생략함으로써 이동 단말(400)과의 SA-TEK 3단계 절차를 생략할 수도 있으며, 제1 실시 예에 따라 보안 관련 식별자(SAID)등의 변경이 필요할 경우에는 레인징 응답(RNG-RSP) 메시지에 SAID_Update TLV 필드를 포함하여 상기 송수신부(402a)를 통해 전송한다. 반면 TEK의 변경이 필요한 경우에는 상기 SA 챌린지 튜플(SA Challenge Tuple)을 설정한 레인징 응답(RNG-RSP) 메시지를 이동 단말(400)로 전송하여 상기 3단계 절차를 수행하게 한다. 또한 제2 실시 예에 따라 스케줄러 및 제어부(402b)는 SA 또는 TEK의 업데이트가 필요할 경우 SA 챌린지 튜플(SA Challenge Tuple)을 생략하고, SA-TEK Update TLV를 포함한 레인징 응답(RNG-RSP) 메시지를 송수신부(402a)를 통해 이동 단말(400)로 전송함으로써 이동 단말(400)이 SA 또는 TEK를 업데이트할 수 있게하며, 그에 따라 SA-TEK 3단계 절차를 생략할 수 있다. According to an embodiment of the present invention, the scheduler and the
상술한 바와 같은 본 발명의 실시 예들에 따른 개선 방안을 살펴보면 다음과 같다. 먼저 본 발명의 제1 실시 예에서는 이동 단말(400)이 아이들 상태에서 네트워크 재진입 또는 핸드오버를 수행 중일 때, 기지국은 레인징 응답 메시지에 핸드오버 프로세스 최적화 TLV 필드의 두 번째 비트를 1(Bit #1)로 설정하여 전송한다. 이때 상기 단말의 SA 갱신이 필요하다고 판단하면 레인징 응답 메시지에 챌린지 튜플 TLV를 SAID_Update TLV로 대체하여 전송한다. 그러므로 일반적인 IEEE 802.16e 휴대 인터넷 시스템의 SA-TEK 3단계 절차는 레인징 응답 메시지의 SAID_Update TLV만으로 가능할 수 있게 된다. Looking at the improvement method according to the embodiments of the present invention as described above are as follows. First, in the first embodiment of the present invention, when the
그리고 본 발명의 제2 실시 예에서는, 이동 단말(400)과 기지국(402)사이에 SA-TEK 3단계 절차를 수행하는 대신에 기지국(102)이 레인징 응답(RNG-RSP) 메시지에 SA-TEK Update TLV를 첨부하여 수행함으로써 이동 단말(400)이 아이들 상태에서의 네트워크로 재진입 또는 핸드오버에 대한 수행 효율을 높일 수 있게 한다.In the second embodiment of the present invention, instead of performing a three-stage SA-TEK procedure between the
이렇게 함으로써, 일반적인 IEEE 802.16e에서 제시하는 기지국(202)과 이동 단말간 송수신하는 SA 챌린지 튜플이 포함된 레인징 응답(RNG-RSP) 메시지를 송신하고, 이동 단말(200)이 SA-TEK 요청(SA-TEK Request) 메시지를 송신하고 기지국(202)이 SA-TEK 응답(SA-TEK Response) 메시지를 송신하는 3단계 과정이 제1 실시 예와 제2 실시 예에 따라 기지국(402)에서 레인징 응답(RNG-RSP) 메시지만을 전송함으로도 가능하게 되므로 핸드오버 또는 네트워크 재진입 속도가 빨라지게 된다.By doing so, the
일반적인 IEEE 802.16e 시스템에서는 이동 단말이 레인징 응답(RNG-RSP) 메시지를 수신하여 SA-TEK 요청(SA-TEK Request) 메시지를 전송한 후 기지국으로부터 SA-TEK 응답(SA-TEK Response) 메시지를 수신해야 하는데, 이 때 메시지 유실이 발생할 가능성이 있다. 메시지 유실이 발생하는 경우, 최대 (SATEKTimer(SATEK 타이머가 계수한 시간) x (SATEKRequestMaxResends-1) +α )의 시간이 더 소요될 수 있다. 여기서 SATEK 타이머(Timer)는 SA-TEK 요청(SA-TEK Request)메시지를 전송한 후 상기 메시지를 재전송하기 위해 이동 단말이 대기하는 시간이며 이 시간 내에 SA-TEK 응답(SA-TEK Response) 메시지를 수신하지 못하면 SA-TEK 요청 메시지를 재전송한다. 참고로 규격상에서는 SATEK 타이머를 "Time Prior to re-send of SA-TEK Request(in seconds)"라고 정의하고 있으며, SATEK 타이머가 계수한 시간내에 SA-TEK 응답 메시지를 수신하지 못하면 SA-TEK 요청 메시지를 재전송한다. SATEKRequestMaxResends는 SA-TEK 요청(SA-TEK Request)메시지의 최대 재전송 수이며, 0≤α<SATEKTimer이다. In a typical IEEE 802.16e system, a mobile station receives a ranging response (RNG-RSP) message, sends a SA-TEK request message, and then sends a SA-TEK response message from a base station. It must be received, but there is a possibility of a message loss. If a message loss occurs, it may take more time (max SATEKTimer (time counted by SATEK timer) x (SATEKRequestMaxResends-1) + α). In this case, the SATEK timer (Timer) is the time that the mobile station waits to retransmit the message after sending the SA-TEK Request (SA-TEK Request) message, the SA-TEK Response (SA-TEK Response) message within this time If not, resend the SA-TEK request message. For reference, the standard defines the SATEK timer as "Time Prior to re-send of SA-TEK Request (in seconds)." If the SAATETE response message is not received within the time counted by the SATEK timer, the SA-TEK request message Resend SATEKRequestMaxResends is the maximum number of retransmissions of SA-TEK Request messages, where 0≤α <SATEKTimer.
따라서 본 발명의 실시 예에서 기지국은 레인징 응답(RNG-RSP) 메시지만 전송하면 되므로 상술한 SA-TEK 요청(SA-TEK Request) 및 SA-TEK 응답(SA-TEK Response) 메시지 송수신에 발생할 수 있는 지연을 방지할 수 있다. Therefore, in the embodiment of the present invention, since the base station only needs to transmit a ranging response (RNG-RSP) message, the base station may occur in the transmission and reception of the SA-TEK Request and SA-TEK Response messages. Delays can be prevented.
본 발명에서의 또 다른 효과는, 시스템상의 빠른 처리 속도록 인하여 이동 단말이 핸드오버를 수행할 때 핸드오버의 성공 확률을 높일 수 있다. 일반적으로 이동 통신 시스템에서는 셀 경계에서 메시지 유실이 발생할 수 있고, 이로 인한 메시지 재전송이 발생한다. IEEE 802.16e 시스템에서 제안하는 SA-TEK 요청(SA-TEK Request) 메시지 및 SA-TEK 응답(SA-TEK Response) 메시지를 수신하기 위한 타이머는 비교적 큰 값을 갖는다. 따라서 메시지 유실이 발생하는 경우 재전송으로 인한 비교적 긴 지연 시간으로 셀 경계에 위치한 이동 단말이 핸드오버를 종료하기 전에 또는 아이들 상태에서의 네트워크 재진입이 완료되기 전에 해당 셀을 벗어날 수 있는 확률이 커지게 된다. 이러한 과정에서 이동 단말은 동기를 잃고 네트워크로 재접속을 수행해야 한다. 따라서 본 발명의 실시 예에서는 상술한 바와 같이 다시 핸드오버를 수행하지 못하고, 이동 단말이 동기를 잃은 경우 발생하는, 네트워크 재접속에 의한 지연시간도 방지할 수 있다.Another effect of the present invention is to increase the probability of handover success when the mobile terminal performs handover due to the fast processing speed on the system. In general, in a mobile communication system, message loss may occur at cell boundaries, resulting in message retransmission. The timer for receiving a SA-TEK Request message and a SA-TEK Response message proposed by the IEEE 802.16e system has a relatively large value. Therefore, if a message is lost, a relatively long delay time due to retransmission increases the probability that a mobile terminal located at a cell boundary can leave the cell before terminating handover or before network reentry in idle state is completed. . In this process, the mobile station loses synchronization and must reconnect to the network. Therefore, in the embodiment of the present invention, as described above, the handover may not be performed again, and delay time due to network reconnection, which occurs when the mobile terminal loses synchronization, may be prevented.
상술한 바에 따르면 이동 단말의 네트워크로의 재진입 또는 핸드오버 상황 시의 절차를 간략화 함으로써 이동 단말과 기지국간의 재접속 지연 시간을 감소시켜 전체 시스템의 성능을 향상시킬 수 있다.As described above, by simplifying the procedure in the reentry or handover situation of the mobile terminal to the network, it is possible to reduce the reconnection delay time between the mobile terminal and the base station to improve the performance of the entire system.
Claims (24)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070108038A KR20070108038A (en) | 2007-11-08 |
KR100969782B1 true KR100969782B1 (en) | 2010-07-13 |
Family
ID=39063145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100969782B1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101567896B1 (en) | 2009-02-13 | 2015-11-11 | 삼성전자주식회사 | Apparatus and method for supporting intra bs handover in a multi-hop relay broadband wireless communication system |
KR20100097577A (en) * | 2009-02-26 | 2010-09-03 | 엘지전자 주식회사 | Method of negotiating security capabilities and managing traffic encryption key |
KR101717571B1 (en) * | 2009-10-16 | 2017-03-21 | 삼성전자주식회사 | Method and system for encryption in wireless communicaton system |
US8948130B2 (en) | 2010-03-12 | 2015-02-03 | Lg Electronics Inc. | Zone switching method in a broadband wireless access system having regard to security association and device for same |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050078631A (en) * | 2004-02-02 | 2005-08-05 | 한국전자통신연구원 | Method for dynamic allocating mobile address by mobile ip in wireless portable internet system |
KR20050109691A (en) * | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | System and method for minimizing of handoff interruption time by simplifying authorization procedure for handoff for use in high-speed portable internet network |
KR20050109692A (en) * | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | System and method for minimizing of handoff interruption time by optimizing ip address assignment procedure during handoff for use in high-speed portable internet network |
KR20070080400A (en) * | 2006-02-07 | 2007-08-10 | 삼성전자주식회사 | Method for network entry in a wireless mobile communication system |
-
2006
- 2006-05-04 KR KR1020060040777A patent/KR100969782B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050078631A (en) * | 2004-02-02 | 2005-08-05 | 한국전자통신연구원 | Method for dynamic allocating mobile address by mobile ip in wireless portable internet system |
KR20050109691A (en) * | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | System and method for minimizing of handoff interruption time by simplifying authorization procedure for handoff for use in high-speed portable internet network |
KR20050109692A (en) * | 2004-05-17 | 2005-11-22 | 에스케이 텔레콤주식회사 | System and method for minimizing of handoff interruption time by optimizing ip address assignment procedure during handoff for use in high-speed portable internet network |
KR20070080400A (en) * | 2006-02-07 | 2007-08-10 | 삼성전자주식회사 | Method for network entry in a wireless mobile communication system |
Also Published As
Publication number | Publication date |
---|---|
KR20070108038A (en) | 2007-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1946580B1 (en) | Method of providing security for relay station | |
US8707045B2 (en) | Method and apparatus for traffic count key management and key count management | |
US8627092B2 (en) | Asymmetric cryptography for wireless systems | |
RU2367098C1 (en) | System and method for authentication in communication system | |
JP5597676B2 (en) | Key material exchange | |
EP2288195B1 (en) | Method and apparatus for operating a base station in a wireless communication system | |
US11228908B2 (en) | Data transmission method and related device and system | |
US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
CN101405987B (en) | Asymmetric cryptography for wireless systems | |
CN102106111A (en) | Method of deriving and updating traffic encryption key | |
US20110167270A1 (en) | Secure key authentication method for communication network | |
WO2006136090A1 (en) | A method for preventing the replay attack and a method for ensuring the non-repetition of the message sequence number | |
US20100257364A1 (en) | Apparatus and method for processing authentication of handover ranging message in wireless communication system | |
CN111615837B (en) | Data transmission method, related equipment and system | |
KR100969782B1 (en) | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system | |
KR20050109685A (en) | Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system | |
AU2010284792A1 (en) | Method and apparatus for reducing overhead for integrity check of data in wireless communication system | |
WO2011003352A1 (en) | Method and device for protecting terminal privacy | |
KR101670743B1 (en) | Method and Apparatus for traffic count key management and key count management | |
JP2008048212A (en) | Radio communication system, radio base station device, radio terminal device, radio communication method, and program | |
Rengaraju et al. | Design of distributed security architecture for multihop WiMAX networks | |
WO2015064475A1 (en) | Communication control method, authentication server, and user equipment | |
US20110093711A1 (en) | Method and system for encrypting data in a wireless communication system | |
Niranjani et al. | Distributed security architecture for authentication in 4G networks | |
WO2009051405A2 (en) | Method of establishing security association in inter-rat handover |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130627 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140627 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150629 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160629 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170629 Year of fee payment: 8 |
|
LAPS | Lapse due to unpaid annual fee |