KR101167781B1 - 콘텍스트 전달을 인증하는 시스템 및 방법 - Google Patents

콘텍스트 전달을 인증하는 시스템 및 방법 Download PDF

Info

Publication number
KR101167781B1
KR101167781B1 KR20107011672A KR20107011672A KR101167781B1 KR 101167781 B1 KR101167781 B1 KR 101167781B1 KR 20107011672 A KR20107011672 A KR 20107011672A KR 20107011672 A KR20107011672 A KR 20107011672A KR 101167781 B1 KR101167781 B1 KR 101167781B1
Authority
KR
South Korea
Prior art keywords
network
key
entity
authentication
3gpp
Prior art date
Application number
KR20107011672A
Other languages
English (en)
Other versions
KR20100086013A (ko
Inventor
마크 블롬마이어트
단 포스버그
프랭크 마드만
발테리 니에미
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Publication of KR20100086013A publication Critical patent/KR20100086013A/ko
Application granted granted Critical
Publication of KR101167781B1 publication Critical patent/KR101167781B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server

Abstract

진화된 3GPP 시스템에 있어서의 사용자 장치(UE) 및 이동성 관리 개체(MME)는, UE로부터 UMTS 또는 GPRS 지상 무선 액세스 네트워크(UTRAN)에 있어서의 또는 GSM/에지 무선 접속 네트워크(GERAN)에 있어서의 UMTS/GPRS 서빙 GPRS 지원 노드(SGSN)로의, 또한 SGSN으로부터 진화된 3GPP 시스템의 MME로의 범용 이동 통신 시스템(UMTS) 시그널링 메시지의 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 필드 내에서 반송될 수 있는 인증 자료를 생성한다. MME는 전송된 인증 자료 및 그 인증 자료를 어떻게 생성하거나 확인하는지에 대한 지식에 근거하여 UTRAN/GERAN 시스템으로부터의 콘텍스트 전송 요청을 인증한다. 또한, MME 및 UE는 적어도 하나의 사용자 고유의 키에 근거하여 레거시 3GPP 시그널링에 있어서의 P-TMSI 서명 필드에 임베딩하기 위해 인증 자료를 얻거나 확인한다.

Description

콘텍스트 전달을 인증하는 시스템 및 방법{SYSTEM AND METHOD FOR AUTHENTICATING A CONTEXT TRANSFER}
(관련 출원의 상호 참조)
본 출원은 여기에서 참조를 위해 포함된 "MME에서 레거시 3GPP 시스템으로의 콘텍스트 전달을 인증하는 시스템 및 방법(System and Method for Authenticating a Context Transfer from MME towards a Legacy 3GPP System)"이라는 발명의 명칭으로 2007년 10월 29일에 출원된 미국 가출원 제 60/983,450의 우선권을 주장한다.
이 절(section)은 이하에 설명된 자료 및/또는 청구항에 나열된 자료에 대한 배경을 제공하도록 의도되었다. 이 배경에 대한 절은 수행될 수 있지만 반드시 이전에 착상되었거나 수행되었던 것은 아닌 개념을 포함할 수 있다. 특별히 표시하지 않는 한, 이 절은 본 출원의 상세한 설명 및 청구항에 대한 종래 기술이 아니며 이 절에 있는 어떤 것도 종래 기술로 인정되지 않는다.
범용 이동 통신 시스템(UMTS) 지상 무선 액세스 네트워크(UTRAN)에 있어서, 사용자 장치(UE) 콘텍스트 정보의 전송을 인증하고 허가하기 위해 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명(P-TMSI 서명)이 사용된다. 이 분야에서 일반적으로 이해되는 바와 같이, UE를 위한 패킷 데이터 프로토콜(PDP) 콘텍스트 정보는 접속을 확립하기 위해 요구되는 정보를 제공하는 파라미터값의 기록이다. 이 파라미터는 사용되는 PDP 콘텍스트의 타입에 관한 정보, 서비스 품질(QoS) 정보 등을 포함할 수 있다. 서빙 일반 패킷 무선 서비스(GPRS) 지원 노드(SGSN)가 변화할 때, 단일 시스템의 네트워크 개체 사이에서, 또는 서로 다른 시스템의 네트워크 개체 사이에서 UE 콘텍스트 정보가 전송되면, 인증 및 허가가 행해진다. 이러한 변화는 UE가 다른 위치로 이동함으로써 핸드오프될 때 일어날 수 있다. 이러한 방식으로, 이전의 SGSN(즉, UE가 이동되어 오는 SGSN)은 새로운 SGSN(즉, UE가 이동되어 가는 SGSN, 이동처(transferee) SGSN이라고도 불림)으로부터의 콘텍스트 전송 요청이 유효하며 콘텍스트 전송 요청에 있어서 식별된 UE와 관련되었는지 확인할 수 있다. 외부인이 패킷을 수정할 수 없도록 네트워크 요소 사이의 홉 바이 홉(hop-by-hop) 시그널링은 네트워크 영역 보안(NDS)에 의해 보호받을 수 있다.
진화된 3세대 파트너십 프로젝트(3GPP) 시스템에 있어서 콘텍스트 정보를 전송하는 요청의 인증을 위한 메커니즘은 레거시 UMTS 및 GPRS 시스템에서의 그것과 다르다. 예컨대, 3GPP 기술 사양서(TS) 23.401에서 논의되는 진화된 3GPP 시스템(진화된 UTRAN(E-UTRAN) 또는 롱 텀 에볼루션(LTE)이라고도 알려짐)에 있어서, P-TMSI 서명이 사용되리라고는 기대되지 않는다. 대신에, IDLE 모드 중에 비접속 계층(NAS)-레벨 보안 연계 및 대응하는 키 및 COUNT 값이 처리된다. 무결성 보호에 의해, NAS 키로 모든 NAS-레벨 시그널링이 인증된다. TS 23.401에서 설명되고 이 분야에서 알려진 바와 같이, 진화된 3GPP 네트워크에서의 UE 이동성은 이동성 관리 개체(MME)로 알려진 요소에 의해 제어된다. MME의 기능은 NAS 시그널링, 이동성 관리(MM), NAS 시그널링 보안 및 인증을 포함할 수 있다. 이전의 MME로부터 새로운 MME로의 이동 중에, 이전의 MME는 무결성 보호 키로 계산된 NAS-Token에 근거하여 콘텍스트 전송 요청 및 이동성 시그널링을 인증한다.
UMTS, 이동 통신을 위한 글로벌 시스템(GSM) 또는 GPRS와 진화된 3GPP 시스템 사이에서 UE가 이동하면, 콘텍스트 전송 및 이동성 시그널링은 인증되어야 한다. 그러나, 진화된 3GPP 시스템과 같은 허가 메커니즘을 제공하지 않는 UMTS/GPRS 시스템으로부터 전달되는 콘텍스트 전송 요청 또는 이동성 시그널링을 진화된 3GPP 시스템이 어떻게 허가하는지에 관한 문제가 있다. 특히, 이동처 UMTS/GPRS 네트워크 노드(UE가 이동해 가는 영역으로의 노드)는 UE(즉, 이동 단말 또는 다른 장치)로부터의 P-TMSI 서명을 예상한다. 그 UE를 위한 콘텍스트 정보를 요청하면 UMTS/GPRS 노드는 P-TMSI 서명을 피어 네트워크 개체(예컨대, UE가 이동해 오는 SGSN)에 제공한다. 그러나, 진화된 3GPP 시스템(EPS)은 P-TMSI 서명 처리를 제공하지 않는다. 뿐만 아니라, UTRAN 시스템 시그널링 메시지에 있어서 P-TMSI 서명을 유지하는 정보 요소(IE)의 일부는 진화된 3GPP 시스템에서 다른 목적을 위해 사용될 수 있다. 예컨대, 그 IE의 비트의 일부는 진화된 3GPP 시스템에서 진화된 패킷 시스템 TMSI(S-TMSI)의 일부를 유지하기 위해 요구될 수 있다. 이것은 콘텍스트 전송 허가를 위해 인증 자료를 사용하기 위해 사용 가능한 비트를 줄인다.
이 개요는 이하의 상세한 설명에서 더 설명될 내용을 간소화된 형태로 개념의 선택을 소개하기 위해 제공되었다. 이 개요는 본 발명의 핵심적인 특징 또는 필수적인 특징을 확인하도록 의도되지 않았다.
적어도 몇몇 실시예에 따르면, 진화된 3GPP 시스템에 있어서 사용자 장치(UE) 및 MME는 각각 인증 자료를 생성한다. UE가 UTRAN/GERAN 시스템으로 이동하고 있을 때, 이 인증 자료는 UE로부터 UMTS/GPRS SGSN으로의 UMTS 시그널링 메시지의 P-TMSI 서명 필드 내에서 반송될 수 있다. 이 인증 자료는 UMTS/GPRS SGSN으로부터 (진화된 3GPP 시스템의) UE가 이동하여 오는 MME로 통신될 수도 있다. 이러한 방식에 있어서, 이전의 MME는 전송된 인증 자료 및 그 인증 자료를 어떻게 생성하는지에 대한 지식에 근거하여 레거시 3GPP 시스템으로부터의 콘텍스트 전송 요청을 인증할 수 있다.
적어도 몇몇 실시예에서, MME 및 UE는 사용자 고유의 키에 근거하여 인증 자료를 얻는다. NAS 키가 생성될 때나 요구가 있을 때 얻어질 수 있는 인증 자료는 UE 및 UMTS/GPRS SGSN으로부터 MME로의 레거시 3GPP 시그널링을 위한 P-TMSI 서명 필드 내용에 임베딩될 수 있다. 하나 이상의 NAS 키가 사용되는(또는 NAS 키로부터 얻어진 키가 사용되는) 경우에 있어서, 생성된 인증 자료는 NAS 키가 변화할 때마다 변화될 수 있다. 이러한 방식에 있어서, P-TMSI 서명 필드 내에서 시퀀스 번호가 전송될 필요가 없으므로, 재사용된 P-TMSI 서명 필드의 주어진 길이 제한 아래에서 개선된 보안을 제공한다. 예컨대, UTRAN으로부터 E-UTRAN으로 UE가 이동할 때마다 NAS 키가 변화하면, UE가 UTRAN으로 되돌아갈 때 인증 자료도 새로워질 것이다.
여기에 설명된 다양한 실시예에서, 진화된 3GPP 시스템은 P-TMSI 서명과 유사한 메커니즘을 요구하지 않는다. 즉, 콘텍스트 전송 인증 요청의 수신 전에 MME에서 P-TMSI 서명을 생성할 필요가 없다. 또한 MME로부터 UE로 토큰 또는 서명을 전송할 필요도 없다. UE는 요구가 있을 때 인증 자료(예컨대, 토큰)를 생성할 수 있어, 그 토큰을 저장할 필요가 없다. 이 토큰은 기존의 UMTS 시그널링 메시지 내에서 반송될 수 있다.
이들 및 다른 이점 및 특징은, 그 구조 및 동작의 방식과 함께, 첨부한 도면과 이하의 상세한 설명으로부터 분명해질 것이며, 이하에 설명된 몇몇 도면에 걸쳐 같은 요소는 같은 부호를 갖는다.
도 1은 적어도 몇몇 실시예에 따른 이전 및 진화된 3GPP 표준 릴리즈 중 상호 운영을 위한 로밍 아키텍처의 블록도,
도 2는 적어도 몇몇 실시예에 따른 MME에서 SGSN으로의 라우팅 영역 갱신 절차에 있어서의 신호의 교환을 나타내는 차트,
도 3은 적어도 몇몇 실시예의 이행과 함께 사용될 수 있는 전자 장치의 사시도,
도 4는 도 3의 전자 장치에 포함될 수 있는 회로의 도식적인 표현,
도 5는 도 2에 나타낸 MME의 블록도이다.
적어도 몇몇 실시예에서, 진화된 3GPP 시스템에 있어서의 사용자 장치(UE) 및 이동성 관리 개체(MME)는 각각 인증 자료(예컨대, 토큰)를 생성한다. 인증 자료는, UE로부터 UE가 이동하여 가는 UTRAN 또는 GSM/에지 무선 접속 네트워크(GERAN)에 있어서 UMTS/GPRS SGSN으로의 레거시 UMTS 시그널링 메시지의 P-TMSI 서명 필드 내에서 반송될 수 있다. 예컨대, UE는, 레거시 UTRAN 또는 GERAN 내의 진화된 3GPP MME의 영역으로 또는 SGSN의 영역으로 이동하고 있는지 모를 수 있으므로, UE는 UE-SGSN 시그널링 RAU(Routing Area Update)를 위해 레거시 시그널링을 사용할 수 있다. 인증 자료는 UMTS/GPRS SGSN으로부터 UE가 이동하여 오는 진화된 3GPP 시스템의 이전의 MME로의 시그널링 메시지에서 사용될 수도 있다. 이러한 방식에 있어서, UE는 인증 자료를 생성하여 SGSN에 제공하고, SGSN은 그 인증 자료를 콘텍스트 전송 요청에 있어서의 이전의 MME에 제공한다. UE에 있어서 어떻게 인증 자료가 생성되었는지 알고 있는 이전의 MME는, UE를 확인하는 콘텍스트 전송 요청을 수신하면 인증 자료를 다시 생성할 수 있고 콘텍스트 전송 요청을 인증할 수 있다.
몇몇 실시예에서, MME 및 UE는 적어도 하나의 사용자 고유의 키(예컨대, K_ASME, K_NASInt 또는 K_NASenc)에 근거하여 인증 자료를 얻는다. 인증 자료는 비접속 계층(NAS) 키가 생성될 때나 요구가 있을 때 얻어질 수 있다. 하나 이상의 NAS 키가 사용되면(또는 NAS 키로부터 얻어진 하나 이상의 키가 사용되면), 생성된 인증 자료는 NAS 키가 변화할 때마다 변화될 수 있다. 따라서, P-TMSI 서명 필드 내에서 시퀀스 번호가 전송될 필요가 없어, 재사용된 P-TMSI 서명 필드의 주어진 길이 제한에도 불구하고 개선된 보안을 제공한다. UE가, 예컨대, UTRAN으로부터 E-UTRAN으로 이동할 때마다 NAS 키가 변화하면, UE가 UTRAN으로 되돌아갈 때에도 인증 자료는 갱신될 것이다. 보다 높은 레벨의 사용자 고유의 키(예컨대, K_ASME)가 사용되면, 인증 자료는 다운링크 또는 업링크 비접속 계층(NAS) 시그널링 COUNT값과 같은 현재 존재하는 증가 시퀀스 번호값에 근거할 수 있다. COUNT는 증가 패킷 시퀀스 번호이다. COUNT는 메모리에 저장된다. COUNT값의 가장 높은 비트의 일부는 메모리에만 저장될 수 있고 그 비트의 나머지는 메시지상에 시그널링될 수 있다. NAS 시그널링이 있을 때는 언제나, COUNT값은 갱신되어 인증 자료도 갱신될 것이다.
여기에 설명된 다양한 실시예에서, 진화된 3GPP 시스템은 P-TMSI 서명과 유사한 메커니즘을 요구하지 않고, MME로부터 UE로 P-TMSI 서명(다른 모든 타입의 토큰 또는 서명)을 전송하거나 이동처 SGSN으로부터의 인증 요청의 수신 전에 인증 자료를 생성할 필요가 없다. 사용자 장치는 요구가 있을 때 토큰을 생성할 수도 있고, 이것은 토큰을 위한 저장 공간이 필요하지 않음을 의미한다. 또한, 다양한 실시예에서, 기존의 UMTS 시그널링 메시지는 인증 자료(예컨대, 토큰)를 반송하기 위해 사용될 수 있다.
도 1은 적어도 몇몇 실시예에 따른 이전 및 진화된 3GPP 표준 릴리즈 중 상호 운영을 위한 로밍 아키텍처의 블록도이다. 도 1에 나타낸 바와 같이, UE(100)는 진화된 UTRAN 네트워크(E-UTRAN)(110)와 상호 작용하고, 이는 서빙 게이트웨이(SGW)(120) 및 MME(130) 모두와 통신할 수 있다. MME(130)는 SGW(120)와 직접 통신할 뿐만 아니라, SGSN(140)과도 통신할 수 있으며, 이는 UTRAN(150) 및 GERAN(160)과 접속되어 있다. MME(130) 및 SGSN(140)은 홈 가입자 서버(HSS)(170)와도 상호 작용한다. SGSN(140) 및 SGW(120)는 사설 데이터 네트워크(PDN) 게이트웨이(PGW)(180)와 통신하고, 이는 다시 정책 과금 규칙 기능(PCRF)(190) 및 운영자의 고유의 IP 서비스(195)와 통신한다.
도 2는 적어도 몇몇 실시예에 따른 MME에서 SGSN으로의 라우팅 영역 갱신 절차에 있어서의 신호의 교환을 나타내는 차트이다. 특정한 실시예에서, SGSN으로부터의 메시지 및 SGSN으로의 메시지와, 거기에 들어있는 정보 요소는 SGSN 라우팅 영역 갱신 절차를 위한 3GPP 기술 사양서(TS) 23.060에 명시된 것과 같다. MME(130) 또는 SGW(120)로부터의 메시지 및 MME(130) 또는 SGW(120)로의 메시지와, 거기에 들어있는 정보 요소는 RAT(Radio Access Technology)간 라우팅 영역 갱신 절차를 위한 이 기술 사양서에 명시된 것과 같다.
도 2를 참조하면, MME에서 SGSN으로의 라우팅 영역 갱신 절차는 UE(100)가 "라우팅 영역 갱신 요청"을 새로운 SGSN(140)으로 보내는 200에서 시작된다. 라우팅 영역 갱신 요청은 이전의 라우팅 영역 식별(RAI), NAS-Token(UE에 의해 계산되어 "이전의" P-TMSI 서명으로서 기능하는 인증 자료인 비접속 계층 인증 코드), 갱신 타입, 계급값, 불연속 수신(DRX) 파라미터 및 UE의 네트워크 기능 정보와 같은 정보를 포함한다. 베이스 시스템 스테이션 서브시스템(BSS)은 새로운 SGSN(140)으로 메시지를 보내기 전에 메시지가 수신된 셀의 리얼 어플리케이션 클러스터(RAC) 및 위치 영역 코드(LAC)를 포함하는 셀 글로벌 식별을 추가한다. 계급값은, TS 24.008에 규정된 바와 같이, UE의 GPRS 멀티슬롯 능력 및 지원 GPRS 암호 알고리즘을 포함한다. DRX 파라미터는 UE가 불연속 수신을 사용하는지 여부를 표시하고, UE가 불연속 수신을 사용한다면, DRX 사이클 길이를 표시한다. UE(100)는 이전의 RAI로서 그 등록된 트래킹 영역 신원(TAI) 중 하나를 표시하고 K_NASInt(사용자에게 고유한 NAS 무결성 키) 또는 K_ASME(Access Security Management Entity key, 성공적인 인증 후에 MME 및 UE에 저장되는 루트 키) 및 각각의 NAS 업링크 또는 다운링크 COUNT(및 증분 카운터)값에 근거하여 이전의 P-TMSI 서명으로서 NAS-Token을 계산한다.
도 2에 나타낸 205에서, UE를 위한 이동성 관리(MM) 및 패킷 데이터 프로토콜(PDP) 콘텍스트를 얻기 위해, 새로운 SGSN(140)은 이전의 MME(130)에 "SGSN 콘텍스트 요청"을 보낸다. SGSN 콘텍스트 요청은 이전의 RAI, 임시 논리 링크 신원(TLLI) 및/또는 P-TMSI, 이전의 P-TMSI 서명, 및 새로운 SGSN 어드레스를 포함한다. 이하에 설명하는 바와 같이, 이전의 MME(130)는 210에서 "SGSN 콘텍스트 응답"을 새로운 SGSN(140)으로 되돌려 보낼 수 있다.
SGSN은 MME에 SGSN 콘텍스트 요청을 다양한 방법으로 보낼 수 있다. 새로운 SGSN이 복수의 코어 네트워크(CN) 노드로의 무선 접속 네트워크(RAN) 노드의 영역 내의 접속을 위한 기능성을 제공하면, 새로운 SGSN은 이전의 RAI 및 이전의 P-TMSI(또는 TLLI)로부터 이전의 MME를 얻을 수 있고 이 이전의 MME에 SGSN 콘텍스트 요청 메시지를 보낼 수 있다. 그렇지 않으면, 새로운 SGSN은 이전의 RAI로부터 이전의 MME를 얻는다. 새로운 SGSN(140)은 이전의 MME(130)로 보여지는 MME를 얻는다. 이 얻어진 MME는 이전의 MME(130)이거나, 또는 실제의 이전의 MME와 같은 풀 영역에 관련된다. 이전의 MME가 아닌, 이 얻어진 MME는 P-TMSI(또는 TLLI)로부터 정확한 이전의 MME(130)를 판정하고, 실제의 이전의 MME(130)에 메시지를 전달한다.
SGSN 콘텍스트 요청을 수신하면, 이전의 MME(130)는, K_ASME 및 각각의 NAS 다운링크 COUNT값(MME(130)에 알려짐)에 근거하여, 사용자 장치에 의해 계산된 NAS-Token인 이전의 P-TMSI 서명값을 인증한다. MME가 서로 다른 키 세트 식별자(KSI)로 확인된 복수의 K_ASME 키를 갖는 경우에, 예컨대, 저스트-런(just-run) 인증 및 키 협정(AKA) 절차로 인해, MME는 사용할 수 있는 키 중 하나가 적합한 것인지 판정하기 위해 사용할 수 있는 모든 키로 인증 토큰을 계산할 수 있다. 이전의 MME는 토큰을 계산하여 새로운 SGSN에 제공할 수도 있다. 그러나, 리플레이 보호의 이유로, COUNT값이 인증 토큰 생성에 있어서 하나의 파라미터로서 사용되면, 그것은 재사용된다. 즉, 증가한다. KSI는, 특히 가변 길이 P-TMSI 서명 옵션의 경우에, P-TMSI 서명 필드 내에서 전송될 수도 있다. COUNT값은 NAS 시그널링 메시지 손실로 인해 UE와 MME 사이에서 동기화되지 않을 수 있으므로, MME는 현재의 COUNT값의 범위 내(예컨대, [현재의 NAS 다운링크 COUNT-L, 현재의 NAS 다운링크 COUNT])에서 여러 COUNT값으로 인증 토큰을 계산할 수 있다.
이전의 P-TMSI 서명이 유효하면, 이전의 MME(130)는 "SGSN 콘텍스트 응답"으로 응답한다. SGSN 콘텍스트 응답 메시지는 MM 콘텍스트, PDP 콘텍스트, 네트워크 라우팅 서비스(NRS), 및 보안 콘텍스트와 같은 정보를 포함한다.
수신된 NAS 시퀀스 번호 및 저장된 이전의 K_ASME에 근거하여 이전의 MME(130)에 의해 계산된 값이 SGSN으로부터 수신된 NAC-Token과 일치하지 않으면, MME(130)는 적절한 오류 이유로 응답한다. 이것은 새로운 SGSN(140)에 있어서 보안 기능을 개시시킬 수 있다. SGSN(140)에 있어서의 보안 기능이 UE(100)를 정확히 인증한다면, 새로운 SGSN(140)은 새로운 SGSN(140)이 UE(100)를 인증했음을 표시하는 다른 SGSN 콘텍스트 요청(이전의 RAI, TLLI, 사용자 장치/이동국 확인, 새로운 SGSN 어드레스) 메시지를 이전의 MME(130)에 보낸다. 새로운 SGSN(140)이 UE(100)를 인증했음을 표시하면, 이전의 MME(130)는, 상술한 바와 같이, "SGSN 콘텍스트 응답"으로 응답한다.
SGSN 콘텍스트 응답 메시지를 보내면, 이전의 범용 지상 무선 액세스 네트워크 기지국(eNB), 서빙 게이트웨이(SGW)(120) 또는 다른 개체가 새로운 SGSN(140)에 데이터 패킷을 보내도록 하기 위해 이전의 MME(130)는 새로운 SGSN(140)의 어드레스를 저장한다. 이전의 MME(130)는 타이머를 기동하고, 그 목적은 이하에 설명한다. MME는 진화된 패킷 시스템(EPS) 베어러 정보를 PDP 콘텍스트에 맵핑한다. eNB(155) 또는 SGW(120)로부터 SGSN으로의 모든 데이터 전송을 행할지, 또한 그것을 어떻게 행할지도 결정된다.
SGSN 콘텍스트 응답을 수신하면, SGSN(140)이 라우팅 영역 갱신 요청에 있어서의 UE 네트워크 기능을 이미 수신한 경우에만, 새로운 SGSN(140)은 SGSN 콘텍스트 응답의 MM 콘텍스트에 포함된 UE(100) 네트워크 기능을 무시한다. SGSN 콘텍스트 응답에 있어서의 네트워크 라우팅 서비스(NRS)는 네트워크 요청 베어러 제어의 UE(100) 지원을 새로운 SGSN(140)에 표시한다. SGSN 콘텍스트 응답에 있어서의 보안 콘텍스트는 K_ASME(접속 보안 관리 개체 키)로부터 얻어진 키 세트 식별자(KSI) 및 UTRAN 암호 키(CK)/무결성 키(IK)를 포함한다. UMTS 인증 벡터도 포함될 수 있다. E-UTRAN 인증 벡터는 E-UTRAN의 외부로 전송되지 않으므로, SGSN 콘텍스트 응답에 포함되지 않는다.
도 2의 215에서, 다양한 보안 기능이 실행될 수 있다. 그러한 절차는, 예컨대, 3GPP TS 23.060의 "보안 기능" 섹션에 설명된다. 암호 모드가 지원된다면, 암호 모드는 이 시점에 설정된다. 210에서 이전에 전송된 SGSN 콘텍스트 응답 메시지가 국제 이동국 장치 신원 및 소프트웨어 버전 번호(IMEISV)를 포함하지 않고, 자동 장치 검출(ADD)이 SGSN에 의해 지원된다면, SGSN은 이 시점에 UE(100)로부터 IMEISV를 검색할 수도 있다. 예컨대, SGSN이 홈 위치 등록기(HLR) 어드레스가 "송신 인증 정보" 대화를 확립하는지 판정하지 못했기 때문에 보안 기능이 실패하면, 적절한 이유를 언급하는 거절 메시지가 사용자 장치(100)에 리턴된다.
도 2의 220에서, 새로운 SGSN(140)은 "SGSN 콘텍스트 확인" 메시지를 이전의 MME(130)에 보낸다. 이 시점에, 이전의 MME(130)는 그 콘텍스트 정보에 게이트웨이 및 HSS(170)에 있어서의 정보가 유효하지 않다는 것을 표시한다. 이것은, 진행 중인 라우팅 영역 갱신 절차를 완료하기 전에 UE(100)가 이전의 MME(130)로의 트래킹 영역 갱신 절차를 개시한다면, SGW(120), PDN 게이트웨이(180) 및 HSS(170)가 갱신되게 한다. 보안 기능이 UE(100)를 정확히 인증하지 않으면, 라우팅 영역 갱신 요청이 거절되고, 새로운 SGSN(140)은 이전의 MME(130)에 거절 표시를 보낸다. 이전의 MME(130)는 SGSN 콘텍스트 요청(205)이 수신된 적이 없는 것처럼 계속한다.
그러나, UE(100)가 정확히 인증되면, 새로운 SGSN(140)이 활성화된 PDP 콘텍스트에 속하는 데이터 패킷을 수신할 준비가 된 것을 이전의 MME(130)가 통보받았는지와, eNB(155) 또는 SGW(120)로부터 새로운 SGSN(140)으로의 모든 데이터 전송을 어떻게 행할지도 결정된다. UE(100)가 이전의 MME(130)에 있어서 LTE_Active 상태에 있다면, 225에서 이전의 MME(130)는 "데이터 전송 명령" 메시지를 eNB(155)에 보낸다. 데이터 전송 명령은 무선 접속 베어러(RAB_ID), 전송층 어드레스, 및 S1 전송 연계 정보와 같은 정보를 포함한다.
도 2의 230에서, 이전의 eNB(155)는 버퍼링된 네트워크 프로토콜 데이터 유닛(N-PDU)을 복사하고 그것을 새로운 SGSN(140)에 터널링하기 시작한다. MME(130) 타이머(앞서 설명함)가 만료되기 전에 SGW(120)로부터 수신된 추가적인 N-PDU도 복사되어 새로운 SGSN(140)으로 터널링된다. 타이머의 만료 후에는 N-PDU는 새로운 SGSN(140)으로 전송되지 않는다.
235에서, 새로운 SGSN(140)은 "PDP 콘텍스트 갱신 요청"을 각각의 PGW(180)에 보낸다. PDP 콘텍스트 갱신 요청은 새로운 SGSN(140)의 어드레스, 터널 종단 식별자(TEID), 협상된 서비스의 품질(QoS)에 관한 정보, 서빙 네트워크 신원, 공통 게이트웨이 인터페이스(CGI)/서빙 영역 인터페이스(SAI) 정보, RAT 타입, CGI/SAI/자원 유용성 지표(RAI) 변화 지원 표시, 및 NRS 정보와 같은 정보를 포함한다.
새로운 SGSN(140)은 서빙 네트워크 신원을 PGW(180)에 보낸다. NRS는 네트워크-요청 베어러 제어의 SGSN 지원을 표시한다. 새로운 SGSN(140)은 그 절차를 지원하는 것을 표시하고, 그것을 지원한다면, UE(100)도 상술한 SGSN 콘텍스트 응답 메시지(210)에 있어서 그것을 지원하는 것을 표시한다. NRS가 PDP 콘텍스트 갱신 요청 메시지(235)에 포함되지 않는다면, 이 절차에 이어, PGW(180)는 베어러 제어 모드(BCM)를 현재의 BCM이 'NW_Only'인 모든 PDP-Address/APN-pair를 위한 'MS-Only'로 변경하기 위해 SGSN-Initiated PDP 콘텍스트 수정을 행한다.
PGW(180)는 그들의 PDP 콘텍스트 필드를 갱신하고, 240에서 "PDP 콘텍스트 갱신 응답"을 리턴한다. PDP 콘텍스트 갱신 응답은 TEID, 페이로드 압축 금지 정보, 액세스 포인트 네임(APN) 제한 정보, 및 CGI/SAI/RAI 변화 보고가 요구되는지에 관한 정보와 같은 정보를 포함한다. 페이로드 압축 금지 정보는 SGSN(140)이 이 PDP 콘텍스트를 위하여 데이터 압축을 협상하지 말아야 하는 것을 표시한다.
도 2의 245에서, 새로운 SGSN(140)은 "위치 갱신" 정보를 보냄으로써 HSS(170)에 있어서의 홈 위치 등록기(HLR)에게 SGSN의 변화를 알린다. 이 정보는 SGSN 번호, SGSN 어드레스, 국제 이동 통신 가입자 신원(IMSI), 및 IMEISV를 포함할 수 있다. ADD 기능이 지원되면 IMEISV가 보내진다.
250에서, HSS(170)에 있어서의 HLR은 이전의 MME(130)에 "위치 취소" 명령을 보낸다. 이 메시지는 IMSI 및 취소 타입과 같은 정보를 포함할 수 있다. 이 메시지에 있어서, 취소 타입은 "갱신 절차"로 설정된다. 상술한 MME(130) 타이머가 실행 중이지 않은 경우, 이전의 MME(130)는 MM 및 EPS 베어러 콘텍스트를 제거한다. 그렇지 않으면, 타이머가 만료될 때에만 콘텍스트가 제거된다. 또한 새로운 SGSN(140)에 대하여 진행 중인 라우팅 영역 갱신을 완료하기 전에 UE(100)가 다른 SGSN간 라우팅 영역 갱신을 개시하는 경우, 이전의 MME(130)는 MM 및 PDP 콘텍스트가 이전의 MME(130)에서 유지되도록 보장한다. 255에서, 이전의 MME(130)는 IMSI를 포함하는 "위치 취소 Ack"로 위치 취소 명령(250)을 확인한다. 이전의 MME(130) 또는 eNB(155)가 N-PDU의 모든 전송을 완료할 필요가 있는지도 결정된다.
260에서, HSS(170)에 있어서의 HLR은 "가입자 데이터 삽입" 메시지를 새로운 SGSN(140)에 보낸다. 이 메시지는 IMSI 및 GPRS 가입 데이터를 포함한다. 새로운 SGSN(140)은 새로운 라우팅 영역(RA)에 있어서의 UE(100)의 존재를 승인한다. 지역적인 가입 제한 또는 엑세스 제한으로 인해, UE(100)가 RA에 첨부되도록 허용되지 않는다면, 새로운 SGSN(140)은 적절한 이유로 라우팅 영역 갱신 요청을 거부한다. 265에서 새로운 SGSN(140)은 "가입자 데이터 삽입 Ack"(IMSI 및 "SGSN 영역 제한" 정보를 포함) 메시지를 HLR에 리턴할 수도 있다. 모든 체크가 성공적이면, SGSN은 UE(100)를 위한 MM 콘텍스트를 구성하고, IMSI를 포함하는 메시지와 함께 "가입자 데이터 삽입 Ack" 메시지를 HLR에 리턴한다(265에서도 나타냄). 도 2의 270에서, HSS(170)에 있어서의 HLR은 IMSI를 포함하는 "위치 갱신 Ack" 메시지를 새로운 SGSN(140)에 보냄으로써 "위치 갱신" 메시지를 확인한다.
그 후, 새로운 SGSN(140)은 새로운 RA에 있어서의 UE(100)의 존재를 승인한다. 로밍 제한 또는 액세스 제한으로 인해, UE(100)가 새로운 SGSN(140)에 부착되는 것이 허용되지 않거나 또는 가입 체크가 실패한다면, 새로운 SGSN(140)은 적절한 이유로 라우팅 영역 갱신을 거부한다. 모든 체크가 성공적이면, 새로운 SGSN(140)은 사용자 장치를 위한 MM 및 PDP 콘텍스트를 구성한다. 새로운 SGSN(140)과 UE(100) 사이에 논리 링크가 확립된다. 275에서 새로운 SGSN(140)은 새로운 P-TMSI, 새로운 P-TMSI 서명, 및 수신 N-PDU 번호를 포함하는 "라우팅 영역 갱신 승인" 메시지로 UE(100)에 응답한다. N-PDU 번호가 사용될지, 또한 그것이 어떻게 사용될지도 결정된다. 예컨대, 수신 N-PDU 번호는 UE(100)에 의해 사용되는 각각의 확인-모드 네트워크 레이어 서비스 액세스 포인트 식별자(NSAPI)를 위한 확인을 포함하여, 갱신 절차의 개시 이전에 모든 단말기 발신 N-PDU가 성공적으로 전송된 것을 확인한다.
도 2의 280에서, UE(100)는 수신 N-PDU 번호를 포함하는 "라우팅 영역 갱신 완료" 메시지를 새로운 SGSN(140)에 리턴함으로써 새로운 P-TMSI를 확인한다. 이때, UE(100)에 있어서의 논리 링크 제어(LLC) 및 서브네트워크 의존 집중 프로토콜(SNDCP)은 리셋된다. 다시 한 번, N-PDU 번호가 사용될지, 또한 그것이 어떻게 사용될지 판정된다. 예컨대, 수신된 N-PDU 번호가 UE(100)에 의해 사용되는 각 확인-모드 NSAPI를 위한 확인을 포함하여, 갱신 절차의 개시 이전에 모든 단말기가 착신한(mobile-terminated) N-PDU가 성공적으로 전송된 것을 확인한다. 수신된 N-PDU 번호가 이전의 MME(130)로부터 전송된 N-PDU의 수신을 확인하면, 이들 N-PDU는 새로운 SGSN(140)에 의해 폐기될 수 있다. 상술한 MME(130)에 있어서의 타이머가 만료되면, 이전의 MME(130)는 모든 eNB 및 SGW 자원(도시하지 않음)을 릴리즈한다.
거부된 라우팅 영역 갱신 조작의 경우에는, 지역적인 가입, 로밍 제한, 액세스 제한으로 인해, 또는 SGSN이 위치 갱신 대화를 확립하기 위해 HLR 어드레스를 판정하지 못하기 때문에, 새로운 SGSN(140)은 MM 콘텍스트를 구성하지 않는다. 거부 메시지는 각각의 이유의 식별자와 함께 UE(100)에 리턴된다. UE(100)는 그 RA에 라우팅 영역 갱신을 재시도하지 않는다. UE(100)에 전원이 들어오면 RAI값은 삭제된다. 새로운 SGSN(140)이 하나 이상의 PGW(180)에 있어서 PDP 콘텍스트를 갱신하지 못하면, 새로운 SGSN(140)은 대응하는 PDP 콘텍스트를 비활성화시킨다. 그러나, 이것은 SGSN이 라우팅 영역 갱신을 거부하게 해서는 안 된다.
PDP 콘텍스트는 우선 순위를 가지고 이전의 MME(130)로부터 새로운 SGSN(140)으로 보내진다. 즉, SGSN 콘텍스트 응답 메시지에 있어서 가장 중요한 PDP 콘텍스트가 먼저 보내진다. 주목해야 할 것은 사용될 정확한 우선 순위 결정 방법은 구현 방식에 따라 달라질 수 있다는 것이다. 그러나, 특정한 실시예에서, 우선 순위 결정은 현재의 활동(activity)에 근거한다. 새로운 SGSN(140)은 PGW(180)로부터의 각 PDP 콘텍스트의 수신된 APN 제한에 근거하여 최대 APN 제한을 결정하여 새로운 최대 APN 제한값을 저장한다.
새로운 SGSN(140)이 이전의 MME(130)로부터 수신되는 것처럼 같은 수의 활성 PDP 콘텍스트를 지원할 수 없다면, 어떤 PDP 콘텍스트가 활성을 유지하고 어떤 것이 삭제되어야 할지 결정할 때 새로운 SGSN(140)은 입력으로서 이전의 MME(130)에 의해 보내진 우선 순위 결정을 사용할 수 있다. 어떤 경우에도, 새로운 SGSN(140)은 우선 하나 이상의 PGW(180)에 있어서의 모든 콘텍스트를 갱신하고, 그 후 유지할 수 없는 콘텍스트를 비활성화시킨다. 이것은 SGSN이 라우팅 영역 갱신을 거부하게 해서는 안 된다.
상술한 이전의 MME(130)에 있어서의 타이머가 만료되고, 또한 HLR로부터 위치 취소 메시지(IMSI를 포함함)가 수신되지 않으면, 이전의 MME(130)는 새로운 SGSN(140)에 N-PDU의 전송을 중지한다. 라우팅 영역 갱신 절차가 최대 허용 횟수로 실패하면, 또는 SGSN(140)이 라우팅 영역 갱신 거부(Cause) 메시지를 리턴하면, 사용자 장치는 IDLE 상태에 들어간다.
또한 도 2에 나타낸 것은 이동 네트워크 개선 로직 상호 작용을 위한 맞춤 어플리케이션(CAMEL)을 사용하는 다양한 실시예를 묘사한 것이다. 도 2의 C1에서, 이전의 MME(130)에 있어서 CAMEL_GPRS_PDP_Context_Disconnection, CAMEL_GPRS_Detach 및 CAMEL_PS_Notification 절차가 기동된다. 특히, CAMEL_GPRS_PDP_Context_Disconnection 절차가 먼저 호출되어 PDP 콘텍스트당 한 번씩 수차례 기동된다. 이 절차는 결과로서 "Continue"를 리턴한다. 그리고 CAMEL_GPRS_Detach 절차가 한 번 호출된다. 이 절차도 결과로서 "Continue"를 리턴한다. 마지막으로, CAMEL_PS_Notification 절차가 한 번 호출된다. 다시 한 번, 이 절차는 결과로서 "Continue"를 리턴한다.
도 2의 C2에서, 새로운 SGSN(140)에 있어서 CAMEL_GPRS_Routing_Area_Update_Session 및 CAMEL_PS_Notification 절차가 호출된다. 특히, CAMEL_GPRS_Routing_Area_Update_Session 절차가 먼저 호출된다. 이 절차는 결과로서 "Continue"를 리턴한다. 그 후 CAMEL_PS_Notification 절차가 호출되고, 또한 결과로서 "Continue"를 리턴한다. 도 2의 C3에서, CAMEL_GPRS_Routing_Area_Update_Context 절차가 PDP 콘텍스트당 한 번씩 수차례 호출되고, 결과로서 "Continue"를 리턴한다.
다양한 실시예에 따라 P-TMSI 서명 필드에 임베딩될 수 있는 인증 자료를 생성하기 위해 사용될 수 있는 몇몇 접근법이 있다. 여기에 논의된 각 실시예에서, 정확히 키를 어떻게 생성하는지에 대한 방법은 변할 수 있지만, NAS 키 또는 그로부터 얻어진 키가 사용된다. 따라서, 여기에서 설명되는 이러한 인증 자료 생성의 방법은 실질적으로 예시일 뿐인 것이 이해되어야 한다. 여기에서 논의된 접근법에서, 이전의 MME(130)는 인증 자료를 사전에 사용자 장치에 전송할 필요가 없고, 이것은 SGSN/UMTS(SGSN/GSM) 전송을 위한 P-TMSI 서명의 할당 후에 행해진다. 이는 여기에서 논의된 실시예에서 인증 정보가 사용자 고유의 키에 근거하기 때문이다. 이것은, 사용자 장치로의 인증 자료의 다운링크 전송을 회피할 수 있게 하므로 보안의 개선을 가져온다.
한 특정한 실시예에서, NAS 키에 근거한 토큰이 UTRAN 메시지의 일부 또는 전부에 걸쳐 계산된다. 이 방식에 있어서, SGSN(140)에 보내지는 정보 요소는 새로운 SGSN(140)으로부터 이전의 MME(130)로 전송되어 이전의 MME(130)는 수신된 메시지(즉, 메시지에서 식별된 UE에 근거한 인증 코드)에 근거하여 NAS-Token을 계산할 수 있다. 이 방법의 변형에 있어서, NAS-Token이 계산된 콘텐츠가 미리 정의되고, MME에 의해 수신된 메시지는 정확한 값(P-TMSI에 의한 사용자 장치 식별자)을 지시한다. 이 경우에, (P-)TMSI 서명 내에서 NAS 시퀀스 번호(SN)는 전송되지 않고, 입력 파라미터로서 사용될 수 있다. 이것은 NAS-레벨 SN값도 P-TMSI 서명 필드에 포함될 것을 요구하여 MME(130)는 NAS-Token 계산을 위한 입력 파라미터로서 정확한 COUNT값을 형성할 수 있다. 통상 NAS 메시지 보호에서와 같이, 응답 보호를 이유로 COUNT값이 사용된다.
이하는 P-TMSI 서명 정보 요소의 두 가지 변형이다. 첫 번째 변형은 고정된 사이즈이고, 두 번째 변형은 가변 사이즈이다. 고정된 사이즈의 P-TMSI 서명 정보 요소의 경우에, NAS 시퀀스 번호를 갖는 NAS-Token은, 예컨대, 24비트(고정된 사이즈의 정보 요소에 있어서의 P-TMSI의 사이즈)의 고정된 길이로 줄여진다. 가변 사이즈의 P-TMSI 서명 정보 요소의 경우에, 최대 32비트(또는 그 이상)의 NAS-Token 및 시퀀스 번호(예컨대, 4비트 또는 그 이상)가 사용될 수 있다. P-TMSI 서명 정보 요소 내의 레거시 시그널링 메시지 내에서 콘텍스트 전송 인증 정보를 반송할 때, 고정된 사이즈 및 가변 사이즈의 P-TMSI 서명 양쪽에 대한 지원이 구현될 수 있다.
몇몇 실시예에서, 사용자 장치 및 MME 양쪽에서 1회성 토큰을 생성하기 위해 NAS 키가 사용된다. 예시적인 인증 토큰 또는 인증 키 유도 함수는 이하와 같다.
Figure 112010034117225-pct00001
위에서, KDF는 키 유도 함수이고 K_NASint 및 K_NASenc는 NAS 무결성 및 암호 키이다. 기호 "?"는 연속을 의미하고, 인용 부호("") 내의 열(string)은 상수이다. S-TMSI 변화가 인증 토큰을 리프레시하기에 충분한 또 다른 경우에 있어서, 유도는 이하와 같다.
Figure 112010034117225-pct00002
위에서, S-TMSI는 MME에서 사용된 것과 같은 임시 id이고, K_ASME는 NAS 키가 유도된 루트 키이다. NAS 키는 TS 33.abc에 정의된 것과 같다. 또 다른 경우에, COUNT값은 입력 파라미터를 취하여, 유도 함수를 이하와 같게 만든다.
Figure 112010034117225-pct00003
또는
Figure 112010034117225-pct00004
가장 간단한 형식에 있어서 S-TMSI도 열(string)도 요구되지 않는다. 이것은 이하와 같다.
Figure 112010034117225-pct00005
모든 NAS_Token 유도는 다른 유도로부터 NAS_Token 유도를 구별하기 위해 상수값을 더 포함할 수 있다.
이하는 상술한 인증 토큰의 생성의 순간에 관한 설명이다. 한 특정한 실시예에서, 동기점을 규정함으로써, 사용자 장치 및 MME에 있어서 토큰 생성을 위한 입력 파라미터의 동기화가 달성될 수 있다. 이러한 방식에서, MME에 있어서의 각 성공적인 등록에서, 토큰은 사용할 수 있는 입력 파라미터를 사용하여 재생성되어 재사용을 위해 양쪽에 저장된다. 이와 달리, 사용자 장치 및 MME에 있어서 토큰 생성을 위한 입력 파라미터의 동기화는 NAS 키의 가장 최근의 사용 가능한 파라미터, S-TMSI 등에 따라 입력 파라미터가 변화된 경우에 있어서 재시도 가능성에 대응함으로써 달성될 수 있다. 예컨대, UTRAN으로의 핸드오버 요청 직후의 EPS에 있어서의 새로운 키에 의한 NAS 키 갱신은 MME가 서로 다른 토큰을 계산하게 할 수 있다. 이러한 방식에 있어서, 토큰을 미리 저장하는 것이 회피된다.
상술한 실시예에서, 콘텍스트 전송 인증이 실패하면, 네트워크/시그널링 행동은 같아야 한다.
UMTS에 의해 규정되는 P-TMSI 서명 정보 요소는 그것을 생성하여 사용자 장치에 할당하는 SGSN에 대한 지역적인 의미만을 갖는다. 진화된 3GPP 시스템에 있어서, 사용자 장치 및 MME는 인증 토큰을 계산한다. 따라서, UTRAN에서와 같이, MME는 사용자 장치를 위한 유사한 서명을 제공할 필요가 없다. 즉, MME로부터 사용자 장치로의 "P-TMSI 서명" 전송이 없다.
상술한 접근법의 보안 레벨은 특정한 구현 방식에 따라 다르다. 일반적으로, 인증 자료가 길수록, 서비스 거부(DoS) 공격에 대한 보호가 좋다.
도 3 및 4는 다양한 실시예가 이행될 수 있는 사용자 장치(UE)로서 기능할 수 있는 하나의 대표적인 모바일 장치(12)를 나타낸다. 여기에 설명된 장치는 도 3 및 4에 도시된 특징 중 일부 및/또는 전부를 포함할 수 있다. 그러나, 본 발명이 한 특정한 타입의 전자 장치에 제한되도록 의도되지 않았음이 이해되어야 한다. 도 3 및 4의 모바일 장치(12)는 하우징(30), 액정 디스플레이 형태의 디스플레이(32), 키패드(34), 마이크(36), 이어피스(38), 배터리(40), 적외선 포트(42), 안테나(44), 한 실시예에 따른 범용 집적 회로 카드(UICC) 형태의 스마트 카드(46), 카드 리더(48), 무선 인터페이스 회로(52), 코덱 회로(54), 컨트롤러(56) 및 메모리(58)를 포함한다. 여기서 설명되는 방법 및 절차를 수행하기 위해 요구되는 프로그래밍 및/또는 다른 명령을 제외하고, 각각의 회로 및 소자는 모두 해당 분야에 알려져 있는 타입이다. 몇몇 실시예에서, 장치는 도 3 및 4에 나타낸 모든 요소보다 적게 포함할 수 있다. 예컨대, 랩탑 컴퓨터 또는 다른 장치에 (예컨대, 범용 직렬 버스 플러그를 통해) 접속할 수 있는 동글 또는 다른 주변 요소는 안테나, 무선 인터페이스 회로, 컨트롤러 및 메로리를 포함할 수 있지만, 디스플레이, 키보드, 마이크 및/또는 적외선 포트가 없을 수 있다.
여기에 설명된 특정한 실시예는, 한 실시예에서 네트워크 환경에 있어서 하나 이상의 컴퓨터에 의해 실행되는 프로그램 코드와 같은 컴퓨터로 실행할 수 있는 명령을 포함하는 컴퓨터로 판독할 수 있는 저장 매체에 내장된 컴퓨터 프로그램 제품에 의해 이행될 수 있는 방법 단계 또는 처리의 일반적 맥락으로 설명된다. 일반적으로, 프로그램 모듈은 특정한 과제를 행하거나 특정한 추상 데이터 타입을 이행하는 루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포함할 수 있다. 컴퓨터로 실행할 수 있는 명령, 관련된 데이터 구조 및 프로그램 모듈은 여기에 설명된 방법의 단계를 실행하기 위한 프로그램 코드의 예를 대표한다. 그러한 실행할 수 있는 명령 또는 관련된 데이터 구조의 특정한 시퀀스는 그러한 단계 또는 처리에서 설명된 기능을 이행하기 위한 대응하는 행동의 예를 대표한다.
본 발명의 실시예는 소프트웨어, 하드웨어, 어플리케이션 로직 또는 소프트웨어, 하드웨어 및 어플리케이션 로직의 조합으로 이행될 수 있다. 소프트웨어, 어플리케이션 로직 및/또는 하드웨어는 칩셋(예컨대, 하나 이상의 집적 회로(IC) 또는 특정 용도 집적 회로(ASIC)), 모바일 장치, 데스크탑, 랩탑, 서버, 동글 또는 다른 주변 요소 등에 존재할 수 있다. 어플리케이션 로직, 소프트웨어 또는 명령 세트는 바람직하게 다양한 통상의 컴퓨터로 판독할 수 있는 매체 중 하나에 유지된다. 본 명세서의 맥락에 있어서, "컴퓨터로 판독할 수 있는 매체"는, 명령 실행 시스템, 기구, 또는 장치에 의한 사용 또는 이들과 관련된 사용을 위한 명령을 포함, 저장, 통신, 유포 또는 전송할 수 있는 모든 매체 또는 수단일 수 있다.
다양한 실시예의 소프트웨어 및 웹에 의한 구현은 다양한 데이터베이스 검색 단계 또는 처리, 상관 단계 또는 처리, 비교 단계 또는 처리 및 결정 단계 또는 처리를 달성하기 위한 룰 기반 로직 및 다른 로직을 갖는 표준 프로그래밍 기술로 달성될 수 있다. 주목해야 할 것은 여기에 사용된 "요소" 및 "모듈"이라는 용어는 소프트웨어 코덱의 하나 이상의 라인 및/또는 하드웨어 이행 및/또는 수동 입력을 수신하는 장치를 사용하는 구현을 포함하도록 의도되었다는 것이다.
도 5는 도 2의 MME(130)의 추가적인 세부를 나타내는 블록도이다. MME(130)는 하나 이상의 프로세서(202) 및 휘발성(예컨대, 랜덤 액세스 메모리(RAM)) 소자, 비휘발성(예컨대, 자기 디스크 드라이브) 소자 또는 휘발성과 비휘발성을 모두 갖는 소자일 수 있는 하나 이상의 메모리(204)를 포함한다. MME(130)는 독립형 서버 또는 다른 네트워크 요소일 수 있고, 또는 다른 네트워크 기능도 행하는 네트워크 요소에 존재할 수 있다. 다른 인터페이스에 걸칠 뿐만 아니라, 도시한 다양한 인터페이스(즉, S1-MME, S10, S11, S6a 및 Gn 인터페이스)에 걸친 MME(130)로의 입력 및 MME(130)로부터의 출력은 개별적인 물리적 매체에 걸칠 수 있다. 이와 달리, 복수의 인터페이스에 걸친 통신은 단일 물리적 접속에 걸쳐 조합될 수 있다(예컨대, 단일 IP 네트워크 물리적 접속에 걸친 개별적인 패킷과 같이). 프로세서(202)는 도시한 다양한 인터페이스를 거쳐 통신을 송수신하고, 데이터를 회수하여 저장하기 위해 메모리(204)와 통신하여, 여기에서 설명된 MME 동작을 수행한다.
실시예의 상술한 설명은 묘사 및 예증의 목적으로 주어졌다. 상술한 설명은 본 발명의 실시예를 총망라하거나 설명된 정확한 형태로 제한하도록 의도되지 않고, 상기 교시의 관점과 다양한 실시예의 실행으로부터 수정과 변동이 얻어질 수 있다. 여기에 논의된 실시예는 다양한 실시예의 원리 및 특성을 설명하기 위해 선택되고 기술되었으며, 당업자가 다양한 실시예 및 변형예로 본 발명을 활용하게 하기 위해 그들의 실제적인 적용은 고려될 수 있는 특정한 사용에 적합하다. 여기에 설명된 실시예의 특징은 방법, 기구, 모듈, 시스템, 및 컴퓨터 프로그램 제품의 모든 가능한 조합으로 조합될 수 있다.

Claims (48)

  1. 제 2 네트워크 개체에서 제 1 네트워크 개체로부터의 콘텍스트 전송 요청을 수신하되는 단계로서, 상기 콘텍스트 전송 요청은 모바일 장치에 대응하는 인증 자료를 포함하는 정보 필드를 포함하는, 수신 단계와,
    상기 제 2 네트워크 개체에서 확인 자료를 계산하는 단계로서, 상기 확인 자료는 상기 모바일 장치에 포함되는 상기 제 2 네트워크 개체에 의해 알려진 정보로부터 계산되고, 상기 확인 자료는 사전에 상기 제 2 네트워크 개체로부터 상기 모바일 장치에 전송되지 않은, 계산 단계와,
    상기 확인 자료가 상기 인증 자료와 일치하는지 여부를 판정하는 단계
    를 포함하는 방법.
  2. 제 1 항에 있어서,
    상기 확인 자료가 상기 인증 자료와 일치한다고 판정하면, 상기 콘텍스트 전송 요청을 인증하고 콘텍스트 정보를 상기 제 1 네트워크 개체에 전송하는 단계를 더 포함하는 방법.
  3. 제 1 항에 있어서,
    상기 확인 자료가 상기 인증 자료와 일치하지 않는다고 판정하면, 상기 제 1 네트워크 개체에 에러 메시지를 보내는 단계와,
    상기 에러 메시지를 보낸 후에, 상기 제 1 네트워크 개체로부터 상기 모바일 장치의 허가를 표시하는 제 2 콘텍스트 전송 요청을 수신하는 단계와,
    상기 제 2 콘텍스트 전송 요청에 응답하여, 상기 제 1 네트워크 개체에 콘텍스트 정보를 전송하는 단계
    를 더 포함하는 방법.
  4. 제 1 항에 있어서,
    상기 제 1 네트워크 개체는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 내의 개체를 포함하고, 상기 제 2 네트워크 개체는 진화된 3GPP 네트워크에 있어서의 이동성 관리 개체(Mobility Management Entity)인 방법.
  5. 제 1 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 방법.
  6. 제 1 항에 있어서,
    상기 확인 자료는 적어도 하나의 사용자 고유의 키(user-specific key)로부터 얻어지는 방법.
  7. 제 6 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 접속 보안 관리 개체 키(K_ASME)인 방법.
  8. 제 6 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 비접속 계층(NAS) 키로부터 얻어지는 방법.
  9. 제 6 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 방법.
  10. 제 1 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 방법.
  11. 제 1 항에 있어서,
    상기 인증 자료는 범용 이동 통신 시스템(UMTS) 지상 무선 액세스 네트워크(UTRAN) 메시지와 이동 통신을 위한 글로벌 시스템/에지 무선 접속 네트워크(GERAN) 메시지 중 하나의 적어도 일부를 통해 계산된 토큰을 포함하는 방법.
  12. 제 2 네트워크 개체에서 제 1 네트워크 개체로부터의 콘텍스트 전송 요청을 수신하는 단계로서, 상기 콘텍스트 전송 요청은 모바일 장치에 대응하는 인증 자료를 포함하는 정보 필드를 포함하는, 수신 단계와,
    상기 제 2 네트워크 개체에서 확인 자료를 계산하는 단계로서, 상기 확인 자료는 상기 모바일 장치에 포함되는 상기 제 2 네트워크 개체에 의해 알려진 정보로부터 계산되고, 상기 확인 자료는 사전에 상기 제 2 네트워크 개체로부터 상기 모바일 장치에 전송되지 않은, 계산 단계와,
    상기 확인 자료가 상기 인증 자료와 일치하는지 여부를 판정하는 단계
    를 포함하는 방법을 행하는, 기계로 실행할 수 있는 명령을 포함하는 기계로 판독할 수 있는 저장 매체.
  13. 제 12 항에 있어서,
    상기 확인 자료가 상기 인증 자료와 일치한다고 판정하면, 상기 콘텍스트 전송 요청을 인증하고 콘텍스트 정보를 상기 제 1 네트워크 개체에 전송하는 단계를 위한 추가적인 명령을 포함하는 기계로 판독할 수 있는 저장 매체.
  14. 제 12 항에 있어서,
    상기 확인 자료가 상기 인증 자료와 일치하지 않는다고 판정하면, 상기 제 1 네트워크 개체에 에러 메시지를 보내는 단계와,
    상기 에러 메시지를 보낸 후에, 상기 제 1 네트워크 개체로부터 상기 모바일 장치의 허가를 표시하는 제 2 콘텍스트 전송 요청을 수신하는 단계와,
    상기 제 2 콘텍스트 전송 요청에 응답하여, 상기 제 1 네트워크 개체에 콘텍스트 정보를 전송하는 단계
    를 위한 추가적인 명령을 포함하는 기계로 판독할 수 있는 저장 매체.
  15. 제 12 항에 있어서,
    상기 제 1 네트워크 개체는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 내의 개체를 포함하고, 상기 제 2 네트워크 개체는 진화된 3GPP 네트워크에 있어서의 이동성 관리 개체인 기계로 판독할 수 있는 저장 매체.
  16. 제 12 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 기계로 판독할 수 있는 저장 매체.
  17. 제 12 항에 있어서,
    상기 확인 자료는 적어도 하나의 사용자 고유의 키로부터 얻어지는 기계로 판독할 수 있는 저장 매체.
  18. 제 17 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 접속 보안 관리 개체 키(K_ASME)인 기계로 판독할 수 있는 저장 매체.
  19. 제 17 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 비접속 계층(NAS) 키로부터 얻어지는 기계로 판독할 수 있는 저장 매체.
  20. 제 17 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 기계로 판독할 수 있는 저장 매체.
  21. 제 12 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 기계로 판독할 수 있는 저장 매체.
  22. 제 12 항에 있어서,
    상기 인증 자료는 범용 이동 통신 시스템(UMTS) 지상 무선 액세스 네트워크(UTRAN) 메시지와 이동 통신을 위한 글로벌 시스템/에지 무선 접속 네트워크(GERAN) 메시지 중 하나의 적어도 일부를 통해 계산된 토큰을 포함하는 기계로 판독할 수 있는 저장 매체.
  23. 제 1 네트워크로부터 콘텍스트 전송 요청을 수신하되, 상기 콘텍스트 전송 요청은 모바일 장치에 대응하는 인증 자료를 포함하는 정보 필드를 포함하고,
    확인 자료를 계산하되, 상기 확인 자료는 상기 모바일 장치에 포함되는 장치에 의해 알려진 정보로부터 계산되고, 상기 확인 자료는 사전에 상기 장치로부터 상기 모바일 장치에 전송되지 않고,
    상기 확인 자료가 상기 인증 자료와 일치하는지 여부를 판정하도록
    구성되는 적어도 하나의 프로세서를 포함하는 장치.
  24. 제 23 항에 있어서,
    상기 적어도 하나의 프로세서는, 상기 확인 자료가 상기 인증 자료와 일치한다고 판정하면, 상기 콘텍스트 전송 요청을 인증하고 콘텍스트 정보를 상기 제 1 네트워크 개체에 전송하도록 더 구성되는 장치.
  25. 제 23 항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 확인 자료가 상기 인증 자료와 일치하지 않는다고 판정하면, 상기 제 1 네트워크 개체에 에러 메시지를 보내고,
    상기 에러 메시지를 보낸 후에, 상기 제 1 네트워크 개체로부터 상기 모바일 장치의 허가를 표시하는 제 2 콘텍스트 전송 요청을 수신하며,
    상기 제 2 콘텍스트 전송 요청에 응답하여, 상기 제 1 네트워크 개체에 콘텍스트 정보를 전송하도록
    더 구성되는 장치.
  26. 제 23 항에 있어서,
    상기 제 1 네트워크 개체는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 내의 개체를 포함하고, 상기 장치는 진화된 3GPP 네트워크에 있어서의 이동성 관리 개체로서 동작하도록 구성되는 장치.
  27. 제 23 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 장치.
  28. 제 23 항에 있어서,
    상기 확인 자료는 적어도 하나의 사용자 고유의 키로부터 얻어지는 장치.
  29. 제 28 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 접속 보안 관리 개체 키(K_ASME)인 장치.
  30. 제 28 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 비접속 계층(NAS) 키로부터 얻어지는 장치.
  31. 제 28 항에 있어서,
    상기 적어도 하나의 사용자 고유의 키는 적어도 하나의 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 장치.
  32. 제 23 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 장치.
  33. 제 23 항에 있어서,
    상기 인증 자료는 범용 이동 통신 시스템(UMTS) 지상 무선 액세스 네트워크(UTRAN) 메시지와 이동 통신을 위한 글로벌 시스템/에지 무선 접속 네트워크(GERAN) 메시지 중 하나의 적어도 일부를 통해 계산된 토큰을 포함하는 장치.
  34. 제 1 무선 네트워크 내에서 모바일 장치를 동작시키는 단계와,
    상기 제 1 무선 네트워크의 요소와 공유되는 정보에 근거하여 상기 모바일 장치에서 인증 자료를 계산하는 단계와,
    제 2 무선 네트워크에서 상기 모바일 장치로부터 라우팅 영역 갱신 요청을 송신하는 단계로서, 상기 제 2 무선 네트워크는 상기 제 1 무선 네트워크와 다르고, 상기 라우팅 영역 갱신 요청은 상기 인증 자료를 포함하는 정보 필드를 포함하는, 송신 단계와,
    상기 모바일 장치에서, 상기 라우팅 영역 갱신 요청의 송신의 결과로서, 상기 제 2 무선 네트워크로부터 라우팅 영역 갱신 승인을 수신하는 단계
    를 포함하는 방법.
  35. 제 34 항에 있어서,
    상기 제 1 무선 네트워크는 진화된 3세대 파트너십(3GPP) 네트워크이고, 상기 제 2 무선 네트워크는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 중 하나인 방법.
  36. 제 34 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 방법.

  37. 제 34 항에 있어서,
    상기 인증 자료는 적어도 하나의 사용자 고유의 키로부터 얻어지는 방법.

  38. 제 34 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 방법.
  39. 제 1 무선 네트워크 내에서 모바일 장치를 동작시키는 단계와,
    상기 제 1 무선 네트워크의 요소와 공유되는 정보에 근거하여 상기 모바일 장치에서 인증 자료를 계산하는 단계와,
    제 2 무선 네트워크에서 상기 모바일 장치로부터 라우팅 영역 갱신 요청을 송신하는 단계로서, 상기 제 2 무선 네트워크는 상기 제 1 무선 네트워크와 다르고, 상기 라우팅 영역 갱신 요청은 상기 인증 자료를 포함하는 정보 필드를 포함하는, 송신 단계와,
    상기 라우팅 영역 갱신 요청의 송신의 결과로서, 상기 모바일 장치에서, 상기 제 2 무선 네트워크로부터 라우팅 영역 갱신 승인을 수신하는 단계
    를 포함하는 방법을 행하는, 기계로 실행할 수 있는 명령을 포함하는 기계로 판독할 수 있는 저장 매체.
  40. 제 39 항에 있어서,
    상기 제 1 무선 네트워크는 진화된 3세대 파트너십(3GPP) 네트워크이고, 상기 제 2 무선 네트워크는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 중 하나인 기계로 판독할 수 있는 저장 매체.
  41. 제 39 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 기계로 판독할 수 있는 저장 매체.
  42. 제 39 항에 있어서,
    상기 인증 자료는 적어도 하나의 사용자 고유의 키로부터 얻어지는 기계로 판독할 수 있는 저장 매체.
  43. 제 39 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 기계로 판독할 수 있는 저장 매체.
  44. 제 1 무선 네트워크 내에서 장치를 동작시키고,
    상기 제 1 무선 네트워크의 요소와 공유되는 정보에 근거하여 인증 자료를 계산하고,
    제 2 무선 네트워크에서 라우팅 영역 갱신 요청을 송신하되, 상기 제 2 무선 네트워크는 상기 제 1 무선 네트워크와 다르고, 상기 라우팅 영역 갱신 요청은 상기 인증 자료를 포함하는 정보 필드를 포함하고,
    상기 라우팅 영역 갱신 요청의 송신의 결과로서, 상기 제 2 무선 네트워크로부터 라우팅 영역 갱신 승인을 수신하도록
    구성되는 적어도 하나의 프로세서를 포함하는 장치.
  45. 제 44 항에 있어서,
    상기 제 1 무선 네트워크는 진화된 3세대 파트너십(3GPP) 네트워크이고, 상기 제 2 무선 네트워크는 레거시 3세대 파트너십(3GPP) 범용 이동 통신 시스템(UMTS) 네트워크, 레거시 3GPP 일반 패킷 무선 서비스(GPRS) 네트워크 또는 이동 통신을 위한 글로벌 시스템(GSM) 에지 무선 접속 네트워크(GERAN) 중 하나인 장치.
  46. 제 44 항에 있어서,
    상기 정보 필드는 패킷 교환 네트워크 임시 이동국 식별자(P-TMSI) 서명 정보 필드를 포함하는 장치.
  47. 제 44 항에 있어서,
    상기 인증 자료는 적어도 하나의 사용자 고유의 키로부터 얻어지는 장치.
  48. 제 44 항에 있어서,
    상기 인증 자료는 접속 보안 관리 개체 키(K_ASME)로부터 얻어지는 1회성 토큰을 포함하는 장치.
KR20107011672A 2007-10-29 2008-10-27 콘텍스트 전달을 인증하는 시스템 및 방법 KR101167781B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US98345007P 2007-10-29 2007-10-29
US60/983,450 2007-10-29
PCT/IB2008/002856 WO2009056938A2 (en) 2007-10-29 2008-10-27 System and method for authenticating a context transfer

Publications (2)

Publication Number Publication Date
KR20100086013A KR20100086013A (ko) 2010-07-29
KR101167781B1 true KR101167781B1 (ko) 2012-07-25

Family

ID=40548001

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20107011672A KR101167781B1 (ko) 2007-10-29 2008-10-27 콘텍스트 전달을 인증하는 시스템 및 방법

Country Status (10)

Country Link
US (1) US9204295B2 (ko)
EP (1) EP2218270B1 (ko)
KR (1) KR101167781B1 (ko)
CN (1) CN101843126B (ko)
AT (1) ATE535108T1 (ko)
ES (1) ES2375594T3 (ko)
PL (1) PL2218270T3 (ko)
PT (1) PT2218270E (ko)
TW (1) TWI489839B (ko)
WO (1) WO2009056938A2 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101511079B (zh) 2007-11-01 2010-10-27 华为技术有限公司 一种通过演进网络临时标识接入旧有网络的方法和装置
MX2010006449A (es) * 2007-12-13 2010-08-06 Interdigital Patent Holdings Escenarios de registro entre redes de comunicacion inalambricas nuevas y de legado.
CN101472271B (zh) * 2008-03-13 2012-07-04 华为技术有限公司 对承载的处理方法及移动管理设备
CN101459907B (zh) * 2008-03-26 2010-09-29 中兴通讯股份有限公司 一种指示服务网关承载管理的方法
CN101304311A (zh) * 2008-06-12 2008-11-12 中兴通讯股份有限公司 密钥生成方法和系统
CN102821382B (zh) 2008-06-18 2015-09-23 上海华为技术有限公司 一种用于接入的装置
JP5004899B2 (ja) * 2008-08-11 2012-08-22 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法、交換局及び移動局
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
KR101472749B1 (ko) * 2008-09-25 2014-12-16 삼성전자주식회사 Home eNB에서 단말의 수락제어 방법 및 장치.
US9066354B2 (en) * 2008-09-26 2015-06-23 Haipeng Jin Synchronizing bearer context
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
WO2010115266A1 (en) * 2009-04-10 2010-10-14 Research In Motion Limited Method and system for the exposure of simplified data-service facades through a context aware access layer
CN101883346B (zh) * 2009-05-04 2015-05-20 中兴通讯股份有限公司 基于紧急呼叫的安全协商方法与装置
CN101888617B (zh) * 2009-05-14 2013-08-07 华为技术有限公司 接入点名称约束信息的处理方法、系统及网元设备、网关设备
CN101909275B (zh) * 2009-06-05 2012-07-04 华为技术有限公司 一种信息同步方法及通讯系统以及相关设备
CN101931951B (zh) 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
GB2472580A (en) 2009-08-10 2011-02-16 Nec Corp A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers
EP2466957A3 (en) * 2009-09-18 2013-01-09 Nec Corporation Communication system and communication controlling method
WO2011137580A1 (en) * 2010-05-04 2011-11-10 Qualcomm Incorporated Shared circuit switched security context
CN101835156B (zh) * 2010-05-21 2014-08-13 中兴通讯股份有限公司南京分公司 一种用户接入安全保护的方法及系统
JP2013534090A (ja) * 2010-06-07 2013-08-29 インターデイジタル パテント ホールディングス インコーポレイテッド 輻輳したネットワークにおいてサービス要求メッセージを送信するための方法および装置
TWI451713B (zh) * 2010-11-08 2014-09-01 Htc Corp 無線通訊系統之處理詢問超載之方法
TWI533629B (zh) * 2010-12-28 2016-05-11 內數位專利控股公司 非附於無線網路之觸發裝置
SG194059A1 (en) * 2011-04-01 2013-11-29 Interdigital Patent Holdings Method and apparatus for controlling connectivity to a network
ES2717891T3 (es) * 2011-06-16 2019-06-26 Nokia Solutions & Networks Oy Métodos, aparatos, un sistema y un producto de programa informático relacionado para activación y desactivación de portadoras
US9119062B2 (en) * 2012-10-19 2015-08-25 Qualcomm Incorporated Methods and apparatus for providing additional security for communication of sensitive information
WO2014113920A1 (zh) * 2013-01-22 2014-07-31 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
CN105075306B (zh) * 2013-01-22 2019-05-28 华为技术有限公司 移动通信系统的安全认证的方法和网络设备
EP3554047B1 (en) * 2013-09-11 2020-11-04 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
US9338136B2 (en) * 2013-12-05 2016-05-10 Alcatel Lucent Security key generation for simultaneous multiple cell connections for mobile device
US9313193B1 (en) 2014-09-29 2016-04-12 Amazon Technologies, Inc. Management and authentication in hosted directory service
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9930579B2 (en) * 2015-01-19 2018-03-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and nodes for providing handover management
US11096053B2 (en) 2016-11-07 2021-08-17 Lg Electronics Inc. Method for managing session
US11452001B2 (en) * 2017-04-17 2022-09-20 Apple Inc. Group based context and security for massive internet of things devices
US10455453B2 (en) * 2017-08-16 2019-10-22 T-Mobile Usa, Inc. Service enablement based on access network
CN112399512B (zh) * 2017-08-17 2022-03-29 华为技术有限公司 一种通信系统间移动方法及装置
US10805792B2 (en) * 2018-09-07 2020-10-13 Nokia Technologies Oy Method and apparatus for securing multiple NAS connections over 3GPP and non-3GPP access in 5G
CN110913438B (zh) * 2018-09-15 2021-09-21 华为技术有限公司 一种无线通信方法及装置
EP3864874A4 (en) * 2018-10-08 2022-06-29 Apple Inc. Mobile device context transfer in a 5g system
CN113613248B (zh) * 2020-04-20 2023-06-16 华为技术有限公司 认证事件处理方法及装置、系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007089560A1 (en) 2006-01-31 2007-08-09 Interdigital Technology Corporation Method and system for performing cell update and routing area update procedures while a wireless transmit/receive unit is in an idle state

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030211842A1 (en) * 2002-02-19 2003-11-13 James Kempf Securing binding update using address based keys
US7974234B2 (en) * 2004-10-22 2011-07-05 Alcatel Lucent Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
US20090067386A1 (en) * 2007-06-19 2009-03-12 Qualcomm Incorporated Method and apparatus for cell reselection enhancement for e-utran
MX2010006449A (es) * 2007-12-13 2010-08-06 Interdigital Patent Holdings Escenarios de registro entre redes de comunicacion inalambricas nuevas y de legado.

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007089560A1 (en) 2006-01-31 2007-08-09 Interdigital Technology Corporation Method and system for performing cell update and routing area update procedures while a wireless transmit/receive unit is in an idle state

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TS 23.401 v 1.3.0

Also Published As

Publication number Publication date
CN101843126B (zh) 2013-12-25
US9204295B2 (en) 2015-12-01
EP2218270B1 (en) 2011-11-23
ATE535108T1 (de) 2011-12-15
TW200934195A (en) 2009-08-01
CN101843126A (zh) 2010-09-22
WO2009056938A2 (en) 2009-05-07
PL2218270T3 (pl) 2012-04-30
KR20100086013A (ko) 2010-07-29
WO2009056938A3 (en) 2009-07-09
US20090111428A1 (en) 2009-04-30
ES2375594T3 (es) 2012-03-02
TWI489839B (zh) 2015-06-21
PT2218270E (pt) 2012-01-24
EP2218270A2 (en) 2010-08-18

Similar Documents

Publication Publication Date Title
KR101167781B1 (ko) 콘텍스트 전달을 인증하는 시스템 및 방법
KR102369596B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR101737425B1 (ko) 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
EP3061222B1 (en) Controlled credentials provisioning between user devices
US20090258631A1 (en) Mobility related control signalling authentication in mobile communications system
US11172359B2 (en) Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment
CN111869182B (zh) 对设备进行认证的方法、通信系统、通信设备
US20170026896A1 (en) Terminal device, relay terminal device, and communication control method
EP3284276B1 (en) Security improvements in a cellular network
CN102917332B (zh) 一种实现移动设备附着的方法及装置
WO2008131689A1 (fr) Procédé et système de fourniture d'un service de communication d'urgence et dispositifs correspondants
US10492056B2 (en) Enhanced mobile subscriber privacy in telecommunications networks
US20220038904A1 (en) Wireless-network attack detection
US11576232B2 (en) Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device
RU2772709C1 (ru) Системы и способ защиты безопасности сообщений nas
CN114223232A (zh) 通信方法和相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150618

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160616

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170616

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190617

Year of fee payment: 8