KR101579757B1 - 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 - Google Patents

이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 Download PDF

Info

Publication number
KR101579757B1
KR101579757B1 KR1020090075379A KR20090075379A KR101579757B1 KR 101579757 B1 KR101579757 B1 KR 101579757B1 KR 1020090075379 A KR1020090075379 A KR 1020090075379A KR 20090075379 A KR20090075379 A KR 20090075379A KR 101579757 B1 KR101579757 B1 KR 101579757B1
Authority
KR
South Korea
Prior art keywords
key
mme
nas
security
terminal
Prior art date
Application number
KR1020090075379A
Other languages
English (en)
Other versions
KR20100021385A (ko
Inventor
서경주
최성호
김중현
유재천
배은희
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20100021385A publication Critical patent/KR20100021385A/ko
Application granted granted Critical
Publication of KR101579757B1 publication Critical patent/KR101579757B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Abstract

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access -Stratum, 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode)를 관리, 등록 관리(registration management : Attach , detach 관리), 위치 관리(location management : tracking area 관리)하는 방법 및 시스템에 대한 것이다. 이를 위하여 본 발명의 실시예에 따른 NAS 프로토콜, 즉 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법은 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode)에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode) 에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다.
NAS, mobility management

Description

이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 {security protected Non -Access Stratum PROTOCOL OPERATION SUPPORTING METHOD IN MOBILE TELECOMMUNICATION SYSTEM}
본 발명은 이동 통신 시스템의 단말의 관리방법에 대한 것으로서, 특히 NAS 프로토콜을 통한 단말의 이동성 관리, 위치 관리, 등록 관리를 효율적으로 지원하기 위한 방법에 관한 것이다.
일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project) 에서는 차세대 통신을 위하여 EPS(Evolved Packet System)를 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다. 상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템, 특히 3GPP의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 이동성 관리, 위치 관리, 등록 관리의 방법을 개선하고 또한 이와 아울러 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 관리 방안을 강화하였다.
하지만, 현재 NAS 프로토콜 정의 및 이동성 관리, 위치 관리, 등록 관리 방법에 대한 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 정확한 절차 및 속성이 정의 되어 있지 않다. 또한 현재 정의된 절차 및 정의된 메시지로는 실제 동작에 있어서 이동성 관리, 위치 관리, 혹은 등록 관리에 있어서 NAS 프로토콜 동작에 있어서 동작 불가 혹은 동작의 불분명의 문제점이 발생하였다. 따라서, NAS 프로토콜이 이동성 관리, 위치 관리, 등록 관리 및 보안성 지원을 효율적으로 지원하기 위한 절차 및 단말 및 MME 의 역할을 명시해야 할 필요가 있다.
본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 단말의 이동성 관리, 위치 관리, 등록 관리 및 이러한 관리 절차에 있어 보안화된 NAS 메시지를 사용하며, 이로인해 이동성 관리, 위치 관리, 등록 관리를 안전하고 효율적으로 지원하는 방법을 제공한다. 또한 본 발명은 단말과 이동성 관리자(MME) 간의 프로토콜인 NAS 메시지를 활용하여 NAS 프로토콜이 어떻게 동작하는 지를 정의한다. 따라서 3GPP EPS 내에서 뿐만 아니라 3GPP EPS가 아닌 다른 무선 접속 기술, 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 이동성 관리, 위치 관리, 및 등록 관리를 지원하는 방법 등을 제공한다.
본 발명은 이동통신 네트워크에서 비접속 계층(non-Access-Stratum, 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리(registration management : Attach, detach 관리), 위치 관리(location management : tracking area 관리)하는 방법에 관한 것이다. 즉, 본 발명은 이동통신 시스템에서 NAS 프로토콜, 즉 NAS 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법을 제공한다. 본 발명의 이동통신 시스템은 단말(이하 UE로 표기)과 이동 관리자(MME , mobility management entity : 이하 MME 로 표기)를 포함하며, 단말이 동작 모드(active mode)에서 핸드오버(handover)하는 경우, , 아이들 모드(idle mode)에서 위치 관리(location management)를 하는 경우 및 단말이 네트웍에 등록하는 경 우에 3GPP의 EPS(Evolved Packet System)와 같은 네트워크에서 보안화된 NAS 메시지를 효율적으로 사용하기 위한 방법을 제안한다.
본 발명의 실시예에 따른 이동통신시스템에서 단말의 상태 정보를 처리하는 방법은, 단말이 이전 키에 보안화된 상태 변경 요청 메시지를 뉴 MME에 전송하는 과정과, 상기 뉴 MME가 이전 MME에서 상기 단말의 이전 키 정보를 수신하는 과정과, 상기 뉴 MME가 상기 이전 키정보를 이용하여 상기 요청 메시지를 해석한 후 상기 단말에 응답 메시지를 전송하는 과정으로 이루어짐을 특징으로 한다. 여기서 상기 뉴 MME가 이전 MME로부터 수신하는 이전 키 정보는 KSIasme 및 Kasme 등을 포함한다.
그리고 상기 뉴 MME가 이전 키로 상기 요청 메시지의 해석 실패시 뉴 키를 성하며, 상기 생성된 뉴 키 정보를 포함하는 NAS 보안 모드 명령 메시지를 단말에 전송하는 과정과, 기 단말이 상기 뉴 MME의 뉴 키 정보에 따라 단말의 뉴 키를 생성하고, 상기 뉴 MME에 NAS 보안 모드 명령에 응답하는 과정을 더 구비함을 특징으로 한다.
또한 상기 뉴 MME가 생성하는 뉴 키 정보는 NAS 암호화 키 KNASenc 및 무결성 키 KNASint 등을 포함하며, 상기 NAS 보안 모드 명령 메시지는 보안키 식별자(KSI), 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하며, 상기 단말이 생성하는 뉴 키 정보는 상기 NAS 보안모드 명령 메시지의 보안키 식별자(KSI)에 의해 색인되는 기본 보안키(KASME)에 기초하여 생성되는 암호화 키(KNASenc)와 무결성 키(KNASint)등을 포함하는 것을 특징으로 한다.
그리고 상기 뉴 MME가 이전 키로 상기 요청 메시지의 해석 실패시 단말에 사용자 인증 요청 메시지를 전송하며, 상기 단말이 상기 사용자 인증 요청에 응답하는 과정을 더 구비하는 것을 특징으로 한다. 여기서 상기 사용자 인증 요청 메시지는 인증 벡터(AUTN)와 보안키 식별자(KSIASME)를 포함할 수 있다.
여기서 상기 상태 변경 요청 메시지는 핸드오버 요청 메시지, TAU 요청 메시지 또는 등록(해제) 요청 메시지 중의 하나가 될 수 있다.
또한 본 발명의 실시예에 따른 이동통신시스템에서 단말의 상태 정보를 처리하는 방법은, 단말이 뉴 키에 보안화된 상태 변경 요청 메시지를 뉴 MME에 전송하는 과정과, 상기 뉴 MME가 단말에 사용자 인증 요청 메시지를 전송하며, 상기 단말이 상기 사용자 인증 요청에 응답하는 과정과, 상기 뉴 MME가 뉴 key를 생성하며, 상기 생성된 뉴 키 정보를 포함하는 NAS 보안 모드 명령 메시지를 단말에 전송하는 과정과, 상기 단말이 상기 뉴 MME의 뉴 키 정보에 따라 단말의 뉴 키를 생성하고, 상기 뉴 MME에 NAS 보안 모드 명령에 응답하는 과정으로 이루어짐을 특징으로 한다.
또한 본 발명의 실시예에 따른 이동통신시스템의 핸드오버 처리 방법은, 이 전 MME가 뉴 MME에 단말의 이전 키 정보를 포함하는 메시지(forward relocation request message)를 전송하는 과정과, 단말이 상기 뉴 MME에 이전 키에 의해 보안화된 TAU 요청 메시지를 전송하는 과정과, 상기 뉴 MME가 상기 TAU 요청 메시지를 이전 키로 해석하여 처리하는 과정으로 이루어짐을 특징으로 한다. 그리고 상기 뉴 MME가 상기 TAU 요청 메시지를 이전 키로 해석을 실패하면, 상기 뉴 MME가 단말에 사용자 인증 요청 메시지를 전송하며, 상기 단말이 상기 사용자 인증 요청에 응답하는 과정과, 상기 뉴 MME가 뉴 키를 생성하며, 상기 생성된 뉴 키 정보를 포함하는 NAS 보안 모드 명령 메시지를 단말에 전송하는 과정과, 상기 단말이 상기 뉴 MME의 뉴 키 정보에 따라 단말의 뉴 키를 생성하고, 상기 뉴 MME에 NAS 보안 모드 명령에 응답하는 과정과, 상기 단말이 뉴 키에 의해 보안화된 TAU 요청 메시지를 상기 뉴 MME에 전송하며, 상기 뉴 MME가 뉴 key에 의해 상기 메시지를 처리하는 과정을 더 구비함을 특징으로 한다.
또한 본 발명의 실시예에 따른 이동통신시스템에서 단말의 위치 갱신을 처리하는 방법은, 단말이 뉴 MME에 이전 키에 의해 보안화된 TAU 요청 메시지를 전송하는 과정과, 상기 뉴 MME가 상기 이전 MME에 단말의 이전 키에 관련된 정보을 요청하며, 이전 키 정보를 수신하는 과정과, 상기 뉴 MME가 상기 TAU 요청 메시지를 상기 이전 키로 해석한 후, 상기 단말에 상기 이전 키로 보안화된 TAU 승인 메시지를 전송하는 과정으로 이루어짐을 특징으로 한다. 그리고 상기 뉴 MME가 상기 TAU 요청 메시지를 이전 키로 해석을 실패하면, 상기 뉴 MME가 단말에 사용자 인증 요청 메시지를 전송하며, 상기 단말이 상기 사용자 인증 요청에 응답하는 과정과, 상기 뉴 MME가 뉴 키를 생성하며, 상기 생성된 뉴 키 정보를 포함하는 NAS 보안 모드 명령 메시지를 단말에 전송하는 과정과, 상기 단말이 상기 뉴 MME의 뉴 키 정보에 따라 단말의 뉴 키를 생성하고, 상기 뉴 MME에 NAS 보안 모드 명령에 응답하는 과정과, 상기 단말이 뉴 키에 의해 보안화된 TAU 요청 메시지를 상기 뉴 MME에 전송하며, 상기 뉴 MME가 뉴 키에 의해 상기 메시지를 처리하는 과정을 더 구비함을 특징으로 한다.
또한 본 발명의 실시예에 따른 이동통신시스템에서 단말의 등록처리하는 방법은, 단말이 뉴 MME에 이전 키에 의해 보안화된 등록 요청 메시지를 전송하는 과정과, 상기 뉴 MME가 상기 이전 MME에 단말의 이전 키에 관련된 정보을 요청하며, 이전 키 정보를 수신하는 과정과, 상기 뉴 MME가 상기 등록 요청 메시지를 상기 이전 키로 해석한 후, 상기 단말에 상기 이전 키로 보안화된 등록 승인 메세지를 전송하는 과정으로 이루어짐을 특징으로 한다. 그리고 상기 뉴 MME가 상기 등록 요청 메시지를 이전 키로 해석을 실패하면, 상기 뉴 MME가 단말에 사용자 인증 요청 메시지를 전송하며, 상기 단말이 상기 사용자 인증 요청에 응답하는 과정과, 상기 뉴 MME가 뉴 키를 생성하며, 상기 생성된 뉴 키 정보를 포함하는 NAS 보안 모드 명령 메시지를 단말에 전송하는 과정과, 상기 단말이 상기 뉴 MME의 뉴 key 정보에 따라 단말의 뉴 key를 생성하고, 상기 뉴 MME에 NAS 보안 모드 명령에 응답하는 과정과, 상기 단말이 뉴 키에 의해 보안화된 등록 요구 메시지를 상기 뉴 MME에 전송하며, 상기 뉴 MME가 뉴 키에 의해 상기 메시지를 처리하는 과정을 더 구비함을 특징으로 한다.
상술한 바와 같이 본 발명은 이동통신 네트워크에서 비접속 계층(non- Access -Stratum 즉 네트웍 계층 : 이하 NAS 로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리(registration management : Attach , detach 관리), 위치 관리(location management : tracking area 관리)하는 방법 및 시스템에 대한 것이다. NAS 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리하기 위한 방법은 단말(UE)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode) 에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode)에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
하기의 설명에서 "상태 변경 요구 메시지"라는 용어는 hand over, TAU(Tracking area update), attach(detach) request message 등이 될 수 있다. 또한 "old key"라는 용어는 단말이 연결되었던 이전 MME(old MME, serving MME)에서 사용된 보안 키 관련 정보들을 의미하며, "new key"라는 용어는 단말이 상태 변경에 의해 연결되는 새로운 MME(new MME, target MME)에서 사용할 보안 키 관련 정보를 의미한다.
그리고 old MME에서 수신되는 "old key 정보"라는 용어는 단말의 보안 정보인 기본 보안키 식별자(KSIASME)와 기본 보안키(KASME)를 포함하며, 상기 기 기본 보안키(KASME : Key access security management entity)는 NAS 메시지의 암호화에 쓰이는 암호화키(KNASenc), 무결성 보호에 쓰이는 NAS 무결성 키(KNASint), 그리고 무선구간 AS(Access Stratum) 메시지의 보호에 쓰이는 이노드비 키(KeNB)를 생성하는데 사용되는 보안키 등을 포함할 수 있다.
그리고 "사용자 인증 요청(user authentication request) 메시지"는 new key 생성시 new MME와 UE간의 인증 메시지로써, 인증 벡터인 AUTN(authentication token)과 보안키 식별자(KSIASME)를 포함할 수 있다.
그리고 "NAS 보안 모드 명령(NAS Security mode command) 메시지"는 new MME가 new key 를 생성한 후 UE에 전송하는 메시지로써, 보안키 식별자(key set index), 단말에 의해 지원되는 보안 알고리즘에 대한 정보인 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm)과 사용될 무결성 알고리즘(integrity algorithm) 등을 포함할 수 있다.
본 발명은 이동 통신 시스템의 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 이동시스템에 이동성 관리, 위치 관리, 등록 관리를 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동통신 시스템에서도 이용 가능할 것이다.
한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시예는 두개의 3GPP EPS 네트웍을 예로 들어 설명하였으나 3GPP EPS에서 EPS로의 핸드오버 뿐만 아니라 3GPP EPS에서 3GPP UMTS, 3GPP GPRS 네트웍, WiMAX, 3GPP2와 같은 다른 무선 접속 기술을 사용하는 네트웍 망으로 단말이 이동하는 경우에도 NAS를 이용한다면 변형하여 이용 가능할 것이다. 따라서 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 이동성 관리, 위치 관리, 등록 관리를 지원하는 방법은 유사한 기술적 배경 및 채널 형태를 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 적용 가능함을 알 수 있다.
도 1은 본 발명의 실시예에 따른 이동 통신 시스템 환경에서의 핸드오버 환경을 도시한 블록도이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다.
도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함)(112)는 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW 로 칭함)(118)가 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다.
eNB(112, 132)와Serving GW(116, 136), MME(114, 134)와Serving GW(116, 136) 사이에는 단말의 이동성을 관리하기 위한 인터페이스와 데이터 경로(data path)가 존재한다. 본 발명에서의 UE(110)과 MME(114, 134)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다.
본 발명에서는 UE(110)은 NW1(141)에서 NW2(143) 혹은 그 반대 방향으로 핸드오버 할 수 있다. 한편 본 발명에서 UE(110)의 이동성 관리, 위치 관리, 등록 관리를 위해서 MME(114)와 MME(134) 간에는 인터페이스가 존재할 수 있으며, eNB(112) 와 eNB(132) 간에도 인터페이스가 존재할 수 있다.
본 발명에서는 UE(110)의 이동성 관리, 위치 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말(110)사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와, 위치 및 세션 관리를 위하여 단말(110)과 MME(114) 사이에 도입된 NAS 프로토콜은 EPS 시스템으로 되면서 보안성이 강화되고, 위치 관리 관련 기능이 변경되고, 세션 관리 기능 또한 변경되었다.
도 2는 도 1과 같은 구조를 가지는 이동통신 시스템에서 본 발명의 실시예에 따른 이동 통신 시스템 환경에서 MME와 UE 간에 NAS 프로토콜을 이용하여 핸드오버 기능을 수행하는 절차를 도시하는 도면이다.
상기 도 1 및 도 2를 참조하면, 핸드오버 상황에서 새로운 MME(134)는 3가지의 동작이 가능하며, 3 가지 경우를 보면 다음과 같다. 즉 일 실시예는 상기 도 2의 151 단계 - 157 단계와 같이 동작하는 경우즉 경우 2(case 2) 의 경우로 새로운 MME(134 : new MME)가 이전의 MME(114: old MME)로부터 받은 보안 관련 정보를 활용하는 경우이다. 다른 일 실시예는, 경우 1(case 1)로, 상기 도 2의 151단계 - 153단계, 171단계 - 179단계, 181단계, 191단계 - 193단계의 절차를 포함하는 예로서, 171단계- 173단계의 인증 절차(authentication procedure)와 175단계 - 181단계까지의 보안 모드 명령(security mode command) 절차를 포함하여 새로운 보안 관련 정보를 활용하여 메시지를 해석하는 절차를 포함한다. 또 다른 일 실시예의 경우는 경우 3(case 3)로서 151단계 - 153단계, 161단계 - 163단계, 171단계 - 181단계를 시행하는 예로서 이는 151단계 - 153단계, 161단계 - 163단계를 수행한 후, 163 단계에서 트래킹 에어리어 갱신(tracing area update : TAU request) 메시지를 이전의 보안키로 해석한 결과 보안 검증에 실패한 경우, 171단계 - 181단계를 수행하는 경우이다.
먼저 상기 도 2를 참조하여 경우 2(case 2)의 동작을 살펴보면, 서빙 MME(serving MME; old MME)(114)는 151단계에서 전송 재위치 요청 메시지(forward relocation request message)를 타겟 MME(target MME; new MME)(134)에 전송한다. 이때 상기 전송 재위치 요청 메시지는 단말의 보안 관련 정보(UE security context)를 포함한다. 그러면 상기 타겟 MME(134)는 상기 서빙 MME(114)에 응답 메시지(forward relocation response message)를 전송한다. 이후 상기 단말(110)은 161단계에서 상기 타겟 MME(134)에 TAU 요구 메시지(TAU(tracking area update) request message)를 전송하며, 상기 TAU 요구 메시지는 이전 보안키에 의해 보호(security protected by old key)된다. 이때 상기 단말로부터 TAU 요구 메시지를 수신하면, 상기 타겟 MME는 163단계에서 이전 보안 키를 사용하여 수신된 TAU 요구 메시지를 분석한다.(interprets TAU request message using old key).
상기한 바와 같이 상기 도 2에서 경우 2(case 2)의 경우, 서빙 MME(즉 핸드오버 이전에 old MME)(114)가 타켓 MME(즉 new MME)(134)에 보안 관련 정보(UE security context)를 포함하는 전송 재위치 요청(forward relocation request) 메시지를 전송한다. 그리고 단말의 보안 관련 정보(UE security context)를 포함할 수 있다. 그러면 상기 new MME(134)는 old MME(114)에 전송 재위치 응답(forward relocation response) 메시지를 전달한다. 이후 상기 UE(110)에서 이전 보안키에 의해 보안화된 위치 등록 메시지인 트래킹 에어리어 갱신(Tracking Area UpdateRequest : 이하 TAU request로 표기) 메시지가 new MME(134)로 전송되면, 상기 타켓 MME(target MME: 134)는 TAU request 메시지를 이전 보안키(old key)를 이용하여 해석한다.
두번째로 상기 도 2를 참조하여 경우 1(case 1)의 동작을 살펴보면, 먼저 서빙 MME(114) 및 타겟 MME(134)는 151단계 및 153단계를 수행하면서 전송 재위치 요구 메시지 전송 및 이에 대한 응답 메시지를 전송한다. 이후 상기 타겟MME(134)는 171단계에서 상기 단말(110)에 사용자 인증 요청 메시지(user authentication request message)를 전송한다. 상기 사용자인증 요청 메시지는 인증 벡터인 AUTN(authentication token)과 보안키 식별자(KSIASME)를 포함한다. 그러면 상기 단말(110)은 이에 응답하여 173단계에서 응답 메시지(user authentication response message)를 상기 타겟 MME(134)에 전송한다. 그리고 상기 타겟 MME(134)는 상기 단말의 응답에 의해 암호화 키(KNASenc) 과 무결성 키(KNASint)를 생성한다.
이후 상기 타겟 MME(134)는 177단계에서 보안키 식별자(key set index KSI), 단말에 의해 지원되는 보안 알고리즘에 대한 정보인 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하는 NAS 보안 모드 명령어(NAS security mode command)를 단말(110)에 전송한다. 그러면 상기 단말(110)은 179단계에서 상기 보안키 식별자 KSI 에 의해 인덱스되는 키(KASME)에 기초하여 암호화 키(KNASenc) 및 무결성 키(KNASint)를 생성한다(Generate KNASenc and KNASint based on KASME indexed by KSI). 상기 179단계를 수행하면 상기 타겟 MME(134)와 단말(110)은 같은 키 값을 공유하게 된다. 그리고 상기 단말(110)은 181단계에서 타겟 MME에 보안 모드 완성(Security mode complete) 메시지를 전송하므로써, NAS 보안 모드 과정(security mode command) 과정을 종료한다.
이후 상기 단말(110)은 191단계에서 타겟 MME(134)에 새로운 보안 키, 즉 새로운 암호화 키(KNASenc) 또는 무결성 키(KNASint)에 의해 보호(security protected by new key)되는 TAU request 메시지를 전송하며, 타겟 MME(134)는 수신되는 TAU 요청 메시지를 새로운 키에 의해 분석한다(interprets TAU request using new key).
상기한 바와 같이 상기 도 2에서 경우 1(case 1)의 경우, old MME(114)와 new MME(134)는 각각 전송 재위치 요청 메시지 및 이에 따른 응답 메시지를 전송한다. 이후 new MME(134)는 사용자 인증 요청(user authentication request) 메시지를 단말에 전송하며, 상기 사용자 인증 요청 메시지는 인증 벡터인 AUTN(authentication token)과 보안키 식별자(KSIASME)를 포함한다. 그리고 상기 단말(110)은 상기 사용자 인증 요청 메시지의 응답 메시지(user authentication response)를 전송한다. 그러면 새로운 MME(134)는 암호화 키(KNASenc) 과 무결성 키(KNASint)를 생성하며, NAS 보안 모드 명령(NAS Security mode command) 메시지를 UE로 전송한다. 이때 상기 NAS 보안 모드 명령에 포함되는 정보는 보안키 식별자(key set index), 단말에 의해 지원되는 보안 알고리즘에 대한 정보인 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm)과 사용될 무결성 알고리즘(integrity algorithm) 등이 있다. 그러면 상기 UE(110)는 상기 보안키 식별자(KSI)에 의해 색인되는 키 KASME에 기초하여 암호화 키(KNASenc)와 무결성 키(KNASint)를 생성하며, 이로인해 상기 새로운 게 됨으로써 MME(134)와 단말(110)은 같은 키 값을 소유하게 된다. 이후 UE(110)는 MME(134)에 보안 모드 완성(Security mode complete) 메시지를 보내게 됨으로써 NAS 보안 모드 과정(security mode command) 과정을 마치며, 이후 UE(110)는 MME(134)에 새로운 보안 키, 즉 새로운 암호화 키(KNASenc) 또는 무결성 키(KNASint)에 의해 보호되는 TAU request 메시지를 전송한다..
세번째로 상기 도 2를 참조하여 경우 3(case 3)은 상기 경우 1(case 1)에서 TAU 요청 메시지의 보안 검증에 실패한 경우가 될 수 있다. 즉, 상기 151단계 - 153단계 및 161단계를 수행한 후, 상기 타겟 MME(134)가 163단계에서 이전 보안 키를 사용하여 TAU 요청 메시지를 분석하는 과정에서 보안 검증에 실패한 경우, 상기 타겟 MME(134)와 단말(110)은 상기 경우 2(case 2)에서 수행되는 방법과 동일하게 상기 171단계 - 181단계를 수행하면서 새로운 보안 키를 생성한 후 이를 공유하는 NAS 보안 모드 과정(NAS security mode)을 수행한다. 이후 상기 단말(110)은 191단계에서 타겟 MME(134)에 새로운 보안 키, 즉 새로운 암호화 키(KNASenc) 또는 무결성 키(KNASint)에 의해 보호(security protected by new key)되는 TAU request 메시 지를 전송하며, 타겟 MME(134)는 수신되는 TAU 요청 메시지를 새로운 키에 의해 분석한다(interprets TAU request using new key).
상기한 바와 같이 상기 도 2에서 경우 3(case 3)의 경우, 트래킹 에어리어 갱신(tracking area update : TAU request) 메시지를 이전의 보안키로 해석한 결과 보안 검증에 실패한 경우, 상기 new MME(134)와 단말(110)은 새로운 보안 키를 생성하여 이를 공유하고, 이후 TAU 요청 메시지를 새로운 보안 키에 의해 처리한다.
도 3은 본 발명의 바람직한 실시예에 따른 이동 통신 시스템 환경에서의 위치 관리 환경을 도시하는 도면이다. 본 발명의 실시예에서는 상기 이동통신 시스템이 3GPP EPS인 경우를 가정하여 설명하기로 한다.
상기 도 3을 참조하면, 이동통신 시스템의 구성 엔티티 및 구성 환경은 상기 도 1과 유사한 구조를 가진다. 단 도 3에서는 위치 관리 기능에 주안점을 두어서 설명하기로 한다. 즉, 도 3과 같은 상황은 도 1에서와 같이 UE(110)이 액티브 모드(active mode)로서 활성화되어 있는 상태가 아니고, UE(110)가 파워 소모를 위하여 아이들 모드(idle mode)로 동작하는 경우이거나, 혹은 액티브 모드에서 핸드오버한 이후에 UE의 위치(location)가 트랙킹 에어리어(tracking area : 이하 TA) TA 1(241)에서 TA 2(243)로 변경된 경우이다. 이러한 경우 단말의 위치 관리가 필요하다. 트랙킹 에어리어 TA는 단말의 위치를 셀 단위처럼 정밀하지는 않으나, 대략적인 위치를 관리하기 위해 사용하는 개념이다.
도 4는 상기 도 3과 같은 본 발명의 실시예에 따른 이동 통신 시스템 환경에 서 MME 의 동작을 위치 관리 상황에서 동작하는 방법을 보여주는 도면(procedure)이다. 위치 관리 상황에서 새로운 MME(234)는 3가지의 동작이 가능하며, 그 3가지 경우는 다음과 같다.
먼저 위치 관리 상황의 경우 2(case 2)는 도 4의251단계 259단계를 수행하면서 새로운 MME(234 : new MME)가 이전의 MME(old MME)로부터 받은 보안 관련 정보를 활용하는 경우 이다. 두번째로 위치 관리 상황의 경우 1(case 1)은 251단계 - 257단계, 261단계 - 269단계, 271 및 281단계를 포함한다. 즉, 상기 경우 1(case 1)은 261단계 - 263단계의 인증 절차(authentication procedure)와 265단계 - 271단계의 보안 모드 명령(security mode command) 절차를 포함하여 새로운 보안 관련 정보를 활용하여 메시지를 해석하는 절차를 포함한다. 즉, 경우 1의 경우는 이전 MME(214)로부터 받은 보안 이전의 보안 관련 정보(old security context)를 가지고 메시지를 해석하려 하였으나 보안 검증 등에서 실패한 경우로써, 상기와 같이 보안 검증에 실패하면 new MME(234) 및 UE(210)은 261단계 - 271단계의 인증 및 보안 절차 수행하여 새로운 보안 정보를 생성 및 공유하며, 이후 새로운 보안정보를 이용하여 메시지를 전송 및 수신한 메시지를 해독하는 절차를 포함한다. 한편, 경우 3(case 3)은 251단계 - 257단계를 수행하여 메시지의 보안 검증이 실패한 경우로써, 경우 1(case 1)와는 달리 새로운 보안 인증 절차의 필요에 의해 261단계 - 271단계 수행중에 인증 절차 혹은 보안 절차가 실패하면, 251단계의 위치 등록 요청에 대해 291단계의 위치 등록 거절(reject) 메시지를 MME(234)로부터 단말(UE : 210)로 보내는 경우이다.
상기 단말의 위치 관리를 위한 단말과 MME 동작에 따른 3가지 경우(case 1, case 2, case 3)에 대한 그 구체적인 절차를 살펴보면 하기와 같다.먼저 상기 경우2(case 2)의 동작을 살펴보면, 단말 UE(210)은 251단계에서 TAU request 메시지를 이전 보안 키 값에 의해 보안화하여(security protected by old key) 새로운 MME(이하 new MME라 칭한다)(234)에 전송한다. 그러면 상기 new MME(234)는 이전 MME(이하 old MME라 칭한다)(214)로 단말의 정보를 알기 위하여 정보 요청(context reqeust) 메시지를 전달한다. 그러면 old MME(214)는 257단계에서 상기 정보 요청 메시지에 대한 정보 응답 메시지를 생성하여 new MME(234)에 전송한다. 이때 상기 정보 응답(context response) 메시지는 단말의 보안 정보인 기본 보안키 식별자(KSIASME)와 기본 보안키(KASME)를 포함한다. 여기서 상기 기본 보안키(KASME : Key access security management entity)는 NAS 메시지의 암호화에 쓰이는 암호화키(KNASenc)와 무결성 보호에 쓰이는 NAS 무결성 키(KNASint), 그리고 무선구간 AS(Access Stratum) 메시지의 보호에 쓰이는 이노드비 키(KeNB)를 생성하는데 사용된다.
이후 상기 new MME(234)는 257단계에서 old key를 이용하여 상기 251단계에서 UE(210)로부터 수신한 TAU 요청 메시지(TAU request message)를 해석한다.(interprets TAU request message using old key). 즉, 상기 UE(210)로부터 new MME(234)로 전송된 위치 등록 메시지인 트래킹 에어리어 갱신(Tracking Area Update Request : TAU request) 메시지가 이전 보안 키(즉, old key)에 의해 보안화 되어 전송되었다면, 상기 new MME(234)는 257단계에서 TAU request 메시지를 이 전 보안키(old key)를 가지고 해석하게 된다. 여기서 이전 보안키(old key)란 UE(210)와 이전 MME(214)와의 통신에서 사용하던 NAS 메시지 보안시 사용되는 NAS 암호화 키(KNASenc)와 NAS 무결성 키(KNASint)를 포함한다. 이후 new MME(234)는 259단계에서 위치 등록 응답 메시지인 트래킹 에어리어 갱신 응답(tracking area update accept: TAU accept) 메시지를 이전 키(old key)에 의해 보안화하여(TAU accept message using old key) 상기 UE(210)에 전송한다.
상기한 바와 같이 단말의 위치 관리를 위한 경우2(case 2)의 동작을 살펴보면, UE(210)이old key에 의해 보안화된 TAU request message를 발생하면, new MME(234)는 old MME(214)에 UE(110)의 정보를 알기 위하여 context request 메시지를 전송한다. 그러면 상기 old MME(214)는 단말의 보안 정보인 KSI asme 및 Kasme를 포함하는 context response 메시지를 생성하여 new MME(234)에 전송한다. 그러면 상기 new MME(234)는 상기 old MME(214)의 정보 응답에 따른 old key를 사용하여 상기 UE(110)의TAU request 메시지를 해석하며, 그 결과의 TAU accept 메시지를 old key를 사용하여 보안화하여 UE(110)에 전송한다. 즉, new MME(234)는 old key에 의해 보안화된 TAU request 메시지를 수신하면 old MME(214)에 UE(210)의 old key 정보를 요청하고, 상기old MME(214)의 정보 응답에 따라 상기 수신된 TAU request 메시지를 해석하여 위치를 등록하고 그 결과의 TAU accept 메시지를 old key로 보안화하여 UE(210)에 전송한다.
두번째로 UE(110)의 위치관리의 경우1(case 1)의 동작을 살펴보면, 상기 경 우 1의 동작에서 251단계 - 257단계까지의 동작은 상기 경우2(case 2)의 동작과 동일한 방법으로 진행된다. 이때 상기 257단계에서 old key를 사용하여 TAU request 메시지의 해석을 실패하면, 상기 new MME(234)는 261단계에서 사용자 인증 요청(user authentication request) 메시지를 UE(210)에 전송한다. 이때 상기 사용자 인증 요청 메시지에는 인증 벡터인AUTN(authentication token)과 보안키 식별자(KSIASME)가 포함된다. 그러면 상기UE(210)은 263단계에서 상기 사용자 인증 요청 메시지에 따른 사용자 인증 응답(user authentication response) 메시지를 생성하여 new MME(234)에 전송한다.
그러면 상기 new MME(234)는 265단계에서 새로은 보안정보인 암호화 키(KNASenc)과 무결성 키(KNASint)를 생성한다. 이후 상기 new MME(234)는 267단계에서 NAS 보안 모드 명령(NAS Security mode command) 메시지를 UE(210)에 전송한다. 이때 NAS Security mode command message에 포함되는 정보로는 보안키 식별자(key set index), 단말에 의해 지원되는 보안 알고리즘에 대한 정보인 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm)과 사용될 무결성 알고리즘(integrity algorithm) 등이 있다. 그러면 상기 UE(210)는 269단계에서 보안키 식별자(KSI)에 의해 색인 되는 기본 보안키 KASME에 기초하여 암호화 키(KNASenc)과 무결성 키(KNASint)를 생성한다(generate KNASenc and KNASint based on KASME indexed by KSI). 따라서 상기 269단계를 수행하게 되면, 상기 new MME(234)와 UE(210)는 같은 보안 키 값을 소유하게 된다. 이후 상기 UE(210)는 271단계에서 MME로 보안 모드 완성(Security mode complete) 메시지를 전송하여 NAS 보안 모드 과정(security mode command) 과정을 마치게 된다. 그러면 new MME(234)는 281단계에서 UE(210)에 새로운 보안 키, 즉 새로운 암호화 키(KNASenc) 또는 무결성 키(KNASint)에 의해 보호되는 위치 등록 응답 메시지인 TAU accept 메시지를 전송한다.
상기한 바와 같이 상기new MME(234)가 old key에 의해 보안화된 TAU request message의 해석에 실패하거나 또는 old key를 획득할 수 없는 경우, 상기new MME(234)는 새로운 보안 키(KNASenc and KNASint)를 생성하며, UE(210)에 NAS Security mode command message를 전송하여 UE(210)도 새로운 보안키(KNASenc and KNASint)를 생성하도록 한다. 따라서 상기 NAS Security mode를 수행하면 상기 new MME(234) 및 UE(210)은 같은 보안키를 공유하게 된다.
세번째로 UE(210)의 위치 관리의 경우 3(case 3)의 동작을 살펴보면, 상기 경우 3은 251단계- 257단계, 261단계 - 271단계의 과정을 수행하며, 이는 251단계 - 257단계를 수행한 후 257단계에서 트래킹 에어리어 갱신(tracking area update : TAU request) 메시지를 이전의 보안키로 해석한 결과 보안 검증에 실패한 경우, 261단계 - 217단계를 수행하는 경우이다. 여기서 상기 case 3은 상기 case 2의 경우와는 달리 261단계 - 263단계에서 인증 절차가 실패하거나 혹은 상기 261단계 - 263단계의 인증과정은 성공하였으나 267단계 -271단계에서 271단계를 수행하는 SMC(security mode command) 과정 중에 실패가 있는 경우, UE(210)와 new MME(234)가 다른 보안키를 소유하게 된다. 이런 경우, new MME(234)는 291단계에서 UE(210)에 위치 등록 갱신 거절(Tracking area update reject) 메시지를 전송한다.
상기한 바와 같이 위치 관리 동작에서 경우 3은 old key에 의해 TAU 요청 메시지를 해석할 수 없는 상태에서 new MME와 UE 간의 사용자 인증에 실패하거나 NAS 보안 모드의 실패가 발생되는 경우, new MME와 UE는 서로 다른 보안 키를 가지는 상태가 되며, 이런 경우new MME는 UE에 TAU reject message를 전송한다.
도 5는 본 발명의 실시예에 따른 이동 통신 시스템 환경에서 단말의 등록 환경을 도시하는 도면이다.
상기 도 5를 참조하면, UE(310)는 처음 네트웍에 접속하는 경우에 등록 과정(attach)을 수행할 수 있다. 한편 UE(310)은 더 이상 EPS 네트웍에 접속하지 않을 경우 등록 해지(detach)를 수행할 수 있으며, 혹은 UE(310)가 MME(314)와 오래 동안 통신이 없거나, 혹은 네트웍 운영자(operator)에 의해서 등록 해지(detach)된 경우에도 UE(110)는 등록 과정을 수행할 수 있다.
도 6은 도 5와 같은 구성을 가지는 이동통신 시스템에서 단말의 등록 및 해제 절차를 도시하는 흐름도이다.
상기 도 5 및 도 6을 참조하면, 단말 등록 상황에서 새로운 MME(new MME : 334)는 3가지의 동작이 가능하며 그 3 가지 경우(case1 - case 3)를 보면 다음과 같다.
먼저 경우2(case 2)는 351단계, 361단계 - 365단계, 371단계를 수행할 수 있으며, 새로운 MME(334 : new MME)가 이전의 MME(old MME :314)로부터 받은 보안 관련 정보를 활용하는 경우이다. 두번째로 경우 1(case 1)은 351단계, 361단계 - 365단계, 381단계 - 391단계, 395단계를 수행할 수 있으며, 381단계 - 383단계의 인증 절차(authentication procedure)와 385단계 - 391단계까지의 보안 모드 명령(security mode command) 절차를 포함하여 새로운 보안 관련 정보를 활용하여 메시지를 해석하는 절차를 포함한다. 상기 경우 1(case 1)은 이전 MME(314)로부터 받은 보안 이전의 보안 관련 정보(old security context)를 가지고 메시지를 해석하려 하였으나 보안 검증 등에서 실패한 경우로써, 381단계 - 391단계까지의 인증 및 보안 절차 수행하여 얻은 새로운 보안 정보를 가지고 메시지를 보내고 이후 수신한 메시지를 해독하는 절차를 포함한다. 세 번째로 경우 3(case 3)은 351단계, 361단계 - 365단계 수행 후에 메시지의 보안 검증이 실패한 경우로서, 상기 경우 1(case 1)과는 달리 새로운 보안 인증 절차의 필요에 의해 381단계 - 391단계를 수행하는 중에 인증 절차 혹은 보안 절차에 실패가 발생되어 MME가 UE의등록(attach, 또는 해지 detach)) 요청에 대해 등록 거절(attach reject) 메시지를 단말(UE : 310)로 보내는 경우이다.
상기 3가지 경우들에 대한 그 구체적인 절차를 살펴보면 하기와 같다.
먼저 경우2(case 2)의 동작 절차를 살펴보면, 단말 UE(310)가 351단계에서 이전 보안 키(old key)에 의해 보안화된 등록 요청(Attach request) 메시지를 new MME(334)에 전송된다. 그러면 상기 new MME(334)는 361단계에서 단말의 정보를 알 기 위하여 old MME(314)에 식별 요청(identification reqeust) 메시지를 전달한다. old MME(314)는 713단계에서 new MME(334)에 식별 응답(identification response) 메시지를 전송한다. 이때 상기 식별 응답 메시지에는 단말의 보안 정보인 기본 보안키 식별자(KSIASME)와 기본 보안키(KASME)가 포함될 수 있다.ㅣ 여기서 기본 보안키(KASME : Key access security management entity)는 NAS 메시지의 암호화에 쓰이는 암호화키(KNASenc)와 무결성 보호에 쓰이는 NAS 무결성 키(KNASint), 그리고 무선구간 AS(Access Stratum) 메시지의 보호에 쓰이는 이노드비 키(KeNB)를 생성하는데 사용된다. 그러면 상기 new MME(334)는 365단계에서 상기 UE(310)가 351단계에서 전송한 attach request 메시지를 old key를 가지고 해석(interprets attach request message using old key)하게 된다. 여기서 이전 보안키(old key)란 UE(310)와 이전 MME(314)와의 통신에서 사용하던 NAS 메시지 보안시 사용되는 NAS 암호화 키(KNASenc)와 NAS 무결성 키(KNASint)를 포함한다. old key를 상기 attach request message를 해석한 후, 상기 new MME(334)는 371단계에서 UE(310)에 접속 등록 응답 메시지인 등록 응답(attach accept) 메시지를 전송하며, 이때 상기 등록응답 메시지는 old key에 의해 보안화된다.
두번째로 경우 1(case 1)의 동작을 살펴보면, 상기 경우 1의 상기 351단계, 361단계 - 365단계의 동작은 상기 경우 2의 동작과 동일하게 수행된다. 그러나 상기 365단계에서 old key에 의해 보안화된 attach request message의 해석에 실패한 경우, 상기 new MME(334)는 381단계에서 사용자 인증 요청(user authentication request) 메시지를 UE(310)에 전송한다. 이때 상기 사용자 인증 요청 메시지는 인증 벡터인AUTN(authentication token)과 보안키 식별자(KSIASME)를 포함한다. 그러면 UE(310)은 383단계에서 상기 사용자 인증 요청에 사용자 인증 응답(user authentication response) 메시지를 new MME(334)에 전송한다.
상기와 같이 사용자 인증 요청 및 이에 따른 응답에 의해 사용자 인증이 이루어지면, 상기 new MME(334)는 385단계에서 암호화 키(KNASenc)와 무결성 키(KNASint)를 생성한다. 그리고 상기 new MME(334)는 387단계에서 NAS 보안 모드 명령(NAS Security mode command) 메시지를 UE(310)에 전송한다. 이때 NAS Security mode command message에 포함되는 정보는 보안키 식별자(key set index), 단말에 의해 지원되는 보안 알고리즘에 대한 정보인 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm)과 사용될 무결성 알고리즘(integrity algorithm) 등이 있다. 그러면 상기 UE(310)는 389단계에서 보안키 식별자(KSI)에 의해 색인되는 기본 보안키 KASME에 기초하여 암호화 키(KNASenc)와 무결성 키(KNASint)를 생성하며, 상기 389단계를 수행하면 상기 UE(310)와 new MME(334)는 같은 키 값을 소유하게 된다. 이후 UE(310)는 391단계에서 new MME(334)에 보안 모드 완성(Security mode complete) 메시지를 전송하여, NAS 보안 모드 과정(security mode command) 과정을 마치게 된다. 그리고 new MME(334)는 395단계에서 새로운 보안 키, 즉 새로운 암호화 키(KNASenc) 또는 무결성 키(KNASint)에 의해 보호되는 접속 등록 응답 메시지인 Attach accept 메시지를 UE(310)에 전송한다.
세 번째로 경우 3(case 3)의 동작을 살펴보면, 상기 경우 3은 351단계, 361단계 - 365단계, 381단계 - 391단계를 수행하는 경우로써, 351단계, 361단계 - 365단계를 수행하는 중에 365단계에서 new MME(334)가 접속 등록 요청(attach request) 메시지를 이전의 보안키로 해석한 결과 보안 검증에 실패한 경우, 371단계 - 391단계를 수행하는 경우이다. 즉, 상기 case 3은 상기 case 2 의 경우와는 달리 381단계 - 383단계를 수행하는 중에 인증 절차가 실패하거나, 혹은 상기 381단계- 383단계의 인증과정은 성공하였으나 367단계 - 391단계에서 수행하는 SMC(security mode command) 과정 중에 실패가 있는 경우 UE(310)와 new MME(334)는 다른 보안 키를 소유하게 된다. 그러면 상기 new MME(334)는 399단계에서 접속 등록 거절(attach reject) 메시지를 상기 UE(310)에 전송한다.
상기와 같이 상태변경 메시지(여기서는 handover, TAU, attach(detach) request message 수신시 상기 new MME는 먼저 old MME로부터 old key를 수신하여 해당 request message를 해석하는 방법으로 설명되고 있다. 그러나 상기 new MME는 상기 old key로 해석하는 절차를 생략하고 바로 new key를 생성하여 처리할 수도 있다. 즉, 상기 상태변경 메시지(여기서는 handover, TAU, attach(detach) request message 수신시, 상기 new MME는 상기 old key에 의한 단말의 request message 해 석절차(도 2의 경우 151, 153, 163 단계, 도 4의 경우 253, 255, 257, 259단계, 도 6의 경우 361, 363, 365, 371단계)를 생략하고, new key를 생성하여 해당 request 메시지를 처리할 수도 있다.
도 7 - 도 9는 본 발명의 실시 예에 따른 이동통신 시스템에서 MME의 이동성 관리, 위치관리, 등록 관리를 수행하는 절차를 도시하는 흐름도이다. 그리고 도 10은 본 발명의 실시 예에 따른 이동통신 시스템에서 단말의 이동성 관리, 위치관리, 등록 관리를 수행하는 절차를 도시하는 흐름도이다. 도 7 - 도 9 및 도 10은 UE가 메시지를 전송하고 MME가 UE로부터 전송된 메시지를 해석하여 동작하는 과정을 주로하여 설명하고 있지만, 그 동작 특성이 크게 다르지 않는 한 반대 방향의 경우에도 적용하는 것이 가능할 것이다. 또한 상기 도 7 - 도 9 및 도 10과 같은 MME 및 UE의 동작을 위한 전송되어야 할 컨텍스트(context) 이외의 메시지의 형태는 생략하기로 한다.
상기 도 7 - 도 9를 참조하면, 단말 및 MME 사이에는 상기와 같은 관리를 지원하기 위하여 NAS 프로토콜을 사용하고 있다. 이러한 NAS 프로토콜은 보안화된 NAS 프로토콜, 보안화 되지 않는 NAS 프로토콜이 있고, EPS NAS 프로토콜을 지원하기 위하여 EPS 이동성 관리 Evolved Mobility Management(이하 EMM 으로 표기) NAS 메시지, EPS 세션 관리 Evolved Session Management(이하 ESM 으로 표기) NAS 메시지가 있다. UE로부터 요청 메시지(handover request, TAU request 또는attach(detach) request)가 발생되면, MME는 401단계에서 요청의 종류를 분석하여 핸드오버, 위치 관리, 등록 요청에 따라 다르게 동작 한다.
먼저 상기 401단계에서 핸드오버 요청으로 판단되면, 핸드오버의 경우 상기 MME는 411 단계로 진행하여 핸드오버 관련 과정을 수행한다. 본 발명에서의 실시예는 상기 도 1과 같은 상황에서 UE(110)가 MME(114)가 관리하는 NW 1(141)에서 MME(134)가 관리하는 NW2(143)로 이동한 경우를 가정한다. 이때 상기 핸드오버의 Serving Gateway까지 변경이 되는 경우도 있을 수 있으나, Serving Gateway는 변경되지 않고, MME만 변경되는 경우도 있을 수 있다.
핸드오버인 경우, serving MME(old MME : 여기서는 114)는 411단계에서 FORWARD RELOCATION REQUEST/ RESPONSE 등의 메시지를 통하여 Serving MME가 가지고 있는 UE에 대한 정보를 target MME로 전송한다. 이때 전송되는 중요한 정보로는 보안 관련 파라미터, 즉 KSI(key set identifier), 인증 파라미터(authentication parameter 혹은 인증 벡터authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key 등이 될 수 있다. 그러면 상기 타겟 MME는 413단계에서 UE와 새로운 사용자 인증 및/또는 보안모드 명령 과정을 수행하여야하는가 검사한다. 이때 상기 타켓 MME가 UE에게 새로이 인증(authentication) 과정이나 보안 모드 명령(security mode command: SMC)을 수행을 하도록 한다면 인증(authentication) 과정이나 보안 모드 명령(security mode command)를 통해서 새로운 보안 관련 파라미터 즉 KSI(key set identifier), 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하 는 보안 Key를 가지게 된다.
따라서 상기 413 단계에서 인증이나 SMC 과정, NAS SMC 과정을 수행하는 경우, 상기 타겟 MME는 415 단계에서 UE로부터 새로운 NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key를 가지고 보안화된 TRACKING AREA UPDATE REQUEST(이후 TAU REQUEST로 표기) NAS 메시지를 수신한다. 그리고 상기 TAU request NAS message를 수신하면 417 단계에서 MME는 새로운 보안 관련 파라미터 즉 KSI(key set identifier), 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key를 가지고 TAU REQUEST를 해독하게 된다.
한편 413 단계에서 인증 과정이나 SMC 과정, NAS SMC 과정을 거치지 않는 경우, 상기 MME는 419 단계에서 UE로부터 이전에 MME와 UE가 이용하던 보안 파라미터 즉 이전의 보안 관련 파라미터, 즉 OLD KSI(key set identifier), OLD 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), OLD NAS KSI(key set identifier), OLD NAS 암호화 키 KNASenc 또는 OLD 무결성 키 KNASint 등을 포함하는 OLD 보안 Key 등을 가지고 UE가 생성한 TAU REQUEST 메시지를 수신한다. 이후 MME는 421 단계에서 MME 자신이 이전에 MME와 UE가 이용하던 이전의 보안 파라미터, 즉 OLD KSI(key set identifier) , OLD 인증 파라미터(authentication parameter 혹은 인증 벡터(authentication vector), OLD NAS KSI(key set identifier), OLD NAS 암호화 키 KNASenc 또는 OLD 무결성 키 KNASint 등을 포함하는 OLD 보안 Key 등을 가지고 TAU REQUEST 메시지를 해독한다..
또한 상기 401단계에서 위치 관리 즉 TRACKING AREA UPDATE(이하 TAU 로 표기) 요청인 경우, 타켓 MME는 431단계에서 UE로부터 보안화된 TRACKING AREA UPDATE REQUEST(이하 TAU REQUEST로 표기)를 수신한다. 이때 상기 수신되는 TAU REQUEST는 이전의 Serving MME와 UE(110)가 사용하던 이전의 보안 관련 파라미터, 즉 OLD KSI(key set identifier), OLD 인증 파라미터(authentication parameter), 혹은 인증 벡터 authentication vector), OLD NAS KSI(key set identifier), OLD NAS 암호화 키 KNASenc 또는 OLD 무결성 키 KNASint 등을 포함하는 OLD 보안 Key 등을 가지고 생성되었다. 따라서 이러한 경우 new MME는 보안 관련 파라미터를old MME로부터 CONTEXT RESPONSE 메시지를 통해서 받게 된다. 이때 new MME가 old MME로부터 보안 파라미터를 받아오기 위해서는 old MME와 해당되는 단말을 알아야 한다. 즉, 431 단계에서new MME가 TAU REQUEST를 받았을 때 old MME와 해당되는 단말을 알아내기 위하여, 최종 방문 등록(Last visited registered) 트랙킹 에어리어 식별자(tracking area identity : TAI)와 단말의 식별자인 이전 임시 단말 식별자(GUTI: : globally unique temporary identifier), 즉 OLD GUTI를 알아야 하며, 최소한 이러한 정보는 무결성 보호는 되더라도, 암호화되지는 않아야 new MME가 old MME 로 보안 파라미터 정보를 요청하는 것이 가능해진다. 따라서 타켓 MME(new MME)는 433단계에서old MME로부터 보안 파라미터를 수신하면(new MME receive NAS KSI, key, authentication parameter, KSI from old MME through context response message), 435 단계에서 이전 보안 파라미터를 이용하여 TAU REQUEST 메시지를 판독한다(new MME ingterprets TAU request with old MME's NAS key, authentication parameters, KSI).
이후 new MME는 437 단계에서 인증 과정을 수행 할지 여부를 결정한다.(new MME decide do authentication or not(if integrity check failed , THEN do authentication) 특히 상기 435 단계에서 보안 검증이 실패한 경우는 new MME는 439 단계의 인증 과정을 수행하여야 한다. 439 단계의 인증 과정이나, NAS SMC, SMC 과정을 수행하는 경우, 상기 new MME는 441 단계에서 새로운 보안 파라미터를 이용하여 TAU ACCEPT 메시지를 UE로 전송하게 된다. 그러나 439 단계에서 인증 과정이나, NAS SMC, 혹은 SMC 과정을 수행하지 않는 경우, 상기 new MME는 443 단계에서 이전 보안 파라미터를 이용하여 보안화된 TAU ACCEPT 메시지를 UE로 전송한다.
한편 상기 401단계에서 등록(attach) 요청인 경우,new MME는 461단계에서 상기 UE로부터 보안화된 ATTACH REQUEST NAS 메시지를 수신한다. 이때 상기 수신되는 ATTACH REQUEST는 old MME와 UE가 사용하던 이전의 보안 관련 파라미터, 즉 OLD KSI(key set identifier), OLD 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), OLD NAS KSI(key set identifier), OLD NAS 암호화 키 KNASenc 또는 OLD 무결성 키 KNASint 등을 포함하는 OLD 보안 Key 등을 이용하여 생 성되었다. 따라서 이러한 경우 new MME는 463단계에서 자신이 해당 UE(110)를 위한 보안 파라미터를 가지고 있는지를 판단하며, 가지고 있는 경우 new MME는 469 단계에서 가지고 있는 보안 파라미터를 가지고 ATTACH REQUEST를 판독한다. 이처럼 463 단계에서 469 단계로 진행하는 경우는 UE가 기존에 new MME에 등록하였으나 어떠한 이유로 해지(DETACH) 되었었으며, 상기 UE 및 MME가 보안 관련 파라미터를 가지고 있는 경우이다. 한편 463 단계에서 new MME가 UE 관련 보안 정보를 가지고 있지 않다면, 상기 new MME는 465 단계에서 old MME로부터 보안 관련 파라미터를 가져올 수 있는지 여부를 판단한다. 이때 상기 old MME로부터 보안 파라미터를 가져올 수 없으면, new MME는 479 단계에서 메시지 판독에 실패하고 에러 메시지를 UE로 전송한다. 이는 UE가 이후 단계에서 보안화 되지 않은 메시지를 전송하거나 보안화 된 메시지를 재 전송 하도록 하기 위함이다.
한편 467 단계에서 new MME가 보안 관련 파라미터를 old MME로부터 IDENTIFICATION REQPONSE 메시지를 통해서 받게 되면, new MME는 469 단계에서old MME에서 전송되는 보안 파라미터 정보를 이용하여 ATTACH REQUEST 메시지를 판독한다. 이때 상기 new MME가 469 단계에서 old MME로부터 보안 파라미터를 받아오기 위해서는 상기 461 단계에서 new MME가 ATTACH REQUEST를 받았을 때 old MME와 해당되는 단말을 알아야 한다. 이런 정보는 최종 방문 등록(Last visited registered) 트랙킹 에어리어 식별자(TAI)와 단말의 식별자인 이전 임시 단말 식별자(GUTI), 즉 OLD GUTI를 알아야하며, 최소한 이러한 정보는 무결성 보호는 되더라도, 암호화되지는 않아야 new MME가 old MME로 보안 파라미터 정보를 요청하는 것 이 가능해진다.
이후 new MME는 471 단계에서 473 단계와 같은 인증 과정을 수행 할지 여부를 결정하게 되고, 특히 469 단계에서 보안 검증이 실패한 경우는 new MME는 473 단계의 인증 과정을 수행하여야 한다. 상기 479단계의 인증 과정이나 NAS SMC 과정, 혹은 SMC 과정을 수행하는 경우, 상기 new MME는 475 단계에서새로운 보안 파라미터를 이용하여 NAS 메시지를 송수신 하게 된다. 그리고 473 단계에서 인증 과정이나, NAS SMC, 혹은 SMC 과정을 수행하지 않는 경우, new MME는 477 단계에서 이전 보안 파라미터(OLD)를 이용하여 보안화된 NAS 메시지 송수신이 가능하다.
도 10은 본 발명의 실시 예에 따른 단말의 이동성 관리, 위치관리, 등록 관리를 지원하기 위한 절차를 나타낸 흐름도 이다. 이러한 지원 절차는 NA 메시지를 생성하고 송수신, 검증 하는 과정에 주안점을 두어 설명하기로 한다.
상기 도 10을 참조하면, 단말은 501 단계에서 단말이 사용 가능한 KSI(key setidentifier), 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key를 가지고 있는지 여부를 판단한다. 여기서 KSI는 단말과 MME 간에 인증 과정에서 사용하는 키들에 대한 식별자 역할을 하는 것이고, 인증 파라미터 혹은 인증 벡터는 인증하는데 필요한 인증 파라미터 혹은 벡터 값들을 의미한다. 그리고, NAS KSI는 NAS 메시지를 보안화 하기-위해 사용되는 키들을 구별하기 위한 식별자이고, Key는 보안 관련 키로서 UE, MME가 가진 키 뿐아니라 UE, MME가 NAS 메시지로 통신하는데 필요한 NAS 보안 관련 키, 즉 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint가 될 수 있다. 여기서, KSI는 NAS KSI와 같다. 이러한 KSI는 KSIASME 나 핸드 오버 상황에서 사용되는 KSISGSN 값을 가리킬 수 있다. 즉, KSIASME 기본 보안키 식별자의 경우 기본 보안키인 KASME 를 식별하는데 쓰이며, 기본 보안키인 KASME 로부터 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint가 생성되므로 KSI와 NAS KSI는 같다. 한편 KSI 가 KSIASME가 아닌 GERAN/ UTRAN에서 3GPP LTE 망인 E-UTRAN으로의 핸드 오버 상황에서 사용되는 KSISGSN의 경우 암호화 키(CK : cipher key), 인증키(IK : integrity key)로부터 생성된 K'ASME와 관련된 값으로 즉 새로운 인증 절차의 수행이나 혹은 EPS 보안 컨텍스트(EPS SECURITY CONTEXT)로부터 매핑(mapping)에 의해 생성된 키인 K'ASME와 관련된 값이다. 따라서 상기 501 단계에서 이러한 보안 관련 값들이 없다면, 특히 NAS KSI나 NAS 관련 보안 key 즉 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint가 없다면, 상기 단말은 513단계에서 보안화 되지 않은 NAS 메시지를 만들어 전송한다. 한편 NAS KSI나 NAS 관련 보안 key가 있다면, 상기 단말은 503 단계에서 보안화된 메시지의 전송 여부를 결정하며, 보안화 메시지를 보내기 원하지 않는 경우 상기 단말은 상기 513 단계로 진행한다.
그러나 상기 503 단계에서 보안화 된 메시지를 보내기를 원하는 경우, 상기 UE는 505 단계에서 단말이 자신이 가진 KSI(key set identifier), 인증 파라미 터(authentication parameter 혹은 인증 벡터authentication vector), NAS KSI(key set identifier), 보안 Key 등을 이용하여 NAS 메시지를 생성하고 생성된 메시지를 전송한다. 이후 상기 UE는 507 단계에서MME로부터 새로운 보안 관련 파라미터를 수신한다. 여기서 상기 보안관련 파라미터는 KSI(key set identifier), 인증 파라미터(authentication parameter) 혹은 인증 벡터 authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key등이 될 수 있다. 그리고 상기와 같은 보안관련 파라미터는 상기 MME로부터 인증 과정이나 보안 모드 명령(security mode command) 등을 통해서 받을 수 있다. 상기 507단계 수행 후, 상기 단말은 509단계에서 수신되는 새로운 보안 관련 파라미터, 즉 KSI(key set identifier), 인증 파라미터(authentication parameter 혹은 인증 벡터 authentication vector), NAS KSI(key set identifier), NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등을 포함하는 보안 Key 등을 검증하는 과정을 수행한다. 그리고 상기 검증 과정 수행 후, 상기 단말은 511 단계에서 새로운 보안 관련 파라미터를 가지고 메시지를 생성하여 전송하게 된다.
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1 및 도 2는 본 발명의 실시예에 따라 이동통신 시스템에서의 핸드오버를 수행하는 구성 및 동작을 설명하기 위한 도면
도 3 및 도 4는 본 발명의 실시예에 따라 이동통신 시스템에서의 위치관리를 수행하는 구성 및 동작을 설명하기 위한 도면
도 5 및 도 6은 본 발명의 실시예에 따라 이동통신 시스템에서의 단말의 등록 절차를 수행하는 구성 및 동작을 설명하기 위한 도면
도 7 - 도 9는 본 발명의 실시예에 따라 MME가 이동성관리, 위치관리, 등록 관리 등의 절차를 수행하는 과정을 도시하는 흐름도
도 10은 본 발명의 실시예에 따라 단말기가 이동성관리, 위치관리, 등록 관리 등의 절차를 수행하는 과정을 도시하는 흐름도

Claims (16)

  1. 이동통신 시스템에서 타겟 MME의 상태 정보 처리 방법에 있어서,
    단말로부터 이전 키에 의해 보안화된 상태 변경 요청 메시지를 수신하는 단계;
    서빙 MME로부터 상기 단말의 이전 키 정보를 수신하는 단계;
    상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 있는 경우, 상기 요청 메시지를 해석하고, 상기 단말로 응답 메시지를 전송하는 단계;
    상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 경우, 보안화된 뉴 키를 생성하여, 생성한 상기 뉴 키에 대한 정보를 포함하는 NAS 보안 모드 명령 메시지를 상기 단말로 전송하는 단계; 및
    상기 단말로부터, 상기 뉴 키에 대한 정보에 따라 생성된 뉴 키에 의해 보안된 NAS 모드 명령에 대한 응답을 수신하는 단계; 를 포함하는 방법.
  2. 제1항에 있어서,
    상기 생성한 상기 뉴 키에 대한 정보는 NAS 암호화 키 KNASenc 및 무결성 키 KNASint 등을 포함하고,
    상기 NAS 보안 모드 명령 메시지는 보안키 식별자(KSI), 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하는 것을 특징으로 하는 방법.
  3. 제1항에 있어서,
    상기 단말이 생성하는 뉴 키는,
    상기 NAS 보안모드 명령 메시지의 보안키 식별자(KSI)에 의해 색인되는 기본 보안키(KASME)에 기초하여 생성되는 암호화 키(KNASenc)와 무결성 키(KNASint)등을 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 NAS 보안 모드 명령 메시지를 상기 단말로 전송하는 단계는,
    상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 경우, 상기 단말로 인증 벡터(AUTN)와 보안키 식별자(KSIASME)를 포함하는 사용자 인증 요청 메시지를 전송하는 단계; 및
    상기 단말로부터 상기 사용자 인증 요청에 대한 응답을 수신하는 단계; 를 더 포함하는 것을 특징으로 하는 방법.
  5. 제1항에 있어서,
    상기 상태 변경 요청 메시지는 핸드오버 요청 메시지, TAU 요청 메시지 또는 등록(해제) 요청 메시지 중의 하나인 것을 특징으로 하는 방법.
  6. 이동통신 시스템에서 타겟 MME 에 있어서,
    단말로부터 이전 키에 의해 보안화된 상태 변경 요청 메시지를 수신하고, 서빙 MME로부터 상기 단말의 이전 키 정보를 수신하는 송수신부; 및
    상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 있는 경우, 상기 요청 메시지를 해석하고, 상기 단말로 응답 메시지를 전송하도록 제어하며, 상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 경우, 보안화된 뉴 키를 생성하여, 생성한 상기 뉴 키에 대한 정보를 포함하는 NAS 보안 모드 명령 메시지를 상기 단말로 전송하도록 제어하고, 상기 단말로부터, 상기 뉴 키에 대한 정보에 따라 생성된 뉴 키에 의해 보안된 NAS 모드 명령에 대한 응답을 수신하도록 제어하는 제어부; 를 포함하는 타겟 MME.
  7. 제6항에 있어서,
    상기 생성한 상기 뉴 키에 대한 정보는 NAS 암호화 키 KNASenc 및 무결성 키 KNASint 등을 포함하고,
    상기 NAS 보안 모드 명령 메시지는 보안키 식별자(KSI), 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하는 것을 특징으로 하는 타겟 MME.
  8. 제6항에 있어서,
    상기 단말이 생성하는 뉴 키는,
    상기 NAS 보안모드 명령 메시지의 보안키 식별자(KSI)에 의해 색인되는 기본 보안키(KASME)에 기초하여 생성되는 암호화 키(KNASenc)와 무결성 키(KNASint)등을 포함하는 것을 특징으로 하는 타겟 MME.
  9. 제6항에 있어서,
    상기 제어부는,
    상기 단말로부터 수신된 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 경우, 상기 단말로 인증 벡터(AUTN)와 보안키 식별자(KSIASME)를 포함하는 사용자 인증 요청 메시지를 전송하도록 제어하고, 상기 단말로부터 상기 사용자 인증 요청에 대한 응답을 수신하도록 제어하는 것을 특징으로 하는 타겟 MME.
  10. 제6항에 있어서,
    상기 상태 변경 요청 메시지는 핸드오버 요청 메시지, TAU 요청 메시지 또는 등록(해제) 요청 메시지 중의 하나인 것을 특징으로 하는 타겟 MME.
  11. 이동통신 시스템에서 단말의 상태 정보 처리 방법에 있어서,
    이전 키에 의해 보안화된 상태 변경 요청 메시지를 타겟 MME로 전송하는 단계;
    서빙 MME로부터 상기 단말의 이전 키 정보를 수신한 상기 타겟 MME가 상기 상태 변경 요청 메시지를 상기 이전 키 정보로 해석할 수 있는 것으로 판단하여, 상기 요청 메시지를 해석한 경우, 상기 타겟 MME로부터 응답 메시지를 수신하는 단계;
    상기 타겟 MME가 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 것으로 판단하여, 보안화된 뉴 키를 생성한 경우, 생성한 상기 뉴 키에 대한 정보를 포함하는 NAS 보안 모드 명령 메시지를 상기 타겟 MME로부터 수신하는 단계; 및
    상기 뉴 키에 대한 정보에 따라 생성된 뉴 키에 의해 보안된 NAS 모드 명령에 대한 응답을 상기 타겟 MME로 전송하는 단계; 를 포함하는 방법.
  12. 제11항에 있어서,
    상기 타겟 MME에 의해 생성된 상기 뉴 키에 대한 정보는 NAS 암호화 키 KNASenc 및 무결성 키 KNASint 등을 포함하고,
    상기 NAS 보안 모드 명령 메시지는 보안키 식별자(KSI), 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하는 것을 특징으로 하는 방법.
  13. 이동통신 시스템에서 단말에 있어서,
    이전 키에 의해 보안화된 상태 변경 요청 메시지를 타겟 MME로 전송하고, 서빙 MME로부터 상기 단말의 이전 키 정보를 수신한 상기 타겟 MME가 상기 상태 변경 요청 메시지를 상기 이전 키 정보로 해석할 수 있는 것으로 판단하여, 상기 요청 메시지를 해석한 경우, 상기 타겟 MME로부터 응답 메시지를 수신하며, 상기 타겟 MME가 상기 상태 변경 요청 메시지를 상기 서빙 MME로부터 수신된 상기 이전 키 정보로 해석할 수 없는 것으로 판단하여, 보안화된 뉴 키를 생성한 경우, 생성한 상기 뉴 키에 대한 정보를 포함하는 NAS 보안 모드 명령 메시지를 상기 타겟 MME로부터 수신하는 송수신부; 및
    상기 뉴 키에 대한 정보에 따라 생성된 뉴 키에 의해 보안된 NAS 모드 명령에 대한 응답을 상기 타겟 MME로 전송하도록 상기 송수신부를 제어하는 제어부; 를 포함하는 단말.
  14. 제13항에 있어서,
    상기 타겟 MME에 의해 생성된 상기 뉴 키에 대한 정보는 NAS 암호화 키 KNASenc 및 무결성 키 KNASint 등을 포함하고,
    상기 NAS 보안 모드 명령 메시지는 보안키 식별자(KSI), 단말 보안 능력(UE security capability), 사용될 암호화 알고리즘(ciphering algorithm), 사용될 무결성 알고리즘(integrity algorithm) 등을 포함하는 것을 특징으로 하는 단말.
  15. 삭제
  16. 삭제
KR1020090075379A 2008-08-15 2009-08-14 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 KR101579757B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20080080205 2008-08-15
KR1020080080205 2008-08-15

Publications (2)

Publication Number Publication Date
KR20100021385A KR20100021385A (ko) 2010-02-24
KR101579757B1 true KR101579757B1 (ko) 2015-12-24

Family

ID=41669507

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090075379A KR101579757B1 (ko) 2008-08-15 2009-08-14 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법

Country Status (6)

Country Link
US (1) US8638936B2 (ko)
EP (2) EP2315371A4 (ko)
JP (1) JP5390611B2 (ko)
KR (1) KR101579757B1 (ko)
CN (1) CN102187599B (ko)
WO (1) WO2010019020A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021060904A1 (ko) * 2019-09-25 2021-04-01 삼성전자 주식회사 무선 통신 시스템에서 통신을 수행하는 방법 및 장치
US11350282B2 (en) 2020-08-07 2022-05-31 Korea Internet & Security Agency Method and apparatus for detecting null-ciphering channels

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010146464A1 (en) 2009-06-16 2010-12-23 Research In Motion Limited Method for accessing a service unavailable through a network cell
EP3687220B1 (en) 2009-06-16 2021-10-27 BlackBerry Limited Method and apparatus for circuit switched fallback
WO2010146465A1 (en) 2009-06-16 2010-12-23 Research In Motion Limited Method for accessing a service unavailable through a network cell
DE102009029828B4 (de) * 2009-06-18 2011-09-01 Gigaset Communications Gmbh DEFAULT Verschlüsselung
EP2567499B1 (en) * 2010-05-04 2016-10-26 Qualcomm Incorporated Shared circuit switched security context
EP2578007B1 (en) * 2010-06-01 2020-04-15 Samsung Electronics Co., Ltd Securing group communication in a machine-to-machine communication environment
JP4892084B2 (ja) * 2010-06-16 2012-03-07 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法
KR101737425B1 (ko) 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
KR101712865B1 (ko) 2010-09-09 2017-03-08 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
US8929334B2 (en) 2010-11-16 2015-01-06 Qualcomm Incorporated Systems and methods for non-optimized handoff
US8743828B2 (en) 2010-11-16 2014-06-03 Qualcomm Incorporated Systems and methods for non-optimized handoff
CN102340754B (zh) * 2011-09-23 2014-07-23 电信科学技术研究院 数据发送和接收方法及设备
CN102572816B (zh) * 2011-12-27 2014-08-06 电信科学技术研究院 一种移动切换的方法及装置
KR102123210B1 (ko) * 2013-01-10 2020-06-15 닛본 덴끼 가부시끼가이샤 Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리
US11570161B2 (en) * 2013-07-31 2023-01-31 Nec Corporation Devices and method for MTC group key management
CN104581652B (zh) 2013-10-15 2018-12-07 华为技术有限公司 消息处理方法、选择mme的方法和装置
KR20220088957A (ko) * 2014-05-08 2022-06-28 인터디지탈 패튼 홀딩스, 인크 Ue를 전용 코어 네트워크 노드에 리디렉트하기 위한 방법들 및 이동성 관리 엔티티(mme)
KR102102858B1 (ko) * 2014-05-13 2020-04-23 주식회사 케이티 Lte망으로 천이시 인증 과정을 간소화한 시스템
MX359065B (es) 2014-05-30 2018-09-13 Nec Corp Aparato, sistema y metodo para red de nucleo dedicada.
CN105578456B (zh) * 2014-10-14 2019-01-25 成都鼎桥通信技术有限公司 Td-lte集群通信系统的端到端加密方法、设备及系统
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
US9585013B2 (en) * 2014-10-29 2017-02-28 Alcatel Lucent Generation of multiple shared keys by user equipment and base station using key expansion multiplier
WO2016129238A1 (en) 2015-02-13 2016-08-18 Nec Corporation Apparatus, system and method for security management
RU2017132104A (ru) * 2015-02-16 2019-03-18 Нек Корпорейшн Система связи, устройство узла, терминал связи, способ управления ключами и энергонезависимый читаемый компьютером носитель, на котором хранится программа
US9686675B2 (en) * 2015-03-30 2017-06-20 Netscout Systems Texas, Llc Systems, methods and devices for deriving subscriber and device identifiers in a communication network
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
WO2018002447A1 (en) * 2016-07-01 2018-01-04 Nokia Technologies Oy Secure communications
US20170013651A1 (en) * 2016-09-22 2017-01-12 Mediatek Singapore Pte. Ltd. NAS Security And Handling Of Multiple Initial NAS Messages
WO2018079691A1 (ja) * 2016-10-26 2018-05-03 日本電気株式会社 通信システム、セキュリティ装置、通信端末、及び通信方法
WO2018139910A1 (en) 2017-01-27 2018-08-02 Samsung Electronics Co., Ltd. Method for providing end-to-end security over signaling plane in mission critical data communication system
ES2886881T3 (es) 2017-01-30 2021-12-21 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo inactivo
CN108924841B (zh) * 2017-03-20 2021-11-19 中国移动通信有限公司研究院 安全保护方法、装置、移动终端、基站和mme设备
CN109587685B (zh) * 2017-05-04 2019-11-19 华为技术有限公司 获取密钥的方法、设备和通信系统
EP3691317A4 (en) * 2017-09-27 2021-06-02 Nec Corporation COMMUNICATION TERMINAL, CENTRAL NETWORK DEVICE, CENTRAL NETWORK NODE, NETWORK NODE AND KEY BYPASS PROCESS
CN109586913B (zh) * 2017-09-28 2022-04-01 中国移动通信有限公司研究院 安全认证方法、安全认证装置、通信设备及存储介质
CN109803333B (zh) 2017-11-17 2022-04-19 中兴通讯股份有限公司 偶联重定向方法及装置
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
CN110099382B (zh) 2018-01-30 2020-12-18 华为技术有限公司 一种消息保护方法及装置
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
KR102425582B1 (ko) * 2018-05-11 2022-07-26 삼성전자주식회사 무선통신 시스템에서 정보 보호 방법 및 장치
KR102449988B1 (ko) 2018-06-29 2022-10-05 삼성전자주식회사 무선 통신 시스템에서 통신 방법 및 장치
JP2022502908A (ja) 2018-09-24 2022-01-11 ノキア テクノロジーズ オサケユイチア Nasメッセージのセキュリティ保護のためのシステム及び方法
CN113170369A (zh) * 2018-10-04 2021-07-23 诺基亚技术有限公司 用于在系统间改变期间的安全上下文处理的方法和装置
CN110933669A (zh) * 2019-11-21 2020-03-27 北京长焜科技有限公司 一种跨rat用户的快速注册的方法
EP4064748A4 (en) * 2019-12-13 2022-11-16 Huawei Technologies Co., Ltd. COMMUNICATION METHOD, DEVICE AND SYSTEM
EP4133767A1 (en) * 2020-04-07 2023-02-15 Apple Inc. Tracking area identifier (tai) change during authentication request processing

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070249352A1 (en) 2006-03-31 2007-10-25 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990004237A (ko) 1997-06-27 1999-01-15 김영환 비동기 전송 모드망에서의 데이터 암호화/복호화 장치 및 방법
FI111423B (fi) 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
JP5042834B2 (ja) 2004-08-25 2012-10-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
WO2007089560A1 (en) * 2006-01-31 2007-08-09 Interdigital Technology Corporation Method and system for performing cell update and routing area update procedures while a wireless transmit/receive unit is in an idle state
PL2036382T3 (pl) * 2006-06-16 2020-02-28 Nokia Technologies Oy Urządzenie i sposób przesyłania informacji o kontekście protokołu danych pakietowych dla terminala w przypadku przełączania między systemami
GB0619409D0 (en) * 2006-10-02 2006-11-08 Vodafone Plc Telecommunications networks
EP1914930A1 (en) * 2006-10-17 2008-04-23 Matsushita Electric Industrial Co., Ltd. User plane entity selection in a mobile communication system having overlapping pool areas
EP2993940B1 (en) * 2006-10-31 2021-11-17 Qualcomm Incorporated Inter-enode b handover procedure
FI20075297A0 (fi) * 2007-04-27 2007-04-27 Nokia Siemens Networks Oy Menetelmä, radiojärjestelmä ja tukiasema

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070249352A1 (en) 2006-03-31 2007-10-25 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021060904A1 (ko) * 2019-09-25 2021-04-01 삼성전자 주식회사 무선 통신 시스템에서 통신을 수행하는 방법 및 장치
US11350282B2 (en) 2020-08-07 2022-05-31 Korea Internet & Security Agency Method and apparatus for detecting null-ciphering channels

Also Published As

Publication number Publication date
US20110142239A1 (en) 2011-06-16
JP2012500511A (ja) 2012-01-05
EP2315371A4 (en) 2015-10-14
EP2315371A2 (en) 2011-04-27
WO2010019020A9 (ko) 2010-09-10
WO2010019020A3 (ko) 2010-07-22
JP5390611B2 (ja) 2014-01-15
CN102187599B (zh) 2015-04-01
US8638936B2 (en) 2014-01-28
CN102187599A (zh) 2011-09-14
KR20100021385A (ko) 2010-02-24
WO2010019020A2 (ko) 2010-02-18
EP3554113A1 (en) 2019-10-16

Similar Documents

Publication Publication Date Title
KR101579757B1 (ko) 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
US10674355B2 (en) Apparatuses and methods for wireless communication
KR102450419B1 (ko) 무선 통신 네트워크에서의 로밍 활동에 대한 안티 스티어링 검출 방법 및 시스템
CN109309920B (zh) 安全实现方法、相关装置以及系统
FI107486B (fi) Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
EP2293515B1 (en) Method, network element, and mobile station for negotiating encryption algorithms
KR101737425B1 (ko) 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
KR20180053373A (ko) 이동성 관리 엔티티 재배치를 수반하는 이동성 절차를 위한 장치 및 방법
CN101946535A (zh) 在无线通信系统中执行切换时执行密钥管理的系统和方法
EP1705828B1 (en) A method of obtaining the user identification for the network application entity
EP2520109B1 (en) Method for interworking among wireless technologies

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181129

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191128

Year of fee payment: 5