KR102088848B1 - 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 - Google Patents

이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 Download PDF

Info

Publication number
KR102088848B1
KR102088848B1 KR1020140055885A KR20140055885A KR102088848B1 KR 102088848 B1 KR102088848 B1 KR 102088848B1 KR 1020140055885 A KR1020140055885 A KR 1020140055885A KR 20140055885 A KR20140055885 A KR 20140055885A KR 102088848 B1 KR102088848 B1 KR 102088848B1
Authority
KR
South Korea
Prior art keywords
prose
terminal
group
key
communication
Prior art date
Application number
KR1020140055885A
Other languages
English (en)
Other versions
KR20150084628A (ko
Inventor
서경주
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to US15/111,471 priority Critical patent/US10382955B2/en
Priority to EP15735197.4A priority patent/EP3096544B1/en
Priority to PCT/KR2015/000354 priority patent/WO2015105401A1/ko
Publication of KR20150084628A publication Critical patent/KR20150084628A/ko
Application granted granted Critical
Publication of KR102088848B1 publication Critical patent/KR102088848B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/76Group identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Abstract

본 발명은 기기에 통신 기능이 수행 가능하도록 하는 시스템에 대한 것으로, 본 발명의 일 실시예에 따른 단말의 통신 방법은, MME에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하는 단계; 상기 MME로부터 Prose를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 ), 상기 단말의 prose 관련 능) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하는 단계; prose function server에게 prose 등록 요청(prose registration request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하는 단계; 를 포함할 수 있다. 본 발명의 일 실시예에 따르면, EUTRAN 혹은 UTRAN/GERAN 등과 같은 환경하에서 기기가 그룹 내에서 서로 정보를 제공하거나 제공받을 수 있다.

Description

이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템{SECURITY SUPPORTING METHOD AND SYSTEM FOR PROXIMITY BASED SERVICE GROUP COMMUNICATION OR PUBLIC SAFETY IN MOBILE TELECOMMUNICATION SYSTEM ENVIRONMENT}
본 발명은 기기(device)에 통신 기능이 수행 가능하도록 하는 시스템에 대한 것이다. 구체적으로, 이동통신 네트워크에서 프락시미티 기반 서비스(Prose: proximity based service) 즉, Prose 디스커버리(discovery), Prose 통신(communication), 기기간 그룹 통신(D2D: Device to Device), 특히 공공 안전(public safety)을 위한 통신에 관한 것이다. 이때, 공공 안전을 위한 기기간 토신, 또는 기기간 그룹 통신을 위한 기기간 발견, 기기간 그룹 통신시 관련된 보안 방안에 대한 것이다.
프락시미티 기반 서비스(Prose: Proximity based service)는 특히 재난 상황, 예를 들면, 지진, 해일, 토네이도 등과 같은 재난 상황에서 기존의 기간망(infrastructure) 통신에 의한 재난 구조가 어려운 상황에서도 프락시미티 기반 서비스(proximity based service)를 실시하여 기기간 그룹 통신을 통해서, 재난 상황을 전달 할 수 있는 공공 안전(public safety)의 역할을 감당할 것으로 예상된다.
하지만, 이러한 장점에도 불구하고, 보안상 안정성을 갖추지 못하면 오히려, 악의의 엔티티(entity)에 의해서 특정 그룹의 사용자(user) 들이 잘못된 정보가 전달될 수 있다. 그리고, 이로 인해 큰 혼란이 야기 될 수 있으므로, 특히 public safety나 그룹 통신을 위한 프락시미티 서비스(proximity service)는 더욱 보안이 중요하다 하겠다.
하지만, 현재 종래의 통신 시스템 구조하에서는 기기간 통신을 수행하도록 함에 있어서, 단말 관련 정보의 보안상 노출에 따른 취약점 및 기타 운영상의 어려움이 존재한다. 이로 인하여 기기간 그룹 통신을 위한 보안 설정, 관리를 위한 시스템 및 방안에 대한 논의가 부족하여, 보안상 취약성, 혹은 통신 수행에 있어서 비 효율적인 문제가 발생할 수 있는 여지가 있었다.
본 발명은 3GPP(3rd Generation Partnership Project) EPS(Evolved Packet System)를 비롯한 진화된 이동 통신 시스템에 있어서 기기간 그룹 통신을 가능하도록 하는 방안 및 기기간 그룹 통신에 있어서 보안을 설정 관리하는 방안을 제공하기 위한 것이다.
또한, 본 발명의 일 실시예에 따르면, 기기간 그룹 통신을 수행하려는 기기는 기기간 그룹 통신을 수행하기 위한 정보를 획득하고, 기기간 그룹 통신을 수행하기 위한 보안키를 획득하여, 기기간 그룹 통신을 수행하기 위한 보안을 설정하여 안전한 통신을 수행할 수 있도록 하는 것을 목적으로 한다.
그리고, 본 발명의 일 실시예에 따르면, 기기간 통신을 수행하도록 함에 있어서, 프락시미티 기반 서비스(Prose: proximity based service), 즉, prose 디스커버리(discovery), prose 통신(communication)을 제공하는 것을 목적으로 한다. 특히, 단말(UE)이 그룹 통신이 가능하도록 관련 정보를 획득하고, 보안 설정이 가능하도록 하는 방안을 제공하는 것을 목적으로 한다. 그리고, 그룹 통신, 공공 안전(public safety) 통신 등이 보안상 안전하게 수행되는 것이 가능하도록 하는 방법 및 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명의 일 실시예에 따르면, 단말(UE)이 다른 단말을 발견하고, 그룹 통신을 수행함에 있어서, 단말이 그룹 관련 정보를 조회할 수 없을 때, 그룹 관련 정보 및 그룹 보안 정보를 생성하여, 이를 검증하고, 또한 그룹간 보안 관련 정보를 수신하고 검증함으로써 안전한 통신을 수행할 수 있도록 하는 것을 목적으로 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 단말의 통신 방법은, 이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하는 단계; 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하는 단계; prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하는 단계;를 포함할 수 있다.
또한, 제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하는 단계; 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하는 단계; 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하는 단계; 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계; 및 상기 제2 단말과 prose 그룹 통신을 수행하는 단계;를 더 포함할 수 있다.
또한, 상기 제2 단말과 prose 그룹 통신을 수행하는 단계는, 상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하는 단계; 상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하는 단계; 상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하는 단계;를 더 포함할 수 있다.
또한, 상기 접속 요청(attach request) 메시지를 전송하는 단계는, 상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하는 단계;를 포함할 수 있다.
또한, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, 상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하는 단계;를 더 포함할 수 있다.
또한, 상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하는 단계;를 더 포함할 수 있다.
또한, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, 상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하는 단계;를 더 포함할 수 있다.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 단말은, 엔티티들와 통신하는 통신부; 및 이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어하는 제어부;를 포함할 수 있다.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)의 통신 방법은, 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하는 단계; 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하는 단계; 상기 prose 그룹 세션 키를 생성하는 단계; prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 단계; 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하는 단계; 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하는 단계; 및 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하는 단계;를 포함할 수 있다.
또한, 상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하는 단계; 상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하는 단계; 및 상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하는 단계;를 더 포함할 수 있다.
또한, 상기 검증하는 단계는, prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하는 단계;를 포함할 수 있다.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)는, 엔티티들와 통신하는 통신부; 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어하는 제어부;를 포함할 수 있다.
본 발명의 일 실시예에 따르면, 통신을 수행하는 기기(device)가 prose 디스커버리(discovery), prose communication 그룹 통신, prose 통신(communication)을 이용하여 공공 안전(public safety)을 위한 통신 보안 방법을 수행할 수 있다.
본 발명의 일 실시예에 따르면, EUTRAN(Evolved Universal Terrestrial Radio Access Network) 혹은 UTRAN(Universal Terrestrial Radio Access Network)/GERAN(GSM/EDGE Radio Access Network) 등과 같은 환경하에서 기기(device)가 그룹 내에서 서로 정보를 제공하거나 제공받을 수 있다. 그리고, 기기가 prose 디스커버리(discovery), prose 통신(communication)을 위한 보안키 관련 정보를 수신하거나, 이러한 보안키를 이용하여 보안 절차를 수행함으로써, 통신의 효율성 및 보안성이 강화될 수 있다.
또한, 본 발명의 일 실시예에 따르면, 단말(UE)이 다른 단말을 발견하고, 그룹 통신을 수행함에 있어서, 단말이 그룹 관련 정보를 조회할 수 없을 때, 그룹 관련 정보 및 그룹 보안 정보를 생성하여, 이를 검증하고, 또한 그룹간 보안 관련 정보를 수신하고 검증함으로써 안전한 통신을 수행할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 기간망(infrastructure)이 재난 등의 이유로 이용하기 어려운 경우(not available)에도 기기간 통신을 통하여, 중요 정보를 전송할 수 있는 이점이 있다. 또한 본 발명에서 기술된 방법을 이용하여, 그룹간 통신에서 나아가 공공 안전(public safety)을 위한 통신을 안전하게 수행할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 이동 통신 시스템의 블록 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 일 예이다.
도 3은 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 다른 예이다.
도 4는 본 발명의 일 실시예에 따른 단말의 블록 구성도이다.
도 5는 본 발명의 일 실시예에 따른 prose 기능 서버의 블록 구성도이다.
도 6은 본 발명의 일 실시예에 따른 HSS의 블록 구성도이다.
도 7은 본 발명의 일 실시 예에 따른 MME의 블록 구성도이다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
후술되는 본 발명의 요지는 이동 통신 시스템 환경하에서 상기 기술된 다양한 기기(device)가 단말(UE)로 동작하여 통신이 가능하도록 하는 과정에 있어서, 기기간 서로를 발견하고(discovery), 서로간 그룹 통신(communication)을 수행하도록 하기 위하여, 관련 정보를 전달하고, 보안 절차를 수행하고, 안전하게 통신이 가능하도록 하는 방안을 제공하는 것이다.
이하 본 발명을 구체적으로 설명하는데 있어, 3GPP(3rd Generation Partnership Project)를 기반으로 하는 EPS(Evolved Packet System) 시스템, UTRAN(Universal Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network)을 이용할 것이며, 본 발명은 다른 이동 시스템에서도 이용 가능할 것이다.
한편 본 발명에서는 단말이 기기간 그룹 통신을 함에 있어서 관련 정보를 전달 받고, 보안 관련 정보를 전달 받아 보안 절차를 수행 함에 있어서, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다.
한편 본 발명의 도 1에서 보는 바와 같이 본 발명의 실시예는 본 발명의 기본 목적인 통신 단말을 포함한 다양한 기기가 EUTRAN 혹은 3GPP 환경하에서 기기간 그룹 통신을 수행하려고 할 때, 관련 정보를 전달하고, 보안 절차를 수행하며, 안전한 통신이 가능하도록 하는 관리 방법을 제기한 것이다. 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜, 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동 통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
도 1은 본 발명의 일 실시예에 따른 이동 통신 시스템의 블록 구성도이다.
도 1을 참고하면, 본 발명의 일 실시예에 따른 이동 통신 시스템은, 프락시미티 기반 서비스(Prose: Proximity based service) 디스커버리(discovery), prose 통신(communication)에서 그룹 통신을 위한 보안 설정 및 prose 통신(communication)을 할 수 있다. 여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다. 본 발명의 경우 EUTRAN을 중심으로 기술하였으며, 이러한 방법은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다.
도 1을 참조하면, 기기(device)(111, 131)는 종래의 이동 통신 단말(UE : user equipment)이나 머신 타입 통신(machine type communication)을 수행하는 기기, 소비자 장치(Consumer Devices) 등 다양한 기기가 포함될 수 있다.
본 발명의 도 1에서는 제1 단말(111)과 제2 단말(131)이 prose 디스커버리(discovery)를 하고, prose 그룹 통신을 함에 있어서 적용할 수 있는 환경의 일 예를 도시하고 있다. 제1 단말(111)은 기지국(eNB: evolved Node B)(114), 이동성 관리 엔티티(MME: Mobility Management Entity)(116) 등을 통해서 일반적인 EUTRAN 통신(communication)을 수행할 수 있다. 그리고, 제1 단말(111)은 서빙 게이트웨이(S-GW: Serving Gateway(118), 패킷 데이터 네트워크 게이트웨이(PDN-GW: Packet Data Network Gateway)(119) 등을 통해서 데이터(data) 통신을 수행할 수 있다.
한편 본 발명의 일 실시예에 따른 이동 통신 시스템은, 프락시미티 기반 서비스(Prose: Proximity based service) 기능 수행을 위해서, prose 관련 기능을 수행하는 prose 기능 서버(prose function server)(127)를 더 포함할 수 있다. 상기 prose 기능 서버(127)는, prose 관련 등록, 관련 정보의 전달 및 단말의 prose 관련 능력(capability) 등을 검증하며, prose 관련 기능을 수행하게 된다. 한편 홈 가입자 서버(HSS: Home Subscriber Server)/홈 위치 레지스터(HLR: Home Location Register)(121)가 존재하여 단말(UE)에 관한 가입자(subscription)의 정보 및 단말(UE) 관련 보안키 정보 등을 전달하게 된다. 그리고, Prose의 응용(application) 서버 기능은 prose 응용 서버(prose application server)(125)를 통하여 수행하게 된다. 그리고, prose 응용 서버(125)는 이러한 prose 응용(application) 기능을 수행하기 위해서 정책 및 과금 규칙 기능(PCRF: Policy and Charging Rules Function)(123-1)과 연동하여 prose 관련 데이터(data) 서비스를 수행하게 된다.
이상에서는 본 발명의 일 실시예에 따른 이동 통신 시스템의 구성에 대하여 살펴보았다.
이하에서는, 이동 통신 및 인터넷 통신에서 사용되는 프로토콜을 기반으로, 기기 혹은 단말(111, 131), eNB(114), MME(116), prose 기능 서버(127), HSS(121), 응용 서버(125) 등의 엔티티(entity)들이 프락시미티 기반 서비스(prose: proximity based service), prose 디스커버리(discovery), prose 통신(communication), 그룹 통신을 가능하도록 하는 인증, 보안 및 통신 설정 과정 및 그 동작을 지원할 수 있도록 하는 방법에 대하여 살펴보도록 한다.
도 2는 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 일 예이다. 이때, 도 2에 도시된 실시예에서는 그룹 prose 디스커버리(discovery) 및 prose 통신 수행의 경우를 나타내었다.
도 2를 참고하면, 301 단계에서 제1 단말(111)은 eNB(114)에게 접속 요청(attach request) 메시지를 전송하여, 등록 절차를 수행할 수 있다. 그리고, eNB(114)는 제1 단말(111)이 전송한 접속 요청(attach request) 메시지를 MME(116)에게 전송(transfer)할 수 있다. 이때 공공 안전(public safety)을 위한 통신이 수행될 것이라면, 공공 안전을 위한 통신을 지시하는 공공 안전 지시자(public safety indication)가 상기 접속 요청(attach request) 메시지에 포함될 수 있다. 또는 그룹 통신이라면, 그룹 통신을 지시하는 그룹 통신 지시자(group communication indication) 등이 상기 접속 요청(attach request) 메시지에 포함되어 전송될 수 있다. 한편 이러한 접속 요청(attach request) 메시지에는 공공 안전이나 그룹 통신을 위하여 처음으로 네트웍에 접속하는 경우라면 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. 이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.
이후, 303 단계에서 MME(116)는 HSS(121)에게 인증 데이터 요청(Authentication data request) 메시지를 전송할 수 있다. 그리고, HSS(121)는 MME(116)에게 인증 벡터(authentication vector) 등을 포함한 보안 관련 정보를 포함한 응답 메시지를 전송할 수 있다.
305 단계에서 MME(116)는 제1 단말(111)에게 인증 토큰(AUTN)을 포함한 사용자 인증 요청(User authentication request) 메시지를 전송하고, 제1 단말(111)은 MME(116)에게 사용자 인증 응답(User authentication response) 메시지와 함께 RES(response 보안값)을 전송할 수 있다.
307 단계에서 MME(116)는 HSS(121)에게 업데이트 위치 요청(update location request) 메시지를 전송할 수 있다. 이때 공공 안전(public safety)을 위한 통신 이라면, MME(116)는 공공 안전 지시자(public safety indication)를 업데이트 위치 요청(update location request) 메시지에 포함하여 HSS(121)에게 전송할 수 있다. 혹은, 그룹 통신 이라면, MME(116)는 업데이트 위치 요청(update location request) 메시지에 그룹 통신 지시자(group communication indication)를 포함하여 HSS(121)에게 전송할 수 있다. 이때 제1 단말(111)이 처음으로 네트웍에 접속하는 경우라면, 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로, 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다.
이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.
309 단계에서 HSS(121)는 해당 제1 단말(111)에 대한 그룹 통신을 위한 식별자 정보(ID: identity), 그룹키(group key) 등의 정보를 조회하게 된다.
이렇게 조회하여 해당 정보가 없는 경우에, HSS(121)는 311 단계에서 제1 단말(111)이 보낸 비밀값(secrete value)으로 해당 제1 단말(111)이 그룹 통신 혹은 공공 안전 통신을 위하여 적합한 단말인지 검증하게 된다.
이후 313 단계에서 해당 제1 단말(111)이 적합한 단말이라면 해당 제1 단말(111)에 대해서 그룹 식별자를 할당하고, 그룹 키를 생성 혹은 할당하게 된다. 그룹 식별자를 구성하는 일 실시예를 들면 다음과 같다. 그룹 식별자는 국가 정보, 지역(area)정보, 통신망(사업자 망과 사업자 망 내에서 네트웍 정보) 정보 중의 어느 하나를 포함하며, 이에 더불어 만일 공공 안전(public safety)을 위한 경우라면 공공 안전 범주(category), 예를 들면 소방, 치안, 지진, 태풍, 해일, 토네이도 등의 정보를 포함할 수도 있다.
317 단계에서 HSS(121)는 MME(116)에게 가입 데이터(subscription data)를 전송하게 된다. 이 때 HSS(121)는 MME(116)에게 prose 서비스를 하기 위한 prose 식별자(identity), Prose 그룹 식별자(prose group identity), Prose 그룹 키(prose group key), 단말의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 프락시미티(proximity) 관련 보안 키(prose key), prose PLMN(Public Land Mobile Network) 리스트(list) 등의 정보를 함께 전달할 수 있다. Proximity 관련 보안키는 프락시미티 디스커버리(proximity discovery) 또는 프락시미티 통신(proximity communication)을 위한 보안키로 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 알려주고, 등록된 정보가 없는 경우에는 이후 인증 후 생성하도록 한다.
319 단계에서 MME(116)는 eNB(114)에게 접속 승낙(attach accept) 메시지를 전송할 수 있다. 그리고 이 접속 승낙(attach accept) 메시지는 eNB(114)에서 제1 단말(111)에게 전송된다. 이러한 319 단계에서 MME(116)는 317 단계에서 HSS(121)로부터 전달된 prose 서비스를 하기 위한 prose 식별자(identity), 단말의 prose 관련 능력(capacity), 프락시미티(proximity) 관련 보안 키, prose 그룹 키(prose group key), prose 그룹 식별자(group identity), prose PLMN 리스트(list) 등의 정보도 접속 승낙(attach accept) 메시지와 함께 제1 단말(111)에게 전달할 수 있다.
본 발명에서 일 실시예에 의하면, 301, 303, 305, 307, 309, 311, 313, 317, 319 단계와 관련하여 MME(116)가 중간 엔티티(entity)로서 ProSe 관련해서 ProSe public indication, secrete value 등을 전달하여, 이를 HSS(121)에서 검증하는 중간 노드로 등장하였다. 그러나, 실시예에 따라 중간 노드가 MME(116)가 아니라, Prose function(127)이 중간 과정에 관여하여, 이러한 파라미터(parameter)를 전달하고, HSS(121)에서 검증하는데 관여할 수 있다. 즉 301, 303, 305, 307, 309, 311, 313, 317, 319 단계에서 이러한 parameter를 전달하는데 관여하는 엔티티가 prose function(127)이 될 수 있다. 즉 UE로부터 Prose function(127)을 통해 public safety를 위한 secrete value, public safety indication 등의 적어도 하나의 파라미터가 전달 될 수 있다. 그리고, 이렇게 전달된 parameter를 이용해서 309, 311, 313 단계 등의 과정을 거쳐 HSS(121)에서 검증을 하게 된다. 한편 prose function(127)이 중간 과정의 엔티티가 되면, 실시예에 따라 317, 319 단계에서 Prose Group ID, Prose Group Key, Prose key, Prose ID 등이 HHS(121)로부터 Prose function(127)을 거쳐 UE에게 전달 될 수도 있다.
이후, 323 단계에서 제1 단말(111)은 prose 기능(prose function)(127)에게 prose 등록 요청(prose registration request) 메시지를 전송할 수 있다. 그리고, 323-2 단계에서는 제2 단말(131)도 제1 단말(111)처럼 prose 등록 요청 과정을 수행할 수 있다. 이후 과정은 제1 단말(111)을 가지고 설명하지만, 제2 단말(131)에 대해서 기본적으로 제1 단말(111)과 같은 등록 과정을 거치는 것으로 가정한다.
325 단계에서 Prose 기능(prose function)(127)은 HSS(121)에게 prose 등록 요청 메시지를 전송하고, 이후 HSS(121)는 prose function(127)에게 prose 인증 벡터(prose authentication vector)를 전송할 수 있다. 이러한 prose 인증 벡터에는 암호키(CK: Cipher Key)와 무결성키(IK: Integrity Key)가 포함되어 prose function(127)에게 전송된다.
327 단계에서 Prose 인증 요청(prose authentication request) 메시지를 통해 prose function(127)으로부터 제1 단말(111)에게 prose 인증 토큰이 전송된다.
한편 본 발명의 또 다른 일 실시예에 따르면, 325 단계에서 prose function(127)에서 HSS(121)에게 Prose function ID 등이 전달될 수 있다. 그리고, 325 단계에서 HSS(121)에서 Prose function(127)에게 prose authentication vector와 authentication token을 전달하면서 prose group key, prose key, prose authentication token 등 적어도 하나의 parameter를 전달할 수 있다. 이렇게 전달 받은 prose group key, prose key, prose authentication token 등의 parameter 중 적어도 하나의 parameter가 327 단계에서 Prose function(127) 에서 UE에게 전달 될 수 있다.
329 단계에서는 prose 등록을 위해 prose function(127)에서 제1 단말(111)에게 전송된 인증 토큰에 대한 응답 값을 포함한 prose 인증 응답(prose authentication response) 메시지를 제1 단말(111)이 prose function(127)에게 전송할 수 있다.
331 단계에 prose function(127)은 RES와 XRES 정보를 비교하여, 검증을 할 수 있다.
그 후, 333 단계에서 prose function(127)은 제1 단말(111)에게 prose 등록 응답(prose registration response) 메시지를 전송할 수 있다.
이후의 과정은 단말이 prose key 또는 Prose 식별자, Prose Group Key, Prose Group ID 등을 이용해서 prose 그룹 통신을 수행하는 과정에 대하여 설명하도록 한다.
만일 이후의 과정에서 제1 단말(111)이 prose 그룹 통신을 위해 보낸 요청(request) 메시지에 대해서 그룹키를 통해 검증하고자 하는 경우, 343 단계에서와 같이 제1 단말(111)이 prose function(127)에게 prose 등록 완성(prose registration complete) 메시지에 제1 단말(111)의 prose 그룹키를 포함하여 전송할 수 있다. 그리고, 이에 따라 prose function(127)은 수신한 정보를 이용하여 제1 단말(111)의 그룹키를 등록할 수 있다.
343-3 단계에서 prose function(127)는 응용(application) 서버(125)에게 prose key, prose function(127)에 단말이 등록하는 과정에 prose 서비스를 위해 등록한 관련 정보, Prose Group key 등의 정보 중 적어도 하나를 전달할 수 있다. 그 후, 343-5 단계에서 응용 서버(125)는 prose key, prose Group Key 등의 정보 중 적어도 하나를 저장할 수 있다. 이후 343-7 단계에서 제1 단말(111)과 응용 서버(125) 는 prose key, prose 식별자, 혹은 Prose Group ID, Prose Group key 등을 이용해서 통신을 수행한다.
347 단계에서 제1 단말(111)은 제2 단말(131)에게 페이징(paging) 메시지를 보낼 수 있다. 이 때 paging 메시지에는 단말에서 prose group 통신을 위한 그룹 통신 지시자(group communication indication), 혹은 공공 안전을 위한 통신을 지시하는 공공 안전 통신 지시자(public safety communication indication)이 포함 되어 있을 수 있다.
한편 349 단계에서 제1 단말(111)은 prose group과 통신하기 원함을 제2 단말(131)에게 알리며, prose 통신을 위해 요청(request)할 수 있다. 이러한 요청(request) 방법에는 브로드캐스트(broadcast), broadcast IP, 멀티캐스트(multicast), multicast IP 등을 사용하는 방법을 통해 이루어 질 수도 있다. 이 때 prose group ID가 목적지를 알리기 위해 활용될 수 있다.
349 단계에서 제1 단말(111)의 그룹 관련 정보는 재전송 공격(replay attack)을 방지하기 위해서, case 1) 타임 스탬프(time stamp)나 case2) nonce 등과 함께 전송되거나, 혹은 case3) time stamp, nonce를 연결하여(concatenate)하여 전송할 수도 있다. 한편 case 4) time stamp는 응용 레이어(application layer)의 시간(time) 정보도 될 수 있고, case 5) 물리 계층(physical layer)에서 사용하는 시간(time) 정보 값, 즉 physical layer에서 사용하는 물리적 카운터(counter) 정보, 혹은 case 6) layer 2에서 사용하는 SIB(system information block) 16에서 사용하는 시간(time) 정보 등을 이용할 수도 있다. 상기 case 5)나 case 6)에서처럼 physical layer로부터 얻어진 time 정보 값은 case 6)처럼 layer 2의 SIB를 통해 전달되기도 하며, 이러한 case 5), case 6)의 정보는 물리적으로 시간 지연이 생길 가능성이 적다는 이점이 있을 수 있다. 한편 이때 case 7) 이러한 정보를 전송할 때에는 one time hash function을 통해 전송될 수도 있으며, case 8) 이러한 정보를 송신자와 수신자가 공유하는 키인 group key 등을 이용해 메시지 인증 코드(MAC: Message Authentication Code)를 생성하여 바른 송신자로부터 왔는지 인증을 수행할 수 있다.
351 단계에서 제2 단말(131)은 제1 단말(111)이 Prose Group에 속하는지를 349 단계에서 전송 된 group 관련 정보, time stamp, nonce 등의 값을 prose 그룹키로 복호(해독: decryption)해서 검증을 수행할 수 있다.
353 단계에서 제2 단말(131)은 제1 단말(111)에게 그룹 통신 응답(group communication response) 메시지를 전송할 수 있다. 실시예에 따라, 이러한 그룹 통신 응답 메시지는 그룹 조인(Group Join)의 과정을 포함하여 수행할 수 있다. 한편, 이 단계는 349 단계가 브로드캐스트(broadcast) 방법에 의해 이루어진 경우라면 수행되지 않을 수 있다.
이렇게 제1 단말(111)이 prose group의 멤버(member)들에게 브로드캐스트(broadcast) 혹은 멀티캐스트(multicast)를 하고 있는 것에 대해 제2 단말(131)로부터 응답(response) 메시지가 오는 경우 제1 단말(111)은 case 1) 제1 단말(111)에서 제2 단말(131)도 그룹에 속하는지 검증을 수행할 수 있다. 또는, 실시예에 따라, case 2) 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 과정을 수행할 수 있다. 도 2에 도시된 실시예는 case 1)에 따라서 제1 단말(111)에서 제2 단말(131)이 그룹에 속하는지를 검증하는 실시예에 관한 것이다.
그룹 통신에 대한 단말 수준에서 검증하는 case 1)을 일 실시예로 들면, 355 단계에서 제1 단말(111)은 제2 단말(131)이 Prose group에 속하는지 검증을 수행할 수 있다. 357 단계에서 제1 단말(111)은 제2 단말(131)에게 제2 단말(131)이 그룹에 조인(join) 하는 것이 성공하였음을 나타내는 정보를 포함한 메시지를 보낼 수 있다. 혹은 또 다른 실시예로, 제1 단말(111)에서 제2 단말(131)이 prose group에 속함을 검증하여, 제1 단말(111)이 검증이 성공하였음을 알리는 메시지를 제2 단말(131)에게 전송할 수 있다. 한편, 이러한 357 단계가 단말이 prose group에 속함을 검증하는 과정에 대한 성공 여부를 알려주는 것이 아니고, 단말이 멀티캐스트(multicast) 그룹에 조인(join) 하는 것이 성공하였음을 알려주는 용도인 경우는, 수행되지 않는 선택적 과정이 될 수도 있다.
367 단계에서 제2 단말(131)은 제1 단말(111)에게 prose 그룹 통신 요청 완성(prose group communication request complete) 메시지를 보낼 수 있다.
이하 381 단계 내지 395 단계에서 Prose Group 통신을 위한 세션(session) 키, 암호화 키(encryption key), 복호화 키(decryption key) 등을 전송하는 과정에 대해 설명하도록 한다.
381 단계에서 제1 단말(111)은 Prose function(127)에게 Prose group communication을 위한 세션 키(session key) 요청(prose group communication session key request) 메시지를 전송한다.
383 단계에서 Prose function(127)은 prose group communication session key를 생성한다.
그 후, 385 단계에서 prose function(127)은 prose group session key를 prose group key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다.
387 단계에서 제1 단말(111)은 prose group session key를 복호(decryption) 한다.
그리고, 389 단계에서 제1 단말(111)은 prose function(127)에게 보안 키(security key)를 요청하는 메시지, 예를 들면 prose 그룹 암호화, 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송할 수 있다.
391 단계에서 prose function(127)은 prose 그룹 통신 무결성키(prose group communication integrity key), prose 그룹 통신 암호화키(prose group communication encryption key)를 생성(generation)한다.
그 후, 393 단계에서 prose function(127)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다.
그리고, 395 단계에서 제1 단말(111)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key 로 복호(decrypt)한다.
이후 399 단계에서 제1 단말(111)과 제2 단말(131) 등 Prose Group 에 속한 단말들은 Prose Group 통신을 안전하게 수행할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 다른 예이다. 이때, 도 3에 도시된 실시예에서는 그룹 prose 디스커버리(discovery) 및 prose 통신 수행의 경우를 나타내었다.
도 3을 참고하면, 401 단계에서 제1 단말(111)은 eNB(114)에게 접속 요청(attach request) 메시지를 전송하여, 등록 절차를 수행할 수 있다. 그리고, eNB(114)는 제1 단말(111)이 전송한 접속 요청(attach request) 메시지를 MME(116)에게 전송(transfer)할 수 있다. 이때 공공 안전(public safety)을를 위한 통신이 수행될 것이라면, 공공 안전을 위한 통신을 지시하는 공공 안전 지시자(public safety indication)가 상기 접속 요청(attach request) 메시지에 포함될 수 있다. 또는 그룹 통신이라면, 그룹 통신을 지시하는 그룹 통신 지시자(group communication indication) 등이 상기 접속 요청(attach request) 메시지에 포함되어 전송될 수 있다. 한편 이러한 접속 요청(attach request) 메시지에는 공공 안전이나 그룹 통신을 위하여 처음으로 네트웍에 접속하는 경우라면 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. 이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.
이후, 403 단계에서 MME(116)는 HSS(121)에게 인증 데이터 요청(Authentication data request) 메시지를 전송할 수 있다. 그리고, HSS(121)는 MME(116)에게 인증 벡터(authentication vector) 등을 포함한 보안 관련 정보를 포함한 응답 메시지를 전송할 수 있다.
405 단계에서 MME(116)는 제1 단말(111)에게 인증 토큰(AUTN)을 포함한 사용자 인증 요청(User authentication request) 메시지를 전송하고, 제1 단말(111)은 MME(116)에게 사용자 인증 응답(User authentication response) 메시지와 함께 RES(response 보안값)을 전송할 수 있다.
407 단계에서 MME(116)는 HSS(121)에게 업데이트 위치 요청(update location request) 메시지를 전송할 수 있다. 이때 공공 안전(public safety)을 위한 통신 이라면, MME(116)는 공공 안전 지시자(public safety indication) 를 업데이트 위치 요청(update location request) 메시지에 포함하여 HSS(121)에게 전송할 수 있다. 혹은, 그룹 통신 이라면, MME(116)는 업데이트 위치 요청(update location request) 메시지에 그룹 통신 지시자(group communication indication) 를 포함하여 HSS(121)에게 전송할 수 있다. 이때 제1 단말(111)이 처음으로 네트웍에 접속하는 경우라면, 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로, 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다.
이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.
409 단계에서 HSS(121)는 해당 제1 단말(111)에 대한 그룹 통신을 위한 식별자 정보(ID: identity), 그룹키(group key) 등의 정보를 조회하게 된다.
이렇게 조회하여 해당 정보가 없는 경우에, HSS(121)는 411 단계에서 제1 단말(111)이 보낸 비밀값(secrete value)으로 해당 제1 단말(111)이 그룹 통신 혹은 공공 안전 통신을 위하여 적합한 단말인지 검증하게 된다.
이후 413 단계에서 해당 제1 단말(111)이 적합한 단말이라면 해당 제1 단말(111)에 대해서 그룹 식별자를 할당하고, 그룹 키를 생성 혹은 할당하게 된다. 그룹 식별자를 구성하는 일 실시예를 들면 다음과 같다. 그룹 식별자는 국가 정보, 지역(area)정보, 통신망(사업자 망과 사업자 망 내에서 네트웍 정보) 정보 중의 어느 하나를 포함하며, 이에 더불어 만일 공공 안전(public safety)을 위한 경우라면 공공 안전 범주(category), 예를 들면 소방, 치안, 지진, 태풍, 해일, 토네이도 등의 정보를 포함할 수도 있다.
417 단계에서 HSS(121)는 MME(116)에게 가입 데이터(subscription data)를 전송하게 된다. 이 때 HSS(121)는 MME(116)에게 prose 서비스를 하기 위한 prose 식별자(identity), Prose 그룹 식별자(prose group identity), Prose 그룹 키(prose group key), 단말의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 프락시미티(proximity) 관련 보안 키(prose key), prose PLMN(Public Land Mobile Network) 리스트(list) 등의 정보를 함께 전달할 수 있다. Proximity 관련 보안키는 프락시미티 디스커버리(proximity discovery) 또는 프락시미티 통신(proximity communication)을 위한 보안키로 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 알려주고, 등록된 정보가 없는 경우에는 이후 인증 후 생성하도록 한다.
419 단계에서 MME(116)는 eNB(114)에게 접속 승탁(attach accept) 메시지를 전송할 수 있다. 그리고 이 접속 승낙(attach accept) 메시지는 eNB(114)에서 제1 단말(111)에게 전송된다. 이러한 419 단계에서 MME(116)는 417 단계에서 HSS(121)로부터 전달된 prose 서비스를 하기 위한 prose 식별자(identity), 단말의 prose 관련 능력(capacity), 프락시미티(proximity) 관련 보안 키, prose 그룹 키(prose group key), prose 그룹 식별자(group identity), prose PLMN 리스트(list) 등의 정보도 접속 승낙(attach accept) 메시지와 함께 제1 단말(111)에게 전달할 수 있다.
본 발명에서 일 실시예에 의하면, 401, 403, 405, 407, 409, 411, 413, 417, 419 단계과 관련하여 MME(116)가 중간 엔티티로서 ProSe 관련해서 ProSe public indication, secrete value 등을 전달하여, 이를 HSS(121)에서 검증하는 중간 노드로 등장하였다. 그러나, 중간 노드가 MME(116)가 아니라, Prose function(127)이 중간 과정에 관여하여, 이러한 파라미터(parameter)를 전달하고, HSS(121)에서 검증하는데 관여할 수 있다. 즉 401, 403, 405, 407, 409, 411, 413, 417, 419 단계에서 이러한 parameter를 전달하는데 관여하는 엔티티가 prose function(127)이 될 수 있다. 즉 UE 로부터 Prose function(127)을 통해 public safety를 위한 secrete value, public safety indication 등의 적어도 하나의 파라미터가 전달 될 수 있다. 그리고, 이렇게 전달된 parameter를 이용해서 409, 411, 413 단계 등의 과정을 거쳐 HSS(121)에서 검증을 하게 된다. 한편 prose function(127)이 중간 과정에 엔티티가 되면, 실시예에 따라 417, 419 단계에서 Prose Group ID, Prose Group Key, Prose key, Prose ID 등이 HHS(121)로부터 Prose function(127)을 거쳐 UE에게 전달 될 수도 있다.
이후, 423 단계에서 제1 단말(111)은 prose 기능(prose function)(127)에게 prose 등록 요청(prose registration request) 메시지를 전송할 수 있다. 그리고, 423-2 단계에서는 제2 단말(131)도 제1 단말(111)처럼 prose 등록 요청 과정을 수행할 수 있다. 이후 과정은 제1 단말(111)을 가지고 설명하지만, 제2 단말(131)에 대해서 기본적으로 제1 단말(111)과 같은 등록 과정을 거치는 것으로 가정한다.
425 단계에서 Prose function(127)은 HSS(121)에게 prose 등록 요청 메시지를 전송하고, 이후 HSS(121)는 prose function(127)에게 prose 인증 벡터(prose authentication vector)를 전송할 수 있다. 이러한 prose 인증 벡터에는 암호키(CK: Cipher Key)와 무결성키(IK: Integrity Key)가 포함되어 prose function(127)에게 전송된다.
427 단계에서 prose function(127)은 제1 단말(111)에게 prose 인증 토큰을 prose 인증 요청(Prose Authentication Request) 메시지에 실어 전송할 수 있다.
한편 본 발명의 또 다른 일 실시예에 따르면, 425 단계에서 prose function(127)에서 HSS(121)에게 Prose function ID 등이 전달될 수 있다. 그리고, 425 단계에서 HSS(121)에서 Prose function(127)에게 prose authentication vector와 authentication token을 전달하면서 prose group key, prose key, prose authentication token 등 적어도 하나의 parameter를 전달할 수 있다. 이렇게 전달 받은 prose group key, prose key, prose authentication token 등의 parameter 중 적어도 하나의 parameter가 427 단계에서 Prose function (127)에서 UE에게 전달 될 수 있다.
429 단계에서는 prose 등록을 위해 prose function(127)에서 제1 단말(111)에게 전송된 인증 토큰에 대한 응답 값을 포함한 Prose 인증 응답(prose Authentication Response) 메시지를 제1 단말(111)이 prose function(127)에게 전송할 수 있다.
431 단계에 prose function(127)은 RES와 XRES정보를 비교하여, 검증을 할 수 있다.
그 후, 433 단계에서 prose function(127) 제1 단말(111)에게 prose 등록 응답(prose registration response) 메시지를 전송할 수 있다.
이후의 과정은 단말이 prose key 또는 Prose 식별자, Prose Group Key, Prose Group ID 등을 이용해서 prose 그룹 통신을 수행하는 과정에 대하여 설명하도록 한다.
만일 이후의 과정에서 제1 단말(111)이 prose 그룹 통신을 위해 보낸 요청(request) 메시지에 대해서 그룹키를 통해 검증하고자 하는 경우, 443 단계에서와 같이 제1 단말(111)이 prose function(127)에게 prose 등록 완성(prose registration complete) 메시지에 제1 단말(111)의 prose 그룹키를 포함하여 전송할 수 있다. 그리고, 이에 따라 prose function(127)은 수신한 정보를 이용하여 제1 단말(111)의 그룹키를 등록할 수 있다.
443-3 단계에서 prose function(127)는 응용(application) 서버(125)에게 prose key, prose group Key 중의 적어도 하나의 정보, prose function(127)에 단말이 등록하는 과정에 prose 서비스를 위해 등록한 관련 정보를 전달할 수 있다. 그 후, 443-5 단계에서 응용 서버(125)는 prose key, prose group Key 등의 정보 중 적어도 하나를 저장할 수 있다. 이후 443-7 단계에서 제1 단말(111)과 응용 서버(125)는 prose key, prose 식별자, prose group ID, prose group Key 중의 적어도 하나의 정보 등을 이용해서 통신을 수행한다.
447 단계에서 제1 단말(111)은 제2 단말(131)에게 페이징(paging) 메시지를 보낼 수 있다. 이 때 paging 메시지에는 단말에서 prose group 통신을 위한 그룹 통신 지시자(group communication indication), 혹은 공공 안전을 위한 통신을 지시하는 공공 안전 통신 지시자(public safety communication indication)이 포함 되어 있을 수 있다.
한편 449 단계에서 제1 단말(111)은 prose group과 통신하기 원함을 제2 단말(131)에게 알리며, prose 통신을 위해 요청(request)할 수 있다. 이러한 요청(request) 방법에는 broadcast, broadcast IP, multicast, multicast IP 등을 사용하는 방법을 통해 이루어 질 수도 있다. 이 때 prose group ID 가 목적지를 알리기 위해 활용될 수 있다.
449 단계에서 제1 단말(111)의 그룹 관련 정보는 재전송 공격(replay attack)을 방지하기 위해서, case 1) 타임 스탬프(time stamp)나 case2) nonce 등과 함께 전송되거나, 혹은 case3) time stamp, nonce를 연결하여(concatenate)하여 전송할 수도 있다. 한편 case 4) time stamp는 응용 레이어(application layer)의 시간(time) 정보도 될 수 있고, case 5) 물리 계층(physical layer)에서 사용하는 시간(time) 정보 값, 즉 physical layer에서 사용하는 물리적 카운터(counter) 정보, 혹은 case 6) layer 2 에서 사용하는 SIB(system information block) 16에서 사용하는 시간(time) 정보 등을 이용할 수도 있다. 상기 case 5)나 case 6)에서처럼 physical layer로부터 얻어진 time 정보 값은 case 6)처럼 layer 2의 SIB를 통해 전달되기도 하며, 이러한 case 5), case 6)의 정보는 물리적으로 시간 지연이 생길 가능성이 적다는 이점이 있을 수 있다. 한편 이때 case 7) 이러한 정보를 전송할 때에는 one time hash function을 통해 전송될 수도 있으며, case 8) 이러한 정보를 송신자와 수신자가 공유하는 키인 group key 등을 이용해 메시지 인증 코드(MAC: Message Authentication Code) 를 생성하여 바른 송신자로부터 왔는지 인증을 수행할 수 있다.
451 단계에서 제2 단말(131)은 제1 단말(111)이 Prose Group에 속하는지를 449 단계에서 전송 된 group 관련 정보, time stamp, nonce 등의 값을 prose 그룹키로 복호(해독: decryption)해서 검증을 수행할 수 있다.
453 단계에서 제2 단말(131)은 제1 단말(111)에게 그룹 통신 응답(group communication response) 메시지를 전송할 수 있다. 실시예에 따라, 이러한 그룹 통신 응답 메시지는 그룹 조인(Group Join)의 과정을 포함하여 수행할 수 있다. 한편, 이 단계는 449 단계가 브로드캐스트(broadcast) 방법에 의해 이루어진 경우라면 수행되지 않을 수 있다.
이렇게 제1 단말(111)이 prose group의 멤버(member)들에게 브로드캐스트(broadcast) 혹은 멀티캐스트(multicast)를 하고 있는 것에 대해 제2 단말(131)로부터 응답(response) 메시지가가 오는 경우 제1 단말(111)은 case 1) 제1 단말(111)에서 제2 단말(131)도 그룹에 속하는지 검증을 수행할 수 있다. 또는, 실시예에 따라, case 2) 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 과정을 수행할 수도 있다.
상기 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 case 2)를 일 실시예로 들면, 459 단계내지 467 단계에서 제2 단말(131)이 그룹에 속하는지에 대한 검증이 이루어 진다.
즉, 459 단계에서 제1 단말(111)은 Prose function(127)에게 제2 단말(131)이 그룹에 속하는지 여부에 대한 검증을 요청하는 정보를 포함한 검증 요청(verification request) 메시지를 전송할 수 있다. 이후 461 단계에서 일 실시예에 따르면, case 2-1) prose function(127)은 제2 단말(131)이 prose group에 속하는지 제1 단말(111)과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증할 수 있다. 이러한 prose group communication list는 제1 단말(111)과 prose 통신이 가능한 prose 그룹에 있는 단말들의 리스트(list)이다.
461 과정에서 다른 일 실시예에 따르면, case 2-2) Prose function(127)은 prose 그룹키(prose group key)를 생성하고, prose group key를 저장할 수 있다.
그 후, 463 단계에서 prose function(127)은 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 제1 단말(111)에게 보낼 수 있다. 이때 prose function(127)은 제1 단말(111)에게 단순히 검증이 성공했는지 여부만 보낼 수도 있다.
465 단계에서 제1 단말(111)은 제2 단말(131)의 prose group 통신 요청 응답에 대해 검증한 결과에 대한 검증 응답 메시지 혹은 그룹 조인(group join) 응답 메시지를 제2 단말(131)에게 보낼 수 있다. 이러한 메시지는 제2 단말(131)이 prose 그룹에 속하는지에 대한 검증 응답이거나 혹은 prose 그룹 조인(group join)에 대한 응답 메시지 일 수 있다.
467 단계에서 제2 단말(131)은 제1 단말(111)에게 prose 그룹 통신 요청 완성(prose group communication request complete) 메시지를 보낼 수 있다.
이하 481 단계 내지 495 단계에서 Prose Group 통신을 위한 세션(session) 키, 암호화 키(encryption key), 복호화 키(decryption key) 등을 전송하는 과정에 대해 설명하도록 한다.
481 단계에서 제1 단말(111)은 Prose function(127)에게 Prose group communication을 위한 세션 키(session key) 요청 (prose group communication session key request) 메시지를 전송한다.
483 단계에서 Prose function(127)은 prose group communication session key를 생성한다.
그 후, 485 단계에서 prose function(127)은 prose group session key 를 prose group key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다.
487 단계에서 제1 단말(111)은 prose group session key를 복호(decryption)한다.
그리고. 489 단계에서 제1 단말(111)은 prose function(127)에게 보안 키(security key)를 요청하는 메시지, 예를 들면 prose 그룹 암호화, 무결성 키 요청(prose group integrity key, integrity key request) 메시지를 전송할 수 있다.
491 단계에서 prose function(127)은 prose 그룹 통신 무결성 키(prose group communication integrity key), prose 그룹 통신 암호화키(prose group communication encryption key)를 생성(generation)한다.
그 후, 493 단계에서 prose function(127)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다.
그리고, 495 단계에서 제1 단말(111)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 복호(decrypt)한다.
이후 499 단계에서 제1 단말(111)과 제2 단말(131) 등 Prose Group 에 속한 단말들은 Prose Group 통신을 안전하게 수행할 수 있다.
도 4는 본 발명의 일 실시예에 따른 단말의 블록 구성도이다.
도 4를 참고하면, 본 발명의 일 실시예에 따른 단말(500)은, 통신부(510) 및 제어부(520)를 포함할 수 있다. 단말(500)의 제어부(520)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 단말을 제어한다. 예를 들면, 상기 제어부(520)는 MME에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말(500)의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말(500)의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어할 수 있다. 또한, 상기 제어부(520)는, 제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하고, 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하고, 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하고, 상기 제2 단말과 prose 그룹 통신을 수행하도록 제어할 수 있다.
또한, 단말의 통신부(510)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(510)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, MME에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하거나, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다.
도 5는 본 발명의 일 실시예에 따른 prose 기능 서버의 블록 구성도이다.
도 5를 참고하면, 본 발명의 일 실시예에 따른 prose 기능 서버(600)는, 통신부(610) 및 상기 prose 기능 서버(600)의 전반적인 동작을 제어하는 제어부(620)를 포함할 수 있다. 이때, 상기 제어부(620)는 prose 제어부(621)를 더 포함할 수 있다.
prose 기능 서버(600)의 prose 제어부(621)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 prose 기능 서버(600)를 제어한다. 예를 들면, 상기 prose 제어부(621)는 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어할 수 있다.
또한, prose 기능 서버의 통신부(610)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(610)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하거나, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다.
도 6은 본 발명의 일 실시예에 따른 HSS의 블록 구성도이다.
도 6을 참고하면, 홈 가입자 서버(HSS: Home Subscriber Server)(700)는 통신부(710) 및 상기 HSS(700)의 전반적인 동작을 제어하는 제어부(720)를 포함할 수 있다. 또한, 상기 제어부(720)는 가입자 정보 제어부(721)를 더 포함할 수 있다.
HSS(700)의 가입자 정보 제어부(721)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 HSS(700)를 제어한다. 예를 들면, 상기 가입자 정보 제어부(721)는, 인증 데이터 요청(Authentication data request) 메시지를 MME로부터 수신하도록 제어하고, 상기 수신 정보에 기반하여, MME로 인증 벡터 (authentication vector)를 포함하는 보안 관련 정보를 전송하도록 제어할 수 있다.
또한, HSS(700)의 통신부(710)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(710)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 인증 데이터 요청(Authentication data request) 메시지를 MME로부터 수신하거나, MME로 인증 벡터 (authentication vector)를 포함하는 보안 관련 정보를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다.
도 7은 본 발명의 일 실시 예에 따른 MME의 블록 구성도이다.
도 7을 참고하면, MME(800)는 통신부(810) 및 상기 MME(800)의 전반적인 동작을 제어하는 제어부(820)를 포함할 수 있다. 또한, 상기 제어부(820)는 이동성 관리 제어부(821)를 더 포함할 수 있다.
MME(800)의 이동성 관리 제어부(821)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 MME(800)를 제어한다. 예를 들면, 기지국으로부터 단말이 전송한 접속(attach request) 요청 메시지를 수신하고, 상기 수신한 접속(attach request) 요청 메시지에 기반하여, HSS로 인증 데이터 요청(Authentication data request) 메시지를 전송하도록 제어할 수 있다. 또한, 상기 이동성 관리 제어부(821)는, 상기 HSS로부터 인증 벡터(authentication vector)를 포함하는 보안 관련 정보를 수신하고, 상기 단말로 인증 토큰(AUTN)을 포함하는 사용자 인증 요청(User authentication request) 메시지를 전송하도록 제어할 수 있다.
또한, MME(800)의 통신부(810)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(810)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 기지국으로부터 단말이 전송한 접속(attach request) 요청 메시지를 수신하거나, HSS로 인증 데이터 요청(Authentication data request) 메시지를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다.
또한, 구체적으로 예시하지 않겠지만, 본 발명의 일 실시예에 따른 eNB, 응용 서버 등의 네트워크 엔티티들도 각각 통신부 및 제어부를 포함할 수 있다. 각각의 통신부는 해당 엔티티가 다른 엔티티들과 통신을 수행하도록 신호를 송수신할 수 있다. 그리고, 각각의 제어부는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 해당 엔티티를 제어할 수 있다.
상술한 실시 예들에서, 모든 단계 및 메시지는 선택적으로 수행의 대상이 되거나 생략의 대상이 될 수 있다. 또한 각 실시 예에서 단계들은 반드시 순서대로 일어날 필요는 없으며, 뒤바뀔 수 있다. 메시지 전달도 반드시 순서대로 일어날 필요는 없으며, 뒤바뀔 수 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
111: 단말 114: eNB
116: MME 121: HSS
127: prose function 125: application server

Claims (20)

  1. 단말의 통신 방법에 있어서,
    이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하는 단계;
    상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하는 단계;
    prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 단계; 및
    상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하는 단계;
    를 포함하는 단말의 통신 방법.
  2. 제1 항에 있어서,
    제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하는 단계;
    제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하는 단계;
    상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하는 단계;
    상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계; 및
    상기 제2 단말과 prose 그룹 통신을 수행하는 단계;
    를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.
  3. 제2 항에 있어서, 상기 제2 단말과 prose 그룹 통신을 수행하는 단계는,
    상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하는 단계;
    상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하는 단계;
    상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하는 단계; 및
    상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하는 단계;
    를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.
  4. 제1 항에 있어서, 상기 접속 요청(attach request) 메시지를 전송하는 단계는,
    상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하는 단계;
    를 포함하는 것을 특징으로 하는 단말의 통신 방법.
  5. 제2 항에 있어서, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는,
    상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하는 단계; 및
    상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하는 단계;
    를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.
  6. 제1 항에 있어서,
    상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하는 단계;
    를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.
  7. 제2 항에 있어서, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는,
    상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하는 단계;
    를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.
  8. 단말에 있어서,
    엔티티들와 통신하는 통신부; 및
    이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어하는 제어부;
    를 포함하는 단말.
  9. 제8 항에 있어서, 상기 제어부는,
    제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하고, 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하고, 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하고, 상기 제2 단말과 prose 그룹 통신을 수행하도록 제어하는 것을 특징으로 하는 단말.
  10. 제9 항에 있어서, 상기 제어부는,
    상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하고, 상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하도록 제어하는 것을 특징으로 하는 단말.
  11. 제8 항에 있어서, 상기 제어부는,
    상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하도록 제어하는 것을 특징으로 하는 단말.
  12. 제9 항에 있어서, 상기 제어부는,
    상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하도록 제어하는 것을 특징으로 하는 단말.
  13. 제8 항에 있어서, 상기 제어부는,
    상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하도록 제어하는 것을 특징으로 하는 단말.
  14. 제9 항에 있어서, 상기 제어부는,
    상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하도록 제어하는 것을 특징으로 하는 단말.
  15. 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)의 통신 방법에 있어서,
    단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하는 단계;
    상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하는 단계;
    상기 prose 그룹 세션 키를 생성하는 단계;
    prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 단계;
    상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하는 단계;
    상기 prose 그룹 암호화 키 또는 무결성 키를 생성하는 단계; 및
    상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하는 단계;
    를 포함하는 prose 기능 서버의 통신 방법.
  16. 제15 항에 있어서,
    상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하는 단계;
    상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하는 단계; 및
    상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하는 단계;
    를 더 포함하는 것을 특징으로 하는 prose 기능 서버의 통신 방법.
  17. 제16 항에 있어서, 상기 검증하는 단계는,
    prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하는 단계;
    를 포함하는 것을 특징으로 하는 prose 기능 서버의 통신 방법.
  18. 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)에 있어서,
    엔티티들와 통신하는 통신부;
    단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어하는 제어부;
    를 포함하는 prose 기능 서버.
  19. 제18 항에 있어서, 상기 제어부는,
    상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하고, 상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하도록 제어하는 것을 특징으로 하는 prose 기능 서버.
  20. 제19 항에 있어서, 상기 제어부는,
    prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하도록 제어하는 것을 특징으로 하는 prose 기능 서버.
KR1020140055885A 2014-01-13 2014-05-09 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 KR102088848B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US15/111,471 US10382955B2 (en) 2014-01-13 2015-01-13 Security method and system for supporting prose group communication or public safety in mobile communication
EP15735197.4A EP3096544B1 (en) 2014-01-13 2015-01-13 Security method and system for supporting prose group communication or public safety in mobile communication
PCT/KR2015/000354 WO2015105401A1 (ko) 2014-01-13 2015-01-13 이동 통신에서 prose그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020140004069 2014-01-13
KR20140004069 2014-01-13

Publications (2)

Publication Number Publication Date
KR20150084628A KR20150084628A (ko) 2015-07-22
KR102088848B1 true KR102088848B1 (ko) 2020-03-13

Family

ID=53874531

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140055885A KR102088848B1 (ko) 2014-01-13 2014-05-09 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템

Country Status (3)

Country Link
US (1) US10382955B2 (ko)
EP (1) EP3096544B1 (ko)
KR (1) KR102088848B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109691156B (zh) * 2016-07-14 2023-04-28 瑞典爱立信有限公司 基站、移动性管理实体及其操作方法
US11012428B1 (en) * 2017-03-02 2021-05-18 Apple Inc. Cloud messaging system
US11432257B2 (en) * 2017-07-28 2022-08-30 Thomas Lewis Griffin User proximity discovery and data identification
KR102488636B1 (ko) * 2017-11-23 2023-01-17 삼성전자주식회사 데이터 및 타임스탬프를 암호화하는 암호화 장치, 이를 포함하는 시스템 온 칩, 및 전자 장치
FR3105906B1 (fr) * 2019-12-31 2022-12-30 Air Lynx Système et procédé de gestion de l’authentification pour la communication directe entre des terminaux de communication mobiles d’un système de radiocommunication mobile.
CN114339622B (zh) * 2020-09-29 2022-09-23 大唐移动通信设备有限公司 一种ProSe通信组的通信方法、装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
WO2013095001A1 (ko) 2011-12-20 2013-06-27 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
WO2013109040A1 (ko) 2012-01-16 2013-07-25 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
US20130294433A1 (en) 2012-05-04 2013-11-07 Institute For Information Industry Direct mode communication system and communication attaching method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104272707B (zh) * 2012-04-27 2018-04-06 交互数字专利控股公司 支持邻近发现过程的方法和装置
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
KR101371181B1 (ko) 2012-05-31 2014-03-07 한국항공대학교산학협력단 통신 시스템에서 단말간 직접 통신의 자원 스케줄링 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
WO2013095001A1 (ko) 2011-12-20 2013-06-27 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
WO2013109040A1 (ko) 2012-01-16 2013-07-25 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
US20130294433A1 (en) 2012-05-04 2013-11-07 Institute For Information Industry Direct mode communication system and communication attaching method thereof

Also Published As

Publication number Publication date
US20160337850A1 (en) 2016-11-17
EP3096544B1 (en) 2019-08-07
KR20150084628A (ko) 2015-07-22
EP3096544A1 (en) 2016-11-23
US10382955B2 (en) 2019-08-13
EP3096544A4 (en) 2017-06-14

Similar Documents

Publication Publication Date Title
US10271208B2 (en) Security support method and system for discovering service and group communication in mobile communication system
KR102398221B1 (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
EP2903322B1 (en) Security management method and apparatus for group communication in mobile communication system
EP2676398B1 (en) Wireless device, registration server and method for provisioning of wireless devices
KR102094216B1 (ko) 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템
KR102088848B1 (ko) 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
TWI717383B (zh) 用於網路切分的金鑰層級
US10064053B2 (en) Authentication in device to device discovery
WO2017105777A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
US20130189955A1 (en) Method for context establishment in telecommunication networks
WO2015040092A2 (en) Methods, devices, and computer program products for facilitating device-to-device communication among wireless communication devices
JP2016522639A (ja) 通信ネットワークにおけるデバイス−デバイス間通信に関するデバイス発見方法、ユーザ機器デバイスおよびコンピュータプログラム製品
US20170366343A1 (en) Methods and apparatus for direct communication key establishment
US20230379168A1 (en) Relay ue and remote ue authorization
KR102110420B1 (ko) 이동 통신 시스템 환경 에서 재난 메시지를 보안상 효율적으로 관리하는 방법 및 장치
US20240129746A1 (en) A method for operating a cellular network
KR102209289B1 (ko) 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
WO2015105401A1 (ko) 이동 통신에서 prose그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템
US20230397000A1 (en) Handling application functions for key management in communication device-network relay scenarios
IL254758B (en) Method, equipment and computer software product for code encryption

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant