KR102125826B1 - 이동 통신 방법, 장치 및 디바이스 - Google Patents

이동 통신 방법, 장치 및 디바이스 Download PDF

Info

Publication number
KR102125826B1
KR102125826B1 KR1020187022094A KR20187022094A KR102125826B1 KR 102125826 B1 KR102125826 B1 KR 102125826B1 KR 1020187022094 A KR1020187022094 A KR 1020187022094A KR 20187022094 A KR20187022094 A KR 20187022094A KR 102125826 B1 KR102125826 B1 KR 102125826B1
Authority
KR
South Korea
Prior art keywords
nas
mme
message
mac
mobility management
Prior art date
Application number
KR1020187022094A
Other languages
English (en)
Other versions
KR20180100365A (ko
Inventor
징 첸
치 리
린 슈
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20180100365A publication Critical patent/KR20180100365A/ko
Application granted granted Critical
Publication of KR102125826B1 publication Critical patent/KR102125826B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 이동 통신 기술에, 특히, 이동 통신 방법, 장치, 및 디바이스에 관련된다. 이러한 방법은, UE(user equipment)에 의해, MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 단계- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -; 제1 검증 매칭 정보에 기초하여 UE에 의해, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하는 단계; 및 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다. 본 발명의 실시예들의 이동 통신 방법, 장치, 및 디바이스는 MME가 정확한 UE 능력 정보를 획득하는 것을 보장할 수 있다.

Description

이동 통신 방법, 장치 및 디바이스
본 발명은 이동 통신 기술에, 특히, 이동 통신 방법, 장치, 및 디바이스에 관련된다.
이동 통신의 첨부 프로시저에서, UE(user equipment)는 eNB(evolved NodeB)를 사용하여 MME(mobility management entity)에 첨부 요청 메시지를 전송한다. 첨부 요청 메시지는 네트워크 능력 및 보안 능력과 같은 UE 능력 정보를 운반한다. MME는 수신되는 UE 능력에 따라 UE에 대한 서비스를 제공한다. 첨부 요청 메시지가 무결성 보호를 갖지 않을 때, 예를 들어, UE가 네트워크에 처음으로 등록하는 시나리오에서 첨부 요청 메시지가 무결성 보호를 갖지 않을 때, 공격자가 중간자(man-in-the-middle) 공격을 구현하여, UE에 의해 MME에 전송되는 UE 능력 정보를 수정하면, MME는 수정된 UE 능력 정보에 기초하여 UE에 대한 서비스를 제공한다. 결과적으로, UE는 아마 일부 서비스들을 사용할 수 없다. 예를 들어, 공격자는 UE 능력 정보에서 음성 도메인 선호도 및 UE의 사용 설정을 제거하고, 추가적인 업테이트 타입-SMS 온리 파라미터를 추가한다. 결과로서, UE는 SMS 메시지 서비스만 사용할 수 있고, 음성 통화 서비스를 이용할 수 없다.
본 발명의 실시예들은 이동 통신 방법, 장치, 및 디바이스를 제공하여, MME가 정확한 UE 능력 정보를 획득하는 것을 보장한다.
제1 양태에 따르면, 본 발명의 실시예는 이동 통신 방법을 제공하고, 이는,
UE(user equipment)에 의해, MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 단계- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -;
제1 검증 매칭 정보에 기초하여 UE에 의해, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하는 단계; 및
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME가 NAS 보안 모드 명령 메시지를 UE에 전송하기 이전에 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산(Hash calculation)을 수행하는데 MME에 의해 사용되는 해시 알고리즘(Hash algorithm), MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code)를 추가로 포함하고;
UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산하고;
UE는 제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하고;
제2 NAS-MAC가 제1 NAS-MAC와 일치하면, UE는, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하고;
UE는 제2 해시 값이 제1 해시 값과 일치하는지 결정하고;
제2 해시 값이 제1 해시 값과 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함하고;
UE는 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고;
대응하여, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계는,
제2 해시 값이 제1 해시 값과 일치하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다.
선택적으로, 이러한 방법은,
제2 해시 값, 제2 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, UE에 의해, NAS 보안 모드 거절 메시지를 MME에 전송하는 단계; 또는
제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제2 해시 값이 제1 해시 값과 불일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -를 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함하고;
UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산하고; UE는 제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하고;
제4 NAS-MAC가 제3 NAS-MAC와 일치하면, UE는, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 UE 능력 정보의 제4 해시 값을 계산하고;
UE는 제4 해시 값이 제3 해시 값과 일치하는지 결정하고;
제4 해시 값이 제3 해시 값과 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함하고;
UE는 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고;
대응하여, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계는,
제4 해시 값이 제3 해시 값과 일치하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다.
선택적으로, 이러한 방법은,
제4 해시 값, 제4 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, UE에 의해, NAS 보안 모드 거절 메시지를 MME에 전송하는 단계; 또는
제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제4 해시 값이 제3 해시 값과 불일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -를 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함하고;
UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC를 계산하고;
UE는 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하고;
제6 NAS-MAC가 제5 NAS-MAC와 일치하면, UE는 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고;
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송한다.
선택적으로, UE는 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하고;
제6 NAS-MAC가 제5 NAS-MAC와 일치하면, UE는 MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고;
MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE는 MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하는지 결정하고;
MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하면, UE가 NAS 보안 모드 완료 메시지를 MME에 전송한다.
선택적으로, 이러한 방법은,
MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치하면, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함하고,
UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제8 NAS-MAC를 계산하고;
UE는 제8 NAS-MAC가 제7 NAS-MAC와 일치하는지 결정하고;
제8 NAS-MAC가 제7 NAS-MAC와 일치하면, UE는 MME에 의해 수신되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고;
MME에 의해 수신되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송하는- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -.
선택적으로, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
선택적으로, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
선택적으로, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계 이후, 방법은,
UE에 의해, MME에 의해 전송되는 다운링크 NAS 수송 메시지를 수신하는 단계- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 -; 및
UE에 의해, 업링크 정보 전달 메시지를 MME에 전송하는 단계- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 -를 추가로 포함한다.
선택적으로, UE에 의해, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계 이후, 방법은,
UE에 의해, MME에 의해 전송되는 UE 정보 요청 메시지를 수신하는 단계- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 -;
UE는 UE 정보 응답 메시지를 MME에 전송한다- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 -.
제2 양태에 따르면, 본 발명의 실시예는 이동 통신 방법을 제공하고, 이는,
MME에 의해, NAS 보안 모드 명령 메시지를 UE에 전송하는 단계- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -를 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication)를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
선택적으로, 이러한 방법은,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 첨부 요청 메시지의 제2 해시 값이 제1 해시 값과 불일치할 때, MME에 의해, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하는 단계- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -를 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
선택적으로, 이러한 방법은,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 UE 능력 정보의 제4 해시 값이 제3 해시 값과 불일치할 때, MME에 의해, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하는 단계- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -를 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
선택적으로, 이러한 방법은,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC가 제5 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE가 MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치한다고 결정할 때, MME에 의해, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하는 단계- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함한다.
선택적으로, 이러한 방법은,
MME에 의해, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하는 단계- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -를 추가로 포함한다.
선택적으로, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
선택적으로, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
선택적으로, 이러한 방법은,
MME가 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치한다고 결정하면, MME에 의해, 다운링크 NAS 수송 메시지를 UE에 전송하는 단계- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 -; 및
MME에 의해, UE에 의해 전송되는 업링크 정보 전달 메시지를 수신하는 단계- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 -를 추가로 포함한다.
선택적으로, 이러한 방법은,
MME가 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치한다고 결정하면, MME에 의해, UE 정보 요청 메시지를 UE에 전송하는 단계- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 -; 및
MME에 의해, UE에 의해 전송되는 UE 정보 응답 메시지를 수신하는 단계- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 -를 추가로 포함한다.
제3 양태에 따르면, 본 발명의 실시예는 이동 통신 장치를 제공한다. 이러한 장치는 UE에 배치되고,
MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하도록 구성되는 수신 모듈- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -;
제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하도록 구성되는 검증 모듈; 및
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치할 때, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성되는 제1 전송 모듈을 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME가 NAS 보안 모드 명령 메시지를 UE에 전송하기 이전에 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code)를 추가로 포함하고;
검증 모듈은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산하도록;
제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하도록;
제2 NAS-MAC가 제1 NAS-MAC와 일치하면, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하도록; 그리고
제2 해시 값이 제1 해시 값과 일치하는지 결정하도록 구성되고;
제1 전송 모듈은 구체적으로, 제2 해시 값이 제1 해시 값과 일치하고 제2 NAS-MAC가 제1 NAS-MAC와 일치할 때, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함하고;
검증 모듈은,
MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 추가로 구성되고;
제1 전송 모듈은 구체적으로,
제2 해시 값이 제1 해시 값과 일치하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, 제1 전송 모듈은,
제2 해시 값, 제2 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, NAS 보안 모드 거절 메시지를 MME에 전송하도록 추가로 구성되거나; 또는
제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제2 해시 값이 제1 해시 값과 불일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 추가로 구성된다- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함하고;
검증 모듈은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산하도록;
제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하도록;
제4 NAS-MAC가 제3 NAS-MAC와 일치하면, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 UE 능력 정보의 제4 해시 값을 계산하도록; 그리고
제4 해시 값이 제3 해시 값과 일치하는지 결정하도록 구성되고;
제1 전송 모듈은 구체적으로, 제4 해시 값이 제3 해시 값과 일치하면, UE에 대해, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함하고;
검증 모듈은,
MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 추가로 구성되고;
제1 전송 모듈은 구체적으로,
제4 해시 값이 제3 해시 값과 일치하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, 제1 전송 모듈은,
제4 해시 값, 제4 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, UE에 대해, NAS 보안 모드 거절 메시지를 MME에 전송하도록 추가로 구성되거나; 또는
제1 전송 모듈은, 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제4 해시 값이 제3 해시 값과 불일치하면, UE에 대해, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 - 추가로 구성된다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함하고;
검증 모듈은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC를 계산하도록;
UE에 대해, 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하도록; 그리고
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하도록 구성되고;
제1 전송 모듈은 구체적으로, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, 검증 모듈은 구체적으로,
제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하도록;
제6 NAS-MAC가 제5 NAS-MAC와 일치하면, MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록; 그리고
MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 대해, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하는지 결정하도록 구성되고;
제1 전송 모듈은 구체적으로, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
선택적으로, 제1 전송 모듈은,
MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 - 추가로 구성된다.
선택적으로, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함하고,
검증 모듈은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제8 NAS-MAC를 계산하도록; 그리고
제8 NAS-MAC가 제7 NAS-MAC와 일치하는지 결정하도록; 그리고 제8 NAS-MAC가 제7 NAS-MAC와 일치하면, MME에 의해 수신되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 구성되고;
제1 전송 모듈은 구체적으로, MME에 의해 수신되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 - 구성된다.
선택적으로, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
선택적으로, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
선택적으로, 수신 모듈은, 제1 전송 모듈이 NAS 보안 모드 완료 메시지를 MME에 전송한 이후, MME에 의해 전송되는 다운링크 NAS 수송 메시지를 수신하도록- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성되고;
제1 전송 모듈은 업링크 정보 전달 메시지를 MME에 전송하도록- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
선택적으로, 수신 모듈은,
제1 전송 모듈이 NAS 보안 모드 완료 메시지를 MME에 전송한 이후, MME에 의해 전송되는 UE 정보 요청 메시지를 수신하도록- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성되고;
제1 전송 모듈은 UE 정보 응답 메시지를 MME에 송신하도록- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
제4 양태에 따르면, 본 발명의 실시예는 이동 통신 장치를 제공한다. 이러한 장치는 MME에 배치되고,
NAS 보안 모드 명령 메시지를 UE에 전송하도록 구성되는 제2 전송 모듈- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -을 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication)를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
선택적으로, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령의 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 첨부 요청 메시지의 제2 해시 값이 제1 해시 값과 불일치할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제1 수신 모듈- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -을 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
선택적으로, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 UE 능력 정보의 제4 해시 값이 제3 해시 값과 불일치할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제2 수신 모듈- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -을 추가로 포함한다.
선택적으로, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
선택적으로, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC가 제5 NAS-MAC와 일치하고, MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE가 MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치한다고 결정할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제3 수신 모듈- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -을 추가로 포함한다.
선택적으로, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함한다.
선택적으로, 이러한 장치는 UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제4 수신 모듈- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -을 추가로 포함한다.
선택적으로, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
선택적으로, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
선택적으로, 제2 전송 모듈은, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치하면, 다운링크 NAS 수송 메시지를 UE에 전송하도록- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성되고;
제4 수신 모듈은 UE에 의해 전송되는 업링크 정보 전달 메시지를 수신하도록- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
선택적으로, 제2 전송 모듈은, MME가 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치한다고 결정하면, UE 정보 요청 메시지를 UE에 전송하도록- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성되고;
제4 수신 모듈은 UE에 의해 전송되는 UE 정보 응답 메시지를 수신하도록- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
제5 양태에 따르면, 본 발명의 실시예는 이동 통신 디바이스를 제공한다. 이러한 디바이스는 UE에 배치되고,
통신 인터페이스, 메모리, 프로세서, 및 통신 버스를 포함하고- 통신 인터페이스, 메모리, 및 프로세서는 통신 버스를 사용하여 통신함 -;
메모리는 프로그램을 저장하도록 구성되고, 프로세서는 메모리에 저장되는 프로그램을 실행하도록 구성되고; 이동 통신 디바이스가 작동할 때, 프로세서는 프로그램을 작동시키고, 프로그램은,
MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 단계- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -;
제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하는 단계; 및
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다.
제6 양태에 따르면, 본 발명의 실시예는 이동 통신 디바이스를 제공한다. 이러한 디바이스는 MME에 배치되고,
통신 인터페이스, 메모리, 프로세서, 및 통신 버스를 포함하고- 통신 인터페이스, 메모리, 및 프로세서는 통신 버스를 사용하여 통신함 -;
메모리는 프로그램을 저장하도록 구성되고, 프로세서는 메모리에 저장되는 프로그램을 실행하도록 구성되고; 이동 통신 디바이스가 작동할 때, 프로세서는 프로그램을 작동시키고, 프로그램은,
NAS 보안 모드 명령 메시지를 UE에 전송하는 단계- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -를 포함한다.
본 발명의 실시예들에서의 방법에 따르면, UE는, 수신되는 제1 검증 매칭 메시지에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 검증한다. 본 발명의 실시예들에서, MME는 검증 매칭 메시지를 되돌려 전송하고, UE는 MME에 의해 수신되는 UE 능력 정보를 검증하여, MME가 정확한 UE 능력 정보를 소유하는 것을 보장한다는 점을 알 수 있다. 이것은, 첨부 프로시저에서, 첨부 요청 메시지가 NAS 보안 컨텍스트에 의해 보호되지 않고, 공격자가 UE 능력 정보를 수정할 수 있고, MME가 정확한 UE 능력 정보를 획득할 수 없다는 점에 의해 야기되는 DoS 공격 문제점을 해결한다. DoS는 Denial of Service, 즉, 서비스의 거부의의 약어이고, 이러한 DoS를 야기하는 공격 거동은 DoS 공격이라고 지칭된다.
도 1은 본 발명의 실시예 1에 따른 이동 통신 방법의 흐름도이다.
도 2는 본 발명의 실시예 2에 따른 이동 통신 방법의 흐름도이다.
도 3은 본 발명의 실시예 3에 따른 이동 통신 방법의 흐름도이다.
도 4는 본 발명의 실시예 4에 따른 이동 통신 방법의 흐름도이다.
도 5는 본 발명의 실시예 5에 따른 이동 통신 방법의 흐름도이다.
도 6은 본 발명의 실시예 6에 따른 이동 통신 방법의 흐름도이다.
도 7은 본 발명의 실시예 7에 따른 이동 통신 방법의 흐름도이다.
도 8은 본 발명의 실시예 8에 따른 이동 통신 방법의 흐름도이다.
도 9는 본 발명의 실시예 9에 따른 이동 통신 방법의 흐름도이다.
도 10은 본 발명의 실시예 10에 따른 이동 통신 방법의 흐름도이다.
도 11은 본 발명의 실시예 11에 따른 이동 통신 방법의 흐름도이다.
도 12는 본 발명의 실시예 12에 따른 이동 통신 방법의 흐름도이다.
도 13은 본 발명의 실시예 15에 따른 이동 통신 방법의 흐름도이다.
도 14는 본 발명의 실시예 16에 따른 이동 통신 방법의 흐름도이다.
도 15는 본 발명의 실시예 1에 따른 이동 통신 장치의 개략 구조도이다.
도 16은 본 발명의 실시예 2에 따른 이동 통신 장치의 개략 구조도이다.
도 17은 본 발명의 실시예 1에 따른 이동 통신 디바이스의 개략 구조도이다.
도 18은 본 발명의 실시예 2에 따른 이동 통신 디바이스의 개략 구조도이다.
도 1은 본 발명의 실시예 1에 따른 이동 통신 방법의 흐름도이다. 도 1에 도시되는 바와 같이, 본 발명의 실시예 1은 다음의 주요 처리 단계들을 포함한다.
단계 S11: UE가 MME로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신함- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -.
UE의 첨부 프로시저에서, UE는 eNB를 사용하여 첨부 요청 메시지를 MME에 전송한다- 첨부 요청 메시지는 UE 능력 정보를 운반함 -.
구체적으로, UE 능력 정보는, UE 네트워크 능력- UE 네트워크 능력은 UE 보안 능력을 포함함 -, MS(mobile station) 네트워크 능력, 이동 스테이션 클래스마크 2, 이동 스테이션 클래스마크 3, 지원되는 코덱들, 추가적인 업테이트 타입, 음성 도메인 선호도 및 UE의 사용 설정, 및 이동 스테이션 네트워크 특징 지원을 포함할 수 있다.
UE에 의해 MME에 전송되는 첨부 요청 메시지는 무결성 보호를 갖지 않을 수 있기 때문에, 첨부 요청 메시지는 중간자 공격의 대상일 수 있다. 결과적으로, MME에 의해 수신되는 첨부 요청 메시지에서의 UE 능력 정보는 UE에 의해 MME에 전송되는 것과 불일치한다. 결과로서, MME는 정확한 UE 능력 정보를 획득할 수 없다.
MME가 정확한 UE 능력 정보를 획득할 수 있는 것을 보장하기 위해, MME가 NAS 보안 모드 명령 메시지를 사용하여 NAS 보안 활성화 프로시저에서 제1 검증 매칭 정보를 UE에 전송하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 일치하는지 결정한다.
단계 S12: UE가, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정함.
단계 S13: MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
본 발명의 이러한 실시예에서의 방법에 따르면, UE는, 수신되는 제1 검증 매칭 메시지에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 검증한다. 본 발명의 실시예들에서, MME는 검증 매칭 메시지를 되돌려 전송하고, UE는 MME에 의해 수신되는 UE 능력 정보를 검증하여, MME가 정확한 UE 능력 정보를 소유하는 것을 보장한다는 점을 알 수 있다. 이것은, 첨부 프로시저에서, 첨부 요청 메시지가 NAS 보안 컨텍스트에 의해 보호되지 않고, 공격자가 UE 능력 정보를 수정할 수 있고, MME가 정확한 UE 능력을 획득할 수 없다는 점에 의해 야기되는 DoS 공격 문제점을 해결한다. DoS는 Denial of Service의 약어이고, 이러한 DoS를 야기하는 공격 거동은 DoS 공격이라고 지칭된다.
본 발명의 실시예 1의 전술한 방법에서, 제1 검증 매칭 정보는 복수의 상이한 방식들로 구현될 수 있고, 구체적인 실시예들을 참조하여 설명들이 이하 제공된다.
도 2는 본 발명의 실시예 2에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는 수신되는 첨부 요청 메시지에 해시 계산을 수행하여 첨부 요청 메시지의 해시 값을 획득하고, NAS 보안 모드 명령 메시지를 사용하여 첨부 요청 메시지의 해시 값을 UE에 전송하므로, UE는 첨부 요청 메시지의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 것과 일치하는지 결정한다. 도 2에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S21: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 첨부 요청 메시지의 제1 해시 값이고- 제1 해시 값은 첨부 요청 메시지에 해시 계산을 수행하여 MME에 의해 획득됨 -, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code)를 추가로 포함한다. 제1 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용된다.
추가로, NAS 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 IMEI(international mobile equipment identity) 요청, 및 유휴 이동 보안 컨텍스트의 매핑에 사용되는 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S22: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산함.
이러한 단계에서, UE는, 전송되는 NAS 보안 모드 명령 메시지에 MME가 무결성 보호를 수행하는 방식으로, UE에 의해 수신되는 NAS 보안 모드 명령 메시지에 계산을 수행하여, 제2 NAS-MAC를 획득한다.
NAS 보안 모드 명령 메시지가 전송 프로시저에서 중간자 공격의 대상이 아니면, 제1 NAS-MAC는 제2 NAS-MAC와 일치한다.
단계 S23: UE가, 제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하면, 단계 S24를 수행하거나, 또는 제2 NAS-MAC가 제1 NAS-MAC와 불일치하면, 단계 S27을 수행함.
단계 S24: UE가, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 첨부 요청 메시지의 제2 해시 값을 계산함.
UE는, 해시 알고리즘을 사용하여, 첨부 프로시저에서 UE에 의해 MME에 전송되는 첨부 요청 메시지에 해시 계산을 수행한다. 첨부 요청 메시지가 첨부 프로시저에서 중간자 공격을 수행하는 공격자에 의해 수정되지 않으면, UE에 의해 계산되는 제2 해시 값은 NAS 보안 모드 명령 메시지에서의 제1 해시 값과 일치한다.
추가로, 본 발명의 이러한 실시예에서, 첨부 요청 메시지의 해시 값은 NAS 보안 모드 명령 메시지에 운반되어, 첨부 요청 메시지의 길이를 감소시키고, 정보 전송 속도를 향상시킨다.
단계 S25: UE가, 제2 해시 값이 제1 해시 값과 일치하는지 결정하고, 제2 해시 값이 제1 해시 값과 일치하면, 단계 S26을 수행하고; 그렇지 않으면, 단계 S27을 수행함.
단계 S26: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S27: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, UE는 수신되는 NAS 보안 모드 명령 메시지의 무결성 및 MME에 의해 수신되는 첨부 요청 메시지의 해시 값을 검증한다. 제2 해시 값이 제1 해시 값과 일치하고 제2 NAS-MAC가 제1 NAS-MAC와 일치할 때, UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지가 수정되지 않았고, UE 첨부 프로시저에서 MME에 의해 수신되는 첨부 요청 메시지가 UE에 의해 MME에 전송되는 것과 일치한다고 결정하고, 그렇게 함으로써 MME에 의해 수신되는 첨부 요청 메시지에서의 UE 능력 정보가 UE에 의해 전송되는 UE 능력 정보와 일치한다는 것을 보장한다.
첨부 요청 메시지의 해시 값과 NAS-MAC의 무결성 중 적어도 하나가 성공적이지 않은 것으로 검증될 때, 이것은 MME에 의해 수신되는 첨부 요청 메시지와 NAS 보안 모드 명령 메시지 중 적어도 하나가 공격을 받고 있고 수정되는 것을 표시한다. 이러한 경우, UE는 NAS 보안 모드 거절 메시지를 MME에 전송한다.
이러한 실시예에서, UE는, MME의 첨부 요청 메시지의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보를 검증한다. 이러한 것은 MME에 의해 수신되는 UE 능력 정보가 정확한 UE 능력 정보라는 것을 보장한다.
이러한 실시예에서, 제1 검증 매칭 메시지는, 종래의 사양에서, MME에 의해 UE 보안 능력을 되돌려 전송하는데 사용되는, IE(information element)를 점유하여 송신될 수 있거나, 또는 새로운 IE를 사용하여 송신될 수 있다.
도 3은 본 발명의 실시예 3에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 수신되는 UE 보안 능력 및 수신되는 첨부 요청 메시지의 해시 값을 UE에 전송하므로, UE는 첨부 요청 메시지 및 UE 보안 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 것과 일치하는지 결정한다. 도 3에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S31: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 첨부 요청 메시지의 제1 해시 값이고- 제1 해시 값은 MME가 첨부 요청 메시지에 해시 계산을 수행한 이후 획득됨 -, NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC를 추가로 포함한다. 제1 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용된다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S32: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산함.
이러한 단계에서, UE는, 전송되는 NAS 보안 모드 명령 메시지에 MME가 무결성 보호를 수행하는 방식으로, UE에 의해 수신되는 NAS 보안 모드 명령 메시지에 계산을 수행하여, 제2 NAS-MAC를 획득한다.
NAS 보안 모드 명령 메시지가 전송 프로시저에서 중간자 공격의 대상이 아니면, 제1 NAS-MAC는 제2 NAS-MAC와 일치한다.
단계 S33: UE가, 제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하면, 단계 S34를 수행하거나, 또는 제2 NAS-MAC가 제1 NAS-MAC와 불일치하면, 단계 S36을 수행함.
단계 S34: UE가, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하고, 제2 해시 값이 제1 해시 값과 일치하는지 및 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고(해시 값 계산, 해시 값 결정, 및 UE 보안 능력 결정의 순서가 제한되는 것은 아님), 제2 해시 값이 제1 해시 값과 일치하고 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, 단계 S35를 수행하고; 그렇지 않으면, 단계 S36을 수행함.
UE는, 해시 알고리즘을 사용하여, 첨부 프로시저에서 UE에 의해 MME에 전송되는 첨부 요청 메시지에 해시 계산을 수행하고, 첨부 요청 메시지가 첨부 프로시저에서 중간자 공격을 수행하는 공격자에 의해 수정되지 않으면, UE에 의해 계산되는 제2 해시 값은 NAS 보안 모드 명령 메시지에서의 제1 해시 값과 일치한다.
추가로, 본 발명의 이러한 실시예에서, 첨부 요청 메시지의 해시 값은 NAS 보안 모드 명령 메시지에 운반되어, 첨부 요청 메시지의 길이를 감소시키고, 정보 전송 속도를 향상시킨다.
단계 S35: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S36: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
본 발명의 이러한 실시예에서, UE는, MME에 의해 수신되는 첨부 요청 메시지의 해시 값 및 UE 보안 능력을 검증하여, MME에 의해 수신되는 UE 능력을 검증하여, MME에 의해 수신되는 UE 능력 정보가 정확한 UE 능력 정보라는 것을 보장한다.
본 발명의 이러한 실시예에서, 제1 검증 매칭 메시지는 새로운 IE만을 사용하여 송신될 수 있다.
도 4는 본 발명의 실시예 4에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 수신되는 UE 보안 능력 및 수신되는 첨부 요청 메시지의 해시 값을 UE에 전송하므로, UE는 첨부 요청 메시지 및 UE 보안 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 것과 일치하는지 결정한다. 도 4에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S41: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 첨부 요청 메시지의 제1 해시 값이고- 제1 해시 값은 MME가 첨부 요청 메시지에 해시 계산을 수행한 이후 획득됨 -, NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC를 추가로 포함한다. 제1 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용된다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S42: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산함.
단계 S43: UE가, 제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하면, 단계 S44를 수행하거나, 또는 제2 NAS-MAC가 제1 NAS-MAC와 불일치하면 단계 S48을 수행함.
단계 S44: UE가, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, 단계 S45를 수행하고; 그렇지 않으면, 단계 S48을 수행함.
단계 S45: UE가, 제2 해시 값이 제1 해시 값과 일치하는지 결정하고, 제2 해시 값이 제1 해시 값과 일치하면, 단계 S46을 수행하거나; 또는 제2 해시 값이 제1 해시 값과 불일치하면, 단계 S47을 수행함.
본 발명의 이러한 실시예에서, 제2 해시 값의 계산은 전술한 실시예에서의 것과 동일하고, 상세 사항들이 여기서 다시 설명되지는 않는다.
단계 S46: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S47: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- 이러한 메시지는 첨부 요청 메시지 또는 UE 능력을 운반함 -. 첨부 요청 메시지를 운반하는 것 외에도, 이러한 단계에서 전송되는 NAS 보안 모드 완료 메시지는 추가로 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S48: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, UE 보안 능력 및 NAS-MAC 양자 모두의 무결성이 성공적으로 검증된 이후, UE와 MME 사이에 NAS 보안 컨텍스트가 실제로 셋업된다. 따라서, 첨부 요청 메시지의 해시 값의 무결성이 성공적이지 않은 것으로 검증될 때, 첨부 요청 콘텐츠는 무결성 보호를 갖는 NAS 보안 모드 완료 메시지에 다시 직접 업로드된다. 이것은 또한 이러한 실시예와 실시예 3 사이의 차이이다. 실시예 3에서 사용되는 방식은 다음과 같다: UE 보안 능력들 및 NAS-MAC의 무결성이 성공적으로 검증되고 UE와 MME 사이에 NAS 보안 컨텍스트가 셋업되더라도, 첨부 요청 메시지의 해시 값의 무결성이 성공적이지 않은 것으로 검증되면, UE는 NAS 보안 모드 거절 메시지를 전송할 필요가 있다.
본 발명의 이러한 실시예에서, 제1 검증 매칭 메시지는 새로운 IE만을 사용하여 송신될 수 있다.
도 5는 본 발명의 실시예 5에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는 수신되는 UE 능력 정보에 해시 계산을 수행하여 UE 능력의 해시 값을 획득하고, NAS 보안 모드 명령 메시지를 사용하여 UE 능력 정보의 해시 값을 UE에 전송하므로, UE는 UE 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 것과 일치하는지 결정한다. 도 5에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S51: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 UE 능력 정보의 제3 해시 값이다- 제3 해시 값은 MME가 UE 능력 정보에 해시 계산을 수행한 이후 획득됨 -. NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC- 제3 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용됨 -를 추가로 포함한다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S52: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산함.
이러한 단계에서, UE는, 전송되는 NAS 보안 모드 명령 메시지에 MME가 무결성 보호를 수행하는 방식으로, UE에 의해 수신되는 NAS 보안 모드 명령 메시지에 계산을 수행하여, 제4 NAS-MAC를 획득한다.
NAS 보안 모드 명령 메시지가 전송 프로시저에서 중간자 공격을 받고 있지 않으면, 제3 NAS-MAC는 제4 NAS-MAC와 일치한다.
단계 S53: UE가, 제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하면, 단계 S54를 수행하고; 그렇지 않으면, 단계 S57을 수행함.
단계 S54: UE가, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 UE 능력 정보의 제4 해시 값을 계산함.
UE는, 해시 알고리즘을 사용하여, 첨부 프로시저에서 UE에 의해 MME에 전송되는 UE 능력 정보에 해시 계산을 수행하고, UE 능력 정보가 첨부 프로시저에서 중간자 공격을 수행하는 공격자에 의해 수정되지 않으면, UE에 의해 계산되는 제4 해시 값은 NAS 보안 모드 명령 메시지에서의 제3 해시 값과 일치한다.
추가로, 본 발명의 이러한 실시예에서, UE 능력 정보의 해시 값은 NAS 보안 모드 명령 메시지에 운반되어, UE 능력 정보의 길이를 감소시키고, 정보 전송 속도를 향상시킨다.
단계 S55: UE가, 제4 해시 값이 제3 해시 값과 일치하는지 결정하고, 제4 해시 값이 제3 해시 값과 일치하면, 단계 S56을 수행하고; 그렇지 않으면, 단계 S57을 수행함.
단계 S56: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S57: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, UE는 수신되는 NAS 보안 모드 명령 메시지의 무결성 및 MME에 의해 수신되는 UE 능력 정보의 해시 값을 검증한다. 제4 해시 값이 제3 해시 값과 일치하고 제4 NAS-MAC가 제3 NAS-MAC와 일치할 때, UE는 UE에 의해 수신되는 NAS 보안 모드 명령 메시지가 수정되지 않았고, UE 첨부 프로시저에서 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 것과 일치한다고 결정하고, 그렇게 함으로써 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 UE 능력 정보와 일치한다는 것을 보장한다.
UE 능력 정보의 해시 값과 NAS-MAC의 무결성 중 적어도 하나가 성공적이지 않은 것으로 검증될 때, 이것은 MME에 의해 수신되는 UE 능력 정보와 NAS 보안 모드 명령 메시지 중 적어도 하나가 공격을 받고 있고 수정되는 것을 표시한다. 이러한 경우, UE는 NAS 보안 모드 거절 메시지를 MME에 전송한다.
이러한 실시예에서, UE는, MME의 UE 능력 정보의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보를 검증하여, MME에 의해 수신되는 UE 능력 정보가 정확한 UE 능력 정보라는 것을 보장한다.
이러한 실시예에서, 제1 검증 매칭 메시지는 종래의 사양에서 MME에 의해 되돌려 전송되는 UE 보안 능력에 대해 IE를 점유하여 송신될 수 있거나, 또는 새로운 IE를 사용하여 송신될 수 있다.
도 6은 본 발명의 실시예 6에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 수신되는 UE 보안 능력 및 수신되는 UE 능력 정보의 해시 값을 UE에 전송하므로, UE는 UE 능력 정보 및 UE 보안 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정한다. 도 6에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S61: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 UE 능력 정보의 제3 해시 값이다- 제3 해시 값은 MME가 UE 능력 정보에 해시 계산을 수행한 이후 획득됨 -. NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC- 제3 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용됨 -를 추가로 포함한다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S62: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산함.
이러한 단계에서, UE는, 전송되는 NAS 보안 모드 명령 메시지에 MME가 무결성 보호를 수행하는 방식으로, UE에 의해 수신되는 NAS 보안 모드 명령 메시지에 계산을 수행하여, 제4 NAS-MAC를 획득한다.
NAS 보안 모드 명령 메시지가 전송 프로시저에서 중간자 공격을 받고 있지 않으면, 제3 NAS-MAC는 제4 NAS-MAC와 일치한다.
단계 S63: UE가, 제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하면, 단계 S64를 수행하고; 그렇지 않으면, 단계 S66을 수행함.
단계 S64: UE가, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 UE 능력 정보의 제4 해시 값을 계산하고, 제4 해시 값이 제3 해시 값과 일치하는지 및 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고(해시 값 계산, 해시 값 결정, 및 UE 보안 능력 결정의 순서가 명시되는 것은 아님), 제4 해시 값이 제3 해시 값과 일치하고 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, 단계 S65를 수행하고; 그렇지 않으면, 단계 S66을 수행함.
단계 S65: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S66: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
본 발명의 이러한 실시예에서, UE는, MME의 UE 능력 정보 및 UE 보안 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보를 검증하여, MME에 의해 수신되는 UE 능력 정보가 정확한 UE 능력 정보라는 것을 보장한다. 본 발명의 이러한 실시예에서, 제1 검증 매칭 메시지는 새로운 IE만을 사용하여 송신될 수 있다.
도 7은 본 발명의 실시예 7에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 수신되는 UE 보안 능력 및 수신되는 UE 능력 정보의 해시 값을 UE에 전송하므로, UE는 UE 능력 정보 및 UE 보안 능력의 해시 값을 검증하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정한다. 도 7에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S71: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 수신되는 UE 능력 정보의 제3 해시 값이다- 제3 해시 값은 MME가 UE 능력 정보에 해시 계산을 수행한 이후 획득됨 -. NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC- 제3 NAS-MAC는 NAS 보안 모드 명령 메시지의 무결성을 보호하는데 사용됨 -를 추가로 포함한다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]를 추가로 포함할 수 있다.
단계 S72: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산함.
단계 S73: UE가, 제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하면, 단계 S74를 수행하고; 그렇지 않으면, 단계 S78을 수행함.
단계 S74: UE가, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, 단계 S75를 수행하고; 그렇지 않으면, 단계 S78을 수행함.
단계 S75: UE가, 제4 해시 값이 제3 해시 값과 일치하는지 결정하고, 제4 해시 값이 제3 해시 값과 일치하면, 단계 S76을 수행하거나; 또는 제4 해시 값이 제3 해시 값과 불일치하면, 단계 S77을 수행함.
단계 S76: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S77: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- 이러한 메시지는 UE 능력 정보를 운반함 -.
UE 능력 정보를 운반하는 것 외에도, 이러한 단계에서 전송되는 NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S78: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
본 발명의 이러한 실시예에서, 제1 검증 매칭 메시지는 새로운 IE만을 사용하여 송신될 수 있다.
도 8은 본 발명의 실시예 8에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 첨부 프로시저에서 수신되는 UE 능력 정보를 UE에 전송하여, UE를 사용하여 UE 능력 정보를 검증한다. 도 8에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S81: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 능력 정보이다. NAS 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S82: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC를 계산함.
단계 S83: UE가, 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하고, 제6 NAS-MAC가 제5 NAS-MAC와 일치하면, 단계 S84를 수행하고; 그렇지 않으면, 단계 S86을 수행함.
단계 S84: UE가, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정함.
단계 S85: MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S86: 제6 NAS-MAC가 제5 NAS-MAC와 불일치하거나 또는 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 불일치하면, UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, 제1 검증 매칭 메시지는 종래의 사양에서 MME에 의해 되돌려 전송되는 UE 보안 능력의 IE를 점유하여 송신될 수 있거나, 또는 새로운 IE를 사용하여 송신될 수 있거나, 또는 제1 검증 매칭 메시지에서의 UE 보안 능력 이외의 제1 검증 매칭 메시지에서의 UE 능력이 새로운 IE를 사용하여 송신된다.
도 9는 본 발명의 실시예 9에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 첨부 프로시저에서 수신되는 UE 능력 정보를 UE에 전송하여, UE를 사용하여 UE 능력 정보를 검증한다. 도 9에 도시되는 바와 같이, 이러한 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S91: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지에 운반되는 제1 검증 매칭 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 능력 정보이다. NAS 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
추가로, 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S92: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC를 계산함.
단계 S93: UE가, 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하고, 제6 NAS-MAC가 제5 NAS-MAC와 일치하면, 단계 S94를 수행하고; 그렇지 않으면, 단계 S98을 수행함.
단계 S94: UE가, MME에 의해 되돌려 전송되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하고, MME에 의해 되돌려 전송되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, 단계 S95를 수행하고; 그렇지 않으면, 단계 S98을 수행함.
단계 S95: UE가, MME에 의해 되돌려 전송되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하는지 결정하고, MME에 의해 되돌려 전송되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력과들 일치하면, 단계 S96을 수행하고; 그렇지 않으면, 단계 S97을 수행함.
단계 S96: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함.
NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S97: UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- NAS 보안 모드 완료 메시지는 UE 능력을 운반함 -.
UE 능력 정보를 운반하는 것 외에도, 이러한 단계에서 전송되는 NAS 보안 모드 완료 메시지는 선택적으로 [IMEI]를 운반하고 NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
단계 S98: UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, 제1 검증 매칭 메시지는 종래의 사양에서 MME에 의해 되돌려 전송되는 UE 보안 능력의 IE를 점유하여 송신될 수 있거나, 또는 새로운 IE를 사용하여 송신될 수 있거나, 또는 제1 검증 매칭 메시지에서의 UE 보안 능력 이외의 제1 검증 매칭 메시지에서의 UE 능력이 새로운 IE를 사용하여 송신된다.
도 10은 본 발명의 실시예 10에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, UE는 NAS 보안 모드 완료 메시지에서의 제2 검증 매칭 정보를 MME에 전송한다. 도 10에 도시되는 바와 같이, 본 발명의 실시예 10의 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S101: MME가 UE로부터 NAS 보안 모드 완료 메시지를 수신함- NAS 보안 모드 완료 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제2 검증 매칭 정보를 운반함 -.
단계 S102: MME가, 제2 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정함.
본 발명의 실시예 10의 전술한 방법에서, 제2 검증 매칭 정보는 복수의 상이한 방식들로 구현될 수 있고, 구체적인 실시예들을 참조하여 설명들이 이하 제공된다.
도 11은 본 발명의 실시예 11에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 첨부 프로시저에서 수신되는 UE 보안 능력 정보를 UE에 전송한다. 도 11에 도시되는 바와 같이, 본 발명의 실시예 11의 방법은 다음의 주요 처리 단계들을 포함한다.
단계 S111: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘 및 선택적으로 운반되는 해시 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 운반한다.
추가로, NAS 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]- NONCEUE는 UE에 의해 선택되는 난수이고, NONCEMME는 MME에 의해 선택되는 난수임 -를 추가로 포함할 수 있다.
단계 S112: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제8 NAS-MAC를 계산함.
단계 S113: UE가, 제8 NAS-MAC가 제7 NAS-MAC와 일치하는지 결정하고, 제8 NAS-MAC가 제7 NAS-MAC와 일치하면, 단계 S114를 수행하고; 그렇지 않으면, 단계 S116을 수행함.
단계 S114: UE가, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정함.
단계 S115: MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- NAS 보안 모드 완료 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제2 검증 매칭 정보, 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -.
본 발명의 이러한 실시예에서, UE 보안 능력 및 NAS 보안 모드 명령 메시지 양자 모두의 무결성이 성공적으로 검증되면, 제2 검증 매칭 정보가 MME에 전송되고, MME는, 수신되는 제2 검증 매칭 정보를 사용하여, 첨부 프로시저에서 수신되는 UE 능력 정보를 검증할 수 있어, MME가 정확한 UE 능력 정보를 획득하는 것을 보장한다.
UE에 의해 MME에 전송되는 제2 검증 매칭 정보는 추가로 첨부 프로시저에서 UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값, 또는 첨부 프로시저에서 UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값일 수 있다. 추가적으로, NAS 보안 모드 완료 메시지는 UE 및 [IMEI]에 의해 사용되는 해시 알고리즘(선택적으로 운반됨)을 선택적으로 운반하고, NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반한다.
첨부 요청 메시지의 해시 값 또는 UE에 의해 전송되는 UE 능력 정보의 해시 값을 수신한 이후, MME는, 해시 알고리즘을 사용하여, 첨부 프로시저에서 수신되는 첨부 요청 메시지 또는 UE 능력 정보에 해시 계산을 수행하고, 계산 결과를 사용하여, 첨부 프로시저에서 MME에 의해 수신되는 첨부 요청 메시지 또는 UE 능력 정보가 UE에 의해 전송되는 것과 일치하는지 결정한다.
첨부 프로시저에서 MME에 의해 수신되는 첨부 요청 메시지 또는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치하면, NAS 보안 활성화 이후, MME는 UE에게 UE 능력 정보 또는 다음의 구체적인 구현들에서의 첨부 요청 콘텐츠를 재전송하라고 요청한다.
구현 1:
(1) MME가 다운링크 NAS 수송 메시지를 eNB에 전송함- 다운링크 NAS 수송 메시지는 UE 능력 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 포함함 -.
(2) eNB가 다운링크 정보 전달 메시지를 UE에 전송함- 다운링크 정보 전달 메시지는 UE 능력 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 포함함 -;
(3) UE가 업링크 정보 전달 메시지를 eNB에 전송함- 이러한 메시지는 UE 능력 또는 첨부 요청 메시지 콘텐츠(Attach request contents)를 포함함 -.
(4) eNB가 업링크 NAS 수송 메시지를 MME에 전송함- 이러한 메시지는 UE 능력 또는 첨부 요청 콘텐츠를 포함함 -.
삭제
삭제
삭제
구현 2:
(1) MME가 UE 정보 요청 메시지를 eNB에 전송함- UE 정보 요청 메시지는 UE 능력 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 포함함 -.
(2) eNB가 UE 정보 요청 메시지를 UE에 전송함.
(3) UE가 UE 정보 응답 메시지를 eNB에 전송함- UE 정보 응답 메시지는 UE 능력 또는 첨부 요청 메시지 운반 콘텐츠(Attach request contents)를 운반함 -.
(4) eNB가 UE 정보 응답 메시지를 MME에 전송함- UE 정보 응답 메시지는 UE 능력 또는 첨부 요청 메시지 콘텐츠(Attach request contents)를 운반함 -.
단계 S116: 제8 NAS-MAC가 제7 NAS-MAC와 불일치하거나 또는 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 불일치하면, UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
삭제
삭제
삭제
삭제
도 12는 본 발명의 실시예 12에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서, MME는, NAS 보안 모드 명령 메시지를 사용하여, 첨부 프로시저에서 수신되는 UE 보안 능력 정보를 UE에 전송한다. 도 12에 도시되는 바와 같이, 본 발명의 실시예 12는 다음의 주요 처리 단계들을 포함한다.
단계 S121: UE가 MME로부터 NAS 보안 모드 명령 메시지를 수신함.
NAS 보안 모드 명령 메시지는 첨부 프로시저에서 MME에 의해 수신되는 UE 보안 능력, MME 및 UE 양자 모두에 의해 사용되는 무결성 알고리즘, 선택적으로 운반되는 해시 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 운반한다.
추가로, NAS 보안 모드 명령 메시지는 MME 및 UE 양자 모두에 의해 지원되는 암호화 알고리즘, 선택적으로 운반되는 [IMEI 요청], 및 선택적으로 운반되는 [NONCEUE, NONCEMME]를 추가로 포함할 수 있다.
단계 S122: UE가 UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제8 NAS-MAC를 계산함.
단계 S123: UE가, 제8 NAS-MAC가 제7 NAS-MAC와 일치하는지 결정하고, 제8 NAS-MAC가 제7 NAS-MAC와 일치하면, 단계 S124를 수행하고; 그렇지 않으면, 단계 S126을 수행함.
단계 S124: UE가, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정함.
단계 S125: MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- NAS 보안 모드 완료 메시지는 UE 능력 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -.
본 발명의 이러한 실시예에서, UE 보안 능력 및 NAS 보안 모드 명령 메시지 양자 모두의 무결성이 성공적으로 검증될 때, UE 능력 정보가 MME에 전송된다.
추가로, NAS 보안 모드 완료 메시지는 [IMEI]를 선택적으로 운반하고, NAS 보안 모드 완료 메시지에 보안 보호를 수행하기 위해 NAS-MAC를 운반하고, 그렇게 함으로써 NAS 보안 모드 완료 메시지에서의 UE 능력 정보가 수정되지 않는 것을 보장한다. 이것은 MME가 정확한 UE 능력 정보를 획득하는 것을 보장한다.
단계 S126: 제8 NAS-MAC가 제7 NAS-MAC와 불일치하거나 또는 MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 불일치하면, UE가 NAS 보안 모드 거절 메시지를 MME에 전송함.
이러한 실시예에서, UE 능력 정보는 제2 검증 매칭 정보 IE에 배치되어 송신될 수 있지만, MME는 UE 능력 정보를 직접 저장하고, 이러한 UE 능력 정보가 수신되는 첨부 요청에서의 UE 능력 정보와 동일한지 다시 검증하지는 않는다.
본 발명은 이동 통신 방법의 실시예 13을 추가로 제공한다. 이러한 실시예의 방법은 다음의 주요 처리 단계들을 포함한다: MME가 NAS 보안 모드 명령 메시지를 UE에 전송함- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -.
실시예 13에 기초하여, 실시예 13의 구현에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication)를 추가로 포함한다.
실시예 13에 기초하여, 실시예 13의 구현에서, 이러한 방법은 다음의 단계를 추가로 포함한다.
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력은 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 첨부 요청 메시지의 제2 해시 값이 제1 해시 값과 불일치할 때, MME가 UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신함- NAS 보안 모드 완료 메시지는 첨부 요청 메시지 또는 UE 능력을 운반함 -.
실시예 13에 기초하여, 실시예 13의 구현에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘(선택적으로 운반됨), MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함한다.
실시예 13에 기초하여, 실시예 13의 구현에서, 이러한 방법은 다음의 단계를 추가로 포함한다.
UE에 의해 생성되는 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 UE 능력 정보의 제4 해시 값이 제3 해시 값과 불일치할 때, MME가 UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신함- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -.
실시예 13에 기초하여, 실시예 13의 구현에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
실시예 13에 기초하여, 실시예 13의 구현에서, 이러한 방법은 다음의 단계를 추가로 포함한다.
UE에 의해 생성되는 제6 NAS-MAC가 제5 NAS-MAC와 일치하고, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치할 때, UE가 NAS 보안 모드 완료 메시지를 MME에 전송함- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -.
본 발명은 이동 통신 방법의 실시예 14를 추가로 제공한다. 이러한 실시예는 다음의 주요 처리 단계들을 포함한다.
(1) MME가 UE로부터 NAS 보안 모드 완료 메시지를 수신함- NAS 보안 모드 완료 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제2 검증 매칭 정보를 운반함 -.
(2) MME가, 제2 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정함.
실시예 14에 기초하여, 실시예 14의 구현에서, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
실시예 14에 기초하여, 실시예 14의 구현에서, 제2 검증 매칭 정보는 UE에 의해 MME에 전송되는 UE 능력 정보를 포함한다.
실시예 14에 기초하여, 실시예 14의 구현에서, 이러한 방법은 다음의 단계들을 추가로 포함한다.
첨부 프로시저에서 MME에 의해 수신되는 첨부 요청 메시지 또는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치하면, MME가 다운링크 NAS 수송 메시지를 UE에 전송함- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 운반함 -; 및
MME가 UE에 의해 전송되는 업링크 정보 전달 메시지를 수신함- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 콘텐츠를 운반함 -.
실시예 14에 기초하여, 실시예 14의 구현에서, 이러한 방법은 다음의 단계들을 추가로 포함한다.
첨부 프로시저에서 MME에 의해 수신되는 첨부 요청 메시지 또는 UE 능력이 UE에 의해 전송되는 것과 불일치하면, MME가 UE 정보 요청 메시지를 UE에 전송함- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 운반함; 및
MME가 UE에 의해 전송되는 UE 정보 응답 메시지를 수신함- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 콘텐츠를 운반함 -.
도 13은 본 발명의 실시예 15에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서는, 종래의 방법에 따라 NAS 보안 활성화 프로시저(도 13에서의 단계 7에 대응함)가 수행된다. NAS 보안 활성화 이후, MME는, 다운링크 NAS 수송 메시지를 사용하여, UE에게 UE 능력 또는 첨부 요청 콘텐츠를 다시 업로드하라고 요청하고, UE는 업링크 NAS 수송 메시지를 사용하여 UE 능력 또는 첨부 요청 콘텐츠를 업로드하므로, MME는 정확한 UE 능력을 획득한다.
도 13에 도시되는 바와 같이, 이러한 실시예의 실행 프로세스는 다음의 단계들을 포함한다.
1. RRC_IDLE(radio resource control idle) 상태에서의 UE가 첨부 프로시저를 수행함. UE는 먼저 랜덤 액세스 프로시저를 착수한다, 즉, 제1 랜덤 액세스 메시지 MSG1을 전송한다.
2. MSG1 메시지를 검출한 이후, eNB가 랜덤 액세스 응답 메시지, 즉, MSG2 메시지를 UE에 전송함.
3. 랜덤 액세스 응답 메시지를 수신한 이후, UE가 MSG2에서의 TA(timing advance)에 기초하여 업링크 전송 경우를 조정하고, RRC 접속 요청 메시지를 eNB에 전송함.
4. eNB가 RRC 접속 업데이트(RRC Connection Setup) 메시지를 UE에 전송함- 이러한 메시지는 SRB1(signaling radio bearer 1) 및 무선 리소스를 설정하기 위한 구성 정보를 포함함 -.
5. SRB1 베어러 및 무선 리소스 구성을 완료한 이후, UE가 RRC 접속 업데이트 완료(RRC Connection Setup Complete) 메시지를 eNB에 전송함- RRC 접속 업데이트 완료 메시지는 NAS 첨부 요청 메시지를 포함함 -.
6. eNB가 MME를 선택하고, 초기 UE 메시지를 MME에 전송함- 초기 UE 메시지는 NAS 첨부 요청 메시지를 포함함 -.
7. UE 및 MME가 AKA 프로시저 및 NAS 보안 활성화 프로시저를 수행함.
8. MME가 다운링크 NAS 수송 메시지를 eNB에 전송함- 다운링크 NAS 수송 메시지는 UE 능력 요청 메시지 또는 첨부 요청 콘텐츠 요청 메시지를 포함함 -.
9. eNB가 다운링크 정보 전달 메시지를 UE에 전송함- 다운링크 정보 전달 메시지는 UE 능력 요청 메시지 또는 첨부 요청 메시지 콘텐츠 요청 메시지를 포함함 -.
10. UE가 업링크 정보 전달 메시지를 eNB에 전송함- 이러한 메시지는 UE 능력 또는 첨부 요청 메시지 콘텐츠를 포함함 -.
11. eNB가 업링크 NAS 수송 메시지를 MME에 전송함- 이러한 메시지는 UE 능력 또는 첨부 요청 콘텐츠를 포함함 -.
12. MME가 초기 컨텍스트 셋업 요청 메시지를 eNB에 전송하여, 디폴트 베어러를 셋업하라고 요청함- 이러한 초기 컨텍스트 셋업 요청 메시지는 NAS 첨부 요청(Attach Accept) 메시지 및 디폴트 EPC(evolved packet core) 베어러 컨텍스트 활성화 요청 메시지를 포함함.
13. eNB가 초기 컨텍스트 셋업 요청 메시지를 수신한 이후, 초기 컨텍스트 셋업 요청 메시지가 UE 능력 정보를 포함하지 않으면, eNB가 UE 능력 문의 메시지를 UE에 전송하여, UE 능력에 대해 질의함.
14. UE가 UE 능력 정보 메시지를 eNB에 전송하여, UE 능력 정보를 보고함.
15. eNB가 UE 능력 정보 표시 메시지를 MME에 전송하여, MME의 UE 능력 정보를 업데이트함.
16. eNB가 초기 컨텍스트 셋업 요청 메시지에서의 UE-지원 보안 정보에 기초하여 보안 모드 명령 메시지를 UE에 전송하여, 보안 활성화를 수행함.
17. UE가 보안 모드 완료 메시지를 eNB에 전송하여, 보안 활성화가 완료된 점을 표시함.
18. eNB가 초기 컨텍스트 설정 요청 메시지에서의 ERAB(evolved radio access bearer) 셋업 정보에 기초하여 RRC 접속 재구성 메시지를 UE에 전송하여, SRB1 재구성 및 무선 리소스 구성을 포함하는 UE 리소스 재구성을 수행하고, SRB2, DRB(data radio bearer)(디폴트 베어러를 포함함) 등을 셋업함.
19. UE가 RRC 접속 재구성 완료 메시지를 eNB에 전송하여, 리소스 구성이 완료된 점을 표시함.
20. eNB가 초기 컨텍스트 설정 응답 메시지를 MME에 전송하여, UE 컨텍스트 셋업이 완료된 점을 표시함.
21. UE가 업링크 정보 전달 메시지를 eNB에 전송함- 이러한 메시지는 NAS 첨부 완료 메시지 및 디폴트 진화된 패킷 코어 베어러 컨텍스트 수락 활성화 메시지를 포함함 -.
22. eNB가 업링크 NAS 수송 메시지를 MME에 전송함- 이러한 메시지는 NAS 첨부 완료 메시지 및 디폴트 진화된 패킷 코어 베어러 컨텍스트 수락 활성화 메시지를 포함함 -.
본 발명의 이러한 실시예에서의 단계 7은 NAS 보안 활성화 프로시저에 대응하고, 본 발명의 이러한 실시예에서의 개선된 단계들 8 내지 11은 NAS 보안 활성화 프로시저 이후에 수행된다.
도 14는 본 발명의 실시예 16에 따른 이동 통신 방법의 흐름도이다. 이러한 방법에서는, 종래의 방법에 따라 NAS 보안 활성화 프로시저(도 14에서의 단계 7에 대응함)가 수행된다. 첨부 프로시저에서, NAS 보안 활성화 이후, MME는, 새롭게 정의되는 UE 정보 요청 메시지를 사용하여, UE에게 UE 능력 정보 또는 첨부 요청 콘텐츠를 다시 업로드하라고 요청하고, UE는 UE 정보 응답 메시지를 사용하여 UE 능력 또는 첨부 요청 콘텐츠를 업로드하므로, MME는 정확한 UE 능력을 획득한다.
도 14에 도시되는 바와 같이, 이러한 실시예의 실행 프로세스는 다음의 단계들을 포함한다.
1. RRC_IDLE 상태에서의 UE가 첨부 프로시저를 수행하고, 먼저 랜덤 액세스 프로시저를 착수함, 즉, 제1 랜덤 액세스 메시지 MSG1을 전송함.
2. MSG1 메시지를 검출한 이후, eNB가 랜덤 액세스 응답 메시지, 즉, MSG2 메시지를 UE에 전송함.
3. 랜덤 액세스 응답 메시지를 수신한 이후, UE가 MSG2에서의 TA(timing advance)에 기초하여 업링크 전송 경우를 조정하고, RRC 접속 요청 메시지를 eNB에 전송함.
4. eNB가 RRC 접속 업데이트(RRC Connection Setup) 메시지를 UE에 전송함- 이러한 메시지는 SRB1 및 무선 리소스를 설정하기 위한 구성 정보를 포함함 -.
5. SRB1 베어러 및 무선 리소스 구성을 완료한 이후, UE가 RRC 접속 업데이트 완료(RRC Connection Setup Complete) 메시지를 eNB에 전송함- RRC 업데이트 완료 메시지는 NAS 첨부 요청 메시지를 포함함 -.
6. eNB가 MME를 선택하고, 초기 UE 메시지를 MME에 전송함- 초기 UE 메시지는 NAS 첨부 요청 메시지를 포함함 -.
7. UE 및 MME가 AKA 프로시저 및 NAS 보안 활성화 프로시저를 수행함.
8. MME가 UE 정보 요청 메시지를 eNB에 전송함.
9. eNB가 UE 정보 요청 메시지를 UE에 전송함.
10. UE가 UE 정보 응답 메시지를 eNB에 전송함- 이러한 UE 정보 응답 메시지는 UE 능력 또는 첨부 요청 메시지 운반 콘텐츠(Attach request contents)를 운반함 -.
11. eNB가 UE 정보 응답 메시지를 MME에 전송함- 이러한 UE 정보 응답 메시지는 UE 능력 또는 첨부 요청 메시지 운반 콘텐츠를 운반함 -.
12. MME가 초기 컨텍스트 셋업 요청 메시지를 eNB에 전송하여, 디폴트 베어러를 셋업하라고 요청함- 이러한 초기 컨텍스트 셋업 요청 메시지는 NAS 첨부 요청(Attach Accept) 메시지 및 디폴트 EPC(evolved packet core) 베어러 컨텍스트 활성화 요청 메시지를 포함함.
13. eNB가 초기 컨텍스트 셋업 요청 메시지를 수신한 이후, 초기 컨텍스트 셋업 요청 메시지가 UE 능력 정보를 포함하지 않으면, eNB가 UE 능력 문의 메시지를 UE에 전송하여, UE 능력에 대해 질의함.
14. UE가 UE 능력 정보 메시지를 eNB에 전송하여, UE 능력 정보를 보고함.
15. eNB가 UE 능력 정보 표시 메시지를 MME에 전송하여, MME의 UE 능력 정보를 업데이트함.
16. eNB가 초기 컨텍스트 설정 요청 메시지에서의 UE-지원 보안 정보에 기초하여 보안 모드 명령 메시지를 UE에 전송하여, 보안 활성화를 수행함.
17. UE가 보안 모드 완료 메시지를 eNB에 전송하여, 보안 활성화가 완료된 점을 표시함.
18. eNB가 초기 컨텍스트 설정 요청 메시지에서의 ERAB(evolved radio access bearer) 셋업 정보에 기초하여 RRC 접속 재구성 메시지를 UE에 전송하여, SRB1 재구성 및 무선 리소스 구성을 포함하는 UE 리소스 재구성을 수행하고, SRB2, DRB(디폴트 베어러를 포함함) 등을 셋업함.
19. UE가 RRC 접속 재구성 완료 메시지를 eNB에 전송하여, 리소스 구성이 완료된 점을 표시함.
20. eNB가 초기 컨텍스트 설정 응답 메시지를 MME에 전송하여, UE 컨텍스트 셋업이 완료된 점을 표시함.
21. UE가 업링크 정보 전달 메시지를 eNB에 전송함- 이러한 메시지는 NAS 첨부 완료 메시지 및 디폴트 진화된 패킷 코어 베어러 컨텍스트 수락 활성화 메시지를 포함함 -.
22. eNB가 업링크 NAS 수송 메시지를 MME에 전송함- 이러한 메시지는 NAS 첨부 완료 메시지 및 디폴트 진화된 패킷 코어 베어러 컨텍스트 수락 활성화 메시지를 포함함 -.
본 발명의 이러한 실시예에서의 단계 7은 NAS 활성화 프로시저에 대응하고, 본 발명의 이러한 실시예에서의 개선된 단계들 8 내지 11은 NAS 활성화 프로시저 이후에 수행된다.
도 15는 본 발명의 실시예 1에 따른 이동 통신 장치의 개략 구조도이다. 이러한 장치는 UE에 배치되고, 수신 모듈(1201), 검증 모듈(1202), 및 제1 전송 모듈(1203)을 포함한다.
수신 모듈(1201)은 MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하도록 구성된다- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -.
검증 모듈(1202)은, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치할 때, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, 제1 검증 매칭 정보는 MME가 NAS 보안 모드 명령 메시지를 UE에 전송하기 이전에 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code)를 추가로 포함한다.
검증 모듈(1202)은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제2 NAS-MAC를 계산하도록;
제2 NAS-MAC가 제1 NAS-MAC와 일치하는지 결정하도록;
제2 NAS-MAC가 제1 NAS-MAC와 일치하면, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하도록; 그리고
제2 해시 값이 제1 해시 값과 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은 구체적으로, 제2 해시 값이 제1 해시 값과 일치하고 제2 NAS-MAC가 제1 NAS-MAC와 일치할 때, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함한다.
검증 모듈(1202)은,
MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 추가로 구성된다.
제1 전송 모듈(1203)은 구체적으로,
제2 해시 값이 제1 해시 값과 일치하고, 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, 제1 전송 모듈(1203)은,
제2 해시 값, 제2 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, NAS 보안 모드 거절 메시지를 MME에 전송하도록 추가로 구성되거나; 또는
제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제2 해시 값이 제1 해시 값과 불일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 추가로 구성된다- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -.
전술한 실시예에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함한다.
검증 모듈(1202)은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC를 계산하도록;
제4 NAS-MAC가 제3 NAS-MAC와 일치하는지 결정하도록;
제4 NAS-MAC가 제3 NAS-MAC와 일치하면, 해시 알고리즘에 따라, UE에 의해 MME에 전송되는 UE 능력 정보의 제4 해시 값을 계산하도록; 그리고
제4 해시 값이 제3 해시 값과 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은 구체적으로, 제4 해시 값이 제3 해시 값과 일치하면, UE에 대해, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는 MME에 의해 되돌려 전송되는 UE 보안 능력을 추가로 포함한다.
검증 모듈(1202)은,
MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 추가로 구성된다.
제1 전송 모듈(1203)은 구체적으로,
제4 해시 값이 제3 해시 값과 일치하고, 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, 제1 전송 모듈(1203)은,
제4 해시 값, 제4 NAS-MAC, 및 MME에 의해 되돌려 전송되는 UE 보안 능력 중 적어도 하나가 성공적이지 않은 것으로 검증되면, UE에 대해, NAS 보안 모드 거절 메시지를 MME에 전송하도록 추가로 구성되거나;
또는
제1 전송 모듈(1203)은, 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, 제4 해시 값이 제3 해시 값과 불일치하면, UE에 대해, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 - 추가로 구성된다.
전술한 실시예에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
검증 모듈(1202)은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC를 계산하도록;
UE에 대해, 제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하도록; 그리고
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은 구체적으로, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, 검증 모듈(1202)은 구체적으로,
제6 NAS-MAC가 제5 NAS-MAC와 일치하는지 결정하도록;
제6 NAS-MAC가 제5 NAS-MAC와 일치하면, MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록; 그리고
MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하면, UE에 대해, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은 구체적으로, MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록 구성된다.
전술한 실시예에서, 제1 전송 모듈(1203)은,
MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -를 추가로 구성된다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함한다.
검증 모듈(1202)은 구체적으로,
UE에 의해 수신되는 NAS 보안 모드 명령 메시지의 제8 NAS-MAC를 계산하도록; 그리고
제8 NAS-MAC가 제7 NAS-MAC와 일치하는지 결정하도록; 그리고 제8 NAS-MAC가 제7 NAS-MAC와 일치하면, MME에 의해 수신되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하는지 결정하도록 구성된다.
제1 전송 모듈(1203)은 구체적으로, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하도록- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 - 구성된다.
전술한 실시예에서, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
전술한 실시예에서, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
전술한 실시예에서, 수신 모듈(1201)은, 제1 전송 모듈(1203)이 NAS 보안 모드 완료 메시지를 MME에 전송한 이후, MME에 의해 전송되는 다운링크 NAS 수송 메시지를 수신하도록- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재송신하라고 요청하는 요청 메시지를 운반함 - 추가로 구성된다.
제1 전송 모듈(1203)은 업링크 정보 전달 메시지를 MME에 전송하도록- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
전술한 실시예에서, 수신 모듈(1201)은,
제1 전송 모듈(1203)이 NAS 보안 모드 완료 메시지를 MME에 전송한 이후, MME에 의해 전송되는 UE 정보 요청 메시지를 수신하도록- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성된다.
제1 전송 모듈(1203)은 UE 정보 응답 메시지를 MME에 송신하도록- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
도 16은 본 발명의 실시예 2에 따른 이동 통신 장치의 개략 구조도이다. 이러한 장치는 MME에 배치되고,
NAS 보안 모드 명령 메시지를 UE에 전송하도록 구성되는 제2 전송 모듈(1301)- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -을 포함한다.
전술한 실시예에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 첨부 요청 메시지의 제1 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 첨부 요청 메시지에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication)를 추가로 포함한다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
도 16에 도시되는 바와 같이, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령의 제2 NAS-MAC가 제1 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 첨부 요청 메시지의 제2 해시 값이 제1 해시 값과 불일치할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제1 수신 모듈(1302)- NAS 보안 모드 완료 메시지는 첨부 요청 메시지를 운반함 -을 추가로 포함한다.
전술한 실시예에서, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보의 제3 해시 값이고, NAS 보안 모드 명령 메시지는 수신되는 UE 능력 정보에 해시 계산을 수행하는데 MME에 의해 사용되는 해시 알고리즘, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제3 NAS-MAC를 추가로 포함한다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 보안 능력을 추가로 포함한다.
도 16에 도시되는 바와 같이, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제4 NAS-MAC가 제3 NAS-MAC와 일치하고, MME에 의해 되돌려 전송되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE에 의해 생성되는 UE 능력 정보의 제4 해시 값이 제3 해시 값과 불일치할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제2 수신 모듈(1303)- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -을 추가로 포함한다.
도 16에 도시되는 바와 같이, 제1 검증 매칭 정보는 MME에 의해 수신되는 UE 능력 정보이고, NAS 보안 모드 명령 메시지는 MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제5 NAS-MAC를 추가로 포함한다.
도 16에 도시되는 바와 같이, 이러한 장치는,
UE에 의해 생성되는 NAS 보안 모드 명령 메시지의 제6 NAS-MAC가 제5 NAS-MAC와 일치하고, MME에 의해 수신되는 UE 능력 정보에 포함되는 UE 보안 능력이 UE에 의해 MME에 전송되는 UE 보안 능력과 일치하고, UE가 MME에 의해 수신되는 UE 능력 정보에서의 UE 보안 능력 이외의 능력들이 UE에 의해 MME에 전송되는 능력들과 불일치한다고 결정할 때, UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제3 수신 모듈(1304)- NAS 보안 모드 완료 메시지는 UE 능력 정보를 운반함 -을 추가로 포함한다.
전술한 실시예에서, NAS 보안 모드 명령 메시지는, MME에 의해 수신되는 UE 보안 능력, MME에 의해 사용되는 무결성 알고리즘, 키 식별자, 및 NAS 보안 모드 명령 메시지의 제7 NAS-MAC를 포함한다.
전술한 실시예에서, 이러한 장치는 UE에 의해 전송되는 NAS 보안 모드 완료 메시지를 수신하도록 구성되는 제4 수신 모듈(1305)- NAS 보안 모드 완료 메시지는 제2 검증 매칭 정보 및 NAS 보안 모드 완료 메시지의 NAS-MAC를 운반함 -을 추가로 포함한다.
전술한 실시예에서, 제2 검증 매칭 정보는,
UE에 의해 MME에 전송되는 첨부 요청 메시지의 해시 값; 또는
UE에 의해 MME에 전송되는 UE 능력 정보의 해시 값을 포함한다.
전술한 실시예에서, 제2 검증 매칭 정보는 UE의 UE 능력 정보를 포함한다.
전술한 실시예에서, 제2 전송 모듈(1301)은, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치하면, 다운링크 NAS 수송 메시지를 UE에 전송하도록- 다운링크 NAS 수송 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재송신하라고 요청하는 요청 메시지를 운반함 - 추가로 구성된다.
제4 수신 모듈(1305)은 UE에 의해 전송되는 업링크 정보 전달 메시지를 수신하도록- 업링크 정보 전달 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
전술한 실시예에서, 제2 전송 모듈(1301)은, MME가 MME에 의해 수신되는 UE 능력 정보가 UE에 의해 전송되는 것과 불일치한다고 결정하면, UE 정보 요청 메시지를 UE에 전송하도록- UE 정보 요청 메시지는 UE 능력 정보 요청 메시지 또는 UE에게 첨부 요청 메시지를 재전송하라고 요청하는 요청 메시지를 운반함 - 추가로 구성된다.
제4 수신 모듈(1305)은 UE에 의해 전송되는 UE 정보 응답 메시지를 수신하도록- UE 정보 응답 메시지는 UE 능력 정보 또는 첨부 요청 메시지를 운반함 - 추가로 구성된다.
도 17은 본 발명의 실시예 1에 따른 이동 통신 디바이스(1400)의 개략 구조도이다. 이동 통신 디바이스(1400)는 통신 인터페이스(1401), 메모리(1403), 및 프로세서(1402)를 포함한다. 통신 인터페이스(1401), 프로세서(1402), 및 메모리(1403)는 버스(1404)를 사용하여 서로 접속된다. 버스(1404)는 PCI(peripheral component interconnect) 버스, EISA(extended industry standard architecture) 버스 등일 수 있다. 이러한 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 표현의 편의를 위해, 단지 하나의 굵은 라인이 도 14에서의 표현을 위해 사용되지만, 단지 하나의 버스 또는 하나의 버스 타입만이 존재한다는 점을 표시하는 것은 아니다.
통신 인터페이스(1401)는 송신단과 통신하도록 구성된다. 메모리(1403)는 프로그램을 저장하도록 구성된다. 구체적으로, 이러한 프로그램은 프로그램 코드를 포함할 수 있고, 이러한 프로그램 코드는 컴퓨터 동작 명령어를 포함한다. 메모리(1403)는 RAM(random access memory)을 포함할 수 있거나, 또는 적어도 하나의 자기 디스크 스토리지와 같은 비-휘발성 메모리를 추가로 포함할 수 있다.
프로세서(1402)는 메모리(1403)에 저장되는 프로그램을 실행하여 본 발명의 전술한 방법 실시예들에서의 방법을 구현하고, 이는,
MME(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 단계- NAS 보안 모드 명령 메시지는 MME에 의해 수신되는 UE 능력 정보를 검증하는데 사용되는 제1 검증 매칭 정보를 운반함 -;
제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하는 단계; 및
MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, NAS 보안 모드 완료 메시지를 MME에 전송하는 단계를 포함한다.
프로세서(1402)는 CPU(central processing unit), NP(network processor) 등을 포함하는 범용 프로세서일 수 있거나; 또는 DSP(digital signal processor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array), 또는 다른 프로그램 가능 논리 디바이스, 이산 게이트 또는 트랜지스터 논리 디바이스, 또는 이산 하드웨어 컴포넌트일 수 있다.
도 18은 본 발명의 실시예 2에 따른 이동 통신 디바이스(1500)의 개략 구조도이다. 이동 통신 디바이스(1500)는 통신 인터페이스(1501), 메모리(1503), 및 프로세서(1502)를 포함한다. 통신 인터페이스(1501), 프로세서(1502), 및 메모리(1503)는 버스(1504)를 사용하여 서로 접속된다. 버스(1504)는 주변기기 컴포넌트 상호접속 버스, EISA 버스 등일 수 있다. 이러한 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로 분류될 수 있다. 표현의 편의를 위해, 단지 하나의 굵은 라인이 도 15에서의 표현을 위해 사용되지만, 단지 하나의 버스 또는 하나의 버스 타입만이 존재한다는 점을 표시하는 것은 아니다.
통신 인터페이스(1501)는 송신단과 통신하도록 구성된다. 메모리(1503)는 프로그램을 저장하도록 구성된다. 구체적으로, 이러한 프로그램은 프로그램 코드를 포함할 수 있고, 이러한 프로그램 코드는 컴퓨터 동작 명령어를 포함한다. 메모리(1503)는 RAM(random access memory)을 포함할 수 있거나, 또는 적어도 하나의 자기 디스크 스토리지와 같은 비-휘발성 메모리를 추가로 포함할 수 있다.
프로세서(1502)는 메모리(1503)에 저장되는 프로그램을 실행하여 본 발명의 전술한 방법 실시예들에서의 방법을 구현하고, 이는,
MME에 의해 수신되는 UE 능력 정보를 검증하는데 UE에 의해 사용되는 제1 검증 매칭 정보를 결정하는 단계; 및
NAS 보안 모드 명령 메시지를 UE에 전송하는 단계- NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보를 운반하므로, UE는, 제1 검증 매칭 정보에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 결정하고; MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하면, UE는 NAS 보안 모드 완료 메시지를 MME에 전송함 -를 포함한다.
프로세서(1502)는 CPU(central processing unit), NP(network processor) 등을 포함하는 범용 프로세서일 수 있거나; 또는 DSP(digital signal processor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array), 또는 다른 프로그램 가능 논리 디바이스, 이산 게이트 또는 트랜지스터 논리 디바이스, 또는 이산 하드웨어 컴포넌트일 수 있다.
본 발명의 이러한 실시예의 이동 통신 디바이스에 따르면, UE는, 수신되는 제1 검증 매칭 메시지에 기초하여, MME에 의해 수신되는 UE 능력 정보가 UE에 의해 MME에 전송되는 UE 능력 정보와 일치하는지 검증한다. 본 발명의 실시예들에서, MME는 검증 매칭 메시지를 되돌려 전송하고, UE는 MME에 의해 수신되는 UE 능력 정보를 검증하여, MME가 정확한 UE 능력 정보를 소유하는 것을 보장한다는 점을 알 수 있다. 이것은, 첨부 프로시저에서, 첨부 요청 메시지가 NAS 보안 컨텍스트에 의해 보호되지 않고, 공격자가 UE 능력 정보를 수정할 수 있고, MME가 정확한 UE 능력을 획득할 수 없다는 점에 의해 야기되는 DoS 공격 문제점을 해결한다. DoS는 Denial of Service, 즉, 서비스의 거부의의 약어이고, 이러한 DoS를 야기하는 공격 거동은 DoS 공격이라고 지칭된다.
해당 분야에서의 통상의 기술자들은 방법 실시예들의 단계들 중 전부 또는 일부가 관련 하드웨어에 명령하는 프로그램에 의해 구현될 수 있다는 점을 이해할 수 있다. 이러한 프로그램은 컴퓨터 판독 가능 저장 매체에 저장될 수 있다. 이러한 프로그램이 작동될 때, 방법 실시예들의 단계들이 수행된다. 전술한 저장 매체는, ROM, RAM, 자기 디스크, 또는 광 디스크와 같은, 프로그램 코드를 저장할 수 있는 임의의 매체를 포함한다.
마지막으로, 전술한 실시예들은 본 발명을 제한하려는 것이 아니라 단지 본 발명의 기술적 해결책들을 설명하려고 의도된다는 점이 주목되어야 한다. 본 발명이 전술한 실시예들을 참조하여 상세하게 설명되지만, 해당 분야에서의 통상의 기술자들은, 본 발명의 실시예들의 기술적 해결책들의 범위로부터 벗어나지 않고, 여전히 전술한 실시예들에서 설명되는 기술적 해결책들에 대한 수정들을 행하거나 또는 그 일부 기술적 특징들에 대한 등가의 대체들을 행할 수 있다는 점을 이해할 것이다.

Claims (62)

  1. 이동 통신 방법으로서,
    UE(user equipment)에 의해, 모빌리티 매니지먼트 엔티티(mobility management entity)로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 단계 - 상기 NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보, 상기 모빌리티 매니지먼트 엔티티에 의해 사용되는 무결성 알고리즘, 키 식별자, 상기 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code) 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 UE 보안 능력을 운반하고, 상기 제1 검증 매칭 정보는 상기 UE로부터 상기 모빌리티 매니지먼트 엔티티에 의해 수신되는 첨부 요청 메시지의 제1 해시 값을 포함함 -;
    상기 UE에 의해, 상기 모빌리티 매니지먼트 엔티티로부터 수신되는 상기 NAS 보안 모드 명령 메시지의 제2 NAS-MAC 및 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하는 단계;
    상기 UE에 의해, 상기 제2 해시 값이 상기 제1 해시 값과 일치하는지, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하는지, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 UE 보안 능력과 일치하는지 결정하는 단계; 및
    상기 제2 해시 값이 상기 제1 해시 값과 일치하고, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하는 경우, 상기 UE에 의해, NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 방법은,
    상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하고, 상기 제2 해시 값이 상기 제1 해시 값과 일치하지 않는 경우, 상기 UE에 의해, 상기 NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 단계 - 상기 NAS 보안 모드 완료 메시지는 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 첨부 요청 메시지를 운반함 - 를 추가로 포함하는, 방법.
  3. 제1항에 있어서,
    상기 방법은,
    상기 제2 NAS-MAC 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력 중 적어도 하나가 비성공적으로(unsuccessfully) 검증되는 경우, 상기 UE에 의해, NAS 보안 모드 거절 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 단계를 추가로 포함하는 방법.
  4. 이동 통신 장치로서,
    상기 장치는 UE(user equipment)에 배치되고,
    모빌리티 매니지먼트 엔티티로부터 NAS 보안 모드 명령 메시지를 수신하도록 구성되는 수신기 - 상기 NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보, 상기 모빌리티 매니지먼트 엔티티에 의해 사용되는 무결성 알고리즘, 키 식별자, 상기 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code) 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 UE 보안 능력을 운반하고, 상기 제1 검증 매칭 정보는 상기 UE로부터 상기 모빌리티 매니지먼트 엔티티에 의해 수신되는 첨부 요청 메시지의 제1 해시 값을 포함함 -;
    적어도 하나의 프로세서 - 상기 프로세서는,
    상기 모빌리티 매니지먼트 엔티티로부터 수신되는 상기 NAS 보안 모드 명령 메시지의 제2 NAS-MAC 및 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하고,
    상기 제2 해시 값이 상기 제1 해시 값과 일치하는지, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하는지, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 UE 보안 능력과 일치하는지 결정하도록 구성됨 -; 및
    송신기 - 상기 송신기는 상기 제2 해시 값이 상기 제1 해시 값과 일치하고, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티에 전송되는 상기 UE 보안 능력과 일치하는 경우, NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 구성됨 -
    를 포함하는 장치.
  5. 제4항에 있어서,
    상기 송신기는:
    상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하고, 상기 제2 해시 값이 상기 제1 해시 값과 일치하지 않는 경우, 상기 NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 추가로 구성되고, 상기 NAS 보안 모드 완료 메시지는 상기 첨부 요청 메시지를 운반하는, 장치.
  6. 제4항에 있어서,
    상기 송신기는:
    상기 제2 NAS-MAC 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력 중 적어도 하나가 비성공적으로 검증되는 경우, NAS 보안 모드 거절 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 추가로 구성되는, 장치.
  7. 사용자 장비(UE) 및 모빌리티 매니지먼트 엔티티를 포함하는 이동 통신 시스템으로서,
    상기 UE는:
    모빌리티 매니지먼트 엔티티로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하고 - 상기 NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보, 상기 모빌리티 매니지먼트 엔티티에 의해 사용되는 무결성 알고리즘, 키 식별자, 상기 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code) 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 UE 보안 능력을 운반하고, 상기 제1 검증 매칭 정보는 상기 UE로부터 상기 모빌리티 매니지먼트 엔티티에 의해 수신되는 첨부 요청 메시지의 제1 해시 값을 포함함 -;
    상기 모빌리티 매니지먼트 엔티티로부터 수신되는 상기 NAS 보안 모드 명령 메시지의 제2 NAS-MAC 및 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하고;
    상기 제2 해시 값이 상기 제1 해시 값과 일치하는지, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하는지, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티에 전송되는 UE 보안 능력과 일치하는지 의해 결정하고;
    상기 제2 해시 값이 상기 제1 해시 값과 일치하고, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티에 전송되는 상기 UE 보안 능력과 일치하는 경우, NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 구성되고,
    상기 모빌리티 매니지먼트 엔티티는:
    상기 UE에 상기 NAS 보안 모드 명령 메시지를 전송하고;
    상기 UE로부터 상기 NAS 보안 모드 완료 메시지를 수신하도록 구성되는, 시스템.
  8. 제7항에 있어서,
    상기 UE는:
    상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하고, 상기 제2 해시 값이 상기 제1 해시 값과 일치하지 않는 경우, 상기 NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 추가로 구성되고, 상기 NAS 보안 모드 완료 메시지는 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 첨부 요청 메시지를 운반하는, 시스템.
  9. 메모리 및 상기 메모리에 결합된 적어도 하나의 프로세서를 포함하는 사용자 장비(UE)로서,
    상기 메모리는 프로그램 명령어를 저장하고,
    상기 적어도 하나의 프로세서가 상기 프로그램 명령어를 실행할 때, 상기 UE는:
    모빌리티 매니지먼트 엔티티로부터 NAS(non-access stratum) 보안 모드 명령 메시지를 수신하는 동작 - 상기 NAS 보안 모드 명령 메시지는 제1 검증 매칭 정보, 상기 모빌리티 매니지먼트 엔티티에 의해 사용되는 무결성 알고리즘, 키 식별자, 상기 NAS 보안 모드 명령 메시지의 제1 NAS-MAC(non-access stratum message authentication code) 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 UE 보안 능력을 운반하고, 상기 제1 검증 매칭 정보는 상기 UE로부터 상기 모빌리티 매니지먼트 엔티티에 의해 수신되는 첨부 요청 메시지의 제1 해시 값을 포함함 -;
    상기 모빌리티 매니지먼트 엔티티로부터 수신되는 상기 NAS 보안 모드 명령 메시지의 제2 NAS-MAC 및 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 첨부 요청 메시지의 제2 해시 값을 계산하는 동작;
    상기 제2 해시 값이 상기 제1 해시 값과 일치하는지, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하는지, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 UE 보안 능력과 일치하는지 결정하는 동작; 및
    상기 제2 해시 값이 상기 제1 해시 값과 일치하고, 상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하는 경우, NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 동작
    을 수행할 수 있게 되는, 사용자 장비.
  10. 제9항에 있어서,
    상기 동작들은:
    상기 제2 NAS-MAC가 상기 제1 NAS-MAC와 일치하고, 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력이 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 UE 보안 능력과 일치하고, 상기 제2 해시 값이 상기 제1 해시 값과 일치하지 않는 경우, 상기 NAS 보안 모드 완료 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 동작을 추가로 포함하고, 상기 NAS 보안 모드 완료 메시지는 상기 UE에 의해 상기 모빌리티 매니지먼트 엔티티로 전송되는 상기 첨부 요청 메시지를 운반하는, 사용자 장비.
  11. 제7항에 있어서,
    상기 UE는:
    상기 제2 NAS-MAC 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력 중 적어도 하나가 비성공적으로 검증되는 경우, NAS 보안 모드 거절 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하도록 추가로 구성되는, 시스템.
  12. 제9항에 있어서,
    상기 동작들은:
    상기 제2 NAS-MAC 및 상기 모빌리티 매니지먼트 엔티티에 의해 되돌려 전송되는 상기 UE 보안 능력 중 적어도 하나가 비성공적으로 검증되는 경우, NAS 보안 모드 거절 메시지를 상기 모빌리티 매니지먼트 엔티티에 전송하는 동작을 추가로 포함하는, 사용자 장비.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
  48. 삭제
  49. 삭제
  50. 삭제
  51. 삭제
  52. 삭제
  53. 삭제
  54. 삭제
  55. 삭제
  56. 삭제
  57. 삭제
  58. 삭제
  59. 삭제
  60. 삭제
  61. 삭제
  62. 삭제
KR1020187022094A 2016-01-05 2016-01-05 이동 통신 방법, 장치 및 디바이스 KR102125826B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/070182 WO2017117721A1 (zh) 2016-01-05 2016-01-05 移动通信方法、装置及设备

Publications (2)

Publication Number Publication Date
KR20180100365A KR20180100365A (ko) 2018-09-10
KR102125826B1 true KR102125826B1 (ko) 2020-06-23

Family

ID=59273185

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187022094A KR102125826B1 (ko) 2016-01-05 2016-01-05 이동 통신 방법, 장치 및 디바이스

Country Status (8)

Country Link
US (4) US10419938B2 (ko)
EP (3) EP3393159B1 (ko)
JP (1) JP6598225B2 (ko)
KR (1) KR102125826B1 (ko)
CN (5) CN113271594A (ko)
BR (1) BR112018013812A2 (ko)
RU (1) RU2706173C1 (ko)
WO (1) WO2017117721A1 (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10555177B2 (en) * 2015-10-05 2020-02-04 Telefonaktiebolaget Lm Ericsson (Publ) Method of operation of a terminal device in a cellular communications network
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
CA3051938C (en) 2017-01-30 2023-02-14 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
CN109756451B (zh) * 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
CN112602343A (zh) * 2018-08-09 2021-04-02 Oppo广东移动通信有限公司 能力上报的方法和设备
US10798745B2 (en) 2018-09-28 2020-10-06 Verizon Patent And Licensing Inc. Determining device locations based on random access channel signaling
KR102460418B1 (ko) * 2018-11-21 2022-10-31 한국전자통신연구원 통신 시스템에서 제어 메시지의 송수신 방법 및 장치
KR102582321B1 (ko) * 2019-01-15 2023-09-22 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 장치의 무선 액세스 능력
US11470473B2 (en) * 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN112087747A (zh) * 2019-06-14 2020-12-15 苹果公司 改善的rrc过程安全性
WO2021051974A1 (zh) * 2019-09-16 2021-03-25 华为技术有限公司 一种空口信息的安全保护方法及装置
US20210105611A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User equipment radio capability protection
US11617077B2 (en) * 2019-10-07 2023-03-28 Intel Corporation Secure user equipment capability transfer for user equipment with no access stratum security
EP4084516A4 (en) * 2019-12-27 2023-09-20 Ntt Docomo, Inc. BASE STATION AND WIRELESS COMMUNICATION METHOD
CN114208240B (zh) * 2020-01-22 2024-01-30 华为技术有限公司 数据传输方法、装置及系统
EP4104080A1 (en) * 2020-02-14 2022-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Protecting capability information transfer in a wireless communication network
KR102279293B1 (ko) * 2020-08-07 2021-07-20 한국인터넷진흥원 비암호화 채널 탐지 방법 및 장치
US11522767B2 (en) 2020-10-22 2022-12-06 Bank Of America Corporation System for real-time imitation network generation using artificial intelligence
KR20220135792A (ko) * 2021-03-31 2022-10-07 삼성전자주식회사 데이터 보호를 위한 nas 메시지 이용 방법 및 장치
WO2023180907A1 (en) * 2022-03-24 2023-09-28 Four Drobotics Corporation System and method for detection of cybersecurity threats

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101061373B1 (ko) * 2005-04-11 2011-09-02 삼성전자주식회사 푸쉬투토크 오버 셀룰러 망의 미디어 저장 서비스 수행 방법과 PoC 서버 및 PoC 클라이언트
CN101022330A (zh) * 2006-02-13 2007-08-22 华为技术有限公司 提高密钥管理授权消息安全性的方法和模块
CN101011330A (zh) 2006-12-14 2007-08-08 成都死海盐疗健康馆服务有限公司 矿物盐沐浴露
CN101242629B (zh) * 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN103220674B (zh) * 2007-09-03 2015-09-09 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
US9247420B2 (en) * 2007-12-12 2016-01-26 Lg Electronics Inc. Method of managing user equipment capabilities
US8503460B2 (en) 2008-03-24 2013-08-06 Qualcomm Incorporated Dynamic home network assignment
US8965338B2 (en) * 2008-06-09 2015-02-24 Apple Inc Network access control methods and apparatus
CN101686233B (zh) * 2008-09-24 2013-04-03 电信科学技术研究院 Ue与网络安全算法不匹配的处理方法、系统及装置
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN101848464B (zh) * 2009-03-28 2012-11-21 华为技术有限公司 实现网络安全的方法、装置及系统
US8605904B2 (en) * 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
CN102025685B (zh) * 2009-09-21 2013-09-11 华为技术有限公司 认证处理方法及装置
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
KR101683883B1 (ko) * 2009-12-31 2016-12-08 삼성전자주식회사 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템
CN101790168B (zh) * 2010-02-01 2015-05-20 中兴通讯股份有限公司 Nas和as初始安全模式命令过程的方法
CN101835156B (zh) * 2010-05-21 2014-08-13 中兴通讯股份有限公司南京分公司 一种用户接入安全保护的方法及系统
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
CN102624759B (zh) * 2011-01-28 2017-03-29 中兴通讯股份有限公司 一种实现会话中数据迁移的方法和节点
CN102307091B (zh) * 2011-10-09 2014-10-29 大唐移动通信设备有限公司 Nas层信令的保护方法和设备
CN102905265B (zh) * 2012-10-11 2016-02-10 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
CN102917332B (zh) * 2012-10-11 2015-06-03 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
JP2016500977A (ja) * 2013-01-10 2016-01-14 日本電気株式会社 Ue及びネットワーク両者でのキー導出のためのmtcキー管理
CN110087272B (zh) * 2013-02-22 2021-10-08 三星电子株式会社 在多个e节点b和用户设备间提供同时连接的方法和系统
CN104427584B (zh) * 2013-08-19 2019-08-16 南京中兴软件有限责任公司 安全上下文处理方法及装置
KR101746193B1 (ko) * 2013-11-13 2017-06-20 한국전자통신연구원 보안 도우미 서비스 제공장치 및 서비스 제공방법
WO2015157942A1 (zh) * 2014-04-16 2015-10-22 华为终端有限公司 接入无线网络的装置及方法
US10560846B2 (en) * 2014-09-08 2020-02-11 Blackberry Limited Method and apparatus for authenticating a network entity using unlicensed wireless spectrum
US10142840B2 (en) * 2015-01-29 2018-11-27 Motorola Mobility Llc Method and apparatus for operating a user client wireless communication device on a wireless wide area network
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
CN104967984B (zh) * 2015-04-29 2019-04-05 大唐移动通信设备有限公司 一种获取用户设备的信息的方法和系统
EP3304856A1 (en) * 2015-06-05 2018-04-11 Convida Wireless, LLC Unified authentication for integrated small cell and wi-fi networks
CN104967934A (zh) 2015-06-12 2015-10-07 苏州佑克骨传导科技有限公司 适用于小功率骨传导耳机的振子
US10567964B2 (en) * 2015-11-24 2020-02-18 Futurewei Technologies, Inc. Security for proxied devices
EP3384698B1 (en) * 2015-12-03 2022-09-14 Telefonaktiebolaget LM Ericsson (publ) Multi-rat access stratum security
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи

Also Published As

Publication number Publication date
RU2706173C1 (ru) 2019-11-14
US11736519B2 (en) 2023-08-22
CN113271595A (zh) 2021-08-17
CN108702624B (zh) 2021-02-23
US20210194920A1 (en) 2021-06-24
BR112018013812A2 (pt) 2018-12-11
US10419938B2 (en) 2019-09-17
EP3393159B1 (en) 2020-09-30
WO2017117721A1 (zh) 2017-07-13
US20240098112A1 (en) 2024-03-21
CN109729096B (zh) 2020-06-16
CN109729096A (zh) 2019-05-07
EP3393159A4 (en) 2018-12-19
CN108702624A (zh) 2018-10-23
JP2019501608A (ja) 2019-01-17
CN113271595B (zh) 2022-03-08
EP3873122A1 (en) 2021-09-01
US20190387404A1 (en) 2019-12-19
US20180324594A1 (en) 2018-11-08
EP3800914A1 (en) 2021-04-07
US10944786B2 (en) 2021-03-09
US11310266B2 (en) 2022-04-19
EP3393159A1 (en) 2018-10-24
EP3800914B1 (en) 2024-05-01
US20220321599A1 (en) 2022-10-06
CN113055888A (zh) 2021-06-29
KR20180100365A (ko) 2018-09-10
JP6598225B2 (ja) 2019-10-30
CN113271594A (zh) 2021-08-17
CN113055888B (zh) 2022-03-08

Similar Documents

Publication Publication Date Title
KR102125826B1 (ko) 이동 통신 방법, 장치 및 디바이스
US9794836B2 (en) Methods and apparatus for differencitating security configurations in a radio local area network
KR102406871B1 (ko) 무선 통신 네트워크에서 비-액세스 계층 통신의 보호
CN106105131B (zh) 对多个装置配对的电子装置、方法、装置和计算机介质
US11889301B2 (en) Security verification when resuming an RRC connection
WO2011153852A1 (zh) 空中接口密钥的更新方法、核心网节点及无线接入系统
WO2019071472A1 (zh) 一种业务策略创建方法及装置
US12003533B2 (en) Mobile communication method, apparatus, and device
CN112154682B (zh) 密钥更新方法、设备和存储介质
EP3506699B1 (en) Data transmission methods, radio access network device and mobile terminal for configuring a preset data bearer
WO2022262611A1 (zh) 一种通信方法及装置
WO2023072271A1 (zh) 管理安全上下文的方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant