KR102209289B1 - 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 - Google Patents

이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 Download PDF

Info

Publication number
KR102209289B1
KR102209289B1 KR1020140053645A KR20140053645A KR102209289B1 KR 102209289 B1 KR102209289 B1 KR 102209289B1 KR 1020140053645 A KR1020140053645 A KR 1020140053645A KR 20140053645 A KR20140053645 A KR 20140053645A KR 102209289 B1 KR102209289 B1 KR 102209289B1
Authority
KR
South Korea
Prior art keywords
prose
key
security
function
communication
Prior art date
Application number
KR1020140053645A
Other languages
English (en)
Other versions
KR20150042686A (ko
Inventor
서경주
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to PCT/KR2014/009593 priority Critical patent/WO2015053602A1/ko
Priority to US15/025,800 priority patent/US10560843B2/en
Publication of KR20150042686A publication Critical patent/KR20150042686A/ko
Priority to US16/778,489 priority patent/US20200169885A1/en
Application granted granted Critical
Publication of KR102209289B1 publication Critical patent/KR102209289B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data

Abstract

본 발명은 이동 통신 네트워크에서 단말이 prose 탐색, prose 통신을 위한 보안 관련 정보 획득 방법에 관한 것이다.
이에 따른 본 발명은, 프락시미티 기반 서비스(Proximity based services; Prose)를 위한 단말의 보안 통신 방법으로, 기지국으로 연결 요청(attach request)을 전송하는 단계, 상기 기지국으로부터 상기 프락시미티 기반 서비스를 위한 보안 관련 정보를 포함하는 연결 응답(attach response)을 수신하는 단계 및 상기 보안 관련 정보를 이용하여 기기 간 통신을 수행하는 단계를 포함하는 것을 특징으로 하는 보안 통신 방법 및 단말에 관한 것이다.

Description

이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템{SECURITY AND INFORMATION SUPPORTING METHOD AND SYSTEM FOR PROXIMITY BASED SERVICE IN MOBILE TELECOMMUNICATION SYSTEM ENVIRONMENT}
본 발명은 이동 통신 네트워크에서 단말이 prose 탐색, prose 통신을 위한 보안 관련 정보 획득 방법에 관한 것이다.
현재 종래의 통신 시스템 구조에서는 기기 간 통신을 수행함에 있어서, 단말 관련 정보의 보안상 노출에 따른 취약점 및 기타 운영상의 어려움으로 인하여 기기 간 통신을 위한 보안 설정, 관리를 위한 시스템 및 방안에 대한 논의가 부족하다. 그에 따라, 현재의 기 기간 통신은 보안상 취약성, 혹은 통신 수행에 있어서 비효율적인 문제가 발생할 수 있는 여지가 있었다.
본 발명은 기기 간 통신을 수행하도록 함에 있어 proximity based service 즉 prose discovery 및 prose communication에 대한 것으로, 특히 proximity based service 가 가능하도록 관련 정보, 보안 설정이 가능하도록 하는 방안을 적용하여, 보안상 안전한 통신 수행이 가능하도록 하는 방법 및 시스템에 관한 것이다.
본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에 있어서 기기 간 통신을 가능하도록 하는 방안 및 기기 간 통신에 있어서 보안을 설정 관리하는 방안에 관한 것이다.
본 발명을 통하여 기기 간 통신을 수행하려는 기기는 기기 간 통신을 수행하기 위한 보안 정보를 획득하고, 기기 간 통신을 수행하기 위한 보안을 설정할 수 있다.
이에 따른 본 발명은, 프락시미티 기반 서비스(Proximity based services; Prose)를 위한 단말의 보안 통신 방법으로, 기지국으로 연결 요청(attach request)을 전송하는 단계, 상기 기지국으로부터 상기 프락시미티 기반 서비스를 위한 보안 관련 정보를 포함하는 연결 응답(attach response)을 수신하는 단계 및 상기 보안 관련 정보를 이용하여 기기 간 통신을 수행하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 프락시미티 기반 서비스(Proximity based services; Prose)를 제공하는 네트워크에서 보안 통신을 수행하는 단말로, 기지국과 데이터 통신을 수행하는 통신부 및 상기 기지국으로 연결 요청(attach request)을 전송하고, 상기 기지국으로부터 상기 프락시미티 기반 서비스를 위한 보안 관련 정보를 포함하는 연결 응답(attach response)을 수신하고, 상기 보안 관련 정보를 이용하여 기기 간 통신을 수행하도록 상기 통신부를 제어하는 제어부를 포함하는 것을 특징으로 한다.
본 발명을 통해 EUTRAN (Evolved Universal Terrestrial Radio Access Network: 이하 EUTRAN 표기) 혹은 UTRAN (Universal Terrestrial Radio Access Network: 이하 UTRAN 표기) / GERAN (GSM/EDGE Radio Access Network: 이하 GERAN으로 표기) 등과 같은 환경하에서 기기(device)가 Prose discovery, prose communication 을 위한 prose 관련 능력(capability), prose 가능 PLMN list, 그리고, prose 관련 보안을 설정하기 위한 보안 키를 전달받음으로써, Prose discovery, prose communication 에 있어서 통신의 효율성 및 보안성이 강화되는 이점이 있다.
도 1은 본 발명이 적용되는 네트워크 구조의 일 예를 나타낸 도면이다.
도 2는 본 발명이 적용되는 네트워크 구조의 다른 예를 나타낸 도면이다. 도 3a 및 도 3b는 본 발명의 일 실시 예에 따라 보안 관련 정보를 단말 등록 과정에서 획득하는 보안 통신 방법을 나타낸 흐름도이다. 도 4a 및 도 4b는 본 발명의 일 실시 예에 따라 보안 관련 정보를 Prose 등록 과정에서 획득하는 보안 통신 방법을 나타낸 흐름도이다.
도 5a 및 도 5b는 본 발명의 일 실시 예에 따라 보안 관련 정보를 별도의 절차에서 획득하는 보안 통신 방법을 나타낸 흐름도이다.
도 6은 본 발명에 따른 동작을 수행하는 단말의 구성을 나타낸 블록도이다.
도 7은 본 발명의 다른 실시 예가 적용되는 네트워크 구조의 예를 나타낸 도면이다.
도 8 내지 도 9는 본 발명의 다른 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다.
도 10은 본 발명의 다른 실시 예에 따른 보안 통신을 위하여 키를 생성하는 방법을 나타낸 흐름도이다.
도 11 내지 도 12는 본 발명의 다른 실시 예에 따른 보안 통신을 위하여 키를 관리하는 방법을 나타낸 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술 되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명은 기기 (device)에 통신 기능이 수행 가능하도록 하는 시스템에 대한 것으로서, 이때 기기(device)는 종래의 이동 통신 단말이나 machine type communication 을 수행하는 기기, Consumer Devices, 자판기(vending machine) 등 다양한 기기가 포함될 수 있다. 후술 되는 본 발명의 요지는 이동 통신 시스템에서 기술된 다양한 기기가 단말(UE)로 동작하여 기기 간 탐색(D2D discovery), 기기 간 통신(D2D communication)을 수행하도록 하기 위하여, 관련 정보를 전달하고, 관리하고, 안전한 환경에서 통신하도록 하는 방법을 제공하는 것이다.
이하 본 발명을 구체적으로 설명하는데 있어서, 3GPP 를 기반으로 하는 EPS 시스템, UTRAN, GERAN 을 가정할 것이나, 이에 한정되지 않고 본 발명은 다른 이동 시스템에서도 적용 가능할 것이다.
한편, 본 발명은 기기 간 통신을 함에 있어서 단말이 관련 정보를 전달받거나, 보안 설정을 수행할 때, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형 가능함은 물론이다.
한편, 본 발명은 통신 단말을 포함한 다양한 기기가 EUTRAN 혹은 3GPP 환경하에서 기기 간 통신을 수행하려고 할 때 관련 정보를 전달하고, 보안을 설정하여 안전한 통신이 가능하도록 하는 관리 방법에 관한 것으로, 이러한 방법은 유사한 기술적 배경 및 채널 형태, 네트워크 구조 (architecture), 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
도 1은 본 발명이 적용되는 네트워크 구조의 일 예를 나타낸 도면이다.
구체적으로, 도 1은 prose discovery, prose communication의 보안 설정 및 통신을 위한 네트워크 환경 중 home routing case를 도시한 블록도 이다. 도 1에 도시된 네트워크 구조는 3GPP EPS 시스템을 기반으로 하고 있으며, 이하에서는 EUTRAN 을 중심으로 본 발명의 특징을 기술할 것이다. 그러나 본 발명은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다.
도 1을 참조하면, 단말 (UE: user equipment)(111, 131)은 종래의 이동 통신 단말이나 machine type communication 을 수행하는 기기, Consumer Devices, 자판기(vending machine) 등 다양한 기기일 수 있다.
도 1에서는 로밍 (roaming) 환경을 고려하여, home network (H1), visited network (V1)를 도시하였다. 이러한 네트워크 구조는, UE 1(111)과 UE 2(131)가 prose discovery를 하고 prose 통신을 함에 있어서, 동일한 coverage (coverage 1)에 있는지, 다른 coverage 에 있는지 (coverage 2)에 따라 서로 다른 동작이 적용될 수 있는 환경이다. UE 1(111)은 eNB (114), MME (116)를 통해서 일반적인 EUTRAN communication 을 수행할 수 있고, serving gateway(118), PDN gate way (119) 등을 통해서 data 통신을 수행한다. 도 1에 도시된 home routing의 경우. UE 1(111)은 데이터 통신 수행 시, home network (H1)에 있는 PDN gateway (119) 를 통해서 데이터 통신을 수행하게 된다.
한편, 본 발명이 적용되는 네트워크는, prose 기능 수행을 위해서, prose 관련 정보를 수행하게 하는 prose function server(127)가 존재한다. prose function server(127)는 prose 관련 function의 등록, 관련 정보의 전달 및 UE(111, 131)의 prose 관련 capability 등을 검증하게 된다.
HSS (121)는 UE(111, 131) 에 관한 subscription의 정보 및 UE 관련 보안키 정보 등을 prose function server(127)로 전달하게 된다. Prose의 기능은 prose 가 application server (125) 를 통하여 수행하게 되며, application server (125)는 prose application 을 수행하기 위해서 PCRF (policy and charging rules function) (123) 와 연동하여 prose 관련 data 서비스를 수행하게 된다.
본 발명에서는 이동 통신 및 인터넷 통신에서 사용되는 프로토콜을 기반으로 기기 혹은 단말 (UE: 111, 131), eNB(114), MME(116), prose function server(127), HSS(121), application server(125) 등의 엔티티들이 proximity based service, prose discovery, prose communication를 가능하도록 하는 보안 통신 설정 및 수행 방법을 제공한다. 구체적인 내용은 이하 도 3을 참조하여 설명하기로 한다.
도 2는 본 발명이 적용되는 네트워크 구조의 다른 예를 나타낸 도면이다. 구체적으로, 도 2는 본 발명의 일 실시 예에 따른 prose discovery, prose communication의 보안 설정 및 prose communication 을 위한 환경 중 local break out case를 도시한 블록도 이다. 도 1 과 비교하여, 도 2에서는 PDN gateway(220), Application server (226)가 Visited Network(V1)에 존재하며, HPCRF(223)와 visited PCRF(vPCRF) (224)가 추가로 구성된다.
도 3a 및 도 3b는 본 발명의 일 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다. 구체적으로, 도 3a 및 도 3b는 본 발명의 일 실시 예에 따라 prose discovery, prose communication 을 위한 보안 설정 및 보안 통신 절차를 도시하고 있다. 도 3a 및 도 3b의 실시 예에서는 단말이 prose discovery 및 prose communication을 위한 보안 키 및 보안 설정 관련 정보를 registration 과정에서 획득하는 경우를 나타내었다.
301 과정에서 UE 1은 eNB로 attach request 메시지를 전송하여, 등록 절차를 수행한다. 303 과정에서 eNB는 UE 1이 전송한 attach request 메시지를 MME로 전달한다.
305 과정에서 MME 는 HSS로 Authentication data request 메시지를 전송한다. 이후 307 과정에서 HSS 는 MME로 인증 벡터 (authentication vector) 등을 포함한 보안 관련 정보를 전송한다.
309 과정에서 MME 는 UE 1로 UE 인증 토큰(AUTN)을 포함하는 User authentication request 메시지를 전송한다. 311 과정에서 UE 1은 MME로 User authentication response 메시지와 함께 RES(response 보안 값)을 전송한다.
313 과정에서 MME 는 UE 1로 NAS SMC 메시지를 전송한다. 315 과정에서 UE 1은 MME로 Security mode complete 메시지를 전송한다.
317 과정에서 MME 는 eNB로 access stratum (AS) security mode command 메시지를 전송한다. 319 과정에서 eNB는 UE 1로 AS security mode command 메시지를 전달한다. 321 과정에서 UE 1은 eNB로 AS security mode complete 메시지를 전송한다.
323 과정에서 MME 는 HSS로 update location request 메시지를 전송한다. 325 과정에서 HSS 는 MME로 subscription data를 전송하게 된다. 이때 HSS는 prose 서비스를 하기 위한 prose 식별자 (identity), UE 1의 prose 관련 능력(capacity), proximity 관련 보안 키, prose PLMN list 등의 정보를 함께 MME로 전달한다. Proximity 관련 보안 키는 proximity discovery 또는 proximity communication 을 위한 보안 키로서 일 실시 예를 들면 그룹 키가 될 수도 있다.
327 과정에서는 MME 는 eNB로 attach accept 메시지를 전송하고, 329 과정에서 eNB는 attach accept 메시지를 UE 1로 전달한다. 327 과정과 329 과정에서는 325 과정에서 HSS로부터 전달된 prose 서비스를 하기 위한 prose 식별자 (identity), UE의 prose 관련 능력(capacity), proximity 관련 보안 키, prose PLMN list 등의 정보가 함께 전달된다.
341 과정에서 UE 1은 prose function으로 prose 등록 요청 메시지를 전송한다. 이 과정에서 UE 1이 이후 다른 UE 와 통신을 수행할 때 이용하기 위한 UE 1의 public key 가 prose function으로 전송될 수도 있다. 전송된 UE 1의 public key 는 prose function 에 저장된다. UE 1은 자신의 public key를 key authentication 센터로부터 수신하거나 prose function으로 요청 메시지를 전송하여 prose function이 자신의 public key를 key authentication center로부터 수신하도록 할 수 있다. 이러한 prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다.
343 과정에서 Prose function은 HSS로 prose 등록 요청 메시지를 전송한다. prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다. prose function ID 는 prose function이 HSS로 메시지를 통하여 전송하거나, UE가 HHS로 전송한 것일 수 있다. 이후 HSS 는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
345 과정에서 HSS는 Prose function으로 prose 인증 벡터 (prose authentication vector)를 전송한다.
347 과정에서 prose function 은 UE 1로 prose 인증 토큰을 전송한다. 349 과정에서 UE 1과 Prose Function은 IPsec 설정을 수행한다. UE는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
353 과정에서는 UE 1이 prose 등록을 위해 prose function으로부터 수신된 인증 토큰에 대한 응답 값을 포함한 메시지를 prose function으로 전송한다. 355 과정에서 prose function 은 RES 와 XRES 정보를 비교하여 검증한다. 357 과정에서 prose function 은 UE 1로 prose 등록 응답 메시지를 전송하며, 이때 prose function 과 UE 1 간의 통신을 보호해주는 보안키, integrity key 가 전송된다. UE 1과 통신 가능한 다른 UE가 여러 개 있을 때, UE 1은 다른 UE의 public key를 prose function으로부터 받아 올 수 있다. 즉 prose function 은 다른 UE의 public key를 등록된 UE (예를 들면 UE 1) 에 전송할 수도 있다.
도 4a 및 도 4b는 본 발명의 일 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다. 구체적으로, 도 4a 및 도 4b는 본 발명의 일 실시 예에 따라 prose discovery, prose communication을 위한 보안 설정 및 보안 통신 절차를 도시하고 있다. 도 4a 및 도 4b의 실시 예에서는 단말이 prose discovery 및 prose communication을 위한 보안 키 및 보안 설정 관련 정보를 prose registration 을 수행하는 proximity based service 등록 과정에서 획득하는 경우를 나타내었다.
401 과정에서 UE 1은 eNB로 attach request 메시지를 전송하여, 등록 절차를 수행한다. 403 과정에서 eNB는 UE 1이 전송한 attach request 메시지를 MME로 전달한다.
405 과정에서 MME 는 HSS로 Authentication data request 메시지를 전송한다. 이후 407 과정에서 HSS 는 MME로 인증 벡터 (authentication vector) 등을 포함한 보안 관련 정보를 전송한다.
409 과정에서 MME 는 UE 1로 UE 인증 토큰(AUTN)을 포함하는 User authentication request 메시지를 전송한다. 411 과정에서 UE 1은 MME로 User authentication response 메시지와 함께 RES(response 보안 값)을 전송한다.
413 과정에서 MME 는 UE 1로 NAS SMC 메시지를 전송한다. 415 과정에서 UE 1은 MME로 Security mode complete 메시지를 전송한다.
417 과정에서 MME 는 eNB로 access stratum (AS) security mode command 메시지를 전송한다. 419 과정에서 eNB는 UE 1로 AS security mode command 메시지를 전달한다. 421 과정에서 UE 1은 eNB로 AS security mode complete 메시지를 전송한다.
423 과정에서 MME 는 HSS로 update location request 메시지를 전송한다. 425 과정에서 HSS 는 MME로 subscription data를 전송하게 된다.
427 과정에서 MME 가 eNB로 attach accept 메시지를 전송하고, 429 과정에서 eNB는 attach accept 메시지를 UE로 전달한다.
441 과정에서는 UE 1은 prose function으로 prose 등록 요청 메시지를 전송한다. 이 과정에서는 UE 1이 이후 다른 UE 와 통신을 수행할 때 이용하기 위한 UE 1의 public key 가 prose function으로 전송될 수도 있다. 전송된 UE 1의 public key 는 prose function 에 저장된다. UE 1은 자신의 public key를 key authentication 센터로부터 수신하거나 prose function으로 요청 메시지를 전송하여 prose function이 자신의 public key를 key authentication center로부터 수신하도록 할 수 있다. 이러한 prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다.
443 과정에서 Prose function은 HSS로 prose 등록 요청 메시지를 전송한다. prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다. prose function ID 는 prose function이 HSS로 메시지를 통하여 전송하거나, UE가 HHS로 전송한 것일 수 있다. 이후 HSS 는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
445 과정에서 HSS는 Prose function으로 prose 인증 벡터 (prose authentication vector)를 전송한다.
447 과정에서 prose function 은 UE 1로 prose 인증 토큰을 전송한다. 449 과정에서 UE 1과 Prose Function은 IPsec 설정을 수행한다. UE는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
453 과정에서는 UE 1이 prose 등록을 위해 Prose Function으로부터 수신된 인증 토큰에 대한 응답 값을 포함한 메시지를 prose function으로 전송한다. 455 과정에서 prose function 은 RES 와 XRES 정보를 비교하여 검증한다. 457 과정에서 prose function 은 UE 1로 prose 등록 응답 메시지를 전송한다. 이때 prose function은 prose function 과 UE 1 간의 통신을 보호해주는 보안키, integrity key를 함께 전송한다. 또한, prose function은 prose 서비스를 하기 위한 prose 식별자 (identity), UE 1의 prose 관련 능력(capacity), proximity 관련 보안 키, prose PLMN list 등의 정보를 함께 전달한다. Proximity 관련 보안키는 proximity discovery 또는 proximity communication 을 위한 보안 키로서 일 예로, 그룹 키일 수 있다. UE 1과 통신 가능한 다른 UE가 여러 개 있을 때, UE 1은 다른 UE의 public key를 prose function으로부터 받아 올 수 있다. 즉 prose function 은 다른 UE의 public key를 등록된 UE (예를 들면 UE 1) 에 전송할 수도 있다.
도 5a 및 도 5b는 본 발명의 일 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다. 구체적으로, 도 5a 및 도 5b는 prose discovery, prose communication 을 위한 보안 설정 및 보안 통신 절차를 도시하고 있다. 도 5a 및 도 5b의 실시 예에서는 prose discovery 및 prose communication을 위한 보안 키 및 보안 설정 관련 정보를 단말 등록과 prose 등록을 마치고, 별도의 절차를 통해 획득하는 경우를 나타내었다.
501 과정에서 UE 1은 eNB로 attach request 메시지를 전송하여, 등록 절차를 수행한다. 503 과정에서 eNB는 UE 1이 전송한 attach request 메시지를 MME로 전달한다.
505 과정에서 MME 는 HSS로 Authentication data request 메시지를 전송한다. 이후 507 과정에서 HSS 는 MME로 인증 벡터 (authentication vector) 등을 포함한 보안 관련 정보를 전송한다.
509 과정에서 MME 는 UE 1로 UE 인증 토큰(AUTN)을 포함하는 User authentication request 메시지를 전송한다. 511 과정에서 UE 1은 MME로 User authentication response 메시지와 함께 RES(response 보안 값)을 전송한다.
513 과정에서 MME 는 UE 1로 NAS SMC (non access stratum security command) 메시지를 전송한다. 515 과정에서 UE 1은 MME로 Security mode complete 메시지를 전송한다.
517 과정에서 MME 는 eNB로 access stratum (AS) security mode command 메시지를 전송한다. 519 과정에서 eNB는 UE 1로 AS security mode command 메시지를 전달한다. 521 과정에서 UE 1은 eNB로 AS security mode complete 메시지를 전송한다.
523 과정에서 MME 는 HSS로 update location request 메시지를 전송한다. 525 과정에서 HSS 는 MME로 subscription data를 전송하게 된다.
527 과정에서는 MME 는 eNB로 attach accept 메시지를 전송하고 529 과정에서 eNB는 attach accept 메시지를 UE 1로 전달한다.
541 과정에서 UE 1은 prose function으로 prose 등록 요청 메시지를 전송한다. 이 과정에서 UE 1이 이후 다른 UE 와 통신을 수행할 때 이용하기 위한 UE 1의 public key 가 prose function으로 전송될 수도 있다. 전송된 UE 1의 public key 는 prose function 에 저장된다. UE 1은 자신의 public key를 key authentication 센터로부터 수신하거나 prose function으로 요청 메시지를 전송하여 prose function이 자신의 public key를 key authentication center로부터 수신하도록 할 수 있다. 이러한 prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다.
543 과정에서 Prose function은 HSS로 prose 등록 요청 메시지를 전송한다. prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다. prose function ID 는 prose function이 HSS로 메시지를 통하여 전송하거나, UE가 HHS로 전송한 것일 수 있다. 이후 HSS 는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
545 과정에서 HSS는 Prose function으로 prose 인증 벡터 (prose authentication vector)를 전송한다.
547 과정에서 prose function 은 UE 1로 prose 인증 토큰을 전송한다. 549 과정에서 UE 1과 Prose Function은 IPsec 설정을 수행한다. UE는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
553 과정에서는 UE 1이 prose 등록을 위해 prose function으로부터 수신된 인증 토큰에 대한 응답 값을 포함한 메시지를 prose function으로 전송한다. 555 과정에서 prose function 은 RES 와 XRES 정보를 비교하여 검증한다. 557 과정에서 prose function 은 UE 1로 prose 등록 응답 메시지를 전송하며, 이때 prose function 과 UE 1 간의 통신을 보호해주는 보안키, integrity key 가 전송된다.
이후 559 과정에서 prose function 은 UE 1로 prose 서비스를 하기 위한 prose 식별자 (identity), UE의 prose 관련 능력(capacity), proximity 관련 보안 키, prose PLMN list 중의 적어도 하나의 정보를 전달한다. 559 과정은 integrity protect 등의 보안이 수행되는 UE 1과 prose function 간의 통신을 통해서 이루어질 수 있다. Proximity 관련 보안키는 proximity discovery 또는 proximity communication 을 위한 보안 키로서 일 예로 그룹 키일 수 있다.
UE 1과 통신 가능한 다른 UE가 여러 개 있을 때, UE 1은 다른 UE의 public key를 prose function으로부터 받아 올 수 있다. 즉 prose function 은 다른 UE의 public key를 등록된 UE (예를 들면 UE 1) 에 전송할 수도 있다.
561 과정에서 UE 1은 이에 대한 응답으로 prose 파라미터 전송에 대한 응답 메시지를 Prose function으로 전송한다.
도 6은 본 발명에 따른 동작을 수행하는 단말의 구성을 나타낸 블록도이다.
도 6을 참조하면, 본 발명에 따른 단말(600)은 통신부(610), 제어부(620) 및 저장부(630)를 포함하여 구성될 수 있다.
통신부(610)는 제어부(620)의 제어에 따라 기지국, MME, Prose Function, HSS 등과 데이터 통신을 수행한다.
제어부(620)는 상술한 본 발명에 따른 동작들을 수행하기 위하여 통신부(610) 및 저장부(630) 등 다른 구성 요소를 제어한다.
저장부(630)는 제어부(620)에 의하여 획득된 보안 관련 정보들을 임시 또는 영구적으로 저장한다.
도 7은 본 발명의 다른 실시 예가 적용되는 네트워크 구조의 예를 나타낸 도면이다. 도 7에 도시된 네트워크 구조는 3GPP EPS 시스템을 기반으로 하고 있으며, 이하에서는 EUTRAN 을 중심으로 본 발명의 특징을 기술할 것이다. 그러나 본 발명은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다.
도 7을 참조하면, 단말 (UE: user equipment) (1111, 1131) 은 종래의 이동 통신 단말(UE: user equipment )이나 machine type communication 을 수행하는 기기, Consumer Devices 등 다양한 기기일 수 있다.
도 7에 도시된 네트워크 구조는, UE 1(1111) 과 UE 2(1131) 가 prose discovery를 하고 prose 통신을 수행할 수 있는 환경이다. UE 1(1111)은 eNB (1114), MME (1116) 를 통해서 일반적인 EUTRAN communication 을 수행할 수 있고, serving gateway(1118), PDN gate way (1119) 등을 통해서 data 통신을 수행한다. 한편, 본 발명이 적용되는 네트워크는, prose 기능 수행을 위해서, prose 관련 정보를 수행하게 하는 prose function server(1127) 가 존재한다. prose function server(1127)는 prose 관련 function의 등록 및 관련 정보의 전달 및 단말(1111, 1131)의 prose 관련 capability 등을 검증하며, prose 인증을 수행하게 된다.
HSS (1121) 는 UE (1111, 1131)에 관한 subscription의 정보 및 UE 관련 보안키 정보 등을 prose function server(1127)로 전달하게 된다. Prose의 응용(application) 서버 기능은 prose 가 application server (1125) 를 통하여 수행하게 되며, application server (1125)는 prose application 을 수행하기 위해서 PCRF (policy and charging rules function) (1123-1) 과 연동하여 prose 관련 data 서비스를 수행하게 된다.
본 발명에서는 이동 통신 및 인터넷 통신에서 사용되는 프로토콜을 기반으로 기기 혹은 단말 (UE: 1111, 1131), eNB(1114), MME(1116), prose function(1127), HSS(1121), application server(1125) 등의 엔티티들이 proximity based service, prose discovery, prose communication를 가능하도록 하는 보안 통신 설정 및 수행 방법을 제공한다. 구체적인 내용은 이하에서 설명하기로 한다.
도 8a 및 도 8b는 본 발명의 다른 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다. 구체적으로, 도 8a 및 도 8b는 본 발명의 실시 예에 따라 prose discovery 및 prose 통신을 위한 인증 방법 및 보안 키 설정 관련 정보를 prose function server에서 유도 (derive) 한 키를 이용하여 보안 키 설정을 수행하는 방법을 나타내었다.
1201 과정에서 UE는 eNB로 attach request 메시지를 전송하여, 등록 절차를 수행한다. 1203 과정에서 eNB는 UE가 전송한 attach request 메시지를 MME로 전달한다.
1205 과정에서 MME 는 HSS로 Authentication data request 메시지를 전송하고, HSS 는 MME로 인증 벡터 (authentication vector) 등을 포함한 보안 관련 정보를 전송한다.
1207 과정에서 MME 는 UE로 인증 토큰(AUTN)을 포함하는 User authentication request 메시지를 전송하고, UE 는 MME로 User authentication response 메시지와 함께 RES(response 보안 값)을 전송한다.
1208 과정에서 UE는 MME 와 NAS SMC(Security mode command) 과정을 수행하고, 이후에 MME, eNB, UE 는 AS SMC 과정을 수행한다.
1209 과정에서 MME 는 HSS로 update location request 메시지를 전송한다. 1211 과정에서 HSS 는 MME로 subscription data를 전송하게 된다. 이때 HSS는 prose 서비스를 하기 위한 prose 식별자 (identity), Prose 그룹 식별자 (prose group identity), UE의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 proximity 관련 보안 키(prose key), prose PLMN list 등의 정보를 함께 MME로 전달한다. Proximity 관련 보안 키는 proximity discovery 또는 proximity communication 을 위한 보안 키로 HSS는 Proximity 관련 보안 키에 관한 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 MME로 전달하고, 등록된 정보가 없는 경우는 이후의 인증을 수행한 후 Proximity 관련 보안 키를 생성한다.
1213 과정에서는 MME 는 eNB로 attach accept 메시지를 전송하고, 1215 과정에서 eNB는 attach accept 메시지를 UE로 전달한다. 1213 과정과 1215 과정에서는 1211 과정에서 HSS로부터 전달된 prose 서비스를 하기 위한 prose 식별자 (identity), UE의 prose 관련 능력(capacity), proximity 관련 보안 키, prose group key, prose group identity, prose PLMN list 등의 정보가 함께 전달된다.
1217 과정에서는 UE는 prose function으로 prose 등록 요청 메시지를 전송한다. 이 과정에서는 UE 가 이후 다른 UE 와 통신을 수행할 때 이용하기 위한 UE의 public key 가 prose function으로 전송될 수도 있다. 전송된 UE의 public key 는 prose function 에 저장된다. UE 는 자신의 public key를 key authentication 센터로부터 수신하거나 prose function으로 요청 메시지를 전송하여 prose function이 자신의 public key를 key authentication center로부터 수신하도록 할 수 있다. 이러한 prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다.
1218 과정에서 Prose function은 HSS로 prose 등록 요청 메시지를 전송한다. prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다. prose function ID 는 prose function이 HSS로 메시지를 통하여 전송하거나, UE가 HHS로 전송한 것일 수 있다. 이후 HSS 는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다. 이후 HSS는 Prose function으로 prose 인증 벡터(prose authentication vector)를 전송한다. 인증 벡터에는 암호 키 (Cipher Key: 이하 CK로 표기) 및 무결성키(Integrity Key: 이하 IK로 표기)가 포함될 수 있다. 또는, 인증 벡터에는 생성된 Prose Key가 포함될 수도 있다. 일 실시 예에서, HSS는 Prose function으로 prose 인증 벡터와 무관하게 별도로 prose key를 전송할 수 있다.
1219 과정에서 prose function 은 UE로 prose 인증 토큰을 전송한다. 1220 과정에서 UE 와 prose fuction 은 IPsec 설정을 수행한다. UE는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
1221 과정에서는 US가 prose 등록을 위해 prose function으로부터 수신된 인증 토큰에 대한 응답 값을 포함한 메시지를 prose function으로 전송한다. prose function 은 RES 와 XRES 정보를 비교하여, 검증한다. 1223 과정에서 prose function 은 UE로 prose 등록 응답 메시지를 전송하며, 이때 prose function 과 UE 간의 통신을 보호해주는 보안키, UE 와 application Server 간 통신을 보호해 줄 integrity key, encryption key seed가 전송된다. UE 1과 통신 가능한 다른 UE가 여러 개 있을 때, UE 1은 다른 UE의 public key를 prose function으로부터 받아 올 수 있다. 즉 prose function 은 다른 UE의 public key를 등록된 UE (예를 들면 UE 1) 에 전송할 수도 있다.
1225 과정에서 UE에서 prose function으로 application server를 접속하기 위한 요청(request) 가 전달되고 1226 과정에서 prose function에서 HSS로 application 서버에 대한 정보를 요청한다. 1227 과정에서 HSS에서 prose function으로 application server 관련 정보가 전달된다. 이러한 application 서버 관련 정보는 application 서버에 접속하기 위한 IP address 등의 정보를 포함할 수 있다. 이러한 1225 내지 1226의 과정은 또 다른 일 발명의 실시 예에 의하면 생략될 수 있다.
1231-1의 과정에서 UE 는 prose 통신을 할 수 Prose key를 생성할 수 있으며, Prose Key 는 UE 와 application 통신에 사용된다. prose key 는 IK, CK로부터 생성되거나 KASME를 이용하여 생성될 수 있다.
1231-3에서 prose function 은 IK, CK로부터 prose key를 생성하고, KASME로부터 prose key를 생성할 수 있다. IK, CK로부터 생성할 경우는 HSS로부터 전달된 값을 이용하면 되고, 만일 KASME로부터 생성할 경우는 MME로부터 KASME를 제공받거나, prose function 이 MME 와 결합(combined) 된 구조에서 가능하다. 1234 과정은 prose function 가 변경된 prose 보안키 정보를 HSS 에 갱신(update) 하는 과정이다.
1235 과정에서는 prose는 function에서 application 서버로 prose key 와 prose function 에 UE가 등록과정에 prose 서비스를 위해 등록한 관련 정보가 전달된다. 또한, integrity key, encryption key 등을 위한 seed 정보도 함께 전달될 수 있다. 1237 과정에서는 prose key, integration key seed, encryption key seed 등의 정보 중 적어도 하나가 저장될 수 있다. 이후 1239 과정에서 UE 와 application server는 prose key, prose 식별자 등을 이용해서 통신을 수행한다. 혹은 1241 과정에서와 같이 UE 와 다른 UE 는 prose Key 또는 Prose 식별자 (identity: 이후 ID) 등을 이용해서 통신을 수행한다.
도 9a 및 도 9b는 본 발명의 다른 실시 예에 따른 보안 통신 방법을 나타낸 흐름도이다. 구체적으로, 도 9a 및 도 9b는 본 발명의 일 실시 예에 따른 prose discovery, prose communication 인증 및 보안을 위한 통신 및 보안 절차를 나타낸 메시지 흐름도이다.
1301 과정에서 UE는 eNB로 attach request 메시지를 전송하여, 등록 절차를 수행한다. 1303 과정에서 eNB는 UE가 전송한 attach request 메시지를 MME로 전송(transfer) 한다.
1305 과정에서 MME 는 HSS로 Authentication data request 메시지를 전송하고 HSS 는 MME로 인증 벡터 (authentication vector) 등을 포함한 보안 관련 정보를 전송한다.
1307 과정에서 MME 는 UE로 인증 토큰(AUTN)을 포함하는 User authentication request 메시지를 전송하고 UE 는 MME로 User authentication response 메시지와 함께 RES(response 보안 값)을 전송한다.
1308 과정에서 UE는 MME 와 NAS SMC(Security mode command) 과정을 수행하고, 이후에, MME, eNB, UE 는 AS SMC 과정을 수행한다.
1309 과정에서 MME 는 HSS로 update location request 메시지를 전송한다. 1311 과정에서 HSS 는 MME로 subscription data를 전송하게 된다. 이때 HSS는 prose 서비스를 하기 위한 prose 식별자 (identity), Prose 그룹 식별자 (prose group identity), UE의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 proximity 관련 보안 키(prose key), prose PLMN list 등의 정보를 함께 MME로 전달한다. Proximity 관련 보안키는 proximity discovery 또는 proximity communication 을 위한 보안키로 HSS는 Proximity 관련 보안 키에 관한 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 알려주고, 등록된 정보가 없는 경우는 이후 인증을 수행한 후 Proximity 관련 보안 키를 생성한다.
1313 과정에서는 MME 는 eNB로 attach accept 메시지를 전송하고 1315 과정에서 eNB는 attach accept 메시지를 UE로 전송한다. 1313 과정과 1315 과정에서는 1311 과정에서 HSS로부터 전달된 prose 서비스를 하기 위한 prose 식별자 (identity), UE의 prose 관련 능력(capacity), proximity 관련 보안 키, prose group key, prose group identity, prose PLMN list 등의 정보도 함께 전달된다.
1317 과정에서는 UE 는 application server로 접속 요청 메시지를 전송하고, application 서버는 UE 에 대해 인증 및 초기 접속(bootstrapping) 과정을 거치도록 트리거링 한다.
1319 과정에서 UE 는 prose function으로 등록 요청 메시지를 전송한다. 이 과정에서는 UE 가 이후 다른 UE 와 통신을 수행할 때 이용하기 위한 UE의 public key 가 prose function으로 전송될 수도 있다. 전송된 UE의 public key 는 prose function 에 저장된다. UE 는 자신의 public key를 key authentication 센터로부터 수신하거나 prose function으로 요청 메시지를 전송하여 prose function이 자신의 public key를 key authentication center로부터 수신하도록 할 수 있다. 이러한 prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다.
1320 과정에서 Prose function은 HSS로 prose 등록 요청 메시지를 전송한다. prose 등록 요청 메시지에는 prose function ID (식별자) 정보 등이 포함될 수 있다. prose function ID 는 prose function이 HSS로 메시지를 통하여 전송하거나, UE가 HHS로 전송한 것일 수 있다. 이후 HSS 는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다. 이후 HSS는 Prose function로 prose 인증 벡터(prose authentication vector)를 전송한다. 인증 벡터에는 암호 키 (Cipher Key: 이하 CK로 표기) 및 무결성키(Integrity Key: 이하 IK로 표기)가 포함될 수 있다. 또는, 인증 벡터에는 생성된 Prose Key가 포함될 수도 있다. HSS는 Prose function으로 prose 인증 벡터와 무관하게 별도로 prose key를 전송할 수 있다.
1323 과정에서는 UE 와 prose fuction 간에 IPsec 설정을 수행한다. UE는 도 11에 기술된 바와 같이 Prose key 를 생성할 수도 있다.
1325 과정에서는 prose 등록을 위해 prose function에서 UE로 전송한 인증 토큰에 대한 응답 값을 포함한 메시지가 UE에서 prose function으로 전송되어 오고 prose function 은 RES 와 XRES 정보를 비교하여, 검증한다.
1329 과정에서 prose function에서 UE로 prose 등록 응답 메시지가 전송되고 이때 prose function 과 UE 간의 통신을 보호해주는 보안키, UE 와 application Server 간 통신을 보호해줄 integrity key, encryption key seed가 전송된다.
UE 1과 통신 가능한 다른 UE가 여러 개 있을 때, UE 1은 다른 UE의 public key를 prose function으로부터 받아 올 수 있다. 즉 prose function 은 다른 UE의 public key를 등록된 UE (예를 들면 UE 1) 에 전송할 수도 있다.
1331의 과정에서 UE 는 prose 통신을 할 수 있는 Prose key를 생성할 수 있으며, Prose Key 는 UE 와 application 통신에 사용된다. prose key 는 IK, CK로부터 생성할 수 있다.
1333 과정에서 UE 는 application server로 access request를 보낸다. 334 과정에서 UE 는 Application Server에서 prose function으로 인증 요청 (authentication request) 메시지를 보낸다.
1335 과정에서 prose function 은 IK, CK로부터 prose key를 생성할 수 있다. 혹은 KASME로부터 prose key를 생성할 수 있다. IK, CK로부터 생성할 경우는 HSS로부터 전달된 값을 이용하면 되고, 만일 KASME로부터 생성할 경우는 MME로부터 KASME를 제공받거나, prose function 이 MME 와 결합(combined) 된 구조에서 가능하다. 1339 과정에서는 prose function에서 application 서버로 prose key 와 prose 서비스를 위해 등록한 관련 정보가 전달된다. 또한, integrity key, encryption key 등을 위한 seed 정보도 함께 전달될 수 있다. 1341 과정에서는 prose key, integration key seed, encryption key seed 등의 정보 중 적어도 하나가 저장될 수 있다.
1343 과정에서 application server에서 UE로 응답 메시지를 보낸다. 1345 과정에서 application server 는 integrity key 와 encryption key를 생성한다. 1347 과정에서 prose key 에 의해 암호화 (encryption key 와 integrity key를 생성하여 보낸다. 1349 과정에서 UE 는 prose key로 encryption key 와 integrity key를 복호화시킨다.
이후 1351 과정에서 UE 와 application server 는 prose key, prose 식별자 등을 이용해서 통신을 수행한다. 혹은 1353 과정에서와 같이 UE 와 다른 UE 는 prose Key 또는 Prose 식별자 (identity: 이후 ID) 등을 이용해서 통신을 수행한다.
도 10은 본 발명의 다른 실시 예에 따른 보안 통신을 위하여 키를 생성하는 방법을 나타낸 흐름도이다. 구체적으로, 도 10은 본 발명의 일 실시 예에 따른 prose discovery, prose communication 보안을 위한 키 생성 및 관계를 나타낸 도면이다.
9227의 prose function server 는 prose key를 생성하며 이를 9225의 prose application server로 전달할 수 있다. 또는, 9221의 HSS는 Prose key 를 생성하거나 조회할 수도 있다.
9225의 application server 는 일 실시 예(case 1)에 따르면 prose function server로 받은 prose key를 이용하여 세션을 보호하기 위한 키를 생성하거나, 데이터 암호화 (encryption)를 위한 encryption key를 생성하거나, 데이터 무결성을 위한 integrity key를 생성할 수 있다. 또한, 또 다른 일 실시 예(case 2) 에 따르면 데이터 암호화 (encryption)를 위한 encryption key를 생성하거나, 데이터 무결성을 위한 integrity key를 생성하여 이를 단말로 전달 수 있다.
9211의 UE 는 prose key를 생성한다. 또한, UE 는 일 실시 예(case 3)에 따르면, 세션 키, integrity key 또는 encryption key 중 어느 하나를 생성할 수 있다. 한편, UE 는 또 다른 일 실시 예 (case 4) 에 따르면, 세션 키(session key), integrity key 또는 encryption key, 혹은 session key 중 어느 하나를 복호화 (decryption) 하여 사용할 수 있다.
도 11 은 본 발명의 다른 실시 예에 따른 보안 통신을 위하여 키를 관리하는 방법을 나타낸 흐름도이다. 도 11은 본 발명의 일 실시 예에 따른 prose discovery, prose communication 보안을 위한 키 관리 방안의 일 실시예( case 1, case 3) 에 대한 것이다.
1503 은 IK, CK로서 각각 UE 와 HSS에서 생성되는 Integrity key (IK), Ck (cipher key)이다. 이러한 IK, CK로부터 1507에서 Prose Key를 생성할 수 있다.
Figure 112014042412462-pat00001
수학식 1은 Prose Key가 application에 등록하는 과정에 관여하는 경우에 적용될 수 있다.
Figure 112014042412462-pat00002
수학식 2는 Prose Key가 prose function 등록 과정에 관여하는 경우에 적용될 수 있다. 수학식 2에서 prose server ID는 prose function ID를 의미할 수 있다.
수학식 1 및 수학식 2에서, IK는 integrity key, CK는 cipher key, Application server ID는 Application server의 식별자, RAND 는 난수 (random number), Proser server ID 는 prose server의 식별자이다.
수학식 1 및 수학식 2에서는 Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다. 또한, application server ID, RAND, prose server ID 등은 concatenation 되어 사용될 수 있다. KDF 는 key derivation function으로 일 예를 들면 HMAC-SHA 256등이 될 수가 있다.
이러한 Prose key로부터 일 실시 예(case 1)과 같이 session key, encryption key, integrity key 등을 생성할 수 있다.
일 예를 들면 session key 는 다음의 수학식 3과 같이 생성할 수 있다.
Figure 112014042412462-pat00003
여기서, IK는 integrity key, CK는 cipher key, session key algorithm ID 는 session 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
이때, Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
Figure 112014042412462-pat00004
여기서, IK는 integrity key, CK는 cipher key, Encryption key algorithm ID 는 encryption 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
이때, Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
Figure 112014042412462-pat00005
여기서, IK는 integrity key, CK는 cipher key, Integrity key algorithm ID 는 Integrity 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
여기서 Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
또한, 또 다른 일 실시 예 (case 2) 에 따르면, Application server에서 별도로 생성된 session key, 혹은 encryption key, integrity key를 보호하여 단말에 전달할 수 있다. Session key, encryption key, integrity key 는 여러 가지 방법으로 생성될 수 있으며, 그보다, 이러한 session key, encryption key, integrity key를 보호하여 UE 에 전달하기 위하여, 상기에서 생성된 prose key 가사용될 수 있다. 즉 일 실시 예 (case 2-1) 에 따르면 prose key 가 이러한 session key를 보호하여 전달하거나, 혹은 또 다른 일 실시 예 (case 2-2) 에 따르면, prose key 가 encryption key, integrity key를 보호하여 전달하는데 사용될 수 있다. 즉 일실시 예 (case 2-1) 에 따르면 prose key 는 session 키를 보호하여 전달하고, UE 는 전달된 session key를 이용해서, 다시 encryption key, integrity key를 복호화하여 사용할 수 있다. 혹은 또 다른 일 실시 예 (case 2-2) 에 따르면, prose key 는 encryption key, integrity key를 보호하여 전달하고, UE는 encryption key, integrity key를 복호화하여 사용할 수 있다.
도 12는 본 발명의 다른 실시 예에 따른 보안 통신을 위하여 키를 관리하는 방법을 나타낸 흐름도이다. 구체적으로, 도 12는 본 발명의 일 실시 예에 따른 prose discovery, prose communication 보안을 위한 키 관리 방안의 일 실시 예 (case 2, case 4) 에 대한 것이다. 도 11과 도 12의 큰 차이는 도 11은 prose key 가 CK, IK로부터 생성된데 반해, 도 12는 prose key 가 KASME로부터 생성되는 경우를 예로 든 것이다. 이러한 경우는 prose function server 가 MME 와 합쳐진(combined) 구조를 이루는 경우거나 혹은 prose function server 가 MME로부터 KASME 를 전달받는 경우 등의 여러 가지 방법을 통해서 구현할 수 있다.
1603 은 IK, CK로서 각각 UE 와 HSS에서 생성되는 Integrity key (IK), Ck ( cipher key)이다. 이러한 IK, CK로부터 1605의 KASME ( Key Access Security Management Entity) 생성할 수 있다. 이러한 KASME로부터 407에서 Prose Key를 생성할 수 있다.
Prose Key를 생성하는 식은 다음과 같다.
Figure 112014042412462-pat00006
수학식 6은 Prose Key가 application 등록 과정에 관여하는 경우에 적용될 수 있다.
Figure 112014042412462-pat00007
수학식 7은 Prose Key가 prose function 등록 과정에 관여하는 경우에 적용될 수 있다. 수학식 7에서 prose server ID는 prose function ID를 의미할 수 있다.
수학식 6 및 수학식 7에서, KASME는 IK, Ck, serving network identity, sequence number 등으로부터 생성될 수 있다. Application server ID 는 Application server의 식별자, RAND 는 난수 (random number), Proser server ID 는 prose server의 식별자, KDF 는 key derivation function으로 일 예를 들면 HMAC-SHA 256등이 될 수가 있다.
application server ID, RAND, prose server ID 등은 concatenation 되어 사용될 수 있다.
이러한 Prose key로부터 일 실시 예(case 2)과 같이 session key, encryption key, integrity key 등을 생성할 수 있다.
일 예를 들면 session key 는 다음과 같이 생성할 수 있다.
Figure 112014042412462-pat00008
여기서, IK는 integrity key, CK는 cipher key, session key algorithm ID 는 session 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
또한, Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
Figure 112014042412462-pat00009
여기서, IK는 integrity key, CK는 cipher key, Encryption key algorithm ID 는 encryption 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
또한, Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
Figure 112014042412462-pat00010
여기서, IK는 integrity key, CK는 cipher key, Integrity key algorithm ID 는 Integrity 키 알고리즘을 식별하기 위해 사용되는 식별자이다.
또한, Key로 IK와 CK의 concatenation 인 CK||IK를 사용할 수도 있다.
또한, 또 다른 일 실시 예 (case 4) 에 따르면, Application server에서 별도로 생성된 session key, 혹은 encryption key, integrity key를 보호하여 단말에 전달할 수 있다. Session key, encryption key, integrity key 는 여러 가지 방법으로 생성될 수 있으며, 그보다, 이러한 session key, encryption key, integrity key를 보호하여 UE 에 전달하기 위하여, 상기에서 생성된 prose key 가사용될 수 있다. 즉 일 실시 예 (case 4-1) 에 따르면 prose key 가 이러한 session key를 보호하여 전달하거나, 혹은 또 다른 일 실시 예 (case 4-2) 에 따르면, prose key 가 encryption key, integrity key를 보호하여 전달하는데 사용될 수 있다. 즉 일실시 예 (case 4-1) 에 따르면 prose key 는 session 키를 보호하여 전달하고, UE 는 전달된 session key를 이용해서, 다시 encryption key, integrity key를 복호화하여 사용할 수 있다. 혹은 또 다른 일 실시 예 (case 4-2) 에 따르면, prose key 는 encryption key, integrity key를 보호하여 전달하고, UE는 encryption key, integrity key를 복호화하여 사용할 수 있다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형할 수 있음은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되지 않으며, 후술 되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
600: 단말 610: 통신부
620: 제어부 630: 저장부

Claims (16)

  1. 프락시미티 기반 서비스(Proximity based services; Prose)를 위한 단말의 보안 통신 방법으로,
    프로세(prose) 기능(function)으로 D2D(device to device) 통신을 위한 보안 정보를 요청하기 위한 제1 요청 메시지를 전송하는 단계;
    상기 프로세 기능으로부터 프로세 그룹 키(prose group key; PGK) 및 프로세 그룹 ID(identification)를 포함하는 제1 응답 메시지를 수신하는 단계; 및
    상기 PGK 및 상기 프로세 그룹 ID에 기초하여 데이터를 암호화하여 상기 D2D 통신을 수행하는 단계를 포함하는 것을 특징으로 하는 보안 통신 방법.
  2. 제1항에 있어서,
    기지국으로 제2 요청 메시지를 전송하는 단계; 및
    상기 기지국으로부터 보안 관련 정보를 포함하는 제2 응답 메시지를 수신하는 단계;를 더 포함하고,
    상기 보안 관련 정보는, 프로세 ID, 프로세 능력(capability), 보안 키, 또는 프로세 PLMN 목록 중 적어도 하나를 포함하는 것을 특징으로 하는 보안 통신 방법.
  3. 제2항에 있어서, 상기 보안 관련 정보는,
    상기 기지국이 이동성 관리 개체(Mobility Management Entity; MME)를 통하여 홈 가입자 서버(Home Subscriber Server; HSS)로부터 획득하는 것을 특징으로 하는 보안 통신 방법.
  4. 제2항에 있어서,
    상기 기지국으로부터 인증(authentication)을 위한 제3 요청 메시지를 수신하는 단계; 및
    상기 기지국으로 제3 응답 메시지를 전송하는 단계;를 더 포함하는 것을 특징으로 하는 보안 통신 방법.
  5. 제2항에 있어서,
    상기 기지국으로부터 비접속 계층 보안 명령(non access stratum security command; NAS SMC)을 수신하는 단계; 및
    상기 기지국으로 비접속 계층 보안 완료 응답을 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 통신 방법.
  6. 제2항에 있어서,
    상기 기지국으로부터 접속 계층 보안 명령(access stratum security command; AS SMC)을 수신하는 단계; 및
    상기 기지국으로 접속 계층 보안 완료 응답을 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 통신 방법.
  7. 제1항에 있어서,
    상기 프로세 기능으로 상기 단말의 공용 키(public key)를 포함하는 제4 요청 메시지를 전송하는 단계; 및
    상기 프로세 기능으로부터 프로세 인증 토큰을 수신하는 단계를 더 포함하는 것을 특징으로 하는 보안 통신 방법.
  8. 제7항에 있어서,
    상기 프로세 기능으로 상기 프로세 인증 토큰에 대한 응답 값을 전송하는 단계;
    상기 프로세 기능으로부터 상기 프로세를 위한 보안 키(integrity key)를 포함하는 제4 응답 메시지를 수신하는 단계; 및
    상기 보안 키 및 프로세 기능 ID에 기초하여 프로세 키를 계산하는 단계;를 더 포함하는 것을 특징으로 하는 보안 통신 방법.
  9. 프락시미티 기반 서비스(Proximity based services; Prose)를 제공하는 네트워크에서 보안 통신을 수행하는 단말로,
    통신부; 및
    프로세(prose) 기능(function)으로 D2D(device to device) 통신을 위한 보안 정보를 요청하기 위한 제1 요청 메시지를 전송하고, 상기 프로세 기능으로부터 프로세 그룹 키(prose group key; PGK) 및 프로세 그룹 ID(identification)를 포함하는 제1 응답 메시지를 수신하고, 그리고 상기 PGK 및 상기 프로세 그룹 ID에 기초하여 데이터를 암호화하여 상기 D2D 통신을 수행하도록 상기 통신부를 제어하는 제어부를 포함하는 것을 특징으로 하는 단말.
  10. 제9항에 있어서,
    상기 제어부는 기지국으로 제2 요청 메시지를 전송하고, 상기 기지국으로부터 보안 관련 정보를 포함하는 제2 응답 메시지를 수신하도록 상기 통신부를 더 제어하고,
    상기 보안 관련 정보는, 프로세 ID, 프로세 능력(capability), 보안 키, 또는 프로세 PLMN 목록 중 적어도 하나를 포함하는 것을 특징으로 하는 단말.
  11. 제10항에 있어서, 상기 보안 관련 정보는,
    상기 기지국이 이동성 관리 개체(Mobility Management Entity; MME)를 통하여 홈 가입자 서버(Home Subscriber Server; HSS)로부터 획득하는 것을 특징으로 하는 단말.
  12. 제10항에 있어서, 상기 제어부는,
    상기 기지국으로부터 인증(authentication)을 위한 제3 요청 메시지를 수신하고, 상기 기지국으로 제3 응답 메시지를 전송하도록 상기 통신부를 제어하는 것을 특징으로 하는 단말.
  13. 제10항에 있어서, 상기 제어부는,
    상기 기지국으로부터 비접속 계층 보안 명령(non access stratum security command; NAS SMC)을 수신하고, 상기 기지국으로 비접속 계층 보안 완료 응답을 전송하도록 상기 통신부를 제어하는 것을 특징으로 하는 단말.
  14. 제10항에 있어서, 상기 제어부는,
    상기 기지국으로부터 접속 계층 보안 명령(access stratum security command; AS SMC)을 수신하고, 상기 기지국으로 접속 계층 보안 완료 응답을 전송하도록 상기 통신부를 제어하는 것을 특징으로 하는 단말.
  15. 제9항에 있어서, 상기 제어부는, 상기 프로세 기능으로 상기 단말의 공용 키(public key)를 포함하는 제4 요청 메시지를 전송하고, 상기 프로세 기능으로부터 프로세 인증 토큰을 수신하도록 상기 통신부를 제어하는 것을 특징으로 하는 단말.
  16. 제15항에 있어서, 상기 제어부는,
    상기 프로세 기능으로 상기 프로세 인증 토큰에 대한 응답 값을 전송하고, 상기 프로세 기능으로부터 상기 프락시미티 기반 서비스를 위한 보안 키(integrity key)를 수신하도록 상기 통신부를 제어하고, 상기 보안 키 및 프로세 기능 ID에 기초하여 프로세 키를 계산하는 것을 특징으로 하는 단말.
KR1020140053645A 2013-10-11 2014-05-02 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 KR102209289B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/KR2014/009593 WO2015053602A1 (ko) 2013-10-11 2014-10-13 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
US15/025,800 US10560843B2 (en) 2013-10-11 2014-10-13 Method and system for supporting security and information for proximity based service in mobile communication system environment
US16/778,489 US20200169885A1 (en) 2013-10-11 2020-01-31 Method and system for supporting security and information for proximity based service in mobile communication system environment

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR1020130121428 2013-10-11
KR20130121428 2013-10-11
KR1020130133179 2013-11-04
KR20130133179 2013-11-04

Publications (2)

Publication Number Publication Date
KR20150042686A KR20150042686A (ko) 2015-04-21
KR102209289B1 true KR102209289B1 (ko) 2021-01-29

Family

ID=53035680

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140053645A KR102209289B1 (ko) 2013-10-11 2014-05-02 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템

Country Status (2)

Country Link
US (2) US10560843B2 (ko)
KR (1) KR102209289B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7089046B2 (ja) * 2017-11-15 2022-06-21 ノキア テクノロジーズ オサケユイチア 直接発見に対するアプリケーションの許可
US20220007183A1 (en) * 2018-11-19 2022-01-06 Telefonaktiebolaget Lm Ericsson (Publ) Radio network node, network node and methods for setting up a secure connection to the user equipment (ue)
CN114339622B (zh) * 2020-09-29 2022-09-23 大唐移动通信设备有限公司 一种ProSe通信组的通信方法、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) * 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
WO2013095001A1 (ko) 2011-12-20 2013-06-27 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
WO2013122374A1 (ko) 2012-02-16 2013-08-22 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스를 수행하는 방법 및 장치

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8478300B2 (en) 2005-12-20 2013-07-02 Microsoft Corporation Proximity service discovery in wireless networks
US7613426B2 (en) 2005-12-20 2009-11-03 Microsoft Corporation Proximity service discovery in wireless networks
US20110261961A1 (en) * 2010-04-22 2011-10-27 Qualcomm Incorporated Reduction in bearer setup time
US9386454B2 (en) * 2011-03-11 2016-07-05 Broadcom Corporation Mechanism usable for validating a communication device for allowing usage of television radio bands/channels
DE112012001242B4 (de) * 2011-03-15 2019-10-10 Kyushu Electric Power Co., Inc. Komplexes System zum Verwenden von Kohle bei der Herstellung von Koks und Rohmaterialgas und der Erzeugung von elektrischer Energie
KR101958786B1 (ko) * 2011-10-10 2019-07-02 엘지전자 주식회사 Wlan(wireless local area network)-기반 p2p(peer to peer) 통신을 위한 방법 및 이를 위한 장치
GB2498575A (en) 2012-01-20 2013-07-24 Renesas Mobile Corp Device-to-device discovery resource allocation for multiple cells in a device-to-device discovery area
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089452A1 (ko) * 2011-12-13 2013-06-20 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스 제공 방법 및 장치
WO2013095001A1 (ko) 2011-12-20 2013-06-27 엘지전자 주식회사 근접 서비스 제공을 위한 단말-개시 제어 방법 및 장치
WO2013122374A1 (ko) 2012-02-16 2013-08-22 엘지전자 주식회사 무선 통신 시스템에서 근접 서비스를 수행하는 방법 및 장치

Also Published As

Publication number Publication date
US20160219437A1 (en) 2016-07-28
US10560843B2 (en) 2020-02-11
KR20150042686A (ko) 2015-04-21
US20200169885A1 (en) 2020-05-28

Similar Documents

Publication Publication Date Title
US10674355B2 (en) Apparatuses and methods for wireless communication
US11178543B2 (en) Apparatus and method for mobility procedure involving mobility management entity relocation
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
TWI717383B (zh) 用於網路切分的金鑰層級
US20200228543A1 (en) Secure group creation in proximity based service communication
KR102094216B1 (ko) 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템
KR102100159B1 (ko) 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템
US20160381543A1 (en) Secure discovery for proximity based service communication
JP6904363B2 (ja) システム、基地局、コアネットワークノード、及び方法
US20200296583A1 (en) Protecting wlcp message exchange between twag and ue
US20200169885A1 (en) Method and system for supporting security and information for proximity based service in mobile communication system environment
CN116746182A (zh) 安全通信方法及设备
WO2015165250A1 (zh) 一种终端接入通信网络的方法、装置及通信系统
KR20150034147A (ko) IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법
KR101575578B1 (ko) IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant