KR20070061409A - 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법 - Google Patents

휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법 Download PDF

Info

Publication number
KR20070061409A
KR20070061409A KR1020060123669A KR20060123669A KR20070061409A KR 20070061409 A KR20070061409 A KR 20070061409A KR 1020060123669 A KR1020060123669 A KR 1020060123669A KR 20060123669 A KR20060123669 A KR 20060123669A KR 20070061409 A KR20070061409 A KR 20070061409A
Authority
KR
South Korea
Prior art keywords
handover
information
message
par
security context
Prior art date
Application number
KR1020060123669A
Other languages
English (en)
Other versions
KR100991522B1 (ko
Inventor
윤미영
이상호
Original Assignee
한국전자통신연구원
에스케이 텔레콤주식회사
하나로텔레콤 주식회사
삼성전자주식회사
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 에스케이 텔레콤주식회사, 하나로텔레콤 주식회사, 삼성전자주식회사, 주식회사 케이티 filed Critical 한국전자통신연구원
Publication of KR20070061409A publication Critical patent/KR20070061409A/ko
Application granted granted Critical
Publication of KR100991522B1 publication Critical patent/KR100991522B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

휴대인터넷 망에서 이동 단말기가 다른 기지국으로 핸드오버 시에, 다른 기지국과의 보안 관련 재설정을 위한 보안 관련 콘텍스트 전달 방법이 제공된다.
휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법은, AT(Access Terminal)가 PAR(Packet Access Router)에 접속된 제1 AP(Access Point)의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 제1 AP에서 수행하는 핸드오버용 보안 콘텍스트 전달 방법으로서, a) 상기 AT가 핸드오버할 제2 AP가 결정되어, AT로부터 전송된 핸드오버 확인 메시지(HOack) 내에 보안 콘텍스트가 존재하는지 확인하는 단계; b) 핸드오버 확인 메시지(HOack) 내에 보안 콘텍스트가 존재하는 경우, 보안 콘텍스트 내에 보안 연계 정보가 존재하는지 확인하는 단계; c) 보안 연계 정보가 존재하는 경우, 보안 콘텍스트 내에 트래픽 관련 키 및 마스터 키(Pairwise Master Key: PMK)가 존재하는지 확인하는 단계; 및 d) 트래픽 관련 키 및 마스터 키(PMK)를 가지고 있는 경우, 존재하는 모든 보안 관련 정보들을 포함시킨 정보 지시 메시지(ACIind)를 전송하는 단계를 포함한다.
휴대인터넷, 핸드오버, 드롭 핸드오버, 보안, 콘텍스트

Description

휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법 {Security context transmission method for handover in the High speed Portable internet system}
도 1은 본 발명이 적용되는 휴대인터넷 망의 구성도이다.
도 2는 본 발명의 제1 실시예에 따른 핸드오버를 예시하는 도면이다.
도 3은 본 발명의 제2 실시예에 따른 드롭 핸드오버를 예시하는 도면이다.
도 4 내지 도 6은 각각 본 발명의 제1 실시예에 따른 핸드오버 시에 보안 콘텍스트 처리 방법의 동작 흐름도이다.
도 7 내지 도 9는 각각 본 발명의 제2 실시예에 따른 드롭 핸드오버 시에 보안 콘텍스트 처리 방법의 동작 흐름도이다.
본 발명은 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법에 관한 것으로, 보다 구체적으로, 휴대인터넷 망에서 이동 단말기가 다른 기지국으로 핸드오버 시에, 다른 기지국과의 보안 관련 재설정을 위한 보안 관련 콘텍스트 전달 방법에 관한 것이다.
휴대인터넷 시스템은 이동성을 지원하면서 셀룰러 이동통신 시스템에 근접하는 수준의 서비스 커버리지를 제공하는 시스템이다.
기지국 장치인 AP(Access Point)는 다수의 셀 집합으로 구성되며, 휴대 이동 단말기인 AT(Access Terminal)와 무선 접속 기능을 수행하고, PAR(Packet Access Router)와 IP(Internet Protocol) 기반의 유선 접속 기능을 수행한다.
PAR는 AP와 연결되어 IP 라우터 역할을 수행하며, 또한 서비스 접속 및 핸드오버와 같은 신호 절차를 제어하는 기능을 수행한다. 또한, PAR는 사용자 인증 및 Mobile IP 등록을 위한 클라이언트 기능을 수행한다.
이와 같은 휴대인터넷 시스템에서도, 이동성을 지원하면서 이동통신 시스템에 근접하는 수준의 서비스를 제공받고자 하는 사용자의 요구가 증가되고 있다. 특히, AT가 핸드오버 후에도 지속적으로 인터넷 서비스를 제공받을 수 있도록 하는 요구가 증가된다. 핸드오버라 함은, 서비스 중 상태인 AT가 현재의 서비스 지역(cell boundary)을 벗어나 다른 서비스 지역으로 이동할 때 이동 단말이 신규 채널에 자동 동조되어 지속적으로 서비스 상태가 유지되는 기능이다.
따라서 AT가 핸드오버 이후에도 지속적으로 인터넷 서비스를 받을 수 있도록 핸드오버를 위한 정보를 전달할 수 있는 방법이 절실히 요구된다.
한편, 휴대인터넷 망에서 보안을 위해서 사용되는 키에는 크게 2가지로 나눌 수 있다. 하나는 제어 메시지의 보안을 위하여 사용되는 키이고, 다른 하나는 트래픽의 암호화(encryption) 및 복호화(decription)에 사용되는 키가 있다. 이때, 트래픽용 키는 적어도 하나 이상일 수 있다.
여기서, 신호 메시지 보안을 위해 사용되는 키는 AK(Authentication Key)라고 부르며, 이는 EAP(Extensible Authentication Protocol)를 이용하여 이동 단말을 인증한 경우, 인증/권한검증/과금(Authentication Authorization and Accounting) 서버인 AAA 서버에 의해서 할당된 키 값을 이용하여 해당 이동 단말과 기지국 사이에서만 사용될 수 있도록 생성된다.
이러한 AK 키를 만드는 시스템은 기지국일 수도 있고, PAR일 수도 있다. 즉, 이동 단말과 기지국간의 AK 키를 생성하기 위해서는 그 근간이 되는 AAA 키를 알아야 한다. 그런데, 이동 단말은 세션 연결 동안에 자신의 AAA 키를 알고 있지만, 핸드오버 시에 신규 기지국은 AAA 키를 알 수 없으므로, 해당 신규 기지국에게 이를 전달하는 방법에 대한 정의가 필요하다.
또한, 트래픽 보안에 관련된 키는 유니캐스트(unicast) 트래픽에 사용되는 TEK(Traffic Encryption Key), 멀티캐스트(Multicast) 트래픽에 사용되는 GTEK 그리고 MBS 서비스에 사용되는 MGTEK(MBS Group Traffic Encryption Key)가 있다.
모든 트래픽에 관련된 키는 기지국에 의해서 생성 및 관리된다. 신규 기지국과 이동 단말 사이에서는 이전 기지국에서 사용되던 트래픽 키를 계속 사용하거나, 또는 신규 기지국에 의하여 신규 키가 할당될 수도 있다. 이와 같은 두 가지 경우 모두 이전 기지국으로부터 신규 기지국으로 트래픽 관련 키들이 전달되어야 한다.
이외에도 이동 단말과 기지국 간의 보안 관련(Security Association) 정보들과 이동 단말의 보안 수용능력(Security Capability) 정보 등이 또한 전달되어야 한다.
상기 문제점을 해결하기 위한 본 발명이 이루고자 하는 기술적 과제는, 핸드오버 이후 보안 관련 재설정에 의해 이동 단말과 신규 기지국 간의 안전한 통신을 보장할 수 있는 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법을 제공하기 위한 것이다.
또한, 본 발명이 이루고자 하는 다른 기술적 과제는, 보안 관련 재설정에 필요한 정보 전달에 필요한 지연을 줄임으로써, 빠른 핸드오버를 수행할 수 있는 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법을 제공하기 위한 것이다.
본 발명이 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법은, AT(Access Terminal)가 PAR(Packet Access Router)에 접속된 제1 AP(Access Point)의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제1 AP에서 수행하는 핸드오버용 보안 콘텍스트(Security Context) 전달 방법으로서, 상기 AT로부터 전송된 핸드오버 확인 메시지 내에 보안 콘텍스트가 존재하는지 확인하는 단계; 상기 핸드오버 확인 메시지 내에 보안 콘텍 스트가 존재하는 경우, 상기 보안 콘텍스트 내에 보안 연계 정보가 존재하는지 확인하는 단계; 상기 보안 연계 정보가 존재하는 경우, 상기 보안 콘텍스트 내에 트래픽 관련 키 또는 마스터 키(Pairwise Master Key: PMK)가 존재하는지 확인하는 단계; 및 상기 보안 콘텍스트, 상기 보안 연계 정보, 상기 트래픽 관련 키 및 상기 마스터 키 중 존재하는 것으로 확인된 보안 관련 정보를 포함시킨 정보 지시 메시지를 상기 PAR를 거쳐 상기 제2 AP로 전송하는 단계를 포함하여 이루어진다.
한편, 상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법은, AT가 PAR에 접속된 제1 AP의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제2 AP에서 수행하는 핸드오버용 보안 콘텍스트 전달 방법으로서, 상기 PAR로부터 보안 콘텍스트를 포함하는 정보 지시 메시지를 수신하는 단계; 상기 정보 지시 메시지 내에 상기 AT의 마스터 키 정보가 존재하는지 확인하는 단계; 상기 AT의 마스터 키 정보가 존재하는 경우, 상기 정보 지시 메시지를 이용하여 제1 인증 키를 생성하는 단계; 및 상기 AT의 마스터 키 정보가 존재하는 경우, 상기 제1 인증 키를 사용하여 메시지 인증 코드(Message Authentication Code: MAC)를 생성하여 상기 AT에게 레인징 응답 메시지를 전송하는 단계를 포함하여 이루어진다.
한편, 상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법은, AT가 PAR에 접속된 제1 AP의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때 상기 PAR에서 수행하는 핸드오버용 보안 콘텍스트 전달 방법으로서, 상기 제1 AP로부터 정보 지시 메시지를 수신하 는 단계; 상기 정보 지시 메시지 내에 상기 AT의 제1 마스터 키 정보가 존재하는지 확인하는 단계; 및 상기 제1 마스터 키 정보가 존재하는 경우, 상기 제1 마스터 키 정보를 상기 정보 지시 메시지에 포함시켜 상기 제2 AP로 전달하는 단계를 포함하여 이루어진다.
한편, 상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 드롭 핸드오버용 보안 콘텍스트 전달 방법은, PAR에 접속된 제1AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제2 AP에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서, 상기 AT로부터 레인징 요청 메시지를 수신하는 단계; 상기 레인징 요청 메시지를 보조 핸드오버 요청 메시지에 포함시켜 상기 PAR을 거쳐 상기 제1 AP에게 전달하는 단계; 상기 제1 AP로부터 상기 PAR를 거쳐 보조 핸드오버 응답 메시지를 수신하는 단계; 상기 보조 핸드오버 응답 메시지 내에 마스터 키가 존재하는지 확인하는 단계; 상기 마스터 키가 존재하는 경우, 인증 키를 생성하는 단계; 및 상기 인증 키를 이용하여 KEK(Key Encryption Key)를 생성하는 단계를 포함하여 이루어진다.
한편, 상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 드롭 핸드오버용 보안 콘텍스트 전달 방법은, PAR에 접속된 제1 AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 PAR에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서, 상기 제2 AP로부터 보조 핸드오버 요청 메시지를 수신하여, 상기 제1 AP에 게 전송하는 단계; 상기 제1 AP로부터 보조 핸드오버 응답 메시지를 수신하는 단계; 상기 보조 핸드오버 응답 메시지 내에 제1 마스터 키 정보가 존재하는지 확인하는 단계; 상기 제1 마스터 키 정보가 존재하는 경우, 상기 제1 마스터 키 정보가 포함된 보조 핸드오버 응답 메시지를 상기 제2 AP에게 전송하는 단계; 및 상기 보조 핸드오버 응답 메시지에 대한 응답 메시지인 보조 핸드오버 도착 메시지를 상기 제2 AP로부터 수신하여, 상기 제1 AP에게 전달하는 단계를 포함하여 이루어진다.
한편, 상기 과제를 달성하기 위한 본 발명에 따른 휴대인터넷 시스템의 드롭 핸드오버용 보안 콘텍스트 전달 방법은, PAR에 접속된 제1 AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 PAR에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서, 상기 제2 AP로부터 보조 핸드오버 요청 메시지를 수신하여, 상기 제1 AP에게 전송하는 단계; 상기 제1 AP로부터 보조 핸드오버 응답 메시지를 수신하는 단계; 상기 보조 핸드오버 응답 메시지 내에 제1 마스터 키 정보가 존재하는지 확인하는 단계; 상기 제1 마스터 키 정보가 존재하는 경우, 상기 제1 마스터 키 정보가 포함된 보조 핸드오버 응답 메시지를 상기 제2 AP에게 전송하는 단계; 및 상기 보조 핸드오버 응답 메시지에 대한 응답 메시지인 보조 핸드오버 도착 메시지를 상기 제2 AP로부터 수신하여, 상기 제1 AP에게 전달하는 단계를 포함하여 이루어진다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기 에서 설명하는 실시예에 한정되지 않는다.
이하, 첨부된 도면을 참조하여, 본 발명의 실시예에 따른 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법에 대해서 상세하게 설명한다.
본 발명의 실시예는 휴대인터넷 망에서 이동 단말기가 다른 기지국으로 핸드오버될 때, 다른 기지국에서의 보안 관련 재설정을 위한 보안 관련 콘텍스트 전달 방법을 제공하게 된다.
휴대인터넷 망에서 핸드오버는 일반적인 핸드오버와 드롭 핸드오버로 나뉠 수 있는데, 본 발명의 실시예는 전술한 두 가지 핸드오버 상황에서 신규 기지국에서 보안 관련 재설정을 위한 관련 콘텍스트 전달 및 관리 방법을 제공함으로써, 신규 기지국과 안전하게 통신하고, 빠른 핸드오버를 지원할 수 있게 한다. 여기서, 드롭 핸드오버는 이동 단말이 통신 두절 또는 휴지 모드 구간에 있다가 이전 셀이 아닌 신규 셀에 위치하는 경우에 발생하는 핸드오버를 말한다.
도 1은 본 발명이 적용되는 휴대인터넷 망의 구성도이다.
도 1을 참조하면, HPi(High speed Portable internet)는 휴대인터넷을 위해 국내 자체 기술로 개발되고 있는 시스템을 지칭하는 것으로, 무선 접속을 통한 고속 인터넷 서비스를 제공할 수 있는 구조를 가지고 있다.
이동 단말(AT: Access Terminal)(110)는 휴대 이동 단말기로서, 기지국 장치인 AP(Access Point)(120)와 무선 접속이 이루어지며 이동성을 가진다.
AP(120)는 다수의 셀 집합으로 구성되며, 이동 단말(110)과 무선 접속 기능을 수행하고, PAR(Packet Access Router: 130)와 IP 기반의 유선 접속 기능을 수행 한다.
PAR(130)는 AP(120)와 연결되어 IP 라우터 역할을 수행하며, 또한 서비스 접속 및 핸드오버와 같은 신호 절차를 제어하는 기능을 수행한다. 도시된 바와 같이, 하나의 PAR(130) 영역은 각각 하나의 IP 서브넷(101, 102)이 되며, 이러한 PAR(130)들은 라우터(150)를 통해 사업자 IP 망(103)에 연결되어, 공중 인터넷(104)에 접속되는 구조를 갖게 된다. 여기서, 공중 인터넷(104)에 클라이언트 이동 단말(170) 등이 접속될 수 있다.
또한, 각 휴대인터넷 사업자별 IP 망(103)은 인증/권한검증/과금 서버인 AAA(Authentication Authorization and Accounting) 서버(140) 및 Mobile IP의 홈 서버인 HA(Home Agent)(160)가 연결된다.
도시된 바와 같이, HA(160)는 HPi 시스템에서 Mobile IP의 기본 호 처리를 수행하며, 이동 에이전트(Foreign Agent) 역할은 PAR(130)가 수행하고 있다. 여기서, AP(120)와 PAR(130) 사이는 IPSec(IP security protocol)을 이용하여 안전하게 통신한다.
휴대인터넷 시스템에서 AP와 PAR 사이에 송수신되는 제어 프로토콜 스택은 물리계층인 PHY(physical layer), MAC(Medium Access Control), IP(internet protocol), SCTP(stream control transmission protocol) 및 ANAP(Access network Application Part)를 포함한다. 여기서 PHY, MAC, IP 및 SCTP은 표준화된 프로토콜이다.
ANAP는 AP와 PAR 사이에 원활한 통신을 위한 제어 메시지들을 정의하는 프로 토콜이며, 전송에 대한 신뢰성을 위하여 SCTP를 이용한다.
구체적으로, 상기 ANAP의 헤더는 메시지 타입 필드(message type), 길이 필드(length), 트랜잭션 ID 필드(transaction ID)를 포함한다. 여기서 메시지 타입 필드는 16bit로 정의되며, AP와 PAR 사이에 주고받는 제어 메시지의 종류를 구분하기 위한 요소로서, 개발 기능 규격에 명시된 수용 기능에 따라 메시지 타입이 정의된다.
이러한 메시지 타입 필드는 메시지 타입에 대응하는 메시지가 명시되며, 상기 메시지 타입 중에서 핸드오버 요청 메시지(HOreq), 핸드오버 응답 메시지(HOrsp), 핸드오버 지시 메시지(HOind), 핸드오버 확인 메시지(HOcnf), AP 콘텍스트 정보 지시 메시지(ACIind) 및 AP 콘텍스트 정보 확인 메시지(ACIcnf)는 이전 셀에서 휴대인터넷 서비스를 받고 있던 이동 단말(110)이 신규 셀로 이동하였을 때 신규 셀에서도 계속 서비스를 제공받기 위해서 이전 AP(120a), 신규 AP(120b) 및 PAR(130) 사이에 전달되는 핸드오버에 관한 메시지이다.
또한, 메시지 타입 중에서 보조 핸드오버 요청 메시지(XHOreq), 보조 핸드오버 응답 메시지(XHOrsp), 보조 핸드오버 지시 메시지(XHOind), 보조 핸드오버 확인 메시지(XHOcnf), 보조 핸드오버 도착 메시지(XHOack), AP 콘텍스트 정보 지시 메시지(ACIind) 및 AP 콘텍스트 정보 확인 메시지(ACIcnf)는 이전 셀에서 휴대인터넷 서비스를 받고 있던 이동 단말(110)이 통신 두절되었다가 다시 통신이 재개될 때, 또는 휴지 모드 구간에 있다가 다시 활동 모드 구간으로 돌아왔을 때, 이전 셀이 아닌 신규 셀에 위치되는 경우, 신규 셀에서 다시 서비스를 제공받기 위해서 보조 핸드오버를 수행하는데 필요한 메시지이다.
한편, 도 2는 본 발명의 제1 실시예에 따른 휴대인터넷 망에서 핸드오버 절차를 나타낸 도면이다.
일반적으로, 휴대인터넷 망에서 핸드오버의 종류는, 섹터간 핸드오버, 기지국간 핸드오버 및 PAR간 핸드오버가 있다. 본 발명의 실시예에서 다루는 보안 관련 전달은 기지국간 핸드오버 및 PAR간 핸드오버 시에 발생된다.
도 2를 참조하면, 전술한 두 가지 핸드오버 시에 이전 기지국, 즉, 제1 AP(120a)로부터 신규 기지국들, 즉, 제2 AP(120b)로의 보안 관련 전달은 동일한 절차로 발생하게 된다. 여기서, 제2 AP(120b)는 핸드오버를 수행하기 위한 적어도 하나 이상의 신규 기지국을 말한다.
먼저, 이동 단말(110)은 주변 기지국을 탐색한 후 핸드오버가 필요하다고 판단된 경우, 핸드오버 요청 메시지(HOreq)에 탐색된 기지국을 열거하여 이전 기지국인 제1 AP(120a)에게 전달한다(S201).
다음으로, 상기 핸드오버 요청 메시지(HOreq)를 수신한 제1 AP(120a)는 핸드오버 요청 메시지(HOreq)를 송신하게 된다(S202, S203). 이때, 핸드오버 요청 메시지(HOreq)는 PAR(130)를 경유하여(S202), 열거된 모든 제2 AP(120b)에게 전송된다(S203).
다음으로, 상기 핸드오버 요청 메시지(HOreq)를 수신한 신규 기지국들(120b)은 핸드오버 응답 메시지(HOrsp)를 통해 이전 기지국(120a)에 핸드오버 응답을 하게 된다(S204, S205). 이때, 핸드오버 응답 메시지(HOrsp)는 PAR(130)를 경유하 여(S204), 이전 기지국(120a)에 전송된다(S205).
다음으로, 이전 기지국(120a)은 핸드오버 응답 메시지(HOrsp)에 대한 결과로서, 이동 단말(110)에게 핸드오버 응답 메시지(HOrsp)를 전달하고(S206), 마지막으로 핸드오버 가능한 신규 기지국 중에서 하나의 기지국(120b)을 선정하여 핸드오버 확인 메시지(HOack)를 송신한다(S207).
여기서, 이전 기지국인 제1 AP(120a)는 이동 단말(110)과의 보안 관련 콘텍스트를 처리하고(S208), 새롭게 결정된 신규 기지국인 제2 AP(120b)에게 세션(Session) 연장에 필요한 다른 정보들을 정보 지시 메시지(ACIind)에 포함시켜 전달한다(S209).
또한, PAR(130)는 상기 정보 지시 메시지(ACIind)에 따라 보안 콘텍스트를 처리하고(S210), 상기 정보 지시 메시지(ACIind)를 신규 기지국(120b)으로 전달한다(S211).
상기 정보 지시 메시지(ACIind)를 수신한 신규 기지국(120b)은 상기 정보 지시 메시지(ACIind)의 수신 결과로서, 정보 확인 메시지(ACIcnf)를 이전 기지국(120a)에게 알린다(S213, S214). 이때, 정보 확인 메시지(ACIcnf)는 상기 PAR(130)를 경유하여(S213), 이전 기지국(120a)에게 전송된다(S214).
이후, 상기 이동 단말(110)은 신규 기지국인 제2 AP(120b)에게 레인징 요청 메시지(RNGreq)를 보내고(S215), 상기 제2 AP(120b)는 상기 레인징 요청 메시지(RNGreq)의 수신 결과로서, 레인징 응답 메시지(RNGrsp)를 상기 이동 단말(110)에게 보내게 된다(S216).
즉, 이동 단말(110)과 신규 기지국인 제2 AP(120b)는 핸드오버 최적화(optimization) 정책에 따라, 레인징 메시지 및 보안 관련 메시지를 통하여 신규 보안 관련 수용 능력 및 신규 키들을 교환함으로써, 이동 단말(110)과 신규 기지국(120b)간의 신규 보안 관련을 재설정할 수 있다.
여기서, 상기 이전 기지국(120a)의 보안 콘텍스트 처리 절차(S208), 상기 PAR(130)의 보안 콘텍스트 처리 절차(S210), 및 상기 신규 기지국(120b)의 보안 콘텍스트 처리 절차(S212)는 도 4 내지 도 6을 각각 참조하여 후술하기로 한다.
한편, 도 3은 본 발명의 제2 실시예에 따른 휴대인터넷 망에서 드롭 핸드오버 절차를 나타낸 도면으로서, 도 3은 이동 단말이 이동하기 전에 신규 기지국과의 연결 설정을 하는 도 2와는 달리, 서비스 접속 중이던 이동 단말이 이전 기지국과의 단절에 의하여 신규 기지국을 선택하여 접속하는 절차를 나타내는 도면이다.
도 3을 참조하면, 먼저, 이동 단말(110)이 기존 서비스 중이던 기지국(120a)과의 여러 이유로 통신이 두절되고, 신규 기지국이 연결 가능할 시에 신규 기지국인 제2 AP(120b)에게 동기 및 무선 파라미터 조정을 위하여 레인징 요청 메시지(RNGreq)를 전달한다(S301).
이때, 레인징 요청 메시지(RNGreq)는 이전 기지국(120a)과 보안 관련에 따라 생성된 메시지 인증 코드(Message Authentication Code: MAC)를 포함하고 있다. 여기서, 상기 MAC은 해당 메시지의 세부적인 정보를 전달하는데 사용되며, 타입 필드, 길이 필드 및 값 필드를 포함할 수 있다.
다음으로, 상기 신규 기지국(120b)은 보안 콘텍스트 처리 절차를 수행하게 된다(S302).
이때, 상기 레인징 요청 메시지(RNGreq)를 수신한 신규 기지국(120b)은 MAC을 확인할 수 없으므로, 이전 기지국(120a)에게 레인징 요청 메시지(RNGreq)를 보조 핸드오버 요청 메시지(XHOreq)에 포함시켜 전달한다(S303).
다음으로, 상기 PAR(130)는 보안 콘텍스트 처리 절차를 수행하고(S304), 상기 보조 핸드오버 요청 메시지(XHOreq)를 이전 기지국(120a)에게 전달한다(S305).
다음으로, 상기 이전 기지국(120a)은 보안 콘텍스트 처리 절차를 수행하고(S306), 즉, 보조 핸드오버 요청 메시지(XHOreq)를 수신한 이전 기지국(120a)은 MAC을 통해 보조 핸드오버 요청 메시지(XHOreq)를 인증한다.
이후, 상기 이전 기지국(120a)은 해당 이동 단말(110)과의 보안 관련 정보들을 보조 핸드오버 응답 메시지(XHOrsp)에 포함시킨 후, PAR(130)를 경유하여(S307), 신규 기지국인 제2 AP(120b)에게 전달한다(S308).
따라서 이동 단말(110)에 관련된 보안 관련을 수신한 신규 기지국인 제2 AP(120b)는 신규 인증 키(AK)를 이용하여 레인징 응답 메시지(RNGrsp)를 생성하여 이동 단말(110)에게 전송한다(S309).
이후, 핸드오버 최적화 정책에 따라 보안 관련 메시지 및 레인징 메시지를 통하여 신규 보안 관련 수용능력 및 신규 키들을 교환함으로써, 이동 단말(110)과 신규 기지국인 제2 AP(120b) 간의 신규 보안 관련을 재설정할 수 있다.
여기서, 드롭 핸드오버 시, 상기 신규 기지국(120b)의 보안 콘텍스트 처리 절차(S302), 상기 PAR(130)의 보안 콘텍스트 처리 절차(S304), 및 상기 이전 기지 국(120a)의 보안 콘텍스트 처리 절차(S306), 는 도 7 내지 도 9를 각각 참조하여 후술하기로 한다.
한편, 도 4 내지 도 6은 각각 본 발명의 제1 실시예에 따른 핸드오버 시에 보안 콘텍스트 처리 절차를 이전 기지국(120a), PAR(130) 및 신규 기지국(120b)별로 나타낸 도면이다.
도 4를 참조하면, 이전 기지국(120a)에서의 보안 콘텍스트 처리 절차, 즉, 도 2에 도시된 이전 기지국(120a)의 보안 콘텍스트 처리 절차(S208)는 다음과 같다.
먼저, 이전 기지국(120a)은 이동 단말(110)이 핸드오버할 기지국이 결정되면, 해당 이동 단말(110)의 보안 콘텍스트가 존재하는지 확인한다(S208-1).
만일, 해당 이동 단말(110)의 보안 콘텍스트가 존재한다면, 이전 기지국(120a)은 상기 보안 콘텍스트 내에 보안 연계 정보(Security connection information)가 존재하는지 확인한다(S208-2).
다음으로, 상기 보안 연계 정보가 존재하는 경우, 이전 기지국(120a)은 상기 보안 콘텍스트 내에 트래픽 관련 키들이 존재하는지 확인한다(S208-3).
다음으로, 이전 기지국(120a)은 상기 보안 콘텍스트 내에 마스터 키(Pairwise Master Key: PMK)를 가지고 있는지 확인한다(S208-4).
이때, 이전 기지국(120a)은 전술한 S208-2 내지 S208-4 단계에서 존재하는 모든 보안 관련 정보들을 포함하여 메시지를 PAR(130) 및 신규 기지국(S120b)으로 전송한다(S208-5).
만일, 전술한 S208-1 단계에서 보안 콘텍스트가 존재하지 않는 경우, 이전 기지국(120a)은 보안 관련 정보를 포함하지 않는 메시지를 PAR(130) 및 신규 기지국(S120b)으로 전송하게 된다(S208-6).
마지막으로, 이전 기지국(120a)은 응답 메시지를 수신할 때까지 기다린 후(S208-7), 보안 콘텍스트 처리 절차를 종료한다.
한편, 도 5를 참조하면, PAR(130)에서의 보안 콘텍스트 처리 절차, 즉, 도 2에 도시된 PAR(130)의 보안 콘텍스트 처리 절차(S210)는 다음과 같다.
먼저, PAR(130)는 이전 기지국(120a)에서 정보 지시 메시지(ACIind)를 수신하여(S210-1), 상기 수신한 정보 지시 메시지(ACIind)에 마스터 키(PMK) 관련 정보가 존재하는지 확인한다(S210-2).
만일, 상기 PMK 정보가 존재하지 않으면, PAR(130)는 자신이 관리하고 있는 정보에 이동 단말(110)의 PMK가 존재하는지 확인한다(S210-3). 이때, 이동 단말(110)의 PMK가 존재한다면, PAR(130)는 신규 기지국(120b)에서 사용될 인증 키(AK)를 생성하고(S210-4), 상기 AK 정보를 포함시킨 정보 지시 메시지(ACIind)를 신규 기지국(120b)에게 전송한다(S210-5). 또한, 상기 이동 단말(110)의 PMK가 존재하지 않는 경우에도, PAR(130)는 신규 기지국(120b)에게 상기 정보 지시 메시지(ACIind)를 전송한다.
전술한 S210-2 단계에서, 이전 기지국(120a)으로부터 수신한 정보 지시 메시지(ACIind)에 PMK 관련 정보가 존재한다면, PAR(130)는 PMK 관련 정보를 정보 지시 메시지(ACIind)에 포함시켜 신규 기지국(120b)에게 전달한다(S210-6).
다음으로, PAR(130)는 신규 기지국(120b)으로부터 응답 메시지를 수신하여 상기 AK 정보 또는 PMK 정보를 포함시킨 정보 지시 메시지(ACIind)가 전달되었는지 여부를 확인한 후(S210-7), 보안 콘텍스트 처리 절차를 종료한다.
한편, 도 6을 참조하면, 신규 기지국(120b)에서의 보안 콘텍스트 처리 절차, 즉, 도 2에 도시된 신규 기지국(120b)의 보안 콘텍스트 처리 절차(S212)는 다음과 같다.
먼저, 신규 기지국(120b)은 보안 콘텍스트를 포함하는 정보 지시 메시지(ACIind)를 수신하면(S212-1), 이동 단말(110)의 보안 관련 정보들을 저장하고(S212-2), 정보 지시 메시지(ACIind)를 수신하였음을 알리는 응답 메시지를 전송한다(S212-3).
만일, 수신한 정보 지시 메시지(ACIind) 내에 이동 단말의 PMK가 존재한다면(S212-4), 신규 기지국(120b)은 상기 정보 지시 메시지(ACIind)를 이용하여 인증 키(AK)를 생성한다(S212-5).
만일, 수신한 정보 지시 메시지(ACIind)에 이동 단말의 마스터 키(PMK)가 존재하지 않고, 인증 키(AK)가 존재한다면, 신규 기지국(120b)은 MAC을 생성하는데 상기 신규 AK를 사용하여, 이동 단말(110)에게 레인징 응답 메시지(RNGrsp)를 전송한다(S212-6).
이후, 신규 AK를 이용하여 신규 KEK(Key Encryption Key)를 생성하고, 정책에 따라 트래픽 키 관련 파라미터를 갱신한다(S212-7).
한편, 도 7 내지 도 9는 각각 본 발명의 제2 실시예에 따른 드롭 핸드오버 시에 보안 콘텍스트 처리 절차를 신규 기지국(120b), PAR(130) 및 이전 기지국(120a)별로 나타낸 도면이다.
먼저, 도 7을 참조하면, 신규 기지국(120b)에서의 드롭 핸드오버 시에 보안 콘텍스트 처리 절차, 즉, 도 3에 도시된 신규 기지국(120b)의 보안 콘텍스트 처리 절차(S302)는 다음과 같다.
먼저, 신규 기지국(120b)은 이동 단말(110)로부터 레인징 요청 메시지(RNGreq)를 수신하면(S302-1), 수신한 레인징 요청 메시지(RNGreq)를 인증할 수 있도록 해당 이전 기지국(120a)에게 상기 수신한 레인징 요청 메시지(RNGreq)를 보조 핸드오버 요청 메시지(XHOreq)에 포함시켜 전달한다(S302-2).
이후, 신규 기지국(120b)은 보조 핸드오버 응답 메시지(XHOrsp)를 수신하여(S302-3), 수신한 보조 핸드오버 응답 메시지(XHOrsp)의 결과 값이 성공이면(S302-4), 수신한 메시지 내에 있는 이동 단말(110)의 보안 관련 정보들을 저장하고(S302-5), 처리 결과를 보조 핸드오버 도착 메시지(XHOack)를 통해 전송한다(S302-6).
만일, 신규 기지국(120b)은 마스터 키(PMK)를 수신한 경우, 신규 인증 키(AK)를 직접 생성하고, 또는 AK 키를 수신한 경우, 신규 AK 키를 이용하여 이동 단말에게 레인징 응답 메시지(RNGrsp)를 전송한다(S302-7).
이후, 신규 기지국(120b)은 신규 AK를 이용하여 신규 KEK(Key Encryption Key)를 생성하고, 정책에 따라 트래픽 관련 파라미터 등을 갱신한다(S302-8).
도 8을 참조하면, PAR(130)에서의 드롭 핸드오버 시에 보안 콘텍스트 처리 절차, 즉, 도 3에 도시된 PAR(130)의 보안 콘텍스트 처리 절차(S304)는 다음과 같다.
먼저, PAR(130)는 신규 기지국(120b)에서 보조 핸드오버 요청 메시지(XHOreq)를 수신하여(S304-1), 이를 이전 기지국(120a)에게 전송한다(S304-2).
PAR(130)는 상기 보조 핸드오버 응답 메시지(XHOrsp)의 결과 값이 존재하는 확인하고(S304-3), 이후, 수신한 보조 핸드오버 응답 메시지(XHOrsp) 내에 마스터 키(PMK) 관련 정보가 존재하는지 확인한다(S304-4).
이때, 수신한 보조 핸드오버 응답 메시지(XHOrsp) 내에 PMK 정보가 존재하지 않으면, PAR(130)는 자신이 관리하고 있는 정보에 이동 단말(110)의 PMK가 존재하는지 확인한다(S304-5).
만일, 이동 단말(110)의 PMK가 존재한다면, PAR(130)는 신규 기지국(120b)에서 사용될 인증 키(AK)를 생성하고(S304-6), 상기 AK 정보를 포함시킨 보조 핸드오버 응답 메시지(XHOrsp)를 신규 기지국(120b)에게 전송한다(S304-7).
만일, 이전 기지국(120a)으로부터 수신한 보조 핸드오버 응답 메시지(XHOrsp)에 PMK 관련 정보가 존재한다면, PMK 관련 정보가 포함된 메시지를 신규 기지국(120b)에게 전달한다(S304-8).
다음으로, PAR(130)는 신규 기지국(120b)으로부터 상기 전송된 메시지에 대한 응답 메시지인 보조 핸드오버 도착 메시지(XHOack)를 수신하여(S304-9), 이를 이전 기지국(120a)에게 전달한 뒤 절차를 종료한다(S304-10).
도 9를 참조하면, 이전 기지국(120a)에서의 드롭 핸드오버 시에 보안 콘텍스 트 처리 절차, 즉, 도 3에 도시된 이전 기지국(120a)의 보안 콘텍스트 처리 절차(S306)는 다음과 같다.
먼저, 이전 기지국(120a)은 보조 핸드오버 요청 메시지(XHOreq)를 수신하고(S306-1), 해당 이동 단말(110)의 보안 콘텍스트가 존재하는지 확인한다(S306-2).
만일, 이동 단말(110)의 보안 콘텍스트가 존재한다면, 이전 기지국(120a)은 해당 이동 단말(110)의 인증 키(AK)를 이용하여, 레인징 요청 메시지(RNGreq)를 인증한다(S306-3).
상기 레인징 요청 메시지(RNGreq)의 인증 결과가 성공인 경우, 이전 기지국(120a)은 해당 이동 단말(110)의 트래픽 관련 키들이 존재하는지 확인하고(S306-4), 또한 마스터 키(PMK)가 존재하는지 확인한다(S306-5).
이때, 이전 기지국(120a)은 전술한 S306-4 내지 S306-5에서 존재하는 보안 관련 정보들을 모두 포함하여 보조 핸드오버 응답 메시지(XHOrsp)를 생성하여 전송한다(S302-6).
만일, 전술한 S306-3 단계에서 레인징 요청 메시지(RNGreq)에 대한 메시지 인증이 실패하면, 이전 기지국(120a)은 보조 핸드오버 응답 메시지(XHOrsp)에 결과 값을 실패로 하여 PAR(130) 및 신규 기지국(120b)으로 전송한다(S306-7).
이전 기지국(120a)은 전송한 보조 핸드오버 응답 메시지(XHOrsp)에 대한 응답인 보조 핸드오버 도착 메시지(XHOack)를 신규 기지국(120b)으로부터 수신하면 절차를 종료한다(S306-8).
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해되어야만 한다.
본 발명에 따르면, 핸드오버 이후에 이동 단말과 신규 기지국의 안전한 통신을 보장하고, 보안 관련 재설정에 필요한 정보 전달에 필요한 지연을 줄임으로써 빠른 핸드오버를 제공할 수 있다.

Claims (19)

  1. AT(Access Terminal)가 PAR(Packet Access Router)에 접속된 제1 AP(Access Point)의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제1 AP에서 수행하는 핸드오버용 보안 콘텍스트(Security Context) 전달 방법으로서,
    상기 AT로부터 전송된 핸드오버 확인 메시지 내에 보안 콘텍스트가 존재하는지 확인하는 단계;
    상기 핸드오버 확인 메시지 내에 보안 콘텍스트가 존재하는 경우, 상기 보안 콘텍스트 내에 보안 연계 정보가 존재하는지 확인하는 단계;
    상기 보안 연계 정보가 존재하는 경우, 상기 보안 콘텍스트 내에 트래픽 관련 키 또는 마스터 키(Pairwise Master Key: PMK)가 존재하는지 확인하는 단계; 및
    상기 보안 콘텍스트, 상기 보안 연계 정보, 상기 트래픽 관련 키 및 상기 마스터 키 중 존재하는 것으로 확인된 보안 관련 정보를 포함시킨 정보 지시 메시지를 상기 PAR를 거쳐 상기 제2 AP로 전송하는 단계
    를 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  2. 제1항에 있어서,
    상기 보안 콘텍스트가 존재하지 않는 경우, 보안 관련 정보를 포함하지 않는 정보 지시 메시지를 상기 PAR로 전송하는 단계를 더 포함하는 핸드오버용 보안 콘 텍스트 전달 방법.
  3. 제1항에 있어서,
    상기 정보 지시 메시지는 세션(Session) 연장에 필요한 정보를 더 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  4. AT가 PAR에 접속된 제1 AP의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제2 AP에서 수행하는 핸드오버용 보안 콘텍스트 전달 방법으로서,
    상기 PAR로부터 보안 콘텍스트를 포함하는 정보 지시 메시지를 수신하는 단계;
    상기 정보 지시 메시지 내에 상기 AT의 마스터 키 정보가 존재하는지 확인하는 단계;
    상기 AT의 마스터 키 정보가 존재하는 경우, 상기 정보 지시 메시지를 이용하여 제1 인증 키를 생성하는 단계; 및
    상기 AT의 마스터 키 정보가 존재하는 경우, 상기 제1 인증 키를 사용하여 메시지 인증 코드(Message Authentication Code: MAC)를 생성하여 상기 AT에게 레인징 응답 메시지를 전송하는 단계
    를 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  5. 제4항에 있어서,
    상기 AT의 마스터 키 정보가 존재하지 않는 경우, 상기 정보 지시 메시지 내에 제2 인증 키가 존재하는지 확인하는 단계; 및
    상기 제2 인증 키가 존재하는 경우, 상기 제2 인증 키를 사용하여 상기 메시지 인증 코드를 생성하여 상기 AT에게 상기 레인징 응답 메시지를 전송하는 단계
    를 더 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  6. 제4항에 있어서,
    상기 정보 지시 메시지를 수신하는 단계는,
    상기 정보 지시 메시지를 수신하였음을 알리는 응답 메시지를 상기 PAR로 전송하는 단계를 더 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  7. 제4항에 있어서,
    상기 메시지 인증 코드는 타입 필드, 길이 필드 및 값 필드를 포함하며, 상기 레인징 응답 메시지의 정보 전달에 사용되는 핸드오버용 보안 콘텍스트 전달 방법.
  8. AT가 PAR에 접속된 제1 AP의 서비스 셀에서 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때 상기 PAR에서 수행하는 핸드오버용 보안 콘텍스트 전달 방법으로서,
    상기 제1 AP로부터 정보 지시 메시지를 수신하는 단계;
    상기 정보 지시 메시지 내에 상기 AT의 제1 마스터 키 정보가 존재하는지 확인하는 단계; 및
    상기 제1 마스터 키 정보가 존재하는 경우, 상기 제1 마스터 키 정보를 상기 정보 지시 메시지에 포함시켜 상기 제2 AP로 전달하는 단계
    를 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  9. 제8항에 있어서,
    상기 제1 마스터 키 정보가 존재하지 않는 경우, 상기 PAR이 관리하고 있는 정보에 상기 AT의 제2 마스터 키 정보가 존재하는지 확인하는 단계
    상기 제2 마스터 키 정보가 존재하는 경우, 상기 제2 AP에서 사용될 인증 키를 생성하는 단계 및
    상기 제2 마스터 키 정보가 존재하는 경우, 상기 인증 키 정보를 포함시킨 상기 정보 지시 메시지를 상기 제2 AP에게 전송하는 단계
    를 더 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  10. 제8항에 있어서,
    상기 제2 AP로부터 상기 정보 지시 메시지에 대한 응답 메시지를 수신하여, 상기 정보 지시 메시지가 전달되었는지 여부를 확인하는 단계를 더 포함하는 핸드오버용 보안 콘텍스트 전달 방법.
  11. PAR에 접속된 제1AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제2 AP에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서,
    상기 AT로부터 레인징 요청 메시지를 수신하는 단계;
    상기 레인징 요청 메시지를 보조 핸드오버 요청 메시지에 포함시켜 상기 PAR을 거쳐 상기 제1 AP에게 전달하는 단계;
    상기 제1 AP로부터 상기 PAR를 거쳐 보조 핸드오버 응답 메시지를 수신하는 단계;
    상기 보조 핸드오버 응답 메시지 내에 마스터 키가 존재하는지 확인하는 단계;
    상기 마스터 키가 존재하는 경우, 인증 키를 생성하는 단계; 및
    상기 인증 키를 이용하여 KEK(Key Encryption Key)를 생성하는 단계
    를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  12. 제11항에 있어서,
    상기 보조 핸드오버 응답 메시지 내에 있는 상기 AT의 보안 관련 정보를 저장한 후, 보조 핸드오버 도착 메시지를 상기 PAR로 전송하는 단계를 더 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  13. 제11항에 있어서,
    상기 KEK를 생성하는 단계는, 트래픽 관련 파라미터를 갱신하는 단계를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  14. 제11항에 있어서,
    상기 제1 AP에게 전달하는 단계는, 상기 레인징 요청 메시지를 인증하는 단계를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  15. 제11항에 있어서,
    상기 인증 키를 생성하는 단계는, 상기 인증 키를 이용하여 상기 AT에게 레인징 응답 메시지를 전송하는 단계를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  16. PAR에 접속된 제1 AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 PAR에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서,
    상기 제2 AP로부터 보조 핸드오버 요청 메시지를 수신하여, 상기 제1 AP에게 전송하는 단계;
    상기 제1 AP로부터 보조 핸드오버 응답 메시지를 수신하는 단계;
    상기 보조 핸드오버 응답 메시지 내에 제1 마스터 키 정보가 존재하는지 확 인하는 단계;
    상기 제1 마스터 키 정보가 존재하는 경우, 상기 제1 마스터 키 정보가 포함된 보조 핸드오버 응답 메시지를 상기 제2 AP에게 전송하는 단계; 및
    상기 보조 핸드오버 응답 메시지에 대한 응답 메시지인 보조 핸드오버 도착 메시지를 상기 제2 AP로부터 수신하여, 상기 제1 AP에게 전달하는 단계
    를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  17. 제16항에 있어서,
    상기 제1 마스터 키 정보가 존재하지 않는 경우, 상기 PAR 이 관리하고 있는 정보에 상기 AT의 제2 마스터 키 정보가 존재하는지 확인하는 단계;
    상기 제2 마스터 키 정보가 존재하는 경우, 인증 키를 생성하는 단계; 및
    상기 제2 마스터 키 정보가 존재하는 경우, 상기 인증 키 정보가 포함된 상기 보조 핸드오버 응답 메시지를 상기 제2 AP에게 전송하는 단계
    를 더 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  18. PAR에 접속된 제1 AP의 서비스 셀에서 서비스를 제공받던 AT가 서비스 제공 단절 후, 상기 PAR에 접속된 제2 AP의 서비스 셀로 이동할 때, 상기 제1 AP에서 수행하는 드롭 핸드오버용 보안 콘텍스트 전달 방법으로서,
    상기 제2 AP로부터 상기 PAR을 거쳐 보조 핸드오버 요청 메시지를 수신하는 단계;
    상기 보조 핸드오버 요청 메시지에 상기 AT의 보안 콘텍스트가 존재하는지 확인하는 단계;
    상기 AT의 보안 콘텍스트가 존재하는 경우, 상기 AT의 인증 키를 이용하여 레인징 요청 메시지의 인증 여부를 확인하는 단계;
    상기 레인징 요청 메시지의 인증 결과가 성공인 경우, 상기 보조 핸드오버 요청 메시지에 상기 AT의 트래픽 관련 키 또는 마스터 키가 존재하는지 확인하는 단계; 및
    상기 보안 콘텍스트, 상기 트래픽 관련 키 및 상기 마스터 키 중 존재하는 것으로 확인된 보안 관련 정보를 포함시킨 보조 핸드오버 응답 메시지를 상기 제2 AP에게 전송하는 단계
    를 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
  19. 제18항에 있어서,
    상기 레인징 요청 메시지에 대한 메시지 인증이 실패인 경우, 상기 보조 핸드오버 응답 메시지에 결과 값을 실패로 설정하여 전송하는 단계를 더 포함하는 드롭 핸드오버용 보안 콘텍스트 전달 방법.
KR1020060123669A 2005-12-08 2006-12-07 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법 KR100991522B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050119923 2005-12-08
KR1020050119923 2005-12-08

Publications (2)

Publication Number Publication Date
KR20070061409A true KR20070061409A (ko) 2007-06-13
KR100991522B1 KR100991522B1 (ko) 2010-11-04

Family

ID=38224438

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060123669A KR100991522B1 (ko) 2005-12-08 2006-12-07 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법

Country Status (2)

Country Link
US (1) US7848513B2 (ko)
KR (1) KR100991522B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100816560B1 (ko) * 2006-12-05 2008-03-25 한국정보보호진흥원 모바일 멀티캐스트 방송 보안을 위한 대리인증 방법
WO2010098551A2 (ko) * 2009-02-26 2010-09-02 엘지전자 주식회사 보안성능협상방법 및 tek 관리방법
KR101026647B1 (ko) * 2010-07-26 2011-04-04 주식회사 유비즈코아 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI249316B (en) * 2004-02-10 2006-02-11 Ind Tech Res Inst SIM-based authentication method for supporting inter-AP fast handover
FI20070094A0 (fi) * 2007-02-02 2007-02-02 Nokia Corp Radiopäällysverkon turvallisuusalgoritmin vaihtaminen handoverin aikana
US8270369B1 (en) * 2007-11-16 2012-09-18 Marvell International Ltd. Service data unit discard system for radio access networks
JP2009130603A (ja) * 2007-11-22 2009-06-11 Sanyo Electric Co Ltd 通信方法およびそれを利用した基地局装置、端末装置、制御装置
EP2071804A1 (en) * 2007-12-13 2009-06-17 Alcatel Lucent A method for security handling in a wireless access system supporting multicast broadcast services
US8630637B2 (en) * 2008-05-15 2014-01-14 Microsoft Corporation Inter-controller roam management and prediction for voice communications
JP5239665B2 (ja) * 2008-09-12 2013-07-17 富士通株式会社 無線lanシステムにおけるハンドオーバ方法およびその方法において使用される装置
US9973986B2 (en) * 2013-01-17 2018-05-15 Intel IP Corporation Systems and methods for mobility optimization in a heterogeneous network
CN103747494B (zh) * 2013-12-31 2017-01-25 上海华为技术有限公司 一种无线局域网中的切换方法及装置
US9590962B2 (en) * 2014-07-07 2017-03-07 Alcatel-Lucent Usa Inc. Using cookies to identify security contexts for connectionless service
KR102460248B1 (ko) 2019-02-21 2022-10-31 한국전자통신연구원 유한체 나눗셈 연산기 및 그것을 갖는 타원곡선 암호 시스템 및 그것의 동작 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6587680B1 (en) 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
KR20050041392A (ko) 2003-10-30 2005-05-04 아바드소프트주식회사 콜센터 포탈 서비스 시스템 및 방법
EP1562340A1 (en) 2004-02-05 2005-08-10 Siemens Aktiengesellschaft Method and apparatus for establishing a temporary secure connection between a mobile network node and an access network node during a data transmission handover
US7236477B2 (en) * 2004-10-15 2007-06-26 Motorola, Inc. Method for performing authenticated handover in a wireless local area network

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100816560B1 (ko) * 2006-12-05 2008-03-25 한국정보보호진흥원 모바일 멀티캐스트 방송 보안을 위한 대리인증 방법
WO2010098551A2 (ko) * 2009-02-26 2010-09-02 엘지전자 주식회사 보안성능협상방법 및 tek 관리방법
WO2010098551A3 (ko) * 2009-02-26 2010-10-28 엘지전자 주식회사 보안성능협상방법 및 tek 관리방법
US8538025B2 (en) 2009-02-26 2013-09-17 Lg Electronics Inc. Security performance negotiation method and a TEK management method
KR101026647B1 (ko) * 2010-07-26 2011-04-04 주식회사 유비즈코아 통신 보안 시스템 및 그 방법과 이에 적용되는 키 유도 암호알고리즘

Also Published As

Publication number Publication date
KR100991522B1 (ko) 2010-11-04
US7848513B2 (en) 2010-12-07
US20070154017A1 (en) 2007-07-05

Similar Documents

Publication Publication Date Title
KR100991522B1 (ko) 휴대인터넷 시스템의 핸드오버용 보안 콘텍스트 전달 방법
TWI393414B (zh) 安全交談金鑰上下文
US7792527B2 (en) Wireless network handoff key
JP4000933B2 (ja) 無線情報伝送システム及び無線通信方法、無線端末装置
EP1414262B1 (en) Authentication method for fast handover in a wireless local area network
CN101366291B (zh) 多跳无线网络中的无线路由器协助的安全切换(wrash)
US7451316B2 (en) Method and system for pre-authentication
JP5042834B2 (ja) 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
EP2432265B1 (en) Method and apparatus for sending a key on a wireless local area network
EP1561331B1 (en) A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure
US20090208013A1 (en) Wireless network handoff key
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
US7630712B2 (en) Method for reconnecting a mobile terminal in a wireless network
WO2010115326A1 (zh) 一种无线局域网终端的预鉴别方法及无线局域网系统
US20090307483A1 (en) Method and system for providing a mesh key
KR20090063274A (ko) 무선 원격통신에서의 암호화
KR100863135B1 (ko) 이동환경에서의 듀얼 인증 방법
CN101641935A (zh) 配电系统安全接入通信系统和方法
JP4468449B2 (ja) セキュアハンドオーバをサポートする方法および装置
JP2004207965A (ja) 無線lanの高速認証方式及び高速認証方法
KR100638590B1 (ko) 휴대 인터넷 시스템에서의 단말 인증 방법
Morioka et al. MIS protocol for secure connection and fast handover on wireless LAN
KR100416232B1 (ko) 이중화된 노드들의 씨엠에스 보안 서비스 시스템 및 제공방법
KR100668655B1 (ko) 휴대 인터넷 시스템에서의 핸드오버를 위한 ap와 par간의 정보 전달 방법
KR20110041963A (ko) 무선 통신 시스템에서 데이터 암호화 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130916

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140919

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150917

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160920

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 8