KR20070108038A - Authentication method using privacy key management protocol in wireless broadband internet system and thereof system - Google Patents
Authentication method using privacy key management protocol in wireless broadband internet system and thereof system Download PDFInfo
- Publication number
- KR20070108038A KR20070108038A KR20060040777A KR20060040777A KR20070108038A KR 20070108038 A KR20070108038 A KR 20070108038A KR 20060040777 A KR20060040777 A KR 20060040777A KR 20060040777 A KR20060040777 A KR 20060040777A KR 20070108038 A KR20070108038 A KR 20070108038A
- Authority
- KR
- South Korea
- Prior art keywords
- base station
- message
- mobile terminal
- security
- update
- Prior art date
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면,1 illustrates a hierarchical structure of a conventional IEEE 802.16e standard;
도 2는 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 초기에 네트워크로 진입할 때 또는 재인증을 받기 위한 SA-TEK 3단계 절차를 도시한 도면,FIG. 2 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal initially enters a network or undergoes reauthentication in an IEEE 802.16e system for better understanding of the present invention;
도 3은 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 도면,3 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal reenters a handover or a network in an IEEE 802.16e system for better understanding of the present invention;
도 4는 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서 네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 흐름도,4 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention;
도 5는 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 흐름도,5 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in a portable Internet system according to a second embodiment of the present invention;
도 6은 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시 한 단말 순서도,FIG. 6 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention.
도 7은 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 단말 순서도,FIG. 7 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in a portable Internet system according to a second embodiment of the present invention.
도 8은 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말과 기지국의 블록 구성도.8 is a block diagram of a mobile terminal and a base station in a portable Internet system according to an embodiment of the present invention.
본 발명은 무선 통신 시스템에서 사용자 인증을 위한 방법 및 시스템에 관한 것으로 특히 휴대 인터넷 시스템에서 이동 단말의 핸드오버 또는 네트워크 재진입시 개인 키 관리 프로토콜(Privacy Key Management : 이하 "PKM"이라 함)을 사용하여 인증을 수행하기 위한 방법 및 장치에 관한 것이다.The present invention relates to a method and system for user authentication in a wireless communication system. In particular, a mobile key system uses a private key management protocol (PKM) for handover or reentry of a mobile terminal. A method and apparatus for performing authentication.
일반적으로 무선 통신 시스템이라 함은, 단말까지 고정적인 유선 네트워크를 연결하여 사용할 수 없는 경우를 위해 개발된 시스템이다. 이러한 무선 통신 시스템의 대표적인 시스템으로는 음성 및 데이터 서비스를 제공하는 일반 이동 통신 시스템은 물론, 무선 랜, 와이브로(WiBro), 이동 애드 혹(Mobile Ad Hoc)네트워크 등 을 들 수 있다.In general, a wireless communication system is a system developed for a case in which a fixed wired network cannot be connected to a terminal and used. Representative systems of such wireless communication systems include wireless LAN, WiBro, and mobile ad hoc networks, as well as general mobile communication systems that provide voice and data services.
근래의 컴퓨터, 전자, 통신 기술의 비약적인 발전과 인터넷 서비스에 대한 사용자의 요구 증가 등으로 인하여 인터넷 서비스를 효율적으로 제공할 수 있는 이동 통신 시스템에 대한 필요성이 증대되고 있다. 가장 기본적인 무선 통신 서비스는 이동 통신 단말 사용자들에게 무선으로 음성 통화를 제공하는 무선 음성 통화 서비스로서 이는 시간과 장소에 구애받지 않고 서비스를 제공할 수 있다는 특징이 있다. 또한 문자 메시지 서비스를 제공하여 음성 통화 서비스를 보완해주고 있다. 뿐만 아니라 사용자들의 인터넷 서비스에 대한 요구가 급증하여 무선 인터넷 서비스를 효율적으로 제공할 수 있는 무선 이동 통신 시스템에 대한 필요성이 증대되고 있다. Recently, due to the rapid development of computer, electronic, and communication technologies and increasing user demand for Internet services, there is an increasing need for a mobile communication system capable of efficiently providing Internet services. The most basic wireless communication service is a wireless voice call service that provides a voice call to a mobile terminal user wirelessly, which can provide a service regardless of time and place. It also supplements voice call service by providing text message service. In addition, there is an increasing demand for a wireless mobile communication system that can efficiently provide wireless Internet services due to the rapid increase in the demand for users' Internet services.
그러나 이러한 기존 이동 통신망은 음성 서비스를 주목적으로 개발되어 데이터 전송 대역폭이 비교적 작고, 기지국 구축비용이 높기 때문에 속도가 느리고 사용료가 비싸며, 이동 통신 단말의 화면 크기가 작아 이용할 수 있는 컨텐츠의 제약이 있다는 단점을 가지고 있다. 국제표준화 기구 중 하나인 전기 전자 공학자 협회(Institute of Electrical and Electronics Engineers, 이하 "IEEE")의 IEEE 802.16 표준화 그룹에서는 고정 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 표준으로 IEEE 802.16, 802.16a, 802.16b 표준을 하나로 통합한 IEEE 802.16d 표준을 제정하고 있으며, 이와 동시에 IEEE 802.16d를 개선하여 이동 단말에 대하여 무선 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 제정을 추진 중이다.However, such a conventional mobile communication network has been developed mainly for voice service, which has a relatively small data transmission bandwidth, a high base station construction cost, and thus is slow and expensive to use, and there is a limitation of content available due to the small size of the mobile communication terminal. Have The IEEE 802.16 standardization group of the Institute of Electrical and Electronics Engineers (IEEE), one of the international standardization bodies, is a standard for providing wireless broadband Internet services to fixed terminals as IEEE 802.16, 802.16a, and 802.16 standards. The IEEE 802.16d standard, which integrates the b standard, is enacted. At the same time, the IEEE 802.16e standard is being proposed to provide wireless broadband Internet services to mobile terminals by improving IEEE 802.16d.
상기 IEEE 802.16d와 802.16e 표준은 종래의 음성 서비스를 위한 무선 기술에 비하여, 데이터의 대역폭이 넓어 단시간에 대용량 데이터를 전송할 수 있으며, 모든 사용자가 채널을 공유하여 채널을 효율적으로 사용하는 것이 가능하다. 한편 상기 IEEE 802.16d 표준은 고정 단말로 광대역 인터넷 서비스를 제공하기 위한 것이므로 단말의 이동성에 대한 고려가 되지 않았으며, 이동 단말로 광대역 인터넷 서비스를 제공하기 위한 IEEE 802.16e 표준 또한 상기 IEEE 802.16d 기반 위에 만들어지고 있으므로 현재는 이동 단말에 대한 보안 기능을 포함하여 각종 서비스 기능이 부족한 상태이다. 이중 IEEE 802.16e에 대해서 좀 더 알아보기로 하자.The IEEE 802.16d and 802.16e standards can transmit large amounts of data in a short time due to the wider bandwidth of data than the conventional wireless technology for voice service, and it is possible for all users to share the channel and use the channel efficiently. . Meanwhile, since the IEEE 802.16d standard is for providing broadband Internet service to a fixed terminal, the mobility of the terminal is not considered, and the IEEE 802.16e standard for providing broadband Internet service to a mobile terminal is also based on the IEEE 802.16d base. Currently, various service functions are lacking, including security functions for mobile terminals. Let's learn more about IEEE 802.16e.
IEEE 802.16e는 이동 단말에 대해 무선 광대역 인터넷 서비스를 제공하기 위하여 표준을 제정하였으며, 2.3GHz 동작 주파수 대역과 OFDM(Orthogonal Frequency Division Multiplexing), OFDMA(Orthogonal Frequency Division Multiple Access), 그리고 단일 반송파 변조(Single Carrier Modulation)를 위한 규격을 제시한다. 따라서 종래 음성 서비스의 무선 기술에 비하여 데이터 대역폭이 넓어 단시간에 대용량의 데이터를 전송할 수 있으며, 채널을 효율적으로 사용하는 것이 가능하게 되었다.IEEE 802.16e has established standards to provide wireless broadband Internet services for mobile terminals, and has a 2.3 GHz operating frequency band, orthogonal frequency division multiplexing (OFDM), orthogonal frequency division multiple access (OFDMA), and single carrier modulation (Single). The specification for Carrier Modulation) is presented. As a result, the data bandwidth is wider than that of the conventional voice service wireless technology, and thus a large amount of data can be transmitted in a short time, and the channel can be efficiently used.
이하에서는 사용자 정보 보호(인증)와 관련하여 종래 IEEE 802.16e 표준의 계층 구조를 간략히 설명하기로 한다.Hereinafter, the hierarchical structure of the conventional IEEE 802.16e standard with respect to user information protection (authentication) will be briefly described.
도 1은 종래 IEEE 802.16e 표준의 계층 구조를 나타낸 도면이다. 1 is a diagram illustrating a hierarchical structure of the conventional IEEE 802.16e standard.
도 1의 IEEE 802.16e 계층은 크게 MAC 계층(110)과 물리 계층인 PHY 계층(120) 그리고 MAC 계층(110)과 PHY 계층(120)을 관리하는 다수의 관리 계층(Management Plane)(130a, 130b, 130c)을 포함한다. 상기 MAC 계층(110)은 서비스 수용 보조 계층(Service Specific Convergence Sublayer : CS)(111)과, MAC 공 통 보조 계층(MAC Common Part Sublayer : MAC CPS)(112) 및 이동 단말에 대한 보안 기능을 담당하는 보안 보조 계층(Security Sublayer : SS)(113)으로 구분되며, 각 계층들은 서비스 접속점(Service Access Point : SAP)을 통해 상호 연결된다. IEEE 802.16e에서 정의된 MAC 계층(110)은 IEEE 802.16d에서 정의된 MAC 계층 구조와 같이 MAC 공통 보조 계층(112)과 보안 보조 계층(113)이 서로 연결된 구조임을 특징으로 한다.The IEEE 802.16e layer of FIG. 1 is largely composed of the
상기 서비스 수용 보조 계층(CS)(111)은 디지털 오디오/비디오 멀티캐스트, 디지털 전화, 인터넷 접속 등의 제공 서비스 프로토콜을 802.16e MAC 프로토콜에 맞도록 변환하는 기능을 수행한다. 상기 MAC 공통 보조 계층(MAC CPS)(112)은 프레임을 만들어 데이터를 송수신하고 공유 무선 매체로의 접속을 제어하는 기능을 수행하며, 기지국이나 가입자가 송수신을 어떻게 언제 시작할지를 정의하는 MAC 프로토콜에 따라 데이터 및 제어 신호의 흐름을 제어한다. 상기 PHY 계층(120)은 데이터 및 제어 신호의 무선 전송을 위한 주파수 대역, 변조 방식, 오류 정정 기술, 기지국과 이동 단말 사이의 동기, 데이터 전송률, 프레임 구조 등을 담당한다.The service acquiring auxiliary layer (CS) 111 performs a function of converting a service protocol such as digital audio / video multicast, digital telephone, Internet access, etc. to conform to the 802.16e MAC protocol. The MAC Common Aid Layer (MAC CPS) 112 performs a function of creating a frame to transmit and receive data and control access to a shared wireless medium, and according to a MAC protocol defining how and when a base station or subscriber starts transmission and reception. Control the flow of data and control signals. The
이중 SS(113)에는 PHY 계층(120)과 인접하여 패킷 데이터를 암호화/복호화하며, 적법한 사용자의 망 진입을 허용하기 위한 사용자 인증 및 메시지의 인증을 위해 key 관련 정보를 관리하고 전송하는 key management protocol(PKM) 기능이 있다. PKM 프로토콜은 기지국에서 이동 단말로의 트래픽 keying material의 분배뿐만 아니라 단말과 기지국의 상호 인증을 원활하게 한다. 또한 주기적인 재인증/재인가와 key refresh를 지원하며, PKM은 인증을 통해 이동 단말과 기지국간의 shared secret(AK)을 설정한다. 이 AK는 메시지 인증을 위한 key와 TEK(Traffic Encryption Key)를 암호화하기 위한 key를 생성할 때 사용된다.The SS 113 has a key management protocol that encrypts / decrypts packet data adjacent to the
기지국은 이동 단말 또는 사용자를 인증함으로써 가입자의 접근을 허용할 수 있으며, 합법적인 가입자로 사칭하여 이동 단말을 사용하는 공격자로부터 보호한다. 단말은 기지국으로부터 인증과 트래픽 keying material을 획득하기 위해 주기적인 재인증 및 key refreshing을 시도한다. IEEE 802.16e의 PKMv2는 RSA(Rivest Shamir Adleman)와 EAP(Extensible Authentication Protocol)를 기반으로 인증을 제공한다. The base station can allow the access of the subscriber by authenticating the mobile terminal or the user, and protects it from an attacker using the mobile terminal by impersonating a legitimate subscriber. The terminal attempts periodic re-authentication and key refreshing to obtain authentication and traffic keying material from the base station. PKMv2 of IEEE 802.16e provides authentication based on RSA (Rivest Shamir Adleman) and Extensible Authentication Protocol (EAP).
RSA 인증은 X.509 certificate를 이용한 단말 인증에 속하고, EAP는 대부분 사용자 인증이며, 단말 인증의 방식도 존재한다. RSA 인증은 항상 online으로 연결될 필요는 없으나 X.509 Certificate를 제공하는 CA(Certificate Authority)가 필요하고, modular exponentiation 계산을 필요로 하므로 encryption 및 decryption에 CPU, power 등의 resource가 많이 필요하다. 반면 사용자 인증에 속하는 EAP는 AAA(Authentication, Authorization, Accounting) 서버가 항상 접속되어 있어야 하며 RSA에 비해 송수신 하는 메시지의 개수가 많으나 대칭키 기반의 계산을 하므로 빠른 시간 내에 적은 resource로 처리할 수 있다. RSA authentication belongs to terminal authentication using X.509 certificate, EAP is mostly user authentication, and there is a method of terminal authentication. RSA certification does not always need to go online, but requires a CA (Certificate Authority) that provides an X.509 certificate, and requires modular exponentiation calculations, which requires a lot of resources such as CPU and power for encryption and decryption. On the other hand, EAP belonging to user authentication requires AAA (Authentication, Authorization, Accounting) server to be connected at all times, and the number of messages sent / received is higher than that of RSA.
이와 같은 RSA 나 EAP 인증을 통해서 유효한 AK를 공유하게 되면 초기 네트워크 접속이나 재인증시에는 SA-TEK 3단계 절차인 SA-TEK 3-way handshake(SA-TEK 챌린지(SA-TEK challenge), SA-TEK 요청(SA-TEK Request), SA-TEK 응답(SA-TEK Response)를 진행하게 되는데 휴대 인터넷 시스템에서 이동 단말이 네트워크로 재 진입하거나 핸드오버할 때 상기 SA-TEK 3단계 절차를 수행하지 않고 빠르게 네트워크에 접속할 수 있는 방안이 필요하다. When a valid AK is shared through RSA or EAP authentication, SA-TEK 3-way handshake, SA-TEK challenge, SA-TEK SA-TEK Request and SA-TEK Response are performed. When the mobile terminal reenters or hands over the network in the portable Internet system, the SA-TEK 3-step procedure is not performed quickly. You need a way to access the network.
본 발명은 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 인증 절차를 간략화하기 위한 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for simplifying an authentication procedure when a mobile terminal reenters a handover or a network in a portable internet system.
본 발명에 따른 이동 통신 시스템에서 기지국과 이동 단말간의 인증을 위한 시스템은, 아이들 상태에서 네트워크로 재진입할 때 상기 기지국으로 접속하기 위해 레인징 요청(RNG-REQ)메시지를 상기 기지국으로 전송하는 이동 단말과, 상기 레인징 요청 메시지를 수신한 뒤 상기 이동 단말로 보안 서비스를 계속 제공해 주기 위한 보안 관련(Security Association) 정보의 갱신(Update)이 필요한 경우 상기 이동 단말로 보안 서비스를 계속 제공하기 위하여 상기 보안 관련 갱신 정보가 포함되어 있음을 지시하는 정보를 레인징 응답(RNG-RSP)메시지에 포함하여 전송하는 상기 기지국을 포함한다.In the mobile communication system according to the present invention, a system for authentication between a base station and a mobile terminal includes a mobile terminal for transmitting a ranging request (RNG-REQ) message to the base station to access the base station when reentering the network in an idle state. And in order to continue providing security service to the mobile terminal when updating of security association information for continuously providing security service to the mobile terminal after receiving the ranging request message. It includes the base station for transmitting the information indicating that the associated update information is included in the ranging response (RNG-RSP) message.
본 발명에 따른 이동 통신 시스템에서 기지국과 이동 단말간의 인증을 위한 시스템은, 아이들 상태에서 네트워크로 재진입할 때 상기 기지국에 접속하기 위해 레인징 요청(RNG-REQ)메시지를 상기 기지국으로 전송하는 이동 단말과, 상기 레인징 요청 메시지를 수신한 뒤 상기 이동 단말을 인증하기 위해 보안 관련(Security Association) 정보와 트래픽 인크립션 키(Traffic Encr[i]yption Key : TEK)의 갱신이 필요할 경우 상기 보안 관련 정보와 트래픽 인크립션 키의 갱신을 알리는 소 정 정보를 포함한 레인징 응답(RNG-RSP) 메시지를 상기 이동 단말로 전송하는 상기 기지국을 포함한다.In the mobile communication system according to the present invention, a system for authentication between a base station and a mobile terminal includes: a mobile terminal transmitting a ranging request (RNG-REQ) message to the base station to access the base station when reentering the network in an idle state; And when security association information and a traffic encryption key (TEK) need to be updated to authenticate the mobile terminal after receiving the ranging request message. And a base station for transmitting a ranging response (RNG-RSP) message including predetermined information indicating an update of a traffic encryption key to the mobile terminal.
본 발명에 따른 이동 통신 시스템에서 기지국과 이동 단말간의 인증을 위한 방법은, 이동 단말이 아이들 상태에서 네트워크로 재진입할 때 상기 기지국에 접속하기 위해 레인징 요청(RNG-REQ)메시지를 상기 기지국으로 전송하는 과정과, 상기 기지국이 상기 레인징 요청 메시지를 수신한 뒤 상기 이동 단말로 보안 서비스를 계속 제공해주기 위한 보안 관련(Session Association : SA) 정보의 갱신이 필요한 경우 상기 이동 단말로 보안 서비스를 계속 제공하기 위하여 상기 보안 관련 정보의 갱신 여부를 지시하는 정보를 레인징 응답(RNG-RSP) 메시지에 포함하여 전송하는 과정과, 상기 이동 단말이 상기 레인징 응답 메시지를 수신하는 경우 상기 보안 관련(Session Association : SA)정보의 갱신 여부를 지시하는 정보가 포함된 경우 보안 관련(SA) 정보를 업데이트 하는 과정을 포함한다.In the mobile communication system according to the present invention, a method for authentication between a base station and a mobile terminal includes transmitting a ranging request (RNG-REQ) message to the base station to access the base station when the mobile terminal reenters the network in an idle state. And if the base station receives the ranging request message and updates the security association (SA) information for continuously providing the security service to the mobile terminal, the mobile station continues to provide the security service to the mobile terminal. And transmitting information indicating whether to update the security related information in a ranging response (RNG-RSP) message, and when the mobile terminal receives the ranging response message, the security association (Session Association). : Updates security-related (SA) information when information indicating whether to update SA information is included. It includes.
본 발명에 따른 이동 통신 시스템에서 기지국과 이동 단말간의 인증을 위한 방법은, 이동 단말이 아이들 상태에서 네트워크로 재진입할 때 상기 기지국에 접속하기 위해 레인징 요청(RNG-REQ)메시지를 상기 기지국으로 전송하는 과정과, 상기 기지국이 상기 레인징 요청 메시지를 수신한 뒤 보안 관련(Security Association) 정보와 트래픽 인트립션 키(Traffic Encryption Key)의 갱신이 필요할 경우 상기 보안 관련 정보와 트래픽 인크립션 키의 갱신을 알리는 소정의 정보를 포함하는 레인징 응답(RNG-RSP) 메시지를 상기 이동 단말로 전송하는 과정과, 상기 이동 단말이 상기 레인징 응답 메시지를 수신할 경우 상기 보안 관련 정보와 상기 트래픽 인 크립션 키의 갱신을 알리는 정보가 설정되었을 경우 상기 보안 관련 정보와 트래픽 인크립션 키를 갱신하는 과정을 포함한다.In the mobile communication system according to the present invention, a method for authentication between a base station and a mobile terminal includes transmitting a ranging request (RNG-REQ) message to the base station to access the base station when the mobile terminal reenters the network in an idle state. And informing that the security related information and the traffic encryption key are updated after the base station receives the ranging request message, when the security association information and the traffic encryption key are required to be renewed. Transmitting a ranging response (RNG-RSP) message including predetermined information to the mobile terminal, and when the mobile terminal receives the ranging response message, the security related information and the traffic encryption key. Updating the security-related information and the traffic encryption key when the information for renewing is set; The.
본 발명에 따른 이동 통신 시스템에서 이동 단말이 기지국으로부터 인증을 받기 위한 방법은, 상기 이동 단말이 핸드오버 상황일 때 상기 기지국으로 상기 기지국으로 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 전송하는 과정과, 상기 기지국으로부터 레인징 응답(RNG-RSP)메시지를 수신할 경우 상기 레인징 응답 메시지에 보안 관련(Security Association : SA) 정보의 갱신을 지시하는 정보(SAID_Update TLV)가 포함되어있는지를 검사하는 과정과, 상기 검사결과 상기 보안 관련 정보의 갱신을 지시하는 정보(SAID_Update TLV)가 포함되어있다면 상기 보안 관련 정보의 갱신을 지시하는 정보를 근거로 보안 관련 정보를 갱신하는 과정을 포함한다.In the mobile communication system according to the present invention, a method for a mobile terminal to be authenticated by a base station includes a ranging request (RNG-REQ) message for requesting access to the base station from the base station when the mobile terminal is in a handover situation. Transmitting information and, when receiving a ranging response (RNG-RSP) message from the base station, whether the ranging response message includes information (SAID_Update TLV) indicating update of security association (SA) information; And updating security related information based on the information indicating the update of the security related information, if the inspection result includes the information SAID_Update TLV indicating the update of the security related information. .
본 발명에 따른 이동 통신 시스템에서 이동 단말이 기지국으로부터 인증을 받기 위한 방법은, 상기 이동 단말이 핸드오버 상황일 때 상기 기지국으로 상기 기지국으로 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 전송하는 과정과, 상기 기지국으로부터 레인징 응답(RNG-RSP)메시지를 수신할 경우 상기 레인징 응답 메시지에 보안 관련(Security Association : SA) 정보와 트래픽 인크립션 키(Traffic Encryption Key : TEK) 갱신을 지시하는 정보(SA-TEK Update TLV)가 포함되어있는지를 검사하는 과정과, 상기 검사결과 상기 보안 관련 정보와 트래픽 인크립션 키의 갱신을 지시하는 정보(SA-TEK Update TLV)가 포함되어있다면 상기 보안 관련 정보와 인크립션 키 갱신을 지시하는 정보를 근거로 보안 관련 정보와 트 래픽 인크립션 키를 갱신하는 과정을 포함한다.In the mobile communication system according to the present invention, a method for a mobile terminal to be authenticated by a base station includes a ranging request (RNG-REQ) message for requesting access to the base station from the base station when the mobile terminal is in a handover situation. Transmitting a security response (SA) information and a traffic encryption key (TEK) in the ranging response message when receiving a ranging response (RNG-RSP) message from the base station. Checking whether the SA-TEK Update TLV is included, and if the result of the check includes the SA-TEK Update TLV, the SA-TEK Update TLV is updated. Updating the security-related information and the traffic encryption key based on the information and the information indicating the encryption key update.
본 발명에 따른 이동 통신 시스템에서 기지국으로부터 인증을 받기 위한 이동 단말 장치는, 상기 기지국에 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 송신하고 상기 기지국으로부터 레인징 응답(RNG-RSP) 메시지를 수신하는 송수신부와, 상기 레인징 응답 메시지에 보안 관련(Security Association : SA) 정보의 갱신을 지시하는 정보(SAID_Update TLV)가 포함되어있는지 검사하고, 포함되었다면 상기 보안 관련 정보의 갱신을 지시하는 정보를 근거로 보안 관련 정보를 갱신하는 제어부를 포함한다.In the mobile communication system according to the present invention, a mobile terminal apparatus for receiving authentication from a base station transmits a ranging request (RNG-REQ) message for requesting access to the base station and receives a ranging response (RNG-RSP) from the base station. A transceiver for receiving the message, and checking whether the ranging response message includes information (SAID_Update TLV) indicating update of security association (SA) information, and if so, instructing update of the security related information. And a controller for updating the security related information based on the information.
본 발명에 따른 이동 통신 시스템에서 기지국으로부터 인증을 받기 위한 이동 단말 장치는, 상기 기지국에 접속을 요청하기 위한 레인징 요청(RNG-REQ) 메시지를 송신하고 상기 기지국으로부터 레인징 응답(RNG-RSP) 메시지를 수신하는 송수신부와, 상기 레인징 응답 메시지에 보안 관련(Security Association : SA) 정보의 갱신을 지시하는 정보(SAID_Update TLV)가 포함되어있는지 검사하고, 상기 검사결과 상기 레인징 응답 메시지에 보안 관련 정보와 트래픽 인크립션 키(Traffic Encryption Key) 갱신을 지시하는 정보(SA-TEK Update TLV)가 포함되어 있는지 검사하고, 상기 검사결과 상기 보안 관련 정보와 트래픽 인트립션 키 갱신을 지시하는 정보가 포함되어 있다면, 상기 보안 관련 정보와 트래픽 인크립션 키(Traffic Encryption Key) 갱신을 지시하는 정보를 근거로 보안 관련 정보와 트래픽 인크립션 키를 갱신하는 제어부를 포함한다.In the mobile communication system according to the present invention, a mobile terminal apparatus for receiving authentication from a base station transmits a ranging request (RNG-REQ) message for requesting access to the base station and receives a ranging response (RNG-RSP) from the base station. A transmission / reception unit for receiving a message and whether the ranging response message includes information (SAID_Update TLV) indicating update of security association (SA) information, and a security check result in the ranging response message. Checks whether the relevant information and the information indicating the update of the Traffic Encryption Key (SA-TEK Update TLV) are included, and the result of the check includes the information indicating the security-related information and the update of the traffic encryption key. The security-related information and the security-related information based on the security-related information and the information instructing to renew the traffic encryption key. And a control unit for updating the traffic encryption key.
이하 첨부된 도면을 참조하여 본 발명의 실시 예를 설명하기로 한다. 그리고 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted.
도 2는 본 발명의 이해를 돕기 위한 IEEE 802.16e 시스템에서 이동 단말이 초기에 네트워크로 진입할 때 또는 재인증을 받기 위한 보안 관련-트래픽 인크립션 키(Security Association - Traffic Encryption Key : 이하 "SA-TEK"라 함) 3단계 절차를 도시한 도면이다.FIG. 2 illustrates a security association-traffic encryption key (hereinafter referred to as “SA-TEK”) for mobile terminal initial entry into a network or reauthentication in an IEEE 802.16e system to facilitate understanding of the present invention. Is a diagram illustrating a three-step procedure.
도 2에서 이동 단말(Mobile Station : MS)(200)과 기지국(Base Station : BS)(210)이 SA-TEK 챌린지(Challenge)(AKID)(220), SA-TEK 요청(SA-TEK Request)(AKID, Security Capabilities)(230), SA-TEK 응답(SA-TEK Response)(AKID, SA Descriptor)(240)과 같은 SA-TEK 3단계 절차(SA-TEK 3-way handshake)를 통하여 기존의 SBC-REQ/RSP를 통해 협상한 security 사항을 다시 확인하고, 트래픽 데이터 및 트래픽 인크립션 키(Traffic Encryption Key:이하 "TEK"라 함)의 실제 암호화 방식에 대해 협상하며 보안 관련 (Security Association: 이하 "SA라 함)의 정보를 공유한다. In FIG. 2, a mobile station (MS) 200 and a base station (BS) 210 perform a SA-TEK challenge (AKID) 220 and a SA-TEK request. SA-TEK 3-way handshake (AKID, Security Capabilities) (230), SA-TEK Response (AKID, SA Descriptor) 240 Reconfirm the security matters negotiated through SBC-REQ / RSP, negotiate the actual encryption method of the traffic data and traffic encryption key ("TEK"), and Share information).
기지국(210)이 전송한 SA-TEK 챌린지(SA-TEK Challenge)(220) 메시지에 대한 응답으로 SA챌린지 타이머(SAChallengeTimer)를 모두 계수하기 전에 SA-TEK 요청(SA-TEK Request)(230) 메시지를 수신하지 못하면 SAChallengeMaxResends 만큼 재전송(222)을 시도한다. 그리고 이동 단말이 전송한 SA-TEK 요청(SA-TEK Request)(230) 메시지에 대한 응답으로 SATEK 타이머(SATEKTimer) 내에 SA-TEK 응답(SA-TEK Response)(240) 메시지를 수신하지 못하면 SATEKRequestMaxResends 만큼 재전송(232)을 시도한다. SA-TEK Request (230) message before counting all the SA ChallengeTimer in response to the SA-TEK Challenge (220) message sent by the base station (210) If it does not receive the SAChallengeMaxResends attempts to retransmit (222). If the SA-
도 3은 본 발명의 이해를 돕기 위해 IEEE 802.16e 시스템에서 이동 단말이 핸드오버 또는 네트워크로 재진입할 때의 SA-TEK 3단계 절차를 도시한 도면이다.FIG. 3 is a diagram illustrating a three-stage SA-TEK procedure when a mobile terminal reenters a handover or a network in an IEEE 802.16e system for better understanding of the present invention.
도 3은 참조번호 300과 같이 이동 단말(200)이 핸드오버나 네트워크 재진입을 시도할 때, 기지국(210)은 302단계에서 레인징 응답(RNG-RSP) 메시지의 핸드오버 프로세스 최적화(HO process optimization) TLV의 bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)을 1로 세팅하여 전송할 때 IEEE 802.16e에서 제안하는 절차를 보여준다. 3 illustrates that when the mobile terminal 200 attempts handover or network reentry as shown by
기지국(210)은 302단계에서 레인징 응답(RNG-RSP) 메시지에 상기 도 2에서의 SA-TEK 챌린지 메시지 역할을 하는 SA 챌린지 튜플(SA Challenge Tuple)을 첨부하여 전송함과 동시에 SA 챌린지 타이머(SAChallengeTimer)(핸드오버 및 네트워크 재진입의 경우는 초기 네트워크 접속이나 재인증 때보다 긴 SA 챌린지 타이머(SAChallengeTimer)를 갖는다)(304)를 구동시킨다. 기지국(210)은 상기 SA 챌린지 타이머(304)가 종료되기 전에 이동 단말(200)로부터 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신하면 SA 챌린지 타이머(SAChallengeTimer)(304)의 동작을 종료한다. In
SA 챌린지 타이머(304)의 동작이 종료된 후에도 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신하지 못하면 기지국은(210)은 재인증을 초기화하거나, 해당 이동 단말(200)에 대한 서비스 제공에 제외시킨다. If the SA-
레인징 절차가 (RNG-REQ/RSP) 종료되면 306단계에서 협상 절차(SBC-REQ/RSP)를 수행하나, idle 모드에서 네트워크 재진입 또는 핸드오버 시에는 상황에 따라 생략 가능하다. 그리고 협상 절차는(306) SA-TEK 3단계 수행과 별개 과정이다.When the ranging procedure is terminated (RNG-REQ / RSP), the negotiation procedure (SBC-REQ / RSP) is performed in
308단계에서 SA 챌린지 튜플(SA Challenge Tuple)을 포함한 레인징 응답(RNG-RSP)(302) 메시지를 수신한 이동 단말(200)은 SA-TEK 요청(SA-TEK Request) 메시지를 전송한다. 이동 단말(200)은 SA-TEK 요청(SA-TEK Request)(308) 메시지를 전송함과 동시에 SATEK 타이머(SATEKTimer)(307)를 구동시킨다. 이동 단말(200)은 SATEK 타이머(310)내에 SA-TEK 응답(SA-TEK Response)(312)메시지를 수신하면 SATEK 타이머(SATEKTimer)(307)의 동작을 종료시킨다. In
이동 단말(200)은 SATEK 타이머(SATEKTimer)(310) 내에 SA-TEK 응답(SA-TEK Response)(312)메시지를 수신하지 못하면 상기 SA-TEK 요청(SA-TEK Request) 메시지를 재전송하고, SATEKTimer(307)를 재구동 시킨다. 그리고 SATEKRequestMaxResends(310) 만큼의 재전송 후에도 응답이 없으면, 이동 단말(200)은 재인증을 초기화하거나, 다른 기지국으로 접속을 시도한다. If the
마지막으로 312단계에서 SA-TEK 요청(SA-TEK Request)(308)메시지를 수신한 기지국(210)이 SA-TEK 응답(SA-TEK Response) 메시지를 전송하고 이동단말(200)이 SA-TEK 응답(SA-TEK Response) 메시지를 무사히 수신함으로써 SA-TEK 3단계 절차가 종료된다.Finally, in
상술한 도 3에서 302단계의 레인징 응답(RNG-RSP) 메시지 핸드오버 프로세스 최적화(HO process optimization) TLV 필드의 #1(두 번째 bit)이"1"로 설정되었을 때는 다음과 같은 의미를 갖는다. 이동 단말(200)의 핸드오버나 네트워크 재진입 과정에서 AK에 관련된 인증 정보를 기지국간의 백본(Backbone)을 통해 타겟 기지국(이동 단말이 핸드오버 또는 네트워크 재진입하고자 하는 기지국)으로 전달되므로 TEK 단계를 제외한 인증 절차를 생략하라는 것을 의미한다. IEEE 802.16e에서 정의 하는 인증 절차는 EAP나 RSA 기반의 사용자 인증 또는 단말 인증과 그에 대한 인증키(AK)의 생성을 의미한다. When the # 1 (second bit) of the ranging response (RNG-RSP) message handover process optimization (LV) field of
따라서 이동 단말(200)이 핸드오버를 수행할 때나 Idle 모드에서 네트워크 재진입할 때, HO process optimization 필드의 bit#1이 1로 세팅되면 이동 단말(200)과 기지국(210)간의 security를 위한 과정은 SA-TEK 3단계 절차(SA-TEK 3-way handshake)부터 시작한다. 핸드오버 및 네트워크 재진입시 SA-TEK 3단계 절차의 주목적은 기지국(210)과 이동 단말(200)간의 SA 공유에 있다. SA는 접속(unicast, multicast, MBS(Multicast Broadcast Service)에 관한 정보, 서비스 타입과 트래픽 암호화를 위한 알고리즘 등이 포함된다.Therefore, when the
그런데 IEEE 802.16e는 레인징 응답(Ranging Response : RNG-RSP) 메시지의 TLV(Type Length Value) 리스트에서 보안 관련 식별자 업데이트(SAID_update) 필드를 제시하고 있다. SAID_Update 필드는 이동 단말이 핸드오버 후에 새로운 기지국으로부터 security 서비스를 계속 제공하기 위해 SA를 갱신하기 위한 필드라 정의한다.However, IEEE 802.16e presents a security-related identifier update (SAID_update) field in a type length value (TLV) list of a ranging response (RNG-RSP) message. The SAID_Update field is defined as a field for updating the SA so that the mobile terminal continues to provide security service from the new base station after the handover.
따라서 이동 단말(200)이 핸드오버 또는 네트워크 재진입하는 과정에서 기지국(210)과 이동 단말(200)간의 SA의 업데이트가 필요할 경우 IEEE 802.16e에서 정의한 SA-TEK 3단계 절차는 레인징 응답(RNG-RSP) 메시지의 SAID_update(SA Identifier_update) 필드와 중복되므로 상술한 바와 같은 과정들은 불필요한 과정을 한 번 더 수행하는 셈이다. 또한 기지국에서 SA 뿐만 아니라 TEK의 업데이트가 필요한 경우라도 일반적인 IEEE 802.16e에 정의된 SA 챌린지 튜플(SA Challenge Tuple)대신 SA-TEK 응답(SA-TEK Response)메시지에 포함된 SA-TEK Update TLV를 첨부하여 전송하면 SA-TEK 3단계 절차를 생략 할 수 있다. 여기서 SA-TEK Update TLV는 이동 단말이 핸드오버 후에 새로운 기지국으로 security 서비스를 계속 유지하기 위해 SA 뿐만 아니라 TEK를 업데이트하기 위해 필요한 필드이다. Therefore, when the
본 발명을 설명하기 전에 본 발명이 이루고자 하는 바를 요약하면 다음과 같이 두 가지 방안으로 기술하였다. 첫째는 SA(Security Association) 정보의 갱신이 필요한 경우 레인징 응답(RNG-RSP) 메시지의 SA 챌린지 튜플(SA Challenge Tuple)대신 SAID_Update를 포함하여 전송함으로써 일반적인 IEEE 802.16e 방식에 따른 SA-TEK 3단계 절차를 생략한다. Before describing the present invention, the present invention has been briefly described in two ways as follows. First, when SA (Security Association) information is required to be updated, SAID_Update instead of SA Challenge Tuple of ranging response (RNG-RSP) message is included and transmitted. Omit the procedure.
둘째는 SA와 TEK(Traffic Encryption Key)의 갱신이 필요한 경우, 일반적인 IEEE 802.16e 방식의 휴대 인터넷 시스템에서 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 추가하는 방식에 착안하여 본원발명에서는 SA 챌린지 튜플(SA Challenge Tuple)대신 SA-TEK 응답(SA-TEK Response) 메시지에 포함된 SA-TEK Update TLV를 첨부하여 전송한다. 그럼으로써 SA-TEK 3단계 절차(SA- TEK 3-way handshake)를 수행하지 않고도 단순히 기지국이 레인징 응답(RNG-RSP) 메시지만을 전송하여 네트워크 재진입 또는 핸드오버 상황 시의 불필요한 절차를 생략할 수 있다.Second, when renewing SA and Traffic Encryption Key (TEK) is needed, the concept of adding SA Challenge Tuple to ranging response (RNG-RSP) message in general IEEE 802.16e portable Internet system In the present invention, the SA-TEK Update TLV included in the SA-TEK Response message is transmitted instead of the SA Challenge Tuple. This allows the base station to simply send a ranging response (RNG-RSP) message without performing the SA-TEK 3-way handshake, eliminating unnecessary steps in network reentry or handover situations. have.
도 4는 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서 네트워크로의 재진입할 때의 SA-TEK 3단계 기능을 도시한 흐름도이다.FIG. 4 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention.
도 4를 참조하면, 이동 단말(400)이 404단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국(402)과 네트워크 재진입 및 핸드오버를 수행하고, 406단계에서 기지국(402)은 레인징 응답(RNG-RSP) 메시지의 HO process optimization TLV의 bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)을 1로 세팅하여 전송하고, 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 삽입하지 않고 전송한다. 이동 단말(400)은 네트워크 재진입과 핸드오버 상태에서 수신한 레인징 응답 메시지의 보안 관련 식별자 업데이트(SAID_update) 필드 포함 여부를 확인하고, 보안 관련 식별자 업데이트(SAID_update)가 포함된 경우 SAID의 업데이트를 처리하면 기존의 SA-TEK 3단계 절차의 주기능이 수행되는 셈이다. 즉, 기지국(402)은 406단계에서 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 삽입하지 않고 전송함으로써, 도 3의 304단계, 307 ~ 312단계를 생략할 수 있다. Referring to FIG. 4, in
도 5는 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서 네트워크로의 재진입할 때의 SA-TEK 3단계 기능을 도 시한 흐름도이다. 일반적인 IEEE 802.16e 시스템에서는 500단계에서와 같이 레인징 요청(RNG-REQ)메시지를 통해 이동 단말이 핸드오버나 idle 모드로부터 네트워크 재진입을 시도할 때, 레인징 응답(RNG-RSP) 메시지에 SA 챌린지 튜플(SA Challenge Tuple)을 추가하여 SA-TEK 3단계 절차를 계속 진행한다.5 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the second embodiment of the present invention. In a typical IEEE 802.16e system, as in
상기 SA-TEK 3단계 절차 과정의 SA-TEK 응답(SA-TEK Response) 메시지는 기지국이 단말에 SA 및 TEK 업데이트 사항을 알려 주는 역할을 하는 요소를 포함하고 있다. 따라서 본 발명의 제2 실시 예에서는 SA-TEK 응답(SA-TEK Response)메시지의 SA-TEK Update TLV를 레인징 응답(RNG-RSP) 메시지에 첨부하여 SA 및 TEK의 업데이트가 동시에 가능하도록 구성함으로써 SA-TEK 3단계 절차를 생략하게 된다. 따라서 기지국(402)에서는 SA-TEK Update TLV가 포함된 레인징 응답(RNG-RSP) 메시지의 전송만으로 SA-TEK 3단계 절차의 주 기능을 처리할 수 있다. 즉, 도 5에서는 기지국(402)이 502단계에서 SA-TEK Update TLV를 레인징 응답(RNG-RSP) 메시지에 첨부하여 전송함으로써 도 3의 304단계, 307 ~ 312단계를 생략할 수 있다. The SA-TEK Response (SA-TEK Response) message of the three-step SA-TEK procedure includes an element that the base station informs the UE of the SA and TEK update. Therefore, according to the second embodiment of the present invention, the SA-TEK Update TLV of the SA-TEK Response message is attached to the ranging response (RNG-RSP) message so that the SA and TEK can be updated simultaneously. The three-step SA-TEK procedure is omitted. Therefore, the
도 6은 본 발명의 제1 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서 네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 이동 단말 순서도이다.FIG. 6 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the first embodiment of the present invention.
도 6을 참조하면, 이동 단말이 602단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국과 네트워크 재진입 및 핸드오버를 수행하고, 604단계에서 HO process optimization TLV의 bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)이 1로 세팅된 레인징 응답(RNG-RSP) 메시지를 수신한다. 606 단계에서 레인징 응답(RNG-RSP) 메시지의 보안 관련 정보 갱신을 지시하는 SAID_update TLV 필드를 확인하고, 상기 레인징 응답 메시지에 SAID-Update TLV가 포함되었다면 상기 SAID-Update TLV 필드에 정의되어 있는 것과 같이 이동 단말의 SA를 갱신 한다.Referring to FIG. 6, the mobile terminal performs network reentry and handover with a base station through a ranging request (RNG-REQ) message in
반면 상기 606단계의 검사결과 SAID_update TLV 필드가 포함되지 않았다면 이동 단말은 610단계에서 SA 챌린지 튜플(SA Challenge Tuple)이 첨부 되어 있는지 확인한다. 확인 결과 SA 챌린지 튜플(SA Challenge Tuple)이 없으면 SA-TEK 3단계 절차를 종료하고, SA 챌린지 튜플(SA Challenge Tuple)을 확인하면 612단계로 진행하여 도 3에 도시된 것과 같은 기존의 IEEE 802.16e가 제시하는 방법으로 SA-TEK 3단계 절차를 수행한다. On the other hand, if the SAID_update TLV field is not included in the check result of
도 7은 본 발명의 제2 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말이 핸드오버 또는 idle 모드에서 네트워크로 재진입할 때의 SA-TEK 3단계 기능을 도시한 이동 단말 순서도이다.FIG. 7 is a flowchart illustrating a three-stage SA-TEK function when a mobile terminal re-enters a network in a handover or idle mode in the portable Internet system according to the second embodiment of the present invention.
도 7을 참조하면, 이동 단말이 702단계에서 레인징 요청(RNG-REQ) 메시지 등을 통해 기지국과 네트워크 재진입 및 핸드오버를 수행하고, 704단계에서 HO process optimization TLV의 bit #1(Omit PKM Authentication phase except TEK phase during current re-entry Processing)이 1로 세팅된 레인징 응답(RNG-RSP) 메시지를 수신한다.Referring to FIG. 7, the mobile terminal performs network reentry and handover with a base station through a ranging request (RNG-REQ) message in
그리고 706 단계에서 이동 단말은 레인징 응답 메시지에 보안 관련-트래픽 인크립션 키 업데이트 지시 정보인 SA-TEK Update TLV 가 포함되었는지를 검사하고 포함되었다면 708단계로 진행한다. 708단계에서 이동 단말은 상기 SA-TEK Update TLV를 확인하고, 상기 레인징 응답 메시지의 보안 관련-트래픽 인크립션 키 업데이트 지시 정보인 SA-TEK Update TLV를 근거로 이미 저장된 SA와 TEK를 갱신한 후 종료한다. 반면 상기 706단계의 검사결과 수신한 레인징 응답(RNG-RSP)메시지에서 SA-TEK Update TLV를 확인할 수 없으면 SA-TEK 3단계 절차를 종료한다.In
도 8은 본 발명의 실시 예에 따른 휴대 인터넷 시스템에서 이동 단말(400)과 기지국(402)의 블록 구성도이다.8 is a block diagram of a
이동 단말(400)의 송수신부(400b)는 기지국(402)과 무선 통신을 수행하며, 수신된 신호를 복조하여 제어부(400a)로 제공하고 제어부(400a)에서 생성한 신호를 부호한 후 변조하여 안테나를 통해 기지국(402)으로 전송한다. 제어부(400a)는 네트워크로 재진입 하거나 핸드오버 상황이 발생하였을 때 기지국(402)으로 전송할 레인징 요청(RNG-REQ) 메시지를 생성하여 전송한다.The transmitter /
본 발명의 제1 실시 예에 따라 이동 단말(400)이 기지국(402)으로 레인징 요청(RNG-REG) 메시지를 전송한 후 SA 챌린지 튜플(SA Challenge Tuple)이 포함되지 않은 레인징 응답(RNG-RSP) 메시지를 수신하면 제어부(400a)에서는 일반적인 IEEE 802.16e 시스템에서 수행하는 3단계 절차(3-way handshake)를 수행하지 않고 SAID_update 필드가 제시한 SA로 갱신한다. 반면 상기 SA 챌린지 튜플(SA Challenge Tuple)이 설정된 레인징 응답(RNG-RSP) 메시지를 수신할 경우에는 제어부(400a)는 상기 3단계 절차를 수행한다.According to the first embodiment of the present invention, after the
그리고 제2 실시 예에 따라 제어부(400a)는 기지국(402)으로 레인징 요 청(RNG-REG) 메시지 송신 후에 기지국(402)으로부터 SA-TEK Update TLV가 포함된 레인징 응답(RNG-RSP) 메시지를 수신하면 SA 및 TEK를 업데이트하고 상기 3단계 절차를 수행하지 않는다.According to the second exemplary embodiment, the
기지국(402)에서 송수신부(402a)는 이동 단말(400)과 무선으로 통신을 수행하며 이동 단말(400)로부터 수신된 신호를 복조하여 복호하여 스케줄러 및 제어부(402b)로 제공하거나 스케줄러 및 제어부(402b)에서 생성한 신호를 부호화한 후 변조하여 안테나를 통해 이동 단말(400)로 전송한다.In the
스케줄러 및 제어부(402b)는 본 발명의 실시 예에 따라 이동 단말(400)이 핸드오버 상태나 idle 모드에서 네트워크로 재진입할 때 레인징 응답(RNG-RSP) 메시지의 SA 챌린지 튜플(SA Challenge Tuple)을 생략함으로써 이동 단말(400)과의 SA-TEK 3단계 절차를 생략할 수도 있으며, 제1 실시 예에 따라 SAID의 변경이 필요할 경우에는 레인징 응답(RNG-RSP) 메시지에 보안 관련 식별자 업데이트(SAID_update) 필드를 포함하여 전송한다. 반면 TEK의 변경이 필요한 경우에는 상기 SA 챌린지 튜플(SA Challenge Tuple)을 설정한 레인징 응답(RNG-RSP) 메시지를 이동 단말(400)로 전송하여 상기 3단계 절차를 수행하게 한다. 또한 제2 실시 예에 따라 스케줄러 및 제어부(402b)는 SA와 TEK의 업데이트가 필요할 경우 SA-TEK Update TLV를 포함한 레인징 응답(RNG-RSP) 메시지를 이동 단말(400)로 전송함으로써 이동 단말(400)이 SA와 TEK를 업데이트하며, SA-TEK 3단계 절차를 생략할 수 있다. According to an embodiment of the present invention, the scheduler and the
상술한 바와 같은 본 발명의 실시 예들에 따른 개선 방안을 살펴보면 다음과 같다. 먼저 본 발명의 제1 실시 예에서는 이동 단말(400)이 idle 모드로부터 네트 워크로 재진입 또는 핸드오버를 수행 중이고 HO process optimization 필드의 두 번째 비트(#1)가 1일 때, 기지국(402)이 전송하는 레인징 응답(RNG-RSP) 메시지 내에 TEK의 업데이트가 없고, SA의 업데이트가 있을 경우 일반적인 SA-TEK 3단계 절차 기능은 기지국(402)이 레인징 응답(RNG-RSP) 메시지내의 SA 챌린지 튜플(SA Challenge Tuple)은 생략하고, 보안 관련 식별자 업데이트(SAID_update) 필드를 사용하여 대체할 수 있다.Looking at the improvement method according to the embodiments of the present invention as described above are as follows. First, in the first embodiment of the present invention, when the
그리고 본 발명의 제2 실시 예에서는, 이동 단말(400)과 기지국(402)사이에 SA-TEK 3단계 절차를 수행하는 대신에 기지국(102)이 레인징 응답(RNG-RSP) 메시지에 SA-TEK Update TLV를 첨부하여 수행함으로써 이동 단말(400)이 idle 모드에서의 네트워크로 재진입 또는 핸드오버에 대한 수행 효율을 높일 수 있게 한다.In the second embodiment of the present invention, instead of performing a three-stage SA-TEK procedure between the
이렇게 함으로써, 일반적인 IEEE 802.16e에서의 기지국(202)이 레인징 응답(RNG-RSP) 메시지를 송신하고, 이동 단말(200)이 SA-TEK 요청(SA-TEK Request) 메시지를 송신하고 기지국(202)이 SA-TEK 응답(SA-TEK Response) 메시지를 송신하는 3단계 과정이 제1 실시 예와 제2 실시 예에 따라 기지국(402)에서 레인징 응답(RNG-RSP) 메시지만을 전송함으로도 가능하게 되므로 핸드오버 또는 네트워크 재진입 속도가 빨라지게 된다.By doing so, the base station 202 in general IEEE 802.16e transmits a ranging response (RNG-RSP) message, the
일반적인 IEEE 802.16e 시스템에서는 이동 단말이 레인징 응답(RNG-RSP) 메시지를 수신하여 SA-TEK 요청(SA-TEK Request) 메시지를 전송한 후 기지국으로부터 SA-TEK 응답(SA-TEK Response) 메시지를 수신해야 하는데, 이 때 메시지 유실이 발생할 가능성이 있다. 메시지 유실이 발생하는 경우, 최대 (SATEKTimer(SATEK 타이 머가 계수한 시간) x (SATEKRequestMaxResends-1) +α )의 시간이 더 소요될 수 있다. 여기서 SATEKTimer는 SA-TEK 요청(SA-TEK Request)메시지를 전송한 후 상기 메시지를 재전송하기 위해 이동 단말이 대기하는 시간이며 이 시간 내에 SA-TEK 응답(SA-TEK Response) 메시지를 수신하지 못하면 SA-TEK 요청 메시지를 재전송한다. 참고로 규격상에서는 "Time Prior to re-send of SA-TEK Request(in seconds)"라고 정의하고 있으며, SATEK 타이머가 계수한 시간내에 SA-TEK 응답 메시지를 수신하지 못하면 SA-TEK 요청 메시지를 재전송한다. SATEKRequestMaxResends는 SA-TEK 요청(SA-TEK Request)메시지의 최대 재전송 수이며, 0≤α<SATEKTimer이다. In a typical IEEE 802.16e system, a mobile station receives a ranging response (RNG-RSP) message, sends a SA-TEK request message, and then sends a SA-TEK response message from a base station. It must be received, but there is a possibility of a message loss. If a message loss occurs, it may take more time (maximum (SATEKTimer (time counted by SATEK timer)) x (SATEKRequestMaxResends-1) + α). In this case, SATEKTimer is a time that a mobile terminal waits to retransmit the message after sending a SA-TEK request message and if it does not receive a SA-TEK response message within this time, the SA Resend the TEK request message. For reference, the standard defines "Time Prior to re-send of SA-TEK Request (in seconds)". If SA-TEK response message is not received within the time counted by the SATEK timer, the SA-TEK request message is retransmitted. . SATEKRequestMaxResends is the maximum number of retransmissions of SA-TEK Request messages, where 0≤α <SATEKTimer.
따라서 본 발명의 실시 예에서 기지국은 레인징 응답(RNG-RSP) 메시지만 전송하면 되므로 상술한 SA-TEK 요청(SA-TEK Request) 및 SA-TEK 응답(SA-TEK Response) 메시지 송수신에 발생할 수 있는 지연을 방지할 수 있다. Therefore, in the embodiment of the present invention, since the base station only needs to transmit a ranging response (RNG-RSP) message, the base station may occur in the transmission and reception of the SA-TEK Request and SA-TEK Response messages. Delays can be prevented.
본 발명에서의 또 다른 효과는, 시스템상의 빠른 처리 속도록 인하여 이동 단말이 핸드오버를 수행할 때 핸드오버의 성공 확률을 높일 수 있다. 일반적으로 이동 통신 시스템에서는 셀 경계에서 메시지 유실이 발생할 수 있고, 이로 인한 메시지 재전송이 발생할 수 있다. IEEE 802.16e 시스템에서 제안하는 SA-TEK 요청(SA-TEK Request) 메시지 및 SA-TEK 응답(SA-TEK Response) 메시지를 수신하기 위한 타이머는 비교적 큰 값을 갖는다. 따라서 메시지 유실이 발생하는 경우 재전송으로 인한 비교적 긴 지연 시간으로 셀 경계에 위치한 이동 단말이 핸드오버를 종료하기 전에 또는 idle 모드에서의 네트워크 재진입이 완료되기 전에 해당 셀을 벗어날 수 있는 확률이 커지게 된다. 이러한 과정에서 이동 단말은 동기를 잃고 네 트워크로 재접속을 수행해야 한다. 본 발명의 실시 예에서는 상술한 바와 같이 다시 핸드오버를 수행하지 못하고, 이동 단말이 동기를 잃은 경우 발생하는, 네트워크 재접속에 의한 지연시간도 방지할 수 있다.Another effect of the present invention is to increase the probability of handover success when the mobile terminal performs handover due to the fast processing speed on the system. In general, in a mobile communication system, message loss may occur at a cell boundary, and thus message retransmission may occur. The timer for receiving a SA-TEK Request message and a SA-TEK Response message proposed by the IEEE 802.16e system has a relatively large value. Therefore, when a message is lost, a relatively long delay time due to retransmission increases the probability that a mobile terminal located at a cell boundary can leave the cell before terminating handover or before network reentry in idle mode is completed. . In this process, the mobile station loses synchronization and must reconnect to the network. In the embodiment of the present invention, as described above, the handover may not be performed again, and delay time due to network reconnection, which occurs when the mobile terminal loses synchronization, may be prevented.
상술한 바에 따르면 이동 단말의 네트워크로의 재진입 또는 핸드오버 상황 시의 절차를 간략화 함으로써 이동 단말과 기지국간의 지연 시간을 감소시켜 전체 시스템의 성능을 향상시킬 수 있다.As described above, by simplifying the procedure in the case of reentry or handover of the mobile terminal into the network, the delay time between the mobile terminal and the base station can be reduced, thereby improving the performance of the entire system.
Claims (24)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070108038A true KR20070108038A (en) | 2007-11-08 |
KR100969782B1 KR100969782B1 (en) | 2010-07-13 |
Family
ID=39063145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060040777A KR100969782B1 (en) | 2006-05-04 | 2006-05-04 | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100969782B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010098551A2 (en) * | 2009-02-26 | 2010-09-02 | 엘지전자 주식회사 | Security performance negotiation method and a tek management method |
KR20110041963A (en) * | 2009-10-16 | 2011-04-22 | 삼성전자주식회사 | Method and system for encryption in wireless communicaton system |
WO2011112058A3 (en) * | 2010-03-12 | 2012-01-12 | 엘지전자 주식회사 | Zone switching method in a broadband wireless access system having regard to security association and device for same |
US9031036B2 (en) | 2009-02-13 | 2015-05-12 | Samsung Electronically Co., Ltd. | Apparatus and method for supporting intra-base station handover in a multi-hop relay broadband wireless communication system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100612651B1 (en) * | 2004-02-02 | 2006-08-16 | 한국전자통신연구원 | Method for dynamic allocating Mobile address by Mobile IP in wireless portable internet system |
KR100695216B1 (en) * | 2004-05-17 | 2007-03-14 | 에스케이 텔레콤주식회사 | System and Method for Minimizing of Handoff Interruption Time By Simplifying Authorization Procedure for Handoff for use in High-Speed Portable Internet Network |
KR100703175B1 (en) * | 2004-05-17 | 2007-04-05 | 에스케이 텔레콤주식회사 | System and Method for Minimizing of Handoff Interruption Time By Optimizing IP Address Assignment Procedure during Handoff for use in High-Speed Portable Internet Network |
KR100946886B1 (en) * | 2006-02-07 | 2010-03-09 | 삼성전자주식회사 | Method for network entry in a wireless mobile communication system |
-
2006
- 2006-05-04 KR KR1020060040777A patent/KR100969782B1/en not_active IP Right Cessation
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9031036B2 (en) | 2009-02-13 | 2015-05-12 | Samsung Electronically Co., Ltd. | Apparatus and method for supporting intra-base station handover in a multi-hop relay broadband wireless communication system |
WO2010098551A2 (en) * | 2009-02-26 | 2010-09-02 | 엘지전자 주식회사 | Security performance negotiation method and a tek management method |
WO2010098551A3 (en) * | 2009-02-26 | 2010-10-28 | 엘지전자 주식회사 | Security performance negotiation method and a tek management method |
US8538025B2 (en) | 2009-02-26 | 2013-09-17 | Lg Electronics Inc. | Security performance negotiation method and a TEK management method |
KR20110041963A (en) * | 2009-10-16 | 2011-04-22 | 삼성전자주식회사 | Method and system for encryption in wireless communicaton system |
WO2011112058A3 (en) * | 2010-03-12 | 2012-01-12 | 엘지전자 주식회사 | Zone switching method in a broadband wireless access system having regard to security association and device for same |
US8948130B2 (en) | 2010-03-12 | 2015-02-03 | Lg Electronics Inc. | Zone switching method in a broadband wireless access system having regard to security association and device for same |
Also Published As
Publication number | Publication date |
---|---|
KR100969782B1 (en) | 2010-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8046583B2 (en) | Wireless terminal | |
US8306229B2 (en) | Method for managing network key and updating session key | |
KR100832893B1 (en) | A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
EP1946580B1 (en) | Method of providing security for relay station | |
US8627092B2 (en) | Asymmetric cryptography for wireless systems | |
KR100605822B1 (en) | Broadcasting service method and system using encryption in mobile telecommunication system | |
EP2288195B1 (en) | Method and apparatus for operating a base station in a wireless communication system | |
CN101405987B (en) | Asymmetric cryptography for wireless systems | |
US20060094401A1 (en) | Method and apparatus for authentication of mobile devices | |
US20060233376A1 (en) | Exchange of key material | |
US20090276629A1 (en) | Method for deriving traffic encryption key | |
CN102106111A (en) | Method of deriving and updating traffic encryption key | |
WO2007004824A1 (en) | Authentication system and method thereof in a communication system | |
JP2011525346A (en) | Position privacy support method | |
JP2011524669A (en) | Control signal encryption method | |
WO2006136090A1 (en) | A method for preventing the replay attack and a method for ensuring the non-repetition of the message sequence number | |
KR20070051233A (en) | System and method for re-authenticating using twice extensible authentication protocol scheme in a broadband wireless access communication system | |
CN111615837B (en) | Data transmission method, related equipment and system | |
US20100257364A1 (en) | Apparatus and method for processing authentication of handover ranging message in wireless communication system | |
AU2010284792B2 (en) | Method and apparatus for reducing overhead for integrity check of data in wireless communication system | |
KR20050109685A (en) | Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system | |
KR100969782B1 (en) | Authentication method and apparatus using privacy key management protocol in wireless broadband internet system | |
Jha et al. | A journey on wimax and its security issues | |
JP2008048212A (en) | Radio communication system, radio base station device, radio terminal device, radio communication method, and program | |
JP4677784B2 (en) | Authentication method and system in collective residential network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130627 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140627 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150629 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160629 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170629 Year of fee payment: 8 |
|
LAPS | Lapse due to unpaid annual fee |