KR20090076755A - Pre-Authentication method for Inter-RAT Handover - Google Patents
Pre-Authentication method for Inter-RAT Handover Download PDFInfo
- Publication number
- KR20090076755A KR20090076755A KR1020080064482A KR20080064482A KR20090076755A KR 20090076755 A KR20090076755 A KR 20090076755A KR 1020080064482 A KR1020080064482 A KR 1020080064482A KR 20080064482 A KR20080064482 A KR 20080064482A KR 20090076755 A KR20090076755 A KR 20090076755A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- network
- terminal
- message
- target
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Abstract
Description
본 발명은 무선접속 시스템에 관한 것으로서, 상이한 관리 도메인에 의해 운영되는 이종망간 핸드오버 시 선인증 수행방법에 관한 것이다.The present invention relates to a wireless access system, and more particularly, to a method of performing pre-authentication upon handover between heterogeneous networks operated by different management domains.
이하 일반적인 핸드오버 절차 및 IEEE 802.16 표준에서 정의하고 있는 PKM(Privacy and Key Management Sublayer)을 이용한 인증절차에 관하여 간략하게 설명한다.Hereinafter, a brief description will be given of a general handover procedure and an authentication procedure using a PKM (Privacy and Key Management Sublayer) defined in the IEEE 802.16 standard.
도 1은 핸드오버 및 초기 망 진입 절차를 설명하기 위한 흐름도이다.1 is a flowchart illustrating a handover and initial network entry procedure.
도 1을 참조하면, 단말(MS: Mobile Station)은 핸드오버 및 초기 망 진입시 셀을 선택한다(S101, S102). 셀 선택은 단말이 네트워크 연결이나 핸드오버를 위한 적당한 기지국을 찾기 위해 하나 이상의 기지국과 스캐닝(Scanning)이나 레인징(Ranging)을 수행하는 절차이다. 단말은 기지국으로의 초기 망 진입 또는 타겟 기지국으로 핸드오버 가능성을 판단하기 위해 스캔 구간이나 슬립 구간을 스케줄링할 수 있다.Referring to FIG. 1, a mobile station (MS) selects cells during handover and initial network entry (S101 and S102). Cell selection is a procedure in which a terminal performs scanning or ranging with one or more base stations to find a suitable base station for network connection or handover. The terminal may schedule a scan interval or a sleep interval to determine an initial network entry to the base station or a possibility of handover to the target base station.
단말은 초기 망 진입시 서빙 기지국과의 동기 및 하향링크 파라미터를 획득 할 수 있다(S103). 서빙 기지국(SBS: Serving Base Station)은 현재 단말이 진입하고자 하는 망에서 서비스를 제공하는 기지국을 말한다. 단말은 서빙 기지국과의 동기를 획득한 후에 서빙 기지국으로의 상향링크 파라미터를 획득하고(S104), 서빙 기지국과 레인징 절차를 수행하며 상향링크 파라미터를 조정한다(S105). 이상의 과정을 통해 단말과 서빙 기지국은 통신을 위한 기본 기능을 형성하게 된다(S106). 서빙 기지국은 단말을 인가하고 키(key)를 교환한다(S107). 이로써 단말은 서빙 기지국에 등록되고(S108), IP 연결이 설정된다(S109). The UE may acquire synchronization and downlink parameters with the serving base station when the initial network enters (S103). A serving base station (SBS) refers to a base station that provides a service in a network to which a terminal is currently entering. After acquiring synchronization with the serving base station, the terminal acquires an uplink parameter to the serving base station (S104), performs a ranging procedure with the serving base station, and adjusts the uplink parameter (S105). Through the above process, the terminal and the serving base station form a basic function for communication (S106). The serving base station authorizes the terminal and exchanges a key (S107). In this way, the terminal is registered with the serving base station (S108), and the IP connection is established (S109).
서빙 기지국은 단말에 동작 파라미터들을 전송하여 단말의 통신 절차를 수행하게 한다(S110). 또한, 단말과 서빙 기지국 간에 연결이 설립되어(S111), 단말과 기지국은 정상적인 동작을 수행할 수 있다(S112). 단말은 서빙 기지국에서 정상적인 동작을 수행하는 도중에도 계속해서 인접 기지국을 탐색할 수 있다(S113). 이는 단말이 이동 과정에서 서빙 기지국으로부터 멀어짐에 따라 서빙 기지국에서 제공되는 서비스의 품질이 약해지므로 보다 나은 서비스를 제공할 수 있는 기지국을 탐색하기 위해서이다. 이때, 서비스 기지국보다 나은 서비스를 제공하는 인접 기지국을 타겟 기지국(TBS: Target Base Station)이라 하며, 타겟 기지국을 탐색하여 단말은 핸드오버를 수행할 수 있다.The serving base station transmits operating parameters to the terminal to perform the communication procedure of the terminal (S110). In addition, since a connection is established between the terminal and the serving base station (S111), the terminal and the base station may perform a normal operation (S112). The terminal may continue to search for neighboring base stations even while performing normal operation in the serving base station (S113). This is to search for a base station that can provide a better service because the quality of the service provided by the serving base station becomes weaker as the terminal moves away from the serving base station in the moving process. In this case, an adjacent base station that provides a better service than the service base station is called a target base station (TBS), and the terminal may perform handover by searching for the target base station.
일반적으로 핸드오버는 단말이 서빙 기지국에서 타겟 기지국으로 셀 영역을 이동하는 경우에 발생하는 것이다. 핸드오버는 단말이 무선 인터페이스, 서비스 플로우 및 망 접속점을 서빙 기지국에서 타겟 기지국으로 전환하는 것이다. 핸드오버는 단말, 서빙 기지국 또는 망 관리자에서 핸드오버를 결정하는 것으로 시작된 다(S114).In general, the handover occurs when the terminal moves the cell area from the serving base station to the target base station. Handover is when the terminal switches the air interface, service flow and network access point from the serving base station to the target base station. The handover begins with determining the handover in the terminal, the serving base station or the network manager (S114).
단말은 타겟 기지국을 선택하고(S115), 타겟 기지국과 동기 획득 및 하향링크 파라미터를 획득할 수 있다(S116). 단말은 타겟 기지국의 상향링크 파라미터를 획득하고(S117), 타겟 기지국과 레인징 및 상향링크 파라미터를 조정할 수 있다(S118). 이때, 단말이 타겟 기지국의 식별자, 주파수 및 상향/하향 채널 디스크립터(UCD/DCD)를 포함한 NBR-ADV 메시지를 미리 수신하였다면 스캔 과정과 동기화 절차가 간소화될 수 있다. 타겟 기지국이 백본망을 통해 서빙 기지국으로부터 핸드오버 통보를 수신하였다면 비경쟁 방식의 초기 레인징 기회를 UL-MAP으로 제공할 수 있다.The terminal may select a target base station (S115), and acquire synchronization and downlink parameters with the target base station (S116). The terminal may acquire an uplink parameter of the target base station (S117), and adjust the ranging and uplink parameters with the target base station (S118). In this case, if the UE previously received an NBR-ADV message including the identifier, frequency, and uplink / downlink channel descriptor (UCD / DCD) of the target base station, the scanning process and the synchronization procedure may be simplified. If the target base station receives the handover notification from the serving base station through the backbone network, it may provide a non-competitive initial ranging opportunity to the UL-MAP.
이상의 절차를 통해 단말과 타겟 기지국은 기본 기능을 형성하게 되고(S119), 단말과 타겟 기지국은 레인징을 수행하여 망 재진입 절차를 시작한다. 또한, 단말은 타겟 기지국에 재등록 및 재연결이 설정된다(S120). 이로써 단말은 타겟 기지국에 등록되며(S121), 타겟 기지국의 IP 연결도 단말에 재설정 된다(S122). 이로써, 타겟 기지국은 서빙 기지국이 되어 단말에 서비스를 제공할 수 있다. Through the above procedure, the terminal and the target base station form a basic function (S119), and the terminal and the target base station perform ranging to start a network reentry procedure. In addition, the terminal is re-registered and reconnected to the target base station is set (S120). As a result, the terminal is registered in the target base station (S121), and the IP connection of the target base station is also reset in the terminal (S122). As a result, the target base station may serve as a serving base station and provide a service to the terminal.
도 1에서 핸드오버를 하는 경우를 다시 설명하면, 단말은 스캐닝을 통해 얻은 인접 기지국들에 대한 정보를 통해 셀을 재선택하고, 서빙 기지국에서 타겟 기지국으로 핸드오버를 수행할 수 있다. 따라서, 단말은 타겟 기지국과 동기화 및 레인징 절차를 수행한다. 이후, 타겟 기지국에서 단말에 대한 재인가(reauthorization)가 수행되는데, 이때, 타겟 기지국은 백본 망(Backbone Network)을 통해 서빙 기지국에게 단말에 대한 정보를 요청할 수 있다.Referring back to the case of performing a handover in FIG. 1, the terminal may reselect a cell based on information on neighboring base stations obtained through scanning, and perform handover from the serving base station to the target base station. Accordingly, the terminal performs a synchronization and ranging procedure with the target base station. Thereafter, re-authorization of the terminal is performed by the target base station. In this case, the target base station may request information on the terminal from the serving base station through a backbone network.
타겟 기지국이 보유하는 단말과 관련된 정보에 따라 핸드오버 및 망 재진입(Network Reentry) 절차가 많이 감소할 수 있다. 또한, 타겟 기지국이 보유하는 단말에 대한 정보의 양에 따라서 몇 가지 망 진입(Network Entry) 절차들이 생략될 수 있다.Handover and network reentry procedures may be greatly reduced according to information associated with a terminal held by the target base station. In addition, some network entry procedures may be omitted depending on the amount of information on the terminal possessed by the target base station.
도 2는 일반적인 IEEE 802.16 시스템의 단말에 대한 인증절차를 설명하기 위한 흐름도이다.2 is a flowchart illustrating an authentication procedure for a terminal of a general IEEE 802.16 system.
도 2는 현재 쓰이고 있는 인증절차에 관한 것으로서, 개략적인 메시지의 흐름과 정보의 전송형태를 나타내고 있다. 다만, 단말(MS, 200)이나 기지국(BS, 220) 또는 인증서버(AAA Server: Authentication, Authorization, Accounting Server, 240)에서 송수신하는 정보들을 포함하는 메시지들의 형태는 다양할 수 있다.Figure 2 relates to the authentication process currently in use, showing a schematic message flow and information transmission form. However, the types of messages including information transmitted and received by the terminal (MS) 200, the base station (BS, 220) or the authentication server (AAA Server: Authentication, Authorization, Accounting Server, 240) may vary.
도 2를 참조하면, 단말(200)이 망에 진입하고자 하는 경우, 단말(200)은 기지국(220)과 동기(Synchronization)를 획득하고 레인징(Ranging)을 수행한다. 이후 단말(200)과 기지국(220)은 SBC-REQ/RSP 메시지를 통해 서로 간에 초기성능에 대한 협의(Basic Capability Negotiation)를 수행한다(S201).Referring to FIG. 2, when the
다음 표 1은 일반적으로 이동단말과 기지국이 초기성능을 협상하기 위한 SBC-REQ/RSP 메시지의 일례를 나타낸다. Table 1 below shows an example of the SBC-REQ / RSP message for negotiating the initial performance between the mobile station and the base station.
표 1에서 SBC-REQ(Subscribe Station Basic Request) 메시지는 초기화시 단말에 의해 전송된다. 또한, 이에 대한 응답으로서 기지국에서는 SBC-RSP(Subscribe Station Basic Response) 메시지를 단말에 전송한다. SBC-REQ/RSP 메시지는 단말과 기지국간의 기본능력을 협상하기 위한 메시지이다.In Table 1, a SBC-REQ (Subscribe Station Basic Request) message is transmitted by the terminal upon initialization. In addition, as a response, the base station transmits a SBC-RSP (Subscribe Station Basic Response) message to the terminal. The SBC-REQ / RSP message is a message for negotiating the basic capability between the terminal and the base station.
기본능력 협상은 레인징이 끝난 직후에 단말이 자신의 기본 능력(basic capabilities)을 기지국에 알리고자 하는 것이다. 표 1에서 SBC-REQ/RSP 메시지에는 반드시 포함되어야 하는 파리미터들 이외에 선택적으로 포함될 수 있는 파라미터들이 존재한다. Basic capability negotiation is to inform the base station of its basic capabilities immediately after the end of ranging. In Table 1, the SBC-REQ / RSP message includes parameters that may be optionally included in addition to the parameters that must be included.
보안연계(SA: Security Association)란 IEEE 802.16 기반의 네트워크 전반에 걸쳐 안전한 통신을 지원하기 위해 기지국과 하나 이상의 단말이 공유하는 보안정보들의 집합체를 말한다. 표 1에서 보안연계와 관련된 것으로서 인가정책 지원(Authorization Policy Support) 필드와 보안협상(Security Negotiation) 파라미터들이 있다.A security association (SA) refers to a collection of security information shared by a base station and one or more terminals to support secure communication over an IEEE 802.16 based network. As related to security association in Table 1, there are Authorization Policy Support field and Security Negotiation parameter.
인가정책 지원 필드는 SBC-REQ/RSP 메시지에 포함되는 필드의 한가지로서, 단말과 기지국이 협상하고 동기를 맞춰야하는 인가정책을 명시한다. 인가정책 지원필드가 생략되면 단말 및 기지국은 X.509 인증서와 RSA 공개키 알고리즘을 갖는 IEEE 802.16 보안을 인가정책으로 사용해야 한다. The authorization policy support field is one of the fields included in the SBC-REQ / RSP message, and specifies an authorization policy to be negotiated and synchronized between the terminal and the base station. If the authorization policy support field is omitted, the terminal and the base station should use IEEE 802.16 security with X.509 certificate and RSA public key algorithm as authorization policy.
표 2는 일반적으로 사용되는 인가정책 지원(Authorization Policy Support) 필드의 일례들을 나타낸다.Table 2 shows examples of commonly used Authorization Policy Support fields.
상기 표 2에 포함될 수 있는 보안협상 파라미터 필드는 초기 인가절차나 재인가(Reauthorization) 절차를 수행하기 전에 협상하여야 하는 보안 능력(Security Capabilities)을 지원하는지 여부를 명시한다.The security negotiation parameter field that may be included in Table 2 specifies whether to support security capabilities that must be negotiated before performing an initial authorization procedure or a reauthorization procedure.
표 3은 일반적으로 사용되는 보안협상(Security Negotiation) 파라미터 필드의 일례를 나타낸다.Table 3 shows an example of a commonly used Security Negotiation parameter field.
한편, 상기 표 3의 PKM 버전 지원(PKM Version Support) 필드는 PKM 버전(PKM Version)을 명시한다. 즉, 단말과 기지국이 하나의 PKM 버전을 사용하기 위해 서로 협상한다. Meanwhile, the PKM Version Support field of Table 3 specifies a PKM Version. That is, the terminal and the base station negotiate with each other to use one PKM version.
표 4는 일반적으로 사용되는 PKM 버전 지원(PKM version Support) 필드의 일례를 나타낸다.Table 4 shows an example of a commonly used PKM version support field.
다시 도 2를 참조하면, 단말(200)은 기지국(220)을 통해 인증서버(240)로 확장가능 인증 프로토콜(EAP: Extensible Authentication Protocol)을 요청한다. 이에 응답하여, 인증서버(240)는 단말(200)에 EAP 인증방법을 통해 사용자에 대한 인증을 수행한다(S202).Referring back to FIG. 2, the
EAP 인증방법으로 EAP-TLS의 경우 X.509 인증서를 사용하는 방법이 가능하며, EAP-SIM의 경우 가입자 식별 모듈(SIM: Subscriber Identity Module)과 같은 특정한 형태의 신용 보증서를 사용하는 방법이 가능하다. 다만 시스템의 요구사항에 따라, 공개키 암호방식을 이용한 암호 알고리즘을 사용하는 RSA 인증방식이 사용될 수도 있다.For EAP-TLS, it is possible to use X.509 certificates for EAP authentication, and for EAP-SIM, it is possible to use certain types of credit certificates such as Subscriber Identity Module (SIM). . However, depending on the requirements of the system, the RSA authentication method using a cryptographic algorithm using a public key cryptography may be used.
S202 단계에서 단말(또는, 사용자)에 대한 인증이 성공적으로 완료되면, 인증서버(240)에서 EAP 기반 인증방식을 통해 마스터 세션 키(MSK: Master Session Key)를 생성한다. 인증서버는 MSK를 단말 및 기지국에 전송한다(S203, S204). If authentication of the terminal (or user) is successfully completed in step S202, the
인증 키(AK: Authorization Key)는 PMK(EAP 기반 인증방식)를 이용하여 단말(200) 및 기지국(220)에서 생성될 수 있다(S205). 단말(200) 및 기지국(220)은 MSK를 이용하여 AK를 생성할 수 있고, AK는 단말(200)과 기지국(220) 사이에 통신을 위한 TEK(Traffic Encryption Key)를 생성하기 위해 사용된다.An authentication key (AK) may be generated at the terminal 200 and the
단말(200)과 기지국(220)은 3-Way 핸드세이킹(handshaking)을 통해 TEK를 공유한다(S206). 3-Way 핸드세이킹은 SA-TEK 챌린지(SA-TEK challenge), SA-TEK 요청, SA-TEK 응답의 3 단계 핸드세이킹을 통해 수행된다. 이때 실제 데이터를 암호화하기 위해 사용되는 TEK를 생성해서 단말(200)과 기지국(220)이 공유한다.The terminal 200 and the
인증 절차를 수행하여 AK를 생성한 기지국(220)과 단말(200)은 TEK를 공유하고 이후 망 진입 절차를 수행한다(S207).The
상술한 바와 같이, 종래의 이동 통신 시스템에서는 이종 무선접속망간 핸드오버시의 보안연계에 대해서는 기술된 것이 없다. 예를 들어, IEEE 802.16 망을 사용하는 단말이 다른 무선접속 시스템으로 핸드오버를 할 경우, 이를 위한 인증 및 보안연계를 설정하는 방법에 대해서 정의되어 있지 않다. As described above, in the conventional mobile communication system, there is no description of security association in handover between heterogeneous radio access networks. For example, when a terminal using an IEEE 802.16 network makes a handover to another wireless access system, a method for setting authentication and security association for the wireless 802.1 transmission system is not defined.
또한, 일반적인 통신 환경에서는 멀티모드 단말의 이기종 무선접속망간 핸드오버를 수행하는 경우, 새로운 망과 제 2 계층 핸드오버를 수행하는 과정에서 인증 및 암호화 키 획득절차를 새로 수행해야 한다. 이는 사용자 서비스의 제공에 상당한 지연을 초래할 수 있으며, 데이터 손실 가능성도 있다.In addition, in a general communication environment, when performing a handover between heterogeneous radio access networks of a multimode terminal, an authentication and encryption key acquisition procedure must be newly performed in the process of performing a new network and a second layer handover. This can result in significant delays in the provision of user services, and possibly data loss.
또한 통신중인 단말이 한 무선접속망에서 다른 무선접속망으로 이동하여 접속점이 바뀔 경우, 핸드오버 동작으로 인해 서비스의 연속성이 훼손될 수 있다. 접속점의 변경은 관리 도메인(Administrative Domain)이 변경으로 이어질 수 있다. 이는 필연적으로 새로운 인증절차를 수반하게 되고, 인증을 수행함에 의해 발생되는 처리시간의 지연은 핸드오버 절차의 종료를 늦추게 되어 결과적으로 현재 서비스 중인 멀티미디어 세션에 심각한 영향을 줄 수 있다. In addition, when a communication terminal moves from one radio access network to another radio access network and the access point is changed, the continuity of the service may be damaged due to the handover operation. Changes in access points can lead to changes in the administrative domain. This inevitably entails a new authentication procedure, and the delay in processing time caused by performing the authentication delays the termination of the handover procedure, which may seriously affect the multimedia session currently in service.
본 발명은 상기한 바와 같은 일반적인 기술의 문제점을 해결하기 위하여 안출된 것이다. 즉, 본 발명에서는 복수의 관리도메인들에 의해 운용되는 Inter-RAT 핸드오버시 선인증을 통한 보안연계를 설정하는 방법을 제안한다.The present invention has been made to solve the problems of the general technology as described above. That is, the present invention proposes a method for establishing a security association through pre-authentication in an Inter-RAT handover operated by a plurality of management domains.
본 발명의 목적은 복수의 관리도메인들에 의해 운용되는 통신망간의 Inter-RAT 핸드오버시 선인증 방법을 제공하는 것이다.An object of the present invention is to provide a pre-authentication method for inter-RAT handover between communication networks operated by a plurality of management domains.
본 발명의 다른 목적은 상이한 접속망간의 접근을 허용함으로써 이종망간 핸드오버를 지원하여 사용자 환경을 향상시키는 것이다.It is another object of the present invention to improve user experience by supporting handover between heterogeneous networks by allowing access between different access networks.
상기의 기술적 과제를 해결하기 위해, 본 발명은 무선접속 시스템에 관한 것으로서, 상이한 관리 도메인에 의해 운영되는 이종망간 핸드오버 시 선인증 수행방법에 관한 것이다.In order to solve the above technical problem, the present invention relates to a wireless access system, and relates to a method for performing pre-authentication upon handover between heterogeneous networks operated by different management domains.
본 발명의 일 양태로서 이종망간 신속한 핸드오버를 수행하기 위해 핸드오버 전에 선인증을 수행하는 방법은, (a) 선인증에 필요한 단말 정보를 포함하는 메시지를 타겟망 인증서버로 전송하는 단계와 (b) 타겟 인증서버로부터 단말 정보를 이용하여 생성된 타겟망의 보안관련 정보를 수신하는 단계와 (c) 타겟망의 보안관련 정보를 이용하여 단말이 타겟망에서 사용할 보안관련 정보를 생성하여 선인증을 수행하는 단계를 포함할 수 있다.According to an aspect of the present invention, a method for performing pre-authentication before handover to perform fast handover between heterogeneous networks includes: (a) transmitting a message including terminal information necessary for pre-authentication to a target network authentication server; b) receiving security related information of the target network generated by using the terminal information from the target authentication server; and (c) pre-authenticating by generating security related information to be used by the terminal by using the security related information of the target network. It may include the step of performing.
상기 방법에서 단말 정보는 선인증을 명시하는 정보, 서빙망 식별자, 서빙 인증서버 식별자, 타겟망 식별자, 단말 식별자 및 단말의 매체접근제어 주소 중 하나 이상을 포함하는 것이 바람직하다. In the method, the terminal information preferably includes at least one of information specifying pre-authentication, a serving network identifier, a serving authentication server identifier, a target network identifier, a terminal identifier, and a medium access control address of the terminal.
상기 방법에서 타겟망의 보안관련 정보는 RAND(Random Number), AUTN(Authentication Token), 메시지 인증 코드(Message Authentication Code) 및 보호익명(Pseudonym) 정보 중 하나 이상을 포함하는 것이 바람직하다.In the above method, the security-related information of the target network may include at least one of random number (RAND), authentication token (AUTN), message authentication code, and protection anonymous information.
상기 방법에서 단말의 보안관련 정보는 단말에서 무결성 키 및 암호 키를 이용하여 생성될 수 있다. In the above method, the security related information of the terminal may be generated using the integrity key and the encryption key in the terminal.
본 발명의 다른 양태로서, 이종망간 신속한 핸드오버를 수행하기 위해 핸드오버 전에 선인증을 수행하는 방법은, 단말로부터 수신한 선인증에 필요한 단말 정보를 타겟망 인증서버로 전송하는 단계와 타겟망 인증서버로부터 타겟망의 보안관련 정보를 수신하여 단말에 전송하는 단계와 단말의 보안관련 정보를 수신하여 타겟 인증서버로 전송하는 단계를 포함할 수 있다.In another aspect of the present invention, a method for performing pre-authentication before handover to perform fast handover between heterogeneous networks includes transmitting terminal information necessary for pre-authentication received from a terminal to a target network authentication server and target network authentication. Receiving the security-related information of the target network from the server and transmitting to the terminal and receiving and transmitting the security-related information of the terminal to the target authentication server.
본 발명의 또 다른 양태로서, 이종망간 신속한 핸드오버를 수행하기 위해 핸드오버 전에 선인증을 수행하는 방법은, (a) 단말 정보를 포함하는 메시지를 수신하는 단계와 (b) 홈 가입자 서버로부터 타겟망에서 사용되는 인증정보들을 추출하는 단계와 (c) 단말 정보 및 인증정보를 이용하여 타겟망의 보안관련 정보를 생성하는 단계와 (d) 타겟망의 보안관련 정보를 단말로 전송하는 단계를 포함할 수 있다. In still another aspect of the present invention, a method for performing pre-authentication before handover to perform fast handover between heterogeneous networks includes: (a) receiving a message including terminal information and (b) receiving a target from a home subscriber server. Extracting authentication information used in the network; (c) generating security related information of the target network using the terminal information and authentication information; and (d) transmitting security related information of the target network to the terminal. can do.
또한, 상기 방법은 (e) 타겟망의 보안관련 정보를 이용하여 생성된 단말의 보안관련 정보를 수신하는 단계와 (f) 타겟망의 보안관련 정보를 포함하는 메시지 를 타겟망 인증자로 전송하는 단계와 (g) 단말과 핸드오버를 수행하는 단계를 더 포함하는 것이 바람직하다. In addition, the method includes the steps of (e) receiving security related information of the terminal created using the security related information of the target network, and (f) transmitting a message including the security related information of the target network to the target network authenticator. And (g) preferably further comprises the step of performing a handover with the terminal.
또한, 상기 메시지 및 상기 보안관련 정보는 투명하게 타겟망 인증자를 통해 단말로 전달될 수 있다. 이때, 상기 메시지 및 상기 보안관련 정보는 타겟망 인증자 및 서빙 인증자를 통해 단말로 전달될 수 있다. In addition, the message and the security-related information may be transparently delivered to the terminal through the target network authenticator. In this case, the message and the security-related information may be delivered to the terminal through a target network authenticator and a serving authenticator.
본 발명에 따르면 다음과 같은 효과가 있다.According to the present invention has the following effects.
첫째, 본 발명은 이동단말이 이종망간 핸드오버를 수행하는 경우, 시간이 많이 소요되는 인증절차를 새로운 접속점으로 핸드오버 전에 미리 수행하여 유무선 통신을 위한 빠른 보안연계를 설정하고, 서비스의 품질 저하를 감소시킬 수 있다.First, when the mobile terminal performs a handover between heterogeneous networks, a time-consuming authentication procedure is performed before handover to a new access point to set up a fast security association for wired and wireless communication, and reduce the quality of service. Can be reduced.
둘째, 본 발명은 멀티모드 이동단말이 IEEE 계열의 망으로부터 다른 IEEE 계열의 망으로 이동하거나 3GPP 망과 같은 비 IEEE 계열의 망으로 이종망간 핸드오버를 수행할 경우, 선인증을 수행하고 보안관련 키 재료(Keying Material)들을 획득하는 방법을 제공한다. 따라서, 핸드오버 절차를 빠르게 수행하도록 지원함에 의해 사용자 입장에서 끊김 없는 서비스를 제공할 수 있다.Second, the present invention performs pre-authentication and security key when multi-mode mobile terminal moves from IEEE-based network to other IEEE-based network or performs handover between heterogeneous networks to non-IEEE-based network such as 3GPP network. Provides a method of obtaining Keying Materials. Therefore, it is possible to provide a seamless service from the user's point of view by supporting to perform the handover procedure quickly.
이하에서 설명할 본 발명의 실시예들은 무선접속 시스템에 관한 것으로서, 상이한 관리 도메인에 의해 운영되는 이종망간 핸드오버 시 선인증 수행방법에 관한 것이다.Embodiments of the present invention to be described below are related to a wireless access system and to a method for performing pre-authentication upon handover between heterogeneous networks operated by different management domains.
이하의 실시예들은 본 발명의 구성요소들과 특징들을 소정 형태로 결합한 것 들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성할 수도 있다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다.The following embodiments combine the components and features of the present invention in a predetermined form. Each component or feature may be considered to be optional unless otherwise stated. Each component or feature may be embodied in a form that is not combined with other components or features. In addition, some components and / or features may be combined to form an embodiment of the present invention. The order of the operations described in the embodiments of the present invention may be changed. Some components or features of one embodiment may be included in another embodiment or may be replaced with corresponding components or features of another embodiment.
본 명세서에서 본 발명의 실시예들은 기지국과 단말 간의 데이터 송수신 관계를 중심으로 설명되었다. 여기서, 기지국은 단말과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미를 갖는다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다.In the present specification, embodiments of the present invention have been described based on data transmission / reception relations between a base station and a terminal. Here, the base station has a meaning as a terminal node of the network that directly communicates with the terminal. The specific operation described as performed by the base station in this document may be performed by an upper node of the base station in some cases.
즉, 기지국을 포함하는 다수의 네트워크 노드들(network nodes)로 이루어지는 네트워크에서 단말과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있음은 자명하다. '기지국'은 고정국(fixed station), Node B, eNode B(eNB), 억세스 포인트(access point) 등의 용어에 의해 대체될 수 있다. 또한, '단말'은 UE(User Equipment), MS(Mobile Station), MSS(Mobile Subscriber Station) 등의 용어로 대체될 수 있다.That is, it is obvious that various operations performed for communication with a terminal in a network composed of a plurality of network nodes including a base station may be performed by the base station or other network nodes other than the base station. A 'base station' may be replaced by terms such as a fixed station, a Node B, an eNode B (eNB), an access point, and the like. In addition, the term "terminal" may be replaced with terms such as a user equipment (UE), a mobile station (MS), a mobile subscriber station (MSS), and the like.
본 발명의 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.Embodiments of the invention may be implemented through various means. For example, embodiments of the present invention may be implemented by hardware, firmware, software, or a combination thereof.
하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.In the case of a hardware implementation, the method according to embodiments of the present invention may include one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs). Field programmable gate arrays (FPGAs), processors, controllers, microcontrollers, microprocessors, and the like.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.In the case of an implementation by firmware or software, the method according to the embodiments of the present invention may be implemented in the form of a module, a procedure, or a function that performs the functions or operations described above. The software code may be stored in a memory unit and driven by a processor. The memory unit may be located inside or outside the processor, and may exchange data with the processor by various known means.
이하의 설명에서 사용되는 특정(特定) 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.Specific terms used in the following description are provided to help the understanding of the present invention, and the use of the specific terms may be modified in other forms without departing from the technical spirit of the present invention.
본 발명의 실시예들은 단말이 이종망간(Inter-RAT) 핸드오버를 수행하는 경우, 핸드오버를 수행할 타겟 접속점과 링크계층에서의 핸드오버를 완료하기 전에 미리 인증을 수행함으로써, 현재 제공받는 서비스 품질에 가능한 적은 영향을 주도록 하는 선인증 방법에 관한 것이다.In the embodiments of the present invention, when the terminal performs inter-RAT handover, a service currently provided by performing authentication in advance before completing the handover at the target access point and link layer to perform the handover. It relates to a pre-certification method that has as little impact on quality as possible.
단일 관리 도메인에 의해 운용되는 동종(Homogeneous)의 통신환경에서는 인증서버를 거치지 않는 핸드오버 지원이 가능하다. 그러나, 복수의 관리 도메인들에 의해 운용되는 이종(Heterogeneous)의 통신환경에서는 핸드오버시 인증서버를 거쳐야한다. 왜냐하면, 인증기호(Authenticator) 타입과 인증서버의 능력에 따라 상이한 인증결과가 생성될 수 있기 때문이다. 예를 들어, EAP 기반 인증을 채택하는 IEEE 802.11 망과 IEEE 802.16 망간에 핸드오버가 발생할 때, 단일 관리도메인에 의해 두 접속망이 운용되는 경우에는 핸드오버시 큰 문제가 없다. 그러나, 복수의 관리 도메인들에 의해 이종망들이 운용되는 경우에는 각 관리 도메인의 인증서버를 거치지 않는 핸드오버 메커니즘은 존재할 수 없다. 따라서, 복수의 관리 도메인들에 의해 이종망들이 운용되는 경우를 위한 유연하고 효율적인 인증 메커니즘의 정의가 필요하다.In a homogeneous communication environment operated by a single management domain, handover support without using an authentication server is possible. However, in a heterogeneous communication environment operated by a plurality of management domains, the authentication server must pass through a handover. This is because different authentication results may be generated depending on the type of authenticator and the capability of the authentication server. For example, when handover occurs between an IEEE 802.11 network and an IEEE 802.16 network employing EAP-based authentication, when two access networks are operated by a single management domain, there is no problem in handover. However, when heterogeneous networks are operated by a plurality of management domains, there cannot be a handover mechanism that does not go through the authentication server of each management domain. Therefore, there is a need for the definition of a flexible and efficient authentication mechanism for the case where heterogeneous networks are operated by a plurality of administrative domains.
따라서, 이하 설명할 본 발명의 실시예들은 EAP를 인증 프레임워크로 채택하는 IEEE 802.16 무선접속망에 속하는 단말이 유사한 EAP 기반 인증 프레임워크를 수용하는 무선랜과 같은 기타 IEEE 802 계열의 무선접속망으로 핸드오버를 수행하거나 EAP를 기본 인증 프레임워크로 채택하지 않는 비 IEEE 계열의 무선접속망(예를 들어, 3GPP 망)으로 핸드오버를 수행하는 경우, 단말이 타겟망 접속점으로 링크계층 핸드오버를 완료하기 전에 선인증을 수행하고, 통신을 위한 키 재료(Keying material)를 설정하는 방법을 정의한다. 즉, 단말이 이종망간 핸드오버를 수행할 때, 시간이 많이 소요되는 인증절차를 새 접속점에 진입하기 전에 미리 수행하여 통신을 위한 빠른 보안연계(Security Association)를 설정하는 방법을 정의한다.Accordingly, embodiments of the present invention to be described below are handovered to other IEEE 802 series wireless access networks such as WLANs in which a terminal belonging to an IEEE 802.16 wireless access network adopting EAP as an authentication framework accommodates a similar EAP-based authentication framework. When performing a handover to a non-IEEE-based wireless access network (eg, 3GPP network) that does not adopt EAP as the basic authentication framework, the terminal may perform a handover before completing the link layer handover to the target network access point. Define how to perform authentication and set up keying material for communication. That is, when the terminal performs the handover between heterogeneous networks, it defines a method for establishing a fast security association for communication by performing a time-consuming authentication procedure before entering a new access point.
선인증(Pre-Authenticate)의 기본 개념은 단말이 핸드오버 수행 전에 현재 접속점뿐 아니라 인근 접속점들로 인증을 요청해서 미리 다수의 접속점들로부터 인 증을 받아놓는 것이다. 즉, 본 발명에서 제안하는 선인증 방법은 종래의 개념을 확장하여 이종망간 핸드오버가 발생하는 경우, 현재 접속망 및 인접한 타겟 접속망에서 미리 인증을 받는 것이다. 이를 통해, 선인증의 최종단계에서 타겟 접속망은 해당 단말과 관련된 키 재료(Keying meterial)들을 얻을 수 있다. 또한, 단말도 핸드오버 가능성이 있는 타겟 접속망에 미리 인증함과 동시에 키 재료들을 얻을 수 있다.The basic concept of pre-authenticate is that the terminal requests authentication from neighboring access points as well as the current access point before performing the handover, and receives the authentication from a plurality of access points in advance. In other words, the pre-authentication method proposed by the present invention extends the conventional concept and, when a handover between heterogeneous networks occurs, is authenticated in advance in the current access network and the adjacent target access network. Through this, in the final stage of pre-authentication, the target access network may obtain keying materials related to the corresponding terminal. In addition, the terminal can also obtain key materials while pre-authenticating to the target access network that may be handed over.
본 발명의 실시예들에서 설명되는 선인증 방법은 복수의 관리 도메인들에 의해 운용되는 망간의 Inter-RAT 핸드오버를 위한 것이다. 즉, 서빙망과 핸드오버가 예상되는 타겟망은 서로 다른 관리 도메인에 의한 상이한 접속기술에 기반을 둔다. 따라서, 서빙망과 타겟망은 기본적으로 상호간에 이종망간 핸드오버 동작을 지원해야 한다.The pre-authentication method described in the embodiments of the present invention is for inter-RAT handover between networks operated by a plurality of management domains. In other words, the serving network and the target network for which handover is expected are based on different access technologies by different management domains. Therefore, the serving network and the target network should basically support handover operation between heterogeneous networks.
선인증 방법은 단말이 타겟망에 접속하기 전에 미리 인증을 받고, 관련된 모든 접속기술들은 EAP를 필수적으로 지원함을 기본 전제로 한다. EAP 인증 프레임워크를 지원하지 않는 접속기술들의 경우에는 이를 중계하기 위한 AAA 서버의 사용이 필수적이며, 서빙망의 AAA 서버뿐만 아니라 타겟망의 AAA 서버도 선인증 절차의 수행을 지원해야 한다.The pre-authentication method is based on the premise that the terminal is previously authenticated before accessing the target network, and all related access technologies essentially support EAP. In case of access technologies that do not support the EAP authentication framework, the use of an AAA server to relay it is essential, and not only the AAA server in the serving network but also the AAA server in the target network must support the pre-authentication procedure.
본 발명의 실시예들에서 이종망이란 IEEE 802.16 망을 포함한 EAP 인증 프레임워크를 수용하는 IEEE 802 계열의 망뿐 아니라 3GPP 및 3GPP2 등과 같은 비 IEEE 망에 명시된 링크들도 포함한다. 또한, 단말에서 사용되는 다중모드는 복수의 라디오 표준을 제공하고, 동시에 하나 이상의 라디오 인터페이스에 대해 연결을 지원하 는 상태를 의미한다.In the embodiments of the present invention, the heterogeneous network includes not only an IEEE 802 family of networks that accepts an EAP authentication framework including an IEEE 802.16 network, but also links specified in non-IEEE networks such as 3GPP and 3GPP2. In addition, the multi-mode used in the terminal means a state in which a plurality of radio standards are provided and support connection to one or more radio interfaces at the same time.
IEEE 802.16m 시스템은 이종망간 핸드오버 지원에 대한 요구사항을 만족시켜야 한다. 이때, 핸드오버를 수행하고자 하는 인접망의 타입이나 관련 정보는 복수의 라디오 인터페이스를 갖는 멀티모드 단말에 의해 파악될 수 있다. 이러한 정보들을 바탕으로 단말은 핸드오버가 예상되는 타겟망으로 선인증을 요청할 수 있고, 선인증이 성공적으로 이뤄지면 해당 망에서 사용가능한 키 재료들을 획득할 수 있다. The IEEE 802.16m system must satisfy the requirements for inter-network handover support. In this case, the type or related information of the neighbor network to perform handover may be grasped by the multimode terminal having a plurality of radio interfaces. Based on this information, the terminal may request pre-authentication to the target network for which handover is expected, and if pre-authentication is successful, the terminal may acquire key materials available in the corresponding network.
IEEE 802.16e 시스템의 기본능력 협상과정은 레인징이 종료된 후, 단말과 기지국이 SBC-REQ 및 SBC-RSP 메시지를 교환함에 의해 수행된다. 이때 단말은 자신의 기본 능력을 SBC-REQ 메시지를 통해 서빙망에 알려줄 수 있다. 또한 기지국은 이에 대한 응답으로 SBC-RSP 메시지를 통해 기지국과 단말의 능력이 공통되는 부분에 대해 단말에 알려줄 수 있다.The basic capability negotiation process of the IEEE 802.16e system is performed by the terminal and the base station exchanging SBC-REQ and SBC-RSP messages after ranging is completed. In this case, the UE may inform the serving network of its basic capability through an SBC-REQ message. In addition, the base station may inform the terminal about the part of the common capability of the base station and the terminal through the SBC-RSP message in response to this.
본 발명에서 제안하는 선인증 방법의 수행을 위해서 SBC-REQ 및 SBC-RSP 메시지에 이종망간 선인가정책 지원(Inter-RAT Re-Authorization Policy Support) 파라미터를 더 포함시킬 수 있다.In order to perform the pre-authentication method proposed by the present invention, the SBC-REQ and SBC-RSP messages may further include Inter-RAT Re-Authorization Policy Support parameters.
다음 표 5는 본 발명의 실시예에서 사용되는 수정된 SBC-REQ 및 SBC-RSP 메시지의 일례를 나타낸다.Table 5 below shows examples of modified SBC-REQ and SBC-RSP messages used in the embodiment of the present invention.
표 5에서 SBC-REQ 및 SBC-RSP 메시지에 추가되는 이종망간 선인가정책 지원 파라미터는 단말이 다른 관리 도메인의 상이한 무선접속망으로 핸드오버를 수행하는 경우, 단말과 망이 협상하고 동기를 맞춰야 하는 선인가 정책을 정의한다. 이종망간 선인가정책 지원 파라미터는 종래의 인가정책 지원과 마찬가지로 SBC-REQ 및 SBC-RSP 메시지의 인코딩에 포함되는 필드이다.In Table 5, the heterogeneous network grant policy support parameter added to the SBC-REQ and SBC-RSP messages is a grant policy that the terminal and the network need to negotiate and synchronize when the terminal performs handover to a different radio access network in another management domain. Define. The heterogeneous network grant policy support parameter is a field included in the encoding of SBC-REQ and SBC-RSP messages as in the conventional grant policy support.
만약, 이종망간 선인가정책 지원 파라미터가 생략되면, 단말과 서빙망은 선인증 방법을 지원하지 않는다. 이 경우, 단말과 기지국은 선인증 방법을 수행하지 않으므로, 일반적인 인가 방법을 수행하게 된다. 즉, 단말과 기지국은 X.509 인증서와 RSA 공개키 암호화 알고리즘 혹은 EAP를 사용하는 IEEE 802.16 보안을 기본 인가정책으로 사용한다. 따라서, 단말은 IEEE 802.16 망 이외의 다른 접속망으로 핸드오버를 수행하는 경우 처음부터 타겟망의 인증서버와 인증을 수행하고 보안관련 키 재료들을 획득해야 한다.If the heterogeneous network grant policy support parameter is omitted, the terminal and the serving network do not support the pre-authentication method. In this case, since the terminal and the base station do not perform the pre-authentication method, it performs a general authorization method. That is, the terminal and the base station use X.509 certificate and RSA public key encryption algorithm or IEEE 802.16 security using EAP as the basic authorization policy. Therefore, when performing a handover to an access network other than the IEEE 802.16 network, the terminal should perform authentication with the authentication server of the target network from the beginning and obtain security-related key materials.
다음 표 6은 본 발명의 실시예에서 사용되는 이종망간 선인가정책 지원(Inter-RAT Pre-Authorization Policy Support) 파라미터의 TLV(타입, 길이 및 값)를 나타낸다.Table 6 below shows TLVs (types, lengths, and values) of Inter-RAT Pre-Authorization Policy Support parameters used in the embodiments of the present invention.
한편, 표 5에서 보안협상(Security Negotiation) 파라미터 필드는 단말이 이종망으로 핸드오버를 수행하는 경우, 선인가절차 전에 협상 되어야 하는 보안능력을 포함해야 한다. 따라서, 보안협상 파라미터 필드는 다음 표 7과 같이 수정될 수 있다.Meanwhile, in Table 5, the Security Negotiation parameter field should include a security capability to be negotiated before the authorization procedure when the terminal performs handover to heterogeneous networks. Therefore, the security negotiation parameter field may be modified as shown in Table 7 below.
다음 표 7은 본 발명의 실시예에서 사용되는 보안협상 파라미터의 TLV를 나타낸다.Table 7 below shows TLVs of security negotiation parameters used in an embodiment of the present invention.
다음 표 8은 수정된 이종망간 인가정책 지원(Inter-RAT Authorization Policy Support) 필드의 TLV를 나타낸다.Table 8 below shows the TLVs of the modified Inter-RAT Authorization Policy Support field.
표 8을 참조하면, 수정된 인가정책 지원 필드는 이종망간 핸드오버시 RSA에 기반한 선인가정책 지원 여부를 나타내거나, EAP에 기반한 선인가정책 지원 여부를 나타낼 수 있다.Referring to Table 8, the modified authorization policy support field may indicate whether a pre-license policy is supported based on RSA when handover between heterogeneous networks, or may indicate whether a pre-license policy is supported based on EAP.
다음 표 9는 표 7에 포함되는 PKM(Privacy Key Management) 버전 지원(PKM Version Support) 필드의 TLV를 나타낸다.Table 9 below shows a TLV of a PKM (Privacy Key Management) version support (PKM Version Support) field included in Table 7.
단말이 핸드오버를 수행하고자 하는 인접망의 타입이나 정보는 스캐닝에 의해 이뤄진다. 스캐닝의 동작시점이나 주기는 실제 망의 구현이나 운용정책에 따라 달라질 수 있다. 본 발명에서는 단말의 다중모드 지원을 가정했으므로, 단말이 동시에 복수의 라디오 표준들을 수용할 수 있다. 따라서, 단말은 하나 이상의 무선 인터페이스와 연결을 설정할 수 있다.The type or information of the neighbor network to which the terminal intends to perform handover is made by scanning. The timing and period of scanning can vary depending on the actual network implementation or operation policy. In the present invention, since the multimode support of the terminal is assumed, the terminal may simultaneously accommodate a plurality of radio standards. Accordingly, the terminal may establish a connection with one or more air interfaces.
본 발명의 실시예들을 수행하기 위하여 몇 가지 보안 요구사항들이 존재한다. 예를 들어, 멀티모드 단말은 이종망간 핸드오버 지원을 위해 IEEE 802.16 망과의 연동을 위한 정보뿐 아니라 UICC/USIM 등을 탑재하여 IEEE 802.16 망 이외의 3GPP 망 등을 위한 정보를 활용할 수 있어야 한다. 또한, IEEE 802.16 망 이외의 이종망(3GPP)의 경우, 단말과 망에 의해 장기간 공유되는 비밀키와 같은 보안 컨텍스트들은 단말의 SIM 카드나 UICC 카드에 안정하게 저장될 수 있어야 한다. 또한, 3GPP 망 등 비 IEEE 망은 보호되는 인증의 성공이나 실패 여부를 지원할 수 있는 EAP 기반의 AAA 서버와 연계될 수 있어야 한다. 또한, IEEE 802.16 망은 3GPP 망이나 기타 이종망과의 연동을 위해 로밍협약을 맺고 있어야 한다. 또한, 서빙망의 인증서버와 타겟망의 인증서버간에 교환되는 인증의 성공/실패 여부나 보안 컨텍스트들에 대한 보호가 제공되어야 한다. 즉, 인가관련 정보들은 AAA 프로토콜을 통해 인증서버 상호간에 안전하게 교환될 수 있어야 한다. 또한, 사용자 식별자(예를 들어, IMSI, TMSI)의 보호를 위해, 사용자 식별자들이 노출되어서는 안된다.There are several security requirements for carrying out the embodiments of the present invention. For example, a multi-mode terminal should be able to utilize information for 3GPP network other than IEEE 802.16 network by loading UICC / USIM as well as information for interworking with IEEE 802.16 network for supporting handover between heterogeneous networks. In addition, in the case of heterogeneous networks (3GPP) other than the IEEE 802.16 network, security contexts such as a secret key shared by the terminal and the network for a long time should be stably stored in the SIM card or the UICC card of the terminal. In addition, non-IEEE networks such as 3GPP networks should be able to be associated with EAP-based AAA servers that can support the success or failure of protected authentication. In addition, the IEEE 802.16 network should have a roaming agreement for interworking with 3GPP networks or other heterogeneous networks. In addition, protection should be provided for the success / failure of authentication or security contexts exchanged between the authentication server of the serving network and the authentication server of the target network. That is, authorization-related information should be able to be exchanged securely between authentication servers through AAA protocol. In addition, for the protection of user identifiers (eg IMSI, TMSI), the user identifiers should not be exposed.
본 발명에서 제안하는 이종망간 핸드오버시 선인증 절차의 수행을 위해 PKM-REQ(PKM Request) 및 PKM-RSP(PKM Response) 등의 PKM 메시지가 사용될 수 있다.PKM messages such as PKM-REQ (PKM Request) and PKM-RSP (PKM Response) may be used to perform the pre-authentication procedure in the handover between heterogeneous networks proposed by the present invention.
다음 표 10 내지 표 12는 PKM 메시지들의 일례를 나타낸다.Tables 10 to 12 show examples of PKM messages.
다음 표 10은 본 발명의 실시예들에서 사용되는 PKM MAC 메시지의 일례를 나타낸다.Table 10 below shows an example of a PKM MAC message used in embodiments of the present invention.
도 10을 참조하면, PKM-REQ 메시지는 단말(SS)에서 기지국(BS)으로 PKM을 요청하기 위한 것이며, PKM-RSP 메시지는 기지국(BS)에서 단말(SS)로 PKM 응답을 위해 사용될 수 있다.Referring to FIG. 10, the PKM-REQ message is for requesting a PKM from the terminal SS to the base station BS, and the PKM-RSP message may be used for a PKM response from the base station BS to the terminal SS. .
다음 표 11은 본 발명의 실시예들에서 사용될 수 있는 PKM-REQ 메시지의 일례를 나타낸다.Table 11 below shows an example of a PKM-REQ message that can be used in embodiments of the present invention.
표 11을 참조하면, 관리 메시지의 타입(Management Message Type) 파라미터는 8비트의 크기로서 당해 메시지가 PKM-REQ 메시지임을 나타낸다. 코드(Code) 파라미터는 한 바이트의 길이를 갖으며, PKM 패킷의 타입을 나타낼 수 있다. 기지국은 단말로부터 타당하지 않은 코드를 갖는 PKM-REQ 메시지가 수신되면 그냥 삭제할 수 있다. PKM 식별자(PKM Identifier) 파라미터는 한 바이트의 길이를 갖으며, 단말은 자신의 PKM 요청에 대해 기지국의 응답을 연계시키기 위해 PKM 식별자 파라미터를 사용할 수 있다.Referring to Table 11, the Management Message Type parameter is 8 bits in size, indicating that the message is a PKM-REQ message. The code parameter has a length of one byte and may indicate a type of a PKM packet. If the base station receives a PKM-REQ message with an invalid code from the terminal can simply delete. The PKM Identifier parameter has a length of one byte, and the terminal may use the PKM identifier parameter to associate a response of the base station to its PKM request.
TLV 인코드 속성(TLV Encoded Attribute) 파라미터는 PKM-REQ 메시지의 속성을 타입(Type), 길이(Length) 및 값(Value)으로 나타낸 것이다. 따라서, 단말 및 기지국은 TLV 인코드 속성 파라미터를 이용하여 인증, 인가 및 키 관리 데이터를 교환할 수 있다. 각각의 PKM 패킷의 타입은 고유의 강제적 또는 선택적인 속성들을 갖는다. PKM 속성에 명시적으로 기술되지 않으면, PKM 메시지 내의 속성들의 순서는 임의적일 수 있다.The TLV Encoded Attribute parameter represents an attribute of a PKM-REQ message in a Type, Length, and Value. Accordingly, the terminal and the base station can exchange authentication, authorization, and key management data using the TLV encode attribute parameter. Each PKM packet type has its own mandatory or optional attributes. Unless explicitly stated in the PKM attributes, the order of the attributes in the PKM message may be arbitrary.
다음 표 12는 본 발명의 실시예들에서 사용될 수 있는 PKM-RSP 메시지의 일례를 나타낸다.Table 12 below shows an example of a PKM-RSP message that can be used in embodiments of the present invention.
표 12에 포함되는 파라미터들의 내용은 표 11의 파라미터들과 유사하다.The contents of the parameters included in Table 12 are similar to those of Table 11.
표 12를 참조하면, 관리 메시지의 타입(Management Message Type) 파라미터는 8비트의 크기로서 당해 메시지가 PKM-RSP 메시지임을 나타낸다. 코드(Code) 파라미터는 PKM 타입을 명시하며, 기지국은 단말로부터 타당하지 않은 코드를 갖는 PKM 패킷을 수신하면 이를 삭제할 수 있다. PKM 식별자 파라미터는 기지국에서 단말의 PKM-REQ 메시지에 대해 기지국의 PKM-RSP 메시지를 연계시키기 위해 사용된다. TLV 인코드 속성(TLV Encoded Attributes) 파라미터는 PKM-RSP 메시지의 속성을 나타내기 위해 사용될 수 있다. Referring to Table 12, the Management Message Type parameter is 8 bits in size, indicating that the message is a PKM-RSP message. The code parameter specifies a PKM type, and the base station may delete the PKM packet having an invalid code from the terminal. The PKM identifier parameter is used by the base station to associate the PKM-RSP message of the base station with the PKM-REQ message of the terminal. The TLV Encoded Attributes parameter may be used to indicate the attributes of the PKM-RSP message.
다음 표 13은 본 발명의 실시예들에서 사용되는 선인증 방법의 수행을 위해 추가된 PKM 메시지 코드(Code)를 나타낸다. Table 13 below shows a PKM message code added for performing the pre-authentication method used in the embodiments of the present invention.
표 13에서 PKM 메시지 코드에 새로이 정의된 몇 가지 메시지들을 추가하였다. 코드(Code) 번호가 제 0 내지 제 30인 PKM 메시지 코드는 일반적으로 사용되는 PKM 메시지를 나타낸다. 이때, 본 발명의 실시예들에서 사용되는 PKM 메시지 코드 번호는 제 31 내지 제 38이다. Table 13 adds some newly defined messages to the PKM message code. A PKM message code having a code number of 0 to 30 indicates a commonly used PKM message. In this case, PKM message code numbers used in the embodiments of the present invention are thirty-first to thirty-eighth.
제 31번 PKM 메시지 코드는 PKM 메시지가 선인증 시작요청(PKMv3 EAP Pre-Auth Start)을 위한 메시지임을 나타내고, 제 32번 PKM 메시지 코드는 본 발명에서 사용되는 EAP 전송(PKMv3 EAP-Transfer)을 위한 PKM 메시지를 나타내는데 사용된다. 또한, 제 33번 PKM 메시지 코드는 키 요청(PKMv3 Key Reuqest)를 위한 PKM 메시지를 나타내기 위해 사용될 수 있다. 제 34번 PKM 메시지 코드는 키 응답(Key Reply)를 위한 PKM 메시지를 나타내며, 제 35번 PKM 메시지 코드는 키 거절(Key Reject)를 위한 PKM 메시지를 나타낸다. 제 36번 PKM 메시지 코드는 인증된 EAP 선인증 시작(PKMv3 Authenticated EAP PreauthStart)을 나타내기 위한 것이며, 제 37번 PKM 메시지 코드는 인증된 EAP 선인증 전송(PKMv3 Authenticated EAP Preauth-Transfer)을 나타내기 위한 것이다. 또한, 제 38번 PKM 메시지 코드는 EAP 선인증 완료(PKMv3 EAP Preauth Complete)를 나타내기 위해 사용된다.PKM message code 31 indicates that the PKM message is for pre-authentication start request (PKMv3 EAP Pre-Auth Start), PKM message code 32 is used for the EAP transmission (PKMv3 EAP-Transfer) used in the present invention Used to indicate a PKM message. In addition, the 33rd PKM message code may be used to indicate a PKM message for a PKMv3 Key Reuqest. The thirty-fourth PKM message code represents a PKM message for a key reply, and the thirty-fifth PKM message code represents a PKM message for a key reject. The 36th PKM message code is for indicating PKMv3 Authenticated EAP PreauthStart and the 37th PKM message code is for indicating PKMv3 Authenticated EAP Preauth-Transfer. will be. In addition, the 38th PKM message code is used to indicate PKMv3 EAP Preauth Complete.
본 발명의 실시예들에서, 서빙망(Serving Network)의 단말은 타겟망으로 핸드오버를 수행하기 전에 선인증 절차를 수행할 수 있다. 각각의 타겟망은 고유의 인증 서버(AAA Server)를 운용하고, 인증을 위한 기능은 AAA 서버에 포함된다. 본 발명의 실시예들에서 단말, 서빙망, 타겟망 및 인증 서버간에 선인증이 이뤄지는 방법은 간접 선인증 방법 및 직접 선인증 방법의 두 가지 형태로 나눌 수 있다. 이는 서빙 인증 서버가 선인증 시그널링에 관여하는 형태에 따라 차이가 날 수 있다.In embodiments of the present invention, a terminal of a serving network may perform a pre-authentication procedure before performing a handover to a target network. Each target network runs its own authentication server (AAA Server), and the authentication function is included in the AAA server. In the embodiments of the present invention, a method of performing pre-authentication between a terminal, a serving network, a target network, and an authentication server may be divided into two types, an indirect pre-authentication method and a direct pre-authentication method. This may vary depending on the type of serving authentication server involved in pre-authentication signaling.
간접 선인증 방법은 선인증 시그널링에 서빙망이 관여하는 경우이다. 간접 선인증 방법은 보안상 타겟망과 단말 간의 IP 통신이 허용되지 않는 경우에 필요하다. 간접 선인증 시그널링은 단말 및 서빙망간의 시그널링, 서빙망 및 타겟망간 시그널링으로 구분될 수 있다. 이때, 서빙망과 타겟망간 시그널링에는 서빙망의 인증 서버와 타겟망의 인증 서버가 포함될 수 있다.The indirect preauthentication method is a case where the serving network is involved in preauthentication signaling. The indirect pre-authentication method is required when IP communication between the target network and the terminal is not allowed for security. Indirect pre-authentication signaling may be divided into signaling between the terminal and the serving network, signaling between the serving network and the target network. In this case, the signaling between the serving network and the target network may include an authentication server of the serving network and an authentication server of the target network.
직접 선인증 방법은 선인증 시그널링에 서빙망이 관여하지 않는 경우이다. 직접 선인증을 요청한다는 것은, 이동단말에서 서빙 인증서버를 거쳐 타겟망으로 선인증 요청을 하되, 서빙 인증서버가 선인증 절차에 관여하지 않고 단지 메시지를 중계(relay) 하는 것을 의미한다. 따라서, 선인증 시그널링은 단말에서 서빙 인증서버를 거쳐 타겟 인증 서버로 전달될 수 있다.The direct pre-authentication method is a case where the serving network is not involved in pre-authentication signaling. The direct request for pre-authentication means that the mobile terminal makes a pre-authentication request to the target network via the serving authentication server, but the serving authentication server does not participate in the pre-authentication procedure and merely relays the message. Therefore, the pre-authentication signaling may be delivered from the terminal to the target authentication server via the serving authentication server.
이하에서 설명할 도면들에서 각 화살표의 시작점 및 도착점은 각각 메시지가 전송되는 엔터티 및 수신되는 목적지의 엔터티를 나타낸다. 다만, 이동단말 또는 접속망에 포함된 엔터티간 메시지의 전달 경로를 모두 설명하지 않기로 한다. 물론, 설명하지 않는 부분이라도 도면을 참조하여 이해할 수 있다.In the drawings to be described below, the start point and the arrival point of each arrow indicate an entity of a message transmitted and an entity of a destination received, respectively. However, all the transmission paths of the messages between the entities included in the mobile terminal or the access network will not be described. Of course, even the part which is not demonstrated can be understood with reference to drawings.
도 3은 본 발명의 일 실시예로서, 이종망간 핸드오버시 이동단말이 간접 선인증을 수행하는 과정을 나타내는 도면이다.3 is a diagram illustrating a process of performing an indirect pre-authentication by a mobile terminal when handover between heterogeneous networks according to an embodiment of the present invention.
도 3에서 본 발명이 사용되는 시스템은 이동단말(MN: Mobile Node, 300), 서빙망으로서 IEEE 802.16 접속 네트워크(802.16 Access Network, 320), 서빙 인증 서버로서 IEEE 802.16 인증서버(802.16 AAA Server, 340), 타겟 인증 서버로서 3GPP 인증 서버(3GPP AAA Server, 360), 타겟망의 홈 가입자 서버(HSS: Home Subscriber Server, 380) 및 타겟망으로서 3GPP 접속 네트워크(3GPP Access Network, 390)로 구성될 수 있다. 이때, 이동단말(300)은 단말, 이동 노드 또는 이동국(MS: Mobile Station) 등 다양한 방법으로 기술될 수 있다. 또한, 서빙망이란 현재 이동단말에게 서비스를 제공하고 있는 망을 말하며, 타겟망은 이동단말이 핸드오버를 수행하고자 하는 목적망을 지칭한다.In FIG. 3, a system in which the present invention is used includes a mobile node (MN) 300, an IEEE 802.16 access network (320) as a serving network, and an IEEE 802.16 authentication server (802.16 AAA Server, 340) as a serving authentication server. ), A 3GPP authentication server (3GPP AAA Server, 360) as a target authentication server, a home subscriber server (HSS: 380) of a target network, and a 3GPP access network (3GPP access network, 390) as a target network. have. In this case, the
도 3에서 각 시스템의 구성요소들은 하나 이상의 엔터티로서 구성될 수 있다. 예를 들어, 이동단말(300)은 보안 엔터티(Security Entity), IP 엔터티, 802.16 링크 엔터티 및 3GPP 링크 엔터티를 포함할 수 있다. 이때, 이동단말(300)은 이종망간 핸드오버 지원을 위해 UICC/USIM 등을 탑재하여 IEEE 802.16 망과의 연동을 위한 정보뿐 아니라 3GPP 망 등을 위한 정보를 활용할 수 있다.In FIG. 3, the components of each system may be configured as one or more entities. For example, the
또한, 서빙망(320)은 802.16 링크 엔터티, NCMS(Network Control and Management System) 엔터티 및 보안 엔터티를 포함할 수 있다. 또한 타겟망(390)은 3GPP 링크 엔터티 및 보안 엔터티를 포함할 수 있다.In addition, the serving
도 3에서 각 화살표의 시작점 및 도착점은 각각 메시지가 전송되는 엔터티 및 수신되는 목적지의 엔터티를 나타낸다. 각각의 메시지가 전달되는 경로는 본 발명의 특징을 나타내는 부분에서만 설명하도록 한다. 물론, 설명하지 않는 부분이라도 도면을 참조하여 이해할 수 있다.In FIG. 3, the start point and the arrival point of each arrow indicate an entity of a message transmitted and an entity of a destination received, respectively. The route through which each message is delivered will be described only in the context of the features of the present invention. Of course, even the part which is not demonstrated can be understood with reference to drawings.
도 3에서 이동단말은 선인증 시작 메시지를 현재 서빙망을 통해 타겟망의 인증서버로 전달한다. 타겟 인증서버는 상기 이동단말에 대한 선인증을 수행한 후, 그 결과를 서빙망과 타겟망으로 전송한다. 선인증을 위해 사용되는 방법으로는 EAP-AKA(EAP-Authentication and Key Agreement) 방법을 사용하는 것을 가정한다. 이하 도 3을 상세히 설명한다.In FIG. 3, the mobile terminal transmits a pre-authentication start message to the authentication server of the target network through the current serving network. The target authentication server performs pre-authentication for the mobile terminal and then transmits the result to the serving network and the target network. As a method used for pre-authentication, it is assumed to use the EAP-Authentication and Key Agreement (EAP-AKA) method. 3 will be described in detail below.
도 3을 참조하면, 이동단말(300)은 서빙망(320)에 접속하여 EAP 기반의 인증을 통한 마스터 세션 키(MSK) 및 인증키(AK) 공유, 3-Way 핸드쉐이크(3-way Handshake)를 통한 TEK 공유 등의 과정을 수행할 수 있다(S301).Referring to FIG. 3, the
S301 단계는 도 2에서 설명한 인증절차와 유사하므로 자세한 설명은 도 2를 참조하는 것으로 대신한다. 다만, 인증절차가 수행되는 서빙망이 IEEE 802.16 망이 아닌 다른 IEEE 802 계열의 망인 경우, EAP에 기반을 둔 유사한 형태의 초기 인증절차가 이루어질 수 있다.Since step S301 is similar to the authentication procedure described with reference to FIG. 2, a detailed description will be replaced with reference to FIG. 2. However, when the serving network on which the authentication procedure is performed is an IEEE 802 series network other than the IEEE 802.16 network, a similar type of initial authentication procedure based on the EAP may be performed.
서빙망과 인증절차를 수행한 이동단말(300)은 스캐닝을 통해서 인근의 이종 망으로부터 신호를 수신하며, 인근 망 탐색 및 망 선택절차를 수행한다(S302).The
S302 단계의 스캐닝 결과로써, 이동단말(300)이 다른 관리 도메인에 의해 운용되는 망을 잠재적인 핸드오버 목적 망으로 결정했다고 가정한다. 본 발명의 실시예에서는 이종망으로서 3GPP 망을 예로 들어 설명한다.As a result of the scanning in step S302, it is assumed that the
단말(300)은 타겟망(390)과 선인증 절차를 수행하기 위해, 서빙망(320)으로 PKM EAP 선인증 시작 메시지(PKM EAP Pre-Auth Start message)를 전달할 수 있다. 예를 들어, 단말(300)의 상위계체인 보안 엔터티에서 802.16 링크 엔터티로 선인증 요청을 수행하고, 단말의 802.16 엔터티에서 서빙망(320)의 802.16 링크 엔터티로 선인증 요청 메시지를 전송하고, 서빙망(320)의 802.16 링크 엔터티는 서빙망(320)의 보안 엔터티로 선인증 요청 메시지를 전달한다. 또한, 서빙망(320)의 보안 엔터티는 서빙망의 인증서버를 거쳐 타겟망의 인증서버(360)로 선인증 요청 메시지를 전달할 수 있다(S303).The terminal 300 may transmit a PKM EAP Pre-Auth Start message to the
S303 단계에서, EAP 관련 메시지의 전송은 서빙망인 IEEE 802.16망에서는 서빙망 고유의 프로토콜로 포장(Encapsulation)되어 서빙망 인터페이스를 통해 이동단말로 전송되며, 서빙망 인증자(Authenticator)로부터 타겟망 인증자 및 인증서버 까지는 EAP 메시지가 AAA 프로토콜로 포장되어 전달된다.In step S303, the EAP-related message is encapsulated by a serving network-specific protocol in the IEEE 802.16 network, which is a serving network, and transmitted to a mobile terminal through a serving network interface, and the target network authenticator from the serving network authenticator. Up to the authentication server, the EAP message is packaged and delivered in the AAA protocol.
다음 표 14는 S303 단계에서 사용될 수 있는 PKM 선인증 시작 메시지의 속성을 나타낸다.Table 14 below shows attributes of the PKM pre-authentication start message that can be used in step S303.
표 14는 단말이 선인증 요청을 하기 위한 PKM 선인증 시작 메시지를 나타낸다. PKM 선인증 시작 메시지는 PKM 메시지의 하나로서 현재 접속망의 식별자, 현재 접속망 인증서버의 식별자, 타겟 접속망의 식별자, 이동단말의 식별자(IMSI), 이동단말의 MAC 주소, 이동단말이 지원하는 보안관련 능력 및 이동단말이 선인증을 수행하기 전에 협상해야 할 보안관련 능력등의 정보들을 포함할 수 있다.Table 14 shows a PKM pre-authentication start message for the terminal to pre-authentication request. The PKM preauthentication start message is one of the PKM messages. The identifier of the current access network, the identifier of the current access network authentication server, the identifier of the target access network, the identifier of the mobile terminal (IMSI), the MAC address of the mobile terminal, and the security-related capabilities supported by the mobile terminal. And security-related capabilities such as mobile terminals to negotiate before performing pre-authentication.
S303 단계를 통해 선인증 시작 메시지를 수신한 타겟 인증서버(360)는 EAP 선인증 요청/식별(EAP Preauth Request/Identity) 메시지를 서빙망(320)으로 전송한다. 또한, 서빙망(320)은 단말(300)에게 EAP 선인증 요청/식별(EAP Preauth Request/Identity) 메시지를 전달한다. 이때, EAP 요청/식별 메시지는 서빙망(320)의 고유 프로토콜을 통해 포장되어(Encapsulation) IEEE 802.16 인터페이스를 통해 단말(300)로 전송된다.The
단말(300)은 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 이용하여 자신의 식별자를 전송할 수 있다. 이는 3GPP TS 23.003에 명시된 NAI(Network Access Identifier)에 부합된다. EAP 선인증 응답/식별 메시지는 선인증을 명시하는 값, 현재 접속망(320)의 식별자, 현재 접속망 인증서버(340)의 식별자, 타겟 접속망(360)의 식별자 및 이동단말(300)의 MAC 주소를 포함할 수 있다. EAP 응답/식별 메시지는 단말(300)의 보안 엔터티에서 단말의 802.16 링크를 통해 서빙망의 802.16 링크로 전송된다. 또한, EAP 선인증 응답/식별 메시지는 서빙망의 802.16 링크를 통해 서빙망의 보안 엔터티 및 서빙망 인증서버를 거쳐 타겟 인증서버로 전달된다(S305).The terminal 300 may transmit its identifier using an EAP Preauth Response / Identity message. This conforms to the Network Access Identifier (NAI) specified in 3GPP TS 23.003. The EAP pre-authentication response / identification message indicates a pre-authentication value, an identifier of the
S305 단계에서 메시지는 NAI의 영역 파트(Realm Part)에 따라 현재 서빙망의 인증서버(340)를 거쳐서 적당한 인근의 3GPP 인증 서버로 전달되며, 전달경로는 하나 이상의 인증 서버들을 포함할 수 있다.In step S305, the message is delivered to the appropriate nearby 3GPP authentication server via the
S305 단계에서 타겟 인증서버(360)는 단말(300)의 식별자를 포함하는 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 수신한다. 이때, 타겟 인증서버(360)가 단말(300)이 전송한 PKM 선인증 시작 메시지에 포함된 인증방법은 인식했으나 단말(300)의 식별자를 인식하지 못한 경우에는, 타겟 인증서버(360)는 단말(300)에 의해 명시된 인증방법(EAP Method)을 사용하여 단말(300)에 새로운 식별자를 전송하도록 요구할 수 있다.In operation S305, the
이때, 타겟 인증서버(360)가 단말(300)의 식별자를 인식하면, 해당 단말에 대해 EAP-AKA 인증을 수행하기 위해 사용되지 않은 인증 파라미터들의 존재 여부를 확인할 수 있다. 만약 인증 파라미터가 없으면, 타겟 인증서버(360)는 HSS(380)로부터 일련의 새로운 인증 파라미터들을 추출할 수 있다(S306).In this case, when the
또한, S306 단계에서 타겟 인증서버(360)는 단말(300)의 임시 식별자(TMSI)와 IMSI(International Mobile Subscriber Identity) 및 MAC 주소의 매핑을 수행한다. 한번 인증이 이루어진 후에 사용되는 단말(300)의 식별자는 협의된 인증방법(EAP-AKA)에 의해 채택되는 임시식별자(IMSI)가 사용된다.In operation S306, the
타겟 인증서버(360)는 EAP 선인증 요청/AKA-식별 메시지(EAP Preauth Request/AKA-Identity)를 통해 단말의 식별자를 다시 요청할 수 있다(S307).The
S307 단계에서 EAP 선인증 요청/AKA-식별 메시지는 EAP 선인증 응답/식별 메시지를 통해 수신되는 단말의 식별자가 중간 노드들에 의해 변경된 경우에 수행되며, 변경되지 않은 경우에는 생략될 수 있다. EAP 선인증 요청/AKA-식별 메시지는 서빙망(320)을 통해 단말(300)에게 전달될 수 있다.In step S307, the EAP pre-authentication request / AKA-identification message is performed when the identifier of the terminal received through the EAP pre-authentication response / identification message is changed by the intermediate nodes, and may be omitted if it is not changed. The EAP pre-authentication request / AKA-identification message may be delivered to the terminal 300 through the serving
이동단말(300)은 EAP 선인증 요청/AKA-식별(EAP Preauth Request/AKA-Identity) 메시지에 대해 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지에서 사용한 것과 동일한 식별자로 응답한다. 이때, 서빙망(320)은 EAP 선인증 응답/AKA-식별(EAP Preauth Response/AKA-Identity) 메시지를 타겟 인증서버(360)로 전달하며, 상기 메시지에 포함된 식별자는 타겟 인증서버(340)에 의해 이후의 인증절차에서 사용될 수 있다(S308). The
만약, S307 단계 및 S308 단계의 두 가지 메시지에 포함된 식별자가 일치하지 않는 경우가 발생할 수 있다. 이 경우에는 이전에 HSS(또는, HLR)로부터 추출된 사용자 프로파일과 인증벡터는 사용될 수 없으므로, 새로운 사용자 프로파일과 인증벡터가 HSS로부터 추출되어야 한다.If the identifiers included in the two messages of step S307 and step S308 do not match. In this case, the user profile and authentication vector previously extracted from the HSS (or HLR) cannot be used, so a new user profile and authentication vector must be extracted from the HSS.
타겟 인증서버(360)는 IK(Integrity Key)와 CK(Cipher Key)로부터 새로운 키 재료(Keying Material)들을 생성한다. 키 재료들은 EAP-AKA에 의해 요구되는 보안관련 컨텍스트(Context)들이며, 타겟망(3GPP) 기술 고유의 기밀성이나 무결성 보호를 위해 사용된다. 또한, 인증받은 사용자에게 할당해주기 위한 새로운 익명(Pseudonym)이 생성된다(S309).The
또한, S309 단계 이전에 S306 단계가 다시 수행될 수 있다. 성능의 최적화를 위해 식별자 재요청 절차(S307~S308)는 타겟 인증서버(360)가 사용자를 EAP-AKA 사용자로 식별하기 위해 충분한 정보를 갖고 있지 않은 경우, 사용자 프로파일과 인증벡터가 추출되기 전에 수행되어야 한다.In addition, step S306 may be performed again before step S309. In order to optimize performance, identifier re-request procedures (S307 to S308) are performed before the user profile and authentication vector are extracted if the
타겟 인증서버(360)는 RAND(Random number), AUTN(Authentication), MAC(Message Authentication Code) 및 보호되는 익명(Pseudonym)을 EAP 선인증 요청/AKA-요구(EAP Preauth Request/AKA-Challenge) 메시지에 포함시키고, 서빙망(320)으로 전달할 수 있다. EAP 선인증 요청/AKA-요구 메시지는 서빙망(320)을 통해 단말(300)로 전송될 수 있다(S310).The
또한, S310 단계에서 타겟 인증서버(360)는 EAP 선인증 요청/AKA-요구 메시지에 결과지시(Result Indication) 파라미터를 포함시켜 이동단말(300)로 전송할 수 있다. 결과지시 파라미터는 인증절차의 맨 끝에서 성공 결과(Success Result) 메시지를 보호할지 여부를 명시하기 위한 것이다. 결과 메시지들의 보호 여부는 오퍼레이터(Operator)의 정책에 달려있다. 이 메시지에 CK와 IK를 포함시켜서 서빙망의 인증서버(340)로 전달하면, 서빙망 인증서버에 의해 추가적인 키 재료들이 생성된다. 추가적인 키 재료들에 의해 서빙망 고유의 기밀성(Confidentiality)과 무결성(Integrity)이 보장될 수 있다.In operation S310, the
이동단말(300)은 자신의 USIM 내에 존재하는 UMTS 알고리즘을 수행할 수 있다. 단말의 USIM(Universal Subscriber Identity Module)은 AUTN이 정확한지 여부를 검사하고, 망 인증을 수행한다. 만약 AUTN이 틀리면, 단말(300)은 인증에 실패한다. 한편, 순서번호가 동기화가 되어있지 않으면(Out-of-Sync), 단말(300)은 동기화 절차(Synchronization Procedure)를 시작한다. 만약 AUTN이 정확하면, USIM은 RES, IK 및 Kc를 생성한다. 단말(300)은 USIM에서 새롭게 계산된 IK, Kc를 사용하여 추가적인 키 재료들을 생성하고, 이를 통해 수신된 MAC을 확인할 수 있다. 보호된 익명(Pseudonym)이 수신되면, 단말(300)은 향후의 인증절차를 위해 이를 저장한다(S311).The
이동단말(300)은 새로운 키 재료들을 가지고 EAP 메시지에 대한 새 MAC 값을 계산한 후, 계산된 RES와 MAC값을 포함하는 EAP 선인증 응답/AKA-요구(EAP Preauth Response/AKA-Challenge) 메시지를 서빙망(320)으로 전송한다. 이동단말(300)은 타겟 인증서버(360)로부터 동일한 결과지시(Indication) 파라미터를 수신한 경우, EAP 선인증 응답/AKA-요구 메시지에 결과지시 파라미터를 포함시킨다. 이때, EAP 선인증 응답/AKA-요구(EAP Preauth Response/AKA-Challenge) 메시지는 서빙망(320)을 거쳐서 타겟 인증서버(360)로 전송된다(S312).The
타겟 인증서버(360)는 수신된 MAC을 검사하고, XRES를 수신된 RES와 비교한다. 이러한 과정을 통해 타겟 인증서버(360)는 이동단말(300)이 핸드오버를 수행하기 전에도, 이동단말(300)에 대한 인증절차를 수행할 수 있다(S313).The
S313 단계의 모든 검사가 성공적으로 이루어지면, 타겟 인증서버(360)는 타겟망(390)에서 사용되는 보안 컨텍스트들을 전달하기 위해 보안 컨텍스트 전송(3GPP Specific security context transfer) 메시지를 타겟망(390)으로 전송할 수 있다(S314).If all the checks in step S313 are successful, the
S314 단계에서 타겟망(390) 고유의 보안관련 파라미터들이 타겟 인증서버(360)로부터 타겟망(390)으로 전달된다. 타겟망 고유의 보안관련 파라미터들은 S311 단계에서 해당 단말에 대해 생성된 인증벡터들로써, 추가적으로 단말 식별자(IMSI, TMSI)와 관련된 정보들을 포함하며, MAP(Mobile Application Part) 프로토콜을 통해 전달될 수 있다. 타겟망 고유의 보안관련 파라미터들은 향후 타겟망(390)을 통한 인증절차가 발생할 경우를 위한 것이다. 보안 컨텍스트 전송 메시지를 통해 전송되는 정보 이외에 타겟망(390) 고유의 기밀성이나 무결성 보호를 위해 생성된 키 재료들이 추가로 포함될 수 있다. 타겟 인증서버(360)는 이를 AAA 프로토콜 메시지를 통해 타겟망(390)으로 전달한다. 타겟망(390)은 상기 키 재료들을 저장하여 인증된 이동단말(300)과 통신을 수행하는데 사용할 수 있다.In operation S314, security parameters specific to the
타겟 인증서버(360)는 보호되는 성공결과지시(Success Result Indication)를 사용하도록 이전에 요청받은 경우, EAP 성공 메시지의 전송에 앞서 EAP 선인증 요청/AKA-통지(EAP Preauth Request/AKA-Notification) 메시지를 서빙망을 통해 이동단말에 전송할 수 있다. EAP 선인증 요청/AKA-통지 메시지는 MAC을 통해 보호될 수 있다(S315).If the
이동단말(300)은 EAP 선인증 요청/AKA 통지 메시지에 대한 응답으로써, EAP 선인증 응답/AKA-통지(EAP Preauth Response/AKA Notification) 메시지를 서빙망(320)으로 전달할 수 있다(S316).The
S316 단계에서 서빙망(320)은 EAP 선인증 응답/AKA 통지 메시지를 타겟 인증서버에 전달하며, 타겟 인증서버(360)는 이 메시지의 내용을 무시할 수 있다.In operation S316, the serving
타겟망(390)에서 이동단말(300)에 대한 인증절차가 성공적으로 수행되면, 타겟망 인증서버(360)는 EAP 성공(EAP Success) 메시지를 서빙망(320)으로 전송한다. 또한, 서빙망(320)은 EAP 성공 메시지를 통해 이동단말(300)에게 인증의 성공을 통보한다(S317).If the authentication procedure for the
EAP AKA 절차가 성공적으로 종료되면, 이동단말(300)은 타겟망(390)으로 L2 핸드오버를 수행한다. 이 경우, 서빙망과 타겟망의 네트워크 개체들 상호 간에 선인증을 통해 미리 교환한 정보들을 바탕으로 단말은 핸드오버를 신속하게 수행할 수 있다. 즉, 이동단말(300)은 타겟망(390)으로의 등록시 처음부터 인증을 새로 수행하고, 키를 설정하는 과정을 생략할 수 있다. 이동단말(300)은 제 2 계층(L2) 핸드오버가 완료되면, 이동단말(300)의 MAC 계층은 타겟망(390)의 접속점과 보안연계를 설정하고 통신을 준비한다(S318).If the EAP AKA procedure is successfully completed, the
도 4는 본 발명의 다른 실시예로서, 이종망간 핸드오버시 이동단말이 직접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 4 is a diagram illustrating a process of directly performing pre-authentication by a mobile terminal in a handover between heterogeneous networks according to another embodiment of the present invention.
도 4에서 본 발명이 사용되는 시스템은 이동단말(MN: Mobile Node, 400), 서빙망으로서 IEEE 802.16 접속 네트워크(802.16 Access Network, 420), 서빙 인증 서버로서 IEEE 802.16 인증서버(802.16 AAA Server, 440), 타겟 인증 서버로서 3GPP 인증 서버(3GPP AAA Server, 460), 타겟망의 홈 가입자 서버(HSS: Home Subscriber Server, 480) 및 타겟망으로서 3GPP 접속 네트워크(3GPP Access Network, 490)로 구성될 수 있다. 이때, 이동단말(400)은 단말, 이동 노드 또는 이동국(MS: Mobile Station) 등 다양한 방법으로 기술될 수 있다. 또한, 서빙망이란 현재 이동단말에게 서비스를 제공하고 있는 망을 말하며, 타겟망은 이동단말이 핸드오버를 수행하고자 하는 망을 지칭한다.In FIG. 4, a system in which the present invention is used includes a mobile node (MN) 400, an IEEE 802.16 access network (420) as a serving network, and an IEEE 802.16 authentication server (802.16 AAA Server, 440) as a serving authentication server. ), A 3GPP authentication server (3GPP AAA Server, 460) as a target authentication server, a home subscriber server (HSS: 480) of a target network, and a 3GPP access network (3GPP Access Network, 490) as a target network. have. In this case, the
도 4에서 각 시스템의 구성요소들은 하나 이상의 엔터티로서 구성될 수 있다. 예를 들어, 이동단말(400)은 보안 엔터티(Security Entity), IP 엔터티, 802.16 링크 엔터티 및 3GPP 링크 엔터티를 포함할 수 있다. 이때, 이동단말(400)은 이종망간 핸드오버 지원을 위해 UICC/USIM 등을 탑재하여 IEEE 802.16 망과의 연동을 위한 정보뿐 아니라 3GPP 망 등을 위한 정보를 활용할 수 있다.In FIG. 4, the components of each system may be configured as one or more entities. For example, the
또한, 서빙망(420)은 802.16 링크 엔터티, NCMS(Network Control and Management System) 엔터티 및 보안 엔터티를 포함할 수 있다. 또한 타겟망(490)은 3GPP 링크 엔터티 및 보안 엔터티를 포함할 수 있다.In addition, the serving
도 4는 이동단말이 타겟망으로 직접 선인증을 요청하는 경우를 나타낸다. 이때, 직접 선인증을 요청한다는 것은, 이동단말에서 서빙 인증서버를 거쳐 타겟망으로 선인증 요청을 하되, 서빙 인증서버가 선인증 절차에 관여하지 않고 단지 메시지를 중계(relay) 하는 것을 의미한다. 이러한 경우에는 선인증의 결과가 타겟망 인증서버로부터 타겟망 인증자(Authenticator)로 직접 전달된다. 또한, 도 4의 선인증을 위해 EAP-AKA 인증방법을 사용함을 가정한다.4 illustrates a case where a mobile terminal requests pre-authentication directly to a target network. In this case, the direct pre-authentication request means that the pre-authentication request is made to the target network through the serving authentication server in the mobile terminal, but the serving authentication server does not participate in the pre-authentication procedure and merely relays a message. In this case, the result of the pre-authentication is transferred directly from the target network authentication server to the target network authenticator. In addition, it is assumed that the EAP-AKA authentication method is used for pre-authentication of FIG.
도 4를 참조하면, S401 단계는 이동단말이 서빙망과 인증을 수행하는 과정이다. 즉, S401 단계는 멀티모드 이동단말(400)이 IEEE 802.16망(420)에 접속하여 EAP 기반의 인증을 통한 마스터 세션 키(MSK) 및 인증키(AK) 공유, 3-Way 핸드쉐이크(3-way Handshake)를 통한 TEK 공유 등의 절차를 포함한다(S401).Referring to FIG. 4, step S401 is a process in which the mobile station performs authentication with the serving network. That is, in step S401, the multi-mode
S401 단계에 대한 자세한 설명은 도 2에서의 인증절차와 유사하다. 따라서 더 상세한 설명은 도 2를 참조하기로 한다. 또한, S401 단계에서 IEEE 802.16망(420)이 아닌 다른 IEEE 802 계열 망인 경우, EAP에 기반을 둔 유사한 형태의 초기 인증절차가 이루어질 수 있다.Detailed description of the step S401 is similar to the authentication procedure in FIG. Therefore, the detailed description will be made with reference to FIG. 2. In addition, if the IEEE 802 series network other than the IEEE 802.16
이후, 이동단말(400)은 스캐닝을 통해서 주변 망으로부터 신호를 수신하고, 주변 망 탐색 및 선택절차를 수행한다. 스캐닝 결과로써, 이동단말(300)은 다른 관리도메인에 의해 운용되는 3GPP 망을 잠재적인 핸드오버 목적 망으로 결정했다고 가정한다(S402).Thereafter, the
본 발명의 다른 실시예에서, 이동단말(400)은 타겟망인 3GPP망(490)으로 PKM EAP 선인증 시작메시지(PKM EAP Pre-Auth Start message)를 직접 전달할 수 있다. 또한, 타겟망(490)은 이동단말(400)로부터 수신한 선인증 시작 메시지를 타겟 인증서버(460)에 전달한다. EAP 선인증 시작메시지에는 단말의 식별자, MAC 주소 이외에 단말이 지원하는 인증방법, 현재 접속망 식별자 및 현재 접속망 인증서버의 식별자, 단말이 지원하는 보안 능력(capabilities) 및 선인증 전에 단말이 협상해야 할 보안 능력 등의 정보가 포함될 수 있다. 이때, 타겟 접속망의 식별자는 이미 이동단말이 가지고 있으므로, 선인증 시작 메시지에 포함될 필요는 없다(S403).In another embodiment of the present invention, the
S403 단계에서 사용될 수 있는 선인증 시작 메시지는 IEEE 802.16망뿐 아니라 3GPP망에서도 사용될 수 있는 메시지이다. 따라서, 표 14에서 사용된 PKM 메시지 또는 3GPP 망에서 사용될 수 있는 일반적인 형태의 메시지를 선인증 시작 메시지로서 이용할 수 있다. 또한, 이동단말(400)은 3GPP TS 23.003에 명시된 NAI(Network Access Identifier)에 부합되는 식별자를 선인증 시작 메시지에 포함시켜 타겟망(490)으로 전송할 수 있다. 선인증 시작 메시지는 NAI의 영역(Realm)에 따라 적당한 타겟 인증 서버(예를 들어, 3GPP AAA 서버)로 전달되며, 전달경로는 하나 혹은 다수의 AAA 서버들을 포함할 수 있다. S403 단계를 통해 타겟망 인증서버(460)는 이동단말(400)의 식별자를 포함하는 선인증 시작메시지를 수신할 수 있다.The pre-authentication start message that can be used in step S403 is a message that can be used not only in the IEEE 802.16 network but also in the 3GPP network. Therefore, the PKM message used in Table 14 or a general type of message that can be used in the 3GPP network can be used as the pre-authentication start message. In addition, the
서빙망 인증서버는 선인증 시작메시지를 수신한 후, 타겟망 인증자 및 서빙망 인증자를 거쳐 EAP 선인증 요청/식별(EAP Preauth Request/Identity) 메시지를 단말로 전송할 수 있다(S404).After the serving network authentication server receives the pre-authentication start message, the serving network authentication server may transmit an EAP preauthentication request / identification message to the terminal via the target network authenticator and the serving network authenticator (S404).
이동단말은 EAP 선인증 응답/식별 (EAP Preauth Response/Identity) 메시지를 통해 자신의 식별자를 타겟망 인증서버로 전송할 수 있다. 이때, 단말의 식별자는 3GPP TS 20.003에 명시된 NAI에 부합되는 것으로 가정한다. 그 외에, 선인증을 명시하는 값, 현재 접속망의 식별자, 현재 접속망 인증서버의 식별자, 타겟 접속망 식별자 및 단말의 MAC 주소가 EAP 선인증 응답/식별 메시지에 포함될 수 있다.The mobile terminal can transmit its identifier to the target network authentication server through an EAP Preauth Response / Identity message. At this time, it is assumed that the identifier of the terminal conforms to the NAI specified in 3GPP TS 20.003. In addition, the value specifying the pre-authentication, the identifier of the current access network, the identifier of the current access network authentication server, the target access network identifier and the MAC address of the terminal may be included in the EAP pre-authentication response / identification message.
EAP 선인증 응답/식별 메시지는 NAI의 영역 파트(Realm Part)에 따라 서빙망의 인증서버(440)를 거쳐서 타겟망의 인증서버(460)로 전달되며, 전달경로는 하나이상의 AAA 서버들을 포함할 수 있다. 타겟망 인증서버(460)는 NAI를 포함하는 EAP 선인증 응답/식별 패킷을 수신할 수 있다(S405).The EAP pre-authentication response / identification message is delivered to the
타겟망 인증서버(460)가 이동단말이 전송한 선인증 요청의 인증방법은 인식했으나, 단말의 식별자를 인식하지 못한 경우에는 단말에 의해 명시된 인증방법을 사용하여 단말로 새로운 식별자를 전송하도록 할 수 있다. 타겟 인증서버(460)가 이동단말(400)의 식별자를 인식하면, 수신된 식별자에 대해 AKA 인증을 수행하기 위한 인증 파라미터들이 있는지 여부를 확인한다. 만약, AKA 인증을 위한 인증 파라미터들이 없으면, 타겟망 인증서버(460)는 HSS(480)로 인증데이터 요청(Authentication Data Request) 메시지를 전송할 수 있다. 이를 통해, 타겟망 인증서버(460)는 HSS(480)로부터 이동단말(400)을 위한 일련의 새로운 인증 파라미터들을 추출할 수 있다.When the target
또한, 3GPP 인증서버(460)로부터 인증데이터 요청 메시지를 수신하면, HSS(480)는 양방향 인증을 위한 일련의 새로운 인증데이터를 생성할 수 있다. HSS(480)에서 생성한 인증데이터의 전달은 3GPP 고유의 MAP 프로토콜을 통해 이루어진다. 또한, HSS(480)는 단말(400)의 임시 식별자(TMSI)와 IMSI와의 매핑도 수행한다. 한번 인증이 이루어진 후에 사용되는 단말의 식별자는 협의된 인증방법(AKA)에 의해 채택되는 임시식별자(IMSI)가 사용될 수 있다(S406).In addition, upon receiving the authentication data request message from the
3GPP망 인증서버는 EAP 선인증 요청 AKA 식별(EAP Preauth Request/AKA Identity) 메시지를 통해 단말 식별자를 다시 요청한다. 이 요청은 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 통해 수신된 단말 식별자가 중간 노드들에 의해 변경된 경우에 수행되며, 그렇지 않으면 생략된다. EAP 선인증 요청 AKA 식별 메시지는 3GPP망 인증자와 IEEE 802.16망 인증자를 통해 단말에게 전달된다(S407).The 3GPP network authentication server requests a terminal identifier again through an EAP preauthentication request / AKA identity message. This request is performed when the terminal identifier received through the EAP Preauth Response / Identity message is changed by the intermediate nodes, otherwise it is omitted. The EAP pre-authentication request AKA identification message is transmitted to the terminal through the 3GPP network authenticator and the IEEE 802.16 network authenticator (S407).
이동단말은 EAP 선인증 요청 AKA 식별(Preauth Request/AKA Identity) 메시지에 대해 EAP 선인증 응답/식별(Preauth Response/Identity) 메시지에서 사용한 것과 동일한 식별자(NAI)로써 응답한다. IEEE 802.16망의 인증자는 EAP 선인증 응답/AKA 식별(EAP Preauth Response/AKA Identity) 메시지를 3GPP 인증자를 통해 3GPP망 인증서버로 전달한다. EAP 선인증 응답/AKA 식별 메시지에 포함된 식별자는 3GPP망 인증서버에 의해 이후의 인증절차에서 사용된다(S408).The mobile terminal responds to the EAP Preauthentication Request / AKA Identity message with the same identifier (NAI) as used in the EAP Preauth Response / Identity message. The authenticator of the IEEE 802.16 network forwards the EAP Preauth Response / AKA Identity message to the 3GPP network authentication server through the 3GPP authenticator. The identifier included in the EAP pre-authentication response / AKA identification message is used in subsequent authentication procedures by the 3GPP network authentication server (S408).
EAP 선인증 요청/AKA 식별 메시지 및 EAP 선인증 응답/AKA 식별 메시지를 통해 수신된 식별자가 일치하지 않은 경우, 이전에 HSS/HLR로부터 추출된 사용자 프로파일과 인증벡터는 사용할 수 없다. 따라서, 새로운 사용자 프로파일과 인증벡터가 HSS/HLR로부터 추출되어야 한다. S409 단계 이전에 S406 단계가 다시 수행될 수 있다. 성능의 최적화를 위해, 식별자 재요청 절차(S407 내지 S408)는 3GPP망의 인증 서버가 사용자를 EAP-AKA 사용자로 식별하기 위해 충분한 정보를 갖고 있지 않은 경우 사용자 프로파일과 인증벡터가 추출되기 전에 수행되어야 한다.If the identifiers received through the EAP preauthentication request / AKA identification message and the EAP preauthentication response / AKA identification message do not match, the user profile and authentication vector previously extracted from the HSS / HLR cannot be used. Therefore, a new user profile and authentication vector must be extracted from the HSS / HLR. Before step S409, step S406 may be performed again. To optimize performance, identifier re-request procedures (S407-S408) should be performed before the user profile and authentication vector are extracted if the authentication server of the 3GPP network does not have enough information to identify the user as an EAP-AKA user. do.
3GPP망 인증서버는 IK와 CK로부터 새로운 키재료를 생성한다. 이 키 재료는 EAP-AKA에 의해 요구되는 보안관련 컨텍스트(Context)들이며, 3GPP망 고유의 기밀성이나 무결성 보호를 위해 사용된다. 또한, 인증받은 사용자에게 할당해주기 위한 새로운 익명(Pseudonym)이 생성된다.The 3GPP network authentication server generates new key material from IK and CK. This key material is the security contexts required by EAP-AKA and is used to protect the confidentiality and integrity inherent in the 3GPP network. In addition, a new Anonymous (Pseudonym) is created to assign to the authenticated user.
3GPP망 인증서버(460)는 RAND, AUTN, MAC과 보호되는 익명을 EAP 선인증 요청/AKC-신청(EAP Preauth Request/AKA-Challenge) 메시지에 포함하고, IEEE 802.16망 인증자로 전달한다. 이는 3GPP망의 인증자와 IEEE 802.16망의 인증자를 거쳐 단말로 전송된다. 또한, 3GPP망 인증서버는 결과지시(Result Indication)을 이동단말로 전송한다. 결과지시(Result Indication)는 인증절차의 맨 마지막에 성공결과(Success Result)를 보호할지 여부를 명시하기 위한 것이다. 결과 메시지 보호는 오퍼레이터(Operator)의 정책에 달려있다. EAP 선인증 요청/AKC-신청 메시지에 CK와 IK를 포함시켜 IEEE 802.16망 인증서버(420)로 전달하면, IEEE 802.16망 인증서버(420)에 의해 추가적인 키 재료가 생성되어 IEEE 802.16망의 기밀성(Confidentiality)과 무결성(Integrity)을 보장할 수 있다.The 3GPP
이동단말은 USIM 내에 존재하는 UMTS 알고리즘을 수행한다. USIM은 AUTN이 정확한지의 여부를 검사하고, 망 인증을 수행한다. 만약 AUTN이 틀리면, 단말은 인증에 실패한다. 한편, 순서번호가 동기화가 되어있지 않으면, 단말은 동기화 절차를 시작한다. AUTN이 정확하면, USIM은 RES, IK, CK를 생성한다. 단말은 USIM에서 새롭게 계산된 IK, CK를 사용하여 추가적인 키 재료를 생성하고, 이를 통해 수신된 MAC을 확인한다. 보호된 익명이 수신되면, 이동단말은 이후의 인증절차를 위해 이를 저장한다(S411).The mobile terminal performs a UMTS algorithm existing in the USIM. The USIM checks whether the AUTN is correct and performs network authentication. If the AUTN is wrong, the terminal fails to authenticate. On the other hand, if the sequence number is not synchronized, the terminal starts the synchronization procedure. If AUTN is correct, USIM generates RES, IK, and CK. The terminal generates additional key material using the newly calculated IK, CK in the USIM, and confirms the received MAC. If the protected anonymous is received, the mobile terminal stores it for subsequent authentication (S411).
이동단말은 새로운 키 재료를 가지고 EAP 메시지에 대한 새 MAC 값을 계산한 후, 계산된 RES와 MAC값을 포함하는 EAP 선인증 응답/AKA-신청(EAP Preauth Response/AKA-Challenge) 메시지를 IEEE 802.16망 인증자로 전송한다. 이동단말은 3GPP망 인증서버(460)로부터 동일한 지시(indication)를 수신한 경우, EAP 선인증 응답/AKA-신청 메시지에 결과지시(Result Indication)를 포함하고, 그렇지 않으면, 결과지시를 포함하지 않는다. EAP 선인증 응답/AKA-신청(EAP Preauth Response/AKA-Challenge) 패킷은 IEEE 802.16망 인증자(420)와 3GPP망 인증자(490)을 거쳐서, 3GPP망 인증서버(460)로 전송한다(S412).The mobile station calculates a new MAC value for the EAP message with the new key material and then sends an IEEE 802.16 EAP Preauth Response / AKA-Challenge message containing the calculated RES and MAC values. Send to network authenticator. When the mobile terminal receives the same indication from the 3GPP
3GPP망의 인증서버(460)는 수신된 MAC을 검사하고, XRES를 수신된 RES와 비교함에 의해 사용자 인증을 수행한다(S413).The
보호되는 성공결과지시(Success Result Indication)를 사용하도록 이전에 요청받은 경우, S413 단계의 모든 검사가 성공적으로 이루어지면, 3GPP망 인증서버(460)는 EAP 성공(Success) 메시지 전송에 앞서 EAP 선인증 요청/AKA-통지(EAP Preauth Request/AKA-Notification) 메시지를 전송한다. EAP 선인증 요청/AKA-통지 메시지는 MAC을 통해 보호된다. 또한, 3GPP망 고유의 보안관련 파라미터들이 3GPP망 인증 서버로부터 3GPP망의 인증자로 전달된다. 이 파라미터들은 S406 단계에서 해당 단말에 대해 생성된 인증벡터들로써 추가적으로 단말 식별자(IMSI, TMSI) 정보들을 포함하며, MAP(Mobile Application Part) 프로토콜을 통해 전송된다. 이는 향후 3GPP망을 통한 인증절차가 발생할 경우를 위한 것이다. EAP 선인증 요청/AKA-통지 메시지는 보안정보 외에 3GPP망 고유의 기밀성이나 무결성 보호를 위해 생성된 키 재료들을 추가로 포함할 수 있다. 3GPP망 인증서버(460)는 EAP 선인증 요청/AKA-통지 메시지를 인증 프로토콜 메시지를 통해 3GPP망 인증자로 전달한다. 3GPP망의 인증자는 이 보안관련 파라미터들과 키 재료들을 저장하여 인증된 이동단말과 통신을 수행하는데 사용한다(S414).If previously requested to use Protected Success Result Indication, and if all checks in step S413 are successful, the 3GPP
단말은 EAP 선인증 요청/AKA 통지(EAP Preauth Request/AKA Notification) 메시지에 대한 응답으로, EAP 선인증 응답/AKC 통지(EAP Preauth Response/AKA-Notification) 메시지를 IEEE 802.16망의 인증자(420)로 전달한다. IEEE 802.16망 인증자(420)는 이 메시지를 3GPP망 인증자(490)를 거쳐 3GPP망 인증서버(460)에게 전달하며, 3GPP망 인증서버(460)는 이 메시지의 내용을 무시한다(S415).In response to the EAP Preauth Request / AKA Notification message, the UE sends an EAP Preauth Response / AKA-Notification message to the
3GPP망 인증서버(460)는 EAP 성공 메시지를 IEEE 802.16망 인증자(420)로 전송한다. EAP 성공 메시지는 3GPP망 인증자(490)를 거쳐서 IEEE 802.16망 인증자(420)로 전달되며, IEEE 802.16망의 인증자는 EAP 선인증 성공 메시지를 이용하여 인증의 성공을 통보한다. EAP AKA 절차가 성공적으로 종료되면, L2 핸드오버가 이루어진 후, 단말과 3GPP 망은 인증벡터들과 Keying Material들을 공유하게 되고, 안전한 통신이 가능하다(S416).The 3GPP
S403 단계 내지 S410 단계의 절차에서 타겟망(490)과 선인증절차를 수행한 이동단말(400)은 타겟망(490)과 L2 핸드오버를 수행할 수 있다. 따라서, 핸드오버 후 이동단말과 타겟망과의 새로운 인증절차 및 키 설정절차는 생략될 수 있다. 제 2 계층(L2) 핸드오버가 완료되면, 이동단말(400)의 MAC은 타겟망(490)의 접속점과 보안연계를 설정하고 통신을 준비한다(S417).The
도 5는 본 발명의 또 다른 실시예로서, 이종망간 핸드오버시 이동단말이 간접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 5 is a diagram illustrating a process of performing an indirect pre-authentication by a mobile terminal during handover between heterogeneous networks according to another embodiment of the present invention.
도 5에서 본 발명이 사용되는 시스템은 이동단말(MN: Mobile Node, 500), 서빙망으로서 IEEE 802.16 접속 네트워크(802.16 Access Network, 520), 서빙 인증 서버로서 IEEE 802.16 인증서버(802.16 AAA Server, 540), 타겟 인증 서버로서 3GPP 인증 서버(3GPP AAA Server, 560), 타겟망의 홈 가입자 서버(HSS: Home Subscriber Server, 580) 및 타겟망으로서 3GPP 접속 네트워크(3GPP Access Network, 590)로 구성될 수 있다. 이때, 이동단말(500)은 단말, 이동 노드 또는 이동국(MS: Mobile Station) 등 다양한 방법으로 기술될 수 있다. 또한, 서빙망이란 현재 이동단말에게 서비스를 제공하고 있는 망을 말하며, 타겟망은 이동단말이 핸드오버를 수행하고자 하는 망을 지칭한다.In FIG. 5, a system in which the present invention is used is a mobile terminal (MN), an IEEE 802.16 access network (520) as a serving network, an IEEE 802.16 authentication server (802.16 AAA Server, 540) as a serving authentication server. ), A 3GPP authentication server (3GPP AAA Server, 560) as a target authentication server, a home subscriber server (HSS: 580) of a target network, and a 3GPP access network (3GPP access network, 590) as a target network. have. In this case, the
도 5에서 각 시스템의 구성요소들은 하나 이상의 엔터티로서 구성될 수 있다. 예를 들어, 이동단말(500)은 보안 엔터티(Security Entity), IP 엔터티, 802.16 링크 엔터티 및 3GPP 링크 엔터티를 포함할 수 있다. 이때, 이동단말(500)은 이종망간 핸드오버 지원을 위해 UICC/USIM 등을 탑재하여 IEEE 802.16 망과의 연동을 위한 정보뿐 아니라 3GPP 망 등을 위한 정보를 활용할 수 있다.In FIG. 5, the components of each system may be configured as one or more entities. For example, the
또한, 서빙망(520)은 802.16 링크 엔터티, NCMS(Network Control and Management System) 엔터티 및 보안 엔터티를 포함할 수 있다. 또한 타겟망(590)은 3GPP 링크 엔터티 및 보안 엔터티를 포함할 수 있다.In addition, the serving
도 5에서 각 화살표의 시작점 및 도착점은 각각 메시지가 전송되는 엔터티 및 수신되는 목적지의 엔터티를 나타낸다. 각각의 메시지가 전달되는 경로는 본 발명의 특징을 나타내는 부분에서만 설명하도록 한다. 물론, 설명하지 않는 부분이라도 도면을 참조하여 이해할 수 있다.In FIG. 5, the start point and the arrival point of each arrow indicate an entity of a message transmitted and an entity of a received destination, respectively. The route through which each message is delivered will be described only in the context of the features of the present invention. Of course, even the part which is not demonstrated can be understood with reference to drawings.
본 발명의 다른 실시예에서, 이동단말(500)은 선인증 요청시작 메시지를 현재 서빙망의 인증서버(540)를 통해 타겟망의 인증서버(560)로 전달할 수 있다. 선인증 요청을 받은 타겟 인증서버(540)는 이동단말(500)에 대한 선인증을 수행한 후, 그 결과를 서빙망(520) 및 타겟망(590)으로 전달할 수 있다. 타겟망(590)은 타겟망에서 사용할 키 재료(Key Material)들을 선인증의 결과로서 이동단말(500)에 전달할 수 있다. 또한, 본 발명의 다른 실시예에서 선인증을 위해 EAP-SIM 인증방법을 사용하는 것을 가정한다.In another embodiment of the present invention, the
도 5를 참조하면, S501 단계는 멀티모드 이동단말(500)이 서빙망인 IEEE 802.16망(520)에 접속하여 EAP 기반의 인증을 통한 마스터 세션키(MSK: Master Session Key) 및 인증키(AK) 공유 및 3-Way 핸드쉐이크(3-Way Handshake)를 통한 TEK 공유 등의 과정을 포함할 수 있다. 만약, 서빙망(520)이 IEEE 802.16망이 아닌 다른 IEEE 802 계열 망인 경우, EAP에 기반을 둔 유사한 형태의 초기 인증절차가 이루어진다.Referring to FIG. 5, in step S501, a multi-mode
이후, 이동단말(500)은 스캐닝을 통해서 주변 망으로부터 신호를 수신하며, 망 탐색 및 망 선택절차를 수행한다. 이 결과로써, 이동단말(500)은 다른 관리도메인에 의해 운용되는 망을 잠재적인 핸드오버 목적 망인 타겟망으로 결정했다고 가정한다. 본 발명의 다른 실시예에서는 타겟망으로 3GPP망을 결정한 것으로 가정한다(S502).Thereafter, the
이동단말(500)은 서빙망인 IEEE 802.16망(520)으로 EAP 선인증 시작 메시지(EAP Pre-Auth Start message)를 전달할 수 있다. 또한, 서빙망(520)은 타겟 인증서버(560)로 선인증 시작 메시지를 전송할 수 있다. 이때, EAP 선인증 시작 메시지는 표 14에서 설명한 EAP 선인증 시작 메시지를 사용할 수 있다. 따라서, EAP 선인증 시작 메시지에는 이동단말의 식별자 및 MAC 주소가 포함될 수 있다. 또한, EAP 선인증 시작 메시지에는 이동단말이 지원하는 인증방법, 현재 접속망 식별자, 현재 접속망 인증서버의 식별자, 타겟 접속망 식별자, 단말이 지원하는 보안능력 및 단말이 협상해야 할 보안능력 등의 정보가 포함될 수 있다(S503).The
타겟 인증서버(560)는 단말(500)의 인증에 필요한 파라미터를 요구하기 위해 서빙망(520)으로 EAP 선인증 요청/식별(EAP Preauth Request/Identity) 메시지를 전송할 수 있다. 또한, 서빙망(520)은 이동단말(500)에게 EAP 요청/식별 메시지를 전송할 수 있다. EAP 패킷들은 서빙망(IEEE 802.16망, 520) 고유의 프로토콜을 통해 포장되어(Encapsulation) IEEE 802.16 인터페이스를 통해 전송될 수 있다(S504).The
이동단말(500)은 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 통해, 이동단말(500)의 식별자를 전송할 수 있다. 이때, 이동단말의 식별자는 3GPP TS 23.003에 명시된 NAI(Network Access Identifier)에 부합된다. 그외에, EAP 응답/식별 메시지에는 선인증을 명시하는 값, 현재 접속망의 식별자, 현재 접속망 인증서버의 식별자, 타겟 접속망의 식별자 및 이동단말의 MAC 주소가 더 포함될 수 있다. EAP 선인증 응답/식별 메시지는 타겟망 인증서버(3GPP AAA Server, 560)에게 전달된다. EAP 선인증 응답/식별 메시지는 NAI의 영역 파트(Realm Part)에 따라 현재 서빙 인증서버(540)를 거쳐서 적당한 타겟 인증서버(560)로 전달되며, 전달경로는 하나 이상의 AAA 서버들을 포함할 수 있다(S505).The
S505 단계에서 타겟 인증서버(560)는 이동단말(500)의 식별자를 포함하는 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 수신할 수 있다. 이때, 타겟 인증서버(560)가 단말이 전송한 선인증 요청의 인증방법은 인식했으나, 이동단말(500)의 식별자를 인식하지 못한 경우가 발생할 수 있다. 이러한 경우에, 타겟 인증서버(560)는 이동단말(500)에 의해 명시된 EAP 인증 방법을 통해, 이동단말(500)로 새 식별자를 전송하도록 요구할 수 있다. 타겟 인증 서버(3GPP AAA server, 560)는 EAP 선인증 요청/SIM 시작(EAP Preauth Request/SIM Start) 메시지를 통해 단말 식별자를 다시 요청할 수 있다(S506).In operation S505, the
S506 단계에서, 타겟 인증서버에서의 EAP 선인증 요청/SIM 시작 메시지를 이용한 단말 식별자 요청은, EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 통해 수신되는 이동단말(500)의 식별자가 중간 노드들에 의해 변경된 경우에 수행될 수 있다. 만약, 이동단말(500)의 식별자가 변경되지 않은 경우에는 S506 단계는 생략될 수 있다. EAP 선인증 응답/식별 메시지는 IEEE 802.16 망을 통해 이동단말에게 전달된다.In step S506, the terminal identifier request using the EAP pre-authentication request / SIM start message in the target authentication server, the identifier of the
이동단말(500)은 새로운 난수 'NONCE_MT'를 선택하며, 이 난수는 네트워크 인증에 사용된다. 이동단말(500)은 자신이 EAP 선인증 응답/식별 메시지에서 사용한 것과 동일한 식별자와 'NONCE_MT'를 EAP 선인증 응답/SIM-시작(EAP Preauth Response/SIM-Start) 메시지에 포함시키고, EAP 선인증 응답/SIM-시작 메시지를 서빙망(520)으로 전송할 수 있다. 서빙망(520)은 EAP 선인증 응답/SIM-시작 메시지를 타겟 인증서버(560)로 전달하며, EAP 선인증 응답/SIM-시작 메시지에 포함된 식별자는 타겟 인증서버(560)에 의해 이후의 인증절차에서 사용될 수 있다(S507).The
만약 S506 단계 및 S507 단계의 두 가지 메시지에 포함된 식별자가 일치하지 않으면, 이전에 HSS(또는, HLR; 580)로부터 추출된 사용자 프로파일과 인증벡터는 사용될 수 없으므로, 새로운 사용자 프로파일과 인증벡터가 HSS(또는, HLR)로부터 추출되어야 한다.If the identifiers included in the two messages of step S506 and step S507 do not match, the user profile and authentication vector previously extracted from the HSS (or HLR) 580 cannot be used, so that the new user profile and authentication vector are HSS. (Or HLR).
타겟 인증서버(560)는 이동단말(500)에 대해 EAP-SIM 인증을 수행하기 위한 N개의 인증 파라미터들이 있는지 여부를 확인한다. 만약 인증 파라미터들이 없으면, 타겟 인증서버(560)는 HSS/HLR로부터 일련의 새로운 인증 파라미터들을 추출한다. 또한, 임시 식별자(TMSI)와 IMSI 및 MAC 주소의 매핑을 수행한다. 한번 인증이 이루어진 후, 단말의 식별자로서 협의된 인증방법(EAP-SIM)에 의해 채택되는 임시식별자가 사용될 수 있다(S508). The
S508 단계는 일반적으로 S507 단계에서 서빙망(520)이 EAP 선인증 응답/SIM-시작(EAP Preauth Response/SIM-Start) 메시지를 타겟 인증서버(560)로 전송한 이후에 수행되지만, S506 단계 이후 또는 이하 설명할 S509 단계 이후에 수행될 수 있다.Step S508 is generally performed after the
타겟 인증서버(560)는 NONCE_MT와 N개의 새로운 Kc(Ciphering key)들로부터 새로운 키 재료(Keying Material)들을 생성할 수 있다. 이 키 재료들은 EAP-SIM에 의해 요구되는 보안관련 컨텍스트(Context)들이며, 3GPP 기술 고유의 기밀성이나 무결성 보호를 위해 사용된다. 또한, 인증받은 사용자에게 할당해주기 위한 새로운 익명(pseudonym)도 이때 생성된다. 이 익명은 EAP-SIM에 의해 생성된 키 재료들을 통해 암호화되고, 무결성이 보호된다. 한편, EAP-SIM에 의해 생성된 키를 사용하여 EAP 메시지에 대해 MAC(Message Authentication Code)이 계산되어 네트워크 인증값으로 사용될 수 있다(S509).The
타겟 인증서버(560)는 RAND, MAC 및 보호되는 익명을 EAP 선인증 요청/SIM-요구(EAP Preauth request/SIM-Challenge) 메시지에 실어서 서빙망(520)으로 전달한다. EAP 선인증 요청/SIM-요구 메시지는 서빙망(520)을 통해 이동단말(500)로 전송된다. 또, 타겟 인증서버(560)는 결과 지시(Result Indication) 파라미터를 EAP 선인증 요청/SIM-요구 메시지에 포함시켜 이동단말로 전송할 수 있다. 이는 인증절차의 맨 끝에 성공 결과(Success Result) 메시지를 보호할지 여부를 명시하기 위한 것이다. 결과 메시지들의 보호는 오퍼레이터의 정책에 달려있다. 따라서, 타겟 인증서버(560)가 EAP 선인증 요청/SIM-요구 메시지에 Kc를 포함시켜 서빙망의 인증서버(540)로 전달하면, 서빙 인증서버(540)에 의해 추가적인 키 재료들이 생성되어 서빙망(520) 고유의 기밀성(Confidentiality)과 무결성(Integrity)이 보장될 수 있다(S510).The
이동단말(500)은 수신된 각각의 RAND에 대해서 SIM내의 GSM A3/A8 알고리즘을 N번 수행하여, N개의 SRES와 Kc 값들을 생성할 수 있다. 이동단말(500)은 N개의 Kc들과 NONCE_MT로부터 추가적인 키 재료들을 생성할 수 있다. 이동단말(500)은 새롭게 생성된 키 재료들을 가지고 망 인증 MAC(Network Authentication MAC)를 계산하여 이를 수신된 MAC과 동일한지 여부를 확인한다. 만약, MAC이 올바르지 않으면 네트워크 인증은 실패하고, 이동단말(500)은 인증을 취소한다. MAC이 올바른 경우 이동단말(500)은 인증절차를 계속 수행한다. 이동단말(500)은 새로운 키 재료들을 가지고, N개의 SRES들을 포함하는 EAP 메시지에 대한 새로운 MAC을 계산할 수 있다. 보호되는 익명이 수신되면, 이동단말(500)은 향후의 인증을 위해 이를 저장한다(S511).The
이동단말(500)은 계산된 RES와 MAC값을 포함하는 EAP 선인증 응답/SIM-신청(EAP Preauth Response/SIM Challenge) 메시지를 서빙망(520)으로 전송할 수 있다. 이동단말(500)은 타겟 인증서버(560)로부터 동일한 지시(Indication) 파라미터를 수신하면 EAP 선인증 응답/SIM-신청 메시지에 결과 지시 파라미터를 포함시킨다. 만약, 타겟 인증서버로부터 동일한 지시 파라미터를 수신하지 못하면, 이동단말(500)은 결과 지시 파라미터를 EAP 선인증 응답/SIM-신청 메시지에 포함시키지 않는다. 서빙망(520)은 단말(500)로부터 수신한 EAP 응답/SIM-신청 메시지를 타겟 인증서버(560)로 전달할 수 있다(S512).The
타겟 인증서버(560)는 자신의 응답 MAC(Response MAC)과 수신된 MAC을 비교함으로써 사용자 인증을 수행할 수 있다(S513).The
타겟망(560) 고유의 보안관련 파라미터들은 타겟 인증서버(560)로부터 타겟망(590)으로 전달될 수 있다. 고유의 보안관련 파라미터들은 S511 단계에서 해당 단말에 대해 생성된 인증벡터들로써, 추가적으로 단말 식별자(IMSI, TMSI)와 관련된 정보들을 포함할 수 있으며, MAP(Mobile Application Part) 프로토콜을 통해 송수신된다. 이는 향후 타겟망(예를 들어, 3GPP망)을 통한 인증절차가 발생할 경우를 위한 것이다. 타겟망 고유 보안컨텍스트 전송(3GPP Specific Security Contexts Transfer) 메시지를 통해 전송되는 정보 이외에 타겟망(3GPP망) 고유의 기밀성이나 무결성 보호를 위해 생성된 키 재료들이 추가로 포함될 수 있다. 타겟망 인증서버(560)는 특정 보안 컨텍스트 전송 메시지를 AAA 프로토콜 메시지를 이용하여 타겟망으로 전달한다. 망은 키 재료들을 저장하여 인증된 이동단말과 통신을 수행하는데 사용한다(S514).Security-specific parameters specific to the
S513에서의 비교결과가 성공적이면, 타겟 인증서버(3GPP AAA Server, 560)는 타겟망(590)에 자신이 보호되는 성공 결과 지시(Success Result Indication) 파라미터를 사용하도록 미리 요청할 수 있다. 이러한 경우, 타겟 인증서버(560)는 EAP 선인증 성공(EAP Preauth Success) 메시지의 전송에 앞서서 EAP 선인증 요청/SIM/통지(EAP Preauth Request/SIM/ Notification) 메시지를 전송하며, 이는 MAC을 통해 보호될 수 있다(S515).If the comparison result in S513 is successful, the target authentication server (3GPP AAA Server) 560 may request in advance to the
이동단말(500)은 EAP 선인증 요청/SIM/통지 메시지에 대한 응답으로써, EAP 선인증 응답/SIM/통지(EAP Preauth Response/SIM/Notification) 메시지를 서빙망(520)으로 전달할 수 있다. 서빙망(520)은 EAP 선인증 응답/SIM/통지 메시지를 타겟 인증서버(560)에 전달한다(S516). The
다만, S516 단계에서 타겟 인증서버(560)는 EAP 선인증 응답/SIM/통지 메시지의 내용을 무시할 수 있다.However, in step S516 the
이동단말(500)과의 선인증이 성공적으로 이뤄지면, 타겟 인증서버(560)는 EAP 선인증 성공(EAP Preauth Success) 메시지를 서빙망(520)으로 전송할 수 있다. 서빙망(520)은 EAP 선인증 성공 메시지를 이동단말(500)에게 전송함으로써, 성공적인 선인증에 대해 통보할 수 있다(S517).If pre-authentication with the
EAP SIM 인증 절차가 성공적으로 종료되면, 이동단말과 3GPP 망은 인증벡터들과 키 재료들을 공유하게 되고, 안전한 통신이 가능하다. 즉, 이동단말(500)은 타겟망으로 L2 핸드오버를 수행할 수 있다(S518).If the EAP SIM authentication procedure is successfully completed, the mobile terminal and the 3GPP network share authentication vectors and key materials, and secure communication is possible. That is, the
S518 단계에서, S514 단계 내지 S517 단계에서 수행된 선인증의 결과로써, 서빙망(520)과 타겟망(590)의 네트워크 개체들은 상호 간에 교환된 정보들을 바탕으로 타겟망으로의 등록시 인증을 새로 수행하는 과정 및 키를 새로이 설정하는 과정을 생략할 수 있다. 제 2계층 핸드오버가 완료되면 이동단말(500)의 MAC은 타겟망(560)의 접속점과 보안연계를 설정하고 통신을 준비한다.In step S518, as a result of the pre-authentication performed in steps S514 to S517, network entities of the serving
도 6은 본 발명의 또 다른 실시예로서, 이종망간 핸드오버시 이동단말이 직접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 6 is a diagram illustrating a process in which a mobile terminal directly performs pre-authentication during handover between heterogeneous networks according to another embodiment of the present invention.
도 6에서 본 발명이 사용되는 시스템은 이동단말(MN: Mobile Node, 600), 서빙망으로서 IEEE 802.16 접속 네트워크(802.16 Access Network, 620), 서빙 인증 서버로서 IEEE 802.16 인증서버(802.16 AAA Server, 640), 타겟 인증 서버로서 3GPP 인증 서버(3GPP AAA Server, 660), 타겟망의 홈 가입자 서버(HSS: Home Subscriber Server, 680) 및 타겟망으로서 3GPP 접속 네트워크(3GPP Access Network, 690)로 구성될 수 있다. 이때, 이동단말(600)은 단말, 이동 노드 또는 이동국(MS: Mobile Station) 등 다양한 방법으로 기술될 수 있다. 또한, 서빙망이란 현재 이동단말에게 서비스를 제공하고 있는 망을 말하며, 타겟망은 이동단말이 핸드오버를 수행하고자 하는 망을 지칭한다.In FIG. 6, the system in which the present invention is used includes a mobile node (MN), an IEEE 802.16 access network (620) as a serving network, and an IEEE 802.16 authentication server (802.16 AAA Server, 640) as a serving authentication server. ), A 3GPP authentication server (3GPP AAA Server, 660) as a target authentication server, a home subscriber server (HSS: 680) of a target network, and a 3GPP access network (3GPP Access Network, 690) as a target network. have. In this case, the
도 6에서 각 시스템의 구성요소들은 하나 이상의 엔터티로서 구성될 수 있다. 예를 들어, 이동단말(600)은 보안 엔터티(Security Entity), IP 엔터티, 802.16 링크 엔터티 및 3GPP 링크 엔터티를 포함할 수 있다. 이때, 이동단말(600)은 이종망간 핸드오버 지원을 위해 UICC/USIM 등을 탑재하여 IEEE 802.16 망과의 연동을 위한 정보뿐 아니라 3GPP 망 등을 위한 정보를 활용할 수 있다.In FIG. 6, the components of each system may be configured as one or more entities. For example, the
또한, 서빙망(620)은 802.16 링크 엔터티, NCMS(Network Control and Management System) 엔터티 및 보안 엔터티를 포함할 수 있다. 또한 타겟망(690)은 3GPP 링크 엔터티 및 보안 엔터티를 포함할 수 있다.In addition, the serving
도 6에서 각 화살표의 시작점 및 도착점은 각각 메시지가 전송되는 엔터티 및 수신되는 목적지의 엔터티를 나타낸다. 각각의 메시지가 전달되는 경로는 본 발명의 특징을 나타내는 부분에서만 설명하도록 한다. 물론, 설명하지 않는 부분이라도 도면을 참조하여 이해할 수 있다.In FIG. 6, the start point and the arrival point of each arrow indicate an entity of a message transmitted and a destination of a received destination, respectively. The route through which each message is delivered will be described only in the context of the features of the present invention. Of course, even the part which is not demonstrated can be understood with reference to drawings.
도 6은 이동단말이 타겟망으로 직접 선인증을 요청하는 경우를 나타낸다. 이때, 직접 선인증을 요청한다는 것은, 이동단말에서 서빙 인증서버를 거쳐 타겟망으로 선인증 요청을 하되, 서빙 인증서버가 선인증 절차에 관여하지 않고 단지 메시지를 중계(relay) 하는 것을 의미한다. 이러한 경우에는 선인증의 결과가 타겟망 인증서버로부터 타겟망으로 직접 전달될 수 있다. 또한, 선인증 결과는 서빙 인증 서버를 거쳐 단말로 직접 전달된다. 또한, 도 6의 선인증을 위해 EAP-AKA 인증방법을 사용함을 가정한다.6 illustrates a case where a mobile terminal requests pre-authentication directly to a target network. In this case, the direct pre-authentication request means that the pre-authentication request is made to the target network through the serving authentication server in the mobile terminal, but the serving authentication server does not participate in the pre-authentication procedure and merely relays a message. In this case, the result of the pre-authentication can be transferred directly from the target network authentication server to the target network. In addition, the pre-authentication result is directly transmitted to the terminal via the serving authentication server. In addition, it is assumed that the EAP-AKA authentication method is used for the line authentication of FIG.
도 6에서 S601 단계는 멀티모드 이동단말(600)이 서빙망(IEEE 802.16망, 620)에 접속하여 EAP 기반의 인증을 통한 마스터 세션키(MSK) 및 AK 공유, 3-Way 핸드쉐이크(3-Way Handshake)를 통한 TEK 공유 등의 과정을 포함할 수 있다. 서빙망(620)이 아닌 다른 IEEE 802 계열 망인 경우, EAP에 기반을 둔 유사한 형태의 초기 인증절차가 이뤄질 수 있다(S601).In step S601, the multi-mode
이후, 이동단말(600)은 스캐닝을 통해서 주변 망으로부터 신호를 수신하며, 망 탐색 및 선택절차를 수행한다. 스캐닝 결과로써, 이동단말(600)은 다른 관리도메인에 의해 운용되는 망을 잠재적인 핸드오버 목적 망으로 결정했다고 가정한다. 여기서는, 핸드오버 목적망으로 3GPP망을 선택한 것을 가정한다(S602).Thereafter, the
이동단말(600)은 3GPP망(690)으로 EAP 선인증 시작 메시지(EAP Pre-Auth Start message)를 직접 전달할 수 있다. EAP 선인증 시작 메시지에는 단말의 식별자, MAC 주소 이외에 단말이 지원하는 인증방법, 현재 접속망 식별자, 현재 접속망 인증서버의 식별자, 단말이 지원하는 보안 능력 및 선인증 전에 단말이 협상해야 할 보안 성능 등의 정보가 포함될 수 있다(S603).The
S603 단계에서 타겟 접속망의 식별자는 이미 단말이 가지고 있으므로, 선인증 시작 메시지에 포함될 필요는 없다. EAP 선인증 시작 메시지는 표 14에서 설명한 PKM 메시지가 아닌 3GPP망에서 사용될 수 있는 메시지이다. 이동단말(600)은 3GPP TS 23.003에 명시된 NAI(Network Access Identifier)에 부합되는 식별자를 타겟 접속망(690)으로 전송한다. EAP 선인증 시작 메시지는 NAI의 영역에 따라 적당한 3GPP AAA 서버로 전달되며, 전달경로는 하나 혹은 다수의 AAA 서버들을 포함할 수 있다. 즉, 타겟망 인증서버(660)는 단말(600)의 식별자를 포함하는 선인증 시작 메시지를 타겟망(690)으로부터 수신할 수 있다.In step S603, since the identifier of the target access network is already owned by the terminal, it does not need to be included in the pre-authentication start message. The EAP preauthentication start message is a message that can be used in the 3GPP network, not the PKM message described in Table 14. The
타겟망 인증서버(660)는 타겟망 인증자(690)와 서빙망 인증자(620)를 거쳐 이동단말로 EAP 선인증 요청/식별(EAP Preauth Request/Identity) 메시지를 전송할 수 있다(S604). The target
이동단말은 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지를 통해 자신의 식별자를 타겟망 인증서버(660)에 전송할 수 있다. 이때, 단말 식별자는 3GPP TS 23.003에 명시된 NAI에 부합된다. EAP 선인증 응답/식별 메시지는 선인증을 명시하는 값, 현재 접속망의 식별자, 현재 접속망 인증서버 식별자, 타겟 접속망 식별자 및 이동단말의 MAC 주소를 포함할 수 있다. EAP 선인증 응답/식별 메시지는 NAI의 영역 파트(Realm Part)를 따라 타겟망 인증서버(660)로 전달되며, 전달경로는 하나 이상의 AAA 서버들을 포함할 수 있다(S605).The mobile terminal can transmit its identifier to the target
타겟망 인증서버(660)는 NAI를 포함하는 EAP 선인증 응답/식별 패킷을 수신한다. 타겟망 인증서버(660)가 이동단말(600)이 전송한 선인증 요청의 인증방법은 인식했으나, 이동단말의 식별자를 인식하지 못한 경우에는 단말에 의해 명시된 인증방법(예를 들어, EAP-SIM)을 사용하여 단말로 새로운 식별자를 전송하도록 할 수 있다. 예를 들어, 3GPP AAA 서버는 EAP 선인증 요청/SIM 시작(EAP Preauth Request/SIM Start) 메시지를 통해 단말의 식별자를 다시 요청한다. 이 식별자 요청은 EAP 선인증 응답/식별(EAP Preauth Response Identity) 메시지를 통해 수신되는 단말의 식별자가 중간 노드들에 의해 변경된 경우에 수행되며, 변경되지 않은 경우에는 생략될 수 있다. EAP 선인증 응답/식별 메시지는 IEEE 802.16망의 인증자를 거쳐 이동단말에게 전달된다(S606).The target
이동단말은 새로운 난수 NONCE_MT를 선택하며, 이는 망 인증에 사용될 수 있다. 단말은 EAP 선인증 응답/식별(EAP Preauth Response/Identity) 메시지에서 사용된 식별자 및 NONCE_MT를 EAP 선인증 응답/SIM-시작(EAP Preauth Response/SIM-Start) 메시지에 포함하고, 이를 IEEE 802.16망의 인증자(620)로 전달한다. IEEE 802.16망 인증자(620)는 EAP 선인증 응답/SIM-시작 메시지를 3GPP망 인증자(690)를 통해 3GPP망 인증서버(660)로 전달한다. EAP 선인증 응답/SIM-시작 메시지에 포함된 식별자는 3GPP망 인증서버에 의해 이후의 인증절차에서 사용될 수 있다. EAP 선인증 응답/식별 메시지 및 EAP 선인증 응답/SIM 시작 메시지에 의해 수신된 식별자가 일치하지 않으면, 이전에 HSS/HLR로부터 추출된 사용자 프로파일과 인증벡터는 사용될 수 없다. 따라서, 3GPP 망 인증서버는 새로운 사용자 프로파일 및 인증벡터를 HSS/HLR(680)에서 추출한다(S607).The mobile station selects a new random number NONCE_MT, which can be used for network authentication. The terminal includes the identifier used in the EAP Preauth Response / Identity message and the NONCE_MT in the EAP Preauth Response / SIM-Start message, which is included in the IEEE 802.16 network. Deliver to
3GPP망 인증서버(660)는 이동단말(600)이 EAP-SIM 인증을 수행하기 위해 사용하지 않은 N개의 인증 파라미터들이 있는지 여부를 확인한다. 만약 인증 파라미터들이 없으면, 3GPP망 인증서버(660)는 HSS/HLR(680)로부터 일련의 새로운 인증 파라미터들을 추출한다. 또한, 3GPP망 인증서버(660)는 임시 식별자(TMSI), IMSI, MAC 주소의 매핑도 수행할 수 있다. 한번 인증이 이루어지면, 단말의 식별자로는 EAP-SIM에 의해 채택되는 임시식별자가 사용될 수 있다(S608).The 3GPP
S608 단계는 S607 단계에서 IEEE 802.16망 인증자(620)가 3GPP망 인증자(690)를 거쳐 EAP 선인증 응답/SIM 시작 메시지를 3GPP망 인증서버(660)로 전송한 후에 수행된다. 다만, S608 단계는 S606 단계 이후나 아래의 S609 단계 이전에 수행될 수 있다.Step S608 is performed after the IEEE 802.16
3GPP망 인증서버(660)는 NONCE_MT와 N개의 새로운 Kc들로부터 새로운 키 재료(Keying Material)들을 생성한다. 이 키 재료들은 EAP-SIM에 의해 요구되는 보안관련 컨텍스트들이며, 3GPP 기술 고유의 기밀성이나 무결성 보호를 위해 사용된다. 또한, 인증받은 사용자에게 할당해주기 위한 새로운 익명(Pseudonym)도 생성된다. 이 익명은 EAP-SIM에 의해 생성된 키 재료들을 통해 암호화되고, 무결성이 보호된다. 한편, EAP-SIM에 의해 생성된 키를 사용하여 EAP 메시지에 대해 MAC이 계산되어 네트워크 인증값으로 사용된다(S609).The 3GPP
3GPP망 인증서버(660)는 RAND, MAC 및 보호되는 익명을 EAP 선인증 요청/SIM-신청(EAP Preauth Request/SIM-Challenge) 메시지에 실어서 IEEE 802.16망 인증서버(620)를 통해, IEEE 802.16망 인증자(620)로 전달한다. EAP 선인증 요청/SIM-신청 메시지는 최종적으로 IEEE 802.16망 인증자(620)를 통해 이동단말로 전송된다. 또한, 3GPP망 인증서버(660)는 결과 지시(result indication)를 단말로 전송한다. 결과지시는 인증절차의 맨 끝에 성공 결과(Success Result) 메시지를 보호할지 여부를 명시하기 위한 것이다. 결과 메시지의 보호는 오퍼레이터(Operator) 정책에 달려있다. 3GPP망 인증서버(660)는 EAP 선인증 요청/SIM-신청 메시지에 Kc를 포함시켜 IEEE 802.16망 인증서버(640)로 전달한다. IEEE 802.16망 인증서버(620)에 의해 추가적인 키 재료들이 생성되므로, IEEE 802.16망 고유의 기밀성과 무결성이 보장될 수 있다(S610).The 3GPP
이동단말(600)은 수신된 각 RAND에 대해 SIM내의 GSM A3/A8 알고리즘을 N번 수행하여, N개의 SRES와 Kc 값들을 생성한다. 이동단말은 N개의 Kc들과 NONCE_MT로부터 추가적인 키 재료들을 생성할 수 있다. 이동단말은 새롭게 생성된 키 재료들을 가지고 망 인증 MAC(Network Authentication MAC)을 계산하고, 망 인증 MAC을 수신된 MAC과 동일한지 확인한다. The
만약, MAC이 올바르지 않으면 네트워크 인증은 실패하고, 단말은 인증을 취소한다. MAC이 올바른 경우에 대해, 단말은 인증절차를 계속한다. 단말은 새로운 키 재료들을 가지고, N개의 SRES들을 포함하는 EAP 메시지에 대한 새로운 MAC을 계산한다. 보호되는 익명이 수신되면, 이동단말은 향후의 인증을 위해 이를 저장한다(S611).If the MAC is incorrect, network authentication fails, and the terminal cancels the authentication. If the MAC is correct, the terminal continues the authentication procedure. The terminal has new key materials and calculates a new MAC for the EAP message containing N SRESs. If the protected anonymous is received, the mobile terminal stores it for future authentication (S611).
이동단말은 계산된 RES와 MAC값을 포함하는 EAP 선인증 응답/SIM 신청(EAP Preauth Response/SIM Challenge) 메시지를 IEEE 802.16망의 인증자(620)로 전송한다. 이동단말은 3GPP망 인증서버(660)로부터 동일한 지시(Indication)를 수신하면 EAP 선인증 응답/SIM 신청 메시지에 결과 지시를 포함하고, 서로 다른 지시를 수신하면, 지시(Indication)을 포함하지 않는다. IEEE 802.16망 인증자(620)는 EAP 응답/SIM-신청(EAP Response/SIM-Challenge) 메시지를 IEEE망 인증서버(620)를 통해 3GPP 인증서버(660)로 전달한다(S612).The mobile station transmits an EAP Preauth Response / SIM Challenge message including the calculated RES and MAC values to the
3GPP망 인증서버(660)는 자신의 MAC과 수신된 MAC을 비교함으로써 사용자 인증을 수행한다(S613).The 3GPP
S613 단계에서의 비교결과가 성공적이면, 3GPP망 인증서버(660)는 EAP 선인증 성공(Preauth Success) 메시지의 전송에 앞서 EAP 선인증 요청/SIM-통지(Preauth Request/SIM-Notification) 메시지를 전송한다. EAP 선인증 요청/SIM-통지 메시지는 MAC을 통해 보호된다(S614).If the comparison result in step S613 is successful, the 3GPP
3GPP망 고유의 보안관련 파라미터들은 3GPP망 인증서버(660)로부터 3GPP망 인증자(690)로 전달된다. 보안관련 파라미터들은 S606 단계에서 해당 단말에 대해 생성된 인증벡터들이다. 인증벡터는 추가적으로 단말 식별자(IMSI, TMSI)와 관련된 정보들을 포함하며, MAP(Mobile Application Part) 프로토콜을 통해 전송된다. 이는 향후 3GPP망을 통한 인증절차가 발생할 경우를 위한 것이다. 3GPP network specific security related parameters are passed from the
EAP 선인증 요청/SIM-통지 메시지에는 보안정보 이외에 3GPP망 고유의 기밀성이나 무결성 보호를 위해 생성된 키 재료들이 추가로 포함될 수 있다. 3GPP망의 인증서버(660)는 이를 인증 프로토콜 메시지를 통해 3GPP망으로 전달한다. 3GPP망은 이 키 재료들을 저장하여 인증된 이동단말과 통신을 수행하는데 사용할 수 있다(S615).In addition to the security information, the EAP pre-authentication request / SIM-notification message may further include key materials generated for the confidentiality or integrity protection inherent in the 3GPP network. The
이동단말은 EAP 선인증 요청/SIM-통지(EAP Preauth Request/SIM- Notification)에 대한 응답으로, EAP 선인증 응답/SIM-통지(Preauth Response/SIM-Notification) 메시지를 IEEE 802.16망 인증자(690)로 전달한다. IEEE 802.16망 인증자(690)는 EAP 선인증 응답/SIM-통지 메시지를 3GPP망 인증자(690)를 거쳐 3GPP망의 인증서버(660)에게 전달하며, 3GPP망 인증서버(660)는 이 메시지의 내용은 무시할 수 있다(S616).The mobile terminal responds to the EAP Preauth Request / SIM-Notification and sends an EAP Preauth Response / SIM-Notification message to the IEEE 802.16 network authenticator (690). To pass). The IEEE 802.16
3GPP망의 인증서버(660)는 EAP 성공 여부를 IEEE 802.16망 인증자(620)로 전송한다. 이는 3GPP망의 인증자를 거치며, IEEE 802.16망 인증자는 EAP 선인증 성공(EAP Preauth Success) 메시지를 이용하여 이동단말에 인증의 성공을 통보한다. EAP SIM 절차가 성공적으로 종료되면, L2 핸드오버가 이루어진 후, 단말과 3GPP 망은 인증벡터들과 키 재료들을 공유하게 되고, 안전한 통신이 가능하다(S617).The
S614 단계 내지 S617 단계의 절차에서 타겟망 인증자(690)와 선인증 절차를 수행한 이동단말(600)은 타겟망 인증자(690)과 L2 핸드오버를 수행할 수 있다. 따라서, 핸드오버 후 이동단말과 타겟망과의 새로운 인증절차 및 키 설정절차는 생략될 수 있다. 제 2 계층(L2) 핸드오버가 완료되면, 이동단말(600)의 MAC은 타겟망 인증자(690)의 접속점과 보안연계를 설정하고 통신을 준비한다(S617).The
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다. 또한, 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있다.The invention can be embodied in other specific forms without departing from the spirit and essential features of the invention. Accordingly, the above detailed description should not be construed as limiting in all aspects and should be considered as illustrative. The scope of the invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention. It is also possible to form embodiments by combining claims that do not have an explicit citation in the claims or to include them as new claims by post-application correction.
도 1은 핸드오버 및 초기 망 진입 절차를 설명하기 위한 흐름도이다.1 is a flowchart illustrating a handover and initial network entry procedure.
도 2는 일반적인 IEEE 802.16 시스템의 단말에 대한 인증절차를 설명하기 위한 흐름도이다.2 is a flowchart illustrating an authentication procedure for a terminal of a general IEEE 802.16 system.
도 3은 본 발명의 일 실시예로서, 이종망간 핸드오버시 이동단말이 간접 선인증을 수행하는 과정을 나타내는 도면이다.3 is a diagram illustrating a process of performing an indirect pre-authentication by a mobile terminal when handover between heterogeneous networks according to an embodiment of the present invention.
도 4는 본 발명의 다른 실시예로서, 이종망간 핸드오버시 이동단말이 직접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 4 is a diagram illustrating a process of directly performing pre-authentication by a mobile terminal in a handover between heterogeneous networks according to another embodiment of the present invention.
도 5는 본 발명의 또 다른 실시예로서, 이종망간 핸드오버시 이동단말이 간접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 5 is a diagram illustrating a process of performing an indirect pre-authentication by a mobile terminal during handover between heterogeneous networks according to another embodiment of the present invention.
도 6은 본 발명의 또 다른 실시예로서, 이종망간 핸드오버시 이동단말이 직접 선인증을 수행하는 과정을 나타내는 도면이다.FIG. 6 is a diagram illustrating a process in which a mobile terminal directly performs pre-authentication during handover between heterogeneous networks according to another embodiment of the present invention.
Claims (14)
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2009/000127 WO2009088252A2 (en) | 2008-01-09 | 2009-01-09 | Pre-authentication method for inter-rat handover |
US12/351,688 US8417219B2 (en) | 2008-01-09 | 2009-01-09 | Pre-authentication method for inter-rat handover |
CN2009801019873A CN101911742B (en) | 2008-01-09 | 2009-01-09 | Pre-authentication method for inter-rat handover |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080002692 | 2008-01-09 | ||
KR20080002692 | 2008-01-09 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090076755A true KR20090076755A (en) | 2009-07-13 |
KR101467784B1 KR101467784B1 (en) | 2014-12-03 |
Family
ID=41333816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080064482A KR101467784B1 (en) | 2008-01-09 | 2008-07-03 | Pre-Authentication method for Inter-RAT Handover |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR101467784B1 (en) |
CN (1) | CN101911742B (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035802A (en) * | 2009-09-28 | 2011-04-27 | 华为终端有限公司 | Authentication control method, authentication server and system |
EP2997767A4 (en) * | 2013-05-13 | 2016-05-04 | Ericsson Telefon Ab L M | Mobility in mobile communications network |
US9763148B2 (en) | 2015-05-04 | 2017-09-12 | At&T Intellectual Property I, L.P. | Method and system for managing wireless connectivity in a communication system |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013125896A1 (en) * | 2012-02-22 | 2013-08-29 | 엘지전자 주식회사 | Method and device for supporting voice service in wireless communication system |
CN111277543B (en) * | 2018-12-04 | 2022-08-26 | 华为技术有限公司 | Information synchronization method, authentication method and device |
US11206144B2 (en) | 2019-09-11 | 2021-12-21 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
US11201749B2 (en) * | 2019-09-11 | 2021-12-14 | International Business Machines Corporation | Establishing a security association and authentication to secure communication between an initiator and a responder |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4445829B2 (en) * | 2004-10-13 | 2010-04-07 | 株式会社エヌ・ティ・ティ・ドコモ | Mobile terminal and mobile communication method |
US7813319B2 (en) * | 2005-02-04 | 2010-10-12 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication |
TWI262683B (en) * | 2005-02-04 | 2006-09-21 | Ind Tech Res Inst | A method, a wireless server, a mobile device, and a system for handing over, from a wireless server to another wireless server, in a connection between a mobile device in a foreign intranet network, and an intranet network |
CN1913437B (en) * | 2006-08-25 | 2011-01-05 | 华为技术有限公司 | Initial session protocol application network and device and method for set-up of safety channel |
-
2008
- 2008-07-03 KR KR1020080064482A patent/KR101467784B1/en not_active IP Right Cessation
-
2009
- 2009-01-09 CN CN2009801019873A patent/CN101911742B/en not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035802A (en) * | 2009-09-28 | 2011-04-27 | 华为终端有限公司 | Authentication control method, authentication server and system |
EP2997767A4 (en) * | 2013-05-13 | 2016-05-04 | Ericsson Telefon Ab L M | Mobility in mobile communications network |
US10448286B2 (en) | 2013-05-13 | 2019-10-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobility in mobile communications network |
US9763148B2 (en) | 2015-05-04 | 2017-09-12 | At&T Intellectual Property I, L.P. | Method and system for managing wireless connectivity in a communication system |
US9986475B2 (en) | 2015-05-04 | 2018-05-29 | At&T Intellectual Property I, L.P. | Method and system for managing wireless connectivity in a communication system |
US10356673B2 (en) | 2015-05-04 | 2019-07-16 | AT&T Intellectual Propert I, L.P. | Method and system for managing wireless connectivity in a communication system |
US10560877B2 (en) | 2015-05-04 | 2020-02-11 | At&T Intellectual Property I, L.P. | Method and system for managing wireless connectivity in a communication system |
Also Published As
Publication number | Publication date |
---|---|
CN101911742B (en) | 2013-08-21 |
CN101911742A (en) | 2010-12-08 |
KR101467784B1 (en) | 2014-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101481558B1 (en) | Method of establishing security association in Inter-RAT handover | |
KR101490243B1 (en) | A Method of establishing fast security association for handover between heterogeneous radio access networks | |
CN109309920B (en) | Security implementation method, related device and system | |
US8417219B2 (en) | Pre-authentication method for inter-rat handover | |
US7158777B2 (en) | Authentication method for fast handover in a wireless local area network | |
TWI411275B (en) | Method, system, base station and relay station for establishing security associations in communications systems | |
KR100762644B1 (en) | WLAN-UMTS Interworking System and Authentication Method Therefor | |
US8887251B2 (en) | Handover method of mobile terminal between heterogeneous networks | |
JP5597676B2 (en) | Key material exchange | |
KR100755394B1 (en) | Method for fast re-authentication in umts for umts-wlan handover | |
US20080072057A1 (en) | Authentication and authorization in heterogeneous networks | |
US20090067623A1 (en) | Method and apparatus for performing fast authentication for vertical handover | |
EP3175639B1 (en) | Authentication during handover between two different wireless communications networks | |
US20170230826A1 (en) | Authentication in a radio access network | |
KR101467784B1 (en) | Pre-Authentication method for Inter-RAT Handover | |
JP2008547304A (en) | Method of assigning authentication key identifier for wireless portable internet system | |
CN101742492B (en) | Key processing method and system | |
KR100668660B1 (en) | User authentication method for roaming service between portable internet and 3g network, and router of performing the same | |
CN115412909A (en) | Communication method and device | |
Lin et al. | Performance Evaluation of the Fast Authentication Schemes in GSM-WLAN Heterogeneous Networks. | |
KR100638590B1 (en) | Amethod for terminal authenticating in portable internet system | |
WO2009051405A2 (en) | Method of establishing security association in inter-rat handover | |
WO2016015750A1 (en) | Authentication in a communications network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |