KR20100021690A - Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system - Google Patents
Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system Download PDFInfo
- Publication number
- KR20100021690A KR20100021690A KR1020080080253A KR20080080253A KR20100021690A KR 20100021690 A KR20100021690 A KR 20100021690A KR 1020080080253 A KR1020080080253 A KR 1020080080253A KR 20080080253 A KR20080080253 A KR 20080080253A KR 20100021690 A KR20100021690 A KR 20100021690A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- nas
- terminal
- message
- security mode
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
Description
본 발명은 이동 통신 시스템에 관한 것으로서, 특히 단말과 네트웍 의 인증 과정과 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 보안 과정을 효율적으로 지원하기 위한 방법 및 시스템에 관한 것이다. The present invention relates to a mobile communication system, and more particularly, to a method and system for efficiently supporting an authentication process of a terminal and a network and a NAS protocol security process between a terminal and a mobility manager (MME).
일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다. The 3rd Generation Partnership Project (3GPP), which is representative of general mobile communication systems, defines an Evolved Packet System (EPS) for next generation communication, and introduces an MME as a mobility management entity of a network.
상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 종래에 수행하던 인증 과정과 무선 접속 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 관리 방안을 강화 하였다. In the mobile communication system as described above, an improvement method for providing a high speed communication service in the next generation mobile communication by improving the NAS protocol used in the 3GPP of the conventional mobile communication system, in particular 3GPP. Therefore, in addition to the authentication process and the security process performed in the wireless access layer, the security management method was strengthened by introducing the concept of a secured NAS protocol in the NAS layer.
하지만, 현재 NAS 프로토콜 정의 및 NAS 프로토콜의 보안 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 구체적 절차 및 속성이 정의 되어 있지 않다. 또한 현재 정의된 절차 및 정의된 메시지로는 실제 동작에 동작을 위해 발생되는 신호(signaling)가 많아지고 시그널링 처리에 있어 드는 시간만큼의 시간 소요가 더 있는 문제점이 발생할 수 있다. 따라서 NAS 프로토콜의 보안성을 강화하기 위해 도입된 NAS 보안 모드 명령(NAS security mode command) 명령의 개선을 통해 인증 및 단말과 이동성 관리자(MME) 간의 통신 및 보안을 보다 시간을 절약하고 보안을 효율적으로 지원하는 방법을 명시해야 할 필요가 있다. However, the current NAS protocol definition and security definition of the NAS protocol are in an initial stage, and specific procedures and attributes for supporting the above functions are not defined. In addition, the presently defined procedures and defined messages may cause problems in that a large number of signals are generated for operation in an actual operation, and the time required for signaling processing is increased. Therefore, the NAS security mode command command, which is introduced to enhance the security of the NAS protocol, improves authentication and communication and security between the terminal and the mobility manager (MME). You need to specify how to support it.
본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜을 지원하는 경우, 단말과 네트웍간의 인증과 단말과 이동성 관리자(MME) 사이에 보안화된 NAS 메시지 사용을 위하여 보안성을 제공하는 경우 보다 짧은 시간 내에 인증과 보안성을 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다. 또한 본 발명은 단말과 이동성 관리자(MME) 간의 프로토콜인 NAS 프로토콜을 활용하여 NAS 보안 과정이 어떻게 동작하는 지를 명기함으로써, 3GPP EPS 내에서 뿐만 아니라 3GPP EPS가 아닌 다른 무선 접속 기술 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 인증 및 단말과 이동성 관리자(MME)와 같은 역할을 하는 개체(entity) 사이의 보안 관리를 지원하는 방법 등을 제공한다.According to the present invention, when the NAS protocol is supported in an evolved mobile communication system including 3GPP EPS, security is provided for authentication between a terminal and a network and secured NAS message between a terminal and a mobility manager (MME). It provides a method and system to safely and efficiently support authentication and security in a short time. In addition, the present invention specifies how the NAS security process operates using the NAS protocol, which is a protocol between the terminal and the mobility manager (MME), thereby moving not only within the 3GPP EPS but also to a wireless access technology other than 3GPP EPS, that is, to another access network. Even if it is provided to the terminal using the NAS provides a method for supporting authentication and security management between the terminal (entity), such as the role of the mobility manager (MME).
본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹 은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다. The present invention relates to a method and system for managing security between a terminal and a network using a non-access stratum (network layer: NAS) protocol in a mobile communication network, the NAS protocol according to the present invention. A method for managing security between a terminal and a network by using a message includes a terminal (hereinafter referred to as UE) and a mobility manager (hereinafter referred to as MME). The authentication is performed between the terminal and the network. The terminal performs authentication with the network by selectively enabling the NAS security mode command set for NAS protocol operation between the terminal and the mobility manager (MME) during the authentication process and the authentication process. And secure mode commands, or the terminal is secured in the middle of performing network and authentication. Performing de command to shorten the time required for security procedures, may perform the operations necessary for the security between the terminal and the mobile manager (MME). Therefore, the present invention has an advantage of reducing the time required for the authentication process and the security mode command. Meanwhile, the authentication process and the security mode command process can be performed independently according to the role to be performed, thereby raising the method of preparing for the case where the execution of the security mode command is arbitrarily necessary and needs to be performed. In addition, there is an advantage of efficiently managing security in communication between the terminal and the mobile manager, and shortening the time according to the security procedure.
본 발명의 실시예에 따라 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법이, 단말(이하 UE로 표기), 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 단말과 이동 관리자, HSS 사이에 이루어지는 인증(authentication) 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과, 단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)을 선택적으로 수행하도록 가능하도록 하는 과정과, 단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 한다.According to an embodiment of the present invention, a method for managing security between a terminal and a network using a non-access stratum (non-access stratum, ie, network layer: NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE), A mobile manager (MME), which includes a mobility management entity (hereinafter referred to as MME) and an HSS, sends and receives an authentication request / response message between the terminal, the mobile manager and the HSS, and exchanges necessary information with the terminal. Enabling a user to selectively perform a NAS security mode command set for NAS protocol operation between the terminal and the mobility manager (MME) during an authentication process between the mobile managers and responding to the mobile manager from the terminal. It is characterized by the process of receiving a message.
여기서 NAS 관련 메시지는 선택적 수행이 가능하도록 하는 메시지인 NAS 보안 모드 활성 타입 정보 요소를 더 포함한다. 그리고 선택적 수행이 가능한 경우 포함되어야할 NAS 보안 모드 정보를 알려주는 NAS 보안 모드 정보 요소를 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 NAS 보안 모드 활성화 타입 값을 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 보안 플래그를 더 포함한다.In this case, the NAS related message further includes a NAS security mode active type information element, which is a message that enables selective execution. And it further includes a NAS security mode information element that informs the NAS security mode information to be included if possible to perform optional. In addition, the NAS security mode activation type information element further includes a NAS security mode activation type value. The NAS security mode activation type information element further includes a security flag.
그리고 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와, 인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말과, 인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 한다.In addition, a system for managing security between a terminal and a network using a non-access stratum (hereinafter referred to as NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE) and a mobile manager ( MME, mobility management entity (hereinafter referred to as MME), a mobility manager that includes an HSS, transmits an authentication request message or an authentication request message including NAS security mode, or a NAS security mode command message, and transmits information required for these messages; The mobile terminal transmits an authentication response message or NAS security mode completion message including a response message or NAS security mode, and transmits information necessary for these messages, and an HSS for generating and transmitting an authentication vector required for authentication.
이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다. In the present invention operating as described in detail above, the effects obtained by the representative ones of the disclosed inventions will be briefly described as follows.
본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode)를 관리, 등록 관리(registration management : Attach, detach 관리), 위치 관리(location management : tracking area 관리) 하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode) 에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode) 에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP 의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다. The present invention manages the mobility and idle mode of a terminal using a non-access stratum (network layer: NAS) protocol in a mobile communication network (registration management: Attach, detach) Management), location management (location management: tracking area management) method and system, using the NAS protocol, that is, the message according to the present invention to manage the mobility of the terminal, idle mode (idle mode), registration management, location management The method includes a terminal (hereinafter referred to as UE) and a mobility manager (hereinafter referred to as MME), wherein the terminal is handed over in an active mode and an idle mode. (location management) in the (idle mode), when the terminal is registered in the network, mobility management in a network such as EPS (Evolved Packet System) of 3GPP When sending or receiving a message that plays the same role among the EMM (EPS Mobility Management) messages, if the received message is a secured NAS message, a method for efficiently handling the secured NAS message is presented. There is an advantage of efficient location management and registration management.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되 는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the preferred embodiment of the present invention. In the following description of the present invention, detailed descriptions of well-known functions or configurations will be omitted if it is determined that they may unnecessarily obscure the subject matter of the present invention. In addition, terms to be described below are defined in consideration of functions in the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.
후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 이동시스템에 인증과 단말과 MME 간의 프로토콜인 NAS 의 보안성을 관리 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다. SUMMARY OF THE INVENTION The present invention to be described below provides a method for managing and supporting authentication and security of a NAS, which is a protocol between a terminal and an MME, using a NAS protocol, which is a protocol between a terminal and an MME, for a mobile communication system. Hereinafter, in describing the present invention in detail, an EPS system based on 3GPP will be used, and the present invention may be used in other mobile systems using NAS.
한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시예는 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 인증 및 단말과 이동성 관리자(MME) 간의 통신시 보안성을 지원하는 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.Meanwhile, as shown in FIG. 1 of the present invention, the embodiment of FIG. 1 proposes a method for supporting security during authentication and communication between a terminal and a mobility manager (MME) using a NAS protocol, which is a basic object of the present invention. May be modified in some manner without departing from the scope of the present invention in other mobile communication systems having similar technical background and channel type, network architecture or similar protocol or protocols having different but similar operation. Applicable, this will be possible at the discretion of those skilled in the art.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도 이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조 를 도시하였다. 1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to an exemplary embodiment of the present invention. Here, the 3GPP EPS system structure is shown as an example.
도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함)(112)은 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다. 한편 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 위하여 이동 관리자(Mobility Management Entity : 이하 MME로 표기)(114)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server :이하 HSS)(121)가 MME(114) 와 인터페이스를 가지고 연결되어 있다.Referring to FIG. 1, an Evolved Node Base Station (E Node B: hereinafter referred to as eNB) 112 is a UE (User Equipment: hereinafter referred to as UE or UE) located in a cell which is each
eNB(112)와 Serving GW(116), MME(114) 와 Serving GW(116) 사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의UE(110)과 MME(114)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다. An interface for managing the data path and mobility of the UE exists between the eNB 112 and the Serving GW 116, the
본 발명에서는 UE(110)의 이동성 관리, 위치 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말(110) 사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와, 위치, 세션 관리를 위하여 단말(110)와 MME(114) 사이에 도입된 NAS 프로토콜은 종래의 3GPP 시스템에서도 있던 것으로 EPS 시스템으로 되면서 보안성이 강화 되었다. 즉 NAS 프로토콜 상에서도 무결성과 암호화를 지원하기 위하여 NAS 프로토콜 절차 및 각 엔티티의 역할을 보완해 가고 있으나 현재로서 보완이 미흡하여 본 발명에서는 NAS 프로토콜을 기반으로 UE(110), MME(114)가 효율적으로 동작할 수 있도록 상기의 네트워크를 참조하여 이하 도 2 내지 도 5를 설명하기로 한다. The present invention focuses on the NAS protocol, which is a protocol between the MME 114 and the
도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 이다. 이러한 도 2의 흐름도는 NAS 프로토콜 보안 즉 NAS 프로토콜의 무결성과 암호화 과정으로서 이러한 흐름에 있어서 종래의 기술과 차이점은 하기의 [표 1] 내지 [표 4]의 메시지 포맷을 참조하기로 한다. 인증 과정과 NAS 보안 과정에 있어서 중요한 개체(entity)는 도 2에서 보는 바와 같이 UE(110), MME(114), HSS(121)이다. 201 과정에서 UE(110)는 MME(114)에게 사용자 식별자를 보내고 MME(114)와 HSS(121)는 인증 벡터(authentication vector)를 요청해서 받고, MME(114)는 인증 벡터를 선정하게 된다. 203 단계에서 MME(114)는 UE(110)로 인증 요청(AUTHENTICATION REQUEST) 메시지를 보내어 인증 벡터 중 일부인 인증 토큰(authentication token : 이하 AUTN으로 표기)과 난수 요구(random challenge : 이하 RAND로 표기)를 보내게 되고 UE(110)는 받은 AUTN을 검증한다. 205 단계에서 UE(110)는 인증 응답 메시지를 MME(114)로 보내면서 UE(110)에서 계 산한 응답 매개 변수(RESPONSE : 이후 RES로 표기)를 포함하여 MME(114)로 보내게 된다. 이후 207 단계에서 MME(114)와 UE(110) 에서 인증과 키 일치 프로토콜(authentication and key agreement : 이후 AKA로 표기)의 남은 부분을 수행한다. 즉 UE(110)에서는 무결성 키(Integrity key : 이하 IK로 표기), 암호화 키(cipher key 이하 Ck로 표기)를 계산하고, MME(114)에서는 응답 매개 변수(RES)와 기대된 응답(Expected Response: 이하 XRES로 표기)을 비교하여 MME 자신이 인증 요구를 보낸 단말로부터 온 인증 반응인지 여부를 검증한다. 209 단계에서는 MME(114)에서 UE(110)로 NAS 보안 모드 명령(security mode command) 메시지를 보낸다. 이러한 NAS 보안 모드 명령에는 선택된 NAS 보안 알고리즘과 NAS 키 세트 식별자(key set identifier: 이하 KSI로 표기)를 알려주고, 이에 대한 응답으로서 211 단계에서 UE은 MME에게 NAS 보안 모드 완료(security mode complete) 메시지를 보낸다. 보안 모드 명령은 NAS 메시지 보안 설정을 위해 사용되므로 본 발명에서와 같이 인증 과정과 함께 쓰이는 경우에도 사용이 된다. 따라서 본 발명에서는 인증 과정 이후 보안 모드 명령이 나오는 것을 인증 과정에서 선택적으로 사용할 수 있는 과정을 설명하였는바 이후 도 3의 과정과 [표 1] 내지 [표 4] 의 NAS 보안 모드(NAS security mode) 관련 정보 요소(information element : 이후 IE로 표기)를 참조하기로 한다. 즉 도 2와 같은 동작을 위해서는NAS security mode information 이 포함되지 않은 인증 요청(AUTHENTICAION REQUEST) 메시지를 MME에서 UE로 전송하여야 한다. 이와 같은 동작은 하기의 [표 2] 내지 [표 4]를 참조한다. 2 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. 2 is a NAS protocol security, i.e., the integrity and encryption process of the NAS protocol, and the difference with the conventional technology in this flow will refer to the message formats shown in Tables 1 to 4 below. Important entities in the authentication process and the NAS security process are the UE 110, the
도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도이다. 즉 도 3 에서는 도 2와 같은 인증 과정과 보안 모드 명령 과정을 함께 실시 할 경우를 일 실시예를 든 것이다. 3 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. In other words, FIG. 3 illustrates an embodiment in which the authentication process and the security mode command process as shown in FIG. 2 are performed together.
상기 도 3을 참조하면, 301 단계에서는 201 단계에서와 같이 UE(110)와 MME(114), HSS(121)는 AKA 앞부분의 동작을 수행한다. 이후 303 단계에서는 AKA의 인증 요청 과정과 NAS 보안 모드 명령 과정을 함께 수행하게 되는데, 이를 본 발명에서는 NAS 보안 모드 포함 인증 요청(AUTHENTICAION REQUEST with NAS SECURITY MODE) 메시지라고 표기하였다. 이러한 과정은 [표 1] 내지 [표 4]의 메시지 포맷에 따른다. 이러한 NAS 보안 모드 포함 인증 요청 메시지는 MME(114)에서 UE(110)로 보내지는 요청 메시지이다. 305 단계에서는 UE(110)로부터 MME(114)로 NAS 보안 모드 포함 인증 응답(AUTHENTICATION RESPONSE with NAS SECURITY MODE) 메시지를 전송한다. 이후 MME는 UE로부터 응답받은 RES와 자신이 가진 XRES를 비교하여 UE로부터 온 메시지인지를 검증한다. Referring to FIG. 3, in step 301, as in step 201, the
도 4는 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 이다. 4 is a flowchart illustrating a scheme for supporting an authentication and NAS protocol security process in an MME according to an embodiment of the present invention.
상기 도 4를 참조하면, 401 단계에서 AKA 인증 과정의 앞부분을 수행한다. 이러한 과정에 대한 설명은 도 3의 301 단계 혹은 도2 의 201 단계를 참조한다. 403 단계에서 MME(114)는 인증 요청메시지 만을 UE(110)에 요청하는지 혹은 NAS 보안 모드 설정을 포함한 NAS 보안 모드 인증 요청 메시지를 UE로 전송할지를 결정한 다. 인증 요청 메시지만을 전송하는 경우는 421 단계로 진행하여 421 단계에서와 같이 NAS 보안 모드를 포함하지 않는 인증 요청 메시지를 UE로 보내게 되며, 423 단계에서와 같이 UE로부터 인증 응답 메시지를 받게 되면 425 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터 응답이 왔는지 여부를 판단한다. 이후 필요한 경우에 따라 427 단계에서와 같이 MME(114)로부터 UE(110)로 보안 모드 명령(SECURITY MODE COMMAND) 메시지를 보내고 이에 대한 응답으로 보안 모드 완성(SECURITY MODE COMPLETE) 메시지를 429 단계에서 단말로부터 받게 된다. 이 경우 421 단계에서는 NAS 보안 모드를 포함하지 않음을 알리기 위하여 하기의 [표 2] 내지 [표 4]의 메시지 포맷 사용이 가능하다. 혹은 종래의 메시지 포맷을 그대로 이용할 수 도 있다. Referring to FIG. 4, in
한편 405 단계에서와 같이 NAS 보안 모드를 포함한 인증 요청 메시지를 MME로부터 UE로 전송한 경우 407 단계에서와 같이 NAS 보안 모드 포함 인증 응답 메시지를 UE로부터 수신하게 되고 이에 409 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터의 응답인지를 검증한다. 이때 405 내지 407 단계에서 전송하는 NAS 보안 모드 포함 인증 요청 메시지와 NAS 보안 모드 포함 인증 응답 메시지는 하기의 [표 1] 내지 [표 2]의 메시지 포맷 사용이 가능하다. Meanwhile, when the authentication request message including the NAS security mode is transmitted from the MME to the UE as in
도 5는 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도이다. 5 is a flowchart illustrating a method for supporting an authentication and NAS protocol security process in a terminal according to an embodiment of the present invention.
상기 도 5를 참조하면, 501 단계에서 도2 의 201 단계에서와 같은 AKA 인 증 앞부분을 수행한다. 503 단계에서 UE는 MME로부터 인증 요청 메시지만 포함하는 메시지를 받거나 혹은 NAS 보안 모드 포함 인증 요청 메시지를 받을 수 있다. 이에 인증 요청 메시지만 받은 경우 511 단계로 진행하여, AKA 과정의 일부인 AUTN을 검증하고 RES를 계산하게 된다. 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 513 단계에서UE는 MME로 인증 반응 메시지를 보내게 된다. 이후 515 단계에서는 무결성 키(IK) 와 암호화 키(CK)를 계산한다. Referring to FIG. 5, in
한편 UE(110)가 NAS 보안 포함 인증 요청 메시지를 MME로부터 받은 경우는 505 단계에서 AUTN 검증하고 RES를 계산하며, 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 507 단계에서NAS 보안 모드 포함 인증 반응 메시지를 MME로 전송하게 된다. 이후 515 단계는 상기 기술한 바와 동일하다. On the other hand, when the
상기의 도 2 내지 도 5에서 기술한 대로 단말(UE)과 이동 관리자(MME)가 동작하기 위해서는 다음 [표 1] 내지 [표 4]의 메시지 등이 지원되어야 하는 경우가 있다. 이에 하기에서 이를 기술하기로 한다. As described above with reference to FIGS. 2 to 5, in order for the UE and the MME to operate, the following messages of Tables 1 to 4 may need to be supported. This will be described below.
[표 1]은 NAS 보안 모드 정보 요소( Information element : 이하 IE로 표기)로서 [표 2] 의 NAS 보안 모드 활성 타입 IE(Information element)가 NAS 보안 모드를 활성화하여 사용한다고 지시하는 경우에 있어서 구체적으로 포함되어야 할 정보에 대해 알려주는 정보 요소이다. 따라서 MME 에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함되어 구체적인 NAS 보안 모드 정보를 포함하게 된다. 1 옥텟의 NAS 보안 모드 정보 요소 식별자의 경우 표준 단체에 의해 할당되는 값이다. 2 옥텟에는 NAS 보안 모드 정보 요소의 전체 길이를 나타내는 length 필드로 되어 있고, 3 옥텟에는 선택된 NAS 보안 알고리즘의 정보가 들어간다. 4 옥텟에는 NAS 키 세트 식별자(NAS key set identifier)가 들어가는데 이는 NAS 메시지의 보안에 사용되는 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등의 키세트를 식별하는 식별자이다. 옥텟 5에는 UE에 의해 지원되는 보안 알고리즘을 기술하며 옥텟 6에는 국제 모바일 장비 식별 소프트웨어 버전(international mobile equipment identity software version : 이하 IMEISV로 표기)이 포함되어 통신 가입자(subscriber) 의 모바일 장비와 그 소프트웨어 버전을 알려주게 된다. 이러한 IMEISV는 대체로 인증 혹은 암호화 반응 메시지에 단말에 의해 IMEISV가 포함되기를 요청하는 경우에 포함되는 파라미터 이다. [Table 1] is a NAS security mode information element (indicated by IE hereinafter). In the case where the NAS security mode activation type IE (Information element) of [Table 2] indicates that the NAS security mode is activated and used, Information element that informs about the information to be included. Therefore, it is included in the authentication request (AUTHENTICATION REQUEST) message sent from the MME to the UE to include specific NAS security mode information. The NAS security mode information element identifier of 1 octet is assigned by the standard organization. The 2 octets contain a length field indicating the total length of the NAS security mode information elements, and the 3 octets contain information of the selected NAS security algorithm. The four octets contain a NAS key set identifier, which identifies a keyset, such as NAS encryption key K NASenc or integrity key K NASint , used to secure NAS messages. Octet 5 describes the security algorithms supported by the UE, and octet 6 contains the international mobile equipment identity software version (hereafter referred to as IMEISV), indicating the mobile device and its software version of the subscriber. You will be informed. Such an IMEISV is a parameter that is generally included when the terminal requests the IMEISV to be included in the authentication or encryption response message.
메시지 1 : NAS 보안 모드IE(Information element)Message 1: NAS Security Mode Information Element (IE)
하기의 [표 2]는 MME에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함하여 보내는 NAS 보안 모드 활성 타입 IE(Information element)이다. 이는 NAS 보안 모드(security mode)를 사용할지 말지를 UE에게 알려주기 위해 사용하는 정보 요소(information element : 이후 IE로 표기)이다. 총 8 비트로 구성되어 bit 5678 의 경우는 정보 요소 식별자(information element identifier)로서 3GPP나 표준 기관에 의해 할당되는 값이 될 것이다. 한편 비트 123의 경우는 NAS 보안 모드를 활성화 시키는 타입을 알려주기 위해 사용되는 것으로 그 값의 구체적 예 중 하나의 실시예는 [표 3]을 참조하기로 한다. 또한 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되며 그 값의 구체적 예중 하나의 실시예는 [표 4] 의 실시예를 참조하기로 한다.[Table 2] below is a NAS security mode activation type IE (Information element) sent by including in an authentication request (AUTHENTICATION REQUEST) message sent from the MME to the UE. This is an information element (hereinafter referred to as IE) that is used to inform the UE whether to use the NAS security mode. Composed of 8 bits in total, bit 5678 will be a value assigned by 3GPP or a standard authority as an information element identifier. Meanwhile, bit 123 is used to inform the type of activating the NAS security mode. For one embodiment of the specific value, refer to [Table 3]. It is also used as a flag for deciding whether to use the NAS security mode and one embodiment of a specific example of the value will be referred to the embodiment of Table 4 below.
메시지 2 : NAS 보안 모드 활성 타입 IE(Information element)Message 2: NAS Security Mode Active Type Information Element (IE)
하기의 [표 3]에서는 NAS 보안 모드 활성 타입에 따른 값의 할당에 대한 일 실시예를 기록하였다. 등록(attach), 핸드오버(handover), 위치 갱신(tracking area update), 그리고 MME의 요청 혹은 향후 사용을 위한 예약(reserved) 등의 경우에 다음과 같이 bit 123을 할당하여 000, 001, 010을 사용하여 구분한다. 한편 MME 요청에 의해 NAS 보안 모드를 활성화 하는 경우에는 011을 사용하며, 그 외 비트의 조합은 향후 사용을 위해 예약을 해둔다. Table 3 below records an embodiment of assigning a value according to the NAS security mode active type. In the case of attach, handover, tracking area update, MME's request or reserved for future use, bit 123 is assigned as 000, 001, 010 as follows: Use to distinguish. On the other hand, if the NAS security mode is activated by MME request, 011 is used, and the other combination of bits is reserved for future use.
메시지 3 : NAS 보안 모드 활성 타입 값(value) Message 3: NAS Security Mode Active Type Value
하기의 [표 4]에서는 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되는 보안 플래그 값(security flag)에 대해 일 실시예를 표로 나타내었다. 4 bit 의 값이 0으로 세팅된 경우 NAS 보안 모드를 포함하지 않는 인증 요청 메시지(authentication request)를 MME(114)로부터 UE(110)로 전송한다. 이와 반면 1로 세팅된 경우는 NAS 보안 모드를 포함하는 인증 요청 메시지를 전송하게 된다. Table 4 below shows an embodiment of a table for a security flag used as a flag for determining whether to use a NAS security mode. When the value of 4 bit is set to 0, an authentication request message (authentication request) not including the NAS security mode is transmitted from the
메시지 4 : NAS 보안 모드 활성 타입 IE의 보안 플래그 값 (security flag value) Message 4: Security flag value of NAS security mode active type IE
한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다. Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by those equivalent to the scope of the claims.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도,1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to an embodiment of the present invention;
도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 2 is a message flow diagram illustrating a procedure of authentication and NAS protocol security process according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 3 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention.
도 4은 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 4 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in an MME according to an embodiment of the present invention.
도 5은 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 5 is a flowchart illustrating a method for supporting an authentication and NAS protocol security process in a terminal according to an embodiment of the present invention.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20080080253A KR101485801B1 (en) | 2008-08-18 | 2008-08-18 | Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20080080253A KR101485801B1 (en) | 2008-08-18 | 2008-08-18 | Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100021690A true KR20100021690A (en) | 2010-02-26 |
KR101485801B1 KR101485801B1 (en) | 2015-01-29 |
Family
ID=42091237
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20080080253A KR101485801B1 (en) | 2008-08-18 | 2008-08-18 | Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101485801B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110122029A (en) * | 2010-05-03 | 2011-11-09 | 삼성전자주식회사 | Short message service message delivery method and system in a mobile telecommunication system |
WO2012033383A2 (en) * | 2010-09-09 | 2012-03-15 | Samsung Electronics Co., Ltd. | Nas communication method and apparatus in mobile telecommunication system |
US10511967B2 (en) | 2015-11-10 | 2019-12-17 | Samsung Electronics Co., Ltd. | Method for establishing communication connection between electronic devices and electronic device therefor |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7200383B2 (en) * | 2004-04-26 | 2007-04-03 | Nokia Corporation | Subscriber authentication for unlicensed mobile access signaling |
US8127136B2 (en) * | 2004-08-25 | 2012-02-28 | Samsung Electronics Co., Ltd | Method for security association negotiation with extensible authentication protocol in wireless portable internet system |
CN100574185C (en) | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | The method that in the IP multimedia service subsystem network, ensures media stream safety |
KR101213285B1 (en) * | 2006-01-04 | 2012-12-17 | 삼성전자주식회사 | METHOD AND APPRATUS FOR Session Initiation Protocol DATA TRANSMISSION OF IDLE MODE USER EQUIPMENT IN A MOBILE COMMUNICATION SYSTEM |
-
2008
- 2008-08-18 KR KR20080080253A patent/KR101485801B1/en not_active IP Right Cessation
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110122029A (en) * | 2010-05-03 | 2011-11-09 | 삼성전자주식회사 | Short message service message delivery method and system in a mobile telecommunication system |
WO2011139056A3 (en) * | 2010-05-03 | 2012-03-01 | 삼성전자 주식회사 | Method and system for delivering sms (short message service) messages in a mobile communication system |
US9055418B2 (en) | 2010-05-03 | 2015-06-09 | Samsung Electronics Co., Ltd. | Method and system for delivering SMS (short message service) messages in a mobile communication system |
WO2012033383A2 (en) * | 2010-09-09 | 2012-03-15 | Samsung Electronics Co., Ltd. | Nas communication method and apparatus in mobile telecommunication system |
KR20120026178A (en) * | 2010-09-09 | 2012-03-19 | 삼성전자주식회사 | Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system |
WO2012033383A3 (en) * | 2010-09-09 | 2012-05-24 | Samsung Electronics Co., Ltd. | Nas communication method and apparatus in mobile telecommunication system |
US9584999B2 (en) | 2010-09-09 | 2017-02-28 | Samsung Electronics Co., Ltd. | Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system |
US10313869B2 (en) | 2010-09-09 | 2019-06-04 | Samsung Electronics Co., Ltd. | Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system |
US10511967B2 (en) | 2015-11-10 | 2019-12-17 | Samsung Electronics Co., Ltd. | Method for establishing communication connection between electronic devices and electronic device therefor |
Also Published As
Publication number | Publication date |
---|---|
KR101485801B1 (en) | 2015-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10728757B2 (en) | Security implementation method, related apparatus, and system | |
CN108574969B (en) | Connection processing method and device in multi-access scene | |
KR101700448B1 (en) | Method and system for managing security in mobile communication system | |
US8861732B2 (en) | Method and system for supporting security in a mobile communication system | |
WO2018145654A1 (en) | Multi-access management implementation method and device, and computer storage medium | |
EP1741308B1 (en) | Improved subscriber authentication for unlicensed mobile access network signaling | |
KR101475349B1 (en) | Security method and apparatus related mobile terminal security capability in mobile telecommunication system | |
KR101712865B1 (en) | Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system | |
US9609498B2 (en) | Security control method and device in a mobile communication system supporting emergency calls, and a system therefor | |
US11533610B2 (en) | Key generation method and related apparatus | |
US10320754B2 (en) | Data transmission method and apparatus | |
US20170359719A1 (en) | Key generation method, device, and system | |
US10798082B2 (en) | Network authentication triggering method and related device | |
US20140141763A1 (en) | Method for setting terminal in mobile communication system | |
KR20070073343A (en) | Method and appratus for session initiation protocol data transmission of idle mode user equipment in a mobile communication internet protocol mutimedia subsystem | |
WO2009008627A2 (en) | A method of establishing fast security association for handover between heterogeneous radio access networks | |
WO2009152755A1 (en) | Method and system for generating an identity identifier of a key | |
CN111466131B (en) | Method and computing device for partitioning traffic between multiple accesses | |
CN117377011A (en) | First network device and method thereof, and second network device and method thereof | |
KR20110092132A (en) | Method and system for handover to wlan network from lte network | |
WO2011137823A1 (en) | Key insulation method and device | |
CN102740290B (en) | Method for pre-authentication and pre-configuration, and system thereof | |
WO2023213301A1 (en) | Authentication method, communication apparatus, and computer-readable storage medium | |
KR101485801B1 (en) | Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system | |
CN108093473A (en) | A kind of register method and MME |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20171228 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |