KR20100021690A - Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system - Google Patents

Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system Download PDF

Info

Publication number
KR20100021690A
KR20100021690A KR1020080080253A KR20080080253A KR20100021690A KR 20100021690 A KR20100021690 A KR 20100021690A KR 1020080080253 A KR1020080080253 A KR 1020080080253A KR 20080080253 A KR20080080253 A KR 20080080253A KR 20100021690 A KR20100021690 A KR 20100021690A
Authority
KR
South Korea
Prior art keywords
authentication
nas
terminal
message
security mode
Prior art date
Application number
KR1020080080253A
Other languages
Korean (ko)
Other versions
KR101485801B1 (en
Inventor
서경주
임채권
이현우
양승기
조영호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR20080080253A priority Critical patent/KR101485801B1/en
Publication of KR20100021690A publication Critical patent/KR20100021690A/en
Application granted granted Critical
Publication of KR101485801B1 publication Critical patent/KR101485801B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

PURPOSE: A management method and a system for supporting a NAS(Non- Access Stratum) protocol security are provided to efficiently operate the mobility of a terminal, a location management and a registration management by using a method for efficiently processing the secured NAS message. CONSTITUTION: The front part of a AKA(Authentication and Key Agreement) authentication procedure is operated(401). A MME(Mobility Management Entity) decides whether to transmit an authentication request message or a NAS security mode authentication to a terminal(403). An authentication response message is received from the terminal(423). The MME decides a response from a corresponding terminal by comparing an expected response with a response(425). A security mode command message is transmitted from the MME to the terminal(427). A security mode complete message is received from the terminal(429).

Description

이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 {METHOD AND SYSTEM FOR SUPPORTING AUTHENTICATION AND SECURITY PROTECTED NON-ACCESS STRATUM PROTOCOL IN MOBILE TELECOMMUNICATION SYSTEM }{METHOD AND SYSTEM FOR SUPPORTING AUTHENTICATION AND SECURITY PROTECTED NON-ACCESS STRATUM PROTOCOL IN MOBILE TELECOMMUNICATION SYSTEM}

본 발명은 이동 통신 시스템에 관한 것으로서, 특히 단말과 네트웍 의 인증 과정과 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 보안 과정을 효율적으로 지원하기 위한 방법 및 시스템에 관한 것이다. The present invention relates to a mobile communication system, and more particularly, to a method and system for efficiently supporting an authentication process of a terminal and a network and a NAS protocol security process between a terminal and a mobility manager (MME).

일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다. The 3rd Generation Partnership Project (3GPP), which is representative of general mobile communication systems, defines an Evolved Packet System (EPS) for next generation communication, and introduces an MME as a mobility management entity of a network.

상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 종래에 수행하던 인증 과정과 무선 접속 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 관리 방안을 강화 하였다. In the mobile communication system as described above, an improvement method for providing a high speed communication service in the next generation mobile communication by improving the NAS protocol used in the 3GPP of the conventional mobile communication system, in particular 3GPP. Therefore, in addition to the authentication process and the security process performed in the wireless access layer, the security management method was strengthened by introducing the concept of a secured NAS protocol in the NAS layer.

하지만, 현재 NAS 프로토콜 정의 및 NAS 프로토콜의 보안 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 구체적 절차 및 속성이 정의 되어 있지 않다. 또한 현재 정의된 절차 및 정의된 메시지로는 실제 동작에 동작을 위해 발생되는 신호(signaling)가 많아지고 시그널링 처리에 있어 드는 시간만큼의 시간 소요가 더 있는 문제점이 발생할 수 있다. 따라서 NAS 프로토콜의 보안성을 강화하기 위해 도입된 NAS 보안 모드 명령(NAS security mode command) 명령의 개선을 통해 인증 및 단말과 이동성 관리자(MME) 간의 통신 및 보안을 보다 시간을 절약하고 보안을 효율적으로 지원하는 방법을 명시해야 할 필요가 있다. However, the current NAS protocol definition and security definition of the NAS protocol are in an initial stage, and specific procedures and attributes for supporting the above functions are not defined. In addition, the presently defined procedures and defined messages may cause problems in that a large number of signals are generated for operation in an actual operation, and the time required for signaling processing is increased. Therefore, the NAS security mode command command, which is introduced to enhance the security of the NAS protocol, improves authentication and communication and security between the terminal and the mobility manager (MME). You need to specify how to support it.

본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜을 지원하는 경우, 단말과 네트웍간의 인증과 단말과 이동성 관리자(MME) 사이에 보안화된 NAS 메시지 사용을 위하여 보안성을 제공하는 경우 보다 짧은 시간 내에 인증과 보안성을 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다. 또한 본 발명은 단말과 이동성 관리자(MME) 간의 프로토콜인 NAS 프로토콜을 활용하여 NAS 보안 과정이 어떻게 동작하는 지를 명기함으로써, 3GPP EPS 내에서 뿐만 아니라 3GPP EPS가 아닌 다른 무선 접속 기술 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 인증 및 단말과 이동성 관리자(MME)와 같은 역할을 하는 개체(entity) 사이의 보안 관리를 지원하는 방법 등을 제공한다.According to the present invention, when the NAS protocol is supported in an evolved mobile communication system including 3GPP EPS, security is provided for authentication between a terminal and a network and secured NAS message between a terminal and a mobility manager (MME). It provides a method and system to safely and efficiently support authentication and security in a short time. In addition, the present invention specifies how the NAS security process operates using the NAS protocol, which is a protocol between the terminal and the mobility manager (MME), thereby moving not only within the 3GPP EPS but also to a wireless access technology other than 3GPP EPS, that is, to another access network. Even if it is provided to the terminal using the NAS provides a method for supporting authentication and security management between the terminal (entity), such as the role of the mobility manager (MME).

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹 은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다. The present invention relates to a method and system for managing security between a terminal and a network using a non-access stratum (network layer: NAS) protocol in a mobile communication network, the NAS protocol according to the present invention. A method for managing security between a terminal and a network by using a message includes a terminal (hereinafter referred to as UE) and a mobility manager (hereinafter referred to as MME). The authentication is performed between the terminal and the network. The terminal performs authentication with the network by selectively enabling the NAS security mode command set for NAS protocol operation between the terminal and the mobility manager (MME) during the authentication process and the authentication process. And secure mode commands, or the terminal is secured in the middle of performing network and authentication. Performing de command to shorten the time required for security procedures, may perform the operations necessary for the security between the terminal and the mobile manager (MME). Therefore, the present invention has an advantage of reducing the time required for the authentication process and the security mode command. Meanwhile, the authentication process and the security mode command process can be performed independently according to the role to be performed, thereby raising the method of preparing for the case where the execution of the security mode command is arbitrarily necessary and needs to be performed. In addition, there is an advantage of efficiently managing security in communication between the terminal and the mobile manager, and shortening the time according to the security procedure.

본 발명의 실시예에 따라 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법이, 단말(이하 UE로 표기), 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 단말과 이동 관리자, HSS 사이에 이루어지는 인증(authentication) 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과, 단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)을 선택적으로 수행하도록 가능하도록 하는 과정과, 단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 한다.According to an embodiment of the present invention, a method for managing security between a terminal and a network using a non-access stratum (non-access stratum, ie, network layer: NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE), A mobile manager (MME), which includes a mobility management entity (hereinafter referred to as MME) and an HSS, sends and receives an authentication request / response message between the terminal, the mobile manager and the HSS, and exchanges necessary information with the terminal. Enabling a user to selectively perform a NAS security mode command set for NAS protocol operation between the terminal and the mobility manager (MME) during an authentication process between the mobile managers and responding to the mobile manager from the terminal. It is characterized by the process of receiving a message.

여기서 NAS 관련 메시지는 선택적 수행이 가능하도록 하는 메시지인 NAS 보안 모드 활성 타입 정보 요소를 더 포함한다. 그리고 선택적 수행이 가능한 경우 포함되어야할 NAS 보안 모드 정보를 알려주는 NAS 보안 모드 정보 요소를 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 NAS 보안 모드 활성화 타입 값을 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 보안 플래그를 더 포함한다.In this case, the NAS related message further includes a NAS security mode active type information element, which is a message that enables selective execution. And it further includes a NAS security mode information element that informs the NAS security mode information to be included if possible to perform optional. In addition, the NAS security mode activation type information element further includes a NAS security mode activation type value. The NAS security mode activation type information element further includes a security flag.

그리고 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와, 인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말과, 인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 한다.In addition, a system for managing security between a terminal and a network using a non-access stratum (hereinafter referred to as NAS) protocol in a mobile communication network includes a terminal (hereinafter referred to as UE) and a mobile manager ( MME, mobility management entity (hereinafter referred to as MME), a mobility manager that includes an HSS, transmits an authentication request message or an authentication request message including NAS security mode, or a NAS security mode command message, and transmits information required for these messages; The mobile terminal transmits an authentication response message or NAS security mode completion message including a response message or NAS security mode, and transmits information necessary for these messages, and an HSS for generating and transmitting an authentication vector required for authentication.

이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다. In the present invention operating as described in detail above, the effects obtained by the representative ones of the disclosed inventions will be briefly described as follows.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode)를 관리, 등록 관리(registration management : Attach, detach 관리), 위치 관리(location management : tracking area 관리) 하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode) 에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode) 에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP 의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다. The present invention manages the mobility and idle mode of a terminal using a non-access stratum (network layer: NAS) protocol in a mobile communication network (registration management: Attach, detach) Management), location management (location management: tracking area management) method and system, using the NAS protocol, that is, the message according to the present invention to manage the mobility of the terminal, idle mode (idle mode), registration management, location management The method includes a terminal (hereinafter referred to as UE) and a mobility manager (hereinafter referred to as MME), wherein the terminal is handed over in an active mode and an idle mode. (location management) in the (idle mode), when the terminal is registered in the network, mobility management in a network such as EPS (Evolved Packet System) of 3GPP When sending or receiving a message that plays the same role among the EMM (EPS Mobility Management) messages, if the received message is a secured NAS message, a method for efficiently handling the secured NAS message is presented. There is an advantage of efficient location management and registration management.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되 는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the preferred embodiment of the present invention. In the following description of the present invention, detailed descriptions of well-known functions or configurations will be omitted if it is determined that they may unnecessarily obscure the subject matter of the present invention. In addition, terms to be described below are defined in consideration of functions in the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.

후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 이동시스템에 인증과 단말과 MME 간의 프로토콜인 NAS 의 보안성을 관리 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다. SUMMARY OF THE INVENTION The present invention to be described below provides a method for managing and supporting authentication and security of a NAS, which is a protocol between a terminal and an MME, using a NAS protocol, which is a protocol between a terminal and an MME, for a mobile communication system. Hereinafter, in describing the present invention in detail, an EPS system based on 3GPP will be used, and the present invention may be used in other mobile systems using NAS.

한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시예는 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 인증 및 단말과 이동성 관리자(MME) 간의 통신시 보안성을 지원하는 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.Meanwhile, as shown in FIG. 1 of the present invention, the embodiment of FIG. 1 proposes a method for supporting security during authentication and communication between a terminal and a mobility manager (MME) using a NAS protocol, which is a basic object of the present invention. May be modified in some manner without departing from the scope of the present invention in other mobile communication systems having similar technical background and channel type, network architecture or similar protocol or protocols having different but similar operation. Applicable, this will be possible at the discretion of those skilled in the art.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도 이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조 를 도시하였다. 1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to an exemplary embodiment of the present invention. Here, the 3GPP EPS system structure is shown as an example.

도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함)(112)은 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다. 한편 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 위하여 이동 관리자(Mobility Management Entity : 이하 MME로 표기)(114)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server :이하 HSS)(121)가 MME(114) 와 인터페이스를 가지고 연결되어 있다.Referring to FIG. 1, an Evolved Node Base Station (E Node B: hereinafter referred to as eNB) 112 is a UE (User Equipment: hereinafter referred to as UE or UE) located in a cell which is each service area 110. Set up a wireless connection with and perform communications. The UE 110 refers to a terminal that accesses a packet data network such as the Internet through a serving gateway (hereinafter, referred to as a Serving GW, or SGW) 116. In the present specification, as a main network entity of the packet data network, the packet data network gateway (hereinafter referred to as PDN GW) 118 serves as a home agent (hereinafter referred to as HA). On the other hand, there is a mobility management entity (hereinafter referred to as MME) 114 for mobility management of a terminal, location management of a terminal, and registration management. In addition, a Home Subscriber Server (hereinafter referred to as HSS) 121 is connected to the MME 114 with an interface in order to manage authentication information and service information for the user and the terminal.

eNB(112)와 Serving GW(116), MME(114) 와 Serving GW(116) 사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의UE(110)과 MME(114)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다. An interface for managing the data path and mobility of the UE exists between the eNB 112 and the Serving GW 116, the MME 114, and the Serving GW 116. The UE 110 and the MME 114 in the present invention communicate with each other with a NAS protocol stack to perform mobility management, location management, registration management, and session management.

본 발명에서는 UE(110)의 이동성 관리, 위치 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말(110) 사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와, 위치, 세션 관리를 위하여 단말(110)와 MME(114) 사이에 도입된 NAS 프로토콜은 종래의 3GPP 시스템에서도 있던 것으로 EPS 시스템으로 되면서 보안성이 강화 되었다. 즉 NAS 프로토콜 상에서도 무결성과 암호화를 지원하기 위하여 NAS 프로토콜 절차 및 각 엔티티의 역할을 보완해 가고 있으나 현재로서 보완이 미흡하여 본 발명에서는 NAS 프로토콜을 기반으로 UE(110), MME(114)가 효율적으로 동작할 수 있도록 상기의 네트워크를 참조하여 이하 도 2 내지 도 5를 설명하기로 한다. The present invention focuses on the NAS protocol, which is a protocol between the MME 114 and the terminal 110, which are entities introduced for mobility management, location management, and session management of the UE 110. That is, the NAS protocol introduced between the terminal 110 and the MME 114 for mobility management, location, and session management has been enhanced in the EPS system, which was also present in the conventional 3GPP system. That is, the NAS protocol procedure and the role of each entity have been supplemented in order to support integrity and encryption in the NAS protocol, but at present, the UE 110 and the MME 114 efficiently operate based on the NAS protocol. 2 to 5 will be described below with reference to the above network to operate.

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 이다. 이러한 도 2의 흐름도는 NAS 프로토콜 보안 즉 NAS 프로토콜의 무결성과 암호화 과정으로서 이러한 흐름에 있어서 종래의 기술과 차이점은 하기의 [표 1] 내지 [표 4]의 메시지 포맷을 참조하기로 한다. 인증 과정과 NAS 보안 과정에 있어서 중요한 개체(entity)는 도 2에서 보는 바와 같이 UE(110), MME(114), HSS(121)이다. 201 과정에서 UE(110)는 MME(114)에게 사용자 식별자를 보내고 MME(114)와 HSS(121)는 인증 벡터(authentication vector)를 요청해서 받고, MME(114)는 인증 벡터를 선정하게 된다. 203 단계에서 MME(114)는 UE(110)로 인증 요청(AUTHENTICATION REQUEST) 메시지를 보내어 인증 벡터 중 일부인 인증 토큰(authentication token : 이하 AUTN으로 표기)과 난수 요구(random challenge : 이하 RAND로 표기)를 보내게 되고 UE(110)는 받은 AUTN을 검증한다. 205 단계에서 UE(110)는 인증 응답 메시지를 MME(114)로 보내면서 UE(110)에서 계 산한 응답 매개 변수(RESPONSE : 이후 RES로 표기)를 포함하여 MME(114)로 보내게 된다. 이후 207 단계에서 MME(114)와 UE(110) 에서 인증과 키 일치 프로토콜(authentication and key agreement : 이후 AKA로 표기)의 남은 부분을 수행한다. 즉 UE(110)에서는 무결성 키(Integrity key : 이하 IK로 표기), 암호화 키(cipher key 이하 Ck로 표기)를 계산하고, MME(114)에서는 응답 매개 변수(RES)와 기대된 응답(Expected Response: 이하 XRES로 표기)을 비교하여 MME 자신이 인증 요구를 보낸 단말로부터 온 인증 반응인지 여부를 검증한다. 209 단계에서는 MME(114)에서 UE(110)로 NAS 보안 모드 명령(security mode command) 메시지를 보낸다. 이러한 NAS 보안 모드 명령에는 선택된 NAS 보안 알고리즘과 NAS 키 세트 식별자(key set identifier: 이하 KSI로 표기)를 알려주고, 이에 대한 응답으로서 211 단계에서 UE은 MME에게 NAS 보안 모드 완료(security mode complete) 메시지를 보낸다. 보안 모드 명령은 NAS 메시지 보안 설정을 위해 사용되므로 본 발명에서와 같이 인증 과정과 함께 쓰이는 경우에도 사용이 된다. 따라서 본 발명에서는 인증 과정 이후 보안 모드 명령이 나오는 것을 인증 과정에서 선택적으로 사용할 수 있는 과정을 설명하였는바 이후 도 3의 과정과 [표 1] 내지 [표 4] 의 NAS 보안 모드(NAS security mode) 관련 정보 요소(information element : 이후 IE로 표기)를 참조하기로 한다. 즉 도 2와 같은 동작을 위해서는NAS security mode information 이 포함되지 않은 인증 요청(AUTHENTICAION REQUEST) 메시지를 MME에서 UE로 전송하여야 한다. 이와 같은 동작은 하기의 [표 2] 내지 [표 4]를 참조한다. 2 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. 2 is a NAS protocol security, i.e., the integrity and encryption process of the NAS protocol, and the difference with the conventional technology in this flow will refer to the message formats shown in Tables 1 to 4 below. Important entities in the authentication process and the NAS security process are the UE 110, the MME 114, and the HSS 121 as shown in FIG. 2. In step 201, the UE 110 sends a user identifier to the MME 114, the MME 114 and the HSS 121 request and receive an authentication vector, and the MME 114 selects an authentication vector. In step 203, the MME 114 sends an authentication request (AUTHENTICATION REQUEST) message to the UE 110 to display an authentication token (hereinafter referred to as AUTN) and a random number request (random challenge: referred to as RAND) which are part of the authentication vector. The UE 110 verifies the received AUTN. In step 205, the UE 110 sends an authentication response message to the MME 114, including a response parameter calculated by the UE 110 (hereinafter, referred to as RES) to the MME 114. Thereafter, in step 207, the MME 114 and the UE 110 perform the remainder of the authentication and key agreement protocol (hereinafter referred to as AKA). In other words, the UE 110 calculates an integrity key (indicated by IK hereinafter) and an encryption key (indicated by Ck below a cipher key), and in the MME 114, a response parameter RES and an expected response (Expected Response). (Hereinafter referred to as XRES) to verify whether the MME itself is an authentication response from the terminal that sent the authentication request. In step 209, the NAS security mode command message is sent from the MME 114 to the UE 110. The NAS security mode command informs the selected NAS security algorithm and NAS key set identifier (KSI), and in response to this, in step 211, the UE informs the MME of the NAS security mode complete message. send. Since the security mode command is used for NAS message security setting, it is also used when used with the authentication process as in the present invention. Therefore, in the present invention, a process in which a security mode command is issued after the authentication process can be selectively used in the authentication process has been described. Since, the NAS security mode of FIG. 3 and Tables 1 to 4 are described. Reference is made to related information elements (hereinafter referred to as IE). That is, for the operation as shown in FIG. 2, an authentication request (AUTHENTICAION REQUEST) message that does not include NAS security mode information should be transmitted from the MME to the UE. Such operation is referred to the following [Table 2] to [Table 4].

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도이다. 즉 도 3 에서는 도 2와 같은 인증 과정과 보안 모드 명령 과정을 함께 실시 할 경우를 일 실시예를 든 것이다. 3 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention. In other words, FIG. 3 illustrates an embodiment in which the authentication process and the security mode command process as shown in FIG. 2 are performed together.

상기 도 3을 참조하면, 301 단계에서는 201 단계에서와 같이 UE(110)와 MME(114), HSS(121)는 AKA 앞부분의 동작을 수행한다. 이후 303 단계에서는 AKA의 인증 요청 과정과 NAS 보안 모드 명령 과정을 함께 수행하게 되는데, 이를 본 발명에서는 NAS 보안 모드 포함 인증 요청(AUTHENTICAION REQUEST with NAS SECURITY MODE) 메시지라고 표기하였다. 이러한 과정은 [표 1] 내지 [표 4]의 메시지 포맷에 따른다. 이러한 NAS 보안 모드 포함 인증 요청 메시지는 MME(114)에서 UE(110)로 보내지는 요청 메시지이다. 305 단계에서는 UE(110)로부터 MME(114)로 NAS 보안 모드 포함 인증 응답(AUTHENTICATION RESPONSE with NAS SECURITY MODE) 메시지를 전송한다. 이후 MME는 UE로부터 응답받은 RES와 자신이 가진 XRES를 비교하여 UE로부터 온 메시지인지를 검증한다. Referring to FIG. 3, in step 301, as in step 201, the UE 110, the MME 114, and the HSS 121 perform an operation in front of the AKA. Subsequently, in step 303, the AKA authentication request process and the NAS security mode command process are performed together. In the present invention, this is indicated as an AUTHENTICAION REQUEST with NAS SECURITY MODE message. This process depends on the message format of [Table 1] to [Table 4]. The NAS security mode including authentication request message is a request message sent from the MME 114 to the UE 110. In step 305, the UE 110 transmits an NAS security mode including authentication response (AUTHENTICATION RESPONSE with NAS SECURITY MODE) message to the MME 114. Thereafter, the MME compares the RES received from the UE with its own XRES to verify whether the message is from the UE.

도 4는 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 이다. 4 is a flowchart illustrating a scheme for supporting an authentication and NAS protocol security process in an MME according to an embodiment of the present invention.

상기 도 4를 참조하면, 401 단계에서 AKA 인증 과정의 앞부분을 수행한다. 이러한 과정에 대한 설명은 도 3의 301 단계 혹은 도2 의 201 단계를 참조한다. 403 단계에서 MME(114)는 인증 요청메시지 만을 UE(110)에 요청하는지 혹은 NAS 보안 모드 설정을 포함한 NAS 보안 모드 인증 요청 메시지를 UE로 전송할지를 결정한 다. 인증 요청 메시지만을 전송하는 경우는 421 단계로 진행하여 421 단계에서와 같이 NAS 보안 모드를 포함하지 않는 인증 요청 메시지를 UE로 보내게 되며, 423 단계에서와 같이 UE로부터 인증 응답 메시지를 받게 되면 425 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터 응답이 왔는지 여부를 판단한다. 이후 필요한 경우에 따라 427 단계에서와 같이 MME(114)로부터 UE(110)로 보안 모드 명령(SECURITY MODE COMMAND) 메시지를 보내고 이에 대한 응답으로 보안 모드 완성(SECURITY MODE COMPLETE) 메시지를 429 단계에서 단말로부터 받게 된다. 이 경우 421 단계에서는 NAS 보안 모드를 포함하지 않음을 알리기 위하여 하기의 [표 2] 내지 [표 4]의 메시지 포맷 사용이 가능하다. 혹은 종래의 메시지 포맷을 그대로 이용할 수 도 있다. Referring to FIG. 4, in step 401, the first part of the AKA authentication process is performed. For a description of this process, refer to step 301 of FIG. 3 or step 201 of FIG. In step 403, the MME 114 determines whether to request the UE 110 only an authentication request message or transmit a NAS security mode authentication request message including a NAS security mode setting to the UE. In case of transmitting only the authentication request message, the mobile station proceeds to step 421 and sends an authentication request message that does not include the NAS security mode to the UE as in step 421. When receiving an authentication response message from the UE as in step 423, step 425. Compare the RES and XRES as in to determine whether the response from the terminal. If necessary, as in step 427, the security mode command (SECURITY MODE COMMAND) message is sent from the MME 114 to the UE 110 in response to the security mode completion message (SECURITY MODE COMPLETE) message from the terminal in step 429 Will receive. In this case, in step 421, in order to inform that the NAS security mode is not included, the message formats shown in Tables 2 to 4 may be used. Alternatively, the conventional message format may be used as it is.

한편 405 단계에서와 같이 NAS 보안 모드를 포함한 인증 요청 메시지를 MME로부터 UE로 전송한 경우 407 단계에서와 같이 NAS 보안 모드 포함 인증 응답 메시지를 UE로부터 수신하게 되고 이에 409 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터의 응답인지를 검증한다. 이때 405 내지 407 단계에서 전송하는 NAS 보안 모드 포함 인증 요청 메시지와 NAS 보안 모드 포함 인증 응답 메시지는 하기의 [표 1] 내지 [표 2]의 메시지 포맷 사용이 가능하다. Meanwhile, when the authentication request message including the NAS security mode is transmitted from the MME to the UE as in step 405, the authentication response message including the NAS security mode is received from the UE as in step 407, and thus, RES and XRES are received as in step 409. Compare and verify whether the response from the terminal. In this case, the NAS security mode including authentication request message and the NAS security mode including authentication response message transmitted in steps 405 to 407 may use the message formats shown in Tables 1 to 2 below.

도 5는 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도이다. 5 is a flowchart illustrating a method for supporting an authentication and NAS protocol security process in a terminal according to an embodiment of the present invention.

상기 도 5를 참조하면, 501 단계에서 도2 의 201 단계에서와 같은 AKA 인 증 앞부분을 수행한다. 503 단계에서 UE는 MME로부터 인증 요청 메시지만 포함하는 메시지를 받거나 혹은 NAS 보안 모드 포함 인증 요청 메시지를 받을 수 있다. 이에 인증 요청 메시지만 받은 경우 511 단계로 진행하여, AKA 과정의 일부인 AUTN을 검증하고 RES를 계산하게 된다. 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 513 단계에서UE는 MME로 인증 반응 메시지를 보내게 된다. 이후 515 단계에서는 무결성 키(IK) 와 암호화 키(CK)를 계산한다. Referring to FIG. 5, in step 501, an AKA authentication front part as in step 201 of FIG. 2 is performed. In operation 503, the UE may receive a message including only an authentication request message from the MME or an authentication request message including a NAS security mode. If only the authentication request message is received, the process proceeds to step 511 to verify the AUTN which is part of the AKA process and calculate the RES. The description thereof will be referred to the later description of step 203 of FIG. 2. Thereafter, in step 513, the UE sends an authentication response message to the MME. In operation 515, the integrity key IK and the encryption key CK are calculated.

한편 UE(110)가 NAS 보안 포함 인증 요청 메시지를 MME로부터 받은 경우는 505 단계에서 AUTN 검증하고 RES를 계산하며, 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 507 단계에서NAS 보안 모드 포함 인증 반응 메시지를 MME로 전송하게 된다. 이후 515 단계는 상기 기술한 바와 동일하다. On the other hand, when the UE 110 receives the NAS security authentication request message from the MME, the AUTN is verified and the RES is calculated in step 505. For a description thereof, refer to the later description of step 203 of FIG. Thereafter, in step 507, an authentication response message including a NAS security mode is transmitted to the MME. Then step 515 is the same as described above.

상기의 도 2 내지 도 5에서 기술한 대로 단말(UE)과 이동 관리자(MME)가 동작하기 위해서는 다음 [표 1] 내지 [표 4]의 메시지 등이 지원되어야 하는 경우가 있다. 이에 하기에서 이를 기술하기로 한다. As described above with reference to FIGS. 2 to 5, in order for the UE and the MME to operate, the following messages of Tables 1 to 4 may need to be supported. This will be described below.

[표 1]은 NAS 보안 모드 정보 요소( Information element : 이하 IE로 표기)로서 [표 2] 의 NAS 보안 모드 활성 타입 IE(Information element)가 NAS 보안 모드를 활성화하여 사용한다고 지시하는 경우에 있어서 구체적으로 포함되어야 할 정보에 대해 알려주는 정보 요소이다. 따라서 MME 에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함되어 구체적인 NAS 보안 모드 정보를 포함하게 된다. 1 옥텟의 NAS 보안 모드 정보 요소 식별자의 경우 표준 단체에 의해 할당되는 값이다. 2 옥텟에는 NAS 보안 모드 정보 요소의 전체 길이를 나타내는 length 필드로 되어 있고, 3 옥텟에는 선택된 NAS 보안 알고리즘의 정보가 들어간다. 4 옥텟에는 NAS 키 세트 식별자(NAS key set identifier)가 들어가는데 이는 NAS 메시지의 보안에 사용되는 NAS 암호화 키 KNASenc 또는 무결성 키 KNASint 등의 키세트를 식별하는 식별자이다. 옥텟 5에는 UE에 의해 지원되는 보안 알고리즘을 기술하며 옥텟 6에는 국제 모바일 장비 식별 소프트웨어 버전(international mobile equipment identity software version : 이하 IMEISV로 표기)이 포함되어 통신 가입자(subscriber) 의 모바일 장비와 그 소프트웨어 버전을 알려주게 된다. 이러한 IMEISV는 대체로 인증 혹은 암호화 반응 메시지에 단말에 의해 IMEISV가 포함되기를 요청하는 경우에 포함되는 파라미터 이다. [Table 1] is a NAS security mode information element (indicated by IE hereinafter). In the case where the NAS security mode activation type IE (Information element) of [Table 2] indicates that the NAS security mode is activated and used, Information element that informs about the information to be included. Therefore, it is included in the authentication request (AUTHENTICATION REQUEST) message sent from the MME to the UE to include specific NAS security mode information. The NAS security mode information element identifier of 1 octet is assigned by the standard organization. The 2 octets contain a length field indicating the total length of the NAS security mode information elements, and the 3 octets contain information of the selected NAS security algorithm. The four octets contain a NAS key set identifier, which identifies a keyset, such as NAS encryption key K NASenc or integrity key K NASint , used to secure NAS messages. Octet 5 describes the security algorithms supported by the UE, and octet 6 contains the international mobile equipment identity software version (hereafter referred to as IMEISV), indicating the mobile device and its software version of the subscriber. You will be informed. Such an IMEISV is a parameter that is generally included when the terminal requests the IMEISV to be included in the authentication or encryption response message.

Figure 112008058457214-PAT00001
Figure 112008058457214-PAT00001

메시지 1 : NAS 보안 모드IE(Information element)Message 1: NAS Security Mode Information Element (IE)

하기의 [표 2]는 MME에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함하여 보내는 NAS 보안 모드 활성 타입 IE(Information element)이다. 이는 NAS 보안 모드(security mode)를 사용할지 말지를 UE에게 알려주기 위해 사용하는 정보 요소(information element : 이후 IE로 표기)이다. 총 8 비트로 구성되어 bit 5678 의 경우는 정보 요소 식별자(information element identifier)로서 3GPP나 표준 기관에 의해 할당되는 값이 될 것이다. 한편 비트 123의 경우는 NAS 보안 모드를 활성화 시키는 타입을 알려주기 위해 사용되는 것으로 그 값의 구체적 예 중 하나의 실시예는 [표 3]을 참조하기로 한다. 또한 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되며 그 값의 구체적 예중 하나의 실시예는 [표 4] 의 실시예를 참조하기로 한다.[Table 2] below is a NAS security mode activation type IE (Information element) sent by including in an authentication request (AUTHENTICATION REQUEST) message sent from the MME to the UE. This is an information element (hereinafter referred to as IE) that is used to inform the UE whether to use the NAS security mode. Composed of 8 bits in total, bit 5678 will be a value assigned by 3GPP or a standard authority as an information element identifier. Meanwhile, bit 123 is used to inform the type of activating the NAS security mode. For one embodiment of the specific value, refer to [Table 3]. It is also used as a flag for deciding whether to use the NAS security mode and one embodiment of a specific example of the value will be referred to the embodiment of Table 4 below.

Figure 112008058457214-PAT00002
Figure 112008058457214-PAT00002

메시지 2 : NAS 보안 모드 활성 타입 IE(Information element)Message 2: NAS Security Mode Active Type Information Element (IE)

하기의 [표 3]에서는 NAS 보안 모드 활성 타입에 따른 값의 할당에 대한 일 실시예를 기록하였다. 등록(attach), 핸드오버(handover), 위치 갱신(tracking area update), 그리고 MME의 요청 혹은 향후 사용을 위한 예약(reserved) 등의 경우에 다음과 같이 bit 123을 할당하여 000, 001, 010을 사용하여 구분한다. 한편 MME 요청에 의해 NAS 보안 모드를 활성화 하는 경우에는 011을 사용하며, 그 외 비트의 조합은 향후 사용을 위해 예약을 해둔다. Table 3 below records an embodiment of assigning a value according to the NAS security mode active type. In the case of attach, handover, tracking area update, MME's request or reserved for future use, bit 123 is assigned as 000, 001, 010 as follows: Use to distinguish. On the other hand, if the NAS security mode is activated by MME request, 011 is used, and the other combination of bits is reserved for future use.

Figure 112008058457214-PAT00003
Figure 112008058457214-PAT00003

메시지 3 : NAS 보안 모드 활성 타입 값(value) Message 3: NAS Security Mode Active Type Value

하기의 [표 4]에서는 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되는 보안 플래그 값(security flag)에 대해 일 실시예를 표로 나타내었다. 4 bit 의 값이 0으로 세팅된 경우 NAS 보안 모드를 포함하지 않는 인증 요청 메시지(authentication request)를 MME(114)로부터 UE(110)로 전송한다. 이와 반면 1로 세팅된 경우는 NAS 보안 모드를 포함하는 인증 요청 메시지를 전송하게 된다. Table 4 below shows an embodiment of a table for a security flag used as a flag for determining whether to use a NAS security mode. When the value of 4 bit is set to 0, an authentication request message (authentication request) not including the NAS security mode is transmitted from the MME 114 to the UE 110. On the other hand, if set to 1, the authentication request message including the NAS security mode is transmitted.

Figure 112008058457214-PAT00004
Figure 112008058457214-PAT00004

메시지 4 : NAS 보안 모드 활성 타입 IE의 보안 플래그 값 (security flag value) Message 4: Security flag value of NAS security mode active type IE

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다. Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by those equivalent to the scope of the claims.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도,1 is a block diagram illustrating an authentication and security environment in a mobile communication system according to an embodiment of the present invention;

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 2 is a message flow diagram illustrating a procedure of authentication and NAS protocol security process according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 3 is a message flow diagram illustrating a procedure of an authentication and NAS protocol security process according to an embodiment of the present invention.

도 4은 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 4 is a flowchart illustrating a method for supporting authentication and NAS protocol security processes in an MME according to an embodiment of the present invention.

도 5은 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 5 is a flowchart illustrating a method for supporting an authentication and NAS protocol security process in a terminal according to an embodiment of the present invention.

Claims (2)

이동통신 네트워크에서 비접속 계층 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법에 있어서, In the security management method between the terminal and the network using a connectionless protocol in a mobile communication network, 단말과 이동 관리자, HSS 사이에 이루어지는 인증 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과Sending and receiving authentication request / response messages between the UE, the mobile manager and the HSS and exchanging necessary information; 단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령을 선택적으로 수행하도록 가능하도록 하는 과정과Enabling to selectively execute a NAS security mode command set for NAS protocol operation between the terminal and the mobility manager during the authentication process between the terminal and the mobile manager; 단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 하는 보안 관리 방법.Security management method comprising the step of receiving a response message from the terminal to the mobile manager. 이동통신 네트워크에서 비접속 계층 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템에 있어서,A system for managing security between a terminal and a network using a connectionless protocol in a mobile communication network, 인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와, A mobility manager that sends an authentication request message or a NAS security mode command message, including the authentication request message or NAS security mode, and sends the necessary information to these messages; 인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말 과, A mobile terminal that transmits an authentication response message or a NAS security mode completion message including an authentication response message or a NAS security mode, and transmits information necessary for these messages; 인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 하는 보안관리 시스템.Security management system, characterized in that consisting of the HSS to generate and transmit the authentication vector required for authentication.
KR20080080253A 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system KR101485801B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Publications (2)

Publication Number Publication Date
KR20100021690A true KR20100021690A (en) 2010-02-26
KR101485801B1 KR101485801B1 (en) 2015-01-29

Family

ID=42091237

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20080080253A KR101485801B1 (en) 2008-08-18 2008-08-18 Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system

Country Status (1)

Country Link
KR (1) KR101485801B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110122029A (en) * 2010-05-03 2011-11-09 삼성전자주식회사 Short message service message delivery method and system in a mobile telecommunication system
WO2012033383A2 (en) * 2010-09-09 2012-03-15 Samsung Electronics Co., Ltd. Nas communication method and apparatus in mobile telecommunication system
US10511967B2 (en) 2015-11-10 2019-12-17 Samsung Electronics Co., Ltd. Method for establishing communication connection between electronic devices and electronic device therefor

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7200383B2 (en) * 2004-04-26 2007-04-03 Nokia Corporation Subscriber authentication for unlicensed mobile access signaling
US8127136B2 (en) * 2004-08-25 2012-02-28 Samsung Electronics Co., Ltd Method for security association negotiation with extensible authentication protocol in wireless portable internet system
CN100574185C (en) 2005-01-07 2009-12-23 华为技术有限公司 The method that in the IP multimedia service subsystem network, ensures media stream safety
KR101213285B1 (en) * 2006-01-04 2012-12-17 삼성전자주식회사 METHOD AND APPRATUS FOR Session Initiation Protocol DATA TRANSMISSION OF IDLE MODE USER EQUIPMENT IN A MOBILE COMMUNICATION SYSTEM

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110122029A (en) * 2010-05-03 2011-11-09 삼성전자주식회사 Short message service message delivery method and system in a mobile telecommunication system
WO2011139056A3 (en) * 2010-05-03 2012-03-01 삼성전자 주식회사 Method and system for delivering sms (short message service) messages in a mobile communication system
US9055418B2 (en) 2010-05-03 2015-06-09 Samsung Electronics Co., Ltd. Method and system for delivering SMS (short message service) messages in a mobile communication system
WO2012033383A2 (en) * 2010-09-09 2012-03-15 Samsung Electronics Co., Ltd. Nas communication method and apparatus in mobile telecommunication system
KR20120026178A (en) * 2010-09-09 2012-03-19 삼성전자주식회사 Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
WO2012033383A3 (en) * 2010-09-09 2012-05-24 Samsung Electronics Co., Ltd. Nas communication method and apparatus in mobile telecommunication system
US9584999B2 (en) 2010-09-09 2017-02-28 Samsung Electronics Co., Ltd. Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
US10313869B2 (en) 2010-09-09 2019-06-04 Samsung Electronics Co., Ltd. Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
US10511967B2 (en) 2015-11-10 2019-12-17 Samsung Electronics Co., Ltd. Method for establishing communication connection between electronic devices and electronic device therefor

Also Published As

Publication number Publication date
KR101485801B1 (en) 2015-01-29

Similar Documents

Publication Publication Date Title
US10728757B2 (en) Security implementation method, related apparatus, and system
CN108574969B (en) Connection processing method and device in multi-access scene
KR101700448B1 (en) Method and system for managing security in mobile communication system
US8861732B2 (en) Method and system for supporting security in a mobile communication system
WO2018145654A1 (en) Multi-access management implementation method and device, and computer storage medium
EP1741308B1 (en) Improved subscriber authentication for unlicensed mobile access network signaling
KR101475349B1 (en) Security method and apparatus related mobile terminal security capability in mobile telecommunication system
KR101712865B1 (en) Communication supporting method and apparatus using non-access stratum protocol in mobile telecommunication system
US9609498B2 (en) Security control method and device in a mobile communication system supporting emergency calls, and a system therefor
US11533610B2 (en) Key generation method and related apparatus
US10320754B2 (en) Data transmission method and apparatus
US20170359719A1 (en) Key generation method, device, and system
US10798082B2 (en) Network authentication triggering method and related device
US20140141763A1 (en) Method for setting terminal in mobile communication system
KR20070073343A (en) Method and appratus for session initiation protocol data transmission of idle mode user equipment in a mobile communication internet protocol mutimedia subsystem
WO2009008627A2 (en) A method of establishing fast security association for handover between heterogeneous radio access networks
WO2009152755A1 (en) Method and system for generating an identity identifier of a key
CN111466131B (en) Method and computing device for partitioning traffic between multiple accesses
CN117377011A (en) First network device and method thereof, and second network device and method thereof
KR20110092132A (en) Method and system for handover to wlan network from lte network
WO2011137823A1 (en) Key insulation method and device
CN102740290B (en) Method for pre-authentication and pre-configuration, and system thereof
WO2023213301A1 (en) Authentication method, communication apparatus, and computer-readable storage medium
KR101485801B1 (en) Method and system for supporting authentication and security protected non-access stratum protocol in mobile telecommunication system
CN108093473A (en) A kind of register method and MME

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee