KR20100054178A - 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 - Google Patents

이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 Download PDF

Info

Publication number
KR20100054178A
KR20100054178A KR1020080108582A KR20080108582A KR20100054178A KR 20100054178 A KR20100054178 A KR 20100054178A KR 1020080108582 A KR1020080108582 A KR 1020080108582A KR 20080108582 A KR20080108582 A KR 20080108582A KR 20100054178 A KR20100054178 A KR 20100054178A
Authority
KR
South Korea
Prior art keywords
security
message
nas
information
mme
Prior art date
Application number
KR1020080108582A
Other languages
English (en)
Other versions
KR101475349B1 (ko
Inventor
서경주
정경인
임채권
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080108582A priority Critical patent/KR101475349B1/ko
Priority to US12/609,410 priority patent/US8555064B2/en
Priority to PCT/KR2009/006379 priority patent/WO2010062045A2/en
Publication of KR20100054178A publication Critical patent/KR20100054178A/ko
Application granted granted Critical
Publication of KR101475349B1 publication Critical patent/KR101475349B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동 통신 시스템에 대한 것으로서, 특히 단말과 기지국, 이동성 관리자(Mobility Management Entity: 이하 "MME")를 주 엔티티(Entity)로 하는 네트워크에서 보안과 관련된 프로토콜 중 비접속 계층(Non-Access-Stratum: 이하 "NAS") 프로토콜, 접속 계층(Access-Stratum: 이하 "AS") 프로토콜, S1 인터페이스를 통하여 보안 관련 정보를 다루는데 있어서 중간자 공격 등의 공격에 대비하여 보안 과정을 효율적이고 안전하게 지원하기 위한 방법 및 장치에 관한 것이다.
NAS, NAS Security Mode, AS Security Mode, Security Capability

Description

이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안 및 장치{SECURITY METHOD AND APPARATUS RELATED MOBILE TERMINAL SECURITY CAPABILITY IN MOBILE TELECOMMUNICATION SYSTEM }
본 발명은 이동 통신 시스템에 대한 것으로서, 특히 단말과 기지국, 이동성 관리자(Mobility Management Entity: 이하 "MME")를 주 엔티티(Entity)로 하는 네트워크에서 보안과 관련된 프로토콜 중 비접속 계층(Non-Access??Stratum: 이하 "NAS") 프로토콜, 접속 계층(Access-Stratum: 이하 "AS") 프로토콜, S1 인터페이스를 통하여 보안 관련 정보를 다루는데 있어서 중간자 공격 등의 공격에 대비하여 보안 과정을 효율적이고 안전하게 지원하기 위한 방법 및 장치에 관한 것이다.
일반적인 이동 통신 시스템들 중 대표적인3GPP (3rd Generation Partnership Project) 에서는 차세대 통신을 위하여 EPS (Evolved Packet System) 을 정의하고, MME 를 네트워크의 이동성 관리 엔티티로 도입하였다. 이는 인증 과정과 AS에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보 안 관리 방안을 강화하는 방안을 연구하고 있다. 즉 AS 계층과 NAS 계층에서 독립적으로 보안 과정이 수행될 수 있도록 보안 관리 방안을 강화하는 방안들이 연구되고 있다.
하지만, 현재의 AS 프로토콜에서 보안 관리 방안은 NAS 프로토콜에서 획득한 단말의 보안 능력(UE Security Capability)에 의거하여 단말 보안 능력 정보를 유도하는 바, NAS 정보를 통해 전송된 정보를 검증하는 구체적 절차 및 속성이 정의되어 있지 않다. 즉, 현재 정의된 절차 및 정의된 메시지로는 중간자 공격 등의 공격에 취약한 문제점이 발생할 수 있다. 따라서, NAS 프로토콜, 무선 접속 계층의 AS 프로토콜, S1 인터페이스의 메시지 개선 중 적어도 하나의 방법의 개선을 통해 보안을 효율적으로 지원하는 방법을 명시해야 할 필요가 있다.
또한 현재의 3GPP EPS(Evolved Packet System)에서는 AS레벨에서 사용되는 단말보안 능력은 NAS 레벨의 단말 보안 능력에서 유도된 것을 가정하고 있어서, 보안 능력 검증(Security Capability Validation) 에 대한 메커니즘을 가지고 있지 않다. 따라서 중간자 공격과 같은 공격에 취약점을 안고 있으며 이에 대한 해결방안이 요구되고 있다.
본 발명은 3GPP EPS 를 비롯한 이동 통신 시스템에서 단말과 네트워크간의 인증과 단말과 MME 사이에 보안화된 NAS 메시지 사용을 통해 보안을 제공하는 경우, AS 프로토콜과, S1 인터페이스, 그리고 NAS 프로토콜을 개선하여 보다 강화됨과 동시에 효율적인 보안을 지원하는 방법 및 장치를 제공하고자 한다.
이에 본 발명에서는 단말 보안 능력 (UE Security Capability) 을 검증하기 위하여, 전송 되어야 할 정보를 정의하고 이를 검증하기 위한 절차를 도입하여 종래의 방법의 문제점을 극복하며 개선 방안을 제공하고자 한다.
본 발명에 일 실시 예에 따른 이동통신 시스템에서 단말 보안 능력 관련 보안 관리 방법은, UE로부터 UE Security Capability을 수신하는 단계; UE로부터 초기 Layer 3 메시지를 수신하는 단계; 보안 과정에서 사용할 보안 알고리즘을 선택하는 단계; eNB로부터 상기에서 수신한 UE Security Capability을 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계; UE로부터 수신한 상기 UE Security Capability 정보와 MME로부터 받은 정보를 비교하는 단계 AS 보안 알고리즘 (Security Algorithm)를 선택하는 단계; UE로 AS-SMC 메시지를 송신하는 단계; UE로부터 AS 보안 모드 완성(Security Mode Complete) 메시지를 수신하는 단계; UE로 NAS-SMC를 송신하는 단계; NAS 보안 모드 완성(NAS Security Mode Complete) 메 시지를 수신하는 단계를 포함함을 특징으로 한다.
또한 본 발명에 다른 일 실시 예에 따른 이동통신 시스템에서 단말 보안 능력 관련 보안 관리 방법은, UE로부터 초기 Layer 3 메시지를 수신하는 단계; 이후 보안 과정에서 사용되는 보안 알고리즘을 선택하는 단계; UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계; AS 보안 알고리즘을 선택하는 단계 AS 정보 보안 모드 명령을 송신하는 단계; NAS 정보 보안 모드 명령을 송신하는 단계; 상기 AS 정보 보안 모드 명령과 상기 NAS 정보 보안 모드 명령을 비교하는 단계; 비교 결과 무결성이 확인된 경우, NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 송신하는 단계를 포함하는 것을 특징으로 한다.
또한 본 발명에 또 다른 일 실시 예에 따른 이동통신 시스템에서 단말 보안 능력 관련 보안 관리 방법은, UE로부터 초기 Layer 3 메시지를 수신하는 단계; 이후 보안 과정에서 사용되는 보안 알고리즘을 선택하는 단계; UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계; AS 보안 알고리즘을 선택하는 단계; AS 정보 보안 모드 명령을 수신하는 단계; NAS 정보 보안 모드 명령을 송신하는 단계; 상기 AS 정보 보안 모드 명령과 상기 NAS 정보 보안 모드 명령을 비교하는 단계; 비교 결과 검증이 성공한 경우, NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 송신하는 단계; 검증이 실패한 경우, AS 보안 검증 실패 지시자를 포함한 NAS-보안모드 완성 메시지를 송신하는 단계를 포함하는 것을 특징으로 한다.
본 발명은 따른 보안 방법 및 장치를 이용하는 경우, 단말과 MME, eNB를 포함하는 이동통신시스템에서, 단말과 기지국 사이의 AS 프로토콜 동작을 위해 설정된 AS 보안 모드 명령(AS Security Mode Command: 이하 "AS-SMC")과 단말과 MME 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령 (NAS Security Mode Command: 이하 "NAS-SMC") 전송에 있어서 중간자 공격(Man-in-The-Middle Attack: 이하 "MITM")에 대응하여 단말의 보안 능력 전송에 있어서 보안상 취약한 점을 개선하는 것이 가능하도록 하였다.
이에 본 발명에서는 이러한 취약점을 개선하고자 검증을 위하여 필요한 정보와 검증을 위한 과정을 수행하여, NAS 레벨과 AS 레벨에서 각각이 수행 해야 할 역할에 따라 단말의 보안 능력 전송 관련하여 단말과 기지국 과의 통신, 그리고 단말과 네트워크간의 통신, 단말과 이동 관리자와의 통신에 있어서 보안상 취약점을 개선하여 효율적으로 관리하는 이점이 있다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세히 설명한다.
하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명이 적용되는 이동통신 시스템의 일부 구성요소를 표시한 구성도이다. 본 발명은 NAS 프로토콜, AS 프로토콜, eNB과 MME간 인터페이스인 S1 인터페이스를 이용하여 단말과 eNB, 그리고 MME 간의 통신시 필요 정보를 제공하고, 검증하는 과정을 통하여 보안을 지원하는 방법을 제시하는 것이다.
먼저 각 네트워크 요소(Entity)에 대하여 설명하면 하기와 같다. eNB(113)는 각각의 서비스 영역인 셀 내에 위치하는 단말(111)과 무선 접속을 설정하고 통신을 수행한다. 단말(111)는 서빙 게이트웨이(Serving Gateway: 이하 "s-GW")(117)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 패킷 데이터 네트워크의 일인 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gate Way: 이하 "p-GW")(119) 이 홈 에이전트(Home Agent: 이하 "HA")의 역할을 수행한다. 한편 단말의 이동성 관리(Mobility Management), 단말의 위치 관리(Location Management), 등록 관리(Registration Management)를 위하여 MME(115)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server: 이하 "HSS" )( 121)가 MME (115)와 인터페이스를 가지고 연결되어 있다.
eNB(113)와 s-GW(117), MME(115)와 s-GW(117)사이에는 데이터 경로와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의 단말 (111)과 MME(115)는 NAS프로토콜을 통하여 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다. 이러한 NAS 프로토콜상에서도 무결성과 암호화를 지원하기 위하여 NAS프로토콜 보안 절차 및 각 엔티티의 역할에 대하여 현재 충분한 논의가 이루어지고 있지 않으며 본 발명은 이러한 상황에서 NAS프로토콜에 대한 보안 절차 및 각 엔티티에 대한 동작을 제시하고자 한다.
본 발명에서는 보안 개선을 위하여 보안 정보의 전송 및 검증 절차를 효율적으로 지원하기 위해 도1에서 보는 바와 같이 UE(111) 와 MME(115)사이의 NAS프로토콜이 관장하는 구간을 구간 A, UE(111) 와 eNB(113) 사이의 AS프로토콜이 관장하는 구간을 구간 B, 그리고, eNB(111)와 MME (115) 사이의 S1 인터페이스가 관장하는 구간을 구간C 라 한다.
상기의 네트워크를 참조하여 이하 도 2 내지 도 7에서 본 발명에 따른 구체적인 보안 절차 및 각 엔티티의 동작을 설명한다.
도 2는 본 발명의 일실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 나타낸 메시지 흐름도이다.
먼저201 과정에서 UE(111)는 UE Security Capability를 eNB (113)으로 보낸다.
다음으로203 과정에서 UE(111)은 MME(115)로 초기 L3(Layer 3), 일 예로 NAS 메시지를 보내면서 메시지에 UE security Capability 정보를 보낸다. 상기의 초기 NAS 메시지로는 초기 접속 요청 (Initial ATTACH REQUEST) 메시지 또는 트래킹 영 역 갱신 요청(TRACKING AREA UPDATE: 이하 "TAU REQUEST") 와 같은 메시지가 될 수 있다.
205 과정에서와 같이 인증(Authentication) 과정이 선택적으로 실행될 수 있다.
207 과정에서 MME(115)는 이후 보안 과정에서 사용할 보안 능력(Security Capability) 즉 보안 알고리즘을 선택한다. 이때 NAS 보안 알고리즘 (NAS Security Capability)을 선택한다.
이후 209 과정에서 MME(115)는 eNB(113)으로 203과정에서 UE(111)로부터 받은 UE Security Capability을 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지, 일 예로 보안 모드 명령 (Security Mode Command: 이하 "SMC") 같은 메시지를 보낸다.
211 과정에서 eNB(113)은 201 과정에서 UE(111)로부터 받은 UE Security Capability 정보와 209 과정에서 MME(115)로부터 받은 정보를 비교하여 UE Security Capability에 대한 검증을 한다. 212 과정에서 eNB(113)는 네트워크 관리에 의해 사용이 허락된 알고리즘의 리스트 중에서 AS 보안 알고리즘 (Security Algorithm) 를선택한다. 혹은 212 과정에서 eNB(113)는 209 과정에서 MME (115)으로부터 전송 받은 UE Security Capability 중에서 AS 메시지 전송 시 사용이 허락된 보안 알고리즘(Allowed Security Algorithm) 또는, eNB(113)에 의해 사전에 구성된 허락된 알고리즘 리스트 중에서 UE Security Capability 에 부합하는 것 중에서 우선 순위가 높은 것으로 선택할 수 있다.
이후 213 과정에서 eNB(113)은 UE(111)로 AS-SMC 메시지를 보내게 되는데, 여기에는 AS 선택 보안 알고리즘(AS selected security Algorithm)과 AS 메시지 인증 코드 (Message Authentication Code: 이하 "MAC")를 포함하여 전송한다.
이후 215 과정에서 UE(111)은 MAC 정보를 이용하여 AS 메시지의 무결성(Integrity)을 검증한다.
217 과정 에서 UE(111)은 eNB(113)로 AS 보안 모드 완성(Security Mode Complete) 메시지를 전송하고 이때 AS-MAC 정보를 포함하여 메시지의 무결성을 보장한다.
한편 219 과정에서 선택적으로 eNB(113)는 MME(115)로 상기 209 과정의 응답 메시지를 전송하는데 일 예로 보안 모드 완성(Security Mode Complete) 메시지가 될 수 있으며, 이러한 응답 메시지에는 AS 에 의해 선택된 보안 알고리즘(Selected Security Algorithm) 이 함께 전송될 수 있다. 이렇게 전송된 AS 선택 보안 알고리즘(AS Selected Security Algorithm)은 이후 아이들 모드 (idle mode) 에서 UE가 이동 시에 MME(115)에서 타겟(target) eNB(113)로 전송되는 UE 정보 중 일 예가 될 수 있다.
221 과정에서 MME(115)는 UE(111)로 NAS-SMC를 보내게 되는데 이때 203 과정에서 전송 받은 UE Security Capability를 포함하여 전송하며, 이 NAS-SMC메시지는 207과정에서 선택한 NAS 보안 알고리즘에 의해 무결성 보호가 되는 메시지이다. 따라서 본 발명에 따라 전송되는 NAS-SMC메시지에 포함되는 NAS 보안 알고리즘 내용은 무결성이 보장되는 것이다.
한편 223과정에서 UE(111)은 자신이 201 과정에서 보낸 UE 보안 능력과 221과정에서 무결성이 보호된 메시지내에 포함된 UE 보안 능력을 비교 검증하여 NAS-SMC 메시지를 검증하며, 성공한 경우 225 과정에서 UE(111)은 MME(115)로 NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 전송하게 된다.
도 3는 본 발명의 일 실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 나타낸 메시지 흐름도이다.
먼저303 과정에서 UE(111)은 MME(115)로 초기 L3, 일 예로 NAS 메시지를 보내면서 메시지에 UE Security Capability 정보를 보낸다. 상기의 초기 NAS 메시지로는 초기 접속 요청 (initial ATTACH REQUEST) 메시지 또는 TAU REQUEST와 같은 메시지가 있다.
이후 305 과정에서와 같이 인증과정이 선택적으로 실행될 수 있다.
307 과정에서 MME(115)는 이후 보안 과정에서 사용할 Security Capability 즉, 보안 알고리즘을 선택한다. 이때 NAS 보안 알고리즘을 선택하게 된다.
이후 309 과정에서 MME(115)는 eNB(113)로 303 과정에서 UE(111)로부터 받은 UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지, 예를 들면 SMC같은 메시지를 보낸다.
311 과정에서 eNB(113)는 네트워크 관리에 의해 사용이 허락된 알고리즘의 리스트 중에서 AS 보안 알고리즘을 선택한다. 혹은 309 과정에서 MME(115)로부터 전송 받은 UE security Capability 중에서 AS 메시지 전송 시 사용이 허락된 보안 능력(Allowed Security Capability) 또는, eNB(113) 에 의해 사전에 구성된 허락된 알고리즘 리스트 중에서 UE Security Capability 에 부합하는 것 중에서 우선 순위가 높은 것으로 결정된 알고리즘을 선택할 수 있다.
이후 313 과정에서 eNB(113)은 UE(111)로 AS-SMC 메시지를 보내게 되는데 여기에는 AS 선택 보안 알고리즘과 AS-MAC, 그리고 UE 보안 능력을 포함하여 전송한다.
상기 313 과정에서 포함 되는 UE 보안 능력 정보는 309 과정에서 MME(115)에서 eNB(113)로 전송되는 내용을 동일하게 전송한다.
315 과정에서 UE(111)은 MAC 정보를 이용하여 AS 메시지의 무결성을 검증한다.
317 과정에서 MME(115)는 UE(111)로 NAS-SMC을 보내게 되는데 이때 303과정에서 전송 받은 UE Security Capability를 동일하게 포함하여 전송하며, 이 NAS-SMC메시지는 307과정에서 선택한 NAS 보안 알고리즘에 의해 무결성 보호가 되는 메시지이다. 따라서 본 발명에 따라 전송되는 NAS-SMC메시지에 포함되는 NAS 보안 알고리즘 내용은 무결성이 보장되는 것이다.
319 과정에서 UE(111)은 309과정과 313과정을 거쳐서 전송 받은 UE Security Capability 317 과정에서 전송 받은 UE Security Capability를 비교하여 UE Security Capability에 대한 검증을 한다.
321 과정 에서 UE(111)은 eNB(113)로 AS 보안 모드 완성(Security Mode Complete) 메시지를 전송하고 이때 AS-MAC 정보를 포함하여 메시지의 무결성을 보 장한다. 그리고 이러한 무결성 검증은 323 과정에서 eNB(113)에서 메시지를 검증함으로써 실행된다.
한편 325 과정에서 선택적으로 eNB(113)는 MME(115)로 상기 309 과정에 대한 응답 메시지를 전송하는데 일 예로 보안 모드 완성(Security Mode Complete) 메시지가 될 수 있으며, 이러한 응답 메시지에는 AS에 의해 선택된 보안 알고리즘(Selected Security Algorithm) 가 함께 전송되게 된다. 이렇게 전송된 AS 에 의해 선택된 보안 알고리즘은 이후 아이들 모드 (idle mode) 에서 UE 가 이동 시에 MME(115) 에서 타겟(target) eNB(113)로 전송되는 UE 정보 중 하나가 될 수 있다.
한편 327 과정에서 UE(111)은 자신이 301 과정에서 보낸 UE Security Capability과 317 과정에서 무결성이 보호된 메시지내에 포함된 UE Security Capability을 비교 검증하여 NAS-SMC 메시지를 검증하며, 성공한 경우 329 과정에서 UE(111)은 MME(115)로 NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 전송하게 된다.
도 4는 본 발명의 일 실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 나타낸 메시지 흐름도이다.
먼저 403 과정에서 UE(111)은 MME(115)로 초기 L3, 일 예로 NAS 메시지를 보내면서 메시지에 UE Security Capability 정보를 보낸다. 상기의 초기 NAS 메시지의 예로는 초기 접속 요청 (Initial ATTACH REQUEST) 메시지 또는TAU REQUEST와 같은 메시지가 될 수 있다. 이후 405 과정에서 인증과정이 선택적으로 실행될 수 있 다.
407 과정에서 MME (115) 는 이후 보안 과정에서 사용할 보안 능력(Security Capability) 즉 보안 알고리즘을 선택한다. 이때 NAS 보안 알고리즘 (NAS Security Capability)을 선택하게 된다.
이후 409 과정에서 MME(115)는 eNB(113)로 303 과정에서 UE(111)로부터 받은 UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지, 예를 들면 SMC같은 메시지를 보낸다.
411 과정에서 eNB(113)는 네트워크 관리에 의해 사용이 허락된 알고리즘의 리스트 중에서 AS 보안 알고리즘을 선택한다. 혹은 409 과정에서 MME(115)로부터 전송 받은 UE Security Capability 중에서 AS 메시지 전송 시 사용이 허락된 보안 능력 또는, 미리 구성된 허락된 알고리즘 리스트 중에서 UE Security Capability에 부합하는 것 중에서 우선 순위가 높은 것으로 결정될 수 있다.
이후 413 과정에서 eNB(113)은 UE(111)로 AS-SMC 메시지를 보내게 되는데 여기에는 AS 선택 보안 알고리즘과 AS-MAC, 그리고 UE Security Capability를 포함하여 전송한다. 상기 UE Security Capability는 409 과정에서 MME(115)에서 eNB(113)으로 전송되는 내용과 동일하다.
415 과정에서 UE(111)은 MAC 정보를 이용하여 AS 메시지의 무결성을 검증한다.
417 과정에서 UE(111)은 eNB(113)로 AS 보안 모드 완성(Security Mode Complete) 메시지를 전송하고 이때 AS-MAC 정보를 포함하여 메시지의 무결성을 보 장한다. 그리고 이러한 무결성 검증은 419 과정에서 eNB(113)에서 메시지를 검증함으로써 실행된다.
한편 421 과정에서 선택적으로 eNB(113)는 MME(115)로 상기 409 과정에 대한 응답 메시지를 전송하는데 일 예로 보안 모드 완성 (Security Mode Complete) 메시지가 될 수 있으며, 이러한 응답 메시지에는 AS 에 의해 선택된 보안 알고리즘이 포함될 수 있다. 이렇게 전송된 AS 에 의해 선택된 보안 알고리즘은 이후 아이들 모드 (idle mode)에서 UE 가 이동 시에 MME(115)에서 타겟(target) eNB (113)로 전송하는 UE 정보가 된다. 다만, 상기의 정보는 검증과정을 거치지 않아서, 불완전한 정보가 될 수 있으므로 하기 423과정을 거친 이후에 행해지는 과정들에 있어서 그 정보의 유효함이 결정된다.
421 과정에서 MME(115)는 UE(111)로 NAS-SMC을 보내게 되는데 이때 403 과정에서 전송 받은 UE Security Capability 를 포함하여 전송하며, 이 NAS-SMC 메시지는 407 에서 선택한 NAS 보안 알고리즘에 의해 무결성 보호가 되는 메시지이다. 따라서 여기에 메시지에 포함되는 NAS 보안 알고리즘 내용은 무결성이 보장된다.
423 과정에서 UE(111)은 409 과정과 413 과정을 거쳐서 전송 받은 UE Security Capability와 421 과정에서 전송 받은 UE Security Capability정보를 비교 검증을 한다.
한편 425 과정에서 UE(111)은 자신이 401 과정에서 보낸 UE Security Capability와 421 과정에서 무결성이 보호된 메시지내에 포함된 UE Security Capability를 비교 검증하여 NAS-SMC 메시지를 검증한다.
423 과정과 425 과정에서 모두 검증 과정에서 성공한 경우, 431 과정에서 UE(111)은 MME (115)로 NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 전송하게 된다.
하지만 423, 425 과정에서 모두 검증에 실패한 경우, 또는 423 과정 내지 425 과정 어느 하나에서 실패한 경우는 441 과정에서 UE(111)은 NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 보내지 않을 수 있다.
또는 423 과정에서 검증 실패하고 425 과정에서는 성공한 경우, 즉 451 과정 또는 455 과정에서NAS 보안 모드 완성(NAS Security Mode Complete) 메시지에 AS 보안 검증 실패 지시자(AS Security verification fail indication)를 포함하여 전송하고, 이러한 지시자 정보를 이용하여 453 과정에서 MME(115)가 저장 할 수 있는 선택된 AS 보안 알고리즘(Selected AS Security Algorithm )관련 정보를 삭제 한다.
그리고 455 과정에서 보는 바와 같이 MME(115)가 UE(111)로 접속 해지 요청(Detach Request)을 보내는 방법도 가능하다.
도 5 는 본 발명의 실시 예에 따른 보안 과정을 지원하기 위한 MME 의 동작을 나타낸 순서도이다.
501 과정에서 MME(115)는 UE 로부터 초기 Layer 3 메시지를 받게 되며 이 메시지들에는 단말 UE Security Capability 정보가 포함된다.
503 과정에서와 같이 UE(111), eNB(113), MME(115) 등이 관여하여 인증과정 이 선택적으로 실행되며, 이후 505 과정에서 MME 는 NAS 보안 알고리즘을 선택하게 된다.
507 과정에서 MME (115)가 eNB(113)로 eNB(113)가 UE(111)로 AS-SMC 메시지를 보내는 것을 트리거링하는 메시지를 보내게 되는데 그러한 메시지의 예를 들면 SMC와 같은 메시지를 들수 있으며, 이러한 트리거링 메시지에는 UE Security Capability 등의 정보가 포함되게 된다.
상기의 과정에서 본 발명의 일 실시 예에서는, 521 과정에서 MME(115)는 eNB(113)으로부터 상기 507 과정에서 보낸 트리거링 메시지에 대한 응답 메시지를 받게 되는데 이러한 메시지의 일 예로는 보안 모드 완성(Security Mode Complete) 메시지를 들 수가 있다.
525 과정에서 MME(115)는 NAS-SMC를 UE(111) 보내되 이 메시지에는 UE Security Capability 정보가 무결성 보호되어 전송되며, 525 과정에서 NAS 보안 모드 완성 메시지를 UE (111)로부터 받게 된다.
한편 본 발명의 다른 실시 예에 의해서 MME(115)는 541 과정에서 NAS-SMC 를 단말로 보내게 되고, 543 과정에서와 같이 eNB로부터 507 과정에서 보낸 트리거링 메시지에 대한 응답 메시지를 eNB 로부터 받게 되는데 이 과정에 포함된 AS 에 의해 선택된 보안 알고리즘은 이후 아이들 모드(idle mode)에서 UE가 이동 시에 MME(115)에서 타겟(target) eNB(113)로 전송되는 UE 정보 중 하나가 될 수 있다. 이후 525 과정에서 NAS 보안 모드 완성 메시지를 UE(111)로부터 받게 된다.
한편 본 발명의 또 다른 실시 예에 MME(115)는 561 과정에서 eNB(113)으로부 터 507 과정에서 보낸 트리거링 메시지에 대한 응답 메시지를 eNB 로부터 받게 되면, 563 과정에서 UE 로 NAS-SMC 메시지에 UE Security Capability 정보를 실어 보내게 된다. 565 과정에서와 같이 NAS-SMC 무결성 검증과 보안 능력 검증 과정이 있게 되는데 성공한 경우는 525 과정으로 진행한다. 실패한 경우는 여러 가지 경우가 있을 수 있으며, 그 과정에 대해선 도 7을 참조하여 설명한다. 567 과정 또는 571 과정에서 보안 검증이 실패하고 NAS-SMC 검증이 성공한 경우에 취할 수 있는 2가지 가능한 경우에 대해서 하나의 경우에 대해서만 도식화 하였다. 즉 567 과정에서는 NAS 보안 모드 완성 메시지를 UE 로부터 받게 되는데 여기에는 보안 검증 실패 지시지가 포함되어 있어 569 과정에서와 같이 선택된 AS 보안 알고리즘을 삭제하고, 571 과정에서와 같이 UE(111)로 접속 해지 요청(Detach Request) 메시지를 전송하게 된다.
도 6은 본 발명의 실시 예에 따른 보안 과정을 지원하기 위한 기지국의 동작을 나타낸 순서도 이다.
본 발명의 일 실시 예에 따라서, eNB는 601 과정에 eNB(113)는 UE Security Capability 정보를 UE(111)로부터 받게 된다. 이후 611 과정 또는 615 과정은 본 발명에서 제시하는 실시예서 공통으로 실행되는 과정이다.
611 과정에서 MME(115)는 UE 로부터 초기 L3 메시지를 받게 되며 이 메시지들에는 UE Security Capability 정보가 포함된다. 613 과정에서 UE(111), eNB(113), MME(115) 등이 관여하여 인증과정이 선택적으로 실행된다.
615 과정에서 eNB(113)은 MME(115)로부터 UE(111)로 AS-SMC 메시지를 보낼 것을 트리거링(triggering) 하는 메시지를 받게 되는데, 상기 트리거링 메시지의 예로 SMC와 같은 메시지가 있을 수 있으며, 상기 트리거링 메시지에는 UE Security Capability 등의 정보가 포함되게 된다.
본 발명의 일실 예에서는 631 내지 639 과정을 실시하게 된다. 631 과정에서 eNB(113)은 UE(111)로부터 전송 받은 UE Security Capability 과 MME(115)로부터 전송 받은 UE Security Capability 을 비교 검증하게 된다.
633 과정에서 eNB(113)은 AS 보안 알고리즘을 선택하고 635 과정에서 eNB(113)은 UE(111)로 AS-SMC 메시지를 보내게 된다. 이후 637 과정에서 eNB(113)은 UE(111)로부터 AS 보안 모드 완성 메시지를 받게 되고, 639 과정에서 MME(115)는 eNB(113)는 MME(115)로 상기 615 과정에서 받은 트리거링 메시지에 대한 응답 메시지를 보내게 되는데, 상기 응답 메시지의 예로는Security Mode Complete 메시지를 들 수가 있다.
본 발명의 다른 실시 예에 따르면, 651 과정에서 eNB(113)은 AS 보안 알고리즘을 선택하고 653 과정에서 eNB(113)은 UE 로 AS-SMC 메시지를 보내게 된다. 이후 655 과정에서 NAS-SMC 메시지가 MME (115) 로부터 UE (111)로 전송되게 되며, 657 과정에서 eNB(113)은 AS 보안 모드 완성 메시지를 UE(111)로부터 받게 되고 659과정에서 AS 메시지 무결성 검증을 실시한다.
이후 무결성 검증에 성공하면, 661 가정에서 eNB(113)이 615 과정에서 받은 트리거링 메시지에 대한 응답 메시지를 MME(115)로 전송하게 된다. 이 과정에 포함 된 AS 에 의해 선택된 보안 알고리즘은 이후 아이들 모드 (idle mode) 에서 UE 가 이동 시에 MME(115)에서 타겟(target) eNB(113) 로 전송되는 UE 정보 중 일 예가 될 수 있다. 이후 663 과정에서 NAS 보안 모드 완성 메시지는 UE(111)로부터 MME(115)로 전송된다.
본 발명의 또 다른 일 실시 예에 따르면, 671 과정에서 eNB(113)은 AS 보안 알고리즘을 선택하고 673과정에서 eNB(113)은 UE 로 AS-SMC 메시지를 보내게 된다. 675 과정에서 eNB(113)은 AS 보안 모드 완성 메시지를 UE(111)로부터 받게 되고 677 과정에서 AS 메시지 무결성 검증을 실시한다.
이후 무결성 검증에 성공하면, 679 과정에서 eNB(113)는 615 과정에서 받은 트리거링 메시지에 대한 응답 메시지를 MME(115)로 전송하게 된다. 이 과정에서 AS 에 의해 선택된 보안 알고리즘이 응답 메시지에 포함될 수 있으며, 상기 AS 에 의해 선택된 보안 알고리즘은 아이들 모드(idle mode)에서 UE 가 이동 시에 MME(115)에서 타겟(target) eNB(113)로 전송되는 UE 정보 중 일 예가 될 수 있다. 이후 681 과정에서 NAS-SMC 메시지가 MME(115)에서UE(111)로 전송되게 된다.
한편 UE(111)에서 보안 검증이나 NAS-SMC 무결성 검증이 실패하게 되면 683 과정에서 NAS 보안 모드 완성 메시지가 UE(111)로부터 MME(115)로 전송되게 되는데 이때에 보안 검증 실패 지시자가 포함 될 수 있으며, 상기 보안 검증 실패 지시자는 685 과정의 MME(115) 에서 UE(111)로 전송되는 접속 해지 요청 메시지가 될 수 있다.
도 7 은 본 발명에 따른 보안 과정을 지원하기 위한 단말의 동작을 나타낸 순서도이다.
본 발명의 일 실시 예의 경우에 UE(111)은 701 과정에서 eNB(113)로 UE Security Capability 정보를 보내게 된다.
이후 711 과정 또는 717 과정은 본 발명에 따른 실시 예에 공통으로 적용되는 과정으로, 711 과정에서 MME(115)는 UE(111)로부터 초기 L3 메시지를 받게 되며 이 메시지들에는 UE Security Capability 정보가 포함된다.
713 과정에서 UE(111), eNB(113), MME(115) 등이 관여하여 인증과정이 선택적으로 실행된다.
715 과정에서 UE(111)은 eNB(113)으로부터 AS-SMC 메시지를 받게 되고 717 과정에서 UE(111)은 AS-SMC 메시지를 검증하게 된다.
본 발명의 일 실시 예에 따른 단말은 731 또는 737 과정을 실시하게 된다.
731 과정에서 UE(111)은 AS 보안 완성 메시지를 eNB(113)으로 전송하게 된다. 이후 733 과정 내지 737 과정은 NAS-SMC 관련 과정으로서 733 과정에서 MME(115)로부터 UE(111)이 NAS-SMC 메시지를 받게 되면 735 과정에서 NAS-SMC 메시지의 무결성을 검증하고, 만약 성공한 경우, 737 과정에서 UE(111)에서MME(115)로 NAS 보안 모드 완성 메시지를 전송한다.
본 발명의 다른 실시 예에 따른 단말은 751 과정 내지 757 과정, 그리고 737 과정이 실행된다.
751 과정에서 UE(111)은 MME(115)에서 NAS-SMC 메시지를 전송 받게 되고, 753 과정에서 보안 능력 검증을 실시한다. 보안 모드 검증에 성공하면 UE(111)은 755 과정에서 AS 보안 모드 완성 메시지를 eNB(113)으로 전송한다. 이후 757 과정에서 NAS SMC 무결성 검증을 실시하게 되고, 성공하는 경우에는 737 과정을 실행하여 UE(111)에서 MME(115)로 NAS 보안 모드 완성 메시지를 전송한다.
본 발명의 다른 실시 예에 따른 단말은 771 과정 내지 793 과정과 737 과정을 수행한다.
771 과정에서 UE(111)은 eNB(113)으로 AS 보안 모드 완성 메시지를 전송하게 된다. 773 과정에서 UE(111)이 NAS-SMC 를 MME(115)로부터 수신을 하게 되는데 NAS-SMC 메시지는 무결성을 보장하며, NAS-SMC 메시지 내에 UE Security Capability 등의 정보가 포함된 메시지를 수신하게 된다.
이후 775 과정에서 이전에 715 과정에서 UE(111)이 MME(115)를 거쳐 eNB(113)으로부터 수신한 UE 보안 능력 정보와 773 과정에서 수신한 UE 보안 능력 정보와 비교 검증하고, 성공을 하는 경우는 777 과정에서 NAS-SMC 무결성 검증을 시행하여 성공하면 737 과정을 수행하여 UE(111)에서 MME(115)로 NAS 보안 모드 완성 메시지를 전송한다.
한편 777 과정에서 NAS-SMC 무결성 검증이 실패하면 781 과정으로 진행하여 UE(11) 은 NAS 보안 모드 완성 메시지를 MME(115)로 메시지를 전송하지 않고 UE(111)에서 절차를 종료한다.
한편 775 과정에서 보안 검증이 실패한 경우 779 과정에서 NAS-SMC 무결성 검증을 실행하게 되는데 이때 NAS-SMC 무결성 검증이 실패하는 경우, 781 과정으로 진행하여 UE(11)은 NAS 보안 모드 완성 메시지를 MME(115)로 메시지를 전송하지 않고 UE(111)에서 절차를 종료한다.
775 과정에서 보안 검증이 실패한 경우, 779 과정에서 NAS-SMC 무결성 검증을 실행하여 NAS-SMC 무결성 검증이 성공하는 경우에도 성공 과정의 옵션1으로서 781 과정으로 진행하여 UE(111)은 NAS 보안 모드 완성 메시지를 MME(115)로 메시지를 전송하지 않고 UE(111)에서 절차를 종료한다.
다른 경우로 775 과정에서 보안 검증이 실패한 하였으나, 779 과정에서 NAS-SMC 무결성 검증을 실행하여 무결성 검증이 성공하는 경우, 성공 과정의 옵션 2 로서 791 과정으로 진행하여 UE(111)은 MME(115)로 NAS 보안 모드 완성 메시지를 전송하되 보안 검증 실패 지시자를 포함하도록 한다. 이후 793 과정에서 UE(111)은 접속 해지 요청(Detach Request)를 MME(115)로부터 전송 받게 된다.
도 1은 본 발명이 적용되는 이동 통신 시스템에서의 네트워크 구성을 도시하는 도면
도 2는 본 발명의 일 실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 도시하는 도면
도 3은 본 발명의 다른 실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 도시하는 도면
도 4는 본 발명의 또 다른 실시 예에 따른 단말 보안 능력 정보 관련 보안 과정의 절차를 도시하는 도면
도 5는 본 발명의 실시 예에 따른 보안 과정을 지원하기 위한 MME의 동작 순서를 도시하는 도면
도 6는 본 발명의 다른 실시 예에 따른 보안 과정을 지원하기 위한 기지국 동작 순서를 도시하는 도면
도 7는 본 발명의 또 다른 실시 예에 따른 보안 과정을 지원하기 위한 단말 동작 순서를 도시하는 도면

Claims (3)

  1. 이동통신 시스템에서 단말 보안 능력 관리 방법에 있어서,
    UE Security Capability을 수신하는 단계와,
    초기 Layer 3 메시지를 수신하는 단계와,
    이후 과정에서 사용할 보안 알고리즘을 선택하는 단계와,
    eNB로부터 상기에서 수신한 UE Security Capability을 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계와,
    UE로부터 수신한 상기 UE Security Capability 정보와 MME로부터 받은 정보를 비교하는 단계와,
    AS 보안 알고리즘 (Security Algorithm)를 선택하는 단계와,
    AS-SMC 메시지를 송신하는 단계와,
    AS 보안 모드 완성(Security Mode Complete) 메시지를 수신하는 단계와,
    NAS-SMC를 송신하는 단계와,
    NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 수신하는 단계를 포함함을 특징으로 하는 단말 보안 능력 관리 방법.
  2. 이동통신 시스템에서 단말 보안 능력 관리 방법에 있어서,
    초기 Layer 3 메시지를 수신하는 단계와,
    이후 과정에서 사용되는 보안 알고리즘을 선택하는 단계와,
    UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계와,
    AS 보안 알고리즘을 선택하는 단계와,
    AS 정보 보안 모드 명령을 송신하는 단계 NAS 정보 보안 모드 명령을 송신하는 단계와,
    상기 AS 정보 보안 모드 명령과 상기 NAS 정보 보안 모드 명령을 비교하는 단계와,
    비교 결과 무결성이 확인된 경우, NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 송신하는 단계를 포함하는 것을 특징으로 하는 단말 보안 능력 관리 방법.
  3. 이동통신 시스템에서 단말 보안 능력 관리 방법에 있어서,
    초기 Layer 3 메시지를 수신하는 단계와,
    이후 과정에서 사용되는 보안 알고리즘을 선택하는 단계와,
    UE Security Capability를 포함하는 AS 정보 보안 모드 명령을 유발하는 메시지를 송신하는 단계와,
    AS 보안 알고리즘을 선택하는 단계와,
    AS 정보 보안 모드 명령을 수신하는 단계와,
    NAS 정보 보안 모드 명령을 송신하는 단계와,
    상기 AS 정보 보안 모드 명령과 상기 NAS 정보 보안 모드 명령을 비교하는 단계와,
    비교 결과 검증이 성공한 경우, NAS 보안 모드 완성(NAS Security Mode Complete) 메시지를 송신하는 단계와,
    검증이 실패한 경우, AS 보안 검증 실패 지시자를 포함한 NAS-보안모드 완성 메시지를 송신하는 단계를 포함하는 것을 특징으로 하는 단말 보안 능력 관리 방법.
KR1020080108582A 2008-11-03 2008-11-03 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 KR101475349B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020080108582A KR101475349B1 (ko) 2008-11-03 2008-11-03 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
US12/609,410 US8555064B2 (en) 2008-11-03 2009-10-30 Security system and method for wireless communication system
PCT/KR2009/006379 WO2010062045A2 (en) 2008-11-03 2009-11-02 Security system and method for wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080108582A KR101475349B1 (ko) 2008-11-03 2008-11-03 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치

Publications (2)

Publication Number Publication Date
KR20100054178A true KR20100054178A (ko) 2010-05-25
KR101475349B1 KR101475349B1 (ko) 2014-12-23

Family

ID=42132929

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080108582A KR101475349B1 (ko) 2008-11-03 2008-11-03 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치

Country Status (3)

Country Link
US (1) US8555064B2 (ko)
KR (1) KR101475349B1 (ko)
WO (1) WO2010062045A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011162538A3 (ko) * 2010-06-21 2012-03-01 삼성전자 주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
KR20180100365A (ko) * 2016-01-05 2018-09-10 후아웨이 테크놀러지 컴퍼니 리미티드 이동 통신 방법, 장치 및 디바이스
KR20220156097A (ko) * 2018-09-24 2022-11-24 노키아 테크놀로지스 오와이 Nas 메시지의 보안 보호를 위한 시스템 및 방법

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102264066B (zh) * 2010-05-27 2015-08-12 中兴通讯股份有限公司 一种实现接入层安全算法同步的方法及系统
US20110312299A1 (en) 2010-06-18 2011-12-22 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
WO2013048403A1 (en) * 2011-09-29 2013-04-04 Nokia Siemens Networks Oy Device triggering solutions
CN103037418B (zh) * 2011-09-30 2016-03-30 华为技术有限公司 一种实现告警事件处理的方法、装置和系统
CN105577364B (zh) * 2011-10-27 2019-11-05 华为技术有限公司 一种加密方法、解密方法和相关装置
CN103179559B (zh) * 2011-12-22 2016-08-10 华为技术有限公司 一种低成本终端的安全通信方法、装置及系统
US8838971B2 (en) 2012-01-16 2014-09-16 Alcatel Lucent Management of public keys for verification of public warning messages
US20130185372A1 (en) * 2012-01-16 2013-07-18 Alcatel-Lucent Usa Inc. Management of user equipment security status for public warning system
CN103297958B (zh) 2012-02-22 2017-04-12 华为技术有限公司 建立安全上下文的方法、装置及系统
CN103945420B (zh) * 2013-01-18 2017-11-17 华为技术有限公司 小区优化方法及装置
US20160316373A1 (en) * 2015-04-27 2016-10-27 Qualcomm Incorporated Techniques for managing security mode command (smc) integrity failures at a user equipment (ue)
EP3340690B1 (en) * 2015-09-22 2019-11-13 Huawei Technologies Co., Ltd. Access method, device and system for user equipment (ue)
JP6651613B2 (ja) 2015-10-05 2020-02-19 テレフオンアクチーボラゲット エルエム エリクソン(パブル) ワイヤレス通信
WO2017133021A1 (zh) * 2016-02-06 2017-08-10 华为技术有限公司 一种安全处理方法及相关设备
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
US10313878B2 (en) * 2016-09-16 2019-06-04 Qualcomm Incorporated On-demand network function re-authentication based on key refresh
JP6937827B2 (ja) 2016-11-04 2021-09-22 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 次世代無線ネットワークにおける二次ノード変更の測定シグナリング
WO2018089442A2 (en) * 2016-11-09 2018-05-17 Intel IP Corporation Ue and devices for detach handling
WO2018205114A1 (zh) * 2017-05-08 2018-11-15 华为技术有限公司 一种状态切换方法及装置
US10667126B2 (en) * 2017-10-02 2020-05-26 Telefonaktiebolaget Lm Ericsson (Publ) Access stratum security in a wireless communication system
TWI771518B (zh) * 2017-11-07 2022-07-21 大陸商Oppo廣東移動通信有限公司 處理資料的方法、存取網設備和核心網設備
WO2019174015A1 (zh) * 2018-03-15 2019-09-19 Oppo广东移动通信有限公司 处理数据的方法、接入网设备和核心网设备
HUE059620T2 (hu) * 2018-02-19 2022-12-28 Ericsson Telefon Ab L M A különbözõ vezeték nélküli kommunikációs rendszerek közötti együttmûködés és/vagy mobilitás támogatása
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
EP4451723A2 (en) * 2019-01-15 2024-10-23 Telefonaktiebolaget LM Ericsson (publ) Radio access capabilities of a wireless device
US11470473B2 (en) * 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN110677853B (zh) * 2019-09-06 2023-04-11 京信网络系统股份有限公司 信令处理方法、装置、基站设备和存储介质
CN113704773B (zh) * 2021-09-13 2022-11-25 南方电网数字电网研究院有限公司 继电保护安全芯片操作系统及其通信方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US7246236B2 (en) * 2002-04-18 2007-07-17 Nokia Corporation Method and apparatus for providing peer authentication for a transport layer session
CA2428236A1 (en) * 2003-05-08 2004-11-08 M-Stack Limited Apparatus and method of handling universal terrestrial radio access network radio resource control connecting messages in universal mobile telecommunications system user equipment
JP5042834B2 (ja) * 2004-08-25 2012-10-03 エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート 無線携帯インターネットシステムでeapを利用する保安関係交渉方法
KR100745237B1 (ko) * 2005-10-27 2007-08-01 주식회사 팬택앤큐리텔 Umts 에서의 보안 방법 및 그 장치
US8699711B2 (en) * 2007-07-18 2014-04-15 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011162538A3 (ko) * 2010-06-21 2012-03-01 삼성전자 주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
US9609498B2 (en) 2010-06-21 2017-03-28 Samsung Electronics Co., Ltd. Security control method and device in a mobile communication system supporting emergency calls, and a system therefor
KR20180100365A (ko) * 2016-01-05 2018-09-10 후아웨이 테크놀러지 컴퍼니 리미티드 이동 통신 방법, 장치 및 디바이스
US10944786B2 (en) 2016-01-05 2021-03-09 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US11310266B2 (en) 2016-01-05 2022-04-19 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US11736519B2 (en) 2016-01-05 2023-08-22 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US12003533B2 (en) 2016-01-05 2024-06-04 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
KR20220156097A (ko) * 2018-09-24 2022-11-24 노키아 테크놀로지스 오와이 Nas 메시지의 보안 보호를 위한 시스템 및 방법
US12081978B2 (en) 2018-09-24 2024-09-03 Nokia Technologies Oy System and method for security protection of NAS messages

Also Published As

Publication number Publication date
KR101475349B1 (ko) 2014-12-23
WO2010062045A2 (en) 2010-06-03
US20100115275A1 (en) 2010-05-06
WO2010062045A3 (en) 2010-08-05
US8555064B2 (en) 2013-10-08

Similar Documents

Publication Publication Date Title
KR101475349B1 (ko) 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
KR102450419B1 (ko) 무선 통신 네트워크에서의 로밍 활동에 대한 안티 스티어링 검출 방법 및 시스템
CN110557751B (zh) 基于服务器信任评估的认证
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
US8046583B2 (en) Wireless terminal
KR102040231B1 (ko) 이동 통신에서 가입 사업자 변경 제한 정책을 지원하는 정책 적용 방법 및 장치
US20080072301A1 (en) System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
CN107835204B (zh) 配置文件策略规则的安全控制
EP3485624B1 (en) Operation related to user equipment using secret identifier
US20110078442A1 (en) Method, device, system and server for network authentication
US10284562B2 (en) Device authentication to capillary gateway
EP2939391A1 (en) Method and device for secure network access
WO2009135367A1 (zh) 用户设备验证方法、设备标识寄存器以及接入控制系统
US10492056B2 (en) Enhanced mobile subscriber privacy in telecommunications networks
WO2007025484A1 (fr) Procede de negociation de mise a jour pour cle d'autorisation et dispositif associe
US9560526B2 (en) Method and apparatus for single sign-on in a mobile communication system
US9485654B2 (en) Method and apparatus for supporting single sign-on in a mobile communication system
WO2023144649A1 (en) Application programming interface (api) access management in wireless systems
WO2023144650A1 (en) Application programming interface (api) access management in wireless systems
CN114650532A (zh) 一种协议数据单元会话建立方法及装置
WO2016162759A2 (en) Secure service request using an application granted key

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20171129

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181129

Year of fee payment: 5