KR20100092353A - 트래픽 암호화 키 관리방법 및 장치 - Google Patents

트래픽 암호화 키 관리방법 및 장치 Download PDF

Info

Publication number
KR20100092353A
KR20100092353A KR1020090060764A KR20090060764A KR20100092353A KR 20100092353 A KR20100092353 A KR 20100092353A KR 1020090060764 A KR1020090060764 A KR 1020090060764A KR 20090060764 A KR20090060764 A KR 20090060764A KR 20100092353 A KR20100092353 A KR 20100092353A
Authority
KR
South Korea
Prior art keywords
tek
count
base station
message
handover
Prior art date
Application number
KR1020090060764A
Other languages
English (en)
Inventor
한진백
류기선
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020100006041A priority Critical patent/KR101670743B1/ko
Priority to PCT/KR2010/000909 priority patent/WO2010093200A2/en
Priority to CN201080007447.1A priority patent/CN102318259B/zh
Priority to US12/705,068 priority patent/US8707045B2/en
Publication of KR20100092353A publication Critical patent/KR20100092353A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/32Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선접속 시스템에서 데이터 서비스를 보호하기 위해 TEK 카운터를 관리하는 방법들 및 이러한 방법들이 수행될 수 있는 장치들을 개시한다. 본 발명의 일 실시예로서 트래픽 암호화 키를 생성 또는 갱신하기 위한 TEK 카운트 관리방법은, 이동단말에서 유지하고 있는 제 1 TEK 카운트를 포함하는 제 1 메시지를 기지국으로 전송하는 단계와 기지국으로부터 제 2 TEK 카운트를 포함하는 제 2 메시지를 수신하는 단계 및 제 2 TEK 카운트를 이용하여 TEK을 생성하는 단계를 포함할 수 있다.
TEK, TEK 카운트, 핸드오버, 네트워크 재진입

Description

트래픽 암호화 키 관리방법 및 장치{Methods and Apparatus of managing a traffic encryption key}
본 발명은 무선접속 시스템에서 데이터 서비스를 보호하기 위한 트래픽 암호화키를 갱신하는 방법 및 TEK 카운터를 관리하는 방법들을 제공하고, 이러한 방법들이 수행될 수 있는 장치를 제공하는 것이다.
이하에서는 일반적으로 사용되는 IEEE 802.16 시스템 기반의 프로토콜 계층에 대하여 간략히 설명한다. 도 1은 일반적으로 사용되는 IEEE 802.16 시스템 기반의 무선 이동통신 시스템에서 정의하는 프로토콜 계층 모델을 나타낸다.
도 1을 참조하면, 링크 계층에 속하는 매체접속제어(MAC: Medium Access Control) 계층은 3개의 부계층으로 구성될 수 있다. 먼저, 서비스 지정 수렴 부계층(Service-Specific CS: Service-Specific Convergence Sublayer)은 CS SAP(Service Access Point)를 통하여 수신된 외부 네트워크의 데이터를 MAC 공통 부계층(CPS: Common Part Sublayer)의 MAC SDU(Service Data Unit)들로 변형시키거나 맵핑시킬 수 있다. 이 계층에서는 외부 네트워크의 SDU들을 구분한 후, 해당되는 MAC 서비스 플로우 식별자(SFID: Service Flow IDentifier)와 CID(Connection IDentifier)를 연관시키는 기능이 포함될 수 있다.
다음으로 MAC CPS 계층은 시스템 액세스, 대역폭 할당, 연결(connection) 설정 및 관리와 같은 MAC의 핵심적인 기능을 제공하는 계층으로, MAC SAP를 통해 다양한 CS들로부터 특정 MAC 연결에 의해서 분류된 데이터를 수신한다. 이때 물리 계층을 통한 데이터 전송과 스케쥴링에 QoS(Quality of Service)가 적용될 수 있다.
또한, 보안 부계층(Security Sublayer)은 인증(Authentication), 보안키 교환(security key exchange)과 암호화 기능을 제공할 수 있다. 이하 보안 서비스 및 보안 부계층(security sublayer)에 대해 간략히 설명한다.
보안 서비스는 네트워크 데이터에 대한 기밀성(Confidentiality) 및 무결성(Integrity)을 제공하는 것이다. 무결성이란 최초의 메시지 내용이 상대방에게 동일한 내용으로 전달되었는지 여부를 말한다. 즉, 무결성은 메시지가 제 3자 등에 의해 임의로 변경되지 않는 것을 보장하는 것이다. 기밀성이란 정보를 오직 인가된 사람들에게만 공개하는 것을 말한다. 즉, 기밀성은 전송되는 데이터의 내용을 완벽하게 보호하여 비인가자가 정보의 내용에 접근하는 것을 방지하는 것이다.
보안 부계층은 광대역 무선 네트워크에서의 보안, 인증 및 기밀성을 제공한다. 보안 부계층은 단말과 기지국간에 전달되는 MAC PDU(Medium Access Control Protocol Data Unit)에 암호화 기능을 적용할 수 있다. 따라서, 기지국 및 단말은 불법 사용자의 서비스 도난 공격에 대한 강인한 방어 능력을 제공할 수 있다. 기지국에서는 네트워크 전반에 걸쳐 서비스 플로우에 대한 암호화를 수행하여 데이터 전송 서비스에 어떤 권한도 없이 접속하는 것을 방지한다.
보안 부계층은 인증된 클라이언트/서버 구조의 키 관리 프로토콜을 이용하여 기지국이 단말에게 키(key)와 관련된 정보들을 분배하는 것을 제어한다. 이때, 키 관리 프로토콜에 디지털 인증서 기반의 단말장치 인증을 추가하여 기본적인 보안 메커니즘의 기능을 더욱 강화시킬 수 있다.
단말 기본기능 협상이 진행되는 동안 단말에서 보안기능을 제공하지 않으면, 인증 및 키 교환절차는 생략된다. 그리고, 특정 단말이 인증 기능을 지원하지 않는 단말로 등록이 되었을 경우라도 기지국은 단말의 권한이 검증되었다고 간주할 수 있다. 특정 단말에서 보안 기능을 지원하지 않으면, 해당 단말에는 서비스가 제공되지 않기 때문에 키 교환이나 데이터 암호화 기능을 수행하지 않는다.
보안 부계층은 캡슐화(encapsulation) 프로토콜 및 키 관리 프로토콜(PKM)로 구성된다. 캡슐화 프로토콜은 광대역 무선 네트워크에서 패킷 데이터의 보안을 위한 프로토콜로서, 데이터 암호화 및 데이터 인증 알고리즘과 같은 암호화 슈트(cyptographic Suites)를 나타내는 집합과 MAC PDU 페이로드에 이러한 알고리즘을 적용시키는 방법을 제공한다.
암호화 슈트는 데이터 암호화, 데이터 인증 및 TEK 교환을 위한 알고리즘을 나타내는 보안연계(SA: Sercuroty Association) 집합을 나타낸다. 즉, 데이터 암호 알고리즘과 데이터 인증 알고리즘의 쌍을 나타낸다.
키 관리 프로토콜은 기지국에서 단말로 키 관련 데이터를 안전하게 분배하는 방법을 제공하는 프로토콜이다. 기지국 및 단말은 키관리 프로토콜을 이용하여 키 관련 데이터를 안전하게 분배하는 방법을 제공할 수 있다. 키 관리 프로토콜을 이 용하면 단말과 기지국 사이에는 키 관련 데이터를 공유할 수 있으며, 기지국에서는 네트워크 접근을 제어할 수 있다.
보안 부계층은 물리계층(PHY: Physical Layer)와 물리계층 서비스 접속점(PHY SAP: Physical Serivce Access Point)를 통해 연결되어 있다. PHY 계층에서는 MAC 계층에서 생성 및 암호화된 PDU 들을 목적지로 전달하는 기능을 수행한다.
IEEE 802.16e 표준의 경우, 핸드오프만을 위해 CMAC 키 카운트(CMAC_KEY_COUNT)를 사용하여 핸드오프시 TEK 갱신을 지원한다. 그러나, CMAC 키 카운트는 핸드오프시에 대해서만 정의되어 있으므로, 전반적인 TEK 관리에 있어서 일관성이 없다. 또한, IEEE 802.16m 시스템은 IEEE 802.16e 시스템과 TEK 생성방법이 다르므로, CMAC_KEY_COUNT를 사용하여 TEK을 생성 및 관리하는 것은 비효율적이며, 적합하지 않을 수 있다.
또한, 광대역 무선접속을 위한 IEEE 802.16m 표준은 유니캐스트 데이터 서비스의 보호를 위해 트래픽 암호화 키(TEK: Traffic Encryption Key)를 정의하고 있다. IEEE 802.16m 시스템에서 TEK는 이동단말과 기지국에 의해 지역적으로 생성되어 사용될 수 있다. IEEE 802.16 광대역 무선 접속망을 통한 데이터 서비스의 흐름은 일련의 QoS 파라미터들을 가지며, TEK을 통한 암호화 및 복호화가 요구된다.
그러나, 현재 정의되어 있는 TEK 갱신을 위한 TEK 카운트(TEK COUNT)의 관리는 핸드오프나 망 재진입(예를 들어, Connection Loss, Uncoordinated HO 등에 의해 기인한) 등의 네트워크 동작에 대해 유연하게 사용될 수 있도록 명확하게 기술되어 있지 않다. 즉, 이동단말이 서빙 기지국에서 타겟 기지국으로 핸드오프하거나 망 재진입 절차를 수행하는 경우, TEK 갱신에 필요한 TEK 카운트를 어떻게 처리해야 하는지에 대한 부분이 명확하게 정의되어 있지 않다.
본 발명은 상기한 바와 같은 일반적인 기술의 문제점을 해결하기 위하여 안 출된 것으로서, 본 발명의 목적은 효율적인 데이터 서비스의 암호화방법을 제공하는 것이다.
본 발명의 다른 목적은 이동단말이 TEK을 갱신하기 위한 최적화된 방법들을 제공하는 것이다. 이동단말이 핸드오프 및/또는 망 재진입 절차를 수행할 때, TEK의 갱신을 위한 TEK 카운트의 처리 방법들을 제공한다.
본 발명의 또 다른 목적은 이동단말이 기지국과 핸드오프 및/또는 망 재진입시 사용할 TEK을 유연하게 갱신하기 위해 TEK 카운트를 동기화하는 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 향상된 데이터 서비스의 제공을 지원하도록, 망에 큰 부하를 주지않는 TEK 갱신방법을 제공하는 것이다.
본 발명의 또 다른 목적은 이동단말이 핸드오프, 망 재진입 등의 네트워크 관련 동작을 수행하는 과정에서 TEK 갱신을 위한 TEK 카운트 처리 방법들을 제공하는 것이다.
본 발명에서 이루고자 하는 기술적 목적들은 이상에서 언급한 사항들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 이하 설명할 본 발명의 실시예들로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다.
상기의 기술적 과제를 해결하기 위해, 본 발명은 무선접속 시스템에서 데이터 서비스를 보호하기 위한 트래픽 암호화키를 갱신하는 방법 및 TEK 카운터를 관 리하는 방법들 및 이러한 방법들이 수행될 수 있는 장치를 제공한다.
본 발명의 일 양태로서 트래픽 암호화 키를 생성 또는 갱신하기 위한 TEK 카운트 관리방법은, 이동단말에서 유지하고 있는 제 1 TEK 카운트를 포함하는 제 1 메시지를 기지국으로 전송하는 단계와 기지국으로부터 제 2 TEK 카운트를 포함하는 제 2 메시지를 수신하는 단계 및 제 2 TEK 카운트를 이용하여 TEK을 생성하는 단계를 포함할 수 있다. 이때, 제 2 TEK 카운트는 제 1 TEK 카운트(a)를 기반으로 결정되고, 제 1 TEK 카운트(a) 및 제 2 TEK 카운트는 핸드오버 또는 네트워크 재진입을 수행하는 때마다 증가하되, TEK을 생성시 사용되는 넌스가 갱신될 때마다 초기화될 수 있다.
상기 본 발명의 일 양태에서 제 1 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 요청 메시지 중 하나이고, 제 2 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 응답 메시지 중 하나일 수 있다. 또는 제 1 메시지는 네트워크 재진입시 사용되는 레인징 요청메시지이고, 제 2 메시지는 네트워크 재진입시 사용되는 레인징 응답 메시지일 수 있다.
상기 본 발명의 일 양태에서 제 2 TEK 카운트는, 제 1 TEK 카운트(a)가 기지국이 유지하고 있는 제 3 TEK 카운트(b)보다 더 큰 경우에는 제 1 TEK 카운트가 제 2 TEK 카운트로 결정되고, 제 1 TEK 카운트가 제 3 TEK 카운트(b)보다 작거나 같은 경우에는 제 3 TEK 카운트(b)가 제 2 TEK 카운트로 결정된다.
상기 본 발명의 일 양태에서 TEK을 생성하는 단계는 이동단말이 제 2 TEK 카운트, 넌스, 인증키(AK) 및 보안연계식별자(SAID) 중 하나 이상을 이용하여 TEK을 생성함으로써 수행될 수 있다.
상기 본 발명의 일 양태는, 이동단말이 키 협상 과정을 통해 기지국과 넌스 및 보안재료들을 교환하는 단계를 더 포함할 수 있다.
상기 본 발명의 일 양태에서 제 1 메시지는 임시 식별자, 핸드오버 지시, 위치갱신요청, 페이징 제어기 TLV, CMAC 튜플 중 하나 이상을 더 포함하고, 제 2 메시지는 위치갱신응답, 넌스, 핸드오버 최적화 정보, CMAC 튜플 중 하나 이상을 더 포함할 수 있다.
본 발명의 다른 양태로서 트래픽 암호화 키를 생성 또는 갱신하기 위한 TEK 카운트 관리방법은, 기지국에서 이동단말로부터 이동단말이 유지하고 있는 제 1 TEK 카운트를 포함하는 제 1 메시지를 수신하는 단계와 기지국이 이동단말로 제 2 TEK 카운트를 포함하는 제 2 메시지를 전송하는 단계 및 기지국에서 제 2 TEK 카운트를 이용하여 TEK을 생성하는 단계를 포함할 수 있다. 이때, 제 2 TEK 카운트는 제 1 TEK 카운트를 기반으로 결정되고, 제 1 TEK 카운트 및 제 2 TEK 카운트는 핸드오버 또는 네트워크 재진입을 수행하는 때마다 증가하되, TEK을 생성시 사용되는 넌스가 갱신될 때마다 초기화될 수 있다.
상기 본 발명의 다른 양태는 제 1 TEK 카운트와 기지국에서 유지하고 있는 제 3 TEK 카운트를 비교하는 단계를 더 포함할 수 있다. 이때, 제 1 TEK 카운트가 제 3 TEK 카운트보다 더 큰 경우에는 제 1 TEK 카운트를 제 2 TEK 카운트로 결정하고, 제 1 TEK 카운트가 제 3 TEK 카운트보다 작거나 같은 경우에는 제 3 TEK 카운트를 제 2 TEK 카운트로 결정할 수 있다.
상기 본 발명의 다른 양태에서 제 1 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 요청 메시지 중 하나이고, 제 2 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 응답 메시지 중 하나일 수 있다. 또는, 제 1 메시지는 네트워크 재진입시 사용되는 레인징 요청메시지이고, 제 2 메시지는 네트워크 재진입시 사용되는 레인징 응답 메시지일 수 있다.
상기 본 발명의 다른 양태에서 TEK을 생성하는 단계는, 기지국에서 제 2 TEK 카운트, 넌스, 인증키(AK) 및 보안연계식별자(SAID) 중 하나 이상을 이용하여 TEK을 생성함으로써 수행될 수 있다.
상기 본 발명의 다른 양태는 키 협상 과정을 통해 이동단말과 넌스 및 보안재료들을 교환하는 단계를 더 포함할 수 있다.
상기 본 발명의 다른 양태에서 제 1 메시지는 임시 식별자, 핸드오버 지시, 위치갱신요청, 페이징 제어기 TLV, CMAC 튜플 중 하나 이상을 더 포함하고, 제 2 메시지는 위치갱신응답, 넌스, 핸드오버 최적화 정보, CMAC 튜플 중 하나 이상을 더 포함할 수 있다.
본 발명의 실시예들에 따르면 다음과 같은 효과가 있다.
첫째, 본 발명의 실시예들을 사용함으로써, 데이터 서비스의 제공에 있어서 연속성의 훼손이나 서비스 품질의 저하를 감소시킬 수 있다.
둘째, 이동단말이 기지국과 핸드오프 및/또는 망 재진입시 TEK 카운트를 동기화함으로써, 유연하게 TEK을 갱신할 수 있다.
셋째, 이동단말 및 기지국에서 TEK을 갱신하기 위한 최적화된 방법들을 제공함으로써, 서비스 품질에 영향을 주지 않으면서 사용자에게 끊김 없는 데이터 서비스를 제공할 수 있다.
넷째, 망에 큰 부하를 주지않는 TEK 갱신방법을 이용함으로써, 향상된 데이터 서비스의 제공을 지원하도록 사용자 능력(User Experience)을 증진시킬 수 있다.
다섯째, 본 발명의 실시예들을 통해 이동단말 및 타겟 기지국은 신속하고 유연하게 TEK을 생성 및 갱신함으로써, 보안 관련 정보 생성에 따른 통신성능 열화 문제를 해결할 수 있다.
본 발명의 실시예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 이하의 본 발명의 실시예들에 대한 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 도출되고 이해될 수 있다.
본 발명은 무선접속 시스템에 관한 것이다. 본 발명은 데이터 서비스를 보호하기 위한 트래픽 암호화키를 갱신하는 방법 및 TEK 카운터를 관리하는 방법과, 이를 수행하기 위한 장치들을 개시한다.
이하의 실시예들은 본 발명의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성할 수도 있다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다.
도면에 대한 설명에서, 본 발명의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당업자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.
본 명세서에서 본 발명의 실시예들은 기지국과 이동국 간의 데이터 송수신 관계를 중심으로 설명되었다. 여기서, 기지국은 이동국과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미가 있다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다.
즉, 기지국을 포함하는 다수의 네트워크 노드들(network nodes)로 이루어지는 네트워크에서 이동국과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있다. 이때, '기지국'은 고정국(fixed station), Node B, eNode B(eNB), 발전된 기지국(ABS: Advanced Base Station) 또는 억세스 포인트(access point) 등의 용어에 의해 대체될 수 있다. 또한, '이동국(MS: Mobile Station)'은 UE(User Equipment), SS(Subscriber Station), MSS(Mobile Subscriber Station), 이동 단말(Mobile Terminal), 발전된 이동단말(AMS: Advanced Mobile Station) 또는 단말(Terminal) 등의 용어로 대체될 수 있다.
또한, 송신단은 데이터 서비스 또는 음성 서비스를 제공하는 고정 및/또는 이동 노드를 말하고, 수신단은 데이터 서비스 또는 음성 서비스를 수신하는 고정 및/또는 이동 노드를 의미한다. 따라서, 상향링크에서는 이동국이 송신단이 되고, 기지국이 수신단이 될 수 있다. 마찬가지로, 하향링크에서는 이동국이 수신단이 되고, 기지국이 송신단이 될 수 있다.
한편, 본 발명서 이동국으로 개인휴대단말기(PDA: Personal Digital Assistant), 셀룰러폰, 개인통신서비스(PCS: Personal Communication Service) 폰, GSM(Global System for Mobile) 폰, WCDMA(Wideband CDMA) 폰, MBS(Mobile Broadband System) 폰, 핸드헬드 PC(Hand-Held PC), 노트북 PC, 스마트(Smart) 폰 또는 멀티모드 멀티밴드(MM-MB: Multi Mode-Multi Band) 단말기 등이 이용될 수 있다.
여기서, 스마트 폰이란 이동통신 단말기와 개인 휴대 단말기의 장점을 혼합한 단말기로서, 이동통신 단말기에 개인 휴대 단말기의 기능인 일정 관리, 팩스 송수신 및 인터넷 접속 등의 데이터 통신 기능을 통합한 단말기를 의미할 수 있다. 또한, 멀티모드 멀티밴드 단말기란 멀티 모뎀칩을 내장하여 휴대 인터넷시스템 및 다른 이동통신 시스템(예를 들어, CDMA(Code Division Multiple Access) 2000 시스템, WCDMA(Wideband CDMA) 시스템 등)에서 모두 작동할 수 있는 단말기를 말한다.
본 발명의 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.
하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
본 발명의 실시예들은 무선 접속 시스템들인 IEEE 802 시스템, 3GPP 시스템, 3GPP LTE 시스템 및 3GPP2 시스템 중 적어도 하나에 개시된 표준 문서들에 의해 뒷받침될 수 있다. 즉, 본 발명의 실시예들 중 본 발명의 기술적 사상을 명확히 드러내기 위해 설명하지 않은 단계들 또는 부분들은 상기 문서들에 의해 뒷받침될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다. 특히, 본 발명의 실시예들은 IEEE 802.16 시스템의 표준 문서인 P802.16-2004, P802.16e-2005 및 P802.16Rev2 문서들 중 하나 이상에 의해 뒷받침될 수 있다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 또한, 본 발명의 실시예들에서 사용되는 특정(特定) 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
IEEE 802.16m 시스템에서 정의하는 유니캐스트 데이터 서비스에 대한 보호는 이동단말(AMS)과 기지국(ABS)간의 연결을 통해 전달되는 MPDU들의 암호학적 변환을 의미한다. 이동단말과 기지국간 데이터에 대한 보호는 MAC 계층의 보안 부계층(Security Sublayer)의 기능 중 하나인 트래픽 데이터 암호화 기능(Traffic Data Encryption Function)의 역할이다.
데이터 암호화는 선택된 사이퍼슈트(Ciphersuite)에 의해 요청되는, MAC PDU 페이로드(Payload)에 적용된다. 일반적으로, 데이터의 암호화를 위해서는 키(key)가 필요하며, IEEE 802.16m 표준에서는 다양한 키 중 하나로서 트래픽 암호화키(TEK)를 정의한다.
IEEE 802.16e 시스템에서는 기지국에서 TEK을 생성하여 이동단말에 전송하는 반면에, IEEE 802.16m 시스템에서 기지국은 무선 인터페이스(Air Interface)를 통해 TEK을 이동단말과 교환하지는 않는다. 즉, IEEE 802.16m 시스템에서 기지국과 이동단말은 개별적으로 TEK을 생성할 수 있다.
따라서, IEEE 802.16e 시스템에서는 기지국에서 TEK을 생성하여 이동단말에 전송하므로 여러 개의 이동단말이 하나의 SA를 공유할 수 있다. 그러나, IEEE 802.16m 시스템에서는 기지국 및 이동단말은 TEK을 생성하기 위한 보안재료들만을 공유하고, 이러한 보안재료들을 이용하여 각각 TEK을 생성하므로 각 이동단말은 하나의 SA를 가지게 된다.
본 발명의 실시예들에서, 기지국 및 이동단말은 TEK의 효율적인 갱신을 위해 동기화된 TEK 카운트를 유지 및 관리한다. 예를 들어, 이동단말은 각 TEK 컨텍스트(TEK context)마다 TEK 카운트를 유지 및 관리하며, 기지국도 각각의 TEK 컨텍스트에 대해 이동단말에 대응되는 TEK 카운터와 동기가 맞춰진 TEK 카운트를 유지할 수 있다.
다음 수학식 1은 기지국 및 이동단말의 핸드오프시 TEK을 생성하는 방법 중 하나를 나타낸다.
TEKi = Dot16KDF(KEK_prime,CMAC_KEY_COUNT_T|SAID|"TEKi Generation", 128)
수학식 1을 참조하면, 이동단말 및 기지국은 키암호화키(KEK: Key Encryption Key), CMAC 키 카운트 및 이동단말과 기지국간의 보안연계(SA: Security Association)을 식별하는 SAID(Security Association IDentifier)를 키 생성 함수(KDF: Key Derivation Function)에 대입함으로써 TEK을 생성할 수 있다.
이동단말은 PKMv2 인증 또는 재인증이 성공적으로 완료되거나 새로운 PMK가 설정된 후, CMAC_KEY_COUNT를 초기화하고 이를 '0'으로 설정한다. 이러한 과정은 SA TEK 신청(SA TEK challenge) 메시지를 수신한 후 이뤄진다.
다음 수학식 2는 IEEE 802.16m 시스템에서 TEK을 생성하는 방법 중 하나를 나타낸다.
TEK = Dot16KDF(AK,NONCE|KEY_COUNT|SAID|AMS MAC Address|BSID|"TEK",128)
수학식 2를 참조하면, 이동단말 및 기지국은 인증키(AK: Authentication Key), SAID, 넌스(Nonce), 키 카운트(Key_Count), 기지국 식별자(BSID) 및 이동단말의 MAC 주소(AMS MAC Address) 등의 파라미터를 키생성함수(KDF)에 대입함으로써 개별적으로 TEK을 생성할 수 있다.
도 2는 본 발명의 실시예들 중 하나로서 TEK 카운트를 관리하는 방법을 나타내는 도면이다.
도 2를 참조하면, 이동단말(AMS)이 기지국(ABS)과 인증절차 또는 재인증 절차를 수행할 수 있다(S201).
이동단말 및 기지국은 데이터 보호를 위한 암호화 키를 협상하는 키 협상과정(Key Agreement)을 수행할 수 있다. 키 협상 과정의 일례로서 이동단말 및 기지국은 3-way 핸드쉐이크(3-way handshake) 과정을 수행할 수 있다(S202).
S202 단계에서, 이동단말 및 기지국은 키 협상(e.g. 3-way handshake) 과정을 통해 TEK을 생성하기 위한 보안 컨텍스트(Security Context)들을 공유할 수 있다. 3-Way 핸드쉐이크 과정은 SA-TEK 신청(SA-TEK challenge), SA-TEK 요청, SA-TEK 응답의 3 단계를 통해 수행될 수 있다. 이때, 보안 컨텍스트에는 AK 컨텍스트, KEK 컨텍스트 등이 포함될 수 있다.
키 협상과정이 이뤄진 후 기지국은 TEK을 생성하기 위한 넌스(Nonce)를 이동단말에 전송함으로써, 넌스를 공유할 수 있다(S203).
TEK 생성 및 갱신을 위한 TEK 카운트는 인증 또는 재인증이 이뤄지거나 새로운 PMK가 설정된 후, 이동단말 및 기지국에 의해 초기화되고 '0'으로 설정될 수 있다. 이동단말 및 기지국은 각각의 보안연계(SA)에 대해 활성화된 TEK 컨텍스트마다 별도의 TEK 카운트(1st TEK count, 2nd TEK count)를 설정 및 유지할 수 있다. 따라서, 이동단말 및 기지국은 TEK이 생성될 때 SA마다 TEK 카운트를 고유하게 유지할 수 있다. 즉, TEK 카운트는 SA마다 다르게 유지되어야 한다(S204a, S204b).
기지국은 설정한 TEK 카운트 값을 인증 개체(AAA 서버)에 전달할 수 있다(S205).
이동단말 및 기지국은 넌스, TEK 카운트 및 기타 보안 컨텍스트를 이용하여 TEK을 생성할 수 있다(S206a, S206b).
데이터 통신이 진행되는 과정에서, 이동단말이 네트워크에 재진입하는 경우가 발생할 수 있다. 다만, 이때의 네트워크 재진입은 유휴모드 상태의 이동단말에 의한 망 재진입이 아닌 연결 손실(Connection Loss) 또는 의도하지 않은 핸드오버(uncoordinated HO) 등의 네트워크 동작에 기인한 연결 상태의 망 재진입인 경우를 의미한다(S207).
이동단말 및 기지국에서 유지 및 관리하고 있는 TEK 카운트는 핸드오버 또는 망 재진입이 발생할 때마다 증가하며, TEK 생성시 사용되는 넌스가 갱신될 때마다 초기화될 수 있다. 이러한 경우, TEK 카운트의 크기는 클 필요는 없다. 네트워크 재진입이 이뤄지는 경우에는, 새로운 넌스가 기지국에 의해 생성되어 이동단말에 할당되므로 TEK 카운트가 초기화되기 때문이다.
즉, TEK 카운트는 핸드오버 또는 네트워크 재진입이 발생할 때마다 증가하여, 동일한 TEK이 생성되는 것을 방지해준다. 이는 이동단말이 서빙 기지국에서 타겟 기지국으로 이동한 후 다시 서빙 기지국으로 되돌아오는 경우에도 동일하게 적용될 수 있다.
본 발명의 실시예들에서 TEK 카운트는 TEK이 생성될 때마다 초기화되는 값으로 정의되며, 이는 PN 크기(Packet Number size)가 만료되는 TEK의 일반적인 갱신상황에 대해서도 적용될 수 있다.
이동단말은 핸드오버 또는 네트워크 재진입시 기지국으로 TEK 카운트에 대한 정보를 나타내는 TEK 카운트 TLV(e.g. 1st TEK count)를 포함하는 레인징 요청(RNG-REQ) 메시지를 전송할 수 있다(S208).
S208 단계에서, 레인징 요청 메시지에는 이동단말의 임시 식별자(Temporary ID), 핸드오버 지시(HO Indication) 및 CMAC 튜플(CMAC Tuple) 중 하나 이상이 더 포함될 수 있다.
기지국은 RNG-REQ 메시지에 포함된 TEK 카운트 정보(예를 들어, TEK 카운트 TLV)를 통해 이동단말의 TEK 카운트 값(1st TEK count)을 확인할 수 있다. 따라서, 기지국은 수신된 TEK 카운트 값과 기지국이 유지하고 있는 TEK 카운트 값(2nd TEK count)을 비교할 수 있다(S209).
S209 단계에서, 이동단말이 유지하는 TEK 카운트(1st TEK count)가 기지국이 유지하는 TEK 카운트(2nd TEK count)보다 작은 경우, 기지국은 이동단말에게 레인징 응답(RNG-RSP) 메시지를 통해 기지국의 TEK 카운트 값(2nd TEK count)을 알려줄 수 있다. 즉, 기지국은 기지국이 유지하는 TEK 카운트 값으로 이동단말의 TEK 카운트 값을 갱신하도록 지시할 수 있다(S210).
S210 단계에서, 레인징 응답 메시지에는 CMAC 튜플, 넌스(Nonce), TEK 카운트 TLV 및 네트워크 진입을 위한 핸드오버 최적화 정보(HO Optimization Info.) 중 하나 이상이 더 포함될 수 있다.
기지국의 TEK 카운트 값(2nd TEK count)이 포함된 레인징 응답 메시지를 수신한 이동단말은 기지국의 TEK 카운트 값(2nd TEK count)으로 자신의 TEK 카운트를 갱신할 수 있다(S211a).
한편, S209 단계에서, 이동단말이 유지하는 TEK 카운트가 기지국이 유지하는 TEK 카운트보다 큰 경우, 기지국은 이동단말이 유지하는 TEK 카운트 값으로 자신이 유지하는 TEK 카운트 값을 갱신할 수 있다(S211b).
S211a 및 S211b 단계는 핸드오프, 망 재진입시 이동단말과 기지국이 TEK 카운트의 동기를 상호 간에 맞추는 과정이다.
만약, S209 단계에서 이동단말과 기지국의 TEK 카운트가 동일한 경우에는 기지국은 해당 TEK 카운트(2nd TEK count)를 포함하는 RNG-RSP 메시지를 이동단말에 전송하고, 이동단말 및 기지국은 동일한 TEK 카운트를 이용하여 TEK을 생성할 수 있다(미도시).
이동단말이 핸드오프 또는 망 재진입을 완료했을 때 기지국은 이를 인증 서버(e.g. Authenticator)에 알리고, 이동단말 및/또는 기지국의 TEK 카운트 값을 인증서버에 전송할 수 있다(S212).
도 2와 같이 네트워크 재진입이 발생하는 경우, 이동단말 및 기지국에서 각각 유지하고 있는 TEK 카운트 정보(TEK 카운트 TLV)는 레인징 요청 메시지 및 레인징 응답 메시지에 포함되어 전송될 수 있다. 이는 각각 이동단말 및 기지국이 현재 유지하고 있는 TEK 카운트 값을 명시하며, 이동단말 및 기지국이 공유할 TEK의 생성을 위한 TEK 카운트의 동기화를 위해 사용된다.
도 3은 본 발명의 실시예들 중 하나로서 핸드오버 과정에서 TEK 카운트를 갱신하는 방법 중 하나를 나타내는 도면이다.
도 3을 참조하면, 이동단말(AMS)은 서빙 기지국(S-ABS: Serving ABS)과 초기인증 또는 재인증을 수행할 수 있다(S301).
이동단말 및 서빙 기지국은 키 협상(Key Agreement) 과정을 통해 넌스 및 다른 보안재료들(Security Materials)을 교환할 수 있다. 이때, 보안재료에는 CMAC 튜플, 인증키(AK), 이동단말의 MAC 주소(AMS MAC address), 기지국 식별자(ABS ID) 및 SAID 등이 포함될 수 있다(S302).
이동단말 및 서빙 기지국은 각각 TEK 컨텍스트에 따른 TEK 카운트를 초기화할 수 있다(S303a, S303b). 또한, 이동단말 및 서빙 기지국은 넌스, TEK 카운트 및 보안재료를 이용하여 TEK을 생성할 수 있다(S304a, S304b).
이동단말이 서빙 기지국의 셀 영역을 이동함에 따라 타겟 기지국(T-ABS: Target ABS)으로의 핸드오버를 결정할 수 있다(S305).
S305 단계에서는 이동단말이 타겟 기지국으로의 핸드오버를 결정하는 것을 나타내었으나, 통신환경 또는 사용자의 요구사항에 따라 서빙 기지국에서 핸드오버 여부를 결정할 수 있다.
핸드오버를 수행하는 것이 결정된 경우, 서빙 기지국은 타겟 기지국으로 인증이나 재인증의 결과로 설정된 TEK 카운트, TEK 생성을 위해 필요한 넌스(Nonce) 및 기타 보안재료들(e.g. 보안 컨텍스트들)들과 함께 타겟 기지국으로 전달할 수 있다(S306).
도 3에서 이동단말과 타겟 기지국은 핸드오버 절차가 완료되기 전에 TEK을 갱신할 수 있다. 타겟 기지국은 이동단말과 레이징 절차를 통해 TEK 카운트의 동기를 맞출 수 있다. 즉, 이동단말 및 타겟 기지국은 RNG-REQ 메시지 및 RNG-RSP 메시지의 교환을 통해, 이동단말과 타겟 기지국의 TEK 카운트의 동기화 여부를 확인하고, TEK 카운트의 동기를 맞출 수 있다(S307).
이때, S307 단계는 도 2의 S208 단계 내지 S211 단계에 대한 설명을 참조할 수 있다.
이동단말 및 타겟 기지국은 각각 동기화된 TEK 카운트를 이용하여 TEK을 생성한 후, 통신을 재개할 수 있다(S308a, S308b).
도 4는 본 발명의 실시예들 중 하나로서 유휴모드 상태의 이동단말이 레인징 과정에서 TEK 카운트를 갱신하는 방법을 나타내는 도면이다.
도 4는 연결된 상태( Connecion Loss , Uncoordinated HO ) 상에서 망 재진입시 TEK 카운트의 관리 방법을 나타낸다. 이동단말 ( AMS ) 및 타겟 기지국(T- ABS )은 각각 TEK 생성을 위한 파라미터들을 보유하고 있다.// ??
도 4에서 이동단말은 유휴모드 상태인 것을 가정한다. 즉, 이동단말이 유휴모드에서 서빙 기지국의 인근 기지국인 타겟 기지국으로 이동함에 따라, 타겟 기지국에서 위치갱신을 수행할 수 있다. 즉, 이동단말은 타겟 기지국과 위치갱신 과정을 통해 TEK 카운트를 유지 및 갱신할 수 있다.
따라서, 이동단말 및 타겟 기지국은 위치갱신을 수행하는 과정에서, 레인징 요청 메시지 및 레인징 응답 메시지를 교환함으로써 AK를 확인하고, TEK 카운트의 동기 여부를 확인할 수 있다.
즉, 넌스 및 기타 보안 재료(e.g. 보안 컨텍스트)들이 새로이 타겟 기지국으로부터 이동단말에 전송될 필요는 없으며, TEK 카운트도 증가된 값으로 동기화가 이뤄져 TEK 갱신에 이용될 수 있다.
도 4를 참조하면, 이동단말은 유휴모드에서 네트워크 재진입시 임시 식별자(Temporary ID), 핸드오버 지시(HO Indication), 위치갱신요청(Location Update Request), 페이징 제어기 TLV(Paging Controller TLV), TEK 카운트 TLV(TEK count TLV) 및 CMAC 튜플(CMAC Tuple) 중 하나 이상을 포함하는 레인징 요청 메시지를 타겟 기지국으로 전송할 수 있다(S401).
이때, 이동단말은 이동단말의 위치 비밀성을 보호하기 위해 레인징 요청 메시지에 이동단말의 MAC 주소 대신에 임시 식별자를 포함하여 타겟 기지국으로 전송할 수 있다. 또한, TEK 카운트 TLV 값은 현재 이동단말이 유지하고 있는 TEK 카운 트 값을 나타낸다.
레인징 요청 메시지를 수신한 타겟 기지국은 이동단말(AMS)에 대한 정보를 요청하는 AMS 정보 요청(AMS Info request) 메시지를 페이징 제어기(Paging Controller)로 전송할 수 있다(S402).
페이징 제어기는 이동단말의 MAC 주소, 임시 식별자 매핑정보를 포함하는 AMS 정보 응답 메시지를 타겟 기지국으로 전송할 수 있다(S403).
임시 식별자 매핑정보는 이동단말의 MAC 주소와 임시 식별자간의 매핑 정보를 나타낸다. 즉, 타겟 기지국은 임시 식별자 매핑정보를 이용하여 이동단말을 식별할 수 있다.
타겟 기지국은 레인징 요청 메시지에 대한 응답으로서, 레인징 응답 메시지를 이동단말에 전송할 수 있다. 이때, 레인징 응답 메시지에는 위치갱신응답(Location Update Response), CMAC 튜플, 넌스(Nonce), TEK 카운트 TLV 및 네트워크 진입시 생략가능한 절차를 나타내는 핸드오버 최적화 정보(HO Optimization Info.) 중 하나 이상이 포함될 수 있다(S404).
이동단말 및 타겟 기지국은 동기화된 TEK 카운트, 넌스 및 기타 보안재료들을 이용하여 TEK을 각각 생성할 수 있다(S405a, S405b).
도 4에서 TEK의 생성 및 갱신은 다음 수학식 3을 이용하여 수행될 수 있다.
(Old,New)TEK = Dot16KDF(AK,(Old,New)Nonce|SAID|TEK COUNT|"TEK", 128)
도 4를 참조하면, 이동단말 및 타겟 기지국은 AK, 넌스, SAID 및 TEK 카운트 값을 키생성함수에 대입함으로써 각각 TEK을 생성할 수 있다. 다만, S405a, S405b 단계에서 이동단말 및 기지국은 수학식 3이외에도 수학식 2에서 설명한 TEK 생성방법을 이용하여 TEK을 생성할 수 있다.
도 5는 본 발명의 실시예들 중 하나로서, 핸드오버 과정에서 이동단말 및 타겟 기지국이 미리 TEK 카운트를 갱신하는 방법을 나타내는 도면이다.
도 5를 참조하면, 이동단말(AMS), 서빙 기지국(S-ABS) 및 타겟 기지국(T-ABS)는 각각 TEK 카운트(TEK Count)를 유지 및 관리할 수 있다. 이때, 이동단말 및 서빙 기지국의 TEK 카운트는 a 이고, 타겟 기지국의 TEK 카운트는 b인 경우를 가정한다.
이동단말이 서빙 기지국의 셀 영역에서 타겟 기지국의 셀 영역으로 이동하고자 하는 경우에, 이동단말은 서빙 기지국으로 핸드오버 요청 메시지를 전송할 수 있다. 이때, 핸드오버 요청 메시지에는 이동단말의 TEK 카운트 값(a)이 포함될 수 있다(S501).
핸드오버 요청 메시지를 수신한 서빙 기지국은 백본망을 통해 넌스 및 보안재료들을 타겟 기지국으로 전달할 수 있다. 이때, 보안재료에는 이동단말의 TEK 카운트, TEK 컨텍스트, CMAC 튜플, 인증키(AK), 이동단말의 MAC 주소(AMS MAC address), 기지국 식별자(ABS ID) 및 SAID 중 하나 이상이 포함될 수 있다(S503).
타겟 기지국은 이동단말의 TEK 카운트 값(a)과 자신이 유지하고 있는 TEK 카운트 값(b)을 비교할 수 있다. 만약, a가 b보다 크면 타겟 기지국은 a 값으로 TEK 카운트를 갱신하고, a가 b 보다 작으면 타겟 기지국은 이동단말이 TEK 카운트를 b 로 갱신할 수 있도록 b 값을 서빙 기지국으로 전송한다. 또한, a 값과 b 값이 동일한 경우에는, 타겟 기지국은 b 값 및 S503 단계에서 수신한 넌스를 이용하여 바로 TEK을 생성할 수 있다. 도 5에서는 b 값이 a 값보다 큰 경우를 가정한다.
즉, 이와 같은 비교과정을 통해, 타겟 기지국과 이동단말은 핸드오버 완료 전에 TEK 카운트 값의 동기를 맞출 수 있다. 따라서, 타겟 기지국은 갱신된 TEK 카운트 값(b)을 백본망을 통해 서빙 기지국으로 전달할 수 있다(S505).
서빙 기지국은 핸드오버 응답 메시지를 통해 타겟 기지국의 TEK 카운트 값(b)을 이동단말에 전송할 수 있다(S507).
이동단말 및 타겟 기지국은 갱신된 TEK 카운트 값(b)을 이용하여 각각 TEK을 생성할 수 있다. 이동단말 및 타겟 기지국은 수학식 2 및 수학식 3 중 하나를 이용하여 TEK을 생성할 수 있다(S509a, S509b).
본 발명의 실시예들을 이용하여, 이동단말이 핸드오버 또는 망 재진입을 수행하는 과정에서도 끊김 없고 기밀성이 보장된 서비스를 제공받을 수 있다. 예를 들어, 핸드오프시 서빙 기지국이 TEK의 생성에 필요한 TEK 카운트를 타겟 기지국으로 전달함으로써, 이동단말과 타겟 기지국이 동기화된 TEK 카운트를 유지하여 동일한 TEK을 갱신할 수 있다. 또한, 위치갱신 레인징 과정 또는 핸드오버 레인징 과정을 통해 TEK 카운트의 동기 여부도 확인할 수 있다.
이러한 과정을 통해 이동단말 및 타겟 기지국은 신속하고 유연하게 TEK을 생성 및 갱신함으로써, 보안 관련 정보를 위해 통신 성능이 열화될 문제점을 해결할 수 있다.
이하에서는 본 발명의 또 다른 실시예로서, 핸드오버 과정에서 TEK 카운트의 동기를 맞추는 방법들에 대하여 자세히 설명한다. 다만, 이하의 실시예들은 도 2 내지 도 5에서 설명한 방법들을 토대로 보다 상세히 설명하는 것이다.
본 발명의 실시예들에서, TEK 카운트는 TEK이 생성될 때, SA당 고유하게 유지될 수 있는 값을 나타낸다. 또한, TEK 카운트는 TEK이 갱싱될 때 초기화되는 값으로 정의될 수 있다. 이동단말 및 기지국에서 TEK을 갱신하는 경우로서, (1)이동단말이 핸드오버를 수행하는 경우, (2) 이동단말이 네트워크에 재진입하는 경우, (3) TEK의 존속 시간(TEK lifetime)이 만료되는 경우 및 (4) 패킷 넘버 사이즈(PN Size: Packet Number Size)가 만료되는 경우 TEK은 갱신될 수 있다.
본 발명의 실시예들에서, TEK 카운트는 이동단말이 핸드오버를 수행하거나 네트워크 재진입하는 경우마다 '1'씩 증가됨으로써, 이동단말 및 기지국에서 동일한 TEK을 생성하지 않을 수 있다.
또한, 이동단말 및 기지국은 각각의 보안연계(SA)에 대해 활성화된 TEK 컨텍스트에 대해 서로 다른 TEK 카운트를 유지하는 것이 바람직하다. 즉, 이동단말 및 기지국은 SA마다 다르게 TEK 카운트를 유지한다.
기지국은 인증 혹은 재인증이 성공적으로 완료되거나, 키 협상(Key Agreement) 후 새로운 AK 컨텍스트의 설정이 이뤄지고, 이동단말과 넌스를 공유하는 시점에서 TEK 카운트를 초기화하고 '0'으로 설정할 수 있다. 기지국은 각각의 SA에 대해 활성화된 TEK 컨텍스트마다 별도의 TEK 카운트를 유지할 수 있다. 즉, TEK 카운트는 SA마다 다르게 유지되어야 하는 값이다.
도 6은 본 발명의 실시예들 중 하나로서 이동단말이 핸드오버를 결정하는 경우, 핸드오버 과정에서 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.
도 6의 S601 단계 내지 S605 단계에 대한 설명은 도 3의 S301 단계 내지 S305 단계에 대한 설명과 동일하므로, 도 3의 설명으로 대신한다.
이동단말(AMS)은 핸드오버 요청(MOB_MSHO-REQ) 메시지를 서빙 기지국(S-ABS)에 전송할 수 있다(S606).
서빙 기지국은 이동단말로부터 핸드오버 요청 메시지를 수신함으로써, 이동단말이 핸드오버를 수행할 것을 인식할 수 있다. 따라서, 기지국은 자신이 유지하고 있는 TEK 카운트를 1 증가시켜 새로운 TEK 카운트(New TEK count)를 생성하고, 새로이 생성된 TEK 카운트를 핸드오버 응답(MOB_BSHO-RSP) 메시지에 포함하여 이동단말에 전송할 수 있다(S607).
도 6의 또 다른 측면으로서, 이동단말이 핸드오버 수행 여부를 결정하였으므로, 핸드오버 요청 메시지에 새로운 TEK 카운트를 포함하여 서빙 기지국으로 전송할 수 있다. 즉, 이동단말에서 자신이 유지하고 있는 TEK 카운트를 '1' 증가시켜 새로운 TEK 카운트를 생성하고, 이를 서빙 기지국에 전송하여 서빙 기지국이 TEK 카운트를 갱신할 수 있다.
그러므로, S606 단계 또는 S607 단계에서 MOB_MSHO-REQ 메시지 또는 MOB_BSHO-RSP 메시지는 새로운 TEK 카운트를 전달하기 위한 정보를 포함할 수 있며, 이러한 정보는 추가적인 필드(Field), 파라미터 또는 TLV 형태로 핸드오버 메시지에 포함될 수 있다.
다시 도 6을 참조하면, 서빙 기지국은 새로운 TEK 카운트, TEK 생성에 필요한 넌스 및 기타 보안관련 파라미터들을 백본망을 통해 타겟 기지국에 전달할 수 있다. 이때, 보안재료에는 CMAC 튜플, 인증키(AK), 이동단말의 MAC 주소(AMS MAC address), 기지국 식별자(ABS ID) 및 SAID 등이 포함될 수 있다(S608).
S606 단계 내지 S608 단계를 통해 이동단말 및 타겟 기지국은 동기화된 TEK 카운트를 관리할 수 있다. 즉, 이동단말은 타겟 기지국에서 사용할 TEK의 갱신에 필요한 TEK 카운트의 동기를 명시적으로 맞출 수 있다. 따라서, 이동단말 및 타겟 기지국은 동일한 TEK을 생성하여 사용할 수 있다(S609a, S609b).
이동단말이 타겟 기지국에 접속하기 전(즉, 레인징 과정)에 타겟 기지국과 동일한 TEK을 생성할 수 있으므로 서비스의 연속성이 훼손되지 않게 된다. 따라서, 이동단말 및 타겟 기지국은 생성된 TEK을 이용하여 레인징 절차를 수행할 수 있다(S610, S611).
도 7은 본 발명의 실시예들 중 하나로서 서빙 기지국이 핸드오버를 결정하는 경우, 핸드오버 과정에서 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.
도 7에 대한 설명은 도 6에 대한 설명과 거의 유사하다. 따라서, 반복되는 내용은 도 6을 참조하기로 한다. 이하에서는 도 6과 다른 사항에 대해서만 설명한다.
도 7을 참조하면, S706 단계에서 서빙 기지국(S-ABS)이 이동단말의 핸드오버 여부를 결정할 수 있다(S705).
이러한 경우, 서빙 기지국은 핸드오버 상황이 발생하였으므로, 자신이 유지 하고 있는 TEK 카운트를 1 증가시켜 새로운 TEK 카운트(New TEK COUNT)를 생성할 수 있다. 따라서, 서빙 기지국은 핸드오버 요청(MOB_BSHO-REQ) 메시지에 새로운 TEK 카운트를 포함하여 이동단말에 전송할 수 있다(S706).
또한, 서빙 기지국은 백본 망을 통해 이동단말이 핸드오버를 수행할 타겟 기지국으로 새로운 TEK 카운트, 넌스 및 보안 재료들을 전달할 수 있다. 이때, 보안재료에는 CMAC 튜플, 인증키(AK), 이동단말의 MAC 주소(AMS MAC address), 기지국 식별자(ABS ID) 및 SAID 등이 포함될 수 있다(S707).
S706 단계 및 S707 단계를 통해 이동단말 및 타겟 기지국은 핸드오버가 완료되기 전에 미리 동일한 TEK을 생성하여 유지할 수 있다. 따라서, 이동단말에 제공되는 서비스는 끊김 없이 제공될 수 있다.
도 8은 본 발명의 일 실시예로서, 레인징 과정을 통해 타겟 기지국과 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.
이동단말 및 타겟 기지국은 연결 손실(Connection Loss) 또는 의도하지 않은 핸드오버(Uncoordinated HO) 등에 기인한 망 재진입을 수행할 때, 네트워크 재진입 과정에서 레인징 메시지의 교환을 통해 TEK 카운트의 동기를 맞출 수 있다.
예를 들어, 이동단말과 타겟 기지국은 각각 TEK 생성을 위한 보안 파라미터들(e.g. Security Materials)을 보유한 상태이므로 망 재진입 과정에서 타겟 기지국은 이동단말과 레인징 메시지(RNG-REQ 및 RNG-RSP)의 교환을 통해 인증키(AK)를 확인하고, TEK 카운트의 동기화 여부를 확인할 수 있다.
이때, 넌스 및 기타 보안 파라미터들은 이미 이동단말 및 타겟 기지국이 공 유하고 있으므로, 타겟 기지국이 이동단말에 다시 전달할 필요는 없다. 또한, 이동단말 및 타겟 기지국의 TEK 카운트도 증가된 값으로 동기화가 이루어져 TEK 갱신에 사용될 수 있다.
도 8을 참조하면, 이동단말은 스테이션식별자(STID), 핸드오버 지시 필드, 이동단말의 TEK 카운트(a)를 나타내는 TEK 카운트 TLV, 및 CMAC 튜플 필드를 포함하는 RNG-REQ 메시지를 타겟 기지국으로 전송할 수 있다(S801).
이때, 타겟 기지국은 RNG-REQ 메시지에 포함된 TEK 카운트 TLV가 나타내는 이동단말의 TEK 카운트(a)와 자신이 유지하고 있는 TEK 카운트(b)를 비교할 수 있다. 만약, 이동단말과 타겟 기지국의 TEK 카운트가 서로 동일한 경우는, 이동단말 및 타겟 기지국은 이미 생성된 TEK을 그대로 사용할 수 있다.
다만, 이동단말 및 타겟 기지국이 관리하고 있는 TEK 카운트가 서로 다른 경우에는 이동단말 및/또는 타겟 기지국은 TEK 카운트를 갱신하여 새로운 TEK을 생성하는 것이 바람직하다.
예를 들어, 이동단말의 TEK 카운트(a)가 타겟 기지국의 TEK 카운트(b)보다 큰 경우는 타겟 기지국이 TEK 카운트를 단말의 TEK 카운트(a)로 갱신하고, 이동단말의 TEK 카운트(a)가 타겟 기지국의 TEK 카운트(b)보다 작은 경우, 이동단말이 타겟 기지국의 지시로 TEK 카운트(a)를 초기화하거나 타겟 기지국의 TEK 카운트(b)로 갱신할 수 있다.
본 발명의 실시예에서는 타겟 기지국의 TEK 카운트로 이동단말의 TEK 카운트를 갱신하는 것을 가정한다. 따라서, 타겟 기지국은 CMAC 튜플 및 상기 비교과정을 통해 동기가 맞춰진 TEK 카운트 TLV(b)를 레인징 응답(RNG-RSP) 메시지에 포함하여 이동단말에 전송할 수 있다(S802).
이동단말 및 타겟 기지국은 새로이 동기가 맞춰진 TEK 카운트(b)를 이용하여 동일한 TEK을 생성할 수 있다. 이때, TEK은 수학식 2 또는 수학식 3에서 설명한 TEK 생성방법을 이용하여 생성될 수 있다(S803a, S803b).
본 발명의 실시예들에서는 핸드오프 및 연결 상태에서의 망 재진입을 수행하는 이동단말로 유연한 TEK 갱신을 지원하기 위한 TEK 카운트 관리방법들을 제공함으로써, 이동단말에 끊김 없는 서비스를 제공할 수 있다.
예를 들어, 핸드오프시 서빙 기지국이 TEK의 생성에 필요한 TEK 카운트의 증가된 값을 타겟 기지국으로 전달함으로써, 이동단말과 타겟 기지국이 동기화된 TEK 카운트를 유지하여 동일한 TEK을 갱신할 수 있다.
또한, 이동단말 및 기지국은 일반적인 레인징 과정을 통해 TEK 카운트의 동기 여부도 확인할 수 있다.
또한, 이동단말 및 타겟 기지국은 네트워크 재진입시 레인징 메시지의 교환을 통해서 TEK 카운트의 동기화 여부를 확인하고, 이동단말과 타겟 기지국이 각각 유지하는 TEK 카운트의 증가된 값으로 TEK 카운트를 설정한 후 동일한 TEK을 갱신할 수 있다.
본 발명의 또 다른 실시예로서, 도 2 내지 도 8에서 설명한 본 발명의 실시예들이 수행되는 이동단말 및 기지국에 대하여 설명한다.
이동단말은 상향링크에서는 송신기로 동작하고, 하향링크에서는 수신기로 동 작할 수 있다. 또한, 기지국은 상향링크에서는 수신기로 동작하고, 하향링크에서는 송신기로 동작할 수 있다. 즉, 이동단말 및 기지국은 정보 또는 데이터의 전송을 위해 송신기 및 수신기를 포함할 수 있다.
송신기 및 수신기는 본 발명의 실시예들이 수행되기 위한 프로세서, 모듈, 부분 및/또는 수단 등을 포함할 수 있다. 특히, 송신기 및 수신기는 메시지를 암호화하기 위한 모듈(수단), 암호화된 메시지를 해석하기 위한 모듈, 메시지를 송수신하기 위한 안테나 등을 포함할 수 있다.
본 발명의 실시예들에서 사용되는 이동단말은 저전력 RF(Radio Frequency)/IF(Intermediate Frequency) 모듈을 포함할 수 있다. 또한, 이동단말은 상술한 본 발명의 실시예들을 수행하기 위한 콘트롤러 기능, 서비스 특성 및 전파 환경에 따른 MAC(Medium Access Control) 프레임 가변 제어 기능, 핸드오버(Hand Over) 기능, 인증 및 암호화 기능, 데이터 전송을 위한 패킷 변복조 기능, 고속 패킷 채널 코딩 기능 및 실시간 모뎀 제어 기능 등을 수행하는 수단, 모듈 또는 부분 등을 포함할 수 있다.
기지국은 상위 계층으로부터 수신한 데이터를 무선 또는 유선으로 이동국에 전송할 수 있다. 기지국은 저전력 RF(Radio Frequency)/IF(Intermediate Frequency) 모듈을 포함할 수 있다. 또한, 기지국은 상술한 본 발명의 실시예들을 수행하기 위한 콘트롤러 기능, 직교주파수분할다중접속(OFDMA: Orthogonal Frequency Division Multiple Access) 패킷 스케줄링, 시분할듀플렉스(TDD: Time Division Duplex) 패킷 스케줄링 및 채널 다중화 기능, 서비스 특성 및 전파 환경 에 따른 MAC 프레임 가변 제어 기능, 고속 트래픽 실시간 제어 기능, 핸드 오버(Hand Over) 기능, 인증 및 암호화 기능, 데이터 전송을 위한 패킷 변복조 기능, 고속 패킷 채널 코딩 기능 및 실시간 모뎀 제어 기능 등을 수행하는 수단, 모듈 또는 부분 등을 포함할 수 있다.
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다. 또한, 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함할 수 있다.
본 발명의 실시예들은 다양한 무선접속 시스템에 적용될 수 있다. 다양한 무선접속 시스템들의 일례로서, 3GPP(3rd Generation Partnership Project), 3GPP2 및/또는 IEEE 802.xx (Institute of Electrical and Electronic Engineers 802) 시스템 등이 있다. 본 발명의 실시예들은 상기 다양한 무선접속 시스템뿐 아니라, 상기 다양한 무선접속 시스템을 응용한 모든 기술 분야에 적용될 수 있다.
도 1은 일반적으로 사용되는 IEEE 802.16 시스템 기반의 무선 이동통신 시스템에서 정의하는 프로토콜 계층 모델을 나타낸다.
도 2는 본 발명의 실시예들 중 하나로서 TEK 카운트를 관리하는 방법을 나타내는 도면이다.
도 3은 본 발명의 실시예들 중 하나로서 핸드오버 과정에서 TEK 카운트를 갱신하는 방법 중 하나를 나타내는 도면이다.
도 4는 본 발명의 실시예들 중 하나로서 유휴모드 상태의 이동단말이 레인징 과정에서 TEK 카운트를 갱신하는 방법을 나타내는 도면이다.
도 5는 본 발명의 실시예들 중 하나로서, 핸드오버 과정에서 이동단말 및 타겟 기지국이 미리 TEK 카운트를 갱신하는 방법을 나타내는 도면이다.
도 6은 본 발명의 실시예들 중 하나로서 이동단말이 핸드오버를 결정하는 경우, 핸드오버 과정에서 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.
도 7은 본 발명의 실시예들 중 하나로서 서빙 기지국이 핸드오버를 결정하는 경우, 핸드오버 과정에서 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.
도 8은 본 발명의 일 실시예로서, 레인징 과정을 통해 타겟 기지국과 TEK 카운트의 동기를 맞추는 방법을 나타내는 도면이다.

Claims (14)

  1. 트래픽 암호화 키를 생성 또는 갱신하기 위한 TEK 카운트 관리방법에 있어서,
    이동단말에서 유지하고 있는 제 1 TEK 카운트를 포함하는 제 1 메시지를 기지국으로 전송하는 단계;
    상기 기지국으로부터 제 2 TEK 카운트를 포함하는 제 2 메시지를 수신하는 단계; 및
    상기 제 2 TEK 카운트를 이용하여 TEK을 생성하는 단계를 포함하고,
    상기 제 2 TEK 카운트는 상기 제 1 TEK 카운트를 기반으로 결정되고, 상기 제 1 TEK 카운트 및 상기 제 2 TEK 카운트는 핸드오버 또는 네트워크 재진입을 수행하는 때마다 증가하되, 상기 TEK을 생성시 사용되는 넌스가 갱신될 때마다 초기화되는 것을 특징으로 하는 TEK 카운트 관리방법.
  2. 제 1항에 있어서,
    상기 제 1 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 요청 메시지 중 하나이고,
    상기 제 2 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 응답 메시지 중 하나인 것을 특징으로 하는 TEK 카운트 관리방법.
  3. 제 1항에 있어서,
    상기 제 1 메시지는 네트워크 재진입시 사용되는 레인징 요청메시지이고,
    상기 제 2 메시지는 네트워크 재진입시 사용되는 레인징 응답 메시지인 것을 특징으로 하는 TEK 카운트 관리방법.
  4. 제 1항에 있어서,
    상기 제 2 TEK 카운트는,
    상기 제 1 TEK 카운트가 상기 기지국이 유지하고 있는 제 3 TEK 카운트보다 더 큰 경우에는 상기 제 1 TEK 카운트가 상기 제 2 TEK 카운트로 결정되고,
    상기 제 1 TEK 카운트가 상기 제 3 TEK 카운트보다 작거나 같은 경우에는 상기 제 3 TEK 카운트가 상기 제 2 TEK 카운트로 결정되는 것을 특징으로 하는 TEK 카운트 관리방법.
  5. 제 1항에 있어서,
    상기 TEK을 생성하는 단계는,
    상기 제 2 TEK 카운트, 상기 넌스, 인증키(AK) 및 보안연계식별자(SAID) 중 하나 이상을 이용하여 수행되는, TEK 카운트 관리방법.
  6. 제 1항에 있어서,
    키 협상 과정을 통해 상기 기지국과 상기 넌스 및 보안재료들을 교환하는 단 계를 더 포함하는, TEK 카운트 관리방법.
  7. 제 1항에 있어서,
    상기 제 1 메시지는 임시 식별자, 핸드오버 지시, 위치갱신요청, 페이징 제어기 TLV, CMAC 튜플 중 하나 이상을 더 포함하고,
    상기 제 2 메시지는 위치갱신응답, 넌스, 핸드오버 최적화 정보, CMAC 튜플 중 하나 이상을 더 포함하는, TEK 카운트 관리방법.
  8. 트래픽 암호화 키를 생성 또는 갱신하기 위한 TEK 카운트 관리방법에 있어서,
    이동단말로부터 상기 이동단말이 유지하고 있는 제 1 TEK 카운트를 포함하는 제 1 메시지를 수신하는 단계;
    상기 이동단말로 제 2 TEK 카운트를 포함하는 제 2 메시지를 전송하는 단계; 및
    상기 제 2 TEK 카운트를 이용하여 TEK을 생성하는 단계를 포함하고,
    상기 제 2 TEK 카운트는 상기 제 1 TEK 카운트를 기반으로 결정되고, 상기 제 1 TEK 카운트 및 상기 제 2 TEK 카운트는 핸드오버 또는 네트워크 재진입을 수행하는 때마다 증가하되, 상기 TEK을 생성시 사용되는 넌스가 갱신될 때마다 초기화되는 것을 특징으로 하는 TEK 카운트 관리방법.
  9. 제 8항에 있어서,
    상기 제 1 TEK 카운트와 기지국에서 유지하고 있는 제 3 TEK 카운트를 비교하는 단계를 더 포함하되,
    상기 제 1 TEK 카운트가 상기 제 3 TEK 카운트보다 더 큰 경우에는 상기 제 1 TEK 카운트를 상기 제 2 TEK 카운트로 결정하고,
    상기 제 1 TEK 카운트가 상기 제 3 TEK 카운트보다 작거나 같은 경우에는 상기 제 3 TEK 카운트를 상기 제 2 TEK 카운트로 결정하는 것을 특징으로 하는 TEK 카운트 관리방법.
  10. 제 8항에 있어서,
    상기 제 1 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 요청 메시지 중 하나이고,
    상기 제 2 메시지는 핸드오버시 사용되는 핸드오버 요청 메시지 및 레인징 응답 메시지 중 하나인 것을 특징으로 하는 TEK 카운트 관리방법.
  11. 제 8항에 있어서,
    상기 제 1 메시지는 네트워크 재진입시 사용되는 레인징 요청메시지이고,
    상기 제 2 메시지는 네트워크 재진입시 사용되는 레인징 응답 메시지인 것을 특징으로 하는 TEK 카운트 관리방법.
  12. 제 8항에 있어서,
    상기 TEK을 생성하는 단계는,
    상기 제 2 TEK 카운트, 상기 넌스, 인증키(AK) 및 보안연계식별자(SAID) 중 하나 이상을 이용하여 수행되는, TEK 카운트 관리방법.
  13. 제 8항에 있어서,
    키 협상 과정을 통해 상기 이동단말과 상기 넌스 및 보안재료들을 교환하는 단계를 더 포함하는, TEK 카운트 관리방법.
  14. 제 8항에 있어서,
    상기 제 1 메시지는 임시 식별자, 핸드오버 지시, 위치갱신요청, 페이징 제어기 TLV, CMAC 튜플 중 하나 이상을 더 포함하고,
    상기 제 2 메시지는 위치갱신응답, 넌스, 핸드오버 최적화 정보, CMAC 튜플 중 하나 이상을 더 포함하는, TEK 카운트 관리방법.
KR1020090060764A 2009-02-12 2009-07-03 트래픽 암호화 키 관리방법 및 장치 KR20100092353A (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020100006041A KR101670743B1 (ko) 2009-02-12 2010-01-22 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치
PCT/KR2010/000909 WO2010093200A2 (en) 2009-02-12 2010-02-12 Method and apparatus for traffic count key management and key count management
CN201080007447.1A CN102318259B (zh) 2009-02-12 2010-02-12 用于业务计数密钥管理和密钥计数管理的方法和装置
US12/705,068 US8707045B2 (en) 2009-02-12 2010-02-12 Method and apparatus for traffic count key management and key count management

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
US15184409P 2009-02-12 2009-02-12
US61/151,844 2009-02-12
US15225909P 2009-02-13 2009-02-13
US61/152,259 2009-02-13
US15325909P 2009-02-17 2009-02-17
US61/153,259 2009-02-17
US16972409P 2009-04-16 2009-04-16
US61/169,724 2009-04-16

Publications (1)

Publication Number Publication Date
KR20100092353A true KR20100092353A (ko) 2010-08-20

Family

ID=42757252

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020090060764A KR20100092353A (ko) 2009-02-12 2009-07-03 트래픽 암호화 키 관리방법 및 장치
KR1020100006041A KR101670743B1 (ko) 2009-02-12 2010-01-22 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020100006041A KR101670743B1 (ko) 2009-02-12 2010-01-22 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치

Country Status (2)

Country Link
KR (2) KR20100092353A (ko)
CN (1) CN102318259B (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104737147B (zh) * 2012-10-22 2018-11-06 英特尔公司 高性能互连物理层
US9280507B2 (en) 2012-10-22 2016-03-08 Intel Corporation High performance interconnect physical layer
CN117425182A (zh) * 2022-07-11 2024-01-19 华为技术有限公司 一种包数量的同步方法,相关设备以及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1249964A3 (en) * 2001-04-12 2004-01-07 Matsushita Electric Industrial Co., Ltd. Reception terminal, key management apparatus, and key updating method for public key cryptosystem
US20060285519A1 (en) * 2005-06-15 2006-12-21 Vidya Narayanan Method and apparatus to facilitate handover key derivation
CN101252432B (zh) * 2007-12-19 2011-03-30 北大方正集团有限公司 一种基于域的数字权限管理方法、域管理服务器及系统

Also Published As

Publication number Publication date
CN102318259A (zh) 2012-01-11
KR20100092371A (ko) 2010-08-20
KR101670743B1 (ko) 2016-10-31
CN102318259B (zh) 2014-07-02

Similar Documents

Publication Publication Date Title
JP5175980B2 (ja) 位置プライバシー支援方法
US8707045B2 (en) Method and apparatus for traffic count key management and key count management
US8738913B2 (en) Method of deriving and updating traffic encryption key
JP5597676B2 (ja) 鍵マテリアルの交換
JP5479474B2 (ja) 選択的な制御信号暗号化方法
JP5480890B2 (ja) 制御信号の暗号化方法
WO2020248624A1 (zh) 一种通信方法、网络设备、用户设备和接入网设备
KR20100114927A (ko) 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법
WO2010030127A2 (en) Method for selectively encrypting control signal
CN101405987A (zh) 无线系统的非对称加密
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN113170369A (zh) 用于在系统间改变期间的安全上下文处理的方法和装置
WO2011003352A1 (zh) 终端私密性的保护方法及装置
KR101670743B1 (ko) 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치
KR100969782B1 (ko) 휴대 인터넷 시스템에서 개인키 관리 프로토콜을 이용한 인증 방법 및 장치
CN115412909A (zh) 一种通信方法及装置
KR20100053407A (ko) 보안정보 공유방법
KR101578004B1 (ko) 플로우 식별자를 이용한 선택적인 제어신호 암호화 방법
KR20100032277A (ko) 제어필드를 이용한 선택적인 제어신호 암호화 방법
KR20100030610A (ko) 선택적인 제어신호 암호화 방법
KR20110041963A (ko) 무선 통신 시스템에서 데이터 암호화 방법 및 시스템