KR20100109998A - 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법 - Google Patents

무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법 Download PDF

Info

Publication number
KR20100109998A
KR20100109998A KR1020090028327A KR20090028327A KR20100109998A KR 20100109998 A KR20100109998 A KR 20100109998A KR 1020090028327 A KR1020090028327 A KR 1020090028327A KR 20090028327 A KR20090028327 A KR 20090028327A KR 20100109998 A KR20100109998 A KR 20100109998A
Authority
KR
South Korea
Prior art keywords
mobile station
ranging
message
base station
authentication
Prior art date
Application number
KR1020090028327A
Other languages
English (en)
Inventor
백영교
강현정
장재혁
손중제
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090028327A priority Critical patent/KR20100109998A/ko
Priority to US12/798,402 priority patent/US20100257364A1/en
Publication of KR20100109998A publication Critical patent/KR20100109998A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/04Wireless resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선통신시스템에서 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위한 장치 및 방법에 관한 것으로서, 이동국은 핸드오버를 통해 접속하기 위한 기지국으로 레인징 요청 메시지를 전송하는 과정과, 상기 기지국은 상기 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 인증국으로 상기 이동국에 대한 인증키 정보(AK Context)를 요청하는 과정과, 상기 인증국은 상기 이동국에 대한 인증키(AK: Authorization Key)를 생성하여 인증키 정보를 상기 기지국으로 전송하는 과정과, 상기 기지국은 상기 인증키 정보를 이용하여 상기 레인징 요청 메시지가 유효하다고 판단되는 경우, 상기 레인징 요청 메시지에 대한 응답 메시지를 암호화하여 상기 이동국으로 전송하는 과정과, 상기 이동국은 상기 기지국으로부터 제공받은 암호화된 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 과정과, 상기 암호화된 레인징 응답 메시지가 유효한 경우, 상기 이동국은 상기 암호화된 레인징 응답 메시지를 복호화하는 과정을 포함하여 이종망간 핸드오버 또는 동종망간 핸드오버를 수행하는 이동국의 정보 노출을 방지할 수 있고, 핸드오버 절차에서 보안을 위한 별도의 메시지를 요구하지 않기 때문에 핸드오버 지연시간을 유지하면서 보안 수준을 높일 수 있는 이점이 있다.
핸드오버(Handover), 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code), AES-CCM, 암호, 인증키(AK: Authorization Key), 트래픽 암호키(TEK: Traffic Encryption Key)

Description

무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법{APPARATUS AND METHOD FOR PROCESSING AUTHORIZATION OF HANDOVER RANGING MESSAGE IN WIRELESS COMMUNICATION SYSTEM}
본 발명은 무선통신시스템에서 이동국의 핸드오버에 관한 것으로서, 특히 무선통신시스템의 기지국에서 핸드오버 레인징 응답 메시지를 암호화하여 이동국으로 전송하기 위한 장치 및 방법에 관한 것이다.
셀룰라 기반의 무선통신시스템은 이동국에게 끊김 없는 서비스를 제공하기 위해 핸드오버(handover)를 지원한다.
상기 핸드오버는 이동국이 서빙 기지국의 서비스 영역에서 인접 기지국의 서비스 영역으로 이동하는 경우, 상기 서빙 기지국과 이동국 사이에 형성되어 있는 커넥션(connection)을 상기 이동국이 이동한 타켓 기지국과 이동국 사이의 커넥션으로 변경해주는 기술을 의미한다.
서빙 기지국으로부터 서비스를 제공받던 이동국이 타켓 기지국으로 핸드오버 하는 경우, 상기 이동국은 상기 타켓 기지국으로 접속하기 위해 상기 타켓 기지국과의 레인징 절차를 수행한다.
상술한 바와 같이 이동국이 핸드오버를 통해 새롭게 접속하는 기지국과의 레인징 절차를 수행하는 경우, 상기 이동국은 상기 기지국으로부터 제공받은 레인징 응답 메시지에서 상기 기지국이 할당한 자신의 식별자 정보를 확인할 수 있다. 하지만, 상기 레인징 응답 메시지는 암호화하지 않은 평문으로 전송된다. 이에 따라, 이동국에 대한 정보가 쉽게 노출되는 문제가 발생한다.
따라서, 본 발명의 목적은 무선통신시스템에서 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위한 장치 및 방법을 제공함에 있다.
본 발명의 다른 목적은 무선통신시스템에서 동종망간 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위한 장치 및 방법을 제공함에 있다.
본 발명의 또 다른 목적은 무선통신시스템에서 이종망간 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위한 장치 및 방법을 제공함에 있다.
본 발명의 또 다른 목적은 무선통신시스템의 기지국에서 레인징 응답 메시지를 암호화하여 핸드오버하는 이동국으로 전송하기 위한 장치 및 방법을 제공함에 있다.
본 발명의 목적들을 달성하기 위한 본 발명의 제 1 견지에 따르면, 무선통신시스템의 이동국에서 레인징 메시지를 인증하기 위한 방법은, 핸드오버를 통해 접속하기 위한 기지국으로 레인징을 요청하는 과정과, 상기 기지국으로부터 암호화된 레인징 응답 메시지가 수신되는 경우, 상기 암호화된 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 과정과, 상기 암호화된 레인징 응답 메시지가 유효한 경우, 상기 암호화된 레인징 응답 메시지를 복호화하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 2 견지에 따르면, 무선통신시스템의 기지국에서 레인징 메시지를 인증하기 위한 방법은, 핸드오버를 요청한 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 인증국으로 상기 이동국에 대한 인증키 정보(Authorization Key Context)를 요청하는 과정과, 상기 인증국으로부터 상기 이동국에 대한 인증키 정보가 수신되는 경우, 상기 인증키 정보를 이용하여 상기 레인징 요청 메시지에 대한 유효성을 판단하는 과정과, 상기 레인징 요청 메시지가 유효한 경우, 상기 레인징 요청 메시지에 대한 응답 메시지를 암호화하는 과정과, 상기 암호화한 응답 메시지를 상기 이동국으로 전송하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 3 견지에 따르면, 레인징 메시지를 인증하기 위한 무선통신시스템은, 이동국은 핸드오버를 통해 접속하기 위한 기지국으로 레인징 요청 메시지를 전송하는 과정과, 상기 기지국은 상기 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 인증국으로 상기 이동국에 대한 인증키 정보(AK Context)를 요청하는 과정과, 상기 인증국은 상기 이동국에 대한 인증키(AK: Authorization Key)를 생성하여 인증키 정보를 상기 기지국으로 전송하는 과정과, 상기 기지국은 상기 인증키 정보를 이용하여 상기 레인징 요청 메시지가 유효하다고 판단되는 경우, 상기 레인징 요청 메시지에 대한 응답 메시지를 암호화하여 상기 이동국으로 전송하는 과정과, 상기 이동국은 상기 기지국으로부터 제공받은 암호화된 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 과정과, 상기 암호화된 레인징 응답 메시지가 유효한 경우, 상기 이동국은 상기 암호화된 레인징 응답 메시지를 복호화하는 과정을 포함하는 것을 특징으로 한다.
본 발명의 제 4 견지에 따르면, 무선통신시스템의 이동국에서 레인징 메시지를 인증하기 위한 장치는, 핸드오버를 통해 접속하기 위한 기지국으로 레인징 요청 메시지를 전송하는 송신부와, 상기 기지국으로부터 신호를 수신받는 수신부와, 상기 수신부를 통해 암호화된 레인징 응답 메시지가 수신되는 경우, 상기 암호화된 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 데이터 처리부와, 상기 기지국으로 레인징 요청 메시지를 전송하도록 제어하고, 상기 데이터 처리부에서 판단한 레인징 응답 메시지의 유효성에 따라 상기 기지국과의 핸드오버 완료 여부를 판단하는 제어부를 포함하여 구성되는 것을 특징으로 한다.
본 발명의 제 5 견지에 따르면, 무선통신시스템의 기지국에서 레인징 메시지를 인증하기 위한 장치는, 무선망을 통해 신호를 수신받는 수신부와, 무선망을 통해 신호를 송신하는 송신부와, 유선망을 통해 인증국과 통신을 수행하는 유선 인터페이스와, 상기 수신부를 통해 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 제어부로부터 제공받은 상기 이동국에 대한 인증키 정보(Authorization Key Context)를 이용하여 상기 레인징 요청 메시지에 대한 유효성을 판단하는 메시지 인증부와, 상기 메시지 인증부의 요청에 따라 상기 유선 인터페이스를 통해 인증국 으로부터 상기 이동국에 대한 인증키 정보를 획득하고, 상기 메시지 인증부에서 상기 레인징 요청 메시지가 유효하다고 판단하는 경우, 상기 이동국으로 레인징 응답 메시지를 전송하도록 제어하는 제어부와, 상기 제어부의 제어에 따라 상기 메시지 인증부로부터 제공받은 레인징 응답 메시지를 암호화하여 상기 송신부를 통해 상기 이동국으로 전송하는 데이터 생성부를 포함하여 구성되는 것을 특징으로 한다.
상술한 바와 같이 무선통신시스템의 기지국에서 레인징 응답 메시지를 암호화하여 핸드오버하는 이동국으로 전송함으로써, 이종망간 핸드오버 또는 동종망간 핸드오버를 수행하는 이동국의 정보 노출을 방지할 수 있고, 핸드오버 절차에서 보안을 위한 별도의 메시지를 요구하지 않기 때문에 핸드오버 지연시간을 유지하면서 보안 수준을 높일 수 있는 이점이 있다.
이하 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 본 발명은 무선통신시스템에서 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위한 기술에 대해 설명한다.
이하 본 발명은 OFDM(Orthogonal Frequency Division Multiplexing)/OFDMA(Orthogonal Frequency Division Multiple Access) 기반의 무선통신 시스템을 예를 들어 설명한다. 더욱이, 본 발명과 유사하게 이동국의 핸드오버를 수행하는 다른 통신시스템에도 동일하게 적용할 수 있다.
무선통신시스템의 기지국은 핸드오버하는 이동국의 레인징 메시지 인증 과정에서 상기 이동국에 대한 정보를 보호하기 위해 하기 도 1에 도시된 바와 같이 레인징 응답 메시지를 암호화하여 상기 이동국으로 전송한다.
도 1은 본 발명의 실시 예에 따른 무선통신시스템에서 핸드오버를 수행하는 이동국의 인증 절차를 도시하고 있다.
상기 도 1에 도시된 바와 같이 서빙 기지국(110)으로부터 서비스를 제공받던 이동국(100)이 타켓 기지국(120)으로 핸드오버하는 경우, 상기 이동국(100)은 상기 서빙 기지국(110) 및 타켓 기지국(120)과의 핸드오버 준비 절차를 수행하여 상기 타켓 기지국(120)과의 통신에 필요한 정보를 획득할 수 있다(141단계). 예를 들어, 상기 이동국(100)과 상기 서빙 기지국(110)은 인접 기지국들 중 상기 이동국(100)의 핸드오버를 지원할 수 있는 기지국들의 정보를 수집하여 상기 이동국(100)이 핸드오버하기 위한 타켓 기지국(120)을 선택한다. 여기서, 상기 타켓 기지국(120)과의 통신에 필요한 정보는 상기 타켓 기지국(120)이 할당한 레인징 코드를 포함할 수 있다.
이후, 상기 이동국(100)은 상기 타켓 기지국(120)으로 접속하기 위해 핸드오버를 나타내는 레인징 요청 코드를 상기 타켓 기지국(120)으로 전송한다(143단계). 예를 들어, 상기 핸드오버 준비 절차를 통해 상기 타켓 기지국(120)으로부터 레인징 코드를 할당받은 경우, 상기 이동국(100)은 상기 타켓 기지국(120)으로부터 할당받은 자원을 통해 상기 타켓 기지국(120)으로부터 할당받은 레인징 코드를 상기 타켓 기지국(120)으로 전송한다. 다른 예를 들어, 상기 핸드오버 준비 절차를 통해 상기 타켓 기지국(120)으로부터 핸드오버 레인징하는데 사용할 레인징 코드를 할당받지 못한 경우, 상기 이동국(100)은 핸드오버를 시도하는 이동국들이 공통으로 사용하는 공유 자원을 통해 핸드오버를 나타내는 레인징 코드를 상기 타켓 기지국(120)으로 전송할 수도 있다. 즉, 상기 이동국(100)은 임의로 선택한 핸드오버 레인징 코드를 핸드오버 레인징 영역을 통해 상기 타켓 기지국(120)으로 전송한다.
상기 타켓 기지국(120)은 핸드오버를 나타내는 레인징 코드가 정상적으로 수신되는 경우, 상기 이동국(100)의 접속 시도를 감지한다. 이에 따라, 상기 타켓 기지국(120)은 상기 이동국(100)이 접속하는데 필요한 정보를 전송할 수 있도록 상기 이동국(100)으로 상향링크 자원을 할당한다(145단계).
상기 이동국(100)은 상기 타켓 기지국(120)으로부터 할당받은 상향링크 자원을 이용하여 핸드오버 레인징 요청 메시지(RNG-REQ: Ranging Request)를 상기 타켓 기지국(120)으로 전송한다(147단계). 이때, 상기 핸드오버 레인징 요청 메시지는 상기 이동국(100)의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code)를 포함한다. 여기서, 상기 이동국(100) 의 식별자 정보는 이동국(100)의 MAC(Media Access Control) 주소, 이동국(100)의 의사 MAC 주소(pseudo-MAC address), 이동국(100)의 식별자(STID) 중 적어도 하나를 포함한다. 이때, 상기 의사 MAC 주소는 이동국(100)의 실제 MAC 주소가 드러나지 않도록 상기 이동국(100)의 초기 개통 및 인증 과정에서 인증국(130)이 할당한 상기 이동국(100)의 식별 값을 의미한다. 또한, 상기 이동국(100)은 네트워크 인증 과정(EAP: Extensible Authorization Protocol)을 통해 획득한 마스터 세션 키(MSK: Master Session Key)와 상기 이동국(100)의 MAC 주소 및 상기 타켓 기지국(120)의 기지국 식별자(BSID) 정보를 이용하여 생성한 인증키(AK: Authorization Key)를 이용하여 상기 메시지 인증 코드를 생성한다.
상기 타켓 기지국(120)은 상기 핸드오버 레인징 요청 메시지가 수신되는 경우, 인증국(130)으로 상기 이동국(100)에 대한 인증키 정보(AK Context)를 요청한다(149단계).
상기 인증국(130)은 상기 이동국(100)에 대한 인증키 정보 요청에 따라 상기 이동국(100)과의 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MSK)와 상기 이동국(100)의 MAC 주소 및 상기 타켓 기지국(120)의 기지국 식별자(BSID) 정보를 이용하여 상기 이동국(100)의 인증키(AK)를 생성한다(151단계). 이후, 상기 인증국(130)은 상기 생성한 인증키 정보(AK Context)와 상기 이동국(100)과의 암호 통신을 위한 트래픽 암호키(TEK: Traffic Encryption Key) 생성 변수를 포함하는 인증응답 메시지를 상기 타켓 기지국(120)으로 전송한다(153단계). 여기서, 상기 인증키 정보(AK Context)는 인증키(AK), 인증키(AK) ID, CMAC_KEY_COUNT를 포함한 다. 또한, 상기 트래픽 암호키 생성 변수는 난수(nonce)를 포함한다.
상기 타켓 기지국(120)은 상기 인증응답 메시지에 포함된 인증키 정보를 이용하여 상기 이동국(100)으로부터 제공받은 메시지 인증 코드가 유효한지 확인한다(155단계).
만일, 상기 메시지 인증 코드가 유효한 경우, 상기 타켓 기지국(120)은 상기 이동국(100)이 인증된 것으로 판단한다. 이에 따라, 상기 타켓 기지국(120)은 상기 인증응답 메시지에 포함된 인증키(AK) 정보와 트래픽 암호키 생성 변수를 이용하여 트래픽 암호키를 생성한다. 예를 들어, 상기 타켓 기지국(120)은 인증키(AK), 난수, CMAC_KEY_COUNT, 보안 연결 식별자(Security Association ID), 기지국 식별자(BSID) 및 이동국의 MAC 주소 등을 이용하여 트래픽 암호키를 생성한다.
이후, 상기 타켓 기지국(120)은 트래픽 암호키를 이용한 암호화 기능 및 인증 기능을 포함하는 암호 기법을 통해 핸드오버 레인징 응답 메시지(RNG-RSP: Ranging Response)를 암호화한다. 예를 들어, 상기 타켓 기지국(120)은 AES-CCM(Advanced Encryption Standard CTR mode with CBC-MAC; CTR(CounTeR), CBC-MAC(Ciper-Block Chaining Message Authorization Code)) 기법을 통해 핸드오버 레인징 응답 메시지를 암호화한다. 만일, 도 9의 (a)와 같이 구성되는 핸드오버 레인징 응답 메시지에 대한 패킷을 AES-CCM 방식으로 암호화하는 경우, 상기 타켓 기지국(120)은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 생성한다. 또한, 상기 타켓 기지국(120)은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지를 포함하는 평문 페이로드를 암호화한다. 여기서, 상기 초기 입력 변수는 MAC 헤더, PN(Packet Number), 암호화할 페이로드의 길이 정보 등을 포함한다.
이후, 상기 타켓 기지국(120)은 상기 암호화한 핸드오버 레인징 응답 메시지를 상기 이동국(100)으로 전송한다(157단계). 예를 들어, 상기 타켓 기지국(120)은 도 9의 (b)에 도시된 바와 같이 암호화된 패킷을 생성하여 상기 이동국(100)으로 전송한다. 이때, 상기 이동국(100)이 핸드오버 준비 절차에서 상기 타켓 기지국(120)에서 사용할 이동국 식별자(STID)를 할당받은 경우, 상기 타켓 기지국(120)은 상기 이동국(100)으로 할당한 이동국 식별자를 이용하여 상기 암호화한 핸드오버 레인징 응답 메시지를 전송한다. 한편, 상기 이동국(100)이 핸드오버 준비 절차에서 상기 타켓 기지국(120)에서 사용할 이동국 식별자(STID)를 할당받지 못한 경우, 상기 타켓 기지국(120)은 상기 이동국(100)의 네트워크 초기 접속시 공유하여 사용하는 레인징용 이동국 식별자(STID)를 이용하여 상기 암호화한 핸드오버 레인징 응답 메시지를 전송한다.
또한, 상기 타켓 기지국(120)은 상기 인증국(130)으로 상기 이동국(100)에 대한 인증 확인 정보를 전송한다(159단계).
상기 이동국(100)은 상기 타켓 기지국(120)으로부터 암호화된 핸드오버 레인징 응답 메시지가 수신되는지 확인한다. 예를 들어, 상기 이동국(100)이 핸드오버 준비 절차에서 상기 타켓 기지국(120)으로부터 이동국 식별자(STID)를 할당받은 경우, 상기 이동국(100)은 상기 할당받은 이동국 식별자를 이용하여 전송되는 데이터들 중에서 암호화된 핸드오버 레인징 응답 메시지가 수신되는지 확인한다. 다른 예 를 들어, 상기 이동국(100)이 핸드오버 준비 절차에서 상기 타켓 기지국(120)으로부터 이동국 식별자(STID)를 할당받지 못한 경우, 상기 이동국(100)은 네트워크 초기 접속시 공유하여 사용하는 레인징용 이동국 식별자(STID)를 이용하여 전송되는 데이터들 중에서 암호화된 핸드오버 레인징 응답 메시지가 수신되는지 확인한다.
이후, 상기 이동국(100)은 상기 타켓 기지국(120)으로부터 제공받은 암호화된 핸드오버 레인징 응답 메시지의 유효성을 판단한다. 예를 들어, 상기 이동국(100)은 상기 타켓 기지국(120)으로부터 제공받은 암호화된 신호에 포함된 인증 값(ICV)를 이용하여 암호화된 페이로드가 유효한지 판단한다. 만일, 상기 암호화된 페이로드가 유효한 경우, 상기 이동국(100)은 상기 암호화된 페이로드를 복호화한다. 이때, 상기 페이로드가 핸드오버 레인징 응답 메시지를 포함하는 경우, 상기 이동국(100)은 상기 복호한 핸드오버 레인징 응답 메시지에서 상기 타켓 기지국(120)과 통신하기 위한 정보를 확인하고 핸드오버를 완료한다.
한편, 상기 155단계에서 메시지 인증 코드가 유효하지 않은 경우, 상기 타켓 기지국(120)은 상기 이동국(100)으로 망 재진입을 지시한다. 이후, 상기 타켓 기지국(120)과 상기 이동국(100)은 망 재진입 절차를 수행한다.
상술한 바와 같이 레인징 메시지 인증 과정을 수행하는 경우, 이동국은 하기 도 2에 도시된 바와 같이 동작한다. 여기서, 하기 도 2에서 이동국은 자신 또는 서빙 기지국이 선택한 타켓 기지국으로 접속하기 위한 동작을 수행하는 것으로 가정한다.
도 2는 본 발명의 실시 예에 따른 무선통신시스템의 이동국에서 타켓 기지국 으로부터 인증받기 위한 절차를 도시하고 있다.
상기 도 2를 참조하면, 먼저 이동국은 201단계에서 핸드오버를 통해 접속한 타켓 기지국과의 동기 및 레인징 코드를 전송하기 위한 자원을 확인한다. 예를 들어, 상기 이동국은 서빙 기지국 및 타켓 기지국과의 핸드오버 준비 절차를 수행하여 상기 타켓 기지국과의 통신에 필요한 정보를 획득한다.
이후, 상기 이동국은 203단계로 진행하여 핸드오버 레인징 코드를 상기 타켓 기지국으로 전송한다. 예를 들어, 상기 핸드오버 준비 절차를 통해 타켓 기지국으로부터 핸드오버 레인징하는데 사용할 레인징 코드를 할당받지 못한 경우, 상기 이동국은 핸드오버를 시도하는 이동국들이 공통으로 사용하는 공유 자원을 통해 핸드오버를 나타내는 레인징 코드를 상기 타켓 기지국으로 전송할 수도 있다. 즉, 상기 이동국은 임의로 선택한 핸드오버 레인징 코드를 핸드오버 레인징 영역을 통해 상기 타켓 기지국으로 전송한다.
상기 핸드오버 레인징 코드를 전송한 후, 상기 이동국은 205단계로 진행하여 상기 타켓 기지국으로부터 자원 할당 정보가 수신되는지 확인한다. 예를 들어, 상기 이동국은 상향링크 자원 할당 정보(UL_MAP_IE)를 포함하는 핸드오버 레인징 코드 응답 메시지가 수신되는지 확인한다.
만일, 설정시간 내에 상기 타켓 기지국으로부터 자원 할당 정보가 수신되지 않는 경우, 상기 이동국은 상기 201단계로 되돌아가 상기 타켓 기지국과의 동기 및 레인징 코드를 전송하기 위한 자원을 다시 확인한다. 이때, 상기 이동국은 핸드오버 레인징 코드를 기준 전송 횟수 이상 전송한 경우, 상기 타켓 기지국으로의 접속 이 실패한 것으로 인식할 수도 있다.
한편, 설정시간 내에 상기 타켓 기지국으로부터 자원 할당 정보가 수신된 경우, 상기 이동국은 207단계로 진행하여 상기 자원 할당 정보를 통해 확인한 상향링크 자원을 이용하여 핸드오버 레인징 요청 메시지(RNG-REQ)를 상기 타켓 기지국으로 전송한다. 이때, 상기 핸드오버 레인징 요청 메시지는 상기 이동국의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC)를 포함한다. 여기서, 상기 이동국은 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MAK)와 상기 이동국의 MAC 주소 및 상기 타켓 기지국의 식별자(BSID) 정보를 이용하여 생성한 인증키(AK)를 이용하여 상기 메시지 인증 코드를 생성한다. 또한, 상기 이동국의 식별자 정보는 이동국의 MAC 주소, 이동국의 의사 MAC 주소, 이동국의 식별자(STID) 중 적어도 하나를 포함한다.
상기 타켓 기지국으로 핸드오버 레인징 요청 메시지를 전송한 후, 상기 이동국은 209단계로 진행하여 상기 타켓 기지국으로부터 신호를 수신받는다. 이때, 상기 이동국이 핸드오버 준비 절차에서 상기 타켓 기지국으로부터 이동국 식별자(STID)를 할당받은 경우, 상기 이동국은 상기 할당받은 이동국 식별자를 포함하는 신호를 수신받는다. 한편, 상기 이동국이 핸드오버 준비 절차에서 상기 타켓 기지국으로부터 이동국 식별자(STID)를 할당받지 못한 경우, 상기 이동국은 네트워크 초기 접속시 사용하는 레인징용 이동국 식별자(STID)를 포함하는 신호를 수신받는다.
이후, 상기 이동국은 211단계로 진행하여 상기 209단계에서 상기 타켓 기지 국으로부터 수신받은 신호가 암호화된 신호인지 확인한다. 예를 들어, 상기 이동국은 수신 신호의 헤더 정보를 통해 상기 타켓 기지국으로부터 수신받은 신호가 암호화된 신호인지 확인한다.
만일, 상기 타켓 기지국으로부터 수신받은 신호가 암호화된 신호인 경우, 상기 이동국은 213단계로 진행하여 상기 암호화된 신호를 복호화한다. 예를 들어, 상기 이동국은 암호화된 신호에 포함되는 인증 값(ICV)을 이용하여 상기 신호가 유효한지 판단한다. 만일, 상기 암호화된 신호가 유효한 경우, 상기 이동국은 상기 암호화된 신호를 복호화한다. 한편, 상기 암호화된 신호가 유효하지 않은 경우, 상기 이동국은 상기 신호를 폐기한다.
상기 암호화된 신호를 복호화한 후, 상기 이동국은 215단계로 진행하여 상기 복호화한 신호가 핸드오버 레인징 응답 메시지인지 확인한다.
만일, 상기 213단계에서 복호화한 신호가 핸드오버 레인징 응답 메시지가 아닌 경우, 상기 이동국은 상기 209단계로 되돌아가 상기 타켓 기지국으로부터 다른 신호를 수신받는다.
한편, 상기 213단계에서 복호화한 신호가 핸드오버 레인징 응답 메시지인 경우, 상기 이동국은 217단계로 진행하여 상기 타켓 기지국으로의 진입이 성공하여 핸드오버가 완료된 것으로 인식한다.
상기 211단계에서 상기 타켓 기지국으로부터 수신받은 신호가 암호화된 신호가 아닌 경우, 상기 이동국은 219단계로 진행하여 상기 타켓 기지국으로부터 수신받은 신호가 망 재진입 지시 신호인지 확인한다.
만일, 상기 타켓 기지국으로부터 수신받은 신호가 망 재진입 지시 신호가 아닌 경우, 상기 이동국은 상기 209단계로 되돌아가 상기 타켓 기지국으로부터 다른 신호를 수신받는다.
한편, 상기 타켓 기지국으로부터 수신받은 신호가 망 재진입 지시 신호인 경우, 상기 이동국은 221단계로 진행하여 상기 타켓 기지국에 대한 망 재진입 절차를 수행한다.
이후, 상기 이동국은 본 알고리즘을 종료한다.
상술한 실시 예에서 이동국은 상기 핸드오버 준비 절차를 통해 타켓 기지국으로부터 핸드오버 레인징하는데 사용할 레인징 코드를 할당받지 못한 것으로 가정하였다.
다른 실시 예에서 이동국이 핸드오버 준비 절차를 통해 타켓 기지국으로부터 레인징 코드를 할당받은 경우, 상기 이동국은 상기 타켓 기지국으로부터 할당받은 자원을 통해 상기 타켓 기지국으로부터 할당받은 레인징 코드를 상기 타켓 기지국으로 전송할 수도 있다.
이하 설명은 레인징 응답 메시지를 암호화하여 이동국으로 전송하기 위한 기지국의 동작 방법에 대해 설명한다.
도 3은 본 발명의 실시 예에 따른 무선통신시스템의 기지국에서 핸드오버하는 이동국을 인증하기 위한 절차를 도시하고 있다.
상기 도 3을 참조하면 먼저 기지국은 301단계에서 핸드오버를 수행하는 이동국으로부터 핸드오버 레인징 코드가 수신되는지 확인한다. 예를 들어, 이동국의 핸 드오버 준비 절차를 통해 상기 이동국으로 레인징 코드를 할당한 경우, 상기 기지국은 상기 이동국으로 할당한 자원을 통해 상기 이동국으로 할당한 레인징 코드가 수신되는지 확인한다. 다른 예를 들어, 상기 기지국은 이동국들이 임의 접속을 시도하는 공유 자원을 통해 핸드오버 레인징 코드가 수신되는지 확인할 수도 있다.
만일, 이동국으로부터 핸드오버 레인징 코드가 수신되는 경우, 상기 기지국은 303단계로 진행하여 상기 이동국이 접속하는데 필요한 정보를 전송할 수 있도록 상기 이동국으로 상향링크 자원을 할당한다.
이후, 상기 기지국은 305단계로 진행하여 상기 303단계에서 이동국으로 할당한 자원을 통해 핸드오버 레인징 요청 메시지가 수신되는지 확인한다. 이때, 상기 핸드오버 레인징 요청 메시지는 이동국의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC)를 포함한다.
만일, 설정 시간 내에 핸드오버 레인징 요청 메시지가 수신되지 않는 경우, 상기 기지국은 오류가 발생한 것으로 판단한다. 이에 따라, 상기 기지국은 상기 301단계로 되돌아가 핸드오버 레인징 코드가 다시 수신되는지 확인한다. 이때, 상기 기지국은 핸드오버 레인징 코드가 기준 전송 횟수 이상 수신된 경우, 상기 이동국의 접속이 실패한 것으로 인식할 수도 있다.
한편, 설정 시간 내에 핸드오버 레인징 요청 메시지가 수신되는 경우, 상기 기지국은 307단계로 진행하여 인증국으로 상기 핸드오버 레인징을 요청한 이동국에 대한 인증키 정보(AK Context)를 요청한다.
이후, 상기 기지국은 309단계로 진행하여 상기 인증국으로부터 상기 이동국 에 대한 인증키 정보와 상기 이동국과의 암호 통신을 위한 트래픽 암호키 생성 변수를 포함하는 인증응답 메시지가 수신되는지 확인한다. 여기서, 상기 인증키 정보는 인증키(AK), 인증키(AK) ID, CMAC_KEY_COUNT를 포함한다. 또한, 상기 트래픽 암호키 생성 변수는 난수(nonce)를 포함한다.
만일, 상기 인증국으로부터 인증응답 메시지가 수신되는 경우, 상기 기지국은 311단계로 진행하여 상기 인증응답 메시지에 포함된 인증키 정보를 이용하여 상기 이동국으로부터 제공받은 메시지 인증 코드가 유효한지 확인한다.
만일, 상기 메시지 인증 코드가 유효하지 않은 경우, 상기 기지국은 상기 이동국을 인증할 수 없는 것으로 판단한다. 이에 따라, 상기 기지국은 317단계로 진행하여 상기 이동국으로 망 재진입을 지시한다.
이후, 상기 기지국은 319단계로 진행하여 상기 이동국의 망 재진입 절차를 수행한다.
한편, 상기 311단계에서 상기 메시지 인증 코드가 유효한 경우, 상기 기지국은 상기 이동국이 인증된 것으로 판단한다. 이에 따라, 상기 기지국은 313단계로 진행하여 상기 인증응답 메시지에 포함된 인증키 정보와 트래픽 암호키 생성 변수를 이용하여 핸드오버 레인징 응답 메시지를 암호화한다. 예를 들어, 상기 기지국은 인증키(AK), 난수, CMAC_KEY_COUNT, 보안 연결 식별자(Security Association ID), 기지국 식별자(BSID) 및 이동국의 MAC 주소 등을 이용하여 트래픽 암호키를 생성한다. 이후, 상기 기지국은 트래픽 암호키를 이용한 AES-CCM기법을 통해 핸드오버 레인징 응답 메시지를 암호화한다. 즉, 상기 기지국은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지의 인증 값(ICV)을 생성한다. 또한, 상기 기지국은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지를 포함하는 평문 페이로드를 암호화한다. 여기서, 상기 초기 입력 변수는 MAC 헤더, PN(Packet Number), 암호화할 페이로드의 길이 정보 등을 포함한다.
핸드오버 레인징 응답 메시지를 암호화한 후, 상기 기지국은 315단계로 진행하여 상기 암호화한 핸드오버 레인징 응답 메시지를 상기 이동국으로 전송한다. 예를 들어, 상기 기지국이 핸드오버 준비 절차에서 상기 이동국으로 이동국 식별자(STID)를 할당한 경우, 상기 기지국은 상기 이동국으로 할당한 이동국 식별자를 이용하여 상기 암호화한 핸드오버 레인징 응답 메시지를 전송한다. 다른 예를 들어, 상기 기지국이 핸드오버 준비 절차에서 상기 이동국으로 이동국 식별자(STID)를 할당하지 않은 경우, 상기 기지국은 상기 이동국의 네트워크 초기 접속시 사용하는 레인징용 이동국 식별자(STID)를 이용하여 상기 암호화한 핸드오버 레인징 응답 메시지를 전송할 수도 있다.
이때, 미 도시되었지만, 상기 기지국은 상기 인증국으로 상기 이동국에 대한 인증 확인 정보를 전송한다.
이후, 상기 기지국은 본 알고리즘을 종료한다.
상술한 실시 예에서 이동국이 핸드오버하는 서빙 기지국과 타켓 기지국은 동종망으로 구성된다. 만일, 이동국이 핸드오버하는 서빙 기지국과 타켓 기지국이 서로 다른 통신 서비스를 제공하는 경우, 무선통신시스템은 하기 도 4에 도시된 바와 같이 레인징 응답 메시지를 암호화하여 상기 이동국으로 전송한다.
도 4는 본 발명의 다른 실시 예에 따른 무선통신시스템에서 핸드오버를 수행하는 이동국의 인증 절차를 도시하고 있다. 이하 설명에서 서빙 기지국(410)과 타켓 기지국의 제 1 통신 모듈(422)은 동일한 통신 망인 것으로 가정한다
상기 도 4에 도시된 바와 같이 서빙 기지국(410)으로부터 서비스를 제공받던 이동국(400)이 타켓 기지국(420)의 제 2 통신 모듈(424)로 핸드오버하는 경우, 상기 이동국(400)은 상기 서빙 기지국(410)과 동종망을 지원하는 상기 타켓 기지국(420)의 제 1 통신 모듈(422)로 핸드오버한다(441단계).
이후, 상기 이동국(400)은 상기 제 2 통신 모듈(424)로 존 스위칭하기 위해 존스위칭 레인징 요청 메시지를 상기 제 1 통신 모듈(422)로 전송한다(443단계). 여기서, 상기 존 스위칭 레인징 요청 메시지는 메시지 인증 코드(CMAC)를 포함한다. 또한, 상기 존 스위칭 레인징 요청 메시지는 동종망에서의 핸드오버 레인징 요청 메시지와 동일하다.
상기 제 1 통신 모듈(422)은 상기 이동국(400)으로부터 존 스위칭 레인징 요청 메시지가 정상적으로 수신되는 경우, 상기 제 2 통신 모듈(424)로부터 인증 및 암호화를 위해 필요한 정보를 획득한다(445단계). 여기서, 상기 인증 및 암호화를 위해 필요한 정보는 난수 정보를 포함한다.
이후, 상기 제 1 통신 모듈(422)은 인증 및 암호화를 위해 필요한 정보와 메시지 인증 코드(CMAC)를 포함하는 존 스위칭 레인징 응답 메시지를 상기 이동국(400)으로 전송한다(447단계). 여기서, 상기 존 스위칭 레인징 응답 메시지는 동 종망에서의 핸드오버 레인징 응답 메시지와 동일하다.
상기 이동국(400)은 상기 제 1 통신 모듈(422)로부터 제공받은 존 스위칭 레인징 응답 메시지를 통해 상기 제 2 통신 모듈(424)과 통신하는데 필요한 정보를 획득할 수 있다. 여기서, 상기 제 2 통신 모듈(424)과 통신하는데 필요한 정보는 상기 제 2 통신 모듈(424)이 할당한 레인징 코드를 포함한다.
이후, 상기 이동국(400)은 상기 제 2 통신 모듈(424)로 존 스위칭하기 위해 존 스위칭을 나타내는 레인징 요청 코드를 상기 제 2 통신 모듈(424)로 전송한다(449단계). 예를 들어, 상기 존 스위칭 레인징 응답 메시지를 통해 상기 제 2 통신 모듈(424)로부터 레인징 코드를 할당받은 경우, 상기 이동국(400)은 상기 제 2 통신 모듈(424)로부터 할당받은 자원을 통해 상기 제 2 통신 모듈(424)로부터 할당받은 레인징 코드를 상기 제 2 통신 모듈(424)로 전송한다. 다른 예를 들어, 상기 존 스위칭 레인징 응답 메시지를 통해 상기 제 2 통신 모듈(424)로부터 레인징 코드를 할당받지 못한 경우, 상기 이동국(400)은 핸드오버를 시도하는 이동국들이 공통으로 사용하는 공유 자원을 통해 핸드오버를 나타내는 레인징 코드를 상기 제 2 통신 모듈(424)로 전송할 수도 있다. 즉, 상기 이동국(400)은 임의로 선택한 존 스위칭 레인징 코드를 존 스위칭 레인징 영역을 통해 상기 제 2 통신 모듈(424)로 전송한다.
상기 제 2 통신 모듈(424)은 존 스위칭을 나타내는 레인징 코드가 정상적으로 수신되는 경우, 상기 이동국(400)의 접속 시도를 감지한다. 이에 따라, 상기 제 2 통신 모듈(424)은 상기 이동국(400)이 접속하는데 필요한 정보를 전송할 수 있도 록 상기 이동국(400)으로 상향링크 자원을 할당한다(451단계).
상기 이동국(400)은 상기 제 2 통신 모듈(424)로부터 할당받은 상향링크 자원을 이용하여 존 교환 레인징 요청 메시지(RNG-REQ)를 상기 제 2 통신 모듈(424)로 전송한다(453단계). 이때, 상기 존 스위칭 레인징 요청 메시지는 상기 이동국(400)의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC)를 포함한다. 여기서, 상기 이동국(400)은 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MAK)와 상기 이동국(400)의 MAC 주소 및 상기 제 2 통신 모듈(424)의 식별자(BSID) 정보를 이용하여 생성한 인증키(AK)를 이용하여 상기 메시지 인증 코드를 생성한다. 또한, 상기 이동국(400)의 식별자 정보는 이동국(400)의 MAC 주소, 이동국(400)의 의사 MAC 주소(pseudo-MAC address), 이동국(400)의 식별자(STID) 중 적어도 하나를 포함한다.
상기 제 2 통신 모듈(424)은 상기 존 스위칭 레인징 요청 메시지가 수신되는 경우, 인증국(430)으로 상기 이동국(400)에 대한 인증키 정보(AK Context)를 요청한다(455단계).
상기 인증국(430)은 상기 이동국(400)에 대한 인증키 정보 요청에 따라 상기 이동국(400)과의 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MAK)와 상기 이동국(400)의 MAC 주소 및 상기 제 2 통신 모듈(424)의 식별자(BSID) 정보를 이용하여 상기 이동국(400)의 인증키(AK)를 생성한다(457단계). 이후, 상기 인증국(430)은 상기 생성한 인증키 정보(AK Context)를 포함하는 인증응답 메시지를 상기 제 2 통신 모듈(424)로 전송한다(459단계). 여기서, 상기 인증키 정보는 인증 키(AK), 인증키(AK) ID, CMAC_KEY_COUNT를 포함한다.
상기 제 2 통신 모듈(424)은 상기 인증응답 메시지에 포함된 인증키 정보를 이용하여 상기 이동국(400)으로부터 제공받은 메시지 인증 코드가 유효한지 확인한다(461단계).
만일, 상기 메시지 인증 코드가 유효한 경우, 상기 제 2 통신 모듈(424)은 상기 이동국(400)이 인증된 것으로 판단한다. 이에 따라, 상기 제 2 통신 모듈(424)은 상기 인증 응답 메시지에 포함된 인증키 정보와 상기 445단계에서 상기 제 1 통신 모듈(422)로 전송한 트래픽 암호키 생성 변수를 이용하여 트래픽 암호키를 생성한다. 예를 들어, 상기 제 2 통신 모듈(424)은 인증키(AK), 난수, CMAC_KEY_COUNT, 보안 연결 식별자(Security Association ID), 기지국 식별자(BSID) 및 이동국의 MAC 주소 등을 이용하여 트래픽 암호키를 생성한다.
이후, 상기 제 2 통신 모듈(424)은 트래픽 암호키를 이용한 암호화 기능 및 인증 기능을 포함하는 암호 기법을 통해 존 스위칭 레인징 응답 메시지(RNG-RSP)를 암호화한다. 예를 들어, 상기 제 2 통신 모듈(424)은 AES-CCM 기법을 통해 존 스위칭 레인징 응답 메시지를 암호화한다. 만일, 상기 도 9의 (a)와 같이 구성되는 존 스위칭 레인징 응답 메시지에 대한 패킷을 AES-CCM 방식으로 암호화하는 경우, 상기 제 2 통신 모듈(424)은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 존 스위칭 레인징 응답 메시지의 인증 값(ICV)을 생성한다. 또한, 상기 제 2 통신 모듈(424)은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 존 스위칭 레인징 응답 메시지를 포함하는 평문 페이로드를 암호화한다. 여기서, 상기 초기 입력 변수 는 MAC 헤더, PN(Packet Number), 암호화할 페이로드의 길이 정보 등을 포함한다.
이후, 상기 제 2 통신 모듈(424)은 상기 암호화한 존 스위칭 레인징 응답 메시지를 상기 이동국(400)으로 전송한다(463단계). 예를 들어, 상기 제 2 통신 모듈(424)은 도 9의 (b)에 도시된 바와 같이 암호화된 패킷을 생성하여 상기 이동국(400)으로 전송한다. 이때, 상기 이동국(400)이 상기 445단계에서 제 2 통신 모듈(424)로부터 이동국 식별자(STID)를 할당받은 경우, 상기 제 2 통신 모듈(424)은 상기 이동국(400)으로 할당한 이동국 식별자를 이용하여 상기 암호화한 존 스위칭 레인징 응답 메시지를 전송한다. 한편, 상기 이동국(400)이 상기 445단계에서 상기 제 2 통신 모듈(424)로부터 이동국 식별자(STID)를 할당받지 못한 경우, 상기 제 2 통신 모듈(424)은 상기 이동국(400)의 네트워크 초기 접속시 사용하는 레인징용 이동국 식별자(STID)를 이용하여 상기 암호화한 존 스위칭 레인징 응답 메시지를 전송한다.
또한, 상기 제 2 통신 모듈(424)은 상기 인증국(430)으로 상기 이동국(400)에 대한 인증 확인 정보를 전송한다(465단계).
상기 이동국(400)은 상기 제 2 통신 모듈(424)로부터 암호화된 존 스위칭 레인징 응답 메시지가 수신되는지 확인한다. 예를 들어, 상기 이동국(400)이 상기 447단계에서 상기 제 2 통신 모듈(424)로부터 이동국 식별자(STID)를 할당받은 경우, 상기 이동국(400)은 상기 할당받은 이동국 식별자를 이용하여 암호화된 존 스위칭 레인징 응답 메시지가 수신되는지 확인한다. 다른 예를 들어, 상기 이동국(400)이 상기 447단계에서 상기 제 2 통신 모듈(424)로부터 이동국 식별자(STID) 를 할당받지 못한 경우, 상기 이동국(400)은 네트워크 초기 접속시 사용하는 레인징용 이동국 식별자(STID)를 이용하여 암호화된 존 스위칭 레인징 응답 메시지가 수신되는지 확인한다.
이후, 상기 이동국(400)은 상기 제 2 통신 모듈(424)로부터 제공받은 암호화된 존 스위칭 레인징 응답 메시지의 유효성을 판단한다. 예를 들어, 상기 이동국(400)은 상기 제 2 통신 모듈(424)로부터 제공받은 암호화된 신호에 포함된 인증 값(ICV)를 이용하여 암호화된 페이로드가 유효한지 판단한다. 만일, 상기 암호화된 페이로드가 유효한 경우, 상기 이동국(400)은 상기 암호화된 페이로드를 복호화한다. 이때, 상기 페이로드가 존 스위칭 레인징 응답 메시지를 포함하는 경우, 상기 이동국(400)은 상기 존 스위칭 레인징 응답 메시지에서 상기 제 2 통신 모듈(424)과 통신하기 위한 정보를 확인하고, 존 스위칭을 완료한다.
한편, 상기 461단계에서 메시지 인증 코드가 유효하지 않은 경우, 상기 제 2 통신 모듈(424)은 상기 이동국(400)으로 망 재진입을 지시한다. 이후, 상기 제 2 통신 모듈(424)과 상기 이동국(400)은 망 재진입 절차를 수행한다.
상술한 바와 같이 레인징 메시지 인증 과정을 수행하는 경우, 이동국은 하기 도 5에 도시된 바와 같이 동작한다. 여기서, 하기 도 5에서 이동국은 자신 또는 서빙 기지국과 다른 통신 서비스를 제공하는 타켓 기지국으로 접속하기 위한 동작을 수행하는 것으로 가정한다.
도 5는 본 발명의 다른 실시 예에 따른 무선통신시스템의 이동국에서 타켓 기지국으로부터 인증받기 위한 절차를 도시하고 있다.
상기 도 5를 참조하면 이동국이 서빙 기지국과 다른 통신 서비스를 제공하는 타켓 기지국의 제 2 통신 모듈로 핸드오버하는 경우, 상기 이동국은 501단계에서 서빙 기지국과 동일한 통신 서비스를 제공하는 타켓 기지국의 제 1 통신 모듈로 핸드오버한다.
상기 제 1 통신 모듈로 핸드오버한 후, 상기 이동국은 503단계로 진행하여 상기 제 2 통신 모듈로 존 스위칭하기 위해 존 스위칭 레인징 요청 메시지를 상기 제 1 통신 모듈로 전송한다. 여기서, 상기 존 스위칭 레인징 요청 메시지는 메시지 인증 코드(CMAC)를 포함한다. 또한, 상기 존 스위칭 레인징 요청 메시지는 동종망에서의 핸드오버 레인징 요청 메시지와 동일하다.
이후, 이동국은 505단계로 진행하여 상기 제 1 통신 모듈로부터 존 스위칭 응답 메시지가 수신되는지 확인한다.
만일, 설정 시간 내에 존 스위칭 응답 메시지가 수신되지 않는 경우, 상기 이동국은 상기 503단계로 되돌아가 존 스위칭 레인징 요청 메시지를 상기 제 1 통신 모듈로 다시 전송한다. 이때, 상기 이동국은 존 스위칭 요청 메시지의 재전송을 기준 전송 횟수까지만 수행한다.
한편, 설정 시간 내에 존 스위칭 응답 메시지가 수신되는 경우, 상기 이동국은 507단계로 진행하여 상기 존 스위칭 레인징 응답 메시지를 통해 상기 제 2 통신 모듈과 통신하는데 필요한 정보를 획득한다.
이후, 상기 이동국은 509단계로 진행하여 핸드오버 레인징 코드를 상기 제 2 통신 모듈로 전송한다. 예를 들어, 상기 507단계를 통해 존 스위칭 레인징하는데 사용할 레인징 코드를 할당받지 못한 경우, 상기 이동국은 존 스위칭을 시도하는 이동국들이 공통으로 사용하는 공유 자원을 통해 존 스위칭을 나타내는 레인징 코드를 상기 제 2 통신 모듈로 전송할 수도 있다. 즉, 상기 이동국은 임의로 선택한 존 스위칭 레인징 코드를 존 스위칭 레인징 영역을 통해 상기 제 2 통신 모듈로 전송한다.
상기 존 스위칭 레인징 코드를 전송한 후, 상기 이동국은 511단계로 진행하여 상기 제 2 통신 모듈로부터 자원 할당 정보가 수신되는지 확인한다. 예를 들어, 상기 이동국은 상향링크 자원 할당 정보(UL_MAP_IE)를 포함하는 존 스위칭 레인징 코드 응답 메시지가 수신되는지 확인한다.
만일, 설정시간 내에 상기 제 2 통신 모듈로부터 자원 할당 정보가 수신되지 않는 경우, 상기 이동국은 상기 509단계로 되돌아가 상기 제 2 통신 모듈로 존 스위칭 레인징 코드를 다시 전송한다. 이때, 상기 이동국은 존 스위칭 레인징 코드의 재전송을 기준 전송 횟수까지만 수행한다.
한편, 설정시간 내에 상기 제 2 통신 모듈로부터 자원 할당 정보가 수신된 경우, 상기 이동국은 513단계로 진행하여 상기 자원 할당 정보를 통해 확인한 상향링크 자원을 이용하여 존 스위칭 레인징 요청 메시지(RNG-REQ)를 상기 제 2 통신 모듈로 전송한다. 이때, 상기 존 스위칭 레인징 요청 메시지는 상기 이동국의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC)를 포함한다. 여기서, 상기 이동국은 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MSK)와 상기 이동국의 MAC 주소 및 상기 제 2 통신 모듈의 식별자(BSID) 정보를 이용하여 생성 한 인증키(AK)를 이용하여 상기 메시지 인증 코드를 생성한다. 또한, 상기 이동국의 식별자 정보는 이동국의 MAC 주소, 이동국의 의사 MAC 주소, 이동국의 식별자(STID) 중 적어도 하나를 포함한다.
상기 제 2 통신 모듈로 존 스위칭 레인징 요청 메시지를 전송한 후, 상기 이동국은 515단계로 진행하여 상기 제 2 통신 모듈로부터 신호를 수신받는다. 이때, 상기 이동국이 상기 507단계에서 상기 제 2 통신 모듈로부터 이동국 식별자(STID)를 할당받은 경우, 상기 이동국은 상기 할당받은 이동국 식별자를 포함하는 신호를 수신받는다. 한편, 상기 이동국이 상기 507단계에서 상기 제 2 통신 모듈로부터 이동국 식별자(STID)를 할당받지 못한 경우, 상기 이동국은 네트워크 초기 접속시 공유하여 사용하는 레인징용 이동국 식별자(STID)를 포함하는 신호를 수신받는다.
이후, 상기 이동국은 517단계로 진행하여 상기 515단계에서 상기 제 2 통신 모듈로부터 수신받은 신호가 암호화된 신호인지 확인한다. 예를 들어, 상기 이동국은 수신 신호의 헤더 정보를 통해 상기 제 2 통신 모듈로부터 수신받은 신호가 암호화된 신호인지 확인한다.
만일, 상기 제 2 통신 모듈로부터 수신받은 신호가 암호화된 신호인 경우, 상기 이동국은 519단계로 진행하여 상기 암호화된 신호를 복호화한다. 예를 들어, 상기 이동국은 암호화된 신호에 포함되는 인증 값(ICV)을 이용하여 상기 신호가 유효한지 판단한다. 만일, 상기 암호화된 신호가 유효한 경우, 상기 이동국은 상기 암호화된 신호를 복호화한다. 한편, 상기 암호화된 신호가 유효하지 않은 경우, 상기 이동국은 상기 신호를 폐기한다.
상기 암호화된 신호를 복호화한 후, 상기 이동국은 521단계로 진행하여 상기 복호화한 신호가 존 스위칭 레인징 응답 메시지인지 확인한다.
만일, 상기 521단계에서 복호화한 신호가 존 스위칭 레인징 응답 메시지가 아닌 경우, 상기 이동국은 상기 515단계로 되돌아가 상기 제 2 통신 모듈로부터 다른 신호를 수신받는다.
한편, 상기 521단계에서 복호화한 신호가 존 스위칭 레인징 응답 메시지인 경우, 상기 이동국은 523단계로 진행하여 상기 제 2 통신 모듈로의 진입이 성공하여 존 스위칭이 완료된 것으로 인식한다.
상기 517단계에서 상기 제 2 통신 모듈로부터 수신받은 신호가 암호화된 신호가 아닌 경우, 상기 이동국은 525단계로 진행하여 상기 제 2 통신 모듈로부터 수신받은 신호가 망 재진입 지시 신호인지 확인한다.
만일, 상기 제 2 통신 모듈로부터 수신받은 신호가 망 재진입 지시 신호가 아닌 경우, 상기 이동국은 상기 515단계로 되돌아가 상기 제 2 통신 모듈로부터 다른 신호를 수신받는다.
한편, 상기 제 2 통신 모듈로부터 수신받은 신호가 망 재진입 지시 신호인 경우, 상기 이동국은 527단계로 진행하여 상기 제 2 통신 모듈에 대한 망 재진입 절차를 수행한다.
이후, 상기 이동국은 본 알고리즘을 종료한다.
상술한 실시 예에서 이동국은 제 2 통신 모듈로부터 존 스위칭을 위한 레인징 코드를 할당받지 못한 것으로 가정하였다.
다른 실시 예에서 이동국이 제 2 통신 모듈로부터 존 스위칭을 위한 레인징 코드를 할당받은 경우, 상기 이동국은 상기 제 2 통신 모듈로부터 할당받은 자원을 통해 상기 제 2 통신 모듈로부터 할당받은 레인징 코드를 상기 제 2 통신 모듈로 전송할 수도 있다.
이하 설명은 레인징 응답 메시지를 암호화하여 이동국으로 전송하기 위한 기지국의 동작 방법에 대해 설명한다. 이하 설명은 기지국은 서로 다른 통신 서비스를 제공하는 적어도 두 개의 통신 모듈을 구비하는 것으로 가정하여 설명한다. 이때, 상기 기지국의 통신 모듈들 중 핸드오버를 요청한 이동국의 서빙 기지국과 다른 통신 서비스를 제공하는 통신 모듈의 동작에 대해 설명한다.
도 6은 본 발명의 다른 실시 예에 따른 무선통신시스템의 기지국에서 핸드오버하는 이동국을 인증하기 위한 절차를 도시하고 있다.
상기 도 6을 참조하면 먼저 기지국의 통신 모듈은 601단계에서 다른 통신 서비스를 제공하는 통신 모듈로부터 인증 및 암호화 정보 요청 신호가 수신되는지 확인한다.
만일, 인증 및 암호화 정보 요청 신호가 수신되는 경우, 상기 기지국의 통신 모듈은 603단계로 진행하여 인증 및 암호화를 위해 필요한 정보를 상기 다른 통신 서비스를 제공하는 통신 모듈로 전송한다. 여기서, 상기 인증 및 암호화를 위해 필요한 정보는 난수(nonce) 정보를 포함한다.
이후, 상기 기지국의 통신 모듈은 605단계로 진행하여 이종망간 핸드오버를 수행하는 이동국으로부터 존 스위칭 레인징 코드가 수신되는지 확인한다. 예를 들 어, 상기 603단계에서 인증 및 암호화를 위해 필요한 정보와 함께 이동국으로 레인징 코드를 할당한 경우, 상기 기지국의 통신 모듈은 상기 이동국으로 할당한 자원을 통해 상기 이동국으로 할당한 레인징 코드가 수신되는지 확인한다. 다른 예를 들어, 상기 기지국의 통신 모듈은 이동국들이 임의 접속을 시도하는 공유 자원을 통해 존 스위칭 레인징 코드가 수신되는지 확인할 수도 있다.
만일, 이동국으로부터 존 스위칭 레인징 코드가 수신되는 경우, 상기 기지국의 통신 모듈은 607단계로 진행하여 상기 이동국이 접속하는데 필요한 정보를 전송할 수 있도록 상기 이동국으로 상향링크 자원을 할당한다.
이후, 상기 기지국의 통신 모듈은 609단계로 진행하여 상기 607단계에서 이동국으로 할당한 자원을 통해 존 스위칭핸 레인징 요청 메시지가 수신되는지 확인한다. 이때, 상기 존 스위칭 레인징 요청 메시지는 이동국의 식별자 정보와 메시지의 인증을 위한 메시지 인증 코드(CMAC)를 포함한다.
만일, 설정 시간 내에 존 스위칭 레인징 요청 메시지가 수신되지 않는 경우, 상기 기지국의 통신 모듈은 오류가 발생한 것으로 판단한다. 이에 따라, 상기 기지국의 통신 모듈은 상기 605단계로 되돌아가 존 스위칭 레인징 코드가 다시 수신되는지 확인한다. 이때, 상기 기지국의 통신 모듈은 존 스위칭 레인징 코드를 기준 전송 횟수 이상 수신한 경우, 상기 이동국의 접속이 실패한 것으로 인식할 수도 있다.
한편, 설정 시간 내에 존 스위칭 레인징 요청 메시지가 수신되는 경우, 상기 기지국의 통신 모듈은 611단계로 진행하여 인증국으로 상기 존 스위칭 레인징을 요 청한 이동국에 대한 인증키 정보(AK Context)를 요청한다.
이후, 상기 기지국은 613단계로 진행하여 상기 인증국으로부터 상기 이동국에 대한 인증키 정보를 포함하는 인증응답 메시지가 수신되는지 확인한다. 여기서, 상기 인증키 정보는 인증키(AK), 인증키(AK) ID, CMAC_KEY_COUNT를 포함한다.
만일, 상기 인증국으로부터 인증응답 메시지가 수신되는 경우, 상기 기지국의 통신 모듈은 615단계로 진행하여 상기 인증 응답 메시지에 포함된 인증키 정보를 이용하여 상기 이동국으로부터 제공받은 메시지 인증 코드가 유효한지 확인한다.
만일, 상기 메시지 인증 코드가 유효하지 않은 경우, 상기 기지국의 통신 모듈은 상기 이동국을 인증할 수 없는 것으로 판단한다. 이에 따라, 상기 기지국의 통신 모듈은 621단계로 진행하여 상기 이동국으로 망 재진입을 지시한다.
이후, 상기 기지국의 통신 모듈은 623단계로 진행하여 상기 이동국의 망 재진입 절차를 수행한다.
한편, 상기 615단계에서 상기 메시지 인증 코드가 유효한 경우, 상기 기지국의 통신 모듈은 상기 이동국이 인증된 것으로 판단한다. 이에 따라, 상기 기지국의 통신 모듈은 617단계로 진행하여 상기 인증응답 메시지에 포함된 인증키 정보와 상기 603단계에서 상기 다른 통신 서비스를 제공하는 통신 모듈로 전송한 트래픽 암호키 생성 변수를 이용하여 존 스위칭 레인징 응답 메시지를 암호화한다. 예를 들어, 상기 기지국의 통신 모듈은 인증키(AK), 난수, CMAC_KEY_COUNT, 보안 연결 식별자(Security Association ID), 기지국 식별자(BSID) 및 이동국의 MAC 주소 등을 이용하여 트래픽 암호키를 생성한다. 이후, 상기 기지국의 통신 모듈은 트래픽 암호키를 이용한 AES-CCM 기법을 통해 존 스위칭 레인징 응답 메시지를 암호화한다. 즉, 상기 기지국의 통신 모듈은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 존 스위칭 레인징 응답 메시지의 인증 값(ICV)을 생성한다. 또한, 상기 기지국의 통신 모듈은 상기 트래픽 암호키와 초기 입력 변수를 이용하여 존 스위칭 레인징 응답 메시지를 포함하는 평문 페이로드를 암호화한다. 여기서, 상기 초기 입력 변수는 MAC 헤더, PN(Packet Number), 암호화할 페이로드의 길이 정보 등을 포함한다.
존 스위칭 레인징 응답 메시지를 암호화한 후, 상기 기지국의 통신 모듈은 619단계로 진행하여 상기 암호화한 존 스위칭 레인징 응답 메시지를 상기 이동국으로 전송한다. 예를 들어, 상기 기지국의 통신 모듈이 상기 603단계에서 상기 이동국으로 이동국 식별자(STID)를 할당한 경우, 상기 기지국의 통신 모듈은 상기 이동국으로 할당한 이동국 식별자를 이용하여 상기 암호화한 존 스위칭 레인징 응답 메시지를 전송한다. 다른 예를 들어, 상기 기지국의 통신 모듈이 상기 603단계에서 상기 이동국으로 이동국 식별자(STID)를 할당하지 않은 경우, 상기 기지국의 통신 모듈은 상기 이동국의 네트워크 초기 접속시 사용하는 레인징용 이동국 식별자(STID)를 이용하여 상기 암호화한 존 스위칭 레인징 응답 메시지를 전송할 수도 있다.
이때, 미 도시되었지만, 상기 기지국의 통신 모듈은 상기 인증국으로 상기 이동국에 대한 인증 확인 정보를 전송한다.
이후, 상기 기지국의 통신 모듈은 본 알고리즘을 종료한다.
이하 설명은 핸드오버를 위한 레인징 인증 과정을 수행하기 위한 이동국의 구성에 대해 설명한다.
도 7은 본 발명에 따른 무선통신시스템에서 이동국의 블록 구성을 도시하고 있다.
상기 도 7에 도시된 바와 같이 이동국은 듀플렉서(Duplexer)(700), 수신부(710), 데이터 처리부(720), 메시지 인증부(730), 제어부(740), 데이터 생성부(750) 및 송신부(760)를 포함하여 구성된다.
상기 듀플렉서(700)는 듀플렉싱 방식에 따라 상기 송신부(760)로부터 제공받은 송신신호를 안테나를 통해 송신하고, 안테나로부터의 수신신호를 수신부(710)로 제공한다. 예를 들어, 시분할 복신(TDD: Time Division Duplexing) 방식을 사용하는 경우, 상기 듀플렉서(700)는 송신 구간 동안 상기 송신부(760)로부터 제공받은 송신신호를 안테나를 통해 송신하고, 수신 구간 동안 안테나로부터의 수신신호를 수신부(710)로 제공한다.
상기 수신부(710)는 상기 듀플렉서(700)로부터 제공받은 고주파 신호를 기저대역 신호로 변환하고, 상기 기저 대역 신호를 복조 및 복호하여 출력한다. 예를 들어, 상기 수신부(710)는 RF처리 블록, 복조블록, 채널복호블록 등을 포함하여 구성된다. 상기 RF처리 블록은 안테나를 통해 수신된 고주파 신호를 기저대역 신호로 변환하여 출력한다. 상기 복조블록은 FFT(Fast Fourier Transform) 변환을 통해 상기 RF처리 블록으로부터 제공받은 신호를 주파수 대역 신호로 변환한다. 상기 채널 복호블럭은 복조기(demodulator), 디인터리버(deinterleaver) 및 채널복호기(channel decoder) 등으로 구성될 수 있다.
이때, 상기 수신부(710)는 자신에게 할당된 이동국 식별자를 이용하여 신호를 수신받는다. 또한, 상기 수신부(710)는 복조 및 복호를 통해 확인한 제어 정보를 상기 제어부(740)로 제공하고, 데이터를 상기 데이터 처리부(720)로 제공한다.
상기 데이터 처리부(720)는 상기 수신부(710)로부터 수신된 데이터로부터 패킷을 검출한다. 이후, 상기 데이터 처리부(720)는 상기 검출한 패킷의 헤더 정보를 통해 상기 패킷이 제어 메시지인지 여부와 제어 메시지의 암호화 여부를 확인한다.
만일, 패킷이 암호화되지 않은 제어 메시지인 경우, 상기 데이터 처리부(720)는 해당 패킷에서 제어 메시지를 추출하여 상기 메시지 인증부(730)로 전송한다.
한편, 패킷이 암호화된 제어 메시지인 경우, 상기 데이터 처리부(720)는 해당 패킷을 복호부(722)로 전송한다. 예를 들어, 패킷이 암호화된 핸드오버 레인징 응답 메시지인 경우, 상기 데이터 처리부(720)는 해당 패킷을 상기 복호부(722)로 전송한다.
상기 복호부(722)는 상기 데이터 처리부(720)로부터 제공받은 패킷의 인증 값(ICV)을 통해 해당 패킷에 대한 유효성을 판단한다. 만일, 패킷이 유효하지 않은 경우, 상기 복호부(722)는 해당 패킷을 폐기한다. 한편, 패킷이 유효한 경우, 상기 복호부(722)는 해당 패킷을 복호화하여 제어 메시지를 추출하고, 상기 제어 메시지를 상기 메시지 인증부(730)로 전송한다.
상기 메시지 인증부(730)는 상기 데이터 처리부(720)로부터 제공받은 제어 메시지가 유효한지 판단한다. 만일, 상기 복호부(722)를 통해 제어 메시지를 제공받은 경우, 상기 메시지 인증부(730)는 해당 제어 메시지가 유효한 것으로 인식한다. 예를 들어, 상기 복호부(722)를 통해 핸드오버 레인징 응답 메시지를 제공받는 경우, 상기 메시지 인증부(730)는 핸드오버 레인징 응답 메시지기 유효한 것으로 인식한다. 이때, 상기 메시지 인증부(730)는 상기 핸드오버 레인징 응답 메시지를 전송한 타켓 기지국을 인증한 것으로 인식한다.
한편, 상기 복호부(722)를 거치지 않고 상기 데이터 처리부(720)로부터 제어 메시지를 제공받은 경우, 상기 메시지 인증부(730)는 제어 메시지에 포함된 메시지 인증 코드(CMAC)를 확인하여 해당 제어 메시지의 유효성을 판단한다. 이때, 상기 메시지 인증부(730)는 유효하다고 판단된 제어 메시지를 상기 제어부(740)로 전송한다.
또한, 상기 메시지 인증부(730)는 상기 제어부(740)로부터 메시지 인증을 필요로 하는 제어 정보를 제공받는 경우, 제어 정보에 메시지 인증 코드를 추가하여 상기 데이터 생성부(750)로 전송한다. 예를 들어, 상기 제어부(740)로부터 핸드오버 레인징 요청 메시지를 제공받는 경우, 상기 메시지 인증부(730)는 상기 핸드오버 레인징 요청 메시지에 메시지 인증 코드를 추가하여 상기 데이터 생성부(750)로 전송한다. 이때, 상기 메시지 인증부(730)는 네트워크 인증 과정(EAP)을 통해 획득한 마스터 세션 키(MSK)와 상기 이동국의 MAC 주소 및 타켓 기지국의 식별자(BSID) 정보를 이용하여 생성한 인증키(AK)를 이용하여 상기 메시지 인증 코드를 생성한 다.
상기 제어부(740)는 이동국의 핸드오버 및 레인징 인증 절차를 제어한다. 예를 들어, 상기 제어부(740)는 핸드오버를 통해 이동한 타켓 기지국으로 접속하기 위한 제어 메시지를 전송하도록 제어한다. 이때, 핸드오버 레인징 코드와 같이 패킷을 통하지 않고 제어 정보를 전송하는 경우, 상기 제어부(740)는 해당 제어 정보를 전송하도록 상기 송신부(760)를 제어한다. 한편, 핸드오버 레인징 요청 메시지와 같이 메시지 인증이 필요한 제어 정보를 전송하는 경우, 상기 제어부(740)는 해당 제어 정보에 상기 메시지 인증부(730)로 전송한다.
다른 예를 들어, 상기 메시지 인증부(730)로부터 레인징 응답 메시지가 수신되는 경우, 상기 제어부(740)는 타켓 기지국으로의 진입이 성공하여 핸드오버가 완료된 것으로 인식한다. 한편, 상기 메시지 인증부(730)로부터 망 재진입 지시 메시지가 수신되는 경우, 상기 제어부(740)는 타켓 기지국과의 망 재진입 절차를 수행하도록 제어한다.
상기 데이터 생성부(750)는 상기 메시지 인증부(730)로부터 제공받은 제어 정보를 포함하는 패킷을 생성하여 출력한다. 예를 들어, 상기 데이터 생성부(750)는 상기 메시지 인증부(730)로부터 제공받은 메시지 인증 코드가 추가된 핸드오버 레인징 요청 메시지를 포함하는 패킷을 생성한다.
만일, 패킷을 암호화하여 전송하는 경우, 상기 데이터 생성부(750)는 암호부(752)를 이용하여 해당 패킷을 암호화하여 출력한다.
상기 송신부(760)는 상기 데이터 생성부(750)로부터 제공받은 데이터와 상기 제어부(740)로부터 제공받은 제어 정보를 고주파 신호로 변환하여 상기 듀플렉서(700)로 전송한다. 예를 들어, 상기 송신부(760)는 채널부호블록, 변조블록 및 RF처리 블록을 포함하여 구성된다. 상기 채널 부호 블록은 채널 부호기(channel encoder), 인터리버(interleaver) 및 변조기(modulator) 등으로 구성된다. 상기 변조블럭은 IFFT(Inverse Fast Fourier Transform) 변환을 통해 상기 변조기로부터 제공받은 신호를 시간 영역 신호로 변환한다. 상기 RF 처리 블록은 상기 변조 블록으로부터 제공받은 기저대역 신호를 고주파 신호로 변환하여 상기 듀플렉서(700)로 전송한다.
상술한 실시 예에서 상기 제어부(740)와 상기 메시지 인증부(730)는 독립적으로 구성된다.
다른 실시 예에서 상기 제어부(740)와 상기 메시지 인증부(730)는 하나의 모듈로 구성될 수도 있다.
이하 설명은 레인징 응답 메시지를 암호화하여 이동국으로 전송하기 위한 기지국의 구성에 대해 설명한다.
도 8은 본 발명에 따른 무선통신시스템에서 기지국의 블록 구성을 도시하고 있다.
상기 도 8에 도시된 바와 같이 기지국은 듀플렉서(800), 수신부(810), 데이터 처리부(820), 메시지 인증부(830), 제어부(840), 유선 인터페이스(850), 데이터 생성부(860) 및 송신부(870)를 포함하여 구성된다.
상기 듀플렉서(800)는 듀플렉싱 방식에 따라 상기 송신부(870)로부터 제공받 은 송신신호를 안테나를 통해 송신하고, 안테나로부터의 수신신호를 수신부(810)로 제공한다. 예를 들어, 시분할 복신(TDD) 방식을 사용하는 경우, 상기 듀플렉서(800)는 송신 구간 동안 상기 송신부(870)로부터 제공받은 송신신호를 안테나를 통해 송신하고, 수신 구간 동안 안테나로부터의 수신신호를 수신부(810)로 제공한다.
상기 수신부(810)는 상기 듀플렉서(800)로부터 제공받은 고주파 신호를 기저대역 신호로 변환하고, 상기 기저 대역 신호를 복조 및 복호하여 출력한다. 예를 들어, 상기 수신부(810)는 RF처리 블록, 복조블록, 채널복호블록 등을 포함하여 구성된다. 상기 RF처리 블록은 안테나를 통해 수신된 고주파 신호를 기저대역 신호로 변환하여 출력한다. 상기 복조블록은 FFT 변환을 통해 상기 RF처리 블록으로부터 제공받은 신호를 주파수 대역 신호로 변환한다. 상기 채널복호블럭은 복조기, 디인터리버 및 채널복호기 등으로 구성될 수 있다.
이때, 상기 수신부(810)는 복조 및 복호를 통해 확인한 제어 정보를 상기 제어부(840)로 제공하고, 데이터를 상기 데이터 처리부(820)로 제공한다. 예를 들어, 상기 수신부(810)는 핸드오버 레인징 코드를 상기 제어부(840)로 제공하고, 핸드오버 레인징 요청 메시지를 상기 데이터 처리부(820)로 제공한다.
상기 데이터 처리부(820)는 상기 수신부(810)로부터 수신된 데이터로부터 패킷을 검출한다. 이후, 상기 데이터 처리부(820)는 상기 검출한 패킷의 헤더 정보를 통해 상기 패킷이 제어 메시지인지 여부와 제어 메시지의 암호화 여부를 확인한다.
만일, 패킷이 암호화되지 않은 제어 메시지인 경우, 상기 데이터 처리 부(820)는 해당 패킷에서 제어 메시지를 추출하여 상기 메시지 인증부(830)로 전송한다. 예를 들어, 패킷이 암호화되지 않은 핸드오버 레인징 요청 메시지인 경우, 상기 데이터 처리부(820)는 해당 패킷에서 핸드오버 레인징 요청 메시지를 추출하여 상기 메시지 인증부(830)로 전송한다.
한편, 패킷이 암호화된 제어 메시지인 경우, 상기 데이터 처리부(820)는 해당 패킷을 복호부(822)로 전송한다. 상기 복호부(822)는 상기 데이터 처리부(820)로부터 제공받은 패킷의 인증 값(ICV)을 통해 해당 패킷에 대한 유효성을 판단한다. 만일, 패킷이 유효하지 않은 경우, 상기 복호부(822)는 해당 패킷을 폐기한다. 한편, 패킷이 유효한 경우, 상기 복호부(822)는 해당 패킷을 복호화하여 제어 메시지를 추출하고, 상기 추출한 제어 메시지를 상기 메시지 인증부(830)로 전송한다.
상기 메시지 인증부(830)는 상기 데이터 처리부(820)로부터 제공받은 제어 메시지가 유효한지 판단한다. 만일, 상기 복호부(822)를 통해 제어 메시지를 제공받은 경우, 상기 메시지 인증부(830)는 해당 제어 메시지가 유효한 것으로 인식한다. 한편, 상기 복호부(822)를 거치지 않고 상기 데이터 처리부(820)로부터 제어 메시지를 제공받은 경우, 상기 메시지 인증부(830)는 제어 메시지에 포함된 메시지 인증 코드(CMAC)를 확인하여 해당 제어 메시지의 유효성을 판단한다. 예를 들어, 상기 데이터 처리부(820)로부터 핸드오버 레인징 요청 메시지를 제공받는 경우, 상기 메시지 인증부(830)는 상기 제어부(840)로 핸드오버 레인징을 요청한 이동국의 인증키 정보(AK Context)를 요청한다. 이후, 상기 제어부(840)으로부터 인증키 정보를 제공받은 경우, 상기 메시지 인증부(830)는 상기 인증키 정보를 이용하여 상 기 핸드오버 레인징 요청 메시지에 포함된 메시지 인증 코드가 유효한지 확인한다. 이때, 상기 메시지 인증부(830)는 상기 핸드오버 레인징 요청 메시지를 전송한 이동국을 인증한 것으로 인식한다. 여기서, 상기 인증키 정보(AK Context)는 인증키(AK), 인증키(AK) ID, CMAC_KEY_COUNT를 포함한다.
상기 메시지 인증부(830)는 유효하다고 판단된 제어 메시지를 상기 제어부(840)로 전송한다.
또한, 상기 메시지 인증부(830)는 상기 제어부(840)로부터 메시지 인증을 필요로 하는 제어 정보를 제공받는 경우, 제어 정보에 메시지 인증 코드를 추가하여 상기 데이터 생성부(860)로 전송한다.
상기 제어부(840)는 핸드오버를 요청하는 이동국에 대한 핸드오버 및 레인징 인증 절차를 제어한다. 예를 들어, 상기 제어부(840)는 상기 수신부(810)로부터 핸드오버 레인징 코드를 제공받는 경우, 이동국의 접속 시도를 감지한다. 이에 따라, 상기 제어부(840)는 상기 이동국이 접속하는데 필요한 정보를 전송할 수 있도록 상기 이동국으로 상향링크 자원을 할당한다.
또한, 상기 제어부(840)는 상기 메시지 인증부(830)가 핸드오버 레인징을 요청한 이동국의 인증키(AK)를 요청하는 경우, 상기 유선 인터페이스(850)를 통해 인증국으로 상기 이동국에 대한 인증키 정보를 요청한다. 이후, 상기 제어부(840)는 상기 유선 인터페이스(850)를 통해 상기 인증국으로부터 제공받은 인증키 정보를 상기 메시지 인증부(830)로 전송한다.
또한, 상기 제어부(840)는 상기 메시지 인증부(830)로부터 핸드오버 레인징 요청 메시지를 제공받는 경우, 핸드오버 레인징 응답 메시지를 생성하여 상기 메시지 인증부(830)로 제공한다.
상기 데이터 생성부(860)는 상기 메시지 인증부(830)로부터 제공받은 제어 정보를 포함하는 패킷을 생성하여 출력한다.
만일, 패킷을 암호화하여 전송하는 경우, 상기 데이터 생성부(860)는 암호부(862)를 이용하여 해당 패킷을 암호화하여 출력한다. 예를 들어, 상기 메시지 인증부(830)로부터 핸드오버 레인징 응답 메시지를 제공받은 경우, 상기 암호부(862)는 상기 메시지 인증부(830)로부터 제공받은 인증키(AK) 정보와 트래픽 암호키 생성 변수를 이용하여 트래픽 암호키를 생성한다. 즉, 상기 암호부(862)는 인증키(AK), 난수, CMAC_KEY_COUNT, 보안 연결 식별자(Security Association ID), 기지국 식별자(BSID) 및 이동국의 MAC 주소 등을 이용하여 트래픽 암호키를 생성한다.
이후, 상기 암호부(862)는 트래픽 암호키를 이용한 암호화 기능 및 인증 기능을 포함하는 암호 기법을 통해 핸드오버 레인징 응답 메시지(RNG-RSP)를 암호화한다. 예를 들어, 상기 암호부(862)는 AES-CCM 기법을 통해 핸드오버 레인징 응답 메시지를 암호화한다. 만일, 상기 도 9의 (a)와 같이 구성되는 핸드오버 레인징 응답 메시지를 암호화하는 경우, 상기 암호부(862)는 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지의 인증 값(ICV)을 생성한다. 또한, 상기 암호부(862)는 트래픽 암호키와 초기 입력 변수를 이용하여 핸드오버 레인징 응답 메시지를 포함하는 평문 페이로드를 암호화한다. 여기서, 상기 초기 입력 변수는 MAC 헤더, PN(Packet Number), 암호화할 페이로드의 길이 정보 등을 포함한다.
상기 송신부(870)는 상기 데이터 생성부(860)로부터 제공받은 데이터와 상기 제어부(840)로부터 제공받은 제어 정보를 고주파 신호로 변환하여 상기 듀플렉서(800)로 전송한다. 예를 들어, 상기 송신부(860)는 채널부호블록, 변조블록 및 RF처리 블록을 포함하여 구성된다. 상기 채널 부호 블록은 채널 부호기, 인터리버 및 변조기 등으로 구성된다. 상기 변조블럭은 IFFT 변환을 통해 상기 변조기로부터 제공받은 신호를 시간 영역 신호로 변환한다. 상기 RF 처리 블록은 상기 변조 블록으로부터 제공받은 기저대역 신호를 고주파 신호로 변환하여 상기 듀플렉서(800)로 전송한다.
상술한 실시 예에서 상기 제어부(840)와 상기 메시지 인증부(830)는 독립적으로 구성된다.
다른 실시 예에서 상기 제어부(840)와 상기 메시지 인증부(830)는 하나의 모듈로 구성될 수도 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능하다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 실시 예에 따른 무선통신시스템에서 핸드오버를 수행하는 이동국의 인증 절차를 도시하는 도면,
도 2는 본 발명의 실시 예에 따른 무선통신시스템의 이동국에서 타켓 기지국으로부터 인증받기 위한 절차를 도시하는 도면,
도 3은 본 발명의 실시 예에 따른 무선통신시스템의 기지국에서 핸드오버하는 이동국을 인증하기 위한 절차를 도시하는 도면,
도 4는 본 발명의 다른 실시 예에 따른 무선통신시스템에서 핸드오버를 수행하는 이동국의 인증 절차를 도시하는 도면,
도 5는 본 발명의 다른 실시 예에 따른 무선통신시스템의 이동국에서 타켓 기지국으로부터 인증받기 위한 절차를 도시하는 도면,
도 6은 본 발명의 다른 실시 예에 따른 무선통신시스템의 기지국에서 핸드오버하는 이동국을 인증하기 위한 절차를 도시하는 도면,
도 7은 본 발명에 따른 무선통신시스템에서 이동국의 블록 구성을 도시하는 도면,
도 8은 본 발명에 따른 무선통신시스템에서 기지국의 블록 구성을 도시하는 도면, 및
도 9는 본 발명의 실시 예에 따른 암호화된 패킷의 구성을 도시하는 도면.

Claims (24)

  1. 무선통신시스템의 이동국에서 레인징 메시지를 인증하기 위한 방법에 있어서,
    핸드오버를 통해 접속하기 위한 기지국으로 레인징을 요청하는 과정과,
    상기 기지국으로부터 암호화된 레인징 응답 메시지가 수신되는 경우, 상기 암호화된 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 과정과,
    상기 암호화된 레인징 응답 메시지가 유효한 경우, 상기 암호화된 레인징 응답 메시지를 복호화하는 과정을 포함하는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    상기 기지국으로 핸드오버 레인징 코드를 전송하는 과정을 더 포함하여,
    상기 기지국으로부터 자원할당 정보가 수신되는 경우, 상기 기지국으로부터 할당받은 자원을 통해 상기 기지국으로 레인징을 요청하는 것을 특징으로 하는 방법.
  3. 제 1항에 있어서,
    상기 기지국으로 레인징을 요청하는 과정은,
    이동국의 식별자 정보와 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code)를 포함하는 레인징 요청 메시지를 상기 기지국으로 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 암호화된 레인징 응답 메시지가 유효하지 않은 경우, 상기 암호회된 레인징 응답 메시지를 폐기하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  5. 제 1항에 있어서,
    핸드오버를 통해 접속하기 위한 기지국이 서로 다른 통신 서비스를 제공하는 적어도 두 개의 통신 모듈들을 포함하는 경우, 상기 기지국으로 핸드오버하기 전에 접속했던 서빙 기지국과 동일한 통신 서비스를 제공하는 상기 기지국의 제 1 통신 모듈로 핸드오버하는 과정과,
    상기 제 1 통신 모듈로 존 스위칭하기 위한 레인징 요청 메시지를 전송하는 과정을 더 포함하여,
    상기 제 1 통신 모듈로부터 존 스위칭을 위한 레인징 응답 메시지가 수신되는 경우, 상기 기지국의 제 2 통신 모듈로 레인징을 요청하는 것을 특징으로 하는 방법.
  6. 무선통신시스템의 기지국에서 레인징 메시지를 인증하기 위한 방법에 있어서,
    핸드오버를 요청한 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 인증국으로 상기 이동국에 대한 인증키 정보(Authorization Key Context)를 요청하는 과정과,
    상기 인증국으로부터 상기 이동국에 대한 인증키 정보가 수신되는 경우, 상기 인증키 정보를 이용하여 상기 레인징 요청 메시지에 대한 유효성을 판단하는 과정과,
    상기 레인징 요청 메시지가 유효한 경우, 상기 레인징 요청 메시지에 대한 응답 메시지를 암호화하는 과정과,
    상기 암호화한 응답 메시지를 상기 이동국으로 전송하는 과정을 포함하는 것을 특징으로 하는 방법.
  7. 제 6항에 있어서,
    상기 이동국에 대한 인증을 요청하기 전에 상기 이동국으로부터 핸드오버 레인징 코드가 수신되는 경우, 상기 이동국이 레인징을 수행할 수 있도록 상향링크 자원을 할당하는 과정과,
    상기 이동국으로 할당한 상향링크 자원을 통해 상기 이동국으로부터 레인징 요청 메시지가 수신되는 확인하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  8. 제 6항에 있어서,
    상기 인증키 정보는, 인증키(AK: Authorization Key), 인증키(AK) ID, CMAC_KEY_COUNT 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  9. 제 6항에 있어서,
    상기 응답 메시지를 암호화하는 과정은,
    인증국으로부터 제공받은 상기 이동국과의 암호 통신을 위한 트래픽 암호키(TEK: Traffic Encryption Key) 생성 변수를 이용하여 트래픽 암호키를 생성하는 과정과,
    상기 트래픽 암호키를 이용하여 상기 응답 메시지의 인증 값(ICV: Integrity Check Value)을 생성하는 과정과,
    상기 트래픽 암호키를 이용하여 상기 응답 메시지를 암호화하는 과정을 포함하는 것을 특징으로 하는 방법.
  10. 제 6항에 있어서,
    상기 기지국이 서로 다른 통신 서비스를 제공하는 적어도 두 개의 통신 모듈들을 포함하는 경우, 제 1 통신 모듈은 핸드오버를 요청한 이동국으로부터 레인징 요청 메시지가 수신되기 전에 제 2 통신 모듈의 요청에 따라 인증 및 암호화 정보를 상기 제 2 통신 모듈로 전송하는 과정을 더 포함하는 것을 특징으로 하는 방법.
  11. 레인징 메시지를 인증하기 위한 무선통신시스템에 있어서,
    이동국은 핸드오버를 통해 접속하기 위한 기지국으로 레인징 요청 메시지를 전송하는 과정과,
    상기 기지국은 상기 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 인증국으로 상기 이동국에 대한 인증키 정보(AK Context)를 요청하는 과정과,
    상기 인증국은 상기 이동국에 대한 인증키(AK: Authorization Key)를 생성하여 인증키 정보를 상기 기지국으로 전송하는 과정과,
    상기 기지국은 상기 인증키 정보를 이용하여 상기 레인징 요청 메시지가 유효하다고 판단되는 경우, 상기 레인징 요청 메시지에 대한 응답 메시지를 암호화하여 상기 이동국으로 전송하는 과정과,
    상기 이동국은 상기 기지국으로부터 제공받은 암호화된 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효 성을 판단하는 과정과,
    상기 암호화된 레인징 응답 메시지가 유효한 경우, 상기 이동국은 상기 암호화된 레인징 응답 메시지를 복호화하는 과정을 포함하는 것을 특징으로 무선통신시스템.
  12. 제 11항에 있어서,
    상기 레인징 요청 메시지는, 이동국의 식별자 정보와 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code)를 포함하는 것을 특징으로 하는 무선통신시스템.
  13. 제 12항에 있어서,
    상기 인증키 정보는, 인증키(AK), 인증키 ID, CMAC_KEY_COUNT 중 적어도 하나를 포함하는 것을 특징으로 하는 무선통신시스템.
  14. 제 12항에 있어서,
    상기 기지국이 응답 메시지를 암호화하는 과정은,
    상기 인증국으로부터 제공받은 상기 이동국과의 암호 통신을 위한 트래픽 암 호키(TEK: Traffic Encryption Key) 생성 변수를 이용하여 트래픽 암호키를 생성하는 과정과,
    상기 트래픽 암호키를 이용하여 상기 응답 메시지의 인증 값(ICV: Integrity Check Value)을 생성하는 과정과,
    상기 트래픽 암호키를 이용하여 상기 응답 메시지를 암호화하는 과정을 포함하는 것을 특징으로 하는 무선통신시스템.
  15. 무선통신시스템의 이동국에서 레인징 메시지를 인증하기 위한 장치에 있어서,
    핸드오버를 통해 접속하기 위한 기지국으로 레인징 요청 메시지를 전송하는 송신부와,
    상기 기지국으로부터 신호를 수신받는 수신부와,
    상기 수신부를 통해 암호화된 레인징 응답 메시지가 수신되는 경우, 상기 암호화된 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 통해 상기 암호화된 레인징 응답 메시지의 유효성을 판단하는 데이터 처리부와,
    상기 기지국으로 레인징 요청 메시지를 전송하도록 제어하고, 상기 데이터 처리부에서 판단한 레인징 응답 메시지의 유효성에 따라 상기 기지국과의 핸드오버 완료 여부를 판단하는 제어부를 포함하여 구성되는 것을 특징으로 하는 장치.
  16. 제 15항에 있어서,
    상기 송신부는, 상기 기지국으로 핸드오버 레인징 코드를 전송하여 상기 기지국으로부터 할당받은 자원을 통해 상기 기지국으로 레인징 요청 메시지를 전송하는 것을 특징으로 하는 장치.
  17. 제 15항에 있어서,
    상기 송신부는, 이동국의 식별자 정보와 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code)를 포함하는 레인징 요청 메시지를 상기 기지국으로 전송하는 것을 특징으로 하는 장치.
  18. 제 15항에 있어서,
    상기 데이터 처리부는,
    암호화된 레인징 응답 메시지의 유효성을 판단하고, 암호화된 레인징 응답 메시지를 복호화하는 복호부를 포함하여 구성되는 것을 특징으로 하는 장치.
  19. 제 15항에 있어서,
    상기 데이터 처리부에서 유효하다고 판단한 제어 메시지를 상기 제어부로 전송하며, 상기 데이터 처리부로부터 제공받은 암호화되지 않은 제어 메시지에 대한 유효성을 판단하여 유효한 제어 메시지를 상기 제어부로 전송하는 메시지 인증부를 더 포함하여 구성되는 것을 특징으로 하는 장치.
  20. 무선통신시스템의 기지국에서 레인징 메시지를 인증하기 위한 장치에 있어서,
    무선망을 통해 신호를 수신받는 수신부와,
    무선망을 통해 신호를 송신하는 송신부와,
    유선망을 통해 인증국과 통신을 수행하는 유선 인터페이스와,
    상기 수신부를 통해 이동국으로부터 레인징 요청 메시지가 수신되는 경우, 제어부로부터 제공받은 상기 이동국에 대한 인증키 정보(Authorization Key Context)를 이용하여 상기 레인징 요청 메시지에 대한 유효성을 판단하는 메시지 인증부와,
    상기 메시지 인증부의 요청에 따라 상기 유선 인터페이스를 통해 인증국으로부터 상기 이동국에 대한 인증키 정보를 획득하고, 상기 메시지 인증부에서 상기 레인징 요청 메시지가 유효하다고 판단하는 경우, 상기 이동국으로 레인징 응답 메시지를 전송하도록 제어하는 제어부와,
    상기 제어부의 제어에 따라 상기 메시지 인증부로부터 제공받은 레인징 응답 메시지를 암호화하여 상기 송신부를 통해 상기 이동국으로 전송하는 데이터 생성부를 포함하여 구성되는 것을 특징으로 하는 장치.
  21. 제 20항에 있어서,
    상기 제어부는, 상기 수신부를 통해 이동국으로부터 핸드오버 레인징 코드가 수신되는 경우, 상기 이동국이 레인징을 수행할 수 있도록 상향링크 자원을 할당하는 것을 특징으로 하는 장치.
  22. 제 20항에 있어서,
    상기 메시지 인증부는, 상기 제어부로부터 제공받은 인증키(AK: Authorization Key), 인증키(AK) ID, CMAC_KEY_COUNT 중 적어도 하나를 포함하는 인증키 정보를 이용하여 상기 레인징 요청 메시지에 포함된 메시지 인증 코드(CMAC: Cipher-based Message Authorization Code)가 유효한지 판단하는 것을 특징으로 하는 장치.
  23. 제 20항에 있어서,
    상기 데이터 생성부는,
    인증국으로부터 제공받은 상기 이동국과의 암호 통신을 위한 트래픽 암호키(TEK: Traffic Encryption Key) 생성 변수를 이용하여 트래픽 암호키를 생성하고, 상기 트래픽 암호키를 이용하여 상기 레인징 응답 메시지의 인증 값(ICV: Integrity Check Value)을 생성하고, 상기 트래픽 암호키를 이용하여 상기 응답 메시지를 암호화하는 것을 특징으로 하는 장치.
  24. 제 20항에 있어서,
    상기 기지국이 서로 다른 통신 서비스를 제공하는 적어도 두 개의 통신 모듈들을 포함하는 경우, 제 1 통신 모듈의 제어부는 제 2 통신 모듈의 요청에 따라 상기 유선 인터페이스를 통해 인증 및 암호화 정보를 상기 제 2 통신 모듈로 전송하는 것을 특징으로 하는 장치.
KR1020090028327A 2009-04-02 2009-04-02 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법 KR20100109998A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020090028327A KR20100109998A (ko) 2009-04-02 2009-04-02 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법
US12/798,402 US20100257364A1 (en) 2009-04-02 2010-04-02 Apparatus and method for processing authentication of handover ranging message in wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090028327A KR20100109998A (ko) 2009-04-02 2009-04-02 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20100109998A true KR20100109998A (ko) 2010-10-12

Family

ID=42827137

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090028327A KR20100109998A (ko) 2009-04-02 2009-04-02 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법

Country Status (2)

Country Link
US (1) US20100257364A1 (ko)
KR (1) KR20100109998A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120081036A (ko) * 2011-01-10 2012-07-18 삼성전자주식회사 무선통신 시스템에서 단문 데이터의 암호화 방법 및 장치

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010018286A1 (de) * 2010-04-26 2011-10-27 Siemens Enterprise Communications Gmbh & Co. Kg Schlüsselverteilerknoten für ein Netzwerk
US9167447B2 (en) 2011-03-31 2015-10-20 Mediatek Inc. Failure event report for initial connection setup failure
US9661510B2 (en) * 2012-03-30 2017-05-23 Mediatek Inc. Failure event report extension for inter-RAT radio link failure
KR101931601B1 (ko) * 2011-11-17 2019-03-13 삼성전자주식회사 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치
US9967319B2 (en) * 2014-10-07 2018-05-08 Microsoft Technology Licensing, Llc Security context management in multi-tenant environments
EP3386218B1 (en) * 2017-04-03 2021-03-10 Nxp B.V. Range determining module

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6907044B1 (en) * 2000-08-04 2005-06-14 Intellon Corporation Method and protocol to support contention-free intervals and QoS in a CSMA network
JP5225459B2 (ja) * 2008-04-30 2013-07-03 聯發科技股▲ふん▼有限公司 トラフィック暗号化キーの派生方法
US8804658B2 (en) * 2008-10-22 2014-08-12 Mediatek Inc. Method and apparatus for handover between IEEE 802.16e and 802.16m systems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120081036A (ko) * 2011-01-10 2012-07-18 삼성전자주식회사 무선통신 시스템에서 단문 데이터의 암호화 방법 및 장치

Also Published As

Publication number Publication date
US20100257364A1 (en) 2010-10-07

Similar Documents

Publication Publication Date Title
JP7074847B2 (ja) セキュリティ保護方法、装置及びシステム
US8180326B2 (en) Method of supporting location privacy
US7734280B2 (en) Method and apparatus for authentication of mobile devices
KR101447726B1 (ko) 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법
TWI418194B (zh) 行動台、基地台及流量加密密鑰之產生方法
TWI507059B (zh) 行動台、基地台及流量加密密鑰之產生方法
KR20100109998A (ko) 무선통신시스템에서 핸드오버 레인징 메시지의 인증 처리 장치 및 방법
KR20110060550A (ko) 무선통신시스템에서 단말의 핸드오버를 위한 장치 및 방법
CN114268943A (zh) 授权方法及装置
KR20070051233A (ko) 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법
KR101759191B1 (ko) 무선통신시스템에서 데이터의 무결성 검사를 위한 오버헤드를 줄이기 위한 방법 및 장치
WO2011003352A1 (zh) 终端私密性的保护方法及装置
KR100969782B1 (ko) 휴대 인터넷 시스템에서 개인키 관리 프로토콜을 이용한 인증 방법 및 장치
CN101588576B (zh) 一种无线通信系统中保护终端私密性的方法及系统
KR20100049472A (ko) 이동국 식별방법
JP6499315B2 (ja) 移動通信システム及び通信網
KR101490340B1 (ko) 무선통신시스템에서 핸드오버 처리 장치 및 방법
CN101483864B (zh) 移动台标识的分发方法、系统和基站
KR20090090974A (ko) 무선통신시스템에서 암호키 생성 장치 및 방법
WO2024028393A1 (en) Wireless communication system
KR20110046260A (ko) 통신 시스템에서 인증 키 갱신을 위한 방법 및 장치
JP2012034422A (ja) 無線基地局、中継局、無線通信方法

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid