KR20110045796A - 이동 통신 시스템에서 보안 관리 시스템 및 방법 - Google Patents

이동 통신 시스템에서 보안 관리 시스템 및 방법 Download PDF

Info

Publication number
KR20110045796A
KR20110045796A KR1020090102501A KR20090102501A KR20110045796A KR 20110045796 A KR20110045796 A KR 20110045796A KR 1020090102501 A KR1020090102501 A KR 1020090102501A KR 20090102501 A KR20090102501 A KR 20090102501A KR 20110045796 A KR20110045796 A KR 20110045796A
Authority
KR
South Korea
Prior art keywords
identifier
request message
terminal
authentication
message
Prior art date
Application number
KR1020090102501A
Other languages
English (en)
Other versions
KR101700448B1 (ko
Inventor
서경주
임채권
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020090102501A priority Critical patent/KR101700448B1/ko
Priority to US13/504,786 priority patent/US8881237B2/en
Priority to PCT/KR2010/007430 priority patent/WO2011052995A2/en
Publication of KR20110045796A publication Critical patent/KR20110045796A/ko
Priority to US14/532,421 priority patent/US9131380B2/en
Priority to US14/844,737 priority patent/US9271200B2/en
Priority to US14/876,468 priority patent/US9277463B2/en
Priority to US14/876,514 priority patent/US9392503B2/en
Priority to US14/876,489 priority patent/US9271201B2/en
Priority to US14/876,476 priority patent/US9357443B2/en
Priority to US14/876,521 priority patent/US9282490B2/en
Priority to US14/876,496 priority patent/US9357444B2/en
Priority to US14/876,490 priority patent/US9392502B2/en
Priority to US14/876,503 priority patent/US9264949B1/en
Application granted granted Critical
Publication of KR101700448B1 publication Critical patent/KR101700448B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0016Hand-off preparation specially adapted for end-to-end data sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/12Reselecting a serving backbone network switching or routing node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 이동통신 네트워크에서 단말이 모바일 이동통신망(Public Land Mobile Network : 이하 PLMN 이라 칭함) 간 핸드오버하는 경우에 발생하는 보안상의 문제를 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS 라 칭함) 프로토콜을 이용하여 해결 및 관리하는 방법 및 시스템에 대한 것이다. 본 발명은 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹은 단말은 PLMN을 바꾸어 핸드오버하는 경우에 있어서 단말이 인증 및 보안 문제로 인하여 통신이 끊기는 현상을 방지할 수 있다. 따라서 본 발명을 통해 EUTRAN(Evolved Universal Terrestrial Radio Access Network : 이하 EUTRAN 이라 칭함) 혹은 UTRAN(Universal Terrestrial Radio Access Network : 이하 UTRAN 이라 칭함)/ GERAN(GSM/EDGE Radio Access Network : 이하 GERAN 이라 칭함)과 같은 다른 RAT에서 EUTRAN으로 핸드오버하는 중에도 인증 과정 혹은 보안 모드 명령을 성공적으로 수행함으로써, 통신이 끊기는 문제를 해결할 수 있다.
Figure P1020090102501
NAS, MME, NAS Security Mode, Authentication, inter PLMN, 핸드오버(Handover)

Description

이동 통신 시스템에서 보안 관리 시스템 및 방법{METHOD AND SYSTEM FOR MANAGING SECURITY IN MOBILE COMMUNICATION SYSTEM}
본 발명은 이동 통신 시스템에 대한 것으로서, 특히 단말이 핸드오버하는 환경에서 발생할 수 있는 단말과 네트웍의 보안 및 인증을 관리하기 위한 방법 및 시스템에 관한 것이다.
일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME(Mobility Management Entity)를 네트워크의 이동성 관리 엔티티로 도입하였다.
상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP 의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 종래에 수행하던 인증 과정과 무선 접속 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 모드를 수행하는 등 보안 관리 방안을 강화하였다.
하지만, 현재 NAS 프로토콜 정의 및 NAS 프로토콜의 보안 정의는 PLMN 간의 핸드오버를 지원함에 있어서 현재 정의된 절차 및 정의된 메시지로는 보안이 잘 지켜지지 않거나 통신이 끊길 수 있는 문제점이 발생할 수 있다. 따라서, 인증 과정과 NAS 프로토콜의 보안성을 강화하기 위해 도입된 NAS 보안 모드 명령(NAS security mode command) 과정의 개선을 통해 PLMN이 변경되는 환경하에서도 단말과 네트웍간의 인증, 보안 지원과 통신 지원을 끊김없이 효율적으로 지원하는 방법을 제안해야 할 필요가 있다.
본 발명은 이동 통신 시스템에서의 이동 관리자(mobility management entity)에서 단말의 핸드오버시에 비접속 계층(non-Access Stratum) 프로토콜을 이용한 인증 및 보안 관리 방법에 있어서, 상기 단말로부터 위치 갱신 요청 메시지를 수신하는 과정과, 상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정과, 상기 식별자의 비교 결과에 따라 인증 요청 메시지의 전송 여부를 결정하는 과정을 포함한다.
본 발명은 이동 통신 시스템에서의 이동 관리자(mobility management entity)에서 단말의 핸드오버시에 비접속 계층(non- Access Stratum) 프로토콜을 이용한 인증 및 보안 관리 방법에 있어서, 상기 단말로부터 위치 갱신 요청 메시지를 수신하는 과정과, 상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정과, 상기 식별자의 비교 결과에 따라 인증 요청 메시지의 전송 여부를 결정하는 과정을 포함한다.
본 발명은 이동통신 네트워크에서 단말이 PLMN 간 핸드오버 하는 경우에 특히 단말이 EUTRAN 이나 다른 RAT(GERAN, UTRAN 등)에서 EUTRAN 지역으로 핸드오버 하는 상황에서 비접속 계층 프로토콜을 이용하여 단말의 인증, 보안상 문제점을 해결하여 통신이 끊기는 것을 방지할 수 있다.
또한 본 발명은 NAS 프로토콜 즉 메시지를 이용하여 단말의 PLMN 간 핸드오버 시에도 단말의 인증, 보안 모드 명령의 수행이 원활히 이루어지도록 하는 방법을 제안함으로써 단말의 PLMN 간 핸드오버 중에도 인증, 보안 모드를 원할하게 동작하게 하고, 이에 따라 단말의 이동성 관리를 효율적으로 할 수 있다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 단말이 PLMN 간 핸드오버 하는 경우에 이동 통신 시스템에 끊김없는 통신을 제공하고, 인증과 단말과 MME 간의 프로토콜인 NAS 의 보안성을 관리 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템, UTRAN, GERAN을 이용할 것이 며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다.
한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시 예는 본 발명의 기본 목적인 단말이 EUTRNA 이나 다른 RAT에서 EUTRAN 으로 핸드오버하는 경우 NAS 프로토콜을 이용하여 인증 및 단말과 이동성 관리자(MME) 간의 통신시 보안성을 지원하는 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 PLMN 핸드오버 및 보안 환경을 도시한 블록도이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다. 본 발명의 경우 EUTRAN 이나 다른 RAT에서 EUTRAN으로 이동하는 경우 발생할 수 있는 문제를 중심으로 기술하였으며, 이러한 방법은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다.
도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함, 또는 RNC : Radio Network Controller : 이하 RNC 라 칭함)(133)는 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW 로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA 라 칭함)의 역할을 수행한다.
한편 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 위하여 이동 관리자(Mobility Management Entity : 이하 MME 라 칭함)/SGSN : Serving GPRS Support Node : 이하 SGSN 이라 칭함)(135)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server : 이하 HSS 이라 칭함)(121)가 MME/SGSN(135)와 인터페이스로 연결되어 있다.
eNB/RNC(133)와 Serving GW(116), MME/SGSN(135)와 Serving GW(116) 사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의 UE(110)과 MME/SGSN(135)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 세션 관리를 수행한다.
본 발명에서는 상기와 같이 소스 네트웍(source network)에 연결되어 있던 UE(110)가 핸드오버하는 상황에 중점을 둔다. 상기 소스 네트웍에서는 EUTRAN, UTRAN, GERAN 등의 여러 RAT 형태가 될 수 있고, PLMN이 이후 UE(110)이 이동할 네트웍의 PLMN과는 다른 것으로 가정하였다. 즉 소스 네트웍에서 PLMN A에서 타겟은 PLMN B 등으로 PLMN이 변경되고, 타겟 네트웍은 EUTRAN을 지원하는 경우 UE(110)이 핸드오버 상황시 발생할 수 있는 문제를 해결하고자 한다. 따라서 타겟 네트웍으로 핸드오버하면 UE(110)는 타겟 eNB(112), MME(114), HSS(141)와 연결되어 서비스를 받게 된다. 따라서, 본 발명에서는 NAS 프로토콜을 기반으로 UE(110), MME(114)가 효율적으로 동작할 수 있도록 상기의 네트워크를 참조하여 이하 도 2 내지 도 14를 설명하기로 한다.
도 2는 종래 기술 따른 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도이다.
201 과정은 핸드오버 준비 과정이다. 즉 코어 네트웍으로 자원 요청을 하는 과정으로 즉 타겟 기지국(target eNB)(112), 타겟 이동 관리자(target MME)(114), 서빙 게이트웨이(serving GW)(116)에서 자원(resource)를 준비를 요청하는 과정으로 이루어지며, 베어러 컨텍스트(bearer context)나 이동 관리 컨텍스트(Mobility management context)가 소스 시스템에서 타겟 시스템으로 전송된다.
상기의 핸드오버 준비 과정의 주요 메시지는 다음과 같다. 201-1 과정에서 소스 기지국(source eNB/RNC)(133)이 소스 이동 관리자(Source MME/SGSN)(135)로 재위치 요구(relocation required) 메시지를 보내면, 201-3 과정에서 source MME/SGSN(135)는 target MME(114)로 재전송 재위치 요청(forward relocation request) 메시지를 전송하고, 이후 201-5 과정에서 target MME(114)는 source MME/SGSN(135)로 재전송 재위치 응답(Forward relocation response) 메시지를 전송하는 주요 과정으로 이루어진다.
한편 211 과정에서 source MME/SGSN(135)는 source eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되었음을 알려주게 된다. 이후 213 과정에서 source eNB/RNC(133)은 UE(110)로 핸드오버 명 령(handover command) 메시지를 전송하여, 215 과정에서 UE(110)이 target eNB(112)로 핸드오버 명령을 내리게 된다. 215 과정에서 UE(110)이 target eNB(112)로 핸드오버를 하게 되면, 217 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시지를 target MME(114)로 전송하게 되고, 이후 219 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 221 과정에서와 같이 이러한 핸드오버 실행 과정 중에 UE(110)는 위치 갱신 요청(Tracking Area Update request : 이하 TAU request 라 칭함) 메시지를 target MME(114)로 보내게 된다. 이후 target MME(114)는 도면에 도시하지 않은 위치 갱신 응답(Tracking Area Update response, 이하 TAU response 라 칭함) 메시지에 PLMN Identity(네트웍 식별자)를 포함하여 UE(110)로 보내게 되어, 이 이후 UE(110)는 자신에게 서비스를 제공하는 서빙 네트웍의 식별자(serving network identity)로 네트웍 식별자(PLMN identity)를 가지게 된다. 따라서, 이 이후에 인증 과정이 target MME(114)로부터 시작되더라도 UE(110)도 해당 네트웍 식별자(PLMN identity)를 PLMN B로 target MME(114)와 함께 공유하고 있으므로 인증에 문제가 없다.
그러나, 만일 도 2에서와 같이 target MME(114)가 221 과정에서와 같이 TAU request 메시지를 받고 처리중인 상태에서 241 과정에서처럼 인증 요청(Authentication Request) 메시지를 UE(110)로 전송하게 되면 243 과정에서 UE(110)는 인증 벡터를 검증하게 되는데, UE(110)는 아직 TAU request 메시지에 대 한 응답(TAU response 메시지)을 받지 않은 상태이므로, UE(110)이 현재 알고 있는 서빙 네트워크 식별자 즉, PLMN identity(네트웍 식별자)인 PLMN A를 사용하여 계산함으로써 전체 인증 벡터 값을 검증하는데 실패하게 되며, 이에 따라, 245 과정에서와 같이 UE(110)과 source eNB/RNC(133)의 RRC(Radio Resource Control) 프로토콜의 연결이 끊겨지게 되는 문제가 발생한다.
도 3은 종래 발명의 일 실시 예(SMC 경우 1 : case 1)에 따른 PLMN 간 핸드오버시 SMC(보안 모드 명령: security mode command) 과정의 절차를 나타낸 메시지 흐름도이다.
301 과정은 핸드오버 준비 과정이다. 301 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다.
한편 311 과정에서 source MME/SGSN(135)는 source eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되었음을 알려주게 되고, 이후 313 과정에서 source eNB/RNC(133)은 UE(110)으로 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)가 target eNB(112)로 핸드오버 명령을 내리게 된다. 315 과정에서 UE(110)가 target eNB(112)로 핸드오버를 완료하게 되면, 317 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시지를 target MME(114)로 전송하게 된다. 이후 319 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 321 과정에서와 같이 이러한 핸드오버 실행 과정 중에 UE(110)는 TAU request 메시지를 target MME(114)로 보내게 된다. 이후 target MME(114)는 도면에 도시하지 않은 TAU response 메시지에 PLMN Identity(네트웍 식별자)를 포함하여 보내게 되어 이 이후 UE(110)는 자신에게 서비스를 제공하는 서빙 네트웍의 식별자(serving network identity)로 네트웍 식별자(PLMN identity)를 가지게 된다. 따라서, 이 이후에 보안 모드 명령 과정이 target MME(114)로부터 시작되더라도 UE(110)도 해당 네트웍 식별자(PLMN identiy)를 PLMN B로 target MME(114)와 함께 공유하고 있으므로 보안 모드 명령 실행에는 문제가 없다.
그러나, 만일 도 3에서와 같이 target MME(114)가 321 과정에서와 같이 TAU request 메시지를 받고 처리중인 상태에서 341 과정에서처럼 보안 모드 명령(security mode command) 메시지를 UE(110)로 전송하게 되면 343 과정에서 UE(110)는 NAS 키 세트 식별자(key set identifier: 이하 eKSI 라 칭함)을 통해서 인증키를 찾게 되는데, 이때 UE(110)가 아직 TAU request 메시지에 대한 응답(TAU response)을 받지 않은 상태이므로, UE(110)가 현재 알고 있는 서빙 네트워크 식별자(Serving Network identity) 즉, PLMN identity(네트웍 식별자)인 PLMN A 가 다르므로 인증키 값이 다름에도 불구하고 eKSI는 동일하여 다른 인증키를 바탕으로 NAS 암호화키와 NAS 무결성키를 생성하게 된다. 이후 345 과정에서 UE(110)는 NAS MAC(message authentication code) 값을 검증하는데 무결성키가 다르므로 MAC 해독에 실패하게 되며, 이에 따라, UE(110)와 source eNB/RNC(133)의 RRC(Radio Resource Control) 프로토콜의 연결이 끊겨지게 되거나 하는 문제가 발생한다.
도 4는 본 발명의 일 실시 예(인증 경우 1 : case 1)에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도이다.
401 과정은 핸드오버 준비 과정이다. 401 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다.
한편 411 과정에서 source MME/SGSN(135)는 source eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되었음을 알려주게 되고, 이후 413 과정에서 source eNB/RNC(133)은 UE(110)로 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)가 target eNB(112)로 핸드오버 명령을 내리게 된다. 415 과정에서 UE(110)가 target eNB(112)로 핸드오버를 완료하게 되면, 417 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시지를 target MME(114)로 전송하게 되고, 이후 419 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 421 과정에서와 같이 이러한 핸드오버 실행 과정 중에 UE(110)는 TAU request 메시지를 target MME(114)로 보내게 된다. 423 과정에서 target MME(114)는 target MME 자신의 PLMN 식별자와 UE(110)에서 보낸 정보 중의 PLMN 식별자를 비교해서 판단하게 된다. 이때 PLMN 식별자가 다른 경우는 425 과정에서와 같이 target MME(114)는 UE(110)으로 식별자 요청(identity request) 메시지를 보내게 되고, 427 과정에서와 같이 UE(110)는 자신의 IMSI(International Mobile Station Identity : 국제 이동국 식별 번호 : 이하 IMSI 로 칭함)를 포함한 식별자 응답(identity response) 메시지를 전송하게 되고, 429 과정에서 target MME(114)는 HSS(141)로 인증 데이터 요청(authentication data request) 메시지를 전송한다. 431 과정에서 HSS(141)는 새로운 PLMN 식별자에 기반하여 인증 벡터를 계산하게 되고, 433 과정에서와 같이 인증 데이터 응답(authentication data response) 과정을 통해서 랜덤 넘버인 RAND와 인증키인 KASME, 인증 토큰인 AUTN(authentication token : 이하 AUTN 이라 칭함)을 HSS(141)에서 target MME(114)로 전송하게 된다. 이후 target MME(114)는 441 과정에서와 같이 서빙 네트워크 식별자 즉, PLMN identity(네트웍 식별자)를 인증 요청(Authentication Request) 메시지에 포함하여 UE(110)로 전송하게 된다. 상기 인증 요청 메시지에는 네트웍 식별자 외에도 인증 벡터 중 일부인 AUTN과 난수 요구(random challenge : 이하 RAND라 칭함)가 더 포함된다. 443 과정에서 UE(110)는 인증 벡터를 검증하게 되고, target MME(114)로부터 전송받은 새로운 PLMN identity(네트웍 식별자)를 이용하여 인증키(KASME)를 계산하게 된다. 이후 445 과정에서 UE(110)는 인증 응답(Authentication response) 메시지를 target MME(114)로 전송하게 된다. 이때 UE(110)는 인증 응답 메시지를 target MME(114)로 보내면서 UE(110)에서 계산한 응답 매개 변수(RESPONSE : 이후 RES 라 칭함)를 포함하여 target MME(114)로 보내게 된다.
한편 target MME(114)에서는 인증 응답 메시지에 포함된 응답 매개 변수(RES)와 기대된 응답(Expected Response: 이하 XRES라 칭함)를 비교하여 target MME 자신이 인증 요구를 보낸 단말로부터 전송된 인증 응답인지 여부를 검증한다.
한편 또 다른 일 실시 예로 인증 경우 3(CASE 3)으로 도 4에서는 413 과정에서 핸드오버 명령(Handover command) 과정을 통해 eNB/RNC(133) 등에서 네트웍 식별자(PLMN identity) 등이 전달되지 않는 것을 전제로 하여 413 과정 이후의 과정을 설명하였으나, 413 과정에서 핸드오버 명령(Handover command) 과정을 통해 eNB/RNC(133) 등에서 네트웍 식별자(PLMN identity) 등이 전달되는 경우라면, 421 과정에서와 같이 UE(110) 에서 target MME(114)로 TAU request 메시지가 전송된 경우에도, target MME(114)와 UE(110)는 423 에서부터 441 까지의 과정을 거치지 않아도, 같은 PLMN 식별자를 가지게 됨으로써, target MME(114)에서 441 과정의 인증 요청(authentication request) 메시지를 전송하더라도 인증이나, 보안 과정, 그리고 이후 통신이 끊김없이 전송될 수 있다.
도 5는 본 발명의 또 다른 일 실시 예(인증 경우 2 :case 2) 에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도이다.
501 과정은 핸드오버 준비 과정이다. 501 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다.
한편 511 과정에서 source MME/SGSN(135) 는 source eNB/RNC(133)로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되었음을 알려주게 되고, 이후 513 과정에서 source eNB/RNC(133)은 UE(110)로 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)가 target eNB(112)로 핸드오버 명령을 내리게 된다. 515 과정에서 UE(110)가 target eNB(112)로 핸드오버를 완료하게 되면, 517 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시 지를 target MME(114)로 전송하게 되고, 이후 519 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 521 과정에서와 같이 이러한 핸드오버 실행 과정 중에 UE(110)는 TAU request 메시지를 target MME(114)로 보내게 된다. 523 과정에서 target MME(114)는 MME 자신의 PLMN 식별자와 UE(110)에서 보낸 정보 중의 PLMN 식별자를 비교해서 판단하게 된다. 이때 PLMN 식별자가 다른 경우는 target MME(114)는 541 과정에서와 같이 서빙 네트웍 식별자(Serving Network identity) 즉 PLMN identity(네트웍 식별자)이 다른 경우이므로 인증 요청(Authentication Request) 메시지를 521 과정에서의 TAU request 메시지에 대한 처리가 끝나기 전까지 UE(110)로 보내지 않는다.
도 6은 본 발명의 일 실시 예(SMC 경우 1 : case 1) 에 따른 PLMN 간 핸드오버시 SMC(보안 모드 명령) 과정의 절차를 나타낸 메시지 흐름도이다.
601 과정은 핸드오버 준비 과정이다. 601 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다.
한편 611 과정에서 source MME/SGSN(135)는 source eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되음을 알려주게 되고, 이후 613 과정에서 source eNB/RNC(133)는 UE(110) 로 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)는 target eNB(112)로 핸드오버 명령을 내리게 된다. 615 과정에서 UE(110)이 target eNB(112)로 핸드오버를 완료하게 되면 617 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시 지를 target MME(114)로 전송하게 된다. 이후 619 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 621 과정에서와 같이 이러한 핸드오버 실행 과정중에 UE(110)는 TAU request 메시지를 MME(114)로 보내게 된다. 623 과정에서 target MME(114)는 target MME 자신의 PLMN 식별자와 UE(110)에서 보낸 정보 중의 PLMN 식별자를 비교해서 판단하게 된다. 이때 PLMN 식별자가 다른 경우이면서, target MME(114)가 새로운 PLMN 식별자를 위한 인증키(KASME)를 인증 과정을 통해서 획득하여 가지고 있는 경우, 625 과정에서와 같이 target MME(114)는 이러한 새로운 인증키를 바탕으로 NAS 무결성키(KNASint) 와 NAS 암호화키(KNASenc)를 생성하게 된다. 이후 target MME(114)는 641 과정에서와 같이 서빙 네트웍 식별자(Serving Network identity) 즉 PLMN identity(네트웍 식별자)를 보안 모드 명령(SMC) 메시지에 포함하여 UE(110)로 전송하게 된다. 643 과정에서 UE(110)는 NAS 키 세트 식별자(key set identifier: 이하 eKSI 라 칭함)을 통해서 인증키를 찾게 되는데, 이때 새로 전송받은 PLMN 식별자 정보를 이용하여 해당 PLMN 식별자에 해당하는 eKSI를 통해, 인증키를 찾게 되고, 인증키로부터 NAS 무결성키(KNASint)와 NAS 암호화키(KNASenc)를 생성하게 된다. 이후 UE(110)는 645 과정에서 해당 NAS 무결성키 KNASint를 이용하여 NAS MAC(message authentication code)를 검증하게 된다. 검증에 성공하면 UE(110)는 647 과정에서와 같이 NAS 보안 모드 완 료(security mode complete) 메시지를 전송하게 된다.
한편 또 다른 일 실시 예로 SMC 경우 3(CASE 3)으로 도 6에서는 613 과정에서 핸드오버 명령(Handover command) 과정을 통해 eNB/RNC(133) 등에서 네트웍 식별자(PLMN identity) 등이 전달되지 않는 것을 전제로 하여 613 과정 이후의 과정을 설명하였으나, 613 과정에서 핸드오버 명령(Handover command) 과정을 통해 eNB/RNC(133) 등에서 네트웍 식별자(PLMN identity) 등이 전달되는 경우라면, 621 과정에서와 같이 UE(110)에서 target MME(114)로 TAU request 메시지가 전송된 경우에도, target MME(114)와 UE(110)는 623 과정부터 641 과정까지를 거치지 않아도, 같은 PLMN 식별자를 가지게 됨으로써, target MME(114)에서 641 과정의 보안 모드 명령(SMC) 메시지를 전송하더라도 인증이나, 보안 과정, 그리고 이후 통신이 끊김없이 전송될 수 있다.
도 7은 본 발명의 일 실시 예(SMC 경우 2 : case 2) 에 따른 PLMN 간 핸드오버시 SMC(보안 모드 명령) 과정의 절차를 나타낸 메시지 흐름도이다.
701 과정은 핸드오버 준비 과정이다. 701 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다.
한편 711 과정에서 source MME/SGSN(135)는 source eNB/RNC(133)로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 완료되었음을 알려주게 되고, 이후 713 과정에서 source eNB/RNC(133)는 UE(110)로 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)가 target eNB(112)로 핸드오버 명령을 내리게 된다. 715 과정에서 UE(110)가 target eNB(112)로 핸드오버하게 되 면, 717 과정에서 target eNB(112)는 핸드오버 알림(handover notify) 메시지를 target MME(114)로 전송하게 되고, 이후 719 과정에서 serving GW(116) 등의 변경이 있는 경우 베어러 변경 요청(modify bearer request) 과정이 target MME(114), serving GW(116), PDN GW(118) 등이 관여하여 수행된다. 721 과정에서와 같이 이러한 핸드오버 실행 과정 중에 UE(110)는 TAU request 메시지를 target MME(114)로 보내게 된다. 723 과정에서 target MME(114)는 target MME 자신의 PLMN 식별자와 UE(110)에서 보낸 정보 중의 PLMN 식별자를 비교해서 판단하게 된다. 이때 PLMN 식별자가 다른 경우이면서, target MME(114)가 새로운 PLMN 식별자를 위한 인증키(KASME)를 인증 과정을 통해서 획득하여 가지고 있는 경우 741 과정에서와 같이 target MME(114)는 이러한 새로운 인증키를 바탕으로 하는 보안 모드 명령(SMC) 메시지를 UE(110)로 해당 TAU request 메시지의 처리 이전에 전송하지 않는다.
도 8은 본 발명의 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 지원하기 위한 MME 의 동작을 나타낸 순서도이다.
801 과정에서 target MME(114)는 핸드오버 준비 과정을 수행한다. 801 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다. 803 과정에서 target MME(114)는 핸드오버 실행 과정 중에서 TAU request 메시지를 받기 전까지의 과정을 수행한다. 805 과정에서 target MME(114)는 네트웍 식별자(PLMN identity) 즉 서빙 네트웍 식별자(serving Network identity)를 판단하게 되는데, 이는 target MME(114)의 PLMN 식별자와 UE(110)가 보낸 TAU 메시지의 old GUTI 안의 PLMN 식별자를 비교할 수도 있고, 상기 target MME(114)의 PLMN 식별자와 UE(110)가 보낸 TAU 메시지 내의 최종 방문 트래킹 에어리어 식별자(last visited TAI)의 PLMN 식별자를 비교할 수도 있고 이외에도 비교 동작은 여러 방법에 의하여 실시 될 수 있다. 이러한 네트웍 식별자가 다른 경우에 하나의 방법(경우 2)은 target MME(114)는 811 과정에서와 같이 TAU 메시지에 대한 처리가 끝날 때까지는 UE(110)로 인증 요청 메시지를 보내지 않는 것이다. 또 다른 하나의 방법(경우 1)은 target MME(114)는 821 과정에서와 같이 UE(110)로 식별자 요청 메시지를 보내고, 식별자 응답 메시지를 받는다. 이후 823 과정에서와 같이 단말 식별자 정보를 이용하여 target MME(114)는 HSS(141)로 인증 데이터 요청 메시지를 보내고 응답으로 새로운 인증 벡터를 받아온다. 825 과정에서 target MME(114)는 인증 요청 메시지를 UE(110)로 보내면서, 서빙 네트웍 식별자(Serving network identity: SN identity) 즉 PLMN identity를 함께 보내게 되고, 이후 UE(110)로부터 841 과정에서와 같이 인증 응답 메시지를 받고 응답값을 검증하게 된다.
도 9는 본 발명의 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 지원하기 위한 UE 의 동작을 나타낸 순서도이다.
901 과정에서 UE(110) 는 핸드오버 준비 과정을 수행한다. 901 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다. 903 과정에서 UE(110)는 핸드오버 실행 과정 중에서 TAU request 메시지를 보내기 전까지의 과정을 수행한다. 921 과정에서 UE(110)는 target MME(114)로부터 식별자 요청 메시지를 받으면 이에 대한 응답으로 IMSI를 target MME(114)로 보내게 된다. 925 과정에서 UE(110)는 target MME(114)로부터 네트웍 식별자(PLMN identity) 즉 서빙 네트웍 식별자(serving Network identity)를 포함한 인증 요청 메시지를 받게 된다. 이후 931 과정에서와 같이 UE(110)는 인증 토큰을 검증하고, 응답값(RES)을 계산하고, 새로운 네트웍 식별자(PLMN identity 즉 Serving network identity)를 이용하여 인증키 KASME를 계산한다. 이후 941 과정에서 UE(110)는 target MME(114)로 인증 응답 메시지를 전송한다.
도 10은 본 발명의 실시 예에 따른 PLMN 간 핸드오버시 SMC 과정의 절차를 지원하기 위한 MME의 동작을 나타낸 순서도이다.
1001 과정에서 target MME(114)는 핸드오버 준비 과정을 수행한다. 1001 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다. 1003 과정에서 MME(114)는 핸드오버 실행 과정 중에서 TAU request 메시지를 받기 전까지의 과정을 수행한다. 1005 과정에서 target MME(114)는 네트웍 식별자(PLMN identity) 즉 서빙 네트웍 식별자(serving Network identity)를 판단하게 되는데, 이는 target MME(114)의 PLMN 식별자와 UE(110)가 보낸 TAU 메시지의 old GUTI 내의 PLMN 식별자를 비교하는 방법, target MME(114)의 PLMN 식별자와 TAU 메시지 내의 최종 방문 트래킹 에어리어 식별자(last visited TAI)의 PLMN 식별자를 비교하는 방법 이외에도 여러 방법에 의하여 실시 될 수 있다. 이러한 네트웍 식별자가 다른 경우에 하나의 방법(경우 2)은 target MME(114)는 1011 과정에서와 같이 TAU 메시지에 대한 처리가 끝날 때까지는 UE(110)로 보안 모드 명령 메시지를 보내지 않는 것이다. 또 다른 하나의 방법(경우 1)은 target MME(114)는 1021 과정에서와 같이 만일 새로운 인증 과정 등을 통해서 새로운 인증키 KASME 가 MME 에 있는 경우는 새로운 인증키를 이용하여 NAS 암호화키, NAS 무결성키를 생성한다. 이후 1025 과정에서 target MME(114)는 NAS SMC 메시지를 UE(110)로 보내면서 서빙 네트웍 식별자(Serving network identity: SN identity) 즉 PLMN identity를 함께 보내게 되고 이후 UE(110)로부터 1041 과정에서와 같이 보안 모드 완료 메시지를 받게 된다.
도 11은 본 발명의 실시 예에 따른 PLMN 간 핸드오버시 SMC 과정의 절차를 지원하기 위한 UE의 동작을 나타낸 순서도이다.
1101 과정에서 UE(110)는 핸드오버 준비 과정을 수행한다. 1101 과정은 301 과정은 상기 201 과정의 핸드오버 준비 과정과 동일하므로 그에 대한 상세한 설명을 생략하기로 한다. 1103 과정에서 UE(110)는 핸드오버 실행 과정 중에서 TAU request 메시지를 보내기 전까지의 과정을 수행한다. 1125 과정에서 UE(110)는 target MME(114)로부터 네트웍 식별자(PLMN identity) 즉 서빙 네트웍 식별자(serving Network identity)를 포함한 보안 모드 명령 메시지를 받게 된다. 이후 1131 과정에서와 같이 UE(110)는 eKSI에 색인된 인증키에 근거하여 NAS 무결성키, NAS 암호화키를 생성하되 이때 새로 전송 받은 PLMN 식별자에 해당하는 eKSI를 검색하도록 한다. 1133 과정에서 UE(110)는 상기의 NAS 무결성키를 이용하여 MAC(message authentication code)를 검증한다. 이후 1141 과정에서 UE(110)는 target MME(114)로 보안 모드 완료 메시지를 전송한다
상기의 도 4 내지 도 11에서 설명한 바와 같이 UE(110)와 이동 관리자(MME)가 동작하기 위해서는 하기 <표 1> 내지 <표 3>의 메시지 등이 지원되어야 하는 경우가 있다. 이에 하기에서 이를 설명하기로 한다.
하기 <표 1>은 본 발명에 따른 인증 요청(Authentication Request) 메시지의 형태를 나타낸 것이다. 하기의 메시지 형태는 도 4의 441 과정에서와 같이 target MME(114)에서 UE(110)로 보내질 때 이용되나, 하기 <표 1>의 메시지 형태로 국한되지 않는다. <표 1>에서의 PLMN 식별자에 대한 상세한 내용은 하기 <표 3>을 참조하기로 한다.
<표 1>
Figure 112009065912781-PAT00001
하기 <표 2>는 본 발명에 따른 보안 모드 명령(Security Mode Command) 메시지의 형태를 나타낸 것이다. 하기의 메시지 형태는 도 6의 641 과정에서 target MME(114)에서 UE(110)로 보내지는데 쓰이나, 하기 <표 2>의 메시지 형태로 국한되 지 않는다. <표 2>에서의 PLMN 식별자에 대한 상세한 내용은 하기 <표 3>을 참조하기로 한다.
<표 2>
Figure 112009065912781-PAT00002
하기 <표 3>은 본 발명에 따른 상기 <표 1>, <표 2>의 인증 요청 메시지, 보안 모드 명령(Security Mode Command) 메시지에 포함되어 PLMN identity에 대한 정보를 알려주는 PLMN identity IE(정보 요소 : Information element : 이하 IE 라 칭함)로써 UE(110)로 네트웍 식별자(PLMN identity)를 알려주기 위해 구체적으로 포함되어야 할 정보에 대해 알려주는 정보 요소이다. 또한 PLMN identity IE 는 하기 <표 3>과 같은 형태로 국한되지 않는다. PLMN identity 정보 요소는 type 3 정보 요소이며, 길이 4 옥텟(octets)을 가진다. MCC는 모바일 국가 코드(Mobile country code)로써 octet 2, octet 3를 bits 1 내지 4에 구성되며, MNC는 모바일 네트웍 코드(Mobile network code)로써 octet 4, octet 3를 bits 5 내지 8에 구성된다
<표 3>
Figure 112009065912781-PAT00003
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 PLMN 간 핸드 오버 및 보안 환경을 도시한 블록도,
도 2는 종래의 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도,
도 3은 종래 기술의 PLMN 간 핸드오버시 보안 모드 과정의 절차를 나타낸 메시지 흐름도,
도 4는 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도,
도 5는 본 발명의 또 다른 일 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 나타낸 메시지 흐름도,
도 6은 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 보안 모드 과정의 절차를 나타낸 메시지 흐름도,
도 7은 본 발명의 또 다른 일 실시 예에 따른 PLMN 간 핸드오버시 보안 모드 과정의 절차를 나타낸 메시지 흐름도,
도 8은 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 지원하기 위한 MME 동작 순서도,
도 9는 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 인증 과정의 절차를 지원하기 위한 UE 동작 순서도,
도 10은 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 보안 모드 과정 의 절차를 지원하기 위한 MME 동작 순서도,
도 11은 본 발명의 일 실시 예에 따른 PLMN 간 핸드오버시 보안모드 과정의 절차를 지원하기 위한 UE 동작 순서도.

Claims (11)

  1. 이동 통신 시스템에서의 이동 관리자(mobility management entity)에서 단말의 핸드오버시에 비접속 계층(non- Access Stratum) 프로토콜을 이용한 보안 관리 방법에 있어서,
    단말로부터 위치 갱신 요청 메시지를 수신하는 과정과,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정과,
    상기 식별자의 비교 결과에 따라 인증 요청 메시지의 전송 여부를 결정하는 과정을 포함하는 보안 관리 방법.
  2. 제1항에 있어서,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정은,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자가 같은 경우,
    상기 식별자를 단말로 요청해서 수신하고, 상기 수신된 식별자와 네트웍 식별자를 HSS(Home Subscriber Server)로 전송하는 과정과,
    상기 HSS로부터 새로운 인증키(KASME)와 인증 벡터를 수신하는 과정과,
    상기 인증 벡터와 네트웍 식별자가 포함된 인증 요청 메시지를 상기 단말로 전송하는 과정과,
    상기 단말로부터 상기 인증 요청 메시지에 대한 응답 메시지를 수신하는 과정을 더 포함하는 보안 관리 방법.
  3. 제1항에 있어서,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정은,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자가 다른 경우, 상기 단말로 상기 인증 요청 메시지를 전송하지 않는 과정을 더 포함하는 보안 관리 방법.
  4. 이동 통신 시스템에서의 단말에서 Inter PLMN 핸드오버시에 비접속 계층(non- Access Stratum) 프로토콜을 이용한 보안 관리 방법에 있어서,
    위치 갱신 요청 메시지를 이동 관리자(mobility management entity)로 전송하는 과정과,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 상기 이동 관리자가 갖고 있는 식별자의 비교 결과에 따라서 상기 이동 관리자로부터 인증 요청 메시지가 수신되는 과정을 포함하는 보안 관리 방법.
  5. 이동 통신 시스템에서의 이동 관리자(mobility management entity)에서 단말 의 핸드오버시에 비접속 계층(non- Access Stratum) 프로토콜을 이용한 보안 관리 방법에 있어서,
    단말로부터 위치 갱신 요청 메시지를 수신하는 과정과,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정과,
    상기 식별자의 비교 결과에 따라 상기 단말로 보안 모드 명령 메시지의 전송 여부를 결정하는 과정을 포함하는 보안 관리 방법.
  6. 제5항에 있어서,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정은,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자가 같은 경우,
    상기 새로운 인증키를 생성하고, 생성된 인증키로부터 새로운 NAS 암호화 키와 NAS 무결성 키를 생성하는 과정과,
    상기 네트웍 식별자와 함께 상기 새로운 NAS 암호화 키와 NAS 무결성 키가 포함된 상기 보안 모드 명령 메시지를 상기 단말로 전송하는 과정과,
    상기 단말로부터 상기 보안 모드 명령 메시지에 대한 응답 메시지를 수신하는 과정을 더 포함하는 보안 관리 방법.
  7. 제5항에 있어서,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자를 비교하는 과정은,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 자신의 식별자가 다른 경우, 상기 위치 갱신 요청 메시지에 대한 처리가 끝날 때까지 상기 단말로 상기 보안 모드 명령 메시지를 전송하지 않는 과정을 더 포함하는 보안 관리 방법.
  8. 이동 통신 시스템에서의 단말에서 핸드오버시에 비접속 계층(non- Access Stratum) 프로토콜을 이용한 보안 관리 방법에 있어서,
    위치 갱신 요청 메시지를 이동 관리자(mobility management entity)로 전송하는 과정과,
    상기 위치 갱신 요청 메시지에 포함된 식별자와 상기 이동 관리자가 갖고 있는 식별자의 비교 결과에 따라서 상기 이동 관리자로부터 보안 모드 명령 메시지가 수신되는 과정을 포함하는 보안 관리 방법.
  9. 제8항에 있어서,
    상기 이동 관리자로부터 상기 보안 모드 명령 메시지가 수신된 경우,
    상기 이동 관리자로부터 수신된 네트웍 식별자와 eKSI로 색인되는 인증키에 기초하여 새로운 NAS 암호화 키와 NAS 무결성 키를 생성하는 과정과,
    상기 NAS 무결성 키를 이용하여 상기 이동 관리자로부터 받은 메시지의 MAC 정보를 검증하는 과정과,
    상기 이동 관리자로 보안 모드 완료 메시지를 전송하는 과정을 포함하는 보안 관리 방법.
  10. 이동 통신 시스템에서의 단말에서 핸드오버시에 비접속 계층(non-Access Stratum) 프로토콜을 이용한 보안 관리 시스템에 있어서,
    위치 등록 갱신 중에 보안 모드 명령 메시지를 단말로 전송할 때 네트웍 식별자의 정보를 판단하고, 새로운 인증키가 생성된 경우 새로운 인증키를 가지고 새로운 NAS 암호화 키와 NAS 무결성 키를 생성하고, 상기 보안 모드 명령 메시지와 함께 네트웍 식별자를 함께 전송하는 이동 관리자와,
    상기 이동 관리자로부터 수신된 상기 보안 모드 명령 메시지에 네트웍 식별자가 포함되어 있을 경우 새로 부여된 네트웍 식별자와 eKSI를 가지고, 인증키(KASME)를 찾고 새로 찾거나 생성한 인증키에 기반하여 NAS 암호화 키와 NAS 무결성 키를 생성하고, NAS 무결성 키를 이용하여 상기 보안 모드 명령 메시지의 MAC을 검증하는 단말을 포함하는 보안 관리 시스템.
  11. 이동 통신 시스템에서의 단말에서 핸드오버시에 비접속 계층(non-Access Stratum) 프로토콜을 이용한 보안 관리 시스템에 있어서,
    위치 등록 갱신 중에 인증 요청 메시지를 단말로 전송할 때 네트웍 식별자를 함께 전송하는 이동 관리자와,
    상기 이동 관리자로부터 수신된 인증 요청 메시지에 네트웍 식별자가 포함된 경우, 인증 벡터를 검증하고, 인증 벡터 검증에 성공하면, 새로 부여받은 네트웍 식별자를 이용하여 인증키를 생성하는 단말을 포함하는 보안 관리 시스템.
KR1020090102501A 2009-10-27 2009-10-27 이동 통신 시스템에서 보안 관리 시스템 및 방법 KR101700448B1 (ko)

Priority Applications (13)

Application Number Priority Date Filing Date Title
KR1020090102501A KR101700448B1 (ko) 2009-10-27 2009-10-27 이동 통신 시스템에서 보안 관리 시스템 및 방법
US13/504,786 US8881237B2 (en) 2009-10-27 2010-10-27 Method and system for managing security in mobile communication system
PCT/KR2010/007430 WO2011052995A2 (en) 2009-10-27 2010-10-27 Method and system for managing security in mobile communication system
US14/532,421 US9131380B2 (en) 2009-10-27 2014-11-04 Method and system for managing security in mobile communication system
US14/844,737 US9271200B2 (en) 2009-10-27 2015-09-03 Method and system for managing security in mobile communication system
US14/876,514 US9392503B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,468 US9277463B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,489 US9271201B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,476 US9357443B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,521 US9282490B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,496 US9357444B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,490 US9392502B2 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system
US14/876,503 US9264949B1 (en) 2009-10-27 2015-10-06 Method and system for managing security in mobile communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090102501A KR101700448B1 (ko) 2009-10-27 2009-10-27 이동 통신 시스템에서 보안 관리 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20110045796A true KR20110045796A (ko) 2011-05-04
KR101700448B1 KR101700448B1 (ko) 2017-01-26

Family

ID=43922827

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090102501A KR101700448B1 (ko) 2009-10-27 2009-10-27 이동 통신 시스템에서 보안 관리 시스템 및 방법

Country Status (3)

Country Link
US (11) US8881237B2 (ko)
KR (1) KR101700448B1 (ko)
WO (1) WO2011052995A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130061517A (ko) * 2011-12-01 2013-06-11 주식회사 케이티 이동 통신 단말의 인증 장치 및 방법
KR20180067690A (ko) * 2015-11-17 2018-06-20 엘지전자 주식회사 무선 통신 시스템에서 확장된 아이들 모드 불연속 수신 활성화 지원 방법 및 이를 위한 장치
CN112087297A (zh) * 2019-06-14 2020-12-15 华为技术有限公司 一种获取安全上下文的方法、系统及设备

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8526945B2 (en) * 2011-03-31 2013-09-03 Alcatel Lucent Tracking and paging at boundries in LTE networks
US10080162B2 (en) * 2012-04-11 2018-09-18 Nokia Solutions And Networks Oy Network sharing and reverse single radio voice call continuity
MX341337B (es) * 2012-04-11 2016-06-16 Nokia Solutions & Networks Oy Reparto de red y continuidad de llamada de voz de radio unica inversa.
EP2675203B1 (en) * 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
CN103702327B (zh) * 2012-09-27 2018-11-16 中兴通讯股份有限公司 用户设备选择拜访公共陆地移动网络的方法、系统和设备
US9510130B2 (en) * 2013-05-28 2016-11-29 Gainspan Corporation Provisioning of multiple wireless devices by an access point
US9872164B2 (en) * 2013-09-04 2018-01-16 Lg Electronics Inc. Method for setting interface with mobility management entity of radio access device for providing services to user equipment by using cellular-based radio access technology and/or wireless LAN-based radio access technology
CN104780609B (zh) * 2014-01-15 2020-10-02 索尼公司 终端到终端资源分配方法、用户设备、基站和通信系统
JP6169780B2 (ja) 2014-03-07 2017-07-26 京セラ株式会社 通信制御方法及びネットワーク装置
WO2016011588A1 (zh) * 2014-07-21 2016-01-28 宇龙计算机通信科技(深圳)有限公司 移动管理实体、归属服务器、终端、身份认证系统和方法
KR102304147B1 (ko) * 2015-06-05 2021-09-23 콘비다 와이어리스, 엘엘씨 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
CN113271595B (zh) 2016-01-05 2022-03-08 华为技术有限公司 移动通信方法、装置及设备
US20210235269A1 (en) * 2016-04-19 2021-07-29 Nokia Solutions And Networks Oy Network authorization assistance
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
EP3550780B1 (en) * 2016-12-30 2021-04-14 Huawei Technologies Co., Ltd. Verification method and apparatus for key requester
CN115396886A (zh) * 2017-01-30 2022-11-25 瑞典爱立信有限公司 空闲模式期间5g中的安全性上下文处理的方法和装置
CN110235459B (zh) * 2017-01-30 2020-11-03 瑞典爱立信有限公司 用于重新建立无线电资源控制(rrc)连接的方法及装置
CN109587685B (zh) * 2017-05-04 2019-11-19 华为技术有限公司 获取密钥的方法、设备和通信系统
ES2969548T3 (es) 2017-09-15 2024-05-21 Ericsson Telefon Ab L M Contexto de seguridad en un sistema de comunicación inalámbrica
TWI657291B (zh) * 2018-03-14 2019-04-21 友達光電股份有限公司 背光模組
KR102440075B1 (ko) * 2019-01-15 2022-09-02 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 장치의 무선 액세스 능력
CN111417117B (zh) * 2019-04-29 2021-03-02 华为技术有限公司 切换的处理方法和装置
EP3984278A1 (en) * 2019-06-14 2022-04-20 Nokia Technologies Oy Method and apparatus for providing network triggered mobility between a stand-alone non-public network and a public land mobile network
CN110677853B (zh) * 2019-09-06 2023-04-11 京信网络系统股份有限公司 信令处理方法、装置、基站设备和存储介质
EP4024958A4 (en) * 2019-09-16 2022-08-17 Huawei Technologies Co., Ltd. DATA TRANSMISSION METHOD AND DEVICE

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070015770A (ko) * 2005-08-01 2007-02-06 엘지전자 주식회사 이종망간의 핸드오버 수행 및 제어방법
KR20080053069A (ko) * 2006-12-08 2008-06-12 한국전자통신연구원 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템
EP2018083A1 (en) * 2007-06-19 2009-01-21 Nokia Siemens Networks Oy Method and device for performing a handover and communication system comprising such device
US20090061878A1 (en) * 2007-08-12 2009-03-05 Lg Electronics Inc. Handover method with link failure recovery, wireless device and base station for implementing such method

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1860904A1 (en) * 2006-05-26 2007-11-28 Matsushita Electric Industrial Co., Ltd. Mobility management in communication networks
KR20090085640A (ko) * 2006-10-30 2009-08-07 인터디지탈 테크날러지 코포레이션 Lte 시스템에서 추적 영역 업데이트 및 셀 재선택을 구현하는 방법 및 장치
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
EP2007162A3 (en) * 2007-06-18 2011-11-16 Motorola Mobility, Inc. Non-3GPP IP access to E-UTRAN access inter-RAT handover
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US8626162B2 (en) * 2008-06-06 2014-01-07 Qualcomm Incorporated Registration and access control in femto cell deployments
CN102821382B (zh) * 2008-06-18 2015-09-23 上海华为技术有限公司 一种用于接入的装置
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
US8023944B2 (en) * 2008-09-29 2011-09-20 Via Telecom, Inc. Apparatus and method for performing attach procedure in mobile communication system
GB0819370D0 (en) * 2008-10-22 2008-11-26 Univ City Communications method & system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070015770A (ko) * 2005-08-01 2007-02-06 엘지전자 주식회사 이종망간의 핸드오버 수행 및 제어방법
KR20080053069A (ko) * 2006-12-08 2008-06-12 한국전자통신연구원 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템
EP2018083A1 (en) * 2007-06-19 2009-01-21 Nokia Siemens Networks Oy Method and device for performing a handover and communication system comprising such device
US20090061878A1 (en) * 2007-08-12 2009-03-05 Lg Electronics Inc. Handover method with link failure recovery, wireless device and base station for implementing such method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130061517A (ko) * 2011-12-01 2013-06-11 주식회사 케이티 이동 통신 단말의 인증 장치 및 방법
KR20180067690A (ko) * 2015-11-17 2018-06-20 엘지전자 주식회사 무선 통신 시스템에서 확장된 아이들 모드 불연속 수신 활성화 지원 방법 및 이를 위한 장치
CN112087297A (zh) * 2019-06-14 2020-12-15 华为技术有限公司 一种获取安全上下文的方法、系统及设备

Also Published As

Publication number Publication date
US9357444B2 (en) 2016-05-31
WO2011052995A3 (en) 2011-10-13
KR101700448B1 (ko) 2017-01-26
US9357443B2 (en) 2016-05-31
US9264949B1 (en) 2016-02-16
US20150056959A1 (en) 2015-02-26
US20160029258A1 (en) 2016-01-28
US8881237B2 (en) 2014-11-04
US9271200B2 (en) 2016-02-23
US9131380B2 (en) 2015-09-08
US20120210397A1 (en) 2012-08-16
US9392502B2 (en) 2016-07-12
US20160029256A1 (en) 2016-01-28
US20160037391A1 (en) 2016-02-04
US20160037392A1 (en) 2016-02-04
WO2011052995A2 (en) 2011-05-05
US9277463B2 (en) 2016-03-01
US20160029260A1 (en) 2016-01-28
US9392503B2 (en) 2016-07-12
US20150382253A1 (en) 2015-12-31
US9271201B2 (en) 2016-02-23
US20160029257A1 (en) 2016-01-28
US20160029259A1 (en) 2016-01-28
US20160037393A1 (en) 2016-02-04
US9282490B2 (en) 2016-03-08

Similar Documents

Publication Publication Date Title
KR101700448B1 (ko) 이동 통신 시스템에서 보안 관리 시스템 및 방법
CN108574969B (zh) 多接入场景中的连接处理方法和装置
US8780856B2 (en) Inter-system handoffs in multi-access environments
US8503391B2 (en) CS to IMS hand-back and hand-in for IMS systems for legacy CS UE with home node B access
US9357449B2 (en) Communication method in a mobile communication system and a system thereof
US20050130659A1 (en) Method for optimizing handover between communication networks
KR101201414B1 (ko) 네트워크에서의 위치 업데이트를 위한 방법, 시스템 및 장치
WO2011137823A1 (zh) 密钥隔离方法和装置
US20100118774A1 (en) Method for changing radio channels, composed network and access router
KR20100021690A (ko) 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
GRNT Written decision to grant