KR20120074234A - Method and apparatus for supproting security in muliticast communication - Google Patents
Method and apparatus for supproting security in muliticast communication Download PDFInfo
- Publication number
- KR20120074234A KR20120074234A KR1020110141886A KR20110141886A KR20120074234A KR 20120074234 A KR20120074234 A KR 20120074234A KR 1020110141886 A KR1020110141886 A KR 1020110141886A KR 20110141886 A KR20110141886 A KR 20110141886A KR 20120074234 A KR20120074234 A KR 20120074234A
- Authority
- KR
- South Korea
- Prior art keywords
- multicast
- security
- mtek
- key
- mobile station
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
Abstract
Description
본 발명은 멀티캐스트 통신에서의 보안 지원 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for supporting security in multicast communication.
멀티캐스트 통신은 복수의 사용자가 통화에 참여하는 그룹 통신 등에 사용된다. 그룹 통신에서는 동일한 하향링크 트래픽이 동시에 그룹 통신을 수행하는 그룹 내의 복수의 사용자에게 전송되므로, 그룹 통신의 데이터 전송을 위해 기지국과 그룹 통신에 참여하는 복수의 사용자는 멀티캐스트 연결을 사용할 수 있다.Multicast communication is used for group communication and the like in which a plurality of users participate in a call. In the group communication, since the same downlink traffic is transmitted to a plurality of users in the group performing the group communication at the same time, a plurality of users participating in the group communication with the base station can transmit a multicast connection for data transmission of the group communication.
기존의 보안 지원 방법은 유니캐스트 통신만 지원할 뿐 기지국과 복수의 사용자 사이의 멀티캐스트 통신을 지원하지 않으므로, 멀티캐스트 통신에 적합한 보안 지원 방법이 필요하다.Since the existing security support method supports only unicast communication but does not support multicast communication between a base station and a plurality of users, a security support method suitable for multicast communication is required.
본 발명이 이루고자 하는 과제는 멀티캐스트 통신을 지원할 수 있는 보안 지원 방법 및 장치를 제공하는 것이다.An object of the present invention is to provide a security support method and apparatus capable of supporting multicast communication.
본 발명의 한 실시예에 따르면, 이동국에서의 멀티캐스트 통신을 위한 보안 지원 방법이 제공된다. 상기 보안 지원 방법은. 기지국과 멀티캐스트 인증키(multicast authorization key, MAK)을 공유하는 단계, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하는 단계, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 멀티캐스트 트래픽 암호화 키(multicast traffic encryption key, MTEK)를 포함하는 멀티캐스트 보안 키를 도출하는 단계, 그리고 상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 복호화하는 단계를 포함한다.According to one embodiment of the present invention, a security support method for multicast communication at a mobile station is provided. The security support method. Sharing a multicast authorization key (MAK) with a base station, deriving a prekey based on a first parameter comprising the MAK, encrypting multicast traffic based on a second parameter comprising the prekey Deriving a multicast security key comprising a multicast traffic encryption key (MTEK), and decrypting multicast traffic using the multicast security key.
상기 제1 파라미터는 상기 이동국이 속한 멀티캐스트 그룹의 식별자를 더 포함할 수 있다.The first parameter may further include an identifier of the multicast group to which the mobile station belongs.
상기 제1 파라미터는 상기 기지국이 속한 멀티캐스트 그룹 존의 식별자를 더 포함할 수 있다. 이때, 상기 멀티캐스트 그룹 존은 적어도 하나의 기지국으로 이루어지는 기지국 집합을 포함할 수 있다.The first parameter may further include an identifier of a multicast group zone to which the base station belongs. In this case, the multicast group zone may include a base station set including at least one base station.
상기 보안 지원 방법은, 상기 MTEK의 유효 기간이 만료되기 전에 상기 기지국으로부터 상기 MTEK의 갱신 정보를 포함하는 메시지를 수신하는 단계, 상기 갱신 정보와 현재 정보를 비교하여서 상기 MTEK의 갱신 여부를 판단하는 단계, 그리고 상기 갱신 정보와 상기 현재 정보가 다르면, 상기 갱신 정보에 기초하여서 상기 MTEK을 갱신하는 단계를 더 포함할 수 있다.The security support method may include receiving a message including update information of the MTEK from the base station before the validity period of the MTEK expires, and determining whether to update the MTEK by comparing the update information with current information. And if the update information is different from the current information, updating the MTEK based on the update information.
상기 이동국은 상기 갱신 정보와 상기 현재 정보가 동일하면 현재의 MTEK을 유지할 수 있다.The mobile station may maintain a current MTEK if the update information and the current information are the same.
상기 갱신 정보는 암호화 키 일련 번호 또는 MTEK을 도출하는 데 사용되는 카운터 값 중 적어도 하나를 포함할 수 있다.The update information may include at least one of an encryption key serial number or a counter value used to derive the MTEK.
상기 갱신 정보는 MTEK의 유효 기간을 더 포함할 수 있다.The update information may further include an expiration date of the MTEK.
상기 보안 지원 방법은, 상기 기지국으로부터 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 수신하는 단계, 그리고 상기 갱신 정보에 기초하여 상기 멀티캐스트 보안 키를 갱신하는 단계를 더 포함할 수 있다. 이때, 상기 갱신 정보는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 식별자와 상기 멀티캐스트 그룹 내의 플로우 식별자 또는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 연결 식별자를 포함할 수 있다.The security support method may further include receiving a message including update information of the multicast security key from the base station, and updating the multicast security key based on the update information. In this case, the update information may include an identifier of the multicast group to which the multicast security key is to be updated, a flow identifier within the multicast group, or a connection identifier of the multicast group to which the multicast security key is to be updated.
본 발명의 다른 실시예에 따르면, 기지국에서의 멀티캐스트 통신을 위한 보안 지원 방법이 제공된다. 상기 보안 지원 방법은, 제1 이동국과 MAK를 공유하는 단계, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하는 단계, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 MTEK을 포함하는 멀티캐스트 보안 키를 도출하는 단계, 그리고 상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 암호화하는 단계를 포함한다.According to another embodiment of the present invention, a security support method for multicast communication at a base station is provided. The security support method includes: sharing a MAK with a first mobile station, deriving a prekey based on a first parameter including the MAK, and multicast including a MTEK based on a second parameter including the freekey Deriving a security key, and encrypting multicast traffic using the multicast security key.
상기 제1 파라미터는 상기 제1 이동국이 속한 멀티캐스트 그룹의 식별자를 더 포함할 수 있다.The first parameter may further include an identifier of the multicast group to which the first mobile station belongs.
상기 제1 파라미터는 상기 기지국이 속한 멀티캐스트 그룹 존의 식별자를 더 포함할 수 있다. 이때, 상기 멀티캐스트 그룹 존은 적어도 하나의 기지국으로 이루어지는 기지국 집합을 포함할 수 있다.The first parameter may further include an identifier of a multicast group zone to which the base station belongs. In this case, the multicast group zone may include a base station set including at least one base station.
상기 보안 지원 방법은, 상기 MTEK의 유효 기간이 만료되기 전에 상기 제1 이동국으로 상기 MTEK의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함할 수 있다. 이때, 상기 갱신 정보와 상기 제1 이동국의 현재 정보와 비교되어서 상기 MTEK의 갱신 여부의 판단에 사용될 수 있다.The security support method may further include transmitting a message including update information of the MTEK to the first mobile station before the validity period of the MTEK expires. In this case, the update information may be compared with the current information of the first mobile station and used to determine whether the MTEK is updated.
상기 갱신 정보는 암호화 키 일련 번호 또는 MTEK을 도출하는 데 사용되는 카운터 값 중 적어도 하나를 포함할 수 있다.The update information may include at least one of an encryption key serial number or a counter value used to derive the MTEK.
상기 갱신 정보는 MTEK의 유효 기간을 더 포함할 수 있다.The update information may further include an expiration date of the MTEK.
상기 보안 지원 방법은, 상기 제1 이동국으로 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함할 수 있다. 이때, 상기 갱신 정보는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 식별자와 상기 멀티캐스트 그룹 내의 플로우 식별자 또는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 연결 식별자를 포함할 수 있다.The security support method may further include transmitting a message including update information of the multicast security key to the first mobile station. In this case, the update information may include an identifier of the multicast group to which the multicast security key is to be updated, a flow identifier within the multicast group, or a connection identifier of the multicast group to which the multicast security key is to be updated.
상기 보안 지원 방법은, 제2 이동국을 상기 제1 이동국이 속한 멀티캐스트 그룹에 가입시키는 단계, 상기 제2 이동국으로 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계, 그리고 상기 멀티캐스트 그룹에 속한 다른 이동국으로 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함할 수 있다.The security support method includes: subscribing a second mobile station to a multicast group to which the first mobile station belongs, transmitting a message including update information of a multicast security key to the second mobile station, and the multicast group The method may further include transmitting a message including update information of the multicast security key to another mobile station belonging to the mobile station.
상기 보안 지원 방법은, 상기 제1 이동국과 상기 멀티캐스트 그룹의 탈퇴 절차를 진행하는 단계, 그리고 상기 멀티캐스트 그룹에 속한 다른 이동국으로 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함할 수 있다.The security support method may further include performing a withdrawal procedure of the multicast group with the first mobile station, and transmitting a message including update information of a multicast security key to another mobile station belonging to the multicast group. It may include.
본 발명의 또 다른 실시예에 따르면, 멀티캐스트 통신을 위한 보안 지원 장치가 제공된다. 상기 보안 지원 장치는, 기지국과 MAK를 공유하고, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하며, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 MTEK을 포함하는 멀티캐스트 보안 키를 도출하는 보안 키 생성부, 그리고 상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 복호화하는 암호화/복호화부를 포함한다.According to another embodiment of the present invention, a security support apparatus for multicast communication is provided. The security support apparatus shares a MAK with a base station, derives a prekey based on a first parameter including the MAK, and derives a multicast security key including a MTEK based on a second parameter including the freekey. A security key generation unit, and an encryption / decryption unit that decrypts the multicast traffic using the multicast security key.
본 발명의 또 다른 실시예에 따른 멀티캐스트 통신을 위한 보안 지원 장치는, 이동국과 MAK를 공유하고, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하며, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 MTEK을 포함하는 멀티캐스트 보안 키를 도출하는 보안 키 생성부, 그리고 상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 암호화하는 암호화/복호화부를 포함한다.According to another embodiment of the present invention, a security support apparatus for multicast communication includes sharing a MAK with a mobile station, deriving a prekey based on a first parameter including the MAK, and a second parameter including the prekey. And a security key generation unit for deriving a multicast security key including the MTEK, and an encryption / decryption unit for encrypting multicast traffic using the multicast security key.
본 발명의 한 실시예에 따르면, 이동국과 기지국이 공유하는 멀티캐스트 보안 키를 사용하여서 멀티캐스트 통신에서 보안을 지원할 수 있다.According to one embodiment of the present invention, it is possible to support security in multicast communication by using a multicast security key shared by the mobile station and the base station.
본 발명의 다른 실시예에 따르면, 멀티캐스트 통신에서 멀티캐스트 보안 키의 갱신이 필요한 경우 이동국과 기지국이 갱신된 멀티캐스트 보안 키를 공유할 수 있다.According to another embodiment of the present invention, when the multicast security key needs to be updated in multicast communication, the mobile station and the base station can share the updated multicast security key.
본 발명의 또 다른 실시예에 따르면, 유효 기간이 만료되기 전이라도 멀티캐스트 보안 키를 갱신할 수 있으며, 또한 기지국이 갱신을 요청하더라도 갱신이 필요 없는 경우에는 이동국이 멀티캐스트 보안 키를 갱신하지 않을 수도 있다.According to another embodiment of the present invention, the multicast security key can be renewed even before the expiration date expires, and the mobile station will not renew the multicast security key if it is not necessary even if the base station requests the renewal. It may be.
도 1 내지 도 3은 각각 본 발명의 실시예에 따른 멀티캐스트 통신 시스템을 개략적으로 나타내는 도면이다.
도 4는 본 발명의 한 실시예에 따른 보안 지원 방법을 나타내는 도면이다.
도 5 내지 도 10은 본 발명의 실시예에 따른 보안 지원 방법에서의 멀티캐스트 보안 키 갱신 절차를 나타내는 도면이다.
도 11 및 도 12는 각각 본 발명의 실시예에 따른 보안 지원 장치의 블록도이다.1 to 3 are diagrams schematically showing a multicast communication system according to an embodiment of the present invention.
4 is a diagram illustrating a security support method according to an embodiment of the present invention.
5 to 10 are diagrams illustrating a multicast security key update procedure in a security support method according to an embodiment of the present invention.
11 and 12 are block diagrams of a security support apparatus according to an embodiment of the present invention, respectively.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
명세서 전체에서, 이동국(mobile station, MS)은 단말(terminal), 이동 단말(mobile terminal, MT), 이동국(mobile station, MS), 진보된 이동국(advanced mobile station, AMS), 고신뢰성 이동국(high reliability mobile station, HR-MS), 가입자국(subscriber station, SS), 휴대 가입자국(portable subscriber station, PSS), 접근 단말(access terminal, AT), 사용자 장비(user equipment, UE) 등을 지칭할 수도 있고, 단말, MT, AMS, HR-MS, SS, PSS, AT, UE 등의 전부 또는 일부의 기능을 포함할 수도 있다.Throughout the specification, a mobile station (MS) is a terminal, a mobile terminal (MT), a mobile station (MS), an advanced mobile station (AMS), a high reliability mobile station (high). It may refer to a reliability mobile station (HR-MS), a subscriber station (SS), a portable subscriber station (PSS), an access terminal (AT), a user equipment (UE), or the like. It may also include all or part of the functions of the terminal, MT, AMS, HR-MS, SS, PSS, AT, UE and the like.
또한, 기지국(base station, BS)은 진보된 기지국(advanced base station, ABS), 고신뢰성 기지국(high reliability base station, HR-BS), 노드B(node B), 고도화 노드B(evolved node B, eNodeB), 접근점(access point, AP), 무선 접근국(radio access station, RAS), 송수신 기지국(base transceiver station, BTS), MMR(mobile multihop relay)-BS, 기지국 역할을 수행하는 중계기(relay station, RS), 기지국 역할을 수행하는 고신뢰성 중계기(high reliability relay station, HR-RS) 등을 지칭할 수도 있고, ABS, 노드B, eNodeB, AP, RAS, BTS, MMR-BS, RS, HR-RS 등의 전부 또는 일부의 기능을 포함할 수도 있다.In addition, a base station (BS) may be an advanced base station (ABS), a high reliability base station (HR-BS), a node B (node B), an advanced node B (evolved node B, eNodeB), access point (AP), radio access station (RAS), base transceiver station (BTS), mobile multihop relay (MMR) -BS, relay serving as a base station station, RS), a high reliability relay (HR-RS) serving as a base station, etc., and may also refer to ABS, Node B, eNodeB, AP, RAS, BTS, MMR-BS, RS, HR. It may include all or part of functions such as -RS.
도 1은 본 발명의 한 실시예에 따른 멀티캐스트 통신 시스템을 나타내는 도면이다.1 is a diagram illustrating a multicast communication system according to an embodiment of the present invention.
도 1을 참고하면, 기지국(110)은 복수의 이동국을 포함하는 멀티캐스트 그룹(120)에 멀티캐스트 통신을 제공하기 위해서 해당 멀티캐스트 그룹(120)에 할당된 멀티캐스트 그룹 식별자(identifier, ID)를 사용한다. 멀티캐스트 그룹 ID는 기지국(110) 내에서 유일하게 할당되고 유한한 크기를 가지며, 할당된 자원을 해당 멀티캐스트 그룹에게 알리는 식별자로 사용된다. 서로 다른 멀티캐스트 그룹(120, 130, 140)은 서로 다른 멀티캐스트 그룹 ID(MGID_A, MGID_B, MGID_C)를 가진다.Referring to FIG. 1, the
기지국(110)은 멀티캐스트 그룹 ID와 별도로 연결을 구별하기 위한 플로우 식별자(flow identifier, FID)를 사용한다. 기지국(110)은 각 멀티캐스트 그룹 ID에 FID를 할당하여서 멀티캐스트 그룹 내에서 연결, 즉 서비스 플로우를 유일하게 식별할 수 있다. FID는 멀티캐스트 그룹 내에서 신호 또는 트래픽 연결을 식별하기 위한 식별자이므로, 멀티캐스트 그룹의 특정 연결은 멀티캐스트 그룹 ID와 FID의 조합에 의해 기지국(110) 내에서 식별될 수 있다. 즉, 기지국(110)은 멀티캐스트 그룹(120)에 멀티캐스트 서비스를 제공하기 위해서 멀티캐스트 그룹 ID와 FID를 사용한다. 이때, 서로 다른 멀티캐스트 그룹(120, 130, 140) 내에서는 동일한 FID(FID0 또는 FID1)가 사용될 수도 있다.The
도 2는 본 발명의 다른 실시예에 따른 멀티캐스트 통신 시스템을 나타내는 도면이다.2 is a diagram illustrating a multicast communication system according to another embodiment of the present invention.
도 2를 참고하면, 기지국(210)은 복수의 이동국을 포함하는 멀티캐스트 그룹(220)에 멀티캐스트 서비스를 제공하기 위해서 해당 멀티캐스트 서비스에 할당된 멀티캐스트 그룹 연결 식별자(connection identifier, CID)를 사용한다. 멀티캐스트 CID는 기지국(210)에서 연결(서비스 플로우)을 식별하기 위하여 유일하게 할당되고 유한한 크기를 가진다. 서로 다른 멀티캐스트 그룹(220, 230, 240)에서는 서로 다른 멀티캐스트 그룹 CID(MGCID0, MGCID1, MGCID2, MGCID3, MGCID4, MGCID5)가 사용된다. 멀티캐스트 서비스에 할당된 멀티캐스트 자원은 멀티캐스트 그룹 CID를 통해 멀티캐스트 그룹에 알릴 수 있다.Referring to FIG. 2, the
도 3을 참고하면, 발명의 한 실시예에 따른 그룹 통신 시스템에서는 적어도 하나의 기지국으로 이루어진 기지국 집합에 의해 멀티캐스트 그룹 존(multicast group zone)이 정의되고, 멀티캐스트 그룹 존에는 유일한 멀티캐스트 그룹 존 ID가 할당된다. 멀티캐스트 그룹 존에서, 복수의 기지국은 임의의 서비스 플로우의 데이터를 전송하기 위해서 동일한 멀티캐스트 그룹 ID와 FID(도 1의 실시예) 또는 동일한 멀티캐스트 그룹 CID(도 2의 실시예)를 사용한다. 따라서 이동국이 이미 멀티캐스트 서비스를 위해 기지국에 등록하였다면, 이동국이 동일한 멀티캐스트 그룹 존 내의 다른 기지국으로 이동하더라도 다른 기지국과의 등록 과정 없이 멀티캐스트 서비스를 끊임없이(seamlessly) 제공받을 수 있다. 그리고 이동국이 다른 멀티캐스트 그룹 존에서 동일한 멀티캐스트 서비스를 제공하는 기지국으로 이동하는 경우, 이동국은 서비스 플로우 관련 파라미터를 갱신함으로써 멀티캐스트 서비스를 계속 제공받을 수 있다.Referring to FIG. 3, in a group communication system according to an embodiment of the present invention, a multicast group zone is defined by a base station set including at least one base station, and a multicast group zone is unique to the multicast group zone. ID is assigned. In a multicast group zone, multiple base stations use the same multicast group ID and FID (the embodiment of FIG. 1) or the same multicast group CID (the embodiment of FIG. 2) to transmit data of any service flow. . Accordingly, if the mobile station has already registered with the base station for the multicast service, even if the mobile station moves to another base station in the same multicast group zone, the mobile station can seamlessly receive the multicast service without registering with the other base station. If the mobile station moves to a base station providing the same multicast service in another multicast group zone, the mobile station can continue to receive the multicast service by updating a service flow related parameter.
단일 기지국으로 멀티캐스트 그룹 존이 정의되는 경우, 단일 기지국은 다른 기지국과 독립적으로 멀티캐스트 서비스를 제공하기 위한 멀티캐스트 그룹 CID를 사용한다.When a multicast group zone is defined as a single base station, the single base station uses a multicast group CID for providing a multicast service independently of other base stations.
다음 이러한 멀티캐스트 서비스의 보안 지원 방법에 대해서 도 4 내지 도 10을 참고로 하여서 상세하게 설명한다.Next, the security support method of the multicast service will be described in detail with reference to FIGS. 4 to 10.
도 4는 본 발명의 한 실시예에 따른 보안 지원 방법을 나타내는 도면이다.4 is a diagram illustrating a security support method according to an embodiment of the present invention.
도 4를 참고하면, 기지국과 멀티캐스트 그룹에 속한 복수의 이동국은 멀티캐스트 통신의 보안을 위해서 멀티캐스트 CMAC(MCMAC) 키와 멀티캐스트 TEK(MTEK)을 포함하는 멀티캐스트 특정 키를 관리한다. 여기서 CMAC은 암호 기반 메시지 인증 코드(cipher-based message authentication code)를, TEK은 트래픽 암호화 키(traffic encryption key)를 의미한다.Referring to FIG. 4, a base station and a plurality of mobile stations belonging to a multicast group manage a multicast specific key including a multicast CMAC (MCMAC) key and a multicast TEK (MTEK) to secure multicast communication. Here, CMAC means cipher-based message authentication code, and TEK means traffic encryption key.
먼저, 기지국과 각 이동국은 멀티캐스트 인증키(multicast authorization key, MAK)를 공유한다(S410). MAK는 멀티캐스트 그룹 내에서 유일한 키로 복수의 이동국에 의해 공유될 수 있다. 또한 MAK는 멀티캐스트 그룹뿐만 아니라 멀티캐스트 그룹 존 내에서도 유일할 수 있다. 멀티캐스트 그룹 존이 변경되거나 이동국이 멀티캐스트 그룹 존을 월경하는 경우, 이동국은 MAK를 갱신할 수 있다. First, the base station and each mobile station share a multicast authorization key (MAK) (S410). The MAK can be shared by multiple mobile stations with a unique key within the multicast group. A MAK can also be unique within a multicast group zone as well as a multicast group. If the multicast group zone is changed or the mobile station crosses the multicast group zone, the mobile station can update the MAK.
기지국과 각 이동국은 MAK으로부터 MCMAC과 MTEK을 위한 프리키(prekey), 즉 MCMAC-MTEK 프리키를 도출한다(S420). 예를 들면 수학식 1과 같이 MCMAC-MTEK 프리키는 MAK, MAK_COUNT 및 MCMAC-MTEK 프리키의 길이(160 비트)를 사용하여 도출될 수 있다. 여기서 MAK_COUNT는 멀티캐스트 서비스 동안 핸드오버, 네트워크 재진입, 위치 갱신, 영역 변경 등에 대해서 다른 MCMAC 키와 MTEK을 보장하기 위해서 사용되는 카운터(counter)이다. 수학식 1과 달리, 수학식 2처럼 MCMAC-MTEK 프리키를 도출할 때 멀티캐스트 그룹 ID(MGID)가 추가로 사용될 수도 있다. 또는 수학식 3 및 4처럼 MCMAC-MTEK 프리키를 도출할 때 MGID뿐만 아니라 멀티캐스트 그룹 존 ID(MGZoneID)를 추가로 사용할 수도 있다. 또는 수학식 3및 4에서 멀티캐스트 그룹 존 ID(MGZoneID) 대신에 각 비트가 특정 값으로 설정된 파라미터가 사용될 수도 있다.The base station and each mobile station derive a prekey for the MCMAC and MTEK from the MAK, that is, the MCMAC-MTEK prekey (S420). For example, as shown in Equation 1, the MCMAC-MTEK prekey may be derived using the length (160 bits) of the MAK, MAK_COUNT and MCMAC-MTEK prekeys. Here, MAK_COUNT is a counter used to guarantee different MCMAC keys and MTEK for handover, network reentry, location update, area change, etc. during multicast service. Unlike Equation 1, a multicast group ID (MGID) may be additionally used when deriving the MCMAC-MTEK prekey as shown in Equation 2. Alternatively, the multicast group zone ID (MGZoneID) may be additionally used as well as the MGID when deriving the MCMAC-MTEK prekey as shown in Equations 3 and 4. Alternatively, instead of the multicast group zone ID (MGZoneID) in Equations 3 and 4, a parameter in which each bit is set to a specific value may be used.
[수학식 1][Equation 1]
MCMAC-MTEK prekey = Dot16KDF(MAK, MAK_COUNT|"MCMAC-MTEK prekey", 160)MCMAC-MTEK prekey = Dot16KDF (MAK, MAK_COUNT | "MCMAC-MTEK prekey", 160)
[수학식 2][Equation 2]
MCMAC-MTEK prekey = Dot16KDF(MAK, MAK_COUNT|MGID|"MCMAC-MTEK prekey", 160)MCMAC-MTEK prekey = Dot16KDF (MAK, MAK_COUNT | MGID | "MCMAC-MTEK prekey", 160)
[수학식 3]&Quot; (3) "
MCMAC-MTEK prekey = Dot16KDF(MAK, MAK_COUNT|MGID|MGZoneID|"MCMAC-MTEK prekey", 160)MCMAC-MTEK prekey = Dot16KDF (MAK, MAK_COUNT | MGID | MGZoneID | "MCMAC-MTEK prekey", 160)
[수학식 4]&Quot; (4) "
MCMAC-MTEK prekey = Dot16KDF(MAK, MAK_COUNT|MGID^MGZoneID|"MCMAC-MTEK prekey", 160)MCMAC-MTEK prekey = Dot16KDF (MAK, MAK_COUNT | MGID ^ MGZoneID | "MCMAC-MTEK prekey", 160)
수학식 1 내지 4 및 아래에서 설명하는 수학식에서, Dot16KDF는 키(key), 문자열(astring) 및 키 길이(key length)를 입력으로 가지는 함수로서, 예를 들면 IEEE Std 802.16-2009에 정의된 Dot16KDF 함수일 수 있다.In Equations 1 to 4 and Equations described below, Dot16KDF is a function having as input a key, astring, and key length, for example, Dot16KDF as defined in IEEE Std 802.16-2009. It can be a function.
다음, 기지국과 각 이동국은 MCMAC-MTEK 프리키로부터 MCMAC 키와 복수의 MTEK을 도출한다(S430). MCMAC 키와 MTEK은 새로운 MAK이 도출되거나 새로운 MAK_COUNT가 사용될 때마다 생성될 수 있다. 그리고 멀티캐스트 통신의 특성에 따라 하향링크를 위한 MCMAC 키(MCMAC_KEY_D)만 생성될 수 있다. 예를 들면 수학식 5와 같이 MCMAC 키는 MCMAC-MTEK 프리키 및 MCMAC-MTEK 프리키의 길이(128 비트)를 사용하여 도출될 수 있으며, 수학식 6과 같이 각 MTEK(MTEKi)은 MCMAC-MTEK 프리키, 멀티캐스트 보안 연합 식별자(multicast security association ID, MSAID) 및 MTEK의 길이(128 비트)를 사용하여 도출될 수 있다. 여기서, 보안 연합(security association, SA)은 기지국과 이동국 사이의 보안 통신을 위해 요구되는 정보의 집합이다. 멀티캐스트 보안 연합(MSA)는 멀티캐스트 수송(transport)/제어 플로우를 위한 SA로 기지국과 이동국에 의해 공유된다. MSAID는 MSA를 식별하는 ID이다.Next, the base station and each mobile station derives the MCMAC key and the plurality of MTEKs from the MCMAC-MTEK prekey (S430). The MCMAC key and MTEK can be generated whenever a new MAK is derived or a new MAK_COUNT is used. According to the characteristics of the multicast communication, only the MCMAC key (MCMAC_KEY_D) for downlink may be generated. For example, as shown in Equation 5, the MCMAC key may be derived using the length (128 bits) of the MCMAC-MTEK prekey and the MCMAC-MTEK prekey.Each MTEK (MTEKi) may be derived from the MCMAC-MTEK prekey, It can be derived using a multicast security association ID (MSAID) and the length (128 bits) of the MTEK. Here, a security association (SA) is a set of information required for secure communication between a base station and a mobile station. Multicast security associations (MSAs) are shared by base stations and mobile stations as SAs for multicast transport / control flows. MSAID is an ID that identifies the MSA.
[수학식 5][Equation 5]
MCMAC_KEY_D = Dot16KDF(MCMAC-MTEK prekey, "MCMAC_KEYS", 128)MCMAC_KEY_D = Dot16KDF (MCMAC-MTEK prekey, "MCMAC_KEYS", 128)
[수학식 6]&Quot; (6) "
MTEKi = Dot16KDF(MCMAC-MTEK prekey, MSAID|COUNTER_MTEK=i|"MTEK", 128)MTEKi = Dot16KDF (MCMAC-MTEK prekey, MSAID | COUNTER_MTEK = i | "MTEK", 128)
기지국과 각 이동국은 생성한 MCMAC 키 및/또는 MTEK을 이용하여 멀티캐스트 트래픽을 암호화 또는 복호화한다(S440).The base station and each mobile station encrypts or decrypts the multicast traffic using the generated MCMAC key and / or MTEK (S440).
도 4에서는 하향링크 MCMAC 키(MCMAC_KEY_D)만 생성되는 것으로 설명하였지만, 상향링크 멀티캐스트 트래픽이 존재하는 멀티캐스트 통신의 경우, 상향링크 MCMAC 키가 생성될 수도 있다.In FIG. 4, only the downlink MCMAC key MCMAC_KEY_D is generated, but in the case of multicast communication in which uplink multicast traffic exists, an uplink MCMAC key may be generated.
다음, 멀티캐스트 보안 키와 관련된 파라미터의 집합인 멀티캐스트 보안 콘텍스트에 대해서 표 1 내지 표 3을 참고로 하여 설명한다.Next, a multicast security context which is a set of parameters related to a multicast security key will be described with reference to Tables 1 to 3.
MAK 콘텍스트는 MAK와 관련된 파라미터를 포함하며, 새로운 MAK가 도출될 때마다 생성된다. MAK 콘텍스트는 예를 들면 표 1과 같은 파라미터를 포함할 수 있다.The MAK context contains the parameters associated with the MAK and is created each time a new MAK is derived. The MAK context may include, for example, the parameters shown in Table 1.
MCMAC_PN_D의 최초 값은 0이고, MAK_COUNT가 증가할 때마다 MCMAC_PN_D의 값은 0으로 리셋된다. It is used to avoid DL replay attacks on the control connection before this key expires and requires revalidation.
The initial value of MCMAC_PN_D is 0, and the value of MCMAC_PN_D is reset to 0 whenever MAK_COUNT is increased.
도출 후에 1씩 증가함Counter value to be used in the next MTEK derivation
Increases by 1 after derivation
MSA 콘텍스트는 각 MSA에 의해 관리되는 파라미터이며, MTEK 콘텍스트 및 MSA 자체에 속하는 추가적인 정보를 포함한다. 예를 들면 MTEK 콘텍스트는 표 2와 같은 파라미터를 포함할 수 있다.The MSA context is a parameter managed by each MSA and contains additional information pertaining to the MTEK context and the MSA itself. For example, the MTEK context may include the parameters shown in Table 2.
MTEK 콘텍스트는 단일 MTEK와 관련된 파라미터를 포함하며, 예를 들면 표 3과 같은 파라미터를 포함할 수 있다.The MTEK context includes parameters associated with a single MTEK, and may include, for example, the parameters shown in Table 3.
각 MAC PDU 전송 후에, 이 값은 1씩 증가됨 Packet number (PN) used to encrypt DL packets
After each MAC PDU transmission, this value is increased by one.
이와 같이 본 발명의 실시예에 따르면, 이동국과 기지국이 공유하는 멀티캐스트 보안 키를 사용하여서 멀티캐스트 통신에서 보안을 지원할 수 있다.As described above, according to the embodiment of the present invention, it is possible to support security in multicast communication by using a multicast security key shared by the mobile station and the base station.
다음 멀티캐스트 보안 키의 갱신 절차에 대해서 도 5 내지 도 10을 참고로 하여 상세하게 설명한다.Next, a procedure for updating a multicast security key will be described in detail with reference to FIGS. 5 to 10.
도 5 내지 도 10은 본 발명의 실시예에 따른 보안 지원 방법에서의 멀티캐스트 보안 키 갱신 절차를 나타내는 도면이다.5 to 10 are diagrams illustrating a multicast security key update procedure in a security support method according to an embodiment of the present invention.
도 5를 참고하면, 한 실시예에 따르면, 멀티캐스트 보안 키를 갱신하고 하는 경우, 기지국(51)은 멀티캐스트 그룹 내의 이동국에 보안 키 갱신을 알리는 페이징(paging)을 전송한다(S510). 이동국(52)은 페이징에 대한 응답으로 멀티캐스트 보안 키 갱신을 위한 레인징 요청(ranging request, RNG-REQ) 메시지를 기지국(51)으로 전송한다(S520). 기지국(51)은 RNG-REQ 메시지에 대한 응답으로 멀티캐스트 보안 키 갱신 정보를 포함하는 레인징 응답(ranging response, RNG-RSP) 메시지를 이동국(52)으로 전송한다(S530). 또한 페이징된 이동국(52)은 휴지 모드에서 RNG-REQ 및 RNG-RSP 메시지를 통해 위치 갱신(location update)를 수행할 수 있다.Referring to FIG. 5, when updating a multicast security key, the
도 6을 참고하면, 다른 실시예에 따르면 이동국(62)이 네트워크에 재진입한 후에(S610), 기지국(61)은 멀티캐스트 보안 키 갱신 정보를 포함하는 키 갱신 메시지를 이동국(62)에 전송한다(S620). 이에 따라 이동국(52)은 멀티캐스트 보안 키를 갱신할 수 있다. 이때 키 갱신 메시지는 예를 들면 프라이버스 키 관리 응답(privacy key management response, PKM-RSP) 메시지일 수 있다. 키 갱신 메시지는 멀티캐스트 보안 키 갱신이 필요한 이동국(62)에 유니캐스트로 전달될 수 있다. 또는 멀티캐스트 그룹 내의 다른 이동국도 멀티캐스트 보안 키 갱신이 필요한 경우, 키 갱신 메시지는 멀티캐스트로 멀티캐스트 그룹 내 이동국으로 전송될 수도 있다.Referring to FIG. 6, according to another embodiment, after the
다음 도 7을 참고하면, 이동국(72)은 기지국(71)으로부터 수신한 암호화된 메시지에 적합한 멀티캐스트 보안 키 정보가 없어서 해당 메시지를 복호화하지 못할 수 있다. 이 경우, 이동국(72)은 멀티캐스트 보안 키 갱신을 요청하는 요청 메시지를 기지국(71)으로 전송하고(S710), 기지국(71)은 요청 메시지에 대한 응답으로 멀티캐스트 보안 키 갱신 정보를 포함하는 응답 메시지를 이동국(72)으로 전송한다(S720). 이동국(72)이 위치 갱신 또는 네트워크 재진입을 수행한 경우, 요청 메시지는 RNG-REQ 메시지 또는 PKM 요청(PKM-REQ) 메시지일 수 있으며, 응답 메시지는 RNG-RSP 메시지 또는 PKM-RSP 메시지일 수 있다.Next, referring to FIG. 7, the
다른 실시예에 따르면, 위치 갱신이나 네트워크 재진입뿐만 아니라 멀티캐스트 그룹 존이 변경되거나 이동국이 멀티캐스트 그룹 존을 월경하는 경우에도, 도 5 내지 도 7에서 설명한 방법을 통해 멀티캐스트 보안 키가 갱신될 수 있다. 이 경우 이동한 셀의 목적지 기지국에서 해당 멀티캐스트 보안 키 갱신 사실과 갱신을 위한 정보를 전송할 수 있다. 갱신 정보는 앞서 설명한 RNG-RSP 또는 PKM-RSP 메시지를 통해서 전송될 수 있다. 이때 멀티캐스트 그룹 존이 변경되는 것을 대비하여, 월경 전에 미리 이전 기지국을 통해서 멀티캐스트 보안 키 갱신을 수행할 수도 있다.According to another embodiment, the multicast security key may be updated through the method described with reference to FIGS. 5 to 7 even when the multicast group zone is changed or the mobile station crosses the multicast group zone as well as location update or network reentry. have. In this case, the fact that the multicast security key is updated and information for updating can be transmitted from the destination base station of the moved cell. The update information may be transmitted through the above-described RNG-RSP or PKM-RSP message. In this case, in preparation for the change of the multicast group zone, the multicast security key may be updated through the previous base station before menstruation.
또 다른 실시예에 따르면, 동일한 기지국이나 동일한 멀티캐스트 그룹 존 내에서도 멀티캐스트 보안 키가 갱신될 수 있다. 예를 들면, 멀티캐스트 보안 키의 유효 기간이 만료되거나, 멀티캐스트 그룹의 구성이 변경되는 경우에 멀티캐스트 보안 키가 갱신될 수 있다. 멀티캐스트 그룹의 구성은 멀티캐스트 그룹 내 이동국의 가입(join), 탈퇴(leave) 또는 변경(change), 또는 서비스 플로우의 추가, 삭제 또는 변경 등에 의해 변경될 수 있다. 이 경우 기지국과 이동국은 DSx 절차를 통해서 가입, 탈퇴 또는 변경을 수행할 수 있다. DSx 절차는 동적 서비스 추가 요청(dynamic service addition request, DSA-REQ) 메시지와 DSA 응답(DSA response, DSA-RSP) 메시지의 교환을 통한 가입 절차, 동적 서비스 삭제 요청(dynamic service deletion request, DSD-REQ) 메시지와 DSD 응답(DSD-RSP) 메시지의 교환을 통한 탈퇴 절차, 또는 동적 서비스 변경 요청(dynamic service change request, DSC-REQ) 메시지와 DSC 응답(DSC-RSP) 메시지의 교환을 통한 변경 절차이다.According to another embodiment, the multicast security key may be updated even within the same base station or the same multicast group zone. For example, the multicast security key may be updated when the validity period of the multicast security key expires or the configuration of the multicast group changes. The configuration of the multicast group may be changed by joining, leaving or changing a mobile station in the multicast group, or adding, deleting or changing a service flow. In this case, the base station and the mobile station may perform subscription, withdrawal, or change through the DSx procedure. The DSx procedure includes a subscription procedure through the exchange of a dynamic service addition request (DSA-REQ) message and a DSA response (DSA response, DSA-RSP) message, a dynamic service deletion request (DSD-REQ). Withdrawal procedure through the exchange of a DSD-RSP message and a DSD-RSP message or a change procedure through the exchange of a dynamic service change request (DSC-REQ) message and a DSC-RSP message. .
도 8을 참고하면, 이동국(81)이 멀티캐스트 그룹에 가입할 때, 이동국(81)과 기지국(82)은 DSA-REQ 및 DSA-RSP 메시지를 교환한다(S810). DSA-REQ 및 DSA-RSP 메시지는 멀티캐스트 그룹 ID와 FID 또는 멀티캐스트 그룹 CID를 포함할 수 있다.Referring to FIG. 8, when the
다음 이동국(81)은 멀티캐스트 보안 키 요청 메시지를 기지국(82)으로 전송하고(S820), 기지국(82)이 멀티캐스트 보안 키 갱신 정보를 포함하는 멀티캐스트 보안 키 응답 메시지를 이동국(81)으로 전송한다(S830). 이때, 멀티캐스트 보안 키 요청 메시지와 멀티캐스트 보안 키 응답 메시지로 각각 PKM-REQ 메시지와 PKM-RSP 메시지가 사용될 수 있다.The
또한 기지국(82)은 멀티캐스트 그룹 내의 다른 이동국(83)으로 멀티캐스트 키 갱신 정보를 포함하는 메시지를 전송한다(S840). 이에 따라 기지국(82)은 멀티캐스트 그룹 내의 다른 이동국(83)에 멀티캐스트 그룹 내의 다른 이동국(83)에 멀티캐스트 보안 키 갱신 사실 및 갱신 내용을 알릴 수 있다. 이때, 다른 이동국(83)에 전송되는 메시지로 PKM-RSP 메시지가 사용될 수 있다.In addition, the
도 9를 참고하면, 이동국(91)이 멀티캐스트 그룹에서 탈퇴할 때, 이동국(91)과 기지국(92)은 DSD-REQ 및 DSD-RSP 메시지를 교환한다(S910). DSD-REQ 및 DSD-RSP 메시지는 멀티캐스트 그룹 ID와 FID 또는 멀티캐스트 그룹 CID를 포함할 수 있다.Referring to FIG. 9, when the
또한 기지국(92)은 멀티캐스트 그룹 내의 다른 이동국(93)으로 멀티캐스트 키 갱신 정보를 포함하는 메시지를 전송한다(S920). 이때, 다른 이동국(93)에 전송되는 메시지로 PKM-RSP 메시지가 사용될 수 있다. 즉, 기지국(92)은 다른 이동국(93)에만 PKM-RSP 메시지를 전송하여서, 멀티캐스트 그룹을 탈퇴한 이동국(91)이 멀티캐스트 데이터를 복호화하는 것을 방지할 수 있다.In addition, the
도 5 내지 도 9에서, 멀티캐스트 보안 키 갱신 정보는 COUNTER_MTEK를 포함할 수 있다. 이동국은 COUNTER_MTEK에 기초하여 MTEK을 갱신한다. 멀티캐스트 보안 키 갱신 정보는 MEKS을 더 포함할 수 있으며, 이동국은 MEKS에 기초하여 MTEK의 갱신이 필요한지 판단할 수 있다. 멀티캐스트 보안 키 갱신 정보는 MTEK 유효 기간(MTEK lifetime)을 더 포함할 수 있다. 또한 멀티캐스트 보안 키 갱신 정보는 MTEK이 갱신될 멀티캐스트 그룹 ID와 FID와 또는 MTEK이 갱신될 멀티캐스트 그룹 CID를 더 포함할 수 있다. 이와는 달리 멀티캐스트 보안 키 갱신 정보는 MAK 갱신에 필요한 정보 또는 MAK를 포함할 수도 있다.5 to 9, the multicast security key update information may include COUNTER_MTEK. The mobile station updates the MTEK based on COUNTER_MTEK. The multicast security key update information may further include a MEKS, and the mobile station may determine whether an MTEK update is necessary based on the MEKS. The multicast security key update information may further include an MTEK lifetime. In addition, the multicast security key update information may further include a multicast group ID and FID for updating the MTEK or a multicast group CID for updating the MTEK. Alternatively, the multicast security key update information may include information required for MAK update or MAK.
이와 같이 본 발명의 실시예에 따르면, 멀티캐스트 통신에서 멀티캐스트 보안 키의 갱신이 필요한 경우 이동국과 기지국이 갱신된 멀티캐스트 보안 키를 공유할 수 있다.Thus, according to the embodiment of the present invention, when the multicast security key needs to be updated in multicast communication, the mobile station and the base station can share the updated multicast security key.
또한 이동국과 기지국은 멀티캐스트 보안 키의 유효 기간, 예를 들면 MTEK 유효 기간이 만료될 때, 멀티캐스트 보안 키를 갱신할 수 있다. 이와는 달리 멀티캐스트 보안 키의 유효 기간이 만료되기 전에도 멀티캐스트 보안 키를 갱신할 수 있다. 아래에서는 이러한 실시예에 대해서 도 10을 참고로 하여 설명한다.The mobile station and the base station may also renew the multicast security key when the validity period of the multicast security key, for example the MTEK validity period, expires. Alternatively, the multicast security key can be renewed even before the validity period of the multicast security key expires. Hereinafter, such an embodiment will be described with reference to FIG. 10.
도 10을 참고하면, 기지국(101)은 멀티캐스트 보안 키, 예를 들면 MTEK의 유효 기간이 만료되기 전에 MTEK의 갱신 정보를 포함하는 PKM-RSP 메시지를 이동국(102)에 전송하여 MTEK 갱신을 요청할 수 있다(S1010). MTEK 갱신 정보는 MEKS, COUNTER_MTEK 및 MTEK 유효 기간을 포함할 수 있다. 이때 PKM-RSP 메시지는 MTEK 갱신을 나타내는 타입을 가질 수 있다. 또한 MTEK 갱신 정보는 MTEK이 갱신될 FID와 멀티캐스트 그룹 ID 또는 MTEK이 갱신될 멀티캐스트 그룹 CID를 더 포함할 수 있다.Referring to FIG. 10, the
이동국(102)은 현재 MEKS와 수신한 PKM-RSP 메시지의 MEKS를 비교하여서 PKM-RSP 메시지의 MEKS가 새로운 MEKS인지 판단한다(S1020). 새로운 MEKS인 경우, 이동국(102)은 멀티캐스트 보안 키 갱신 정보, 예를 들면 COUNTER_MTEK에 기초하여 멀티캐스트 보안 키, 즉 MTEK을 갱신한다(S1030). 새로운 MEKS이 아닌 경우 이동국은 멀티캐스트 보안 키의 갱신 없이 기존의 멀티캐스트 보안 키를 유지한다. 이와는 달리 이동국(102)은 현재 COUNTER_MTEK와 수신한 PKM-RSP 메시지의 COUNTER_MTEK를 비교하여서 멀티캐스트 보안 키의 갱신 여부를 판단할 수도 있다.The
이와 같이 본 발명의 실시예에 따르면, 유효 기간이 만료되기 전이라도 멀티캐스트 보안 키를 갱신할 수 있으며, 또한 기지국이 갱신을 요청하더라도 갱신이 필요 없는 경우에는 이동국이 멀티캐스트 보안 키를 갱신하지 않을 수도 있다.As described above, according to the embodiment of the present invention, the multicast security key can be renewed even before the expiration date expires, and the mobile station will not renew the multicast security key when the base station requests the renewal. It may be.
다음 본 발명의 한 실시예에 따른 보안 지원 방법을 수행하는 보안 지원 장치에 대해서 도 11 및 도 12를 참고로 하여 설명한다.Next, a security support apparatus that performs a security support method according to an embodiment of the present invention will be described with reference to FIGS. 11 and 12.
도 11 및 도 12는 각각 본 발명의 한 실시예에 따른 보안 지원 장치의 블록도이다.11 and 12 are each a block diagram of a security support device according to an embodiment of the present invention.
도 11을 참고하면, 보안 지원 장치(1100)는 보안 키 생성부(1110), 송수신부(1120) 및 암호화/복호화부(1130)를 포함한다. 도 11의 보안 지원 장치는 이동국에 포함되거나 이동국일 수 있다.Referring to FIG. 11, the
보안 키 생성부(1110)는 도 4 내지 도 10을 참고로 하여 설명한 것처럼 멀티캐스트 보안 키를 생성하거나 갱신하여서 기지국과 멀티캐스트 보안 키를 공유한다. 송수신부(1120)는 기지국으로 멀티캐스트 보안 키 갱신 요청을 전송하거나 기지국으로부터 멀티캐스트 보안 키 갱신 응답을 수신한다. 암호화/복호화부(1130)는 멀티캐스트 보안 키를 이용하여서 전송할 멀티캐스트 트래픽을 암호화하거나 수신한 멀티캐스트 트래픽을 복호화한다.The security
도 12을 참고하면, 보안 지원 장치는 보안 키 생성부(1210), 송수신부(1220) 및 암호화/복호화부(1230)를 포함한다. 도 12의 보안 지원 장치는 기지국에 포함되거나 이동국일 수 있다.Referring to FIG. 12, the security support apparatus includes a
보안 키 생성부(1210)는 도 4 내지 도 10을 참고로 하여 설명한 것처럼 멀티캐스트 보안 키를 생성하거나 갱신하여서 이동국과 멀티캐스트 보안 키를 공유한다. 송수신부(1220)는 이동국으로부터 멀티캐스트 보안 키 갱신 요청을 수신하거나 이동국으로 멀티캐스트 보안 키 갱신 응답을 전송한다. 암호화/복호화부(1230)는 멀티캐스트 보안 키를 이용하여서 전송할 멀티캐스트 트래픽을 암호화하거나 수신한 멀티캐스트 트래픽을 복호화한다.The security
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
Claims (19)
기지국과 멀티캐스트 인증키(multicast authorization key, MAK)을 공유하는 단계,
상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하는 단계,
상기 프리키를 포함하는 제2 파라미터에 기초하여서 멀티캐스트 트래픽 암호화 키(multicast traffic encryption key, MTEK)를 포함하는 멀티캐스트 보안 키를 도출하는 단계, 그리고
상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 복호화하는 단계
를 포함하는 보안 지원 방법.A security support method for multicast communication in a mobile station,
Sharing a multicast authorization key (MAK) with a base station;
Deriving a prekey based on a first parameter including the MAK,
Deriving a multicast security key comprising a multicast traffic encryption key (MTEK) based on a second parameter comprising the prekey, and
Decrypting multicast traffic using the multicast security key
Security support method comprising a.
상기 제1 파라미터는 상기 이동국이 속한 멀티캐스트 그룹의 식별자를 더 포함하는 보안 지원 방법.In claim 1,
And the first parameter further comprises an identifier of a multicast group to which the mobile station belongs.
상기 제1 파라미터는 상기 기지국이 속한 멀티캐스트 그룹 존의 식별자를 더 포함하며,
상기 멀티캐스트 그룹 존은 적어도 하나의 기지국으로 이루어지는 기지국 집합을 포함하는
보안 지원 방법.In claim 2,
The first parameter further includes an identifier of a multicast group zone to which the base station belongs,
The multicast group zone includes a base station set consisting of at least one base station.
How security is supported.
상기 MTEK의 유효 기간이 만료되기 전에 상기 기지국으로부터 상기 MTEK의 갱신 정보를 포함하는 메시지를 수신하는 단계,
상기 갱신 정보와 현재 정보를 비교하여서 상기 MTEK의 갱신 여부를 판단하는 단계, 그리고
상기 갱신 정보와 상기 현재 정보가 다르면, 상기 갱신 정보에 기초하여서 상기 MTEK을 갱신하는 단계
를 더 포함하는 보안 지원 방법.In claim 1,
Receiving a message including update information of the MTEK from the base station before the validity period of the MTEK expires,
Determining whether the MTEK is updated by comparing the update information with current information; and
Updating the MTEK based on the update information if the update information is different from the current information.
Security support method further comprising.
상기 이동국은 상기 갱신 정보와 상기 현재 정보가 동일하면 현재의 MTEK을 유지하는 보안 지원 방법.5. The method of claim 4,
And the mobile station maintains a current MTEK if the update information and the current information are the same.
상기 갱신 정보는 암호화 키 일련 번호 또는 MTEK을 도출하는 데 사용되는 카운터 값 중 적어도 하나를 포함하는 보안 지원 방법.5. The method of claim 4,
Wherein said update information comprises at least one of an encryption key serial number or a counter value used to derive an MTEK.
상기 갱신 정보는 MTEK의 유효 기간을 더 포함하는 보안 지원 방법.The method of claim 6,
The update information further includes a validity period of MTEK.
상기 기지국으로부터 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 수신하는 단계, 그리고
상기 갱신 정보에 기초하여 상기 멀티캐스트 보안 키를 갱신하는 단계
를 더 포함하며,
상기 갱신 정보는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 식별자와 상기 멀티캐스트 그룹 내의 플로우 식별자 또는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 연결 식별자를 포함하는
보안 지원 방법.In claim 1,
Receiving a message containing update information of the multicast security key from the base station, and
Updating the multicast security key based on the update information
More,
The update information includes an identifier of a multicast group to which the multicast security key is to be updated and a flow identifier within the multicast group or a connection identifier of the multicast group to which the multicast security key is to be updated.
How security is supported.
제1 이동국과 멀티캐스트 인증키(multicast authorization key, MAK)을 공유하는 단계,
상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하는 단계,
상기 프리키를 포함하는 제2 파라미터에 기초하여서 멀티캐스트 트래픽 암호화 키(multicast traffic encryption key, MTEK)를 포함하는 멀티캐스트 보안 키를 도출하는 단계, 그리고
상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 암호화하는 단계
를 포함하는 보안 지원 방법.A security support method for multicast communication at a base station,
Sharing a multicast authorization key (MAK) with a first mobile station,
Deriving a prekey based on a first parameter including the MAK,
Deriving a multicast security key comprising a multicast traffic encryption key (MTEK) based on a second parameter comprising the prekey, and
Encrypting multicast traffic using the multicast security key
Security support method comprising a.
상기 제1 파라미터는 상기 제1 이동국이 속한 멀티캐스트 그룹의 식별자를 더 포함하는 보안 지원 방법.In claim 9,
The first parameter further comprises an identifier of a multicast group to which the first mobile station belongs.
상기 제1 파라미터는 상기 기지국이 속한 멀티캐스트 그룹 존의 식별자를 더 포함하며,
상기 멀티캐스트 그룹 존은 적어도 하나의 기지국으로 이루어지는 기지국 집합을 포함하는
보안 지원 방법.11. The method of claim 10,
The first parameter further includes an identifier of a multicast group zone to which the base station belongs,
The multicast group zone includes a base station set consisting of at least one base station.
How security is supported.
상기 MTEK의 유효 기간이 만료되기 전에 상기 제1 이동국으로 상기 MTEK의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함하며,
상기 갱신 정보와 상기 제1 이동국의 현재 정보와 비교되어서 상기 MTEK의 갱신 여부의 판단에 사용되는
보안 지원 방법.In claim 9,
Sending a message including update information of the MTEK to the first mobile station before the validity period of the MTEK expires,
The update information is compared with the current information of the first mobile station and used to determine whether the MTEK is updated.
How security is supported.
상기 갱신 정보는 암호화 키 일련 번호 또는 MTEK을 도출하는 데 사용되는 카운터 값 중 적어도 하나를 포함하는 보안 지원 방법.The method of claim 12,
Wherein said update information comprises at least one of an encryption key serial number or a counter value used to derive an MTEK.
상기 갱신 정보는 MTEK의 유효 기간을 더 포함하는 보안 지원 방법.In claim 13,
The update information further includes a validity period of MTEK.
상기 제1 이동국으로 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계를 더 포함하며,
상기 갱신 정보는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 식별자와 상기 멀티캐스트 그룹 내의 플로우 식별자 또는 상기 멀티캐스트 보안 키가 갱신될 멀티캐스트 그룹의 연결 식별자를 포함하며,
보안 지원 방법.In claim 9,
Sending a message containing update information of the multicast security key to the first mobile station,
The update information includes an identifier of a multicast group to which the multicast security key is to be updated and a flow identifier within the multicast group or a connection identifier of a multicast group to which the multicast security key is to be updated,
How security is supported.
제2 이동국을 상기 제1 이동국이 속한 멀티캐스트 그룹에 가입시키는 단계,
상기 제2 이동국으로 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계, 그리고
상기 멀티캐스트 그룹에 속한 다른 이동국으로 상기 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계
를 더 포함하는 보안 지원 방법.In claim 9,
Joining a second mobile station to the multicast group to which the first mobile station belongs;
Sending a message containing update information of a multicast security key to the second mobile station, and
Transmitting a message including update information of the multicast security key to another mobile station belonging to the multicast group
Security support method further comprising.
상기 제1 이동국과 상기 멀티캐스트 그룹의 탈퇴 절차를 진행하는 단계, 그리고
상기 멀티캐스트 그룹에 속한 다른 이동국으로 멀티캐스트 보안 키의 갱신 정보를 포함하는 메시지를 전송하는 단계
를 더 포함하는 보안 지원 방법.In claim 9,
Proceeding to leave the multicast group with the first mobile station, and
Transmitting a message including update information of a multicast security key to another mobile station belonging to the multicast group;
Security support method further comprising.
기지국과 멀티캐스트 인증키(multicast authorization key, MAK)을 공유하고, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하며, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 멀티캐스트 트래픽 암호화 키(multicast traffic encryption key, MTEK)를 포함하는 멀티캐스트 보안 키를 도출하는 보안 키 생성부, 그리고
상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 복호화하는 암호화/복호화부
를 포함하는 보안 지원 장치.As a security support device for multicast communication,
Sharing a multicast authorization key (MAK) with a base station, deriving a prekey based on a first parameter including the MAK, and multicast traffic encryption key based on a second parameter including the prekey ( a security key generation unit for deriving a multicast security key including a multicast traffic encryption key (MTEK), and
Encryption / decryption unit for decrypting multicast traffic using the multicast security key
Security support device comprising a.
이동국과 멀티캐스트 검증 키(multicast authorization key, MAK)을 공유하고, 상기 MAK를 포함하는 제1 파라미터에 기초하여서 프리키를 도출하며, 상기 프리키를 포함하는 제2 파라미터에 기초하여서 멀티캐스트 트래픽 암호화 키(multicast traffic encryption key, MTEK)를 포함하는 멀티캐스트 보안 키를 도출하는 보안 키 생성부, 그리고
상기 멀티캐스트 보안 키를 이용하여서 멀티캐스트 트래픽을 암호화하는 암호화/복호화부
를 포함하는 보안 지원 장치.As a security support device for multicast communication,
Share a multicast authorization key (MAK) with a mobile station, derive a prekey based on a first parameter that includes the MAK, and multicast traffic encryption key based on a second parameter that includes the prekey ( a security key generation unit for deriving a multicast security key including a multicast traffic encryption key (MTEK), and
An encryption / decryption unit that encrypts multicast traffic using the multicast security key.
Security support device comprising a.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/338,217 US8842832B2 (en) | 2010-12-27 | 2011-12-27 | Method and apparatus for supporting security in muliticast communication |
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100135130 | 2010-12-27 | ||
KR20100135130 | 2010-12-27 | ||
KR1020110019657 | 2011-03-04 | ||
KR20110019657 | 2011-03-04 | ||
KR1020110092216 | 2011-09-09 | ||
KR20110092216 | 2011-09-09 | ||
KR20110104537 | 2011-10-13 | ||
KR1020110104537 | 2011-10-13 | ||
KR1020110112475 | 2011-10-31 | ||
KR20110112475 | 2011-10-31 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20120074234A true KR20120074234A (en) | 2012-07-05 |
Family
ID=46708444
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110141886A KR20120074234A (en) | 2010-12-27 | 2011-12-26 | Method and apparatus for supproting security in muliticast communication |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20120074234A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022186482A1 (en) * | 2021-03-04 | 2022-09-09 | 삼성전자 주식회사 | Method for updating shared secret key, and electronic device supporting same |
-
2011
- 2011-12-26 KR KR1020110141886A patent/KR20120074234A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022186482A1 (en) * | 2021-03-04 | 2022-09-09 | 삼성전자 주식회사 | Method for updating shared secret key, and electronic device supporting same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8842832B2 (en) | Method and apparatus for supporting security in muliticast communication | |
KR101877733B1 (en) | Method and system of securing group communication in a machine-to-machine communication environment | |
US9161216B2 (en) | Traffic encryption key management for machine to machine multicast group | |
KR100704678B1 (en) | Method for managing group traffic encryption key in wireless portable internet system | |
JP5288210B2 (en) | Unicast key management method and multicast key management method in network | |
US9432844B2 (en) | Traffic encryption key management for machine to machine multicast group | |
US9258705B2 (en) | Apparatus, method and system for creating and maintaining multicast data encryption key in machine to machine communication system | |
CN1947373B (en) | Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber st | |
US11121862B2 (en) | System and method for wireless network access protection and security architecture | |
EP2929711A1 (en) | Group authentication and key management for mtc | |
CN101145900A (en) | Multi-cast method and multi-cast system and multi-cast device | |
CN101150396B (en) | Method, network and terminal device for obtaining multicast and broadcast service secret key | |
US20240015008A1 (en) | Method and device for distributing a multicast encryption key | |
CN101459875A (en) | A method for security handling in a wireless access system supporting multicast broadcast services | |
KR20120074234A (en) | Method and apparatus for supproting security in muliticast communication | |
CN101150467A (en) | Method for adding multicast and broadcast service into communication system and terminal | |
US20180131676A1 (en) | Code encryption | |
KR20100047099A (en) | Method of generating and updating a encryption key | |
CN116830533A (en) | Method and apparatus for distributing multicast encryption keys | |
WO2012118445A1 (en) | Key management scheme for secure communication in a cellular mobile communication system | |
KR20090127210A (en) | Method of updating multicast/broadcast service key information | |
KR20130010438A (en) | Encryption method and apparatus for direct communication between terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |