KR20170087654A - 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치 - Google Patents

무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치 Download PDF

Info

Publication number
KR20170087654A
KR20170087654A KR1020160007489A KR20160007489A KR20170087654A KR 20170087654 A KR20170087654 A KR 20170087654A KR 1020160007489 A KR1020160007489 A KR 1020160007489A KR 20160007489 A KR20160007489 A KR 20160007489A KR 20170087654 A KR20170087654 A KR 20170087654A
Authority
KR
South Korea
Prior art keywords
message
authentication
integrated
user terminal
security
Prior art date
Application number
KR1020160007489A
Other languages
English (en)
Other versions
KR101780401B1 (ko
Inventor
김헌진
김찬례
Original Assignee
콘텔라 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘텔라 주식회사 filed Critical 콘텔라 주식회사
Priority to KR1020160007489A priority Critical patent/KR101780401B1/ko
Publication of KR20170087654A publication Critical patent/KR20170087654A/ko
Application granted granted Critical
Publication of KR101780401B1 publication Critical patent/KR101780401B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치를 개시한다. 본 발명의 일 측면에 따른 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법은, 이동성 관리 장치가 사용자 단말로부터 망 등록 요청 메시지를 수신하는 단계; 이동성 관리 장치가 홈 가입자 장치로 인증 데이터 요청 메시지를 송신하고 이에 대한 응답으로 인증 데이터 응답 메시지를 수신하는 단계; 및 상기 이동성 관리 장치가 상기 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 응답으로 통합 응답 메시지를 수신하는 단계;를 포함한다.

Description

무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치{METHOD AND APPARATUS FOR SETTING OF AUTHORAZATION AND SECURITY IN RADIO COMMUNICATION SYSTEM}
본 발명은 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치에 관한 것으로, 더욱 상세하게는 EPC 망을 포함하는 무선 통신 시스템에서, 인증 및 보안 설정을 위한 절차에 있어서 전송되는 메시지를 통합하여 간소화하는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치에 관한 것이다.
최근에 통신 및 컴퓨터 네트워크, 반도체 기술의 비약적인 발전으로 인해 무선통신망을 이용한 다양한 서비스가 제공되고 있을 뿐만 아니라 수요자들의 요구 사항은 날이 갈수록 수준이 높아지고 있으며, 전세계 무선 인터넷 서비스 시장은 폭발적으로 증가하고 있는 추세이다. 이에 따라, 무선통신망을 이용한 이동통신 시스템에서 제공하는 서비스는 음성 서비스뿐만 아니라, 다양한 데이터를 전송하는 멀티미디어 통신 서비스로 발전해 가고 있다.
대표적인 무선통신망 중에 하나인 LTE(Long Term Evolution)는 접속망(access network)에 대한 고속 대용량(high data rate), 저지연(lowlatency), 패킷 최적화된 무선 접속(packet optimized radio access)의 요구조건을 실현하기 위한 네트워크로서, 기존 3GPP/non-3GPP의 접속망에 대한 역호환성(backward compatibility)을 보장하면서 고속의 rich media를 수용하기 위해 고안되었다. LTE는 기존의 회선교환(circuit-switched) 기반의 통신을 배제한 All-IP 기반의 네트워크로서, 서비스품질(OoS: Quality of Service) 관리 기능을 강화하여 실시간 서비스(예컨대 음성 통신, 화상통신) 및 비실시간 서비스(예컨대 웹브라우징, Store and Forward 데이터 전송)에 대해 차별된 QoS를 제공함으로써, 네트워크 리소스의 효율성을 제고하였다. 또한, 스마트 안테나 기술(즉 MIMO)을 도입함으로써 무선통신을 위한 대역폭을 확장하였다.
LTE 코어망인 EPC(Evolved Packet Core) 망에서는, 서비스 제공을 위해서 기지국(eNodeB)과 이동성 관리 장치(MME : Mobility Management Entity), 이동성 관리 장치와 서빙 게이트웨이(SGW : Serving Gateway) 그리고 서빙 게이트웨이와 패킷 데이터 네트워크 게이트웨이(PGW : Packet Data Network Gateway) 간에 유기적으로 동작하여 음성 및 데이터 처리를 위한 호처리를 수행한다. 이때, 상기 호처리를 수행하기 위해서는 사용자 단말이 망에 최초 접속 시, 인증(망에서의 단말 인증, 단말의 망 인증) 및 보안 절차를 수행하는 것이 필수적이다. 이때, 종래 기술에 있어서, 상기 인증 및 보안 절차 수행은 각각 수행된다. 즉, 사용자 단말과 이동성 관리 장치 간에는 인증 절차를 위한 송수신 메시지 및 보안 절차 수행을 위한 송수신 메시지가 각각 전송되어 처리 시간이 증가하고, 망의 부하가 증가하는 문제점이 발생한다.
한국공개특허 제2015-0031783호(2015.03.25 공개)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, EPC 망을 포함하는 무선 통신 시스템에서 사용자 단말(UE)과 이동성 관리 장치(MME) 간의 인증 및 보안 설정 절차시, 송수신 되는 메시지를 하나로 통합하여 절차를 간소화하는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법은, 이동성 관리 장치가 사용자 단말로부터 망 등록 요청 메시지를 수신하는 단계; 이동성 관리 장치가 홈 가입자 장치로 인증 데이터 요청 메시지를 송신하고 이에 대한 응답으로 인증 데이터 응답 메시지를 수신하는 단계; 및 상기 이동성 관리 장치가 상기 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 응답으로 통합 응답 메시지를 수신하는 단계;를 포함한다.
상기 방법은, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있는지 확인하는 단계;를 더 포함하고, 상기 통합 응답 메시지를 수신하는 단계는, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있을 때 수행된다.
상기 방법은, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있지 않은 경우, 상기 이동성 관리 장치가, 인증을 위한 메시지와 보안을 위한 메시지를 각각 개별적으로 상기 사용자 단말로 송신하고 개별적으로 응답 메시지를 수신하는 단계;를 더 포함한다.
상기 통합된 인증 및 보안 요청 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC을 포함하며, 상기 통합 응답 메시지는 RES, NAS-MAC을 포함한다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 무선 통신 시스템에서의 인증 및 보안 설정을 위한 장치는, 사용자 단말로부터 망 등록 요청 메시지를 수신함에 따라, 홈 가입자 장치로 인증 데이터 요청 메시지를 송신하고 이에 대한 응답으로 인증 데이터 응답 메시지를 수신하는 인증 데이터 송수신부; 및 상기 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 통합 응답 메시지를 수신하는 통합 메시지 송수신부;를 포함한다.
상기 통합 메시지 송수신부는, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있는 경우, 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 통합 응답 메시지를 수신한다.
상기 통합 메시지 송수신부는, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있지 않은 경우, 인증을 위한 메시지와 보안을 위한 메시지를 각각 개별적으로 상기 사용자 단말로 송신하고 개별적으로 응답 메시지를 수신한다.
상기 통합된 인증 및 보안 요청 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC을 포함하며, 상기 통합 응답 메시지는 RES, NAS-MAC을 포함한다.
본 발명의 일 측면에 따르면, 사용자 단말(UE)과 이동성 관리 장치(MME) 간의 인증 및 보안 설정 절차시, 송수신 되는 메시지를 하나로 통합하여 절차를 간소화함으로써 망의 부하 및 처리 시간을 감소시키는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시 예에 따른 무선 통신 시스템의 구성을 개략적으로 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 이동성 관리 장치(MME)의 구성을 개략적으로 도시한 도면,
도 3은 본 발명의 일 실시 예에 따른 사용자 단말(UE)과 이동성 관리 장치(MME) 간의 인증 및 보안 절차의 흐름을 도시한 도면이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 일 실시 예에 따른 무선 통신 시스템의 구성을 개략적으로 도시한 도면, 도 2는 본 발명의 일 실시 예에 따른 이동성 관리 장치(MME)의 구성을 개략적으로 도시한 도면이다.
본 실시 예를 설명함에 있어서, 사용자 단말(UE)(110)는 최초 개통시 홈 가입자 장치(HSS)(140)에 기존과 같은 인증 및 보안 절차를 지원하는지 또는, 간소화된 인증 및 보안 절차(통합 메시지 송수신)를 지원하는지 구분하여 등록할 수 있다. 이때, 본 실시 예에 있어서, 사용자 단말(UE)(110)는 간소화된 인증 및 보안 절차를 지원(통합 메시지 송수신 기능 지원)하는 것으로 가정한다. 이동통신망에서 인증이란, 망에 접속하려고 하는 사용자가 자사의 가입자인지 확인하는 과정이며, 보안(NAS Security)이란, 무선 링크상에서 사용자 단말(110)과 이동성 관리 장치(130) 간 시그널링 메시지를 안전하게 전달하기 위한 것으로, 상기 시그널링 메시지에 대한 무결성(Integrity) 체크와 암호화(Ciphering)를 수행한다.
도 1을 참조하면, 본 실시 예에 따른 무선 통신 시스템은 사용자 단말(User Equipment : UE)(110), 기지국(eNodeB)(120), 이동성 관리 장치(MME)(130), 홈 가입자 장치(HSS)(140), 서빙 게이트웨이(SGW)(150), 패킷 데이터 네트워크 게이트웨이(PGW)(160) 및 패킷 데이터 네트워크(PDN)(170)를 포함하며, 상술한 시스템을 EPS(Evolved Packet System)라고 한다. 상기 EPS는 IP 기반의 패킷 교환 방식(packet switched)의 코어 네트워크인 EPC(Evolved Packet Core)와 E-UTRAN(Evolved- Universal Terrestrial Radio Access Network)과 같은 무선 액세스 네트워크(RAN: Radio Access Network)를 포함한다 이때, 상기 EPC는 이동성 관리 장치(MME)(130), 서빙 게이트웨이(SGW)(150), 패킷 데이터 네트워크 게이트웨이(PGW)(160) 및 홈 가입자 장치(HSS)(140)를 포함한다. 또한, 도 1에는 도시하지 않았지만 상술한 무선 통신 시스템은 요금 정책 관리 장치(PCRF), 온라인 과금 장치(OCS) 및 오프라인 과금 장치(OFCS)를 더 포함할 수 있다.
사용자 단말(UE)(110)은 E-UTRAN(Evolved-UMTS Terrestrial Radio Access Network) 등과 같은 무선 접속 네트워크(RAN)를 통해 코어 네트워크(core network)를 구성하는 네트워크 노드들 또는 다른 단말과 통신을 하기 위한 장치이다. 이러한 상기 사용자 단말(UE)(110)은 이동이 가능한 장치일 수 있으며, 셀룰러 전화, 디지털 휴대정보 단말기(PDA), 스마트 폰 등과 같은 무선 환경에서 동작할 수 있는 임의의 사용자 디바이스를 포함할 수 있다. 하지만, 이에 한하지 않으며 무선 접속하여 동작하는 장치이면 관계없다.
이동성 관리 장치(MME)(130)는 사용자 단말(UE)(110)의 네트워크 연결에 대한 액세스, 네트워크 자원의 할당, 트래킹(tracking), 페이징(paging), 로밍(roaming) 및 핸드오버 등을 지원하기 위한 시그널링 및 제어 기능들을 수행할 수 있다. 상기 이동성 관리 장치(MME)(130)는 가입자 및 세션 관리에 관련된 제어 평면(control plane) 기능들을 제어한다. 상기 이동성 관리 장치(MME)(130)는 복수의 기지국(eNodeB)(120)들을 관리하고, 다른 2G/3G 네트워크에 대한 핸드오버를 위한 게이트웨이의 선택을 위하여 시그널링을 수행한다. 또한, 상기 이동성 관리 장치(MME)(130)는 보안 과정(Security Procedures), 단말-대-네트워크 세션 핸들링(Terminal-to-network Session Handling), 유휴 단말 위치결정 관리(Idle Terminal Location Management) 등의 기능을 수행한다.
본 실시 예에 따르면, 상기 이동성 관리 장치(MME)(130)는 최초 망에 접속을 요청한 사용자 단말(UE)(110)에 대한 인증 절차 및 사용자 단말(UE)(110)과 송수신되는 메시지에 대한 보안 절차를 수행한다. 상기 이동성 관리 장치(MME)(130)는 사용자 단말(UE)(110)에 대한 인증 절차 수행 및 상기 사용자 단말(UE)(110)과의 인증 절차가 완료된 후, 송수신되는 메시지에 대한 보안을 위한 절차를 수행한다. 이때, 본 실시 예에 따른 상기 이동성 관리 장치(MME)(130)는 상기 절차(인증 및 보안)를 위한 요청 메시지를 하나로 통합하여 수행한다.
도 2를 참조하면, 상기 이동성 관리 장치(MME)(130)는 인증 데이터 송수신부(210) 및 통합 메시지 송수신부(230)를 포함한다.
인증 데이터 송수신부(210)는 사용자 단말(UE)(110)로부터 망 등록 요청 메시지(Attach Request)를 수신하면, 홈 가입자 장치(HSS)(140)로 인증 데이터 요청 메시지를 송신하고, 인증 데이터 응답 메시지를 수신한다.
상기 망 등록 요청 메시지(Attach Request)는, 사용자 단말(110)이 망에 처음 접속할 때 이동성 관리 장치(130)로 전송하는 것으로, IMSI(가입자 식별자), UE Network Capability(사용자 단말(110)이 사용 가능한 보안 알고리즘들), KSIasme=7(KSIasme는 사용자 단말(110)과 이동성 관리 장치(130) 간에 Kasme를 식별하는 식별자로, 숫자 7은 사용자 단말(110)이 인증 키를 가지고 있지 않음을 의미함) 등과 같은 인증 관련 정보들을 포함한다.
상기 인증 데이터 요청 메시지(Auth Info Request)는, 사용자 단말(UE)(110)이 처음 접속함으로써 Kasme를 갖고 있지 않음을 인지하여 이동성 관리 장치(MME)(130)가 홈 가입자 장치(HSS)(140)로 전송하는 것으로, IMSI, SNID, n 등과 같은 정보를 포함한다. 이때, 상기 IMSI는 가입자 단말의 식별자, SNID는 가입자 단말이 접속한 망의 식별자(PLAN ID(MCC+MNC로 구성)) 그리고, n은 이동성 관리 장치(130)가 홈 가입자 장치(140)에게 요청하는 인증 벡터의 수를 의미한다.
상기 인증 데이터 응답 메시지는, 상기 인증 데이터 요청 메시지에 대한 홈 가입자 장치(HSS)(140)가 이동성 관리 장치(MME)(130)로 보내는 응답 메시지이다. 홈 가입자 장치(HSS)(140)는, 이동성 관리 장치(MME)(130)가 요청한 수(n)만큼의 인증 벡터(AUTN, XRES, Kasme, RAND)를 구성하고, 이를 응답 메시지에 포함시켜 상기 이동성 관리 장치(MME)(130)로 전송한다. 또한, 상기 인증 데이터 응답 메시지에는 통합 메시지 지원 유무에 대한 정보가 포함될 수 있다.
통합 메시지 송수신부(230)는 사용자 단말(UE)(110)로 통합 메시지를 송신하고, 상기 통합 메시지 송신에 대한 응답 메시지를 수신한다. 즉, 상기 통합 메시지 송수신부(230)는, 상기 인증 데이터 송수신부(210)에서 수신한 인증 데이터 응답 메시지에 통합 메시지 지원 가능에 관한 정보가 포함되어 있으면, 사용자 단말(UE)(110)로 통합 메시지를 송신하고, 상기 통합 메시지 송신에 대한 응답 메시지를 수신할 수 있다. 이때, 상기 사용자 단말(UE)(110)로 송신되는 통합 메시지는 종래의 사용자 인증 및 보안 요청에 대한 메시지를 통합한 것으로, 종래에는 사용자 인증 및 보안 요청에 따른 메시지를 각각 개별적으로 송수신하였지만, 통합된 메시지를 한번만 송신하고 수신함으로써 네트워크의 트래픽을 감소시킬 수 있으며, 홈 가입자 장치(HSS)(140)의 부하를 경감시킬 수 있다. 상기 통합 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC 등과 같은 정보를 포함한다. 상기 통합 메시지에 대한 응답 메시지는 RES, NAS-MAC 등과 같은 정보를 포함할 수 있다. 또한, 상기 통합 메시지는 상술한 정보 이외에, Authentication request message type, NAS key set identifierASME, Security mode command message identity, Spare half octet, Replayed UE security capabilities, IMEISV request, Replayed nonceUE, NonceMME 정보를 더 포함할 수 있다. 그리고 상기 통합 메시지에 대한 응답 메시지는 상술한 정보 이외에, Authentication response message type, Authentication response parameter, Security mode complete message identity, IMEISV 정보를 더 포함할 수 있다.
한편, 상기 통합 메시지 송수신부(230)는 상기 인증 데이터 송수신부(210)에서 수신한 인증 데이터 응답 메시지에 통합 메시지 지원 가능에 관한 정보가 포함되어 있지 않으면, 종래 기술에서와 마찬가지로 인증 절차 및 보안 절차를 위한 각각의 메시지를 개별적으로 사용자 단말(110)과 송수신할 수 있다.
홈 가입자 장치(HSS)(140)는 사용자 가입 정보(혹은 가입 데이터(subscription data) 또는 가입 레코드(subscription record))와 위치 정보 등을 관리한다. 특히, 상기 홈 가입자 장치(HSS)(140)는 AuC(Authentication Center)를 포함한다. 사용자 단말(UE)(110)과 AuC에는 EPS에 대한 마스터 키인 LTE 키(K)와 IMSI가 저장되어있다. 상기 LTE 키(K)와 IMSI는 UE에 장착되는 USIM 카드 제조 시에 저장되고, AuC에는 사용자가 사업자 망에 가입 시에 프로비저닝(provisioning)된다.
서빙 게이트웨이(SGW)(150)는 무선 접속 네트워크(RAN)와 코어 네트워크 사이의 경계점으로서 동작하고, 기지국(eNodeB)(120)과 패킷 데이터 네트워크 게이트웨이(PGW)(160) 사이의 데이터 경로를 유지하는 기능을 하는 요소이다. 또한, 사용자 단말(UE)(110)이 기지국(eNodeB)(120)에 의해서 서비스 되는 영역에 걸쳐 이동(예컨대, 핸드오버 등)하는 경우, 상기 서빙 게이트웨이(SGW)(150)는 그 이동의 앵커 포인트(anchor point)의 역할을 한다. 즉, E-UTRAN 내에서의 이동성을 위해서 상기 서빙 게이트웨이(SGW)(150)를 통해서 패킷들이 라우팅 될 수 있다. 또한, 상기 서빙 게이트웨이(SGW)(150)는 다른 3GPP 네트워크(3GPP Release 8 이전에 정의되는 RAN, 예를 들어, UTRAN 또는 GERAN(GSM(Global System for Mobile Communication)/EDGE(Enhanced Data rates for Global Evolution) Radio Access Network)와의 이동을 위한 앵커 포인트로서 기능할 수도 있다. 이외에도, 상기 서빙 게이트웨이(SGW)(150)는 E-UTRAN 유휴 모드 하향 링크의 버퍼링(idle mode downlink packet buffering), 합법적 감청(lawful interception) 등의 기능을 수행할 수 있다.
패킷 데이터 네트워크 게이트웨이(PGW)(160)는 패킷 데이터 네트워크(Packet Data Network : PDN)(170)를 향한 데이터 인터페이스의 종료점(termination point)에 해당한다. 상기 패킷 데이터 네트워크 게이트웨이(PGW)(160)는 정책 집행 특징(policy enforcement features), 패킷 필터링(packet filtering), 과금 지원(charging support), 합법적 감청(lawful interception), 단말 IP 할당(UE IP allocation), 패킷 스크리닝(packet screening) 등의 기능을 수행할 수 있다. 또한, 3GPP 네트워크와 non-3GPP 네트워크 (예를 들어, IWLAN(Interworking Wireless Local Area Network)과 같은 신뢰되지 않는 네트워크, CDMA(Code Division Multiple Access) 네트워크나 WiMax와 같은 신뢰되는 네트워크)와의 이동성 관리를 위한 앵커 포인트 역할을 할 수 있다.
요금 정책 관리 장치(PCRF)는 사용자 단말(UE)(110)에게 적용할 정책(Policy), 서비스 품질(QoS : Quality of Service) 등을 관리한다. 상기 요금 정책 관리 장치(PCRF)는 인터페이스를 통해 패킷 데이터 네트워크 게이트웨이(PGW)(160)와 연결되며, 상기 요금 정책 관리 장치(PCRF)에서 생성된 PCC(Policy and Charging Control) 규칙은 패킷 데이터 네트워크 게이트웨이(PGW)(160)로 전달된다.
온라인 과금 장치(OCS)는 실시간 과금 정보가 필요한 가입자의 과금 정보를 수령하여 한도 서비스와 같은 크레딧(credit) 관리기능을 제공하며, 인터페이스를 통해 패킷 데이터 네트워크 게이트웨이(PGW)(160)와 연결된다. 이때, 상기 패킷 데이터 네트워크 게이트웨이(PGW)(160)는 상기 온라인 과금 장치(OCS)가 제공한 과금 정보를 기반으로 패킷 플로우(packet flow)의 과금 데이터를 생성한다.
오프라인 과금 장치(OFCS)는 패킷 데이터 네트워크 게이트웨이(PGW)(160)가 생성한 과금 데이터를 수집하여 BS(Billing System)가 요구하는 과금 데이터로 가공하여 전송하는 기능을 수행하는 차징 시스템이다. 또한, 상기 오프라인 과금 장치(OFCS)는 Radius, Diameter, GTPP 등 다양한 과금 프로토콜(Protocol)을 수용하여 일원화된 BS 인터페이스를 제공한다.
이하, 상술한 무선 통신 시스템의 이동성 관리 장치(MME)(130)과 사용자 단말(UE)(110)간의 인증 및 보안 수행 절차의 방법에 대해 도 3을 통해 후술하기로 한다.
도 3은 본 발명의 일 실시 예에 따른 사용자 단말(UE)(110)과 이동성 관리 장치(MME)(130) 간의 인증 및 보안 절차의 흐름을 도시한 도면이다.
이동성 관리 장치(MME)(130)는 사용자 단말(110)로부터 망 등록 요청 메시지(Attach Request)를 수신한다(S310). 상기 망 등록 요청 메시지(Attach Request)는, 사용자 단말(UE)(110)이 망에 처음 접속할 때 이동성 관리 장치(MME)(130)로 전송하는 것으로, IMSI(가입자 식별자), UE Network Capability(사용자 단말(110)이 사용 가능한 보안 알고리즘들), KSIasme=7(KSIasme는 사용자 단말(110)과 이동성 관리 장치(130) 간에 Kasme를 식별하는 식별자로, 숫자 7은 사용자 단말(110)이 인증 키를 가지고 있지 않음을 의미함) 등과 같은 인증 관련 정보들을 포함한다.
이동성 관리 장치(MME)(130)는 홈 가입자 장치(HSS)(140)로 인증 데이터 요청 메시지(Auth Info Request)를 송신한다(S320). 상기 인증 데이터 요청 메시지(Auth Info Request)는, 사용자 단말(UE)(110)이 처음 접속함으로써 Kasme를 갖고 있지 않음을 인지하여 이동성 관리 장치(MME)(130)가 홈 가입자 장치(HSS)(140)로 전송하는 것으로, IMSI, SNID, n 등과 같은 정보를 포함한다. 이때, 상기 IMSI는 가입자 단말의 식별자, SNID는 가입자 단말이 접속한 망의 식별자(PLAN ID(MCC+MNC로 구성)) 그리고, n은 이동성 관리 장치(MME)(130)가 홈 가입자 장치(140)에게 요청하는 인증 벡터의 수를 의미한다.
이동성 관리 장치(MME)(130)는 홈 가입자 장치(HSS)(140)로부터 상기 인증 데이터 요청 메시지(Auth Info Request)에 대한 응답 메시지(Auth Info Answer)를 수신한다(S330). 상기 인증 데이터 응답 메시지(Auth Info Answer)는, 상기 인증 데이터 요청 메시지(Auth Info Request)에 대한 홈 가입자 장치(140)가 이동성 관리 장치(MME)(130)로 보내는 응답 메시지이다. 홈 가입자 장치(HSS)(140)는, 이동성 관리 장치(MME)(130)가 요청한 수(n)만큼의 인증 벡터(AUTN, XRES, Kasme, RAND)를 구성하고, 이를 응답 메시지에 포함시켜 상기 이동성 관리 장치(MME)(130)로 전송한다. 또한, 상기 인증 데이터 응답 메시지에는 통합 메시지 지원 유무에 대한 정보가 포함될 수 있다.
이동성 관리 장치(MME)(130)는 사용자 단말(UE)(110)로 인증 및 보안 설정을 위한 통합 메시지(Authentication Request / Security Mode Command)를 송신하고, 사용자 단말(UE)(110)로부터 상기 통합 메시지(Authentication Request / Security Mode Command)에 대한 응답 메시지(Authentication Response / Security Mode Complete)를 수신한다(S340)(S350). 이때, 상기 통합 메시지 및 통합 메시지에 대한 응답 메시지에는 인증 및 보안 설정을 위한 정보들이 포함될 수 있다. 예컨대, 상기 통합 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC 등과 같은 정보를 포함하며, 상기 통합 메시지에 대한 응답 메시지는 RES, NAS-MAC 등과 같은 정보를 포함할 수 있다. 또한, 상기 통합 메시지는 상술한 정보 이외에, Authentication request message type, NAS key set identifierASME, Security mode command message identity, Spare half octet, Replayed UE security capabilities, IMEISV request, Replayed nonceUE, NonceMME 정보를 더 포함할 수 있다. 그리고 상기 통합 메시지에 대한 응답 메시지는 상술한 정보 이외에, Authentication response message type, Authentication response parameter, Security mode complete message identity, IMEISV 정보를 더 포함할 수 있다. 예컨대, 상기 이동성 관리 장치(MME)(130)는 상기 S330단계에서 수신한 메시지에 통합 메시지 지원 가능에 관한 정보가 포함되어 있으면, 사용자 단말(UE)(110)로 통합 메시지를 송신하고, 상기 송신에 대한 응답 메시지를 수신할 수 있다. 이때, 상기 사용자 단말(UE)(110)로 송신되는 통합 메시지는 종래의 사용자 인증 및 보안 요청에 대한 메시지를 통합한 것으로, 종래에는 사용자 인증 및 보안 요청에 따른 메시지를 각각 개별적으로 송수신하였지만, 통합된 메시지를 한번만 송신하고 수신함으로써 네트워크의 트래픽을 감소시킬 수 있으며, 홈 가입자 장치(HSS)(140)의 부하를 경감시킬 수 있다. 상기 통합 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC 등과 같은 정보를 포함한다. 상기 통합 메시지에 대한 응답 메시지는 RES, NAS-MAC 등과 같은 정보를 포함할 수 있다. 구체적으로, 상기 이동성 관리 장치(MME)(130)는 상기 S330 단계에서, 홈 가입자 장치(HSS)(140)로부터 수신한 인증 벡터들을 저장하고, 그 중 하나의 인증 벡터를 선택하여 사용자 단말(UE)(110)과 상호 인증 및 보안 절차를 수행한다. 이동성 관리 장치(MME)(130)는 선택한 인증 벡터에서 RAND와 AUTN 값을 통합 메시지에 포함시켜 사용자 단말(UE)(110)로 전달하고, 상기 사용자 단말(110)은 이를 수신하여 EPS AKA 알고리즘을 사용하여 RES, AUTN, Kasme를 생성한다. 상기 사용자 단말(UE)(110)은 자신이 생성한 AUTN 값과 이동성 관리 장치(MME)(130)로부터 수신한 AUTN값을 비교하여 망을 인증하고, 망 인증이 성공하면 RES 값을 이동성 관리 장치(MME)(130)에게 전달한다. 상기 이동성 관리 장치(MME)(130)는 홈 가입자 장치(HSS)(140)로부터 수신했던 XRES와 사용자 단말(UE)(110)로부터 수신한 RES를 비교하여 사용자를 인증한다. 상술한 바와 같이 상호 인증을 성공적으로 마치면, 사용자 단말(UE)(110)과 이동성 관리 장치(MME)(130)는 동일한 Kasme를 갖게된다.
한편, 상기 이동성 관리 장치(MME)(130)는 상기 인증 절차의 진행과 동시에 아래와 같은 보안 절차를 수행할 수 있다. 이동성 관리 장치(MME)(130)는 보안 알고리즘들(Alg)을 선택하여, 이를 이용해 Kasme로부터 무결성 키와 암호화 키를 구한다. 이후, 상기 이동성 관리 장치(MME)(130)는 통합 메시지에 무결성 키를 적용해 NAS 메시지 인증 코드(NAS-MAC)를 생성하고, 선택한 보안 알고리즘들(Alg)과 NAS-MAC를 통합 메시지에 포함하여 사용자 단말(UE)(110)에게 전송한다. 상기 통합 메시지를 수신한 사용자 단말(UE)(110)은 이동성 관리 장치(MME)(130)가 선택한 보안 알고리즘들(Alg)을 이용하여 수신한 메시지에 대한 무결성을 검증하고, NAS 무결성/암호화 알고리즘을 이용하여 Kasme로부터 무결성 키와 암호화 키를 생성한다. 이후, 사용자 단말(UE)(110)은 이동선 관리 장치(MME)로부터 수신한 통합 메시지에 암호화 키를 적용하여 암호화하고, 상기 암호화된 메시지에 무결성 키를 적용하여 메시지 인증 코드인 NAS-MAC을 생성한다. 이후, 상기 사용자 단말(UE)(110)은 상기 암호화된 메시지에 NAS-MAC을 포함하여 이동성 관리 장치(MME)(130)로 전달한다. 상기 이동성 관리 장치(MME)(130)는 사용자 단말(UE)(110)로부터 통합 메시지에 대한 응답 메시지((Authentication Response / Security Mode Complete)를 수신하여, 무결성 키 및 암호화 키를 이용해 무결성 검증 및 복호화를 진행해 보안 절차를 진행한다. 상기 보안 절차가 성공적으로 마쳐지면, 사용자 단말(UE)(110)과 이동성 관리 장치(MME)(130) 간에 송수신되는 시그널링 메시지들은 보안 키들(무결성 키 및 암호화 키)에 의해 암호화되고 무결성 보호되어 무선 링크 상에서 안전하게 전달될 수 있다.
한편, 상기 이동성 관리 장치(MME)(130)는 상기 홈 가입자 장치(HSS)(140)로부터 수신한 인증 데이터 요청 메시지(Auth Info Request)에 대한 응답 메시지(Auth Info Answer)에 통합 메시지 지원 가능에 관한 정보가 포함되어 있지 않으면, 종래 기술에서와 마찬가지로 인증 절차 및 보안 절차를 위한 각각의 메시지를 개별적으로 사용자 단말(110)과 송수신할 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 앱으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.
110 : 사용자 단말(UE)
120 : 기지국(eNodeB)
130 : 이동성 관리 장치(MME)
140 : 홈 가입자 장치(HSS)
150 : 서빙 게이트웨이(SGW)
160 : 패킷 데이터 네트워크 게이트웨이(PGW)
170 : 패킷 데이터 네트워크(PDN)
210 : 인증 데이터 송수신부
230 : 통합 메시지 송수신부

Claims (8)

  1. 이동성 관리 장치가 사용자 단말로부터 망 등록 요청 메시지를 수신하는 단계;
    이동성 관리 장치가 홈 가입자 장치로 인증 데이터 요청 메시지를 송신하고 이에 대한 응답으로 인증 데이터 응답 메시지를 수신하는 단계; 및
    상기 이동성 관리 장치가 상기 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 응답으로 통합 응답 메시지를 수신하는 단계;를 포함하는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법.
  2. 제 1 항에 있어서,
    상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있는지 확인하는 단계;를 더 포함하고,
    상기 통합 응답 메시지를 수신하는 단계는, 상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있을 때 수행되는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법.
  3. 제 2 항에 있어서,
    상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있지 않은 경우, 상기 이동성 관리 장치가, 인증을 위한 메시지와 보안을 위한 메시지를 각각 개별적으로 상기 사용자 단말로 송신하고 개별적으로 응답 메시지를 수신하는 단계;를 더 포함하는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 통합된 인증 및 보안 요청 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC을 포함하며,
    상기 통합 응답 메시지는 RES, NAS-MAC을 포함하는 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법.
  5. 사용자 단말로부터 망 등록 요청 메시지를 수신함에 따라, 홈 가입자 장치로 인증 데이터 요청 메시지를 송신하고 이에 대한 응답으로 인증 데이터 응답 메시지를 수신하는 인증 데이터 송수신부; 및
    상기 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 통합 응답 메시지를 수신하는 통합 메시지 송수신부;를 포함하는 이동성 관리 장치.
  6. 제 5 항에 있어서,
    상기 통합 메시지 송수신부는,
    상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있는 경우, 사용자 단말로 통합된 인증 및 보안 요청 메시지를 송신하고 이에 대한 통합 응답 메시지를 수신하는 이동성 관리 장치.
  7. 제 6 항에 있어서,
    상기 통합 메시지 송수신부는,
    상기 인증 데이터 응답 메시지에 통합 메시지 지원 가능 정보가 포함되어 있지 않은 경우, 인증을 위한 메시지와 보안을 위한 메시지를 각각 개별적으로 상기 사용자 단말로 송신하고 개별적으로 응답 메시지를 수신하는 이동성 관리 장치.
  8. 제 5 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 통합된 인증 및 보안 요청 메시지는, RAND, AUTN, KSI, Alg, NAS-MAC을 포함하며,
    상기 통합 응답 메시지는 RES, NAS-MAC을 포함하는 이동성 관리 장치.
KR1020160007489A 2016-01-21 2016-01-21 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치 KR101780401B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160007489A KR101780401B1 (ko) 2016-01-21 2016-01-21 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160007489A KR101780401B1 (ko) 2016-01-21 2016-01-21 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치

Publications (2)

Publication Number Publication Date
KR20170087654A true KR20170087654A (ko) 2017-07-31
KR101780401B1 KR101780401B1 (ko) 2017-09-20

Family

ID=59418909

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160007489A KR101780401B1 (ko) 2016-01-21 2016-01-21 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치

Country Status (1)

Country Link
KR (1) KR101780401B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101835076B1 (ko) * 2017-11-15 2018-04-19 곽권섭 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101521892B1 (ko) * 2009-05-13 2015-05-20 삼성전자주식회사 무선통신 시스템에서 핸드오버 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101835076B1 (ko) * 2017-11-15 2018-04-19 곽권섭 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법
WO2019098679A1 (ko) * 2017-11-15 2019-05-23 곽권섭 보안강화 이피에스 에이케이에이 프로토콜을 이용한 이동통신 가입자 인증 방법

Also Published As

Publication number Publication date
KR101780401B1 (ko) 2017-09-20

Similar Documents

Publication Publication Date Title
US12081978B2 (en) System and method for security protection of NAS messages
US10841302B2 (en) Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system
US10911948B2 (en) Method and system for performing network access authentication based on non-3GPP network, and related device
US20180249479A1 (en) Data transmission and reception method and device of terminal in wireless communication system
KR20130015529A (ko) 이동통신 시스템에서 위치 기반 pcc 제어 방법 및 시스템, 위치 기반 pcc 제어를 위한 패킷 데이터 네트워크 게이트웨이 장치
KR20210076981A (ko) 세션 관리를 위한 방법 및 장치
EP2486741B1 (en) System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network
US9641531B2 (en) Node and a method for enabling network access authorization
US20170156047A1 (en) A node and method for providing authentication of a wireless device in a roaming state
CN106470397B (zh) WiFi网络中获取终端位置的方法、终端、LTE通信设备及系统
KR101780401B1 (ko) 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치
US10045391B2 (en) Methods, apparatuses and computer program products for prose communication
CN104349317A (zh) 一种移动网络的接入方法、ue、安全服务网关和系统
US9554350B1 (en) Systems and methods for wireless device attachment in a communication network
KR101954397B1 (ko) Lte 이동통신 시스템에서 패킷 차단 방법 및 패킷 차단 시스템
EP2600646B1 (en) Method for deriving key by multisystem radio access network and multisystem radio access network
EP3020238A1 (en) A node and method for private mobile radio services
Magalakshmi et al. Privacy Protection and Authentication Handover in 4G Network: A Survey of Literature
KR101851327B1 (ko) 이동 통신 단말 간 통신 서비스를 지원하는 방법 및 장치
EP4147493A1 (en) Multi-usim device accessing services of a second cellular network through a first cellular network via a gateway

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right