KR20230128748A - Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치 - Google Patents

Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
KR20230128748A
KR20230128748A KR1020220026014A KR20220026014A KR20230128748A KR 20230128748 A KR20230128748 A KR 20230128748A KR 1020220026014 A KR1020220026014 A KR 1020220026014A KR 20220026014 A KR20220026014 A KR 20220026014A KR 20230128748 A KR20230128748 A KR 20230128748A
Authority
KR
South Korea
Prior art keywords
digital signature
nas
nas message
base station
message
Prior art date
Application number
KR1020220026014A
Other languages
English (en)
Inventor
김민재
김영수
문대성
박종근
이종훈
김현진
박철희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020220026014A priority Critical patent/KR20230128748A/ko
Publication of KR20230128748A publication Critical patent/KR20230128748A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 및 이를 이용한 장치가 개시된다. 본 발명의 일실시예에 따른 NAS 메시지 인증 방법은 5G 무선 네트워크 환경의 기지국에서, PCI(PHYSICAL CELL ID)를 기반으로 생성된 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송하는 단계; 및 상기 단말에서, 상기 전자서명을 검증하고, 상기 전자서명이 정상적으로 검증된 경우에 상기 NAS 메시지의 수신을 허용하는 단계를 포함한다.

Description

PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 및 이를 이용한 장치 {METHOD FOR AUTHENTICATING NAS MESSAGE USING DIGITAL SIGNATURE BASED ON PCI AND APPARATUS USING THE SAME}
본 발명은 5G NAS(Non Access Stratum) Count 보안 위협 대응을 위한 기술에 관한 것으로, 특히 5G 무선 네트워크 내에서 단말과 코어망 간 등록/인증/해지 메시지 등을 송수신하는 NAS 계층에서 사용자의 정상적인 서비스를 불가능하게 하는 NAS Count reset을 유발할 수 있는 NAS 메시지가 정상 기지국으로부터 전송된 것인지 검증하는 기술에 관한 것이다.
현재 무선 네트워크 기술인 4G 네트워크와 5G 네트워크의 단말과 코어망 간 등록/인증/해지 메시지 등을 송수신하는 NAS 계층에서는, 단말과 네트워크의 동기화를 위해 NAS Count 값을 사용한다. NAS Count 값은 NAS 메시지 송수신 시 그 값이 1씩 순차적으로 증가되며, 단말과 네트워크에서 각각 지역적으로 저장하면서 단말과 네트워크의 인증 과정에 사용되는 Key gnb 등의 각종 Key를 발급하는데 관여한다. 단말과 네트워크는 동기화를 수신한 메시지의 NAS Count 값으로 자신의 지역 NAS Count 값을 업데이트 하는 과정을 진행한다.
만약, 공격자가 단말과 네트워크의 NAS Count 값이 0인 첫 NAS 메시지를 캡쳐하고 이후 재전송하는 경우에 NAS Count reset을 유발하게 된다. 이는, 인증 과정에 사용하는 Key 발급에 비동기화를 유발할 수 있고, 단말과 네트워크 측에서는 수신한 NAS 메시지의 NAS Count 값에 대한 별도의 인증 과정이 존재하지 않기 때문에 NAS Count 보안 위협에 취약하게 된다.
한국 공개 특허 제10-2016-0050039호, 2016년 4월 25일 공개(명칭: 기지국 유효성 판단 방법 및 이를 지원하는 전자 장치)
본 발명의 목적은 5G 네트워크 환경에 적용 가능한 PCI(Physical Cell ID)에 기반한 전자서명을 포함하는 NAS 메시지 송수신을 통해 NAS 메시지를 인증하는 방법을 제공하는 것이다.
또한, 본 발명의 목적은 5G 네트워크 환경에서 NAS 메시지를 수신 및 NAS Count 값을 업데이트함으로써 NAS count reset을 이용한 허위 기지국 공격에 대응할 수 있는 방법을 제안하는 것이다.
또한, 본 발명의 목적은 3GPP 규격상의 NAS 메시지 전송 성격을 해치지 않으면서 NAS 메시지 내에 PCI를 기반으로 생성한 전자서명을 포함시켜 전송함으로써 단말이 수신한 NAS 메시지에 대해 정상 기지국이 전송한 것인지 허위 기지국이 전송한 것인지를 인증하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 5G 무선 네트워크 환경의 기지국에서, PCI(PHYSICAL CELL ID)를 기반으로 생성된 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송하는 단계; 및 상기 단말에서, 상기 전자서명을 검증하고, 상기 전자서명이 정상적으로 검증된 경우에 상기 NAS 메시지의 수신을 허용하는 단계를 포함한다.
또한, 본 발명의 일실시예에 따른 5G 무선 네트워크 환경의 기지국 노드는 PCI(PHYSICAL CELL ID)를 이용하여 전자서명을 생성하고, 상기 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송하는 프로세서; 및 상기 전자서명을 저장하는 메모리를 포함한다.
또한, 본 발명의 일실시예에 따른 5G 무선 네트워크 환경의 단말 장치는 5G 무선 네트워크 환경의 기지국으로부터 NAS(NON ACCESS STRATUM) 메시지를 수신하여 전자서명을 검증하고, 상기 검증이 성공하는 경우에 상기 NAS 메시지를 처리하는 프로세서; 및 상기 NAS 메시지를 저장하는 메모리를 포함한다.
본 발명에 따르면, 5G 네트워크 환경에 적용 가능한 PCI(Physical Cell ID)에 기반한 전자서명을 포함하는 NAS 메시지 송수신을 통해 NAS 메시지를 인증하는 방법을 제공할 수 있다.
또한, 본 발명은 5G 네트워크 환경에서 NAS 메시지를 수신 및 NAS Count 값을 업데이트함으로써 NAS count reset을 이용한 허위 기지국 공격에 대응할 수 있다.
또한, 본 발명은 3GPP 규격상의 NAS 메시지 전송 성격을 해치지 않으면서 NAS 메시지 내에 PCI를 기반으로 생성한 전자서명을 포함시켜 전송함으로써 단말이 수신한 NAS 메시지에 대해 정상 기지국이 전송한 것인지 허위 기지국이 전송한 것인지를 인증할 수 있다.
도 1은 2G 코어 네트워크의 일 예를 나타낸 도면이다.
도 2는 3G 코어 네트워크의 일 예를 나타낸 도면이다.
도 3은 4G 코어 네트워크의 일 예를 나타낸 도면이다.
도 4는 2G 코어 네트워크 3G 코어 네트워크 및 4G 코어 네트워크에서 각각 암호화를 수행하는 과정의 일 예를 나타낸 도면이다.
도 5는 5G 코어 네트워크의 일 예를 나타낸 도면이다.
도 6은 단말과 5G 코어 네트워크 간의 NAS 메시지 송수신 과정의 일 예를 나타낸 도면이다.
도 7은 단말이 수신한 NAS 메시지의 일 예를 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법을 나타낸 동작흐름도이다.
도 9는 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 과정을 기지국과 단말 측면에서 상세하게 나타낸 도면이다.
도 10 내지 도 11은 본 발명에 따라 기지국에서 NAS 메시지를 생성하여 단말로 전송하는 상세한 과정의 일 예를 나타낸 도면이다.
도 12 내지 도 13은 본 발명에 따라 단말에서 NAS 메시지에 포함된 전자서명을 검증하는 상세한 과정의 일 예를 나타낸 도면이다.
도 14는 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 중 전자서명에 따라 기지국을 판별하는 과정을 상세하게 나타낸 동작흐름도이다.
도 15는 본 발명의 일실시예에 따른 기지국 노드 또는 단말 장치를 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
NAS 계층에서 단말과 네트워크 간의 동기화를 위해 사용하는 NAS Count에 의해 발생하는 5G 네트워크 보안 위협은 여러가지가 존재한다. 그 중에서 NAS Count를 리셋(reset)시켜 Key gnb의 비동기화를 유발하는 공격은 단말과 네트워크의 서비스 단절을 유발한다. 현재까지 이러한 NAS Count를 이용한 5G 네트워크 보안 위협에 대해 다뤄지는 보안 기술은 NAS 메시지 재전송 방지에 집중되어 있다.
도 1 내지 도 3에 도시된 2G 코어 네트워크, 3G 코어 네트워크 및 4G 코어 네트워크에서는 인증키를 이용한 인증 및 암호화를 통해 네트워크 보안을 수행한다. 그러나, 암호화 알고리즘을 사용하는 것이 아니라 단순히 인증키에 비트(bit)를 섞는 스크램블 비트 스트림(scramble bit stream) 암호화 방식을 사용하므로 보안에 취약한 부분이 존재한다.
이 때, 도 1에 도시된 HLR(Home Location Register)는 가입자 정보 보유 데이터베이스, VLR(Visitor Location Register)는 가입자 위치 등록기, AUC(Authentication Centre)는 인증 관련 엔티티, MSC(Mobile Switching Centre)는 기지국과의 연결 인터페이스에 해당한다.
이 때, 도 2에 도시된 SGSN(Serving GPRS Support Node)은 서비스 지역 내 기지국과 데이터 패킷 전달 노드, GGSN(Gateway GRPS Support Node)은 세션 및 이동성 관리 기능 담당 노드, PSTN(Public Switched Telephone Network)는 전화 서비스 제공 전화망에 해당한다.
이 때, 도 3에 도시된 HSS(Home Subscriber Server)는 가입자 정보 관리 역할을 수행하는 서버, MME(Mobility Management Entity)는 가입자 이동 관리 역할을 수행하는 엔티티, S-GW(Serving Gateway) 및 P-GW(PDN Gateway)는 인터넷과의 연결 중계 역할을 수행하는 게이트웨이, PCRF(Policy and Charging Rules Function)는 과금 정책 역할을 수행하는 펑션에 해당한다.
도 4는 코어 네트워크 3G 코어 네트워크 및 4G 코어 네트워크에서 각각 암호화를 수행하는 과정의 일 예를 나타낸 도면으로, 2G 코어 네트워크, 3G 코어 네트워크 및 4G 코어 네트워크에서는 특정 구간만이 암호화 되어 메시지가 전송되기 때문에 암호화 절차 이후에도 메시지 탈취가 쉽다는 문제가 있다.
이 때, 도 4에 도시된 AN은 Access Network, AS는 Access Stratum, RRC는 Radio Resouce Control, NAS는 Non-Access Stratum, CP는 Control Plane, UP는 User Plane에 해당한다.
본 발명에서 다루는 5G 코어 네트워크는 도 5에 도시된 형태에 상응할 수 있고, 5G 코어 네트워크는 2G 코어 네트워크 내지 4G 코어 네트워크와 다르게 무결성/암호화 알고리즘을 각각 정의해 사용한다. 또한, 도 5에 도시된 것처럼, AUSF, UDM, UDR, AMF 등으로 분리된 펑션(function)에서 각각이 담당하는 역할을 수행하는 형태로 인증 및 암호화에 관여하기 때문에 보안 취약점을 이용한 공격이 어렵다는 장점이 존재한다.
이 때, 도 5에 도시된 AMF(Access and Mobility Management Function)는 단말 등록/이동성 관리 함수, SMF(Session Management Function)는 단말 세션 등록 관리 함수, UDM(Unified Data Management)은 데이터 저장 및 조회 기능 제공 함수(AUSF와 함께 보안 관련 기능에도 사용), AUSF(Authentication Server Function)는 인증 및 보안 관련 함수, NRF(Network Repository Function, 5G Network Function)는 접근 관련 함수, NSSF(Network Slicing Selection Function)는 사용자 요청 서비스에 대한 최적의 네트워크 슬라이스 선택 기능 제공 함수, NEF(Network Exposure Function)는 네트워크 기능 노출 함수(보안, 가용성 등을 지원), PCF(Policy Control Function)는 5G 네트워크 동작의 정책 관련 함수에 해당한다.
이러한 5G 코어 네트워크의 경우, 무결성/암호화 알고리즘이 모두 의무적으로(mandatory) 적용되고, MAC(Message Authentication Code) 값을 이용하여 무결성 알고리즘을 정하는 메시지에 대한 무결성 또한 확인하기 때문에 보안성이 더욱 향상되었다.
도 6에 도시된 단말과 5G 코어 네트워크 간의 NAS 메시지 송수신 과정을 참고하면, 종래의 3GPP 규격에 상응하는 NAS 메시지는 PCI(Physical Cell ID) 기반 전자서명 생성 및 무결성 검증단계를 가지지 않으며, 기지국과 단말 사이에서 송수신되는 것을 알 수 있다.
즉, 일반적인 단말과 5G 코어 네트워크 간의 등록(Registration) 과정은, 등록 메시지(Registration), 인증 메시지(Authentication), 무결성 및 알고리즘 메시지(Security mode Procedure)의 교환을 통해 이루어질 수 있다.
이 때, Security Mode Procedure 이전 메시지에서는 무결성 검증 과정이 존재하지 않고, 도 7에 도시된 것처럼 NAS Count의 일부분인 Sequence 값(700)이 평문으로 전송되기 때문에 정상 기지국이 보낸 메시지와 허위 기지국이 보낸 메시지를 구분할 수 없다.
NAS 메시지는 5G 코어 네트워크 환경에서 단말과 네트워크 간 제어와 관련된 중요 신호들을 포함한다. 특히, NAS Count 값은 도 7과 같이 평문으로 전송되기 때문에 공격자가 메시지를 도청해 Count 값을 쉽게 알아낼 수 있다는 취약성이 존재한다. 즉, NAS Count 값의 업데이트 정책 상 수신한 메시지의 Count 값으로 업데이트 되기 때문에 공격자가 NAS Count 업데이트 과정 중간에 침투하여 Count 값의 비동기화를 유발하는 등의 보안 취약성이 존재한다.
따라서, 본 발명에서는 5G 코어 네트워크에서 NAS 메시지를 전달할 때, NAS Count 취약성에 대응하기 위한 방안을 제안하고자 한다.
도 8은 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법을 나타낸 동작흐름도이다.
도 8을 참조하면, 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법은, 5G 무선 네트워크 환경의 기지국에서, PCI(PHYSICAL CELL ID)를 기반으로 생성된 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송한다(S810).
이 때, PCI(PHYSICAL CELL ID)는 단말과 기지국이 사전에 약속한 값에 상응하는 것으로, 기지국의 ID 값에 해당할 수 있다.
이 때, 기지국에서 NAS 메시지를 전송하는 과정은 도 9의 단계(S912) 내지 단계(S916)과 같이 세분화할 수 있다.
도 9를 참조하면, 5G 무선 네트워크 환경의 기지국(910)에서는 먼저 PCI 기반의 전자서명을 생성할 수 있다(S912).
이 후, 전자서명이 포함된 NAS 메시지를 설정할 수 있다(S914).
이 때, NAS 메시지의 앞 부분에 전자서명을 추가할 수 있다.
이 후, 기지국(910)과 통신하기 위한 단말(920)로 전자서명이 포함된 NAS 메시지를 전송할 수 있다(S916).
이 때, NAS 메시지 앞 부분에 전자서명을 포함시켜 전송함으로써 전송하는 NAS 메시지에 대한 무결성 검증을 수행할 수 있다.
이하에서는 도 10 내지 도 11을 참조하여, NAS 메시지 앞 단에 PCI(Physical Cell ID) 값 기반의 전자서명을 추가하는 과정을 상세하게 설명하도록 한다.
먼저, 도 10을 참조하면, 5G 네트워크에서 관리되는 기지국의 ID 값인 값인 PCI(Physical Cell ID) 값을 해쉬 함수를 통해 해쉬화 한 Message Digest 값을 계산한다(S1010).
예를 들어, 도 11을 참조하면, 메시지 다이제스트 알고리즘(Message Digest Algorithm)을 이용하여 PCI(1110) 값을 해쉬화하여 Message Digest 값(1120)을 계산할 수 있다.
이 후, 정상 기지국의 개인키를 사용하여 Message Digest 값에 대한 암호화를 수행하여 암호화된 Message Digest 값에 해당하는 전자서명을 생성한다(S1020).
예를 들어, 도 11을 참조하면, 암호화 알고리즘(Encryption Algorithm)에 상응하게 Message Digest 값(1120)을 정상 기지국의 개인키(Base Station's Private Key)로 암호화하여 암호화된 Message Digest 값(1130)에 해당하는 전자서명을 생성할 수 있다.
이 후, 전자서명을 NAS 메시지 앞에 함께 포함시켜 NAS 메시지를 설정하고, 전자서명을 포함하는 NAS 메시지를 단말에게 전송한다(S1040).
예를 들어, 도 11을 참조하면, 암호화된 Message Digest 값(1130)에 상응하는 전자서명(Digital Sign)을 포함하는 NAS 메시지(1140)를 단말로 전송할 수 있다.
또한, 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법은, 상기 단말에서, 전자서명을 검증하고, 전자서명이 정상적으로 검증된 경우에 NAS 메시지의 수신을 허용한다(S820).
이 때, 단말 측면에서 동작하는 과정은 도 9의 단계(S922) 내지 단계(S926)과 같이 세분화할 수 있다.
도 9를 참조하면, 단말(920)에서는 먼저 기지국(910)으로부터 전송된 NAS 메시지를 수신할 수 있다(S922).
이 후, NAS 메시지에 포함된 전자서명을 검증할 수 있다(S924).
이 때, NAS 메시지에 포함된 전자서명을 검증하는 과정은 일반적으로 전자서명을 검증하는 방식과 동일할 수 있다.
이 후, 전자서명이 정상인것으로 검증되면 기지국(910)과의 통신을 수행할 수 있다(S926).
이하에서는 도 12 내지 도 13을 참조하여, 전자서명을 검증하는 과정을 상세하게 설명하도록 한다.
먼저, 도 12를 참조하면, 기지국으로부터 NAS 메시지를 수신하고(S1210), NAS 메시지 앞 단에 포함된 전자서명을 검증할 수 있다(S1220).
이 때, 기지국의 공개키로 전자서명을 복호화하여 획득한 Message Digest 값과 단말이 단말은 기지국과 첫 연결 뒤에 Measurement report/config를 주고받아 획득한 PCI 값을 해시화하여 획득한 Message Digest 값을 비교하는 과정을 통해 전자서명의 검증을 수행할 수 있다.
예를 들어, 도 13을 참조하면, 단말은 기지국과 첫 연결 뒤에 Measurement report/config를 주고받아 주변 기지국들의 PCI(Physical Cell ID) 값을 알고 있다고 가정할 수 있다. 이렇게 알고있는 기지국의 PCI 값(1321)을 기지국에서 사용한 메시지 다이제스트 알고리즘(Message Digest Algorithm)으로 해쉬화하여 검증을 위한 비교값인 제1 Message Digest 값(1331)을 생성할 수 있다. 또한, 기지국에서 사용한 암호화 알고리즘(Encryption Algorithm)과 정상 기지국의 개인키(Base Station's Private Key)로 전자서명(1322)을 복호화하여 검증을 위한 제2 Message Digest 값(1332)을 생성할 수 있다. 이 후, 제1 Message Digest 값(1331)과 제2 Message Digest 값(1332)이 동일한지 여부를 통해 전자서명의 검증을 수행할 수 있다.
이 후, 전자서명이 정상적으로 검증되는 경우에 NAS 메시지를 수신하고(S1230), 기지국과의 통신을 수행할 수 있다(S1240).
예를 들어, 도 11을 참조하면, 제1 Message Digest 값(1331)과 제2 Message Digest 값(1332)이 동일하면(YESE), 전자서명이 유효한 것으로 판단하고, NAS 메시지를 수신하여 기지국과의 통신을 수행할 수 있다. 또한. 제1 Message Digest 값(1331)과 제2 Message Digest 값(1332)이 동일하지 않으면, 전자서명이 유효하지 않으므로 NAS 메시지를 전송한 기지국이 허위 기지국인 것으로 판단할 수 있다. 따라서, 허위 기지국으로부터 수신된 NAS 메시지를 무시하거나 거절할 수 있다.
이와 같은 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법을 통해 5G 네트워크 환경에서 NAS 메시지를 인증할 수 있다.
또한, 5G 네트워크 환경에서 NAS 메시지를 수신 및 NAS Count 값을 업데이트함으로써 NAS count reset을 이용한 허위 기지국 공격에 대응할 수 있다.
또한, 3GPP 규격상의 NAS 메시지 전송 성격을 해치지 않으면서 NAS 메시지 내에 PCI를 기반으로 생성한 전자서명을 포함시켜 전송함으로써 단말이 수신한 NAS 메시지에 대해 정상 기지국이 전송한 것인지 허위 기지국이 전송한 것인지를 인증할 수 있다.
도 14는 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 중 전자서명에 따라 기지국을 판별하는 과정을 상세하게 나타낸 동작흐름도이다.
도 14를 참조하면, 본 발명의 일실시예에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 중 전자서명에 따라 기지국을 판별하는 과정은, 5G 무선 네트워크 환경의 기지국에서, PCI(PHYSICAL CELL ID)를 기반으로 전자서명을 생성하고, 생성된 전자 서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 설정한다(S1410).
이 후, 기지국에서 단말로 NAS 메시지를 송신하면(S1420), 단말에서는 NAS 메시지를 수신하여 NAS 메시지에 포함된 전자서명을 검증할 수 있다(S1430).
이 후, 전자서명의 검증을 통해 전자서명이 정상인지, 즉 유효한지 여부를 판단하고(S1435), 전자서명이 정상이면(유효하면), NAS 메시지를 전송한 기지국이 정상 기지국인것으로 판별하고 NAS 메시지를 수신하여 처리할 수 있다(S1440).
즉, 전자서명이 정상이면 NAS 메시지의 무결성이 유지된 것이기 때문에 해당 NAS 메시지의 수신을 허용할 수 있다.
또한, 단계(S1435)의 판단결과 전자서명이 정상이 아니면(유효하지 않으면), NAS 메시지를 전송한 기지국이 허위 기지국인것으로 판별하고 수신된 NAS 메시지를 무시할 수 있다(S1450).
즉, 전자서명이 정상이 아니면 NAS 메시지의 무결성이 훼손된 것이기 때문에 NAS 메시지 수신을 거부할 수 있다.
이와 같은 방식을 통해 정상 기지국이 보내는 NAS 메시지만을 수신 허용할 수 있고, 수신 허용된 NAS 메시지의 NAS Count 값으로만 단말의 Count 값을 동기화함으로써 5G 네트워크의 NAS Count 관련 보안 위협에 대응할 수 있다.
도 15는 본 발명의 일실시예에 따른 기지국 노드 또는 단말 장치를 나타낸 도면이다.
도 15를 참조하면, 본 발명의 일실시예에 따른 기지국 노드 또는 단말 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 15에 도시된 바와 같이, 컴퓨터 시스템(1500)은 버스(1520)를 통하여 서로 통신하는 하나 이상의 프로세서(1510), 메모리(1530), 사용자 입력 장치(1540), 사용자 출력 장치(1550) 및 스토리지(1560)를 포함할 수 있다. 또한, 컴퓨터 시스템(1500)은 네트워크(1580)에 연결되는 네트워크 인터페이스(1570)를 더 포함할 수 있다. 프로세서(1510)는 중앙 처리 장치 또는 메모리(1530)나 스토리지(1560)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1530) 및 스토리지(1560)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1531)이나 RAM(1532)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 측면에 따른 방법을 수행할 수 있다.
예를 들어, 본 발명의 일실시예에 따른 5G 무선 네트워크 환경의 기지국 노드는 프로세서(1510)를 통해 PCI(PHYSICAL CELL ID)를 이용하여 전자서명을 생성하고, 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송한다.
이 때, 기지국 노드의 메모리(1530)는 NAS 메시지를 전송하는 과정에서 발생하는 다양한 정보를 저장한다.
다른 예를 들어, 본 발명의 일실시예에 따른 5G 무선 네트워크 환경의 단말 장치는 프로세서(1510)를 통해 5G 무선 네트워크 환경의 기지국 노드로부터 NAS(NON ACCESS STRATUM) 메시지를 수신하여 전자서명을 검증하고, 검증이 성공하는 경우에 NAS 메시지를 처리한다.
이 때, 단말 장치의 메모리(1530)는 NAS 메시지의 전자서명을 검증하는 과정에서 발생하는 다양한 정보를 저장한다.
이와 같은 기지국 노드 및 단말을 이용함으로써 5G 네트워크 환경에서 NAS 메시지를 인증할 수 있다.
또한, 5G 네트워크 환경에서 NAS 메시지를 수신 및 NAS Count 값을 업데이트함으로써 NAS count reset을 이용한 허위 기지국 공격에 대응할 수 있다.
또한, 3GPP 규격상의 NAS 메시지 전송 성격을 해치지 않으면서 NAS 메시지 내에 PCI를 기반으로 생성한 전자서명을 포함시켜 전송함으로써 단말이 수신한 NAS 메시지에 대해 정상 기지국이 전송한 것인지 허위 기지국이 전송한 것인지를 인증할 수 있다.
이상에서와 같이 본 발명에 따른 PCI 기반의 전자서명을 이용한 NAS 메시지 인증 방법 및 이를 이용한 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
910: 기지국 920: 단말 장치
1500: 컴퓨터 시스템 1510: 프로세서
1520: 버스 1530: 메모리
1531: 롬 1532: 램
1540: 사용자 입력 장치 1550: 사용자 출력 장치
1560: 스토리지 1570: 네트워크 인터페이스
1580: 네트워크

Claims (1)

  1. 5G 무선 네트워크 환경의 기지국에서, PCI(PHYSICAL CELL ID)를 기반으로 생성된 전자서명을 포함하는 NAS(NON ACCESS STRATUM) 메시지를 단말로 전송하는 단계; 및
    상기 단말에서, 상기 전자서명을 검증하고, 상기 전자서명이 정상적으로 검증된 경우에 상기 NAS 메시지의 수신을 허용하는 단계
    를 포함하는 것을 특징으로 하는 NAS 메시지 인증 방법.
KR1020220026014A 2022-02-28 2022-02-28 Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치 KR20230128748A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220026014A KR20230128748A (ko) 2022-02-28 2022-02-28 Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220026014A KR20230128748A (ko) 2022-02-28 2022-02-28 Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치

Publications (1)

Publication Number Publication Date
KR20230128748A true KR20230128748A (ko) 2023-09-05

Family

ID=87973583

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220026014A KR20230128748A (ko) 2022-02-28 2022-02-28 Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치

Country Status (1)

Country Link
KR (1) KR20230128748A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050039A (ko) 2013-08-28 2016-05-10 퀄컴 인코포레이티드 낮은 레이트 데이터 통신

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160050039A (ko) 2013-08-28 2016-05-10 퀄컴 인코포레이티드 낮은 레이트 데이터 통신

Similar Documents

Publication Publication Date Title
CN101512537B (zh) 在自组无线网络中安全处理认证密钥资料的方法和系统
JP3513054B2 (ja) 無線システムにおける空中通信を機密化するための方法
JP4263384B2 (ja) ユーザ加入識別モジュールの認証についての改善された方法
US7660417B2 (en) Enhanced security design for cryptography in mobile communication systems
EP1512307B1 (en) Method and system for challenge-response user authentication
US8379854B2 (en) Secure wireless communication
US8948386B2 (en) Authentication of a mobile device by a network and key generation
US9668139B2 (en) Secure negotiation of authentication capabilities
US8307202B2 (en) Methods and systems for using PKCS registration on mobile environment
US20090282256A1 (en) Secure push messages
US20220116777A1 (en) A Method for Authentication a Secure Element Cooperating with a Mobile Equipment within a Terminal in a Telecommunication Network
JP2012110009A (ja) エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成
US10212144B2 (en) Digital credential with embedded authentication instructions
CN109788480B (zh) 一种通信方法及装置
JP4634445B2 (ja) I−wlanの一時アイデンティティを記憶する方法及びシステム
Mobarhan et al. Evaluation of security attacks on UMTS authentication mechanism
Saxena et al. SecureSMS: A secure SMS protocol for VAS and other applications
EP1680940A1 (en) Method of user authentication
WO2023216531A1 (zh) 一种通信鉴权处理方法、装置、设备及计算机可读存储介质
Lin Security and authentication in PCS
KR20230128748A (ko) Pci 기반의 전자서명을 이용한 nas 메시지 인증 방법 및 이를 이용한 장치
KR20080034052A (ko) 개인 식별 번호를 사용하는 인증 처리 방법
US20230246809A1 (en) Processing module for authenticating a communication device in a 3g capable network
Van der Merwe Mobile commerce over GSM: A banking perspective on security
CN113972996A (zh) 一种门锁接入网关的方法、系统、存储介质及电子设备