WO2010019021A9 - 이동 통신 시스템의 비계층 프로토콜 처리 방법 및 이동통신 시스템 - Google Patents

Abstract

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access -Stratum 즉 네트웍 계층 : 이하 NAS 로 표기) 프로토콜을 이용하여 단말의 이동성을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성을 관리하기 위한 방법은, 단말(이하 UE 로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME 로 표기)를 포함하며, 보안이 되는 NAS 메시지와 보안이 되지 않는 NAS 메시지를 효율적으로 구분 처리하며, 3GPP 의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management)와 세션을 관리하는 메시지인ESM(Evolved Session Management) 메시지를 효율적으로 구분하여 처리함으로써 단말의 이동성과 세션을 효율적으로 관리하는 이점이 있다.

Description

이동 통신 시스템의 비계층 프로토콜 처리 방법 및 이동통신 시스템

본 발명은 이동 통신 시스템에 대한 것으로서, 특히 NAS 프로토콜을 통한 단말의 이동성을 효율적으로 관리하기 위한 방법에 관한 것이다.

일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다.

상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP 의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 이동성 제공을 위하여 개선 방안을 제시하였으며, 또한 이와 아울러 NAS 단에서 보안성을 강화하여 NAS 프로토콜을 위한 보안 관리 방안을 강화 하였다.

하지만, 현재 NAS 프로토콜 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 정확한 속성이 정의 되어 있지 않다. 또한 현재의 정의로는 실제 동작에 있어서 NAS 프로토콜 동작에 있어서 동작 불가 혹은 동작의 불분명의 문제점이 발생하였다. 따라서, NAS 프로토콜이 보안성 지원과 이동성 지원 및 세션 지원을 효율적으로 지원하기 위한 프로토콜 정의가 필요하다.

본 발명은 3GPP EPS 를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜을 지원하는 경우, 단말에게 보안성, 이동성, 세션 관리 등을 안전하고 효율적으로 수행하는 방법 및 시스템을 제공한다. 또한 본 발명은 단말과 이동성 관리자 간의 프로토콜인 NAS 메시지를 정의하여, 3GPP EPS 내에서 뿐만아니라 3GPP EPS가 아닌 다른 무선 접속 기술, 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 이동성, 세션 관리 방법 등을 제공한다.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access -Stratum 즉 네트웍 계층 : 이하 NAS 로 표기) 프로토콜을 이용하여 단말의 이동성을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성을 관리하기 위한 방법은, 단말(이하 UE 로 표기)과 이동 관리자(MME , mobility management entity : 이하 MME 로 표기)를 포함하며, 보안이 되는 NAS 메시지와 보안이 되지 않는 NAS 메시지를 효율적으로 구분 처리하며, 3GPP의 EPS(Evolved Packet System)와 같은 네트워크에서, 이동성 관리 메시지와 EMM(EPS Mobility Management)과 세션을 관리하는 메시지인 ESM(Evolved Session Management) 메시지를 효율적으로 구분하여 처리함으로써 단말의 이동성과 세션을 효율적으로 관리할 수 있다.

본 발명의 실시예에 따른 이동통신 시스템의 NAS 프로토콜 메시지 처리 방법은, 첫번째 octet의 하위 영역에 프로토콜 구분자, 상위 영역에 프로토콜 구분자 확장자가 저장되고, 두번째 octet의 하위 영역에 보안헤더 타입이 저장되는 NAS 프토토콜 메시지를 수신하는 과정과, 상기 수신된 메시지의 프로토콜 구분자를 분석하는 과정과, 상기 프로토콜 구분자가 프로토콜 구분 확장자 식별자이면 상기 메시지의 프로토콜 구분자 확장자 영역의 데이터를 분석하여 메시지를 처리하는 과정으로 이루어짐을 특징으로 한다.

여기서 상기 프로토콜 구분자는 ESM 메시지, EMM 메시지 또는 프로토콜 구분자 확장자를 식별하기 위한 데이터가 될 수 있으며, 상기 프로토콜 구분자 확장자는 무결성 보호 EPS 메시지 또는 무결성 및 암호화 보호 EPS 메시지를 구분하는 데이터가 될 수 있다. 또한 상기 프로토콜 구분자 확장자는 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지, 무결성 보호 ESM 메시지 또는 무결성 및 암호화 보호 ESM 메시지를 구분하는 데이터가 될 수 있다. 그리고 상기 프로토콜 구분자가 EMM 메시지이면, 상기 보안헤더 타입을 분석하는 과정과, 상기 보안헤더 타입의 데이터에 따라 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지 또는 서비스 요청 메시지로 처리하는 과정을 수행한다.

또한 본 발명의 실시예에 따른 이동통신 시스템은, 기지국의 서비스 영역인 셀 내에 위치하는 단말들과, 상기 기지국을 통해 단말들과 NAS 프로토콜 메시지를 이용하여 단말의 이동성을 관리하는 이동관리자로 구성되며, 상기 단말 및 이동관리자가 처리하는 NAS 프로토콜 메시지는 ESM메시지, EMM 메시지 또는 프로토콜 구분자 확장자를 구분하기 위한 프로토콜 구분자와, EMM/ESM/보안여부를 구분하기 위한 프로토콜 구분자 확장자와, 보안여부를 표시하는 보안헤더타입과, 메시지의 무결성을 검증하는 메시지 인증 코드(MAC)와, 시퀀스 번호와, NAS 메시지들로 구성되는 것을 특징으로 한다.

여기서 상기 프로토콜 구분자는 상기 NAS 프로토콜 메시지의 첫번째 octet의 하위 4비트 영역에 저장되며, 상기 프로톨콜 구분자 확장자는 첫번째 octet의 상위 4비트 영역에 저장되고, 상기 보안헤더 타입은 두번째 octet의 하위 4비트 영역에 저장되는 것을 특징으로 한다. 그리고 상기 상기 프로토콜 구분자 확장자는 무결성 보호 EPS 메시지 또는 무결성 및 암호화 보호 EPS 메시지를 구분하는 데이터가 될 수 있으며, 상기 프로토콜 구분자 확장자는 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지, 무결성 보호 ESM 메시지 또는 무결성 및 암호화 보호ESM 메시지를 구분하는 데이터가 될 수 있다.

이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access -Stratum 즉 네트웍 계층 : 이하 NAS 로 표기) 프로토콜 을 이용하여 단말의 이동성을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성을 관리하기 위한 방법은, 단말(이하 UE 로 표기)과 이동 관리자(MME , mobility management entity : 이하MME 로 표기)를 포함하며, 보안이 되는 NAS 메시지와 보안이 되지 않는 NAS 메시지를 효율적으로 구분 처리하며, 3GPP 의EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지와 EMM(EPS Mobility Management)과, 세션을 관리하는 메시지인 ESM(Evolved Session Management) 메시지를 효율적으로 구분하여 처리함으로써 단말의 이동성과 세션을 효율적으로 관리하는 이점이 있다.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템 환경과 전체 동작을 도시한 블록도

도 2 - 도 4는 본 발명의 실시 예에 따른 MME 및 UE 의 NAS 프로토콜의 효율적 관리 방안의 동작을 나타낸 순서도

도 5는 본 발명의 실시 예에 따른 MME 및 UE 의 NAS 프로토콜의 효율적 관리 방안의 동작을 나타낸 일 실시예

도 6은 본 발명의 실시 예에 따른 MME 및 UE 의 NAS 프로토콜의 효율적 관리 방안의 동작을 나타낸 일 실시예

도 7은 본 발명의 실시 예에 따른 MME 및 UE 의 NAS 프로토콜의 효율적 관리 방안의 동작을 나타낸 일 실시예

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 NAS 프로토콜을 이용하여 단말과 MME 간의 보안성, 이동성, 세션 관리 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다.

따라서 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 보안성, 이동성, 세션 관리를 지원하는 방법은 유사한 기술적 배경 및 채널 형태를 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.

도 1은 본 발명의 바람직한 실시예에 따른 이동 통신 시스템 환경과 전체 동작을 도시한 블록도이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다.

도 1을 참조하면, 기지국(evolved node Base station: E Node B : 이하 eNB이라 칭함)(112)는 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트웨이(Packet Data Network Gate Way : 이하 PDN GW 로 칭함)(118)가 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다.

본 발명에서는 단말(110)의 이동성 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말 사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와 이동성 관리를 위하여 단말(110)와 MME(114) 사이에 도입된 NAS 프로토콜은 3GPP 시스템에서도 있던 것으로, EPS 시스템으로 되면서 보안성이 강화 되었으며, EPS 에서 효율적 데이터 통신을 위해서 도입된 특성 들을 지원하기 위하여 NAS 프로토콜을 보완하고 있다. 본 발명의 실시예에서는 NAS 프로토콜이 효율적으로 동작할 수 있도록 일반적 메시지 형태를 구체화하여 정의한다.

이하에서 설명되는 도 2 - 도 7의 동작은 단말(UE)(110) 및 MME(114)에서 수행될 수 있다. 본 발명의 실시예에서는 상기 MME(114)를 중심으로 살펴보기로 하며, 이와 같은 동작은 상기한 바와 같이 UE(110)에서 동일하게 수행될 수 있다.

도 2 - 도 4는 본 발명의 실시 예에 따른 단말(110) 및 MME(114)가 NAS 프로토콜의 메시지 헤더를 생성, 해독하기 위한 절차를 나타낸 흐름도 이다.

상기 도 2 - 도 4를 참조하면, 현재 NAS 프로토콜은 보안화된 NAS 프로토콜(security protected NAS protocol) 및 보안화되지 않는 NAS 프로토콜이 있고, EPS NAS 프로토콜을 지원하기 위하여 EPS 이동성 관리(Evolved Mobility Management: 이하 EMM으로 표기), EPS 세션 관리(Evolved Session Management : 이하 ESM으로 표기)가 있다.

먼저 MME(114)는 201 단계에서 현재 NAS 프로토콜을 구분하는 프로토콜 구분자(protocol discriminator)를 검사하여 해당하는 NAS 프로토콜 관리 기능을 수행한다. 즉, 상기 201단계에서 프로그램 구분자를 분석한 후, 그 종류에 따라 해당하는 EMM, ESM 을 수행하고, 또는 보안 헤더를 구분하기 위하여 프로토콜 구분자 확장자(protocol discriminator extension: PDE)를 사용하거나 혹은 EMM과 ESM 메시지를 사용하여 메시지를 구성한다. 본 발명의 실시예에서는 가능할 수 있는 조합을 정의할 것이며, 그 중에 적어도 하나의 것을 취하는 방법이 가능하다. 즉, 상기 NAS 프로토콜 메시지는 프로토콜 구분자 확장자(protocol discirminator extension)을 사용하지 않는 하기 [표 2]와 같이 메시지 또는 상기 프로토콜 구분자 확장자를 사용하는 [표 3]과 같은 메시지가 존재한다. 본 발명의 실시예에서는 상기 프로토콜 구분자 확장자를 사용하는 예를 중심으로 살펴보기로 한다.

상기 EMM 메세지를 구분하는 방법을 살펴보면, 상기 MME(114)는 213단계에서 EMM 메시지가 보안화 된 것인지를 보안 헤더(security header)를 통하여 구분하고, 보안화되지 않은 경우 215 단계에서 보안화 되지 않은 EMM 메시지를 구성한다. 한편 보안화 된 EMM 메시지 중에서 서비스 요청(Service request) 메시지는 무선 접속이 끊어졌을 때에 회복(recovery)을 위하여 제일 먼저 전송되는 메시지 이다. 따라서 상기 MME(114)는 보안화된 EMM 메시지이면 217 단계에서 서비스 요청 메시지인가 검사하며, 서비스 요청 메시지이면 219 단계에서 같이 별도의 메시지로 정의한다. 상기 서비스 요청 메시지는 무결성 보안을 지원하는 메시지이다. 한편 상기 217단계에서 서비스 요청 메시지가 아닌 것으로 확인되면, 상기 MME(114)는 221 단계에서 같이 무결성과 암호화을 둘다 지원하는지 여부를 검사한다. 이때 상기 MME(114)는 . 무결성만 지원하는 경우 223 단계에서 무결성을 지원하는 메시지(integrity protected message)를 구성하며, 무결성과 암호화를 다 지원하는 경우 225 단계에서 무결성과 암호화를 지원하는 메시지(integrity & ciphering protected message)를 구성한다.

한편 상기 201단계에서 ESM 메시지의 경우로 판단되면, 상기 MME(114)는 243 단계에서 보안 지원이 되는지 아닌지를 판단한다. 보안 지원이 되지 않으면, 상기 MME(114)는 245 단계에서 보안 지원이 되지 않는 ESM 메시지를 구성하며, 247단계에서 EPS 베어러 식별자(EPS bearer identity)를 처리한다. 즉, EPS 베어러 아이덴티티 혹은 보안 헤더로 쓸 수 있는 octet 1의 5678 번 비트는 247 단계에서 EPS 베어러 아이덴티티로 사용되어 세션 관리에 있어서 베어러를 구분하는데에 사용된다.

한편 보안이 지원되는 경우는 2가지 방법으로 구성할 수 있는데, 그 하나는 EPS 베어러 아이덴티티이고, 나머지 하나는 보안 헤더(security header)로 구성하는 방법이다. 이하의 설명에서는 그 하나의 방법을 설명하기로 한다. 상기 MME(114)는 245 단계에서 EPS 베어러 아이덴티티(EPS bearer identity) 혹은 보안 헤더(표 2와 같은 메시지인 경우에는 octet 1의 상위 4비트, 표 3과 같은 메시지인 경우에는 octet 2의 하위 4비트)를 이용할 수 있다. 이하의 설명에서 본 발명의 실시예에 따른 NAS 프로토콜 메시지의 구조는 [표 3]과 같은 구성을 가지는 메시지인 경우를 가정하여 설명한다. 즉 EPS 베어러 아이덴티티를 사용할 수는 없고, 이 부분을 보안 헤더(security header)로 사용하는 것이다. 이럴 경우, 상기 MME(114)는 249 단계에서 무결성만 지원할지 아니면 무결성과 암호화를 지원할지 여부를 검사한다. 이때 MME(114)는 251 단계에서 octet 2의 하위 1234비트를 보안 헤더로 인식하여 무결성만 지원하는 ESM 메시지를 구성할 수도 있고, 253 단계에서 octet 2의 하위 1234비트를 보안 헤더로 인식하여 무결성과 암호화를 지원하는 ESM 메시지를 구성할 수도 있다.

한편 상기 MME(114)는 ESM, EMM, 보안화 여부를 구분하기 위하여 프로토콜 구분자 확장자(protocol discriminator extension: extended PD)를 이용하는 방법이 있을 수 있다. 따라서 상기 MME(114)는 201단계에서 프로토콜 구분자 확장자의 사용을 감지하면, 273 단계에서 프로토콜 구분자(protocol discrimnator) 및 프로토콜 구분자 확장자(protocol discriminator extension)를 검사한 후, 275단계 - 289단계를 통해 각 메시지들을 구분한다. 즉, octet 1의 1234번 비트인 프로토콜 구분자(protocol discriminator)에서 프로토콜 구분자 확장자(protocol discriminator extension) 사용을 표기하고, octet 1의 5678번 비트를 프로토콜 구분자 확장자(protocol discriminator extension)로 사용하여 275 단계에서 무결성 보호 ESM 메시지인지, 277 단계에서와 같이 무결성과 암호화된 ESM 메시지인지, 289 단계에서와 같이 보안화 되지 않은 ESM 메시지 인지를 구분한다.

한편 EMM 메시지의 경우도 273 단계에서 프로토콜 구분자 확장자(protocol discriminator extension)를 이용할 수 있는데, octet 1의 1234번 비트인 프로토콜 구분자(protocol discriminator)에서 프로토콜 구분자 확장자(protocol discriminator extension) 사용을 표기하고, octet 1의 5678 번 비트를 프로토콜 구분자 확장자(protocol discriminator extension)로 사용하여 281 단계에서 서비스 요청 메시지 인지, 283 단계에서 무결성 보호 EMM 메시지인지, 285 단계에서 무결성과 암호화된 EMM 메시지 인지, 287 단계에서 보안화 되지 않은 EMM 메시지 인지를 구분한다.

또는 EMM 메시지 인지, ESM 메시지 인지 구분하지 아니하고 287 단계에서 integrity protected EPS 메시지 인지, 289 단계에서 intergrity and ciphering protected EPS 메시지 인지를 구분할 수 도 있다.

이하 하기에서 도 5 - 도 7을 통해서 도 2 - 도 4에서 본 발명의 실시예에 따른 단말(110) 및 MME(114) NAS 프로토콜의 메시지 헤더를 생성, 해독하기 위한 절차를 나타낸 흐름도의 실시예를 살펴 보기로 한다.

도 5는 단말(110) 및 MME(114) NAS 프로토콜의 메시지 헤더를 생성, 해독하기 위한 절차를 나타낸 흐름도를 도시하는 도면으로써, 보안화된 NAS 메시지의 프로토콜 구분자(이하 protocol discriminator : PD로 표기)가 EMM인 상황에서 Security protection을 위해서 사용되는 실시예이다.

상기 도 5를 참조하면, MME(114)는 301 단계에서 프로토콜 구분자를 판단하여 EMM 또는 ESM 메시지를 구분한다. 여기서 상기 MME(114)는 상기 PD 값이 0111을 나타내는 경우는 EMM 메시지로 사용 혹은 판독하며, 상기 PD 값이 1101을 나타내는 경우는 ESM 메시지로 사용 혹은 판독한다. 이때 상기 301단계에서 EMM 메세지로 판독되면(즉, PD=0111), 상기 MME(114)는 311단계에서 보안 헤더 타입(security header type)인가 검사한다. 즉, 상기 MME(114)는 octet 1의 5678 번 비트에는 보안 헤더 타입을 가지고 무결성, 암호화, 암호화 없는 경우, 서비스 요청 메시지를 위한 보안 헤더 등을 구분하게 된다. 즉, 상기 MME(114)는 311 단계에서 보안 헤더 타입을 판단하는데, 313 단계에서 무결성을 보장하는지 여부를 판단하고, 만약 무결성을 보장한다면 315 단계에서 암호화(ciphering)까지 보장하는지를 판단한다. 그리고 상기 MME(114)는 각각의 경우에 따라 331 단계와 같이 무결성과 암호화를 함께 보장한다면 보안 헤더(security header type)를 0010으로 세팅하거나 0010을 상기와 같은 내용으로 해독한다. 한편 무결성을 지원하면서 암호화는 지원하지 않으면, 상기 MME(114)는 333 단계에서 security header type 을 0001 로 설정하여 무결성만을 보장한다.. 한편 보안 헤더 타입의 값을 0000으로 설정한 경우는 335 단계와 같이 보안화를 하지 않은 EMM 메시지를 표기하고자 하는 경우에 사용할 수 있다.

한편 상기 MME(114)는 서비스 요청 메시지(Service Request) 메시지를 위한 보안 헤더 타입을 정의 할 수 있으며, 이 경우 보안 헤더 타입은 1100이 될 수 있다. 따라서 상기 MME(114)는 317단계에서 서비스 요청 메시지를 위한 보안헤더인가 검사하며, 맞으면 341 단계에서 세팅 혹은 해독한다. 따라서상기 따라서 상기 MME(114)는 서비스 요청 메시지와 같이 신속한 처리를 요하는 메시지를 처리할 수 있다. 그러나상기 317단계에서 서비스 요청 메시지를 위한 보안 헤더가 아닌 경우 또는 상기 311단계에서 보안 헤더 타입이 아닌 경우, 상기 상기 MME(114)는 351단계에서 해당 보안 헤더를 처리한다. 본 발명의 실시예에서는 상기 351단계의 동작(security header for other cacse)의 설명은 생략하기로 한다.

상기 도 5의 동작은 하기에서 설명될 [표 2], [표 4], [표 8], [표 7]을 이용하여 그 해독 / 세팅 방법을 구체적으로 살펴보기로 한다.

한편 ESM 메시지의 경우, 상기 프로토콜 구분자 PD=0010이 될 수 있다. 따라서 상기 301단계에서 PD=0010이면, 상기 MME(114)는361단계에서 보안화 되지 않는 ESM 메시지로 간주하고, 363 단계에서 EPS 베어러 구별자(EPS bearer identity)를 처리한다.

도 6은 단말(110) 및 MME(114) NAS 프로토콜의 메시지 헤더를 생성, 해독하기 위한 절차를 나타낸 흐름도로써, 보안화 된 NAS 메시지가 프로토콜 구분자 확장자(이하 protocol discriminator extension : PDE 로 표기)에 의해서 구분되는 상황에서 사용되는 실시예를 설명하기 위한 도면이다.

상기 도 6을 참조하면, 상기 MME(114)는 401 단계에서 프로토콜 구분자(PD)를 검사하여 EMM, ESM 및 프로토콜 구분자 확장자(protocol discriminator: PDE) 등으로 구분한다. 이때 상기 MME(114)는 PD = 0111 이면 403 과정에서EMM 메시지로 처리하고, PD = 1101 이면 405단계에서 ESM 메시지로 처리하며, PD = 1110 인 경우는 프로토콜 구분자 확장자이므로 407단계에서 프로토콜 구분자의 확장이 있음을 감지한다.

상기 407단계에서 프로코톨 구분자 확장자를 감지하면, MME(114)는 411 단계에서 프로토콜 구분자 확장자(PDE)를 판별하여 EMM 인지 아니면 ESM 인지 확인하며, 또한 상기 확인된 EMM, ESM이 무결성 보호, 암호화, 서비스 요청 메시지, 보안화 되지 않는 메시지를 구분한다. 즉, 예를 들어 431 단계에서와 같이 PDE = 0100 이면 무결성이 보장되는 EMM 메시지, 433 단계에서와 같이 PDE = 0110 의 경우는 무결성과 암호화가 함께 보장되는 EMM 메시지, 435 단계에서와 같이 PDE = 1100 이면 서비스 요청 메시지, 437 단계에서와 같이 PDE = 1000 이면 보안화 되지 않는 EMM 메시지 등으로 구분하여 MME 혹은 UE가 해독 혹은 세팅 할 수 있다. 한편 ESM 메시지의 경우도 451 단계에서와 같이 PDE = 0010 이면 무결성 보호되는 ESM 메시지, 453 단계에서와 같이 PDE = 0101 이면 무결성과 암호화가 보호되는 ESM 메시지, 455 단계에서와 같이 PDE = 0111 이면 보안화 되지 않는 ESM 메시지로 구분하여 MME 혹은 UE 가 메시지를 해독 혹은 세팅할 수 있다.

상기 도 6과 같은 동작은 하기에서 설명되는 [표 3], [표 4], [표 6] 를 이용하여 그 해독 및 세팅 방법을 구체적으로 살펴본다.

도 7은 단말(110) 및 MME(114) NAS 프로토콜의 메시지 헤더를 생성, 해독하기 위한 절차를 나타낸 흐름도로써, 보안화된 NAS 메시지가 프로토콜 구분자 확장자(이하 protocol discriminator extension : PDE 로 표기)에 의해서 구분되는 상황에서 사용되는 또 다른 일 실시예를 설명하기 위한 도면이다.

상기 도 7을 참조하면, 상기 MME(114)는 501 단계에서 프로토콜 구분자(PD)를 구분하며, PD = 0111 이면 503단계에서 EMM 메시지로 해독하고, PD = 0010이면 505단계에서 ESM 메시지로 해독한다. 이후 상기 MME(114)는 507 단계에서 프로그램 구분자 확장자(PDE)를 판독하여 보안화된 메시지인지 아닌지를 구분한다. 이때 보안화된 메시지인 경우로 확인되면, 상기 MME(114)는 PDE를 판독하여 무결성 EPS 메시지인지 아니면 무결성 및 암화화된 EPS 메시지인지 구분한다. 즉, 531 단계에서와 같이 PDE = 0001 이면 무결성 보호되는 EPS 메시지로 판독하고, 533 단계에서와 같이 PDE = 0010 이면 무결성, 암호화가 보호되는 EPS 메시지로 판독한다. 또한 상기 507단계에서 보안화된 메시지가 아닌 경우로 확인되면, 보안화되지 않은 EMM인지 아니면 보안화되지 않는은 메시지지인지 판단한다. 이때 PDE = 1000 이면 535단계에서 보안화되지 않는 EMM 메시지로 처리하며, PDE = 0111 이면 537단계에서 보안화되지 않는 ESM 메시지로 처리한다.

상기 도 7과 같은 동작은 하기에서 설명될 [표 3], [표 4], [표 6]을 이용하여 그 해독 및 세팅 방법을 구체적으로 살펴본다.

다음에서는 도 2 - 도 4에서 설명한 메시지 구성의 방법을 구체적 메시지 형태를 들어 설명하기로 한다. 보안화되지 않는 NAS 메시지의 형태를 보면 하기의 [표 1]의 메시지 1 과 같다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 1

메시지 1: 보안화되지 않는 NAS 메시지

현재의 보안화되지 않는 NAS 메시지의 경우 프로토콜 구분자(protocol discriminator: PD)는 상기 [표 1]의 octet 1의 1234의 4비트 이고, octet 1의 5678번 4 비트는 EPS 베어러 아이덴티티(EPS bearer identity) 혹은 보안 헤더 타입(security header type)으로 사용된다. 이후 EPS 베어러 아이덴티티를 사용하는 경우에는 octet 1a*에서와 같이 하나의 옥텟이 추가되어 프로시저 트랜젝션 아이덴티파이어(procedure transaction identifier)로 사용되며, 이 필드는 베어러 활성화(activation), 수정(modification)과 불활성화(deactivation)를 위하여 사용된다. 한편 메시지의 종류, 즉 개개의 메시지를 구분하기 위하여 사용되는 메시지 타입(message type) 필드가 있다. 하기 [표 2]는 현재의 보안화되는 NAS 메시지의 형태를 나타내고 있다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 2

메시지 2: 보안화되는 NAS 메시지

상기 [표 2]와 같은 보안화되는 NAS 메시지의 경우 프로토콜 구분자는 octet 1의 1234의 4비트 이고, octet 1의 5678번 4 비트는 보안 헤더 타입(security header type)으로 사용된다. 이후 무결성을 검증하기 위하여 octet 2 에서 octet 5까지 메시지 인증 코드(message authentication code)로 사용되며, octet 6은 메시지의 순서를 나타내는 순서 번호(sequence number)로 사용되고, octet 7 에서 octet n 까지 NAS 메시지가 들어가게 된다. 한편 이러한 포맷을 이용하는 경우, 현재 프로토콜 구분자로 쓸 수 있는 값에 제한이 있어서 NAS 메시지의 포맷을 변경하거나 필드의 값을 이용하는 방법이 필요할 수 있다.

본 발명의 실시예에서는 하기 [표 3]에 나타낸 바와 같이 프로토콜 구분을 효율적으로 살 수 있는 포맷을 제안한다. 또 다른 방법 하나는 상기의 [표 2] 와 같은 메시지 포맷을 이용하되 파라미터 정의에 있어서 구분을 해주는 방법이 있을 수 있다.

하기의 [표 3]은 본 발명의 실시예에서 제안하는 프로토콜 구분자 확장자(protocol discriminator extension)를 사용하여 보안화되는 메시지의 구조를 나타낸다.

즉, 상기 [표 3]의 구조를 가지는 보안화되는 NAS 메시지의 경우 프로토콜 구분자는 octet 1의 1234의 4비트 이지만, 이 비트들을 프로토콜 구분자 확장자(protocol discriminator extension)가 있음을 알리는 식별자로 사용하고, 이후 octet 1의 5678 비트의 프로토콜 구분자 확장자(protocol discriminator extension)에서 메시지를 구분하는 것이다. 그리고 octet 2의 1234 번 4 비트는 보안 헤더 타입(security header type)으로 사용할 수 있다. 따라서 메시지의 무결성을 검증하는 Massage authentication code(MAC) 부분이 4 bit 추가 되거나 앞으로 4bit 당겨질 수 있다. 이후의 순서 번호 필드나 NAS 메시지가 첨가 되는 부분(sequence#, NAS message)은 상기 [표 2]의 구조와 동일하다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 3

메시지 3 : 보안화 NAS 메시지의 일 실시예

상기의 [표 3] 과 같은 메시지 3 과 같은 메시지의 포맷을 사용할 경우 하기의 [표 4] 메시지 4와 같은 형태의 프로토콜 구분자를 사용하여야 한다.

표 4

메시지 4 : 프로토콜 구분자 확장자(protocol discriminator extension:PDE)를 쓰는 경우 프로토콜 구분자(PD : protocol discriminator)의 값

즉 상기 [표 4]에서와 같이 octet 1의 1234 번 비트에 0010을 사용하는 경우 ESM 메시지임을 의미하며, 0111을 사용하는 경우 EMM 메시지임을 의미하고, 1110 을 사용하는 경우 PD 확장자 식별자로서 즉 PD 확장자 사용을 통해 프로토콜을 구분함을 알려준다

한편 프로토콜 구분자 확장자를 사용하지 않는 경우는 하기의 [표 5] 메시지 5 과 같이 메시지 비트를 구성한다.

표 5

메시지 5 프로토콜 구분자 확장자(proltocol discriminator extension)를 쓰지 않는 경우 프로토콜 구분자 (protocol discriminator)의 값

한편 프로토콜 구분자 확장자(proltocol discriminator extension)를 쓰는 경우, 여러가지 방법으로 프로토콜을 구분할 수 있으며, 여기서는 가능한 방법중 일 실시예를 하기의 [표 6]에 기술하기로 한다. 따라서 값을 할당하는 것은 여러가지 방법과 조합이 가능하며, 변경이 가능한 범위 내에서 본 발명은 의미가 있다 하겠다. 즉 octet 1의 5678 번 비트를 이용하여 크게 무결성 보호 EPS 메시지 인지 아니면, 무결성과 암호화 보호 EPS 메시지인지를 구분하거나, 혹은 EMM, ESM 메시지 별로 무결성 보호, 무결성과 암호화 보호 메시지 여부를 구분할 수 있다. 하지만, 비트의 사용 효율과 나중의 사용을 위해 예약(RESERVE)하는 관점에서는 무결성 보호 EPS 메시지와 무결성과 암호화 보호 EPS 메시지 여부 혹은 무결성과 암호화 보호 EPS 메시지를 보안 보호 메시지로 보고 구분하는 방법이 비트 사용 측면에서 효율적이라 하겠다. 또한 보안화 되는 서비스 요청 메시지를 위하여 보안화 되는지 여부를 구분하는 것도 한 실시예가 될 수 있다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 6

메시지 6 : 프로토콜 구분자 확장자(proltocol discriminator

extension)에 사용될 수 있는 값과 그 의미에 대한 일 실시예

한편 프로토콜 구분자 확장자를 사용하지 않는 경우 EMM 메시지의 경우는 하기의 [표 7]과 같이 메시지의 보안 헤더 타입(Security header type) 필드를 구성할 수도 있으며, 혹은 [표 8] 과 같이 구성할 수도 있다.

하기의 [표 7] 의 메시지 7에서는 EMM 메시지를 위한 보안 헤더 타입을 정의하였다. 0000 은 보안화가 없는 NAS 의 경우에 사용하고, 0001 의 경우 보안화 EMM 메시지에 사용하며, 1100 은 서비스 요청 메시지에 사용하며, 1101 부터 1111까지는 서비스 요청 메시지의 차후 확장을 위해 예약(reserve) 해 둔다. 기타 비트의 경우 차후 사용을 위해 예약(reserve) 해둔다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 7

메시지 7: EMM 메시지에서 사용되는 보안 헤더 타입(security header type) 일 실시예

또한 하기의 [표 8] 과 같이 그 일부를 변경하여 구성할 수 있다. 즉 무결성을 보장하는지 아니면 무결성과 암호화 둘다 지원하는지 여부를 구분하여 일부를 다음과 같이 수정하여 EMM 메시지를 구분할 수도 있다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 8

메시지 8 : EMM 메시지에서 사용되는 보안 헤더 타입(security header type) 일 실시예

한편 PDE 를 사용하지 않을 경우 ESM 메시지의 경우 보안화되는 ESM 메시지의 경우 EPS 베어러 식별자와 보안 헤더 타입을 구분해야 하므로 이후 [표 9]에서 [표 11]에서 보는 바와 같이 구분하는 방안이 마련되어야 한다.

하기 [표 9]의 메시지 9 에서는 ESM 메시지를 위해서 octet 1의 5678 비트를 EPS 보안헤더 타입 혹은 EPS 베어러 식별자로 사용하는 방법에 대해 기술하였다. 0000은 EPS bearer identity가 할당되지 않는 경우에 사용하며, 0101 부터 1111 까지는 EPS bearer identity 값을 할당하는데 사용한다. 한편 0001 부터 0100 까지는 차후 사용을 위하여 예약하거나 혹은 본 발명에서는 EPS 보안 헤더 타입으로 사용할 수 있다. 이의 구체적인 예는 하기 [표 10]의 메시지 10과 하기 [표 11]의 메시지 11에서 설명하기로 한다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 9

메시지 9 : ESM 메시지에서 사용되는 보안 헤더 타입(security header type)과 베어러 식별자의 일 실시예

하기 [표 10] 메시지 10에서는 [표 9]의 메시지 9 에서와 같은 메시지 비트 구조에서 octet 1의 5678 번 비트 중 일부가security header type 으로 사용되는 경우를 보여주는 것으로, 0000은 security 보호가 사용되지 않거나 단말을 위하여 할당된 프로시져가 없음을 알려주기 위하여 사용되고, 0001이 security protected ESM 메시지임을 나타내는 경우이다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 10

메시지 10 : ESM 메시지에서 사용되는 보안 헤더 타입(security header type) 일 실시예

하기 [표 11]의 메시지 11의 경우 메시지 9에서 일부가 변경된 구조이다. 즉 octet 1의 5678 번 비트중 일부가 security header type으로 사용되는 경우를 보여주는 것으로, 0000은 security 보호가 사용되지 않거나 단말을 위하여 할당된 프로시져가 없음을 알려주기 위하여 사용되고, 0001은 무결성이 보호되는 ESM 메시지, 0010의 경우 무결성과 암호화가 보호되는 ESM 를 나타내고자 하는 경우에 octet 1의 5678 번 비트를 세팅하는 방법을 보여주고 있다.

[규칙 제26조에 의한 보정 09.11.2009]　
표 11

메시지 11 ESM 메시지에서 사용되는 보안 헤더 타입(security header type) 일 실시예

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

본 명세서와 도면에 개시 된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.

Claims (9)

1. 이동통신 시스템의 NAS 프로토콜 메시지 처리 방법에 있어서,

   첫번째 octet의 하위 영역에 프로토콜 구분자, 상위 영역에 프로토콜 구분자 확장자가 저장되고, 두번째 octet의 하위 영역에 보안헤더 타입이 저장되는 NAS 프토토콜 메시지를 수신하는 과정과,

   상기 수신된 메시지의 프로토콜 구분자를 분석하는 과정과,,

   상기 프로토콜 구분자가 프로토콜 구분 확장자 식별자이면 상기 메시지의 프로토콜 구분자 확장자 영역의 데이터를 분석하여 메시지를 처리하는 과정으로 이루어짐을 특징으로 하는 상기 방법.
2. 제1항에 있어서, 상기 프로토콜 구분자는 ESM 메시지, EMM 메시지 또는 프로토콜 구분자 확장자를 식별하기 위한 데이터인 것을 특징으로 하는 상기 방법.
3. 제2항에 있어서, 상기 프로토콜 구분자 확장자는 무결성 보호 EPS 메시지 또는 무결성 및 암호화 보호 EPS 메시지를 구분하는 데이터인 것을 특징으로 하는 상기 방법.
4. 제2항에 있어서, 상기 프로토콜 구분자 확장자는 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지, 무결성 보호 ESM 메시지 또는 무결성 및 암호화 보호 ESM 메시지를 구분하는 데이터인 것을 특징으로 하는 상기 방법.
5. 제3항 또는 제4항에 있어서, 상기 프로토콜 구분자가 EMM 메시지이면,

   상기 보안헤더 타입을 분석하는 과정과,

   상기 보안헤더 타입의 데이터에 따라 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지 또는 서비스 요청 메시지로 처리하는 과정으로 이루어짐을 특징으로 하는 상기 방법.
6. 이동통신 시스템에 있어서,

   기지국의 서비스 영역인 셀 내에 위치하는 단말들과,

   상기 기지국을 통해 단말들과 NAS 프로토콜 메시지를 이용하여 단말의 이동성을 관리하는 이동관리자로 구성되며,

   상기 단말 및 이동관리자가 처리하는 NAS 프로토콜 메시지가,

   ESM메시지, EMM 메시지 또는 프로토콜 구분자 확장자를 구분하기 위한 프로토콜 구분자와,

   EMM/ESM/보안여부를 구분하기 위한 프로토콜 구분자 확장자와,

   보안여부를 표시하는 보안헤더타입과,

   메시지의 무결성을 검증하는 메시지 인증 코드(MAC)와,

   시퀀스 번호와,

   NAS 메시지들로 구성되는 것을 특징으로 하는 이동통신시스템.
7. 제6항에 있어서, 상기 프로토콜 구분자는 상기 NAS 프로토콜 메시지의 첫번째 octet의 하위 4비트 영역에 저장되며, 상기 프로톨콜 구분자 확장자는 첫번째 octet의 상위 4비트 영역에 저장되고, 상기 보안헤더 타입은 두번째 octet의 하위 4비트 영역에 저장되는 것을 특징으로 하는 이동통신시스템.
8. 제7항에 있어서,

   상기 프로토콜 구분자 확장자는 무결성 보호 EPS 메시지 또는 무결성 및 암호화 보호 EPS 메시지를 구분하는 데이터인 것을 특징으로 하는 상기 방법.
9. 제2항에 있어서, 상기 프로토콜 구분자 확장자는 무결성 보호 EMM 메시지, 무결성 및 암호화 보호 EMM 메시지, 무결성 보호 ESM 메시지 또는 무결성 및 암호화 보호ESM 메시지를 구분하는 데이터인 것을 특징으로 하는 상기 방법.

Images