WO2011162538A2

WO2011162538A2 - 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템

Info

Publication number: WO2011162538A2
Application number: PCT/KR2011/004532
Authority: WO
Inventors: 서경주; 유재천; 최승훈
Original assignee: 삼성전자 주식회사
Priority date: 2010-06-21
Filing date: 2011-06-21
Publication date: 2011-12-29
Also published as: EP2584802A2; US9609498B2; EP2584802A4; US20130102270A1; KR101737425B1; WO2011162538A3; EP2584802B1; KR20110138548A

Abstract

본 발명은 이동 통신 시스템에서 응급 콜의 보안 관리 방법 및 장치에 대한 것으로서, 본 발명의 실시 예에 따라 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법은, 응급 콜 중 핸드 오버 시 단말이 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 과정과, 상기 소스 네트워크의 이동 관리자가 타겟 네트워크의 이동 관리자에게 상기 상기 단말 보안 능력이 포함된 메시지를 전송하는 과정과, 상기 타겟 네트워크의 이동 관리자가 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 과정과, 상기 핸드 오버 준비 절차가 완료된 후, 상기 소스 네트워크의 기지국이 상기 단말로 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 전송하는 과정을 포함한다.

Description

응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템

본 발명은 이동 통신 시스템에서 응급 콜을 관리하는 방법 및 장치에 대한 것으로서, 특히 이동 통신 시스템에서 응급 콜의 보안 관리 방법 및 장치에 대한 것이다.

이동 통신 기술에서 대표적인 표준화 단체 중 하나인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME(Mobility management Entity)를 네트워크의 이동성 관리 엔티티로 도입하였다. 상기와 같은 차세대 이동 통신 시스템에서는 보안 관리와 관련하여 종래의 이동 통신 시스템 예를 들어 3GPP의 3G에서 사용하던 NAS(Non Access Stratum) 프로토콜을 개선하여 고속의 통신 서비스를 제공하는 방안을 제안하였다. 제안된 보안 관리 방안에서는 기존의 인증 과정과 NAS 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜의 개념을 도입하여 보안 모드를 수행하는 등의 보안 관리 강화 방안을 제안한다.

하지만, 현재까지 제안된 NAS 프로토콜의 보안 관리 방안은 응급 콜 지원이나 또는 응급 콜의 핸드오버를 지원할 시 인증 과정과, 보안 강화 등을 위한 적절한 보안 절차가 마련되어 있지 않아, 응급 콜의 핸드 오버 시 보안이 잘 지켜지지 않거나 통신이 끊길 수 있는 가능성이 많다. 따라서 응급 콜 상황에서 핸드오버를 수행 하더라도 단말과 네트웍 간의 인증, 보안 지원과 통신 지원을 중단 없이 수행하기 위한 방안이 요구된다.

본 발명은 응급 콜을 지원하는 이동 통신 시스템에서 중단 없는 통신을 위한 보안 관리 방법 및 장치와 그 시스템을 제공한다.

또한 본 발명은 이동 통신 시스템에서 응급 콜 핸드 오버 시 보안 관리 방법 및 장치와 그 시스템을 제공한다.

또한 본 발명은 이동 통신 시스템에서 단말의 인증 실패 시에 응급 콜을 지원하기 위한 보안 관리 방법 및 장치와 그 시스템을 제공한다.

본 발명의 실시 예에 따라 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법은, 응급 콜 중 핸드 오버 시 단말이 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 과정과, 상기 소스 네트워크의 이동 관리자가 타겟 네트워크의 이동 관리자에게 상기 상기 단말 보안 능력이 포함된 메시지를 전송하는 과정과, 상기 타겟 네트워크의 이동 관리자가 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 과정과, 상기 핸드 오버 준비 절차가 완료된 후, 상기 소스 네트워크의 기지국이 상기 단말로 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 전송하는 과정을 포함한다.

또한 본 발명의 실시 예에 따라 응급 콜을 지원하는 이동 통신 시스템은, 응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 단말과, 상기 소스 네트워크의 기지국으로부터 상기 단말 보안 능력을 포함하는 메시지를 수신하면, 타겟 네트워크의 이동 관리자에게 상기 단말 보안 능력이 포함된 메시지를 전송하는 상기 소스 네트워크의 이동 관리자와, 상기 소스 네트워크의 이동 관리자로부터 상기 단말 보안 능력이 포함된 메시지를 수신하면, 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 상기 타겟 네트워크의 이동 관리자와, 상기 핸드 오버 준비 절차가 완료된 후, 상기 단말로 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 전송하는 상기 소스 네트워크의 기지국을 포함한다.

또한 본 발명의 실시 예에 따라 응급 콜을 지원하는 이동 통신 시스템의 단말에서 보안 관리 방법은, 응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 과정과, 상기 소스 네트워크와 상기 타겟 네트워크 간에 상기 응급 콜의 핸드 오버 준비 절차가 완료된 후, 상기 소스 네트워크으로부터 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 수신하는 과정을 포함한다.

또한 본 발명의 실시 예에 따라 응급 콜의 핸드 오버 시 타겟 네트워크의 이동 관리자가 수행하는 보안 관리 방법은, 상기 응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 단말로부터 소스 네트워크의 이동 관리자를 경유하여 수신하는 과정과, 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 과정과, 상기 타겟 네트워크의 기지국으로부터 핸드 오버 요청 응답 메시지를 수신하는 과정을 포함한다.

발명의 효과

본 발명에 의하면, 응급 콜 수행 단말의 동작이나 응급 콜 수행 단말의 핸드오버 중에도 인증, 보안 모드를 원할하게 동작하게 하고, 단말의 이동성 관리를 효율적으로 할 수 있다.

도 1은 본 발명이 적용되는 응급 콜을 지원하는 이동 통신 시스템의 일 구성 예를 나타낸 블록도,

도 2a 및 도 2b는 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 보안 절차를 나타낸 메시지 흐름도,

도 3은 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 보안 절차를 지원하는 UE의 동작을 나타낸 순서도,

도 4 은 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 보안 절차를 지원하는 타켓 MME의 동작을 나타낸 순서도,

도 5은 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 보안 절차를 지원하는 소스 MME/SGSN의 동작을 나타낸 순서도,

도 6 는 본 발명의 다른 실시 예에 따라 단말의 인증 실패 시에 응급 콜을 지원하기 위한 보안 관리 절차를 나타낸 흐름도,,

도 7 은 본 발명의 다른 실시 예에 따라 UE에서 수행되는 응급 콜 지원을 위한 보안 관리 절차를 나타낸 순서도,

도 8 는 본 발명의 다른 실시 예에 따라 MME에서 수행되는 응급 콜 지원을 위한 보안 관리 절차를 나타낸 순서도.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

후술되는 본 발명의 실시 예는 이동 통신 시스템에서 단말과, 상기 단말의 이동성을 관리하는 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 단말이 응급 콜을 효과적으로 수행하고, 단말이 응급 콜을 수행하던 중 핸드오버를 수행하는 경우에도 중단 없는 통신을 제공하기 위해 응급 콜을 수행하는 단말의 인증과, 단말과 MME 간의 NAS 프로토콜의 보안성을 관리하고 지원하는 효율적인 보안 관리 방안을 제안한 것이다.

본 발명의 실시 예는, 3GPP 기술을 기반으로 하는 EPS 시스템, UTRAN(Universal Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network)을 예시하여 설명될 것이나, 본 발명은 NAS 프로토콜을 사용하는 다른 이동 통신 시스템에서도 적용될 수 있다. 즉 하기 설명될 본 발명의 보안 관리 방법 및 장치는 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 상기 NAS 프로토콜과 유사한 프로토콜 혹은 상기 프로토콜과 상이하나 유사한 동작을 하는 프로토콜을 이용하는 이동 통신 시스템에서도 본 발명의 범위를 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.

이하 본 발명에서 제안하는 응급 콜의 보안 관리 방안은 응급 콜 수행 중 핸드 오버 시 보안 관리 절차와, 단말의 인증 실패 시에 응급 콜을 지원하기 위한 보안 관리 절차로 구분되어 설명될 것이다.

도 1은 본 발명이 적용되는 응급 콜을 지원하는 이동 통신 시스템의 일 구성 예를 나타낸 블록도로서, 이는 예컨대 3GPP 기반의 EPS 시스템의 구조를 나타낸 것이다.

도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함, 또는 RNC : Radio Network Controller : 이하 RNC로 표기)(133)는 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 응급 콜 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크(Packet Data Network : PDN)에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다. 도 1에서 이동 관리자(Mobility Management Entity : 이하 MME로 표기, SGSN : Serving GPRS Support Node : 이하 SGSN 으로 표기)(135)는 UE(110)의 이동성 관리, UE(110)의 위치 관리(location management), 등록(registration)관리를 수행한다. 또한 사용자와 UE(110)에 대한 인증정보 및 서비스 정보를 관리하는 홈 가입자 서버(Home Subscriber Server :이하 HSS)(141)가 MME /SGSN(135)와 인터페이스를 가지고 연결되어 있다.

도 1에서 eNB/RNC(133)와 서빙 GW(116), MME/SGSN(135)와 서빙 GW(116)사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의 UE(110)과 MME/SGSN(135)는 NAS 프로토콜 스택(stack)을 가지고 서로 통신함으로써 이동성 관리, 세션 관리를 수행한다.

본 발명에서는 상기와 같이 소스 네트웍(source network)(100a)에 연결되어 있던 UE(110)가 응급 콜을 수행하는 상황과 응급 콜을 수행하던중 핸드오버하는 상황을 가정한다. 상기 소스 네트웍(100a)은 EUTRAN, UTRAN, GERAN 등의 여러 RAT 형태가 될 수 있다. 본 실시 예에서는 응급 콜 수행에서 보안상의 문제를 설명하는데 있어서 편의상 소스 네트웍(100a)으로 EUTRAN을 가정하였으며, UE(110)이 이동할 타겟 네트웍(100b)은 EUTRAN을 지원하는 것으로 가정하였다. 따라서 UE(110)가 상기 타겟 네트웍(100b)으로 핸드오버 하면 UE(110)은 타겟 eNB(112), MME(114), HSS(121)와 연결되어 서비스를 받게 된다.

그리고 도 1과 같이 HSS(141, 121)은 소스 네트웍(110a)과 타겟 네트웍(110b)에 각각 연결될 수도 있고, 소스 네트웍(110a)과 타겟 네트웍(110b)이 하나의 HSS를 공유할 수도 있다.

이하 도 1과 같은 이동 통신 시스템의 구성에서 응급 콜 수행 시 핸드 오버(이하, "응급 콜 핸드오버")를 지원하는 본 발명의 실시 예를 도 2 내지 도 5를 참조하여 설명하기로 한다.

도 2a 및 도 2b는 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 보안 관리 절차를 나타낸 흐름도이다.

도 2a를 참조하면, 201 단계는 UE(110)이 응급 콜을 지원하기 위하여 네트웍에 등록을 요청하거나 위치 갱신을 요청하는 과정이다. 즉 UE(110)은 등록 요청(Attach Request) 메시지, 또는 위치 갱신 요청 메시지인 라우팅 영역 갱신(Routing Area Update) 메시지 또는 트래킹 영역 갱신(Tracking Area Update) 메시지 등에 응급 콜 식별자(emergency call indicator)를 포함하여 소스 MME/SGSN(135)에 전송하여 응급 콜을 위한 등록 요청 혹은 위치 갱신임을 소스 MME/SGSN(135)에 알려준다. 다만 상기 응급 콜 식별자는 선택적으로 포함될 수 있다.

또한 등록 요청 메시지 혹은 위치 갱신 요청 메시지에는 단말 보안 능력(UE Security Capability)이 포함된다. 또한 상기 등록 요청 메시지 혹은 위치 갱신 요청 메시지에는 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EPS Integrity Algorithm 0 : EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EPS Encryption Algorithm 0 : EEA0)를 포함한다. 이후 과정은 핸드오버를 하기 위하여는 핸드오버 준비 과정과 핸드오버 실시 과정으로 크게 나뉘는데 핸드오버 준비 과정은 다음과 같다.

상기 단말 보안 능력은 상기 응급 콜 식별자와 함께 포함되거나 상기 응급 콜 식별자를 포함하지 않고, 상기 단말 보안 능력이 상기 응급 콜 식별자의 역할을 하도록 하는 것도 가능하다. 예를 들어 네트워크는 단말로부터 수신하는 등록 요청 메시지 혹은 위치 갱신 요청 메시지에 단말 보안 능력으로 EIA0, EEA0 이 포함되어 전송되면, 이를 응급 콜 핸드 오버로 인식하게 된다.

도 2a 및 도 2b에서 상기 핸드오버 준비 과정은 211 단계 내지 223 단계에서 수행되며, 상기 핸드오버 실시 과정은 225 단계 내지 241 단계에서 수행된다.

먼저 상기 핸드오버 준비 과정은 코어 네트웍에게 자원 요청을 하는 과정으로 즉 타겟 기지국 : target eNB(112), 타겟 이동 관리자 : target MME(114), 서빙 게이트웨이 서빙 GW(116)에서 자원(resource)를 준비해달라고 요청하는 과정으로 이루어 진다. 상기 핸드오버 준비과정에서 베어러 컨텍스트(bearer context)나 이동 관리 컨텍스트(Mobility management context)가 소스 네트워크에서 타겟 네트워크로 전송된다.

상기의 핸드오버 준비과정에서 전송되는 메시지는 다음과 같다. 211 단계에서 소스 네트웍의 기지국인 소스 eNB/RNC(133)이 소스 네트웍의 이동 관리자인 소스 MME/SGSN)(135)에게 핸드 오버 준비를 위한 재위치 요청(relocation request) 메시지를 보내면, 213 단계에서 소스 MME/SGSN(135)는 타겟 MME(114)에게 전송 재위치 요청(forward relocation request) 메시지를 전송한다. 이때 소스 MME/SGSN(135)에서 타겟 MME(114)로 전송되는 전송 재위치 요청 메시지 내에는 소스 단말 보안 능력(UE Security Capability)이 포함될 수 있다. 상기 전송 재위치 요청 메시지에 단말 보안 능력이 포함되는 경우에는 UE가 응급 콜을 지원하고 있는 중에 핸드오버를 준비하는 경우라면 상기 전송 재위치 요청 메시지에는 NULL 무결성 알고리즘인 EIA0와, NULL 암호화 알고리즘인 EEA0가 적어도 포함된다. 또한 상기 전송 재위치 요청 메시지에는 UE가 현재 응급 콜을 수행중 이었음을 알리기 위하여 응급 콜 식별자(emergency call indicator)가 포함될 수 있다.

이후 215 단계에서 타겟 MME(target MME : 114)는 NAS 보안 알고리즘으로 상기한 EIA0, EEA0를 선택하게 된다. 타켓 MME(114)는 217 단계에서 S1 핸드오버 요청(S1 Handover Request) 메시지를 타겟 eNB(112)로 전송하게 된다. 여기서, "S1"은 eNB와 MME 간의 통신을 위한 인터페이스 명칭이다. 이때 타켓 MME(114)는 NAS 보안 투명 컨테이너(NAS security transparent container)를 생성하여 타겟 eNB(112)로 전송하게 되며, 상기 NAS 보안 투명 컨테이너에는 상기 215 단계에서 타켓 MME(114)가 선택한 NAS 보안 알고리즘이 포함되며, UE가 핸드오버를 준비하는 시점에 응급 콜을 수행하고 있었다면 타켓 MME(114)는 EIA0, EEA0를 최소한 포함하여 NAS 보안 투명 컨테이너를 생성하게 된다. 한편 상기 217 단계에서 타겟 MME(114)에서 타겟 eNB(112)로 전송되는 S1 핸드오버 요청 메시지에는 단말 보안 능력도 포함된다. 이때 상기 포함되는 단말 보안 능력은 타겟 MME(114)가 상기 213 단계에서 소스 MME/SGSN(135)으로부터 수신한 것을 이용한다.

만약 타겟 MME(114)가 상기 213 단계에서 소스 MME/SGSN(135)으로부터 전달 받은 단말 보안 능력이 없다면, 타겟 MME(114)는 미리 정해진 기본 보안 능력(default security capability)을 S1 핸드오버 요청 메시지에 포함하여 전송하게 된다. 상기 기본 보안 능력은 UE가 응급 콜을 수행하고 있었던 경우를 위하여 EIA0, EEA0를 최소한 포함하여야 하며, NAS, RRC, 사용자 플레인 데이터(user plane data: 이후 UP로 표기)의 암호화를 위한 알고리즘으로 EEA0, EEA1, EEA2, 그리고 NAS, RRC 무결성을 위한 알고리즘으로 EIA0, EIA1, EIA2 등을 포함할 수 있다.

이후 219 단계에서는 타겟 eNB (112)가 투명 컨테이너(transparent container)를 생성하게 되는데 이 투명 컨테이너에는 상기한 단말 보안 능력, 즉 UE EPS 보안 능력에 근거하여 선택한 RRC, UP을 위한 보안 알고리즘으로 응급 콜을 지원하기 위하여 EIA0, EEA0 등을 포함한다. 또한 상기 219 단계에서 생성된 투명 컨테이너는 상기 217 단계에서 전송된 NAS 보안 투명 컨테이너를 포함한다. 이후 221 단계에서 타겟 eNB(112)는 타겟 MME(114)로 상기 219 단계에서 생성한 투명 컨테이너를 포함한 S1 핸드오버 요청 응답(S1 Handover request acknowledgement) 메시지를 전송하게 된다. 이후 223 단계에서 타겟 MME(114)는 소스 MME/SGSN(135)에게 상기 221 단계에서 수신한 투명 컨테이너를 포함하는 전송 재위치 응답(Forward relocation response) 메시지를 전송하게 된다. 이처럼 상기 핸드오버 준비 과정은 211 단계로부터 223 단계에 걸쳐 수행된다. 이후 상기 핸드오버 실시 과정을 설명하면, 225 과정에서 소스 MME/SGSN(135)는 소스 eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 보내어 핸드오버 준비 과정이 마치었음을 알려주게 되는데 이때 상기 재위치 명령(relocation command) 메시지에는 상기 223 단계에서 소스 MME/SGSN(135)가 타겟 MME(114)로부터 전달받은 투명 컨테이너, UE(110)의 단말 보안 능력 등의 요소가 포함되어 전송될 수 있다. 이때 상기 단말 보안 능력은 UE가 등록 요청(attach request), 위치 갱신 요청(Routing area update request 또는 Tracking Area Update Request)를 전송할 때 포함했던 값이 될 수도 있고, 응급 콜을 지원하기 위하여 EIA0, EEA0 등이 포함될 수 있다. 상기 단말 보안 능력은 후술할 229 단계에서 UE(110)가 소스 eNB/RNC로부터 전송된 핸드오버 명령(Handover command)를 검증하는데 사용될 수 있다. 즉 227 단계에서 소스 eNB/RNC(133)은 UE(110)에게 핸드오버 명령(handover command) 메시지를 전송하여, UE(110)에게 타겟 eNB(112)로 핸드오버 하라고 명령을 내리게 된다. 상기 핸드오버 명령에는 상기 225 단계에서 eNB/RNC(133)가 소스 MME/SGSN(135)로부터 수신한 투명 컨테이너와 단말 보안 능력이 포함된다.

이후 UE(110)은 229 단계에서 자신이 핸드 오버 준비 과정이전에 수행했던 등록 요청, 위치 갱신 요청 등에서 전송한 단말 보안 능력과 227 단계에서 소스 eNB/RNC(133)로부터 전송받은 단말 보안 능력을 비교하여 소스 eNB/RNC(133)가 UE(110)에게 메시지를 전송할 수 있는 정당한 엔티티인지 검증(check)한다. 또한 상기 229 단계에서 UE(110)는 핸드오버 준비과정이전에 등록 요청, 위치 갱신 요청 등에서 응급 콜 식별자(emergency call indicator)가 사용되었는지를 검증(check)하여 상기 227 단계에서 소스 eNB/RNC(133)로부터 전송받은 투명 컨테이너(Transparent container)의 선택된 알고리즘으로 EIA0, EEA0 등의 알고리즘이 적합한지 판단한다.

상기 229 단계의 검증 결과가 성공이면, 이후 UE(110)은 231 과정에서 타겟 eNB(112)로 핸드오버를 진행하여 핸드오버 완료(Handover complete) 메시지를 전송하게 되고, 233 단계에서 타겟 eNB(112)는 핸드오버 알림(handover notify) 메시지를 타겟 MME(114)로 전송하게 되고, 이후 235 과정에서 서빙 게이트웨이(116)등의 변경이 있는 경우 베어러 변경 요청(modify bearer request)과정이 타겟 MME(116), 서빙 GW(116), PDN GW(118)등을 통해 수행된다. 이후 237 단계에서 이전 소스 네트웍에서 사용하던 베어러 등을 정리하는 작업을 돕기 위하여 타겟 MME(114)에서 소스 MME/SGSN(135)로 핸드오버를 위한 작업이 완료 되었음을 알려주는 전송 재위치 완료(forward relocation complete) 메시지가 전송되고 239 단계에서는 이에 대한 응답으로 소스 MME/SGSN(135)에서 타겟 MME(114)로 전송 재위치 완료 응답(forward relocation complete acknowledgement) 메시지가 전송된다.

이후에는 241 과정에서와 같이 이러한 핸드오버 실행 과정중에 UE(110)은 위치 갱신 요청(Tracking area update request)를 타겟 MME(114)로 보내게 된다. 이때 상기 위치 갱신 요청 메시지에는 단말 보안 능력을 포함하게 되는데 포함되는 단말 보안 능력에는 응급 콜을 지원하기 위하여 최소한 EIA0, EEA0를 포함하는 우선순위가 높은 보안 알고리즘들이 포함될 수 있다.

도 3은 본 발명의 일 실시 예에 따른 응급 콜 핸드오버 시 UE에서 수행되는 보안 관리 절차를 나타낸 순서도이다.

도 3을 참조하면, 301 단계에서 UE(110)는 응급 콜을 지원하기 위하여 소스 MME/SGSN(135)에 등록을 요청하거나 위치 갱신 요청을 수행한다. 즉 UE(110)은 도 2의 201 단계에서 설명한 등록 요청(Attach Request) 메시지, 또는 위치 갱신 요청 메시지인 라우팅 영역 갱신(Routing Area Update : RAU request) 메시지 또는 트래킹 영역 갱신(Tracking Area Update : TAU request) 메시지 등에 응급 콜 식별자(emergency call indicator)를 함께 전송하여 응급 콜을 위한 등록 요청 혹은 위치 갱신임을 소스 MME/SGSN(135)에 알려준다. 여기서 응급 콜 식별자는 선택적으로 포함될 수 있다. 이때 등록 요청 메시지 혹은 위치 갱신 요청 메시지에는 단말 보안 능력(UE Security Capability)이 포함되며, 상기 단말 보안 능력은 예를 들어 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EEA0)을 포함한다. 핸드오버 과정은 핸드오버 준비 과정과 핸드오버 실시 과정으로 크게 나뉘는데 핸드오버 실시과정에서 UE(110)이 관여하게 되며, 311 단계 이후의 동작은 핸드오버 실시과정에 해당된다.

즉 311 단계에서 UE(110)은 소스 eNB/RNC(133)로부터 핸드오버 명령(handover command) 메시지를 수신하여 타겟 eNB(112)로 핸드오버 함을 명령 받게 된다. 이러한 핸드오버 명령에는 소스 eNB/RNC(133)로부터 전송받은 투명 컨테이너와 단말 보안 능력 등이 포함된다. 이때 상기 포함되는 투명 컨테이너는 상기 타겟 eNB(112)에서 응급 콜을 핸드오버를 수행하기 위하여 선택한 EIA0, EEA0를 최소한 선택된 알고리즘으로 포함하며, 타겟 eNB(112)-> 타겟 MME(114)-> 소스 MME/SGSN(135)-> 소스 eNB/RNC(133)를 경유하여 UE(110)에게 전달된 것이다.

한편 상기 핸드오버 명령에 포함될 수 있는 단말 보안 능력은 UE가 등록 요청(attach request), 위치 갱신 요청(Routing area update request 또는 Tracking Area Update Request)를 전송할 때 포함했던 값이 될 수도 있고, 이에는 응급 콜을 지원하기 위하여 EIA0, EEA0 등이 최소한 포함될 수 있다. 이후 313 단계에서 UE(110)은 상기 핸드오버 명령(handover command)에서 수신한 단말 보안 능력을 상기 301 단계에서 등록 요청, 위치 갱신 요청 등에서 전송한 단말 보안 능력과 비교하여 소스 eNB/RNC(133)가 UE(110)에게 메시지를 전송할 수 있는 정당한 엔티티인지 검증할 수 있으며, 핸드오버 준비과정이전에 상기 등록 요청, 위치 갱신 요청 등에서 응급 콜 식별자(emergency call indicator)가 사용되었는지를 검증(check)하여 투명 컨테이너(Transparent container)의 선택된 알고리즘으로 EIA0, EEA0 등의 알고리즘이 적합한지 판단한다. 이후 상기 단말 보안 능력과 응급 콜 식별자의 검증 결과가 모두 성공인 것으로 판단되면 UE(110)은 321 단계에서 타겟 eNB(112)로 핸드오버를 진행하여 핸드오버 완료(Handover complete) 메시지를 전송하게 된다. 이후에는 323 단계에서 핸드오버 실행 과정중에 UE(110)은 위치 갱신 요청(Tracking area update request: 이하 TAU request로 표기)를 타겟 MME(114)로 보내게 된다. 이때 상기 위치 갱신 요청(TAU request) 메시지에는 단말 보안 능력이 포함되며, 상기 포함되는 단말 보안 능력에는 응급 콜을 지원하기 위하여 최소한 EIA0, EEA0를 포함하는 우선순위가 높은 보안 알고리즘들이 포함될 수 있다.

도 4 은 본 발명의 일 실시 예에 따른 응급 콜 핸드오버시 타겟 MME에서 수행되는 보안 관리 절차를 나타낸 순서도이다.

도 4를 참조하면, 401 단계에서 타겟 MME(114)는 소스 MME/SGSN(135)로부터 전송 재위치 요청(forward relocation request) 메시지를 수신한다. 이때 상기 전송 재위치 요청 메시지는 단말 보안 능력을 선택적으로 포함할 수 있다. 상기 전송 재위치 요청 메시지에 단말 보안 능력이 포함되는 경우 UE가 응급 콜을 지원하고 있는중에 핸드오버를 준비하는 경우라면 NULL 무결성 알고리즘인 EIA0, NULL 암호화 알고리즘인 EEA0는 최소한으로 포함되어야 한다. 또한 UE가 현재 응급 콜을 수행중이었음을 알리기 위하여 응급 콜 식별자(emergency call indicator)가 상기 전송 재위치 요청(Forward Relocation Request) 메시지에 포함될 수 있다.

403 단계에서 상기 전송 재위치 요청 메시지에 단말 보안 능력이 포함되어 있으면 타겟 MME(114)는 405 단계로 진행하여 소스 MME/SGSN(135)로부터 수신한 단말 보안 능력(UE EPS Security capability)를 이용하게 된다. 한편 상기 403 단계에서 소스 MME/SGSN(135)로부터 수신한 전송 재위치 요청 메시지에 단말 보안 능력이 포함되지 않으면, 타겟 MME(114)는 보안 알고리즘으로 EIA0, EEA0를 최소한 포함하도록 기본 단말 보안 능력(default UE EPS security capability)를 설정하게 된다. 이후 409 단계에서 타겟 MME(114)는 NAS 보안 알고리즘으로 EIA0, EEA0를 선택하게 된다.

타켓 MME(114)는 411 단계에서 S1 핸드오버 요청(S1 Handover Request) 메시지를 타겟 eNB(112)로 전송하게 되는데 이때 NAS 보안 투명 컨테이너(NAS security transparent container)를 생성하여 전송하게 되며 상기 NAS 보안 투명 컨테이너에는 상기 409 단계에서 선택된 보안 알고리즘이 포함된다. 만약 UE가 핸드오버를 준비하는 시점에 응급 콜을 수행하고 있었다면, 타켓 MME(114)는 EIA0, EEA0를 최소한 포함하여 NAS 보안 투명 컨테이너를 생성하게 된다.

또한 상기 S1 핸드오버 요청 메시지에는 단말 보안 능력이 포함되며, 이때 포함되는 단말 보안 능력은 소스 MME/SGSN(135)으로부터 타겟 MME(114)가 전송 받은 단말 보안 능력 또는 소스 MME/SGSN(135)로부터 전송 받은 단말 보안 능력이 없다면 상기 기본 보안 능력(default security capability)이 포함된다. 상기 기본 보안 능력은 UE가 응급 콜을 수행하고 있었던 경우를 위하여 EIA0, EEA0를 최소한 포함하며, NAS, RRC, 사용자 플레인(user plane data: 이후 UP로 표기)암호화를 위한 알고리즘으로 EEA0, EEA1, EEA2, NAS, RRC 무결성을 위한 알고리즘으로 EIA0, EIA1, EIA2 등이 포함될 수 있다.

이후 413 단계에서 타겟 MME(114)는 타겟 eNB(112)에서 생성된 투명 컨테이너(transparent container)를 포함한 S1 핸드오버 요청 응답(S1 Handover request acknowledgement) 메시지를 수신하게 된다. 여기서 상기 투명 컨테이너는 상기 단말 보안 능력에 근거하여 선택된 RRC, UP를 위한 보안 알고리즘으로서 응급 콜 지원을 위한 EIA0, EEA0를 최소한 포함하며, 상기 411 단계에서 타겟 MME(114)가 생성해서 타겟 eNB(112)로 전송한 NAS 보안 투명 컨테이너(NAS security transparent container)를 포함한다.

이후 415 단계에서 타겟 MME(114)는 소스 MME/SGSN(135)에게 상기 413 단계에서 상기 타겟 eNB(112)로부터 수신한 투명 컨테이너를 포함하는 전송 재위치 응답(Forward relocation response) 메시지를 전송하게 된다. 이후 UE(110)가 타겟 eNB(112)로 핸드오버를 진행하면 417 단계에서 타겟 MME(114)는 타겟 eNB(112)로부터 핸드오버 알림(handover notify) 메시지를 수신하게 되고, 이후 타겟 MME(114)는 419 단계에서 이전 소스 네트웍에서 사용하던 베어러 등을 정리하는 작업을 돕기 위하여 소스 MME/SGSN(135)로 핸드오버를 위한 작업이 완료 되었음을 알려주는 전송 재위치 완료(forward relocation complete) 메시지를 전송하고, 이에 대한 응답으로 소스 MME/SGSN(135)로부터 재위치 재조정 완료 응답(forward relocation complete acknowledgement) 메시지를 수신하게 된다.

이후 타겟 MME(114)는 421 단계에서 UE(110)로부터 위치 갱신 요청(Tracking area update request)를 수신한다. 이때 상기 위치 갱신 요청 메시지는 단말 보안 능력을 포함하며, 상기 단말 보안 능력에는 응급 콜을 지원하기 위하여 최소한 EIA0, EEA0를 포함한 다른 우선순위가 높은 보안 알고리즘들이 포함될 수 있다.

도 5는 본 발명의 일 실시 예에 따른 응급 콜 핸드오버시 소스 MME/SGSN에서 수행되는 보안 관리 절차를 나타낸 순서도이다.

도 5를 참조하면, 501 단계에서 소스 MME/SGSN(135)는 타겟 MME(114)로 상기한 전송 재위치 요청(forward relocation request) 메시지를 전송한다. 이때 상기 전송 재위치 요청 메시지에는 단말 보안 능력이 선택적으로 포함되며, 응급 콜 식별자가 포함된다. 상기 단말 보안 능력이 포함되는 경우 UE가 응급 콜 핸드 오버를 수행하는 경우 EIA0, EEA0는 최소한 포함된다.

이후 507 단계에서 소스 MME/SGSN(135)는 타겟 MME(114)로부터 상기한 투명 컨테이너를 포함하는 전송 재위치 응답(Forward relocation response) 메시지를 수신하게 된다. 그리고 509 단계에서 소스 MME/SGSN(135)는 소스 eNB/RNC(133)으로 재위치 명령(relocation command) 메시지를 전송하여, 핸드오버 준비 과정이 완료되었음을 알려준다. 상기 재위치 명령 메시지에는 상기 507 단계에서 타겟 MME(114)로부터 수신한 투명 컨테이너와 단말 보안 능력이 포함되어 전송된다. 이때 상기 단말 보안 능력은 UE가 등록 요청(attach request), 위치 갱신 요청(Routing area update request 또는 Tracking Area Update Request) 메시지를 전송할 때 그 메시지에 포함되었던 값이 될 수도 있고, 응급 콜을 지원하기 위하여 EIA0, EEA0 등이 최소한 포함된다. 이러한 단말 보안 능력은 UE(110)가 소스 eNB/RNC(133) 에서 전송된 핸드오버 명령(Handover command)을 검증하는데 사용될 수 있다. 이후 511 단계에서 소스 MME/SGSN(135)는 이전 소스 네트웍에서 사용하던 베어러 등을 정리하는 작업을 돕기 위하여 타겟 MME(114)가 전송한 전송 재위치 완료(forward relocation complete) 메시지를 수신한다. 상기 전송 재위치 완료 메시지는 핸드 오버를 위한 절차가 완료되었음을 알려준다. 이후 513 단계에서 MME/SGSN(135)는 상기 상기 전송 재위치 완료 메시지에 대한 응답으로 타겟 MME(114)로 재위치 재조정 완료 응답(forward relocation complete acknowledgement) 메시지를 전송한다.

이하 단말의 인증 실패 시에 응급 콜을 지원하기 위한 본 발명의 실시 예를 도 6 내지 도 8을 참조하여 설명하기로 한다.

도 6 는 본 발명의 다른 실시 예에 따라 단말의 인증 실패 시에 응급 콜을 지원하기 위한 보안 관리 절차를 나타낸 흐름도이다.

도 6을 참조하면, 601 단계는 UE(110)가 MME(135)로 등록 요청(attach request)혹은 위치 갱신 요청(트래킹 에어리어 갱신 요청 : Tracking area update request) 메시지를 전송하는 과정이다. 이때 UE(110)은 MME(135)로 보내는 상기 등록 요청 혹은 위치 갱신 요청 메시지에 단말 보안 능력(UE security capability)와 응급 콜 식별자(emergency indicator)을 포함하여 전송한다. 상기 단말 보안 능력에는 UE가 응급 콜의 상황에도 지원하기 위하여 NULL 무결성 알고리즘인 EIA0, NULL 암호화 알고리즘인 EEA0를 최소한 포함한다. 또한 본 실시 예에서 상기 등록 요청 혹은 위치 갱신 요청 메시지에는 메시지를 송수신할 수 있는 정당한 권리자가 아닌 공격자에 의한 공격(즉, man-in-the middle attack)을 방지할 수 있도록 검증을 위한 임시(NONCE) 값을 추가로 포함한다. 단말은 하기 625 단계의 검증 동작에서 상기 임시(NONCE) 값을 이용하여 단말 보안 능력을 전송한 네트워크 엔터티에 대해 검증을 수행할 수 있다.

상기 공격자에 의한 공격을 방지하기 위한 다른 실시 예로 단말 보안 능력의 비트를 이용하는 것도 가능하다. 예를 들면, 단말 보안 능력의 IE(information element)에서 옥텟(octet) 6번의 8번 비트나 옥텟 7번의 8번 비트(bit)를 UE에서 MME로 전송하는 등록 요청 혹은 위치 갱신 요청 메시지에 포함하여 전송하고, 이후 UE가 MME(135)로부터 수신한 단말 보안 능력에서 해당 비트 값을 비교하는 방법을 통해 공격자의 공격을 검증하는 방법도 사용할 수 있다.

이를 구체적으로 설명하면, 611 단계에서 MME(135)는 UE(110)으로 인증 요청 (authentication request) 메시지를 전송하고, 이에 대해서 UE(110)가 그 인증 요청에 대해 검증하는 과정에서 실패하면 613 단계에서와 같이 MME(135)로 인증 실패(authentication failure) 메시지를 전송하게 된다. 물론 인증 성공(authentication success) 과정도 있으나 본 발명의 실시 예는 인증 실패 이후의 응급 콜을 지원하기 위한 보안 관리 절차에 대한 것이므로 인증 실패의 경우의 동작을 설명하기로 한다. MME(135)는 621 단계에서 NAS 보안 알고리즘(NAS security Algorithm)으로 무결성을 위해선 EIA0, 암호화를 위해서 EEA0을 포함하는 알고리즘을 선택하여 623 단계에서와 같이 UE(110)으로 보안 모드 명령(security mode command: NAS SMC) 메시지를 전송하게 된다. 상기 보안 모드 명령 메시지에는 상기 621 단계에서 선택된 알고리즘으로 EIA0, EEA0 등을 포함하는 것 이외에 UE가 공격자의 공격을 식별하기 위하여 단말 보안 능력(UE security capability)를 함께 전송하게 되는데, 이때 EIA0, EEA0를 최소한 포함한다., 상기에 기술한 바와 같이 공격자의 공격 여부를 판단하기 위하여 단말에서 보안 능력(security capability) 검증을 위해 전송한 임시(NONCE) 값이 있다면 그 값을 반복(repeat) 전송하거나 혹은 UE(110)에서 단말 보안 능력의 비트 값 중 일부(예를 들어, 옥텟(octet) 6번의 8번 비트나 옥텟 7번의 8번 비트(bit))를 사용하여 전송하였다면 그 비트를 반복하여 전송함으로 이후 UE(110)에서의 검증에 활용할 수도 있다.

이후 625 단계에서 UE(110)은 상기 601 단계에서 등록 요청 혹은 위치 등록 갱신 요청 메시지에 응급 콜 식별자(emergency call indicator)가 있었는지 여부를 검증하고, 응급 콜을 진행했던 경우에는 단말 보안 능력중의 보안 능력(security capability) 검증을 위한 비트 혹은 단말 보안 능력의 검증을 위해 전송했던 임시(NONCE) 값이 있었던 경우 상기 601 단계에서 전송된 임시(NONCE) 값과 상기 623 단계에서 수신한 임시(NONCE) 값을 비교 검증함으로써 공격자의 공격이 있는지를 판별할 수 있다. 이 경우 두 임시 값이 일치하는 경우 공격자의 공격이 없는 것으로 검증된다.

상기 625 단계에서 응급 콜이 아니었거나 혹은 인증 실패의 무인증 단말의 응급 콜인데 EIA0, EEA0 이외의 값으로 된 보안 모드 명령을 요청한 경우 즉 상기 625 단계에서 검증 결과가 실패인 경우 도 6에서 케이스 2로 진행하여 641 단계에서와 같이 UE(110)은 특정화 되지(unspecified) 보안 모드(security mode) 실패라는 코드(cause)(예를 들어 24번 코드)을 사용하여 보안 모드 거절(security mode reject) 메시지를 MME(135)로 전송하게 된다. 한편 상기 625 단계에서 검증 결과가 성공인 경우에는 경우 도 6에서 케이스 1로 진행하여 631 단계에서 UE(110)는 MME(135)로 보안 모드 완성(security mode complete)를 전송하고, 이후 633 단계에서 MME(135)로부터 UE(110)은 등록 수락(attach accept)/위치 갱신 수락(tracking area update accept) 메시지를 수신하게 된다.

도 7 은 본 발명의 다른 실시 예에 따라 UE에서 수행되는 응급 콜 지원을 위한 보안 관리 절차를 나타낸 순서도이다.도 7을 참조하면, 701 단계에서 UE(110)가 MME(135)로 등록 요청(attach request) 혹은 위치 갱신 요청(Tracking area update request) 메시지를 전송하는 과정이다. 이때 UE(110)은 MME(135)로 보내는 상기 등록 요청 혹은 위치 갱신 요청 메시지에 단말 보안 능력(UE security capability)과 응급 콜 식별자(emergency indicator)을 포함하게 된다. 상기 단말 보안 능력에는 UE가 응급 콜의 상황에도 지원하기 위하여 NULL 무결성 알고리즘인 EIA0, NULL 암호화 알고리즘인 EEA0를 최소한 포함한다. 또한 이후 709 단계에서 공격자에 의한 공격(attack)을 구별하기 위하여 응급 콜의 경우 단말 보안 능력으로 검증하는 것이외에 EIA0 , EEA0 인 상황에 대해 임시(NONCE) 값을 추가하여 전송함으로써 상기 단말 보안 능력을 전송한 네트워크 엔티티(entity)에 대해 검증이 가능하도록 할 수 있다. 또는 단말 보안 능력 의 비트를 이용하는 방법이 있는 바 예를 들면, 단말 보안 능력 IE(information element)의 옥텟(octet)6번 의 8번 비트나 옥텟 7번의 8번 비트(bit)를 UE에서 MME로 보내는 등록 혹은 위치 갱신 메시지에 전송하고, 이후 전송받은 값을 비교하는 방법을 통해 공격자의 공격을 검증하는 방법도 사용할 수 있다.

한편 703 단계에서 UE(110)는 MME(135)로부터 인증 요청 (authentication request) 메시지를 수신하고, 이에 대해서 UE(110)는 그 인증 요청을 검증하는 과정에서 실패하면 705 단계에서와 같이 UE(110)는 MME(135)로 인증 실패(authentication failure) 메시지를 전송하게 된다. 본 실시 예에서는 인증 실패 이후의 과정에 주안점을 두어 설명하기로 한다. 이후 707 단계에서와 같이 UE(110)는 MME(135)로부터 보안 모드 명령(security mode command: NAS SMC) 메시지를 수신하게 된다. 상기 보안 모드 명령 메시지에는 전술한 도 6의 621 단계에서 선택된 알고리즘으로 EIA0, EEA0 등이 포함되는 것 이외에 단말에서 공격자의 공격을 식별하기 위하여 단말 보안 능력이 포함되어 전송되며,, 이때 EIA0, EEA 0를 최소한 포함한다., 상기에 기술한 바와 같이 공격자의 공격 여부를 판단하기 위하여 단말에서 보안 능력(security capability) 검증을 위해 전송한 임시(NONCE) 값이 있다면 그 값을 반복(repeat)하여 MME(135)로부터 수신하거나 혹은 UE(110)에서 단말 보안 능력의 비트(bit) 값중 일부를 사용하여 전송하였다면 그 비트를 반복하여 MME(135)로부터 수신함으로 이후 UE(110)에서의 검증에 활용할 수도 있다.

이후 709 단계에서 UE(110)은 등록 요청 혹은 위치 등록 갱신 요청 메시지에서 응급 콜 식별자(emergency call indicator)가 있었는지 여부를 검증하고, 응급 콜을 진행했던 경우에는 단말 보안 능력중의 보안 능력(security capability) 검증을 위한 비트 혹은 단말 보안 능력 검증을 위해 전송했던 임시(NONCE) 값이 있었던 경우 그 임시(NONCE) 값을 비교 검증함으로써 공격자의 공격이 있는지를 판별할 수 있다. 상기 709 단계의 검증 결과에 따라 UE(110)는 711 단계에서 응급 콜 식별자와 단말 보안 능력의 검증 결과가 실패인 경우 즉, 응급 콜이 아니었거나 혹은 인증 실패의 무인증 단말의 응급 콜인데 EIA0, EEA0 이외의 값으로 된 보안 모드 명령을 요청한 경우 즉 도 6에서 케이스 2인 경우에는 731 단계에서와 같이 UE(110)은 특정화 되지(unspecified) 않은 보안 모드(security mode) 실패라는 코드(cause)(예컨대, 24번 코드)을 사용하여 보안 모드 거절(security mode reject) 메시지를 MME(135)로 전송하게 된다. 한편 검증 결과가 성공인 경우 경우에는 경우 UE(110)는 도 6의 케이스 1과 같이 721 단계에서 MME(135)로 보안 모드 완성(security mode complete)메세지를 전송하고, 이후 723 단계에서와 같이 UE(110)은 MME(135)로부터 등록 수락(attach accept)/위치 갱신 수락(tracking area update accept) 메시지를 수신하게 된다.

도 8 는 본 발명의 다른 실시 예에 따라 MME에서 수행되는 응급 콜 지원을 위한 보안 관리 절차를 나타낸 순서도이다.

도 8을 참조하면, 801 단계에서 UE(110)이 MME(135)는 UE(110)으로부터 등록 요청(attach request)혹은 위치 갱신 요청(Tracking area update request) 메시지를 수신한다. 이때 UE(110)로부터 MME(135)로 전송되는 상기 등록 요청 혹은 위치 갱신 요청 메시지에는 단말 보안 능력(UE security capability)과 응급 콜 식별자(emergency indicator)가 포함되게 된다. 단말 보안 능력에는 UE가 응급 콜의 상황에도 지원하기 위하여 NULL 무결성 알고리즘인 EIA0, NULL 암호화 알고리즘인 EEA0를 최소한 포함되게 된다.

한편 803 단계에서 MME(135)는 UE(110)에게 인증 요청 메시지(authentication request) 메시지를 전송하고, 그 인증 요청에 대해 UE(110)가 검증하는 과정에서 실패하면, 805 단계에서와 같이 MME(135)는 UE(110)으로부터 인증 실패(authentication failure) 메시지를 수신하게 된다. 본 발명의 실시 예에서는 인증 실패 이후의 과정에 주안점을 두어 설명하기로 한다.

한편 MME(135)는 807 단계에서 NAS 보안 알고리즘(NAS security Algorithm)으로 무결성을 위해선 EIA0, 암호화를 위해서 EEA0을 포함하는 알고리즘을 선택하여 809 단계에서와 같이 MME(135)는 UE(110)으로 보안 모드 명령(security mode command) 메시지를 전송하게 된다. 상기 보안 모드 명령 메시지에는 상기의 선택된 알고리즘으로 EIA0, EEA0 등을 포함하는 것 이외에 UE(110)에서 공격자의 공격을 식별하기 위하여 전송했던 단말 보안 능력을 반복하여 전송하게 되며, 상기에 기술한 바와 같이 공격자의 공격 여부를 판단하기 위하여 UE(110)에서 보안 능력(security capability) 검증을 위해 전송한 임시(NONCE) 값이 있다면 그 값을 반복(repeat) 전송하거나 혹은 UE(110)에서 단말 보안 능력 의 비트(bit) 값중 일부를 사용하여 전송하였다면 그 비트를 반복하여 전송함으로 이후 UE(110)에서의 검증에 활용할 수도 있다.

이후 811 단계에서 UE(110)은 등록 요청 혹은 위치 등록 갱신 메시지에서 응급 콜 식별자(emergency call indicator)가 있었는지 여부를 검증하고, 응급 콜을 진행했던 경우에는 단말 보안 능력중의 security capability 검증을 위한 비트 혹은 단말 보안 능력 검증을 위해 전송했던 NONCE 값이 있었던 경우 NONCE 값을 비교 검증함으로써 공격자의 공격이 있는지를 판별할 수 있다. 상기 811 단계의 검증 동작은 UE(110)에서 수행되며, MME(135)는 그 검증 결과에 따라 UE(110)로부터 아래와 같이 보안 모드 거절 메시지 혹은 보안 모드 완료 메시지를 수신한다.

즉 상기 811 단계에서 응급 콜이 아니었거나 혹은 인증 실패의 무인증 단말의 응급 콜인데 EIA0, EEA0 이외의 값으로 된 보안 모드 명령을 요청한 경우로 검증된 경우 즉 도 6에서 케이스 2인 경우에는 841 단계에서와 같이 MME(135)는 UE(110)로부터 특정화 되지(unspecified) 보안 모드(security mode) 실패라는 코드(cause)가 사용된 보안 모드 거절(security mode reject) 메시지를 수신하게 된다. 한편 상기 811 단계에서 검증이 성공한 경우에는 경우 MME(135)는 821 단계에서 도 6의 케이스 1과 같이 UE(110)로부터 보안 모드 완료(security mode complete) 메시지를 수신하고 이후 823 과정에서와 같이 MME(135)는 UE(110)로 등록 수락(attach accept)/ 위치 갱신 수락(tracking area update accept) 메시지를 전송하게 된다.

상기한 실시 예에서 UE, MME는 각각 도 2 내지 도 8에서 설명한 방법에 따라 해당되는 메시지들을 생성하는 메시지 생성기와, 그 메시지들을 무선망을 통해 송수신하는 송수신기와, 상기 송수신된 메시지들을 근거로 응급 콜 핸드 오버의 전반적인 보안 관리 절차와, 인증 실패 시 응급 콜을 지원하는 보안 관리 절차를 제어하는 제어기를 포함하여 구성될 수 있다.

상기한 실시 예에 따라 본 발명은 3GPP 기반의 EPS 시스템과 같은 진화된 이동 통신 시스템의 2 계층에서 AS(Access Stratum) 프로토콜과, NAS 프로토콜을 지원하는 경우, 응급 콜을 수행하던 UE가 핸드오버 하는 경우에 예를 들어 응급 콜을 수행하는 UE가 EUTRAN 혹은 다른 RAT 즉 UTRAN, GERAN 등에서 EUTRAN 으로 핸드오버 하는 경우에 단말과 네트웍 간의 인증과, 단말과 MME 간의 보안화된 NAS 메시지 사용 및 중단 없는 통신 서비스를 제공할 수 있다.

또한 상기한 실시 예에 따라 본 발명은 단말과 MME 간의 NAS 프로토콜을 이용하여 응급 콜에서의 보안 동작과 응급 콜의 핸드오버 동작을 규정하여 3GPP 기반의 EPS 시스템 뿐만 아니라 다른 무선 접속 기술 예를 들어 UTRAN 이나 EUTRAN 혹은 다른 접속 네트웍에서 EUTRAN 으로 이동하는 경우에도 NAS 프로토콜을 이용하여 단말의 인증과, 단말과 해당 무선 접속 기술에서 상기 MME와 같이 이동성 관리를 수행하는 네트웍 개체(entity) 간의 보안 관리를 지원하고 중단 없는 통신 서비스를 제공할 수 있다.

또한 본 발명은 이동 통신 시스템에서 UE가 응급 콜을 수행하는 중, 혹은 응급 콜 시 핸드오버 하는 경우에 발생하는 보안상의 문제를 NAS 프로토콜을 이용하여 관리할 수 있다. 이를 위해 본 발명은 단말과 네트웍 간에 이루어지는 인증(authentication) 과정 또는 상기 인증 과정 이후에 또는 인증 과정과는 별도로 단말과 MME 간의 NAS 프로토콜 보안을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행할 시 응급 콜을 지원한다. 따라서 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수 있으며, 응급 콜 수행 중 핸드오버 하는 경우 UE가 인증 및 보안 문제로 인하여 통신이 중단되는 현상을 방지할 수 있다.

Claims

응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법에 있어서,

응급 콜 중 핸드 오버 시 단말이 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 과정;

상기 소스 네트워크의 이동 관리자가 타겟 네트워크의 이동 관리자에게 상기 상기 단말 보안 능력이 포함된 메시지를 전송하는 과정;

상기 타겟 네트워크의 이동 관리자가 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 과정; 및

상기 핸드 오버 준비 절차가 완료된 후, 상기 소스 네트워크의 기지국이 상기 단말로 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 전송하는 과정을 포함하는 보안 관리 방법.
제 1 항에 있어서,

상기 단말이 상시 소스 네트워크로 전송하는 메시지는 등록 요청 메시지 또는 위치 갱신 요청 메시지 중 하나인 보안 관리 방법.
제 1 항에 있어서,

상기 단말 보안 능력은 상기 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EPS Integrity Algorithm 0 : EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EPS Encryption Algorithm 0 : EEA0)을 포함하는 보안 관리 방법.
제 3 항에 있어서,

상기 타겟 네트워크의 이동 관리자는 상기 단말 보안 능력이 포함된 메시지에 상기 EIA0, 상기 EEA0이 포함되면, 상기 응급 콜의 핸드 오버로 인식함을 특징으로 하는 보안 관리 방법.
제 1 항에 있어서,

상기 단말이 상기 단말 보안 능력을 검증하여 상기 핸드 오버를 완료하는 과정을 더 포함하는 보안 관리 방법.
응급 콜을 지원하는 이동 통신 시스템에 있어서,

응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 단말;

상기 소스 네트워크의 기지국으로부터 상기 단말 보안 능력을 포함하는 메시지를 수신하면, 타겟 네트워크의 이동 관리자에게 상기 단말 보안 능력이 포함된 메시지를 전송하는 상기 소스 네트워크의 이동 관리자;

상기 소스 네트워크의 이동 관리자로부터 상기 단말 보안 능력이 포함된 메시지를 수신하면, 상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 상기 타겟 네트워크의 이동 관리자; 및

상기 핸드 오버 준비 절차가 완료된 후, 상기 단말로 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 전송하는 상기 소스 네트워크의 기지국을 포함하는 이동 통신 시스템.
제 6 항에 있어서,

상기 단말이 상시 소스 네트워크로 전송하는 메시지는 등록 요청 메시지 또는 위치 갱신 요청 메시지 중 하나인 이동 통신 시스템.
제 6 항에 있어서,

상기 단말 보안 능력은 상기 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EPS Integrity Algorithm 0 : EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EPS Encryption Algorithm 0 : EEA0)을 포함하는 이동 통신 시스템.
제 8 항에 있어서,

상기 타겟 네트워크의 이동 관리자는 상기 단말 보안 능력이 포함된 메시지에 상기 EIA0, 상기 EEA0이 포함되면, 상기 응급 콜의 핸드 오버로 인식함을 특징으로 하는 이동 통신 시스템.
제 6 항에 있어서,

상기 단말이 상기 단말 보안 능력을 검증하여 상기 핸드 오버를 완료하는 과정을 더 포함하는 이동 통신 시스템.
응급 콜을 지원하는 이동 통신 시스템의 단말에서 보안 관리 방법에 있어서,

응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 소스 네트워크로 전송하는 과정; 및

상기 소스 네트워크와 상기 타겟 네트워크 간에 상기 응급 콜의 핸드 오버 준비 절차가 완료된 후, 상기 소스 네트워크으로부터 상기 단말 보안 능력이 포함된 핸드 오버 명령 메시지를 수신하는 과정을 포함하는 보안 관리 방법.
제 11 항에 있어서,

상기 단말이 상시 소스 네트워크로 전송하는 메시지는 등록 요청 메시지 또는 위치 갱신 요청 메시지 중 하나인 보안 관리 방법.
제 11 항에 있어서,

상기 단말 보안 능력은 상기 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EPS Integrity Algorithm 0 : EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EPS Encryption Algorithm 0 : EEA0)을 포함하는 보안 관리 방법.
제 13 항에 있어서,

상기 단말은 상기 단말 보안 능력으로서 상기 EIA0, 상기 EEA0을 포함하는 메시지를 전송하여 상기 응급 콜 중 핸드 오버가 수행됨을 알리는 보안 관리 방법.
제 11 항에 있어서,

상기 단말 보안 능력을 검증하여 상기 핸드 오버를 완료하는 과정을 더 포함하는 보안 관리 방법.
응급 콜의 핸드 오버 시 타겟 네트워크의 이동 관리자가 수행하는 보안 관리 방법에 있어서,

상기 응급 콜 중 핸드 오버 시 단말 보안 능력을 포함하는 메시지를 단말로부터 소스 네트워크의 이동 관리자를 경유하여 수신하는 과정;

상기 단말 보안 능력이 포함된 핸드 오버 요청 메시지를 상기 타겟 네트워크의 기지국으로 전송하는 과정; 및

상기 타겟 네트워크의 기지국으로부터 핸드 오버 요청 응답 메시지를 수신하는 과정을 포함하는 보안 관리 방법.
제 16 항에 있어서,

상기 단말 보안 능력은 상기 응급 콜을 지원하기 위하여 무결성(integrity)를 위한 알고리즘으로 NULL 무결성 알고리즘(EPS Integrity Algorithm 0 : EIA0), 암호화(ciphering)을 위한 알고리즘으로 NULL 암호화 알고리즘(EPS Encryption Algorithm 0 : EEA0)을 포함하는 보안 관리 방법.
제 17 항에 있어서,

상기 타겟 네트워크의 이동 관리자는 상기 단말 보안 능력이 포함된 메시지에 상기 EIA0, 상기 EEA0이 포함되면, 상기 응급 콜의 핸드 오버로 인식함을 특징으로 하는 보안 관리 방법.