WO2015105401A1 - Security method and system for supporting prose group communication or public safety in mobile communication - Google Patents
Security method and system for supporting prose group communication or public safety in mobile communication Download PDFInfo
- Publication number
- WO2015105401A1 WO2015105401A1 PCT/KR2015/000354 KR2015000354W WO2015105401A1 WO 2015105401 A1 WO2015105401 A1 WO 2015105401A1 KR 2015000354 W KR2015000354 W KR 2015000354W WO 2015105401 A1 WO2015105401 A1 WO 2015105401A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- prose
- terminal
- group
- key
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Definitions
- the present invention relates to a system that enables a communication function to be performed on a device. Specifically, proximity based services (Prose), Prose discovery, Prose communication, Device to Device (D2D), especially public safety (P2) in a mobile communication network. It relates to communication for.
- the present invention relates to an inter-device communication for public safety, or a device-to-device discovery for a group communication between devices, and a related security method for group communication between devices.
- Proximity based services are particularly useful in situations where disaster relief by existing infrastructure communications is difficult, especially in disaster situations such as earthquakes, tsunamis and tornadoes. Proximity services are expected to play the role of public safety to communicate disasters through group communication between devices.
- the present invention provides a method for enabling group communication between devices in an evolved mobile communication system including a 3rd Generation Partnership Project (3GPP) Evolved Packet System (EPS) and a method for setting and managing security in group communication between devices. .
- 3GPP 3rd Generation Partnership Project
- EPS Evolved Packet System
- a device for performing group communication between devices acquires information for performing group communication between devices, obtains a security key for performing group communication between devices, and performs group communication between devices. It aims to set up security for secure communication.
- an object of providing a proximity based service that is, prose discovery, prose communication (prose communication) do.
- an object of the UE UE is to provide a method for obtaining the relevant information to enable group communication, and the security configuration is possible.
- Another object of the present invention is to provide a method and system for enabling group communication, public safety communication, and the like to be performed safely and securely.
- an object of the present invention is to enable secure communication.
- a communication method of a terminal may include at least one of a public safety indication and a group communication indication to a mobility management entity (MME). Transmitting an attach request message including one; A prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service (Prose) from the MME. Receiving an attach accept message including at least one of information; transmitting a prose registration request message to a prose function server; And receiving a prose registration response message according to authentication of the terminal from the prose function server.
- MME mobility management entity
- the method may further include: transmitting a paging message including at least one of a public safety indication and a group communication indication to the second terminal; Transmitting a prose group communication request message including prose group related information to a second terminal; Receiving a prose group communication response message from the second terminal when the second terminal verifies that the terminal belongs to the prose group by using the prose group related information; Verifying whether the second terminal belongs to the prose group; And performing prose group communication with the second terminal.
- the prose group communication with the second terminal may include: transmitting a prose group session key request message to the prose function server; Receiving a prose session key encrypted with the prose group key from the prose function server; Transmitting a prose group encryption key or integrity key request message to the prose function server; And receiving a prose group encryption key or an integrity key encrypted with the prose session key from the prose function server.
- the transmitting of the attach request message may include transmitting a attach request message further including a secret value for verifying whether the terminal is an appropriate terminal for group communication. It may include;
- verifying whether the second terminal belongs to the prose group comprises: transmitting a verification request message regarding whether the second terminal belongs to the prose group to the prose function server; ; And receiving a verification response message indicating whether the second terminal belongs to the prose group from the prose function server.
- the method may further include transmitting a prose registration complete message including the prose group key to the prose function server.
- verifying whether the second terminal belongs to the prose group further comprises: transmitting a message indicating that the verification that the second terminal belongs to the prose group is successful to the second terminal; can do.
- the terminal for communicating with the entity; And send an attach request message including at least one of a public safety indication and a group communication indication to a Mobility Management Entity (MME) and proxy from the MME.
- MME Mobility Management Entity
- At least one of a prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service Receive an attach accept message including the information of the information, transmit a prose registration request message to the prose function server (prose function server), the prose according to the authentication of the terminal from the prose function server It may include a control unit for controlling to receive a registration registration (prose registration response) message.
- the communication method of the proximity based service (prose) function server (prose function server) according to an embodiment of the present invention to achieve the above object, the prose registration procedure for prose group communication with the terminal; Performing; Receiving a prose group session key request message from the terminal; Generating the prose group session key; transmitting a prose session key encrypted with a prose group key to the terminal; Receiving a prose group encryption key or integrity key request message from the terminal; Generating the prose group encryption key or integrity key; And transmitting the prose group encryption key or the integrity key encrypted with the prose group body key to the terminal.
- the prose registration procedure for prose group communication with the terminal Performing; Receiving a prose group session key request message from the terminal; Generating the prose group session key; transmitting a prose session key encrypted with a prose group key to the terminal; Receiving a prose group encryption key or integrity key request message from the terminal; Generating the prose group encryption key or integrity key; And transmitting the pros
- the method may further include receiving a verification request message indicating whether a second terminal belongs to a prose group from the terminal; Verifying a prose group communication list associated with the terminal whether the second terminal belongs to the prose group; And transmitting a verification response message including the response information about the verification to the terminal.
- the verifying may include generating a prose group key and storing the prose group key.
- a proximity based service (Prose) function server for communicating with the entities; Perform a prose registration procedure for prose group communication with the terminal, receive a prose group session key request message from the terminal, generate the prose group session key, and generate a prose session key encrypted with the prose group key; A prose transmitted to the terminal, receiving a prose group encryption key or integrity key request message from the terminal, generating the prose group encryption key or integrity key, and encrypting the prose group body key And a control unit controlling to transmit a group encryption key or an integrity key to the terminal.
- Prose proximity based service
- a device performing communication performs a communication security method for public safety using prose discovery, prose communication group communication, and prose communication. can do.
- devices are connected to each other in a group under an environment such as Evolved Universal Terrestrial Radio Access Network (EUTRAN) or Universal Terrestrial Radio Access Network (UTRAN) / GSM / EDGE Radio Access Network (GERAN).
- EUTRAN Evolved Universal Terrestrial Radio Access Network
- UTRAN Universal Terrestrial Radio Access Network
- GERAN EDGE Radio Access Network
- Information may be provided or provided.
- the device may receive security key related information for prose discovery and prose communication, or perform a security procedure using the security key, thereby enhancing efficiency and security of communication.
- the UE when the UE (UE) discovers another terminal and performs group communication, when the terminal cannot query the group related information, the group related information and the group security information are generated. By verifying this, and receiving and verifying security related information between groups, secure communication can be performed.
- FIG. 1 is a block diagram of a mobile communication system according to an embodiment of the present invention.
- FIG. 2 is an example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention.
- FIG. 3 is another example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention.
- FIG. 4 is a block diagram of a terminal according to an embodiment of the present invention.
- FIG. 5 is a block diagram of a prose function server according to an embodiment of the present invention.
- FIG. 6 is a block diagram of an HSS according to an embodiment of the present invention.
- FIG. 7 is a block diagram of an MME according to an embodiment of the present invention.
- the present invention to be described later, in the process of enabling various devices described above to operate as a terminal (UE) in a mobile communication system environment to enable communication, discovering each other between the devices (discovery), and group communication with each other In order to perform communication, it is to provide a method of transmitting related information, performing security procedures, and enabling secure communication.
- EPS Evolved Packet System
- 3GPP 3rd Generation Partnership Project
- UTRAN Universal Terrestrial Radio Access Network
- GERAN GSM / EDGE Radio Access Network
- the present invention may be used in other mobile systems.
- the terminal receives the related information, and receives the security related information, and performs the security procedure, of course, various modifications are possible without departing from the scope of the present invention.
- an embodiment of the present invention transmits related information when various devices including a communication terminal, which is a basic object of the present invention, attempt to perform group communication between devices in an EUTRAN or 3GPP environment, and a security procedure. And management methods to enable secure communication.
- a communication terminal which is a basic object of the present invention
- management methods to enable secure communication.
- Such a method may be used within the scope of the present invention without departing from the scope of the present invention even in a similar technical background and channel form, network architecture or similar protocol, or other mobile communication systems having different but similar protocols. It is applicable to the modification of the, which will be possible in the judgment of a person skilled in the art of the present invention.
- FIG. 1 is a block diagram of a mobile communication system according to an embodiment of the present invention.
- devices 111 and 131 may include various devices such as a user equipment (UE), a device performing machine type communication (UE), and a consumer device. May be included.
- UE user equipment
- UE device performing machine type communication
- consumer device a consumer device. May be included.
- FIG. 1 illustrates an example of an environment in which the first terminal 111 and the second terminal 131 are applicable to prose discovery and prose group communication.
- the first terminal 111 may perform general EUTRAN communication through an evolved Node B (eNB) 114, a Mobility Management Entity (MME) 116, or the like.
- the first terminal 111 may perform data communication through a serving gateway (S-GW), a packet data network gateway (PDN-GW) 119, or the like. Can be.
- eNB evolved Node B
- MME Mobility Management Entity
- S-GW serving gateway
- PDN-GW packet data network gateway
- the mobile communication system further includes a prose function server (prose function server) 127 performing a prose related function in order to perform a Proximity based service (Prose) function.
- the prose function server 127 verifies prose related registration, delivery of related information, and prose related capability of the terminal, and performs prose related functions.
- the application server function of Prose is performed through the prose application server 125.
- the prose application server 125 interoperates with a policy and charging rules function (PCRF) 123-1 in order to perform such a prose application function. Will perform.
- PCRF policy and charging rules function
- the device or terminal 111, 131
- eNB 114 eNB 114
- MME 116 prose function server 127
- HSS 121 HSS 121
- application server ( 125) authentication security and communication setup processes and operations that enable proximity based services (prose), prose discovery, prose communication, group communication, and the like. Let's take a look at how to help.
- FIG. 2 is an example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention.
- the embodiment shown in FIG. 2 shows a case of performing group prose discovery and prose communication.
- the first terminal 111 may transmit an attach request message to the eNB 114 to perform a registration procedure.
- the eNB 114 may transmit an attach request message transmitted by the first terminal 111 to the MME 116.
- a public safety indication indicating communication for public safety may be included in the attach request message.
- a group communication indication indicating a group communication may be included in the attach request message and transmitted.
- the attach request message if the first terminal 111 is connected to the network for the first time for public safety or group communication, it is verified that the first terminal 111 is a terminal suitable for public safety or group communication. You must connect with a secure value for. This secret value should be a value that can be verified on the network for group communication or public safety communication.
- the MME 116 may transmit an authentication data request message to the HSS 121.
- the HSS 121 may transmit a response message including security related information including an authentication vector to the MME 116.
- the MME 116 transmits a user authentication request message including an authentication token (AUTN) to the first terminal 111, and the first terminal 111 sends a user authentication response to the MME 116.
- a RES response security value
- a (User authentication response) message can be sent along with a (User authentication response) message.
- the MME 116 may transmit an update location request message to the HSS 121.
- the MME 116 may include a public safety indication in an update location request message and transmit it to the HSS 121.
- the MME 116 may include a group communication indication in an update location request message and transmit it to the HSS 121.
- the first terminal 111 accesses the network for the first time, the first terminal 111 should be verified in the network that the terminal is suitable for public safety or group communication. You must connect with).
- This secret value should be a value that can be verified on the network for group communication or public safety communication.
- the HSS 121 inquires information such as identifier information (ID), group key (group key) for group communication with respect to the first terminal 111.
- ID identifier information
- group key group key
- the HSS 121 is a secret value sent by the first terminal 111 in step 311, and the first terminal 111 is suitable for group communication or public safety communication. It is verified whether the terminal.
- a group identifier is assigned to the first terminal 111, and a group key is generated or assigned.
- the group identifier includes any one of country information, area information, and communication network (network information in the carrier network and the provider network).
- the group identifier may be used for public safety if it is for public safety. For example, it may include information such as firefighting, security, earthquake, typhoon, tsunami and tornado.
- the HSS 121 transmits subscription data to the MME 116.
- the HSS 121 is a prose identifier for providing a prose service to the MME 116, a Prose group identity, a Prose group key, a prose related capability of the terminal, If there is a registered prose identifier and security key, information such as a proxy key related to proximity and a prose Public Land Mobile Network (PLMN) list can be delivered together.
- Proximity related security key is a security key for proximity discovery or proximity communication. If there is already registered information, the registered information is searched for and informed. Do it.
- the MME 116 may transmit an attach accept message to the eNB 114.
- the attach accept message is transmitted from the eNB 114 to the first terminal 111.
- the MME 116 in step 317, the prose identifier for the prose service delivered from the HSS 121, the prose-related capacity of the terminal, the security-related security key, and the prose group.
- Information such as a key group, a prose group identity, and a prose PLMN list may also be transmitted to the first terminal 111 along with an attach accept message.
- the MME 116 in relation to steps 301, 303, 305, 307, 309, 311, 313, 317, and 319, the MME 116 is an intermediate entity, and the ProSe public indication, secrete value. And the like, and appeared as an intermediate node to verify in the HSS 121.
- the intermediate node may be involved in the intermediate process, not the MME 116, but in the intermediate function, passing the parameters and verifying the HSS 121. That is, in step 301, 303, 305, 307, 309, 311, 313, 317, and 319, an entity that is involved in passing such a parameter may be a prose function 127.
- At least one parameter such as a secret value for public safety and a public safety indication may be delivered from the UE through the Prose function 127. Then, the HSS 121 is verified using the transferred parameters through the steps 309, 311, and 313. On the other hand, if the prose function 127 becomes an entity of the intermediate process, according to the embodiment, the Prose Group ID, Prose Group Key, Prose key, Prose ID, etc. are passed from the HHS 121 to the Prose function 127 in steps 317 and 319. It may be delivered to the UE.
- the first terminal 111 may transmit a prose registration request message to the prose function 127.
- the second terminal 131 may perform a prose registration request process like the first terminal 111. Since the process is described with the first terminal 111, it is assumed that the second terminal 131 is basically subjected to the same registration process as the first terminal 111.
- the prose function 127 may transmit a prose registration request message to the HSS 121 in step 325, and then the HSS 121 may transmit a prose authentication vector to the prose function 127.
- the prose authentication vector includes a cipher key (CK) and an integrity key (IK) and transmitted to the prose function 127.
- step 327 the prose authentication token is transmitted from the prose function 127 to the first terminal 111 through a pse authentication request message.
- the prose function ID may be delivered to the HSS 121 in the prose function 127 in step 325.
- the HSS 121 may transmit at least one parameter such as a prose group key, a prose key, and a prose authentication token while delivering a prose authentication vector and an authentication token to the Prose function 127.
- At least one parameter of the received prose group key, prose key, prose authentication token, etc. may be delivered to the UE in the Prose function 127 in step 327.
- a prose authentication response message including a response value for the authentication token transmitted from the prose function 127 to the first terminal 111 is registered by the first terminal 111. 127).
- the prose function 127 may verify the result by comparing RES and XRES information.
- the prose function 127 may transmit a prose registration response message to the first terminal 111.
- the subsequent process will be described with respect to a process in which the terminal performs prose group communication using a prose key or a prose identifier, a prose group key, and a prose group ID.
- the first terminal 111 when the first terminal 111 wants to verify the request message sent for the prose group communication through the group key, the first terminal 111 performs the prose function 127 as in step 343. ) May be transmitted including the prose group key of the first terminal 111 in a prose registration complete message. In response, the prose function 127 may register the group key of the first terminal 111 using the received information.
- the prose function 127 may include a prose key to the application server 125 and information related to the registration of the prose service in the process of registering the terminal to the prose function 127 and the prose group key. At least one may be delivered. Thereafter, in operation 343-5, the application server 125 may store at least one of information such as a prose key and a prose group key. Thereafter, in step 343-7, the first terminal 111 and the application server 125 communicate using a prose key, a prose identifier, a Prose Group ID, a Prose Group key, and the like.
- the first terminal 111 may send a paging message to the second terminal 131.
- the paging message may include a group communication indicator for prose group communication in the terminal, or a public safety communication indication for instructing communication for public safety.
- the first terminal 111 notifies the second terminal 131 that it wants to communicate with the prose group, and may request for prose communication.
- the request method may be performed through a method of using broadcast, broadcast IP, multicast, multicast IP, and the like.
- the prose group ID can be used to inform the destination.
- step 349 the group related information of the first terminal 111 is transmitted together with a case 1) time stamp or case 2) nonce, or case 3) time stamp or nonce, in order to prevent a replay attack. Can also be concatenated and sent.
- case 4) time stamp may also be time information of an application layer, and case 5) time information value used in a physical layer, that is, physical information used in a physical layer. Counter information, or time information used in system information block (SIB) 16 used in case 6) layer 2 may be used.
- SIB system information block
- the time information value obtained from the physical layer may be transmitted through SIB of layer 2 as in case 6), and the information of case 5) and case 6) may be physically delayed. There may be a small advantage.
- case 7) such information may be transmitted through a one time hash function.
- Case 8) A message authentication code (MAC) may be obtained using a group key, which is a key shared between the sender and the receiver. It can generate and authenticate whether it is from the right sender.
- MAC message authentication code
- step 351 the second terminal 131 verifies whether the first terminal 111 belongs to the Prose Group by decrypting (decrypting) the group related information, time stamp, and nonce transmitted in step 349 with the prose group key. Can be performed.
- the second terminal 131 may transmit a group communication response message to the first terminal 111.
- a group communication response message may be performed including a process of group join.
- this step may not be performed if step 349 is made by a broadcast method.
- the terminal 111 may perform case 1) verifying whether the second terminal 131 also belongs to the group in the first terminal 111.
- case 2) the first terminal 111 may request the network to verify whether the second terminal 131 belongs to a group, and may perform a process of receiving a verification result.
- the embodiment shown in FIG. 2 relates to an embodiment for verifying whether the second terminal 131 belongs to a group in the first terminal 111 according to case 1).
- case 1) for verifying at the terminal level for group communication in operation 355, the first terminal 111 may perform verification whether the second terminal 131 belongs to a Prose group. In operation 357, the first terminal 111 may send a message including information indicating that the second terminal 131 joins the group to the second terminal 131. Alternatively, in another embodiment, the second terminal 131 verifies that the second terminal 131 belongs to the prose group in the first terminal 111, and thus the second terminal 131 sends a message indicating that the verification was successful. Can be sent to.
- the purpose is to inform that the terminal is successful in joining the multicast (multicast group) This may be an optional process that is not performed.
- the second terminal 131 may send a prose group communication request complete message to the first terminal 111.
- the first terminal 111 transmits a session group request session message for the Prose group communication to the Prose function 127.
- step 383 the Prose function 127 generates a prose group communication session key.
- the prose function 127 may encrypt the prose group session key with the prose group key and transmit the encrypted message to the first terminal 111.
- the first terminal 111 decrypts the prose group session key.
- the first terminal 111 transmits a message requesting a security key to the prose function 127, for example, a prose group encryption and an integrity key request message.
- a message requesting a security key to the prose function 127, for example, a prose group encryption and an integrity key request message.
- the prose function 127 generates a prose group communication integrity key and a prose group communication encryption key.
- the prose function 127 may encrypt the prose group communication encryption key or the prose group communication integrity key with the prose group session key and transmit the encrypted message to the first terminal 111.
- the first terminal 111 decodes the prose group communication encryption key or the prose group communication integrity key into the prose group session key.
- terminals belonging to the Prose Group such as the first terminal 111 and the second terminal 131 may safely perform the Prose Group communication.
- 3 is another example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention. 3 illustrates a case of performing group prose discovery and prose communication.
- the first terminal 111 may transmit an attach request message to the eNB 114 to perform a registration procedure.
- the eNB 114 may transmit an attach request message transmitted by the first terminal 111 to the MME 116.
- a public safety indication indicating communication for public safety may be included in the attach request message.
- a group communication indication indicating a group communication may be included in the attach request message and transmitted.
- the attach request message if the first terminal 111 is connected to the network for the first time for public safety or group communication, it is verified that the first terminal 111 is a terminal suitable for public safety or group communication. You must connect with a secure value for. This secret value should be a value that can be verified on the network for group communication or public safety communication.
- the MME 116 may transmit an authentication data request message to the HSS 121.
- the HSS 121 may transmit a response message including security related information including an authentication vector to the MME 116.
- the MME 116 transmits a user authentication request message including an authentication token (AUTN) to the first terminal 111, and the first terminal 111 sends a user authentication response to the MME 116.
- a RES response security value
- RES Response security value
- the MME 116 may transmit an update location request message to the HSS 121.
- the MME 116 may include a public safety indication in an update location request message and send it to the HSS 121.
- the MME 116 may include a group communication indication in an update location request message to the HSS 121.
- the first terminal 111 accesses the network for the first time, the first terminal 111 should be verified in the network that the terminal is suitable for public safety or group communication. You must connect with).
- This secret value should be a value that can be verified on the network for group communication or public safety communication.
- the HSS 121 inquires information such as identifier information (ID) and group key for group communication with respect to the corresponding first terminal 111.
- ID identifier information
- group key for group communication with respect to the corresponding first terminal 111.
- the HSS 121 is a secret value sent by the first terminal 111 in step 411 and the first terminal 111 is suitable for group communication or public safety communication. It is verified whether the terminal.
- a group identifier is assigned to the first terminal 111 and a group key is generated or assigned.
- the group identifier includes any one of country information, area information, and communication network (network information in the carrier network and the provider network).
- the group identifier may be used for public safety if it is for public safety. For example, it may include information such as firefighting, security, earthquake, typhoon, tsunami and tornado.
- the HSS 121 transmits subscription data to the MME 116.
- the HSS 121 is a prose identifier for providing a prose service to the MME 116, a Prose group identity, a Prose group key, a prose related capability of the terminal, If there is a registered prose identifier and security key, information such as a proxy key related to proximity and a prose Public Land Mobile Network (PLMN) list can be delivered together.
- Proximity related security key is a security key for proximity discovery or proximity communication. If there is already registered information, the registered information is searched for and informed. Do it.
- the MME 116 may transmit an attach accept message to the eNB 114.
- the attach accept message is transmitted from the eNB 114 to the first terminal 111.
- the MME 116 transmits a prose identifier for providing a prose service delivered from the HSS 121 in step 417, a prose-related capability of the terminal, a security key related to a proximity, and a prose group.
- Information such as a key group, a prose group identity, and a prose PLMN list may also be transmitted to the first terminal 111 along with an attach accept message.
- the MME 116 in connection with steps 401, 403, 405, 407, 409, 411, 413, 417, and 419, delivers ProSe public indication, secrete value, etc. with respect to ProSe as an intermediate entity. , Which appeared as an intermediate node to verify in the HSS 121.
- the intermediate node is not MME 116, but the Prose function 127 may be involved in the intermediate process, passing these parameters and involved in verifying in the HSS 121. That is, in step 401, 403, 405, 407, 409, 411, 413, 417, 419, the entity involved in passing these parameters may be the prose function 127.
- At least one parameter such as a secret value or public safety indication for public safety may be delivered from the UE through the Prose function 127. Then, the HSS 121 is verified using the transferred parameters through 409, 411, and 413 steps. On the other hand, if the prose function 127 becomes an entity in the middle process, according to the embodiment, the Prose Group ID, Prose Group Key, Prose key, Prose ID, etc. are passed from the HHS 121 to the Prose function 127 in steps 417 and 419. It may be delivered to the UE.
- the first terminal 111 may transmit a prose registration request message to the prose function 127.
- the second terminal 131 may also perform a prose registration request process like the first terminal 111. Since the process is described with the first terminal 111, it is assumed that the second terminal 131 is basically subjected to the same registration process as the first terminal 111.
- the prose function 127 may transmit a prose registration request message to the HSS 121, and then the HSS 121 may transmit a prose authentication vector to the prose function 127.
- the prose authentication vector includes a cipher key (CK) and an integrity key (IK) and transmitted to the prose function 127.
- the prose function 127 may transmit the prose authentication token to the first terminal 111 in a prose authentication request message.
- the prose function ID may be delivered to the HSS 121 in the prose function 127 in step 425.
- the HSS 121 may transmit at least one parameter such as a prose group key, a prose key, and a prose authentication token while delivering a prose authentication vector and an authentication token to the Prose function 127.
- At least one of the parameters such as the prose group key, the prose key, and the prose authentication token may be delivered to the UE in the Prose function 127 in step 427.
- step 429 a prose authentication response message including a response value for the authentication token transmitted from the prose function 127 to the first terminal 111 is registered in the prose function 127. 127).
- the prose function 127 may verify the result by comparing the RES with the XRES information.
- the prose function 127 may transmit a prose registration response message to the first terminal 111.
- the subsequent process will be described with respect to a process in which the terminal performs prose group communication using a prose key or a prose identifier, a prose group key, and a prose group ID.
- the first terminal 111 when the first terminal 111 wants to verify the request message sent for the prose group communication through the group key, the first terminal 111 performs the prose function 127 as in step 443. ) May be transmitted including the prose group key of the first terminal 111 in a prose registration complete message. In response, the prose function 127 may register the group key of the first terminal 111 using the received information.
- the prose function 127 registers at least one of a prose key and a prose group key to the application server 125, and the prose function 127 registers for the prose service in the process of registering the terminal in the prose function 127.
- the application server 125 may store at least one of information such as a prose key and a prose group key.
- the first terminal 111 and the application server 125 communicate using at least one of a prose key, a prose identifier, a prose group ID, and a prose group key.
- the first terminal 111 may send a paging message to the second terminal 131.
- the paging message may include a group communication indicator for prose group communication in the terminal, or a public safety communication indication for instructing communication for public safety.
- the first terminal 111 notifies the second terminal 131 that it wants to communicate with the prose group, and may request for prose communication.
- a request method may be performed through a method using broadcast, broadcast IP, multicast, multicast IP, and the like.
- the prose group ID can be used to inform the destination.
- step 449 the group related information of the first terminal 111 is transmitted together with a case 1) time stamp or case 2) nonce, or case 3) time stamp or nonce, in order to prevent a replay attack.
- case 4) time stamp may also be time information of an application layer
- case 5) time information value used in a physical layer that is, physical information used in a physical layer.
- Counter information, or time information used in system information block (SIB) 16 used in case 6) layer 2 may be used.
- SIB system information block
- the time information value obtained from the physical layer may be transmitted through SIB of layer 2 as in case 6), and the information of case 5) and case 6) may be physically delayed. There may be a small advantage.
- case 7) such information may be transmitted through a one time hash function
- case 8) a message authentication code (MAC) may be obtained using a group key, which is a key shared between the sender and the receiver. It can generate and authenticate whether it is from the right sender.
- MAC message authentication code
- step 451 the second terminal 131 verifies whether the first terminal 111 belongs to the Prose Group by decrypting (decrypting) the group related information, time stamp, nonce, etc. transmitted in step 449 with the prose group key. Can be performed.
- the second terminal 131 may transmit a group communication response message to the first terminal 111.
- a group communication response message may be performed including a process of group join.
- this step may not be performed if step 449 is made by a broadcast method.
- the first terminal 111 may perform case 1) verifying whether the second terminal 131 also belongs to the group in the first terminal 111.
- case 2) the first terminal 111 may request the network to verify whether the second terminal 131 belongs to a group, and perform a process of receiving a verification result.
- the second terminal in steps 459 to 467 may be used. Verification is made as to whether 131 belongs to the group.
- the first terminal 111 may transmit a verification request message including information for requesting verification whether the second terminal 131 belongs to the group to the prose function 127.
- the case 2-1) prose function 127 may determine whether the second terminal 131 belongs to a prose group or a prose group communication list related to the first terminal 111. ) Can be verified.
- the prose group communication list is a list of terminals in the prose group capable of prose communication with the first terminal 111.
- Prose function 127 may generate a prose group key and store the prose group key.
- the prose function 127 may send a verification response message including the response information about the verification to the first terminal 111.
- the prose function 127 may simply send the first terminal 111 only whether verification is successful.
- the first terminal 111 transmits a verification response message or a group join response message to the second terminal 131 based on a result of verifying the prose group communication request response of the second terminal 131.
- This message may be a verification response to whether the second terminal 131 belongs to a prose group or a response message to a prose group join.
- the second terminal 131 may send a prose group communication request complete message to the first terminal 111.
- step 481 the first terminal 111 transmits a session group request session message for the Prose group communication to the Prose function 127.
- step 483 the Prose function 127 generates a prose group communication session key.
- the prose function 127 may encrypt the prose group session key with the prose group key and transmit the encrypted message to the first terminal 111.
- the first terminal 111 decrypts the prose group session key.
- the first terminal 111 transmits a message requesting a security key to the prose function 127, for example, a prose group encryption key and an integrity key request message. Can be.
- the prose function 127 generates a prose group communication integrity key and a prose group communication encryption key.
- the prose function 127 may encrypt the prose group communication encryption key or the prose group communication integrity key with the prose group session key and transmit the encrypted message to the first terminal 111.
- the first terminal 111 decodes the prose group communication encryption key or the prose group communication integrity key into the prose group session key.
- terminals belonging to the Prose Group such as the first terminal 111 and the second terminal 131 may safely perform the Prose Group communication.
- FIG. 4 is a block diagram of a terminal according to an embodiment of the present invention.
- the terminal 500 may include a communication unit 510 and a control unit 520.
- the controller 520 of the terminal 500 controls the terminal to perform any one of the above-described embodiments.
- the controller 520 transmits an attach request message including at least one of a public safety indication and a group communication indication to the MME, and sends a proxy from the MME.
- Prose identifier, prose group identifier, prose group key, prose-related capability of the terminal 500, and proxy-related security key (prose key) for proximity based service Receives an attach accept message including at least one of the information, transmits a prose registration request message to a prose function server, and transmits the prose registration request message to the prose function server from the terminal 500. Control to receive a prose registration response message according to the authentication of. In addition, the controller 520 transmits a paging message including at least one of a public safety indication and a group communication indication to the second terminal, and prose to the second terminal.
- the prose group communication response A group communication response message may be received from the second terminal, the second terminal may verify whether the second terminal belongs to the prose group, and control to perform prose group communication with the second terminal.
- the communication unit 510 of the terminal transmits and receives a signal in accordance with any one of the above-described embodiments.
- the communication unit 510 may communicate with other entities. That is, an attach request message including at least one of a public safety indication and a group communication indication is transmitted to the MME, or a prose registration request is requested to a prose function server. You can communicate with other entities, such as sending a message (prose registration request).
- FIG. 5 is a block diagram of a prose function server according to an embodiment of the present invention.
- the prose function server 600 may include a communication unit 610 and a controller 620 for controlling overall operations of the prose function server 600.
- the controller 620 may further include a prose controller 621.
- the prose controller 621 of the prose function server 600 controls the prose function server 600 to perform an operation of any of the above-described embodiments.
- the prose controller 621 performs a prose registration procedure for prose group communication with a terminal, receives a prose group session key request message from the terminal, generates the prose group session key, and and transmitting a prose session key encrypted with a prose group key to the terminal, receiving a prose group encryption key or integrity key request message from the terminal, and receiving the prose group encryption key or integrity key. And generate and transmit the prose group encryption key or the integrity key encrypted with the prose group body key to the terminal.
- the communication unit 610 of the prose function server transmits and receives signals in accordance with any one of the above-described embodiments.
- the communication unit 610 may communicate with other entities. That is, the mobile station may communicate with other entities such as receiving a prose group session key request message from the terminal or transmitting a prose session key encrypted with the prose group key to the terminal.
- FIG. 6 is a block diagram of an HSS according to an embodiment of the present invention.
- a home subscriber server (HSS) 700 may include a communication unit 710 and a controller 720 for controlling the overall operation of the HSS 700.
- the controller 720 may further include a subscriber information controller 721.
- the subscriber information controller 721 of the HSS 700 controls the HSS 700 to perform the operation of any of the above-described embodiments.
- the subscriber information control unit 721 controls to receive an authentication data request message from the MME, and based on the received information, the subscriber information control unit 721 includes an authentication vector as an MME. It can be controlled to transmit information.
- the communication unit 710 of the HSS 700 transmits and receives signals in accordance with any one of the above-described embodiments.
- the communication unit 710 may communicate with other entities. That is, it may communicate with other entities such as receiving an authentication data request message from the MME, or transmitting security related information including an authentication vector to the MME.
- FIG. 7 is a block diagram of an MME according to an embodiment of the present invention.
- the MME 800 may include a communication unit 810 and a controller 820 for controlling overall operations of the MME 800.
- the controller 820 may further include a mobility management controller 821.
- the mobility management controller 821 of the MME 800 controls the MME 800 to perform an operation of any of the above-described embodiments.
- the control unit receives the attach request request message transmitted by the terminal from the base station and transmits an authentication data request message to the HSS based on the received attach request message. can do.
- the mobility management control unit 821 receives security-related information including an authentication vector from the HSS, and a user authentication request message including an authentication token (AUTN) to the terminal. Can be controlled to transmit.
- AUTN authentication token
- the communication unit 810 of the MME 800 transmits and receives a signal in accordance with any one of the above-described embodiments.
- the communication unit 810 may communicate with other entities. That is, the base station may communicate with other entities such as receiving an attach request request message transmitted by the terminal from the base station or transmitting an authentication data request message to the HSS.
- network entities such as an eNB and an application server according to an embodiment of the present invention may also include a communication unit and a control unit, respectively.
- Each communication unit may transmit and receive a signal such that the entity communicates with other entities.
- Each controller may control the corresponding entity to perform the operation of any one of the above-described embodiments.
- all steps and messages may optionally be subject to execution or subject to omission.
- the steps need not necessarily occur in order and may be reversed.
- Message delivery doesn't necessarily have to happen in order, but can be reversed.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
The present invention relates to a system for enabling a communication function of a device, and a method for communicating by a terminal, according to one embodiment of the present invention, comprises the steps of: transmitting, to an MME, an attach request message including a public safety indication and/or a group communication indication; receiving, from the MME, an attach accept message including at least one type of information from among a ProSe identifier, a ProSe group identifier, and a ProSe group for performing a ProSe, ProSe-related functions of the terminal, and a proximity-related security key (ProSe key); transmitting a ProSe registration request to a ProSe function server; and receiving, from the ProSe function server, a ProSe registration response message pending authentication of the terminal. According to one embodiment of the present invention, devices can mutually provide or receive information within a group in an environment such as an EUTRAN or a UTRAN/GERAN.
Description
본 발명은 기기(device)에 통신 기능이 수행 가능하도록 하는 시스템에 대한 것이다. 구체적으로, 이동통신 네트워크에서 프락시미티 기반 서비스(Prose: proximity based service) 즉, Prose 디스커버리(discovery), Prose 통신(communication), 기기간 그룹 통신(D2D: Device to Device), 특히 공공 안전(public safety)을 위한 통신에 관한 것이다. 이때, 공공 안전을 위한 기기간 통신, 또는 기기간 그룹 통신을 위한 기기간 발견, 기기간 그룹 통신 시 관련된 보안 방안에 대한 것이다.The present invention relates to a system that enables a communication function to be performed on a device. Specifically, proximity based services (Prose), Prose discovery, Prose communication, Device to Device (D2D), especially public safety (P2) in a mobile communication network. It relates to communication for. In this case, the present invention relates to an inter-device communication for public safety, or a device-to-device discovery for a group communication between devices, and a related security method for group communication between devices.
프락시미티 기반 서비스(Prose: Proximity based service)는 특히 재난 상황, 예를 들면, 지진, 해일, 토네이도 등과 같은 재난 상황에서 기존의 기간망(infrastructure) 통신에 의한 재난 구조가 어려운 상황에서도 프락시미티 기반 서비스(proximity based service)를 실시하여 기기간 그룹 통신을 통해서, 재난 상황을 전달 할 수 있는 공공 안전(public safety)의 역할을 감당할 것으로 예상된다. Proximity based services (Prose) are particularly useful in situations where disaster relief by existing infrastructure communications is difficult, especially in disaster situations such as earthquakes, tsunamis and tornadoes. Proximity services are expected to play the role of public safety to communicate disasters through group communication between devices.
하지만, 이러한 장점에도 불구하고, 보안상 안정성을 갖추지 못하면 오히려, 악의의 엔티티(entity)에 의해서 특정 그룹의 사용자(user) 들이 잘못된 정보가 전달될 수 있다. 그리고, 이로 인해 큰 혼란이 야기 될 수 있으므로, 특히 공공 안전(public safety)이나 그룹 통신을 위한 프락시미티 서비스(proximity service)는 더욱 보안이 중요하다 하겠다. However, in spite of these advantages, if the security is not secured, the wrong information may be transmitted by a certain group of users by the malicious entity. In addition, since this can cause a great deal of confusion, security is particularly important for public safety or proxy service for group communication.
하지만, 현재 종래의 통신 시스템 구조하에서는 기기간 통신을 수행하도록 함에 있어서, 단말 관련 정보의 보안상 노출에 따른 취약점 및 기타 운영상의 어려움이 존재한다. 이로 인하여 기기간 그룹 통신을 위한 보안 설정, 관리를 위한 시스템 및 방안에 대한 논의가 부족하여, 보안상 취약성, 혹은 통신 수행에 있어서 비 효율적인 문제가 발생할 수 있는 여지가 있었다. However, in the current communication system architecture, there is a vulnerability and other operational difficulties due to the security exposure of the terminal-related information in performing communication between devices. As a result, there is a lack of discussion on systems and methods for security setting and management for group communication between devices, and there is a possibility that security vulnerabilities or inefficient problems in communication performance may occur.
본 발명은 3GPP(3rd Generation Partnership Project) EPS(Evolved Packet System)를 비롯한 진화된 이동 통신 시스템에 있어서 기기간 그룹 통신을 가능하도록 하는 방안 및 기기간 그룹 통신에 있어서 보안을 설정 관리하는 방안을 제공하기 위한 것이다. The present invention provides a method for enabling group communication between devices in an evolved mobile communication system including a 3rd Generation Partnership Project (3GPP) Evolved Packet System (EPS) and a method for setting and managing security in group communication between devices. .
또한, 본 발명의 일 실시예에 따르면, 기기간 그룹 통신을 수행하려는 기기는 기기간 그룹 통신을 수행하기 위한 정보를 획득하고, 기기간 그룹 통신을 수행하기 위한 보안키를 획득하여, 기기간 그룹 통신을 수행하기 위한 보안을 설정하여 안전한 통신을 수행할 수 있도록 하는 것을 목적으로 한다. Further, according to an embodiment of the present invention, a device for performing group communication between devices acquires information for performing group communication between devices, obtains a security key for performing group communication between devices, and performs group communication between devices. It aims to set up security for secure communication.
그리고, 본 발명의 일 실시예에 따르면, 기기간 통신을 수행하도록 함에 있어서, 프락시미티 기반 서비스(Prose: proximity based service), 즉, prose 디스커버리(discovery), prose 통신(communication)을 제공하는 것을 목적으로 한다. 특히, 단말(UE)이 그룹 통신이 가능하도록 관련 정보를 획득하고, 보안 설정이 가능하도록 하는 방안을 제공하는 것을 목적으로 한다. 그리고, 그룹 통신, 공공 안전(public safety) 통신 등이 보안상 안전하게 수행되는 것이 가능하도록 하는 방법 및 시스템을 제공하는 것을 목적으로 한다. In addition, according to an embodiment of the present invention, in performing device-to-device communication, an object of providing a proximity based service (Prose), that is, prose discovery, prose communication (prose communication) do. In particular, an object of the UE (UE) is to provide a method for obtaining the relevant information to enable group communication, and the security configuration is possible. Another object of the present invention is to provide a method and system for enabling group communication, public safety communication, and the like to be performed safely and securely.
또한, 본 발명의 일 실시 예에 따르면, 단말(UE)이 다른 단말을 발견하고, 그룹 통신을 수행함에 있어서, 단말이 그룹 관련 정보를 조회할 수 없을 때, 그룹 관련 정보 및 그룹 보안 정보를 생성하여, 이를 검증하고, 또한 그룹간 보안 관련 정보를 수신하고 검증함으로써 안전한 통신을 수행할 수 있도록 하는 것을 목적으로 한다. In addition, according to an embodiment of the present invention, when the UE (UE) discovers another terminal and performs group communication, when the terminal cannot query the group related information, the group related information and group security information is generated. In order to verify this, and also to receive and verify security-related information between groups, an object of the present invention is to enable secure communication.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned above will be clearly understood by those skilled in the art from the following description. Could be.
상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 단말의 통신 방법은, 이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하는 단계; 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하는 단계; prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하는 단계;를 포함할 수 있다. In order to achieve the above object, a communication method of a terminal according to an embodiment of the present invention may include at least one of a public safety indication and a group communication indication to a mobility management entity (MME). Transmitting an attach request message including one; A prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service (Prose) from the MME. Receiving an attach accept message including at least one of information; transmitting a prose registration request message to a prose function server; And receiving a prose registration response message according to authentication of the terminal from the prose function server.
또한, 제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하는 단계; 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하는 단계; 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하는 단계; 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계; 및 상기 제2 단말과 prose 그룹 통신을 수행하는 단계;를 더 포함할 수 있다. The method may further include: transmitting a paging message including at least one of a public safety indication and a group communication indication to the second terminal; Transmitting a prose group communication request message including prose group related information to a second terminal; Receiving a prose group communication response message from the second terminal when the second terminal verifies that the terminal belongs to the prose group by using the prose group related information; Verifying whether the second terminal belongs to the prose group; And performing prose group communication with the second terminal.
또한, 상기 제2 단말과 prose 그룹 통신을 수행하는 단계는, 상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하는 단계; 상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하는 단계; 상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하는 단계;를 더 포함할 수 있다. The prose group communication with the second terminal may include: transmitting a prose group session key request message to the prose function server; Receiving a prose session key encrypted with the prose group key from the prose function server; Transmitting a prose group encryption key or integrity key request message to the prose function server; And receiving a prose group encryption key or an integrity key encrypted with the prose session key from the prose function server.
또한, 상기 접속 요청(attach request) 메시지를 전송하는 단계는, 상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하는 단계;를 포함할 수 있다. The transmitting of the attach request message may include transmitting a attach request message further including a secret value for verifying whether the terminal is an appropriate terminal for group communication. It may include;
또한, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, 상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하는 단계; 및 상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하는 단계;를 더 포함할 수 있다. In addition, verifying whether the second terminal belongs to the prose group comprises: transmitting a verification request message regarding whether the second terminal belongs to the prose group to the prose function server; ; And receiving a verification response message indicating whether the second terminal belongs to the prose group from the prose function server.
또한, 상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하는 단계;를 더 포함할 수 있다.The method may further include transmitting a prose registration complete message including the prose group key to the prose function server.
또한, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, 상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하는 단계;를 더 포함할 수 있다. In addition, verifying whether the second terminal belongs to the prose group further comprises: transmitting a message indicating that the verification that the second terminal belongs to the prose group is successful to the second terminal; can do.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 단말은, 엔티티들와 통신하는 통신부; 및 이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어하는 제어부;를 포함할 수 있다. In addition, the terminal according to an embodiment of the present invention to achieve the above object, Communication unit for communicating with the entity; And send an attach request message including at least one of a public safety indication and a group communication indication to a Mobility Management Entity (MME) and proxy from the MME. At least one of a prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service (Prose) Receive an attach accept message including the information of the information, transmit a prose registration request message to the prose function server (prose function server), the prose according to the authentication of the terminal from the prose function server It may include a control unit for controlling to receive a registration registration (prose registration response) message.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)의 통신 방법은, 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하는 단계; 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하는 단계; 상기 prose 그룹 세션 키를 생성하는 단계; prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 단계; 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하는 단계; 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하는 단계; 및 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하는 단계;를 포함할 수 있다. In addition, the communication method of the proximity based service (prose) function server (prose function server) according to an embodiment of the present invention to achieve the above object, the prose registration procedure for prose group communication with the terminal; Performing; Receiving a prose group session key request message from the terminal; Generating the prose group session key; transmitting a prose session key encrypted with a prose group key to the terminal; Receiving a prose group encryption key or integrity key request message from the terminal; Generating the prose group encryption key or integrity key; And transmitting the prose group encryption key or the integrity key encrypted with the prose group body key to the terminal.
또한, 상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하는 단계; 상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하는 단계; 및 상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하는 단계;를 더 포함할 수 있다. The method may further include receiving a verification request message indicating whether a second terminal belongs to a prose group from the terminal; Verifying a prose group communication list associated with the terminal whether the second terminal belongs to the prose group; And transmitting a verification response message including the response information about the verification to the terminal.
또한, 상기 검증하는 단계는, prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하는 단계;를 포함할 수 있다.The verifying may include generating a prose group key and storing the prose group key.
또한, 상기 목적을 달성하기 위해 본 발명의 일 실시예에 따른 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)는, 엔티티들와 통신하는 통신부; 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어하는 제어부;를 포함할 수 있다. In addition, in order to achieve the above object, a proximity based service (Prose) function server according to an embodiment of the present invention, the communication unit for communicating with the entities; Perform a prose registration procedure for prose group communication with the terminal, receive a prose group session key request message from the terminal, generate the prose group session key, and generate a prose session key encrypted with the prose group key; A prose transmitted to the terminal, receiving a prose group encryption key or integrity key request message from the terminal, generating the prose group encryption key or integrity key, and encrypting the prose group body key And a control unit controlling to transmit a group encryption key or an integrity key to the terminal.
본 발명의 일 실시예에 따르면, 통신을 수행하는 기기(device)가 prose 디스커버리(discovery), prose communication 그룹 통신, prose 통신(communication)을 이용하여 공공 안전(public safety)을 위한 통신 보안 방법을 수행할 수 있다. According to an embodiment of the present invention, a device performing communication performs a communication security method for public safety using prose discovery, prose communication group communication, and prose communication. can do.
본 발명의 일 실시예에 따르면, EUTRAN(Evolved Universal Terrestrial Radio Access Network) 혹은 UTRAN(Universal Terrestrial Radio Access Network)/GERAN(GSM/EDGE Radio Access Network) 등과 같은 환경하에서 기기(device)가 그룹 내에서 서로 정보를 제공하거나 제공받을 수 있다. 그리고, 기기가 prose 디스커버리(discovery), prose 통신(communication)을 위한 보안키 관련 정보를 수신하거나, 이러한 보안키를 이용하여 보안 절차를 수행함으로써, 통신의 효율성 및 보안성이 강화될 수 있다. According to an embodiment of the present invention, devices are connected to each other in a group under an environment such as Evolved Universal Terrestrial Radio Access Network (EUTRAN) or Universal Terrestrial Radio Access Network (UTRAN) / GSM / EDGE Radio Access Network (GERAN). Information may be provided or provided. In addition, the device may receive security key related information for prose discovery and prose communication, or perform a security procedure using the security key, thereby enhancing efficiency and security of communication.
또한, 본 발명의 일 실시예에 따르면, 단말(UE)이 다른 단말을 발견하고, 그룹 통신을 수행함에 있어서, 단말이 그룹 관련 정보를 조회할 수 없을 때, 그룹 관련 정보 및 그룹 보안 정보를 생성하여, 이를 검증하고, 또한 그룹간 보안 관련 정보를 수신하고 검증함으로써 안전한 통신을 수행할 수 있다. Further, according to an embodiment of the present invention, when the UE (UE) discovers another terminal and performs group communication, when the terminal cannot query the group related information, the group related information and the group security information are generated. By verifying this, and receiving and verifying security related information between groups, secure communication can be performed.
또한, 본 발명의 일 실시예에 따르면, 기간망(infrastructure)이 재난 등의 이유로 이용하기 어려운 경우(not available)에도 기기간 통신을 통하여, 중요 정보를 전송할 수 있는 이점이 있다. 또한 본 발명에서 기술된 방법을 이용하여, 그룹간 통신에서 나아가 공공 안전(public safety)을 위한 통신을 안전하게 수행할 수 있다. In addition, according to an embodiment of the present invention, there is an advantage that important information can be transmitted through device-to-device communication even when an infrastructure is not available due to a disaster or the like. In addition, using the method described in the present invention, it is possible to safely perform communication for public safety in addition to intergroup communication.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned above may be clearly understood by those skilled in the art from the following description. will be.
도 1은 본 발명의 일 실시예에 따른 이동 통신 시스템의 블록 구성도이다. 1 is a block diagram of a mobile communication system according to an embodiment of the present invention.
도 2는 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 일 예이다. 2 is an example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 다른 예이다.3 is another example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention.
도 4는 본 발명의 일 실시예에 따른 단말의 블록 구성도이다.4 is a block diagram of a terminal according to an embodiment of the present invention.
도 5는 본 발명의 일 실시예에 따른 prose 기능 서버의 블록 구성도이다.5 is a block diagram of a prose function server according to an embodiment of the present invention.
도 6은 본 발명의 일 실시예에 따른 HSS의 블록 구성도이다. 6 is a block diagram of an HSS according to an embodiment of the present invention.
도 7은 본 발명의 일 실시 예에 따른 MME의 블록 구성도이다. 7 is a block diagram of an MME according to an embodiment of the present invention.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the preferred embodiment of the present invention. In the following description of the present invention, detailed descriptions of well-known functions or configurations will be omitted if it is determined that the detailed description of the present invention may unnecessarily obscure the subject matter of the present invention. In addition, terms to be described below are defined in consideration of functions in the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.
후술되는 본 발명의 요지는 이동 통신 시스템 환경하에서 상기 기술된 다양한 기기(device)가 단말(UE)로 동작하여 통신이 가능하도록 하는 과정에 있어서, 기기간 서로를 발견하고(discovery), 서로간 그룹 통신(communication)을 수행하도록 하기 위하여, 관련 정보를 전달하고, 보안 절차를 수행하고, 안전하게 통신이 가능하도록 하는 방안을 제공하는 것이다. The present invention to be described later, in the process of enabling various devices described above to operate as a terminal (UE) in a mobile communication system environment to enable communication, discovering each other between the devices (discovery), and group communication with each other In order to perform communication, it is to provide a method of transmitting related information, performing security procedures, and enabling secure communication.
이하 본 발명을 구체적으로 설명하는데 있어, 3GPP(3rd Generation Partnership Project)를 기반으로 하는 EPS(Evolved Packet System) 시스템, UTRAN(Universal Terrestrial Radio Access Network), GERAN(GSM/EDGE Radio Access Network)을 이용할 것이며, 본 발명은 다른 이동 시스템에서도 이용 가능할 것이다. In the following description, the Evolved Packet System (EPS) system based on 3rd Generation Partnership Project (3GPP), Universal Terrestrial Radio Access Network (UTRAN), and GSM / EDGE Radio Access Network (GERAN) will be used. However, the present invention may be used in other mobile systems.
한편 본 발명에서는 단말이 기기간 그룹 통신을 함에 있어서 관련 정보를 전달 받고, 보안 관련 정보를 전달 받아 보안 절차를 수행 함에 있어서, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다.Meanwhile, in the present invention, in the group communication between devices, the terminal receives the related information, and receives the security related information, and performs the security procedure, of course, various modifications are possible without departing from the scope of the present invention.
한편 본 발명의 도 1에서 보는 바와 같이 본 발명의 실시예는 본 발명의 기본 목적인 통신 단말을 포함한 다양한 기기가 EUTRAN 혹은 3GPP 환경하에서 기기간 그룹 통신을 수행하려고 할 때, 관련 정보를 전달하고, 보안 절차를 수행하며, 안전한 통신이 가능하도록 하는 관리 방법을 제기한 것이다. 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜, 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동 통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.Meanwhile, as shown in FIG. 1 of the present invention, an embodiment of the present invention transmits related information when various devices including a communication terminal, which is a basic object of the present invention, attempt to perform group communication between devices in an EUTRAN or 3GPP environment, and a security procedure. And management methods to enable secure communication. Such a method may be used within the scope of the present invention without departing from the scope of the present invention even in a similar technical background and channel form, network architecture or similar protocol, or other mobile communication systems having different but similar protocols. It is applicable to the modification of the, which will be possible in the judgment of a person skilled in the art of the present invention.
도 1은 본 발명의 일 실시예에 따른 이동 통신 시스템의 블록 구성도이다. 1 is a block diagram of a mobile communication system according to an embodiment of the present invention.
도 1을 참고하면, 본 발명의 일 실시예에 따른 이동 통신 시스템은, 프락시미티 기반 서비스(Prose: Proximity based service) 디스커버리(discovery), prose 통신(communication)에서 그룹 통신을 위한 보안 설정 및 prose 통신(communication)을 할 수 있다. 여기에서는 일 예로서 3GPP EPS 시스템 구조를 도시하였다. 본 발명의 경우 EUTRAN을 중심으로 기술하였으며, 이러한 방법은 유사한 다른 이동 통신 시스템에서도 사용할 수 있다. Referring to FIG. 1, in the mobile communication system according to an embodiment of the present invention, security setting for group communication in proximity based service (Prose) discovery, prose communication, and prose communication are performed. (communication) Here, the 3GPP EPS system structure is illustrated as an example. The present invention has been described based on EUTRAN, and this method can be used in other similar mobile communication systems.
도 1을 참조하면, 기기(device)(111, 131)는 종래의 이동 통신 단말(UE : user equipment)이나 머신 타입 통신(machine type communication)을 수행하는 기기, 소비자 장치(Consumer Devices) 등 다양한 기기가 포함될 수 있다. Referring to FIG. 1, devices 111 and 131 may include various devices such as a user equipment (UE), a device performing machine type communication (UE), and a consumer device. May be included.
본 발명의 도 1에서는 제1 단말(111)과 제2 단말(131)이 prose 디스커버리(discovery)를 하고, prose 그룹 통신을 함에 있어서 적용할 수 있는 환경의 일 예를 도시하고 있다. 제1 단말(111)은 기지국(eNB: evolved Node B)(114), 이동성 관리 엔티티(MME: Mobility Management Entity)(116) 등을 통해서 일반적인 EUTRAN 통신(communication)을 수행할 수 있다. 그리고, 제1 단말(111)은 서빙 게이트웨이(S-GW: Serving Gateway(118), 패킷 데이터 네트워크 게이트웨이(PDN-GW: Packet Data Network Gateway)(119) 등을 통해서 데이터(data) 통신을 수행할 수 있다. FIG. 1 illustrates an example of an environment in which the first terminal 111 and the second terminal 131 are applicable to prose discovery and prose group communication. The first terminal 111 may perform general EUTRAN communication through an evolved Node B (eNB) 114, a Mobility Management Entity (MME) 116, or the like. The first terminal 111 may perform data communication through a serving gateway (S-GW), a packet data network gateway (PDN-GW) 119, or the like. Can be.
한편 본 발명의 일 실시예에 따른 이동 통신 시스템은, 프락시미티 기반 서비스(Prose: Proximity based service) 기능 수행을 위해서, prose 관련 기능을 수행하는 prose 기능 서버(prose function server)(127)를 더 포함할 수 있다. 상기 prose 기능 서버(127)는, prose 관련 등록, 관련 정보의 전달 및 단말의 prose 관련 능력(capability) 등을 검증하며, prose 관련 기능을 수행하게 된다. 한편 홈 가입자 서버(HSS: Home Subscriber Server)/홈 위치 레지스터(HLR: Home Location Register)(121)가 존재하여 단말(UE)에 관한 가입자(subscription)의 정보 및 단말(UE) 관련 보안키 정보 등을 전달하게 된다. 그리고, Prose의 응용(application) 서버 기능은 prose 응용 서버(prose application server)(125)를 통하여 수행하게 된다. 그리고, prose 응용 서버(125)는 이러한 prose 응용(application) 기능을 수행하기 위해서 정책 및 과금 규칙 기능(PCRF: Policy and Charging Rules Function)(123-1)과 연동하여 prose 관련 데이터(data) 서비스를 수행하게 된다.On the other hand, the mobile communication system according to an embodiment of the present invention further includes a prose function server (prose function server) 127 performing a prose related function in order to perform a Proximity based service (Prose) function. can do. The prose function server 127 verifies prose related registration, delivery of related information, and prose related capability of the terminal, and performs prose related functions. On the other hand, there is a home subscriber server (HSS) / home location register (HLR) 121 and thus information about a subscriber and security key information related to the UE. Will be delivered. In addition, the application server function of Prose is performed through the prose application server 125. In addition, the prose application server 125 interoperates with a policy and charging rules function (PCRF) 123-1 in order to perform such a prose application function. Will perform.
이상에서는 본 발명의 일 실시예에 따른 이동 통신 시스템의 구성에 대하여 살펴보았다.In the above, the configuration of the mobile communication system according to an embodiment of the present invention has been described.
이하에서는, 이동 통신 및 인터넷 통신에서 사용되는 프로토콜을 기반으로, 기기 혹은 단말(111, 131), eNB(114), MME(116), prose 기능 서버(127), HSS(121), 응용 서버(125) 등의 엔티티(entity)들이 프락시미티 기반 서비스(prose: proximity based service), prose 디스커버리(discovery), prose 통신(communication), 그룹 통신을 가능하도록 하는 인증, 보안 및 통신 설정 과정 및 그 동작을 지원할 수 있도록 하는 방법에 대하여 살펴보도록 한다. Hereinafter, based on the protocol used in mobile communication and Internet communication, the device or terminal (111, 131), eNB 114, MME 116, prose function server 127, HSS 121, application server ( 125) authentication, security and communication setup processes and operations that enable proximity based services (prose), prose discovery, prose communication, group communication, and the like. Let's take a look at how to help.
도 2는 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 일 예이다. 이때, 도 2에 도시된 실시예에서는 그룹 prose 디스커버리(discovery) 및 prose 통신 수행의 경우를 나타내었다. 2 is an example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention. In this case, the embodiment shown in FIG. 2 shows a case of performing group prose discovery and prose communication.
도 2를 참고하면, 301 단계에서 제1 단말(111)은 eNB(114)에게 접속 요청(attach request) 메시지를 전송하여, 등록 절차를 수행할 수 있다. 그리고, eNB(114)는 제1 단말(111)이 전송한 접속 요청(attach request) 메시지를 MME(116)에게 전송(transfer)할 수 있다. 이때 공공 안전(public safety)을 위한 통신이 수행될 것이라면, 공공 안전을 위한 통신을 지시하는 공공 안전 지시자(public safety indication)가 상기 접속 요청(attach request) 메시지에 포함될 수 있다. 또는 그룹 통신이라면, 그룹 통신을 지시하는 그룹 통신 지시자(group communication indication) 등이 상기 접속 요청(attach request) 메시지에 포함되어 전송될 수 있다. 한편 이러한 접속 요청(attach request) 메시지에는 공공 안전이나 그룹 통신을 위하여 처음으로 네트웍에 접속하는 경우라면 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. 이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다. Referring to FIG. 2, in step 301, the first terminal 111 may transmit an attach request message to the eNB 114 to perform a registration procedure. In addition, the eNB 114 may transmit an attach request message transmitted by the first terminal 111 to the MME 116. In this case, if communication for public safety is to be performed, a public safety indication indicating communication for public safety may be included in the attach request message. Alternatively, in the case of group communication, a group communication indication indicating a group communication may be included in the attach request message and transmitted. On the other hand, in the attach request message, if the first terminal 111 is connected to the network for the first time for public safety or group communication, it is verified that the first terminal 111 is a terminal suitable for public safety or group communication. You must connect with a secure value for. This secret value should be a value that can be verified on the network for group communication or public safety communication.
이후, 303 단계에서 MME(116)는 HSS(121)에게 인증 데이터 요청(Authentication data request) 메시지를 전송할 수 있다. 그리고, HSS(121)는 MME(116)에게 인증 벡터(authentication vector) 등을 포함한 보안 관련 정보를 포함한 응답 메시지를 전송할 수 있다. Thereafter, in step 303, the MME 116 may transmit an authentication data request message to the HSS 121. The HSS 121 may transmit a response message including security related information including an authentication vector to the MME 116.
305 단계에서 MME(116)는 제1 단말(111)에게 인증 토큰(AUTN)을 포함한 사용자 인증 요청(User authentication request) 메시지를 전송하고, 제1 단말(111)은 MME(116)에게 사용자 인증 응답(User authentication response) 메시지와 함께 RES(response 보안값)을 전송할 수 있다. In step 305, the MME 116 transmits a user authentication request message including an authentication token (AUTN) to the first terminal 111, and the first terminal 111 sends a user authentication response to the MME 116. A RES (response security value) can be sent along with a (User authentication response) message.
307 단계에서 MME(116)는 HSS(121)에게 업데이트 위치 요청(update location request) 메시지를 전송할 수 있다. 이때 공공 안전(public safety)을 위한 통신 이라면, MME(116)는 공공 안전 지시자(public safety indication)를 업데이트 위치 요청(update location request) 메시지에 포함하여 HSS(121)에게 전송할 수 있다. 혹은, 그룹 통신 이라면, MME(116)는 업데이트 위치 요청(update location request) 메시지에 그룹 통신 지시자(group communication indication)를 포함하여 HSS(121)에게 전송할 수 있다. 이때 제1 단말(111)이 처음으로 네트웍에 접속하는 경우라면, 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로, 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. In step 307, the MME 116 may transmit an update location request message to the HSS 121. In this case, if communication is for public safety, the MME 116 may include a public safety indication in an update location request message and transmit it to the HSS 121. Alternatively, in the case of group communication, the MME 116 may include a group communication indication in an update location request message and transmit it to the HSS 121. In this case, when the first terminal 111 accesses the network for the first time, the first terminal 111 should be verified in the network that the terminal is suitable for public safety or group communication. You must connect with).
이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.This secret value should be a value that can be verified on the network for group communication or public safety communication.
309 단계에서 HSS(121)는 해당 제1 단말(111)에 대한 그룹 통신을 위한 식별자 정보(ID: identity), 그룹키(group key) 등의 정보를 조회하게 된다. In step 309, the HSS 121 inquires information such as identifier information (ID), group key (group key) for group communication with respect to the first terminal 111.
이렇게 조회하여 해당 정보가 없는 경우에, HSS(121)는 311 단계에서 제1 단말(111)이 보낸 비밀값(secrete value)으로 해당 제1 단말(111)이 그룹 통신 혹은 공공 안전 통신을 위하여 적합한 단말인지 검증하게 된다. In this case, if there is no corresponding information, the HSS 121 is a secret value sent by the first terminal 111 in step 311, and the first terminal 111 is suitable for group communication or public safety communication. It is verified whether the terminal.
이후 313 단계에서 해당 제1 단말(111)이 적합한 단말이라면 해당 제1 단말(111)에 대해서 그룹 식별자를 할당하고, 그룹 키를 생성 혹은 할당하게 된다. 그룹 식별자를 구성하는 일 실시예를 들면 다음과 같다. 그룹 식별자는 국가 정보, 지역(area)정보, 통신망(사업자 망과 사업자 망 내에서 네트웍 정보) 정보 중의 어느 하나를 포함하며, 이에 더불어 만일 공공 안전(public safety)을 위한 경우라면 공공 안전 범주(category), 예를 들면 소방, 치안, 지진, 태풍, 해일, 토네이도 등의 정보를 포함할 수도 있다. Thereafter, in step 313, if the first terminal 111 is a suitable terminal, a group identifier is assigned to the first terminal 111, and a group key is generated or assigned. An example of configuring a group identifier is as follows. The group identifier includes any one of country information, area information, and communication network (network information in the carrier network and the provider network). In addition, the group identifier may be used for public safety if it is for public safety. For example, it may include information such as firefighting, security, earthquake, typhoon, tsunami and tornado.
317 단계에서 HSS(121)는 MME(116)에게 가입 데이터(subscription data)를 전송하게 된다. 이 때 HSS(121)는 MME(116)에게 prose 서비스를 하기 위한 prose 식별자(identity), Prose 그룹 식별자(prose group identity), Prose 그룹 키(prose group key), 단말의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 프락시미티(proximity) 관련 보안 키(prose key), prose PLMN(Public Land Mobile Network) 리스트(list) 등의 정보를 함께 전달할 수 있다. Proximity 관련 보안키는 프락시미티 디스커버리(proximity discovery) 또는 프락시미티 통신(proximity communication)을 위한 보안키로 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 알려주고, 등록된 정보가 없는 경우에는 이후 인증 후 생성하도록 한다. In step 317, the HSS 121 transmits subscription data to the MME 116. At this time, the HSS 121 is a prose identifier for providing a prose service to the MME 116, a Prose group identity, a Prose group key, a prose related capability of the terminal, If there is a registered prose identifier and security key, information such as a proxy key related to proximity and a prose Public Land Mobile Network (PLMN) list can be delivered together. Proximity related security key is a security key for proximity discovery or proximity communication. If there is already registered information, the registered information is searched for and informed. Do it.
319 단계에서 MME(116)는 eNB(114)에게 접속 승낙(attach accept) 메시지를 전송할 수 있다. 그리고 이 접속 승낙(attach accept) 메시지는 eNB(114)에서 제1 단말(111)에게 전송된다. 이러한 319 단계에서 MME(116)는 317 단계에서 HSS(121)로부터 전달된 prose 서비스를 하기 위한 prose 식별자(identity), 단말의 prose 관련 능력(capacity), 프락시미티(proximity) 관련 보안 키, prose 그룹 키(prose group key), prose 그룹 식별자(group identity), prose PLMN 리스트(list) 등의 정보도 접속 승낙(attach accept) 메시지와 함께 제1 단말(111)에게 전달할 수 있다. In step 319, the MME 116 may transmit an attach accept message to the eNB 114. The attach accept message is transmitted from the eNB 114 to the first terminal 111. In step 319, the MME 116, in step 317, the prose identifier for the prose service delivered from the HSS 121, the prose-related capacity of the terminal, the security-related security key, and the prose group. Information such as a key group, a prose group identity, and a prose PLMN list may also be transmitted to the first terminal 111 along with an attach accept message.
본 발명에서 일 실시예에 의하면, 301, 303, 305, 307, 309, 311, 313, 317, 319 단계와 관련하여 MME(116)가 중간 엔티티(entity)로서 ProSe 관련해서 ProSe public indication, secrete value 등을 전달하여, 이를 HSS(121)에서 검증하는 중간 노드로 등장하였다. 그러나, 실시예에 따라 중간 노드가 MME(116)가 아니라, Prose function(127)이 중간 과정에 관여하여, 이러한 파라미터(parameter)를 전달하고, HSS(121)에서 검증하는데 관여할 수 있다. 즉 301, 303, 305, 307, 309, 311, 313, 317, 319 단계에서 이러한 parameter를 전달하는데 관여하는 엔티티가 prose function(127)이 될 수 있다. 즉 UE로부터 Prose function(127)을 통해 public safety를 위한 secrete value, public safety indication 등의 적어도 하나의 파라미터가 전달 될 수 있다. 그리고, 이렇게 전달된 parameter를 이용해서 309, 311, 313 단계 등의 과정을 거쳐 HSS(121)에서 검증을 하게 된다. 한편 prose function(127)이 중간 과정의 엔티티가 되면, 실시예에 따라 317, 319 단계에서 Prose Group ID, Prose Group Key, Prose key, Prose ID 등이 HHS(121)로부터 Prose function(127)을 거쳐 UE에게 전달 될 수도 있다. According to an embodiment of the present invention, in relation to steps 301, 303, 305, 307, 309, 311, 313, 317, and 319, the MME 116 is an intermediate entity, and the ProSe public indication, secrete value. And the like, and appeared as an intermediate node to verify in the HSS 121. However, in some embodiments, the intermediate node may be involved in the intermediate process, not the MME 116, but in the intermediate function, passing the parameters and verifying the HSS 121. That is, in step 301, 303, 305, 307, 309, 311, 313, 317, and 319, an entity that is involved in passing such a parameter may be a prose function 127. That is, at least one parameter such as a secret value for public safety and a public safety indication may be delivered from the UE through the Prose function 127. Then, the HSS 121 is verified using the transferred parameters through the steps 309, 311, and 313. On the other hand, if the prose function 127 becomes an entity of the intermediate process, according to the embodiment, the Prose Group ID, Prose Group Key, Prose key, Prose ID, etc. are passed from the HHS 121 to the Prose function 127 in steps 317 and 319. It may be delivered to the UE.
이후, 323 단계에서 제1 단말(111)은 prose 기능(prose function)(127)에게 prose 등록 요청(prose registration request) 메시지를 전송할 수 있다. 그리고, 323-2 단계에서는 제2 단말(131)도 제1 단말(111)처럼 prose 등록 요청 과정을 수행할 수 있다. 이후 과정은 제1 단말(111)을 가지고 설명하지만, 제2 단말(131)에 대해서 기본적으로 제1 단말(111)과 같은 등록 과정을 거치는 것으로 가정한다. In operation 323, the first terminal 111 may transmit a prose registration request message to the prose function 127. In operation 323-2, the second terminal 131 may perform a prose registration request process like the first terminal 111. Since the process is described with the first terminal 111, it is assumed that the second terminal 131 is basically subjected to the same registration process as the first terminal 111.
325 단계에서 Prose 기능(prose function)(127)은 HSS(121)에게 prose 등록 요청 메시지를 전송하고, 이후 HSS(121)는 prose function(127)에게 prose 인증 벡터(prose authentication vector)를 전송할 수 있다. 이러한 prose 인증 벡터에는 암호키(CK: Cipher Key)와 무결성키(IK: Integrity Key)가 포함되어 prose function(127)에게 전송된다. The prose function 127 may transmit a prose registration request message to the HSS 121 in step 325, and then the HSS 121 may transmit a prose authentication vector to the prose function 127. . The prose authentication vector includes a cipher key (CK) and an integrity key (IK) and transmitted to the prose function 127.
327 단계에서 Prose 인증 요청(prose authentication request) 메시지를 통해 prose function(127)으로부터 제1 단말(111)에게 prose 인증 토큰이 전송된다. In step 327, the prose authentication token is transmitted from the prose function 127 to the first terminal 111 through a pse authentication request message.
한편 본 발명의 또 다른 일 실시예에 따르면, 325 단계에서 prose function(127)에서 HSS(121)에게 Prose function ID 등이 전달될 수 있다. 그리고, 325 단계에서 HSS(121)에서 Prose function(127)에게 prose authentication vector와 authentication token을 전달하면서 prose group key, prose key, prose authentication token 등 적어도 하나의 parameter를 전달할 수 있다. 이렇게 전달 받은 prose group key, prose key, prose authentication token 등의 parameter 중 적어도 하나의 parameter가 327 단계에서 Prose function(127) 에서 UE에게 전달 될 수 있다. Meanwhile, according to another embodiment of the present invention, the prose function ID may be delivered to the HSS 121 in the prose function 127 in step 325. In operation 325, the HSS 121 may transmit at least one parameter such as a prose group key, a prose key, and a prose authentication token while delivering a prose authentication vector and an authentication token to the Prose function 127. At least one parameter of the received prose group key, prose key, prose authentication token, etc. may be delivered to the UE in the Prose function 127 in step 327.
329 단계에서는 prose 등록을 위해 prose function(127)에서 제1 단말(111)에게 전송된 인증 토큰에 대한 응답 값을 포함한 prose 인증 응답(prose authentication response) 메시지를 제1 단말(111)이 prose function(127)에게 전송할 수 있다. In operation 329, a prose authentication response message including a response value for the authentication token transmitted from the prose function 127 to the first terminal 111 is registered by the first terminal 111. 127).
331 단계에 prose function(127)은 RES와 XRES 정보를 비교하여, 검증을 할 수 있다. In step 331, the prose function 127 may verify the result by comparing RES and XRES information.
그 후, 333 단계에서 prose function(127)은 제1 단말(111)에게 prose 등록 응답(prose registration response) 메시지를 전송할 수 있다. Thereafter, in step 333, the prose function 127 may transmit a prose registration response message to the first terminal 111.
이후의 과정은 단말이 prose key 또는 Prose 식별자, Prose Group Key, Prose Group ID 등을 이용해서 prose 그룹 통신을 수행하는 과정에 대하여 설명하도록 한다. The subsequent process will be described with respect to a process in which the terminal performs prose group communication using a prose key or a prose identifier, a prose group key, and a prose group ID.
만일 이후의 과정에서 제1 단말(111)이 prose 그룹 통신을 위해 보낸 요청(request) 메시지에 대해서 그룹키를 통해 검증하고자 하는 경우, 343 단계에서와 같이 제1 단말(111)이 prose function(127)에게 prose 등록 완성(prose registration complete) 메시지에 제1 단말(111)의 prose 그룹키를 포함하여 전송할 수 있다. 그리고, 이에 따라 prose function(127)은 수신한 정보를 이용하여 제1 단말(111)의 그룹키를 등록할 수 있다. In the following process, when the first terminal 111 wants to verify the request message sent for the prose group communication through the group key, the first terminal 111 performs the prose function 127 as in step 343. ) May be transmitted including the prose group key of the first terminal 111 in a prose registration complete message. In response, the prose function 127 may register the group key of the first terminal 111 using the received information.
343-3 단계에서 prose function(127)는 응용(application) 서버(125)에게 prose key, prose function(127)에 단말이 등록하는 과정에 prose 서비스를 위해 등록한 관련 정보, Prose Group key 등의 정보 중 적어도 하나를 전달할 수 있다. 그 후, 343-5 단계에서 응용 서버(125)는 prose key, prose Group Key 등의 정보 중 적어도 하나를 저장할 수 있다. 이후 343-7 단계에서 제1 단말(111)과 응용 서버(125) 는 prose key, prose 식별자, 혹은 Prose Group ID, Prose Group key 등을 이용해서 통신을 수행한다. In step 343-3, the prose function 127 may include a prose key to the application server 125 and information related to the registration of the prose service in the process of registering the terminal to the prose function 127 and the prose group key. At least one may be delivered. Thereafter, in operation 343-5, the application server 125 may store at least one of information such as a prose key and a prose group key. Thereafter, in step 343-7, the first terminal 111 and the application server 125 communicate using a prose key, a prose identifier, a Prose Group ID, a Prose Group key, and the like.
347 단계에서 제1 단말(111)은 제2 단말(131)에게 페이징(paging) 메시지를 보낼 수 있다. 이 때 paging 메시지에는 단말에서 prose group 통신을 위한 그룹 통신 지시자(group communication indication), 혹은 공공 안전을 위한 통신을 지시하는 공공 안전 통신 지시자(public safety communication indication)이 포함 되어 있을 수 있다. In operation 347, the first terminal 111 may send a paging message to the second terminal 131. In this case, the paging message may include a group communication indicator for prose group communication in the terminal, or a public safety communication indication for instructing communication for public safety.
한편 349 단계에서 제1 단말(111)은 prose group과 통신하기 원함을 제2 단말(131)에게 알리며, prose 통신을 위해 요청(request)할 수 있다. 이러한 요청(request) 방법에는 브로드캐스트(broadcast), broadcast IP, 멀티캐스트(multicast), multicast IP 등을 사용하는 방법을 통해 이루어 질 수도 있다. 이 때 prose group ID가 목적지를 알리기 위해 활용될 수 있다. Meanwhile, in step 349, the first terminal 111 notifies the second terminal 131 that it wants to communicate with the prose group, and may request for prose communication. The request method may be performed through a method of using broadcast, broadcast IP, multicast, multicast IP, and the like. At this time, the prose group ID can be used to inform the destination.
349 단계에서 제1 단말(111)의 그룹 관련 정보는 재전송 공격(replay attack)을 방지하기 위해서, case 1) 타임 스탬프(time stamp)나 case2) nonce 등과 함께 전송되거나, 혹은 case3) time stamp, nonce를 연결하여(concatenate)하여 전송할 수도 있다. 한편 case 4) time stamp는 응용 레이어(application layer)의 시간(time) 정보도 될 수 있고, case 5) 물리 계층(physical layer)에서 사용하는 시간(time) 정보 값, 즉 physical layer에서 사용하는 물리적 카운터(counter) 정보, 혹은 case 6) layer 2에서 사용하는 SIB(system information block) 16에서 사용하는 시간(time) 정보 등을 이용할 수도 있다. 상기 case 5)나 case 6)에서처럼 physical layer로부터 얻어진 time 정보 값은 case 6)처럼 layer 2의 SIB를 통해 전달되기도 하며, 이러한 case 5), case 6)의 정보는 물리적으로 시간 지연이 생길 가능성이 적다는 이점이 있을 수 있다. 한편 이때 case 7) 이러한 정보를 전송할 때에는 one time hash function을 통해 전송될 수도 있으며, case 8) 이러한 정보를 송신자와 수신자가 공유하는 키인 group key 등을 이용해 메시지 인증 코드(MAC: Message Authentication Code)를 생성하여 바른 송신자로부터 왔는지 인증을 수행할 수 있다. In step 349, the group related information of the first terminal 111 is transmitted together with a case 1) time stamp or case 2) nonce, or case 3) time stamp or nonce, in order to prevent a replay attack. Can also be concatenated and sent. Meanwhile, case 4) time stamp may also be time information of an application layer, and case 5) time information value used in a physical layer, that is, physical information used in a physical layer. Counter information, or time information used in system information block (SIB) 16 used in case 6) layer 2 may be used. As in case 5) or case 6), the time information value obtained from the physical layer may be transmitted through SIB of layer 2 as in case 6), and the information of case 5) and case 6) may be physically delayed. There may be a small advantage. In this case, case 7) such information may be transmitted through a one time hash function. Case 8) A message authentication code (MAC) may be obtained using a group key, which is a key shared between the sender and the receiver. It can generate and authenticate whether it is from the right sender.
351 단계에서 제2 단말(131)은 제1 단말(111)이 Prose Group에 속하는지를 349 단계에서 전송 된 group 관련 정보, time stamp, nonce 등의 값을 prose 그룹키로 복호(해독: decryption)해서 검증을 수행할 수 있다.In step 351, the second terminal 131 verifies whether the first terminal 111 belongs to the Prose Group by decrypting (decrypting) the group related information, time stamp, and nonce transmitted in step 349 with the prose group key. Can be performed.
353 단계에서 제2 단말(131)은 제1 단말(111)에게 그룹 통신 응답(group communication response) 메시지를 전송할 수 있다. 실시예에 따라, 이러한 그룹 통신 응답 메시지는 그룹 조인(Group Join)의 과정을 포함하여 수행할 수 있다. 한편, 이 단계는 349 단계가 브로드캐스트(broadcast) 방법에 의해 이루어진 경우라면 수행되지 않을 수 있다. In operation 353, the second terminal 131 may transmit a group communication response message to the first terminal 111. According to an embodiment, such a group communication response message may be performed including a process of group join. On the other hand, this step may not be performed if step 349 is made by a broadcast method.
이렇게 제1 단말(111)이 prose group의 멤버(member)들에게 브로드캐스트(broadcast) 혹은 멀티캐스트(multicast)를 하고 있는 것에 대해 제2 단말(131)로부터 응답(response) 메시지가 오는 경우 제1 단말(111)은 case 1) 제1 단말(111)에서 제2 단말(131)도 그룹에 속하는지 검증을 수행할 수 있다. 또는, 실시예에 따라, case 2) 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 과정을 수행할 수 있다. 도 2에 도시된 실시예는 case 1)에 따라서 제1 단말(111)에서 제2 단말(131)이 그룹에 속하는지를 검증하는 실시예에 관한 것이다. In this way, when the first terminal 111 broadcasts or multicasts to members of the prose group, a response message comes from the second terminal 131. The terminal 111 may perform case 1) verifying whether the second terminal 131 also belongs to the group in the first terminal 111. Alternatively, according to an embodiment, case 2) the first terminal 111 may request the network to verify whether the second terminal 131 belongs to a group, and may perform a process of receiving a verification result. The embodiment shown in FIG. 2 relates to an embodiment for verifying whether the second terminal 131 belongs to a group in the first terminal 111 according to case 1).
그룹 통신에 대한 단말 수준에서 검증하는 case 1)을 일 실시예로 들면, 355 단계에서 제1 단말(111)은 제2 단말(131)이 Prose group에 속하는지 검증을 수행할 수 있다. 357 단계에서 제1 단말(111)은 제2 단말(131)에게 제2 단말(131)이 그룹에 조인(join) 하는 것이 성공하였음을 나타내는 정보를 포함한 메시지를 보낼 수 있다. 혹은 또 다른 실시예로, 제1 단말(111)에서 제2 단말(131)이 prose group에 속함을 검증하여, 제1 단말(111)이 검증이 성공하였음을 알리는 메시지를 제2 단말(131)에게 전송할 수 있다. 한편, 이러한 357 단계가 단말이 prose group에 속함을 검증하는 과정에 대한 성공 여부를 알려주는 것이 아니고, 단말이 멀티캐스트(multicast) 그룹에 조인(join) 하는 것이 성공하였음을 알려주는 용도인 경우는, 수행되지 않는 선택적 과정이 될 수도 있다. As an example, case 1) for verifying at the terminal level for group communication, in operation 355, the first terminal 111 may perform verification whether the second terminal 131 belongs to a Prose group. In operation 357, the first terminal 111 may send a message including information indicating that the second terminal 131 joins the group to the second terminal 131. Alternatively, in another embodiment, the second terminal 131 verifies that the second terminal 131 belongs to the prose group in the first terminal 111, and thus the second terminal 131 sends a message indicating that the verification was successful. Can be sent to. On the other hand, if the step 357 does not indicate whether the terminal succeeds in the process of verifying the belonging to the prose group, the purpose is to inform that the terminal is successful in joining the multicast (multicast group) This may be an optional process that is not performed.
367 단계에서 제2 단말(131)은 제1 단말(111)에게 prose 그룹 통신 요청 완성(prose group communication request complete) 메시지를 보낼 수 있다. In operation 367, the second terminal 131 may send a prose group communication request complete message to the first terminal 111.
이하 381 단계 내지 395 단계에서 Prose Group 통신을 위한 세션(session) 키, 암호화 키(encryption key), 복호화 키(decryption key) 등을 전송하는 과정에 대해 설명하도록 한다. Hereinafter, a process of transmitting a session key, an encryption key, a decryption key, and the like for Prose Group communication in steps 381 to 395 will be described.
381 단계에서 제1 단말(111)은 Prose function(127)에게 Prose group communication을 위한 세션 키(session key) 요청(prose group communication session key request) 메시지를 전송한다. In operation 381, the first terminal 111 transmits a session group request session message for the Prose group communication to the Prose function 127.
383 단계에서 Prose function(127)은 prose group communication session key를 생성한다. In step 383, the Prose function 127 generates a prose group communication session key.
그 후, 385 단계에서 prose function(127)은 prose group session key를 prose group key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다. Thereafter, in step 385, the prose function 127 may encrypt the prose group session key with the prose group key and transmit the encrypted message to the first terminal 111.
387 단계에서 제1 단말(111)은 prose group session key를 복호(decryption) 한다. In operation 387, the first terminal 111 decrypts the prose group session key.
그리고, 389 단계에서 제1 단말(111)은 prose function(127)에게 보안 키(security key)를 요청하는 메시지, 예를 들면 prose 그룹 암호화, 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송할 수 있다. In operation 389, the first terminal 111 transmits a message requesting a security key to the prose function 127, for example, a prose group encryption and an integrity key request message. Can transmit
391 단계에서 prose function(127)은 prose 그룹 통신 무결성키(prose group communication integrity key), prose 그룹 통신 암호화키(prose group communication encryption key)를 생성(generation)한다. In operation 391, the prose function 127 generates a prose group communication integrity key and a prose group communication encryption key.
그 후, 393 단계에서 prose function(127)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다. Thereafter, in step 393, the prose function 127 may encrypt the prose group communication encryption key or the prose group communication integrity key with the prose group session key and transmit the encrypted message to the first terminal 111.
그리고, 395 단계에서 제1 단말(111)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key 로 복호(decrypt)한다. In operation 395, the first terminal 111 decodes the prose group communication encryption key or the prose group communication integrity key into the prose group session key.
이후 399 단계에서 제1 단말(111)과 제2 단말(131) 등 Prose Group 에 속한 단말들은 Prose Group 통신을 안전하게 수행할 수 있다. Thereafter, in step 399, terminals belonging to the Prose Group such as the first terminal 111 and the second terminal 131 may safely perform the Prose Group communication.
도 3은 본 발명의 일 실시 예에 따른 prose communication 그룹 통신의 보안을 위한 통신 및 보안 절차를 나타낸 흐름도의 다른 예이다. 이때, 도 3에 도시된 실시예에서는 그룹 prose 디스커버리(discovery) 및 prose 통신 수행의 경우를 나타내었다. 3 is another example of a flowchart illustrating a communication and security procedure for securing prose communication group communication according to an embodiment of the present invention. 3 illustrates a case of performing group prose discovery and prose communication.
도 3을 참고하면, 401 단계에서 제1 단말(111)은 eNB(114)에게 접속 요청(attach request) 메시지를 전송하여, 등록 절차를 수행할 수 있다. 그리고, eNB(114)는 제1 단말(111)이 전송한 접속 요청(attach request) 메시지를 MME(116)에게 전송(transfer)할 수 있다. 이때 공공 안전(public safety)을 위한 통신이 수행될 것이라면, 공공 안전을 위한 통신을 지시하는 공공 안전 지시자(public safety indication)가 상기 접속 요청(attach request) 메시지에 포함될 수 있다. 또는 그룹 통신이라면, 그룹 통신을 지시하는 그룹 통신 지시자(group communication indication) 등이 상기 접속 요청(attach request) 메시지에 포함되어 전송될 수 있다. 한편 이러한 접속 요청(attach request) 메시지에는 공공 안전이나 그룹 통신을 위하여 처음으로 네트웍에 접속하는 경우라면 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. 이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다. Referring to FIG. 3, in step 401, the first terminal 111 may transmit an attach request message to the eNB 114 to perform a registration procedure. In addition, the eNB 114 may transmit an attach request message transmitted by the first terminal 111 to the MME 116. In this case, if communication for public safety is to be performed, a public safety indication indicating communication for public safety may be included in the attach request message. Alternatively, in the case of group communication, a group communication indication indicating a group communication may be included in the attach request message and transmitted. On the other hand, in the attach request message, if the first terminal 111 is connected to the network for the first time for public safety or group communication, it is verified that the first terminal 111 is a terminal suitable for public safety or group communication. You must connect with a secure value for. This secret value should be a value that can be verified on the network for group communication or public safety communication.
이후, 403 단계에서 MME(116)는 HSS(121)에게 인증 데이터 요청(Authentication data request) 메시지를 전송할 수 있다. 그리고, HSS(121)는 MME(116)에게 인증 벡터(authentication vector) 등을 포함한 보안 관련 정보를 포함한 응답 메시지를 전송할 수 있다. Thereafter, in step 403, the MME 116 may transmit an authentication data request message to the HSS 121. The HSS 121 may transmit a response message including security related information including an authentication vector to the MME 116.
405 단계에서 MME(116)는 제1 단말(111)에게 인증 토큰(AUTN)을 포함한 사용자 인증 요청(User authentication request) 메시지를 전송하고, 제1 단말(111)은 MME(116)에게 사용자 인증 응답(User authentication response) 메시지와 함께 RES(response 보안값)을 전송할 수 있다. In step 405, the MME 116 transmits a user authentication request message including an authentication token (AUTN) to the first terminal 111, and the first terminal 111 sends a user authentication response to the MME 116. A RES (response security value) can be sent along with a (User authentication response) message.
407 단계에서 MME(116)는 HSS(121)에게 업데이트 위치 요청(update location request) 메시지를 전송할 수 있다. 이때 공공 안전(public safety)을 위한 통신 이라면, MME(116)는 공공 안전 지시자(public safety indication) 를 업데이트 위치 요청(update location request) 메시지에 포함하여 HSS(121)에게 전송할 수 있다. 혹은, 그룹 통신 이라면, MME(116)는 업데이트 위치 요청(update location request) 메시지에 그룹 통신 지시자(group communication indication) 를 포함하여 HSS(121)에게 전송할 수 있다. 이때 제1 단말(111)이 처음으로 네트웍에 접속하는 경우라면, 해당 제1 단말(111)이 공공 안전 혹은 그룹 통신을 위하여 적합한 단말임이 해당 네트웍에서 검증되어야 하므로, 검증을 위한 비밀값(secure value)을 가지고 접속해야 한다. In step 407, the MME 116 may transmit an update location request message to the HSS 121. In this case, if communication is for public safety, the MME 116 may include a public safety indication in an update location request message and send it to the HSS 121. Alternatively, in the case of group communication, the MME 116 may include a group communication indication in an update location request message to the HSS 121. In this case, when the first terminal 111 accesses the network for the first time, the first terminal 111 should be verified in the network that the terminal is suitable for public safety or group communication. You must connect with).
이러한 비밀값은 그룹 통신 혹은 공공 안전 통신을 위하여 네트웍에서 검증이 가능한 값이어야 한다.This secret value should be a value that can be verified on the network for group communication or public safety communication.
409 단계에서 HSS(121)는 해당 제1 단말(111)에 대한 그룹 통신을 위한 식별자 정보(ID: identity), 그룹키(group key) 등의 정보를 조회하게 된다. In step 409, the HSS 121 inquires information such as identifier information (ID) and group key for group communication with respect to the corresponding first terminal 111.
이렇게 조회하여 해당 정보가 없는 경우에, HSS(121)는 411 단계에서 제1 단말(111)이 보낸 비밀값(secrete value)으로 해당 제1 단말(111)이 그룹 통신 혹은 공공 안전 통신을 위하여 적합한 단말인지 검증하게 된다. In this case, if there is no corresponding information, the HSS 121 is a secret value sent by the first terminal 111 in step 411 and the first terminal 111 is suitable for group communication or public safety communication. It is verified whether the terminal.
이후 413 단계에서 해당 제1 단말(111)이 적합한 단말이라면 해당 제1 단말(111)에 대해서 그룹 식별자를 할당하고, 그룹 키를 생성 혹은 할당하게 된다. 그룹 식별자를 구성하는 일 실시예를 들면 다음과 같다. 그룹 식별자는 국가 정보, 지역(area)정보, 통신망(사업자 망과 사업자 망 내에서 네트웍 정보) 정보 중의 어느 하나를 포함하며, 이에 더불어 만일 공공 안전(public safety)을 위한 경우라면 공공 안전 범주(category), 예를 들면 소방, 치안, 지진, 태풍, 해일, 토네이도 등의 정보를 포함할 수도 있다. In step 413, if the first terminal 111 is a suitable terminal, a group identifier is assigned to the first terminal 111 and a group key is generated or assigned. An example of configuring a group identifier is as follows. The group identifier includes any one of country information, area information, and communication network (network information in the carrier network and the provider network). In addition, the group identifier may be used for public safety if it is for public safety. For example, it may include information such as firefighting, security, earthquake, typhoon, tsunami and tornado.
417 단계에서 HSS(121)는 MME(116)에게 가입 데이터(subscription data)를 전송하게 된다. 이 때 HSS(121)는 MME(116)에게 prose 서비스를 하기 위한 prose 식별자(identity), Prose 그룹 식별자(prose group identity), Prose 그룹 키(prose group key), 단말의 prose 관련 능력(capacity), 등록된 prose 식별자와 보안키가 있다면 프락시미티(proximity) 관련 보안 키(prose key), prose PLMN(Public Land Mobile Network) 리스트(list) 등의 정보를 함께 전달할 수 있다. Proximity 관련 보안키는 프락시미티 디스커버리(proximity discovery) 또는 프락시미티 통신(proximity communication)을 위한 보안키로 이미 등록된 정보가 있는 경우 등록된 정보를 조회해서 알려주고, 등록된 정보가 없는 경우에는 이후 인증 후 생성하도록 한다. In step 417, the HSS 121 transmits subscription data to the MME 116. At this time, the HSS 121 is a prose identifier for providing a prose service to the MME 116, a Prose group identity, a Prose group key, a prose related capability of the terminal, If there is a registered prose identifier and security key, information such as a proxy key related to proximity and a prose Public Land Mobile Network (PLMN) list can be delivered together. Proximity related security key is a security key for proximity discovery or proximity communication. If there is already registered information, the registered information is searched for and informed. Do it.
419 단계에서 MME(116)는 eNB(114)에게 접속 승낙(attach accept) 메시지를 전송할 수 있다. 그리고 이 접속 승낙(attach accept) 메시지는 eNB(114)에서 제1 단말(111)에게 전송된다. 이러한 419 단계에서 MME(116)는 417 단계에서 HSS(121)로부터 전달된 prose 서비스를 하기 위한 prose 식별자(identity), 단말의 prose 관련 능력(capacity), 프락시미티(proximity) 관련 보안 키, prose 그룹 키(prose group key), prose 그룹 식별자(group identity), prose PLMN 리스트(list) 등의 정보도 접속 승낙(attach accept) 메시지와 함께 제1 단말(111)에게 전달할 수 있다. In step 419, the MME 116 may transmit an attach accept message to the eNB 114. The attach accept message is transmitted from the eNB 114 to the first terminal 111. In step 419, the MME 116 transmits a prose identifier for providing a prose service delivered from the HSS 121 in step 417, a prose-related capability of the terminal, a security key related to a proximity, and a prose group. Information such as a key group, a prose group identity, and a prose PLMN list may also be transmitted to the first terminal 111 along with an attach accept message.
본 발명에서 일 실시예에 의하면, 401, 403, 405, 407, 409, 411, 413, 417, 419 단계과 관련하여 MME(116)가 중간 엔티티로서 ProSe 관련해서 ProSe public indication, secrete value 등을 전달하여, 이를 HSS(121)에서 검증하는 중간 노드로 등장하였다. 그러나, 중간 노드가 MME(116)가 아니라, Prose function(127)이 중간 과정에 관여하여, 이러한 파라미터(parameter)를 전달하고, HSS(121)에서 검증하는데 관여할 수 있다. 즉 401, 403, 405, 407, 409, 411, 413, 417, 419 단계에서 이러한 parameter를 전달하는데 관여하는 엔티티가 prose function(127)이 될 수 있다. 즉 UE 로부터 Prose function(127)을 통해 public safety를 위한 secrete value, public safety indication 등의 적어도 하나의 파라미터가 전달 될 수 있다. 그리고, 이렇게 전달된 parameter를 이용해서 409, 411, 413 단계 등의 과정을 거쳐 HSS(121)에서 검증을 하게 된다. 한편 prose function(127)이 중간 과정에 엔티티가 되면, 실시예에 따라 417, 419 단계에서 Prose Group ID, Prose Group Key, Prose key, Prose ID 등이 HHS(121)로부터 Prose function(127)을 거쳐 UE에게 전달 될 수도 있다. According to an embodiment of the present invention, in connection with steps 401, 403, 405, 407, 409, 411, 413, 417, and 419, the MME 116 delivers ProSe public indication, secrete value, etc. with respect to ProSe as an intermediate entity. , Which appeared as an intermediate node to verify in the HSS 121. However, the intermediate node is not MME 116, but the Prose function 127 may be involved in the intermediate process, passing these parameters and involved in verifying in the HSS 121. That is, in step 401, 403, 405, 407, 409, 411, 413, 417, 419, the entity involved in passing these parameters may be the prose function 127. That is, at least one parameter such as a secret value or public safety indication for public safety may be delivered from the UE through the Prose function 127. Then, the HSS 121 is verified using the transferred parameters through 409, 411, and 413 steps. On the other hand, if the prose function 127 becomes an entity in the middle process, according to the embodiment, the Prose Group ID, Prose Group Key, Prose key, Prose ID, etc. are passed from the HHS 121 to the Prose function 127 in steps 417 and 419. It may be delivered to the UE.
이후, 423 단계에서 제1 단말(111)은 prose 기능(prose function)(127)에게 prose 등록 요청(prose registration request) 메시지를 전송할 수 있다. 그리고, 423-2 단계에서는 제2 단말(131)도 제1 단말(111)처럼 prose 등록 요청 과정을 수행할 수 있다. 이후 과정은 제1 단말(111)을 가지고 설명하지만, 제2 단말(131)에 대해서 기본적으로 제1 단말(111)과 같은 등록 과정을 거치는 것으로 가정한다. In operation 423, the first terminal 111 may transmit a prose registration request message to the prose function 127. In operation 423-2, the second terminal 131 may also perform a prose registration request process like the first terminal 111. Since the process is described with the first terminal 111, it is assumed that the second terminal 131 is basically subjected to the same registration process as the first terminal 111.
425 단계에서 Prose function(127)은 HSS(121)에게 prose 등록 요청 메시지를 전송하고, 이후 HSS(121)는 prose function(127)에게 prose 인증 벡터(prose authentication vector)를 전송할 수 있다. 이러한 prose 인증 벡터에는 암호키(CK: Cipher Key)와 무결성키(IK: Integrity Key)가 포함되어 prose function(127)에게 전송된다. In operation 425, the prose function 127 may transmit a prose registration request message to the HSS 121, and then the HSS 121 may transmit a prose authentication vector to the prose function 127. The prose authentication vector includes a cipher key (CK) and an integrity key (IK) and transmitted to the prose function 127.
427 단계에서 prose function(127)은 제1 단말(111)에게 prose 인증 토큰을 prose 인증 요청(Prose Authentication Request) 메시지에 실어 전송할 수 있다.In operation 427, the prose function 127 may transmit the prose authentication token to the first terminal 111 in a prose authentication request message.
한편 본 발명의 또 다른 일 실시예에 따르면, 425 단계에서 prose function(127)에서 HSS(121)에게 Prose function ID 등이 전달될 수 있다. 그리고, 425 단계에서 HSS(121)에서 Prose function(127)에게 prose authentication vector와 authentication token을 전달하면서 prose group key, prose key, prose authentication token 등 적어도 하나의 parameter를 전달할 수 있다. 이렇게 전달 받은 prose group key, prose key, prose authentication token 등의 parameter 중 적어도 하나의 parameter가 427 단계에서 Prose function (127)에서 UE에게 전달 될 수 있다. Meanwhile, according to another embodiment of the present invention, the prose function ID may be delivered to the HSS 121 in the prose function 127 in step 425. In operation 425, the HSS 121 may transmit at least one parameter such as a prose group key, a prose key, and a prose authentication token while delivering a prose authentication vector and an authentication token to the Prose function 127. At least one of the parameters such as the prose group key, the prose key, and the prose authentication token may be delivered to the UE in the Prose function 127 in step 427.
429 단계에서는 prose 등록을 위해 prose function(127)에서 제1 단말(111)에게 전송된 인증 토큰에 대한 응답 값을 포함한 Prose 인증 응답(prose Authentication Response) 메시지를 제1 단말(111)이 prose function(127)에게 전송할 수 있다. In step 429, a prose authentication response message including a response value for the authentication token transmitted from the prose function 127 to the first terminal 111 is registered in the prose function 127. 127).
431 단계에 prose function(127)은 RES와 XRES정보를 비교하여, 검증을 할 수 있다. In operation 431, the prose function 127 may verify the result by comparing the RES with the XRES information.
그 후, 433 단계에서 prose function(127) 제1 단말(111)에게 prose 등록 응답(prose registration response) 메시지를 전송할 수 있다. Thereafter, in step 433, the prose function 127 may transmit a prose registration response message to the first terminal 111.
이후의 과정은 단말이 prose key 또는 Prose 식별자, Prose Group Key, Prose Group ID 등을 이용해서 prose 그룹 통신을 수행하는 과정에 대하여 설명하도록 한다. The subsequent process will be described with respect to a process in which the terminal performs prose group communication using a prose key or a prose identifier, a prose group key, and a prose group ID.
만일 이후의 과정에서 제1 단말(111)이 prose 그룹 통신을 위해 보낸 요청(request) 메시지에 대해서 그룹키를 통해 검증하고자 하는 경우, 443 단계에서와 같이 제1 단말(111)이 prose function(127)에게 prose 등록 완성(prose registration complete) 메시지에 제1 단말(111)의 prose 그룹키를 포함하여 전송할 수 있다. 그리고, 이에 따라 prose function(127)은 수신한 정보를 이용하여 제1 단말(111)의 그룹키를 등록할 수 있다. In the following process, when the first terminal 111 wants to verify the request message sent for the prose group communication through the group key, the first terminal 111 performs the prose function 127 as in step 443. ) May be transmitted including the prose group key of the first terminal 111 in a prose registration complete message. In response, the prose function 127 may register the group key of the first terminal 111 using the received information.
443-3 단계에서 prose function(127)는 응용(application) 서버(125)에게 prose key, prose group Key 중의 적어도 하나의 정보, prose function(127)에 단말이 등록하는 과정에 prose 서비스를 위해 등록한 관련 정보를 전달할 수 있다. 그 후, 443-5 단계에서 응용 서버(125)는 prose key, prose group Key 등의 정보 중 적어도 하나를 저장할 수 있다. 이후 443-7 단계에서 제1 단말(111)과 응용 서버(125)는 prose key, prose 식별자, prose group ID, prose group Key 중의 적어도 하나의 정보 등을 이용해서 통신을 수행한다. In step 443-3, the prose function 127 registers at least one of a prose key and a prose group key to the application server 125, and the prose function 127 registers for the prose service in the process of registering the terminal in the prose function 127. Can convey information Thereafter, in operation 443-5, the application server 125 may store at least one of information such as a prose key and a prose group key. Thereafter, in step 443-7, the first terminal 111 and the application server 125 communicate using at least one of a prose key, a prose identifier, a prose group ID, and a prose group key.
447 단계에서 제1 단말(111)은 제2 단말(131)에게 페이징(paging) 메시지를 보낼 수 있다. 이 때 paging 메시지에는 단말에서 prose group 통신을 위한 그룹 통신 지시자(group communication indication), 혹은 공공 안전을 위한 통신을 지시하는 공공 안전 통신 지시자(public safety communication indication)이 포함 되어 있을 수 있다. In operation 447, the first terminal 111 may send a paging message to the second terminal 131. In this case, the paging message may include a group communication indicator for prose group communication in the terminal, or a public safety communication indication for instructing communication for public safety.
한편 449 단계에서 제1 단말(111)은 prose group과 통신하기 원함을 제2 단말(131)에게 알리며, prose 통신을 위해 요청(request)할 수 있다. 이러한 요청(request) 방법에는 broadcast, broadcast IP, multicast, multicast IP 등을 사용하는 방법을 통해 이루어 질 수도 있다. 이 때 prose group ID 가 목적지를 알리기 위해 활용될 수 있다. Meanwhile, in step 449, the first terminal 111 notifies the second terminal 131 that it wants to communicate with the prose group, and may request for prose communication. Such a request method may be performed through a method using broadcast, broadcast IP, multicast, multicast IP, and the like. At this time, the prose group ID can be used to inform the destination.
449 단계에서 제1 단말(111)의 그룹 관련 정보는 재전송 공격(replay attack)을 방지하기 위해서, case 1) 타임 스탬프(time stamp)나 case2) nonce 등과 함께 전송되거나, 혹은 case3) time stamp, nonce를 연결하여(concatenate)하여 전송할 수도 있다. 한편 case 4) time stamp는 응용 레이어(application layer)의 시간(time) 정보도 될 수 있고, case 5) 물리 계층(physical layer)에서 사용하는 시간(time) 정보 값, 즉 physical layer에서 사용하는 물리적 카운터(counter) 정보, 혹은 case 6) layer 2 에서 사용하는 SIB(system information block) 16에서 사용하는 시간(time) 정보 등을 이용할 수도 있다. 상기 case 5)나 case 6)에서처럼 physical layer로부터 얻어진 time 정보 값은 case 6)처럼 layer 2의 SIB를 통해 전달되기도 하며, 이러한 case 5), case 6)의 정보는 물리적으로 시간 지연이 생길 가능성이 적다는 이점이 있을 수 있다. 한편 이때 case 7) 이러한 정보를 전송할 때에는 one time hash function을 통해 전송될 수도 있으며, case 8) 이러한 정보를 송신자와 수신자가 공유하는 키인 group key 등을 이용해 메시지 인증 코드(MAC: Message Authentication Code) 를 생성하여 바른 송신자로부터 왔는지 인증을 수행할 수 있다. In step 449, the group related information of the first terminal 111 is transmitted together with a case 1) time stamp or case 2) nonce, or case 3) time stamp or nonce, in order to prevent a replay attack. Can also be concatenated and sent. Meanwhile, case 4) time stamp may also be time information of an application layer, and case 5) time information value used in a physical layer, that is, physical information used in a physical layer. Counter information, or time information used in system information block (SIB) 16 used in case 6) layer 2 may be used. As in case 5) or case 6), the time information value obtained from the physical layer may be transmitted through SIB of layer 2 as in case 6), and the information of case 5) and case 6) may be physically delayed. There may be a small advantage. In this case, case 7) such information may be transmitted through a one time hash function, and case 8) a message authentication code (MAC) may be obtained using a group key, which is a key shared between the sender and the receiver. It can generate and authenticate whether it is from the right sender.
451 단계에서 제2 단말(131)은 제1 단말(111)이 Prose Group에 속하는지를 449 단계에서 전송 된 group 관련 정보, time stamp, nonce 등의 값을 prose 그룹키로 복호(해독: decryption)해서 검증을 수행할 수 있다.In step 451, the second terminal 131 verifies whether the first terminal 111 belongs to the Prose Group by decrypting (decrypting) the group related information, time stamp, nonce, etc. transmitted in step 449 with the prose group key. Can be performed.
453 단계에서 제2 단말(131)은 제1 단말(111)에게 그룹 통신 응답(group communication response) 메시지를 전송할 수 있다. 실시예에 따라, 이러한 그룹 통신 응답 메시지는 그룹 조인(Group Join)의 과정을 포함하여 수행할 수 있다. 한편, 이 단계는 449 단계가 브로드캐스트(broadcast) 방법에 의해 이루어진 경우라면 수행되지 않을 수 있다. In operation 453, the second terminal 131 may transmit a group communication response message to the first terminal 111. According to an embodiment, such a group communication response message may be performed including a process of group join. On the other hand, this step may not be performed if step 449 is made by a broadcast method.
이렇게 제1 단말(111)이 prose group의 멤버(member)들에게 브로드캐스트(broadcast) 혹은 멀티캐스트(multicast)를 하고 있는 것에 대해 제2 단말(131)로부터 응답(response) 메시지가가 오는 경우 제1 단말(111)은 case 1) 제1 단말(111)에서 제2 단말(131)도 그룹에 속하는지 검증을 수행할 수 있다. 또는, 실시예에 따라, case 2) 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 과정을 수행할 수도 있다. When the first terminal 111 broadcasts or multicasts to members of the prose group, a response message comes from the second terminal 131. The first terminal 111 may perform case 1) verifying whether the second terminal 131 also belongs to the group in the first terminal 111. Alternatively, according to an embodiment, case 2) the first terminal 111 may request the network to verify whether the second terminal 131 belongs to a group, and perform a process of receiving a verification result.
상기 제1 단말(111)이 네트웍에 제2 단말(131)이 그룹에 속하는지 검증을 의뢰하여, 검증 결과를 받아 오는 case 2)를 일 실시예로 들면, 459 단계내지 467 단계에서 제2 단말(131)이 그룹에 속하는지에 대한 검증이 이루어 진다. In an embodiment, if the first terminal 111 requests the network to verify whether the second terminal 131 belongs to a group and receives the verification result, the second terminal in steps 459 to 467 may be used. Verification is made as to whether 131 belongs to the group.
즉, 459 단계에서 제1 단말(111)은 Prose function(127)에게 제2 단말(131)이 그룹에 속하는지 여부에 대한 검증을 요청하는 정보를 포함한 검증 요청(verification request) 메시지를 전송할 수 있다. 이후 461 단계에서 일 실시예에 따르면, case 2-1) prose function(127)은 제2 단말(131)이 prose group에 속하는지 제1 단말(111)과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증할 수 있다. 이러한 prose group communication list는 제1 단말(111)과 prose 통신이 가능한 prose 그룹에 있는 단말들의 리스트(list)이다. That is, in step 459, the first terminal 111 may transmit a verification request message including information for requesting verification whether the second terminal 131 belongs to the group to the prose function 127. . Subsequently, according to an embodiment of step 461, the case 2-1) prose function 127 may determine whether the second terminal 131 belongs to a prose group or a prose group communication list related to the first terminal 111. ) Can be verified. The prose group communication list is a list of terminals in the prose group capable of prose communication with the first terminal 111.
461 과정에서 다른 일 실시예에 따르면, case 2-2) Prose function(127)은 prose 그룹키(prose group key)를 생성하고, prose group key를 저장할 수 있다. According to another exemplary embodiment in step 461, the case 2-2) Prose function 127 may generate a prose group key and store the prose group key.
그 후, 463 단계에서 prose function(127)은 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 제1 단말(111)에게 보낼 수 있다. 이때 prose function(127)은 제1 단말(111)에게 단순히 검증이 성공했는지 여부만 보낼 수도 있다. Thereafter, in step 463, the prose function 127 may send a verification response message including the response information about the verification to the first terminal 111. In this case, the prose function 127 may simply send the first terminal 111 only whether verification is successful.
465 단계에서 제1 단말(111)은 제2 단말(131)의 prose group 통신 요청 응답에 대해 검증한 결과에 대한 검증 응답 메시지 혹은 그룹 조인(group join) 응답 메시지를 제2 단말(131)에게 보낼 수 있다. 이러한 메시지는 제2 단말(131)이 prose 그룹에 속하는지에 대한 검증 응답이거나 혹은 prose 그룹 조인(group join)에 대한 응답 메시지 일 수 있다. In step 465, the first terminal 111 transmits a verification response message or a group join response message to the second terminal 131 based on a result of verifying the prose group communication request response of the second terminal 131. Can be. This message may be a verification response to whether the second terminal 131 belongs to a prose group or a response message to a prose group join.
467 단계에서 제2 단말(131)은 제1 단말(111)에게 prose 그룹 통신 요청 완성(prose group communication request complete) 메시지를 보낼 수 있다. In operation 467, the second terminal 131 may send a prose group communication request complete message to the first terminal 111.
이하 481 단계 내지 495 단계에서 Prose Group 통신을 위한 세션(session) 키, 암호화 키(encryption key), 복호화 키(decryption key) 등을 전송하는 과정에 대해 설명하도록 한다. Hereinafter, a process of transmitting a session key, an encryption key, a decryption key, and the like for Prose Group communication will be described in steps 481 to 495.
481 단계에서 제1 단말(111)은 Prose function(127)에게 Prose group communication을 위한 세션 키(session key) 요청 (prose group communication session key request) 메시지를 전송한다. In step 481, the first terminal 111 transmits a session group request session message for the Prose group communication to the Prose function 127.
483 단계에서 Prose function(127)은 prose group communication session key를 생성한다. In step 483, the Prose function 127 generates a prose group communication session key.
그 후, 485 단계에서 prose function(127)은 prose group session key 를 prose group key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다. Thereafter, in step 485, the prose function 127 may encrypt the prose group session key with the prose group key and transmit the encrypted message to the first terminal 111.
487 단계에서 제1 단말(111)은 prose group session key를 복호(decryption)한다. In operation 487, the first terminal 111 decrypts the prose group session key.
그리고. 489 단계에서 제1 단말(111)은 prose function(127)에게 보안 키(security key)를 요청하는 메시지, 예를 들면 prose 그룹 암호화, 무결성 키 요청(prose group integrity key, integrity key request) 메시지를 전송할 수 있다. And. In step 489, the first terminal 111 transmits a message requesting a security key to the prose function 127, for example, a prose group encryption key and an integrity key request message. Can be.
491 단계에서 prose function(127)은 prose 그룹 통신 무결성 키(prose group communication integrity key), prose 그룹 통신 암호화키(prose group communication encryption key)를 생성(generation)한다. In operation 491, the prose function 127 generates a prose group communication integrity key and a prose group communication encryption key.
그 후, 493 단계에서 prose function(127)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 암호화(encryption)하여 제1 단말(111)에게 전송할 수 있다. Thereafter, in step 493, the prose function 127 may encrypt the prose group communication encryption key or the prose group communication integrity key with the prose group session key and transmit the encrypted message to the first terminal 111.
그리고, 495 단계에서 제1 단말(111)은 prose group communication encryption key 또는 prose group communication integrity key를 prose group session key로 복호(decrypt)한다. In operation 495, the first terminal 111 decodes the prose group communication encryption key or the prose group communication integrity key into the prose group session key.
이후 499 단계에서 제1 단말(111)과 제2 단말(131) 등 Prose Group 에 속한 단말들은 Prose Group 통신을 안전하게 수행할 수 있다. Thereafter, in step 499, terminals belonging to the Prose Group such as the first terminal 111 and the second terminal 131 may safely perform the Prose Group communication.
도 4는 본 발명의 일 실시예에 따른 단말의 블록 구성도이다. 4 is a block diagram of a terminal according to an embodiment of the present invention.
도 4를 참고하면, 본 발명의 일 실시예에 따른 단말(500)은, 통신부(510) 및 제어부(520)를 포함할 수 있다. 단말(500)의 제어부(520)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 단말을 제어한다. 예를 들면, 상기 제어부(520)는 MME에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말(500)의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말(500)의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어할 수 있다. 또한, 상기 제어부(520)는, 제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하고, 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하고, 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하고, 상기 제2 단말과 prose 그룹 통신을 수행하도록 제어할 수 있다. Referring to FIG. 4, the terminal 500 according to an embodiment of the present invention may include a communication unit 510 and a control unit 520. The controller 520 of the terminal 500 controls the terminal to perform any one of the above-described embodiments. For example, the controller 520 transmits an attach request message including at least one of a public safety indication and a group communication indication to the MME, and sends a proxy from the MME. Prose identifier, prose group identifier, prose group key, prose-related capability of the terminal 500, and proxy-related security key (prose key) for proximity based service (Prose: proximity based service) Receives an attach accept message including at least one of the information, transmits a prose registration request message to a prose function server, and transmits the prose registration request message to the prose function server from the terminal 500. Control to receive a prose registration response message according to the authentication of. In addition, the controller 520 transmits a paging message including at least one of a public safety indication and a group communication indication to the second terminal, and prose to the second terminal. When a prose group communication request message including group related information is transmitted and the second terminal verifies that the terminal belongs to a prose group using the prose group related information, the prose group communication response A group communication response message may be received from the second terminal, the second terminal may verify whether the second terminal belongs to the prose group, and control to perform prose group communication with the second terminal.
또한, 단말의 통신부(510)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(510)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, MME에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하거나, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다. In addition, the communication unit 510 of the terminal transmits and receives a signal in accordance with any one of the above-described embodiments. For example, the communication unit 510 may communicate with other entities. That is, an attach request message including at least one of a public safety indication and a group communication indication is transmitted to the MME, or a prose registration request is requested to a prose function server. You can communicate with other entities, such as sending a message (prose registration request).
도 5는 본 발명의 일 실시예에 따른 prose 기능 서버의 블록 구성도이다.5 is a block diagram of a prose function server according to an embodiment of the present invention.
도 5를 참고하면, 본 발명의 일 실시예에 따른 prose 기능 서버(600)는, 통신부(610) 및 상기 prose 기능 서버(600)의 전반적인 동작을 제어하는 제어부(620)를 포함할 수 있다. 이때, 상기 제어부(620)는 prose 제어부(621)를 더 포함할 수 있다. Referring to FIG. 5, the prose function server 600 according to an embodiment of the present invention may include a communication unit 610 and a controller 620 for controlling overall operations of the prose function server 600. In this case, the controller 620 may further include a prose controller 621.
prose 기능 서버(600)의 prose 제어부(621)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 prose 기능 서버(600)를 제어한다. 예를 들면, 상기 prose 제어부(621)는 단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어할 수 있다. The prose controller 621 of the prose function server 600 controls the prose function server 600 to perform an operation of any of the above-described embodiments. For example, the prose controller 621 performs a prose registration procedure for prose group communication with a terminal, receives a prose group session key request message from the terminal, generates the prose group session key, and and transmitting a prose session key encrypted with a prose group key to the terminal, receiving a prose group encryption key or integrity key request message from the terminal, and receiving the prose group encryption key or integrity key. And generate and transmit the prose group encryption key or the integrity key encrypted with the prose group body key to the terminal.
또한, prose 기능 서버의 통신부(610)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(610)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하거나, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다. In addition, the communication unit 610 of the prose function server transmits and receives signals in accordance with any one of the above-described embodiments. For example, the communication unit 610 may communicate with other entities. That is, the mobile station may communicate with other entities such as receiving a prose group session key request message from the terminal or transmitting a prose session key encrypted with the prose group key to the terminal.
도 6은 본 발명의 일 실시예에 따른 HSS의 블록 구성도이다. 6 is a block diagram of an HSS according to an embodiment of the present invention.
도 6을 참고하면, 홈 가입자 서버(HSS: Home Subscriber Server)(700)는 통신부(710) 및 상기 HSS(700)의 전반적인 동작을 제어하는 제어부(720)를 포함할 수 있다. 또한, 상기 제어부(720)는 가입자 정보 제어부(721)를 더 포함할 수 있다. Referring to FIG. 6, a home subscriber server (HSS) 700 may include a communication unit 710 and a controller 720 for controlling the overall operation of the HSS 700. In addition, the controller 720 may further include a subscriber information controller 721.
HSS(700)의 가입자 정보 제어부(721)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 HSS(700)를 제어한다. 예를 들면, 상기 가입자 정보 제어부(721)는, 인증 데이터 요청(Authentication data request) 메시지를 MME로부터 수신하도록 제어하고, 상기 수신 정보에 기반하여, MME로 인증 벡터 (authentication vector)를 포함하는 보안 관련 정보를 전송하도록 제어할 수 있다. The subscriber information controller 721 of the HSS 700 controls the HSS 700 to perform the operation of any of the above-described embodiments. For example, the subscriber information control unit 721 controls to receive an authentication data request message from the MME, and based on the received information, the subscriber information control unit 721 includes an authentication vector as an MME. It can be controlled to transmit information.
또한, HSS(700)의 통신부(710)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(710)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 인증 데이터 요청(Authentication data request) 메시지를 MME로부터 수신하거나, MME로 인증 벡터 (authentication vector)를 포함하는 보안 관련 정보를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다. In addition, the communication unit 710 of the HSS 700 transmits and receives signals in accordance with any one of the above-described embodiments. For example, the communication unit 710 may communicate with other entities. That is, it may communicate with other entities such as receiving an authentication data request message from the MME, or transmitting security related information including an authentication vector to the MME.
도 7은 본 발명의 일 실시 예에 따른 MME의 블록 구성도이다. 7 is a block diagram of an MME according to an embodiment of the present invention.
도 7을 참고하면, MME(800)는 통신부(810) 및 상기 MME(800)의 전반적인 동작을 제어하는 제어부(820)를 포함할 수 있다. 또한, 상기 제어부(820)는 이동성 관리 제어부(821)를 더 포함할 수 있다. Referring to FIG. 7, the MME 800 may include a communication unit 810 and a controller 820 for controlling overall operations of the MME 800. In addition, the controller 820 may further include a mobility management controller 821.
MME(800)의 이동성 관리 제어부(821)는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 MME(800)를 제어한다. 예를 들면, 기지국으로부터 단말이 전송한 접속(attach request) 요청 메시지를 수신하고, 상기 수신한 접속(attach request) 요청 메시지에 기반하여, HSS로 인증 데이터 요청(Authentication data request) 메시지를 전송하도록 제어할 수 있다. 또한, 상기 이동성 관리 제어부(821)는, 상기 HSS로부터 인증 벡터(authentication vector)를 포함하는 보안 관련 정보를 수신하고, 상기 단말로 인증 토큰(AUTN)을 포함하는 사용자 인증 요청(User authentication request) 메시지를 전송하도록 제어할 수 있다. The mobility management controller 821 of the MME 800 controls the MME 800 to perform an operation of any of the above-described embodiments. For example, the control unit receives the attach request request message transmitted by the terminal from the base station and transmits an authentication data request message to the HSS based on the received attach request message. can do. In addition, the mobility management control unit 821 receives security-related information including an authentication vector from the HSS, and a user authentication request message including an authentication token (AUTN) to the terminal. Can be controlled to transmit.
또한, MME(800)의 통신부(810)는 상술한 실시예들 중 어느 하나의 동작에 따라 신호를 송수신한다. 예를 들면, 상기 통신부(810)는 다른 엔티티들과 통신을 수행할 수 있다. 즉, 기지국으로부터 단말이 전송한 접속(attach request) 요청 메시지를 수신하거나, HSS로 인증 데이터 요청(Authentication data request) 메시지를 전송하는 등 다른 엔티티들과 통신을 수행할 수 있다. In addition, the communication unit 810 of the MME 800 transmits and receives a signal in accordance with any one of the above-described embodiments. For example, the communication unit 810 may communicate with other entities. That is, the base station may communicate with other entities such as receiving an attach request request message transmitted by the terminal from the base station or transmitting an authentication data request message to the HSS.
또한, 구체적으로 예시하지 않겠지만, 본 발명의 일 실시예에 따른 eNB, 응용 서버 등의 네트워크 엔티티들도 각각 통신부 및 제어부를 포함할 수 있다. 각각의 통신부는 해당 엔티티가 다른 엔티티들과 통신을 수행하도록 신호를 송수신할 수 있다. 그리고, 각각의 제어부는 상술한 실시예들 중 어느 하나의 동작을 수행하도록 해당 엔티티를 제어할 수 있다. In addition, although not specifically illustrated, network entities such as an eNB and an application server according to an embodiment of the present invention may also include a communication unit and a control unit, respectively. Each communication unit may transmit and receive a signal such that the entity communicates with other entities. Each controller may control the corresponding entity to perform the operation of any one of the above-described embodiments.
상술한 실시 예들에서, 모든 단계 및 메시지는 선택적으로 수행의 대상이 되거나 생략의 대상이 될 수 있다. 또한 각 실시 예에서 단계들은 반드시 순서대로 일어날 필요는 없으며, 뒤바뀔 수 있다. 메시지 전달도 반드시 순서대로 일어날 필요는 없으며, 뒤바뀔 수 있다.In the above embodiments, all steps and messages may optionally be subject to execution or subject to omission. In addition, in each embodiment, the steps need not necessarily occur in order and may be reversed. Message delivery doesn't necessarily have to happen in order, but can be reversed.
본 명세서와 도면에 개시 된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.Embodiments of the present invention disclosed in the specification and drawings are only specific examples to easily explain the technical contents of the present invention and aid the understanding of the present invention, and are not intended to limit the scope of the present invention. It will be apparent to those skilled in the art that other modifications based on the technical idea of the present invention can be carried out in addition to the embodiments disclosed herein.
따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.Accordingly, the above detailed description should not be construed as limiting in all aspects and should be considered as illustrative. The scope of the invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention.
Claims (20)
- 단말의 통신 방법에 있어서,In the communication method of the terminal,이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하는 단계; Sending an attach request message including at least one of a public safety indication and a group communication indication to a Mobility Management Entity (MME);상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하는 단계; A prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service (Prose) from the MME. Receiving an attach accept message including at least one of information;prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하는 단계; 및transmitting a prose registration request message to a prose function server; And상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하는 단계; Receiving a prose registration response message according to authentication of the terminal from the prose function server;를 포함하는 단말의 통신 방법.Communication method of the terminal comprising a.
- 제1 항에 있어서, According to claim 1,제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하는 단계;Transmitting a paging message including at least one of a public safety indication and a group communication indication to the second terminal;제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하는 단계; Transmitting a prose group communication request message including prose group related information to a second terminal;상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하는 단계; Receiving a prose group communication response message from the second terminal when the second terminal verifies that the terminal belongs to the prose group by using the prose group related information;상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계; 및Verifying whether the second terminal belongs to the prose group; And상기 제2 단말과 prose 그룹 통신을 수행하는 단계;Performing prose group communication with the second terminal;를 더 포함하는 것을 특징으로 하는 단말의 통신 방법. Communication method of the terminal further comprising.
- 제2 항에 있어서, 상기 제2 단말과 prose 그룹 통신을 수행하는 단계는, The method of claim 2, wherein the performing of the prose group communication with the second terminal comprises:상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하는 단계; Transmitting a prose group session key request message to the prose function server;상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하는 단계; Receiving a prose session key encrypted with the prose group key from the prose function server;상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하는 단계; 및Transmitting a prose group encryption key or integrity key request message to the prose function server; And상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하는 단계; Receiving a prose group encryption key or integrity key encrypted with the prose session key from the prose function server;를 더 포함하는 것을 특징으로 하는 단말의 통신 방법.Communication method of the terminal further comprising.
- 제1 항에 있어서, 상기 접속 요청(attach request) 메시지를 전송하는 단계는,The method of claim 1, wherein the transmitting of the attach request message comprises:상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하는 단계;Transmitting the attach request message further including a secret value for verifying whether the terminal is a terminal suitable for group communication;를 포함하는 것을 특징으로 하는 단말의 통신 방법.Communication method of a terminal comprising a.
- 제2 항에 있어서, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, The method of claim 2, wherein the verifying whether the second terminal belongs to the prose group comprises:상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하는 단계; 및Transmitting a verification request message regarding whether the second terminal belongs to the prose group to the prose function server; And상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하는 단계; Receiving a verification response message indicating whether the second terminal belongs to the prose group from the prose function server;를 더 포함하는 것을 특징으로 하는 단말의 통신 방법. Communication method of the terminal further comprising.
- 제1 항에 있어서, According to claim 1,상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하는 단계;Transmitting a prose registration complete message including the prose group key to the prose function server;를 더 포함하는 것을 특징으로 하는 단말의 통신 방법. Communication method of the terminal further comprising.
- 제2 항에 있어서, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하는 단계는, The method of claim 2, wherein the verifying whether the second terminal belongs to the prose group comprises:상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하는 단계;Transmitting a message indicating that the verification belonging to the prose group has succeeded by the second terminal to the second terminal;를 더 포함하는 것을 특징으로 하는 단말의 통신 방법. Communication method of the terminal further comprising.
- 단말에 있어서,In the terminal,엔티티들와 통신하는 통신부; 및A communication unit for communicating with entities; And이동성 관리 엔티티(MME: Mobility Management Entity)에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 접속 요청(attach request) 메시지를 전송하고, 상기 MME로부터 프락시미티 기반 서비스(Prose: proximity based service)를 하기 위한 prose 식별자, prose 그룹 식별자, prose 그룹 키(group key), 상기 단말의 prose 관련 능력(capability) 및 프락시미티 관련 보안 키(prose key) 중 적어도 하나의 정보를 포함하는 접속 승낙(attach accept) 메시지를 수신하고, prose 기능 서버(prose function server)에게 prose 등록 요청(prose registration request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 단말의 인증에 따른 prose 등록 응답(prose registration response) 메시지를 수신하도록 제어하는 제어부;Send an attach request message including at least one of a public safety indication and a group communication indication to a mobility management entity, and from the MME a proxy At least one of a prose identifier, a prose group identifier, a prose group key, a prose-related capability of the terminal and a proxy-related security key for a proximity based service (Prose) Receive an attach accept message including information, transmit a prose registration request message to a prose function server, and register a prose according to authentication of the terminal from the prose function server. A control unit controlling to receive a response registration message;를 포함하는 단말. Terminal comprising a.
- 제8 항에 있어서, 상기 제어부는,The method of claim 8, wherein the control unit,제2 단말에게 공공 안전 지시자(public safety indication) 및 그룹 통신 지시자(group communication indication) 중 적어도 하나를 포함하는 페이징(paging) 메시지를 전송하고, 제2 단말에게 prose 그룹 관련 정보를 포함하는 prose 그룹 통신 요청(group communication request) 메시지를 전송하고, 상기 제2 단말이 상기 prose 그룹 관련 정보를 이용하여 상기 단말이 prose 그룹에 속하는 것으로 검증한 경우에, prose 그룹 통신 응답(group communication response) 메시지를 상기 제2 단말로부터 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 여부를 검증하고, 상기 제2 단말과 prose 그룹 통신을 수행하도록 제어하는 것을 특징으로 하는 단말.Prose group communication to send a paging message including at least one of a public safety indication and a group communication indication to the second terminal, and includes prose group-related information to the second terminal Send a group communication request message, and when the second terminal verifies that the terminal belongs to the prose group by using the prose group related information, the prose group communication response message is sent to the second terminal. Receiving from a second terminal, verifying whether the second terminal belongs to the prose group, and controlling to perform prose group communication with the second terminal.
- 제9 항에 있어서, 상기 제어부는, The method of claim 9, wherein the control unit,상기 prose 기능 서버에게 prose 그룹 세션 키(session key) 요청 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 prose 그룹 키로 암호화된 prose 세션 키를 수신하고, 상기 prose 기능 서버에게 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 prose 세션 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 수신하도록 제어하는 것을 특징으로 하는 단말.Send a prose group session key request message to the prose function server, receive a prose session key encrypted with the prose group key from the prose function server, and request a prose group encryption key or integrity key from the prose function server (prose group encryption, integrity key request) A terminal, characterized in that the terminal to control to receive a prose group encryption key or integrity key encrypted with the prose session key from the prose function server.
- 제8 항에 있어서, 상기 제어부는,The method of claim 8, wherein the control unit,상기 단말이 그룹 통신을 위하여 적합한 단말인지 검증을 위한 비밀 값(secret value)를 더 포함하여 상기 접속 요청(attach request) 메시지를 전송하도록 제어하는 것을 특징으로 하는 단말.And controlling the terminal to transmit the attach request message further including a secret value for verifying whether the terminal is a terminal suitable for group communication.
- 제9 항에 있어서, 상기 제어부는, The method of claim 9, wherein the control unit,상기 prose 기능 서버에게 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 전송하고, 상기 prose 기능 서버로부터 상기 제2 단말이 상기 prose 그룹에 속하는지 여부에 대한 검증 응답 메시지를 수신하도록 제어하는 것을 특징으로 하는 단말. Sends a verification request message for whether the second terminal belongs to the prose group to the prose function server, and verifies whether the second terminal belongs to the prose group from the prose function server And controlling to receive the response message.
- 제8 항에 있어서, 상기 제어부는, The method of claim 8, wherein the control unit,상기 prose 그룹 키를 포함한 prose 등록 완료(prose registration complete) 메시지를 상기 prose 기능 서버에게 전송하도록 제어하는 것을 특징으로 하는 단말. And a prose registration complete message including the prose group key is transmitted to the prose function server.
- 제9 항에 있어서, 상기 제어부는, The method of claim 9, wherein the control unit,상기 제2 단말에게 상기 제2 단말이 상기 prose 그룹에 속하는 검증이 성공하였음을 알리는 메시지를 전송하도록 제어하는 것을 특징으로 하는 단말. And controlling the second terminal to transmit a message indicating that the verification belonging to the prose group has succeeded.
- 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)의 통신 방법에 있어서, In a communication method of a proximity based service (Prose) function server (Prose function server),단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하는 단계; Performing a prose registration procedure for prose group communication with the terminal;상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하는 단계; Receiving a prose group session key request message from the terminal;상기 prose 그룹 세션 키를 생성하는 단계; Generating the prose group session key;prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하는 단계; transmitting a prose session key encrypted with a prose group key to the terminal;상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하는 단계; Receiving a prose group encryption key or integrity key request message from the terminal;상기 prose 그룹 암호화 키 또는 무결성 키를 생성하는 단계; 및Generating the prose group encryption key or integrity key; And상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하는 단계;Transmitting a prose group encryption key or an integrity key encrypted with the prose group body key to the terminal;를 포함하는 prose 기능 서버의 통신 방법. Communication method of the prose function server comprising a.
- 제15 항에 있어서, The method of claim 15,상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하는 단계; Receiving a verification request message indicating whether a second terminal belongs to a prose group from the terminal;상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하는 단계; 및Verifying a prose group communication list associated with the terminal whether the second terminal belongs to the prose group; And상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하는 단계; Transmitting a verification response message including a response information about the verification to the terminal;를 더 포함하는 것을 특징으로 하는 prose 기능 서버의 통신 방법.Communication method of the prose function server further comprising a.
- 제16 항에 있어서, 상기 검증하는 단계는, The method of claim 16, wherein the verifying step,prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하는 단계;generating a prose group key and storing the prose group key;를 포함하는 것을 특징으로 하는 prose 기능 서버의 통신 방법.Communication method of the prose function server comprising a.
- 프락시미티 기반 서비스(Prose: proximity based service) 기능 서버(prose function server)에 있어서, In a proximity based service (Prose) function server,엔티티들와 통신하는 통신부; A communication unit for communicating with entities;단말과 prose 그룹 통신을 위한 prose 등록 절차를 수행하고, 상기 단말로부터 prose 그룹 세션 키(session key) 요청 메시지를 수신하고, 상기 prose 그룹 세션 키를 생성하고, prose 그룹 키로 암호화된 prose 세션 키를 상기 단말에게 전송하고, 상기 단말로부터 prose 그룹 암호화 키 또는 무결성 키 요청(prose group encryption, integrity key request) 메시지를 수신하고, 상기 prose 그룹 암호화 키 또는 무결성 키를 생성하고, 상기 prose 그룹 세신 키로 암호화된 prose 그룹 암호화 키 또는 무결성 키를 상기 단말에게 전송하도록 제어하는 제어부; Perform a prose registration procedure for prose group communication with the terminal, receive a prose group session key request message from the terminal, generate the prose group session key, and generate a prose session key encrypted with the prose group key; A prose transmitted to the terminal, receiving a prose group encryption key or integrity key request message from the terminal, generating the prose group encryption key or integrity key, and encrypting the prose group body key A control unit controlling to transmit a group encryption key or an integrity key to the terminal;를 포함하는 prose 기능 서버. Prose function server including.
- 제18 항에 있어서, 상기 제어부는, The method of claim 18, wherein the control unit,상기 단말로부터 제2 단말이 prose 그룹에 속하는지 여부에 대한 검증 요청(verification request) 메시지를 수신하고, 상기 제2 단말이 상기 prose 그룹에 속하는지 상기 단말과 관련된 prose 그룹 통신 리스트(prose group communication list)를 검증하고, 상기 검증에 대한 응답 정보를 포함한 검증 응답(verification response) 메시지를 상기 단말에게 전송하도록 제어하는 것을 특징으로 하는 prose 기능 서버.Receiving a verification request message on whether the second terminal belongs to the prose group from the terminal, and whether the second terminal belongs to the prose group; a prose group communication list associated with the terminal; ) And control to transmit a verification response message including the response information to the terminal to the terminal.
- 제19 항에 있어서, 상기 제어부는, The method of claim 19, wherein the control unit,prose 그룹 키를 생성하고, 상기 prose 그룹 키를 저장하도록 제어하는 것을 특징으로 하는 prose 기능 서버.Prose function server for generating a prose group key, and controls to store the prose group key.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP15735197.4A EP3096544B1 (en) | 2014-01-13 | 2015-01-13 | Security method and system for supporting prose group communication or public safety in mobile communication |
US15/111,471 US10382955B2 (en) | 2014-01-13 | 2015-01-13 | Security method and system for supporting prose group communication or public safety in mobile communication |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20140004069 | 2014-01-13 | ||
KR10-2014-0004069 | 2014-01-13 | ||
KR10-2014-0055885 | 2014-05-09 | ||
KR1020140055885A KR102088848B1 (en) | 2014-01-13 | 2014-05-09 | Security supporting method and system for proximity based service group communication or public safety in mobile telecommunication system environment |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US15/111,471 Division US10382955B2 (en) | 2014-01-13 | 2015-01-13 | Security method and system for supporting prose group communication or public safety in mobile communication |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015105401A1 true WO2015105401A1 (en) | 2015-07-16 |
Family
ID=53524160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2015/000354 WO2015105401A1 (en) | 2014-01-13 | 2015-01-13 | Security method and system for supporting prose group communication or public safety in mobile communication |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2015105401A1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017027056A1 (en) * | 2015-08-11 | 2017-02-16 | Intel IP Corporation | Secure direct discovery among user equipment |
WO2017034103A1 (en) * | 2015-08-26 | 2017-03-02 | 엘지전자(주) | Method and device by which terminal transmits/receives data in wireless communication system |
WO2017126721A1 (en) * | 2016-01-21 | 2017-07-27 | 엘지전자(주) | Method and apparatus for transmitting and receiving data of terminal in wireless communication system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013089452A1 (en) * | 2011-12-13 | 2013-06-20 | 엘지전자 주식회사 | Method and device for providing a proximity service in a wireless communication system |
WO2013095001A1 (en) * | 2011-12-20 | 2013-06-27 | 엘지전자 주식회사 | User equipment-initiated control method and apparatus for providing proximity service |
WO2013109040A1 (en) * | 2012-01-16 | 2013-07-25 | 엘지전자 주식회사 | Method and apparatus for providing proximity service in wireless communication system |
US20130294433A1 (en) * | 2012-05-04 | 2013-11-07 | Institute For Information Industry | Direct mode communication system and communication attaching method thereof |
-
2015
- 2015-01-13 WO PCT/KR2015/000354 patent/WO2015105401A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013089452A1 (en) * | 2011-12-13 | 2013-06-20 | 엘지전자 주식회사 | Method and device for providing a proximity service in a wireless communication system |
WO2013095001A1 (en) * | 2011-12-20 | 2013-06-27 | 엘지전자 주식회사 | User equipment-initiated control method and apparatus for providing proximity service |
WO2013109040A1 (en) * | 2012-01-16 | 2013-07-25 | 엘지전자 주식회사 | Method and apparatus for providing proximity service in wireless communication system |
US20130294433A1 (en) * | 2012-05-04 | 2013-11-07 | Institute For Information Industry | Direct mode communication system and communication attaching method thereof |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017027056A1 (en) * | 2015-08-11 | 2017-02-16 | Intel IP Corporation | Secure direct discovery among user equipment |
US10499236B2 (en) | 2015-08-11 | 2019-12-03 | Intel IP Corporation | Secure direct discovery among user equipment |
WO2017034103A1 (en) * | 2015-08-26 | 2017-03-02 | 엘지전자(주) | Method and device by which terminal transmits/receives data in wireless communication system |
WO2017126721A1 (en) * | 2016-01-21 | 2017-07-27 | 엘지전자(주) | Method and apparatus for transmitting and receiving data of terminal in wireless communication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2015065063A1 (en) | Method and apparatus to identity verification using asymmetric keys in wireless direct communication network | |
WO2021045573A1 (en) | Apparatus and method for providing subscription data to non-subscriber registered terminal in wireless communication system | |
WO2015105402A1 (en) | Security support method and system for discovering service and group communication in mobile communication system | |
WO2010019020A2 (en) | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system | |
WO2018128499A1 (en) | Method and apparatus for selecting an access and mobility management function in a mobile communication system | |
WO2014171707A1 (en) | Security method and system for supporting re-subscription or additional subscription restriction policy mobile communications | |
WO2015065165A1 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
JP2022536924A (en) | Method and system for handling closed access group related procedures | |
WO2012077999A2 (en) | Traffic encryption key management for machine to machine multicast group | |
WO2016114604A1 (en) | Method and system for establishing a secure communication between remote ue and relay ue in a device to device communication network | |
WO2016085292A1 (en) | Method and apparatus for providing sponsoring service between user equipments | |
WO2013008990A1 (en) | Traffic encryption key management for machine to machine multicast group | |
WO2013009059A2 (en) | Method for setting terminal in mobile communication system | |
WO2014109597A1 (en) | Method for changing gateway in machine-to-machine (m2m) system and device therefor | |
WO2013005947A2 (en) | Apparatus, method and system for creating and maintaining multicast data encryption key in machine to machine communication system | |
WO2017078459A1 (en) | Method, ue and network node for protecting user privacy in networks | |
KR102088848B1 (en) | Security supporting method and system for proximity based service group communication or public safety in mobile telecommunication system environment | |
WO2012044072A2 (en) | Method of assigning a user key in a convergence network | |
WO2014069925A1 (en) | Method and apparatus for managing packet data network connection on basis of local area in wireless communication system | |
WO2018000674A1 (en) | Network connection method, network connection device, and terminal | |
WO2013112015A1 (en) | Method and apparatus for efficient security management of disaster message in mobile communication system | |
WO2022225335A1 (en) | Method and device for authenticating network access request through terminal-to-terminal connection in mobile communication system | |
WO2015105401A1 (en) | Security method and system for supporting prose group communication or public safety in mobile communication | |
WO2015053602A1 (en) | Method and system for supporting security and information for proximity based service in mobile communication system environment | |
CN116114280A (en) | Key management method and communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15735197 Country of ref document: EP Kind code of ref document: A1 |
|
REEP | Request for entry into the european phase |
Ref document number: 2015735197 Country of ref document: EP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2015735197 Country of ref document: EP |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15111471 Country of ref document: US |