KR20100021690A

KR20100021690A - 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템

Info

Publication number: KR20100021690A
Application number: KR1020080080253A
Authority: KR
Inventors: 서경주; 임채권; 이현우; 양승기; 조영호
Original assignee: 삼성전자주식회사
Priority date: 2008-08-18
Filing date: 2008-08-18
Publication date: 2010-02-26
Anticipated expiration: 2028-08-18
Also published as: KR101485801B1

Abstract

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다.

NAS, MME, NAS Security Mode, Authentication

Description

이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 {METHOD AND SYSTEM FOR SUPPORTING AUTHENTICATION AND SECURITY PROTECTED NON-ACCESS STRATUM PROTOCOL IN MOBILE TELECOMMUNICATION SYSTEM }

본 발명은 이동 통신 시스템에 관한 것으로서, 특히 단말과 네트웍 의 인증 과정과 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 보안 과정을 효율적으로 지원하기 위한 방법 및 시스템에 관한 것이다.

일반적인 이동 통신 시스템들 중 대표적인 3GPP(3rd Generation Partnership Project)에서는 차세대 통신을 위하여 EPS(Evolved Packet System)을 정의하고, MME를 네트워크의 이동성 관리 엔티티로 도입하였다.

상기와 같은 이동 통신 시스템에서는 종래의 이동 통신 시스템 특히 3GPP의 3G에서 사용하던 NAS 프로토콜을 개선하여 차세대 이동 통신에서의 고속의 통신 서비스 제공을 위하여 개선 방안을 제시하였다. 이에 종래에 수행하던 인증 과정과 무선 접속 계층에서 수행하던 보안 과정 이외에 NAS 계층에서 보안화된 NAS 프로토콜 개념을 도입하여 보안 관리 방안을 강화 하였다.

하지만, 현재 NAS 프로토콜 정의 및 NAS 프로토콜의 보안 정의는 초기 단계로 상기와 같은 기능을 지원하기 위한 구체적 절차 및 속성이 정의 되어 있지 않다. 또한 현재 정의된 절차 및 정의된 메시지로는 실제 동작에 동작을 위해 발생되는 신호(signaling)가 많아지고 시그널링 처리에 있어 드는 시간만큼의 시간 소요가 더 있는 문제점이 발생할 수 있다. 따라서 NAS 프로토콜의 보안성을 강화하기 위해 도입된 NAS 보안 모드 명령(NAS security mode command) 명령의 개선을 통해 인증 및 단말과 이동성 관리자(MME) 간의 통신 및 보안을 보다 시간을 절약하고 보안을 효율적으로 지원하는 방법을 명시해야 할 필요가 있다.

본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 NAS 프로토콜을 지원하는 경우, 단말과 네트웍간의 인증과 단말과 이동성 관리자(MME) 사이에 보안화된 NAS 메시지 사용을 위하여 보안성을 제공하는 경우 보다 짧은 시간 내에 인증과 보안성을 안전하고 효율적으로 지원하는 방법 및 시스템을 제공한다. 또한 본 발명은 단말과 이동성 관리자(MME) 간의 프로토콜인 NAS 프로토콜을 활용하여 NAS 보안 과정이 어떻게 동작하는 지를 명기함으로써, 3GPP EPS 내에서 뿐만 아니라 3GPP EPS가 아닌 다른 무선 접속 기술 즉 다른 액세스 네트웍으로 이동하는 경우에도 NAS를 이용하는 단말에게 인증 및 단말과 이동성 관리자(MME)와 같은 역할을 하는 개체(entity) 사이의 보안 관리를 지원하는 방법 등을 제공한다.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 메시지를 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말과 네트웍 사이에 이루어지는 인증(authentication) 과정과 인증 과정중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)를 수행하는 것이 선택적으로 가능하도록 함으로써, 단말은 네트웍과 인증을 수행하고 보안 모드 명령을 수행할 수도 있으며, 혹 은 단말은 네크웍과 인증을 수행하는 중간 과정중에 보안 모드 명령을 수행하여 보안 절차에 드는 시간을 단축하고, 단말과 이동 관리자(MME) 간의 보안을 위해 필요한 동작을 수행할 수 있다. 따라서 본 발명을 통해 인증 과정 및 보안 모드 명령에 소요되는 시간을 단축할 수도 있는 이점이 있다. 한편 인증 과정과 보안 모드 명령 과정 각각이 수행해야할 역할에 따라 독립적으로 수행이 가능하도록 함으로써 보안 모드 명령의 수행이 독단적으로 필요하여 수행할 필요가 있는 경우에도 대비하는 방법을 제기함으로써 단말과 네트웍 간의 통신, 그리고 단말과 이동 관리자와의 통신에 있어서 보안을 효율적으로 관리하며, 보안 절차에 따른 시간을 단축하는 이점이 있다.

본 발명의 실시예에 따라 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법이, 단말(이하 UE로 표기), 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 단말과 이동 관리자, HSS 사이에 이루어지는 인증(authentication) 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과, 단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자(MME) 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령(NAS security mode command)을 선택적으로 수행하도록 가능하도록 하는 과정과, 단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 한다.

여기서 NAS 관련 메시지는 선택적 수행이 가능하도록 하는 메시지인 NAS 보안 모드 활성 타입 정보 요소를 더 포함한다. 그리고 선택적 수행이 가능한 경우 포함되어야할 NAS 보안 모드 정보를 알려주는 NAS 보안 모드 정보 요소를 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 NAS 보안 모드 활성화 타입 값을 더 포함한다. 또한 NAS 보안 모드 활성화 타입 정보 요소는 보안 플래그를 더 포함한다.

그리고 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기), HSS를 포함하며, 인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와, 인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말과, 인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 한다.

이상에서 상세히 설명한 바와 같이 동작하는 본 발명에 있어서, 개시되는 발명 중 대표적인 것에 의하여 얻어지는 효과를 간단히 설명하면 다음과 같다.

본 발명은 이동통신 네트워크에서 비접속 계층(non- Access Stratum 즉 네트웍 계층 : 이하 NAS로 표기) 프로토콜을 이용하여 단말의 이동성, 아이들 모드(idle mode)를 관리, 등록 관리(registration management : Attach, detach 관리), 위치 관리(location management : tracking area 관리) 하는 방법 및 시스템에 대한 것으로서, 본 발명에 따른 NAS 프로토콜 즉 메시지를 이용하여 단말의 이동성, 아이들 모드(idle mode) 관리, 등록 관리, 위치 관리 하기 위한 방법은, 단말(이하 UE로 표기)과 이동 관리자(MME, mobility management entity : 이하 MME로 표기)를 포함하며, 단말이 동작 모드(active mode) 에서 핸드오버(handover)하는 경우와, 아이들 모드(idle mode) 에서 위치 관리(location management)를 하는 경우, 단말이 네트웍에 등록하는 경우에 있어서, 3GPP 의 EPS(Evolved Packet System)와 같은 네트워크에서 이동성 관리 메시지인 EMM(EPS Mobility Management) 중 상기와 같은 역할을 하는 메시지를 보내고 혹은 받는 경우 받은 메시지가 보안화된 NAS 메시지인 경우 보안화된 NAS 메시지를 효율적으로 처리하기 위한 방법을 제기함으로써 단말의 이동성과 위치 관리, 그리고 등록 관리를 효율적으로 하는 이점이 있다.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되 는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

후술되는 본 발명의 요지는 이동 통신 시스템을 위하여 단말과 MME 간의 프로토콜인 NAS 프로토콜을 이용하여 이동시스템에 인증과 단말과 MME 간의 프로토콜인 NAS 의 보안성을 관리 지원하는 방법을 제공하는 것이다. 이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템을 이용할 것이며, 본 발명은 NAS를 사용하는 다른 이동 시스템에서도 이용 가능할 것이다.

한편 본 발명의 도 1에서 보는 바와 같이 도1 의 실시예는 본 발명의 기본 목적인 NAS 프로토콜을 이용하여 인증 및 단말과 이동성 관리자(MME) 간의 통신시 보안성을 지원하는 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture) 또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도 이다. 여기에서는 일 예로서 3GPP EPS 시스템 구조 를 도시하였다.

도 1을 참조하면, 기지국(Evolved Node Base Station: E Node B : 이하 eNB이라 칭함)(112)은 각각의 서비스 영역인 셀 내에 위치하는 단말(User Equipment : 이하 단말 혹은 UE 라 칭함)(110)과 무선 접속을 설정하고 통신을 수행한다. UE(110)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 SGW라 칭함)(116)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 본 명세서에서는 패킷 데이터 네트워크의 주요한 네트워크 개체로서 패킷 데이터 네트웍 게이트 웨이(Packet Data Network Gate Way : 이하 PDN GW로 칭함)(118)이 홈 에이전트(Home Agent: 이하 HA라 칭함)의 역할을 수행한다. 한편 단말의 이동성 관리, 단말의 위치 관리(location management), 등록(registration) 관리를 위하여 이동 관리자(Mobility Management Entity : 이하 MME로 표기)(114)가 있다. 또한 사용자와 단말에 대한 인증정보 및 서비스 정보를 관리하기 위하여 홈 구독자 서버(Home Subscriber Server :이하 HSS)(121)가 MME(114) 와 인터페이스를 가지고 연결되어 있다.

eNB(112)와 Serving GW(116), MME(114) 와 Serving GW(116) 사이에는 데이터 경로(data path)와 단말의 이동성을 관리하기 위한 인터페이스가 존재한다. 본 발명에서의UE(110)과 MME(114)는 NAS 프로토콜 스택을 가지고 서로 통신함으로써 이동성 관리, 위치 관리, 등록 관리, 세션 관리를 수행한다.

본 발명에서는 UE(110)의 이동성 관리, 위치 관리, 세션 관리를 위해서 도입한 개체인 MME(114)와 단말(110) 사이의 프로토콜인 NAS 프로토콜에 그 초점을 둔다. 즉 이동성 관리와, 위치, 세션 관리를 위하여 단말(110)와 MME(114) 사이에 도입된 NAS 프로토콜은 종래의 3GPP 시스템에서도 있던 것으로 EPS 시스템으로 되면서 보안성이 강화 되었다. 즉 NAS 프로토콜 상에서도 무결성과 암호화를 지원하기 위하여 NAS 프로토콜 절차 및 각 엔티티의 역할을 보완해 가고 있으나 현재로서 보완이 미흡하여 본 발명에서는 NAS 프로토콜을 기반으로 UE(110), MME(114)가 효율적으로 동작할 수 있도록 상기의 네트워크를 참조하여 이하 도 2 내지 도 5를 설명하기로 한다.

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도 이다. 이러한 도 2의 흐름도는 NAS 프로토콜 보안 즉 NAS 프로토콜의 무결성과 암호화 과정으로서 이러한 흐름에 있어서 종래의 기술과 차이점은 하기의 [표 1] 내지 [표 4]의 메시지 포맷을 참조하기로 한다. 인증 과정과 NAS 보안 과정에 있어서 중요한 개체(entity)는 도 2에서 보는 바와 같이 UE(110), MME(114), HSS(121)이다. 201 과정에서 UE(110)는 MME(114)에게 사용자 식별자를 보내고 MME(114)와 HSS(121)는 인증 벡터(authentication vector)를 요청해서 받고, MME(114)는 인증 벡터를 선정하게 된다. 203 단계에서 MME(114)는 UE(110)로 인증 요청(AUTHENTICATION REQUEST) 메시지를 보내어 인증 벡터 중 일부인 인증 토큰(authentication token : 이하 AUTN으로 표기)과 난수 요구(random challenge : 이하 RAND로 표기)를 보내게 되고 UE(110)는 받은 AUTN을 검증한다. 205 단계에서 UE(110)는 인증 응답 메시지를 MME(114)로 보내면서 UE(110)에서 계 산한 응답 매개 변수(RESPONSE : 이후 RES로 표기)를 포함하여 MME(114)로 보내게 된다. 이후 207 단계에서 MME(114)와 UE(110) 에서 인증과 키 일치 프로토콜(authentication and key agreement : 이후 AKA로 표기)의 남은 부분을 수행한다. 즉 UE(110)에서는 무결성 키(Integrity key : 이하 IK로 표기), 암호화 키(cipher key 이하 Ck로 표기)를 계산하고, MME(114)에서는 응답 매개 변수(RES)와 기대된 응답(Expected Response: 이하 XRES로 표기)을 비교하여 MME 자신이 인증 요구를 보낸 단말로부터 온 인증 반응인지 여부를 검증한다. 209 단계에서는 MME(114)에서 UE(110)로 NAS 보안 모드 명령(security mode command) 메시지를 보낸다. 이러한 NAS 보안 모드 명령에는 선택된 NAS 보안 알고리즘과 NAS 키 세트 식별자(key set identifier: 이하 KSI로 표기)를 알려주고, 이에 대한 응답으로서 211 단계에서 UE은 MME에게 NAS 보안 모드 완료(security mode complete) 메시지를 보낸다. 보안 모드 명령은 NAS 메시지 보안 설정을 위해 사용되므로 본 발명에서와 같이 인증 과정과 함께 쓰이는 경우에도 사용이 된다. 따라서 본 발명에서는 인증 과정 이후 보안 모드 명령이 나오는 것을 인증 과정에서 선택적으로 사용할 수 있는 과정을 설명하였는바 이후 도 3의 과정과 [표 1] 내지 [표 4] 의 NAS 보안 모드(NAS security mode) 관련 정보 요소(information element : 이후 IE로 표기)를 참조하기로 한다. 즉 도 2와 같은 동작을 위해서는NAS security mode information 이 포함되지 않은 인증 요청(AUTHENTICAION REQUEST) 메시지를 MME에서 UE로 전송하여야 한다. 이와 같은 동작은 하기의 [표 2] 내지 [표 4]를 참조한다.

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도이다. 즉 도 3 에서는 도 2와 같은 인증 과정과 보안 모드 명령 과정을 함께 실시 할 경우를 일 실시예를 든 것이다.

상기 도 3을 참조하면, 301 단계에서는 201 단계에서와 같이 UE(110)와 MME(114), HSS(121)는 AKA 앞부분의 동작을 수행한다. 이후 303 단계에서는 AKA의 인증 요청 과정과 NAS 보안 모드 명령 과정을 함께 수행하게 되는데, 이를 본 발명에서는 NAS 보안 모드 포함 인증 요청(AUTHENTICAION REQUEST with NAS SECURITY MODE) 메시지라고 표기하였다. 이러한 과정은 [표 1] 내지 [표 4]의 메시지 포맷에 따른다. 이러한 NAS 보안 모드 포함 인증 요청 메시지는 MME(114)에서 UE(110)로 보내지는 요청 메시지이다. 305 단계에서는 UE(110)로부터 MME(114)로 NAS 보안 모드 포함 인증 응답(AUTHENTICATION RESPONSE with NAS SECURITY MODE) 메시지를 전송한다. 이후 MME는 UE로부터 응답받은 RES와 자신이 가진 XRES를 비교하여 UE로부터 온 메시지인지를 검증한다.

도 4는 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도 이다.

상기 도 4를 참조하면, 401 단계에서 AKA 인증 과정의 앞부분을 수행한다. 이러한 과정에 대한 설명은 도 3의 301 단계 혹은 도2 의 201 단계를 참조한다. 403 단계에서 MME(114)는 인증 요청메시지 만을 UE(110)에 요청하는지 혹은 NAS 보안 모드 설정을 포함한 NAS 보안 모드 인증 요청 메시지를 UE로 전송할지를 결정한 다. 인증 요청 메시지만을 전송하는 경우는 421 단계로 진행하여 421 단계에서와 같이 NAS 보안 모드를 포함하지 않는 인증 요청 메시지를 UE로 보내게 되며, 423 단계에서와 같이 UE로부터 인증 응답 메시지를 받게 되면 425 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터 응답이 왔는지 여부를 판단한다. 이후 필요한 경우에 따라 427 단계에서와 같이 MME(114)로부터 UE(110)로 보안 모드 명령(SECURITY MODE COMMAND) 메시지를 보내고 이에 대한 응답으로 보안 모드 완성(SECURITY MODE COMPLETE) 메시지를 429 단계에서 단말로부터 받게 된다. 이 경우 421 단계에서는 NAS 보안 모드를 포함하지 않음을 알리기 위하여 하기의 [표 2] 내지 [표 4]의 메시지 포맷 사용이 가능하다. 혹은 종래의 메시지 포맷을 그대로 이용할 수 도 있다.

한편 405 단계에서와 같이 NAS 보안 모드를 포함한 인증 요청 메시지를 MME로부터 UE로 전송한 경우 407 단계에서와 같이 NAS 보안 모드 포함 인증 응답 메시지를 UE로부터 수신하게 되고 이에 409 단계에서와 같이 RES 와 XRES를 비교하여 해당 단말로부터의 응답인지를 검증한다. 이때 405 내지 407 단계에서 전송하는 NAS 보안 모드 포함 인증 요청 메시지와 NAS 보안 모드 포함 인증 응답 메시지는 하기의 [표 1] 내지 [표 2]의 메시지 포맷 사용이 가능하다.

도 5는 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도이다.

상기 도 5를 참조하면, 501 단계에서 도2 의 201 단계에서와 같은 AKA 인 증 앞부분을 수행한다. 503 단계에서 UE는 MME로부터 인증 요청 메시지만 포함하는 메시지를 받거나 혹은 NAS 보안 모드 포함 인증 요청 메시지를 받을 수 있다. 이에 인증 요청 메시지만 받은 경우 511 단계로 진행하여, AKA 과정의 일부인 AUTN을 검증하고 RES를 계산하게 된다. 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 513 단계에서UE는 MME로 인증 반응 메시지를 보내게 된다. 이후 515 단계에서는 무결성 키(IK) 와 암호화 키(CK)를 계산한다.

한편 UE(110)가 NAS 보안 포함 인증 요청 메시지를 MME로부터 받은 경우는 505 단계에서 AUTN 검증하고 RES를 계산하며, 이에 대한 설명은 도 2의 203 단계의 후반부 설명을 참조하기로 한다. 이후 507 단계에서NAS 보안 모드 포함 인증 반응 메시지를 MME로 전송하게 된다. 이후 515 단계는 상기 기술한 바와 동일하다.

상기의 도 2 내지 도 5에서 기술한 대로 단말(UE)과 이동 관리자(MME)가 동작하기 위해서는 다음 [표 1] 내지 [표 4]의 메시지 등이 지원되어야 하는 경우가 있다. 이에 하기에서 이를 기술하기로 한다.

[표 1]은 NAS 보안 모드 정보 요소( Information element : 이하 IE로 표기)로서 [표 2] 의 NAS 보안 모드 활성 타입 IE(Information element)가 NAS 보안 모드를 활성화하여 사용한다고 지시하는 경우에 있어서 구체적으로 포함되어야 할 정보에 대해 알려주는 정보 요소이다. 따라서 MME 에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함되어 구체적인 NAS 보안 모드 정보를 포함하게 된다. 1 옥텟의 NAS 보안 모드 정보 요소 식별자의 경우 표준 단체에 의해 할당되는 값이다. 2 옥텟에는 NAS 보안 모드 정보 요소의 전체 길이를 나타내는 length 필드로 되어 있고, 3 옥텟에는 선택된 NAS 보안 알고리즘의 정보가 들어간다. 4 옥텟에는 NAS 키 세트 식별자(NAS key set identifier)가 들어가는데 이는 NAS 메시지의 보안에 사용되는 NAS 암호화 키 K_NASenc또는 무결성 키 K_NASint등의 키세트를 식별하는 식별자이다. 옥텟 5에는 UE에 의해 지원되는 보안 알고리즘을 기술하며 옥텟 6에는 국제 모바일 장비 식별 소프트웨어 버전(international mobile equipment identity software version : 이하 IMEISV로 표기)이 포함되어 통신 가입자(subscriber) 의 모바일 장비와 그 소프트웨어 버전을 알려주게 된다. 이러한 IMEISV는 대체로 인증 혹은 암호화 반응 메시지에 단말에 의해 IMEISV가 포함되기를 요청하는 경우에 포함되는 파라미터 이다.

메시지 1 : NAS 보안 모드IE(Information element)

하기의 [표 2]는 MME에서 UE로 보내는 인증 요청(AUTHENTICATION REQUEST) 메시지에 포함하여 보내는 NAS 보안 모드 활성 타입 IE(Information element)이다. 이는 NAS 보안 모드(security mode)를 사용할지 말지를 UE에게 알려주기 위해 사용하는 정보 요소(information element : 이후 IE로 표기)이다. 총 8 비트로 구성되어 bit 5678 의 경우는 정보 요소 식별자(information element identifier)로서 3GPP나 표준 기관에 의해 할당되는 값이 될 것이다. 한편 비트 123의 경우는 NAS 보안 모드를 활성화 시키는 타입을 알려주기 위해 사용되는 것으로 그 값의 구체적 예 중 하나의 실시예는 [표 3]을 참조하기로 한다. 또한 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되며 그 값의 구체적 예중 하나의 실시예는 [표 4] 의 실시예를 참조하기로 한다.

메시지 2 : NAS 보안 모드 활성 타입 IE(Information element)

하기의 [표 3]에서는 NAS 보안 모드 활성 타입에 따른 값의 할당에 대한 일 실시예를 기록하였다. 등록(attach), 핸드오버(handover), 위치 갱신(tracking area update), 그리고 MME의 요청 혹은 향후 사용을 위한 예약(reserved) 등의 경우에 다음과 같이 bit 123을 할당하여 000, 001, 010을 사용하여 구분한다. 한편 MME 요청에 의해 NAS 보안 모드를 활성화 하는 경우에는 011을 사용하며, 그 외 비트의 조합은 향후 사용을 위해 예약을 해둔다.

메시지 3 : NAS 보안 모드 활성 타입 값(value)

하기의 [표 4]에서는 NAS 보안 모드를 사용할지 말지를 결정하는 플래그(flag)로 사용되는 보안 플래그 값(security flag)에 대해 일 실시예를 표로 나타내었다. 4 bit 의 값이 0으로 세팅된 경우 NAS 보안 모드를 포함하지 않는 인증 요청 메시지(authentication request)를 MME(114)로부터 UE(110)로 전송한다. 이와 반면 1로 세팅된 경우는 NAS 보안 모드를 포함하는 인증 요청 메시지를 전송하게 된다.

메시지 4 : NAS 보안 모드 활성 타입 IE의 보안 플래그 값 (security flag value)

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

도 1은 본 발명의 바람직한 실시 예에 따른 이동 통신 시스템에서의 인증 및 보안 환경을 도시한 블록도,

도 2는 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도

도 3은 본 발명의 일 실시 예에 따른 인증과 NAS 프로토콜 보안 과정의 절차를 나타낸 메시지 흐름도

도 4은 본 발명의 실시 예에 따른 MME에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도

도 5은 본 발명의 실시 예에 따른 단말에서 인증과 NAS 프로토콜 보안 과정을 지원하기 위한 방안을 나타낸 순서도

Claims

이동통신 네트워크에서 비접속 계층 프로토콜을 이용하여 단말과 네트웍 사이의 보안 관리 방법에 있어서,

단말과 이동 관리자, HSS 사이에 이루어지는 인증 요청/ 응답 메시지를 보내고 받으며 필요한 정보를 교환하는 과정과

단말과 이동관리자 사이에 이루어지는 인증 과정 중에 단말과 이동성 관리자 사이의 NAS 프로토콜 동작을 위해 설정된 NAS 보안 모드 명령을 선택적으로 수행하도록 가능하도록 하는 과정과

단말로부터 이동관리자로 응답 메시지를 받는 과정으로 이루어짐을 특징으로 하는 보안 관리 방법.
이동통신 네트워크에서 비접속 계층 프로토콜을 이용하여 단말과 네트웍 사이의 보안을 관리하기 위한 시스템에 있어서,

인증 요청 메시지 혹은 NAS 보안 모드 포함 인증 요청 메시지 혹은 NAS 보안 모드 명령 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 관리자와,

인증 응답 메시지 혹은 NAS 보안 모드 포함 인증 응답 메시지 혹은 NAS 보안 모드 완성 메시지를 전송하며 이들 메시지에 필요한 정보를 전송하는 이동성 단말 과,

인증에 필요한 인증 벡터를 생성하여 전송하는 HSS로 구성되는 것을 특징으로 하는 보안관리 시스템.