KR20100053407A - Method of sharing security information - Google Patents
Method of sharing security information Download PDFInfo
- Publication number
- KR20100053407A KR20100053407A KR1020090016279A KR20090016279A KR20100053407A KR 20100053407 A KR20100053407 A KR 20100053407A KR 1020090016279 A KR1020090016279 A KR 1020090016279A KR 20090016279 A KR20090016279 A KR 20090016279A KR 20100053407 A KR20100053407 A KR 20100053407A
- Authority
- KR
- South Korea
- Prior art keywords
- message
- security
- base station
- mobile station
- sbc
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 무선접속 시스템에서 안전하게 보안관련 정보를 공유하는 방법에 관한 것이다.The present invention relates to a method of securely sharing security-related information in a wireless access system.
이하 광대역 무선접속 시스템에서 사용되는 보안 부계층(security sublayer)에 대해 간략히 설명한다.Hereinafter, the security sublayer used in the broadband wireless access system will be briefly described.
보안 서비스는 네트워크 데이터에 대한 기밀성(Confidentiality) 및 무결성(Integrity)을 제공하는 것이다. 무결성이란 최초의 메시지 내용이 상대방에게 동일한 내용으로 전달되었는지 여부를 말한다. 즉, 무결성은 메시지가 제 3자 등에 의해 임의로 변경되지 않았는가를 보장하는 것이다. 기밀성이란 정보를 오직 인가된 사람들에게만 공개하는 것을 말한다. 즉, 기밀성은 전송되는 데이터의 내용을 완벽하게 보호하여 비인가자가 정보의 내용에 접근하는 것을 방지하는 것이다.Security services are those that provide the confidentiality and integrity of network data. Integrity refers to whether the original message content is delivered to the other party in the same content. In other words, integrity is to ensure that the message has not been arbitrarily altered by a third party or the like. Confidentiality is the disclosure of information only to authorized persons. In other words, confidentiality is to completely protect the content of the transmitted data to prevent unauthorized access to the content.
보안 부계층은 광대역 무선 네트워크에서의 보안, 인증 및 기밀성을 제공한다. 보안 부계층은 단말과 기지국간에 전달되는 MAC(Media Access Control) PDU(Protocol Data Unit)에 암호화 기능을 적용할 수 있다. 따라서, 기지국 및 이동국은 불법 사용자의 서비스 도난 공격에 대한 강인한 방어 능력을 제공할 수 있 다. 기지국에서는 네트워크 전반에 걸쳐 서비스 플로우에 대한 암호화를 수행하여 데이터 전송 서비스에 어떤 권한도 없이 접속하는 것을 방지한다. 보안 부계층은 인증된 클라이언트/서버 구조의 키 관리 프로토콜을 이용하여 기지국이 이동국에게 키(key)와 관련된 정보들을 분배하는 것을 제어한다. 이때, 키 관리 프로토콜에 디지털 인증서 기반의 단말장치 인증을 추가하여 기본적인 보안 메커니즘의 기능을 더욱 강화시킬 수 있다.The security sublayer provides security, authentication, and confidentiality in broadband wireless networks. The security sublayer may apply an encryption function to a media access control (MAC) protocol data unit (PDU) delivered between the terminal and the base station. Thus, the base station and the mobile station can provide a robust defense against an illegal user's service theft attack. The base station encrypts the service flow throughout the network to prevent unauthorized access to the data transmission service. The security sublayer controls the base station to distribute information associated with the key to the mobile station using a key management protocol of an authenticated client / server architecture. At this time, the digital certificate-based terminal device authentication may be added to the key management protocol to further strengthen the function of the basic security mechanism.
단말 기본성능 협상(SBC-REQ/RSP)이 진행되는 동안, 이동국에서 보안기능을 제공하지 않으면 인증 및 키 교환절차는 생략된다. 그리고, 특정 이동국이 인증 기능을 지원하지 않는 이동국으로 등록이 되었을 경우라도 기지국은 이동국의 권한이 검증되었다고 간주할 수 있다. 특정 이동국에서 보안 기능을 지원하지 않으면, 해당 이동국에는 보안 서비스가 제공되지 않기 때문에 키 교환이나 데이터 암호화 기능을 수행하지 않는다.During the SBC-REQ / RSP, authentication and key exchange procedures are omitted if the mobile station does not provide security. And even when a specific mobile station is registered as a mobile station that does not support the authentication function, the base station can consider that the authority of the mobile station has been verified. If a particular mobile station does not support a security function, the mobile station does not provide a security service and thus does not perform a key exchange or data encryption function.
보안 부계층은 캡슐화(encapsulation) 프로토콜 및 키 관리 프로토콜(PKM)로 구성된다. 캡슐화 프로토콜은 광대역 무선 네트워크에서 패킷 데이터의 보안을 위한 프로토콜로서, 데이터 암호화 및 데이터 인증 알고리즘과 같은 암호화 슈트(cyptographic Suites)를 나타내는 집합과 MAC PDU 페이로트에 이러한 알고리즘을 적용시키는 방법을 제공한다. 키 관리 프로토콜은 기지국에서 단말로 키 관련 데이터를 안전하게 분배하는 방법을 제공하는 프로토콜이다. 기지국 및 단말은 키관리 프로토콜을 이용하여 키 관련 데이터를 안전하게 분배하는 방법을 제공할 수 있다. 키 관리 프로토콜을 이용하면 단말과 기지국 사이에는 키 관련 데이터를 공 유할 수 있으며, 기지국에서는 네트워크 접근을 제어할 수 있다.The security sublayer consists of an encapsulation protocol and a key management protocol (PKM). The encapsulation protocol is a protocol for the security of packet data in a broadband wireless network. The encapsulation protocol provides a method for applying such an algorithm to a set representing a cryptographic suite such as data encryption and data authentication algorithms and a MAC PDU payload. The key management protocol is a protocol that provides a method for securely distributing key related data from a base station to a terminal. The base station and the terminal may provide a method for securely distributing key related data using a key management protocol. By using the key management protocol, key-related data can be shared between the terminal and the base station, and the base station can control the network access.
본 발명은 상기한 바와 같은 일반적인 기술의 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 안전하게 보안관련 정보를 공유하는 방법을 제공하는 것이다.The present invention has been made to solve the problems of the general technology as described above, an object of the present invention is to provide a method for securely sharing security-related information.
본 발명의 다른 목적은 단말기본성능 협상시 사용되는 메시지들(예를 들어, SBC-REQ/SBC-RSP)을 안전하게 교환하는 방법을 제공하는 것이다.Another object of the present invention is to provide a method for securely exchanging messages (eg, SBC-REQ / SBC-RSP) used in terminal capability negotiation.
본 발명의 또 다른 목적은 기지국 및 이동국이 인가절차가 수행되기 전에 보안관련 정보를 송수신하는 방법을 제공하는 것이다.It is still another object of the present invention to provide a method for a base station and a mobile station to transmit and receive security related information before an authorization procedure is performed.
본 발명의 또 다른 목적은 기지국 및 이동국이 인가절차 이전에 보안관련 정보들을 공유함으로써, SBC 교환 절차 및 메시지에 포함되는 정보의 오버헤드를 줄이는 것이다.It is another object of the present invention to reduce the overhead of information contained in the SBC exchange procedure and message by sharing security-related information before the base station and mobile station.
상기의 기술적 과제를 해결하기 위해, 본 발명은 무선접속 시스템에서 안전하게 보안정보를 공유하기 위한 다양한 방법들을 개시한다.In order to solve the above technical problem, the present invention discloses various methods for securely sharing security information in a wireless access system.
본 발명의 일 양태로서 무선접속 시스템에서 보안관련 정보를 공유하는 방법은, 이동국에서 지원하는 제 1 보안협상 파라미터를 포함하는 제 1 메시지를 기지국으로 전송하는 단계와 기지국에서 지원하는 제 2 보안협상 파라미터를 포함하는 제 2 메시지를 수신하는 단계와 제 2 보안협상 파라미터를 이용하여 암호화된 기본성능요청(SBC-REQ) 메시지를 전송하는 단계와 제 2 보안협상 파라미터를 이용하여 암호화된 기본성능응답(SBC-RSP) 메시지를 수신하는 단계를 포함할 수 있다.In one aspect of the present invention, a method for sharing security-related information in a wireless access system includes transmitting a first message including a first security negotiation parameter supported by a mobile station to a base station and a second security negotiation parameter supported by the base station. Receiving a second message comprising the step of transmitting a basic performance request (SBC-REQ) encrypted using the second security negotiation parameters and the basic performance response (SBC) encrypted using the second security negotiation parameters -RSP) message may be received.
이때, 제 1 메시지는 연결식별자 및 확장인증프로토콜(EAP) 인증타입 필드를 더 포함할 수 있다. 또한, 제 2 보안협상파라미터는 기지국에서 지원하는 메시지 기밀성 모드 파라미터를 포함하고, 메시지 기밀성 모드 파라미터는 특정 메시지가 선택적으로 보호되는지 여부를 나타낼 수 있다.In this case, the first message may further include a connection identifier and an extended authentication protocol (EAP) authentication type field. In addition, the second security negotiation parameter may include a message confidentiality mode parameter supported by the base station, and the message confidentiality mode parameter may indicate whether a specific message is selectively protected.
상기 본 발명의 일 양태에서 제 1 메시지는 레인징 요청(RNG-REQ) 메시지이고, 제 2 메시지는 레인징 응답(RNG-RSP) 메시지일 수 있다. 또는, 제 1 메시지는 보안성능요청(SSC-REQ) 메시지이고, 제 2 메시지는 보안성능응답(SSC-RSP) 메시지일 수 있다.In an aspect of the present invention, the first message may be a ranging request (RNG-REQ) message, and the second message may be a ranging response (RNG-RSP) message. Alternatively, the first message may be a security performance request (SSC-REQ) message, and the second message may be a security performance response (SSC-RSP) message.
본 발명의 다른 양태로서 무선접속 시스템에서 보안관련 정보를 공유하는 방법은, 이동국에서 지원하는 제 1 보안협상 파라미터를 포함하는 제 1 메시지를 상기 이동국으로부터 수신하는 단계와 기지국에서 지원하는 제 2 보안협상 파라미터를 포함하는 제 2 메시지를 이동국으로 전송하는 단계와 제 2 보안협상 파라미터를 이용하여 암호화된 기본성능요청(SBC-REQ) 메시지를 수신하는 단계와 제 2 보안협상 파라미터를 이용하여 암호화된 기본성능응답(SBC-RSP) 메시지를 전송하는 단계를 포함할 수 있다.In another aspect of the present invention, a method for sharing security-related information in a wireless access system includes receiving a first message from the mobile station, the first message including a first security negotiation parameter supported by the mobile station, and a second security negotiation supported by the base station. Transmitting a second message comprising parameters to the mobile station; receiving an SBC-REQ message encrypted using the second security negotiation parameter; and basic performance encrypted using the second security negotiation parameter. Sending a response (SBC-RSP) message.
이때, 제 1 메시지는 연결식별자 및 확장인증프로토콜(EAP) 인증타입 필드를 더 포함할 수 있다. 또한, 제 2 보안협상파라미터는 기지국에서 지원하는 메시지 기밀성 모드 파라미터를 포함하고, 메시지 기밀성 모드 파라미터는 특정 메시지가 선택적으로 보호되는지 여부를 나타낼 수 있다.In this case, the first message may further include a connection identifier and an extended authentication protocol (EAP) authentication type field. In addition, the second security negotiation parameter may include a message confidentiality mode parameter supported by the base station, and the message confidentiality mode parameter may indicate whether a specific message is selectively protected.
상기 본 발명의 다른 양태에서 제 1 메시지는 레인징 요청(RNG-REQ) 메시지이고, 제 2 메시지는 레인징 응답(RNG-RSP) 메시지일 수 있다. 또는, 제 1 메시지는 보안성능요청(SSC-REQ) 메시지이고, 제 2 메시지는 보안성능응답(SSC-RSP) 메시지일 수 있다.In another aspect of the present invention, the first message may be a ranging request (RNG-REQ) message, and the second message may be a ranging response (RNG-RSP) message. Alternatively, the first message may be a security performance request (SSC-REQ) message, and the second message may be a security performance response (SSC-RSP) message.
본 발명의 실시예들에 따르면 다음과 같은 효과가 있다.According to the embodiments of the present invention, the following effects are obtained.
첫째, 본 발명의 실시예들을 이용함으로써, 이동국 및 기지국은 보안관련 정보를 안전하게 공유할 수 있다.First, by using embodiments of the present invention, mobile stations and base stations can securely share security-related information.
둘째, 본 발명의 실시예들을 통해, 단말기본성능 메시지(SBC-REQ/SBC-RSP)들을 안전하게 교환할 수 있다.Second, through the embodiments of the present invention, it is possible to securely exchange terminal performance message (SBC-REQ / SBC-RSP).
셋째, 기지국 및 이동국은 인가절차가 수행되기 이전에 보안관련 정보를 교환함으로써, 안전하게 기본성능 메시지들을 교환할 수 있다.Third, the base station and the mobile station can securely exchange basic performance messages by exchanging security related information before the authorization procedure is performed.
넷째, 기지국 및 이동국은 인가절차 이전에 보안관련 정보들을 공유함으로써, SBC 교환 절차 및 메시지에 포함되는 정보의 오버헤드를 줄일 수 있다.Fourth, the base station and the mobile station can share the security-related information prior to the authorization procedure, thereby reducing the overhead of the information contained in the SBC exchange procedure and message.
본 발명은 무선접속 시스템에 관한 것이다. 이하에서는 본 발명의 실시예들로서 무선접속 시스템에서 안전하게 보안정보를 공유하기 위한 다양한 방법들을 개시한다.The present invention relates to a wireless access system. Hereinafter, as various embodiments of the present invention, various methods for securely sharing security information in a wireless access system are disclosed.
이하의 실시예들은 본 발명의 구성요소들과 특징들을 소정 형태로 결합한 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려될 수 있다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성할 수도 있다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다.The following embodiments are a combination of elements and features of the present invention in a predetermined form. Each component or feature may be considered to be optional unless otherwise stated. Each component or feature may be implemented in a form that is not combined with other components or features. In addition, some of the elements and / or features may be combined to form an embodiment of the present invention. The order of the operations described in the embodiments of the present invention may be changed. Some configurations or features of certain embodiments may be included in other embodiments, or may be replaced with corresponding configurations or features of other embodiments.
도면에 대한 설명에서, 본 발명의 요지를 흐릴 수 있는 절차 또는 단계 등은 기술하지 않았으며, 당업자의 수준에서 이해할 수 있을 정도의 절차 또는 단계는 또한 기술하지 아니하였다.In the description of the drawings, procedures or steps which may obscure the gist of the present invention are not described, and procedures or steps that can be understood by those skilled in the art are not described.
본 명세서에서 본 발명의 실시예들은 기지국과 이동국 간의 데이터 송수신 관계를 중심으로 설명되었다. 여기서, 기지국은 이동국과 직접적으로 통신을 수행하는 네트워크의 종단 노드(terminal node)로서의 의미가 있다. 본 문서에서 기지국에 의해 수행되는 것으로 설명된 특정 동작은 경우에 따라서는 기지국의 상위 노드(upper node)에 의해 수행될 수도 있다.In the present specification, embodiments of the present invention have been described based on data transmission / reception relations between a base station and a mobile station. Here, the base station is meant as a terminal node of a network that directly communicates with a mobile station. The specific operation described as performed by the base station in this document may be performed by an upper node of the base station in some cases.
즉, 기지국을 포함하는 다수의 네트워크 노드들(network nodes)로 이루어지는 네트워크에서 단말과의 통신을 위해 수행되는 다양한 동작들은 기지국 또는 기지국 이외의 다른 네트워크 노드들에 의해 수행될 수 있다. 이때, '기지국'은 고정국(fixed station), Node B, eNode B(eNB), 억세스 포인트(access point) 등의 용어에 의해 대체될 수 있다. 또한, '이동국(MS: Mobile Station)'은 UE(User Equipment), SS(Subscriber Station), MSS(Mobile Subscriber Station), 이동 단말(Mobile Terminal) 또는 단말(Terminal) 등의 용어로 대체될 수 있다.That is, various operations performed for communication with a terminal in a network consisting of a plurality of network nodes including a base station may be performed by the base station or other network nodes other than the base station. In this case, the 'base station' may be replaced by terms such as a fixed station, a Node B, an eNode B (eNB), and an access point. In addition, the term 'mobile station' may be replaced with terms such as a user equipment (UE), a subscriber station (SS), a mobile subscriber station (MSS), a mobile terminal, or a terminal. .
또한, 송신단은 데이터 또는 음성 서비스를 전송하는 노드를 말하고, 수신단은 데이터 또는 음성 서비스를 수신하는 노드를 의미한다. 따라서, 상향링크에서는 단말이 송신단이 되고, 기지국이 수신단이 될 수 있다. 마찬가지로, 하향링크에서는 단말이 수신단이 되고, 기지국이 송신단이 될 수 있다.In addition, the transmitting end refers to a node transmitting data or voice service, and the receiving end refers to a node receiving data or voice service. Therefore, in uplink, a terminal may be a transmitting end and a base station may be a receiving end. Similarly, in downlink, a terminal may be a receiving end and a base station may be a transmitting end.
한편, 본 발명의 이동 단말로는 PDA(Personal Digital Assistant), 셀룰러폰, PCS(Personal Communication Service)폰, GSM(Global System for Mobile)폰, WCDMA(Wideband CDMA)폰, MBS(Mobile Broadband System)폰 등이 이용될 수 있다.On the other hand, the mobile terminal of the present invention PDA (Personal Digital Assistant), cellular phone, PCS (Personal Communication Service) phone, GSM (Global System for Mobile) phone, WCDMA (Wideband CDMA) phone, MBS (Mobile Broadband System) phone And the like can be used.
본 발명의 실시예들은 다양한 수단을 통해 구현될 수 있다. 예를 들어, 본 발명의 실시예들은 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다.Embodiments of the invention may be implemented through various means. For example, embodiments of the present invention may be implemented by hardware, firmware, software, or a combination thereof.
하드웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.In the case of a hardware implementation, the method according to embodiments of the present invention may include one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs). Field programmable gate arrays (FPGAs), processors, controllers, microcontrollers, microprocessors, and the like.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예들에 따른 방법은 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차 또는 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리 유닛에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리 유닛은 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.In the case of an implementation by firmware or software, the method according to the embodiments of the present invention may be implemented in the form of a module, a procedure, or a function that performs the functions or operations described above. The software code may be stored in a memory unit and driven by a processor. The memory unit may be located inside or outside the processor, and may exchange data with the processor by various known means.
본 발명의 실시예들은 무선 접속 시스템들인 IEEE 802 시스템, 3GPP 시스템, 3GPP LTE 시스템 및 3GPP2 시스템 중 적어도 하나에 개시된 표준 문서들에 의해 뒷받침될 수 있다. 즉, 본 발명의 실시예들 중 본 발명의 기술적 사상을 명확히 드러내기 위해 설명하지 않은 단계들 또는 부분들은 상기 문서들에 의해 뒷받침될 수 있다. 또한, 본 문서에서 개시하고 있는 모든 용어들은 상기 표준 문서에 의해 설명될 수 있다. 특히, 본 발명의 실시예들은 IEEE 802.16 시스템의 표준 문서인 P802.16-2004, P802.16e-2005 및 P802.16Rev2 문서들 중 하나 이상에 의해 뒷받침될 수 있다.Embodiments of the present invention may be supported by standard documents disclosed in at least one of the wireless access systems IEEE 802 system, 3GPP system, 3GPP LTE system and 3GPP2 system. That is, steps or parts which are not described to clearly reveal the technical spirit of the present invention among the embodiments of the present invention may be supported by the above documents. In addition, all terms disclosed in the present document can be described by the above standard document. In particular, embodiments of the present invention may be supported by one or more of the standard documents P802.16-2004, P802.16e-2005, and P802.16Rev2 documents of the IEEE 802.16 system.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 또한, 본 발명의 실시예들에서 사용되는 특정(特定) 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The following detailed description, together with the accompanying drawings, is intended to illustrate exemplary embodiments of the invention and is not intended to represent the only embodiments in which the invention may be practiced. In addition, specific terms used in the embodiments of the present invention are provided to help the understanding of the present invention, and the use of the specific terms may be changed into other forms without departing from the technical spirit of the present invention. .
도 1은 이동국 및 기지국에서 기본능력을 협상하는 과정의 일례를 나타내는 도면이다.1 is a diagram illustrating an example of a process of negotiating basic capabilities in a mobile station and a base station.
초기 네트워크 진입시, 이동국(MS, 또는 가입자 단말(SS: Subscribe Station))은 초기 레인징을 수행하기 위해 기지국으로 레인징 요청(RNG-REQ) 메시 지를 전송할 수 있다. 이때, 레인징 요청 메시지는 0x0000으로 표기된 연결식별자(CID: Connection ID) 및 이동국의 매체접근제어 주소(MAC Addr.:Medium Access Control Address)를 포함할 수 있다(S110).Upon initial network entry, a mobile station (MS, or subscriber station (SS)) may transmit a ranging request (RNG-REQ) message to the base station to perform initial ranging. In this case, the ranging request message may include a connection identifier (CID) denoted by 0x0000 and a medium access control address (MAC Addr.) Of the mobile station (S110).
기지국(BS: Base Station)은 레인징 요청 메시지에 대한 응답으로 레인징 응답(RNG-RSP) 메시지를 이동국에 전송할 수 있다. 이때, 레인징 응답 메시지는 0x0000으로 표기된 연결식별자 및 이동국의 매체접근제어 주소, 기본 CID 및 주 MNG CID(Primary MNG CID)를 포함할 수 있다(S120).A base station (BS) may transmit a ranging response (RNG-RSP) message to the mobile station in response to the ranging request message. In this case, the ranging response message may include a connection identifier indicated by 0x0000, a medium access control address of the mobile station, a primary CID, and a primary MNG CID (S120).
S110 단계 및 S120 단계를 통해, 이동국은 하향링크 채널을 스캔할 수 있으며, 기지국과 하향링크 동기를 맞출 수 있다. 또한, 이동국은 RNG-RSP 메시지를 통해 상향링크 파라미터를 획득할 수 있다. 또한, 이동국 및 기지국은 기본능력을 협상하고, 인가절차를 수행할 수 있다.Through steps S110 and S120, the mobile station can scan the downlink channel and synchronize downlink with the base station. In addition, the mobile station can obtain an uplink parameter through the RNG-RSP message. In addition, the mobile station and the base station can negotiate basic capabilities and perform an authorization procedure.
도 1을 참조하면, 이동국(MS: Mobile Station)은 인가절차가 완료된 후, 주 MNG 연결 식별자(Primary MNG CID)를 포함하는 등록 요청(REG-REQ) 메시지를 기지국(BS: Base Station)으로 전송한다(S130).Referring to FIG. 1, a mobile station (MS) transmits a registration request (REG-REQ) message including a primary MNG CID to a base station (BS) after completion of an authorization procedure. (S130).
기지국은 주 MNG 연결 식별자(primary MNG CID) 및/또는 부 MNG 연결 식별자(secondary MNG CID)를 포함하는 등록 응답(REG-RSP) 메시지를 이동국에 전송한다(S140).The base station transmits a registration response (REG-RSP) message including a primary MNG connection identifier (primary MNG CID) and / or a secondary MNG connection identifier (secondary MNG CID) to the mobile station (S140).
이동국은 기지국으로부터 구성 파일을 성공적으로 수신하면, TFTP-CPLT(config File TFTP complete) 메시지를 기지국으로 전송한다. TFTP-CPLT 메시지는 이동국이 초기화를 완료하여 서비스를 수신할 준비가 되어있음을 기지국에 알 리기 위해 사용된다(S160).When the mobile station successfully receives the configuration file from the base station, it sends a TFTP-CPLT (config file TFTP complete) message to the base station. The TFTP-CPLT message is used to inform the base station that the mobile station has completed initialization and is ready to receive a service (S160).
기지국은 TFTP-CLPT 메시지에 대한 응답으로 이동국에 TFTP-RSP 메시지를 전송한다(S170). 이동국은 기지국으로부터 서비스를 수신하고, 기지국과 통신을 수행한다.The base station transmits the TFTP-RSP message to the mobile station in response to the TFTP-CLPT message (S170). The mobile station receives the service from the base station and communicates with the base station.
도 2는 초기 네트워크 진입 과정의 레인징 절차 및 기본능력 협상 절차를 나타내는 도면이다.2 is a diagram illustrating a ranging procedure and a basic capability negotiation procedure of an initial network entry process.
이동국(또는, 가입자 단말)은 네트워크 초기화시에 전력 및/또는 하향링크 버스트 프로파일(DL burst profile)을 요청하기 위해 레인징 요청(RNG-REQ) 메시지를 기지국으로 전송할 수 있다(S210).The mobile station (or subscriber station) may transmit a ranging request (RNG-REQ) message to the base station to request a power and / or downlink burst profile (DL burst profile) at network initialization (S210).
다음 표 1은 레인징 요청 메시지 포맷의 일례를 나타낸다.Table 1 below shows an example of a ranging request message format.
레인징 요청 메시지에 포함되는 대부분의 파라미터들은 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. 본 발명의 실시예들에서, 레인징 요청 메시지에 포함되는 파라미터들은 IEEE 802.16 스팩 문서들을 참조할 수 있다.Most of the parameters included in the ranging request message may be encoded in the form of a TLV tuple. In embodiments of the present invention, parameters included in the ranging request message may refer to IEEE 802.16 specification documents.
기지국은 레인징 요청 메시지에 대한 응답으로 레인징 응답 메시지를 이동국에 전송할 수 있다. 또한, 레인징 응답 메시지는 다른 수신된 데이터 또는 MAC 메시지를 기반으로 측정된 값에 따른 보정값들을 전달하기 위해 비동기적으로 전송될 수 있다(S220).The base station may send the ranging response message to the mobile station in response to the ranging request message. In addition, the ranging response message may be asynchronously transmitted to deliver correction values according to the measured value based on other received data or MAC message (S220).
다음 표 2는 레인징 응답 메시지 포맷의 일례를 나타낸다.Table 2 below shows an example of a ranging response message format.
레인징 응답 메시지에 포함되는 대부분의 파라미터는 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. 본 발명의 실시예들에서, 레인징 요청 메시지에 포함되는 파라미터들은 IEEE 802.16 스팩 문서들을 참조할 수 있다. 다만, 레인징 응답 메시지에는 레인징 상태(Ranging Status) 파라미터는 반드시 포함되어야 한다.Most parameters included in the ranging response message may be encoded in the form of a TLV tuple. In embodiments of the present invention, parameters included in the ranging request message may refer to IEEE 802.16 specification documents. However, the ranging response message must include a ranging status parameter.
이동국은 기지국에 진입하기 위한 초기화 단계에서 기본성능요청 메시지(SBC-REQ: SS Basic Capability Request)를 기지국으로 전송할 수 있다(S230).The mobile station may transmit a basic performance request message (SBC-REQ: SS Basic Capability Request) to the base station in an initialization step for entering the base station (S230).
다음 표 3은 기본성능요청 메시지 포맷의 일례를 나타낸다.Table 3 below shows an example of the basic performance request message format.
기본성능요청 메시지에 포함되는 대부분의 파라미터는 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. SBC-REQ 메시지에는 기본 연결식별자(Basic CID), 서비스 정보 요청(Service Information Query) 필드, 물리적 파라미터 지원(Physical Parameters Supported) 필드, MAC PDU의 구성 및 전송을 위한 성능(Capabilities for Construction and Transmission of MAC PDUs) 필드, 보안협상파라미터(Security Negotiation Parameters), 방문 NSP 식별자(Visited NSP ID), 확장인증프로토콜 인증타입(Auth Type for EAP) 필드 및 MIH 성능지원(MIH Capability Supported) 필드, 확장된 성능 SDU MTH 능력(Extended Capability SDU MTH Capability) 필드 및 하향링크 조정 영역 성능(DL Coordinated Zone Capability) 필드 중 하나 이상이 포함될 수 있다.Most of the parameters included in the basic performance request message may be encoded in the form of a TLV tuple. SBC-REQ messages include the Basic CID, the Service Information Query field, the Physical Parameters Supported field, and the Capabilities for Construction and Transmission of MAC. PDUs field, Security Negotiation Parameters, Visited NSP ID, Auth Type for EAP field, and MIH Capability Supported field, Extended Performance SDU MTH One or more of an Extended Capability SDU MTH Capability field and a DL Coordinated Zone Capability field may be included.
기지국은 SBC-REQ 메시지에 대한 응답으로서, 기본성능응답(SBC-RSP: SS Basic Capability Response) 메시지를 이동국에 전송할 수 있다(S240).The base station may transmit an SSBC basic capability response (SBC-RSP) message to the mobile station as a response to the SBC-REQ message (S240).
다음 표 4는 기본성능응답 메시지 포맷의 일례를 나타낸다.Table 4 below shows an example of the basic performance response message format.
기본성능응답 메시지에 포함되는 대부분의 파라미터는 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. SBC-RSP 메시지는 연결식별자(CID), 서비스 데이터 유닛 MTU 성능(SDU MTU Capability) 필드, 물리적 파라미터 지원(Physical Parameters Supported) 필드, 대역폭 할당 지원(Bandwidth Allocation Support) 필드, 보안협상파라미터(Security Negotiation Parameters), HMAC/CMAC 튜플, 최대 지원 가능한 보안 연계 개수(Maximum number of supported security association) 필드, NSP 리스트 및 MIH 성능 지원 필드 중 하나 이상을 포함할 수 있다.Most of the parameters included in the basic performance response message may be encoded in the form of a TLV tuple. SBC-RSP messages include the CID, the Service Data Unit MTU Capability field, the Physical Parameters Supported field, the Bandwidth Allocation Support field, and the Security Negotiation Parameters. ), One or more of an HMAC / CMAC tuple, a maximum number of supported security association fields, an NSP list, and a MIH performance support field.
도 1 및 도 2를 참조하면, 이동국 및 기지국은 인가절차를 수행하기 전에 기본능력협상을 수행할 수 있다. 따라서, 기본능력협상을 위한 메시지(예를 들어, SBC-REQ/SBC-RSP)들이 안전하게 교환되지 못하는 문제가 발생할 수 있다. 즉, 기지국 및 이동국은 SBC 메시지를 안전하게 송수신하기 위해서는 보안관련 정보를 인가절차 이전에 교환하는 것이 필요하다.1 and 2, the mobile station and the base station may perform the basic capability negotiation before performing the authorization procedure. Therefore, a problem may occur that messages for basic capability negotiation (eg, SBC-REQ / SBC-RSP) cannot be securely exchanged. That is, the base station and the mobile station need to exchange security-related information prior to the authorization procedure in order to securely transmit and receive the SBC message.
도 3은 본 발명의 일 실시예로서, 보안관련 정보를 공유하는 방법 중 하나를 나타내는 도면이다.3 is a diagram illustrating one method of sharing security related information according to an embodiment of the present invention.
IEEE 802.16m 시스템은 이동국 및 기지국 사이에서 안전한 SBC 협상기능을 지원하는 것을 목표로 한다. 이를 위해, 초기단계(e.g. 네트워크 진입 등)에서 인가절차가 SBC 교환 이전에 이루어져야 하고, 보안관련 정보가 인가절차가 수행되기 전에 이동국 및 기지국 사이에서 공유되는 것이 바람직하다. 따라서, 본 발명의 실시예에서는 인가절차가 시작되기 전에 이동국 및 기지국 사이에서 보안관련 정보를 공유하기 위한 방법을 개시한다.The IEEE 802.16m system aims to support a secure SBC negotiation function between a mobile station and a base station. For this purpose, in the initial stage (e.g. network entry, etc.), the authorization procedure should be made before the SBC exchange, and it is preferable that security-related information is shared between the mobile station and the base station before the authorization procedure is performed. Accordingly, embodiments of the present invention disclose a method for sharing security related information between a mobile station and a base station before the authorization process begins.
도 3에서 기지국 및 이동국 간의 레인징 절차는 도 1 및 도 2의 레인징 절차와 유사하다. 따라서, S310 단계 및 S320 단계는 도 1 및 도 2의 설명을 참조할 수 있다.In FIG. 3, the ranging procedure between the base station and the mobile station is similar to the ranging procedure of FIGS. 1 and 2. Therefore, steps S310 and S320 may refer to the description of FIGS. 1 and 2.
본 발명의 실시예에서는 인가절차 이전에 본안관련 정보를 공유하기 위해 새로운 메시지들을 정의한다. 예를 들어, SBC-REQ/SBC-RSP 메시지에 포함되는 정보 중에서 보안관련 정보들을 교환하기 위한 새로운 메시지로서 단말보안성능요청(SSC-REQ: SS Security Capability request) 메시지 및 단말보안성능응답(SSC-RSP: SS Security Capability response) 메시지를 정의할 수 있다.In the embodiment of the present invention, new messages are defined to share the subject-related information before the authorization procedure. For example, as a new message for exchanging security related information among information included in the SBC-REQ / SBC-RSP message, an SS Security Capability request (SSC-REQ) message and a SSC- You can define an RSP: SS Security Capability response message.
도 3을 참조하면, 이동국은 기지국으로 보안관련 정보를 요청하기 위해 SSC-REQ(SS Security Capability request) 메시지를 전송할 수 있다(S330).Referring to FIG. 3, the mobile station can transmit an SS Security Capability Request (SSC-REQ) message to request security related information to the base station (S330).
다음 표 5는 SSC-REQ 메시지 포맷의 일례를 나타낸다.Table 5 below shows an example of the SSC-REQ message format.
표 5를 참조하면, SSC-REQ 메시지에 포함되는 대부분의 파라미터는 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. 이때, SSC-REQ 메시지는 연결식별자(CID), 보안협상파라미터(Security Negotiation Parameters) 및 EAP(Extensible Authentication Protocol) 인증타입(Auth Type for EAP) 필드 중 하나 이상을 포함할 수 있다.Referring to Table 5, most parameters included in the SSC-REQ message may be encoded in the form of a TLV tuple. In this case, the SSC-REQ message may include at least one of a connection identifier (CID), a security negotiation parameter (Security Negotiation Parameters), and an Extensible Authentication Protocol (EAP) Auth Type for EAP field.
다음 표 6은 EAP를 위한 인증타입 필드 포맷의 일례를 나타낸다.Table 6 below shows an example of an authentication type field format for EAP.
Only one of the bit indicators, bit #0 of bit #1 of Auth Type for Single EAP shall be set to a value of '1'.
Bit #0: device authentication
Bit #1: user authentication
Bit #2-#7: reservedAuth type for single EAP shall only be included when bit # 1 of MS Auth Policy support (see 11.8.4.2) has a value of '1'.
Only one of the bit indicators, bit # 0 of bit # 1 of Auth Type for Single EAP shall be set to a value of '1'.
Bit # 0: device authentication
Bit # 1: user authentication
Bit # 2- # 7: reserved
표 6을 참조하면, 이동국 인가정책지원(MS Auth Policy Support) 필드의 비트 1(bit #1)의 값이 '1'인 경우에만 EAP를 위한 인증타입 필드가 SSC-REQ(또는, SBC-REQ) 메시지에 포함될 수 있다. 표 6에서 EAP를 위한 인증타입 필드의 비트 0(Bit #0)은 기기 인증(Device Authentication)을 나타내고, 비트 1(Bit #1)은 사용자 인증(User Authentication)을 나타낸다. 나머지 비트값을 예약된 값이다.Referring to Table 6, the authentication type field for EAP is SSC-REQ (or SBC-REQ) only when the value of bit # 1 of the MS Auth Policy Support field is '1'. ) May be included in the message. In Table 6, bit 0 (Bit # 0) of the authentication type field for EAP represents device authentication, and bit 1 (Bit # 1) represents user authentication. The remaining bit values are reserved values.
다시 도 3을 참조하면, 기지국은 SSC-REQ 메시지에 대한 응답으로서 기지국에서 제공하는 보안관련 정보를 포함하는 SSC-RSP 메시지를 이동국에 전송할 수 있다(S340).Referring back to FIG. 3, the base station may transmit an SSC-RSP message including security related information provided by the base station as a response to the SSC-REQ message to the mobile station (S340).
다음 표 7은 SSC-RSP 메시지 포맷의 일례를 나타낸다.Table 7 below shows an example of the SSC-RSP message format.
표 7을 참조하면, SSC-RSP 메시지에 포함되는 대부분의 파라미터는 TLV 튜플(TLV Tuple)의 형태로 부호화될 수 있다. SSC-RSP 메시지는 기지국에서 제공하는 연결 식별자(CID) 및 기지국에서 제공하는 보안협상파라미터(Security Negotiation Parameters) 중 하나 이상을 포함할 수 있다.Referring to Table 7, most parameters included in the SSC-RSP message may be encoded in the form of a TLV tuple. The SSC-RSP message may include one or more of a connection identifier (CID) provided by the base station and a security negotiation parameter (Security Negotiation Parameters) provided by the base station.
이하에서는 본 발명의 실시예들에서 사용되는 보안협상 파라미터에 대하여 설명한다. 다음 표 8은 보안협상 파라미터(Security Negotiation Parameter)의 일례를 나타낸다.Hereinafter, security negotiation parameters used in the embodiments of the present invention will be described. Table 8 below shows an example of a security negotiation parameter.
SBC-RSP,
SSC-REQ,
SSC-RSPSBC-REQ,
SBC-RSP,
SSC-REQ,
SSC-RSP
표 8의 보안협상 파라미터는 표 9와 같은 부속성을 포함한다. 다음 표 9는 보안 협상 파라미터의 부속성(sub-attribute)을 나타낸다.The security negotiation parameters in Table 8 contain the appendages shown in Table 9. Table 9 below shows sub-attributes of security negotiation parameters.
표 9를 참조하면 보안협상 파라미터는 PKM(Privacy Key Management) 버젼 지원(PKM version Support) 파라미터, 인증 정책 지원 파라미터(Authorization Policy Support), 메시지 인증 코드 모드(Message Authentication Code Mode) 파라미터, 메시지 기밀모드(Message Confidentiality Mode) 파라미터, 수신기의 보안연계 식별자(SAID) 당 PN 윈도우의 크기를 나타내는 PN 윈도우 크기(PN Window Size) 파라미터, 동시에 수행되는 PKM의 최대 횟수를 나타내는 PKM 플로우 제어(PKM Flow Control) 파라미터 및 지원되는 보안연계의 최대 개수(Maximum Number of supported security Association) 파라미터를 포함할 수 있다. 이때, 메시지 기밀모드 파라미터는 현재 무선 접속 시스템에서 지원할 수 있는 메시지 기밀성을 나타낸다.Referring to Table 9, the security negotiation parameters include PKM (Privacy Key Management) version support (PKM version support) parameters, Authentication Policy Support parameters, Message Authentication Code Mode parameters, and Message Confidential Mode ( Message Confidentiality Mode parameter, PN Window Size parameter indicating the size of PN window per receiver security association identifier (SAID), PKM Flow Control parameter indicating the maximum number of simultaneous PKMs, and It may include a maximum number of supported security association parameters. In this case, the message confidentiality mode parameter indicates a message confidentiality that can be supported by the current wireless access system.
다음 표 10은 PKM 버전 지원 파라미터 포맷의 일례를 나타낸다.Table 10 below shows an example of the PKM version support parameter format.
Bit 1: PKM version 2
Bit 2: PKM version 3
Bits 3-7: Reserved, shall be set to zeroBit 0: PKM version 1
Bit 1: PKM version 2
Bit 2: PKM version 3
Bits 3-7: Reserved, shall be set to zero
표 10을 참조하면, 본 발명의 실시예들은 PKM 버전 3(PKM version 3)을 지원하는 경우를 가정한다. 다만, PKM 버전 3 이외에 PKM 버전 2 또는 PKM 버전 1을 사용할 수도 있다.Referring to Table 10, it is assumed that embodiments of the present invention support PKM version 3. However, PKM version 2 or PKM version 1 may be used in addition to PKM version 3.
다음 표 11은 메시지 기밀모드(Message Confidentiality Mode) 파라미터 포맷의 일례를 나타낸다.Table 11 below shows an example of a message confidential mode mode parameter format.
Bit 1: Selective Message Confidentiality
Bits 2-7: Reserved. Shall be set to zeroBit 0: No Message Confidentiality
Bit 1: Selective Message Confidentiality
Bits 2-7: Reserved. Shall be set to zero
메시지 기밀모드 파라미터는 해당 메시지에 대한 선택적인 기밀성이 제공되는지 여부를 나타낼 수 있다. 표 11을 참조하면, 메시지 기밀모드 파라미터가 '0'으로 설정되면 메시지 기밀모드가 지원되지 않는 것을 나타내고, '1'로 설정되면 선택적인 메시지 기밀모드를 지원하는 것을 나타낼 수 있다. 이동국은 하나 이상의 기밀성 보호모드를 지원할 수 있으며, S330 단계와 같이 기지국으로 SBC-REQ 메시지를 전송함으로써 이동국에서 지원 가능한 메시지 기밀모드를 알릴 수 있다. 또한, 기지국은 S340 단계에서 보안협상 파라미터를 포함하는 SSC-RSP 메시지를 전송함으로써, 기지국에서 지원 가능한 메시지 기밀모드를 이동국에 알릴 수 있다.The message confidentiality mode parameter may indicate whether selective confidentiality for the message is provided. Referring to Table 11, if the message confidential mode parameter is set to '0', it may indicate that the message confidential mode is not supported, and if it is set to '1', it may indicate that the optional message confidential mode is supported. The mobile station may support one or more confidentiality protection modes, and may inform the message confidentiality mode supported by the mobile station by transmitting the SBC-REQ message to the base station in step S330. In addition, the base station transmits the SSC-RSP message including the security negotiation parameter in step S340, it can inform the mobile station of the message confidential mode that can be supported by the base station.
S330 단계 및 S340 단계를 통해 이동국 및 기지국은 서로 지원하는 보안관련 파라미터들을 식별하고 공유할 수 있다. 이를 기반으로 이동국 및 기지국은 인가절차를 수행할 수 있다. 인가절차의 결과로서, 이동국 및 기지국은 SBC 협상을 위한 키를 설정할 수 있다(S350).Through step S330 and step S340, the mobile station and the base station may identify and share security-related parameters supported by each other. Based on this, the mobile station and the base station may perform an authorization procedure. As a result of the authorization procedure, the mobile station and the base station may set a key for SBC negotiation (S350).
인가절차가 끝난 후, 이동국은 보안이 설정된 SBC-REQ 메시지를 기지국으로 전송하고, 기지국은 보안이 설정된 SBC-RSP 메시지를 이동국에 전송할 수 있다. 기지국 및 이동국은 보안이 설정된 SBC-REQ 메시지 및 SBC-RSP 메시지를 송수신함으로써 안전하게 기본능력을 협상할 수 있다(S360, S370).After the authorization procedure is completed, the mobile station may transmit the secured SBC-REQ message to the base station, and the base station may transmit the secured SBC-RSP message to the mobile station. The base station and the mobile station can securely negotiate the basic capability by transmitting and receiving secured SBC-REQ message and SBC-RSP message (S360, S370).
도 4는 본 발명의 다른 실시예로서, 보안관련 정보를 공유하는 방법 중 하나를 나타내는 도면이다.FIG. 4 is a diagram illustrating another method of sharing security related information according to another embodiment of the present invention.
도 4를 참조하면, 이동국은 기지국과의 초기 절차에서 SBC 메시지를 보호하기 위한 보안관련 정보를 공유할 수 있다. 예를 들어, 이동국은 보안협상파라미터 및 EAP를 위한 인증타입 필드를 포함하는 레인징 요청(RNG-REQ) 메시지를 기지국으로 전송할 수 있다(S410).Referring to FIG. 4, the mobile station may share security related information for protecting the SBC message in an initial procedure with the base station. For example, the mobile station may transmit a ranging request (RNG-REQ) message including a security negotiation parameter and an authentication type field for the EAP to the base station (S410).
기지국은 레인징 요청 메시지에 대한 응답으로 레인징 응답(RNG-RSP) 메시지를 이동국으로 전송할 수 있다. 이때, 기지국은 레인징 응답 메시지에 기지국에서 지원하는 보안협상파라미터를 포함하여 이동국에 전송함으로써, SBC 메시지들의 기밀성을 보호하기 위한 보안관련 정보를 공유할 수 있다(S420).The base station may send a ranging response (RNG-RSP) message to the mobile station in response to the ranging request message. At this time, the base station includes the security negotiation parameters supported by the base station in the ranging response message to transmit to the mobile station, thereby sharing the security-related information for protecting the confidentiality of the SBC messages (S420).
이동국과 기지국은 미리 SBC 메시지들의 기밀성을 보호하기 위한 보안관련 정보를 공유하고 있으므로, 이후 SBC 메시지들을 안전하게 송수신할 수 있다. 이때, 보안협상 파라미터들은 표 8 내지 표 11에서 설명한 보안협상 파라미터에 관한 내용을 참조할 수 있다.Since the mobile station and the base station share security-related information for protecting the confidentiality of the SBC messages in advance, the mobile station and the base station can transmit and receive SBC messages safely later. In this case, the security negotiation parameters may refer to the contents of the security negotiation parameters described in Tables 8 to 11.
즉, 이동국은 보안이 설정된 SBC-REQ 메시지를 기지국으로 전송하고, 기지국은 보안이 설정된 SBC-RSP 메시지를 이동국에 전송할 수 있다. 기지국 및 이동국은 보안이 설정된 SBC-REQ 메시지 및 SBC-RSP 메시지를 송수신함으로써 안전하게 기본능력을 협상할 수 있다(S430, S440).That is, the mobile station may transmit the secured SBC-REQ message to the base station, and the base station may transmit the secured SBC-RSP message to the mobile station. The base station and the mobile station can securely negotiate the basic capability by transmitting and receiving the secured SBC-REQ message and the SBC-RSP message (S430, S440).
상술한 바와 같이 본 발명의 실시예들은 안전한 SBC 협상을 보장하기 위해 일반적으로 사용되는 키 계층구조, 암호화 알고리즘 등의 변화없이 SBC-REQ 메시지 및 SBC-RSP 메시지를 암호화하는 방법을 개시한다. 즉, 본 발명의 실시예들은 인가절차 이전의 보안관련 정보의 공유를 위한 SSC-REQ 메시지 및 SSC-RSP 메시지를 정의하고, 교환방법을 제시한다.As described above, embodiments of the present invention disclose a method of encrypting an SBC-REQ message and an SBC-RSP message without changing the key hierarchy, encryption algorithm, etc. which are generally used to ensure secure SBC negotiation. That is, embodiments of the present invention define an SSC-REQ message and an SSC-RSP message for sharing security-related information prior to an authorization procedure, and propose an exchange method.
따라서, 본 발명의 실시예들은 SBC 협상이 투명하게 전송되어 기밀성이 훼손되는 보안상의 취약점을 방지할 수 있으며, SBC-REQ/RSP 메시지가 이동국과 기지국사이에서 안전하게 송수신될 수 있다. SBC-REQ 및 SBC-RSP 메시지는 이동국과 기지국간에 기본적으로 협상되어야 하는 정보를 공유할 수 있도록 해주므로, SBC-REQ 및 SBC-RSP 메시지에 대한 보호는 매체접속제어(MAC: Medium Access Control) 계층에서 반드시 제공되어야 하며, 이를 위한 보안관련 정보가 미리 공유되는 것이 바람직하다.Accordingly, embodiments of the present invention can prevent security vulnerabilities in which the SBC negotiation is transparently transmitted to compromise confidentiality, and SBC-REQ / RSP messages can be safely transmitted and received between the mobile station and the base station. Since SBC-REQ and SBC-RSP messages enable sharing of information that must be negotiated by default between the mobile station and the base station, protection for SBC-REQ and SBC-RSP messages is provided by the Medium Access Control (MAC) layer. It must be provided in, and it is preferable that security-related information for this is shared in advance.
본 발명의 실시예들은 SBC-REQ, RSP 메시지가 노출됨에 의해 발생하는 보안상의 위협을 차단하고, SBC를 통해 교환되는 정보 중 보안관련 정보들을 인가절차 이전에 별도로 공유함으로써, SBC 협상시 요구되는 메시지의 크기를 감소시킬 수 있다.Embodiments of the present invention block the security threat caused by the exposure of the SBC-REQ, RSP message, and by sharing the security-related information of the information exchanged through the SBC before the authorization process, the message required for SBC negotiation Can reduce the size.
본 발명의 또 다른 실시예로서, 상술한 본 발명의 실시예들이 수행되는 송신기 및 수신기를 설명한다.As another embodiment of the present invention, a transmitter and a receiver in which the above-described embodiments of the present invention are performed are described.
이동국은 상향링크에서는 송신기로 동작하고, 하향링크에서는 수신기로 동작할 수 있다. 또한, 기지국은 상향링크에서는 수신기로 동작하고, 하향링크에서는 송신기로 동작할 수 있다. 즉, 이동국 및 기지국은 정보 또는 데이터의 전송을 위해 송신기 및 수신기를 포함할 수 있다.The mobile station can operate as a transmitter in uplink and as a receiver in downlink. In addition, the base station may operate as a receiver in the uplink, and may operate as a transmitter in the downlink. That is, the mobile station and base station can include a transmitter and a receiver for the transmission of information or data.
송신기 및 수신기는 본 발명의 실시예들이 수행되기 위한 프로세서, 모듈, 부분 및/또는 수단 등을 포함할 수 있다. 특히, 송신기 및 수신기는 메시지를 암호화하기 위한 모듈(수단), 암호화된 메시지를 해석하기 위한 모듈, 메시지를 송수신하기 위한 안테나 등을 포함할 수 있다.The transmitter and receiver may include a processor, module, part, and / or means for carrying out the embodiments of the present invention. In particular, the transmitter and receiver may include a module (means) for encrypting the message, a module for interpreting the encrypted message, an antenna for transmitting and receiving the message, and the like.
본 발명의 실시예들에서 사용되는 이동국은 저전력 RF(Radio Frequency)/IF(Intermediate Frequency) 모듈을 포함할 수 있다. 또한, 이동국은 상술한 본 발명의 실시예들을 수행하기 위한 콘트롤러 기능, 서비스 특성 및 전파 환경에 따른 MAC(Medium Access Control) 프레임 가변 제어 기능, 핸드오버(Hand Over) 기능, 인증 및 암호화 기능, 데이터 전송을 위한 패킷 변복조 기능, 고속 패킷 채널 코딩 기능 및 실시간 모뎀 제어 기능 등을 수행하는 수단, 모듈 또는 부분 등을 포함할 수 있다.The mobile station used in embodiments of the present invention may include a low power radio frequency (RF) / intermediate frequency (IF) module. In addition, the mobile station may perform a controller function, a medium access control (MAC) frame variable control function, a handover function, authentication and encryption function, data according to a controller function, a service characteristic, and a propagation environment for performing the above-described embodiments of the present invention. Means, modules or parts for performing packet modulation and demodulation, high speed packet channel coding, and real-time modem control for transmission.
기지국은 상위 계층으로부터 수신한 데이터를 무선 또는 유선으로 이동국에 전송할 수 있다. 기지국은 저전력 RF(Radio Frequency)/IF(Intermediate Frequency) 모듈을 포함할 수 있다. 또한, 기지국은 상술한 본 발명의 실시예들을 수행하기 위한 콘트롤러 기능, 직교주파수분할다중접속(OFDMA: Orthogonal Frequency Division Multiple Access) 패킷 스케줄링, 시분할듀플렉스(TDD: Time Division Duplex) 패킷 스케줄링 및 채널 다중화 기능, 서비스 특성 및 전파 환경에 따른 MAC 프레임 가변 제어 기능, 고속 트래픽 실시간 제어 기능, 핸드 오버(Hand Over) 기능, 인증 및 암호화 기능, 데이터 전송을 위한 패킷 변복조 기능, 고속 패킷 채널 코딩 기능 및 실시간 모뎀 제어 기능 등을 수행하는 수단, 모듈 또는 부분 등을 포함할 수 있다.The base station may transmit data received from the upper layer to the mobile station wirelessly or by wire. The base station may include a low power radio frequency (RF) / intermediate frequency (IF) module. In addition, the base station is a controller function for performing the above-described embodiments of the present invention, orthogonal frequency division multiple access (OFDMA) packet scheduling, time division duplex (TDD) packet scheduling and channel multiplexing function MAC frame variable control function according to service characteristics and propagation environment, high speed traffic real time control function, hand over function, authentication and encryption function, packet modulation and demodulation function for data transmission, high speed packet channel coding function and real time modem control Means, modules or parts for performing functions and the like.
본 발명은 본 발명의 정신 및 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다. 또한, 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함할 수 있다.The invention can be embodied in other specific forms without departing from the spirit and essential features of the invention. Accordingly, the above detailed description should not be construed as limiting in all aspects and should be considered as illustrative. The scope of the invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention. In addition, the claims may be combined to form an embodiment by combining claims that do not have an explicit citation relationship or may be incorporated as new claims by post-application correction.
본 발명의 실시예들은 다양한 무선접속 시스템에 적용될 수 있다. 다양한 무선접속 시스템들의 일례로서, 3GPP(3rd Generation Partnership Project), 3GPP2 및/또는 IEEE 802.xx (Institute of Electrical and Electronic Engineers 802) 시스템 등이 있다. 본 발명의 실시예들은 상기 다양한 무선접속 시스템뿐 아니라, 상기 다양한 무선접속 시스템을 응용한 모든 기술 분야에 적용될 수 있다.Embodiments of the present invention can be applied to various wireless access systems. Examples of various radio access systems include 3rd Generation Partnership Project (3GPP), 3GPP2 and / or IEEE 802.xx (Institute of Electrical and Electronic Engineers 802) systems. Embodiments of the present invention can be applied not only to the various radio access systems, but also to all technical fields to which the various radio access systems are applied.
도 1은 이동국 및 기지국에서 기본능력을 협상하는 과정의 일례를 나타내는 도면이다.1 is a diagram illustrating an example of a process of negotiating basic capabilities in a mobile station and a base station.
도 2는 초기 네트워크 진입 과정의 레인징 절차 및 기본능력 협상 절차를 나타내는 도면이다.2 is a diagram illustrating a ranging procedure and a basic capability negotiation procedure of an initial network entry process.
도 3은 본 발명의 일 실시예로서, 보안관련 정보를 공유하는 방법 중 하나를 나타내는 도면이다.3 is a diagram illustrating one method of sharing security related information according to an embodiment of the present invention.
도 4는 본 발명의 다른 실시예로서, 보안관련 정보를 공유하는 방법 중 하나를 나타내는 도면이다.FIG. 4 is a diagram illustrating another method of sharing security related information according to another embodiment of the present invention.
Claims (10)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11399508P | 2008-11-12 | 2008-11-12 | |
US61/113,995 | 2008-11-12 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20100053407A true KR20100053407A (en) | 2010-05-20 |
Family
ID=42635154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090016279A KR20100053407A (en) | 2008-11-12 | 2009-02-26 | Method of sharing security information |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20100053407A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101425107B1 (en) * | 2010-10-29 | 2014-08-01 | 한국전자통신연구원 | Apparatus for sharing security information among network domains and method for the same |
-
2009
- 2009-02-26 KR KR1020090016279A patent/KR20100053407A/en not_active Application Discontinuation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101425107B1 (en) * | 2010-10-29 | 2014-08-01 | 한국전자통신연구원 | Apparatus for sharing security information among network domains and method for the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5479474B2 (en) | Selective control signal encryption method | |
JP5480890B2 (en) | Control signal encryption method | |
JP5175980B2 (en) | Position privacy support method | |
US8582771B2 (en) | Method for selectively encrypting control signal | |
US8738913B2 (en) | Method of deriving and updating traffic encryption key | |
WO2020248624A1 (en) | Communication method, network device, user equipment and access network device | |
US8707045B2 (en) | Method and apparatus for traffic count key management and key count management | |
KR101916034B1 (en) | Encryption method and apparatus for short data in wireless communications system | |
US11082843B2 (en) | Communication method and communications apparatus | |
KR102354093B1 (en) | Methods providing security for multiple nas connections using separate counts and related network nodes and wireless terminals | |
CN101405987A (en) | Asymmetric cryptography for wireless systems | |
WO2022134089A1 (en) | Method and apparatus for generating security context, and computer-readable storage medium | |
KR20050109685A (en) | Method and system for user authentication based on extensible authentication protocol coexisting with device authentication in portable internet system | |
US8738903B2 (en) | Method for identifying mobile station | |
KR101670743B1 (en) | Method and Apparatus for traffic count key management and key count management | |
CN114245372B (en) | Authentication method, device and system | |
KR20100053407A (en) | Method of sharing security information | |
KR101578004B1 (en) | Method of selective encrypting control signal using Flow Identifier | |
KR20100032277A (en) | Method of selective encrypting control signal using control field | |
KR101559784B1 (en) | Method of selective encrypting control signal | |
Siddiqui et al. | Security analysis of the WiMAX technology in Wireless Mesh networks | |
Elmubark et al. | New methods for TVWS database protocol | |
KR20100030610A (en) | Method of selective encrypting control signal | |
Castelluccia-INRIA | Securing 802.11 (WiFi) networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |