KR102422803B1 - D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법 - Google Patents

D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법 Download PDF

Info

Publication number
KR102422803B1
KR102422803B1 KR1020160006140A KR20160006140A KR102422803B1 KR 102422803 B1 KR102422803 B1 KR 102422803B1 KR 1020160006140 A KR1020160006140 A KR 1020160006140A KR 20160006140 A KR20160006140 A KR 20160006140A KR 102422803 B1 KR102422803 B1 KR 102422803B1
Authority
KR
South Korea
Prior art keywords
key
ptk
prose
discovery message
terminal
Prior art date
Application number
KR1020160006140A
Other languages
English (en)
Other versions
KR20160088832A (ko
Inventor
에기월 아닐
라자듀라이 라자벨사미
장영빈
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Publication of KR20160088832A publication Critical patent/KR20160088832A/ko
Application granted granted Critical
Publication of KR102422803B1 publication Critical patent/KR102422803B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/186Processing of subscriber group data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 LTE와 같은 4G 통신 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 또는 pre-5G 통신 시스템에 관련된 것이다.
본 발명의 다양한 실시예들은 디바이스간(D2D) 통신 시스템에서의 보안화된 탐색 메시지 송수신 방법을 개시한다. 일 실시예에 따르면, 송신 사용자 단말(UE)은 D2D 공공 안전 그룹 내의 D2D 통신을 수행하기 위해, ProSe 기능으로부터 ProSe 그룹 키(ProSe group key; PGK)를 수신한다. 그 후에, 송신 UE는 D2D 통신에서 데이터 패킷들을 송신하기 위해, PGK를 사용하여 ProSe 트래픽 키(PTK)를 유도한다. PTK를 사용하여, 송신 UE는 하나 이상의 수신 UE들을 탐색하기 위해 탐색 메시지를 보안화하는 Prose 무결성 보호 키(PIK)를 더 유도한다.송신 UE는 수신 UE에게 상기 유도된 PIK를 사용하여 무결성 보호된 탐색 메시지를 송신한다. 차례로, 수신 UE는 수신 UE를 위해 설정된 PGK를 사용하여 PIK를 유도함으로써, 보안 방식으로 응답 메시지를 송신한다.
본 발명의 다양한 실시예들은 디바이스간(D2D) 통신 시스템에서의 보안화된 탐색 메시지 송수신 방법을 개시한다. 본 발명의 일 실시예에 따르면, 제1 단말(UE)은 근접 서비스(proximity service: prose) 기능에 의해 설정된 적어도 하나의 그룹키를 수신하는 단계, 상기 적어도 하나의 그룹키에 기반하여 제1 트래픽 키와 제2 트래픽 키를 유도하는 단계, 상기 제1 트래픽 키에 기반하여 탐색 메시지를 보안하기 위한 제1 보안키를 유도하고, 상기 제2 트래픽 키에 기반하여 데이터 패킷을 보안하기 위한 제2 보안키를 유도하는 단계; 및 제2 단말을 탐색하기 위해 상기 제1 보안키에 기반하여 생성된 상기 탐색 메시지를 전송하는 단계를 포함하는 것을 특징으로 한다.

Description

D2D 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법{METHOD OF SECURED TRANSMISSION AND RECEPTION OF DISCOVERY MESSAGE IN A D2D COMMUNICATION SYSTEM}
본 발명은 일반적으로 디바이스간(device to device; D2D) 통신들에 관한 것이며, 보다 구체적으로는 D2D 통신 시스템에서 탐색 메시지의 보안화된 송신 및 수신 방법에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 시스템이라 불리어지고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및SCMA(sparse code multiple access) 등이 개발되고 있다.
디바이스간(D2D) 통신은 하나 이상의 디바이스들 간의 탐색 및 데이터 통신 서비스들을 가능하게 하는 통신 표준 그룹들에서 연구되고 있다. 탐색은 D2D-가능 사용자 단말(UE)이 다른 D2D-가능 UE의 근처에 있음을 결정하는 프로세스이다. 탐색중인 D2D-가능 UE는 D2D 탐색을 사용하여 다른 D2D-가능 UE가 자신에게 관심이 있는지의 여부를 결정한다. D2D-가능 UE의 근처가 탐색중인 D2D-가능 UE의 하나 혹은 그 이상의 공인된 애플리케이션에 의해 알려질 필요가 있을 경우, 그 D2D-가능 UE는 탐색중인 D2D-가능 UE에게 관심이 있다. 예를 들어, 소셜 네트워킹 애플리케이션(social networking application)은 D2D 탐색 특징을 사용하기 위해 인에이블될 수가 있다. D2D 탐색은 소셜 네트워킹 애플리케이션의 소정 사용자의 D2D-가능 UE가 친구들의 D2D-가능 UE들을 탐색하는 것을 가능하게 하고, 또한 그 친구들의 D2D-가능 UE들에 의해 탐색되는 것을 가능하게 한다. 다른 예에서, D2D 탐색은 검색 애플리케이션의 소정 사용자의 D2D-가능 UE가 그것의 근처에 있는 관심있는 상점들/식당들 등을 탐색하는 것을 가능하게 할 수 있다. 다른 예에서는, D2D-가능 공공 안전 UE가, 그것의 근처에 있는, 동일한 그룹에 속하는 다른 D2D-가능 공공 안전 UE를 탐색할 필요가 있을 것이다. 또한, D2D-가능 UE는 임의의 그룹 멤버들이 그것의 근처에 있는지 여부를 탐색할 필요가 있을 수도 있다. 또한, D2D-가능 UE는 직접적인 UE-대-UE 시그널링을 사용함으로써 그것의 근처에 있는 다른 D2D-가능 UE들을 탐색한다.
기존의 탐색 메커니즘에 따르면, 탐색을 위해 송신되는 탐색 메시지는 탐색 정보(탐색 코드), 메시지 무결성 코드(Message Integrity Code; MIC) 및 시간 카운터의 4 LSB(least significant bit)를 포함한다. 탐색 코드는 UE에 있는 탐색 애플리케이션의 각 사용자에게 할당되는 의사 ID이다. 재생 및 위장 공격에 대하여 탐색 정보를 보호하기 위해 보안 키는 근접 서비스(proximity service: prose) 기능에 의해 각 탐색 코드에 할당되어, UE에게 제공된다. 탐색 메시지는 도 1a에 도시된 바와 같이 보호된다. 탐색 메시지의 송신기는 송신될 탐색 정보의 탐색 코드에 대응하는 보안 키를 사용하여 탐색 메시지를 보안화한다. 또한, 탐색 정보가 송신되는 탐색 슬롯에 대응하는 시간 스탬프(또는 시간 카운터)는 보안 알고리즘에 대한 입력으로서도 사용된다. 탐색 메시지의 수신기는 탐색 메시지가 Prose 기능으로 수신되는 탐색 슬롯에 대응하는 MIC 및 시간 스탬프(또는 시간 카운터)와 함께 수신된 탐색 정보를 전송한다. Prose 기능은 탐색 코드에 대응하는 보안 키를 사용하여 MIC를 검증한다.
현재 공공 안전 통신을 위해 탐색 메커니즘을 사용하여 그룹 멤버들을 탐색하는 것이 논의되고 있다. 각 공공 안전 UE는 하나 이상의 그룹들에 속한다. 도 2a는 그룹 멤버를 탐색하는데 사용되는 예시적인 탐색 메커니즘을 도시한다. 도 2a에 나타낸 바와 같이 탐색 가능한 UE(또는 통지(announcing) UE로도 알려짐)는 탐색 메시지를 주기적으로 통지한다. 그룹의 다른 멤버를 탐색하길 원하는, 탐색중인 UE는, 탐색되고 있는 멤버에 의해 통지되는 탐색 메시지에 대한 탐색 채널을 주기적으로 모니터링한다.
도 2b는 그룹 멤버를 탐색하는데 사용되는 다른 예시적인 탐색 메커니즘을 도시한 것이다. 도 2b에 나타낸 바와 같이, 그룹의 다른 멤버를 탐색하길 원하는 탐색자 UE는 그룹의 특정 멤버를 찾고 있다는 것을 나타내는 탐색 메시지 1을 송신한다. 탐색자 UE는 탐색 메시지 1을 전송한 후에, 탐색대상자 UE로부터 탐색 메시지에 대한 탐색 채널을 모니터링한다. 탐색대상자 UE(즉, 탐색되고 있는 UE)는 탐색자 UE가 그것을 찾고 있다는 것을 나타내는 탐색 메시지 1에 대한 탐색 채널을 모니터링한다. 탐색대상자 UE가 탐색자 UE로부터 자신을 찾고 있다는 탐색 메시지 1을 수신하는 경우, 탐색대상자 UE는 자신의 정보와 함께 탐색 메시지 2를 통지한다.
그룹 멤버 탐색은 탐색중인 UE 및/또는 탐색되고 있는 UE가 네트워트(예를 들어, 공공 안전 에이전트들 간의 중요 통신용)의 커버리지 내에 있든지 네트워크의 커버리지 밖에 있든지에 가능한 한 관계없어야 한다. 현재의 탐색 메커니즘은 네트워크의 커버리지 내에서만 작동되며, 보안 검증은 네트워크에서의 Prose 기능에 의해 수행된다(예를 들어, 상업적 사용의 경우들).
따라서, 탐색중인 UE 및/또는 탐색되고 있는 UE가 네트워크의 커버리지에 있든지 또는 네트워크의 커버리지 밖에 있든지 여부에 관계없이 작동하는 탐색 메시지들을 보안화하기 위한 신규한 방법 및 시스템이 필요하다.
본 발명의 다양한 실시예들은 디바이스간(D2D) 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법을 설명한다. 일 실시예에서, 상기 방법은 송신 사용자 단말(UE)에 의해, D2D 공공 안전(PS) 그룹에서 보안화된 D2D 탐색을 수행하기 위해 적어도 하나의 ProSe 그룹 키(PGK)를 수신하는 단계와, 상기 송신 UE에 의해, 상기 D2D PS 그룹에서 데이터 패킷들을 송신하기 위해, 상기 적어도 하나의 PGK로부터 ProSe 트래픽 키(PTK)를 유도하는 단계와, 상기 송신 UE에 의해, 하나 이상의 수신 UE들을 탐색하도록 하는 탐색 메시지를 보안화하기 위해 유도된 무결성 보호 키(PIK)를 유도하는 단계와, 상기 송신 UE에 의해, 상기 유도된 PIK를 사용하여 상기 탐색 메시지를 무결성 보호하는 단계와, 상기 송신 UE에 의해, 상기 무결성 보호된 탐색 메시지를, 상기 하나 이상의 수신 UE들에게 송신하는 단계와, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들로부터의 상기 탐색 메시지에 대한 응답을 수신하는 단계를 포함하며, 상기 하나 이상의 수신 UE들은 상기 수신 UE가 상기 응답을 보안적으로 송신할 수 있게 하는 PGK를 사용하여 PIK를 유도한다.
일 실시예에 따르면, 상기 무결성 보호된 탐색 메시지는 PGK ID, PTK ID, PIK ID, 메시지 무결성 코드(message integrity code; MIC), 및 탐색 코드 중의 적어도 하나를 포함한다.
일 실시예에 따르면, 상기 방법은, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들에게 데이터 패킷들을 보안적으로 송신하기 위해 유도된 PTK로부터 ProSe 암호화 키(ProSe Encryption key; PEK)를 유도하는 단계를 더 포함한다.
일 실시예에 따르면, 상기 방법은, 상기 수신 UE에 의해, 상기 유도된 PIK를 사용하여 상기 수신된 탐색 메시지를 검증하고, 또한 상기 유도된 PIK를 사용하여 상기 탐색 메시지에 대한 응답을 보안적으로 송신하는 단계를 더 포함한다.
일 실시예에 따르면, 상기 PGK는 ProSe PS 탐색 보호를 위해 사용되며 또한 8 비트 PGK ID를 사용하여 식별되는 그룹 특정 키이다. 또한, 모든 PGK는 만료 시간을 갖는다.
일 실시예에 따르면, 상기 PTK는 ProSe PS 탐색 보호를 위한 그룹 멤버 특정 트래픽 키이며, 16 비트 PTK ID를 사용하여 식별된다. 다른 실시예에 따르면, 디바이스간(D2D) 통신 시스템에서의 탐색 메시지의 보안화된 송수신 방법이 개시된다. 상기 방법은, 송신 사용자 단말(UE)에 의해, D2D 공공 안전 그룹에서 보안화된 D2D 탐색을 수행하기 위해 적어도 하나의 ProSe 그룹 키(ProSe group key; PGK)를 수신하는 단계와, 상기 송신 UE에 의해, 데이터 패킷들을 보안적으로 송신하고 또한 상기 D2D 공공 안전 그룹에서 수신되는 데이터 패킷들을 검증하기 위해, 상기 수신된 적어도 하나의 PGK를 사용하여 제 1 ProSe 트래픽 키 및 제 2 ProSe 트래픽 키를 유도하는 단계와, 상기 송신 UE에 의해, 하나 이상의 수신 UE들을 탐색하는 탐색 메시지를 보안화하기 위해, 상기 유도된 제 1 ProSe 트래픽 키를 사용하여 ProSe 무결성 보호 키(ProSe integrity protection key; PIK)를 유도하는 단계와, 상기 송신 UE에 의해, 상기 유도된 PIK를 사용하여 상기 탐색 메시지를 무결성 보호하는 단계와, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들에게 상기 무결성 보호된 탐색 메시지를 송신하는 단계와, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들로부터 상기 탐색 메시지에 대한 응답을 수신하는 단계를 포함하며, 여기서 상기 수신 UE는 상기 응답을 보안적으로 송신하기 위하여 PGK를 사용하여 PIK를 유도한다 .
일 실시예에 따르면, 상기 방법은, 하나 이상의 수신 UE들에게 송신되는 데이터 패킷들을 보안화하기 위해 상기 제 2 ProSe 트래픽 키로부터 ProSe 암호화 키(ProSe Encryption key; PEK)를 유도하는 단계를 더 포함한다.
일 실시예에 따르면, 상기 방법은, 상기 수신 UE에 의해, 상기 유도된 PIK를 사용하여 상기 수신된 탐색 메시지를 검증하고, 상기 유도된 PIK를 사용하여 상기 탐색 메시지에 대한 응답을 보안적으로 송신하는 단계를 더 포함한다.
또 다른 실시예에 따르면, 디바이스간(D2D) 통신 시스템에서의 탐색 메시지의 보안화된 송수신 방법이 개시된다. 상기 방법은, 송신 사용자 단말(UE)에 의해, 상기 송신 UE와 관련된 그룹이 D2D 공공 안전 그룹에서 보안화된 D2D 탐색을 수행하기 위해 복수의 ProSe 그룹 키들(ProSe group key; PGKs)을 수신하는 단계와, 상기 송신 UE에 의해, D2D 그룹 통신을 위한 D2D 탐색 메시지 및 그룹 패킷들을 보안화 하기 위해 상기 복수의 PGK들로부터 적어도 하나의 PGK를 선택하는 단계와, 상기 송신 UE에 의해, 상기 선택된 PGK를 사용하여 ProSe 탐색 키(ProSe discovery key; PDK)를 유도하는 단계와, 상기 송신 UE에 의해, 하나 이상의 수신 UE들에게 송신되는 탐색 메시지를 보안화 하기 위해 상기 유도된 PDK로부터 ProSe 무결성 보호 키(ProSe integrity protection key; PIK)를 유도하는 단계와, 상기 송신 UE에 의해, 상기 유도된 PIK를 사용하여 상기 탐색 메시지를 무결성 보호하는 단계와, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들에게 상기 무결성 보호된 탐색 메시지를 송신하는 단계와, 상기 송신 UE에 의해, 상기 하나 이상의 수신 UE들로부터 상기 탐색 메시지에 대한 응답을 수신하는 단계를 포함하며, 여기서 상기 수신 UE는, 응답을 보안적으로 송신하기 위하여 PGK를 사용하여 PIK를 유도한다.
일 실시예에 따르면, 상기 방법은 ProSe 기능에 의한 커버리지 사용 내에서 및 커버리지 사용 밖에서 PGK들을 설정하는 단계를 더 포함한다.
일 실시예에 따르면, 상기 방법은, ProSe 기능에 의해 동적으로 설정된 PGK들을 사용하여 탐색 메시지들을 보안화 하기 위한 보안 키들을 유도하는 단계를 더 포함한다.
일 실시예에 따르면, 상기 방법은, ProSe 기능의 부재 시에 사전-설정된 PGK들을 사용하여, 탐색 메시지들을 보안화 하기 위한 보안 키들을 유도는 단계를 더 포함한다.
본 발명의 다양한 실시예들은 디바이스간(D2D) 통신 시스템에서의 탐색 메시지의 보안화된 송수신을 위한 장치를 더 기술한다. 상기 장치는 메모리, 및 상기 메모리에 커플링되는 프로세서로 구성되며, 여기서 상기 프로세서는 D2D 공공 안전 그룹에서 보안 D2D 탐색을 수행하기 위한 적어도 하나의 ProSe 그룹 키(ProSe group key; PGK)를 수신하고, 상기 D2D 공공 안전 그룹에서 데이터 패킷들을 송신하기 위해 적어도 하나의 PGK로부터 ProSe 트래픽 키(ProSe traffic key; PTK)를 유도하고, 하나 이상의 수신 UE들을 탐색하는 탐색 메시지를 보안화 하기 위해 상기 유도된 PTK로부터 ProSe 무결성 보호 키(ProSe integrity protection key; PIK)를 유도하고, 상기 유도된 PIK를 사용하여 상기 탐색 메시지를 무결성 보호하고, 상기 하나 이상의 수신 UE들에게 무결성 보호된 탐색 메시지를 송신하고, 상기 하나 이상의 수신 UE들로부터 상기 탐색 메시지에 대한 응답을 수신하며, 상기 수신 UE는 상기 응답을 보안적으로 송신하기 위하여 PGK를 사용하여 PIK를 유도하도록 구성된다.
전술한 내용은 일반적으로, 본 발명의 다양한 양태들을 설명하고 있으며, 다음의 상세한 설명을 보다 완전하게 이해하는데 도움이 될 것이다. 따라서, 본 발명은 본 명세서에서 설명되고 예시된 방법 또는 용도 응용에 한정되지 않음이 명확하게 이해될 것이다. 본 명세서에 포함된 상세한 설명 또는 예시들로부터 명백 또는 분명하게 되는 본 발명의 임의의 다른 이점 및 목적들은 본 발명의 범위 내에 있는 것으로 의도된다.
상기와 같은 문제점을 해결하기 위한 본 발명의 단말의 방법에 있어서, 그룹 키에 기반하여 제1 트래픽 키와 제2 트래픽 키를 유도하는 단계, 상기 제1 트래픽 키에 기반하여 탐색 메시지를 보안하기 위한 제1 보안 키를 유도하고, 상기 제2 트래픽 키에 기반하여 데이터 패킷을 보안하기 위한 제2 보안 키를 유도하는 단계; 및 상기 제1 보안 키에 기반하여 생성된 상기 탐색 메시지를 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 단말의 방법에 있어서, 탐색 메시지를 수신하는 단계, 그룹 키에 기반하여 제1 트래픽 키 및 제2 트래픽 키를 유도하는 단계, 상기 제1 트래픽 키에 기반하여 상기 탐색 메시지를 보안하기 위한 제1 보안 키를 유도하고 상기 제2 트래픽 키에 기반하여 데이터 패킷을 보안하기 위한 제2 보안 키를 유도하는 단계, 및 상기 제1 보안 키에 기반하여 상기 탐색 메시지를 검증하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 단말은, 신호를 송수신하는 송수신부, 및 그룹 키를 수신하고, 상기 적어도 하나의 그룹 키에 기반하여 제1 트래픽 키와 제2 트래픽 키를 유도하고, 상기 제1 트래픽 키에 기반하여 탐색 메시지를 보안하기 위한 제1 보안 키를 유도하고, 상기 제2 트래픽 키에 기반하여 데이터 패킷을 보안하기 위한 제2 보안 키를 유도하고, 상기 제1 보안키에 기반하여 생성된 상기 탐색 메시지를 전송하는 제어부를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 단말은, 신호를 송수신하는 송수신부; 및 탐색 메시지를 수신하고, 그룹 키에 기반하여 제1 트래픽 키 및 제2 트래픽 키를 유도하고, 상기 제1 트래픽 키에 기반하여 상기 탐색 메시지를 보안하기 위한 제1 보안 키를 유도하고 상기 제2 트래픽 키에 기반하여 데이터 패킷을 보안하기 위한 제2 보안 키를 유도하고, 상기 제1 보안 키에 기반하여 상기 탐색 메시지를 검증하는 제어부를 포함하는 것을 특징으로 한다.
본 발명의 실시 예에 따르면, 탐색중인 UE 및/또는 탐색되고 있는 UE가 네트워크의 커버리지에 있든지 또는 네트워크의 커버리지 밖에 있든지 여부에 관계없이 작동하는 탐색 메시지들을 보안화할 수 있다.
다른 목적들, 특징들 및 이점들은 바람직한 실시예에 대한 다음의 설명 및 첨부된 도면으로부터 당업자에게 명백할 것이다:
도 1은 종래 기술에 따른, 예시적인 탐색 메시지 보호를 도시하는 개략도이다.
도 2a는 종래 기술에 따른, 그룹 멤버를 탐색하는데 사용되는 예시적인 탐색 메커니즘을 도시하는 흐름도이다.
도 2b는 종래 기술에 따른, 그룹 멤버를 탐색하는데 사용되는 탐색 메커니즘을 도시하는 흐름도이다.
도 3은 일 실시예에 따른, D2D 통신에서의 탐색 메시지의 보안화된 송수신에 대한 예시적인 방법을 도시하는 흐름도이다.
도 4는 일 실시예에 따른, 탐색 메시지를 보호하기 위한 보안 키 유도에 대한 예시적인 방법을 도시하는 흐름도이다.
도 5는 다른 실시예에 따른, 탐색 메시지 보호를 위한 보안 키 유도에 대한 방법을 도시하는 흐름도이다.
도 6은 본 발명의 또 다른 실시예에 따른, 탐색 메시지 보호에 대한 방법을 도시하는 흐름도이다.
도 7은 본 발명의 일 실시예에 따른, 예시적인 탐색 메시지 보호를 도시하는 개략도이다.
도 8은 본 발명의 다른 실시예에 따른, 예시적인 탐색 메시지 보호를 도시하는 개략도이다.
본 발명의 특정 특징들이 몇몇 도면에는 도시되어 있고 다른 도면들에는 도시되어 있지 않지만, 이것은 단지 편의상 이루어진 것이며, 각각의 특징은 본 발명에 따른 다른 특징들 중의 임의의 특징 또는 모든 특징과 조합될 수도 있다.
본 발명의 다양한 실시예들은 디바이스간(D2D) 통신에서의 보안화된 탐색 메시지 송수신 방법을 개시한다. 탐색은 릴레이 탐색(Relay Discovery) 및 그룹 멤버 탐색(Group Member Discovery) 양쪽 모두를 갖는 ProSe 공공 안전 탐색을 포함한다. 본 발명의 다음의 상세한 설명에서는, 본 발명이 실시될 수 있는 특정 실시예들이 예로서 도시되어있는, 본 발명의 일부를 형성하는 첨부된 도면에 대한 참조가 이루어진다. 이들 실시예는 당업자가 본 발명을 실시할 수 있도록 충분히 상세하게 설명되어 있으며, 다른 실시예들이 이용될 수도 있고, 또한 본 발명의 범위를 일탈하지 않는 범위 내에서 변경이 이루어질 수 있음을 이해해야 한다. 따라서, 다음의 상세한 설명이 한정적인 의미로 해석되어서는 아니되며, 본 발명의 범위는 첨부된 청구범위에 의해서만 규정된다.
본 명세서에서는 여러 위치들에서, 하나 또는 일부 실시예(들)을 참조할 수 있다. 이는 반드시 각각의 이러한 언급이 동일 실시예(들)에 대한 것이라든지, 또는 특징이 단일 실시예에만 적용된다는 것을 의미하지는 않는다. 상이한 실시예들의 단일 특징은 다른 실시예들을 제공하기 위해 결합될 수도 있다.
본 명세서에서 사용되는, 단수 형태들 "일", "하나" 및 "그"는, 달리 명시적으로 언급하지 않는 한, 복수 형태를 포함하는 것으로 의도된다. 또한 용어들 "포함한다", "구성된다", "포함하는" 및/또는 "구성되는"이 본 명세서에서 사용될 경우, 그것은 명시된 특징들, 숫자, 단계, 동작, 구성요소 및/또는 컴포넌트의 존재를 지정하는 것이지만, 이것이 하나 또는 그 이상의 다른 특징들, 숫자, 단계, 동작, 구성요소, 컴포넌트 및/또는 이들의 그룹의 존재 또는 부가를 배제하지 않는다는 것이 이해될 것이다. 본 명세서에서 사용되는, 용어 "및/또는"은 임의의 모든 조합들과, 관련 열거 항목들 중의 하나 이상의 배열을 포함한다.
다르게 정의되지 않는 한, 본 명세서에서 사용된 모든 용어들(기술적 및 과학적 용어 포함)은 일반적으로 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 이해되는 것과 동일한 의미를 가지고 있다. 또한, 일반적으로 사용되는 사전에 정의되어있는 것과 같은 용어들은, 본 명세서에서 그렇게 명확히 규정되지 않는 한, 문맥 내의 그들 의미와 일치하고 이상적이거나 과도하게 형식적 의미로 해석되지 않는 의미를 가지는 것으로 해석되어야 한다는 것이 이해될 것이다.
본 발명에 따르면, 탐색 메시지들을 보안화하는 방법은 탐색중인 UE 및/또는 탐색되고 있는 UE가 네트워크의 커버리지 내에 있든지 또는 커버리지 밖에 있든지 관계없이 작동한다. 그룹 멤버 탐색을 위한 탐색 메시지를 보안화하기 위한 문제들 중 하나는 어떤 보안 키를 송신기 및 수신기가 사용할 것인가이다.
도 3은 일 실시예에 따른, 디바이스간(D2D) 통신 시스템에서 탐색 메시지의 보안화된 송수신에 대한 예시적인 방법을 도시한 흐름도이다. D2D 통신 시스템은 송신 UE(302), 수신 UE(304) 및 Prose 기능(306)을 포함한다. 단계 1 및 2에서, 송신 UE(302) 및 수신 UE(304)는 D2D 공공 안전(public safety; PS) 그룹 통신에 참여하려는 요청을 Prose 기능(306)에게 송신한다. 단계 3 및 4에서, Prose 기능(306)은 송신 UE(302) 및 수신 UE(304)에 대한 Prose 그룹 키(Prose group Key; PGK) 및 다른 크리덴셜(credential)들을 설정한다. 공공 안전 탐색 키(Public Safety Discovery Key; PGK)는 공공 안전 탐색 메시지의 보호를 위해 사용되는 루트 키(root key)이다. 단계 5에서, 송신 UE(302)는 Prose 기능(306)에 의해 설정된 PGK를 사용하여 Prose 트래픽 키(Prose traffic key; PTK)를 유도한다. 또한, 단계 6에서, 송신 UE는 PTK로부터 두 개의 보안 키, 즉 Prose 무결성 보호 키(Prose integrity Protection key; PIK) 및 Prose 암호화 키(ProSe encryption key; PEK)를 유도한다. 일 실시예에서, PIK는 다른 가능한 파라미터들과 함께 PGK로부터 직접 유도된다. 송신 UE(302)는, 무결성 보호를 위해 PIK를 사용하고, 수신 UE에게 무결성 보호된 탐색 메시지를 송신한다. 탐색 메시지는 PGK ID, PTK ID, PIK ID, MIC 코드 및 탐색 코드 중의 적어도 하나를 포함한다. PEK는 암호화된 방식으로 수신 UE(304)에게 데이터 패킷들을 보안적으로 송신하기 위해 사용된다. 단계 7에서, 송신 UE(302)는 탐색 메시지를 보안적으로 송신함으로써, 수신 UE(304)를 탐색한다. 탐색 메시지에 대한 응답으로, 수신 UE는 단계 8에서, 수신 UE(304)가 D2D 공공 안전 탐색 및 그룹 통신에 참여하기 위해, Prose 기능(306)에 의해 설정된 PGK로부터 PIK를 유도한다. 단계 9에서, 수신 UE(304)는 보안 송신을 수행하기 위해 두 개의 보안 키, 즉 PIK 및 PDK를 더 유도하고, 단계 10에서, 수신 UE는 유도된 PIK를 사용하여 송신 UE(302)로부터 수신되는 메시지를 검증한다. 메시지를 검증하고 나면, 수신 UE(304)는 단계 11에서, 탐색 메시지에 대한 응답을 송신하며, 여기서 탐색 메시지는 수신 UE(304)에 의해 유도되는 PIK를 사용하여(PEK로도 될 수 있음) 보안화된다.
도 4는 일 실시예에 따른, 탐색 메시지를 보호하기 위한 보안 키의 예시적인 유도를 도시하는 흐름도이다. 이 실시예에서, 송신 사용자 단말(UE)은 하나 이상의 그룹들의 멤버이며, 그룹마다 하나 이상의 Prose 그룹 키(Prose Group Key; PGK)들이 송신 UE용으로 사전-설정되는 것으로 고려한다. 그룹마다 하나 이상의 PGK들이 송신 UE에 대한 Prose 기능으로 동적 구성될 수도 있다. 각 PGK는 8 비트 PGK ID를 사용하여 식별되며, 각 PGK는 대응하는 만료 시간을 갖는다. 본 발명에서, PGK는 ProSe 그룹 통신을 위한 데이터 패킷들 및 탐색 메지지들 모두를 보안화하는데 사용된다. 데이터 패킷들 및 탐색 메시지들을 보안화하기 위한 보안 키들은 도 4에 도시된 PGK를 사용하여 유도된다. 제 1 단계에서, 송신 UE(402)는 디바이스간(D2D) 통신에 참여하도록 ProSe 기능(404)에게 요청을 송신한다. 응답으로서, ProSe 기능(404)은 단계 2에서 송신 UE(402)에 ProSe 그룹 키를 설정한다. 단계3에서, 송신 UE(402)는, 탐색 메시지 및 D2D 그룹의 데이터 패킷들을 보안화하기 위해 PGK로부터 멤버 특정 트래픽 키인 ProSe 트래픽 키(Prose Traffic Key; PTK)를 유도한다. 유도된 PTK는 16 비트 PTK ID를 사용하여 식별된다. PTK는 PGK, PTK ID, 송신기의 그룹 멤버 아이덴티티 및 다른 파라미터들로 이루어진 키 유도 함수를 사용하여 유도된다.
PTK = KDF (PGK, FC = 0X4A, PGK ID, PGK ID의 길이, PTK ID, PTK ID의 길이, 송신기의 그룹 멤버 아이덴티티, <다른 가능한 파라미터들>)).
그 후에, 단계 4에서, 송신 UE(402)는 유도된 PTK를 사용하여, 두 개의 키, 즉 ProSe 무결성 보호 키(ProSe Integrity protection key; PIK) 및 ProSe 암호화 키(ProSe encryption Key; PEK)를 유도하며, 여기서 PEK 및 PIK 모두가 PTK로부터 유도되며, 다음과 같다:
PEK = KDF (PTK, FC = 0x4B, P0 = 0x00, P0의 길이, 알고리즘 ID, 알고리즘 ID의 길이, <다른 가능한 파라미터들>)).
PIK = KDF (PTK, FC = 0x4B, P0 = 0x01, P0의 길이, 알고리즘 ID, 알고리즘 ID의 길이, <다른 가능한 파라미터들>)).
단계 5에서, 송신 UE(402)는 유도된 PIK를 사용하여, 탐색 메시지를 보안화하고, PEK를 사용하여 ProSe 그룹 통신을 위한 데이터 패킷들을 보안화한다. 이 실시예에서는, UE에 대한 그룹마다 활성화되는 단지 하나의 PGK 및 하나의 PTK만이 존재한다.
일 실시예에서, 탐색 메시지(들)은 ProSe 프로토콜을 사용하여 보호되며, 그룹 통신 패킷들은 패킷 데이터 컨퍼전스 프로토콜(Packet Data Convergence Protocol; PDCP) 프로토콜을 사용하여 보호된다. PGK 및 PTK는 탐색 메시지 및 그룹 통신 패킷들을 를 보안화하는데 동일하기 때문에, PDCP 프로토콜 및 ProSe 프로토콜은 서로 조정될 필요가 있다. 이 실시예에서, Prose 프로토콜은 PIK 및 PEK 모두를 생성할 수가 있으며, 또한 PDCP 프로토콜에게 PEK를 제공할 수도 있다. 대안적으로는, 키 관리자가 키들을 유지하는 UE 내에 존재할 수 있고, UE에게 PGK 및 PIK를 제공할 수 있으며 또한 적절한 프로토콜/프로토콜 계층에 PIK 및 PEK를 제공할 수도 있다.
도 5는 일 실시예에 따른, 탐색 메시지를 보호하기 위한 보안 키의 예시적인 유도를 도시하는 흐름도이다. 도 5에 나타낸 바와 같이, 송신 UE(502)는, 단계 1에서, 디바이스간(D2D) 통신에 참여하도록 ProSe 기능(504)에게 요청을 송신하는 것으로 고려한다. 단계 2에서는, ProSe 그룹 키(Prose Group Key; PGK)가 ProSe 기능(503)에 의해 송신 UE(502)에게 설정된다. 일 실시예에서, PGK들은 송신 UE(502)에서 사전-설정된다. 본 발명에서, PGK는 ProSe 그룹 통신을 위한 데이터 패킷들을 보안화하는 것 이외에도, 탐색 메시지를 보안화하는데 사용된다. 단계 3에서, 송신 UE(502)는 설정된 PGK로부터 제 1 트래픽 키(PTK1) 및 제 2 트래픽 키(PTK2)를 유도한다. 이 실시예에서, 두 개의 Prose 트래픽 키들, 즉 PTK1 및 PTK2는 그룹의 탐색 메시지 및 데이터 패킷들을 보안화하기 위해 PGK로부터 각각 획득된다.
PTK1 = KDF (PGK, FC = 0X4A, PGK ID, PGK ID의 길이, PTK IDx, PTK IDx의 길이, 송신기의 그룹 멤버 아이덴티티, <다른 가능한 파라미터들>)).
PTK2 = KDF (PGK, FC = 0X4A, PGK ID, PGK ID의 길이, PTK IDy, PTK IDy의 길이, 송신기의 그룹 멤버 아이덴티티, <다른 가능한 파라미터들>)).
단계 4에서, 송신 UE(502)는 유도된 PTK 1 으로부터 ProSe 무결성 키(ProSe integrity key; PIK)를 유도하고, 유도된 PTK2로부터 ProSe 암호화 키(Prose Encryption key; PEK)를 유도한다. 키들은 다음과 같이 유도된다.
PEK = KDF (PTK2, FC = 0x4B, P0 = 0x00, P0의 길이, 알고리즘 ID, 알고리즘 ID의 길이, <다른 가능한 파라미터들>)).
PIK = KDF (PDK, FC = 0x4B, P0 = 0x00 또는 0x01, P0의 길이, 알고리즘 ID, 알고리즘 ID의 길이, <다른 가능한 파라미터들>)).
단계 5에서, 유도된 PIK는 탐색 메시지를 보안화하는데 사용되며, PEK는 ProSe 그룹 통신을 위한 데이터 패킷들을 보안화하는데 사용된다. 이 실시예에서는, UE에 대한 그룹마다 활성화되는 하나의 PGK 및 두 개의 PIK가 있는 것으로 가정된다.
일 실시예에서, 탐색 메시지는 ProSe 프로토콜을 사용하여 보호되며, 그룹 통신 패킷들은 PDCP 프로토콜을 사용하여 보호된다. ProSe 프로토콜은 PTK1 및 PIK를 생성하며, 여기서 PDCP 프로토콜은 PTK2 및 PEK를 생성한다.
도 6은 일 실시예에 따른, 탐색 메시지를 보호하기 위한 보안 키의 예시적인 유도를 도시한 흐름도이다. 도 6에 나타낸 바와 같이, 단계 1에서, 송신 UE(602)는 디바이스간(D2D) 통신에 참여하도록 ProSe 기능(604)에게 요청을 송신한다. 단계 2에서, ProSe 기능(604)은 송신 UE(602)에게 ProSe 그룹 키를 설정한다. 송신 UE(602)는 하나 이상의 그룹들의 멤버이며, 각 그룹은 하나 이상의 Prose 그룹 키(PGK)들을 갖는 것으로 고려한다. 일 실시예에서, 송신 UE는 하나 이상의 PGK들로 사전-설정되거나 또는 PGK들이 송신 UE에게 ProSe 기능에 의해서 동적으로 설정될 수 있다. 송신 UE는 PGK를 사용하여 그룹 멤버 탐색을 위한 탐색 메시지를 송신한다. 이 실시예에서는, 별개의 PGK들이 탐색 메시지를 보안화하고 또한 D2D 그룹 통신을 위한 데이터 패킷들을 보안화하는데 사용된다. 탐색 및 통신을 위한 별개의 PGK들이 명시적으로 설정될 수 있다. 대안적으로는, 단계 3에서, 송신 UE(602)는 탐색 및 통신을 위한 별개의 PGK들을 선택할 수 있다. 단계 4에서, Prose 탐색 키((ProSe Discovery Key; PDK)는 탐색 메시지를 보안화하기 위해 선택된 PGK로부터 유도된다. PDK 키의 유도는 다음과 같이 설명된다.
보안 키, PDK는 다음과 같이 유도된다:
PDK = KDF (PGK-탐색, FC = 0X4A, PGK ID, PGK ID의 길이, PDK ID, PDK ID의 길이, 송신기의 그룹 멤버 아이덴티티, <다른 가능한 파라미터들>)).
그 후에, 단계 5에서 유도된 PDK는 송신 UE(602)에 의해 ProSe 무결성 보호 키(ProSe integrity protection key; PIK)를 유도하는데 사용된다. PIK는 다음과 같이 유도된다.
PIK = KDF (PDK, FC = 0x4B, P0 = 0x00 or 0x01, P0의 길이, 알고리즘 ID, 알고리즘 ID의 길이, <다른 가능한 파라미터들>)).
그 후에, 송신 UE는 PIK와 함께 탐색 메시지를 송신함으로써, D2D 그룹 내에서 수신 UE를 탐색한다. 마찬가지로, 수신 UE는 수신 UE에 대해 설정된 PGK를 사용하여 PDK 및 PIK를 또한 생성하고, 유도된 PIK와 함께 탐색 메시지에 대한 응답을 송신함으로써, 보안화된 송신을 보장한다.
도 7은 일 실시예에 따른, 향상된 탐색 메시지 보호 메커니즘을 도시한 것이다. 도 7에 도시된 바와 같이, 멤버에게 고유한 보안 키, 송신될 탐색 정보 및 탐색 정보가 송신되는 탐색 슬롯에 대응하는 시간 스탬프/시간 카운터가 보안 알고리즘에 대한 입력으로서 제공된다. 보안 알고리즘은 메시지 무결성 코드(MIC)를 생성한다. 탐색 정보와 함께 MIC, PGK ID, PTK ID 및 시간 카운터의 4LSBS가 송신 UE에 의해 송신된다. 일 실시예에서는, 탐색 정보도 암호화된다. 일 실시예에서는, 소스 UE ID 및/또는 그룹 ID가 또한 탐색 메시지에 부가된다. 이것들은 공공 안전(PS) 탐색 정보에 부가될 수도 있다. 또한, 소스 UE ID 및/또는 그룹 ID가 프로토콜 헤더들(예를 들면, MAC 헤더)에 부가될 수 있으며, 수신 UE에게 송신될 수 있다. 수신 UE는 수신된 PGK ID, PTK ID, 소스 UE ID 및 그룹 ID를 사용하여, 사용될 보안 키를 결정한다. 그 후에, 수신 UE는 결정된 보안 키를 사용하여, 송신 UE로부터 수신된 MIC를 복호화 및/또는 검증한다.
도 8은 다른 실시예에 따른, 예시적인 향상된 탐색 메시지 보호 메커니즘을 도시한 것이다. 이 향상된 탐색 메시지 보호에서는, 몇몇 경우들에서는 선택적인 패킷 데이터 컨버전스 프로토콜(PDCP) 시퀀스 넘버(SN) 필드 및 PDU 타입 필드와 함께, 도 7에서 설명한 파라미터들을 사용하여 탐색 정보가 송신된다. 커버리지의 밖에 있는 UE는 예를 들어 GPS, 시간 기능을 포함하며 이에 한정되지 않는 동기화 소스에 의해 제공되는 UTC(universal coordinated time) 시간 정보를 사용하여 시간 카운터를 유지할 수 있다. 대안적으로, 커버리지 내에 있는 UE가 커버리지 밖에 있는 UE에게 UTC 시간 정보를 릴레이할 수도 있다.
일 실시예에서, ProSe 기능은 커버리지 내에 있는 UE에 대한 보안 크리덴셜들(예를 들어, PGK, 보안 알고리즘) 및 다른 설정들(예를 들어, 무선 설정, ProSe 애플리케이션 설정 등)을 설정한다. 또한, ProSe 기능은 커버리지 밖에 있는 UE에 대한 보안 크리덴셜들(예를 들어, PGK, 보안 알고리즘) 및 다른 설정사항들(예를 들어, 무선 설정, ProSe 애플리케이션 설정 등)을 설정한다. ProSe 기능은 다른 RAT들(예를 들어, 2G/3G/5G/WLAN)을 사용하여 커버리지의 내 및/또는 밖에서 상기 설정사항들을 설정할 수 있다. 또한, UE는 UE가 ProSe 기능에 액세스할 수 없는 경우에 사용되는 PGK들로 사전-설정될 수도 있다. 부분 커버리지의 경우(즉, TX UE가 커버리지 내에 있고 RX UE가 커버리지 밖에 있는 경우 또는 그 반대의 경우), 송신기 및 수신기에 사용되는 PGK 간의 불일치가 존재한다. 본 발명에서는, 이 불일치가 아래와 같이 처리된다:
먼저, 커버리지 내(IC)에 있는 TX UE는 커버리지 밖(OOC)에 RX UE들이 있는지 여부를 결정한다. IC TX UE는 다음의 옵션들을 사용하여 OOC RX UE들을 결정한다. 첫째, IC TX UE는 탐색 메시지 내에 1 비트 표시를 부가하고서, 그것을 OOC RX UE에게 송신한다. OOC UE는 1 비트 표시를 1로 설정하고서, 탐색 메시지를 IC TX UE에게 송신한다. 커버리지 내에 있는 UE는, 송신 이전에, OOC RX UE로부터 수신된 1 비트 표시를 체크한다.
둘째, 커버리지 내에 있는 UE는 OOC UE로부터의 D2DSS의 검출에 의해 또는 D2DSCH 내의 1 비트 표시에 의해, OOC UE를 결정한다. 셋째, 커버리지 내에 있는 UE는 탐색에 사용된 PGK ID에 의해 및/또는 데이터 (D2D 사용자 플레인) 패킷에 의해, OOC UE를 결정한다. ID들은 고유하게 할당되거나 또는 사전-설정된 커버리지 내의 설정사항을 위해 순서대로(무반복) 할당된다. 커버리지 내에 있는 TX UE가 OOC RX UE들이 존재하는 것으로 결정하는 경우, 그 커버리지 내에 있는 TX UE는 사전-설정된 PGK들 중의 PGK를 사용한다. OOC RX UE들이 존재하지 않는 경우에는, IC TX UE가 ProSe 기능에 의해 설정된 PGK를 사용한다.
일 실시예에서, TX UE가 커버리지의 밖에 있는 경우에는, OOC TX UE는, 자신이 ProSe 기능에 액세스하지 못하기 때문에, 항상 사전-설정된 PGK들 중의 PGK를 사용한다. 커버리지 내에 있는 RX UE는 사전-설정된 파라미터들을 사용하여, OOC UE로부터 수신된 탐색 메시지에 대해 사용된 PGK를 결정한다. 그렇지 않은 경우에는, 커버리지 내에 있는 RX UE는 ProSe 기능에 의해 설정된 파라미터들을 사용하여, IC UE로부터 수신된 탐색 메시지에 대해 사용된 PGK를 결정한다.
다른 실시예에서는, ProSe 기능이 사전-설정된 PGK들을 인식한다. 따라서, ProSe 기능은 사전-설정된 PGK들로부터 동일한 PGK들을 설정하거나 그것의 서브 세트를 설정한다. 또 다른 실시예에서는, 커버리지 내에 있는 TX UE가 사전-설정된 PGK들 중의 PGK를 사용한다. 이것은 PGK들은 ProSe 기능에 의해 설정되지 않는다는 것을 의미한다.
다른 실시예에서는, 사전 설정되거나 ProSe 기능에 의해 수행되는 설정의 별도의 PGK들의 인덱스가 구별된다. 그러므로, 동일한 PGK가 사전 설정 및 ProSe 기능에 의해 수행되는 구성으로 존재하는 경우에는, 그것의 PGK ID가 동일하다. 커버리지 내에 있는 TX UE는 이전의 실시예들에서 설명된 것과 동일한 절차를 따른다. 커버리지 내에 있는 RX UE는 사전 설정 및 ProSe 기능에 의해 수행된 설정 모두를 사용하여 사용된 PGK를 결정한다.
일 실시예에서는, 커버리지 밖에 있는 공공 안전(PS) UE가 UE-NW 릴레이를 사용하여 커버리지 내에 있는 UE와 통신한다. 이를 위해, OOC PS UE는 UE-NW 릴레이를 탐색할 필요가 있다. OOC PS UE가 UE-NW 릴레이를 탐색하기 위해, UE-NW 릴레이는 먼저 탐색 메시지를 송신한다. UE-NW 릴레이가 자신이 속하는 그룹에 대응하는 보안 키를 사용하는 경우에는, 그룹 멤버들의 릴레이만이 릴레이를 탐색할 수가 있다. 이것은 릴레이가 모든 PS UE들에 의해 발견 가능할 수 있어야 하기 때문에 문제가 된다. 따라서, 이 실시에에서는, UE-NW 릴레이 능력을 가진 PS UE에는 릴레이 목적을 위한 PRK(ProSe relay Key)가 할당될 수 있다. PGK들에 부가하여, 공통 PRK가 각 PS UE에 제공된 시스템에서 사용될 수 있다.
방법 및 시스템의 발명이 첨부 도면에 도시된 본 발명의 실시예와 함께 설명되었지만, 본 발명이 이에 한정되는 것은 아니다. 다양한 치환, 변형 및 변경이 발명의 사상 및 범위를 벗어나지 않고 이루어질 수 있음은 당업자에게 명백할 것이다.

Claims (20)

  1. 무선 통신 시스템에서 제1 단말에 의해 수행되는 방법에 있어서,
    ProSe(proximity based service) 그룹 키(PGK)에 기반하여 제1 ProSe 트래픽 키 (PTK) 및 제2 PTK를 유도하는 단계;
    상기 제1 PTK 키에 기반하여 탐색 메시지를 보안하기 위한 PIK(ProSe integrity key)를 유도하는 단계;
    상기 제2 PTK에 기반하여 데이터 패킷을 보안하기 위한 PEK(ProSe encryption key)를 유도하는 단계; 및
    제2 단말로, 상기 PIK에 기반하여 생성된 상기 탐색 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제1 항에 있어서,
    상기 탐색 메시지는 상기 PGK에 대한 식별자, 상기 제1 PTK에 대한 식별자, 상기 제2 PTK에 대한 식별자, 상기 제1 단말에 대한 식별자, 또는 상기 제1 단말이 포함된 그룹에 대한 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  3. 제1 항에 있어서,
    상기 PGK는 8비트의 그룹키 식별자를 이용하여 확인되며,
    상기 제1 PTK 및 상기 제2 PTK는 16비트의 트래픽 키 식별자를 이용하여 확인되는 것을 특징으로 하는 방법.
  4. 제1 항에 있어서,
    상기 탐색 메시지는 ProSe 프로토콜을 사용하여 보호되고, 상기 데이터 패킷은 PDCP 프로토콜을 사용하여 보호되는 것을 특징으로 하는, 방법.
  5. 제1 항에 있어서,
    상기 제2 단말로, 상기 PEK에 기반하여 상기 데이터 패킷을 전송하는 단계를 더 포함하는 것을 특징으로 하는, 방법.
  6. 무선 통신 시스템에서 제2 단말에 의해 수행되는 방법에 있어서,
    제1 단말로부터, 탐색 메시지를 수신하는 단계;
    ProSe(proximity based service) 그룹 키(PGK)에 기반하여 제1 ProSe 트래픽 키 (PTK) 및 제2 PTK를 유도하는 단계;
    상기 제1 PTK 키에 기반하여 상기 탐색 메시지를 보안하기 위한 PIK(ProSe integrity key)를 유도하는 단계;
    상기 제2 PTK에 기반하여 데이터 패킷을 보안하기 위한 PEK(ProSe encryption key)를 유도하는 단계; 및
    상기 PIK에 기반하여 상기 탐색 메시지를 검증하는 단계를 포함하는 것을 특징으로 하는 방법.
  7. 제6 항에 있어서,
    상기 탐색 메시지는 상기 PGK에 대한 식별자, 상기 제1 PTK에 대한 식별자, 상기 제2 PTK에 대한 식별자, 상기 제1 단말에 대한 식별자, 또는 상기 제1 단말이 포함된 그룹에 대한 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  8. 제6 항에 있어서,
    상기 PGK는 8비트의 그룹키 식별자를 이용하여 확인되며,
    상기 제1 PTK 및 상기 제2 PTK는 16비트의 트래픽 키 식별자를 이용하여 확인되는 것을 특징으로 하는 방법.
  9. 제6 항에 있어서,
    상기 탐색 메시지는 ProSe 프로토콜을 사용하여 보호되고, 상기 데이터 패킷은 PDCP 프로토콜을 사용하여 보호되는 것을 특징으로 하는, 방법.
  10. 제6 항에 있어서,
    상기 제1 단말로부터, 상기 데이터 패킷을 수신하는 단계; 및
    상기 PEK에 기반하여 상기 데이터 패킷을 검증하는 단계를 더 포함하는 것을 특징으로 하는, 방법.
  11. 무선 통신 시스템에서 제1 단말에 있어서,
    신호를 송수신하는 송수신부; 및
    상기 송수신부와 연결된 제어부를 포함하고,
    상기 제어부는,
    ProSe(proximity based service) 그룹 키(PGK)에 기반하여 제1 ProSe 트래픽 키 (PTK) 및 제2 PTK를 유도하고,
    상기 제1 PTK 키에 기반하여 탐색 메시지를 보안하기 위한 PIK(ProSe integrity key)를 유도하고,
    상기 제2 PTK에 기반하여 데이터 패킷을 보안하기 위한 PEK(ProSe encryption key)를 유도하고,
    제2 단말로, 상기 PIK에 기반하여 생성된 상기 탐색 메시지를 전송하도록 설정되는 것을 특징으로 하는 제1 단말.
  12. 제11 항에 있어서,
    상기 탐색 메시지는 상기 PGK에 대한 식별자, 상기 제1 PTK에 대한 식별자, 상기 제2 PTK에 대한 식별자, 상기 제1 단말에 대한 식별자, 또는 상기 제1 단말이 포함된 그룹에 대한 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 제1 단말.
  13. 제11 항에 있어서,
    상기 PGK는 8비트의 그룹키 식별자를 이용하여 확인되며,
    상기 제1 PTK 및 상기 제2 PTK는 16비트의 트래픽 키 식별자를 이용하여 확인되는 것을 특징으로 하는 제1 단말.
  14. 제11 항에 있어서,
    상기 탐색 메시지는 ProSe 프로토콜을 사용하여 보호되고, 상기 데이터 패킷은 PDCP 프로토콜을 사용하여 보호되는 것을 특징으로 하는 제1 단말.
  15. 제11 항에 있어서, 상기 제어부는,
    상기 제2 단말로, 상기 PEK에 기반하여 상기 데이터 패킷을 전송하도록 설정되는 것을 특징으로 하는 제1 단말.
  16. 무선 통신 시스템에서 제2 단말에 있어서,
    신호를 송수신하는 송수신부; 및
    상기 송수신부와 연결된 제어부를 포함하고,
    상기 제어부는,
    제1 단말로부터, 탐색 메시지를 수신하고,
    ProSe(proximity based service) 그룹 키(PGK)에 기반하여 제1 ProSe 트래픽 키 (PTK) 및 제2 PTK를 유도하고,
    상기 제1 PTK 키에 기반하여 상기 탐색 메시지를 보안하기 위한 PIK(ProSe integrity key)를 유도하고,
    상기 제2 PTK에 기반하여 데이터 패킷을 보안하기 위한 PEK(ProSe encryption key)를 유도하고,
    상기 PIK에 기반하여 상기 탐색 메시지를 검증하도록 설정되는 것을 특징으로 하는 제2 단말.
  17. 제16 항에 있어서,
    상기 탐색 메시지는 상기 PGK에 대한 식별자, 상기 제1 PTK에 대한 식별자, 상기 제2 PTK에 대한 식별자, 상기 제1 단말에 대한 식별자, 또는 상기 제1 단말이 포함된 그룹에 대한 식별자 중 적어도 하나를 포함하는 것을 특징으로 하는 제2 단말.
  18. 제16 항에 있어서,
    상기 PGK는 8비트의 그룹키 식별자를 이용하여 확인되며,
    상기 제1 PTK 및 상기 제2 PTK는 16비트의 트래픽 키 식별자를 이용하여 확인되는 것을 특징으로 하는 제2 단말.
  19. 제16 항에 있어서,
    상기 탐색 메시지는 ProSe 프로토콜을 사용하여 보호되고, 상기 데이터 패킷은 PDCP 프로토콜을 사용하여 보호되는 것을 특징으로 하는, 제2 단말.
  20. 제16 항에 있어서, 상기 제어부는,
    상기 제1 단말로부터, 상기 데이터 패킷을 수신하고,
    상기 PEK에 기반하여 상기 데이터 패킷을 검증하도록 설정되는 것을 특징으로 하는, 제2 단말.
KR1020160006140A 2015-01-16 2016-01-18 D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법 KR102422803B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IN263CH2015 2015-01-16
IN263/CHE/2015??? 2016-01-14

Publications (2)

Publication Number Publication Date
KR20160088832A KR20160088832A (ko) 2016-07-26
KR102422803B1 true KR102422803B1 (ko) 2022-07-19

Family

ID=56406106

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160006140A KR102422803B1 (ko) 2015-01-16 2016-01-18 D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법

Country Status (4)

Country Link
US (1) US10728758B2 (ko)
KR (1) KR102422803B1 (ko)
CN (1) CN107113594B (ko)
WO (1) WO2016114640A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107113594B (zh) * 2015-01-16 2021-01-29 三星电子株式会社 设备到设备通信***的安全发送和接收发现消息的方法
US20180139667A1 (en) * 2015-05-29 2018-05-17 Nokia Technologies Oy Minimization of service interruption during relay reselection in device-to-device (d2d) based user equipment (ue)-to-network relay
CN108476378B (zh) * 2016-01-25 2021-01-08 瑞典爱立信有限公司 隐式空间重放保护
US11070631B2 (en) 2016-01-25 2021-07-20 Telefonaktiebolaget Lm Ericsson (Publ) Explicit spatial replay protection
CN109565514B (zh) * 2016-06-03 2021-07-23 瑞典爱立信有限公司 地点信息保护
US11133964B2 (en) 2017-06-16 2021-09-28 Telefonaktiebolaget Lm Ericsson (Publ) Frequency offset estimation
CN111800369B (zh) * 2019-04-08 2022-03-29 华为技术有限公司 通信方法与设备
CN110366181B (zh) * 2019-07-29 2024-02-13 努比亚技术有限公司 数据传输方法、***及计算机可读存储介质
US11800347B2 (en) 2020-04-10 2023-10-24 Qualcomm Incorporated User equipment (UE) capability and assistance information exchange over sidelinks
WO2022027522A1 (zh) * 2020-08-06 2022-02-10 华为技术有限公司 一种安全通信方法以及装置
US20220272532A1 (en) * 2021-02-22 2022-08-25 Qualcomm Incorporated Pc5 link security setup using non-access stratum security context
WO2023000189A1 (en) * 2021-07-21 2023-01-26 Zte Corporation Security methods for protecting discovery procedures in wireless networks
WO2023142095A1 (zh) * 2022-01-29 2023-08-03 北京小米移动软件有限公司 Ue发现消息保护方法、装置、通信设备及存储介质
CN114697945B (zh) * 2022-04-02 2023-10-24 中国电信股份有限公司 发现响应消息的生成方法及装置、发现消息的处理方法
CN114866964B (zh) * 2022-04-13 2024-02-23 中国电信股份有限公司 基于邻近服务的消息传输方法、装置、电子设备及介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130315393A1 (en) 2012-05-07 2013-11-28 Industrial Technology Research Institute Authentication system for device-to-device communication and authentication method therefor
WO2014187527A1 (en) * 2013-05-21 2014-11-27 Alcatel Lucent Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012077999A2 (en) * 2010-12-08 2012-06-14 Lg Electronics Inc. Traffic encryption key management for machine to machine multicast group
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
US9258282B2 (en) * 2012-10-24 2016-02-09 Cisco Technology, Inc. Simplified mechanism for multi-tenant encrypted virtual networks
WO2014069909A1 (en) * 2012-11-01 2014-05-08 Lg Electronics Inc. Method and apparatus of providing integrity protection for proximity-based service discovery with extended discovery range
EP3439345A1 (en) * 2013-03-05 2019-02-06 Huawei Technologies Co., Ltd. Key exchange method and apparatus
US9161382B2 (en) * 2013-03-28 2015-10-13 Lg Electronics Inc. Method and apparatus for proximity-based service
KR102046111B1 (ko) 2013-03-29 2019-11-18 삼성전자주식회사 장치 간 통신 방법 및 장치
KR102219197B1 (ko) * 2013-07-10 2021-02-23 삼성전자주식회사 무선 통신 시스템에서 탐색 정보를 송수신하는 방법 및 장치와 이를 위한 프로토콜 스택 구조
ES2833292T3 (es) * 2013-10-30 2021-06-14 Nec Corp Aparato, sistema y método de comunicación directa segura en servicios basados en proximidad
US10187531B2 (en) * 2013-10-31 2019-01-22 Samsung Electronics Co., Ltd. Method and system for charging information recording in device to device (D2D) communication
KR102100159B1 (ko) * 2014-01-13 2020-04-13 삼성전자 주식회사 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템
CN105917599B (zh) * 2014-01-16 2020-01-10 三星电子株式会社 无连接通信***中操作用户面协议栈的装置和方法
US9706396B2 (en) * 2014-08-08 2017-07-11 Samsung Electronics Co., Ltd. System and method of counter management and security key update for device-to-device group communication
KR102311027B1 (ko) * 2014-08-14 2021-10-08 삼성전자 주식회사 그룹단말의 프로파일 설치 방법
KR102312670B1 (ko) * 2014-10-30 2021-10-15 삼성전자주식회사 사용자 단말 간 장치 대 장치 통신을 수행하는 방법
US20160127309A1 (en) * 2014-11-04 2016-05-05 Electronics And Telecommunications Research Institute Method for preventing collisions between addresses in device-to-device communications
US10142769B2 (en) * 2015-01-14 2018-11-27 Samsung Electronics Co., Ltd. Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network
CN107113594B (zh) * 2015-01-16 2021-01-29 三星电子株式会社 设备到设备通信***的安全发送和接收发现消息的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130315393A1 (en) 2012-05-07 2013-11-28 Industrial Technology Research Institute Authentication system for device-to-device communication and authentication method therefor
WO2014187527A1 (en) * 2013-05-21 2014-11-27 Alcatel Lucent Method of device discovery for device-to-device communication in a telecommunication network, user equipment device and computer program product

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TS 33.303 v12.1.0, Proximity-based Services (ProSe)*
S3-140136, Using a single group key and bearer level security for ProSe one-to-many communication, 3GPP TSG SA WG3(Scurity) Meeting #74, 2014.01.20*

Also Published As

Publication number Publication date
CN107113594B (zh) 2021-01-29
KR20160088832A (ko) 2016-07-26
US20170374549A1 (en) 2017-12-28
CN107113594A (zh) 2017-08-29
WO2016114640A1 (en) 2016-07-21
US10728758B2 (en) 2020-07-28

Similar Documents

Publication Publication Date Title
KR102422803B1 (ko) D2d 통신 시스템에서 탐색 메시지의 보안화된 송수신 방법
US10142769B2 (en) Method and system for establishing a secure communication between remote UE and relay UE in a device to device communication network
US20210135878A1 (en) Authentication Mechanism for 5G Technologies
EP3513526B1 (en) System and method for massive iot group authentication
US11968533B2 (en) Methods and apparatus for secure access control in wireless communications
JP6686043B2 (ja) 制限付き発見のための構成された近接サービスコードをセキュアにするための方法および装置
US20180278625A1 (en) Exchanging message authentication codes for additional security in a communication system
EP2893733B1 (en) Systems, apparatus, and methods for association in multi-hop networks
EP3213486B1 (en) Device to device communication between user equipments
US20230073658A1 (en) Privacy protection for sidelink communications
KR20220082816A (ko) 코어 네트워크의 네트워크 기능에서의 시스템 정보 보호
US11825301B2 (en) Secret construction of physical channels and signals
Usman et al. Role of D2D Communications in Mobile Health Applications: Security Threats and Requirements

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant