KR20140041226A - 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 - Google Patents

이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 Download PDF

Info

Publication number
KR20140041226A
KR20140041226A KR1020120108310A KR20120108310A KR20140041226A KR 20140041226 A KR20140041226 A KR 20140041226A KR 1020120108310 A KR1020120108310 A KR 1020120108310A KR 20120108310 A KR20120108310 A KR 20120108310A KR 20140041226 A KR20140041226 A KR 20140041226A
Authority
KR
South Korea
Prior art keywords
group
key
session
traffic
communication
Prior art date
Application number
KR1020120108310A
Other languages
English (en)
Inventor
서경주
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020120108310A priority Critical patent/KR20140041226A/ko
Priority to CN201380050291.9A priority patent/CN104871579B/zh
Priority to EP13841406.5A priority patent/EP2903322B1/en
Priority to US14/432,179 priority patent/US9894065B2/en
Priority to PCT/KR2013/008689 priority patent/WO2014051383A1/ko
Publication of KR20140041226A publication Critical patent/KR20140041226A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 단말 등이 이동 통신 시스템과 연동하여 통신하는 경우에 있어서 그룹 통신을 위한 보안 관리 방법 및 장치에 대한 것으로서, 본 발명의 실시 예에 따라 이동 통신 시스템에서 그룹 통신을 관리하는 서버에서 수행되는 그룹 통신을 위한 보안 관리 방법은, 단말로부터 상기 그룹 통신을 위한 그룹 정보를 수신하고 상기 그룹 정보에 대응되는 그룹 식별자를 할당하는 과정과, 세션 보호를 위한 세션 보안 키를 생성하고 상기 그룹 식별자에 상기 세션 보안 키를 매핑하는 과정과, 상기 그룹 식별자와 상기 세션 보안 키를 상기 단말에게 전송하는 과정과, 트래픽의 보호를 위한 트래픽 키를 생성하고 상기 그룹 식별자와 상기 트래픽 키를 상기 단말에게 전송하는 과정을 포함한다.

Description

이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치{METHOD AND APPARATUS FOR MANAGING A SECURITY FOR A GROUP COMMUNICATION IN A MOBILE COMMUNICATION SYSTEM}
본 발명은 이동 통신 시스템에서 보안 관리 방법 및 장치에 대한 것으로서, 특히 일반 단말이나 머신 타입 통신(machine type communication)을 이용하는 단말 등이 이동 통신 시스템과 연동하여 통신하는 경우에 있어서 그룹 통신을 위한 보안 관리 방법 및 장치에 대한 것이다. 여기서 상기 머신 타입 통신은 디바이스 대 디바이스(Device to Device : DtD) 통신, 피어 투 피어(Peer to Peer : PtP) 통신 등을 의미한다. 상기 그룹 통신은 다수의 단말들이 그룹으로 통신하는 통신 환경을 의미한다.
종래 이동 통신 시스템의 경우 하나의 단말과 상대 단말간의 일 대 일 통신 환경에서 통신 보안은 보장되어 있다. 그러나 다수의 단말들이 그룹으로 통신하는 통신 환경에서는 자원의 비효율적 사용, 과금 상의 문제, 보안 상의 취약점 등이 존재한다. 그리고 상기 보안 상의 취약 점은 상기 그룹 통신의 이용을 저해하는 요인 중 하나이다. 따라서 상기 그룹 통신에서 보안 서비스를 안정적으로 제공할 수 있는 효율적인 방안이 요구된다.
본 발명은 이동 통신 시스템에서 그룹 통신을 위한 효율적인 보안 관리 방법 및 장치를 제공한다.
본 발명의 실시 예에 따라 이동 통신 시스템에서 그룹 통신을 관리하는 서버에서 수행되는 그룹 통신을 위한 보안 관리 방법은, 단말로부터 상기 그룹 통신을 위한 그룹 정보를 수신하고 상기 그룹 정보에 대응되는 그룹 식별자를 할당하는 과정과, 세션 보호를 위한 세션 보안 키를 생성하고 상기 그룹 식별자에 상기 세션 보안 키를 매핑하는 과정과, 상기 그룹 식별자와 상기 세션 보안 키를 상기 단말에게 전송하는 과정과, 트래픽의 보호를 위한 트래픽 키를 생성하고 상기 그룹 식별자와 상기 트래픽 키를 상기 단말에게 전송하는 과정을 포함한다.
또한 본 발명의 실시 예에 따라 이동 통신 시스템에서 그룹 통신을 관리하는 서버는, 상기 그룹 통신을 위한 각종 정보를 송수신하는 통신 인터페이스와, 단말로부터 상기 그룹 통신을 위한 그룹 정보를 수신하고 상기 그룹 정보에 대응되는 그룹 식별자를 할당하고, 세션 보호를 위한 세션 보안 키를 생성하고 상기 그룹 식별자에 상기 세션 보안 키를 매핑하며, 상기 그룹 식별자와 상기 세션 보안 키를 상기 단말에게 전송하며, 트래픽의 보호를 위한 트래픽 키를 생성하고 상기 그룹 식별자와 상기 트래픽 키를 상기 단말에게 전송하는 동작들을 제어하는 제어기를 포함한다.
또한 본 발명의 실시 예에 따라 이동 통신 시스템에서 그룹 통신을 이용하는 단말에서 수행되는 보안 관리 방법은, 상기 그룹 통신과 관련된 그룹 정보를 상기 그룹 통신을 관리하는 서버에게 전송하는 과정과, 상기 서버로부터 상기 그룹 통신을 위한 세션 보안 키와 트래픽의 보호를 위한 트래픽 키를 각각 수신하는 과정과, 상기 수신된 세션 보안 키를 이용하여 상기 트래픽 키를 복호화하는 과정과, 상기 복호된 트래픽 키를 이용하여 상기 서버와 상기 그룹 통신을 수행하는 과정을 포함한다.
또한 본 발명의 실시 예에 따라 이동 통신 시스템에서 그룹 통신을 이용하는 단말에서 수행되는 보안 관리 방법은, 상기 그룹 통신과 관련된 각종 정보를 송수신하는 송수신부와, 상기 그룹 통신과 관련된 그룹 정보를 상기 그룹 통신을 관리하는 서버에게 전송하고, 상기 서버로부터 상기 그룹 통신을 위한 세션 보안 키와 트래픽의 보호를 위한 트래픽 키를 각각 수신하며, 상기 수신된 세션 보안 키를 이용하여 상기 트래픽 키를 복호화하며, 상기 복호된 트래픽 키를 이용하여 상기 서버와 상기 그룹 통신을 수행하는 동작을 제어하는 제어기를 포함한다.
도 1는 본 발명의 실시 예에 따라 그룹 통신을 위한 보안 관리를 수행하는 이동 통신 시스템의 구성을 나타낸 블록도,
도 2a 및 도 2b는 본 발명의 실시 예에 따른 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 절차를 나타낸 흐름도.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 것으로서 이는 사용자 및 운용자의의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
후술되는 본 발명의 실시 예는 이동 통신 시스템 환경하에서 단말이 통신하는 과정에 있어서 특히 기기간 통신(machine type communication)을 하는 단말 혹은 일반 단말, 혹은 요즘처럼 스마트 폰이 다수로 존재하여 무선 자원을 많이 사용하는 경우에 있어서, 그룹 통신을 지원함으로써 그룹 통신의 보안 관련 절차 및 관리하는 방법을 제공하는 것이다.
이하 본 발명을 구체적으로 설명하는데 있어, 3GPP를 기반으로 하는 EPS 시스템, UTRAN, GERAN을 이용할 것이며, 본 발명은 다른 이동 시스템에서도 이용 가능할 것이다. 한편 본 발명에서는 단말을 기기간 통신 환경, 혹은 그룹 통신에 적합하도록 관련 정보를 처리하는 과정에 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다.
또한 본 발명은 3GPP EPS를 비롯한 진화된 이동 통신 시스템에서 단말이 네트워크와 통신하는 과정에 있어서, 다수의 단말이 서비스 능력 서버(service capability server)와 통신하는 경우에 있어서 그룹 통신에 있어서 보안상 안전하고 효율적으로 그룹 통신을 지원하는 방법 및 시스템을 제공한다.
한편 본 발명의 도 1에서 보는 바와 같이 도1의 실시 예는 본 발명의 기본 목적인 단말이 EUTRAN 혹은 3GPP 환경하에서 단말이 그룹 통신 보안, 보호 방안을 위한 방법을 제기한 것으로 이러한 방법은 유사한 기술적 배경 및 채널 형태, 혹은 네트웍 구조(architecture)또는 유사한 프로토콜 혹은 프로토콜은 상이하나 유사한 동작을 하는 프로토콜을 가지는 여타의 이동통신 시스템에서도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 발명의 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
도 1은 본 발명의 실시 예에 따라 그룹 통신을 위한 보안 관리를 수행하는 이동 통신 시스템의 구성을 나타낸 블록도이다.
여기에서는 일 예로서 3GPP EPS(Evolved Packet System) 시스템 구조를 도시하였다. 본 발명의 실시 예에서는 LTE 시스템을 구성하는 상기 3GPP EPS 시스템을 중심으로 기술하였으며, 본 발명의 실시 예에서 제안하는 보안 관리 방법은 상기 EPS 시스템은 물론 유사한 다른 이동 통신 시스템에서도 적용될 수 있다. 상기 EPS 시스템은 크게 UE, EUTRAN(Evolved Universal Terrestrial Radio Access Network), EPC(Evolved Packet Core)로 구성된다.
도 1을 참조하면, 단말(User Equipment : 이하 단말 혹은 UE라 칭함)(111)은 기지국(eNB :113)과 무선 접속을 설정하고 통신을 수행한다. 상기 UE(111)는 서빙 게이트웨이(Serving Gateway: 이하 Serving GW, 또는 S-GW라 칭함)(117), 패킷 데이터 네트웍 게이트웨이(packet data network gateway : 이하 PDN GW 또는 P-GW)(119)를 통해 인터넷과 같은 패킷 데이터 네트워크에 접속하는 단말을 칭한다. 상기 EPS 시스템에서 상기 EUTRAN은 다수의 기지국들(eNBs)를 포함하며, 상기 EPC는 상기 UE(111)의 이동성 및 위치 등록 등을 관리하기 위한 네트워크 엔터티인 MME(Mobility Management Entity)(115), 상기 S-GW(117), 그리고 상기 P-GW(119)를 포함한다. 상기 MME(117)는 UE(111)와 EPC 사이의 제어 정보 교환을 위한 제어 평면(control plane)을 담당하며, 상기 S-GW(117), P-GW(119)는 사용자 데이터 전송을 위한 사용자 평면(user plane)을 담당한다. 상기 S-GW(117), P-GW(119)는 EPS 시스템에서 공지된 네트워크 엔터티이며, 본 발명의 실시 예와 특별한 관련이 없으므로 구체적인 설명은 생략하기로 한다.
또한 도 1의 시스템은 사용자와 UE에 대한 인증 정보, 가입 정보, 서비스 정보 등의 가입자 정보를 관리하는 홈 가입자 서버(Home Subscriber Server : 이하 HSS)/홈 위치 등록 서버(Home location register: 이하 HLR 로 표기)/AUC(인증센터 : authentication center)(121)를 포함한다.
또한 도 1의 시스템은 머신 타입 통신(machine type communication)을 위한 어플리케이션을 실행하는 어플리케이션 서버(application server : AS)(151)와 상기 AS(151)로부터 또는 사업자 망 내에서 UE들의 그룹을 위한 메시지나 데이터, 멀티미디어 데이터 등을 전송하는 역할을 수행하는 서비스 능력 서버(Service Capability Server : SCS)(133)를 포함한다.
또한 도 1의 시스템은 SCS(133)로부터 장치 트리거링 요청(device triggering request)가 있을 때에 그 요청을 수신하고, 그룹 통신을 위한 데이터의 전송 및 제어(control)를 수행하는 MTC-IWF(Machine Type Communication-Interworking Function)(131)을 포함하며, 본 발명의 후술할 방법에 따라 그룹 통신을 위한 보안 기능과 관련된 절차를 수행하는 MTC-SECF(Machine Type Communication-SECurity Function)(141)을 포함한다. 도 1에서 UE(111)와 MTC-SECF(141)간의 연결은 편의상 직접 연결되는 것으로 도시하였으나, 이는 개념적인 도시이며, 실제 UE(111)와 MTC-SECF(141)간의 통신은 기지국(113) 또는 도시되지 않은 네트워크 엔터티를 경유하여 수행된다.
또한 도 1의 시스템은 다른 실시 예로 도시되지는 않았으나 상기 MTC-SECF(141) 대신에 BSF(Bootstrapping Server Function)을 포함할 수 있으며, 상기 BSF는 MTC-SECF(141)와 같이 그룹 통신을 위한 초기 절차 및 보안 절차를 수행할 수 있다. 여기서 상기 MTC-IWF(131), MTC-SECF(141)(또는 BSF)은 각각 서버로 구현될 수 있다.
이하 도 2를 참조하여 본 발명의 실시 예에서 상기한 UE(111), HSS(121), eNB(113), MME(115), SCS(133), MTC-SECF(141)등의 네트웍 엔티티들이 그룹 통신을 위한 보안 관리를 수행하는 방법을 구체적으로 설명하기로 한다.
도 2a 및 도 2b는 본 발명의 실시 예에 따른 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 절차를 나타낸 흐름도이다.
도 2a를 참조하면, 201 과정에서 UE(111)는 MTC-SECF(141)로 단말 식별자를 전송한다. 여기서 상기 단말 식별자는 예를 들어 IMSI(International Mobile Subscriber Identity)를 이용할 수 있으며, 이동 통신 시스템에서 이용되는 다른 단말 식별자를 이용하는 것도 가능하다. 203 과정에서 MTC-SECF(141)는 HSS(121)로 단말 식별자, MTC-SECF-ID(Machine Type Communication-SECurity Function-IDentity : 이하 MTC 보안 기능 식별자)를 전송한다. MTC 보안 기능 식별자는 MTC-SECF(141)를 식별하는 식별자이다. 이후 205 과정에서 HSS(121)는 MTC-SECF(141)로부터 수신한 상기 단말 식별자와 MTC 보안 기능 식별자를 함께 저장(store)한다. 207 과정에서 UE(111), MTC-SECF(141), 그리고 HSS(121) 간에는 인증 키 일치(Authentication Key Agreement : AKA) 절차가 수행된다. 상기 인증과 키 일치(AKA) 절차는 가입자의 USIM(Universal Subscriber Identity Module)과 인증센터(AUthentication Center : AuC) 간에 이용할 수 있는 분배된 비밀키의 정보를 이용하여 사용자와 네트워크의 상호인증을 수행하는 잘 알려진 절차이다. 상기 인증키 일치 절차에서는 네트워크 인증을 위한 원패스(one-pass) 프로토콜, 가입자 인증, 키 설정 프로토콜, 도전/응답 형태의 프로토콜 등을 이용한다.
상기 인증 키 일치 과정을 수행한UE(111)는 209 과정에서 마스터 세션 키(master session key : Ks)를 생성하고, 211 과정에서 MTC-SECF(141)는 상기 마스트 세션 키와 트랜잭션 식별자(Transaction Identity : TID)를 생성할 수 있다. 여기서 상기 마스터 세션 키(Ks)는 세션을 보호하기 위한 마스터(master) 키를 의미한다. 상기 TID는 UE(111) 와 SCS(133) 사이에서 데이터 교환 및 보안을 위해 사용되는 식별자이다. 213 과정에서 HSS(121)는 MTC-SECF(141)로 단말 식별자와 사용자 프로파일(profile) 정보를 전송한다. 상기 213 과정은 다른 실시 예로서 상기 207 과정의 인증 키 일치 절차에서 HSS(121)가 MTC-SECF(141)로 인증 벡터를 전송할 때 함께 수행될 수 있다. 상기 인증 벡터는 네트워크와 단말간의 상호 인증을 위해, 통신 시스템에서 일반적으로 이용하는 난수(RAND), 기대응답(XRES), 암호화 키(CK), 무결성 키(IK), 인증 토큰(AUTN) 등을 이용할 수 있다. 그리고 215 과정에서 MTC-SECF(141)는 UE(111)에게 TID, 단말 식별자, MTC 보안 기능 식별자를 전송한다.
이후 UE(111)는 217 과정에서 SCS 식별자(SCS ID), 마스터 세션 키, 세션 정보 등을 이용하여 어플리케이션 세션 키(application session key)(KS_APs)를 생성한다. 상기 마스터 세션키는 상기 어플리케이션 세션키의 생성을 위한 입력값(input) 값(즉 seed 값)으로 사용되는 키이고, 상기 어플리케이션 세션키는 아래 데이터 요청 보안키(RK)와 사용자 식별 보안키(UK)의 입력값(즉 seed 값)으로 사용되는 키이다.
또한 상기 217 과정에서 UE(111)는 사용자의 데이터 요청을 식별하기 위한 데이터 요청 보안키(예컨대, Request key : RK)와 사용자를 식별하기 위한 보안키인 사용자 식별 보안키(예컨대, user key : UK)를 생성한다. 상기 RK, UK의 두 보안키는 어플리케이션 사용에 대한 사용자와 사용자의 요청을 구별하기 위한 것으로 이 두 보안키의 생성 과정에서 상기 어플리케이션 세션 키(Ks_APs) 등을 입력 값으로 사용할 수 있다. 상기 데이터 요청 보안키와 상기 사용자 식별 보안키는 상기 RK, UK 이외에도 각각 데이터 요청의 식별과 사용자 식별을 위한 다양한 공지된 키들을 이용할 수 있다.
이후 219 과정에서 UE(111)는 SCS(133)로 TID, MTC 보안 기능 식별자, 그룹(group) 정보를 전송한다. 여기서 상기 그룹 정보는 그룹 통신에서 사용자가 속하는 해당 그룹과 관련된 각종 정보(예를 들어 그룹 지역(area), 셀(cell)정보)가 될 수 있다. SCS(133)는 상기 그룹 정보를 이용하여 해당 그룹을 식별하는 그룹 식별자를 UE(111)에게 할당할 수 있다. 상기 그룹 식별자는 그룹 통신에서 사용자가 속하는 특정 그룹을 구분하기 위해 사용된다. 다른 실시 예로 UE(111)가 상기 그룹 식별자를 알 고 있으면, UE(111)는 상기 그룹 정보 대신에 상기 그룹 식별자를 전송할 수 있으며, 이 경우 상기와 같이 SCS(133)가 UE(111)에게 그룹 식별자를 할당하는 동작은 생략될 수 있다. 이하 본 발명의 실시 예에서는 상기한 예 중에서 UE(111)가 상기한 그룹 정보를 전송하고, SCS(133)가 그 그룹 정보에 해당하는 그룹 식별자를 할당하는 실시 예를 가정한다.
221 과정에서 SCS(133)는 MTC-SECF(141)로 TID, SCS 식별자, 그룹 정보(만약 SCS(133)가 UE(111)로부터 그룹 식별자를 수신하면, 그 그룹 식별자를 전송함)를 전송한다.
이후 223 과정에서 MTC-SECF(141)는 어플리케이션 세션 키를 생성한다. 이때 MTC-SECF(141)는 상기한 데이터 요청 보안키(RK)와 사용자 식별 보안키(UK)를 함께 생성할 수 있다. 이하 본 발명의 실시 예에서는 상기 데이터 요청 보안키(RK)와 사용자 식별 보안키(UK)도 함께 생성되는 경우를 가정하여 설명하기로 한다. 그러면 225 과정에서 MTC-SECF(141)는 SCS(133)로 어플리케이션 세션 키와 보안키를 전송한다.
도 2b를 참조하면, 이후 SCS(133)는 227 과정에서 상기 MTC-SECF(141)로부터 수신한 어플리케이션 세션키와 상기 데이터 요청 보안키(RK)와 사용자 식별 보안키(UK)를 저장한다. 229 과정에서 SCS(133)는 세션(session)을 보호하기 위한 세션 보안 키(session Security Key : SK)를 생성한다. 상기 세션 보안 키는 네트워크를 나타내는 코드인 MNC(Mobile Network Code), 국가를 나타내는 코드인 MCC(Mobile Country Code), 그룹 통신에서 그 세션 보안 키가 속한 그룹 등의 정보를 포함할 수 있다.
231 과정에서 SCS(133)는 상기한 그룹 식별자에 상기 세션 보안 키를 매핑한다. 이후 233 과정에서 SCS(133)는 UE(111)로 상기 그룹 식별자와 상기 세션 보안 키를 전송한다. 여기서 상기 세션 보안 키는 상기 사용자 식별 보안키(예컨대, UK)를 이용하여 암호화하여 전송될 수 있다. 이때 상기 세션 보안 키와 상기 그룹 식별자를 함께 암호화하여 전송하거나 또는 상기 세션 보안 키는 암호화하고 상기 그룹 식별자는 암호화하지 않고 전송하는 것도 가능하다. 그리고 상기 그룹 식별자는 UE(111)가 상기 219 과정에서 전송한 것이 아니라면, SCS(133)가 상기 세션 보안 키를 생성하고 그룹 통신에서 상기 생성된 세션 보안 키를 공유하는 그룹에 대해 할당하는 식별자를 상기 그룹 식별자로 이용할 수 있다. 235 과정에서 UE(111)는 예컨대, 상기 사용자 식별 보안키(예컨대, UK)를 이용하여 상기 세션 보안 키를 복호화할 수 있다. 이후 SCS(133)는 237 과정에서 트래픽의 보호를 위한 트래픽 키(traffic key)를 생성한다. 상기 트래픽 키는 MCC, MNC, 그룹 통신에서 그 트래픽 키가 속한 그룹, 그리고, 그 트래픽 키를 함께 사용하는 세션 등의 정보를 포함하며, 상기한 정보 중 적어도 하나를 포함하는 트래픽 키가 UE(111)에게 제공될 수 있다. 이후 239 과정에서 SCS(133)는 UE(111)로 상기 그룹 식별자와 트래픽 키를 전송하며, 상기 트래픽 키는 상기 세션 보안 키를 이용하여 암호화되어 전송될 수 있다. 이때 상기 트래픽 키와 상기 그룹 식별자를 함께 암호화하여 전송하거나 또는 상기 트래픽 키는 암호화하고 상기 그룹 식별자는 암호화하지 않고 전송하는 것도 가능하다. 그리고 상기 그룹 식별자를 별도로 전송하여 UE(111)에서 무결성 검사에 이용하도록 하는 것도 가능할 것이다.
241 과정에서 UE(111)는 상기 235 단계에서 복호화한 세션 보안 키를 이용하여 상기 트래픽 키를 복호화하고, 243 과정에서와 같이 그룹 통신에서 UE(243)와 SCS(133) 사이의 데이터 통신은 상기 트래픽 키를 통해 보안된 그룹 통신으로 수행된다.
상기한 본 발명의 실시 예에 따른 UE는 송신기, 수신기, 제어기를 포함하여 구성되며, 상기 제어기는 도 1 및 도 2에서 설명한 방식에 따라 그룹 통신을 위한 각종 정보를 송수신하여 보안된 그룹 통신을 수행할 수 있다. 또한 본 발명의 실시 예에 따른 SCS, MTC-SECF는 각각 서버로 구현될 수 있으며, 상기 SCS, MTC-SECF는 단말 또는 다른 서버와 그룹 통신을 위한 각종 정보를 송수신하는 통신 인터페이스, 제어기를 포함하며, 상기 제어기는 도 1 및 도 2에서 설명한 방식에 따라 그룹 통신을 위한 각종 정보를 송수신하여 보안된 그룹 통신을 수행할 수 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (6)

  1. 이동 통신 시스템에서 그룹 통신을 관리하는 서버에서 수행되는 그룹 통신을 위한 보안 관리 방법에 있어서,
    단말로부터 상기 그룹 통신을 위한 그룹 정보를 수신하고 상기 그룹 정보에 대응되는 그룹 식별자를 할당하는 과정;
    세션 보호를 위한 세션 보안 키를 생성하고 상기 그룹 식별자에 상기 세션 보안 키를 매핑하는 과정; 및
    상기 그룹 식별자와 상기 세션 보안 키를 상기 단말에게 전송하는 과정;
    트래픽의 보호를 위한 트래픽 키를 생성하고 상기 그룹 식별자와 상기 트래픽 키를 상기 단말에게 전송하는 과정을 포함하는 그룹 통신을 위한 보안 관리 방법.
  2. 제 1 항에 있어서,
    MTC를 이용하는 상기 단말로부터 MTC 보안 기능 식별자와 상기 그룹 정보를 수신하면, 상기 그룹 정보를 어플리케이션의 이용과 관련한 보안키를 생성하는 다른 서버로 전송하는 과정; 및
    상기 다른 서버로부터 상기 어플리케이션의 이용과 관련한 보안키와 상기 어플리케이션의 세션키를 수신하는 과정을 더 포함하는 그룹 통신을 위한 보안 관리 방법.
  3. 제 1 항에 있어서,
    상기 세션 보안 키는 각 단말에게 상기 트래픽 키의 복호화 시 이용되는 보안 관리 방법.
  4. 이동 통신 시스템에서 그룹 통신을 관리하는 서버에 있어서,
    상기 그룹 통신을 위한 각종 정보를 송수신하는 통신 인터페이스; 및
    단말로부터 상기 그룹 통신을 위한 그룹 정보를 수신하고 상기 그룹 정보에 대응되는 그룹 식별자를 할당하고, 세션 보호를 위한 세션 보안 키를 생성하고 상기 그룹 식별자에 상기 세션 보안 키를 매핑하며, 상기 그룹 식별자와 상기 세션 보안 키를 상기 단말에게 전송하며, 트래픽의 보호를 위한 트래픽 키를 생성하고 상기 그룹 식별자와 상기 트래픽 키를 상기 단말에게 전송하는 동작들을 제어하는 제어기를 포함하는 서버.
  5. 이동 통신 시스템에서 그룹 통신을 이용하는 단말에서 수행되는 보안 관리 방법에 있어서,
    상기 그룹 통신과 관련된 그룹 정보를 상기 그룹 통신을 관리하는 서버에게 전송하는 과정;
    상기 서버로부터 상기 그룹 통신을 위한 세션 보안 키와 트래픽의 보호를 위한 트래픽 키를 각각 수신하는 과정;
    상기 수신된 세션 보안 키를 이용하여 상기 트래픽 키를 복호화하는 과정; 및
    상기 복호된 트래픽 키를 이용하여 상기 서버와 상기 그룹 통신을 수행하는 과정을 포함하는 그룹 통신을 위한 보안 관리 방법.
  6. 이동 통신 시스템에서 그룹 통신을 이용하는 단말에서 수행되는 보안 관리 방법에 있어서,
    상기 그룹 통신과 관련된 각종 정보를 송수신하는 송수신부; 및
    상기 그룹 통신과 관련된 그룹 정보를 상기 그룹 통신을 관리하는 서버에게 전송하고, 상기 서버로부터 상기 그룹 통신을 위한 세션 보안 키와 트래픽의 보호를 위한 트래픽 키를 각각 수신하며, 상기 수신된 세션 보안 키를 이용하여 상기 트래픽 키를 복호화하며, 상기 복호된 트래픽 키를 이용하여 상기 서버와 상기 그룹 통신을 수행하는 동작을 제어하는 제어기를 포함하는 단말.
KR1020120108310A 2012-09-27 2012-09-27 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치 KR20140041226A (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020120108310A KR20140041226A (ko) 2012-09-27 2012-09-27 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치
CN201380050291.9A CN104871579B (zh) 2012-09-27 2013-09-27 移动通信***中群组通信安全管理的方法和装置
EP13841406.5A EP2903322B1 (en) 2012-09-27 2013-09-27 Security management method and apparatus for group communication in mobile communication system
US14/432,179 US9894065B2 (en) 2012-09-27 2013-09-27 Security management method and apparatus for group communication in mobile communication system
PCT/KR2013/008689 WO2014051383A1 (ko) 2012-09-27 2013-09-27 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120108310A KR20140041226A (ko) 2012-09-27 2012-09-27 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20140041226A true KR20140041226A (ko) 2014-04-04

Family

ID=50388666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120108310A KR20140041226A (ko) 2012-09-27 2012-09-27 이동 통신 시스템에서 그룹 통신을 위한 보안 관리 방법 및 장치

Country Status (5)

Country Link
US (1) US9894065B2 (ko)
EP (1) EP2903322B1 (ko)
KR (1) KR20140041226A (ko)
CN (1) CN104871579B (ko)
WO (1) WO2014051383A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018431A (ko) * 2014-08-08 2016-02-17 삼성전자주식회사 디바이스 대 디바이스 그룹 통신을 위한 카운터 관리 및 보안 키 업데이트 시스템 및 방법
KR20160087768A (ko) * 2015-01-14 2016-07-22 삼성전자주식회사 장치간 통신 네트워크에서 원격 ue와 릴레이 ue 사이에 안전한 통신을 확립하기 위한 방법 및 시스템
KR20160093225A (ko) * 2015-01-29 2016-08-08 (주)사이버텔브릿지 Ptt 그룹 통신 방법

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016526805A (ja) * 2013-06-28 2016-09-05 日本電気株式会社 セキュアシステム、及び、セキュア通信を行う方法
CN104581704B (zh) * 2013-10-25 2019-09-24 中兴通讯股份有限公司 一种实现机器类通信设备间安全通信的方法及网络实体
CN104936306B (zh) * 2014-03-17 2020-01-14 中兴通讯股份有限公司 Mtc设备组小数据安全传输连接建立方法、hss与***
US20170251342A1 (en) * 2014-10-02 2017-08-31 Rajesh Bhalla Group communication with a logical group of wireless devices operating in different networks
CN104348627B (zh) * 2014-10-31 2019-02-01 上海华为技术有限公司 密钥下发方法、对ue进行授权检查的方法及相关设备
US9918225B2 (en) 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
KR101675088B1 (ko) * 2015-04-30 2016-11-10 성균관대학교산학협력단 Mtc에서의 네트워크와의 상호 인증 방법 및 시스템
US9596079B1 (en) 2016-04-14 2017-03-14 Wickr Inc. Secure telecommunications
WO2017214238A1 (en) 2016-06-07 2017-12-14 Orion Labs Supplemental audio content for group communications
EP3442251B1 (en) * 2017-08-11 2020-10-21 Siemens Aktiengesellschaft Method for providing a safe operation of subsystems within a safety critical system
US10855440B1 (en) 2017-11-08 2020-12-01 Wickr Inc. Generating new encryption keys during a secure communication session
US11101999B2 (en) 2017-11-08 2021-08-24 Amazon Technologies, Inc. Two-way handshake for key establishment for secure communications
US10778432B2 (en) 2017-11-08 2020-09-15 Wickr Inc. End-to-end encryption during a secure communication session
US10541814B2 (en) 2017-11-08 2020-01-21 Wickr Inc. End-to-end encryption during a secure communication session
FR3074634A1 (fr) * 2017-12-01 2019-06-07 Orange Gestion de communication entre un terminal et un serveur d’un reseau
CN111586593B (zh) * 2019-02-18 2021-12-07 成都鼎桥通信技术有限公司 临时组呼的发起方法、装置及存储介质

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6587943B1 (en) * 1998-12-03 2003-07-01 Nortel Networks Ltd. Apparatus and method for limiting unauthorized access to a network multicast
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7409202B2 (en) * 2003-08-12 2008-08-05 Nextel Communications Inc. Communications restrictions for mobile group communication devices
JP4599852B2 (ja) * 2004-02-23 2010-12-15 ソニー株式会社 データ通信装置および方法、並びにプログラム
US7643817B2 (en) 2005-05-18 2010-01-05 General Dynamics C4 Systems, Inc. Method and apparatus for rapid secure session establishment on half-duplex AD-hoc group voice cellular network channels
EP1860904A1 (en) * 2006-05-26 2007-11-28 Matsushita Electric Industrial Co., Ltd. Mobility management in communication networks
US20080049941A1 (en) * 2006-08-24 2008-02-28 Samsung Electronics Co. Ltd. Method for providing personalized broadcasting service in communication system
JP4358239B2 (ja) 2007-01-10 2009-11-04 株式会社東芝 コンテンツ提供システム、追跡システム、コンテンツ提供方法及び不正ユーザ特定方法
US20080253562A1 (en) * 2007-04-12 2008-10-16 Nokia Corporation Handshake procedure
US7720995B2 (en) * 2007-06-08 2010-05-18 Cisco Technology, Inc. Conditional BGP advertising for dynamic group VPN (DGVPN) clients
US8122482B2 (en) * 2008-01-24 2012-02-21 Cisco Technology, Inc. Cryptographic peer discovery, authentication, and authorization for on-path signaling
US8046826B2 (en) * 2008-03-17 2011-10-25 International Business Machines Corporation Resource server proxy method and system
KR101042115B1 (ko) * 2008-05-08 2011-06-16 엘지전자 주식회사 세션 기반 통신 서비스에서의 보안키 관리 방법 및 이를 지원하는 단말
KR101094466B1 (ko) * 2008-05-08 2011-12-19 엘지전자 주식회사 세션 기반 통신 서비스에서의 그룹 세션의 업데이트 방법
US8401195B2 (en) * 2008-09-22 2013-03-19 Motorola Solutions, Inc. Method of automatically populating a list of managed secure communications group members
KR20110002654A (ko) * 2009-07-02 2011-01-10 삼성테크윈 주식회사 Rfid 환경에서의 보안 방법 및 그 시스템
US8301883B2 (en) * 2009-08-28 2012-10-30 Alcatel Lucent Secure key management in conferencing system
US8744079B2 (en) * 2009-09-15 2014-06-03 Cassidian Limited Secure communication system
KR101824987B1 (ko) 2010-02-11 2018-02-02 엘지전자 주식회사 이동통신 시스템에서의 다운링크 mtc 데이터 전송 방법
KR101646282B1 (ko) 2010-03-29 2016-08-08 엘지전자 주식회사 무선 통신 시스템에서 머신형 통신 장치의 데이터 전송 방법 및 장치
US8712459B2 (en) * 2010-09-13 2014-04-29 Electronics And Telecommunications Research Institute Group control method for machine type communication and mobile communication system using the method
KR20120028197A (ko) 2010-09-13 2012-03-22 한국전자통신연구원 사물통신 서비스를 위한 그룹 제어 방법, 그리고 이를 이용하는 이동통신 시스템
US20120076085A1 (en) * 2010-09-24 2012-03-29 Industrial Technology Research Institute Group paging method and wireless communication device and base station and paging controller using the same
WO2012077999A2 (en) * 2010-12-08 2012-06-14 Lg Electronics Inc. Traffic encryption key management for machine to machine multicast group
WO2012097883A1 (en) * 2011-01-17 2012-07-26 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for authenticating a communication device
WO2013012734A1 (en) * 2011-07-15 2013-01-24 Alcatel-Lucent Usa Inc. Secure group messaging
US8953791B2 (en) * 2011-08-08 2015-02-10 Marvell World Trade Ltd. Key derivative function for network communications

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018431A (ko) * 2014-08-08 2016-02-17 삼성전자주식회사 디바이스 대 디바이스 그룹 통신을 위한 카운터 관리 및 보안 키 업데이트 시스템 및 방법
KR20160087768A (ko) * 2015-01-14 2016-07-22 삼성전자주식회사 장치간 통신 네트워크에서 원격 ue와 릴레이 ue 사이에 안전한 통신을 확립하기 위한 방법 및 시스템
KR20160093225A (ko) * 2015-01-29 2016-08-08 (주)사이버텔브릿지 Ptt 그룹 통신 방법

Also Published As

Publication number Publication date
WO2014051383A1 (ko) 2014-04-03
US9894065B2 (en) 2018-02-13
CN104871579B (zh) 2018-11-02
EP2903322B1 (en) 2018-08-22
EP2903322A4 (en) 2016-06-22
CN104871579A (zh) 2015-08-26
EP2903322A1 (en) 2015-08-05
US20150244720A1 (en) 2015-08-27

Similar Documents

Publication Publication Date Title
EP2903322B1 (en) Security management method and apparatus for group communication in mobile communication system
CN105706390B (zh) 在无线通信网络中执行设备到设备通信的方法和装置
JP6641029B2 (ja) キー配信および認証方法およびシステム、ならびに装置
US10237738B2 (en) Wi-Fi privacy in an access point using media access control address randomization
EP2578007B1 (en) Securing group communication in a machine-to-machine communication environment
EP2676398B1 (en) Wireless device, registration server and method for provisioning of wireless devices
US11109206B2 (en) Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment
US10271208B2 (en) Security support method and system for discovering service and group communication in mobile communication system
US20160135041A1 (en) Wi-fi privacy in a wireless station using media access control address randomization
CN108886685B (zh) 一种终端匹配方法、装置
US20160323275A1 (en) Mutual authentication method and system with network in machine type communication
KR20130006032A (ko) 이동 통신 시스템에서 단말 설정 방법
US20130189955A1 (en) Method for context establishment in telecommunication networks
EP3096544B1 (en) Security method and system for supporting prose group communication or public safety in mobile communication
EP3637815B1 (en) Data transmission method, and device and system related thereto
EP3622736B1 (en) Privacy key in a wireless communication system
US10560843B2 (en) Method and system for supporting security and information for proximity based service in mobile communication system environment
CN118402207A (en) Method and equipment for relaying communication
CN116321108A (zh) 国际移动用户识别码传输方法及装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid