無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法
本発明は無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法に関し、この端末保安関連パラメター交渉方法は、端末と基地局が端末の保安関連パラメター交渉のために送受信する基本機能交渉要求メッセージ及び基本機能交渉応答メッセージに保安関連交渉パラメターを含める。この保安関連交渉パラメターは端末と基地局の間の認証政策交渉のために使用される認証政策支援副フィールドとメッセージ認証コード方式交渉のために使用されるメッセージ認証コード方式副フィールドを含む。基地局は事業者の政策によって認証またはメッセージ認証を行わずに省略が可能であるという内容を認証政策支援副フィールドまたはメッセージ認証コード方式副フィールドに記載して端末に通知することができる。また、端末と基地局は保安関連交渉パラメターの認証政策支援副フィールドを通じて、1つ以上の組み合わせからなる認証政策を選択することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法に関し、より詳しくは、無線携帯インターネットシステムで多様な認証政策とメッセージ認証方式を効率的に支援及び管理するための端末保安関連パラメター交渉方法に関するものである。
【背景技術】
【0002】
無線携帯インターネットは、従来無線LANのように固定されたアクセスポイント(AP)を利用する近距離データ通信方式に移動性をさらに支援する次世代通信方式である。このような無線携帯インターネットは、多様な標準が提案され、現在IEEE802.16を中心に携帯インターネットの国際標準化が進められている。ここでIEEE802.16は、基本的に都市圏通信網(MAN)を支援する規格で、構内情報通信網(LAN)と広域通信網(WAN)の中間程度の地域を網羅する情報通信網を意味する。
【0003】
このようなIEEE802.16無線MAN基盤の無線携帯インターネットシステムにおける認証政策においては、RSA(Rivest Shamir Adleman)基盤の認証とEAP(Extensibel Authentication Protocol)基盤の認証という、この2種類の認証方式が支援された。そして、端末と基地局は、初期接続手続中に行われる端末基本機能交渉過程を通じて、前記2種類の認証方式に対する交渉を行う。この時、端末は、基地局にIEEE802.16標準プロトコルのMAC(Message Authentication Code)メッセージのうちの1つであるSBC-REQ(Subscriber station Basic Capability Request)メッセージを伝送することで、端末が支援可能な全ての認証方式、ここでは2種類の認証方式を通知する。ここで、認証は、端末装置に対する認証、基地局装置に対する認証または使用者認証を意味する。
【0004】
一方、SBC-REQメッセージを受信した基地局は、端末から通知された認証方式と基地局自ら支援する認証方式を比較して交渉を行う。その後、基地局は、交渉された認証方式に関して、MACメッセージのうちの1つであるSBC-RSP(SS Basic Capability Response)メッセージを端末に伝送して知らせる。端末と基地局は、このような手続によって交渉された認証方式で、端末に対する認証機能を行う。
【0005】
しかし、前記従来方式によると、RSA基盤の認証方式とEAP基盤の認証方式のみを支援するため多様な認証方式を支援することができず、より効率的な認証方式の支援が要求される。また、無線携帯インターネットシステムの事業者政策によって、システム性能の向上のために認証機能が省略されなければならないが、従来方式によると、認証機能を省略することができないという問題がある。
【0006】
一方、無線携帯インターネットシステムでは、端末に対する認証機能を行う場合、端末と基地局との間で通信される全ての制御メッセージに対するメッセージ認証機能を支援している。
【0007】
端末と基地局は、このようなメッセージ認証のためにHMAC(Hashed Message Authentication Code)とCMAC(Cipher-based Message Authentication Code)を代表的に使用し、端末のシステム再接続手続やハンドオーバー手続を行う時に端末と基地局との間で交換される制御メッセージに使用される多様な大きさのHMACが存在するが、従来無線携帯インターネットシステムでは、このように多様なメッセージ認証方式が選択できる方法やメッセージ認証機能が省略できる方法が定義されていないという問題がある。
【特許文献1】米国特許第6134434号明細書
【特許文献2】欧州特許出願公開第1102505号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
したがって、本発明の技術的課題は、無線携帯インターネットシステムでより多様な認証政策とメッセージ認証方式を支援すると同時に、事業者の政策に応じて認証機能またはメッセージ認証機能が省略できる無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法を提供することにある。
【課題を解決するための手段】
【0009】
前記課題を達成するための本発明の1つの特徴による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法は、無線携帯インターネットシステムの端末が基地局と端末保安関連パラメターを交渉する方法として、a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを前記基地局に送信する段階;及び、b)前記基地局で交渉された保安関連機能が記載された保安関連交渉パラメターが含まれると共に、前記送信された基本機能交渉要求メッセージに対する応答として前記基地局から送信される基本機能交渉応答メッセージを、受信する段階を含み、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末に対する認証を行わずに省略する機能を支援することを特徴とする。
【0010】
ここで、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターは、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援することを特徴とする。
【0011】
また、メッセージに対する認証機能を支援する時に多様なメッセージ認証コード方式の選択を可能にすることを特徴とする。
【0012】
本発明の他の特徴による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法は、無線携帯インターネットシステムの基地局が端末と保安関連パラメターを交渉する方法として、a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記端末から受信する段階;及びb)前記受信された保安関連交渉パラメターに記載された前記端末が支援可能な保安関連機能と前記基地局が支援可能な保安関連機能に対する比較及び交渉を行い、その交渉結果が記載された保安関連交渉パラメターを含む基本機能交渉応答メッセージを、前記端末に送信する段階を含み、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末に対する認証を行わずに省略する機能を支援することを特徴とする。
【0013】
ここで、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターは、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援することを特徴とする。
【0014】
また、メッセージに対する認証機能を支援する時、多様なメッセージ認証コード方式選択を可能にすることを特徴とする。
【発明を実施するための最良の形態】
【0015】
以下、添付した図面を参照して本発明の実施例について、本発明が属する技術分野における通常の知識を有する者が容易に実施できるように詳しく説明する。しかし、本発明は、多様で相異なる形態で実現することができ、ここで説明する実施例に限られない。図面で本発明を明確に説明するために説明上不必要な部分は省略した。明細書全体にわたって類似の部分については同一図面符号を付けた。
【0016】
明細書全体である部分がある構成要素を“含む”とするとした時、これは特に反対になる記載のない限り他の構成要素を除くことではなく、他の構成要素をさらに含むことができることを意味する。
【0017】
以下、添付した図面を参照して本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法について詳細に説明する。
【0018】
端末が電源の供給を受けて基地局との初期接続手続が始まると、端末は、まず基地局と下り方向リンク同期を設定し、上り方向リンクパラメターを獲得する。このような上り方向リンクパラメターには、物理階層の特性(例えば、信号対雑音比)によるチャンネルデスクリプタメッセージが含まれてもよい。
【0019】
その後、端末と基地局は、無線リンク初期接続段階であるレンジング(Ranging)手続を行い、このようなレンジング手続が完了されると、端末と基地局との間の端末基本機能交渉段階が行われる。このような端末基本機能交渉段階を通じて、端末と基地局が物理階層に関する様々なパラメターを交渉する。また、この段階によって、保安に関するパラメターが交渉される。この時、交渉されるパラメターには、PKM(Privacy Key Management)バージョン、認証政策、メッセージ認証機能が含まれる。
【0020】
図1は、本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメターを交渉するための端末基本機能交渉過程の流れ図である。
【0021】
図1を参照すると、端末と基地局との間におけるレンジング手続が終わると、端末に対する認証のために、認証方式交渉過程を含む基本機能交渉(Subscriber Station Basic Capability Negotiation)手続が行われる。
【0022】
まず、端末は、基本機能交渉、特に端末の保安関連パラメター交渉のために、IEEE802.16標準プロトコルのMACメッセージのうちの1つである端末基本機能交渉要求(SBC-REQ)メッセージを基地局に送信する(S100)。
【0023】
この時、SBC-REQメッセージには、端末が支援可能な全ての情報を含むパラメターが含まれている。特に、このSBC-REQメッセージには、端末保安関連交渉パラメター(Security Neotiation Parameters)というフィールドを通じて端末が支援する全ての保安関連パラメターが含まれて、基地局に通知される。このような端末保安関連交渉パラメターフィールドには、複数の副フィールドが含まれ、PKMバージョン支援、認証政策支援、メッセージ認証コード方式を表現する副フィールドが該当する。このような副フィールドについては後述する。
【0024】
端末は、支援可能な多様な認証政策、支援可能な多様なメッセージ認証コード方式を、SBC-REQメッセージの副フィールドを通じて、基地局に通知することができる。
【0025】
次に、端末から送信されたSBC-REQメッセージを受信した基地局は、端末に対する認証のために、IEEE802.16の規格に既に定義された基本機能交渉を行うと同時に、SBC-REQメッセージに含まれている端末保安関連交渉パラメターと基地局自ら支援可能な端末保安関連パラメターを比較して、最終的な値を定める。この時、基地局は、従来RSA基盤の認証方式とEAP基盤の認証方式のうちのいずれかを選択することから抜けて、より多様な認証政策を選択することができる。例えば、基地局は、無線携帯インターネットシステムの事業者政策によって端末に対する認証機能を行わずに省略する認証政策も決めることができる。また、基地局は、HMACとCMACのうちのいずれかを選択することから抜けて、より多様なメッセージ認証コード方式を決めることができる。例えば、認証政策と同様に、基地局は、無線携帯インターネットシステムの事業者政策によってメッセージに対する認証機能を行わずに省略するメッセージ認証コード方式を決めることもできる。
【0026】
このように基地局で交渉された端末保安関連交渉パラメターは、IEEE802.16標準プロトコルのMACメッセージのうちの1つである基本機能交渉応答(SBC-RSP)メッセージを通じて、端末に転送される(S110)。
【0027】
したがって、端末と基地局との間の端末基本機能交渉手続が完了し、その結果、端末と基地局は、端末保安に関連して交渉されたパラメターを互いに共有する。
【0028】
図2は、本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法で提案する端末保安関連交渉パラメターを示すテーブルを表す図面である。
【0029】
前記のように、端末と基地局は、SBC-REQメッセージ及びSBC-RSPメッセージを交換することで、端末基本機能交渉過程を行う。この時、前記SBC-REQメッセージ及びSBC-RSPメッセージ内には、端末保安関連パラメター交渉遂行のために端末保安関連交渉パラメターフィールドが含まれる。
【0030】
この端末保安関連交渉パラメターフィールドは、複数の副フィールドで構成されている。そして、このフィールドのタイプは25であり、長さは、中に構成された複数の副フィールドを含むかどうかによって流動的である。
【0031】
図3は、図2に示された端末保安関連交渉パラメターの構成を示すテーブルを表す図面である。
【0032】
図3を参照すると、端末保安関連交渉パラメターフィールドは、複数の副フィールドを含む。この副フィールドは、端末に対する実質的な権限検証、つまり、端末に対する認証を行う以前に、端末と基地局との間で交渉されなければならないフィールドである。つまり、端末に対する基本機能交渉過程で交渉されなければならないフィールドである。このような複数の副フィールドには、PKMバージョン支援(PKM Version Support)、認証政策支援(Authorization Policy Support)、メッセージ認証コード方式(Message Authentication Code Mode)及びPNウィンドウサイズ(Window Size)が含まれる。
【0033】
PKMバージョン支援副フィールドは、端末と基地局との間でPKMバージョンを交渉するために使用される副フィールドである。ここで、PKMは、IEEE802.16標準プロトコルで保安階層を定義する保安キー管理(Privacy Key Management)プロトコルである。ここには、PKMバージョン1を示すPKM V1、及びPKMバージョン2を示すPKM V2が存在する。
【0034】
認証政策支援副フィールドは、端末と基地局との間で認証政策を交渉するために使用される副フィールドである。この副フィールドを通じて、端末と基地局は、多様な認証政策を選択することができ、また無線携帯インターネットシステム事業者の政策によって端末に対する認証機能が省略されてもよい。ここで、認証機能は、端末装置に対する認証機能、基地局装置に対する認証機能または使用者認証機能を意味する。
【0035】
メッセージ認証コード方式(MAC Mode)副フィールドは、端末と基地局との間で交換される全ての制御メッセージに対する認証方式を交渉するために使用される副フィールドである。この副フィールドを通じて、端末と基地局との間でメッセージ認証機能が省略されることもあり、またメッセージ認証機能が省略されない場合には、多様なメッセージ認証方式の中で選択された1つの方式が行われる。
【0036】
PN(Packet Number)ウィンドウサイズ副フィールドは、1つのSA(Security Association)ごとに受信PNウィンドウサイズを交渉するために使用される副フィールドである。
【0037】
図4は、図3に示されたPKMバージョン支援副フィールドのパラメターを示すテーブルを表す図面である。
【0038】
図4に示されたようなPKMバージョン支援副フィールドは、上述のように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、PKMバージョンを交渉するための副フィールドである。言い換えると、端末と基地局が、PKMバージョン1またはPKMバージョン2のうちの1つを選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが1であるために結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.1に決められ、1バイトの長さを有する。
【0039】
このようなPKMバージョン支援副フィールドの1バイトの中で、第0ビット(Bit#0)と第1ビット(Bit#1)のみが実際に使用され、他のビット(Bit#2-7)は使用されずに0に設定される。ここで、第0ビット(Bit#0)はPKMバージョン1を示し、第1ビット(Bit#1)はPKMバージョン2を示し、各ビット(Bit#0,1)が1に設定される場合には、当該PKMバージョンを支援することを示す。
【0040】
したがって、端末は、PKMバージョン支援副フィールドに3つの方式で記載することができ、端末は、PKMバージョン1のみを支援する方式(Bit#0=1、Bit#1=0)、PKMバージョン2のみを支援する方式(Bit#0=0、Bit#1=1)、そしてPKMバージョン1とPKMバージョン2の両方とも支援する方式(Bit#0=1、Bit#1=1)のうちの1つを支援することができる。
【0041】
図1を参照して説明すると、端末は、支援可能な全てのPKMバージョンが記載されたPKMバージョン支援副フィールドが含まれているSBC-REQメッセージ(S100)を基地局に伝送することで、端末が支援可能な全てのPKMバージョンを基地局に通知する。これを受信した基地局は、自身が支援可能なPKMバージョンと比較してこのパラメターを交渉し、その交渉の結果、決められたPKMバージョンが記載されたPKMバージョン支援副フィールドが含まれているSBC-RSPメッセージ(S110)を端末に伝送することによって、基地局で交渉されたPKMバージョンが端末に伝達される。
【0042】
このように端末と基地局との間で交渉されて共有されたPKMバージョンを有して端末に対する権限検証、つまり、認証手続が行われる。したがって、基地局は、交渉されたPKMバージョンのメッセージでない非交渉されたPKMバージョンのメッセージが受信される場合に、端末に対する認証手続を行わずに受信されたメッセージを廃棄する。
【0043】
図5は、図3に示された認証政策支援副フィールドのパラメターを示すテーブルを表す図面である。
【0044】
図5に示されたような認証政策支援副フィールドは、上述のように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、認証政策を交渉するための副フィールドである。本発明の実施例による無線携帯インターネットシステムでは、大きく3つの認証方式、つまり、RSAを基づく認証方式(RSA-based authorization)、EAPを基づく認証方式(EAP-based authorization)と、RSA基盤認証方式またはEAP基盤認証方式を通じて割り当てられたキーによるメッセージ認証機能を伴う認証されたEAP基盤の認証方式(Authenticated EAP-based authorization)が定義されている。つまり、端末と基地局がこの3つの認証方式の中の1つ以上の認証方式を選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが2であるために、結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.2に決められ、1バイトの長さを有する。
【0045】
このような認証政策支援副フィールドは、端末や基地局が支援するPKMバージョンが2である場合に定義される。つまり、端末や基地局が支援するPKMバージョンが1である場合において交渉される認証政策は、RSA基盤認証方式のみであるためである。
【0046】
このような認証政策支援副フィールドの1バイトの中で、第0ビット(Bit#0)から第2ビット(Bit#2)までは端末の初期接続手続で有効なビットである。そして、第4ビット(Bit#4)から第6ビット(Bit#6)までは端末のシステム再接続手続やハンドオーバー手続で有効なビットである。残り第3ビット(Bit#3)と第7ビット(Bit#7)は使用されずに0に設定される。ここで、第0ビット(Bit#0)と第4ビット(Bit#4)はRSAに基づく認証方式(RSA-based authorization)を示し、第1ビット(Bit#1)と第5ビット(Bit#5)はEAPに基づく認証方式(EAP-based authorization)を示し、第2ビット(Bit#2)と第6ビット(Bit#6)は認証されたEAP基盤の認証方式をそれぞれ示し、各ビット(Bit#0〜Bit#2、Bit#4〜Bit#6)が1に設定される場合には、該当する認証政策を支援することを示す。
【0047】
したがって、初期接続手続中にある端末は、前記副フィールドの下位3ビット(Bit#0〜Bit#2)を通じて、初期接続手続中の認証手続で支援可能な認証政策にのみ値を1に設定し、支援が不可能な認証政策に対しては値を0に設定する。
【0048】
また、端末は、前記副フィールドの上位3ビット(Bit#4〜Bit#6)を通じて、再接続手続中やハンドオーバー手続中の認証手続で支援可能な認証政策にのみ値を1に設定し、支援不可能な認証政策に対しては値を0に設定する。
【0049】
図1を参照して説明すると、端末は、支援可能な全ての認証政策が記載された認証政策支援副フィールドが含まれたSBC-REQメッセージ(S100)を基地局に伝送して、端末が支援可能な全ての認証政策を基地局に通知する。
【0050】
これを受信した基地局は、まず、端末から伝送される認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)に関して、自分が支援可能な認証政策と比較し、このパラメターを交渉する。そして、認証政策支援副フィールドの上位3ビット(Bit#4〜Bit#6)は、端末がシステム再接続またはハンドオーバー時に使用することを要請する認証政策であるので、この複数のビットに対しては交渉せずに、基地局が別に管理した後、端末のハンドオーバー要請時に近接基地局に通知する。
【0051】
基地局が、前記で交渉された認証政策が記載された認証政策支援副フィールドが含まれたSBC-RSPメッセージ(S110)を端末に伝送することで、基地局で交渉された認証政策が端末に伝達される。この時、SBC-RSPメッセージ(S110)に含まれた認証政策支援副フィールドの中の下位3ビット(Bit#0〜Bit#2)は、基地局が最終的に交渉した初期接続手続中の認証手続を行う時に使用される認証政策を表現したもので、他のビット(Bit#3〜Bit#7)は0に設定されている。
【0052】
本発明の実施例では、無線携帯インターネットシステムの事業者政策によってシステム性能を志向する場合、端末の認証機能が省略されることもできる。この時には、基地局が端末に伝送するSBC-RSPメッセージ(S110)に含まれる認証政策支援副フィールド値が全て0に設定される。つまり、基地局は、端末に伝送する認証政策支援副フィールドの全てのビットを0に設定することで、事業者の政策によって端末の認証機能が省略されることを知らせることができる。この場合、端末は、基地局との間で、端末に対する権限検証、つまり、認証手続を行わず、直ちに端末を基地局に登録する登録手続を行う。
【0053】
一方、端末が基地局に伝送するSBC-REQメッセージ(S100)に認証政策支援副フィールドが存在すると、これに対する応答として基地局が端末に伝送するSBC-RSPメッセージ(S110)に、認証政策支援副フィールドが必ず存在しなければならない。
【0054】
これとは反対に、端末が基地局に伝送するSBC-REQメッセージ(S100)に認証政策支援副フィールドが存在しなければ、端末はRSA基盤の認証政策のみを支援する。この場合では、基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉された認証政策支援副フィールドが存在しないことがあり、この場合、端末と基地局との間で交渉された認証政策はRSA基盤の認証政策である。万一、基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉された認証政策支援副フィールドが存在すると、RSA基盤の認証政策が交渉されたことと同様な結果、または以下で説明される認証機能を支援しない結果(No Authorization)が記載されて伝達される。RSA基盤の認証政策が交渉されたことと同様な結果に対しては、第0ビット(Bit#0)が1に設定されて端末に伝達され、認証政策が省略される結果については後述する。
【0055】
このように端末と基地局との間で交渉されて共有された認証政策によって、端末または基地局に対する権限検証または使用者認証、つまり、多様な認証手続が行われる。したがって、基地局は、交渉された認証政策に相当しない認証関連メッセージが受信された場合には、端末に対する認証手続を行わず、受信されたメッセージを廃棄する。
【0056】
図6は、図5に示された認証政策支援副フィールドを使用して交渉可能な全ての認証政策を示すテーブルを表す図面である。
【0057】
IEEE802.16無線MAN基盤の無線携帯インターネットシステムにおける認証政策は、大きく3つの認証方式(RSAに基づく認証方式とEAPに基づく認証方式、そして認証されたEAP基盤認証方式)の組み合わせからなることは前述した通りである。前記3つの認証方式の組み合わせを端末基本機能交渉段階を行いながら端末と基地局が交渉し、この交渉結果によって、基地局は端末に対する認証を行う。
【0058】
初期接続手続中の認証手続のために認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)が使用され、再接続手続やハンドオーバー手続中の認証手続のために認証政策支援副フィールドの上位3ビット(Bit#4〜Bit#6)が使用される。
【0059】
このように、認証政策支援副フィールドの各ビットを使用して支援可能な認証政策には、図6に示した通りに8種類のケースが存在する。
【0060】
このような8種類のケースの中で、端末が基地局に伝送するSBC-REQメッセージ(S100)に含まれる認証政策支援副フィールドに対しては、ケース3、4、5、6及び7のみが適用される。端末は、最少で1つ以上の認証政策を支援しなければならないので、認証機能を支援しないケース1は適用できない。また、ケース2とケース8は、現在の保安キー管理プロトコル(PKMバージョン2)で支援しないために適用できない。
【0061】
一方、SBC-REQメッセージを受信した基地局は、認証政策支援副フィールドに対して交渉し、この副フィールドが含まれているSBC-RSPメッセージ(S110)を端末に伝送して端末基本機能交渉段階を完了する。SBC-RSPメッセージに含まれる認証政策支援副フィールドには、初期接続手続中の認証手続の時に必要な交渉された認証政策のみが提示される。つまり、上位3ビット(Bit#4〜Bit#6)は0にセッティングされ、下位3ビット(Bit#0〜Bit#2)のみが有効なビット値となる。
【0062】
また、無線携帯インターネットシステムの事業者政策によってシステム性能を考慮する場合、認証機能を省略してもよい。このような場合は、認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を全て0に設定することで行われる。
【0063】
例えば、基地局が最終的にEAP基盤の認証方式のみを認証政策として選択する場合には、ケース3のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0064】
また、EAP基盤の認証方式を行った後、これに基づく認証されたEAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース4のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0065】
また、RSA基盤の認証方式のみを認証政策として基地局が最終的に選択した場合には、ケース5のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0066】
また、RSA基盤の認証方式を行った後、これを先例として認証されたEAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース6のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0067】
また、RSA基盤の認証方式を行った後、EAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース7のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0068】
上述のように、ケース2とケース8は、現在の保安キー管理プロトコル(PKM)で支援しないために適用できない。
【0069】
このような方法で、端末と基地局が、初期接続手続中の認証手続のために使用される認証政策を交渉する。交渉された認証政策によって端末と基地局の両方が認証手続を行い、基地局は、交渉されなった認証政策に関するメッセージを受信する場合には、当該メッセージを廃棄する。
【0070】
図7は、図3に示されたメッセージ認証コード方式副フィールドのパラメターを示すテーブルを表す図面である。
【0071】
図7に示されたようなメッセージ認証コード方式副フィールドは、上述したように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、メッセージ認証方式を交渉するための副フィールドである。
【0072】
本発明の実施例による無線携帯インターネットシステムにおけるメッセージ認証コード方式としては、HMAC、CMACと多様なshort-HMACが定義されている。つまり、端末と基地局がこのようなメッセージ認証コード方式の中の1つ以上のメッセージ認証方式を選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが3であるので、結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.3に決められ、1バイトの長さを有する。
【0073】
ここで、short-HMACメッセージ認証コード方式は、ハンドオーバー時に必要なメッセージ、つまり、MOB_SLP-REQ/RSP、MOB_SCAN-REQ/RSP、MOB_MSHO-REQ、MOB_BSHO-REQ/RSP、MOB_HO-INDとRNG-REQ/RSPメッセージにのみ適用できる。
【0074】
このようなメッセージ認証コード方式副フィールドの1バイトの中で、第0ビット(Bit#0)から第4ビット(Bit#4)までは有効なビットであり、他のビット(Bit#5〜Bit#7)は使用されずに全て0に設定される。
【0075】
ここで、第0ビット(Bit#0)はHMAC方式を示し、第1ビット(Bit#1)はCMAC方式を示し、第2ビット(Bit#2)は64-ビットshort-HMAC方式を示し、第3ビット(Bit#3)は80-ビットshort-HMAC方式を示し、第4ビット(Bit#4)は96-ビットshort-HMAC方式を示し、各ビット(Bit#0〜Bit#4)が1に設定される場合、該当するメッセージ認証コード方式を支援することを示す。
【0076】
したがって、初期接続手続中にある端末は、前記副フィールドの2個のビット(Bit#0〜Bit#1)を通じて、初期接続手続中の認証手続で支援可能なメッセージ認証コード方式にのみ値を1に設定し、支援不可能なメッセージ認証コード方式に対しては値を0に設定する。
【0077】
また、端末は、前記副フィールドの3個のビット(Bit#2〜Bit#4)を通じて、ハンドオーバー手続を行う時に必要なメッセージに適用可能なメッセージ認証コード方式を基地局に通知し、支援可能なメッセージ認証コード方式にのみ値を1に設定し、支援不可能なメッセージ認証コード方式に対しては値を0に設定する。
【0078】
図1を参照して説明すると、端末は、支援可能な全てのメッセージ認証コード方式が記載された副フィールドが含まれたSBC-REQメッセージ(S100)を基地局に伝送することによって、端末が支援可能な全てのメッセージ認証コード方式を基地局に通知する。
【0079】
これを受信した基地局は、まず、端末から伝送されるメッセージ認証コード方式副フィールドの下位2ビット(Bit#0〜Bit#1)に関して、自分が支援可能なメッセージ認証コード方式と比較してこのパラメターを交渉する。
【0080】
基地局が、前記で交渉されたメッセージ認証コード方式が記載された副フィールドが含まれたSBC-RSPメッセージ(S110)を端末に伝送することで、基地局で交渉されたメッセージ認証コード方式が端末に伝達される。この時、SBC-RSPメッセージ(S110)に含まれた交渉されたメッセージ認証コード方式副フィールドの中の下位2ビット(Bit#0〜Bit#1)は、端末の再接続手続やハンドオフ手続でない手続に定義されるメッセージに使用されるメッセージ認証コード方式を表現したもので、次のビット(Bit#2〜Bit#4)は、端末の再接続手続やハンドオフ手続に定義されるメッセージに使用されるメッセージ認証コード方式を表現したもので、残りビット(Bit#5〜Bit#7)は0に設定されている。
【0081】
端末と基地局は、1つ以上のメッセージ認証コード方式を支援することができる。万一、端末と基地局が1つのメッセージ認証コード方式のみを支援するように交渉した場合、2つのノードの間の制御メッセージ通信の時に、当該メッセージ認証コード方式を使用しなければならない。これとは異なって、端末と基地局が1つ以上のメッセージ認証コード方式を支援する場合、2つのノード間の制御メッセージを通信する時に、交渉されたメッセージ認証コード方式のうちの1つの方式を使用しなければならない。
【0082】
特に、無線携帯インターネットシステムの事業者政策によってシステム性能を志向する場合、メッセージ認証機能が省略されてもよい。この時には、基地局が端末に伝送するSBC-RSPメッセージ(S110)に含まれたメッセージ認証コード方式副フィールドの値が全て0に設定される。つまり、基地局は、端末に伝送するメッセージ認証コード方式副フィールドの全てのビットを0に設定することによって、事業者の政策によってメッセージ認証機能が省略されることを知らせることができる。
【0083】
一方、端末が基地局に伝送するSBC-REQメッセージ(S100)にメッセージ認証コード方式副フィールドが存在すると、これに対する応答として基地局が端末に伝送するSBC-RSPメッセージ(S110)に、メッセージ認証コード方式副フィールドが必ず存在しなければならない。
【0084】
これとは反対に、端末が基地局に伝送するSBC-REQメッセージ(S100)にメッセージ認証コード方式副フィールドが存在しないと、端末は、ただHMAC方式のみを使用するメッセージ認証方式のみを支援する。この場合において、基地局が端末に伝送するSBC-RSPメッセージ(S110)に、交渉されたメッセージ認証コード方式副フィールドが存在しないこともあり、もしメッセージ認証コード方式副フィールドが存在しない場合、端末と基地局との間で交渉されたメッセージ認証コード方式は、HMAC基盤のメッセージ認証コード方式である。万一基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉されたメッセージ認証コード方式副フィールドが存在すると、HMAC基盤のメッセージ認証コード方式が交渉されたことと同様な結果、またはメッセージ認証機能を支援しない結果が記載されて伝達される。HMAC基盤のメッセージ認証コード方式が交渉されたことと同様な結果に対しては、第0ビット(Bit#0)が1に設定されて端末に伝達され、メッセージ認証機能を省略する結果に対しては、全てのビット(Bit#0〜Bit#7)が0に設定されて端末に伝達される。
【0085】
このように端末と基地局との間で共有されたメッセージ認証コード方式に応じて、端末と基地局との間で通信される制御メッセージに対する認証機能を行う。端末や基地局の両方が、交渉されないメッセージ認証コード方式を使用した制御メッセージを受信した場合、当該制御メッセージに対する認証段階を行わずに受信されたメッセージを廃棄する。
【0086】
以上、本発明の好ましい実施例について詳細に説明したが、本発明はこれに限定されるわけではなく、その他の多様な変更や変形が可能である。
【産業上の利用可能性】
【0087】
本発明によると次のような効果がある。
【0088】
第一に、多様な保安に関するパラメターを1つの保安交渉パラメターに含めさせることによって、当該パラメターに対する管理がより容易になる。
【0089】
第二に、PKMバージョン支援という副フィールドを提供することによって、端末と基地局が多様なPKMバージョンの認証プロトコルを交渉することができる基盤が備えられる。
【0090】
第三に、認証政策支援という副フィールドを提供することによって、端末と基地局が多様な認証政策を流動的に立てることができる。また、認証政策の最終決定権限を基地局が有するので、無線携帯インターネットシステムの事業者が認証機能をより容易に使用することができる。
【0091】
第四に、基地局が交渉された多様な認証政策を有するので、より強力な認証機能を行うことができる。
【0092】
第五に、無線携帯インターネットシステムの事業者がシステムの性能を考慮する場合、認証機能を省略することができる。
【0093】
第六に、メッセージ認証コード方式という副フィールドを提供することによって、端末と基地局が多様な方式でメッセージ認証機能を行うことができる。また、メッセージ認証コード方式の最終決定権を基地局が有するので、無線携帯インターネットシステムの事業者が無線区間制御メッセージを通信する時、メッセージ認証機能に対してより容易に管理することができる。
【0094】
第七に、無線携帯インターネットシステムの事業者がシステムの性能を考慮する場合、制御メッセージ認証機能が省略されてもよい。
【図面の簡単な説明】
【0095】
【図1】本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメターを交渉するための端末基本機能交渉過程の流れ図である。
【図2】本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法で提案する端末保安関連交渉パラメターを示すテーブルを表す図面である。
【図3】図2に示された端末保安関連交渉パラメターの構成を示すテーブルを表す図面である。
【図4】図3に示されたPKMバージョン支援(PKM Version Support)副フィールドのパラメターを示すテーブルを表す図面である。
【図5】図3に示された認証政策支援副フィールドのパラメターを示すテーブルを表す図面である。
【図6】図5に示された認証政策支援副フィールドを使用して交渉可能な全ての組み合わせの認証政策を示すテーブルを表す図面である。
【図7】図3に示されたメッセージ認証コード方式副フィールドのパラメターを示すテーブルを表す図面である。
【技術分野】
【0001】
本発明は、無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法に関し、より詳しくは、無線携帯インターネットシステムで多様な認証政策とメッセージ認証方式を効率的に支援及び管理するための端末保安関連パラメター交渉方法に関するものである。
【背景技術】
【0002】
無線携帯インターネットは、従来無線LANのように固定されたアクセスポイント(AP)を利用する近距離データ通信方式に移動性をさらに支援する次世代通信方式である。このような無線携帯インターネットは、多様な標準が提案され、現在IEEE802.16を中心に携帯インターネットの国際標準化が進められている。ここでIEEE802.16は、基本的に都市圏通信網(MAN)を支援する規格で、構内情報通信網(LAN)と広域通信網(WAN)の中間程度の地域を網羅する情報通信網を意味する。
【0003】
このようなIEEE802.16無線MAN基盤の無線携帯インターネットシステムにおける認証政策においては、RSA(Rivest Shamir Adleman)基盤の認証とEAP(Extensibel Authentication Protocol)基盤の認証という、この2種類の認証方式が支援された。そして、端末と基地局は、初期接続手続中に行われる端末基本機能交渉過程を通じて、前記2種類の認証方式に対する交渉を行う。この時、端末は、基地局にIEEE802.16標準プロトコルのMAC(Message Authentication Code)メッセージのうちの1つであるSBC-REQ(Subscriber station Basic Capability Request)メッセージを伝送することで、端末が支援可能な全ての認証方式、ここでは2種類の認証方式を通知する。ここで、認証は、端末装置に対する認証、基地局装置に対する認証または使用者認証を意味する。
【0004】
一方、SBC-REQメッセージを受信した基地局は、端末から通知された認証方式と基地局自ら支援する認証方式を比較して交渉を行う。その後、基地局は、交渉された認証方式に関して、MACメッセージのうちの1つであるSBC-RSP(SS Basic Capability Response)メッセージを端末に伝送して知らせる。端末と基地局は、このような手続によって交渉された認証方式で、端末に対する認証機能を行う。
【0005】
しかし、前記従来方式によると、RSA基盤の認証方式とEAP基盤の認証方式のみを支援するため多様な認証方式を支援することができず、より効率的な認証方式の支援が要求される。また、無線携帯インターネットシステムの事業者政策によって、システム性能の向上のために認証機能が省略されなければならないが、従来方式によると、認証機能を省略することができないという問題がある。
【0006】
一方、無線携帯インターネットシステムでは、端末に対する認証機能を行う場合、端末と基地局との間で通信される全ての制御メッセージに対するメッセージ認証機能を支援している。
【0007】
端末と基地局は、このようなメッセージ認証のためにHMAC(Hashed Message Authentication Code)とCMAC(Cipher-based Message Authentication Code)を代表的に使用し、端末のシステム再接続手続やハンドオーバー手続を行う時に端末と基地局との間で交換される制御メッセージに使用される多様な大きさのHMACが存在するが、従来無線携帯インターネットシステムでは、このように多様なメッセージ認証方式が選択できる方法やメッセージ認証機能が省略できる方法が定義されていないという問題がある。
【特許文献1】米国特許第6134434号明細書
【特許文献2】欧州特許出願公開第1102505号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
したがって、本発明の技術的課題は、無線携帯インターネットシステムでより多様な認証政策とメッセージ認証方式を支援すると同時に、事業者の政策に応じて認証機能またはメッセージ認証機能が省略できる無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法を提供することにある。
【課題を解決するための手段】
【0009】
前記課題を達成するための本発明の1つの特徴による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法は、無線携帯インターネットシステムの端末が基地局と端末保安関連パラメターを交渉する方法として、a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを前記基地局に送信する段階;及び、b)前記基地局で交渉された保安関連機能が記載された保安関連交渉パラメターが含まれると共に、前記送信された基本機能交渉要求メッセージに対する応答として前記基地局から送信される基本機能交渉応答メッセージを、受信する段階を含み、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末に対する認証を行わずに省略する機能を支援することを特徴とする。
【0010】
ここで、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターは、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援することを特徴とする。
【0011】
また、メッセージに対する認証機能を支援する時に多様なメッセージ認証コード方式の選択を可能にすることを特徴とする。
【0012】
本発明の他の特徴による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法は、無線携帯インターネットシステムの基地局が端末と保安関連パラメターを交渉する方法として、a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記端末から受信する段階;及びb)前記受信された保安関連交渉パラメターに記載された前記端末が支援可能な保安関連機能と前記基地局が支援可能な保安関連機能に対する比較及び交渉を行い、その交渉結果が記載された保安関連交渉パラメターを含む基本機能交渉応答メッセージを、前記端末に送信する段階を含み、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末に対する認証を行わずに省略する機能を支援することを特徴とする。
【0013】
ここで、前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターは、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援することを特徴とする。
【0014】
また、メッセージに対する認証機能を支援する時、多様なメッセージ認証コード方式選択を可能にすることを特徴とする。
【発明を実施するための最良の形態】
【0015】
以下、添付した図面を参照して本発明の実施例について、本発明が属する技術分野における通常の知識を有する者が容易に実施できるように詳しく説明する。しかし、本発明は、多様で相異なる形態で実現することができ、ここで説明する実施例に限られない。図面で本発明を明確に説明するために説明上不必要な部分は省略した。明細書全体にわたって類似の部分については同一図面符号を付けた。
【0016】
明細書全体である部分がある構成要素を“含む”とするとした時、これは特に反対になる記載のない限り他の構成要素を除くことではなく、他の構成要素をさらに含むことができることを意味する。
【0017】
以下、添付した図面を参照して本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法について詳細に説明する。
【0018】
端末が電源の供給を受けて基地局との初期接続手続が始まると、端末は、まず基地局と下り方向リンク同期を設定し、上り方向リンクパラメターを獲得する。このような上り方向リンクパラメターには、物理階層の特性(例えば、信号対雑音比)によるチャンネルデスクリプタメッセージが含まれてもよい。
【0019】
その後、端末と基地局は、無線リンク初期接続段階であるレンジング(Ranging)手続を行い、このようなレンジング手続が完了されると、端末と基地局との間の端末基本機能交渉段階が行われる。このような端末基本機能交渉段階を通じて、端末と基地局が物理階層に関する様々なパラメターを交渉する。また、この段階によって、保安に関するパラメターが交渉される。この時、交渉されるパラメターには、PKM(Privacy Key Management)バージョン、認証政策、メッセージ認証機能が含まれる。
【0020】
図1は、本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメターを交渉するための端末基本機能交渉過程の流れ図である。
【0021】
図1を参照すると、端末と基地局との間におけるレンジング手続が終わると、端末に対する認証のために、認証方式交渉過程を含む基本機能交渉(Subscriber Station Basic Capability Negotiation)手続が行われる。
【0022】
まず、端末は、基本機能交渉、特に端末の保安関連パラメター交渉のために、IEEE802.16標準プロトコルのMACメッセージのうちの1つである端末基本機能交渉要求(SBC-REQ)メッセージを基地局に送信する(S100)。
【0023】
この時、SBC-REQメッセージには、端末が支援可能な全ての情報を含むパラメターが含まれている。特に、このSBC-REQメッセージには、端末保安関連交渉パラメター(Security Neotiation Parameters)というフィールドを通じて端末が支援する全ての保安関連パラメターが含まれて、基地局に通知される。このような端末保安関連交渉パラメターフィールドには、複数の副フィールドが含まれ、PKMバージョン支援、認証政策支援、メッセージ認証コード方式を表現する副フィールドが該当する。このような副フィールドについては後述する。
【0024】
端末は、支援可能な多様な認証政策、支援可能な多様なメッセージ認証コード方式を、SBC-REQメッセージの副フィールドを通じて、基地局に通知することができる。
【0025】
次に、端末から送信されたSBC-REQメッセージを受信した基地局は、端末に対する認証のために、IEEE802.16の規格に既に定義された基本機能交渉を行うと同時に、SBC-REQメッセージに含まれている端末保安関連交渉パラメターと基地局自ら支援可能な端末保安関連パラメターを比較して、最終的な値を定める。この時、基地局は、従来RSA基盤の認証方式とEAP基盤の認証方式のうちのいずれかを選択することから抜けて、より多様な認証政策を選択することができる。例えば、基地局は、無線携帯インターネットシステムの事業者政策によって端末に対する認証機能を行わずに省略する認証政策も決めることができる。また、基地局は、HMACとCMACのうちのいずれかを選択することから抜けて、より多様なメッセージ認証コード方式を決めることができる。例えば、認証政策と同様に、基地局は、無線携帯インターネットシステムの事業者政策によってメッセージに対する認証機能を行わずに省略するメッセージ認証コード方式を決めることもできる。
【0026】
このように基地局で交渉された端末保安関連交渉パラメターは、IEEE802.16標準プロトコルのMACメッセージのうちの1つである基本機能交渉応答(SBC-RSP)メッセージを通じて、端末に転送される(S110)。
【0027】
したがって、端末と基地局との間の端末基本機能交渉手続が完了し、その結果、端末と基地局は、端末保安に関連して交渉されたパラメターを互いに共有する。
【0028】
図2は、本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法で提案する端末保安関連交渉パラメターを示すテーブルを表す図面である。
【0029】
前記のように、端末と基地局は、SBC-REQメッセージ及びSBC-RSPメッセージを交換することで、端末基本機能交渉過程を行う。この時、前記SBC-REQメッセージ及びSBC-RSPメッセージ内には、端末保安関連パラメター交渉遂行のために端末保安関連交渉パラメターフィールドが含まれる。
【0030】
この端末保安関連交渉パラメターフィールドは、複数の副フィールドで構成されている。そして、このフィールドのタイプは25であり、長さは、中に構成された複数の副フィールドを含むかどうかによって流動的である。
【0031】
図3は、図2に示された端末保安関連交渉パラメターの構成を示すテーブルを表す図面である。
【0032】
図3を参照すると、端末保安関連交渉パラメターフィールドは、複数の副フィールドを含む。この副フィールドは、端末に対する実質的な権限検証、つまり、端末に対する認証を行う以前に、端末と基地局との間で交渉されなければならないフィールドである。つまり、端末に対する基本機能交渉過程で交渉されなければならないフィールドである。このような複数の副フィールドには、PKMバージョン支援(PKM Version Support)、認証政策支援(Authorization Policy Support)、メッセージ認証コード方式(Message Authentication Code Mode)及びPNウィンドウサイズ(Window Size)が含まれる。
【0033】
PKMバージョン支援副フィールドは、端末と基地局との間でPKMバージョンを交渉するために使用される副フィールドである。ここで、PKMは、IEEE802.16標準プロトコルで保安階層を定義する保安キー管理(Privacy Key Management)プロトコルである。ここには、PKMバージョン1を示すPKM V1、及びPKMバージョン2を示すPKM V2が存在する。
【0034】
認証政策支援副フィールドは、端末と基地局との間で認証政策を交渉するために使用される副フィールドである。この副フィールドを通じて、端末と基地局は、多様な認証政策を選択することができ、また無線携帯インターネットシステム事業者の政策によって端末に対する認証機能が省略されてもよい。ここで、認証機能は、端末装置に対する認証機能、基地局装置に対する認証機能または使用者認証機能を意味する。
【0035】
メッセージ認証コード方式(MAC Mode)副フィールドは、端末と基地局との間で交換される全ての制御メッセージに対する認証方式を交渉するために使用される副フィールドである。この副フィールドを通じて、端末と基地局との間でメッセージ認証機能が省略されることもあり、またメッセージ認証機能が省略されない場合には、多様なメッセージ認証方式の中で選択された1つの方式が行われる。
【0036】
PN(Packet Number)ウィンドウサイズ副フィールドは、1つのSA(Security Association)ごとに受信PNウィンドウサイズを交渉するために使用される副フィールドである。
【0037】
図4は、図3に示されたPKMバージョン支援副フィールドのパラメターを示すテーブルを表す図面である。
【0038】
図4に示されたようなPKMバージョン支援副フィールドは、上述のように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、PKMバージョンを交渉するための副フィールドである。言い換えると、端末と基地局が、PKMバージョン1またはPKMバージョン2のうちの1つを選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが1であるために結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.1に決められ、1バイトの長さを有する。
【0039】
このようなPKMバージョン支援副フィールドの1バイトの中で、第0ビット(Bit#0)と第1ビット(Bit#1)のみが実際に使用され、他のビット(Bit#2-7)は使用されずに0に設定される。ここで、第0ビット(Bit#0)はPKMバージョン1を示し、第1ビット(Bit#1)はPKMバージョン2を示し、各ビット(Bit#0,1)が1に設定される場合には、当該PKMバージョンを支援することを示す。
【0040】
したがって、端末は、PKMバージョン支援副フィールドに3つの方式で記載することができ、端末は、PKMバージョン1のみを支援する方式(Bit#0=1、Bit#1=0)、PKMバージョン2のみを支援する方式(Bit#0=0、Bit#1=1)、そしてPKMバージョン1とPKMバージョン2の両方とも支援する方式(Bit#0=1、Bit#1=1)のうちの1つを支援することができる。
【0041】
図1を参照して説明すると、端末は、支援可能な全てのPKMバージョンが記載されたPKMバージョン支援副フィールドが含まれているSBC-REQメッセージ(S100)を基地局に伝送することで、端末が支援可能な全てのPKMバージョンを基地局に通知する。これを受信した基地局は、自身が支援可能なPKMバージョンと比較してこのパラメターを交渉し、その交渉の結果、決められたPKMバージョンが記載されたPKMバージョン支援副フィールドが含まれているSBC-RSPメッセージ(S110)を端末に伝送することによって、基地局で交渉されたPKMバージョンが端末に伝達される。
【0042】
このように端末と基地局との間で交渉されて共有されたPKMバージョンを有して端末に対する権限検証、つまり、認証手続が行われる。したがって、基地局は、交渉されたPKMバージョンのメッセージでない非交渉されたPKMバージョンのメッセージが受信される場合に、端末に対する認証手続を行わずに受信されたメッセージを廃棄する。
【0043】
図5は、図3に示された認証政策支援副フィールドのパラメターを示すテーブルを表す図面である。
【0044】
図5に示されたような認証政策支援副フィールドは、上述のように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、認証政策を交渉するための副フィールドである。本発明の実施例による無線携帯インターネットシステムでは、大きく3つの認証方式、つまり、RSAを基づく認証方式(RSA-based authorization)、EAPを基づく認証方式(EAP-based authorization)と、RSA基盤認証方式またはEAP基盤認証方式を通じて割り当てられたキーによるメッセージ認証機能を伴う認証されたEAP基盤の認証方式(Authenticated EAP-based authorization)が定義されている。つまり、端末と基地局がこの3つの認証方式の中の1つ以上の認証方式を選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが2であるために、結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.2に決められ、1バイトの長さを有する。
【0045】
このような認証政策支援副フィールドは、端末や基地局が支援するPKMバージョンが2である場合に定義される。つまり、端末や基地局が支援するPKMバージョンが1である場合において交渉される認証政策は、RSA基盤認証方式のみであるためである。
【0046】
このような認証政策支援副フィールドの1バイトの中で、第0ビット(Bit#0)から第2ビット(Bit#2)までは端末の初期接続手続で有効なビットである。そして、第4ビット(Bit#4)から第6ビット(Bit#6)までは端末のシステム再接続手続やハンドオーバー手続で有効なビットである。残り第3ビット(Bit#3)と第7ビット(Bit#7)は使用されずに0に設定される。ここで、第0ビット(Bit#0)と第4ビット(Bit#4)はRSAに基づく認証方式(RSA-based authorization)を示し、第1ビット(Bit#1)と第5ビット(Bit#5)はEAPに基づく認証方式(EAP-based authorization)を示し、第2ビット(Bit#2)と第6ビット(Bit#6)は認証されたEAP基盤の認証方式をそれぞれ示し、各ビット(Bit#0〜Bit#2、Bit#4〜Bit#6)が1に設定される場合には、該当する認証政策を支援することを示す。
【0047】
したがって、初期接続手続中にある端末は、前記副フィールドの下位3ビット(Bit#0〜Bit#2)を通じて、初期接続手続中の認証手続で支援可能な認証政策にのみ値を1に設定し、支援が不可能な認証政策に対しては値を0に設定する。
【0048】
また、端末は、前記副フィールドの上位3ビット(Bit#4〜Bit#6)を通じて、再接続手続中やハンドオーバー手続中の認証手続で支援可能な認証政策にのみ値を1に設定し、支援不可能な認証政策に対しては値を0に設定する。
【0049】
図1を参照して説明すると、端末は、支援可能な全ての認証政策が記載された認証政策支援副フィールドが含まれたSBC-REQメッセージ(S100)を基地局に伝送して、端末が支援可能な全ての認証政策を基地局に通知する。
【0050】
これを受信した基地局は、まず、端末から伝送される認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)に関して、自分が支援可能な認証政策と比較し、このパラメターを交渉する。そして、認証政策支援副フィールドの上位3ビット(Bit#4〜Bit#6)は、端末がシステム再接続またはハンドオーバー時に使用することを要請する認証政策であるので、この複数のビットに対しては交渉せずに、基地局が別に管理した後、端末のハンドオーバー要請時に近接基地局に通知する。
【0051】
基地局が、前記で交渉された認証政策が記載された認証政策支援副フィールドが含まれたSBC-RSPメッセージ(S110)を端末に伝送することで、基地局で交渉された認証政策が端末に伝達される。この時、SBC-RSPメッセージ(S110)に含まれた認証政策支援副フィールドの中の下位3ビット(Bit#0〜Bit#2)は、基地局が最終的に交渉した初期接続手続中の認証手続を行う時に使用される認証政策を表現したもので、他のビット(Bit#3〜Bit#7)は0に設定されている。
【0052】
本発明の実施例では、無線携帯インターネットシステムの事業者政策によってシステム性能を志向する場合、端末の認証機能が省略されることもできる。この時には、基地局が端末に伝送するSBC-RSPメッセージ(S110)に含まれる認証政策支援副フィールド値が全て0に設定される。つまり、基地局は、端末に伝送する認証政策支援副フィールドの全てのビットを0に設定することで、事業者の政策によって端末の認証機能が省略されることを知らせることができる。この場合、端末は、基地局との間で、端末に対する権限検証、つまり、認証手続を行わず、直ちに端末を基地局に登録する登録手続を行う。
【0053】
一方、端末が基地局に伝送するSBC-REQメッセージ(S100)に認証政策支援副フィールドが存在すると、これに対する応答として基地局が端末に伝送するSBC-RSPメッセージ(S110)に、認証政策支援副フィールドが必ず存在しなければならない。
【0054】
これとは反対に、端末が基地局に伝送するSBC-REQメッセージ(S100)に認証政策支援副フィールドが存在しなければ、端末はRSA基盤の認証政策のみを支援する。この場合では、基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉された認証政策支援副フィールドが存在しないことがあり、この場合、端末と基地局との間で交渉された認証政策はRSA基盤の認証政策である。万一、基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉された認証政策支援副フィールドが存在すると、RSA基盤の認証政策が交渉されたことと同様な結果、または以下で説明される認証機能を支援しない結果(No Authorization)が記載されて伝達される。RSA基盤の認証政策が交渉されたことと同様な結果に対しては、第0ビット(Bit#0)が1に設定されて端末に伝達され、認証政策が省略される結果については後述する。
【0055】
このように端末と基地局との間で交渉されて共有された認証政策によって、端末または基地局に対する権限検証または使用者認証、つまり、多様な認証手続が行われる。したがって、基地局は、交渉された認証政策に相当しない認証関連メッセージが受信された場合には、端末に対する認証手続を行わず、受信されたメッセージを廃棄する。
【0056】
図6は、図5に示された認証政策支援副フィールドを使用して交渉可能な全ての認証政策を示すテーブルを表す図面である。
【0057】
IEEE802.16無線MAN基盤の無線携帯インターネットシステムにおける認証政策は、大きく3つの認証方式(RSAに基づく認証方式とEAPに基づく認証方式、そして認証されたEAP基盤認証方式)の組み合わせからなることは前述した通りである。前記3つの認証方式の組み合わせを端末基本機能交渉段階を行いながら端末と基地局が交渉し、この交渉結果によって、基地局は端末に対する認証を行う。
【0058】
初期接続手続中の認証手続のために認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)が使用され、再接続手続やハンドオーバー手続中の認証手続のために認証政策支援副フィールドの上位3ビット(Bit#4〜Bit#6)が使用される。
【0059】
このように、認証政策支援副フィールドの各ビットを使用して支援可能な認証政策には、図6に示した通りに8種類のケースが存在する。
【0060】
このような8種類のケースの中で、端末が基地局に伝送するSBC-REQメッセージ(S100)に含まれる認証政策支援副フィールドに対しては、ケース3、4、5、6及び7のみが適用される。端末は、最少で1つ以上の認証政策を支援しなければならないので、認証機能を支援しないケース1は適用できない。また、ケース2とケース8は、現在の保安キー管理プロトコル(PKMバージョン2)で支援しないために適用できない。
【0061】
一方、SBC-REQメッセージを受信した基地局は、認証政策支援副フィールドに対して交渉し、この副フィールドが含まれているSBC-RSPメッセージ(S110)を端末に伝送して端末基本機能交渉段階を完了する。SBC-RSPメッセージに含まれる認証政策支援副フィールドには、初期接続手続中の認証手続の時に必要な交渉された認証政策のみが提示される。つまり、上位3ビット(Bit#4〜Bit#6)は0にセッティングされ、下位3ビット(Bit#0〜Bit#2)のみが有効なビット値となる。
【0062】
また、無線携帯インターネットシステムの事業者政策によってシステム性能を考慮する場合、認証機能を省略してもよい。このような場合は、認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を全て0に設定することで行われる。
【0063】
例えば、基地局が最終的にEAP基盤の認証方式のみを認証政策として選択する場合には、ケース3のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0064】
また、EAP基盤の認証方式を行った後、これに基づく認証されたEAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース4のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0065】
また、RSA基盤の認証方式のみを認証政策として基地局が最終的に選択した場合には、ケース5のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0066】
また、RSA基盤の認証方式を行った後、これを先例として認証されたEAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース6のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0067】
また、RSA基盤の認証方式を行った後、EAP基盤の認証方式を同時に支援する認証政策を、基地局が最終的に選択した場合には、ケース7のように認証政策支援副フィールドの下位3ビット(Bit#0〜Bit#2)を設定すればよい。
【0068】
上述のように、ケース2とケース8は、現在の保安キー管理プロトコル(PKM)で支援しないために適用できない。
【0069】
このような方法で、端末と基地局が、初期接続手続中の認証手続のために使用される認証政策を交渉する。交渉された認証政策によって端末と基地局の両方が認証手続を行い、基地局は、交渉されなった認証政策に関するメッセージを受信する場合には、当該メッセージを廃棄する。
【0070】
図7は、図3に示されたメッセージ認証コード方式副フィールドのパラメターを示すテーブルを表す図面である。
【0071】
図7に示されたようなメッセージ認証コード方式副フィールドは、上述したように保安関連交渉パラメターに含まれる1つの副フィールドとして与えられると共に、メッセージ認証方式を交渉するための副フィールドである。
【0072】
本発明の実施例による無線携帯インターネットシステムにおけるメッセージ認証コード方式としては、HMAC、CMACと多様なshort-HMACが定義されている。つまり、端末と基地局がこのようなメッセージ認証コード方式の中の1つ以上のメッセージ認証方式を選択するために使用する副フィールドである。この副フィールドは、フィールドタイプが3であるので、結果的に保安関連交渉パラメターフィールドと関連してそのタイプが25.3に決められ、1バイトの長さを有する。
【0073】
ここで、short-HMACメッセージ認証コード方式は、ハンドオーバー時に必要なメッセージ、つまり、MOB_SLP-REQ/RSP、MOB_SCAN-REQ/RSP、MOB_MSHO-REQ、MOB_BSHO-REQ/RSP、MOB_HO-INDとRNG-REQ/RSPメッセージにのみ適用できる。
【0074】
このようなメッセージ認証コード方式副フィールドの1バイトの中で、第0ビット(Bit#0)から第4ビット(Bit#4)までは有効なビットであり、他のビット(Bit#5〜Bit#7)は使用されずに全て0に設定される。
【0075】
ここで、第0ビット(Bit#0)はHMAC方式を示し、第1ビット(Bit#1)はCMAC方式を示し、第2ビット(Bit#2)は64-ビットshort-HMAC方式を示し、第3ビット(Bit#3)は80-ビットshort-HMAC方式を示し、第4ビット(Bit#4)は96-ビットshort-HMAC方式を示し、各ビット(Bit#0〜Bit#4)が1に設定される場合、該当するメッセージ認証コード方式を支援することを示す。
【0076】
したがって、初期接続手続中にある端末は、前記副フィールドの2個のビット(Bit#0〜Bit#1)を通じて、初期接続手続中の認証手続で支援可能なメッセージ認証コード方式にのみ値を1に設定し、支援不可能なメッセージ認証コード方式に対しては値を0に設定する。
【0077】
また、端末は、前記副フィールドの3個のビット(Bit#2〜Bit#4)を通じて、ハンドオーバー手続を行う時に必要なメッセージに適用可能なメッセージ認証コード方式を基地局に通知し、支援可能なメッセージ認証コード方式にのみ値を1に設定し、支援不可能なメッセージ認証コード方式に対しては値を0に設定する。
【0078】
図1を参照して説明すると、端末は、支援可能な全てのメッセージ認証コード方式が記載された副フィールドが含まれたSBC-REQメッセージ(S100)を基地局に伝送することによって、端末が支援可能な全てのメッセージ認証コード方式を基地局に通知する。
【0079】
これを受信した基地局は、まず、端末から伝送されるメッセージ認証コード方式副フィールドの下位2ビット(Bit#0〜Bit#1)に関して、自分が支援可能なメッセージ認証コード方式と比較してこのパラメターを交渉する。
【0080】
基地局が、前記で交渉されたメッセージ認証コード方式が記載された副フィールドが含まれたSBC-RSPメッセージ(S110)を端末に伝送することで、基地局で交渉されたメッセージ認証コード方式が端末に伝達される。この時、SBC-RSPメッセージ(S110)に含まれた交渉されたメッセージ認証コード方式副フィールドの中の下位2ビット(Bit#0〜Bit#1)は、端末の再接続手続やハンドオフ手続でない手続に定義されるメッセージに使用されるメッセージ認証コード方式を表現したもので、次のビット(Bit#2〜Bit#4)は、端末の再接続手続やハンドオフ手続に定義されるメッセージに使用されるメッセージ認証コード方式を表現したもので、残りビット(Bit#5〜Bit#7)は0に設定されている。
【0081】
端末と基地局は、1つ以上のメッセージ認証コード方式を支援することができる。万一、端末と基地局が1つのメッセージ認証コード方式のみを支援するように交渉した場合、2つのノードの間の制御メッセージ通信の時に、当該メッセージ認証コード方式を使用しなければならない。これとは異なって、端末と基地局が1つ以上のメッセージ認証コード方式を支援する場合、2つのノード間の制御メッセージを通信する時に、交渉されたメッセージ認証コード方式のうちの1つの方式を使用しなければならない。
【0082】
特に、無線携帯インターネットシステムの事業者政策によってシステム性能を志向する場合、メッセージ認証機能が省略されてもよい。この時には、基地局が端末に伝送するSBC-RSPメッセージ(S110)に含まれたメッセージ認証コード方式副フィールドの値が全て0に設定される。つまり、基地局は、端末に伝送するメッセージ認証コード方式副フィールドの全てのビットを0に設定することによって、事業者の政策によってメッセージ認証機能が省略されることを知らせることができる。
【0083】
一方、端末が基地局に伝送するSBC-REQメッセージ(S100)にメッセージ認証コード方式副フィールドが存在すると、これに対する応答として基地局が端末に伝送するSBC-RSPメッセージ(S110)に、メッセージ認証コード方式副フィールドが必ず存在しなければならない。
【0084】
これとは反対に、端末が基地局に伝送するSBC-REQメッセージ(S100)にメッセージ認証コード方式副フィールドが存在しないと、端末は、ただHMAC方式のみを使用するメッセージ認証方式のみを支援する。この場合において、基地局が端末に伝送するSBC-RSPメッセージ(S110)に、交渉されたメッセージ認証コード方式副フィールドが存在しないこともあり、もしメッセージ認証コード方式副フィールドが存在しない場合、端末と基地局との間で交渉されたメッセージ認証コード方式は、HMAC基盤のメッセージ認証コード方式である。万一基地局が端末に伝送するSBC-RSPメッセージ(S110)に交渉されたメッセージ認証コード方式副フィールドが存在すると、HMAC基盤のメッセージ認証コード方式が交渉されたことと同様な結果、またはメッセージ認証機能を支援しない結果が記載されて伝達される。HMAC基盤のメッセージ認証コード方式が交渉されたことと同様な結果に対しては、第0ビット(Bit#0)が1に設定されて端末に伝達され、メッセージ認証機能を省略する結果に対しては、全てのビット(Bit#0〜Bit#7)が0に設定されて端末に伝達される。
【0085】
このように端末と基地局との間で共有されたメッセージ認証コード方式に応じて、端末と基地局との間で通信される制御メッセージに対する認証機能を行う。端末や基地局の両方が、交渉されないメッセージ認証コード方式を使用した制御メッセージを受信した場合、当該制御メッセージに対する認証段階を行わずに受信されたメッセージを廃棄する。
【0086】
以上、本発明の好ましい実施例について詳細に説明したが、本発明はこれに限定されるわけではなく、その他の多様な変更や変形が可能である。
【産業上の利用可能性】
【0087】
本発明によると次のような効果がある。
【0088】
第一に、多様な保安に関するパラメターを1つの保安交渉パラメターに含めさせることによって、当該パラメターに対する管理がより容易になる。
【0089】
第二に、PKMバージョン支援という副フィールドを提供することによって、端末と基地局が多様なPKMバージョンの認証プロトコルを交渉することができる基盤が備えられる。
【0090】
第三に、認証政策支援という副フィールドを提供することによって、端末と基地局が多様な認証政策を流動的に立てることができる。また、認証政策の最終決定権限を基地局が有するので、無線携帯インターネットシステムの事業者が認証機能をより容易に使用することができる。
【0091】
第四に、基地局が交渉された多様な認証政策を有するので、より強力な認証機能を行うことができる。
【0092】
第五に、無線携帯インターネットシステムの事業者がシステムの性能を考慮する場合、認証機能を省略することができる。
【0093】
第六に、メッセージ認証コード方式という副フィールドを提供することによって、端末と基地局が多様な方式でメッセージ認証機能を行うことができる。また、メッセージ認証コード方式の最終決定権を基地局が有するので、無線携帯インターネットシステムの事業者が無線区間制御メッセージを通信する時、メッセージ認証機能に対してより容易に管理することができる。
【0094】
第七に、無線携帯インターネットシステムの事業者がシステムの性能を考慮する場合、制御メッセージ認証機能が省略されてもよい。
【図面の簡単な説明】
【0095】
【図1】本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメターを交渉するための端末基本機能交渉過程の流れ図である。
【図2】本発明の実施例による無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法で提案する端末保安関連交渉パラメターを示すテーブルを表す図面である。
【図3】図2に示された端末保安関連交渉パラメターの構成を示すテーブルを表す図面である。
【図4】図3に示されたPKMバージョン支援(PKM Version Support)副フィールドのパラメターを示すテーブルを表す図面である。
【図5】図3に示された認証政策支援副フィールドのパラメターを示すテーブルを表す図面である。
【図6】図5に示された認証政策支援副フィールドを使用して交渉可能な全ての組み合わせの認証政策を示すテーブルを表す図面である。
【図7】図3に示されたメッセージ認証コード方式副フィールドのパラメターを示すテーブルを表す図面である。
【特許請求の範囲】
【請求項1】
無線携帯インターネットシステムの端末が基地局と端末保安関連パラメターを交渉する方法において、
a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記基地局に送信する段階;及び
b)前記基地局で交渉された保安関連機能が記載された保安関連交渉パラメターが含まれると共に、前記送信された基本機能交渉要求メッセージに対する応答として前記基地局に送信される基本機能交渉応答メッセージを、受信する段階を含み、
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末または前記基地局または使用者に対する認証を行わずに省略する機能を支援する
ことを特徴とする無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項2】
無線携帯インターネットシステムの基地局が端末と保安関連パラメターを交渉する方法において、
a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記端末から受信する段階;及び
b)前記受信された保安関連交渉パラメターに記載された前記端末が支援可能な保安関連機能と前記基地局が支援可能な保安関連機能に対する比較及び交渉を行い、その交渉結果が記載された保安関連交渉パラメターを含む基本機能交渉応答メッセージを、前記端末に送信する段階を含み、
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末または基地局または使用者に対する認証を行わずに省略する機能を支援する
ことを特徴とする無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項3】
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援する
ことを特徴とする、請求項1または2に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項4】
前記基本機能交渉要請メッセージに含まれる保安関連交渉パラメターと前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、同一な形態を有する
ことを特徴とする、請求項1または2に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項5】
前記保安関連交渉パラメターが、
前記端末と前記基地局との間でPKM(Privacy Key Management)バージョンを交渉するために使用されるPKMバージョン支援副フィールド;
前記端末と前記基地局との間で行われる認証方式を選択するために使用される認証政策支援副フィールド;及び
前記端末と前記基地局との間で交換される制御メッセージに対する認証方式を選択するために使用されるメッセージ認証コード方式副フィールド
を含むことを特徴とする、請求項4に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項6】
前記PKMバージョン支援副フィールドは、PKMバージョン1とPKMバージョン2の選択を可能にすることを支援し、
前記端末と前記基地局は、前記PKMバージョン支援副フィールドを通じて交渉されたPKMバージョンではない他のPKMバージョンのメッセージが受信される場合、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項7】
前記端末は、前記基本機能交渉要求メッセージに含まれる前記認証政策支援副フィールドを通じて、自分が支援可能な認証方式を前記基地局に通知し、
前記基地局から伝達される前記基本機能交渉応答メッセージに含まれる前記認証政策支援副フィールドを通じて、前記基地局で選択された方式の組み合わせからなる認証政策を受信し、
前記端末は、前記認証政策支援副フィールドを通じて交渉された認証政策に相当しない認証関連メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項8】
前記基地局は、前記端末から送信された前記基本機能交渉要求メッセージに含まれた前記認証政策支援副フィールドを通じて、前記端末が支援可能な認証方式の通知を受け、
前記通知された前記端末が支援可能な認証方式と前記基地局が支援可能な認証方式に対する比較及び選択を行い、選択された認証方式の組み合わせからなる認証政策を含む認証政策支援副フィールドを、前記基本機能交渉応答メッセージに含めて前記端末に送信し、
前記基地局は、前記認証政策支援副フィールドを通じて交渉された認証政策に相当しない認証関連メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項7に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項9】
前記認証政策支援副フィールドは、RSA(Rivest Shamir Adleman)基盤の認証方式とEAP(Extensibel Authentication Protocol)基盤の認証方式、そして前記RSA基盤の認証方式または前記EAP基盤の認証方式の遂行を通じて割り当てられたキーによるメッセージ認証機能を伴う認証されたEAP基盤の認証方式を含む3つの認証方式の組み合わせからなる認証政策を支援する
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項10】
前記認証政策支援副フィールドは、前記端末と基地局がPKMバージョン2を支援する場合に使用される
ことを特徴とする、請求項9に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項11】
前記認証政策支援副フィールドは、1バイトの長さを有し、
前記1バイト長さの副フィールドのうちの下位3個のビットは、初期接続手続で有効な認証政策を示し、上位3個のビットは、前記端末のシステム再接続手続やハンドオーバー手続で有効な認証政策を示す
ことを特徴とする、請求項9に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項12】
前記基地局は、前記無線携帯インターネットシステムの事業者政策によって指定された通りに、前記認証政策支援副フィールドのうちの下位3個のビットを通じて、認証機能を省略する認証政策を、前記端末に通知する
ことを特徴とする、請求項11に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項13】
前記基地局は、前記端末から受信した前記基本機能交渉要求メッセージに含まれた認証政策支援副フィールドのうちの上位3個のビットを通じて通知される認証方式を、内部的に貯蔵して管理し、前記端末のシステム再接続時やハンドオーバー要請の時に近接した基地局に、前記貯蔵して管理している前記端末が支援する認証方式を通知する
ことを特徴とする、請求項11に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項14】
前記基本機能交渉要求メッセージに前記端末によって作成された認証政策支援副フィールドが含まれている場合、前記基本機能交渉応答メッセージに前記基地局によって作成された認証政策支援副フィールドが含まれなければならない
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項15】
前記端末が前記基本機能交渉要求メッセージに前記認証政策支援副フィールドを含めない場合、前記端末は、初期接続手続と、システム再接続手続またはハンドオーバー手続を行う時に、RSA基盤の認証政策を支援する
ことを特徴とする、請求項7に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項16】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記認証政策支援副フィールドが含まれない場合、前記端末に送信される前記基本機能交渉応答メッセージに前記認証政策支援副フィールドを含めない
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項17】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記認証政策支援副フィールドが含まれない場合、前記基本機能交渉応答メッセージに、RSA基盤認証方式のみを支援する認証政策に相当するビット、または前記認証機能を省略する認証政策に相当するビットが設定された前記認証政策支援副フィールドを含んで、前記端末に送信する
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項18】
前記端末は、前記基本機能交渉要求メッセージに含まれる前記メッセージ認証コード方式副フィールドを通じて、自分が支援可能なメッセージ認証コード方式を前記基地局に通知し、
前記基地局から伝達される前記基本機能交渉応答メッセージに含まれる前記メッセージ認証コード方式副フィールドを通じて、前記基地局から選択されたメッセージ認証コード方式を受信し、
前記端末は、前記メッセージ認証コード方式副フィールドを通じて交渉された制御メッセージに対する認証方式に相当しない制御メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項19】
前記基地局は、前記端末から送信された前記基本機能交渉要求メッセージに含まれた前記メッセージ認証コード方式副フィールドを通じて、前記端末が支援可能なメッセージ認証コード方式の通知を受け、
前記通知された前記端末が支援可能なメッセージ認証コード方式と前記基地局が支援可能なメッセージ認証コード方式に対する比較及び選択を行い、選択されたメッセージ認証コード方式を含むメッセージ認証コード方式副フィールドを、前記基本機能交渉応答メッセージに含んで前記端末に送信し、
前記基地局は、前記メッセージ認証コード方式副フィールドを通じて交渉された制御メッセージに対する認証方式に相当しない制御メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項18に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項20】
前記メッセージ認証コード方式副フィールドは、HMAC方式、CMAC方式、そして多様な大きさを有するshort-HMAC方式を支援する
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項21】
前記基地局は、前記無線携帯インターネットシステムの事業者政策によって指定された通りに、前記メッセージ認証コード方式副フィールドを通じて、メッセージ認証機能を省略するメッセージ認証コード方式を、前記端末に通知する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項22】
前記基本機能交渉要求メッセージに前記端末によって作成されたメッセージ認証コード方式副フィールドが含まれている場合、前記基本機能交渉応答メッセージに前記基地局によって作成されたメッセージ認証コード方式副フィールドが含まれなければならない
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項23】
前記端末が前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドを含めない場合、前記端末は、前記HMAC方式を利用したメッセージ認証機能を支援する
ことを特徴とする、請求項18に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項24】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドが含まれない場合、前記端末に送信される前記基本機能交渉応答メッセージに前記メッセージ認証コード方式副フィールドを含めない
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項25】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドが含まれない場合、前記基本機能交渉応答メッセージに、HMAC方式のみを支援するメッセージ認証コードに相当するビット、または前記メッセージ認証を省略する機能に相当するビットが設定された前記メッセージ認証コード方式副フィールドを含めて、前記端末に送信する
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項26】
前記保安関連交渉パラメターが、1つのSA(Security Association)ごとに受信PNウィンドウ大きさを交渉するために使用されるPNウィンドウサイズ副フィールドをさらに含む
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項1】
無線携帯インターネットシステムの端末が基地局と端末保安関連パラメターを交渉する方法において、
a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記基地局に送信する段階;及び
b)前記基地局で交渉された保安関連機能が記載された保安関連交渉パラメターが含まれると共に、前記送信された基本機能交渉要求メッセージに対する応答として前記基地局に送信される基本機能交渉応答メッセージを、受信する段階を含み、
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末または前記基地局または使用者に対する認証を行わずに省略する機能を支援する
ことを特徴とする無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項2】
無線携帯インターネットシステムの基地局が端末と保安関連パラメターを交渉する方法において、
a)前記端末が支援可能な保安関連機能が記載された保安関連交渉パラメターが含まれると共に、端末保安関連パラメターを交渉するための基本機能交渉要求メッセージを、前記端末から受信する段階;及び
b)前記受信された保安関連交渉パラメターに記載された前記端末が支援可能な保安関連機能と前記基地局が支援可能な保安関連機能に対する比較及び交渉を行い、その交渉結果が記載された保安関連交渉パラメターを含む基本機能交渉応答メッセージを、前記端末に送信する段階を含み、
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末または基地局または使用者に対する認証を行わずに省略する機能を支援する
ことを特徴とする無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項3】
前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、前記端末と基地局との間で伝達されるメッセージに対する認証を行わずに省略する機能を支援する
ことを特徴とする、請求項1または2に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項4】
前記基本機能交渉要請メッセージに含まれる保安関連交渉パラメターと前記基本機能交渉応答メッセージに含まれる保安関連交渉パラメターが、同一な形態を有する
ことを特徴とする、請求項1または2に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項5】
前記保安関連交渉パラメターが、
前記端末と前記基地局との間でPKM(Privacy Key Management)バージョンを交渉するために使用されるPKMバージョン支援副フィールド;
前記端末と前記基地局との間で行われる認証方式を選択するために使用される認証政策支援副フィールド;及び
前記端末と前記基地局との間で交換される制御メッセージに対する認証方式を選択するために使用されるメッセージ認証コード方式副フィールド
を含むことを特徴とする、請求項4に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項6】
前記PKMバージョン支援副フィールドは、PKMバージョン1とPKMバージョン2の選択を可能にすることを支援し、
前記端末と前記基地局は、前記PKMバージョン支援副フィールドを通じて交渉されたPKMバージョンではない他のPKMバージョンのメッセージが受信される場合、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項7】
前記端末は、前記基本機能交渉要求メッセージに含まれる前記認証政策支援副フィールドを通じて、自分が支援可能な認証方式を前記基地局に通知し、
前記基地局から伝達される前記基本機能交渉応答メッセージに含まれる前記認証政策支援副フィールドを通じて、前記基地局で選択された方式の組み合わせからなる認証政策を受信し、
前記端末は、前記認証政策支援副フィールドを通じて交渉された認証政策に相当しない認証関連メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項8】
前記基地局は、前記端末から送信された前記基本機能交渉要求メッセージに含まれた前記認証政策支援副フィールドを通じて、前記端末が支援可能な認証方式の通知を受け、
前記通知された前記端末が支援可能な認証方式と前記基地局が支援可能な認証方式に対する比較及び選択を行い、選択された認証方式の組み合わせからなる認証政策を含む認証政策支援副フィールドを、前記基本機能交渉応答メッセージに含めて前記端末に送信し、
前記基地局は、前記認証政策支援副フィールドを通じて交渉された認証政策に相当しない認証関連メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項7に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項9】
前記認証政策支援副フィールドは、RSA(Rivest Shamir Adleman)基盤の認証方式とEAP(Extensibel Authentication Protocol)基盤の認証方式、そして前記RSA基盤の認証方式または前記EAP基盤の認証方式の遂行を通じて割り当てられたキーによるメッセージ認証機能を伴う認証されたEAP基盤の認証方式を含む3つの認証方式の組み合わせからなる認証政策を支援する
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項10】
前記認証政策支援副フィールドは、前記端末と基地局がPKMバージョン2を支援する場合に使用される
ことを特徴とする、請求項9に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項11】
前記認証政策支援副フィールドは、1バイトの長さを有し、
前記1バイト長さの副フィールドのうちの下位3個のビットは、初期接続手続で有効な認証政策を示し、上位3個のビットは、前記端末のシステム再接続手続やハンドオーバー手続で有効な認証政策を示す
ことを特徴とする、請求項9に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項12】
前記基地局は、前記無線携帯インターネットシステムの事業者政策によって指定された通りに、前記認証政策支援副フィールドのうちの下位3個のビットを通じて、認証機能を省略する認証政策を、前記端末に通知する
ことを特徴とする、請求項11に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項13】
前記基地局は、前記端末から受信した前記基本機能交渉要求メッセージに含まれた認証政策支援副フィールドのうちの上位3個のビットを通じて通知される認証方式を、内部的に貯蔵して管理し、前記端末のシステム再接続時やハンドオーバー要請の時に近接した基地局に、前記貯蔵して管理している前記端末が支援する認証方式を通知する
ことを特徴とする、請求項11に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項14】
前記基本機能交渉要求メッセージに前記端末によって作成された認証政策支援副フィールドが含まれている場合、前記基本機能交渉応答メッセージに前記基地局によって作成された認証政策支援副フィールドが含まれなければならない
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項15】
前記端末が前記基本機能交渉要求メッセージに前記認証政策支援副フィールドを含めない場合、前記端末は、初期接続手続と、システム再接続手続またはハンドオーバー手続を行う時に、RSA基盤の認証政策を支援する
ことを特徴とする、請求項7に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項16】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記認証政策支援副フィールドが含まれない場合、前記端末に送信される前記基本機能交渉応答メッセージに前記認証政策支援副フィールドを含めない
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項17】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記認証政策支援副フィールドが含まれない場合、前記基本機能交渉応答メッセージに、RSA基盤認証方式のみを支援する認証政策に相当するビット、または前記認証機能を省略する認証政策に相当するビットが設定された前記認証政策支援副フィールドを含んで、前記端末に送信する
ことを特徴とする、請求項8に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項18】
前記端末は、前記基本機能交渉要求メッセージに含まれる前記メッセージ認証コード方式副フィールドを通じて、自分が支援可能なメッセージ認証コード方式を前記基地局に通知し、
前記基地局から伝達される前記基本機能交渉応答メッセージに含まれる前記メッセージ認証コード方式副フィールドを通じて、前記基地局から選択されたメッセージ認証コード方式を受信し、
前記端末は、前記メッセージ認証コード方式副フィールドを通じて交渉された制御メッセージに対する認証方式に相当しない制御メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項19】
前記基地局は、前記端末から送信された前記基本機能交渉要求メッセージに含まれた前記メッセージ認証コード方式副フィールドを通じて、前記端末が支援可能なメッセージ認証コード方式の通知を受け、
前記通知された前記端末が支援可能なメッセージ認証コード方式と前記基地局が支援可能なメッセージ認証コード方式に対する比較及び選択を行い、選択されたメッセージ認証コード方式を含むメッセージ認証コード方式副フィールドを、前記基本機能交渉応答メッセージに含んで前記端末に送信し、
前記基地局は、前記メッセージ認証コード方式副フィールドを通じて交渉された制御メッセージに対する認証方式に相当しない制御メッセージが受信される場合には、受信されたメッセージを廃棄する
ことを特徴とする、請求項18に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項20】
前記メッセージ認証コード方式副フィールドは、HMAC方式、CMAC方式、そして多様な大きさを有するshort-HMAC方式を支援する
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項21】
前記基地局は、前記無線携帯インターネットシステムの事業者政策によって指定された通りに、前記メッセージ認証コード方式副フィールドを通じて、メッセージ認証機能を省略するメッセージ認証コード方式を、前記端末に通知する
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項22】
前記基本機能交渉要求メッセージに前記端末によって作成されたメッセージ認証コード方式副フィールドが含まれている場合、前記基本機能交渉応答メッセージに前記基地局によって作成されたメッセージ認証コード方式副フィールドが含まれなければならない
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項23】
前記端末が前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドを含めない場合、前記端末は、前記HMAC方式を利用したメッセージ認証機能を支援する
ことを特徴とする、請求項18に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項24】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドが含まれない場合、前記端末に送信される前記基本機能交渉応答メッセージに前記メッセージ認証コード方式副フィールドを含めない
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項25】
前記基地局は、前記端末から受信された前記基本機能交渉要求メッセージに前記メッセージ認証コード方式副フィールドが含まれない場合、前記基本機能交渉応答メッセージに、HMAC方式のみを支援するメッセージ認証コードに相当するビット、または前記メッセージ認証を省略する機能に相当するビットが設定された前記メッセージ認証コード方式副フィールドを含めて、前記端末に送信する
ことを特徴とする、請求項19に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【請求項26】
前記保安関連交渉パラメターが、1つのSA(Security Association)ごとに受信PNウィンドウ大きさを交渉するために使用されるPNウィンドウサイズ副フィールドをさらに含む
ことを特徴とする、請求項5に記載の無線携帯インターネットシステムにおける端末保安関連パラメター交渉方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2008−533609(P2008−533609A)
【公表日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願番号】特願2008−501797(P2008−501797)
【出願日】平成18年2月14日(2006.2.14)
【国際出願番号】PCT/KR2006/000514
【国際公開番号】WO2006/098552
【国際公開日】平成18年9月21日(2006.9.21)
【出願人】(596099882)エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート (179)
【氏名又は名称原語表記】ELECTRONICS AND TELECOMMUNICATIONS RESEARCH INSTITUTE
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【出願人】(506213278)ケーティー・コーポレーション (11)
【出願人】(305026817)エスケーテレコム カンパニー リミテッド (15)
【出願人】(506213968)ハナロ・テレコム・インコーポレーテッド (11)
【Fターム(参考)】
【公表日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願日】平成18年2月14日(2006.2.14)
【国際出願番号】PCT/KR2006/000514
【国際公開番号】WO2006/098552
【国際公開日】平成18年9月21日(2006.9.21)
【出願人】(596099882)エレクトロニクス アンド テレコミュニケーションズ リサーチ インスチチュート (179)
【氏名又は名称原語表記】ELECTRONICS AND TELECOMMUNICATIONS RESEARCH INSTITUTE
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【出願人】(506213278)ケーティー・コーポレーション (11)
【出願人】(305026817)エスケーテレコム カンパニー リミテッド (15)
【出願人】(506213968)ハナロ・テレコム・インコーポレーテッド (11)
【Fターム(参考)】
[ Back to top ]