KR102215389B1 - 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말 - Google Patents

통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말 Download PDF

Info

Publication number
KR102215389B1
KR102215389B1 KR1020197011001A KR20197011001A KR102215389B1 KR 102215389 B1 KR102215389 B1 KR 102215389B1 KR 1020197011001 A KR1020197011001 A KR 1020197011001A KR 20197011001 A KR20197011001 A KR 20197011001A KR 102215389 B1 KR102215389 B1 KR 102215389B1
Authority
KR
South Korea
Prior art keywords
data packet
secure connection
secure
network element
user plane
Prior art date
Application number
KR1020197011001A
Other languages
English (en)
Other versions
KR20190050835A (ko
Inventor
후아린 주
후안 리
웨이성 진
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20190050835A publication Critical patent/KR20190050835A/ko
Application granted granted Critical
Publication of KR102215389B1 publication Critical patent/KR102215389B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 실시예들은 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말을 제공한다. 이러한 방법은, 보안 노드 네트워크 엘리먼트에 의해, 단말로부터 제1 데이터 패킷을 수신하는 단계- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -; 및 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면, 제어 평면 기능 엔티티에 제1 제어 시그널링을 전송하는 단계를 포함한다. 본 발명의 실시예들에 따르면, 기존 해결책에서 보안 노드 네트워크 엘리먼트와 단말 사이에 제어 시그널링이 송신될 때 존재하는 보안 문제가 해결될 수 있다.

Description

통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말
본 발명의 실시예들은 통신 분야에 관한 것으로, 특히, 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말에 관한 것이다.
현재 통신 네트워크에서, 단말에 의해 전송되는 업링크 데이터 패킷을 수신할 때, 보안 노드 네트워크 엘리먼트는 업링크 데이터 패킷이 제어 시그널링을 운반하는지 식별할 필요가 있다. 업링크 데이터 패킷이 제어 시그널링을 운반하면, 보안 노드 네트워크 엘리먼트는 제어 시그널링을 제어 평면 기능(Control Plane Function, CP Function) 엔티티에 전송하거나; 또는 업링크 데이터 패킷이 제어 시그널링을 운반하지 않으면, 보안 노드 네트워크 엘리먼트는 업링크 데이터 패킷에서의 사용자 평면 데이터를 사용자 평면 기능(User Plane Function, UP Function) 엔티티에 전송한다.
기존의 해결책에서, 제어 시그널링을 운반하는 데이터 패킷은 데이터 패킷의 목적지 인터넷 프로토콜(Internet Protocol, IP) 어드레스를 구체적인 목적지 IP 어드레스로 설정하는 방식으로 식별될 수 있다. 그러나, 이러한 방식은 보안 문제를 갖는다. 예를 들어, 실제로는, 제어 시그널링을 운반하지 않는 데이터 패킷의 목적지 IP 어드레스가 단말에서의 악성 애플리케이션에 의해 구체적인 목적지 IP 어드레스로 설정될 수 있다. 결과적으로, 제어 시그널링으로서 고려되면, 데이터 패킷에서 운반되는 사용자 평면 데이터는 CP 기능 엔티티에 전송되어, 에러를 야기한다.
본 발명의 실시예들은 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말을 제공하여, 제어 시그널링이 기존 해결책에서 보안 노드 네트워크 엘리먼트와 단말 사이에 송신될 때 존재하는 보안 문제를 해결한다.
제1 양태에 따르면, 통신 방법이 제공된다. 이러한 방법은, 보안 노드 네트워크 엘리먼트에 의해, 단말로부터 제1 데이터 패킷을 수신하는 단계- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -; 및 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 기능 엔티티에 제1 제어 시그널링을 전송하는 단계; 또는 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 기능 엔티티에 제1 사용자 평면 데이터를 전송하는 단계를 포함한다.
보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 보안 노드는 데이터 패킷에 있는 그리고 악성 애플리케이션이 수정할 수 있는 목적지 IP 어드레스를 사용할 필요 없이 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별하지만, 비-애플리케이션 레이어, 네트워크 레이어, 또는 수송 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들을 통해 전송되는 데이터 패킷들을 식별하고, 상이한 보안 접속들을 통해 전송되는 데이터 패킷들을 결정하여, 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별한다. 따라서, 악성 애플리케이션에 의한 수정이 회피될 수 있고, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
본 발명의 이러한 구현에서, 제1 보안 접속 및 제2 보안 접속에서의 "제1(first)" 및 "제2(second)"는 단지 상이한 오브젝트들을 구별하도록 의도된다는 점이 이해되어야 한다. 물론, 대안적으로, 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷은 제2 보안 접속을 사용하여 송신될 수 있고, 및/또는 제1 제어 시그널링을 운반하는 제1 데이터 패킷은 제1 보안 접속을 사용하여 송신될 수 있다. 이러한 것이 본 발명에서 제한되는 것은 아니다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 이러한 방법은 추가로, 보안 노드 네트워크 엘리먼트에 의해, 제2 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하는 단계- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -; 또는 보안 노드 네트워크 엘리먼트에 의해, 제1 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하는 단계- 제2 데이터 패킷은 제2 사용자 평면 데이터를 운반함 -를 포함한다.
보안 노드 네트워크 엘리먼트는 다운링크 데이터 패킷을 단말에 전송한다. 보안 노드 네트워크 엘리먼트는, 상이한 보안 접속들을 통해, 상이한 콘텐츠를 운반하는 다운링크 데이터 패킷들을 전송할 수 있다. 제어 시그널링을 운반하는 다운링크 데이터 패킷 및 사용자 평면 데이터를 운반하는 다운링크 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 따라서, 보안 노드 네트워크 엘리먼트에 의해 전송되는 다운링크 데이터 패킷을 수신한 이후에, 단말은 다운링크 데이터 패킷을 송신하기 위한 보안 접속이 제1 보안 접속인지 또는 제2 보안 접속인지 결정하여 다운링크 데이터 패킷에서의 콘텐츠를 식별할 수 있다. 따라서, 단말에서의 악성 애플리케이션에 의한 수정이 회피될 수 있고, 다운링크 송신의 보안이 개선된다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 이러한 방법은 추가로, 보안 노드 네트워크 엘리먼트에 의해, 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하는 단계; 또는 보안 노드 네트워크 엘리먼트에 의해, 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하는 단계를 포함한다.
본 발명의 이러한 구현에서, 제1 보안 접속 및 제2 보안 접속에서의 "제1(first)" 및 "제2(second)"는 상이한 오브젝트들을 구별하도록만 의도된다는 점이 이해되어야 한다. 물론, 대안적으로, 제1 사용자 평면 데이터를 운반하는 제2 데이터 패킷은 제2 보안 접속을 통해 송신될 수 있고, 및/또는 제1 제어 시그널링을 운반하는 제2 데이터 패킷은 제1 보안 접속을 통해 송신될 수 있다. 이러한 것이 본 발명에서 제한되는 것은 아니다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 보안 노드 네트워크 엘리먼트에 의해, 단말로부터 제1 데이터 패킷을 수신하는 단계 이후에, 이러한 방법은 추가로, 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하는 단계를 포함한다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 제1 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하는 단계는, 제1 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하는 단계; 또는 제1 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트에 의해, 제1 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하는 단계를 포함한다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널일 수 있고, 제2 보안 접속은 제2 IPsec 터널일 수 있다.
제1 양태를 참조하여, 제1 양태의 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값일 수 있고, 제1 보안 접속의 식별자는 제1 SPI 값일 수 있다.
제2 양태에 따르면, 통신 방법이 제공된다. 이러한 방법은, 단말에 의해, 제1 데이터 패킷을 생성하는 단계- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -; 및 단말에 의해, 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하는 단계- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -를 포함한다.
제2 양태에서, 제1 양태에 대응하는 일부 구현들에 대해, 제1 양태의 설명들을 참조한다. 상세 사항들이 본 명세서에 설명되는 것은 아니다.
제3 양태에 따르면, 다른 통신 방법이 제공된다. 이러한 방법은, 보안 노드 네트워크 엘리먼트에 의해, 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하는 단계, 또는, 보안 노드 네트워크 엘리먼트에 의해, 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하는 단계; 보안 노드 네트워크 엘리먼트에 의해, 제2 데이터 패킷을 단말에 전송하는 단계- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -; 및 단말에 의해, 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하는 단계, 또는, 단말에 의해, 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하는 단계를 포함한다.
제3 양태를 참조하여, 제3 양태의 일부 구현들에서, 단말에 의해, 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신하는 단계 이후에, 이러한 방법은 추가로, 단말에 의해, 제2 데이터 패킷이 제1 보안 접속 또는 제2 보안 접속을 통해 송신된다고 결정하는 단계를 포함한다.
제3 양태를 참조하여, 제3 양태의 일부 구현들에서, 제2 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 단말에 의해, 제2 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 사용하여 송신된다고 결정하는 단계는, 제2 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 단말에 의해, 제2 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하는 단계; 또는 제2 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 단말에 의해, 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하는 단계를 포함한다.
제3 양태를 참조하여, 제3 양태의 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널일 수 있고, 제2 보안 접속은 제2 IPsec 터널일 수 있다.
제3 양태를 참조하여, 제3 양태의 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값일 수 있고, 제1 보안 접속의 식별자는 제1 SPI 값일 수 있다.
제4 양태에 따르면, 보안 노드 네트워크 엘리먼트가 제공된다. 이러한 보안 노드 네트워크 엘리먼트는, 단말로부터 제1 데이터 패킷을 수신하도록 구성되는 제1 수신 모듈- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -; 및 제1 전송 모듈- 제1 전송 모듈은 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 기능 엔티티에 제1 제어 시그널링을 전송하도록 구성되거나; 또는 제1 전송 모듈은 제1 데이터 패킷이 제1 보안 접속을 통하면 사용자 평면 기능 엔티티에 제1 사용자 평면 데이터를 전송하도록 구성된다.
제4 양태를 참조하여, 제4 양태의 일부 구현들에서, 보안 노드 네트워크 엘리먼트에서의 각각의 모듈은 제1 양태, 제2 양태, 또는 제3 양태에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 대응하는 액션을 추가로 수행할 수 있다.
제5 양태에 따르면, 단말이 제공된다. 이러한 단말은, 제1 데이터 패킷을 생성하도록 구성되는 생성 모듈- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -; 및 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록 구성되는 전송 모듈- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -을 포함한다.
제5 양태를 참조하여, 제5 양태의 일부 구현들에서, 이러한 단말에서의 각각의 모듈은 제1 양태, 제2 양태, 또는 제3 양태에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 대응하는 액션을 추가로 수행할 수 있다.
제6 양태에 따르면, 다른 보안 노드 네트워크 엘리먼트가 제공된다. 이러한 보안 노드 네트워크 엘리먼트는, 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하도록 구성되거나, 또는 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하도록 구성되는 수신 모듈; 및 제2 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록 구성되는- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -, 또는 제1 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록 구성되는- 데이터 패킷은 제2 사용자 평면 데이터를 운반함 - 전송 모듈을 포함한다.
제6 양태를 참조하여, 제6 양태의 일부 구현들에서, 보안 노드 네트워크 엘리먼트에서의 각각의 모듈은 제3 양태에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 대응하는 액션을 추가로 수행할 수 있다.
제7 양태에 따르면, 단말이 제공된다. 이러한 단말은, 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신하도록 구성되는 수신 모듈- 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -; 및 처리 모듈- 처리 모듈은 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하도록 구성되거나; 또는 처리 모듈은 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하도록 구성됨 -을 포함한다.
제7 양태를 참조하여, 제7 양태의 일부 구현들에서, 이러한 단말에서의 각각의 모듈은 제3 양태에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 대응하는 액션을 추가로 수행할 수 있다.
제8 양태에 따르면, 또 다른 보안 노드 네트워크 엘리먼트가 제공된다. 이러한 보안 노드 네트워크 엘리먼트는, 프로세서, 메모리, 및 송수신기를 포함한다. 송수신기는 단말로부터 제1 데이터 패킷을 수신하도록 구성된다- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -. 송수신기는 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송하도록 추가로 구성되거나; 또는 송수신기는 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송하도록 구성된다.
제9 양태에 따르면, 또 다른 단말이 제공된다. 이러한 단말은, 프로세서(1101), 메모리(1102), 및 송수신기(1103)를 포함한다. 프로세서(1101)는 제1 데이터 패킷을 생성하도록 구성된다- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -. 송수신기(1103)는 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록 구성된다- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -.
제10 양태에 따르면, 또 다른 보안 노드 네트워크 엘리먼트가 제공된다. 이러한 보안 노드 네트워크 엘리먼트는, 프로세서, 메모리, 및 송수신기를 포함한다. 송수신기는 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하도록, 또는 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하도록 구성된다. 송수신기는 추가로 제2 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -, 또는 제1 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록- 제2 데이터 패킷은 제2 사용자 평면 데이터를 운반함 - 구성된다.
제11 양태에 따르면, 또 다른 단말이 제공된다. 이러한 단말은, 프로세서, 메모리, 및 송수신기를 포함한다. 송수신기는 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신하도록 구성된다- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -. 프로세서는 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하도록 구성되거나; 또는 프로세서는 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하도록 구성된다.
제12 양태에 따르면, 컴퓨터 저장 매체가 제공된다. 컴퓨터 저장 매체는 전술한 보안 노드 네트워크 엘리먼트에 의해 사용되는 컴퓨터 소프트웨어 명령어를 저장하도록 구성되고, 컴퓨터 소프트웨어 명령어는 전술한 양태를 수행하는데 사용되는 설계된 프로그램을 포함한다.
제13 양태에 따르면, 컴퓨터 저장 매체가 제공된다. 컴퓨터 저장 매체는 전술한 단말에 의해 사용되는 컴퓨터 소프트웨어 명령어를 저장하도록 구성되고, 컴퓨터 소프트웨어 명령어는 전술한 양태를 수행하는데 사용되는 설계된 프로그램을 포함한다.
제14 양태에 따르면, 통신 시스템이 제공된다. 이러한 시스템은 제4 양태에 따른 보안 노드 네트워크 엘리먼트 및 제5 양태에 따른 단말을 포함한다.
제15 양태에 따르면, 통신 시스템이 제공된다. 이러한 시스템은 제6 양태에 따른 보안 노드 네트워크 엘리먼트 및 제7 양태에 따른 단말을 포함한다.
제16 양태에 따르면, 통신 시스템이 제공된다. 이러한 시스템은 제8 양태에 따른 보안 노드 네트워크 엘리먼트 및 제9 양태에 따른 단말을 포함한다.
제17 양태에 따르면, 통신 시스템이 제공된다. 이러한 시스템은 제10 양태에 따른 보안 노드 네트워크 엘리먼트 및 제11 양태에 따른 단말을 포함한다.
종래 기술과 비교하여, 본 발명의 실시예들의 해결책들에서, 보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 보안 노드는 데이터 패킷에 있는 그리고 악성 애플리케이션이 수정할 수 있는 목적지 IP 어드레스를 사용할 필요 없이 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별하지만, 비-애플리케이션 레이어, 네트워크 레이어, 또는 수송 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 식별하고, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 결정하여, 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별한다. 따라서, 악성 애플리케이션에 의한 수정이 회피될 수 있고, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
본 발명의 실시예들에서의 기술적 해결책을 보다 명확하게 설명하기 위해, 다음은 본 발명의 실시예들을 설명하기 위해 요구되는 첨부 도면들을 간단히 설명한다. 명백하게, 다음 설명들에서의 첨부 도면들은 단지 본 발명의 일부 실시예들을 도시하고, 해당 분야에서의 통상의 기술자는 창의적인 노력들 없이도 이러한 첨부 도면들로부터 다른 도면들을 도출할 수 있다.
도 1a는 본 발명의 실시예에 따른 가능한 애플리케이션 시나리오의 개략도이다.
도 1b는 본 발명의 실시예에 따른 가능한 네트워크 아키텍처의 개략도이다.
도 2는 IPsec 터널을 사용하여 송신되는 사용자 평면 데이터 패킷의 포맷의 개략도이다.
도 3은 본 발명의 실시예에 따른 통신 방법의 개략 통신도이다.
도 4는 본 발명의 실시예에 따른 제어 시그널링을 운반하는 데이터 패킷의 포맷의 개략도이다.
도 5는 본 발명의 실시예에 따른 사용자 평면 데이터를 운반하는 데이터 패킷의 포맷의 개략도이다.
도 6은 본 발명의 실시예에 따른 제1 IPsec 터널 및 제2 IPsec 터널을 수립하는 개략 통신도이다.
도 7은 본 발명의 실시예에 따른 다른 통신 방법의 개략 통신도이다.
도 8은 본 발명의 실시예에 따른 보안 노드 네트워크 엘리먼트의 개략 블록도이다.
도 9는 본 발명의 실시예에 따른 단말의 개략 블록도이다.
도 10은 본 발명의 실시예에 따른 다른 보안 노드 네트워크 엘리먼트의 개략 블록도이다.
도 11은 본 발명의 실시예에 따른 다른 단말의 개략 블록도이다.
본 발명의 실시예들의 목적들, 기술적 해결책들, 및 이점들을 더 명확하게 하기 위해, 다음은 본 발명의 실시예들의 기술적 해결책들을 본 발명의 실시예들에서의 첨부 도면들을 참조하여 설명한다.
본 발명의 실시예들에서 설명되는 네트워크 아키텍처 및 서비스 시나리오는 본 발명의 실시예들에서의 기술적 해결책들을 보다 명확하게 설명하도록 의도되고, 본 발명의 실시예들에서 제공되는 기술적 해결책들에 대해 어떠한 제한도 구성하는 것은 아니다. 해당 분야에서의 통상의 기술자는, 네트워크 아키텍처들의 진화 및 새로운 서비스 시나리오들의 출현으로, 본 발명의 실시예들에서 제공되는 기술적 해결책들이 유사한 기술적 문제들에 또한 적용 가능하다는 점을 알 수 있다.
본 발명의 실시예들이 적용 가능한 일부 가능한 애플리케이션 시나리오들 및 네트워크 아키텍처들이 도 1a 및 도 1b를 참조하여 이하 먼저 설명된다.
도 1a는 본 발명의 실시예들이 적용 가능할 수 있는 애플리케이션 시나리오를 도시한다. 도 1a에 도시되는 바와 같이, 단말은, 무선 액세스 네트워크(Radio Access Network, RAN) 및 코어 네트워크(Core Network, CN)를 사용하여, 멀티미디어 서브시스템(IP Multimedia System, IMS) 네트워크 또는 패킷 교환 스트리밍 서비스(Packet Switched Streaming Service, 약어로 PSS) 네트워크와 같은, 오퍼레이터 인터넷 프로토콜(Internet Protocol, IP) 서비스 네트워크를 액세스한다. 본 발명의 실시예들에서 설명되는 기술적 해결책들은 롱 텀 에볼루션(Long Term Evolution, LTE) 시스템, 또는 다양한 무선 액세스 기술들이 사용되는 다른 무선 통신 시스템들, 예를 들어, 코드 분할 다중 액세스(Code Division Multiple Access, CDMA), 주파수 분할 다중 액세스(Frequency Division Multiple Access, FDMA), 시간 분할 다중 액세스(Time Division Multiple Access, TDMA), 직교 주파수 분할 다중 액세스(Orthogonal Frequency Division Multiple Access, OFDMA), 및 단일 캐리어 주파수 분할 다중 액세스(Single Carrier Frequency Division Multiple Access, SC-FDMA)와 같은 액세스 기술들이 사용되는 시스템들에 적용 가능할 수 있다. 더욱이, 이러한 기술적 해결책들은 LTE 시스템의 후속 진화된 시스템, 예를 들어, 5세대(5th Generation, 5G) 시스템에 추가로 적용 가능할 수 있다. 명확성의 목적으로, LTE 시스템만이 설명을 위한 예로서 본 명세서에서 사용된다. LTE 시스템에서는, 진화된 범용 지상 무선 액세스 네트워크(Evolved Universal Terrestrial Radio Access Network, E-UTRAN)가 무선 액세스 네트워크로서 사용되고, 진화된 패킷 코어(Evolved Packet Core, EPC)가 코어 네트워크로서 사용된다. 단말은 E-UTRAN 및 EPC를 사용하여 IMS 네트워크를 액세스한다. 본 발명의 실시예들의 해결책들이 5G 시스템 또는 미래에 발생할 수 있는 다른 시스템에 적용될 때, 단말 또는 네트워크 디바이스의 명칭이 변경될 수 있지만, 이것은 본 발명의 실시예들의 해결책들의 구현에 영향을 미치지 않는다는 점이 주목되어야 한다.
전술한 애플리케이션 시나리오에 기초하여, 도 1b는 본 발명의 실시예에서 제공되는 가능한 네트워크 아키텍처를 도시한다. 도 1b에 도시되는 바와 같이, 이러한 네트워크 아키텍처는 적어도, 단말, 액세스 네트워크, 보안 노드 네트워크 엘리먼트, 제어 평면 기능 엔티티, 및 사용자 평면 기능 엔티티를 포함한다. 단말은 액세스 네트워크를 사용하여 보안 노드 네트워크 엘리먼트를 액세스하고, 보안 노드 네트워크 엘리먼트는 제어 평면 기능 엔티티 및 사용자 평면 기능 엔티티 양자 모두에 접속된다. 업링크 및 다운링크 데이터 패킷들은 보안 접속(security connection)을 사용하여 단말과 보안 노드 네트워크 엘리먼트 사이에 송신되고, 이러한 보안 접속은 인터넷 프로토콜 보안(Internet Protocol Security, IPsec) 터널일 수 있거나, 또는 다른 보안 접속 방식일 수 있다. 설명의 편의를 위해, 제어 평면 기능 엔티티는 CP 기능으로서 또한 설명될 수 있고, 사용자 평면 기능 엔티티는 UP 기능으로서 또한 설명될 수 있다.
본 발명의 기술적 해결책들이 도 1b에 도시되는 네트워크 아키텍처에 제한되는 것은 아니고, 제어 시그널링이 사용자 평면 보안 접속을 사용하여 송신되는 모든 네트워크 아키텍처들, 예를 들어, LTE 네트워크, 홈 NodeB 네트워크, 무선 충실도(Wireless Fidelity, Wi-Fi) 액세스의 모바일 네트워크, 모바일 통신을 위한 글로벌 시스템(Global System for Mobile Communications, GSM) 네트워크, 광대역 코드 분할 다중 액세스(Wideband Code Division Multiple Access, WCDMA) 네트워크, 5G 네트워크, 또는 미래에 발생할 수 있는 다른 네트워크가 본 발명에 적용 가능하다는 점이 이해되어야 한다.
본 발명의 실시예들에서, "네트워크(network)" 및 "시스템(system)"이라는 용어들이 일반적으로 번갈아 사용되지만, 해당 분야에서의 기술자는 이러한 용어들의 의미를 이해할 수 있다.
본 발명의 실시예들에 관련된 단말은 무선 통신 기능을 갖는 다양한 핸드헬드 디바이스들, 차량 내 디바이스들, 웨어러블 디바이스들, 및 컴퓨팅 디바이스들, 또는 무선 모뎀에 접속되는 다른 처리 디바이스들, 및 다양한 형태의 사용자 장비(User Equipment, UE), 이동국들(Mobile Station, MS), 단말 디바이스들(terminal device) 등을 포함할 수 있다. 설명의 편의를 위해, 전술한 디바이스들은 집합적으로 단말들이라고 지칭된다.
본 발명의 실시예들에 관련된 보안 노드 네트워크 엘리먼트는 코어 네트워크 엘리먼트(예를 들어, 비-3GPP 코어 네트워크 게이트웨이(Non-3GPP Core Network Gateway, N3CNGW)), 비-3GPP 액세스 스트라텀 기능(Non-3GPP Access Stratum Function, N3ASF) 엔티티, 또는 비-3세대 파트너쉽 프로젝트(3rd Generation Partnership Project, 3GPP) 모바일 네트워크에서의 액세스 게이트웨이(Access Gateway, AGW) 일 수 있거나; LTE 시스템에서의 코어 네트워크 엘리먼트 또는 클라우드 무선 액세스 네트워크(Cloud Radio Access Network, CRAN)에서의 무선 제어기일 수 있거나; 는 중계국, 액세스 포인트, 차량 내 디바이스, 또는 웨어러블 디바이스일 수 있거나; 또는 5G 네트워크에서의 네트워크 디바이스, 미래의 진화된 공중 육상 모바일 네트워크(Public Land Mobile Network, PLMN)에서의 네트워크 디바이스 등일 수 있다. 이러한 것이 본 발명의 실시예들에서 제한되는 것은 아니다.
본 발명의 구현들에서, 일련 번호들 "제1(first)" 및 "제2(second)"는 단지 상이한 오브젝트들을 구별하도록, 예를 들어, 상이한 보안 접속들을 구별하도록 의도되고, 본 발명의 실시예들의 보호 범위에 대한 어떠한 제한도 구성하지 않아야 한다는 점이 이해될 수 있다.
본 발명의 실시예들은 본 발명의 실시예들에 관련된 전술한 보편성에 기초하여 이하 상세히 추가로 설명된다.
도 1b에 도시되는 네트워크 아키텍처에서, 단말과 보안 노드 네트워크 엘리먼트 사이에 제어 시그널링이 송신될 때, 제어 시그널링은 단말과 보안 노드 네트워크 엘리먼트 사이의 사용자 평면 보안 접속을 통해 송신될 필요가 있다. 예를 들어, 단말에 의해 전송되는 업링크 데이터 패킷을 수신할 때, 보안 노드 네트워크 엘리먼트는 업링크 데이터 패킷이 제어 시그널링을 운반하는지 식별할 필요가 있다. 업링크 데이터 패킷이 제어 시그널링을 운반하면, 보안 노드 네트워크 엘리먼트는 제어 시그널링을 추출하고 이러한 제어 시그널링을 CP 기능에 전송하거나; 또는 업링크 데이터 패킷이 사용자 평면 데이터를 운반하면, 보안 노드 네트워크 엘리먼트는 업링크 데이터 패킷에서의 사용자 평면 데이터를 UP 기능에 전송한다. 다운링크 데이터 패킷에 대해, 다운링크 데이터 패킷을 수신한 이후에, 단말은 다운링크 데이터 패킷이 제어 시그널링을 운반하는지 식별한다. 다운링크 데이터 패킷이 제어 시그널링을 운반하면, 단말은 제어 시그널링을 추출하고 이러한 제어 시그널링을 처리를 위해 제어 평면 프로토콜 스택에 제출하거나, 또는 다운링크 데이터 패킷이 사용자 평면 데이터를 운반하면, 단말은 사용자 평면 데이터를 추출하고 이러한 사용자 평면 데이터를 처리를 위해 사용자 평면 프로토콜 스택에 제출한다.
기존의 해결책에서, 제어 시그널링을 운반하는 데이터 패킷은 데이터 패킷의 목적지 IP 어드레스를 구체적인 목적지 IP 어드레스로 설정하는 방식으로 식별될 수 있다. 도 2는 IPsec를 사용하여 송신되는 보안 접속 데이터의 데이터 패킷의 포맷을 도시한다. 데이터 패킷의 포맷을 예로서 사용하여, 업링크 송신 프로세스에서, 보안 노드 네트워크 엘리먼트는, 데이터 패킷이 구체적인 목적지 IP 어드레스를 포함하는지 식별하여, 데이터 패킷이 제어 시그널링을 운반하는지 결정한다- 구체적인 목적지 IP 어드레스는 사전에 구성될 수 있음 -. 보안 노드 네트워크 엘리먼트가 데이터 패킷이 구체적인 목적지 IP 어드레스를 포함한다고 식별할 때, 보안 노드 네트워크 엘리먼트는 데이터 패킷이 제어 시그널링을 운반한다고 결정할 수 있다. 그러나, 이러한 방식은 보안 문제를 갖는다. 예를 들어, 실제로는, 제어 시그널링을 운반하지 않는 데이터 패킷의 목적지 IP 어드레스가 단말에서의 악성 애플리케이션에 의해 구체적인 목적지 IP 어드레스로 설정될 수 있다. 결과적으로, 제어 시그널링으로서 고려되면, 데이터 패킷에서 운반되는 사용자 평면 데이터는 CP 기능에 전송되어, 에러를 야기한다.
이를 고려하여, 본 발명의 실시예들은 통신 방법, 및 이러한 방법에 기초하는 보안 노드 네트워크 엘리먼트, 단말, 및 시스템을 제공한다. 이러한 방법은, 단말에 의해, 제1 데이터 패킷을 생성하는 단계- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -; 단말에 의해, 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하는 단계- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -; 및 보안 노드 네트워크 엘리먼트가 제1 데이터 패킷을 수신한 이후, 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면, 보안 노드 네트워크 엘리먼트에 의해, 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송하는 단계; 또는 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면, 보안 노드 네트워크 엘리먼트에 의해, 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송하는 단계를 포함한다.
도 3을 참조하여, 다음은 본 발명의 실시예들에서 제공되는 해결책들을 설명한다.
도 3은 본 발명의 실시예에서 제공되는 통신 방법을 도시한다. 도 3에 도시되는 방법은 부분 S310 내지 부분 S330을 포함할 수 있거나, 또는 도 3에 도시되는 방법은 부분 S310, 부분 S320, 및 부분 S330을 포함할 수 있다.
S310. 단말이 제1 데이터 패킷을 생성함- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -.
선택적으로, 일부 구현들에서, 제1 데이터 패킷은 IPsec 사용자 평면 데이터 패킷의 포맷인 데이터 패킷일 수 있고, 이러한 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반한다.
본 발명의 이러한 구현에서, 단말이 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송할 필요가 있을 때, 단말은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 생성할 수 있거나; 또는 단말이 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송할 필요가 있을 때, 단말은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 생성할 수 있다는 점이 이해되어야 한다.
S320. 단말이 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송함- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -.
구체적으로, 본 발명의 이러한 구현에서, 제1 데이터 패킷이 제1 제어 시그널링을 운반할 때, 단말은 제2 보안 접속을 통해 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송할 수 있거나; 또는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반할 때, 단말은 제1 보안 접속을 통해 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송할 수 있다.
선택적으로, 일부 구현들에서, 제1 보안 접속 및 제2 보안 접속은 상이한 보안 접속 형태들일 수 있다. 예를 들어, 제1 보안 접속 및 제2 보안 접속은 IPsec 터널들일 수 있다. 구체적으로, 제1 보안 접속은 제1 IPsec 터널일 수 있고, 제2 보안 접속은 제2 IPsec 터널일 수 있다. 다른 예에서, 제1 보안 접속 및 제2 보안 접속은 LTE 터널들일 수 있다. 구체적으로, 제1 보안 접속은 제1 LTE 터널일 수 있고, 제2 보안 접속은 제2 LTE 터널일 수 있다. 다른 예에서, 제1 보안 접속 및 제2 보안 접속은 상이한 보안 접속들일 수 있다. 예를 들어, 제1 보안 접속은 IPsec 터널일 수 있고, 제2 보안 접속은 LTE 터널일 수 있다.
선택적으로, 일부 구현들에서, 제1 데이터 패킷이 제1 제어 시그널링을 운반하면, 제1 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반할 수 있거나; 또는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반하면, 제1 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반할 수 있다.
선택적으로, 일부 구현들에서, 제2 보안 접속의 식별자는 제2 보안 파라미터 인덱스(Security Parameter Index, SPI) 값일 수 있고, 제1 보안 접속의 식별자는 제1 SPI 값일 수 있다.
보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 보안 노드는 데이터 패킷에 추가되고 악성 애플리케이션이 수정할 수 있는 구체적인 목적지 IP 어드레스를 사용할 필요 없이 제어 시그널링 또는 사용자 평면 데이터를 운반하는 데이터 패킷을 식별하지만, 비-애플리케이션 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들을 통해 전송되는 데이터 패킷들을 식별하여, 상이한 보안 접속들을 통해 전송되는 데이터 패킷들에 기초하여, 제어 시그널링 또는 사용자 평면 데이터를 운반하는 데이터 패킷을 식별한다. 따라서, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
본 발명의 이러한 구현에서, 단말은 제1 데이터 패킷을 생성하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 보안 노드 네트워크 엘리먼트에 전송되고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속의 타입에 대응하는 데이터 패킷일 수 있다는 점이 이해되어야 한다. 예를 들어, 제1 보안 접속이 제1 IPsec 터널이거나 또는 제2 보안 접속이 제2 IPsec 터널일 때, 단말에 의해 생성되는 제1 데이터 패킷은 IPsec 사용자 평면 데이터 패킷의 포맷이거나; 또는 제1 보안 접속 또는 제2 보안 접속이 LTE 터널일 때, 단말에 의해 생성되는 제1 데이터 패킷은 LTE 터널에 대응하는 사용자 평면 데이터 패킷의 포맷이다.
선택적으로, 일부 구현들에서, 단말은 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 추가로 수신할 수 있다- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반함 -. 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신된다. 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면, 단말은 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하거나; 또는 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면, 단말은 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리한다.
선택적으로, 일부 구현들에서, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반할 수 있거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반할 수 있다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신한 이후에, 단말은 제2 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 추가로 먼저 결정할 수 있다. 예를 들어, 제2 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 단말은 제2 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정할 수 있거나; 또는 제2 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 단말은 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정할 수 있다.
전술한 구현에서, 보안 노드 네트워크 엘리먼트는 제2 제어 시그널링을 운반하는 제2 데이터 패킷을 제2 보안 접속을 통해 단말에 전송할 수 있거나; 또는 보안 노드 네트워크 엘리먼트는 제2 사용자 평면 데이터를 운반하는 제2 데이터 패킷을 제1 보안 접속을 통해 단말에 전송할 수 있다.
선택적으로, 일부 실시예들에서, 제2 데이터 패킷을 단말에 전송하기 이전에, 보안 노드 네트워크 엘리먼트는 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 추가로 먼저 수신할 수 있거나; 또는 보안 노드 네트워크 엘리먼트는 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 추가로 먼저 수신할 수 있다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트가 단말로부터 제1 데이터 패킷을 수신한 이후에, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 추가로 결정할 수 있다. 예를 들어, 제1 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정할 수 있거나; 또는 제1 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정할 수 있다.
다음 부분들 S330 및 S340은 선택적인 부분들이고, 부분 S320이 수행된 이후에, 부분 S330 또는 부분 S340이 수행된다는 점이 주목되어야 한다. 구체적으로, 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면, 부분 S330이 수행되거나; 또는 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면, 부분 S340이 수행된다.
S330. 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 보안 노드 네트워크 엘리먼트가 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송함.
구체적으로, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷에서 운반되는 제1 제어 시그널링을 추출하고, 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송할 수 있다.
S340. 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면 보안 노드 네트워크 엘리먼트가 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송함.
구체적으로, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷에서의 제1 사용자 평면 데이터를 추출하고, 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송할 수 있다.
본 발명의 이러한 실시예에서, 제1 데이터 패킷이 제1 제어 시그널링을 운반할 때, 제1 데이터 패킷은 제1 보안 접속을 통해 송신되거나; 또는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반할 때, 제1 데이터 패킷은 제2 보안 접속을 통해 송신되어, 보안 노드 네트워크 엘리먼트가, 제1 데이터 패킷을 송신하는데 사용되는 보안 접속에 기초하여, 제1 데이터 패킷이 제1 제어 시그널링 또는 제1 사용자 평면 데이터를 운반한다고 결정할 수 있다. 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷이 제1 제어 시그널링을 운반한다고 결정하고, 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송할 수 있거나; 또는 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면, 보안 노드 네트워크 엘리먼트는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반한다고 결정하고, 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송할 수 있다. 본 발명의 이러한 실시예에서, 제어 시그널링 및 사용자 평면 데이터는 상이한 보안 접속들을 통해 송신되어, 보안 노드 네트워크 엘리먼트는 데이터 패킷이 제어 시그널링을 운반하는지 식별한다는 점을 알 수 있다. 구체적인 목적지 IP 어드레스가 데이터 패킷에서 설정되는 방식과 비교하여, 본 발명의 이러한 실시예의 해결책은 사용자 평면 데이터 또는 제어 시그널링의 송신 보안을 개선한다.
본 발명의 이러한 실시예에서의 제1 데이터 패킷의 포맷은, 제1 보안 접속이 제1 IPsec 터널이고 제2 보안 접속이 제2 IPsec 터널인 예를 사용하여, 그리고 도 4 및 도 5를 참조하여, 도 3에 도시되는 방법에 기초하여 이하 설명된다.
도 4는 제1 제어 시그널링을 운반하는 제1 데이터 패킷의 포맷의 개략도이다- 제1 데이터 패킷은 IPsec 사용자 평면 데이터 패킷의 포맷일 수 있음 -.
단말이 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송할 필요가 있을 때, 단말은 제1 데이터 패킷을 생성한다. 제1 데이터 패킷은 제2 IPsec 터널의, 제2 SPI와 같은, SPI(security parameter connection parameter index)를 포함한다. 제1 데이터 패킷을 수신한 이후에, 보안 노드 네트워크 엘리먼트는, 제1 데이터 패킷에서의 제2 SPI를 사용하여, 제1 데이터 패킷이 제2 IPsec 터널을 통해 단말에 의해 전송된다고 식별하여, 제1 데이터 패킷이 제1 제어 시그널링을 운반한다고 결정하고, 제1 데이터 패킷으로부터 제1 제어 시그널링을 추출할 수 있다.
도 5는 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷의 포맷의 개략도이다- 제1 데이터 패킷은 IPsec 사용자 평면 데이터 패킷의 포맷일 수 있음 -.
단말이 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송할 필요가 있을 때, 단말은 제1 데이터 패킷을 생성한다. 제1 데이터 패킷은 제1 IPsec 터널의, 제1 SPI와 같은, SPI를 포함한다. 제1 데이터 패킷을 수신한 이후에, 보안 노드 네트워크 엘리먼트는, 제1 데이터 패킷에서의 제1 SPI를 사용하여, 데이터 패킷이 제1 IPsec 터널을 통해 송신된다고 식별하여, 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반한다고 결정하고, 제1 데이터 패킷으로부터 제1 사용자 평면 데이터를 추출할 수 있다.
보안 노드 네트워크 엘리먼트는, 제1 데이터 패킷에서 운반되는 SPI(security parameter index) 값에 기초하여, 상이한 IPsec 터널들을 사용하여 전송되는 제1 데이터 패킷을 식별하여, 제1 데이터 패킷이 제1 제어 시그널링 또는 제1 사용자 평면 데이터를 운반하는지 결정할 수 있다. 이러한 SPI 값은 비-애플리케이션 레이어의 보안 접속 식별자이다. 따라서, 악성 애플리케이션에 의한 수정이 회피될 수 있고, 송신 보안이 개선된다.
선택적으로, 일부 구현들에서, 도 3에 도시되는 방법이 수행되기 이전에, 본 발명의 이러한 실시예의 방법은 추가로, 제1 보안 접속 및 제2 보안 접속을 수립하는 단계를 포함할 수 있다.
구체적으로, 전술한 구현에서, 제1 보안 접속은 제1 IPsec 터널일 수 있고, 제2 보안 접속은 제2 IPsec 터널일 수 있다. 제1 IPsec 터널은 단말 첨부 프로세스에서 수립될 수 있고, 제1 IPsec 터널이 수립된 이후에, 제2 IPsec 터널은 제1 IPsec 터널을 수립하는 프로세스에서 협상되는 키 및 알고리즘을 사용하여 계속 수립될 수 있다.
본 발명의 실시예에서 제1 IPsec 터널 및 제2 IPsec 터널을 수립하는 프로세스는, 제1 보안 접속이 제1 IPsec 터널이고, 제2 보안 접속이 제2 IPsec 터널이고, 보안 노드 네트워크 엘리먼트가 N3CNGW인 예를 사용하여, 그리고 도 6을 참조하여, 이하 설명된다. 본 발명의 이러한 구현에서, 제1 보안 접속 및 제2 보안 접속은 대안적으로 다른 형태의 터널 또는 다른 형태의 보안 접속일 수 있다는 점이 이해되어야 한다. 이러한 것이 본 발명의 이러한 실시예에서 제한되는 것은 아니고, 해당 분야에서 기술자는 창의적 노력들 없이 다른 형태의 보안 접속을 수립할 수 있다.
도 6은 본 발명의 실시예에 따른 단말과 N3CNGW 사이에 제1 IPsec 터널 및 제2 IPsec 터널을 수립하는 개략 흐름도이다.
S1에서, 단말은 비-3GPP 액세스 네트워크로의 인터넷 프로토콜(Internet Protocol, IP) 접속을 수립한다.
S2에서, 단말은 비-3GPP 코어 네트워크 엘리먼트 N3CNGW를 선택한다.
S3에서, 단말은 단계 S2에서 선택된 N3CNGW와 단말 사이의 인터넷 키 교환 보안 접속 초기화를 수행한다.
단계 S3에서, 단말은 단말과 N3CNGW 사이의 시그널링 상호 작용을 수행하여 보안 접속의 보안 파라미터 인덱스를 획득한다.
S4에서, 단말은 인증 요청을 N3CNGW에 전송한다- 인증 요청은 단말의 식별자를 포함함 -.
S5에서, N3CNGW는 인증 응답을 단말에 전송한다- 인증 응답은 N3CNGW의 식별자를 포함함 -.
S6에서, 단말은 인증 요청을 다시 N3CNGW에 전송한다- 인증 요청은 EAP-RSP 시그널링을 포함하고, EAP-RSP는, EAP 인증 프로세스에서, 단말이 합법적인지 검증하는데 사용되는 응답 메시지를 포함함 -.
S7에서, N3CNGW는 확장 가능한 인증 프로토콜 응답을 제어 평면 기능 엔티티에 전송한다- 확장 가능한 인증 프로토콜 응답은 EAP-RSP 시그널링을 포함함 -.
S8에서, 제어 평면 기능 엔티티는 확장 가능한 인증 프로토콜 요청을 N3CNGW에 전송한다- 확장 가능한 인증 프로토콜 요청은 EAP-RSQ를 포함하고, EAP-RSQ는 EAP 인증 프로세스에서의 시그널링임 -.
S9에서, N3CNGW는 인증 응답을 단말에 전송한다- 인증 응답은 N3CNGW의 식별자 및 EAP-RSP를 포함하고, EAP-RSP는 EAP 인증 프로세스에서의 시그널링임 -.
S10에서, 단말은 인증 요청을 N3CNGW에 전송한다.
S11에서, N3CNGW는 확장 가능한 인증 프로토콜 응답을 제어 평면 기능 엔티티에 전송한다.
S12에서, 제어 평면 기능 엔티티는 확장 가능한 인증 성공 시그널링을 N3CNGW에 전송한다.
S13에서, 제어 평면 기능 엔티티는 제어 평면 기능 엔티티와 N3CNGW 사이의 시그널링 상호 작용을 수행하여 보안 컨텍스트 정보를 획득한다.
S14에서, N3CNGW는 인증 응답을 단말에 전송한다- 이러한 응답에 관한 정보는 제1 IPsec 터널이 성공적으로 설정된다는 점을 표시하는 메시지를 포함함 -.
S15에서, 단말은 자식 보안 접속을 수립하기 위한 요청을, N3CNGW에, 전송한다- 이러한 요청은 제2 IPsec 터널의 SPI 값을 포함함 -.
S16에서, N3CNGW는 자식 보안 접속을 수립하는 것에 대한 응답을, 단말에, 전송한다- 이러한 응답은 제2 IPsec 터널의 SPI 값을 포함함 -.
전술한 단계들이 수행된 이후, 단말과 N3CNGW 사이에 제1 IPsec 터널 및 제2 IPsec 터널이 수립된다. 본 발명의 이러한 구현에서, 제2 IPsec 터널은 제1 IPsec 터널에 기초하여 수립된다는, 즉, 제2 IPsec 터널은 제1 IPsec 터널을 수립하는 프로세스에서 협상되는 키 및 알고리즘을 사용하여 수립될 수 있다는 점이 이해되어야 한다. 물론, 해당 분야에서의 통상의 기술자는, 제2 IPsec 터널을 수립하는 프로세스가 제1 IPsec 터널을 수립하는 프로세스와 동일할 수 있다는, 즉, 2개의 완전히 상이한 IPsec 터널들이 개별적으로 수립될 수 있다는 점을 창의적 노력들 없이 쉽게 구상할 수 있다.
본 발명의 이러한 구현에서, 제2 IPsec 터널은 제1 IPsec 터널에 기초하여 수립될 수 있다는 점이 추가로 이해되어야 한다. 이러한 경우, 단말과 보안 노드 네트워크 엘리먼트 사이에 데이터 패킷이 송신될 때, 제어 시그널링을 운반하는 데이터 패킷이 제1 IPsec 터널을 통해 송신될 수 있고, 및/또는 사용자 평면 데이터를 운반하는 데이터 패킷이 제2 IPsec 터널을 통해 송신될 수 있다. 이러한 것이 본 발명에서 제한되는 것은 아니다.
본 발명의 이러한 구현에서, 제1 IPsec 터널 및 제2 IPsec 터널은 서로 독립적으로 수립될 수 있다는 점이 추가로 이해되어야 한다. 이러한 경우, 일련 번호들 "제1(first)" 및 "제2(second)"는 단지 상이한 IPsec 터널들을 구별하도록 의도되고, 본 발명의 실시예들의 보호 범위에 대한 어떠한 제한도 구성하지 않아야 한다.
도 1b에 도시되는 네트워크 아키텍처에서, 다운링크 데이터 패킷을 수신할 때, 단말은 다운링크 데이터 패킷이 제어 시그널링을 운반하는지 식별할 필요가 있다. 다운링크 데이터 패킷이 제어 시그널링을 운반하면, 단말은 제어 시그널링을 추출하고, 제어 평면 프로토콜 스택을 사용하여 제어 시그널링을 처리하거나; 또는 다운링크 데이터 패킷이 사용자 평면 데이터를 운반하면, 단말은 사용자 평면 프로토콜 스택을 사용하여 다운링크 데이터 패킷에서의 사용자 평면 데이터를 처리한다. 업링크 데이터 패킷의 송신과 유사하게, 기존의 해결책에서, 제어 시그널링을 운반하지 않는 다운링크 데이터 패킷의 목적지 IP 어드레스는 단말에서의 악성 애플리케이션에 의해 구체적인 목적지 IP 어드레스로 또한 설정될 수 있다. 결과적으로, 다운링크 데이터 패킷에서 운반되는 사용자 평면 데이터는 제어 평면 프로토콜 스택을 사용하여 처리되어, 에러를 야기한다. 이를 고려하여, 본 발명의 실시예들은 다른 통신 방법, 및 이러한 방법에 기초하는 보안 노드 네트워크 엘리먼트, 단말, 및 시스템을 제공한다. 이러한 방법은, 보안 노드 네트워크 엘리먼트에 의해, 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하는 단계, 또는, 보안 노드에 의해, 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하는 단계; 보안 노드 네트워크 엘리먼트에 의해, 제2 데이터 패킷을 단말에 전송하는 단계- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -; 및 단말에 의해, 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하는 단계, 또는, 단말에 의해, 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하는 단계를 포함한다.
본 발명의 실시예에서 제공되는 통신 방법이 도 7을 참조하여 이하 설명된다. 도 7에 도시되는 방법은 도 3에 도시되는 방법에 기초하여 수행될 수 있거나, 또는 도 3에 도시되는 방법에 기초하지 않고 수행될 수 있다. 도 7에 도시되는 바와 같이, 이러한 통신 방법은 다음 단계들을 포함한다.
S710. 보안 노드 네트워크 엘리먼트가 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신함.
구체적으로, S710에서, 제어 평면 기능 엔티티가 제2 제어 시그널링을 단말에 전송할 필요가 있을 때, 제어 평면 기능 엔티티는 제2 제어 시그널링을 보안 노드 네트워크 엘리먼트에 전송한다. 제2 제어 시그널링은 NAS(non-access stratum) 시그널링 등을 포함할 수 있다. 이러한 것이 본 발명에서 제한되는 것은 아니다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트가 제어 평면 기능 엔티티에 의해 전송되는 제2 제어 시그널링을 수신한 이후에, 보안 노드 네트워크 엘리먼트는 제2 제어 시그널링을 운반하는 제2 데이터 패킷을 생성할 수 있다.
S720. 보안 노드 네트워크 엘리먼트가 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신함.
구체적으로, S720에서, 사용자 평면 기능 엔티티가 제2 사용자 평면 데이터를 단말에 전송할 필요가 있을 때, 사용자 평면 기능 엔티티는 제2 사용자 평면 데이터를 보안 노드 네트워크 엘리먼트에 전송한다.
선택적으로, 일부 실시예들에서, 보안 노드 네트워크 엘리먼트가 사용자 평면 기능 엔티티에 의해 전송되는 제2 사용자 평면 데이터를 수신한 이후에, 보안 노드 네트워크 엘리먼트는 제2 사용자 평면 데이터를 운반하는 제2 데이터 패킷을 생성할 수 있다.
전술한 부분들 S710 및 S720은 선택적인 부분들이라는 점이 주목되어야 한다. S710이 수행될 때, 부분 S710에 대응하는 콘텐츠의 단계들은 다음 부분들 S730 및 S740에서 개별적으로 수행된다. 부분 S720이 수행될 때, 부분 S720에 대응하는 콘텐츠의 단계들은 다음 부분들 S730 및 S740에서 개별적으로 수행된다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트가 제어 평면 기능 엔티티에 의해 전송되는 제2 제어 시그널링을 수신하는 단계 S710을 수행한 이후에, 보안 노드 네트워크 엘리먼트는 제2 제어 시그널링에 기초하여 제2 데이터 패킷을 생성한다- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -.
구체적으로, 제어 평면 기능 엔티티에 의해 전송되는 제2 제어 시그널링을 수신한 이후에, 보안 노드 네트워크 엘리먼트는 제2 데이터 패킷을 송신하기 위한 보안 접속의 타입에 기초하여 제2 데이터 패킷을 생성한다- 제2 데이터 패킷은 제어 평면 기능 엔티티에 의해 전송되는 제2 제어 시그널링을 포함함 -.
선택적으로, 일부 실시예들에서, 보안 노드 네트워크 엘리먼트가 사용자 평면 기능 엔티티에 의해 전송되는 제2 사용자 평면 데이터를 수신하는 단계 S720을 수행한 이후에, 보안 노드 네트워크 엘리먼트는 제2 사용자 평면 데이터에 기초하여 제2 데이터 패킷을 생성한다- 제2 데이터 패킷은 제2 사용자 평면 데이터를 운반함 -.
구체적으로, 사용자 평면 기능 엔티티에 의해 전송되는 제2 사용자 평면 데이터를 수신한 이후에, 보안 노드 네트워크 엘리먼트는 제2 데이터 패킷을 송신하기 위한 보안 접속의 타입에 기초하여 제2 데이터 패킷을 생성한다- 제2 데이터 패킷은 사용자 평면 기능 엔티티에 의해 전송되는 제2 사용자 평면 데이터를 포함함 -.
선택적으로, 일부 구현들에서, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반할 수 있다. 즉, S710이 수행될 때, 보안 노드 네트워크 엘리먼트에 의해 생성되는 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 S720이 수행될 때, 보안 노드 네트워크 엘리먼트에 의해 생성되는 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
S730. 보안 노드 네트워크 엘리먼트가 제2 데이터 패킷을 단말에 전송함- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -.
선택적으로, 일부 구현들에서, 단말이 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신한 이후에, 단말은 제2 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 추가로 결정할 수 있다. 예를 들어, 제2 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트는 제2 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정할 수 있거나; 또는 제2 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 보안 노드 네트워크 엘리먼트는 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 추가로 결정할 수 있다.
구체적으로, 본 발명의 이러한 구현에서, 제2 데이터 패킷에서 운반되는 보안 접속 식별자가 제1 보안 접속의 식별자라고 식별할 때, 단말은 제1 보안 접속이 제2 데이터 패킷을 전송하기 위해 보안 노드 네트워크 엘리먼트에 의해 사용되는 보안 접속이라고 결정하거나; 또는 제1 데이터 패킷에서 운반되는 보안 접속 식별자가 제1 보안 접속의 식별자라고 식별할 때, 단말은 제1 보안 접속이 제1 데이터 패킷을 전송하기 위해 보안 노드 네트워크 엘리먼트에 의해 사용되는 보안 접속이라고 결정한다.
S740. 단말이 제2 데이터 패킷에서의 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 처리함- 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면, 단말은 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하거나; 또는 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면, 단말은 사용자 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리함 -.
구체적으로, 본 발명의 이러한 구현에서, 단말은 보안 노드 네트워크 엘리먼트에 의해 전송되는 제2 데이터 패킷을 수신하고, 제2 데이터 패킷에서의 보안 접속 식별자를 사용하여, 제2 데이터 패킷이 제2 보안 접속을 통해 전송된다고, 또는 제1 보안 접속을 통해 전송된다고 결정한다. 즉, 단말은, 제2 데이터 패킷에서의 보안 접속 식별자에 기초하여, 제2 데이터 패킷을 전송하기 위한 보안 접속이 제2 보안 접속 또는 제1 보안 접속이라고 식별한다. 단말이 제2 데이터 패킷이 제2 보안 접속을 통해 전송된다고 식별할 때, 단말은 제2 데이터 패킷에서의 제2 제어 시그널링을 획득하고, 처리를 위해 제어 평면 프로토콜 스택에 제2 제어 시그널링을 제출하거나; 또는 단말이 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 식별할 때, 단말은 제2 데이터 패킷에서의 제2 사용자 평면 데이터를 획득하고, 처리를 위해 사용자 평면 프로토콜 스택에 제2 사용자 평면 데이터를 제출한다.
도 7에 도시되는 방법에서, 제1 보안 접속, 제2 보안 접속, 제1 보안 접속의 식별자, 및 제2 보안 접속의 식별자에 관련된 콘텐츠에 대해, 도 3에서의 상세한 설명들에 대한 참조가 이루어질 수 있다는 점이 주목되어야 한다. 상세 사항들이 본 명세서에 설명되는 것은 아니다.
사용자 평면 데이터 및 제어 시그널링은 2개의 상이한 보안 접속들을 통해 각각 송신된다. 제어 시그널링이 송신될 때, 제어 시그널링을 운반하는 데이터 패킷은 제2 보안 접속을 통해 송신되고, 사용자 평면 데이터를 운반하는 데이터 패킷은 제1 보안 접속을 통해 송신된다. 데이터 패킷을 수신한 이후, 보안 노드 네트워크 엘리먼트 또는 단말은, 데이터 패킷에서의 타겟 보안 접속 식별자를 사용하여, 데이터 패킷을 전송하기 위한 타겟 보안 접속을 식별하고, 데이터 패킷을 송신하기 위한 타겟 보안 접속에 기초하여, 데이터 패킷이 사용자 평면 데이터 또는 제어 시그널링을 운반하는지 결정한다. 타겟 보안 접속 식별자는 비-애플리케이션 레이어, 네트워크 레이어, 또는 수송 레이어의 식별자이다. 따라서, 악성 애플리케이션에 의한 수정이 회피될 수 있고, 송신 보안이 개선된다.
본 발명의 이러한 구현에서, 전술한 프로시저들에서의 시퀀스 번호들이 실행 시퀀스를 의미하는 것은 아니고, 프로시저들의 실행 시퀀스는 그것의 기능들 및 내부 로직에 기초하여 결정되어야 하며, 본 발명의 이러한 실시예의 구현 프로세스에 대한 어떠한 제한도 구성하지 않아야 한다는 점이 이해되어야 한다.
본 발명의 실시예들에서의 통신 방법들은 상호 작용의 관점에서 위에 상세히 설명되고, 본 발명의 실시예들에서의 통신을 위해 사용되는 보안 노드 네트워크 엘리먼트 및 단말이 이하 상세히 설명된다.
도 8은 본 발명의 실시예에 따른 보안 노드 네트워크 엘리먼트의 개략 블록도이다. 보안 노드 네트워크 엘리먼트의 기능 모듈들은 도 3, 도 6, 및 도 7에 도시되는 방법들에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 단계들 및/또는 프로시저들을 대응적으로 수행할 수 있다. 이러한 보안 노드 네트워크 엘리먼트는,
단말로부터 제1 데이터 패킷을 수신하도록 구성되는 제1 수신 모듈(810)- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -; 및
제1 전송 모듈(820)- 제1 전송 모듈은 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 기능 엔티티에 제1 제어 시그널링을 전송하도록 구성되거나; 또는 제1 전송 모듈은 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 기능 엔티티에 제1 사용자 평면 데이터를 전송하도록 구성됨 -을 포함한다.
보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 보안 노드는 데이터 패킷에 있는 그리고 악성 애플리케이션이 수정할 수 있는 구체적인 목적지 IP 어드레스를 사용할 필요 없이 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별하지만, 비-애플리케이션 레이어, 네트워크 레이어, 또는 수송 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 식별하고, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 결정하여, 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반하는지 식별한다. 따라서, 악성 애플리케이션에 의한 수정이 회피될 수 있고, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트는 추가로,
제2 전송 모듈- 제2 전송 모듈은 제2 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록 구성되거나- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -; 또는
제2 전송 모듈은 제1 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록 구성됨- 제2 데이터 패킷은 제2 사용자 평면 데이터를 운반함 -을 포함한다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트는 추가로,
제2 수신 모듈- 제2 수신 모듈은 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하도록 구성되거나, 또는 제2 수신 모듈은 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하도록 구성됨 -을 포함한다.
선택적으로, 일부 구현들에서, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트는 추가로,
제1 수신 모듈이 제1 데이터 패킷을 수신한 이후에, 제1 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하도록 구성되는 결정 모듈을 포함한다.
선택적으로, 일부 구현들에서, 제1 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 결정 모듈은 구체적으로,
제1 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 제1 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하도록; 또는
제1 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 제1 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 제2 보안 접속은 제2 IPsec 터널이다.
선택적으로, 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 제1 보안 접속의 식별자는 제1 SPI 값이다.
본 명세서에서의 보안 노드 네트워크 엘리먼트는 기능 모듈의 형태로 구현된다는 점이 이해되어야 한다. 본 명세서에서의 "모듈(module)"이라는 용어는 설명된 기능을 지원하는 주문형 집적 회로, 전자 회로, 하나 이상의 소프트웨어 또는 펌웨어 프로그램을 실행하도록 구성되는 프로세서(예를 들어, 공유 프로세서, 전용 프로세서, 또는 프로세서들의 그룹), 메모리, 병합 논리 회로, 및/또는 다른 적절한 컴포넌트일 수 있다. 보안 노드 네트워크 엘리먼트는 전술한 방법 실시예들에서의 보안 노드 네트워크 엘리먼트에 대응하는 프로시저들 및/또는 단계들을 수행하도록 구성될 수 있다. 반복을 회피하기 위해, 상세 사항들은 본 명세서에서 다시 설명되지 않는다.
도 9는 본 발명의 실시예에 따른 단말의 개략 블록도이다. 이러한 단말의 기능 모듈들은 도 3, 도 6, 및 도 7에 도시되는 방법들에 관련된 이러한 단말에 의해 수행되는 단계들 및/또는 프로시저들을 대응적으로 수행할 수 있다. 이러한 단말은,
제1 데이터 패킷을 생성하도록 구성되는 생성 모듈(910)- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반함 -; 및
제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록 구성되는 전송 모듈(920)- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -을 포함한다.
보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 단말은 데이터 패킷에 있는 그리고 악성 애플리케이션이 수정할 수 있는 구체적인 목적지 IP 어드레스를 사용할 필요 없이 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반한다고 식별하지만, 비-애플리케이션 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 식별하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들에 기초하여, 제어 시그널링 또는 사용자 평면 데이터를 운반하는 데이터 패킷을 식별한다. 따라서, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
선택적으로, 일부 구현들에서, 단말은 추가로,
보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신하도록 구성되는 수신 모듈- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -; 및
처리 모듈- 처리 모듈은 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하도록 구성되거나; 또는
처리 모듈은 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하도록 구성됨 -을 포함한다.
선택적으로, 일부 구현들에서, 단말은 추가로,
수신 모듈이 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신한 이후에, 제2 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하도록 구성되는 결정 모듈을 포함한다.
선택적으로, 일부 구현들에서, 제2 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 결정 모듈은 구체적으로,
제2 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 제2 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하도록; 또는
제2 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제1 데이터 패킷이 제1 제어 시그널링을 운반하면, 제1 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반하면, 제1 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
선택적으로, 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 제2 보안 접속은 제2 IPsec 터널이다.
선택적으로, 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 제1 보안 접속의 식별자는 제1 SPI 값이다.
본 명세서에서의 단말은 기능 모듈의 형태로 구현된다는 점이 이해되어야 한다. 본 명세서에서의 "모듈(module)"이라는 용어는 설명된 기능을 지원하는 주문형 집적 회로, 전자 회로, 하나 이상의 소프트웨어 또는 펌웨어 프로그램을 수행하도록 구성되는 프로세서(예를 들어, 공유 프로세서, 전용 프로세서, 또는 프로세서들의 그룹), 메모리, 병합 논리 회로, 및/또는 다른 적절한 컴포넌트일 수 있다. 이러한 단말은 전술한 방법 실시예들에서의 이러한 단말에 대응하는 프로시저들 및/또는 단계들을 수행하도록 구성될 수 있다. 반복을 회피하기 위해, 상세 사항들은 본 명세서에서 다시 설명되지 않는다.
도 10은 본 발명의 실시예에 따른 다른 보안 노드 네트워크 엘리먼트의 개략 블록도이다. 보안 노드 네트워크 엘리먼트의 컴포넌트들은 도 3, 도 6, 및 도 7에 도시되는 방법들에 관련된 보안 노드 네트워크 엘리먼트에 의해 수행되는 단계들 및/또는 프로시저들을 대응적으로 수행할 수 있다. 이러한 보안 노드 네트워크 엘리먼트는, 프로세서(1001), 메모리(1002), 및 송수신기(1003)를 포함한다. 보안 노드 네트워크 엘리먼트의 컴포넌트들은 연결 방식으로 함께 접속된다. 송수신기(1003)는 안테나(1004)를 사용하여 데이터를 수신하고 전송한다.
본 발명의 전술한 실시예들에서 개시되는 방법들은 프로세서(1001)에 적용될 수 있거나, 또는 프로세서(1001)에 의해 구현된다. 프로세서(1001)는 집적 회로 칩일 수 있고 신호 처리 능력을 갖는다. 구현 프로세스에서, 전술한 방법들에서의 단계들은 프로세서(1001)에서의 하드웨어의 집적 논리 회로 또는 소프트웨어 형태인 명령어를 사용하여 수행될 수 있다. 프로세서(1001)는 범용 프로세서, 시스템-온-칩(System-on-a-Chip, SOC), 기저대역 프로세서, 디지털 신호 프로세서(Digital Signal Processor, DSP), 주문형 집적 회로(Application Specific Integrated Circuit, ASIC), 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직 디바이스, 또는 이산 하드웨어 컴포넌트일 수 있다. 프로세서는 본 발명의 실시예들에서 개시되는 방법들, 단계들, 및 논리 블록도들을 구현하거나 또는 수행할 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 또는 프로세서는 임의의 종래의 프로세서일 수 있는 등이다. 본 발명의 실시예들에서 개시되는 방법들의 단계들은 하드웨어 디코딩 프로세서에 의해 직접 수행되고 완료될 수 있거나, 또는 디코딩 프로세서에서의 하드웨어 및 소프트웨어 모듈들의 조합을 사용하여 수행되고 완료될 수 있다. 소프트웨어 모듈은, 랜덤 액세스 메모리(Random Access Memory, RAM), 플래시 메모리, 판독 전용 메모리(Read-Only Memory, ROM), 프로그래머블 판독 전용 메모리, 또는 전기적 소거 가능 프로그래머블 메모리, 또는 레지스터와 같은, 해당 분야에서의 발달한 저장 매체에 위치될 수 있다. 저장 매체는 메모리(1002)에 위치된다. 프로세서(1001)는 메모리(1002)에서의 명령어를 판독하고, 프로세서의 하드웨어와 조합하여 전술한 방법들의 단계들을 수행한다.
송수신기(1003)는 단말로부터 제1 데이터 패킷을 수신하도록 구성되고- 제1 데이터 패킷은 제1 사용자 평면 데이터 또는 제1 제어 시그널링을 운반하고, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -;
송수신기(1003)는 제1 데이터 패킷이 제2 보안 접속을 통해 송신되면 제1 제어 시그널링을 제어 평면 기능 엔티티에 전송하도록 추가로 구성되거나; 또는 송수신기(1003)는 제1 데이터 패킷이 제1 보안 접속을 통해 송신되면 제1 사용자 평면 데이터를 사용자 평면 기능 엔티티에 전송하도록 구성된다.
본 발명의 이러한 구현에서의 보안 노드 네트워크 엘리먼트에 기초하여, 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신될 필요가 있고, 제1 데이터 패킷은 타겟 보안 접속으로 검증될 필요가 있다. 즉, 제1 데이터 패킷에서의 타겟 보안 접속 식별자가 제1 보안 접속에 대응하는 보안 접속 식별자일 때, 제1 데이터 패킷은 제1 보안 접속을 통해서만 송신될 수 있거나; 또는 제1 데이터 패킷에서의 타겟 보안 접속 식별자가 제2 보안 접속에 대응하는 보안 접속 식별자일 때, 제1 데이터 패킷은 제2 보안 접속을 통해서만 송신될 수 있다. 보안 접속 식별자는 비-애플리케이션 레이어, 네트워크 레이어, 또는 수송 레이어의 식별자이어서, 악성 애플리케이션은 레이어 식별자를 수정하는 것이 방지될 수 있고, 송신 보안이 개선된다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트의 송수신기(1003)는 추가로,
제2 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록- 제2 데이터 패킷은 제2 제어 시그널링을 운반함 -; 또는 제1 보안 접속을 통해 단말에 제2 데이터 패킷을 전송하도록- 제2 데이터 패킷은 제2 사용자 평면 데이터를 운반함 - 구성된다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트의 송수신기(1003)는 추가로 제어 평면 기능 엔티티로부터 제2 제어 시그널링을 수신하도록 구성되거나; 또는 사용자 평면 기능 엔티티로부터 제2 사용자 평면 데이터를 수신하도록 구성된다.
선택적으로, 일부 구현들에서, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
선택적으로, 일부 구현들에서, 보안 노드 네트워크 엘리먼트의 프로세서(1001)는, 송수신기(1003)가 제1 데이터 패킷을 수신한 이후에, 제1 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제1 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 프로세서(1001)는 구체적으로,
제1 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 제1 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하도록; 또는
제1 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 제1 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 제2 보안 접속은 제2 IPsec 터널이다.
선택적으로, 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 제1 보안 접속의 식별자는 제1 SPI 값이다.
보안 노드 네트워크 엘리먼트는 전술한 방법 실시예들에서의 보안 노드 네트워크 엘리먼트에 대응하는 프로시저들 및/또는 단계들을 수행하도록 구성될 수 있다는 점이 이해되어야 한다. 반복을 회피하기 위해, 상세 사항들은 본 명세서에서 다시 설명되지 않는다.
도 11은 본 발명의 실시예에 따른 다른 단말의 개략 블록도이다. 이러한 단말의 기능 모듈들은 도 3, 도 6, 및 도 7에 도시되는 방법들에 관련된 이러한 단말에 의해 수행되는 단계들 및/또는 프로시저들을 대응적으로 수행할 수 있다. 이러한 단말은, 프로세서(1101), 메모리(1102), 및 송수신기(1103)를 포함한다. 단말의 컴포넌트들은 연결 방식으로 함께 접속된다. 송수신기(1103)는 안테나(1104)를 사용하여 데이터를 수신하고 전송한다.
본 발명의 전술한 실시예들에서 개시되는 방법들은 프로세서(1101)에 적용될 수 있거나, 또는 프로세서(1101)에 의해 구현된다. 프로세서(1101)는 집적 회로 칩일 수 있고 신호 처리 능력을 갖는다. 구현 프로세스에서, 전술한 방법들에서의 단계들은 프로세서(1101)에서의 하드웨어의 집적 논리 회로 또는 소프트웨어 형태인 명령어를 사용하여 수행될 수 있다. 프로세서(1101)는 범용 프로세서, 시스템-온-칩(System-on-a-Chip, SOC), 기저대역 프로세서, 디지털 신호 프로세서(Digital Signal Processor, DSP), 주문형 집적 회로(Application Specific Integrated Circuit, ASIC), 필드 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 또는 다른 프로그래머블 로직 디바이스, 이산 게이트 또는 트랜지스터 로직 디바이스, 또는 이산 하드웨어 컴포넌트일 수 있다. 프로세서는 본 발명의 실시예들에서 개시되는 방법들, 단계들, 및 논리 블록도들을 구현하거나 또는 수행할 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 또는 프로세서는 임의의 종래의 프로세서일 수 있는 등이다. 본 발명의 실시예들에서 개시되는 방법들의 단계들은 하드웨어 디코딩 프로세서에 의해 직접 수행되고 완료될 수 있거나, 또는 디코딩 프로세서에서의 하드웨어 및 소프트웨어 모듈들의 조합을 사용하여 수행되고 완료될 수 있다. 소프트웨어 모듈은, 랜덤 액세스 메모리(Random Access Memory, RAM), 플래시 메모리, 판독 전용 메모리(Read-Only Memory, ROM), 프로그래머블 판독 전용 메모리, 또는 전기적 소거 가능 프로그래머블 메모리, 또는 레지스터와 같은, 해당 분야에서의 발달한 저장 매체에 위치될 수 있다. 저장 매체는 메모리(1102)에 위치된다. 프로세서(1101)는 메모리(1102)에서의 명령어를 판독하고, 프로세서의 하드웨어와 조합하여 전술한 방법들의 단계들을 수행한다.
프로세서(1101)는 제1 데이터 패킷을 생성하도록 구성되고- 제1 데이터 패킷은 사용자 평면 데이터 또는 제어 시그널링을 운반함 -;
송수신기(1103)는 제1 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록 구성된다- 제1 데이터 패킷은 제1 보안 접속 또는 제2 보안 접속을 통해 송신되고, 제1 보안 접속은 제1 사용자 평면 데이터를 운반하는 제1 데이터 패킷을 송신하는데 사용되고, 제2 보안 접속은 제1 제어 시그널링을 운반하는 제1 데이터 패킷을 송신하는데 사용됨 -.
보안 노드 네트워크 엘리먼트와 단말 사이에 있는 제어 시그널링을 운반하는 데이터 패킷 및 사용자 평면 데이터를 운반하는 데이터 패킷은 상이한 보안 접속들을 통해 각각 송신된다. 이러한 방식으로, 단말은 데이터 패킷에 추가되고 악성 애플리케이션이 수정할 수 있는 식별자를 사용할 필요 없이 데이터 패킷이 제어 시그널링 또는 사용자 평면 데이터를 운반한다고 식별하지만, 비-애플리케이션 레이어의 보안 접속 식별자를 사용하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들을 식별하여, 상이한 보안 접속들에 의해 전송되는 데이터 패킷들에 기초하여, 제어 시그널링 또는 사용자 평면 데이터를 운반하는 데이터 패킷을 식별한다. 따라서, 사용자 평면 데이터 또는 제어 시그널링의 송신 보안이 개선된다.
선택적으로, 일부 구현들에서, 단말의 송수신기(1103)는 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신하도록 추가로 구성되고- 제2 데이터 패킷은 제2 제어 시그널링 또는 제2 사용자 평면 데이터를 운반하고, 제2 데이터 패킷이 제2 제어 시그널링을 운반할 때, 제2 데이터 패킷은 제2 보안 접속을 통해 송신되거나, 또는 제2 데이터 패킷이 제2 사용자 평면 데이터를 운반할 때, 제2 데이터 패킷은 제1 보안 접속을 통해 송신됨 -;
프로세서(1101)는 추가로 제2 데이터 패킷이 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 제2 제어 시그널링을 처리하도록 구성되거나; 또는 제2 데이터 패킷이 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 제2 사용자 평면 데이터를 처리하도록 구성된다.
선택적으로, 일부 구현들에서, 프로세서(1101)는 추가로, 송수신기가 보안 노드 네트워크 엘리먼트로부터 제2 데이터 패킷을 수신한 이후에, 제2 데이터 패킷이 제2 보안 접속 또는 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제2 데이터 패킷은 제2 보안 접속의 식별자 또는 제1 보안 접속의 식별자를 추가로 운반하고, 프로세서(1101)는 구체적으로,
제2 데이터 패킷이 제2 보안 접속의 식별자를 추가로 운반할 때, 제2 데이터 패킷이 제2 보안 접속을 통해 송신된다고 결정하도록; 또는
제2 데이터 패킷이 제1 보안 접속의 식별자를 추가로 운반할 때, 제2 데이터 패킷이 제1 보안 접속을 통해 송신된다고 결정하도록 구성된다.
선택적으로, 일부 구현들에서, 제1 데이터 패킷이 제1 제어 시그널링을 운반하면, 제1 데이터 패킷은 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 제1 데이터 패킷이 제1 사용자 평면 데이터를 운반하면, 제1 데이터 패킷은 제1 보안 접속의 식별자를 추가로 운반한다.
선택적으로, 일부 구현들에서, 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 제2 보안 접속은 제2 IPsec 터널이다.
선택적으로, 일부 구현들에서, 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 제1 보안 접속의 식별자는 제1 SPI 값이다.
이러한 단말은 전술한 방법 실시예들에서 이러한 단말에 대응하는 프로시저들 및/또는 단계들을 수행하도록 구성될 수 있다는 점이 이해되어야 한다. 반복을 회피하기 위해, 상세 사항들은 본 명세서에서 다시 설명되지 않는다.
해당 분야에서의 통상의 기술자는, 본 명세서에 개시되는 실시예들에서 설명되는 예들과 조합하여, 유닛들 및 알고리즘 단계들이 전자 하드웨어 또는 컴퓨터 소프트웨어와 전자 하드웨어의 조합에 의해 구현될 수 있다는 점을 알 수 있다. 이러한 기능들이 하드웨어 또는 소프트웨어에 의해 수행되는지는 기술적 해결책들의 특정 애플리케이션 및 설계 제약 조건들에 의존한다. 해당 분야에서의 기술자는 각각의 특정 애플리케이션에 대해 설명되는 기능들을 구현하는데 상이한 방법들을 사용할 수 있지만, 이러한 구현이 본 발명의 범위를 벗어나는 것으로 고려되어서는 안 된다.
편리하고 간단한 설명의 목적들로, 전술한 시스템, 장치, 및 유닛의 상세한 작업 프로세스에 대해서는, 전술한 방법 실시예들에서의 대응하는 프로세스에 대해 참조가 이루어질 수 있다는 점이 해당 분야에서의 기술자에 의해 명확하게 이해될 수 있고, 상세 사항들이 본 명세서에서 다시 설명되는 것은 아니다.
본 출원에서 제공되는 몇몇 실시예들에서, 개시되는 시스템, 장치, 및 방법은 다른 방식들로 구현될 수 있다는 점이 이해되어야 한다. 예를 들어, 설명되는 장치 실시예는 단지 예일 뿐이다. 예를 들어, 유닛 구분은 단지 논리적 기능 구분일 뿐이며 실제 구현에서는 다른 구분일 수 있다. 예를 들어, 복수의 유닛들 또는 컴포넌트들이 조합되거나 다른 시스템에 집적될 수 있거나, 또는 일부 특징들이 무시되거나 또는 수행되지 않을 수 있다. 또한, 도시되거나 또는 논의되는 상호 연결들 또는 직접 연결들 또는 통신 접속들은 일부 인터페이스들을 사용하여 구현될 수 있다. 장치들 또는 유닛들 사이의 간접 연결들 또는 통신 접속들은 전기적, 기계적, 또는 다른 형태들로 구현될 수 있다.
개별 부분들로서 설명되는 유닛들은 물리적으로 개별일 수 있거나 그렇지 않을 수 있고, 유닛들로서 도시되는 부분들은 물리적 유닛들일 수 있거나 또는 그렇지 않을 수 있거나, 하나의 위치에 위치될 수 있거나, 또는 복수의 네트워크 유닛들 상에 분산될 수 있다. 이러한 유닛들의 일부 또는 전부는 실시예들의 해결책들의 목적들을 달성하도록 실제 요건들에 기초하여 선택될 수 있다.
또한, 본 발명의 실시예들에서의 기능 유닛들은 하나의 처리 유닛에 집적될 수 있거나, 이러한 유닛들 각각은 단독으로 물리적으로 존재할 수 있거나, 또는 2개 이상의 유닛들이 하나의 유닛에 집적될 수 있다.
이러한 기능들이 소프트웨어 기능 유닛의 형태로 구현되고 독립 제품으로서 판매되거나 또는 사용될 때, 이러한 기능들은 컴퓨터 판독 가능 저장 매체에 저장될 수 있다. 이러한 이해에 기초하여, 본 발명의 기술적 해결책들은 본질적으로, 또는 종래 기술에 기여하는 부분은, 또는 이러한 기술적 해결책들의 일부는 소프트웨어 제품의 형태로 구현될 수 있다. 이러한 컴퓨터 소프트웨어 제품은 저장 매체에 저장되고, 컴퓨터 디바이스(개인용 컴퓨터, 서버, 또는 네트워크 디바이스 등일 수 있음) 또는 프로세서에게 본 발명의 실시예들에서 설명되는 방법들의 단계들의 전부 또는 일부를 수행하라고 명령하기 위한 몇몇 명령어들을 포함한다. 전술한 저장 매체는, USB 플래시 드라이브, 이동식 하드 디스크, 판독 전용 메모리(ROM, Read-Only Memory), 랜덤 액세스 메모리(RAM, Random Access Memory), 자기 디스크, 또는 광 디스크와 같은, 프로그램 코드를 저장할 수 있는 임의의 매체를 포함한다.
전술한 설명들은 단지 본 발명의 구체적인 실시예들일 뿐이고, 본 발명의 보호 범위를 제한하려고 의도되는 것은 아니다. 본 발명에서 개시되는 기술적 범위 내에서 해당 분야에서의 기술자에 의해 용이하게 도출되는 임의의 변형 또는 치환은 본 발명의 보호 범위 내에 속할 것이다. 따라서, 본 발명의 보호 범위는 청구항들의 보호 범위에 따를 것이다.

Claims (38)

  1. 통신 방법으로서,
    보안 노드 네트워크 엘리먼트에 의해, 단말로부터 업링크 데이터 패킷을 수신하는 단계;
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 업링크 데이터 패킷이 제1 보안 접속 또는 제2 보안 접속을 통해 송신되는지 여부를 결정하는 단계 - 상기 제1 보안 접속은 사용자 평면 데이터를 운반하는 데이터 패킷을 송신하는데 사용되고, 상기 제2 보안 접속은 제어 시그널링을 운반하는 데이터 패킷을 송신하는데 사용됨 -; 및
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 업링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신되면 제어 평면 기능 엔티티에 상기 업링크 데이터 패킷에서 운반되는 업링크 제어 시그널링을 전송하는 단계; 또는
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 업링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신되면 사용자 평면 기능 엔티티에 상기 업링크 데이터 패킷에서 운반되는 업링크 사용자 평면 데이터를 전송하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 방법은 추가로,
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 제어 평면 기능 엔티티로부터 다운링크 제어 시그널링을 수신하는 단계; 및
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 제2 보안 접속을 통해 상기 단말에 다운링크 데이터 패킷을 전송하는 단계- 상기 다운링크 데이터 패킷은 상기 다운링크 제어 시그널링을 운반함 -를 포함하는 방법.
  3. 제2항에 있어서,
    상기 다운링크 데이터 패킷은 상기 제2 보안 접속의 식별자를 추가로 운반하는 방법.
  4. 제1항에 있어서,
    상기 방법은 추가로,
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 사용자 평면 기능 엔티티로부터 다운링크 사용자 평면 데이터를 수신하는 단계; 및
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 제1 보안 접속을 통해 상기 단말에 다운링크 데이터 패킷을 전송하는 단계- 상기 다운링크 데이터 패킷은 다운링크 사용자 평면 데이터을 운반함 -를 포함하는 방법.
  5. 제4항에 있어서,
    상기 다운링크 데이터 패킷은 상기 제1 보안 접속의 식별자를 추가로 운반하는 방법.
  6. 삭제
  7. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 업링크 데이터 패킷은 상기 업링크 데이터 패킷을 송신하기 위해 사용되는 보안 접속의 식별자를 추가로 운반하고, 상기 업링크 데이터 패킷이 상기 제2 보안 접속 또는 상기 제1 보안 접속을 통해 송신되는지 여부를 결정하는 단계는,
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 업링크 데이터 패킷이 상기 제2 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 업링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신된다고 결정하는 단계; 또는
    상기 보안 노드 네트워크 엘리먼트에 의해, 상기 업링크 데이터 패킷이 상기 제1 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 업링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신된다고 결정하는 단계를 포함하는 방법.
  8. 제7항에 있어서,
    상기 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 상기 제1 보안 접속의 식별자는 제1 SPI 값인 방법.
  9. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 상기 제2 보안 접속은 제2 IPsec 터널인 방법.
  10. 통신 방법으로서,
    단말에 의해, 업링크 데이터 패킷을 생성하는 단계;
    상기 단말에 의해, 상기 업링크 데이터 패킷이 업링크 사용자 평면 데이터를 운반하면 제1 보안 접속을 통해 상기 업링크 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하는 단계;
    상기 단말에 의해, 상기 업링크 데이터 패킷이 업링크 제어 시그널링을 운반하면 제2 보안 접속을 통해 상기 업링크 데이터 패킷을 상기 보안 노드 네트워크 엘리먼트에 전송하는 단계 - 상기 제1 보안 접속은 사용자 평면 데이터를 운반하는 데이터 패킷을 전송하기 위해 사용되고, 상기 제2 보안 접속은 제어 시그널링을 운반하는 데이터 패킷을 송신하기 위해 사용됨 -;
    상기 단말에 의해, 상기 보안 노드 네트워크 엘리먼트로부터 다운링크 데이터 패킷을 수신하는 단계;
    상기 단말에 의해, 상기 다운링크 데이터 패킷이 상기 제1 보안 접속 또는 상기 제2 보안 접속을 통해 송신되는지 여부를 결정하는 단계; 및
    상기 단말에 의해, 상기 다운링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 상기 다운링크 데이터 패킷에서 운반되는 다운링크 제어 시그널링을 처리하는 단계; 또는
    상기 단말에 의해, 상기 다운링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 상기 다운링크 데이터 패킷에서 운반되는 다운링크 사용자 평면 데이터를 처리하는 단계를 포함하는 방법.
  11. 삭제
  12. 삭제
  13. 제10항에 있어서,
    상기 다운링크 데이터 패킷은 상기 다운링크 데이터 패킷을 송신하는데 사용되는 보안 접속의 식별자를 추가로 운반하고, 상기 다운링크 데이터 패킷이 상기 제2 보안 접속 또는 상기 제1 보안 접속을 통해 송신되는지 여부를 결정하는 단계는,
    상기 단말에 의해, 상기 다운링크 데이터 패킷이 상기 제2 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 다운링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신된다고 결정하는 단계; 또는
    상기 단말에 의해, 상기 다운링크 데이터 패킷이 상기 제1 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 다운링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신된다고 결정하는 단계를 포함하는 방법.
  14. 제10항 또는 제13항에 있어서,
    상기 업링크 데이터 패킷이 상기 업링크 제어 시그널링을 운반하면, 상기 업링크 데이터 패킷은 상기 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 상기 업링크 데이터 패킷이 상기 업링크 사용자 평면 데이터를 운반하면, 상기 업링크 데이터 패킷은 상기 제1 보안 접속의 식별자를 추가로 운반하는 방법.
  15. 제14항에 있어서,
    상기 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 상기 제1 보안 접속의 식별자는 제1 SPI 값인 방법.
  16. 제10항 또는 제13항에 있어서,
    상기 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 상기 제2 보안 접속은 제2 IPsec 터널인 방법.
  17. 보안 노드 네트워크 엘리먼트로서,
    단말로부터 업링크 데이터 패킷을 수신하도록 구성되는 제1 수신 모듈;
    상기 업링크 데이터 패킷이 제1 보안 접속 또는 제2 보안 접속을 통해 송신되는지 여부를 결정하도록 구성되는 결정 모듈 - 상기 제1 보안 접속은 사용자 평면 데이터를 운반하는 데이터 패킷을 송신하는데 사용되고, 상기 제2 보안 접속은 제어 시그널링을 운반하는 데이터 패킷을 송신하는데 사용됨 -; 및
    상기 업링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신되면 제어 평면 기능 엔티티에 상기 업링크 데이터 패킷에서 운반되는 업링크 제어 시그널링을 전송하거나; 상기 업링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신되면 사용자 평면 기능 엔티티에 상기 업링크 데이터 패킷에서 운반되는 업링크 사용자 평면 데이터를 전송하도록 구성되는 제1 전송 모듈을 포함하는 보안 노드 네트워크 엘리먼트.
  18. 제17항에 있어서,
    상기 보안 노드 네트워크 엘리먼트는 추가로,
    상기 제어 평면 기능 엔티티로부터 다운링크 제어 시그널링을 수신하도록 구성되는 제2 수신 모듈; 및
    상기 제2 보안 접속을 통해 상기 단말에 다운링크 데이터 패킷을 전송하도록 구성되는 제2 전송 모듈- 상기 다운링크 데이터 패킷은 상기 다운링크 제어 시그널링을 운반함 -을 포함하는 보안 노드 네트워크 엘리먼트.
  19. 제18항에 있어서,
    상기 다운링크 데이터 패킷은 상기 제2 보안 접속의 식별자를 추가로 운반하는 보안 노드 네트워크 엘리먼트.
  20. 제17항에 있어서,
    상기 보안 노드 네트워크 엘리먼트는 추가로,
    상기 사용자 평면 기능 엔티티로부터 다운링크 사용자 평면 데이터를 수신하도록 구성되는 제2 수신 모듈; 및
    상기 제1 보안 접속을 통해 상기 단말에 다운링크 데이터 패킷을 전송하도록 구성되는 제2 전송 모듈- 상기 다운링크 데이터 패킷은 상기 다운링크 사용자 평면 데이터를 운반함 -을 포함하는 보안 노드 네트워크 엘리먼트.
  21. 제20항에 있어서,
    상기 다운링크 데이터 패킷은 상기 제1 보안 접속의 식별자를 추가로 운반하는 보안 노드 네트워크 엘리먼트.
  22. 삭제
  23. 제17항 내지 제21항 중 어느 한 항에 있어서,
    상기 업링크 데이터 패킷은 상기 업링크 데이터 패킷을 송신하기 위해 사용되는 보안 접속의 식별자를 추가로 운반하고, 상기 결정 모듈은 구체적으로,
    상기 업링크 데이터 패킷이 상기 제2 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 업링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신된다고 결정하도록; 또는
    상기 업링크 데이터 패킷이 상기 제1 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 업링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신된다고 결정하도록 구성되는 보안 노드 네트워크 엘리먼트.
  24. 제23항에 있어서,
    상기 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 상기 제1 보안 접속의 식별자는 제1 SPI 값인 보안 노드 네트워크 엘리먼트.
  25. 제17항 내지 제21항 중 어느 한 항에 있어서,
    상기 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 상기 제2 보안 접속은 제2 IPsec 터널인 보안 노드 네트워크 엘리먼트.
  26. 장치로서,
    업링크 데이터 패킷을 생성하도록 구성되는 생성 모듈; 및
    상기 업링크 데이터 패킷이 업링크 사용자 평면 데이터를 운반하면 제1 보안 접속을 통해 상기 업링크 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록; 그리고, 상기 업링크 데이터 패킷이 업링크 제어 시그널링을 운반하면 제2 보안 접속을 통해 상기 업링크 데이터 패킷을 보안 노드 네트워크 엘리먼트에 전송하도록 구성되는 전송 모듈 - 상기 제1 보안 접속은 사용자 평면 데이터를 운반하는 데이터 패킷을 전송하기 위해 사용되고, 상기 제2 보안 접속은 제어 시그널링을 운반하는 데이터 패킷을 송신하기 위해 사용됨 -;
    상기 보안 노드 네트워크 엘리먼트로부터 다운링크 데이터 패킷을 수신하도록 구성되는 수신 모듈;
    상기 다운링크 데이터 패킷이 상기 제1 보안 접속 또는 상기 제2 보안 접속을 통해 송신되는지 여부를 결정하도록 구성된 결정 모듈; 및
    상기 다운링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신되면 제어 평면 프로토콜 스택을 사용하여 상기 다운링크 데이터 패킷에서 운반되는 다운링크 제어 시그널링을 처리하거나, 상기 다운링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신되면 사용자 평면 프로토콜 스택을 사용하여 상기 다운링크 데이터 패킷에서 운반되는 다운링크 사용자 평면 데이터를 처리하도록 구성되는 처리 모듈을 포함하는 장치.
  27. 삭제
  28. 삭제
  29. 제26항에 있어서,
    상기 다운링크 데이터 패킷은 상기 다운링크 데이터 패킷을 송신하기 위해 사용되는 보안 접속의 식별자를 추가로 운반하고, 상기 결정 모듈은,
    상기 다운링크 데이터 패킷이 상기 제2 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 다운링크 데이터 패킷이 상기 제2 보안 접속을 통해 송신된다고 결정하거나; 상기 다운링크 데이터 패킷이 상기 제1 보안 접속의 식별자를 추가로 운반한다고 결정하는 것에 응답하여 상기 다운링크 데이터 패킷이 상기 제1 보안 접속을 통해 송신된다고 결정하도록 구성되는 장치.
  30. 제26항 또는 제29항에 있어서,
    상기 업링크 데이터 패킷이 상기 업링크 제어 시그널링을 운반하면, 상기 업링크 데이터 패킷은 상기 제2 보안 접속의 식별자를 추가로 운반하거나; 또는 상기 업링크 데이터 패킷이 상기 업링크 사용자 평면 데이터를 운반하면, 상기 업링크 데이터 패킷은 상기 제1 보안 접속의 식별자를 추가로 운반하는 장치.
  31. 제30항에 있어서,
    상기 제2 보안 접속의 식별자는 제2 SPI(security parameter index) 값이고, 상기 제1 보안 접속의 식별자는 제1 SPI 값인 장치.
  32. 제26항 또는 제29항에 있어서,
    상기 제1 보안 접속은 제1 IPsec(Internet Protocol Security) 터널이고, 상기 제2 보안 접속은 제2 IPsec 터널인 장치.
  33. 제26항 또는 제29항에 있어서,
    상기 장치는 단말 또는 상기 단말에서의 칩인 장치.
  34. 보안 노드 네트워크 엘리먼트로서,
    컴퓨터 실행 가능 프로그램 코드를 저장하도록 구성되는 메모리; 및
    상기 메모리에 연결되는 프로세서를 포함하고, 상기 프로그램 코드는 명령어들을 포함하고, 상기 프로세서가 상기 명령어들을 실행할 때, 상기 명령어들은 제1 액세스 네트워크 디바이스로 하여금 제1항 내지 제5항 중 어느 한 항의 방법을 수행할 수 있게 하는 보안 노드 네트워크 엘리먼트.
  35. 장치로서,
    컴퓨터 실행 가능 프로그램 코드를 저장하도록 구성되는 메모리; 및
    상기 메모리에 연결되는 프로세서를 포함하고, 상기 프로그램 코드는 명령어들을 포함하고, 상기 프로세서가 상기 명령어들을 실행할 때, 상기 명령어들은 제1 액세스 네트워크 디바이스로 하여금 제10항 또는 제13항의 방법을 수행할 수 있게 하는 장치.
  36. 제35항에 있어서,
    상기 장치는 단말 또는 상기 단말에서의 칩인 장치.
  37. 프로그램이 기록되는 컴퓨터 판독 가능 매체로서,
    상기 프로그램은, 실행될 때, 컴퓨터로 하여금 제1항 내지 제5항 중 어느 한 항의 방법을 구현할 수 있게 하는 컴퓨터 판독 가능 매체.
  38. 프로그램이 기록되는 컴퓨터 판독 가능 매체로서,
    상기 프로그램은, 실행될 때, 컴퓨터로 하여금 제10항 또는 제13항의 방법을 구현할 수 있게 하는 컴퓨터 판독 가능 매체.
KR1020197011001A 2016-10-10 2016-10-10 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말 KR102215389B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/101716 WO2018068191A1 (zh) 2016-10-10 2016-10-10 一种通信方法、安全节点网元和终端

Publications (2)

Publication Number Publication Date
KR20190050835A KR20190050835A (ko) 2019-05-13
KR102215389B1 true KR102215389B1 (ko) 2021-02-15

Family

ID=61905019

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197011001A KR102215389B1 (ko) 2016-10-10 2016-10-10 통신 방법, 보안 노드 네트워크 엘리먼트, 및 단말

Country Status (8)

Country Link
US (1) US10812980B2 (ko)
EP (1) EP3522670B1 (ko)
JP (1) JP6799679B2 (ko)
KR (1) KR102215389B1 (ko)
CN (2) CN110113317B (ko)
BR (1) BR112019006788A2 (ko)
RU (1) RU2730601C1 (ko)
WO (1) WO2018068191A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3840448B1 (en) * 2018-08-29 2024-03-13 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Wireless communication method and communication device
US11349557B2 (en) * 2018-11-30 2022-05-31 At&T Intellectual Property I, L.P. System model and architecture for mobile integrated access and backhaul in advanced networks

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4099930B2 (ja) 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
US8186026B2 (en) * 2004-03-03 2012-05-29 Rockstar Bidco, LP Technique for maintaining secure network connections
US7779461B1 (en) * 2004-11-16 2010-08-17 Juniper Networks, Inc. Point-to-multi-point/non-broadcasting multi-access VPN tunnels
JP4336324B2 (ja) 2005-03-03 2009-09-30 日本電信電話株式会社 通信方法、プロバイダエッジ装置およびカスタマエッジ装置
CN100558063C (zh) * 2006-08-21 2009-11-04 华为技术有限公司 安全模式过程控制方法及系统
CN101686578B (zh) * 2008-09-28 2012-05-23 中兴通讯股份有限公司 家庭演进基站系统及无线设备的接入方法
CN101409879B (zh) * 2008-11-05 2011-06-01 华为技术有限公司 一种实现节点内网元通信的方法及节点
EP2416530B1 (en) * 2009-03-30 2015-05-06 Huawei Technologies Co., Ltd. Method, network system and device for realizing data retransmission
US8549614B2 (en) * 2009-12-04 2013-10-01 Cisco Technology, Inc. Establishing internet protocol security sessions using the extensible messaging and presence protocol
US9215588B2 (en) * 2010-04-30 2015-12-15 Cisco Technology, Inc. System and method for providing selective bearer security in a network environment
CN102469087A (zh) * 2010-11-17 2012-05-23 中兴通讯股份有限公司 一种实现服务质量控制的方法和系统
CN102006294B (zh) * 2010-11-25 2014-08-20 中兴通讯股份有限公司 Ims多媒体通信方法和系统、终端及ims核心网
EP2700205A4 (en) * 2011-04-18 2014-12-17 Nec Corp END DEVICE, CONTROL DEVICE, COMMUNICATION PROCESS, COMMUNICATION SYSTEM, COMMUNICATION MODULE, PROGRAM AND INFORMATION PROCESSING DEVICE
JP5728377B2 (ja) 2011-12-20 2015-06-03 株式会社日立製作所 無線通信システムおよび無線通信方法、ならびに移動端末
CN103581138B (zh) * 2012-08-01 2017-02-08 京信通信系统(中国)有限公司 一种数据传输方法和设备
EP3005823B1 (en) * 2013-05-31 2017-01-11 Telefonaktiebolaget LM Ericsson (publ) Service layer control aware control signalling in a communication network
KR102410280B1 (ko) * 2014-04-16 2022-06-17 한국전자통신연구원 무선 자원 집성을 이용한 서비스 제공 방법 및 장치
US20150305041A1 (en) * 2014-04-16 2015-10-22 Electronics And Telecommunications Research Institute Method and apparatus for providing service using radio resource aggregation
US10091649B2 (en) * 2015-07-12 2018-10-02 Qualcomm Incorporated Network architecture and security with encrypted client device contexts
JP2017098666A (ja) 2015-11-19 2017-06-01 富士通株式会社 通信装置,及び暗号化通信の異常検出方法

Also Published As

Publication number Publication date
EP3522670A1 (en) 2019-08-07
CN110113317B (zh) 2020-08-07
KR20190050835A (ko) 2019-05-13
RU2730601C1 (ru) 2020-08-24
CN109792434B (zh) 2021-02-26
US10812980B2 (en) 2020-10-20
BR112019006788A2 (pt) 2019-07-09
EP3522670A4 (en) 2019-09-04
JP2020504467A (ja) 2020-02-06
EP3522670B1 (en) 2021-06-02
CN110113317A (zh) 2019-08-09
CN109792434A (zh) 2019-05-21
US20190239081A1 (en) 2019-08-01
WO2018068191A1 (zh) 2018-04-19
JP6799679B2 (ja) 2020-12-16

Similar Documents

Publication Publication Date Title
CN108574969B (zh) 多接入场景中的连接处理方法和装置
US10993112B2 (en) Systems and methods for accessing a network
US10911948B2 (en) Method and system for performing network access authentication based on non-3GPP network, and related device
US20230189380A1 (en) Small data exchange handling by a user equipment in inactive state
US20200344245A1 (en) Message sending method and apparatus
KR102648031B1 (ko) 세션 관리 방법 및 장치
JP6775683B2 (ja) 次世代システムの認証
WO2013004905A1 (en) Trusted wireless local area network access
CN110710187B (zh) 用于流量检测的方法和设备以及计算机可读存储介质
US10812980B2 (en) Communication method, security node network element, and terminal
WO2016183745A1 (zh) 用于建立连接的方法和设备
CN113366800A (zh) 用具有不同长度的消息认证码的完整性保护
US20240155503A1 (en) Spatial relationship and power control configuration for uplink transmissions
WO2023044025A1 (en) Using physical random access channel (prach) to identify multiple features and combinations of features
WO2022170214A1 (en) Congestion control for remote direct-memory access (rdma) in next-generation cellular networks
WO2022031556A1 (en) Computing service enablement for next generation cellular networks
EP4201004A1 (en) Ue identification using its source ip address
WO2019095295A1 (zh) 用于传输数据的方法、终端设备和会话管理功能smf设备
US20240154883A1 (en) Sixth generation (6g) system architecture and functions
EP4271042A1 (en) Release-17 (rel-17) secondary node (sn)-initiated inter-sn conditional pscell change
CN112469043B (zh) 一种鉴权的方法及装置
WO2023192832A1 (en) Service function chaining in wireless cellular system with service exposure to third parties
WO2023150721A1 (en) Sixth generation (6g) mutual transport layer security (mtls) based security architecture between user equipment (ue) and 6g network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant