KR102322592B1 - 보안 관리를 위한 장치, 시스템 및 방법 - Google Patents

보안 관리를 위한 장치, 시스템 및 방법 Download PDF

Info

Publication number
KR102322592B1
KR102322592B1 KR1020177025547A KR20177025547A KR102322592B1 KR 102322592 B1 KR102322592 B1 KR 102322592B1 KR 1020177025547 A KR1020177025547 A KR 1020177025547A KR 20177025547 A KR20177025547 A KR 20177025547A KR 102322592 B1 KR102322592 B1 KR 102322592B1
Authority
KR
South Korea
Prior art keywords
mme
security context
cmme
delete delete
mmes
Prior art date
Application number
KR1020177025547A
Other languages
English (en)
Other versions
KR20170117483A (ko
Inventor
샤오웨이 장
아난드 라가와 프라사드
Original Assignee
닛본 덴끼 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닛본 덴끼 가부시끼가이샤 filed Critical 닛본 덴끼 가부시끼가이샤
Priority to KR1020217035559A priority Critical patent/KR102363180B1/ko
Publication of KR20170117483A publication Critical patent/KR20170117483A/ko
Application granted granted Critical
Publication of KR102322592B1 publication Critical patent/KR102322592B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/22Performing reselection for specific purposes for handling the traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/30Network data restoration; Network data reliability; Network data fault tolerance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Abstract

하나 이상의 제1 MME들(30) 및 제1 MME들(30)로부터 분리된 제2 MME(40)를 포함하는 네트워크 시스템이 제공된다. 동작 경우들 중 하나에서, 제1 MME(30)는 제1 MME(30)에 부착하는 UE(10)에 대한 보안 컨텍스트를 제2 MME(40)에 푸싱한다. 제2 MME(40)는 보안 컨텍스트를 저장한다. 제1 MME(30)는 제1 MME(30)에 대한 스위치-오프 절차 동안 최신 보안 컨텍스트를 제2 MME(40)에 추가로 푸싱한다. 제2 MME(40)는 저장된 보안 컨텍스트를 최신 보안 컨텍스트로 업데이트한다. 제1 MME(30)는, UE(10)가 제1 MME(30)에 재부착하거나 제1 MME들(30) 중 상이한 MME로부터 핸드오버될 때 보안 컨텍스트를 제2 MME(40)로부터 풀링한다.

Description

보안 관리를 위한 장치, 시스템 및 방법
본 발명은 보안 관리를 위한 장치, 시스템 및 방법에 관한 것으로, 특히 UE(User Equipment)에 대한 보안 컨텍스트를 관리하는 기술에 관한 것이다.
현재의 EPS(Evolved Packet System)에서, 예를 들어 비특허문헌 1에 개시된 바와 같이, AKA(Authentication and Key Agreement) 절차 및 NAS(Non Access Stratum) SMC(Security Mode Command) 절차는, UE에 대한 NAS 보안 컨텍스트(이하, 때때로 "UE 컨텍스트" 또는 간단히 "보안 컨텍스트"라고 지칭함)가 UE와 MME(Mobility Management Entity) 사이에 공유되도록 수행된다.
NAS 보안 컨텍스트는 연관된 KSI(Key Set Identifier)를 갖는 카스메(Kasme) 등을 포함한다. 카스메 및 KSI는 UE 및 MME 모두에서 동일한 NAS 키들을 도출하기 위해 사용된다. NAS 키들은 UE와 MME 사이의 트래픽의 무결성과 기밀성을 보호하기 위해 사용된다.
그러나 본 출원의 발명자들은 현재의 아키텍처에서 다음과 같은 문제점들이 발생할 수 있다는 것을 발견했다.
구체적으로, 이동성(mobility)에서, 신(new) MME는 구(old) MME 또는 SGSN(Serving GPRS(General Packet Radio Service) Support Node)으로부터 UE 컨텍스트를 검색해야 한다. 그것은, UE가 GUTI(Globally Unique Temporary Identity) 또는 P-TMSI(Packet-TMSI(Temporary Mobile Subscriber Identity))에 구 MME/SGSN(MME 또는 SGSN)을 표시할 것을 요청한다. 신 MME는 UE가 새롭게 부착하는 것이고, 구 MME/SGSN은 UE가 이전에 부착한 것임에 유의한다.
한편, 구 MME/SGSN은 UE 컨텍스트를 이미 제거했을 수도 있다. 이 경우, AKA/NAS SMC(AKA 및 NAS SMC) 절차는 신 MME의 주도하에 다시 수행된다. 이러한 중복 성능은 특히 MME에서, AKA/NAS SMC 절차들 및 이들 사이의 모든 인터페이스에 포함되는 디바이스들/노드들(디바이스들 및 노드들)에 시그널링 과부하를 유발한다. UE들의 수가 증가함에 따라, 그러한 과부하는 훨씬 더 두드러지게 될 것이다.
또한, 가상화는 필요에 따라 MME를 생성 및/또는 제거해야 할 것으로 예상된다. 이 경우, UE 컨텍스트는 빈번하게 검색 및/또는 제거될 것이다. 따라서, 과부하는 이동성 경우처럼 유발될 것이다.
따라서, 본 발명의 예시적인 목적은 AKA/NAS SMC 절차들에서 과부하를 완화하기 위한 해결책을 제공하는 것이다.
전술한 목적을 달성하기 위해, 본 발명의 제1 예시적인 양태는, 하나 이상의 제1 MME들; 및 제1 MME들로부터 분리된 제2 MME를 포함하는 네트워크 시스템을 제공한다. 제1 MME는 제1 MME에 부착하는 UE에 대한 보안 컨텍스트를 제2 MME에 푸싱한다. 제2 MME는 보안 컨텍스트를 저장한다.
본 발명의 제2 예시적인 양태에 따르면, MME가 제공되며, 상기 MME는 상기 MME에 부착하는 UE에 대한 보안 컨텍스트를 상기 MME로부터 분리된 제2 MME에 푸싱하기 위한 푸싱 수단을 포함한다. 제2 MME는 또한, UE가 부착할 수 있고 MME와는 상이한 하나 이상의 제1 MME들로부터 분리된다.
본 발명의 제3 예시적인 양태에 따르면, MME에서 보안 컨텍스트를 관리하는 방법이 제공된다. 상기 방법은 MME에 부착하는 UE에 대한 보안 컨텍스트를 MME로부터 분리된 제2 MME에 푸싱하는 단계를 포함한다. 제2 MME는 또한, UE가 부착할 수 있고 MME와는 상이한 하나 이상의 제1 MME들로부터 분리된다.
본 발명의 제4 예시적인 양태에 따르면, 하나 이상의 제1 MME들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법이 제공된다. 상기 방법은, 제1 MME로부터 푸싱된 보안 컨텍스트를 수신하는 단계 - 보안 컨텍스트는 제1 MME에 부착하는 UE에 대한 것임 - ; 및 보안 컨텍스트를 저장하는 단계를 포함한다.
본 발명의 제5 예시적인 양태에 따르면, 네트워크 시스템이 제공되며, 상기 네트워크 시스템은, 하나 이상의 제1 MME들; 및 제1 MME들로부터 분리된 제2 MME를 포함한다. 제2 MME는 제1 MME에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 생성하고 보안 컨텍스트를 제1 MME에 푸싱한다. 제1 MME는 보안 컨텍스트를 저장한다.
본 발명의 제6 예시적인 양태에 따르면, MME가 제공되며, 상기 MME는 상기 MME로부터 분리된 제2 MME로부터 상기 MME에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 수신하기 위한 수신 수단; 및 보안 컨텍스트를 저장하기 위한 저장 수단을 포함한다. 제2 MME는 또한, UE가 부착할 수 있고 MME와는 상이한 하나 이상의 제1 MME들로부터 분리된다.
본 발명의 제7 예시적인 양태에 따르면, 하나 이상의 제1 MME들로부터 분리된 MME가 제공된다. 상기 MME는, 제1 MME에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 생성하기 위한 생성 수단; 및 보안 컨텍스트를 제1 MME에 푸싱하기 위한 푸싱 수단을 포함한다.
본 발명의 제8 예시적인 양태에 따르면, MME에서 보안 컨텍스트를 관리하는 방법이 제공된다. 상기 방법은, MME로부터 분리된 제2 MME로부터, MME에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 수신하는 단계; 및 보안 컨텍스트를 저장하는 단계를 포함한다. 제2 MME는 또한, UE가 부착할 수 있고 MME와는 상이한 하나 이상의 제1 MME들로부터 분리된다.
본 발명의 제9 예시적인 양태에 따르면, 하나 이상의 제1 MME들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법이 제공된다. 상기 방법은, 제1 MME에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 생성하는 단계; 및 보안 컨텍스트를 제1 MME에 푸싱하는 단계를 포함한다.
본 발명의 제10 예시적인 양태에 따르면, 네트워크 시스템이 제공되며, 상기 네트워크 시스템은 하나 이상의 제1 MME들; 및 제1 MME들로부터 분리된 제2 MME를 포함한다. 제2 MME는 UE가 무선으로 접속하는 eNB에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 중앙 집중적으로 관리한다. 제1 MME는 제2 MME에 대한 UE의 이동성을 지원한다.
본 발명의 제11 예시적인 양태에 따르면, 하나 이상의 제1 MME들로부터 분리된 MME가 제공된다. 상기 MME는, UE가 무선으로 접속하는 eNB에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 중앙 집중적으로 관리하기 위한 관리 수단을 포함한다. 제1 MME는 MME에 대한 UE의 이동성을 지원한다.
본 발명의 제12 예시적인 양태에 따르면, 하나 이상의 제1 MME들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법이 제공된다. 상기 방법은, UE가 무선으로 접속하는 eNB에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 UE에 대한 보안 컨텍스트를 중앙 집중적으로 관리하는 단계를 포함한다. 제1 MME는 MME에 대한 UE의 이동성을 지원한다.
본 발명에 따르면, AKA/NAS SMC 절차에 대한 과부하를 완화하는 해결책을 제공함으로써, 상술한 문제점들의 적어도 일부 또는 전부를 해결할 수 있다.
도 1은 본 발명의 예시적인 실시예에 따른 네트워크 시스템의 구성 예를 도시하는 블록도이다.
도 2는 예시적인 실시예에 따른 네트워크 시스템에서 디바이스들/노드들 사이의 시그널링 접속의 관계에 관한 제1 경우를 도시한 블록도이다.
도 3은 제1 경우에서의 제1 동작 예를 도시하는 시퀀스 도이다.
도 4는 제1 경우에서의 제2 동작 예를 도시하는 시퀀스 도이다.
도 5는 예시적인 실시예에 따른 네트워크 시스템에서 디바이스들/노드들 사이의 시그널링 접속의 관계에 관한 제2 경우를 도시한 블록도이다.
도 6은 제2 경우에서의 제1 동작 예를 도시하는 시퀀스 도이다.
도 7은 제2 경우에서의 제2 동작 예를 도시하는 시퀀스 도이다.
도 8은 예시적인 실시예에 따른 네트워크 시스템에서 디바이스들/노드들 사이의 시그널링 접속의 관계에 관한 제3 경우를 도시하는 블록도이다.
도 9는 제3 경우에서의 제1 동작 예를 도시하는 시퀀스 도이다.
도 10은 제3 경우에서의 제2 동작 예를 도시하는 시퀀스 도이다.
도 11은 예시적인 실시예에 따른 MME의 제1 구성 예를 도시하는 블록도이다.
도 12는 예시적인 실시예에 따른 MME의 제2 구성 예를 도시하는 블록도이다.
도 13은 예시적인 실시예에 따른 MME의 제3 구성 예를 도시하는 블록도이다.
도 14는 예시적인 실시예에 따른 MME의 제4 구성 예를 도시하는 블록도이다.
도 15는 예시적인 실시예에 따른 MME의 제5 구성 예를 도시하는 블록도이다.
도 16은 제1 경우에서, 예시적인 실시예에 따른 MME의 개념적 구성들을 도시하는 블록도이다.
도 17은 제2 및 제3 경우들에서, 예시적인 실시예에 따른 MME의 개념적 구성들을 도시하는 블록도이다.
이하에서는, 첨부된 도면을 참조하여 본 발명에 따른 장치, 시스템 및 방법의 예시적인 실시예가 설명될 것이다.
도 1에 도시된 바와 같이, 본 예시적인 실시예에 따른 네트워크 시스템은 하나 이상의 MME들(30_1 및 30_2)(이하, 심벌(30)로 총칭하는 경우가 있음) 및 cMME(cloud MME)(40)를 포함한다. 2개의 MME들(30_1 및 30_2)이 도 1에 도시되어 있지만, 네트워크 시스템에는 3개보다 많은 MME가 제공될 수 있다. 이 경우, 이하의 설명도 마찬가지로 적용될 수 있다.
간략하게, cMME(40)는, 예를 들어 UE(10)에 대한 보안 컨텍스트를 저장하기 위한 오프로드 위치로서 기능한다. 여기서, UE(10)는 eNB들(20_1 내지 20_3) 중 임의의 하나(이하, 심벌(20)로 총칭하는 경우가 있음)에 무선으로 접속한다. 또한, 후술하는 바와 같이, UE(10)는 eNB(20)를 통해 cMME(40)뿐만 아니라 MME들(30_1 및 30_2) 중 임의의 하나에 부착한다. 하나의 UE 및 3개의 eNB가 도 1에 도시되어 있지만, 네트워크 시스템에는 2보다 많은 UE들 및 3보다 적거나 많은 eNB들이 제공될 수 있다. 이 경우, 이하의 설명도 마찬가지로 적용될 수 있다.
즉, 보안 컨텍스트는 MME(30) 자체가 아니라 클라우드(cMME(40))에 저장된다. 가동 중인(going live) 임의의 MME는 오프로드 위치(cMME(40))에 안전하게 접속할 컨텍스트를 가질 것이다. 오프로드 위치는 분산되거나 중앙 집중화될 수 있다. 오프로드 위치의 가상 이미지는 패턴-사용자, 용법 등에 기초하여 주어진 위치에서 위 또는 아래로 가져올 수 있다. 또한, 오프로드 위치는, 예를 들어 클라우드에 의해서뿐만 아니라 MME들의 풀(pool)을 나타내는 유형의(tangible) MME에 의해서도 구성될 수 있다.
또한, MME(30) 및 cMME(40)는 AKA 절차에서 UE(10)를 인증하는데 필요한 자격증명을 획득하기 위해 필요에 따라 HSS(Home Subscriber Server)(50)에 액세스할 수 있다.
다음에서는, 도 2 내지 10을 참조하여 이하의 경우들 A 내지 C에 관한 본 예시적인 실시예의 동작 예들이 설명될 것이다.
<경우 A>
이 경우 "A"는 cMME(40)가 보안 컨텍스트만을 위한 스토리지로서 기능을 하는 경우를 다룬다.
즉, 도 16에 개념적으로 도시된 바와 같이, cMME(40)는 보안 컨텍스트 스토리지(101), 수신 유닛(102) 및 전송 유닛(103)을 포함한다. 수신 유닛(102)은 MME(30)로부터 보안 컨텍스트를 수신하고 수신된 보안 컨텍스트를 스토리지(101)에 저장한다. 전송 유닛(103)은 MME(30)로부터의 요청에 응답하여, 저장된 보안 컨텍스트를 스토리지(101)로부터 판독하고 판독된 컨텍스트를 MME(30)에 전송한다.
한편, MME(30)는 보안 기능 유닛(201), 이동성 관리 유닛(202), 전송 유닛(203) 및 수신 유닛(204)을 포함한다. 보안 기능 유닛(201)은 UE(10)에 대한 보안 컨텍스트를 생성하고 업데이트한다. 이동성 관리 유닛(202)은 UE(10)의 이동성을 관리한다. 전송 유닛(203) 및 수신 유닛(204)은 다양한 시그널링 메시지를 UE(10), MME(30) 및 HSS(50)로/로부터 전송 및 수신한다. 특히, 전송 유닛(203)은 보안 컨텍스트 및 그에 대한 요청을 cMME(40)에 전송한다. 수신 유닛(204)은 cMME(40)로부터 보안 컨텍스트를 수신한다. 보안 컨텍스트 스토리지가 cMME(40)로 시프트되었기 때문에, MME(30)의 기능성들은 전형적인 MME와 비교하여 단순화된다.
간략하게, 이 경우 "A"에서는, 다음의 동작들 (1) 내지 (4)가 수행된다.
(1) AKA 및 NAS SMC 절차들(MME(30)에 의해 운반됨)은 스토리지(cMME(40))에 저장되어야 하는 키들을 초래할 것이다.
(2) 현재 보안 컨텍스트는 스토리지(cMME(40))에 저장된다.
(3) MME(30)가 스위치 오프되거나 다운될 때마다, MME(30)는 스토리지(cMME(40))에 저장된 모든 보안 컨텍스트를 업데이트한다.
(4) UE(10)가 MME(30)(부착 또는 이동성)에 접속할 때, 보안 컨텍스트는 스토리지(cMME(40))로부터 풀링될 수 있다.
도 2에 점선으로 도시된 바와 같은 상기 동작 (1)에서, MME(30)는 기존 인터페이스를 통해 필요에 따라 HSS(50)에 액세스할 수 있다. 도 2에 굵은 선으로 도시된 바와 같은 상기 동작들 (2) 내지 (4)에서, MME(30) 및 cMME(40)는 새로운 인터페이스를 통해 상호 작용한다.
구체적으로, 도 3에 도시된 바와 같이, 초기 단계(initial phase)에서, UE(10)는 기존의 부착 절차에서와 같이 부착 요청 메시지를 MME(30)에 전송한다(단계 S11).
MME(30)는 비특허문헌 1에서와 같이 기존의 AKA 및 NAS SMC 절차들을 수행한다(단계들(S12a 및 S12b)). 성공적인 NAS SMC 절차는 UE(10) 및 MME(30)가 NAS 키들을 포함하는 동일한 NAS 보안 컨텍스트를 공유하게 한다(단계 S12c).
그 후, UE(10)와 eNB(20)는 서로 상호 작용하여 AS(Access Stratum) SMC 절차를 수행한다(단계 S12d). 성공적인 AS SMC 절차는 UE(10) 및 eNB(20)가 AS 키들을 포함하는 동일한 AS 보안 컨텍스트를 공유하게 한다(단계 S12e). AS 키들은 UE(10)와 eNB(20) 사이의 RRC(Radio Resource Control) 프로토콜 계층에서 트래픽의 무결성 및 기밀성을 보호하기 위해 사용된다.
AS SMC 절차와 병행하여, MME(30)는 보안 컨텍스트 업데이트 메시지를 cMME(40)에 전송한다(단계 S13a). 이 메시지는 UE ID(UE(10)의 식별자), 및 KSI, 카스메 및 NAS 키들을 포함하는 NAS 보안 컨텍스트를 포함한다.
cMME(40)는 단계 S13a에서 수신된 보안 컨텍스트를 저장하고(단계 S13b), 보안 컨텍스트 업데이트 애크(Ack)(Acknowledgement) 메시지를 MME(30)에 전송한다(단계 S13c).
MME(30)는 부착 응답 메시지를 UE(10)에 전송한다(단계 S14).
그 후, 전원 오프, 과부하 또는 시스템 다운으로 인해, MME(30)는 스위치-오프 절차를 시작한다(단계 S21).
이 절차에서, MME(30)는 보안 컨텍스트 업데이트 메시지를 cMME(40)에 전송한다(단계 S22a). 이 메시지는 UE ID, 및 KSI, 카스메 및 NAS 키들을 포함하는 최신 NAS 보안 컨텍스트를 포함한다.
cMME(40)는 주어진 UE(10)에 대해 저장된 보안 컨텍스트를 단계 S22a에서 수신된 최신 보안 컨텍스트로 업데이트하고(단계 S22b), 보안 컨텍스트 업데이트 애크 메시지를 MME(30)에 전송한다(단계 S22c).
그런 다음, MME(30)는, MME(30)가 로컬로 유지한 보안 컨텍스트를 제거한다(단계 S23).
한편, 이동성에서, 네트워크 시스템은 도 4에 도시된 바와 같이 동작한다. 도 4에 도시된 동작은, UE(10)가 MME(30_1)에 이전에 부착되었고 MME(30_2)에 새롭게 부착한 경우, 즉 MME(30_1)가 "구 MME"이고 MME(30_2)가 "신 MME"인 경우를 예로서 취한 것임에 유의한다. 한편, 이동성은 또한 유휴 이동성(Idle mobility)(즉, TAU(Tracking Area Update)) 및 핸드오버 절차를 포함한다.
구체적으로, UE(10)는 부착 요청 메시지, TAU 요청 메시지 또는 핸드오버 요청 메시지를 신 MME(30_2)에 전송한다(단계 S31).
신 MME(30_2)는 구 MME(30_1)로 가지 않고, UE ID를 포함하는 보안 컨텍스트 요청 메시지를 cMME(40)에 전송함으로써 cMME(40)로부터 보안 컨텍스트를 요청할 것이다(단계 S32a).
cMME(40)는 수신한 UE ID에 대응하는 UE의 컨텍스트를 검색하고, UE ID, 및 KSI, 카스메 및 NAS 키들을 포함하는 검색된 NAS 보안 컨텍스트를 포함하는 보안 컨텍스트 응답 메시지를 신 MME(30_2)에 다시 전송한다(단계 S32b).
그런 다음, 신 MME(30_2)는 부착 또는 이동성 요청에 대한 응답 메시지를 UE(10)에 다시 전송한다(단계 S33). 이 메시지는 cMME(40)로부터 수신된 NAS 키들에 의해 보호할 수 있다.
이 경우 "A"에 따르면, 보안 컨텍스트는 (로컬) MME 자체 대신 클라우드 MME 상에 저장된다. 따라서, 수행될 중복 AKA/NAS SMC 절차들을 회피하기 때문에, UE가 MME를 변경하거나 MME가 다운되었을 때 시그널링 메시지를 감소시키는 것이 가능하다. 따라서, 특히 MME에서, AKA/NAS SMC 절차들에 포함되는 디바이스들/노드들 및 이들 사이의 모든 인터페이스들에 대한 시그널링 과부하와 같은 AKA/NAS SMC 절차들에 대한 과부하를 완화하는 것이 가능하다.
<경우 B>
이 경우 "B"는 cMME(40)가 완전한 보안 기능성을 갖는 경우를 다룬다.
즉, 도 17에 개념적으로 도시된 바와 같이, cMME(40)는 도 16에 도시된 요소들에 추가하여 보안 기능 유닛(104)을 더 포함한다. 보안 기능 유닛(104)은 MME(30)의 대체물로서 UE(10)에 대한 보안 컨텍스트를 생성하고 업데이트한다. 전송 유닛(103)는 보안 컨텍스트를 MME(30)에 전송할 수 있다.
한편, 도 16에 도시된 보안 기능 유닛(201)은 MME(30)로부터 제거되고 보안 기능 유닛(104)으로서 cMME(40)로 시프트된다. 따라서, MME(30)의 기능성은 도 16에 도시된 것과 비교하여 더 단순화된다.
간략하게, 이 경우 "B"에서, 다음의 동작들 (1) 내지 (3)이 수행된다.
(1) AKA 및 NAS SMC 절차들은 오프로드 위치(cMME(40))에서 발생한다.
(2) NAS 키들은 SMC 후에 MME(30)로 전달된다.
(3) 핸드오버(S1 또는 X2)시, NH(Next Hop)는 오프로드 위치(cMME(40))에서 계산되고 eNB(20)로 전달된다.
도 5에 굵은 선으로 도시된 바와 같은 상기 동작들 (1) 내지 (3)에서, cMME(40)는 새로운 인터페이스를 통해 HSS(50) 및 MME(30)와 상호 작용한다.
구체적으로, 도 6에 도시된 바와 같이, 초기 단계에서, UE(10)는 기존의 부착 절차에서와 같이 부착 요청 메시지를 MME(30)에 전송한다(단계 S41).
AKA 및 NAS SMC 절차들은 UE(10)와 cMME(40) 사이에서 수행되고(단계 S42a), cMME(40)는 필요에 따라 HSS(50)와 상호 작용한다(단계 S42b). 성공적인 NAS SMC 절차는 UE(10) 및 cMME(40)가 동일한 NAS 보안 컨텍스트를 공유하게 한다(단계 S42c).
그 후, UE(10)와 eNB(20)는 서로 상호 작용하여 AS SMC 절차를 수행한다(단계 S42d). 성공적인 AS SMC 절차는 UE(10)와 eNB(20)가 동일한 AS 보안 컨텍스트를 공유하게 한다(단계 S42e).
AS SMC 절차와 병행하여, cMME(40)는 보안 컨텍스트 업데이트 메시지를 MME(30)에 전송한다(단계 S43a). 이 메시지는 UE ID, 및 KSI, 카스메 및 NAS 키들을 포함하는 NAS 보안 컨텍스트를 포함한다.
MME(30)는 단계 S43a에서 수신된 보안 컨텍스트를 저장하고(단계 S43b), 보안 컨텍스트 업데이트 응답 메시지를 cMME(40)에 전송한다(단계 S43c).
그런 다음, MME(30)는 부착 응답 메시지를 UE(10)에 전송한다(단계 S44).
그 후, 전원 오프, 과부하 또는 시스템 다운으로 인해, MME(30)는 스위치-오프 절차를 시작한다(단계 S51).
이 절차에서, 상기 경우 "A"와는 달리, MME(30)는, MME(30)가 로컬로 유지한 보안 컨텍스트를 제거한다(단계 S52).
한편, 이동성에서, 네트워크 시스템은 도 7에 도시된 바와 같이 동작한다. 도 7에 도시된 동작은, UE(10)가 구 MME(30_1)에 이전에 부착되었고 신 MME(30_2)에 새로 부착한 경우를 예로서 취한 것임에 유의한다. 한편, 이동성은 또한 유휴 이동성(즉, TAU) 및 핸드 오버 절차를 포함한다.
구체적으로, UE(10)는 부착 요청 메시지, TAU 요청 메시지 또는 핸드오버 요청 메시지를 신 MME(30_2)에 전송한다(단계 S61). 신 MME(30_2)는 구 MME(30_1)로 가지 않고, UE(10)로부터 cMME(40)로 메시지를 포워딩할 것이다.
cMME(40)는 UE ID, 및 KSI, 카스메 및 NAS 키들을 포함하는 NAS 보안 컨텍스트를 포함하는 보안 컨텍스트 업데이트 메시지를 전송함으로써 최신 UE 컨텍스트를 MME(30)에 전송한다(단계 S62a).
MME(30)는 수신된 보안 컨텍스트를 저장하고(단계 S62b), 보안 컨텍스트 업데이트 애크 메시지를 cMME(40)에 다시 전송한다(단계 S62c).
그런 다음, cMME(40)는 부착 또는 이동성 요청에 대한 응답 메시지를 UE(10)에 전송한다(단계 S64).
또한, 이동성에서, cMME(40)는 또한 NH를 생성 또는 계산하고(단계 S63), NH를 eNB(20)에 전송한다(단계 S65). NH는 AS 보안에 필요한 파라미터들 중 하나임에 유의한다.
이 경우 "B"에 따르면, 위의 경우 "A"와 같이, 수행될 중복 AKA/NAS SMC 절차들을 회피하기 때문에, UE가 MME를 변경하거나 MME가 다운되었을 때 시그널링 메시지를 감소시키는 것이 가능하다. 따라서, 특히 MME에서, AKA/NAS SMC 절차들에 포함되는 디바이스들/노드들 및 이들 사이의 모든 인터페이스들에 대한 시그널링 과부하와 같은 AKA/NAS SMC 절차들에 대한 과부하를 완화하는 것이 가능하다.
또한, 이 경우 "B"에 따르면, cMME는 AKA 및 NAS SMC 절차들을 MME의 대체물로서 수행하고 보안 컨텍스트를 로컬 MME에 전송한다. 따라서, MME 등에 대한 비용을 저감하는 것이 가능할 수도 있다.
<경우 C>
이 경우 "C"는, cMME(40)가 완전한 보안 기능성을 가지며 eNB(20)에 대한 직접 접속을 갖는 경우를 다룬다.
개념적으로, 이 경우 "C"에서의 cMME(40) 및 MME(30)는 도 17에 도시된 것과 같이 구성될 수 있다. 한편, 상기 경우 "B"와는 달리, 수신 유닛(102) 및 전송 유닛(103)는 eNB(20)를 통해 UE(10)로부터/로 직접 시그널링 메시지를 전송 및 수신할 수 있다.
간략하게, 이 경우 "C"에서는, 다음 동작들 (1) 및 (2)이 수행된다.
(1) MME(30)가 중간에 있지 않다는 것을 제외하고는 모든 것이 위의 경우 "B"와 유사하게 일어날 것이다.
(2) 오프로드 위치(cMME(40))는 MME(30) 및 eNB(20)에 키잉 재료(keying material)를 전송할 것이다.
도 8에서 굵은 선으로 도시된 바와 같은 상기 동작들 (1) 및 (2)에서, cMME(40)는 새로운 인터페이스를 통해 HSS(50), MME(30) 및 eNB(20)와 상호 작용한다.
구체적으로, 도 9에 도시된 바와 같이, 초기 단계에서, UE(10)는 부착 요청 메시지를 cMME(40)에 전송한다(단계 S71).
AKA 및 NAS SMC 절차들은 UE(10)와 cMME(40) 사이에서 수행되고(단계 S72a), cMME(40)는 필요에 따라 HSS(50)와 상호 작용한다(단계 S72b). 성공적인 NAS SMC 절차는 UE(10) 및 cMME(40)가 동일한 NAS 보안 컨텍스트를 공유하게 한다(단계 S72c).
여기서, MME(30)는 UE(10)와 cMME(40) 사이에 초기 통신/접속(통신 및/또는 접속) 셋업을 지원한다. 그 후, (NAS) 보안 관련 기능이 cMME(40)로 시프트하고 나머지는 MME(30)에 유지된다. NAS 보안 보호 및 체크는 cMME(40)에서 수행된다.
따라서, MME(30)에서는 보안 컨텍스트를 처리할 필요가 없다. 또한, 스위치-오프 절차시, MME(30)에서는 어떠한 조치도 취할 필요가 없다.
한편, 이동성에서, 네트워크 시스템은 도 10에 도시된 바와 같이 동작한다. 도 10에 도시된 동작은, UE(10)가 구 MME(30_1)에 이전에 부착되었고 신 MME(30_2)에 새로 부착한 경우를 예로서 취한 것임에 유의한다. 한편, 이동성은 또한 유휴 이동성(즉, TAU) 및 핸드 오버 절차를 포함한다.
구체적으로, UE(10)는 부착 요청 메시지, TAU 요청 메시지 또는 핸드오버 요청 메시지를 cMME(40)에 직접 전송한다(단계 S81). cMME(40)는 보안을 전적으로 책임진다.
경로 스위치(Path Switch) 절차는 신 MME(30_2)에 의해 포워딩될 수 있다(단계 S82). 신 MME(30_2)는 메시지를 포워딩만 할 뿐, 보안 기능은 없고 키 생성, 메시지 보호 및 체크를 수행하지 않는다.
또한, 이동성에서, cMME(40)는 NH를 계산하고(단계 S83), NH를 eNB(20)에 전송한다(단계 S84).
이 경우 "C"에 따르면, 위의 경우들 "A" 및 "B"와 마찬가지로, 수행될 중복 AKA/NAS SMC 절차를 회피하기 위해 보안 기능 및 컨텍스트 관리가 cMME에 중앙 집중화되어 있기 때문에, UE가 MME를 변경하거나 MME가 다운되었을 때 시그널링 메시지를 감소시키는 것이 가능하다. 따라서, 특히 MME에서, AKA/NAS SMC 절차들에 포함되는 디바이스들/노드들 및 이들 사이의 모든 인터페이스들에 대한 시그널링 과부하와 같은 AKA/NAS SMC 절차들에 대한 과부하를 완화하는 것이 가능하다. 또한, 이러한 중앙 집중화는 가상화에도 효율적이다.
또한, 이 경우 "C"에 따르면, cMME는 완전한 보안 기능을 갖고 eNB와의 직접 인터페이스를 갖는다. 따라서, 특히 이동성에서 많은 양의 시그널링을 감소시키는 것도 가능하다.
다음에, MME(30) 및 cMME(40)의 구성 예에 대해서는, 도 11 내지 15를 참조하여 설명할 것이다.
먼저, 상기 경우 "A"에서의 MME(30)의 구성에 관해서는, 도 11에 도시된 바와 같이, MME(30)는 적어도 푸싱 유닛(31)을 포함한다. 푸싱 유닛(31)은 초기 단계에서 보안 컨텍스트를 cMME(40)에 푸싱한다. 푸싱 유닛(31)은 스위치-오프 절차 동안 최신 보안 컨텍스트를 cMME(40)에 추가로 푸싱할 수 있다. 또한, MME(30)는 풀링 유닛(32)을 포함할 수 있다. 풀링 유닛(32)은 재부착 및/또는 이동성 시에, cMME(40)로부터 보안 컨텍스트를 풀링한다.
상기 경우 "B"에서, 도 12에 도시된 바와 같이, MME(30)는 수신 유닛(33) 및 저장 유닛(34)을 포함한다. 수신 유닛(33)는 초기 단계에서 cMME(40)로부터 보안 컨텍스트를 수신한다. 저장 유닛(34)은 수신된 보안 컨텍스트를 저장한다. 수신 유닛(33)은 재부착 및/또는 이동성 시에, cMME(40)로부터 최신 보안 컨텍스트를 추가로 수신할 수 있다.
이러한 유닛들(31 내지 34) 및 MME(30)의 다른 요소(들)는, 적어도 eNB(20), cMME(40) 및 HSS(50)와 통신을 행하는 송수신기와 같은 하드웨어뿐만 아니라 이 송수신기들을 제어하여 도 3, 도 4, 도 6 및 도 7 각각에 도시된 처리들 또는 그와 동등한 처리들을 실행하는 CPU(Central Processing Unit)와 유사한 제어기에 의해 구현될 수 있다. MME(30)는 또한 그러한 하드웨어와 소프트웨어(예를 들어, 메모리에 저장되고 CPU에 의해 실행되는 프로그램)의 조합에 의해 구현될 수 있다.
다음으로, 상기 경우 "A"에서의 cMME(40)의 구성에 관하여, 도 13에 도시된 바와 같이, cMME(40)는 적어도 수신 유닛(41) 및 저장 유닛(42)을 포함한다. 수신 유닛(41)은 초기 단계에서 MME(40)로부터 푸싱된 보안 컨텍스트를 수신한다. 저장 유닛(42)은 수신된 보안 컨텍스트를 저장한다. 수신 유닛(41)은 스위치 오프 절차 동안 MME(30)로부터 푸싱된 최신 보안 컨텍스트를 추가로 수신할 수 있다. 저장 유닛(42)은 저장된 보안 컨텍스트를 최신 보안 컨텍스트로 업데이트한다. 또한, cMME(40)는 전송 유닛(43)을 포함할 수 있다. 전송 유닛(43)은 MME(30)로부터의 재부착 또는 이동성 요청에 응답하여, 저장된 보안 컨텍스트를 MME(30)에 전송한다.
상기 경우 "B"에서, 도 14에 도시된 바와 같이, cMME(40)는 적어도 생성 유닛(44) 및 푸싱 유닛(45)을 포함한다. 생성 유닛(44)은 초기 단계에서 보안 컨텍스트를 생성한다. 푸싱 유닛(45)은 보안 컨텍스트를 MME(30)에 푸싱한다. 푸싱 유닛(45)은 재부착 및/또는 이동성 시에 최신 보안 컨텍스트를 푸싱할 수 있다. 또한, cMME(40)는 계산 유닛(46)을 포함할 수 있다. 계산 유닛(46)은 이동성에서 NH를 계산하고, NH를 MME(30)를 통해 eNB(20)에 전송한다.
상기 경우 "C"에서, 도 15에 도시된 바와 같이, cMME(40)는 적어도 관리 유닛(47)을 포함한다. 관리 유닛(47)은 eNB(20)에 대한 직접 접속을 통해 보안 컨텍스트를 중앙 집중적으로 관리한다. UE(10)의 이동성은 MME(30)로부터 지원된다. 또한, cMME(40)는 계산 유닛(48)을 포함할 수 있다. 계산 유닛(48)은 이동성에서 NH를 계산하고, NH를 직접 접속을 통해 eNB(20)에 전송한다.
이러한 유닛들(41 내지 48)뿐만 아니라 cMME(40)의 다른 요소(들)는, 적어도 eNB(20), MME(30) 및 HSS(50)와 통신을 행하는 송수신기와 같은 하드웨어뿐만 아니라 이런 송수신기들을 제어하여 도 3, 도 4, 도 6, 도 7, 도 9 및 도 10에 도시된 처리들 또는 그와 동등한 처리들을 실행하는 CPU와 유사한 제어기에 의해 구현될 수 있다. cMME(40)는 또한 그러한 하드웨어와 소프트웨어(예를 들어, 메모리에 저장되고 CPU에 의해 실행되는 프로그램)의 조합에 의해 구현될 수 있다.
본 발명은 전술한 예시적인 실시예에 한정되는 것은 아니고, 다양한 수정이 청구항들의 기재에 기초하여 본 기술분야의 통상의 기술자에 의해 이루어질 수 있음이 명백하다는 점에 유의해야 한다.
또한, 전술한 프로그램은 임의의 타입의 비일시적인 컴퓨터 판독가능 매체를 사용하여 컴퓨터에 저장되고 제공될 수 있다. 비일시적인 컴퓨터 판독가능 매체는 임의의 타입의 유형적 저장 매체(tangible storage medium)를 포함한다. 비일시적인 컴퓨터 판독가능 매체의 예들은, 자기 저장 매체(예를 들어, 플로피 디스크들, 자기 테이프들, 하드 디스크 드라이브들 등), 광자기 저장 매체(예를 들어, 광자기 디스크들), CD-ROM(Read Only Memory), CD-R, CD-R/W, 및 반도체 메모리들(예를 들어, 마스크 ROM, PROM(Programmable ROM), EPROM(Erasable PROM), 플래시 ROM, RAM(Random Access Memory) 등)을 포함한다. 프로그램은 임의의 타입의 일시적인 컴퓨터 판독가능 매체를 사용하여 컴퓨터에 제공될 수 있다. 일시적인 컴퓨터 판독가능 매체의 예들은, 전기 신호들, 광신호들 및 전자기파들을 포함한다. 일시적인 컴퓨터 판독가능 매체는 전선 및 광파이버와 같은 유선 통신선 또는 무선 통신선을 통해 프로그램을 컴퓨터에 제공할 수 있다.
위에 개시된 예시적인 실시예들의 전부 또는 일부는 다음의 부기들(supplementary notes)로 설명될 수 있지만 이에 제한되는 것은 아니다.
(부기 1)
네트워크 시스템으로서,
하나 이상의 제1 MME들(Mobility Management Entities); 및
상기 제1 MME들로부터 분리된 제2 MME
를 포함하고,
상기 제1 MME는 상기 제1 MME에 부착하는 UE(User Equipment)에 대한 보안 컨텍스트를 상기 제2 MME에 푸싱하고,
상기 제2 MME는 상기 보안 컨텍스트를 저장하는, 네트워크 시스템.
(부기 2)
부기 1에 있어서,
상기 제1 MME는 상기 제1 MME에 대한 스위치-오프 절차 동안, 최신 보안 컨텍스트를 상기 제2 MME에 추가로 푸싱하고,
상기 제2 MME는 상기 저장된 보안 컨텍스트를 상기 최신 보안 컨텍스트로 업데이트하는, 네트워크 시스템.
(부기 3)
부기 1 또는 부기 2에 있어서,
상기 제1 MME는, 상기 UE가 상기 제1 MME에 재부착하거나 상기 제1 MME들 중 상이한 MME로부터 핸드오버될 때 상기 보안 컨텍스트를 상기 제2 MME로부터 풀링하는, 네트워크 시스템.
(부기 4)
MME(Mobility Management Entity)로서,
상기 MME에 부착하는 UE(User Equipment)에 대한 보안 컨텍스트를 상기 MME로부터 분리된 제2 MME로 푸싱하기 위한 푸싱 수단
을 포함하고,
상기 제2 MME는 또한 상기 UE가 부착할 수 있고 상기 MME와 상이한 하나 이상의 제1 MME들로부터 분리되는, MME.
(부기 5)
부기 4에 있어서,
상기 푸싱 수단은 상기 MME에 대한 스위치-오프 절차 동안 최신 보안 컨텍스트를 상기 제2 MME에 추가로 푸싱하도록 구성되는, MME.
(부기 6)
부기 4 또는 부기 5에 있어서,
상기 UE가 상기 MME에 재부착하거나 상기 제1 MME들 중 하나로부터 핸드오버될 때 상기 보안 컨텍스트를 상기 제2 MME로부터 풀링하기 위한 풀링 수단을 더 포함하는, MME.
(부기 7)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME로서,
상기 제1 MME로부터 푸싱된 보안 컨텍스트를 수신하기 위한 수신 수단 - 상기 보안 컨텍스트는 상기 제1 MME에 부착하는 UE(User Equipment)에 대한 것임 - ; 및
상기 보안 컨텍스트를 저장하기 위한 저장 수단
을 포함하는, MME.
(부기 8)
부기 7에 있어서,
상기 수신 수단은 상기 제1 MME에 대한 스위치-오프 절차 동안 상기 제1 MME로부터 푸싱된 최신 보안 컨텍스트를 추가로 수신하도록 구성되고,
상기 저장 수단은 상기 저장된 보안 컨텍스트를 상기 최신 보안 컨텍스트로 업데이트하도록 구성되는, MME.
(부기 9)
부기 7 또는 부기 8에 있어서,
상기 저장된 보안 컨텍스트를 상기 제1 MME에 전송하기 위한 전송 수단을 더 포함하고,
상기 전송 수단은 상기 제1 MME로부터의 요청에 응답하여 상기 저장된 보안 컨텍스트를 전송하도록 구성되고, 상기 요청은 상기 UE가 상기 제1 MME에 재부착하거나 상기 제1 MME들 중 상이한 MME로부터 핸드오버될 때 발행되는, MME.
(부기 10)
MME(Mobility Management Entity)에서 보안 컨텍스트를 관리하는 방법으로서,
상기 MME에 부착하는 UE(User Equipment)에 대한 보안 컨텍스트를 상기 MME로부터 분리된 제2 MME에 푸싱하는 단계
를 포함하고,
상기 제2 MME는 또한 상기 UE가 부착할 수 있고 상기 MME와 상이한 하나 이상의 제1 MME들로부터 분리되는, 방법.
(부기 11)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법으로서,
상기 제1 MME로부터 푸싱된 보안 컨텍스트를 수신하는 단계 - 상기 보안 컨텍스트는 상기 제1 MME에 부착하는 UE(User Equipment)에 대한 것임 - ; 및
상기 보안 컨텍스트를 저장하는 단계
를 포함하는, 방법.
(부기 12)
네트워크 시스템으로서,
하나 이상의 제1 MME들(Mobility Management Entities); 및
상기 제1 MME들로부터 분리된 제2 MME
를 포함하고,
상기 제2 MME는 상기 제1 MME에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 생성하고, 상기 보안 컨텍스트를 상기 제1 MME에 푸싱하며,
제1 MME는 보안 컨텍스트를 저장하는, 네트워크 시스템.
(부기 13)
부기 12에 있어서,
상기 제2 MME는 상기 UE가 상기 제1 MME에 재부착하거나 상기 제1 MME들 중 상이한 MME로부터 핸드오버될 때 최신 보안 컨텍스트를 푸싱하는, 네트워크 시스템.
(부기 14)
부기 13에 있어서,
상기 UE가 핸드오버를 수행할 때, 상기 제2 MME는 상기 핸드오버를 위한 NH(Next Hop)를 계산하고, 상기 NH를 상기 제1 MME를 통해 상기 UE가 무선으로 접속하는 eNB(evolved Node B)에 전송하는, 네트워크 시스템.
(부기 15)
MME(Mobility Management Entity)로서,
상기 MME에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 상기 MME로부터 분리된 제2 MME로부터 수신하기 위한 수신 수단; 및
상기 보안 컨텍스트를 저장하는 저장 수단
을 포함하고,
상기 제2 MME는 또한 상기 UE가 부착할 수 있고 상기 MME와 상이한 하나 이상의 제1 MME들로부터 분리되는, MME.
(부기 16)
부기 15에 있어서,
상기 수신 수단은, 상기 UE가 상기 MME에 재부착하거나 상기 제1 MME들 중 하나로부터 핸드오버될 때 상기 제2 MME로부터 최신 보안 컨텍스트를 추가로 수신하도록 구성되는, MME.
(부기 17)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME로서,
상기 제1 MME에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 생성하기 위한 생성 수단; 및
상기 보안 컨텍스트를 제1 MME에 푸싱하기 위한 푸싱 수단
을 포함하는, MME.
(부기 18)
부기 17에 있어서,
상기 푸싱 수단은, 상기 UE가 상기 제1 MME에 재부착하거나 상기 제1 MME들 중 상이한 MME로부터 핸드오버될 때 최신 보안 컨텍스트를 푸싱하도록 구성되는, MME.
(부기 19)
부기 18에 있어서,
상기 UE가 핸드오버를 수행할 때 상기 핸드오버를 위한 NH(Next Hop)를 계산하고, 상기 NH를 상기 제1 MME를 통해 상기 UE가 무선으로 접속하는 eNB(evolved Node B)에 전송하기 위한 계산 수단을 더 포함하는, MME.
(부기 20)
MME(Mobility Management Entity)에서 보안 컨텍스트를 관리하는 방법으로서,
상기 MME에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 상기 MME로부터 분리된 제2 MME로부터 수신하는 단계; 및
상기 보안 컨텍스트를 저장하는 단계
를 포함하고,
상기 제2 MME는 또한 상기 UE가 부착할 수 있고 상기 MME와 상이한 하나 이상의 제1 MME들로부터 분리되는, 방법.
(부기 21)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법으로서,
상기 제1 MME에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 생성하는 단계; 및
상기 보안 컨텍스트를 제1 MME에 푸싱하는 단계
를 포함하는, 방법.
(부기 22)
네트워크 시스템으로서,
하나 이상의 제1 MME들(Mobility Management Entities); 및
상기 제1 MME들로부터 분리된 제2 MME
를 포함하고,
상기 제2 MME는, UE가 무선으로 접속하는 eNB(evolved Node B)에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 중앙 집중적으로 관리하고,
상기 제1 MME는 상기 제2 MME에 대한 상기 UE의 이동성을 지원하는, 네트워크 시스템.
(부기 23)
부기 22에 있어서,
상기 UE가 상기 제1 MME들 중 하나로부터 다른 MME로 핸드오버될 때, 상기 제2 MME는 상기 핸드오버를 위한 NH(Next Hop)를 계산하고, 상기 NH를 상기 직접 접속을 통해 상기 eNB에 전송하는, 네트워크 시스템.
(부기 24)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME로서,
UE가 무선으로 접속하는 eNB(evolved Node B)에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 UE(User Equipment)에 대한 보안 컨텍스트를 중앙 집중적으로 관리하기 위한 관리 수단
을 포함하고,
제1 MME는 상기 MME에 대한 상기 UE의 이동성을 지원하는, MME.
(부기 25)
부기 24에 있어서,
상기 UE가 상기 제1 MME들 중 하나로부터 다른 MME로 핸드오버될 때, 상기 핸드오버를 위한 NH(Next Hop)를 계산하고, 상기 NH를 상기 직접 접속을 통해 상기 eNB에 전송하기 위한 계산 수단을 더 포함하는, MME.
(부기 26)
하나 이상의 제1 MME(Mobility Management Entity)들로부터 분리된 MME에서 보안 컨텍스트를 관리하는 방법으로서,
UE(User Equipment)가 무선으로 접속하는 eNB(evolved Node B)에 대한 직접 접속을 통해 네트워크에 부착하기를 요청하는 상기 UE에 대한 보안 컨텍스트를 중앙 집중적으로 관리하는 단계
를 포함하고,
제1 MME는 상기 MME에 대한 상기 UE의 이동성을 지원하는, 방법.
(부기 27)
새로운 아키텍처 - MME 보안 기능 또는 전체를 부분적으로 오프로드한다.
(부기 28)
MME는 UE가 멀리 이동할 때 보안 컨텍스트를 유지할 필요가 없다.
(부기 29)
MME는 보안 컨텍스트를 검색하기 위해 이전의 MME/SGSN을 알 필요가 없다.
(부기 30)
중앙 집중식 보안 기능 및/또는 컨텍스트 관리, 가상화를 위한 효율성.
(부기 31)
새로운 메시지들 - 보안 컨텍스트 업데이트 및 애크, 보안 컨텍스트 요청 및 응답.
(부기 32)
(로컬) MME 자체 대신 클라우드 MME 상에 보안 컨텍스트를 저장함. 이는 UE가 MME를 변경하거나 MME가 다운될 때 시그널링 메시지를 감소시킬 수 있다.
(부기 33)
cMME는 AKA 및 NAS SMC를 수행하고 보안 컨텍스트를 로컬 MME에 전송한다. 이는 MME 비용을 저감할 수 있고; 부기 32에서의 장점을 달성한다.
(부기 34)
cMME는 완전한 보안 기능을 갖고 eNB와의 직접적인 새로운 인터페이스를 갖는다. 이는, 특히 이동성에서 큰 시그널링을 줄일 수 있다.
본 출원은 2015년 2월 13일자로 출원된 일본 특허 출원 제2015-026201호의 우선권을 기초로 하고 그 우선권의 이익을 주장하며, 이 출원의 개시 내용은 본 명세서에서 그 전체가 참고로 포함된다.
10 UE
20, 20_1-20_3 eNB
30, 30_1-30_2 MME
31, 45 푸싱 유닛
32 풀링 유닛
33, 41 수신 유닛
34, 42 저장 유닛
40 cMME
43 전송 유닛
44 생성 유닛
46, 48 계산 유닛
47 관리 유닛
50 HSS
101 보안 컨텍스트 스토리지
102, 204 수신 유닛
103, 203 전송 유닛
104, 201 보안 기능 유닛
202 이동성 관리 유닛

Claims (26)

  1. 제1 통신 장치에 의해 수행되는 방법이며,
    상기 방법은,
    상기 제1 통신 장치에 의해, 인증 데이터를 취득하기 위한 요청을 제2 통신 장치에 송신하는 단계;
    상기 제1 통신 장치에 의해, 상기 제2 통신 장치로부터 상기 인증 데이터를 수신하는 단계;
    상기 제1 통신 장치에 의해, 상기 제1 통신 장치와 UE(User Equipment) 사이의 AKA 인증 절차를 실행하는 단계; 및
    상기 UE가 상기 AKA 인증 절차에서 인증 되면, 상기 제1 통신 장치에 의해, 보안 정보를 제3 통신 장치에 제공하는 단계를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 제3 통신 장치는 기지국에 접속되는, 방법.
  3. 프로세서와 리시버를 포함하는 제1 통신 장치이며,
    상기 프로세서는, 인증 데이터를 취득하기 위한 요청을 제2 통신 장치에 송신하고, 상기 제1 통신 장치와 UE(User Equipment) 사이의 AKA 인증 절차를 실행하고, 상기 UE가 상기 AKA 인증 절차에서 인증 되면 보안 정보를 제3 통신 장치에 제공하도록 구성되며,
    상기 리시버는, 상기 제2 통신 장치로부터 상기 인증 데이터를 수신하도록 구성되는, 제1 통신 장치.
  4. 제3항에 있어서,
    상기 제3 통신 장치는 기지국에 접속되는, 제1 통신 장치.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
KR1020177025547A 2015-02-13 2016-02-02 보안 관리를 위한 장치, 시스템 및 방법 KR102322592B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020217035559A KR102363180B1 (ko) 2015-02-13 2016-02-02 제1 통신 장치, 제1 통신 장치에 의해 수행되는 방법, User Equipment(UE) 및 User Equipment(UE)에 의해 수행되는 방법

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015026201 2015-02-13
JPJP-P-2015-026201 2015-02-13
PCT/JP2016/000512 WO2016129238A1 (en) 2015-02-13 2016-02-02 Apparatus, system and method for security management

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020217035559A Division KR102363180B1 (ko) 2015-02-13 2016-02-02 제1 통신 장치, 제1 통신 장치에 의해 수행되는 방법, User Equipment(UE) 및 User Equipment(UE)에 의해 수행되는 방법

Publications (2)

Publication Number Publication Date
KR20170117483A KR20170117483A (ko) 2017-10-23
KR102322592B1 true KR102322592B1 (ko) 2021-11-04

Family

ID=55436134

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020177025547A KR102322592B1 (ko) 2015-02-13 2016-02-02 보안 관리를 위한 장치, 시스템 및 방법
KR1020217035559A KR102363180B1 (ko) 2015-02-13 2016-02-02 제1 통신 장치, 제1 통신 장치에 의해 수행되는 방법, User Equipment(UE) 및 User Equipment(UE)에 의해 수행되는 방법

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020217035559A KR102363180B1 (ko) 2015-02-13 2016-02-02 제1 통신 장치, 제1 통신 장치에 의해 수행되는 방법, User Equipment(UE) 및 User Equipment(UE)에 의해 수행되는 방법

Country Status (5)

Country Link
US (5) US20180041926A1 (ko)
EP (2) EP3257283A1 (ko)
JP (2) JP6741011B2 (ko)
KR (2) KR102322592B1 (ko)
WO (1) WO2016129238A1 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016129238A1 (en) 2015-02-13 2016-08-18 Nec Corporation Apparatus, system and method for security management
ES2914802T3 (es) * 2015-11-19 2022-06-16 Sk Telecom Co Ltd Procedimientos para seleccionar una red central en un sistema de comunicación móvil
CN109792457B (zh) 2016-09-29 2021-11-26 康维达无线有限责任公司 存储和检索设备的网络上下文
EP3306887B1 (en) * 2016-10-10 2020-11-25 NTT DoCoMo, Inc. Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device
US10045200B2 (en) * 2016-10-18 2018-08-07 T-Mobile Usa, Inc. Communication management for core network
CN108123783B (zh) * 2016-11-29 2020-12-04 华为技术有限公司 数据传输方法、装置及系统
CN108738015B (zh) * 2017-04-25 2021-04-09 华为技术有限公司 网络安全保护方法、设备及系统
EP3756373B1 (en) 2018-02-19 2021-07-28 Telefonaktiebolaget LM Ericsson (publ) Supporting interworking and/or mobility between different wireless communication systems
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
CN111866974B (zh) 2019-04-29 2022-12-06 华为技术有限公司 用于移动注册的方法和装置
CN112203265B (zh) * 2020-11-02 2022-08-02 中国联合网络通信集团有限公司 上下文信息重建方法、mme、msc/vlr及hss

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012175664A2 (en) 2011-06-22 2012-12-27 Nec Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
US20130188555A1 (en) 2012-01-24 2013-07-25 Telefonaktiebolaget L M Ericsson (Publ) MME Restoration
US20140219178A1 (en) 2012-01-20 2014-08-07 Verizon Patent And Licensing Inc. Optimizing user device context for mobility management entity (mme) resiliency

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI972725A (fi) 1997-06-24 1998-12-25 Nokia Telecommunications Oy Uudelleenreititys
CN100488284C (zh) * 2006-01-26 2009-05-13 华为技术有限公司 一种3gpp演进网络中漫游用户数据路由优化方法
AU2007232622B2 (en) 2006-03-31 2010-04-29 Samsung Electronics Co., Ltd. System and method for optimizing authentication procedure during inter access system handovers
CN101610506B (zh) * 2008-06-16 2012-02-22 上海华为技术有限公司 防止网络安全失步的方法和装置
JP5390611B2 (ja) * 2008-08-15 2014-01-15 サムスン エレクトロニクス カンパニー リミテッド 移動通信システムの保安化された非接続階層プロトコル処理方法
WO2010086014A1 (en) * 2009-01-27 2010-08-05 Nokia Siemens Networks Oy Method and device for data processing in an access point supporting local breakout
WO2010112037A1 (en) * 2009-03-31 2010-10-07 Telefonaktiebolaget Lm Ericsson (Publ). Redistribution of terminals
CN102123477B (zh) * 2010-01-08 2015-06-10 中兴通讯股份有限公司 M2m核心网络的接入实现方法及装置
US20130136032A1 (en) * 2010-05-19 2013-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for managing communications of a physical network entity
CN102025086B (zh) * 2010-12-05 2012-08-22 中山市开普电器有限公司 一种具有漏电保护功能的电源插头
ES2544102T3 (es) * 2011-04-06 2015-08-27 Nec Europe Ltd. Método y un sistema para distribución de contexto de equipo de usuario en un sistema de paquetes evolucionado
US8527165B2 (en) * 2011-07-15 2013-09-03 Caterpillar Inc. Dual powertrain machine speed limiting
KR20140043484A (ko) * 2011-08-01 2014-04-09 인텔 코포레이션 네트워크 액세스 제어를 위한 방법 및 시스템
CN103002521B (zh) * 2011-09-08 2015-06-03 华为技术有限公司 传递上下文的方法及移动性管理实体
CN103024719B (zh) * 2011-09-23 2018-05-11 中兴通讯股份有限公司 终端组的移动性管理实体选择方法及系统
CN102438330A (zh) * 2011-12-06 2012-05-02 大唐移动通信设备有限公司 一种附着到e-tran的方法及移动性管理实体
CN102685730B (zh) 2012-05-29 2015-02-04 大唐移动通信设备有限公司 一种ue上下文信息发送方法及mme
JP2014022652A (ja) * 2012-07-20 2014-02-03 Elpida Memory Inc 半導体装置及びそのテスト装置、並びに、半導体装置のテスト方法
US8989000B2 (en) * 2012-12-04 2015-03-24 Verizon Patent And Licensing Inc. Cloud-based telecommunications infrastructure
US9788188B2 (en) * 2012-12-14 2017-10-10 Ibasis, Inc. Method and system for hub breakout roaming
KR20160030965A (ko) * 2013-07-03 2016-03-21 인터디지탈 패튼 홀딩스, 인크 근접 서비스들을 위한 epc 증강들
JP6111921B2 (ja) 2013-07-25 2017-04-12 富士通株式会社 撮像装置および撮像方法
KR20220088957A (ko) * 2014-05-08 2022-06-28 인터디지탈 패튼 홀딩스, 인크 Ue를 전용 코어 네트워크 노드에 리디렉트하기 위한 방법들 및 이동성 관리 엔티티(mme)
MX359065B (es) 2014-05-30 2018-09-13 Nec Corp Aparato, sistema y metodo para red de nucleo dedicada.
KR101886748B1 (ko) * 2014-06-17 2018-08-08 후아웨이 테크놀러지 컴퍼니 리미티드 Mme 재선택 방법 및 mme
WO2016000759A1 (en) 2014-07-01 2016-01-07 Telefonaktiebolaget L M Ericsson (Publ) Method and nodes for handling esm information
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
WO2016129238A1 (en) 2015-02-13 2016-08-18 Nec Corporation Apparatus, system and method for security management
JP2019096918A (ja) 2016-04-05 2019-06-20 シャープ株式会社 端末装置、基地局装置、MME(Mobility Management Entity)および通信制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012175664A2 (en) 2011-06-22 2012-12-27 Nec Europe Ltd. Energy awareness in mobile communication user equipment and networks, including optimizations based on state compression
US20140219178A1 (en) 2012-01-20 2014-08-07 Verizon Patent And Licensing Inc. Optimizing user device context for mobility management entity (mme) resiliency
US20130188555A1 (en) 2012-01-24 2013-07-25 Telefonaktiebolaget L M Ericsson (Publ) MME Restoration

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP LTE Security Aspects", 3GPP Workshop, Bangalore, 30 May 2011, 30 May 2011 (2011-05-30)

Also Published As

Publication number Publication date
JP6741011B2 (ja) 2020-08-19
US20190069204A1 (en) 2019-02-28
EP3547739A1 (en) 2019-10-02
JP2018505620A (ja) 2018-02-22
JP2020171058A (ja) 2020-10-15
US20210258837A1 (en) 2021-08-19
EP3257283A1 (en) 2017-12-20
US11751107B2 (en) 2023-09-05
WO2016129238A1 (en) 2016-08-18
KR20170117483A (ko) 2017-10-23
US20230362744A1 (en) 2023-11-09
KR102363180B1 (ko) 2022-02-14
US11032747B2 (en) 2021-06-08
US20180041926A1 (en) 2018-02-08
US20200367116A1 (en) 2020-11-19
US10986544B2 (en) 2021-04-20
KR20210135350A (ko) 2021-11-12

Similar Documents

Publication Publication Date Title
KR102322592B1 (ko) 보안 관리를 위한 장치, 시스템 및 방법
JP7014212B2 (ja) Ue及び方法
KR101871090B1 (ko) Dc (이중 접속성) 를 위한 장치, 시스템 및 방법
JP6399117B2 (ja) モバイル通信システム、及びその方法
JP7287534B2 (ja) Mmeデバイスにおいて実行される方法及びmmeデバイス
JP7268822B2 (ja) サーバ、端末、及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant