KR102332075B1 - 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 - Google Patents

모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 Download PDF

Info

Publication number
KR102332075B1
KR102332075B1 KR1020197000305A KR20197000305A KR102332075B1 KR 102332075 B1 KR102332075 B1 KR 102332075B1 KR 1020197000305 A KR1020197000305 A KR 1020197000305A KR 20197000305 A KR20197000305 A KR 20197000305A KR 102332075 B1 KR102332075 B1 KR 102332075B1
Authority
KR
South Korea
Prior art keywords
procedure
base station
security key
key
eap
Prior art date
Application number
KR1020197000305A
Other languages
English (en)
Other versions
KR20190016540A (ko
Inventor
라자벨사미 라자듀라이
이덕기
이지철
손중제
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Publication of KR20190016540A publication Critical patent/KR20190016540A/ko
Application granted granted Critical
Publication of KR102332075B1 publication Critical patent/KR102332075B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/02Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas
    • H04B7/04Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas using two or more spaced independent antennas
    • H04B7/0413MIMO systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 IoT 기술을 이용하여 4세대(4G) 시스템보다 높은 데이터 속도를 지원하는 5세대(5G) 통신 시스템을 융합하는 통신 방법 및 시스템에 관한 것이다. 본 개시는 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카, 커넥티드 카, 헬스 케어, 디지털 교육, 스마트 소매, 보안 및 안전 서비스와 같은 5G 통신 기술 및 IoT 관련 기술에 기반한 지능형 서비스에 적용될 수 있다. 본 명세서에서의 실시예는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법을 달성한다. 방법은 EAP 인증자가 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하는 단계를 포함한다. EAP 패킷은 NAS 인터페이스, RRC 인터페이스 및 N1 인터페이스 중 적어도 하나를 통해 캡슐화된다. EAP 인증자는 마스터 키를 더욱 안전하게 처리하기 위해 무선 액세스 네트워크의 코어 네트워크에 있는 보안 노드에 위치된다. 더욱이, 방법은 EAP 인증자가 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하는 단계를 포함한다.

Description

모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템
본 출원은 무선 통신에 관한 것으로서, 보다 구체적으로는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법 및 시스템에 관한 것이다. 본 출원은 2016년 7월 5일에 출원된 인도 출원 번호 201641023119 및 2016년 7월 21일에 출원된 인도 출원 번호 201641025054 둘 다에 기초하고, 이로부터의 우선권을 주장하며, 이의 개시는 본 명세서에서 참고로 포함된다.
4G 통신 시스템의 배치 이후 증가된 무선 데이터 트래픽에 대한 수요를 충족시키기 위해, 개선된 5G 또는 프리(pre)-5G 통신 시스템을 개발하기 위한 노력이 행해졌다. 따라서, 5G 또는 프리-5G 통신 시스템은‘Beyond 4G Network’또는 'Post LTE'이라고도 한다. 5G 통신 시스템은 고주파(mmWave) 대역, 예를 들어 60 GHz 대역에서 구현되어 더 높은 데이터 속도를 달성하는 것으로 고려된다. 무선파(radio wave)의 전파 손실을 감소시키고, 송신 거리를 증가시키기 위해, 빔포밍(beamforming), 대량 MIMO, FD-MIMO, 어레이 안테나, 아날로그 빔포밍, 대규모 안테나 기술은 5G 통신 시스템에서 논의된다. 게다가, 5G 통신 시스템에서, 첨단(advanced) 소형 셀, 클라우드 RAN(Radio Access Network), 초 고밀도 네트워크(ultra-dense network), D2D(device-to-device) 통신, 무선 백홀, 이동 네트워크, 협력 통신, CoMP(Coordinated Multi-Point), 수신 단 간섭 제거 등을 기반으로 시스템 네트워크 개선을 위한 개발이 진행되고 있다. 5G 시스템에서, ACM(advanced coding modulation)으로서 하이브리드 FQAM(FSK and QAM Modulation), 및 첨단 액세스 기술로서 FBMC(filter bank multi carrier), NOMA(non-orthogonal multiple access) 및 SCMA(sparse code multiple access)가 개발되었다.
인간이 정보를 생성하고 소비하는 인간 중심의 연결 네트워크인 인터넷은 이제 사물(things)과 같은 분산된 엔티티가 인간의 개입 없이 정보를 교환하고 처리하는 IoT(Internet of Things)로 진화하고 있다. 클라우드 서버와의 연결을 통해 IoT 기술과 빅 데이터(Big Data) 처리 기술의 조합인 IoE(Internet of Everything)가 등장했다. "센싱 기술", "유무선 통신 및 네트워크 인프라 구조", "서비스 인터페이스 기술" 및 "보안 기술"과 같은 기술 요소가 IoT 구현을 위해 요구되었음에 따라, 센서 네트워크, M2M(Machine-to-Machine) 통신, MTC(Machine Type Communication) 등은 최근에 연구되어 왔다. 이러한 IoT 환경은 연결된 사물 간에 생성된 데이터를 수집하고 분석함으로써 인간의 삶에 새로운 가치를 창출하는 지능형 인터넷 기술 서비스를 제공할 수 있다. IoT는 기존의 정보 기술(Information Technology; IT)과 다양한 산업용 애플리케이션 사이의 융합(convergence) 및 조합을 통해 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카 또는 커넥티드 카(connected car), 스마트 그리드, 헬스 케어, 스마트 가전 및 첨단 의료 서비스를 포함하는 다양한 분야에 적용될 수 있다.
이에 따라, 5G 통신 시스템을 IoT 네트워크에 적용하기 위한 다양한 시도가 행해졌다. 예를 들어, 센서 네트워크, MTC(Machine Type Communication) 및 M2M(Machine-to-Machine) 통신과 같은 기술은 빔포밍, MIMO 및 어레이 안테나에 의해 구현될 수 있다. 상술한 빅 데이터 처리 기술로서의 클라우드 RAN(Radio Access Network)의 적용은 또한 5G 기술과 IoT 기술 사이의 융합의 일례로서 간주될 수 있다.
3GPP(3rd Generation Partnership Project)는 Next Generation System(FS_NextGen) 및 5G New Radio (NR) Access Technology(FS_NR_newRAT)을 위한 아키텍처 및 보안을 포함하는 "차세대 시스템(Next Generation System)"에 대한 작업을 시작했다. 작업 항목의 주요 목적은 차세대 모바일 네트워크를 위한 시스템 아키텍처를 설계하는 것이다. 새로운 아키텍처는 적어도 새로운 무선 액세스 기술(radio access technology, RAT), 진화된 LTE, 비-3GPP 액세스 타입을 지원하고, 3GPP 문서 SP-160227에 설명된 표준 작업 항목에 따라 액세스 의존성을 최소화해야 한다.
새로운 차세대 아키텍처에 대한 보안 관점으로부터의 주요 요구 사항은 다음과 같다: "3GPP 시스템은 네트워크 액세스 보안이 ID 관리, 인증, 기밀성 및 무결성을 갖춘 공장 소유자(factory owner)에 의해 제공되고 관리되는 산업 공장 배치를 지원해야 하며”, “3GPP 시스템은 3GPP TR 22.862의 표준 연구 보고서에 따라 산업 공장 자동화와 같은 상이한 배치 시나리오를 허용하기 위해 상이한 타입의 크리덴셜(credential)로 대안적인 인증 방법을 처리할 수 있는 인증 프로세스를 지원해야 한다”. 더욱이, 3GPP SA WG1로부터의 요구 사항을 해결하기 위해, 아키텍처 작업 그룹[TR 23.799]에 의해 다음의 원칙이 채택된다:
a. 3GPP 기술, 비-3GPP 무선 기술, 고정된 광대역 액세스, 보안 및 비보안 비-3GPP 액세스를 포함하는 상이한 액세스 네트워크를 통해 5G NextGenCore Network(CN)에 연결하는 사용자 장치(User Equipment, UE)의 인증을 지원한다.
b. UE는 크리덴셜을 소유하는 것으로 가정된다. 크리덴셜을 UE에 제공하는 절차는 이러한 솔루션의 범위를 벗어난다.
c. 상이한 액세스 네트워크 기술을 통해 연결하는 UE가 5G NextGen CN에 액세스할 수 있도록 하는 통합된 인증 프레임워크를 지원한다.
상술한 목적, 요구 사항 및 고려중인 아키텍처[SP-160464]를 고려할 때, 현재의 3GPP 시스템 인증 메커니즘은 하위 계층 불가지론(lower-layer agnostic)을 제공하지 않고, 비-3GPP 시스템(예를 들어, WLAN 등)과 상이하다.
현재의 3GPP 시스템(예를 들어, LTE, UMTS(Universal Mobile Telecommunications Service)에서, 인증 메커니즘은 NAS(Non-access stratum) 계층과 단단히 결합되며, UE에 인증 프로토콜(AKA 또는 SIM)을 저장하고 실행하기 위한 전용 하드웨어(예를 들어, UICC(Universal Integrated Circuit Card))를 필요로 한다. 더욱이, 3GPP 시스템은 다음을 지원하는 NextGen 시스템(NextGen 코어 및 NR 무선 액세스 기술)에 대한 인증 프레임워크를 가질 필요가 있다:
- 상이한 크리덴셜(credentials)
· AKA(USIM)
· 인증서
· 패스워드
- 상이한 시나리오를 지원하기 위해
· 분리된 동작(isolated operation)
· 초기 크리덴셜 프로비저닝(provisioning)
· 비면허(unlicensed) 스펙트럼 네트워크(예를 들어, WLAN, LTE-U)를 통해 EPC/NextGen 코어에 액세스함
- 상이한 신뢰 플랫폼(예를 들어, (KNOX와 같은) 디바이스의 UICC/eUICC/SmartCards/Secure 플랫폼)에서의 인증 프로토콜의 저장 및 실행
- NextGen 코어를 통한 비-3GPP 액세스 네트워크와의 상호 작용
- 상이한 크리덴셜 및 상이한 네트워크와 동일한 프레임워크를 사용하기 위해
- 벤더 네트워크/서비스 제공자 네트워크/애플리케이션 서비스 제공자 네트워크
- 다수의 RAT를 지원하는 디바이스
더욱이, 요구 사항을 처리하기 위해 통합된 인증 프레임워크를 갖기 위해, 구체적으로는 "상이한 타입의 크리덴셜로 대안적인 인증 방법 처리"를 위해, 새로운 인증 프레임워크가 요구된다.
기존의 3GPP 시스템의 한계와 NextGen의 요구 사항을 고려하면, NextGenSystems에 대한 EAP(Extensible Authentication Protocol) 기반 인증 프레임워크를 사용하려는 동기가 된다. 그러나, EAP를 채택할 때, 다음과 같은 문제가 해결될 필요가 있다:
· EAP는 프로토콜 메시지 내에 EAP 메시지를 캡슐화하는 방법을 필요로 한다.
- 더 이상 액세스 불가지론이 없음(no longer access agnostic)
- EAP 인증 절차는 IP 주소 할당 후에 발생할 수 있다.
- 기존의 EAP 캡슐화 프로토콜: EAPoL, 802.16e, IKEv2, PANA, RADIUS, DIAMETER는 액세스 기술이다.
- EAPoL 및 802.16e는 특정 MAC 프로토콜과 관련이 있다.
· 기존의 EPS-AKA 인증은 임의의 다른 인증 프로토콜을 반송하기 위한 일반적인 프레임워크를 지원할 임의의 필요성을 예견하지 못한다.
· NR(New Radio) 및 NextGen Core에서 EAP 메시지를 캡슐화하는 메커니즘이 필요하다.
· 키를 인증 서버에서 인증자 및 또한 인증자로부터 이를 필요로 하는 다른 네트워크 엔티티로 송신하는 메커니즘이 제공될 필요가 있다.
· 아키텍처 프레임워크의 추가의 설계는 EAP가 인증 프로토콜로서 사용되는 경우에 아래의 두 문제에 대한 결정을 필요로 한다.
· EAP 인증자(일반적으로 제1 홉(hop)에 배치된 인증자)에 대한 위치
- NR 노드(기지국)에서
- 코어 네트워크(core network, CN) 노드(CP-AU)에서
· 차세대 네트워크에 대한 EAP 캡슐화 프로토콜
- RRC/NG2를 통한 EAP
- NAS를 통한 EAP
- PANA를 통한 EAP
- IKEv2를 통한 EAP
더욱이, Rel-13(Release-13)에서, Work Item (RP-151114) “LTE-WLAN Radio Level Integration and Inter-working Enhancement”에 대한 부분으로서, 3GPP는 LWA(LTE WLAN Aggregation)의 표준화를 완료했다: LTE-WLAN Aggregation. LWA에서, LTE RAN(Radio Access Network)는 LTE 및 WLAN 무선 인터페이스를 통해 트래픽을 집성하며, Rel-12 DC(Dual-Connectivity)에서 수행되는 것과 매우 유사하며: MeNB(Master eNB)는 LTE RAT(Radio Access Technology)이고, SeNB(Secondary eNB)는 또한 MeNB와 SeNB 사이의 LTE RAT 및 X2 인터페이스이다. LWA에서: eNB는 LTE RAT이고, SeNB는 WT(Wireless Termination)라고 하고, WLAN RAT 엔티티를 처리하며; eNB와 WT 사이의 인터페이스는 Xw라고 한다. 3GPP TS 36.300은, 도 16에 도시된 바와 같이, TS 36.300 사양에서 오는 DC 및 LWA를 더 상세하게 제공한다.
Rel-13의 LWA만이 WLAN을 통한 DL(Down Link) 데이터 트래픽을 지원한다. LWAAP(3GPP TS 36.360)는 패킷이 속하는 데이터 무선 베어러(data radio bearer, DRB)를 식별하는 PDCP PDU(Packet Data Convergence Protocol - Protocol Data Unit)에 패킷 헤더만을 부가하는 매우 작은 프로토콜이며: 수신된 DRB-ID에 기초하여, UE는 패킷을 전달할 UE의 어떤 PDCP 엔티티(UE는 DRB 당 하나의 PDCP 엔티티를 가짐)인지를 알 것이다. WLAN을 통해 진행하는 PDCP PDU는 두 번 암호화되며: 한번은 eNB에 의한 PDCP 레벨 상에서(키 KeNB [TS 33.401]에 기반한 일반적인 LTE 암호화), 한번은 KeNB로부터 도출되는 키 S-KWT(PMK/PSK [IEEE 802.11]로서 사용됨)에 기반한 WLAN 레벨 상에서 암호화된다. 복잡성(예를 들어, 핸드오버가 발생할 때 S-KWT를 업데이트할 때/방법)을 제한하기 위해, Rel-13 LWA는 임의의 LWA 설정(즉, WLAN 부분)이 LTE 핸드오버에서 릴리스(release)됨을 명시하고, 필요한 경우, (WT 부가 절차를 사용하여) 핸드오버 후에 다시 부가된다.
Rel-14에서, Rel-13 LWA 솔루션을 향상시키기 위해 새로운 WID "enhanced LWA"가 승인된다(RP-160600 참조). 이러한 WID의 두 가지 주요 목적은 WLAN을 통한 UL 데이터 전송을 지원하고, WT 변경 없이 인트라 및 인터 eNB 핸드오버를 지원하는 것이다. 이러한 두 가지 새로운 목적의 결과는 이제 인트라 및 인터 eNB 변경에서 어떤 것이 발생하는지를 고려해야 하며, 이는 KeNB가 변경되고 WLAN을 통해 데이터가 이동하게 한다.
그러나, 종래의 방법은 KeNB(핸드오버마다 eNB 키가 변경됨)가 변경될 때마다 키 S-KWT(SeNB-Wireless Termination)를 변경할지에 대한 어떠한 방법도 개시하지 않는다. 더욱이, 변경이 수행될 필요가 있다면, S-KWT 키 변경은 KeNB 변경마다 즉시 또는 나중에 수행되어야 한다. 또한, 모든 KeNB에 대해 S-KWT를 즉시 변경할 필요가 없다면, eNB는 S-KWT가 나중에 변경될 이벤트와 즉시 변경될 필요가 있는 이벤트를 결정할 지식을 가질 필요가 있다. 더욱이, 모든 KeNB에 대해 WT에 S-KWT를 제공할지를 판단할 지식을 가질 필요가 있다. 또한, S-KWT의 변경이 모든 KeNB에 즉시 요구되지 않는다면, 종래 기술은 eNB에 의한 WLAN에서 S-KWT 리프레시를 처리하는 방법을 개시하지 않는 것으로 보인다.
WLAN RAT(802.11ad)에서 높은 데이터 속도를 지원하는 동안, (LTE의 KeNB의 변경으로 인해) WLAN AN의 Key(WLAN Key)의 빈번한 변경은 QoE 성능을 저하시킨다. WLAN 키의 변경의 필요성은 의문의 여지가 있으며, 성능 측면에서 볼 때, LTE의 키 변경 빈도에 따라 즉시 키를 종종 변경하지 말고 나중에 변경하는 것이 좋다.
그러나, 키를 독립적으로 변경하는 시기 및 방법을 갖는 것이 필요하다. 보안 원칙을 준수하기 위해, 루트 키(root key)를 변경하면 모든 도출된 키가 변경되지만, 나중에 PDCP 암호화가 임의의 보안 위험을 처리하면 WLAN 키를 나중에 변경할 수 있다.
그러나, PDCP 계층 암호화가 다수의 엔티티에서의 암호화에 의한 복잡성을 회피하기 위해 완화될 수 있는지에 대한 고려 사항이 있다. PDCP 계층 암호화가 완화되거나, PDCP 계층 암호화가 수행되면, KeNB가 변경될 때 S-KWT의 결과는 식별될 필요가 있다.
또한, 키 S-KWT가 핸드오버에서 즉시 또는 나중 시점에서 변경될 필요가 있는지를 판정할 필요가 있다. LTE에서, 인터/인트라 셀 핸드오버를 수행함으로써 KeNB 변경(리프레시/리키잉(re-keying))이 달성된다. 상세히 상술한 키 리프레시 문제는 LTE-WLAN 인터워킹 및 또한 5G NR-WLAN 인터워킹 둘 다에 적용할 수 있다.
따라서, 상술한 단점 또는 다른 결점을 해소하거나 적어도 유용한 대안을 제공하는 것이 바람직하다.
본 명세서에서의 실시예는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법을 개시한다. 방법은 EAP(Extensible Authentication Protocol) 인증자가 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하는 단계를 포함한다. EAP 패킷은 NAS(Non-Access Stratum) 인터페이스, RRC(Radio Resource Control) 인터페이스 및 N1 인터페이스 중 적어도 하나를 통해 캡슐화된다. EAP 인증자는 마스터 키를 더욱 안전하게 처리하기 위해 무선 액세스 네트워크의 코어 네트워크에 있는 보안 노드에 위치된다. 더욱이, 방법은 EAP 인증자가 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하는 단계를 포함한다.
일 실시예에서, 방법은 EAP 인증자가 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성하는 단계를 더 포함한다. 더욱이, 본 방법은 무선 액세스 네트워크 내의 적어도 하나의 엔티티와 액세스 단말기 사이의 보안 통신을 가능하게 하도록 적어도 하나의 보안을 무선 액세스 네트워크 내의 적어도 하나의 엔티티에 제공하는 단계를 포함한다.
일 실시예에서, EAP 패킷은 EAP 캡슐화 프로토콜을 사용하여 캡슐화된다.
일 실시예에서, EAP 캡슐화 프로토콜은 액세스 단말기와 SEAF(Security Anchor Function) 엔티티 사이의 RRC 프로토콜, N2 시그널링 프로토콜, NAS 프로토콜 및 시그널링 프로토콜 중 적어도 하나를 포함한다.
일 실시예에서, 보안 노드는 SEAF 엔티티, AMF(Authentication Management Field) 엔티티 및 AUSF(Authentication Server Function) 엔티티 중 적어도 하나이다.
일 실시예에서, 무선 액세스 네트워크의 엔티티는 액세스 단말기로부터 EAP 인증자로 EAP 패킷을 릴레이한다.
일 실시예에서, 무선 액세스 네트워크는 5GC(5G Core network), NG-RAN(NG Radio Access Network), EPC(Evolved Packet Core), LTE(Long Term Evolution) 시스템 및 차세대 네트워크 시스템 중 적어도 하나이다.
일 실시예에서, EAP 인증자(예를 들어, SEAF)는 AMF 엔티티를 통해 액세스 단말기를 인증한다. 일 실시예에서, AMF 엔티티는 인증을 수행하기 위해 AUSF 엔티티와 인터페이스한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배된다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되며, 여기서 보안 종료(security termination)는 액세스 네트워크 엔티티 및 또한 AMF/SEAF 엔티티에 의해 수행된다.
일 실시예에서, EAP 인증자 기능은 무선 액세스 네트워크 내의 엔티티 사이에 분배되고, 여기서 보안 종료는 액세스 네트워크 엔티티, AMF, gNB, NR Node B, eNB(Evolved Node B) 및 SEAF 엔티티에 의해 수행된다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되고, 여기서 보안 종료는 AMF에 의해 수행되고, AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되고, 여기서 인증은 SEAF/AMF에 의해 개시된다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되고, 여기서 인증은 SEAF에 의해 개시되고, AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 AMF/SEAF에 의한 적절한 EAP 서버로의 EAP 패킷의 라우팅에 의해 5G 네트워크 시스템의 상이한 엔티티 사이에 분배된다.
일 실시예에서, EAP 인증자 기능은 SEAF에 의한 적절한 EAP 서버로의 EAP 패킷의 라우팅에 의해 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되며, 여기서 AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 SEAF는 마스터 키를 수신하고, 추가의 키를 도출하며, 키를 다른 네트워크 엔티티에 분배한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 AMF 엔티티는 액세스 기술 특정 EAP 캡슐화 프로토콜 및 Diameter/Radius 프로토콜의 브리징(bridging)을 수행한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 액세스 단말기(Access Terminal, AT)의 액세스 제어가 무선 액세스 네트워크 엔티티(gNB)에 의해 수행된다.
일 실시예에서, 등록 절차는 AT가 유효한 보안 컨텍스트(security context)을 갖지 않거나 AT가 인증 절차만을 수행할 필요가 있을 때 네트워크로 AT에 의한 인증 절차를 트리거링하는데 사용된다. 등록 절차는 다음의 것: 초기 등록 및 인증 절차 중 하나로서의 등록 타입을 포함한다.
일 실시예에서, 키는 UE가 네트워크 액세스를 요청할 때 네트워크 엔티티에 의해 SEAF로부터 인출(fetch)된다.
본 명세서에서의 실시예는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 장치를 개시한다. 장치는 메모리 및 프로세서에 결합된 EAP 인증자를 포함한다. EAP 인증자는 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하도록 설정된다. EAP 패킷은 NAS(Non-Access Stratum) 인터페이스, RRC(Radio Resource Control) 인터페이스 및 N12 인터페이스 중 적어도 하나를 통해 캡슐화된다. EAP 인증자는 무선 액세스 네트워크의 코어 네트워크에 있는 보안 노드에 위치된다. EAP 인증자는 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하도록 설정된다.
본 명세서에서의 실시예는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템을 개시한다. 이 시스템은 제1 무선 액세스 네트워크 내의 액세스 단말기, 무선 액세스 네트워크 엔티티, 및 무선 액세스 네트워크 엔티티를 통해 액세스 단말기와 통신하는 EAP 인증자를 포함한다. EAP 인증자는 제2 무선 액세스 네트워크 내의 보안 노드에 위치된다. EAP 인증자는 고속 패킷 데이터 무선 링크를 통해 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하도록 설정된다. EAP 패킷은 NAS 프로토콜, RRC 프로토콜 및 N12인터페이스 중 적어도 하나를 통해 캡슐화된다. EAP 인증자는 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하도록 설정된다.
일 실시예에서, 제2 무선 액세스 네트워크는 제1 무선 액세스 네트워크의 차세대 코어 네트워크이다.
본 명세서의 실시예의 이러한 양태 및 다른 양태는 다음의 설명 및 첨부된 도면과 함께 고려될 때 더 잘 인식되고 이해될 것이다. 그러나, 다음의 설명은, 바람직한 실시예 및 이의 다수의 특정 상세 사항을 나타내지만, 제한이 아니라 예시로서 주어진다는 것이 이해되어야 한다. 많은 변경 및 수정이 본 발명의 사상으로부터 벗어나지 않으면서 본 명세서의 실시예의 범위 내에서 이루어질 수 있으며, 본 명세서의 실시예는 이러한 모든 수정을 포함한다.
본 발명의 일 실시예에 따르면, WLAN RAT에서 높은 데이터 속도를 지원하면서 WLAN에서의 키의 빈번한 변경으로 인한 QoE 저하 문제를 해결할 수 있다.
본 발명은 첨부된 도면에 도시되어 있으며, 도면 전체에 걸쳐 동일한 참조 부호는 다양한 도면에서 대응하는 부분을 나타낸다. 본 명세서의 실시예는 도면을 참조한 다음의 설명으로부터 더 잘 이해될 것이다.
도 1은 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개요를 도시하는 개략도이다.
도 2는 본 명세서에 개시된 바와 같은 실시예에 따라 3GPP 액세스 네트워크, 코어 네트워크 및 비-3GPP 액세스 네트워크를 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개요를 도시하는 개략도이다.
도 3은 본 명세서에 개시된 바와 같은 실시예에 따라 3GPP 액세스 네트워크, 코어 네트워크 및 제3 자(third party) 도메인을 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개요를 도시하는 개략도이다.
도 4는 본 명세서에 개시된 바와 같은 실시예에 따라 NextGen 홈 네트워크 및 NextGen 방문 네트워크를 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개략도를 도시한다.
도 5는 본 명세서에 개시된 바와 같은 실시예에 따라 NextGen 홈 네트워크 및 NextGen 방문 네트워크를 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개략도를 도시한다.
도 6a는 본 명세서에 개시된 바와 같은 실시예에 따라 RRC를 통한 EAP 및 NG1-C/S1-C를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다.
도 6b는 본 명세서에 개시된 바와 같은 실시예에 따라 NAS를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다.
도 6c는 본 명세서에 개시된 바와 같은 실시예에 따라 PANA/IKEv2를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다.
도 7a는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR(NR Relay) 시나리오에 대해 PC5-C를 통한 EAP, RRC를 통한 EAP 및 NG1-C/S1-C를 통한 EAP를 도시한다.
도 7b는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR 시나리오에 대해 NAS를 통한 EAP를 도시한다.
도 7c는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR 시나리오에 대해 PANA/IKEv2를 통한 EAP를 도시한다.
도 8a는 본 명세서에 개시된 바와 같은 실시예에 따라 초기 어태치 절차(initial attach procedure) 동안의 인증 절차를 도시하는 순차적인 흐름도이다.
도 8b는 본 명세서에 개시된 바와 같은 실시예에 따라 통합된 인증 프레임워크를 지원하기 위해 별개의 인증을 수행하기 위해 수반되는 단계별 절차를 도시하는 순차적인 흐름도이다.
도 9는 본 명세서에 개시된 바와 같은 실시예에 따라 비-인간 IoT 배치에 의해 EAP-TLS를 수행하기 위해 수반된 단계별 절차를 도시하는 순차적인 흐름도이다.
도 10은 본 명세서에 개시된 바와 같은 실시예에 따라 NG1 인터페이스를 사용하는 초기 어태치 절차 동안의 인증 절차를 도시하는 순차적인 흐름도이다.
도 11은 본 명세서에 개시된 바와 같은 실시예에 따라 NG1 인터페이스를 사용하여 비-인간 IoT 배치에 의해 EAP-TLS를 수행하기 위해 수반된 단계별 절차를 도시하는 순차적인 흐름도이다.
도 12는 본 명세서에 개시된 바와 같은 실시예에 따라 키 매핑 절차를 도시한다.
도 13은 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서의 키 분배 흐름을 도시한다.
도 14는 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 장치의 다양한 하드웨어 요소의 블록도이다.
도 15는 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법을 도시하는 흐름도이다.
도 16은 종래 기술에 따른 비-조합된(non-collated) LWA(LTE WLAN Aggregation) 전체 아키텍처의 개략도이다.
도 17은 종래 기술에 따른 배열된(collocated) 시나리오에 대한 LWA 무선 프로토콜 아키텍처의 블록도이다.
도 18a는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB에 의한 WLAN에서 키 변경을 보장하기 위해 WT 해제 및 WT 부가 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 18b는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB에 의한 WLAN에서 키 변경을 보장하기 위해 WT 해제 및 WT 부가 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 19a는 본 명세서의 실시예에 따라 WT가 키 변경을 수행하기 위해 eNB로부터의 인디케이션(indication)을 수신할 때마다 WT에 의해 4-웨이 핸드셰이크(Handshake)를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 19b는 본 명세서의 실시예에 따라 WT가 키 변경을 수행하기 위해 eNB로부터의 인디케이션(indication)을 수신할 때마다 WT에 의해 4-웨이 핸드셰이크(Handshake)를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 20a는 본 명세서에 개시된 바와 같은 실시예에 따라 UE가 키 변경을 수행하기 위해 eNB로부터의 인디케이션을 수신할 때마다 UE에 의해 WLAN 재연관(re-association) 절차를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 20b는 본 명세서에 개시된 바와 같은 실시예에 따라 UE가 키 변경을 수행하기 위해 eNB로부터의 인디케이션을 수신할 때마다 UE에 의해 WLAN 재연관(re-association) 절차를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 21a는 본 명세서에 개시된 바와 같은 실시예에 따라 UE에 의해 키 변경을 수행하기 위해 LTE 키 리프레시/리키잉 시나리오에 기초하여 WLAN 재연관 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 21b는 본 명세서에 개시된 바와 같은 실시예에 따라 UE에 의해 키 변경을 수행하기 위해 LTE 키 리프레시/리키잉 시나리오에 기초하여 WLAN 재연관 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 22a는 본 명세서에 개시된 바와 같은 실시예에 따라 키를 제공함으로써 키 변경을 즉시 수행하기 위한 명시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 22b는 본 명세서에 개시된 바와 같은 실시예에 따라 키를 제공함으로써 키 변경을 즉시 수행하기 위한 명시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 23a는 본 명세서에 개시된 바와 같은 실시예에 따라 키 변경을 즉시 수행하기 위한 암시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 23b는 본 명세서에 개시된 바와 같은 실시예에 따라 키 변경을 즉시 수행하기 위한 암시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다.
도 24는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB에 의한 WLAN 키 업데이트 절차를 결정하고 트리거링하는 방법을 도시하는 흐름도이다.
도 25는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB 및 WT에 의해 WLAN 키 업데이트 절차를 독립적으로 트리거링하는 방법을 도시하는 흐름도이다.
본 명세서의 실시예의 주요 목적은 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법 및 시스템을 제공하는 것이다.
본 명세서의 실시예의 다른 목적은 EAP(Extensible Authentication Protocol) 인증자가 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하는 것이다.
본 명세서의 실시예의 다른 목적은 앵커 키(anchor key) 또는 마스터 키를 더욱 안전하게 처리하기 위해 무선 액세스 네트워크의 코어 네트워크 내의 보안 노드에서 EAP 인증자를 설정하는 것이다.
본 명세서의 실시예의 다른 목적은 NAS(Non-Access Stratum)을 통해 EAP 패킷을 캡슐화하는 것이다.
본 명세서의 실시예의 다른 목적은 RRC(Radio Resource Control)를 통해 EAP 패킷을 캡슐화하는 것이다.
본 명세서의 실시예의 다른 목적은 N2 인터페이스를 통해 EAP 패킷을 캡슐화하는 것이다.
본 명세서의 실시예의 다른 목적은 EAP 인증자가 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하는 것이다.
본 명세서의 실시예의 다른 목적은 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성하는 것이다.
본 명세서의 실시예의 다른 목적은 무선 액세스 네트워크 내의 적어도 하나의 엔티티와 액세스 단말기 사이의 보안 통신을 가능하게 하도록 적어도 하나의 보안을 무선 액세스 네트워크 내의 적어도 하나의 엔티티에 제공하는 것이다.
본 명세서의 실시예의 다른 목적은 이종 무선 액세스 기술 집성(aggregation)에서 보안 키 변경을 수행하는 것이다.
본 명세서의 실시예의 다른 목적은 eNB가 키 변경 절차를 즉시 수행하도록 액세스 단말기에 요청하기 위한 옵션을 제공하는 것이다.
본 명세서의 실시예의 다른 목적은 eNB가 WLAN 설정에 기초하여 키 변경 절차를 나중에 수행하도록 액세스 단말기에 요청하기 위한 옵션을 제공하는 것이다.
본 명세서의 실시예 및 이의 다양한 특징 및 유리한 상세 사항은 첨부된 도면에 도시되고 다음의 설명에서 상세히 설명되는 비제한적인 실시예를 참조하여 더욱 충분히 설명된다. 잘 알려진 구성 요소 및 처리 기술의 설명은 본 명세서의 실시예를 불필요하게 불명료하게 하지 않도록 생략된다. 또한, 일부 실시예가 새로운 실시예를 형성하기 위해 하나 이상의 다른 실시예와 조합될 수 있기 때문에, 본 명세서에 설명된 다양한 실시예는 반드시 상호 배타적이지는 않다. 본 명세서에 사용된 바와 같은 용어 "또는(or)"는 달리 나타내어지지 않는 한 비-배타적 또는(or)을 지칭한다. 본 명세서에서 사용된 예는 단지 본 명세서의 실시예가 실시될 수 있는 방법의 이해를 용이하게 하고, 통상의 기술자가 본 명세서의 실시예를 추가로 실시할 수 있도록 하기 위한 것이다. 따라서, 예는 본 명세서의 실시예의 범위를 제한하는 것으로서 해석되지 않아야 한다.
본 분야에서 통상적인 바와 같이, 실시예는 설명된 기능을 수행하는 블록의 관점에서 설명되고 예시될 수 있다. 본 명세서에서 유닛 또는 모듈 등으로서 지칭될 수 있는 이러한 블록은 논리 게이트, 집적 회로, 마이크로 프로세서, 마이크로 제어기, 메모리 회로, 수동 전자 부품, 능동 전자 부품, 광학 부품, 하드와이어드 회로(hardwired circuits) 등과 같은 아날로그 또는 디지털 회로에 의해 물리적으로 구현되고, 선택적으로 펌웨어 및 소프트웨어에 의해 구동될 수 있다. 회로는, 예를 들어, 하나 이상의 반도체 칩, 또는 인쇄 회로 기판 등과 같은 기판 지지체 상에 구현될 수 있다. 블록을 구성하는 회로는 전용 하드웨어, 또는 프로세서(예를 들어, 하나 이상의 프로그래밍된 마이크로 프로세서 및 연관된 회로), 또는 블록의 일부 기능을 수행하기 위한 전용 하드웨어와 블록의 다른 기능을 수행하기 위한 프로세서의 조합에 의해 구현될 수 있다. 실시예의 각각의 블록은 본 발명의 범위로부터 벗어나지 않고 물리적으로 2개 이상의 상호 작용하는 블록 및 별개의 블록으로 분리될 수 있다. 마찬가지로, 실시예의 블록은 본 발명의 범위로부터 벗어나지 않고 더 복잡한 블록으로 물리적으로 조합될 수 있다.
첨부된 도면은 다양한 기술적 특징을 용이하게 이해하도록 돕기 위해 사용되며, 본 명세서에 제시된 실시예는 첨부된 도면에 의해 제한되지 않는다는 것이 이해되어야 한다. 이와 같이, 본 개시는 특히 첨부된 도면에 제시된 것에 부가하여 임의의 변경, 균등물 및 대체물로 확장되는 것으로 해석되어야 한다. 용어 제1(first), 제2(second) 등은 본 명세서에서 다양한 요소를 설명하기 위해 사용될 수 있지만, 이러한 요소는 이러한 용어에 의해 제한되지 않아야 한다. 이러한 용어는 일반적으로 하나의 요소를 다른 요소와 구별하기 위해서만 사용된다.
용어 사용자 장치(UE), 액세스 단말기(AT), NextGen UE(N-UE)는 본 개시에서 교환 가능하게 사용된다. 용어 SEAF 유닛, SEAF 엔티티 및 SEAF는 본 개시에서 교환 가능하게 사용된다. 용어 AUSF 유닛, AUSF 엔티티 및 AUSF는 본 개시에서 교환 가능하게 사용된다. 용어 ARPF 유닛, ARPF 엔티티, ARPF 및 UDM(Unified Data Management) 엔티티는 본 개시에서 교환 가능하게 사용된다. 용어 UPF 유닛, UPF 엔티티 및 UPF는 본 개시에서 교환 가능하게 사용된다. 용어 SMF 유닛, SMF 엔티티 및 SMF는 본 개시에서 교환 가능하게 사용된다. 용어 MMF 유닛, MMF 엔티티, MMF, 코어 액세스 및 이동성 관리 기능(Access and Mobility Management Function, AMF) 엔티티, AMF 유닛 및 AMF는 본 개시에서 교환 가능하게 사용된다.
본 명세서에서, 코어 네트워크(core network, CN)는 NR(new radio) 또는 NG-RAN(NG Radio Access Network)을 지원하기 위해 새로운 NextGencore와 향상된 EPC를 모두 지칭하며, 이는 본 명세서 전반에 걸쳐 교환 가능하게 사용된다. EPC 내의 CP-AU 등가 노드는 본 명세서에서 MME이다. 용어 CP-AU 노드, AMF(Authentication Management Field) 엔티티 및 SEAF 엔티티는 본 개시에서 교환 가능하게 사용된다. 본 명세서에서, 인증은 1차 인증을 지칭한다. 1차 인증 절차의 목적은 AT와 코어 네트워크 사이의 상호 인증을 가능하게 하고, 후속 보안 절차에서 AT와 코어/무선 네트워크 사이에 사용되는 필요한 키 material을 제공하는 것이다. 본 명세서에서, 제3 자 도메인 인증은 2차 인증을 지칭한다.
본 명세서의 실시예는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법을 개시한다. 방법은 EAP(Extensible Authentication Protocol) 인증자가 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기로부터 캡슐화된 EAP 패킷을 수신하는 단계를 포함한다. EAP 패킷은 NAS(Non-Access Stratum) 프로토콜, RRC(Radio Resource Control) 프로토콜 및 N12 인터페이스 중 적어도 하나를 통해 캡슐화된다. EAP 인증자는 무선 액세스 네트워크의 코어 네트워크에 있는 보안 노드에 위치된다. 더욱이, 방법은 EAP 인증자(1차 인증)에 의해 네트워크 액세스 가입 및 액세스 단말기의 서비스 중 적어도 하나를 인증하는 단계를 포함한다.
종래의 방법과는 달리, 제안된 발명은 RRC(radio resource control), S1 및 NG1-C 시그널링 메시지에서 EAP 메시지, TLS, AKA, PANA(새로운 메시지 및 절차)와 같은 인증 프로토콜 메시지를 반송하는 조항(provision)을 제공한다. 허용 가능한 레벨의 보안 및 효과적인 키 처리를 갖기 위해, 코어 네트워크 내에 있을 인증자는 통상적인 EAP 프레임워크에서 무선 액세스 네트워크(RAN) 내의 제1 노드와 같지 않다. 더욱이, 제안된 애플리케이션에서, NR은 NextGen 코어 내의 인증자에게 인증 메시지를 릴레이한다. 더욱이, 제안된 발명에서, 상이한 네트워크 엔티티 사이에 키를 반송하기 위해 SEAF/AMF와 gNB 또는 N3IWF(non-3GPP Interworking Function) 사이의 N2 인터페이스, 및 SEAF/AMF와 SMF 메시지 사이의 N11 인터페이스에서의 조항이 있다.
기존 시스템과 기존 방법에서 이동성 관리 및 세션 관리 시그널링 절차의 일부로서 인증을 수행하는 것과 달리, 제안된 방법은 통합된 인증 프레임워크를 지원하기 위해 별개의 인증을 수행한다. 제안된 방법은 보안 컨텍스트 설정 전에 프라이버시 정보를 보내는 것을 피하기 위해 사용될 수 있다. 인증 절차를 수행함으로써, AT 및 SEAF/AMF는 보안 컨텍스트를 설정하고, NAS, AS 및 또한 사용자 평면 트래픽의 보안(Integrity Protection 및/또는 Encryption/Ciphering)을 시작할 수 있다. 인증이 수행되면, AT는 서비스를 요청하거나 네트워크 슬라이스 정보를 AMF에 제공한다. 대안으로, AMF/SEAF는 인증을 수행한 다음, 별개의 NAS 메시지에서 AT로부터의 민감 정보 또는 (NSSAI(Network Slice Selection Assistance information)와 같은) 파라미터를 요청하고, 이에 응답하여 AT는 민감 정보 또는 파라미터에 보호(Integrity Protection 및/또는 Encryption/Ciphering)를 제공한다.
제안된 방법은 코어 네트워크로부터 인증 성공 메시지를 수신할 때까지 UE와 코어 네트워크 사이에 긴급 호 메시지, 인증 프로토콜 및 관련된 시그널링 메시지만을 허용한다.
이제 도면, 특히 도 1 내지 도 15 및 도 18 내지 도 25를 참조하면, 바람직한 실시예가 도시된다.
도 1은 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템(1000a)의 개요를 도시하는 개략도이다.
도 1을 참조하면, 일 실시예에서, 시스템(1000a)은 액세스 단말기(AT)(100), 액세스 네트워크(200) 및 코어 네트워크(300)를 포함한다. 일 실시예에서, 코어 네트워크(300)는 EAP 인증자(302) 및 AAA/EAP 서버(304)를 포함한다. AT(100)는 예를 들어, 셀룰러 폰, 태블릿, 스마트 폰, 랩탑, PDA(Personal Digital Assistant), 글로벌 포지셔닝 시스템, 멀티미디어 디바이스, 비디오 디바이스, 게임 콘솔 등일 수 있지만, 이에 한정되지 않는다.
AT(100)는 또한 통상의 기술자에 의해 사용자 장치(UE), 이동국, 가입자국, 모바일 유닛, 가입자 유닛, 무선 유닛, 원격 유닛, 모바일 디바이스, 무선 디바이스, 무선 통신 디바이스, 모바일 가입자국, 액세스 단말기, 모바일 단말기, 무선 단말기, 원격 단말기, 핸드셋, 사용자 에이전트, 모바일 클라이언트 등으로서 지칭될 수 있다. AT(100)는 5G 네트워크 내에서 통신함으로써 다중 모드 디바이스로서 동작할 수 있는 다수의 상이한 통신 프로토콜에 순응한다.
액세스 단말기(100)는 제1 무선 액세스 네트워크에 있다. EAP 인증자(302)는 액세스 네트워크(200)를 통해 액세스 단말기(100)와 통신한다. EAP 인증자(302)는 제2 코어 네트워크의 안전한 위치에 위치된다. EAP 인증자(302)는 고속 패킷 데이터 무선 링크를 통해 액세스 단말기(100)로부터 캡슐화된 EAP 패킷을 수신하도록 설정된다.
일 실시예에서, EAP 패킷은 NAS 프로토콜을 통해 캡슐화된다. 일 실시예에서, EAP 패킷은 RRC 프로토콜을 통해 캡슐화된다. 일 실시예에서, EAP 패킷은 N12 인터페이스를 통해 캡슐화된다.
일 실시예에서, EAP 패킷은 S1-C를 통해 캡슐화된다. 일 실시예에서, EAP 패킷은 IKEv2를 통해 캡슐화된다. 일 실시예에서, EAP 패킷은 PANA를 통해 캡슐화된다.
더욱이, EAP 인증자(302)는 네트워크 액세스 가입 및 액세스 단말기(100)의 서비스 중 적어도 하나를 인증하도록 설정된다.
액세스 단말기(100) 및 액세스 단말기(100)의 서비스 중 적어도 하나를 인증한 후, EAP 인증자(302)는 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성하도록 설정된다. 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성한 후, EAP 인증자(302)는 무선 액세스 네트워크 내의 적어도 하나의 엔티티와 액세스 단말기(100) 사이의 보안 통신을 가능하게 하기 위해 적어도 하나의 생성된 보안 콘텐츠를 무선 액세스 네트워크 내의 적어도 하나의 엔티티에 제공하도록 설정된다.
일 실시예에서, EAP 패킷은 EAP 캡슐화 프로토콜을 사용하여 캡슐화되며, EAP 캡슐화 프로토콜은 N1 시그널링 프로토콜, NAS 프로토콜, 및 AT(100)와 SEAF(도시되지 않음) 사이의 시그널링 프로토콜 중 적어도 하나를 포함한다.
일 실시예에서, 보안 노드는 SEAF, AMF 및 AUSF 중 적어도 하나이다.
일 실시예에서, 무선 액세스 네트워크(200) 내의 엔티티는 EAP 패킷을 액세스 단말기(100)로부터 EAP 인증자(302)로 릴레이한다.
일 실시예에서, 제2 코어 네트워크는 제1 무선 액세스 네트워크와 상이하다.
일 실시예에서, 제2 무선 액세스 네트워크는 제1 무선 액세스 네트워크의 차세대 코어 네트워크이다.
일 실시예에서, EAP 인증자(302)는 AMF 엔티티를 통해 액세스 단말기(100)를 인증하도록 설정되며, AMF 엔티티는 인증을 수행하기 위해 AAA/EAP 서버(304)(즉, AUSF 엔티티)와 인터페이스한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 보안 종료는 무선 액세스 네트워크 엔티티 및 AMF/SEAF 엔티티(도시되지 않음)에 의해 수행된다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되고, 여기서 보안 종료는 AMF에 의해 수행되고, AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 인증이 SEAF/AMF에 의해 개시되는 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배된다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되고, 여기서 인증은 SEAF에 의해 개시되고, AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 AMF/SEAF에 의한 적절한 EAP 서버로의 EAP 패킷의 라우팅에 의해 5G 네트워크 시스템의 상이한 엔티티 사이에 분배된다.
일 실시예에서, EAP 인증자 기능은 SEAF에 의한 적절한 EAP 서버로의 EAP 패킷의 라우팅에 의해 5G 네트워크 시스템의 상이한 엔티티 사이에 분배되며, 여기서 AMF 및 SEAF는 별개의 엔티티이다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 SEAF는 마스터 또는 앵커 키를 수신하고, 추가의 키를 도출하며, 키를 다른 네트워크 엔티티에 분배한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 AMF 엔티티는 액세스 기술 특정 EAP 캡슐화 프로토콜 및 Diameter/Radius 프로토콜의 브리징(bridging)을 수행한다.
일 실시예에서, EAP 인증자 기능은 5G 네트워크 시스템 내의 상이한 엔티티 사이에 분배되며, 여기서 AT(100)의 액세스 제어가 무선 액세스 네트워크 엔티티(gNB)에 의해 수행된다.
일 실시예에서, 등록 절차는 AT(100)가 유효한 보안 컨텍스트를 갖지 않거나 AT(100)가 인증 절차만을 수행할 필요가 있을 때 네트워크로 AT(100)에 의한 인증 절차를 트리거링하는데 사용된다. 등록 절차는 다음의 것: 초기 등록 및 인증 절차 중 하나로서의 등록 타입을 포함한다.
일 실시예에서, 키는 AT(100)가 네트워크 액세스를 요청할 때 네트워크 엔티티에 의해 SEAF로부터 인출된다.
도 1은 시스템(1000a)의 제한된 개요를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 시스템(1000a)은 서로 통신하는 임의의 수의 하드웨어 또는 소프트웨어 구성 요소를 포함한다. 예시로서, 디바이스 상에서 실행되는 애플리케이션과 디바이스 자체는 둘 다 하나의 구성 요소일 수 있다.
도 2는 본 명세서에 개시된 바와 같은 실시예에 따라 3GPP 액세스 네트워크, 코어 네트워크(300) 및 비-3GPP 액세스 네트워크를 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템(1000b)의 개요를 도시하는 개략도이다.
도 2를 참조하면, 일 실시예에서, 시스템(1000b)은 한 세트의 액세스 단말기(AT)(100a 및 100b), 액세스 네트워크(200), 액세스 포인트(400), EAP 인증자(302), AAA/EAP 서버(304) 및 CP-SM(SMF)/MM(AMF)(306)을 포함한다. AT(100a)는 액세스 네트워크(200)와 통신하고, AT(100b)는 비-3GPP 액세스 네트워크(즉, WLAN)에서 액세스 포인트(400)와 통신한다.
일 실시예에서, NextGen 시스템에 대한 EAP 기반 인증 프레임워크는 EPC(Evolved Packet Core) 및/또는 NextGen(Next Generation) 코어에 액세스하기 위해 상이한 액세스 시스템에 대한 통합된 인증 프레임워크를 갖는 것으로서 제안된다. NextGen 코어의 AAA/EAP 서버(304)(AUSF)는 상이한 무선 액세스 기술(RAT)과, 또한 UE 벤더, 프로비저닝을 위한 공장 서버, 애플리케이션 레벨 인증 및 유지 보수(maintenance)와 같은 상이한 스테이크 홀더(stake holder)에 의해 사용된다. RFC 3748에 정의된 인증자 기능은 이동 중 키 처리(예를 들어, 인트라/인터 PLMN(Public Land Mobile Network Hand-Over))를 지원하고, 또한 상이한 키 종료 지점을 더욱 안전한 방식으로 지원하도록 코어 네트워크에 위치된다. N-RAN(NextGen RAT) 또는 NR 액세스 기술 또는 LTE 액세스 기술(eNB) 및 인증자(302)는 AT(100)로부터의 EAP 메시지를 인증 서버(304)로 릴레이한다.
도 2는 NextGen 시스템에 대한 인증 프레임워크를 도시한다. 상호 인증은 UE(100)와 AAA/EAP 서버(304) 사이에서 수행된다. AAA 서버(304)는 인증 크리덴셜 및 가입 상세 사항을 검색하도록 홈 가입자 서버(Home Subscriber Server, HSS)(304)와 인터페이스할 수 있다. 기존의 메커니즘과 달리, 인증 메커니즘은 이동성 관리 및 세션 관리 시그널링과 구분된다. 성공적인 상호 인증 후에, CP-AU 노드(306)는 통신 보호(인터페이스 보호)를 위해 보안 컨텍스트(보안 키)를 NR 엔티티 및 다른 코어 네트워크 엔티티에 제공한다.
도 2는 시스템(1000b)의 제한된 개요를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 시스템(1000b)은 서로 통신하는 임의의 수의 하드웨어 또는 소프트웨어 구성 요소를 포함한다. 예시로서, 디바이스 상에서 실행되는 애플리케이션과 디바이스 자체는 둘 다 하나의 구성 요소일 수 있다.
도 3은 본 명세서에 개시된 바와 같은 실시예에 따라 3GPP 액세스 네트워크, 코어 네트워크(300) 및 제3 자 도메인을 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템(1000c)의 개요를 도시하는 개략도이다.
도 3을 참조하면, 시스템(1000c)은 액세스 단말기(100), 액세스 네트워크(200), EAP 인증자(302), 한 세트의 AAA/EAP 서버(304a 및 304b) 및 CP-SM(SMF)/MM (AMF)(306)을 포함한다. AAA 서버(304a)는 코어 네트워크에 위치된다. AAA 서버(304b)는 제3 자 도메인에 위치된다. 액세스 단말기(100), 액세스 네트워크(200), EAP 인증자(302), AAA 서버(304a 및 304b) 및 CP-SM/MM(306)의 동작 및 기능은 도 1 및 도 2와 함께 설명된다.
EPC/NextGen 코어 내의 AAA 서버(304a)를 통한 EAP 메시지: 일 실시예에서, Next Gen 코어 및/또는 EPC 내의 AAA 서버(304a)는 AAA 프록시의 역할을 하고, EAP 페이로드를 적절한 제3 자 AAA 서버(304b)로 포워딩(forwarding)한다. 이러한 시나리오에 대한 인증자는 (도 3에 도시된 바와 같이) 애플리케이션 서버 또는 CP-AU일 수 있고, 이는 Next Gen 시스템(AAA 프록시 이전)에 있다. AAA 서버(304a)는 UE 아이덴티티(예를 들어, IMSI/IMEI) 및/또는 UE에 의해 제공된 애플리케이션/서비스 정보(예를 들어, 도메인 이름, 서비스 요청, 서비스 요청 ID)에 기초하여 적절한 제3 자 서버를 식별한다.
인증자를 통한 EAP 메시지: 일 실시예에서, 인증자(302)는 NextGen UE(N-UE)에 의해 네트워크에 제공되는 아이덴티티를 사용함으로써 제3 자 AAA/EAP 서버(304b)를 사용하여 제3 자 인증(2차 인증)을 식별하고, 이에 따라 EAP 인증을 개시한다. CP-AU/MME/SMF는 이러한 시나리오에 대한 인증자의 역할을 한다.
NR에 의한 EAP 릴레이: 일 실시예에서, NR은 제3 자 AAA 서버(304b)에 직접 연결한다. NR은 이러한 시나리오에 대한 인증자의 역할을 한다. UE에 의해 제공되는 ID 및/또는 UE에 의해 제공되는 애플리케이션/서비스 정보(예를 들어, 도메인 이름, 서비스 요청, 서비스 요청 ID)에 기초하여 제3 자 AAA 서버(304b)를 해결한다.
도 3은 시스템(1000c)의 제한된 개요를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 시스템(1000c)은 서로 통신하는 임의의 수의 하드웨어 또는 소프트웨어 구성 요소를 포함한다. 예시로서, 디바이스 상에서 실행되는 애플리케이션과 디바이스 자체는 둘 다 하나의 구성 요소일 수 있다.
도 4 및 도 5는 본 명세서에 개시된 바와 같은 실시예에 따라 NextGen 홈 네트워크 및 NextGen 방문 네트워크를 포함하는 모바일 무선 네트워크 시스템에서 액세스를 인증하는 시스템의 개략도를 도시한다.
도 4를 참조하면, 시스템(1000d)은 액세스 단말기(100a 및 100b)의 세트, 액세스 네트워크(200a 및 200b), 한 세트의 SEAF(Security Anchor Function) 유닛(308a 및 308b)(SEAF의 공통 라벨은 308임), 한 세트의 AUSF(Authentication Server Function) 유닛(310a 및 310b)(AUSF의 공통 라벨은 310임), 한 세트의 ARPF(Authentication Credential Repository and Processing Function) 유닛(312a 및 312b)(ARPF의 공통 라벨은 312임), 한 세트의 UPF(User Plane Function) 유닛(314a 및 314b)(UPF의 공통 라벨은 314임), 한 세트의 SMF(Session Management Function) 유닛(316a 및 316b)(SMF의 공통 라벨은 316임), 한 세트의 MMF 유닛(318a 및 318b)(MMF의 공통 라벨은 318임)을 포함한다. 일 실시예에서, SEAF 및 MMF는 동일 위치에 배치된다.
일 실시예에서, 상호 인증은 SEAF(308)(즉, 인증자)를 통해 NextGen UE와 AUSF(310)(즉, EAP 서버) 사이에서 수행된다. SEAF(308)는 인증을 수행하기 위해 AUSF(310)와 인터페이스한다. SEAF(308)는 인증 요청을 적절한 AUSF로 라우팅하기 위한 관련 정보로 설정된다. AUSF(310)는 인증 정보 및 가입 상세 사항을 검색하기 위해 ARPF(312)와 인터페이스한다. 인증 시그널링은 방문 네트워크에서의 AUSF 프록시를 통과한다. NextGen UE는 인증 절차를 위해 NR을 통해 SEAF(308)와 인터페이스한다.
3GPP 시스템의 기존의 메커니즘과 달리, NextGen 시스템 인증 절차는 이동성 관리 및 세션 관리 절차와 구분된다. 인증 절차를 독립적으로 수행하면 CN/AN의 분리 및 독립적 진화가 가능하며, 또한 네트워크에서의 MM 및 SM 기능으로부터의 인증 서버 기능의 분리를 지원함으로써, 필요한 경우 MM 및 SM 기능이 NR쪽으로 이동될 수 있다.
성공적인 상호 인증 후에, SEAF(308)는 AUSF(310)로부터 keying material을 획득하고, 통신 보호를 위해 보안 컨텍스트를 NR 엔티티 및 다른 코어 네트워크 엔티티에 제공한다. NextGen UE는 성공적인 인증 및 보안 연관 설정 절차 후에 이동성 관리 및 세션 관리 절차를 수행한다.
일 실시예에서, RRC 및 NG2 시그널링 프로토콜은 UE(100)와 SEAF(308) 사이에 EAP 페이로드를 캡슐화한다. NR 액세스 네트워크는 EAP 페이로드에 대한 릴레이 기능을 수행한다. NR은 인증되지 않은 NextGen UE로부터 패킷의 필터링을 처리한다. NR이 코어 네트워크(300)로부터 보안 컨텍스트를 수신할 때까지 NR은 EAP 메시지만이 통과하도록 한다.
다음에는, 코어 네트워크(300)에서의 4개의 인증 관련 기능이 정의된다:
ARPF 유닛(312): ARPF 유닛(312)은 인증에 사용된 장기(long-term) 보안 크리덴셜을 저장하고, 장기 보안 크리덴셜을 입력으로서 사용하는 임의의 암호 알고리즘을 실행한다. ARPF 유닛(312)은 또한 가입자 프로파일(보안 관련 부분)을 저장한다. ARPF 유닛(312)은 오퍼레이터의 홈 네트워크 또는 제3 자 시스템 내의 보안 환경에 상주해야 하며, 이는 허가되지 않은 물리적 액세스에 노출되지 않는다. ARPF 유닛(312)은 AUSF 유닛(310)과 상호 작용한다.
일 실시예에서, 장기간 보안 크리덴셜은 EPS AKA 또는 EAP-AKA의 키 K와 같은 공유된 영구 비밀을 포함한다.
AUSF 유닛(310): 인증 기능은 ARPF 유닛(312)과 상호 작용하고, SEAF 유닛(308)으로부터의 요청을 종료시킨다. ARPF(312)는 UDM(Unified Data Management) 또는 UDM(Unified Data Management)의 일부이다.
일 실시예에서, AUSF 유닛(310)은 또한 인증 메시지를 포워딩하는 AAA 프록시의 역할을 가정할 수 있다.
SEAF 유닛(308): 일 실시예에서, 코어 네트워크 내의 인증 기능은 AUSF 유닛(310) 및 NG-UE와 상호 작용하고, AUSF 유닛(310)으로부터 NG-UE 인증 프로세스의 결과로서 설정되는 중간/앵커 키를 수신한다. SEAF 유닛(308)은 또한 예를 들어 초기 어태치(Attach) 중에 SCMF와 함께 이동성 관리(Mobility Management, MM) 기능과 상호 작용한다.
SCMF 유닛: SCMF 유닛은 SEAF(308)로부터 추가의(예를 들어, 액세스 네트워크 특정) 키를 도출하는데 사용하는 키를 수신한다. SCMF 유닛은 허가되지 않은 물리적 액세스에 노출되지 않는 오퍼레이터의 네트워크의 보안 환경에 상주해야 한다. 로밍의 경우에, SCMF 유닛은 방문 네트워크에 상주한다.
SPCF 유닛: SPCF 유닛은 보안 정책 협상(negotiation), 예를 들어 UP 보호 협상에 적용 가능한 서비스 애플리케이션에 기초한 보안 정책을 제공한다. 보안 정책 협상은 다음의 정보: UE(100)의 보안 능력, 네트워크/네트워크 슬라이스의 보안 능력 및 서비스 애플리케이션에 기초한 보안 정책에 기초할 수 있다. SPCF 유닛은 서비스 애플리케이션에 기초한 보안 정책을 네트워크 엔티티(예를 들어, SMF, AMF) 및/또는 UE(100)에 분배할 수 있다. SPCF 유닛은 오퍼레이터의 네트워크의 보안 환경에 상주해야 하며, 이는 허가되지 않은 물리적 액세스에 노출되지 않는다. SPCF는 독립형이거나 PCF와 동일 위치에 배치되며, SPCF가 PCF와 동일 위치에 배치되면, 서비스 애플리케이션에 기초한 보안 정책은 PCF와 AF 사이의 NG5 인터페이스를 통해 검색될 수 있다.
도 4는 시스템(1000d)의 제한된 개요를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 시스템(1000c)은 서로 통신하는 임의의 수의 하드웨어 또는 소프트웨어 구성 요소를 포함한다. 예시로서, 디바이스 상에서 실행되는 애플리케이션과 디바이스 자체는 둘 다 하나의 구성 요소일 수 있다.
도 5를 참조하면, 시스템(1000e)은 액세스 단말기(100a 및 100b)의 세트, 액세스 네트워크(200a 및 200b), SEAF 유닛(308a 및 308b)의 세트, AUSF 유닛(310a 및 310b)의 세트, ARPF 유닛(312a 및 312b)의 세트, UPF 유닛(314a 및 314b)의 세트, SMF 유닛(316a 및 316b)의 세트 및 MMF 유닛(318a 및 318b)의 세트를 포함한다. 액세스 단말기(100a 및 100b)의 세트, 액세스 네트워크(200a 및 200b), SEAF 유닛(308a 및 308b)의 세트, AUSF 유닛(310a 및 310b)의 세트, ARPF 유닛(312a 및 312b)의 세트, UPF 유닛(314a 및 314b)의 세트, SMF 유닛(316a 및 316b)의 세트 및 MMF 유닛(318a 및 318b)의 세트의 동작 및 기능은 도 4와 함께 설명된다.
일 실시예에서, 상호 인증은 MMF 유닛(318) 및 SEAF 유닛(308)을 통해 NextGen UE와 AUSF 유닛(310) 사이에서 수행된다. SEAF 유닛(308)은 인증을 수행하기 위해 AUSF 유닛(310)과 인터페이스한다. SEAF 유닛(308)은 인증 요청을적 절한 AUSF로 라우팅하기 위한 관련 정보로 설정된다. AUSF 유닛(310)은 인증 정보 및 가입 상세 사항을 검색하기 위해 ARPF(312)와 인터페이스한다.
3GPP 시스템의 기존의 메커니즘과 달리, NextGen 시스템 인증 절차는 초기 어태치 절차 동안 이동성 관리 절차와 함께 수행된다. 성공적인 상호 인증 후에, SEAF 유닛(308)은 AUSF(310)로부터 keying material을 획득하고, 통신 보호를 위해 보안 컨텍스트를 NR 엔티티 및 다른 코어 네트워크 엔티티에 제공한다. UP 보안이 UE와 UPF(314) 사이에서 종료되면, UP을 보호하기 위한 키 KUP는 SMF(316)를 통해 MMF(318)에 의해 UPF(314)에 제공된다.
일 실시예에서, (NG1을 통한) NAS 시그널링 프로토콜은 UE와 SEAF 사이에 EAP 페이로드를 캡슐화한다. NR 액세스 네트워크는 EAP 페이로드에 대한 릴레이 기능을 수행한다. NR은 인증되지 않은 NextGen UE로부터 패킷의 필터링을 처리한다. NR이 코어 네트워크(300)로부터 보안 컨텍스트를 수신할 때까지 NR은 EAP 메시지만이 통과하도록 한다.
도 5는 시스템(1000e)의 제한된 개요를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 시스템(1000c)은 서로 통신하는 임의의 수의 하드웨어 또는 소프트웨어 구성 요소를 포함한다. 예시로서, 디바이스 상에서 실행되는 애플리케이션과 디바이스 자체는 둘 다 하나의 구성 요소일 수 있다.
도 6a는 본 명세서에 개시된 바와 같은 실시예에 따라 RRC를 통한 EAP 및 NG1-C/S1-C를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다. CP-AU 노드(306) 및/또는 MME는 인증자 기능을 수행한다. 도 6a에 도시된 바와 같이, N-RAN(NR)에서 2개의 EAP 하위 계층 캡슐화 프로토콜 및 브리징 기능이 필요하다. RRC 및 NG1-C 시그널링 프로토콜은 UE(100)와 CP-AU 노드(306) 사이에 EAP 페이로드를 캡슐화한다. NR 액세스 네트워크는 EAP 페이로드에 대한 브리지/릴레이 기능을 수행한다. 일 실시예에서, PDCP(Packet Data Convergence Protocol)을 통한 EAP는 또한 (PDCP 헤더가 사용자 평면 페이로드로서 반송되는 경우에 페이로드로서 EAP를 나타내기 위한 정보를 반송한다면) 수행되거나 인증 파라미터는 RRC와 동일한 계층에서 PDCP를 통해 반송된다. 이 경우에, RRC와 같은 계층은 인증 컨테이너(authentication container)라고 부를 수 있다.
다른 실시예에서, 인증 컨테이너는 UE(100)와 NR 사이의 인터페이스 및 NR과 코어 네트워크(NG1-C 또는 S1-C 또는 S1-MME일 수 있음) 사이의 인터페이스를 통해 반송될 수 있다. 하나의 가능성은 (CP-AU 노드(306)와 다른 네트워크 엔티티(CP-xx, xx는 이동성 관리 및/또는 세션 관리 엔티티일 수 있음) 사이의) 네트워크 인터페이스 프로토콜 또는 네트워크 엔티티(CP-AU 내지 CP-xx) 사이의 키 분배를 위한 Diameter 프로토콜을 사용하는 것이다. NR은 (보안 컨텍스트가 인에이블될 때까지) 액세스 제어를 수행하지 않을 것이며, 이는 NR이 CP-AP 노드(306)가 코어 네트워크(300)로부터 인증 성공 메시지를 수신할 때까지 UE(100)와 코어 네트워크(300) 사이에 긴급 호 메시지, 인증 프로토콜(컨테이너) 및 관련된 시그널링 메시지만을 허용한다는 것을 의미한다. 도 6a에 도시된 바와 같이, STCP(Stream Control Transmission Protocol) 프로토콜은 전송 계층에서 사용되며, 터널링 프로토콜(예를 들어, GTP-C)과 함께 임의의 전송 계층 프로토콜이 사용될 수 있다는 것이 주목되어야 한다.
도 6b는 본 명세서에 개시된 바와 같은 실시예에 따라 NAS를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다. 도 6b에 도시된 바와 같이, NAS 프로토콜은 EAP 페이로드를 캡슐화한다. MSK는 KASME처럼 추가의 키를 생성하는데 사용된다. 다른 실시예에서, CP-AU 노드(예를 들어, SEAF/AMF(306)) 및/또는 MME는 인증자 기능을 수행한다. CP-AU 노드는 (CP-AU 노드가 독립형 물리적 엔터티인 경우에도) NAS 프로토콜을 지원한다. 이는 EAP 캡슐화 프로토콜의 수를 감소시킨다.
EAP 인증자(302)의 주요 기능은 (1) 인증 및 액세스 제어의 개시(인증되지 않은 UE 액세스의 차단), (2) 적절한 EAP 서버에 대한 EAP 패킷의 라우팅, (3) 액세스 기술 특정 EAP 캡슐화 프로토콜 및 Diameter/Radius 프로토콜의 브리징, (4) 통신 보호를 위해 EAP 서버로부터 마스터/앵커 키를 수신하는 것, 및 (5) UE(100)에 대한 네트워크에 보안 종료점을 제공하는 것이다.
인증자는 앵커 키를 수신하고, 무선 액세스 네트워크(무선 인터페이스)를 보호할 책임이 있으므로, 효율을 위해, 인증자는 종래 기술의 보안 종료를 위해 항상 에지(edge)에 배치된다. RFC 3748의 설명과 함께, EAP 인증자(302)에 대한 5G 시스템에서의 명백한 엔티티는 gNB이다. 그러나, gNB에서 인증자 기능을 가지면, gNB가 오퍼레이터의 보안 도메인에 있지 않고, 다음과 같은 5G 보안 아키텍처 결정을 충족시키지 못하기 때문에 3GPP 시스템의 보안 레벨이 감소될 것이다: (1) 마스터 키는 안전하지 않은 위치로 노출되지 않아야 하고, (2) 다중 보안 종료점은 UE(100)와 네트워크 엔티티 사이의 상이한 인터페이스(UE(100)와 gNB/UPF 사이의 UP 보호, UE(100)와 gNB 사이의 Access Stratum 보호, 및 또한 UE(100)와 AMF 사이의 Non-Access Stratum 시그널링 보호)에 기초하고, (3) 많은 보안 종료점이 있기 때문에 보안 키 도출 (security key derivation)은 허용 가능한 보안 레벨을 갖기 위해 효율을 위한 네트워크 계층의 상위 레벨에서 발생해야 하며, (4) 마스터 키가 모든 통신 보호를 위해 사용되므로, NAS는 (NAS가 NAS 보호를 위해 (안전하지 않은 위치에서) gNB로부터 키를 획득할 수 없기 때문에) 키 분배(key distribution)를 처리해야 한다.
더욱이, 위에서 나열된 아키텍처 결정에 기초하여, 보안 레벨을 증가시키기 위해, 인증자는 종래 기술에서와 같이 안전하지 않은 위치(gNB)에서 네트워크의 에지에 배치될 수 없다. 따라서, 5G 시스템을 위한 EAP 프레임워크를 채택하기 위해, 인증자의 기능은 상이한 5G 네트워크 엔티티 사이에서 분할된다. gNB가 네트워크 액세스를 위한 제1 노드이므로, 인증자 기능(액세스 제어)은 gNB와 함께 이루어진다. 인증 개시 기능은 SEAF/AMF가 보안 컨텍스트를 관리하므로 SEAF/AMF에 의해 수행된다. 다른 엔티티(특히 gNB)가 AUSF를 해결할 수 없으므로, AUSF(EAP 서버)의 식별은 SEAF(인증자 기능 EAP 패킷의 라우팅)에 의해 수행된다. NAS는 SEAF/AMF에서 종료하므로, 브리징은 SEAF/AMF에 의해 수행된다. AUSF로부터 키를 수신하는 주요 기능은 SEAF에 의해 수행된다. SEAF는 추가의 키를 도출하여 다수의 보안 종료점에 분배한다. 5G(NR, MMF)에는 다수의 보안 종료점이 있다.
도 6c는 본 명세서에 개시된 바와 같은 실시예에 따라 PANA/IKEv2를 통한 EAP에 기초한 EAP 기반 인증 프레임워크를 도시한다. PANA 또는 IKEv2 프로토콜은 EAP를 UE(100)로부터 CP-AU/MME로 반송하는데 사용된다. PANA/IKEv2를 통한 EAP에 대해, 인증은 IP 주소 할당 후에 수행된다.
도 7a는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR(NR Relay) 시나리오에 대해 PC5-C를 통한 EAP, RRC를 통한 EAP 및 NG1-C/S1-C를 통한 EAP를 도시한다. 도 7a에서, NRR(NR Relay) 시나리오에서, PC5 시그널링 프로토콜은 PC5 인터페이스에서 EAP 페이로드를 캡슐화한 다음, 릴레이 노드의 RRC 프로토콜은 Uu 인터페이스에서 EAP 메시지를 캡슐화한다. 릴레이 노드(RN)와 NR은 브리지 기능을 수행한다.
도 7b는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR 시나리오에 대해 NAS를 통한 EAP를 도시한다. 도 7b에서, NAS는 EAP 페이로드를 캡슐화하고, 릴레이 노드는 NAS/CN 시그널링 메시지의 RRC 스위칭을 수행한다. 이러한 대안은 CP-AU 노드(306)에서의 NAS 프로토콜(즉, 보안 기능 엔티티)의 지원을 필요로 한다.
도 7c는 본 명세서에 개시된 바와 같은 실시예에 따라 NRR 시나리오에 대해 PANA/IKEv2를 통한 EAP를 도시한다. 도 7c에서, IP 기반 라우팅은 EAP 메시지를 릴레이하도록 릴레이 노드에 의해 수행된다.
도 8a는 본 명세서에 개시된 바와 같은 실시예에 따라 초기 어태치 절차 동안의 인증 절차를 도시하는 순차적인 흐름도이다. NextGen UE(즉, AT(100))는 NR(800)로 RRC 연결 설정 절차를 수행한다(802a). RRC 연결 설정 후에, NextGen UE는 어태치/서비스 요청 메시지를 송신함으로써 MMF(318)로 어태치 절차를 개시한다(804a). NextGen UE는 어태치/서비스 요청 메시지와 함께 아이덴티티를 포함한다.
NextGen UE로부터 어태치 요청 메시지를 수신하면, MMF(318)와 함께 이용 가능한 보안 컨텍스트가 없다면, MMF(318)는 키 요청 메시지를 SEAF(308)로 송신한다(806a).
일 실시예에서, SEAF가 컨텍스트를 갖지 않으면, 메시지(824a)까지 다음의 절차가 수행된다. SEAF(308)는 Auth1_Req 메시지를 AUSF(310)에 송신한다(808a). Auth1_Req 메시지에 기초하여, AUSF(310)는 ARPF_Req 메시지를 ARPF(312)에 송신한다(810a). ARPF_Req 메시지에 기초하여, ARPF(312)는 ARPF_Resq 메시지를 AUSF(310)에 송신한다(812a). ARPF_Resp 메시지에 기초하여, AUSF(310)는 Auth1_Resp 메시지를 SEAF(308)에 송신한다(814a). Auth1_Resp 메시지에 기초하여, SEAF(308)는 AuthUE1_Req 메시지를 AT(100)에 송신한다. AT(100)는 AuthUE1_Resp 메시지를 SEAF(308)에 송신한다(818a). SAF(308)는 Auth2_Req 메시지를 AUSF(310)에 송신한다(820a). AUSF(310)는 성공 정보를 포함하는 Auth2_Resp 메시지를 SEAF(308)에 송신한다(822a). Auth2_Resp 메시지에 기초하여, SEAF(308)는 AuthUE_Sucess 메시지를 AT(100)에 송신한다(824a).
일 실시예에서, SEAF(308)는 ARPF(312)로부터 인증 크리덴셜을 요청함으로써 EAP 인증 절차를 개시한다. EAP 인증은 UE(100)와 AUSF(310) 사이에서 수행된다. EAP 메시지의 수는 UE(100)와 AUSF(310) 사이에서 교환되고, AUSF(310) 및 ARPF(312)는 EAP 방법에 의존한다. 성공적인 인증 절차의 끝에서, SEAF(308)는 AUSF(310)로부터 중간 키(MSK)를 획득한다.
일 실시예에서, NextGen UE(100)가 SEAF(308)로 이미 인증되고, 중간 키가 유효한 경우, SEAF(308)는 인증 단계(즉, 단계(808-824))를 수행하지 않고 (단계(826a)에서 도시된 바와 같이) 키를 제공한다.
일 실시예에서, SEAF(308)는 추가의 키(KNAS, KNR, KUP)를 도출하고(826a), 키 응답 메시지에서 이러한 도출된 키를 MMF(318)에 제공한다. SCMF는 항상 SEAF(308)과 동일 위치에 배치된다. 일 실시예에서, SEAF(308)는 액세스 앵커 키를 MMF(318)에 제공하고, MMF(318)는 액세스 앵커 키로부터 추가의 키(KNAS, KNR, KUP)를 도출한다. AMF와 SEAF 사이의 통신은 하나 이상의 AMF를 포함할 수 있다.
더욱이, MMF(318)는 키(KNR)를 NR(800)에 제공한다(828a). NR은 설정에 기초하여 AS 메시지 및 또한 UP 패킷을 보호하기 위해 요청 키를 더 도출한다(830a). 일 실시예에서, AT(100)가 비-3GPP 네트워크로부터 서비스를 요청하면, MMF(318)는 액세스 특정 키를 비-3GPP 네트워크 엔티티에 제공한다.
UP 보안이 UPF(314)에서 종료되면(832a), MMF(318)는 세션 설정 절차 동안 SMF(316)를 통해 키(KUP)를 UPF(314)에 제공한다(834a).
도 8b는 통합된 인증 프레임워크를 지원하기 위해 별개의 인증을 수행하기 위해 수반되는 단계별 절차를 도시하는 순차적인 흐름도이다. 제안된 방법은 보안 컨텍스트 설정 전에 프라이버시/민감 정보를 송신하는 것을 피하기 위해 사용될 수 있다. 인증 절차를 별개로 수행함으로써, AT(100) 및 SEAF(308)/AMF는 보안 컨텍스트를 설정하고, 연속적인 NAS 메시지, AS 메시지의 보안(무결성 보호 및/또는 암호화(Encryption/Ciphering))을 시작하며, 단계(802b 내지 818b)에서 상세히 설명된 바와 같이, 또한 사용자 평면 트래픽이 있을 수 있다.
일 실시예에서, 802b에서, 등록 요청 메시지에서 (유효한 보안 컨텍스트 를 포함하지 않고/않거나 RM-DEREGISTERED로부터의 초기 어태치 절차 및/또는 상태 천이를 수행하는) AT(100)는 인증으로서의 등록 타입, UE 아이덴티티 및 UE 능력을 포함한다. AT(100)는 임의의 민감 정보 또는 보호되지 않는 정보를 포함하지 않는다. 인증이 수행되면, AT(100)는 서비스를 요청하거나 네트워크 슬라이스 정보를 보호 메시지 내의 AMF에 제공한다. 도 8b에 도시된 바와 같이, 단계(818b) 후에, AT(100)로부터의 메시지는 설정된 보안 컨텍스트를 사용하여 보호된다. 이러한 메시지는 보호되고, 단계(820b) 또는 단계(822b) 중 하나를 사용하여 네트워크 슬라이스 아이덴티티(NSSAI)와 같은 민감 정보를 포함한다.
일 실시예에서, AMF/SEAF(308)는 인증을 수행하고, 별개의 NAS 메시지 내의 AT(100)로부터 (NSSAI(Network Slice Selection Assistance information)와 같은) 민감 정보 또는 파라미터를 요청하고, 이에 응답하여 AT(300)는 보호(무결성 보호 및/또는 암호화(Encryption/Ciphering))를 갖는 민감 정보 또는 파라미터를 제공한다.
일 실시예에서, AT(100)는 인증으로서의 등록 요청 타입, 영구 아이덴티티 및 UE 능력과 함께 등록 요청을 RAN에 송신한다(802b). RAN 자체는 SEAF(308)/AMF 선택을 개시한다(804b). 더욱이, RAN은 인증으로서의 등록 요청 타입, 영구 아이덴티티 및 UE 능력과 함께 등록 요청을 SEAF(308)/AMF에 송신한다(806b). SEAF(308)/AMF 자체는 AUSF 선택을 개시한다(808b). SEF(308)/AMF는 인증 개시 요청을 AUSF(310)에 송신한다(810b). UDM은 인증 벡터 요청/응답을 AUSF(310)에 송신한다(812b). 상호 인증은 AT(100)와 AUSF(310) 사이에서 수행된다(814b). 보안 컨텍스트 설정은 AT(100)와 SEAF(308)/AMF 사이에서 수행된다(816b). 보안 컨텍스트 설정은 AT(100)와 RAN 사이에서 수행된다(818b). 818b에 의해, 등록 요청 타입 인증을 위한 등록 절차는 완료된다. 일 실시예에서, 인증으로서의 등록 요청 타입을 갖는 등록 절차는 성공적인 인증 후에 AMF에 의해 UDM과의 업데이트 위치 절차(Update Location procedure)를 포함한다. 그런 다음, AT(100)는 초기 등록, TEMP ID 및 네트워크 슬라이스 정보와 함께 등록 요청을 SEAF(308)/AMF에 송신할 수 있다(822a). AT(100)는 초기 등록 및 TEMP ID와 함께 서비스 요청을 SEAF(308)/AMF에 송신한다(824b).
도 9는 본 명세서에 개시된 바와 같은 실시예에 따라 비-인간 IoT 배치에 의해 EAP-TLS를 수행하기 위해 수반된 단계별 절차를 도시하는 순차적인 흐름도이다.
도 9를 참조하면, NextGen UE(100)는 NR(800)과의 RRC 연결 설정 절차를 수행한다(902). NextGen UE(100)는 IoT(Internet of Things) 디바이스일 수 있다. RRC 연결 설정 후에, NextGen UE(100)는 어태치 요청 메시지를 송신함으로써 MMF(318)와의 어태치 절차를 개시한다(904). NextGen UE(100)는 어태치 요청 메시지와 함께 아이덴티티를 제공한다.
NextGen UE(100)로부터 어태치 요청 메시지를 수신하면, MMF(318)는 MMF(318)와 함께 이용 가능한 보안 컨텍스트가 없기 때문에 키 요청 메시지를 SEAF(308)에 송신한다(906).
일 실시예에서, SEAF(308)는 Auth1_Req 메시지를 AUSF(310)에 송신한다(908). Auth1_Req 메시지에 기초하여, AUSF(310)는 EAP-Type=EAP-TLS, Start(S) 비트 세트 및 데이터 없음을 갖는 EAP-Request 패킷을 SEAF(308)를 통해 UE(100)에 송신한다(910). 그런 다음, EAP-TLS 대화는 시작되고, 피어(peer)는 EAP-Type=EAP-TLS를 갖는 EAP-Response 패킷을 송신한다. 이런 패킷의 데이터 필드는 단계(912)에 도시된 바와 같이 TLS client_hello 핸드셰이크 메시지를 포함하는 하나 이상의 TLS 레코드(record)를 TLS 레코드 계층 포맷으로 캡슐화할 것이다.
더욱이, AUSF(310)는 (TLS server_hello, TLS 서버 인증서(server certificate), TLS 서버 키 교환, TLS 클라이언트 인증서 요청, TLS server_hello_done)을 포함하는 EPA 메시지를 UE(100)에 송신한다(914). UE(100)는 TLS 클라이언트 인증서, TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_Spec, 완료된 TLS를 포함하는 EAP 응답 메시지를 AUSF(310)에 송신한다(916). EAP 응답 후에, AUSF(310) 자체는 CA의 루트 인증서(root certificate)를 사용하여 클라이언트 인증서 검증을 수행한다(918). 더욱이, AUSF(310)는 TLS change_cipher_spec 및 완료된 TLS를 포함하는 EAP 메시지를 SEAF(308)를 통해 UE(100)에 송신한다(920). UE(100)는 EAP 응답을 SEAF(308)를 통해 AUSF(310)에 송신한다(922). 더욱이, AUSF(310)는 EAP 성공 메시지를 SEAF(308)를 통해 UE(100)에 송신한다(924). 더욱이, SEAF(308)는 키 응답 메시지를 MMF(318)에 송신한다(926). 키 응답 메시지에 기초하여, MMF(318)는 어태치 수락(attach accept) 메시지를 UE(100)에 송신한다(928).
일 실시예에서, 인증은 UE(100)의 가입 인증서 및 (오퍼레이터가 인정하거나 오퍼레이터가 신뢰할 수 있는) 인증 기관(Certificate Authority)에 의해 발행된 서버 인증서를 사용하여 수행된다. 가입 인증서에 대응하는 개인 키는 UE(100)에 안전하게 저장된다(보안 영역 #5: NG-UE 내의 보안을 위해 동의된 솔루션을 사용할 수 있다). 더욱이, AUSF(310)는 CA의 루트 인증서를 사용하여 가입 인증서의 유효성을 검사할 수 있다. 가입 인증서의 유효성을 검사하기 위한 EAP-TLS에 대한 ARPF(312)의 필요성은 구현에 따라 다르다.
도 10은 본 명세서에 개시된 바와 같은 실시예에 따라 NG1 인터페이스를 사용하는 초기 어태치 절차 동안의 인증 절차를 도시하는 순차적인 흐름도이다.
도 10을 참조하면, NextGen UE(100)는 NR(800)과의 RRC 연결 설정 절차를 수행한다. RRC 연결 설정 후에, NextGen UE(100)는 어태치 요청 메시지를 송신함으로써 MMF(318)와의 어태치 절차를 개시한다(1002). NextGen UE(100)는 어태치 요청 메시지와 함께 아이덴티티를 제공한다.
NextGen UE(100)로부터 어태치 요청 메시지를 수신하면, MMF(318)는 MMF(318)와 함께 이용 가능한 보안 컨텍스트가 없기 때문에 키 요청 메시지를 SEAF(308)에 송신한다(1004).
일 실시예에서, SEAF(308)는 아이덴티티와 함께 Auth1_Req 메시지를 AUSF(310)에 송신한다(1006). Auth1_Req 메시지에 기초하여, AUSF(310)는 ARPF_Req 메시지를 ARPF(312)에 송신한다(1008). ARPF_Req 메시지에 기초하여, ARPF(312)는 ARPF_Resp 메시지를 AUSF(310)에 송신한다(1010). ARPF_Resp 메시지에 기초하여, AUSF(310)는 Auth1_Resp 메시지를 SEAF(308)에 송신한다(1012). Auth1_Resp 메시지에 기초하여, SEAF(308)는 AuthUE1_Req 메시지를 UE(100)에 송신한다(1014). UE(100)는 AuthUE1_Resp 메시지를 SEAF(308)에 송신한다(1016). SEAF(308)는 Auth2_Req 메시지를 AUSF(310)에 송신한다(1018). AUSF(310)는 성공 정보를 포함하는 Auth2_Resp 메시지를 SEAF(308)에 송신한다(1020). Auth2_Resp 메시지에 기초하여, SEAF(308)는 AuthUE_Sucess 메시지를 UE(100)에 송신한다(1022).
일 실시예에서, SEAF(308)는 ARPF(312)로부터 인증 크리덴셜을 요청함으로써 EAP 인증 절차를 개시한다. EAP 인증은 UE(100)와 AUSF(310) 사이에서 수행된다. UE(100)와 AUSF(310) 사이 및 AUSF(310)와 ARPF(312) 사이의 EAP 메시지 교환의 수는 EAP 방법에 의존한다. 성공적인 인증 절차의 끝에서, SEAF는 AUSF(310)로부터 중간 키(MSK)를 획득한다.
일 실시예에서, NextGen UE(100)가 SEAF(308)로 이미 인증되고, 중간 키가 유효한 경우, SEAF(308)는 인증을 수행하지 않고 키를 제공한다(단계(1006 내지 1024)).
SEAF는 추가의 키(KNAS 및 KUP)를 도출하고(1026), 도출된 이러한 키를 키 응답 메시지 내의 MMF(318)에 제공한다. SCMF는 항상 SEAF와 동일 위치에 배치된다.
MMF(318)는 키(KNR)를 NR(800)에 제공한다(1028). NR(800)은 설정에 기초하여 AS 메시지 및 또한 UP 패킷을 보호하기 위해 요청 키를 더 도출한다(1030).
UP 보안이 UPF(314)에서 종료되면, MMF(318)는 세션 설정 절차 동안 키 [KUP]를 SMF를 통해 UPF(314)에 제공한다(1032).
도 11은 본 명세서에 개시된 바와 같은 실시예에 따라 NG1 인터페이스를 사용하여 비-인간 IoT 배치에 의해 EAP-TLS를 수행하기 위해 수반된 단계별 절차를 도시하는 순차적인 흐름도이다.
도 11을 참조하면, NextGen UE(100)는 NR(800)과의 RRC 연결 설정 절차를 수행한다(1102). RRC 연결 설정 후에, NextGen UE(100)는 어태치 요청 메시지를 송신함으로써 MMF(318)와의 어태치 절차를 개시한다(1104). NextGen UE(100)는 어태치 요청 메시지와 함께 아이덴티티를 제공한다.
NextGen UE(100)로부터 어태치 요청 메시지를 수신하면, MMF(318)는 MMF(318)와 함께 이용 가능한 보안 컨텍스트가 없기 때문에 아이덴티티를 포함하는 키 요청 메시지를 SEAF(308)에 송신한다(1106).
일 실시예에서, SEAF(308)는 아이덴티티를 포함하는 Auth1_Req 메시지를 AUSF(310)에 송신한다(1108). Auth1_Req 메시지에 기초하여, AUSF(310)는 EAP-Type=EAP-TLS, Start(S) 비트 세트 및 데이터 없음을 갖는 EAP-Request 패킷을 SEAF(308)를 통해 UE(100)에 송신한다(1110). 그런 다음, EAP-TLS 대화는 시작되고, 피어는 EAP-Type=EAP-TLS를 갖는 EAP-Response 패킷을 송신한다. 이런 패킷의 데이터 필드는 단계(1112)에 도시된 바와 같이 TLS client_hello 핸드셰이크 메시지를 포함하는 하나 이상의 TLS 레코드를 TLS 레코드 계층 포맷으로 캡슐화할 것이다.
더욱이, AUSF(310)는 (TLS server_hello, TLS 서버 인증서, TLS 서버 키 교환, TLS 클라이언트 인증서 요청, TLS server_hello_done)을 포함하는 EPA 메시지를 UE(100)에 송신한다(1114). UE(100)는 TLS 클라이언트 인증서, TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_Spec, 완료된 TLS를 포함하는 EAP 응답 메시지를 AUSF(310)에 송신한다(1116). EAP 응답 후에, AUSF(310) 자체는 CA의 루트 인증서를 사용하여 클라이언트 인증서 검증을 수행한다(1118). 더욱이, AUSF(310)는 TLS change_cipher_spec 및 완료된 TLS를 포함하는 EAP 메시지를 SEAF(308)를 통해 UE(100)에 송신한다(1120). UE(100)는 EAP 응답을 SEAF(308)를 통해 AUSF(310)에 송신한다(1122). 더욱이, AUSF(310)는 EAP 성공 메시지를 SEAF(308)를 통해 UE(100)에 송신한다(1124). 더욱이, SEAF(308)는 키 응답 메시지를 MMF(318)에 송신한다(1126). 키 응답 메시지에 기초하여, MMF(318)는 어태치 수락 메시지를 UE(100)에 송신한다(1128).
일 실시예에서, 인증은 UE(100)의 가입 인증서 및 (오퍼레이터가 인정하거나 오퍼레이터가 신뢰할 수 있는) 인증 기관에 의해 발행된 서버 인증서를 사용하여 수행된다. 가입 인증서에 대응하는 개인 키는 UE(100)에 안전하게 저장된다(보안 영역 #5: NG-UE 내의 보안을 위해 동의된 솔루션을 사용할 수 있다). 더욱이, AUSF(310)는 CA의 루트 인증서를 사용하여 가입 인증서의 유효성을 검사할 수 있다. 가입 인증서의 유효성을 검사하기 위한 EAP-TLS에 대한 ARPF(312)의 필요성은 구현에 따라 다르다.
도 12는 본 명세서에 개시된 바와 같은 실시예에 따라 키 매핑 절차를 도시한다. 일 실시예에서, EAP 마스터 세션 키(Master Session Key, MSK)는 도 12에 도시된 바와 같이 추가의 키를 생성하기 위한 루트/앵커 키로서 사용된다. 마스터 키(master key, MK)는 AAA 서버(304)로부터 내보내기(export)될 수 없으므로, MSK는 KASME로서 사용된다. NAS용 MSK 및 AS용 EMSK를 사용할 수 있다. 대안으로, MSK를 KASME로서, EMSK(Extended Master Session Key)를 NH(Next Hop) 파라미터로서 사용할 수 있다. 일 실시예에서, 코어 네트워크 엔티티가 인증자이므로, AAA 서버(304)는 MK를 CP-AU(206)/MME(118)에 제공한다.
도 13은 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서의 키 분배 흐름을 도시한다. AAA 서버(304) 자체는 상호 인증을 수행한다(1302). 상호 인증에 기초하여, AAA 서버(304)는 keying material를 CP-AU(306)/MME(318)에 제공한다(1304). CP-AU(306)/MME(318)는 keying material 및 특정 파라미터(unique parameter)(1306)를 사용하여 추가의 키를 도출한다(1306). AAA 서버(304)는 CP 절차에 기초하여 키를 설정된 엔티티에 분배한다(1308).
키를 분배한 후에, NR(800)은 키 요청을 CP-AU(306)/MME(318)에 송신한다(1310). 키 요청에 기초하여, CP-AU(306)/MME(318)는 키와 함께 키 응답을 NR(800)에 송신한다(1312).
키를 분배한 후, CN 엔티티(MM)(1302)는 키 요청을 CP-AU(306)/MME(318)에 송신한다(1314). 키 요청에 기초하여, CP-AU(306)/MME(318)는 키와 함께 키 응답을 CN 엔티티(1304)에 송신한다(1316).
키를 분배한 후, CN 엔티티(GW)(1304)는 키 요청을 CP-AU(306)/MME(318)에 송신한다(1318). 키 요청에 기초하여, CP-AU(306)/MME(318)는 키와 함께 키 응답을 CN 엔티티(1304)에 송신한다(1320).
키를 분배한 후, LTE(1306)는 키 요청을 CP-AU(306)/MME(318)에 송신한다(1322). 키 요청에 기초하여, CP-AU(306)/MME(318)는 키와 함께 키 응답을 LTE(1306)에 송신한다(1324).
일 실시예에서, NG-Core 내의 다수의 보안 종료점을 고려하면, 키 분배를 위한 2개의 잠재적인 프로토콜 후보는 NG1-C 및 Diameter이다. 새로운 프로토콜 템플릿(template)은 키의 분배를 위한 키를 반송하도록 정의된다. CP-AU(306) 및/또는 MME(318)에 의한 키 분배 메커니즘은 시그널링 절차에 기초하여 제공되거나 CP-AU 노드 및/또는 MME는 각각의 엔티티에 의한 요청에 기초하여 키를 제공한다. UE와 CP-AU(및/또는 MME)는 고유 파라미터를 사용하여 보안 종료점마다 암호로 별개의 키를 도출한다. 파라미터는 "서비스 이름(예를 들어, MM 엔터티)", 요청 카운터, 시그널링 절차의 시퀀스 카운트, 엔터티의 아이덴티티 중 적어도 어느 하나일 수 있다.
도 14는 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 장치의 다양한 하드웨어 요소의 블록도이다. 일 실시예에서, 장치는 통신 유닛(1402), EAP 인증자(302), 프로세서(1404) 및 메모리(1406)를 포함한다. EAP 인증자(302)는 메모리(1406) 및 프로세서(1404)에 결합된다.
EAP 인증자(302)는 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기(100)로부터 캡슐화된 EAP 패킷을 수신하도록 설정된다. 액세스 단말기(100)로부터 캡슐화된 EAP 패킷을 수신한 후, EAP 인증자(302)는 액세스 단말기(100) 및 액세스 단말기의 서비스 중 적어도 하나를 인증하도록 설정된다.
더욱이, EAP 인증자(302)는 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성하도록 설정된다. 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성한 후, EAP 인증자(302)는 무선 액세스 네트워크 내의 적어도 하나의 엔티티와 액세스 단말기(100) 사이의 보안 통신을 가능하게 하기 위해 적어도 하나의 보안을 무선 액세스 네트워크 내의 적어도 하나의 엔티티에 제공하도록 설정된다.
통신 유닛(1402)은 하나 이상의 네트워크를 통해 내부 유닛과 외부 디바이스 사이에서 내부적으로 통신하기 위해 구성된다. 메모리는 저장 유닛(도시되지 않음)과 결합된다. 저장 유닛은 하나 이상의 컴퓨터 판독 가능 저장 매체를 포함할 수 있다. 저장 유닛은 비휘발성 저장 요소를 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable memory)의 형태를 포함할 수 있다. 게다가, 저장 유닛은, 일부 예에서, 비일시적(non-transitory) 저장 매체로 간주될 수 있다. 용어 "비일시적"은 저장 매체가 반송파 또는 전파된 신호로 구현되지 않음을 나타낼 수 있다. 그러나, 용어 "비일시적"은 저장 유닛이 이동 가능하지 않은 것으로 해석되지 않아야 한다. 일부 예에서, 저장 유닛은 메모리보다 더 많은 양의 정보를 저장하도록 구성될 수 있다. 특정 예에서, 비일시적 저장 매체는 시간이 지남에 따라 (예를 들어, 랜덤 액세스 메모리(Random Access Memory, RAM) 또는 캐시에서) 변경할 수 있는 데이터를 저장할 수 있다.
도 14는 장치(1400)의 하드웨어 구성 요소를 도시하지만, 다른 실시예가 이에 한정되지 않는 것으로 이해되어야 한다. 더욱이, 다른 실시예에서, 장치(1400)는 더 적거나 더 많은 수의 구성 요소를 포함할 수 있다. 더욱이, 구성 요소의 라벨 또는 명칭은 단지 예시적인 목적으로 사용되며, 본 발명의 범위를 제한하지 않는다. 하나 이상의 구성 요소는 모바일 무선 네트워크 시스템에서 액세스를 인증하기 위해 동일하거나 실질적으로 유사한 기능을 수행하도록 함께 조합될 수 있다.
도 15는 본 명세서에 개시된 바와 같은 실시예에 따라 모바일 무선 네트워크 시스템에서 액세스를 인증하는 방법을 도시하는 흐름도(1500)이다. 1502 내지 1508의 동작은 EAP 인증자(302)에 의해 수행된다.
1502에서, 방법은 무선 액세스 네트워크를 통해 고속 패킷 데이터 무선 링크 및 시그널링 인터페이스를 통해 액세스 단말기(100)로부터 캡슐화된 EAP 패킷을 수신하는 단계를 포함한다. 1504에서, 방법은 네트워크 액세스 가입 및 액세스 단말기(100)의 서비스 중 적어도 하나를 인증하는 단계를 포함한다. 1506에서, 방법은 적어도 하나의 보안 키를 포함하는 보안 콘텐츠를 생성하는 단계를 포함한다. 1508에서, 방법은 무선 액세스 네트워크 내의 적어도 하나의 엔티티와 액세스 단말기(100) 사이의 보안 통신을 가능하게 하도록 적어도 하나의 보안 콘텐츠를 무선 액세스 네트워크 내의 적어도 하나의 엔티티에 제공하는 단계를 포함한다.
흐름도(1500)의 다양한 동작, 작용, 블록, 단계 등은 상이한 순서 또는 동시에 제시된 순서로 수행될 수 있다. 더욱이, 일부 실시예에서, 본 발명의 범위를 벗어나지 않고, 동작, 작용, 블록, 단계 등의 일부는 생략되거나, 부가되거나, 수정되거나 스킵될 수 있다.
도 18a 및 도 18b는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB(200)에 의한 WLAN에서 키 변경을 보장하기 위해 WT 해제 및 WT 부가 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 18a 및 도 18b는 연속 도면이다.
일 실시예에서, 루트 키가 무효가 될 때 도출된 키를 더 사용하는 것은 좋은 보안 방법이 아니다. LTE 중간 루트 키(KeNB)가 변경되면 즉시 WLAN 키(S-KWT)를 리프레시하는 것이 바람직하다. LTE 키 KeNB가 손상(compromise)되면, WLAN WT가 키 업데이트를 수행할 때까지 도출된 WLAN 키 S-KWT는 또한 손상될 수 있다. 더욱이, 보안 위협(security threat)(예를 들어, 키 손상)이 네트워크 엔티티에 의해 LTE 네트워크에서 식별되면, LTE에서 키 리프레시/리키잉 절차를 수행함으로써 위협은 일반적으로 완화되지만, LTE 키가 변경된 직후에 키가 업데이트되지 않으면 위협은 WLAN에서 계속된다. 일부 시나리오는 다음과 같은 경우 PDCP 암호화가 설정/해제되었는지와 관계없이 (예를 들어, KeNB 리키잉이 LTE에서 수행될 때) 즉시 키 변경(리프레시/리키잉)을 지시한다:
a. 오랫동안 키의 사용,
b. 카운터 체크 절차 실패, 및
c. 키 동기화 실패(유휴 상태에서 활성 상태로 이동함) 또는 기본 컨텍스트의 활성화
일부 시나리오의 경우, (예를 들어, KeNBrefresh가 수행될 때) 나중에 키 변경(리프레시/리키잉)을 수행하도록 지시한다.
a. PDCP 랩 어라운드(wrap-around), 및
b. (이동성으로 인해 또는 더 나은 커버리지에 있도록 하기 위해) 핸드오버
eNB(200)가 키를 WT(400)에 제공할 때, 정보는 다른 RAT로부터 숨겨지는 EPS(키 변경의 목적)에 관련된다. 그러나, eNB(200)는 키가 WLAN 액세스 네트워크에서 (주기적 리프레시 절차 동안 설정에 기초하여) 즉시 또는 나중에 리프레시되는(활성 상태로 취해지는) 지를 나타낼 필요가 있다. 인트라 셀 HO은 연결 상태의 키 변경을 위해 수행되므로, eNB(200)는 WLAN의 키 변경이 LTE 키 변경 이유에 따라 필요한지 여부를 판정하고 나타낼 필요가 있다.
일 실시예에서, 모든 KeNB(LTE Key) 변경에 대해, eNB(200)는 WLAN 키(S-KWT) 변경을 즉시 수행하거나(이는 AT(100) 및 WT(400)가 WLAN 인증을 강제함으로써 WLAN을 위해 새로운 S-KWT를 즉시 사용하기 시작한다는 것을 의미함) 다음과 같은 옵션에 의해 (WLAN 설정에 기초하여) 키 (S-KWT) 변경을 나중에 수행하도록 AT(100) 및/또는 WT(400)에 요청하는 옵션을 갖는다:
A. eNB(200)는 WLAN 키 변경을 즉시 또는 나중에 수행할 지의 인디케이션(indication)에 따라 새로운 S-KWT를 WT(400)에 제공하고 Count를 AT(100)에 제공한다(WLAN 키 변경을 나중에 수행하는 경우에, WT(400)는 새로운 키를 캐싱하고, WLAN 설정(설정은 다음 WLAN 인증을 수행할 때 새로운 키를 취할 수 있음)에 기초하여 키를 리프레시한다).
B. 키가 (WT 설정과 무관하게) 즉시 수행되도록 리프레시하는 경우에만, eNB(200)는 새로운 S-KWT를 WT(400)에 제공하고 WT 카운트 값을 AT(100)에 제공한다.
C. eNB(200)는 키 리프레시를 즉시 수행하기 위해 LWA 베어러 해제 및 부가를 수행하는 옵션을 가지며, '나중에 키 리프레시'를 위해, eNB(200)는 새로운 KeNB마다 또는 키에 대한 WT 요청을 필요로 할 때마다 새로운 S-KWT를 WT에 제공하고 Count를 AT(100)에 제공한다.
도 18a 및 도 18b를 참조하면, eNB(200)는 WT 부가 요청을 WT(400)에 송신한다(1802). WT 부가 요청에 기초하여, WT(400)는 WT 부가 요청 확인 응답(acknowledge)을 eNB(200)에 송신한다(1804). WT 부가 요청 확인 응답에 기초하여, eNB(200)는 RRC 연결 재설정 메시지를 AT(100)에 송신한다(1806). RRC 연결 재설정 메시지에 기초하여, AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1808). RRC 연결 재설정 완료 메시지를 송신한 후, AT(100)는 새로운 LWA 설정을 사용하여 시작하고(1810), WLAN 연관 절차를 수행한다. WT(400)는 WT 연관 확인을 eNB(200)에 송신한다(1812). AT(100)는 WLAN 연결 상태 리포트를 eNB(200)에 송신한다(1814).
더욱이, eNB(200) 자체는 KeNB 리키잉 절차를 수행하고(1816), 즉시 WLAN에서 S-Kwt 키의 사용을 시행하기로 결정한다(결정은 PDCP 카운터 체크 절차 실패 때문에 발생된 KeNB 리프레시로 인해 이루어질 수 있다). 더욱이, eNB(200)는 WT 해제 요청을 WT(400)에 송신한다(1818). WT 해제 요청에 기초하여, WT(400)는 LWA 자원을 해제한다(1820).
더욱이, eNB(200)는 해제 LWA 설정과 함께 RCC 연결 재설정을 AT(100)에 송신한다(1822). AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1824). 더욱이, AT(100)는 WLAN을 향한 LWA 설정을 해제한다(1826).
더욱이, eNB(200)는 WT 부가 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(1828). WT 부가 요청에 기초하여, WT(400)는 WT 부가 요청 확인 응답을 eNB(200)에 송신한다(1830).
더욱이, eNB(200)는 RRC 연결 재설정 메시지를 AT(400)에 송신한다(1832). RRC 연결 재설정 메시지에 기초하여, AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1834). 더욱이, AT(400)는 새로운 LWA 설정을 사용하여 시작하고(1836), (WLAN 인증 절차를 포함하는) WLAN 연관 절차를 수행한다.
더욱이, WT(400)는 WT 연관 확인 메시지를 eNB(200)에 송신하고(1838), AT(100)는 WLAN 연결 상태 리포트를 eNB(200)에 송신한다.
더욱이, eNB(200)는 KeNB 리프레시 절차를 수행하고(1842), (PDCP 카운터 랩 어라운드 때문에 발생된 KeNB 리프레시로 인해) 즉시 WLAN에서 새로운 S-Kwt 키의 사용을 시행하지 않기로 결정한다. 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(1844). WT 수정 요청에 기초하여, WT(400)는 WT 수정 요청 확인 응답 메시지를 eNB(200)에 송신한다(1846).
더욱이, eNB(200)는 WT 카운트 값과 함께 RRC 연결 재설정 메시지를 AT(400)에 송신한다(1848). AT(400)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1850).
더욱이, WT(400)는 예를 들어 다음 WLAN 인증 절차를 수행할 때 802.11 보안을 리프레시하기 위해 WLAN 설정에 기초하여 키 리프레시 절차를 개시한다(1852). 더욱이, WT(400)는 선택적으로 특정 트리거/이벤트를 기다리는 설정에 기초하여 타이머를 시작한다(1854).
일 실시예에서, eNB(200)는 WLAN에서의 키 변경을 보장하기 위해 WT 해제 및 WT 부가 절차를 결정하고 개시한다. 일 실시예에서, S-KWT 키가 리프레시되는(활성 상태로 취해지는) 경우에 대해, eNB(200)는 AT(200)와 WT(400) 사이의 LWA 데이터 무선 베어러(data radio bearer, DRB) 연결을 해제한 다음, 새로운 키를 사용하여 DRB를 부가한다. 도 18에서의 단계(1818 내지 1820)는 WLAN에서의 키 변경을 보장한다. 키가 나중 시점에 리프레시되는(활성 상태로 취해지는) 경우(예를 들어, 핸드오버(Handover, HO), PDCP 랩 어라운드 등으로 인한 LTE KeNB 변경)에 대해, eNB는 키(S-KWT)를 WLAN에 제공하고, WLAN은 WLAN 설정에 기초하여 나중 시점에 키 변경을 수행한다(단계(1842 내지 1854)). eNB(200)는 이와 함께 이용 가능한 상세 사항(데이터 손실이 임의의 새로운 DRB 부가 이전의 수락 가능한 키 변경인지 등)에 기초하여 단계(1818 내지 1840)을 결정하고 수행하는 것이 가능하다.
도 19a 및 도 19b는 본 명세서의 실시예에 따라 WT(400)가 키 변경을 수행하기 위해 eNB로부터의 인디케이션을 수신할 때마다 WT(400)에 의해 4-웨이 핸드셰이크(WLAN 인증 절차)를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 19a 및 도 19b는 연속적 도면이다.
eNB(200)는 WT 부가 요청을 WT(400)에 송신한다(1902). WT 부가 요청에 기초하여, WT(400)는 WT 부가 요청 확인 응답을 eNB(200)에 송신한다(1904). WT 부가 요청 확인 응답에 기초하여, eNB(200)는 RRC 연결 재설정 메시지를 AT(100)에 송신한다(1906). RRC 연결 재설정 메시지에 기초하여, AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1908). RRC 연결 재설정 완료 메시지를 송신한 후, AT(100)는 새로운 LWA 설정을 사용하여 시작하고(1910), WLAN 연관 절차를 수행한다. WT(400)는 WT 연관 확인을 eNB(200)에 송신한다(1912). AT(100)는 WLAN 연결 상태 리포트를 eNB(200)에 송신한다(1914).
더욱이, eNB(200) 자체는 KeNB 리키잉 절차를 수행하고(1916), 즉시 WLAN에서 S-Kwt 키의 사용을 수행하기로 결정한다. 더욱이, eNB(200)는 WT 수정 요청(즉, 키 변경 인디케이션과 함께 새로운 S-KWT)을 WT(400)에 송신한다(1918). WT(400)는 WT 수정 요청 확인 응답 메시지를 eNB(200)에 송신한다(1920).
더욱이, eNB(200)는 WT 카운터 값을 가진 RCC 연결 재설정을 AT(100)에 송신한다(1922). AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1924). WT는 802.11 보안을 리프레시하기 위해 키 리프레시 절차를 즉시 개시한다(1926). WT(400)는 802.11 키 리프레시 절차(즉, 4-웨이 핸드셰이크)를 AT(100)에 송신한다(1928).
더욱이, eNB(200)는 KeNB 리프레시 절차를 수행하고(1930), 즉시 WLAN에서 S-Kwt 리프레시를 수행하지 않기로 결정한다. 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(1932). WT 수정 요청에 기초하여, WT(400)는 WT 수정 요청 확인 응답을 eNB(200)에 송신한다(1934).
더욱이, eNB(200)는 WT 카운트 값과 함께 RRC 연결 재설정 메시지를 AT(400)에 송신한다(1936). AT(400)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(1938).
더욱이, WT(400)는 802.11 보안을 리프레시하기 위해 WLAN 설정에 기초하여 키 리프레시 절차를 개시한다(1940). 더욱이, WT(400)는 특정 트리거/이벤트를 기다리는 설정에 기초하여 타이머를 시작한다(1942). 더욱이, WT(400)는 802.11 키 리프레시 절차를 AT(100)에 송신한다(1944).
일 실시예에서, 도 19a 및 도 19b에 도시된 바와 같이, 키를 변경할 시기에 관한 정보는 키가 즉시 또는 나중에 리프레시될 필요가 있는지를 나타내기 위해 eNB(200)로부터 WT(400) 및/또는 AT(100)로의 인디케이터를 사용하여 달성된다. WT(WLAN 액세스 포인트)(400)는 IEEE 802.11i 4-웨이 핸드셰이크 절차에 부가하기 전에 다른 절차를 수행할 수 있다는 것이 주목되어야 한다. WT(400) 및/또는 UE(100)의 관점에서, LTE 키 변경의 이유를 알지 못하지만, WLAN 키가 WLAN에서 즉시 또는 나중에 리프레시될 필요가 있는지를 알고 있다. 일 실시예에서, eNB(200)는 WLAN 키 변경이 XW 인터페이스를 통해 (단계(1918)에 도시된 바와 같이) "키 변경 인디케이터"를 사용하여 WT(400)에 즉시 발생하는 것을 나타낸다. WT(WLAN AP)(400)는 (단계(1928)에 도시된 바와 같이) 즉시 AT(100)로 키 변경 절차를 개시한다(4-웨이 핸드셰이크를 사용할 수 있음). 키가 나중 시점에 리프레시되는(활성 상태로 취해지는) 경우(예를 들어, 핸드오버(HO), PDCP 랩 어라운드 등으로 인한 LTE KeNB 변경)에 대해, eNB(200)는 인디케이터 없이 키를 WLAN에 제공한다. WLAN은 나중 시점에 (단계(1930 내지 1940)에 도시된 바와 같이) WLAN 설정에 기초하여 키 변경을 수행한다.
도 20a 및 도 20b는 본 명세서에 개시된 바와 같은 실시예에 따라 AT(100)가 키 변경을 수행하기 위해 eNB(200)로부터의 인디케이션을 수신할 때마다 AT(100)에 의해 WLAN 재연관 절차를 즉시 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 20a 및 도 20b는 연속적 도면이다.
eNB(200)는 WT 부가 요청을 WT(400)에 송신한다(2002). WT 부가 요청에 기초하여, WT(400)는 WT 부가 요청 확인 응답을 eNB(200)에 송신한다(2004). WT 부가 요청 확인 응답에 기초하여, eNB(200)는 RRC 연결 재설정 메시지를 AT(100)에 송신한다(2006). RRC 연결 재설정 메시지에 기초하여, AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2008). RRC 연결 재설정 완료 메시지를 송신한 후, AT(100)는 새로운 LWA 설정을 사용하여 시작하고(2010), WLAN 연관 절차를 수행한다. WT(400)는 WT 연관 확인을 eNB(200)에 송신한다(2012). AT(100)는 WLAN 연결 상태 리포트를 eNB(200)에 송신한다(2014).
더욱이, eNB(200) 자체는 KeNB 리키잉 절차를 수행한다(2016). 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(2018). WT(400)는 WT 수정 요청 확인 응답 메시지를 eNB(200)에 송신한다(2020).
더욱이, eNB(200)는 키 변경 인디케이션과 함께 WT 카운터 값을 가진 RCC 연결 재설정을 AT(100)에 송신한다(2022). AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2024). AT(100)는 802.11 보안을 리프레시하기 위해 키 리프레시 절차를 즉시 개시한다(2026). 더욱이, AT(100)는 802.11 키 리프레시 절차를 WT(400)에 송신한다(2028).
더욱이, eNB(200)는 KeNB 리프레시 절차를 수행한다(2030). 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(2032). WT 수정 요청에 기초하여, WT(400)는 WT 수정 요청 확인 응답을 eNB(200)에 송신한다(2034).
더욱이, eNB(200)는 WT 카운트 값과 함께 RRC 연결 재설정 메시지를 AT(400)에 송신한다(2036). AT(400)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2038).
더욱이, WT(400)는 802.11 보안을 리프레시하기 위해 WLAN 설정에 기초하여 키 리프레시 절차를 개시한다(2040). 더욱이, WT(400)는 특정 트리거/이벤트를 기다리는 설정에 기초하여 타이머를 시작한다(2042). 더욱이, WT(400)는 802.11 키 리프레시 절차를 AT(100)에 송신한다(2044). 더욱이, WLAN은 설정에 기초하여 키 리프레시를 수행한다.
일 실시예에서, eNB(200)는 키 변경이 RRC 시그널링 메시지를 통해 (단계(2022)에 도시된 바와 같이) "키 변경 인디케이터"를 사용하여 AT(100)에 즉시 발생하는 것을 나타낸다. 더욱이, AT(100)는 (단계(2028)에 도시된 바와 같이) (재연관 절차를 사용할 수 있는) 키 변경 절차를 즉시 개시한다. 키가 나중 시점에 리프레시되는(활성 상태로 취해지는) 경우(예를 들어, 핸드오버(HO), PDCP 랩 어라운드 등으로 인한 LTE KeNB 변경)에 대해, eNB(200)는 인디케이터 없이 키를 WLAN에 제공한다. WLAN은 나중 시점에 (단계(2030 내지 2046)에 도시된 바와 같이) WLAN 설정에 기초하여 키 변경을 수행한다.
도 21a 및 도 21b는 본 명세서에 개시된 바와 같은 실시예에 따라 AT(100)에 의해 키 변경을 수행하기 위해 LTE 키 리프레시/리키잉 시나리오에 기초하여 WLAN 재연관 절차를 결정하고 개시하기 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 21a 및 도 21b는 연속적 도면이다.
eNB(200)는 WT 부가 요청을 WT(400)에 송신한다(2102). WT 부가 요청에 기초하여, WT(400)는 WT 부가 요청 확인 응답을 eNB(200)에 송신한다(2104). WT 부가 요청 확인 응답에 기초하여, eNB(200)는 RRC 연결 재설정 메시지를 AT(100)에 송신한다(2106). RRC 연결 재설정 메시지에 기초하여, AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2108). RRC 연결 재설정 완료 메시지를 송신한 후, AT(100)는 새로운 LWA 설정을 사용하여 시작하고(2110), WLAN 연관 절차를 수행한다. WT(400)는 WT 연관 확인을 eNB(200)에 송신한다(2112). AT(100)는 WLAN 연결 상태 리포트를 eNB(200)에 송신한다(2114).
더욱이, eNB(200) 자체는 KeNB 리키잉 절차를 수행한다(2116). 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(2118). WT(400)는 WT 수정 요청 확인 응답 메시지를 eNB(200)에 송신한다(2120).
더욱이, eNB(200)는 WT 카운터 값을 가진 RCC 연결 재설정을 AT(100)에 송신한다(2122). AT(100)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2124). AT(100)는 KeNB 리키잉이 수행될 경우에 802.11 보안을 리프레시하기 위해 키 리프레시 절차를 즉시 개시한다(2126). 더욱이, AT(100)는 802.11 키 리프레시 절차를 WT(400)에 송신한다(2128).
더욱이, eNB(200)는 KeNB 리프레시 절차를 수행한다(2130). 더욱이, eNB(200)는 WT 수정 요청(즉, 새로운 S-KWT)을 WT(400)에 송신한다(2132). WT 수정 요청에 기초하여, WT(400)는 WT 수정 요청 확인 응답 메시지를 eNB(200)에 송신한다(2134).
더욱이, eNB(200)는 WT 카운트 값과 함께 RRC 연결 재설정 메시지를 AT(400)에 송신한다(2136). AT(400)는 RRC 연결 재설정 완료 메시지를 eNB(200)에 송신한다(2138).
더욱이, WT(400)는 802.11 보안을 리프레시하기 위해 WLAN 설정에 기초하여 키 리프레시 절차를 개시한다(2140). 더욱이, WT(400)는 특정 트리거/이벤트를 기다리는 설정에 기초하여 타이머를 시작한다(2142). 더욱이, WT(400)는 802.11 키 리프레시 절차를 AT(100)에 송신한다(2144). 더욱이, WLAN은 설정에 기초하여 키 리프레시를 수행한다.
일 실시예에서, AT(100)는 (단계(2126)에 도시된 바와 같이) WLAN 키 변경이 LTE KeNB 리프레시 시나리오에 기초하여 즉시 발생하는지의 여부를 판정한다. 그런 다음, AT(100)는 (단계(2128)에 도시된 바와 같이) (IEEE 802.11 WLAN 재연관 절차를 사용할 수 있는) 키 변경 절차를 즉시 개시한다. 키가 나중 시점에 리프레시되는(활성 상태로 취해지는) 경우(예를 들어, 핸드오버(HO), PDCP 랩 어라운드 등으로 인한 LTE KeNB 변경)에 대해, WLAN은 나중 시점에 (단계(2130 내지 2144)에 도시된 바와 같이) WLAN 설정에 기초하여 키 변경을 수행한다.
도 22a 및 도 22b는 본 명세서에 개시된 바와 같은 실시예에 따라 키를 제공함으로써 키 변경을 즉시 수행하기 위한 명시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 22a 및 도 22b는 연속적 도면이다.
일 실시예에서, 키 S-KWT는 단지 관련된 경우, 즉 WLAN 키 업데이트가 필요한 경우(즉, WT 부가 키(S-Kwt-1, S-Kwt-2) 및 대응하는 WT 카운터를 AT에 포함하는 경우) WT(400)에 제공되고, WLAN 키 업데이트가 필요하지 않은 경우(즉, 임의의 키 변경 파라미터 없이 WT 수정 및 RRC 재구성), WLAN 키 업데이트는 LTE 핸드오버에서 제공되지 않는다. WLAN 키 변경이 실행되어야 하는지의 여부의 인디케이터로서 (별개의 인디케이터가 필요 없음) 이것은 또한 S-KWT의 존재를 사용하는 것을 가능하게 한다. S-KWT의 존재는 곧 업데이트될 키를 WT에 나타낼 것이다. AT(100)에는, WT 카운터의 존재가 이러한 핸드오버에서 WLAN 키 변경이 발생해야 함을 나타낼 것이다. (도 22a 및 도 22b에 도시된 바와 같은) 흐름에서, WLAN은 5시간마다 PTK를 리프레시하도록 설정되고, HO 동안 생성된 키는 절대로 WT에 제공되지 않으므로, 현재 활성화된 KeNB로부터 도출된 새로운 키 S-KWT는 사용되지 않는다. 더욱이, 도 22a 및 도 22b는 즉시 키 변경을 수행하는 키를 제공하는 옵션만을 갖는 것이 (루트 키 KeNB가 매우 오랜 시간 동안 다시 무효화될 수 있는) 오랫 동안 PMK를 사용하게 하는 것을 도시한다. WT(400) 및 AT(100)가 15분(어떤 이유로 인해, 예를 들어, 이전의 리프레시와 관계없이 또는 무결성의 빈번한 실패로 인해 주기적인 리프레시) 키 리프레시를 수행할 필요가 있다면, (eNB(200)가 5분 후에 새로운 키를 제공함에 따라) 이전 키를 사용할 필요가 있다.
도 23a 및 도 23b는 본 명세서에 개시된 바와 같은 실시예에 따라 키 변경을 즉시 수행하기 위한 암시적인 인디케이션을 위한 단계별 절차를 도시하는 시퀀스 다이어그램이다. 도 23a 및 도 23b는 연속적 도면이다.
일 실시예에서, 흐름은 LTE 및 WLAN에 의한 독립적인 키 리프레시를 허용한다. 이러한 흐름에서, 명시적인 인디케이터가 다음을 해결하는데 사용된다:
i. 독립적인 S-KWT 업데이트(새로운 키가 이용 가능하기 때문), 및
ii. Handover 키는 키 리프레시를 위해 사용된다(즉시는 아니지만, 나중에 (WLAN 설정에 기반할 수 있음)).
이러한 대안은 다음과 같은 옵션을 지원한다: 키 변경을 즉시 수행하고, 나중에 키 변경을 수행하기 위해(WLAN 설정/선호(preference)에 기초하여, eNB는 키를 즉시 변경하기를 강력하게 선호하지 않는다). 즉각적인 키 변경(즉, 재연관 또는 4-웨이 핸드셰이크를 통해)을 필요로 하는 옵션만을 갖는 것, 즉 실행하기 위해 WT(400)에 알리고, AT(100)에 알리는 것과 비교되는 이러한 접근 방식의 이득이 있고, eNB(200)는 임의의 하나의 키 변경 옵션을 수행하기 위해 A(100)/WT(400)에 요청할 옵션을 갖는다. 따라서, 키 변경이 적절할 때마다 수행된다. 또한 WLAN 설정에 기초하여, WT(400) 및 AT(100)는 재연관/4-웨이 핸드셰이크를 수행함으로써 키 리프레시를 위해 미사용/새로운 키(S-KWT)를 사용할 수 있다.
KeNB가 eNB(200)에서 변경될 때마다, eNB(200)는 (Xw 인터페이스를 통해) WT 수정 절차를 사용하여 키를 WT(400)에 제공하고, 또한 eNB(200)는 RRC 메시지를 사용하여 WT 카운터 값을 AT(100)에 제공한다. 그런 다음, WT(400)의 설정에 기초하여, WT(400)는 키 리프레시를 위해 새로운 S-KWT를 취한다. WT(400)가 키를 요청하기 위해 정의된 절차가 없기 때문에, eNB(200)는 WT(400)가 새로운 키를 필요할 때를 모르며, 따라서 eNB(200)는 새로운 KeNB 마다 S-KWT를 업데이트한다.
또한 핸드오버에서, eNB(200)는 WLAN에서 키 변경을 수행할 수 있거나 수행하지 않을 수 있다. 또한, eNB(200)는 HO와 독립적으로 WLAN 키를 변경할 수 있다. 도 22a, 도 22b, 도 23a 및 도 23b에서, 예시를 위해, WLAN 설정은 5시간마다 키 리프레시가 발생할 필요가 있고, 새로운 S-KWT가 이용 가능한 경우에는 30분 내에 업데이트될 필요가 있다.
도 24는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB(200)에 의한 WLAN 키 업데이트 절차를 결정하고 트리거링하는 방법을 도시하는 흐름도(2400)이다.
일 실시예에서, (LTE 키 리프레시 또는 리키잉 절차에 기초하여) 키 변경을 즉시 수행하거나 키 변경을 나중에 수행한다. 키 변경을 즉시 수행하기 위해, eNB는 WT 해제(eNB 대 WT 메시지 교환 + eNB 대 UE 메시지 교환) 및 WT 부가(eNB 대 WT 메시지 교환 + eNB 대 UE 메시지 교환 + UE는 WLAN + WLAN 연관 절차를 스캐닝함)를 수행한다. 키 변경을 나중에 수행하기 위해, eNB(200)는 핸드오버 절차마다 (활성 KeNB를 사용하여 도출되는) 새로운 키 S-KWT를 WT(400)에 제공하고, WT(400)/UE(100)는 WLAN 인증 절차를 수행할 때 키 리프레시를 위해 새로운 키 S-KWT를 결정하고 취한다. 일 실시예에서, WT(400)는 WLAN에서 S-KWT 리프레시를 수행할 때 (LTE 네트워크 엔티티 또는 OAM 엔티티 또는 정적 설정을 통해) 모바일 네트워크 오퍼레이터 또는 WLAN 오퍼레이터에 의해 설정된다. 설정은 다음의 것: 진행중인 QoS 파라미터에 기초하여 허용된 시간(예를 들어, 15분 내), WLAN 네트워크의 로드 중 적어도 하나이다.
도 24를 참조하면, 2402에서, 방법은 LTE 키 리프레시/리키잉 절차를 수행하는 단계를 포함한다. 2404에서, 방법은 WLAN 키 리프레시를 즉시 수행할지를 판단하는 단계를 포함한다. eNB(200)가 WLAN 키 리프레시 절차를 즉시 수행하면, 2406에서, eNB(200)는 WT 해제 및 WT 부가 절차를 수행한다. eNB(200)가 즉시 WLAN 키 리프레시 절차를 수행하지 않으면, 2408에서, eNB(200)는 나중에 키 리프레시를 수행하기 위해 키를 WT에 제공하고 WT 카운트 값을 AT(100)에 제공한다.
흐름도(2400)의 다양한 동작, 작용, 블록, 단계 등은 상이한 순서 또는 동시에 제시된 순서로 수행될 수 있다. 더욱이, 일부 실시예에서, 본 발명의 범위를 벗어나지 않고, 동작, 작용, 블록, 단계 등의 일부는 생략되거나, 부가되거나, 수정되거나 스킵될 수 있다.
도 25는 본 명세서에 개시된 바와 같은 실시예에 따라 eNB(200) 및 WT(400)에 의해 WLAN 키 리프레시 절차를 독립적으로 트리거링하는 방법을 도시하는 흐름도(2500)이다.
일 실시예에서, WT(400)가 S-KWT를 리프레시하도록 결정할 때, WT(400)는 새로운 키를 제공하도록 eNB(200)에 요청한다. eNB(200)는 새로운 키를 WT(400)에 제공한 다음, 새로운 카운트 값을 AT(100)에 제공함으로써, AT(100) 또는 WT(400)는 WLAN 키 리프레시 절차를 개시하도록 한다(AT(100)가 리프레시 절차를 개시할 필요가 있는 경우, AT(100)는 재연관 절차[IEEE 802.11]를 개시하고, WT(400)가 키 리프레시 절차를 개시할 필요가 있는 경우, WT(400)는 WLAN 4-웨이 핸드셰이크 절차[IEEE 802.11 (IEEE 802.11i 절차)]를 개시한다).
2502에서, 방법은 LTE 키 리프레시/리키잉 절차를 수행하는 단계를 포함한다. 2504에서, 방법은 WLAN 키 리프레시를 즉시 수행할지를 판단하는 단계를 포함한다. eNB(200)가 WLAN 키 리프레시 절차를 즉시 수행하지 않으면, 2508에서 eNB(200)는 어떠한 키 정보도 제공하지 않는다. 나중에 키를 리프레시하기 위해, WT(400)는 새로운 키를 eNB에 제공하고 AT(100)를 새로운 WT 카운트 값으로 업데이트하도록 요청한다. eNB(200)가 WLAN 키 리프레시 절차를 즉시 수행하면, 2506에서 eNB(200)는 WT 해제 및 WT 부가 절차를 수행한다.
일 실시예에서, AT(100)는 AT(100)가 재연관을 즉시 수행할 것을 요구하는 옵션 대신에 새로운 WT 카운터에 대해 통지받으며, eNB(200)는 또한 AT(100)가 (예를 들어 30분 내에서 WLAN 설정에 기초하여) 나중에 업데이트를 수행할 것을 요구하는 옵션을 갖는다. 또한, eNB(200)는 WLAN 설정에 기초하여 즉시 키 변경을 수행하거나 나중에 업데이트를 수행할 것을 AT(100)에 요청하는 옵션을 갖는다.
흐름도(2500)의 다양한 동작, 작용, 블록, 단계 등은 상이한 순서 또는 동시에 제시된 순서로 수행될 수 있다. 더욱이, 일부 실시예에서, 본 발명의 범위를 벗어나지 않고, 동작, 작용, 블록, 단계 등의 일부는 생략되거나, 부가되거나, 수정되거나 스킵될 수 있다.
본 명세서에 개시된 실시예는 적어도 하나의 하드웨어 디바이스에서 실행되는 적어도 하나의 소프트웨어 프로그램을 통해 구현될 수 있다. 도 1 내지 도 15 및 도 18 내지 도 25에 도시된 요소는 하드웨어 디바이스 또는 하드웨어 디바이스와 소프트웨어 모듈의 조합 중 적어도 하나일 수 있는 블록, 요소, 동작, 작용, 단계 등을 포함한다.
특정 실시예에 대한 상술한 설명은 현재의 지식을 적용함으로써 다른 것이 일반적인 개념을 벗어나지 않고 이러한 특정 실시예를 다양한 애플리케이션에 용이하게 수정 및/또는 적응시킬 수 있는 본 명세서의 실시예의 일반적인 성질을 완전히 밝힐 것이며, 따라서 이러한 적응 및 수정은 개시된 실시예의 등가물의 의미 및 범위 내에서 이해되어야 한다. 본 명세서에 사용된 표현 또는 용어는 설명을 위한 것이지 제한하려는 것이 아님을 이해해야 한다. 따라서, 본 명세서의 실시예가 바람직한 실시예와 관련하여 설명되었지만, 통상의 기술자는 본 명세서의 실시예가 본 명세서에 설명된 실시예의 사상 및 범위 내에서 수정하여 실시될 수 있다는 것을 인식할 것이다.

Claims (24)

  1. LTE(Long Term Evolution)와 무선랜(wireless local access network, WLAN)과의 결합(LTE-WLAN aggregation, LWA)을 지원하는 기지국의 방법에 있어서,
    상기 기지국 및 상기 LWA를 위한 단말과 연결된 무선랜 종단(WLAN termination, WT)에 대한 보안 키 업데이트 트리거링 이벤트를 감지하는 단계;
    상기 보안 키 업데이트 트리거링 이벤트가, AS(access stratum) 보안 컨텍스트에서 상기 기지국의 KeNB 리키잉(re-keying)에 기반하여 감지되면, 상기 WT에 대한 상기 보안 키 업데이트를 위한 WT 수정 절차를 수행하는 단계; 및
    상기 보안 키 업데이트 트리거링 이벤트가, 상기 기지국에서 카운터 체크 절차를 수행할 때 확인된 PDCP(packet data convergence protocol) 카운트에서의 미스매치(mismatch)에 기반하여 감지되면, 상기 WT에 대한 상기 보안 키 업데이트를 위한 WT 해제 절차 및 WT 추가 절차를 수행하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제 1 항에 있어서,
    상기 WT 수정 절차 또는 상기 WT 해제 절차 및 WT 추가 절차를 수행하는 것에 기반하여, 상기 WT에 대한 상기 보안 키를 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  3. 제 1 항에 있어서, 상기 WT 수정 절차는,
    상기 WT로, 상기 업데이트된 보안 키를 포함하는 WT 수정 요청 메시지를 전송하는 단계; 및
    상기 단말로, 상기 업데이트된 보안 키의 도출에 사용된 WT 카운터의 값을 포함하는 무선 자원 제어(radio access control, RRC) 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  4. 제 3 항에 있어서,
    상기 업데이트된 보안 키는, WLAN 인증이 트리거되는 것에 기반하여, 상기 단말과 상기 WT에 의하여 사용되는 것을 특징으로 하는 방법.
  5. 삭제
  6. 제 1 항에 있어서, 상기 WT 해제 절차 및 상기 WT 추가 절차는,
    상기 WT로, WT 릴리즈 요청 메시지를 전송하는 단계;
    상기 WT로, 상기 업데이트된 보안 키를 포함하는 WT 추가 요청 메시지를 전송하는 단계; 및
    상기 단말로, 상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control, RRC) 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  7. LTE(Long Term Evolution)와 무선랜(wireless local access network, WLAN)과의 결합(LTE-WLAN aggregation, LWA)을 지원하는 무선랜 종단(wireless termination, WT)의 방법에 있어서,
    기지국의 AS(access stratum) 보안 컨텍스트에서 상기 기지국의 KeNB 리키잉(re-keying)에 의한 보안 키 업데이트 트리거링 이벤트가 상기 기지국에 의하여 감지되는 것에 기반하여, 상기 기지국과 상기 WT에 대한 보안 키 업데이트를 위한 WT 수정 절차를 수행하는 단계; 및
    상기 기지국에서 카운터 체크 절차를 수행할 때 확인된 PDCP(packet data convergence protocol) 카운트에서의 미스매치(mismatch)에 의한 보안 키 업데이트 트리거링 이벤트가 상기 기지국에 의하여 감지되는 것에 기반하여, 상기 기지국과 상기 WT에 대한 보안 키 업데이트를 위한 WT 해제 절차 및 WT 추가 절차를 수행하는 단계를 포함하고,
    상기 WT는, 상기 LWA를 위한, 상기 기지국 및 단말과 연결되고,
    상기 WT에 대한 상기 보안 키는, 상기 단말과 상기 WT 사이에서 사용되어지는 것을 특징으로 하는 방법.
  8. 삭제
  9. 제 7 항에 있어서,
    상기 WT 수정 절차는, 상기 기지국으로부터 상기 기지국에 의하여 업데이트된 보안 키를 포함하는 WT 수정 요청 메시지를 수신하는 단계를 포함하고,
    상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control, RRC) 메시지는, 상기 WT 수정 절차를 수행하기 위하여 상기 기지국으로부터 상기 단말로 전송되는 것을 특징으로 하는 방법.
  10. 제 9 항에 있어서,
    상기 업데이트된 보안 키는, WAN 인증 절차가 트리거되는 것에 기반하여, 상기 단말과 상기 WT에 의하여 사용되는 것을 특징으로 하는 방법.
  11. 삭제
  12. 제 7 항에 있어서,
    상기 WT 해제 절차 및 상기 WT 추가 절차는, 상기 기지국으로부터 WT 릴리즈 요청 메시지를 수신하는 단계, 및 상기 기지국으로부터 상기 기지국에 의하여 업데이트된 보안 키를 포함하는 WT 추가 요청 메시지를 수신하는 단계를 포함하고,
    상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control) 메시지는, 상기 WT 추가 절차를 수행하기 위하여 상기 기지국으로부터 상기 단말로 전송되는 것을 특징으로 하는 방법.
  13. LTE(Long Term Evolution)와 무선랜(wireless local access network, WLAN)과의 결합(LTE-WLAN aggregation, LWA)을 지원하는 기지국에 있어서,
    송수신부; 및
    상기 송수신부와 연결되어, 상기 기지국 및 상기 LWA를 위한 단말과 연결된 무선랜 종단(WLAN termination, WT)에 대한 보안 키 업데이트 트리거링 이벤트를 감지하고; 상기 보안 키 업데이트 트리거링 이벤트가, AS(access stratum) 보안 컨텍스트에서 상기 기지국의 KeNB 리키잉(re-keying)에 기반하여 감지되면, 상기 WT에 대한 상기 보안 키 업데이트를 위한 WT 수정 절차를 수행하고; 및 상기 보안 키 업데이트 트리거링 이벤트가, 상기 기지국에서 카운터 체크 절차를 수행할 때 확인된 PDCP(packet data convergence protocol) 카운트에서의 미스매치(mismatch)에 기반하여 감지되면, 상기 WT에 대한 상기 보안 키 업데이트를 위한 WT 해제 절차 및 WT 추가 절차를 수행하는 제어부를 포함하는 것을 특징으로 하는 기지국.
  14. 제 13 항에 있어서,
    상기 제어부는,
    상기 WT 수정 절차 또는 상기 WT 해제 절차 및 WT 추가 절차를 수행하는 것에 기반하여, 상기 WT에 대한 상기 보안 키를 업데이트하는 것을 특징으로 하는 기지국.
  15. 제 13항에 있어서,
    상기 제어부는,
    상기 WT로, 상기 업데이트된 보안 키를 포함하는 WT 수정 요청 메시지를 전송하도록 상기 송수신부를 제어하고; 및 상기 단말로, 상기 업데이트된 보안 키의 도출에 사용된 WT 카운터의 값을 포함하는 무선 자원 제어(radio access control, RRC) 메시지를 전송하도록 상기 송수신부를 제어하는 것을 특징으로 하는 기지국.
  16. 제 15 항에 있어서,
    상기 업데이트된 보안 키는, WLAN 인증이 트리거되는 것에 기반하여, 상기 단말과 상기 WT에 의하여 사용되는 것을 특징으로 하는 기지국.
  17. 삭제
  18. 제 13 항에 있어서,
    상기 제어부는,
    상기 WT로, WT 릴리즈 요청 메시지를 전송하고; 상기 WT로, 상기 업데이트된 보안 키를 포함하는 WT 추가 요청 메시지를 전송하며; 및 상기 단말로, 상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control, RRC) 메시지를 전송하도록 상기 송수신부를 제어하는 것을 특징으로 하는 기지국.
  19. LTE(Long Term Evolution)와 무선랜(wireless local access network, WLAN)과의 결합(LTE-WLAN aggregation, LWA)을 지원하는 무선랜 종단(wireless termination, WT)에 있어서,
    송수신부; 및
    상기 송수신부와 연결되어, 기지국의 AS(access stratum) 보안 컨텍스트에서 상기 기지국의 KeNB 리키잉(re-keying)에 의한 보안 키 업데이트 트리거링 이벤트가 상기 기지국에 의하여 감지되는 것에 기반하여, 상기 기지국과 상기 WT에 대한 보안 키 업데이트를 위한 WT 수정 절차를 수행하고; 및 상기 기지국에서 카운터 체크 절차를 수행할 때 확인된 PDCP(packet data convergence protocol) 카운트에서의 미스매치(mismatch)에 의한 보안 키 업데이트 트리거링 이벤트가 상기 기지국에 의하여 감지되는 것에 기반하여, 상기 기지국과 상기 WT에 대한 보안 키 업데이트를 위한 WT 해제 절차 및 WT 추가 절차를 수행하는 제어부를 포함하고,
    상기 WT는, 상기 LWA를 위한, 상기 기지국 및 단말과 연결되고,
    상기 WT에 대한 상기 보안 키는, 상기 단말과 상기 WT 사이에서 사용되어지는 것을 특징으로 하는 WT.
  20. 삭제
  21. 제 19항에 있어서,
    상기 제어부는, 상기 기지국으로부터 상기 기지국에 의하여 업데이트된 보안 키를 포함하는 WT 수정 요청 메시지를 수신하도록 상기 송수신부를 제어하고,
    상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control, RRC) 메시지는, 상기 WT 수정 절차를 수행하기 위하여 상기 기지국으로부터 상기 단말로 전송되는 것을 특징으로 하는 WT.
  22. 제 21 항에 있어서,
    상기 업데이트된 보안 키는, WAN 인증 절차가 트리거되는 것에 기반하여, 상기 단말과 상기 WT에 의하여 사용되는 것을 특징으로 하는 WT.
  23. 삭제
  24. 제 19항에 있어서,
    상기 제어부는, 상기 기지국으로부터 WT 릴리즈 요청 메시지를 수신하고, 및 상기 기지국으로부터 상기 기지국에 의하여 업데이트된 보안 키를 포함하는 WT 추가 요청 메시지를 수신하도록 상기 송수신부를 제어하고,
    상기 업데이트된 보안 키의 도출에 사용되는 WT 카운터의 값을 포함하는 무선 자원 제어(radio resource control) 메시지는, 상기 WT 추가 절차를 수행하기 위하여 상기 기지국으로부터 상기 단말로 전송되는 것을 특징으로 하는 WT.
KR1020197000305A 2016-07-05 2017-07-05 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 KR102332075B1 (ko)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
IN201641023119 2016-07-05
IN201641025054 2016-07-21
IN201641025054 2016-07-21
IN201641023119??? 2017-07-03
IN201641023119 2017-07-03
PCT/KR2017/007190 WO2018008983A1 (en) 2016-07-05 2017-07-05 Method and system for authenticating access in mobile wireless network system

Publications (2)

Publication Number Publication Date
KR20190016540A KR20190016540A (ko) 2019-02-18
KR102332075B1 true KR102332075B1 (ko) 2021-11-29

Family

ID=60921128

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197000305A KR102332075B1 (ko) 2016-07-05 2017-07-05 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템

Country Status (5)

Country Link
US (1) US10716002B2 (ko)
EP (1) EP3466135B1 (ko)
KR (1) KR102332075B1 (ko)
CN (1) CN109417709B (ko)
WO (1) WO2018008983A1 (ko)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
DK3459278T3 (da) * 2016-10-31 2020-06-15 Ericsson Telefon Ab L M Autentifikation til næstegenerationssystemer
WO2018137873A1 (en) * 2017-01-27 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Secondary authentication of a user equipment
CN110235458B (zh) 2017-01-30 2022-10-28 瑞典爱立信有限公司 对用于ue的服务amf的改变进行处理的方法、网络节点和介质
BR112019015387B1 (pt) 2017-01-30 2020-11-03 Telefonaktiebolaget Lm Ericsson (Publ) manuseio de contexto de segurança em 5g durante modo conectado
US11284250B2 (en) * 2017-06-16 2022-03-22 Telefonaktiebolaget Lm Ericsson (Publ) Network, network nodes, wireless communication devices and method therein for handling network slices in a wireless communication network
EP4247033A3 (en) * 2017-07-28 2023-10-25 Telefonaktiebolaget LM Ericsson (publ) Methods providing non-3gpp access using access network keys and related wireless terminals and network nodes
US10778609B2 (en) * 2017-08-10 2020-09-15 Futurewei Technologies, Inc. Interactions between a broadband network gateway and a fifth generation core
CN109699028B (zh) * 2017-10-23 2020-08-25 华为技术有限公司 一种生成密钥的方法、装置及系统
CN109803261B (zh) * 2017-11-17 2021-06-22 华为技术有限公司 鉴权方法、设备及系统
CN111052779A (zh) * 2018-01-25 2020-04-21 华为技术有限公司 通信方法和通信装置
DE102019105571A1 (de) * 2018-03-09 2019-09-12 GM Global Technology Operations LLC Sichere eap-aka-authentifizierung über ein proxy
US11153309B2 (en) 2018-03-13 2021-10-19 At&T Mobility Ii Llc Multifactor authentication for internet-of-things devices
US11722891B2 (en) * 2018-04-05 2023-08-08 Nokia Technologies Oy User authentication in first network using subscriber identity module for second legacy network
WO2019194155A1 (en) * 2018-04-06 2019-10-10 Nec Corporation An authentication method for next generation systems
CN109104727B (zh) * 2018-08-08 2021-05-04 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
CN110881020B (zh) * 2018-09-06 2021-07-23 大唐移动通信设备有限公司 一种用户签约数据的鉴权方法及数据管理网元
CN110891271B (zh) * 2018-09-10 2021-06-11 大唐移动通信设备有限公司 一种鉴权方法及装置
US10750553B2 (en) 2018-09-25 2020-08-18 Cisco Technology, Inc. Systems and methods for selection of collocated nodes in 5G network
KR102604283B1 (ko) * 2018-10-05 2023-11-20 삼성전자주식회사 정보 보안을 위한 장치 및 방법
WO2020092542A1 (en) * 2018-11-02 2020-05-07 Intel Corporation Protection of initial non-access stratum protocol message in 5g systems
EP3909275A1 (en) * 2019-01-11 2021-11-17 NEC Corporation A method and a device for enabling key re-usage in a communication network
CN111565391B (zh) * 2019-02-14 2022-04-05 华为技术有限公司 一种通信方法及装置
CN111654862B (zh) * 2019-03-04 2021-12-03 华为技术有限公司 终端设备的注册方法及装置
CN111654861B (zh) * 2019-03-04 2023-05-09 中国移动通信有限公司研究院 一种认证方法、装置、设备及计算机可读存储介质
WO2020206620A1 (en) * 2019-04-09 2020-10-15 Orange Methods and apparatus to discriminate authentic wireless internet-of-things devices
WO2020215331A1 (zh) * 2019-04-26 2020-10-29 华为技术有限公司 一种通信方法及装置
US11751049B2 (en) 2019-05-01 2023-09-05 John A. Nix Distributed EAP-TLS authentication for wireless networks with concealed user identities
WO2021025428A1 (ko) * 2019-08-07 2021-02-11 엘지전자 주식회사 복수의 sim에 기초한 발신자 정보 확인
WO2021031051A1 (en) * 2019-08-18 2021-02-25 Apple Inc. Mobile device authentication without electronic subscriber identity module (esim) credentials
KR20210030157A (ko) 2019-09-09 2021-03-17 삼성전자주식회사 무선 통신 시스템에서 무인 비행 서비스를 위한 인증 및 허가를 위한 장치 및 방법
EP4007326A4 (en) * 2019-10-04 2022-10-05 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR ACTIVATING A 5G USER
CN112788593A (zh) * 2019-11-04 2021-05-11 阿里巴巴集团控股有限公司 安全策略的更新方法及装置、系统
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
CN112929876B (zh) * 2019-12-05 2022-05-17 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
US10750366B1 (en) * 2019-12-19 2020-08-18 Cisco Technology, Inc. Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access
KR102365563B1 (ko) * 2020-04-29 2022-02-22 (주)케이사인 대규모 IoT 기기의 네트워크 연결 방법
CN114158040A (zh) * 2020-08-18 2022-03-08 上海朗帛通信技术有限公司 一种被用于无线通信的方法和设备
KR102340000B1 (ko) * 2020-09-02 2021-12-15 주식회사 엘지유플러스 단말로부터의 인증 요청을 처리하는 방법
WO2022071779A1 (en) * 2020-09-30 2022-04-07 Samsung Electronics Co., Ltd. Method, ue, and network entity for handling synchronization of security key in wireless network
CN112235799B (zh) * 2020-10-14 2021-11-16 中国电力科学研究院有限公司 终端设备入网鉴权方法及系统
CN112512048B (zh) * 2020-11-27 2022-07-12 达闼机器人股份有限公司 移动网络接入系统、方法、存储介质及电子设备
US20230045417A1 (en) * 2021-08-06 2023-02-09 Nokia Technologies Oy Authentication between user equipment and communication network for onboarding process
CN114760626B (zh) * 2021-10-18 2024-04-02 西安电子科技大学 一种5g大规模终端的自适应组合认证方法
TWI797819B (zh) * 2021-11-08 2023-04-01 光寶科技股份有限公司 認證系統和方法
CN114095928A (zh) * 2021-11-08 2022-02-25 光宝科技股份有限公司 认证系统和方法
US11647392B1 (en) 2021-12-16 2023-05-09 Bank Of America Corporation Systems and methods for context-aware mobile application session protection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101262344B1 (ko) 2005-10-26 2013-05-08 주식회사 케이티 다이어미터(diameter) 기반의 aaa 인증 시스템및 그를 이용한 세션 관리 방법
US20160029213A1 (en) * 2013-09-11 2016-01-28 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
WO2016084865A1 (ja) 2014-11-27 2016-06-02 京セラ株式会社 ユーザ端末及びアクセスポイント

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI114276B (fi) * 2002-01-11 2004-09-15 Nokia Corp Verkkovierailun järjestäminen
ES2384634T7 (es) * 2003-09-26 2018-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles
CN101772020B (zh) * 2009-01-05 2011-12-28 华为技术有限公司 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
US20120282929A1 (en) * 2009-11-16 2012-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Apparatuses and Methods for Reducing a Load on a Serving Gateway in a Communications Network Systems
US8478258B2 (en) * 2010-03-05 2013-07-02 Intel Corporation Techniques to reduce false detection of control channel messages in a wireless network
US8861452B2 (en) * 2010-08-16 2014-10-14 Qualcomm Incorporated Method and apparatus for use of licensed spectrum for control channels in cognitive radio communications
JP2015534355A (ja) 2012-09-14 2015-11-26 インターデイジタル パテント ホールディングス インコーポレイテッド 無線システムでWi−Fiオフローディングを行うためのモビリティ制御方法
KR101964083B1 (ko) * 2012-10-31 2019-04-01 삼성전자 주식회사 무선 통신 시스템에서 기지국간 반송파 집적을 통한 데이터 전송 방법 및 장치
DK3018850T3 (en) * 2013-01-30 2017-07-10 ERICSSON TELEFON AB L M (publ) Generating a security key for dual connectivity
WO2014182338A1 (en) * 2013-05-09 2014-11-13 Intel IP Corporation Small data communications
KR101898934B1 (ko) * 2014-03-26 2018-09-14 삼성전자주식회사 통신 시스템에서 인증 방법 및 장치
JP2016025505A (ja) * 2014-07-22 2016-02-08 本田技研工業株式会社 車載通信装置
KR102422372B1 (ko) * 2014-08-29 2022-07-19 삼성전자 주식회사 생체 정보와 상황 정보를 이용한 인증 방법 및 장치
EP3195642B1 (en) * 2014-09-05 2023-03-22 Telefonaktiebolaget LM Ericsson (publ) Interworking and integration of different radio access networks
US9672260B2 (en) * 2014-10-07 2017-06-06 Google Inc. Systems and methods for updating data across multiple network architectures
WO2016153306A1 (en) * 2015-03-25 2016-09-29 Lg Electronics Inc. Method and apparatus for performing offloading procedures for wlan-lte integration and interworking in wireless communication system
CN107683621A (zh) * 2015-05-26 2018-02-09 英特尔Ip公司 针对lte/wlan聚合的wlan移动
GB2541392A (en) * 2015-08-14 2017-02-22 Nec Corp Communication system
US10638388B2 (en) * 2016-08-05 2020-04-28 Qualcomm Incorporated Techniques for fast transition of a connection between a wireless device and a local area network, from a source access node to a target access node

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101262344B1 (ko) 2005-10-26 2013-05-08 주식회사 케이티 다이어미터(diameter) 기반의 aaa 인증 시스템및 그를 이용한 세션 관리 방법
US20160029213A1 (en) * 2013-09-11 2016-01-28 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
WO2016084865A1 (ja) 2014-11-27 2016-06-02 京セラ株式会社 ユーザ端末及びアクセスポイント

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
S3-160721, 3GPP TSG-SA3 Meeting #83, LWA technical and editorial eorrections, 2016.05.*

Also Published As

Publication number Publication date
CN109417709A (zh) 2019-03-01
KR20190016540A (ko) 2019-02-18
CN109417709B (zh) 2022-06-10
EP3466135A1 (en) 2019-04-10
US10716002B2 (en) 2020-07-14
EP3466135B1 (en) 2022-01-05
US20190261178A1 (en) 2019-08-22
WO2018008983A1 (en) 2018-01-11
EP3466135A4 (en) 2019-11-20

Similar Documents

Publication Publication Date Title
KR102332075B1 (ko) 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템
US10455414B2 (en) User-plane security for next generation cellular networks
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
RU2669780C2 (ru) Взаимодействие и интеграция различных сетей радиодоступа
CA2800941C (en) Method and apparatus for binding subscriber authentication and device authentication in communication systems
KR101617607B1 (ko) 기지국 자가 구성을 위한 방법 및 장치
JP2019512942A (ja) 5g技術のための認証機構
WO2019019736A1 (zh) 安全实现方法、相关装置以及系统
TW201406118A (zh) 使用單一登入系統之一次往返認證
US11490252B2 (en) Protecting WLCP message exchange between TWAG and UE
KR20230124621A (ko) 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템
EP3228152B1 (en) Method performed by a wlan node in an integrated wireless communications network, for applying security to received traffic data.
Said et al. A Comparative Study on Security implementation in EPS/LTE and WLAN/802.11

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant