KR102345932B1 - 네트워크 보안 관리 방법 및 장치 - Google Patents

네트워크 보안 관리 방법 및 장치 Download PDF

Info

Publication number
KR102345932B1
KR102345932B1 KR1020207004389A KR20207004389A KR102345932B1 KR 102345932 B1 KR102345932 B1 KR 102345932B1 KR 1020207004389 A KR1020207004389 A KR 1020207004389A KR 20207004389 A KR20207004389 A KR 20207004389A KR 102345932 B1 KR102345932 B1 KR 102345932B1
Authority
KR
South Korea
Prior art keywords
session
network
authentication
terminal device
data network
Prior art date
Application number
KR1020207004389A
Other languages
English (en)
Other versions
KR20200022512A (ko
Inventor
중딩 레이
리춘 리
하이광 왕
신 캉
Original Assignee
후아웨이 인터내셔널 피티이. 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 인터내셔널 피티이. 엘티디. filed Critical 후아웨이 인터내셔널 피티이. 엘티디.
Publication of KR20200022512A publication Critical patent/KR20200022512A/ko
Application granted granted Critical
Publication of KR102345932B1 publication Critical patent/KR102345932B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 출원의 실시예는 네트워크 보안 관리 방법 및 장치를 제공한다. 상기 방법은: 제1 네트워크 장치가 단말 장치에 의해 전송된 세션 요청을 수신하는 단계 - 상기 세션 요청은 제1 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되고, 상기 세션 요청은 상기 제1 세션에 대한 제1 인증 정보를 포함하고, 상기 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함함 - ; 상기 제1 네트워크 장치가 상기 단말 장치의 제2 세션에 대한 제2 인증 정보를 획득하는 단계 - 상기 제2 인증 정보는 상기 제2 세션이 연결되는 제2 데이터 네트워크의 식별자 정보를 포함함 - ; 및 상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하면, 상기 제1 네트워크 장치가 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계를 포함한다. 본 출원의 실시예를 사용하는 이점은 단말 장치 인증의 효율성을 향상시키고 단말 장치 인증의 자원 소비를 감소시키며 네트워크 보안 관리의 적용성을 향상시키는 것을 포함한다.

Description

네트워크 보안 관리 방법 및 장치
본 출원은 통신 기술 분야에 관한 것이며, 특히 네트워크 보안 관리 방법 및 장치에 관한 것이다.
네트워크 보안 관리에서 네트워크에 액세스하기 전에 단말 장치를 인증하고 권한을 부여해야 한다. 단말 장치는 인증 및 권한이 부여된 후에만 네트워크에 액세스할 수 있다. 4 세대 이동 통신 기술(4th generation mobile communication technology, 4G) 네트워크에서, 단말 장치는 오퍼레이터 네트워크에 의해 직접 인증되고 권한 부여된다. 이를 5 세대 무선((5th-Generation, 5G), 새로운 무선(New radio, NR)이라고도 한다) 표준화 프로세스에서 프라이머리 인증(primary authentication)이라고 한다. 오퍼레이터 네트워크를 사용하여 오퍼레이터 네트워크 외부의 데이터 네트워크(data network, DN)에 액세스하도록 요청하는 단말 장치도 DN에 액세스하기 전에 DN에 의해 인증되고 권한을 부여받아야 한다. 5G 표준화 프로세스에서, DN에 의한 단말 장치에서의 이러한 인증 및 권한 부여는 세컨더리 인증(secondary authentication)으로 지칭된다. 제2 인증은 일반적으로 제1 인증 후에 수행된다.
기존의 구현에서, 단말 장치는 DN에 대한 패킷 데이터 유닛(패킷 데이터 유닛, PDU) 세션 접속을 구축할 필요가 있을 때 오퍼레이터 네트워크를 사용하여 DN에 의해 인증되고 권한 부여된다. DN이 단말 장치의 세컨더리 인증 결과를 오퍼레이터 네트워크에 피드백한 후, 오퍼레이터 네트워크는 그 결과에 기초하여 단말 장치의 DN에 대한 PDU 세션 연결을 구축할지를 판정한다. 기존의 구현에서, 세컨더리 인증은 세션마다 수행되며, 단말 장치가 DN과의 PDU 세션을 구축해야 할 때마다 세컨더리 인증이 수행되어야 한다. 단말 장치가 하나의 DN 또는 하나의 인증 서버(그룹)와 연관된 다른 DN과의 복수의 PDU 세션을 구축해야 하는 경우, DN과의 인증이 반복되어야 한다. 인증 효율성이 낮고 자원이 크게 낭비된다.
"3rd Generation Partnership Project; Technical Specification Group Service and System Aspects; Study on Architecture for Next Generation System (Release 14), 3GPP STANDARD; TECHNICAL report; 3GPP TR 23.799, vol. SA WG3, no. V14.0.0, 16 December 2016(2016-12-16), pages 1-527, XP051295448"는 사용자 장치와 네트워크가 사용자 평면 최적화를 지원하는 경우, 연결을 재개하기 위해 사용자 장치에 의해 사용되는 절차를 개시합니다.
"Section 5.6.3.3.1- KEY ISSUE DETAILS, vol. SA WG3, no. Ljubljana; 20170515-20170519 5 June 2017 (2017-06-15), XP051289779"는 NextGen 네트워크의 서비스가 동적으로 공급될 수 있고 하나 초과의 이해 당사자/서비스 공급자에 의해 제공될 수 있으며, 그리고 이러한 서비스는 동적 인증을 요구하고 중복 인증을 회피해야할 필요가 있는 구성을 개시합니다.
본 출원의 실시예는 단말 장치 인증의 효율성을 향상시키고 단말 장치 인증의 자원 소비를 감소시키며 네트워크 보안 관리의 적용성을 향상시키기 위해 네트워크 보안 관리 방법 및 장치를 제공한다.
제1 관점은 네트워크 보안 관리 방법을 제공하는데, 이 방법은 오퍼레이터 네트워크 상의 제1 네트워크 장치에 의해 실행될 수 있고, 제1 네트워크 장치는 신원 인증자로서 기능하며, 이 방법은:
상기 제1 네트워크 장치가 단말 장치에 의해 전송된 세션 요청을 수신하는 단계 - 상기 세션 요청은 상기 제1 네트워크 장치가 상기 단말 장치와 제1 데이터 네트워크 사이에 제1 세션을 구축하도록 요청하는 데 사용될 수 있으며, 상기 세션 요청은 제1 세션에 대한 제1 인증 정보를 포함함 - ; 및 상기 제1 네트워크 장치가 단말 장치에 의해 초기에 개시된 복수의 세션 중 세션 요청에 의해 운송된 제1 인증 정보 및 제2 세션에 대해 미리 구축된 제2 인증 정보에 기초하여 제1 데이터 네트워크와의 제1 세션을 구축하기 위해 단말 장치를 인증 또는 권한 부여하는 단계를 포함한다. 본 출원의 이 실시예에서 제공되는 방법에 따르면, 단말 장치가 새로운 세션을 개시할 때, 그 새로운 세션에 대한 빠른 인증을 수행할지는 단말 장치에 의해 초기에 개시된 다른 세션에 대한 인증 정보에 기초하여 결정될 수 있다. 새로운 세션에 대한 인증이 필요하지 않은 경우, 단말 장치는 제1 데이터 네트워크와의 새로운 세션을 구축하도록 직접 권한 부여될 수 있다. 이것은 세션 구축의 효율성을 향상시키고, 단말 장치, 오퍼레이터 네트워크의 네트워크 장치 및 데이터 네트워크 사이의 추가적인 시그널링 오버헤드를 감소시키고, 세션 인증의 자원 소비를 감소 시켜서 더 나은 적용성을 갖는다.
선택적으로, 단말 장치에 의해 전송된 세션 요청에서 운송된 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함할 수 있고, 제1 네트워크 장치는 단말 장치에 의해 초기에 시작된 제2 세션이 연결되는 제2 데이터 네트워크의 식별자 정보를 로컬 저장 공간으로부터 획득할 수 있다. 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하면, 제1 네트워크 장치는 제1 데이터 네트워크와의 제1 세션을 구축하도록 단말 장치에 직접 권한을 부여할 수 있다. 단말 장치가 시작한 새로운 세션은 인증없이 구축될 수 있다. 단말 장치는 새로운 세션의 데이터 전송 채널을 이용하여 데이터 네트워크와의 데이터 전송 상호 작용을 신속하게 수행할 수 있다. 데이터 전송 채널 구축이 보다 효율적으로 적용된다.
선택적으로, 제1 데이터 네트워크의 식별자 정보는 본 출원의 이 실시예에서 설명된 제2 데이터 네트워크의 식별자 정보와 동일하다는 것은 다음:
제1 데이터 네트워크의 데이터 네트워크 번호(data network number, DNN)가 제2 데이터 네트워크의 DNN과 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버가 제2 데이터 네트워크의 인증 서버와 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹이 제2 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹과 동일하다는 것
중 적어도 하나를 포함한다.
본 출원의 이 실시예에서, 새로운 세션이 접속을 요청하는 데이터 네트워크가 단말 장치에 의해 초기에 개시된 세션이 접속되는 데이터 네트워크와 동일할 때, 단말 장치는 데이터 네트워크와의 새로운 세션을 구축하도록 직접적으로 권한 부여될 수 있다. 본 출원의 이 실시예에서, 새로운 세션이 연결되는 데이터 네트워크의 인증 서버가 단말 장치에 의해 초기에 개시된 세션이 연결되는 데이터 네트워크의 인증 서버와 동일할 때 또는 인증 서버가 동기 인증 서버일 때 단말 장치는 데이터 네트워크와의 새로운 세션을 구축하도록 직접 권한 부여될 수 있다. 본 출원의 이 실시예에서 단말 장치에 데이터 네트워크와의 세션을 구축하도록 직접 권한 부여하는 것은 많은 시나리오에 적응 가능하다. 따라서, 더 나은 적용성이 달성된다.
선택적으로, 신원 인증자 역할을 하는 제1 네트워크 장치가 단말 장치의 가입 데이터 또는 초기에 시작된 다른 세션에 대한 인증 정보를 저장하지 않거나 저장하지 않았을 때, 단말 장치의 가입 데이터 또는 초기에 시작된 세션에 대한 인증 정보는 제2 네트워크 장치에 저장될 수 있다. 예를 들어, 통합 데이터 관리 네트워크 요소에 의한 관리의 애플리케이션 시나리오에서, 제1 네트워크 장치는 제2 네트워크 장치에 인증 정보 조회 요청을 전송하여, 단말 장치에 의해 초기에 시작된 세션에 대한 인증 정보를 제2 네트워크 장치에 조회할 수 있으며; 그리고 제1 네트워크 장치는 제2 네트워크 장치에 의해 피드백된 단말 장치의 제2 세션에 대한 제2 인증 정보를 수신하고, 제2 인증 정보로부터 제2 데이터 네트워크의 식별자 정보를 획득한다. 또한, 제1 세션이 접속을 요청한 제1 데이터 네트워크의 식별자 정보가 단말 장치에 의해 초기에 개시된 세션이 접속되는 데이터 네트워크의 식별자 정보와 동일하면, 단말 장치는 데이터 네트워크와의 새로운 세션(즉, 제1 세션)을 구축하도록 직접 권한 부여된다. 제2 세션은 단말 장치에 의해 초기에 개시된 복수의 세션 중 적어도 하나이고, 상기 제2 세션에 대한 제2 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있다. 이 작업이 더 유연하고 적용성이 더 좋다.
선택적으로, 단말 장치가 구축을 요청하는 제1 세션에 대한 제1 인증 정보는 제1 세션에 의해 사용되는 제1 보안 컨텍스트를 더 포함하고, 단말 장치에 의해 초기에 시작된 제2 세션에 대한 제2 인증 정보는 제2 세션에 의해 사용되는 제2 보안 컨텍스트 정보를 포함한다. 제1 네트워크 장치는 제2 세션에 의해 사용된 제2 보안 컨텍스트를 로컬 저장 공간으로부터 획득할 수 있고, 제2 보안 컨텍스트가 제1 보안 컨텍스트와 동일할 때, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하거나 또는 동일한 보안 컨텍스트 정보를 기반으로 빠른 인증 및 권한 부여를 시작하도록 권한을 부여한다. 본 출원의 이 실시예에서, 새로운 세션이 연결을 요청하는 데이터 네트워크가 단말 장치에 의해 초기에 시작된 세션이 연결되는 데이터 네트워크와 동일할 때 또는 데이터 네트워크의 서버가 동일할 때, 보안 컨텍스트가 비교되어, 보안 인증없이 새로운 세션에 대한 권한 부여를 직접 수행하거나 동일한 보안 컨텍스트를 기반으로 빠른 인증을 수행하도록 결정한다. 이 작업은 쉽고 네트워크 보안 관리의 데이터 처리 효율성이 높다.
선택적으로, 본 출원의 이 실시예에서 제공되는 구현에서, 제1 네트워크 장치는 제1 데이터 네트워크와의 제1 세션을 구축하도록 단말 장치에 권한을 부여한 후 제2 세션의 제2 보안 컨텍스트를 갱신하고, 단말 장치에 저장된 제2 세션의 보안 컨텍스트를 갱신하도록 단말 장치에 지시할 수 있으며, 이에 의해 네트워크 보안 관리의 더 많은 보안 요구 사항, 예를 들어 재생 공격을 방지하는 보안 요구 사항을 만족시킨다.
선택적으로, 본 출원의 이 실시예에서 제공되는 구현에서, 신원 인증자로서 기능하는 제1 네트워크 장치가 단말 장치에 의해 초기에 개시된 세션의 보안 컨텍스트와 같은 정보를 저장하지 않거나 저장하지 않았을 때, 단말 장치에 의해 초기에 개시된 세션의 보안 컨텍스트와 같은 정보에 대해 제2 네트워크 장치가 조회될 수 있고, 단말 장치에 의해 개시된 새로운 세션에 대한 인증을 수행할지가 추가로 결정될 수 있다. 이것은 구체적으로: 제1 네트워크 장치가 보안 컨텍스트 조회 요청을 제2 네트워크 장치에 전송하는 단계 - 여기서 보안 컨텍스트 조회 요청은 단말 장치의 세션의 보안 컨텍스트를 조회하는 데 사용됨 - ; 및 제1 네트워크 장치가 제2 네트워크 장치에 의해 피드백된 제2 세션의 제2 보안 콘텍스트를 수신하는 단계 - 여기서, 제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션의 보안 콘텍스트는 여전히 유효 기간 내에 있다.
본 출원의 이 실시예에서 제공되는 이 구현에서, 제1 네트워크 장치는 단말 장치에 의해 초기에 시작된 세션의 보안 컨텍스트와 같은 인증 정보를 제2 네트워크 장치에 요청하고, 새로운 세션이 연결을 요청하는 데이터 네트워크가 단말 장치에 의해 초기에 시작된 세션이 연결되는 데이터 네트워크와 동일할 때 또는 데이터 네트워크의 서버가 동일할 때, 보안 컨텍스트를 추가로 비교하여 새로운 세션에 대한 권한 부여를 직접 수행하거나 또는 동일한 보안 컨텍스트 정보를 기반으로 빠른 인증 및 권한 부여를 수행하기로 결정한다. 데이터 획득 방식이 다양하고 세션 구축을 위한 권한 부여 작업이 더 쉬우며 네트워크 보안 관리의 데이터 처리 효율성이 높다.
선택적으로, 단말 장치의 세션에 대한 인증 정보는 다음: 오퍼레이터 네트워크 상의 단말 장치 가입 식별자 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID, 세션이 연결되는, 오퍼레이터 네트워크의 네트워크 장치의 ID, 세션의 보안 컨텍스트, 세션이 연결되는 데이터 네트워크의 식별자 정보, 세션이 연결되는 인증 서버의 식별자 정보 및 성공적인 유효 세션 인증의 유효 기간 중 적어도 하나를 포함한다.
선택적으로, 오퍼레이터 네트워크 상의 단말 장치 가입 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID 및 세션의 보안 컨텍스트 중 적어도 하나 또는 둘은 단말 장치에 대한 인증, 빠른 인증 또는 권한 부여에 사용된다.
선택적으로, 제1 데이터 네트워크와의 제1 세션을 구축하도록 단말 장치에 권한을 부여하는 것은 다음:
제1 네트워크 장치가 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책 조회 요청을 전송하는 단계; 및
제1 네트워크 장치가 제2 네트워크 장치에 의해 피드백된 세션 인증 또는 권한 부여 정책을 수신하고, 세션 인증 또는 권한 부여 정책에 따라, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 부여하는 단계
를 포함한다.
본 출원의 이 실시예에서 제공되는 이러한 구현에서, 신원 인증자로서 기능하는 제1 네트워크 장치는 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책을 조회하고, 제2 네트워크 장치에 의해 제공된 세션 인증 또는 권한 부여 정책에 따라 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 권한 부여할 수 있다.
선택적으로, 본 출원의 이 실시예에서 제공되는 방법은:
제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하면, 제1 네트워크 장치가 제1 데이터 네트워크의 인증 서버에 세션 인증 요청을 전송하는 단계 - 상기 세션 인증 요청은 인증 서버가 상기 제2 인증 정보에 기초하여 제1 세션에 대한 빠른 인증을 개시하도록 지시하는 데 사용됨 - ; 및
인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지가 수신되면, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계
를 더 포함한다.
선택적으로, 제1 네트워크 장치가 단말 장치에 의해 전송된 세션 요청을 수신한 후, 방법은:
제1 네트워크 장치가 제1 데이터 네트워크의 인증 서버에 세션 요청을 포워딩하는 단계 - 세션 요청은 인증 서버를 트리거링하여 제1 세션에 대한 빠른 인증을 수행할지를 판정하는 데 사용됨 - ; 및
인증 서버가 제1 세션에 대한 빠른 인증을 수행하기로 결정하면, 인증 서버가 제1 세션에 대한 빠른 인증을 수행한 후 제1 네트워크 장치가 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신하고, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계
를 더 포함한다.
본 출원의 이 실시예의 이러한 구현에서, 제1 세션에 대한 빠른 인증은 EAP 재인증 프로토콜(EAP re-authentication protocol, ERP)을 포함할 수 있다. EAP 인증을 사용하는 시스템에서, 단말 장치 및 인증 서버는 신원 인증자를 사용하여 완전한 EAP 인증 절차를 수행한다. 단말 장치가 하나의 신원 인증자에서 다른 신원 인증자로 이동할 때(데이터 네트워크의 인증 서버가 변경되지 않는다), 다른 완전한 EAP 인증 절차를 수행할 필요없이 ERP 메커니즘을 사용하여 신원 인증자 간의 빠르고 안전한 전환을 구현할 수 있다. 본 출원의 이 실시예에서 설명된 ERP는 하나의 EAP 인증 방법으로 제한되지 않고, 복수의 EAP 인증 방법이 지원된다.
선택적으로, 제1 세션에 대한 빠른 인증은 보안 터널링(EAP-FAST)을 통한 EAP 플렉시블 인증을 포함할 수 있다. EAP-FAST 프로토콜은 두 스테이지로 구성된다. 스테이지 1에서, 전송 계층 보안(transport layer security, TLS) 프로토콜에 기초하여 단말 장치와 DN 사이에 보안 터널이 구축된다. 스테이지 2에서, 보안 터널을 다시 구축할 필요없이 보안 터널이 빠르게 복원되므로 안전하고 빠른 연결 구축이 구현된다. 본 명세서에 EAP-FAST를 적용하면, 단말 장치의 제1 세컨더리 인증은 EAP-FAST의 스테이지 1에 해당하고, 단말 장치의 제2 세컨더리 인증은 스테이지 2에 해당한다.
선택적으로, 전술한 세컨더리 인증의 빠른 인증은 다른 빠른 인증 프로토콜을 포함할 수 있다. 여기에는 제한이 없다.
전술한 빠른 인증 방법은 일반적으로 물리적 인증 노드 사이에서 전환이 수행될 때 수행되는 빠른 인증에 사용된다. 본 출원의 이 실시예에서, 물리적 인증 노드들 사이에서 수행되는 전술한 빠른 인증 방식은 단말 장치와 DN 사이의 세컨더리 인증의 빠른 인증을 위해 사용될 수 있다. ERP 및 EAP-FAST 빠른 인증 방식에 의해 제공되는 구현들(이에 대해서는 IETF EAP 프로토콜 RFC 6696 및 RFC 4851을 각각 참조할 수 있다)은 여기에 제한되지 않는다.
선택적으로, 재인증과 같은 전술한 빠른 인증 방식은 제1 네트워크 장치에 의해 개시될 수 있고, 제1 네트워크 장치는 데이터 네트워크의 인증 서버에 세션 인증 요청을 전송하여 인증 서버가 제1 세션의 재인증과 같은 빠른 인증 및 권한 부여를 수행하도록 트리거링한다.
선택적으로, 재인증과 같은 전술한 빠른 인증 방식은 대안으로 제1 네트워크 장치의 인식없이 데이터 네트워크의 인증 서버에 의해 결정 및/또는 개시될 수 있다. 제1 네트워크 장치는 인증 서버에 세션 요청을 포워딩하여, 인증 서버가 제1 세션에 대한 빠른 인증을 수행할지를 판정하도록 트리거링할 수 있다. 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신할 때, 제1 네트워크 장치는 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여할 수 있다. 본 출원의 이 실시예에서 제공되는 네트워크 보안 관리는 많은 시나리오에 적응 가능하다. 작업이 더 유연하고 적용성이 더 좋다.
제2 관점은 네트워크 보안 관리 방법을 제공하며, 이는 오퍼레이터 네트워크 상에서 데이터 관리 네트워크 요소로서 기능하는 제1 네트워크 장치에 의해 실행될 수 있고, 데이터 관리 요소는 오퍼레이터 네트워크에서 신원 인증자 역할을 하는 제2 네트워크 장치에 대해 단말 장치의 세션에 대한 인증 정보를 제공할 수 있으며, 방법은:
제1 네트워크 장치가 제2 네트워크 장치에 의해 전송된 인증 정보 조회 요청을 수신하는 단계 - 상기 인증 정보 조회 요청은 단말 장치의 식별자 정보 및 상기 단말이 구축하도록 요청하는 제1 세션이 연결되는 제1 데이터 네트워크의 식별자 정보를 포함함 - ;
상기 제1 네트워크 장치가 상기 단말 장치의 식별자 정보 및 상기 제1 데이터 네트워크의 식별자 정보에 기초하여 상기 제1 데이터 네트워크에 연결하기 위한 상기 단말 장치의 제2 세션에 대한 인증 정보를 획득하는 단계; 및
상기 제1 네트워크 장치가 상기 제2 세션에 대한 인증 정보를 상기 제2 네트워크 장치에 피드백하여, 상기 제2 네트워크 장치가 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 트리거링하는 단계
를 포함하며,
상기 제2 세션은 상기 제1 데이터 네트워크에 연결하기 위해 상기 단말 장치에 의해 개시된 복수의 세션 중 적어도 하나이다.
선택적으로, 단말 장치의 제2 세션에 대한 인증 정보는 다음: 오퍼레이터 네트워크 상의 단말 장치 가입 식별자 ID, 제1 데이터 네트워크 상의 단말 장치 가입 식별자 ID, 세션이 연결되는, 오퍼레이터 네트워크의 네트워크 장치의 ID, 세션의 보안 컨텍스트, 세션이 연결되는 데이터 네트워크의 식별자 정보, 세션이 연결되는 인증 서버의 식별자 정보 및 성공적인 세션 인증의 유효 기간 중 적어도 하나를 포함한다.
선택적으로, 오퍼레이터 네트워크 상의 단말 장치 가입 식별자 ID, 제1 데이터 네트워크 상의 단말 장치 가입 식별자 ID 및 세션의 보안 컨텍스트 중 적어도 하나 또는 둘은 단말 장치에 대한 인증, 빠른 인증 또는 권한 부여에 사용된다.
선택적으로, 상기 인증 정보 조회 요구는 제1 데이터 네트워크의 식별자 정보를 포함하며,
제1 네트워크 장치가 제2 네트워크 장치에 단말 장치의 세션에 대한 인증 정보를 피드백하는 단계는:
제1 네트워크 장치가 단말 장치의 복수의 미리 저장된 세션들로부터, 제1 데이터 네트워크에 연결된 제2 세션을 결정하고, 제2 세션에 대한 인증 정보를 제2 네트워크 장치에 피드백하는 단계
를 포함하며,
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션에 대한 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있다.
선택적으로, 상기 방법은:
제1 네트워크 장치가 상기 제2 네트워크 장치에 의해 전송된 세션 인증 또는 권한 부여 정책 조회 요청을 수신하는 단계; 및
제1 네트워크 장치가 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책을 피드백하는 단계
를 더 포함하며, 여기서
세션 인증 또는 권한 부여 정책은 제2 네트워크 장치가 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 단말 장치에 부여하도록 지시하는 데 사용된다.
본 출원의 이 실시예에서 제공되는 구현에서, 데이터 관리 네트워크 요소는 데이터 네트워크에 연결하기 위해 단말 장치에 의해 개시된 세션에 대한 인증 정보를 저장할 수 있고, 또한 신원 인증자가 단말 장치에 의해 개시된 새로운 세션을 처리할 필요가 있을 때, 단말 장치에 의해 초기에 개시된 세션에 대한 인증 정보를 신원 인증자에게 제공하여, 신원 인증자가 새로운 세션에 대해 인증이 수행되어야 하는지를 판정하거나, 또는 단말 장치가 데이터 네트워크와의 새로운 세션을 구축하도록 직접 권한을 부여할 수 있다. 이는 네트워크 보안 관리에서 세션 인증 처리 방식을 다양화하고 네트워크 보안 관리의 세션 처리 효율성을 향상시킨다. 본 출원의 이 실시예에서 제공되는 구현에서, 데이터 관리 네트워크 요소는 세션 인증 또는 권한 부여 정책을 신원 인증자에게 추가로 제공할 수 있다. 이를 통해 단말 장치의 세션에 대한 인증 또는 권한 부여의 편의성이 향상되고 적용 가능성이 향상된다.
제3 관점은 네트워크 장치를 제공하는데, 여기서 네트워크 장치는 오퍼레이터 네트워크의 제1 네트워크 장치이고, 제1 네트워크 장치는:
단말 장치에 의해 전송된 세션 요청을 수신하도록 구성되어 있는 송수신기 유닛 - 상기 세션 요청은 제1 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되고, 상기 세션 요청은 상기 제1 세션에 대한 제1 인증 정보를 포함하고, 상기 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함함 - ; 및
상기 단말 장치의 제2 세션에 대한 제2 인증 정보를 획득하도록 구성되어 있는 프로세싱 유닛 - 상기 제2 인증 정보는 상기 제2 세션이 연결되는 제2 데이터 네트워크의 식별자 정보를 포함함 -
을 포함하며,
상기 프로세싱 유닛은: 상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하면, 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성되어 있다.
선택적으로, 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함하고, 제2 인증 정보는 제2 세션이 연결된 제2 데이터 네트워크의 식별자 정보를 포함하며,
프로세싱 유닛은:
제2 데이터 네트워크의 미리 구축된 식별자 정보를 획득하고; 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하면, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 구성되어 있다.
선택적으로, 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하다는 것은 다음:
제1 데이터 네트워크의 데이터 네트워크 번호(DNN)는 제2 데이터 네트워크의 DNN과 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버는 제2 데이터 네트워크의 인증 서버와 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹은 제2 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹과 동일하다는 것
중 적어도 하나를 포함한다.
선택적으로, 오퍼레이터 네트워크는 제2 네트워크 장치를 더 포함하며,
송수신기 유닛은:
인증 정보 조회 요청을 상기 제2 네트워크 장치로 전송하고 - 상기 인증 정보 조회 요청은 상기 단말 장치의 세션에 대한 인증 정보를 조회하는 데 사용됨 - ; 그리고
제2 네트워크 장치에 의해 피드백된 제2 세션에 대한 제2 인증 정보를 수신하고, 제2 인증 정보로부터 제2 데이터 네트워크의 식별자 정보를 획득하도록 추가로 구성되어 있으며,
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션에 대한 제2 인증 정보 또는 인증 또는 권한 부여 정보는 여전히 유효 기간 내에 있다.
선택적으로, 제1 인증 정보는 제1 세션에 의해 사용되는 제1 보안 컨텍스트를 더 포함하고, 제2 인증 정보는 제2 세션에 의해 사용되는 제2 보안 컨텍스트를 더 포함하고;
프로세싱 유닛은:
미리 구축된 제2 보안 콘텍스트를 획득하고; 그리고 제2 보안 콘텍스트가 제1 보안 콘텍스트와 동일하면, 단말 장치에 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여한다.
선택적으로, 프로세싱 유닛은 제2 보안 컨텍스트를 갱신하도록 추가로 구성되며;
송수신기 유닛은 단말 장치에 저장된 제2 세션의 보안 컨텍스트를 갱신하도록 단말 장치에 지시하도록 추가로 구성된다.
선택적으로, 송수신기 유닛은 보안 콘텍스트 조회 요청을 제2 네트워크 장치로 전송하도록 추가로 구성되며, 여기서 보안 콘텍스트 조회 요청은 단말 장치의 세션의 보안 콘텍스트를 조회하는 데 사용되며;
송수신기 유닛은 제2 네트워크 장치에 의해 피드백된 제2 세션의 제2 보안 콘텍스트를 수신하도록 추가로 구성되며, 여기서
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션의 보안 컨텍스트는 여전히 유효 기간 내에 있다.
선택적으로, 송수신기 유닛은 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책 조회 요청을 전송하도록 추가로 구성되며;
송수신기 유닛은 제2 네트워크 장치에 의해 피드백된 세션 인증 또는 권한 부여 정책을 수신하도록 추가로 구성되고;
프로세싱 유닛은 송수신기 유닛에 의해 수신된 세션 인증 또는 권한 부여 정책에 따라, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 부여하도록 추가로 구성된다.
선택적으로, 송수신기는: 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일할 때, 제1 데이터 네트워크의 인증 서버에 세션 인증 요청을 전송하도록 추가로 구성되어 있고, 상기 세션 인증 요청은 상기 인증 서버가 상기 제2 인증 정보에 기초하여 상기 제1 세션에 대한 빠른 인증을 개시하도록 지시하는 데 사용되며,
프로세싱 유닛은: 송수신기 유닛이 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신할 때, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성된다.
선택적으로, 송수신기 유닛은 세션 요청을 제1 데이터 네트워크의 인증 서버로 포워딩하도록 추가로 구성되며, 세션 요청은 인증 서버를 트리거링하여 제1 세션에 대한 빠른 인증을 수행할지를 판정하는 데 사용되며,
프로세싱 유닛은: 송수신기 유닛이 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신할 때, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성된다.
제4 관점은 네트워크 장치를 제공하는데, 여기서 네트워크 장치는 오퍼레이터 네트워크 상의 제1 네트워크 장치이고, 오퍼레이터 네트워크는 제2 네트워크 장치를 더 포함하고, 제1 네트워크 장치는:
상기 제2 네트워크 장치에 의해 전송된 인증 정보 조회 요청을 수신하도록 구성되어 있는 송수신기 유닛 - 상기 인증 정보 조회 요청은 단말 장치의 식별자 정보 및 상기 단말이 구축하도록 요청하는 제1 세션이 연결되는 제1 데이터 네트워크의 식별자 정보를 포함함 - ; 및
상기 단말 장치의 식별자 정보 및 상기 제1 데이터 네트워크의 식별자 정보에 기초하여 상기 제1 데이터 네트워크에 연결하기 위한 상기 단말 장치의 제2 세션에 대한 인증 정보를 획득하도록 구성되어 있는 프로세싱 유닛
을 포함하며,
상기 송수신기 유닛은 상기 제2 세션에 대한 인증 정보를 상기 제2 네트워크 장치에 피드백하여, 상기 제2 네트워크 장치가 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 트리거링하도록 구성되어 있으며,
상기 단말 장치의 제2 세션은 상기 제1 데이터 네트워크에 연결하기 위해 상기 단말 장치에 의해 개시된 복수의 세션 중 적어도 하나이다.
선택적으로, 단말 장치의 제2 세션에 대한 인증 정보는 다음: 오퍼레이터 네트워크 상의 단말 장치 가입 식별자 ID, 제1 데이터 네트워크 상의 단말 장치 가입 식별자 ID, 세션이 연결되는, 오퍼레이터 네트워크의 네트워크 장치의 ID, 세션의 보안 콘텍스트, 세션이 연결되는 데이터 네트워크의 식별자 정보, 세션이 연결되는 인증 서버의 식별자 정보 및 성공적인 세션 인증의 유효 기간 중 적어도 하나를 포함한다.
선택적으로, 인증 정보 조회 요청은 제1 데이터 네트워크의 식별자 정보를 더 포함하고;
네트워크 장치는:
저장 유닛에 미리 저장된 단말 장치의 복수의 세션들로부터, 제1 데이터 네트워크에 연결된 제2 세션을 결정하도록 구성된 프로세싱 유닛
을 더 포함하며,
송수신기 유닛은 프로세싱 유닛에 의해 결정된 제2 세션에 대한 인증 정보를 제2 네트워크 장치에 피드백하도록 구성되고, 여기서
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션에 대한 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있다.
선택적으로, 저장 유닛은 세션 인증 또는 권한 부여 정책을 저장하도록 추가로 구성되며;
송수신기 유닛은 제2 네트워크 장치에 의해 전송된 세션 인증 또는 권한 부여 정책 조회 요청을 수신하고, 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책을 피드백하도록 추가로 구성되며, 여기서
세션 인증 또는 권한 부여 정책은 제2 네트워크 장치가 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 단말 장치에 부여하도록 지시하는 데 사용된다.
제5 관점은 네트워크 보안 관리 시스템을 제공하며, 여기서 시스템은 제3 관점에서 제공된 네트워크 장치, 제4 관점에서 제공된 네트워크 장치, 단말 장치 및 데이터 네트워크의 인증 서버를 포함할 수 있고, 여기서
단말 장치는 오퍼레이터 네트워크에 대한 세션 요청을 개시하도록 구성되며, 세션 요청은 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되며; 그리고
데이터 네트워크의 인증 서버는: 제1 세션에 대한 빠른 인증을 수행할 것인지 및/또는 제1 세션에 대한 빠른 인증을 수행할 것인지를 판정하고, 단말 장치에 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 오퍼레이터 네트워크에 지시하도록 구성된다.
제6 관점은 네트워크 장치를 제공하고, 여기서 네트워크 장치는 프로세서, 메모리, 송수신기 및 버스 시스템을 포함할 수 있고, 여기서
메모리, 프로세서 및 송수신기는 버스 시스템을 사용하여 연결되고;
메모리는 프로그램 코드 그룹을 저장하도록 구성되고;
프로세서 및 송수신기는 메모리에 저장된 프로그램 코드를 호출하여 제1 측면에서 제공된 방법을 실행하도록 구성된다.
제7 관점은 네트워크 장치를 제공하며, 여기서 네트워크 장치는 프로세서, 메모리, 송수신기 및 버스 시스템을 포함할 수 있고, 여기서
메모리, 프로세서 및 송수신기는 버스 시스템을 사용하여 연결되고;
메모리는 프로그램 코드 그룹을 저장하도록 구성되고;
프로세서 및 송수신기는 메모리에 저장된 프로그램 코드를 호출하여 제2 관점에 제공된 방법을 실행하도록 구성된다.
제8 관점에 따르면, 본 출원의 실시예는 제3 관점에 제공되는 네트워크 장치에 의해 사용하기 위한 컴퓨터 소프트웨어 명령을 저장하도록 구성된 컴퓨터 저장 매체를 제공한다. 컴퓨터 소프트웨어 명령은 제1 관점에서 제공되는 방법을 실행하도록 설계된 프로그램을 포함한다.
제9 관점에 따르면, 본 출원의 실시예는 제4 측면에서 제공되는 네트워크 장치에 의해 사용하기 위한 컴퓨터 소프트웨어 명령을 저장하도록 구성된 컴퓨터 저장 매체를 제공한다. 컴퓨터 소프트웨어 명령은 제2 관점에서 제공되는 방법을 실행하도록 설계된 프로그램을 포함한다.
제10 관점에 따르면, 본 출원의 실시예는 칩을 추가로 제공하며, 칩은 네트워크 장치에서 송수신기에 연결되고 본 출원의 실시예의 제1 관점 또는 제2 관점에서의 기술 솔루션을 실행하도록 구성된다. 본 출원의 이 실시예에서, "커플링"은 2 개의 구성 요소가 서로 직접 또는 간접적으로 연결됨을 의미한다는 것을 이해해야 한다. 이 조인트는 고정되거나 움직일 수 있다. 이 조인트는 흐르는 액체, 전기, 전기 신호 또는 다른 유형의 신호가 두 구성 요소를 통해 통신하도록 할 수 있다.
본 출원의 실시예를 구현함으로써, 단말 장치 인증의 효율이 향상될 수 있고, 단말 장치 인증의 자원 소비가 감소될 수 있으며, 네트워크 보안 관리의 적용성이 향상될 수 있다.
도 1은 본 출원의 실시예에 따른 서비스 지향 아키텍처에 기초한 5G 네트워크 아키텍처의 개략도이다.
도 2a 및 도 2b는 본 출원의 실시예에 따른 세컨더리 인증의 인증 상호 작용의 개략도이다.
도 3은 본 출원의 실시예에 따른 단말 장치의 세션의 개략도이다.
도 4는 본 출원의 실시예에 따른 단말 장치의 세션의 다른 개략도이다.
도 5는 본 출원의 실시예에 따른 네트워크 보안 관리 방법의 개략적인 흐름도이다.
도 6a 및 도 6b는 본 출원의 실시예에 따른 빠른 인증의 개략적인 흐름도이다.
도 7은 본 출원의 실시예에 따른 다른 네트워크 보안 관리 방법의 개략적인 흐름도이다.
도 8a 및 도 8b는 본 출원의 실시예에 따른 빠른 인증의 다른 개략적인 흐름도이다.
도 9는 본 출원의 실시예에 따른 네트워크 보안 관리 시스템의 개략적인 구조도이다.
도 10은 본 출원의 실시예에 따른 통신 장치의 개략적인 구조도이다.
본 출원의 실시예에서 설명된 오퍼레이터 네트워크는 모바일 통신 네트워크, 주로 모바일 네트워크 운영자(mobile network operator, MNO)가 사용자에게 모바일 광대역 액세스 서비스를 제공하는 네트워크로 지칭될 수 있다. 본 출원의 실시예에서 설명된 오퍼레이터 네트워크는 구체적으로 3GPP 네트워크인 3 세대 파트너쉽 프로젝트(3rd generation partnership project, 3GPP)의 사양을 준수하는 네트워크일 수 있다. 일반적으로 3GPP 네트워크는 China Mobile, China Unicom 또는 China Telecom과 같은 운영자가 운영한다. 3GPP 네트워크에는 5G 네트워크, 4G 네트워크 및 3GPP 사양에 의해 정의된 3 세대 이동 통신 기술(3rd-Generation, 3G) 네트워크 및 2 세대 무선 전화 기술(2-Generation wireless telephone technology, 2G) 네트워크가 있으나 이에 제한되지 않는다. 설명의 편의를 위해, 본 출원의 실시예들에 대한 다음의 설명은 예로서 오퍼레이터 네트워크를 사용한다.
모바일 광대역 액세스 서비스의 확장은 MNO 네트워크의 개발을 수반하여, 다양한 비즈니스 모델을 더 잘 지원하고, 보다 다양한 애플리케이션 서비스 및 더 많은 산업의 요구를 만족시킨다. 더 많은 산업에 보다 포괄적이고 더 나은 서비스를 제공하기 위해 차세대 네트워크(즉, 5G 네트워크)에는 4G 네트워크의 네트워크 아키텍처 조정 기능도 함께 제공된다. 예를 들어, 5G 네트워크에서, 4G 네트워크의 이동성 관리 엔티티(mobility management entity, MME)는 액세스 및 이동성 관리 기능(access and mobility management function, AMF) 및 세션 관리 기능(session management function, SMF)을 포함하는 복수의 네트워크 요소로 분할된다. 3GPP 표준화 프로세스에서, 서비스 지향 아키텍처에 기초한 5G 네트워크 아키텍처가 또한 도 1에 도시된 바와 같이 정의된다. 도 1은 서비스 지향 아키텍처에 기초한 5G 네트워크 아키텍처의 개략도이다. 도 1에 도시된 5G 네트워크 아키텍처는 3 부분: 단말 장치 부분, DN 부분 및 오퍼레이터 네트워크 부분을 포함할 수 있다. 오퍼레이터 네트워크는 네트워크 노출 기능(network exposure function, NEF), 네트워크 저장소 기능(network repository function, NRF), 정책 제어 기능(policy control function, PCF), 통합 데이터 관리 네트워크 요소(unified data management, UDM), 응용 기능(application function, AF), 인증 서버 기능(authentication server function, AUSF), AMF, SMF, 액세스 네트워크(access network, AN) 및 사용자 평면 기능(user plane function, UPF)과 같은 네트워크 요소 및/또는 엔티티를 포함할 수 있다. AN은 무선 액세스 네트워크(Radio access network, RAN)라고도 한다. 여기에는 제한이 없다. 설명의 편의를 위해, 본 출원의 실시예들의 다음의 설명은 예로서 AN을 사용한다.
도 1에 도시된 5G 네트워크 아키텍처는 5G 네트워크의 가능한 아키텍처 다이어그램일 뿐이다. 5G 네트워크에 포함된 네트워크 요소 및/또는 엔티티는 도 1에 도시된 네트워크 요소 및/또는 엔티티를 포함하지만 이에 제한되지는 않는다. 특정 구현에서, 도 1에 도시된 네트워크 아키텍처에 포함된 네트워크 요소 및/또는 엔티티는 대안으로 다른 표현 형태의 네트워크 요소 및/또는 엔티티일 수 있다. 구체적인 형태는 실제 응용 시나리오에 따라 결정될 수 있다. 여기에는 제한이 없다.
다음은 도 1을 참조하여 본 출원의 실시예에 포함된 각각의 네트워크 요소 및/또는 엔티티를 설명한다.
a. 단말 장치는 예를 들어 사용자 기기(user equipment, UE)이다. 본 출원에서 단말 장치는 사용자에게 음성 및/또는 데이터 연결성을 제공하는 장치(device)일 수 있으며, 무선 단말 및 유선 단말을 포함할 수 있다. 무선 단말은 무선 연결 기능이 제공된 핸드헬드 장치이거나, 무선 모뎀에 연결된 다른 처리 장치일 수 있으며, 무선 액세스 네트워크를 사용하여 하나 이상의 코어 네트워크와 통신하는 이동 단말일 수 있다. 예를 들어, 무선 단말은 이동 전화, 컴퓨터, 태블릿 컴퓨터, 개인 휴대 정보 단말(Personal Digital Assistant, PDA), 모바일 인터넷 장치(mobile Internet device, MID), 웨어러블 장치, 책 리더(e-book reader) 등일 수 있다. 다른 예를 들어, 무선 단말은 대안으로 휴대용 모바일 장치, 포켓 크기 모바일 장치, 핸드헬드 모바일 장치, 컴퓨터 내장 모바일 장치 또는 차량 내부 모바일 장치일 수 있다. 다른 예로, 무선 단말은 이동국(mobile station) 또는 액세스 포인트(access point)일 수 있다. UE는 롱텀에볼루션(Long Term Evolution, LTE) 시스템에서 단말 장치의 유형 및 단말 장치의 이름이다.
단말 장치는 예를 들어 오퍼레이터 네트워크에 의해 제공되는 데이터 및/또는 음성 서비스를 사용하기 위해 오퍼레이터 네트워크에 의해 제공되는 인터페이스(예를 들어, N1)를 사용하여 오퍼레이터 네트워크에 연결을 구축할 수 있다. 단말 장치는 DN 상에 배치된 오퍼레이터 서비스 및/또는 제3자가 제공하는 서비스를 이용하기 위해 오퍼레이터 네트워크를 통해 DN에 추가로 액세스할 수 있다. 제3자는 오퍼레이터 네트워크 및 단말 장치 이외의 서비스 제공자일 수 있으며, 예를 들어 다른 데이터 및/또는 음성 서비스를 단말 장치에 제공할 수 있다. 제3자의 특정 표현 형태는 실제 응용 시나리오에 따라 구체적으로 결정될 수 있다. 여기에는 제한이 없다.
b. AN은 오퍼레이터 네트워크의 서브네트워크이고 오퍼레이터 네트워크 상의 서비스 노드와 단말 장치 사이의 구현 시스템이다. 오퍼레이터 네트워크에 연결하기 위해, 단말 장치는 먼저 AN에 연결하고 그런 다음 AN을 사용하여 오퍼레이터 네트워크의 서비스 노드에 연결될 수 있다. AN은 전통적인 가입자 로컬 회선 네트워크를 부분적으로 또는 완전히 대체할 수 있으며, 다중화, 교차-연결 및 전송 기능을 포함할 수 있다. AN은 다양한 가입자를 오퍼레이터 네트워크의 서비스 노드에 연결하고 협대역 및 광대역 서비스를 포함한 다양한 유형의 서비스에 대한 포괄적 인 액세스를 지원할 수 있는 서브 네트워크이다.
c. AMF는 오퍼레이터 네트워크에 의해 제공되는 제어 평면 네트워크 요소이고, 오퍼레이터 네트워크에 대한 단말 장치의 액세스를 위한 액세스 제어 및 이동성 관리를 담당한다.
d. SMF는 오퍼레이터 네트워크가 제공하는 제어 평면 네트워크 요소이며 단말 장치의 PDU 세션을 관리한다. PDU 세션은 PDU 전송에 사용되는 채널이다. 단말 장치는 PDU 세션을 사용하여 PDU를 DN과 교환한다. SMF는 예를 들어 PDU 세션의 구축, 유지 보수 및 삭제를 담당한다.
e. DN은 패킷 데이터 네트워크(packet data network, PDN)라고도 하며 오퍼레이터 네트워크 외부에 있는 네트워크이다. 오퍼레이터 네트워크는 복수의 DN에 연결될 수 있다. 예를 들어, 단말 장치에 데이터 및/또는 음성 서비스를 제공하기 위해 복수의 서비스가 DN 상에 배치될 수 있다. 예를 들어, DN은 지능형 공장의 사설 네트워크이고, 지능형 공장에 의해 작업장에 설치된 센서는 단말 장치일 수 있고, 센서의 제어 서버는 DN에 배치되며, 제어 서버는 센서에 서비스를 제공할 수 있다. 센서는 예를 들어 제어 서버의 명령을 획득하기 위해 제어 서버와 통신할 수 있고 명령에 기초하여 수집된 센서 데이터를 제어 서버에 전송할 수 있다. 다른 예를 들어, DN은 회사의 내부 사무실 네트워크이며, 회사의 직원 전화 또는 컴퓨터는 단말 장치일 수 있으며, 직원의 이동 전화 또는 컴퓨터는 회사의 내부 사무실 네트워크 상의 정보, 데이터 및 다른 자원에 액세스할 수 있다.
f. UDM은 운영자가 제공하는 제어 평면 네트워크 요소이며 가입자 영구 식별자(subscriber permanent identifier, SUPI), 자격 증명(credential), 보안 컨텍스트(security context) 및 구동 데이터와 같은 오퍼레이터 네트워크 가입자에 관한 정보를 저장하는 것을 담당한다. UDM에 의해 저장된 정보는 오퍼레이터 네트워크에 액세스하기 위한 단말 장치의 인증 및 인증을 위해 사용될 수 있다. 오퍼레이터 네트워크 가입자는 구체적으로 오퍼레이터 네트워크에 의해 제공되는 서비스를 이용하는 가입자, 예를 들어 차이나 텔레콤의 이동 전화 칩 카드를 이용하는 가입자 또는 차이나 모바일의 이동 전화 칩 카드를 사용하는 가입자일 수 있다. 가입자의 SUPI는 예를 들어 다수의 이동 전화 칩 카드일 수 있다. 가입자의 자격 및 보안 컨텍스트는 작은 파일 저장, 예를 들어, 이동 전화 칩 카드의 암호화 키 또는 이동 전화 칩 카드의 암호화와 관련된 정보일 수 있으며, 인증 및/또는 권한 부여에 사용된다. 보안 컨텍스트는 가입자의 로컬 단말(예를 들어, 이동 전화)에 저장된 쿠키(cookie), 토큰(token) 등 일 수 있다. 가입자의 가입 데이터는 이동 전화 칩 카드를 수반하는 서비스, 예를 들어 이동 전화 칩 카드에 의해 사용되는 트래픽 패키지 또는 네트워크일 수 있다. 설명의 편의를 위해, 영구 식별자, 자격 증명, 보안 컨텍스트, 인증 쿠키(cookie) 및 토큰과 같은 인증 및 권한 부여와 관련된 정보는 본 발명의 이 출원에서 구별되거나 제한되지 않음에 유의해야 한다. 본 출원의 실시예들에서, 보안 콘텍스트는 달리 명시되지 않는 한, 설명을 위한 예로서 사용된다. 그렇지만, 본 출원의 실시예는 다른 방식으로 표현된 인증 및/또는 권한 부여 정보에도 적용 가능하다.
g. AUSF는 운영자가 제공하는 제어 평면 네트워크 요소이며 일반적으로 기본 인증, 즉 단말 장치(가입자)와 오퍼레이터 네트워크 간의 인증에 사용된다. 가입자에 의해 개시된 인증 요청을 수신한 후, AUSF는 UDM에 저장된 인증 정보 및/또는 인증 정보를 이용하여 가입자에 대한 인증 및/또는 권한 부여를 수행하거나, 또는 UDM을 이용하여 가입자의 인증 및/또는 권한 부여 정보를 생성 할 수 있다. AUSF는 인증 정보 및/또는 인증 정보를 가입자에게 피드백할 수 있다.
h. NEF는 운영자가 제공하는 제어 평면 네트워크 요소이다. NEF는 오퍼레이터 네트워크의 외부 인터페이스를 안전한 방식으로 제3자에게 노출한다. SMF와 같은 네트워크 요소가 제3자의 네트워크 요소와 통신할 필요가 있을 때, NEF는 SMF와 같은 네트워크 요소와 제3자의 네트워크 요소 사이의 통신을 위한 중계기 역할을 할 수 있다. 중계기 역할을 할 때, NEF는 가입자의 식별자 정보의 번역기 및 제3자의 네트워크 요소의 식별자 정보의 번역기로서 기능할 수 있다. 예를 들어, 오퍼레이터 네트워크로부터 가입자의 SUPI를 제3자에게 전송할 때, NEF는 SUPI를 SUPI에 대응하는 외부 신원(identity, ID)으로 변환할 수 있다. 반대로, 외부 ID(제3자 네트워크 요소의 ID)를 오퍼레이터 네트워크로 전송할 때 NEF는 외부 ID를 SUPI로 변환할 수 있다.
i. UPF는 운영자가 제공하는 게이트웨이 및 오퍼레이터 네트워크와 DN 간의 통신을 위한 게이트웨이이다.
j. PCF는 SDU에 PDU 세션 정책을 제공하기 위해 운영자가 제공하는 제어 평면 기능이다. 정책은 예를 들어 과금 관련 정책, 서비스 품질(Quality of Service, QoS) 관련 정책 및 인증 관련 정책을 포함할 수 있다.
도 1에서 1, Nnef, Nausf, Nnrf, Npcf, Nudm, Naf, Namf, Nsmf, N1, N2, N3, N4 및 N6은 인터페이스 일련 번호이다. 이러한 인터페이스 일련 번호의 의미는 3GPP 사양의 정의를 참조한다. 여기에는 제한이 없다.
본 출원의 실시예에서 설명된 세컨더리 인증은 또한 세컨더리 인증으로 지칭될 수 있다. 설명의 편의를 위해, 본 출원의 실시예는 이하에서 예로서 세컨더리 인증을 사용하여 설명된다.
특정 구현에서, 단말 장치와 오퍼레이터 네트워크 사이의 프라이머리 인증(프라이머리 인증으로도 지칭됨)이 성공한 후, 단말 장치가 DN과의 세션(예를 들어, PDU 세션)을 구축해야 하는 경우, 세컨더리 인증은 오퍼레이터 네트워크를 통해 단말 장치와 DN간에 수행된다. PDU 세션의 구축은 단말 장치 또는 오퍼레이터 네트워크의 코어 네트워크(core network, CN)에 의해 트리거링될 수 있고, 인증은 오퍼레이터 네트워크의 CN에 의해 개시된다. 구체적으로, 단말 장치는 인증 요청을 오퍼레이터 네트워크에 전송할 수 있고, 오퍼레이터 네트워크는 인증 요청을 DN에 포워딩할 수 있고, DN은 DN에 대응하는 인증 서버를 사용하여 DN과 단말 장치 사이에서 인증 및/또는 권한 부여를 수행한다. DN에 대응하는 인증 서버는 인증, 권한 부여 및 계정 서버((authentication, authorization, and accounting, AAA) 서버, AAA 서버)일 수 있다. DN에 대응하는 인증 서버에 의해 단말 장치에서 수행된 인증 및/또는 권한 부여의 결과는 DN에 의해 오퍼레이터 네트워크로 피드백되고, 오퍼레이터 네트워크는 그 결과에 기초하여 대응하는 단말 장치에 대한 세션 접속을 구축할지를 판정한다.
세컨더리 인증은 현재 3GPP 5G 사양(TS 23.502 및 TS 33.501)에서 단말 장치와 오퍼레이터 네트워크 외부의 DN 사이의 인증을 위한 선택적 인증 메커니즘으로서 받아 들여지고 있다. 도 2a 및 도 2b는 본 출원의 실시예에 따른 세컨더리 인증의 인증 상호 작용의 개략도이다. 도 2a 및 도 2b에 도시된 인증 상호 작용의 개략도에 포함된 단계들 및 그 단계들에 대해 설명된 구현은 단지 예일 뿐이다. 특정 구현에서, 도 2a 및 도 2b에 도시된 단계 및/또는 네트워크 요소는 실제 애플리케이션 시나리오의 요구 사항에 따라 예를 들어 추가, 삭제 또는 수정될 수 있다. 여기에는 제한이 없다. 도 2a 및 도 2b에 도시된 세컨더리 인증 상호 작용 프로세스는 다음 단계를 포함할 수 있다.
1. 단말 장치는 등록 요청을 AMF에 전송한다.
2. 단말 장치와 오퍼레이터 네트워크 사이에서 프라이머리 인증을 수행한다.
특정 구현에서, 단말 장치에 의해 전송된 등록 요청을 수신한 후, AMF는 AUSF를 트리거링하여 단말 장치와 오퍼레이터 네트워크 사이에서 프라이머리 인증을 수행할 수 있다.
선택적으로, AUSF가 단말 장치와 오퍼레이터 네트워크 사이에서 프라이머리 인증을 수행하는 프로세스에서, AUSF는 UDM으로부터 프라이머리 인증에 필요한 인증 정보를 획득할 수 있고, UDM에 의해 생성되거나 저장된 인증 정보에 기초해서 단말 장치와 오퍼레이터 네트워크 사이의 프라이머리 인증을 추가로 구현할 수 있다
3. 단말 장치와 AMF 사이에 비 액세스 계층(non-access stratum, NAS) 보안을 구축한다.
특정 구현에서, 단말 장치와 오퍼레이터 네트워크 사이의 프라이머리 인증이 성공한 후, AMF는 단말 장치와의 NAS 보안을 구축할 수 있다. NAS는 범용 이동 통신 시스템(Universal Mobile Telecommunications System, UMTS)의 무선 통신 프로토콜 스택에 존재하며 CN과 단말 장치 사이의 기능 계층으로 사용된다. NAS는 CN과 단말 장치 사이의 신호 및/또는 데이터 전송을 지원한다.
4. 단말 장치는 세션 구축 요청을 개시한다.
단말 장치와 AMF 사이에 NAS가 구축된 후, 단말 장치는 AMF에 대한 세션 수립 요청을 개시할 수 있다. 세션 구축 요청은 NAS 메시지에 포함되어 AMF로 전송된다. 세션 구축 요청은 구체적으로 PDU 세션의 구축을 요청하는 데 사용될 수 있다.
5. AMF는 세션 구축 요청을 SMF에 전송한다.
단말 장치에 의해 전송된 NAS 메시지를 수신한 후, AMF는 NAS 메시지를 디코딩하여 세션 구축 요청을 획득한 후, 세션 구축 요청을 SMF에 전송할 수 있다. SMF는 세션 구축 요청에 의해 구축이 요청되는 PDU 세션이 연결을 요청하는 SMF이다.
6. SMF는 가입 데이터를 확인한다.
SMF는 세션 구축 요청을 수신한 후 세션 구축 요청에 포함된 인증 정보를 획득한다. SMF는 UDM에 미리 저장된 가입 데이터를 획득하고, UDM에 저장된 가입 데이터에 기초하여, 세션 구축 요청에서 운송된 인증 정보가 가입 데이터와 동일한 지 여부를 추가로 검사할 수 있다. 검사 결과가 인증 정보가 가입 데이터와 동일하다는 것이면, 단계 7이 수행될 수 있다.
7. SMF는 확장 인증 프로토콜(Extensible Authentication Protocol, EAP) 인증 절차를 시작한다.
8. SMF는 EAP 요청 및 식별 정보 요청을 단말 장치에 전송한다.
9. 단말 장치는 EAP 응답 및 식별 정보를 SMF에 피드백한다.
10. SMF는 UPF에 대한 N4 인터페이스 세션 연결의 구축을 개시한다.
11. SMF는 UPF를 사용하여 EAP 응답 및 단말 장치의 식별 정보를 DN 및 AAA 서버에 전송한다.
SMF는 단말 장치로부터 전송된 EAP 응답 및 인증 정보를 단계 10에서 구축된 N4 인터페이스 세션 연결을 통해 UPF에 전송한다. UPF는 EAP 응답 및 단말 장치의 ID 정보를 DN 및 AAA 서버로 전송한다.
12. DN은 단말 장치에서 인증 및/또는 권한 부여를 수행한다.
단말 장치는 DN에 의해 단말 장치에 대한 인증을 완료하기 위해 복수의 EAP 메시지를 DN(및 AAA 서버)과 교환한다.
교환되는 EAP 메시지의 메시지 유형 또는 단말 장치와 DN 사이의 상호 작용 방식과 같은 세부 사항은 사용된 특정 EAP 인증 방법에 따라 달라진다. 여기에는 제한이 없다.
13. DN은 UPF를 사용하여 인증 성공 메시지를 SMF에 전송한다.
단말 장치가 DN에 의해 인증되었으면, DN은 인증 성공 메시지를 UPF에 전송하고 인증 성공 메시지를 UPF 및 N4 인터페이스 세션 연결을 사용하여 SMF에 전송한다.
14. SMF는 PDU 세션 구축의 다른 절차를 시작한다.
DN에 의한 단말 장치에서의 EAP 인증이 종료된 후, SMF는 PDU 세션 구축의 다른 절차를 계속 개시할 수 있다. 예를 들면 다음과 같다.
15a. SMF는 N4 인터페이스 세션 수정 요청을 UPF에 전송한다.
15b. UPF는 N4 인터페이스 세션 수정 응답을 SMF에 피드백한다.
16. SMF는 AMF를 사용하여 PDU 세션 구축 성공 메시지를 단말 장치에 전송한다.
SMF는 PDU 세션 구축 성공 메시지를 AMF에 전송하고, AMF는 PDU 세션 구축 성공 메시지를 단말 장치에 포워딩한다.
단계 1 내지 16에서 설명된 인증 절차는 3GPP TS 33.501에서 제공되는 세컨더리 인증 절차이며, 세컨더리 인증의 정규 절차라고도 한다.
단말 장치와 AAA 서버 간에 교환되는 인증 메시지는 EAP 인증 프레임워크를 기반으로 한다. EAP 인증 프레임워크는 인증 측면에서 개방되어 있다. EAP 인증 프레임워크는 인증 방법의 협상을 지원하며 향후 수십 가지 인증 방법과 더 많은 인증 방법으로의 확장을 지원할 수 있다. EAP에서 제공하는 인증 메커니즘에서 ID 인증자(Authenticator)의 역할이 정의된다. 도 2a 및 도 2b에 도시된 세컨더리 인증의 인증 절차에서, SMF는 신원 인증자로서 기능한다. 단말 장치와 SMF 간의 EAP 메시지는 NAS 메시지로 포워딩된다. SMF와 DN 사이의 EAP 메시지는 SMF와 UPF 사이의 N4 인터페이스와 3GPP 사양에 정의된 UPF와 DN 사이의 N6 인터페이스를 사용하여 전송된다.
단계 1 내지 16에서 설명된 인증 절차로부터, 세컨더리 인증의 정규 절차에서, 세컨더리 인증은 PDU 세션마다 수행되고, 단말 장치가 DN과의 PDU 세션을 구축해야 할 때마다 전술한 절차에서의 세컨더리 인증이 수행되어야 한다는 것을 알 수 있다. 단말 장치가 DN과 복수의 PDU 세션을 구축해야 하는 경우, 단말 장치는 DN과의 복수의 세컨더리 인증 절차를 수행해야 한다.
하나의 단말 장치와 하나의 DN 사이의 신뢰 관계는 일반적으로 변하지 않기 때문에, 수행되는 복수의 유사한 인증 절차는 네트워크 자원(예를 들어, 무선 스펙트럼 자원 또는 네트워크 전송 용량) 및/또는 단말 자원(예를 들어, 계산 작업량 또는 전기 용량)의 심각한 낭비를 야기한다. 각 인증 절차는 상대적으로 오랜 시간이 걸리므로 불필요한 대기 시간이 발생한다. 결과적으로, 단말 장치 인증의 효율이 낮고 불필요한 대기 시간이 발생한다. 유사하게, 하나의 단말 장치가 다른 DN과의 PDU 세션을 구축하는 애플리케이션 시나리오에서, 다른 DN이 동일한 인증 서버(예를 들어, AAA 서버)를 사용하는 경우, 단말 장치와 다른 DN 사이에서 복수 회의 세컨더리 인증을 반복하면 불필요한 자원 낭비가 발생하고 대기 시간이 연장되며 PDU 세션의 인증 효율성이 떨어진다.
본 출원의 실시예들은 하나의 단말 장치와 하나의 DN(또는 하나의 인증 서버, 또는 하나의 인증 서버 사이에서 세컨더리 인증이 복수 회 수행되는 애플리케이션 시나리오에서, 빠른 인증 및/또는 권한 부여가 제1 세컨더리 인증 후 단말 장치와 DN 사이의 다른 세컨더리 인증에 대해 수행될 수 있는 네트워크 보안 관리 방법 및 장치를 제공한다. 이는 단말 장치 인증의 효율성을 향상시키고 단말 장치 인증의 자원 소비를 감소시킬 수 있다.
현재 표준화되고 있는 3GPP TS 23.501에서는 다음과 같은 PDU 세션 시나리오가 지원됨을 분명히 강조한다:
1. 하나의 단말 장치는 복수의 PDU 세션을 동시에 구축할 수 있고, 이러한 PDU 세션은 동일한 DN 또는 상이한 DN에 연결될 수 있다.
2. 하나의 단말 장치는 하나 이상의 네트워크 슬라이스에 연결될 수 있다. 하나의 단말 장치가 복수의 네트워크 슬라이스에 연결될 때, 액세스를 담당하는 코어 네트워크 요소는 공통 AMF이다.
본 출원의 실시예에서 제공되는 네트워크 보안 관리 방법은 단말 장치가 둘 이상의 PDU 세션을 구축하는 애플리케이션 시나리오에 적용 가능할 수 있다. 설명의 편의를 위해, 본 출원의 실시예들의 다음의 설명은 예로서 2개의 PDU 세션을 사용한다. 2개의 PDU 세션은 동시에 구축된 세션일 수 있거나 다른 시간에 구축된 세션일 수 있다.
2개의 PDU 세션은 네트워크 슬라이스 관련 시나리오에 기초하여 주로 다음 2개의 카테고리로 분류될 수 있다.
카테고리 1: 두 PDU 세션은 동일한 네트워크 슬라이스에 속한다.
도 3은 본 출원의 실시예에 따른 단말 장치의 세션의 개략도이다. 도 3에 도시된 바와 같이, 네트워크 슬라이스 1은 2개의 PDU 세션: 세션 1(Session 1) 및 세션 2(Session 2)를 포함한다. 세션 1 및 세션 2는 모두 네트워크 슬라이스 1의 SMF에 의해 관리 및/또는 제어된다.
선택적으로, 세션 1 및 세션 2가 동일한 네트워크 슬라이스에 속한다는 것은 세션 1 및 세션 2가 동일한 SMF에 속하는 것으로 구체적으로 나타날 수도 있다. 이것은 네트워크 슬라이스 선택 지원 정보(Network Slice Selection Assistance Information, NSSAI) 또는 네트워크 슬라이스 ID와 같은 정보에 의해 구체적으로 표시될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
세션 1 및 세션 2의 구축은 단말 장치에 의해 개시된다. 세션 1과 세션 2는 AN과 AMF를 통과하여 SMF에 도착한다. SMF에 의해 관리 및/또는 제어된 후, 세션 1 및 세션 2는 각각의 UPF 및 자신들이 연결을 요청한 각각의 DN을 사용하여, 인증을 위해 동일한 AAA 서버에 연결될 수 있다.
선택적으로, 도 3에 도시된 애플리케이션 시나리오에서, 세션 1 및 세션 2는 또한 동일한 UPF를 공유할 수 있다. 마찬가지로 세션 1과 세션 2가 동일한 UPF를 공유하는지에 관계없이 세션 1과 세션 2는 동일한 DN을 공유할 수 있다. 유사하게, 세션 1 및 세션 2는 또한 상이한 AAA 서버에 연결될 수 있다. 그렇지만, 애플리케이션 시나리오에서 세션 1과 세션 2에 연결된 두 개의 서로 다른 AAA 서버는 두 개의 동기 서버이거나 하나의 인증 서버 그룹의 두 AAA 서버여야 한다.
카테고리 2: 2개의 PDU 세션은 2개의 상이한 네트워크 슬라이스의 세션이다.
도 4는 본 출원의 실시예에 따른 단말 장치의 세션의 다른 개략도이다. 도 4에 도시된 바와 같이, 단말 장치는 오퍼레이터 네트워크에 대한 2개의 세션: 세션 1 및 세션 2를 개시한다. 도 3에 도시된 시나리오와는 달리, 도 4에 도시된 시나리오에서, 세션 1 및 세션 2는 오퍼레이터 네트워크의 2개의 상이한 네트워크 슬라이스에 속한다. 세션 1은 네트워크 슬라이스 1에 연결되고 네트워크 슬라이스 1의 SMF 1에 의해 관리 및/또는 제어된다. 세션 2는 네트워크 슬라이스 2에 연결되고 네트워크 슬라이스 2의 SMF 2에 의해 관리 및/또는 제어된다.
선택적으로, 세션 1에 대한 인증 정보 및 세션 2에 대한 인증 정보는 모두 오퍼레이터 네트워크 상의 UDM에 의해 저장 및/또는 관리될 수 있다. SMF 1은 세션 1에 대한 인증 정보를 로컬 저장 공간에 저장하거나 UDM을 조회함으로써 세션 1에 대한 인증 정보를 획득할 수 있다. SMF 1은 또한 UDM을 조회함으로써 UDM에 대한 인증 정보를 획득할 수 있고, 세션 1에 대한 인증 정보 및 세션 2에 대한 인증 정보에 기초하여 세션 1에 대한 빠른 인증을 수행할지를 추가로 결정할 수 있다. 유사하게, SMF 2는 세션 2에 대한 인증 정보를 로컬 저장 공간에 저장하거나 UDM을 조회함으로써 세션 2에 대한 인증 정보를 획득할 수 있다. SMF 2는 또한 UDM을 조회함으로써 세션 1에 대한 인증 정보를 획득할 수 있고, 세션 1에 대한 인증 정보 및 세션 2에 대한 인증 정보에 기초해서, 세션 2에 대한 빠른 인증을 수행할지를 추가로 결정할 수 있다.
선택적으로, 도 4에 도시된 애플리케이션 시나리오에서, 세션 1 및 세션 2는 또한 동일한 UPF를 공유할 수 있다. 마찬가지로 세션 1과 세션 2가 동일한 UPF를 공유하는지에 관계없이 세션 1과 세션 2는 동일한 DN을 공유할 수 있다. 유사하게, 세션 1 및 세션 2는 또한 상이한 AAA 서버에 연결될 수 있다. 그렇지만, 애플리케이션 시나리오에서 세션 1과 세션 2에 연결된 두 개의 서로 다른 AAA 서버는 두 개의 동기 서버이거나 하나의 인증 서버 그룹의 두 AAA 서버여야 한다.
선택적으로, 전술한 PDU 세션 분류는 네트워크 슬라이스 관련 시나리오에 적용 가능하고 비-네트워크 슬라이스 시나리오에서의 PDU 세션 분류에도 적용 가능하다. 예를 들어, 전술한 PDU 세션 분류는 대안으로 UPF가 PDU 세션에 대한 인증 정보를 저장 및/또는 관리하는 UPF 관련 시나리오에 기초할 수 있고, UPF는 PDU 세션에 대한 빠른 인증을 수행할지를 판정한다. 대안으로, 전술한 PDU 세션 분류는 DN이 PDU 세션에 대한 인증 정보를 저장 및/또는 관리하는 DN 관련 시나리오에 기초할 수 있고, DN은 PDU 세션에 대한 빠른 인증을 수행할지를 판정한다.
다음은 SMF가 예로서 신원 인증자로서 기능하는 애플리케이션 시나리오를 사용함으로써 본 출원의 실시예들에서 제공되는 네트워크 보안 관리 방법 및 장치를 설명한다.
실시예 1
실시예 1에서 설명된 구현은 전술한 PDU 세션의 카테고리 1에 적용될 수 있다. 다음은 도 5 및 도 6a 및 도 6b를 참조하여 전술한 PDU 세션의 카테고리 1에 대응하는 애플리케이션 시나리오에서의 세컨더리 인증의 구현을 설명한다.
도 5는 본 출원의 실시예에 따른 네트워크 보안 관리 방법의 개략적인 흐름도이다. 본 출원의 이 실시예에서 제공되는 방법은 다음 단계들을 포함한다.
S51. 단말 장치는 PDU 세션의 구축을 위한 세션 요청을 전송한다.
선택적으로, 단말 장치가 DN(예를 들어, DN 1)상의 서비스에 액세스하려고 할 때, 단말 장치는 DN과의 세션 구축 요청을 개시할 수 있다. 단말 장치는 DN 1과의 PDU 세션의 구축을 요청하기 위해 세션 요청을 AMF에 전송할 수 있다. 이하에서, PDU 세션은 세션 1인 것으로 가정된다.
선택적으로, 세션 요청은 세션 1에 대한 인증 정보를 포함할 수 있다. 인증 정보는 단말 장치 ID, 오퍼레이터 네트워크 상의 단말 장치 가입 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID, 보안 컨텍스트, 가입 데이터, DN의 식별자 정보 등을 포함할 수 있다. 본 출원의 이 실시예에서 제공되는 구현은 하나의 단말 장치가 복수의 세션을 개시할 때 제2 세션 및 제2 세션 이후의 다른 세션에 대한 세컨더리 인증에 적용 가능하다. 오퍼레이터 네트워크는 단말 장치 ID와 같은 세션에서 운송되는 정보에 기초해서, 세션을 개시하는 단말 장치를 결정할 수 있고, 세션이 단말 장치에 의해 개시되는 제1 세션, 제2 세션, 제3 세션 등인지 추가로 결정할 수 있다.
선택적으로, 오퍼레이터 네트워크 상의 단말 장치 가입 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID 및 세션의 보안 컨텍스트 중 적어도 하나 또는 둘은 단말 장치에 대한 인증, 빠른 인증 또는 권한 부여에 사용된다.
선택적으로, 단말 장치에 의해 전송된 세션 요청을 수신한 후, AMF는 세션 요청을 SMF 또는 UPF와 같은 네트워크 요소에 포워딩할 수 있다. 설명의 편의를 위해, 본 출원의 이러한 실시예의 다음 설명은 예로서 SMF를 사용한다.
S52. SMF는 단말 장치에 의해 전송된 세션 요청을 수신한다.
선택적으로, AMF에 의해 포워딩된 세션 요청을 수신한 후, SMF는 세션 요청에서 운송된 인증 정보에 기초하여 세션 요청을 개시한 단말 장치가 DN 1과의 세컨더리 인증을 수행했는지를 먼저 결정할 수 있다.
선택적으로, SMF는 SMF의 로컬 저장 공간을 검색함으로써, 단말 장치의 세션에 대한 인증 정보가 포함되는지를 판정할 수 있다. SMF의 로컬 저장 공간이 단말 장치의 임의의 세션에 대한 인증 정보를 포함하지 않는 경우, 세션 1은 단말 장치에 의해 SMF에 대해 개시된 제1 세션인 것으로 결정될 수 있다. SMF는 세션 요청에서 운송된 정보에 기초하여 세션 1에 대한 세컨더리 인증의 정규 절차, 즉 도 2a 및 도 2b에 도시된 인증 절차를 개시할 수 있다.
선택적으로, 단말 장치의 각 세션의 세컨더리 인증이 성공한 후, SMF는 SMF의 로컬 저장 공간에 세션에 대한 인증 정보를 저장할 수 있다. 또한, 새로운 세션 요청이 수신될 때, 이 새로운 세션 요청이 동일한 DN을 갖는 복수의 세컨더리 인증에 대한 것인지는 세션에 대한 인증 정보의 비교를 통해 결정될 수 있다. 세션이 하나의 단말 장치와 하나의 DN 사이의 복수의 세션인 경우, 빠른 인증 방식이 제1 세션 이후의 다른 모든 세션에 사용될 수 있다.
S53. SMF는 제2 세션에 대한 인증 정보를 위해 로컬 스토리지 공간을 조회한다.
선택적으로, SMF가 단말 장치에 의해 개시된 세션 1이 단말 장치와 DN 1을 연결하는 제1 PDU 세션이 아니라고 결정하면, SMF는 이 이전(이전 세션이라고 할 수 있음)에 단말 장치에 의해 SMF에 대해 개시된 다른 세션에 대한 인증 정보를 로컬 저장 공간에 조회할 수 있다.
SMF는 복수의 초기 세션들에 대해 발견된 인증 정보에 기초하여 복수의 초기 세션 중에서 제2 세션을 선택하고, 제2 세션에 대한 인증 정보에 기초하여 빠른 인증 및/또는 권한 부여를 수행할지를 판정할 수 있다. 초기 세션에 대한 인증 정보는 단말 장치 ID, DN 번호(DN number, DNN), AAA 서버 식별자, 성공적인 인증 만료 날짜(또는 유효 기간) 등을 포함할 수 있다. SMF는 각 세션의 성공적인 인증 만료 날짜에 기초하여 복수의 이전 세션 중에서 성공적인 인증 만료 날짜가 제2 세션(세션 2로 가정될 수 있음)으로서 도달하지 않은 세션을 선택할 수 있다. 다시 말해, 세션 2의 성공적인 인증은 여전히 유효 기간 내에 있다.
S54. SMF는 제1 세션에 대한 인증 정보 및 제2 세션에 대한 인증 정보에 기초하여, 단말 장치는 DN과의 제1 세션을 구축할 수 있도록 권한을 부여한다.
선택적으로, 세션 1에 대한 인증 정보에 포함된 DNN이 세션 2에 대한 인증 정보에 포함된 DN 식별자 정보와 동일하면, 단말 장치는 DN 1과의 세션 1을 구축하거나 세션 1에 대한 세컨더리 인증의 빠른 인증을 수행할 수 있는 권한을 직접 부여받을 수 있다
선택적으로, DN 식별자 정보는 DNN, DN에 대응하는 인증 서버(예를 들어, AAA 서버)의 식별자, DN에 대응하는 인증 서버가 속하는 동기 인증 서버 그룹 등을 포함할 수 있다. 특정 구현에서, DN 식별자 정보의 특정 표현 형태는 실제 애플리케이션 시나리오의 요구 사항에 따라 결정될 수 있다. 여기에는 제한이 없다.
선택적으로, SMF는 SMF의 로컬 저장 공간으로부터 세션 2의 보안 컨텍스트를 획득할 수 있고, 구축될 세션 1의 보안 컨텍스트가 세션 2의 보안 컨텍스트와 동일하면, SMF는 단말 장치에 DN과의 세션 1을 구축할 수 있는 권한을 직접 부여할 수 있다.
선택적으로, SMF는 세션 2의 보안 컨텍스트와 같은 SMF의 로컬 저장 공간에 저장된 정보에 기초하여 그리고 리플레이 공격 방지의 보안 요구 사항과 같은 보안 요구 사항에 기초하여 세션 2에 대한 인증 정보를 갱신할 수 있고, 이어서 단말 장치에 의해 개시된 세션 요청에 의해 요청된 세션에 대한 세컨더리 인증에 사용하기 위해, 단말 장치에 저장된 세션 2에 대해 보안 컨텍스트와 같은 인증 정보를 갱신하도록 단말 장치에 지시한다.
선택적으로, 전술한 세컨더리 인증의 빠른 인증은 EAP 재인증 프로토콜(EAP 재인증 프로토콜을 위한 EAP 확장, ERP(EAP extensions for EAP re-authentication protocol, ERP))을 포함할 수 있다. EAP 인증을 사용하는 시스템에서, 단말 장치 및 인증 서버는 신원 인증자를 사용하여 완전한 EAP 인증 절차를 수행한다. 단말 장치가 하나의 신원 인증자에서 다른 신원 인증자로 이동하면(인증 서버는 변경되지 않는다), 다른 완전한 EAP 인증 절차를 수행할 필요없이 ERP 메커니즘을 사용하여 신원 인증자 간의 빠르고 안전한 전환을 구현할 수 있다. 본 출원의 이 실시예에서, 제1 세컨더리 인증은 완전한 EAP 인증에 대응하고, 제2 세컨더리 인증은 빠른 ERP 재인증 절차에 대응한다. ERP는 하나의 EAP 인증 방법으로 제한되지 않고, 복수의 EAP 인증 방법이 지원된다는 점에 유의해야 한다.
선택적으로, 전술한 세컨더리 인증의 빠른 인증은 보안 터널링을 통한 EAP 플렉시블 인증(EAP Flexible Authentication via Secure Tunneling, EAP-FAST)을 포함할 수 있다. EAP-FAST 프로토콜은 두 스테이지로 구성된다. 스테이지 1에서, 전송 계층 보안(Transport Layer Security, TLS) 프로토콜에 기초하여 단말 장치와 DN 사이에 보안 터널이 구축된다. 스테이지 2에서, 보안 터널을 다시 구축할 필요없이 보안 터널이 빠르게 복원되므로 안전하고 빠른 연결 구축이 구현된다. 본 명세서에 EAP-FAST가 적용되면, 제1 세컨더리 인증은 EAP-FAST의 스테이지 1에 해당하고, 세컨더리 세컨더리 인증은 스테이지 2에 해당한다.
선택적으로, 상기 세컨더리 인증의 빠른 인증은 다른 빠른 인증 프로토콜을 포함할 수 있다. 여기에는 제한이 없다.
전술한 빠른 인증 방법은 일반적으로 물리적 인증 노드 사이에서 전환이 수행될 때 수행되는 빠른 인증에 사용된다. 본 출원의 이 실시예에서, 물리적 인증 노드들 사이에서 수행되는 전술한 빠른 인증 방식은 단말 장치와 DN 사이의 세컨더리 인증의 빠른 인증을 위해 사용될 수 있다. ERP 및 EAP-FAST 빠른 인증 방식에 의해 제공되는 구현들(이에 대해서는 IETF EAP 프로토콜 RFC 6696 및 RFC 4851을 각각 참조할 수 있다)은 여기에 제한되지 않는다.
선택적으로, 재인증과 같은 전술한 빠른 인증 방식은 SMF에 의해 개시될 수 있고, SMF는 AAA 서버에 세션 인증 요청을 전송하여 AAA 서버가 제1 세션의 재인증과 같은 빠른 인증 및 권한 부여를 수행하도록 트리거링한다.
선택적으로, 재인증과 같은 전술한 빠른 인증 방식은 SMF를 인식하지 않고 AAA 서버에 의해 대안으로 결정 및/또는 개시될 수 있다. SMF는 세션 요청을 AAA 서버에 포워딩하여, 세션 1에 대한 빠른 인증을 수행할지를 판단할 수 있도록 AAA 서버를 트리거링할 수 있다. AAA 서버에 피드백된 빠른 인증 성공 응답 메시지를 수신하면, SMF는 단말 장치가 DN 1과의 세션 1을 구축하도록 권한을 부여할 수 있다.
도 6a 및 도 6b는 본 출원의 실시예에 따른 빠른 인증의 개략적인 흐름도이다. 본 출원의 이 실시예에서 제공되는 세컨더리 인증의 빠른 인증은 다음 단계들을 포함할 수 있다.
1. 단말 장치는 AMF에 등록 요청을 전송한다.
2. 단말 장치와 오퍼레이터 네트워크 사이에서 프라이머리 인증을 수행한다.
3. 단말 장치와 AMF 사이에 NAS 보안을 구축한다.
단계 1 내지 단계 3에서 설명된 구현은 도 2a 및 도 2b에 도시된 세컨더리 인증의 정규 절차에서 단계 1 내지 3의 구현과 동일하다. 세부 사항은 여기에서 반복되지 않는다.
4. 단말 장치는 세션 구축 요청을 개시한다.
5. AMF는 세션 구축 요청을 SMF에 전송한다.
선택적으로, 단말 장치는 오퍼레이터 네트워크에 의해 전달되거나 협상된 인증 정책에 따라, 도 2a 및 도 2b에 도시된 실시예의 단계 4에서와 동일한 구현을 사용하여 세션 구축 요청을 개시할 수 있다. 선택적으로, 단말 장치는 구축되도록 요청된 세션에 대한 인증 정보, 및 쿠키 및 가입 데이터와 같이 이전에 단말 장치에 의해 저장된 이전 세션에 대한 인증 정보를 세션 구축 요청에 추가하고, SMF에 세션 구축 요청을 전송한다.
6. SMF는 가입 데이터를 검사한다.
선택적으로, SMF에 의한 가입 데이터를 검사하는 구현을 위해, 도 2a 및 도 2b에 도시된 실시예에서의 구현이 참조될 수 있으며, 상세한 설명은 여기에서 반복되지 않는다.
7. 세션 1에 대한 인증 정보 및 세션 2에 대한 인증 정보에 기초하여, 단말 장치에 대한 세컨더리 인증을 수행할 것인지를 판정한다.
단계 6에서 가입 데이터의 검사가 성공하고 PDU 세션(세션 1)에 대해 세컨더리 인증이 수행되어야 하는 경우, SMF는 세션 1에 대한 인증 정보에 기초하여 빠른 인증 및/또는 권한 부여가 지원되는지를 판정할 수 있으며, 즉 세션 1이 빠른 인증 요구 사항을 충족하는지를 판정할 수 있다.
8. SMF는 인증 정보가 유효한지를 검사한다.
단계 7에서 세션 1이 빠른 인증 및 권한 부여를 지원하는 것으로 결정되면(예를 들어, 세컨더리 인증에 성공한 세션 2가 세션 1 이전에 존재한다), SMF는 쿠키와 같은 인증 정보를 유효한지를 검사할 수 있다. 쿠키와 같은 인증 정보가 유효하면, SMF는 단말 장치가 DN 1과의 세션 1을 구축하도록 직접 권한 부여할 수 있다.
단계 7에서 세션 1이 빠른 인증 및 권한 부여를 지원하지 않는 것으로 결정되면(예를 들어, 세션 1은 단말 장치에 의해 DN 1과 구축된 제1 세션이다), SMF는 세컨더리 인증의 정규 절차(도 2a 및 도 2b에 도시된 인증 절차)를 사용하여 세션 1에 대한 세컨더리 인증을 수행할 수 있다.
9 및 10. SMF는 EAP 요청 및 식별 정보 요청을 단말 장치에 전송하고, 단말 장치는 EAP 응답 및 식별 정보를 SMF에 피드백한다.
11. SMF는 EAP 응답 및 식별 정보를 DN 및 AAA 서버에 전송한다.
SMF는 SMF와 UPF 사이에 구축된 세션 접속을 통해 EAP 응답 및 단말 장치로부터 전송된 단말 장치의 식별 정보를 UPF에 전송한다. UPF는 또한 단말 장치의 EAP 응답 및 식별 정보를 DN 및 AAA 서버로 전송한다.
12. AAA 서버는 선택된 빠른 인증 방법을 사용하여 세션 1에 대한 빠른 인증을 수행한다.
AAA 서버는 선택된 EAP 빠른 인증 방법을 이용하여 EAP 프로토콜에 정의된 인증 정책에 따라 세션 1에 대한 인증을 수행할 수 있다.
13. DN은 UPF를 사용하여 인증 성공 메시지를 SMF에 전송한다.
14 및 15. SMF는 PDU 세션 구축 성공 메시지를 AMF에 전송하고, AMF는 PDU 세션 구축 성공 메시지를 단말 장치에 포워딩한다.
인증 성공 메시지를 수신한 후, SMF는 단말 장치가 DN과의 세션 1을 구축하도록 권한을 부여할 수 있다.
선택적으로, 단계 9 내지 단계 13은 선택적인 단계이다. 단계 9 내지 단계 13가 필요한지는 다른 인증 정책에 따라 다르다. 직접 권한 부여 방식만을 지원하거나 우선적으로 지원하는 PDU 세션에 대해서는, 단계 8에서 성공한 후, 단계 14 및 15가 수행될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
본 출원의 이 실시예에서, SMF는 단말 장치의 PDU 세션에 대한 인증 정보를 저장할 수 있고, 단말 장치가 복수의 PDU 세션을 개시하고 복수의 PDU 세션이 하나의 SMF에 속할 때, SMF는 로컬 스토리지 공간에 저장된 PDU 세션에 대한 인증 정보에 기초하여, PDU 세션이 빠른 인증을 지원하는지를 판정하고, 빠른 인증이 지원되는 경우 PDU 세션에 대한 빠른 인증 또는 직접 권한 부여를 수행한다. 본 출원의 이 실시예에서 제공되는 세컨더리 인증의 구현은 세컨더리 인증의 구현 절차를 단순화하고, 세컨더리 인증을 위한 시그널링 오버헤드와 같은 자원을 감소시키며, 세컨더리 인증의 효율을 향상시켜서 더 나은 적용성을 가질 수 있다.
실시예 2
실시예 2에서 설명된 구현은 전술한 PDU 세션의 카테고리 2에 적용 가능하다. 다음은 도 7 및 도 8a 및 도 8b를 참조하여 전술한 PDU 세션의 카테고리 2에 대응하는 애플리케이션 시나리오에서의 세컨더리 인증의 구현을 설명한다.
도 7은 본 출원의 실시예에 따른 네트워크 보안 관리 방법의 개략적인 흐름도이다. 본 출원의 이 실시예에서 제공되는 방법은 다음 단계들을 포함한다.
S71. 단말 장치는 PDU 세션의 구축을 위한 세션 요청을 전송한다.
S72. SMF는 단말 장치에 의해 전송된 세션 요청을 수신한다.
선택적으로, 단계 S71 및 S72의 특정 구현에 대해서는, 실시예 1의 단계 S51 및 단계 S52에 제공된 구현을 참조할 수 있다. 여기서는 세부 사항이 반복되지 않는다.
S73. SMF는 제2 세션에 대한 인증 정보를 UDM에 조회한다.
선택적으로, 세션 1 및 세션 2는 하나의 SMF에 속하지 않고(예를 들어, SMF 1 및 SMF 2에 속한다) 따라서, 구축될 세션 1이 연결된 SMF는 제2 세션에 대한 인증 정보가 저장되지 않았거나 저장되지 않는다. SMF 간에 직접적인 인터페이스가 없으며, 이 경우 쿠키 또는 가입 데이터와 같은 해당 인증 정보가 DN의 UDM 또는 AAA 서버(즉, SMF 1이 제1 네트워크 장치인 제2 네트워크 장치)에 저장될 수 있다).
선택적으로, SMF는 UDM과 같은 네트워크 요소에 인증 정보 조회 요청을 전송하여 단말 장치에 의해 초기에 개시되는 복수의 세션을 위해 UDM에 저장된 인증 정보 조회할 수 있다. 또한, SMF는 인증 정보가 여전히 유효 기간 내에 있는 제2 세션(예를 들어, 세션 2)에 대한 인증 정보를 위해 UDM에 조회할 수 있다. 세션 2에 대한 전술한 인증 정보의 특정 표현 형태에 대해서는 전술한 실시예에서 설명된 구현을 참조한다. 세부 사항은 여기에서 반복되지 않는다. 선택적으로, 본 출원의 이 실시예에서 설명된 인증 정보 조회 요청은 대안으로, 예를 들어, 조회 요청 또는 데이터 요청과 같은 다른 방식으로 설명될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
선택적으로, 오퍼레이터 네트워크 상의 단말 장치 가입 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID 및 세션의 보안 컨텍스트 중 적어도 하나 또는 둘은 단말 장치에 대한 인증, 빠른 인증 또는 권한 부여에 사용된다.
S74. SMF는 제1 세션에 대한 인증 정보 및 제2 세션에 대한 인증 정보에 기초하여, 단말 장치는 DN과의 제1 세션을 구축할 수 있도록 권한을 부여한다.
선택적으로, SMF는 세션 1에 대한 인증 정보 및 UDM과 같은 네트워크 요소를 조회함으로써 획득되는 세션 2에 대한 인증 정보에 기초하여 세션 1에 대한 세컨더리 인증의 빠른 인증을 수행할지를 판정할 수도 있고, 단말 장치가 DN과의 세션 1을 구축하도록 직접 권한을 부여할 수도 있다. 구체적인 구현에 대해서는 실시예 1의 단계 S74에서 설명된 구현을 참조한다. 상세한 설명은 여기에서 반복되지 않는다.
선택적으로, SMF는 UDM과 같은 네트워크 요소에 보안 컨텍스트 조회 요청을 전송하여 UDM으로부터 단말 장치에 의해 초기에 시작된 세션의 보안 컨텍스트를 획득하도록 요청하고, 보안 컨텍스트로부터 세션 2의 보안 컨텍스트를 선택할 수 있다. 또한, 세션 1의 보안 컨텍스트가 세션 2의 보안 컨텍스트와 동일할 때, 단말 장치는 DN과의 세션 1을 구축하도록 직접 권한을 부여받을 수 있다. 본 출원의 이 실시예에서 제공되는 보안 컨텍스트 조회 요청은 대안으로, 예를 들어 조회 요청 또는 보안 컨텍스트 획득 요청과 같은 다른 방식으로 설명될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
선택적으로, SMF는 대안으로 세션 인증 또는 권한 부여 정책 조회 요청을 UDM에 전송하고, UDM에 의해 피드백된 세션 인증 또는 권한 부여 정책에 따라, DN과의 세션 1을 구축하기 위한 권한 및 허용 권한 범위를 단말 장치에 부여한다. 선택적으로, 본 출원의 이 실시예에서 설명된 세션 인증 또는 권한 부여 정책 조회 요청은 대안으로 다른 방식, 예를 들어 인증 또는 권한 부여 정책 요청에 설명될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다. 본 출원의 이 실시예에서 설명된 세션 인증 또는 권한 부여 정책은 대안으로 다른 방식으로 설명될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
도 8a 및 도 8b는 본 출원의 실시예에 따른 빠른 인증의 다른 개략적인 흐름도이다. 본 출원의 이 실시예에서 제공되는 세컨더리 인증의 빠른 인증은 다음 단계들을 포함할 수 있다.
1. 단말 장치는 등록 요청을 AMF에 전송한다.
2. 단말 장치와 오퍼레이터 네트워크 사이에서 프라이머리 인증을 수행한다.
3. 단말 장치와 AMF 사이에 NAS 보안을 구축한다.
단계 1 내지 3에서 설명된 구현은 도 2a 및 도 2b에 도시된 세컨더리 인증의 정규 절차에서 단계 1 내지 단계 3의 구현과 동일하다. 세부 사항은 여기에서 반복되지 않는다.
4. 단말 장치는 세션 구축 요청을 개시한다.
5. AMF는 세션 구축 요청을 SMF에 전송한다.
선택적으로, 단말 장치는 오퍼레이터 네트워크에 의해 포워딩되거나 협상된 인증 정책에 따라, 도 2a 및 도 2b에 도시된 실시예의 단계 4에서와 동일한 구현을 사용하여 세션 구축 요청을 개시할 수 있다. 선택적으로, 단말 장치는 구축되도록 요청된 세션에 대한 인증 정보, 및 쿠키 및 가입 데이터와 같이 이전에 단말 장치에 의해 저장된 이전 세션에 대한 인증 정보를 세션 구축 요청에 추가하고, SMF에 세션 구축 요청을 전송한다.
6. SMF는 가입 데이터를 검사한다.
선택적으로, SMF는 UDM으로부터 단말 장치의 가입 데이터를 획득하고, UDM에 저장된 단말 장치의 가입 데이터가 세션 구축 요청에서 운송되면서 단말 장치에 의해 전송되는 가입 데이터와 동일한지를 검사할 수 있다. 가입 데이터가 동일한 것으로 검사되고 PDU 세션(세션 1)에서 세컨더리 인증을 수행해야 하는 경우, SMF는 세션 1에 대한 인증 정보에 기초하여 빠른 인증 및/또는 권한 부여가 지원되는지를 판정할 수 있으며, 즉, 세션 1이 빠른 인증 요구 사항을 충족하는지가 결정된다.
또한, SMF는 단말 장치에 의해 이미 인증된 세션에 대한 인증 정보를 UDM으로부터 획득할 수 있으며, 이러한 인증 정보는 SMF ID, DNN 및 AAA 서버 식별자와 같이 이전에 인증된 PDU 세션에 대응하는 DN의 식별자 정보를 포함할 수 있다. UDM의 정보가 실시간으로 갱신되지 않으면, SMF는 이전에 인증된 PDU 세션에 대응하는 DN의 식별자 정보의 만료 날짜와 같은 정보를 UDM으로부터 추가로 획득할 수 있다.
7. 세션 1에 대한 인증 정보 및 세션 2에 대한 인증 정보에 기초하여, 단말 장치에 대한 세컨더리 인증을 수행할 것인지를 판정한다.
단계 6에서의 가입 데이터의 검사가 성공하고 PDU 세션(세션 1)에 대해 세컨더리 인증이 수행되어야 하는 경우, SMF는 세션 1에 대한 인증 정보 및 UDM에 조회함으로써 획득된 이전 세션에 대한 인증 정보에 기초하여 세션 1이 빠른 인증 요구 사항을 만족시키는지를 판정할 수 있다. 세션 1에 대한 인증 정보 및 이전 세션(예를 들어, 세션 2)에 대한 인증 정보에 기초하여 세션 1에 대한 빠른 인증을 수행할지를 판정하는 구현에 대해서는 전술한 구현을 참조한다. 세부 사항은 여기에서 반복되지 않는다.
세션 1이 빠른 인증 승인을 지원하는 것으로 판정되는 경우(예를 들어, 세컨더리 인증에 성공한 세션 2가 세션 1 이전에 존재하는 경우), SMF는 단말 장치가 DN과의 세션 1을 구축할 수 있는 권한을 직접 부여할 수 있다.
세션 1이 빠른 인증 승인을 지원하지 않는 것으로 판정된 경우(예를 들어, 세션 1은 단말 장치에 의해 DN 1과 구축된 제1 세션이다), SMF는 세컨더리 인증의 정규 절차(도 2a 및 도 2b에 도시된 인증 절차)를 사용하여 세션 1에 대한 세컨더리 인증을 수행할 수 있다.
8 및 9. SMF는 EAP 요청 및 신원 요청 정보를 단말 장치에 전송하고, 단말 장치는 EAP 응답 및 식별 정보를 SMF에 피드백한다.
10. SMF는 EAP 응답 및 단말 장치의 식별 정보를 DN 및 AAA 서버로 전송한다.
SMF는 SMF와 UPF 사이에 구축된 세션 접속을 통해 EAP 응답 및 단말 장치로부터 전송된 단말 장치의 식별 정보를 UPF에 전송한다. UPF는 또한 단말 장치의 EAP 응답 및 식별 정보를 DN 및 AAA 서버에 전송한다.
11. AAA 서버는 선택된 빠른 인증 방법을 사용하여 세션 1에 대한 빠른 인증을 수행한다.
AAA 서버는 선택된 EAP 빠른 인증 방법을 이용하여 EAP 프로토콜에 정의된 인증 정책에 따라 세션 1에 대한 인증을 수행할 수 있다.
12. DN은 UPF를 사용하여 인증 성공 메시지를 SMF에 전송한다.
13 및 14. SMF는 PDU 구축 성공 메시지를 AMF에 전송하고, AMF는 PDU 구축 성공 메시지를 단말 장치에 포워딩한다.
인증 성공 메시지를 수신한 후, SMF는 단말 장치가 DN과의 세션 1을 구축할 수 있는 권한을 부여할 수 있다.
선택적으로, 단계 8 내지 단계 12는 선택적인 단계이다. 단계 8 내지 단계 12가 필요한지는 다른 인증 정책에 따라 다르다. 직접 권한 부여 방식만을 지원하거나 우선적으로 지원하는 PDU 세션에 대해서는, 단계 7에서 성공한 후, 단계 13 및 14가 수행될 수 있다. 세부 사항은 실제 애플리케이션 시나리오에 따라 결정될 수 있으며, 여기에는 제한이 없다.
본 출원의 이 실시예에서, UDM은 단말 장치의 PDU 세션에 대한 인증 정보를 저장할 수 있고, 단말 장치가 복수의 PDU 세션을 개시하고 복수의 PDU 세션이 상이한 SMF에 속할 때, SMF 중 하나는 단말 장치에 의해 이미 인증된 세션에 대한 인증 정보를 UDM에 조회한다. SMF는 UDM에 저장된 PDU 세션에 대한 인증 정보 및 세션 구축 요청에 의해 구축되도록 요청된 PDU 세션에 기초하여 빠른 인증이 지원되는지를 판정하고 빠른 인증이 지원될 때 PDU 세션에 대한 빠른 인증 또는 직접 인증을 수행한다. 본 출원의 이 실시예에서, UDM은 단말 장치의 PDU 세션에 대한 인증 정보를 저장할 수 있고, SMF는 단말 장치의 PDU 세션에 대한 인증 정보를 UDM에 조회할 수 있고, 세션 구축 요청에 의해 구축되도록 요청된 PDU 세션에 대한 인증 정보에 기초하여 PDU 세션에 대한 빠른 인증을 추가로 결정 또는 수행할 수 있다. 이는 빠른 인증 구현을 다양화 한다. 본 출원의 이 실시예에서 제공되는 세컨더리 인증의 구현은 세컨더리 인증의 구현 절차를 단순화하고, 세컨더리 인증을 위한 시그널링 오버헤드와 같은 자원을 감소시키고, 세컨더리 인증의 효율을 향상 시켜서 더 나은 적용성을 가질 수 있다.
도 9는 본 출원의 실시예에 따른 네트워크 보안 관리 시스템의 개략적인 구조도이다. 본 출원의 이 실시예에서 제공되는 네트워크 보안 관리 시스템은 단말 장치, 오퍼레이터 네트워크의 네트워크 장치 및 데이터 네트워크의 인증 서버를 포함할 수 있다. 오퍼레이터 네트워크의 네트워크 장치는 제1 네트워크 장치(90) 및 제2 네트워크 장치(100)를 포함할 수 있다. 제1 네트워크 장치(90)는 구체적으로 전술한 실시예들에서 설명된 신원 인증자, 예를 들어 SMF와 같은 장치일 수 있다. 제1 네트워크 장치(90)는 송수신기 유닛(91), 프로세싱 유닛(92) 및 저장 유닛(93)을 포함할 수 있다.
저장 유닛(93)은 단말 장치의 가입 데이터 및/또는 단말 장치의 세션에 대한 인증 정보를 저장하도록 구성된다.
송수신기 유닛(91)은 단말 장치에 의해 전송된 세션 요청을 수신하도록 구성되고, 세션 요청은 제1 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되며, 세션 요청은 제1 세션에 대한 제1 인증 정보를 포함한다.
프로세싱 유닛(92)은 송수신기 유닛(91)에 의해 수신된 제1 인증 정보 및 단말 장치의 제2 세션에 대해 미리 구축된 제2 인증 정보에 기초하여, 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 단말 장치에 부여하도록 구성된다.
선택적으로, 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함하고, 제2 인증 정보는 제2 세션이 연결된 제2 데이터 네트워크의 식별자 정보를 포함하고;
프로세싱 유닛(92)은:
제2 데이터 네트워크의 미리 구축된 식별자 정보를 획득하고; 그리고 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하면, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 구성된다.
선택적으로, 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일하다는 것은 다음:
제1 데이터 네트워크의 데이터 네트워크 번호(data network number, DNN)는 제2 데이터 네트워크의 DNN과 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버는 제2 데이터 네트워크의 인증 서버와 동일하다는 것; 또는
제1 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹은 제2 데이터 네트워크의 인증 서버가 속하는 동기 인증 서버 그룹과 동일하다는 것
중 적어도 하나를 포함한다.
선택적으로, 오퍼레이터 네트워크는 제2 네트워크 장치를 더 포함하고; 그리고
송수신기 유닛(91)은:
인증 정보 조회 요청을 제2 네트워크 장치로 전송하고, 상기 인증 정보 조회 요청은 단말 장치의 세션에 대한 인증 정보를 조회하는 데 사용되며; 그리고
제2 네트워크 장치에 의해 피드백된 제2 세션에 대한 제2 인증 정보를 수신하고, 제2 인증 정보로부터 제2 데이터 네트워크의 식별자 정보를 획득하도록 추가로 구성되어 있으며, 여기서
상기 제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션에 대한 제2 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있다.
선택적으로, 제1 인증 정보는 제1 세션에 의해 사용되는 제1 보안 컨텍스트를 더 포함하고, 제2 인증 정보는 제2 세션에 의해 사용되는 제2 보안 컨텍스트를 더 포함하고; 그리고
프로세싱 유닛(92)은:
미리 구축된 제2 보안 콘텍스트를 획득하고; 그리고 제2 보안 콘텍스트가 제1 보안 콘텍스트와 동일하면, 단말 장치에 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 구성된다.
선택적으로, 프로세싱 유닛(92)은 제2 보안 컨텍스트를 갱신하도록 추가로 구성되며; 그리고
송수신기 유닛(91)은 단말 장치에 저장된 제2 세션의 보안 컨텍스트를 갱신하도록 단말 장치에 지시하도록 추가로 구성된다.
선택적으로, 송수신기 유닛(91)은 보안 컨텍스트 조회 요청을 제2 네트워크 장치에 전송하도록 구성되며, 여기서 보안 컨텍스트 조회 요청은 단말 장치의 세션의 보안 컨텍스트를 조회하는 데 사용되며; 그리고
송수신기 유닛(91)은 제2 네트워크 장치에 의해 피드백된 제2 세션의 제2 보안 콘텍스트를 수신하도록 추가로 구성되며, 여기서
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션의 보안 컨텍스트는 여전히 유효 기간 내에 있다.
선택적으로, 송수신기 유닛(91)은 세션 인증 또는 권한 부여 정책 조회 요청을 제2 네트워크 장치에 전송하도록 추가로 구성되며;
송수신기 유닛(91)은 제2 네트워크 장치에 의해 피드백된 세션 인증 또는 권한 부여 정책을 수신하도록 추가로 구성되고; 그리고
프로세싱 유닛(92)은 송수신기 유닛에 의해 수신된 세션 인증 또는 권한 부여 정책에 따라, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성된다.
선택적으로, 송수신기 유닛(91)은, 제1 데이터 네트워크의 식별자 정보가 제2 데이터 네트워크의 식별자 정보와 동일할 때, 세션 인증 요청을 제1 데이터 네트워크의 인증 서버에 전송하도록 추가로 구성되고, 상기 세션 인증 요청은 인증 서버가 제2 인증 정보에 기초하여 제1 세션에 대한 빠른 인증을 개시하도록 지시하는 데 사용되며; 그리고
프로세싱 유닛(92)은 송수신기 유닛이 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신할 때, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성된다.
선택적으로, 송수신기 유닛(91)은 세션 요청을 제1 데이터 네트워크의 인증 서버에 포워딩하도록 추가로 구성된다. 세션 요청은 제1 세션에 대한 빠른 인증을 수행할지를 판정하기 위해 인증 서버를 트리거링하는 데 사용되며; 그리고
프로세싱 유닛(92)은 송수신기 유닛(91)이 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지를 수신할 때, 단말 장치에 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성된다.
오퍼레이터 네트워크 상의 제2 네트워크 장치(100)는 구체적으로 전술한 실시예에서 설명된 UDM과 같은 데이터 관리 네트워크 요소일 수 있다. 제2 네트워크 장치(100)는 저장 유닛(101), 송수신기 유닛(102) 및 프로세싱 유닛(103)을 포함할 수 있다. 저장 유닛(101)은 단말 장치의 가입 데이터 및/또는 단말 장치의 세션에 대한 인증 정보를 저장하도록 구성된다.
송수신기 유닛(102)은 제2 네트워크 장치에 의해 전송된 인증 정보 조회 요청을 수신하도록 구성되며, 여기서 인증 정보 조회 요청은 단말 장치의 식별자 정보를 포함한다.
송수신기 유닛(102)은 단말 장치의 세션에 대한 인증 정보를 제2 네트워크 장치에 피드백하여, 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 단말 장치에 부여하도록 제2 네트워크 장치를 트리거링하도록 구성된다.
단말 장치의 세션은 제1 데이터 네트워크에 연결하기 위해 단말 장치에 의해 개시된 적어도 하나의 세션을 포함한다.
선택적으로, 단말 장치의 세션에 대한 인증 정보는 다음: 단말 장치 ID, 오퍼레이터 네트워크 상의 단말 장치 가입 식별자 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID, 세션이 연결되는, 오퍼레이터 네트워크의 네트워크 장치의 ID, 세션의 보안 컨텍스트, 세션이 연결되는 데이터 네트워크의 식별자 정보, 세션이 연결되는 인증 서버의 식별자 정보 및 성공적인 유효 세션 인증의 유효 기간 중 적어도 하나를 포함한다.
선택적으로, 오퍼레이터 네트워크 상의 단말 장치 가입 ID, 제1 데이터 네트워크 상의 단말 장치 가입 ID 및 세션의 보안 컨텍스트 중 적어도 하나 또는 둘은 단말 장치에 대한 인증, 빠른 인증 또는 권한 부여에 사용된다.
선택적으로, 인증 정보 조회 요청은 제1 데이터 네트워크의 식별자 정보를 더 포함하고; 그리고
네트워크 장치는:
저장 유닛에 미리 저장된 단말 장치의 복수의 세션 중에서 제1 데이터 네트워크에 연결된 제2 세션을 결정하도록 구성되어 있는 프로세싱 유닛(103)
을 더 포함하고, 여기서
송수신기 유닛(102)은 프로세싱 유닛에 의해 결정된 제2 세션에 대한 인증 정보를 제2 네트워크 장치에 피드백하도록 구성되고, 여기서
제2 세션은 단말 장치의 복수의 세션 중 적어도 하나이고, 제2 세션에 대한 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있다.
선택적으로, 저장 유닛(101)은 세션 인증 또는 권한 부여 정책을 저장하도록 추가로 구성되며; 그리고
송수신기 유닛(102)은 제2 네트워크 장치에 의해 전송된 세션 인증 또는 권한 부여 정책 조회 요청을 수신하고, 세션 인증 또는 권한 부여 정책을 제2 네트워크 장치에 피드백하도록 추가로 구성되며,
세션 인증 또는 권한 부여 정책은 제2 네트워크 장치가 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 단말 장치에 부여하도록 지시하는 데 사용된다.
특정 구현에서, 제1 네트워크 장치(예를 들어, SMF) 및 제2 네트워크 장치(예를 들어, UDM)는 제1 네트워크 장치에 내장된 유닛 및 제2 네트워크 장치에 내장된 유닛을 사용하여 전술한 실시예에서 SMF 또는 UDM에 의해 수행되는 구현을 수행할 수 있다. 세부 사항은 여기에서 반복되지 않는다.
도 10은 본 출원의 실시예에 따른 통신 장치의 개략적인 구조도이다. 도 10에 도시된 바와 같이, 본 출원의 이 실시예에서 제공된 통신 장치(110)는 프로세서(111), 메모리(112), 송수신기(113) 및 버스 시스템(114)을 포함한다.
프로세서(111), 메모리(112) 및 송수신기(113)는 버스 시스템(114)을 사용하여 연결된다.
메모리(112)는 통신 장치의 프로그램 및/또는 처리 데이터를 저장하도록 구성된다. 구체적으로, 프로그램은 프로그램 코드를 포함할 수 있고, 프로그램 코드는 컴퓨터 작동 명령을 포함한다. 메모리(112)는 랜덤 액세스 메모리(random access memory, RAM), 판독 전용 메모리(read-only memory, ROM), 소거 가능 프로그램 가능 판독 전용 메모리(erasable programmable read only memory, EPROM), 또는 컴팩트 디스크 판독 전용 메모리(compact disc read-only memory, CD-ROM)를 포함하지만 이에 제한되지 않는다. 도 10에는 하나의 메모리 만이 도시되어 있다. 당연히, 필요에 따라 복수의 메모리가 구성될 수 있다. 메모리(112)는 대안으로 프로세서(111)의 메모리일 수 있다. 여기에는 제한이 없다.
메모리(112)는 다음의 요소: 실행 가능 모듈 또는 데이터 구조, 또는 그것의 서브세트, 또는 그것의 확장된 세트;
다양한 동작을 구현하는 데 사용되는 다양한 동작 명령어를 포함하는 동작 명령; 및
다양한 기본 서비스를 구현하고 하드웨어 기반 작업을 처리하는 데 사용되는 다양한 시스템 프로그램을 포함한 운영 체제
를 저장한다.
프로세서(111)는 통신 장치(110)의 동작을 제어한다. 프로세서(111)는 하나 이상의 중앙 처리 장치(central processing unit, CPU)일 수 있다. 프로세서(111)가 하나의 CPU인 경우, CPU는 단일 코어 CPU이거나 멀티 코어 CPU일 수 있다.
특정 응용 동안, 통신 장치(110)의 구성 요소는 버스 시스템(114)을 사용하여 서로 연결된다. 데이터 버스 외에, 버스 시스템(114)은 전력 버스, 제어 버스, 상태 신호 버스 등을 포함한다. 그렇지만, 명확한 설명을 위해, 다양한 유형의 버스가 버스 시스템(114)으로서 도 10에 표시되어 있고, 그리고 설명의 편의를 위해도 도 10에 개략적으로만 도시되어 있다.
본 출원의 전술한 실시예들에서 제공되는 도 2a 및 도 2b, 도 5, 도 6a 및 도 6b, 도 7 또는 도 8a 및 도 8b 도 8b, 또는 전술한 실시예들에서 개시된 SMF에 의해 실행되는 방법, 또는 전술한 실시예들에서 개시된 UDM 또는 AAA 서버에 의해 실행되는 방법은 프로세서(111)에 적용될 수 있거나, 또는 프로세서(111)에 의해 구현될 수 있다. 프로세서(111)는 집적 회로 칩일 수 있고, 신호 처리 능력을 갖는다. 구현 프로세스에서, 전술한 방법에서의 단계는 프로세서(111)의 하드웨어 집적 논리 회로를 사용하거나 소프트웨어 형태 명령을 사용함으로써 구현될 수 있다. 프로세서(111)는 범용 프로세서, 디지털 신호 프로세서(digital signal processor, DSP), 주문형 집적 회로(application specific integrated circuit, ASIC), 현장 프로그램 가능 게이트 어레이(field-programmable gate array, FPGA), 또는 다른 프로그램 가능 논리 장치, 이산 게이트 또는 트랜지스터 논리 장치 또는 이산 하드웨어 구성 요소일 수 있다. 프로세서(111)는 본 출원의 실시예에 개시된 방법, 단계 및 논리 블록도를 구현 또는 수행할 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 프로세서는 임의의 종래의 프로세서 등일 수 있다. 본 출원의 실시예들을 참조하여 개시된 방법들의 단계들은 하드웨어 디코딩 프로세서를 사용하여 직접 실행 및 완료될 수 있거나, 또는 디코딩 프로세서에서 하드웨어 및 소프트웨어 모듈의 조합을 사용하여 실행 및 완료될 수 있다. 소프트웨어 모듈은 랜덤 액세스 메모리, 플래시 메모리, 판독 전용 메모리, 프로그램 가능 판독 전용 메모리, 전기 소거 가능 프로그램 가능 메모리 또는 레지스터와 같은 해당 기술 분야에 많이 보급된 저장 매체에 위치할 수 있다. 저장 매체는 메모리(112)에 위치한다. 프로세서(111)는 메모리(112)의 정보를 판독하고 그 하드웨어와 결합하여, 도 2a 및 도 2b, 도 5, 도 6a 및 도 6b, 도 7 또는 도 8a 및 도 8b, 전술한 실시예에서 개시된 SMF에 의해 실행되는 방법, 또는 전술한 실시예에서 개시된 UDM 또는 AAA 서버에 의해 실행되는 방법을 실행한다.
전술한 설명은 본 출원의 특정 구현일 뿐이며, 본 출원의 보호 범위를 제한하려는 것은 아니다. 본 출원에 개시된 기술 범위 내에서 당업자에 의해 쉽게 파악되는 임의의 변형 또는 교체는 본 출원의 보호 범위 내에 속한다.

Claims (25)

  1. 네트워크 보안 관리 방법으로서, 상기 네트워크 보안 관리 방법은:
    제1 네트워크 장치가 단말 장치에 의해 전송된 세션 요청을 수신하는 단계 - 상기 세션 요청은 제1 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되고, 상기 세션 요청은 상기 제1 세션에 대한 제1 인증 정보를 포함하고, 상기 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함함 - ;
    상기 제1 네트워크 장치가 상기 단말 장치의 제2 세션에 대한 제2 인증 정보를 획득하는 단계 - 상기 제2 인증 정보는 상기 제2 세션이 연결되는 제2 데이터 네트워크의 식별자 정보를 포함함 - ; 및
    상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하면, 상기 제1 네트워크 장치가 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계
    를 포함하고,
    상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하다는 것은,
    상기 제1 데이터 네트워크의 데이터 네트워크 번호(data network number, DNN)가 상기 제2 데이터 네트워크의 DNN과 동일하다는 것을 포함하는,
    네트워크 보안 관리 방법.
  2. 제1항에 있어서,
    상기 제1 네트워크 장치가 상기 단말 장치의 제2 세션에 대한 제2 인증 정보를 획득하는 단계는:
    상기 제1 네트워크 장치가 제2 네트워크 장치에 인증 정보 조회 요청을 전송하는 단계 - 상기 인증 정보 조회 요청은 상기 단말 장치의 세션에 대한 인증 정보를 조회하는 데 사용됨 - ; 및
    상기 제1 네트워크 장치가 상기 제2 네트워크 장치에 의해 피드백된 상기 제2 세션에 대한 제2 인증 정보를 수신하고, 상기 제2 인증 정보로부터 상기 제2 데이터 네트워크의 식별자 정보를 획득하는 단계
    를 포함하며,
    상기 제2 세션은 상기 단말 장치의 복수의 세션 중 적어도 하나이고, 상기 제2 세션에 대한 제2 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있는, 네트워크 보안 관리 방법.
  3. 제1항에 있어서,
    상기 제1 인증 정보는 상기 제1 세션에 의해 사용되는 제1 보안 콘텍스트를 더 포함하고, 상기 제2 인증 정보는 상기 제2 세션에 의해 사용되는 제2 보안 콘텍스트를 더 포함하며,
    상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계는:
    상기 제1 네트워크 장치가 상기 제2 보안 콘텍스트를 획득하는 단계; 및
    상기 제2 보안 콘텍스트가 상기 제1 보안 콘텍스트와 동일하면, 상기 단말 장치에 상기 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계
    를 포함하는, 네트워크 보안 관리 방법.
  4. 제3항에 있어서,
    상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계 이후에, 상기 네트워크 보안 관리 방법은:
    상기 제1 네트워크 장치가 상기 제2 보안 컨텍스트를 갱신하고, 상기 단말 장치에 저장된 상기 제2 세션의 보안 컨텍스트를 갱신하도록 상기 단말 장치에 지시하는 단계
    를 더 포함하는 네트워크 보안 관리 방법.
  5. 제3항 또는 제4항에 있어서,
    상기 제1 네트워크 장치가 제2 보안 컨텍스트를 획득하는 단계는:
    상기 제1 네트워크 장치가 상기 보안 컨텍스트 조회 요청을 제2 네트워크 장치에 전송하는 단계 - 상기 보안 컨텍스트 조회 요청은 상기 단말 장치의 세션의 보안 컨텍스트를 조회하는 데 사용됨 - ; 및
    상기 제1 네트워크 장치가 상기 제2 네트워크 장치에 의해 피드백된 상기 제2 세션의 제2 보안 컨텍스트를 수신하는 단계
    를 포함하며,
    상기 제2 세션은 상기 단말 장치의 복수의 세션 중 적어도 하나이고, 상기 제2 세션의 제2 보안 컨텍스트는 여전히 유효 기간 내에 있는, 네트워크 보안 관리 방법.
  6. 제1항 내지 제4항 중 어느 하나의 항에 있어서,
    상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계는:
    상기 제1 네트워크 장치가 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책 조회 요청을 전송하는 단계; 및
    상기 제1 네트워크 장치가 상기 제2 네트워크 장치에 의해 피드백된 세션 인증 또는 권한 부여 정책을 수신하고, 상기 세션 인증 또는 권한 부여 정책에 따라, 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 단말 장치에 부여하는 단계
    를 포함하는, 네트워크 보안 관리 방법.
  7. 제1항에 있어서,
    상기 네트워크 보안 관리 방법은:
    상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하면, 상기 제1 네트워크 장치가 상기 제1 데이터 네트워크의 인증 서버에 세션 인증 요청을 전송하는 단계 - 상기 세션 인증 요청은 상기 인증 서버가 상기 제2 인증 정보에 기초하여 상기 제1 세션에 대한 빠른 인증을 개시하도록 지시하는 데 사용됨 - ; 및
    상기 인증 서버에 의해 피드백된 빠른 인증 성공 응답 메시지가 수신되면, 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하는 단계
    를 포함하는, 네트워크 보안 관리 방법.
  8. 네트워크 장치로서,
    상기 네트워크 장치는 오퍼레이터 네트워크의 제1 네트워크 장치이고, 상기 제1 네트워크 장치는:
    단말 장치에 의해 전송된 세션 요청을 수신하도록 구성되어 있는 송수신기 유닛 - 상기 세션 요청은 제1 데이터 네트워크와의 제1 세션의 구축을 요청하는 데 사용되고, 상기 세션 요청은 상기 제1 세션에 대한 제1 인증 정보를 포함하고, 상기 제1 인증 정보는 제1 데이터 네트워크의 식별자 정보를 포함함 - ; 및
    상기 단말 장치의 제2 세션에 대한 제2 인증 정보를 획득하도록 구성되어 있는 프로세싱 유닛 - 상기 제2 인증 정보는 상기 제2 세션이 연결되는 제2 데이터 네트워크의 식별자 정보를 포함함 -
    을 포함하며,
    상기 프로세싱 유닛은: 상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하면, 상기 단말 장치에 상기 제1 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 추가로 구성되어 있고,
    상기 제1 데이터 네트워크의 식별자 정보가 상기 제2 데이터 네트워크의 식별자 정보와 동일하다는 것은:
    상기 제1 데이터 네트워크의 데이터 네트워크 번호(data network number, DNN)가 상기 제2 데이터 네트워크의 DNN과 동일하다는 것을 포함하는,
    네트워크 장치.
  9. 제8항에 있어서,
    상기 오퍼레이터 네트워크는 제2 네트워크 장치를 더 포함하며,
    상기 송수신기 유닛은:
    상기 제2 네트워크 장치에 인증 정보 조회 요청을 전송하며 - 상기 인증 정보 조회 요청은 상기 단말 장치의 세션에 대한 인증 정보를 조회하는 데 사용됨 - ; 그리고
    상기 제2 네트워크 장치에 의해 피드백된 상기 제2 세션에 대한 제2 인증 정보를 수신하고, 상기 제2 인증 정보로부터 상기 제2 데이터 네트워크의 식별자 정보를 획득하도록 추가로 구성되어 있으며,
    상기 제2 세션은 상기 단말 장치의 복수의 세션 중 적어도 하나이고, 상기 제2 세션에 대한 제2 인증 정보 또는 권한 부여 정보는 여전히 유효 기간 내에 있는, 네트워크 장치.
  10. 제8항에 있어서,
    상기 제1 인증 정보는 상기 제1 세션에 의해 사용되는 제1 보안 콘텍스트를 더 포함하고, 상기 제2 인증 정보는 상기 제2 세션에 의해 사용되는 제2 보안 콘텍스트를 더 포함하며,
    상기 프로세싱 유닛은:
    상기 제2 보안 콘텍스트를 획득하며; 그리고 상기 제2 보안 콘텍스트가 상기 제1 보안 콘텍스트와 동일하면, 상기 단말 장치에 상기 데이터 네트워크와의 제1 세션을 구축할 수 있는 권한을 부여하도록 구성되어 있는, 네트워크 장치.
  11. 제10항에 있어서,
    상기 프로세싱 유닛은 상기 제2 보안 컨텍스트를 갱신하도록 추가로 구성되어 있고,
    상기 송수신기 유닛은 상기 단말 장치에 저장된 상기 제2 세션의 보안 컨텍스트를 갱신하도록 상기 단말 장치에 지시하도록 추가로 구성되어 있는, 네트워크 장치.
  12. 제10항 또는 제11항에 있어서,
    상기 송수신기 유닛은 보안 컨텍스트 조회 요청을 제2 네트워크 장치에 전송하도록 추가로 구성되어 있으며, 상기 보안 컨텍스트 조회 요청은 상기 단말 장치의 세션의 보안 컨텍스트를 조회하는 데 사용되며,
    상기 송수신기 유닛은 상기 제2 네트워크 장치에 의해 피드백된 상기 제2 세션의 제2 보안 컨텍스트를 수신하도록 추가로 구성되어 있으며,
    상기 제2 세션은 상기 단말 장치의 복수의 세션 중 적어도 하나이고, 상기 제2 세션의 제2 보안 컨텍스트는 여전히 유효 기간 내에 있는, 네트워크 장치.
  13. 제8항 내지 제11항 중 어느 하나의 항에 있어서,
    상기 송수신기 유닛은 제2 네트워크 장치에 세션 인증 또는 권한 부여 정책 조회 요청을 전송하도록 추가로 구성되어 있으며,
    상기 송수신기 유닛은 상기 제2 네트워크 장치에 의해 피드백된 세션 인증 또는 권한 부여 정책을 수신하도록 추가로 구성되어 있으며,
    상기 프로세싱 유닛은 상기 송수신기 유닛에 의해 수신된 상기 세션 인증 또는 권한 부여 정책에 따라, 제1 데이터 네트워크와의 제1 세션을 구축하기 위한 특권 범위를 단말 장치에 부여하도록 추가로 구성되어 있는, 네트워크 장치.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
KR1020207004389A 2017-07-20 2017-07-20 네트워크 보안 관리 방법 및 장치 KR102345932B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SG2017/050368 WO2019017837A1 (zh) 2017-07-20 2017-07-20 网络安全管理的方法及装置

Publications (2)

Publication Number Publication Date
KR20200022512A KR20200022512A (ko) 2020-03-03
KR102345932B1 true KR102345932B1 (ko) 2021-12-30

Family

ID=65015167

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207004389A KR102345932B1 (ko) 2017-07-20 2017-07-20 네트워크 보안 관리 방법 및 장치

Country Status (8)

Country Link
US (3) US11477242B2 (ko)
EP (2) EP4167678A1 (ko)
JP (1) JP7035163B2 (ko)
KR (1) KR102345932B1 (ko)
CN (2) CN110999356B (ko)
AU (1) AU2017423732B2 (ko)
BR (1) BR112020000932A2 (ko)
WO (1) WO2019017837A1 (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641949B (zh) * 2019-03-01 2022-05-31 华为技术有限公司 一种认证结果更新的方法和通信装置
CN112672336B (zh) * 2019-09-30 2024-04-30 华为技术有限公司 实现外部认证的方法、通信装置及通信系统
US11777935B2 (en) 2020-01-15 2023-10-03 Cisco Technology, Inc. Extending secondary authentication for fast roaming between service provider and enterprise network
CN113395238B (zh) * 2020-03-12 2022-09-23 华为技术有限公司 一种认证授权方法及对应装置
US11778463B2 (en) 2020-03-31 2023-10-03 Cisco Technology, Inc. Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network
CN113472724B (zh) * 2020-03-31 2023-03-24 中国联合网络通信集团有限公司 一种网络认证方法、设备及系统
US11706619B2 (en) 2020-03-31 2023-07-18 Cisco Technology, Inc. Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network
US11765581B2 (en) 2020-03-31 2023-09-19 Cisco Technology, Inc. Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information
CN113573298B (zh) * 2020-04-10 2022-05-24 华为技术有限公司 一种通信方法及装置
CN111639116B (zh) * 2020-05-15 2023-06-09 中国银联股份有限公司 数据访问连接会话保护方法以及装置
CN113784346A (zh) * 2020-05-22 2021-12-10 华为技术有限公司 认证授权的方法和装置
CN111638997A (zh) * 2020-05-28 2020-09-08 中国联合网络通信集团有限公司 数据恢复方法、装置及网络设备
CN112039838B (zh) * 2020-07-15 2022-03-15 中国电子科技集团公司第三十研究所 一种适用于移动通信不同应用场景的二次认证方法和系统
CN114640994A (zh) * 2020-12-16 2022-06-17 中国电信股份有限公司 协议数据单元会话鉴权认证方法、系统和相关设备
CN116601985A (zh) * 2020-12-25 2023-08-15 华为技术有限公司 一种安全上下文生成方法、装置及计算机可读存储介质
CN114980090A (zh) * 2021-02-19 2022-08-30 中国电信股份有限公司 二次认证方法、网元和系统、计算机装置和存储介质
CN115913584A (zh) * 2021-08-10 2023-04-04 中国电信股份有限公司 鉴权方法、装置、电子设备和计算机可读存储介质
CN113489747B (zh) * 2021-08-17 2023-03-24 中国联合网络通信集团有限公司 会话连接方法、装置及终端
CN114697963B (zh) * 2022-03-29 2024-08-30 中国南方电网有限责任公司 终端的身份认证方法、装置、计算机设备和存储介质
CN114978747B (zh) * 2022-06-10 2024-02-06 中国电信股份有限公司 注册认证方法、装置、电子设备及存储介质
CN118120269A (zh) * 2022-09-30 2024-05-31 北京小米移动软件有限公司 应用功能授权方法及装置
CN118119037A (zh) * 2022-11-29 2024-05-31 中移(成都)信息通信科技有限公司 通信系统、方法、装置、相关设备及存储介质
CN117134947B (zh) * 2023-07-31 2024-04-12 深圳市卓青科技有限公司 一种网络信息安全分析管理系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008099254A2 (en) 2007-02-12 2008-08-21 Nokia Corporation Authorizing n0n-3gpp ip access during tunnel establishment

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769838B2 (en) 2001-08-23 2010-08-03 The Directv Group, Inc. Single-modem multi-user virtual private network
US8780856B2 (en) * 2007-09-18 2014-07-15 Telefonaktiebolaget Lm Ericsson (Publ) Inter-system handoffs in multi-access environments
CN101656956B (zh) * 2008-08-22 2012-05-23 华为技术有限公司 一种接入3gpp网络的方法、系统和网关
CN101931928B (zh) * 2009-06-19 2014-08-13 中兴通讯股份有限公司 漫游场景下单apn多pdn连接的策略计费控制的方法及系统
CN101827112B (zh) * 2010-05-25 2016-05-11 中兴通讯股份有限公司 上网认证服务器识别客户端软件的方法及系统
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
EP2777356B1 (en) * 2011-11-04 2019-07-24 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for establishing and using pdn connections and corresponding program and storage medium
US9451455B2 (en) 2012-06-11 2016-09-20 Blackberry Limited Enabling multiple authentication applications
CN103533666B (zh) * 2012-07-02 2019-06-11 中兴通讯股份有限公司 分组数据网络连接建立方法及装置
US9479934B2 (en) * 2013-12-13 2016-10-25 Parallel Wireless, Inc. Virtualization of the evolved packet core to create a local EPC
CN103944737B (zh) 2014-05-06 2018-11-02 中国联合网络通信集团有限公司 用户身份认证方法、第三方认证平台、运营商认证平台
CN106302376A (zh) * 2015-06-29 2017-01-04 中兴通讯股份有限公司 重认证识别方法、演进分组数据网关及系统
KR101795786B1 (ko) * 2015-11-19 2017-11-08 에스케이 텔레콤주식회사 이동통신 시스템에서 코어 네트워크를 선택하는 방법 및 장치
CN105873059A (zh) 2016-06-08 2016-08-17 中国南方电网有限责任公司电网技术研究中心 配电通信无线专网的联合身份认证方法和系统
PL3485624T3 (pl) * 2016-07-18 2022-01-31 Telefonaktiebolaget Lm Ericsson (Publ) Operacja dotycząca urządzenia użytkownika stosującego tajny identyfikator
US10624006B2 (en) * 2016-08-05 2020-04-14 Qualcomm Incorporated Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node
EP3501155B1 (en) 2017-01-27 2023-06-07 Telefonaktiebolaget LM Ericsson (publ) Secondary authentication of a user equipment
US11196728B1 (en) * 2021-03-29 2021-12-07 Fmr Llc Caching login sessions to access a software testing environment

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008099254A2 (en) 2007-02-12 2008-08-21 Nokia Corporation Authorizing n0n-3gpp ip access during tunnel establishment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 23.799 v14.0.0, Technical Specificaion Group Service and System Aspects*

Also Published As

Publication number Publication date
KR20200022512A (ko) 2020-03-03
CN110999356A (zh) 2020-04-10
EP3657894B1 (en) 2022-09-07
BR112020000932A2 (pt) 2020-07-21
CN110999356B (zh) 2022-11-18
US11895157B2 (en) 2024-02-06
WO2019017837A1 (zh) 2019-01-24
JP2020527914A (ja) 2020-09-10
US20200153871A1 (en) 2020-05-14
EP3657894A1 (en) 2020-05-27
EP3657894A4 (en) 2020-06-24
EP4167678A1 (en) 2023-04-19
AU2017423732A1 (en) 2020-02-20
AU2017423732B2 (en) 2021-07-15
CN115835203A (zh) 2023-03-21
US20230076628A1 (en) 2023-03-09
JP7035163B2 (ja) 2022-03-14
US11477242B2 (en) 2022-10-18
US20240223613A1 (en) 2024-07-04

Similar Documents

Publication Publication Date Title
KR102345932B1 (ko) 네트워크 보안 관리 방법 및 장치
US20220225263A1 (en) Interworking function using untrusted network
EP3627793B1 (en) Session processing method and device
WO2021037175A1 (zh) 一种网络切片的管理方法及相关装置
JP2020506578A (ja) ユーザ機器の二次認証
US8315246B2 (en) System and method employing strategic communications between a network controller and a security gateway
US20210168151A1 (en) Method for implementing user plane security policy, apparatus, and system
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
CN111865597A (zh) 通信方法和通信设备
EP2317694B1 (en) Method and system and user equipment for protocol configuration option transmission
EP2215803B1 (en) Network access authentication
CN113676904B (zh) 切片认证方法及装置
WO2021249512A1 (zh) 安全通信方法、相关装置及系统
JP2013513986A (ja) サーバにおけるスマートカード・セキュリティ機能プロファイル
WO2010124569A1 (zh) 用户接入控制方法和系统
JP2023552486A (ja) 目標情報の取得方法、送信方法、装置、デバイス及び記憶媒体
WO2024078313A1 (zh) 认证授权的方法与通信装置
US20230336992A1 (en) Method and apparatus for authenticating user equipment in wireless communication system
WO2024212793A1 (zh) 通信方法和通信装置
EP4356633A1 (en) Methods and entites for end-to-end security in communication sessions
CN116506407A (zh) 语音通信方法、系统、存储介质及电子设备
CN117997541A (zh) 通信方法和通信装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant