KR102346419B1 - 이중 연결 통신을 위한 방법, 장치 및 시스템 - Google Patents

이중 연결 통신을 위한 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR102346419B1
KR102346419B1 KR1020207021911A KR20207021911A KR102346419B1 KR 102346419 B1 KR102346419 B1 KR 102346419B1 KR 1020207021911 A KR1020207021911 A KR 1020207021911A KR 20207021911 A KR20207021911 A KR 20207021911A KR 102346419 B1 KR102346419 B1 KR 102346419B1
Authority
KR
South Korea
Prior art keywords
user plane
plane security
secondary node
message
user
Prior art date
Application number
KR1020207021911A
Other languages
English (en)
Other versions
KR20200100826A (ko
Inventor
헤 리
징 첸
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20200100826A publication Critical patent/KR20200100826A/ko
Application granted granted Critical
Publication of KR102346419B1 publication Critical patent/KR102346419B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0069Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0069Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
    • H04W36/00698Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink using different RATs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 출원의 실시 예는 이중 연결 통신을 위한 방법, 장치, 시스템을 제공한다. 상기 방법은 마스터 노드가, 제1 메시지를 보조 노드에 송신하는 단계 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함하고, 상기 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 데 사용됨 -; 상기 마스터 노드가, 상기 보조 노드로부터 제2 메시지를 수신하는 단계 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -; 및 상기 마스터 노드가, 제3 메시지를 상기 사용자 단말에 송신하는 단계 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 를 포함할 수 있다. 본 출원의 실시 예예 따르면, 5G 이중 연결 시나리오에서 사용자 단말과 보조 노드 사이의 사용자 평면 보안을 인에이블하는 방법의 기술적 문제가 해소될 수 있으며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성 및 무결성을 보장한다.

Description

이중 연결 통신을 위한 방법, 장치 및 시스템
삭제
본 출원의 실시 예는 통신 기술 분야에 관한 것이며, 구체적으로, 이중 연결 통신(dual-connectivity communication)을 위한 방법, 장치 및 시스템에 관한 것이다.
통신 기술의 개발로 5세대(5th-generation, 5G) 시나리오의 보안 요건(requirement)을 충족시키기 위해 장기 진화(long term evolution, LTE) 시스템에서 사용자 평면 암호화된 보호(user plane encrypted protection) 외에도 사용자 평면 무결성 보호(user plane integrity protection)가 도입되었다. 사용자 평면 무결성 보호는 사용자 평면 전송(transmission) 프로세스에서 데이터의 무결성을 보호한다. 또한, 사용자 평면 주문형 보안(user plane on-demand security)이 추가로 도입되며, 구체적으로, 사용자 평면 암호화된 보호 및 사용자 평면 무결성 보호가 필요에 따라 인에이블(enable)될 수 있다.
현재, 사용자 단말(예를 들어, 사용자 장비(user equipment, UE))과 네트워크 노드 사이의 단일 연결(single connection) 시나리오 즉, 하나의 네트워크 노드만이 사용자 단말을 서빙하는 시나리오에서, 사용자 단말과 네트워크 노드 사이의 사용자 평면 보안을 인에이블하는 절차는 다음을 포함할 수 있다. 1. 세션 관리 네트워크 엘리먼트가 세션 관리 네트워크 엘리먼트에 의해 획득된 사용자 평면 보안 정책을 네트워크 노드(즉, 기지국)에 송신하며, 여기서 사용자 평면 보안 정책은 사용자 평면 암호화된 보호가 인에이블(enable)도록 요구되거나(required), 또는 인에이블되도록 선호되거나(preferred), 또는 인에이블되는 것이 필요하지 않으며(not needed), 그리고 사용자 평면 무결성 보호가 인에이블되도록 요구되거나(required), 또는 인에이블되도록 선호되거나(preferred), 또는 인에이블되는 것이 필요하지 않은(not needed) 것을 포함한다. 2. "요구됨(required)"의 경우, 네트워크 노드는 대응하는 보호를 인에이블하며; "필요하지 않음(not needed)"의 경우 네트워크 노드는 대응하는 보호를 인에이블할 필요가 없으며; "선호됨(preferred)"의 경우, 네트워크 노드는 자원이 충분한 지에 따라 대응하는 보호를 인에이블할지를 판정한다. 3. 네트워크 노드는 무선 자원 제어(radio resource control, RRC) 재구성 요청 메시지를 사용자 단말에 송신하며, 여기서 메시지는 사용자 평면 보호 유형의 지시(indication) 정보를 운반하며, 지시 정보는 암호화된 보호를 인에이블할지 및 무결성 보호를 인에이블할지를 지시하는 데 사용된다. 4. 사용자 단말은 네트워크 노드로부터 RRC 재구성 메시지를 수신하고, 사용자 평면 보호 유형의 지시 정보에 따라 대응하는 사용자 평면 보안을 인에이블하고, 네트워크 노드와 동일한 보호 키를 생성한다. 5. 사용자 단말은 RRC 재구성 응답 메시지를 네트워크 노드에 송신한다.
사용자 평면 보안을 인에이블하기 위한 전술한 절차는 5G 단일 연결 시나리오에만 해당된다. 5G 이중 연결 시나리오, 즉 하나의 사용자 단말이 두개의 네트워크 노드(마스터 노드(master Node) 및 보조 노드(secondary Node))에 연결되는 시나리오에서, 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호를 인에이블하는 방법은 긴급히 해결해야 할 기술적 문제이다.
본 출원의 실시 예들은 5G 이중 연결 시나리오에서 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호를 인에이블하는 방법의 기술적 문제를 해결하여, 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성과 무결성을 보장하는, 이중 연결 통신을 위한 방법, 장치 및 시스템을 제공한다.
본 출원의 실시 예의 제1 측면은 이중 연결 통신(dual-connectivity communication)을 위한 방법을 제공하며, 상기 방법은,
마스터 노드(master Node)가, 제1 메시지를 보조 노드(secondary Node)에 송신하는 단계 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함하고, 상기 제2 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호(security protection) 방법을 결정하는 데 사용됨 -;
상기 마스터 노드가, 상기 보조 노드로부터 제2 메시지를 수신하는 단계 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시(enabling type indication) 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -; 및
상기 마스터 노드가, 제3 메시지를 상기 사용자 단말에 송신하는 단계 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 를 포함한다.
본 출원의 실시 예의 제1 측면에 따르면, 마스터 노드가 사용자 평면 보안 정책을 보조 노드에 송신하며; 상기 보조 노드는 상기 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하고, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 사용자 평면 보안 인에이블링 유형 지시 정보를 마스터 노드에 송신한다. 상기 마스터 노드는 사용자 평면 보안 인에이블링 유형 지시 정보를 상기 사용 단말에 송신하므로, 상기 사용자 단말은 상기 사용자 평면 보안 인에이블링 유형 지시 정보에 따라 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하며, 이에 따라 상기 사용자 단말과 보조 노드 사이에서 사용자 평면 보안 보호를 인에이블하며, 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성(confidentiality) 및 무결성(integrity)을 보장한다.
상기 사용자 평면 보안 정책은 사용자 평면 암호화된 보호 지시 정보 및 사용자 평면 무결성 보호 지시 정보를 포함한다. 상기 사용자 평면 암호화된 보호 지시 정보는 필요하지 않음(not needed), 선호됨(preferred), 및 요구됨(required)의 3가지 가능한 값을 지시하는데 사용된다. 상기 사용자 평면 무결성 보호 지시 정보는 필요하지 않음, 선호됨, 및 요구됨의 3가지 가능한 값을 지시하는데 사용된다. 값 "필요하지 않음"은 활성화(activation)가 필요하지 않은 것 즉, 인에이블링이 수행되지 않음을 지시하며; "선호됨"은 활성화가 수행될 수 있거나 수행되지 않을 수 있는 것 즉, 인에이블이 수행될 수 있거나 수행되지 않을 수 있음을 지시하고; "요구됨"은 활성화가 필요한 것 즉, 인에이블링이 수행됨을 지시한다.
가능한 구현에서, 상기 마스터 노드가, 제1 메시지를 보조 노드에 송신하기 전에, 상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 마스터 노드가, 상기 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨”이 아닌 것 즉, "선호됨" 또는 "필요하지 않음"인 것으로 결정한다.
가능한 구현에서, 상기 제1 메시지는 사용자 단말의 보안 능력을 더 포함하고, 상기 사용자 단말의 보안 능력은 상기 사용자 단말에 의해 지원되는 암호화 알고리즘(encryption algorithm) 및 무결성 보호 알고리즘을 지칭한다. 상기 제1 메시지는 상기 사용자 단말의 보안 능력을 운반하므로, 상기 보조 노드는 기지국이 위치된 시스템에 기반하여, 상기 사용자 단말의 보안 능력으로부터 상기 보조 노드와 상기 사용자 단말 사이에서 사용될 보안 알고리즘을 선택한다.
가능한 구현에서, 상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하고, 상기 제3 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함한다. 구체적으로, 상기 보조 노드는 상기 마스터 노드를 이용하여, 상기 보조 노드에 의해 선택된 보안 알고리즘을 상기 사용자 단말에 통지하므로, 상기 사용자 단말은 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라 사용자 평면 데이터에 대해 보안 보호 또는 보안 보호 해제(security deprotection)를 수행한다.
가능한 구현에서, 상기 마스터 노드가, 제1 메시지를 보조 노드에 송신하기 전에, 상기 마스터 노드가 상기 사용자 단말의 제1 사용자 평면 보안 정책을 획득한다. 상기 제1 사용자 평면 보안 정책은 원래의(original) 사용자 평면 보안 정책이다. 상기 사용자 단말의 제1 사용자 평면 보안 정책의 그래뉼래러티(granularity)는 패킷 데이터 유닛(packet data unit, PDU) 세션일 수 있으며, 즉, 상이한 PDU 세션은 상이한 사용자 평면 보안 정책에 대응한다. 상기 제1 사용자 평면 보안 정책의 그래뉼래러티는 다르게는 네트워크 슬라이스, 서비스 플로(flow)의 품질, 데이터 무선 베어러(radio bearer) 등 중 하나 이상일 수 있다.
상기 마스터 노드는 PDU 세션 구축 프로세서에서, 코어 네트워크 엘리먼트로부터 사용자 단말의 사용자 평면 보안 정책을 획득할 수 있거나, 또는 기지국 핸드오버 프로세스에서 상기 마스터 노드가 타깃 기지국으로 사용될 때 소스 기지국으로부터 상기 사용자 단말의 사용자 평면 보안 정책을 획득할 수 있다.
가능한 구현에서, 상기 제1 메시지는 상기 사용자 평면 보안 정책에 대응하는 사용자 평면 보안 정보를 더 포함하므로, 상기 사용자 단말은 상기 마스터 노드 및 상기 보조 노드로부터 수신된 사용자 평면 데이터가 동일한 PDU 세션에 속한다는 것을 알 수 있다. 상기 사용자 평면 정보는 PDU 세션 식별자를 포함할 수 있으며, 네트워크 슬라이스 식별자, 서비스 플로 식별자의 품질, 서비스 플로 식별자의 5G 품질, 데이터 무선 베어러 식별자 등 중 하나 이상을 더 포함할 수 있다.
가능한 구현에서, 상기 제1 메시지에서 운반된 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책이며, 구체적으로, 상기 마스터 노드는 상기 마스터 노드에 의해 획득된 상기 제1 사용자 평면 보안 정책을 상기 보조 노드에 직접 송신하므로, 상기 보조 노드는 상기 제1 사용자 평면 보안 정책에 따라 매핑된 사용자 평면 보안 정책을 생성하고, 상기 매핑된 사용자 평면 보안 정책에 따라 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정한다.
가능한 구현에서, 상기 제1 메시지에서 운반된 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책에 따라 상기 마스터 노드에 의해 생성된 제2 사용자 평면 보안 정책이며; 상기 제1 메시지를 상기 보조 노드에 송신하기 전에, 상기 마스터 노드는 상기 사용자 단말의 제1 사용자 평면 보안 정책에 따라 상기 제2 사용자 평면 보안 정책을 생성한다. 상기 제2 사용자 평면 보안 정책은 상기 마스터 노드에 의해 생성된 매핑된 사용자 평면 보안 정책이다. 상기 제2 사용자 평면 보안 정책을 수신할 때, 상기 보조 노드가 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 직접 결정할 수 있다.
상기 마스터 노드는 상기 마스터 노드의 능력 및 상기 보조 노드의 능력에 기반하여 그리고 상기 제1 사용자 평면 보안 정책에 따라 상기 제2 사용자 평면 보안 정책을 생성할 수 있으므로, 상기 제2 사용자 평면 보안 정책은 상기 마스터 노드와 상기 보조 노드 모두에 의해 사용될 수 있다. 상기 마스터 노드의 능력 또는 상기 보조 노드의 능력은 하나 이상의 정보, 예를 들어, 사용자 평면 암호화된 보호의 인에이블링이 지원되는지의 여부 및 사용자 평면 무결성 보호의 인에이블링이 지원되는지의 여부, 자원 사용 상태, 지원되는 보안 알고리즘, 현재 상태 및 구성 정보를 포함할 수 있다.
가능한 구현에서, 상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 제1 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨”일 때, 상기 마스터 노드에 의해 생성된 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 “필요하지 않음”이다.
가능한 구현에서, 상기 마스터 노드가 상기 제2 사용자 평면 보안 정책에 따라 상기 마스터 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하며; 사용자 평면 보안 종료점(termination point)이 상기 보조 노드 상에 있으면, 상기 마스터 노드가 상기 마스터 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하지 않으며, 즉, 상기 마스터 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법에 따라 사용자 평면 데이터에 대한 보안 보호 또는 보안 보호 해제를 수행하지 않는다.
가능한 구현에서, 상기 마스터 노드는 상기 보조 노드로부터 제3 사용자 평면 보안 정책을 수신하며, 상기 제3 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책에 따라 상기 보조 노드에 의해 생성되며, 즉, 상기 제3 사용자 평면 보안 정책은 상기 보조 노드의 매핑된 사용자 평면 보안 정책이다. 상기 보조 노드는 상기 보조 노드의 매핑된 사용자 평면 보안 정책을 상기 마스터 노드에 통지하므로, 상기 마스터 노드는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 알게 된다. 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 알게 된 후에, 상기 마스터 노드는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법과 동일하도록 상기 마스터 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 설정할 수 있다.
가능한 구현에서, 상기 보조 노드로부터 상기 제3 사용자 평면 보안 정책을 수신할 때, 상기 마스터 노드는 상기 제3 사용자 평면 보안 정책을 액세스 관리 네트워크 엘리먼트에 송신할 수 있으며, 상기 제3 사용자 평면 보안 정책은 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시할 수 있으므로, 상기 액세스 관리 네트워크 엘리먼트는 사용자 평면 보안 인에이블링 결과를 알게 된다.
가능한 구현에서, 상기 마스터 노드는 상기 사용자 평면 인에이블링 유형 지시 정보에 따라 상기 제3 사용자 평면 보안 정책을 결정하고, 상기 제3 사용자 평면 보안 정책을 액세스 관리 네트워크 엘리먼트에 송신할 수 있으므로, 상기 액세스 관리 네트워크 엘리먼트는 사용자 평면 보안 인에이블링 결과를 알게 된다.
가능한 구현에서, 상기 마스터 노드는 상기 사용자 단말로부터 상향링크 사용자 평면 데이터 - 상기 상향링크 사용자 평면 데이터는 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 데이터임 - 를 수신하며, 상기 상향링크 사용자 평면 데이터를 상기 보조 노드에 송신한다. 따라서, 상기 상향링크 사용자 평면 데이터를 수신할 때, 상기 보조 노드는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법에 따라 상기 상향링크 사용자 평면 데이터에 대한 보안 보호해제를 수행한다.
본 출원의 실시 예의 제2 측면은 마스터 노드를 제공한다. 상기 마스터 노드는 제1 측면에서 제공된 방법을 구현하는 기능을 가진다. 상기 기능은 하드웨어에 의해 구현되거나, 또는 대응하는 소프트웨어를 실행하는 하드웨어에 의해 구현될 수 있다. 상기 하드웨어 또는 상기 소프트웨어는 전술한 기능에 대응하는 하나 이상의 모듈을 포함한다.
가능한 구현에서, 상기 마스터 노드는 제1 메시지를 보조 노드에 송신하도록 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함하고, 상기 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 데 사용됨 - 구성되고; 추가로, 상기 보조 노드로부터 제2 메시지를 수신하도록 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되며; 그리고 추가로, 제3 메시지를 상기 사용자 단말에 송신하도록 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 구성되는 트랜시버 유닛을 포함한다. 상기 마스터 노드는, 제2 사용자 평면 보안 정책을 생성하도록 구성된 처리 유닛을 더 포함할 수 있다.
가능한 구현에서, 상기 마스터 노드는 프로세서, 트랜시버 및 메모리를 포함한다. 상기 메모리는 컴퓨터 프로그램을 저장하고, 상기 컴퓨터 프로그램은 프로그램 명령을 포함하며, 상기 프로세서는 프로그램 코드를 호출하여, 제1 메시지를 보조 노드에 송신하는 작동 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함하고, 상기 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 데 사용됨 -; 상기 보조 노드로부터 제2 메시지를 수신하는 작동 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -; 및 제3 메시지를 상기 사용자 단말에 송신하는 작동 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 을 수행하도록 구성된다. 상기 마스터 노드는, 제2 사용자 평면 보안 정책을 생성하도록 구성된 처리 유닛을 더 포함할 수 있다.
동일한 본 발명의 개념에 기반하여, 상기 마스터 노드의 문제 해결 원리 및 유익한 효과에 대해서는 제1 측면의 방법에 의해 야기된 방법 및 유익한 효과를 참조한다. 따라서, 장치의 구현에 대해서는 방법의 구현을 참조한다. 반복되는 내용은 다시 설명하지 않는다.
본 출원의 실시 예의 제3 측면은 컴퓨터가 판독 가능한 저장 매체를 제공한다. 상기 컴퓨터가 판독 가능한 저장 매체는 명령을 저장하고; 상기 명령이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제1 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제4 측면은 명령을 포함하는 컴퓨터 프로그램 제품을 제공하며; 상기 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제1 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제5 측면은 이중 연결 통신을 위한 방법을 제공하며, 상기 방법은,
보조 노드가, 마스터 노드로부터 제1 메시지를 수신하는 단계 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함함 -;
상기 보조 노드가, 상기 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 단계;
상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는 단계; 및
상기 보조 노드가, 제2 메시지를 상기 마스터 노드에 송신하는 단계 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 를 포함한다.
본 출원의 실시 예의 제5 측면에 따르면, 상기 보조 노드가 상기 사용자 평면 보안 정책에 기반하여 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하고, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하며, 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는데 사용되는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 상기 마스터 노드에 송신하므로, 상기 마스터 노드는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 상기 사용자 단말에 송신하며, 이에 따라 상기 사용자 단말과 상기 보조 노드 사이에서 사용자 평면 보안을 인에이블하며, 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성 및 무결성을 보장한다.
가능한 구현에서, 상기 제1 메시지는 상기 사용자 단말의 보안 능력을 더 포함하고, 상기 보조 노드는 상기 사용자 단말의 보안 능력에 기반하여 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 선택할 수 있다.
가능한 구현에서, 상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하므로, 상기 마스터 노드는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 상기 사용자 단말에 통지하며, 이에 따라 상기 사용자 단말은 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘에 따라 보안 보호 또는 보안 보호 해제를 수행할 수 있다.
가능한 구현에서, 상기 제1 메시지는 상기 사용자 평면 보안 정책에 대응하는 사용자 평면 정보를 더 포함하므로, 상기 사용자 단말은 상기 마스터 노드 및 상기 보조 노드로부터 수신된 사용자 평면 데이터가 동일한 PDU 세션에 속하는 것을 알 수 있다.
가능한 구현에서, 상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는 단계는, 상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법, 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘에 따라 그리고 상기 보조 노드와 상기 사용자 단말 사이의 보안 키(security key)에 기반하여, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는 단계를 포함할 수 있다.
가능한 구현에서, 상기 보조 노드는 상기 보조 노드와 상기 사용자 단말 사이의 보안 키를 생성하고, 상기 보조 노드는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법, 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘, 그리고 상기 보조 노드와 상기 사용자 단말 사이의 보안 키를 이용하여, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화한다.
가능한 구현에서, 상기 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책이다. 구체적으로, 상기 사용자 단말의 제1 사용자 평면 보안 정책을 획득할 때, 상기 마스터 노드는 상기 제1 사용자 평면 보안 정책을 상기 보조 노드에 직접 송신하며, 상기 보조 노드는 상기 제1 사용자 평면 보안 정책에 따라 제3 사용자 평면 보안 정책을 생성하고, 상기 제3 사용자 평면 보안 정책에 따라 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정한다. 상기 제3 사용자 평면 보안 정책은 상기 보조 노드에 의해 생성된 매핑된 사용자 평면 보안 정책이다.
상기 보조 노드는 상기 보조 노드의 능력, 상기 마스터 노드의 능력 그리고 상기 제1 사용자 평면 보안 정책에 기반하여, 상기 제3 사용자 평면 보안 정책을 생성할 수 있다.
가능한 구현에서, 상기 보조 노드는 상기 보조 노드에 의해 생성된 상기 제3 사용자 평면 보안 정책을 상기 마스터 노드에 송신하므로, 상기 마스터 노드는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 알게 된다.
가능한 구현에서, 상기 사용자 평면 보안 정책은 상기 제2 사용자 평면 보안 정책이고, 상기 제2 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책에 따라 상기 마스터 노드에 의해 생성된 매핑된 사용자 평면 보안 정책이며, 상기 보조 노드는 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정한다.
가능한 구현에서, 상기 보조 노드는 상기 마스터 노드 및 상기 사용자 단말로부터 제1 상향링크 사용자 평면 데이터 및 제2 상향링크 사용자 평면 데이터를 각각 수신하며, 상기 제1 상향링크 사용자 평면 데이터 및 상기 제2 사용자 평면 데이터는 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 사용자 평면 데이터이며, 그리고 상기 보조 노드는 상기 제1 상향링크 사용자 평면 데이터 및 상기 제2 사용자 평면 데이터에 대해 보안 보호 해제를 수행하여 보안 보호 해제 후 사용자 평면 데이터를 획득하고, 보안 보호 해제 후 사용자 평면 보안 데이터를 사용자 평면 네트워크 엘리먼트에 송신하여, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호를 구현한다.
본 출원의 실시 예의 제6 측면은 보조 노드를 제공한다. 상기 보조 노드는 제5 측면에서 제공된 방법을 구현하는 기능을 가진다. 상기 기능은 하드웨어에 의해 구현되거나, 또는 대응하는 소프트웨어를 실행하는 하드웨어에 의해 구현될 수 있다. 상기 하드웨어 또는 상기 소프트웨어는 전술한 기능에 대응하는 하나 이상의 모듈을 포함한다.
가능한 구현에서, 상기 보조 노드는 트랜시버 유닛 및 처리 유닛을 포함하고, 상기 트랜시버 유닛은 마스터 노드로부터 제1 메시지를 수신하고 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함함 -, 상기 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하며, 그리고 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하도록 구성되며, 상기 트랜시버 유닛은 추가로, 제2 메시지를 상기 마스터 노드에 송신하도록 구성되며, 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용된다.
가능한 구현에서, 상기 보조 노드는 프로세서, 트랜시버 및 메모리를 포함한다. 상기 메모리는 컴퓨터 프로그램을 저장하고, 상기 컴퓨터 프로그램은 프로그램 명령을 포함하며, 상기 프로세서는 프로그램 코드를 호출하여, 마스터 노드로부터 제1 메시지를 수신하는 작동 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함함 -; 상기 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 작동; 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는 작동; 및 제2 메시지를 상기 마스터 노드에 송신하는 작동 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 을 수행하도록 구성된다.
동일한 본 발명의 개념에 기반하여, 상기 보조 노드의 문제 해결 원리 및 유익한 효과에 대해서는 제5 측면의 방법에 의해 야기된 방법 및 유익한 효과를 참조한다. 따라서, 장치의 구현에 대해서는 방법의 구현을 참조한다. 반복되는 내용은 다시 설명하지 않는다.
본 출원의 실시 예의 제7 측면은 컴퓨터가 판독 가능한 저장 매체를 제공한다. 상기 컴퓨터가 판독 가능한 저장 매체는 명령을 저장하고; 상기 명령이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제5 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제8 측면은 명령을 포함하는 컴퓨터 프로그램 제품을 제공한다. 상기 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제5 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제9 측면은 이중 연결 통신을 위한 방법을 제공하며, 상기 방법은,
사용자 단말이, 마스터 노드로부터 제3 메시지를 수신하는 단계 - 상기 제3 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘을 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -;
상기 사용자 단말이, 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하는 단계; 및
상기 사용자 단말이, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 단계를 포함한다.
본 출원의 실시 예의 제9 측면에 따르면, 상기 사용자 단말이 상기 마스터 노드로부터 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘을 수신하여, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법 및 상기 사용자 단말과 상기 보조 노드 사이의 보안 알고리즘을 알게 되며, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하여, 상기 사용자 단말과 상기 보조 노드 사이에서 사용자 평면 보안 보호를 인에이블하며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성 및 무결성을 보장한다.
가능한 구현에서, 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 보안 키를 생성하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라 그리고 상기 사용자 단말과 상기 보조 노드 사이의 보안 키에 기반하여, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화한다.
가능한 구현에서, 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 단계는, 상기 사용자 단말이, 제1 상향링크 사용자 평면 데이터 및 제2 상향링크 사용자 평면 데이터를 각각 상기 보조 노드 및 상기 마스터 노드에 송신하는 단계 - 상기 제1 상향링크 사용자 평면 데이터 및 상기 제2 사용자 평면 데이터는 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 사용자 평면 데이터임 - 를 포함한다.
본 출원의 실시 예의 제10 측면은 사용자 단말을 제공한다. 상기 사용자 단말은 제9 측면에서 제공된 방법을 구현하는 기능을 가진다. 상기 기능은 하드웨어에 의해 구현되거나, 또는 대응하는 소프트웨어를 실행하는 하드웨어에 의해 구현될 수 있다. 상기 하드웨어 또는 상기 소프트웨어는 전술한 기능에 대응하는 하나 이상의 모듈을 포함한다.
가능한 구현에서, 상기 사용자 단말은 트랜시버 유닛 및 처리 유닛을 포함하고, 상기 트랜시버 유닛은 마스터 노드로부터 제3 메시지를 수신하도록 - 상기 제3 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘을 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되고, 상기 처리 유닛은 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하도록 구성되며, 상기 처리 유닛은 추가로, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하도록 구성된다.
가능한 구현에서, 상기 사용자 단말은 프로세서, 트랜시버 및 메모리를 포함한다. 상기 메모리는 컴퓨터 프로그램을 저장하고, 상기 컴퓨터 프로그램은 프로그램 명령을 포함하며, 상기 프로세서는 프로그램 코드를 호출하여, 마스터 노드로부터 제3 메시지를 수신하는 작동 - 상기 제3 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘을 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -; 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하는 작동; 및 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 작동을 수행하도록 구성된다.
동일한 본 발명의 개념에 기반하여, 상기 사용자 단말의 문제 해결 원리 및 유익한 효과에 대해서는 제9 측면의 방법에 의해 야기된 방법 및 유익한 효과를 참조한다. 따라서, 장치의 구현에 대해서는 방법의 구현을 참조한다. 반복되는 내용은 다시 설명하지 않는다.
본 출원의 실시 예의 제11 측면은 컴퓨터가 판독 가능한 저장 매체를 제공한다. 상기 컴퓨터가 판독 가능한 저장 매체는 명령을 저장하고; 상기 명령이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제9 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제12 측면은 명령을 포함하는 컴퓨터 프로그램 제품을 제공한다. 상기 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 상기 컴퓨터는 제9 측면에 따른 방법을 수행하도록 인에이블된다.
본 출원의 실시 예의 제13 측면은 이중 연결 통신을 위한 시스템을 제공하며, 상기 시스템은 마스터 노드 및 보조 노드를 포함하고,
상기 마스터 노드가 제1 메시지를 보조 노드에 송신하도록 - 상기 제1 메시지는 사용자 평면 보안 정책을 포함함 - 구성되고,
상기 보조 노드는 상기 마스터 노드에 의해 송신된 상기 제1 메시지를 수신하고, 상기 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하며, 그리고 제2 메시지를 상기 마스터 노드에 송신하도록 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되며, 그리고,
상기 마스터 노드는 추가로, 상기 보조 노드에 의해 송신된 상기 제2 메시지를 수신하고, 제3 메시지를 상기 사용자 단말에 송신하도록 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 구성된다.
본 출원의 실시 예의 제13 측면에서 제공된 이중 연결 통신을 위한 시스템에서, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법이 인에이블될 수 있으며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성 및 무결성을 보장한다.
가능한 구현에서, 상기 시스템은 상기 사용자 단말을 더 포함하며,
상기 사용자 단말은 마스터 노드로부터 제3 메시지를 수신하도록 - 상기 제3 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘을 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되고,
상기 사용자 단말은 추가로, 상기 사용자 평면 보안 인에이블링 유형 지시 정보 및 상기 보조 노드에 의해 선택된 보안 알고리즘에 따라, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법을 활성화하도록 구성되며, 그리고,
상기 사용자 단말은 추가로, 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하도록 구성된다.
가능한 구현에서, 상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않을 때, 상기 마스터 노드는 추가로, 상기 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “필요하지 않음”인 것으로 결정하도록 구성된다.
가능한 구현에서, 상기 마스터 노드는 추가로, 상기 사용자 단말의 원래의 사용자 평면 보안 정책을 획득하고, 상기 원래의 사용자 평면 보안 정책에 따라 매핑된 사용자 평면 보안 정책을 생성하도록 구성되며, 상기 제1 메시지에 포함된 사용자 평면 보안 정책은 상기 마스터 노드의 매핑된 사용자 평면 보안 정책이다.
가능한 구현에서, 상기 제1 메시지에 포함된 사용자 평면 보안 정책은 상기 제1 사용자 평면 보안 정책에 따라 상기 마스터 노드에 의해 생성된 매핑된 사용자 평면 보안 정책이다.
가능한 구현에서, 상기 시스템은 사용자 평면 네트워크 엘리먼트를 더 포함하고,
상기 마스터 노드는 추가로, 상기 사용자 단말에 의해 송신된 제1 상향링크 사용자 평면 데이터를 수신하고, 상기 제1 상향링크 사용자 평면 데이터를 상기 보조 노드에 송신하도록 구성되고,
상기 보노 노드는 추가로, 상기 사용자 단말에 의해 송신된 제2 상향링크 사용자 평면 데이터 및 상기 마스터 노드에 의해 송신된 상기 제1 상향링크 사용자 평면 데이터를 수신하고; 상기 제1 상향링크 사용자 평면 데이터 및 상기 제2 사용자 평면 데이터에 대한 보안 보호 해제를 수행하여 보안 보호 해제 후의 사용자 평면 데이터를 획득하며, 상기 보안 보호 해제 후의 사용자 평면 데이터를 상기 사용자 평면 네트워크 엘리먼트에 송신하도록 - 상기 제1 상향링크 사용자 평면 데이터 및 상기 제2 사용자 평면 데이터는 상기 사용자 단말이 상기 사용자 단말과 상기 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 사용자 평면 데이터임 - 구성된다.
가능한 구현에서, 상기 시스템은 액세스 관리 네트워크 엘리먼트를 더 포함하고,
상기 마스터 노드는 추가로, 제3 사용자 평면 보안 정책을 상기 액세스 관리 네트워크 엘리먼트에 송신하도록 구성되며, 상기 제3 사용자 평면 보안 정책은 상기 보조 노드에 의해 생성된 매핑된 사용자 평면 보안 정책이거나 또는 상기 제3 사용자 평면 보안 정책은 상기 사용자 평면 보안 인에이블링 유형 지시 정보에 따라 상기 마스터 노드에 의해 결정된 사용자 평면 보안 정책이다.
본 출원의 실시 예 또는 배경에서 기술적 솔루션을 보다 명확하게 설명하기 위해, 다음은 본 출원의 실시 예 또는 배경을 설명하는데 필요한 첨부 도면을 간략하게 설명한다.
도 1은 LTE 이중 연결 통신의 개략적인 흐름도이다.
도 2는 본 출원의 실시 예가 적용되는 네트워크 아키텍처의 개략도이다.
도 3a는 본 출원의 실시 예가 적용되는 5G 이중 연결 아키텍처의 개략도이다.
도 3b는 본 출원의 실시 예가 적용되는 5G 이중 연결 아키텍처의 다른 개략도이다.
도 4a 및 도 4b는 본 출원의 제1 실시 예에 따른 이중 연결 통신을 위한 방법의 개략적인 흐름도이다.
도 5a 및 도 5b는 본 출원의 제2 실시 예에 따른 이중 연결 통신을 위한 방법의 개략적인 흐름도이다.
도 6은 본 출원의 실시 예에 따른 이중 연결 통신을 위한 장치의 논리적 구조의 개략도이다.
도 7은 본 출원의 실시 예에 따른 이중 연결 통신을 위한 장치의 물리적 구조의 단순화된 개략도이다.
다음은 본 출원의 실시 예에서의 첨부 도면을 참조하여 본 출원의 실시 예에서의 기술적 솔루션을 설명한다. 본 출원의 설명에서, "/"는 달리 명시되지 않는 한 관련 객체들 사이의 "또는" 관계를 나타낸다. 예를 들어, A/B는 A 또는 B를 나타낼 수 있다. 본 출원에서 용어 "및/또는"은 관련된 객체를 설명하기 위한 연관 관계만을 설명하고 3가지 관계가 존재할 수 있음을 나타낸다. 예를 들어, A 및/또는 B는 A만 존재하는 경우, A와 B가 존재하는 경우, 그리고 B만 존재하는 경우를 나타낼 수 있으며, A와 B는 단수 또는 복수일 수 있다. 또한, 본 출원의 설명에서 "복수의(a plurality of)"는 2개 이상을 의미한다. "다음 중 적어도 하나(하나의 조각(one piece))" 또는 이와 유사한 표현은 단수 항목(item)(조각(piece)) 또는 복수 항목(조각)의 임의의 조합을 포함하여 이들 항목의 임의의 조합을 지칭한다. 예를 들어, a, b 또는 c 중 적어도 하나(조각)는 a, b, c, a-b, a-c, b-c 또는 a-b-c를 나타낼 수 있으며, 여기서 a, b 및 c는 단수 형태 또는 복수 형태일 수 있다. 또한, 본 출원의 실시 예에서의 기술적 솔루션을 명확하게 설명하기 위해, "제1" 및 "제2"와 같은 용어는 기본적으로 동일한 기능 또는 목적을 갖는 동일한 항목 또는 유사한 항목을 구별하기 위해 본 출원의 실시 예에서 사용된다. 당업자는 "제1" 및 "제2"와 같은 용어는 수량 또는 시퀀스(sequence)를 제한하지 않으며, "제1" 및 "제2"와 같은 용어는 명확한 차이를 지시하지 않는다는 것을 이해할 수 있다.
또한, 본 출원의 실시 예에서 설명된 네트워크 아키텍처 및 서비스 시나리오는 본 출원의 실시 예에서의 기술적 솔루션을 보다 명확하게 설명하기 위한 것이며, 본 출원의 실시 예에서 제공된 기술적 솔루션에 대한 제한을 구성하지 않는다. 당업자는 네트워크 아키텍처의 진화 및 새로운 서비스 시나리오의 출현으로, 본 출원의 실시 예에서 제공되는 기술적 솔루션이 유사한 기술 문제에도 적용 가능하다는 것을 알 수 있을 것이다.
다음은 본 출원의 실시 예에서 사용되는 명칭 또는 용어를 설명한다:
마스터 노드(master Node, MN): 이중 연결 시나리오에서 이중 연결을 초기화하는(initiqate) 기지국을 마스터 노드라고 지칭되거나, 마스터 네트워크 노드, 제1 기지국 또는 제1 네트워크 노드라고 지칭될 수 있다.
보조 노드(Secondary Node, SN): 이중 연결 시나리오에서, 마스터 노드에 의해 선택되면서 또한 협력적으로 사용자 단말을 서빙하는 다른 기지국이 보조 노드라고 지칭되며, 또한 슬레이브(slave) 기지국, 보조 네트워크 노드, 슬레이브 네트워크 노드, 제2 기지국 또는 제2 네트워크 노드라고 지칭될 수 있다.
사용자 평면 보안 정책(User plane security policy): 사용자 평면 보안 정책은 사용자 평면 암호화된 보호 지시 정보 및 사용자 평면 무결성 보호 지시 정보를 포함한다. 사용자 평면 암호화된 보호 지시 정보는 각각 필요하지 않음, 선호됨 및 요구됨의 3개의 가능한 값을 각각 지시하는 데 사용된다. 사용자 평면 무결성 보호 지시 정보는 필요하지 않음, 선호됨 및 요구됨의 3개의 가능한 값을 각각 지시하는 데 사용된다. "필요하지 않음"은 활성화(activation)가 필요하지 않음을 지시하고 "선호됨"는 활성화가 수행될 수도 있고 수행되지 않을 수도 있음을 지시하며, "요구됨"은 활성화가 요구됨을 지시한다. 전술한 3개의 가능한 값은 각각 2 비트(bit)를 이용하여 지시될 수 있다. 예를 들어, 00은 활성화가 필요하지 않음을 지시하고, 01은 활성화가 수행될 수 있거나 수행되지 않을 수 있음을 지시하며, 11은 활성화가 요구됨을 지시한다. 사용자 평면 암호화된 보호 지시 정보 및 사용자 평면 무결성 보호 지시 정보가 3개의 가능한 값을 나타내는 특정 방식은 본 출원의 실시 예에서 제한되지 않는다.
사용자 평면 암호화된 보호는 전송 프로세스에서 데이터의 기밀성을 보호하며(그리고 사용자 평면 기밀성 보호라고도 지칭됨), 사용자 평면 무결성 보호는 사용자 평면 전송 프로세스에서 데이터의 무결성을 보호한다. 기밀성은 실제 콘텐츠가 직접 학습될 수 없음을 의미하며, 무결성은 데이터가 원본이면서 또한 변경되지(tampered) 않았음을 의미한다.
사용자 평면 보안 보호 방법(User plane security protection method): 사용자 평면 보안 보호 방법은 사용자 단말 측, 마스터 노드 측 또는 보조 노드 측에서 사용자 평면 암호화된 보호가 인에이블되는지의 여부와 사용자 평면 무결성 보호가 인에이블되는지의 여부를 지시한다. 예를 들어, 보조 노드는 사용자 평면 보안 정책 및 보조 노드에 구성된 사용자 평면 보안 보호 방법을 참조하여 보조 노드의 사용자 평면 보안 보호 방법을 결정할 수 있다. 보조 노드 상에 구성된 사용자 평면 보안 보호 방법은 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블(disable)하는 것으로 가정한다. 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보가 "요구됨"이면, 사용자 평면 암호화된 보호가 인에이블되고, 보조 노드는 보조 노드의 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하는 것으로 결정한다. 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보가 "필요하지 않음" 이면, 사용자 평면 암호화된 보호가 인에이블되지 않고, 보조 노드는 보조 노드의 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 디스에이블하고, 사용자 평면 무결성 보호 보호를 디스에이블하는 것으로 결정한다. 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보가 "선호됨"이면, 보조 노드는 일부 조건에 기반하여 사용자 평면 암호화된 보호를 인에이블할지를 판정한다. 예를 들어, 보조 노드는 보조 노드가 충분한 자원을 가질 때 사용자 평면 암호화된 보호를 인에이블할 수 있다.
사용자 평면 보안 인에이블링 유형 지시 정보(User plane security enabling type indication information): 사용자 평면 보안 인에이블링 유형 지시 정보는 기지국 측에 의해, 단말 측의 사용자 평면 암호화된 보호가 인에이블되는지의 여부 및 사용자 평면 무결성 보호가 인에이블되는지의 여부를 지시하는 데 사용되며, 예를 들어, 사용자 평면 암호화된 보호가 인에이블되고 사용자 평면 무결성 보호가 디스에이블됨을 지시하는 데 사용된다. 사용자 평면 인에이블링 유형 지시 정보는 2비트로 지시될 수 있다. 하나의 비트는 암호화된 보호가 인에이블되거나 디스에이블되는지를 지시하고, 다른 비트는 무결성 보호가 인에이블되거나 디스에이블되는지를 지시한다.
보안 알고리즘(Security algorithm): 보안 알고리즘은 사용자 평면에 의해 사용되는 보안 알고리즘 및 시그널링 평면에 의해 사용되는 보안 알고리즘을 포함할 수 있다. 사용자 평면에 의해 사용되는 보안 알고리즘은 사용자 평면 데이터를 보호하는 데 사용되며, 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 알고리즘을 포함할 수 있다. 시그널링 평면에 의해 사용되는 보안 알고리즘은 시그널링을 보호하는 데 사용되며, 시그널링 평면 암호화 알고리즘 및 시그널링 평면 무결성 알고리즘을 포함할 수 있다. 사용자 평면에 의해 사용되는 보안 알고리즘 및 시그널링 평면에 의해 사용되는 보안 알고리즘은 동일하거나 상이할 수 있다. 동일하다는 것의 특정 의미는, 사용자 평면 무결성 보호가 인에이블되면, 사용자 평면에 의해 사용되는 무결성 알고리즘이 시그널링 평면에 의해 사용되는 무결성 알고리즘과 동일하거나; 또는 사용자 평면 암호화된 보호가 인에이블되면, 사용자 평면에 의해 사용되는 암호화 알고리즘이 시그널링 평면에 의해 사용되는 암호화 알고리즘과 동일하다는 것이다. 보안 알고리즘들이 상이한 알고리즘들을 포함한다면, 시그널링 평면에 의해 사용되는 보안 알고리즘이 사용자 평면에 의해 사용되는 보안 알고리즘과 상이하다. 예를 들어, 사용자 평면에 의해 사용되는 암호화 알고리즘은 암호화 알고리즘 A이고, 시그널링 평면에 의해 사용되는 암호화 알고리즘은 암호화 알고리즘 B이며, 사용자 평면과 시그널링 평면 모두 무결성 알고리즘 C를 사용한다. 이 경우, 사용자 평면에 의해 사용되는 보안 알고리즘은 시그널링 평면에 의해 사용되는 보안 알고리즘과 상이하다.
보안 키(Security key): 보안 키는 사용자 평면 데이터를 보호하기 위한 키와 시그널링 평면을 보호하기 위한 키를 포함할 수 있다. 사용자 평면 데이터를 보호하기 위한 키는 사용자 평면 데이터를 보호하는 데 사용되며, 사용자 평면 암호화 키 및 사용자 평면 무결성 보호 키를 포함할 수 있다. 시그널링 평면을 보호하기 위한 키는 시그널링을 보호하는 데 사용되며, 예를 들어 RRC 시그널링을 보호하기 위한 키일 수 있다. RRC 시그널링을 보호하기 위한 키는 무결성 보호 키 및 RRC 시그널링을 보호하기 위한 암호화 키를 포함할 수 있다.
보안 보호(Security protection): 보안 기능을 수행하는 노드의 경우, 사용자 평면/시그널링 평면 보안 알고리즘과 사용자 평면/시그널링 평면 데이터를 보호하기 위한 키가 함께 사용되어 사용자 평면 데이터를 보호한다. 구체적으로, 암호화 키 및 암호화 알고리즘을 이용하여 사용자 평면/시그널링 평면 데이터에 대해 암호화된 보호가 수행된다. 무결성 보호 키 및 무결성 보호 알고리즘을 이용하여 사용자 평면/시그널링 평면 데이터에 대해 무결성 보호가 수행된다. 암호화된 보호와 무결성 보호 사이의 순차적 관계는 본 발명의 실시 예에서 제한되지 않는다. 구체적으로, 암호화된 보호가 먼저 사용자 평면/시그널링 평면 데이터에 대해 수행될 수 있고, 무결성 보호가 수행될 수 있다. 다르게는, 무결성 보호가 먼저 사용자 평면/시그널링 평면에 대해 수행될 수 있고, 암호화된 보호가 사용자 평면/시그널링 평면 데이터에 대해 수행된다. 확실히, 사용자 평면과 시그널링 평면은 동일한 실행 시퀀스를 사용하지 않을 수 있다.
보안 보호 해제(Security deprotection): 보안 기능을 수행하는 노드의 경우, 사용자 평면/시그널링 평면 보안 알고리즘과 사용자 평면/시그널링 평면 데이터를 보호하기 위한 키가 함께 사용되어 원래의 사용자 평면 데이터를 획득한다. 구체적으로, 암호화된 사용자 평면/시그널링 평면 데이터는 암호화 키 및 암호화 알고리즘을 이용하여 암호 해독된다(decrypted). 무결성 보호 검증은 무결성 보호 키 및 무결성 보호 알고리즘을 이용하여 사용자 평면 데이터에 대해 수행된다. 암호 해독 및 무결성 보호 검증의 시퀀스는 본 발명의 실시 예에서 제한되지 않는다. 그러나, 암호화된 보호가 먼저 수행된 다음 사용자 평면/시그널링 평면 데이터에 대해 무결성 보호가 수행되면, 보안 보호 해제에서, 무결성 보호가 먼저 검증된 다음 암호화된 사용자 평면 데이터가 암호 해독되거나, 또는 사용자 평면/시그널링 평면 데이터에 대해 무결성 보호가 먼저 수행된 다음 사용자 평면/시그널링 평면 데이터가 암호화되면, 보안 보호 해제의 시퀀스는 먼저 암호화된 데이터를 암호 해독한 다음 무결성 보호 검증을 수행하는 것이다.
사용자 평면/시그널링 평면 보안 보호 방법을 활성화(activate)한다는 것은 사용자 평면/시그널링 평면 보안 보호 방법이 결정되면, 사용자 평면/시그널링 평면 보안 알고리즘 및 사용자 평면/시그널링 평면 데이터를 보호하기 위한 키를 이용하여 사용자 평면/시그널링 평면 보안 보호 방법이 활성화되는 것, 즉, 사용자 평면/시그널링 평면 보안 보호 방법, 사용자 평면/시그널링 평면 보안 알고리즘 그리고 사용자 평면/시그널링 평면 데이터를 보호하기 위한 키를 이용하여, 전송될 사용자 평면/시그널링 평면 데이터에 대해 보안 보호가 수행됨을 의미한다. 예를 들어, 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하는 사용자 평면 보안 보호 방법이 결정되고, 사용자 평면 암호화 알고리즘은 암호화 알고리즘 A이며, 사용자 평면 암호화 키가 키 K이면, 전송될 사용자 평면 데이터의 경우, 사용자 평면 암호화된 보호가 암호화 알고리즘 A 및 키 K를 이용하여 사용자 평면 데이터에 대해 수행된다. 사용자 평면 보안 보호 방법을 활성화하는 것에 의해 달성될 수 있은 효과는, 사용자 평면 보안 보호를 수행하는 노드가 활성화된 후, 사용자 평면 데이터에 대해 보안 보호가 수행되기 시작하고(start), 사용자 평면 데이터에 대해 보안 보호 해제가 시작될 수 있다는 것이다. 보안 보호와 보안 보호 해제의 두 가지 액션(action)은 별도로 활성화될 수 있음을 이해해야 한다. 예를 들어, 기지국이 보안 활성화 메시지를 송신한(send) 후, 기지국은 보안 보호 해제를 활성화한다. 기지국이 보안 활성화 확인응답(acknowledgement) 메시지를 수신한 후, 기지국은 보안 보호를 활성화한다.
도 1은 LTE 이중 연결 통신의 개략적인 흐름도이다. 절차는 다음 단계를 포함할 수 있다.
단계 1: 사용자 단말이 마스터 노드에 대한 RRC 연결을 구축한다.
단계 2: 마스터 노드는 이중 연결을 시작하기로 결정하고, 보조 노드 관리 요청을 보조 노드에 송신한다.
마스터 노드는 KeNB를 이용하여 S-KeNB를 계산한다. KeNB는 마스터 노드와 사용자 단말에 의해 공유되는 루트(root) 키이다. 사용자 단말 및 마스터 노드는 KeNB에 기반하여 S-KeNB를 계산하고, RRC 시그널링을 보호하기 위한 키 및 사용자 단말과 마스터 노드 사이에 있는 사용자 평면 데이터를 보호하기 위한 키를 생성할 수 있다. S-KeNB는 보조 노드와 사용자 단말 사이의 루트 키이고, 사용자 단말과 보조 노드는 S-KeNB에 기반하여, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 사용자 단말과 보조 노드 사이의 것인 키를 생성할 수 있다. RRC 시그널링을 보호하기 위한 키는 예를 들어, RRC 시그널링 평면의 무결성 키 또는 RRC 시그널링 평면의 암호화 키일 수 있다. 사용자 평면 데이터를 보호하기 위한 키는 예를 들어 사용자 평면 암호화 키일 수 있다.
마스터 노드가 이중 연결을 시작하기로 결정하면, 마스터 노드는 이중 연결을 시작하기 위해 보조 노드 관리 요청을 보조 노드에 송신한다. 보조 노드 관리 요청은 보조 노드 추가(addition) 요청일 수 있거나, 보조 노드 수정(modification) 요청일 수 있다. 보조 노드 관리 요청은 S-KeNB 및 사용자 단말의 보안 능력(security capability)을 포함하고, 사용자 단말의 보안 능력은 사용자 단말에 의해 지원되는 보안 알고리즘, 구체적으로 사용자 단말에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘을 포함한다. 보조 노드 관리 요청은 S-KeNB를 포함하므로, 보조 노드는 S-KeNB에 기반하여 사용자 평면 데이터를 보호하기 위한 키를 생성한다.
단계 3: 보조 노드는 암호화 알고리즘을 선택하며, 여기서 선택된 암호화 알고리즘과, 사용자 평면 데이터를 보호하기 위한 것이면서 S-KeNB를 기반으로 생성된 키가 함께, 사용자 단말과 보조 노드 사이의 사용자 평면 데이터 전송을 보호한다.
단계 4: 보조 노드는 보조 노드 관리 응답을 마스터 노드에 송신하며, 여기서 보조 노드 관리 응답은 보조 노드에 의해 선택된 암호화 알고리즘을 포함한다.
보조 노드 관리 응답은 보조 노드 관리 요청에 응답하는 데 사용된다. 보조 노드 관리 요청이 보조 노드 추가 요청이면, 보조 노드 관리 응답은 보조 노드 추가 응답이다. 보조 노드 관리 요청이 보조 노드 수정 요청이면, 보조 노드 관리 응답은 보조 노드 수정 응답이다.
단계 5: 마스터 노드는 RRC 연결 재구성 요청을 사용자 단말에 송신하며, 여기서 RRC 연결 재구성 요청은 보조 셀 그룹(secondary cell group, SCG) 카운터(counter) 및 보조 노드에 의해 선택된 암호화 알고리즘을 포함한다. SCG 카운터는 사용자 단말에 의해 S-KeNB를 생성하는 데 사용된다. S-KeNB는 마스터 노드에 의해 계산된 S-KeNB와 동일하다. 사용자 단말은 S-KeNB에 기반하여 사용자 평면 데이터를 보호하기 위한 키를 생성할 수 있다. S-KeNB는 마스터 노드에 의해 계산된 S-KeNB와 동일하기 때문에, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 사용자 단말에 의해 생성된 키는 사용자 평면 데이터를 보호하기 위한 것이면서 또한 보조 노드에 의해 생성된 키와 동일하므로, 사용자 단말과 보조 노드는 동일한 키를 이용하여 사용자 평면 데이터를 보호할 수 있다.
단계 6: 사용자 단말이 RRC 연결 재구성 응답을 마스터 노드에 송신한다.
단계 7: 마스터 노드는 보조 노드 재구성 완료 메시지를 보조 노드에 송신한다.
전술한 절차에서, 마스터 노드는 마스터 노드에 의해 결정된 S-KeNB를 보조 노드에 통지하므로, 보조 노드는 선택된 암호화 알고리즘 및 사용자 평면 데이터를 보호하기 위한 것이면서 또한 S-KeNB에 기반하여 생성된 키를 이용하여, 사용자 단말과 보조 노드 사이에서 전송되는 사용자 평면 데이터를 보호하고, 사용자 단말은 동일한 암호화 알고리즘 및 사용자 평면 데이터를 보호하기 위한 동일한 키를 이용하여, 사용자 단말과 보조 노드 사이에서 전송된 사용자 평면 데이터를 보호하며, 이에 의해, 사용자 단말과 보조 노드 사이에 사용자 평면 암호화된 보호를 구현한다.
그러나, 전술한 절차에서, 암호화된 보호만이 존재하고 5G에 의해 새롭게 도입된 사용자 평면 무결성 보호는 없으며, 현재 5G 단일 연결 시나리오에서의 사용자 평면 무결성 보호만이 제공된다. 따라서, 5G 이중 연결 시나리오에서, 사용자 단말과 보조 노드 사이에서 사용자 평면 암호화된 보호 및 사용자 평면 무결성 보호를 인에이블하는 방법은 긴급하게 해결되어야 하는 기술적인 문제, 즉 사용자 단말과 보조 노드 사이에서 사용자 평면 보안을 인에이블하는 방법은 긴급하게 해결해야 할 기술적 문제이다.
이를 고려하여, 본 출원의 실시 예들은 5G 이중 연결 시나리오에서 사용자 단말과 보조 노드 사이의 사용자 평면 보안을 인에이블하는 방법의 기술적 문제를 해결하기 위해 이중 연결 통신을 위한 방법 및 장치를 제공하며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성과 무결성을 보장한다. 본 출원의 실시 예에서 제공되는 이중 연결 통신을 위한 방법 및 장치는 또한 5G 이중 연결 시나리오에서 사용자 단말과 마스터 노드 사이 및 사용자 단말과 보조 노드 사이에서 사용자 평면 보안을 인에이블하는 방법의 기술적 문제를 해결할 수 있다.
도 2는 본 출원의 실시 예가 적용되는 네트워크 아키텍처의 개략도이다. 네트워크 아키텍처의 개략도는 마스터 노드, 보조 노드 및 사용자 단말을 포함한 이중 연결 네트워크 아키텍처의 개략도이다. 도 2에 도시된 네트워크 아키텍처의 개략도에서. 검은 실선은 시그널링 평면 데이터 전송 경로를 지시하고, 검은 점선은 사용자 평면 데이터 전송 경로를 지시한다. 도 2로부터 사용자 단말과 보조 노드 사이에서 시그널링 평면 메시지가 전송되지 않고, 사용자 평면 메시지만이 보조 노드를 이용하여 전송된다. 이 아키텍처의 경우, 표준화의 진화에 따라, 시그널링 평면 메시지가 사용자 단말과 보조 노드 사이에서 전송되는 것, 다시 말해서, 미래에서, 사용자 단말과 보조 노드 사이의 시그널링 평면 메시지에 대해, 보안 협상 및 보안 활성화와 같은 보안 관련 절차가 있으며, 이는 종래 기술의 마스터 노드를 사용하는 것에 의해서만 수행될 수 있다.
마스터 노드는 이중 연결을 초기화하는 기지국이며, 5G 네트워크에서 차세대 노드 기지국(next generation Node Basestation, gNB)일 수도 있고, 또는 LTE 네트워크에서 진화된 노드 기지국(evolved Node Basestation, eNB 또는 eNodeB)일 수 있으며, 또는 업그레이드된 eNB, 즉 차세대 진화 노드 기지국(next generation eNodeB, ng-eNB)일 수 있거나, 또는 미래의 통신 시스템에서 기지국일 수 있다. 마스터 노드는 코어 네트워크 엘리먼트에 연결된다. 예를 들어, 마스터 노드는 이동성 관리 네트워크 엘리먼트에 연결된다. 이동성 관리 네트워크 엘리먼트는 4세대(4th-generation, 4G) 코어 네트워크의 이동성 관리 엔티티(mobility management entity, MME)일 수 있거나, 또는 5G 코어 네트워크의 액세스 및 이동성 관리 기능(access and mobility management function, AMF)일 수 있거나, 또는 미래 코어 네트워크에 있으면서 또한 MME 또는 AMF와 동일한 기능을 갖는 네트워크 엘리먼트일 수 있다. 다른 예에서, 마스터 노드는 사용자 평면 데이터를 전송하기 위해 사용자 평면 네트워크 엘리먼트에 연결된다. 사용자 평면 네트워크 엘리먼트는 4G 코어 네트워크에서 서빙 게이트웨이(serving gateway, SGW)일 수 있거나, 5G 코어 네트워크에서 사용자 평면 기능(user plane function, UPF)일 수 있거나, 또는 미래 코어 네트워크에 있으면서 또한 SGW 또는 UPF와 동일한 기능을 가진 네트워크 엘리먼트일 수 있다.
보조 노드는 마스터 노드에 의해 선택되면서 또한 협력하여 사용자 단말을 서빙하는 다른 기지국이거나, 또는 eNB일 수 있거나, 또는 gNB일 수 있거나, 또는 ng-eNB일 수 있거나, 또는 미래 통신 시스템에서의 기지국일 수 있다. 4G 이중 연결 시나리오에서, 구체적으로, 사용자 단말에 연결된 2개의 네트워크 노드가 eNB인 시나리오에서, 보조 노드는 일반적으로 마스터 노드와의 직접적인 X2 인터페이스를 가지며, 특별한 경우에, 보조 노드는 MME 및 SGW와의 직접적인 인터페이스를 가진다. 5G 이중 연결 시나리오에서, 구체적으로, 사용자 단말에 연결된 2개의 네트워크 노드 중 적어도 하나가 gNB인 시나리오에서, 보조 노드는 마스터 노드와 직접적인 인터페이스를 가지며, 보조 노드는 UPF와 직접적인 인터페이스를 가지고, 특별한 경우 보조 노드는 AMF와 직접적인 인터페이스를 가질 수 있다.
본 출원의 이 실시 예에서 사용되는 사용자 단말은 다양한 핸드 헬드 디바이스, 차량 탑재 디바이스, 웨어러블 디바이스, 또는 무선 통신 기능을 갖는 컴퓨팅 디바이스, 또는 무선 모뎀에 연결된 다른 처리 디바이스를 포함할 수 있고; 또는 사용자 장비(user equipment, UE), 가입자 유닛(subscriber unit), 셀룰러 폰(cellular phone), 스마트 폰(smart phone), 무선 데이터 카드, 개인 디지털 어시스턴트(personal digital assistant, PDA) 컴퓨터, 태블릿 컴퓨터, 무선 모뎀(modem), 핸드 헬드 디바이스(handheld), 랩톱 컴퓨터(laptop computer), 코드리스 폰(cordless phone), 무선 로컬 루프(wireless local loop, WLL) 스테이션, 머신 유형 통신(machine type communication, MTC) 단말, UE, 이동국(mobile station, MS), 단말 디바이스(terminal device), 릴레이 사용자 장비 등을 포함할 수 있다. 릴레이 사용자 장비는 예를 들어 5G 주거용 게이트웨이(residential gateway, RG)일 수 있다. 설명의 편의를 위해, 위에 언급된 디바이스는 본 출원의 실시 예에서 총칭하여 사용자 단말로 지칭된다.
사용자 단말은 장기 키(long-term key) 및 관련 기능을 저장한다. 코어 네트워크 엘리먼트(예를 들어, AMF 또는 인증 서버 기능(Authentication Server Function, AUSF))와 양방향 인증을 수행할 때, 사용자 단말은 장기 키 및 관련 기능을 이용하여 네트워크의 진위(authenticity)를 검증한다 .
도 3a 및 도 3b는 본 출원의 실시 예가 적용되는 2개의 5G 이중 연결 아키텍처의 개략도이다. 도 3a 및 도 3b에서, 마스터 노드는 gNB이고, 보조 노드는 ng-eNB이며; 마스터 노드는 ng-eNB이고, 보조 노드는 gNB이며; 마스터 노드는 gNB이고, 보조 노드는 gNB 등이다. 보조 노드가 ng-eNB 또는 gNB인 경우가 본 출원의 이 실시 예에서 주로 설명된다. 도 3a 및 도 3b에 도시된 5G 이중 연결 아키텍처의 개략도는 본 출원의 실시 예들에 대한 제한을 구성하지 않는다.
도 3a 및 도 3b에서, 액세스 관리 네트워크 엘리먼트는 이동성 관리를 담당하고, 5G 코어 네트워크의 AMF일 수 있거나, 또는 미래의 코어 네트워크에 있으면서 또한 이동성 관리를 담당하는 네트워크 엘리먼트일 수 있다. 본 출원의 실시 예에서, AMF는 설명을 위해 액세스 관리 네트워크의 예로서 사용된다. 사용자 평면 네트워크 엘리먼트는 사용자 평면 데이터 출구(egress)이고, 외부 네트워크(예를 들어, 데이터 네트워크(data network, DN))에 연결되며, 5G 코어 네트워크에서 UPF일 수 있거나, 또는 미래의 핵심 네트워크에 있으면서 또한 사용자 평면 데이터 출구 역할을 하며 또한 외부 네트워크에 연결된 네트워크 엘리먼트일 수 있다. 본 출원의 실시 예에서, UPF는 설명을 위해 사용자 평면 네트워크 엘리먼트의 예로서 사용된다. 세션 관리 네트워크 엘리먼트는 세션 자원을 사용자 평면에 할당하도록 구성되며, 5G 코어 네트워크에서 세션 관리 기능(session management function, SMF)일 수 있거나, 또는 미래 코어 네트워크에 있으면서 또한 세션 자원을 사용자 평면에 할당하는 네트워크 엘리먼트일 수 있다. 본 출원의 실시 예에서, 설명을 위해 SMF가 세션 관리 네트워크 엘리먼트의 예로서 사용된다.
도 3a 및 도 3b에 도시된 바와 같이, 특별한 경우에, 시그널링 평면 경로는 보조 노드와 코어 네트워크 엘리먼트 사이에 존재할 수 있고, 시그널링 평면 경로는 보조 노드와 사용자 단말 사이에 존재할 수 있다. 도 3a 및 도 3b에 도시된 회색 실선을 참조한다.
도 3a와 도 3b 사이의 차이점은, 도 3a에서, 사용자 평면 보안 종료점(termination point)이 보조 노드(SN) 상에 있고, SN은 사용자 평면 데이터를 사용자 평면 네트워크 엘리먼트와 교환하며, 도 3b에서, 사용자 평면 보안 종료점은 마스터 노드(MN) 상에 있고, MN은 사용자 평면 데이터를 사용자 평면 네트워크 엘리먼트와 교환한다는 점에 있다.
사용자 평면 보안 종료점이 위치된 기지국은 사용자 평면 데이터에 대한 보안 보호/보안 보호 해제를 수행한다. 예를 들어, 사용자 평면 보안 종료점은 SN 상에 있고, SN은 사용자 평면 데이터에 대한 보안 보호를 수행한다. 상향링크 사용자 평면 데이터의 경우, UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 보안 보호 후 상향링크 사용자 평면 데이터를 2개의 연결을 통해 SN에 송신한다. 하나의 연결을 통해, 보안 보호 후 상향링크 사용자 평면 데이터가 SN에 직접 송신되고, 다른 연결을 통해, 보안 보호 후 상향링크 사용자 평면 데이터가 MN을 이용하여 SN에 송신된다(즉, MN이 UE에 의해 송신된 보안 보호 후의 상향링크 사용자 평면을 투명하게 SN에 전송함). 보안 보호 후 SN이 상향링크 사용자 평면 데이터를 수신할 때, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행한다. 하향링크 사용자 평면 데이터의 경우, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법에 따라 하향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 보안 보호 후 하향링크 사용자 평면 데이터를 2개의 연결을 통해 UE에 송신한다. 하나의 연결을 통해 보안 보호 후 하향링크 사용자 평면 데이터가 UE에 직접 송신되고, 다른 연결을 통해 보안 보호 후 하향링크 사용자 평면 데이터가 MN을 이용하여 UE에 송신된다. UE가 보안 보호 후 하향링크 사용자 평면 데이터를 수신할 때, UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 하향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행한다. 2개의 연결이 반드시 동시에 존재할 필요는 없음을 이해해야 한다. 사용자 평면 보안 종료점이 SN 상에 있을 때, SN은 MN을 이용하여 모든 암호화된 데이터를 UE에 송신할 수 있다. 예를 들어, SN의 자원 사용(resource utilization)이 임계 값에 도달한 후, SN은 MN을 이용하여 모든 메시지를 UE에 송신한다.
다음은 본 출원의 실시 예에서 제공되는 이중 연결 통신을 위한 방법을 상세히 설명한다.
본 출원의 다음 실시 예에서 네트워크 엘리먼트들 사이의 메시지 이름, 메시지 내의 파라미터 이름 등은 단지 예일 뿐이며, 특정 구현 동안 다른 이름이 있을 수 있음에 유의해야 한다. 이것은 본 출원의 이 실시 예에서 특별히 제한되지 않는다.
본 출원의 실시 예가 도 3a에 도시된 이중 연결 네트워크 아키텍처의 개략도에 적용되는 예를 이용하여, 도 4a 및 도 4b는 본 출원의 제1 실시 예에 따른 이중 연결 통신을 위한 방법의 개략적인 흐름도이다. 이 실시 예에서, 설명을 위해, UE는 사용자 단말의 예로서 사용되며, AMF는 액세스 관리 네트워크 엘리먼트의 예로서 사용되며, SMF는 세션 관리 네트워크 엘리먼트의 예로서 사용되고, UPF는 사용자 평면 네트워크 엘리먼트의 예로서 사용된다. 상기 방법은 다음 단계들을 포함할 수 있지만 이에 제한되지는 않는다.
단계(S401): MN은 제1 사용자 평면 보안 정책을 획득한다.
제1 사용자 평면 보안 정책은 원래의 사용자 평면 보안 정책이다. "원래의(Original)"는 "매핑된(mapped)"과 관련이 있으며 "매핑된"은 "원래의"를 처리하여 획득될 수 있다.
선택적으로, 도 4a 및 도 4b에 도시된 실시 예는 추가로 패킷 데이터 유닛(packet data unit, PDU) 세션 구축 프로세스를 더 포함한다. PDU 세션 구축 프로세스는 다음을 포함할 수 있다: UE가 MN을 이용하여 PDU 세션 구축 요청을 AMF에 송신하고; PDU 세션 구축 요청을 수신할 때, AMF는 PDU 세션 구축 요청의 세션 구축 요청 관련 콘텐츠(session-establishment-request-related content)를 SMF에 송신하며; 세션 구축 요청 관련 콘텐츠를 수신할 때, SMF는 통합 데이터 관리(Unified Data Management, UDM)로부터 세션 관련 가입 정보를 획득할 수 있고, SMF는 세션 관련 가입 정보로부터 사용자 평면 보안 정책을 획득할 수 있거나, 또는 SMF는 SMF의 로컬 구성 정보로부터 사용자 평면 보안 정책을 획득하며; SMF는 AMF 및 MN을 이용하여 PDU 세션 구축 완료 메시지를 UE에 송신한다. PDU 세션 구축 완료 메시지는 사용자 평면 보안 정책을 포함한다.
SMF에 의해 획득된 사용자 평면 보안 정책은 UE의 사용자 평면 보안 정책이고, 구체적으로, UE의 PDU 세션의 사용자 평면 보안 정책일 수 있다. 상이한 PDU 세션들의 경우, 사용자 평면 보안 정책들이 상이하며, PDU 세션 식별자를 이용하여 구별될 수 있다. UE의 사용자 평면 보안 정책은 PDU 세션에 대응할 수 있거나, 또는 다른 그래뉴랠리티(granularity)에 대응할 수 있으며, 예를 들어, 서비스 플로 품질 식별자(quality of service flow identity, QFI)에 대응하는 네트워크 슬라이스 식별자에 대응할 수 있거나, 또는 5G 서비스 플로 품질 식별자(5G QoS indicator, 5QI)에 대응할 수 있거나, 또는 데이터 무선 베어러 식별자(data radio bearer identity, DRB ID)에 대응할 수 있다.
MN은 PDU 세션 구축이 완료된 후 이중 연결 절차를 초기화하거나, PDU 세션 구축 프로세스에서 이중 연결 절차를 초기화할 수 있다. PDU 세션 구축이 완료된 후 MN이 이중 연결 절차를 초기화하면, 단계(S401)는 PDU 세션 구축이 완료된 후에 수행될 수 있다. MN이 PDU 세션 구축 프로세스에서 이중 연결 절차를 초기화하면, SMF는 AMF를 이용하여 PDU 세션 구축 완료 메시지를 MN에 송신하고, UE로부터 RRC 연결 재구성 응답을 수신할 때, MN은 PDU 세션 구축 완료 메시지를 UE에 송신한다.
MN은 SMF로부터 PDU 세션 구축 완료 메시지를 수신하는 것에 의해 제1 사용자 평면 보안 정책을 획득할 수 있으며, 다시 말해서, PDU 세션 구축 완료 메시지에서 운반된 사용자 평면 보안 정책을 제1 사용자 평면 보안 정책으로서 사용할 수 있다.
다르게는, MN은 AMF를 이용하여 세션 관련 가입 정보를 획득하기 위한 요청을 SMF에 송신할 수 있다. 요청을 수신할 때, SMF는 UDM으로부터 세션 관련 가입 정보를 획득하기를 요청한다. SMF가 UDM으로부터 응답을 수신하고 세션 관련 가입 정보가 사용자 평면 보안 정책을 포함할 때, SMF는 세션 관련 가입 정보로부터 사용자 평면 보안 정책을 획득할 수 있다. 다르게는, SMF는 SMF의 로컬 구성 정보로부터 사용자 평면 보안 정책을 획득한다. 그 다음 SMF는 AMF를 이용하여, 획득된 사용자 평면 보안 정책을 MN에 송신한다. 사용자 평면 보안 정책을 수신할 때, MN은 사용자 평면 보안 정책을 제1 사용자 평면 보안 정책으로 사용한다.
MN이 기지국 핸드 오버 프로세스에서 타깃 기지국으로서 기능할 때, MN은 소스 기지국에 의해 송신되거나 AMF에 의해 송신된 사용자 평면 보안 정책을 제1 사용자 평면 보안 정책으로서 사용할 수 있다.
선택적으로, 단계(S401) 이후에, 상기 방법은 단계(S402)를 더 포함한다: MN은 제2 사용자 평면 보안 정책을 생성한다.
제2 사용자 평면 보안 정책은 매핑된 사용자 평면 보안 정책이다.
또한, 제2 사용자 평면 보안 정책은 "선호됨"의 경우를 포함하지 않는다. 구체적으로, 사용자 평면 암호화된 보호 지시 정보는 "요구됨" 또는 "필요하지 않음"이고, 사용자 평면 암호화된 보호는 "요구됨" 또는 "필요하지 않음"이다.
MN은 제1 사용자 평면 보안 정책에 따라 그리고 SN의 능력 및 UE의 현재 상태 정보와 같은 콘텐츠를 참조하여 제2 사용자 평면 보안 정책을 생성할 수 있다. SN의 능력은 SN이 사용자 평면 암호화된 보호의 인에이블링을 지원하는지의 여부와 SN이 사용자 평면 무결성 보호의 인에이블링을 지원하는지의 여부; SN의 자원; SN의 구성 정보; SN에 의해 지원되는 보안 알고리즘; 등 중 하나 이상을 포함할 수 있다. SN의 구성 정보의 경우, 예를 들어, SN이 ng-eNB일 때, SN의 구성 정보는 고정적으로 구성된 사용자 평면 보안 보호 방법이다. 예를 들어, 사용자 평면 암호화된 보호를 인에이블하는 구성된 사용자 평면 보안 보호 방법이 인에이블되고, 사용자 평면 무결성 보호를 디스에이블한다. SN에 의해 지원되는 보안 알고리즘은 SN에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘을 포함한다. SN에 의해 지원되는 보안 알고리즘은 SN이 속한 통신 시스템에 따라 상이하다. 예를 들어, SN이 ng-eNB일 때 SN에 의해 지원되는 보안 알고리즘이 SN이 gNB일 때 SN에 의해 지원되는 보안 알고리즘과 상이하거나, 또는 SN이 ng-eNB일 때 SN에 의해 지원되는 보안 알고리즘이 SN이 gNB일 때 SN에 의해 지원되는 보안 알고리즘과 동일하지만, 알고리즘을 나타내는 식별자는 상이하다. 예를 들어, ng-eNB는 EIA1 또는 EEA1과 같이 문자 "E"로 시작하는 알고리즘만 식별하고; gNB는 NIA1 또는 NEA1과 같이 문자 "N"으로 시작하는 알고리즘만 식별한다. EEA1과 NEA1은 상이한 식별자이지만 동일한 특정 보안 알고리즘을 나타낸다. NEA1과 EEA1은 모두 SNOW 3G를 기반으로 하는 보안 알고리즘을 나타낸다. UE의 현재 상태 정보는 UE의 현재 레이트(rate) 상태, UE의 전력량, UE의 능력 제한 정보 등 중 하나 이상의 정보를 포함할 수 있다. UE의 능력 제한 정보는 UE가 제한되는 능력을 가지는 UE(예를 들어, 사물 인터넷 디바이스)인지 또는 능력이 제한되지 않은 UE인지를 지시하는 데 사용된다.
MN 또는 SN이 매핑된 사용자 평면 보안 정책을 생성할 때, 매핑된 사용자 평면 보안 정책을 생성하는 기지국은: MN의 구성, MN의 현재 상태, SN의 구성, SN의 현재 상태, UE의 현재 상태 정보 등 중 하나 이상을 종합적으로 고려해야 한다. MN/SN의 구성은 MN/SN에 의해 지원되는 사용자 평면 보안 보호 방법이다. MN/SN의 현재 상태는 MN/SN의 현재 자원 사용 상태(usage status)이다. MN/SN은 현재 자원 사용 상태에 기반하여, 바람직하게 활성화될 사용자 평면 보안 보호의 유형을 활성화할지를 판정할 수 있다. UE의 현재 상태 정보는 UE의 현재 레이트 상태, UE의 전력량 및 UE의 능력 제한 정보 중 하나 이상을 포함할 수 있다. UE의 능력 제한 정보는 UE가 능력이 제한되는 UE(예를 들어, 사물 인터넷 디바이스)인지 또는 능력이 제한되지 않은 UE인지를 지시하는 데 사용된다.
MN에 의해 매핑된 사용자 평면 보안 정책을 생성하기 위한 특정 방법은 다음과 같다:
SN이 ng-eNB이고 MN이 gNB일 때, MN은 다음과 같은 몇 가지 방식으로 제2 사용자 평면 보안 정책을 생성할 수 있다.
방식(manner) 1: MN이 SN(ng-eNB)에 구성된 사용자 평면 보안 보호 방법을 알게 되면, MN은 제1 사용자 평면 보안 정책 및 SN(ng-eNB) 상에 구성되어 있는 사용자 평면 보안 보호 방법을 참조하여 제2 사용자 평면 보안 정책을 생성할 수 있다.
SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법은 SN(ng-eNB)에 고정적으로 구성될 수 있으며, 즉 SN(ng-eNB)은 구성된 사용자 평면 보안 보호 방법만을 사용할 수 있다. SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법은 다르게는 MN 상에 구성될 수 있으므로, MN은 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법을 알 수 있다. MN은 다르게는 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법을 다른 방식으로 알 수 있다. 예를 들어, SN(ng-eNB)은 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방식을 MN에 능동적으로 통지한다.
예를 들어, SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법은 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블할 수 있다. MN이 제1 사용자 평면 보안 정책 및 SN(ng-eNB) 상에 구성되어 있는 사용자 평면 보안 보호 방법을 참조하여 제2 사용자 평면 보안 정책을 생성하는 것은, 구체적으로, 다음을 포함할 수 있다: A. 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보가 "선호됨"이면, 생성된 제2 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보는 "필요하지 않음"이며; 또는 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보가 "필요하지 않음"이면, 생성된 제2 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보는 여전히 "필요하지 않음"이다. B. 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보가 "선호됨"이면, 생성된 제2 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보는 "요구됨"이며; 또는 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보가 "요구됨"이면, 생성된 제2 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보는 여전히 "요구됨"이다. MN에 의해 생성된 제2 사용자 평면 보안 정책은, SN(ng-eNB) 상에 구성되어 있으면서 또한 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하는 사용자 평면 보안 보호 방법에 따라 획득된다. SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법이 다른 유형이면, MN에 의해 생성된 제2 사용자 평면 보안 정책도 변경될 수 있다. 이것은 구체적으로 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법에 따라 결정된다.
MN이 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법을 알게 되면, 생성된 제2 사용자 평면 보안 정책은 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법에 대응하며, 즉, 생성된 제2 사용자 평면 보안 정책은 SN 상에 구성된 사용자 평면 보안 보호 방법에 대응하는 사용자 평면 보안 정책과 동일한 것으로 이해될 수 있다.
방식 2: MN이 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법을 알지 못하면, MN은 제1 사용자 평면 보안 정책에 따라 그리고 운영자(operator)의 요건 또는 네트워크 배치의 요건 그리고 UE의 현재 상태 정보를 참조하여, 제2 사용자 평면 보안 정책을 생성할 수 있다. 이 경우, MN에 의해 생성된 제2 사용자 평면 보안 정책은 SN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법에 대응할 수 있다.
방식 3: MN은 제1 사용자 평면 보안 정책을 참조하고 그리고 SN이 사용자 평면 암호화된 보호의 인에이블링을 지원하는지 여부와 SN이 사용자 평면 무결성 보호의 인에이블링을 지원하는지의 여부에 따라 제2 사용자 평면 보안 정책을 생성할 수 있다. 예를 들어, SN(ng-eNB)이 사용자 평면 무결성 보호의 인에이블링을 지원하지 않으면, 생성된 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 "필요하지 않음"이다.
방식 4: MN은 MN의 구성 정보에 기반하여, 제1 사용자 평면 보안 정책을 참조하고 그리고 SN이 사용자 평면 암호화된 보호의 인에이블링을 지원하는지 여부와 SN이 사용자 평면 무결성 보호의 인에이블링을 지원하는지의 여부에 따라 제2 사용자 평면 보안 정책을 생성할 수 있다. 예를 들어, SN(ng-eNB)이 사용자 평면 무결성 보호의 인에이블링을 지원하지 않으면, 생성된 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 "필요하지 않음"이며; SN(ng-eNB)의 암호화된 보호의 인에이블링 및 디스에이블링이 모두 지원되면, MN은 MN의 구성 정보 및 UE의 자원 상태와 같은 콘텐츠에 기반하여, 사용자 평면 암호화된 보호 지시가 "요구됨" 또는 "필요하지 않음"인 것으로 결정한다.
MN이 제2 사용자 평면 보안 정책을 생성하면, MN은 먼저 원래의 사용자 평면 보안 정책에 기반하여 그리고 MN의 구성, MN의 현재 상태, SN의 구성, SN의 현재 상태, UE의 현재 상태 정보 등 정보 중 하나 이상을 참조하여 사용자 평면 보안 보호 방법을 결정해야 한다는 것을 이해할 수 있다. 사용자 평면 보안 보호 방법은 추가로, 사용자 평면 인에이블링 유형 지시 정보로 변환될 수 있다. MN은 사용자 평면 인에이블링 유형 지시 정보를 획득한 후 사용자 평면 인에이블링 유형 지시 정보의 콘텐츠를 제2 사용자 평면 보안 정책으로 변환할 수 있다. 다르게는, MN은 사용자 평면 보안 인에이블링 유형 지시 정보를 제2 사용자 평면 보안 정책으로서 직접 사용할 수 있고; 이 경우, 제2 사용자 평면 보안 정책은 사용자 평면 인에이블링 유형 지시 정보인 것으로 이해될 수 있다.
SN이 gNB이고 MN이 ng-eNB일 때, MN(ng-eNB)은 다음과 같은 몇 가지 방식으로 제2 사용자 평면 보안 정책을 생성할 수 있다.
방식 1: MN(ng-eNB)이 MN(ng-eNB)의 사용자 평면 보안 보호 방법을 알게 되면, MN(ng-eNB)은 MN(ng-eNB)의 사용자 평면 보안 보호 방법 및 제1 사용자 평면 보안 정책을 참조하여 제2 사용자 평면 보안 정책을 생성한다. MN은 ng-eNB이고 MN은 MN의 사용자 평면 보안 보호 방법에 대해 매우 명확하기 때문에, MN은 MN의 사용자 평면 보안 보호 방법 및 제1 사용자 평면 보안 정책을 참조하여 제2 사용자 평면 보안 정책을 직접 생성할 수 있다. 예를 들어, MN의 사용자 평면 암호화된 보호가 동적으로 인에이블될 수 있고 MN이 사용자 평면 무결성 보호를 지원하지 않으면, MN은 MN의 구성, MN의 현재 자원 사용 상태 및 UE의 현재 상태 정보와 같은 정보에 기반하여, 사용자 평면 암호화된 보호가 "요구됨" 또는 "필요하지 않음"인 것으로 결정할 수 있다 MN이 사용자 평면 무결성 보호를 지원하지 않기 때문에 사용자 평면 무결성 보호는 "필요하지 않음"이다. 구체적인 생성 방법에 대해서는 SN이 ng-eNB이고 MN이 gNB일 때 MN이 제2 사용자 평면 보안 정책을 생성하는 방식 1을 참조한다.
UE의 현재 상태 정보는 UE의 현재 레이트 상태, UE의 전력량, UE의 능력 제한 정보 등 중 하나 이상의 정보를 포함할 수 있다. UE의 능력 제한 정보는 능력이 제한된 UE(예를 들어, 사물 인터넷 디바이스)인지 또는 능력이 제한되지 않은 UE인지를 지시하는 데 사용된다.
방식 2: 사용자 평면 보안 보호 방법은 MN(ng-eNB)에 고정적으로 구성되고, MN(ng-eNB)은 MN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법 및 제1 사용자 평면 보안 정책을 참조하여 제2 사용자 평면 보안 정책을 생성할 수 있다. 이러한 방식에서, 생성된 제2 사용자 평면 보안 정책도 고정된다. 구체적인 생성 방법에 대해서는 SN이 ng-eNB이고 MN이 gNB일 때 MN이 제2 사용자 평면 보안 정책을 생성하는 방식 1을 참조한다.
방식 3: MN(ng-eNB)은 제1 사용자 평면 보안 정책에 따라 그리고 운영자의 요건 또는 네트워크 배치 요건 및 UE의 현재 상태 정보를 참조하여 제2 사용자 평면 보안 정책을 생성할 수 있다.
방식 4: MN(ng-eNB)은 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보에 따라 사용자 평면 암호화된 보호를 인에이블할지를 동적으로 결정한다. 예를 들어, MN(ng-eNB)은 사용자 평면 암호화된 보호를 인에이블하지 않는다. 이러한 방식에서, 제2 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보는 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보와 동일할 수 있으며, 제2 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보는 "요구됨"일 수 없다.
방식 5: MN(ng-eNB)은 제1 사용자 평면 보안 정책을 참조하고 그리고 SN(gNB)이 사용자 평면 암호화된 보호의 인에이블링을 지원하는지의 여부 및 SN(gNB)이 사용자 평면 무결성 보호의 인에이블링을 지원하는지의 여부에 따라 제2 사용자 평면 보안 정책을 생성할 수 있다. 예를 들어, SN(gNB)이 사용자 평면 무결성 보호의 인에이블링을 지원하지 않으면, 생성된 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 "필요하지 않음"이다.
MN이 제2 사용자 평면 보안 정책을 생성한 경우, MN은 제2 사용자 평면 보안 정책에 따라 MN과 UE 사이의 사용자 평면 보안 보호 방법을 결정할 수 있다.
MN이 사용자 평면 보안 종료점이 SN 상에 있다고 결정하는 경우, MN은 MN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화할 필요가 없다.
선택적으로, MN이 보안 종료점이 SN 상에 있을 수 있는지를 판정하기 전에, MN은 제1 정보에 기반하여, 사용자 평면 보안 종료점이 SN 상에 배치될 수 있는지를 판정할 수 있다. 제1 정보는 MN 상에 로컬로 구성된 정보일 수 있거나, 또는 제1 사용자 평면 보안 정책일 수 있다. 예를 들어, SN이 ng-eNB이고, MN이 gNB이며, 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보가 "요구됨"이면, MN은 사용자 평면 보안 종료점을 MN 상에만 배치할 수 있으며(다시 말해서, MN의 PDU 세션은 MN으로 오프로드(offload)되거나 분할되지(split) 않음), 사용자 평면 보안 종료점이 MN 상에 있다고 결정할 수 있다. 이 경우를 제외한 모든 경우에 사용자 평면 보안 종료점이 SN 상에 있을 수 있다. 구체적으로, 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보가 "요구됨"이 아니면, MN은 사용자 평면 보안 종료점을 SN 상에 배치하기로 결정하고, 추가로 사용자 평면 보안 종료점이 SN 상에 있는 것으로 결정할 수 있다. 이는 SN이 gNB이거나 SN이 ng-eNB인 시나리오에 적용할 수 있다.
또한, 동일한 PDU 세션의 사용자 평면 보안 정책은 PDU 수명(lifetime) 동안 변경될 수 없으며, 이중 연결 시나리오에서 동일한 PDU 세션의 사용자 평면 보안 종료점이 한 순간에 MN 상에 유연하게 배치되고, 다른 순간에 SN 상에 배치될 수 있다. 따라서, 매핑된 사용자 평면 보안 정책을 생성할 때, MN 또는 SN은 다른 기지국의 능력을 고려해야 한다. 예를 들어, 기지국 중 하나가 ng-eNB이고 ng-eNB가 무결성 보호를 인에이블할 수 없으면, 매핑된 사용자 평면 보안 정책의 무결성 보호가 디스에이블되어야 하며, 즉, 활성화될 수 없다.
이중 연결 시나리오에서, 2개의 기지국은 협력하여 UE를 서빙하고, UE의 동일한 PDU 세션의 사용자 평면 보안 정책은 변경되지 않고 유지된다. 따라서, MN과 UE 사이의 사용자 평면 보안 보호 방법은 SN과 UE 사이의 사용자 평면 보안 보호 방법과 동일하다. 따라서, 매핑된 사용자 평면 보안 정책은 MN에 의해 생성되거나 SN에 의해 생성될 수 있다. 그러나, 사용자 평면 보안 종료점이 SN 상에 있을 때, MN은 매핑된 사용자 평면 보안 정책만을 생성하고, MN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화할 필요가 없다는 것에 유의해야 한다. 사용자 평면 보안 종료점이 SN 상에 있고 매핑된 사용자 평면 보안 정책이 SN에 의해 결정되는 경우, SN은 매핑된 사용자 평면 보안 정책을 생성할 뿐만 아니라 UE와 SN 사이의 사용자 평면 보안 보호 방법을 활성화해야 한다. 이 경우, MN은 원래의 보안 정책만 SN에 전달하기만(transfer) 하면 된다.
단계(S403): MN은 제1 메시지를 SN에 송신하고, 여기서 제1 메시지는 사용자 평면 보안 정책 및 UE의 보안 능력을 포함한다. 이에 대응하여, SN은 MN으로부터 제1 메시지를 수신한다.
제1 메시지는 SN 추가 요청(SN addition request)일 수 있다. 예를 들어, 무선 베어러가 초기에 SN으로 오프로드될 때, 제1 메시지는 SN 추가 요청이다. 제1 메시지는 다르게는 SN 수정 요청(SN modification request)일 수 있다.
UE의 보안 능력은 LTE 시스템에서 UE에 의해 지원되는 보안 알고리즘 및/또는 5G 시스템에서 UE에 의해 지원되는 보안 알고리즘을 포함한다. 구체적으로, UE의 보안 능력은 식별자의 형태로 액세스 네트워크와 코어 네트워크 사이에서 전달된다. UE의 보안 능력은 UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘을 지칭한다. 제1 메시지는 UE의 보안 능력을 운반하므로, SN은 기지국이 위치된 시스템에 기반하여 SN과 UE 사이에서 사용될 보안 알고리즘을 UE의 보안 능력으로부터 선택한다. 예를 들어, SN이 gNB이면, SN은 5G 시스템에서 UE에 의해 지원되는 보안 알고리즘, 즉 "N"으로 시작하는 식별자로 나타내어지는 알고리즘으로부터 선택을 수행한다. 다른 예를 들어, SN이 ng-eNB이면, SN은 LTE 시스템에서 UE에 의해 지원되는 보안 알고리즘으로부터 SN과 UE 사이의 보안 알고리즘을 선택하며, 즉, SN은 "E"로 시작하는 식별자로 나타내어지는 알고리즘으로부터 선택을 수행한다.
MN이 단계(S402)를 수행하지 않으면, 제1 메시지에서 운반되는 사용자 평면 보안 정책은 제1 사용자 평면 보안 정책이다. 제1 메시지는 제1 사용자 평면 보안 정책에 대응하는 사용자 평면 정보를 더 포함하고, 사용자 평면 정보는 PDU 세션 식별자, 즉 UE가 구축하도록 요청하는 PDU 세션의 식별자를 포함할 수 있다. 사용자 평면 정보는 UE가 MN 및 SN으로부터 수신된 사용자 평면 데이터가 동일한 세션의 것임을 알게 할 수 있다. 구체적으로, MN 및 SN은 사용자 평면 정보를 직접 사용하거나, 또는 사용자 평면 정보를 변환 및 처리한 후 사용자 평면 정보를 사용할 수 있으므로, UE가 2개의 기지국에 의해 송신된 사용자 평면 데이터를 서로 연관시킬 수 있다. 선택적으로, 사용자 평면 정보는 네트워크 슬라이스 식별자, 서비스 플로 품질 식별자(quality of service flow identity, QFI), 5QI, DRB ID 중 하나 이상을 더 포함할 수 있다.
MN이 단계(S402)를 수행하면, 제1 메시지에서 운반된 사용자 평면 보안 정책은 제2 사용자 평면 보안 정책이므로, SN은 제2 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화한다. 제1 메시지는 제2 사용자 평면 보안 정책에 대응하는 사용자 평면 정보를 더 포함하고, 사용자 평면 정보는 PDU 세션 식별자를 포함하고, 네트워크 슬라이스 식별자, QFI, 5QI, DRB ID 등 중 하나 이상을 더 포함한다.
선택적으로, 제1 메시지는 Ksn을 더 포함하고, Ksn은 Kmn을 이용하여 MN에 의해 계산된다. Ksn은 SN과 UE 사이의 루트 키이다. SN 및 UE는 Ksn에 기반하여, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 UE와 SN 사이에 있는 키, 예를 들어 사용자 평면 암호화 키 및 사용자 평면 무결성 보호 키를 생성할 수 있다. SN과 UE 사이에 시그널링 평면 경로가 존재할 수 있으면, SN은 Ksn에 기반하여 시그널링 평면을 보호하기 위한 것이면서 또한 UE와 SN 사이에 있는 키를 더 생성할 수 있다. 시그널링 평면을 보호하기 위한 키는 예를 들어, RRC 시그널링 평면 무결성 키 및 RRC 시그널링 평면 암호화 키를 포함한다.
선택적으로, 제1 메시지는 식별 정보를 더 포함하고, 식별 정보는 제1 메시지에서 운반된 사용자 평면 보안 정책이 제1 사용자 평면 보안 정책인지 또는 제2 사용자 평면 보안 정책인지를 지시하는 데 사용된다. 예를 들어, 식별 정보는 1비트로 지시될 수 있다. 예를 들어 "0"은 사용자 평면 보안 정책이 제1 사용자 평면 보안 정책임을 지시하고 "1"은 사용자 평면 보안 정책이 제2 사용자 평면 보안 정책임을 지시한다. 비트는 제1 사용자 평면 보안 정책의 비트 길이 또는 제2 사용자 평면 보안 정책의 비트 길이에 추가된 비트일 수 있거나, 제1 사용자 평면 보안 정책 또는 제2 사용자 평면 보안 정책에 독립적인 비트일 수 있다.
단계(S404): SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한다.
SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정하며, 다시 말해서, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 이용하여 사용자 평면 데이터에 대한 보안 보호를 수행할 수 있다. 예를 들어, SN과 UE 사이의 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하면, SN은 사용자 평면 데이터에 대한 사용자 평면 암호화된 보호를 인에이블하고, 사용자 평면 데이터에 대한 사용자 평면 무결성 보호를 디스에이블할 수 있다.
SN이 ng-eNB이고 MN이 gNB일 때, SN(ng-eNB)은 사용자 평면 보안 보호 방법을 구성하고, SN은 구성된 사용자 평면 보안 보호 방법을 SN과 UE 사이의 사용자 평면 보안 보호 방법으로 직접 결정할 수 있다. 이 경우, SN은 제1 메시지가 제1 사용자 평면 보안 정책 또는 제2 사용자 평면 보안 정책을 운반하는지를 상관하지 않는다.
제1 메시지가 제1 사용자 평면 보안 정책을 포함하면, SN은 제1 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정할 수 있다.
가능한 구현에서, SN은 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보에 따라 사용자 평면 암호화된 보호를 인에이블하는 방법을 결정한다. 구체적으로, 사용자 평면 암호화된 보호 지시 정보가 "요구됨"이면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블한다. 사용자 평면 암호화된 보호 지시 정보가 "필요하지 않음"이면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블하지 않는다. 사용자 평면 암호화된 보호 지시 정보가 "선호됨"이면, SN은 일부 조건에 기반하여 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블할지를 판정한다. 예를 들어, SN이 충분한 자원을 가지면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블할 수 있다. SN은 SN 상에 구성된 사용자 평면 보안 보호 방법의 사용자 평면 무결성 보호 방법에 따라 SN과 UE 사이의 사용자 평면 무결성 보호를 인에이블하는 방법을 결정하며, 즉 SN 상에 구성된 사용자 평면 무결성 보호 방법을 SN과 UE 사이의 사용자 평면 무결성 보호를 인에이블하는 방법으로서 결정한다. 예를 들어, SN 상에 구성된 사용자 평면 무결성 보호 방법이 사용자 평면 무결성 보호를 디스에이블하면, SN은 SN과 UE 사이에서 사용자 평면 무결성 보호를 인에이블하지 않는다. 다르게는, SN이 사용자 평면 무결성 보호를 지원하지 않는 경우, SN은 SN과 UE 사이의 사용자 평면 무결성 보호가 디스에이블되도록 직접 설정한다.
가능한 구현에서, SN은 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보에 기반하여 무결성 보호를 인에이블하는 방법을 결정한다. 구체적으로, 사용자 평면 무결성 보호 지시 정보가 "선호됨"이면, SN은 일부 조건에 기반하여 SN과 UE 사이에서 사용자 평면 무결성 보호를 인에이블할지를 판정한다. 예를 들어, SN이 사용자 평면 무결성 보호를 지원하지 않으면, SN은 SN과 UE 사이에서 사용자 평면 무결성 보호를 인에이블하지 않는다. 다른 예에서, UE의 보안 능력이 사용자 평면 무결성 보호의 인에이블링을 지원할 수 있고 SN이 사용자 평면 무결성 보호를 지원하면, SN은 사용자 평면 무결성 보호를 인에이블한다. 사용자 평면 무결성 보호 지시 정보가 "필요하지 않음"이면, SN은 SN과 UE 사이에서 사용자 평면 무결성 보호를 인에이블 하지 않는다. SN은 SN 상에 구성된 사용자 평면 보안 보호 방법의 사용자 평면 암호화된 보호 방법에 따라, SN과 UE 사이의 사용자 평면 암호화된 보호를 인에이블하는 방법을 결정하고 활성화하며, 즉 SN 상에 구성된 사용자 평면 암호화된 보호 방법을 SN과 UE 사이의 사용자 평면 암호화된 보호를 인에이블하는 방법으로서 결정한다. 예를 들어, SN 상에 구성된 사용자 평면 암호화된 보호 방법이 사용자 평면 암호화된 보호를 인에이블하면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블한다.
제1 메시지가 제1 사용자 평면 보안 정책만을 포함하는 경우, SN은 제1 사용자 평면 보안 정책 및 MN의 능력을 참조하여 제3 사용자 평면 보안 정책을 생성하고, 제3 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한다. 제3 사용자 평면 보안 정책은 SN에 의해 생성된 매핑된 사용자 평면 보안 정책이다. SN이 제1 사용자 평면 보안 정책 및 MN의 능력을 참조하여 제3 사용자 평면 보안 정책을 생성하는 것은, MN이 제1 사용자 평면 보안 정책 및 SN의 능력을 참조하여 제3 사용자 평면 보안 정책을 생성하는 것과 유사하다. SN은 제3 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정하고, 구체적으로, SN은 제3 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보에 따라, 사용자 평면 암호화된 보호를 인에이블할지를 판정하고, 제3 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보에 기반하여 사용자 평면 무결성 보호를 인에이블할지를 판정한다.
MN이 ng-eNB이면, SN은 제1 사용자 평면 보안 정책 및 MN(ng-eNB) 상에 구성된 사용자 평면 보안 보호 방법을 참조하여 제3 사용자 평면 보안 정책을 생성하고, 제3 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정할 수 있다.
제1 메시지가 제2 사용자 평면 보안 정책을 포함하면, SN은 제2 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정하고, 구체적으로, SN은 제2 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보에 따라 사용자 평면 암호화된 보호를 인에이블할지를 판정하고, 제2 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보에 따라 사용자 평면 무결성 보호를 인에이블할지를 판정한다. 제2 사용자 평면 보안 정책이 사용자 평면 인에이블링 유형 지시 정보이면, SN은 사용자 평면 인에이블링 유형 지시 정보에 따라 사용자 평면 보안 보호 방법을 직접 결정한다.
가능한 구현에서, SN은 제1 사용자 평면 보안 정책에 포함된 사용자 평면 암호화된 보호 지시 정보에 따라, 사용자 평면 암호화된 보호를 인에이블하는 방법을 결정한다. 구체적으로, 사용자 평면 암호화된 보호 지시 정보가 "요구됨"이면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블한다. 사용자 평면 암호화된 보호 지시 정보가 "필요하지 않음"이면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블하지 않는다.
가능한 구현에서, SN은 제1 사용자 평면 보안 정책에 포함된 사용자 평면 무결성 보호 지시 정보에 기반하여 무결성 보호를 인에이블하는 방법을 결정한다. 구체적으로, 사용자 평면 무결성 보호 지시 정보가 "필요하지 않음"이면, SN은 SN과 UE 사이에서 사용자 평면 무결성 보호를 인에이블하지 않는다. SN은 SN 상에 구성된 사용자 평면 보안 보호 방법의 사용자 평면 암호화된 보호 방법에 따라, SN과 UE 사이의 사용자 평면 암호화된 보호를 인에이블하는 방법을 결정하고 활성화하며, 즉 SN 상에 구성된 사용자 평면 암호화된 보호 방법을 SN과 UE 사이의 사용자 평면 암호화된 보호를 인에이블하는 방법으로서 결정한다. 예를 들어, SN 상에 구성된 사용자 평면 암호화된 보호 방법이 사용자 평면 암호화된 보호를 인에이블하면, SN은 SN과 UE 사이에서 사용자 평면 암호화된 보호를 인에이블한다.
단계(S405): SN은 SN과 UE 사이의 보안 알고리즘을 선택한다.
SN은 제1 메시지에서 운반된 UE의 보안 능력에 기반하여 SN과 UE 사이의 보안 알고리즘을 선택할 수 있다. 예를 들어, SN이 gNB이면, SN은 5G 시스템에서 UE에 의해 지원되는 보안 알고리즘으로부터 SN과 UE 사이의 보안 알고리즘을 선택할 수 있다.
가능한 구현에서, 단계(S405)는 단계(S404) 이후에 수행되고, 구체적으로, SN은 먼저 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한 다음, SN과 UE 사이의 보안 알고리즘을 선택한다. 이 경우, SN은 사용자 평면에 의해 사용되는 보안 알고리즘만을 선택해야 하고, 시그널링 평면에 의해 사용되는 보안 알고리즘을 재선택해야 한다. 이 경우, 시그널링 평면 보안 알고리즘과 사용자 평면 보안 알고리즘에 의해 사용되는 알고리즘들은 동일하거나 상이할 수 있다. 동일하다는 것의 구체적인 의미는 다음과 같다: 사용자 평면 암호화된 보호가 인에이블되면, 사용된 사용자 평면 보안 알고리즘은 사용된 시그널링 평면 보안 알고리즘과 동일하며; 사용자 평면 무결성 보호가 인에이블되면, 사용자 평면에 의해 사용된 무결성 알고리즘은 시그널링 평면에 의해 사용된 무결성 알고리즘과 동일하다. 상이하다는 것의 구체적인 의미는 다음과 같다: 보안 알고리즘이 상이한 알고리즘을 포함한다면 시그널링 평면에 의해 사용된 보안 알고리즘은 사용자 평면에 의해 사용된 보안 알고리즘과 상이하다. 예를 들어, 암호화 알고리즘 A는 사용자 평면 암호화 알고리즘으로 사용되고, 시그널링 평면에 의해 사용된 암호화 알고리즘은 암호화 알고리즘 B이며, 사용자 평면과 시그널링 평면 모두 무결성 알고리즘 C를 사용한다.
가능한 구현에서, 단계(S405)는 단계(S404) 이전에 수행되고, 구체적으로, SN은 먼저 SN과 UE 사이의 보안 알고리즘을 선택한 다음, SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한다. SN이 먼저 SN과 UE 사이의 보안 알고리즘을 선택하기 때문에, 선택된 보안 알고리즘은 시그널링 평면 보호 및 사용자 평면 보호 모두에 사용된다. SN이 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한 후, SN은 결정된 사용자 평면 보안 보호 방법에 따라, 사용자 평면 보안 보호에 사용되는 선택된 보안 알고리즘을 결정한다. 예를 들어, SN이 먼저 암호화 알고리즘과 무결성 보호 알고리즘을 선택한 다음, SN에 의해 결정된 사용자 평면 보안 보호 방법이 사용자 평면 암호화를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하면, SN은 암호화된 보호 알고리즘이 사용자 평면에서 사용되고, 사용자 평면 무결성 보호 알고리즘은 사용되지 않는 것으로 결정한다.
SN은 제1 메시지에서 운반된 Ksn에 기반하여, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 UE와 SN 사이에 있는 키를 생성한다. 시그널링 평면 경로가 SN과 UE 사이에 존재할 수 있으면, SN은 Ksn에 기반하여 시그널링 평면을 보호하기 위한 것이면서 UE와 SN 사이에 있는 키를 추가로 생성할 수 있다.
SN이 SN과 UE 사이의 사용자 평면 보안 보호 방법, SN과 UE 사이의 보안 알고리즘, 및 사용자 평면 데이터를 보호하기 위한 키를 결정하면, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화한다. 다시 말해서, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법, SN과 UE 사이의 보안 알고리즘, 및 사용자 평면 데이터를 보호하기 위한 키를 이용하여, 하향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행한다. 예를 들어, 결정된 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하고, 사용자 평면 암호화 알고리즘은 암호화 알고리즘 A이며, 사용자 평면 암호화 키가 키 K이면, 하향링크 사용자 평면 데이터의 경우, 사용자 평면 암호화된 보호가 암호화 알고리즘 A 및 키 K를 이용하여 하향링크 사용자 평면 데이터에 대해 수행된다.
단계(S406): SN은 제2 메시지를 MN에 송신하며, 여기서 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보 그리고 SN과 UE 사이의 것이면서 또한 SN에 의해 선택된 보안 알고리즘을 포함한다. 이에 대응하여, MN은 SN으로부터 제2 메시지를 수신한다.
제2 메시지는 제1 메시지에 응답하는데 사용되며, SN 추가 응답일 수 있거나, 또는 SN 수정 응답일 수 있다. 즉, 제1 메시지가 SN 추가 요청이면, 제2 메시지는 SN 추가 응답이다.
사용자 평면 보안 인에이블링 유형 지시 정보는 SN과 UE 사이의 것이면서 또한 SN에 의해 활성화되는 사용자 평면 보안 보호 방법을 지시하는데 사용된다. 사용자 평면 인에이블링 유형 지시 정보는 2비트로 지시될 수 있다. 하나의 비트는 암호화된 보호가 인에이블 또는 디스에이블되는지를 지시하고, 다른 비트는 무결성 보호가 인에이블 또는 디스에이블되는지를 지시한다. 예를 들어, 제1 비트가 "1"일 때 이는 사용자 평면 암호화된 보호가 인에이블됨을 지시하며; 제2 비트가 "1"일 때 이는 사용자 평면 무결성 보호가 인에이블됨을 지시한다. SN과 UE 사이의 것이면서 또한 SN에 의해 결정되는 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하는 것으로 가정한다. 이 경우, 사용자 평면 인에이블링 유형 지시 정보는 "10"으로 표현될 수 있다. 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 운반하므로, MN은 사용자 평면 보안 인에이블링 유형 지시 정보를 RRC 연결 재구성 응답에 추가하고, RRC 연결 재구성 응답을 UE에 송신하여, UE가 UE와 SN 사이의 사용자 평면 보안 보호 방법을 알게 하는 데 도움을 준다.
SN이 제3 사용자 평면 보안 정책을 생성하면, SN은 제3 사용자 평면 보안 정책을 MN에 송신하고, SN은 제3 사용자 평면 보안 정책에 따라 SN과 UE 사이의 사용자 평면 보안 보호 방법을 결정한다. 다시 말해서, 제3 사용자 평면 보안 정책은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 지시할 수 있고, SN에 의해 결정된 매핑된 사용자 평면 보안 정책일 수 있다. SN은 제3 사용자 평면 보안 정책을 MN에 송신하므로, MN은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 알게 된다. 제3 사용자 평면 보안 정책은 제2 메시지와 독립적일 수 있고, 제2 메시지 이외의 메시지를 이용하여 MN에 송신되며, 즉, 제3 사용자 평면 보안 정책은 제2 메시지에서 운반되지 않는다.
제2 사용자 평면 보안 정책이 사용자 평면 인에이블링 유형 지시 정보이면, SN은 사용자 평면 인에이블링 유형 지시 정보에 기반하여 사용자 평면 보안 보호 방법을 직접 결정한다.
선택적으로, MN이 SN과 UE 사이의 사용자 평면 보안 보호 방법을 알게 되면, MN은 MN과 UE 사이의 사용자 평면 보안 보호 방법이 SN과 UE 사이의 사용자 평면 보안 보호 방법과 동일하다고 결정할 수 있다. SN과 UE 사이의 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 인에이블하지만, MN은 사용자 평면 무결성 보호를 인에이블하는 것을 지원하지 않는 것으로 가정한다. 이 경우, MN과 UE 사이의 사용자 평면 보안 보호 방법은 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블한다. 다시 말해서, 최종적으로 결정된 사용자 평면 보안 보호 방법은 특정 상황에 따라 달라진다.
선택적으로, 단계(S406) 이후에, 상기 방법은 단계(S407)를 더 포함한다: UE 및 MN은 액세스 계층(access stratum, AS) 보안 모드 명령어(security mode command, SMC) 절차를 수행한다.
단계(S407)는 단계(S406) 이후에 반드시 수행될 필요는 없으며, 이중 연결 절차 전에 수행될 수 있으며, 즉 UE와 MN 사이의 시그널링 평면 보안이 활성화되어야 할 때 수행될 수 있음에 유의해야 한다.
AS SMC는 MN과 UE 사이의 것이면서 또한 MN에 의해 선택된 보안 알고리즘을 포함한다. 보안 알고리즘은 시그널링 평면 보안 알고리즘 및 사용자 평면 보안 알고리즘을 포함할 수 있다. 시그널링 평면 보안 알고리즘 및 사용자 평면 보안 알고리즘은 동일하거나 상이할 수 있다. 시그널링 평면 보안 알고리즘과 사용자 평면 보안 알고리즘이 동일하면, 전달된 선택된 보안 알고리즘이 제어 평면과 사용자 평면 모두에 사용된다. MN이 MN과 UE 사이의 사용자 평면 보안 보호 방법을 결정하면, MN은 시그널링 평면에 의해 사용된 보안 알고리즘에 기반하여 사용자 평면 보안 알고리즘을 결정할 수 있다.
선택적으로, 단계(S406) 이후에, 상기 방법은 단계(S408) 및 단계(S409)를 더 포함한다.
단계(S409a): MN은 제5 메시지를 AMF 또는 SMF에 송신하며, 여기서 제5 메시지는 제4 사용자 평면 보안 정책을 포함한다. 이에 대응하여, AMF 또는 SMF는 MN으로부터 제5 메시지를 수신한다.
MN이 제5 메시지를 SMF에 송신하면, 제5 메시지의 콘텐츠는 AMF를 이용하여 SMF로 포워딩(forwad)되어야 한다는 것을 이해해야 한다.
제5 메시지는 보안 결과(security result) 메시지일 수 있다. 이 메시지는 사용자 평면 보안 인에이블링 결과를 AMF 또는 SMF에 통지하는 데 사용된다.
MN이 제3 사용자 평면 보안 정책을 수신하면, 보안 결과 메시지에 포함된 제4 사용자 평면 보안 정책은 제3 사용자 평면 보안 정책이다. 제3 사용자 평면 보안 정책은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 지시할 수 있다.
MN이 제3 사용자 평면 보안 정책을 수신하지 않으면, MN은 SN과 UE 사이의 사용자 평면 보안 보호 방법에 따라 사용자 평면 보안 정책을 생성하고, 사용자 평면 보안 정책을 제4 사용자 평면 보안 정책으로서 사용할 수 있다. 제4 사용자 평면 보안 정책은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 지시할 수 있다.
제5 메시지에 포함된 제4 사용자 평면 보안 정책은 다르게는 MN에 의해 생성된 매핑된 사용자 평면 보안 정책일 수 있다. 매핑된 사용자 평면 보안 정책은 SN과 UE 사이의 사용자 평면 보안 보호 방법을 지시할 수 있다.
제5 메시지는 제4 사용자 평면 보안 정책에 대응하는 사용자 평면 정보를 더 포함하고, 사용자 평면 정보는 PDU 세션 식별자를 포함할 수 있고, 네트워크 슬라이스 식별자, QFI, 5QI, DRB ID 등 중 하나 이상을 더 포함한다.
단계(S409): AMF는 제6 메시지를 MN에 송신한다. 이에 대응하여, MN은 AMF로부터 제6 메시지를 수신한다.
제6 메시지는 제5 메시지에 응답하는 데 사용되며, 제6 메시지는 AMF 또는 SMF가 보안 결과 메시지를 수신한다는 것을 MN에 통지하는 데 사용되는 보안 결과(security result) 응답 메시지일 수 있다.
단계(S410): MN은 제3 메시지를 UE에 송신하며, 여기서 제3 메시지는 SN에 의해 결정된 보안 알고리즘 그리고 사용자 평면 보안 인에이블링 유형 지시 정보를 포함한다. 이에 대응하여, UE는 MN으로부터 제3 메시지를 수신한다.
제3 메시지는 RRC 연결 재구성 요청일 수 있다.
사용자 평면 보안 인에이블링 유형 지시 정보는 SN과 UE 사이의 것이면서 또한 SN에 의해 활성화되는 사용자 평면 보안 보호 방법을 지시하는데 사용된다.
선택적으로, 제3 메시지는 SN 카운터를 더 포함하고, SN 카운터는 UE에 의해Ksn을 생성하는 데 사용되며, Ksn은 MN에 의해 계산된 Ksn과 동일하다. UE는 Ksn에 기반하여 사용자 평면 데이터를 보호하기 위한 키를 생성할 수 있다. Ksn은 MN에 의해 계산된 Ksn과 동일하기 때문에, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 UE에 의해 생성되는 키는 사용자 평면 데이터를 보호하기 위한 키이면서 또한 SN에 의해 생성되는 키와 동일하므로, UE와 SN은 동일한 키를 이용하여 사용자 평면 데이터를 보호한다. SN과 UE 사이에 시그널링 평면 경로가 존재할 수 있으면, UE는 추가로, Ksn에 기반하여 시그널링 평면을 보호하기 위한 키를 생성할 수 있으며, 여기서 키는 시그널링 평면을 보호하기 위한 것이면서 또한 SN에 의해 생성된 키와 동일하다.
단계(S411): UE는 SN에 의해 결정된 보안 알고리즘을 이용하여 UE와 SN 사이의 사용자 평면 보안 보호 방법을 활성화한다.
UE가 제3 메시지를 수신하면, UE는 SN과 UE 사이의 것이면서 또한 SN에 의해 선택된 보안 알고리즘을 알 수 있고, UE는 보안 알고리즘을 이용하여 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행한다.
UE가 제3 메시지를 수신하면, UE는 SN과 UE 사이의 사용자 평면 보안 보호 방법을 알 수 있다. UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법을 활성화하며, 즉, 사용자 평면 보안 보호 방법에 따라 UE와 SN 사이의 사용자 평면 데이터를 보호한다. 이 경우, UE는 UE와 MN 사이의 사용자 평면 보안 보호 방법을 활성화하지 않는다.
선택적으로, 제3 메시지가 SN 카운터를 포함하면, UE는 SN 카운터에 기반하여 Ksn을 생성하고, Ksn은 MN에 의해 계산된 Ksn과 동일하다. UE는 Ksn에 기반하여 사용자 평면 데이터를 보호하기 위한 키를 생성할 수 있다. Ksn은 MN에 의해 계산된 Ksn과 동일하기 때문에, 사용자 평면 데이터를 보호하기 위한 것이면서 또한 UE에 의해 생성되는 키는 사용자 평면 데이터를 보호하기 위한 것이면서 SN에 의해 생성된 키와 동일하므로, UE와 SN은 동일한 키를 이용하여 사용자 평면 데이터를 보호한다. SN과 UE 사이에 시그널링 평면 경로가 존재할 수 있으면, UE는 추가로, Ksn에 기반하여 시그널링 평면을 보호하기 위한 키를 생성할 수 있으며, 여기서 키는 시그널링 평면을 보호하기 위한 것이면서 또한 SN에 의해 생성된 키와 동일하다.
단계(S412): UE는 제4 메시지를 MN에 송신한다. 이에 대응하여, MN은 UE로부터 제4 메시지를 수신한다.
제4 메시지는 RRC 연결 재구성 응답일 수 있고, RRC 연결 재구성 응답은 RRC 연결 재구성 요청에 응답하는 데 사용된다.
UE가 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 것은, UE가 UE와 SN 사이의 사용자 평면 보안 보호 방법, UE와 SN 사이의 보안 알고리즘, 및 사용자 평면 데이터를 보호하기 위한 키를 이용하여 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 것을 포함할 수 있다. UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행한다. 보안 보호를 수행하는 것은 암호화된 보호를 수행하는 것 및/또는 무결성 보호를 수행하는 것을 지칭한다. 보안 보호 해제는 무결성 보호의 암호 해독(decryption) 및/또는 검증(verification)을 지칭한다.
단계(S413): UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호가 수행된 후에 획득된 제1 상향링크 사용자 평면 데이터를 MN에 송신한다. 이에 대응하여, MN은 UE로부터 제1 상향링크 사용자 평면 데이터를 수신한다.
UE는 SN에 의해 활성화된 사용자 평면 보안 보호 방법, SN에 의해 선택된 보안 알고리즘, 및 사용자 평면 데이터를 보호하기 위해 생성된 키를 이용하여, 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 보안 보호 후 제1 상향링크 사용자 평면 데이터를 MN에 송신한다.
예를 들어, SN에 의해 활성화된 사용자 평면 보안 보호 방법이 사용자 평면 암호화된 보호를 인에이블하고 사용자 평면 무결성 보호를 디스에이블하고, SN에 의해 결정된 보안 알고리즘이 사용자 평면 무결성 보호 알고리즘을 사용하지 않고 사용자 평면 암호화된 보호 알고리즘 A를 사용하면, UE는 사용자 평면 암호화된 보호 알고리즘 A 및 사용자 평면 데이터를 보호하기 위해 생성된 키를 이용하여 상향링크 사용자 평면 데이터에 대해 암호화된 보호를 수행하고, 암호화된 보호 알고리즘 A 및 상기 키를 이용하여 암호화된 사용자 평면 데이터를 MN에 송신하며, 암호화된 보호 후에 획득된 상향링크 사용자 평면 데이터에 대한 무결성 보호를 수행하지 않는다.
단계(S414): MN은 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호가 수행된 후 획득된 제1 상향링크 사용자 평면 데이터를 SN에 송신한다. 이에 대응하여, SN은 MN으로부터 제1 상향링크 사용자 평면 데이터를 수신한다.
MN은 UE에 의해 수신된 보안 보호 후의 제1 상향링크 사용자 평면 데이터를 SN에 포워딩한다.
단계(S413) 및 단계(S414)에서, MN은 SN과 UE 사이의 사용자 평면 보안 보호 방법에 따라, UE에 의해 송신된 상향링크 사용자 평면 데이터를 SN에 포워딩하며, 즉, MN은 보안 보호 후 상향링크 사용자 평면 데이터를 투명하게 전송한다. UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법만을 활성화하고, UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터를 MN에 송신하기 때문에, 상향링크 사용자를 수신할 때, MN은 상향링크 사용자 평면 데이터만을 SN에 포워딩할 수 있다.
사용자 평면 보안 종료점은 SN이기 때문에, MN은 임의의 보안 작동(operation)을 수행하지 않고 수신된 데이터를 SN에 직접 포워딩한다.
단계(S415): UE는 보안 보호가 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 수행된 후 획득된 제2 상향링크 사용자 평면 데이터를 SN에 송신한다. 이에 대응하여, SN은 UE로부터 제2 상향링크 사용자 평면 데이터를 수신한다.
UE는 SN에 의해 활성화된 사용자 평면 보안 보호 방법, SN에 의해 선택된 보안 알고리즘, 및 사용자 평면 데이터를 보호하기 위해 생성된 키를 이용하여, 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 보안 보호 후 제2 상향링크 사용자 평면 데이터를 SN에 송신한다.
단계(S416): SN은 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행한다.
SN이 MN에 의해 포워딩된 상향링크 사용자 평면 데이터를 수신할 때, SN이 SN에 의해 활성화된 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행하는 것은: SN에 의해 활성화된 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 무결성 보호 검증을 수행하는 것, 및 SN에 의해 선택된 보안 알고리즘 및 사용자 평면 데이터를 보호하기 위해 생성된 키에 따라 상향링크 사용자 평면 데이터를 암호 해독하는 것을 포함한다.
SN이 UE로부터 상향링크 사용자 평면 데이터를 수신할 때, SN이 SN에 의해 활성화된 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행하는 것은: SN에 의해 활성화된 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 무결성 보호 검증을 수행하는 것, 및 SN에 의해 선택된 보안 알고리즘 및 사용자 평면 데이터를 보호하기 위해 생성된 키에 따라 상향링크 사용자 평면 데이터를 암호 해독하는 것을 포함한다.
UE에 의해 송신된 상향링크 사용자 평면 데이터에 대해 암호화된 보호가 먼저 수행된 다음 무결성 보호가 수행되면, SN이 상향링크 사용자 평면 데이터를 수신할 때, SN은 먼저 상향링크 사용자 평면 데이터에 대한 무결성 보호 검증을 수행한 다음, 암호 해독한다. UE에 의해 송신된 상향링크 사용자 평면 데이터에 대해 무결성 보호가 먼저 수행된 다음 암호화된 보호가 수행되면, SN이 상향링크 사용자 평면 데이터를 수신할 때, SN은 먼저 상향링크 사용자 평면 데이터에 대한 암호 해독을 한 다음, 무결성 보호 검증을 수행한다.
단계(S417): SN은 보안 보호 해제 후 상향링크 사용자 평면 데이터를 UPF에 송신한다.
SN은 암호 해독 및 무결성 보호 검증 후 상향링크 사용자 평면 데이터를 UPF에 송신하므로, UPF는 상향링크 사용자 평면 데이터를 대응하는 데이터 네트워크에 송신한다.
단계(S413) 내지 단계(S417)는 상향링크 사용자 평면 데이터의 보안 보호를 위한 것이다. 하향링크 사용자 평면 데이터의 경우, SN은 UPF로부터 하향링크 사용자 평면 데이터를 수신하고, SN과 UE 사이의 사용자 평면 보안 보호 방법, SN과 UE 사이의 보안 알고리즘 그리고 사용자 평면 데이터를 보호하기 위해 생성된 키를 이용하여 하향링크 사용자 평면 데이터에 대한 보안 보호를 수행한다. 하나의 연결(connection)을 통해, SN은 보안 보호 후 하향링크 사용자 평면 데이터를 UE에 직접 송신한다. 다른 연결을 통해, SN은 보안 보호 후 하향링크 사용자 평면 데이터를 MN을 이용하여 UE에 송신한다. 보안 보호 후 하향링크 사용자 평면 데이터를 수신할 때, UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법에 따라 하향링크 사용자 평면 데이터에 대한 보안 보호 해제를 수행하므로, UE는 하향링크 사용자 평면 데이터를 획득한다.
도 4a 및 도 4b에 도시된 실시 예에서, MN은 사용자 평면 보안 종료점이 SN 상에 있는 것으로 결정하고, SN은 SN과 UE 사이의 사용자 평면 보안 보호 방법 및 보안 알고리즘을 활성화하고 MN에 통지한다. MN은 SN에 의해 활성화된 사용자 평면 보안 보호 방법 및 SN에 의해 선택된 보안 알고리즘을 UE에 통지하고, UE는 사용자 평면 보안 보호 방법 및 보안 알고리즘에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하여, UE와 SN 사이의 사용자 평면 보안 보호를 구현하며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성과 무결성을 보장한다.
선택적 실시 예에서, SN이 gNB이고, SN과 UE 사이에 시그널링 평면 경로가 있을 수 있으면, SN이 SN과 UE 사이의 사용자 평면 보안 보호 방법 및 보안 알고리즘을 결정할 때, SN은 RRC 연결 재구성 메시지를 이용하여 사용자 평면 인에이블링 유형 지시 정보 및 SN에 의해 선택된 보안 알고리즘을 UE에 직접 송신할 수 있다. UE가 SN으로부터 RRC 연결 재구성 메시지를 수신하면, UE는 SN에 의해 활성화된 사용자 평면 보안 보호 방법 및 선택된 보안 알고리즘에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하고, 상향링크 사용자 평면 데이터를 SN에 송신한다.
본 출원의 실시 예가 도 3b에 도시된 이중 연결 네트워크 아키텍처의 개략도에 적용되는 예를 이용하여, 도 5a 및 도 5b는 본 출원의 제2 실시 예에 따른 이중 연결 통신을 위한 방법의 개략적인 흐름도이다. 이 실시 예에서, 설명을 위해, UE는 사용자 단말의 예로서 사용되며, AMF는 액세스 관리 네트워크 엘리먼트의 예로서 사용되고, SMF는 세션 관리 네트워크 엘리먼트의 예로서 사용되며, UPF는 사용자 평면 네트워크 엘리먼트의 예로서 사용된다. 상기 방법은 다음 단계들을 포함할 수 있지만, 이에 제한되지는 않는다.
단계(S501): MN은 제1 사용자 평면 보안 정책을 획득한다.
단계(S501)의 구현 프로세스의 경우, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S401)의 구체적인 설명을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
단계(S502): 사용자 평면 보안 종료점이 MN 상에 있으면, MN은 SN에 대한 Ksn을 생성할 필요가 없다.
사용자 평면 보안 종료점이 MN 상에 있는 경우, MN은 사용자 평면 데이터에 대한 보안 보호를 수행한다. 이 경우, MN은 SN에 대한 Ksn을 생성할 필요가 없으며, 즉, Kmn을 이용하여 Ksn을 계산할 필요가 없다.
MN이 ng-eNB이고, 사용자 평면 보안 보호 방법이 ng-eNB 상에 고정적으로 구성될 수 있으면, MN은 MN 상에 구성된 사용자 평면 보안 보호 방법을 MN과 UE 사이의 사용자 평면 보안 보호 방법으로 결정할 수 있으며, MN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화한다.
선택적으로, 단계(S502) 이후에, 상기 방법은 단계(S503)를 더 포함한다: MN은 제2 사용자 평면 보안 정책을 생성한다.
단계(S503)의 구현 프로세스의 경우, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S402)의 구체적인 설명을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
MN이 생성된 제2 사용자 평면 보안 정책에 기반하여 MN과 UE 사이의 사용자 평면 보안 보호를 결정할 수 있다는 것은, 도 4a 및 도 4b에 도시된 실시 예에서 SN이 생성된 제2 사용자 평면 보안 정책에 기반하여 SN과 UE 사이의 사용자 평면 보안 보호를 결정하는 것과 유사할 수 있다. MN이 MN과 UE 사이의 사용자 평면 보안 보호 방법을 결정하면, MN은 MN과 UE 사이의 사용자 평면 보안 보호 방법을 활성화한다.
단계(S504): MN은 제1 메시지를 SN에 송신한다. 이에 대응하여, SN은 MN으로부터 제1 메시지를 수신한다.
단계(S403)와의 차이점은, 단계(S504)에서, 제1 메시지는 사용자 평면 보안 정책을 운반하지 않으며, MN이 Ksn을 생성하지 않기 때문에 제1 메시지는 Ksn을 운반하지 않는다는 것이다. 단계(S504)에서의 제1 메시지는 PDU 세션 식별자를 운반할 수 있고, 다른 사용자 평면 정보, 예를 들어 DRB 식별자를 추가로 운반할 수 있다.
단계(S505): SN은 제2 메시지를 MN에 송신한다. 이에 대응하여, MN은 SN으로부터 제2 메시지를 수신한다.
선택적으로, 단계(S505) 이후에, 상기 방법은 단계(S506)를 더 포함한다: UE 및 MN은 AS SMC 절차를 수행한다.
단계(S506)의 구현 프로세스의 경우, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S407)의 구체적인 설명을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
선택적으로, 단계(S505) 이후에, 상기 방법은 단계(S507) 및 단계(S508)를 더 포함한다.
단계(S507): MN은 제5 메시지를 AMF에 송신하고, 여기서 제5 메시지는 제3 사용자 평면 보안 정책을 포함한다. 이에 따라, AMF는 MN으로부터 제5 메시지를 수신한다.
제5 메시지는 보안 결과 메시지일 수 있다.
MN이 제2 사용자 평면 보안 정책을 생성하면, 보안 결과 메시지에서 운반된 제3 사용자 평면 보안 정책은 MN에 의해 생성된 제2 사용자 평면 보안 정책이다. MN이 제2 사용자 평면 보안 정책을 생성하지 않으면, N2 요청에서 운반된 제3 사용자 평면 보안 정책은 획득된 제1 사용자 평면 보안 정책이다.
단계(S508): AMF는 제6 메시지를 MN에 송신한다. 이에 대응하여, MN은 AMF로부터 제6 메시지를 수신한다.
단계(S509): MN은 제3 메시지를 UE에 송신하며, 여기서 제3 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함한다. 이에 대응하여, UE는 MN으로부터 제3 메시지를 수신한다.
제3 메시지는 RRC 연결 재구성 요청일 수 있다.
사용자 평면 보안 인에이블링 유형 지시 정보는 MN과 UE 사이의 것이면서 또한 MN에 의해 활성화되는 사용자 평면 보안 보호 방법을 지시하는데 사용된다.
단계(S510): UE는 보안 알고리즘을 결정하고, UE와 MN 사이의 사용자 평면 보안 보호 방법을 활성화한다.
UE는 AS SMC로부터 MN과 UE 사이의 보안 알고리즘을 알 수 있다.
UE가 제3 메시지를 수신하면, UE는 MN과 UE 사이의 사용자 평면 보안 보호 방법을 알 수 있다. UE는 UE와 MN 사이의 사용자 평면 보안 보호 방법을 활성화하며, 즉, 사용자 평면 보안 보호 방법에 따라 UE와 MN 사이의 사용자 평면 데이터에 대한 보안 보호를 수행한다. 이 경우, UE는 UE와 SN 사이의 사용자 평면 보안 보호 방법을 활성화하지 않는다.
단계(S511): UE는 제4 메시지를 MN에 송신한다. 이에 대응하여, MN은 UE로부터 제4 메시지를 수신한다.
UE가 UE와 MN 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행한다는 것은, UE가 UE와 MN 사이의 사용자 평면 보안 보호 방법, UE와 MN 사이의 보안 알고리즘 그리고 사용자 평면 데이터를 보호하기 위한 키를 이용하여, 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하는 것을 포함할 수 있다.
단계(S512): UE는 UE와 MN 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호가 수행된 후에 획득된 제1 상향링크 사용자 평면 데이터를 SN에 송신한다. 이에 대응하여, SN은 UE로부터 제1 상향링크 사용자 평면 데이터를 수신한다.
단계(S513): SN은 UE와 MN 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호가 수행된 후 획득된 제1 상향링크 사용자 평면 데이터를 MN에 송신한다. 이에 대응하여, MN은 SN으로부터 제1 상향링크 사용자 평면 데이터를 수신한다.
단계(S512) 및 단계(S513)에서, SN은 MN과 UE 사이의 사용자 평면 보안 보호 방법에 따라, UE에 의해 송신된 상향링크 사용자 평면 데이터를 MN에 포워딩하며, 즉 SN이 UE가 보안 보호를 수행한 후에 획득된 상향링크 사용자 평면 데이터를 투명하게 전송한다.
단계(S514): UE는 UE와 MN 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호가 수행된 후 획득된 제2 상향링크 사용자 평면 데이터를 MN에 송신한다. 이에 대응하여, MN은 UE로부터 제2 상향링크 사용자 평면 데이터를 수신한다.
단계(S515): MN은 상향링크 사용자 평면 데이터에 대해 보안 보호 해제를 수행한다.
단계(S516): MN은 보안 보호 해제 후 상향링크 사용자 평면 데이터를 UPF에 송신한다.
도 5a 및 도 5b에 도시된 실시 예에서, MN은 사용자 평면 보안 종료점이 MN 상에 있는 것으로 결정하고, MN은 MN과 UE 사이의 사용자 평면 보안 보호 방법을 MN에 통지한다. MN은 UE와 MN 사이의 사용자 평면 보안 보호 방법을 UE에 통지하고, UE는 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하여, UE와 MN 사이의 사용자 평면 보안 보호를 구현할 수 있으며, 이에 따라 5G 이중 연결 시나리오에서 사용자 평면 데이터 전송의 기밀성과 무결성을 보장한다.
전술한 내용은 본 출원의 실시 예에서의 방법을 상세히 설명한다. 다음은 본 출원의 실시 예에서의 장치를 제공한다.
도 6은 본 출원의 실시 예에 따른 이중 연결 통신을 위한 장치의 논리적 구조의 개략도이다. 이중 연결 통신을 위한 장치(60)는 트랜시버 유닛(601) 및 처리 유닛(602)을 포함할 수 있다. 이중 연결 통신을 위한 장치(60)는 마스터 노드일 수도 있고, 또는 보조 노드일 수 있으며, 또는 사용자 단말일 수 있다.
이중 연결 통신을 위한 장치(60)가 마스터 노드인 경우:
트랜시버 유닛(601)은 제1 메시지를 보조 노드에 송신하도록 - 제1 메시지는 사용자 평면 보안 정책을 포함하고, 사용자 평면 보호 정책은 보조 노드에 의해 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 데 사용됨 - 구성되고; 추가로, 보조 노드로부터 제2 메시지를 수신하도록 - 제2 메시지는 사용자 평면 인에이블링 유형 지시 정보를 포함하고, 사용자 평면 인에이블링 유형 지시 정보는 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되며; 그리고 추가로 제3 메시지를 사용자 단말에 송신하도록 - 제3 메시지는 사용자 평면 인에이블링 유형 지시 정보를 포함함 - 구성된다. 마스터 노드는 제2 사용자 평면 보안 정책을 생성하도록 구성된 처리 유닛을 더 포함할 수 있다.
가능한 구현에서, 처리 유닛(602)은, 보조 노드가 사용자 평면 무결성 보호를 지원하지 않을 때, 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 "요구됨"이 아닌 것으로 결정하도록 구성된다.
가능한 구현에서, 처리 유닛(602)은 추가로, 사용자 단말의 제1 사용자 평면 보안 정책을 획득하도록 구성된다.
가능한 구현에서, 처리 유닛(602)은 추가로, 사용자 단말의 제1 사용자 평면 보안 정책에 따라 제2 사용자 평면 보안 정책을 생성하도록 구성된다.
가능한 구현에서, 처리 유닛(602)은 추가로, 제2 사용자 평면 보안 정책에 따라 마스터 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하고; 사용자 평면 보안 종료점이 보조 노드 상에 있는 경우 마스터 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는 것을 스킵(skip)하도록 구성된다.
가능한 구현에서, 트랜시버 유닛(601)은 추가로, 사용자 단말로부터 상향링크 사용자 평면 데이터를 수신하고 - 상향링크 사용자 평면 데이터는 사용자 단말이 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 데이터임 -, 그리고 상향링크 사용자 평면 데이터를 보조 노드에 송신하도록 구성된다.
이중 연결 통신을 위한 장치(60)가 마스터 노드일 때, 도 4a 및 도 4b에 도시된 방법 실시 예에서 MN의 기능을 구현하는 것 이외에, 이중 연결 통신을 위한 장치(60)는 추가로 도 5a 및 도 5b에 도시된 실시 예에서의 MN의 기능을 구현할 수 있다. 이중 연결 통신을 위한 장치(60)에서 각 유닛에 의해 수행되는 상세한 프로세스에 대해서는 전술한 방법 실시 예에서 MN에 의해 수행되는 단계들을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
이중 연결 통신을 위한 장치(60)가 보조 노드인 경우:
트랜시버 유닛(601)은 마스터 노드로부터 제1 메시지를 수신하도록 구성되며, 여기서 제1 메시지는 사용자 평면 보안 정책을 포함하고;
처리 유닛(602)은 사용자 평면 보안 정책에 따라 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성되며;
처리 유닛(602)은 추가로, 보조 노드와 사용자 단말 사이에서 사용자 평면 보안 보호 방법을 활성화하도록 구성되고; 그리고
트랜시버 유닛(601)은 추가로, 제2 메시지를 마스터 노드에 송신하도록 구성되며, 여기서 제2 메시지는 사용자 평면 인에이블링 유형 지시 정보를 포함하고, 사용자 평면 인에이블링 유형 지시 정보는 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용된다.
가능한 구현에서, 사용자 평면 보안 정책은 사용자 단말의 제1 사용자 평면 보안 정책이며; 처리 유닛(602)이 사용자 평면 보안 정책에 따라 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성될 때, 처리 유닛(601)은 구체적으로, 제1 사용자 평면 보안 정책에 따라 제3 사용자 평면 보안 정책을 생성하고, 제3 사용자 평면 보안 정책에 따라 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성된다.
가능한 구현에서, 사용자 평면 보안 정책은 제1 사용자 평면 보안 정책에 따라 마스터 노드에 의해 생성된 제2 사용자 평면 보안 정책이며; 처리 유닛(602)이 사용자 평면 보안 정책에 따라 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성될 때, 처리 유닛(602)은 구체적으로 제2 사용자 평면 보안 정책에 따라 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성된다.
가능한 구현에서, 트랜시버 유닛(601)은 추가로, 마스터 노드와 사용자 단말로부터 각각 제1 상향링크 사용자 평면 데이터 및 제2 상향링크 사용자 평면 데이터를 수신하도록 구성되며, 여기서 제1 상향링크 사용자 평면 데이터 및 제2 사용자 평면 데이터는 사용자 단말이 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 사용자 평면 데이터이며; 처리 유닛(602)은 추가로, 제1 상향링크 사용자 평면 데이터 및 제2 사용자 평면 데이터에 대해 보안 보호 해제를 수행하여 보안 보호 해제 후의 사용자 평면 데이터를 획득하도록 구성되며; 트랜시버 유닛(601)은 추가로, 보안 보호 해제 후 사용자 평면 데이터를 사용자 평면 네트워크 엘리먼트에 송신하도록 구성된다.
이중 연결 통신을 위한 장치(60)가 보조 노드일 때, 도 4a 및 도 4b에 도시된 방법 실시 예에서 SN의 기능을 구현하는 것 이외에, 이중 연결 통신을 위한 장치(60)는 도 5a 및 도 5b에 도시된 실시 예에서의 SN의 기능을 추가로 구현할 수 있다. 이중 연결 통신을 위한 장치(60)에서 각 유닛에 의해 수행되는 상세한 프로세스에 대해서는 전술한 방법 실시 예에서 SN에 의해 수행되는 단계들을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
이중 연결 통신을 위한 장치(60)가 사용자 단말인 경우:
트랜시버 유닛(601)은 마스터 노드로부터 제3 메시지를 수신하도록 구성되며, 여기서 제3 메시지는 사용자 평면 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘을 포함하고, 사용자 평면 인에이블링 유형 지시 정보는 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용되며;
처리 유닛(602)은 사용자 평면 보안 인에이블링 유형 지시 정보 및 보조 노드에 의해 선택된 보안 알고리즘에 따라 사용자 단말과 보조 노드 사이에서 사용자 평면 보안 보호 방법을 활성화하도록 구성되고; 그리고
처리 유닛(602)은 추가로, 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대한 보안 보호를 수행하도록 구성된다.
가능한 구현에서, 처리 유닛(602)이 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 상향링크 사용자 평면 데이터에 대해 보안 보호를 수행하도록 구성될 때, 처리 유닛(602)은 구체적으로 트랜시버 유닛(601)을 제어하여, 제1 상향링크 사용자 평면 데이터 및 제2 상향링크 사용자 평면 데이터를 각각 보조 노드 및 마스터 노드에 송신하며, 여기서 제1 상향링크 사용자 평면 데이터 및 제2 사용자 평면 데이터는 사용자 단말이 사용자 단말과 보조 노드 사이의 사용자 평면 보안 보호 방법에 따라 보안 보호를 수행한 후에 획득된 사용자 평면 데이터이다.
이중 연결 통신을 위한 장치(60)가 사용자 단말일 때, 도 4a 및 도 4b에 도시된 방법 실시 예에서의 UE의 기능을 구현하는 것 이외에, 이중 연결 통신을 위한 장치(60)는 추가로 도 5a 및 도 5b에 도시된 실시 예에서의 UE의 기능을 구현할 수 있다. 이중 연결 통신을 위한 장치(60)에서 각 유닛에 의해 수행되는 상세한 프로세스에 대해서는 전술한 방법 실시 예에서 UE에 의해 수행되는 단계들을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
도 7은 본 출원의 실시 예에 따른 이중 연결 통신을 위한 장치의 물리적 구조의 단순화된 개략도이다. 이중 연결 통신을 위한 장치(70)는 마스터 노드일 도 있고, 또는 보조 노드일 수 있으며, 또는 사용자 단말일 수 있다.
이중 연결 통신을 위한 장치(70)는 트랜시버(701), 프로세서(702) 및 메모리(703)를 포함한다. 트랜시버(701), 프로세서(702) 및 메모리(703)는 버스(704)를 이용하여 서로 연결될 수 있거나 또는 다른 방식으로 서로 연결될 수 있다. 도 6에 도시된 트랜시버 유닛(601)에 의해 구현되는 관련 기능은 트랜시버(701)에 의해 구현될 수 있다. 도 6에 도시된 처리 유닛(602)에 의해 구현되는 관련 기능은 하나 이상의 프로세서(702)를 이용하여 구현될 수 있다.
메모리(703)는 랜덤 액세스 메모리(random access memory, RAM), 또는 판독 전용 메모리(read-only memory, ROM), 또는 소거 가능 프로그램 가능 판독 전용 메모리(erasable programmable read only memory, EPROM) 또는 휴대용 판독 전용 메모리(compact disc read-only memory, CD-ROM)를 포함하지만 이에 제한되지 않는다. 메모리(703)는 관련 명령(instruction) 및 관련 데이터를 위해 사용된다.
트랜시버(701)는 데이터 및/또는 시그널링을 송신하고, 데이터 및/또는 시그널링을 수신하도록 구성된다.
이중 연결 통신을 위한 장치(70)가 도 4a 및 도 4b 그리고 5a 및 도 5b에 도시된 실시 예에서의 MN이면, 트랜시버(701)는 UE, SN, AMF 및 UPF와 통신하고, 예를 들어 도 4a 및 도 4b에 도시된 실시예에서의 단계(S403), 단계(S406), 단계(S407), 단계(S408), 단계(S409), 단계(S410), 단계(S413) 및 단계(414)를 수행하고, 도 5a 및 도 5b에 도시된 실시 예에서의 단계(S504), 단계(S505), 단계(S506), 단계(S507), 단계(S508), 단계(S509), 단계(S511), 단계(S513), 단계(S514) 및 단계(S516)를 수행하도록 구성될 수 있다. 사용자 평면 보안 종료점이 MN 상에 있을 때, 트랜시버(701)는 UPF와의 사용자 평면 데이터 전송을 수행한다는 점에 유의해야 한다.
통신 장치(70)가 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예에서의 SN이면, 트랜시버(701)는 MN, UE 및 UPF와 통신하고, 예를 들어, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S403), 단계(S406), 단계(S414), 단계(S415) 및 단계(S417)을 수행하고, 도 5a 및 도 5b에 도시된 실시 예에서의 단계(S504), 단계(S505), 단계(S512) 및 단계(S513)을 수행하도록 구성될 수 있다. 사용자 평면 보안 종료점이 SN 상에 있을 때, 트랜시버(701)는 UPF와의 사용자 평면 데이터 전송을 수행한다는 점에 유의해야 한다.
통신 장치(70)가 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예에서의 UE이면, 트랜시버(701)는 MN 및 SN과 통신하고, 예를 들어, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S407), 단계(S410), 단계(S412), 단계(S413) 및 단계(S415)를 수행하고, 도 5a 및 도 5b에 도시된 실시 예에서의 단계(S506), 단계(S509), 단계(S511), 단계(S512) 및 단계(S514)를 수행하도록 구성될 수 있다.
프로세서(702)는 하나 이상의 프로세서를 포함할 수 있고, 예를 들어 하나 이상의 중앙 처리 유닛(central processing unit, CPU)을 포함한다. 프로세서(702)가 하나의 CPU일 때, CPU는 단일 코어 CPU일 수 있거나 또는 멀티 코어 CPU일 수 있다.
통신 장치(70)가 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예에서의 MN이면, 프로세서(702)는 MN을 제어하는 작동을 수행하고, 예를 들어 도 4a 및 도 4b 도시된 실시 예에서의 단계(S401) 및 단계(S402)를 수행하고, 도 5a 및 도 5b에 도시된 실시 예에서의 단계(S501), 단계(S502), 단계(S503) 및 단계(S515)를 수행하도록 구성될 수 있다.
통신 장치(70)가 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예에서의 SN이면, 프로세서(702)는 SN을 제어하는 작동을 수행하고, 예를 들어, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S404), 단계(S405) 및 단계(S416)을 수행하도록 구성될 수 있다.
통신 장치(70)가 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예에서의 UE이면, 프로세서(702)는 MN을 제어하는 작동을 수행하고, 예를 들어, 도 4a 및 도 4b에 도시된 실시 예에서의 단계(S411)를 수행하고, 도 5a 및 도 5b에 도시된 실시 예에서의 단계(S510)를 수행하도록 구성될 수 있다.
메모리(703)는 이중 연결 통신을 위한 장치(70)의 프로그램 코드 및 데이터를 저장하도록 구성된다.
프로세서(702) 및 트랜시버(701)에 의해 수행되는 단계들에 대한 세부 사항에 대해서는 도 4a 및 도 4b 그리고 도 5a 및 도 5b에 도시된 실시 예들의 설명을 참조한다. 세부 사항은 여기서 다시 설명하지 않는다.
도 7은 이중 연결 통신을 위한 장치의 단순화된 설계만을 도시한다는 것을 이해할 수 있다. 실제 애플리케이션 동안, 이중 연결 통신을 위한 장치는 임의의 수량의 트랜시버, 프로세서, 컨트롤러, 메모리 또는 통신 유닛을 포함하지만 이에 제한되지 않는 다른 필요한 구성 엘리먼트를 추가로 개별적으로 포함할 수 있다. 본 출원을 구현할 수 있은 모든 디바이스는 본 출원의 보호 범위에 속한다.
본 출원의 실시 예는 또한 이중 연결 통신을 위한 시스템을 제공한다. 이중 연결 통신을 위한 시스템은 마스터 노드 및 보조 노드를 포함할 수 있다. 마스터 노드 및 보조 노드는 도 4a 및 도 4b에 도시된 실시 예에서의 MN 및 SN의 기능을 구현하도록 구성될 수 있으며, 추가로, 도 5a 및 도 5b에 도시된 실시 예에서의 MN 및 SN의 기능을 구현하도록 구성될 수 있다.
이중 연결 통신을 위한 시스템은 사용자 단말을 더 포함할 수 있다. 사용자 단말은 도 4a 및 도 4b에 도시된 실시 예에서의 UE의 기능을 구현하도록 구성될 수 있으며, 추가로, 도 5a 및 도 5b에 도시된 실시 예에서의 UE의 기능을 구현하도록 구성될 수 있다.
이중 연결 통신을 위한 시스템은 사용자 평면 네트워크 엘리먼트를 더 포함할 수 있다. 사용자 평면 네트워크 엘리먼트는, 도 4a 및 도 4b에 도시된 실시 예에서의 UPF의 기능을 구현하기 위해, 보조 노드와 상호 작용하고, 보조 노드로부터 상향링크 사용자 평면 데이터를 수신하며, 하향링크 사용자 평면 데이터를 보조 노드로 송신하도록 구성된다. 사용자 평면 네트워크 엘리먼트는, 도 5a 및 도 5b에 도시된 실시 예에서의 UPF의 기능을 구현하기 위해, 마스터 노드와 상호 작용하고, 마스터 노드로부터 상향링크 사용자 평면 데이터를 수신하며, 하향링크 사용자 평면 데이터를 마스터 노드에 송신하도록 구성된다.
이중 연결 통신을 위한 시스템은 액세스 관리 네트워크 엘리먼트를 더 포함할 수 있다. 액세스 관리 네트워크 엘리먼트는 도 4a 및 도 4b에 도시된 실시 예에서의 AMF의 기능을 구현하기 위해 마스터 노드와 상호 작용하도록 구성될 수 있으며, 추가로, 도 5a 및 도 5b에 도시된 실시 예에서의 AMF의 기능을 구현할 수 있다.
당업자는 실시 예에서의 방법의 모든 또는 일부 프로세스가 관련 하드웨어를 명령하는 컴퓨터 프로그램에 의해 구현될 수 있음을 이해할 수 있다. 프로그램은 컴퓨터가 판독 가능한 저장 매체에 저장될 수 있다. 프로그램이 실행될 때, 실시 예에서의 방법의 프로세스가 수행된다. 전술한 저장 매체는 ROM 또는 랜덤 액세스 메모리(RAM), 자기 디스크 또는 광 디스크 등과 같은 프로그램 코드를 저장할 수 있은 임의의 매체를 포함한다. 따라서, 본 출원의 다른 실시 예는 컴퓨터가 판독 가능한 저장 매체를 제공한다. 컴퓨터가 판독 가능한 저장 매체는 명령을 저장한다. 명령이 컴퓨터 상에서 실행될 때, 컴퓨터는 전술한 측면에서의 방법을 수행할 수 있다.
본 출원의 다른 실시 예는 또한 명령을 포함하는 컴퓨터 프로그램 제품을 제공한다. 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 전술한 측면에서의 방법을 수행할 수 있다.
당업자는 본 출원에 개시된 실시 예에서 설명된 예와 조합하여, 유닛 및 알고리즘 단계가 전자 하드웨어 또는 컴퓨터 소프트웨어와 전자 하드웨어의 조합에 의해 구현될 수 있음을 인식할 수 있다. 기능이 하드웨어 또는 소프트웨어에 의해 수행되는지 여부는 특정 애플리케이션 및 기술적 솔루션의 설계 제약 조건에 따라 달라진다. 당업자는 각각의 특정 애플리케이션에 대해 설명된 기능을 구현하기 위해 상이한 방법을 사용할 수 있지만, 구현이 본 출원의 범위를 넘어서는 것으로 간주되어서는 안된다.
편리하고 간단한 설명의 목적으로, 전술한 시스템, 장치 및 유닛의 상세한 작업 프로세스에 대해서는 전술한 방법 실시 예에서의 대응하는 프로세스를 참조한다는 것이 당업자에 의해 명확하게 이해될 수 있으며, 세부 사항은 여기서 다시 설명하지 않는다.
본 출원에 제공된 여러 실시 예에서, 개시된 시스템, 장치 및 방법은 다른 방식으로 구현될 수 있음을 이해해야 한다. 예를 들어, 설명된 장치 실시 예는 단지 예일 뿐이다. 예를 들어, 유닛 분할은 단지 논리적 기능 분할일 뿐이며 실제 구현에서 다른 분할일 수 있다. 예를 들어, 복수의 유닛 또는 구성 요소가 다른 시스템에 조합되거나(combined) 또는 통합될 수 있거나, 또는 일부 특징이 무시되거나 수행되지 않을 수 있다. 또한, 디스플레이되거나 논의된 상호 결합(cpupling) 또는 직접 결합 또는 통신 연결은 일부 인터페이스를 이용하여 구현될 수 있다. 장치 또는 유닛 사이의 간접 결합 또는 통신 연결은 전자적, 기계적 또는 다른 형태로 구현될 수 있다.
또한, 본 출원의 실시 예에서의 기능 유닛은 하나의 처리 유닛에 통합될 수 있거나, 또는 각각의 유닛이 물리적으로 단독으로 존재할 수 있거나, 또는 둘 이상의 유닛이 하나의 유닛에 통합된다.

Claims (69)

  1. 이중 연결 통신(dual-connectivity communication)을 위한 방법으로서,
    마스터 노드(master Node)가, 제1 메시지를 보조 노드(secondary Node)에 송신하는 단계 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함하고, 상기 제2 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호(security protection) 방법을 결정하는 데 사용됨 -;
    상기 마스터 노드가, 상기 보조 노드로부터 제2 메시지를 수신하는 단계 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시(enabling type indication) 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -; 및
    상기 마스터 노드가, 제3 메시지를 상기 사용자 단말에 송신하는 단계 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 -
    를 포함하고,
    상기 마스터 노드가, 제1 메시지를 보조 노드에 송신하는 단계 이전에,
    상기 방법은,
    상기 보조 노드가 사용자 평면 무결성 보호(integrity protection)를 지원하지 않으면, 상기 마스터 노드가, 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨(required)”이 아닌 것으로 결정하는 단계
    를 더 포함하는 방법.
  2. 제1항에 있어서,
    상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하고, 상기 제3 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하는, 방법.
  3. 제1항에 있어서,
    상기 마스터 노드가, 제1 메시지를 보조 노드에 송신하는 단계 이전에,
    상기 방법은,
    상기 마스터 노드가, 상기 사용자 단말의 제1 사용자 평면 보안 정책을 획득하는 단계
    를 더 포함하는 방법.
  4. 제3항에 있어서,
    상기 제2 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책인, 방법.
  5. 제3항에 있어서,
    상기 마스터 노드가, 제1 메시지를 보조 노드에 송신하는 단계 이전에,
    상기 방법은,
    상기 마스터 노드가, 상기 사용자 단말의 제1 사용자 평면 보안 정책에 따라 상기 제2 사용자 평면 보안 정책을 생성하는 단계
    를 더 포함하는 방법.
  6. 제5항에 있어서,
    상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 제1 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨”일 때, 상기 마스터 노드에 의해 생성된 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 “필요하지 않음(not needed)”인, 방법.
  7. 제5항에 있어서,
    상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 제1 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “선호됨(preferred)”일 때, 상기 마스터 노드에 의해 생성된 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 “필요하지 않음”인, 방법.
  8. 제5항에 있어서,
    상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 제1 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “필요하지 않음”일 때, 상기 마스터 노드에 의해 생성된 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보는 “필요하지 않음”인, 방법.
  9. 이중 연결 통신을 위한 방법으로서,
    보조 노드가, 마스터 노드로부터 제1 메시지를 수신하는 단계 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함함 -;
    상기 보조 노드가, 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 단계;
    상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하는(activating) 단계; 및
    상기 보조 노드가, 제2 메시지를 상기 마스터 노드에 송신하는 단계 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 -
    를 포함하고,
    상기 제2 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책이고, 상기 제1 사용자 평면 보안 정책은 세션 관리 네트워크 엘리먼트로부터의 것이며, 그리고,
    상기 보조 노드가, 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 단계는,
    상기 보조 노드가, 상기 제1 사용자 평면 보안 정책에 따라 제3 사용자 평면 보안 정책을 생성하는 단계; 및
    상기 보조 노드가, 상기 제3 사용자 평면 보안 정책에 따라 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 단계
    를 포함하는, 방법.
  10. 제9항에 있어서,
    상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하는, 방법.
  11. 제9항에 있어서,
    상기 보조 노드가, 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 단계는,
    상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “선호됨”일 때, 상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이에서 사용자 평면 무결성 보호를 인에이블(enable)할지를 판정하는 단계
    를 포함하는, 방법.
  12. 제11항에 있어서,
    상기 보조 노드가, 사용자 평면 무결성 보호를 인에이블할지를 판정하는 것은,
    상기 보조 노드가 상기 사용자 평면 무결성 보호를 지원하지 않으면, 상기 보조 노드가, 상기 보조 노드와 상기 사용자 단말 사이에서 상기 사용자 평면 무결성 보호를 인에이블하지 않기로 결정하는 단계
    를 포함하는, 방법.
  13. 마스터 노드로서,
    트랜시버 유닛
    을 포함하고,
    상기 트랜시버 유닛은 제1 메시지를 보조 노드에 송신하도록 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함하고, 상기 제2 사용자 평면 보안 정책은 상기 보조 노드에 의해 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 데 사용됨 - 구성되고,
    상기 트랜시버 유닛이 추가로, 상기 보조 노드로부터 제2 메시지를 수신하도록 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되며, 그리고
    상기 트랜시버 유닛은 추가로, 제3 메시지를 상기 사용자 단말에 송신하도록 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 구성되고,
    상기 마스터 노드는 처리 유닛을 더 포함하고,
    상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 처리 유닛은 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨”이 아닌 것으로 결정하도록 구성되는, 마스터 노드.
  14. 제13항에 있어서,
    상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하고, 상기 제3 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하는, 마스터 노드.
  15. 제13항에 있어서,
    상기 마스터 노드는 처리 유닛을 더 포함하고,
    상기 처리 유닛은 상기 사용자 단말의 제1 사용자 평면 보안 정책을 획득하도록 구성되는, 마스터 노드.
  16. 보조 노드로서,
    상기 보조 노드는
    트랜시버 유닛; 및
    처리 유닛
    을 포함하고,
    상기 트랜시버 유닛은 마스터 노드로부터 제1 메시지를 수신하도록 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함함 - 구성되며,
    상기 처리 유닛이 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성되고,
    상기 처리 유닛은 추가로, 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 활성화하도록 구성되며, 그리고
    상기 트랜시버 유닛은 추가로, 제2 메시지를 상기 마스터 노드에 송신하도록 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되고,
    상기 제2 사용자 평면 보안 정책은 상기 사용자 단말의 제1 사용자 평면 보안 정책이고, 상기 제1 사용자 평면 보안 정책은 세션 관리 네트워크 엘리먼트로부터의 것이며, 그리고,
    상기 처리 유닛이 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성되는 것은, 구체적으로,
    상기 제1 사용자 평면 보안 정책에 따라 제3 사용자 평면 보안 정책을 생성하는 것; 및
    상기 보조 노드가, 상기 제3 사용자 평면 보안 정책에 따라 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하는 것
    을 포함하는, 보조 노드.
  17. 제16항에 있어서,
    상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하는, 보조 노드.
  18. 제16항에 있어서,
    상기 처리 유닛이 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하도록 구성되는 것은, 구체적으로,
    상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “선호됨”일 때, 상기 보조 노드와 상기 사용자 단말 사이에서 사용자 평면 무결성 보호를 인에이블할지를 판정하는 것
    을 포함하는, 보조 노드.
  19. 이중 연결 통신을 위한 시스템으로서,
    마스터 노드; 및
    보조 노드
    를 포함하고,
    상기 마스터 노드가 제1 메시지를 보조 노드에 송신하도록 - 상기 제1 메시지는 제2 사용자 평면 보안 정책을 포함함 - 구성되고,
    상기 보조 노드는 상기 마스터 노드에 의해 송신된 상기 제1 메시지를 수신하고, 상기 제2 사용자 평면 보안 정책에 따라 상기 보조 노드와 사용자 단말 사이의 사용자 평면 보안 보호 방법을 결정하며, 그리고 제2 메시지를 상기 마스터 노드에 송신하도록 - 상기 제2 메시지는 사용자 평면 보안 인에이블링 유형 지시 정보를 포함하고, 상기 사용자 평면 보안 인에이블링 유형 지시 정보는 상기 보조 노드와 상기 사용자 단말 사이의 사용자 평면 보안 보호 방법을 지시하는 데 사용됨 - 구성되며, 그리고,
    상기 마스터 노드는 추가로, 상기 보조 노드에 의해 송신된 상기 제2 메시지를 수신하고, 제3 메시지를 상기 사용자 단말에 송신하도록 - 상기 제3 메시지는 상기 사용자 평면 보안 인에이블링 유형 지시 정보를 포함함 - 구성되고,
    상기 보조 노드가 사용자 평면 무결성 보호를 지원하지 않으면, 상기 마스터 노드는 추가로, 상기 제2 사용자 평면 보안 정책의 사용자 평면 무결성 보호 지시 정보가 “요구됨”이 아닌 것으로 결정하도록 구성되는, 시스템.
  20. 제19항에 있어서,
    상기 제2 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하고, 상기 제3 메시지는 상기 보조 노드와 상기 사용자 단말 사이의 보안 알고리즘을 더 포함하는, 시스템.
  21. 제19항에 있어서,
    상기 마스터 노드는 추가로, 상기 사용자 단말의 제1 사용자 평면 보안 정책을 획득하도록 - 상기 제1 사용자 평면 보안 정책은 세션 관리 네트워크 엘리먼트로부터의 것임 - 구성되는, 시스템.
  22. 삭제
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
  48. 삭제
  49. 삭제
  50. 삭제
  51. 삭제
  52. 삭제
  53. 삭제
  54. 삭제
  55. 삭제
  56. 삭제
  57. 삭제
  58. 삭제
  59. 삭제
  60. 삭제
  61. 삭제
  62. 삭제
  63. 삭제
  64. 삭제
  65. 삭제
  66. 삭제
  67. 삭제
  68. 삭제
  69. 삭제
KR1020207021911A 2018-08-10 2019-08-09 이중 연결 통신을 위한 방법, 장치 및 시스템 KR102346419B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810911030.6 2018-08-10
CN201810911030.6A CN110830992B (zh) 2018-08-10 2018-08-10 双连接通信方法及其装置、系统
PCT/CN2019/100095 WO2020030153A1 (zh) 2018-08-10 2019-08-09 双连接通信方法及其装置、系统

Publications (2)

Publication Number Publication Date
KR20200100826A KR20200100826A (ko) 2020-08-26
KR102346419B1 true KR102346419B1 (ko) 2022-01-03

Family

ID=69414027

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207021911A KR102346419B1 (ko) 2018-08-10 2019-08-09 이중 연결 통신을 위한 방법, 장치 및 시스템

Country Status (5)

Country Link
US (1) US11665535B2 (ko)
EP (1) EP3731550A4 (ko)
KR (1) KR102346419B1 (ko)
CN (2) CN110830992B (ko)
WO (1) WO2020030153A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110167018B (zh) * 2018-02-11 2021-12-10 华为技术有限公司 一种安全保护的方法、装置及接入网设备
CN111194032B (zh) * 2018-11-14 2021-08-13 华为技术有限公司 一种通信方法及其装置
CN113660665A (zh) * 2020-04-30 2021-11-16 华为技术有限公司 一种通信方法及装置
WO2022087969A1 (en) * 2020-10-29 2022-05-05 Apple Inc. User plane integrity protection configuration in en-dc
CN114760623A (zh) * 2021-01-10 2022-07-15 华为技术有限公司 安全策略处理方法以及通信设备
JP2022114391A (ja) * 2021-01-26 2022-08-05 京セラドキュメントソリューションズ株式会社 電子機器
CN115209397B (zh) * 2021-04-12 2023-08-15 中国移动通信集团河北有限公司 潜在用户终端的确定方法、装置、设备及计算机存储介质
WO2022237699A1 (zh) * 2021-05-08 2022-11-17 华为技术有限公司 一种激活安全的方法及通信装置
WO2023004655A1 (zh) * 2021-07-28 2023-02-02 北京小米移动软件有限公司 一种通信方法、装置、用户设备、基站、核心网设备及存储介质
CN116419234A (zh) * 2021-12-31 2023-07-11 华为技术有限公司 通信方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015047051A1 (en) 2013-09-30 2015-04-02 Lg Electronics Inc. Method for determining radio resource control configuration in wireless communication system supporting dual connectivity and apparatus thereof
CN106941700A (zh) 2016-01-04 2017-07-11 中兴通讯股份有限公司 一种数据传输方法及装置和基站及ue

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102078866B1 (ko) * 2013-08-09 2020-02-19 삼성전자주식회사 듀얼 커넥티비티 지원을 위한 pdcp 분산 구조의 보안 키 생성 및 관리 방안
KR102196213B1 (ko) * 2013-09-11 2020-12-31 삼성전자 주식회사 기지국 상호간 전송을 위한 보안 통신을 가능하게 하는 방법 및 시스템
CN104519487A (zh) * 2013-09-30 2015-04-15 中兴通讯股份有限公司 一种pdcp计数值的处理方法和装置
EP2959743B1 (en) * 2013-10-28 2019-12-25 LG Electronics Inc. Method and apparatus for performing dual connectivity in heterogeneous network
JP2018137495A (ja) * 2015-07-10 2018-08-30 シャープ株式会社 端末装置、基地局装置および通信方法
CN108307389A (zh) * 2016-09-26 2018-07-20 中兴通讯股份有限公司 数据安全保护方法、网络接入设备及终端
US10750410B2 (en) * 2016-09-30 2020-08-18 Huawei Technologies Co., Ltd. Ultra reliable low latency connection support in radio access networks
CN108282817B (zh) 2017-01-05 2021-08-20 华为技术有限公司 信息传输的方法和装置
CN110167018B (zh) * 2018-02-11 2021-12-10 华为技术有限公司 一种安全保护的方法、装置及接入网设备
CN111937424A (zh) * 2018-04-04 2020-11-13 中兴通讯股份有限公司 用于管理完整性保护的技术
WO2019194473A1 (ko) * 2018-04-05 2019-10-10 엘지전자 주식회사 무선 통신 시스템에서 프로토콜 데이터 유닛 세션을 제어하는 방법 및 이를 위한 장치
WO2019219667A1 (en) * 2018-05-14 2019-11-21 Telefonaktiebolaget Lm Ericsson (Publ) Master gnodebs and method of operating master gnodeb

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015047051A1 (en) 2013-09-30 2015-04-02 Lg Electronics Inc. Method for determining radio resource control configuration in wireless communication system supporting dual connectivity and apparatus thereof
CN106941700A (zh) 2016-01-04 2017-07-11 中兴通讯股份有限公司 一种数据传输方法及装置和基站及ue

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Security architecture and procedures for 5G system (Release 15), 3GPP TS 33.501 v15.1.0 (2018.06)*

Also Published As

Publication number Publication date
EP3731550A4 (en) 2021-09-01
US11665535B2 (en) 2023-05-30
CN110830992A (zh) 2020-02-21
US20200336899A1 (en) 2020-10-22
EP3731550A1 (en) 2020-10-28
KR20200100826A (ko) 2020-08-26
CN110830992B (zh) 2021-03-02
CN113068180A (zh) 2021-07-02
WO2020030153A1 (zh) 2020-02-13

Similar Documents

Publication Publication Date Title
KR102346419B1 (ko) 이중 연결 통신을 위한 방법, 장치 및 시스템
EP3694244B1 (en) Rrc connection recovery method and apparatus
CN110830993B (zh) 一种数据处理的方法、装置和计算机可读存储介质
US20170359719A1 (en) Key generation method, device, and system
CN108605225B (zh) 一种安全处理方法及相关设备
US11882433B2 (en) Communication method and communications apparatus
US11039309B2 (en) User plane security for disaggregated RAN nodes
CN110048988B (zh) 消息的发送方法和装置
KR102264356B1 (ko) 통신 방법 및 장치
CN112492584B (zh) 终端设备和用户面网元之间的安全通信方法、装置及系统
JP2021503241A5 (ko)
CN111194032B (zh) 一种通信方法及其装置
WO2017132962A1 (zh) 一种安全参数传输方法及相关设备
CN102833741A (zh) 一种安全参数修改方法及基站
CN114765502A (zh) 消息处理方法、装置、终端及网络侧设备
CN116783917A (zh) 一种安全参数的获取方法、装置及系统
US20230092744A1 (en) Ckey obtaining method and apparatus
CN112654046A (zh) 用于注册的方法和装置
CN112423272A (zh) 数据传输的方法和装置
EP4336884A1 (en) Communication method and communication apparatus
CN107925874B (zh) 超密集网络安全架构和方法
CN112154682B (zh) 密钥更新方法、设备和存储介质
WO2020258292A1 (zh) 无线通信的方法、终端设备、接入网设备和核心网设备
CN116941263A (zh) 一种通信方法及装置
CN115884170A (zh) 通信方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant