KR102369596B1 - Nas 메시지의 보안 보호를 위한 시스템 및 방법 - Google Patents

Nas 메시지의 보안 보호를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102369596B1
KR102369596B1 KR1020217012361A KR20217012361A KR102369596B1 KR 102369596 B1 KR102369596 B1 KR 102369596B1 KR 1020217012361 A KR1020217012361 A KR 1020217012361A KR 20217012361 A KR20217012361 A KR 20217012361A KR 102369596 B1 KR102369596 B1 KR 102369596B1
Authority
KR
South Korea
Prior art keywords
nas
message
initial
security
nas message
Prior art date
Application number
KR1020217012361A
Other languages
English (en)
Other versions
KR20210064334A (ko
Inventor
제니퍼 리우
Original Assignee
노키아 테크놀로지스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 테크놀로지스 오와이 filed Critical 노키아 테크놀로지스 오와이
Priority to KR1020227006336A priority Critical patent/KR102466422B1/ko
Publication of KR20210064334A publication Critical patent/KR20210064334A/ko
Application granted granted Critical
Publication of KR102369596B1 publication Critical patent/KR102369596B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Abstract

모바일 네트워크들에 대한 NAS 보안 보호를 제공하는 시스템들 및 방법들. 일 실시예에서, 모바일 네트워크의 네트워크 요소는 NAS 보안 컨텍스트가 존재하지 않을 때 사용자 장비(UE)로 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 NAS 절차를 수행한다. 제1 단계 동안, 네트워크 요소는 보안 관련 처리를 위해 지정된 NAS 프로토콜 정보 요소들(IE들)의 서브셋으로 채워진 초기 NAS 메시지를 UE로부터 수신하고, NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘을 선택하고, NAS 보안 알고리즘을 나타내는 응답을 UE로 전송한다. 제2 단계 동안, 네트워크 요소는 NAS 절차에 대한 NAS 프로토콜 IE들 각각으로 채워진 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 갖는 후속 NAS 메시지를 UE로부터 수신하고, NAS 보안 알고리즘을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화한다.

Description

NAS 메시지의 보안 보호를 위한 시스템 및 방법
관련 출원들
이 정규 특허 출원은 2018년 9월 24일자로 출원된 미국 임시 특허 출원 번호 제62/735,732호에 대한 우선권을 주장하며, 이는 전체가 본원에 제공되는 경우 참조로서 통합된다.
기술분야
이 개시는 통신 시스템 분야에 관한 것으로, 특히 네트워크에서의 보안에 관한 것이다.
서비스 제공 업체들 또는 이동 통신사들은 일반적으로 사용자 장비(UE)라고 하는 모바일 폰들 또는 기타 모바일 장치들/단말들의 최종 사용자들에게 수많은 음성 및 데이터 서비스들을 제공하기 위해 모바일 네트워크를 구현한다. 일부 음성 서비스들의 예들로는 음성 통화, 착신 전환, 통화 대기 등이 있다. 일부 데이터 서비스의 예들로는 인터넷 액세스, 스트리밍 오디오, 스트리밍 비디오, 온라인 게임, 인터넷 프로토콜 텔레비전(IP-TV) 등이 있다. 모바일 네트워크는 최종 사용자에 대한 마지막 링크가 무선인 네트워크 유형이다. 모바일 네트워크는 일반적으로 코어 네트워크, 및 무선 인터페이스를 통해 UE들과 시그널링 및 데이터를 교환하는 하나 이상의 무선 접속 네트워크(Radio Access Network; RAN)를 포함한다. 일반적인 모바일 네트워크는 논리적으로 사용자 평면과 제어 평면으로 분리된다. 사용자 평면은 네트워크를 통해 전송되는 사용자 데이터 전달을 담당하는 논리적 평면이고 제어 평면은 UE에 대한 통신을 설정하는 데 사용되는 시그널링 전달을 담당하는 논리적 평면이다. 3 세대 파트너십 프로젝트(3GPP) 사양은 셀룰러 프로토콜들을 두 계층으로 분할된다: 비접속 계층(NAS) 및 접속 계층(AS). AS는 무선 주파수(RF) 채널을 통해 발생하는 UE와 RAN(예를 들어, eNodeB) 간의 통신으로 구성된다. NAS는 UE와 코어 네트워크(예를 들어, LTE용 모바일 관리 엔티티(Mobility Management Entity; MME) 또는 네트워크 생성 네트워크용 접속 및 이동성 관리 함수(Access and Mobility Management Function; AMF)) 간의 비-무선 시그널링 트래픽으로 구성된다. 3GPP는 다양한 공격들로부터 제어 평면 메시지(예를 들어, NAS 메시지)를 보호하기 위한 보안 절차들을 구현했다. 그러나, 제어 평면 메시지들에 대한 추가 보호를 제공하는 향상된 보안 절차들을 식별하는 것이 유용할 수 있다.
본원에 설명된 실시예들은 NAS 메시지들에 대한 향상된 보호를 제공한다. NAS 절차(예를 들어, UE의 등록)는 정보를 전달하는 정보 요소(IE) 세트를 포함한다. 하기에 설명되는 실시예들은 NAS 메시지들로 전송되는 IE들 또는 IE들의 서브셋을 보호하는 방법들을 설명한다. 따라서, IE들로 전달되는 정보는 악의적인 공격들에 덜 취약하다.
일 실시예는 모바일 네트워크의 네트워크 요소를 포함한다. 네트워크 요소는 프로세서(들) 및 프로세서에 의해 실행 가능한 컴퓨터 프로그램 코드를 포함하는 메모리를 포함한다. 프로세서는 네트워크 요소가 네트워크 요소와 UE 사이에 NAS 통신 세션을 설정하기 위해 여러 단계들에서 NAS 절차를 수행하도록 구성된다. NAS 절차의 제1 단계 동안, 프로세서는 네트워크 요소가 UE로부터 초기 NAS 메시지를 수신하도록 더 구성되며, 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는, NAS 절차에 대한 NAS 프로토콜 IE들로부터의 NAS 프로토콜 IE들의 서브셋으로 채워진다. 프로세서는 또한 네트워크 요소가 NAS 프로토콜 IE들의 서브셋을 처리하여 NAS 보안 컨텍스트가 UE에 존재하지 않는다고 결정하고, NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘을 선택하고, NAS 보안 알고리즘 및 NAS 보안 컨텍스트의 보안 키 세트 식별자를 나타내는 응답을 UE로 전송하도록 구성된다. NAS 절차의 제2 단계 동안, 프로세서는 네트워크 요소가 NAS 보안 알고리즘에 기초하여 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 갖는 후속 NAS 메시지를 UE로부터 수신하고, 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화하도록 더 구성되며, 후속 NAS 메시지의 NAS 메시지 컨테이너에 포함된 초기 NAS 메시지는 NAS 절차에 대한 NAS 프로토콜 IE들 각각으로 채워진다.
다른 실시예에서, 제1 단계 동안, NAS 프로토콜 IE들의 서브셋은 UE용 HPLMN(Home Public Land Mobile Network)의 공개 키를 사용하여 초기 NAS 메시지에서 암호화된다. 프로세서는 또한 네트워크 요소가 NAS 프로토콜 IE들의 서브셋의 복호화를 개시하도록 구성된다.
다른 실시예에서, 네트워크 요소는 모바일 네트워크의 접속 및 이동성 관리 기능(AMF) 요소를 포함한다.
다른 실시예에서, 프로세서는 네트워크 요소가 암호화된 NAS 프로토콜 IE들의 서브셋을 통합 데이터 관리(UDM) 요소로 전송하여 HPLMN의 개인 키에 기초하여 NAS 프로토콜 IE들의 서브셋을 복호화하도록 더 구성된다.
다른 실시예에서, 초기 NAS 메시지는 등록 요청 메시지를 포함한다. 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE들의 서브셋은 UE에 대한 모바일 아이덴티티, UE에 의해 지원되는 하나 이상의 NAS 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자로 구성된다.
다른 실시예에서, 응답은 NAS 보안 알고리즘 및 보안 키 세트 식별자를 나타내는 보안 모드 커맨드 메시지를 포함하며, UE로부터 수신된 후속 NAS 메시지는 NAS 보안 알고리즘에 기초하여 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 갖는 보안 모드 완료 메시지를 포함한다.
다른 실시예에서, 모바일 네트워크는 5세대(5G) 네트워크를 포함한다.
다른 실시예는 UE와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위한 NAS 절차를 수행하는 방법을 포함한다. NAS 절차의 제1 단계 동안, 방법은 네트워크 요소에서, UE로부터 초기 NAS 메시지를 수신하는 단계로서, 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 절차에 대한 NAS 프로토콜 정보 요소들(IE들)로부터의 NAS 프로토콜 IE들의 서브셋으로 채워지는, 상기 수신하는 단계를 포함한다. 제1 단계 동안 추가로, 상기 방법은 네트워크 요소에서, NAS 프로토콜 IE들의 서브셋을 처리하여 NAS 보안 컨텍스트가 UE에 존재하지 않음을 결정하는 단계, NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘을 선택하는 단계, NAS 보안 알고리즘 및 NAS 보안 컨텍스트의 보안 키 세트 식별자를 나타내는 응답을 UE로 전송하는 단계를 포함한다. NAS 절차의 제2 단계 동안, 방법은 네트워크 요소에서, NAS 보안 알고리즘을 기반으로 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 가진 후속 NAS 메시지를 UE로부터 수신하고, 네트워크 요소에서, 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화하도록 더 구성되며, 여기서 후속 NAS 메시지의 NAS 메시지 컨테이너에 포함된 초기 NAS 메시지는 NAS 절차에 대한 각각의 NAS 프로토콜 IE들로 채워진다.
다른 실시예에서, 제1 단계 동안, NAS 프로토콜 IE들의 서브셋은 UE에 대한 HPLMN의 공개 키를 사용하여 초기 NAS 메시지에서 암호화되고, 방법은 NAS 프로토콜 IE들의 서브셋의 복호화를 개시하는 단계를 더 포함한다.
다른 실시예에서, 네트워크 요소는 모바일 네트워크의 AMF 요소를 포함하고, NAS 프로토콜 IE들의 서브셋의 복호화를 개시하는 단계는 암호화된 NAS 프로토콜 IE들의 서브셋을 통합 데이터 관리(UDM) 요소로 전송하여 HPLMN의 개인 키에 기초하여 상기 NAS 프토토콜 IE들의 서브셋을 복호화하는 단계를 포함한다.
다른 실시예들에서, 초기 NAS 메시지는 등록 요청 메시지를 포함하고, 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE들의 서브셋은 UE에 대한 모바일 아이덴티티, UE에 의해 지원되는 하나 이상의 NAS 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자로 구성된다.
다른 실시예에서, 응답은 NAS 보안 알고리즘 및 보안 키 세트 식별자를 나타내는 보안 모드 커맨드 메시지를 포함하고, UE로부터 수신된 후속 NAS 메시지는 NAS 보안 알고리즘에 기초하여 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 갖는 보안 모드 완료 메시지를 포함한다.
다른 실시예에서, NAS 절차의 제1 단계 동안, 상기 방법은 UE에서 다음의 단계들을 포함한다: 보안 관련 처리를 위해 지정되는 NAS 절차에 대한 NAS 프로토콜 IE들의 서브셋을 식별하는 단계, 초기 NAS 메시지에 NAS 프로토콜 IE들의 서브셋을 삽입하는 단계, 초기 NAS 메시지를 UE로부터 네트워크 요소로 전송하는 단계, 및 NAS 보안 알고리즘 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자를 나타내는 응답으로 네트워크 요소로부터 수신하는 단계. NAS 절차의 제2 단계 동안, 상기 방법은 UE에서 다음의 단계들을 포함한다: 초기 NAS 메지시에 NAS 절차에 대한 NAS 프로토콜 IE들을 삽입하는 단계, 후속 NAS 메시지의 NAS 메시지 컨테이너에 초기 NAS 메시지를 삽입하는 단계, NAS 보안 알고리즘을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 암호화하는 단계, 및 후속 NAS 메시지를 UE로부터 네트워크 요소로 전송하는 단계.
다른 실시예에서, 제1 단계 동안, 상기 방법은 UE에서, UE에 대한 HPLMN의 공개 키를 사용하여 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하는 단계를 더 포함한다.
다른 실시예는 프로세서(들) 및 프로세서에 의해 실행 가능한 컴퓨터 프로그램 코드를 포함하는 메모리를 포함하는 UE를 포함한다. 프로세서는 UE가 UE와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 NAS 절차를 개시하도록 구성된다. NAS 절차의 제1 단계 동안, 프로세서는 NAS 절차에 대한 NAS 프로토콜 IE로부터, UE가 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋을 식별하도록 더 구성된다. 프로세서는 UE가 초기 NAS 메시지에 NAS 프로토콜 IE들의 서브셋을 삽입하고, 초기 NAS 메시지를 네트워크 요소로 전송하고, NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘 및 보안 키 세트 식별자를 나타내는 응답을 네트워크 요소로부터 수신하도록 더 구성된다. NAS 절차의 제2 단계 동안, 프로세서는 UE가 초기 NAS 메지시에 NAS 절차에 대한 NAS 프로토콜 IE들을 삽입하고, 후속 NAS 메시지의 NAS 메시지 컨테이너에 초기 NAS 메시지를 삽입하고, NAS 보안 알고리즘을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 암호화하고, 후속 NAS 메시지를 네트워크 요소로 전송하도록 더 구성된다.
다른 실시예에서, 제1 단계 동안, 상기 프로세서는 UE가, UE에 대한 HPLMN의 공개 키를 사용하여 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하도록 더 구성된다.
다른 실시예에서, 상기 프로세서는 UE가, UE가 UMTS 가입자 식별 모듈(USIM)에 프로그래밍된 공개 키를 가질 때 공개 키를 사용하여 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하고, UE가 USIM에 프로그래밍된 공개 키를 갖고 있지 않을 때 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하지 않고 초기 NAS 메시지를 네트워크 요소로 전송하도록 더 구성된다.
다른 실시예들에서, 초기 NAS 메시지는 등록 요청 메시지를 포함하고, 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE들의 서브셋은 UE에 대한 모바일 아이덴티티, UE에 의해 지원되는 하나 이상의 NAS 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자로 구성된다.
다른 실시예에서, 상기 프로세서는 UE가, 등록 유형이 긴급을 나타내지 않을 때 UE에 대한 HPLMN의 공개 키를 사용하여 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하고, 등록 유형이 긴급을 나타낼 때 초기 NAS 메시지에서 NAS 프로토콜 IE들의 서브셋을 암호화하지 않고 초기 NAS 메시지를 네트워크 요소로 전송하도록 더 구성된다.
다른 실시예에서, 응답은 NAS 보안 알고리즘 및 보안 키 세트 식별자를 나타내는 보안 모드 커맨드 메시지를 포함하고, 후속 NAS 메시지는 NAS 보안 알고리즘에 기초하여 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 갖는 보안 모드 완료 메시지를 포함한다.
다른 실시예는 모바일 네트워크의 네트워크 요소를 포함한다. 네트워크 요소는 네트워크 요소가 네트워크 요소와 UE 사이에 NAS 통신 세션을 설정하기 위해 여러 단계들에서 NAS 절차를 수행하도록 하는 수단을 포함한다. NAS 절차의 제1 단계 동안, 네트워크 요소는 UE로부터 초기 NAS 메시지를 수신하는 수단으로서, 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 절차에 대한 NAS 프로토콜 정보 요소들(IE들)로부터의 NAS 프로토콜 IE들의 서브셋으로 채워지는, 상기 수신하는 수단을 포함한다. 네트워크 요소는 NAS 프로토콜 IE들의 서브셋을 처리하여 NAS 보안 컨텍스트가 UE에 존재하지 않는다고 결정하는 수단, NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘을 선택하는 수단, NAS 보안 알고리즘 및 NAS 보안 컨텍스트의 보안 키 세트 식별자를 나타내는 응답을 UE로 전송하는 수단을 더 포함한다. NAS 절차의 제2 단계 동안, 네트워크 요소는 NAS 보안 알고리즘을 기반으로 암호화된 초기 NAS 메시지를 포함하는 NAS 메시지 컨테이너를 가진 UE로부터 후속 NAS 메시지를 수신하는 수단, 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화하는 수단을 더 포함하며, 여기서 후속 NAS 메시지의 NAS 메시지 컨테이너에 포함된 초기 NAS 메시지는 NAS 절차에 대한 각각의 NAS 프로토콜 IE들로 채워진다.
상기 요약은 명세서의 일부 측면들에 대한 기본적인 이해를 제공한다. 이 요약은 명세서에 대한 광범위한 개요가 아니다. 이는 명세서의 핵심 또는 중요한 요소들을 식별하거나 명세서의 특정 실시예들의 임의의 범위 또는 청구 범위의 임의의 범위를 서술하지 않도록 의도된다. 그 유일한 목적은 나중에 제시되는 보다 상세한 설명에 대한 서두로서 명세서의 일부 개념들을 단순화된 형태로 제시하는 것이다.
이제 본 발명의 특정 실시예들이, 단지 예시로서, 그리고 첨부된 도면들을 참조하여 설명된다: 동일한 참조 번호는 모든 도면들에서 동일한 요소 또는 동일한 유형의 요소를 나타낸다.
도 1은 예시적인 실시예의 모바일 네트워크를 예시한다.
도 2는 진화된 패킷 코어(EPC) 네트워크를 예시한다.
도 3은 차세대 네트워크의 비-로밍 아키텍처를 예시한다.
도 4는 차세대 네트워크의 로밍 아키텍처를 예시한다.
도 5는 무선 프로토콜 스택을 예시한다.
도 6은 예시적인 실시예의 UE의 블록도이다.
도 7은 예시적인 실시예의 네트워크 요소의 블록도이다.
도 8은 예시적인 실시예에서 UE의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 9는 예시적인 실시예에서 네트워크 요소의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 10는 예시적인 실시예에서 UE에 보안 컨텍스트가 없을 경우 NAS 절차를 나타내는 메시지이다.
도 11은 또 다른 예시적인 실시예에서 UE(110)의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 12는 또 다른 예시적인 실시예에서 네트워크 요소의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 13은 예시적인 실시예에서 UE에 보안 컨텍스트가 없는 경우 NAS 절차를 나타내는 메시지 도면이다.
도 14는 또 다른 예시적인 실시예에서 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 15는 또 다른 예시적인 실시예에서 네트워크 요소의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 16은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 없을 경우 NAS 등록 절차를 나타내는 메시지 도면이다.
도 17은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 있을 때 NAS 서비스 요청 절차를 나타내는 메시지 도면이다.
도 18은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 있을 경우 NAS 등록 해제 절차를 나타내는 메시지 도면이다.
도 19a 내지 19b는 예시적인 실시예에서 UE의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 20은 예시적인 실시예에서 네트워크 요소의 NAS 절차를 수행하는 방법을 예시하는 흐름도이다.
도 21은 UE에 NAS 보안 컨텍스트가 있지만 NAS 보안 컨텍스트가 유효하지 않거나 예시적인 실시예에서 발견되지 않을 경우 NAS 등록 절차를 나타내는 메시지 도면이다.
도 22는 UE에 NAS 보안 컨텍스트가 있지만 NAS 보안 컨텍스트가 유효하지 않거나 예시적인 실시예에서 발견되지 않을 경우 NAS 서비스 요청 절차를 나타내는 메시지 도면이다.
도면들 및 다음 설명은 특정 예시적인 실시예들을 예시한다. 따라서, 당업자는 본원에 명시적으로 설명되거나 도시되지 않았지만, 실시예들의 원리들을 구현하고 실시예들의 범위 내에 포함되는 다양한 배열들을 고안할 수 있다는 것이 이해될 것이다. 더욱이, 본원에 설명된 임의의 예들은 실시예들의 원리들을 이해하는 데 도움을 주기 위한 것이며, 구체적으로 인용된 이러한 예들 및 조건들에 제한되지 않는 것으로 해석되어야 한다. 결과적으로, 본 발명의 개념(들)은 하기에 설명되는 특정 실시예들 또는 예들로 제한되지 않고, 청구항들 및 그 균등물들에 의해 제한된다.
도 1은 예시적인 실시예의 모바일 네트워크(100)를 예시한다. 모바일 네트워크(100)(셀룰러 네트워크라고도 함)는 마지막 링크가 무선인 네트워크 유형이며, 음성 및/또는 데이터 서비스들을 복수의 장치들에 제공한다. 모바일 네트워크(100)는 3세대(3G), 4세대(4G) 및/또는 차세대 네트워크(예를 들어, 5세대(5G))일 수 있다.
모바일 네트워크(100)는 (도시되지 않은 다른 UE들과 함께) UE들(110)에 통신 서비스들을 제공하는 것으로 예시된다. UE들(110)은 음성 서비스들, 데이터 서비스들, M2M(Machine-to-Machine) 또는 MTC(Machine Type Communications) 서비스들 및/또는 기타 서비스들에 대해 활성화될 수 있다. UE(110)는 모바일 폰(예를 들어, 스마트 폰), 태블릿 또는 PDA, 모바일 광대역 어댑터가 있는 컴퓨터 등과 같은 최종 사용자 장치일 수 있다.
모바일 네트워크(100)는 무선 인터페이스(122)를 통해 UE들(110)과 통신하는 하나 이상의 무선 액세스 네트워크들(RAN)(120)을 포함한다. RAN(120)은 진화된 UMTS 지상 무선 액세스 네트워크(Evolved-UMTS Terrestrial Radio Access Network; E-UTRAN) 액세스, 무선 근거리 통신망(Wireless Local Area Network; WLAN) 액세스, 고정 액세스, 위성 무선 액세스, 새로운 무선 액세스 기술(Radio Access Technologies; RAT) 등을 지원할 수 있다. 일 예로서, RAN(120)은 지리적 영역에 걸쳐 분산되는 하나 이상의 기지국들(124)을 포함하는 E-UTRAN 또는 차세대 RAN(NG-RAN)을 포함할 수 있다. 기지국(124)은 무선 통신 기술을 사용하여 인가된 스펙트럼에서 UE와 통신하고, UE를 코어 네트워크와 인터페이스하는 엔티티를 포함할 수 있다. E-UTRAN의 기지국들(124)은 진화된 노드 B(eNodeB)로 지칭된다. NG-RAN의 기지국들(124)은 gNodeB(NR 기지국) 및/또는 ng-eNodeB(5G 코어 네트워크를 지원하는 LTE 기지국들)로 지칭된다. 다른 예로서, RAN(120)은 하나 이상의 무선 액세스 포인트들(WAP)(125)을 포함하는 WLAN을 포함할 수 있다. WLAN은 UE가 무선(라디오) 연결을 통해 근거리 통신망(Local Area Network; LAN)에 연결할 수 있는 네트워크이다. WAP(125)는 무선 통신 기술을 사용하여 인가되지 않은 스펙트럼을 통해 UE와 통신하고, UE에게 코어 네트워크에 대한 액세스를 제공하는 노드이다. WAP(125)의 한 가지 예는 2.4 GHz 또는 5 GHz 무선 대역들에서 동작하는 WiFi 액세스 포인트이다. 본원에 사용된 바와 같은 "기지국"이라는 용어는 eNodeB, gNodeB, ng-eNodeB, WAP 등을 지칭할 수 있다.
UE들(110)은 코어 네트워크(130)에 액세스하기 위해 RAN(120)의 셀(126)에 부착될 수 있다. 따라서 RAN(120)은 UE들(110)과 코어 네트워크(130) 사이의 무선 인터페이스를 나타낸다. 코어 네트워크(130)는 RAN(120)에 의해 연결된 고객들에게 다양한 서비스들을 제공하는 모바일 네트워크(100)의 중심 부분이다. 코어 네트워크(130)의 일례는 LTE용 3GPP에 의해 제안된 진화된 패킷 코어(Evolved Packet Core; EPC) 네트워크이다. 코어 네트워크(130)의 또 다른 예는 3GPP에서 제안된 5G 코어 네트워크이다. 코어 네트워크(130)는 UE들(110)에 서비스들을 제공하는 서버들, 디바이스들, 장치 또는 장비(하드웨어 포함)를 포함할 수 있는 네트워크 요소들(132)을 포함한다. EPC 네트워크에서 네트워크 요소들(132)은 이동성 관리 엔티티(Mobility Management Entity; MME), 서빙 게이트웨이(a Serving Gateway; S-GW), 패킷 데이터 네트워크 게이트웨이(a Packet Data Network Gateway; P-GW) 등을 포함할 수 있다. 5G 네트워크에서 네트워크 요소들(132)은 접속 및 이동성 관리 기능(Access and Mobility Management Function; AMF), 세션 관리 기능(Session Management Function; SMF), 정책 제어 기능(Policy Control Function; PCF), 애플리케이션 기능(Application Function; AF), 사용자 평면 기능(User Plane Function; UPF) 등을 포함할 수 있다.
도 2는 LTE용 코어 네트워크인 진화된 패킷 코어(EPC) 네트워크(200)를 예시한다. EPC 네트워크(200)는 이동성 관리 엔티티(MME)(214), 서빙 게이트웨이(S-GW)(215), 패킷 데이터 네트워크 게이트웨이(P-GW)(216), 홈 가입자 서버(Home Subscriber Server; HSS)(217) 및 정책 및 과금 규칙 기능(Policy and Charging Rules Function; PCRF)(218)을 포함하나, IP 멀티미디어 서브시스템(IP Multimedia Subsystem; IMS) 애플리케이션 서버들과 같이, 도시되지 않은 다른 요소들을 포함할 수 있다. EPC 네트워크(200) 내에서, 사용자 데이터("사용자 평면"이라고도 함) 및 시그널링("제어 평면"이라고도 함)이 분리된다. MME(214)는 EPC 네트워크(200) 내에서 제어 평면을 처리한다. 예를 들어, MME(214)는 E-UTRAN 액세스를 위한 이동성 및 보안과 관련된 시그널링을 처리한다. MME(214)는 유휴 모드에서 UE (110)를 추적하고 페이징하는 역할을 한다. S-GW(215) 및 P-GW(216)은 사용자 평면을 처리한다. S-GW(215) 및 P-GW(216)는 UE(110)와 외부 데이터 네트워크들(240)(DN 또는 패킷 데이터 네트워크(PDN)) 사이에서 데이터 트래픽을 전송한다. S-GW(215)는 무선 측과 EPC 네트워크(200) 간의 상호 연결 지점이며, 수신 및 발신 IP 패킷들을 라우팅함으로써 UE(110)에 서비스들을 제공한다. S-GW(215)는 또한 LTE 내 이동성(즉, eNodeB들 간의 핸드 오버의 경우) 및 LTE와 다른 3GPP 액세스들 간의 앵커 포인트이다. P-GW(216)는 EPC 네트워크(200)와 외부 데이터 네트워크(240)(즉, 데이터 네트워크(240)에 대한 유입 또는 유출 지점) 사이의 상호 연결 지점이고, 데이터 네트워크(240)로 및 이로부터 패킷들을 라우팅한다. HSS(217)은 사용자 관련 및 가입자 관련 정보를 저장하는 데이터베이스이다. PCRF(218)는 EPC 네트워크(200)에서 정책 및 충전 제어(PCC) 솔루션을 제공하고, 최종 사용자에 의해 요청된 서비스들에 대한 PCC 규칙들을 공식화하는 EPC 네트워크(200)의 노드 또는 엔티티이다.
MME(214)는 S1-MME 인터페이스를 통해 RAN(120)(즉, eNodeB)에 연결되고, S-GW(215)는 S1-U 인터페이스를 통해 RAN(120)에 연결된다. MME(214)는 S11 인터페이스를 통해 S-GW(215)에 연결하고 S6a 인터페이스를 통해 HSS(217)에 연결한다. PCRF(218)은 Gx 인터페이스를 통해 P-GW(216_에 연결되며, 이는 PCRF(218)에서 P-GW(216)의 정책 및 과금 시행 기능(Policy and Charging Enforcement Function; PCEF)로 정책 및 과금 규칙들의 전송을 제공한다. PCRF(218)은 Gxx 인터페이스를 통해 S-GW(215)에 연결되고, S-GW(215)는 S5 인터페이스를 통해 P-GW(216)에 연결된다.
도 3은 차세대 네트워크의 비-로밍 아키텍처(300)를 예시한다. 도 3의 아키텍처는 3GPP TS 23.501(v15.3.0)에 추가로 설명된, 기준점 표현이며, 이는 마치 본원에 완전히 포함된 것처럼 참조로 통합된다. 아키텍처(300)는 코어 네트워크를 위한 네트워크 기능(NF)으로 구성되며, 제어 평면에 대한 네트워크 기능들은 사용자 평면으로부터 분리된다. 코어 네트워크의 제어 평면은 인증 서버 기능(AUSF)(310), 통합 데이터 관리(UDM)(312), 네트워크 슬라이스 선택 기능(NSSF)(313), 접속 및 이동성 관리 기능(AMF)(314), 세션 관리 기능(SMF)(316), 정책 제어 기능(PCF)(318) 및 애플리케이션 기능(AF)(320)을 포함한다. 코어 네트워크의 사용자 평면은 데이터 네트워크(240)와 통신하는 하나 이상의 사용자 평면 기능들(UPF)(324)을 포함한다. UE(110)는 (R)AN(120)을 통해 코어 네트워크의 제어 평면 및 사용자 평면에 액세스할 수 있다.
AUSF(310)는 UE(110)의 인증을 지원하도록 구성된다. UDM(312)은 UE(110)에 대한 가입 데이터/정보를 저장하도록 구성된다. UDM(312)은 세 가지 유형의 사용자 데이터: 가입, 정책 및 세션 관련 컨텍스트(예를 들어, UE 위치)를 저장할 수 있다. AMF(314)는 UE 기반 인증, 권한 부여, 이동성 관리 등을 제공하도록 구성된다. SMF(316)은 다음 기능을 제공하도록 구성된다: 세션 관리(SM), UE 인터넷 프로토콜(IP) 주소 할당 및 관리, UPF(들)의 선택 및 제어, PCF(318)에 대한 인터페이스들의 종료, 정책 시행 및 서비스 품질(QoS)의 제어 부분, 합법적 인터셉트, NAS 메시지들의 SM 부분들의 종료, 다운링크 데이터 통지(DNN), 로밍 기능, 서비스 레벨 계약들(SLA들)에 대한 QoS 적용을 위한 로컬 시행 처리, 데이터 수집 및 요금 부과 인터페이스 등. UE(110)가 다중 세션들을 갖는 경우, 이들을 개별적으로 관리하고 가능하면 세션마다 다른 기능들을 제공하기 위해 서로 다른 SMF들이 각 세션에 할당될 수 있다. PCF(318)은 통합 정책 프레임워크를 지원하여 네트워크 동작을 관리하고, QoS 시행, 과금, 액세스 제어, 트래픽 라우팅 등을 위한 제어 평면 기능들에 정책 규칙들을 제공하도록 구성된다. AF(320)는 패킷 흐름에 대한 정보를 PCF(318)에 제공한다. 이 정보를 기반으로, PCF(318)은 AMF(314) 및 SMF(316)이 제대로 작동하도록 이동성 및 세션 관리에 대한 정책 규칙들을 결정하도록 구성된다.
UPF(324)는 패킷 라우팅 및 포워딩, 트래픽 처리(예를 들어, QoS 시행), RAT 내/RAT 간 이동성을 위한 앵커 포인트(해당되는 경우), 패킷 검사 및 정책 규칙 시행, 합법적 인터셉트(UP 수집), 트래픽 계정 및 보고 등과 같은 다양한 사용자 평면 동작들 및 기능들을 지원한다. 데이터 네트워크(240)는 코어 네트워크의 일부가 아니며, 인터넷 액세스, 운영자 서비스, 제3자 서비스 등을 제공한다. 예를 들어, 국제전기통신연합(International Telecommunication Union; ITU)는 5G 모바일 네트워크 서비스들을 세 가지 범주로 분류했다: 진화된 모바일 광대역(Enhanced Mobile Broadband; eMBB), 초고신뢰 및 저지연 통신(Ultra-reliable and Low-Latency Communications; uRLLC), 대규모 사물통신(Massive Machine Type Communications; mMTC) 또는 대규모 사물 인터넷(Massive Internet of Things; MIoT). eMBB는 HD 비디오, 가상 현실(VR) 및 증강 현실(AR)과 같이 높은 대역폭 요구 사항들을 갖는 서비스들에 중점을 둔다. uRLLC는 자율 주행 및 원격 관리와 같은 지연 시간에 민감한 서비스들에 중점을 둔다. mMTC 및 MIoT는 스마트 시티 및 스마트 농업과 같이 연결 밀도에 대한 높은 요구사항들을 포함하는 서비스들에 중점을 둔다. 데이터 네트워크(240)는 이들 및 다른 서비스들을 제공하도록 구성될 수 있다.
아키텍처(300)는 다음의 기준점들을 포함한다. N1 기준점은 UE(110)와 AMF(314)간에 구현된다. N2 기준점은 (R)AN(120)과 AMF(314) 사이에 구현된다. N3 기준점은 (R)AN(120)과 UPF(324) 사이에서 구현된다. N4 기준점은 SMF(316)과 UPF(324) 사이에서 구현된다. N5 기준점은 PCF(318)과 AF(320) 사이에서 구현된다. N6 기준점은 UPF(324)와 데이터 네트워크(240) 사이에서 구현된다. N7 기준점은 SMF(316)과 PCF(318) 사이에 구현된다. N8 기준점은 UDM(312)와 AMF(314)간에 구현된다. N9 기준점은 두 개의 UPF들(324) 간에 구현된다. N10 기준점은 UDM(312)와 SMF(316) 사이에서 구현된다. N11 기준점은 AMF(314)와 SMF(316) 간에 구현된다. N12 기준점은 AMF(314)와 AUSF(310) 간에 구현된다. N13 기준점은 UDM(312)와 AUSF(310) 간에 구현된다 N14 기준점은 두 개의 AMF들 간에 구현된다. N15 기준점은 비-로밍 시나리오의 경우 PCF(318)와 AMF(314) 간에 구현된다. N22 기준점은 NSSF(313)와 AMF(314) 간에 구현된다.
도 4는 차세대 네트워크의 로밍 아키텍처(400)를 예시한다. 도 4의 아키텍처는 3GPP TS 23.501(v15.3.0)에 추가로 설명된, 기준점 표현의 로컬 브레이크아웃 시나리오이다. 로밍 시나리오에서, 방문된 공공 육상 이동 네트워크(Visited Public Land Mobile Network; VPLMN)(402) 및 홈 PLMN(Home PLMN; HPLMN)(404)이 도시된다. HPLMN(404)은 모바일 가입자의 프로파일이 보유된 PLMN을 식별한다. VPLMN은 모바일 가입자가 HPLMN을 떠날 때 로밍한 PLMN이다. 다른 네트워크들로 로밍하는 사용자들은 HPLMN(404)에서 가입 정보를 받게 될 것이다. 로컬 브레이크 시나리오에서, PCF 318(hPCF), UDM(312) 및 AUSF(310)은 UE(110)용 HPLMN(404)에 있다. 방문 PCF(vPCF)(418)를 포함하는 다른 네트워크 기능들은 VPLMN(402)에 있다.
도 5는 무선 인터페이스(122)와 같은 무선 프로토콜 스택(500)을 예시한다. 본원에 설명된 바와 같이, 사용자 평면(512)은 네트워크를 통해 실제 사용자 데이터를 전송하는 데 사용되는 프로토콜 세트를 포함하고, 제어 평면(514)은 네트워크 내의 사용자 연결들 및 베어러들을 제어하고 설정하는 데 사용되는 프로토콜들을 포함한다. 사용자 평면(512) 및 제어 평면(514)의 경우, 무선 프로토콜 스택(500)은 물리(PHY) 계층(501), 매체 액세스 제어(MAC) 계층 (502), 무선 링크 제어(RLC) 계층(503) 및 패킷 데이터 변환 프로토콜(PDCP) 계층(504)을 포함한다. 제어 평면(514)은 무선 리소스 제어(Radio Resource Control; RRC) 계층(505) 및 비-접속 계층(Non-Access Stratum; NAS) 레이어(506)를 추가로 포함한다.
물리 계층(501)은 무선 인터페이스를 통해 MAC 전송 채널로부터의 모든 정보를 전달한다. 데이터 및 시그널링 메시지들은 물리적 계층(501)의 상이한 레벨들 사이의 물리적 채널들에서 전달된다. 물리적 채널들은 물리적 데이터 채널들과 물리적 제어 채널들로 나뉘다. 물리 데이터 채널들은 물리적 다운링크 공유 채널(Physical Downlink Shared Channel; PDSCH), 물리적 브로드캐스트 채널(Physical Broadcast Channel; PBCH), 물리적 멀티캐스트 채널(Physical Multicast Channel; PMCH), 물리적 업링크 공유 채널(Physical Uplink Shared Channel; PUSCH) 및 물리적 랜덤 액세스 채널(Physical Random Access Channel; PRACH)를 포함할 수 있다. 물리적 제어 채널들은 물리적 제어 포맷 표시자 채널(Physical Control Format Indicator Channel; PCFICH), 물리적 하이브리드 ARQ 표시자 채널(Physical Hybrid ARQ Indicator Channel; PHICH), 물리적 다운링크 제어 채널(Physical Downlink Control Channel; PDCCH) 및 물리적 업링크 제어 채널(Physical Uplink Control Channel; PUCCH)를 포함할 수 있다.
MAC 계층(502)은 논리 채널들과 전송 채널들 간의 매핑, 하나 또는 다른 논리 채널들로부터 전송 채널 상의 물리적 계층으로 전달될 전송 블록들(TB)로의 MAC 서비스 데이터 유닛들(SDU들)의 멀티플렉싱, 전송 채널들의 물리적 계층으로부터 절달되는 전송 블록들로부터의 하나 또는 다른 논리 채널들로부터의 MAC SDU들의 디-멀티플렉싱, 스케줄링 정보 보고, 하이브리드 자동 반복 요청(Hybrid Automatic Repeat Request; HARQ)를 통한 오류 정정, 동적 스케줄링을 통한 UE들 간의 우선순위 처리, 하나의 UE의 논리적 채널들 간 우선순위 처리 및 논리적 채널 우선순위화를 담당한다. RLC 계층(503)은 상위 계층 프로토콜 데이터 유닛들(PDU들)의 전송, ARQ를 통한 오류 정정, RLC SDU들의 연접, 분할 및 재조립을 담당한다. RLC 계층(503)은 또한 RLC 데이터 PDU들의 재분할, RLC 데이터 PDU들의 재정렬, 중복 검출, RLC SDU 폐기, RLC 재설정 및 프로토콜 오류 검출을 담당한다. PDCP 계층(504)은 IP 데이터의 헤더 압축 및 압축 해제, 데이터의 전송(사용자 평면 또는 제어 평면), PDCP 시퀀스 번호들(SN들)의 유지, 하위 계층들의 재구축시 상위 계층 PDU들의 순차 전달, RLC 확인응답 모드(Acknowledged Mode; AM)에 매핑된 무선 베어러들에 대한 하위 계층들의 재구축시 하위 계층 SDU들의 중복 제거, 사용자 평면 데이터 및 제어 평면 데이터의 암호화 및 복호화, 제어 평면 데이터의 무결성 보호 및 무결성 검증, 타이머 기반 폐기, 중복 폐기 등을 담당한다. RRC 계층(505)은 NAS와 관련된 시스템 정보의 브로드캐스트, 액세스 계층(Access Stratum; AS)과 관련된 시스템 정보의 브로드캐스트, UE와 RAN 간의 RRC 연결의 페이징, 설정, 유지 및 해제, 점대점 무선 베어러들(RB)의 키 관리, 설정, 구성 유지보수 및 해제를 포함하는 보안 기능들을 담당한다. NAS 계층(506)은 UE와 코어 네트워크(예를 들어, MME/AMF) 사이의 제어 평면(514)의 가장 높은 계층을 나타내며, UE와 코어 네트워크 사이의 IP 연결성을 설정 및 유지하기 위해 UE의 이동성과 세션 관리 절차들을 지원한다.
네트워크들의 목표들 중 하나는 전체 시스템 보안을 향상시키는 것이다. 특정 관심 영역 중 하나는 NAS 메시지들의 보안 보호이다. 본원에 설명된 실시예들에서, UE(110) 및 네트워크 요소(132)는 NAS 메시지들의 추가적인 보안 보호를 제공하도록 향상된다.
도 6은 예시적인 실시예의 UE(110)의 블록도이다. UE(110)는 무선 인터페이스 구성요소(602), 하나 이상의 프로세서들(604), 메모리(606), 사용자 인터페이스 구성요소(608) 및 배터리(610)를 포함한다. 무선 인터페이스 구성요소(602)는 무선 도는 "오버-디-에어(over-the-air)" 신호들을 통해 기지국(예를 들어, 기지국(124))과의 무선 통신에 사용되는, RF 유닛(620)(예를 들어, 트랜시버) 및 하나 이상의 안테나들(622)과 같은, UE(110)의 로컬 무선 리소스들을 나타내는 하드웨어 구성요소이다. 프로세서(604)는 UE(110)의 기능들을 제공하는 내부 회로부, 로직, 하드웨어, 소프트웨어 등을 나타낸다. 프로세서(604)는 메모리(606)에 로드되는 소프트웨어에 대한 인스트럭션들(640)을 실행하도록 구성될 수 있다. 프로세서(604)는 특정 구현에 따라 하나 이상의 프로세서 세트를 포함할 수 있거나 또는 다중 프로세서 코어를 포함할 수 있다. 메모리(606)는 데이터, 인스트럭션들(640), 애플리케이션 등을 위한 컴퓨터 판독 가능 저장 매체이며, 프로세서(604)에 의해 액세스 가능하다. 메모리(606)는 정보를 일시적으로 및/또는 영구적으로 저장할 수 있는 하드웨어 저장 장치이다. 메모리(606)는 랜덤 액세스 메모리, 또는 임의의 다른 휘발성 또는 비휘발성 저장 장치를 포함할 수 있다. 사용자 인터페이스 구성요소(608)는 최종 사용자와 상호 작용하기 위한 하드웨어 구성요소이다. 예를 들어, 사용자 인터페이스 구성요소(608)는 디스플레이(650), 스크린, 터치 스크린 등(예를 들어, 액정 디스플레이(LCD), 발광 다이오드(LED) 디스플레이 등)을 포함할 수 있다. 사용자 인터페이스 구성요소(608)는 키보드 또는 키패드(652), 추적 장치(예를 들어, 트랙볼 또는 트랙패드), 스피커, 마이크로폰 등을 포함할 수 있다. UE(110)는 또한 UE(110)에 대한 보안 및 무결성 기능들을 제공하는 하드웨어 장치인 범용 집적 회로 카드(Universal Integrated Circuit Card; UICC)(660)를 포함한다. UICC(660)는 다른 자격증명과 함께 UE(110)에 대한 HPLMN에 대한 하나 이상의 공개 키들을 저장하거나 나타내는 범용 가입자 식별 모듈(Universal Subscriber Identity Module; USIM)(662)을 호스팅할 수 있다. UE(110)는 도 6에 구체적으로 예시되지 않은 다양한 다른 구성요소들을 포함할 수 있다.
프로세서(604)는 하나 이상의 애플리케이션들(630)을 구현할 수 있다. 이러한 애플리케이션들(630)은 RAN(120) 및 코어 네트워크(130)를 통해 다운링크(DL) 데이터에 액세스할 수 있고, RAN(120) 및 코어 네트워크(130)를 통해 목적지로의 전송을 위한 업링크(UL) 데이터를 생성할 수도 있다. 프로세서(604)는 또한 하기에 더 상세히 설명되는 바와 같이, NAS 절차들을 제어하도록 구성되는 NAS 컨트롤러(634)를 구현한다.
도 7은 예시적인 실시예의 네트워크 요소(132)의 블록도이다. 네트워크 요소(132)는 UE에 대한 보안 및 등록을 처리하는 서버, 디바이스, 장치, 장비(하드웨어 포함), 시스템, 수단 등이다. 예를 들어, 네트워크 요소(132)는 LTE 네트워크의 MME(214), 차세대 네트워크의 AMF 요소(314) 등을 포함할 수 있다. 이 실시예에서, 네트워크 요소(132)는 다음의 서브시스템들을 포함한다: 네트워크 인터페이스 구성요소(702), 보안 매니저(704) 및 하니 이상의 플랫폼들을 동작시키는 등록 매니저(706). 네트워크 인터페이스 구성요소(702)는 다른 네트워크 요소들 및/또는 UE들과의(예를 들어, RAN(120)을 통해) 제어 평면 메시지들 또는 시그널링을 교환하도록 구성된 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. 네트워크 인터페이스 구성요소(702)는 다양한 프로토콜들(NAS 프로토콜 포함) 또는 기준점들을 사용하여 동작할 수 있다. 보안 매니저(704)는, NAS 보안 컨텍스트를 생성하고 NAS 보안 컨텍스트에 대한 NAS 보안 알고리즘(들)을 선택하기 위한 등과 같은, UE에 대한 인증 및/또는 보안 절차들을 처리하도록 구성된 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. 등록 매니저(706)는 UE에 대한 등록을 처리하도록 구성된 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다.
네트워크 요소(132)의 서브 시스템들 중 하나 이상은 아날로그 및/또는 디지털 회로부로 구성된 하드웨어 플랫폼에서 구현될 수 있다. 네트워크 요소(132)의 서브시스템들 중 하나 이상은 메모리(732)에 저장된 인스트럭션들을 실행하는 프로세서(730)에서 구현될 수 있다. 프로세서(730)는 인스트럭션들을 실행하도록 구성된 집적 하드웨어 회로를 포함하고, 메모리(732)는 데이터, 인스트럭션들, 애플리케이션들 등을 위한 비일시적 컴퓨터 판독 가능 저장 매체이며, 프로세서(730)에 의해 액세스 가능하다.
네트워크 요소(132)는 도 7에 구체적으로 예시되지 않은 다양한 다른 구성요소들을 포함할 수 있다.
NAS 절차는 UE와 액세스 액세스 보안 관리 엔티티(예를 들어, AMF, MME 등) 사이에 NAS 보안 컨텍스트가 이미 존재할 때 수행되거나 호출될 수 있다. NAS 보안의 목적은 NAS 보안 키들을 사용하여 제어 평면에서 UE와 액세스 보안 관리 엔티티 간에 NAS 메시지들을 안전하게 전달하는 것이다. NAS 보안 키들은 UE에 대한 인증이 수행될 때마다 생성된다. NAS 보안 설정이 완료된 후, UE와 액세스 보안 관리 엔티티는 전송하기 전에 NAS 메시지들의 암호화 및 무결성 보호에 각각 사용되는 NAS 암호화 키와 NAS 무결성 키를 공유하게 된다. NAS 절차는 NAS 보안 컨텍스트가 존재하지 않을 때 수행되거나 호출될 수도 있다. 이 시나리오가 우선 설명된다.
예 1: 보안 컨텍스트 없음
도 8은 예시적인 실시예에서 UE(110)의 NAS 절차를 수행하는 방법(800)을 예시하는 흐름도이다. 방법(800)의 단계들은 도 6의 UE(110)를 참조하여 설명될 것이지만, 당업자는 방법(800)이 다른 네트워크들 또는 아키텍처들에서 수행될 수 있다는 것을 이해할 것이다. 또한, 본원에 설명된 흐름도들의 단계들은 모두 포함되는 것은 아니며, 도시되지 않은 다른 단계들을 포함할 수 있으며, 단계들은 대안적인 순서로 수행될 수 있다.
이 실시예의 경우, UE(110)와 네트워크 요소(132) 사이에 NAS 통신 세션이 없다고 가정할 수 있다. 또한 UE(110)가 비연결 모드(예를 들어, 유휴 모드)에 있고 연결 모드로 전환되고 있다고 가정할 수 있다. UE(110)의 NAS 컨트롤러(634)는 UE(110)와 네트워크 요소(132) 사이에 NAS 통신 세션을 설정하기 위한 NAS 절차를 개시한다(단계 802). 예를 들어, NAS 절차는 등록 절차를 포함할 수 있다. 각 NAS 절차는 필수 NAS 프로토콜 IE 세트를 포함하며, 정보 전송을 위한 선택적 NAS 프로토콜 IE 세트도 포함할 수 있다. 따라서, NAS 컨트롤러(634)는 NAS 절차에 대한 NAS 프로토콜 IE들(필수 및 선택)을 식별할 수 있다.
이 실시예에서, NAS 절차는 다수의 단계들(831-832)에서 수행된다. NAS 절차의 제1 단계(831) 동안, NAS 컨트롤러(634)는 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE들의 서브셋을 식별한다(단계 804). 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE드의 서브셋은 UE에 대한 NAS 보안 컨텍스트를 생성하거나 설정하는 데 사용되는 IE들을 지칭한다. 제1 단계(831)에서 최소한의 정보를 제공하는 것이 바람직할 수 있으므로, NAS 프로토콜 IE들의 서브셋은 NAS 보안 컨텍스트를 설정하는 데 사용되는 NAS 절차에 대한 최소 수의 IE들을 포함할 수 있다. 등록 절차의 경우, 일 예에서, NAS 프로토콜 IE들의 서브셋은 UE에 대한 모바일 아이덴티티(예를 들어, 5G-GUTI 또는 가입 은폐 식별자(Subscription Concealed Identifier; SUCI)), UE에 의해 지원되는 하나 이상의 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형(예를 들어, 초기, 이동성, 주기적, 긴급 등) 및 UE의 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자(예를 들어, ngKSI, eKSI 등)로 구성될 수 있다.
NAS 컨트롤러(634)는 "초기" 유형의 등록 요청과 같은, NAS 절차에 대한 초기 NAS 메시지를 포맷하거나 생성할 수 있다. 초기 NAS 메시지는 UE가 비연결 모드(예를 들어, 유휴 모드)에서 연결 모드로 전환된 후 전송되는 제1 NAS 메시지를 지칭한다. NAS 컨트롤러(634)는 초기 NAS 메시지에 NAS 프로토콜 IE들의 서브셋을 포함하거나 삽입한다(단계 806). 제1 단계(831)에서, 초기 NAS 메시지는 NAS 프로토콜 IE들의 서브셋으로 채워지고, 초기 NAS 메시지에 채워지는 IE들은 보안 관련 처리를 위해 선택되는 NAS 프로토콜 IE들의 서브셋으로 제한(즉, 서브셋으로만 또는 전적으로 구성)된다. 초기 NAS 메시지는 NAS 절차에 대한 모든 필수 NAS 프로토콜 IE들을 포함하지는 않기 때문에, 초기 NAS 메시지는 제1 단계(831)에서 "부분" 메시지로 간주된다. 서브셋으로부터 제외된 다른 필수 NAS 프로토콜 IE들이 (제2 단계(832)의 일부로서) 다른 NAS 메시지에 포함될 것이다. 그런 다음, NAS 컨트롤러(634)는 초기 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 810).
초기 NAS 메시지를 전송하기 전에, NAS 컨트롤러(634)는 UE(110)에 대한 HPLMN의 공개 키를 사용하여 초기 NAS 메시지 내의 NAS 프로토콜 IE들의 서브셋을 선택적으로 암호화할 수 있다(선택적 단계 808). 각 HPLMN은 타원 곡선 통합 암호화 방식(Elliptic Curve Integrated Encryption Scheme; ECIES)에 따라 공개 키들을 할당할 수 있다. 보호 방식에 따라, 다수의 공개 키들이 있을 수 있다. HPLMN의 공개 키들은 일반적으로 UE(110)의 USIM(662)에서 프로비저닝된다. 따라서, NAS 컨트롤러(634)는 초기 NAS 메시지에서 제1 단계(831) 동안 식별된 NAS 프로토콜 IE들의 서브셋을 암호화할 수 있다. 공개 키를 사용하여 NAS 프로토콜 IE들의 서브셋을 암호화할지 여부에 대한 결정은 정책 또는 기준을 기반으로 할 수 있다. 예를 들어, NAS 컨트롤러(634)는 등록 유형이 긴급을 나타내지 않을 때(예를 들어, 등록 유형 = 초기) NAS 프로토콜 IE들의 서브셋을 암호화할 수 있고, 등록 유형이 긴급을 나타낼 때 암호화없이 초기 NAS 메시지를 전송할 수 있다. 다른 예에서, NAS 컨트롤러(634)는 UE(110)가 USIM(662)에 프로그래밍된 공개 키를 가질 때 NAS 프로토콜 IE들의 서브셋을 암호화할 수 있고, UE(110)가 USIM(662)에 프로그래밍된 공개 키를 갖지 않을 때 암호화없이 초기 NAS 메시지를 전송할 수 있다.
도 9는 예시적인 실시예의 네트워크 요소(132)의 NAS 절차를 수행하는 방법(900)을 예시하는 흐름도이다. 방법(900)의 단계들은 도 7의 네트워크 요소(132)를 참조하여 설명될 것이지만, 당업자는 방법(900)이 다른 네트워크들 또는 아키텍처들에서 수행될 수 있다는 것을 이해할 것이다.
제1 단계(831) 동안, 네트워크 요소(132)의 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 초기 NAS 메시지를 수신한다(단계 902). 초기 NAS 메시지를 수신한 후, 보안 매니저(704)는 HPLMN의 공개 키를 사용하여 정보가 암호화되었는지 여부를 결정하기 위해 초기 NAS 메시지를 선택적으로 처리할 수 있다. 초기 NAS 메시지가 암호화될 때, 보안 매니저(704)는 초기 NAS 메시지 내의 NAS 프로토콜 IE들의 서브셋의 복호화를 개시할 수 있다(선택적 단계 904). 일 예에서, 보안 매니저(704)는 NAS 프로토콜 IE들의 서비스들을 내부적으로 복호화하도록 구성될 수 있다. 다른 예에서, 보안 매니저(704)는 NAS 프로토콜 IE들의 서브셋을 복호화하기 위해 NAS 프로토콜 IE들의 서브셋을 다른 네트워크 요소(예를 들어, UDM 요소(312))로 전송할 수 있다.
보안 매니저(704)는 NAS 프로토콜 IE들의 서브셋을 처리하고, UE(110)에 대한 NAS 보안 컨텍스트가 존재하지 않는다고 결정한다(단계 906). NAS 보안 컨텍스트가 존재하지 않기 때문에, 보안 매니저(704)는 UE(110)를 인증하기 위한 인증 절차를 개시할 수 있다(단계 908). 인증 절차(예를 들어, 인증 및 키 계약(AKA))는 UE(110)와 모바일 네트워크(100) 사이의 상호 인증을 수행하는 데 사용된다. 인증 절차들은 다양할 수 있지만, 일반적으로 보안 매니저(704)는 네트워크 인터페이스 구성요소(702)를 통해 인증 토큰과 함께 인증 요청을 UE(110)로 전송할 수 있다(선택적 단계 910). 인증 요청에 응답하여, UE(110)는 그 끝에서 인증 단계들을 처리하고, 인증 토큰의 유효성을 검증하려고 시도한다(도 8의 단계(812) 참조). 성공한 경우, UE(110)는 모바일 네트워크(100)가 인증된 것으로 간주한다. UE(110)는 응답 토큰을 계산하고, 네트워크 인터페이스 구성요소(702)를 통해 보안 매니저(704)에 의해 수신되는 응답 토큰과 함께 인증 응답을 전송한다(선택적 단계 912). 그런 다음, 보안 매니저(704)(또는 다른 네트워크 요소)는 응답 토큰이 유효한지 여부를 결정(예를 들어, 응답 토큰을 예상된 응답 토큰과 비교)할 수 있다. 응답 토큰이 유효하면, 보안 매니저(704)는 UE(110)가 인증된 것으로 간주한다.
UE(110)가 검증된 상태에서, 보안 매니저(704)는 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다(단계 914). NAS 보안 절차의 경우, 보안 매니저(704)는 NAS 보안 컨텍스트에 대한 하나 이상의 NAS 보안 알고리즘들을 선택하고(단계 916), 하나 이상의 NAS 보안 키들(예를 들어, KAMF, KASME 등)를 도출한다. NAS 보안 알고리즘은 NAS 암호화 알고리즘 및 무결성 보호 알고리즘을 포함할 수 있다. 그런 다음, 보안 매니저(704)는 네트워크 인터페이스 구성요소(702)를 통해 NAS 보안 컨텍스트에 대해 선택된 보안 키 세트 식별자 및 NAS 보안 알고리즘(들)을 표시하거나 포함하는 응답을 UE로 전송한다(단계 918). 응답은 NAS 보안 알고리즘(들), 보안 키 세트 식별자(예를 들어, ngKSI, eKSI 등) 및 기타 정보를 포함하는 보안 모드 커맨드를 포함할 수 있다.
도 8에서, UE(110)의 NAS 컨트롤러(634)는 NAS 보안 알고리즘(들) 및 보안 키 세트 식별자를 나타내는 응답을 네트워크 요소(132)로부터 수신한다(단계 814). 네트워크 요소(132)로부터의 응답에서 제공되는 정보로, NAS 보안 컨텍스트가 UE(110)와 네트워크 요소(132) 사이에서 설정된다. 따라서, UE(110)와 네트워크 요소(132) 사이의 후속 NAS 메시지들은 NAS 보안 컨텍스트를 사용하여 보안될 수 있다.
NAS 절차의 제2 단계(832) 동안, NAS 컨트롤러(634)는 초기 NAS 메시지에 NAS 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다(단계 816). 초기 NAS 메시지는 제1 단계(831)에서 네트워크 요소(132)로 이전에 전송된 초기 NAS 메시지의 사본, 중복 또는 동일한 유형이다. 이 단계에서, 초기 NAS 메시지는 NAS 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 초기 NAS 메시지는 NAS 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 초기 NAS 메시지는 제2 단계(832)에서 "완전한" NAS 메시지로 간주된다.
UE(110)의 NAS 컨트롤러(634)는 NAS 절차에 대한 후속 NAS 메시지를 포맷하거나 생성할 수 있다. 예를 들어, 후속 NAS 메시지는 보안 모드 완료 메시지를 포함할 수 있다. NAS 컨트롤러(634)는 후속 NAS 메시지의 NAS 메시지 컨테이너에 초기 NAS 메시지를 포함하거나 삽입한다(단계 818). NAS 메시지 컨테이너는 일반 NAS 메시지를 캡슐화하는 데 사용되는 IE의 유형이다. NAS 컨트롤러(634)는 NAS 보안 알고리즘(들)을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 암호화한다(단계 820). 따라서, 완전한 초기 NAS 메시지는 후속 NAS 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, NAS 컨트롤러(634)는 후속 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 822).
도 9에서, 제2 단계(832) 동안, 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 후속 NAS 메시지를 수신한다(단계 920). 보안 매니저(704)는 완전한 초기 NAS 메시지에 액세스하기 위해 NAS 보안 알고리즘(들)을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화한다(단계 922). 그런 다음, 보안 매니저(704) 또는 네트워크 요소(132)의 다른 서브시스템들은 NAS 절차를 더 수행하기 위해 완전한 초기 NAS 메시지로부터 NAS 프로토콜 IE들을 처리할 수 있다. 예를 들어, 등록 매니저(706)는 등록 수락 메시지를 UE(110)로 전송할 수 있고, UE(110)로부터 등록 완료 메시지를 수신할 수 있다(선택적 단계 924). 이 프로세스의 기술적 이점 중 하나는 NAS 보안 컨텍스트를 설정하는 데 필요한 NAS 프로토콜 IE들만 부분 초기 NAS 메시지의 HPLMN 공개 키에 따라 암호화되지 않거나 암호화된 상태로 전송되는 반면, 완전한 초기 NAS 메시지는 추가 보안 보호를 제공하는 후속 NAS 메시지에서 암호화된다는 점이다.
도 10는 예시적인 실시예에서 UE에 보안 컨텍스트가 없을 경우 NAS 절차를 나타내는 메시지이다. 도 10에 도시된 NAS 절차는 등록 절차이지만, 유사한 개념들이 다른 NAS 절차들에 적용될 수 있다. 이 예는 네트워크 요소(132)가 AMF 요소(314)를 포함하는 5G 네트워크에 도시된다.
이 NAS 절차는 다시 다수의 단계들에서 수행된다. 제1 단계 동안, UE(110)는 NAS 등록 절차에 대한 초기 등록 요청을 생성하거나 포맷한다. NAS 등록 절차는 정보를 전송하는 데 사용되는 NAS 프로토콜 IE 세트(필수 및 선택)가 있다. 이 실시예에서, UE(110)는 제1 단계에서 전체 NAS 프로토콜 IE 세트로 초기 등록 요청을 채우지 않는다. 대신, UE(110)는 NAS 보안 컨텍스트를 설정하는 데 필수적인 NAS 프로토콜 IE들을 식별한다. 다라서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋을 식별한다. 이 예에서, NAS 프로토콜 IE의 서브셋은 5G 전세계적으로 고유한 임시 아이덴티티(5G Globally Unique Temporary Identity; 5G-GUTI), UE 보안 성능, 등록 유형 및 ngKSI로 구성될 수 있다. UE(110)는 초기 등록 요청에 NAS 프로토콜 IE들의 서브셋을 삽입한다. 초기 등록 요청은 NAS 등록 절차에 대한 모든 필수 NAS 프로토콜 IE들을 포함하지는 않기 때문에, 초기 등록 요청은 제1 단계에서 "부분" 요청이다. UE(110)는 또한 UE(110)에 의해 생성된 SUCI와 같은 다른 정보를 초기 등록 요청에 삽입할 수 있다. 이 예에서, UE(110)는 HPLMN 공개 키를 사용하여 NAS 프로토콜 IE들의 서브셋을 암호화하고, 초기 등록 요청을 AMF 요소(314)로 전송한다(S1). 암호화에 사용되는 보호 방식 및 공개 키 식별자는 SUCI에 표시된 보호 방식 및 공개 키 식별자와 동일하다. 그러나, 상기에 설명된 바와 같이, HPLMN 공개 키를 사용한 NAS 프로토콜 IE들의 서브셋의 암호화는 선택적이다. SUCI의 보호 방식이 NULL인 경우, NAS 프로토콜 IE들의 서브셋은 암호화되지 않는다.
초기 등록 요청을 수신하는 것에 응답하여, AMF 요소(314)는 UE의 PLMN ID 및 라우팅 ID에 기초하여 복호화하기 위해 UE의 홈 UDM으로 정보를 라우팅한다. 따라서, AMF 요소(314)는 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보(예를 들어, SUCI 및 서빙 네트워크 명)와 함께 인증 요청에 암호화된 NAS 프로토콜 IE들의 서브셋을 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S2). 인증 요청을 수신하는 것에 응답하여, AUSF 요소(310)는 인증 요청(즉, Nudm _UEAuthentication_Get Request)을 포맷하거나 생성하고, 다른 정보와 함께 인증 요청에 암호화된 NAS 프로토콜 IE들의 서브셋을 삽입한다. 그런 다음, AUSF 요소(310)는 인증 요청을 UDM 요소(312)로 전송한다(S3).
인증 요청에 응답하여, UDM 요소(312)는 NAS 프로토콜 IE들의 서브셋이 판독 가능하도록 HPLMN 개인 키를 사용하여(즉, SUCI에 대해 선택된 보호 방식에 따른 정보를 사용하여) NAS 프로토콜 IE들의 서브셋을 복호화한다. UDM 요소(312)는 또한 인증 방법을 선택하고 AUSF 요소(310)에 대한 인증 데이터 및 키잉 자료들(예를 들어, 토큰들)를 계산하는 인증 자격증명 저장소 및 처리 기능(Authentication Credential Repository and Processing Function; ARPF)과 관련된 기능들을 호스팅한다(필요한 경우). UDM 요소(312)는 AUSF 요소(310)에 대한 인증 응답(즉, Nudm_UEAuthentication_Get Response)을 포맷하거나 생성하고, 인증 응답에 복호화된 NAS 프로토콜 IE들의 서브셋, 인증 벡터(AV) 및 기타 정보를 삽입한다. 그런 다음, UDM 요소(312)는 인증 응답을 AUSF 요소(310)로 전송한다(S4). 인증 응답을 수신하는 것에 응답하여, AUSF 요소(310)는 AMF 요소(314)에 대한 인증 응답(즉, Nuasf _UEAuthentication_Authenticate Response)을 포맷하거나 생성하고, 인증 응답에 부호화된 NAS 프로토콜 IE들의 서브셋, AV 및 기타 정보를 삽입한다. 그런 다음, AUSF 요소(310)는 인증 응답을 AMF 요소(314)로 전송한다(S5).
AMF 요소(314)는 UDM/AUSF에 의해 제공되는 정보를 사용하여 UE(110)와 인증 절차를 수행하도록 구성된다. 예를 들어, AMF 요소(314)는 AV로부터의 인증 토큰과 함께 인증 요청을 UE(110)로 전송하고(S6), UE(110)는 인증 토큰의 유효성을 검증하려고 시도한다. 성공한 경우, UE(110)는 응답 토큰을 계산하고, 응답 토큰과 함께 인증 응답을 전송하며, 이는 AMF 요소(314)에 의해 수신된다(S7). AMF 요소(314)는 다른 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보와 함께, 인증 요청에 UE(110)로부터의 응답 토큰을 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S8). AUSF 요소(310)는 UE(110)로부터의 응답 토큰이 예상된 응답 토큰과 일치하는지 여부를 확인하고, 인증의 성공/실패를 나타내는 인증 응답(즉, Nausf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송한다.
UE(110)가 네트워크에 대해 인증될 때, AMF 요소(314)는 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다. AMF 요소(314)는 암호화 및 무결성 보호를 위해 NAS 보안 알고리즘(또는 다중 알고리즘들)을 선택한다. AMF 요소(314)는 보안 모드 커맨드 메시지를 포맷하거나 생성하고, 보안 모드 커맨드 메시지에 NAS 보안 알고리즘(들), ngKSI 및 기타 정보의 표시자를 삽입한다. 그런 다음, AMF 요소(314)는 보안 모드 커맨드 메시지를 UE(110)로 전송한다(S10).
NAS 절차의 제2 단계 동안, UE(110)는 ngKSI 및 NAS 보안 알고리즘을 사용하여 후속 NAS 메시지들을 보호하기 위한 대응하는 키들을 도출한다. 따라서, NAS 보안 컨텍스트는 UE(110)와 AMF 요소(314) 사이에서 설정된다. UE(110)는 초기 등록 요청에 NAS 등록 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입하는데, 이는 제1 단계에서 이전에 전송된 초기 등록 요청과 사본, 중복 또는 동일한 유형의 메시지이다. 초기 등록 요청은 모든 필수 NAS 프로토콜 IE들, 및 정보를 전송하는 데 사용되는 임의의 선택적 NAS 프로토콜 IE들을 포함한다. 추가 NAS 프로토콜 IE들은, 비-현재 기본 NAS 키 세트 식별자, 5G 이동성 관리(Mobility Management; MM) 성능, 요청된 네트워크 슬라이스 선택 지원 정보(Requested Network Slice Selection Assistance Information; NSSAI), 마지막으로 방문한 등록된 추적 영역 식별자(Tracking Area Identifier; TAI), S1 UE 네트워크 성능, 업링크 데이터 상태, PDU 세션 상태, 이동 개시 접속 전용(Mobile Initiated Connection Only; MICO) 표시, UE 상태, 추가 GUTI, 허용된 PDU 세션 상태, UE의 사용 설정, 요청된 불연속 수신(Discontinuous Reception; DRX) 파라미터들, EPS NAS 메시지 컨테이너 및 페이로드 컨테이너를 포함할 수 있다. 따라서, 초기 등록 요청은 모든 필수 NAS 프로토콜 IE들을 포함하므로 제2 단계에서의 "완전한" 요청이다. UE(110)는 보안 모드 완료 메시지를 포맷하거나 생성하고, 보안 모드 완료 메시지의 NAS 메시지 컨테이너에 완전한 초기 등록 요청을 삽입한다. UE(110)는 NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 초기 등록 요청은 보안 모드 완료 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 보안 모드 완료 메시지를 AMF 요소(314)로 전송한다(S11).
AMF 요소(314)는 UE(110)로부터 보안 모드 완료 메시지를 수신하고, 완전한 초기 등록 요청으로부터 NAS 프로토콜 IE들에 액세스하기 위해 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 복호화한다. 그런 다음, AMF 요소(314)는 등록 수락 메시지를 UE(110)로 전송하는 것과 같은 등록 절차를 계속한다(S12). UE(110)는 등록 완료 메시지로 AMF 요소(314)에 응답하고(S13), 이 시점에서 UE(110)는 서비스들에 액세스하기 위해 네트워크에 등록된다.
예 2: 보안 컨텍스트 없음
보안 컨텍스트가 존재하지 않을 때 NAS 절차의 또 다른 예에서, 도 11은 예시적인 실시예에서 UE(110)의 NAS 절차를 수행하는 방법(1100)을 예시하는 흐름도이다. UE(110)의 NAS 컨트롤러(634)는 UE(110)와 네트워크 요소(132) 사이에 NAS 통신 세션을 설정하기 위한 NAS 절차를 개시한다(단계 1102). NAS 컨트롤러(634)는 NAS 절차에 대한 NAS 프로토콜 IE들(필수 및 선택)을 식별한다(단계 1104). NAS 컨트롤러(634)는 NAS 절차에 대한 제1 초기 NAS 메시지를 포맷하거나 생성할 수 있고, 제1 초기 NAS 메시지에 NAS 프로토콜 IE들을 포함하거나 삽입할 수 있다(단계 1106). 이 단계에서, 제1 초기 NAS 메시지는 NAS 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제1 초기 NAS 메시지는 NAS 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제1 초기 NAS 메시지는 "완전한" NAS 메시지로 간주된다.
NAS 컨트롤러(634)는 또한 제1 초기 NAS 메시지의 중복인 제2 초기 NAS 메시지를 포맷하거나 생성한다(단계 1108). 중복 메시지는 NAS 절차에 대한 동일한 유형의 메시지를 지칭한다. 예를 들어, 제1 초기 NAS 메시지가 등록 요청인 경우, 제2 초기 NAS 메시지도 등록 요청이다. 그러나, 중복 메시지에 채워진 IE들은 원본 메시지와 다를 수 있다. NAS 컨트롤러(634)는 제2 초기 NAS 메시지의 NAS 메시지 컨테이너에 제1 초기 NAS 메시지를 포함하거나 삽입한다(단계 1110). NAS 컨트롤러(634)는 UE(110)에 대한 HPLMN의 공개 키를 사용하여 제2 초기 NAS 메시지의 NAS 메시지 컨테이너를 암호화한다(단계 1112). 따라서, 완전한 제1 초기 NAS 메시지는 제2 초기 NAS 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, NAS 컨트롤러(634)는 제2 초기 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 1114).
도 12는 예시적인 실시예에서 네트워크 요소(132)의 NAS 절차를 수행하는 방법(1200)을 예시하는 흐름도이다. 네트워크 요소(132)의 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 제2 초기 NAS 메시지를 수신한다(단계 1202). 이 예에서와 같이 NAS 메시지 컨테이너가 암호화될 때, 보안 매니저(704)는 제1 초기 NAS 메시지에 액세스하기 위해 NAS 메시지 컨테이너의 복호화를 개시한다(단계 1204). 일 예에서, 보안 매니저(704)는 NAS 메시지 컨테이너를 복호화하도록 구성될 수 있다. 다른 예에서, 보안 매니저(704)는 NAS 메시지 컨테이너를 복호화하기 위해 NAS 메시지 컨테이너를 다른 네트워크 요소(예를 들어, UDM 요소(312))로 전송할 수 있다.
NAS 메시지 컨테이너가 복호화된 상태에서, 보안 매니저(704)는 제1 초기 NAS 메시지에 액세스할 수 있다. 제1 초기 NAS 메시지는 NAS 절차에 대한 NAS 프로토콜 IE들로 채워진다. 보안 매니저(704)는 NAS 프로토콜 IE들을 처리하고, UE(110)에 대한 NAS 보안 컨텍스트가 존재하지 않는다고 결정할 수 있다(단계 1206). NAS 보안 컨텍스트가 존재하지 않기 때문에, 보안 매니저(704)는 UE(110)를 인증하기 위한 인증 절차를 개시할 수 있다(단계 1208). 인증 절차의 경우, 보안 매니저(704)는 네트워크 인터페이스 구성요소(702)를 통해 인증 토큰과 함께 인증 요청을 UE(110)로 전송할 수 있다(선택적 단계 1210). 인증 요청에 응답하여, UE(110)는 그 끝에서 인증 단계들을 처리하고, 인증 토큰의 유효성을 검증하려고 시도한다(도 11의 단계(1116) 참조). 성공한 경우, UE(110)는 모바일 네트워크(100)가 인증된 것으로 간주한다. UE(110)는 응답 토큰을 계산하고, 네트워크 인터페이스 구성요소(702)를 통해 보안 매니저(704)에 의해 수신되는 응답 토큰과 함께 인증 응답을 전송한다(선택적 단계 1212). 그런 다음, 보안 매니저(704)(또는 다른 네트워크 요소)는 응답 토큰이 유효한지 여부를 결정(예를 들어, 응답 토큰을 예상된 응답 토큰과 비교)할 수 있다. 응답 토큰이 유효하면, 보안 매니저(704)는 UE(110)가 인증된 것으로 간주한다.
UE(110)가 검증된 상태에서, 보안 매니저(704)는 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다(단계 1214). NAS 보안 절차의 경우, 보안 매니저(704)는 NAS 보안 컨텍스트에 대한 하나 이상의 NAS 보안 알고리즘들을 선택하고(단계 1216), 하나 이상의 NAS 보안 키들(예를 들어, KAMF, KASME 등)를 도출한다. 보안 매니저(704)는 보안 모드 커맨드를 포맷하거나 생성하고, 네트워크 인터페이스 구성요소(702)를 통해 NAS 보안 컨텍스트에 대해 선택된 NAS 보안 알고리즘(들) 및 보안 키 세트 식별자를 나타내거나 포함하는 보안 모드 커맨드를 UE(110)로 전송한다(단계 1218).
도 11에서, UE(110)의 NAS 컨트롤러(634)는 NAS 보안 알고리즘(들)을 나타내는 보안 모드 커맨드를 네트워크 요소(132)로부터 수신한다(단계 1118). 보안 모드 커맨드에서 제공되는 정보로, NAS 보안 컨텍스트가 UE(110)와 네트워크 요소(132) 사이에서 설정된다. 따라서, UE(110)와 네트워크 요소(132) 사이의 후속 NAS 메시지들은 NAS 보안 컨텍스트를 사용하여 보안될 수 있다. 그런 다음, UE(110)의 NAS 컨트롤러(634)는 보안 모드 완료 메시지를 포맷하거나 생성할 수 있고, 보안 모드 완료 메시지를 네트워크 요소(132)로 전송할 수 있다(단계 1120). 도 12에서, 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 보안 모드 완료를 수신한다(단계 1220). 보안 매니저(704)는 NAS 보안 알고리즘(들)을 사용하여 임의의 후속 NAS 메시지들을 복호화할 수 있다. 이 프로세스의 기술적 이점 중 하나는 NAS 보안 컨텍스트를 설정하는 데 필요한 NAS 프로토콜 IE들만 부분 초기 NAS 메시지에 암호화되지 않은 상태로 삽입되는 반면, 완전한 초기 NAS 메시지는 추가 보안 보호를 제공하는 부분 초기 NAS 메시지에서 암호화된다는 점이다.
도 13은 예시적인 실시예에서 UE에 보안 컨텍스트가 없는 경우 NAS 절차를 나타내는 메시지 도면이다. 도 13에 도시된 NAS 절차는 등록 절차이지만, 유사한 개념들이 다른 NAS 절차들에 적용될 수 있다. UE(110)는 NAS 등록 절차에 대한 초기 등록 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 전체 NAS 프로토콜 IE 세트로 등록 요청을 채운다. 따라서, 등록 요청은 완전한 등록 요청이다.
UE(110)는 또한 완전한 등록 요청의 중복인 다른 등록 요청을 생성하거나 포맷한다. 다른 등록 요청은 "초기" 유형이며, 따라서 초기 등록 요청이다. 완전한 등록 요청에서 필수 NAS 프로토콜 IE들 각각을 채우는 대신, UE(110)는 초기 등록 요청의 NAS 메시지 컨테이너에 완전한 등록 요청을 삽입한다. UE(110)는 또한 UE(110)에 의해 생성된 SUCI와 같은 다른 정보를 초기 등록 요청에 삽입할 수 있다. 이 예에서, UE(110)는 HPLMN 공개 키를 사용하여 초기 등록 요청의 NAS 메시지 컨테이너를 암호화하고, 초기 등록 요청을 AMF 요소(314)로 전송한다(S1).
초기 등록 요청을 수신하는 것에 응답하여, AMF 요소(314)는 UE의 PLMN ID 및 라우팅 ID에 기초하여 복호화하기 위해 UE의 홈 UDM으로 정보를 라우팅한다. 따라서, AMF 요소(314)는 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보와 함께 인증 요청에 초기 등록 요청의 암호화된 NAS 메시지 컨테이너를 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S2). 인증 요청을 수신하는 것에 응답하여, AUSF 요소(310)는 인증 요청(즉, Nudm _UEAuthentication_Get Request)을 포맷하거나 생성하고, 다른 정보와 함께, 인증 요청에 암호화된 NAS 메시지 컨테이너를 삽입한다. 그런 다음, AUSF 요소(310)는 인증 요청을 UDM 요소(312)로 전송한다(S3).
인증 요청에 응답하여, UDM 요소(312)는 완전한 등록 요청이 판독 가능하도록 HPLMN 개인 키를 사용하여 암호화된 NAS 메시지 컨테이너를 복호화한다. UDM 요소(312)는 또한 인증 방법을 선택하고, AUSF 요소(310)에 대한 인증 데이터 및 키잉 자료(예를 들어, 토큰)를 계산(필요한 경우)한다. UDM 요소(312)는 AUSF 요소(310)에 대한 인증 응답(즉, Nudm_UEAuthentication_Get Response)을 포맷하거나 생성하고, 인증 응답에 복호화된 NAS 메시지 컨테이너, 인증 벡터(AV) 및 기타 정보를 삽입한다. 그런 다음, UDM 요소(312)는 인증 응답을 AUSF 요소(310)로 전송한다(S4). 인증 응답을 수신하는 것에 응답하여, AUSF 요소(310)는 AMF 요소(314)에 대한 인증 응답(즉, Nuasf _UEAuthentication_Authenticate Response)을 포맷하거나 생성하고, 인증 응답에 부호화된 NAS 메시지 컨테이너, AV 및 기타 정보를 삽입한다. 그런 다음, AUSF 요소(310)는 인증 응답을 AMF 요소(314)로 전송한다(S5).
AMF 요소(314)는 UDM/AUSF에 의해 제공되는 정보를 사용하여 UE(110)와 인증 절차를 수행하도록 구성된다. 예를 들어, AMF 요소(314)는 AV로부터의 인증 토큰과 함께 인증 요청을 UE(110)로 전송하고(S6), UE(110)는 인증 토큰의 유효성을 검증하려고 시도한다. 성공한 경우, UE(110)는 응답 토큰을 계산하고, 응답 토큰과 함께 인증 응답을 전송하며, 이는 AMF 요소(314)에 의해 수신된다(S7). AMF 요소(314)는 다른 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보와 함께, 인증 요청에 UE(110)로부터의 응답 토큰을 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S8). AUSF 요소(310)는 UE(110)로부터의 응답 토큰이 예상된 응답 토큰과 일치하는지 여부를 확인하고, 인증의 성공/실패를 나타내는 인증 응답(즉, Nausf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송한다.
UE(110)가 네트워크에 대해 인증될 때, AMF 요소(314)는 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다. AMF 요소(314)는 암호화 및 무결성 보호를 위해 NAS 보안 알고리즘(또는 다중 알고리즘들)을 선택한다. AMF 요소(314)는 보안 모드 커맨드 메시지를 포맷하거나 생성하고, 보안 모드 커맨드 메시지에 NAS 보안 알고리즘, ngKSI 및 기타 정보의 표시자를 삽입한다. 그런 다음, AMF 요소(314)는 보안 모드 커맨드 메시지를 UE(110)로 전송한다(S10). UE(110)는 ngKSI 및 NAS 보안 알고리즘을 사용하여 후속 NAS 메시지들을 보호하기 위한 대응하는 키들을 도출한다. 따라서, 보안 컨텍스트는 UE(110)와 AMF 요소(314) 사이에서 설정된다. UE(110)는 보안 모드 완료 메시지를 포맷 또는 생성하고, 보안 모드 완료 메시지를 AMF 요소(314)로 전송한다(S11).
AMF 요소(314)는 등록 수락 메시지를 UE(110)로 전송하는 것과 같은 등록 절차를 계속한다(S12). UE(110)는 등록 완료 메시지로 AMF 요소(314)에 응답하고(S13), 이 시점에서 UE(110)는 서비스들에 액세스하기 위해 네트워크에 등록된다.
예 3: 보안 컨텍스트 존재함 - 보안 컨텍스트가 유효함
추가 예들에서, NAS 절차는 UE와 액세스 보안 관리 엔티티(예를 들어, AMF, MME 등) 사이에 NAS 보안 컨텍스트가 이미 존재할 때 수행되거나 호출될 수 있다. 다음은 NAS 보안 컨텍스트가 존재할 때 NAS 절차의 예들을 제공한다.
도 14는 예시적인 실시예에서 UE(110)의 NAS 절차를 수행하는 방법(1400)을 예시하는 흐름도이다. UE(110)의 NAS 컨트롤러(634)는 UE(110)와 네트워크 요소(132) 사이에 NAS 통신 세션을 설정(또는 재설정)하기 위한 NAS 절차를 개시한다(단계 1402). NAS 컨트롤러(634)는 보안 관련 처리를 위해 지정된 NAS 프로토콜 IE들의 서브셋을 식별한다(단계 1404). NAS 컨트롤러(634)는 "이동성", "주기적" 등의 유형의 등록 요청과 같은, NAS 절차에 대한 제1 NAS 메시지를 포맷하거나 생성한다. NAS 컨트롤러(634)는 제1 NAS 메시지에 NAS 프로토콜 IE들의 서브셋을 포함하거나 삽입한다(단계 1406).
NAS 컨트롤러(634)는 또한 제1 NAS 메시지의 중복인 제2 NAS 메시지를 포맷하거나 생성한다. NAS 컨트롤러(634)는 제2 NAS 메시지에 NAS 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다(단계 1408). 이 단계에서, 제2 NAS 메시지는 NAS 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 NAS 메시지는 NAS 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 NAS 메시지는 "완전한" NAS 메시지로 간주된다.
NAS 컨트롤러(634)는 제1 NAS 메시지의 NAS 메시지 컨테이너에 제2 NAS 메시지를 포함하거나 삽입한다(단계 1410). NAS 컨트롤러(634)는 NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 NAS 메시지의 NAS 메시지 컨테이너를 암호화한다(단계 1412). 따라서, 완전한 제2 NAS 메시지는 제1 NAS 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, NAS 컨트롤러(634)는 제1 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 1414).
도 15는 예시적인 실시예에서 네트워크 요소(132)의 NAS 절차를 수행하는 방법(1500)을 예시하는 흐름도이다. 네트워크 요소(132)의 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 제1 초기 NAS 메시지를 수신한다(단계 1502). 보안 매니저(704)는 UE(110)에 대한 NAS 보안 컨텍스트를 식별하기 위해 제1 NAS 메시지 내의 NAS 프로토콜 IE들의 서브셋을 처리한다(단계 1504). 그런 다음, 보안 관리자(704)는 NAS 메시지 컨테이너에 포함된 제2 NAS 메시지에 액세스하기 위해 NAS 보안 컨텍스트를 사용하여 제1 NAS 메시지의 NAS 메시지 컨테이너를 복호화한다(단계 1506). 제1 NAS 메시지 내의 NAS 메시지 컨테이너가 복호화된 상태에서, 보안 매니저(704)는 복호화된 제2 NAS 메시지에 액세스할 수 있다. 제2 NAS 메시지는 NAS 절차에 대한 NAS 프로토콜 IE들로 채워진다. 따라서, 보안 매니저(704)는 NAS 절차에 대한 추가 처리를 계속하기 위해 제2 NAS 메시지 내의 NAS 프로토콜 IE들을 처리할 수 있다(단계 1508). 이 프로세스의 기술적 이점 중 하나는 NAS 보안 컨텍스트를 식별하는 데 필요한 NAS 프로토콜 IE들만 제1 NAS 메시지에 암호화되지 않은 상태로 전송되는 반면, 완전한 제2 NAS 메시지는 추가 보안 보호를 제공하는 제1 NAS 메시지에서 암호화된다는 점이다.
도 16은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 없을 경우 NAS 등록 절차를 나타내는 메시지 도면이다. UE(110)는 NAS 등록 절차에 대한 제1 등록 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋으로 제1 등록 요청을 채운다. 이 정보는 AMF 요소(314)에 대한 NAS 보안 컨텍스트를 나타내는 데 사용된다. 예를 들어, NAS 프로토콜 IE들의 서브셋은 5G-GUTI, 등록 유형 및 ngKSI를 포함할 수 있다. UE(110)는 또한 제1 등록 요청의 중복인 제2 등록 요청을 포맷하거나 생성한다. UE(110)는 제2 등록 요청에 NAS 등록 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다. 이 단계에서, 제2 등록 요청은 NAS 등록 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 등록 요청은 NAS 등록 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 등록 요청은 "완전한" 등록 요청으로 간주된다.
UE(110)는 제1 등록 요청의 NAS 메시지 컨테이너에 제2 등록 요청을 포함하거나 삽입하고, NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 등록 요청의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 제2 등록 요청은 제1 등록 요청의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 제1 등록 요청을 AMF 요소(314)로 전송한다(S1).
제1 등록 요청을 수신하는 것에 응답하여, AMF 요소(314)는 제1 등록 요청에 포함된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별하거나 검색한다. 그런 다음, AMF 요소(314)는 제2 등록 요청이 판독 가능하도록 NAS 보안 컨텍스트를 사용하여 제1 등록 요청의 암호화된 NAS 메시지 컨테이너를 복호화한다. 따라서, AMF 요소(314)는 NAS 등록 절차에 대한 전체 NAS 프로토콜 IE 세트를 처리하고, NAS 등록 절차에 대한 처리를 계속할 수 있다. 예를 들어, AMF 요소(314)는 등록 수락 메시지를 UE(110)로 전송한다(S2). UE(110)는 등록 완료 메시지로 AMF 요소(314)에 응답하고(S3), 이 시점에서 UE(110)는 서비스들에 액세스하기 위해 네트워크에 등록된다.
도 17은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 있을 때 NAS 서비스 요청 절차를 나타내는 메시지 도면이다. UE(110)는 NAS 서비스 요청 절차에 대한 제1 서비스 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋으로 제1 서비스 요청을 채우며, 이는 AMF 요소(314)에 대한 NAS 보안 컨텍스트를 나타내는 데 사용된다. 이 예에서, NAS 프로토콜 IE들의 서브셋은 5G-S-TMSI 및 ngKSI를 포함할 수 있다. UE(110)는 또한 제1 서비스 요청의 중복인 제2 서비스 요청을 포맷하거나 생성한다. UE(110)는 제2 서비스 요청에 NAS 서비스 요청 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다. 이 단계에서, 제2 서비스 요청은 NAS 서비스 요청 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 서비스 요청은 NAS 서비스 요청 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 서비스 요청은 "완전한" 서비스 요청으로 간주된다.
UE(110)는 제1 서비스 요청의 NAS 메시지 컨테이너에 제2 서비스 요청을 포함하거나 삽입하고, NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 서비스 요청의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 제2 서비스 요청은 제1 서비스 요청의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 제1 서비스 요청을 AMF 요소(314)로 전송한다(S1).
제1 서비스 요청을 수신하는 것에 응답하여, AMF 요소(314)는 제1 서비스 요청에 포함된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별하거나 검색한다. 그런 다음, AMF 요소(314)는 제2 서비스 요청이 판독 가능하도록 NAS 보안 컨텍스트를 사용하여 제1 서비스 요청의 암호화된 NAS 메시지 컨테이너를 복호화한다. 따라서, AMF 요소(314)는 NAS 서비스 요청 절차에 대한 전체 NAS 프로토콜 IE 세트를 처리하고, NAS 서비스 요청 절차에 대한 처리를 계속할 수 있다. 예를 들어, AMF 요소(314)는 서비스 수락 메시지를 UE(110)로 전송한다(S2).
도 18은 예시적인 실시예에서 UE에 유효 보안 컨텍스트가 있을 경우 NAS 등록 해제 절차를 나타내는 메시지 도면이다. UE(110)는 NAS 등록 해제 절차에 대한 제1 등록 해제 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋으로 제1 등록 해제 요청을 채우며, 이는 AMF 요소(314)에 대한 NAS 보안 컨텍스트를 나타내는 데 사용된다. 이 예에서, NAS 프로토콜 IE들의 서브셋은 5G-S-TMSI 및 ngKSI를 포함할 수 있다. UE(110)는 또한 제1 등록 해제 요청의 중복인 제2 등록 해제 요청을 포맷하거나 생성한다. UE(110)는 제2 등록 해제 요청에 NAS 등록 해제 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다. 이 단계에서, 제2 등록 해제 요청은 NAS 등록 해제 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 등록 해제 요청은 NAS 등록 해제 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 등록 해제 요청은 "완전한" 등록 해제 요청으로 간주된다.
UE(110)는 제1 등록 해제 요청의 NAS 메시지 컨테이너에 제2 등록 해제 요청을 포함하거나 삽입하고, NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 등록 해제 요청의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 제2 등록 해제 요청은 제1 등록 해제 요청의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 제1 등록 해제 요청을 AMF 요소(314)로 전송한다(S1).
제1 등록 해제 요청을 수신하는 것에 응답하여, AMF 요소(314)는 제1 등록 해제 요청에 포함된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별하거나 검색한다. 그런 다음, AMF 요소(314)는 제2 등록 해제 요청이 판독 가능하도록 NAS 보안 컨텍스트를 사용하여 제1 등록 해제 요청의 암호화된 NAS 메시지 컨테이너를 복호화한다. 따라서, AMF 요소(314)는 NAS 등록 해제 절차에 대한 전체 NAS 프로토콜 IE 세트를 처리하고, NAS 등록 해제 절차에 대한 처리를 계속할 수 있다. 예를 들어, AMF 요소(314)는 등록 해제 수락 메시지를 UE(110)로 전송한다(S2).
예 4: 보안 컨텍스트 존재함 - 보안 컨텍스트가 유효하지 않거나 발견되지 않음
도 19a 내지 19b는 예시적인 실시예에서 UE(110)의 NAS 절차를 수행하는 방법(1900)을 예시하는 흐름도이다. UE(110)의 NAS 컨트롤러(634)는 UE(110)와 네트워크 요소(132) 사이에 NAS 통신 세션을 설정(또는 재설정)하기 위한 NAS 절차를 개시한다(단계 1902). NAS 절차의 제1 단계(1931) 동안, NAS 컨트롤러(634)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋을 식별한다(단계 1904). NAS 컨트롤러(634)는 NAS 절차에 대한 제1 NAS 메시지를 포맷하거나 생성할 수 있고, 제1 NAS 메시지에 NAS 프로토콜 IE들의 서브셋을 포함하거나 삽입할 수 있다(단계 1906).
NAS 컨트롤러(634)는 또한 제1 NAS 메시지의 중복인 제2 NAS 메시지를 포맷하거나 생성한다. NAS 컨트롤러(634)는 제2 NAS 메시지에 NAS 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다(단계 1908). 이 단계에서, 제2 NAS 메시지는 NAS 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 NAS 메시지는 NAS 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 NAS 메시지는 "완전한" NAS 메시지로 간주된다.
NAS 컨트롤러(634)는 제1 NAS 메시지의 NAS 메시지 컨테이너에 제2 NAS 메시지를 포함하거나 삽입한다(단계 1910). NAS 컨트롤러(634)는 NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 NAS 메시지의 NAS 메시지 컨테이너를 암호화한다(단계 1912). 따라서, 완전한 제2 NAS 메시지는 제1 NAS 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, NAS 컨트롤러(634)는 제1 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 1914).
도 20은 예시적인 실시예에서 네트워크 요소(132)의 NAS 절차를 수행하는 방법(2000)을 예시하는 흐름도이다. NAS 절차의 제1 단계(1931) 동안, 네트워크 요소(132)의 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 제1 NAS 메시지를 수신한다(단계 2002). 보안 매니저(704)는 제1 NAS 메시지 내의 NAS 프로토콜 IE들의 서브셋을 처리하고, UE(110)에 대한 유효 NAS 보안 컨텍스트를 식별하는 데 실패한다(단계 2004). 예를 들어, NAS 보안 컨텍스트가 존재하더라도, 보안 매니저(704)는 제1 NAS 메시지에 제공된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별할 수 없을 수 있으며, NAS 프로토콜 IE들의 서브셋에 기초하여 식별된 NAS 보안 컨텍스트는 유효하지 않다. 유효 NAS 보안 컨텍스트가 발견되지 않았기 때문에, 보안 매니저(704)는 UE(110)를 인증하기 위한 인증 절차를 개시한다(단계 2006). 인증 절차가 이전에 수행되었더라도, 보안 매니저(704)는 유효 NAS 보안 컨텍스트가 발견되지 않을 때 다시 인증 절차를 수행한다. 인증 절차의 일부로서, 보안 매니저(704)는 네트워크 인터페이스 구성요소(702)를 통해 인증 토큰과 함께 인증 요청을 UE(110)로 전송할 수 있다(선택적 단계 2008). 인증 요청에 응답하여, UE(110)는 인증 토큰의 유효성을 검사하려고 시도한다(도 19a의 단계(1916) 참조). 성공한 경우, UE(110)는 모바일 네트워크(100)가 인증된 것으로 간주한다. UE(110)는 응답 토큰을 계산하고, 네트워크 인터페이스 구성요소(702)를 통해 보안 매니저(704)에 의해 수신되는 응답 토큰과 함께 인증 응답을 전송한다(선택적 단계 2010). 그런 다음, 보안 매니저(704)(또는 다른 네트워크 요소)는 응답 토큰이 유효한지 여부를 결정(예를 들어, 응답 토큰을 예상된 응답 토큰과 비교)할 수 있다. 응답 토큰이 유효하면, 보안 매니저(704)는 UE(110)가 인증된 것으로 간주한다.
UE(110)가 검증된 상태에서, 보안 매니저(704)는 새로운 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다(단계 2012). NAS 보안 절차의 경우, 보안 매니저(704)는 새로운 NAS 보안 컨텍스트에 대한 하나 이상의 NAS 보안 알고리즘들을 선택하고(단계 2014, 하나 이상의 NAS 보안 키들을 도출한다. 그런 다음, 보안 매니저(704)는 네트워크 인터페이스 구성요소(702)를 통해 새로운 NAS 보안 컨텍스트에 대해 선택된 보안 키 세트 식별자 및 NAS 보안 알고리즘(들)을 표시하거나 포함하는 응답을 UE(110)로 전송한다(단계 2016). 응답은 NAS 보안 알고리즘(들), 보안 키 세트 식별자(예를 들어, ngKSI, eKSI 등) 및 기타 정보를 포함하는 보안 모드 커맨드를 포함할 수 있다.
도 19a에서, NAS 컨트롤러(634)는 NAS 보안 알고리즘(들) 및 보안 키 세트 식별자를 나타내는 응답을 네트워크 요소(132)로부터 수신한다(단계 1918). 네트워크 요소(132)로부터의 응답에서 제공되는 정보로, 새로운 NAS 보안 컨텍스트가 UE(110)와 네트워크 요소(132) 사이에서 설정된다. 따라서, UE(110)와 네트워크 요소(132) 사이의 후속 NAS 메시지들은 새로운 NAS 보안 컨텍스트를 사용하여 보안될 수 있다.
그런 다음, 도 19b의 NAS 절차의 제2 단계(1932) 동안, UE(110)의 NAS 컨트롤러(634)는 NAS 절차에 대한 후속 NAS 메시지를 포맷하거나 생성할 수 있다. 예를 들어, 후속 NAS 메시지는 보안 모드 완료 메시지를 포함할 수 있다. NAS 컨트롤러(634)는 후속 NAS 메시지의 NAS 메시지 컨테이너에 NAS 절차에 대한 제2 NAS 메시지를 포함하거나 삽입한다(단계 1920). 상기에 설명된 바와 같이, 제2 NAS 메시지는 NAS 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함하며, "완전한" NAS 메시지로 간주된다. NAS 컨트롤러(634)는 NAS 보안 컨텍스트의 NAS 보안 알고리즘(들)을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 암호화한다(단계 1922). 그런 다음, NAS 컨트롤러(634)는 후속 NAS 메시지를 네트워크 요소(132)로 전송한다(단계 1924).
도 20에서, 제2 단계(1932) 동안, 네트워크 인터페이스 구성요소(702)는 UE(110)로부터 후속 NAS 메시지를 수신한다(단계 2018). 보안 매니저(704)는 완전한 제2 NAS 메시지에 액세스하기 위해 새로운 NAS 보안 컨텍스트의 NAS 보안 알고리즘(들)을 사용하여 후속 NAS 메시지의 NAS 메시지 컨테이너를 복호화한다(단계 2020). 그런 다음, 보안 매니저(704) 또는 네트워크 요소(132)의 다른 서브시스템들은 NAS 절차를 더 처리하기 위해 완전한 제2 NAS 메시지로부터 NAS 프로토콜 IE들을 처리할 수 있다. 이 프로세스의 기술적 이점 중 하나는 NAS 보안 컨텍스트를 식별하는 데 필요한 NAS 프로토콜 IE들만 제1 NAS 메시지에서 암호화되지 않은 상태로 전송된다는 점이다. 유효 NAS 보안 컨텍스트가 발견되지 않을 경우, 새로운 NAS 보안 컨텍스트가 설정되고 완전한 NAS 메시지가 새로운 NAS 보안 컨텍스트에 따라 후속 NAS 메시지에서 암호화되며, 이는 추가적인 보안 보호를 제공한다.
도 21은 UE에 NAS 보안 컨텍스트가 있지만 NAS 보안 컨텍스트가 유효하지 않거나 예시적인 실시예에서 발견되지 않을 경우 NAS 등록 절차를 나타내는 메시지 도면이다. NAS 절차의 제1 단계 동안, UE(110)는 NAS 등록 절차에 대한 제1 등록 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋으로 제1 등록 요청을 채운다. 이 정보는 AMF 요소(314)에 대한 NAS 보안 컨텍스트를 나타내는 데 사용된다. 예를 들어, NAS 프로토콜 IE들의 서브셋은 5G-GUTI, 등록 유형 및 ngKSI를 포함할 수 있다. UE(110)는 또한 제1 등록 요청의 중복인 제2 등록 요청을 포맷하거나 생성한다. UE(110)는 제2 등록 요청에 NAS 등록 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다. 이 단계에서, 제2 등록 요청은 NAS 등록 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 등록 요청은 NAS 등록 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 등록 요청은 "완전한" 등록 요청으로 간주된다.
UE(110)는 제1 등록 요청의 NAS 메시지 컨테이너에 제2 등록 요청을 포함하거나 삽입하고, NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 등록 요청의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 제2 등록 요청은 제1 등록 요청의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 제1 등록 요청을 AMF 요소(314)로 전송한다(S1).
제1 등록 요청을 수신하는 것에 응답하여, AMF 요소(314)는 제1 등록 요청에 포함된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별하거나 검색하려고 시도한다. 이 예에서, AMF 요소(314)는 UE(110)에 대한 유효 NAS 보안 컨텍스트를 식별할 수 없다. 따라서, AMF 요소(314)는 제1 등록 요청의 NAS 메시지 컨테이너를 복호화할 수 없다. 보안 통신을 허용하기 위해, AMF 요소(314)는 새로운 NAS 보안 컨텍스트를 생성하기 위한 새로운 인증 절차를 개시한다. AMF 요소314)는 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 인증 요청을 AUSF 요소(310)로 전송한다(S2). 인증 요청을 수신하는 것에 응답하여, AUSF 요소(310)는 인증 요청(즉, Nudm _UEAuthentication_Get Request)을 포맷하거나 생성하고, 인증 요청을 UDM 요소(312)로 전송한다(S3).
인증 요청에 응답하여, UDM 요소(312)는 SUCI를 은폐 해제하고, 인증 응답(즉, Nudm_UEAuthentication_Get Response)을 AUSF 요소(310)로 전송한다(S4). 인증 응답을 수신하는 것에 응답하여, AUSF 요소(310)는 AMF 요소(314)에 대한 인증 응답(즉, Nuasf _UEAuthentication_Authenticate Response)을 포맷하거나 생성하고, 인증 응답을 AMF 요소(314)로 전송한다(S5).
AMF 요소(314)는 UDM/AUSF에 의해 제공되는 정보를 사용하여 UE(110)와 인증 절차를 수행하도록 구성된다. 예를 들어, AMF 요소(314)는 인증 토큰과 함께 인증 요청을 UE(110)로 전송하고(S6), UE(110)는 인증 토큰의 유효성을 검증하려고 시도한다. 성공한 경우, UE(110)는 응답 토큰을 계산하고, 응답 토큰과 함께 인증 응답을 전송하며, 이는 AMF 요소(314)에 의해 수신된다(S7). AMF 요소(314)는 다른 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보와 함께, 인증 요청에 UE(110)로부터의 응답 토큰을 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S8). AUSF 요소(310)는 UE(110)로부터의 응답 토큰이 예상된 응답 토큰과 일치하는지 여부를 확인하고, 인증의 성공/실패를 나타내는 인증 응답(즉, Nausf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송한다.
UE(110)가 네트워크에 대해 인증될 때, AMF 요소(314)는 새로운 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다. AMF 요소(314)는 암호화 및 무결성 보호를 위해 NAS 보안 알고리즘(또는 다중 알고리즘들)을 선택한다. AMF 요소(314)는 보안 모드 커맨드 메시지를 포맷하거나 생성하고, 보안 모드 커맨드 메시지에 NAS 보안 알고리즘, ngKSI 및 기타 정보의 표시자를 삽입한다. 그런 다음, AMF 요소(314)는 보안 모드 커맨드 메시지를 UE(110)로 전송한다(S10).
NAS 절차의 제2 단계 동안, UE(110)는 ngKSI 및 NAS 보안 알고리즘을 사용하여 후속 NAS 메시지들을 보호하기 위한 대응하는 키들을 도출한다. 따라서, 새로운 NAS 보안 컨텍스트가 UE(110)와 AMF 요소(314) 사이에서 설정된다. UE(110)는 보안 모드 완료 메시지를 포맷하거나 생성하고, 보안 모드 완료 메시지의 NAS 메시지 컨테이너에 제2 등록 요청을 삽입한다. 상기에 설명된 바와 같이, 제2 등록 요청은 NAS 등록 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함하며, "완전한" NAS 메시지로 간주된다. UE(110)는 새로운 NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 암호화한다. 따라서, 제2 등록 요청은 보안 모드 완료 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 보안 모드 완료 메시지를 AMF 요소(314)로 전송한다(S11).
AMF 요소(314)는 UE(110)로부터 보안 모드 완료 메시지를 수신하고, 제2 등록 요청으로부터 NAS 프로토콜 IE들에 액세스하기 위해 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 복호화한다. 그런 다음, AMF 요소(314)는 등록 수락 메시지를 UE(110)로 전송하는 것과 같은 NAS 등록 절차를 계속한다(S12). UE(110)는 등록 완료 메시지로 AMF 요소(314)에 응답하고(S13), 이 시점에서 UE(110)는 서비스들에 액세스하기 위해 네트워크에 등록된다.
도 22는 UE에 NAS 보안 컨텍스트가 있지만 NAS 보안 컨텍스트가 유효하지 않거나 예시적인 실시예에서 발견되지 않을 경우 NAS 서비스 요청 절차를 나타내는 메시지 도면이다. NAS 절차의 제1 단계 동안, UE(110)는 NAS 서비스 요청 절차에 대한 제1 서비스 요청을 생성하거나 포맷한다. 이 실시예에서, UE(110)는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 IE들의 서브셋으로 제1 서비스 요청을 채운다. 이 정보는 AMF 요소(314)에 대한 NAS 보안 컨텍스트를 나타내는 데 사용된다. 예를 들어, NAS 프로토콜 IE들의 서브셋은 5G-S-TMSI 및 ngKSI를 포함할 수 있다. UE(110)는 또한 제1 서비스 요청의 중복인 제2 서비스 요청을 포맷하거나 생성한다. UE(110)는 제2 서비스 요청에 NAS 서비스 요청 절차에 대한 NAS 프로토콜 IE들을 포함하거나 삽입한다. 이 단계에서, 제2 서비스 요청은 NAS 서비스 요청 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함한다. 제2 서비스 요청은 NAS 서비스 요청 절차에 대한 필수 NAS 프로토콜 IE들 각각을 포함하기 때문에, 제2 서비스 요청은 "완전한" 서비스 요청으로 간주된다.
UE(110)는 제1 서비스 요청의 NAS 메시지 컨테이너에 제2 서비스 요청을 포함하거나 삽입하고, NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 제1 서비스 요청의 NAS 메시지 컨테이너를 암호화한다. 따라서, 완전한 제2 서비스 요청은 제1 서비스 요청의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 제1 서비스 요청을 AMF 요소(314)로 전송한다(S1).
제1 서비스 요청을 수신하는 것에 응답하여, AMF 요소(314)는 제1 서비스 요청에 포함된 NAS 프로토콜 IE들의 서브셋에 기초하여 NAS 보안 컨텍스트를 식별하거나 검색하려고 시도한다. 이 예에서, AMF 요소(314)는 UE(110)에 대한 유효 NAS 보안 컨텍스트를 식별할 수 없다. 따라서, AMF 요소(314)는 제1 서비스 요청의 NAS 메시지 컨테이너를 복호화할 수 없다. 보안 통신을 허용하기 위해, AMF 요소(314)는 새로운 NAS 보안 컨텍스트를 생성하기 위한 새로운 인증 절차를 개시한다. AMF 요소314)는 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 인증 요청을 AUSF 요소(310)로 전송한다(S2). 인증 요청을 수신하는 것에 응답하여, AUSF 요소(310)는 인증 요청(즉, Nudm _UEAuthentication_Get Request)을 포맷하거나 생성하고, 인증 요청을 UDM 요소(312)로 전송한다(S3).
인증 요청에 응답하여, UDM 요소(312)는 SUCI를 은폐 해제하고, 인증 응답(즉, Nudm_UEAuthentication_Get Response)을 AUSF 요소(310)로 전송한다(S4). 인증 응답을 수신하는 것에 응답하여, AUSF 요소(310)는 AMF 요소(314)에 대한 인증 응답(즉, Nuasf _UEAuthentication_Authenticate Response)을 포맷하거나 생성하고, 인증 응답을 AMF 요소(314)로 전송한다(S5).
AMF 요소(314)는 UDM/AUSF에 의해 제공되는 정보를 사용하여 UE(110)와 인증 절차를 수행하도록 구성된다. 예를 들어, AMF 요소(314)는 인증 토큰과 함께 인증 요청을 UE(110)로 전송하고(S6), UE(110)는 인증 토큰의 유효성을 검증하려고 시도한다. 성공한 경우, UE(110)는 응답 토큰을 계산하고, 응답 토큰과 함께 인증 응답을 전송하며, 이는 AMF 요소(314)에 의해 수신된다(S7). AMF 요소(314)는 다른 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷하거나 생성하고, 다른 정보와 함께, 인증 요청에 UE(110)로부터의 응답 토큰을 삽입한다. 그런 다음, AMF 요소(314)는 인증 요청을 AUSF 요소(310)로 전송한다(S8). AUSF 요소(310)는 UE(110)로부터의 응답 토큰이 예상된 응답 토큰과 일치하는지 여부를 확인하고, 인증의 성공/실패를 나타내는 인증 응답(즉, Nausf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송한다.
UE(110)가 네트워크에 대해 인증될 때, AMF 요소(314)는 새로운 NAS 보안 컨텍스트를 설정하기 위한 NAS 보안 절차를 개시한다. AMF 요소(314)는 암호화 및 무결성 보호를 위해 NAS 보안 알고리즘(또는 다중 알고리즘들)을 선택한다. AMF 요소(314)는 보안 모드 커맨드 메시지를 포맷하거나 생성하고, 보안 모드 커맨드 메시지에 NAS 보안 알고리즘, ngKSI 및 기타 정보의 표시자를 삽입한다. 그런 다음, AMF 요소(314)는 보안 모드 커맨드 메시지를 UE(110)로 전송한다(S10).
NAS 절차의 제2 단계 동안, UE(110)는 ngKSI 및 NAS 보안 알고리즘을 사용하여 후속 NAS 메시지들을 보호하기 위한 대응하는 키들을 도출한다. 따라서, 새로운 NAS 보안 컨텍스트가 UE(110)와 AMF 요소(314) 사이에서 설정된다. UE(110)는 보안 모드 완료 메시지를 포맷하거나 생성하고, 보안 모드 완료 메시지의 NAS 메시지 컨테이너에 제2 서비스 요청을 삽입한다. 상기에 설명된 바와 같이, 제2 서비스 요청은 NAS 서비스 요청 절차에 대한 전체 NAS 프로토콜 IE 세트(필수 및 선택(원하는 경우))를 포함하며, "완전한" NAS 메시지로 간주된다. UE(110)는 새로운 NAS 보안 컨텍스트의 NAS 보안 알고리즘을 사용하여 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 암호화한다. 따라서, 제2 서비스 요청은 보안 모드 완료 메시지의 NAS 메시지 컨테이너에서 암호화된다. 그런 다음, UE(110)는 보안 모드 완료 메시지를 AMF 요소(314)로 전송한다(S11).
AMF 요소(314)는 UE(110)로부터 보안 모드 완료 메시지를 수신하고, 제2 서비스 요청으로부터 NAS 프로토콜 IE들에 액세스하기 위해 보안 모드 완료 메시지의 NAS 메시지 컨테이너를 복호화한다. 그런 다음, AMF 요소(314)는 등록 수락 메시지를 UE(110)로 전송하는 것과 같은 NAS 서비스 요청 절차를 계속한다(S12). UE(110)는 등록 완료 메시지로 AMF 요소(314)에 응답한다(S13).
도면들에 도시되거나 본원에 설명된 다양한 요소들 또는 모듈들 중 어느 것이라도 하드웨어, 소프트웨어, 펌웨어 또는 이들의 일부 조합으로 구현될 수 있다. 예를 들어, 요소는 전용 하드웨어로 구현될 수 있다. 전용 하드웨어 요소들은 "프로세서들", "컨트롤러들" 또는 유사한 용어로 지칭될 수 있다. 프로세서에 의해 제공될 때, 기능들은 단일 전용 프로세서에 의해, 단일 공유 프로세서에 의해 또는 복수의 개별 프로세서들에 의해 제공될 수 있으며, 그 일부는 공유될 수 있다. 게다가, "프로세서" 또는 "컨트롤러"라는 용어의 명시적 사용은 소프트웨어를 실행할 수 있는 하드웨어를 독점적으로 지칭하는 것으로 해석되어서는 안되며, 제한 없이, 디지털 신호 프로세서(DSP) 하드웨어, 네트워크 프로세서, 주문형 집적 회로(ASIC) 또는 기타 회로부, 필드 프로그램 가능 게이트 어레이(FPGA), 소프트웨어 저장을 위한 읽기 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 비휘발성 저장 장치, 로직 또는 일부 기타 물리적 하드웨어 구성요소 또는 모듈을 암시적으로 포함할 수 있다.
또한, 요소는 요소의 기능들을 수행하기 위해 프로세서 또는 컴퓨터에 의해 실행 가능한 인스트럭션들로 구현될 수 있다. 인스트럭션들의 예들로는 소프트웨어, 프로그램 코드 및 펌웨어가 있다. 인스트럭션들은 프로세서에 의해 수행 시 프로세서가 요소의 기능들을 수행하도록 지시하도록 동작된다. 인스트럭션들은 프로세서에 의해 판독 가능한 저장 장치들에 저장될 수 있다. 저장 장치들의 일부 예들로는 디지털 또는 솔리드 스테이트 메모리, 자기 디스크 및 자기 테이프와 같은 자기 저장 매체, 하드 드라이브 또는 광학적으로 판독 가능한 디지털 데이터 저장 매체가 있다.
이 출원에 사용된 바와 같이, “회로부”라는 용어는 다음 중 하나 이상 또는 전부를 지칭할 수 있다:
(a) 하드웨어 전용 회로 구현예들(예컨대 아날로그 및/또는 디지털 회로부에서만의 구현예들);
(b) 다음과 같은 하드웨어 회로들 및 소프트웨어의 조합(해당되는 경우)으로서,
(i) 소프트웨어/펌웨어와 아날로그 및/또는 디지털 하드웨어 회로(들)의 조합; 및
(ii) 소프트웨어를 갖는 하드웨어 프로세서(들)의 임의의 부분들(예컨대 모바일 폰 또는 서버와 같은 장치가 다양한 기능들을 수행하도록 함께 작동하는 디지털 신호 프로세서(들), 소프트웨어 및 메모리(들)를 포함함); 및
(c) 동작을 위해 소프트웨어(예를 들어, 펌웨어)가 필요하지만 상기 소프트웨어는 동작을 위해 필요하지 않을 때 존재하지 않을 수 있는 마이크로 프로세서(들) 또는 마이크로 프로세서(들)의 일부와 같은, 하드웨어 회로(들) 및/또는 프로세서(들).
이 회로부의 정의는 이 출원에서 이 용어의 모든 사용에 적용된다. 추가 예로서, 이 출원에서 사용된 바와 같이, 회로부라는 용어는 또한 단순히 하드웨어 회로 또는 프로세서(또는 다중 프로세서들) 또는 하드웨어 회로 또는 프로세서의 일부와 그(또는 그들)에 수반되는 소프트웨어 및/또는 펌웨어의 구현만을 포함한다. 회로부라는 용어는 또한 예를 들어, 특정 청구항 요소에 적용 가능한 경우, 모바일 장치용 베이스밴드 집적 회로 또는 프로세서 집적 회로 또는 서버의 유사한 집적 회로, 셀룰러 네트워크 장치, 또는 다른 컴퓨팅 또는 네트워크 장치를 커버한다.
본원에는 특정 실시예들이 설명되었지만, 본 개시의 범위는 이러한 특정 실시예들로 제한되지 않는다. 본 개시의 범위는 다음의 청구 범위 및 그의 등가물에 의해 정의된다.

Claims (24)

  1. 사용자 장비(UE)에 있어서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리를 포함하며, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE가 상기 UE와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 비-접속 계층(NAS) 절차를 개시하도록 구성되고,
    상기 NAS 절차의 제1 단계에서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하는 제1 초기 NAS 메시지를 구성하고;
    상기 제1 초기 NAS 메시지를 상기 네트워크 요소로 전송하고;
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘 및 보안 키 세트 식별자를 포함하는 응답을 상기 네트워크 요소로부터 수신하도록 구성되고;
    상기 NAS 절차의 제2 단계에서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    후속 NAS 메시지를 구성하되, 상기 후속 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하고;
    상기 후속 NAS 메시지를 상기 네트워크 요소로 전송하도록 구성되는, UE.
  2. 제1항에 있어서, 상기 NAS 절차의 상기 제2 단계에서, 상기 제2 초기 NAS 메시지는 상기 제1 단계에서 수신된 상기 NAS 보안 알고리즘을 사용하여 상기 NAS 메시지 컨테이너 내에서 암호화되는, UE.
  3. 제1항에 있어서, 상기 NAS 절차의 상기 제2 단계에서, 상기 NAS 프로토콜 IE들의 제2 세트는 상기 NAS 프로토콜 IE들의 제1 세트의 상기 NAS 프로토콜 IE들 및 하나 이상의 추가 NAS 프로토콜 IE들을 포함하는, UE.
  4. 제1항에 있어서, 상기 NAS 절차의 상기 제1 단계에서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 NAS 프로토콜 IE들의 제1 세트로부터, 보안 관련 처리를 위해 지정되는 상기 NAS 프로토콜 IE들의 서브셋을 식별하고;
    상기 UE에 대한 HPLMN(Home Public Land Mobile Network)의 공개 키를 사용하여 상기 초기 NAS 메시지에서 상기 NAS 프로토콜 IE들의 상기 서브셋을 암호화하고;
    상기 NAS 프로토콜 IE들의 상기 서브셋을 상기 제1 초기 NAS 메시지에 삽입하도록 더 구성되는, UE.
  5. 제4항에 있어서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE가 UMTS 가입자 식별 모듈(USIM)에 프로그래밍된 공개 키를 가질 때 상기 공개 키를 사용하여 상기 제1 초기 NAS 메시지에서 상기 NAS 프로토콜 IE들의 상기 서브셋을 암호화하고;
    상기 UE가 상기 USIM에 프로그래밍된 상기 공개 키를 가지고 있지 않을 때 상기 제1 초기 NAS 메시지에서 상기 NAS 프로토콜 IE들의 상기 서브셋을 복호화하지 않고 상기 초기 NAS 메시지를 상기 네트워크 요소로 전송하도록 더 구성되는, UE.
  6. 제4항에 있어서,
    상기 제1 초기 NAS 메시지는 등록 요청 메시지를 포함하며;
    보안 관련 처리를 위해 지정된 상기 NAS 프로토콜 IE들의 서브셋은 상기 UE에 대한 모바일 아이덴티티, 상기 UE에 의해 지원되는 하나 이상의 NAS 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자로 구성되는, UE.
  7. 제6항에 있어서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 등록 유형이 긴급을 나타내지 않을 때 상기 UE에 대한 HPLMN(Home Public Land Mobile Network)의 공개 키를 사용하여 상기 초기 NAS 메시지에서 상기 NAS 프로토콜 IE들의 상기 서브셋을 암호화하고;
    상기 등록 유형이 긴급을 나타낼 때 상기 초기 NAS 메시지에서 상기 NAS 프로토콜 IE들의 상기 서브셋을 암호화하지 않고 상기 초기 NAS 메시지를 상기 네트워크 요소로 전송하도록 더 구성되는, UE.
  8. 제1항에 있어서,
    상기 응답은 상기 NAS 보안 알고리즘 및 상기 보안 키 세트 식별자를 나타내는 보안 모드 커맨드 메시지를 포함하며;
    상기 후속 NAS 메시지는 상기 NAS 보안 알고리즘에 기초하여 암호화된 상기 초기 NAS 메시지를 포함하는 상기 NAS 메시지 컨테이너를 갖는 보안 모드 완료 메시지를 포함하는, UE.
  9. 이동성 네트워크의 네트워크 요소에 있어서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리를 포함하며, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로, 상기 네트워크 요소가 사용자 장비(UE)와 상기 네트워크 요소 사이에서 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 비-접속 계층(NAS) 절차를 수행하도록 구성되고,
    상기 NAS 절차의 제1 단계에서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE로부터, 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하는 제1 초기 NAS 메시지를 수신하고;
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘 및 보안 키 세트 식별자를 포함하는 상기 제1 초기 NAS 메시지에 대한 응답을 구성하고;
    상기 UE로, 상기 제1 초기 NAS 메시지에 대한 상기 응답을 전송하도록 구성되고;
    상기 NAS 절차의 제2 단계에서, 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE로부터, 후속 NAS 메시지를 수신하되, 상기 후속 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 상기 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하도록 구성되는, 네트워크 요소.
  10. 제9항에 있어서, 상기 NAS 절차의 상기 제2 단계에서, 상기 제2 초기 NAS 메시지는 상기 제1 단계에서 수신된 상기 NAS 보안 알고리즘을 사용하여 상기 NAS 메시지 컨테이너 내에서 암호화되는, 네트워크 요소.
  11. 제9항에 있어서, 상기 NAS 절차의 상기 제2 단계에서, 상기 NAS 프로토콜 IE들의 제2 세트는 상기 NAS 프로토콜 IE들의 제1 세트의 상기 NAS 프로토콜 IE들 및 하나 이상의 추가 NAS 프로토콜 IE들을 포함하는, 네트워크 요소.
  12. 제9항에 있어서, 상기 제1 초기 NAS 메시지는 적어도 보안 관련 처리를 위해 지정되는 상기 NAS 프로토콜 IE들의 서브셋을 포함하되, 상기 NAS 프로토콜 IE들의 상기 서브셋은 상기 UE에 대한 HPLMN(Home Public Land Mobile Network)의 공개 키를 사용하여 상기 UE에 의해 암호화되는, 네트워크 요소.
  13. 제12항에 있어서,
    상기 제1 초기 NAS 메시지는 등록 요청 메시지를 포함하며;
    보안 관련 처리를 위해 지정된 상기 NAS 프로토콜 IE들의 서브셋은 상기 UE에 대한 모바일 아이덴티티, 상기 UE에 의해 지원되는 하나 이상의 NAS 보안 알고리즘들을 나타내는 UE 보안 성능, 등록 유형 및 NAS 보안 컨텍스트에 대한 보안 키 세트 식별자로 구성되는, 네트워크 요소.
  14. 제9항에 있어서,
    상기 응답은 상기 NAS 보안 알고리즘 및 상기 보안 키 세트 식별자를 나타내는 보안 모드 커맨드 메시지를 포함하며;
    상기 후속 NAS 메시지는 상기 NAS 보안 알고리즘에 기초하여 암호화된 상기 초기 NAS 메시지를 포함하는 상기 NAS 메시지 컨테이너를 갖는 보안 모드 완료 메시지를 포함하는, 네트워크 요소.
  15. 방법에 있어서,
    사용자 장비(UE)와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 비-접속 계층(NAS) 절차를 개시하는 단계를 포함하며,
    상기 NAS 절차의 제1 단계에서, 상기 개시하는 단계는,
    보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하는 제1 초기 NAS 메시지를 구성하는 단계;
    상기 제1 초기 NAS 메시지를 상기 네트워크 요소로 전송하는 단계; 및
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘 및 보안 키 세트 식별자를 포함하는 응답을 상기 네트워크 요소로부터 수신하는 단계를 포함하며,
    상기 NAS 절차의 제2 단계에서, 상기 개시하는 단계는,
    후속 NAS 메시지를 구성하는 단계로서, 상기 후속 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 포함하고, 상기 제2 초기 NAS 메시지는 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하는, 상기 구성하는 단계; 및
    상기 후속 NAS 메시지를 상기 네트워크 요소로 전송하는 단계를 포함하는, 방법.
  16. 방법에 있어서,
    모바일 네트워크의 네트워크 요소가 사용자 장비(UE)와 상기 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위해 다수의 단계들에서 비-접속 계층(NAS) 절차를 수행하도록 하는 단계를 포함하며,
    상기 NAS 절차의 제1 단계에서, 상기 수행하도록 하는 단계는,
    상기 UE로부터, 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하는 제1 초기 NAS 메시지를 수신하는 단계;
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘 및 보안 키 세트 식별자를 포함하는 상기 제1 초기 NAS 메시지에 대한 응답을 구성하는 단계; 및
    상기 UE로, 상기 제1 초기 NAS 메시지에 대한 상기 응답을 전송하는 단계를 포함하며,
    상기 NAS 절차의 제2 단계에서, 상기 수행하도록 하는 단계는,
    후속 NAS 메시지를 구성하는 단계로서, 상기 후속 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하는, 상기 구성하는 단계; 및
    상기 후속 NAS 메시지를 상기 네트워크 요소로 전송하는 단계를 포함하는, 방법.
  17. 사용자 장비(UE)에 있어서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리를 포함하며; 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로, 상기 UE가 상기 UE와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위한 비-접속 계층(NAS) 절차를 개시 및 수행하도록 구성되고;
    상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트가 존재한다고 결정하고;
    제1 초기 NAS 메시지를 구성하되, 상기 제1 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하고, 상기 제1 초기 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 더 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하고;
    상기 제1 초기 NAS 메시지를 상기 네트워크 요소로 전송하도록 구성되는, UE.
  18. 제17항에 있어서, 상기 제2 초기 NAS 메시지는 상기 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘을 사용하여 상기 NAS 메시지 컨테이너 내에서 암호화되는, UE.
  19. 제17항에 있어서, 상기 NAS 프로토콜 IE들의 제2 세트는 상기 NAS 프로토콜 IE들의 상기 NAS 프로토콜 정보 요소들 및 하나 이상의 추가 NAS 프로토콜 정보 요소들을 포함하는, UE.
  20. 이동성 네트워크의 네트워크 요소에 있어서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리를 포함하며; 상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로, 상기 네트워크 요소가 사용자 장비(UE)와 상기 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위한 비-접속 계층(NAS) 절차를 수행하는 것에 참여하도록 구성되고;
    상기 적어도 하나의 메모리 및 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서로,
    상기 UE로부터 제1 초기 NAS 메시지를 수신하되, 상기 제1 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하고, 상기 제1 초기 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 더 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하도록 구성되는, 네트워크 요소.
  21. 제20항에 있어서, 상기 제2 초기 NAS 메시지는 NAS 보안 컨텍스트와 관련된 NAS 보안 알고리즘을 사용하여 상기 NAS 메시지 컨테이너 내에서 암호화되는, 네트워크 요소.
  22. 제20항에 있어서, 상기 NAS 프로토콜 IE들의 제2 세트는 상기 NAS 프로토콜 IE들의 상기 NAS 프로토콜 정보 요소들 및 하나 이상의 추가 NAS 프로토콜 정보 요소들을 포함하는, 네트워크 요소.
  23. 방법에 있어서,
    사용자 장비(UE)가 상기 UE와 모바일 네트워크의 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위한 비-접속 계층(NAS) 절차를 개시 및 수행하도록 하는 단계를 포함하며,
    상기 개시 및 수행하도록 하는 단계는,
    상기 UE에 의해 사용하기 위한 NAS 보안 컨텍스트가 존재한다고 결정하는 단계;
    제1 초기 NAS 메시지를 구성하는 단계로서, 상기 제1 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하고, 상기 제1 초기 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 더 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 메시지 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하는, 상기 구성하는 단계; 및
    상기 제1 초기 NAS 메시지를 상기 네트워크 요소로 전송하는 단계를 포함하는, 방법.
  24. 방법에 있어서,
    네트워크 요소가 사용자 장비(UE)와 상기 네트워크 요소 사이에 NAS 통신 세션을 설정하기 위해 비-접속 계층(NAS) 절차를 수행하는 것에 참여하도록 하는 단계를 포함하며,
    상기 참여하도록 하는 단계는,
    상기 UE로부터 제1 초기 NAS 메시지를 수신하는 단계로서, 상기 제1 초기 NAS 메시지는 보안 관련 처리를 위해 지정되는 NAS 프로토콜 정보 요소들(IE들)의 제1 세트를 포함하고, 상기 제1 초기 NAS 메시지는 NAS 메시지 컨테이너 IE 내에 캡슐화된 제2 초기 NAS 메시지를 더 포함하고, 상기 제2 초기 NAS 메시지는 상기 제1 초기 NAS 메시지와 동일한 유형을 정의하고 상기 NAS 프로토콜 IE들의 제1 세트와 다른 상기 NAS 절차에 대한 NAS 프로토콜 IE들의 제2 세트를 포함하는, 상기 수신하는 단계를 포함하는, 방법.
KR1020217012361A 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법 KR102369596B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020227006336A KR102466422B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862735732P 2018-09-24 2018-09-24
US62/735,732 2018-09-24
PCT/FI2019/050685 WO2020065132A1 (en) 2018-09-24 2019-09-24 Systems and method for security protection of nas messages

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020227006336A Division KR102466422B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210064334A KR20210064334A (ko) 2021-06-02
KR102369596B1 true KR102369596B1 (ko) 2022-03-02

Family

ID=69950018

Family Applications (4)

Application Number Title Priority Date Filing Date
KR1020217012361A KR102369596B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR1020227039108A KR102601585B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR1020227006336A KR102466422B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR1020237038581A KR20230160406A (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법

Family Applications After (3)

Application Number Title Priority Date Filing Date
KR1020227039108A KR102601585B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR1020227006336A KR102466422B1 (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR1020237038581A KR20230160406A (ko) 2018-09-24 2019-09-24 Nas 메시지의 보안 보호를 위한 시스템 및 방법

Country Status (14)

Country Link
US (1) US11689920B2 (ko)
EP (1) EP3857935A4 (ko)
JP (1) JP2022502908A (ko)
KR (4) KR102369596B1 (ko)
CN (1) CN112930691A (ko)
AU (2) AU2019348793A1 (ko)
BR (1) BR112021005537A2 (ko)
CA (1) CA3113894A1 (ko)
CL (1) CL2021000730A1 (ko)
CO (1) CO2021005229A2 (ko)
MX (1) MX2021003363A (ko)
PH (1) PH12021550635A1 (ko)
SG (1) SG11202102969WA (ko)
WO (1) WO2020065132A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220159457A1 (en) * 2019-03-13 2022-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Providing ue capability information to an authentication server
US11470017B2 (en) * 2019-07-30 2022-10-11 At&T Intellectual Property I, L.P. Immersive reality component management via a reduced competition core network component
CN114651482A (zh) * 2019-11-06 2022-06-21 三星电子株式会社 在无线通信系统中控制网络切片的方法和装置
US11928193B2 (en) 2019-12-10 2024-03-12 Winkk, Inc. Multi-factor authentication using behavior and machine learning
US11936787B2 (en) 2019-12-10 2024-03-19 Winkk, Inc. User identification proofing using a combination of user responses to system turing tests using biometric methods
US11553337B2 (en) 2019-12-10 2023-01-10 Winkk, Inc. Method and apparatus for encryption key exchange with enhanced security through opti-encryption channel
US11328042B2 (en) 2019-12-10 2022-05-10 Winkk, Inc. Automated transparent login without saved credentials or passwords
US11574045B2 (en) 2019-12-10 2023-02-07 Winkk, Inc. Automated ID proofing using a random multitude of real-time behavioral biometric samplings
GB2592356B (en) * 2020-02-12 2022-07-27 Samsung Electronics Co Ltd Network security
US20220394023A1 (en) * 2021-06-04 2022-12-08 Winkk, Inc Encryption for one-way data stream
WO2023036187A1 (en) * 2021-09-07 2023-03-16 Mediatek Singapore Pte. Ltd. Improvement for 5g nas security context handling when ue supports both 3gpp and non-3gpp accesses
GB2620416A (en) * 2022-07-07 2024-01-10 Canon Kk Obfuscation of IES in management frames using container IES with encrypted information section
US20240040377A1 (en) * 2022-07-28 2024-02-01 Samsung Electronics Co., Ltd. Method and device for provision key for base station verification in wireless communication system
WO2024035434A1 (en) * 2022-08-10 2024-02-15 Nokia Technologies Oy Security in a distributed nas terminations architecture

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180083972A1 (en) 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE550893T1 (de) 2004-08-27 2012-04-15 Nokia Siemens Networks Gmbh Methode zum dezentralisieren des zählens von irregulär abgebauten verbindungen auf zellbasis in digitalen zellularen kommunikationsnetzwerken
CN101094065B (zh) 2006-06-23 2011-09-28 华为技术有限公司 无线通信网络中的密钥分发方法和系统
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8532614B2 (en) 2007-10-25 2013-09-10 Interdigital Patent Holdings, Inc. Non-access stratum architecture and protocol enhancements for long term evolution mobile units
US20090265543A1 (en) * 2008-04-18 2009-10-22 Amit Khetawat Home Node B System Architecture with Support for RANAP User Adaptation Protocol
JP5390611B2 (ja) 2008-08-15 2014-01-15 サムスン エレクトロニクス カンパニー リミテッド 移動通信システムの保安化された非接続階層プロトコル処理方法
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN102104987B (zh) 2009-12-21 2014-03-12 华为技术有限公司 一种接口数据处理方法及设备
WO2011123824A1 (en) 2010-04-02 2011-10-06 Interdigital Patend Holdings, Inc. Inhibition of allowed closed subscriber group list
TW201807961A (zh) * 2012-09-27 2018-03-01 內數位專利控股公司 在噓擬網路中端對端架構、api框架、發現及存取
CN105532026A (zh) * 2013-10-28 2016-04-27 华为技术有限公司 一种安全上下文的提供、获取方法及设备
US10219305B2 (en) 2013-11-21 2019-02-26 Bao Tran Communication apparatus
EP3078236A1 (en) 2013-12-06 2016-10-12 Interdigital Patent Holdings, Inc. Layered connectivity in wireless systems
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
EP3417668B1 (en) * 2016-02-17 2022-07-06 Nec Corporation Selection of control plane and user plane for the data transmission
KR102088717B1 (ko) 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
US10440096B2 (en) * 2016-12-28 2019-10-08 Intel IP Corporation Application computation offloading for mobile edge computing
KR101748246B1 (ko) * 2017-02-28 2017-06-16 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
HUE062173T2 (hu) 2017-05-08 2023-09-28 Ericsson Telefon Ab L M Eljárások többszörös NAS kapcsolat kialakítására több külön szám alkalmazásával, valamint vonatkozó hálózati csomópontok és vezetéknélküli terminálok
US11356850B2 (en) 2017-07-24 2022-06-07 Telefonaktiebolaget Lm Ericson (Publ) Methods providing NAS connection identifications and related wireless terminals and network nodes
US10470042B2 (en) 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
EP4247033A3 (en) 2017-07-28 2023-10-25 Telefonaktiebolaget LM Ericsson (publ) Methods providing non-3gpp access using access network keys and related wireless terminals and network nodes
CN109788474A (zh) 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
CN110121196B (zh) 2018-02-05 2021-11-02 大唐移动通信设备有限公司 一种安全标识管理方法及装置
TWI696406B (zh) 2018-03-06 2020-06-11 新加坡商 聯發科技(新加坡)私人有限公司 用於保護初始非存取層訊息的使用者設備和方法
TWI696394B (zh) 2018-06-25 2020-06-11 新加坡商 聯發科技(新加坡)私人有限公司 5g行動通訊中附加安全能力指示方法及其裝置
KR102406871B1 (ko) 2018-08-13 2022-06-08 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 통신 네트워크에서 비-액세스 계층 통신의 보호
US20210194933A1 (en) 2018-08-20 2021-06-24 Telefonaktiebolaget Lm Ericsson (Publ) Negotiation of security features
WO2020060871A1 (en) 2018-09-19 2020-03-26 Intel Corporation Protection of initial non-access stratum protocol message in 5g systems

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180083972A1 (en) 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌1(3GPP TS 33.501 V0.3.0)

Also Published As

Publication number Publication date
CO2021005229A2 (es) 2021-04-30
US20220038897A1 (en) 2022-02-03
BR112021005537A2 (pt) 2021-06-29
CN112930691A (zh) 2021-06-08
KR20230160406A (ko) 2023-11-23
EP3857935A4 (en) 2023-01-04
KR20220030319A (ko) 2022-03-10
WO2020065132A1 (en) 2020-04-02
MX2021003363A (es) 2021-05-27
SG11202102969WA (en) 2021-04-29
KR102601585B1 (ko) 2023-11-13
AU2023201713A1 (en) 2023-04-20
AU2019348793A1 (en) 2021-04-29
EP3857935A1 (en) 2021-08-04
CA3113894A1 (en) 2020-04-02
US11689920B2 (en) 2023-06-27
KR20210064334A (ko) 2021-06-02
CL2021000730A1 (es) 2021-09-24
KR102466422B1 (ko) 2022-11-14
KR20220156097A (ko) 2022-11-24
PH12021550635A1 (en) 2021-10-11
JP2022502908A (ja) 2022-01-11

Similar Documents

Publication Publication Date Title
KR102369596B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
US11405851B2 (en) Closed access group overload and congestion control
WO2020029938A1 (zh) 安全会话方法和装置
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
KR102447972B1 (ko) 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
US20210385283A1 (en) Multimedia Priority Service
JP2022541918A (ja) 指定ペイロードコンテナタイプを使用する通信システムにおける制御プレーン経由のユーザデータ伝送
US20240129794A1 (en) Network Congestion Control
US20230292121A1 (en) System and method for security protection of nas messages
RU2772709C1 (ru) Системы и способ защиты безопасности сообщений nas
RU2783383C1 (ru) Системы и способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя
US20230319685A1 (en) Access Restriction of Wireless Device

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant