KR102447972B1 - 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법 - Google Patents

사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102447972B1
KR102447972B1 KR1020217013619A KR20217013619A KR102447972B1 KR 102447972 B1 KR102447972 B1 KR 102447972B1 KR 1020217013619 A KR1020217013619 A KR 1020217013619A KR 20217013619 A KR20217013619 A KR 20217013619A KR 102447972 B1 KR102447972 B1 KR 102447972B1
Authority
KR
South Korea
Prior art keywords
nas
message
configuration parameter
parameter update
update
Prior art date
Application number
KR1020217013619A
Other languages
English (en)
Other versions
KR20210071053A (ko
Inventor
제니퍼 리우
Original Assignee
노키아 테크놀로지스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 테크놀로지스 오와이 filed Critical 노키아 테크놀로지스 오와이
Priority to KR1020227033020A priority Critical patent/KR102567828B1/ko
Publication of KR20210071053A publication Critical patent/KR20210071053A/ko
Application granted granted Critical
Publication of KR102447972B1 publication Critical patent/KR102447972B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • H04W8/245Transfer of terminal data from a network towards a terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

제어 평면 기능들을 사용하여 UE 상에서 구성 파라미터들을 업데이트하는 시스템들 및 방법들. 일 실시예에서, 모바일 네트워크 UE에 대한 UE 구성 파라미터 업데이트를 포함하는 제어 평면 메시지를 UDM 요소로부터 수신한다. UE 구성 파라미터 업데이트는 보안 패킷, 무결성 보호 등을 통해 보안 보호된다. AMF 요소는 UE 구성 파라미터 업데이트를 UE로 투명하게 전송하도록 구성된다. 따라서, AMF 요소는 비-접속 계층(NAS) 메시지의 컨테이너에 (보안 보호되는) UE 구성 파라미터 업데이트를 삽입하며, NAS 메시지를 UE로 전송한다. UE는 그 후 보안 검사들이 완료될 때 업데이트에 기초하여 그의 구성 파라미터들을 업데이트할 수 있다.

Description

사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
관련 출원들
이 정규 특허 출원은 2018년 10월 6일에 출원된 미국 임시 특허 출원 번호 제62/742,341호에 대한 우선권을 주장하며, 이는 본원에 완전히 제공되는 것처럼 참조로서 통합된다.
기술 분야
본 개시는 통신 시스템들의 분야에 관한 것이며, 특히 이동 디바이스들을 업데이트하는 것에 관한 것이다.
서비스 제공자들 또는 캐리어들은 다수의 음성 및 데이터 서비스들을, 일반적으로 사용자 장비(UE)로 불리우는, 이동 전화들 또는 다른 이동 디바이스들/단말기들의 최종 사용자들로 제공하기 위해 모바일 네트워크들을 구현한다. 음성 서비스들의 몇몇 예들은 음성 호출들, 호출 포워딩, 호출 대기 등이다. 데이터 서비스들의 몇몇 예들은 인터넷 액세스, 스트리밍 오디오, 스트리밍 비디오, 온라인 게이밍, 인터넷 프로토콜 텔레비전(IP-TV) 등이다. 모바일 네트워크는 최종 사용자로의 마지막 링크가 무선인 네트워크의 유형이다. 모바일 네트워크는 일반적으로 코어 네트워크, 및 무선 인터페이스를 통해 UE들과 시그널링 및 데이터를 교환하는 하나 이상의 무선 접속 네트워크들(RAN)을 포함한다.
UE는 통상적으로 가입자의 국제 이동 가입자 아이덴티티(IMSI), 보안 인증, 암호화 정보, 및 다른 구성 파라미터들을 공급받는다. UE의 홈 네트워크가 UE에서의 구성 파라미터들 중 하나 이상을 업데이트할 필요가 있는 인스턴스들이 있을 수 있다. 예를 들어, UE의 홈 네트워크는 가입 변화가 발생할 때, 새로운 서비스 할당이 있을 때, 모바일 네트워크들이 장기 진화(LTE)에서 차세대 네트워크들로 이전할 때 등에 구성 파라미터들을 업데이트할 수 있다. 그러므로, UE에서 구성 파라미터들을 업데이트하기 위한 향상된 절차들을 식별하는 것이 유리하다.
여기에서 설명된 실시예들은 비-접속 계층(Non-Access Stratum; NAS) 메시지들을 사용하여 UE 구성 파라미터들로의 업데이트들을 위해 제공한다. 개요로서, 차세대 네트워크들로 이전한 모바일 네트워크들은 통합 데이터 관리(UDM) 및 접속 및 이동성 관리 기능(AMF)을 포함할 수 있다. UE의 홈 네트워크에 있는, UDM은 보안 보호(예컨대, 보안 패킷, 무결성 보호 등)와 UE에 대한 UE 구성 파라미터 업데이트를 모으도록 구성된다. UDM은 보안 보호를 갖고, UE 구성 파라미터 업데이트를 AMF로 전송한다. AMF는, 결과적으로, NAS 메시지를 사용하여 UE 구성 파라미터 업데이트를 UE로 투명하게 전송하도록 구성된다. 다시, UE 구성 파라미터 업데이트는 NAS 메시지에서 보안 보호된다. NAS 메시지의 수신 시, UE는 NAS 메시지에서 제공된 업데이트에 기초하여 그의 UE 구성 파라미터들을 업데이트하도록 구성된다. 이러한 절차의 하나의 기술적 이점은 단-대-단 보안이 UE 구성 파라미터 업데이트를 위해 제공된다는 것이다. 또 다른 기술적 이점은 네이티브 제어 평면 기능들이 UE 구성 파라미터들을 업데이트하기 위해 사용될 수 있다는 것이다. 따라서, 전용 네트워크 요소가 UE들에 대한 업데이트들을 제공하기 위해 배치될 필요가 없다.
일 실시예는 모바일 네트워크의 AMF 요소를 포함한다. AMF 요소는 프로세서(들), 상기 프로세서에 의해 실행 가능한 컴퓨터 프로그램 코드를 포함한 메모리를 포함한다. 프로세서는 AMF 요소가 UE에 대한 UE 구성 파라미터 업데이트를 포함한 제어 평면 메시지를 UDM 요소로부터 수신하게 하도록 구성된다. UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 보안 보호된다. 프로세서는 AMF 요소가, 제 1 NAS 메시지의 컨테이너에 보안 보호되는 UE 구성 파라미터 업데이트를 삽입하도록 더 구성되며, 상기 컨테이너는 UE 구성 파라미터 업데이트를 위해 지정된다. 프로세서는 AMF 요소가 보안 보호되는 UE 구성 파라미터 업데이트를 포함한 컨테이너를 가진 제 1 NAS 메시지를 UE로 전송하도록 더 구성된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 보안 패킷에 캡슐화된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되며, 상기 보안 패킷은 보호 메커니즘에 따라 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 동안 UE로 전송된 NAS 등록 수락 메시지를 포함한다. 프로세서는 AMF 요소가, UE 구성 파라미터 업데이트가 수신되었다는 UE 확인 응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 NAS 등록 절차 동안 UE로부터 수신하고, UE 확인 응답을 가진 또 다른 제어 평면 메시지를 UDM 요소로 전송하도록 더 구성된다. UE로부터 수신된 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함할 수 있다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 후 수행된 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함한다. 프로세서는 AMF 요소가, UE 구성 파라미터 업데이트가 수신되었다는 UE로부터의 UE 확인 응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 UE로부터 수신하고, UE 확인 응답을 가진 또 다른 제어 평면 메시지를 UDM 요소로 전송하도록 더 구성된다. 제 2 NAS 메시지는 업링크 NAS 수송 메시지를 포함한다.
또 다른 실시예는 UE 상에 공급된 UE 구성 파라미터들을 업데이트하기 위해 업데이트 절차를 수행하는 방법을 포함한다. 방법은 UE에 대한 UE 구성 파라미터 업데이트를 포함하는 제어 평면 메시지를 AMF 요소에서 UDM 요소로부터 수신하는 것을 포함한다. UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 보안 보호된다. 방법은 AMF 요소에서, 제 1 NAS 메시지의 컨테이너에 보안 보호되는 UE 구성 파라미터 업데이트를 삽입하는 것을 추가로 포함하며, 상기 컨테이너는 UE 구성 파라미터 업데이트를 위해 지정된다. 방법은 보안 보호되는 UE 구성 파라미터 업데이트를 포함한 컨테이너를 가진 제 1 NAS 메시지를 AMF 요소로부터 UE로 전송하는 것을 추가로 포함한다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 보안 패킷에 캡슐화된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되며, 보안 패킷은 보호 메커니즘에 따라 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 동안 AMF 요소로부터 UE로 전송된 NAS 등록 수락 메시지를 포함한다.
또 다른 실시예에서, 방법은 UE 구성 파라미터 업데이트가 수신되었다는 UE 확인 응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 NAS 등록 절차 동안 AMF 요소에서 UE로부터 수신하는 것, 및 UE 확인 응답을 가진 또 다른 제어 평면 메시지를 AMF 요소로부터 UDM 요소로 전송하는 것을 추가로 포함한다. 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함할 수 있다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 후 수행된 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함한다.
또 다른 실시예에서, 방법은 UE 구성 파라미터 업데이트가 수신되었다는 UE로부터의 UE 확인 응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 AMF 요소에서 UE로부터 수신하는 것, 및 UE 확인 응답을 가진 또 다른 제어 평면 메시지를 AMF 요소로부터 UDM 요소로 전송하는 것을 추가로 포함한다. 제 2 NAS 메시지는 업링크 NAS 수송 메시지를 포함한다.
또 다른 실시예에서, 방법은 보안 보호되는 UE에 대한 UE 구성 파라미터 업데이트를 포함하는 컨테이너를 가진 제 1 NAS 메시지를 UE에서 AMF 요소로부터 수신하는 것, UE 구성 파라미터 업데이트를 검증하기 위해 UE에서 보안 검사를 수행하는 것, 및 UE 구성 파라미터 업데이트가 검증될 때 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들 중 하나 이상을 업데이트하는 것을 추가로 포함한다.
또 다른 실시예에서, 제 1 NAS 메시지가 제-등록 표시자를 포함할 때, 방법은 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 UE에서 NAS 등록 절차를 개시하는 것을 추가로 포함한다.
또 다른 실시예는 범용 가입자 식별 모듈(USIM)을 호스팅하는 범용 집적 회로 카드(UICC), 프로세서, 및 상기 프로세서에 의해 실행 가능한 컴퓨터 프로그램 코드를 포함한 메모리를 포함하는 UE를 포함한다. UICC 및 메모리 중 하나 또는 양쪽 모두는 UE에 대한 UE 구성 파라미터들을 저장한다. 프로세서는 UE가 보호 메커니즘에 따라 보안 보호되는 UE에 대한 UE 구성 파라미터 업데이트를 포함하는 컨테이너를 가진 제 1 NAS 메시지를 AMF 요소로부터 수신하도록 구성된다. UICC 및/또는 프로세서는 UE가, UE 구성 파라미터 업데이트를 검증하도록 보안 검사를 수행하고, UE 구성 파라미터 업데이트가 검증될 때 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들 중 하나 이상을 업데이트하도록 구성된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 제 1 NAS 메시지의 컨테이너 내의 보안 패킷에 캡슐화된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, UE 구성 파라미터 업데이트는 제 1 NAS 메시지의 컨테이너 내의 보안 패킷에 캡슐화되며, 보안 패킷은 UE의 NAS 보안 컨텍스트를 사용하여 무결성 보호된다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 동안 UE로 전송된 NAS 등록 수락 메시지를 포함한다.
또 다른 실시예에서, NAS 등록 수락 메시지가 UE 확인응답 표시자를 포함할 때, 프로세서는 UE가, UE 구성 파라미터 업데이트가 수신되었다는 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 AMF 요소로 전송하도록 더 구성된다. 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함할 수 있다.
또 다른 실시예에서, 제 1 NAS 메시지는 NAS 등록 절차 후 수행된 NAS 수행 절차의 다운링크 NAS 수송 메시지를 포함한다.
또 다른 실시예에서, 다운링크 NAS 수송 메시지가 UE 확인응답 표시자를 포함할 때, 프로세서는 UE가, UE 구성 파라미터 업데이트가 수신되었다는 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 업링크 NAS 수송 메시지를 AMF 요소로 전송하도록 더 구성된다.
또 다른 실시예에서, 제 1 NAS 메시지가 재-등록 표시자를 포함할 때, 프로세서는 UE가, 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시하도록 더 구성된다.
또 다른 실시예는 UE에 대한 UE 구성 파라미터 업데이트를 포함한 제어 평면 메시지를 UDM 요소로부터 수신하기 위한 수단을 포함하는 AMF 요소를 포함한다. UE 구성 파라미터 업데이트는 보호 메커니즘에 따라 보안 보호된다. AMF 요소는 제 1 NAS 메시지의 컨테이너에 보안 보호되는 UE 구성 파라미터 업데이트를 삽입하기 위한 수단, 및 보안 보호되는 UE 구성 파라미터 업데이트를 포함한 컨테이너를 가진 제 1 NAS 메시지를 UE로 전송하기 위한 수단을 추가로 포함한다.
또 다른 실시예는 UE에 대한 UE 구성 파라미터들을 저장하기 위한 수단을 포함하는 UE를 포함한다. UE는 보호 메커니즘에 따라 보안 보호되는 UE에 대한 UE 구성 파라미터 업데이트를 포함하는 컨테이너를 가진 제 1 NAS 메시지를 AMF 요소로부터 수신하기 위한 수단, UE 구성 파라미터 업데이트를 검증하기 위해 보안 검사를 수행하기 위한 수단, 및 UE 구성 파라미터 업데이트가 검증될 때 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들 중 하나 이상을 업데이트하기 위한 수단을 추가로 포함한다.
상기 요약은 명세서의 몇몇 양상들의 기본 이해를 제공한다. 이러한 요약은 명세서의 광대한 개요가 아니다. 이는 명세서의 주요한 또는 중대한 요소들을 식별하며 명세서의 특정한 실시예들의 임의의 범위, 또는 청구항들의 임의의 범위를 상세하게 기술하지 않도록 의도된다. 그의 유일한 목적은 나중에 제공되는 더 상세한 설명에 대한 서곡으로서 단순화된 형태로 명세서의 몇몇 개념들을 제공하는 것이다.
본 발명의 몇몇 실시예들은 이제 단지 예로서, 첨부된 도면들을 참조하여 설명된다. 동일한 참조 숫자는 모든 도면들에 대해 동일한 요소 또는 동일한 유형의 요소를 나타낸다.
도 1은 예시적인 실시예에서 모바일 네트워크를 예시한다.
도 2는 진화된 패킷 코어(EPC) 네트워크를 예시한다.
도 3은 차세대 네트워크의 비-로밍 아키텍처를 예시한다.
도 4는 차세대 네트워크의 로밍 아키텍처를 예시한다.
도 5는 무선 프로토콜 스택을 예시한다.
도 6은 예시적인 실시예에서 UE의 블록도이다.
도 7은 예시적인 실시예에서 UE에 대한 기능 모델이다.
도 8은 예시적인 실시예에서 AMF 요소의 블록도이다.
도 9는 예시적인 실시예에서 UDM 요소의 블록도이다.
도 10은 예시적인 실시예에서 UDM 요소에서 업데이트 절차를 수행하는 방법을 예시한 흐름도이다.
도 11은 예시적인 실시예에서 AMF 요소에서 업데이트 절차를 수행하는 방법을 예시한 흐름도이다.
도 12는 예시적인 실시예에서 UE에서 업데이트 절차를 수행하는 방법을 예시한 흐름도이다.
도 13은 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다.
도 14는 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다.
도 15는 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다.
도 16은 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다.
도 17은 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다.
도 18은 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다.
도면들 및 다음의 설명은 특정 대표적인 실시예들을 예시한다. 따라서 이 기술분야의 숙련자들은 여기에서 명시적으로 설명되거나 또는 도시되지 않지만, 실시예들의 원리들을 구체화하며 실시예들의 범위 내에 포함되는 다양한 배열들을 고안할 수 있다는 것이 이해될 것이다. 더욱이, 여기에서 설명된 예들은 실시예들의 원리들을 이해하도록 돕기 위해 의도되며, 이러한 구체적으로 제시된 예들 및 조건들에 대한 제한이 없는 것으로 해석될 것이다. 그 결과, 본 발명의 개념(들)은 이하에서 설명된 특정 실시예들 또는 예들에 제한되지 않으며, 청구항들 및 이들의 등가물들에 의해서만 제한된다.
도 1은 예시적인 실시예에서 모바일 네트워크(100)를 예시한다. 모바일 네트워크(100)(또한 셀룰러 네트워크로 불리움)는 마지막 링크가 무선인 네트워크의 유형이며, 음성 및/또는 데이터 서비스들을 복수의 디바이스들로 제공한다. 모바일 네트워크(100)는 3세대(3G), 4세대(4G), 및/또는 차세대 네트워크(예컨대, 5세대(5G))일 수 있다.
모바일 네트워크(100)는 (도시되지 않은 다른 UE들과 함께) UE들(110)로 통신 서비스들을 제공하는 것으로 예시된다. UE들(110)은 음성 서비스들, 데이터 서비스들, 기계-대-기계(M2M) 또는 기계 유형 통신들(MTC) 서비스들, 사물 인터넷(IoT) 서비스들, 및/또는 다른 서비스들을 위해 가능화될 수 있다. UE(110)는 이동 전화(예컨대, 스마트폰), 태블릿 또는 PDA, 이동 광대역 어댑터를 가진 컴퓨터 등과 같은 최종 사용자 디바이스일 수 있다.
모바일 네트워크(100)는 무선 인터페이스(122)를 통해 UE들(110)과 통신하는 하나 이상의 무선 접속 네트워크들(RAN)(120)을 포함한다. RAN(120)은 진화된 UMTS 지상파 무선 접속 네트워크(E-UTRAN) 액세스, 무선 근거리 네트워크(WLAN) 액세스, 고정 액세스, 위성 무선 액세스, 새로운 무선 액세스 기술들(RAT) 등을 지원할 수 있다. 예로서, RAN(120)은 지리적 면적에 걸쳐 분산되는 하나 이상의 기지국들(124)을 포함하는 E-UTRAN 또는 차세대 RAN(NG-RAN)을 포함할 수 있다. 기지국(124)은 허가된 스펙트럼 상에서 UE와 통신하며 코어 네트워크와 UE를 인터페이스하기 위해 무선 통신 기술을 사용하는 엔티티를 포함할 수 있다. E-UTRAN에서의 기지국들(124)은 진화된-노드B들(eNodeB)로 불리운다. NG-RAN에서의 기지국들(124)은 gNodeB들(NR 기지국들) 및/또는 ng-eNodeB들(LTE 기지국들은 5G 코어 네트워크를 지원한다)로 불리운다. 또 다른 예로서, RAN(120)은 하나 이상의 무선 액세스 포인트들(WAP)(125)을 포함하는 WLAN을 포함할 수 있다. WLAN은 UE가 무선 (라디오) 연결을 통해 근거리 네트워크(LAN)에 연결할 수 있는 네트워크이다. WAP(125)은 허가되지 않은 스펙트럼을 통해 UE와 통신할 수 있는 무선 통신 기술을 사용하며, 코어 네트워크로의 UE 액세스를 제공하는 노드이다. WAP(125)의 일 예는 2.4GHz 또는 5GHz 무선 대역들 상에서 동작하는 WiFi 액세스 포인트이다. 여기에서 사용된 바와 같이 용어 "기지국"은 eNodeB, gNodeB, ng-eNodeB, WAP 등을 나타낼 수 있다.
UE들(110)은 코어 네트워크(130)를 액세스하기 위해 RAN(120)의 셀(126)에 접속할 수 있다. RAN(120)은 그러므로 UE들(110)과 코어 네트워크(130) 사이에서의 무선 인터페이스를 나타낸다. 코어 네트워크(130)는 RAN(120)에 의해 연결되는 고객들로 다양한 서비스들을 제공하는 모바일 네트워크(100)의 중심 부분이다. 코어 네트워크(130)의 일 예는 LTE에 대한 3GPP에 의해 제안된 바와 같이 진화된 패킷 코어(EPC) 네트워크이다. 코어 네트워크(130)의 또 다른 예는 3GPP에 의해 제안된 바와 같이 5G 코어 네트워크이다. 코어 네트워크(130)는, UE들(110)을 위해 서비스들을 제공하는 서버들, 디바이스들, 장치들, 또는 장비(하드웨어를 포함한)를 포함할 수 있는, 네트워크 요소들(132)을 포함한다. EPC 네트워크에서, 네트워크 요소들(132)은 이동성 관리 엔티티(MME), 서빙 게이트웨이(S-GW), 패킷 데이터 네트워크 게이트웨이(P-GW) 등을 포함할 수 있다. 5G 네트워크에서, 네트워크 요소들(132)은 접속 및 이동성 관리 기능(AMF), 세션 관리 기능(SMF), 정책 제어 기능(PCF), 애플리케이션 기능(AF), 사용자 평면 기능(UPF) 등을 포함할 수 있다.
도 2는 LTE를 위한 코어 네트워크인, 진화된 패킷 코어(EPC) 네트워크(200)를 예시한다. EPC 네트워크(200)는 이동성 관리 엔티티(MME)(214), 서빙 게이트웨이(S-GW)(215), 패킷 데이터 네트워크 게이트웨이(P-GW)(216), 홈 가입자 서버(HSS)(217), 및 정책 및 과금 규칙 기능(PCRF)(218)을 포함하지만, IP 멀티미디어 서브시스템(IMS) 애플리케이션 서버들과 같은, 도시되지 않은 다른 요소들을 포함할 수 있다. EPC 네트워크(200) 내에서, 사용자 데이터(또한 "사용자 평면"으로 불리움) 및 시그널링(또한 "제어 평면"으로 불리움)은 분리된다. MME(214)는 EPC 네트워크(200) 내에서 제어 평면을 핸들링한다. 예를 들어, MME(214)는 E-UTRAN 액세스를 위한 이동성 및 보안에 관련된 시그널링을 핸들링한다. MME(214)는 유휴 모드에서 UE(110)를 추적하고 페이징할 책임이 있다. S-GW(215) 및 P-GW(216)는 사용자 평면을 핸들링한다. S-GW(215) 및 P-GW(216)는 UE(110) 및 외부 데이터 네트워크들(240)(DN 또는 패킷 데이터 네트워크(PDN)) 사이에서 데이터 트래픽을 수송한다. S-GW(215)는 무선측 및 EPC 네트워크(200) 사이에서의 상호연결의 포인트이며, 인입 및 송출 IP 패킷들을 라우팅함으로써 UE(110)를 서비스 제공한다. S-GW(215)는 또한 LTE-내 이동성을 위한(즉, eNodeB들 간의 핸드오버의 경우에), 및 LTE와 다른 3GPP 액세스들 사이에서의 앵커 포인트이다. P-GW(216)는 EPC 네트워크(200)와 외부 데이터 네트워크들(240) 사이에서의 상호연결의 포인트(즉, 데이터 네트워크(240)를 위한 진입 또는 퇴장의 포인트)이며, 데이터 네트워크(240)로 및 그로부터 패킷들을 라우팅한다. HSS(217)는 사용자-관련 및 가입자-관련 정보를 저장하는 데이터베이스이다. PCRF(218)는 EPC 네트워크(200)에서 정책 및 과금 제어(PCC) 솔루션을 제공하며, 최종 사용자에 의해 요청된 서비스들에 대한 PCC 규칙들을 만들어 내는 EPC 네트워크(200)의 노드 또는 엔티티이다.
MME(214)는 S1-MME 인터페이스를 통해 RAN(120)(즉, eNodeB)에 연결하며, S-GW(215)는 S1-U 인터페이스를 통해 RAN(120)에 연결한다. MME(214)는 S11 인터페이스를 통해 S-GW(215)에 연결하며, S6a 인터페이스를 통해 HSS(217)에 연결한다. PCRF(218)는 Gx 인터페이스를 통해 P-GW(216)에 연결하며, 이는 PCRF(218)로부터 P-GW(216)에서의 정책 및 과금 시행 기능(PCEF)으로 정책 및 과금 규칙들의 전달을 제공한다. PCRF(218)는 Gxx 인터페이스를 통해 S-GW(215)에 연결하며, S-GW(215)는 S5 인터페이스를 통해 P-GW(216)에 연결한다.
도 3은 차세대 네트워크의 비-로밍 아키텍처(300)를 예시한다. 도 3에서의 아키텍처는 여기에 완전히 포함된 것처럼 참조로서 통합되는, 3GPP GS 23.501(v15.3.0)에서 추가로 설명되는 바와 같이, 기준 포인트 표현이다. 아키텍처(300)는 코어 네트워크를 위한 네트워크 기능들(NF)로 구성되며, 제어 평면을 위한 네트워크 기능들은 사용자 평면으로부터 분리된다. 코어 네트워크의 제어 평면은 인증 서버 기능(AUSF)(310), 통합 데이터 관리(UDM)(312), 네트워크 슬라이스 선택 기능(NSSF)(313), 접속 및 이동성 관리 기능(AMF)(314), 세션 관리 기능(SMF)(316), 정책 제어 기능(PCF)(318), 및 애플리케이션 기능(AF)(320)을 포함한다. 코어 네트워크의 사용자 평면은 데이터 네트워크(240)와 통신하는 하나 이상의 사용자 평면 기능들(UPF)(324)을 포함한다. UE(110)는 (R)AN(120)을 통해 코어 네트워크의 제어 평면 및 사용자 평면을 액세스할 수 있다.
AUSF(310)는 UE(110)의 인증을 지원하도록 구성된다. UDM(312)은 UE(110)의 가입 데이터/정보를 저장하도록 구성된다. UDM(312)은 3개의 유형들의 사용자 데이터: 가입, 정책, 및 세션-관련 컨텍스트(예컨대, UE 위치)를 저장할 수 있다. AMF(314)는 UE-기반 인증, 인가, 이동성 관리 등을 제공하도록 구성된다. SMF(316)는 다음의 기능을 제공하도록 구성된다: 세션 관리(SM), UE 인터넷 프로토콜(IP) 어드레스 할당 및 관리, UPF(들)의 선택 및 제어, PCF(318)를 향한 인터페이스들의 종료, 정책 시행 및 서비스 품질(QoS)의 제어 파트, 합법적인 인터셉트, NAS 메시지들의 SM 파트들의 종료, 다운링크 데이터 통지(DNN), 로밍 기능, 서비스 레벨 합의들(SLA들)을 위한 QOS를 적용하기 위한 핸들 로컬 시행, 과금 데이터 수집 및 과금 인터페이스 등. UE(110)가 다수의 세션들을 갖는다면, 상이한 SMF들이 그들을 개별적으로 관리하고 가능하게는 세션당 상이한 기능들을 제공하기 위해 각각의 세션에 할당될 수 있다. PCF(318)는 네트워크 거동을 통제하기 위해 통합된 정책 프레임을 지원하며, QoS 시행, 과금, 액세스 제어, 트래픽 라우팅 등을 위한 평면 기능들을 제어하기 위해 정책 규칙들을 제공하도록 구성된다. AF(320)는 패킷 흐름에 대한 정보를 PCF(318)로 제공한다. 정보에 기초하여, PCF(318)는 AMF(314) 및 SMF(316)를 적절하게 동작하게 하기 위해 이동성 및 세션 관리에 대한 정책 규칙들을 결정하도록 구성된다.
UPF(324)는 패킷 라우팅 및 포워딩, 트래픽 핸들링(예컨대, QoS 시행), RAT-내/RAT-간 이동성(적용 가능할 때)을 위한 앵커 포인트, 패킷 검사 및 정책 규칙 시행, 합법적인 인터셉트(UP 수집), 트래픽 회계 및 보고 등과 같은, 다양한 사용자 평면 동작들 및 기능들을 지원한다. 데이터 네트워크(240)는 코어 네트워크의 파트가 아니며, 인터넷 액세스, 조작자 서비스들, 제 3 자 서비스들 등을 제공한다. 예를 들어, 국제 전기통신 연합(ITU)은 5G 모바일 네트워크 서비스들을 3개의 카테고리들로 분류하였다: 강화된 이동 광대역(eMBB), 초고-신뢰 및 초저-지연 통신들(uRLLC), 및 대규모 기계형 통신들(mMTC) 또는 대규모 사물 인터넷(MIoT). eMBB는 HD 비디오들, 가상 현실(VR), 및 증강 현실(AR)과 같은, 고 대역폭 요건들을 가진 서비스들에 초점을 맞춘다. uRLLC는 자율 주행 및 원격 관리와 같은, 대기시간-민감 서비스들에 초점을 맞춘다. mMTC 및 MIoT는 스마트 도시 및 스마트 농법과 같은, 연결 밀도를 위한 높은 요건들을 포함하는 서비스들에 초점을 맞춘다. 데이터 네트워크(240)는 이들 및 다른 서비스들을 제공하도록 구성될 수 있다.
아키텍처(300)는 다음의 기준 포인트들을 포함한다. N1 기준 포인트는 UE(110)와 AMF(314) 사이에서 구현된다. N2 기준 포인트는 (R)AN(120)과 AMF(314) 사이에 구현된다. N3 기준 포인트는 (R)AN(120)과 UPF(324) 사이에 구현된다. N4 기준 포인트는 SMF(316) 및 UPF(324) 사이에 구현된다. N5 기준 포인트는 PCF(318)와 AF(320) 사이에 구현된다. N6 기준 포인트는 UPF(324)와 데이터 네트워크(240) 사이에 구현된다. N7 기준 포인트는 SMF(316)와 PCF(318) 사이에 구현된다. N8 기준 포인트는 UDM(312)과 AMF(314) 사이에 구현된다. N9 기준 포인트는 두 개의 UPF들(324) 간에 구현된다. N10 기준 포인트는 UDM(312)과 SMF(316) 사이에 구현된다. N11 기준 포인트는 AMF(314)와 SMF(316) 사이에 구현된다. N12 기준 포인트는 AMF(314)와 AUSF(310) 사이에 구현된다. N13 기준 포인트는 UDM(312)과 AUSF(310) 사이에 구현된다. N14 기준 포인트는 두 개의 AMF들 간에 구현된다. N15 기준 포인트는 비-로밍 시나리오의 경우에 PCF(318)와 AMF(314) 사이에 구현된다. N22 기준 포인트는 NSSF(313)와 AMF(314) 사이에 구현된다.
도 4는 차세대 네트워크의 로밍 아키텍처(400)를 예시한다. 도 4에서의 아키텍처는 3GPP TS 23.501(v15.3.0)에서 추가로 설명되는 바와 같이, 기준 포인트 표현에서 로컬 브레이크아웃 시나리오이다. 로밍 시나리오에서, 방문 공중 육상 모바일 네트워크(VPLMN)(420) 및 홈 PLMN(HPLMN)(404)이 도시된다. HPLMN(404)은 이동 가입자의 프로필이 유지되는 PLMN을 식별한다. VPLMN은 이동 가입자가 그들의 HPLMN을 떠날 때 로밍하는 PLMN이다. 다른 네트워크들로 로밍한 사용자들은 HPLMN(404)으로부터 가입 정보를 수신할 것이다. 로컬 브레이크아웃 시나리오에서, PCF(318)(hPCF), UDM(312), 및 AUSF(310)는 UE(110)를 위한 HPLMN(404)에 있다. 방문 PCF(vPCF)(418)를 포함한, 다른 네트워크 기능들이 VPLMN(402)에 있다.
도 5는 무선 인터페이스(122)에 대한 것과 같은, 무선 프로토콜 스택(500)을 예시한다. 여기에서 설명된 바와 같이, 사용자 평면(512)은 네트워크를 통해 실제 사용자 데이터를 전달하기 위해 사용된 프로토콜들의 세트를 포함하며, 제어 평면들(514)은 네트워크 내에서 사용자 연결들 및 베어러들을 제어하고 수립하기 위해 사용된 프로토콜들을 포함한다. 사용자 평면(512) 및 제어 평면(514)에 대해, 무선 프로토콜 스택(500)은 물리(PHY) 층(501), 매체 액세스 제어(MAC) 층(502), 무선 링크 제어(RLC) 층(503), 및 패킷 데이터 수렴 프로토콜(PDCP) 층(504)을 포함한다. 제어 평면(514)은 무선 리소스 제어(RRC) 층(505) 및 비-접속 계층(NAS) 층(506)을 부가적으로 포함한다.
물리 층(501)은 무선 인터페이스를 통해 MAC 수송 채널들로부터 모든 정보를 운반한다. 데이터 및 시그널링 메시지들은 상이한 레벨들의 물리 층(501) 사이에서의 물리 채널들 상에서 운반된다. 물리 채널들은 물리 데이터 채널들 및 물리 제어 채널들로 나뉜다. 물리 데이터 채널들은 물리 다운링크 공유 채널(PDSCH), 물리 브로드캐스트 채널(PBCH), 물리 멀티캐스트 채널(PMCH), 물리 업링크 공유 채널(PUSCH), 및 물리 랜덤 액세스 채널(PRACH)을 포함할 수 있다. 물리 제어 채널들은 물리 제어 포맷 표시자 채널(PCFICH), 물리 하이브리드 ARQ 표시자 채널(PHICH), 물리 다운링크 제어 채널(PDCCH), 및 물리 업링크 제어 채널(PUCCH)을 포함할 수 있다.
MAC 층(502)은 논리 채널들과 수송 채널들 사이에서의 매핑, 하나 또는 상이한 논리 채널들로부터 수송 채널들 상에서의 물리 층으로 전달된 수송 블록들(TB)로의 MAC 서비스 데이터 유닛들(SDU들)의 다중화, 수송 채널들 상에서의 물리 층으로부터 전달된 수송 블록들로부터의 하나 또는 상이한 논리 채널들로부터의 MAC SDU들의 역-다중화, 정보 보고 스케줄링, 하이브리드 자동 반복 요청(HARQ)을 통한 에러 정정, 동적 스케줄링에 의한 UE들 간의 우선순위 핸들링, 하나의 UE의 논리 채널들 간의 우선순위 핸들링, 및 논리 채널 우선순위화를 책임지고 있다. RLC 층(503)은 상부 층 프로토콜 데이터 유닛들(PDU들)의 전달, ARQ를 통한 에러 정정, 및 RLC SDU들의 연쇄, 분할화 및 재어셈블리를 책임지고 있다. RLC 층(503)은 또한 RLC 데이터 PDU들의 재-분할화, RLC 데이터 PDU들의 재순서화, 중복 검출, RLC SDU 폐기, RLC 재-수립, 및 프로토콜 에러 정정을 책임지고 있다. PDCP 층(504)은 IP 데이터의 헤더 압축 및 압축 해제, 데이터의 전달(사용자 평면 또는 제어 평면), PDCP 시퀀스 번호들(SN들)의 유지, 하부 층들의 재-수립 시 상부 층 PDU들의 시퀀스-내 전달, RLC 확인응답 모드(AM) 상에서 매핑된 무선 베어러들에 대한 하부 층들의 재-수립 시 하부 층 SDU들의 중복 제거, 사용자 평면 데이터 및 제어 평면 데이터의 암호화 및 암호 해독, 제어 평면 데이터의 무결성 보호 및 무결성 검증, 타이머-기반 폐기, 중복 폐기 등을 책임지고 있다. RRC 층(505)은 NAS에 관련된 시스템 정보의 브로드캐스트, 액세스 계층(AS)에 관련된 시스템 정보의 브로드캐스트, UE와 RAN 간의 RRC 연결의 페이징, 수립, 유지, 및 해제, 포인트-대-포인트 무선 베어러들(RB)의 키 관리, 수립, 구성, 유지, 및 해제를 포함한 보안 기능들을 책임지고 있다. NAS 층(506)은 UE와 코어 네트워크(예컨대, MME/AMF) 간의 제어 평면(514)의 최고 계층을 나타내며, UE와 코어 네트워크 사이에서 IP 연결성을 수립하고 유지하기 위해 UE의 이동성 및 세션 관리 절차들을 지원한다.
모바일 네트워크로부터 서비스들을 수신한 각각의 UE(110)는 구성 파라미터들을 공급받는다. 홈 네트워크(즉, HPLMN)는 UE에서 구성 파라미터들 중 하나 이상을 업데이트하길 원할 수 있다. 이전 모바일 네트워크들에서, 구성 파라미터들의 업데이트는 오버-디-에어(OTA) 메커니즘을 갖고 수행되었다. OTA 메커니즘은 OTA 게이트웨이로 불리우는 전용 네트워크 요소의 배치를 요구하였다. 구성 파라미터들에 대한 업데이트가 수행되었을 때, 네트워크 조작자의 백-엔드 시스템은 서비스 요청을 OTA 게이트웨이로 전송하였다. 상이한 OTA "베어러들"은 단문 메시지 서비스들(SMS), 구조화되지 않는 상호보완 서비스 데이터(USSD), 하이퍼텍스트 전달 프로토콜(HTTP) 등과 같은, 서비스 요청들을 UE로 전송하기 위해 특정되었다. OTA 게이트웨이는 UE로 전송될 서비스 요청들을 위해 OTA "베어러들"로 서비스 요청들을 매핑하였다. 예를 들어, SMS 베어러가 사용되었을 때, OTA 게이트웨이는 업데이트된 구성 파라미터들을 하나 이상의 SMS 메시지들로 캡슐화하였다. OTA 게이트웨이는 그 후 SMS 메시지들을 SMS 센터(SMSC)로 전송하였으며, 이는 SMS 메시지들을 UE로 송신하였다. 네트워크 조작자가 OTA 게이트웨이와 같은, 전용 네트워크 요소를 배치할 필요 없이 UE 구성 파라미터들을 업데이트하기 위해 사용할 수 있는 네이티브 제어 평면 솔루션을 제공하는 것이 바람직하다. 또한 UE 구성 파라미터들이 보안 보호되는 솔루션을 제공하는 것이 바람직하다.
여기에서 설명된 실시예들에서, 네트워크는 제어 평면 NAS 메시지를 통해 UE로 보안-보호된 UE 구성 파라미터 업데이트를 투명하게 전송한다. 예를 들어, UE 구성 파라미터 업데이트는 보안 패킷을 사용하여, NAS 컨텍스트의 무결성 보호 키를 사용하여, 또는 양쪽 모두로 보안 보호될 수 있다. NAS 메시지에서 UE 구성 파라미터 업데이트의 수신 시, UE는 그의 UE 구성 파라미터들을 업데이트할 수 있다. 여기에서 제공된 솔루션은 차세대 네트워크(예컨대, 5G)에 관하여 설명되지만, 유사한 솔루션들이 이전 또는 나중 세대 네트워크들에서 제공될 수 있다. 실시예들에 대한 추가 세부사항들이 이하에서 제공된다.
도 6은 예시적인 실시예에서 UE(110)의 블록도이다. UE(110)는 무선 인터페이스 구성요소(602), 하나 이상의 프로세서들(604), 메모리(606), 사용자 인터페이스 구성요소(608), 및 배터리(610)를 포함한다. 무선 인터페이스 구성요소(602)는 라디오 또는 "오버-디-에어" 신호들을 통해 기지국(예컨대, 기지국(124))과의 무선 통신들을 위해 사용된, RF 유닛(620)(예컨대, 트랜시버) 및 하나 이상의 안테나들(622)과 같은, UE(110)의 로컬 무선 리소스들을 나타내는 하드웨어 구성요소이다. 프로세서(604)는 UE(110)의 기능들을 제공하는, 내부 회로부, 로직, 하드웨어, 소프트웨어 등을 나타낸다. 프로세서(604)는 메모리(606)로 로딩되는 소프트웨어를 위한 인스트럭션들(640)을 실행하도록 구성될 수 있다. 프로세서(604)는 특정한 구현에 의존하여, 하나 이상의 프로세서들의 세트를 포함할 수 있거나 또는 다중-프로세서 코어를 포함할 수 있다. 프로세서(604)는 하나 이상의 애플리케이션들(630)을 구현할 수 있다. 이들 애플리케이션들(630)은 RAN(120) 및 코어 네트워크(130)를 통해 다운링크(DL) 데이터를 액세스할 수 있으며, 또한 RAN(120) 및 코어 네트워크(130)를 통해 목적지로의 전달을 위한 업링크(UL) 데이터를 생성할 수 있다. 메모리(606)는 데이터, 인스트럭션들(640), 애플리케이션들 등을 위한 컴퓨터 판독 가능한 저장 매체이며, 프로세서(604)에 의해 액세스 가능하다. 메모리(606)는 임시 기반 또는 영구 기반으로 정보를 저장할 수 있는 하드웨어 저장 디바이스이다. 메모리(606)는 랜덤-액세스 메모리(RAM), 또는 임의의 다른 휘발성 또는 비-휘발성 저장 디바이스를 포함할 수 있다. 사용자 인터페이스 구성요소(608)는 최종 사용자와 상호 작용하기 위한 하드웨어 구성요소이다. 예를 들어, 사용자 인터페이스 구성요소(608)는 디스플레이(650), 스크린, 터치 스크린 등(예컨대, 액정 디스플레이(LCD), 발광 다이오드(LED) 디스플레이 등)을 포함할 수 있다. 사용자 인터페이스 구성요소(608)는 키보드 또는 키패드(652), 추적 디바이스(예컨대, 트랙볼 또는 트랙패드), 스피커, 마이크로폰 등을 포함할 수 있다.
UE(110)는 또한 범용 집적 회로 카드(UICC)(660)를 포함하며, 이는 UE(110)에 대한 보안 및 무결성 기능들을 제공하는 하드웨어 디바이스이다. 도 6에 도시되지 않지만, UICC(660)는 프로세서(즉, 중앙 프로세서 장치(CPU)), 메모리(예컨대, 판독-전용 메모리(ROM), RAM, 전기적으로 삭제 가능한 프로그램 가능 판독-전용 메모리(EEPROM)), 및 입력/출력(I/O) 회로들을 포함할 수 있다. UICC(660)는 국제 이동 가입자 아이덴티티(IMSI), 보안 인증 및 암호화 정보, 및 다른 홈 조작자 구성 정보와 같은, 정보를 저장하는 범용 가입자 아이덴티티 모듈(USIM)(662)을 호스팅하거나 또는 저장할 수 있다.
UICC(660) 및/또는 메모리(606)는 여기에서 UE 구성 파라미터들(664)로서 불리우는, UE(110)를 구성하기 위해 사용되는 홈 조작자 정보를 저장할 수 있다. UE 구성 파라미터들(664) 중 하나 이상은 UICC(660)에 의해 독점적으로 사용될 수 있으며, UE 구성 파라미터들(664) 중 하나 이상은 파라미터(604)에 의해 사용될 수 있다. UE 구성 파라미터들(664)은 라우팅 표시자, 홈 네트워크 식별자(예컨대, PLMN 아이덴티티 및 MCC/MNC 정보), 홈 네트워크 보호 기법 식별자, 홈 네트워크 공개 키 식별자, 홈 네트워크 공개 인증서들, 네트워크 선택 정보(예컨대, 액세스 기술 리스트를 가진 조작자-제어 PLMN 선택기), 및/또는 다른 정보를 포함할 수 있다. UE 구성 파라미터들(664)은 이하에서 논의되는 바와 같이 업데이트 절차를 통해서와 같이, 네트워크 조작자에 의해 사전-공급된 데이터, 또는 네트워크에 의해 공급된 데이터를 나타낼 수 있다. UE(110)는 도 6에서 구체적으로 예시되지 않은 다양한 다른 구성요소들을 포함할 수 있다.
도 7은 예시적인 실시예에서 UE(110)에 대한 기능 모델이다. UE(110)는 이동 장비(ME)(702) 및 USIM(662)과 같은, 도메인들로 세분될 수 있다. 상기 설명된 바와 같이, USIM(662)에 대한 기능들은 UICC(660)에 대해 프로세서 및 메모리에 의해 수행될 수 있다. ME(702)에 대한 기능들은 프로세서(604) 및 메모리(606)에 의해 수행될 수 있다. ME(702)는 무선 송신을 수행하며 애플리케이션들을 포함한다. USIM(662)은 그 자체를 분명하고 안전하게 식별하는 데이터 및 절차들을 포함한다. 이들 기능들은 통상적으로 UICC(660)와 같은, 독립형 스마트 카드에 내장된다. 상기 서술된 바와 같이, UE 구성 파라미터들(664) 중 하나 이상은 UICC(660) 내에서 사용 또는 핸들링을 위해 USIM(662)에 배타적으로 저장될 수 있으며, UE 구성 파라미터들(664) 중 하나 이상은 ME(702) 내에서 사용 또는 핸들링을 위해 ME(702)에 배타적으로 저장될 수 있다.
도 8은 예시적인 실시예에서 AMF 요소(314)의 블록도이다. 상기 설명된 바와 같이, AMF 요소(314)는 UE-기반 인증, 인가, 이동성 관리 등을 제공하도록 구성된다. 이 실시예에서, AMF 요소(314)는 다음의 서브시스템들을 포함한다: 하나 이상의 플랫폼들 상에서 동작하는 네트워크 인터페이스 구성요소(802) 및 업데이트 매니저(804). 네트워크 인터페이스 구성요소(802)는 다른 네트워크 요소들 및/또는 UE들과 제어 평면 메시지들 또는 시그널링을 교환하도록 구성된(예컨대, RAN(120)을 통해) 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. 네트워크 인터페이스 구성요소(802)는 다양한 프로토콜들(NAS 프로토콜을 포함한) 또는 기준 포인트들을 사용하여 동작할 수 있다. 업데이트 매니저(804)는 UE들 상에서 UE 구성 파라미터들에 대한 업데이트들을 핸들링하도록 구성된 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. AMF 요소(314)의 서브시스템들 중 하나 이상은 아날로그 및/또는 디지털 회로부로 구성된 하드웨어 플랫폼상에서 구현될 수 있다. AMF 요소(314)의 서브시스템들 중 하나 이상은 메모리(832)에 저장된 인스트럭션들을 실행하는 프로세서(830) 상에서 구현될 수 있다. 프로세서(830)는 인스트럭션들을 실행하도록 구성된 집적된 하드웨어 회로를 포함하며, 메모리(832)는 데이터, 인스트럭션들, 애플리케이션들 등을 위한 비-일시적 컴퓨터 판독 가능한 저장 매체이며 프로세서(830)에 의해 액세스 가능하다. AMF 요소(314)는 도 8에 구체적으로 예시되지 않은 다양한 다른 구성요소들을 포함할 수 있다.
도 9는 예시적인 실시예에서 UDM 요소(312)의 블록도이다. 상기 설명된 바와 같이, UDM 요소(312)는 UE들에 대한 액세스 및 이동성 가입 데이터를 저장하도록 구성된다. 이 실시예에서, UDM 요소(312)는 다음의 서브시스템들을 포함한다: 하나 이상의 플랫폼들 상에서 동작하는 네트워크 인터페이스 구성요소(902), 가입자 데이터 리포지터리(904), 및 업데이트 매니저(906). 네트워크 인터페이스 구성요소(902)는 다른 네트워크 요소들과 제어 평면 메시지들 또는 시그널링을 교환하도록 구성된, 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. 네트워크 인터페이스 구성요소(902)는 다양한 프로토콜들 또는 기준 포인트들을 사용하여 동작할 수 있다. 가입자 데이터 리포지터리(904)는 액세스 및 이동성 가입 데이터를 저장하도록 구성된, 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. 업데이트 매니저(906)는 UE들 상에서 UE 구성 파라미터들에 대한 업데이트들을 핸들링하도록 구성된, 회로부, 로직, 하드웨어, 수단 등을 포함할 수 있다. UDM 요소(312)의 서브시스템들 중 하나 이상은 아날로그 및/또는 디지털 회로부로 구성된 하드웨어 플랫폼상에서 구현될 수 있다. UDM 요소(312)의 서브시스템들 중 하나 이상은 메모리(932)에 저장된 인스트럭션들을 실행하는 프로세서(930) 상에서 구현될 수 있다. UDM 요소(312)는 도 9에서 구체적으로 예시되지 않은 다양한 다른 구성요소들을 포함할 수 있다.
업데이트 절차는 UE가 네트워크에 등록할 때, 또는 UE가 네트워크에 등록한 후 수행되거나 또는 유발될 수 있다. 도 10 내지 도 12는 UDM 요소(312), AMF 요소(314), 및 UE(110)에 의해 수행된 일반적인 업데이트 절차를 예시한다. 업데이트 절차의 추가 세부사항들은 이하의 예시적인 메시지 다이어그램들에서 설명된다. 그러므로, 여기에서 제공된 흐름도들은 메시지 다이어그램들에 관하여 설명된 업데이트 절차들에 의해 보완될 수 있다.
도 10은 예시적인 실시예에서 UDM 요소(312)에서 업데이트 절차를 수행하는 방법(1000)을 예시한 흐름도이다. 방법(1000)의 단계들은 도 9에서 UDM 요소(312)를 참조하여 설명될 것이지만, 이 기술분야의 숙련자들은 방법(1000)이 다른 네트워크 요소들 또는 디바이스들에서 수행될 수 있다는 것을 이해할 것이다. 또한, 여기에서 설명된 흐름도들의 단계들은 모두 포괄적인 것은 아니며 도시되지 않은 다른 단계들을 포함할 수 있고, 단계들은 대안적인 순서로 수행될 수 있다.
이 실시예를 위해 UE(110)가 NAS 등록 절차를 통해 네트워크에 등록하거나, 또는 이미 네트워크에 등록된다는 것이 가정될 수 있다. UDM 요소(312)의 업데이트 매니저(906)는 UE(110)에서 UE 구성 파라미터들(664) 중 하나 이상을 업데이트하기 위해 업데이트 절차를 개시한다(단계 1002). 예를 들어, 업데이트 매니저(906)는 가입자 데이터 리포지터리(904)에 저장된 UE 구성 정보를 프로세싱하며, UE 구성 파라미터들(664)에 대한 업데이트가 필요하거나 또는 요구되는지를 결정할 수 있다. 업데이트 매니저(906)는 UE(110)에 대한 UE 구성 파라미터 업데이트를 어셈블리한다(단계 1004). UE 구성 파라미터 업데이트는 UE(110)에서 UE 구성 파라미터들(664)의 업데이트를 수행하기 위해 사용된, 정보, 명령, 지시 등을 포함한다. 예를 들어, UE 구성 파라미터 업데이트는 액세스 및 이동성 가입 데이터의 부분으로서 UE(110)에 대한 하나 이상의 업데이트된 UE 구성 파라미터들을 포함할 수 있다.
업데이트 매니저(906)는 하나 이상의 보호 메커니즘들에 따라 UE 구성 파라미터 업데이트에 보안 보호를 적용한다(단계 1006). 일 실시예에서, 보호 메커니즘은 보안 패킷일 수 있다. 따라서, 업데이트 매니저(906)는 보안 보호를 적용하기 위해 보안 패킷에 UE 구성 파라미터 업데이트를 구성하거나 또는 캡슐화할 수 있다(선택적 단계 1008). 일반적으로, 보안 패킷은 특정한 메커니즘이 적용된 애플리케이션 메시지들을 포함한다. 애플리케이션 메시지들은 네트워크 요소와 UICC 사이에서 교환된 명령들 또는 데이터이다. 전송기는 보안 헤더(명령 헤더)를 애플리케이션 메시지에 덧붙이며, 그 후 요청된 보안을 명령 헤더의 부분 또는 애플리케이션 메시지의 모두에 적용한다. 결과적인 구조는 페이로드로서 보안 데이터를 포함하는 (보안) 명령 패킷으로서 불리운다. 업데이트 매니저(906)는 보안 패킷에서 UE 구성 파라미터 업데이트를 구성하거나 또는 캡슐화하기 위해 로컬 보안 패킷 라이브러리 또는 원격 보안 패킷 라이브러리를 액세스할 수 있다. 또 다른 실시예에서, 보호 메커니즘은 무결성 보호일 수 있다. 따라서, 업데이트 매니저(906)는 UE(110)에 대한 NAS 보안 컨텍스트를 사용하여 UE 구성 파라미터 업데이트에 대한 무결성 보호를 이용할 수 있다(선택적 단계 1010). NAS 보안은 NAS 보안 키들을 사용하여 제어 평면에서 UE(110)와 AMF 요소(314) 사이에 NAS 시그널링 메시지들을 안전하게 전달하기 위해 사용된다. NAS 보안 컨텍스트는 NAS 메시지들을 보호하기 위해 사용된 NAS 보안 키들 및 파라미터들의 모음이다. NAS 보안 키들은 UE(110)가 네트워크에 대해 인증될 때 생성된다. 따라서, 인증 후, 업데이트 매니저(906)는 NAS 보안 컨텍스트의 무결성 보호 키를 사용하여 UE 구성 파라미터 업데이트에 대한 무결성 보호를 이용할 수 있다. 또 다른 실시예에서, 업데이트 매니저(906)는 UE 구성 파라미터 업데이트를 보호하기 위해 보안 패킷 및 NAS 보안 컨텍스트 양쪽 모두를 사용할 수 있다(선택적 단계 1012). 업데이트 매니저(906)는 그 후 제어 평면 메시지에 보안-보호된 UE 구성 파라미터 업데이트를 삽입하거나 또는 그 외 포함할 수 있다(단계 1014).
업데이트 매니저(906)는 또한 제어 평면 메시지에 UE 확인 응답 표시자를 삽입하거나 또는 그 외 포함할 수 있다(선택적 단계 1016). UE 확인응답 표시자는 홈 네트워크가 UE 구성 파라미터 업데이트의 성공적인 보안 검사에 대해 UE(110)로부터의 확인 응답을 원할 때 포함될 수 있다. 업데이트 매니저(906)는 또한 제어 평면 메시지에 재-등록 표시자를 삽입하거나 또는 그 외 포함할 수 있다(선택적 단계 1016). 재-등록 표시자는 홈 네트워크가 UE(110)를 업데이트된 UE 구성 파라미터들을 가진 네트워크에 재-등록하길 원할 때 포함될 수 있다. 업데이트 매니저(906)는 그 후 네트워크 인터페이스 구성요소(902)를 통해 보안-보호된 UE 구성 파라미터 업데이트 및 UE 확인응답 표시자 및/또는 재-등록 표시자(요청된다면)를 포함하는 제어 평면 메시지를 AMF 요소(314)로 전송한다(단계 1018).
도 11은 예시적인 실시예에서 AMF 요소(314)에서 업데이트 절차를 수행하는 방법(1100)을 예시한 흐름도이다. 방법(1100)의 단계들은 도 8에서 AMF 요소(314)를 참조하여 설명될 것이지만, 이 기술분야의 숙련자들은 방법(1100)이 다른 네트워크 요소들 또는 디바이스들에서 수행될 수 있다는 것을 이해할 것이다.
AMF 요소(314)의 업데이트 매니저(804)는 네트워크 인터페이스 구성요소(802)를 통해 보안-보호된 UE 구성 파라미터 업데이트를 포함하는 제어 평면 메시지를 UDM 요소(312)로부터 수신한다(단계 1102). 업데이트 매니저(804)는 NAS 메시지의 컨테이너에 보안-보호된 UE 구성 파라미터 업데이트를 삽입한다(단계 1104). 보안-보호된 UE 구성 파라미터 업데이트의 송신은 AMF 요소(314)에 대해 "투명한" 것으로 고려된다. 따라서, 업데이트 매니저(804)는 UE 구성 파라미터 업데이트를 수정하거나 또는 변경하지 않고 보안-보호된 UE 구성 파라미터 업데이트를 포워딩하도록 프로그램된다. 업데이트 매니저(804)는 그러므로 UDM 요소(312)로부터 제어 평면 메시지에서 수신된 보안-보호된 UE 구성 파라미터 업데이트를 UE 구성 파라미터 업데이트를 위해 지정된 "투명" 컨테이너로 삽입할 수 있다. 이와 같은 투명 컨테이너의 일 예는 이하에서 더 상세하게 설명된다.
보안-보호된 UE 구성 파라미터 업데이트를 수송하기 위해 AMF 요소(314)에 의해 사용된 NAS 메시지의 유형은 수행되는 NAS 절차에 의존할 수 있다. 예를 들어, NAS 등록 절차가 수행될 때, NAS 메시지는 NAS 등록 수락 메시지를 포함할 수 있다. NAS 수송 절차가 수행될 때, NAS 메시지는 DL NAS 수송 메시지를 포함할 수 있다. 업데이트 매니저(804)는 그 후 네트워크 인터페이스 구성요소(802)를 통해 NAS 메시지를 UE(110)로 전송한다(단계 1106).
도 12는 예시적인 실시예에서 UE(110)에서 업데이트 절차를 수행하는 방법(1200)을 예시한 흐름도이다. 방법(1200)의 단계들은 도 6 내지 도 7에서 UE(110)를 참조하여 설명될 것이지만, 이 기술분야의 숙련자들은 방법(1200)이 다른 디바이스들에서 수행될 수 있다는 것을 이해할 것이다.
UE(110)(예컨대, ME(702)를 통해)는 AMF 요소(314)로부터 NAS 메시지를 수신한다(단계 1202). ME(702) 또는 USIM(662)은 NAS 메시지의 컨테이너에 포함된 보안-보호된 UE 구성 파라미터 업데이트가 UE(110)를 위한 홈 네트워크(즉, HPLMN)에 의해 제공됨을 검증하기 위해 보안 검사를 수행한다(단계 1204). 예를 들어, ME(702) 또는 USIM(662)은 수신된 보안-보호된 UE 구성 파라미터 업데이트가 UDM 요소(312)에 의해 전송된 보안-보호된 UE 구성 파라미터 업데이트와 일치하는지를 결정하기 위해 체크섬(checksum)을 산출할 수 있다. 보안 검사가 성공적이지 않을 때, ME(702) 또는 USIM(662)은 보안-보호된 UE 구성 파라미터 업데이트를 폐기한다(단계 1206). 보안 검사가 성공적일 때, ME(702) 또는 USIM(662)은 UE 구성 파라미터 업데이트에 기초하여 UE(110)에서 공급된 하나 이상의 UE 구성 파라미터들(664)을 업데이트한다(단계 1208). 상기 설명된 바와 같이, UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화될 수 있다. 이러한 시나리오에서, USIM(662)은 보안 패킷 라이브러리를 사용하여 보안 패킷으로부터 UE 구성 파라미터 업데이트를 디코딩하거나 또는 언패킹하도록 구성된다. USIM(662)은 그 후 UE 구성 파라미터 업데이트에 기초하여 USIM(662)에 로컬인 하나 이상의 UE 구성 파라미터들(664)을 업데이트한다.
NAS 메시지가 UE 확인응답 표시자를 포함할 때, ME(702) 또는 USIM(662)은 UE 확인응답을 포함한 컨테이너를 가진 NAS 메시지를 AMF 요소(314)로 전송한다(선택적 단계 1210). UE 확인응답의 송신은 AMF 요소(314)에 "투명한" 것으로 고려된다. 따라서, ME(702) 또는 USIM(662)은 UE 확인응답을 UE 확인응답을 위해 지정된 "투명" 컨테이너로 삽입하도록 프로그램된다. 이와 같은 투명 컨테이너의 일 예는 이하에서 더 상세하게 설명된다.
NAS 메시지의 유형은 수행되는 NAS 절차에 의존할 수 있다. 예를 들어, NAS 등록 절차가 수행될 ‹š, NAS 메시지는 NAS 등록 완료 메시지 또는 UL NAS 수송 메시지를 포함할 수 있다. NAS 수송 절차가 수행될 때, NAS 메시지는 UL NAS 수송 메시지를 포함할 수 있다.
도 11에서, AMF 요소(314)의 업데이트 매니저(804)는 네트워크 인터페이스 구성요소(802)를 통해 UE 확인응답을 포함한 컨테이너를 가진 NAS 메시지를 UE(110)로부터 수신한다(선택적 단계 1108). 업데이트 매니저(804)는 그 후 네트워크 인터페이스 구성요소(802)를 통해 UE 확인응답을 가진 제어 평면 메시지를 UDM 요소(312)로 전송한다(선택적 단계 1110). 도 10에서, UDM 요소(312)의 업데이트 매니저(906)는 네트워크 인터페이스 구성요소(902)를 통해 AMF 요소(314)로부터 UE 확인응답을 가진 제어 평면 메시지를 수신한다(선택적 단계 1020). 업데이트 매니저(906)는 그 후 UE 확인응답이 UE(110)에 의해 제공되는지를 검증한다(선택적 단계 1022).
도 12에서, AMF 요소(314)로부터의 NAS 메시지가 재-등록 표시자를 포함할 때, UE(110)(ME(702)를 통해서와 같은)는 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시한다(선택적 단계 1212). 업데이트 절차는 그 후 종료될 수 있다.
다음은 추가 실시예들에서 업데이트 절차를 수행하는 예들을 제공한다.
예 1: 보안 패킷을 사용한 등록 동안 업데이트 절차
도 13은 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서, UE(110)는 유휴 상태(예컨대, RRC_IDLE)에 있다. UE(110)는 NAS 등록 요청을 AMF 요소(314)로 전송함으로써 NAS 등록 절차를 개시한다(S1). NAS 등록 요청(유형 "초기"의)에 응답하여, AMF 요소(314)는 UE(110)를 인증하기 위해 인증 절차를 개시할 수 있다(S2). 인증 절차를 위해, AMF 요소(314)는 AUSF 요소(310) 및 UDM 요소(312)와 상호 작용할 수 있다. 예를 들어, AMF 요소(314)는 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 AUSF 요소(310)로 전송할 수 있다. 인증 요청을 수신하는 것에 응답하여, AUSF 요소(310)는 인증 요청(즉, Nudm_UEAuthentication_Get Request)을 UDM 요소(312)로 전송할 수 있다. UDM 요소(312)는 AUSF 요소(310)에 대해 인증 방법을 선택하고 인증 데이터 및 키잉 재료들(예컨대, 토큰들)을 계산하는, 인증 크리덴셜 리포지터리 및 프로세싱 기능(ARPF)에 관련된 기능들을 호스팅한다(요구된다면). UDM 요소(312)는 인증 벡터(AV) 및 다른 정보를 포함하는, 인증 응답(즉, Nudm_UEAuthentication_Get Response)을 AUSF 요소(310)로 전송할 수 있다. AUSF 요소(310)는 그 후 AV 및 다른 정보를 포함하는, 인증 응답(즉, Nuasf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송할 수 있다. AMF 요소(314)는 UDM/AUSF에 의해 제공된 정보를 사용하여 UE(110)와 인증 절차를 수행하도록 구성된다. 예를 들어, AMF 요소(314)는 AV로부터의 인증 토큰과 함께 인증 요청을 UE(110)로 전송할 수 있으며, UE(110)는 인증 토큰을 확인하려고 시도한다. 성공적이라면, UE(110)는 응답 토큰을 계산하며, AMF 요소(314)에 의해 수신된, 응답 토큰을 가진 인증 응답을 전송한다. AMF 요소(314)는 또 다른 인증 요청(즉, Nausf_UEAuthentication_Authenticate Request)을 포맷팅하거나 또는 생성하며, 다른 정보와 함께, UE(110)로부터의 응답 토큰을 인증 요청에 삽입할 수 있다. AMF 요소(314)는 그 후 인증 요청을 AUSF 요소(310)로 전송할 수 있다. AUSF 요소(310)는 UE(110)로부터의 응답 토큰이 예상된 응답 토큰에 매칭되는지를 검증하며, 인증의 성공/실패를 나타내는 인증 응답(즉, Nausf_UEAuthentication_Authenticate Response)을 AMF 요소(314)로 전송할 수 있다.
인증 후, AMF 요소(314)는 NAS 보안 컨텍스트를 수립하기 위해 NAS 보안 절차를 개시할 수 있다(S3). NAS 보안 절차의 부분으로서, AMF 요소(314)는 암호화 및 무결성 보호를 위한 NAS 보안 알고리즘(또는 다수의 알고리즘들)을 선택한다. AMF 요소(314)는 그 후 NAS 보안 알고리즘(들), ngKSI, 및 다른 정보를 나타내는 보안 모드 명령 메시지를 UE(110)로 전송한다. UE(110)는 뒤이은 NAS 메시지들을 보호하기 위한 대응 키들을 도출하기 위해 ngKSI 및 NAS 보안 알고리즘을 사용한다. NAS 보안 컨텍스트는 그러므로 UE(110)와 AMF 요소(314) 사이에 수립된다. UE(110)는 그 후 보안 모드 완료 메시지를 AMF 요소(314)로 전송한다.
NAS 등록 절차의 추가 부분으로서, AMF 요소(314)는 다른 정보 중에서, UE(110)에 대한 액세스 및 이동성 가입 데이터를 획득하기 위해 가입 데이터 요청(예컨대, Nudm_SDM_Get message)을 HPLMN의 UDM 요소(312)로 전송한다(S4). 사용자 가입 정보가 UE 구성 파라미터 업데이트(예컨대, Routing ID update)를 개시하도록 나타낼 때, UDM 요소(312)는 업데이트 절차를 개시한다. UDM 요소(312)는 하나 이상의 업데이트된 UE 구성 파라미터들을 포함하는, UE 구성 파라미터 업데이트를 어셈블리한다. UDM 요소(312)는 그 후 보안 패킷에서 UE 구성 파라미터 업데이트를 캡슐화하기 위해 보안 패킷 라이브러리를 액세스함으로써 UE 구성 파라미터 업데이트에 보안 보호를 적용한다. 보안 패킷들 및 보안 패킷 구조의 예는, 여기에서 완전히 포함되는 것처럼 참조로서 통합되는, 3GPP TS 131.115(v.9.00)에서 개시된다. UDM 요소(312)는 그 후 보안 패킷을 포함하는, 가입 데이터 응답(예컨대, Nudm_SDM_Get response)을 AMF 요소(314)로 전송한다(S5). UDM 요소(312)는 또한 가입 데이터 응답에 UE 확인응답 표시자 및/또는 재-등록 표시자를 포함할 수 있다.
등록 절차의 추가 부분으로서, AMF 요소(314)는 또한 UE 구성 파라미터들(도 13에 도시되지 않음)에 대한 변화들의 통지에 가입하기 위해 가입 메시지(예컨대, Nudm_SDM_Subscribe)를 UDM 요소(312)로 전송할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 보안 패킷을 UE(110)에 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 NAS 등록 수락 메시지를 포맷팅하거나 또는 생성하며, 보안 패킷을 NAS 등록 수락 메시지의 컨테이너에 삽입한다. AMF 요소(314)는 또한 NAS 등록 수락 메시지에 UE 확인응답 표시자 및/또는 재-등록 표시자(적용 가능한 경우)를 삽입할 수 있다. AMF 요소(314)는 그 후 NAS 등록 수락 메시지를 UE(110)로 전송한다(S6).
이 실시예에서, NAS 등록 수락 메시지의 컨테이너는 UE 구성 파라미터 업데이트에 대해 지정된다. 표 1은 NAS 등록 수락 메시지의 메시지 콘텐트의 예를 예시한다.
IEI 정보 요소 유형/기준 존재 포맷 길이
확장 프로토콜 판별자 확장 프로토콜 판별자 M V 1
보안 헤더 유형 보안 헤더 유형 M V 1/2
여분의 절반 옥텟 여분의 절반 옥텟 M V 1/2
등록 수락 메시지
아이덴티티		 메시지 유형 M V 1
...
xx UE 구성 파라미터 업데이트 컨테이너 UE 구성 파라미터 업데이트 컨테이너 O TLV-E 20-2048
...
이 예에서, NAS 등록 수락 메시지는 새롭게-정의된 UE 구성 파라미터 업데이트 컨테이너 정보 요소(IE)를 포함한다. NAS 프로토콜에 대한 추가 설명은, 여기에서 완전히 포함되는 것처럼 참조로서 통합되는, 3GPP TS 24.301(v15.4.0)에서 발견될 수 있다. 표 2는 UE 구성 파라미터 업데이트 컨테이너 IE의 예이다. 이러한 컨테이너는 AMF 요소(314)가 보안 패킷을 수정하지 않고 컨테이너에 보안 패킷을 삽입하므로 투명한 것으로 고려된다.
Figure 112021052193704-pct00001
표 3은 UE 구성 파라미터 업데이트 컨테이너 IE에 대한 UE 구성 파라미터 업데이트 헤더의 예를 예시한다.
Figure 112021052193704-pct00002
헤더에서, RRR 비트는 재-등록 표시자로서 사용될 수 있다. UE ACK 비트는 UE 확인응답 표시자로서 사용될 수 있다. 데이터 유형 비트는 컨테이너가 네트워크로부터 UE로 전송되는 NAS 메시지에서(예컨대, 값 = 0), 또는 UE로부터 네트워크로 전송되는 NAS 메시지에서(예컨대, 값 = 1) 사용되는지를 나타내기 위해 사용될 수 있다.
NAS 등록 수락 메시지를 수신하면, ME(702)는 SMS 메시지가 "SIM 데이터 다운로드"로 설정된 프로토콜 식별자, "클래스 2 메시지"로 설정된 데이터 코딩 기법, 및 보안 패킷으로서 SMS 페이로드를 갖고 수신되는 것처럼 거동할 수 있다. ME(702)는 보안 패킷을 USIM(662)으로 라우팅하거나 또는 업로드한다(S7). USIM(662)은 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, USIM(662)은 UE 구성 파라미터 업데이트를 폐기하며 등록 절차를 계속한다. 보안 검사가 성공적이면, USIM(662)은 보안 패킷 라이브러리를 사용하여 보안 패킷으로부터 UE 구성 파라미터 업데이트를 언패킹한다. 보안 패킷 무결성/리플레이 보호가 확인된 후, USIM(662)은 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다.
네트워크가 UE(110)로부터 확인응답을 요청하고 보안 검사가 성공적이라면, USIM(662)은 UE 확인응답을 ME(702)로 전송할 수 있다(S8). ME(702)는 UE 확인응답을 AMF 요소(314)로 수송하기 위해 또 다른 NAS 메시지를 포맷팅하거나 또는 생성한다. 도 13에 도시된 예에서, ME(702)는 NAS 등록 완료 메시지를 포맷팅하며, UE 확인응답을 NAS 등록 완료 메시지의 컨테이너에 삽입한다. NAS 등록 완료 메시지의 컨테이너는 UE 확인응답을 위해 지정된다. 표 4는 NAS 등록 완료 메시지의 메시지 콘텐트의 예를 예시한다.
IEI 정보 요소 유형/기준 존재 포맷 길이
확장 프로토콜 판별자 확장 프로토콜 파별자 M V 1
보안 헤더 유형 보안 헤더 유형 M V 1/2
여분 절반 옥텟 여분 절반 옥텟 M V 1/2
등록 수락 메시지
아이덴티티		 메시지 유형 M V 1
...
xx UE 확인응답 컨테이너 UE 확인응답 컨테이너 O TLV-E 20-2048
이 예에서, NAS 등록 완료 메시지는 새롭게-정의된 UE 확인응답 컨테이너 IE를 포함한다. 표 5는 UE 확인응답 컨테이너 IE의 예이다.
Figure 112021052193704-pct00003
표 6은 UE 확인응답 헤더의 예를 예시한다.
Figure 112021052193704-pct00004
또 다른 예에서, USIM(662)은 보안 패킷에서 UE 확인응답을 캡슐화하기 위해 보안 패킷 라이브러리를 액세스함으로써 UE 확인응답에 보안 보호를 적용할 수 있다. ME(702)는 그러므로 보안 패킷을 UE 확인응답 컨테이너 IE에 삽입할 수 있다.
ME(702)는 그 후 UE 확인응답을 포함한 컨테이너를 가진 NAS 등록 완료 메시지를 AMF 요소(314)로 전송한다(S9). AMF 요소(314)는 UE 확인응답을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다. UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공됨을 검증할 수 있다.
도 13에 도시된 대안에서, ME(702)는 UE 확인응답을 AMF 요소(314)로 전송하기 위해 또 다른 유형의 NAS 메시지를 사용할 수 있다. 이러한 대안에서, ME(702)는 UL NAS 수송 메시지를 포맷팅하며, UE 확인응답을 UL NAS 수송 메시지의 컨테이너에 삽입한다. 페이로드 컨테이너 유형 값은 UL NAS 수송 메시지의 페이로드 컨테이너 IE에서 UE 확인응답을 위해 지정될 수 있다. ME(702)는 그 후 UE 확인응답을 포함한 컨테이너를 가진 UL NAS 수송 메시지를 AMF 요소(314)로 전송한다(S9a). AMF 요소(314)는 결과적으로 UE 확인응답을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내며 보안 검사가 성공적이었다면, UE(110)는 등록-해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(S11).
예 2: 보안 패킷을 사용한 등록 후 업데이트 절차
도 14는 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서, UE(110)는 이미 네트워크에 등록하였으며, 연결 모드(즉, RRC-CONNECTED)에 있다. 등록 후 어느 순간에, UDM 요소(312)는 UE(110)에서의 UE 구성 파라미터들이 업데이트될 필요가 있음을 결정하기 위해 정책들에 국소적인 지시 또는 프로세스를 수신할 수 있다. 따라서, UDM 요소(312)는 업데이트 절차를 개시하며, UE 구성 파라미터 업데이트를 어셈블리한다. UDM 요소(312)는 그 후 보안 패킷에서 UE 구성 파라미터 업데이트를 캡슐화하기 위해 보안 패킷 라이브러리를 액세스함으로써 UE 구성 파라미터 업데이트에 보안 보호를 적용한다. UDM 요소(312)는 그 후 보안 패킷을 포함하는, 업데이트 통지(예컨대, Nudm_SDM_UpdateNotification)를 AMF 요소(314)로 전송한다(S1). UDM 요소(312)는 또한 업데이트 통지에 UE 확인응답 표시자 및/또는 재-등록 표시자를 포함할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 보안 패킷을 UE(110)로 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 다운링크(DL) NAS 수송 메시지를 포맷팅하거나 또는 생성하며, 보안 패킷을 DL NAS 수송 메시지의 컨테이너에 삽입한다. AMF 요소(314)는 또한 UE 확인응답 표시자 및/또는 재-등록 표시자(적용 가능한 경우)를 DL NAS 수송 메시지의 컨테이너에 삽입할 수 있다. 이 실시예에서, DL NAS 수송 메시지의 컨테이너는 UE 구성 파라미터 업데이트를 위해 지정된다. AMF 요소(314)는 페이로드 컨테이너 유형 IE를 "UE 구성 파라미터 컨테이너"로 설정하며 페이로드 컨테이너 IE를 보안 패킷으로 설정할 수 있다. AMF 요소(314)는 그 후 DL NAS 수송 메시지를 UE(110)로 전송한다(S2).
DL NAS 수송 메시지를 수신하면, ME(702)는 SMS 메시지가 보안 패킷으로서 "SIM 데이터 다운로드"로 설정된 프로토콜 식별자, "클래스 2 메시지"로 설정된 데이터 코딩 기법, 및 SMS 페이로드를 갖고 수신되는 것처럼 거동할 수 있다. ME(702)는 보안 패킷을 USIM(662)으로 라우팅하거나 또는 업로드한다(S3). USIM(662)은 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송됨을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, USIM(662)은 UE 구성 파라미터 업데이트를 폐기한다. 보안 검사가 성공적이면, USIM(662)은 보안 패킷 라이브러리를 사용하여 보안 패킷으로부터 UE 구성 파라미터 업데이트를 언패킹한다. 보안 패킷 무결성/리플레이 보호가 확인된 후, USIM(662)은 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다.
네트워크가 UE(110)로부터 확인응답을 요청하고 보안 검사가 성공적이었다면, USIM(662)은 UE 확인응답을 ME(702)로 전송할 수 있다(S4). ME(702)는 UL NAS 수송 메시지를 포맷팅하거나 또는 생성하며, UE 확인응답을 UL NAS 수송 메시지의 컨테이너에 삽입한다. UL NAS 수송 메시지의 컨테이너는 UE 확인응답을 위해 지정된다. ME(702)는 그 후 UE 확인응답을 포함한 컨테이너를 갖고 UL NAS 수송 메시지를 AMF 요소(314)로 전송한다(S5). AMF 요소(314)는 UE 확인응답을 갖고 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다(S6). UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공됨을 검증할 수 있다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내고 보안 검사가 성공적이었다면, UE(110)는 등록 해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(도시되지 않음).
예 3: 보안 키를 사용한 등록 동안 업데이트 절차
도 15는 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서, UE(110)는 NAS 등록 요청을 AMF 요소(314)로 전송함으로써 NAS 등록 절차를 개시한다(S1). NAS 등록 요청(유형 "초기"의)에 응답하여, AMF 요소(314)는 UE(110)를 인증하기 위해 인증 절차를 개시할 수 있다(S2). UE(110)가 네트워크에 대해 인증될 때, AMF 요소(314)는 NAS 보안 컨텍스트를 수립하기 위해 NAS 보안 절차를 개시할 수 있다(S3). UE(110)가 인증되고 NAS 보안 컨텍스트가 수립되면, AMF 요소(314)는 다른 정보 중에서, UE(110)에 대한 액세스 및 이동성 가입 데이터를 획득하기 위해 가입 데이터 요청(예컨대, Nudm_SDM_Get message)을 HPLMN의 UDM 요소(312)로 전송한다(S4). 사용자 가입 정보가 UE 구성 파라미터 업데이트(예컨대, Routing ID update)를 개시하는 것으로 나타낼 때, UDM 요소(312)는 업데이트 절차를 개시한다. UDM 요소(312)는 UE 구성 파라미터 업데이트를 어셈블리하며, UE(110)에 대한 NAS 보안 컨텍스트를 사용하여 UE 구성 파라미터 업데이트에 대한 무결성 보호를 이용한다. 그렇게 하기 위해, UDM 요소(312)는 UE 구성 파라미터 업데이트를 가진 보호 요청(예컨대, Nausf_ParameterProtectionRequest)을 AUSF 요소(310)로 전송한다(S5). AUSF 요소(310)는 NAS 카운트(NAS 시퀀스 번호로부터 구성된)를 식별하며, UE 구성 파라미터 업데이트에 대한 AUSF 메시지 인증 코드(MAC) 및 NAS 카운트와 같은, UE(110)에 대한 NAS 보안 컨텍스트에 기초하여 무결성 보호 정보를 산출한다. AUSF 요소(310)는 또한 UE(110)로부터 예상된 MAC(X-UE-MAC)을 산출할 수 있다. AUSF 요소(310)는 그 후 무결성 보호 정보(즉, AUSF-MAC, NAS 카운트, 및 X-UE-MAC)를 가진 보호 응답(예컨대, Nausf_ParameterProtectionResponse)을 UDM 요소(312)로 전송한다(S6). UDM 요소(312)는 그 후 UE 구성 파라미터 업데이트 및 무결성 보호 정보(즉, AUSF-MAC 및 NAS 카운트)를 포함하는, 가입 데이터 응답(예컨대, Nudm_SDM_Get response)을 AMF 요소(314)로 전송한다(S7). UDM 요소(312)는 또한 가입 데이터 응답에 UE 확인응답 표시자 및/또는 재-등록 표시자를 포함할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 UE 구성 파라미터 업데이트를 UE(110)로 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 NAS 등록 수락 메시지를 포맷팅하거나 또는 생성하며, UE 구성 파라미터 업데이트를 무결성 보호 정보(예컨대, AUSF-MAC 및 NAS 카운트)와 함께 NAS 등록 수락 메시지의 컨테이너에 삽입한다. AMF 요소(314)는 또한 UE 확인응답 표시자 및/또는 재-등록 표시자(적용 가능한 경우)를 NAS 등록 수락 메시지의 컨테이너에 삽입할 수 있다. AMF 요소(314)는 그 후 NAS 등록 수락 메시지를 UE(110)로 전송한다(S8).
이 예에서, NAS 등록 수락 메시지는 새롭게-정의된 UE 구성 파라미터 업데이트 컨테이너 IE를 포함한다. 표 7은 UE 구성 파라미터 업데이트 컨테이너 IE의 예이다.
Figure 112021052193704-pct00005
이러한 컨테이너는 AMF 요소(314)가 UE 구성 파라미터 업데이트를 수정하지 않고 컨테이너에 UE 구성 파라미터 업데이트를 삽입하므로 투명한 것으로 고려된다. 예 1에서 설명된 바와 같이, UE 구성 파라미터 업데이트 헤더의 UE ACK 비트는 네트워크가 UE로부터의 확인응답을 요청하였음을 나타내기 위해 사용될 수 있으며, RRR 비트는 네트워크가 재-등록을 요청한다는 것을 나타내기 위해 사용될 수 있다.
NAS 등록 수락 메시지를 수신하는 것에 응답하여, UE(110)의 ME(702)는 UE 구성 파라미터 업데이트가 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 예를 들어, ME(702)는 UE 구성 파라미터 업데이트 및 NAS 카운트에 대한 UE-MAC을 산출하며, AUSF-MAC과 UE-MAC을 비교한다. MAC들이 일치한다면, UE 구성 파라미터 업데이트는 홈 네트워크로부터 온 것으로 검증되며, 보안 검사는 성공적이다. 보안 검사가 성공적이지 않다면, ME(702)는 UE 구성 파라미터 업데이트를 폐기하여 등록 절차를 계속한다. 보안 검사가 성공적이면, ME(702) 및/또는 USIM(662)은 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다.
네트워크가 UE(110)로부터 확인응답을 요청하였으며 보안 검사가 성공적이면, ME(702)는 NAS 등록 완료 메시지를 포맷팅하며, NAS 등록 완료 메시지의 컨테이너에 UE-MAC을 삽입한다. NAS 등록 완료 메시지의 컨테이너는 UE 확인응답을 위해 지정된다. 이 예에서, NAS 등록 완료 메시지는 새롭게-정의된 UE 확인응답 컨테이너 IE를 포함한다. 표 8은 UE 확인응답 컨테이너 IE의 예이다.
Figure 112021052193704-pct00006
ME(702)는 그 후 UE-MAC을 포함한 컨테이너를 가진 NAS 등록 완료 메시지를 AMF 요소(314)로 전송한다(S9). AMF 요소(314)는 UE-MAC을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다. UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공됨을 검증하기 위해 AUSF 요소(310)에 의해 산출된 X-UE-MAC과 UE(110)에 의해 산출된 UE-MAC을 비교할 수 있다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내고 보안 검사가 성공적이면, UE(110)는 등록 해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(도시되지 않음).
예 4: 보안 키를 사용한 등록 후 업데이트 절차
도 16은 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서 UE(110)는 네트워크에 이미 등록되었으며, 연결 모드에 있다. 등록 후 어느 순간에, UDM 요소(312)는 UE(110)에서의 UE 구성 파라미터들이 업데이트될 필요가 있음을 결정하기 위해 정책들에 국소적인 지시 또는 프로세스를 수신할 수 있다. 따라서, UDM 요소(312)는 업데이트 절차를 개시하며, UE 구성 파라미터 업데이트를 어셈블리한다. UDM 요소(312)는 또한 UE(110)에 대한 NAS 보안 컨텍스트를 사용하여 UE 구성 파라미터 업데이트에 대한 무결성 보호를 이용한다. 그렇게 하기 위해, UDM 요소(312)는 UE 구성 파라미터 업데이트를 가진 보호 요청(예컨대, Nausf_ParameterProtectionRequest)를 AUSF 요소(310)로 전송한다(S1). AUSF 요소(310)는 NAS 카운트를 식별하며, UE 구성 파라미터 업데이트에 대한 AUSF-MAC 및 NAS 카운트와 같은, UE(110)에 대한 NAS 보안 컨텍스트에 기초하여 무결성 보호 정보를 산출한다. AUSF 요소(310)는 또한 UE(110)로부터의 예상된 MAC(X-UE-MAC)을 산출할 수 있다. AUSF 요소(310)는 그 후 무결성 보호 정보(즉, AUSF-MAC, NAS 카운트, 및 X-UE-MAC)를 가진 보호 응답(예컨대, Nausf_ParameterProtectionResponse)을 UDM 요소(312)로 전송한다(S2). UDM 요소(312)는 그 후 UE 구성 파라미터 업데이트 및 무결성 보호 정보(즉, AUSF-MAC 및 NAS 카운트)를 포함하는, 업데이트 통지(예컨대, Nudm_SDM_UpdateNotification)를 AMF 요소(314)로 전송한다(S3). UDM 요소(312)는 또한 업데이트 통지에 UE 확인응답 표시자 및/또는 재-등록 표시자를 포함할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 UE 구성 파라미터 업데이트를 UE(110)로 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 DL NAS 수송 메시지를 포맷팅하거나 또는 생성하며, 무결성 정보(예컨대, AUSF-MAC 및 NAS 카운트)와 함께 DL NAS 수송 메시지의 컨테이너에 UE 구성 파라미터 업데이트를 삽입한다. AMF 요소(314)는 또한 DL NAS 수송 메시지의 컨테이너에 UE 확인응답 표시자 및/또는 재-등록 표시자(적용 가능한 경우)를 삽입할 수 있다. 이 실시예에서, DL NAS 수송 메시지의 컨테이너는 UE 구성 파라미터 업데이트를 위해 지정된다. AMF 요소(314)는 그 후 DL NAS 수송 메시지를 UE(110)로 전송한다(S4).
DL NAS 수송 메시지를 수신하는 것에 응답하여, UE(110)의 ME(702)는 UE 구성 파라미터 업데이트가 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, ME(702)는 UE 구성 파라미터 업데이트를 폐기한다. 보안 검사가 성공적이면, ME(702) 및/또는 USIM(662)은 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다.
네트워크가 UE(110)로부터 확인응답을 요청하였으며 보안 검사가 성공적이라면, ME(702)는 UL NAS 수송 메시지를 포맷팅하며, UL NAS 수송 메시지의 컨테이너에 UE-MAC을 삽입한다. UL NAS 수송 메시지의 컨테이너는 UE 확인응답을 위해 지정된다. ME(702)는 그 후 UE-MAC을 포함한 컨테이너를 가진 UL NAS 수송 메시지를 AMF 요소(314)로 전송한다(S5). AMF 요소(314)는 UE-MAC을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다(S6). UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공되었음을 검증하기 위해 AUSF 요소(310)에 의해 산출된 X-UE-MAC과 UE(110)에 의해 산출된 UE-MAC을 비교할 수 있다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내며 보안 검사가 성공적이라면, UE(110)는 등록 해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(도시되지 않음).
예 5: 보안 패킷 및 보안 키를 사용한 등록 동안 업데이트 절차
도 17은 예시적인 실시예에서 등록 동안 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서, UE(110)는 NAS 등록 요청을 AMF 요소(314)로 전송함으로써 NAS 등록 절차를 개시한다(S1). NAS 등록 요청(유형 "초기"의)에 응답하여, AMF 요소(314)는 UE(110)를 인증하기 위해 인증 절차를 개시할 수 있다(S2). UE(110)의 인증 후, AMF 요소(314)는 NAS 보안 컨텍스트를 수립하기 위해 NAS 보안 절차를 개시할 수 있다(S3). 인증된 UE(110) 및 수립된 NAS 보안 컨텍스트를 갖고, AMF 요소(314)는 다른 정보 중에서, UE(110)에 대한 액세스 및 이동성 가입 데이터를 획득하기 위해 가입 데이터 요청(예컨대, Nudm_SDM_Get message)를 HPLMN의 UDM 요소(312)로 전송한다(S4). 사용자 가입 정보가 UE 구성 파라미터 업데이트(예컨대, Routing ID update)를 개시하는 것으로 나타날 때, UDM 요소(312)는 업데이트 절차를 개시한다. UDM 요소(312)는 하나 이상의 업데이트된 UE 구성 파라미터들을 포함하는, UE 구성 파라미터 업데이트를 어셈블리한다. UDM 요소(312)는 그 후 보안 패킷에서 UE 구성 파라미터 업데이트를 캡슐화하기 위해 보안 패킷 라이브러리를 액세스함으로써 UE 구성 파라미터 업데이트에 보안 보호를 적용한다.
UDM 요소(312)는 또한 UE(110)에 대한 NAS 보안 컨텍스트를 사용하여 보안 패킷에 대한 무결성 보호를 이용한다. 그렇게 하기 위해, UDM 요소(312)는 보안 패킷을 가진 보호 요청(예컨대, Nausf_ParameterProtectionRequest)을 AUSF 요소(310)로 전송한다. AUSF 요소(310)는 NAS 카운트를 식별하며, 보안 패킷에 대한 AUSF-MAC 및 NAS 카운트와 같은, UE(110)에 대한 NAS 보안 컨텍스트에 기초하여 무결성 보호 정보를 산출한다. AUSF 요소(310)는 또한 UE(110)로부터 예상된 MAC(X-UE-MAC)을 산출할 수 있다. AUSF 요소(310)는 그 후 무결성 보호 정보(즉, AUSF-MAC, NAS 카운트, 및 X-UE-MAC)를 가진 보호 응답(예컨대, Nausf_ParameterProtectionResponse)을 UDM 요소(312)로 전송한다(S6). UDM 요소(312)는 그 후 보안 패킷 및 무결성 보호 정보(즉, AUSF-MAC 및 NAS 카운트)를 포함하는, 가입 데이터 응답(예컨대, Nudm_SDM_Get response)을 AMF 요소(314)로 전송한다(S7). UDM 요소(312)는 또한 가입 데이터 응답에 UE 확인응답 표시자 및/또는 재-등록 요청을 포함할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 UE(110)로 보안 패킷을 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 NAS 등록 수락 메시지를 포맷팅하거나 또는 생성하며, NAS 등록 수락 메시지의 컨테이너에 보안 패킷을 삽입한다. AMF 요소(314)는 또한 AUSF-MAC 및 NAS 카운트와 함께, NAS 등록 수락 메시지의 컨테이너에 UE 확인응답 표시자 및/또는 재-등록 요청(적용 가능한 경우)을 삽입할 수 있다. 이 예에서, NAS 등록 수락 메시지는 새롭게-정의된 UE 구성 파라미터 업데이트 컨테이너 IE를 포함한다. 표 9는 UE 구성 파라미터 업데이트 컨테이너 IE의 예이다.
Figure 112021052193704-pct00007
이 컨테이너는 AMF 요소(314)가 보안 패킷을 수정하지 않고 컨테이너에 보안 패킷을 삽입하므로 투명한 것으로 고려된다. AMF 요소(314)는 그 후 NAS 등록 수락 메시지를 UE(110)로 전송한다(S8). NAS 등록 수락 메시지를 수신하는 것에 응답하여, UE(110)의 ME(702)는 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, ME(702)는 보안 패킷을 폐기하며 등록 절차를 계속한다. 보안 검사가 성공적이면, ME(702)는 보안 패킷을 USIM(662)으로 라우팅하거나 또는 업로드한다(S9). USIM(662)은 또한 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, USIM(662)은 UE 구성 파라미터 업데이트를 폐기한다. 보안 검사가 성공적이면, USIM(662)은 보안 패킷 라이브러리를 사용하여 보안 패킷으로부터 UE 구성 파라미터 업데이트를 언패킹한다. USIM(662)은 그 후 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다.
네트워크가 UE(110)로부터 확인응답을 요청하였으며 보안 검사가 성공적이면, ME(702)는 NAS 등록 완료 메시지를 포맷팅하며 NAS 등록 완료 메시지의 컨테이너에 UE-MAC을 삽입한다. ME(702)는 그 후 NAS 등록 완료 메시지를 AMF 요소(314)로 전송한다(S11). AMF 요소(314)는 UE-MAC을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다(S10). UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공됨을 검증하기 위해 AUSF 요소(310)에 의해 산출된 X-UE-MAC과 UE(110)에 의해 산출된 UE-MAC을 비교할 수 있다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내며 보안 검사가 성공적이면, UE(110)는 등록 해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(도시되지 않음).
예 6: 보안 패킷 및 보안 키를 사용한 등록 후 업데이트 절차
도 18은 예시적인 실시예에서 등록 후 업데이트 절차를 예시한 메시지 다이어그램이다. 이 실시예에서, UE(110)는 이미 네트워크에 등록되었으며 연결 모드에 있다. 등록 후 어느 순간에, UDM 요소(312)는 UE(110)에서의 UE 구성 파라미터들이 업데이트될 필요가 있음을 결정하기 위해 정책들에 국소적인 지시 또는 프로세스를 수신할 수 있다. 따라서, UDM 요소(312)는 업데이트 절차를 개시하며, UE 구성 파라미터 업데이트를 어셈블리한다. UDM 요소(312)는 그 후 보안 패킷에서 UE 구성 파라미터 업데이트를 캡슐화하기 위해 보안 패킷 라이브러리를 액세스함으로써 UE 구성 파라미터 업데이트에 보안 보호를 적용한다.
UDM 요소(312)는 또한 UE(110)에 대한 NAS 보안 컨텍스트를 사용하여 보안 패킷에 대한 무결성 보호를 이용한다. 그렇게 하기 위해, UDM 요소(312)는 보안 패킷을 가진 보호 요청(예컨대, Nasuf_ParameterProtectionRequest)을 AUSF 요소(310)로 전송한다(S1). AUSF 요소(310)는 NAS 카운트를 식별하며, 보안 패킷에 대한 AUSF-MAC 및 NAS 카운트와 같은, UE(110)에 대한 NAS 보안 컨텍스트에 기초하여 무결성 보호 정보를 산출한다. AUSF 요소(310)는 또한 UE(110)로부터 예상된 MAC(X-UE-MAC)을 산출할 수 있다. AUSF 요소(310)는 그 후 무결성 보호 정보(즉, AUSF-MAC, NAS 카운트, 및 X-UE-MAC)를 가진 보호 응답(예컨대, Nausf-ParameterProtectionResponse)을 UDM 요소(312)로 전송한다(S2). UDM 요소(312)는 그 후 보안 패킷 및 무결성 보호 정보(즉, AUSF-MAC 및 NAS 카운트)를 포함하는, 업데이트 통지(예컨대, Ndum_SDM_UpdateNotification)를 AMF 요소(314)로 전송한다(S3). UDM 요소(312)는 또한 업데이트 통지에 UE 확인응답 표시자 및/또는 재-등록 요청을 포함할 수 있다.
AMF 요소(314)는 업데이트 절차의 부분으로서 보안 패킷을 UE(110)로 투명하게 전송하도록 구성된다. 따라서, AMF 요소(314)는 DL NAS 수송 메시지를 포맷팅하거나 또는 생성하며, DL NAS 수송 메시지의 컨테이너에 보안 패킷을 삽입한다. AMF 요소(314)는 또한 AUSF-MAC 및 NAS 카운트와 함께, DL NAS 수송 메시지의 컨테이너에 UE 확인응답 표시자 및/또는 재-등록 표시자(적용 가능한 경우)를 삽입할 수 있다. AMF 요소(314)는 그 후 DL NAS 수송 메시지를 UE(110)로 전송한다(S4).
DL NAS 수송 메시지를 수신하는 것에 응답하여, UE(110)의 ME(702)는 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, ME(702)는 보안 패킷을 폐기한다. 보안 검사가 성공적이면, ME(702)는 보안 패킷을 USIM(662)으로 라우팅하거나 또는 업로드한다(S5). USIM(662)은 또한 보안 패킷이 홈 네트워크의 UDM 요소(312)에 의해 전송되었음을 검증하기 위해 보안 검사를 수행한다. 보안 검사가 성공적이지 않다면, USIM(662)은 UE 구성 파라미터 업데이트를 폐기한다. 보안 검사가 성공적이면, USIM(662)은 보안 패킷 라이브러리를 사용하여 보안 패킷으로부터 UE 구성 파라미터 업데이트를 언패킹한다. USIM(662)은 그 후 UE 구성 파라미터 업데이트에 기초하여 UE 구성 파라미터들(664) 중 하나 이상을 업데이트한다. USIM(662)은 또한 UE 확인응답을 ME(702)로 전송한다(S6).
네트워크가 UE(110)로부터 확인응답을 요청하였으며 보안 검사가 성공적이면, ME(702)는 UL NAS 수송 메시지를 포맷팅하며 UL NAS 수송 메시지의 컨테이너에 UE-MAC을 삽입한다. ME(702)는 그 후 UL NAS 수송 메시지를 AMF 요소(314)로 전송한다(S7). AMF 요소(314)는 UE-MAC을 가진 정보 메시지(예컨대, Nudm_SDM_Info message)를 UDM 요소(312)로 전송한다. UDM 요소(312)는 그 후 UE 확인응답이 UE(110)에 의해 제공됨을 검증하기 위해 AUSF 요소(310)에 의해 산출된 X-UE-MAC과 UE(110)에 의해 산출된 UE-MAC을 비교할 수 있다.
네트워크가 UE(110)에 대해 재-등록이 요구됨을 나타내며 보안 검사가 성공적이면, UE(110)는 등록 해제하며 업데이트된 UE 구성 파라미터들을 사용하여 새로운 NAS 등록 절차를 재-개시한다(도시되지 않음).
도면들에서 도시되거나 또는 여기에서 설명된 다양한 요소들 또는 모듈들 중 임의의 것은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 몇몇 조합으로 구현될 수 있다. 예를 들어, 요소는 전용 하드웨어로서 구현될 수 있다. 전용 하드웨어 요소들은 "프로세서들", "컨트롤러들", 또는 몇몇 유사한 용어로 불리울 수 있다. 프로세서에 의해 제공될 때, 기능은 단일 전용 프로세서에 의해, 단일 공유 프로세서에 의해, 또는 그 일부가 공유될 수 있는 복수의 개개의 프로세서들에 의해 제공될 수 있다. 게다가, 용어 "프로세서" 또는 "컨트롤러컨트롤러시적인 사용은 배타적으로 소프트웨어를 실행할 수 있는 하드웨어를 나타내도록 해석되지 않아야 하며, 암시적으로, 제한 없이, 디지털 신호 프로세서(DSP) 하드웨어, 네트워크 프로세서, 애플리케이션 특정 집적 회로(ASIC) 또는 다른 회로부, 필드 프로그램 가능한 게이트 어레이(FPGA), 소프트웨어를 저장하기 위한 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 비-휘발성 저장장치, 로직, 또는 몇몇 다른 물리적 하드웨어 구성요소 또는 모듈을 포함할 수 있다.
또한, 요소는 요소의 기능들을 수행하기 위해 프로세서 또는 컴퓨터에 의해 실행 가능한 인스트럭션들로서 구현될 수 있다. 인스트럭션들의 몇몇 예들은 소프트웨어, 프로그램 코드, 및 펌웨어이다. 인스트럭션들은 프로세서에 의해 실행될 때, 요소의 기능들을 수행하도록 프로세서에 지시하기 위해 동작적이다. 인스트럭션들은 프로세서에 의해 판독 가능한 저장 디바이스들 상에 저장될 수 있다. 저장 디바이스들의 몇몇 예들은 디지털 또는 고체-상태 메모리들, 자기 디스크들 및 자기 테이프들과 같은 자기 저장 미디어, 하드 드라이브들, 또는 광학적으로 판독 가능한 디지털 데이터 저장 미디어이다.
본 출원에서 사용된 바와 같이, 용어 "회로부"는 다음 중 하나 이상 또는 모두를 나타낼 수 있다:
(a) 하드웨어-전용 회로 구현들(단지 아날로그 및/또는 디지털 회로부에서의 구현들과 같은);
(b) (적용 가능한 경우) 다음과 같은, 하드웨어 회로들 및 소프트웨어의 조합들:
(i) 소프트웨어/펌웨어와 아날로그 및/또는 디지털 하드웨어 회로(들)의 조합; 및
(ii) 이동 전화 또는 서버와 같은 장치가, 다양한 기능들을 수행하도록 하는 함께 동작하는 소프트웨어를 가진 하드웨어 프로세서(들)(디지털 신호 프로세서(들)를 포함한), 소프트웨어, 및 메모리(들)의 임의의 부분들; 및
(c) 동작을 위해 소프트웨어(예컨대, 펌웨어)를 요구하지만, 소프트웨어가 동작 동안 요구되지 않을 때 존재하지 않을 수 있는 마이크로프로세서(들) 또는 마이크로프로세서(들)의 일 부분과 같은, 하드웨어 회로(들) 및 또는 프로세서(들).
회로부의 이러한 정의는 임의의 청구항들에서를 포함한, 본 출원에서 이 용어의 사용들 모두에 적용한다. 추가 예로서, 본 출원에서 사용된 바와 같이, 용어 회로부는 또한 단지 하드웨어 회로 또는 프로세서(또는 다수의 프로세서들) 또는 하드웨어 회로 또는 프로세서 및 그의(또는 그들의) 수반된 소프트웨어 및/또는 펌웨어의 일 부분의 구현을 커버한다. 용어 회로부는 또한, 예를 들어 및 특정한 청구항 요소에 적용 가능한 경우, 이동 디바이스 또는 서버에서의 유사한 집적 회로, 셀룰러 네트워크 디바이스, 또는 다른 컴퓨팅 또는 네트워크 디바이스를 위한 기저대역 집적 회로 또는 프로세서 집적 회로를 커버한다.
특정 실시예들이 여기에서 설명되었지만, 본 개시의 범위는 이들 특정 실시예들에 제한되지 않는다. 본 개시의 범위는 다음의 청구항들 및 그의 임의의 등가물들에 의해 정의된다.

Claims (38)

  1. 사용자 장비(UE)로서,
    범용 가입자 식별 모듈(USIM);
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함한 적어도 하나의 메모리를 포함하며,
    상기 USIM은 상기 UE에 대한 UE 구성 파라미터들을 저장하고, 상기 적어도 하나의 메모리와 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서를 이용하여, 상기 UE로 하여금, 적어도:
    상기 UE에 대한 UE 구성 파라미터 업데이트 ― 상기 UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되는 UE 파라미터를 포함함 ― 를 포함하는 컨테이너를 가진 제 1 비-접속 계층(NAS) 메시지를 접속 및 이동성 관리 기능(AMF) 요소로부터 수신하게 하고;
    상기 UE 구성 파라미터 업데이트를 검증하기 위해 제 1 보안 검사를 수행하게 하고;
    상기 제 1 보안 검사가 성공적이면, 상기 보안 패킷을 상기 USIM으로 전달하게 하도록 구성되되,
    상기 USIM은 상기 보안 패킷을 검증하기 위해 제 2 보안 검사를 수행하고, 상기 제 2 보안 검사가 성공적이면, 상기 보안 패킷에 캡슐화된 상기 UE 파라미터에 기초하여 상기 USIM 내의 UE 구성 파라미터들 중 하나 이상을 업데이트하도록 동작가능한,
    UE.
  2. 청구항 1에 있어서,
    상기 보안 패킷에 캡슐화된 상기 UE 파라미터는 라우팅 표시자 파라미터인,
    UE.
  3. 청구항 1에 있어서,
    상기 제 1 보안 검사는 상기 UE의 NAS 보안 컨텍스트를 사용하여 상기 UE 구성 파라미터 업데이트의 무결성을 검증하는,
    UE.
  4. 청구항 1에 있어서,
    상기 USIM은 상기 UE 내의 범용 집적 회로 카드(UICC)에 존재하는,
    UE.
  5. 청구항 1에 있어서,
    상기 제 1 NAS 메시지는 NAS 등록 절차 동안 상기 UE로 전송된 NAS 등록 수락 메시지를 포함하는,
    UE.
  6. 청구항 5에 있어서,
    상기 NAS 등록 수락 메시지가 UE 확인응답 표시자를 포함할 때, 상기 프로세서는, 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 상기 AMF 요소로 전송하게 하도록 더 구성되며,
    상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    UE.
  7. 청구항 1에 있어서,
    상기 제 1 NAS 메시지는 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함하는,
    UE.
  8. 청구항 7에 있어서,
    상기 다운링크 NAS 수송 메시지가 UE 확인응답 표시자를 포함할 때, 상기 프로세서는, 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 업링크 NAS 수송 메시지를 상기 AMF 요소로 전송하게 하도록 더 구성되는,
    UE.
  9. 청구항 1에 있어서,
    상기 제 1 NAS 메시지가 재-등록 표시자를 포함할 때, 상기 프로세서는, 상기 UE로 하여금 상기 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시하게 하도록 더 구성되는,
    UE.
  10. 방법으로서,
    사용자 장비(UE)에서, 상기 UE에 대한 UE 구성 파라미터 업데이트 ― 상기 UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되는 UE 파라미터를 포함함 ― 를 포함하는 컨테이너를 가진 제 1 비-접속 계층(NAS) 메시지를 접속 및 이동성 관리 기능(AMF) 요소로부터 수신하는 단계;
    상기 UE 구성 파라미터 업데이트를 검증하기 위해 제 1 보안 검사를 수행하는 단계; 및
    상기 제 1 보안 검사가 성공적이면, 상기 보안 패킷을 상기 UE와 동작가능하게 통신하는 범용 가입자 식별 모듈(USIM)로 전달하는 단계를 포함하되,
    상기 USIM은 상기 보안 패킷을 검증하기 위해 제 2 보안 검사를 수행하고, 상기 제 2 보안 검사가 성공적이면, 상기 보안 패킷에 캡슐화된 상기 UE 파라미터에 기초하여 상기 USIM 내의 UE 구성 파라미터들 중 하나 이상을 업데이트하도록 동작가능한,
    방법.
  11. 청구항 10에 있어서,
    상기 보안 패킷에 캡슐화된 상기 UE 파라미터는 라우팅 표시자 파라미터인,
    방법.
  12. 청구항 10에 있어서,
    상기 제 1 보안 검사는 상기 UE의 NAS 보안 컨텍스트를 사용하여 상기 UE 구성 파라미터 업데이트의 무결성을 검증하는,
    방법.
  13. 청구항 10에 있어서,
    상기 USIM은 상기 UE 내의 범용 집적 회로 카드(UICC)에 존재하는,
    방법.
  14. 청구항 10에 있어서,
    상기 제 1 NAS 메시지는 NAS 등록 절차 동안 상기 UE로 전송된 NAS 등록 수락 메시지를 포함하는,
    방법.
  15. 청구항 14에 있어서,
    상기 NAS 등록 수락 메시지가 UE 확인응답 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 상기 AMF 요소로 전송하게 하는 단계를 더 포함하며,
    상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    방법.
  16. 청구항 10에 있어서,
    상기 제 1 NAS 메시지는 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함하는,
    방법.
  17. 청구항 16에 있어서,
    상기 다운링크 NAS 수송 메시지가 UE 확인응답 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 업링크 NAS 수송 메시지를 상기 AMF 요소로 전송하게 하는 단계를 더 포함하는,
    방법.
  18. 청구항 10에 있어서,
    상기 제 1 NAS 메시지가 재-등록 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시하게 하는 단계를 더 포함하는,
    방법.
  19. 접속 및 이동성 관리 기능(AMF) 요소로서,
    적어도 하나의 프로세서; 및
    컴퓨터 프로그램 코드를 포함한 적어도 하나의 메모리를 포함하며,
    상기 적어도 하나의 메모리와 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서를 이용하여, 상기 AMF 요소로 하여금, 적어도:
    사용자 장비(UE)에 대한 UE 구성 파라미터 업데이트 ― 상기 UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되는 UE 파라미터를 포함함 ― 를 포함하는 컨테이너를 가진 제 1 비-접속 계층(NAS) 메시지를 생성하게 하고;
    상기 제 1 NAS 메시지를 상기 UE로 전송하게 하도록 구성되되,
    상기 제 1 NAS 메시지는, (i) 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트를 검증하기 위해 제 1 보안 검사를 수행하게 하고, (ii) 상기 제 1 보안 검사가 성공적이면, 상기 UE로 하여금 상기 보안 패킷을 상기 UE와 동작가능하게 통신하는 범용 가입자 식별 모듈(USIM)로 전달하게 하고, (iii) 상기 USIM으로 하여금 상기 보안 패킷을 검증하기 위해 제 2 보안 검사를 수행하고, (iv) 상기 제 2 보안 검사가 성공적이면, 상기 보안 패킷에 캡슐화된 상기 UE 파라미터에 기초하여 상기 USIM 내의 UE 구성 파라미터들 중 하나 이상을 업데이트하게 하도록 동작가능한,
    AMF 요소.
  20. 청구항 19에 있어서,
    상기 보안 패킷에 캡슐화된 상기 UE 파라미터는 라우팅 표시자 파라미터인,
    AMF 요소.
  21. 청구항 19에 있어서,
    상기 제 1 보안 검사는 상기 UE의 NAS 보안 컨텍스트를 사용하여 상기 UE 구성 파라미터 업데이트의 무결성을 검증하도록 동작가능한,
    AMF 요소.
  22. 청구항 19에 있어서,
    상기 제 1 NAS 메시지는 NAS 등록 절차 동안 상기 UE로 전송된 NAS 등록 수락 메시지를 포함하는,
    AMF 요소.
  23. 청구항 22에 있어서,
    상기 NAS 등록 수락 메시지가 UE 확인응답 표시자를 포함할 때, 상기 NAS 등록 수락 메시지는, 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 상기 AMF 요소로 전송하게 하도록 더 동작가능하며,
    상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    AMF 요소.
  24. 청구항 19에 있어서,
    상기 제 1 NAS 메시지는 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함하는,
    AMF 요소.
  25. 청구항 24에 있어서,
    상기 다운링크 NAS 수송 메시지가 UE 확인응답 표시자를 포함할 때, 상기 제 1 NAS 메시지는, 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 업링크 NAS 수송 메시지를 상기 AMF 요소로 전송하게 하도록 더 동작가능한,
    AMF 요소.
  26. 청구항 19에 있어서,
    상기 제 1 NAS 메시지가 재-등록 표시자를 포함할 때, 상기 제 1 NAS 메시지는, 상기 UE로 하여금 상기 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시하게 하도록 더 동작가능한,
    AMF 요소.
  27. 청구항 19에 있어서,
    상기 적어도 하나의 메모리와 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서를 이용하여, 상기 AMF 요소로 하여금, 적어도:
    상기 UE에 대한 UE 구성 파라미터 업데이트를 포함한 제어 평면 메시지를 통합 데이터 관리(UDM) 요소로부터 수신하게 하고;
    상기 UE 구성 파라미터 업데이트를 상기 제 1 NAS 메시지의 컨테이너에 삽입하게 하도록 구성되는,
    AMF 요소.
  28. 청구항 27에 있어서,
    상기 적어도 하나의 메모리와 상기 컴퓨터 프로그램 코드는, 상기 적어도 하나의 프로세서를 이용하여, 상기 AMF 요소로 하여금, 적어도:
    상기 UE 구성 파라미터 업데이트가 수신되었다는 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 NAS 등록 절차 동안 상기 UE로부터 수신하게 하고;
    상기 UE 확인응답을 가진 또 다른 제어 평면 메시지를 상기 UDM 요소로 전송하게 하도록 더 구성되며,
    상기 UE로부터 수신된 상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    AMF 요소.
  29. 방법으로서,
    사용자 장비(UE)에 대한 UE 구성 파라미터 업데이트 ― 상기 UE 구성 파라미터 업데이트는 보안 패킷에 캡슐화되는 UE 파라미터를 포함함 ― 를 포함하는 컨테이너를 가진 제 1 비-접속 계층(NAS) 메시지를 생성하는 단계; 및
    상기 제 1 NAS 메시지를 상기 UE로 전송하는 단계를 포함하되,
    상기 제 1 NAS 메시지는, (i) 상기 UE로 하여금 상기 UE 구성 파라미터 업데이트를 검증하기 위해 제 1 보안 검사를 수행하게 하고, (ii) 상기 제 1 보안 검사가 성공적이면, 상기 UE로 하여금 상기 보안 패킷을 상기 UE와 동작가능하게 통신하는 범용 가입자 식별 모듈(USIM)로 전달하게 하고, (iii) 상기 USIM으로 하여금 상기 보안 패킷을 검증하기 위해 제 2 보안 검사를 수행하고, (iv) 상기 제 2 보안 검사가 성공적이면, 상기 보안 패킷에 캡슐화된 상기 UE 파라미터에 기초하여 상기 USIM 내의 UE 구성 파라미터들 중 하나 이상을 업데이트하게 하도록 동작가능한,
    방법.
  30. 청구항 29에 있어서,
    상기 보안 패킷에 캡슐화된 상기 UE 파라미터는 라우팅 표시자 파라미터인,
    방법.
  31. 청구항 29에 있어서,
    상기 제 1 보안 검사는 상기 UE의 NAS 보안 컨텍스트를 사용하여 상기 UE 구성 파라미터 업데이트의 무결성을 검증하는,
    방법.
  32. 청구항 29에 있어서,
    상기 제 1 NAS 메시지는 NAS 등록 절차 동안 상기 UE로 전송된 NAS 등록 수락 메시지를 포함하는,
    방법.
  33. 청구항 32에 있어서,
    상기 NAS 등록 수락 메시지가 UE 확인응답 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 접속 및 이동성 관리 기능(AMF) 요소로 전송하게 하는 단계를 더 포함하며,
    상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    방법.
  34. 청구항 29에 있어서,
    상기 제 1 NAS 메시지는 NAS 수송 절차의 다운링크 NAS 수송 메시지를 포함하는,
    방법.
  35. 청구항 34에 있어서,
    상기 다운링크 NAS 수송 메시지가 UE 확인응답 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 UE 구성 파라미터 업데이트가 수신되었다는 상기 UE로부터의 UE 확인응답을 포함한 컨테이너를 가진 업링크 NAS 수송 메시지를 접속 및 이동성 관리 기능(AMF) 요소로 전송하게 하는 단계를 더 포함하는,
    방법.
  36. 청구항 29에 있어서,
    상기 제 1 NAS 메시지가 재-등록 표시자를 포함할 때, 상기 방법은:
    상기 UE로 하여금 상기 업데이트된 UE 구성 파라미터들을 사용하여 재-등록하기 위해 NAS 등록 절차를 개시하게 하는 단계를 더 포함하는,
    방법.
  37. 청구항 29에 있어서,
    상기 방법은:
    상기 UE에 대한 UE 구성 파라미터 업데이트를 포함한 제어 평면 메시지를 통합 데이터 관리(UDM) 요소로부터 수신하는 단계; 및
    상기 UE 구성 파라미터 업데이트를 상기 제 1 NAS 메시지의 컨테이너에 삽입하는 단계를 더 포함하는,
    방법.
  38. 청구항 37에 있어서,
    상기 방법은:
    상기 UE 구성 파라미터 업데이트가 수신되었다는 UE 확인응답을 포함한 컨테이너를 가진 제 2 NAS 메시지를 NAS 등록 절차 동안 상기 UE로부터 수신하는 단계; 및
    상기 UE 확인응답을 가진 또 다른 제어 평면 메시지를 상기 UDM 요소로 전송하는 단계를 더 포함하되,
    상기 UE로부터 수신된 상기 제 2 NAS 메시지는 NAS 등록 완료 메시지 또는 업링크 NAS 수송 메시지를 포함하는,
    방법.
KR1020217013619A 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법 KR102447972B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020227033020A KR102567828B1 (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862742341P 2018-10-06 2018-10-06
US62/742,341 2018-10-06
PCT/US2019/054883 WO2020073014A1 (en) 2018-10-06 2019-10-04 Systems and method for secure updates of configuration parameters provisioned in user equipment

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020227033020A Division KR102567828B1 (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210071053A KR20210071053A (ko) 2021-06-15
KR102447972B1 true KR102447972B1 (ko) 2022-09-28

Family

ID=68343476

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020227033020A KR102567828B1 (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
KR1020237027414A KR20230125087A (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한업데이트를 위한 시스템 및 방법
KR1020217013619A KR102447972B1 (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020227033020A KR102567828B1 (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
KR1020237027414A KR20230125087A (ko) 2018-10-06 2019-10-04 사용자 장비에서 공급된 구성 파라미터들의 안전한업데이트를 위한 시스템 및 방법

Country Status (15)

Country Link
US (2) US11937077B2 (ko)
EP (1) EP3861702A1 (ko)
JP (2) JP7414816B2 (ko)
KR (3) KR102567828B1 (ko)
CN (2) CN112913205A (ko)
AU (2) AU2019355197B2 (ko)
BR (1) BR112021006571A2 (ko)
CA (1) CA3115284A1 (ko)
CL (1) CL2021000848A1 (ko)
CO (1) CO2021005932A2 (ko)
MX (1) MX2021003926A (ko)
PH (1) PH12021550737A1 (ko)
SA (1) SA521421655B1 (ko)
SG (1) SG11202103439TA (ko)
WO (1) WO2020073014A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563676B2 (en) * 2019-08-16 2023-01-24 Nokia Technologies Oy Method and apparatus for universal integrated circuit card update via dedicated network function
CN114731515A (zh) * 2019-11-11 2022-07-08 瑞典爱立信有限公司 无线电资源控制消息的完整性保护
US11418957B2 (en) * 2019-11-14 2022-08-16 Verizon Patent And Licensing Inc. Systems and methods for securely updating and managing universal subscriber identity module information
US20230284018A1 (en) * 2019-12-09 2023-09-07 Telefonaktiebolaget Lm Ericsson (Publ) User Equipment, Network Node and Methods in a Wireless Communications Network
US20220053314A1 (en) * 2020-08-12 2022-02-17 Apple Inc. Network Operations to Update User Equipment Parameters
EP4218279A4 (en) * 2021-02-18 2023-11-01 ZTE Corporation CONTROL PLANE BASED SECURITY DEPLOYMENT IN A NON-PUBLIC NETWORK
EP4132050A1 (en) * 2021-08-03 2023-02-08 Deutsche Telekom AG Method for operating or for modifying the operation of a user equipment within or as part of a telecommunications network using a control plane functionality, user equipment, system or telecommunications network, authorization functionality, program and computer program product

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018097601A1 (ko) * 2016-11-27 2018-05-31 엘지전자(주) 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0004178D0 (en) * 2000-02-22 2000-04-12 Nokia Networks Oy Integrity check in a communication system
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US8645695B2 (en) 2009-10-07 2014-02-04 Blackberry Limited System and method for managing security key architecture in multiple security contexts of a network environment
KR20120099567A (ko) 2011-03-01 2012-09-11 엘지전자 주식회사 무선 통신에서 네트워크의 비액세스 계층(Non-Access Stratum:NAS) 보안 프로시저를 수행하는 방법
CN105075360B (zh) 2014-01-28 2020-03-10 华为技术有限公司 无线承载配置方法、基站及系统
WO2017049461A1 (zh) 2015-09-22 2017-03-30 华为技术有限公司 用户设备ue的接入方法、设备及系统
CN108616907B (zh) * 2016-12-28 2022-08-12 上海诺基亚贝尔股份有限公司 一种用于lte用户的移动性管理的方法、设备与系统
EP3402234B1 (en) 2017-01-16 2024-04-10 LG Electronics Inc. Updating ue configuration
WO2018184707A1 (en) * 2017-04-03 2018-10-11 Blackberry Limited Provision of emergency codes to a mobile device
KR101859564B1 (ko) 2017-08-01 2018-05-18 에스케이 텔레콤주식회사 무선통신 시스템에서 이동성 관리 방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018097601A1 (ko) * 2016-11-27 2018-05-31 엘지전자(주) 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치

Also Published As

Publication number Publication date
KR20220135254A (ko) 2022-10-06
CL2021000848A1 (es) 2021-10-22
PH12021550737A1 (en) 2021-10-25
JP7414816B2 (ja) 2024-01-16
EP3861702A1 (en) 2021-08-11
KR20230125087A (ko) 2023-08-28
KR102567828B1 (ko) 2023-08-18
JP2023175800A (ja) 2023-12-12
CN117499157A (zh) 2024-02-02
CA3115284A1 (en) 2020-04-09
CO2021005932A2 (es) 2021-06-21
US20240147227A1 (en) 2024-05-02
SA521421655B1 (ar) 2024-03-28
AU2023201180B2 (en) 2024-06-13
US20210160691A1 (en) 2021-05-27
AU2023201180A1 (en) 2023-04-06
AU2019355197B2 (en) 2023-03-16
BR112021006571A2 (pt) 2021-07-27
SG11202103439TA (en) 2021-05-28
CN112913205A (zh) 2021-06-04
US11937077B2 (en) 2024-03-19
WO2020073014A1 (en) 2020-04-09
AU2019355197A1 (en) 2021-05-20
KR20210071053A (ko) 2021-06-15
JP2022511606A (ja) 2022-02-01
MX2021003926A (es) 2021-08-05

Similar Documents

Publication Publication Date Title
KR102369596B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
KR102447972B1 (ko) 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
US12028750B2 (en) User data transport over control plane in communication system using designated payload container types
EP3335449A1 (en) System, method, and apparatus for facilitating selection of a serving node
US11653289B2 (en) Selection of network slice data rate
RU2783383C1 (ru) Системы и способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя
US20230292121A1 (en) System and method for security protection of nas messages
RU2772709C1 (ru) Системы и способ защиты безопасности сообщений nas

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right