KR102568230B1 - 보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템 - Google Patents

보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템 Download PDF

Info

Publication number
KR102568230B1
KR102568230B1 KR1020217043061A KR20217043061A KR102568230B1 KR 102568230 B1 KR102568230 B1 KR 102568230B1 KR 1020217043061 A KR1020217043061 A KR 1020217043061A KR 20217043061 A KR20217043061 A KR 20217043061A KR 102568230 B1 KR102568230 B1 KR 102568230B1
Authority
KR
South Korea
Prior art keywords
amf
request message
security context
registration request
user equipment
Prior art date
Application number
KR1020217043061A
Other languages
English (en)
Other versions
KR20220016189A (ko
Inventor
페이 리
보 장
Original Assignee
아너 디바이스 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아너 디바이스 컴퍼니 리미티드 filed Critical 아너 디바이스 컴퍼니 리미티드
Publication of KR20220016189A publication Critical patent/KR20220016189A/ko
Application granted granted Critical
Publication of KR102568230B1 publication Critical patent/KR102568230B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1443Reselecting a network or an air interface over a different radio air interface technology between licensed networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)

Abstract

본 출원의 실시예들은 보안 컨텍스트 획득 방법을 제공한다. 사용자 장비 UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에, 5G 시스템에서 UE에 대한 액세스 및 이동성 관리 서비스를 제공하는 제1 AMF는 본 방법에 따라 5G 통신 시스템에서 제2 AMF로부터 UE의 보안 컨텍스트를 획득할 수 있다. 이 방법은: UE가 제1 등록 요청 메시지를 제1 AMF에 전송하는 단계를 포함하고, 여기서 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반한다. 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 전송하고, 여기서 제2 등록 요청 메시지는 UE와 제2 AMF 사이의 네이티브 보안 컨텍스트를 사용하여 무결성 보호된다. 제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 반환한다. 이 방법은 제1 AMF가 제2 AMF로부터 UE의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선할 수 있다.

Description

보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템
삭제
본 발명은 통신 분야에 관한 것으로, 보다 구체적으로는 보안 컨텍스트 획득 방법 및 장치와 통신 시스템에 관한 것이다.
5세대(5th generation, 5G) 통신 시나리오에서는, 사용자 장비의 이동 때문에, 사용자 장비를 서빙하는 네트워크 디바이스가 변경된다. 가능한 핸드오버 시나리오에서, 사용자 장비는 4세대(4th generation, 4G) 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된다. 이러한 핸드오버 시나리오에서, 사용자 장비는 4G 액세스 네트워크 디바이스로부터 5G 액세스 네트워크 디바이스로, 그리고 4G 코어 네트워크 디바이스로부터 5G 코어 네트워크 디바이스로 핸드오버된다. 코어 네트워크 디바이스들 사이의 핸드오버는 사용자 장비에 이동성 관리 서비스를 제공하는 코어 네트워크 요소들 사이의 핸드오버, 즉, 4G 통신 시스템에서의 이동성 관리 엔티티(mobility management entity, MME)로부터 5G 통신 시스템에서의 액세스 및 이동성 관리 기능(access and mobility management function, AMF)으로의 핸드오버를 포함한다.
사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되는 기존의 시나리오에서, MME에 의해 선택된 AMF(제1 AMF) 이외에, 5G 통신 시스템은 사용자 장비의 보안 컨텍스트를 저장하는 AMF(제2 AMF)를 추가로 포함한다. 이 경우, 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 어떻게 획득하는지는 해결될 긴급한 문제가 된다.
본 출원은 보안 컨텍스트 획득 방법 및 장치와, 통신 시스템을 제공한다. 제1 AMF에 의해 제2 AMF에 전송되는 제2 등록 요청 메시지가 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트에 기초하여 무결성 보호됨으로써, 제2 AMF는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트에 기초하여 제2 등록 요청 메시지의 무결성을 검증할 수 있어, 제2 AMF가 제2 등록 요청 메시지를 성공적으로 검증할 가능성을 향상시킨다. 검증이 성공적이면, 제1 AMF는 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 수 있다.
제1 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 제1 액세스 및 이동성 관리 기능 AMF가 사용자 장비에 의해 전송되는 제1 등록 요청 메시지를 수신하는 단계를 포함하고, 여기서 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반하고, 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트이고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다. 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 전송한다. 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증한다. 제2 AMF가 제2 등록 요청 메시지의 무결성을 성공적으로 검증하면, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때, 사용자 장비의 보안 컨텍스트는 핸드오버 전에 사용자 장비 및 제2 AMF에 의해 저장된다. 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에, 제1 AMF는 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공한다. 제1 AMF는 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다. 구체적으로, 핸드오버 명령을 수신한 후에, 사용자 장비는 사용자 장비와 제2 AMF 사이의 본래 저장된 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대한 무결성 보호를 수행하고, 제2 등록 요청 메시지를 생성하고, 제2 등록 요청 메시지를 제1 등록 요청 메시지에 추가하고, 제1 등록 요청 메시지를 제1 AMF에 전송할 수 있다. 이러한 방식으로, 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 포워딩할 수 있고, 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증할 수 있다. 제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 수 있다. 이것은 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선할 수 있다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 사용자 장비의 보안 컨텍스트는: 제1 보안 컨텍스트, 또는 제1 보안 컨텍스트에 기초하여 획득되는 제2 보안 컨텍스트를 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트일 수 있다. 대안적으로, 제2 AMF가 키 도출(key derivation)을 수행하고 새로운 키를 생성할 때, 사용자 장비의 보안 컨텍스트는 제1 보안 컨텍스트에 기초하여 키 도출을 통해 생성된 제2 보안 컨텍스트일 수 있다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 제1 AMF가 제2 등록 요청 메시지를 제2 AMF에 전송하는 것은: 제1 AMF가 사용자 장비 컨텍스트 전송 서비스 호출 요청을 제2 AMF에 전송하는 것을 포함하고, 여기서 사용자 장비 컨텍스트 전송 서비스 호출 요청은 제2 등록 요청 메시지를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 제2 AMF에 전송되는 제2 등록 요청 메시지는 제1 AMF에 의해 제2 AMF에 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청에서 운반될 수 있다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 제2 AMF가 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송하는 것은: 제2 AMF가 제1 응답 메시지를 제1 AMF에 송신하는 것을 포함하고, 여기서 제1 응답 메시지는 사용자 장비의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 때, 제2 AMF는 사용자 장비의 보안 컨텍스트를 운반하는 제1 응답 메시지를 제1 AMF에 전송할 수 있다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 이 방법은: 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는데 실패한 것을 표시하는 메시지를 제1 AMF가 수신할 때, 제1 AMF는 계속해서 매핑된 보안 컨텍스트를 사용하거나, 또는 사용자 장비에 대한 초기 인증을 개시하는 단계를 추가로 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득하는데 실패할 때, 제1 AMF는 사용자 장비와의 협상을 통해 생성되는 매핑된 보안 컨텍스트를 계속해서 사용할 수 있거나; 또는 제1 AMF는 사용자 장비에 대한 초기 인증을 개시하여 제1 AMF와 사용자 장비 사이의 보안 컨텍스트를 생성할 수 있다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 매핑된 보안 컨텍스트는 이동성 관리 엔티티 MME와 사용자 장비 사이의 보안 컨텍스트에 기초하여 획득되고, MME는 4G 통신 시스템에서의 네트워크 요소이다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에서, 매핑된 보안 컨텍스트는 사용자 장비와 MME 사이의 보안 컨텍스트에 기초한 도출을 통해 개별적으로 사용자 장비와 제1 AMF에 의해 생성되는 보안 컨텍스트이다.
제1 양태를 참조하면, 제1 양태의 일부 구현들에서, 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는 것은: 제2 AMF가 제2 AMF와 사용자 장비 사이의 네이티브 보안 컨텍스트에 기초하여 제2 등록 요청 메시지의 무결성을 검증하는 것을 포함한다.
제2 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 제2 액세스 및 이동성 관리 기능 AMF가 제1 AMF에 의해 전송되는 제2 등록 요청 메시지를 수신하는 단계를 포함하고, 여기서 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트이고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다. 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증한다. 제2 AMF가 제2 등록 요청 메시지의 무결성을 성공적으로 검증하면, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때, 사용자 장비의 보안 컨텍스트는 핸드오버 전에 사용자 장비 및 제2 AMF에 의해 저장된다. 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에, 제1 AMF는 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공한다. 제1 AMF는 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다. 구체적으로, 핸드오버 명령을 수신한 후에, 사용자 장비는 사용자 장비와 제2 AMF 사이의 본래 저장된 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대한 무결성 보호를 수행하고, 그 후 제2 등록 요청 메시지를 생성할 수 있다. UE는 제2 등록 요청 메시지를 제1 AMF에 전송되는 제1 등록 요청 메시지에 추가한다. 이러한 방식으로, 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 포워딩할 수 있고, 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증할 수 있다. 제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송한다. 이것은 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선할 수 있다.
제2 양태를 참조하면, 제2 양태의 일부 구현들에서, 사용자 장비의 보안 컨텍스트는: 제1 보안 컨텍스트, 또는 제1 보안 컨텍스트에 기초하여 키 도출을 통해 생성된 제2 보안 컨텍스트를 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트일 수 있다. 대안적으로, 제2 AMF가 키 도출(key derivation)을 수행하고 새로운 키를 생성할 때, 사용자 장비의 보안 컨텍스트는 제1 보안 컨텍스트에 기초하여 키 도출을 통해 생성된 제2 보안 컨텍스트일 수 있다.
제2 양태를 참조하면, 제2 양태의 일부 구현들에서, 제2 AMF가 제1 AMF에 의해 전송되는 제2 등록 요청 메시지를 수신하는 것은: 제2 AMF가 제1 AMF에 의해 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청을 수신하는 것을 포함하고, 여기서 사용자 장비 컨텍스트 전송 서비스 호출 요청은 제2 등록 요청 메시지를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 제2 AMF에 전송되는 제2 등록 요청 메시지는 제1 AMF에 의해 제2 AMF에 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청에서 운반될 수 있다.
제2 양태를 참조하면, 제2 양태의 일부 구현들에서, 제2 AMF가 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송하는 것은: 제2 AMF가 제1 응답 메시지를 제1 AMF에 전송하는 것을 포함하고, 여기서 제1 응답 메시지는 사용자 장비의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 때, 제2 AMF는 사용자 장비의 보안 컨텍스트를 운반하는 제1 응답 메시지를 제1 AMF에 전송할 수 있다.
제2 양태를 참조하면, 제2 양태의 일부 구현들에서, 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는 것은: 제2 AMF가 제1 보안 컨텍스트에 기초하여 제2 등록 요청 메시지의 무결성을 검증하는 것을 포함한다.
제3 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 사용자 장비가 제2 등록 요청 메시지를 결정하고, 제2 등록 요청 메시지에 대해 무결성 보호를 수행하는 단계를 포함하고, 여기서 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 액세스 및 이동성 관리 기능 AMF 사이의 네이티브 보안 컨텍스트이다. 사용자 장비는 제1 등록 요청 메시지를 제1 액세스 및 이동성 관리 기능 AMF에 전송하고, 여기서 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반하고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때, 사용자 장비의 보안 컨텍스트는 핸드오버 전에 사용자 장비 및 제2 AMF에 의해 저장된다. 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에, 제1 AMF는 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공한다. 제1 AMF는 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다. 구체적으로, 핸드오버 명령을 수신한 후에, 사용자 장비는 사용자 장비와 제2 AMF 사이의 본래 저장된 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대한 무결성 보호를 수행하고, 그 후 제2 등록 요청 메시지를 생성할 수 있다. UE는 제2 등록 요청 메시지를 제1 AMF에 전송된 제1 등록 요청 메시지에 추가한다. 이러한 방식으로, 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 포워딩할 수 있고, 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증할 수 있다. 제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 수 있다. 이것은 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선할 수 있다.
제3 양태를 참조하면, 제3 양태의 일부 구현들에서, 이 방법은: 제1 AMF에 의해 전송되는 비-액세스 계층 보안 모드 명령 NAS SMC 메시지가 수신되면, NAS SMC의 무결성을 검증하는 단계; 및 검증이 성공적이면, 비-액세스 계층 보안 모드 완료 메시지를 상기 제1 AMF에 전송하는 단계를 추가로 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비가 제1 AMF에 의해 전송되는 NAS SMC 메시지를 수신하고, 사용자 장비가 NAS SMC 메시지를 성공적으로 검증하면, 사용자 장비는 비-액세스 계층 보안 모드 완료 메시지를 제1 AMF에 전송한다.
제4 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 제1 액세스 및 이동성 관리 기능 AMF가 사용자 장비에 의해 전송되는 제1 등록 요청 메시지를 수신하는 단계를 포함하고, 여기서 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반하고, 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트이고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다. 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 전송한다. 제2 AMF가 제2 등록 요청 메시지의 무결성을 성공적으로 검증하면, 제1 AMF는 제2 AMF에 의해 전송되는 사용자 장비의 보안 컨텍스트를 수신한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때, 사용자 장비의 보안 컨텍스트는 핸드오버 전에 사용자 장비 및 제2 AMF에 의해 저장된다. 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에, 제1 AMF는 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공한다. 제1 AMF는 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다. 구체적으로, 핸드오버 명령을 수신한 후에, 사용자 장비는 사용자 장비와 제2 AMF 사이의 본래 저장된 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대한 무결성 보호를 수행하고, 그 후 제2 등록 요청 메시지를 생성할 수 있다. UE는 제2 등록 요청 메시지를 제1 AMF에 전송된 제1 등록 요청 메시지에 추가한다. 이러한 방식으로, 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 포워딩할 수 있고, 제2 AMF는 제2 등록 요청 메시지의 무결성을 검증할 수 있다. 제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 수 있다. 이것은 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선할 수 있다.
제4 양태를 참조하면, 제4 양태의 일부 구현들에서, 사용자 장비의 보안 컨텍스트는: 제1 보안 컨텍스트, 또는 제1 보안 컨텍스트에 기초하여 키 도출을 통해 생성된 제2 보안 컨텍스트를 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트일 수 있다. 대안적으로, 제2 AMF가 키 도출(key derivation)을 수행하고 새로운 키를 생성할 때, 사용자 장비의 보안 컨텍스트는 제1 보안 컨텍스트에 기초하여 키 도출을 통해 생성된 제2 보안 컨텍스트일 수 있다.
제4 양태를 참조하면, 제4 양태의 일부 구현들에서, 제1 AMF가 제2 등록 요청 메시지를 제2 AMF에 전송하는 것은: 제1 AMF가 사용자 장비 컨텍스트 전송 서비스 호출 요청을 제2 AMF에 전송하는 것을 포함하고, 여기서 사용자 장비 컨텍스트 전송 서비스 호출 요청은 제2 등록 요청 메시지를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 제2 AMF에 전송되는 제2 등록 요청 메시지는 제1 AMF에 의해 제2 AMF에 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청에서 운반될 수 있다.
제4 양태를 참조하면, 제4 양태의 일부 구현들에서, 제1 AMF가 제2 AMF에 의해 전송되는 사용자 장비의 보안 컨텍스트를 수신하는 것은: 제1 AMF가 제2 AMF에 의해 전송되는 제1 응답 메시지를 수신하는 것을 포함하고, 여기서 제1 응답 메시지는 사용자 장비의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비의 보안 컨텍스트를 제1 AMF에 반환할 때, 제2 AMF는 사용자 장비의 보안 컨텍스트를 운반하는 제1 응답 메시지를 제1 AMF에 전송할 수 있다.
제4 양태를 참조하면, 제4 양태의 일부 구현들에서, 이 방법은: 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는데 실패한 것을 표시하는 메시지를 제1 AMF가 수신할 때, 제1 AMF는 계속해서 매핑된 보안 컨텍스트를 사용하거나, 또는 사용자 장비에 대한 초기 인증을 개시하는 단계를 추가로 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 획득하는데 실패할 때, 제1 AMF는 사용자 장비와의 협상을 통해 생성되는 매핑된 보안 컨텍스트를 계속해서 사용할 수 있거나; 또는 제1 AMF는 사용자 장비에 대한 초기 인증을 개시하여 제1 AMF와 사용자 장비 사이의 보안 컨텍스트를 생성할 수 있다.
제4 양태를 참조하면, 제4 양태의 일부 구현들에서, 매핑된 보안 컨텍스트는 이동성 관리 엔티티 MME와 사용자 장비 사이의 보안 컨텍스트에 기초하여 획득되고, MME는 4G 통신 시스템에서의 네트워크 요소이다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에서, 매핑된 보안 컨텍스트는 사용자 장비와 MME 사이의 보안 컨텍스트에 기초한 도출을 통해 개별적으로 사용자 장비와 제1 AMF에 의해 생성되는 보안 컨텍스트이다.
제5 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 제1 액세스 및 이동성 관리 기능 AMF가 사용자 장비 컨텍스트 전송 서비스 호출 요청을 제2 AMF에 전송하는 단계를 포함하고, 여기서 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 보안 컨텍스트를 획득하기 위해 사용되고, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 표시 정보를 운반하고, 표시 정보는 사용자 장비가 검증된다는 것을 표시하기 위해 사용되고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다. 제1 AMF는 제2 AMF에 의해 전송되는 제2 응답 메시지를 수신하고, 여기서 제2 응답 메시지는 사용자 장비의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 제2 AMF에 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청은 UE가 검증된다는 것을 표시하는 표시 정보를 운반한다. 이것은 제2 AMF가 UE를 검증하는데 실패하고 UE의 보안 컨텍스트를 제1 AMF에 전송하지 못하는 것을 회피할 수 있고, 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선한다.
제5 양태를 참조하면, 제5 양태의 일부 구현들에서, 표시 정보가 사용자 장비가 검증된다는 것을 표시하기 위해 사용된다는 것은: 표시 정보가 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 표시하기 위해 사용된다는 것을 포함하고, 여기서 등록 요청 메시지는 사용자 장비로부터 제1 AMF에 의해 수신된다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 제2 AMF에 전송되는, UE가 검증된다는 것을 표시하는 표시 정보는 제1 AMF에 의해, UE에 의해 전송되는 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 제2 AMF에 통지하기 위해 사용될 수 있다. 이것은 UE가 검증된다는 것을 표시하기 위한 유연한 선택적 해결책을 제공한다.
제5 양태를 참조하면, 제5 양태의 일부 구현들에서, 제1 AMF가 사용자 장비 컨텍스트 전송 서비스 호출 요청을 제2 AMF에 전송하기 전에, 이 방법은: 제1 AMF가 등록 요청 메시지에 대한 무결성 보호를 성공적으로 검증하는 단계- 등록 요청 메시지는 사용자 장비로부터 제1 AMF에 의해 수신됨 -; 및/또는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 등록 요청 메시지가 사용자 장비에 의해 전송되는 등록 요청 메시지라고 제1 AMF가 결정하는 단계를 추가로 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF는, 등록 요청 메시지가 성공적으로 검증된다는 것을 표시하는 결과에 기초하여 및/또는 수신된 등록 요청 메시지가 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 의해 전송되는 등록 요청 메시지인 것에 기초하여, 사용자 장비 컨텍스트 전송 서비스 호출 요청이 제2 AMF에 전송될 수 있다고 결정한다.
제5 양태를 참조하면, 제5 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 아이덴티티를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF가 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다는 것을 제2 AMF가 알 수 있게 하기 위해, 제1 AMF는 사용자 장비의 아이덴티티를 컨텍스트 전송 서비스 호출 요청에 추가한다.
제5 양태를 참조하면, 제5 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 업링크 비-액세스 계층 카운트 UL NAS COUNT를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제2 AMF가 UL NAS COUNT를 알 수 있게 하기 위해, 제1 AMF는 UL NAS COUNT를 컨텍스트 전송 서비스 호출 요청에 추가할 수 있다.
제5 양태를 참조하면, 제5 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청이 UL NAS COUNT를 운반하는 것은: 사용자 장비 컨텍스트 전송 서비스 호출 요청이 평문 등록 요청 메시지를 운반하는 것을 포함하고, 여기서 평문 등록 요청 메시지는 UL NAS COUNT를 포함하고, 등록 요청 메시지는 사용자 장비로부터 제1 AMF에 의해 수신된다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비 컨텍스트 전송 서비스 호출 요청이 UL NAS COUNT를 운반하는 것은 사용자 장비 컨텍스트 전송 서비스 호출 요청에서 평문 등록 요청 메시지를 운반함으로써 구현될 수 있고, 여기서 평문 등록 요청 메시지는 UL NAS COUNT를 포함한다. 이것은 제1 AMF가 UL NAS COUNT를 제2 AMF에 전송하기 위한 유연한 선택적 해결책을 제공한다.
제6 양태에 따르면, 보안 컨텍스트 획득 방법이 제공된다. 이 방법은: 제2 액세스 및 이동성 관리 기능 AMF가 제1 AMF에 의해 전송되는 사용자 장비 컨텍스트 전송 서비스 호출 요청을 수신하는 단계를 포함하고, 여기서 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 보안 컨텍스트를 획득하기 위해 사용되고, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 표시 정보를 운반하고, 표시 정보는 사용자 장비가 검증된다는 것을 표시하기 위해 사용되고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다. 제2 AMF는 제2 응답 메시지를 제1 AMF에 전송하고, 여기서 제2 응답 메시지는 사용자 장비의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 전송되고 제2 AMF에 의해 수신되는 사용자 장비 컨텍스트 전송 서비스 호출 요청은 UE가 검증된다는 것을 표시하는 표시 정보를 운반한다. 표시 정보에 기초하여, 제2 AMF는 UE를 검증할 필요가 없다. 이것은 제2 AMF가 UE를 검증하는데 실패하고 UE의 보안 컨텍스트를 제1 AMF에 전송하지 못하는 것을 회피할 수 있고, 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선한다.
제6 양태를 참조하면, 제6 양태의 일부 구현들에서, 표시 정보가 사용자 장비가 검증된다는 것을 표시하기 위해 사용된다는 것은: 표시 정보가 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 표시하기 위해 사용된다는 것을 포함하고, 여기서 등록 요청 메시지는 사용자 장비로부터 제1 AMF에 의해 수신된다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제1 AMF에 의해 전송되고 제2 AMF에 의해 수신되는, UE가 검증된다는 것을 표시하는 표시 정보는 제1 AMF에 의해, UE에 의해 전송되는 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 제2 AMF에 통지하기 위해 사용될 수 있다. 이것은 UE가 검증된다는 것을 표시하기 위한 유연한 선택적 해결책을 제공한다.
제6 양태를 참조하면, 제6 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 아이덴티티를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 컨텍스트 전송 서비스 호출 요청에서 운반되는 사용자 장비의 아이덴티티에 기초하여, 제2 AMF는 제1 AMF가 사용자 장비의 보안 컨텍스트를 획득할 필요가 있다고 결정할 수 있다.
제6 양태를 참조하여, 제6 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청은 사용자 장비의 업링크 비-액세스 계층 카운트 UL NAS COUNT를 운반한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제2 AMF는 컨텍스트 전송 서비스 호출 요청에서 운반되는 UL NAS COUNT에 기초하여 UL NAS COUNT를 알 수 있다.
제6 양태를 참조하면, 제6 양태의 일부 구현들에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청이 UL NAS COUNT를 운반하는 것은: 사용자 장비 컨텍스트 전송 서비스 호출 요청이 평문 등록 요청 메시지를 운반하는 것을 포함하고, 여기서 평문 등록 요청 메시지는 UL NAS COUNT를 포함하고, 등록 요청 메시지는 사용자 장비로부터 제1 AMF에 의해 수신된다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 사용자 장비 컨텍스트 전송 서비스 호출 요청이 UL NAS COUNT를 운반하는 것은 사용자 장비 컨텍스트 전송 서비스 호출 요청에서 평문 등록 요청 메시지를 운반함으로써 구현될 수 있고, 여기서 평문 등록 요청 메시지는 UL NAS COUNT를 포함한다. 이것은 제1 AMF가 UL NAS COUNT를 제2 AMF에 전송하기 위한 유연한 선택적 해결책을 제공한다.
제6 양태를 참조하면, 제6 양태의 일부 구현들에서, 이 방법은: 제2 AMF가 UL NAS COUNT에 기초하여 키 도출을 수행하는 것을 추가로 포함한다.
본 출원의 이 실시예에서 제공되는 보안 컨텍스트 획득 방법에 따르면, 제2 AMF는 수신된 UL NAS COUNT에 기초하여 키 도출을 수행할 수 있다.
제7 양태에 따르면, 통신 시스템이 제공된다. 통신 시스템은 제1 양태 또는 제1 양태의 가능한 구현들 중 어느 하나에서 제1 AMF 및 제2 AMF에 의해 수행되는 동작들을 수행하도록 구성될 수 있는 제1 AMF 및 제2 AMF를 포함한다. 구체적으로, 통신 장치는 제1 양태 또는 제1 양태의 가능한 구현들 중 어느 하나에서 설명된 단계들 또는 기능들을 수행하도록 구성된 대응하는 컴포넌트(수단)를 포함할 수 있고, 컴포넌트는 제1 양태에서의 제1 AMF 및 제2 AMF, 또는 제1 양태에서의 제1 AMF 및 제2 AMF 내부의 칩들 또는 기능 모듈들일 수 있다. 단계들 또는 기능들은 소프트웨어, 하드웨어, 또는 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.
제8 양태에 따르면, 보안 컨텍스트 획득 장치가 제공된다. 이 장치는, 제5 양태, 제4 양태, 제5 양태의 가능한 구현들, 또는 제4 양태의 가능한 구현들 중 어느 하나에서 제1 AMF에 의해 수행되는 동작을 수행하도록 구성될 수 있다. 구체적으로, 보안 컨텍스트 획득 장치는 제5 양태, 제4 양태, 제1 양태의 가능한 구현들, 또는 제4 양태의 가능한 구현들 중 어느 하나에서 설명된 단계들 또는 기능들을 수행하도록 구성된 대응하는 컴포넌트(수단)를 포함할 수 있고, 컴포넌트는 제4 및 제5 양태들에서의 제1 AMF, 또는 제4 및 제5 양태들에서의 제1 AMF 내부의 칩 또는 기능 모듈일 수 있다. 단계들 또는 기능들은 소프트웨어, 하드웨어, 또는 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.
제9 양태에 따르면, 보안 컨텍스트 획득 장치가 제공된다. 이 장치는 제2 양태, 제6 양태, 제2 양태의 가능한 구현들, 또는 제6 양태의 가능한 구현들 중 어느 하나에서 제2 AMF에 의해 수행되는 동작을 수행하도록 구성될 수 있다. 구체적으로, 보안 컨텍스트 획득 장치는 제2 양태, 제6 양태, 제2 양태의 가능한 구현들, 또는 제6 양태의 가능한 구현들 중 어느 하나에서 설명된 단계들 또는 기능들을 수행하도록 구성된 대응하는 컴포넌트(수단)를 포함할 수 있고, 컴포넌트는 제2 및 제6 양태들에서의 제2 AMF, 또는 제2 및 제6 양태들에서의 제2 AMF 내의 칩 또는 기능 모듈일 수 있다. 단계들 또는 기능들은 소프트웨어, 하드웨어, 또는 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.
제10 양태에 따르면, 보안 컨텍스트 획득 장치가 제공된다. 이 장치는 제3 양태에서 사용자 장비에 의해 수행되는 동작을 수행하도록 구성될 수 있다. 구체적으로, 보안 컨텍스트 획득 장치는 제3 양태에서 설명된 단계들 또는 기능들을 수행하도록 구성된 대응하는 컴포넌트(수단)를 포함할 수 있고, 이러한 컴포넌트는 제3 양태에서의 사용자 장비, 또는 제3 양태에서의 사용자 장비 내의 칩 또는 기능 모듈일 수 있다. 단계들 또는 기능들은 소프트웨어, 하드웨어, 또는 하드웨어와 소프트웨어의 조합에 의해 구현될 수 있다.
제11 양태에 따르면, 프로세서, 송수신기, 및 메모리를 포함하는 통신 디바이스가 제공된다. 메모리는 컴퓨터 프로그램을 저장하도록 구성된다. 송수신기는 제1 양태 내지 제5 양태에서의 임의의 가능한 구현에서의 보안 컨텍스트 획득 장치 방법에서 전송 및 수신 단계들을 수행하도록 구성된다. 프로세서는 메모리로부터 컴퓨터 프로그램을 호출하고 컴퓨터 프로그램을 실행하여, 통신 디바이스가 제1 양태 내지 제6 양태에서의 임의의 가능한 구현에서의 보안 컨텍스트 획득 장치 방법을 수행할 수 있게 하도록 구성된다.
선택적으로, 하나 이상의 프로세서 및 하나 이상의 메모리가 있다.
선택적으로, 메모리는 프로세서와 통합될 수 있거나, 또는 메모리 및 프로세서는 개별적으로 배치될 수 있다.
선택적으로, 송수신기는 송신기(transmitter) 및 수신기(receiver)를 포함한다.
제12 양태에 따르면, 시스템이 제공된다. 시스템은 제8 양태 및 제9 양태에서 제공되는 보안 컨텍스트 획득 장치들을 포함한다.
제13 양태에 따르면, 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 프로그램 제품은 컴퓨터 프로그램(코드 또는 명령어라고도 지칭될 수 있음)을 포함한다. 컴퓨터 프로그램이 실행될 때, 컴퓨터는 제1 양태 내지 제6 양태에서의 임의의 가능한 구현에서의 방법을 수행할 수 있게 된다.
제14 양태에 따르면, 컴퓨터 판독가능 매체가 제공된다. 컴퓨터 판독가능 매체는 컴퓨터 프로그램(코드 또는 명령어라고도 지칭될 수 있음)을 저장한다. 컴퓨터 프로그램이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 내지 제6 양태들에서의 임의의 가능한 구현에서의 방법을 수행할 수 있게 된다.
제15 양태에 따르면, 메모리 및 프로세서를 포함하는 칩 시스템이 제공된다. 메모리는 컴퓨터 프로그램을 저장하도록 구성된다. 프로세서는 메모리로부터 컴퓨터 프로그램을 호출하고 컴퓨터 프로그램을 실행하여, 칩 시스템이 설치되는 통신 디바이스가 제1 양태 내지 제6 양태에서의 임의의 가능한 구현에서의 방법을 수행하도록 구성된다.
도 1은 본 출원의 실시예들에 적용가능한 네트워크 아키텍처이고;
도 2는 통신 시스템들 간의 핸드오버의 개략적인 흐름도이고;
도 3은 본 출원의 실시예에 따른 보안 컨텍스트 획득 방법의 개략도이고;
도 4는 본 출원의 실시예에 따른 다른 보안 컨텍스트 획득 방법의 개략도이고;
도 5는 본 출원의 실시예에 따른 보안 컨텍스트 획득 장치(50)의 개략도이고;
도 6은 본 출원의 실시예에 따른 사용자 장비(60)의 개략적인 구조도이고;
도 7은 본 출원의 실시예에 따른 보안 컨텍스트 획득 장치(70)의 개략도이고;
도 8은 본 출원의 실시예에 따른 제1 AMF(80)의 개략적인 구조도이고;
도 9는 본 출원의 실시예에 따른 보안 컨텍스트 획득 장치(90)의 개략도이고;
도 10은 본 출원의 실시예에 따른 제2 AMF(100)의 개략적인 구조도이다.
이하에서는 첨부 도면들을 참조하여 본 출원의 기술적 해결책들을 설명한다.
본 출원의 실시예들의 기술적 해결책들은 이동 통신들을 위한 글로벌 시스템(global system for mobile communications, GSM), 코드 분할 다중 액세스(code division multiple access, CDMA) 시스템, 광대역 코드 분할 다중 액세스(wideband code division multiple access, WCDMA) 시스템, 일반 패킷 라디오 서비스(general packet radio service, GPRS) 시스템, 롱 텀 에볼루션(long term evolution, LTE) 시스템, LTE 주파수 분할 듀플렉스(frequency division duplex, FDD) 시스템, LTE 시간 분할 듀플렉스(time division duplex, TDD) 시스템, 유니버셜 이동 전기통신 시스템(universal mobile telecommunication system, UMTS), 마이크로파 액세스를 위한 전세계 상호운용성(worldwide interoperability for microwave access, WiMAX) 통신 시스템, 미래의 5세대(5th generation, 5G) 시스템, 또는 뉴 라디오(new radio, NR) 시스템과 같은 다양한 통신 시스템들에 적용될 수 있다.
도 1은 본 출원의 실시예들에 적용가능한 네트워크 아키텍처이다. 도 1에 도시된 바와 같이, 다음은 네트워크 아키텍처 내의 컴포넌트들을 개별적으로 설명한다.
1. 사용자 장비(user equipment, UE)(110)는 무선 통신 기능을 갖는 다양한 핸드헬드 디바이스들, 차량-탑재 디바이스들, 웨어러블 디바이스들, 및 컴퓨팅 디바이스들, 또는 무선 모뎀에 접속된 다른 처리 디바이스들, 및 다양한 형태의 단말기들, 이동국들(mobile station, MS), 단말기들(terminal), 소프트 클라이언트들 등을 포함할 수 있다. 예를 들어, 사용자 장비(110)는 물 미터, 전기 미터, 또는 센서일 수 있다.
2. (무선) 액세스 네트워크(radio access network, (R)AN) 요소(120)는 특정 영역 내의 허가된 사용자 장비들에 대한 네트워크 액세스 기능을 제공하도록 구성되고, 사용자 장비들의 레벨들, 서비스 요건들 등에 기초하여 상이한 품질을 갖는 송신 터널들을 사용할 수 있다.
(R)AN 요소는 사용자 장비와 코어 네트워크 사이에서 제어 신호 및 사용자 장비 데이터를 포워딩하기 위해, 무선 자원들을 관리하고 사용자 장비에 대한 액세스 서비스를 제공할 수 있다. (R)AN 요소는 또한 종래의 네트워크에서의 기지국으로서 이해될 수 있다.
3. 사용자 평면 네트워크 요소(130)는 패킷 라우팅 및 포워딩, 사용자 평면 데이터의 서비스 품질(quality of service, QoS) 처리 등에 사용된다.
5G 통신 시스템에서, 사용자 평면 네트워크 요소는 사용자 평면 기능(user plane function, UPF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 사용자 평면 네트워크 요소는 여전히 UPF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
4. 데이터 네트워크 요소(140)는 데이터 송신을 위한 네트워크를 제공하도록 구성된다.
5G 통신 시스템에서, 데이터 네트워크 요소는 데이터 네트워크(data network, DN) 요소일 수 있다. 미래의 통신 시스템에서, 데이터 네트워크 요소는 여전히 DN 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
5. 액세스 및 이동성 관리 네트워크 요소(150)는 주로 이동성 관리, 액세스 관리 등을 수행하도록 구성된다. 액세스 및 이동성 관리 네트워크 요소(150)는 이동성 관리 엔티티(mobility management entity, MME)의 기능들에서 세션 관리 이외의 기능들, 예를 들어, 합법적 인터셉션 및 액세스 인가/인증을 구현하도록 구성될 수 있다.
5G 통신 시스템에서, 액세스 및 이동성 관리 네트워크 요소는 액세스 및 이동성 관리 기능(access and mobility management function, AMF)일 수 있다. 미래의 통신 시스템에서, 액세스 및 이동성 관리 디바이스는 여전히 AMF일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
6. 세션 관리 네트워크 요소(160)는 주로 세션을 관리하고, 사용자 장비의 인터넷 프로토콜(internet protocol, IP) 어드레스를 할당 및 관리하고, 사용자 평면 기능 인터페이스 및 정책 제어 및 과금 기능 인터페이스를 관리할 수 있는 엔드포인트를 선택하고, 다운링크 데이터를 통지하는 등을 하도록 구성된다.
5G 통신 시스템에서, 세션 관리 네트워크 요소는 세션 관리 기능(session management function, SMF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 세션 관리 네트워크 요소는 여전히 SMF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
7. 정책 제어 네트워크 요소(170)는 네트워크 거동의 통합된 정책 프레임워크를 안내하고, (AMF 또는 SMF 네트워크 요소와 같은) 제어 평면 기능 네트워크 요소 등에 대한 정책 규칙 정보를 제공하도록 구성된다.
4G 통신 시스템에서, 정책 제어 네트워크 요소는 정책 및 과금 규칙 기능(policy and charging rules function, PCRF) 네트워크 요소일 수 있다. 5G 통신 시스템에서, 정책 제어 네트워크 요소는 정책 제어 기능(policy control function, PCF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 정책 제어 네트워크 요소는 여전히 PCF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
8. 인증 서버(180)는 서비스를 인증하고, 사용자 장비에 대한 양방향 인증을 구현하기 위한 키를 생성하고, 통합된 인증 프레임워크를 지원하도록 구성된다.
5G 통신 시스템에서, 인증 서버는 인증 서버 기능(authentication server function, AUSF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 인증 서버 기능 네트워크 요소는 여전히 AUSF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
9. 데이터 관리 네트워크 요소(190)는 사용자 장비 아이덴티티를 처리하고, 액세스 인증, 등록, 및 이동성 관리 등을 수행하도록 구성된다.
5G 통신 시스템에서, 데이터 관리 네트워크 요소는 통합된 데이터 관리(unified data management, UDM) 네트워크 요소일 수 있다. 4G 통신 시스템에서, 데이터 관리 네트워크 요소는 홈 가입자 서버(home subscriber server, HSS) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 통합 데이터 관리는 여전히 UDM 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
10. 애플리케이션 네트워크 요소(1100)는 애플리케이션-영향 데이터 라우팅(application-affected data routing)을 수행하고, 네트워크 노출 기능 네트워크 요소에 액세스하고, 정책 프레임워크와 상호작용하여 정책 제어를 수행하는 등을 수행하도록 구성된다.
5G 통신 시스템에서, 애플리케이션 네트워크 요소는 애플리케이션 기능(application function, AF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 애플리케이션 네트워크 요소는 여전히 AF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
11. 네트워크 저장 네트워크 요소는 네트워크에서 모든 네트워크 기능 서비스들의 실시간 정보를 유지하도록 구성된다.
5G 통신 시스템에서, 네트워크 스토리지 네트워크 요소는 네트워크 리포지토리 기능(network repository function, NRF) 네트워크 요소일 수 있다. 미래의 통신 시스템에서, 네트워크 저장 네트워크 요소는 여전히 NRF 네트워크 요소일 수 있거나, 또는 다른 명칭을 가질 수 있다. 이는 본 출원에서 제한되지 않는다.
전술한 네트워크 요소들 또는 기능들은 하드웨어 디바이스 내의 네트워크 요소들, 전용 하드웨어 상에서 실행되는 소프트웨어 기능들, 또는 플랫폼(예를 들어, 클라우드 플랫폼) 상에서 인스턴스화되는 가상화된 기능들일 수 있다는 점이 이해될 수 있다. 설명의 용이함을 위해, 본 출원은 액세스 및 이동성 관리 디바이스가 AMF이고, 데이터 관리 네트워크 요소가 UDM 네트워크 요소이고, 세션 관리 네트워크 요소가 SMF 네트워크 요소이고, 사용자 평면 네트워크 요소가 UPF 네트워크 요소인 예를 사용하여 아래에 설명된다.
설명의 용이함을 위해, 본 출원의 실시예들에서, 세션 확립 방법은 장치가 AMF 엔티티 또는 UDM 엔티티인 예를 사용하여 설명된다. 장치가 AMF 엔티티 내의 칩 또는 UDM 엔티티 내의 칩인 구현 방법에 대해서는, 장치가 AMF 엔티티 또는 UDM 엔티티인 세션 확립 방법에 관한 구체적인 설명들을 참조한다. 세부사항들은 반복되지 않는다.
도 1에 도시된 네트워크 아키텍처에서, 사용자 장비는 N1 인터페이스를 통해 AMF에 접속되고, (R)AN은 N2 인터페이스를 통해 AMF에 접속되고, (R)AN은 N3 인터페이스를 통해 UPF에 접속된다. UPF들은 N9 인터페이스를 통해 서로 접속되고, UPF는 N6 인터페이스를 통해 DN에 상호접속된다. SMF는 N4 인터페이스를 통해 UPF를 제어한다. AMF는 N11 인터페이스를 통해 SMF에 접속된다. AMF는 N8 인터페이스를 통해 UDM 유닛으로부터 사용자 장비의 가입 데이터를 획득한다. SMF는 N10 인터페이스를 통해 UDM 유닛으로부터 사용자 장비의 가입 데이터를 획득한다.
본 출원의 실시예들에 적용되는 전술한 네트워크 아키텍처는 단지 예일 뿐이고, 본 출원의 실시예들에 적용가능한 네트워크 아키텍처는 이에 한정되지 않는다는 점이 이해되어야 한다. 전술한 네트워크 요소들의 기능들을 구현할 수 있는 임의의 네트워크 아키텍처가 본 출원의 실시예들에 적용가능하다.
예를 들어, 일부 네트워크 아키텍처들에서, AMF, SMF 네트워크 요소, PCF 네트워크 요소, BSF 네트워크 요소, 및 UDM 네트워크 요소와 같은 네트워크 기능 네트워크 요소들 및 엔티티들은 모두 네트워크 기능(network function, NF) 네트워크 요소들로 지칭된다. 대안적으로, 일부 다른 네트워크 아키텍처들에서, AMF, SMF 네트워크 요소, PCF 네트워크 요소, BSF 네트워크 요소, 및 UDM 네트워크 요소와 같은 네트워크 요소들의 세트는 제어 평면 기능 네트워크 요소라고 지칭될 수 있다.
본 출원의 실시예들에서의 사용자 장비는 액세스 단말기, 가입자 유닛, 가입자국, 이동국, 모바일 콘솔, 중계국, 원격국, 원격 단말기, 모바일 디바이스, 사용자 단말기(user terminal), 단말 장비(terminal equipment), 단말기(terminal), 무선 통신 디바이스, 사용자 에이전트, 사용자 장치 등일 수 있다. 사용자 장비는 대안적으로 셀룰러 폰, 무선 전화기, 세션 개시 프로토콜(session initiation protocol, SIP) 폰, 무선 로컬 루프(wireless local loop, WLL) 스테이션, 개인 휴대 정보 단말기(personal digital assistant, PDA), 무선 통신 기능을 갖는 핸드헬드 디바이스, 컴퓨팅 디바이스, 무선 모뎀에 접속된 다른 처리 디바이스, 차량-탑재 디바이스, 웨어러블 디바이스, 미래의 5G 네트워크에서의 사용자 장비, 미래의 진화된 공중 육상 모바일 네트워크(public land mobile network, PLMN)에서의 사용자 장비 등일 수 있다. 이는 본 출원의 실시예들에서 제한되지 않는다.
본 출원의 실시예들에서의 네트워크 디바이스는 무선 송수신기 기능을 갖고 사용자 장비와 통신하도록 구성되는 임의의 디바이스일 수 있다. 디바이스는 진화된 노드 B(evolved Node B, eNB), 무선 네트워크 제어기(radio network controller, RNC), NodeB(Node B, NB), 기지국 제어기(base station controller, BSC), 베이스 송수신기 스테이션(base transceiver station, BTS), 홈 기지국(예를 들어, 홈 진화된 NodeB, 또는 홈 노드 B, HNB), 기저대역 유닛(baseBand unit, BBU), 무선 충실도(wireless fidelity, WIFI) 시스템에서의 액세스 포인트(access point, AP), 무선 릴레이 노드, 무선 백홀 노드, 송신 포인트(transmission point, TP), 송신 및 수신 포인트(transmission and reception point, TRP) 등을 포함하지만, 이들로 제한되지 않는다. 대안적으로, 디바이스는 NR 시스템과 같은 5G 시스템에서의 gNB 또는 송신 포인트(TRP 또는 TP)일 수 있거나, 5G 시스템에서의 기지국의 하나의 안테나 패널 또는 안테나 패널들의 그룹(복수의 안테나 패널을 포함함)일 수 있거나, 또는 gNB 또는 송신 포인트를 구성하는 기저대역 유닛(BBU) 또는 분산 유닛(distributed unit, DU)과 같은 네트워크 노드일 수 있다.
일부 배치들에서, gNB는 중앙집중형 유닛(centralized unit, CU) 및 DU를 포함할 수 있다. gNB는 능동 안테나 유닛(active antenna unit, AAU)을 추가로 포함할 수 있다. CU는 gNB의 일부 기능들을 구현하고, DU는 gNB의 일부 기능들을 구현한다. 예를 들어, CU는 비실시간 프로토콜 및 서비스를 처리하는 것을 담당하고, 무선 자원 제어(radio resource control, RRC) 계층 및 패킷 데이터 수렴 프로토콜(packet data convergence protocol, PDCP) 계층의 기능들을 구현한다. DU는 물리 계층 프로토콜 및 실시간 서비스를 처리하는 것을 담당하고, 무선 링크 제어(radio link control, RLC) 계층, 매체 액세스 제어(media access control, MAC) 계층, 및 물리(physical, PHY) 계층의 기능들을 구현한다. AAU는 일부 물리 계층 처리 기능들, 무선 주파수 처리, 및 능동 안테나와 관련된 기능을 구현한다. RRC 계층에서의 정보는 결국 PHY 계층에서의 정보로 변환되거나, 또는 PHY 계층에서의 정보로부터 변환된다. 따라서, 이 아키텍처에서, RRC 계층 시그널링과 같은 상위 계층 시그널링은 또한 DU에 의해 전송되거나 DU 및 AAU에 의해 전송되는 것으로 간주될 수 있다. 네트워크 디바이스는 CU 노드, DU 노드, 및 AAU 노드 중 하나 이상을 포함하는 디바이스일 수 있다는 점이 이해될 수 있다. 또한, CU는 액세스 네트워크(radio access network, RAN) 내의 네트워크 디바이스일 수 있거나, 또는 코어 네트워크(core network, CN) 내의 네트워크 디바이스일 수 있다. 이는 본 출원에서 제한되지 않는다.
본 출원의 실시예들에서, 사용자 장비 또는 네트워크 디바이스는 하드웨어 계층, 하드웨어 계층 위에서 작동하는 오퍼레이팅 시스템 계층, 및 오퍼레이팅 시스템 계층 위에서 작동하는 애플리케이션 계층을 포함한다. 하드웨어 계층은 중앙 프로세싱 유닛(central processing unit, CPU), 메모리 관리 유닛(memory management unit, MMU), 및 메모리(또한, 주 메모리로서 지칭됨)와 같은 하드웨어를 포함한다. 운영 체제는 프로세스(process), 예를 들어, Linux 운영 체제, Unix 운영 체제, Android 운영 체제, iOS 운영 체제, 또는 Windows 운영 체제를 사용함으로써 서비스 처리를 구현하는 임의의 하나 이상의 타입의 컴퓨터 운영 체제일 수 있다. 애플리케이션 계층은 브라우저(browser), 어드레스 북(address book), 워드 프로세싱 소프트웨어(word processing software), 및 인스턴트 통신 소프트웨어(instant communications software)와 같은 애플리케이션들을 포함한다. 또한, 본 출원의 실시예들에서 제공된 방법의 코드를 레코딩하는 프로그램이 본 출원의 실시예들에서 제공된 방법에 따른 통신을 수행하기 위하여 실행될 수 있다면, 본 출원의 실시예들에서 제공된 방법을 수행하기 위한 엔티티(entity)의 특정 구조는 본 출원의 실시예들에서 특별히 제한되지 않는다. 예를 들어, 본 출원의 실시예들에서 제공되는 방법을 수행하기 위한 엔티티는 사용자 장비 또는 네트워크 디바이스일 수 있거나, 또는 사용자 장비 또는 네트워크 디바이스에서 프로그램을 호출하고 실행할 수 있는 기능 모듈일 수 있다.
또한, 본 출원의 양태들 또는 특징들은 표준 프로그래밍 및/또는 공학 기술들을 이용하는 방법, 장치, 또는 제품으로서 구현될 수 있다. 본 출원에서 사용된 용어 "제품"은 임의의 컴퓨터 판독가능 컴포넌트, 캐리어, 또는 매체로부터 액세스될 수 있는 컴퓨터 프로그램을 커버한다. 예를 들어, 컴퓨터 판독가능 매체는: 자기 저장 컴포넌트(예를 들어, 하드 디스크, 플로피 디스크 또는 자기 테이프), 광 디스크(예를 들어, 콤팩트 디스크(compact disc, CD) 또는 디지털 다기능 디스크(digital versatile disc, DVD)), 스마트 카드, 및 플래시 메모리 컴포넌트(예를 들어, 소거가능하고 프로그램 가능한 판독 전용 메모리(erasable programmable read-only memory, EPROM), 카드, 스틱, 또는 키 드라이브)를 포함할 수 있지만, 이로 제한되는 것은 아니다. 또한, 이 명세서에서 설명된 다양한 저장 매체들은 정보를 저장하도록 구성되는 하나 이상의 디바이스 및/또는 다른 머신-판독가능 매체들을 표시할 수 있다. 용어 "머신-판독가능 저장 매체들"은 명령어 및/또는 데이터를 저장, 포함, 및/또는 운반할 수 있는 라디오 채널 및 다양한 다른 매체들을 포함할 수 있지만, 이것으로 제한되지는 않는다.
본 출원의 실시예들은 주로 도 1에 도시된 네트워크 아키텍처가 4G 네트워크 아키텍처일 때의 이동성 관리 엔티티 MME, 및 도 1에 도시된 네트워크 아키텍처가 5G 네트워크 아키텍처일 때의 액세스 및 이동성 관리 기능 AMF 및 UE에 관한 것이다. AMF에 대해, 본 출원은 제1 AMF 및 제2 AMF에 관한 것이다. 구체적으로, 본 출원에서의 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되는 프로세스에서 5G 통신 시스템으로부터, 4G 통신 시스템에서의 MME에 의해 UE가 UE에 대한 코어 네트워크 서비스를 제공하기 위해 선택되는 AMF이다. 본 출원에서의 제2 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되는 프로세스에서 5G 통신 시스템에서의 제1 AMF 이외의, UE의 보안 컨텍스트를 저장하는 AMF이다.
본 출원에서 "제1" 및 "제2"는 단지 구별을 위해 사용된 것으로, 본 출원에 대한 임의의 제한으로서 해석되지 않아야 한다는 점이 이해되어야 한다. 예를 들어, 제1 AMF 및 제2 AMF는 단지 상이한 AMF들을 구별하기 위해 사용된다.
본 출원의 실시예들에서 제공되는 보안 컨텍스트 획득 방법의 이해를 용이하게 하기 위해, 이하에서는 도 2를 참조하여, 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되는 프로세스를 간단히 설명한다. 도 2는 통신 시스템들 간의 핸드오버의 개략적인 흐름도이다. 개략적인 흐름도는 UE, MME, 제1 AMF, 및 제2 AMF를 포함한다.
통신 시스템들 사이의 핸드오버는 다음의 단계들을 포함한다.
S210: MME는 순방향 재배치 요청(forward relocation request) 메시지를 제1 AMF에 전송한다.
구체적으로, 4G 통신 시스템에서의 MME는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되는 것을 알게 되고, UE가, 5G 통신 시스템으로부터 제1 AMF를 선택하여 계속해서 UE에 대한 액세스 및 이동성 관리 서비스를 제공할 필요가 있다. UE가 4G 통신 시스템에 액세스할 때, UE 및 MME는 동일한 키 KASME를 획득한다. UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때, MME는 제1 AMF를 선택하고 KASME 및 다음 홉 파라미터(next hop parameter, NH)를 제1 AMF에 전송한다. 즉, 순방향 재배치 요청 메시지는 KASME 및 NH와 같은 파라미터들을 운반한다.
본 출원의 이 실시예에서, MME가 시스템들 사이의 핸드오버를 어떻게 알게 되는지는 제한되지 않는다. 세부사항들에 대해서는, 기존의 프로토콜에서 4G 통신 시스템으로부터 5G 통신 시스템으로의 핸드오버의 절차에 대한 사양들을 참조한다. 예를 들어, 4G 통신 시스템에서의 기지국은 핸드오버 요청을 MME에 전송할 수 있어서, MME는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 필요가 있다는 것을 알게 된다.
또한, 본 출원의 이 실시예에서, MME가 제1 AMF를 선택하는 방법은 제한되지 않는다. 세부사항들에 대해서는, 기존의 프로토콜에서의 사양을 참조한다. 예를 들어, MME는 운영자에 의해 구성된 적어도 하나의 AMF를 저장한다. MME가 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 필요가 있다는 것을 알게 될 때, MME는 적어도 하나의 AMF로부터 제1 AMF를 선택한다.
S220: 제1 AMF는 매핑된(mapped) 보안 컨텍스트를 결정한다.
구체적으로는, 제1 AMF는 수신된 재배치 요청 메시지에서 운반되는 KASME 및 NH와 같은 파라미터들에 기초하여 매핑된 보안 컨텍스트를 도출한다. 매핑된 보안 컨텍스트는 UE의 매핑된 컨텍스트에 포함된다. 본 출원에서의 매핑된 컨텍스트는 4G 통신 시스템에서 UE와 MME 사이의 협상을 통해 생성되는 컨텍스트에 기초하여 제1 AMF 및 UE에 의해 개별적으로 도출되는 UE의 보안 컨텍스트라는 점이 이해되어야 한다. 4G 컨텍스트에 기초하여 UE의 보안 컨텍스트를 도출하는 방법에 대해서는, 기존 프로토콜에서의 사양들을 참조하고, 이 프로세스는 본 출원에서 제한되지 않는다. 매핑된 보안 컨텍스트는 MME와 사용자 장비 사이의 보안 컨텍스트에 기초하여 제1 AMF 및 UE에 의해 개별적으로 획득된다. 또한, 본 출원에서, 4G 통신 시스템에서 UE와 MME 사이에서 협상된 컨텍스트는 UE와 MME 사이의 보안 컨텍스트를 포함하고, 구별을 위해 UE의 4G 컨텍스트라고도 지칭될 수 있다. 마찬가지로, 본 출원에서, UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되기 전에, UE 및 제2 AMF에 저장되는 UE의 보안 컨텍스트는 5G 통신 시스템에서 UE와 제2 AMF 사이에서 협상된 컨텍스트이고, UE와 제2 AMF 사이의 보안 컨텍스트를 포함하고, 구별을 위해 UE의 5G 컨텍스트라고도 지칭될 수 있다.
설명의 편의를 위해, 이하에서는, MME와 사용자 장비 사이의 보안 컨텍스트에 기초한 도출을 통해 제1 AMF와 UE에 의해 개별적으로 획득된 보안 컨텍스트는 매핑된 보안 컨텍스트라고 지칭되고, 제2 AMF와 UE 사이의 보안 컨텍스트는 네이티브(native) 보안 컨텍스트라고 지칭된다.
본 출원의 이 실시예는 주로 UE의 보안 컨텍스트를 제2 AMF에 의해 제1 AMF에 전송하는 것에 관한 것임을 추가로 이해해야 한다. UE의 보안 컨텍스트는 UE의 컨텍스트의 일부이고, UE의 컨텍스트와 함께 송신될 수 있다. 따라서, 설명의 용이함을 위해, 본 출원의 이 실시예에서, 제2 AMF에 의해 UE의 보안 컨텍스트를 제1 AMF에 전송하는 것은 UE의 컨텍스트를 전송하거나 또는 UE의 보안 컨텍스트를 전송하는 것으로서 설명될 수 있다. 이것은 단지 설명의 편의를 위해 사용되며, 본 출원의 실시예들의 보호 범위에 대한 어떠한 제한도 구성하지 않는다.
제1 AMF가 수신된 재배치 요청 메시지에서 운반되는 KASME 및 NH와 같은 파라미터들에 기초하여 UE의 매핑된 보안 컨텍스트를 도출한다는 것은 제1 AMF가 KASME 및 NH에 기초하여 키 KAMF1를 도출한다는 것을 포함한다.
예를 들어, KASME 및 NH를 수신한 후에, 제1 AMF는 미리 설정된 유도 공식을 사용하여 키 KAMF1를 계산할 수 있다. 유도 공식은 KAMF1=HMAC-SHA-256(Key, FC||P0||L0)이고, 여기서 FC=0x76, P0=NH 값, L0=NH 값의 길이(즉, 0x00 0x20), 및 KEY=KASME이다. 제1 AMF는 키 KAMF1 및 UE와 협상된 보안 알고리즘에 기초하여 무결성 보호 키 KNASint1 및 기밀성 보호 키 KNASenc1를 계산하고, 여기서 KAMF1, KNASint1, 및 KNASenc1는 UE의 보안 컨텍스트에 포함된다. KAMF1, KNASint1, 및 KNASenc1는 KASME 및 NH에 기초하여 도출되고, KASME 및 NH는 UE와 MME 사이의 보안 컨텍스트이다. 따라서, KAMF1, KNASint1, 및 KNASenc1는 UE의 매핑된 보안 컨텍스트라고 지칭된다.
S230: 제1 AMF는 순방향 재배치 응답 메시지를 MME에 전송한다.
구체적으로, 매핑된 보안 컨텍스트를 결정한 후에, 제1 AMF는 순방향 재배치 응답 메시지를 MME에 전송한다. 순방향 재배치 응답 메시지는, UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 때 제1 AMF가 5G 통신 시스템에서 UE에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF로서 사용될 수 있다는 것을 MME에 통지하기 위해 사용된다.
S240: MME는 핸드오버 명령(handover command) 메시지를 UE에 전송한다.
제1 AMF에 의해 전송된 순방향 재할당 응답 메시지를 수신한 후에, MME는 제1 AMF가 UE에 대한 액세스 및 이동성 관리 서비스를 제공할 수 있다는 것을 알게 된다. 이 경우, MME가 핸드오버 명령 메시지를 UE에 전송함으로써, UE는 UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버될 수 있다는 것을 알게 된다.
S250: UE는 매핑된 보안 컨텍스트를 결정한다.
핸드오버 명령 메시지를 수신한 후에, UE는 미리 설정된 유도 공식을 사용하여, UE에 저장되는 키 KASME 및 NH에 기초하여 키 KAMF1를 계산한다. 구체적인 도출 프로세스에 대해서는, 전술한 S220을 참조하고, 세부사항들은 본 명세서에서 다시 설명되지 않는다.
S250 후에, UE 및 제1 AMF는 동일한 키 KAMF1를 획득하고, 키 KAMF1는 다른 키를 도출하기 위해 후속하여 사용될 수 있다.
예를 들어, UE 및 제1 AMF는 동일한 키 KAMF1를 획득한다. 그 후, UE와 제1 AMF 사이에서 협상되는 KAMF1 및 비-액세스 계층(non-access stratum, NAS) 무결성 보호 알고리즘 및 기밀성 보호 알고리즘에 기초하여, UE 및 제1 AMF는 NAS 메시지(예를 들어, 등록 요청 메시지)를 보호하기 위해 사용되는 무결성 보호 키 KNASint1 및 기밀성 보호 키 KNASenc1를 생성한다. 구체적으로, KNASint1 및 KNASenc1는 다음과 같이 계산된다:
KNASint1 = HMAC - SHA - 256(KEY, S)이고, 여기서, S=FC||P01||L01||P11||L11, FC=0x69, P01 = 알고리즘 타입 구별기(algorithm type distinguisher), L01 = 알고리즘 타입 구별기의 길이(length of algorithm type distinguisher)(즉, 0x00 0x01), P11= 알고리즘 아이덴티티(algorithm identity), L11 = 알고리즘 아이덴티티의 길이(length of algorithm identity)(즉, 0x00 0x01), 및 KEY = KAMF1이다.
KNASenc1 = HMAC - SHA - 256(KEY, S)이고, 여기서 S=FC||P0||L0||P1||L1, FC=0x69, P0 = 알고리즘 타입 구별기, L0 = 알고리즘 타입 구별기의 길이(즉, 0x00 0x01), P1 = 알고리즘 아이덴티티, L1 = 알고리즘 아이덴티티의 길이(즉, 0x00 0x01), 및 KEY = KAMF1이다.
알고리즘 타입 구별기 및 KNASint1를 계산하기 위한 알고리즘 아이덴티티는 KNASenc1를 계산하는 것과 상이하다.
핸드오버가 완료된 후, UE는 이동성 등록을 개시하는데, 즉, S260을 수행한다. UE는 등록 요청(registration request) 메시지를 제1 AMF에 전송하고, UE는 전술한 생성된 KAMF1에 기초한 도출을 통해 생성된 매핑된 보안 컨텍스트를 사용하여 등록 요청 메시지에 대해 보안 보호를 수행한다. 보안 보호는 암호화 보호 및/또는 무결성 보호를 포함한다.
UE에 의해 코어 네트워크 디바이스에 전송된 메시지는 액세스 네트워크 디바이스에 의해 포워딩될 수 있다는 것을 이해해야 한다. 액세스 디바이스의 기능이 본 출원의 이 실시예에서 제한되지 않기 때문에, 액세스 네트워크 디바이스는 UE와 제1 AMF 사이에서 메시지를 포워딩할 수 있다. 간결성을 위해, 본 출원에서, UE와 제1 AMF 사이에서 메시지를 포워딩하는 것은 UE가 등록 요청 메시지를 제1 AMF에 전송하고 MME가 메시지를 UE에 전송하는 것으로서 설명된다. UE에 의해 전송된 등록 요청 메시지는 매핑된 컨텍스트에서 글로벌 고유 임시 사용자 장비 아이덴티티(globally unique temporary user equipment identity, GUTI)를 추가로 포함하고, GUTI는 등록 요청 메시지를 제1 AMF에 포워딩하기로 결정하기 위해 액세스 네트워크 디바이스에 의해 사용된다. GUTI가 매핑된 컨텍스트에 포함되기 때문에, GUTI는 매핑된 GUTI라고 지칭될 수 있다.
선택적으로, UE가 등록 요청 메시지를 제1 AMF에 전송할 때, UE는 UE와 다른 AMF(제2 AMF) 사이에 있는 UE의 보안 컨텍스트 및 사용자 장비의 5G 글로벌 고유 임시 사용자 장비 아이덴티티(5th generation globally unique temporary user equipment identity, 5G-GUTI)를 저장한다. 따라서, UE는 등록 요청 메시지에 5G-GUTI를 추가한다.
본 출원의 이 실시예는 제1 AMF가 제2 AMF로부터 UE의 보안 컨텍스트를 성공적으로 획득하는 프로세스에 주로 관련된다는 것을 이해해야 한다. 따라서, 본 출원에서, 다음의 경우가 주로 고려된다: UE가 등록 요청 메시지를 제1 AMF에 송신할 때, UE는 UE와 제2 AMF 사이에서 협상되는 UE의 보안 컨텍스트뿐만 아니라 5G-GUTI를 저장한다.
UE의 보안 컨텍스트 및 5G-GUTI가 UE 및 제2 AMF에 의해 저장되는 이유는 본 출원의 이 실시예에서 제한되지 않고, 기존의 프로토콜에서 특정될 수 있다는 것을 추가로 이해해야 한다. 예를 들어, UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되기 전에, UE는 5G 네트워크 통신 시스템으로부터 4G 통신 시스템으로 핸드오버된다. 대안적으로, 이중 접속을 지원하는 UE는 비-3GPP 접속을 통해 5G 통신 시스템에 액세스하고, 동시에 3GPP 접속을 통해 4G 통신 시스템에 액세스한다. 이러한 방식으로, 접속 모드의 UE는 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된다.
제2 AMF와 UE 사이에 있는 UE의 보안 컨텍스트가 제2 AMF 상에 존재할 때, 제1 AMF는 제2 AMF로부터 UE의 보안 컨텍스트를 획득할 필요가 있다는 것을 이해해야 한다. 구체적으로, 제1 AMF가 제2 AMF로부터 UE의 보안 컨텍스트를 획득하는 것은 UE로부터 수신된 등록 요청 메시지에 운반되는 5G-GUTI에 기초하여 결정된다. 5G-GUTI는 UE에 대한 제2 AMF에 의해 구성되고, UE 및 제2 AMF를 식별하기 위해 사용될 수 있다. 프로토콜에 명시된 바와 같이, UE의 보안 컨텍스트가 5G 통신 시스템에 존재할 때, 제1 AMF와 UE 사이의 협상을 통해 결정된 매핑된 보안 컨텍스트 대신에 UE의 보안 컨텍스트가 우선적으로 사용되는데, 그 이유는 매핑된 보안 컨텍스트가 4G 통신 시스템에서 UE와 MME 사이에 있는 UE의 보안 컨텍스트에 기초한 매핑을 통해 획득되기 때문이다. 즉, 도 2에 도시된 절차는 제1 AMF가 사용자 장비 컨텍스트 전송 서비스 호출 요청(Namf_Communication_UEContextTransfer)을 개시하는 S270을 추가로 포함한다.
구체적으로, 제1 AMF는 UE에 의해 전송된 등록 요청 메시지를 수신하고, 등록 요청 메시지에서 운반된 5G-GUTI에 기초하여 제2 AMF로의 사용자 장비 컨텍스트 전송 서비스 호출 요청을 개시한다. 사용자 장비 컨텍스트 전송 서비스 호출 요청은 등록 요청 메시지를 운반한다.
등록 요청 메시지는 UE와 제1 AMF 사이의 매핑된 보안 컨텍스트에 기초하여 보안 보호되고, 제2 AMF는 등록 요청 메시지를 검증한 결과에 기초하여, UE의 보안 컨텍스트를 제1 AMF에 반환할지를 결정한다는 것을 이해해야 한다. 즉, S290이 수행된다. 제2 AMF는 등록 요청 메시지를 검증한다.
가능한 구현에서, 제2 AMF는 등록 요청 메시지를 검증하는데 실패한다. 이 경우, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 반환하지 않는다. 결과적으로, 제1 AMF는 제2 AMF로부터 UE의 보안 컨텍스트를 획득하는데 실패하고, 제1 AMF는 UE의 보안 컨텍스트를 우선적으로 사용할 수 없다. 이것은 프로토콜에 따르지 않는다.
다른 가능한 구현에서, 제2 AMF는 등록 요청 메시지의 무결성을 성공적으로 검증한다. 이 경우, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 반환하고, 제2 AMF가 UE의 보안 컨텍스트를 제1 AMF에 전송하는 S291을 수행한다. 선택적으로, 제2 AMF가 UE의 보안 컨텍스트를 제1 AMF에 전송하는 것은 제2 AMF가 UE의 컨텍스트를 제1 AMF에 전송하는 것으로서 설명될 수 있다. UE의 컨텍스트는 제2 AMF와 UE 사이의 협상을 통해 결정되는 UE의 보안 컨텍스트를 포함하고, UE의 보안 컨텍스트는 키 KAMF2, 비-액세스 계층 카운트(non-access stratum count, NAS COUNT) 등을 포함한다.
선택적으로, UE의 보안 컨텍스트를 송신하기 전에, 제2 AMF는 로컬 정책에 따라 키 KAMF2에 대한 키 도출을 수행할 수 있다. 제2 AMF가 KAMF2에 대해 키 도출을 수행한 경우, 제2 AMF는 제2 AMF가 KAMF2에 대해 키 도출을 수행했다는 것을 나타내기 위해 사용되는 도출 및 도출 표시 정보 이후에 획득된 키 KAMF2'를 제1 AMF에 전송한다.
가능한 구현에서, 본 출원에서의 키 도출은 수평 키 도출일 수 있다.
예를 들어, KAMF2에 대해 수평 키 도출을 수행하여 KAMF2'를 생성하는 방식은 다음과 같다:
KAMF2'=HMAC-SHA-256 (Key, S);
FC = 0x72;
P0 = 0x01;
L0 = P0의 길이(즉, 0x00 0x01);
P1 = 업링크 NAS COUNT;
L1 = P1의 길이(즉, 0x00 0x04);
KEY = KAMF2;
S=FC||P0||L0||P1||L1이다.
다른 가능한 구현에서, 본 출원에서의 키 도출은 상이한 네트워크 요소들 간에 합의된 키 도출 방식일 수 있다. 예를 들어, 제1 AMF와 제2 AMF는 미리 설정된 키 도출 방식에 합의한다. 제2 AMF에 의해 제1 AMF에 전송되는 UE의 보안 컨텍스트가 도출 표시 정보를 포함한다면, 제1 AMF는 UE의 수신된 보안 컨텍스트 내의 키가 미리 설정된 키 도출 방식으로 키 도출을 수행함으로써 제2 AMF에 의해 획득된다고 결정할 수 있다.
유사하게, 도출 표시 정보를 수신한 후에, 제1 AMF는 또한 도출 표시 정보를 UE에 전송하여, 키 KAMF2에 대해 키 도출을 수행하여 UE에게 키 KAMF2'를 획득하라고 표시하여, UE와 네트워크 측이 키에 대해 합의하게 한다. UE가 키 KAMF2를 나타내는 키 식별자를 수신하고, 따라서 KAMF 대신에 키 KAMF2에 대해 키 도출을 수행하기로 결정할 수 있다는 것을 이해해야 한다. 키 식별자는 본 출원에서 개선되지 않는다. 따라서, 키 식별자는 여기서 상세히 설명되지 않는다.
도 2의 4G 통신 시스템으로부터 5G 통신 시스템으로 사용자 장비를 핸드오버하는 프로세스로부터, 제2 AMF가 UE를 검증하는데 실패할 때, 제1 AMF는 제2 AMF로부터 UE의 보안 컨텍스트를 획득할 수 없다는 것을 알 수 있다. UE의 보안 컨텍스트를 획득하는데 실패하는 것을 회피하기 위해, 본 출원의 실시예는 보안 컨텍스트 획득 방법을 제공한다. 제1 AMF가 제2 AMF로부터 UE의 보안 컨텍스트를 획득할 때, 보안 컨텍스트는 표시 정보를 운반한다. 표시 정보는 UE가 성공적으로 검증된다는 것을 표시한다. 표시 정보에 기초하여, 제2 AMF는 UE를 검증할 필요가 없지만, UE의 보안 컨텍스트를 직접 반환한다. 이것은 UE의 보안 컨텍스트를 획득하는데 실패할 가능성을 회피할 수 있다.
본 출원에서 UE를 검증하는 것은 UE에 의해 전송된 등록 요청 메시지의 무결성을 검증하는 것, 예를 들어, 등록 요청 메시지를 복호하는 것 및/또는 등록 요청 메시지의 무결성을 검증하는 것을 의미한다는 것을 이해해야 한다. 등록 요청 메시지의 무결성이 성공적으로 검증된다는 전제는 등록 요청 메시지가 성공적으로 복호된다는 것이기 때문에, 본 출원의 이 실시예에서, UE가 성공적으로 검증된다는 것은 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것으로서 설명된다.
도 3을 참조하여, 이하에서는 본 출원의 실시예에서 제공되는 보안 컨텍스트 획득 방법을 상세히 설명한다. 도 3은 본 출원의 실시예에 따른 보안 컨텍스트 획득 방법의 개략도이다. 개략도는 UE, MME, 제1 AMF, 및 제2 AMF를 포함한다.
보안 컨텍스트 획득 방법은 다음의 단계들을 포함한다.
S310: 제1 AMF는 제2 요청 메시지를 제2 AMF에 전송한다.
제2 요청 메시지는 UE의 보안 컨텍스트를 획득하기 위해 요청하는데 사용된다. 제2 요청 메시지는 표시 정보를 운반하고, 표시 정보는 UE가 검증된다는 것을 표시하는데 사용된다.
선택적으로, 표시 정보는 이유값(value)이라고 지칭될 수 있다.
구체적으로, 제1 AMF가 UE가 검증된 것으로 결정하는 것은 주로 UE로부터 수신된 등록 요청 메시지가 미리 설정된 조건을 충족시키는지를 결정하는 것이다. 제1 AMF가 제2 요청 메시지를 제2 AMF에 전송하기 전에, 도 3에 도시된 방법 절차는 S311 내지 S316을 추가로 포함한다는 것을 이해해야 한다.
S311: MME는 순방향 재배치 요청 메시지를 제1 AMF에 전송한다. 이 단계는 도 2의 S210과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S312: 제1 AMF는 매핑된 보안 컨텍스트를 결정한다. 이 단계는 도 2의 S220과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S313: 제1 AMF가 순방향 재배치 응답 메시지를 MME에 전송한다. 이 단계는 도 2의 S230과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S314: MME는 핸드오버 명령 메시지를 UE에 전송한다. 이 단계는 도 2의 S240과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S315: UE는 매핑된 보안 컨텍스트를 결정한다. 이 단계는 도 2의 S250과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S316: UE는 등록 요청 메시지를 제1 AMF에 전송한다. 이 단계는 도 2의 S260과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
게다가, 제1 AMF가 등록 요청 메시지가 미리 설정된 조건을 충족시킨다고 결정하는 것은:
제1 AMF가 등록 요청 메시지에 대한 무결성 보호를 성공적으로 검증하는 것; 또는
UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 등록 요청 메시지가 UE에 의해 전송된 등록 요청 메시지인 것으로 제1 AMF가 결정하는 것을 포함한다. 예를 들어, UE에 의해 전송된 등록 요청 메시지를 수신하기 전에, 제1 AMF는 MME에 의해 전송된 순방향 재배치 요청 메시지를 수신한다. 따라서, 제1 AMF는 현재 수신된 등록 요청 메시지가 핸드오버 절차에서 UE로부터 수신된 등록 요청 메시지라는 것을 알 수 있다.
구체적으로, 제1 AMF가 등록 요청 메시지에 대한 무결성 보호를 성공적으로 검증하는 것은 또한 제1 AMF가 UE를 성공적으로 검증하는 것으로 지칭될 수 있다. 즉, 도 3에 도시된 방법 절차는 제1 AMF가 UE를 검증하는 S317을 추가로 포함한다.
가능한 구현에서, 제2 요청 메시지는 도 2에 도시된 제1 AMF에 의해 개시되는 사용자 장비 컨텍스트 전송 서비스 호출 요청(Namf_Communication_UEContextTransfer)이다. 도 2에 도시된 사용자 장비 컨텍스트 전송 서비스 호출 요청과 달리, 본 출원의 이 실시예에서의 사용자 장비 컨텍스트 전송 서비스 호출 요청은 새롭게 추가된 정보 요소(information element, IE), 즉 표시 정보를 포함한다.
다른 가능한 구현에서, 제2 요청 메시지는 제1 AMF에 의해 제2 AMF에 전송되고 UE의 보안 컨텍스트를 획득하기 위해 사용되는 다른 가능한 제2 요청 메시지이다.
제2 요청 메시지의 특정 형태는 본 출원에서 제한되지 않는다는 것을 이해해야 한다. 표시 정보는 제1 AMF와 제2 AMF 사이의 기존 시그널링에 추가될 수 있거나, 또는 제1 AMF와 제2 AMF 사이에 새롭게 추가된 시그널링에 추가될 수 있다.
다른 가능한 구현에서, 본 출원의 이 실시예에서, 사용자 장비 컨텍스트 전송 서비스 호출 요청을 제2 AMF에 전송하기 전에 제1 AMF가 표시 정보를 제2 AMF에 전송할 필요가 있는 것만이 제한된다. 즉, 제1 AMF는 제2 요청 메시지에 표시 정보를 추가하지 않고, 제2 AMF에 표시 정보를 직접 전송할 수 있다. 이러한 가능한 구현은 도 3에 도시되어 있지 않다.
UE가 검증된다는 것을 표시 정보가 구체적으로 표시하는 방법은 본 출원에서 제한되지 않는다는 것을 추가로 이해해야 한다. 가능한 구현에서, 표시 정보는 UE의 5G-GUTI일 수 있다. 이 경우, 5G-GUTI는 UE를 식별하고 UE가 검증된다는 것을 표시하는데 사용될 수 있다. 이 구현에서, 새로운 표시 기능이 기존의 IE에 추가되고, 제2 AMF는 5G-GUTI가 새로운 기능을 갖는다는 것을 미리 정의된 방식으로 통지받을 수 있다. 다른 가능한 구현에서, 표시 정보는 적어도 하나의 새로 추가된 비트일 수 있고, 비트의 값은 1로 설정되어, UE가 검증된다는 것을 표시한다. 전술한 가능한 구현들은 단지 설명을 위한 예들이며, 본 출원의 보호 범위에 대한 어떠한 제한도 구성하지 않는다.
가능한 구현에서, 표시 정보는 UE가 검증된다는 것을 명시적으로 표시한다. 대안적으로, 다른 가능한 구현에서, 표시 정보는 UE가 검증된다는 것을 암시적으로 표시한다. 예를 들어, 표시 정보는 UE로부터 제1 AMF에 의해 수신된 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 표시한다.
또한, 제1 AMF가 UE의 보안 컨텍스트를 획득할 필요가 있다고 제2 AMF가 결정할 수 있게 하기 위해, 제2 요청 메시지는 UE의 아이덴티티를 추가로 운반할 필요가 있다.
가능한 구현에서, UE의 아이덴티티는 전술한 5G-GUTI일 수 있다.
다른 가능한 구현에서, UE의 아이덴티티는 가입자 영구 아이덴티티(subscriber permanent identity, SUPI)일 수 있다.
제1 AMF가, UE로부터 UE의 5G-GUTI를 수신한 후에, UE의 보안 컨텍스트가 제2 AMF로부터 획득될 필요가 있다고 결정하면, 제1 AMF는 UE의 5G-GUTI, UE의 SUPI, 또는 UE의 5G-GUTI 및 SUPI 둘 다를 제2 요청 메시지에 계속 추가하도록 선택할 수 있다는 것을 이해해야 한다.
선택적으로, 제2 AMF가 UE의 업링크 비-액세스 계층 카운트(uplink non-access stratum count, UL NAS COUNT)를 획득할 수 있게 하기 위해, 가능한 구현에서, 제2 요청 메시지는 평문 등록 요청 메시지를 운반하거나- 평문 등록 요청 메시지는 UL NAS COUNT를 포함함 -; 또는 가능한 구현에서, 제2 요청 메시지는 UL NAS COUNT를 운반한다.
또한, 제1 AMF에 의해 전송된 제2 요청 메시지를 수신한 후에, 제2 AMF는 표시 정보에 기초하여, UE가 검증된다는 것을 알게 된다. 이 경우, 제2 AMF는 UE를 검증할 필요가 없는데, 즉, UE가 검증될 필요가 없다고 제2 AMF가 결정하는 S320을 수행한다.
S330: 제2 AMF는 제2 응답 메시지를 제1 AMF에 전송한다.
제2 응답 메시지는 UE의 보안 컨텍스트를 운반한다.
본 출원의 이 실시예에서, 제2 AMF는 UE를 검증할 필요가 없다. 제1 AMF에 의해 전송된 제2 요청 메시지를 수신한 후에, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 직접 반환한다. 이것은 제2 AMF가 UE를 검증하는데 실패하기 때문에 제1 AMF가 UE의 보안 컨텍스트를 획득하는데 실패하는 경우를 회피한다.
선택적으로, 제2 요청 메시지가 평문 등록 요청 메시지를 운반하거나, 또는 제2 요청 메시지가 UL NAS COUNT를 운반할 때, 제2 AMF는 UL NAS COUNT를 획득할 수 있다. 예를 들어, 평문 등록 요청 메시지는 보안 보호가 수행되지 않는 등록 요청 메시지이기 때문에, 제2 AMF는 평문 등록 요청 메시지를 검증할 필요가 없고, 평문 등록 요청 메시지로부터 UL NAS COUNT를 직접 획득할 수 있다.
또한, 제2 AMF는 UL NAS COUNT에 기초하여 UE의 보안 컨텍스트에서의 제1 키에 대해 키 도출을 수행할 수 있다. 이 경우, 제2 AMF에 의해 제1 AMF에 반환되는 UE의 보안 컨텍스트에서의 키는 제1 키에 대해 키 도출을 수행함으로써 획득되는 제2 키이다.
구체적으로, 제2 AMF에 의해 제1 AMF에 전송되는 UE의 보안 컨텍스트에서의 키가 제2 키일 때, 제2 AMF는 또한 제2 키가 키 도출을 통해 획득된 키라는 것을 표시하기 위해, 키 도출 표시 정보를 제1 AMF에 전송할 필요가 있다.
제1 AMF가 UE의 보안 컨텍스트를 획득한 후의 절차는 제1 AMF가 4G 통신 시스템으로부터 5G 통신 시스템으로 UE를 핸드오버하는 기존의 절차에서 UE의 보안 컨텍스트를 획득한 후의 절차와 유사하다는 것을 이해해야 한다. 세부사항들에 대해서는, 기존의 절차를 참조한다. 세부사항들은 여기에서 다시 설명하지 않는다.
도 3에 도시한 보안 컨텍스트 획득 방법에서, 제1 AMF에 의해 제2 AMF에 전송되는 제2 요청 메시지는 표시 정보를 운반하고, 표시 정보는 UE가 검증된다는 것을 표시하기 위해 사용된다. 따라서, 제2 AMF는 표시 정보에 기초하여, UE가 검증되고, UE를 검증할 필요가 없다고 결정할 수 있다. 표시 정보를 운반하는 제2 요청 메시지를 수신한 후에, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 직접 반환한다. 이것은 제2 AMF가 UE를 검증하는데 실패하기 때문에 제1 AMF가 UE의 보안 컨텍스트를 획득하는데 실패하는 경우를 회피한다. 본 출원은 제2 AMF가 UE를 검증하는 다른 보안 컨텍스트 획득 방법을 추가로 제공한다. 그러나, 이 방법은 제2 AMF가 UE를 성공적으로 검증할 가능성을 개선할 수 있고, 그에 의해 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선한다.
이하에서는 도 4를 참조하여 보안 컨텍스트 획득 방법을 상세히 설명한다. 도 4는 본 출원의 실시예에 따른 다른 보안 컨텍스트 획득 방법의 개략도이다. 개략도는 UE, MME, 제1 AMF, 및 제2 AMF를 포함한다.
보안 컨텍스트 획득 방법은 다음의 단계들을 포함한다.
S410: UE는 제1 등록 요청 메시지를 결정한다.
제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반한다. 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 UE와 제2 AMF 사이의 네이티브(native) 보안 컨텍스트이다.
구체적으로, UE가 제1 등록 요청 메시지를 결정하는 것은 주로 제2 등록 요청 메시지를 결정하는 것이다. 제2 등록 요청 메시지는 UE가 네이티브 보안 컨텍스트를 사용하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행한 후에 획득되는 메시지이다. 제4 등록 요청 메시지는 UE와 제2 AMF 사이에 있는 UE의 컨텍스트에 있는 GUTI, 키 식별자(ngKSI) 정보, 및 UL NAS COUNT를 포함한다. 구별의 용이함을 위해, GUTI는 네이티브 GUTI라고 지칭될 수 있고, 키 식별자는 네이티브 키 식별자라고 지칭될 수 있다.
선택적으로, 제4 등록 요청 메시지는 다음의 몇몇 가능한 케이스들을 가질 수 있다:
케이스 1:
제4 등록 요청 메시지는 네이티브 GUTI, 네이티브 키 식별자, 및 UL NAS COUNT에 기초하여 UE에 의해 생성된 메시지이다. 케이스 1에서, 제4 등록 요청 메시지는 또한 제4 메시지로서 지칭될 수 있거나 또는 다른 가능한 명칭을 가질 수 있다. 메시지의 명칭은 본 출원의 이 실시예에서 제한되지 않는다.
UE와 제2 AMF 사이에 있는 UE의 컨텍스트에 기초하여 UE에 의해 생성되는 제4 등록 요청 메시지는 대안적으로 다른 형태일 수 있다는 것을 이해해야 한다. 예를 들어, 네이티브 GUTI, 네이티브 키 식별자, 및 UL NAS COUNT 이외에, UE에 의해 생성되는 제4 등록 요청 메시지는 다른 정보 요소(information element, IE)를 추가로 포함한다.
케이스 1에서, UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하는 것은: UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하고, 제1 MAC를 생성하는 것을 포함한다. 따라서, 제1 등록 요청 메시지에서 제2 등록 요청 메시지를 운반하는 것은 또한, 제1 등록 요청 메시지에서 제1 MAC 및 제4 등록 요청 메시지를 운반하는 것으로 이해될 수 있다.
또한, 케이스 1에서, UE가 제1 등록 요청 메시지를 결정하는 것은 다음과 같은 단계들을 포함한다:
단계 1:
UE는 제4 등록 요청 메시지를 구성한다.
단계 2:
UE는 UE와 제2 AMF 사이의 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대한 무결성 보호를 수행하고, 제1 MAC를 생성한다.
단계 3:
UE는 UE와 제1 AMF 사이의 매핑된 보안 컨텍스트에 기초하여 제3 등록 요청 메시지 및 제2 등록 요청 메시지(RR2)에 대해 무결성 보호를 수행하고, 제5 MAC를 생성한다. 제3 등록 요청 메시지는 도 2에 도시된 방법 절차 S260에서 UE에 의해 제1 AMF에 전송되는 등록 요청 메시지이다. 구체적으로, 제3 등록 요청 메시지는 UE와 제1 AMF 사이의 매핑된 컨텍스트에 있는 GUTI 및 키 식별자 정보를 포함한다. 구별의 용이함을 위해, GUTI는 매핑된 GUTI라고 지칭될 수 있고, 키 식별자는 매핑된 키 식별자라고 지칭될 수 있다.
이 경우, 제1 등록 요청 메시지는 제4 등록 요청 메시지(RR4), 제3 등록 요청 메시지(RR3), 제5 MAC(MAC5), 및 제1 MAC(MAC1)를 포함한다. MAC1은 네이티브 보안 컨텍스트를 사용하여 RR4에 대한 무결성 보호를 수행함으로써 획득되는 MAC 값이다. MAC5는 매핑된 보안 컨텍스트를 사용하여 RR3 및 RR2에 대해 무결성 보호를 수행함으로써 획득되는 MAC 값이다(또는 MAC5는 매핑된 보안 컨텍스트를 사용하여 RR3, RR4 및 MAC1에 대해 무결성 보호를 수행함으로써 획득되는 MAC 값이다). 제1 등록 요청 메시지는 무결성 보호가 네이티브 보안 컨텍스트 및 매핑된 보안 컨텍스트에 기초하여 순차적으로 수행되는 메시지라는 것이 또한 이해될 수 있다.
케이스 2:
제4 등록 요청 메시지는 UE가 매핑된 보안 컨텍스트에 기초하여 제3 등록 요청 메시지에 대해 무결성 보호를 수행한 후에 획득되는 등록 요청 메시지이다.
케이스 2에서, UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하는 것은: UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하고, 제1 MAC를 생성하는 것을 포함한다. 따라서, 제1 등록 요청 메시지에서 제2 등록 요청 메시지를 운반하는 것은 또한, 제1 등록 요청 메시지에서 제1 MAC 및 제4 등록 요청 메시지를 운반하는 것으로 이해될 수 있다.
또한, 케이스 2에서, UE가 제1 등록 요청 메시지를 결정하는 것은 다음과 같은 단계들을 포함한다:
단계 1:
UE는 UE와 제1 AMF 사이의 매핑된 보안 컨텍스트에 기초하여 제3 등록 요청 메시지에 대한 무결성 보호를 수행하고, 제3 MAC를 생성한다.
단계 2:
UE는, UE와 제2 AMF 사이의 네이티브 보안 컨텍스트에 기초하여, 단계 1에서 매핑된 보안 컨텍스트에 기초하여 무결성 보호가 수행되는 제3 등록 요청 메시지에 대해 무결성 보호를 수행하고, 제1 MAC를 생성한다.
이 경우, 제1 등록 요청 메시지는 제3 등록 요청 메시지(RR3), 제3 MAC(MAC3), 및 제1 MAC(MAC1)를 포함한다. MAC3은 매핑된 보안 컨텍스트를 사용하여 RR3에 대한 무결성 보호를 수행함으로써 획득되는 MAC 값이다. MAC1은 네이티브 보안 컨텍스트를 사용하여 RR3 및 MAC3에 대한 무결성 보호를 수행함으로써 획득되는 MAC 값이다. 제1 등록 요청 메시지는 무결성 보호가 매핑된 보안 컨텍스트 및 네이티브 보안 컨텍스트에 기초하여 순차적으로 수행되는 메시지라는 것이 또한 이해될 수 있다.
케이스 3:
제4 등록 요청 메시지는 제3 등록 요청 메시지이다. 제3 등록 요청 메시지는 도 2에 도시된 방법 절차 S260에서 UE에 의해 제1 AMF에 전송되는 등록 요청 메시지이다.
케이스 3에서, UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하는 것은: UE가 제1 보안 컨텍스트에 기초하여 제4 등록 요청 메시지에 대해 무결성 보호를 수행하고, 제1 MAC를 생성하는 것을 포함한다. 따라서, 제1 등록 요청 메시지에서 제2 등록 요청 메시지를 운반하는 것은 또한, 제1 등록 요청 메시지에서 제1 MAC 및 제4 등록 요청 메시지를 운반하는 것으로 이해될 수 있다.
또한, 케이스 3에서, UE가 제1 등록 요청 메시지를 결정하는 것은 다음과 같은 단계들을 포함한다:
단계 1:
UE는 UE와 제2 AMF 사이의 네이티브 보안 컨텍스트에 기초하여 제3 등록 요청 메시지에 대한 무결성 보호를 수행하고, 제1 MAC를 생성한다.
단계 2:
UE는, UE와 제1 AMF 사이의 매핑된 보안 컨텍스트에 기초하여, 단계 1에서 네이티브 보안 컨텍스트에 기초하여 무결성 보호가 수행되는 제3 등록 요청 메시지에 대해 무결성 보호를 수행하고, 제4 MAC를 생성한다.
이 경우, 제1 등록 요청 메시지는 제3 등록 요청 메시지(RR3), 제1 MAC(MAC1), 및 제4 MAC(MAC4)를 포함한다. MAC1은 네이티브 보안 컨텍스트를 사용하여 RR3에 대한 무결성 보호를 수행함으로써 획득되는 MAC 값이다. MAC4는 매핑된 보안 컨텍스트를 사용하여 RR3 및 MAC1에 대한 무결성 보호를 수행함으로써 획득되는 MAC 값이다. 제1 등록 요청 메시지는 무결성 보호가 네이티브 보안 컨텍스트 및 매핑된 보안 컨텍스트에 기초하여 순차적으로 수행되는 메시지라는 것이 또한 이해될 수 있다.
케이스 1에서, 제1 AMF는, UE에 의해 전송된 제1 등록 요청 메시지에서 운반되는 매핑된 GUITI 및 네이티브 GUTI 둘 다에 기초하여, 네이티브 보안 컨텍스트를 사용하여 무결성 보호되는 제2 등록 요청 메시지를 제2 AMF에 전송하기로 결정할 수 있다는 것을 이해해야 한다.
전술한 케이스 1 내지 케이스 3은 제2 등록 요청 메시지의 가능한 케이스들 및 UE가 제1 등록 요청 메시지를 결정하는 방법을 설명하기 위한 예들일 뿐이라는 것을 추가로 이해해야 한다. 제2 등록 요청의 다른 설명되지 않은 가능한 형태도 본 출원의 보호 범위 내에 속한다. 예를 들어, 제4 등록 요청 메시지는 네이티브 컨텍스트에 기초하여 UE에 의해 구성되는 다른 가능한 메시지이다.
S420: UE는 제1 등록 요청 메시지를 제1 AMF에 전송한다.
구체적으로, UE는 S410에서 결정된 제1 등록 요청 메시지를 제1 AMF에 전송한다.
UE에 의해 제1 AMF에 전송된 제1 등록 요청 메시지는 액세스 네트워크 디바이스에 의해 포워딩될 수 있다는 것을 이해해야 한다. 액세스 네트워크 디바이스의 기능은 본 출원에서 제한되지 않는다. 따라서, UE에 의해 제1 AMF에 전송되는 제1 등록 요청 메시지가 액세스 네트워크 디바이스에 의해 포워딩될 수 있다는 것은, UE가 제1 등록 요청 메시지를 제1 AMF에 전송하는 것이라고 바로 설명된다.
UE가 제1 등록 요청 메시지를 제1 AMF에 전송하기 전에, UE는 매핑된 보안 컨텍스트를 결정할 필요가 있다는 것을 추가로 이해해야 한다. 따라서, UE가 제1 등록 요청 메시지를 제1 AMF에 송신하기 전에, 도 4에 도시된 방법 절차는 S411 내지 S414를 추가로 포함한다.
S411: MME는 순방향 재배치 요청 메시지를 제1 AMF에 전송한다. 이 단계는 도 2의 S210과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S412: 제1 AMF는 매핑된 보안 컨텍스트를 결정한다. 이 단계는 도 2의 S220과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S413: 제1 AMF는 순방향 재배치 응답 메시지를 MME에 전송한다. 이 단계는 도 2의 S230과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
S414: MME는 핸드오버 명령 메시지를 UE에 전송한다. 이 단계는 도 2의 S240과 유사하고, 세부사항들은 여기서 다시 설명되지 않는다.
구체적으로는, 핸드오버 명령 메시지를 수신한 후에, UE는 매핑된 보안 컨텍스트를 도출한다. 또한, UE는 네이티브 보안 컨텍스트 및 매핑된 보안 컨텍스트를 사용하여 제1 등록 요청 메시지에 대해 보안 보호를 수행한다.
S430: 제1 AMF는 UE를 검증한다.
구체적으로, 제1 AMF가 UE가 검증된다고 결정하는 것은 주로 UE로부터 수신된 제1 등록 요청 메시지가 미리 설정된 조건을 충족하는지를 결정하는 것이다. 제1 AMF가 제1 등록 요청 메시지가 미리 설정된 조건을 충족한다고 결정하는 것은:
제1 AMF가 매핑된 보안 컨텍스트에 기초하여 제1 등록 요청 메시지에 대한 무결성 보호를 성공적으로 검증하는 것; 또는
UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 제1 등록 요청 메시지가 UE에 의해 전송된 등록 요청 메시지인 것으로 제1 AMF가 결정하는 것을 포함한다. 예를 들어, UE에 의해 전송되는 제1 등록 요청 메시지를 수신하기 전에, 제1 AMF는 MME에 의해 전송되는 순방향 재배치 요청 메시지를 수신한다. 따라서, 제1 AMF는 현재 수신된 제1 등록 요청 메시지가 핸드오버 절차에서 UE로부터 수신된 등록 요청 메시지라는 것을 알 수 있다.
UE가 검증된 것을 검증한 후에, 제1 AMF는 제2 등록 요청 메시지를 제2 AMF에 전송하고, 여기서 제2 등록 요청 메시지는 UE를 검증하기 위해 제2 AMF에 의해 사용된다. 즉, 도 4에 도시된 방법 절차는 제1 AMF가 제2 요청 메시지를 제2 AMF에 전송하는 S440을 추가로 포함한다.
선택적으로, 제2 등록 요청 메시지는 제1 요청 메시지에서 운반되고, 제1 AMF에 의해 제2 AMF에 전송된다.
가능한 구현에서, 제1 요청 메시지는 도 2에 도시된 제1 AMF에 의해 개시되는 사용자 장비 컨텍스트 전송 서비스 호출 요청(Namf_Communication_UEContextTransfer)이다. 도 2에 도시된 사용자 장비 컨텍스트 전송 서비스 호출 요청과 달리, 본 출원의 이 실시예에서의 사용자 장비 컨텍스트 전송 서비스 호출 요청은 새롭게 추가된 정보 요소, 즉 제1 MAC를 포함한다.
다른 가능한 구현에서, 제1 요청 메시지는 제1 AMF에 의해 제2 AMF에 전송되고 UE의 보안 컨텍스트를 획득하기 위해 사용되는 다른 가능한 제1 요청 메시지이다.
제1 요청 메시지의 특정 형태는 본 출원에서 제한되지 않는다는 것을 이해해야 한다. 제1 MAC는 제1 AMF와 제2 AMF 사이의 기존 시그널링에 추가될 수 있거나, 또는 제1 AMF와 제2 AMF 사이에 새롭게 추가된 시그널링에 추가될 수 있다.
또한, 제1 AMF가 UE의 보안 컨텍스트를 획득할 필요가 있다고 제2 AMF가 결정할 수 있게 하기 위해, 제1 요청 메시지는 UE의 아이덴티티를 추가로 운반한다. 구체적으로, UE의 아이덴티티는 제1 AMF에 의해 제2 AMF에 전송되는 제2 등록 요청 메시지에 포함된다.
가능한 구현에서, UE의 아이덴티티는 매핑된 GUTI일 수 있다.
가능한 구현에서, UE의 아이덴티티는 네이티브 GUTI일 수 있다.
다른 가능한 구현에서, UE의 아이덴티티는 SUPI일 수 있다.
제1 AMF가, UE로부터 UE의 매핑된 GUTI를 수신한 후에, UE의 보안 컨텍스트가 제2 AMF로부터 획득될 필요가 있다고 결정하면, 제1 AMF는 UE의 매핑된 GUTI, UE의 SUPI, 또는 UE의 매핑된 GUTI와 SUPI 둘 다를 제1 요청 메시지에 계속 추가하도록 선택할 수 있다는 것을 이해해야 한다.
제1 AMF에 의해 수신된 제1 등록 요청 메시지가 S410의 케이스 1에 도시된 제1 등록 요청 메시지일 때, 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반하고, 제2 등록 요청 메시지는 네이티브 GUTI를 포함한다는 것을 추가로 이해해야 한다. 이 경우, 제1 AMF는 UE의 네이티브 GUTI를 제1 요청 메시지에 추가하도록 선택할 수 있다.
또한, 제2 등록 요청 메시지는 UE의 UL NAS COUNT를 추가로 포함하여, 제2 AMF가 UE의 UL NAS COUNT를 획득할 수 있게 된다.
또한, 제1 AMF에 의해 전송되는 제1 요청 메시지를 수신한 후에, 제2 AMF는 제2 등록 요청 메시지의 무결성 검증 결과에 기초하여, UE가 검증되는지를 결정한다. 구체적으로, 제2 AMF는 S450을 수행하는데, 즉, 제2 등록 요청 메시지의 무결성을 검증한다.
제2 AMF는 제2 AMF와 사용자 장비 사이의 보안 컨텍스트에 기초하여 제2 등록 요청 메시지의 무결성을 검증한다. 예를 들어, 제2 AMF는 본래 저장된 보안 컨텍스트에 기초하여 제2 MAC를 생성하고, 제1 MAC를 제2 MAC와 비교한다. 제1 MAC가 제2 MAC와 동일할 때, 제2 AMF는 UE를 성공적으로 검증하고, UE가 검증된 것으로 결정한다. 이 경우, 제2 AMF는 UE의 보안 컨텍스트를 제1 AMF에 전송한다.
제1 MAC는 UE와 제2 AMF 사이에서 협상되는 UE의 보안 컨텍스트에 기초하여 UE에 의해 생성된 MAC이고, 제2 MAC는 UE와 제2 AMF 사이에서 협상되는 UE의 보안 컨텍스트에 기초하여 제2 AMF에 의해 생성된 MAC라는 것을 이해해야 한다. 따라서, 제1 MAC가 제2 MAC와 동일할 확률이 높다. 이 경우, 제2 AMF는 UE를 성공적으로 검증할 수 있고, 제2 AMF가 송신 에러와 같은 저확률 이벤트로 인해 UE를 검증하는데 실패하지 않는 한, UE의 보안 컨텍스트를 제1 AMF에 반환한다. 도 2에 도시된 방법 절차와 비교하여, 도 4에 도시된 보안 컨텍스트 획득 방법은 제1 AMF가 제2 AMF로부터 사용자 장비의 보안 컨텍스트를 성공적으로 획득할 가능성을 개선한다.
제2 등록 요청 메시지의 무결성을 성공적으로 검증한 후에, 제2 AMF는 S460을 수행하는데, 즉, 사용자 UE의 보안 컨텍스트를 제1 AMF에 전송한다.
선택적으로, UE의 보안 컨텍스트는 제1 응답 메시지에서 운반된다.
또한, UE의 보안 컨텍스트가 UE의 컨텍스트에 포함되면, 제2 AMF는 UE의 컨텍스트를 제1 AMF에 전송할 수 있다.
선택적으로, 제2 AMF는 UL NAS COUNT에 기초하여 UE의 보안 컨텍스트에서의 제1 키에 대해 키 도출을 수행할 수 있다. 이 경우, 제2 AMF에 의해 제1 AMF에 반환되는 UE의 보안 컨텍스트에서의 키는 제1 키에 대해 키 도출을 수행함으로써 획득되는 제2 키이다. 본 출원의 이 실시예에서, 키 도출을 통해 생성된 제2 키를 포함하는 UE의 보안 컨텍스트는 제2 보안 컨텍스트라고 지칭될 수 있다. 즉, 제2 AMF에 의해 제1 AMF에 전송되는 UE의 보안 컨텍스트는 키 도출을 겪지 않을 수 있거나, 제2 AMF와 UE 사이에 있고 제2 AMF에 본래 저장되는 UE의 보안 컨텍스트일 수 있거나, 또는 제2 AMF가 로컬 정책에 따라, 제2 AMF와 UE 사이에 있는 UE의 본래 저장된 보안 컨텍스트에서의 키에 대해 키 도출을 수행하여, 도출된 키를 생성할 때의 제2 보안 컨텍스트일 수 있다.
구체적으로, 제2 AMF에 의해 제1 AMF에 전송되는 UE의 보안 컨텍스트에서의 키가 제2 키일 때, 제2 AMF는 또한 제2 키가 키 도출을 통해 획득된 키라는 것을 표시하기 위해, 키 도출 표시 정보를 제1 AMF에 전송할 필요가 있다.
제1 AMF가 UE의 보안 컨텍스트를 획득한 후의 절차는 제1 AMF가 4G 통신 시스템으로부터 5G 통신 시스템으로 UE를 핸드오버하는 기존의 절차에서 UE의 보안 컨텍스트를 획득한 후의 절차와 유사하다는 것을 이해해야 한다. 세부사항들에 대해서는, 기존의 절차를 참조한다. 세부사항들은 여기에서 다시 설명하지 않는다.
예를 들어, UE와 제1 AMF는 후속하여 네이티브 보안 컨텍스트를 사용하기 위해 협상한다. 구체적으로, 제1 AMF는 비-액세스 계층 보안 모드 명령(non-access stratum secure mode command, NAS SMC) 메시지를 UE에 전송하고, UE는 NAS SMC 메시지의 무결성을 검증한다. UE가 NAS SMC 메시지를 성공적으로 검증한 후에, UE는 비-액세스 계층 보안 모드 완료(non-access layer security mode complete) 메시지를 제1 AMF에 전송한다.
가능한 구현에서, 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는데 실패할 때, 제2 AMF는 실패 표시 정보를 제1 AMF에 전송하여, 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는데 실패한 것을 제1 AMF에게 통지한다.
또한, 제1 AMF가 제2 AMF가 제2 등록 요청 메시지의 무결성을 검증하는데 실패한 것을 표시하는 실패 표시 정보를 수신한 후에, 제1 AMF는, 로컬 정책에 따라, 제1 AMF가 매핑된 보안 컨텍스트를 계속 사용할 수 있다고 결정하거나, 또는 제1 AMF는 로컬 정책에 따라 UE에 대한 초기 인증을 개시하기로 결정하고, 제1 AMF와 UE 사이에 새로운 보안 컨텍스트를 생성한다.
전술한 프로세스들의 시퀀스 번호들은 전술한 방법 실시예들에서의 실행 시퀀스들을 의미하지 않는다는 것을 이해해야 한다. 프로세스들의 실행 시퀀스들은 프로세스들의 기능들 및 내부 논리에 기초하여 결정되어야 하며, 본 출원의 실시예들의 구현 프로세스들에 대한 임의의 제한으로서 해석되어서는 안된다.
본 출원의 실시예들에서의 보안 컨텍스트 획득 방법들은 도 3 및 도 4를 참조하여 위에서 상세히 설명된다. 이하에서는 도 5 내지 도 10을 참조하여 본 출원의 실시예들에서의 보안 컨텍스트 획득 장치들을 상세히 설명한다.
도 5는 본 출원에 따른 보안 컨텍스트 획득 장치(50)의 개략도이다. 도 5에 도시된 바와 같이, 장치(50)는 전송 유닛(510), 처리 유닛(520), 및 수신 유닛(530)을 포함한다.
전송 유닛(510)은 제1 등록 요청 메시지를 제1 AMF에 전송하도록 구성된다.
처리 유닛(520)은 제1 등록 요청 메시지를 결정하도록 구성된다.
수신 유닛(530)은 MME에 의해 전송되는 핸드오버 명령 메시지를 수신하도록 구성된다.
장치(50)는 방법 실시예들에서 사용자 장비에 완전히 대응한다. 장치(50)는 방법 실시예들에서의 사용자 장비, 또는 방법 실시예들에서의 사용자 장비 내부의 칩 또는 기능 모듈일 수 있다. 장치(50)의 대응하는 유닛들은 도 3 및 도 4에 도시된 방법 실시예들에서 사용자 장비에 의해 수행되는 대응하는 단계들을 수행하도록 구성된다.
장치(50)의 전송 유닛(510)은 방법 실시예들에서 사용자 장비에 의해 수행되는 전송 단계를 수행한다. 예를 들어, 전송 유닛(510)은 등록 요청 메시지를 도 3의 제1 AMF에 전송하는 단계 S316 및 제1 등록 요청 메시지를 도 4의 제1 AMF에 전송하는 단계 S420을 수행한다.
처리 유닛(520)은 방법 실시예들에서 사용자 장비 내부에서 구현되거나 처리되는 단계를 수행한다. 예를 들어, 처리 유닛(520)은 도 3에서 매핑된 보안 컨텍스트를 결정하는 단계 S315 및 도 4에서 제1 등록 요청 메시지를 결정하는 단계 S410을 수행한다.
수신 유닛(530)은 방법 실시예들에서 사용자 장비에 의해 수행되는 수신 단계를 수행한다. 예를 들어, 수신 유닛(530)은 도 3의 MME에 의해 전송된 핸드오버 명령 메시지를 수신하는 단계 S314 및 도 4의 MME에 의해 전송된 핸드오버 명령 메시지를 수신하는 단계 S414를 수행한다.
장치(50)에 도시된 전송 유닛(510) 및 수신 유닛(530)은 수신 및 전송 기능들 모두를 갖춘 송수신기 유닛을 구성할 수 있다. 처리 유닛(520)은 프로세서일 수 있다. 전송 유닛(510)은 송신기일 수 있고, 수신 유닛(530)은 수신기일 수 있다. 수신기 및 송신기는 송수신기를 구성하도록 통합될 수 있다.
도 6은 본 출원의 실시예에 적용가능한 사용자 장비(60)의 개략적인 구조도이다. 사용자 장비(60)는 도 1에 도시된 시스템에 적용될 수 있다. 설명의 편의상, 도 6은 사용자 장비의 주요 컴포넌트들만을 도시한다. 도 6에 도시된 바와 같이, 사용자 장비(60)는 프로세서(도 5의 처리 유닛(520)에 대응함), 메모리, 제어 회로, 안테나, 및 입출력 장치(도 5의 전송 유닛(510) 및 수신 유닛(530)에 대응함)를 포함한다. 프로세서는 신호를 전송 및 수신하기 위해 안테나 및 입출력 장치를 제어하도록 구성된다. 메모리는 컴퓨터 프로그램을 저장하도록 구성된다. 프로세서는 메모리로부터 컴퓨터 프로그램을 호출하고 컴퓨터 프로그램을 실행하여, 본 출원에서 제공되는 보안 컨텍스트 획득 방법들에서 사용자 장비에 의해 수행되는 대응하는 절차 및/또는 동작을 수행하도록 구성된다. 세부사항들은 여기에서 다시 설명하지 않는다.
본 기술분야의 통상의 기술자는 설명의 편의를 위해 도 6이 단지 하나의 메모리 및 단지 하나의 프로세서를 도시하고 있다는 것을 이해할 수 있다. 실제 사용자 장비는 복수의 프로세서 및 복수의 메모리를 가질 수 있다. 메모리는 또한 저장 매체, 저장 디바이스 등으로 지칭될 수 있다. 이는 본 출원의 이 실시예에서 제한되지 않는다.
도 7은 본 출원에 따른 보안 컨텍스트 획득 장치(70)의 개략도이다. 도 7에 도시된 바와 같이, 장치(70)는 수신 유닛(710), 처리 유닛(720) 및 전송 유닛(730)을 포함한다.
수신 유닛(710)은 사용자 장비에 의해 전송되는 제1 등록 요청 메시지를 수신하도록 구성되고, 여기서 제1 등록 요청 메시지는 제2 등록 요청 메시지를 운반하고, 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트이고, 제1 AMF는 사용자 장비가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버된 후에 사용자 장비에 대한 액세스 및 이동성 관리 서비스를 제공하는 AMF이다.
처리 유닛(720)은 매핑된 보안 컨텍스트를 결정하도록 구성된다.
전송 유닛(730)은 제2 등록 요청 메시지를 제2 AMF에 전송하도록 구성된다.
장치(70)는 방법 실시예들에서의 제1 AMF에 완전히 대응한다. 장치(70)는 방법 실시예들에서의 제1 AMF, 또는 방법 실시예들에서의 제1 AMF 내부의 칩 또는 기능 모듈일 수 있다. 장치(70)의 대응하는 유닛들은 도 3 및 도 4에 도시된 방법 실시예들에서 제1 AMF에 의해 수행되는 대응하는 단계들을 수행하도록 구성된다.
장치(70)의 수신 유닛(710)은 방법 실시예들에서 제1 AMF에 의해 수행되는 수신 단계를 수행한다. 예를 들어, 수신 유닛(710)은 도 3의 MME에 의해 전송된 순방향 재배치 요청 메시지를 수신하는 단계 S311, 도 4의 MME에 의해 전송된 순방향 재배치 요청 메시지를 수신하는 단계 S411, 도 3의 UE에 의해 전송된 등록 요청 메시지를 수신하는 단계 S316, 도 3의 UE에 의해 전송된 제1 등록 요청 메시지를 수신하는 단계 S420, 도 3의 제2 AMF에 의해 전송된 제2 응답 메시지를 수신하는 단계 S330, 및 도 4의 제2 AMF에 의해 전송된 UE의 보안 컨텍스트를 수신하는 단계 S460을 수행한다.
처리 유닛(720)은 방법 실시예들에서 제1 AMF 내부에서 구현되거나 처리되는 단계를 수행한다. 예를 들어, 처리 유닛(720)은 도 3에서 매핑된 보안 컨텍스트를 결정하는 단계 S312, 도 4에서 매핑된 보안 컨텍스트를 결정하는 단계 S412, 도 3에서 UE를 검증하는 단계 S317, 및 도 4에서 UE를 검증하는 단계 S430을 수행한다.
전송 유닛(730)은 방법 실시예들에서 제1 AMF에 의해 수행되는 전송 단계를 수행한다. 예를 들어, 전송 유닛(730)은 도 3의 MME에 순방향 재배치 응답 메시지를 전송하는 단계 S313, 도 4의 MME에 순방향 재배치 응답 메시지를 전송하는 단계 S413, 도 3의 제2 AMF에 제2 요청 메시지를 전송하는 단계 S310, 및 도 4의 제2 AMF에 제2 등록 요청 메시지를 전송하는 단계 S440을 수행한다.
수신 유닛(710) 및 전송 유닛(730)은 수신 및 전송 기능들 모두를 갖는 송수신기 유닛을 구성할 수 있다. 처리 유닛(720)은 프로세서일 수 있다. 전송 유닛(730)은 송신기일 수 있다. 수신 유닛(710)은 수신기일 수 있다. 수신기 및 송신기는 송수신기를 구성하도록 통합될 수 있다.
도 8에 도시된 바와 같이, 본 출원의 실시예는 제1 AMF(80)를 추가로 제공한다. 제1 AMF(80)는 프로세서(810), 메모리(820), 및 송수신기(830)를 포함한다. 메모리(820)는 명령어 또는 프로그램을 저장하고, 프로세서(830)는 메모리(820)에 저장된 명령어 또는 프로그램을 실행하도록 구성된다. 메모리(820)에 저장된 명령어 또는 프로그램이 실행될 때, 송수신기(830)는 도 7에 도시된 장치(70) 내의 수신 유닛(710) 및 전송 유닛(730)에 의해 수행되는 동작들을 수행하도록 구성된다.
도 9는 본 출원에 따른 보안 컨텍스트 획득 장치(90)의 개략도이다. 도 9에 도시된 바와 같이, 장치(90)는 수신 유닛(910), 처리 유닛(920), 및 전송 유닛(930)을 포함한다.
수신 유닛(910)은 제1 AMF에 의해 전송된 제2 등록 요청 메시지를 수신하도록 구성되고, 여기서 제2 등록 요청 메시지는 제1 보안 컨텍스트를 사용하여 무결성 보호되고, 제1 보안 컨텍스트는 사용자 장비와 제2 AMF 사이의 네이티브 보안 컨텍스트이다.
처리 유닛(920)은 제2 등록 요청 메시지의 무결성을 검증하도록 구성된다.
전송 유닛(930)은: 처리 유닛(920)이 제2 등록 요청 메시지의 무결성을 성공적으로 검증할 때, 사용자 장비의 보안 컨텍스트를 제1 AMF에 전송하도록 구성된다.
장치(90)는 방법 실시예들에서의 제2 AMF에 완전히 대응한다. 장치(90)는 방법 실시예들에서의 제2 AMF, 또는 방법 실시예들에서의 제2 AMF 내부의 칩 또는 기능 모듈일 수 있다. 장치(90)의 대응하는 유닛들은 도 3 및 도 4에 도시된 방법 실시예들에서 제2 AMF에 의해 수행되는 대응하는 단계들을 수행하도록 구성된다.
장치(90)의 수신 유닛(910)은 방법 실시예들에서 제2 AMF에 의해 수행되는 수신 단계를 수행한다. 예를 들어, 수신 유닛(910)은 도 3의 제1 AMF에 의해 전송된 제2 요청 메시지를 수신하는 단계 S310 및 도 4의 제1 AMF에 의해 전송된 제2 등록 요청 메시지를 수신하는 단계 S440을 수행한다.
처리 유닛(920)은 방법 실시예들에서 제2 AMF 내부에서 구현되거나 처리되는 단계를 수행한다. 예를 들어, 처리 유닛(920)은 UE가 도 3에서 검증될 필요가 없다고 결정하는 단계 S320 및 도 4에서 제2 등록 요청 메시지의 무결성을 검증하는 단계 S450을 수행한다.
전송 유닛(930)은 방법 실시예들에서 제2 AMF에 의해 수행되는 전송 단계를 수행한다. 예를 들어, 전송 유닛(930)은 도 3에서 제2 응답 메시지를 제1 AMF에 송신하는 단계 S330 및 도 4에서 UE의 보안 컨텍스트를 제1 AMF에 전송하는 단계 S460을 수행한다.
수신 유닛(910) 및 전송 유닛(930)은 수신 및 전송 기능들 모두를 갖는 송수신기 유닛을 구성할 수 있다. 처리 유닛(920)은 프로세서일 수 있다. 전송 유닛(930)은 송신기일 수 있고, 수신 유닛(910)은 수신기일 수 있다. 수신기 및 송신기는 송수신기를 구성하도록 통합될 수 있다.
도 10에 도시된 바와 같이, 본 출원의 실시예는 제2 AMF(100)를 추가로 제공한다. 제2 AMF(100)는 프로세서(1010), 메모리(1020), 및 송수신기(1030)를 포함한다. 메모리(1020)는 명령어 또는 프로그램을 저장하고, 프로세서(1030)는 메모리(1020)에 저장된 명령어 또는 프로그램을 실행하도록 구성된다. 메모리(1020)에 저장된 명령어 또는 프로그램이 실행될 때, 송수신기(1030)는 도 9에 도시된 장치(90)에서 수신 유닛(910) 및 전송 유닛(930)에 의해 수행되는 동작들을 수행하도록 구성된다.
본 출원의 실시예는 컴퓨터 판독가능 저장 매체를 추가로 제공한다. 컴퓨터 판독가능 저장 매체는 명령어를 저장한다. 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 도 3 및 도 4에 도시된 방법들에서 제1 AMF에 의해 수행되는 단계들을 수행할 수 있게 된다.
본 출원의 실시예는 컴퓨터 판독가능 저장 매체를 추가로 제공한다. 컴퓨터 판독가능 저장 매체는 명령어를 저장한다. 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 도 3 및 도 4에 도시된 방법들에서 제2 AMF에 의해 수행되는 단계들을 수행할 수 있게 된다.
본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 추가로 제공한다. 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 도 3 및 도 4에 도시된 방법들에서 제1 AMF에 의해 수행되는 단계들을 수행할 수 있게 된다.
본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 추가로 제공한다. 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 도 3 및 도 4에 도시된 방법들에서 제2 AMF에 의해 수행되는 단계들을 수행할 수 있게 된다.
본 출원의 실시예는 프로세서를 포함하는 칩을 추가로 제공한다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 판독하고 컴퓨터 프로그램을 실행하여, 본 출원에서 제공되는 보안 컨텍스트 획득 방법들에서 제2 AMF에 의해 수행되는 대응하는 동작 및/또는 절차를 수행하도록 구성된다. 선택적으로, 칩은 메모리를 추가로 포함한다. 메모리는 회로 또는 케이블을 통해 프로세서에 접속된다. 프로세서는 메모리로부터 컴퓨터 프로그램을 판독하고 컴퓨터 프로그램을 실행하도록 구성된다. 선택적으로, 칩은 통신 인터페이스를 추가로 포함한다. 프로세서는 통신 인터페이스에 접속된다. 통신 인터페이스는 처리될 필요가 있는 데이터 및/또는 정보를 수신하도록 구성된다. 프로세서는 통신 인터페이스로부터 데이터 및/또는 정보를 획득하고, 데이터 및/또는 정보를 처리한다. 통신 인터페이스는 입출력 인터페이스일 수 있다.
본 출원은 프로세서를 포함하는 칩을 추가로 제공한다. 프로세서는 메모리에 저장된 컴퓨터 프로그램을 호출하고 컴퓨터 프로그램을 실행하여, 본 출원에서 제공되는 보안 컨텍스트 획득 방법들에서 제1 AMF에 의해 수행되는 대응하는 동작 및/또는 절차를 수행하도록 구성된다. 선택적으로, 칩은 메모리를 추가로 포함한다. 메모리는 회로 또는 케이블을 통해 프로세서에 접속된다. 프로세서는 메모리로부터 컴퓨터 프로그램을 판독하고 컴퓨터 프로그램을 실행하도록 구성된다. 선택적으로, 칩은 통신 인터페이스를 추가로 포함한다. 프로세서는 통신 인터페이스에 접속된다. 통신 인터페이스는 처리될 필요가 있는 데이터 및/또는 정보를 수신하도록 구성된다. 프로세서는 통신 인터페이스로부터 데이터 및/또는 정보를 획득하고, 데이터 및/또는 정보를 처리한다. 통신 인터페이스는 입출력 인터페이스일 수 있다.
본 분야의 통상의 기술자라면, 본 명세서에서 개시된 실시예들에서 설명된 예들과 연계하여, 전자 하드웨어 또는 컴퓨터 소프트웨어와 전자적 하드웨어의 조합에 의해 유닛들 및 알고리즘 단계들이 구현될 수 있다는 것을 알 수 있을 것이다. 기능들이 하드웨어 또는 소프트웨어에 의해 수행되는지의 여부는 기술적 해결책들의 특정 애플리케이션 및 설계 제약들에 따라 달라진다. 해당 분야에서의 기술자는 각각의 특정 애플리케이션에 대해 설명되는 기능들을 구현하기 위해 상이한 방법들을 사용할 수 있지만, 이러한 구현이 본 발명의 범위를 벗어나는 것으로 고려되어서는 안 된다.
편리하고 간단한 설명을 위해, 전술한 시스템, 장치, 및 유닛의 상세한 작업 프로세스들에 대해서는, 전술한 방법 실시예들에서의 대응하는 프로세스들을 참조하는 것이 본 기술분야의 통상의 기술자에게는 명확하게 이해될 수 있으며, 세부사항들은 여기서 다시 설명되지 않는다.
본 출원에 제공된 몇가지 실시예에서, 개시된 시스템, 장치 및 방법은 다른 방식으로 구현될 수 있다는 것을 이해해야 한다. 예를 들어, 설명된 장치 실시예는 단지 예일 뿐이다. 예를 들어, 유닛들로의 분할은 논리적 기능 분할일 뿐이며 실제 구현에서는 다른 분할일 수 있다. 예를 들어, 복수의 유닛 또는 컴포넌트가 결합되거나 다른 시스템에 통합되거나, 일부 특징이 무시되거나 수행되지 않을 수 있다. 또한, 표시되는 또는 논의되는 상호 결합들 또는 직접 결합들 또는 통신 접속들은 일부 인터페이스를 사용하여 구현될 수 있다. 장치들 또는 유닛들 간의 간접 결합들 또는 통신 접속들은 전기, 기계 또는 다른 형태로 구현될 수 있다.
별개의 부분들로서 설명된 유닛들은 물리적으로 분리되거나 분리되지 않을 수도 있고, 유닛으로서 표시된 부분들은 물리적 유닛이거나 아닐 수도 있고, 한 위치에 위치하거나, 복수의 네트워크 유닛들에 분산될 수도 있다. 유닛들의 일부 또는 전부는 실시예들의 해결책들의 목적들을 달성하기 위해 실제 요건들에 기초하여 선택될 수 있다.
또한, 본 출원의 실시예들의 기능적 유닛들은 하나의 처리 유닛 내로 통합될 수 있거나, 유닛들 각각은 단독으로 물리적으로 존재할 수 있고, 또는 2개 이상의 유닛들이 하나의 유닛 내로 통합된다.
기능들이 소프트웨어 기능 유닛의 형태로 구현되고 독립적인 제품으로서 판매되거나 사용될 때, 기능들은 컴퓨터 판독가능 저장 매체에 저장될 수 있다. 이러한 이해에 기초하여, 본 출원의 기술적 해결책들은 본질적으로, 또는 종래 기술에 기여하는 부분은, 또는 기술적 해결책들의 일부는, 소프트웨어 제품의 형태로 구현될 수 있다. 소프트웨어 제품은 저장 매체에 저장되고, 컴퓨터 디바이스(이것은 개인용 컴퓨터, 서버, 네트워크 디바이스 등일 수 있음)에게 본 출원의 실시예들에서 설명되는 방법들의 단계들의 전부 또는 일부를 수행하도록 지시하는 몇 개의 명령어를 포함한다. 전술한 저장 매체는: USB 플래시 드라이브, 이동식 하드 디스크, 판독 전용 메모리(Read-Only Memory, ROM), 랜덤 액세스 메모리((R)ANdom Access Memory, RAM), 자기 디스크, 또는 광 디스크와 같은, 프로그램 코드를 저장할 수 있는 임의의 매체를 포함한다.
또한, 본 명세서에서 "및/또는(and/or)"이라는 용어는 연관된 객체들을 설명하기 위한 연관 관계만을 설명하고 3개의 관계가 존재할 수 있다는 점을 표현한다. 예를 들어, A 및/또는 B는 다음 세 가지 경우를 표현할 수 있다: A만 존재하고, A와 B가 모두 존재하고, 및 B만 존재하는 것. 또한, 본 명세서에서 "/"이라는 문자는 연관된 객체들 사이의 "또는(or)" 관계를 일반적으로 표시한다. 본 출원에서 용어 "적어도 하나"는 "하나" 및 "둘 이상"을 나타낼 수 있다. 예를 들어, A, B, 및 C 중 적어도 하나는 다음을 나타낼 수 있다: A만 존재함, B만 존재함, C만 존재함, A와 B 둘 다가 존재함, 및 A와 C 둘 다가 존재함, C와 B가 존재함, 및 A, B, 및 C가 존재함.
전술한 설명들은 단지 본 출원의 구체적인 구현들이지, 본 출원의 보호 범위를 제한하도록 의도되는 것은 아니다. 본 출원에서 개시되는 기술적 범위 내에서 해당 분야에서의 기술자에 의해 용이하게 도출되는 임의의 변형 또는 대체는 본 출원의 보호 범위 내에 있을 것이다. 따라서, 본 출원의 보호 범위는 청구항들의 보호 범위에 종속될 것이다.

Claims (47)

  1. 보안 컨텍스트 획득 방법으로서,
    제1 액세스 및 이동성 관리 기능(AMF)에 의해, 사용자 장비(UE)로부터 제1 등록 요청 메시지를 수신하는 단계;
    상기 제1 AMF에 의해, 상기 제1 등록 요청 메시지에 대한 무결성을 검증하는 단계;
    상기 제1 AMF가 상기 제1 등록 요청 메시지에 대한 무결성을 성공적으로 검증하는 경우, 상기 제1 AMF에 의해, 제2 요청 메시지를 제2 AMF에 전송하는 단계 - 상기 제2 요청 메시지는 상기 UE가 검증된다는 것을 표시하는 표시 정보를 포함함 -;
    상기 제1 AMF에 의해, 상기 제2 요청 메시지에 기초하여 상기 제2 AMF로부터 상기 UE의 네이티브 보안 컨텍스트를 수신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 제1 AMF에 의해, 상기 UE로부터 상기 제1 등록 요청 메시지를 수신하기 전에, 상기 방법은:
    상기 제1 AMF에 의해, 이동성 관리 엔티티(MME)로부터 순방향 재배치 요청을 수신하는 단계 - 상기 순방향 재배치 요청은 상기 UE의 4G 보안 컨텍스트를 포함함 -; 및
    상기 제1 AMF에 의해, 상기 4G 보안 컨텍스트에 기초하여, 매핑된 보안 컨텍스트를 결정하는 단계
    를 더 포함하는 방법.
  3. 제2항에 있어서,
    상기 제1 AMF에 의해, 상기 제1 등록 요청 메시지에 대한 무결성을 검증하는 단계는:
    상기 제1 AMF에 의해, 상기 매핑된 보안 컨텍스트를 사용하여 상기 제1 등록 요청 메시지에 대한 무결성을 검증하는 단계
    를 포함하는 방법.
  4. 제1항에 있어서,
    상기 제2 요청 메시지는 상기 제2 AMF가 상기 UE에 대한 인증을 스킵할 수 있게 하는 방법.
  5. 제1항에 있어서,
    상기 제2 요청 메시지는 상기 UE의 5G GUTI(globally unique temporary identity)를 더 포함하는 방법.
  6. 제5항에 있어서,
    상기 UE의 네이티브 보안 컨텍스트는 상기 5G GUTI에 기초하여 결정되는 방법.
  7. 제1항에 있어서,
    상기 제1 등록 요청 메시지는 상기 UE의 매핑된 보안 컨텍스트에 의해 보안 보호되는 방법.
  8. 제1항에 있어서,
    상기 제1 등록 요청 메시지는 상기 UE의 5G GUTI(globally unique temporary identity)를 포함하는 방법.
  9. 제1항에 있어서,
    상기 UE가 검증된다는 것을 표시하는 상기 표시 정보는 상기 UE로부터 상기 제1 AMF에 의해 수신된 상기 제1 등록 요청 메시지의 무결성이 성공적으로 검증된다는 것을 표시하는 표시 정보를 포함하는 방법.
  10. 제1항에 있어서,
    상기 제2 AMF는 상기 UE의 네이티브 보안 컨텍스트가 저장되는 AMF이고, 상기 제2 AMF는 상기 UE에 의해 수행되는 4G 통신 시스템으로부터 5G 통신 시스템으로의 핸드오버 동안의 상기 5G 통신 시스템에서의 상기 제1 AMF에 부가적인 것인 방법.
  11. 제1항에 있어서,
    상기 제1 AMF는, 상기 UE에 의해 수행되는 4G 통신 시스템으로부터 5G 통신 시스템으로의 핸드오버 동안, 상기 UE가 코어 네트워크 서비스를 제공하기 위해 상기 4G 통신 시스템의 이동성 관리 엔티티(MME)에 의해 상기 5G 통신 시스템으로부터 선택되는 AMF인 방법.
  12. 제2항에 있어서,
    상기 UE의 4G 보안 컨텍스트는 4G 통신 시스템에서 상기 UE와 상기 MME 사이의 협상에 의해 생성되는 컨텍스트인 방법.
  13. 제2항에 있어서,
    상기 4G 보안 컨텍스트는 제1 키(KASME) 및 다음 홉(NH) 파라미터를 포함하는 방법.
  14. 제2항에 있어서,
    상기 매핑된 보안 컨텍스트는 제2 키(KAMF1)를 포함하는 방법.
  15. 제14항에 있어서,
    상기 제2 키(KAMF1)는 미리 설정된 유도 공식에 기초하여 제1 키(KASME) 및 NH 파라미터에 의해 획득되고, 상기 미리 설정된 유도 공식은,
    KAMF1 = HMAC-SHA-256(KEY, FC||P0||L0)
    을 포함하고, 여기서 FC = 0x76, P0 = NH 파라미터, L0 = NH 파라미터의 길이, 및 KEY = KASME인 방법.
  16. 제14항에 있어서,
    상기 제1 AMF에 의해, 상기 제2 키(KAMF1) 및 상기 UE와 협상된 보안 알고리즘에 기초하여 무결성 보호 키(KNASint1) 및 기밀성 보호 키(KNASenc1)를 계산하는 단계
    를 더 포함하는 방법.
  17. 제16항에 있어서,
    상기 무결성 보호 키(KNASint1)를 생성하기 위한 계산 공식은,
    KNASint1 = HMAC - SHA - 256 (KEY, S)
    을 포함하고, 여기서 S = FC||P01||L01||P11||L11, FC=0x69이고, P01은 알고리즘 타입 구별기이고, L01은 상기 알고리즘 타입 구별기의 길이이며, P11은 알고리즘 아이덴티티이고, L11은 상기 알고리즘 아이덴티티의 길이이며, KEY = KAMF1인 방법.
  18. 제16항에 있어서,
    상기 기밀성 보호 키(KNASenc1)를 생성하기 위한 계산 공식은,
    KNASenc1 = HMAC - SHA - 256 (KEY, S)
    을 포함하고, 여기서 S = FC||P0||L0||P1||L1, FC=0x69이고, P0은 알고리즘 타입 구별기이고, L0은 상기 알고리즘 타입 구별기의 길이이고, P1은 알고리즘 아이덴티티이고, L1은 상기 알고리즘 아이덴티티의 길이이고, KEY = KAMF1인 방법.
  19. 제1항에 있어서,
    상기 제1 AMF에 의해, 순방향 재배치 응답 메시지를 이동성 관리 엔티티(MME)에 전송하는 단계;
    상기 MME에 의해, 핸드오버 명령 메시지를 상기 UE에 전송하는 단계; 및
    상기 UE에 의해, 상기 UE의 매핑된 보안 컨텍스트를 결정하는 단계
    를 더 포함하는 방법.
  20. 제1항에 있어서,
    상기 네이티브 보안 컨텍스트가 상기 제2 AMF에 의해 저장되는 이유는:
    상기 UE가 4G 통신 시스템으로부터 5G 통신 시스템으로 핸드오버되기 전에, 상기 UE가 상기 5G 통신 시스템으로부터 상기 4G 통신 시스템으로 핸드오버됨; 또는
    이중 접속을 지원하는 상기 UE가 비-3GPP 접속을 통해 상기 5G 통신 시스템에 액세스하고, 동시에 3GPP 접속을 통해 상기 4G 통신 시스템에 액세스하고, 접속 모드의 상기 UE가 상기 4G 통신 시스템으로부터 상기 5G 통신 시스템으로 핸드오버됨
    을 포함하는 방법.
  21. 보안 컨텍스트 획득 방법으로서,
    제2 액세스 및 이동성 관리 기능(AMF)에 의해, 제1 AMF에 의해 전송된 요청 메시지를 수신하는 단계;
    상기 요청 메시지가 표시 정보를 운반하고 상기 표시 정보는 UE가 검증된다는 것을 표시하는데 사용된 경우, 상기 제2 AMF에 의해, 상기 UE의 네이티브 5G 보안 컨텍스트를 상기 제1 AMF에 전송하는 단계
    를 포함하는 방법.
  22. 제21항에 있어서, 상기 방법은
    상기 제2 AMF에 의해, 상기 UE의 네이티브 5G 보안 컨텍스트를 상기 제1 AMF에 전송하기 전에,
    상기 제2 AMF에 의해, 상기 UE에 대한 인증을 스킵하는 단계
    를 더 포함하는 방법.
  23. 통신 장치로서,
    프로세서; 및
    메모리를 포함하고, 상기 메모리는 컴퓨터 명령어들을 저장하고, 상기 컴퓨터 명령어들은 상기 프로세서에 의해 실행될 때, 상기 프로세서로 하여금, 제1항 내지 제20항 중 어느 한 항의 방법 또는 제21항 내지 제22항 중 어느 한 항의 방법을 수행하게 하는, 통신 장치.
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
  37. 삭제
  38. 삭제
  39. 삭제
  40. 삭제
  41. 삭제
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
KR1020217043061A 2019-05-31 2020-05-11 보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템 KR102568230B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910470895.8 2019-05-31
CN201910470895.8A CN112020067B (zh) 2019-05-31 2019-05-31 获取安全上下文的方法、装置和通信系统
PCT/CN2020/089621 WO2020238595A1 (zh) 2019-05-31 2020-05-11 获取安全上下文的方法、装置和通信系统

Publications (2)

Publication Number Publication Date
KR20220016189A KR20220016189A (ko) 2022-02-08
KR102568230B1 true KR102568230B1 (ko) 2023-08-22

Family

ID=73502110

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217043061A KR102568230B1 (ko) 2019-05-31 2020-05-11 보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템

Country Status (11)

Country Link
US (2) US11818578B2 (ko)
EP (1) EP3796696B1 (ko)
JP (2) JP7210779B2 (ko)
KR (1) KR102568230B1 (ko)
CN (4) CN114513789B (ko)
AU (1) AU2020284886B2 (ko)
BR (1) BR112021024023A2 (ko)
CA (1) CA3141367A1 (ko)
MX (2) MX2021014521A (ko)
SG (1) SG11202112749TA (ko)
WO (1) WO2020238595A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112153647B (zh) * 2019-06-29 2022-04-22 华为技术有限公司 通信方法和相关设备
CN113260015B (zh) * 2021-05-11 2022-11-18 中国联合网络通信集团有限公司 任务处理方法及接入和移动性管理功能实体
CN116074828A (zh) * 2021-10-30 2023-05-05 华为技术有限公司 管理安全上下文的方法和装置
US11785509B2 (en) 2021-11-18 2023-10-10 Cisco Technology, Inc. Inter access and mobility management function idle mode mobility optimization

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018138348A1 (en) 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during idle mode
WO2018138381A1 (en) 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
US20180227873A1 (en) * 2017-02-06 2018-08-09 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method
US20180254094A1 (en) 2013-11-27 2018-09-06 General Electric Company Cloud-based clincial information systems and methods of use
US20190104447A1 (en) * 2017-09-29 2019-04-04 Nokia Technologies Oy Security in intersystem mobility

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9084110B2 (en) 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
US8681740B2 (en) * 2010-12-21 2014-03-25 Tektronix, Inc. LTE network call correlation during User Equipment mobility
US10433161B2 (en) 2012-01-30 2019-10-01 Telefonaktiebolaget Lm Ericsson (Publ) Call handover between cellular communication system nodes that support different security contexts
KR102201279B1 (ko) * 2016-11-27 2021-01-11 엘지전자 주식회사 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치
KR102549946B1 (ko) * 2017-01-09 2023-06-30 삼성전자주식회사 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터
EP4114065A1 (en) * 2017-01-09 2023-01-04 LG Electronics, Inc. Method for interworking between networks in wireless communication system and apparatus therefor
US11558745B2 (en) 2017-01-30 2023-01-17 Telefonaktiebolaget Lm Ericsson (Publ) Methods for integrity protection of user plane data
EP3577952B1 (en) * 2017-02-03 2022-11-30 Nokia Technologies Oy Method and system for selection of an access and mobility management function in an access network environment
CN108401269A (zh) * 2017-02-07 2018-08-14 中兴通讯股份有限公司 跨系统的切换方法和装置
WO2018157551A1 (zh) * 2017-03-01 2018-09-07 华为技术有限公司 数据传输的方法与装置
US11452001B2 (en) 2017-04-17 2022-09-20 Apple Inc. Group based context and security for massive internet of things devices
US10764951B2 (en) 2017-06-17 2020-09-01 Lg Electronics Inc. Registration method of user terminal in wireless communication system and apparatus therefor
WO2019011751A1 (en) * 2017-07-14 2019-01-17 Telefonaktiebolaget Lm Ericsson (Publ) AUTHENTICATION CONTROL IN A HOME NETWORK
US10743221B2 (en) 2017-09-28 2020-08-11 Ofinno, Llc SMF, AMF and UPF relocation during UE registration
US11006316B2 (en) 2017-10-16 2021-05-11 Ofinno, Llc Header compression for ethernet frame
CN111357339B (zh) * 2017-11-13 2022-12-20 Lg电子株式会社 在无线通信系统中发送和接收与切换接入有关的信号的方法及其设备
US10542428B2 (en) * 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
US10805973B2 (en) * 2018-02-15 2020-10-13 Apple Inc. Apparatus, system, and method for performing GUTI reallocation
KR102577006B1 (ko) * 2018-08-13 2023-09-11 삼성전자 주식회사 4g 및 5g 네트워크 이동 시 네트워크 슬라이스 지원 방법 및 장치
CN111328455B (zh) * 2018-10-17 2023-06-23 联发科技(新加坡)私人有限公司 移动性更新时的用户设备密钥推导方法及用户设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180254094A1 (en) 2013-11-27 2018-09-06 General Electric Company Cloud-based clincial information systems and methods of use
WO2018138348A1 (en) 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during idle mode
WO2018138381A1 (en) 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
US20180227873A1 (en) * 2017-02-06 2018-08-09 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method
US20190104447A1 (en) * 2017-09-29 2019-04-04 Nokia Technologies Oy Security in intersystem mobility

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TS 33.401 V8.1.1, "3GPP System Architecture Evolution (SAE), Security architecture (Release 8)", 2008.10.08*
3GPP TS 33.501 V15.3.0, "Security architecture and procedures for 5G system (Release 15)", 2019.03.28*

Also Published As

Publication number Publication date
KR20220016189A (ko) 2022-02-08
EP3796696A1 (en) 2021-03-24
SG11202112749TA (en) 2021-12-30
US20210092608A1 (en) 2021-03-25
EP3796696A4 (en) 2022-01-12
BR112021024023A2 (pt) 2022-02-01
WO2020238595A1 (zh) 2020-12-03
MX2021014521A (es) 2022-09-13
MX2022011363A (es) 2022-10-07
CN114513789A (zh) 2022-05-17
CN112020067A (zh) 2020-12-01
CN112020067B (zh) 2021-12-10
JP7210779B2 (ja) 2023-01-23
CN114513790A (zh) 2022-05-17
JP7472331B2 (ja) 2024-04-22
CA3141367A1 (en) 2020-12-03
EP3796696B1 (en) 2024-05-01
JP2023052294A (ja) 2023-04-11
CN114145032A (zh) 2022-03-04
JP2022534120A (ja) 2022-07-27
US11818578B2 (en) 2023-11-14
CN114513790B (zh) 2023-10-10
AU2020284886B2 (en) 2023-11-09
US20240040380A1 (en) 2024-02-01
WO2020238595A8 (zh) 2021-12-23
CN114513789B (zh) 2023-09-01
CN114145032B (zh) 2023-09-15
AU2020284886A1 (en) 2021-12-23

Similar Documents

Publication Publication Date Title
US11778459B2 (en) Secure session method and apparatus
KR102568230B1 (ko) 보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템
US10798082B2 (en) Network authentication triggering method and related device
WO2020029729A1 (zh) 一种通信方法和装置
CN111328112B (zh) 一种安全上下文隔离的方法、装置及系统
US11576092B2 (en) Handover handling method and apparatus
US20220272577A1 (en) Communication method and communication apparatus
US11751160B2 (en) Method and apparatus for mobility registration
US11606768B2 (en) Method and apparatus for registration
CN116074821A (zh) 一种通信方法及装置
RU2793801C1 (ru) Способ и устройство получения контекста безопасности и система связи
WO2021057456A1 (zh) 用于注册的方法和装置
WO2016161551A1 (zh) 用于多流汇聚的方法和装置
CN115915114A (zh) 注册方法及装置
CN115706973A (zh) 一种安全通信的方法及通信装置
CN114125834A (zh) 一种应用层密钥确定的方法、终端、网络侧设备及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant