KR102574854B1 - 인증 요청들을 제어하기 위한 프라이버시 표시자들 - Google Patents

인증 요청들을 제어하기 위한 프라이버시 표시자들 Download PDF

Info

Publication number
KR102574854B1
KR102574854B1 KR1020237010706A KR20237010706A KR102574854B1 KR 102574854 B1 KR102574854 B1 KR 102574854B1 KR 1020237010706 A KR1020237010706 A KR 1020237010706A KR 20237010706 A KR20237010706 A KR 20237010706A KR 102574854 B1 KR102574854 B1 KR 102574854B1
Authority
KR
South Korea
Prior art keywords
privacy
message
subscription
network
identifier
Prior art date
Application number
KR1020237010706A
Other languages
English (en)
Other versions
KR20230062585A (ko
Inventor
수레쉬 나이르
안야 제리코
아넷 지펠트
Original Assignee
노키아 테크놀로지스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 테크놀로지스 오와이 filed Critical 노키아 테크놀로지스 오와이
Priority to KR1020237029725A priority Critical patent/KR102619984B1/ko
Publication of KR20230062585A publication Critical patent/KR20230062585A/ko
Application granted granted Critical
Publication of KR102574854B1 publication Critical patent/KR102574854B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/10Access restriction or access information delivery, e.g. discovery data delivery using broadcasted information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Slot Machines And Peripheral Devices (AREA)
  • Enzymes And Modification Thereof (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)
  • Small-Scale Networks (AREA)

Abstract

통신 시스템들에서 프라이버시 특징들을 제공하기 위한 기술들이 제공된다. 예를 들어, 하나 이상의 프라이버시 표시자를 포함하는 메시지가 사용자 장비로부터 통신 네트워크의 요소 또는 기능으로 제공될 수 있으며, 여기서 메시지를 처리하기 위한 프라이버시 특징들은 프라이버시 표시자들에 기초하여 결정된다. 메시지는 사용자 장비와 연관된 가입자에 대한 가입 식별자를 포함하는 접속 요청을 포함할 수 있고, 프라이버시 표시자들은 접속 요청 내의 가입 식별자가 프라이버시 보호를 받는지를 표시하는 플래그를 포함한다. 다른 예로서, 통신 네트워크의 기능 요소는 통신 네트워크에 의해 지원되는 프라이버시 특징들을 결정하고 결정된 프라이버시 특징들에 기초하여 선택된 하나 이상의 프라이버시 표시자를 포함하는 메시지를 생성하여 사용자 장비로 전송할 수 있다. 프라이버시 표시자들은 통신 네트워크가 프라이버시 보호를 받는 가입 식별자들을 처리하도록 구성되는지의 표시를 포함할 수 있다.

Description

인증 요청들을 제어하기 위한 프라이버시 표시자들{PRIVACY INDICATORS FOR CONTROLLING AUTHENTICATION REQUESTS}
관련 출원에 대한 상호 참조
본 출원은 2017년 5월 5일자로 출원되고 "Privacy Indicator for Controlling Authentication Requests"라는 명칭의 U.S. 시리얼 No. 62/502,266으로 식별되는 U.S. 가출원에 대한 우선권을 주장하며, 그 개시 내용은 본 출원에서 그 전체가 참조로 포함된다.
분야
본 분야는 일반적으로 통신 시스템들에 관한 것으로, 보다 상세하게는 배타적인 것은 아니지만, 그러한 시스템들 내에서의 보안에 관한 것이다.
본 섹션은 본 발명들의 더 나은 이해를 용이하게 하는 데 도움이 될 수 있는 양태들을 소개한다. 따라서, 본 섹션의 진술들은 이러한 관점에서 읽혀져야 하며, 종래 기술에 있거나 종래 기술에 없는 것에 관해 시인하는 것으로서 이해되어서는 안된다.
롱 텀 에볼루션(Long Term Evolution)(LTE) 기술이라고도 알려진 4 세대(fourth generation)(4G) 무선 이동 통신 기술은 특히 사람과의 상호 작용을 위해 높은 데이터 레이트로 대용량 이동 멀티미디어를 제공하도록 설계되었다. 차세대 또는 5 세대(fifth generation)(5G) 기술은 사람과의 상호 작용뿐만 아니라 소위 사물 인터넷(Internet of Things)(IoT) 네트워크들의 머신 타입 통신들에도 사용되도록 의도된다.
5G 네트워크들은 대규모 IoT 서비스들(예를 들어, 매우 많은 수의 용량 제한된 디바이스들) 및 미션-크리티컬(mission-critical) IoT 서비스들(예를 들어, 높은 신뢰성을 필요로 함)을 가능하게 하려 의도되는 반면, 레거시 이동 통신 서비스들에 대한 개선들은 이동 디바이스들을 위해 개선된 무선 인터넷 액세스를 제공하려 의도된 강화된 이동 광대역(enhanced mobile broadband)(eMBB) 서비스들의 형태로 지원된다.
예시적인 통신 시스템에서, 이동 단말기(가입자)와 같은 사용자 장비(user equipment)(5G 네트워크에서는 5G UE, 또는 보다 광범위하게는 UE)는 5G 네트워크에서 gNB 또는 LTE 네트워크에서 진화된 노드 B(evolved Node B)(eNB)라고 지칭되는 기지국 또는 액세스 포인트와 무선 인터페이스를 통해 통신한다. 액세스 포인트(예를 들어, gNB/eNB)는 예시적으로 통신 시스템의 액세스 네트워크의 일부이다. 예를 들어, 5G 네트워크에서, 액세스 네트워크는 5G 시스템(5G System)으로 지칭되며, 5G Technical Specification(TS) 23.501, V0.4.0에서, "Technical Specification Group Services and System Aspects; System Architecture for the 5G System" 이라는 제목으로 설명되어 있고, 그 개시 내용은 본 명세서에 그 전체가 참조로 포함된다. LTE 네트워크에서, 액세스 네트워크는 진화된 범용 지상 무선 액세스 네트워크(Evolved Universal Terrestrial Radio Access Network)(E-UTRAN)이다. 일반적으로, 액세스 포인트(예를 들어, gNB/eNB)는 UE의 코어 네트워크(core network)(CN)로의 액세스를 제공하고, 이어서 코어 네트워크는 UE의 다른 UE들 및/또는 패킷 데이터 네트워크(예를 들어, 인터넷)와 같은 데이터 네트워크로의 액세스를 제공한다.
프라이버시(privacy)는 모든 통신 시스템에서 중요한 고려 사항이다. 프라이버시는 5G Technical Report(TR) 33.899, V1.1.0에서, "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on the security aspects of the next generation system(Release 14)"라는 제목으로 폭넓게 다루고 있고, 그 개시 내용은 본 명세서에 그 전체가 참조로 포함된다. 특히 TR 33.899는 5G 네트워크들에서 다루어야 할 가장 중요한 보안 영역들 중 하나로 가입(UE) 프라이버시를 식별한다.
예시적인 실시예들은 통신 시스템들에서 인증 요청들을 제어하기 위한 하나 이상의 프라이버시 표시자(privacy indicator)를 제공한다.
예를 들어, 일 실시예에서, 방법은 통신 네트워크의 요소 또는 기능에서 통신 네트워크의 사용자 장비로부터, 하나 이상의 프라이버시 표시자를 포함하는 메시지를 수신하는 단계, 및 하나 이상의 프라이버시 표시자에 기초하여 메시지를 처리하기 위한 하나 이상의 프라이버시 특징을 결정하는 단계를 포함한다.
메시지는 사용자 장비와 연관된 통신 네트워크의 가입자에 대한 가입 식별자를 포함하는 접속 요청을 포함할 수 있고, 하나 이상의 프라이버시 표시자는 접속 요청 내의 가입 식별자가 프라이버시 보호를 받는지를 표시하는 플래그를 포함한다. 프라이버시 보호를 받는 가입 식별자는 가입자의 영구 가입 식별자(permanent subscription identifier)의 적어도 일부를 포함할 수 있다.
다른 실시예에서, 방법은 통신 네트워크의 요소 또는 기능에서, 통신 네트워크에 의해 지원되는 하나 이상의 프라이버시 특징을 결정하는 단계, 통신 네트워크의 요소 또는 기능에서, 결정된 하나 이상의 프라이버시 특징에 기초하여 선택된 하나 이상의 프라이버시 표시자를 포함하는 메시지를 생성하는 단계, 및 통신 네트워크의 요소 또는 기능으로부터 통신 네트워크의 사용자 장비로, 하나 이상의 프라이버시 표시자를 포함하는 생성된 메시지를 전송하는 단계를 포함한다.
하나 이상의 프라이버시 특징은 통신 네트워크의 요소 또는 기능이 프라이버시 보호를 받는 가입 식별자를 처리할 수 있는 기능을 포함할 수 있다.
다른 실시예에서, 방법은 통신 네트워크의 사용자 장비에서, 메시지를 처리하기 위한 하나 이상의 프라이버시 특징을 결정하는 단계, 결정된 하나 이상의 프라이버시 특징에 기초하여 하나 이상의 프라이버시 표시자를 메시지에 추가하는 단계, 및 하나 이상의 프라이버시 표시자를 갖는 메시지를 사용자 장비로부터 통신 네트워크의 요소 또는 기능으로 전송하는 단계를 포함한다.
메시지는 사용자 장비와 연관된 통신 네트워크의 가입자에 대한 가입 식별자를 포함하는 접속 요청을 포함할 수 있고, 하나 이상의 프라이버시 표시자는 접속 요청 내의 가입 식별자가 프라이버시 보호를 받는지를 표시하는 플래그를 포함한다.
다른 실시예에서, 방법은 통신 네트워크의 사용자 장비에서 통신 네트워크의 요소 또는 기능으로부터, 하나 이상의 프라이버시 표시자를 포함하는 메시지를 수신하는 단계, 및 하나 이상의 프라이버시 표시자를 이용하여 통신 네트워크에 의해 지원되는 하나 이상의 프라이버시 특징을 결정하는 단계를 포함한다.
하나 이상의 프라이버시 표시자들은 통신 네트워크가 프라이버시 보호를 받는 가입 식별자들을 처리하도록 구성되는지의 표시를 포함할 수 있다. 방법은 통신 네트워크가 프라이버시 보호를 받는 가입 식별자들을 처리하도록 구성되지 않았다는 것을 표시하는 하나 이상의 프라이버시 표시자에 응답하여 접속 요청을 통신 네트워크의 요소 또는 기능으로 전송하지 않게 하는 단계를 더 포함할 수 있다.
본 명세서에 설명된 이러한 및 다른 기술들은 다양한 통신 네트워크들에 적용될 수 있지만, 이들 기술들은 5G 및 차세대 통신 네트워크들에 특히 적합하다.
본 명세서에 설명된 실시예들의 이들 및 다른 특징들 및 장점들은 첨부 도면들 및 다음의 상세한 설명으로부터 보다 명백해질 것이다.
도 1은 예시적인 실시예에서 통신 시스템을 도시한다.
도 2는 예시적인 실시예에서 서버 위치 기능 및 홈 가입자 서버의 보다 상세한 도면을 도시한다.
도 3은 예시적인 실시예에서 LTE 네트워크의 사용자 장비 인증 절차에 대한 메시지 흐름을 도시한다.
도 4는 예시적인 실시예에서 5G 네트워크의 사용자 장비 인증 절차에 대한 메시지 흐름을 도시한다.
도 5는 예시적인 실시예에서 혼합된 LTE/5G 네트워크의 사용자 장비 인증 절차에 대한 메시지 흐름을 도시한다.
도 6은 다른 예시적인 실시예에서 5G 네트워크의 사용자 장비 인증 절차에 대한 메시지 흐름을 도시한다.
도 7은 예시적인 실시예에서 사용자 장비가 비 3GPP 액세스 및 인증을 통해 5G 네트워크에 액세스하기 위한 메시지 흐름을 도시한다.
사용자의 가입 신원(subscription identity)의 프라이버시를 보호하는 방식으로 인증 요청들을 관리하기 위한 예시적인 통신 시스템들 및 연관 기술들과 함께 실시예들이 본 명세서에서 설명될 것이다. 그러나, 청구 범위의 범주는 특정 유형의 개시된 통신 시스템들 및/또는 프로세스들로 제한되지 않는다는 것을 이해하여야 한다. 실시예들은 대안적인 프로세스들 및 동작들을 사용하여 다양한 다른 유형의 통신 시스템에서 구현될 수 있다. 예를 들어, LTE의 진화된 패킷 코어(Evolved Packet Core)(EPC) 및 3GPP 차세대 시스템(5G)과 같은 3GPP 시스템 요소들을 이용하는 무선 셀룰러 시스템들의 맥락에서 설명되지만, 개시된 실시예들은 간단한 방식으로, 이것으로 제한되는 것은 아니지만, WiMAX 시스템들 및 Wi-Fi 시스템들을 비롯한 다양한 다른 유형의 통신 시스템들에 적용될 수 있다.
위에서 언급한 바와 같이, 사용자 장비와 네트워크 액세스 포인트 사이의 무선 인터페이스를 통해 통신할 때 가입 식별자들의 프라이버시는 2G/3G/4G 네트워크들에서 중요한 쟁점이었다. 5G 네트워크에서는 이러한 중요한 쟁점을 해결하려는 노력들이 이루어 졌다. 다운 입찰 공격(down bidding attack)들(예를 들어, 공격자가 사용자 장비를 가장하여 네트워크 액세스 포인트와 질 낮은 보안 능력을 협상하는 것)로 인해 5G UE를 더 낮은 세대의 네트워크에 강제로 접속시킬 수 있다는 것이 불가피할지라도, 이러한 프라이버시 요구들을 해결할 필요가 있다는 것이 인식된다.
위에서 언급한 TR 33.899는 무선 인터페이스를 통해 프라이버시를 제공하는 여러 솔루션을 설명하는데, 이러한 솔루션들은 일반적으로 세 개의 솔루션 클래스로 그룹화될 수 있다:
1) 변동하는 가명을 UE의 영구 가입 식별자(permanent subscription identifier)에 매핑하기 위해 UE의 홈 네트워크의 홈 가입자 서버/기능을 요구하는 대칭 암호화 시스템들에 기초한 가명 솔루션들;
2) 홈 네트워크 사업자의 공개 키를 사용하여 UE의 영구 가입 식별자의 암호화; 및
3) 서빙 네트워크 사업자의 공개 키를 사용하여 UE의 영구 가입 식별자의 암호화.
일 예에서, 국제 이동 가입자 식별자(International Mobile Subscriber Identity)(IMSI)는 UE의 영구 가입 식별자(가입자 신원)임에 유의하여야 한다. 일 실시예에서, IMSI는 고정된 15-자리 길이이고, 3-자리 이동 국가 코드(Mobile Country Code)(MCC), 3-자리 이동 네트워크 코드(Mobile Network Code)(MNC) 및 9-자리 이동국 식별 번호(Mobile Station Identification Number)(MSIN)로 구성된다.
LTE 네트워크에서, 홈 가입자 서버/기능은 홈 가입자 서버(Home Subscriber Server)(HSS)라고 부르며, 5G 네트워크에서, 이것은 사용자 데이터 관리(User Data Management)(UDM)라고 부르는데, 이는 UDM 기능의 일부로서 인증 및 보안 기능(Authentication and Security Function)(AUSF) 및 인증 신임 저장소 및 처리 기능(Authentication Credential Repository and Processing Function)(ARPF)을 또한 포함할 수 있다는 것을 유의하여야 한다.
일부 예시적인 실시예들이 본 명세서에서 제2 솔루션 클래스(즉, 홈 네트워크 공개 키 기반 솔루션)의 관점에서 설명되지만, 대안적인 실시예들은 다른 두 개의 솔루션 클래스에 대해 구현될 수 있다. SA2 TS 23.502 및 SA3 TR 33.899를 참고하고, 그 개시 내용은 본 명세서에 그 전체가 참조로 포함된다.
홈 네트워크 공개 키 기반 솔루션에서, 홈 사업자는 그의 공개 키를 모든 홈 네트워크 가입자에게 제공한다. 가입자들은 이것을, 예를 들어, IMSI의 MSIN 부분인 가입자 신원을 암호화하는 데 사용할 것이다. MNC + MCC는 서빙 네트워크에 의해 올바른 홈 네트워크로 라우팅하는 데 필요하기 때문에, MSIN 부분만 암호화되면 된다. 공개 키에 대응하는 개인 키를 갖고 있기 때문에, 홈 HSS 만이 메시지를 해독할 수 있다. 일단 IMSI가 식별되면, HSS/AuC(여기서 AuC는 HSS의 인증 센터 부분임)는 사용자(가입자)와 HSS/AuC 간의 별개의 공유된 루트 키 K에 기초하여 인증 벡터(authentication vector)(AV)들을 생성할 것이다. 유사하게, 5G 네트워크에서, UDM/ARPF는 AUSF를 통해 요청된 AV들을 생성한다. AUSF와 UDM는 최적화를 이유로 함께 배치될 수 있다.
네트워크의 사업자는 사업자가 상이한 HSS/UDM에서 별개의 사용자 세트들을 관리할 수 있게 하는 다수의 HSS의 구현을 갖고 있을 수 있다. 다수의 HSS 때문에, 서버 위치 기능(Server Location Function)(SLF)은 한 세트의 HSS들 앞단에서 구현될 수 있다. SLF는 가입자 위치 기능(Subscriber Location Function)이라고도 지칭될 수 있음에 유의하여야 한다. SLF는 MME/AMF로부터 수신된 사용자에 대한 인증 요청을 분석하여 이를 올바른 HSS로 라우팅한다.
단지 예로서, SLF의 동작은 3GPP TS 29.272(Section 8: “User identity to HSS resolution”)에서, "3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Evolved Packet System(EPS); Mobility Management Entity(MME) and Serving GPRS Support Node(SGSN) related interfaces based on Diameter protocol(Release 14)"라는 제목으로 설명되어 있고, 그 개시 내용은 본 명세서에서 그 전체가 참조로 포함된다. SLF는 로컬로 유지되는 가입자 프로파일 데이터베이스를 사용하여 HSS로 향할 사용자 신원(IMSI)의 분석(user identity (IMSI)-to-HSS resolution)을 제공하고 사용자 인증 요청들을 포함하고 있는 다이어미터 메시지(Diameter message)들을 다이어미터 프록시로서, 선택된 HSS로 라우팅한다. 5G에서, 5G 코어 네트워크 프로토콜들이, 예를 들어 http 프록시들을 사용하는 다이어미터와 상이하다면, 유사한 기능성이 또한 요청될 것이라는 것을 유의하여야 한다. 다음의 설명에서, SLF는 4G에 따라 다이어미터 라우팅 에이전트(Diameter Routing Agent)(DRA)기반 솔루션 또는 5G 코어 네트워크에 대해 프로토콜 결정들에 따른 임의의 다른 프록시 관련 솔루션을 둘 다 다루고 있다고 가정한다.
여기서, 홈 사업자가 SLF를 사용하여 가입자 세트를 분할하면, SLF는 수신된 식별자를 먼저 평가해야 할 것이라는 것을 알 수 있다. 따라서, 방법들 중 하나의 방법에 의해 암호화된 영구 가입자 신원(예를 들어, IMSI)을 이용하는 5G 네트워크에서, SLF는 IMSI의 MSIN 부분의 해독을 떠 맡아야 할 필요가 있을 것이다. 또한, SLF는 모든 가입자의 프로파일들의 데이터베이스를 라우팅 정보와 함께 유지해야 할 필요가 있을 것인데, 즉 프로파일은 수신된 (암호화된) IMSI를 해독한 이후에 인증 요청을 포워딩하기 위해 가입자의 영구 신원(예를 들어, IMSI)을 네트워크의 HSS들 중 하나에 매핑하여야 한다. 그러므로 HSS 대신 SLF에서 암호화된 IMSI의 해독을 수행하는 것이 유리하다. 따라서, 개인 키를 저장하는 HSS 대신에, 이제 SLF가 네트워크 개인 키를 저장하고 사용해야 할 것이다. SLF는 홈 사업자의 도메인에 배치되며 신뢰성 있다고 간주된다. 일반적으로, SLF는 대규모 사업자 네트워크에서 가정될 수 있다. SLF를 사용하면 5G 네트워크들의 HSS/UDM의 새로운 프라이버시 관리가 무선 인터페이스를 통한 가입 식별자의 보호를 위해 HSS/UDM이 전혀 변경되지 않는 지점까지 간소화되지만, SLF는 암호화된 IMSI의 해독이라는 추가적인 기능성을 수행한 다음에 HSS로 향할 IMSI의 분석을 수행해야 한다.
따라서, 본 명세서에 설명된 예시적인 실시예들은 HSS/UDM 또는 SLF가 어떻게 새로 도입된 프라이버시 특징들을 효율적으로 처리할 수 있는지, 즉 수신된 접속 요청이 먼저 해독되어야 하는 쟁점을 해결한다. 이것이 해결되지 않으면, HSS/UDM 또는 SLF는 요청을 수신하고 처리하려고 시도하여 불필요한 컴퓨팅 자원들을 낭비할 것이다.
프라이버시는 국가 별 규정에 따라 달라질 것이며, 따라서 HSS/UDM 또는 SLF는 인증 벡터들에 대한 요청, 즉 5G UE가 프라이버시를 적용하지 않으면 "정규적인" 접속 요청을 처리하는 것 또는 "프라이버시" 접속 요청을 처리하는 것의 두 가지 사례를 모두 다루도록 구현될 필요가 있을 것이다.
제1 예시적인 실시예에서, 5G UE는 자신의 프라이버시를 보호하기를 원하면, MSIN이 암호화된 형태로 제공된다는 것을 표시하는 신원 프라이버시 플래그(identity privacy flag)(즉, 프라이버시 표시자)를 추가한다.
프라이버시 표시자는, 플래그 또는 필드와 같은 "명시적" 프라이버시 표시자인 것 이외에, 대안적으로는 "묵시적" 프라이버시 표시자일 수 있다는 것을 이해하여야 한다. 묵시적 프라이버시 표시자에 의하면, 프라이버시 특징이 UE에 의해 메시지를 암호화하는데 사용되는 알고리즘을 통해 네트워크 요소/기능으로 전달되는 것을 의미한다. 따라서, UE로부터 메시지를 수신하는 네트워크 요소/기능은 메시지가 특정 암호화 알고리즘으로 암호화된다는 사실을 통해 프라이버시 특징을 통지 받는다. 이것은 또한 널 암호화 방식(null-encryption scheme)에도 적용된다. 널 암호화 방식에서, 입력은 출력과 동일하며, SUPI(UE의 가입 영구 식별자(Subscription Permanent Identifier))는 암호화되지 않은, 즉 포맷-보존 방식(format-preserved scheme)이다. 우리는 이것을 SUPI(또는 IMSI)가 항상 암호화된 것으로 해석할 수도 있지만, 프라이버시가 "활성화(switched-on)"되어 있지 않으면, 널 암호화가 사용된다. 따라서, 프라이버시 표시자는 사용되는 알고리즘 방식(예를 들어, 널 암호화 또는 실제로 메시지를 암호화하는 알고리즘)에 묵시적으로 존재한다.
이러한 프라이버시 표시자가 없을 지라도, HSS 또는 SLF는 요청을 해결하려 먼저 시도하고, 만일 암호화되어 있다면 해독을 시도한 이후에 알아낼 것이라고 추정될 수 있다. 그러나 이러한 표시를 명시되게 하는 한 가지 주요 이유는 이것이 처리 시간을 절감하는 것이고 더 적은 수의 자원들이 필요된다는 것이다. 따라서, 이러한 제1 예시적인 실시예에서, SLF는 이러한 플래그를 찾아봄으로써 처리에 관해 결정을 내릴 수 있다. 설정하지 않으면, SLF는 제공된 IMSI가 암호화되지 않은 것으로 가정할 것이고, HSS로 향할 IMSI의 분석을 행할 것이며, 올바른 HSS/UDM으로 포워딩될 것인바, 즉 4G 동작과의 호환성이 유지된다. 플래그가 설정되면, SLF는 제공된 IMSI가 암호화된 것으로 인식할 것이고, 네트워크 개인 키를 사용하여 MSIN 부분을 해독하여 암호화되지 않은 실제 IMSI를 형성할 것이며, HSS로 향할 IMSI 분석을 수행한 다음 인증 요청을 올바른 HSS/UDM로 포워딩할 것이다. SLF가 사용되지 않으면, HSS/UDM에 의해 동일한 원리가 사용될 수 있다. 즉, HSS/UDM은 5G UE가 플래그를 설정 하였는지를 체크한 다음에 해독이 필요한지를 결정해야 한다.
이러한 제1 예시적인 실시예는 5G UE를 5G 무선 액세스 네트워크(Radio Access Network)(RAN)를 통해 5G 코어 네트워크(core network)(CN)에 접속하는 데 적용될 수 있다. 그러나, 3GPP에서는, 당면한 배치 시나리오로서, 5G UE가 5G RAN을 통해 4G CN에 접속해야 한다고 식별하였다. UE가 표시자를 설정하면, 4G CN은 신원 프라이버시 플래그 또는 다른 프라이버시 표시자를 이해하기 위해 강화될 필요가 있을 것이다.
4G 네트워크를 5G로 진화시키는 중인 사업자의 네트워크 아키텍처 관점에서 볼 때, 4G 및 5G 액세스 및 코어 네트워크들은 둘 다 상당한 시간 동안 지원되어야 한다. 이것은 현재 4G HSS가 지원되면서 암호화된 MSIN을 해독하는 새로운 5G HSS 기능을 지원해야 한다는 것을 의미한다. 실시예들에 따르면, SLF가 암호화된 MSIN을 식별하고 인증 요청을 HSS로 라우팅하기 이전에 이것을 해독할 수 있게 해주는 것이 사업자 네트워크에서 4G와 5G 코어의 공존을 관리하는 데 도움이 된다. SLF가 새로운 신원 5G 프라이버시 특징을 지원하도록 강화시키는 것이 HSS를 강화시키는 것보다 유리하다. HSS가 강화되면, 다수의 HSS가 있는 대규모 네트워크에서, 모든 HSS는 암호화된 IMSI를 해독하는 능력과 함께 업데이트되어야 한다. 이것은 단일의 중앙 노드(예를 들어, SLF)에서 문제를 해결하는 것과 비교하여 다루기가 더 지루할 수 있다. 유리하게도, 제1 예시적인 실시예에서, 동일한 특징이 4G에도 배치되어 강화된 SLF가 이러한 특징을 달성하도록 사용된다면, 5G에서 (4G로의) 입찰 다운 공격은 이득이 되지 않을 것이다.
제2 예시적인 실시예에서, 사업자가, 예를 들어 네트워크 마스터 정보 블록(Master Information Block)(MIB)/시스템 정보 블록(System Information Block)(SIB) 브로드캐스트에 추가하여, 네트워크가 프라이버시 보호를 받는 식별자(privacy-protected identifier)를, 예를 들면, 프라이버시가 기대되거나, 처리할 가능성이 있거나, 또는 요망된다는 것을 표시하는 플래그를 다룰 수 있게 될 것임을 5G UE에게 표시하도록 결정할 수 있는 다른 프라이버시 표시자가 제공될 수 있다. 이러한 표시자가 전송되지 않으면, 네트워크에 전혀 접속되지 않을 지의 여부는 5G UE 구현된/구성된 정책에 달려 있다. 4G/5G 네트워크 측의 표시자는 국가/지역별 규제 요구들을 표시하는 것, 즉 프라이버시를 활성화/비활성화하는 것일 것이다. UE가 방문 네트워크에서 로밍하는 동안, 방문 네트워크로부터의 UE 인증 요청이 신원 프라이버시 표시자(위의 제1 예시적인 실시예)가 서술되어 있는 홈 네트워크로 포워딩되더라도, 서빙 네트워크에도 그렇게 해줄 필요가 있다는 것을 유의하여야 한다. MME/SEAF(SEAF는 보안 앵커 기능(Security Anchor Function)임)는 UE로부터의 강화된 초기 접속 메시지를 처리하고, UE 인증 요청 메시지를 형성하며, 이것을 AV의 요청을 위해 홈 네트워크로 라우팅해야 한다. 가입 식별자가 암호화되면, 암호화된 IMSI의 메시지 필드 크기는 (선택된 솔루션 클래스에 따라) 오늘날의 4G IMSI 필드와 상이할 수 있다.
방문 네트워크는 또한 자신의 이용 가능성을 표시하고, 해당하는 경우 프라이버시를 사용하지 않음을 표시할 수 있다는 것을 유의하여야 한다. 이러한 정보는, 예를 들어 SIB 또는 다른 정보 블록의 일부로서 브로드캐스트되거나, 명시적 요청 메시지로서 각각의 UE로 전송될 수 있다.
제3 예시적인 실시예에서, UE는 5G UE가 IMSI 페이징에 응답하는 것을 금지하도록 설정될 수 있는 프라이버시 표시자를 관리하도록 구성된다. 따라서, UE가 네트워크에 접속하기를 원하고 네트워크가 UE의 실제 신원을 요청하면, 이러한 프라이버시 표시자로 구성된 프라이버시 구성(privacy-configured) 5G UE는 응답하지 않을 것이다.
위에서 설명한 프라이버시 표시자를 고려하면, 다양한 네트워크 구성이 프라이버시 표시자를 구현하는 데 이용될 수 있다. 도 1 내지 도 7은 이러한 네트워크 구성들 중 일부를 도시한다. 그러나, 실시예들은 본 명세서에 도시되거나 또는 달리 아래에 설명된 네트워크 구성들로 제한되지 않는다는 것을 이해하여야 한다. 도 1은 예시적인 실시예들이 구현되는 통신 시스템(100)을 도시한다. 통신 시스템(100)에 도시된 요소들은 시스템 내에 제공된 주요 기능들, 예를 들어 UE 액세스 기능들, 이동성 관리 기능들, 서빙 게이트웨이 기능들 등을 나타내는 것으로 이해되어야 한다. 이와 같이, 도 1에 도시된 블록들은 주요 기능들을 제공하는 LTE 및 5G 네트워크들의 특정 요소들을 참조한다. 그러나, 표현된 주요 기능들 중 일부 또는 전부를 구현하기 위해 다른 네트워크 요소들이 사용될 수 있다. 또한, LTE 또는 5G 네트워크의 모든 기능이 도 1에 도시된 것이 아니라는 것을 이해하여야 한다. 오히려, 예시적인 실시예들의 설명을 용이하게 하는 기능들이 대표된다.
따라서, 도시된 바와 같이, 통신 시스템(100)은 무선 인터페이스(103)를 통해 액세스 포인트(eNB/gNB)(104)와 통신하는 사용자 장비(UE)(102)를 포함한다. UE(102)는 이동국일 수 있고, 이러한 이동국은 예로서 이동 전화, 컴퓨터 또는 임의의 다른 유형의 통신 디바이스를 포함할 수 있다. LTE-V2X 구현에서, 하나 이상의 UE는 주어진 차량에 배치될 수 있다. 그러므로 본 명세서에서 사용되는 것으로 "사용자 장비"라는 용어는 다양한 상이한 유형의 이동국들, 가입자국들, 또는 보다 일반적으로는 랩톱 또는 그 밖의 다른 장비(예를 들어, 차량)에 삽입된 데이터 카드의 조합과 같은 예들을 포함하는 통신 디바이스들을 포함하기 위해, 광범위하게 해석되는 것으로 의도된다. 이러한 통신 디바이스들은 또한 일반적으로 액세스 단말기들이라고 지칭되는 디바이스들을 망라하는 것으로도 의도된다.
일 실시예에서, UE(102)는 범용 집적 회로 카드(Universal Integrated Circuit Card)(UICC) 및 이동 장비(mobile equipment)(ME)로 구성된다. UICC는 UE의 사용자 종속적인 부분이며 적어도 하나의 범용 가입자 식별 모듈(Universal Subscriber Identity Module)(USIM) 및 적절한 애플리케이션 소프트웨어를 내장한다. USIM은 네트워크들에 액세스할 가입자를 식별하고 인증하는 데 사용되는 국제 이동 가입자 식별(IMSI) 번호 및 이와 관련된 키를 안전하게 저장한다. ME는 UE의 사용자 독립적인 부분이며, 단말 장비(terminal equipment)(TE) 기능 및 다양한 이동 종단(mobile termination)(MT) 기능을 포함한다.
액세스 포인트(104)는 예시적으로 통신 시스템(100)의 액세스 네트워크의 일부이다. 이러한 액세스 네트워크는, 예를 들어 복수의 기지국 및 하나 이상의 연관된 무선 네트워크 제어 기능을 갖는 E-UTRAN 또는 5G 시스템(또는 혼합된 시스템)을 포함할 수 있다. 기지국들 및 무선 네트워크 제어 기능들은 논리적으로 별개의 엔티티들일 수 있지만, 주어진 실시예에서, 예를 들어 기지국 라우터 또는 펨토 셀룰러 액세스 포인트와 같은 동일한 물리적 네트워크 요소에서 구현될 수 있다.
이러한 예시적인 실시예에서 액세스 포인트(104)는 이동성 관리 기능(106)에 동작 가능하게 연결된다. LTE 네트워크에서, 기능은 전형적으로 이동성 관리 요소(Mobility Management Element)(MME)로 구현되는 반면, 5G 네트워크에서 기능은 액세스 및 이동성 관리 기능(Access and Mobility Management Function)(AMF)에 의해 구현된다. 명시적으로 도시되지 않지만, SEAF는 UE를 이동성 관리와 연결하는 AMF로 구현될 수 있다. 본 명세서에서 사용되는 바와 같은 이동성 관리 기능은, 다른 네트워크 동작들 중에서도, (액세스 포인트(104)를 통해) UE와의 액세스 및 인증 동작들을 관리하는 통신 시스템의 CN 부분의 요소 또는 기능이다.
이러한 예시적인 실시예에서 MME/AMF(106)는 SLF(107)에 동작 가능하게 연결된다. 예시적인 실시예들에서, 위에서 설명한 바와 같이, SLF(107)는 SLF가 수신한 메시지에 설정된 하나 이상의 프라이버시 표시자에 응답하도록 구성된다. 위에서 설명한 바와 같이, SLF(107)는 하나 이상의 프라이버시 표시자에 따라, 가입자 신원을 해독하거나 또는 암호화된 정보를 단순히 UE(102)의 적절한 홈 네트워크로 포워딩할 수 있다. 따라서, 도시된 바와 같이, SLF(107)는 복수의 HSS/UDM(108-1, 108-2, ... 108-N)에 동작 가능하게 연결된다. 이들 HSS/UDM은 통신 시스템(100)에 접속할 수 있는 UE들의 홈 네트워크들을 나타낸다. SLF(107)는 UE 정보를 적절한 HSS/UDM(108)에 제공하도록 구성된다.
액세스 포인트(104)는 또한 서빙 게이트웨이 기능(110)(예를 들어, LTE 네트워크의 서빙 게이트웨이(Serving Gateway)(SGW) 및 5G 네트워크의 세션 관리 기능(Session Management Function)(SMF))에 동작 가능하게 연결되고, 서빙 게이트웨이 기능은 패킷 데이터 네트워크 게이트웨이(Packet Data Network(PDN) Gateway)(PGW)(112)에 동작 가능하게 연결된다. PGW(112)는 인터넷(114)과 같은 패킷 데이터 네트워크에 동작 가능하게 연결된다. MME/AMF(106) 및 SLF(107)는 CN의 일부로 간주될 수 있다. MME/AMF(106) 및 SLF(107)는 또한 서빙 네트워크의 일부일 수 있다. 이러한 네트워크 요소들의 또 다른 전형적인 동작들 및 기능들은 이들이 예시적인 실시예들의 초점이 아니고 적절한 3GPP LTE 또는 5G 문서에서 찾아 볼 수 있기 때문에 여기서는 설명되지 않는다.
시스템 요소들의 이러한 특정 배열은 단지 예일 뿐이고, 다른 유형들 및 배열들의 추가적인 또는 대안적인 요소들이 다른 실시예들에서 통신 시스템을 구현하기 위해 사용될 수 있다는 것을 이해하여야 한다. 예를 들어, 다른 실시예들에서, 시스템(100)은 인증 요소들뿐만 아니라, 본 명세서에 명시적으로 도시되지 않은 다른 요소들을 포함할 수 있다.
따라서, 도 1의 배열은 무선 셀룰러 시스템의 그저 하나의 예시적인 구성일 뿐이며, 다수의 대안적인 구성들의 시스템 요소들이 사용될 수 있다. 예를 들어, 단일 UE, eNB/gNB, MME/AMF, SLF, SGW/SMF 및 PGW 요소들 만이 도 1 실시예에 도시되지만, 이것은 단지 설명의 단순성 및 명확성을 위한 것이다. 주어진 대안적인 실시예는 물론 더 많은 수의 이러한 시스템 요소들뿐만 아니라, 통상적인 시스템 구현들과 공통적으로 연관된 유형의 추가적인 또는 대안적인 요소들을 포함할 수 있다.
도 1은 시스템 요소들을 단일의 기능 블록들로서 도시하지만, 5G 네트워크를 구성하는 다양한 서브네트워크들은 소위 네트워크 슬라이스들로 분할된다는 것을 또한 유의하여야 한다. 네트워크 슬라이스들(네트워크 파티션들)은 각각의 대응하는 서비스 유형마다, 공통적인 물리적 인프라스트럭처 상의 네트워크 기능 가상화(Network Function Virtualization)(NFV)를 사용하는 일련의 기능 세트들(즉, 기능 체인들)을 포함한다. 네트워크 슬라이스들은 필요에 따라 주어진 서비스, 예를 들어 eMBB 서비스, 대규모 IoT 서비스(예를 들어, V2X 서비스) 및 미션 크리티컬 IoT 서비스를 위해 인스턴스화된다. 따라서 네트워크 슬라이스 또는 기능은 그 네트워크 슬라이스 또는 기능의 인스턴스가 생성될 때 인스턴스화된다. 일부 실시예에서, 이것은 기본적인 물리적 인프라스트럭처의 하나 이상의 호스트 디바이스 상에 네트워크 슬라이스 또는 기능을 설치하는 것 또는 그렇지 않으면 이를 실행하는 것을 포함한다. UE(102)는 eNB/gNB(104)를 통해 이러한 서비스들 중 하나 이상에 액세스하도록 구성된다.
도 2는 예시적인 실시예에서 SLF(107) 및 하나의 HSS/UDM(108)의 보다 상세한 도면을 도시한다. 도 1의 각각의 HSS/UDM(108)(108-1, 108-2, ..., 108-N)은 도 2에 도시된 바와 같이 구성될 수 있다. SLF(107)는 메모리(202) 및 인터페이스 회로(204)에 연결된 프로세서(200)를 포함한다. SLF(107)의 프로세서(200)는 적어도 부분적으로 프로세서(200)에 의해 실행되는 소프트웨어 형태로 구현될 수 있는 인증 처리 모듈(210)을 포함한다. 인증 처리 모듈(210)은 후속 도면들과 함께 및 본 명세서에서 다른 방식으로 설명되는 프로세스의 인증 동작들을 수행한다. SLF(107)의 메모리(202)는 인증 동작들 동안 생성되거나 또는 그와 달리 사용되는 인증 및 관련된 데이터를 저장하는 인증 저장 모듈(212)을 포함한다.
HSS/UDM(108)는 메모리(222) 및 인터페이스 회로(224)에 연결된 프로세서(220)를 포함한다. HSS/UDM(108)의 프로세서(220)는 적어도 부분적으로 프로세서(220)에 의해 실행되는 소프트웨어 형태로 구현될 수 있는 인증 처리 모듈(230)을 포함한다. 인증 처리 모듈(230)은 후속 도면들과 함께 그리고 본 명세서에서 다른 방식으로 설명되는 프로세스의 인증 동작들을 수행한다. HSS/UDM(108)의 메모리(222)는 인증 동작들 동안 생성되거나 또는 그와 달리 사용되는 인증 및 관련된 데이터를 저장하는 인증 저장 모듈(232)을 포함한다.
각각의 SLF(107) 및 HSS/UDM(108)의 프로세서들(200 및 220)은, 예를 들어 마이크로프로세서들, 주문형 집적 회로(application-specific integrated circuit)(ASIC)들, 디지털 신호 프로세서(digital signal processor)(DSP)들 또는 다른 유형의 처리 디바이스들뿐만 아니라 이러한 요소들의 부분들 또는 조합들을 포함할 수 있다.
각각의 SLF(107) 및 HSS/UDM(108)의 메모리들(202 및 222)은 본 명세서에 설명된 기능성의 적어도 일부를 구현하기 위해 각각의 프로세서들(200 및 220)에 의해 실행되는 하나 이상의 소프트웨어 프로그램을 저장하는 데 사용될 수 있다. 예를 들어, 후속 도면들과 함께 및 본 명세서에서 다른 방식으로 설명된 바와 같은 인증 동작들 및 다른 기능성은 프로세서들(200 및 220)에 의해 실행되는 소프트웨어 코드를 사용하여 간단한 방식으로 구현될 수 있다.
그러므로 메모리들(202 또는 222) 중 주어진 하나의 메모리는 본 명세서에서 보다 일반적으로 컴퓨터 프로그램 제품으로 지칭되는 것의 예로서 또는 보다 더욱 일반적으로 본 명세서에서 실행 가능한 프로그램 코드를 갖는 프로세서 판독 가능 저장 매체로서 간주될 수 있다. 프로세서 판독 가능 저장 매체의 다른 예들은 디스크들 또는 다른 유형의 자기 또는 광학 매체를 임의의 조합으로 포함할 수 있다. 예시적인 실시예들은 이러한 컴퓨터 프로그램 제품들 또는 다른 프로세서 판독 가능 저장 매체를 포함하는 제조 물품들을 포함할 수 있다.
메모리(202 또는 222)는 보다 구체적으로는, 예를 들어, 정적 RAM(static RAM)(SRAM), 동적 RAM(dynamic RAM)(DRAM) 또는 다른 유형의 휘발성 또는 비휘발성 전자 메모리와 같은 전자적 랜덤 액세스 메모리(electronic random access memory)(RAM)를 포함할 수 있다. 후자는, 예를 들어 플래시 메모리, 자기 RAM(magnetic RAM)(MRAM), 위상 변화(phase-change) RAM(PC-RAM) 또는 강유전 RAM(ferroelectric)(FRAM)과 같은 비휘발성 메모리들을 포함할 수 있다. 본 명세서에서 사용되는 것으로 "메모리"라는 용어는 광범위하게 해석되도록 의도되며, 부가적으로 또는 대안적으로, 예를 들어 판독 전용 메모리(read-only memory)(ROM), 디스크 기반 메모리, 또는 다른 유형의 저장 디바이스뿐만 아니라, 그러한 디바이스들의 일부들 또는 조합들을 망라할 수 있다.
각각의 SLF(107) 및 HSS/UDM(108)의 인터페이스 회로들(204 및 224)은 연관된 시스템 요소들이 본 명세서에 설명된 방식으로 서로 통신할 수 있게 하는 송수신기들 또는 다른 통신 하드웨어 또는 펌웨어를 예시적으로 포함한다.
도 2로부터 SLF(107)가 HSS/UDM(108)과 통신하기 위해 그리고 그 반대로 통신하기 위해 이들 각자의 인터페이스 회로들(204 및 224)을 통하도록 구성된다는 것이 명백하다. 이러한 통신은 SLF(107)가 HSS/UDM(108)에 데이터를 전송하고, HSS/UDM(108)이 SLF(107)에 데이터를 전송하는 것을 포함한다. 그러나, 대안적인 실시예들에서, 다른 네트워크 요소들이 SLF와 HSS/UDM 사이에 동작 가능하게 연결될 수 있다. 본 명세서에서 사용되는 것으로 "데이터"라는 용어는 이것으로 제한되는 것은 아니지만 신원 데이터, 인증 데이터, 제어 데이터, 오디오, 비디오, 멀티미디어 등을 비롯한, 기지국 요소를 통해 사용자 장비와 코어 네트워크 사이에서 전송될 수 있는 임의의 유형의 정보를 포괄하도록 위해 광범위하게 해석되는 것으로 의도된다.
도 2에 도시된 컴포넌트들의 특정 배열은 단지 예일뿐이며, 다른 실시예들에서는 많은 대안적인 구성들이 사용될 수 있다는 것을 이해하여야 한다. 예를 들어, 사용자 장비 및 이동성 관리 기능은 부가적인 또는 대안적인 컴포넌트들을 통합하고 다른 통신 프로토콜들을 지원하도록 구성될 수 있다.
UE(102), eNB/gNB(104), MME/AMF(106), SGW/SMF(110) 및 PGW(112)와 같은 다른 시스템 요소들 각각은 또한 프로세서, 메모리 및 네트워크 인터페이스와 같은 컴포넌트들을 포함하도록 구성될 수 있다. 이러한 요소들은 별도의 스탠드-얼론 처리 플랫폼들에서 구현될 필요는 없지만, 그 대신, 예를 들어 단일의 공통 처리 플랫폼의 상이한 기능 부분들을 나타낼 수 있다. 이러한 처리 플랫폼은 eNB/gNB의 적어도 일부 및 연관된 무선 네트워크 제어 기능을 추가로 포함할 수 있다.
도 3 내지 도 7은 위에서 설명된 프라이버시 표시자들 중 하나 이상이 구현될 수 있는 메시지 흐름들 및 네트워크 구성들을 도시한다. 이러한 메시지 흐름들 및 네트워크 구성들은 예시적인 실시예들인 것으로 이해되어야 한다.
도 3은 하나의 예시적인 실시예에 따른, 암호화되지 않은 IMSI, SLF 및 다수의 HSS를 사용하는 LTE에서의 상위 레벨 UE 인증 절차(300)를 도시한다.
보다 구체적으로는, 도 3은 UE(302), RAN(304), MME(306), SLF(308), HSS1(310-1) 및 HSS2(310-2)를 도시한다. 단지 두 개의 HSS만이 도시되지만, 본 명세서에 설명된 실시예들에 따라 임의의 수의 HSS가 구현될 수 있다. 도 3의 UE 인증 절차 흐름의 단계 1에서, UE(302)는 RAN(304)을 통해 접속 요청(IMSI)을 MME(306)로 전송한다. 단계 2에서, MME(306)는 이어서 인증 요청(IMSI)을 SLF(308)로 전송한다. 단계 3에서, SLF(308)는 HSS와의 IMSI 매핑에 기초하여 HSS를 선택한다. 단계 4에서, SLF(308)는 인증 요청(IMSI)을 선택된 HSS로 전송하는데, 선택된 HSS는 도 3에 도시된 바와 같이 HSS1(310-1)이다. 단계 5에서, HSS1(310-1)은 루트 키에 기초하여 인증 벡터(AV)들을 생성한다. 단계 6에서, HSS1(310-1)은 인증 응답(AV들)을 SLF(308)로 전송하고, 단계 7에서, SLF(308)는 인증 응답(AV들)을 MME(306)로 전송한다. 인증 응답은 랜덤 챌린지(random challenge)(RAND), 인증 토큰(authentication token)(AUTN) 및 키 세트 식별자(key set identifier)(KSI)를 포함할 수 있다. 단계 9에서, MME(306)는 접속 응답을 RAN(304)을 통해 UE(302)로 전송한다.
도 4는 암호화된 IMSI, SLF 및 다수의 UDM을 사용하는 5G에서의 상위 레벨 UE 인증 절차(400)를 도시한다. 하나의 예시적인 실시예에 따라, UDM 대신에 SLF에서 IMSI 해독을 수행하는 것은 코어 인증 기능을 변경하지 않고 유지하는 데 도움이 된다. 본 명세서에 사용되는 것으로, 약어 EAP는 확장 가능한 인증 프로토콜(Extensible Authentication Protocol)을 나타내고, 약어 AKA는 인증 및 키 계약(Authentication and Key Agreement)을 나타낸다.
보다 구체적으로는, 도 4는 UE(402), (R)AN(404), AMF(406), SLF(408), AUSF/UDM(410-1) 및 AUSF/UDM(410-2)를 도시한다. 단지 두 개의 AUSF/UDM만이 도시되지만, 본 명세서에 설명된 실시예들에 따라 임의의 수의 AUSF/UDM들이 구현될 수 있다. 도 4의 UE 인증 절차 흐름의 단계 1에서, UE(402)는 등록 요청(암호화된 IMSI)을 (R)AN(404)을 통해 AMF(406)로 전송한다. 암호화된 IMSI를 언급함으로써, 이것은 전형적으로 암호화된 IMSI의 일부, 예를 들어 MSIN, 또는 IMSI의 전부 또는 다른 부분들을 지칭할 수 있다는 것을 유의하여야 한다. 단계 2에서, AMF(406)는 인증 요청(암호화된 IMSI)을 SLF(408)로 전송한다. 단계 3은 하위 단계들(3a 및 3b)을 포함한다. 단계 3a에서, SLF(408)는 암호화된 IMSI를 해독한다. 일 실시예에서, SLF(408)는 프로비저닝된 인증서를 사용하여 암호화된 IMSI를 해독한다. 단계 3b 에서, SLF(408)는 UDM과의 IMSI 매핑에 기초하여 HSS를 선택한다. 단계 4에서, SLF(408)는 인증 요청(IMSI)을 선택된 UDM로 전송하는데, 선택된 UDM은 도 4에 도시된 바와 같이 AUSF/UDM(410-1)이다. 단계 5에서, AUSF/UDM(410-1)은 루트 키에 기초하여 인증 벡터(AV)들을 생성한다. 단계 6에서, AUSF/UDM(410-1)은 EAP AKA' 인증 또는 EAP AKA* 인증을 개시한다(AKA*는 홈 제어가 증가된 AKA를 지칭한다). 단계 7에서, AUSF/UDM(410-1)은 인증 응답(AV들)을 SLF(408)로 전송하고, 단계 8에서, SLF(408)는 인증 응답(AV들)을 AMF(406)로 전송한다. 단계 9에서, AMF(406)는 인증 요청을 (R)AN(404)을 통해 UE(402)로 전송한다.
도 5는 하나의 예시적인 실시예에 따른, 4G LTE 및 5G 네트워크들을 지원하는 UDM 및 HSS의 혼합된 코어 아키텍처에 대한 절차(500)를 도시한다. SLF에서 IMSI의 해독은 두 코어를 모두 관리하는 데 도움이 된다.
보다 구체적으로는, 도 5은 UE(502), gNB(504), AMF/MME(506), SLF(508), AUSF/UDM들(510-1 및 510-2) 및 HSS(512)를 도시한다. 단지 두 개의 AUSF/UDM만이 도시되지만, 본 명세서에 설명된 실시예들에 따라 임의의 수의 AUSF/UDM들이 구현될 수 있다.
도 5의 절차의 단계 1에서, UE(502)는 접속 요청(암호화된 IMSI)을 gNB(504)를 통해 AMF/MME(506)로 전송한다. 암호화된 IMSI를 언급함으로써, 이것은 전형적으로 암호화된 IMSI의 일부, 예를 들어 MSIN, 또는 IMSI의 전부 또는 다른 부분들을 지칭할 수 있다는 것을 유의하여야 한다. 단계 2에서, AMF/MME(506)는 이어서 인증 요청(암호화된 IMSI)을 SLF(508)로 전송한다. 단계 3은 하위 단계들(3a 및 3b)을 포함한다. 단계 3a에서, SLF(508)는 암호화된 IMSI를 해독한다. 일 실시예에서, SLF(508)는 프로비저닝된 인증서를 사용하여 암호화된 IMSI를 해독한다. 단계 3b에서, SLF(508)는 HSS와의 IMSI 매핑에 기초하여 HSS를 선택한다. 단계 4에서, SLF(508)는 인증 요청(IMSI)을 AUSF/UDM들(510-1 및 510-2)을 통해 선택된 HSS, 즉 HSS(512)로 전송한다. 단계 5에서, HSS(512)는 루트 키에 기초하여 인증 벡터(AV)들을 생성한다. 단계 6에서, HSS(512)는 인증 응답(AV들)을 AUSF/UDM들(510-1 및 510-2)을 통해 SLF(508)로 전송하고, 단계 7에서, SLF(508)는 인증 응답(AV들)을 AMF/MME(506)로 전송한다. 단계 8에서, AMF/MME(506)는 접속 응답을 gNB(504)를 통해 UE(502)로 전송한다.
도 6은 예시적인 실시예에 따른, 암호화된 IMSI, SLF 및 다수의 UDM을 사용하는 5G에서의 상위 레벨 UE 인증 절차(600)를 도시한다. UDM 대신에 SLF에서 IMSI 해독을 수행하는 것은 코어 인증 기능을 변경하지 않고 유지하는 데 도움이 된다.
보다 구체적으로는, 도 6은 UE(602), (R)AN(604), AMF(606), AUSF(608), SLF(610) 및 UDM들(612-1 및 612-2)를 도시한다. 단지 두 개의 UDM만이 도시되지만, 본 명세서에 설명된 실시예들에 따라 임의의 수의 UDM들이 구현될 수 있다. 도 6의 상위 레벨 UE 인증 절차 흐름의 단계 1에서, UE(602)는 등록 요청(암호화된 IMSI)을 (R)AN(604)을 통해 AMF(606)로 전송한다. 암호화된 IMSI를 언급함으로써, 이것은 전형적으로 암호화된 IMSI의 일부, 예를 들어 MSIN, 또는 IMSI의 전부 또는 다른 부분들을 지칭할 수 있다는 것을 유의하여야 한다. 단계 2에서, AMF(606)는 이어서 인증 요청(암호화된 IMSI)을 AUSF(608)로 전송한다. 단계 3에서, AUSF(608)는 인증 요청(암호화된 IMSI)을 SLF(610)로 전송한다. 단계 3a에서, SLF(610)는 암호화된 IMSI를 해독한다. 일 실시예에서, SLF(610)는 프로비저닝된 인증서를 사용하여 암호화된 IMSI를 해독한다. 단계 3b에서, SLF(610)는 UDM과의 IMSI 매핑에 기초하여 HSS를 선택한다. 단계 4에서, SLF(610)는 인증 요청(IMSI)을 선택된 UDM로 전송하는데, 선택된 UDM은 도 6에 도시된 바와 같이 UDM(612-1)이다. 단계 5에서, UDM(612-1)은 루트 키에 기초하여 인증 벡터(AV)들을 생성한다. 단계 6에서, UDM(612-1)은 인증 응답(AV들)을 SLF(610)로 전송하고, 단계 7에서, SLF(610)는 인증 응답(AV들)을 AUSF(608)로 전송한다. 단계 8에서, AUSF(608)는 EAP AKA' 인증 또는 EAP AKA* 인증을 개시한다. 단계 9에서, AUSF(608)는 인증 응답을 AMF(606)로 전송한다. 단계 10에서, AMF(606)는 인증 요청을 (R)AN(604)을 통해 UE(602)로 전송한다.
도 7은 예시적인 실시예에 따른, UE가 비 3GPP 액세스(WLAN) 및 인증을 통해 5G 네트워크에 액세스하기 위한 절차(700)를 도시한다. 본 명세서에 사용된 것으로, 약어 AN은 액세스 네트워크(access network)를 지칭하고, 약어 NAI는 네트워크 액세스 식별자(Network Access Identifier)를 지칭하며, 약어 SUPI는 UE의 직렬화된 고유 제품 식별자(Serialized Unique Product Identifier)를 지칭한다.
보다 구체적으로는, 도 7은 UE(702), 비 3GPP AN(704), AMF(706), AUSF(708) 및 UDM(710)을 도시한다. 도 7의 절차의 단계 1에서, UE(702)는 등록 요청을 비 3GPP AN(704)을 통해 AMF(706)로 전송한다. 단계 2에서, AMF(706)는 인증 요청(NAI, [EAP])을 AUSF(708)로 전송한다. AUSF(708)는 인증 유형(예를 들어, EAP AKA' 인증 또는 EAP AKA* 인증)을 결정하고, EAP 서버로서의 역할을 하여 EAP AKA' 인증 또는 EAP AKA* 인증을 수행한다. 단계 3에서, 보안 자료가 NAI에 기초하여 UDM(710)으로부터 검색된다. 단계 4에서, AUSF(708)는 인증 응답([EAP])을 AMF(706)로 전송하며, AMF는 단계 5에서 UE 인증을 개시한다. 도시된 바와 같이, UE 인증 동안, AMF(706)는 인증 요청(SUPI, [EAP])을 AUSF(708)로 전송한다. 선택된 EAP 인증 방법에 따라 UE(702)와 AUSF(708) 사이에는 (AMF(706)를 통해) 여러 인증 요청 메시지들이 요구될 수 있다. 성공적인 UE 인증에 따라, AUSF(708)는 AMF(706)에게 인증 응답([EAP], 키)을 전송한다. 키는 AMF(706)에 의해 비 액세스 계층(Non-Access Stratum)(NAS), 제어 평면(Control Plane)(CP) 및 사용자 평면(User Plane)(UP) 특정 보안 키들을 생성하는 데 사용될 수 있는 보안 키이다.
본 명세서에 논의된 기술들은 통신 시스템들에서 인증 요청들을 위한 하나 이상의 프라이버시 표시자를 제공한다. 예를 들어, 이러한 프라이버시 표시자들은 통신 시스템의 요소들에 송신되는 정보 요소 또는 플래그 내의 하나 이상의 비트를 사용함으로써 제어(예를 들어, 설정)될 수 있다. 또한, 사용자 장비의 홈 네트워크 및 코어 네트워크 내의 다른 요소들/기능들(예를 들어, 서버 위치 기능)이 하나 이상의 프라이버시 표시자를 효율적으로 처리할 수 있는 방법을 다루는 방법들 및 메커니즘들이 제공된다. 유리하게는, 하나 이상의 프라이버시 표시자는 이들이 구현되는 하나 이상의 네트워크 구성에서 낭비되는 컴퓨팅 자원들을 절약한다.
본 명세서에 언급된 식별자들, 예를 들어 IMSI 등의 명명은 단지 예시적인 목적을 위한 것임을 이해하여야 한다. 즉, UE에 대한 식별자는 상이한 통신 네트워크 기술들에 대한 상이한 프로토콜들 및 표준들에서 상이한 명칭들 또는 약어들을 가질 수 있다. 이와 같이, 본 명세서에서 이러한 식별자들에 부여된 특정 명칭들 또는 약어들은 어느 방식으로든 실시예들을 제한하는 것으로 의도되지 않는다.
앞에서 시사한 바와 같이, 실시예들은 LTE 또는 5G 맥락으로 제한되지 않으며, 개시된 기술들은 이것으로 제한되는 것은 아니지만 신원 요청 프로세스에서 신원(예를 들어, IMSI 또는 동등한 것)을 사용하는 다른 3GPP 시스템들 및 비 3GPP 시스템들을 비롯한 다양한 다른 통신 시스템 맥락들에 간단한 방식으로 적응될 수 있다.
본 명세서에 개시된 바와 같은 통신 시스템의 사용자 장비 또는 기지국 요소의 프로세서, 메모리, 제어기 및 다른 컴포넌트들은 위에서 설명한 신원 요청 기능성의 적어도 일부를 구현하도록 적절하게 수정된 공지된 회로를 포함할 수 있다.
위에서 언급한 바와 같이, 실시예들은 통신 시스템의 사용자 장비, 기지국들 또는 다른 요소들의 처리 회로에 의해 실행되는 하나 이상의 소프트웨어 프로그램을 각각 포함하는 제조 물품들의 형태로 구현될 수 있다. 이러한 회로의 통상적인 양태들은 관련 기술분야의 통상의 기술자에게 잘 알려져 있으므로 본 명세서에서는 상세하게 설명되지 않을 것이다. 또한, 실시예들은 하나 이상의 ASIC, FPGA 또는 다른 유형의 집적 회로 디바이스에서 임의의 조합으로 구현될 수 있다. 이러한 집적 회로 디바이스들뿐만 아니라, 이들의 부분들 또는 조합들은 본 명세서에서 그 용어가 사용되는 "회로"의 예들이다. 다양한 다른 배열의 하드웨어들 및 연관된 소프트웨어 또는 펌웨어 구성이 예시적인 실시예들을 구현하는 데 사용될 수 있다.
그러므로 본 명세서에 설명된 다양한 실시예는 단지 예시적인 예로서 제시될 뿐이며, 청구 범위의 범주를 제한하는 것으로 해석되어서는 안된다는 것이 다시 강조되어야 한다. 예를 들어, 대안적인 실시예들은 예시적인 실시예들의 맥락에서 위에서 설명한 것과 상이한 통신 시스템 구성들, 사용자 장비 구성들, 기지국 구성들, 신원 요청 프로세스들, 메시징 프로토콜들 및 메시지 포맷들을 이용할 수 있다. 첨부된 청구 범위의 범주 내의 이들 및 수 많은 다른 대안적인 실시예들은 관련 기술분야의 통상의 기술자에게 명백해질 것이다.

Claims (15)

  1. 장치로서,
    적어도 하나의 프로세서와,
    명령어를 저장하는 적어도 하나의 메모리를 포함하되,
    상기 명령어는 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 장치로 하여금 적어도,
    등록 요청을 포함하는 메시지를 생성하는 것 ― 상기 메시지는 상기 장치와 연관된 가입자에 대한 가입 식별자를 포함함 ― 과,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인지 여부를 결정하는 것과,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인 경우, 상기 메시지 내의 상기 가입 식별자를 프라이버시 보호하는 것 ― 상기 메시지는 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는지 여부를 표시하는 2개 이상의 프라이버시 표시자를 포함하고, 상기 2개 이상의 프라이버시 표시자 중 적어도 하나는 사용되는 알고리즘 방식(algorithm scheme)에 존재하고, 상기 프라이버시 표시자의 제1 값은 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것을 표시함 ― 과,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것이 아닌 경우, 상기 메시지 내의 상기 가입 식별자를 프라이버시 보호하지 않는 것 ― 상기 메시지는 상기 등록 요청 내의 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는지 여부를 표시하는 2개 이상의 프라이버시 표시자를 포함하고, 상기 프라이버시 표시자 중 적어도 하나는 사용되는 알고리즘 방식에 존재하고, 상기 프라이버시 표시자의 제2 값은 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받지 않는 것을 표시하며, 상기 제2 값은 상기 제1 값과 상이함 ― 과,
    상기 등록 요청을 포함하는 상기 메시지를 통신 네트워크 내의 네트워크 엔티티로 전송하는 것
    을 수행하게 하는,
    장치.
  2. 제1항에 있어서,
    상기 메시지는 제2 메시지이고, 상기 명령어는 또한 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 장치로 하여금,
    상기 네트워크 엔티티 또는 상기 통신 네트워크가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부의 표시를 포함하는 제1 메시지를 상기 네트워크 엔티티로부터 수신하는 것과,
    적어도 상기 제1 메시지에 기초하여, 상기 통신 네트워크 내의 상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부를 결정하는 것과,
    상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부에 기초하여, 상기 제2 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인지 여부를 결정하는 것
    을 수행하게 하는,
    장치.
  3. 제2항에 있어서,
    상기 명령어는 또한 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 장치로 하여금, 상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는 것을 상기 제1 메시지가 표시하는지 여부에 기초하여, 상기 장치와 연관된 상기 통신 네트워크의 가입자의 실제 신원(real identity)에 대한 요청에 응답하는 것을 금지하는 것을 수행하게 하는,
    장치.
  4. 제3항에 있어서,
    상기 가입자의 실제 신원에 대한 상기 요청은 IMSI(International Mobile Subscriber Identity) 페이징 요청을 포함하는,
    장치.
  5. 제1항에 있어서,
    상기 통신 네트워크 내의 상기 네트워크 엔티티는 SLF(Server Location Function), HSS(Home Subscriber Server) 또는 UDM(User Data Management) 기능 중 하나를 포함하는,
    장치.
  6. 제2항에 있어서,
    상기 제1 메시지는 마스터 정보 블록(Master Information Block) 또는 시스템 정보 블록(System Information Block)을 포함하는 시스템 정보 메시지(System Information Message)를 포함하고, 상기 마스터 정보 블록 또는 상기 시스템 정보 블록 중 하나는 상기 네트워크 엔티티 또는 상기 통신 네트워크가 프라이버시 보호를 받는 구독 식별자를 처리하도록 구성되는지 여부의 표시를 포함하는,
    장치.
  7. 제1항에 있어서,
    상기 메시지는, 상기 통신 네트워크의 상기 네트워크 엔티티로 하여금, 상기 등록 요청을 제공할 하나 이상의 HSS(Home Subscriber Server) 또는 하나 이상의 UDM(User Data Management) 기능을 식별하기 전에 프라이버시 보호를 제거하게 하거나, 상기 등록 요청을 제공할 하나 이상의 HSS(Home Subscriber Server) 또는 하나 이상의 UDM(User Data Management) 기능을 식별하기 전에 프라이버시 보호를 제거하지 않게 하도록 사용 가능한,
    장치.
  8. 제1항에 있어서,
    상기 장치는 사용자 장비인,
    장치.
  9. 방법으로서,
    사용자 장비에서, 등록 요청을 포함하는 메시지를 생성하는 단계 ― 상기 메시지는 상기 사용자 장비와 연관된 가입자에 대한 가입 식별자를 포함함 ― 와,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인지 여부를 결정하는 단계와,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인 경우, 상기 메시지 내의 상기 가입 식별자를 프라이버시 보호하는 단계 ― 상기 메시지는 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는지 여부를 표시하는 2개 이상의 프라이버시 표시자를 포함하고, 상기 2개 이상의 프라이버시 표시자 중 적어도 하나는 사용되는 알고리즘 방식에 존재하고, 상기 프라이버시 표시자의 제1 값은 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것을 표시함 ― 와,
    상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것이 아닌 경우, 상기 메시지 내의 상기 가입 식별자를 프라이버시 보호하지 않는 단계 ― 상기 메시지는 상기 등록 요청 내의 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는지 여부를 표시하는 2개 이상의 프라이버시 표시자를 포함하고, 상기 프라이버시 표시자 중 적어도 하나는 사용되는 알고리즘 방식에 존재하고, 상기 프라이버시 표시자의 제2 값은 상기 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받지 않는 것을 표시하며, 상기 제2 값은 상기 제1 값과 상이함 ― 와,
    상기 등록 요청을 포함하는 상기 메시지를 상기 사용자 장비로부터 통신 네트워크 내의 네트워크 엔티티로 전송하는 단계를 포함하는,
    방법.
  10. 제9항에 있어서,
    상기 메시지는 제2 메시지이고, 상기 방법은,
    상기 사용자 장비에서, 상기 네트워크 엔티티 또는 상기 통신 네트워크가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부의 표시를 포함하는 제1 메시지를 상기 네트워크 엔티티로부터 수신하는 단계와,
    적어도 상기 제1 메시지에 기초하여, 상기 통신 네트워크 내의 상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부를 결정하는 단계와,
    상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는지 여부에 기초하여, 상기 제2 메시지 내의 상기 가입 식별자가 프라이버시 보호를 받는 것인지 여부를 결정하는 단계를 더 포함하는,
    방법.
  11. 제10항에 있어서,
    상기 네트워크 엔티티가 프라이버시 보호를 받는 가입 식별자를 처리하도록 구성되는 것을 상기 제1 메시지가 표시하는지 여부에 기초하여, 상기 사용자 장비와 연관된 상기 통신 네트워크의 가입자의 실제 신원에 대한 요청에 응답하는 것을 금지하는 단계를 더 포함하는,
    방법.
  12. 제11항에 있어서,
    상기 가입자의 실제 신원에 대한 상기 요청은 IMSI(International Mobile Subscriber Identity) 페이징 요청을 포함하는,
    방법.
  13. 제9항에 있어서,
    상기 통신 네트워크 내의 상기 네트워크 엔티티는 SLF(Server Location Function), HSS(Home Subscriber Server) 또는 UDM(User Data Management) 기능 중 하나를 포함하는,
    방법.
  14. 제10항에 있어서,
    상기 제1 메시지는 마스터 정보 블록(Master Information Block) 또는 시스템 정보 블록(System Information Block)을 포함하는 시스템 정보 메시지(System Information Message)를 포함하고, 상기 마스터 정보 블록 또는 상기 시스템 정보 블록 중 하나는 상기 네트워크 엔티티 또는 상기 통신 네트워크가 프라이버시 보호를 받는 구독 식별자를 처리하도록 구성되는지 여부의 표시를 포함하는,
    방법.
  15. 제9항에 있어서,
    상기 메시지는, 상기 통신 네트워크의 상기 네트워크 엔티티로 하여금, 상기 등록 요청을 제공할 하나 이상의 HSS(Home Subscriber Server) 또는 하나 이상의 UDM(User Data Management) 기능을 식별하기 전에 프라이버시 보호를 제거하게 하거나, 상기 등록 요청을 제공할 하나 이상의 HSS(Home Subscriber Server) 또는 하나 이상의 UDM(User Data Management) 기능을 식별하기 전에 프라이버시 보호를 제거하지 않게 하도록 사용 가능한,
    방법.
KR1020237010706A 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들 KR102574854B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020237029725A KR102619984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201762502266P 2017-05-05 2017-05-05
US62/502,266 2017-05-05
US15/794,856 US11792172B2 (en) 2017-05-05 2017-10-26 Privacy indicators for controlling authentication requests
US15/794,856 2017-10-26
KR1020227013200A KR102516984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
PCT/US2018/030143 WO2018204235A1 (en) 2017-05-05 2018-04-30 Privacy indicators for controlling authentication requests

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020227013200A Division KR102516984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020237029725A Division KR102619984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들

Publications (2)

Publication Number Publication Date
KR20230062585A KR20230062585A (ko) 2023-05-09
KR102574854B1 true KR102574854B1 (ko) 2023-09-06

Family

ID=64015601

Family Applications (5)

Application Number Title Priority Date Filing Date
KR1020237010706A KR102574854B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020197036048A KR102390364B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020227013200A KR102516984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020237029725A KR102619984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020237044920A KR20240005217A (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들

Family Applications After (4)

Application Number Title Priority Date Filing Date
KR1020197036048A KR102390364B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020227013200A KR102516984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020237029725A KR102619984B1 (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들
KR1020237044920A KR20240005217A (ko) 2017-05-05 2018-04-30 인증 요청들을 제어하기 위한 프라이버시 표시자들

Country Status (13)

Country Link
US (2) US11792172B2 (ko)
EP (1) EP3619905A1 (ko)
JP (2) JP7066746B2 (ko)
KR (5) KR102574854B1 (ko)
CN (2) CN116017424A (ko)
AU (2) AU2018261590B2 (ko)
CA (1) CA3062521A1 (ko)
CO (1) CO2019013129A2 (ko)
MX (1) MX2019013181A (ko)
PH (1) PH12019502488A1 (ko)
RU (1) RU2737348C1 (ko)
WO (1) WO2018204235A1 (ko)
ZA (1) ZA201907865B (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3469822B1 (en) * 2016-06-08 2020-12-16 Deutsche Telekom AG Improved handling of ims services and emergency calls in a roaming scenario of a user equipment
US10645583B2 (en) * 2018-02-15 2020-05-05 Nokia Technologies Oy Security management for roaming service authorization in communication systems with service-based architecture
US11284254B2 (en) * 2018-04-14 2022-03-22 Telefonaktiebolaget Lm Ericsson (Publ) Service-based 5G core authentication endpoints
US10904754B2 (en) 2018-11-28 2021-01-26 International Business Machines Corporation Cellular network authentication utilizing unlinkable anonymous credentials
CN111314899B (zh) * 2018-12-11 2021-10-26 华为技术有限公司 消息处理方法、相关装置及系统
JP7351498B2 (ja) * 2019-02-25 2023-09-27 株式会社closip 通信システム及び通信制御方法
CN111757311B (zh) * 2019-03-29 2021-10-22 华为技术有限公司 一种鉴权方法及通信装置
CN110234138A (zh) * 2019-04-30 2019-09-13 努比亚技术有限公司 通信切换控制方法、通信设备、系统及存储介质
CN112218287B (zh) * 2019-07-12 2023-05-12 华为技术有限公司 一种通信方法及装置
US11228896B2 (en) * 2019-09-20 2022-01-18 Verizon Patent And Licensing Inc. Authorization of roaming for new radio subscribers via an alternative radio access technology
KR20210090965A (ko) 2020-01-13 2021-07-21 주식회사 엘지에너지솔루션 흡수 부재를 포함한 배터리 모듈, 이를 포함하는 배터리 랙, 및 전력 저장 시스템
CN111405557B (zh) * 2020-03-19 2022-03-15 中国电子科技集团公司第三十研究所 一种使5g网络灵活支撑多种主认证鉴权算法的方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080130898A1 (en) 2006-10-16 2008-06-05 Nokia Corporation Identifiers in a communication system
US20160014630A1 (en) 2013-03-25 2016-01-14 Huawei Technologies Co., Ltd. Processing method for minimization of drive tests, network device, and communications system
WO2016160256A1 (en) 2015-03-30 2016-10-06 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000031980A (ja) 1998-07-10 2000-01-28 Kokusai Electric Co Ltd 無線lanシステムとその暗号化方法
RU2185027C1 (ru) 2001-02-22 2002-07-10 Военный университет связи Способ обмена сообщениями в цифровых сетях подвижной радиосвязи с пакетной передачей информации
US20030023451A1 (en) * 2001-07-27 2003-01-30 Willner Barry E. Method and apparatus for identifying privacy levels
RU2253948C1 (ru) 2003-09-02 2005-06-10 Войсковая часть 45807 Способ передачи сообщений с обеспечением конфиденциальности идентификационных признаков взаимодействующих объектов в сети связи
US7628322B2 (en) 2005-03-07 2009-12-08 Nokia Corporation Methods, system and mobile device capable of enabling credit card personalization using a wireless network
US7623639B2 (en) 2005-03-29 2009-11-24 Tuan Thai System and method of providing number identification in an intelligent telephone network
EP1873998B1 (en) 2006-06-27 2018-09-19 Vringo Infrastructure Inc. Identifiers in a communication system
WO2009062779A2 (en) 2007-11-15 2009-05-22 Nokia Corporation Integration of pre rel-8 home location registers in evolved packet system
KR20100008326A (ko) 2008-07-15 2010-01-25 엘지전자 주식회사 위치 비밀성 지원 방법
US8904167B2 (en) 2010-01-22 2014-12-02 Qualcomm Incorporated Method and apparatus for securing wireless relay nodes
EP2567499B1 (en) 2010-05-04 2016-10-26 Qualcomm Incorporated Shared circuit switched security context
CN102131188B (zh) 2010-09-01 2013-12-04 华为技术有限公司 用户身份信息传输的方法、用户设备、网络侧设备及系统
US20140141746A1 (en) 2012-11-20 2014-05-22 Khiam Yong Tan Subscriber identity systems, servers, methods for controlling a subscriber identity system, and methods for controlling a server
US9674048B2 (en) * 2013-06-03 2017-06-06 Qualcomm Incorporated Efficient infrastructure service discovery with security
US9392457B2 (en) 2013-11-27 2016-07-12 Cellco Partnership Method and apparatus for self-activating a mobile device
GB2525205B (en) 2014-04-15 2020-12-16 Vodafone Ip Licensing Ltd Provisioning a network subscription
US10306461B2 (en) 2014-06-03 2019-05-28 Deutsche Telekom Ag Provision of subscriber profile to a MME in case of roaming
WO2016017886A1 (en) 2014-08-01 2016-02-04 Lg Electronics Inc. A method of performing an initial access by protecting privacy on a network and user equipment therefor
CN105338615B (zh) * 2014-08-12 2019-12-03 中兴通讯股份有限公司 用户设备的注册方法、实体及系统
US9384357B2 (en) 2014-10-01 2016-07-05 Quixey, Inc. Providing application privacy information
JP6325673B2 (ja) 2014-10-29 2018-05-16 エルジー エレクトロニクス インコーポレイティド 放送信号受信装置及び放送信号受信方法
KR102308763B1 (ko) 2015-01-20 2021-10-05 삼성전자주식회사 개인 정보 데이터 보안을 강화하는 장치 및 방법
EP3281433A1 (en) 2015-04-10 2018-02-14 Nokia Solutions and Networks Oy Apparatus and method for requesting and providing security credentials for specific networks
US10931644B2 (en) 2015-06-23 2021-02-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US9998856B2 (en) * 2016-05-13 2018-06-12 Qualcomm Incorporated Method and/or system for positioning of a mobile device
CN109417475B (zh) 2016-05-30 2022-06-28 意大利电信股份公司 无线电信网络中的隐私保护
EP3485624B1 (en) 2016-07-18 2021-09-15 Telefonaktiebolaget LM Ericsson (PUBL) Operation related to user equipment using secret identifier
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080130898A1 (en) 2006-10-16 2008-06-05 Nokia Corporation Identifiers in a communication system
US20160014630A1 (en) 2013-03-25 2016-01-14 Huawei Technologies Co., Ltd. Processing method for minimization of drive tests, network device, and communications system
WO2016160256A1 (en) 2015-03-30 2016-10-06 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy

Also Published As

Publication number Publication date
WO2018204235A1 (en) 2018-11-08
AU2023202706A1 (en) 2023-05-18
KR20230130766A (ko) 2023-09-12
JP2020523812A (ja) 2020-08-06
KR20230062585A (ko) 2023-05-09
EP3619905A1 (en) 2020-03-11
CO2019013129A2 (es) 2020-02-18
AU2018261590B2 (en) 2023-02-02
KR20240005217A (ko) 2024-01-11
ZA201907865B (en) 2022-06-29
PH12019502488A1 (en) 2020-07-13
CN110999247A (zh) 2020-04-10
CN110999247B (zh) 2023-01-13
KR20200004377A (ko) 2020-01-13
AU2018261590A1 (en) 2020-01-02
US20240007449A1 (en) 2024-01-04
CN116017424A (zh) 2023-04-25
RU2737348C1 (ru) 2020-11-27
MX2019013181A (es) 2020-07-28
US11792172B2 (en) 2023-10-17
KR102390364B1 (ko) 2022-04-25
KR102516984B1 (ko) 2023-04-03
KR20220058642A (ko) 2022-05-09
JP2022109996A (ja) 2022-07-28
JP7066746B2 (ja) 2022-05-13
CA3062521A1 (en) 2018-11-08
US20180324585A1 (en) 2018-11-08
KR102619984B1 (ko) 2023-12-29

Similar Documents

Publication Publication Date Title
KR102574854B1 (ko) 인증 요청들을 제어하기 위한 프라이버시 표시자들
US11038923B2 (en) Security management in communication systems with security-based architecture using application layer security
US10574462B2 (en) Interfaces for privacy management as service or function
RU2755196C1 (ru) Управление унифицированными идентификаторами подписки в системах связи
EP3487196B1 (en) Privacy managing entity selection in communication system
US10574457B2 (en) Indicator for determination of key for processing message in communication system
JP7388464B2 (ja) 第1のネットワーク装置及び第1のネットワーク装置のための方法
WO2018204228A1 (en) Identity request control for user equipment
ES2928428T3 (es) Capacidades de protección de privacidad

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right