KR102593822B1 - 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템 - Google Patents

무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템 Download PDF

Info

Publication number
KR102593822B1
KR102593822B1 KR1020217031014A KR20217031014A KR102593822B1 KR 102593822 B1 KR102593822 B1 KR 102593822B1 KR 1020217031014 A KR1020217031014 A KR 1020217031014A KR 20217031014 A KR20217031014 A KR 20217031014A KR 102593822 B1 KR102593822 B1 KR 102593822B1
Authority
KR
South Korea
Prior art keywords
cag
access
npn
cell
udm
Prior art date
Application number
KR1020217031014A
Other languages
English (en)
Other versions
KR20210121301A (ko
Inventor
나렌드라나스 두르가 탄구두
라자벨사미 라자두라이
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20210121301A publication Critical patent/KR20210121301A/ko
Application granted granted Critical
Publication of KR102593822B1 publication Critical patent/KR102593822B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/02Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas
    • H04B7/04Diversity systems; Multi-antenna system, i.e. transmission or reception using multiple antennas using two or more spaced independent antennas
    • H04B7/0413MIMO systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 개시는 4G(4th generation) 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 통신 시스템을 IoT(Internet of things) 기술과 융합하는 통신 기법 및 그 시스템에 관한 것이다. 무선 네트워크(예를 들면, 액세스 네트워크(access network, AN), 코어 네트워크(core network, CN))에서 서비스 거부(denial of service, DoS) 공격을 완화하기 위한 방법, 네트워크 엔티티 및 시스템. 본 실시예들은 프라이머리 인증을 수행함 없이 CAG(Closed Access Group) 셀을 통해 사용자 장비(user equipment, UE)의 등록 요청을 검증하는 것에 의하여 수락 제어를 수행함으로써 무선 네트워크에서 서비스 거부(DOS) 공격을 완화하기 위한 방법 및 시스템을 개시한다. 본 명세서의 실시예들은 프라이머리 인증을 수행하기 전에 UE의 가입 식별자에 기초하여 CAG 셀에 액세스하기 위한 UE의 권한들을 검증하기 위한 방법 및 시스템을 개시한다. 무선 네트워크에서 서비스 거부(DoS) 공격을 완화하기 위한 방법 및 시스템. 무선 네트워크에서 DOS 공격을 완화하는 방법은 CAG(Closed Access Group) 셀을 통해 NPN(Non-Public Network)에 액세스하기 위해 PLMN(Public Land Mobile Network)에 요청하는 단계, CAG 셀을 통해 요청된 NPN에 액세스하기 위한 사용자 장비(UE)의 권한들을 검증하는 단계, 및 프라이머리 인증을 수행하는 단계를 포함한다.

Description

무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템
본 개시는 무선 네트워크 분야에 관한 것이며, 보다 구체적으로는 무선 네트워크에서 서비스 거부(Denial of Service, DoS) 공격을 완화하는 것에 관한 것이다.
4G(4th generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G(5th generation) 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후(Beyond 4G Network) 통신 시스템 또는 LTE(Long Term Evolution) 시스템 이후(Post LTE) 시스템이라 불리어지고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역(예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO, FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나(large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀(advanced small cell), 클라우드 무선 액세스 네트워크(cloud radio access network, cloud RAN), 초고밀도 네트워크(ultra-dense network), 기기 간 통신(Device to Device communication, D2D), 무선 백홀(wireless backhaul), 이동 네트워크(moving network), 협력 통신(cooperative communication), CoMP(Coordinated Multi-Points), 및 수신 간섭제거(interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation, ACM) 방식인 FQAM(Hybrid Frequency Shift Keying and Quadrature Amplitude Modulation) 및 SWSC(Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(Non Orthogonal Multiple Access), 및 SCMA(Sparse Code Multiple Access) 등이 개발되고 있다.
현재, 사설 무선 네트워크/비공용 네트워크(networks/non-public networks, NPN)는 비즈니스 프로세스의 커버리지, 성능 및 보안 요구 사항을 충족하고 최적화하기 위해 기업에 의해 배치된다. NPN은 비독립형 NPN 및 독립형 NPN으로 배치될 수 있다. 비독립형 NPN은 CAG(Closed Access Group) 셀 및/또는 네트워크 슬라이싱을 사용하여 PLMN(Public Land Mobile Networks)과 함께 배치되며, 이것을 공용 네트워크 통합 비공용 네트워크(Public Network integrated Non-Public Network)라고도 한다. 비독립형 NPN이 PLMN과 함께 배치될 경우, 사용자 장비(UE)는 NPN에 액세스하고 CAG 셀을 사용하여 PLMN을 통해 NPN에 의해 제공되는 서비스를 얻을 수 있다. CAG는 하나 이상의 CAG 셀/NPN에 액세스할 수 있는 가입자/UE 그룹을 식별한다. CAG는 또한 UE가 NPN에 대한 액세스를 제공하지 않는 위치 또는 UE가 NPN에 액세스하는 것이 허용되지 않는 위치에서 UE가 자동으로 선택 및 등록하는 것을 방지할 수 있다. CAG는 CAG 셀/NPN에 의해 브로드캐스트되는 CAG 식별자(CAG identifier, CAG ID)에 의해 식별된다. CAG 셀은 PLMN 당 하나 이상의 CAG 식별자를 브로드캐스트한다. UE는 PLMN을 통해 NPN에 액세스하기 위한 NPN 권한/가입/승인을 가질 수 있다. UE는 자신의 NPN 권한/가입/승인에 기초하여 허용되는 CAG ID/CAG 셀의 목록(이하 CAG 셀/NPN에 액세스하기 위한 권한으로 지칭됨)으로 추가로 구성될 수 있다. UE가 CAG 셀/NPN에 액세스하기를 원하는 경우, PLMN은 UE의 NPN 권한/가입 및 UE에 대한 CAG 셀의 허용 목록을 기반으로, UE가 CAG 셀에 액세스할 수 있는지 여부를 검증해야 한다. 본 명세서의 실시예들은 "권한", "가입", "승인" 등과 같은 용어를 상호 교환적으로 사용한다.
독립형 NPN은 PLMN의 지원을 요구함 없이 배치될 수 있다. 독립형 NPN은 CAG 및/또는 비공용 네트워크 식별자를 사용하여 하나 이상의 CAG 셀/NPN에 액세스하도록 허용/승인된 가입자/UE 그룹을 식별할 수 있다.
현재 3GPP 사양(TS 23.501)에 따라, NPN에 액세스하기 위해, UE는 초기 NAS(Non Access Stratum) 메시지(예를 들면, 등록 메시지) 또는 임의의 NAS 메시지(예를 들면, 아이덴티티 응답 메시지)에서 SUCI(subscription concealed identifier)를 PLMN의 서빙 네트워크로 전송함으로써 등록 절차를 개시한다. 서빙 네트워크는 UE의 수신된 SUCI를 기반으로(SUCI를 은닉하고 SUPI를 도출한 후) UE를 인증하기 위해 프라이머리 인증 절차를 수행한다. 프라이머리 인증이 성공하면, 서빙 네트워크는 UE에 권한이 있는지 또는 UE가 CAG 셀/NPN에 액세스하도록 승인되었는지 검증하고, 성공적인 검증에 기초하여 UE가 CAG 셀/NPN에 액세스할 수 있도록 한다. 그러나, 서빙 네트워크는 UE가 CAG 셀/NPN 셀에 액세스할 수 있는 권한이 있는지 검증하기 위해 성공적인 프라이머리 인증 절차가 완료될 때까지 기다려야 하며, 이것은 서빙 네트워크에 오버헤드를 초래할 수 있다.
또한, 네트워크에 많은 수의 UE가 있는 경우, 특정 CAG 셀의 NPN에 액세스하기 위해 불량/오작동/악성 UE에 의해 수행되거나 유효한 NPN 권한이 있거나 없는 다른 CAG 셀에 분산된 등록 절차들은 CAG 셀에 대한 액세스 권한이 없으면 서빙 네트워크에 대한 (분산된) 서비스 거부((D)DoS) 공격으로 이어질 수 있다.
(D)DOS 공격은 UE가 유효한 NPN 권한은 갖고 CAG 셀에 대한 권한 없이 등록 절차를 수행할 때 또는 UE가 유효한 NPN 권한을 갖지 않고 CAG 셀에 대한 권한 없이 등록 절차를 수행할 때 가능할 수 있다.
UE가 PLMN의 NR(New Radio)/5G 네트워크에 연결될 수 있고 UE가 유효한 NPN 권한을 가지며 CAG 셀에 액세스할 권한이 없는 예시적인 시나리오를 고려해 보도록 한다. 5G 네트워크는 NG-RAN(Radio Access Network)과 5G 코어(5GC) 네트워크/서빙 네트워크를 포함한다. 5GC는 액세스 및 이동성 관리 기능(AMF), 통합 데이터 관리(UDM), 인증 서버 기능(AUSF) 등과 같은 요소를 포함하며, 이에 한정되지 않는다.
이러한 시나리오에서, UE는 CAG 셀/NPN에 의해 제공되는 서비스에 액세스/획득하기 위한 등록 절차를 개시한다. UE는 CAG 셀/NPN에 대한 액세스를 요청하는 NG-RAN으로 자신의 아이덴티티로서 SUCI를 전송하여 등록 절차를 개시한다. NG-RAN은 요청된 CAG 셀/NPN의 CAG ID와 함께 수신된 SUCI를 AMF로 전달한다. AMF는 CAG ID를 SUCI에 삽입하고, UE의 SUCI를 CAG ID와 함께 UDM에 전달한다. UDM은 수신된 SUCI를 노출시키고 인증 벡터를 생성한다. UDM에 의해 생성된 인증 벡터를 기반으로, AMF는 UE를 인증한다. 여기의 예에서, UE가 유효한 NPN 권한을 가지고 있기 때문에, 프라이머리 인증 절차가 성공적인 것으로 간주한다. 프라이머리 인증 절차가 성공하면, AMF는 AUSF로부터 UE의 SUPI(Subscription Permanent Identifier)를 수신하고, 수신된 SUPI를 기반으로 UE가 요청된 CAG 셀/NPN에 액세스할 수 있는 권한을 가지고 있는지 검증한다. 여기의 예에서, UE가 그 권한을 가지고 있지 않기 때문에, AMF는 UE가 CAG 셀에 액세스하도록 승인되지 않는 것으로 검증한다. 그 후, AMF는 UE에 의해 개시된 등록 절차를 거절한다.
UE가 유효한 NPN 권한이 없고 CAG 셀/NPN에 액세스할 권한이 없는 불량 UE인 다른 예시적인 시나리오를 고려하도록 한다. 이러한 시나리오에서, 불량 UE는 서빙 네트워크를 스니핑하여 SUCI를 캡처한다(CAG 셀에 대한 권한이 있을 수도 있고 없을 수도 있음). 그런 다음, 불량 UE는 캡처된 SUCI를 자신의 아이덴티티인 것으로 NG-RAN을 통해 AMF에 전송함으로써 등록 절차를 개시하며, 여기서 NG-RAN은 요청된 CAG 셀/NPN의 CAG ID를 SUCI에 추가할 수 있다. AMF는 수신된 SUCI를 CAG ID와 함께 UDM으로 전달하며, 여기서 UDM은 SUCI를 노출시키고, 인증 벡터를 생성한다. 생성된 인증 벡터를 기반으로, AMF는 인증 절차를 수행한다. 여기의 예에서, 불량 UE가 유효한 NPN 권한을 가지고 있지 않기 때문에, 인증에 실패하므로, AMF는 UE의 등록 절차를 거절한다.
따라서, 두 시나리오 모두에서, UE가 유효한 NPN 권한을 소유하는지 여부에 관계없이, 서빙 네트워크는 UE의 CAG 셀 액세스를 승인하기 위해 프라이머리 인증 절차를 수행해야 한다. 이러한 절차들은 서빙 네트워크에 대한 오버헤드 및 (D)DOS 공격으로 이어질 수 있다.
본 명세서의 실시예들의 주요 목적은 무선 네트워크에서 (분산) 서비스 거부((D)DOS) 공격을 완화하기 위한 방법 및 시스템을 개시하는 것이며, 여기서 무선 네트워크는 PLMN(Public Land Mobile Network)에 커플링되는 적어도 하나의 NPN(non-public network)을 포함한다.
본 명세서의 실시예의 다른 목적은 적어도 하나의 사용자 장비(UE)에 대한 프라이머리 인증을 수행하기 전에 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증함으로써 (D)DoS 공격을 완화하기 위한 방법 및 시스템을 개시하는 것이다.
본 명세서의 실시예들의 또 다른 목적은 적어도 하나의 사용자 장비(UE)의 SUPI(subscription permanent identifier) 및 요청된 적어도 하나의 NPN의 CAG(Closed Access Group) 식별자(ID)를 사용하여 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하기 위한 방법 및 시스템을 개시하는 것이다.
따라서, 본 명세서의 실시예들은 무선 네트워크에서 적어도 하나의 NPN(Non-Public Network)에 액세스하기 위한 적어도 하나의 사용자 장비(UE)의 권한들을 제어하는 방법 및 시스템을 제공한다. 본 명세서에 개시된 방법은 적어도 하나의 UE에 의해서, 적어도 하나의 CAG(Closed Access Group) 셀을 통해 적어도 하나의 NPN에 액세스하기 위해 PLMN(Public Land Mobile Network)에 요청하는 단계를 포함한다. 이 방법은 PLMN의 CN(Core Network)에 의해서, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하는 단계를 더 포함한다. 이 방법은 CN에 의해서, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 권한들이 검증된 경우, 적어도 하나의 UE가 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN에 액세스하는 것을 허용하는 프라이머리 인증 절차를 수행하는 단계를 더 포함한다.
따라서, 본 명세서의 실시예들은 적어도 하나의 NPN과 함께 배치된, 적어도 하나의 사용자 장비, 적어도 하나의 NPN(Non-Public Network), 및 PLMN(Public Land Mobile Network)을 포함하는 네트워크를 개시한다. PLMN은 무선 액세스 네트워크 및 CN(Core Network)를 포함하는 적어도 하나의 셀룰러 네트워크를 포함한다. 적어도 하나의 UE는 적어도 하나의 CAG(Closed Access Group) 셀을 통해 적어도 하나의 NPN에 액세스하기 위해 PLMN에 요청하도록 구성된다. PLMN의 CN은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하도록 구성된다. CN은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들이 검증된 경우, 적어도 하나의 UE가 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN에 액세스하는 것을 허용하는 프라이머리 인증 절차를 수행하도록 추가로 구성된다.
본 명세서의 예시적인 실시예들의 이들 및 다른 양태들은 다음의 설명 및 첨부 도면과 함께 고려될 때 더 잘 이해되고 인식될 것이다. 그러나, 이하의 설명은 예시적인 실시예들 및 이들의 다수의 특정 세부 사항을 나타내면서 제한이 아니라 예시의 방식으로 제공된다는 것을 이해해야 한다. 본 명세서의 예시적인 실시예들의 범위 내에서 그 사상을 벗어나지 않고 많은 변경 및 수정이 이루어질 수 있으며, 본 명세서의 예시적인 실시예들은 이러한 모든 수정 사항을 포함한다.
아래의 상세한 설명에 들어가기 전에, 본 명세서 전체에 걸쳐 사용되는 특정 단어 및 어구들의 정의를 제시하는 것이 유리할 수 있다: 용어 "포함하다" 및 "구성하다" 및 그 파생어는 제한없이 포함을 의미하고; 용어 "또는"은 포괄적이고 의미 및/또는이고; 용어 "또는(or)"은 포괄적 용어로써, '및/또는'을 의미하고; 어구 "~와 관련되다(associated with)" 및 "그와 관련되다(associated therewith)" 그리고 그 파생어는 ~을 포함한다(include), ~에 포함된다(be included within), ~와 결합하다(interconnect with), ~을 함유하다(contain), ~에 함유되어 있다(be contained within), ~에 연결한다(connect to or with), ~와 결합하다(couple to or with), ~ 전달한다(be communicable with), 와 협력하다(cooperate with), ~를 끼우다(interleave), ~을 나란히 놓다(juxtapose), ~에 인접하다(be proximate to), 구속하다/구속되다(be bound to or with), 소유하다(have), 속성을 가지다(have a property of), ~와 관계를 가지다(have a relationship to or with) 등을 의미할 수 있고; 또한 용어 "제어기(controller)"는 적어도 하나의 동작을 제어하는 어떤 장치, 시스템 또는 그 일부를 의미하고, 이러한 장치는 하드웨어, 펌웨어 또는 소프트웨어, 또는 이들 중 적어도 2 개의 조합으로 구현될 수 있다. 특정 제어기와 관련된 기능은 로컬 또는 원격으로 중앙 집중식으로 처리(centralized)되거나 또는 분산식으로 처리(distributed)될 수 있다.
또한, 아래에서 설명되는 다양한 기능들은 하나 이상의 컴퓨터 프로그램에 의해 구현되거나 지원될 수 있으며, 이들 각각은 컴퓨터 판독 가능한 프로그램 코드로 형성되고 컴퓨터 판독 가능한 매체에 구현된다. 용어 "애플리케이션" 및 "프로그램"은 하나 이상의 컴퓨터 프로그램, 소프트웨어 컴포넌트, 명령어 세트, 프로시저, 함수, 객체, 클래스, 인스턴스, 관련 데이터, 혹은 적합한 컴퓨터 판독 가능한 프로그램 코드에서의 구현용으로 구성된 그것의 일부를 지칭한다. 어구 "컴퓨터 판독 가능한 프로그램 코드"는 소스 코드, 오브젝트 코드, 및 실행 가능한 코드를 포함하는 컴퓨터 코드의 종류를 포함한다. 어구 "컴퓨터 판독 가능한 매체"는 ROM(read only memory), RAM(random access memory), 하드 디스크 드라이브, 컴팩트 디스크(CD), 디지털 비디오 디스크(DVD), 혹은 임의의 다른 타입의 메모리와 같은, 컴퓨터에 의해 액세스될 수 있는 임의의 타입의 매체를 포함한다. "비일시적인" 컴퓨터 판독 가능한 매체는 유선, 무선, 광학, 일시적인 전기적 또는 다른 신호들을 전달시키는 통신 링크를 제외한다. 비일시적 컴퓨터 판독 가능한 매체는 데이터가 영구적으로 저장되는 매체 그리고 재기록이 가능한 광디스크 또는 소거 가능한 메모리 장치와 같은, 데이터가 저장되어 나중에 덮어 씌어지는 매체를 포함한다.
다른 특정 단어 및 어구에 대한 정의가 이 특허 명세서 전반에 걸쳐 제공된다. 당업자는 대부분의 경우가 아니더라도 다수의 경우에 있어서, 이러한 정의는 종래에 뿐만 아니라 그러한 정의된 단어 및 어구의 향후 사용에 적용될 수 있음을 이해해야 한다.
본 명세서의 실시예들이 첨부 도면에 예시되어 있으며, 전체 도면에서 유사한 참조 문자는 다양한 도면에서 대응하는 부분을 나타낸다. 본 명세서의 실시예들은 도면을 참조하여 다음의 설명으로부터 더 잘 이해될 것이다.
도 1a 내지 도 1c는 본 명세서에 개시된 실시예들에 따른, 무선 통신 시스템/무선 네트워크를 도시한 것이다.
도 2는 본 명세서에 개시된 실시예들에 따른, (분산된) 서비스 거부((D)DoS) 공격을 완화하도록 구성된 무선 네트워크(100)의 다양한 요소들을 도시한 것이다.
도 3은 본 명세서에 개시된 실시예들에 따른, 5GC의 UDM에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 4는 본 명세서에 개시된 실시예들에 따른 AMF/SEAF와 직접 통신함으로써 5GC의 UDM에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 5는 본 명세서에 개시된 실시예에 따른, 요청 메시지 획득 및 응답 메시지 획득을 통해 AMF/SEAF와 통신함으로써 UDM에서 CAG 셀에 액세스하기 위한 UE의 허가의 검증을 도시하는 시퀀스 다이어그램이다.
도 6은 본 명세서에 개시된 실시예들에 따른, 5GC의 AUSF 및/또는 UDM(206)에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 7은 본 명세서에 개시된 실시예들에 따른, 5GC의 AUSF에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 8은 본 명세서에 개시된 실시예들에 따른, UDM으로부터 요청을 수신한 경우 CAG 서버에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 9는 본 명세서에 개시된 실시예들에 따른, AMF/SEAF로부터 UE의 SUCI를 수신한 경우 CAG 서버에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 10은 본 명세서에 개시된 실시예들에 따른, AUSF로부터 UE의 SUCI를 수신한 경우 CAG 서버에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 11은 본 명세서에 개시된 실시예들에 따른, AMF/SEAF에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 12는 본 명세서에 개시된 실시예들에 따른, UDM에 의해 제공되는 서비스 인터페이스를 통해 UDM과 통신함으로써 AMF/SEAF에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 13은 본 명세서에 개시된 실시예들에 따른, AMF/SEAF와 직접 통신함으로써 CAG 서버에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 14는 본 명세서에 개시된 실시예들에 따른, AMF/SEAF로부터 UE의 SUPI를 수신한 경우 UDM에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 도시하는 시퀀스 다이어그램이다.
도 15는 본 명세서에 개시된 실시예들에 따른, 무선 네트워크에서 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 제어하기 위한 방법을 도시하는 흐름도이다.
이하에 설명되는 도 1a 내지 도 15, 및 이 특허 명세서에 있어서의 본 개시의 원리들을 설명하기 위해 사용되는 각종 실시예들은 단지 설명을 위한 것이며, 어떠한 방식으로도 본 개시의 범위를 제한하는 방식으로 해석되어서는 안 된다. 본 개시의 원리들은 임의의 적절하게 구성된 시스템 또는 장치에서 구현될 수 있다는 것을 당업자는 이해할 수 있을 것이다.
본 명세서의 예시적인 실시예들 및 이들의 다양한 특징 및 유리한 세부 사항은 첨부 도면에 예시되고 다음 설명에서 상세히 설명되는 비제한적인 실시예들을 참조하여 보다 완전하게 설명된다. 공지된 구성 요소 및 처리 기술에 대한 설명은 본 명세서의 실시예를 불필요하게 모호하게 하지 않도록 생략된다. 본 명세서의 설명은 단지 본 명세서의 예시적인 실시예가 실시될 수 있는 방식의 이해를 용이하게 하고 당업자가 본 명세서의 예시적인 실시예를 실시할 수 있도록 하기 위한 것이다. 따라서, 본 개시는 본 명세서의 예시적인 실시예의 범위를 제한하는 것으로 해석되어서는 안 된다.
본 명세서의 실시예들은 무선 네트워크에서 (분산) 서비스 거부((D)DOS) 공격을 완화하기 위한 방법 및 시스템을 개시하며, 여기서 무선 네트워크 시스템은 PLMN(Public Land Mobile Network)과 커플링되는 적어도 하나의 NPN(non-public network)를 포함한다.
본 명세서의 실시예들은 적어도 하나의 사용자 장비(UE)의 프라이머리 인증을 수행하는 것 이전에 CAG(Closed Access Group)를 통해 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하는 것에 의하여 수락 제어(admission control)를 수행함으로써 (D)DoS 공격을 완화하기 위한 방법 및 시스템을 개시한다. "NPN에 대한 수락 제어"라는 용어는 UE가 권한이 있는지 또는 CAG 셀에 대한 승인이 있는지 여부를 검증하는 것을 의미한다. 일 실시예에서, UE가 NPN에 액세스하기 위한 권한 또는 가입 또는 승인을 갖고 있다면, NPN의 대응하는 CAG ID가 UE의 허용된 CAG 목록에 나열된다. 허용된 CAG 목록은 UE가 CAG 셀에 액세스할 수 있는 CAG 식별자들의 목록이다.
이제 도면들, 보다 구체적으로 도 1a 내지 도 15를 참조하면, 유사한 참조 부호가 도면 전체에 걸쳐 일관되게 대응하는 특징을 나타내며, 예시적인 실시예들이 도시되어 있다.
도 1a 내지 도 1c는 본 명세서에 개시된 실시예들에 따른 무선 통신 시스템/무선 네트워크(100)를 도시한 것이다. 본 명세서에서 언급되는 무선 네트워크(100)는 공용 네트워크 통합 비공용 네트워크들에 대한 (분산) 서비스 거부((D)DoS) 공격을 완화하도록 구성될 수 있으며, 이 공격은 비공용 네트워크들에 액세스할 수 없는 사용자들/UE들로부터의 다수의 등록 요청으로 인해 발생한다.
무선 네트워크(100)는 PLMN(Public Land Mobile Network)(102a), 하나 이상의 NPN(non-public network)들(102b), 및 복수의 UE들(104)을 포함한다.
PLMN(102a)은 LTE(Long Term Evolution) 네트워크, 어드밴스드 LTE 네트워크, NR(New Radio)/5G 네트워크, NB-IoT(Narrowband Internet of Things) 또는 임의의 다른 차세대 네트워크들과 같은 하나 이상의 다른 셀룰러 네트워크들을 포함하며, 이에 한정되지 않는다. PLMN(102a)은 모바일 네트워크 운영자(Mobile Network Operator, MNO)에 의해 운용될 수 있다. PLMN(102a)은 MNO에 의해 특정 지역의 UE들(104)에게 제공되는 통신 서비스들을 제공하도록 구성될 수 있다. 통신 서비스들의 예들로는 스트리밍 서비스(오디오, 비디오, 텍스트 등의 멀티미디어 데이터 스트리밍), 파일 다운로드 서비스, 캐러셀 서비스(파일 다운로드 서비스 및 스트리밍 서비스를 결합하는 서비스), 텔레비전(TV) 서비스, 인터넷 프로토콜(IP) 멀티미디어 서브시스템(IMS) 서비스, 비-3GPP 서비스(예를 들면, 방화벽 등) 등이 될 수 있으며, 이에 한정되지 않는다. 본 명세서의 실시예들은 주어진 지역에서 공용으로 통신 서비스들을 제공하는 네트워크를 지칭하기 위해, "PLMN", "셀룰러 네트워크", "공용 네트워크", "3GPP 액세스 네트워크" 등과 같은 용어를 상호 교환 가능하게 사용한다.
NPN(들)(102b)은 조직, 기업, 공장, 캠퍼스, 방, 층 등과 같은 위치(이에 한정되지 않음) 내에 존재하는 UE들(104)에게 커버리지 및 사설 서비스들을 제공하도록 구성될 수 있다. 사설 서비스들은 그 구역 내에 정의된 서비스들을 포함할 수 있다. 사설 서비스들의 예들로는 스트리밍 서비스(오디오, 비디오, 텍스트 등의 멀티미디어 데이터 스트리밍), 파일 다운로드 서비스 등이 될 수 있으며, 이에 한정되지 않는다.
일 실시예에서, NPN(102b)은 비독립형 NPN으로서 배치될 수 있다. 비독립형 NPN(102b)은 PLMN(102a)과 함께 배치될 수 있다. NPN(102b)은 네트워크 슬라이싱 및/또는 클로즈드 액세스 그룹(Closed Access Group, CAG) 셀을 사용하여 PLMN(102a)과 함께 배치될 수 있다(3GPP TS 23.501에 지정된 바와 같음). 네트워크 슬라이싱은 전용 데이터 네트워크 이름(dedicated data network name, DNN) 네트워크들, 또는 PLMN(102a)을 통해 NPN(102b)가 UE들(104)에게 사용 가능하게 할 수 있는 하나 이상의 네트워크 슬라이스 인스턴스들을 제공한다. CAG는 NPN/CAG 셀(102b)에 의해 브로드캐스트되는 CAG 식별자(CAG ID)를 사용하여 식별될 수 있으며, 여기서 CAG ID는 PLMN ID에 대해 고유한 것이다. CAG는 사용자들/UE들이 UE들(104)을 위한 NPN들에 대한 액세스를 제공하지 않는 위치/지역/영역에서, 또는 UE들(104)이 NPN들에 액세스하는 것이 허용되지 않는 위치에서 자동으로 선택 및 등록하는 것을 방지할 수 있도록 하기 위해 NPN(102b)에 의해 사용될 수 있다. 본 명세서의 실시예들은 "CAG 식별자" 및 "비공용 네트워크 식별자"라는 용어를 상호 교환 가능하게 사용한다. CAG ID는 CAG-ID 및/또는 NPN-ID를 의미할 수 있다. 본 명세서의 실시예들은 UE들(104)에 대해 정의된 구역들의 경계 내로 통신 서비스를 제한하는 네트워크를 지칭하기 위해 "NPN", "사설 네트워크", "공용 네트워크 통합 NPN", "비-3GPP 액세스 네트워크", "비독립형 NPN", "CAG 셀" 등과 같은 용어를 상호 교환 가능하게 사용하지만 이에 한정되지 않는다.
일 실시예에서, NPN(102b)은 독립형 NPN일 수 있다. 독립형 NPN(102b)은 PLMN들의 지원 없이 배치될 수 있다. 독립형 NPN(102b)은 CAG 및/또는 비공용 네트워크 식별자를 사용하여 하나 이상의 CAG 셀들/NPN에 액세스하도록 허용되는 가입자들/UE들 그룹을 식별할 수 있다. 본 명세서의 실시예들은 비독립형 NPN(102b)을 고려하여 추가로 설명되지만, PLMN 코어 네트워크(102a)의 엔티티들이 NPN 코어 네트워크(102b)에 의해 호스팅되는 독립형 NPN도 고려될 수 있다.
본 명세서에서 언급되는 UE(들)(104)는 PLMN(102a) 및 NPN(102b)을 지원할 수 있는 사용자 디바이스일 수 있다. UE(104)의 예들은 이동 전화, 스마트폰, 태블릿, 패블릿, 개인 휴대 정보 단말기(PDA), 랩톱, 컴퓨터, 웨어러블 컴퓨팅 장치, 차량 인포테인먼트 장치, 사물인터넷(IoT) 기기, 가상 현실(VR) 기기, Wi-Fi(Wireless Fidelity) 라우터, USB 동글, 센서, 로봇, 무인 자동차 등일 수 있으며, 이에 한정되지 않는다. UE(104)는 적어도 하나의 의도된 기능/동작을 수행하기 위해, 하나 이상의 프로세서/중앙 처리 장치(CPU), 메모리, 트랜시버 등을 포함할 수 있다.
UE(104)는 통신 서비스들 및/또는 사설 서비스들을 획득하기 위해 PLMN(102a) 및/또는 NPN(102b)에 액세스하도록 구성될 수 있다. 일 실시예에서, UE(104)는 NPN(102b)을 통해 PLMN(102a)에 액세스할 수 있다. 일 실시예에서, UE(104)는 NPN에 액세스하고 PLMN에 대한 가입을 가짐으로써 NPN(102b)에 의해 제공되는 사설 네트워크 서비스들을 얻을 수 있다. PLMN에 대한 UE의 가입은 NPN 권한/가입 및 CAG 셀(들)/NPN(들)(102b)에 액세스하기 위한 권한/가입 중 적어도 하나를 포함할 수 있다. NPN 권한은 UE(104)가 NPN/PLMN(102a)을 통해 NPN(102b)에 의해 제공되는 서비스에 액세스하도록 인가되었음을 나타낼 수 있다. CAG 셀/NPN(102b)에 액세스하기 위한 권한들은 UE(104)에 대한 CAG 셀들/CAG ID들의 허용된 목록을 나타낼 수 있다. CAG 셀들에 액세스하기 위한 권한들은 NPN 권한들에 기초하여 UE(104)에 대해 구성될 수 있다. CAG 셀들/허용된 CAG 목록에 액세스하기 위한 권한들은 기존 3GPP 절차들(예를 들면, 무선 메커니즘, UE 구성 업데이트 절차 등)을 사용하여 UE(104)에 대해 구성된다. 본 명세서의 실시예들은 "CAG 셀에 액세스하기 위한 권한들", "CAG 셀 권한들", "허용되는 CAG 셀들/CAG ID들의 목록", "허용되는 CAG 셀 권한들" 등과 같은 용어를 상호 교환 가능하게 사용한다.
UE(104)가 CAG 셀/NPN(102b)에 액세스하기를 원하거나 또는 NPN(102b)에 의해 제공되는 서비스에 액세스하기를 원할 때 UE(104)는 등록 절차를 개시한다. UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청함으로써 등록 요청을 PLMN(102a)에 전송한다. 본 명세서의 일 예에서, 요청을 받는 PLMN(102a)은 UE(104)가 이미 가입한 홈 PLMN(HLPMN)일 수 있다. 일 실시예에서, UE(104)로부터 등록 요청을 수신한 경우, PLMN(102a)은 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 권한들을 가지고 있는지(또는 UE(104)가 승인되었는지)를 검증한다. UE(104)가 승인되었는지/또는 UE(104)가 요청된 CAG 셀/NPN(102a)에 액세스할 수 있는 권한들을 가지고 있는지를 검증할 때, PLMN(102a)은 프라이머리 인증 절차를 수행하여 UE(104)가 인증된 UE(104)인지 확인한다. 인증에 성공한 것에 기초하여, PLMN은 NPN에 대한 UE의 액세스를 위한 UE의 등록 요청 절차를 더 진행한다.
UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 권한들이 없음(또는 UE(104)가 승인되지 않음)을 확인한 경우, PLMN(102a)은 UE(104)의 등록 요청을 거절하고 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스하는 것을 가능하게 하지 않는다. 따라서, 프라이머리 인증 절차를 수행하기 전에 NPN(102b)에 액세스하기 위한 UE(104)의 권한들/승인들을 PLMN(102a)에 의해 검증하는 것은, CAG 셀/NPN(102b)에 액세스하기 위한 유효한 권한들이 없는 UE(104)에 의해 개시된 등록 절차로 인한, PLMN(102a)에 대한 (D)DoS 공격을 완화한다.
도 1b에 도시된 바와 같이, NPN(102b)은 비공용 무선 액세스 네트워크(Radio Access Network, RAN)(106b) 및 비공용 코어 네트워크(Core Network, CN)(108b)를 포함한다. 본 명세서에서 언급되는 비공용 RAN(106b)은 3GPP 액세스 노드들, 비-3GPP 액세스 노드들 등일 수 있다. 3GPP 액세스 노드들의 예들은 진화된 노드(eNB), 새로운 무선 노드(gNB) 등일 수 있으며, 이에 한정되지 않는다. 비-3GPP 액세스 노드의 예들은 LAN(Local Access Network) 노드, WLAN(Wireless LAN) 노드, Wi-Fi 노드 등일 수 있으며, 이에 한정되지 않는다. NPN(102b)의 비공용 RAN(106b)은 CAG 셀의 지원을 포함하는 PLMN(102a)의 RAN일 수 있다. PLMN(102a)은 NPN(102b)에 액세스하기 위해 RAN(106b)을 호스팅한다. 비공용 RAN(106b)은 적어도 하나의 UE(104)를 비공용 CN(108b)에 연결하도록 구성될 수 있다. 비공용 CN(108b)은 UE(104)를 외부 데이터 네트워크/PLMN(102a)에 연결하도록 구성될 수 있다. 비공용 CN(108b)은 EPC 네트워크, 5GC 코어 네트워크 등 중 적어도 하나일 수 있다. 일 실시예에서, NPN(102b)은 PLMN(102a)과 비공용 RAN(106b)을 공유할 수 있다. NPN(102b) 및 PLMN(102a)은 상이한 식별자(ID), 분리된 스펙트럼 대역, 및 CN들의 기능들(예를 들어, CN들의 사용자 플레인 및 데이터 플레인 기능들)을 포함할 수 있다. 일 실시예에서, NPN(102b)은 PLMN(102a)과 비공용 RAN(106b)을 부분적으로 공유하여, NPN(102b)을 서빙하는 비공용 RAN(106b)의 기능들 중 하나 이상이 PLMN(102a)에 의해 제공될 수 있도록 한다. 일 실시예에서, NPN(102b)은 PLMN(102a)과 비공용 RAN(106b) 및 스펙트럼 대역들을 공유할 수 있다. 일 실시예에서, NPN(102b)은 비공용 RAN(106b) 및 비공용 CN(108b)의 제어 플레인 기능들을 PLMN(102a)과 공유할 수 있다.
PLMN(102a)은 적어도 하나의 RAN(106a) 및 CN(108a)으로 구성되는 적어도 하나의 셀룰러 네트워크(106)를 포함한다. RAN(106a)은 적어도 하나의 UE(104)를 CN(108a)에 연결하도록 구성될 수 있다. RAN(106a)은 eNB(evolved node)들, 새로운 무선 노드(gNB)들 등과 같은 노드들/기지국(BS)들을 포함할 수 있으며, 이에 한정되지 않는다. RAN(106a)은 적어도 하나의 의도된 기능/동작을 수행하기 위해, 하나 이상의 프로세서/중앙 처리 장치(CPU), 메모리, 트랜시버 등을 포함할 수 있다.
본 명세서에서 언급되는 CN(108a)은 진화된 패킷 코어(Evolved Packet Core, EPC), 5G 코어(5GC) 네트워크 등 중 적어도 하나일 수 있다. CN(108a)은 RAN(106a) 및 외부 데이터 네트워크에 연결될 수 있다. 외부 데이터 네트워크의 예들은 인터넷, 패킷 데이터 네트워크(PDN), 인터넷 프로토콜(IP) 멀티미디어 코어 네트워크 서브시스템 등일 수 있으며, 이에 한정되지 않는다. 일 실시예에서, CN(108a)은 N3IWF 인터페이스를 통해 비공용 CN(108b)에 연결될 수 있다. 본 명세서의 실시예들은 "코어 네트워크(core network, CN)", "서빙 네트워크" 등과 같은 용어를 상호 교환 가능하게 사용한다.
CN(108a)은 적어도 하나의 의도된 기능/동작을 수행하기 위한 하나 이상의 프로세서/중앙 처리 장치(CPU), 메모리, 저장 장치, 트랜시버 등으로 구성될 수 있다. CN(108a)은 UE(104)의 NPN 권한들, UE(104)의 SUPI(subscription permanent identifier), 및 UE(104)에 대해 구성된 CAG 셀들/CAG ID들의 허용 목록, UE(104)의 SUPI와 허용되는 CAG 셀들의 목록의 매핑 등 중 적어도 하나에 대한 정보를 유지하도록 구성될 수 있다. CAG 셀들의 허용 목록은 UE(104)의 유효한 NPN 권한들에 기초하여 UE(104)에 대해 구성될 수 있다. CAG 셀들의 허용 목록은 UE(104)가 액세스할 수 있는 CAG 셀들/NPN들(102b)의 CAG ID들에 대한 정보를 포함할 수 있다. SUPI는 네트워크 시스템(100)에 등록하기 위해 UE(104)에 의해 수행되는 USIM(Universal Subscriber Identity Module) 등록 프로세스 동안 MNO에 의해 UE(104)에 할당되는 고유 식별자일 수 있다. SUPI는 IMSI(International Mobile Subscriber Identifier)(TS 23.503에 지정됨) 또는 NAI(Network Access Identifier)(TS 23.0003에 지정됨) 등일 수 있다.
CN(108a)은 (적어도 하나의 RAN 노드(106a)와 연결된) 적어도 하나의 UE(104)를 외부 데이터 네트워크에 연결하도록 구성될 수 있다. CN(108a)은 또한 UE(들)(104)가 NPN(102b)에 액세스하는 것을 가능하게 하도록 구성될 수 있다. 일 실시예에서, CN(108a)은 프라이머리 인증 절차를 수행하기 전에 NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증함으로써 UE(들)(104)가 NPN(102b)에 액세스하는 것을 가능하게 할 수 있으며, 이에 의해 (D)DoS 공격을 완화하고 PLMN(102a)에 대한 오버헤드를 최소화한다.
도 1b에 도시된 바와 같이, NPN(102b)에 액세스하거나 NPN(102b)에 의해 제공되는 서비스를 획득하기 위해, UE(104)는 PLMN(102a)의 CN(108a)에 대한 등록 절차를 수행한다. UE(104)는 NPN(102b) 또는 NPN(102b)에 의해 제공되는 서비스들에 대한 액세스를 요청하는 PLMN(102a)의 연결된 RAN(106a)에 등록 요청을 전송함으로써 등록 절차를 수행한다. 등록 요청은 UE(104)의 SUCI(subscribed concealed identifier)를 포함한다. SUCI는 은닉된 SUPI를 포함하는 개인 정보 보호 식별자일 수 있다. 일 예에서, UE(104)는 USIM 등록 동안 UE(104)에 보안적으로 프로비저닝된 홈 네트워크/HPLMN(102a)의 공개 키로 ECIES(Elliptic Curve Integrated Encryption Scheme) 기반 보호 방식을 사용하여 SUCI를 생성할 수 있다. UE(104)는 초기 NAS(Non-Access Stratum) 메시지 또는 임의의 NAS 메시지(예를 들어, 아이덴티티 응답 메시지 등)에서 SUCI를 포함하는 등록 요청을 NG-RAN(106a)에 전송할 수 있다.
UE(104)로부터 SUCI를 수신한 경우, RAN(106a)은 (CAG 셀들/NPN들(102b)에 의한 CAG ID들의 브로드캐스트에 기초하여) 요청된 CAG 셀/NPN(102b)의 CAG ID를 식별한다. RAN(106a)은 수신된 UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 식별된 CAG ID를 CN(108a)에 전달한다. 일 실시예에서, RAN(106a)은 또한 UE(104)로부터 요청된 CAG 셀/NPN(102b)의 CAG ID를 수신할 수 있다.
UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 수신한 경우, CN(108a)은 프라이머리 인증 절차를 수행하기 전에 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 권한들을 검증하기 위해, CN(108a)은 수신된 SUCI를 SUPI로 노출시킨다(3GPP TS. 23.501에 지정된 바와 같음). CN(108a)은 노출된 SUPI에 기초하여 UE(104)에 대한 CAG 셀들/CAG ID들의 허용된 목록을 검색한다. CN(108a)은 UE(104)의 SUPI와 CAG 셀들의 허용 목록의 유지된 매핑을 사용하여 노출된 SUPI에 대한 CAG 셀들의 허용 목록을 검색한다. CN(108a)은 요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 검색된 셀들/CAG ID들의 허용 목록에 존재하는지 확인한다.
요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 셀/CAG ID의 검색된 허용 목록에 존재하는 것으로 확인한 경우, CN(108a)은 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한을 가지고 있음을 검증한다(성공 검증). 그 후, CN(108a)은 UE(104)가 PLMN(102a)을 통해 요청된 NPN(102b)에 액세스하기 위한 유효한 NPN 권한들을 갖는지를 인증하기 위해 프라이머리 인증 절차를 수행한다. 프라이머리 인증 절차를 수행하기 위해, CN(108a)은 (3GPP TS 23.501에 지정된 바와 같이) 수신된 SUCI에 기초하여 인증 벡터를 생성하고, 생성된 인증 벡터에 기초하여 UE(104)를 인증한다. 인증 절차가 성공하고 나면, CN(108a)은 3GPP TS 23.501에 지정된 절차를 수행함으로써 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있게 한다.
요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 셀들/CAG ID들의 검색된 허용 목록에 존재하지 않는다는 것을 확인한 경우, CN(108a)은 UE(104)가 CAG 셀/NPN(102b)에 액세스하기 위한 권한들을 갖고 있지 않다는 것을 검증한다(실패 검증). 그 후에, CN(108a)은 프라이머리 인증 절차를 진행하지 않고 UE(104)의 등록 요청을 거절한다. 등록 요청을 거절한 경우, CN(108a)은 요청된 CAG 셀/NPN(102b) 액세스가 허용되지 않음을 표시하는 거절 메시지를 RAN(106a)을 통해 UE(104)에 전송한다. CN(108a)은 또한 거절 메시지와 함께 적절한 원인 값을 UE(104)에 전송한다. 원인 값은 UE(104)가 현재 위치에서 요청된 CAG 셀/NPN(102b) 또는 요청된 CAG 셀/NPN(102b)이 제공하는 서비스에 액세스할 수 없는 오류의 원인을 나타내는 값일 수 있다. 원인 값의 예들은 #12, #13, #15, #76 등일 수 있으며, 이에 한정되지 않는다. 일 예에서, 원인 값 #15는 HPLMN(102a)의 위치/추적 영역(여기에 UE(104)이 존재함)에 적합한 CAG 셀들이 없거나 UE(104)에 대해 CAG 셀들 액세스가 허용되지 않음을 나타낸다. 일 예에서, 원인 값 #12는 요청된 추적 영역에서 CAG 셀 액세스가 허용되지 않음을 나타낸다. 일 예에서, 원인 값 #13은 요청된 추적 영역에 대해 로밍이 허용되지 않음을 나타낸다.
따라서, 프라이머리 인증 절차를 수행하기 전에 CAG 셀에 액세스하기 위한 UE(104)의 권한들을 검증하는 것은 CN(108a)에 대한 (D)DoS를 완화하고 프라이머리 인증 절차를 수행하기 위한 CN(108a)에 대한 오버헤드들을 감소시킨다.
일 실시예에서, PLMN(102a)은 도 1에 도시된 바와 같이 적어도 하나의 셀룰러 네트워크(106)의 CN(108a)과 통신할 수 있는 CAG 서버(110)를 배치할 수 있다. CAG 서버(110)는 CN(108a)의 적어도 하나의 의도된 기능을 수행할 수 있다. CAG 서버(110)는 UE(104)의 NPN 권한, UE(104)의 SUPI, 및 UE(104)에 대해 구성된 CAG 셀들/CAG ID들의 허용 목록, UE(104)의 SUPI와 CAG 셀의 허용 목록의 매핑 등 중 적어도 하나에 대한 정보를 유지할 수 있다. CAG 서버(110)는 프라이머리 인증 절차를 수행하기 전에 NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있다.
도 2는 본 명세서에 개시된 실시예들에 따른, (D)DoS 공격을 완화하도록 구성된 무선 네트워크(100)의 다양한 요소들을 도시하는 블록도이다. 본 명세서의 실시예들은 예들로서 PLMN(102a)이 셀룰러 네트워크(106)로서 5G 네트워크(106) 및 5GC(108b)로서 비공용 CN(108b)을 포함하는 것을 고려하여 더 설명되지만, 임의의 다른 셀룰러 네트워크 및 임의의 다른 CN이 고려될 수 있다.
도 2의 예에 도시된 바와 같이, 5G 네트워크/PLMN(102a)의 RAN(106a)은 NG-RAN/gNB(106a)일 수 있고 CN(108a)은 5GC(108a)일 수 있다. 5GC(108a)는 액세스 및 이동성 관리 기능(access and mobility management function, AMF)/보안 앵커 기능(security anchor function, SEAF)(202), 인증 서버 기능(authentication server function, AUSF)(204) 및 통합 데이터 관리(unified data management, UDM)/인증 크레덴셜 저장소(authentication credential Repository, ARPF)/가입 식별자 노출 기능(206)을 포함한다. CN(108a)은 또한 세션 관리 기능(session management function, SMF), 사용자 플레인 기능(user plane functionality, UPF), 정책 제어 기능, 애플리케이션 기능, 네트워크 노출 기능(network exposure function, NEF), NF 저장소 기능(NF repository function, NRF), 네트워크 슬라이스 선택 기능(network slice selection function, NSSF) 등과 같은 다른 요소들(미도시)을 포함하며 이에 한정되지 않는다. 일 실시예에서, CAG 서버(110)는 CAG 서버(110)에 의해 표시되는 서비스 인터페이스를 통해 5GC(108a)의 요소들과 통신할 수 있다. 일 예에서 서비스 인터페이스는 Ncag_XXX 인터페이스일 수 있다. 유사하게, 비공용 CN(108b)/비공용 5GC(108a)는 5GC(108a)의 모든 요소(미도시)를 포함한다.
일 실시예에서, SEAF와 AMF(202)가 같은 위치에 있지 않는 경우, AMF(202)는 SEAF를 통해 AUSF(204)에 연결된다. 본 명세서의 일 실시예에서, SEAF와 AMF가 함께 위치하는 경우, 용어 "AMF"는 본 명세서 전체에 걸쳐 "AMF/SEAF"(202)를 의미한다.
AMF/SEAF(202)는 NAS 시그널링의 종료, NAS 암호화 및 무결성 보호, 등록 관리, 연결 관리, 이동성 관리, 액세스 인증 및 승인, 보안 컨텍스트 관리 등과 같은 기능을 지원하도록 구성될 수 있으며, 이에 한정되지 않는다. AUSF(204)는 UE(104)에 대한 정보를 유지함으로써 UE(104)를 인증하도록 구성된 인증 서버일 수 있다.
UDM/ARPF/SIDF(206)는 인증 및 키 동의(authentication and key agreement, AKA) 크레덴셜의 생성, 사용자 식별 처리, 액세스 승인, 가입 관리 등과 같은 기능을 수행하도록 구성될 수 있으며, 이에 한정되지 않는다. 본 명세서의 일 실시예에서, UDM, ARPF 및 SIDF는 적어도 하나의 기능을 수행하기 위해 상호 동작하거나 동작하지 않을 수 있다.
본 명세서의 실시예들은 UDM(206), UDM/ARPF/SIDF(206), AUSF(204), AMF/SEAF(202), 및 CAG 서버(110) 중 적어도 하나가, 프라이머리 인증 절차를 수행하기 전에 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있도록 승인되었는지(또는 UE가 권한들을 가지고 있는지) 검증할 수 있도록 한다.
본 명세서의 실시예들은 5GC(108a)의 UDM(206)이 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있도록 한다. 등록 절차의 일부로서, CAG 셀/NPN(102b)에 액세스하기 위해 UE(104)는 SUCI를 포함하는 등록 요청을 NG-RAN(106a)에 전송한다. 일 실시예에서, UE(104)는 초기 NAS 메시지에서 등록 요청을 NG-RAN(106a)에 전송할 수 있다. 일 실시예에서, UE(104)는 NAS 메시지(예를 들면, 아이덴티티 응답 메시지)에서 등록 요청을 NG-RAN(106a)에 전송할 수 있다. NG-RAN(106a)은 수신된 UE(104)의 SUCI를 AMF/SEAF(202)로 전달한다. 일 실시예에서, NG-RAN(106a)은 요청된 CAG 셀/NPN(102b)에 의해 브로드캐스트된 CAG ID를 식별하고, N2 메시지를 통해 AMF/SEAF(202)에 전송하기 위해 CAG ID를 SUCI에 추가한다. 일 실시예에서, NG-RAN(106a)은 UE(104)로부터 SUCI와 함께 CAG ID(요청된 CAG 셀/NPN(102a)에 의해 브로드캐스트됨)를 수신한다. 이러한 경우에, NG-RAN(106a)은 CAG ID와 함께 SUCI를 AMF/SEAF(202)에 전달한다.
AMF/SEAF(202)는 수신된 UE(104)의 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 기타 파라미터들을 인증 요청 메시지(Nausf_UEAuthentication_Authenticate request message)에 포함시키고 이 인증 요청 메시지를 AUSF(204)에 전송한다. 기타 파라미터들의 예들은 SN 이름 등일 수 있으며, 이에 한정되지 않는다. AUSF(204)는 UE(104)의 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 및 기타 파라미터들을, 수신된 인증 요청 메시지로부터 도출한다. AUSF(204)는 도출된 UE(104)의 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 및 기타 파라미터들을 인증 획득 요청 메시지(Nudm_UEAuthentication_Get_Request message)에 삽입한다. AUSF(204)는 5GC(108a)의 UDM(206)에 인증 획득 요청 메시지를 전송한다.
인증 획득 요청 메시지를 수신한 경우, UDM(206)은 CAG ID가 수신된 메시지에 존재하는지 확인한다. CAG ID가 수신된 메시지에 존재하는 경우, UDM(206)은 프라이머리 인증 절차를 수행하기 전에 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 권한들을 검증하기 위해, UDM(206)은 수신된 SUCI를 SUPI로 노출시킨다(3GPP TS 23.501에 지정된 바와 같음). UDM(206)은 노출된 SUPI에 기초하여 UE(104)에 대한 CAG 셀들/CAG ID들의 허용 목록을 검색한다. UDM(206)은 노출된 SUPI에 대한 CAG 셀들의 허용 목록을 검색하기 위해 UE들(104)의 SUPI와 CAG 셀들의 허용 목록의 유지된 매핑을 사용한다. UDM(206)은 요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 검색된 셀들/CAG ID들의 허용 목록에 존재하는지 확인한다.
요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 셀들/CAG ID들의 검색된 허용 목록에 존재하는 것으로 확인한 경우, UDM(206)은 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 CAG 셀에 액세스할 수 있는 권한들을 가지고 있음을 검증한 경우, UDM(206)은 인증 방법을 선택하여, 인증 벡터를 생성한다(3GPP TS 23.501에 지정된 절차에 따름). UDM(206)은 생성된 인증 벡터를 AUSF(204)를 통해 AMF/SEAF(202)로 전송하여 프라이머리 인증 절차를 수행한다. UDM(206)으로부터 인증 벡터를 수신한 경우, AMF/SEAF(202)는 UE(104)를 인증하고, 성공적인 인증 시에 UE(104)가 NPN(102b)에 액세스할 수 있게 한다.
요청된 CAG 셀/NPN(102a)의 수신된 CAG ID가 UE(104)에 대한 셀들/CAG ID들의 검색된 허용 목록에 존재하지 않는 경우, UDM(206)은 UE(104)가 CAG 셀/NPN(102b)에 액세스하기 위한 권한들을 갖고 있지 않다는 것을 검증한다. UE(104)가 CAG 셀/NPN(102b)에 대한 액세스 권한들을 갖고 있지 않음을 검증한 후, UDM(206)은 프라이머리 인증 절차를 진행하지 않는다. UDM(206)은 SUPI 및 CAG 셀 거절 메시지를 획득 응답 메시지(Nudm_UEAuthentication_Get Response message)에 삽입하고 획득 응답 메시지를 AUSF(204)에 전송한다.
CAG 셀 거절 메시지를 포함하는 응답 메시지를 수신한 경우, AUSF(204)는 수신된 CAG 셀 거절 메시지를 인증 응답 메시지(Nausf_UEAUthentication_Authenticate response message)에 포함시키고, 이 인증 응답 메시지를 AMF/SEAF(202)에 전달한다.
AUSF(204)로부터 CAG 셀 거절 메시지를 포함하는 인증 응답 메시지를 수신한 경우, AMF/SEAF(202)는 수신된 UE(104)의 등록 요청을 거절한다. AMF/SEAF(202)는 적절한 원인 값과 함께 등록 거절 메시지를 UE(104)에 전송한다. 원인 값은 UE(104)가 요청된 CAG 셀/NPN(102b) 또는 요청된 CAG 셀/NPN(102b)에 의해 제공되는 서비스들에 액세스할 수 없음을 나타낸다.
UDM(206)에서 확인을 수행함으로써, 사용자 프라이버시를 유지하기 위해 프라이머리 인증 전에 5GS 보안 수준을 낮추지 않고(AMF(202)에 대하여 SUPI를 노출하지 않음) 네트워크에 대한 (D)DoS 공격을 최소화하지만, 승인을 효율적으로 수행하고 원인 값/오류 원인 이외의 정보를 UE(104)에 제공하지 않는다.
본 명세서의 실시예들은 UDM(206) 및/또는 AUSF(204)가 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. CAG 셀/NPN(102b) 또는 NPN(102b)에 의해 제공되는 서비스들에 액세스하기 위해, UE(104)는 SUCI와 함께 등록 요청을 NG-RAN(106a)에 전송한다. NG-RAN(106)은 수신된 UE(104)의 SUCI를 AMF/SEAF(202)에 전달한다. AMF/SEAF(202)는 NG-RAN(106)으로부터 SUCI를 수신하고 등록 요청 메시지에서 NG-RAN(106a) 또는 UE(104)로부터 CAG 셀 ID를 수신할 수 있다. AMF/SEAF(202)는 수신된 UE(104)의 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 및 기타 파라미터들을 Nausf_XXX 요청 메시지 및 Nausf_UEAuthentication_Authenticate 요청 메시지 중 적어도 하나에 포함시킨다. AMF/SEAF(202)는 Nausf_XXX 요청 메시지 및 Nausf_UEAuthentication_Authenticate 요청 메시지 중 적어도 하나를 AUSF(204)에 전송한다.
AUSF(204)는 UE(104)의 수신된 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 및 기타 파라미터들을 UDM(206)으로 전송하기 위해 Nudm_XXX 요청 메시지 및 Nudm_UEAuthentication Get 요청 메시지 중 적어도 하나에 포함시킨다.
일 실시예에서, AUSF(204)로부터 SUCI 및 CAG ID를 포함하는 등록 요청 메시지를 수신한 경우, UDM(206)은 SUCI를 SUPI로 노출시키고(3GPP TS 33.501에 따라) SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 도출한다. UDM(206)은 UE(104)에 대한 CAG 셀들의 허용 목록 및 요청된 CAG 셀/NPN(102b)의 수신된 CAG ID에 기초하여, UE(104)가 요청된 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있는지 검증한다. UE(104)가 요청된 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있음을 검증한 경우, UDM(206)은 Nudm_XXX 응답 메시지 및 Nudm_UEAuthentication 획득 응답 메시지 중 적어도 하나에서 수락 메시지를 AUSF(204)에 전송한다. AUSF(204)는 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 수락 메시지를 AMF/SEAF(202)에 더 전달한다. AMF/SEAF(202)는 CAG 셀/NPN(102b)에 액세스하기 위해 UE(104)를 인증하기 위해 프라이머리 인증 절차를 더 수행할 수 있다.
UE(104)가 요청된 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있지 않다는 것을 검증한 경우, UDM(206)은 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 UE(104)의 SUPI와 함께 CAG 셀 거절 메시지를 AUSF(204)에 전송한다. AUSF(204)는 수신된 CAG 셀 거절 메시지를 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 AMF/SEAF(202)로 전달한다. AMF/SEAF(202)는 적절한 원인 값과 함께 UE(104)의 등록 요청 메시지를 거절한다.
일 실시예에서, AUSF(204)로부터 SUCI 및 CAG ID를 포함하는 등록 요청 메시지를 수신한 경우, UDM(206)은 SUCI를 SUPI로 노출시키고 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 도출한다. UDM(206)은 UE(104)의 권한들을 검증하기 위해 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 UE(104)에 대한 CAG 셀들의 허용 목록을 AUSF(204)에 더 전송할 수 있다. UDM(206)으로부터의 수신된 CAG 셀들의 허용 목록 및 AMF/SEAF(202)로부터의 요청된 CAG 셀의 수신된 CAG ID에 기초하여, AUSF(204)는 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 갖고 있는지 검증한다. UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있음을 검증한 경우, AUSF(204)는 수락 메시지를 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 AMF/SEAF(202)에 전달한다. AMF/SEAF(202)는 CAG 셀/NPN(102b)에 액세스하기 위해 UE(104)를 인증하기 위한 프라이머리 인증 절차를 더 수행할 수 있다.
UE(104)가 요청된 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있지 않음을 검증한 경우 또는 AUSF(204)가 UDM(206)으로부터 CAG 셀들의 허용 목록을 수신하지 않는 경우, AUSF(204)는 CAG 셀 거절 메시지를 AMF/SEAF(202)에 전송한다. AUSF(204)는 Nausf_XXX 응답 메시지 및 Nausf_UEAuthentication_Authenticate 응답 메시지 중 적어도 하나에서 CAG 셀 거절 메시지를 AMF/SEAF(202)에 전송할 수 있다. AMF/SEAF(202)는 적절한 원인 값과 함께 UE(104)의 등록 요청 메시지를 거절한다.
본 명세서의 실시예들은 5GC(108a)의 UDM(206)이 AMF/SEAF(202)와 직접 통신함으로써 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. CAG 셀들/NPN(102b) 또는 NPN(102b)에 의해 제공되는 서비스들에 액세스하기 위해, UE(104)는 SUCI와 함께 등록 요청을 NG-RAN(106a)에 전송한다. NG-RAN(106a)은 UE(104)의 수신된 SUCI를 AMF/SEAF(202)로 전달한다. AMF/SEAF(202)는 NG-RAN(106a)으로부터 SUCI를 수신하고 등록 요청 메시지에서 NG-RAN(106a) 또는 UE(104)로부터 CAG 셀 ID를 수신할 수 있다. AMF/SEAF(202)는 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증하도록 UDM(206)에 직접 요청한다. 일 실시예에서, AMF/SEAF(202)는 Nudm 인터페이스, N8 인터페이스, Nudm_UEVerifyCAGAccess_Get 등과 같은, 그러나 이에 제한되지 않는 UDM(206)에 의해 제공되는 서비스 인터페이스들을 통해 UE(104)의 권한들을 검증하도록 UDM(206)에 직접 요청할 수 있다. AMF/SEAF(202)는 수신된 UE(104)의 SUCI, 요청된 CAG 셀/NPN(102b)의 CAG ID, 및 기타 파라미터들을 Nudm_XXX 요청 메시지, Nudm_UEVerifyCAGAccess_Get 요청 메시지 중 적어도 하나에 포함시키고 이 메시지를 UDM(206)에 전송한다.
AMF/SEAF(202)에 의한 요청에 응답하여, UDM(206)은 수신된 SUCI를 SUPI로 노출시키고 노출된 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. UDM(206)은 UE(104)가 UE(104)에 대한 CAG 셀들의 허용 목록 및 요청된 CAG 셀/NPN(102b)의 수신된 CAG ID를 사용하여 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있음을 검증한 경우, UDM(206)은 AMF/SEAF(202)에 수락 메시지를 전송할 수 있으며, 이것은 CAG 셀/NPN(102b)로의 액세스에 대해 UE(104)를 인증하기 위한 프라이머리 인증 절차를 더 수행할 수 있다. UDM(206)은 Nudm_XXX 응답 메시지 및 Nudm_UEVerifyCAGAccess_Get 응답 메시지 중 적어도 하나에서 수락 메시지를 AMF/SEAF(202)에 전송할 수 있다.
UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 갖고 있지 않다는 것을 검증한 경우, UDM(206)은 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 갖고 있지 않다는 것을 나타내는 거절 메시지를 AMF/SEAF(202)에 전송할 수 있다. UDM(206)은 Nudm_XXX 응답 메시지 및 Nudm_UEVerifyCAGAccess_Get 응답 메시지 중 적어도 하나에서 거절 메시지를 AMF/SEAF(202)에 전송할 수 있다. UDM(206)으로부터 거절 메시지를 수신한 경우, AMF/SEAF(202)는 UE(104)의 등록 요청을 거절하고 적절한 원인 값과 함께 거절 메시지를 UE(104)에 전송한다.
본 명세서의 실시예들은 UDM이 AMF/SEAF(202)로부터 SUPI를 수신한 경우 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. 일 실시예에서, UE(104)는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 서비스 요청 메시지를 전송함으로써 CAG 셀/NPN(102b)에 액세스하기 위한 서비스 요청 절차를 개시한다. 일 실시예에서, UE(104)는 AMF/SEAF(202)가 UE(104)의 SUPI를 노출시킬 수 없을 때, UE(104)의 SUCI를 포함하는 등록 요청 메시지를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송함으로써, CAG 셀/NPN(102b)에 액세스하기 위한 요청 절차를 개시할 수 있다. AMF/SEAF(202)는 서비스 요청 메시지에서 NG-RAN(106a) 또는 UE(104)로부터 요청된 CAG 셀/NPN(102b)의 CAG ID를 수신할 수 있다. UE(104)의 서비스 요청을 수신한 경우, AMF/SEAF(202)는 UE(104)의 SUPI(예를 들면, UE의 5G-GUTI 등으로부터)를 노출시킬 수 있다. AMF/SEAF(202)가 CAG 셀에 액세스하기 위한 UE(104)의 권한들을 검증하기 위한 정보(UE(104)에 대한 CAG 셀들의 허용 목록)를 갖고 있지 않은 경우, AMF/SEAF(202)는 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID를 Nudm_XXX 메시지를 통해 UDM(206)에 제공한다. UDM(206)은 CAG 셀에 대한 UE의 권한들의 검증을 수행한다. UDM(206)이 CAG 셀에 액세스할 수 있는 UE의 권한들을 검증할 수 없는 경우, AMF/SEAF(202)는 적절한 원인 값과 함께 NAS 거절 메시지를 UE(104)에 전송한다. UDM(206)이 CAG 셀에 액세스할 수 있는 UE의 권한들을 검증할 수 있는 경우, AMF/SEAF(202)는 NAS/N2 절차(등록 요청 절차 또는 경로 전환 절차 또는 N2 HO 절차)를 더 진행해야 한다.
본 명세서의 실시예들은 AMF(202)가 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. UE(104)는 NG-RAN(106a)을 통해 AMF(202)에 SUCI를 포함하는 등록 요청 메시지를 전송함으로써 CAG 셀/NPN(102b)에 액세스하기 위한 등록 절차를 개시한다. AMF(202)는 등록 요청 메시지에서 NG-RAN(106a) 또는 UE(104)로부터 요청된 CAG 셀/NPN(102b)의 CAG ID를 수신할 수 있다. AMF/SEAF(202)는 UE(104)의 SUCI를 UDM(206)으로 전달함으로써 SUPI 및 CAG 셀들의 허용 목록에 대한 UDM(206)을 요청한다. 일 실시예에서, AMF/SEAF(202)는 Nudm_XXX 요청 메시지 및 Nudm_SDM_Get 요청 메시지 중 적어도 하나에서 UE(104)의 SUCI를 UDM(206)에 전달할 수 있다.
AMF/SEAF(202)로부터 UE(104)의 SUCI를 수신한 경우, UDM(206)은 UE(104)의 SUCI를 SUPI로 노출시키고, 노출된 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 일 실시예에서, UDM은 UE(104)의 SUPI 및 UE(104)에 대한 CAG 셀들의 허용된 목록을 Nudm_XXX 응답 메시지 및 Nudm_SDM_Get 응답 메시지 중 적어도 하나에서 AMF/SEAF(202)에 전송할 수 있다.
UDM(206)으로부터 UE(104)에 대한 CAG 셀들의 허용 목록을 수신한 경우, AMF/SEAF(202)는 요청된 CAG 셀의 CAG ID가 CAG 셀들의 허용 목록에 존재하는지 검증한다. 요청된 CAG 셀의 CAG ID가 허용 목록에 존재하는 경우, AMF/SEAF(202)는 UE(104)가 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있다고 결정하고, NPN(102b)에의 액세스에 대해 UE(104)를 인증하기 위한 프라이머리 인증 절차를 더 진행한다. 요청된 CAG 셀의 CAG ID가 허용 목록에 존재하지 않거나 AMF/SEAF(202)가 UDM(206)으로부터 허용 목록을 수신하지 않은 경우, AMF/SEAF(202)는 UE가 CAG 셀/NPN(102b)에 대한 권한들을 갖고 있지 않다고 결정한다. 이후, AMF/SEAF(202)는 적절한 원인 값과 함께 UE(104)의 등록 요청을 거절한다.
본 명세서의 실시예들은 CAG 서버(110)가 UDM(206)으로부터 요청을 수신한 경우 CAG 셀/NPN(102a)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. UDM(206)은 AMF/SEAF(202) 또는 AUSF(204)로부터 UE(104)의 SUCI 및 CAG ID를 포함하는 UE(104)의 등록 요청 메시지를 수신한다. UDM(206)은 등록 요청 메시지에 CAG ID가 포함되어 있는지 확인한다. CAG ID가 등록 요청 메시지에 포함된 경우, UDM(206)은 UE(104)의 SUCI를 SUPI로 노출시킨다. UDM(206)은 UE(104)의 SUPI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 CAG 서버(110)에 의해 제공되는 서비스 기반 인터페이스를 통해 CAG 서버(110)에 전달한다. 일 예에서, 서비스 기반 인터페이스는 Ncag_XXX 등일 수 있다. CAG 서버(110)는 UDM(206)으로부터 수신된 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 검색된 CAG 셀의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 서버(110)는 UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. CAG 서버(110)는 검증 결과(수락/거절)를 UDM(206)으로 전송한다. CAG 서버(110)로부터의 응답에 기초하여, UDM(206)은 UE(104)의 등록 요청을 더 진행하거나 UE(104)의 등록 요청을 거절할 수 있다.
본 명세서의 실시예들은 CAG 서버(110)가 AMF/SEAF(202)로부터 요청을 수신한 경우 CAG 셀/NPN(102a)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. CAG 서버(110)는 AMF/SEAF(202)로부터 UE(104)의 등록 요청을 수신하며, 여기서 등록 요청은 UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 포함한다. UE(104)의 등록 요청을 수신한 경우, CAG 서버(110)는 UE(104)의 SUPI를 요청함으로써 UE(104)의 SUCI를 UDM(206)으로 전달한다. CAG 서버(110)는 Nudm_XXX 메시지에서 UE(104)의 SUCI를 UDM(206)으로 전달할 수 있다.
NUdm_XXX 요청 메시지를 수신한 경우, UDM(206)은 획득한 SUCI를 SUPI로 노출시킨다. UDM(206)은 Nudm_XXX 응답 메시지에서 UE(104)의 SUPI를 CAG 서버에 제공한다. UDM(206)으로부터 SUPI를 수신한 경우, CAG 서버(110)는 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 검색된 CAG 셀들의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 서버(110)는 UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. CAG 서버(110)는 검증 결과(수락/거절)를 AMF/SEAF(202)에 전송한다. CAG 서버(110)로부터의 응답에 기초하여, AMF/SEAF(202)는 UE(104)의 등록 요청을 더 진행하거나 UE(104)의 등록 요청을 거절할 수 있다.
본 명세서의 실시예들은 CAG 서버(110)가 AUSF(204)로부터의 요청을 수신한 경우 UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증할 수 있게 한다. AMF/SEAF(202)는 NG-RAN(106a)을 통해 UE(104)의 등록 요청을 수신하며, 여기서 등록 요청은 UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 포함할 수 있다. AMF/SEAF(202)는 UE(104)의 SUCI, 요청된 CAG 셀의 CAG ID, 및 기타 파라미터들을 Nausf_XXX 요청 메시지에 포함시키고 Nausf_XXX 요청 메시지를 AUSF(204)에 전송한다. AUSF(204)는 UE(104)의 SUCI, 요청된 CAG 셀의 CAG ID 및 기타 파라미터들을 Ncag_XXX 요청 메시지에 포함시키고 이 Ncag_XXX 요청 메시지를 CAG 서버(110)로 전송한다.
Ncag_XXX 요청 메시지를 수신한 경우, CAG 서버(110)는 SUCI를 SUPI로 노출시키고 노출된 SUPI에 기초하여 CAG 셀들/NPN(102b)의 허용 목록을 검색한다. 검색된 CAG 셀들의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 서버(110)는 UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 가지고 있는 경우, CAG 서버(110)는 AUSF(204)에 대한 수락 메시지 및 CAG 셀의 허용 목록을 Ncag_XXX 응답 메시지에 포함시킨다. CAG 서버(110)로부터 수락 메시지를 수신한 경우, AUSF(204)는 UE(104)의 등록 요청을 더 진행할 수 있다. UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 갖고 있지 않는 경우, CAG 서버(110)는 AUSF(204)에 대한 거절 메시지 및 CAG 셀들의 허용 목록을 Ncag_XXX 응답 메시지에 포함시킨다. CAG 서버(110)로부터 거절 메시지를 수신한 경우, AUSF(204)는 CAG 셀 거절 메시지를 Nausf_XXX 응답 메시지에 포함시키고 Nausf_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. AMF/SEAF(202)는 UE(104)의 등록 요청을 더 거절할 수 있다.
본 명세서의 실시예들은 CAG 서버(110)가 AMF/SEAF(202)로부터 SUPI를 수신한 경우 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증할 수 있게 한다. UE(104)는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 서비스 요청 메시지를 전송함으로써 CAG 셀/NPN(102b)에 액세스하기 위한 요청 절차를 개시한다. AMF/SEAF(202)는 등록 요청 메시지에서 NG-RAN(106a) 또는 UE(104)로부터 요청된 CAG 셀/NPN(102b)의 CAG ID를 수신할 수 있다. UE(104)의 요청을 수신한 경우, AMF/SEAF(202)는 UE(104)의 SUPI를 노출시킬 수 있다(예를 들면, UE의 5G-GUTI 등으로부터). AMF/SEAF(202)가 CAG 셀/NPN(102b)에 액세스할 수 있는 UE(104)의 권한들을 검증하기 위한 정보를 갖고 있지 않은 경우, AMF/SEAF(202)는 Ncag_XXX 요청 메시지에서 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID를 CAG 서버(110)에 제공한다. AMF/SEAF(202)로부터 SUPI를 수신한 경우, CAG 서버(110)는 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 검색된 CAG 셀의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 서버(110)는 UE(104)가 요청된 CAG 셀에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. CAG 서버(110)는 Ncag_XXX 응답 메시지에서 검증 결과(수락/거절)를 AMF/SEAF(202)에 전송한다. CAG 서버(110)로부터의 응답에 기초하여, AMF/SEAF(202)는 UE(104)의 등록 요청을 더 진행하거나 UE(104)의 등록 요청을 거절할 수 있다.
도 1a, 도 1b, 도 1c 및 도 2가 무선 네트워크(100)의 다양한 요소들/노드들/구성 요소들을 도시하고 있지만, 다른 실시예가 이에 제한되지 않음을 이해해야 한다. 다른 실시예들에서, 무선 통신 시스템(100)은 더 적거나 더 많은 수의 유닛들을 포함할 수 있다. 또한, 유닛들의 라벨들 또는 명칭들은 예시의 목적으로만 사용되며 본 명세서의 실시예들의 범위를 제한하지 않는다. 하나 이상의 유닛들이 함께 결합되어 무선 네트워크(100)에서 동일하거나 실질적으로 유사한 기능을 수행할 수 있다.
3GPP TS 23.501은 CAG(Closed Access Group) 및/또는 네트워크 슬라이싱을 사용하여 공용 PLMN의 지원으로 배치되는 NPN(Non-Public Network)으로서 공용 네트워크 통합(비독립형) 비공용 네트워크를 명시하고 있다. CAG 셀에 액세스할 권한이 없는, 유효 가입 여부와 관계없는, 불량이거나 또는 오작동하거나 악성인(공격자에 의해 손상되거나 도입됨) 다수의 UE(특히 산업용/셀룰러/대규모 IoT에서)가 CAG 셀들을 통해 네트워크에 액세스하기 위한 등록 절차를 수행하는 경우, 네트워크는 SUCI를 은닉 해제(de-concealing)하여 인증 절차를 수행한 다음 CAG 셀 액세스에 대한 UE의 승인 여부를 확인해야 하기 때문에, 네트워크, 특히 UDM, AMF 및 gNB에 오버헤드(시그널링 및 계산)가 있게 된다. 특정 CAG 셀에서 또는 CAG 셀을 통해 NPN에 액세스하기 위해 다른 CAG 셀에 분산된 곳에서의 이러한 시도는 5G 시스템에 대한 (분산된(distributed)) 서비스 거부(denial-of-service)((D)DoS)로 이어지게 된다. 본 개시는 네트워크가 프라이머리 인증을 수행하지 않고 CAG 셀을 통해 UE의 등록 요청을 검증하는 새로운 메커니즘을 제공한다. 이 방법은 네트워크(UDM/AUSF)가 프라이머리 인증을 수행하기 전에 UE의 가입 은닉 식별자(SUbscription Concealed Identifier, SUCI)를 기반으로 CAG 셀(UE가 액세스를 요청하는 곳)에 액세스하기 위한 UE의 가입을 검증할 수 있도록 한다. UDM은 서빙 네트워크 AMF(AUSF를 통해)로부터 CAG 식별자와 UE의 가입 ID를 수신하고, UDM은 인증 절차를 더 진행하기 전에 CAG 액세스 검사를 수행한다. (서빙 네트워크(AMF)에서 수행하는 대신) UDM에서 확인을 수행함으로써, 네트워크의 오버헤드를 최소화하고 5GS 보안 수준을 낮추는 것 없이 네트워크에 대한 (D)DoS 공격을 완화한다. 다양한 실시예들에 따르면, UDM은 UE의 액세스 CAG 셀에 대한 검사를 수행하고, CAG 셀 액세스 검사 결과에 기초하여 프라이머리 인증 절차를 더 진행한다. 서빙 네트워크(AMF)는 AUSF를 통해 UDM에게 CAG ID(UE가 액세스를 요청하는 CAG 셀의 식별자)를 전송한다.
도 3은 본 명세서에 개시된 실시예들에 따른, 5GC(108a)의 UDM에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(301)에서, UE(104)는 CAG 셀/NPN(102b)에 액세스하기 위해 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 서빙 CAG ID(들)의 모든 CAG ID(들)를 AMF/SEAF(202)에 전송할 수 있다.
단계(302)에서, AMF/SEAF(202)는 UE(104)의 SUCI, 요청된 CAG 셀의 CAG ID, 및 기타 파라미터들(예를 들면, SN-이름 등)을 인증 요청 메시지에 포함시킴으로써 인증 요청(Nausf_UEAuthentication_Authenticate Request) 메시지를 AUSF(204)에 전송한다.
단계(303)에서, AUSF(204)는 수신된 UE(104)의 SUCI, 요청된 CAG 셀의 CAG ID, 및 기타 파라미터들을 인증 획득 요청(Nudm_UEAuthentication_GetRequest) 메시지에 포함시키고 인증 획득 요청 메시지를 UDM에 전송한다.
단계(304)에서, UDM/ARPF/SIDF(206)는 AUSF(204)로부터 인증 획득 요청 메시지를 수신한 경우 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들 또는 승인을 검증한다. 일 실시예에서, UDM/ARPF/SIDF(206)는 프라이머리 인증 절차를 수행하기 전에 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들 또는 승인을 검증한다. UDM/ARPF/SIDF(206)는 수신된 SUCI를 SUPI로 노출시키고 SUPI에 기초하여 CAG 셀들의 허용 목록을 검색한다. UDM/ARPF/SIDF(206)는 요청된 CAG 셀의 수신된 CAG ID(들)가 SUPI에 기초한 CAG 셀들의 허용 목록에 존재하는지 검증한다. 요청된 CAG 셀의 수신된 CAG ID(들)가 SUPI에 기초한 CAG 셀들의 허용 목록에 존재함을 검증한 경우, UDM/ARPF/SIDF(206)는 UE가 권한들 또는 가입을 갖고 있는지 또는 UE가 CAG 셀/NPN(102b)에 액세스할 수 있도록 승인된 UE인지를 결정한다. 그 후, UDM/ARPF/SIDF(206)는 UE(104)의 SUPI에 기초하여 인증 벡터(authentication vector)를 생성하고, UE(104)가 NPN(102b)/NPN(102b)에 의해 제공되는 서비스에 액세스할 수 있도록 하기 위해 UE(104)를 인증하기 위한 프라이머리 인증 절차(3GPP TS 33.501에 지정됨)를 수행한다. 요청된 CAG 셀의 수신된 CAG ID가 SUPI에 기초한 CAG 셀들의 허용 목록에 존재하지 않음을 검증한 경우, UDM/ARPF/SIDF(206)는 UE가 권한들 또는 가입을 갖고 있지 않거나 UE가 CAG 셀/NPN(102b)에 액세스하도록 승인되지 않은 것으로 결정한다. 그 후에, UDM/ARPF/SIDF(206)는 인증 획득 응답 메시지(Nudm_UEAuthentication_GetResponse)에 오류 정보를 포함시킨다.
단계(305)에서, UDM/ARPF/SIDF(206)는 인증(authentication) 획득(get) 응답(response) 메시지(예를 들면, 403 Forbidden 등)를 AUSF에 전송한다. 단계(306)에서, AUSF(204)는 수신된 인증 획득 응답 메시지의 거절 메시지를 인증 응답(Nausf_UEAUthentication_Authenticate Response)에 삽입한다. AUSF(204)는 인증 응답(예를 들면, 403 Forbidden 등)을 AMF/SEAF(202)에 전송한다. 단계(307)에서, AMF/SEAF(202)는 AUSF(204)로부터 거절 메시지를 수신한 경우 UE(104)의 등록 요청을 거절한다. AMF/SEAF(202)는 적절한 원인 값(예를 들면, #12, #13, #15, #76 등)과 함께 거절 메시지를 UE(104)에 전송하며, 여기서 적절한 원인 값은 CAG 셀 액세스가 허용되지 않음을 나타낸다. 따라서, 프라이머리 인증을 수행하기 전에 UDM에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들/승인을 검증하는 것은 5GC(108a)에 대한 시그널링 오버헤드를 최소화하고 DoS 공격을 완화한다.
다양한 실시예들에 따르면, 네트워크에서 적어도 하나의 NPN(Non-Public Network)에 액세스하기 위한 적어도 하나의 사용자 장비(user equipment, UE)의 권한들을 제어하는 방법이 제공되며, 이 방법은 적어도 하나의 UE에 의해서, 적어도 하나의 CAG(Closed Access Group) 셀을 통해 적어도 하나의 NPN에 액세스하기 위한 PLMN(Public Land Mobile Network)에 요청하는 단계; PLMN의 코어 네트워크(core network, CN)에 의해서, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하는 단계; 및 CN에 의해서, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들이 검증된 것에 기초하여, 적어도 하나의 UE가 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN에 액세스하도록 허용하는 프라이머리 인증 절차를 수행하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 NPN은 적어도 하나의 CAG 셀을 사용하여 PLMN과 함께 배치된다.
일부 실시예들에서, 적어도 하나의 NPN은 비독립형 NPN 또는 독립형 NPN 중 적어도 하나를 포함한다.
일부 실시예들에서, CN의 통합 데이터 관리(unified data management, UDM), 액세스 및 이동성 관리 기능(mobility management function, AMF), 또는 인증 서버 기능(authentication server function, AUSF) 중 적어도 하나가, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증한다.
일부 실시예들에서, CN에 커플링된 CAG 서버가 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증한다.
일부 실시예들에서, 적어도 하나의 UE에 의해서, 적어도 하나의 NPN에 대한 액세스를 요청하는 단계는, 적어도 하나의 UE의 가입 은닉 식별자(subscription concealed identifier, SUCI)를 포함하는 요청을 PLMN의 무선 액세스 네트워크(radio access netowrk, RAN)에 전송하는 단계를 포함한다.
일부 실시예들에서, 이 방법은 RAN(Radio Access Network)에 의해서, 적어도 하나의 UE에 의해 요청되는 적어도 하나의 NPN의 적어도 하나의 CAG ID(CAG Identifier)를 추가하는 단계; 및 RAN에 의해서, UE의 수신된 가입 은닉 식별자(SUCI) 및 요청된 적어도 하나의 NPN의 적어도 하나의 CAG ID를 CN에 전송하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 UE에 의해서, 적어도 하나의 NPN에 대한 액세스를 요청하는 단계는, 적어도 하나의 UE의 가입 은닉 식별자(SUCI) 및 요청된 적어도 하나의 NPN의 적어도 하나의 CAG ID(CAG Identifier)를 PLMN의 무선 액세스 네트워크(RAN)에 포함시키는 단계를 포함한다.
일부 실시예들에서, CN은 적어도 하나의 CAG ID를 포함하는 수신된 요청 메시지에 기초하여, 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증한다.
일부 실시예들에서, CN에 의해서, 적어도 하나의 UE의 권한들을 검증하는 단계는, 무선 액세스 네트워크(RAN)로부터 적어도 하나의 UE의 가입 은닉 식별자(SUCI) 및 요청된 적어도 하나의 NPN의 적어도 하나의 CAG ID(CAG Identifier)를 수신하는 단계; 적어도 하나의 UE의 수신된 SUCI에 기초하여 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 도출하는 단계; 및 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID를 사용하여 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 도출하는 단계는, 적어도 하나의 UE의 수신된 SUCI를 가입 영구 식별자(subscription permanent identifier, SUPI)로 노출시키는 단계; 적어도 하나의 UE의 노출된 SUPI를 CAG 셀들의 허용 목록 및 복수의 UE들의 SUPI들의 맵과 매핑하는 단계; 및 연관된 SUPI가 적어도 하나의 UE의 노출된 SUPI와 매핑되는 것에 기초하여 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 도출하는 단계를 포함한다.
일부 실시예들에서, 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN의 수신된 CAG ID를 사용하여 적어도 하나의 UE의 권한들을 검증하는 단계는, 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는지 결정하는 단계; 요청된 적어도 하나의 NPN의 적어도 하나의 수신된 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는 것에 기초하여, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖는 것으로 검증하는 단계; 및 요청된 적어도 하나의 NPN의 적어도 하나의 수신된 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하지 않는 것에 기초하여, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖지 않는 것으로 검증하는 단계를 포함한다.
일부 실시예들에서, 이 방법은 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖지 않는 것으로 검증한 경우 적어도 하나의 UE의 요청을 거절하는 단계; 및 원인 값과 함께 적어도 하나의 UE에 거절 메시지를 전송하는 단계를 추가로 포함하며, 여기서 원인 값은 적어도 하나의 UE의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
일부 실시예들에서, 프라이머리 인증 절차를 수행하는 단계는, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖는 것으로 검증한 것에 기초하여 적어도 하나의 UE의 노출된 가입 영구 식별자(SUPI)에 기초하여 인증 벡터를 생성하는 단계; 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는 것으로 결정한 것에 기초하여, 생성된 인증 벡터에 기초하여 적어도 하나의 UE를 인증하는 단계; 및 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는 것에 기초하여 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있게 하는 단계를 포함한다.
다양한 실시예들에 따르면, 네트워크는 적어도 하나의 사용자 장비(UE); 적어도 하나의 NPN(Non-Public network); 및 PLMN(Public Land Mobile Network)를 포함한다. 적어도 하나의 NPN은 PLMN과 함께 배치되고, PLMN은 RAN(Radio Access Network) 및 CN(Core Network)를 포함하는 적어도 하나의 셀룰러 네트워크를 포함하고, 적어도 하나의 UE는 적어도 하나의 CAG(Closed Access Group) 셀을 통해 적어도 하나의 NPN에 액세스하기 위해 PLMN에 요청하도록 구성되며, CN은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하고; 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들이 검증된 것에 기초하여, 적어도 하나의 UE가 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN에 액세스할 수 있게 프라이머리 인증 절차를 수행하도록 구성된다.
일부 실시예들에서, 적어도 하나의 NPN은 적어도 하나의 CAG 셀을 사용하여 PLMN과 함께 배치된다.
일부 실시예들에서, 적어도 하나의 NPN은 비독립형 NPN 또는 독립형 NPN 중 적어도 하나를 포함한다.
일부 실시예들에서, CN의 통합 데이터 관리(UDM), 액세스 및 이동성 관리 기능(AMF), 또는 인증 서버 기능(AUSF) 중 적어도 하나는, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, PLMN은 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하도록 구성된 CN과 커플링되는 CAG 서버를 더 포함한다.
일부 실시예들에서, 적어도 하나의 UE는 적어도 하나의 NPN에 대한 액세스를 요청하는 PLMN의 RAN에 적어도 하나의 UE의 가입 은닉 식별자(SUCI)를 포함하는 요청을 전송하도록 추가로 구성된다.
일부 실시예들에서, 적어도 하나의 RAN은 적어도 하나의 UE에 의해 요청되는 적어도 하나의 NPN의 적어도 하나의 CAG ID(CAG Identifier)를 추가하고; 수신된 UE의 가입 은닉 식별자(SUCI) 및 요청된 적어도 하나의 NPN의 CAG ID를 CN에 전송하도록 추가로 구성된다.
일부 실시예들에서, 적어도 하나의 UE는 적어도 하나의 UE의 가입 은닉 식별자(SUCI) 및 요청된 적어도 하나의 NPN의 CAG ID(CAG Identifier)를 포함하는 요청을, PLMN의 RAN으로 전송하도록 추가로 구성된다.
일부 실시예들에서, CN은 적어도 하나의 CAG ID를 포함하는 수신된 요청 메시지에 기초하여, 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, CN은 적어도 하나의 UE의 SUCI(subscription concealed identifier) 및 요청된 적어도 하나의 NPN의 적어도 하나의 CAG ID(CAG Identifier)를 RAN으로부터 수신하고; 적어도 하나의 UE의 수신된 SUCI에 기초하여 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 도출하고; 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID를 사용하여 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, CN은 적어도 하나의 UE의 수신된 SUCI를 가입 영구 식별자(SUPI)로 노출시키고; 적어도 하나의 UE의 노출된 SUPI를, 복수의 UE들의 SUPI들 및 CAG 셀들의 허용 목록의 맵과 매핑하고; 연관된 SUPI가 적어도 하나의 UE의 노출된 SUPI와 매핑되는 것에 기초하여, 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 도출하도록 추가로 구성된다.
일부 실시예들에서, CN은 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는지를 결정하고; 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는 것에 기초하여, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖는 것으로 검증하고; 요청된 적어도 하나의 NPN의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하지 않는 것에 기초하여, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, CN은 적어도 하나의 UE가 적어도 하나의 NPN의 요청된 적어도 하나의 CAG ID에 액세스하기 위한 권한들을 갖고 있지 않은 것으로 검증한 경우 적어도 하나의 UE의 요청을 거절하고; 원인 값과 함께 적어도 하나의 UE에 거절 메시지를 전송하도록 추가로 구성되고, 여기서 원인 값은 적어도 하나의 UE의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
일부 실시예들에서, CN은 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 가진 것으로 검증한 것에 기초하여, 적어도 하나의 UE의 수신된 가입 영구 식별자(SUPI)에 기초하여 인증 벡터를 생성하고; 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는다는 결정에 기초하여 생성된 인증 벡터에 기초하여 적어도 하나의 UE를 인증하고; 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는다는 것에 기초하여, 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있게 하도록 추가로 구성된다.
다양한 실시예들에 따르면, 네트워크는 적어도 하나의 사용자 장비(UE); 적어도 하나의 NPN(Non-Public Network); 및 PLMN(Public Land Mobile Network)를 포함한다. 적어도 하나의 NPN은 적어도 하나의 CAG(Closed Access Group) 셀을 통해 PLMN과 함께 배치되고, PLMN은 RAN(Radio Access Network) 및 CN(Core Network)를 포함하는 적어도 하나의 셀룰러 네트워크를 포함하며, 적어도 하나의 UE는 적어도 하나의 NPN에 대한 액세스를 PLMN에 요청하도록 구성되고, CN는, 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하고; 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들이 인증된 것에 기초하여 프라이머리 인증 절차를 개시하도록 구성되는 UDM(unified data management)을 포함한다.
일부 실시예들에서, 적어도 하나의 UE는 적어도 하나의 NPN에 대한 액세스를 요청하는 PLMN의 RAN에게 적어도 하나의 UE의 가입 은닉 식별자(SUCI)를 포함하는 요청을 전송하도록 추가로 구성되며, RAN은 적어도 하나의 UE에 의해 요청된 적어도 하나의 NPN의 CAG ID(CAG Identifier)를 추가하고; 수신된 UE의 SUCI(subscription concealed identifier) 및 요청된 적어도 하나의 NPN의 CAG ID를 CN에 전송하도록 구성된다.
일부 실시예들에서, 적어도 하나의 UE는 적어도 하나의 UE의 SUCI(subscription concealed identifier) 및 요청된 적어도 하나의 NPN의 CAG ID(CAG Identifier)를 포함하는 요청을 PLMN의 RAN에 전송하도록 추가로 구성된다.
일부 실시예들에서, CN은 액세스 및 이동성 관리 기능(AMF) 및 인증 서버 기능(AUSF)을 더 포함하며, AMF는 RAN으로부터 적어도 하나의 UE의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 수신하고, 수신된 적어도 하나의 UE의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 제1 인증 요청 메시지에 삽입하고, 제1 인증 요청 메시지를 AUSF에 전송하도록 구성되며, AUSF는 수신된 제1 인증 요청 메시지로부터 적어도 하나의 UE의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 도출하고, 도출된 적어도 하나의 UE의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 제1 인증 획득 요청 메시지에 삽입하고, 인증 획득 요청 메시지를 UDM에 전송하도록 추가로 구성된다.
일부 실시예들에서, UDM은 AUSF로부터 적어도 하나의 UE의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 수신하고, 수신된 적어도 하나의 UE의 SUCI를 가입 영구 식별자(SUPI)로 노출시키고, 적어도 하나의 UE의 노출된 SUPI를 CAG 셀들의 허용 목록 및 복수의 UE들의 SUPI들의 맵과 매핑하고, 연관된 SUPI가 적어도 하나의 UE의 노출된 SUPI와 매핑되는 것에 기초하여 적어도 하나의 UE에 대한 CAG 셀들의 허용 목록을 검색하고, 요청된 적어도 하나의 NPN의 수신된 CAG ID가 검색된 CAG 셀들의 허용 목록에 존재하는 것에 기초하여 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있는 권한들을 가진 것으로 검증하고, 요청된 적어도 하나의 NPN의 수신된 CAG ID가 검색된 CAG 셀들의 허용 목록에 존재하지 않는 것에 기초하여 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있는 권한들을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, UDM은 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 대한 액세스를 갖지 않는 것으로 검증한 것에 기초하여 거절 메시지 및 적어도 하나의 UE의 SUPI를 제2 인증 획득 요청 메시지에 삽입하고, 인증 획득 응답 메시지를 AUSF에 전송하도록 추가로 구성되며, AUSF는 수신된 제2 인증 획득 응답 메시지로부터 거절 메시지를 도출하고, 도출된 거절 메시지를 제2 인증 응답 메시지에 삽입하고, 제2 인증 응답 메시지를 AMF에 전송하도록 추가로 구성되며, AMF는 AUSF로부터 거절 메시지를 수신한 것에 기초하여 적어도 하나의 UE의 요청을 거절하고, 원인 값과 함께 RAN을 통해 적어도 하나의 UE에 거절 메시지를 전송하도록 추가로 구성되며, 여기서 원인 값은 적어도 하나의 UE의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
일부 실시예들에서, UDM은 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖는 것으로 검증한 것에 기초하여 적어도 하나의 UE의 수신된 SUCI에 기초하여 인증 벡터를 생성하고, AUSF를 통해 AMF에 인증 벡터를 전송하도록 추가로 구성되며, AMF는 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는다고 결정한 것에 기초하여 수신된 인증 벡터에 기초하여 적어도 하나의 UE를 인증하고, 적어도 하나의 UE가 PLMN을 통해 요청된 적어도 하나의 NPN에 액세스하기 위한 NPN 권한들을 갖는 것에 기초하여 적어도 하나의 UE가 적어도 하나의 요청된 NPN에 액세스할 수 있게 하도록 추가로 구성된다.
다양한 실시예에 따르면, PLMN(Public Land Mobile Network)의 CN(core network) - 여기서 PLMN은 적어도 하나의 비공용 네트워크(NPN)와 함께 적어도 하나의 사용자 장비(UE)에 연결됨 - 은 적어도 하나의 NPN에 액세스하기 위해 RAN(Radio Access Network)을 통해 적어도 하나의 UE로부터 요청을 수신하고; 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들을 검증하고; 요청된 적어도 하나의 NPN에 액세스하기 위한 적어도 하나의 UE의 권한들이 검증된 것에 기초하여 프라이머리 인증 절차를 수행하도록 구성된다.
일부 실시예들에서, 적어도 하나의 UE의 요청은 적어도 하나의 UE의 가입 은닉 식별자(SUCI) 및 적어도 하나의 UE에 의해 요청된 적어도 하나의 NPN의 CAG(Closed Access Group) ID를 포함한다.
일부 실시예들에서, CN은 적어도 하나의 UE의 수신된 가입 은닉 식별자(SUCI)를 가입 영구 식별자(SUPI)로 노출시키고, 적어도 하나의 UE의 노출된 SUPI를 CAG 셀들의 허용 목록 및 복수의 UE들의 SUPI들의 맵과 매핑하고, 연관된 SUPI가 적어도 하나의 UE의 노출된 SUPI와 매핑되는 것에 기초하여 적어도 하나의 UE에 대한 CAG 들의 허용 목록을 검색하고, 요청된 적어도 하나의 NPN의 수신한 CAG ID(Closed Access Group Identifier)가 검색된 CAG 셀들의 허용 목록에 존재하는 것에 기초하여 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있는 권한들을 갖는 것으로 검증하고, 요청된 적어도 하나의 NPN의 수신된 CAG ID가 검색된 CAG 셀들의 허용 목록에 존재하지 않는 것에 기초하여 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스할 수 있는 권한들을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, CN은 적어도 하나의 UE가 요청된 적어도 하나의 NPN에 액세스하기 위한 권한들을 갖지 않는다고 검증한 것에 기초하여 적어도 하나의 UE의 요청을 거절하고; 원인 값과 함께 RAN을 통해 적어도 하나의 UE에 거절 메시지를 전송하도록 추가로 구성되며, 여기서, 원인 값은 적어도 하나의 UE의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
도 4는 본 명세서에 개시된 실시예들에 따른, AMF/SEAF(202)와 직접 통신함으로써 5GC(108a)의 UDM(206)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(401)에서 UE(104)는 SUCI를 포함하는 등록 요청을 CAG 셀/NPN(102b)에 액세스하기 위해 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송한다. NG-RAN(106a)은 또한 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송하거나 UE(104)가 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다.
단계(402)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI, CAG ID, 기타 파라미터들(예를 들면, SN 이름)을 Nudm_XXX 요청 메시지에 삽입하고, Nudm_XXX 요청 메시지를 UDM(206)에 전송한다.
단계(403)에서, UDM(206)은 AMF/SEAF(202)로부터 인증 획득 요청 메시지를 수신한 경우 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 일 실시예에서, UDM(206)은 프라이머리 인증 절차를 수행하기 전에 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. UDM(206)은 수신된 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 CAG 셀의 허용 목록을 검색한다. UDM(206)은 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID에 기반하여 검색된 CAG 셀들의 허용 목록에 기초하여 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 대한 권한들을 갖고 있는 것으로 검증한 경우, UDM(206)은 수락 메시지, UE(104)에 대한 CAG 셀들의 허용 목록 등을 Nudm_XXX 응답 메시지에 삽입한다. 단계(404a)에서, UDM(206)은 성공적인 검증을 나타내는 Nudm_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(405a)에서 Nudm_XXX 응답 메시지를 수신한 경우, AMF/SEAF(202)는 UE(104)의 등록 요청을 더 진행한다. 단계(406a)에서, AMF/SEAF(202)는 UE(104)가 NPN(102b)/NPN(102b)에 의해 제공되는 서비스들에 액세스할 수 있도록 하기 위해 UE(104)를 인증하기 위한 프라이머리 인증 절차(3GPP TS 33.501에 지정됨)를 수행한다.
UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들이 없는 것으로 검증한 경우, UDM(206)은 UE(104)가 CAG 셀을 사용하도록 허용되지 않는다는 것을 나타내는 거절 메시지 및 원인 값을 Nudm_XXX 응답 메시지에 포함시킨다. 단계(404b)에서, UDM(206)은 실패한 검증을 나타내는 Nudm_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(405b)에서, AMF/SEAF(202)는 UE(104)의 등록 요청을 거절한다. 단계(406b)에서 AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 포함하는 응답을 UE(104)에 전송한다.
도 5는 본 명세서에 개시된 실시예들에 따른, 획득 요청 메시지 및 획득 응답 메시지를 통해 AMF/SEAF(202)와 통신함으로써 UDM(206)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(501)에서, UE(104)는 CAG 셀/NPN(102b)에 액세스하기 위해 SUCI를 포함하는 등록 요청을 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송한다. NG-RAN(106a)은 또한 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있거나 UE(104)가 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다.
단계(502)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI, CAG ID, 기타 파라미터들(예를 들면, SN 이름)을 Nudm_UEVerifyCAGAccess_Get 요청 메시지에 삽입하고 Nudm_UEVerifyCAGAccess_Get 요청 메시지를 UDM(206)에 전송한다.
단계(503)에서, UDM(206)은 AMF/SEAF(202)로부터 인증 획득 요청 메시지를 수신한 경우 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 일 실시예에서, UDM(206)은 프라이머리 인증 절차를 수행하기 전에 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. UDM(206)은 수신된 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 CAG 셀들의 허용 목록을 검색한다. UDM(206)은 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID에 기반하여 검색된 CAG 셀들의 허용 목록에 기초하여 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 대한 권한을 가진 것으로 검증한 경우, UDM(206)은 수락 메시지, UE(104)에 대한 CAG 셀들의 허용 목록 등을 Nudm_UEVerifyCAGAccess_Get 응답 메시지에 삽입한다. 단계(504a)에서, UDM(206)은 성공적인 검증을 나타내는 Nudm_UEVerifyCAGAccess_Get 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(505a)에서, Nudm_XXX 응답 메시지를 수신한 경우, AMF/SEAF(202)는 UE(104)의 등록 요청을 더 진행한다.
UE(104)가 CAG 셀/NPN(102b)에 대한 액세스 권한들을 갖지 않는 것으로 검증한 경우, UDM(206)은 CAG 셀이 UE(104)에 대해 허용되지 않는다는 것을 나타내는 거절 메시지 및 원인 값을 Nudm_XXX 응답 메시지에 포함시킨다. 단계(504b)에서, UDM(206)은 실패한 검증을 나타내는 Nudm_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(505b)에서 AMF/SEAF(202)는 UE(104)의 등록 요청을 거절한다. 단계(506)에서, AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 포함하는 응답을 UE(104)에 전송한다.
도 6은 본 명세서에 개시된 실시예에 따른, UDM(206) 및/또는 5GC(108a)의 AUSF(204)에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(601에서, UE(104)는 CAG 셀/NPN(102b)에 액세스하기 위해 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(602)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI, CAG ID, 기타 파라미터들을 Nausf_XXX 요청 메시지에 삽입하고 Nausf_XXX 요청 메시지를 AUSF(204)에 전송한다. 단계(603)에서 AUSF(204)는 수신된 Nausf_XXX 메시지의 SUCI, CAG ID 및 기타 파라미터들을 Nudm_XXX 요청 메시지에 삽입한다. AUSF(204)는 Nudm_XXX 요청 메시지를 UDM(206)에 전송한다.
단계(604)에서, UDM(206)은 수신된 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 일 실시예에서, UDM(206)은 SUPI 및 요청된 CAG 셀/NPN(102b)의 수신된 CAG ID에 기초하여 검색된 UE(104)에 대한 CAG 셀들의 허용 목록을 사용하여, 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. UE가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가진 것으로 검증한 경우, UDM(206)은 UE(104)가 NPN(102b)/NPN(102b)에 의해 제공되는 서비스에 액세스할 수 있도록 하기 위해 UE(104)를 인증하기 위한 프라이머리 인증 절차(3GPP TS 33.501에 지정됨)를 개시한다. UE(104)가 CAG 셀/NPN(102b)에 액세스할 권한들이 없는 것으로 검증한 경우, UDM(206)은 CAG 셀이 UE(104)에 대해 허용되지 않음을 나타내는 CAG 셀 거절 메시지 및 UE의 SUPI를 Nudm_XXX 응답 메시지에 포함시킨다. 단계(605)에서, UDM(206)은 CAG 셀이 허용되지 않음을 나타내는 Nudm_XXX 응답 메시지를 AUSF(204)에 전송한다.
일 실시예에서, UDM(206)은 UE(104)의 권한들의 검증을 수행하기 위해 검색된 CAG 셀들의 허용 목록을 AUSF(204)에 전송할 수 있다. 이 경우, 단계(605)에서, UDM(206)은 CAG 셀들의 허용 목록을 포함하는 Nudm_XXX 응답 메시지를 AUSF(204)에 전송한다.
단계(606)에서, AUSF(204)는 수신된 CAG 셀들의 허용 목록 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 사용하여 CAG 셀들/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다.
단계(607)에서, AUSF(204)는 UE(104)가 CAG 셀에 액세스할 권한들이 없는 것으로 검증하거나 CAG 셀 액세스가 허용되지 않음을 나타내는 Nudm_XXX 응답을 UDM(206)으로부터 수신한 경우, Nausf_XXX 응답 메시지에서 CAG 셀 거절을 AMF/SEAF(202)에 전송한다. 단계(608)에서, AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 UE(104)에 전송함으로써 UE(104)의 등록 요청을 거절한다.
도 7은 본 명세서에 개시된 실시예들에 따른, 5GC(108a)의 AUSF(204)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(701)에서, UE(104)는 CAG 셀/NPN(102b)에 액세스하기 위해 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF에 전송할 수 있다. 일 실시예에서, NG-RAN은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(702)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI, CAG ID, 기타 파라미터들을 Nausf_UEAuthentication_Authenticate 요청 메시지에 삽입하고 Nausf_UEAuthentication_Authenticate 요청 메시지를 AUSF(204)에 전송한다. 단계(703)에서, AUSF(204)는 수신된 Nausf_UEAuthentication_Authenticate Request 의 SUCI, CAG ID 및 기타 파라미터들을 Nudm_UEAuthentication_Get 요청 메시지에 삽입한다. AUSF(204)는 Nudm_UEAuthentication_Get 요청 메시지를 UDM(206)에 전송한다.
단계(704)에서, UDM(206)은 수신된 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 단계(705)에서, UDM(206)은 Nudm_UE authentication_Get 응답에 UE(104)의 SUPI와 CAG 셀의 허용 목록을 삽입하고, Nudm_UE authentication_Get 응답을 AUSF(204)에 전송한다.
단계(706)에서, AUSF(204)는 UE(104)에 대한 수신된 CAG 셀의 허용 목록 및 요청된 CAG 셀/NPN의 수신된 CAG ID를 사용하여, 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가진 것으로 검증한 경우, AUSF(204)는 UE(104)가 NPN(102b)에 의해 제공되는 NPN(102b)/서비스들에 액세스할 수 있도록 하기 위해 UE(104)를 인증하기 위한 프라이머리 인증 절차(3GPP TS 33.501에 지정됨)를 개시한다. UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한이 없는 것으로 검증한 경우, AUSF(204)는 CAG 셀이 UE(104)에 대해 허용되지 않음을 나타내는 CAG 셀 거절 메시지를 Nausf_UEAuthentication_Authenticate 응답 메시지에 포함시킨다. 단계(707)에서, AUSF(204)는 CAG 셀이 허용되지 않음을 나타내는 Nausf_UEAuthentication_Authenticate 응답 메시지를 AMF/SEAF(202)에 전송한다.
단계(708)에서, AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 UE(104)에 전송함으로써 UE(104)의 등록 요청을 거절한다.
도 8은 본 명세서에 개시된 실시예들에 따른, UDM(206)으로부터 요청을 수신한 경우 CAG 서버(110)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(801)에서, UDM(206)은 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 UE(104)의 등록 요청을 수신하며, 여기서 등록 요청은 UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 포함한다. UDM(206)은 수신된 SUCI로부터 UE(104)의 SUPI를 도출한다. 단계(802)에서, UDM(206)은 UE(104)의 SUPI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 Ncag_XXX 요청 메시지에 삽입한다. 단계(803)에서, UDM(206)은 Ncag_XXX 요청 메시지를 CAG 서버(110)로 전송한다.
단계(804)에서, CAG 서버(110)는 UDM(206)으로부터 수신된 UE(104)의 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 획득한다. CAG 서버(110)는 CAG 셀들의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. UE(104)가 요청된 CAG 셀/NPN(102b)을 검증하기 위한 권한을 가진 것으로 검증한 경우, CAG 서버(110)는 Ncag_XXX 응답 메시지에 수락 메시지를 삽입한다. 단계(805)에서, CAG 서버(110)는 수락 메시지를 포함하는 Ncag-XXX 응답 메시지를 UDM(206)에 전송한다. 단계(806)에서, UDM(206)은 요청 절차를 더 진행할 수 있다.
UE(104)가 요청된 CAG 셀/NPN(102b)을 검증할 권한을 갖지 않는 것으로 검증한 경우, CAG 서버는 Ncag_XXX 응답 메시지에 거절 메시지를 삽입한다. 단계(805)에서, CAG 서버(110)는 CAG 셀 액세스가 허용되지 않음을 나타내는 거절 메시지를 포함하는 Ncag-XXX 응답 메시지를 UDM(206)에 전송한다. 단계(806)에서, UDM(206)은 적절한 원인 값과 함께 UE(104)의 등록 요청을 거절할 수 있다.
도 9는 본 명세서에 개시된 실시예들에 따른, AMF/SEAF(202)로부터 UE(104)의 SUCI를 수신한 경우 CAG 서버(110)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(901)에서, UE(104)는 CAG 셀/NPN(102b)에 액세스하기 위해 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다. AMF/SEAF(202)는 수신된 UE(104)의 SUCI 및 요청된 CAG 셀/NPN(102b)의 CAG ID를 CAG 서버(110)에 전송한다.
단계(902)에서, CAG 서버(110)는 수신된 SUCI를 Nudm_XXX 요청 메시지에 삽입하고, Nudm_XXX 요청 메시지를 UDM(206)에 전송한다. 단계(903)에서, UDM(206)은 SUCI를 SUPI로 노출시킨다. 단계(904)에서, UDM(206)은 노출된 SUPI를 Nudm_XXX 응답 메시지를 통해 CAG 서버(110)에 전송한다.
단계(905)에서, CAG 서버(110)는 수신된 UE(104)의 SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 UDM(206)으로부터 획득한다. CAG 서버(110)는 CAG 셀의 허용 목록 및 요청된 CAG 셀의 CAG ID에 기초하여, CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 단계(906)에서, CAG 서버(110)는 검증 결과(수락 및/또는 거절)를 AMF/SEAF(202)에 전송한다. AMF/SEAF(202)는 검증 결과가 수락되면 UE(104)의 등록 요청을 더 진행하고, 검증 결과가 거절되면 AMF/SEAF(202)가 UE(104)의 등록 요청을 거절한다.
도 10은 본 명세서에 개시된 실시예에 따른, AUSF(204)로부터 UE(104)의 SUCI를 수신한 경우 CAG 서버(110)에서 CAG 셀에 액세스하기 위한 UE(104)의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(1001)에서, UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 서비스 요청을 전송한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(1002)에서, AMF/SEAF(202)는 UE(104)의 SUPI, 요청된 CAG 셀의 CAG ID 및 기타 파라미터들(예를 들면, SN 이름)을 Nausf_XXX 요청 메시지에 삽입하고 Nausf_XXX 요청 메시지를 AUSF(204)에 전송한다.
단계(1003)에서, AUSF(204)는 UE(104)의 SUPI, 요청된 CAG 셀의 CAG ID, 및 다른 파라미터들(예를 들면, SN 이름)을 수신된 Nausf_XXX 요청 메시지로부터 도출한다. AUSF(204)는 UE(104)의 SUPI, 요청된 CAG 셀의 CAG ID 및 기타 파라미터들(예를 들면, SN 이름)을 NCag_XXX 요청 메시지에 삽입하고, NCag_XXX 요청 메시지를 CAG 서버(110)에 전송한다.
단계(1004)에서, CAG 서버(110)는 AUSF(204)로부터 NCag_XXX 요청 메시지를 수신한 경우, 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다. 일 실시예에서, CAG 서버(110)는 요청된 CAG 셀/NPN에 액세스하기 위한 UE(104)의 권한들을 검증한다. CAG 서버(110)는 수신된 SUPI에 기초하여 CAG 셀의 허용 목록을 검색한다. CAG 서버(110)는 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID에 기반하여 검색된 CAG 셀들의 허용 목록에 기초하여 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 대한 권한들을 가진 것으로 검증한 경우, CAG 서버(110)는 수락 메시지, UE(104)에 대한 CAG 셀들의 허용 목록 등을 NCag_XXX 응답 메시지에 삽입한다. 단계(1005)에서, CAG 서버(110)는 성공적인 검증을 나타내는 NCag_XXX 응답 메시지를 AUSF(204)에 전송한다. 단계(1006)에서, AUSF(204)는 CAG 서버(110)로부터 수락 메시지를 수신한 경우 UE(104)의 등록 요청을 더 진행할 수 있다.
UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들이 없는 것으로 검증한 경우, CAG 서버(110)는 NCag_XXX 응답 메시지에 거절 메시지를 삽입한다. 단계(1005)에서, CAG 서버(110)는 CAG 셀이 UE(104)에 대해 허용되지 않음을 나타내는 거절 메시지를 포함하는 NCag_XXX 응답 메시지를 AUSF(204)에 전송한다.
단계(1006)에서, AUSF(204)는 CAG 서버(110)로부터 거절 메시지를 수신한 경우 UE(104)의 서비스 요청을 거절한다. 단계(1007)에서, AUSF(204)는 CAG 서버(110)로부터 거절 메시지를 수신한 경우 CAG 셀 거절을 포함하는 Nausf_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다.
단계(1008)에서, AMF/SEAF(202)는 AUSF(204)로부터 거절 메시지를 수신한 경우 거절 메시지 및 적절한 원인 값을 UE(104)에 전송함으로써 UE(104)의 등록 요청을 거절한다.
도 11은 본 명세서에 개시된 실시예들에 따른, AMF/SEAF(202)에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(1101)에서, UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(1102)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI를 Nudm_XXX 요청 메시지에 삽입하고 Nudm_XXX 요청 메시지를 UDM(206)에 전송한다.
단계(1103)에서, UDM(206)은 수신된 UE(104)의 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 노출된 SUPI가 유효한 경우, UDM(206)은 SUCI를 SUPI 매핑에 저장하며, 이것은 프라이머리 인증 절차 동안 사용될 수 있다. 단계(1104)에서, UDM(206)은 SUPI 및 UE(104)에 대한 CAG 셀들의 허용 목록을 Nudm_XXX 응답 메시지를 통해 AMF/SEAF(202)에 전송한다.
단계(1105)에서, AMF/SEAF(202)는 수신된 CAG 셀들의 허용 목록 및 요청된 CAG 셀/NPN(102b)의 CAG ID에 기초하여 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다.
단계(1106)에서, AMF/SEAF(202)는 UE가 CAG 셀들에 액세스할 수 있는 권한들을 가진 것으로 검증한 경우 UE(104)의 등록 요청을 더 진행한다.
단계(1107)에서, AMF/SEAF(202)는 UE(104)가 CAG 셀들에 액세스할 권한들이 없는 것으로 검증한 경우, 적절한 원인 값을 포함하는 거절 메시지를 UE(104)에 전송함으로써 UE(104)의 등록 요청을 거절한다.
도 12는 본 명세서에 개시된 실시예들에 따른, UDM(206)에 의해 제공되는 서비스 인터페이스를 통해 UDM(206)과 통신함으로써 AMF/SEAF(202)에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(1201)에서, UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 등록 요청을 전송한다. 등록 요청은 UE(104)의 SUCI를 포함한다. 일 실시예에서, UE(104)는 또한 등록 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(1202)에서, AMF/SEAF(202)는 수신된 UE(104)의 SUCI를 Nudm_SDM_Get 요청 메시지에 삽입하고, Nudm_SDM_Get 요청 메시지를 UDM(206)에 전송한다.
단계(1203)에서, UDM(206)은 수신된 UE(104)의 SUCI를 SUPI로 노출시키고, SUPI에 기초하여 UE(104)에 대한 CAG 셀들의 허용 목록을 검색한다. 노출된 SUPI가 유효한 경우, UDM(206)은 SUCI를 SUPI 매핑에 저장하며, 이것은 프라이머리 인증 절차 동안 사용될 수 있다. 단계(1204)에서, UDM은 Nudm_SDM_Get 응답 메시지를 통해 SUPI 및 UE(104)에 대한 CAG 셀들의 허용 목록을 AMF/SEAF(202)에 전송한다.
단계(1205)에서, AMF/SEAF(202)는 수신된 CAG 셀들의 허용 목록 및 요청된 CAG 셀/NPN(102b)의 CAG ID에 기초하여, 요청된 CAG 셀/NPN(102b)에 액세스하기 위한 UE(104)의 권한들을 검증한다.
단계(1206)에서, AMF/SEAF(202)는 UE가 CAG 셀들에 액세스할 수 있는 권한들을 가진 것으로 검증한 경우, UE(104)의 등록 요청을 더 진행한다.
단계(1207)에서, AMF/SEAF(202)는 UE(104)가 CAG 셀에 액세스할 수 있는 권한이 없는 것으로 검증한 경우 또는 AMF/SEAF(202)가 UDM(206)으로부터 SUPI를 수신하지 않는 경우, 적절한 원인 값을 포함하는 거절 메시지를 UE(104)에 전송하여 UE(104)의 등록 요청을 거절한다.
도 13은 본 명세서에 개시된 실시예에 따른, AMF/SEAF(202)와 직접 통신함으로써 CAG 서버에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(1301)에서, UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 서비스 요청을 전송한다. 일 실시예에서, UE(104)는 또한 요청 메시지에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(1302)에서, AMF/SEAF(202)는 UE(104)의 SUPI를 노출시킨다. AMF/SEAF(202)는 UE(104)의 노출된 SUPI, 요청된 CAG 셀/NPN(102b)의 CAG ID를 Nudm_XXX 요청 메시지에 삽입하고 Nudm_XXX 요청 메시지를 CAG 서버(110)에 전송한다.
단계(1303)에서, CAG 서버(110)는 수신된 SUPI에 기초하여 CAG 셀들의 허용 목록을 검색한다. CAG 서버(110)는 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID에 기반하여 검색된 CAG 셀의 허용 목록에 기초하여 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 대한 권한들을 가진 것으로 검증한 경우, CAG 서버(110)는 수락 메시지, 및 UE(104)에 대한 CAG 셀들의 허용 목록을 NCag_XXX 응답 메시지에 삽입한다. 단계(1304)에서, CAG 서버(110)는 성공적인 검증을 나타내는 NCag_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(1305)에서, AMF/SEAF(202)는 CAG 서버로부터 수락 메시지를 수신한 경우, UE(104)의 등록 요청을 더 진행할 수 있다.
UE(104)가 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들이 없는 것으로 검증한 경우, CAG 서버(110)는 NCag_XXX 응답 메시지에 거절 메시지를 삽입한다. 단계(1304)에서, CAG 서버(110)는 UE(104)에 대해 CAG 셀이 허용되지 않음을 나타내는 거절 메시지를 포함하는 NCag_XXX 응답 메시지를 AMF/SEAF에 전송한다.
단계(1305)에서, AMF/SEAF(202)는 CAG 서버(110)로부터 거절 메시지를 수신한 경우, UE(104)의 서비스 요청을 거절한다. 단계(1306)에서, AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 UE(104)에 전송한다.
도 14는 본 명세서에 개시된 실시예들에 따른, AMF/SEAF로부터 UE(104)의 SUPI를 수신할 때 UDM(206)에서 CAG 셀에 액세스하기 위한 UE의 권한들의 검증을 나타내는 시퀀스 다이어그램이다. 단계(1401)에서, UE(104)는 CAG 셀/NPN(102b)에 대한 액세스를 요청하는 NG-RAN(106a)을 통해 AMF/SEAF(202)에 서비스 요청을 전송한다. 일 실시예에서, UE(104)는 또한 서비스 요청에서 요청된 CAG 셀/NPN(102b)의 CAG ID를 NG-RAN(106a)을 통해 AMF/SEAF(202)에 전송할 수 있다. 일 실시예에서, NG-RAN(106a)은 등록 요청과 함께 요청된 CAG 셀/NPN(102b)의 CAG ID를 AMF/SEAF(202)에 전송할 수 있다.
단계(1402)에서 AMF/SEAF(202)는 UE(104)의 SUPI를 노출시킨다. AMF/SEAF(202)는 UE(104)의 노출된 SUPI, 요청된 CAG 셀/NPN(102b)의 CAG ID를 Nudm_XXX 요청 메시지에 삽입하고 Nudm_XXX 요청 메시지를 UDM(206)에 전송한다.
단계(1403)에서, UDM(206)은 수신된 SUPI에 기초하여 CAG 셀들의 허용 목록을 검색한다. UDM(206)은 UE(104)의 SUPI 및 요청된 CAG 셀의 CAG ID에 기반하여 검색된 CAG 셀들의 허용 목록에 기초하여 UE(104)가 요청된 CAG 셀/NPN(102b)에 액세스할 수 있는 권한들을 가지고 있는지 검증한다. UE(104)가 요청된 CAG 셀에 대한 권한들을 가진 것으로 검증한 경우, UDM(206)은 수락 메시지, 및 UE(104)에 대한 CAG 셀들의 허용 목록을 Nudm_XXX 응답 메시지에 삽입한다. 단계(1404)에서, UDM(206)은 성공적인 검증을 나타내는 Nudm_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(1405)에서, AMF/SEAF(202)는 UDM(206)으로부터 수락 메시지를 수신한 경우, UE(104)의 등록 요청을 더 진행할 수 있다.
UE(104)가 CAG 셀/NPN(102b)에 대한 액세스 권한들을 갖지 않은 것으로 검증한 경우, UDM(206)은 Nudm_XXX 응답 메시지에 거절 메시지를 삽입한다. 단계(1404)에서 UDM(206)은 UE(104)에 대해 CAG 셀이 허용되지 않음을 나타내는 거절 메시지를 포함하는 Nudm_XXX 응답 메시지를 AMF/SEAF(202)에 전송한다. 단계(1405)에서, AMF/SEAF(202)는 UDM(206)으로부터 거절 메시지를 수신한 경우 UE(104)의 등록 요청을 거절한다. 단계(1406)에서, AMF/SEAF(202)는 거절 메시지 및 적절한 원인 값을 UE(104)에 전송한다.
도 15는 본 명세서에 개시된 실시예들에 따른, 무선 네트워크(100)에서 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 제어하기 위한 방법(1500)을 도시하는 흐름도이다. 단계(1502)에서, 이 방법은 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN(102b)에 액세스하기 위해 적어도 하나의 UE(104)에 의해서 PLMN(102a)에 요청하는 단계를 포함한다.
단계(1504)에서, 이 방법은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 PLMN(102a)의 CN(108a)에 의해 검증하는 단계를 포함한다.
단계(1506)에서, 이 방법은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들이 검증되는 경우, CN(108a)에 의해, 적어도 하나의 UE(104)가 적어도 하나의 셀을 통해 적어도 하나의 NPN(102b)에 액세스하는 것을 허용하기 위한 프라이머리 인증 절차를 수행하는 단계를 포함한다. 방법(1500)의 다양한 동작은 제시된 순서대로, 다른 순서로 또는 동시에 수행될 수 있다. 또한, 일부 실시예들에서, 도 15에 나열된 일부 동작들은 생략 가능하다.
다양한 실시예들에 따르면, 네트워크(100)에서 적어도 하나의 NPN(Non-Public Network)(102b)에 액세스하기 위한 적어도 하나의 사용자 장비(UE)(104)의 권한들을 제어하는 방법이 제공되며, 이 방법은 적어도 하나의 UE(104)에 의해서, 적어도 하나의 CAG(Closed Access Group) 셀을 통해 적어도 하나의 NPN(102b)에 액세스하기 위해 PLMN(Public Land Mobile Network)(102a)에 요청하는 단계; PLMN(102b)의 코어 네트워크(CN)(108a)에 의해서, 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하는 단계; 및 적어도 하나의 CAG를 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들이 검증된 경우, CN(108a)에 의해서, 적어도 하나의 UE(104)가 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN(102b)에 액세스하는 것을 허용하기 위한 프라이머리 인증 절차를 수행하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 NPN(102b)은 적어도 하나의 CAG 셀을 사용하여 PLMN(102a)과 함께 배치된다.
일부 실시예들에서, 적어도 하나의 NPN(102b)은 비독립형 NPN(102b) 및 독립형 NPN(102b) 중 적어도 하나를 포함한다.
일부 실시예들에서, CN(108a)의 통합 데이터 관리(UDM)(206), 액세스 및 이동성 관리 기능(access and mobility management function, AMF)(202), 인증 서버 기능(authentication server function, AUSF)(204) 중 적어도 하나는 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증한다.
일부 실시예들에서, CN(108a)에 커플링된 CAG 서버(110)가 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증한다.
일부 실시예들에서, 적어도 하나의 UE(102)에 의해, 적어도 하나의 NPN(102a)에 대한 액세스를 요청하는 단계는, 적어도 하나의 UE(102)의 가입 은닉 식별자(subscription concealed identifier, SUCI)를 포함하는 요청을 PLMN(102b)의 무선 액세스 네트워크(Radio Access Network, RAN)(106a)에 전송하는 단계를 포함한다.
일부 실시예들에서, 이 방법은 RAN(106a)에 의해서, 적어도 하나의 UE(104)에 의해 요청된 적어도 하나의 NPN(102b)의 적어도 하나의 CAG ID(CAG ID)를 추가하는 단계; 및 RAN(106b)에 의해서, 수신된 UE(104)의 SUCI 및 요청된 적어도 하나의 NPN의 적어도 하나의 CAG ID를 CN(108a)에 전송하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 UE(102)에 의해서, 적어도 하나의 NPN(102a)에 대한 액세스를 요청하는 단계는, 적어도 하나의 UE(102)의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 포함하는 요청을 PLMN(102b)의 RAN(106a)에 전송하는 단계를 포함한다.
일부 실시예들에서, CN(108a)은 수신된 요청 메시지가 적어도 하나의 CAG ID를 포함하는 경우에만, 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증한다.
일부 실시예들에서, CN(108a)에 의해서, 적어도 하나의 UE(104)의 권한들을 검증하는 단계는, 적어도 하나의 UE(104)의 SUCI, 및 요청된 적어도 하나의 NPN(102a)의 적어도 하나의 CAG ID를 RAN(106a)으로부터 수신하는 단계; 수신된 적어도 하나의 UE(104)의 SUCI에 기초하여 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 도출하는 단계(104); 및 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID를 사용하여 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하는 단계를 포함한다.
일부 실시예들에서, 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 도출하는 단계는, 수신된 적어도 하나의 UE(104)의 SUCI를 가입 영구 식별자(SUPI)로 노출시키는 단계; 적어도 하나의 UE(104)의 노출된 SUPI를 복수의 UE들의 SUPI들 및 CAG 셀들의 허용 목록의 맵과 매핑하는 단계; 및 연관된 SUPI가 적어도 하나의 UE(104)의 노출된 SUPI와 매핑되는 경우 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 도출하는 단계를 포함한다.
일부 실시예들에서, 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID를 사용하여 적어도 하나의 UE(104)의 권한들을 검증하는 단계는, 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는지를 결정하는 단계; 요청된 적어도 하나의 NPN(102b)의 적어도 하나의 수신된 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는 경우, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖는 것으로 검증하는 단계; 및 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하지 않는 경우, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖지 않는 것으로 검증하는 단계를 포함한다.
일부 실시예들에서, 이 방법은 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖지 않는 것으로 검증한 경우 적어도 하나의 UE(104)의 요청을 거절하는 단계; 및 원인 값과 함께 거절 메시지를 적어도 하나의 UE(104)에 전송하는 단계를 포함하며, 여기서 원인 값은 적어도 하나의 UE(104)의 요청을 거절하기 위한 적어도 하나의 오류 원인을 표시한다.
일부 실시예들에서, 프라이머리 인증 절차를 수행하는 단계는, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 가진 것으로 검증한 경우, 적어도 하나의 UE(104)의 노출된 SUPI에 기초하여 인증 벡터를 생성하는 단계; 적어도 하나의 UE(104)가 PLMN(102a)을 통해 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는지 결정할 시에 생성된 인증 벡터에 기초하여 적어도 하나의 UE(104)를 인증하는 단계; 및 적어도 하나의 UE(104)가 PLMN(102a)을 통해 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는 경우 적어도 하나의 UE(104)가 적어도 하나의 요청된 NPN(102b)에 액세스할 수 있게 하는 단계를 포함한다.
다양한 실시예들에 따르면, 네트워크(100)는 적어도 하나의 사용자 장비(UE)(104); 적어도 하나의 비공용 네트워크(Non-Public network, NPN)(102a); 및 공용 육상 모바일 네트워크(Public Land Mobile Network, PLMN)(102a)를 포함한다. 적어도 하나의 NPN(102b)은 PLMN(102a)과 함께 배치되며, 여기서 PLMN(102a)은 무선 액세스 네트워크(106a) 및 코어 네트워크(CN)(108a)를 포함하는 적어도 하나의 셀룰러 네트워크(102a)를 포함한다. 적어도 하나의 UE(104)는 적어도 하나의 클로즈드 액세스 그룹(Closed Access Group, CAG) 셀을 통해 적어도 하나의 NPN(102a)에 액세스하기 위해 PLMN(102a)에 요청하도록 구성된다. CN(108a)은 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하고; 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들이 검증되는 경우, 적어도 하나의 CAG 셀을 통해 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)를 허용하는 프라이머리 인증 절차를 수행하도록 구성된다.
일부 실시예들에서, 적어도 하나의 NPN(102b)은 적어도 하나의 CAG 셀을 사용하여 PLMN(102a)과 함께 배치된다.
일부 실시예들에서, 적어도 하나의 NPN(102b)은 비독립형 NPN(102b) 및 독립형 NPN(102b) 중 적어도 하나를 포함한다.
일부 실시예들에서, CN(108a)의 통합 데이터 관리(unified data management, UDM)(206), 액세스 및 이동성 관리 기능(access and mobility management function, AMF)(202), 인증 서버 기능(authentication server function, AUSF)(204) 중 적어도 하나는 적어도 하나의 CAG 셀을 통해 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, PLMN(102a)은 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하도록 구성된 CN(108a)과 커플링되는 CAG 서버(110)를 더 포함한다.
일부 실시예들에서, 적어도 하나의 UE(102)는 적어도 하나의 UE(102)의 가입 은닉 식별자(SUCI)를 포함하는 요청을 적어도 하나의 NPN(102b)에 대한 액세스를 요청하는 PLMN(102b)의 RAN(106a)에 전송하도록 추가로 구성된다.
일부 실시예들에서, 적어도 하나의 RAN(106a)은 적어도 하나의 UE(104)에 의해 요청되는 적어도 하나의 NPN(102b)의 적어도 하나의 CAG 식별자(CAG ID)를 추가하고; 수신된 UE(104)의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 CN(108a)에 전송하도록 추가로 구성된다.
일부 실시예들에서, 적어도 하나의 UE(102)는 적어도 하나의 UE(102)의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 포함하는 요청을 PLMN(102b)의 RAN(106a)에 전송하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 수신된 요청 메시지들이 적어도 하나의 CAG ID를 포함하는 경우에만 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 RAN으로부터 적어도 하나의 UE(104)의 SUCI, 및 요청된 적어도 하나의 NPN(102a)의 적어도 하나의 CAG ID를 수신하고; 수신된 적어도 하나의 UE(104)의 SUCI에 기초하여 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 도출하고; 도출된 CAG 셀들의 허용 목록 및 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID를 사용하여 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은, 수신된 적어도 하나의 UE(104)의 SUCI를 가입 영구 식별자(SUPI)로 노출시키고; 적어도 하나의 UE(104)의 노출된 SUPI를 복수의 UE들의 SUPI들 및 CAG 셀들의 허용 목록의 맵과 매핑하고; 연관된 SUPI가 적어도 하나의 UE(104)의 노출된 SUPI와 매핑되는 경우 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 도출하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하는지 결정하고; 요청된 적어도 하나의 NPN(102b)의 수신된 적어도 하나의 CAG ID가 도출된 CAG 셀의 허용 목록에 존재하는 경우, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖는 것으로 검증하고; 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID가 도출된 CAG 셀들의 허용 목록에 존재하지 않는 경우, 적어도 하나의 UE(104)가 적어도 하나의 NPN(102b)의 요청된 적어도 하나의 CAG 셀에 액세스하기 위한 권한을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 적어도 하나의 UE(104)가 적어도 하나의 NPN(102b)의 요청된 적어도 하나의 CAG ID에 액세스하기 위한 권한들을 갖지 않는 것으로 검증한 경우 적어도 하나의 UE(104)의 요청을 거절하고; 원인 값과 함께 거절 메시지를 적어도 하나의 UE(104)에 전송하도록 추가로 구성되며, 여기서 원인 값은 적어도 하나의 UE(104)의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
일부 실시예들에서, CN(108a)은 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 가지고 있는 것으로 검증한 경우 적어도 하나의 UE(104)의 수신된 SUPI에 기초하여 인증 벡터를 생성하고; 적어도 하나의 UE(104)가 PLMN(102a)을 통해 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는지 결정할 시에 생성된 인증 벡터에 기초하여 적어도 하나의 UE(104)를 인증하고; 적어도 하나의 UE(104)가 PLMN(102a)을 통해 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는 경우 적어도 하나의 UE(104)가 적어도 하나의 요청된 NPN(102b)에 액세스할 수 있게 하도록 추가로 구성된다.
다양한 실시예들에 따르면, 네트워크(100)는 사용자 장비(UE)(104); 적어도 하나의 NPN(Non-Public Network)(102a); 및 PLMN(Public Land Mobile Network)(102a)을 포함하고, 여기서 적어도 하나의 NPN(102b)은 적어도 하나의 CAG(Closed Access Group) 셀을 통해 PLMN(102a)과 함께 배치되고, 여기서 PLMN(102a)은 무선 액세스 네트워크(106a) 및 코어 네트워크(Core Network, CN)(108a)를 포함하는 적어도 하나의 셀룰러 네트워크(102a)를 포함한다. 적어도 하나의 UE(104)는 적어도 하나의 NPN(102a)에 대한 액세스를 PLMN(102a)에 요청하도록 구성된다. CN(108a)은 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하고; 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들이 검증된 경우, 프라이머리 인증 절차를 개시하도록 구성된 통합 데이터 관리(unified data management, UDM)(206)를 포함한다.
일부 실시예들에서, 적어도 하나의 UE(104)는 적어도 하나의 NPN(102b)에 대한 액세스를 요청하는 PLMN(102b)의 RAN(106a)에 적어도 하나의 UE(104)의 가입 은닉 식별자(SUCI)를 포함하는 요청을 전송하도록 추가로 구성되고, 여기서 RAN(106a)은 적어도 하나의 UE(104)에 의해 요청되는 적어도 하나의 NPN(102b)의 CAG ID를 추가하고; 수신된 UE(104)의 SUCI 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 CN(108a)에 전송하도록 구성된다.
일부 실시예들에서, 적어도 하나의 UE(104)는 적어도 하나의 UE(102)의 SUCI 및 요청된 적어도 하나의 NPN의 CAG ID를 포함하는 요청을 PLMN(102b)의 RAN(106a)에 전송하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 액세스 및 이동성 관리 기능(access and mobility management function, AMF)(202) 및 인증 서버 기능(authentication server function, AUSF)(204)을 더 포함하며, 여기서 AMF(202)는 RAN(106a)으로부터 적어도 하나의 UE(104)의 SUCI 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 수신하고; 적어도 하나의 UE(104)의 수신된 SUCI 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 인증 요청 메시지(Nusf_UEAuthentication_Authenticate Request message)에 삽입하고; 인증 요청 메시지를 AUSF(204)에 전송하도록 구성된다. AUSF(204)는 수신된 인증 요청 메시지로부터 적어도 하나의 UE(104)의 SUCI 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 도출하고; 적어도 하나의 UE(104)의 도출된 SUCI 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 인증 획득 요청 메시지(Nudm_UEAuthentication_Get_Request message)에 삽입하고; 인증 획득 요청 메시지를 UDM(206)에 전송하도록 추가로 구성된다.
일부 실시예들에서, UDM(206)은 AUSF(204)로부터 적어도 하나의 UE(104)의 SUCI, 및 요청된 적어도 하나의 NPN(102a)의 CAG ID를 수신하고; 수신된 적어도 하나의 UE(104)의 SUCI를 가입 영구 식별자(SUPI)로 노출시키고; 적어도 하나의 UE(104)의 노출된 SUPI를 복수의 UE들의 SUPI들 및 CAG 셀들의 허용 목록의 맵과 매핑하고; 연관된 SUPI가 적어도 하나의 UE(104)의 노출된 SUPI와 매핑되는 경우 적어도 하나의 UE(104)에 대한 CAG 셀들의 허용 목록을 검색하고; 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID가 검색된 CAG 셀들의 허용 목록에 존재하는 경우, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스할 수 있는 권한들을 가진 것으로 검증하고; 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID가 검색된 허용된 파일에 존재하지 않는 경우, 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, UDM(206)은 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 대한 액세스를 갖지 않는 것으로 검증한 경우 인증 요청 메시지(Nudm_UEAuthentication_Get Response message)에 적어도 하나의 UE(204)의 거절 메시지 및 SUPI를 삽입하고; 인증 획득 응답 메시지를 AUSF(204)에 전송하도록 추가로 구성된다. AUSF(204)는 수신된 인증 수신 응답 메시지로부터 거절 메시지를 도출하고, 도출된 거절 메시지를 인증 응답 메시지(Nausf_UEAuthentication_Authenticate Response message)에 삽입하고; AMF(202)에 인증 응답 메시지를 전송하도록 추가로 구성된다. AMF(202)는 AUSF(204)로부터 거절 메시지를 수신한 경우 적어도 하나의 UE(104)의 요청을 거절하고; 원인 값과 함께 RAN(106a)을 통해 적어도 하나의 UE(104)에 거절 메시지를 전송하도록 추가로 구성되며, 여기서 원인 값은 적어도 하나의 UE(104)의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
일부 실시예들에서, UDM(206)은 또한 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 가진 것으로 검증한 경우 적어도 하나의 UE(104)의 수신된 SUCI에 기초하여 인증 벡터를 생성하고; AUSF(204)를 통해 AMF(202)에 인증 벡터를 전송하도록 구성되고; AMF(202)는 또한 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는지 결정하기 위해 수신된 인증 벡터에 기초하여 적어도 하나의 UE(104)를 인증하고; 적어도 하나의 UE(104)가 PLMN(102a)을 통해 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 NPN 권한들을 갖는 경우, 적어도 하나의 UE(104)가 적어도 하나의 요청된 NPN(102b)에 액세스할 수 있게 하도록 구성된다.
다양한 실시예들에 따르면, PLMN(Public Land Mobile Network)(102a)의 CN(core network)(108a) - 여기서 PLMN(102a)은 적어도 하나의 비공용 네트워크(NPN)(102a)와 함께 적어도 하나의 사용자 장비(UE)(104)에 연결됨 - 은 적어도 하나의 NPN(102a)에 대한 액세스를 위해 무선 액세스 네트워크(Radio Access Network, RAN)(106a)를 통해 적어도 하나의 UE(104)로부터 요청을 수신하고; 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들을 검증하고; 요청된 적어도 하나의 NPN(102)에 액세스하기 위한 적어도 하나의 UE(104)의 권한들이 검증된 경우, 프라이머리 인증 절차를 수행하도록 구성된다.
일부 실시예들에서, 적어도 하나의 UE(104)의 요청은 적어도 하나의 UE(102)의 가입 은닉 식별자(SUCI) 및 적어도 하나의 UE(104)에 의해 요청된 적어도 하나의 NPN(102b)의 클로즈드 액세스 그룹(Closed Access Group, CAG) ID를 포함한다.
일부 실시예들에서, CN(108a)은 적어도 하나의 UE(104)의 수신된 SUCI를 가입 영구 식별자(SUPI)로 노출시키고; 적어도 하나의 UE(104)의 노출된 SUPI를 복수의 UE들의 SUPI들 및 CAG 셀들의 허용 목록의 맵과 매핑하고; 연관된 SUPI가 적어도 하나의 UE(104)의 노출된 SUPI와 매핑되는 경우 적어도 하나의 UE(104)에 대한 CAG 셀의 허용된 목록을 검색하고; 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID가 CAG 셀의 검색된 허용 목록에 존재하는 경우 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스할 수 있는 권한들을 갖는 것으로 검증하고; 요청된 적어도 하나의 NPN(102b)의 수신된 CAG ID가 검색된 CAG 셀들의 허용 목록에 존재하지 않는 경우 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스할 수 있는 권한들을 갖지 않는 것으로 검증하도록 추가로 구성된다.
일부 실시예들에서, CN(108a)은 적어도 하나의 UE(104)가 요청된 적어도 하나의 NPN(102b)에 액세스하기 위한 권한들을 갖지 않는 것으로 검증한 경우 적어도 하나의 UE(104)의 요청을 거절하고; 원인 값과 함께 거절 메시지를 RAN(106a)을 통해 적어도 하나의 UE(104)에 전송하도록 추가로 구성되며, 여기서 원인 값은 적어도 하나의 UE(104)의 요청을 거절하기 위한 적어도 하나의 오류 원인을 나타낸다.
본 명세서에 개시된 실시예들은 적어도 하나의 하드웨어 장치에서 실행되고 요소들을 제어하기 위해 네트워크 관리 기능들을 수행하는 적어도 하나의 소프트웨어 프로그램을 통해 구현될 수 있다. 도 1a 내지 도 14에 도시된 요소들은 하드웨어 장치, 또는 하드웨어 장치와 소프트웨어 모듈의 조합 중 적어도 하나일 수 있다.
본 명세서에 개시된 실시예들은 무선 네트워크에서 서비스 거부(DoS) 공격을 완화하기 위한 방법 및 시스템을 설명한다. 따라서, 보호의 범위는 이러한 프로그램으로 확장되며, 그 안에 메시지가 있는 컴퓨터 판독 가능 수단에 추가하여, 이러한 컴퓨터 판독 가능 저장 수단은 프로그램이 서버, 모바일 장치 또는 적절한 프로그래밍 가능한 장치에서 실행될 때, 이 방법의 하나 이상의 단계를 구현하기 위한 프로그램 코드 수단을 포함하는 것으로 이해된다. 이 방법은 실시예에서, 예를 들어 초고속 집적 회로 하드웨어 기술 언어(VHDL) 다른 프로그래밍 언어로 작성된 소프트웨어 프로그램을 통해 또는 함께 구현되거나, 또는 적어도 하나의 하드웨어 장치에서 실행되는 하나 이상의 VHDL 또는 여러 소프트웨어 모듈에 의해 구현된다. 하드웨어 장치는 프로그래밍될 수 있는 모든 종류의 휴대용 장치일 수 있다. 장치는 또한 예를 들어 ASIC과 같은 하드웨어 수단, 또는 하드웨어와 소프트웨어 수단의 조합, 예를 들어 ASIC 및 FPGA, 또는 적어도 하나의 마이크로프로세서 및 소프트웨어 모듈이 위치한 적어도 하나의 메모리일 수 있는 수단을 포함할 수 있다. 본 명세서에 설명된 방법 실시예들은 부분적으로는 하드웨어로 부분적으로는 소프트웨어로 구현될 수 있다. 대안적으로, 본 개시는 예를 들어 복수의 CPU를 사용하여 상이한 하드웨어 장치들 상에서 구현될 수 있다.
특정 실시예들에 대한 전술한 설명은 다른 사람들이 현재 지식을 적용함으로써 일반 개념에서 벗어나지 않고 이러한 특정 실시예와 같은 다양한 응용에 대해 용이하게 수정 및/또는 적응할 수 있도록 본 명세서의 실시예들의 일반적인 특성을 완전히 드러낼 것이며, 따라서, 그러한 적응 및 수정은 본 개시된 실시예들의 의미 및 균등물들의 범위 내에서 이해되어야 하며 그렇게 의도된다. 본 명세서에 사용된 어구 또는 용어는 제한이 아니라 설명을 위한 것임을 이해해야 한다. 따라서, 본 명세서의 실시예들이 실시형태의 관점에서 설명되었지만, 당업자는 본 명세서의 실시예들이 본 명세서에 설명된 실시형태의 범위 내에서 수정되어 실시될 수 있음을 인식할 것이다.
본 개시가 다양한 실시예들로 설명되었지만, 당업자라면 다양한 변경 및 수정을 제안할 수 있다. 본 개시는 첨부된 청구범위 내에 속하는 그러한 변경 및 수정을 포함하도록 의도된다.

Claims (24)

  1. UDM(unified data management)에 의해 수행되는 방법에 있어서,
    AUSF(authentication server function)로부터 요청 메시지를 수신하는 과정과, 상기 요청 메시지는:
    사용자 장비(user equipment, UE)의 SUCI(subscription concealed identifier); 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    상기 UE의 상기 SUCI의 은닉 해제(de-concealing)에 기반하여 상기 UE의 SUPI(subscription permanent identifier)를 식별하는 과정과,
    상기 UE의 상기 SUPI에 기반하여 상기 UE가 상기 CAG 셀로의 접근이 허용되는지 여부를 검증하는 과정과,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 AUSF에게 전송하는 과정과,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UDM에 의한, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)를 수행하는 과정을 포함하고,
    상기 인증 절차는 인증 벡터(authentication vector)의 생성을 포함하는 방법.

  2. 삭제
  3. 제1 항에 있어서,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UDM에서 상기 인증 절차를 위한 인증 방법을 선택하는 과정을 더 포함하는 방법.
  4. 제1 항에 있어서,
    상기 UDM은 SIDF(subscription identifier de-concealing function)과 연관되고,
    상기 요청 메시지는 SN(serving network) 이름을 더 포함하는 방법.
  5. AUSF(authentication server function)에 의해 수행되는 방법에 있어서,
    SEAF(security anchor function)로부터 제1 요청 메시지를 수신하는 과정과, 상기 제1 요청 메시지는:
    사용자 장비(user equipment, UE)의 SUCI(subscription concealed identifier), 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    UDM(unified data management)에게 제2 요청 메시지를 전송하는 과정과, 상기 제2 요청 메시지는:
    상기 UE의 상기 SUCI, 및
    상기 CAG 셀의 상기 CAG 식별자를 포함하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 UDM으로부터 수신하는 과정과,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)에 따른 응답 메시지를 상기 UDM으로부터 수신하는 과정을 포함하고,
    상기 인증 절차는 인증 벡터(authentication vector)를 이용하고,
    상기 SUCI는, 상기 UDM에서, 상기 UE가 상기 CAG 셀로의 접근이 허용가능한지 여부를 검증하기 위한 상기 UE의 SUPI(subscription permanent identifier)를 획득하기 위해 이용되는 방법.
  6. 제5 항에 있어서,
    상기 인증 절차는 상기 UDM에서 인증 방법의 선택과 관련되는 방법.
  7. 제5 항에 있어서,
    상기 제1 요청 메시지는 SN(serving network) 이름을 더 포함하며,
    상기 제2 요청 메시지는 상기 SN 이름을 더 포함하는, 방법.
  8. SEAF(security anchor function)에 의해 수행되는 방법에 있어서,
    기지국을 통해 사용자 장비(user equipment, UE)로부터, 등록 요청을 수신하는 과정과,
    상기 등록 요청은:
    상기 UE의 SUCI(subscription concealed identifier), 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    AUSF(authentication server function)를 통해 UDM(unified data management)에게 요청 메시지를 전송하는 과정과, 상기 요청 메시지는:
    상기 UE의 상기 SUCI, 및
    상기 CAG 셀의 상기 CAG 식별자를 포함하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 AUSF를 통해 상기 UDM으로부터 수신하는 과정과,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)를 수행하는 과정을 포함하고, 상기 인증 절차는 인증 벡터(authentication vector)를 이용하고,
    상기 SUCI는, 상기 UDM에서, 상기 UE가 상기 CAG 셀로의 접근이 허용가능한지 여부를 검증하기 위한 상기 UE의 SUPI(subscription permanent identifier)를 획득하기 위해 이용되는 방법.
  9. 제8 항에 있어서,
    상기 인증 절차는 상기 UDM에서 인증 방법의 선택과 관련되는 방법.
  10. 제8 항에 있어서,
    상기 요청 메시지는 SN(serving network) 이름을 더 포함하고,
    상기 SEAF는 AMF(access and mobility management function)과 연관되는 방법.


  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. UDM(unified data management)의 장치에 있어서,
    적어도 하나의 송수신기와,
    상기 적어도 하나의 송수신기와 결합되는 적어도 하나의 프로세서를 포함하고,
    상기 적어도 하나의 프로세서는,
    AUSF(authentication server function)로부터 요청 메시지를 수신하고, 상기 요청 메시지는:
    사용자 장비(user equipment, UE)의 SUCI(subscription concealed identifier); 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    상기 UE의 상기 SUCI의 은닉 해제(de-concealing)에 기반하여 상기 UE의 SUPI(subscription permanent identifier)를 식별하고,
    상기 UE의 상기 SUP에 기반하여 상기 UE가 상기 CAG 셀로의 접근이 허용되는지 여부를 검증하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 AUSF에게 전송하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UDM에 의한, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)를 수행하도록 구성되고,
    상기 인증 절차는 인증 벡터(authentication vector)의 생성을 포함하는 장치.
  17. 청구항 16에 있어서, 상기 적어도 하나의 프로세서는,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UDM에서 상기 인증 절차를 위한 인증 방법을 선택하도록 추가적으로 구성되는 장치.
  18. 청구항 16에 있어서,
    상기 UDM은 SIDF(subscription identifier de-concealing function)과 연관되고,
    상기 요청 메시지는 SN(serving network) 이름을 더 포함하는 장치.
  19. AUSF(authentication server function)의 장치에 있어서,
    적어도 하나의 송수신기와,
    상기 적어도 하나의 송수신기와 결합되는 적어도 하나의 프로세서를 포함하고,
    상기 적어도 하나의 프로세서는,
    SEAF(security anchor function)로부터 제1 요청 메시지를 수신하고, 상기 제1 요청 메시지는:
    사용자 장비(user equipment, UE)의 SUCI(subscription concealed identifier), 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    UDM(unified data management)에게 제2 요청 메시지를 전송하고, 상기 제2 요청 메시지는:
    상기 UE의 상기 SUCI, 및
    상기 CAG 셀의 상기 CAG 식별자를 포함하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 UDM으로부터 수신하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)에 따른 응답 메시지를 상기 UDM으로부터 수신하도록 추가적으로 구성되고,
    상기 인증 절차는 인증 벡터(authentication vector)를 이용하고,
    상기 SUCI는, 상기 UDM에서, 상기 UE가 상기 CAG 셀로의 접근이 허용가능한지 여부를 검증하기 위한 상기 UE의 SUPI(subscription permanent identifier)를 획득하기 위해 이용되는 장치.
  20. 청구항 19에 있어서, 상기 인증 절차는 상기 UDM에서 인증 방법의 선택과 관련되는 장치.
  21. 청구항 19에 있어서,
    상기 제1 요청 메시지는 SN(serving network) 이름을 더 포함하고,
    상기 제2 요청 메시지는 상기 SN 이름을 더 포함하는 장치.
  22. SEAF(security anchor function)의 장치에 있어서,
    적어도 하나의 송수신기와,
    상기 적어도 하나의 송수신기와 결합되는 적어도 하나의 프로세서를 포함하고,
    상기 적어도 하나의 프로세서는,
    기지국을 통해 사용자 장비(user equipment, UE)로부터, 등록 요청을 수신하고,
    상기 등록 요청은:
    상기 UE의 SUCI(subscription concealed identifier), 및
    CAG(closed access group) 셀의 CAG 식별자를 포함하고,
    AUSF(authentication server function)를 통해 UDM(unified data management)에게 요청 메시지를 전송하고, 상기 요청 메시지는:
    상기 UE의 상기 SUCI, 및
    상기 CAG 셀의 상기 CAG 식별자를 포함하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되지 않는 경우, 상기 CAG 셀의 거절을 나타내기 위한 정보를 포함하는 거절 메시지를 상기 AUSF를 통해 상기 UDM으로부터 수신하고,
    상기 UE가 상기 CAG 셀로의 접근이 허용되는 경우, 상기 UE와 네트워크 사이의 인증 절차(authentication procedure)를 수행하도록 구성되고,
    상기 인증 절차는 인증 벡터(authentication vector)를 이용하고,
    상기 SUCI는, 상기 UDM에서, 상기 UE가 상기 CAG 셀로의 접근이 허용가능한지 여부를 검증하기 위한 상기 UE의 SUPI(subscription permanent identifier)를 획득하기 위해 이용되는 장치.
  23. 청구항 22에 있어서, 상기 인증 절차는 상기 UDM에서 인증 방법의 선택과 관련되는 장치.
  24. 청구항 22에 있어서,
    상기 요청 메시지는 SN(serving network) 이름을 더 포함하고,
    상기 SEAF는 AMF(access and mobility management function)과 연관되는 장치.
KR1020217031014A 2019-02-27 2020-02-27 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템 KR102593822B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN201941007734 2019-02-27
IN201941007734(PS) 2019-02-27
IN201941007734(CS) 2020-02-25
PCT/KR2020/002848 WO2020175941A1 (en) 2019-02-27 2020-02-27 Methods and systems for mitigating denial of service (dos) attack in a wireless network

Publications (2)

Publication Number Publication Date
KR20210121301A KR20210121301A (ko) 2021-10-07
KR102593822B1 true KR102593822B1 (ko) 2023-10-25

Family

ID=69742814

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217031014A KR102593822B1 (ko) 2019-02-27 2020-02-27 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템

Country Status (6)

Country Link
US (3) US11363463B2 (ko)
EP (2) EP4274163A3 (ko)
KR (1) KR102593822B1 (ko)
CN (1) CN116235525A (ko)
ES (1) ES2953831T3 (ko)
WO (1) WO2020175941A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018018621A1 (zh) * 2016-07-29 2018-02-01 广东欧珀移动通信有限公司 建立辅连接的方法和装置
CN109526024A (zh) * 2017-09-20 2019-03-26 索尼公司 无线通信方法和无线通信设备
CN111726808B (zh) * 2019-03-21 2022-06-10 华为技术有限公司 通信方法和装置
EP4054254A1 (en) * 2019-03-28 2022-09-07 Ofinno, LLC Core paging handling
WO2020205609A1 (en) * 2019-03-29 2020-10-08 Idac Holdings, Inc. Methods and apparatus for secure access control in wireless communications
US11503662B2 (en) * 2019-06-14 2022-11-15 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
US11683744B2 (en) 2019-06-14 2023-06-20 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
US11470474B2 (en) * 2019-09-27 2022-10-11 Qualcomm Incorporated Method for deriving a network specific identifier (NSI)
GB2594247A (en) * 2020-04-17 2021-10-27 Nec Corp Communication system
US11785456B2 (en) * 2020-08-18 2023-10-10 Cisco Technology, Inc. Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP)
CN112333705B (zh) * 2021-01-07 2021-04-02 北京电信易通信息技术股份有限公司 一种用于5g通信网络的身份认证方法及系统
WO2022154599A1 (ko) * 2021-01-15 2022-07-21 삼성전자 주식회사 무선 통신 시스템에서 인공 위성을 이용하여 통신을 지원하는 방법 및 장치
WO2022170630A1 (en) * 2021-02-15 2022-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Methods, network function nodes and computer readable media for event subscription management
US11974134B2 (en) * 2022-01-28 2024-04-30 Oracle International Corporation Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network
CN114786121A (zh) * 2022-04-07 2022-07-22 中国联合网络通信集团有限公司 一种定位方法、装置、系统及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180227871A1 (en) 2017-02-06 2018-08-09 Industrial Technology Research Institute User equipment registration method for network slice selection and network controller and network communication system using the same

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE362295T1 (de) * 1998-02-27 2007-06-15 Ericsson Telefon Ab L M Verfahren und vorrichtung zur authentifizierung für gesichterte übertragungen zwischen einem mobilen atm endgerät und einem atm zugriffsknoten in einem drahtlosen atm funkkommunikationsnetzwerk
US8509785B2 (en) * 2008-09-23 2013-08-13 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangements in a cellular network with femtocells
BRPI1002815B1 (pt) * 2009-10-01 2021-06-22 Nec Corporation Sistema de comunicação móvel, aparelho de gateway para conexão a uma estação base e uma rede de núcleo, método de comunicação por um sistema de comunicação móvel e método de comunicação por um aparelho de gateway conectando uma estação base a uma rede de núcleo
US8897285B2 (en) * 2010-08-13 2014-11-25 At&T Intellectual Property I, Lp Characterization of temporary identifiers in a wireless communication network
US20120064889A1 (en) * 2010-09-14 2012-03-15 Kundan Tiwari Method of Handling Manual Closed Subscriber Group Selection and Related Communication Device
US9930591B2 (en) * 2015-03-02 2018-03-27 Samsung Electronics Co., Ltd. Method and apparatus for providing service in wireless communication system
US9686675B2 (en) * 2015-03-30 2017-06-20 Netscout Systems Texas, Llc Systems, methods and devices for deriving subscriber and device identifiers in a communication network
CN106664564B (zh) * 2015-08-26 2020-02-14 华为技术有限公司 一种小基站及小基站用户认证的方法
JP6816251B2 (ja) * 2016-11-27 2021-01-20 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおける登録解除方法及びこのための装置
US10820185B2 (en) * 2017-05-08 2020-10-27 Qualcomm Incorporated Mobility between areas with heterogeneous network slices
US11012929B2 (en) * 2017-07-13 2021-05-18 Qualcomm Incorporated Techniques for determining public land mobile network support of different core networks
US11032704B2 (en) * 2017-12-01 2021-06-08 Qualcomm Incorporated Techniques for subscription-based authentication in wireless communications
US10939447B2 (en) * 2018-01-22 2021-03-02 Qualcomm Incorporated Policy-based control of reliability request for eV2X
US10986602B2 (en) * 2018-02-09 2021-04-20 Intel Corporation Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function
US11272351B2 (en) * 2018-04-05 2022-03-08 Qualcomm Incorporated System and method that facilitate steering of roaming

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180227871A1 (en) 2017-02-06 2018-08-09 Industrial Technology Research Institute User equipment registration method for network slice selection and network controller and network communication system using the same

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TR 23.734 v16.0.0 (2018-12), Study on enhancement of 5GS for Vertical and LAN Service (Release 16)*
3GPP TS 33.501 v15.3.1 (2018-12), Security architecture and procedures for 5G system (Release 15)*

Also Published As

Publication number Publication date
EP3703406A1 (en) 2020-09-02
ES2953831T3 (es) 2023-11-16
CN116235525A (zh) 2023-06-06
EP4274163A3 (en) 2023-12-27
US20220312215A1 (en) 2022-09-29
US20230362653A1 (en) 2023-11-09
US11363463B2 (en) 2022-06-14
WO2020175941A1 (en) 2020-09-03
US20200275279A1 (en) 2020-08-27
US11706626B2 (en) 2023-07-18
EP3703406B1 (en) 2023-08-02
EP4274163A2 (en) 2023-11-08
KR20210121301A (ko) 2021-10-07

Similar Documents

Publication Publication Date Title
KR102593822B1 (ko) 무선 네트워크에서 서비스 거부 공격을 완화하기 위한 방법 및 시스템
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US11304170B2 (en) Apparatus and method for registration on network in wireless communication system
WO2009000206A1 (fr) Procédé et système de commande d'accès de nœud initial b
EP4007326A1 (en) Method and device for activating 5g user
CN114667499A (zh) 基于口令和策略的设备无关认证
RU2727160C1 (ru) Аутентификация для систем следующего поколения
US11848909B2 (en) Restricting onboard traffic
US20170111842A1 (en) Communication management and wireless roaming support
KR20200019057A (ko) 무선 통신 시스템에서 네트워크에 등록하기 위한 장치 및 방법
CN115701162A (zh) 管理对网络切片的互斥访问
WO2022027505A1 (en) User equipment authentication and authorization procedure for edge data network
KR20210040776A (ko) 5g 사용자 활성화 방법 및 장치
US11968242B2 (en) Differentiated service in a federation-based access network
WO2022174399A1 (en) User equipment authentication and authorization procedure for edge data network
WO2024065483A1 (en) Authentication procedures for edge computing in roaming deployment scenarios
US20220377548A1 (en) Methods and apparatus for controlling permissions of a ue for accessing a network
US11968530B2 (en) Network authentication for user equipment access to an edge data network
US20240137764A1 (en) User Equipment Authentication and Authorization Procedure for Edge Data Network
WO2022218534A1 (en) Authentication of subscriber entities to enterprise networks
WO2023144650A1 (en) Application programming interface (api) access management in wireless systems
WO2023144649A1 (en) Application programming interface (api) access management in wireless systems
CN116782228A (zh) 授权验证的方法和装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right