KR102666042B1 - 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링 - Google Patents

5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링 Download PDF

Info

Publication number
KR102666042B1
KR102666042B1 KR1020237018955A KR20237018955A KR102666042B1 KR 102666042 B1 KR102666042 B1 KR 102666042B1 KR 1020237018955 A KR1020237018955 A KR 1020237018955A KR 20237018955 A KR20237018955 A KR 20237018955A KR 102666042 B1 KR102666042 B1 KR 102666042B1
Authority
KR
South Korea
Prior art keywords
5gcn
message
n3iwf
response
access network
Prior art date
Application number
KR1020237018955A
Other languages
English (en)
Other versions
KR20230086812A (ko
Inventor
제니퍼 리우
Original Assignee
노키아 솔루션스 앤드 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 솔루션스 앤드 네트웍스 오와이 filed Critical 노키아 솔루션스 앤드 네트웍스 오와이
Publication of KR20230086812A publication Critical patent/KR20230086812A/ko
Application granted granted Critical
Publication of KR102666042B1 publication Critical patent/KR102666042B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/18Management of setup rejection or failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

코어 네트워크 시스템, 이를 테면 5G 코어 네트워크에서의 연동 기능부는 신뢰되지 않은 액세스 네트워크에서의 사용자 장비(UE)와 보안 연관을 설정하려고 시도한다. 5G 코어 네트워크에 의해 보안 연관이 수락되지 않을 때, UE는 코어 네트워크로부터 5G 코어 네트워크에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 메시지 유형을 포함하는 응답을 수신한다. 응답 메시지를 수신 시, UE는 확장 가능 인증 프로토콜(EAP, Extensible Authentication Protocol) 응답에 포맷팅되는 5G-중단 메시지를 전송함으로써 세션을 종료한다. EAP-응답/5G-중단 메시지는 5G 중단 값을 갖는 메시지-id 필드를 포함한다.

Description

5GCN에 대한 비-3GPP 액세스가 허용되지 않는 실패 핸들링{HANDLING FAILURE OF NON-3GPP ACCESS TO 5GCN NOT BEING ALLOWED}
관련 출원에 대한 상호 참조
본 출원은 35 U.S.C. §119에 따라 2018년 6월 30일자로 출원되고 이에 의해 여기에 참고로 명시적으로 통합되는 "Method and Apparatus For Handling Authentication Failure During Security Association Establishment"라는 명칭의 미국 가출원 번호 62/692,722의 우선권을 주장한다.
기술분야
본 출원은 개괄적으로 액세스 네트워크, 보다 구체적으로 보안 연관 설정이 수락되지 않을 때 액세스 네트워크에서의 사용자 장비에 의한 세션 설정에 관한 것이다.
이 섹션의 진술은 관련 기술에 대한 설명을 제공하는 것이고 종래 기술의 인정이 아니다. 스마트 폰, 스마트 태블릿, 랩톱, 컴퓨터, 스마트 워치 등과 같은 사용자 장비(UE)는 보통 무선 근거리 네트워크(WLAN) 연결(이를 테면 IEEE 802.11x를 따르는 WLAN 연결) 및 무선 액세스 네트워크 연결(이를 테면 EVDO, UMTS, HSPA 및 LTE를 포함하는 3GPP(3rd generation partnership project) 표준 집합에 전적으로 또는 부분적으로 따르는 기술) 양자의 기능을 포함한다. 그에 따라, UE는 3GPP 액세스 네트워크 및 비-3GPP 액세스 네트워크로 구성된 두 가지 유형의 액세스 기술을 사용하여 3GPP 이볼브드 패킷 코어(EPC, evolved packet core) 네트워크에 연결할 수 있다.
일반적으로, 3GPP 액세스 네트워크는, 예를 들어, GPRS, UMTS, EDGE, HSPA, LTE 및 LTE 어드밴스트를 포함하는 3GPP 표준 집합에 의해 특정된 기술에 전적으로 또는 부분적으로 따른다. 비-3GPP 액세스 네트워크는 3GPP 표준 집합에 특정되지 않은 기술에 전적으로 또는 부분적으로 따른다. 이들은 cdma2000, WLAN(이를 테면 IEEE 802.11x를 따르는 WLAN) 또는 고정 네트워크와 같은 기술을 포함한다.
3GPP 표준 집합은 상이한 보안 메커니즘, 즉, 신뢰되지 않은 액세스 네트워크 및 신뢰된 액세스 네트워크를 갖는 "비-3GPP" 액세스 기술을 특정한다. 신뢰되지 않은 액세스 네트워크는 더 높은 보안 위험을 초래할 수 있는 액세스 네트워크를 포함한다(예를 들어, 공용 WLAN 또는 펨토셀 액세스 네트워크). 신뢰된 액세스 네트워크는 네트워크 운영자가 보안 관점에서 신뢰 수준을 갖는 것으로 고려하는 액세스 네트워크를 포함하고 EPC 네트워크와 직접 인터페이싱할 수 있다.
새로운 5G 표준 집합에서, 비-3GPP 액세스 네트워크(N3AN)는 5G 액세스 네트워크 및 5G 시스템(5GS, 5G System)의 일부로 취급된다. 신뢰되지 않은 비-3GPP 액세스의 경우, 비-3GPP 연동 기능부(N3IWF, Non-3GPP Interworking Function)가 NG-RAN 노드와 마찬가지로, 각각 제어 평면 및 사용자 평면에 대한 시그널링 인터페이스의 종료를 제공한다. 그에 따라, 5G 가능 UE는 N3IWF를 통해 5G 액세스 네트워크로서 비-3GPP 액세스 네트워크에 연결함으로써 5G 코어 네트워크(5GCN, 5G core network)에 액세스할 수 있다. N3IWF는 UE와 5GCN 간 업 링크 및 다운 링크 제어 평면 시그널링을 중계한다. 또한, N3IWF는 비-3GPP 액세스 네트워크를 통한 세션에 UE와 5GCN 간 사용자 평면 연결을 제공한다.현재, UE와 N3IWF 간의 시그널링 절차는 네트워크에 의해 특정 보안 인증 설정이 수락될 때 특정된다. 그러나, 네트워크에 의해 보안 연관 설정을 수락되지 않는 경우를 핸들링할 수 있는 방법은 없다. 유사하게, 사용자 평면 연결에 대해서도, 네트워크에 의해 사용자 평면 보안 연관 설정이 수락되지 않는 경우를 핸들링하기 위한 방법이 특정되어야 한다.
따라서, 비-3GPP 액세스 네트워크를 통한 5GCN에 대한 액세스를 위한 보안 연관 설정 동안 실패 핸들링을 지원하는 시스템 및 방법을 제공할 필요가 있다. 여기에 설명된 실시예들과 함께 다른 요구들 및 이점들도 제공된다.
다음은 개시된 주제의 일부 양태에 대한 기본적인 이해를 제공하기 위해 개시된 주제의 요약을 제시한다. 이 요약은 개시된 주제에 대한 완전한 개요는 아니다. 개시된 주제의 핵심 또는 필수 요소들을 식별하거나 개시된 주제의 범위를 설명하기 위한 것이 아니다. 이의 유일한 목적은 이후에 논의되는 더 상세한 설명의 서문으로서 간략화된 형태로 일부 개념을 제시하는 것이다.
일 양태에서, 신뢰되지 않은 액세스 네트워크를 통한 코어 네트워크에 대한 네트워크 연결을 관리하기 위한 연동 기능 노드는 상기 신뢰되지 않은 액세스 네트워크를 통해 사용자 장비(UE, user equipment)와 통신하도록 구성된 제1 네트워크 인터페이스 및 상기 코어 네트워크에서의 하나 이상 노드와 통신하도록 구성된 제2 네트워크 인터페이스를 포함한다. 상기 연동 기능 노드는 상기 신뢰되지 않은 액세스 네트워크에서의 상기 UE로부터 상기 코어 네트워크에 대한 연결 설정 요청을 처리하고 상기 코어 네트워크에 대한 요청을 생성하도록 구성되고; 상기 코어 네트워크에 의해 상기 연결 설정이 수락되지 않음을 결정하도록 구성되며; 상기 UE에 대한 응답 메시지를 생성하도록 구성되되, 상기 응답 메시지는 상기 코어 네트워크에 의해 상기 신뢰되지 않은 액세스 네트워크를 통한 상기 연결 설정이 허용되지 않음을 나타내는 에러를 포함하는, 상기 처리 디바이스를 포함한다.
다른 양태에서, 연동 기능 노드로부터의 네트워크 연결 요청을 핸들링하기 위한 액세스 및 이동성 관리 기능부(AMF, Access and Mobility Management function)는 코어 네트워크에서의 연동 기능 노드 및 인증 기능부와 통신하도록 구성된 네트워크 인터페이스를 포함한다. 상기 AMF는 또한 신뢰되지 않은 액세스 네트워크를 통한 UE에 대한 인증 및 보안 연결 설정 요청을 처리하도록; 인증 및 가입 확인 요청을 인증 서버 기능부(AUSF, Authentication Server Function)로 생성하도록; 상기 인증 및 가입 확인 응답이 인증 실패를 나타냄을 결정하도록; 그리고 상기 신뢰되지 않은 액세스 네트워크를 통해 상기 코어 네트워크에 대한 액세스가 허용되지 않음을 나타내는 원인 값을 상기 응답 메시지에 포함시킴으로써 인증 및 보안 연결 설정의 응답 메시지를 생성하도록 구성된, 상기 처리 디바이스를 포함한다.
다른 양태에서, 사용자 장비(UE)는 신뢰되지 않은 액세스 네트워크를 통해 연동 기능 노드와 통신하도록 구성된 네트워크 인터페이스를 포함한다. 상기 UE는 코어 네트워크에 대한 보안 세션 설정 등록 요청을 생성하도록; 상기 연동 기능 노드로부터의 응답 메시지를 처리하도록; 그리고 상기 응답 메시지로부터 상기 코어 네트워크에 의해 상기 신뢰되지 않은 액세스 네트워크를 통한 상기 연결 설정이 허용되지 않는다고 결정하도록 구성된 처리 디바이스를 포함한다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 신뢰되지 않은 액세스 네트워크를 통해 상기 UE로부터의 인증 및 보안 연결 설정 요청을 수신하도록; 인증 및 가입 확인 요청을 생성하고 상기 인증 및 가입 확인 요청을 상기 제2 인터페이스를 통해 액세스 및 이동성 관리 기능부(AMF, Access and Mobility management Function)로 전송하도록; 상기 AMF로부터의 인증 및 가입 확인 응답을 수신하도록; 그리고 상기 코어 네트워크에 의해 상기 신뢰되지 않은 액세스 네트워크를 통한 상기 연결 설정이 허용되지 않음을 나타내는 상기 에러를 포함하는 NAS 페이로드를 갖는 상기 UE에 대한 인터넷 키 교환(IKE, Internet Key Exchange) 응답을 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 액세스 및 이동성 관리 기능부로부터 5GCN에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 5GMM 원인 값을 포함하는 등록 거부 메시지를 캡슐화하는 응답을 수신하도록 그리고 인터넷 키 교환(IKE, Internet Key Exchange) 응답 메시지를 상기 코어 네트워크에 의해 상기 연결 설정이 수락되지 않음을 나타내는 메시지 유형을 포함하는 페이로드를 갖게 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 인터넷 키 교환(IKE) 응답 메시지를 실패 이유를 나타내는 비공개 알림 메시지 유형을 포함하는 알림 페이로드를 갖게 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 IKE 응답 메시지를 상기 5GCN 대한 신뢰되지 않은 비-3GPP 액세스가 허용되지 않음을 나타내는 비공개 알림 메시지 유형을 포함하는 알림 페이로드를 갖게 생성함으로써 상기 IKE 응답 메시지를 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 응답 메시지를 상기 UE에 전송하도록 구성되되, 상기 응답 메시지는 상기 코어 네트워크에 의해 상기 연결 설정이 수락되지 않음을 나타내고; 상기 UE로부터 중단 메시지를 수신하도록 구성되며; 상기 UE에 실패 메시지를 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 연동 기능 노드에서의 상기 처리 디바이스는 상기 UE로부터의 상기 중단 메시지를 처리하도록 구성되되, 상기 중단 메시지는 메시지 식별자 필드를 갖는 5G-중단 메시지 포맷을 포함하고 상기 메시지 식별자 필드는 5G-중단 식별자를 포함한다.
상기한 양태들 중 하나 이상에서, 상기 신뢰되지 않은 액세스 네트워크에서의 상기 UE로부터의 상기 연결 설정 요청은 상기 코어 네트워크와의 IPsec 보안 연관(SA, Security Association)을 개시하기 위한 IKE 요청 메시지를 포함한다.
상기한 양태들 중 하나 이상에서, 상기 코어 네트워크는 5GCN이고 상기 신뢰되지 않은 액세스 네트워크는 비-3GPP 액세스 네트워크이다.
상기한 양태들 중 하나 이상에서, AMF에서의 상기 처리 디바이스는 상기 원인 값을 포함하는 등록 거부 메시지를 상기 응답 메시지에 캡슐화하도록 구성되되, 상기 원인 값은 상기 5GCN에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 5GMM 원인 값을 포함한다.
상기한 양태들 중 하나 이상에서, AMF에서의 상기 처리 디바이스는 상기 응답 메시지에 확장 가능 인증 프로토콜(EAP, Extensible Authentication Protocol) 실패 표시를 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 사용자 장비에서의 상기 처리 디바이스는 상기 5GCN에 대한 상기 보안 세션 설정 등록 요청에 대해 종료를 나타내는 중단 메시지를 생성하도록 그리고 상기 중단 메시지를 상기 비-3GPP 액세스를 통해 상기 연동 기능 노드로 전송하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 사용자 장비에서의 상기 처리 디바이스는 상기 중단 메시지를 5G-중단으로 설정된 메시지 식별자 필드를 포함하는 EAP-응답 포맷 메시지로서 생성하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 사용자 장비에서의 상기 처리 디바이스는 상기 연동 기능 노드로부터의 EAP 실패 메시지를 처리하도록; 그리고 보안 연관 삭제 절차를 수행하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 사용자 장비에서의 상기 처리 디바이스는 상기 5GCN에 대한 제2 보안 세션 설정 등록 요청을 생성함으로써 상기 5GCN에 등록을 재시도하도록 그리고 상기 연동 기능 노드로부터의 제2 응답 메시지로부터 상기 신뢰되지 않은 액세스 네트워크를 통한 상기 연결 설정이 성공적임을 결정하도록 구성된다.
상기한 양태들 중 하나 이상에서, 상기 사용자 장비에서의 상기 처리 디바이스는 업데이트된 파라미터로 상기 5GCN에 대한 상기 제2 보안 세션 설정 등록 요청을 생성하도록 구성된다.
추가적인 양태들이 후속하는 상세한 설명, 도면들 및 임의의 청구항들에서 부분적으로 제시될 것이고, 상세한 설명으로부터 부분적으로 유도될 것이다. 전술한 개괄적인 설명과 다음의 상세한 설명은 모두 단지 대표적이고 설명적인 것이며, 청구범위는 개시된 실시예들로 제한되지 않는다는 것을 이해해야 한다.
이제 본 개시내용의 실시예들에 따른 장치 및/또는 방법들의 일부 실시예가 예로서 그리고 첨부 도면들을 참조하여 설명되며, 첨부 도면들에서:
도 1은 액세스 네트워크의 유형의 일 실시예의 개략적인 블록도를 도시한다.
도 2는 비-3GPP 액세스에 대한 5G 시스템 아키텍처의 일 실시예의 개략적인 블록도를 도시한다.
도 3은 UE가 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 5GCN에 등록하기 위한 방법의 일 실시예를 도시한 논리 흐름도를 도시한다.
도 4는 IKE SA 및 시그널링 IPsec SA 설정이 수락되지 않는 실시예를 핸들링하기 위한 방법의 일 실시예의 논리 흐름도를 도시한다.
도 5는 복구 가능한 에러로 인한 인증 실패 이후 EAP-5G 세션 절차의 방법의 일 실시예의 논리 흐름도를 도시한다.
도 6은 복구 불가능한 에러 실패로 인한 등록 거부의 EAP-5G 세션 절차의 일 실시예를 도시한 논리 흐름도를 도시한다.
도 7은 EAP-응답/5G-중단 메시지의 일 실시예의 개략적인 블록도를 도시한다.
도 8은 비-3GPP 액세스를 통한 UE 등록에 대한 IKE SA 및 시그널링 IPsec SA 설정이 수락되지 않을 때 네트워크 기능부들 간의 메시지 흐름을 위한 방법의 일 실시예의 논리 흐름도를 도시한다.
도 9는 비-3GPP 액세스를 통한 UE 등록에 대한 IKE SA 및 시그널링 IPsec SA 설정이 가입 제한으로 인해 수락되지 않을 때 네트워크 기능부들 간의 메시지 흐름을 위한 방법의 일 실시예의 논리 흐름도를 도시한다.
도 10은 사용자 평면 IPsec 보안 연관 설정이 수락되지 않을 때 네트워크 기능부들 간의 메시지 흐름을 위한 방법의 일 실시예의 논리 흐름도를 도시한다.
도 11은 5GMM 원인 정보 요소(1100)의 일 실시예의 개략적인 블록도를 도시한다.
도 12는 5GMM 원인 정보 요소에 대한 값들의 일 실시예의 개략적인 블록도를 도시한다.
도 13은 N3IWF의 방법의 일 실시예의 논리 흐름도를 도시한다.
도 14는 복구 가능한 에러로 인한 인증 실패로 신뢰되지 않은 액세스 네트워크를 통한 코어 네트워크에 대한 등록 요청의 방법의 일 실시예의 논리 흐름도를 도시한다.
도 15는 복구 불가능한 에러로 인한 인증 실패로 신뢰되지 않은 액세스 네트워크를 통한 코어 네트워크에 대한 등록 요청의 방법의 일 실시예의 논리 흐름도를 도시한다.
도 16은 예시적인 사용자 장비의 일 실시예의 개략적인 블록도를 도시한다.
도 17은 AMF 노드의 일 실시예의 개략적인 블록도를 도시한다.
도 18은 N3IWF의 일 실시예의 개략적인 블록도를 도시한다.
설명 및 도면들은 단지 다양한 실시예의 원리를 예시한다. 그에 따라, 해당 기술분야에서의 통상의 기술자들이라면 여기에 명시적으로 설명되거나 제시되지 않지만, 여기서 그리고 청구범위에서의 원리를 구현하고 본 개시내용의 사상 및 범위 내에 속하는 다양한 배열을 고안할 수 있다는 것을 이해할 것이다. 더욱이, 여기에 나열되는 모든 예는 주로 독자가 실시예의 원리 및 본 발명자에 의해 해당 기술분야를 넓히는 데 기여한 개념을 이해하는 데 도움이 되는 교육적 목적만을 위한 것으로 명시적으로 의도되고 그렇게 구체적으로 나열된 예들 및 조건들로 제한되지 않는 것으로 해석되어야 한다. 더욱이, 원리, 양태 및 실시예뿐만 아니라 그 구체적인 예들을 나열하는 여기서의 모든 진술은 그 균등물들을 포함하도록 의도된다.
편의를 위해 여기에 설명되는 일부 약어는 아래에서 더 상세하게 설명된다:
5GC 5G 코어(5G Core)
5GCN 5G 코어 네트워크(5G Core Network)
5GS 5G 시스템(5G System)
5G-AN 5G 액세스 네트워크(5G Access Network)
5GMM 5GS 이동성 관리(5GS Mobility Management)
5G-GUTI 5G 범용 단일 임시 식별자(5G Globally Unique Temporary Identifier)
5G-S-TMSI 5G S-임시 이동 가입 식별자(5G S-Temporary Mobile Subscription Identifier)
5QI 5G QoS 식별자(5G QoS Identifier)
AMF 액세스 및 이동성 관리 기능부(Access and Mobility Management Function)
AUSF 인증 서버 기능부(Authentication Server Function)
EAP 확장 가능 인증 프로토콜(Extensible Authentication Protocol)
HPLMN 홈 공용 지상 이동 네트워크(Home Public Land Mobile Network)
IKEv2 인터넷 키 교환 v2(Internet Key Exchange v2)
IMSI 국제 이동 가입자 ID(International Mobile Subscriber Identity)
IMEI 국제 이동 장비 ID(International Mobile Equipment Identity)
IPsec 인터넷 프로토콜 보안(Internet protocol security)
MCM 다중-연결 모드(Multi-Connection Mode)
N3IWF 비-3GPP 연동 기능부(Non-3GPP Interworking Function)
NAS 비-액세스 계층(Non-Access Stratum)
PDN 패킷 데이터 네트워크(Packet Data Network)
PLMN 공용 지상 이동 네트워크(Public Land Mobile Network)
QoS 서비스 품질(Quality of Service)
SA 보안 연관(Security Association)
SCM 단일-연결 모드(Single-Connection Mode)
UDM 통합 데이터 관리부(Unified Data Management)
UE 사용자 장비(User Equipment)
UICC 범용 집적 회로 카드(Universal Integrated Circuit Card)
USIM UMTS 가입자 식별 모듈(UMTS Subscriber Identity Module)
인증되지 않은 사용자 장비에 네트워크 서비스를 제공하기 위한 시스템 및 방법을 제공하는 하나 이상의 실시예가 여기에 설명된다. 예를 들어, 비-3GPP 액세스 네트워크에서의 인증되지 않은 UE에 대한 세션 설정을 위한 다양한 방법이 설명된다.
도 1은 5G 시스템에 대한 3GPP(3rd Generation Partnership Project) 표준 집합, 이를 테면 기술 규격서(TS, Technical Specification) 23.501 "System Architecture for the 5G System(5G 시스템에 대한 시스템 아키텍처)", 5G 시스템에 대한 절차를 정의하는 기술 규격서(TS) 23.502, 5G 시스템에 대한 정책 및 과금 제어 프레임워크를 정의하는 기술 규격서(TS) 23.503에 전적으로 또는 부분적으로 따르는 5G 코어 네트워크(5GCN)(100)에 대한 액세스 네트워크의 유형의 일 실시예의 개략적인 블록도를 도시한다.
5GCN(100)은 하나 이상의 액세스 네트워크(102)에 통신적으로 연결된다. 일 실시예에서, 액세스 네트워크(102)는 하나 이상의 3GPP 액세스 네트워크(104) 또는 하나 이상의 비-3GPP 액세스 네트워크(106)를 포함할 수 있다. 3GPP 액세스 네트워크(104)는 3GPP 표준 집합에 의해 특정된 기술에 전적으로 또는 부분적으로 따르고 예를 들어, GPRS, UMTS, EDGE, HSPA, LTE 및 LTE 어드밴스트를 포함한다. 비-3GPP 액세스 네트워크(106)는 3GPP 표준 집합에 의해 특정되지 않은 기술에 전적으로 또는 부분적으로 따른다. 따라서, 비-3GPP 액세스 네트워크(106)는 3GPP 표준 집합에서 특정될 수 있다. 비-3GPP 액세스 네트워크(106)는 하나 이상의 신뢰된 비-3GPP 액세스 네트워크(108) 또는 하나 이상의 신뢰되지 않은 비-3GPP 액세스 네트워크(110)를 포함할 수 있다.
신뢰된 비-3GPP 액세스 네트워크(108)는 암호화 및 보안 인증 방법을 이용하는 운영자 구축 또는 운영자 지원 무선 근거리 네트워크(WLAN), 이를 테면 IEEE 802.11x를 따르는 WLAN 네트워크이다. 일 실시예에서, 신뢰된 비-3GPP 액세스 네트워크(108)는 다음의 예시적인 특징들을 지원한다: 802.1x-기반 인증(이는 또한 차례로 무선 액세스 네트워크(RAN, radio access network)의 암호화도 필요로 한다), 인증을 위해 EAP 방법을 사용하는 3GPP-기반 네트워크 액세스, 및 IPv4 및/또는 IPv6 프로토콜. 그러나, 운영자는 보안 유형이 상이한 다른 유형의 비-3GPP 액세스 네트워크가 신뢰된 것으로 고려되어야 한다고 결정할 수 있다. 신뢰되지 않은 비-3GPP 액세스 네트워크(110)는 운영자에게 알려지지 않았거나 지원되는 인증 표준을 포함하지 않는 비-3GPP 액세스 네트워크를 포함한다. 예를 들어, 신뢰되지 않은 비-3GPP 액세스 네트워크는 홈 또는 공용 WLAN, 이를 테면 공공에 개방된 IEEE 802.11x를 따르는 WLAN 네트워크, 홈 WLAN 또는 다른 비-운영자 개시 및 관리를 포함할 수 있다.
도 2는 비-3GPP 액세스에 대한 5G 시스템 아키텍처의 일 실시예의 개략적인 블록도를 도시한다. 이러한 아키텍처는 여기에 참고로 통합되는 "System Architecture for the 5G System(5G 시스템에 대한 시스템 아키텍처)"이라는 제목의 기술 표준 3GPP TS 23.501, 릴리스 15(2017.12.)에 더 상세하게 설명되어 있다.
비-3GPP 액세스 네트워크는 비-3GPP 액세스 연동 기능부(N3IWF)를 통해 5GCN(100)에 연결된다. N3IWF(204)는 각각 N2 및 N3 인터페이스를 통해 5GCN(100) 제어 평면(CP, control plane) 기능부 및 사용자 평면(UP, user plane) 기능부를 인터페이싱한다. UE(200)는 신뢰되지 않은 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 접속하기 위해 N3IWF(204)와 IP 보안(IPSec, IP security) 터널을 설정한다. UE(200)는 IPSec 터널 설정 절차 동안 5GCN(100)에 의해 인증되고 이에 접속된다. 신뢰되지 않은 비-3GPP 액세스(110)를 통한 5GCN(100)에 대한 UE(200) 접속에 대한 보다 세부 사항들은 이에 의해 여기에 참고로 통합되는 "Procedures for the 5G System(5G 시스템에 대한 절차)"이라는 제목의 3GPP TS 23.502, 릴리스 15(2017. 12.)에 설명된다.
5GCN(100)은 액세스 및 이동성 관리 기능부(AMF)(202)를 포함하는 홈 공용 지상 이동 네트워크 또는 동등한 홈 PLMN(HPLMN)을 포함한다. AMF(202)는 제어 평면 인터페이스(N2)의 종료 및 NAS(N1) 프로토콜 집합 및 NAS 암호화 및 무결성 보호의 종료를 제공한다. AMF(202)는 또한 등록 및 연결 관리도 제공한다. AMF(202)는 비-3GPP 액세스 네트워크(110)를 지원하기 위한 다양한 기능을 포함할 수 있다. 예를 들어, AMF(202)는 N3IWF(204)를 통한 N2 인터페이스 제어 프로토콜의 지원뿐만 아니라, N3IWF(204)를 통한 UE(200)와의 NAS 시그널링의 지원을 제공할 수 있다. 또한, AMF(202)는 동시에 N3IWF(204)를 통해 연결된 UE(200)의 인증 및 비-3GPP 액세스를 통해 연결되거나 3GPP 및 비-3GPP 액세스를 통해 연결된 UE(200)의 이동성, 인증 및 별도의 보안 컨텍스트 상태(들)의 관리를 지원할 수 있다. 비-액세스 계층(NAS)은 5G 표준의 프로토콜 집합이다. 5G NAS(비-액세스 계층)은 5GS(5G 시스템) 상의 5GMM(5GS 이동성 관리) 및 5GSM(5G 세션 관리)과 관련된 절차를 포함한다. NAS는 사용자 장비(UE)와 5GCN 기능부들 간에 제어 시그널링을 전달하는 데 사용된다. 5G NAS 프로토콜의 버전은 3GPP TS 24.501: "Access-Stratum (NAS) protocol for 5G System(5GS)(5G 시스템(5GS)에 대한 액세스-계층(NAS) 프로토콜)" 버전 1.1, 2018. 5. 9에 정의되어 있으며, 이는 여기에 참고로 통합된다.
세션 관리 기능부(SMF, Session Management function)(206)는 UPF(208)와 AN 노드 간의 터널 유지 관리를 포함하여, 세션 관리 기능, 예를 들어, 세션 설정, 변경 및 해제를 포함한다. SMF(206)는 또한 UE IP 어드레스 할당 & 관리(선택적 인증을 포함) 및 DHCPv4(서버 및 클라이언트) 및 DHCPv6(서버 및 클라이언트) 기능을 제공한다.
사용자 평면 기능부(UPF, user plane function)(208)는 데이터 네트워크 및 패킷 라우팅 및 포워딩을 위한 인터커넥트의 외부 PDU 세션 포인트를 제공한다. UPF(208)는 또한 정책 규칙 시행의 사용자 평면 부분, 예를 들어, 게이팅, 리다이렉션, 트래픽 조정 등을 지원한다.
정책 제어 기능부(PCF, Policy Control Function)(214)는 네트워크 거동을 관리하기 위한 통합 정책 프레임 워크를 지원한다. 통합 데이터 관리부(UDM)(212)는 3GPP AKA 인증 자격 증명 생성, 가입 데이터(예를 들어, 로밍 제한)에 기초한 액세스 권한 부여 및 UE의 서빙 NF 등록 관리(예를 들어, UE에 대한 서빙 AMF 저장, UE의 PDU 세션에 대한 서빙 SMF 저장)를 포함한다. 그것은 또한 SMS 및 가입 관리를 제공한다. 이러한 기능을 제공하기 위해, UDM(212)은 UDR에 저장될 수 있는 가입 데이터(인증 데이터를 포함)를 사용한다. 다른 모듈은 인증 서버 기능부(AUSF, authentication server function)(210)를 제공한다.
신뢰되지 않은 비-3GPP 액세스(110)의 경우 N3IWF(204)의 기능은 UE(200)와의 IPsec 터널 설정의 지원을 포함한다. N3IWF(204)는 NWu 인터페이스를 통해 UE(200)와의 IKEv2/IPsec 프로토콜을 종료하고 N2 인터페이스를 통해 UE(200)를 인증하고 5GCN(100)에 대한 그것의 액세스를 승인하는 데 필요한 정보를 중계한다. N3IWF(204)는 제어 평면 및 사용자 평면 각각에 대한 5GCN(100)에 대한 N2 및 N3 인터페이스의 종료를 제공한다. N3IWF(204)는 UE(200)와 AMF(202) 간에서 업 링크 및 다운 링크 제어 평면 NAS(N1) 시그널링을 중계한다. N3IWF(204)는 PDU 세션 및 QoS와 관련된 (AMF(202)에 의해 중계되는) SMF(206)로부터의 N2 시그널링의 핸들링을 제공한다. N3IWF(204)는 PDU 세션 트래픽을 지원하기 위한 IPsec 보안 연관(IPsec SA)의 설정을 추가로 제공한다. N3IWF(204)는 또한 UE(200)와 UPF(208) 간에서 업 링크 및 다운 링크 사용자 평면 패킷을 중계하는 것을 제공한다.
도 3은 UE(200)가 신뢰되지 않은 비-3GPP 액세스(110)를 통해 5GCN(100)에 등록하기 위한 방법의 일 실시예를 도시한 논리 흐름도를 도시한다. 이 방법은 "EAP-5G"라고 불리는 공급업체-특정 확장 가능 인증 프로토콜(EAP, Extensible Authentication Protocol)을 포함한다. EAP는 2004년 6월자 IETF RFC 3748: "Extensible Authentication Protocol(확장 가능 인증 프로토콜)(EAP)"에 정의되어 있다. EAP-5G는 UE(200)와 N3IWF(204) 간의 NAS 메시지를 캡슐화하는 데 사용되는 5GS용 공급업체-특정 EAP(EAP-5G)이다. EAP-5G 패킷은 "확장된" EAP 유형 및 SMI 사기업 코드(Private Enterprise Code) 레지스트리에 따라 IANA에 등록된 기존 3GPP 공급업체-Id(즉, 10415)를 이용한다. 일 실시예에서, EAP-5G는 NAS 메시지를 캡슐화하기 위해서만(인증을 위해서가 아니라) 이용된다.
UE(200)가 인증되어야 하는 경우, 여기서 후술되는 바와 같이 UE(200)와 AUSF(210) 간에 EAP-AKA' 상호 인증이 실행된다. 신뢰되지 않은 비-3GPP 액세스 네트워크(110)를 통한 등록 및 후속 등록 절차로, UE(200)와 AMF(202) 간에 NAS 메시지가 교환된다.
단계 1에서, UE(200)는 (IEEE 802.11 WLAN 프로토콜에 특정된 것과 같은) 3GPP의 범위를 벗어난 절차로 신뢰되지 않은 비-3GPP 액세스 네트워크(110)에 연결하고 IP 어드레스를 부여받는다. 임의의 비-3GPP 인증 방법, 예를 들어, 미인증(무료 WLAN의 경우), 미리 공유된 키를 이용하는 확장 가능 인증 프로토콜(EAP), 사용자 이름/암호 등이 사용될 수 있다. UE(200)가 5GCN(100)에 접속하기로 결정할 때, UE(200)은 5G PLMN에서 N3IWF(204)를 선택한다.
단계 2에서, UE(200)는 예를 들어, IETF RFC 7296, "Internet Key Exchange Protocol Version 2(인터넷 키 교환 프로토콜 버전 2)(IKEv2)"(2014. 10.)에 설명된 대로, 인터넷 키 교환(IKE, Internet Key exchange) 프로토콜 초기 교환을 개시함으로써 선택된 N3IWF(204)와의 IPsec 보안 연관(SA)의 설정을 진행한다. 단계 2 이후, 이 단계에서 설정된 IKE SA를 사용함으로써 후속 IKE 메시지가 암호화되고 무결성 보호된다.
단계 3에서, UE(200)는 IKE_AUTH 요청 메시지를 전송함으로써 IKE_AUTH 교환을 개시할 것이다. AUTH 페이로드는 IKE_AUTH 요청 메시지에 포함되지 않으며, 이는 IKE_AUTH 교환이 확장 가능 인증 프로토콜(EAP) 시그널링 프로토콜, 예를 들어, EAP-5G 시그널링(이를 테면 여기에 참고로 통합되는 IETF RFC 5448, "Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement(3 세대 인증 및 키 합의를 위한 개선된 확장 인증 프로토콜 방법)(EAP-AKA')" 2018. 3. 5에 설명된 EAP-AKA')을 사용함을 나타낸다.
단계 4에서, N3IWF(204)는 EAP-요청/5G-시작 패킷을 포함하는 IKE_AUTH 응답 메시지로 응답한다. EAP-요청/5G-시작 패킷은 UE(200)에 EAP-5G 세션을 개시함, 즉 EAP-5G 패킷 내에 캡슐화된 NAS 메시지 전송을 개시함을 알린다.
단계 5에서, UE(200)는 5GCN(100)에 대한 등록 요청, 예를 들어, 액세스 네트워크 파라미터(AN-Param) 및 NAS 등록 요청 메시지를 포함하는 EAP-응답/5G-NAS 패킷을 포함하는 IKE_AUTH 요청을 생성 및 전송한다. 그에 따라, UE는 예를 들어 다음을 포함하는 EAP-응답/5G-NAS 패킷을 전송함으로써 EAP-5G 세션의 시작을 확인 응답한다: a) NAS 메시지, 예를 들어, 등록 요청 메시지를 포함하는 NAS-PDU 필드; 및 b) SUPI 또는 5G-GUTI, 선택된 네트워크 및 S-NSSAI 등과 같은 액세스 네트워크 파라미터를 포함하는 AN-파라미터 필드(3GPP TS 23.502 참조). AN-파라미터는 5GCN(100)에서 AMF(202)를 선택하기 위해 N3IWF(204)에 의해 사용된다
단계 6a에서, N3IWF(204)는 수신된 AN-파라미터 및 로컬 정책에 기초하여 5GCN(100)에서 AMF(202)를 선택한다. 그 다음 단계 6b에서, N3IWF(204)는 UE(200)로부터 수신된 등록 요청을 선택된 AMF(202)로 포워딩한다. N3IWF(204)는 AMF(202)로부터 NAS 메시지를 수신 시, UE(200)에 대한 EAP-요청/5G-NAS 메시지 내에 NAS 메시지를 포함시킨다. EAP-요청/5G-NAS 메시지는 NAS 메시지를 포함하는 NAS-PDU 필드를 포함한다. N3IWF(204)를 통한 UE(200)와 AMF(202) 간의 추가의 NAS 메시지는 EAP-응답/5G-NAS 메시지(UE에서 N3IWF 방향) 및 EAP-요청/5G-NAS(N3IWF에서 UE 방향) 메시지의 NAS-PDU 필드에 삽입된다.
단계 7a 및 7b에서, 선택된 AMF(202)는 N3IWF(204)를 통해 UE(200)에 NAS ID 요청 메시지를 전송함으로써 UE의 영구 ID(SUPI)를 요청하기로 결정할 수 있다. 이러한 NAS 메시지 및 모든 후속 NAS 메시지는 EAP/5G-NAS 패킷 내에 캡슐화되어 N3IWF(204)에 의해 UE(200)로 전송된다.
단계 8에서, AMF(202)는 UE(200)를 인증하기로 결정할 수 있다. 이 경우, AMF(202)는 UE(200)의 SUPI 또는 암호화된 SUPI를 사용함으로써 AUSF(210)를 선택하고, 단계 8a에서 선택된 AUSF(210)에 키 요청을 전송할 것이다. 단계 8b에서, AUSF(210)는 여기에 참고로 통합되는 TS 3GPP TS 33.501: "Security Architecture and Procedures for 5G System(5G 시스템을 위한 보안 아키텍처 및 절차)"(릴리스 15, 2018. 3. 26.)에 특정된 대로, EAP-AKA' 인증을 개시할 수 있다. 단계 8c에서는 EAP-AKA' 시도 패킷이 N3IWF에 대한 NAS 인증 메시지 내에 캡슐화되고, 단계 8d에서는 NAS 인증 메시지가 EAP/5G-NAS 패킷 내에 캡슐화된다. 단계 8e에서는 UE(200)가 EAP-AKA 시도에 대한 인증 응답을 생성하며, 이는 단계 8f에서 N3IWF(204)에 의해 AMF로 포워딩된다. 그 다음 단계 8g에서, AUSF(210)가 AMF로부터 인증 응답을 수신한다.
UE(200)의 성공적 인증 이후, 단계 8h에서, AUSF(210)는 AMF(202)에 의해 NAS 보안 키 및 N3IWF(204)에 대한 보안 키(N3IWF 키)를 유도하는 데 사용되는 앵커 키(anchor key)(SEAF 키)를 AMF(202)로 전송한다. UE(200)는 또한 앵커 키(SEAF 키)를 유도하고 해당 키로부터 NAS 보안 키 및 N3IWF(204)에 대한 보안 키(N3IWF 키)를 유도한다. N3IWF 키는 UE(200) 및 N3IWF(204)에 의해 IPsec 보안 연관을 설정하는 데 사용된다(단계 11에서). AUSF(210)는 단계 8a에서 AMF(202)가 암호화된 SUPI를 AUSF(210)에 제공한 경우, SUPI(암호화되지 않은)를 포함한다.
단계 9a 및 9b에서, AMF(202)는 NAS 보안을 활성화하기 위한 보안 모드 명령(SMC, Security Mode Command) 요청을 UE(200)에 전송한다. 이러한 요청은 먼저 N3IWF 키와 함께 N3IWF(204)로 전송된다(N2 메시지 내에). 단계 8에서 EAP-AKA' 인증이 성공적으로 실행되었다면, 단계 9a에서 AMF(202)는 SMC 요청 메시지 내에 AUSF(210)로부터 수신된 EAP-성공을 캡슐화한다.
단계 10a에서, UE(200)는 EAP-AKA' 인증(단계 8에서 개시된 경우)을 완료하고 NAS 보안 컨텍스트 및 N3IWF 키를 생성한다. UE(200)에서 N3IWF 키가 생성된 후, UE(200)는 EAP-응답/5G-완료 패킷을 전송함으로써 EAP-5G 세션의 완료를 요청한다. 이는 N3IWF(204)가 또한 AMF(202)로부터 N3IWF 키를 수신했다고 가정하고, 단계 10b에서 UE(200)에 EAP-성공을 전송하도록 N3IWF(204)를 트리거한다. 이는 EAP-5G 세션을 완료하고 더 이상의 EAP-5G 패킷은 교환될 수 없다. N3IWF(204)가 AMF(202)로부터 N3IWF 키를 수신하지 못한 경우, N3IWF(204)는 EAP-실패로 응답한다.
단계 11에서는, UE(200)에서 생성되어 단계 9a에서 N3IWF(204)에 의해 수신되었던 공통 N3IWF 키를 사용함으로써 UE(200)와 N3IWF(204) 간에 IPsec SA가 설정된다. 이러한 IPsec SA를 "시그널링 IPsec SA"라고 한다. 시그널링 IPsec SA의 설정 이후 UE(200)와 N3IWF(204) 간의 모든 NAS 메시지는 이러한 IPsec SA를 통해 교환된다. 시그널링 IPsec SA는 전송 모드에서 작동하도록 구성될 것이다. SPI 값은 IPsec 패킷이 NAS 메시지를 전달하는지 여부를 결정하는 데 사용된다.
단계 12에서, UE(200)는 설정된 시그널링 IPsec SA를 통해 SMC 완료 메시지를 전송하고 모든 후속 NAS 메시지는 이러한 IPsec SA를 통해 UE(200)와 AMF(202) 간에서 교환된다.
전술한 바와 같이, UE(200) 및 N3IWF(204)는 5GCN(100)에 의해 비-3GPP 액세스 네트워크(110)를 통한 IKE SA 및 시그널링 IPsec SA 설정이 수락될 때 정의된 방법을 갖는다. 그러나, 5GCN(100)에 의해 IKE SA 및 시그널링 IPsec SA 설정이 수락되지 않는 경우를 핸들링하는 데 이용 가능한 시스템 또는 방법은 없다. 또한, 사용자 평면의 경우, 5GCN(100)에 의해 사용자 평면 IPsec SA 설정이 수락되지 않는 경우를 핸들링하기 위한 시스템 및 방법도 구체화되어야 한다. 일반적으로, 5GCN(100)에 대한 비-3GPP 액세스 거부를 핸들링하기 위한 방법 및 시스템이 설정되어야 한다.
실시예 - 5G 코어 네트워크에 의해 비-3GPP 액세스 네트워크를 통한 UE 등록이 수락되지 않는 경우를 핸들링하기 위한 프로세스 및 프로토콜 향상
도 4는 IKE SA 및 시그널링 IPsec SA 설정이 수락되지 않는 경우를 핸들링하기 위한 방법(400)의 일 실시예의 논리 흐름도를 도시한다. 단계 402에서, UE(200)는 선택된 N3IWF(204)와의 IPsec 보안 연관(SA)의 설정 요청을 진행한다. UE(200)는 IETF RFC 7296, "Internet Key Exchange Protocol Version 2(인터넷 키 교환 프로토콜 버전 2)(IKEv2)"(2014. 10.)에 설명된 인터넷 키 교환(IKE) 프로토콜을 사용하여 IPsec SA 설정을 개시한다. 단계 404에서, UE(200)는 IKE_AUTH 요청 메시지를 전송한다. 단계 406에서, N3IWF(204)는 EAP-요청/5G-시작 패킷을 포함하는 IKE_AUTH 응답 메시지로 응답한다. EAP-요청/5G-시작 패킷은 UE(200)에 EAP-5G 세션을 개시함, 즉, EAP-5G 패킷 내에 캡슐화된 NAS 메시지의 전송을 시작함을 알린다.
단계 408에서, UE(200)는 5GCN(100)에 대한 등록 요청, 예를 들어, 액세스 네트워크 파라미터(AN-Param) 및 NAS 등록 요청 메시지를 포함하는 EAP-응답/5G-NAS 패킷을 포함하는 IKE_AUTH 요청을 생성한다. AN-Params은 N3IWF(204)에 의해 5GCN(100)에서 AMF(202)를 선택하기 위해 사용되는 정보(예를 들어, SUPI 또는 5G-GUTI, 선택된 네트워크 및 NSSAI)를 포함한다.
일부 예에서, 비-3GPP 액세스를 통한 UE 등록은 예를 들어, 인증 실패 이를 테면 EAP-AKA' 인증이 성공적이지 않았음으로 인해 거부된다. 그러면, 5GCN(100)에 의해 IKE SA 및 시그널링 IPsec SA 설정은 수락되지 않는다. 일 실시예에서, AMF(202)는 등록 거부 메시지를 생성하고, 단계 410에서 N3IWF(204)는 등록 거부 메시지를 포함하는 NAS-PDU 필드를 포함하는 EAP-응답/5G-NAS 메시지를 UE에 전송한다.
등록 거부 메시지를 수신 시, 단계 412에서 UE(200)는 EAP-응답/5G-중단 메시지(IKE_Auth 요청에 캡슐화됨)를 생성 및 전송함으로써 등록 요청을 종료한다. 단계 414에서, UE(200)는 N3IWF(204)로부터 EAP 실패 메시지를 갖는 IKE_AUTH 응답을 수신한다. N3IWF(204)로부터 EAP-실패 메시지의 수신 시, UE(200)는 IKEv2 SA 삭제 절차를 수행한다. UE(200)는 오프로 전환되거나 USIM을 포함하는 UICC가 제거될 때까지 동일한 PLMN으로부터 N3IWF(204)로 IKE SA 및 시그널링 IPsec SA 설정을 재개시하지 않는다.
비-3GPP 액세스 네트워크(110)를 통한 UE(200) 등록이 거부될 때, AMF(202)는 N3IWF(204)로 등록 거부 메시지를 전송한다. 이에 대한 응답으로, N3IWF(204)는 등록 거부 메시지를 포함하는 NAS-PDU 필드를 포함하는 EAP-응답/5G-NAS 메시지를 UE(200)에 전송한다. 이후의 UE(200) 응답은 등록 거부 이유에 따라 상이할 수 있다. 구문 에러 또는 특정 일시적 거부 이유와 같은 복구 가능한 에러의 경우, UE(200)는 유효한 파라미터로 다시 등록을 개시하려고 시도할 수 있다. 다른 거부 이유의 경우, UE(200)는 EAP-5G 절차를 중단하고 IKE SA 및 EAP 스택 관련 자원을 복원한다. EAP-5G 절차를 중단하려면, 5G-중단 표시가 요구된다. 이러한 두 절차는 모두 여기에 더 상세하게 설명된다.
실시예 - 복구 가능한 에러로 인한 등록 실패 이후 EAP-5G 절차 완료
도 5는 복구 가능한 에러로 인한 인증 실패 이후 EAP-5G 세션 절차의 방법(500)의 일 실시예의 논리 흐름도를 도시한다. 이러한 실시예에서, 신뢰되지 않은 비-3GPP 액세스 네트워크(110)를 통한 5GCN(100)에 대한 UE(200) 등록 요청이 거부된다.
단계 502에서, N3IWF(204)는 UE(200)에 EAP-요청/5G-시작 메시지를 전송한다. 5G 시작 메시지는 UE(200)에 EAP-5G 세션을 개시, 즉 EAP-5G 패킷 내에 캡슐화된 NAS 메시지의 전송을 개시할 것을 요청한다. 단계 504에서, UE(200)는 AN 파라미터 및 등록 요청을 포함하는 NAS-PDU 필드를 포함하는 EAP-응답/5G-NAS 메시지에 5GCN(100)에 대한 등록 요청을 생성한다. 이러한 실시예에서, AMF(202)에 의해 5GCN(100)에 대한 UE(200) 등록이 거부된다. AMF(202)는 N3IWF(204)로 등록 거부 메시지를 전송한다. 이에 대한 응답으로, 단계 506에서 N3IWF(204)는 NAS 등록 거부 메시지를 포함하는 NAS-PDU 필드를 포함하는 EAP-요청/5G-NAS 메시지를 UE(200)에 전송한다.
UE(200)는 등록을 재시도하는 것이 필수는 아니지만 5GCN에 대한 등록을 다시 개시하려고 시도할 수 있다. 구문 에러 또는 특정 일시적 거부 이유와 같은 복구 가능한 에러의 경우, UE(200)는 업데이트된 파라미터로 등록 요청 메시지를 수정하고 등록을 재시도할 수 있다. 대안적으로, UE(200)는 파라미터를 업데이트하지 않고 나중에 등록을 재시도할 수도 있다.
단계 508에서, UE(200)는 필요에 따라 업데이트된 AN 파라미터 및 등록 요청을 포함하는 NAS-PDU 필드를 포함하는 EAP-응답/5G-NAS 메시지로서 포맷팅된 두 번째 등록 요청을 전송한다. 그 다음, UE(200) 및 N3IWF(204)는 IKE SA 및 시그널링 IPsec SA 설정을 수행하여 NAS 보안 컨텍스트 및 N3IWF 키를 생성한다(도시되지 않음).
UE(200)에서 N3IWF 키가 생성된 후, 510에서 N3IWF(204)는 EAP-성공을 나타내는 보안 모드 명령 메시지를 갖는 NAS PDU를 포함하는 EAP-요청/5G NAS 메시지를 전송한다. 512에서 UE(200)는 보안 모드 완료 메시지를 포함하는 NAS PDU를 갖는 EAP-응답/5G-NAS 메시지를 생성하고 전송함으로써 EAP-5G 세션의 완료를 요청한다. 이는 N3IWF(204)가 또한 AMF(202)로부터 N3IWF 키를 수신했다고 가정하고, UE(200)에 EAP-성공을 전송하도록 N3IWF(204)를 트리거한다. 이는 EAP-5G 세션을 완료하고 더 이상의 EAP-5G 패킷은 교환될 수 없다.
그에 따라, UE(200)는 거부될 때 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 등록 요청을 재시도할 수 있다. 거부는 구문 에러 또는 AN 파라미터의 에러과 같은 복구 가능한 에러로 인한 것일 수 있다. 두 번째 등록 시도는 그러한 복구 가능한 에러가 정정될 때 성공적일 수 있다. 다른 실시예에서, 거부는 일시적인 거절 이유로 인한다. 그 다음, UE(200)는 동일한 파라미터로 등록을 재시도하고 EAP-5G 세션을 완료할 수 있다.
실시예 - 복구 불가능한 에러로 인한 등록 실패 이후 EAP-5G 절차 완료
도 6은 복구 불가능한 에러 또는 영구 실패로 인한 등록 거부의 EAP-5G 세션 절차의 일 실시예를 도시한 논리 흐름도를 도시한다. 이러한 실시예에서, 다시 신뢰되지 않은 비-3GPP 액세스 네트워크(110)를 통한 5GCN(100)에 대한 UE(200) 등록 요청이 거부된다.
단계 602에서, N3IWF(204)는 EAP-요청/5G-시작 메시지를 UE(200)로 전송하여 비-3GPP 액세스 네트워크(110)를 통한 5GCN(100)에 대한 등록을 개시한다. 단계 604에서, UE(200)는 등록 요청, 예를 들어, AN 파라미터 및 등록 요청을 포함하는 NAS-PDU 필드를 포함하는 EAP-응답/5G-NAS 메시지로 응답한다.
인증이 복구 불가능한 에러, 이를 테면 EAP-AKA' 인증이 성공적이지 않았음으로 인해 실패하는 경우, N3IWF(204)는 AMF(202)로부터 등록 거부 메시지를 수신한다(도시되지 않음). AMF(202)로부터 등록 거부 메시지를 수신하는 것에 응답하여, 606에서 N3IWF(204)는 UE(200)에 EAP-요청/5G-NAS 메시지를 생성한다. EAP-요청/5G-NAS 메시지는 EAP-실패 필드를 갖는 NAS 등록 거부 메시지를 포함하는 NAS-PDU 필드를 포함한다.
단계 608에서, UE(200)는 EAP-응답/5G-중단 메시지를 생성 및 전송함으로써 등록 절차를 종료한다. 5G-중단 메시지는 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 등록하기 위한 EAP 세션이 종료됨을 나타낸다. UE(200)로부터 EAP-응답/5G-중단 메시지의 수신 이후, 단계 610에서 N3IWF(204)는 EAP-실패 메시지를 UE(200)로 전송함으로써 EAP-5G 절차를 완료한다. 이러한 실시예에서, UE(200)는 등록 재시도 없이 EAP-5G 세션을 중단한다.
도 7은 EAP-응답/5G-중단 메시지(700)의 일 실시예의 개략적인 블록도를 도시한다. EAP-응답/5G-중단 메시지(700)는 코드(702), 식별자(704), 길이(706), 유형(708), 공급업체-id(710), 공급업체-유형(712), 메시지 식별자(메시지-Id)(714), 예비(716) 및 확장(718)을 포함하는 대표적인 필드를 갖는 다양한 EAP 패킷을 포함한다. EAP 패킷의 메시지-Id 필드(714)는 5G-중단 메시지를 나타내는 식별자를 포함한다. EAP 패킷에서의 필드들에 대한 값들의 일례는 아래 표 1에 설명되어 있다.
EAP-응답/5G-중단 메시지에 대한 예시적인 필드
코드 필드는 IETF RFC 3748 [9] 하위 절 4.1에 특정된 대로 1(10 진수)로 설정되고 요청을 나타낸다.
식별자 필드는 IETF RFC 3748 [9] 하위 절 4.1에 특정된 대로 설정된다.
길이 필드는 IETF RFC 3748 [9] 하위 절 4.1에 특정된 대로 설정되고 EAP-응답/5G-중단 메시지의 길이를 옥텟으로 나타낸다.
유형 필드는 IETF RFC 3748 [9] 하위 절 5.7에 특정된 대로 254(10 진수)로 설정되고 확장된 유형을 나타낸다.
공급업체-Id 필드는 SMI 사기업 코드 레지스트리에 따라 IANA에 등록된 10415(10 진수)의 3GPP 공급업체-Id로 설정된다.
공급업체-유형 필드는 3GPP TS 33.402 [10] 부록 C에 특정된 대로 3(10 진수)의 EAP-5G 방법 식별자로 설정된다.
메시지-Id 필드는 4(10 진수)의 5G-중단-Id로 설정된다.
예비 필드는 예비 비트로 구성된다.
확장 필드는 선택적 필드이고 예비 비트로 구성된다.
EAP 메시지에서의 메시지 식별자(메시지-Id) 필드(714)는 5G 중단 식별자 또는 값을 포함한다. EAP-응답/5G-중단 메시지(700)의 필드 및 값은 예이고 등록 중단의 유사한 의미를 나타내는 다른 필드/값 또는 프로토콜 패킷이 구현될 수 있다.
실시예 - 인증 실패로 인해 IPsec SA 설정이 수락되지 않을 때 핸들링을 위한 방법들 및 프로토콜 향상
도 8은 비-3GPP 액세스 네트워크(110)를 통한 UE(200) 등록을 위한 IKE SA 및 시그널링 IPsec SA 설정이 인증 실패로 인해 수락되지 않을 때 네트워크 노드 기능부들 간의 메시지 흐름을 위한 방법(800)의 일 실시예의 논리 흐름도를 도시한다. 예를 들어, IKE SA 및 시그널링 IPsec SA 설정은 AKA-시도 또는 AKA'-시도와 같은 인증 절차의 실패로 인해 수락되지 않을 수 있다. 방법(800)은 UE(200)에 실패를 시그널링하기 위한 새로운 비공개 IKEv2 알림 메시지 유형 및 비-3GPP 액세스 네트워크(110)에 의해 5GCN(100)에 대한 액세스가 허용되지 않음을 나타내는 새로운 원인 값을 포함한다.
단계 802에서, UE(200)는 신뢰되지 않은 비-3GPP 액세스 네트워크(N3AN)(110)에, 예를 들어, 802.1x 프로토콜을 사용하여 공용 WLAN에 연결한다. UE(200)가 5GCN(100)에 접속하기로 결정할 때, 단계 804에서 UE(200)은 5G PLMN에서 N3IWF(204)를 선택한다. 단계 806에서, UE(200)는 예를 들어, IETF RFC 7296, "Internet Key Exchange Protocol Version 2(인터넷 키 교환 프로토콜 버전 2)(IKEv2)"(2014. 10.)에 설명된 대로, IKE 초기 교환을 개시함으로써 선택된 N3IWF(204)와의 IPsec 보안 연관(SA)의 설정을 진행한다. IKE SA 설정 이후, 이 단계 806에서 설정된 IKE SA를 사용함으로써 후속 IKE 메시지가 암호화되고 무결성 보호된다.
그 다음 단계 808에서, UE(200)는 IKE_AUTH 요청 메시지를 전송함으로써 IKE_AUTH 교환을 개시한다. AUTH 페이로드는 IKE_AUTH 요청 메시지에 포함되지 않으며, 이는 IKE_AUTH 교환이 EAP 시그널링(이 경우 EAP-5G 시그널링)을 사용할 것임을 나타낸다. UE(200)는 이러한 메시지에서의 UE Id 필드를 임의의 난수와 동일하게 설정할 것이다. 단계 810에서, N3IWF(204)는 EAP-요청/5G-시작 패킷을 포함하는 IKE_AUTH 응답 메시지로 응답한다. EAP-요청/5G-시작 패킷은 UE(200)에 EAP-5G 세션을 개시함, 즉 EAP-5G 패킷 내에 캡슐화된 NAS 메시지의 전송을 개시함을 알린다.
UE(200)는 또한 N3IWF 인증서를 검증하고 N3IWF(204) ID가 UE(200)에 의해 선택된 N3IWF(204)와 일치하는지 확인할 수 있다. N3IWF(204)로부터 인증서가 없거나 성공적이지 않은 ID 확인은 연결 실패를 초래할 수 있다. 그 다음 단계 812에서, UE(200)는 5GCN(100)에 등록을 요청하기 위해 EAP-응답/5G-NAS 패킷을 포함하는 IKE_AUTH 요청을 전송한다. EAP-응답/5G-NAS 메시지는 AN 파라미터(예를 들어, GUAMI, 선택된 PLMN ID, 요청된 NSSAI) 및 등록 요청을 포함하는 NAS-PDU 필드를 포함한다.
그 다음 단계 814에서, N3IWF(204)는 AN 파라미터를 사용하여 AMF(202)를 선택하고 UE(200)로부터 수신된 등록 요청을 N2 NAS 전송 메시지에 AMF(202)로 포워딩한다.
AMF(202)는 UE(200)를 인증하기로 결정할 수 있다. 이 경우, 단계 816에서 AMF(202)는 AUSF(210)를 선택하고 AUSF(210)로 키 요청을 전송한다. 그 다음 단계 818에서, AUSF(210)는 AKA-시도 또는 AKA'-시도와 같은 인증 절차를 개시할 수 있다. AMF(202)와 UE(200) 간에서, 인증 패킷은 NAS 인증 메시지 내에 캡슐화되고 NAS 인증 메시지는 EAP-5G/5G-NAS 패킷 내에 캡슐화된다. 단계 820 및 822에서는 EAP-요청/AKA'-시도 메시지가 NAS 메시지 Auth-요청 메시지에 N3IWF(204)를 통해 UE(200)로 전송된다. 이러한 메시지는 인증이 성공적인 경우 생성되는 부분적 네이티브 보안 컨텍스트를 식별하기 위해 UE(200) 및 AMF(202)에 의해 사용될 ngKSI를 포함할 수 있다. UE(200)는 EAP-요청/AKA'-시도 메시지에 수신되는 RAND 및 AUTN을 USIM으로 포워딩한다.
RAND 및 AUTN의 수신 시, USIM은 AUTN이 수락될 수 있는지 여부를 확인함으로써 인증 벡터를 검증한다. 만약 그렇다면, 단계 823에서 USIM은 응답 RES를 계산한다. 단계 824에서, UE(200)는 NAS 메시지 Auth-응답 메시지에 EAP-응답/AKA'-시도 메시지를 전송한다. 단계 826 및 828에서, EAP-응답/AKA'-시도 메시지는 AMF(202)를 통해 AUSF(210)로 전송된다. 그러면 AUSF(210)는 메시지를 검증하려고 시도할 것이다. AUSF(210)이 이러한 메시지를 성공적으로 검증한 경우, 그것은 인증을 계속할 것이다.
종래 공지된 시스템에서는, 단계 830에서 AUSF(210)가 인증 실패로 인해 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않는다고 결정하는 경우, 에러를 반환한다. 새롭게 개선된 시스템 및 방법에서, AMF(202)는 5GC 네트워크에 대한 비-3GPP 액세스가 예를 들어, 인증 실패로 인해 허용되지 않음을 시그널링하는 새로운 비공개 IKEv2 알림 메시지 유형을 생성한다.
단계 832에서, AUSF(210)는 EAP 실패의 EAP 페이로드 및 인증 실패의 인증 결과를 갖는 HTTP EAP 세션 메시지를 전송한다. AMF(202)는 5GCN(100)의 비-3GPP 액세스가 허용되지 않음을 나타내는 새로운 5G 이동성 관리(5GMM) 원인을 생성한다. 단계 834에서, AMF(202)는 EAP 실패를 나타내고 5GMM 원인을 포함하는 등록 거부 및 EAP 메시지를 갖는 N2 NAS 전송 메시지를 생성한다. 5GMM 원인은 예를 들어, 이 경우 "5GCN의 비-3GPP 액세스가 허용되지 않음"의 에러 유형을 나타낸다.
단계 836에서, UE(200)는 N3IWF(204)로부터 비공개 알림 메시지 유형(예를 들어, 8192 ... 16383과 같은 미리 정의된 범위의 임의의 비공개 알림 메시지 유형)을 갖는 알림 페이로드를 갖는 IKE_AUTH 응답 메시지를 수신한다. 비공개 IKEv2 알림 메시지는 "5GCN_에 대한_비_3GPP_액세스가_허용되지_않음"의 5GMM 원인 및 EAP-실패의 EAP 메시지 유형과 등록 거부를 포함하는 EAP 응답/5G-NAS PDU를 포함한다.
그에 따라, 방법(800)은 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않는다는 등록 요청의 실패를 UE에 알리는 새로운 비공개 IKEv2 알림 메시지 유형 및 새로운 5GMM 원인 값을 포함한다. 새로운 비공개 IKEv2 알림 메시지가 구현되지만, 다른 유형의 메시지 또는 포맷 또는 필드 또는 에러 유형이 구현되어 5GC 네트워크에 대한 비-3GPP 액세스가 허용되지 않거나 거부되었음을 UE(200)에 알릴 수도 있다.
5GCN_에 대한_비_3GPP_액세스가_허용되지_않음의 5GMM 원인을 갖는 비공개 알림 메시지를 수신 시, 단계 838에서 UE(200)는 EAP-응답/5G-중단 메시지를 전송함으로써 EAP-5G 세션을 종료한다. 단계 840에서, UE(200)는 N3IWF(204)로부터 EAP 실패 메시지를 갖는 IKE_AUTH 응답 메시지를 수신한다.
N3IWF(204)로부터 EAP-실패 메시지의 수신 시, UE(200)는 IKEv2 SA 삭제 절차를 수행하고 단계 842에서 IKE SA를 종료한다. UE(200)는 오프로 전환되거나 USIM을 포함하는 UICC가 제거될 때까지 동일한 PLMN으로부터 N3IWF(204)로 IKE SA 및 IPsec SA 설정을 재개시하지 않는다. 단계 844에서, UE(200)는 IKEv2 SA 삭제에 대한 정보성 메시지를 전송할 수 있다. 그 다음 단계 846에서, N3IWF(204)는 IKEv2 SA를 종료할 수 있다.
실시예 - 가입 제한으로 인해 IPsec SA 설정이 수락되지 않을 때 핸들링을 위한 방법 및 프로토콜 향상
도 9는 비-3GPP 액세스를 통한 UE(200) 등록을 위한 IKE SA 및 시그널링 IPsec SA 설정이 가입 제한으로 인해 수락되지 않을 때 네트워크 기능부들 간의 메시지 흐름을 위한 방법(900)의 일 실시예의 논리 흐름도를 도시한다. 예를 들어, IKE SA 및 시그널링 IPsec SA 설정은 가입 제한으로 인해 수락되지 않을 수 있다. 방법(900)은 UE(200)에 실패를 시그널링하기 위한 새로운 비공개 IKEv2 알림 메시지 유형 및 비-3GPP 액세스 네트워크(110)에 의해 5GCN(100)에 대한 액세스가 허용되지 않음을 나타내는 새로운 원인 값을 포함한다.
단계 902에서, UE(200)는 신뢰되지 않은 비-3GPP 액세스 네트워크(N3AN)(110)에, 예를 들어, 802.1x 프로토콜을 사용하여 공용 WLAN에 연결한다. UE(200)가 5GCN(100)에 접속하기로 결정할 때, 단계 904에서 UE(200)은 5G PLMN에서 N3IWF(204)를 선택한다. 단계 906에서, UE(200)는 예를 들어, IETF RFC 7296, "Internet Key Exchange Protocol Version 2(인터넷 키 교환 프로토콜 버전 2)(IKEv2)"(2014. 10.)에 설명된 대로, IKE 초기 교환을 개시함으로써 선택된 N3IWF(204)와의 IPsec 보안 연관(SA)의 설정을 진행한다. IKE SA 설정 이후, IKE SA에서 설정된 키을 사용하여 후속 IKE 메시지가 암호화되고 무결성 보호된다.
그 다음 단계 908에서, UE(200)는 IKE_AUTH 요청 메시지를 전송함으로써 IKE_AUTH 교환을 개시한다. AUTH 페이로드는 IKE_AUTH 요청 메시지에 포함되지 않으며, 이는 IKE_AUTH 교환이 EAP 시그널링(이 경우 EAP-5G 시그널링)을 사용할 것임을 나타낸다. UE(200)는 이러한 메시지에서의 UE Id 필드를 임의의 난수와 동일하게 설정한다. 단계 910에서, N3IWF(204)는 EAP-요청/5G-시작 패킷을 포함하는 IKE_AUTH 응답 메시지로 응답한다. EAP-요청/5G-시작 패킷은 UE(200)에 EAP-5G 세션을 개시함, 즉 EAP-5G 패킷 내에 캡슐화된 NAS 메시지의 전송을 개시함을 알린다.
UE(200)는 또한 N3IWF 인증서를 검증하고 N3IWF(204) ID가 UE에 의해 선택된 N3IWF(204)와 일치하는지 확인할 수 있다. N3IWF(204)로부터 인증서가 없거나 성공적이지 않은 ID 확인은 연결 실패를 초래할 수 있다. 그 다음 단계 912에서, UE(200)는 EAP-응답/5G-NAS 패킷을 포함하는 IKE_AUTH 요청에 등록 요청을 전송한다. EAP-응답/5G-NAS 메시지는 AN 파라미터, 이를 테면 GUAMI, 선택된 PLMN ID, 요청된 NSSAI, 및 등록 요청을 갖는 NAS-PDU를 포함한다. 그 다음 단계 914에서, N3IWF(204)는 AMF(202)를 선택하고 UE(200)로부터 수신된 NAS PDU에서의 등록 요청을 AMF(202)로 포워딩한다.
AMF(202)는 UE(200)를 인증하기로 결정할 수 있다. 이 경우, 단계 916에서 AMF(202)는 AUSF(210)를 선택하고 AUSF(210)로 키 요청을 전송한다. 그 다음 단계 918에서, AUSF(210)는 AKA-시도 또는 AKA'-시도와 같은 인증 절차를 개시할 수 있다. AMF(202)와 UE(200) 간에서, 인증 패킷은 NAS 인증 메시지 내에 캡슐화되고 NAS 인증 메시지는 EAP-5G/5G-NAS 패킷 내에 캡슐화된다. EAP-요청/AKA'-시도 메시지가 단계 920에서 AMF에 의해 NAS 메시지 인증-요청 메시지에 UE(200)로 전송되고 단계 922에서 N3IWF에 의해 포워딩된다. 이러한 메시지는 인증이 성공적인 경우 생성되는 부분적 네이티브 보안 컨텍스트를 식별하기 위해 UE(200) 및 AMF(202)에 의해 사용될 ngKSI를 포함할 수 있다. UE(200)는 EAP-요청/AKA'-시도 메시지에 수신되는 RAND 및 AUTN을 그것의 USIM으로 포워딩한다.
RAND 및 AUTN의 수신 시, USIM은 AUTN이 수락될 수 있는지 여부를 확인함으로써 인증 벡터를 검증한다. 만약 그렇다면, 단계 923에서 USIM은 인증 응답을 계산한다. 단계 924에서, UE(200)는 NAS 메시지 Auth-응답 메시지에 EAP-응답/AKA'-시도 메시지를 전송한다. EAP-응답/AKA'-시도 메시지는 단계 926에서 N3IWF에 의해 AMF로 전송된 다음 단계 928에서 AUSF(210)로 전송된다. 그 다음 AUSF(210)는 그메시지를 검증하려고 시도할 것이다. AUSF(210)이 이러한 메시지를 성공적으로 검증한 경우, 그것은 인증을 계속할 것이다. 그러나, 단계 930에서 AUSF(210)는 인증을 거부하고 5GCN(100)에 대한 비-3GPP 액세스를 허용하지 않을 수 있다.
종래의 공지된 시스템에서, AUSF(210)가 인증 실패를 결정한다면, AUSF(210)는 에러를 반환한다. 새로운 개선된 방법에서, AMF(202)는 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않음을 시그널링하는 새로운 원인을 생성한다. 예를 들어, AMF(202)는 5GCN(100)에 대한 비-3GPP 액세스가, 예를 들어, 가입 또는 네트워크 제한으로 인해 허용되지 않음을 UE(200)에 시그널링하는 새로운 비공개 IKEv2 알림 메시지 유형을 생성한다.
단계 932에서, AUSF(210)는 EAP 실패의 EAP 페이로드 및 인증 실패와 원인의 인증 결과를 갖는 HTTP EAP 세션 메시지를 전송한다. 단계 934에서, AMF(202)는 등록 거부 및 5GMM 원인을 포함하는 EAP 실패의 EAP 메시지를 갖는 N2 NAS 전송 메시지를 생성한다. 5GMM 원인은 5GCN_에 대한_비_3GPP_액세스가_허용되지_않음의 에러 유형을 나타낸다.
N3IWF(204)는 AMF(202)로부터 5GCN에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 5GMM 원인 값을 포함하는 등록 거부 메시지 및 EAP-실패 유형 메시지를 캡슐화하는 응답을 수신한다. 단계 936에서, N3IWF(204)는 비공개 알림 메시지 유형(예를 들어, 8192 ... 16383과 같은 미리 정의된 범위의 임의의 비공개 알림 메시지 유형)을 갖는 알림 페이로드를 갖는 IKE_AUTH 응답 메시지를 생성한다. 비공개 IKEv2 알림 메시지는 "5GCN_에 대한_비_3GPP_액세스가_허용되지_않음"의 5GMM 원인 및 EAP-실패의 EAP 메시지 유형과 등록 거부를 포함하는 EAP 응답/5G-NAS PDU를 포함한다.
그에 따라 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않음을 UE(200)에 시그널링하는 새로운 5GMM 원인 코드가 구현된다. 이러한 5GMM 원인은 AMF(202)에 의해 생성되고 PLMN에서 비-3GPP 액세스를 통해 서비스를 요청하는 경우 UE(200)로 전송되며, 여기서 UE(200)는 가입 또는 네트워크 제한에 의해, 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 액세스하도록 허용되지 않는다. 그에 따라 UE(200)는 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 액세스하는 것이 거부되었음을 알림 받는다.
단계 936에서, UE(200)는 N3IWF(204)로부터 비공개 알림 메시지 유형 및 EAP-실패의 EAP 메시지 및 5GCN_에 대한_비_3GPP_액세스가_허용되지_않음의 5GMM 원인을 갖는 알림 페이로드를 갖는 IKE_AUTH 응답 메시지를 수신한다. 그에 따라 UE(200)는 단지 에러 메시지를 수신하는 것이 아니라 이유와 함께 등록 거부 알림을 수신한다.
그 다음 단계 938에서, UE(200)는 N3IWF(204)에 EAP-응답/5G-중단 메시지를 생성함으로써 등록 요청을 종료한다. 단계 940에서, UE(200)는 N3IWF(204)로부터 EAP 실패 메시지를 갖는 IKE_AUTH 응답 메시지를 수신한다.
N3IWF(204)로부터 EAP-실패 메시지의 수신 시, UE(200)는 IKEv2 SA 삭제 절차를 수행하고 단계 942에서 IKE SA를 종료한다. 이러한 예에서, 가입 또는 네트워크 제한의 복구 불가능한 에러로 인해, UE(200)는 오프로 전환되거나 USIM을 포함하는 UICC가 제거될 때까지 동일한 PLMN으로부터 N3IWF(204)로 IKE SA 및 IPsec SA 설정을 재개시하지 않는다. 단계 944에서, UE(200)는 IKEv2 SA 삭제에 대한 정보성 메시지를 전송할 수 있다. 그 다음 단계 946에서, N3IWF(204)는 IKEv2 SA를 종료할 수 있다.
실시예 - 사용자 평면 IPsec SA 설정이 수락되지 않을 때 핸들링을 위한 방법 및 프로토콜 향상
도 10은 사용자 평면 IPsec 보안 연관(SA) 설정이 수락되지 않을 때 네트워크 노드 기능부들 간의 메시지 흐름을 위한 방법의 일 실시예의 논리 흐름도를 도시한다. 단계 1002에서, UE(200)는 신뢰되지 않은 비-3GPP 액세스 네트워크(N3AN)(110)에, 예를 들어, 802.1x 프로토콜을 사용하여 공용 WLAN에 연결한다. UE(200)가 5GCN(100)에 접속하기로 결정할 때, 단계 1004에서 UE(200)은 5G PLMN에서 N3IWF(204)를 선택한다. 단계 1006에서, UE(200)는 IKE 초기 교환을 개시함으로써 선택된 N3IWF(204)와의 IPsec 보안 연관(SA)의 설정을 진행한다. 이러한 실시예에서, 1008에서 UE(200)는 IKE SA를 시그널링 IPsec SA를 선택된 N3IWF(204)에 성공적으로 설정한다. 예를 들어, UE(200)의 인증, 예를 들어, 이를 테면 EAP-AKA' 절차는 도 3에 도시된 바와 같이 EAP-5G는 완료된다.
그 다음 1010에서, UE(200)는 사용자 평면 IPsec SA를 설정하기 위한 PDU 세션 설정 요청 메시지를 AMF(202)로 전송한다. 이러한 PDU 세션 설정 요청 메시지는 시그널링 IPsec SA를 통해 N3IWF(204)에 전송되고, 단계 1012에서 N3IWF(204)는 그것을 5GCN(100)에서 AMF(202)로 투과적으로 포워딩한다. 단계 1014에서, AMF(202)는 SMF(206)와 함께 세션 관리(SM) 컨텍스트를 생성할 수 있다. 단계 1016에서, AMF(202)는 예를 들어, N2 PDU 세션 자원 셋업 요청에, 이러한 PDU 세션에 대한 액세스 자원을 설정하기 위한 NAS N2 인터페이스 PDU 세션 요청 메시지를 N3IWF(204)에 전송한다. PDU 세션 요청은 PDU 세션 Id, PDU 세션 설정 수락, QFI, QoS 프로필 등을 포함할 수 있다.
그 자체의 정책 및 구성에 기초하고 N2 PDU 세션 요청에서 수신된 QoS 프로필에 기초하여, N3IWF(204)는 설정할 사용자 평면 IPsec SA 수 및 각 사용자 평면 IPsec SA와 연관된 QoS 프로필을 결정한다. 예를 들어, N3IWF(204)는 하나의 사용자 평면 IPsec SA를 설정하고 모든 QoS 프로파일을 이러한 사용자 평면 IPsec SA와 연관시키기로 결정할 수 있다. 이러한 예에서, PDU 세션의 모든 QoS 흐름은 하나의 사용자 평면 IPsec SA를 통해 전송될 것이다. 다른 예에서, N3IWF(204)는 복수의 사용자 평면 IPsec 자식 SA를 설정하고 특정 QoS 프로필을 복수의 사용자 평면 IPsec 자식 SA 중 상이한 것들과 연관시키기로 결정할 수 있다.
단계 1018에서, N3IWF(204)는 PDU 세션을 위한 제1 사용자 평면 IPsec 자식 SA를 설정하기 위한 IKE 자식_SA_생성 요청을 UE(200)에 전송한다. IKE 자식_SA_생성 요청은 SAup1의 ID를 갖는 제1 사용자 평면 IPsec 자식 SA를 나타낸다. 이러한 요청은 (a) 자식 SA와 연관된 QFI(들), (b) 이러한 자식 SA와 연관된 PDU 세션의 ID, (c) 선택적으로, 자식 SA와 연관된 DSCP 값 및 (d) UP_IP_어드레스를 포함하는 3GPP-특정 알림 페이로드를 포함할 수 있다. IKE 자식_SA_생성 요청은 또한 SA 페이로드, N3IWF(204) 및 UE(200)에 대한 트래픽 선택자(TS, Traffic Selector) 등과 같은 다른 정보도 포함할 수 있다.
UE(200)가 새로운 IPsec 자식 SA를 수락할 때, 단계 1020에서 UE(200)는 IKE 자식_SA_생성 응답을 전송한다. UE(200) 및 N3IWF(204)는 IKE 자식_SA_생성 요청 및 응답을 다회 반복하여 교환하여 복수의 IPsec 자식 SA를 설정할 수 있다. 각각 하나 이상의 QFI(들) 및 UP_IP_어드레스와 연관되는 추가의 IPsec 자식 SA가 설정된다.
단계 1024에서 사용자 평면 IPsec SA 요청이 단계 1026에서와 같이 UE(200)에 의해 수락되지 않은 경우, 단계 1026에서 UE(200)는 에러 유형의 알림 페이로드와 함께 자식_SA_생성 응답 메시지를 N3IWF(204)에 전송한다. 알림 메시지 유형은 "에러"일 수 있다. 알림 메시지 유형 "에러"는 UE(200)에 의해 IPsec 자식 SA가 수락되지 않음을 나타낸다.
에러 유형의 알림 페이로드와 함께 자식_SA_생성 응답 메시지를 수신 시, N3IWF(204)는 단계 1032에서 N2 PDU 세션 자원 셋업 응답 메시지를 통해 AMF(202)에 대한 리스트 셋업에 실패한 PDU 세션 자원을 나타내 비-3GPP 액세스를 통한 PDU 세션 설정의 거부를 트리거한다. 대안적으로, N3IWF(204)가 이전에 PDU 세션의 QoS 흐름 식별자들(QFI들)에 대해 다수의 사용자 평면 IPsec SA를 생성하기로 결정했고, PDU 세션의 하나 이상의 사용자 평면 IPsec SA가 이미 활성화된 경우, 단계 1028 및 단계 1030에 보여지는 바와 같이, 네트워크는 실패한 사용자 평면 IPsec SA의 QFI(들)를 이미 설정된 사용자 평면 IPsec SA에 매핑함으로써 PDU 세션 설정을 완료하도록 선택할 수 있다.
단계 1034에서 PDU 세션 설정 거부 메시지를 나타내는 NAS PDU를 포함하는 N2 PDU 세션 자원 해제 명령을 수신 시, 단계 1036에서 N3IWF(204)는 PDU 세션 설정 거부를 UE(200)에게 투과적으로 포워딩한다. PDU 세션 거부 이유를 나타내는 전용 5G 세션 관리(5GSM) 원인 "IPsec SA 실패"가 설정된다.
실시예 - 비-3GPP 액세스에 대한 비공개 IKEv2 알림 메시지 유형
아래의 표 2는 비-3GPP 액세스에 대한 알림 메시지 유형을 나열한다. 이러한 예에서는, 비공개 IKEv2 알림 메시지 및 비공개 에러 유형이 설명되지만, 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않을 때 이유 또는 에러를 UE(200)에 알림을 제공하는 데 다른 메시지 프로토콜, 값 및 에러 유형이 사용될 수 있다.
이러한 예에서, 비공개 IKEv2 알림 메시지 유형은 비-3GPP 액세스 사용에 대해 정의된다. 8192와 16383 사이의 값(10 진수)을 가진 알림 메시지 유형은 비공개 에러 사용을 위해 리저브되지만 다른 값 및 필드도 구현될 수 있다. 40960과 65535 사이의 값(10 진수)을 가진 알림 메시지 유형은 비공개 상태 사용을 위해 리저브된다. 이러한 사양에 사용되는 비공개 IKEv2 알림 메시지 유형만 여기에 설명되어 있다. 표 2에 정의된 비공개 알림 메시지 에러 유형은 5GCN(100)에 대한 비-3GPP 액세스를 협상하는 동안 에러를 나타내는 에러 알림이다. 예를 들어, 에러 유형은 5GCN(100)에 대한 비-3GPP 액세스를 위한 IKEv2 SA 또는 IPsec SA 협상에 대한 응답으로 에러 유형이 생성될 수 있다. 비공개 알림 메시지 유형의 필드 및 값은 예이고 유사한 의미를 나타내는 다른 필드/값이 구현될 수도 있다.
비-3GPP 액세스에 대한 알림 메시지 유형
알림 메시지
(십진수)		 설명
권한 부여_거부됨 9003 이 에러 유형은 UE가 요청된 서비스를 사용하도록 권한 부여되지 않았기 때문에 이러한 서비스가 거부되었음을 나타내는 데 사용된다.
일리걸_미 9006 이 에러 유형은 인증 실패로 인해 또는 UE의 ID가 네트워크에 수락 가능하지 않기 때문에 요청된 서비스가 거부되었음을 나타내는 데 사용된다.
RAT_유형이_허용되지_않음 11001 이 에러 유형은 사용된 RAT 유형이 PLMN에 의해 허용되지 않아 요청된 서비스가 거부되었음을 나타내는 데 사용된다.
PEI가_수락되지_않음 11005 이 에러 유형은 네트워크가 PEI를 사용한 긴급 서비스 요청을 수락하지 않기 때문에 긴급 PDU 세션 요청이 거부되었음을 나타내는 데 사용된다.
PLMN이_허용되지_않음 11011 이 에러 유형은 가입으로 인해 또는 운영자가 결정한 저지로 인해 요청된 서비스가 거부되었음을 나타내는 데 사용된다.
네트워크_실패 10500 이 에러 유형은 요청된 서비스가 네트워크 실패로 인해 거부되었음을 나타내는 데 사용된다.
혼잡 12005 이 에러 유형은 요청된 서비스가 네트워크 혼잡으로 인해 거부되었음을 나타내는 데 사용된다.
5GS_서비스가_허용되지_않음 12007 이 에러 유형은 5GS 서비스가 허용되기 않기 때문에 요청된 서비스가 거부되었음을 나타내는 데 사용된다.
5GC_에 대한_비_3GPP_액세스가_허용되지_않음 12071 이 에러 유형은 UE가 5GC에 대한 비-3GPP 네트워크를 사용하도록 허용되지 않기 때문에 요청된 서비스가 거부되었음을 나타내는 데 사용된다.
UE(200)는 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 에러 유형을 갖는 메시지를 수신할 수 있다. 그에 따라 UE(200)는 비-3GPP 액세스 네트워크(110)를 통해 5GCN(100)에 액세스하는 것이 거부되었음을 알림 받는다.
실시예 - 5GC 네트워크에 대한 비-3GPP 액세스에 대한 미가입으로 인한 인증 실패를 시그널링하는 원인 코드
도 11은 5GMM 원인 정보 요소(1100)의 일 실시예의 개략적인 블록도를 도시한다. 5GMM 원인 정보 요소(1100)는 5GMM 원인 정보 요소 표시자(IEI, information element indicator)(1104) 및 원인 값(1106)을 포함한다. 원인 값(1106)은 네트워크에 의해 UE(200)으로부터의 5GCN(100)에 대한 액세스를 위한 5GMM 요청이 거부된 이유를 나타낸다. 이러한 실시예에서, 새로운 원인 코드는 "5GCN에 대한 비-3GPP 액세스가 허용되지 않음"에 대응한다. 이러한 5GMM 원인은 PLMN에서 비-3GPP 액세스를 통해 서비스를 요청하는 경우 UE(200)로 전송되며, 여기서 UE(200)는 가입 또는 네트워크 제한 또는 다른 인증 실패에 의해, 비-3GPP 액세스를 통해 5GCN(100)에 액세스하도록 허용되지 않는다.
도 12는 5GMM 원인 정보 요소에 대한 값의 일 실시예의 개략적인 블록도를 도시한다. 이러한 실시예에서, 미리 결정된 값은 "5GCN에 대한 비-3GPP 액세스가 허용되지 않음"에 대응한다. UE(200)에 의해 수신되는 다른 값은 "지정되지 않은 프로토콜 에러"로 취급된다. 네트워크에 의해 수신되는 임의의 다른 값 또한 "지정되지 않은 프로토콜 에러"로 취급된다. 5GMM 원인 정보 요소의 필드 및 값은 예이고 유사한 의미를 나타내는 다른 필드/값이 구현될 수도 있다.
도 13은 N3IWF(204)의 방법(1300)의 일 실시예의 논리 흐름도를 도시한다. 단계 1302에서, N3IWF(204)는 하나 이상의 프로토콜을 사용하여 5GCN(100)에서의 노드와 제1 인터페이스를 사용하여 통신한다. 단계 1304에서, N3IWF(204)는 적어도 제2 인터페이스를 사용하여 비-3GPP 액세스 네트워크를 통해 UE, 이를 테면 IEEE 802.1x WLAN 프로토콜을 따르는 WLAN 송수신기와 통신한다.
단계 1306에서, N3IWF(204)는 신뢰되지 않은 액세스 네트워크에서의 UE(200)로부터 코어 네트워크에 대한 보안 연결 설정 등록 요청을 처리한다. 예를 들어, N3IWF(204)는 AN 파라미터 및 UE(200)로부터의 등록 요청을 포함하는 EAP-응답/5G-NAS 메시지를 수신한다. N3IWF(204)는 UE(200)의 인증 및 가입 확인을 위한 메시지를 5GCN(100)에 포워딩한다. 예를 들어, N3IWF(204)는 인증 및 가입 확인 요청을 생성하고 인증 및 가입 확인 요청을 제2 인터페이스를 통해 AMF(202)로 전송한다.
단계 1308에서, N3IWF(204)는, 예를 들어, 복구 불가능한 에러로 인해 코어 네트워크에 의해 연결 설정이 수락되지 않음을 결정한다. 예를 들어, AMF(202)는 AUSF(210)로부터 인증 실패 응답을 수신한다. AMF(202)는 등록 거부 및 5GMM 원인을 포함하는 EAP 실패의 EAP 메시지를 갖는 NAS 전송 메시지를 생성한다. 5GMM 원인은 5GCN_에 대한_비_3GPP_액세스가_허용되지_않음의 에러 유형을 나타낸다. N3IWF(204)는 AMF(202)로부터 5GCN에 대한 비-3GPP 액세스가 허용되지 않음을 나타내는 5GMM 원인 값을 포함하는 등록 거부 메시지를 캡슐화하는 응답을 수신한다.
단계 1310에서, N3IWF(204)는 UE에 대한 응답 메시지를 생성하며, 이때 응답 메시지는 코어 네트워크에 의해 신뢰되지 않은 액세스 네트워크를 통한 연결 설정이 허용되지 않음을 나타내는 원인 값을 포함한다. 예를 들어, N3IWF(204)는 5GCN(100)에 의해 연결 설정이 수락되지 않음을 나타내는 메시지 유형 또는 EAP-실패 및 5GMM 원인을 포함하는 페이로드를 갖는 인터넷 키 교환(IKE) 응답 메시지를 생성한다. UE(200)에 대한 EAP-응답/5G-NAS 메시지는 EAP-실패 필드 및 5GMM 원인을 갖는 등록 거부 메시지를 포함한다. 등록 거부 메시지에서의 5GMM 원인은 5GCN(100)에 의해 비-3GPP 액세스가 허용되지 않음을 나타낸다.
일 실시예에서, UE에 대한 IKE 응답 메시지는 비공개 알림 메시지 유형(예를 들어, 8192 ... 16383과 같은 미리 정의된 범위의 임의의 비공개 알림 메시지 유형)을 갖는 알림 페이로드를 갖는 IKE_AUTH 응답 메시지를 포함할 수 있다. 비공개 IKEv2 알림 메시지는 "5GCN_에 대한_비_3GPP_액세스가_허용되지_않음"의 5GMM 원인 및 EAP-실패의 EAP 메시지 유형과 등록 거부를 포함하는 EAP 응답/5G-NAS PDU를 포함한다.
N3IWF(204)는 중단 메시지를 포함하는 UE(200)로부터의 응답을 처리하고 이에 대한 응답으로 UE(200)에 대한 실패 메시지를 생성한다. 예를 들어, UE(200)는 5GCN(100)과의 보안 세션 설정을 위한 등록 요청의 종료를 나타내기 위해 EAP-응답/5G-중단 메시지를 N3IWF(204)에 전송한다. EAP-응답 패킷은 5G 중단의 메시지 유형 식별자를 포함한다. UE(200)로부터 EAP-응답/5G-중단 메시지의 수신 이후, N3IWF(204)는 EAP-실패 메시지를 UE(200)로 전송함으로써 EAP-5G 절차를 완료한다. 방법(1300)에서의 이러한 단계들을 N3IWF(204)가 수행하는 것으로 설명되지만, UE 및 코어 네트워크와 통신하는 다른 노드 또는 모듈도 여기에 설명된 단계들 중 하나 이상을 수행할 수 있다.
도 14는 복구 가능한 에러로 인한 인증 실패로 신뢰되지 않은 액세스 네트워크를 통한 코어 네트워크에 대한 등록 요청의 방법(1400)의 일 실시예의 논리 흐름도를 도시한다. 단계 1402에서, UE(200)는 비-3GPP 액세스 네트워크를 통해 5GCN(100)에서의 연동 기능부(예를 들어, N3IWF(204))와 통신하도록 구성된다. 1404에서, UE(200)는 비-3GPP 액세스 네트워크를 통해 5GCN(100)에 등록을 요청할 수 있다. 1406에서, UE(200)는 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않는다는 알림으로 응답 메시지를 처리한다. 1408에서, UE(200)는 거부에 대한 에러 또는 이유가 복구 가능함을 결정한다. UE(200)는 첫 번째 시도로부터 이러한 두 번째 등록 요청에서 파라미터를 정정할 수 있다. 대안적으로, UE는 나중에 동일한 파라미터로 등록을 재시도하기로 결정할 수 있다. 그 다음 1410에서, UE(200)는 비-3GPP 액세스 네트워크를 통해 5GCN(100)에 제2 등록 요청을 전송한다. 그 다음 단계 1412에서, UE(200)는 세션 설정이 성공적이라는 응답을 처리한다.
도 15는 복구 불가능한 에러로 인한 인증 실패로 신뢰되지 않은 액세스 네트워크를 통한 코어 네트워크에 대한 등록 요청의 방법(1500)의 일 실시예의 논리 흐름도를 도시한다. 단계 1502에서, UE(200)는 비-3GPP 액세스 네트워크를 통해 5GCN(100)에서의 연동 기능부(예를 들어, N3IWF(204))와 통신하도록 구성된다. 1504에서, UE(200)는 비-3GPP 액세스 네트워크를 통해 5GCN(100)에 등록을 요청할 수 있다. 1506에서, UE(200)는 5GCN(100)에 대한 비-3GPP 액세스가 허용되지 않는다는 알림으로 응답 메시지를 처리한다. 1508에서, UE(200)는 거부에 대한 에러 또는 이유가 복구 가능하지 않음을 결정한다. 1510 단계에서, UE(200)는 세션을 종료하고 중단 메시지를 갖는 응답을 생성한다. 단계 1512에서, UE(200)는 실패 메시지를 수신하고 삭제 절차를 수행하며 세션을 종료한다.
도 16은 예시적인 사용자 장비(200)의 일 실시예의 개략적인 블록도를 도시한다. 사용자 장비(UE)(200)는 비-3GPP를 통해 통신하도록 동작 가능한 스마트 폰, 스마트 태블릿, 랩톱, 스마트 워치, PC, TV 또는 다른 디바이스를 포함할 수 있다. UE(200) 내에는 추가적인 또는 대안적인 구성요소 및 기능이 포함될 수 있다. 또한, 여기에 도시된 기능 및 구성요소 중 하나 이상이 존재하지 않거나 다른 구성요소 또는 기능과 조합될 수 있다.
UE(200)는 UE(200)에 대하여 여기서 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(1600) 및 메모리 디바이스(1602)를 포함한다. 메모리 디바이스(1602)는 여기에 설명된 다양한 기능을 수행하도록 처리 디바이스(1600)를 제어하는 애플리케이션을 저장하고 작동 명령을 저장하는 관리 대상 객체(1604)를 포함할 수 있다. UE(200)는 또한 IMSI의 저장을 위한 USIM(1608)을 포함하는 UICC(1606)를 포함할 수 있다. 다른 실시예에서, UE(200)는 UICC 기능을 갖지 않는다, 예를 들어, UE(200)는 UICC(1606)를 갖지 않고, 작동 불가능한 UICC(1606)를 갖는 등이다.
UE(200)는 블루투스 송수신기(1610), WLAN(IEEE 802.11x를 따르는) 송수신기(1612), 모바일 RF(3G/4G) 송수신기(1614) 및 GPS(1616)를 더 포함할 수 있다. WLAN 송수신기(1612)는 WLAN 네트워크에 대한 비-3GPP 액세스 인터페이스로서 동작할 수 있다. UE(200)는 사용자 인터페이스(1618), AC 어댑터(1620), 배터리 모듈(1622), USB 송수신기(1624) 및 이더넷 포트(1628)를 더 포함할 수 있다.
UE(200)는 디지털 카메라(1630), 터치 스크린 제어기(1632), 스피커(1634) 및 마이크(1636)를 더 포함할 수 있다. UE(200)는 또한 전력 관리 유닛(1638)을 포함할 수 있다. 하나 이상의 내부 통신 버스(도시되지 않음)는 UE(200)의 구성요소들 중 하나 이상을 통신적으로 연결할 수 있다.
도 17은 예시적인 AMF(202)의 일 실시예의 개략적인 블록도를 도시한다. AMF(202)는 AMF(202)의 기능을 갖는 임의의 노드 또는 노드들을 포함한다. AMF(202)는 5GCN(100)에서의 다른 노드와 통합될 수 있다. AMF(202) 내에는 추가적인 또는 대안적인 구성요소 및 기능이 포함될 수 있다. 또한, 여기에 도시된 기능들 및 구성요소들 중 하나 이상이 존재하지 않거나 다른 구성요소들 또는 기능들 또는 노드와 조합될 수 있다. AMF(202)는 AMF(202)에 대하여 여기서 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(1700) 및 메모리 디바이스(1702)를 포함한다. AMF(202)는 5GCN(100)에서의 다른 네트워크 노드에 인터페이싱하기 위한 포트를 포함하는 네트워크 인터페이스(1704)를 포함할 수 있다.
도 18은 예시적인 N3IWF(204)의 일 실시예의 개략적인 블록도를 도시한다. N3IWF(204)는 무선 근거리 네트워크의 액세스 포인트, 근거리 네트워크의 게이트웨이, 또는 여기에 설명된 연동 기능을 포함하는 다른 유형의 노드일 수 있다. N3IWF(204)는 액세스 네트워크 또는 5GCN(100)에서의 다른 노드와 통합될 수 있다. N3IWF(204) 내에는 추가적인 또는 대안적인 구성요소들 및 기능들이 포함될 수 있다. 또한, 여기에 도시된 기능들 및 구성요소들 중 하나 이상이 존재하지 않거나 다른 구성요소들 또는 기능들과 조합될 수 있다.
N3IWF(204)는 여기서 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(1800) 및 메모리 디바이스(1802)를 포함한다. N3IWF(204)는 5GCN(100)에서의 다른 네트워크 노드들에 인터페이싱하기 위한 제1 네트워크 인터페이스(1804)(예를 들어, 이더넷 포트, IP 포트)를 포함할 수 있다. N3IWF(204)는 또한 WLAN 송수신기(1806)(예를 들어, IEEE 802.1x WLAN 유형 네트워크와 호환됨)와 같은 UE와 통신하기 위한 하나 이상의 다른 유형의 인터페이스를 포함할 수도 있다. N3IWF(204)는 또한 셀룰러 무선 인터페이스와 호환되는 이동식 RF 송수신기(1808)를 포함할 수 있다. UE(200)는 WLAN 송수신기(1806) 또는 이동식 RF 송수신기(1808) 중 하나 이상을 사용하여 N3IWF(204)와 통신할 수 있다.
일 실시예에서, 처리 디바이스는 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 UE(200)로부터 IPsec 보안 연관(SA) 요청을 수신하고 신뢰되지 않은 비-3GPP 액세스에서의 UE(200)의 인증 프로토콜, 이를 테면 IKE 프로토콜을 수행하도록 구성된다. 그 다음, N3IWF(204)는 코어 네트워크에 의해 IPsec SA 요청이 수락되지 않음을 나타내는 인증 응답을 획득할 수 있다 그 다음, N3IWF(204)는 UE(200)에 대한 인증 응답을 생성할 수 있으며, 여기서 인증 응답은 신뢰되지 않은 액세스 네트워크를 통한 UE(200)에 의한 코어 네트워크로의 액세스가 거부됨을 나타낸다.
여기에 설명된 처리 디바이스는 마이크로 프로세서, 마이크로 제어기, 디지털 신호 프로세서, 마이크로 컴퓨터, 중앙 처리 유닛, 필드 프로그래밍 가능 게이트 어레이, 프로그래밍 가능 논리 디바이스, 상태 기계, 논리 회로, 아날로그 회로, 디지털 회로 및/또는 회로 및/또는 작동 명령의 하드 코딩에 기초하여 신호(아날로그 및/또는 디지털)를 조작하는 임의의 디바이스와 같은 적어도 하나의 처리 디바이스를 포함한다. 메모리 디바이스는 비일시적 메모리 디바이스이고 내부 메모리 또는 외부 메모리일 수 있으며, 메모리는 단일 메모리 디바이스 또는 복수의 메모리 디바이스일 수 있다. 메모리 디바이스는 판독 전용 메모리, 랜덤 액세스 메모리, 휘발성 메모리, 비휘발성 메모리, 정적 메모리, 동적 메모리, 플래시 메모리, 캐시 메모리 및/또는 디지털 정보를 저장하는 임의의 비일시적 메모리 디바이스일 수 있다. 용어 "모듈"은 여기서의 요소들의 실시예들 중 하나 이상에 대한 설명에서 사용된다. 모듈은 여기서 설명될 수 있는 하나 이상의 기능을 수행하도록 작동 가능한 하나 이상의 처리 디바이스 및/또는 하나 이상의 비-일시적 메모리 디바이스를 포함한다. 모듈은 독립적으로 그리고/또는 다른 모듈들과 함께 작동할 수 있고 다른 모듈의 처리 디바이스 및/또는 메모리 및/또는 다른 모듈의 작동 명령들을 이용할 수 있다. 또한 여기서 사용될 때, 모듈은 각각이 하나 이상의 모듈일 수 있는 하나 이상의 서브 모듈을 포함할 수 있다.
여기서 사용될 수 있는 바와 같이, 용어 "~하도록 동작 가능한" 또는 "~하도록 구성 가능한"은 요소가 설명된 또는 필요한 대응하는 기능들 중 하나 이상을 수행하는 회로, 명령, 모듈, 데이터, 입력(들), 출력(들) 등 중 하나 이상을 포함하고 설명된 또는 필요한 대응하는 기능들을 수행하기 위해 하나 이상의 다른 항목에 대한 추론된 연결을 더 포함할 수 있음을 나타낸다. 또한 여기서 사용될 수 있는 바와 같이, 용어(들) "결합된", "~에 결합된", "~에 연결된" 그리고/또는 "연결하는" 또는 "상호 연결하는"은 노드들/디바이스들 간의 직접 연결 또는 링크 및/또는 개재 항목(예를 들어, 항목은 구성요소, 요소, 회로, 모듈, 노드, 디바이스, 네트워크 요소 등을 포함하지만 이에 제한되지는 않는다)을 통한 노드들/디바이스들 간의 간접 연결을 포함한다. 또한 여기서 사용될 수 있는 바와 같이, 추론된 연결들(즉, 하나의 요소가 추론에 의해 다른 요소에 연결되는 경우)은 "~에 연결된"과 동일한 방식으로 두 항목 간의 직접 및 간접 연결을 포함한다.
본 개시내용의 양태들은 개략적, 흐름도, 흐름도, 구조도, 또는 블록도로서 도시된 프로세스로서 여기서 설명될 수 있음에 유의한다. 순서도는 동작들을 순차적인 프로세스로서 설명할 수 있지만, 많은 동작은 병렬로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서는 재배열될 수 있다. 그것의 동작들이 완료될 때 프로세스가 종료된다. 프로세스는 방법, 기능, 절차, 서브 루틴, 서브 프로그램 등에 대응할 수 있다. 프로세스가 기능에 대응할 때, 그것의 종료는 발호 기능 또는 메인 기능으로의 기능의 반환에 대응한다.
여기에 설명된 본 개시내용의 다양한 특징은 개시 내용을 벗어나지 않고 상이한 시스템들 및 디바이스들에서 구현될 수 있다. 본 개시내용의 전술한 양태들은 단지 예들일 뿐이고 본 개시를 제한하는 것으로 해석되어서는 안 된다는 점에 유의해야 한다. 본 개시내용의 양태들에 대한 설명은 예시적인 것이고, 청구범위의 범위를 제한하려는 것이 아니다. 그에 따라, 본 교시는 다른 유형둘의 장치들에 쉽게 적용될 수 있고 해당 기술분야의 통상의 기술자들에게 많은 대안, 수정 및 변경이 명백 할 것이다.
전술한 명세서에서, 본 발명의 특정한 대표적인 양태들이 구체적인 예들을 참조하여 설명되었다. 그러나, 청구범위에 제시된 본 발명의 범위를 벗어나지 않고, 다양한 수정 및 변경이 이루어질 수 있다. 본 명세서 및 도면들은 제한적인 것이 아니라 예시적인 것이고, 수정은 본 발명의 범위 내에 포함되도록 의도된다. 따라서, 본 발명의 범위는 단지 설명된 예들에 의해서가 아니라 청구범위 및 그 법적 균등물들에 의해 결정되어야 한다. 예를 들어, 임의의 장치 청구항들에 나열된 구성요소들 및/또는 요소들은 조립되거나 그 외 다양한 순열로 작동 가능하게 구성될 수 있고 그에 따라 청구범위에 나열된 구체적인 구성에 제한되지 않는다.
또한, 특정 실시예들과 관련하여 특정 혜택들, 다른 이점들 및 문제들에 대한 해결책들이 위에서 설명되었으나; 임의의 혜택, 이점, 문제에 대한 해결책 또는 특정 혜택, 이점 또는 해결책을 발생시키거나 더 두드러지게 만들 수 있는 임의의 요소가 임의의 또는 모든 청구항의 중요, 필수 또는 기본 특징들 또는 구성요소들로 해석되어서는 안 된다.
여기서 사용될 때, 용어들 "포함하다", "포함한다", "포함하는", "갖는", "포함한", "포함한다" 또는 이들의 임의의 변형은 비배타적 포함을 나타내도록 의도되며, 그에 따라 요소들의 목록을 포함하는 프로세스, 방법, 물품, 구성 또는 장치는 나열된 요소들만 포함하는 것이 아니라, 명시적으로 나열되지 않거나 그러한 프로세스, 방법, 물품, 구성 또는 장치에 고유하지 않은 다른 요소들도 포함할 수 있다. 본 발명의 실시에 사용되는 상술한 구조, 배열, 적용, 비율, 요소, 재료 또는 구성요소의 다른 조합 및/또는 수정은 구체적으로 나열되지 않은 것들에 더하여, 일반적인 원리들에서 벗어나지 않고 특정 환경, 제조 사양, 설계 파라미터 또는 다른 작동 요건으로 변경되거나 그 외 특히 적응될 수 있다.
더욱이, 단수 요소에 대한 언급은 특별히 언급되지 않는 한 "하나만"을 의미하는 것이 아니라 "하나 이상"을 의미하는 것으로 의도된다. 그 외 특별히 언급되지 않는 한, 용어 "일부"는 하나 이상을 나타낸다. 해당 기술분야의 통상의 기술자들에게 알려 지거나 나중에 알려지게 되는 본 개시 내용 전체에 걸쳐 설명된 다양한 양태의 요소들에 대한 모든 구조적 및 기능적 균등물은 여기에 참고로 명시적으로 통합되고 청구범위에 의해 포함되도록 의도된다. 더욱이, 여기에 개시된 어떤 것도 그러한 개시가 청구범위에 명시적으로 언급되는지 여부에 관계 없이 공중에 기여하는 것으로 의도되지 않는다. 어떤 청구항 요소도 요소가 "~를 위한 수단"이라는 구를 사용하여 명시적으로 나열되지 않는 한, 또는 방법 청구항의 경우, 요소가 "~를 위한 단계"라는 구를 사용하여 나열되지 않는 한, 35 U.S.C. §112(f)의 조항들에 따라 "기능식 청구항(means-plus-function)"으로 해석되도록 의도되지 않는다.

Claims (26)

  1. 신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통한 5GCN(fifth-generation core network)에 대한 네트워크 연결을 관리하기 위한 연동 기능 노드(interworking function node)(N3IWF)로서,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 사용자 장비(UE)와 통신하도록 구성된 제1 네트워크 인터페이스와,
    상기 5GCN 내에서 액세스 및 이동성 관리 기능부(access and mobility management function: AMF)와 통신하도록 구성된 제2 네트워크 인터페이스와,
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 UE로부터 수신된 상기 5GCN에 대한 보안 연결을 설정하기 위한 요청을 처리하고, 상기 5GCN의 상기 AMF에 대한 요청을 생성하고,
    상기 제2 네트워크 인터페이스를 통해 상기 5GCN 내의 상기 AMF에 인증 및 보안 연결 설정 요청을 제공하고,
    상기 인증 및 보안 연결 설정 요청에 대한 응답인 상기 5GCN 내의 상기 AMF로부터의 응답에 기초하여, 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 보안 연결의 설정이 상기 5GCN에 의해 허용되지 않는다고 판정하고,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 액세스를 허용하지 않음을 나타내는 5GMM(5G mobility management) 원인 값을 포함하는 응답 메시지를 상기 UE에 제공하고,
    상기 응답 메시지에 응답하여 상기 UE로부터, 상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결을 설정하기 위한 상기 요청을 종료하는 중단 메시지를 수신하도록 구성되는,
    연동 기능 노드(N3IWF).
  2. 제1항에 있어서,
    상기 처리 디바이스는,
    상기 UE로부터 상기 제1 네트워크 인터페이스를 통해, 상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결을 설정하기 위한 상기 요청을 수신하고,
    상기 5GCN의 상기 AMF로부터 상기 제2 네트워크 인터페이스를 통해 인증 및 가입 확인을 위한 요청에 대한 응답을 수신하고,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 보안 연결 설정을 허용하지 않음을 나타내는 상기 5GMM 원인 값을 포함하는 NAS(non-access stratum) 페이로드를 갖는 상기 UE에 대한 IKE(Internet Key Exchange) 응답 메시지를 생성하도록 구성되는,
    연동 기능 노드(N3IWF).
  3. 제2항에 있어서,
    상기 처리 디바이스는 또한,
    상기 5GCN의 상기 AMF로부터, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결 액세스를 허용하지 않는다는 표시를 포함하는 등록 거부 메시지를 캡슐화하는 응답을 수신하고,
    상기 5GCN이 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않음을 나타내는 메시지 유형을 포함하는 페이로드를 갖는 상기 IKE 응답 메시지를 생성하도록 구성되는,
    연동 기능 노드(N3IWF).
  4. 제2항에 있어서,
    상기 처리 디바이스는 또한,
    실패 이유를 나타내는 비공개 알림 메시지 유형(private notify message type)을 포함하는 알림 페이로드를 갖는 상기 IKE 응답 메시지를 생성함으로써, 또는
    신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 연결 설정 및 연결이 상기 5GCN에 의해 허용되지 않음을 나타내는 상기 비공개 알림 메시지 유형을 포함하는 상기 알림 페이로드를 갖는 상기 IKE 응답 메시지를 생성함으로써,
    상기 IKE 응답 메시지를 생성하도록 구성되는,
    연동 기능 노드(N3IWF).
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 처리 디바이스는 또한,
    상기 UE로부터의 상기 중단 메시지의 수신에 응답하여 상기 UE에 대한 실패 메시지를 생성하고,
    상기 UE로부터 수신된 상기 중단 메시지를 처리하도록 구성되고,
    상기 중단 메시지는 메시지 식별자 필드를 갖는 5G-중단 메시지 포맷을 포함하고, 상기 메시지 식별자 필드는 5G-중단 식별자를 포함하는,
    연동 기능 노드(N3IWF).
  6. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 UE로부터 수신된 상기 보안 연결 설정을 위한 상기 요청은 상기 5GCN과의 IPsec 보안 연관(Security Association: SA)을 개시하기 위한 IKE 요청 메시지를 포함하는,
    연동 기능 노드(N3IWF).
  7. 5GCN(fifth-generation core network)의 연동 기능 노드(N3IWF)로부터의 네트워크 연결 요청을 핸들링하기 위한 액세스 및 이동성 관리 기능부(Access and Mobility Management Function: AMF)로서,
    상기 5GCN 내에서 상기 N3IWF 및 인증 및 가입 기능부(authentication and subscription function: AUSF)와 통신하도록 구성된 네트워크 인터페이스와,
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    상기 N3IWF로부터 상기 네트워크 인터페이스를 통해 인증 및 보안 연결 설정 요청을 수신하고 ― 상기 인증 및 보안 연결 설정 요청은 사용자 장비(UE)로부터 신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통해 상기 N3IWF에 의해 수신된 상기 5GCN과의 보안 연결을 설정하기 위한 등록 요청과 연관됨 ―,
    상기 인증 및 보안 연결 설정 요청의 수신에 응답하여, 상기 5GCN의 상기 AUSF를 향해 인증 및 가입 확인을 위한 요청을 제공하고,
    상기 AUSF에 의한 상기 인증 및 가입 확인이 실패했다는 판정에 응답하여, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 액세스를 허용하지 않는다는 표시를 응답 메시지에 캡슐화함으로써, 상기 N3IWF로부터 수신된 상기 인증 및 보안 연결 설정 요청에 응답하는 상기 응답 메시지를 생성하고,
    상기 응답 메시지를 상기 N3IWF에 제공하도록 구성되는,
    액세스 및 이동성 관리 기능부(AMF).
  8. 제7항에 있어서,
    상기 처리 디바이스는 또한, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않는다는 상기 표시를 포함하는 등록 거부 메시지를 상기 응답 메시지에 캡슐화하도록 구성되는,
    액세스 및 이동성 관리 기능부(AMF).
  9. 제8항에 있어서,
    상기 처리 디바이스는, 상기 응답 메시지 내에 확장 가능 인증 프로토콜(Extensible Authentication Protocol: EAP) 실패 표시를 생성하도록 구성되는,
    액세스 및 이동성 관리 기능부(AMF).
  10. 사용자 장비(UE)로서,
    신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통해 5GCN(fifth-generation core network)의 연동 기능 노드(N3IWF)와 통신하도록 구성된 네트워크 인터페이스와,
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    상기 5GCN과의 보안 연결 설정을 위한 등록 요청을 생성하고,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 5GCN의 상기 N3IWF에, 상기 5GCN과의 보안 연결 설정을 위한 상기 등록 요청을 포함하는 메시지를 전송하고,
    상기 등록 요청에 응답하여 상기 5GCN의 상기 N3IWF로부터, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않음을 나타내는 5GMM(5G mobility management) 원인 값을 포함하는 응답 메시지를 수신하고,
    상기 응답 메시지로부터, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않는다고 판정하고,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않는 경우에, 5G 중단 식별자를 포함하는 메시지 식별자 필드를 포함하는 중단 메시지를 생성하고,
    상기 중단 메시지의 상기 메시지 식별자 필드 내의 상기 5G 중단 식별자를 5G-중단으로 설정하고,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 위한 상기 등록 요청을 종료하기 위해 상기 중단 메시지를 상기 5GCN의 상기 N3IWF를 향해 전송하도록 구성되는,
    사용자 장비(UE).
  11. 제10항에 있어서,
    상기 처리 디바이스는 또한,
    상기 5GCN에 대한 보안 연결 설정을 위한 상기 등록 요청의 종료를 나타내는 상기 중단 메시지를 생성하고,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 5GCN의 상기 N3IWF에 상기 중단 메시지를 전송하도록 구성되는,
    사용자 장비(UE).
  12. 제11항에 있어서,
    상기 처리 디바이스는 또한, 5G-중단으로 설정된 메시지 식별자 필드를 포함하는 확장 가능 인증 프로토콜(EAP)-응답 포맷 메시지로서 상기 중단 메시지를 생성하도록 구성되는,
    사용자 장비(UE).
  13. 제12항에 있어서,
    상기 처리 디바이스는 또한,
    상기 N3IWF로부터의 EAP 실패 메시지를 처리하고,
    보안 연관(security association: SA) 삭제 절차를 수행하도록 구성되는,
    사용자 장비(UE).
  14. 신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통한 5GCN(fifth-generation core network)에 대한 네트워크 연결을 관리하기 위한 방법으로서,
    연동 기능 노드(N3IWF)를 통해, 상기 5GCN에 대한 보안 연결을 설정하기 위한 사용자 장비(UE)로부터의 요청을 처리하는 단계 ― 상기 요청은 상기 5GCN 내에서 상기 N3IWF와 애플리케이션 및 이동성 관리 기능부(AMF) 사이의 네트워크 인터페이스를 통해 수신됨 ― 와,
    상기 네트워크 인터페이스를 통해 상기 5GCN 내의 상기 AMF에 인증 및 보안 연결 설정 요청을 제공하는 단계와,
    상기 인증 및 보안 연결 설정 요청에 대한 응답인 상기 5GCN 내의 상기 AMF로부터 수신된 응답에 기초하여, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 보안 연결 설정을 허용하지 않는다고 판정하는 단계와,
    상기 5GCN이 임의의 신뢰되지 않은 3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않는다는 표시를 포함하는 응답 메시지를 상기 UE에 제공하는 단계와,
    상기 응답 메시지에 응답하여 상기 UE로부터, 상기 5GCN에 대한 보안 연결을 설정하기 위한 상기 요청을 종료하는 중단 메시지를 수신하는 단계를 포함하는,
    방법.
  15. 제14항에 있어서,
    상기 UE로부터 제1 네트워크 인터페이스를 통해, 상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결을 설정하기 위한 상기 요청을 수신하는 단계와,
    상기 5GCN의 상기 AMF로부터 제2 네트워크 인터페이스를 통해, 인증 및 가입 확인을 위한 요청에 대한 응답을 수신하는 단계와,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 보안 연결 설정을 허용하지 않음을 나타내는 5GMM 원인 값을 포함하는 NAS(non-access stratum) 페이로드를 갖는 상기 UE에 대한 IKE(Internet Key Exchange) 응답 메시지를 생성하는 단계를 더 포함하는,
    방법.
  16. 제15항에 있어서,
    상기 5GCN의 상기 AMF로부터, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결 액세스를 허용하지 않는다는 표시를 포함하는 등록 거부 메시지를 캡슐화하는 응답을 수신하는 단계와,
    상기 5GCN이 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않음을 나타내는 메시지 유형을 포함하는 페이로드를 갖는 상기 IKE 응답 메시지를 생성하는 단계를 더 포함하는,
    방법.
  17. 제15항에 있어서,
    상기 IKE 응답 메시지를 생성하는 단계는,
    실패 이유를 나타내는 비공개 알림 메시지 유형을 포함하는 알림 페이로드를 갖는 상기 IKE 응답 메시지를 생성하는 단계, 또는
    신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 연결 설정 및 연결이 상기 5GCN에 의해 허용되지 않음을 나타내는 상기 비공개 알림 메시지 유형을 포함하는 상기 알림 페이로드를 갖는 상기 IKE 응답 메시지를 생성하는 단계를 더 포함하는,
    방법.
  18. 제14항 내지 제17항 중 어느 한 항에 있어서,
    상기 UE로부터의 상기 중단 메시지의 수신에 응답하여 상기 UE에 대한 실패 메시지를 생성하는 단계와,
    상기 UE로부터 수신된 상기 중단 메시지를 처리하는 단계를 더 포함하되,
    상기 중단 메시지는 메시지 식별자 필드를 갖는 5G-중단 메시지 포맷을 포함하고, 상기 메시지 식별자 필드는 5G-중단 식별자를 포함하는,
    방법.
  19. 제14항 내지 제17항 중 어느 한 항에 있어서,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 UE로부터 수신된 상기 보안 연결 설정을 위한 상기 요청은 상기 5GCN과의 IPsec 보안 연관(SA)을 개시하기 위한 IKE 요청 메시지를 포함하는,
    방법.
  20. 신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통한 5GCN(fifth-generation core network)에 대한 네트워크 연결을 관리하기 위한 방법으로서,
    상기 5GCN의 연동 기능 노드(N3IWF)로부터 네트워크 인터페이스를 통해 상기 5GCN의 애플리케이션 및 이동성 관리 기능부(AMF)에서, 인증 및 보안 연결 설정 요청을 수신하는 단계 ― 상기 인증 및 보안 연결 설정 요청은 사용자 장비(UE)로부터 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 N3IWF에 의해 수신된 상기 5GCN과의 보안 연결을 설정하기 위한 등록 요청과 연관됨 ― 와,
    상기 인증 및 보안 연결 설정 요청의 수신에 응답하여, 상기 5GCN의 인증 및 가입 기능부(AUSF)를 향해 인증 및 가입 확인을 위한 요청을 제공하는 단계와,
    상기 AUSF에 의한 상기 인증 및 가입 확인이 실패했다는 판정에 응답하여, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 액세스를 허용하지 않는다는 표시를 응답 메시지에 캡슐화함으로써, 상기 N3IWF로부터 수신된 상기 인증 및 보안 연결 설정 요청에 응답하는 상기 응답 메시지를 생성하는 단계와,
    상기 응답 메시지를 상기 N3IWF에 제공하는 단계를 포함하는,
    방법.
  21. 제20항에 있어서,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 허용하지 않는다는 상기 표시를 포함하는 등록 거부 메시지를 상기 응답 메시지에 캡슐화하는 단계를 더 포함하는,
    방법.
  22. 제21항에 있어서,
    상기 응답 메시지 내에 확장 가능 인증 프로토콜(Extensible Authentication Protocol: EAP) 실패 표시를 생성하는 단계를 더 포함하는,
    방법.
  23. 신뢰되지 않은 비-3GPP(non-third-generation partnership project) 액세스 네트워크를 통한 5GCN(fifth-generation core network)에 대한 네트워크 연결을 관리하기 위한 방법으로서,
    사용자 장비(UE)에서, 5GCN에 대한 보안 연결 설정을 위한 등록 요청을 생성하는 단계와,
    상기 UE로부터, 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 5GCN의 연동 기능 노드(N3IWF)에 상기 등록 요청을 전송하는 단계와,
    상기 등록 요청에 응답하여 상기 5GCN의 상기 N3IWF로부터 상기 UE에서, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 액세스를 허용하지 않음을 나타내는 5GMM(5G mobility management) 원인 값을 포함하는 응답 메시지를 수신하는 단계와,
    상기 응답 메시지로부터, 상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결 설정을 허용하지 않는다고 판정하는 단계와,
    상기 5GCN이 임의의 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN에 대한 보안 연결 설정을 허용하지 않는다고 판정한 후에, 5G 중단 식별자를 포함하는 메시지 식별자 필드를 포함하는 중단 메시지를 생성하는 단계와,
    상기 중단 메시지의 상기 메시지 식별자 필드 내의 상기 5G 중단 식별자를 5G-중단으로 설정하는 단계와,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통한 상기 5GCN과의 보안 연결 설정을 위한 상기 등록 요청을 종료하기 위해 상기 중단 메시지를 상기 UE로부터 상기 5GCN의 상기 N3IWF를 향해 전송하는 단계를 포함하는,
    방법.
  24. 제23항에 있어서,
    상기 5GCN에 대한 보안 연결 설정을 위한 상기 등록 요청의 종료를 나타내는 상기 중단 메시지를 생성하는 단계와,
    상기 신뢰되지 않은 비-3GPP 액세스 네트워크를 통해 상기 5GCN의 상기 N3IWF에 상기 중단 메시지를 전송하는 단계를 더 포함하는,
    방법.
  25. 제24항에 있어서,
    5G-중단으로 설정된 메시지 식별자 필드를 포함하는 확장 가능 인증 프로토콜(EAP)-응답 포맷 메시지로서 상기 중단 메시지를 생성하는 단계를 더 포함하는,
    방법.
  26. 제25항에 있어서,
    상기 N3IWF로부터의 EAP 실패 메시지를 처리하는 단계와,
    보안 연관(SA) 삭제 절차를 수행하는 단계를 더 포함하는,
    방법.
KR1020237018955A 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링 KR102666042B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201862692722P 2018-06-30 2018-06-30
US62/692,722 2018-06-30
PCT/US2019/039992 WO2020006515A1 (en) 2018-06-30 2019-06-28 Handling failure of non-3gpp access to 5gcn not being allowed
KR1020227028320A KR102542210B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020227028320A Division KR102542210B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링

Publications (2)

Publication Number Publication Date
KR20230086812A KR20230086812A (ko) 2023-06-15
KR102666042B1 true KR102666042B1 (ko) 2024-05-13

Family

ID=67470646

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020217002859A KR102435266B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
KR1020227028320A KR102542210B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
KR1020237018955A KR102666042B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020217002859A KR102435266B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
KR1020227028320A KR102542210B1 (ko) 2018-06-30 2019-06-28 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링

Country Status (15)

Country Link
US (1) US20210136582A1 (ko)
EP (1) EP3811588A1 (ko)
JP (2) JP7317056B2 (ko)
KR (3) KR102435266B1 (ko)
CN (2) CN116647394A (ko)
AU (2) AU2019293046B2 (ko)
BR (1) BR112020026940A2 (ko)
CA (1) CA3104374A1 (ko)
CL (1) CL2020003401A1 (ko)
CO (1) CO2021000912A2 (ko)
MX (1) MX2021000159A (ko)
PH (1) PH12020552227A1 (ko)
SG (1) SG11202012478QA (ko)
WO (1) WO2020006515A1 (ko)
ZA (1) ZA202100508B (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3858083B1 (en) * 2018-09-27 2023-11-01 Lenovo (Singapore) Pte. Ltd. Accessing a 5g network via a non-3gpp access network
CN113141676B (zh) * 2020-01-19 2022-10-11 大唐移动通信设备有限公司 非3gpp接入的终端进入连接状态的方法及通信设备
US20230080836A1 (en) * 2020-02-21 2023-03-16 Telefonaktiebolaget Lm Ericsson (Publ) Determination of trust relationship of non-3gpp access networks in 5gc
EP4111722A4 (en) * 2020-03-30 2023-08-23 Samsung Electronics Co., Ltd. METHOD AND APPARATUS FOR PROVIDING AN AKMA SERVICE IN A WIRELESS COMMUNICATION SYSTEM
US11785658B2 (en) * 2021-06-24 2023-10-10 Mediatek Inc. Method and apparatus for performing internet reachability management with aid of indicator
US11729849B1 (en) * 2021-07-20 2023-08-15 T-Mobile Usa, Inc. UE retry during network overload
CN116980897A (zh) * 2022-04-22 2023-10-31 华为技术有限公司 通信方法和装置
CN115175264A (zh) * 2022-07-21 2022-10-11 亚信科技(中国)有限公司 接入核心网的方法、装置及处理器可读存储介质
CN115868125A (zh) * 2022-09-07 2023-03-28 北京小米移动软件有限公司 通信方法、装置、系统、电子设备及介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8332912B2 (en) * 2007-01-04 2012-12-11 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for determining an authentication procedure
ES2447546T3 (es) * 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
WO2011129107A1 (ja) * 2010-04-16 2011-10-20 パナソニック株式会社 経路切替システム、経路切替方法、及び移動端末
CN111064756B (zh) * 2015-08-07 2022-01-18 华为技术有限公司 终端接入3gpp网络的处理方法及装置
MY201177A (en) * 2015-09-22 2024-02-08 Huawei Tech Co Ltd Access method, device and system for user equipment (ue)
EP3151599A1 (en) 2015-09-30 2017-04-05 Apple Inc. Authentication failure handling for cellular network access through wlan
US9877198B1 (en) * 2016-09-08 2018-01-23 Alcatel-Lucent Usa Inc. Network access backoff mechanism
WO2018097601A1 (ko) * 2016-11-27 2018-05-31 엘지전자(주) 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치
US10327278B2 (en) * 2017-03-24 2019-06-18 Qualcomm Incorporated Mechanisms for establishing user plane connectivity for non-3GPP access
WO2019201241A1 (en) * 2018-04-17 2019-10-24 Mediatek Singapore Pte. Ltd. Apparatuses and methods for handling access type restriction information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TS 23.502 v0.2.0, Procedures for the 5G System, Stage2, (Release 15), 2017.02

Also Published As

Publication number Publication date
KR102435266B1 (ko) 2022-08-22
MX2021000159A (es) 2021-05-27
CN116647394A (zh) 2023-08-25
KR20210024152A (ko) 2021-03-04
ZA202100508B (en) 2022-07-27
US20210136582A1 (en) 2021-05-06
KR102542210B1 (ko) 2023-06-14
JP7317056B2 (ja) 2023-07-28
AU2019293046A1 (en) 2021-01-21
WO2020006515A1 (en) 2020-01-02
KR20220119762A (ko) 2022-08-30
BR112020026940A2 (pt) 2021-03-30
CL2020003401A1 (es) 2021-07-02
JP2021530896A (ja) 2021-11-11
SG11202012478QA (en) 2021-01-28
JP2023156302A (ja) 2023-10-24
PH12020552227A1 (en) 2021-06-28
AU2022204645A1 (en) 2022-07-21
KR20230086812A (ko) 2023-06-15
CN112602298B (zh) 2023-06-30
EP3811588A1 (en) 2021-04-28
AU2019293046B2 (en) 2022-03-31
CN112602298A (zh) 2021-04-02
CA3104374A1 (en) 2020-01-02
CO2021000912A2 (es) 2021-04-19

Similar Documents

Publication Publication Date Title
KR102666042B1 (ko) 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
KR102428262B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
CN110249648B (zh) 由未经认证的用户设备执行的用于会话建立的系统和方法
EP3678349A1 (en) Configuration of liveness check using internet key exchange messages
RU2774977C1 (ru) Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp
GB2417856A (en) Wireless LAN Cellular Gateways

Legal Events

Date Code Title Description
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant