KR20170102864A - 사용자 단말과 진화된 패킷 코어 간의 상호 인증 - Google Patents

사용자 단말과 진화된 패킷 코어 간의 상호 인증 Download PDF

Info

Publication number
KR20170102864A
KR20170102864A KR1020177013669A KR20177013669A KR20170102864A KR 20170102864 A KR20170102864 A KR 20170102864A KR 1020177013669 A KR1020177013669 A KR 1020177013669A KR 20177013669 A KR20177013669 A KR 20177013669A KR 20170102864 A KR20170102864 A KR 20170102864A
Authority
KR
South Korea
Prior art keywords
iops
enodeb
local epc
access class
epc
Prior art date
Application number
KR1020177013669A
Other languages
English (en)
Other versions
KR102315881B1 (ko
Inventor
라자벨사미 라자두라이
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20170102864A publication Critical patent/KR20170102864A/ko
Application granted granted Critical
Publication of KR102315881B1 publication Critical patent/KR102315881B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/082Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/50Connection management for emergency connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/20Transfer of user or subscriber data
    • H04W8/205Transfer to or from user equipment or user record carrier

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Public Health (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

IOPS(isolated E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) operation for public safety) 인에이블된(enabled) UE(user equipment)의 동작 방법은, IOPS-가능(capable) eNB(evolved node B)로부터, IOPS PLMN(public land mobile network) 아이덴티티(identity)를 포함하는 SIB(system information block) 메시지를 수신하는 과정과, 상기 IOPS PLMN 아이덴티티에 기반하여 전용(dedicated) IOPS USIM(universal subscriber identity module) 어플리케이션을 활성화하는 과정과, 전용 IOPS USIM 어플리케이션에 기반하여 IOPS-가능 eNB를 인증하는 과정을 포함한다.

Description

사용자 단말과 진화된 패킷 코어 간의 상호 인증{MUTUAL AUTHENTICATION BETWEEN USER EQUIPMENT AND AN EVOLVED PACKET CORE}
본 개시는 일반적으로 무선 통신 시스템에 관한 것이며, 보다 구체적으로는 UE(user equipment)과 진화된 패킷 코어(evolved packet core, EPC) 간의 상호 인증 장치 및 방법에 관한 것이다.
3세대 파트너십 프로젝트(3rd generation partnership project, 3GPP)는, 공공 안전 사용자들이 미션 크리티컬 상황(mission critical situations)에서 통신할 수 있는 지속적인 능력을 확보하는 것을 목표로 하는 공공 안전용 단독 E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) 동작(isolated E-UTRAN operation for public safety, IOPS) 운영에 착수했다. IOPS는 eNodeB(evolved node B)와 코어 네트워크 간의 연결(예를 들면, 백홀 링크)의 존재 여부와 관계없이 복구 가능한 미션 크리티컬 네트워크 운영들을 지원한다. 공공 안전 사용에 대한 보안 관점으로부터의 주된 요구 사항은 단독 E-UTRAN에 대한 공공 안전 UE들의 액세스 및 단독 E-UTRAN 동작 모드에 있는 UE들에 대한 보안 운영이다.
또한, eNodeB는 코어 네트워크와의 연결이 끊겼을 경우에, UE들에 대한 인증을 제공하기 어렵다. eNodeB가 코어 네트워크와 통신하지 않는 경우(예를 들면, 연결이 끊어진 경우), eNodeB가 UE로부터 수신한 액세스 요청을 코어 네트워크에 송신하여 액세스 제어 및 보안 통신을 위한 보안 컨텍스트를 획득하기 위해 HSS(home subscriber server)(인증 센터(authentication center, AuC))가 이용될 수가 없다(또는 도달될 수 없다). 코어 네트워크에 대한 백홀 링크가 이용될 수 없는 경우, 공공 안전 eNodeB(들)(로컬 진화된 패킷 코어(evolved packet core, EPC))는 독자적으로 운영되거나 또는 근처의 다른 eNodeB(들)와 협력하여 일 영역 내에 있는 공공 안전 UE들 근처에서 로컬 라우팅 통신을 제공할 수 있다. 또한, 단독 E-UTRAN 동작 모드는 하나 이상의 독립형 NeNB(nomadic eNodeB)를 배치함으로써 백홀 링크가 없는 서빙 무선 액세스 네트워크(radio access network, RAN)를 생성하는 능력을 제공한다. 단독 E-UTRAN 동작 모드는 보안의 관점에서 잠재적으로 다음과 같은 2개의 동작 모드를 갖는다:
EPC에 대한 백홀 연결 시그널링이 활성화되며, 따라서, AuC 또는 HSS와의 통신이 가능하게 되는 동작 모드(모드 1); 및
EPC에 백홀 연결이 없으며, 따라서 AuC 또는 HSS와의 통신이 불가능하게 되는 동작 모드(모드 2).
모드-1의 경우, 일반적인 3GPP 보안 운영이 가능하다. 또한, 모드 2의 경우, 단독 E-UTRAN은 사용자 데이터 및 네트워크 시그널링 보안 모두가 모드-1에 의해 제공되는 것과 동등한 수준을 보장해야 한다. UE와 NeNB 간에 발생하는 통신 및 서로 다른 NeNB들 간에서의 통신을 위해서는 보안 특성들의 제공이 요구된다. 인증 및 권한 부여를 위해 eNodeB에서 잠재적 가입자들에 대한 완전한 가입자 데이터베이스를 포함하는 종래의 시스템 및 방법은 실행 가능한 해결책이 아니다. 또한, 손상된(compromised) 상태에서 eNodeB에 의해 노출되는 가입 크리덴셜(credential)들의 높은 보안 위험이 있다. 보안 인증 이외에, 허가받지 않은 재난 정보의 배포 및 공공 안전 UE들 간의 통신 도청을 방지하기 위한 보안 운영(예를 들면, 무결성 보호, 재생 보호, 기밀 보호)이 요구된다.
따라서, eNodeB가 코어 네트워크에 연결되어 있지 않을 경우의 전술한 보안 문제점들을 해결하기 위한 간단하고 강건한 메커니즘이 필요하다.
본 개시의 일 견지는 공공 안전용 단독 E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) 동작(isolated E-UTRAN operation for public safety, IOPS)를 위한 진화된 패킷 코어(evolved packet core, EPC)를 인증하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 UE(user equipment)와 로컬 EPC 간의 인증을 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 로컬 EPC에 의해 브로드캐스트되는 IOPS PLMN(public land mobile network) ID(identity)를 수신하기 위한 장치 및 방법을 제공하며, 여기서 IOPS PLMN ID는 로컬 EPC가 IOPS 모드에 있음을 나타낸다.
본 개시의 다른 견지는 로컬 EPC로부터 수신된 IOPS PLMN ID에 기반하여, UE에서 IOPS 모드를 지원하는 USIM(universal subscriber identity module)을 활성화하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 IOPS PLMN ID을 수신한 것에 응답하여 로컬 EPC를 인증하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 제1 요청 메시지를 로컬 EPC에 송신하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 제1 요청 메시지에 응답하여 로컬 EPC로부터 토큰을 포함하는 제2 요청 메시지를 수신하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 IOPS PLMN ID를 브로드캐스트하기 위한 장치 및 방법을 제공하며, 여기서 IOPS PLMN ID는 로컬 EPC가 IOPS 모드에 있음을 나타낸다.
본 개시의 다른 견지는 UE로부터 제1 요청 메시지를 수신하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 제1 요청 메시지를 수신한 것에 응답하여 토큰을 생성하기 위한 장치 및 방법을 제공한다.
본 개시의 다른 견지는 생성된 토큰을 포함하는 제2 요청 메시지를 UE에 송신하여 로컬 EPC를 인증하기 위한 장치 및 방법을 제공한다.
본 개시의 일 견지에 따르면, 공공 안전용 단독 E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) 동작(isolated E-UTRAN operation for public safety, IOPS) 인에이블된(enabled) UE(user equipment)의 동작 방법이 제공된다. 이 방법은 IOPS PLMN(public land mobile network) 아이덴티티를 포함하는 SIB(system information block) 메시지를, IOPS-가능 eNB(eNodeB)로부터 수신하는 과정과, IOPS PLMN 아이덴티티에 기반하여 전용 IOPS USIM(universal subscriber identity module) 어플리케이션을 활성화하는 과정과, 전용(dedicated) IOPS USIM 어플리케이션에 기반하여 IOPS-가능(capable) eNB를 인증하는 과정을 포함한다.
본 개시의 다른 견지에 따르면, IOPS-가능 eNB의 동작 방법이 제공된다. 이 방법은 IOPS PLMN 아이덴티티를 포함하는 SIB 메시지를 브로드캐스트하는 과정과, 전용 IOPS USIM 어플리케이션에 기반하여 IOPS 인에이블된 UE를 인증하는 과정을 포함하며, 여기서 전용 IOPS USIM 어플리케이션은 IOPS PLMN 아이덴티티에 기반하여, UE에 의해서 활성화된다.
본 개시의 다른 견지에 따르면, IOPS 인에이블된 UE 장치가 제공된다. 이 장치는 제어부; 및 제어부와 동작 가능하게 커플링되는 적어도 하나의 송수신부를 포함하며, 여기서 제어부는 IOPS PLMN 아이덴티티를 포함하는 SIB 메시지를 IOPS-가능 eNB로부터 수신하고; IOPS PLMN 아이덴티티에 기반하여 전용 IOPS USIM 어플리케이션을 활성화하며; 또한 전용 IOPS PLMN 어플리케이션에 기반하여 IOPS-가능 eNB를 인증하도록 구성된다.
본 개시의 다른 견지에 따르면, IOPS-가능 eNB의 장치가 제공된다. 이 장치는 제어부; 및 제어부와 동작 가능하게 커플링되는 적어도 하나의 송수신부를 포함하며, 여기서 제어부는 IOPS PLMN 아이덴티티를 포함하는 SIB 메시지를 브로드캐스트하고; 또한 전용 IOPS USIM 어플리케이션에 기반하여 IOPS 인에이블된 UE를 인증하도록 구성되며, 여기서 전용 IOPS USIM 어플리케이션은 IOPS PLMN 아이덴티티에 기반하여 UE에 의해서 활성화된다.
본 개시의 실시 예들은 무선 환경에서 공공 안전을 효과적으로 유지할 수 있다.
본 개시의 특정 실시 예들의 상기 및 다른 견지들, 특징들 및 이점들은 첨부 된 도면들과 함께 취해진 다음의 상세한 설명으로부터 보다 명확해질 것이다.
도 1a 및 도 1b는 본 개시의 일 실시 예에 따른, UE(user equipment)와 로컬 진화된 패킷 코어(evolved packet core, EPC) 간의 인증 시스템의 블록도이다.
도 2는 본 개시의 일 실시 예에 따른, eNodeB(evolved node B) 또는 로컬 EPC를 인증하기 위한 UE의 블록도이다.
도 3은 본 개시의 일 실시 예에 따른, UE를 인증하기 위한 eNodeB 또는 로컬 EPC의 블록도이다.
도 4a는 본 개시의 일 실시 예에 따른, UE와 로컬 EPC 간의 인증 방법의 흐름도이다.
도 4b는 본 개시의 일 실시 예에 따른, eNodeB 또는 로컬 EPC를 인증하는 방법의 흐름도이다.
도 5a는 본 개시의 일 실시 예에 따른, UE와 eNodeB 또는 로컬 EPC 간의 인증 방법의 흐름도이다.
도 5b는 본 개시의 일 실시 예에 따른, eNodeB 또는 로컬 EPC를 인증하는 방법의 흐름도이다.
도 6은 본 개시의 일 실시 예에 따른, UE와 eNodeB 또는 로컬 EPC 간의 인증을 수행하기 위한 시퀀스 다이어그램이다.
도 7은 본 개시의 일 실시 예에 따른, UE와 eNodeB 또는 로컬 EPC 간의 상호 인증을 수행하기 위한 시퀀스 다이어그램이다.
도 8a 및 도 8b는 본 개시의 일 실시 예에 따른, 키 도출 방법의 예시들이다.
도 9는 본 개시의 일 실시 예에 따른, IOPS(isolated Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network operation for public safety) IMSI(international mobile subscriber identity)를 사용하여 eNodeB 또는 로컬 EPC를 인증하기 위한 시퀀스 다이어그램이다.
도 10은 본 개시의 일 실시 예에 따른, SIB(system information block) 메시지를 사용하여 eNodeB 또는 로컬 EPC를 인증하기 위한 시퀀스 다이어그램이다.
도 11은 본 개시의 일 실시 예에 따른, IMSI 및 IMEI(international mobile station equipment identity)를 사용하여 eNodeB 또는 로컬 EPC를 인증하기 위한 시퀀스 다이어그램이다.
도 12는 본 개시의 일 실시 예에 따른, eNodeB 또는 로컬 EPC을 인증하는 방법의 흐름도이다.
도 13은 본 개시의 일 실시 예에 따른, KASME(KeNodeB) 교환 메시지 플로우의 아이덴티티 기반 암호화를 위한 시퀀스 다이어그램이다.
도 14는 본 개시의 일 실시 예에 따른, UE과 로컬 EPC 간의 인증 방법 및 시스템을 구현하는 컴퓨팅 환경의 블록도이다.
이하 본 명세서의 실시 예들 및 그 다양한 특징들 및 유리한 세부 사항들에 대하여 첨부된 도면들에 예시되고 다음의 상세한 설명에서 설명되는 비제한적인 실시 예들을 참조하여 보다 완전하게 설명된다. 공지된 구성 요소들 및 처리 기술들에 대한 설명은 본 명세서의 실시 예들을 불필요하게 불명료하게 하지 않기 위해 생략된다. 또한, 본 명세서에 기술된 다양한 실시 예들은 몇몇 실시 예들이 하나 이상의 다른 실시 예들과 조합되어 새로운 실시 예들을 형성할 수도 있기 때문에 반드시 상호 배타적인 것은 아니다. 본 명세서에서 사용되는 용어 "또는"은 달리 명시되지 않는 한 비배타적인 또는을 의미한다. 본 명세서에서 사용되는 예들은 본 명세서의 실시 예들이 실시될 수 있는 방법의 이해를 용이하게 하며 또한 당업자가 본 명세서의 실시 예들을 실시할 수 있도록 하기 위한 것이다. 따라서, 이 예들이 본 개시의 범위를 제한하는 것으로 해석되어서는 아니 된다.
이하 본 개시에 대하여 첨부된 도면을 참조하여 설명하며, 동일한 도면 부호는 대응하는 요소를 나타낸다.
실시 예들을 상세하게 설명하기 전에, 본 명세서에서 사용되는 핵심 용어들에 대한 정의가 제공된다. 다르게 정의되지 않는 한, 본 명세서에서 사용되는 모든 용어는 본 개시가 속하는 기술 분야의 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다. 다음은 본 개시에서 사용되는 용어 해설이다:
단독(isoloated) E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) IOPS(isolated E-UTRAN operation for public safety)-가능(capable) eNodeB(evolved node B): eNodeB가 매크로 EPC(evolved packet core)에 대한 백홀을 유실했을 경우 또는 그것이 매크로 EPC에 대한 백홀을 갖고 있지 않을 경우에, 로컬 EPC를 통해 하나 이상의 IOPS-가능 UE들에게 로컬 인터넷 프로토콜(internet protocol, IP) 연결 및 공공 안전 서비스를 제공하는, IOPS 모드 동작 능력을 갖는 eNodeB.
IOPS 네트워크: IOPS 모드에서 동작하며 로컬 EPC에 연결되는 하나 이상의 eNodeB를 포함하는 IOPS 네트워크.
로컬 EPC: 로컬 EPC는 공공 안전 서비스를 지원하기 위해, 매크로 EPC 대신에 IOPS 동작 모드에 있는 eNodeB가 이용하는 기능을 제공하는 엔티티이다. 또한, 로컬 EPC는 MME(mobility management entity), SGW/PGW(serving gateway/packet data network gateway), HSS(home subscriber server) 기능 또는 이들의 조합을 포함할 수 있다.
매크로 EPC: IOPS 동작 모드에 있지 않은 경우 eNodeB를 서빙하는 EPC.
노매딕(nomadic) EPS: 정상 EPS의 부존재 시에 IOPS-가능 UE들에게 무선 액세스(배치 가능한 IOPS-가능 eNodeB(들)를 통해), 로컬 IP 연결 및 공공 안전 서비스를 제공하는 능력을 가진 배치 가능한 시스템.
IOPS-인에이블된(enabled) UE: IOPS 모드에서 동작하는 네트워크를 사용하도록 구성된 UE. UE는 범용 집적 회로 카드(universal integrated circuit card, UICC)와 이동 장비(mobile equipment, ME)의 조합이다.
본 개시의 일 실시 예에서, IOPS는 백홀 통신의 유실에 후속하여, IOPS-가능 eNodeB(또는 연결된 IOPS-가능 eNodeB(들)의 집합)를 통해, 공공 안전 사용자들을 위한 통신 레벨을 유지하는 능력을 제공한다. 단독 E-UTRAN 동작 모드는 또한 노매딕 EPS 배치, 즉, 하나 이상의 독립형 IOPS-가능 eNB 배치의 형성에 적용될 수 있고, 이에 따라 백홀 통신 없는 서빙 무선 액세스 네트워크를 생성할 수 있으며 또한 정상 EPS 인프라스트럭처 가용성의 부존재 시에 공공 안전 사용자들에게 로컬 IP 연결 및 서비스를 제공할 수도 있다. 3GPP(3rd generation partnership project) 규격 22.346은 IOPS에서 LTE(Long Term Evolution) 네트워크에 대한 일반적인 요구 사항을 나열하고 있다. IOPS의 아키텍처 개념에 대한 설명은 3GPP TS 23.401의 정보 Annex K에 나와 있다. 또한 3GPP TS 23.401은 로컬 EPC 접근방식을 사용하는 매크로 EPC 시나리오에 대하여, 백홀 링크가 없을 시의 공공 안전 네트워크의 운영에 대한 보안 가이드라인을 제공한다. 로컬 EPC 접근방식은 IOPS 네트워크가 다음 중 하나를 포함할 수 있는 것으로 가정한다:
로컬 EPC 및 이 로컬 EPC에 함께 위치되거나 또는 이와 연결되어 있을 수 있는 단일의 단독 IOPS-가능 eNodeB(또는 배치 가능한 IOPS-가능 eNodeB); 또는
로컬 EPC 및 단일의 로컬 EPC에 연결되어 있는 2개 이상의 IOPS-가능 eNodeB(또는 배치 가능한 IOPS-가능 eNodeB).
또한, 로컬 EPC는 MME, SGW 또는 PGW, HSS 기능, 또는 이들의 조합을 포함한다. 공공 안전 네트워크 운영자는 eNodeB가 IOPS 모드에 있을 경우에 eNodeB가 SIB 메시지로 브로드캐스트하는 IOPS 동작 모드에 PLMN(public land mobile network) 아이덴티티를 지정한다. 인증된 IOPS-가능 UE들만이 IOPS PLMN으로 표시된 PLMN에 액세스할 수 있다.
본 명세서의 실시 예들은 UE와 로컬 EPC 간의 인증 방법을 개시한다. 이 방법은 로컬 EPC에 의해 브로드캐스트된 IOPS PLMN ID를 수신하는 것을 포함하며, 여기서 IOPS PLMN ID는 로컬 EPC가 IOPS 모드에 있음을 나타낸다. 또한, 이 방법은 로컬 EPC로부터 수신된 IOPS PLMN ID에 기반하여 UE에서 IOPS 모드를 지원하는 USIM을 활성화하는 것을 포함한다.
일 실시 예에서, 이 방법은 로컬 EPC에 제1 요청 메시지를 송신하는 것을 포함한다. 제1 요청 메시지는 ATTACH 요청 메시지이다. 또한, 이 방법은 제1 요청 메시지를 수신한 후에 로컬 EPC로부터 토큰을 포함하는 제2 요청 메시지를 수신하는 것을 포함한다. 본 개시의 일 실시 예에서, 제2 요청 메시지는 인증(authentication, AUTH) 요청 메시지이다. 또한, 이 방법은 토큰에 기반하여 로컬 EPC를 인증하는 것을 포함한다.
일 실시 예에서, 토큰에 기반하여 로컬 EPC를 인증하는 것은 후보 토큰을 생성하는 것을 포함한다. 후보 토큰을 생성한 후, 로컬 EPC로부터 수신된 토큰과 후보 토큰 간에 매치가 있는지가 결정된다. 또한, 로컬 EPC는 토큰과 후보 토큰 사이에 매치가 있다고 결정한 것에 응답하여 인증된다.
일 실시 예에서, 토큰에 기반하여 로컬 EPC를 인증하는 것은 토큰을 복호화함으로써 로컬 EPC와 연관된 키를 추출하고, 이 키에 기반하여 로컬 EPC를 인증하는 것을 포함한다.
일 실시 예에서, 이 방법은 적어도 하나의 파라미터를 포함하는 응답 메시지를 로컬 EPC에 송신하여 UE를 인증하는 것을 더 포함한다. 또한, 이 방법은 로컬 EPC로부터 수락 메시지를 수신하는 것을 포함한다.
일 실시 예에서, 토큰은 인증 및 키 합의(authentication and key agreement, AKA) 절차의 랜덤 번호(random number, RAND) 및 인증 토큰(authentication token, AUTN), UE의 공개 키를 사용하여 암호화된 키, IMSI(international mobile subscriber identity), 또는 이들의 조합 중 적어도 하나이다.
일 실시 예에서, ATTACH 요청 메시지는 액세스 클래스(access class), IMSI, UE의 능력, IMEI, 및 CSG(closed subscriber group) 셀 ID 중 적어도 하나를 포함한다.
본 명세서의 실시 예들은 UE와 로컬 EPC 간의 인증 방법을 개시한다. 이 방법은 로컬 EPC에 의해 IOPS PLMN ID를 브로드캐스트하는 것을 포함하며, 여기서 IOPS PLMN ID는 로컬 EPC가 IOPS 모드에 있음을 나타낸다.
일 실시 예에서, 이 방법은 UE로부터 제1 요청 메시지를 수신하는 것을 포함한다. 또한, 이 방법은 제1 요청 메시지를 수신한 것에 응답하여 토큰을 생성하는 것을 포함한다. 또한, 이 방법은 생성된 토큰을 포함하는 제2 요청 메시지를 UE로 송신하여 로컬 EPC를 인증하는 것을 포함한다.
일 실시 예에서, 이 방법은 UE로부터 적어도 하나의 파라미터를 포함하는 응답 메시지를 수신하는 것을 더 포함한다. 또한, 이 방법은 적어도 하나의 파라미터에 기반하여 UE를 인증하는 것을 포함한다. 또한, 이 방법은 수락 메시지를 UE에 송신하는 것을 포함한다.
종래의 시스템 및 방법과 달리, 본 개시의 방법은 IOPS를 위한 액세스 인증 방법을 제공한다. 본 개시의 장치는 통상의 가입 크리덴셜들에 더하여, 전용 가입 크리덴셜들에 기반하여 IOPS 동작에 대한 액세스 제어(예를 들어, 허가 또는 금지)를 위해 UE와 eNodeB(또는 로컬 EPC) 간의 RAN 크리덴셜들 또는 서비스를 제공한다. 또한, 본 개시의 방법은 eNodeB가 코어 네트워크(예를 들어, EPC)로부터 분리될 경우, 액세스 제어(예를 들어, 상호 인증)를 위한 통상적인 가입 크리덴셜들에 더하여, 액세스 클래스, IMEI, IMSI 또는 CSG ID 고유의 크리덴셜들을 제공한다.
종래의 시스템 및 방법과는 달리, 본 개시의 장치는 IOPS 액세스 제어 및 보안 통신을 위해 eNodeB에서 인증 벡터(authentication vector, AV) 기능을 생성하는 것을 포함한다. 또한, 본 개시의 장치는 무선 리소스 제어(radio resource control, RRC)를 통해 인증 및 키 합의(AKA) 절차를 제공할 수 있으며, 여기서 AKA 절차는 패킷 데이터 컨버전스 프로토콜(packet data convergence protocol, PDCP) 엔티티 또는 PDCP의 상부에 있는 새로운 엔티티에 의해 제공된다. 또한, AKA 절차는 AMF(authentication management field) 비트를 사용하여 액세스 클래스 제어를 제공할 수도 있다.
또한, 본 개시의 장치는 보안 저장 및 실행 환경, UE와 단독 E-UTRAN 간의 상호 인증, 인가(즉, 브로드캐스트, 멀티캐스트, 또는 유니캐스트), 오버 더 에어(over the air, OTA) 보호(예를 들면, 무결성, 기밀성 및 재생 보호), 1 대 1 통신을 위한 암호적으로 분리된 키, 및 진정한 재난 방지 정보 배포와 같은 요구 사항들을 처리한다.
이제 첨부된 도면을 참고하면, 보다 구체적으로 도 1a 내지 도 14를 참고하면, 유사한 도면 부호는 첨부된 도면 전반에 걸쳐 일관되게 대응하는 특징을 나타내며, 예시적인 실시 예들이 도시되어 있다.
도 1a는 기재된 실시 예에 따른, UE와 로컬 EPC 간의 인증을 위한 시스템 100a의 블록도이다. 시스템 100a는 UE 102, eNodeB 104, 매크로 EPC 106 및 로컬 EPC 108를 포함한다. 일 실시 예에서, 로컬 EPC 108은 eNodeB 104 내에 있을 수 있다.
도 1a를 참고하면, UE 102는 UICC 유닛 102a(또는 UE 102에서는 UICC 또는 SIM(subscriber identity module) 카드로 간단하게 지칭될 수 있음)를 포함한다. 일 실시 예에서, 로컬 EPC 108은 MME, SGW 또는 PGW, 및 HSS 기능 중 적어도 하나를 포함할 수 있다. UE 102는 랩탑 컴퓨터, 데스크탑 컴퓨터, 이동 전화, 이동국, 이동 단말기, 스마트 폰, 개인 휴대 정보 단말기(personal data assistant, PDA), 태블릿 컴퓨터, 패블릿 또는 임의의 다른 전자 장치일 수 있다.
UICC 유닛 102a는 어플리케이션(예를 들면, SIM, USIM(universal subscriber identity module) 및 ISIM(IP multimedia services identity module))을 포함한다. 일 실시 예에서는, UICC 유닛 102a의 어플리케이션들에 추가하여, 다른 전용 USIM 어플리케이션(예를 들어, IOPS 어플리케이션)이 운영자 또는 공공 안전 공동체 또는 기관에 의해 포함되며, 이에 따라 UE 102가 IOPS 동작 모드에서 통신 가능하게 한다.
일 실시 예에서, IOPS 동작 모드에 대한 지원이 일반 동작의 보안을 손상시키지 않도록 보장하기 위해, eNodeB(예를 들어, 로컬 EPC)가 IOPS 동작 모드에서 동작하는 경우, UE 102에 존재하는 UICC 유닛 102a에서의 IOPS 동작 모드 전용 USIM 어플리케이션과 로컬 HSS(로컬 EPC 108에 포함) 사이에서는 인증 및 키 합의(AKA) 절차가 수행된다. 백홀 통신의 유실(loss) 및 eNodeB 104의 변환이 발생하여 IOPS-가능 UE 집단에 대한 단독 E-UTRAN 동작을 지원하는 경우에도 동일한 것이 적용된다.
또한, IOPS 동작 모드 전용으로 사용되는 USIM 어플리케이션은 일반 동작에 사용되는 것들과는 다른 별도의 보안 크리덴셜들의 세트를 사용한다. 크리덴셜들은 IOPS 동작 모드의 개시 이전에, 로컬 EPC 108 및 UICC 유닛 102a에서 구성된다. UE 102에서 IOPS 동작 모드를 위해 전용으로 사용되는 USIM 어플리케이션은 아래에 나타낸 다음의 것들 중의 하나 이상을 포함하는 별도의 보안 크리덴셜들의 세트를 갖는다:
영구 키(permanent key) "K"(IOPS 동작 모드를 위해 고유하게 할당됨);
IOPS 네트워크 동작을 위해 할당되는 PLMN 아이덴티티;
IMSI(IOPS 동작 모드를 위해 고유하게 할당됨); 또는
11 또는 15의 액세스 클래스 상태(status)(지역/국가 규정 요구 사항 및 운영자 정책의 적용을 받음).
이 크리덴셜들은 IOPS 동작 모드를 지원하는 로컬 EPC 108에서 제공되며(provisioned), 여기서 공공 안전 권한자(authority)는 백홀 통신 유실의 이벤트 시에 UE 102가 서비스를 제공할 것을 요구한다. 로컬 EPC 108에 설정된 IOPS 네트워크 보안 크리덴셜의 저장(storage)은 IOPS 네트워크에서 동작하도록 인증된 UE 102에 대해서만 수행된다. 관리 프로비저닝(administrative provisioning)은 로컬 EPC 108에서 인증된 모든 UE 102에 대해 최신 보안 크리덴셜을 유지하기 위해 사용된다,
일 실시 예에서, IOPS 어플리케이션(예를 들어, IOPS 동작 모드 전용의 USIM 어플리케이션)은 그것을 제한하기 위해 일반 EPC에 사용되는 액세스 클래스(이하 "c", "d", "e", "f" 및 "g"로 기재함)로 설정된다. 3GPP에서 정의된 기존의 액세스 클래스에 부가하여, 새로운 액세스 클래스(이하 "h"로 기재함)가 운영자에 의해 설정될 수 있다.
a) 클래스 0-9 : 일반 동작(normal behavior)
b) 클래스 10: 긴급 전화(emergency call)
c) 클래스 15: PLMN 스태프(staff)
d) 클래스 14: 긴급 서비스들(emergency services)(IOPS 포함)
e) 클래스 13: 공공 유틸리티들(public utilities)(예를 들면, 물, 가스 공급 업체, 또는 IOPS)
f) 클래스 12: 보안 서비스들(security services)(IOPS 포함)
g) 클래스 11: PLMN 사용(use) 목적(IOPS 포함).
h) 클래스 xx: IOPS 서비스
초기에, UE 102는 일반 어플리케이션에 액세스하는 eNodeB 104를 통해 매크로 EPC 106에 연결된다. eNodeB 104는, 매크로 EPC 106와의 연결이 끊길 때마다(예를 들어, 백홀 링크), IOPS 동작 모드를 활성화한다. 본 개시의 일 실시 예에서, eNodeB 104와 매크로 EPC 106 간에 백홀 링크 연결이 없을 때마다, eNodeB 104는 (예를 들어, eNodeB 104 내에서) 로컬 EPC 108를 트리거한다. 또한, eNodeB 104는 로컬 EPC 108의 역할을 수행함으로써, 로컬 EPC 108의 기능을 수행할 수도 있다.
또한, eNodeB 104 또는 로컬 EPC 108은 IOPS 동작을 위해 PLMN ID를 브로드캐스트하고, 액세스 클래스를 "11" 또는 "15"로 적용한다. UE 102는 셀 내의 IOPS PLMN ID를 검출한다. UE 102가 매크로 EPC 106를 서빙하는 다른 적절한 셀을 찾지 못하거나 사용자가 IOPS PLMN을 수동으로 선택하는 경우, UE 102는 IOPS 네트워크 액세스 전용 USIM 어플리케이션을 활성화하여 사용함으로써, UE 102가 eNodeB 104 또는 로컬 EPC 108에 연결하여 로컬 IP 어드레스를 획득하게 된다(인증되는 경우). 그러면, IOPS 네트워크가 지원하는 공공 안전 서비스들에 액세스할 수 있게 된다.
일 실시 예에서, IOPS 키 "Ki"가 하나의 액세스 클래스와 연관되며, UE 102와 eNodeB 104 또는 로컬 EPC 108 간에 공유된다. eNodeB 104 또는 로컬 EPC 108은 UE 102의 서로 다른 액세스 클래스들에 관한 키들 "Ki"의 리스트로 사전에 구성된다(preconfigured). UE 102(예를 들어, UICC 유닛 102a 또는 (예를 들어, KNOX 작동 공간 등의) 보안 환경)는 그것의 액세스 클래스에 기반하여 "Ki"로 사전에 구성된다. UICC 유닛 102a은 오버 더 에어(over the air) 절차를 사용하여 이동 네트워크 운영자(mobile network operator, MNO)에 의해 구성되거나 프로비저닝되고, SIM 또는 USIM 툴 키트를 사용하여 이 프로비저닝을 보안화할 수 있다. KNOX와 같은 보안 환경은 MDM(mobile device management) 솔루션(예를 들면, MDM 파트너들)을 사용하여 MNO 또는 공공 안전 기관, 국가 규제 기관 등과 같은 제3자 의해 구성되거나 프로비저닝된다.
매우 제한된 액세스 클래스들이 존재하기 때문에, 공공 안전 UE 102에 대하여 보안 액세스를 제공하기 위해 eNodeB 104 또는 로컬 EPC 108에서는 매우 제한된 수의 키가 요구된다. "Ki"는 UE 102의 액세스 클래스들에 기반하여 eNodeB 104 또는 로컬 EPC 108에 의해서 선택된다. 액세스 클래스들에 대응하는 키들은 이하와 같이 나타내어 진다:
a) 클래스 0-9: K1
b) 클래스 10 - IOPS: K7
c) 클래스 15 - PLMN 스태프: K2
d) 클래스 14 - 긴급 서비스들: K3
e) 클래스 13 - 공공 유틸리티들(예를 들면, 물/가스 공급 업체들): K4
f) 클래스 12 - 보안 서비스들: K5
g) 클래스 11 - PLMN 사용 목적: K6
일 실시 예에서, 기존의 SIM, USIM 또는 ISIM 어플리케이션은 그 액세스 클래스에 기반하여, 일반 또는 보통의 네트워크 액세스 키 "K"에 더하여, 다른 키 인덱스 i(Ki)를 가진 IOPS 키를 갖는다.
일 실시 예에서, eNodeB 104 또는 로컬 EPC 108은 인증 관리 필드(AMF) 비트(들)를 설정함으로써 IOPS 고유의 인증(예를 들어, AKA)을 활성화한다. AMF는 16 비트를 가지며, 이중의 비트 "0"이 분리 비트로서 사용되고, 비트 "1" 내지 "7"이 향후 표준화를 위해 예비되며, 비트 "8" 내지 "15"는 전용 목적을 위해 사용될 수가 있다. AMF의 16 비트에는 "0" 내지 "15"까지의 번호가 부여되며, 여기서 비트 "0"이 최상위 비트가 되고, 비트 "15"가 최하위 비트가 된다. 적어도 하나의 비트를 사용하여 IOPS 보안 크리덴셜들 또는 키 인덱스 i 및 인증(AV들의 검증 및 도출)에 사용될 "Ki" 또는 허가되는 액세스 클래스 및 사용될 대응 키 "Ki"를 나타내게 된다. 아래의 표 1은 IOPS 동작, 사용될 키 인덱스 또는 허가된 액세스 클래스(또는 사용될 대응 키 "Ki")를 나타내기 위한 AMPS 비트의 사용을 보여준다. 네트워크 동작이 IOPS인 경우, AUTN의 AMF 필드에 있는 비트들(남아있는 "분리 비트")이 1로 설정되어, AV가 IOPS 컨텍스트에서 AKA에 대해서만 사용 가능함을 UE 102에게 표시한다.
Figure pct00001
네트워크 동작이 IOPS인 경우, AUTN의 AMF 필드에 있는 비트 "1"이 1로 설정되어, AV가 IOPS 컨텍스트에서 AKA에 대해서만 사용 가능함을 UE 102에게 표시한다.
비트 "2"는 키 인덱스(AV를 생성 또는 검증하는데 사용되거나 사용 예정인 키)(LTE 가입 키)을 나타낸다.
비트 "3" 내지 "7"은 액세스 클래스(어떤 것이 액세스 허가되는지 및 AV를 생성 또는 검증하는데 사용되거나 사용 예정인 대응 키)를 나타낸다.
일 실시 예에서, 비트 "3" 내지 "6"은 액세스 클래스(어떤 것이 액세스 허가되는지 및 AV를 생성 또는 검증하는데 사용되거나 사용 예정인 대응 키)를 나타낸다. eNodeB 104 또는 로컬 EPC 108은 AV들(보안 환경에서 AUC 기능)을 생성한다. 대안적으로는, AV들을 생성하는 대신에, eNodeB 104 또는 로컬 EPC 108이 (서로 다른 액세스 클래스들의) AV들로 사전 설정될 수도 있다. 오라클 액세스 관리(oracle access manage, OAM) 서버는 (서로 다른 액세스 클래스들에 대해) eNodeB 104 또는 로컬 EPC 108에서 AV들의 리스트를 사전 설정한다. eNodeB 104 또는 로컬 EPC 108에서의 AV의 사전 설정은, 임의의 손상된 eNodeB 또는 로컬 EPC가 AV들을 누출시킬 수 있으며 또한 가짜 기지국이 도용한 AV들을 사용하여 특정 영역에서의 액세스를 얻을 수 있기 때문에, 필요한 보안 레벨을 제공하지 못한다.
도 1a가 eNodeB 104 및 로컬 EPC 108를 2개의 개별 엔티티로서 도시하고 있지만, 본 개시는 이에 한정되지 않는다. 예를 들어, 로컬 EPC 108가 eNodeB 104 내부에서 이용될 수도 있다. 예를 들어, 도 1b에 나타낸 바와 같이 eNodeB 104 내부에 있거나 eNodeB 104 외부에 있는 로컬 EPC 108를 명시적으로 나타내지 않는다면, 로컬 EPC 108의 기능은 eNodeB 104에 프로비저닝(또는 설정)될 수 있다.
도 1b는 개시된 일 실시 예에 따른, 로컬 EPC 108의 역할을 하는 eNodeB 104와 UE 102 간의 인증을 위한 시스템 100b의 블록도이다. 로컬 EPC 108의 기능은 eNodeB 104에 프로비저닝되거나 설정될 수 있으며, 따라서 eNodeB 104와 매크로 EPC 106 간의 연결이 유실될 경우에는 eNodeB 104가 로컬 EPC 108의 역할을 할 수 있다.
도 1a 및 도 1b는 각각 시스템 100a 및 시스템 100b을 도시한 것이다. 그러나, 본 개시는 이에 한정되지 않는다. 일 실시 예에서, 시스템 100a 및 시스템 100b는 더 적은 구성 요소 또는 추가 구성 요소를 포함할 수 있다. 또한, 구성 요소들의 라벨 또는 명칭은 설명의 목적으로만 사용되며, 본 개시의 범위를 제한하려는 것이 아니다. 하나 이상의 구성 요소들이 결합되어 시스템 100a 및 시스템 100b에서 동일하거나 실질적으로 동일한 기능을 수행할 수도 있다.
도 2는 개시된 일 실시 예에 따른, eNodeB 104 또는 로컬 EPC 108를 인증하기 위한 UE 102의 블록도이다. UE 102는 UICC 유닛 102a, 제어부 202, 저장부 204 및 통신부 206을 포함한다. 제어부 202, 저장부 204 및 통신부 206은 UICC 유닛 102a 내부에 존재할 수 있다. 제어부 202, 저장부 204 및 통신부 206과 같은 유닛들의 몇몇은 UICC 유닛 102a 내부에 존재할 수도 있다. UICC 유닛 102a는 IOPS 동작 모드를 지원하는 USIM 어플리케이션을 포함한다.
도 2를 참고하면, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108에 제1 요청 메시지를 송신하도록 구성될 수 있다. 일 실시 예에서, 제1 요청 메시지는 ATTACH 요청 메시지이다. ATTACH 요청 메시지는 액세스 클래스, IMSI, UE 102의 능력, IMEI, CSG 셀 ID, 또는 이들의 조합을 포함할 수 있다.
또한, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108로부터 토큰을 포함하는 제2 요청 메시지를 수신하도록 구성될 수 있다. 일 실시 예에서, 제2 요청 메시지는 AUTH 요청 메시지이다. 토큰은 AKA 절차의 RAND 및 AUTN, UE 102 또는 UICC 유닛 102a의 공개 키를 사용하여 암호화된 키, IMSI, 무결성을 위한 메시지 인증 코드(MAC-I), 또는 이들의 조합일 수 있다. 또한, UICC 유닛 102a 또는 제어부 202는 수신된 토큰에 기반하여 eNodeB 104 또는 로컬 EPC 108을 인증하도록 구성될 수 있다.
eNodeB 104 또는 로컬 EPC 108로부터 토큰을 수신한 후, UICC 유닛 102a 또는 제어부 202는 후보 토큰을 생성하도록 구성될 수 있다. 후보 토큰은 AKA 절차의 RAND 및 AUTN, UE 102 또는 UICC 유닛 102a의 공개 키를 사용하여 암호화된 키, IMSI, 응답 메시지(RES) 또는 이들의 조합일 수 있다. 또한, 본 개시는 도 5 및 도 6을 참고하여 아래에서 설명된다.
일 실시 예에서, eNodeB 104 또는 로컬 EPC 108로부터 토큰을 수신한 후, UICC 유닛 102a 또는 제어부 202는 토큰을 복호화함으로써 eNodeB 104 또는 로컬 EPC 108와 연관된 키를 추출하도록 구성될 수 있다. 또한, UICC 유닛 102a 또는 제어부 202는 그 키에 기반하여 eNodeB 104 또는 로컬 EPC 108를 인증하도록 구성될 수 있다. 또한, 본 개시는 도 12를 참고하여 아래에서 설명된다.
또한, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108에 대한 응답 메시지를 위한 적어도 하나의 파라미터를 제공하여 UE 102를 인증하도록 구성될 수 있다. 일 실시 예에서, 이 응답 메시지는 AUTH 응답 메시지이다. 이 파라미터는 RES, MAC-1, 또는 이들의 조합일 수 있다. 또한, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108로부터 수락 메시지를 수신하도록 구성될 수 있다. 이 수락 메시지는 ATTACH 수락 메시지이다. 저장부 204는 eNodeB 104 또는 로컬 EPC 108로부터 수신된 토큰을 저장하도록 구성될 수 있다.
또한, 저장부 204는 하나 이상의 컴퓨터 판독가능 저장 매체를 포함할 수 있다. 저장부 204는 비휘발성 저장 요소들을 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory) 또는 EEPROM(electrically erasable and programmable memory)의 형태를 포함할 수 있다. 또한, 저장부 204는, 몇몇 예들에서, 비일시적 저장 매체로 고려될 수 있다. 용어 "비일시적"은 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, 용어 "비일시적"은 저장부 204이 이동 불가능하다는 것을 나타내는 것으로 해석되어서는 안된다. 몇몇 예들에서, 저장부 204는 메모리보다 더 많은 양의 정보를 저장하도록 구성될 수 있다. 특정 예들에서, 비일시적 저장 매체는 시간에 따라 (예를 들어, 랜덤 액세스 메모리(random access memory, RAM) 또는 캐시에서) 변화될 수 있는 데이터를 저장할 수 있다. 통신부 206는 유닛들 사이에서 내부적으로 그리고 네트워크들과 외부적으로 통신하도록 구성될 수 있다.
도 2가 UE 102의 다양한 유닛들을 도시하고 있지만, 본 개시는 이에 제한되지 않음을 이해해야 한다. 일 실시 예에서, UE 102는 보다 적은 유닛 또는 추가 유닛을 포함할 수 있다. 또한, 유닛의 라벨 또는 명칭은 설명의 목적으로만 사용되며 본 개시의 범위를 제한하려는 것이 아니다. 하나 이상의 유닛들이 결합되어 UE 102에서 동일하거나 실질적으로 동일한 기능을 수행할 수도 있다.
도 3은 개시된 실시 예에 따른, UE 102를 인증하기 위한 eNodeB 104 또는 로컬 EPC 108의 블록도이다. 기재된 eNodeB 104 또는 로컬 EPC 108은 예를 들어, LTE 네트워크, GERAN(GSM(global system for mobile communication) EDGE(enhanced data rates for GSM Evolution) radio access network), UTRAN(UMTS(universal mobile telecommunications system) radio access network), EUTRAN(evolved UTRAN) 또는 임의의 다른 네트워크일 수 있으며, 이에 한정되지 않는다. 본 개시의 일 실시 예에서, eNodeB 104 또는 로컬 EPC 108은 수신부 302, 제어부 304, 저장부 306 및 송신부 308을 포함한다.
도 3을 참고하면, 수신부 302는 UE 102 및 네트워크로부터 하나 이상의 시그널링 메시지를 수신하도록 구성될 수 있다. 제어부 304는 수신부 302를 사용하여 UE 102로부터 제1 요청 메시지를 수신하도록 구성될 수 있다. 일 실시 예에서, 제1 요청 메시지는 ATTACH 요청 메시지이다. ATTACH 요청 메시지는 액세스 클래스, IMSI, UE 102의 능력, IMEI, CSG 셀 ID, 또는 이들의 조합을 포함할 수 있다. 또한, 제어부 304는 제1 요청 메시지를 수신한 후에 토큰을 생성하도록 구성될 수 있다. 일 실시 예에서, 토큰은 AKA 절차의 RAND 및 AUTN, UE 102 또는 UICC 유닛 102a의 공개 키를 사용하여 암호화된 키, IMSI 또는 이들의 조합일 수 있다. 또한, 제어부 304는 생성된 토큰을 포함하는 제2 요청 메시지를 송신부 308을 사용하여 UE 102에게 송신하도록 구성될 수 있다. 토큰은 eNodeB 104 또는 로컬 EPC 108를 인증하기 위해 제어부 304에 의해서 사용된다.
또한, 제어부 304는 수신부 302를 이용하여 UE 102로부터 적어도 하나의 파라미터를 포함하는 응답 메시지를 수신하도록 구성될 수 있다. 이 응답 메시지는 AUTH 응답 메시지이다. 이 파라미터는 RES, MAC-1, 또는 이들의 조합일 수 있다. 또한, 제어부 304는 적어도 하나의 파라미터에 기반하여 UE 102를 인증하도록 구성될 수 있다. 제어부 304는 UE 102로부터 수신된 RES를 검증한 후에 UE 102를 인증한다. 제어부 304는 MAC-1을 검증한 후에 UE 102를 인증하도록 구성될 수 있다. 또한, 제어부 304는 송신부 308을 이용하여 ATTACH 수락 메시지를 UE 102에 송신하도록 구성될 수 있다. 저장부 306은 생성된 토큰을 저장하도록 구성될 수 있으며, 이 생성된 토큰은 그 키를 도출하기 위해 제어부 304에 의해서 또한 사용될 수 있다.
또한, 저장부 306은 하나 이상의 컴퓨터 판독가능 저장 매체를 포함할 수 있다. 저장부 306은 비휘발성 저장 요소들을 포함할 수 있다. 이러한 비휘발성 저장 요소의 예는 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM 또는 EEPROM의 형태를 포함할 수 있다. 또한, 저장부 306은 몇몇 예들에서, 비일시적 저장 매체로 고려될 수 있다. 용어 "비일시적"은 저장 매체가 반송파 또는 전파 신호로 구현되지 않음을 나타낼 수 있다. 그러나, 용어 "비일시적"은 저장부 306이 이동 불가능하다는 것을 나타내는 것으로 해석되어서는 안된다. 예를 들어, 저장부 306은 메모리보다 많은 양의 정보를 저장하도록 구성될 수 있다. 예를 들어, 비일시적 저장 매체는 시간에 따라 (예를 들어, RAM 또는 캐시에서) 변화하는 데이터를 저장할 수 있다.
도 3이 eNodeB 104 또는 로컬 EPC 108의 유닛을 도시하고 있지만, 본 개시는 이에 한정되지 않는다. 일 실시 예에서, eNodeB 104 또는 로컬 EPC 108은 더 적거나 많은 유닛들을 포함할 수도 있다. 또한, 유닛의 라벨 또는 명칭은 설명의 목적으로만 사용되며 본 개시의 범위를 제한하려는 것이 아니다. 하나 이상의 유닛들이 결합되어 eNodeB 104 또는 로컬 EPC에서 동일하거나 실질적으로 동일한 기능을 수행할 수도 있다.
도 4a는 개시된 실시 예에 따른 UE 102와 로컬 EPC 108 간의 인증 방법 400a의 흐름도이다.
단계 402a에서, 방법 400a는 로컬 EPC 108에 의해 IOPS PLMN ID 브로드캐스트를 수신하고, 여기서 IOPS PLMN ID는 로컬 EPC 108이 IOPS 모드에 있음을 나타낸다. 방법 400a는 UE 102가 로컬 EPC 108에 의해 IOPS PLMN ID 브로드캐스트를 수신하는 것을 가능하게 하며, 여기서 IOPS PLMN ID는 로컬 EPC 108이 IOPS 모드에 있음을 나타낸다. 단계 404a에서, 방법 400a는 UICC 유닛 102a에서 USIM 어플리케이션을 활성화한다. 방법 400a는 UE 102가 UICC 유닛 102a에서 USIM 어플리케이션을 활성화하는 것을 가능하게 한다. 단계 406a에서, 방법 400a는 로컬 EPC 108을 인증한다. 방법 400a는 USIM 102b가 로컬 EPC 108을 인증하는 것을 가능하게 한다.
방법 400a에서의 다양한 동작, 작동, 블록, 단계 등은 제시된 순서로 수행되거나, 상이한 순서 또는 동시에 수행될 수도 있다. 또한, 일 실시 예에서, 본 개시의 범위 및 사상을 벗어나지 않으면서 동작, 작동, 블록, 단계 등의 일부가 생략, 추가, 수정 또는 스킵 등이 될 수 있다.
도 4b는 개시된 실시 예에 따른, eNodeB 104 또는 로컬 EPC 108을 인증하는 방법 400b의 흐름도이다.
도 4를 참고하면, 단계 402b에서, 방법 400b는 제1 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 방법 400b는 UE 102가 제1 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하는 것을 가능하게 한다. 일 실시 예에서, 제1 요청 메시지는 ATTACH 요청 메시지이다. 이 ATTACH 요청 메시지는 예를 들어, 액세스 클래스(access class), IMSI, UE 102의 능력, IMEI, CSG 셀 ID, 또는 이들의 조합을 포함할 수 있다.
단계 404b에서, 방법 400b는 eNodeB 104 또는 로컬 EPC 108로부터 토큰(token)을 포함하는 제2 요청 메시지를 수신한다. 일 실시 예에서, 제2 요청 메시지는 AUTH 요청 메시지이다. 일 실시 예에서, 방법 400b는 UE 102가 eNodeB 104 또는 로컬 EPC 108로부터 토큰을 포함하는 제2 요청 메시지를 수신하는 것을 가능하게 한다.
단계 406b에서, 방법 400b는 IOPS 어플리케이션을 사용하여 후보 토큰을 생성한다. 일 실시 예에서, 방법 400b는 UE 102가 IOPS 어플리케이션을 사용하여 후보 토큰을 생성하는 것을 가능하게 한다. 일 실시 예에서, 후보 토큰은 MAC-I일 수 있다.
단계 408b에서, 방법 400b는 eNodeB 104 또는 로컬 EPC 108로부터 수신된 토큰과 후보 토큰 사이에 매치(match)가 있는지를 결정한다. 일 실시 예에서, 방법 400b는 UE 102가 eNodeB 104 또는 로컬 EPC 108로부터의 토큰과 후보 토큰 사이에 매치가 있는지를 결정하는 것을 가능하게 한다.
단계 410b에서, 방법 400b는 토큰과 후보 토큰 사이에 매치가 있다고 결정한 이후에 eNodeB 104 또는 로컬 EPC 108을 인증한다. 일 실시 예에서, 방법 400b는 토큰과 후보 토큰 사이에 매치가 있다고 결정한 이후, UE 102가 eNodeB 104 또는 로컬 EPC 108을 인증하는 것을 가능하게 한다.
단계 412b에서, 방법 400b는 적어도 하나의 파라미터를 포함하는 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다. 일 실시 예에서, 방법 400b는 UE 102가 적어도 하나의 파라미터를 포함하는 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증하는 것을 가능하게 한다. 이 파라미터는 예를 들어, IOPS 어플리케이션을 사용하여 생성되는 RES, MAC-I, 또는 이들의 조합일 수 있다.
단계 414b에서, 방법 400b는 eNodeB 104 또는 로컬 EPC 108로부터 수락 메시지(예를 들어, ATTACH 수락 메시지)를 수신하는 것을 포함한다. 일 실시 예에서, 방법 400은 UE 102가 eNodeB 104 또는 로컬 EPC 108로부터 ATTACH 수락 메시지를 수신하는 것을 가능하게 한다.
방법 400b에서의 다양한 동작, 작동, 블록, 단계 등은 제시된 순서로 수행되거나, 상이한 순서 또는 동시에 수행될 수도 있다. 또한, 일 실시 예에서, 본 개시의 범위 및 사상을 벗어나지 않으면서 동작, 작동, 블록, 단계 등의 일부가 생략, 추가, 수정 또는 스킵(skip) 등이 될 수 있다.
도 5a는 개시된 실시 예에 따른 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 인증 방법 500a의 흐름도이다.
단계 502a에서, 방법 500a는 IOPS PLMN ID를(즉, SIB를 사용) 브로드캐스트하고, 여기서 IOPS PLMN ID는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드에 있음을 나타낸다. 방법 500a는 제어부 304가 IOPS PLMN ID를 UE 102에 브로드캐스트하여 eNodeB 104 또는 로컬 EPC 108을 인증하는 것을 가능하게 하며, 여기서 IOPS PLMN ID는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드에 있음을 나타낸다.
방법 500a에서의 다양한 동작, 작동, 블록, 단계 등은 제시된 순서로 수행되거나, 상이한 순서 또는 동시에 수행될 수도 있다. 또한, 일 실시 예에서, 본 개시의 범위 및 사상을 벗어나지 않으면서 동작, 작동, 블록, 단계 등의 일부가 생략, 추가, 수정 또는 스킵 등이 될 수 있다.
도 5b는 개시된 실시 예에 따른, eNodeB 104 또는 로컬 EPC 108을 인증하는 방법 500b의 흐름도이다.
$$도 5를 참고하면, 단계 502b에서, 방법 500b는 UE 102로부터 제1 요청 메시지를 수신한다. 방법 500b는 제어부 304가 UE 102로부터 제1 요청 메시지를 수신하는 것을 가능하게 한다. 단계 504b에서, 방법 500b는 해당 특정 UE 102의 IOPS 크리덴셜들을 사용하여 로컬 EPC 108에서 생성된 토큰을 검색한다. 방법 500b는 제어부 304가 해당 특정 UE 102의 IOPS 크리덴셜들을 사용하여 로컬 EPC 108에서 생성된 토큰을 검색하는 것을 가능하게 한다.
단계 506b에서, 방법 500b는 생성된 토큰을 포함하는 제2 요청 메시지를 UE 102에 송신하여 eNodeB 104 또는 로컬 EPC 108을 인증한다. 일 실시 예에서, 방법 500b는 제어부 304가 생성된 토큰을 포함하는 제2 요청 메시지를 UE 102에 송신하여 eNodeB 104 또는 로컬 EPC 108을 인증하는 것을 가능하게 한다. 단계 508b에서, 방법 500b는 UE 102로부터 적어도 하나의 파라미터를 포함하는 응답 메시지를 수신한다. 방법 500b는 제어부 304가 UE 102로부터 적어도 하나의 파라미터를 포함하는 응답 메시지를 수신하는 것을 가능하게 한다.
단계 510b에서, 방법 500b는 적어도 하나의 파라미터에 기반하여 UE 102를 인증한다. 본 개시의 일 실시 예에서, 방법 500b는 제어부 304가 적어도 하나의 파라미터에 기반하여 UE 102를 인증하는 것을 가능하게 한다. 단계 512b에서, 방법 500b는 수락 메시지를 UE 102에 송신한다. 일 실시 예에서, 방법 500b는 제어부 304가 수락 메시지를 UE 102에 송신하는 것을 가능하게 한다.
방법 500b에서의 다양한 동작, 작동, 블록, 단계 등은 제시된 순서로 수행되거나, 상이한 순서 또는 동시에 수행될 수도 있다. 또한, 일 실시 예에서, 본 개시의 범위 및 사상을 벗어나지 않으면서 동작, 작동, 블록, 단계 등의 일부가 생략, 추가, 수정 또는 스킵 등이 될 수 있다.
도 6은 개시된 본 개시의 실시 예에 따른, UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 인증을 수행하기 위한 시퀀스 다이어그램 600이다. 일 실시 예에서, 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
도 6을 참고하면, 단계 602에서, UE 102는 제1 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 일 실시 예에서, 제1 요청 메시지는 ATTACH 요청 메시지이며, 여기서 ATTACH 요청 메시지는 액세스 클래스, IMSI, UE 102의 능력, 또는 이들의 조합을 포함한다. 일 실시 예에서, UE 102는 메시지에서 액세스 클래스를 포함하지 않는 제1 요청 메시지를 송신한다.
단계 604에서, 제1 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 데이터 요청 메시지(즉, AUTH 데이터 요청 메시지)를 보안 환경 600a에 송신한다. 데이터 요청 메시지는 액세스 클래스, IMSI, 또는 이들의 조합을 포함한다. 수신된 액세스 클래스에 기반하여, eNodeB 104 또는 로컬 EPC 108은 (eNodeB 104 또는 로컬 EPC 108에 포함될 수 있거나 eNodeB 104 또는 로컬 EPC 108의 외부에 있을 수 있는)보안 환경 602에게, AV들을 제공하여 UE 102를 인증하고 IOPS 동작 모드에서의 보안 통신을 위한 액세스를 승인(grant)할 것을 요청한다.
단계 606에서, 데이터 요청 메시지를 수신한 이후, 보안 환경 600a는 eNodeB 104를 통해 UE 102에 의해 제공된 액세스 클래스에 기반하여 선택된 Ki를 사용하여 AV들을 도출한다. 액세스 클래스가 UE 102에 의해 제공되지 않는 경우, eNodeB 104는 허용되거나 허가된 액세스 클래스(즉, 액세스 클래스 11)를 사용하여 AV들을 생성하고 AMF에서 액세스 클래스를 나타내며, 이에 따라 UE 102는 이 AMF를 사용하여 액세스 클래스 및 대응하는 키를 식별함으로써 AV(허가된 경우)를 생성하거나 검증한다.
단계 608에서, 보안 환경 600a는 데이터 응답 메시지(예를 들어, AUTH 데이터 응답 메시지)를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 데이터 응답 메시지는 RAND, 예상 응답(Expected Response, XRES), AUTN 및 KeNodeB를 포함한다.
단계 610에서, 데이터 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 데이터 응답 메시지에 포함된 KeNodeB 및 XRES를 저장한다. 또한, eNodeB 104 또는 로컬 EPC 108은 진화된 패킷 시스템(Evolved Packet System, EPS) 암호화 알고리즘(Encryption Algorithm, EEA) 및 EPS 무결성 알고리즘(EPS Integrity Algorithm, EIA)을 선택하고 추가 키들을 도출한다.
단계 612에서, eNodeB 104 또는 로컬 EPC 108은 토큰을 포함하는 제2 요청 메시지를 UE 102에 송신한다. 토큰은 AKA 절차의 RAND 및 AUTN, UE 102의 공개 키를 사용하여 암호화된 키, IMSI, MAC-I, 또는 이들의 조합일 수 있다. 시스템 관리 제어부(system management controller, SMC) 절차가 AKA 인증 절차와 함께 수행된다. 이것은 선택된 암호화 기술들을 포함하여 수행된다. 또한, MAC-I는 이 선택된 기술 및 AV들의 키들로부터 도출된 보안 키들(즉, 메시지에 포함된 AV의 RAND 및 AUTN에 대응하는 키들)을 사용하여 생성된다. 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드로 동작하고 있을 경우에 개별적으로 수행된다.
단계 614에서, 제2 요청 메시지를 수신한 이후, UE 102는 데이터 요청 메시지(예를 들어, AUTH 데이터 요청 메시지)를 UICC 유닛 102a에 송신한다. 데이터 요청 메시지는 RAND, AUTN, 또는 이들의 조합을 포함한다.
단계 616에서, 데이터 요청 메시지를 수신한 이후, UICC 유닛 102a는 후보 토큰을 생성한다. 후보 토큰은 RES, AKA 절차의 RAND 및 AUTN, UE 102의 공개 키를 사용하여 암호화된 키, IMSI, 또는 이들의 조합일 수 있다. 후보 토큰은 UE 102 또는 USIM 어플리케이션 중 하나에서 생성된다. 또한, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108로부터 수신된 토큰과, 생성되어 있는 후보 토큰 사이에 매치가 있는지를 결정한다. 매치가 결정되고 나면, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108을 인증한다.
단계 618에서, eNodeB 104 또는 로컬 EPC 108을 인증한 이후, UICC 유닛 102a 또는 제어부 202는 데이터 응답 메시지를 UE 102에 송신한다. 데이터 응답 메시지는 RES, KeNodeB, 또는 이들의 조합을 포함한다.
단계 620에서, 데이터 응답 메시지를 수신한 이후, UE 102는 추가 키들을 생성한다. UE 102는 Kasme(액세스 스트라텀(Access Stratum, AS) 보안 키들만 또는 넌 액세스 스트라텀(non access stratum, NAS) 보안 키들만)를 사용하여 추가 키들을 도출한다. 또한, SMC 절차가 AKA 절차와 함께 수행되는 경우, UE 102는 MAC-I를 검증한다.
단계 622에서, UE 102는 적어도 하나의 파라미터를 포함하는 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다. 이 파라미터는 RES, MAC-I, 또는 이들의 조합일 수 있다.
단계 624에서, 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 RES가 XRES와 동일한지 여부를(예를 들어, eNodeB 104 또는 로컬 EPC 108 내의 PDCP 엔티티 또는 새로운 엔티티에 의해) 검증한다. RES가 XRES와 동일한 경우, 인증이 성공하게 되어 UE 102는 인증된다.
단계 626에서, 성공적인 UE 102의 인증 이후, eNodeB 104 또는 로컬 108은 UE 102에 대한 액세스를 승인하여, UE 102와 eNodeB 104 간의 또는 UE 102와 로컬 EPC 108 간의 추가적인 보호된 데이터 교환이 보안 방식으로 발생하게 된다.
단계 628에서, eNodeB 104 또는 로컬 EPC 108은 수락 메시지(즉, ATTACH 수락 메시지)를 UE 102에 송신한다.
도 7은 개시된 실시 예에 따른, UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 인증을 수행하기 위한 시퀀스 다이어그램 700이다. 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
도 7을 참고하면, 단계 702에서, eNodeB 104 또는 로컬 EPC 108은 SIB 메시지를 UE 102에 송신한다. SIB 메시지는 IOPS PLMN ID, IOPS CSG ID, 또는 이들의 조합을 포함한다.
단계 704에서, UE 102는 제1 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 제1 요청 메시지는 ATTACH 요청 메시지이다. ATTACH 요청 메시지는 IMSI, UE 102의 능력, CSG 셀 ID, 또는 이들의 조합을 포함한다. UE 102는 이 메시지에서 액세스 클래스를 포함하지 않는 요청 메시지를 송신한다.
단계 706에서, 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 인증 센터(authentication center, AuC)의 일부인 보안 환경 104a에 데이터 요청 메시지를 송신한다. 이 데이터 요청 메시지는 AUTH 데이터 요청 메시지이다. AUTH 데이터 요청 메시지는 CSG ID, IMSI, 또는 이들의 조합을 포함한다. eNodeB 104 또는 로컬 EPC 108은 보안 환경 600a(예를 들어, AuC가 eNodeB 104에 포함되거나 eNodeB 104의 외부에 있을 수 있음)에게, AV들을 제공하여 UE 102를 인증하고 IOPS 동작 모드에서의 보안 통신을 위한 액세스를 승인할 것을 요청한다.
단계 708에서, 데이터 요청 메시지를 수신한 이후, 보안 환경 600a는 eNodeB 104 또는 로컬 EPC 108를 통해 UE 102에 의해 제공되는 액세스 클래스, IMSI 중 적어도 하나에 기반하여 선택된 Ki를 사용하여 AV들을 도출한다. 액세스 클래스가 UE 102에 의해 제공되지 않는 경우, eNodeB 104 또는 로컬 EPC 108은 허용되거나 허가된 액세스 클래스(예를 들어, 액세스 클래스 11)를 사용하여 AV들을 생성하고 AMF에서 액세스 클래스를 나타내며, 이에 따라 UE 102는 이 AMF를 사용하여 액세스 클래스 및 대응하는 키를 식별함으로써 AV(허가된 경우)를 생성하거나 검증한다.
단계 710에서, 보안 환경 600a(예를 들어, AuC)는 데이터 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 이 데이터 응답 메시지는 AUTH 데이터 응답 메시지이다. AUTH 데이터 응답 메시지는 RAND, XRES, AUTN, KASME(KeNodeB), 또는 이들의 조합을 포함한다.
단계 712에서, 데이터 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 데이터 응답 메시지에 포함된 KASME(KeNodeB) 및 XRES를 저장한다. 또한, eNodeB 104 또는 로컬 EPC 108은 EEA 및 EIA를 선택하고 추가 키들을 도출한다.
단계 714에서, eNodeB 104 또는 로컬 EPC 108은 토큰을 포함하는 제2 요청 메시지를 UE 102에 송신한다. 토큰은 AKA 절차의 RAND 및 AUTN, UE 102의 공개 키를 사용하여 암호화된 키 KASME(KeNodeB), MAC-I, 또는 이들의 조합일 수 있다. SMC 절차가 AKA 인증 절차와 함께 수행된다. 이것은 선택된 암호화 기술을 포함함으로써 수행된다. 또한, MAC-I는 선택된 기술 및 AV들의 키들로부터 도출되는 보안 키들을 사용하여 생성된다(예를 들어, 메시지에 포함되는 AV의 RAND 및 AUTN에 대응하는 키들). 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드로 동작하고 있을 경우에 개별적으로 수행된다.
단계 716에서, 제2 요청 메시지를 수신한 이후, UE 102는 데이터 요청 메시지를 UICC 유닛 102a 또는 제어부 202에 송신한다. 이 데이터 요청 메시지는 AUTH 데이터 요청 메시지이다. AUTH 데이터 요청 메시지는 RAND, AUTN 또는 이들의 조합을 포함한다.
단계 718에서, 데이터 요청 메시지를 수신한 이후, UICC 유닛 102a 또는 제어부 202는 IOPS 어플리케이션을 사용하여 후보 토큰을 생성한다. 후보 토큰은 AKA 절차의 RAND 및 AUTN, RES, IMSI, MAC-I, 공개 키를 암호화된 키 또는 이들의 조합일 수 있다. 후보 토큰은 UE 102 또는 UICC 유닛 102a에 포함된 USIM 어플리케이션 중 하나에서 생성된다. 또한, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108로부터 수신된 토큰과 생성된 후보 토큰 사이에 매치가 있는지를 결정한다. 매치가 결정되고 나면, UICC 유닛 102a 또는 제어부 202는 eNodeB 104 또는 로컬 EPC 108을 인증한다.
단계 720에서, eNodeB 104 또는 로컬 EPC 108을 인증한 이후, UICC 유닛 102a 또는 제어부 202는 데이터 응답 메시지를 UE 102에 송신한다. 이 데이터 응답 메시지는 AUTH 데이터 응답 메시지이다. AUTH 데이터 응답 메시지는 RES, KASME(KeNodeB) 또는 이들의 조합을 포함한다.
단계 722에서, 데이터 응답 메시지를 수신한 이후, UE 102는 추가 키들을 생성한다. UE 102는 KASME(예를 들어, AS 보안 키들 또는 NAS 보안 키들만)를 사용하여 추가 키들을 도출한다. 또한, SMC 절차가 AKA 절차와 함께 수행되는 경우, UE 102는 MAC-I를 검증한다.
단계 724에서, UE 102는 적어도 하나의 파라미터를 포함하는 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다. 이 적어도 하나의 파라미터는 RES, MAC-I 또는 이들의 조합일 수 있다.
단계 726에서, 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 MAC-I를 검증하여 UE 102를 인증한다.
단계 728에서, 성공적인 UE 102의 인증 이후, eNodeB 104 또는 로컬 EPC 108은 UE 102에 대한 액세스를 승인하며, UE 102와 eNodeB 104 간의 또는 UE 102와 로컬 EPC 108 간의 추가적인 보호된 데이터 교환이 보안 방식으로 발생하게 된다.
단계 730에서, eNodeB 104 또는 로컬 EPC 108은 수락 메시지를 UE 102에 송신한다.
도 8a 및 도 8b는 본 명세서 개시된 실시 예에 따른, 키 도출 방법의 설명이다. UE 102 및 eNodeB 104 또는 로컬 EPC 108에 의해 수행되는 키 도출 방법; 및 통신 보호를 위한 추가적인 키 도출에 대하여 이하 설명한다. 본 개시의 일 실시 예에서, 키 도출의 세부적 사항은 본 개시에서 상세하게 설명된 다른 해결책들을 위해 사용될 수 있다. RAND, IMSI, eNodeB ID 또는 이들의 조합이 키 도출을 위한 입력으로 사용될 수 있다. KASME - IOPS에 대한 수학식 1은 다음과 같다:
Figure pct00002
도 8a 및 도 8b를 참고하면, 일 실시 예에서, Ki를 제외한, 다른 모든 파라미터들은 선택적이다. 일련 번호(serial number, SN) ID는 eNodeB ID일 수 있다. eNodeB ID는 SIB 시그널링 메시지에 포함되어 브로드캐스트된다. 일반적으로, 28-비트 필드의 20개 MSB(most significant bits)가 eNodeB 104 또는 로컬 EPC 108을 식별한다.
도 8a에 나타낸 바와 같이, 일 실시 예에서는, NAS 키들이 사용되지 않는다. 도출된 KASME는 eNodeB 104 또는 로컬 EPC 108로서 사용되며, NAS 시그널링(존재하는 경우)은 AS 보안 컨텍스트를 사용하여 보호된다. 또한, NAS 보안 컨텍스트가 도출되지 않는 경우, eNodeB 104 또는 로컬 EPC 108로부터 다른 eNodeB로의 핸드오버 동안, AS 보안 컨텍스트만이 소스 eNodeB에 의해 도출되어 타겟 eNodeB에 제공되며, 여기서 연결된 eNodeB에서는 NAS가 종료된다.
도 8b에 나타낸 바와 같이, 일 실시 예에서는, eNodeB 104 또는 로컬 EPC 108에서 NAS 키들이 도출되고 NAS가 종료된다. eNodeB 104 또는 로컬 EPC 108은 이동성 관리 절차를 수행한다. eNodeB 104로부터 다른 eNodeB로의 핸드오버 동안, NAS 키(도출되어 사용되는 경우)가 eNodeB 104에 남아 있을 수 있다. 타겟 고유의 AS 보안 컨텍스트만이 eNodeB 104에 의해 도출되어 다른 eNodeB에게 제공되며, 여기서 인증된 eNodeB에서는 NAS가 종료된다.
도 9는 개시된 실시 예에 따른, IOPS IMSI를 사용하여 eNodeB 104 또는 로컬 EPC 108을 인증하기 위한 시퀀스 다이어그램 900이다. eNodeB 104 또는 로컬 EPC 108에 송신되는 액세스 클래스 이외에, IMSI(들)이 IOPS 키의 액세스 제어 및 식별에 사용될 수 있다. 예를 들어, UE 102 내의 IMSI(들)은 다음과 같이 기술되어 있다:
IMSI1: 키 K1과 연관된 xxxyyabcdef1234
MCC xxx 국가 코드
MNC yy(y) IOPS 네트워크
MSIN abcdef1234 IOPS 서비스 가능한 식별 번호(예를 들면, 1234로 인코딩)
IMSI2: 키 K2와 연관된 404685505601234
MCC 404 국가
MNC 68 MNO
MSIN 5505601234
도 9를 참고하면, 일 실시 예에서, 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
단계 902에서, UE 102는 IMSI2를 포함하는 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 또한, UE 102는 ATTACH 요청 메시지를 송신하여, 일반 동작 모드에 있는 eNodeB 104 또는 로컬 EPC 108에 액세스한다.
단계 904에서, IMSI2를 포함하는 ATTACH 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 ATTACH 거절 메시지를 UE 102에 송신한다. ATTACH 거절 메시지는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있음을 나타낸다.
단계 906에서, UE 102는 IMSI1을 포함하는 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다.
단계 908에서, IMSI1을 포함하는 ATTACH 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 IMSI1이 IOPS 동작 모드에 대해 인증되는지 여부를 검증한다. 또한, 이 검증이 성공한 경우, IMSI1에 대응하는 AV가 eNodeB 104 또는 로컬 EPC 108에 의해 생성된다.
단계 910에서, 성공적인 검증 및 인증 벡터 생성 이후, eNodeB 104 또는 로컬 EPC 108은 토큰을 포함하는 AUTH 요청 메시지를 UE 102에 송신한다. 이 토큰은 AUTN, RAND, 키 없는 전자서명(Keyless Signature Infrastructure, KSI), 키 인덱스(key index) 또는 이들의 조합일 수 있다.
단계 912에서, UE 102는 eNodeB 104 또는 로컬 EPC 108에 의해 제공되는 AUTH 요청 메시지에 포함된 키 인덱스를 사용하여 키를 식별함으로써 AUTN을 검증한다.
단계 914에서, 성공적인 검증 이후, UE 102는 RES(예를 들어, 파라미터)를 포함하는 AUTH 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다.
단계 916에서, AUTH 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 RES가 XRES와 동일한지 여부를(예를 들어, eNodeB 104 또는 로컬 EPC 108에서의 PDCP 엔티티 또는 새로운 엔티티에 의해) 검증한다. RES가 XRES와 동일한 경우, 인증이 성공하여 UE 102가 인증된다.
단계 918에서, SMC 절차 또는 무결성 보호된 통신이 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이에서 수행된다. 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드로 동작하고 있을 경우에 개별적으로 수행된다.
도 10은 개시된 실시 예에 따른, SIB 메시지를 사용하여 eNodeB 104 또는 로컬 EPC 108을 인증하기 위한 시퀀스 다이어그램 1000이다. 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
도 10을 참고하면, 단계 1002에서, eNodeB 104 또는 로컬 EPC 108은 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있음을 나타내는 SIB 메시지를 UE 102에 송신한다.
단계 1004에서, SIB 메시지를 수신한 이후, UE 102는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있음을 식별한다. 또한, UE 102가 IOPS 모드에서 동작할 수 있고 IOPS 가입 키를 갖고 있기 때문에, UE 102는 IMSI1을 선택한다.
단계 1006에서, UE 102는 IMSI1을 포함하는 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다.
단계 1008에서, IMSI1을 포함하는 ATTACH 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 IMSI1이 IOPS 동작 모드에 대해 인증되는지 여부를 검증한다. 또한, 이 검증이 성공하는 경우, IMSI1에 대응하는 AV가 eNodeB 104 또는 로컬 EPC 108에 의해 생성된다.
단계 1010에서, 성공적인 검증 및 AV 생성 이후, eNodeB 104 또는 로컬 EPC 108은 토큰을 포함하는 AUTH 요청 메시지를 UE 102에 송신한다. 이 토큰은 AUTN, RAND, KSI, 키 인덱스 또는 이들의 조합일 수 있다.
단계 1012에서, UE 102는 eNodeB 104 또는 로컬 EPC 108에 의해 제공되는 AUTH 요청 메시지에 포함된 키 인덱스를 사용하여 키를 식별함으로써 AUTN을 검증한다.
단계 1014에서, 성공적인 검증 이후, UE 102는 RES(예를 들어, 일 파라미터)를 포함하는 AUTH 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다.
단계 1016에서, AUTH 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 RES가 XRES와 동일한지 여부를(예를 들어, eNodeB 104 또는 로컬 EPC 108에서의 PDCP 엔티티 또는 새로운 엔티티에 의해) 검증한다. RES가 XRES와 동일한 경우, 인증이 성공하여 UE 102가 인증된다.
단계 1018에서, SMC 절차 또는 무결성 보호된 통신이 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이에서 수행된다. 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드로 동작하고 있을 경우에 개별적으로 수행된다.
도 11은 개시된 실시 예에 따른, IMSI 및 IMEI를 사용하여 eNodeB 104 또는 로컬 EPC 108을 인증하기 위한 시퀀스 다이어그램 1100이다. eNodeB 104 또는 로컬 EPC 108에 송신된 액세스 클래스 이외에, IMEI가 IOPS 키의 액세스 제어 및 식별에 사용될 수 있다. 예를 들어, UE 102 내의 IMEI의 포맷이 아래의 표 2에 기술되어 있다:
Figure pct00003
도 11을 참고하면, 본 개시의 일 실시 예에서, 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
단계 1102에서, eNodeB 104 또는 로컬 EPC 108은, eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있다는 것을 UE 102에 나타내는 SIB 메시지를 송신한다.
단계 1104에서, SIB 메시지를 수신한 이후, UE 102는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있음을 식별한다. 또한, UE 102가 IOPS 모드에서 동작할 수 있고 IOPS 가입 키를 갖고 있기 때문에, UE 102는 IMSI1을 선택한다.
단계 1106에서, UE 102는 IMSI1 및 IMEI를 포함하는 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다.
단계 1108에서, IMSI1 및 IMEI를 포함하는 ATTACH 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 IMSI1 또는 IMEI가 IOPS 동작 모드에 대해 인증되는지 여부를 검증한다. 또한, 이 검증이 성공하는 경우, IMSI1 또는 IMEI에 대응하는 AV가 eNodeB 104 또는 로컬 EPC 108에 의해 생성된다.
단계 1110에서, 성공적인 검증 및 AV 생성 이후, eNodeB 104 또는 로컬 EPC 108은 토큰을 포함하는 AUTH 요청 메시지를 UE 102에 송신한다. 이 토큰은 AUTN, RAND, KSI, 키 인덱스 또는 이들의 조합일 수 있다.
단계 1112에서, UE 102는 eNodeB 104 또는 로컬 EPC 108에 의해 제공되는 AUTH 요청 메시지에 포함된 키 인덱스를 사용하여 키를 식별함으로써 AUTN을 검증한다.
단계 1114에서, 성공적인 검증 이후, UE 102는 RES(예를 들어, 일 파라미터)를 포함하는 AUTH 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다.
단계 1116에서, AUTH 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 RES가 XRES와 동일한지 여부를(예를 들어, eNodeB 104 또는 로컬 EPC 108에서의 PDCP 엔티티 또는 새로운 엔티티에 의해) 검증한다. RES가 XRES와 동일한 경우, 인증이 성공하여 UE 102가 인증된다.
단계 1118에서, SMC 절차 또는 무결성 보호된 통신이 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이에서 수행된다. 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드에서 동작하고 있을 경우에 개별적으로 수행된다.
도 12는 개시된 실시 예에 따른, eNodeB 104 또는 로컬 EPC 108을 인증하는 방법 1200의 흐름도이다. 단계 1202에서, 방법 1200은 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다. 방법 1200은 USIM 102b가 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하는 것을 가능하게 한다. 이 ATTACH 요청 메시지는 예를 들어, 액세스 클래스, IMSI, UE 102의 능력, IMEI, CSG 셀 ID 또는 이들의 조합을 포함할 수 있다.
도 12를 참고하면, 단계 1204에서, 방법 1200은 토큰을 포함하는 제2 요청 메시지(예를 들어, AUTH 요청 메시지)를 eNodeB 104 또는 로컬 EPC 108로부터 수신한다. 방법 1200은 USIM 102b가 토큰을 포함하는 AUTH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108로부터 수신하는 것을 가능하게 한다.
단계 1206에서, 방법 1200은 토큰을 복호화(decrypting)함으로써 eNodeB 104 또는 로컬 EPC 108과 연관된 키를 추출하는 것을 포함한다. 방법 1200은 USIM 102b가 토큰을 복호화함으로써 eNodeB 104 또는 로컬 EPC 108과 연관된 키를 추출하는 것을 가능하게 한다. 방법 1200은 USIM 102b가 토큰을 복호화함으로써 eNodeB 104 또는 로컬 EPC 108과 연관된 키를 추출하는 것을 가능하게 한다.
단계 1208에서, 방법 1200은 이 키에 기반하여 eNodeB 104 또는 로컬 EPC 108을 인증한다. 방법 1200은 USIM 102b가 이 키에 기반하여 eNodeB 104 또는 로컬 EPC 108을 인증하는 것을 가능하게 한다. 방법 1200은 USIM 102b가 eNodeB 104 또는 로컬 EPC 108을 인증하는 것을 가능하게 한다.
단계 1210에서, 방법 1200은 적어도 하나의 파라미터를 포함하는 응답 메시지(예를 들어, AUTH 응답 메시지)를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다. 방법 1200은 USIM 102b가 적어도 하나의 파라미터를 포함하는 AUTH 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증하는 것을 가능하게 한다. 적어도 하나의 파라미터는 예를 들어, RES, MAC-I 또는 이들의 조합일 수 있다.
단계 1212에서, 방법 1200은 eNodeB 104 또는 로컬 EPC 108로부터 수락 메시지(예를 들어, ATTACH 수락 메시지)를 수신한다. 방법 1200은 USIM 102b가 eNodeB 104 또는 로컬 EPC 108로부터 ATTACH 수락 메시지를 수신하는 것을 가능하게 한다.
방법 1200에서의 다양한 동작, 작동, 블록, 단계 등은 제시된 순서로 수행되거나, 상이한 순서 또는 동시에 수행될 수도 있다. 또한, 일 실시 예에서, 본 개시의 범위 및 사상을 벗어나지 않으면서 동작, 작동, 블록, 단계 등의 일부가 생략, 추가, 수정 또는 스킵 등이 될 수 있다.
도 13은 개시된 실시 예에 따른, KASME(KeNodeB) 교환 메시지 흐름을 위한 아이덴티티 기반 암호화(Identity Based Cryptography, IBC)에 대한 시퀀스 다이어그램 1300이다. IBC가 키 교환을 수행하는데 사용됨으로써, IOPS 모드에서 동작하고 있는 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이의 통신을 보호한다. UE 102는 USIM 102b 내의 그것의 IMSI, IMEI 또는 이동 가입자 통합 서비스 디지털 네트워크 번호(Mobile Subscriber Integrated Services Digital Network number, MSISDN)(예를 들어, 공개 키)에 대응하는 개인 키(private key)를 관련 파라미터들과 함께 제공받는다. IBC 대신에, 보통의 개인 키/공개 키가 사용된다.
도 13을 참고하면, eNodeB 104는 그것의 아이덴티티(예를 들면, 공개 키로서의 PCI(Peripheral Component Interconnect) 또는 eNodeB ID)에 대응하는 개인 키를 관련 파라미터들과 함께 제공받는다. IBC 대신에, 보통의 개인 키/공개 키가 사용된다. eNodeB 104 또는 로컬 EPC 108은 공공-안전 가능 UE 102인 IMSI들, IMEI들 또는 MSISDN들의 리스트(또는 범위)를 가질 수도 있다. 이 통신은 다음과 같이 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이에서 보호되며, eNodeB 104 또는 로컬 EPC 108가 IMSI를 사용하여 특정 UE 102에 대한 데이터(키 KASME일 수 있음)를 보호한다. UE 102는, eNodeB 104 또는 로컬 EPC 108과 통신할 경우에, eNodeB-ID(예를 들어, PCI, eNodeB ID 등)를 사용하여 데이터를 보호한다.
또한 IBC를 사용하여, KASME(또는 KeNodeB)가 eNodeB 104 또는 로컬 EPC 108과 UE 102 사이에서 특정 시간 기간 또는 특정 세션 동안에 공유된다. IMSI 또는 eNodeB ID와 연관된 개인 키가 USIM 102b 또는 보안 환경에서 안전하게 저장된다. 이 시그널링 시퀀스는 UE 102와 eNodeB 104 또는 로컬 EPC 108 간의 통신을 도시한 것이다.
단계 1302에서, eNodeB 104 또는 로컬 EPC 108은 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에서 있음을 나타내는 SIB 메시지를 UE 102에 송신한다.
단계 1304에서, SIB 메시지를 수신한 이후, UE 102는 eNodeB 104 또는 로컬 EPC 108이 IOPS 동작 모드에 있음을 식별한다. 또한, UE 102가 IOPS 모드에서 동작할 수 있고 IOPS 가입 키(예를 들어, 개인 키)를 갖고 있기 때문에, UE 102는 IMSI1을 선택한다.
단계 1306에서, UE 102는 IMSI1을 포함하는 ATTACH 요청 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신한다.
단계 1308에서, IMSI1을 포함하는 ATTACH 요청 메시지를 수신한 이후, eNodeB 104 또는 로컬 EPC 108은 IMSI1이 IOPS 동작 모드에 대해 인증되는지 여부를 검증한다. 또한, 검증이 성공하는 경우, IMSI1에 대한 KASME이 생성된다.
단계 1310에서, 성공적인 인증 및 키 생성 이후, eNodeB 104 또는 로컬 EPC 108은 토큰을 UE 102에 송신한다. 이 토큰은 (공개 키로서) IMSI1을 사용하여 암호화되는 KASME(또는 KeNodeB)를 포함한다. 이 토큰은 KeNodeB, 선택된 보안 기술들, 및 KSI(예를 들어, KeNodeB의 인덱스)로부터 도출된 RRC 초기 키로부터 계산되는 메시지의 MAC-I를 포함한다.
단계 1312에서, AUTH 요청 메시지를 수신한 이후, UE 102는 eNodeB 104 또는 로컬 EPC 108에 의해 제공되는 KASME(또는 KeNodeB)를 복호화(decrypt)하여 획득한다. 또한, UE 102는 키들을 도출하고, 메시지에 수신되는 경우 MAC-I를 검증한다.
단계 1314에서, UE 102는 MAC-I(예를 들어, 파라미터)를 포함하는 AUTH 응답 메시지를 eNodeB 104 또는 로컬 EPC 108에 송신하여 UE 102를 인증한다.
단계 1316에서, AUTH 응답 메시지를 수신한 이후, eNodeB 104 또는 로컬 108은 MAC-I를 검증한다. 성공적인 검증 시에, UE 102는 eNodeB 104 또는 로컬 EPC 108에 의해 인증된다.
단계 1318에서, SMC 절차 또는 무결성 보호된 통신이 UE 102와 eNodeB 104 또는 로컬 EPC 108 사이에서 수행된다. 이 SMC 절차는 eNodeB 104 또는 로컬 EPC 108이 IOPS 모드에서 동작하고 있을 경우에 개별적으로 수행된다.
본 개시의 일 실시 예에서, 이 SMC 절차(예를 들어, 단계 1318)는 개별적으로 수행될 수 있다. 개별적 SMC 절차 대신에, SMC 절차는 키 분배(예를 들어, 단계들 1310, 1312 및 1314)와 함께 수행될 수도 있다.
도 14는 개시된 실시 예에 따른, UE 102와 로컬 EPC 108 간의 인증 방법 및 시스템을 구현하는 컴퓨팅 환경의 블록도이다.
도 14를 참고하면, 컴퓨팅 환경 1402는 제어 유닛 1404 및 산술 논리 유닛(Arithmetic Logic Unit, ALU) 1406이 구비된 적어도 하나의 프로세싱 유닛 1408, 메모리 1410, 스토리지 1412, 복수의 네트워킹 장치들 1416 및 복수의 입출력(I/O) 장치들 1414를 포함한다. 프로세싱 유닛 1408은 기술의 명령들을 처리하는 것을 담당한다. 프로세싱 유닛 1408은 그 처리를 수행하기 위해 제어 유닛 1404로부터 명령들을 수신한다. 또한, 이 명령들의 실행과 관련된 임의의 논리 및 산술 연산들이 ALU 1406의 도움으로 컴퓨팅된다.
컴퓨팅 환경 1402는 다수의 동종 또는 이종 코어들, 상이한 종류의 다수의 CPU, 특수 매체 및 다른 가속기들을 포함할 수 있다. 프로세싱 유닛 1408은 기술의 명령들을 처리하는 것을 담당한다. 또한, 프로세싱 유닛 1408은 단일 칩 상에 존재하거나 또는 다중 칩 상에 존재할 수도 있다.
구현에 필요한 명령들 및 코드들을 포함하는 기술은 메모리 유닛 1410, 스토리지 1412, 또는 양자 모두에 저장된다. 실행 시에, 명령들은 대응하는 메모리 1410 또는 스토리지 1412로부터 인출되어, 프로세싱 유닛 1408에 의해 실행될 수 있다.
하드웨어 구현들의 경우, 다양한 네트워킹 장치들 1416 또는 외부 I/O 장치들 1414가 컴퓨팅 환경 1402에 연결되어 이 네트워킹 장치들 1416 및 I/O 장치들 1414를 통해 구현을 지원할 수 있다.
개시된 실시 예들은 적어도 하나의 하드웨어 장치에서 실행되어 요소들을 제어하기 위해 네트워크 관리 기능을 수행하는 적어도 하나의 소프트웨어 프로그램을 통해 구현될 수 있다. 도 1 및 도 14에 도시된 요소들은, 하드웨어 장치 또는 하드웨어 장치들과 소프트웨어 유닛들의 조합 중 적어도 하나일 수 있는 블록들을 포함한다.
본 개시의 실시 예들에 대한 전술한 설명은 본 개시의 일반적인 성격을 나타내므로 다른 사람들이 현재의 지식을 적용하여 본 개시의 범위 및 사상을 벗어남 없이 이러한 특정 실시 예들을 변형하거나 다양한 응용들에 적응할 수 있으며, 따라서, 이러한 적응 및 변형은 개시된 실시 예들의 등가물의 범위 및 의미 내로 이해되는 것이 의도된다. 본 명세서에서 사용된 용어는 설명의 목적을 위한 것이며 제한을 위한 것이 아님을 이해해야 한다. 따라서, 본 개시의 실시 예들이 설명되었지만, 당업자는 본 명세서의 실시 예들이 첨부된 청구범위 및 그 등가물에 의해 정의되는 바와 같은 본 개시의 사상 및 범위 내에서 변형하여 실시될 수 있음을 인식할 것이다.

Claims (14)

  1. IOPS(isolated E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) operation for public safety) 인에이블된(enabled) UE(user equipment)의 동작 방법에 있어서,
    IOPS-가능(capable) eNB(evolved node B)로부터, IOPS PLMN(public land mobile network) 아이덴티티(identity)를 포함하는 SIB(system information block) 메시지를 수신하는 과정과,
    상기 IOPS PLMN 아이덴티티에 기반하여 전용(dedicated) IOPS USIM(universal subscriber identity module) 어플리케이션을 활성화하는 과정과,
    전용 IOPS USIM 어플리케이션에 기반하여 IOPS-가능 eNB를 인증하는 과정을 포함하는 방법.
  2. 청구항 1에 있어서,
    상기 전용 IOPS USIM 어플리케이션은, 액세스 클래스(access class)로 구성되고,
    상기 액세스 클래스는, 3GPP(3rd generation partnership project)에서 정의되는 11의 액세스 클래스 상태(status) 및 15의 액세스 클래스 상태 중 하나를 포함하는 방법.
  3. 청구항 2에 있어서,
    상기 11의 액세스 클래스 상태 또는 상기 15의 액세스 클래스 상태는, 상기 UE가 상기 IOPS-가능 eNB로 접속하는 것을 허용하고, 상기 IOPS-가능 eNB의 셀 내의 다른 비(non)-IOPS 인에이블된 UE들을 바링(barring)하는 방법.
  4. 청구항 3에 있어서,
    상기 액세스 클래스에 관련된 IOPS 키는, 상기 UE 및 상기 IOPS-가능 eNB 간 공유되는 방법.
  5. 청구항 1에 있어서,
    상기 IOPS-가능 eNB는, 매크로 EPC(evolved packet core)와 연결성(connectivity)를 가지지 아니하고, 로컬 EPC와 동작적으로 연결되는 방법.
  6. IOPS(isolated E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) operation for public safety)-가능(capable) eNB(evolved node B)의 동작 방법에 있어서,
    IOPS PLMN(public land mobile network) 아이덴티티(identity)를 포함하는 SIB(system information block) 메시지를 브로드캐스트하는 과정과,
    전용 IOPS USIM 어플리케이션에 기반하여 IOPS 인에이블된(enabled) UE(user equipment)를 인증하는 과정을 포함하며,
    전용 IOPS USIM 어플리케이션은, IOPS PLMN 아이덴티티에 기반하여, 상기 UE에 의해서 활성화되는 방법.
  7. 청구항 6에 있어서,
    상기 전용 IOPS USIM 어플리케이션은, 액세스 클래스(access class)로 구성되고,
    상기 액세스 클래스는, 3GPP(3rd generation partnership project)에서 정의되는 11의 액세스 클래스 상태(status) 및 15의 액세스 클래스 상태 중 하나를 포함하는 방법.
  8. 청구항 7에 있어서,
    상기 11의 액세스 클래스 상태 또는 상기 15의 액세스 클래스 상태는, 상기 UE가 상기 IOPS-가능 eNB로 접속하는 것을 허용하고, 상기 IOPS-가능 eNB의 셀 내의 다른 비(non)-IOPS 인에이블된 UE들을 바링(barring)하는 방법.
  9. 청구항 8에 있어서,
    상기 액세스 클래스에 관련된 IOPS 키는, 상기 UE 및 상기 IOPS-가능 eNB 간 공유되는 방법.
  10. 청구항 6에 있어서,
    상기 IOPS-가능 eNB는, 매크로 EPC(evolved packet core)와 연결성(connectivity)를 가지지 아니하고, 로컬 EPC와 동작적으로 연결되는 방법.
  11. IOPS(isolated E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) operation for public safety) 인에이블된(enabled) UE(user equipment) 장치에 있어서,
    제어부와,
    상기 제어부와 동작적으로 연결되는 적어도 하나의 송수신부를 포함하며,
    상기 제어부는,
    IOPS-가능(capable) eNB(evolved node B)로부터, IOPS PLMN(public land mobile network) 아이덴티티(identity)를 포함하는 SIB(system information block) 메시지를 수신하고,
    상기 IOPS PLMN 아이덴티티에 기반하여 전용(dedicated) IOPS USIM(universal subscriber identity module) 어플리케이션을 활성화하고,
    전용 IOPS USIM 어플리케이션에 기반하여 IOPS-가능 eNB를 인증하는 장치.
  12. 청구항 11에 있어서,
    상기 전용 IOPS USIM 어플리케이션은, 액세스 클래스(access class)로 구성되고,
    상기 액세스 클래스는, 3GPP(3rd generation partnership project)에서 정의되는 11의 액세스 클래스 상태(status) 및 15의 액세스 클래스 상태 중 하나를 포함하고,
    상기 11의 액세스 클래스 상태 또는 상기 15의 액세스 클래스 상태는, 상기 UE가 상기 IOPS-가능 eNB로 접속하는 것을 허용하고, 상기 IOPS-가능 eNB의 셀 내의 다른 비(non)-IOPS 인에이블된 UE들을 바링(barring)하는 장치.
  13. IOPS(isolated E-UTRAN(Evolved Universal Mobile Telecommunications System Terrestrial Radio Access Network) operation for public safety)-가능(capable) eNB(evolved node B) 장치에 있어서,
    제어부와,
    상기 제어부와 동작적으로 연결되는 적어도 하나의 송수신부를 포함하며,
    상기 제어부는,
    IOPS PLMN(public land mobile network) 아이덴티티(identity)를 포함하는 SIB(system information block) 메시지를 브로드캐스트하고,
    전용 IOPS USIM 어플리케이션에 기반하여 IOPS 인에이블된(enabled) UE(user equipment)를 인증하며,
    전용 IOPS USIM 어플리케이션은, IOPS PLMN 아이덴티티에 기반하여, 상기 UE에 의해서 활성화되는 방법.
  14. 청구항 13에 있어서,
    상기 전용 IOPS USIM 어플리케이션은, 액세스 클래스(access class)로 구성되고,
    상기 액세스 클래스는, 3GPP(3rd generation partnership project)에서 정의되는 11의 액세스 클래스 상태(status) 및 15의 액세스 클래스 상태 중 하나를 포함하고,
    상기 11의 액세스 클래스 상태 또는 상기 15의 액세스 클래스 상태는, 상기 UE가 상기 IOPS-가능 eNB로 접속하는 것을 허용하고, 상기 IOPS-가능 eNB의 셀 내의 다른 비(non)-IOPS 인에이블된 UE들을 바링(barring)하는 장치.
KR1020177013669A 2015-01-09 2016-01-11 사용자 단말과 진화된 패킷 코어 간의 상호 인증 KR102315881B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN160CH2015 2015-01-09
IN160/CHE/2015(PS) 2015-01-09
IN160/CHE/2015(CS) 2015-12-31
PCT/KR2016/000231 WO2016111600A1 (en) 2015-01-09 2016-01-11 Mutual authentication between user equipment and an evolved packet core

Publications (2)

Publication Number Publication Date
KR20170102864A true KR20170102864A (ko) 2017-09-12
KR102315881B1 KR102315881B1 (ko) 2021-10-21

Family

ID=56356211

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177013669A KR102315881B1 (ko) 2015-01-09 2016-01-11 사용자 단말과 진화된 패킷 코어 간의 상호 인증

Country Status (5)

Country Link
US (2) US10219153B2 (ko)
EP (2) EP3243339A4 (ko)
KR (1) KR102315881B1 (ko)
CN (2) CN107018676B (ko)
WO (1) WO2016111600A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067026A (ko) * 2017-12-06 2019-06-14 주식회사 유캐스트 Ran 공유 또는 s1-flex 하에서의 iops 운용 방법 및 이 iops 운용 방법을 사용하는 기지국 및 시스템

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105873010B (zh) * 2015-01-19 2021-11-23 北京三星通信技术研究有限公司 支持用户设备接入无线网络的方法、网络设备及用户设备
US9736229B2 (en) * 2015-02-17 2017-08-15 Microsoft Technology Licensing, Llc Device with embedded network subscription and methods
KR102324538B1 (ko) * 2015-07-03 2021-11-10 삼성전자 주식회사 단독 기지국 망을 지원하는 무선 통신 시스템에서 망 접속 방법 및 장치
US10004054B2 (en) * 2015-07-09 2018-06-19 Acer Incorporated Method of making mobile originated calls using user equipment in IOPS dual PLMN mode of operation
SG11201806343XA (en) 2016-01-26 2018-08-30 Soracom Inc Server and program
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10306470B2 (en) * 2016-04-06 2019-05-28 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
US10588019B2 (en) * 2016-05-05 2020-03-10 Qualcomm Incorporated Secure signaling before performing an authentication and key agreement
CN108055708A (zh) * 2016-09-05 2018-05-18 北京信威通信技术股份有限公司 一种资源释放方法和装置
WO2018068831A1 (en) * 2016-10-11 2018-04-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and node for handling attachment of a ue
CN108235317B (zh) * 2016-12-21 2019-06-21 电信科学技术研究院有限公司 一种接入控制的方法及设备
US20200008052A1 (en) * 2017-01-26 2020-01-02 Telefonaktiebolaget Lm Ericsson (Publ) Attachment of a wireless device to a mobile network operator
WO2018222132A2 (zh) 2017-05-29 2018-12-06 华为国际有限公司 网络认证方法、网络设备及核心网设备
CN109547932B (zh) * 2017-08-15 2023-05-16 华为技术有限公司 一种通信方法及装置
US10939239B2 (en) * 2017-11-06 2021-03-02 Qualcomm Incorporated Systems and methods for coexistence of different location solutions for fifth generation wireless networks
CN107889109B (zh) * 2017-12-01 2021-07-20 Oppo广东移动通信有限公司 网络接入结果的检测方法及装置、计算机存储介质
CN112369077B (zh) * 2018-06-25 2023-10-24 日本电气株式会社 针对紧急服务附接装置时的ue行为
CN110719586B (zh) * 2018-07-13 2022-06-03 成都鼎桥通信技术有限公司 业务建立方法、装置及服务器
CN111356163B (zh) * 2018-12-21 2023-06-13 海能达通信股份有限公司 一种系统信息的通知方法、基站设备及计算机存储设备
WO2020260435A1 (en) * 2019-06-28 2020-12-30 Telefonaktiebolaget Lm Ericsson (Publ) Iops functional model for mission critical services
US11638152B2 (en) * 2019-11-28 2023-04-25 Qualcomm Incorporated Identifying an illegitimate base station based on improper response
EP4017210A1 (en) * 2020-12-17 2022-06-22 Thales DIS France SA Iab rlf recovery
US11991525B2 (en) 2021-12-02 2024-05-21 T-Mobile Usa, Inc. Wireless device access and subsidy control

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040152462A1 (en) * 2003-01-16 2004-08-05 Samsung Electronics Co., Ltd Mobile station and method for selecting public land mobile network thereby
US20140200048A1 (en) * 2013-01-17 2014-07-17 Acer Incorporated Method of automatic sim card selection according to network environment
US20140329503A1 (en) * 2011-11-07 2014-11-06 Alcatel Lucent Method, module of access controls and a ue comprising the same
KR20140135989A (ko) * 2012-03-22 2014-11-27 엘지전자 주식회사 무선 통신 시스템에서 셀 접근 방법 및 장치

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8887235B2 (en) * 2006-10-17 2014-11-11 Mavenir Systems, Inc. Authentication interworking
MY159749A (en) * 2011-03-23 2017-01-31 Interdigital Patent Holdings Inc Systems and methods for securing network communications
CN102170644B (zh) * 2011-05-23 2014-01-08 新邮通信设备有限公司 一种终端设备内共存干扰避免的方法
KR101800659B1 (ko) * 2011-07-08 2017-11-23 삼성전자 주식회사 이동 통신 시스템에서 단말 설정 방법
WO2013039900A1 (en) * 2011-09-16 2013-03-21 Alcatel-Lucent Usa Inc. Network operator-neutral provisioning of mobile devices
US9451455B2 (en) 2012-06-11 2016-09-20 Blackberry Limited Enabling multiple authentication applications
US8867418B2 (en) * 2013-02-17 2014-10-21 Parallel Wireless, Inc. Methods of incorporating an ad hoc cellular network into a fixed cellular network
US10659960B2 (en) 2013-12-23 2020-05-19 Koninklijke Kpn N.V. Method and system for providing security from a radio access network
WO2015152681A1 (en) * 2014-04-03 2015-10-08 Lg Electronics Inc. A method and appartus for supporting an iops in a wireless access system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040152462A1 (en) * 2003-01-16 2004-08-05 Samsung Electronics Co., Ltd Mobile station and method for selecting public land mobile network thereby
US20140329503A1 (en) * 2011-11-07 2014-11-06 Alcatel Lucent Method, module of access controls and a ue comprising the same
KR20140135989A (ko) * 2012-03-22 2014-11-27 엘지전자 주식회사 무선 통신 시스템에서 셀 접근 방법 및 장치
US20140200048A1 (en) * 2013-01-17 2014-07-17 Acer Incorporated Method of automatic sim card selection according to network environment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067026A (ko) * 2017-12-06 2019-06-14 주식회사 유캐스트 Ran 공유 또는 s1-flex 하에서의 iops 운용 방법 및 이 iops 운용 방법을 사용하는 기지국 및 시스템

Also Published As

Publication number Publication date
US10219153B2 (en) 2019-02-26
CN107018676B (zh) 2021-06-25
KR102315881B1 (ko) 2021-10-21
CN113329407A (zh) 2021-08-31
US20190110203A1 (en) 2019-04-11
CN107018676A (zh) 2017-08-04
US20160205550A1 (en) 2016-07-14
EP3243339A1 (en) 2017-11-15
US10681545B2 (en) 2020-06-09
WO2016111600A1 (en) 2016-07-14
EP3243339A4 (en) 2018-02-07
EP4033698A1 (en) 2022-07-27

Similar Documents

Publication Publication Date Title
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
US11863982B2 (en) Subscriber identity privacy protection against fake base stations
US10873464B2 (en) Authentication mechanism for 5G technologies
US11863975B2 (en) Protection of initial non-access stratum protocol message in 5G systems
CN107431916B (zh) 一种用于网络接入技术的方法、用户设备、服务器以及非暂时性计算机可读介质
US11856402B2 (en) Identity-based message integrity protection and verification for wireless communication
KR101554396B1 (ko) 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치
CN111869182B (zh) 对设备进行认证的方法、通信系统、通信设备
WO2016162502A1 (en) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
EP2854329B1 (en) Method, system, and device for securely establishing wireless local area network
KR101625037B1 (ko) Lte 망 초기 접속 구간에서 ue 식별 파라미터의 암호화 방법
CN111264071B (zh) 安全性建立方法、终端装置及网络装置
US10516994B2 (en) Authentication with privacy identity
US20190274039A1 (en) Communication system, network apparatus, authentication method, communication terminal, and security apparatus
JP2019522945A (ja) 秘密識別子を使用するユーザ機器に関連した動作
US20200236536A1 (en) Security establishment method, terminal device, and network device

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right