KR20180004612A - 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 - Google Patents

무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 Download PDF

Info

Publication number
KR20180004612A
KR20180004612A KR1020160084410A KR20160084410A KR20180004612A KR 20180004612 A KR20180004612 A KR 20180004612A KR 1020160084410 A KR1020160084410 A KR 1020160084410A KR 20160084410 A KR20160084410 A KR 20160084410A KR 20180004612 A KR20180004612 A KR 20180004612A
Authority
KR
South Korea
Prior art keywords
security
network slice
network
key information
terminal
Prior art date
Application number
KR1020160084410A
Other languages
English (en)
Other versions
KR102358918B1 (ko
Inventor
이주형
임한나
배범식
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020160084410A priority Critical patent/KR102358918B1/ko
Priority to PCT/KR2017/007088 priority patent/WO2018008943A1/en
Priority to US15/642,261 priority patent/US10735956B2/en
Publication of KR20180004612A publication Critical patent/KR20180004612A/ko
Application granted granted Critical
Publication of KR102358918B1 publication Critical patent/KR102358918B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W76/02
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 LTE와 같은 4G 통신 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 또는 pre-5G 통신 시스템에 관련된 것이다.
본 발명에 따른 단말의 방법은, 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 네트워크에 전송하는 단계, 상기 네트워크 슬라이스의 식별자를 포함한 응답 메시지를 기지국으로부터 수신하는 단계, 및 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 단계를 포함하는 것을 특징으로 한다.

Description

무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 {Method and device for managing a security according to a service in a wireless communication system}
본 발명은 무선 통신 시스템에 관한 것으로, 보다 구체적으로 서비스에 따라 보안을 관리하는 방법 및 장치에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 최근 가상 현실(virtual reality: VR), 증강 현실(augmented reality: AR) 등 신규 서비스를 수용하기 위한 5G 통신 기술 표준화 및 개발이 가속화 됨에 따라 5G 통신 네트워크 기술 논의가 진행 중이다. 현재, 5G 통신 네트워크 기술로 고려되고 있는 핵심 기술 중 하나는 네트워크 기능 가상화(network function virtualization: NFV) 기술과 이를 활용한 네트워크 슬라이싱 (network slicing) 기술이다.
다만, 네트워크 슬라이싱 기술을 사용하는 경우, 모든 패킷 데이터 네트워크 (packet data network: PDN) 연결에 대해 공유된 키를 사용하는 방법은 보안에 적합하지 않으며, 새로운 보안 관리 방법이 필요한 실정이다.
본 발명은 상기와 같은 문제점을 해결하기 위해 창안된 것으로, 각 서비스에 대해 서로 다른 보안 키를 사용함으로써, 서비스에 따라 적응적으로 보안을 관리하는 방법을 제공하는 것을 목적으로 한다.
또한 본 발명은 각 서비스에 대해 보안 알고리즘을 사용함으로써, 서비스에 따라 적응적으로 보안을 관리하는 방법을 제공하는 것을 목적으로 한다.
상기와 같은 문제점을 해결하기 위한 본 발명의 단말의 방법은, 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 네트워크에 전송하는 단계, 상기 네트워크 슬라이스의 식별자를 포함한 응답 메시지를 기지국으로부터 수신하는 단계, 및 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 네트워크의 방법은, 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 단말로부터 수신하는 단계, 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 상기 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 단계, 및 상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 포함한 메시지를 기지국에 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 기지국의 방법은, 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 생성된 보안 콘텍스트를 포함한 설정 요청 메시지를 네트워크로부터 수신하는 단계, 상기 네트워크 슬라이스의 식별자를 포함한 접속 응답 메시지를 송신하는 단계, 및 상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 단말에 있어서, 다른 네트워크 엔티티와 신호를 송수신하는 송수신부 및 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 네트워크에 전송하고, 상기 네트워크 슬라이스의 식별자를 포함한 응답 메시지를 기지국으로부터 수신하고, 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 제어부를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 네트워크에 있어서, 다른 네트워크 엔티티와 신호를 송수신하는 송수신부 및 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 단말로부터 수신하고, 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 상기 네트워크 슬라이스 별로 보안 콘텍스트를 생성하고, 상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 포함한 메시지를 기지국에 전송하는 제어부를 포함하는 것을 특징으로 한다.
또한, 상기와 같은 문제점을 해결하기 위한 본 발명의 기지국에 있어서, 다른 네트워크 엔티티와 신호를 송수신하는 송수신부, 및 서비스 별로 구성된 네트워크 망인 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 생성된 보안 콘텍스트를 포함한 설정 요청 메시지를 네트워크로부터 수신하고, 상기 네트워크 슬라이스의 식별자를 포함한 접속 응답 메시지를 송신하고, 상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 제어부를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 본 발명에서 제안하는 방안을 통해 각 서비스에 대해 서로 다른 보안 키와 서로 다른 보안 알고리즘을 사용함으로써 서비스 별로 독립적인 관리가 가능하다. 또한, 본 발명에서 제안하는 방안을 통해 보안 레벨을 향상시킬 수 있다.
도 1은 본 발명에 따른 네트워크 슬라이싱 기술을 도시한 도면이다.
도 2a는 모든 PDN 연결에 대해 공유 된 보안 키 정보를 사용하여 보안을 제공하는 방법을 도시한 도면이다.
도 2b는 본 발명에 따른 보안 키 정보를 생성하는 과정을 도시한 도면이다.
도 2c는 본 발명의 일 실시예에 따라 네트워크 슬라이싱의 구조를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 구조를 도시한 도면이다.
도 4a는 본 발명의 일 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 4b는 본 발명의 일 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 6은 본 발명의 일실시예에 따라 단말이 네트워크 슬라이스 별로 보안 절차의 시작을 요청하는 방법을 도시한 도면이다.
도 7은 본 발명의 일실시예에 따라 네트워크가 네트워크 슬라이스 별로 보안 절차의 시작을 요청하는 방법을 도시한 도면이다.
도 8은 본 발명의 일실시예에 따라 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 제어하기 위한 방법을 도시한 도면이다.
도 9a 및 9b는 본 발명의 일 실시예에 따라 서비스 타입에 따른 프로토콜 계층을 도시한 도면이다.
도 10은 본 발명의 일 실시예에 따라 프로토콜 구성에 따른 보안 알고리즘을 전송하는 방법을 도시한 도면이다.
도 11은 본 발명의 다른 실시예에 따른 네트워크 구조를 도시한 도면이다.
도 12a는 본 발명의 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 12b는 본 발명의 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
도 13는 본 발명의 다른 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 14는 본 발명의 또 다른 실시예에 따른 네트워크 구조를 도시한 도면이다.
도 15a는 본 발명의 또 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 15b는 본 발명의 또 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
도 16는 본 발명의 또 다른 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 17은 본 발명의 일 실시예에 따른 단말의 구조를 도시한 도면이다.
도 18은 본 발명의 일 실시예에 따른 코어 네트워크의 구조를 도시한 도면이다.
도 19는 본 발명의 일 실시예에 따른 기지국의 구조를 도시한 도면이다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시 예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 명세서에서 실시 예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
도 1은 본 발명에 따른 네트워크 슬라이싱 기술을 도시한 도면이다.
상술한 바와 같이, 5G 통신 네트워크 기술로 고려되고 있는 핵심 기술은 네트워크 기능 가상화(NFV) 기술과 이를 활용한 네트워크 슬라이싱 기술이다.
먼저, 네트워크 기능 가상화란 기존 하드웨어 기반 전용 장비로 구현 되었던 통신 네트워크 장비 기술을 소프트웨어로 가상화하고, 이를 범용 서버에 탑재하는 것을 의미한다.
네트워크가 제공하는 서비스 별로 요구 사항(requirement)이 상이하며, 최적의 서비스를 제공하기 위해서는 서비스에 따라 최적의 네트워크 망을 구성할 필요가 있다. 다만, 기존에는 하드웨어 장비(예를 들어, 이동성 관리 엔티티(mobility management entity: MME), 서빙 게이트웨이(serving gateway: S-GW) 등)를 이용하여 네트워크 망을 구성하였으며, 서비스에 따라 최적의 망을 구성하는 것이 불가능하였다.
하지만, 네트워크 가상화 기술에 따르면, 통신 네트워크 장비의 기능을 소프트웨어로 가상화할 수 있으며, 이를 범용 서버에 탑재함으로써, 동일한 서버가 서로 다른 네트워크 장비의 기능을 수행할 수 있다. 이 때, 하나의 통신 네트워크 장비가 다양한 기능을 수행할 수 있는 경우, 통신 네트워크 장비의 기능별로 따로 구현할 수 있으며 또는 하나의 소프트웨어로 구현할 수도 있다.
따라서, 네트워크 기능 가상화 기술을 통해 기존의 하드웨어 기반의 장비에 종속 된 네트워크 구조를 서비스 기반으로 동적으로 구축할 수 있다.
또한, 가상화 된 네트워크 기능의 인터페이스를 제3자 장치(3rd party)에 제공함으로써, 기존에 제3자 장치(3rd party)에게 블랙 박스(Black Box)였던 통신 네트워크 장비에 접근하여, 통신과 서비스의 타이트(tight) 한 상호 연동(interworking)을 제공할 수 있게 될 수 있다.
이러한 네트워크 기능 가상화 기술이 도입되었을 때, 핵심적으로 고려되고 있는 기술이 네트워크(network: NW) 슬라이싱 기술이며, 네트워크 슬라이싱 기술은 도 1에서 도시하는 바와 같다.
네트워크 슬라이싱 구조는 기지국 자원을 슬라이싱 하는 기지국 슬라이싱(ran slicing, 110)과 코어 네트워크 자원을 슬라이싱 하는 코어 네트워크 슬라이싱(core network(CN) slicing, 120)의 조합으로 구성될 수 있다.
따라서, 네트워크 슬라이싱(NW Slicing)을 지원하기 위해서는 두 개의 슬라이싱을 통해 구성 될 수 있으며, 하나의 슬라이싱만을 통해 구성되는 것도 가능하다.
이러한 네트워크 슬라이싱의 핵심 목적은 다양한 요구사항을 갖게 되는 5G 서비스를 빠르게 도입 하기 위함이다. 예를 들어, 사물 인터넷(internet of things: IoT) 서비스, 모바일 초광대역 통신 서비스 (enhanced mobile broadband: eMBB), 초고신뢰성/저지연 통신 서비스 (ultra-reliable and low latency communications: URLLC), 대규모 기기간 통신 서비스 (massive machine type communications: massive MTC) 등은 서로 다른 요구사항을 가지고 있기 때문에, 서비스 별로 서로 다른 망을 운용할 필요가 있다. 즉, 5G 서비스의 요구사항을 충족시키기 위해, 각 사업자는 서비스 별로 별도의 망을 운영해야 원활한 서비스 제공이 가능하다.
따라서, 네트워크 슬라이싱 기술이란, 네트워크 가상화 기술로 망 자원 및 네트워크 장비 기술을 소프트웨어 기반으로 가상화하여 동적으로 구성할 수 있게 됨으로써, 논리적인 가상망을 지원하는 기술을 의미한다.
즉, 요구사항이 상이한 특정 서비스 별 전용망을 구축하는 것 대신, 동일한 하드웨어 인프라를 공유함에도 불구하고, 논리적으로 가상의 망인 네트워크 슬라이스를 서비스 별로 할당함으로써, 사용자는 각 서비스 별 요구사항을 충족하는 네트워크 자원을 이용하게 될 수 있다. 네트워크 슬라이스란 서비스 별로 구성된 네트워크 망을 의미할 수 있다.
현재 3GPP에서는 이러한 네트워크 슬라이싱 기술을 차세대 5G 기술에 적극 도입하기 위해, 표준화 단계에 있으며, 서비스별로 할당된 네트워크 슬라이스는 독립적인 서비스를 지원하기 때문에, 서로 고립/분리 되어 독립적으로 운용 되어야 하는 요구사항을 도출 한 상태이다.
하지만, 이러한 네트워크 슬라이싱 기반의 5G 네트워크 구조에서는 모든 PDN 연결(PDN connection)에 대해 공유 된 보안 키 정보(key)를 사용하고, 획일적인 보안 레벨(security level) 및 보안 알고리즘을 사용하는 방식은 적합하지 않다. 동일한 보안 키(security key) 사용 시, 해당 보안 키(key)의 노출은 모든 네트워크 슬라이스의 보안 유출을 의미하므로, 독립적인 운용 철학에 위배될 수 있다. 또한, 각 네트워크 슬라이스는 특정 서비스를 제공하는 제3자 장치(3rd party)에 의해 운용 될 가능성이 높기 때문에 제3자 장치는 이러한 획일적인 보안(security) 제공을 원하지 않을 가능성이 높다.
따라서, 차세대 5G 통신 네트워크에서는 서비스에 따라 적응적으로 보안(security)을 적용하는 방안이 필요하다. 본 발명에서는 각 네트워크 슬라이스 별로 독립적인 보안 키(security key) 정보를 도출하고, 각각의 네트워크 슬라이스(Slice) 별로 독립적인 보안(security) 알고리즘을 적용 및 제어하는 방법을 제공한다. 이를 지원하기 위해 기존 4G LTE 보안 키 도출(security key derivation) 및 제어 방안의 전반적인 수정이 수반 될 수 있다.
도 2a는 모든 PDN 연결에 대해 공유 된 보안 키 정보를 사용하여 보안을 제공하는 방법을 도시한 도면이다.
단말과 기지국 및 코어 네트워크는 보안 키 정보를 이용하여 인증을 수행할 수 있다. 구체적으로, 단말과 기지국은 초기 접속 시 인증을 통해 발행된 비 액세스 스트라텀(non-access stratum: NAS) 보안 키 정보(KASME, 210)를 통해 액세스 스트라텀(access stratum: AS) 보안 키 정보(KeNB, 220)를 도출할 수 있다. 따라서, 기지국과 단말은 AS 보안 키 정보를 AS을 인증하기 위한 인증 키로 사용할 수 있다. NAS 보안 키 정보와 AS 보안 키 정보를 생성하는 구체적인 과정은 도 2b에서 설명한다.
도 2b는 본 발명에 따른 보안 키 정보를 생성하는 과정을 도시한 도면이다.
사용자의 범용 가입자 식별 모듈(universal subscriber identification module: USIM) 및 홈 가입자 서버(home subscriber server: HSS)에는 사용자 특정 키(user-specific key)인 K 및 사용자의 국제 이동국 식별 번호(international mobile station identity: IMSI)를 저장하고 있을 수 있다. 이 때, 상기 K 값은 사용자의 IMSI에 대응하는 값을 의미할 수 있다.
단말과 HSS는 상기 K 값을 이용하여 두 개의 보안 키인 CK, IK를 도출할 수 있다. 또한, 단말과 HSS는 도출된 보안 키 CK, IK를 이용하여 NAS 보안 키 정보(KASME)를 생성할 수 있다. 따라서, 단말과 MME는 상호 인증 후 KASME로부터 생성된 NAS 보안 키 정보를 이용하여 무결성 확인을 위한 키 정보(KNAS int) 및 암호화를 위한 키 정보 (KNAS enc)를 생성할 수 있으며, 단말과 MME간의 메시지는 상기 NAS 보안 키 정보에 의해 생성된 무결성 확인을 위한 키 정보(KNAS int) 및 암호화를 위한 키 정보 (KNAS enc)를 이용하여 무결성 보호 및 암호화될 수 있다.
한편, 단말과 MME는 NAS 보안 키 정보를 이용하여 AS 보안 키 정보(KeNB)를 생성할 수 있다. MME는 상기 AS 보안 키 정보를 기지국에 전송할 수 있으며, 단말과 기지국은 AS 보안 키 정보를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(KRRC int) 및 암호화를 위한 키 정보(KRRC enc)를 생성할 수 있으며, 제어 메시지는 상기 키 정보를 통해 무결성 보호 및 암호화될 수 있다. 또한, 단말과 기지국은 AS 보안 키 정보를 이용하여 단말과 기지국간에 송수신하는 데이터를 암호화 하기 위한 키 정보(KUP enc)를 생성할 수 있으며, 데이터는 상기 키 정보를 통해 암호화 될 수 있다.
도 2a로 돌아가면, NAS 보안 키 정보(KASME, 210) 및 AS 보안 키 정보(KeNB, 220)는 추가 PDN 연결 생성 시에도 동일하게 공유되며, 단말, 기지국 및 코어 네트워크는 동일한 보안 키 정보 및 알고리즘을 사용하여 인증을 수행할 수 있다.
예를 들어, 도 2a를 참고하면, 단말과 기지국 및 코어 네트워크 사이에는 인터넷 서비스를 제공하기 위한 PDN 연결 1(230)과 VoLTE 서비스를 제공하기 위한 PDN 연결 (240)가 설립(establish)될 수 있다. 이 때, NAS 보안 키 정보(210)와 AS 보안 키 정보(220)는 PDN 연결 1(230) 및 PDN 연결 2(240)에 동일하게 사용될 수 있다.
하지만, 상술한 바와 같이 모든 PDN 연결에 대해 동일한 보안 키와 보안 알고리즘을 적용하는 방법은 네트워크 슬라이싱 기술을 지원하는 데 문제가 있을 수 있다. 각각의 네트워크 슬라이스는 독립적으로 다른 사업자가 운용하며, 각각의 네트워크 슬라이스에 대한 서비스를 제공하기 위해 요구되는 보안 레벨도 상이하기 때문에, 서비스에 따른 보안을 제공하는 방법이 필요하다.
도 2c는 본 발명의 일 실시예에 따라 네트워크 슬라이싱의 구조를 도시한 도면이다.
상술한 바와 같이, 본 발명은 네트워크 슬라이싱 기술을 기반으로 5G 네트워크 구조에서 서비스에 따른 적응적으로 보안을 적용하는 방법과 관련된 것이다.
도 2c를 참고하면, 단말과 기지국 사이에는 서로 다른 세 개의 랜 슬라이스(251, 252, 253)가 존재할 수 있다. 또한, 기지국과 코어 네트워크 사이에도 서로 다른 세 개의 코어 네트워크 슬라이스(254, 255, 256)가 존재할 수 있다. 본 발명에서 네트워크 슬라이스는 랜 슬라이스와 코어 네트워크 슬라이스로 구성될 수 있다.
예를 들어, 기지국 슬라이스(251)와 코어 네트워크 슬라이스(254)가 제1 네트워크 슬라이스를 구성하며, 기지국 슬라이스(252)와 코어 네트워크 슬라이스(255)가 제2 네트워크 슬라이스를 구성하고, 기지국 슬라이스(253)와 코어 네트워크 슬라이스(256)가 제3 네트워크 슬라이스를 구성할 수 있다. 본 도면에서는 세 개의 네트워크 슬라이스가 설정된 예를 들어 설명하나, 본 발명의 범위가 이에 한정되는 것은 아니다. 즉, 네트워크 슬라이스의 개수는 변경될 수 있다.
본 발명의 목적은 첫째로, 각 네트워크 슬라이스 별로 서로 다른 보안 레벨을 적용하고, 보안 절차의 on/off를 설정하는 방법을 제공할 수 있다.
보안 절차를 수행하는 경우, 보안 절차 지연(security processing delay)으로 인한 지연(latency)이 발생할 수 있으며, 보안 절차 전력 소모 전력(security processing power)로 인해 배터리 소모가 증가될 수 있다. 따라서, 저지연(low latency)을 요구하는 서비스(예를 들어, URLL 서비스) 또는 저지연 및 저전력 소비를 요구하는 서비스(예를 들어, glass 형 AR 기기) 등에 대해서 과도한 보안 절차가 수행되는 경우, 서비스 제공에 문제가 발생할 수 있다.
따라서, 네트워크 슬라이스 별로 보안 절차의 on/off를 각각 설정하고, 서로 다른 보안 레벨과 적용함으로써, 네트워크 슬라이스가 제공하는 서비스의 타입에 따라 적절한 보안을 제공할 수 있다.
예를 들어, 도 2c를 참고하면 제1 네트워크 슬라이스는 UHD 스트리밍 서비스를 제공하기 위한 망으로, 단말은 제1 네트워크 슬라이스에 대해서는 보안 절차를 ON 시키고 보통 레벨(normal level)의 보안을 적용할 수 있다.
반면, 제2 네트워크 슬라이스는 증강 현실(augmented reality)을 제공하기 위한 망으로, 단말은 제2 네트워크 슬라이스에 대해서는 보안 절차를 OFF 시킬 수 있다.
이와 같이 단말은 네트워크 슬라이스 별로 보안 절차를 ON 또는 OFF 시킬 수 있으며, 서로 다른 보안 레벨을 적용할 수 있다.
또한, 둘째로, 본 발명에서는 각 네트워크 슬라이스 별로 독립적인 보안 키 정보를 운용하는 방법을 제공할 수 있다. 상술한 바와 같이, 네트워크 슬라이스는 제3자 장치(3rd party)에 의해 운용될 수 있으므로, 네트워크 슬라이스가 동일한 보안 키 정보를 사용하는 경우, 특정 네트워크 슬라이스의 보안 키 정보가 노출되면 다른 네트워크 슬라이스 보안에 영향을 줄 수 있다. 따라서, 본 발명에서는 각 네트워크 슬라이스 별로 독립적인 보안 키 정보를 운용하는 방법을 제공할 수 있다.
예를 들어, 도 2c를 참고하면, 제1 네트워크 슬라이스에 대해서는 제1 보안 키 정보(security key 1)가 사용될 수 있으며, 제2 네트워크 슬라이스에 대해서는 제2 보안 키 정보(security key 2)가 사용될 수 있다. 이와 같이 본 발명은 독립적인 보안 키 정보를 운용하여, 네트워크 슬라이스에 대한 보안을 강화할 수 있다.
도 3은 본 발명의 일 실시예에 따른 네트워크 구조를 도시한 도면이다.
이하 본 발명의 명세서 전반에서는, 설명의 편의를 위하여 단말을 기준으로 본 발명의 내용을 설명한다. 다만, 본 발명의 실시예가 이에 한정되는 것은 아니며, 본 발명의 내용은 단말, 기지국, 코어 네트워크에 각각 적용될 수 있다.
도 3은 네트워크 슬라이스가 단일 NAS 연결(connection)과 복수개의 AS 연결(connection)을 포함하는 경우를 도시한 도면이다. 또한, 도 3의 경우 복수 개의 AS 연결(connection)은 단일 무선 자원 제어(radio resource control: RRC) 연결(connection)을 공유할 수 있다.
도 3의 네트워크 구조는 모든 제어 엔티티(entity)를 단일화하고, 사용자 평면 엔티티(user plane entity)를 복수화하여, 제어(control)에 의한 시그널링을 최소화 하는 구조이다.
도 3을 참고하면, 네트워크 슬라이스는 단일 NAS 연결을 포함하므로, 단말은 각 네트워크 슬라이스에 대해 동일한 NAS 보안 키 정보(310)를 사용할 수 있다. 또한, 네트워크 슬라이스는 복수 개의 AS 연결을 포함하는 바, 단말은 각 네트워크 슬라이스에 대해 서로 다른 AS 보안 키 정보를 사용할 수 있다. 본 발명에서 AS 보안 키 정보는 제1 AS 보안 키 정보(321), 제2 AS 보안 키 정보(322), 제3 AS 보안 키 정보(333)를 포함하는 예를 들어 설명하나, AS 보안 키 정보의 개수는 변경될 수 있다.
이와 같이, 각 네트워크 슬라이스에 대해 서로 다른 AS 보안 키 정보를 생성하기 위해, 각 네트워크 슬라이스를 식별하기 위한 식별자(이하 네트워크 슬라이스 식별자, NW slice ID 라는 용어를 사용할 수 있다)가 사용될 수 있다. 즉, 네트워크 슬라이스 식별자는 AS 보안 키 정보를 도출(derivation)하기 위한 입력 파라미터로 사용될 수 있다.
이 때, 단말은 네트워크 슬라이스 식별자를 이용하여 보안 키 정보를 생성하기 위해 하기의 방법 중 어느 하나를 사용할 수 있다.
첫째로, 단말은 영구적인 네트워크 슬라이스 식별자(permanent NW slice ID)를 사용하여 보안 키 정보를 생성할 수 있다. 예를 들어, 네트워크 슬라이스가 최초로 등록될 때, 사업자 망 내에서 또는 글로벌(global)하게 식별할 수 있는 고유의 네트워크 슬라이스 식별자 (unique NW slice ID)가 단말에 부여될 수 있다. 상기 네트워크 슬라이스 식별자는 HSS에 저장되어 있을 수 있으며, 단말은 초기 접속 과정에서 상기 네트워크 슬라이스 식별자를 수신하여 네트워크 슬라이스 별로 보안 키를 생성하는 데 사용할 수 있다.
둘째로, 단말은 임시적인 네트워크 슬라이스 식별자(temporary NW slice ID)를 사용하여 보안 키 정보를 생성할 수 있다. 네트워크 슬라이스 연결 생성 시, 모바일 네트워크 사업자(mobile network operation: MNO) 내에서 네트워크 슬라이스를 임시로 식별할 수 있는 랜덤 값을 부여할 수 있다. 따라서, 단말은 임시적인 네트워크 슬라이스 식별자를 이용하여 네트워크 슬라이스 별로 보안 키를 생성할 수 있다.
또한, 단말은 보안 키 정보를 생성하기 위해 제3자 장치와의 인증 과정에서 발생하는 토큰 (혹은 인증 벡터 또는 인증 키)을 사용할 수 있다. 구체적으로, 네트워크 슬라이스가 제3자 장치에 의해 구동되는 경우, 네트워크 슬라이스에서의 망내 인증뿐 아니라, 네트워크 슬라이스를 운용하는 각각의 제3자 장치에서 추가적인 인증이 수행될 수 있다.
단말이 제3자 장치에서 추가 인증을 수행하는 과정에서 토큰이 발생할 수 있으며, 단말은 상기 토큰을 이용하여 네트워크 슬라이스 별로 보안 키 정보를 생성할 수 있다. 또한, 단말은 상기 토큰을 이용하여 망 내 인증을 수행 후 생성된 인증 키와의 조합을 통해, 네트워크 슬라이스 별 보안 키 정보를 생성할 수 있다.
또한, 상술한 바와 같이 본 발명에서는 네트워크 슬라이스 별로 보안 알고리즘을 독립적으로 운용하는 방법을 제공할 수 있다. 예를 들어, 단말은 제1 네트워크 슬라이스에 대해서는 보안을 적용하지 않고, 제2 네트워크 슬라이스에 대해서는 보안을 적용할 수 있다. 즉, 단말은 보안 적용 여부를 네트워크 슬라이스 별로 설정할 수 있다.
또한, 본 발명에서 단말은 네트워크 슬라이스 별로 서로 다른 보안 정책(또는, 보안 설정 정보)를 적용할 수 있다. 따라서, 코어 네트워크는 기지국(RAN)에 네트워크 슬라이스 별로 서로 다른 보안 정책을 알려줄 수 있다. 상기 보안 정책은 예를 들어, 보안 on/off 등을 포함할 수 있다.
네트워크는 최초 접속 시에 결정된 보안 정책에 따라 동작할 수 있으며, 네트워크 슬라이스 별로 보안 정책을 추후에 변경할 수 있다. 따라서, 코어 네트워크는 슬라이스 별로 변경된 보안 정책을 기지국에 알려줄 수 있다. 구체적인 내용은 후술한다.
도 4a는 본 발명의 일 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 4a를 참고하면, 단말과 HSS는 사용자 특정 키인 K 및 상기 K로부터 도출된 보안키인 CK 및 IK를 이용하여 NAS 보안 키 정보를 생성할 수 있다. 또한, 단말과 코어 네트워크는 NAS 보안 키 정보를 이용하여 무결성 확인을 위한 키 정보(KNAS int ) 및 암호화를 위한 키 정보 (KNAS enc)를 생성할 수 있다. 구체적인 내용은 도 2b에서 설명한 바와 유사하며, 이하에서는 생략한다.
한편, 단말은 NAS 보안 키 정보를 이용하여 공통 AS 보안 키 정보(K5G -RAN, 410)를 생성할 수 있다. 공통 AS 보안 키는 하나의 RRC 연결을 지원하기 위해 공통으로 적용되는 보안 키를 의미할 수 있다.
따라서, 모든 네트워크 슬라이스에 대해 단말과 기지국간에 송수신하는 제어 메시지에는 공통 AS 보안 키가 사용될 수 있다. 구체적으로, 단말은 공통 AS 보안 키를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G -RRC int, 411) 및 암호화를 위한 키 정보 (K5G -RRC enc, 412)를 생성할 수 있다. 따라서, 단말과 기지국 간의 제어 메시지는 상기 키 정보를 통해 무결성 보호 및 암호화 될 수 있다.
한편, 단말은 기지국과 단말 간 송수신되는 데이터의 보안을 위해 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보(K5G -RAN, k)를 생성할 수 있다. 네트워크에 k 개의 네트워크 슬라이스가 설정되어 있는 경우, AS 보안키 정보는 제1 AS 보안 키 정보 (420), 제2 AS 보안 키 정보 (430), …, 제k AS 보안 키 정보(440)를 포함할 수 있다.
따라서, 단말은 네트워크 슬라이스 k에 대해 AS 보안 키(K5G -RAN, k)를 이용하여 단말이 송수신하는 데이터에 대한 암호화를 위한 보안 키 정보(K5G -UP enc , k, 441)를 생성할 수 있으며, 상기 보안 키 정보를 이용하여 데이터를 암호화할 수 있다.
이 때, 단말은 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보를 생성하기 위해, 공통 AS 보안 키 정보로부터 네트워크 슬라이스 식별자를 추가 입력(input) 값으로 적용하여 독립적인 AS 보안 키 정보를 생성할 수 있다.
도 4b는 본 발명의 일 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
상술한 바와 같이 단말은 NAS 보안 키 정보를 이용하여 공통 AS 보안 키 정보(K5G-RAN, 450)를 생성할 수 있다. 공통 AS 보안 키는 하나의 RRC 연결을 지원하기 위해 공통으로 적용되는 보안 키를 의미할 수 있다.
따라서, 모든 네트워크 슬라이스에 대해 단말과 기지국간에 송수신하는 제어 메시지에는 공통 AS 보안 키가 사용될 수 있다. 구체적으로, 단말은 공통 AS 보안 키 정보(K5G -RAN, 450)를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(KCPint) 및 암호화를 위한 키 정보 (KCP enc)(481)를 생성할 수 있다. 이 때, 공통 AS 보안 키 정보(K5G -RAN, 450)는 제어 평면 알고리즘(480)과 함께 제어 메시지에 대한 무결성 확인 및 암호화를 위한 입력 파라미터로 사용될 수 있다. 즉, 단말은 공통 보안 키에 제어 평면 알고리즘을 적용하여 제어 메시지에 대한 무결성 확인을 위한 키 정보(KCPint,k) 및 암호화를 위한 키 정보 (KCP enc,k)(481)를 생성할 수 있다.
한편, 기지국과 단말 간 송수신되는 데이터의 보안을 위해 단말은 공통 AS 보안 키 정보(K5G -RAN, 450)를 이용하여 AS 보안 키 정보(K5G -RAN, k)를 생성할 수 있다. 단말은 AS 보안 키 정보(K5G -RAN, k)를 사용하여 각 네트워크 슬라이스에 대해 송수신되는 데이터에 대한 보안을 관리할 수 있다.
이 때, 단말은 네트워크 슬라이스 별로 독립정인 AS 보안 키 정보를 생성하기 위해 공통 AS 보안 키 정보((K5G -RAN, 450))에 추가로 네트워크 슬라이스 식별자(460)를 입력 값으로 사용할 수 있다.
단말은 공통 AS 보안 키 정보(450)와 네트워크 슬라이스 식별자(460)를 입력하여 AS 보안 키 정보(K5G -RAN, k, 470) 획득하고, 상기 AS 보안 키 정보(K5G -RAN, k, 470)를 데이터 평면 알고리즘(490)과 함께 데이터에 대한 암호화를 위한 입력 파라미터로 사용할 수 있다. 즉, 단말은 AS 보안 키 정보(K5G -RAN, k, 470)에 데이터 평면 알고리즘(490)을 적용하여 데이터를 암호화하기 위한 키 정보(KUpenc , k, 491)를 생성할 수 있다.
도 5는 본 발명의 일 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 5를 참고하면, 단말은 S510 단계에서 공통 AS 보안 키(K5G -RAN)를 생성하고, 상기 공통 AS 보안 키를 이용하여 무결성 확인을 위한 키 정보(K5G -RRC int) 및 암호화를 위한 키 정보 (K5G -RRC enc)를 생성할 수 있다(generate K5G -RRC- int , enc). 공통 AS 보안 키를 생성하기 이전 단계는 상술한 바와 유사하므로 본 발명에서는 생략한다.
공통 AS 보안 키를 생성한 후, 단말은 S520 단계에서 단말 정보(UE capability)를 생성할 수 있다. 이 때, 단말이 생성하는 단말 정보는 네트워크 슬라이스 정보 및 보안 관련 정보(security capability)를 포함할 수 있다(new UE capability for addressing NW slice/security capability).
네트워크 슬라이스 정보에는 네트워크 슬라이스의 타입(예를 들어, 어떤 서비스 종류에 매핑되는 네트워크 슬라이스인지 여부)를 지시하는 네트워크 슬라이스 지시자, 단말에 설정되어 있는 네트워크 슬라이스의 개수와 관련된 정보, 네트워크 슬라이스의 식별자 정보 등이 포함될 수 있다.
또한, 보안 관련 정보에는 보안 알고리즘과 관련된 정보, 보안 레벨과 관련된 정보, 각 네트워크 슬라이스의 보안 레벨과 관련된 정보 및 상기 보안 레벨에 따른 보안 알고리즘 정보 등이 포함될 수 있다.
단말은 초기 접속 시 단말이 지원 가능한 모든 보안 알고리즘 정보를 네트워크에 알려주고, 네트워크의 선택에 따라 네트워크 슬라이스 별로 결정된 특정 알고리즘을 사용할 수 있다.
이 후, 단말은 S530 단계에서 각 네트워크 슬라이스에 대해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다(NW slice k connection request). 단말은 각 서비스에 대한 네트워크 망에 접속하기 위해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 접속 요청 메시지에는 단말 정보가 포함될 수 있다.
또한, 접속 요청 메시지는 예를 들어, PDN 접속 요청 메시지를 포함할 수 있다. 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 적어도 하나 이상의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 또는, 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 하나의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다.
접속 요청 메시지를 수신한 코어 네트워크는 S540 단계에서 AS 보안 키 정보(K5G-RAN,k)를 생성할 수 있다. 이 때, 코어 네트워크는 수신된 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G - RAN,k)를 생성할 수 있다(using NW slice ID, generate new K5G-RAN,k).
그리고, 코어 네트워크는 S550 단계에서 초기 콘텍스트 설정(initial context setup) 요청 메시지를 기지국(5G RAN)에 전송할 수 있다.
초기 콘텍스트 설정 요청 메시지에는 네트워크 슬라이스에 대한 보안 콘텍스트가 포함될 수 있다. 보안 콘텍스트에는 보안 알고리즘과 관련된 정보, 네트워크 슬라이스 식별자 정보, AS 보안 키 정보 (K5G -RAN, k) 중 적어도 하나가 포함될 수 있다.
상술한 바와 같이 본 발명에서는 네트워크 슬라이스 별로 서로 다른 보안 레벨이 적용될 수 있다. 따라서, 네트워크 슬라이스 별로 서로 다른 알고리즘이 적용될 수 있으며, 코어 네트워크는 네트워크 슬라이스에 대해 사용할 보안 알고리즘 정보를 초기 콘텍스트 설정 요청 메시지에 포함시켜 기지국에 전송할 수 있다.
기지국은 각 네트워크 슬라이스에 대해 수신된 보안 알고리즘 관련 정보 및 AS 보안 키 정보(K5G - RAN,k)를 이용하여 데이터를 암호화 하기 위한 키 정보를 생성하고, 이를 이용하여 단말과 송수신하는 데이터를 암호화할 수 있다.
초기 콘텍스트 설정 메시지를 수신한 기지국은 S560 단계에서 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다. 기지국은 네트워크 슬라이스 k에 대한 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다.
이후, 기지국은 S570 단계에서 단말의 접속 요청 메시지에 대한 응답으로 RRC 연결 재설정 메시지(5G RRC connection reconfiguration) 또는 접속 승인 메시지(attach accept)를 단말에 전송할 수 있다. 이 때, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 단말에 설정된 네트워크 슬라이스의 식별자가 포함될 수 있다. 또한, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 네트워크 슬라이스 카운터(NW slice counter)가 포함될 수 있다. 또한, 영구적인 네트워크 슬라이스 식별자가 사용되는 경우, 네트워크 식별자는 단말에 저장되어 있을 수 있으며, 기지국은 네트워크 슬라이스 식별자를 RRC 연결 재설정 메시지 또는 접속 승인 메시지에 포함시키지 않을 수 있다. 다만, 본 발명이 이에 한정되는 것은 아니며, 영구적인 네트워크 슬라이스 식별자 역시 기지국으로부터 수신할 수 있다.
RRC 연결 재설정 메시지 또는 접속 승인 메시지를 수신한 단말은 S580 단계에서 네트워크 슬라이스 식별자를 이용하여 보안 콘텍스트를 생성할 수 있다. 즉, 단말은 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G-RAN,k)를 생성하고, 사용할 보안 알고리즘을 확인하여 보안 콘텍스트를 생성할 수 있다.
따라서, 단말과 기지국은 상기 보안 콘텍스트를 이용해 제어 메시지와 데이터에 보안을 적용할 수 있다.
그리고, 단말은 S585 단계에서 RRC 연결 재설정 완료 메시지(5G RRC connection reconfiguration complete)를 기지국에 전송할 수 있다. 이를 수신한 기지국은 S590 단계에서 초기 콘텍스트 설정 응답 메시지(initial context setup response)를 코어 네트워크에 전송할 수 있다.
한편, 상술한 바와 같이 본 발명은 네트워크 슬라이스 별로 보안 절차를 적용할 것인지 여부(보안 절차 on/off 여부)를 결정할 수 있다. 이 때, 네트워크 슬라이스 별로 단말 또는 코어 네트워크가 보안 적용을 요청하도록 할 수 있으며, 구체적인 내용은 이하에서 설명한다.
도 6은 본 발명의 일실시예에 따라 단말이 네트워크 슬라이스 별로 보안 절차의 시작을 요청하는 방법을 도시한 도면이다.
네트워크 별로 보안 절차를 on/off하는 첫 번째 방법은 단말이 보안 알고리즘을 결정하고, 보안 절차를 시작하도록 요청 하는 방법이다(UE initiated). 따라서, 단말은 접속 요청을 할 때, 네트워크 슬라이스 지시자와 보안 알고리즘을 알리기 위한 신규 포맷을 사용할 수 있다.
도 6을 참고하면, 도 6은 네트워크 슬라이스 지시자와 보안 알고리즘을 알리기 위해 기존의 단말 정보를 개선한 신규 단말 정보를 나타낸다.
신규 단말 정보(UE network capability)에는 어떤 서비스 종류에 매핑되는 네트워크 슬라이스 인지 여부를 나타내는 네트워크 슬라이스 타입(예를 들어, eMBB에 매핑되는 슬라이스인지, URLL에 매핑되는 슬라이스 인지)을 나타내는 네트워크 슬라이스 지시자가 spare 파트에 신규로 정의될 수 있다.
구체적으로, 네트워크 슬라이스 지시자는 확장 비트(extension bit)와 슬라이스 지시 비트(slice indication bit)로 구성될 수 있으며, 상기 슬라이스 지시 비트를 통해 네트워크 슬라이스 타입을 지시할 수 있다.
예를 들어, 신규 단말 정보는 하기의 표 1과 같이 정의될 수 있다.
또한, 신규 단말 정보에는 해당 네트워크 슬라이스 타입에 적용 가능한 보안 알고리즘에 대한 정보가 포함될 수 있다.
예를 들어, 신규 단말 정보에 포함되는 네트워크 슬라이스 지시자 및 보안 알고리즘에 대한 정보는 하기의 표 1과 같이 정의될 수 있다.
[표 1]
Figure pat00001
표 1을 참고하면, 인터넷 등의 기본적인 서비스를 제공하기 위한 네트워크 슬라이스는 00, eMBB 서비스를 제공하기 위한 네트워크 슬라이스는 01, eMTC 서비스를 제공하기 위한 네트워크 슬라이스는 10, 증강 현실 서비스를 제공하기 위한 네트워크 슬라이스는 11로 정의될 수 있다.
따라서, 단말은 설정된 네트워크 슬라이스의 타입에 따라 단말 정보에 포함된 슬라이스 지시 비트를 구성하여 네트워크에 전송할 수 있으며, 네트워크는 단말에 설정된 네트워크 슬라이스의 타입을 확인할 수 있다.
또한, 표 1을 참고하면, eMBB 서비스를 제공하기 위한 네트워크 슬라이스에는 보안 알고리즘을 적용하지 않거나 AES 알고리즘을 적용하고, MTC 서비스를 제공하기 위한 네트워크 슬라이스에는 AES 알고리즘을 적용하고, 증강 현실 서비스를 제공하기 위한 네트워크 슬라이스에는 보안 알고리즘을 적용하지 않도록 정의될 수 있다.
이와 같이 단말은 각 네트워크 슬라이스에 적용할 보안 알고리즘 정보를 단말 정보에 포함시켜 전송할 수 있으며, 단말과 코어 네트워크는 상기 보안 알고리즘을 사용할 수 있다.
상기 단말 정보는 접속 요청 시 단말로부터 네트워크에 전송될 수 있으며, 단말과 네트워크는 단말 정보를 이용하여 네트워크 슬라이스 별로 적절한 보안 알고리즘을 적용할 수 있다.
도 7은 본 발명의 일실시예에 따라 네트워크가 네트워크 슬라이스 별로 보안 절차의 시작을 요청하는 방법을 도시한 도면이다.
도 7을 참고하면, 네트워크는 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 설정할 수 있다. 또한, 네트워크는 단말에게 네트워크 슬라이스 별로 보안 알고리즘 수정을 직접 요청할 수 있다. 이를 위해 코어 네트워크는 네트워크 슬라이스 별 AS 보안 정책(예를 들어, 보안 ON/OFF 조건, 보안 알고리즘 수정 요청)을 기지국에게 알려줄 수 있다.
구체적으로, 단말은 S710 단계에서 접속 요청(attach request) 메시지를 기지국을 통해 코어 네트워크에 전송할 수 있다. 이 때, 접속 요청 메시지에는 네트워크 슬라이스 지시자, 단말의 보안 관련 정보(UE security capabilities)가 포함될 수 있다. 또한, 접속 요청 메시지에는 단말 정보(UE NW capability)가 포함될 수 있으며, 네트워크 슬라이스 지시자와 보안 관련 정보는 단말 정보에 포함될 수 있다. 다만, 본 발명의 권리 범위가 이에 한정되는 것은 아니며, 네트워크 슬라이스 지시자와 단말의 보안 관련 정보는 단말 정보와는 별개의 정보로 구성될 수 있다.
이후, 단말, 기지국 코어 네트워크는 S720 단계에서 AKA 인증(AKA authentication) 절차를 수행할 수 있으며, S730 단계에서 NAS 보안 모드 명령 절차(NAS security mode command procedure)를 수행할 수 있다. 이는, 기존 LTE에서의 내용과 동일하며, 구체적인 내용은 생략한다.
이후, 코어 네트워크(5G CN)은 S740 단계에서 초기 콘텍스트 설정 요청(initial context setup request) 메시지를 기지국에 전송할 수 있다. 코어 네트워크는 초기 콘텍스트 설정 요청 메시지에 단말의 보안 관련 정보 및 AS 보안 콘텍스트 정보를 포함시켜, 단말이 지원 가능한 보안 알고리즘과 기지국에서 사용할 기본 키 정보(base line key)를 전송할 수 있다.
구체적으로, 단말의 보안 관련 정보에는 단말이 지원 가능한 보안 알고리즘이 포함될 수 있으며, AS 보안 콘텍스트 정보에는 단말이 사용할 보안 알고리즘과 기지국에서 사용할 기본 키 정보가 포함될 수 있다. 따라서, 단말과 기지국은 상기 정보를 이용하여 데이터 및 제어 메시지를 송수신할 수 있다.
또한, 코어 네트워크는 네트워크 슬라이스 별 보안 정책을 포함하는 AS 보안 정책을 전송할 수 있다. 이 때, AS 보안 정책에는 보안 절차의 ON/OFF 트리거링 조건과 관련된 정보가 포함될 수 있다. 예를 들어, AS 보안 정책에는 보안 처리로 인한 T-put이 저하되는 경우 보안 절차를 OFF하도록 설정될 수 있다. 또는 단말의 배터리가 부족한 경우 보안 절차가 OFF되도록 설정될 수 있다. 이 때, 기지국은 단말의 배터리가 부족한 지 여부를 확인하기 위해 단말로부터 배터리가 부족함을 알리는 지시자를 수신할 수 있다.
그리고 기지국은 S750 단계에서 수신된 AS 보안 콘텍스트 정보 및 단말의 보안 관련 정보를 이용하여 네트워크 슬라이스에 적용할 보안 알고리즘을 선택할 수 있다. 따라서, 기지국은 보안 절차의 ON/OFF 트리거링 조건에 따라 보안 절차를 ON 시키는 경우에 선택된 보안 알고리즘을 적용하여 데이터 및 제어 메시지를 송수신할 수 있다.
이와 같이, 기지국은 코어 네트워크가 설정한 AS 보안 정책에 따라 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 결정하고, 보안 알고리즘을 선택할 수 있다.
따라서, 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 제어하기 위한 동작이 필요하며, 구체적인 내용은 도 8에서 설명한다.
도 8은 본 발명의 일실시예에 따라 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 제어하기 위한 방법을 도시한 도면이다.
기지국은 네트워크가 설정한 AS 보안 정책에 따라 네트워크 슬라이스 별로 보안 절차의 ON/OFF를 제어할 수 있다.
기지국은 S810 단계에서 특정 네트워크 슬라이스의 보안 절차를 ON 또는 OFF하기 위해 보안 모드 명령(SecurityModeCommand: SMC) 메시지를 단말에 전송할 수 있다. 이 때, 보안 모드 명령 메시지에는 보안 알고리즘(예를 들어, 암호화, 무결성 보호를 위한 알고리즘)이 포함될 수 있으며, 제어하고자 하는 특정 네트워크 슬라이스의 식별자가 포함될 수 있다. 따라서, 단말은 수신된 메시지에 포함된 보안 알고리즘을 수신된 메시지에 포함된 네트워크 슬라이스 식별자에 상응하는 네트워크 식별자에 적용할 수 있다.
다만, 보안 모드 명령 메시지가 보안 절차 OFF 시키기 위한 메시지인 경우, 보안 모드 명령 메시지에는 보안 알고리즘이 포함되지 않거나 또는 NULL 알고리즘으로 세팅될 수 있으며, 단말은 수신된 보안 모드 명령 메시지에 보안 알고리즘이 포함되지 않은 경우, 네트워크 슬라이스에 보안 절차를 OFF 시킬 수 있다.
또한, 기지국은 특정 네트워크 슬라이스의 보안 알고리즘의 변경을 요청하기 위해 보안 모드 명령 메시지를 단말에 전송할 수 있다. 따라서, 단말은 보안 모드 audffud 메시지를 수신하는 경우, 보안 모드 명령 메시지에 포함된 네트워크 식별자에 상응하는 네트워크 슬라이스의 보안 알고리즘을 보안 모드 명령 메시지에 포함된 보안 알고리즘으로 변경하여 적용할 수 있다.
보안 모드 명령 메시지를 수신한 단말은 S820 단계에서 이에 대한 응답 메시지(SecurityModeComplete) 메시지를 기지국에 전송할 수 있다.
한편, 본 발명은 서로 다른 제어 유닛 기능(control unit function)을 제공하는 네트워크 슬라이스 구조에 따른 보안 적용에도 활용할 수 있다. 예를 들어, 본 발명에서 각 네트워크 슬라이스는 서비스 타입에 맞게 서로 다른 프로토콜 계층을 구성할 수 있다.
도 9a 및 9b는 본 발명의 일 실시예에 따라 서비스 타입에 따른 프로토콜 계층을 도시한 도면이다.
도 9a를 참고하면, 서비스 타입에 따라 서로 다른 프로토콜 계층이 구성될 수 있다. 예를 들어, 랜 슬라이스 0(RAN slice 0)는 인터넷과 같은 기본적인 서비스를 제공하기 위한 랜 슬라이스를 의미할 수 있다. 랜 슬라이스 1(RAN slice 1)은 eMBB 서비스를 제공하기 위한 랜 슬라이스를 의미할 수 있다. 랜 슬라이스 2(RAN slice 2)는 URLL 서비스를 제공하기 위한 랜 슬라이스를 의미할 수 있다. 랜 슬라이스 3(RAN slice 3)는 eMTC 서비스를 제공하기 위한 랜 슬라이스를 의미할 수 있다.
이 때, RAN slice 0는 RRC 계층, PDCP 계층, RLC 계층, MAC 계층을 모두 포함한 프로토콜 계층으로 구성될 수 있다. 반면, RAN slice 1는 RRC 계층이 존재하지 않고, PDCP 계층과 RLC 계층이 하나의 계층으로 구성될 수 있다. 또한, RAN slice 2는 RRC 계층이 존재하지 않을 수 있으며, RAN slice 3는 RLC 계층, MAC 계층으로만 구성될 수 있다.
도 9b를 참고하면, 도 9b는 네트워크 슬라이스에 따른 프로토콜 계층의 구성을 도시한다.
네트워크 슬라이스 0는 NAS 계층, RRC 계층, PDCP 계층, RLC 계층, MAC 계층을 포함한 프로토콜 계층으로 구성될 수 있다. 따라서, NAS 계층에서는 NAS 보안 키 정보(KASME)를 이용하여 공통 AS 보안키 정보(K5G-RAN)을 생성하고, 상기 공통 AS 보안키 정보(K5G -RAN)를 이용하여 네트워크 슬라이스 0에 대한 AS 보안키 정보(K5G-RAN,1)를 생성할 수 있다.
RRC 계층에서는 공통 AS 보안키 정보를 이용하여 KRRCenc, KRRCint를 생성하여 제어 메시지의 무결성 보호 및 암호화를 수행할 수 있다.
또한, PDCP 계층에서는 보안 알고리즘을 AES 알고리즘으로 선택하고, K5G - RAN,1를 이용하여 KUpenc,1를 생성하여 데이터를 암호화할 수 있다.
한편, 네트워크 슬라이스 k에는 RRC 계층 및 PDCP 계층이 존재하지 않을 수 있다. 이와 같이 PDCP 계층이 존재하지 않는 경우, 네트워크 슬라이스는 별도의 보안을 적용할 필요가 없다.
따라서, 기지국은 각 네트워크 슬라이스 별 프로토콜 설정 정보를 획득하고, 이에 따른 보안 알고리즘을 사전에 공지할 수 있다. 이는 상술한 보안 모드 명령 메시지를 통해 구현할 수 있다.
도 10은 본 발명의 일 실시예에 따라 프로토콜 구성에 따른 보안 알고리즘을 전송하는 방법을 도시한 도면이다.
도 10을 참고하면, 단말이 네트워크 슬라이스 요청 시, 기지국은 네트워크 슬라이스에 요구되는 프로토콜 설정 정보(예를 들어, 네트워크 슬라이스 k = MAC, RLC 셋업 요구(setup required))를 단말 및 기지국에 셋업할 수 있다.
이 때, 프로토콜 설정 정보에 PDCP 계층이 존재하지 않는 경우, 기지국은 S1010 단계에서 보안 모드 명령(SecurityModeCommand) 메시지를 단말에 전송할 수 있다. 이 때, 보안 모드 명령 메시지에는 NULL Algorithm 및 네트워크 슬라이스 식별자(예를 들어, NW slice ID=k)가 포함될 수 있다.
이와 같은 메시지를 수신한 경우, 단말은 네트워크 슬라이스 k에 대해서는 보안 알고리즘이 적용되지 않음을 확인할 수 있다. 따라서, 단말은 네트워크 슬라이스 k를 통해 제공되는 서비스에 대해 보안 알고리즘을 적용하지 않을 수 있다.
보안 모드 명령 메시지를 수신한 단말은 S1020 단계에서 보안 모드 완료(SecurityModeComplete) 메시지를 기지국에 전송할 수 있다.
도 11은 본 발명의 다른 실시예에 따른 네트워크 구조를 도시한 도면이다.
도 11은 네트워크 슬라이스가 복수개의 NAS 연결(connection)과 복수개의 AS 연결(connection)을 포함하는 경우를 도시한 도면이다.
도 11을 참고하면, 네트워크 슬라이스는 복수개의 NAS 연결을 포함하므로, 단말은 각 네트워크 슬라이스에 대해 복수개의 NAS 보안 키 정보를 사용할 수 있다. 본 발명에서는 복수개의 NAS 보안 키 정보를 각각 제1 NAS 보안키 정보(1121), 제2 NAS 보안키 정보(1122), 제3 NAS 보안키 정보(1123)을 포함할 수 있다.
또한, 네트워크 슬라이스는 복수 개의 AS 연결을 포함하는 바, 단말은 각 네트워크 슬라이스에 대해 서로 다른 AS 보안 키 정보를 사용할 수 있다. 본 발명에서 복수개의 AS 보안 키 정보는 제1 AS 보안 키 정보(1111), 제2 AS 보안 키 정보(1112), 제3 AS 보안 키 정보(1113)를 포함할 수 있다. 다만, 본 발명의 범위가 이에 한정되는 것은 아니며, NAS 보안키와 AS 보안 키 정보의 개수는 변경될 수 있다.
이와 같이, 각 네트워크 슬라이스에 대해 서로 다른 NAS 보안 키 정보 및 AS 보안 키 정보를 생성하기 위해, 다양한 방법이 사용될 수 있다. 구체적인 내용은 후술한다.
도 12a는 본 발명의 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 12a를 참고하면, 단말은 사용자 특정 키인 K 및 상기 K로부터 도출된 보안키인 CK 및 IK를 이용하여 각 네트워크 슬라이스 별로 NAS 보안 키 정보(KASME,K)를 생성할 수 있다.
구체적으로, 단말은 USIM에 저장된 K를 네트워크는 HSS에 저장된 K를 이용하여 CK와 IK를 도출할 수 있다. 단말은 도출 된 CK와 IK를 활용하여 복수개의 인증 키 벡터를 생성 후 코어 네트워크에 송부할 수 있다. 따라서, 네트워크는 상기 수신된 다양한 인증 키 벡터를 이용해 다수의 NAS 보안 키 정보를 생성할 수 있다.
따라서, 네트워크가 단말로부터 신규 네트워크 슬라이스 생성 요청을 위한 메시지를 수신하는 경우, 수신된 다양한 인증 키를 통해 생성된 NAS 보안 키 정보 중 할당되지 않은 보안 키 정보를 네트워크 슬라이스에 할당할 수 있다.
또는, 단말은 USIM에 네트워크 슬라이스 별로 각각 다른 K를 저장하고, 네트워크 슬라이스 별로 망 내에서의 인증 절차 후 네트워크 슬라이스 별 세부 보안 키 정보를 도출할 수 있다.
따라서, 단말은 각 네트워크 슬라이스 별로 생성된 NAS 보안키 정보(KASME,K, 1210)를 이용하여 무결성 확인을 위한 키 정보(K5G -NAS int , k, 1211) 및 암호화를 위한 키 정보 (K5G-NAS enc, k, 1212)를 생성할 수 있다.
또한, 단말은 네트워크 슬라이스 별로 생성된 NAS 보안 키 정보(KASME,K, 1210)를 이용하여 AS 보안 키 정보(K5G -RAN, k. 1220)를 생성할 수 있다.
따라서, 단말은 AS 보안 키 정보(K5G - RAN,k, 1220)를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G -RRC int , k, 1223) 및 암호화를 위한 키 정보 (K5G -RRC enc , k, 1222)를 생성할 수 있으며, 단말과 기지국 간의 제어 메시지는 상기 키 정보를 통해 무결성 보호 및 암호화 될 수 있다.
또한, 기지국과 단말 간 송수신되는 데이터의 보안을 위해 단말은 네트워크 슬라이스 별로 생성된 AS 보안 키 정보(K5G -RAN, k, 1220)를 이용하여 단말이 송수신하는 데이터에 대한 암호화를 위한 키 정보(K5G -UP enc , k, 1221)를 생성할 수 있으며, 상기 키 정보를 이용하여 데이터를 암호화할 수 있다.
도 12b는 본 발명의 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
상술한 바와 같이 단말은 USIM에 저장된 K 를 네트워크는 HSS에 저장된 K를 이용해 NAS 보안 키 정보를 도출할 수 있다. 이 때, 네트워크는 초기 네트워크 슬라이스 생성 시 인증 서버로부터 다양한 인증 키 인덱스 (KSIASME)를 수신할 수 있다. 따라서, 네트워크는 상기 수신된 다양한 인증 키 인덱스를 이용해 다수의 NAS 보안 키 정보(KASME,1, KASME,2, … , KASME,K) 중 해당 인덱스에 매핑 되는 키를 선택할 수 있다. 따라서, 네트워크가 단말로부터 신규 네트워크 슬라이스 생성 요청을 위한 메시지를 수신하는 경우, 수신된 다양한 인증 키 인덱스를 통해 생성된 NAS 보안 키 정보 중 할당되지 않은 보안 키 정보를 네트워크 슬라이스에 할당할 수 있다.
또는, 단말은 네트워크 슬라이스 별로 제3자 장치와의 인증 절차에서 발생한 토큰을 이용하여 각 네트워크 슬라이스 별로 NAS 보안 키 정보를 생성할 수 있다.
단말은 네트워크 슬라이스 별로 생성된 NAS 보안 키 정보와 업링크 NAS 카운트(UL NAS Count)를 이용하여 네트워크 슬라이스 별로 AS 보안 키 정보를 생성할 수 있다.
도 13는 본 발명의 다른 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 13을 참고하면, 코어 네트워크는 S1310 단계에서 인증 서버로부터 수신된 다수의 인증 키 인덱스 (KSIASME) 및 상기 인증 키 인덱스를 사용하여 추출 된 보안 키 벡터(KASME , i, 또는 인증 키 벡터)를 저장할 수 있다. 구체적으로, 코어 네트워크는 NAS 보안 키 벡터(KASME , i)를 생성하고, 네트워크 슬라이스 별로 i를 지칭하는 인증 키 인덱스(KSIASME)를 사용하여 네트워크 슬라이스 k를 위한 특정 NAS 보안 키 정보(KASME,k)를 생성할 수 있다. NAS 보안 키 정보(KASME,k)를 생성하는 과정은 후술한다. 단말은 S1320 단계에서 단말 정보(UE capability)를 생성할 수 있다. 이 때, 단말이 생성하는 단말 정보는 네트워크 슬라이스 및 보안 정보(security capability)에 대한 정보를 포함한 단말 정보를 의미할 수 있다(new UE capability for addressing NW slice/security capability).
네트워크 슬라이스 정보에는 네트워크 슬라이스의 타입(예를 들어, 어떤 서비스 종류에 매핑되는 네트워크 슬라이스인지 여부)를 지시하는 네트워크 슬라이스 지시자, 단말에 설정되어 있는 네트워크 슬라이스의 개수와 관련된 정보, 네트워크 슬라이스의 식별자 정보 등이 포함될 수 있다.
또한, 보안 정보에는 보안 알고리즘과 관련된 정보, 보안 레벨과 관련된 정보, 각 네트워크 슬라이스의 보안 레벨과 관련된 정보 및 상기 보안 레벨에 따른 보안 알고리즘 정보 등이 포함될 수 있다.
단말은 초기 접속 시 단말이 지원 가능한 모든 보안 알고리즘 정보를 네트워크에 알려주고, 네트워크의 선택에 따라 네트워크 슬라이스 별로 결정된 특정 알고리즘을 사용할 수 있다.
이 후, 단말은 S1330 단계에서 각 네트워크 슬라이스에 대해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다(NW slice k connection request). 즉, 단말은 각 서비스에 대한 네트워크 망에 접속하기 위해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 접속 요청 메시지에는 단말 정보가 포함될 수 있다.
또한, 접속 요청 메시지는 예를 들어, PDN 접속 요청 메시지를 포함할 수 있다. 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 적어도 하나 이상의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 또는, 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 하나의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다.
접속 요청 메시지를 수신한 코어 네트워크는 S1340 단계에서 NAS 보안 키 정보 및 AS 보안 키 정보를 생성할 수 있다. 코어 네트워크는 S1310 단계에서 저장된 NAS 보안 키 벡터(KASME , i)와 인증 키 인덱스(KSIASME)를 이용하여 NAS 보안 키 정보를 생성할 수 있으며, 코어 네트워크는 사용되지 않은 인증 키(KSIASME)를 이용할 수 있다. 구체적은 내용은 상술한 바와 동일하며, 이하에서는 생략할 수 있다.
또한, 코어 네트워크는 NAS 보안 키 정보를 이용해 AS 보안 키 정보를 생성할 수 있다.
그리고, 코어 네트워크는 S1350 단계에서 초기 콘텍스트 설정(initial context setup) 요청 메시지를 기지국(5G RAN)에 전송할 수 있다.
초기 콘텍스트 설정 요청 메시지에는 네트워크 슬라이스에 대한 보안 콘텍스트가 포함될 수 있다. 보안 콘텍스트에는 보안 알고리즘과 관련된 정보, 네트워크 슬라이스 식별자 정보, NAS 인증 키 정보(KASME, k) 를 생성하기 위해 사용된 인증 키 정보(KSIASME), 또는 AS 보안 키 정보 중 적어도 하나가 포함될 수 있다.
상술한 바와 같이 본 발명에서는 네트워크 슬라이스 별로 서로 다른 보안 레벨이 적용될 수 있다. 따라서, 네트워크 슬라이스 별로 서로 다른 알고리즘이 적용될 수 있으며, 코어 네트워크는 네트워크 슬라이스에 대해 사용할 보안 알고리즘 정보를 초기 콘텍스트 설정 요청 메시지에 포함시켜 기지국에 전송할 수 있다.
기지국은 각 네트워크 슬라이스에 대해 수신된 보안 알고리즘 관련 정보 및 AS 보안 키 정보(K5G - RAN,k)를 이용하여 제어 메시지의 무결성 보호 및 암호화 하기 위한 키 정보와 데이터를 암호화 하기 위한 키 정보를 생성할 수 있다. 따라서, 기지국은, 이를 이용하여 단말과 송수신하는 제어 메시지를 무결성 보호 및 암호화 하고, 데이터를 암호화할 수 있다.
초기 콘텍스트 셋업 메시지를 수신한 기지국은 S1360 단계에서 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다. 기지국은 네트워크 슬라이스 k에 대한 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다. 상술한 바와 같이 기지국은 AS 보안 키 정보(K5G-RAN,k)를 이용하여 단말과 송수신하는 제어 메시지 및 데이터에 대해 암호화할 수 있다.
이후, 기지국은 S1370 단계에서 RRC 연결 재설정 메시지(5G RRC connection reconfiguration) 또는 접속 승인 메시지(attach accept)를 단말에 전송할 수 있다. 이 때, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 NAS 인증 키 정보(KASME, k) 를 생성하기 위해 사용된 인증 키 정보(KSIASME)가 포함될 수 있다.
RRC 연결 재설정 메시지 또는 접속 승인 메시지를 수신한 단말은 S1380 단계에서 KSIASME를 이용하여 보안 콘텍스트를 생성할 수 있다. 즉, 단말은 KSIASME를 이용하여 NAS 보안 키 정보(KASME , k) 및 AS 보안 키 정보(K5G - RAN,k)를 생성하고, 사용할 보안 알고리즘을 확인하여 보안 콘텍스트를 생성할 수 있다.
따라서, 단말과 기지국은 상기 보안 콘텍스트를 이용해 제어 메시지와 데이터에 보안을 적용할 수 있다. 또한, 단말과 코어 네트워크는 보안 콘텍스트를 이용해 상호 간에 송수신하는 메시지에 보안을 적용할 수 있다.
그리고, 단말은 S1385 단계에서 RRC 연결 재설정 완료 메시지(5G RRC connection reconfiguration complete)를 기지국에 전송할 수 있다. 이를 수신한 기지국은 S1390 단계에서 초기 콘텍스트 설정 응답 메시지(initial context setup response)를 코어 네트워크에 전송할 수 있다. .
도 14는 본 발명의 또 다른 실시예에 따른 네트워크 구조를 도시한 도면이다.
도 14는 네트워크 슬라이스가 단일 NAS 연결(connection)과 복수개의 AS 연결(connection)을 포함하는 경우를 도시한 도면이다. 다만, 본 실시예에서는 도 3과는 달리 복수개의 AS 연결은 복수 개의 RRC 연결을 사용하는 것을 특징으로 한다.
도 14를 참고하면, 네트워크 슬라이스는 단일 NAS 연결을 포함하므로, 단말은 각 네트워크 슬라이스에 대해 동일한 NAS 보안 키 정보(1410)을 사용할 수 있다. 또한, 네트워크 슬라이스는 복수 개의 AS 연결을 포함하는 바, 단말은 각 네트워크 슬라이스에 대해 서로 다른 AS 보안 키 정보를 사용할 수 있다. 본 발명에서는 제1 AS 보안 키 정보(1421), 제2 AS 보안 키 정보(1422), 제3 AS 보안 키 정보(1433)을 사용할 수 있다. 다만, 본 발명의 범위가 이에 한정되는 것은 아니며, AS 보안 키 정보의 개수는 변경될 수 있다.
이와 같이, 각 네트워크 슬라이스에 대해 서로 다른 AS 보안 키 정보를 생성하기 위해, 네트워크 슬라이스 식별자가 사용될 수 있다. 즉, 네트워크 슬라이스 식별자는 AS 보안 키 정보를 도출(derivation)하기 위한 입력 파라미터로 사용될 수 있다.
이 때, 단말은 네트워크 슬라이스 식별자를 이용해 AS 보안 키 정보를 생성하기 다양한 방법을 사용할 수 있다. 구체적인 내용은 상술한 바와 동일하며, 이하에서는 생략한다.
또한, 발명에서는 네트워크 슬라이스 별로 보안 알고리즘을 독립적으로 운용할 수 있다. 구체적인 내용은 상술한 바와 동일하며, 이하에서는 생략한다.
또한, 본 발명에서 코어 네트워크는 기지국(RAN)에 네트워크 슬라이스 별로 서로 다른 보안 정책(또는, 보안 설정 정보)을 알려줄 수 있다. 구체적인 내용은 상술한 바와 동일하며, 이하에서는 생략한다.
도 15a는 본 발명의 또 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 방법을 도시한 도면이다.
도 15a를 참고하면, 단말과 HSS는 사용자 특정 키인 K 및 상기 K로부터 도출된 보안키인 CK 및 IK를 이용하여 NAS 보안 키 정보를 생성할 수 있다. 또한, 단말과 코어 네트워크는 NAS 보안 키 정보를 이용하여 무결성 확인을 위한 키 정보(KNAS int) 및 암호화를 위한 키 정보 (KNAS enc)를 생성할 수 있다. 구체적인 내용은 도 2b에서 설명한 바와 유사하며, 이하에서는 생략한다.
따라서, 단말은 각 네트워크 슬라이스 별로 생성된 NAS 보안키 정보(KASME,K)를 이용하여 무결성 확인을 위한 키 정보(K5G -NAS int , k) 및 암호화를 위한 키 정보 (K5G-NAS enc, k)를 생성할 수 있다.
한편, 단말은 NAS 보안 키 정보를 이용하여 네트워크 슬라이스 별로 AS 보안 키 정보(K5G-RAN, k)를 생성할 수 있다.
따라서, 단말은 네트워크 슬라이스 k에 대해 AS 보안 키 정보(K5G -RAN, k)를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G-RRC int , k) 및 암호화를 위한 키 정보 (K5G -RRC enc , k)를 생성할 수 있으며, 단말과 기지국 간의 제어 메시지는 상기 키 정보를 통해 무결성 보호 및 암호화 될 수 있다.
또한, 기지국과 단말 간 송수신되는 데이터의 보안을 위해 단말은 네트워크 슬라이스 별로 생성된 AS 보안 키 정보(K5G -RAN, k)를 이용하여 단말이 송수신하는 데이터에 대한 암호화를 위한 키 정보(K5G -UP enc , k)를 생성할 수 있으며, 상기 키 정보를 이용하여 데이터를 암호화할 수 있다.
이 때, 단말은 네트워크 슬라이스 별로 AS 보안 키 정보를 생성하기 위해, 네트워크 슬라이스 식별자를 추가 입력(input) 값으로 적용할 수 있다.
도 15b는 본 발명의 또 다른 실시예에 따라 네트워크 슬라이스 별로 보안 키를 생성하는 구체적인 방법을 도시한 도면이다.
단말은 NAS 보안 키 정보를 이용하여 기본 AS 보안 키 정보(K5G -RAN, 1550)를 생성하고, K5G -RAN를 이용하여 AS 보안 키 정보를 생성할 수 있다.
그리고, 단말은 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보를 생성하기 위해 K5G -RAN 에 추가로 네트워크 슬라이스 식별자(1560)를 입력 값으로 사용할 수 있다. 수 있다.
따라서, 단말은 K5G -RAN와 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G-RAN, k)를 도출(derivation)할 수 있다.
따라서, 단말은 AS 보안 키 정보(K5G -RAN, k)를 이용하여 네트워크 슬라이스 k에 대해 단말과 기지국이 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(KCPint,k) 및 암호화를 위한 키 정보 (KCP enc,k)(1571)를 생성할 수 있다.
이 때, AS 보안 키 정보(K5G -RAN, k, 1570)는 제어 평면 알고리즘(1580)과 함께 제어 메시지에 대한 무결성 확인 및 암호화를 위한 입력 파라미터로 사용될 수 있다. 즉, 단말은 공통 보안 키에 제어 평면 알고리즘을 적용하여 제어 메시지에 대한 무결성 확인을 위한 키 정보(KCPint,k) 및 암호화를 위한 키 정보 (KCP enc,k)(1571)를 생성할 수 있다.
또한, AS 보안 키 정보(K5G -RAN, k, 1570)는 데이터 평면 알고리즘(1590)과 함께 네트워크 슬라이스 k에 대해 송수신되는 데이터를 암호화하기 위한 입력 파라미터로 사용될 수 있다. 즉, 단말은 AS 보안 키 정보(K5G -RAN, k, 1570)에 데이터 평면 알고리즘(1590)을 적용하여 데이터를 암호화하기 위한 키 정보(KUpenc , k, 1595)를 생성할 수 있다.
도 16는 본 발명의 또 다른 실시예에 따른 보안 제어 방법을 도시한 도면이다.
도 16을 참고하면, 단말은 S1610 단계에서 단말 정보(UE capability)를 생성할 수 있다. 이 때, 단말이 생성하는 단말 정보는 네트워크 슬라이스 및 보안 정보(security capability)에 대한 정보를 포함한 신규 단말 정보를 의미할 수 있다(new UE capability for addressing NW slice/security capability).
네트워크 슬라이스 정보에는 네트워크 슬라이스의 타입(예를 들어, 어떤 서비스 종류에 매핑되는 네트워크 슬라이스인지 여부)를 지시하는 네트워크 슬라이스 지시자, 단말에 설정되어 있는 네트워크 슬라이스의 개수와 관련된 정보, 네트워크 슬라이스의 식별자 정보 등이 포함될 수 있다. 또한, 보안 정보에는 보안 알고리즘과 관련된 정보, 보안 레벨과 관련된 정보, 각 네트워크 슬라이스의 보안 레벨과 관련된 정보 및 상기 보안 레벨에 따른 보안 알고리즘 정보 등이 포함될 수 있다. 단말은 초기 접속 시 단말이 지원 가능한 모든 보안 알고리즘 정보를 네트워크에 알려주고, 네트워크의 선택에 따라 네트워크 슬라이스 별로 결정된 특정 알고리즘을 사용할 수 있다.
이 후, 단말은 S1620 단계에서 각 네트워크 슬라이스에 대해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다(NW slice k connection request). 즉, 단말은 각 서비스에 대한 네트워크 망에 접속하기 위해 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 접속 요청 메시지에는 단말 정보가 포함될 수 있다.
또한, 접속 요청 메시지는 예를 들어, PDN 접속 요청 메시지를 포함할 수 있다. 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 적어도 하나 이상의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다. 또는, 단말은 적어도 하나 이상의 네트워크 슬라이스에 접속하기 위해 하나의 접속 요청 메시지를 코어 네트워크에 전송할 수 있다.
접속 요청 메시지를 수신한 코어 네트워크는 S1630 단계에서 AS 보안 키 정보(K5G-RAN,k)를 생성할 수 있다. 이 때, 코어 네트워크는 수신된 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G-RAN,k)를 생성할 수 있다(using NW slice ID, generate new K5G-RAN,k).
그리고, 코어 네트워크는 S1640 단계에서 초기 콘텍스트 설정(initial context setup) 요청 메시지를 기지국(5G RAN)에 전송할 수 있다.
초기 콘텍스트 설정 메시지에는 네트워크 슬라이스에 대한 보안 콘텍스트가 포함될 수 있다. 보안 콘텍스트에는 보안 알고리즘과 관련된 정보, 네트워크 슬라이스 식별자 정보 또는 AS 보안 키 정보 중 적어도 하나 이상이 포함될 수 있다.
상술한 바와 같이 본 발명에서는 네트워크 슬라이스 별로 서로 다른 보안 레벨이 적용될 수 있다. 따라서, 네트워크 슬라이스 별로 서로 다른 알고리즘이 적용될 수 있으며, 코어 네트워크는 네트워크 슬라이스에 대해 사용할 보안 알고리즘 정보를 포함한 초기 콘텍스트 셋업 메시지를 기지국에 전송할 수 있다.
기지국은 각 네트워크 슬라이스에 대해 수신된 보안 알고리즘 관련 정보 및 AS 보안 키 정보(K5G-RAN,k)를 이용하여 데이터를 암호화 하기 위한 키 정보를 생성하고, 이를 이용하여 단말과 송수신하는 데이터를 암호화할 수 있다.
초기 콘텍스트 셋업 메시지를 수신한 기지국은 S1650 단계에서 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다. 기지국은 네트워크 슬라이스 k에 대한 AS 보안 키 정보(K5G-RAN,k)를 저장할 수 있다. 기지국은 상기 AS 보안 키 정보(K5G-RAN,k)를 이용하여 단말과 송수신하는 데이터에 대해 암호화할 수 있다.
이후, 기지국은 S1660 단계에서 RRC 연결 재설정 메시지(5G RRC connection reconfiguration) 또는 접속 승인 메시지(attach accept)를 단말에 전송할 수 있다. 이 때, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 단말에 설정된 네트워크 슬라이스의 식별자가 포함될 수 있다. 또한, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 네트워크 슬라이스 카운터(NW slice counter)가 포함될 수 있다. 또한, 영구적인 네트워크 슬라이스 식별자가 사용되는 경우, 네트워크 식별자는 단말에 저장되어 있을 수 있으며, 기지국은 네트워크 슬라이스 식별자를 RRC 연결 재설정 메시지 또는 접속 승인 메시지에 포함시키지 않을 수 있다. 다만, 본 발명이 이에 한정되는 것은 아니며, 영구적인 네트워크 슬라이스 식별자 역시 기지국으로부터 수신할 수 있다.
RRC 연결 재설정 메시지 또는 접속 승인 메시지를 수신한 단말은 S1670 단계에서 네트워크 슬라이스 식별자를 이용하여 보안 콘텍스트를 생성할 수 있다. 즉, 단말은 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G-RAN,k)를 생성하고, 사용할 보안 알고리즘을 확인하여 보안 콘텍스트를 생성할 수 있다.
따라서, 단말과 기지국은 상기 보안 콘텍스트를 이용해 제어 메시지와 데이터에 보안을 적용할 수 있다.
그리고, 단말은 S1680 단계에서 RRC 연결 재설정 완료 메시지(5G RRC connection reconfiguration complete)를 기지국에 전송할 수 있다. 이를 수신한 기지국은 S590 단계에서 초기 콘텍스트 셋업 응답 메시지(initial context setup response)를 코어 네트워크에 전송할 수 있다.
도 17은 본 발명의 일 실시예에 따른 단말의 구조를 도시한 도면이다.
도 17을 참고하면, 본 발명의 단말은 송수신부(1710), 제어부(1720), 저장부(1730)을 포함할 수 있다.
송수신부(1710)는 다른 네트워크 엔티티와 신호를 송수신할 수 있다. 송수신부(1710)는 기지국 또는 코어 네트워크와 제어 메시지 및 데이터를 송수신할 수 있다.
제어부(1720)는 USIM에 저장되어 있는 K 값을 이용하여 두 개의 보안 키인 CK, IK를 도출할 수 있으며, 도출된 보안 키 CK, IK를 이용하여 NAS 보안 키 정보(KASME)를 생성할 수 있다. 따라서, 제어부(1720)는 NAS 보안 키 정보를 이용하여 무결성 확인을 위한 키 정보(KNAS int) 및 암호화를 위한 키 정보 (KNAS enc)를 생성할 수 있다.
또한, 제어부(1720)는 NAS 보안 키 정보(KASME)를 이용하여 공통 AS 보안 키 정보(K5G-RAN)를 생성하도록 제어할 수 있다. 또한, 제어부(1720)는 공통 AS 보안 키를 이용하여 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보(K5G -RAN, k)를 생성할 수 있다.
제어부(1720)는 공통 AS 보안 키 정보를 이용하여 단말과 기지국간에 송수신하는 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G -RRC int) 및 암호화를 위한 키 정보 (K5G -RRC enc)를 생성할 수 있다. 또는, 제어부(1720)는 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보를 통해 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G-RRC int, k) 및 암호화를 위한 키 정보 (K5G-RRC enc, k).
또한, 제어부(1720)는 AS 보안 키 정보(K5G -RAN, k)를 이용하여 네트워크 슬라이스 별로 데이터를 암호화 하기 위한 키 정보(K5G-UP enc, k)를 생성할 수 있다.
또는, 제어부(1720)는 도출된 CK와 IK를 활용하여 복수 개의 인증 키 벡터를 생성 후 코어 네트워크에 송신할 수 있다. 따라서, 제어부(1720)는 상기 인증 키 벡터를 이용하여 네트워크 슬라이스 별로 NAS 보안 키 정보를 생성할 수 있다. 또한, 제어부(1720)는 네트워크 슬라이스 별로 생성된 NAS 보안 키 정보를 이용해 네트워크 슬라이스 별로 AS 보안 키 정보(K5G-RAN, k)를 생성할 수 있다.
한편, 제어부(1720)는 보안 키 정보를 생성하기 위해 네트워크 슬라이스 식별자를 이용할 수 있다. 또는, 제어부(1720)는 제3자 장치와의 인증 과정에서 발생한 토큰(혹은 인증 벡터 또는 인증 키)을 이용하여 보안 키 정보를 생성할 수 있다. 구체적인 내용은 상술한 바와 유사하며, 이하에서는 생략한다.
또한, 제어부(1720)는 공통 AS 보안 키를 생성한 후, 코어 네트워크에 접속 요청 메시지를 전송할 수 있다. 이 때, 접속 요청 메시지에는 단말 정보가 포함될 수 있다. 단말 정보는 네트워크 슬라이스 정보 및 보안 정보(security capability)를 포함할 수 있으며, 구체적인 내용은 상술한 바와 동일하다.
또한, 제어부(1720)는 기지국으로부터 RRC 연결 재설정 메시지 또는 접속 승인 메시지를 수신할 수 있다. 상기 메시지는 단말의 접속 요청 메시지에 대한 응답 메시지를 의미할 수 있다.
상기 RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 단말에 설정된 네트워크 슬라이스의 식별자가 포함될 수 있다. 또는, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 NAS 인증 키 정보(KASME, k) 를 생성하기 위해 사용된 인증 키 정보(KSIASME)가 포함될 수 있다.
제어부(1720)는 수신된 네트워크 슬라이스 식별자를 이용하여 보안 콘텍스트를 생성할 수 있다. 즉, 제어부(1720)는 네트워크 슬라이스 식별자를 이용하여 AS 보안 키 정보(K5G - RAN,k)를 생성하고, 사용할 보안 알고리즘을 확인하여 보안 콘텍스트를 생성할 수 있다.
따라서, 제어부(1720)는 상기 보안 콘텍스트를 이용해 제어 메시지와 데이터에 보안을 적용할 수 있다.
또는, 제어부(1720)는 네트워크로부터 수신된 인증 키 인덱스(KSIASME)를 이용하여 NAS 보안 키 정보를 생성하고, NAS 보안 키 정보를 이용하여 AS 보안 키 정보를 생성할 수 있다.
또한, 제어부(1720)는 RRC 재설정 완료 메시지를 전송할 수 있으며, 접속 완료 메시지를 전송할 수 있다.
저장부(1730)는 단말 정보를 저장하고 있을 수 있다. 또한, 저장부(1730)는 단말이 보안 절차를 수행하는 과정에서 생성되는 정보를 저장할 수 있다. 또한, 저장부(1730)는 제어부(1720)의 제어에 따라 송수신되는 정보를 저장할 수 있다.
도 18은 본 발명의 일 실시예에 따른 코어 네트워크의 구조를 도시한 도면이다.
도 18을 참고하면, 본 발명의 코어 네트워크는 송수신부(1810), 제어부(1820), 저장부(1830)을 포함할 수 있다.
송수신부(1810)는 다른 네트워크 엔티티와 신호를 송수신할 수 있다. 송수신부(1810)는 단말 또는 기지국과 제어 메시지를 송수신할 수 있다.
제어부(1820)는 USIM에 저장되어 있는 K 값을 이용하여 두 개의 보안 키인 CK, IK를 도출할 수 있으며, 도출된 보안 키 CK, IK를 이용하여 NAS 보안 키 정보(KASME)를 생성할 수 있다. 따라서, 제어부(1820)는 NAS 보안 키 정보를 이용하여 무결성 확인을 위한 키 정보(KNAS int) 및 암호화를 위한 키 정보 (KNAS enc)를 생성할 수 있다.
또한, 제어부(1820)는 NAS 보안 키 정보(KASME)를 이용하여 공통 AS 보안 키 정보(K5G-RAN)를 생성하도록 제어할 수 있다. 또한, 제어부(1820)는 공통 AS 보안 키를 이용하여 네트워크 슬라이스 별로 독립적인 AS 보안 키 정보(K5G -RAN, k)를 생성할 수 있다.
또는, 제어부(1820)는 단말이 CK와 IK를 이용하여 생성한 복수 개의 인증 키 벡터와 인증 키 인덱스(KSIASME)를 수신할 수 있다. 따라서, 네트워크가 복수개의 NAS 연결을 포함하는 경우, 제어부(1820)는 상기 인증 키 인덱스를 이용하여 네트워크 슬라이스 별로 NAS 보안 키 정보를 생성할 수 있다. 또한, 제어부(1820)는 네트워크 슬라이스 별로 생성된 NAS 보안 키 정보를 이용해 네트워크 슬라이스 별로 AS 보안 키 정보(K5G -RAN, k)를 생성할 수 있다. 제어부(1820)는 상기 인증 키 인덱스(KSIASME)를 저장하도록 제어할 수 있다.
한편, 제어부(1820)는 보안 키 정보를 생성하기 위해 네트워크 슬라이스 식별자를 이용할 수 있다. 또는, 제어부(1820)는 제3자 장치와의 인증 과정에서 발생한 토큰을 이용하여 보안 키 정보를 생성할 수 있다. 구체적인 내용은 상술한 바와 유사하며, 이하에서는 생략한다.
또한, 제어부(1820)는 단말로부터 접속 요청 메시지를 수신할 수 있다. 이 때, 접속 요청 메시지에는 단말 정보가 포함될 수 있다. 단말 정보는 네트워크 슬라이스 정보 및 보안 정보(security capability)를 포함할 수 있으며, 구체적인 내용은 상술한 바와 동일하다.
또한, 제어부(1820)는 단말로부터 수신된 단말 정보에 기반하여 AS 보안 키 정보를 생성할 수 있다. 이 때, 제어부(1820)는 네트워크 슬라이스의 식별자에 기반하여 AS 보안 키 정보를 생성할 수 있다. 구체적인 내용은 상술한 바와 동일하며, 이하에서는 생략한다.
AS 보안 키 정보를 생성한 후, 제어부(1820)는 기지국에 초기 콘텍스트 설정 요청 메시지를 전송할 수 있다. 초기 콘텍스트 설정 요청 메시지에는 네트워크 슬라이스에 대한 보안 콘텍스트가 포함될 수 있다. 보안 콘텍스트에는 보안 알고리즘과 관련된 정보, 네트워크 슬라이스 식별자 정보 또는 AS 보안 키 정보 중 적어도 하나 이상이 포함될 수 있다.
또한, 네트워크가 복수개의 NAS 연결을 포함하는 경우, 보안 콘텍스트에는 인증 키 인덱스(KSIASME)가 포함될 수 있다.
그리고, 제어부(1820)는 기지국으로부터 초기 콘텍스트 설정 응답 메시지를 수신하고, 접속 완료 메시지를 수신할 수 있다.
이와 같이, 제어부(1820)는 생성한 NAS 보안 키 정보를 이용하여 기지국과 NAS 메시지를 암호화 하여 송수신할 수 있다. 또한, 제어부(1820)는 생성한 AS 보안 키 정보를 기지국에 전송함으로써, AS 보안 키 정보는 기지국과 단말 사이에 전송되는 제어 메시지와 데이터의 보안에 사용될 수 있다.
저장부(1830)는 단말로부터 수신된 단말 정보를 저장하고 있을 수 있다. 또한, 저장부(1830)는 코어 네트워크가 보안 절차를 수행하는 과정에서 생성되는 정보를 저장할 수 있다. 또한, 저장부(1830)는 제어부(1820)의 제어에 따라 송수신되는 정보를 저장할 수 있다.
도 19는 본 발명의 일 실시예에 따른 기지국의 구조를 도시한 도면이다.
도 19를 참고하면, 본 발명의 단말은 송수신부(1910), 제어부(1920), 저장부(1930)을 포함할 수 있다.
송수신부(1910)는 다른 네트워크 엔티티와 신호를 송수신할 수 있다. 송수신부(1910)는 단말 또는 코어 네트워크와 제어 메시지 및 데이터를 송수신할 수 있다.
제어부(1920)는 코어 네트워크로부터 초기 콘텍스트 설정 요청 메시지를 수신할 수 있다. 초기 콘텍스트 설정 요청 메시지에는 네트워크 슬라이스에 대한 보안 콘텍스트가 포함될 수 있다. 보안 콘텍스트에는 보안 알고리즘과 관련된 정보, 네트워크 슬라이스 식별자 정보 또는 AS 보안 키 정보 중 적어도 하나 이상이 포함될 수 있다.
또한, 네트워크가 복수개의 NAS 연결을 포함하는 경우, 보안 콘텍스트에는 인증 키 인덱스(KSIASME)가 포함될 수 있다.
초기 콘텍스트 설정 메시지를 수신한 제어부(1930)는 AS 보안 키 정보를 저장할 수 있다. 제어부(1930)는 저장된 AS 보안 키 정보를 이용하여 제어 메시지에 대한 무결성 확인을 위한 키 정보(K5G -RRC int) 및 암호화를 위한 키 정보 (K5G -RRC enc)를 생성할 수 있다. 복수의 RRC 연결을 사용하는 경우, 제어부(1930)는 각 네트워크 슬라이스에 대해 K5G -RRC int , k, K5G -RRC enc , k 를 생성할 수 있다. 또한, 제어부(1930)는 AS 보안 키 정보를 이용하여 데이터에 대한 암호화를 위한 키 정보 (K5G -UP enc , k)를 생성할 수 있다.
또한, 제어부(1920)는 단말에 RRC 연결 재설정 메시지 또는 접속 승인 메시지를 전송할 수 있다. RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 단말에 설정된 네트워크 슬라이스의 식별자가 포함될 수 있다.
또한, 네트워크가 복수개의 NAS 연결을 포함하는 경우, RRC 연결 재설정 메시지 또는 접속 승인 메시지에는 NAS 인증 키 정보(KASME, k) 를 생성하기 위해 사용된 인증 키 인덱스(KSIASME)가 포함될 수 있다.
제어부(1920)는 단말로부터 RRC 연결 재설정 완료 메시지를 수신할 수 있으며, 이에 따라 초기 콘텍스트 설정 응답 메시지를 코어 네트워크에 전송할 수 있다.
저장부(1930)는 코어 네트워크로부터 수신된 보안 콘텍스트를 저장하고 있을 수 있다. 또한, 저장부(1930)는 AS 보안 키 정보를 저장할 수 있다. 또한, 저장부(1930)는 기지국이 보안 절차를 수행하는 과정에서 생성되는 정보를 저장할 수 있다. 또한, 저장부(1930)는 제어부(1920)의 제어에 따라 송수신되는 정보를 저장할 수 있다.
한편, 본 명세서와 도면에는 본 발명의 바람직한 실시 예에 대하여 개시하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것이지, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예 외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.

Claims (20)

  1. 단말의 방법에 있어서,
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 네트워크에 전송하는 단계;
    상기 네트워크 슬라이스의 식별자를 포함한 응답 메시지를 기지국으로부터 수신하는 단계; 및
    상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  3. 제2항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 연결 요청 메시지는 단말 정보를 포함하는 것을 특징으로 하며,
    상기 단말 정보는,
    상기 단말이 사용할 수 있는 보안 알고리즘 정보, 네트워크 슬라이스의 타입 정보, 보안 레벨과 관련된 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  5. 네트워크의 방법에 있어서,
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 단말로부터 수신하는 단계;
    상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 상기 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 단계; 및
    상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 포함한 메시지를 기지국에 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  6. 제5항에 있어서,
    상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트는 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 데 사용되는 것을 특징으로 하는 방법.
  7. 제6항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 방법.
  8. 제5항에 있어서,
    상기 연결 요청 메시지는 단말 정보를 포함하는 것을 특징으로 하며,
    상기 단말 정보는,
    상기 단말이 사용할 수 있는 보안 알고리즘 정보, 네트워크 슬라이스의 타입 정보, 보안 레벨과 관련된 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  9. 기지국의 방법에 있어서,
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 생성된 보안 콘텍스트를 포함한 설정 요청 메시지를 네트워크로부터 수신하는 단계;
    상기 네트워크 슬라이스의 식별자를 포함한 접속 응답 메시지를 송신하는 단계; 및
    상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 단계를 포함하는 것을 특징으로 하는 방법.
  10. 제8항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 방법.
  11. 단말에 있어서,
    다른 네트워크 엔티티와 신호를 송수신하는 송수신부; 및
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 네트워크에 전송하고, 상기 네트워크 슬라이스의 식별자를 포함한 응답 메시지를 기지국으로부터 수신하고, 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 네트워크 슬라이스 별로 보안 콘텍스트를 생성하는 제어부를 포함하는 것을 특징으로 하는 단말.
  12. 제11항에 있어서,
    상기 제어부는,
    상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 것을 특징으로 하는 단말.
  13. 제12항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 단말.
  14. 제11항에 있어서,
    상기 연결 요청 메시지는 단말 정보를 포함하는 것을 특징으로 하며,
    상기 단말 정보는,
    상기 단말이 사용할 수 있는 보안 알고리즘 정보, 네트워크 슬라이스의 타입 정보, 보안 레벨과 관련된 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 단말.
  15. 네트워크에 있어서,
    다른 네트워크 엔티티와 신호를 송수신하는 송수신부; 및
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스에 대한 연결 요청 메시지를 단말로부터 수신하고, 상기 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 상기 네트워크 슬라이스 별로 보안 콘텍스트를 생성하고, 상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트를 포함한 메시지를 기지국에 전송하는 제어부를 포함하는 것을 특징으로 하는 네트워크.
  16. 제15항에 있어서,
    상기 네트워크 슬라이스 별로 생성된 상기 보안 콘텍스트는 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 데 사용되는 것을 특징으로 하는 네트워크.
  17. 제16항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 네트워크.
  18. 제15항에 있어서,
    상기 연결 요청 메시지는 단말 정보를 포함하는 것을 특징으로 하며,
    상기 단말 정보는,
    상기 단말이 사용할 수 있는 보안 알고리즘 정보, 네트워크 슬라이스의 타입 정보, 보안 레벨과 관련된 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크.
  19. 기지국에 있어서,
    다른 네트워크 엔티티와 신호를 송수신하는 송수신부; 및
    서비스 별로 구성된 네트워크 망인 네트워크 슬라이스의 식별자 또는 제3자 장치와의 인증 과정에서 발생하는 토큰 중 적어도 하나에 기반하여 생성된 보안 콘텍스트를 포함한 설정 요청 메시지를 네트워크로부터 수신하고, 상기 네트워크 슬라이스의 식별자를 포함한 접속 응답 메시지를 송신하고, 상기 보안 콘텍스트를 적용하여 상기 네트워크 슬라이스에 대한 데이터 또는 제어 메시지 중 적어도 하나를 송수신하는 제어부를 포함하는 것을 특징으로 하는 기지국.
  20. 제18항에 있어서,
    상기 보안 콘텍스트는 상기 네트워크 슬라이스 별로 결정된 보안 알고리즘 및 보안 키 정보를 포함하고,
    상기 보안 키 정보는 NAS(non-access stratum) 보안 키 정보 및 AS(access stratum) 보안 키 정보를 포함하는 것을 특징으로 하는 기지국.
KR1020160084410A 2016-07-04 2016-07-04 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 KR102358918B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020160084410A KR102358918B1 (ko) 2016-07-04 2016-07-04 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
PCT/KR2017/007088 WO2018008943A1 (en) 2016-07-04 2017-07-04 Method and device for managing security according to service in wireless communication system
US15/642,261 US10735956B2 (en) 2016-07-04 2017-07-05 Method and device for managing security according to service in wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160084410A KR102358918B1 (ko) 2016-07-04 2016-07-04 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20180004612A true KR20180004612A (ko) 2018-01-12
KR102358918B1 KR102358918B1 (ko) 2022-02-07

Family

ID=60807299

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160084410A KR102358918B1 (ko) 2016-07-04 2016-07-04 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치

Country Status (3)

Country Link
US (1) US10735956B2 (ko)
KR (1) KR102358918B1 (ko)
WO (1) WO2018008943A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200039400A (ko) * 2018-10-05 2020-04-16 삼성전자주식회사 정보 보안을 위한 장치 및 방법
KR20200086066A (ko) * 2019-01-08 2020-07-16 삼성전자주식회사 무선 통신 시스템에서 종단 간 네트워크를 제어하는 관리 장치 및 방법
KR20200110392A (ko) * 2018-01-17 2020-09-23 텔레폰악티에볼라겟엘엠에릭슨(펍) 5G 네트워크에서 독립형 SEAF와 연동(interwork)하기 위한 보안 메커니즘
KR102319089B1 (ko) * 2020-11-02 2021-10-29 주식회사 윈스 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102437619B1 (ko) * 2016-04-01 2022-08-29 삼성전자주식회사 보안 키를 생성하기 위한 장치 및 방법
CN107659419B (zh) * 2016-07-25 2021-01-01 华为技术有限公司 网络切片方法和系统
CN107666666B (zh) * 2016-07-27 2022-11-08 中兴通讯股份有限公司 密钥的衍生方法及装置
WO2018037149A1 (en) * 2016-08-22 2018-03-01 Nokia Technologies Oy Security procedure
CN109792639B (zh) * 2016-09-28 2023-08-15 日本电气株式会社 通信系统、无线电接入装置、无线电通信终端及其控制方法
US11290333B2 (en) * 2016-09-29 2022-03-29 Telefonaktiebolaget Lm Ericsson (Publ) Quality of service differentiation between network slices
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
KR102108871B1 (ko) 2016-11-03 2020-05-12 주식회사 케이티 네트워크 슬라이스 기반 데이터 처리 방법 및 그 장치
US10462837B2 (en) * 2016-11-04 2019-10-29 Qualcomm Incorporated Method, apparatus, and system for reestablishing radio communication links due to radio link failure
BR112019019671A2 (pt) * 2017-03-27 2020-04-22 Huawei Tech Co Ltd método de transmissão de dados, equipamento de usuário, e nodo de plano de controle
US10732714B2 (en) 2017-05-08 2020-08-04 Cirrus Logic, Inc. Integrated haptic system
US10841302B2 (en) * 2017-05-24 2020-11-17 Lg Electronics Inc. Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system
US10470042B2 (en) * 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
CN109392096B (zh) * 2017-08-04 2020-11-03 华为技术有限公司 一种资源配置方法和装置
KR102492562B1 (ko) 2018-01-12 2023-01-27 삼성전자주식회사 네트워크 보안을 위한 장치 및 방법
CN110121168B (zh) * 2018-02-06 2021-09-21 华为技术有限公司 安全协商方法及装置
WO2019174735A1 (en) * 2018-03-15 2019-09-19 Nokia Technologies Oy Network slice discovery in overlapping network slice deployment
US10832537B2 (en) * 2018-04-04 2020-11-10 Cirrus Logic, Inc. Methods and apparatus for outputting a haptic signal to a haptic transducer
CN110417563A (zh) * 2018-04-26 2019-11-05 中兴通讯股份有限公司 一种网络切片接入的方法、装置和系统
EP3794900A1 (en) * 2018-05-14 2021-03-24 Telefonaktiebolaget LM Ericsson (publ) To increase security of dual connectvity
EP3585084A1 (de) * 2018-06-18 2019-12-25 Siemens Aktiengesellschaft Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
US10986010B2 (en) 2018-08-09 2021-04-20 At&T Intellectual Property I, L.P. Mobility network slice selection
US11269415B2 (en) 2018-08-14 2022-03-08 Cirrus Logic, Inc. Haptic output systems
EP3849228A4 (en) * 2018-09-03 2021-10-27 NEC Corporation CORE NETWORK DEVICE, ACCESS NETWORK DEVICE, COMMUNICATION TERMINAL DEVICE, COMMUNICATION SYSTEM AND COMMUNICATION PROCEDURE
GB201817495D0 (en) 2018-10-26 2018-12-12 Cirrus Logic Int Semiconductor Ltd A force sensing system and method
US20210400473A1 (en) * 2018-11-02 2021-12-23 Nec Corporation Procedure to update the parameters related to unified access control
WO2020093247A1 (en) * 2018-11-06 2020-05-14 Zte Corporation A method and apparatus for attaching user equipment to a network slice
US10834604B1 (en) 2019-01-07 2020-11-10 Sprint Communications Company L.P. Wireless beamforming to facilitate ultra reliable low latency communication (URLLC) service
US10970902B2 (en) 2019-03-26 2021-04-06 At&T Intellectual Property I, L.P. Allocating and extrapolating data for augmented reality for 6G or other next generation network
US11644370B2 (en) 2019-03-29 2023-05-09 Cirrus Logic, Inc. Force sensing with an electromagnetic load
US10828672B2 (en) 2019-03-29 2020-11-10 Cirrus Logic, Inc. Driver circuitry
US10992297B2 (en) 2019-03-29 2021-04-27 Cirrus Logic, Inc. Device comprising force sensors
US11509292B2 (en) 2019-03-29 2022-11-22 Cirrus Logic, Inc. Identifying mechanical impedance of an electromagnetic load using least-mean-squares filter
US10955955B2 (en) 2019-03-29 2021-03-23 Cirrus Logic, Inc. Controller for use in a device comprising force sensors
CN111865872B (zh) * 2019-04-26 2021-08-27 大唐移动通信设备有限公司 一种网络切片内终端安全策略实现方法及设备
US10976825B2 (en) 2019-06-07 2021-04-13 Cirrus Logic, Inc. Methods and apparatuses for controlling operation of a vibrational output system and/or operation of an input sensor system
US11212850B2 (en) * 2019-06-19 2021-12-28 Cisco Technology, Inc. Network slice support of respective transport protocols
KR20220024091A (ko) 2019-06-21 2022-03-03 시러스 로직 인터내셔널 세미컨덕터 리미티드 디바이스 상에 복수의 가상 버튼을 구성하기 위한 방법 및 장치
CN112243227B (zh) * 2019-07-18 2022-04-22 华为技术有限公司 网络切片架构下的数据传输的方法和装置
US11184417B2 (en) * 2019-10-08 2021-11-23 Qualcomm Incorporated System and apparatus for providing network assistance for traffic handling in downlink streaming
US11408787B2 (en) 2019-10-15 2022-08-09 Cirrus Logic, Inc. Control methods for a force sensor system
US11380175B2 (en) 2019-10-24 2022-07-05 Cirrus Logic, Inc. Reproducibility of haptic waveform
CN112752265B (zh) * 2019-10-31 2023-09-22 华为技术有限公司 网络切片的访问控制方法、装置及存储介质
US11545951B2 (en) 2019-12-06 2023-01-03 Cirrus Logic, Inc. Methods and systems for detecting and managing amplifier instability
US11012858B1 (en) * 2020-01-29 2021-05-18 Dell Products L.P. Endpoint computing device network slice secure certificate provisioning and management system
US11662821B2 (en) 2020-04-16 2023-05-30 Cirrus Logic, Inc. In-situ monitoring, calibration, and testing of a haptic actuator
CN113784351B (zh) * 2020-06-10 2024-03-01 华为技术有限公司 切片服务验证方法、实体及设备
US20230247541A1 (en) * 2020-08-03 2023-08-03 Beijing Xiaomi Mobile Software Co., Ltd. Service slice activation method and service slice activation apparatus, and storage medium
CN112492580B (zh) * 2020-11-25 2023-08-18 北京小米移动软件有限公司 信息处理方法及装置、通信设备及存储介质
US11933822B2 (en) 2021-06-16 2024-03-19 Cirrus Logic Inc. Methods and systems for in-system estimation of actuator parameters
US11765499B2 (en) 2021-06-22 2023-09-19 Cirrus Logic Inc. Methods and systems for managing mixed mode electromechanical actuator drive
US11908310B2 (en) 2021-06-22 2024-02-20 Cirrus Logic Inc. Methods and systems for detecting and managing unexpected spectral content in an amplifier system
WO2023236093A1 (en) * 2022-06-08 2023-12-14 Nokia Shanghai Bell Co., Ltd. Devices, methods, apparatuses, and computer readable media for network slice isolation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130152208A1 (en) * 2011-12-09 2013-06-13 Verizon Patent And Licensing Inc. Security key management based on service packaging
US20140295800A1 (en) * 2007-08-31 2014-10-02 Huawei Technologies Co., Ltd. Method, System and Device for Negotiating Security Capability when Terminal Moves
US20160043998A1 (en) * 2011-06-28 2016-02-11 At&T Intellectual Property I, L.P. Methods and apparatus to improve security of a virtual private mobile network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101481558B1 (ko) * 2007-10-18 2015-01-13 엘지전자 주식회사 이기종 무선접속망간 보안연계 설정 방법
JP4818345B2 (ja) 2007-12-05 2011-11-16 イノヴァティヴ ソニック リミテッド セキュリティーキー変更を処理する方法及び通信装置
FR3025387A1 (fr) * 2014-09-03 2016-03-04 Orange Dispositif et procede de controle d'un coeur de reseau ip
US10129235B2 (en) * 2015-10-16 2018-11-13 Qualcomm Incorporated Key hierarchy for network slicing
CN108463969B (zh) * 2016-01-14 2022-01-21 瑞典爱立信有限公司 建立与至少两个网络实例相关的密钥的方法、节点和通信设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140295800A1 (en) * 2007-08-31 2014-10-02 Huawei Technologies Co., Ltd. Method, System and Device for Negotiating Security Capability when Terminal Moves
US20160043998A1 (en) * 2011-06-28 2016-02-11 At&T Intellectual Property I, L.P. Methods and apparatus to improve security of a virtual private mobile network
US20130152208A1 (en) * 2011-12-09 2013-06-13 Verizon Patent And Licensing Inc. Security key management based on service packaging

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200110392A (ko) * 2018-01-17 2020-09-23 텔레폰악티에볼라겟엘엠에릭슨(펍) 5G 네트워크에서 독립형 SEAF와 연동(interwork)하기 위한 보안 메커니즘
US11849325B2 (en) 2018-01-17 2023-12-19 Telefonaktiebolaget Lm Ericsson (Publ) Security mechanism for interworking with independent SEAF in 5G networks
KR20200039400A (ko) * 2018-10-05 2020-04-16 삼성전자주식회사 정보 보안을 위한 장치 및 방법
US11930355B2 (en) 2018-10-05 2024-03-12 Samsung Electronics Co., Ltd Apparatus and method for information security
KR20200086066A (ko) * 2019-01-08 2020-07-16 삼성전자주식회사 무선 통신 시스템에서 종단 간 네트워크를 제어하는 관리 장치 및 방법
KR102319089B1 (ko) * 2020-11-02 2021-10-29 주식회사 윈스 모바일 엣지 컴퓨팅의 슬라이싱 서비스에서 트래픽 보안 처리를 위한 장치 및 방법
US11991522B2 (en) 2020-11-02 2024-05-21 Wins Co., Ltd. Apparatus and method for traffic security processing in 5G mobile edge computing slicing service

Also Published As

Publication number Publication date
US20180007552A1 (en) 2018-01-04
KR102358918B1 (ko) 2022-02-07
WO2018008943A1 (en) 2018-01-11
US10735956B2 (en) 2020-08-04

Similar Documents

Publication Publication Date Title
KR102358918B1 (ko) 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
EP3281436B1 (en) Method and apparatus for downloading a profile in a wireless communication system
CN108781366B (zh) 用于5g技术的认证机制
US11917054B2 (en) Network key processing method and system and related device
CN111052672B (zh) 无证书或预共享对称密钥的安全密钥传输协议
WO2019004929A2 (zh) 网络切片分配方法、设备及系统
EP3661241B1 (en) Method and device for protecting privacy
CN109587680B (zh) 参数的保护方法、设备和系统
US11140545B2 (en) Method, apparatus, and system for protecting data
CN112218287B (zh) 一种通信方法及装置
JP7126007B2 (ja) ルーティング識別子を動的に更新する方法および装置
JP7461515B2 (ja) データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体
JP7174156B2 (ja) サイズ制限がある認証プロトコルにおける安全なアタッチメントの確保
EP4187952A1 (en) Method, system and apparatus for determining user plane security algorithm
WO2019158117A1 (en) System and method for providing security in a wireless communications system with user plane separation
KR20200013053A (ko) 통신 방법 및 장치
EP2922325B1 (en) Method and apparatus for communication security processing
US11751160B2 (en) Method and apparatus for mobility registration
CN113766495A (zh) 信息保护方法、系统及通信装置
US20240089728A1 (en) Communication method and apparatus
CN113395697A (zh) 传输寻呼信息的方法和通信装置
US11924184B2 (en) Protection of communications through user equipment relay
US20220312199A1 (en) Home Controlled Network Slice Privacy
WO2021073382A1 (zh) 注册方法及装置
US20230413059A1 (en) Method and system for designing security protocol for 6g network architecture

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant