KR20180057665A - 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 - Google Patents

사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 Download PDF

Info

Publication number
KR20180057665A
KR20180057665A KR1020187011072A KR20187011072A KR20180057665A KR 20180057665 A KR20180057665 A KR 20180057665A KR 1020187011072 A KR1020187011072 A KR 1020187011072A KR 20187011072 A KR20187011072 A KR 20187011072A KR 20180057665 A KR20180057665 A KR 20180057665A
Authority
KR
South Korea
Prior art keywords
network
network device
access
nas
verification code
Prior art date
Application number
KR1020187011072A
Other languages
English (en)
Other versions
KR102024653B1 (ko
Inventor
나 리
징수에 종
웨이웨이 종
징 천
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20180057665A publication Critical patent/KR20180057665A/ko
Application granted granted Critical
Publication of KR102024653B1 publication Critical patent/KR102024653B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Abstract

본 발명은 UE의 액세스 방법, 디바이스 및 시스템을 제공하고, 통신 분야에 관한 것이다. 이 방법은 다음을 포함한다: 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신하는 단계; 제1 네트워크 디바이스에 의해, UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하는 단계; 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제1 네트워크 디바이스에 의해, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하는 단계; 및 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한 경우, 제1 네트워크 디바이스에 의해, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송하는 단계. 본 발명은 UE가 비-3GPP 네트워크를 사용하는 것에 의해 3GPP 네트워크에 액세스할 때 전반적인 통신 지연이 비교적 길다는 문제점을 해결하고, 전체 통신 지연을 감소시킨다. 본 발명은 3GPP 네트워크에 대한 UE 액세스에 적용된다.

Description

사용자 장비(UE)를 위한 액세스 방법, 디바이스 및 시스템
본 발명은 통신 분야에 관한 것으로, 특히, 사용자 장비 UE의 액세스 방법, 디바이스 및 시스템에 관한 것이다.
과학 및 기술들의 발전에 의해, 무선 근거리 네트워크(Wireless Local Area Networks, 줄여서, WLAN)와 같은 비 3세대 파트너쉽 프로젝트(Non-3rd Generation Partnership Project, 줄여서, Non-3GPP) 및 롱 텀 에볼루션(Long Term Evolution, 줄여서, LTE) 네트워크와 같은 3GPP 네트워크가 점차 널리 사용된다. 비-3GPP 네트워크는 주로 개인 소비 전자 시장 및 가정 및 기업 광대역 무선 액세스 시장에 특정되고, 3GPP 네트워크는 주로 통신 운영자 시장에 특정되고, 대중에게 이동 통신 서비스를 제공한다. 2개의 타입의 무선 네트워크(비-3GPP 네트워크 및 3GPP 네트워크)는 상보적인 이점들을 갖고, 따라서 비-3GPP 네트워크와 3GPP 네트워크의 컨버전스가 필요한 추세이다.
관련 기술들에서, 3GPP 네트워크는 2개 부분: 액세스 네트워크와 코어 네트워크로 분할된다. 사용자 장비(User Equipment, 줄여서, UE)는 3GPP 네트워크의 액세스 네트워크를 사용하는 것에 의해 3GPP 네트워크의 코어 네트워크에 액세스할 때, 이동성 관리 엔티티(Mobile Management Entity, 줄여서, MME)와 같은, 3GPP 네트워크의 코어 네트워크 상에 있는 이동성 관리 및 기타 기능들을 담당하는 네트워크 디바이스가 UE에 대해 진화된 패킷 시스템 인증 및 키 합의(Evolved Packet System Authentication and Key Agreement, 줄여서, EPS-AKA) 인증을 수행한다. 인증이 성공한 후, UE 및 MME는 비-액세스 계층(Non-Access Stratum, 줄여서, NAS) 보안 컨텍스트 세트를 공유한다. NAS 보안 컨텍스트는 3GPP 네트워크의 키, NAS 시퀀스 번호 및 NAS 알고리즘과 같은 정보를 포함한다. UE가 3GPP 네트워크 상의 기지국의 커버리지 영역 내에 있지 않고 비-3GPP 네트워크의 커버리지 영역 내에 있는 경우, UE는 비-3GPP 네트워크의 액세스 네트워크를 사용하는 것에 의해 3GPP 네트워크의 코어 네트워크에 액세스하고, 3GPP 네트워크의 코어 네트워크에서의 인증, 인가 및 과금(Authentication, Authorization, Accounting, 줄여서, AAA) 서버는 UE에 대해 확장가능 인증 프로토콜(Extensible Authentication Protocol, 줄여서, EAP)-AKA 프로토콜 기반 인증을 수행할 필요가 있다. 그 후, AAA 서버는 UE가 네트워크에 액세스하는 것을 허용하는 것으로 결정한다. UE 및 비-3GPP 네트워크는 비-3GPP 네트워크의 액세스 키 또는 AS 키를 각각 생성하고, UE 및 비-3GPP 네트워크는 생성된 액세스 키 또는 AS 키를 사용하는 것에 의해 통신을 수행한다.
EAP-AKA 프로토콜 기반 인증 프로세스에서, AAA 서버는 UE에 대해 인증을 수행할 필요가 있고, 인증 프로세스에서 비교적 긴 지연이 야기된다. 결과적으로, 전반적인 통신 지연은 비교적 길다.
본 발명은 UE가 비-3GPP 네트워크를 사용하는 것에 의해 3GPP 네트워크에 액세스할 때 전반적인 통신 지연이 비교적 길다는 문제점을 해결하기 위해, 사용자 장비 UE의 액세스 방법, 디바이스 및 시스템을 제공한다. 기술적 해결책들은 다음과 같다:
제1 양태에 따르면, 사용자 장비 UE의 액세스 방법이 제공되고, 이 방법은 다음을 포함한다:
비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 의해, 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하는 단계- 액세스 요청 메시지는 UE의 식별자를 포함함 -;
제1 네트워크 디바이스에 의해, UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 비-액세스 계층 NAS 검증 코드를 생성하는 단계;
액세스 요청 메시지가 제2 NAS 검증 코드를 포함하면, 제1 네트워크 디바이스에 의해, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하는 단계- 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드임 -; 및
제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스에 의해, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송하는 단계.
제1 양태를 참조하면, 제1 양태의 제1 가능한 구현예에서, 제1 네트워크 디바이스에 의해, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송하는 단계 전에, 이 방법은 다음을 추가로 포함한다:
제1 네트워크 디바이스에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계.
제1 양태의 제1 가능한 구현예를 참조하면, 제1 양태의 제2 가능한 구현예에서, 제1 네트워크 디바이스에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계 전에, 이 방법은 다음을 추가로 포함한다:
제1 네트워크 디바이스에 의해, 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하는 단계; 및
제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하는 단계.
제1 양태를 참조하면, 제1 양태의 제3 가능한 구현예에서, 이 방법은 다음을 추가로 포함한다:
제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이하면, 제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계; 또는
액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, 제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계.
제1 양태의 제3 가능한 구현예를 참조하면, 제1 양태의 제4 가능한 구현예에서, 제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계는 다음을 포함한다:
제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하는 단계; 및
제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 UE로부터 인증 메시지에 대응하는 인증 응답 메시지를 수신하는 단계.
제1 양태의 제4 가능한 구현예를 참조하면, 제1 양태의 제5 가능한 구현예에서, 제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 UE로부터 인증 메시지에 대응하는 인증 응답 메시지를 수신하는 단계 후에, 이 방법은 다음을 추가로 포함한다:
제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하는 단계.
제1 양태 및 제1 양태의 제1 내지 제5 가능한 구현예들 중 어느 하나를 참조하면, 제1 양태의 제6 가능한 구현예에서, 제1 네트워크 디바이스에 의해, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송하는 단계 전에, 이 방법은 다음을 추가로 포함한다:
제1 네트워크 디바이스에 의해, UE의 능력 정보를 획득하는 단계- 능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용됨 -; 및
제1 네트워크 디바이스에 의해, 능력 정보를 제2 네트워크 디바이스에 전송하는 단계- 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용됨 -.
제1 양태 및 제1 양태의 제1 내지 제6 가능한 구현예들 중 어느 하나를 참조하면, 제1 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제2 양태에 따르면, 사용자 장비 UE의 액세스 방법이 제공되고, 이 방법은 다음을 포함한다:
사용자 장비 UE에 의해, 액세스 요청 메시지를 생성하는 단계- 액세스 요청 메시지는 UE의 식별자를 포함함 -; 및
UE에 의해, 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 액세스 요청 메시지를 전송하는 단계.
제2 양태를 참조하면, 제2 양태의 제1 가능한 구현예에서, UE에 의해, 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 액세스 요청 메시지를 전송하는 단계 후에, 이 방법은 다음을 추가로 포함한다:
UE에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계.
제2 양태를 참조하면, 제2 양태의 제2 가능한 구현예에서, 액세스 요청 메시지는 제2 비-액세스 계층 NAS 검증 코드를 포함하고, 사용자 장비 UE에 의해, 액세스 요청 메시지를 생성하는 단계 전에, 이 방법은 다음을 추가로 포함한다:
UE에 의해, UE에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하는 단계.
제2 양태를 참조하면, 제2 양태의 제3 가능한 구현예에서, UE에 의해, 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스에 액세스 요청 메시지를 전송하는 단계 후에, 이 방법은 다음을 추가로 포함한다:
UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 제1 네트워크 디바이스에 의해 전송된 인증 메시지를 수신하는 단계- 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -; 및
UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 대응하는 인증 응답 메시지를 제1 네트워크 디바이스로 전송하는 단계.
제2 양태의 제3 가능한 구현예를 참조하면, 제2 양태의 제4 가능한 구현예에서, UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 대응하는 인증 응답 메시지를 제1 네트워크 디바이스로 전송하는 단계 후에, 이 방법은 다음을 추가로 포함한다:
UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하는 단계.
제2 양태의 제1 가능한 구현예를 참조하면, 제2 양태의 제5 가능한 구현예에서, UE에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계 후에, 이 방법은 다음을 추가로 포함한다:
UE에 의해, 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하는 단계.
제2 양태의 제5 가능한 구현예를 참조하면, 제2 양태의 제6 가능한 구현예에서, UE에 의해, 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하는 단계는 다음을 포함한다:
UE에 의해, 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하는 단계; 및
UE에 의해, 암호 알고리즘, 비-3GPP 네트워크의 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하는 단계.
제2 양태 및 제2 양태의 제1 내지 제6 가능한 구현예들 중 어느 하나를 참조하면, 제2 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제3 양태에 따르면, 사용자 장비 UE의 액세스 디바이스가 제공되고, 사용자 장비 UE의 액세스 디바이스는 다음을 포함한다:
비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되는 제1 수신 유닛- 액세스 요청 메시지는 UE의 식별자를 포함함 -;
UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 비-액세스 계층 NAS 검증 코드를 생성하도록 구성되는 생성 유닛;
액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하도록 구성되는 검출 유닛- 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드임 -; 및
제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한 경우, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송하도록 구성되는 제1 전송 유닛.
제3 양태를 참조하면, 제3 양태의 제1 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 구성되는 결정 유닛.
제3 양태의 제1 가능한 구현예를 참조하면, 제3 양태의 제2 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하도록 구성되는 제1 획득 유닛; 및
제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하도록 구성되는 제2 수신 유닛.
제3 양태를 참조하면, 제3 양태의 제3 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하도록 구성되는 제1 획득 유닛; 및
제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이한 경우, UE에 대해 보안 인증을 수행하거나; 또는
액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, UE에 대해 보안 인증을 수행하도록 구성되는 인증 유닛.
제3 양태의 제3 가능한 구현예를 참조하면, 제3 양태의 제4 가능한 구현예에서, 인증 유닛은 다음을 추가로 포함한다:
제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하도록 구성되는 전송 모듈; 및
제2 네트워크 디바이스를 사용하는 것에 의해, UE로부터 인증 메시지에 대응하는 인증 응답 메시지를 수신하도록 구성되는 수신 모듈.
제3 양태의 제4 가능한 구현예를 참조하면, 제3 양태의 제5 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하도록 구성되는 제2 전송 유닛.
제3 양태 및 제3 양태의 제1 내지 제5 가능한 구현예들 중 어느 하나를 참조하면, 제3 양태의 제6 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
UE의 능력 정보를 획득하도록 구성되는 제2 획득 유닛- 능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용됨 -; 및
제2 네트워크 디바이스에 능력 정보를 전송하도록 구성되는 제3 전송 유닛- 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용됨 -.
제3 양태 및 제3 양태의 제1 내지 제6 가능한 구현예들 중 어느 하나를 참조하면, 제3 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제4 양태에 따르면, 사용자 장비 UE의 액세스 디바이스가 제공되고, 사용자 장비 UE의 액세스 디바이스는 다음을 포함한다:
액세스 요청 메시지를 생성하도록 구성되는 제1 생성 유닛- 액세스 요청 메시지는 UE의 액세스 디바이스의 식별자를 포함함 -; 및
비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 액세스 요청 메시지를 전송하도록 구성되는 제1 전송 유닛.
제4 양태를 참조하면, 제4 양태의 제1 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 구성되는 결정 유닛.
제4 양태를 참조하면, 제4 양태의 제2 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
UE의 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하도록 구성되는 제2 생성 유닛.
제4 양태를 참조하면, 제4 양태의 제3 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 제1 수신 유닛- 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 액세스 디바이스의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 액세스 디바이스의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -; 및
제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 대응하는 인증 응답 메시지를 제1 네트워크 디바이스로 전송하도록 구성되는 제2 전송 유닛.
제4 양태의 제3 가능한 구현예를 참조하면, 제4 양태의 제4 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
제2 네트워크 디바이스를 사용하는 것에 의해 UE의 액세스 디바이스에 대하여, 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 구성되는 제2 수신 유닛.
제4 양태의 제1 가능한 구현예를 참조하면, 제4 양태의 제5 가능한 구현예에서, 이 디바이스는 다음을 추가로 포함한다:
비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하도록 구성되는 제3 생성 유닛.
제4 양태의 제5 가능한 구현예를 참조하면, 제4 양태의 제6 가능한 구현예에서, 제3 생성 유닛은 다음을 포함한다:
제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하도록 구성되는 수신 모듈; 및
암호 알고리즘, 비-3GPP 네트워크의 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 구성되는 생성 모듈.
제4 양태 및 제4 양태의 제1 내지 제6 가능한 구현예들을 참조하면, 제4 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제5 양태에 따르면, 사용자 장비 UE의 액세스 디바이스로서, UE의 액세스 디바이스는: 수신기, 송신기, 프로세서, 버스 및 메모리를 포함하고, 버스는 수신기, 송신기, 프로세서 및 메모리를 접속시키도록 구성되고, 프로세서는 메모리에 저장되는 프로그램을 실행하도록 구성되고,
수신기는 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되고- 액세스 요청 메시지는 UE의 식별자를 포함함 -;
프로세서는 UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 비-액세스 계층 NAS 검증 코드를 생성하도록 구성되고;
프로세서는, 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하도록 추가로 구성되고- 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드임 -; 및
송신기는, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한 경우, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송하도록 구성된다.
제5 양태를 참조하면, 제5 양태의 제1 가능한 구현예에서, 프로세서는:
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 추가로 구성된다.
제5 양태의 제1 가능한 구현예를 참조하면, 제5 양태의 제2 가능한 구현예에서, 프로세서는:
UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하도록 추가로 구성되고; 및
수신기는:
제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하도록 추가로 구성된다.
제5 양태를 참조하면, 제5 양태의 제3 가능한 구현예에서, 프로세서는:
제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이한 경우, UE에 대해 보안 인증을 수행하거나; 또는
액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, UE에 대해 보안 인증을 수행하도록 추가로 구성된다.
제5 양태의 제3 가능한 구현예를 참조하면, 제5 양태의 제4 가능한 구현예에서, 프로세서는 구체적으로:
제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하고; 및
제2 네트워크 디바이스를 사용하는 것에 의해, UE로부터 인증 메시지에 대응하는 인증 응답 메시지를 수신하도록 구성된다.
제5 양태의 제4 가능한 구현예를 참조하면, 제5 양태의 제5 가능한 구현예에서, 송신기는:
제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하도록 추가로 구성된다.
제5 양태 및 제5 양태의 제1 내지 제5 가능한 구현예들 중 어느 하나를 참조하여, 제5 양태의 제6 가능한 구현예에서, 프로세서는:
UE의 능력 정보를 획득하도록 추가로 구성되고- 능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용됨 -; 및
송신기는:
능력 정보를 제2 네트워크 디바이스에 전송하도록 추가로 구성된다- 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용됨 -.
제5 양태 및 제5 양태의 제1 내지 제6 가능한 구현예들 중 어느 하나를 참조하면, 제5 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제6 양태에 따르면, 사용자 장비 UE의 액세스 디바이스가 제공되고, UE의 액세스 디바이스는: 송신기, 프로세서, 버스 및 메모리를 포함하고, 버스는 송신기, 프로세서 및 메모리를 접속시키도록 구성되고, 프로세서는 메모리에 저장되는 프로그램을 실행하도록 구성되고,
프로세서는 액세스 요청 메시지를 생성하도록 구성되고- 액세스 요청 메시지는 UE의 액세스 디바이스의 식별자를 포함함 -; 및
송신기는 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 액세스 요청 메시지를 전송하도록 구성된다.
제6 양태를 참조하면, 제6 양태의 제1 가능한 구현예에서, 프로세서는:
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 추가로 구성된다.
제6 양태를 참조하면, 제6 양태의 제2 가능한 구현예에서, 프로세서는:
UE의 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하도록 추가로 구성된다.
제6 양태를 참조하면, 제6 양태의 제3 가능한 구현예에서, 이 디바이스는:
제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 수신기를 추가로 포함하고- 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 액세스 디바이스의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 액세스 디바이스의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -;
송신기는 제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 대응하는 인증 응답 메시지를 제1 네트워크 디바이스에 전송하도록 추가로 구성된다.
제6 양태의 제3 가능한 구현예를 참조하면, 제6 양태의 제4 가능한 구현예에서, 수신기는:
제2 네트워크 디바이스를 사용하는 것에 의해, 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 추가로 구성된다.
제6 양태의 제1 가능한 구현예를 참조하면, 제6 양태의 제5 가능한 구현예에서, 프로세서는:
비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하도록 추가로 구성된다.
제6 양태의 제5 가능한 구현예를 참조하면, 제6 양태의 제6 가능한 구현예에서, 프로세서는 구체적으로:
제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하고; 및
암호 알고리즘, 비-3GPP 네트워크의 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 구성된다.
제6 양태 및 제6 양태의 제1 내지 제6 가능한 구현예들을 참조하면, 제6 양태의 제7 가능한 구현예에서, 제2 네트워크 디바이스는 무선 액세스 포인트 AP이다.
제7 양태에 따르면, 사용자 장비 UE의 액세스 시스템이 제공되고, 사용자 장비 UE의 액세스 시스템은 다음을 포함한다:
제3 양태의 임의의 구현예에 따른 UE의 액세스 디바이스; 및
제4 양태의 임의의 구현예에 따른 UE의 액세스 디바이스.
제8 양태에 따르면, 사용자 장비 UE의 액세스 시스템이 제공되고, 사용자 장비 UE의 액세스 시스템은 다음을 포함한다:
제5 양태의 임의의 구현예에 따른 UE의 액세스 디바이스; 및
제6 양태의 임의의 구현예에 따른 UE의 액세스 디바이스.
본 발명에서 제공되는 기술적 해결책들의 이로운 효과들은 다음과 같다: 본 발명에서 제공되는 UE의 액세스 방법에 따르면, 3GPP 네트워크 상에서의 제1 네트워크 디바이스는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
전술한 일반적인 설명 및 하기의 상세한 설명은 단지 예들로서 사용되고 설명을 위해 사용되고, 본 발명에 대한 한정으로서 해석되지 않는다는 점을 이해해야 한다.
본 발명의 실시예들에서의 기술적 해결책들을 더 명확하게 설명하기 위해, 이하에서는 실시예들을 설명하기 위해 요구되는 첨부 도면들을 간단히 설명한다. 명백하게, 다음 설명에서의 첨부 도면들은 단지 본 발명의 일부 실시예를 나타내고, 본 기술분야의 통상의 기술자는 창조적인 노력 없이 이들 첨부 도면들로부터 다른 도면들을 여전히 유도할 수 있다.
도 1은 본 발명의 실시예에 따라 UE의 액세스 방법이 사용되는 구현 환경의 개략적인 도면이다;
도 2는 본 발명의 실시예에 따른 UE의 액세스 방법의 흐름도이다;
도 3은 본 발명의 실시예에 따른 UE의 다른 액세스 방법의 흐름도이다;
도 4aa 및 도 4ab은 본 발명의 실시예에 따른 UE의 다른 액세스 방법을 도시한 흐름도이다;
도 4b는 본 발명의 실시예에 따른 비-3GPP 네트워크의 AS 키를 생성하는 방법의 흐름도이다;
도 4c는 본 발명의 실시예에 따라 UE에 대해 MME에 의한 보안 인증을 수행하는 것에 대한 흐름도이다;
도 5는 본 발명의 실시예에 따른 UE의 액세스 디바이스의 개략적인 구조도이다;
도 6a는 본 발명의 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다;
도 6b는 본 발명의 실시예에 따른 인증 유닛의 개략적인 구조도이다;
도 7은 본 발명의 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다;
도 8a은 본 발명의 일 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다;
도 8b는 본 발명의 실시예에 따른 제3 생성 유닛의 개략적인 구조도이다;
도 9는 본 발명의 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다;
도 10a는 본 발명의 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다; 및
도 10b는 본 발명의 실시예에 따른 UE의 다른 액세스 디바이스의 개략적인 구조도이다.
전술한 첨부 도면들은 본 발명의 특정 실시예들을 도시하고, 보다 상세한 설명들이 하기에서 제공된다. 첨부 도면들 및 텍스트 설명들은 임의의 방식으로 본 발명의 사상의 범위를 제한하고자 하는 것이 아니라, 특정 실시예들을 참조하여 본 기술분야의 통상의 기술자에게 본 발명의 개념을 설명하고자 하는 것이다.
본 발명의 목적들, 기술적 해결책들 및 이점들을 보다 명확하게 하기 위해, 이하에서는 첨부 도면들을 참조하여 본 발명의 실시예들을 상세히 추가로 설명한다.
도 1은 본 발명의 실시예에 따라 UE의 액세스 방법이 사용되는 구현 환경의 개략적인 도면이다. 구현 환경에서, 3GPP 네트워크(01) 및 비-3GPP 네트워크(02)가 포함될 수 있다. 3GPP 네트워크(01)는 제1 네트워크 디바이스(011)를 포함하고, 비-3GPP 네트워크(02)는 제2 네트워크 디바이스(021)를 포함한다. 비-3GPP 네트워크(02) 상의 UE(03)는 제2 네트워크 디바이스(021)를 사용하는 것에 의해 3GPP 네트워크(01) 상에서의 제1 네트워크 디바이스(011)와 정보 교환을 구현할 수 있다. UE(03)는 3GPP 네트워크(01) 상에서의 제1 네트워크 디바이스(011)와 NAS 메시지를 공유할 수 있다. 제1 네트워크 디바이스(011)에 저장되는 NAS 보안 컨텍스트는 UE(03)에 저장되는 NAS 보안 컨텍스트와 동일하다.
본 발명의 실시예들에서, 3GPP 네트워크는 LTE 네트워크일 수 있거나, 차세대(예를 들어, 4.5G 또는 5G) 네트워크 또는 다른 표준의 미래의 네트워크일 수 있다. 비-3GPP 네트워크는 WLAN 네트워크일 수 있다. 구체적으로, 본 발명의 실시예들에서, 3GPP 네트워크가 LTE 네트워크 일 때, 제1 네트워크 디바이스는 MME일 수 있고; 비-3GPP 네트워크가 WLAN 네트워크일 때, 제2 네트워크 디바이스는 무선 액세스 포인트(Wireless Access Point, 줄여서, AP) 또는 AP 제어기(AP Controller, 줄여서, AC)일 수 있다.
이하에서는 본 발명의 실시예에서의 첨부 도면들을 참조하여 본 발명의 실시예들에서의 기술적 해결책들을 명확하고 완전하게 설명한다.
본 발명의 실시예는 UE의 액세스 방법을 제공한다. 도 2에 도시된 바와 같이, 이 방법은 도 1에 도시된 제1 네트워크 디바이스(011)에 적용될 수 있다. UE의 액세스 방법은 다음 단계들을 포함한다.
단계 201: 3GPP 네트워크 상에서의 제1 네트워크 디바이스는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신하고, 액세스 요청 메시지는 UE의 식별자를 포함한다.
단계 202: 제1 네트워크 디바이스는 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성한다.
단계 203: 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하면, 제1 네트워크 디바이스는 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하고, 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드이다.
단계 204: 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송한다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법에 따르면, 3GPP 네트워크 상에서의 제1 네트워크 디바이스는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하고, 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
또한, 단계 204 이전에, 이 방법은 제1 네트워크 디바이스에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계를 추가로 포함한다.
제1 네트워크 디바이스에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계 전에, 이 방법은 제1 네트워크 디바이스에 의해, 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하는 단계; 및 제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하는 단계를 추가로 포함한다.
또한, 이 방법은 다음을 추가로 포함한다: 제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이하면, 제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계; 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, 제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계.
제1 네트워크 디바이스에 의해, UE에 대해 보안 인증을 수행하는 단계는, 제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하는 단계; 및 제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 특정하고 UE에 의해 전송되는 인증 응답 메시지를 수신하는 단계를 포함한다.
제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 특정하고 UE에 의해 전송된 인증 응답 메시지를 수신하는 단계 후에, 이 방법은 제1 네트워크 디바이스에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하는 단계를 추가로 포함한다.
단계 204 이전에, 이 방법은 제1 네트워크 디바이스에 의해, UE의 능력 정보를 획득하는 단계- 능력 정보는 비-3GPP 네트워크 상에서 UE의 능력을 나타내기 위해 사용됨 -; 및 제1 네트워크 디바이스에 의해, 능력 정보를 제2 네트워크 디바이스에 전송하는 단계- 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용됨 -를 추가로 포함한다.
선택적으로, 제2 네트워크 디바이스는 AP이다.
선택적으로, 액세스 요청 메시지는 NAS 메시지를 포함하고, NAS 메시지는 UE의 식별자를 포함한다. 액세스 요청 메시지, 인증 메시지, 인증 응답 메시지 및 액세스 성공 메시지는 송신을 위한 EAP 메시지에서 반송된다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법에 따르면, 3GPP 네트워크 상에서의 제1 네트워크 디바이스는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 방법을 제공한다. 도 3에 도시된 바와 같이, 이 방법은 도 1에 도시된 UE(03)에 적용될 수 있다. UE의 액세스 방법은 다음 단계들을 포함한다.
단계 301: UE는 액세스 요청 메시지를 생성하고, 액세스 요청 메시지는 UE의 식별자를 포함한다.
단계 302: UE는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송한다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법에 따르면, UE는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
또한, 단계 302 이후에, 이 방법은 UE에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계를 추가로 포함한다.
선택적으로, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함한다. 단계 301 이전에, 이 방법은 UE에 의해, UE에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하는 단계를 추가로 포함한다.
단계 302 이후에, 이 방법은 다음을 추가로 포함한다: UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 제1 네트워크 디바이스에 의해 전송된 인증 메시지를 수신하는 단계- 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -; 및 UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 특정한 인증 응답 메시지를 제1 네트워크 디바이스로 전송하는 단계.
UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지에 특정한 인증 응답 메시지를 제1 네트워크 디바이스로 전송하는 단계 후, 이 방법은 UE에 의해, 제2 네트워크 디바이스를 사용하는 것에 의해 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하는 단계를 추가로 포함한다.
UE에 의해, 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하는 단계 후, 이 방법은 UE에 의해, 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 생성하는 단계를 추가로 포함한다.
UE에 의해, 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 생성하는 단계는, UE에 의해, 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하는 단계; 및 UE에 의해, 암호 알고리즘, 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하는 단계를 포함한다.
선택적으로, 제2 네트워크 디바이스는 AP이다.
선택적으로, 액세스 요청 메시지는 NAS 메시지를 포함하고, NAS 메시지는 UE의 식별자를 포함한다. 액세스 요청 메시지, 인증 메시지, 인증 응답 메시지 및 액세스 성공 메시지는 송신을 위한 EAP 메시지에서 반송된다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법에 따르면, UE는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예에서, 3GPP 네트워크가 LTE 네트워크이고 비-3GPP 네트워크가 WLAN 네트워크인 예가 설명을 위해 사용된다. 이 경우, 제1 네트워크 디바이스는 MME일 수 있고, 제2 네트워크 디바이스는 AP일 수 있다. 본 발명의 이러한 실시예는 UE의 액세스 방법을 제공한다. 도 4aa 및 도 4ab에 도시된 바와 같이, UE의 액세스 방법은 다음 단계들을 포함한다.
단계 501: UE는 액세스 요청 메시지를 생성한다.
액세스 요청 메시지는 UE의 식별자를 포함한다. 선택적으로, 액세스 요청 메시지는 NAS 메시지를 포함하고, NAS 메시지는 UE의 식별자를 포함할 수 있다. 액세스 요청 메시지는 송신을 위해 EAP 메시지에서 반송된다.
단계 502: UE는 액세스 요청 메시지를 AP에 전송한다.
UE는 액세스 요청 메시지를 반송하는 EAP 메시지를 AP에 전송하여서, AP가 액세스 요청 메시지를 반송하는 EAP 메시지를 MME에 전송한다.
단계 503: AP는 액세스 요청 메시지를 MME에 전송한다.
액세스 요청 메시지를 반송하고 UE에 의해 전송된 EAP 메시지를 수신한 후, AP는 액세스 요청 메시지를 반송하는 EAP 메시지를 MME에 전송한다.
단계 504: MME는 UE의 식별자 및 MME에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성한다.
3GPP 네트워크는 2개 부분: 액세스 네트워크와 코어 네트워크로 분할된다. UE가 3GPP 네트워크의 액세스 네트워크를 사용하는 것에 의해 3GPP 네트워크의 코어 네트워크에 액세스할 때, MME와 같은, 3GPP 네트워크의 코어 네트워크 상에 있는 이동성 관리 및 다른 기능들을 담당하는 네트워크 디바이스가 UE에 대해 EPS-AKA 인증을 수행한다. EPS AKA의 절차에 대해서는, 3GPP TS 33.401 프로토콜을 참조한다. 이 프로토콜에서, 챌린지 응답 메커니즘이 사용자와 네트워크 사이의 아이덴티티 인증 및 키 합의를 구현하기 위해 사용되고 아이덴티티 인증을 기반으로 통신 암호화 키에 대해 협상을 수행한다. 구체적으로, MME는 홈 가입 서버(Home Subscriber Server, 줄여서, HSS)로부터 인증 벡터 {RAND, AUTN, XRES, Kasme}를 획득하고, RAND는 난수이고, AUTN은 인증 토큰이고, XRES는 기대 응답이며 Kasme는 네트워크 키이다. MME는 RAND 및 AUTN을 UE에 전송하고; UE는 AUTN이 정확한지를 검사한다. AUTN이 정확하다면, UE는 RAND에 따라 응답(response, 줄여서, RES)을 계산하고, RES를 MME에 전송한다. MME는 UE에 의해 전송된 RES가 인증 벡터에서의 기대 응답(expect response, 줄여서, XRES)과 동일한지를 검사한다. UE에 의해 전송된 RES가 인증 벡터에서의 XRES와 동일하면, MME에 의해 UE에 대해 수행된 인증은 성공한다. 인증이 성공한 후, UE 및 MME는 NAS 보안 컨텍스트의 세트를 공유한다. MME와 UE 양자 모두 NAS 보안 컨텍스트를 저장한다. NAS 보안 컨텍스트는 보안 관련 파라미터들의 세트를 지칭한다.
본 발명의 이러한 실시예에서, NAS 보안 컨텍스트는 Kasme, Knas.int(무결성 보호 키) 또는 Knas.enc(해독 키), NAS 알고리즘, NAS 시퀀스 번호, UE의 능력 정보 등을 포함한다. Kasme는 3GPP 네트워크의 키이다. Knas.int는 UE와 MME 사이의 NAS 메시지의 무결성을 보호하기 위해 사용된다. Knas.enc는 UE와 MME 사이의 NAS 메시지의 기밀성을 보호하기 위해 사용된다. NAS 시퀀스 번호는 업링크 NAS 시퀀스 번호 또는 다운링크 NAS 시퀀스 번호일 수 있다.
MME가 다수의 UE의 이동성 관리를 수행하는 것을 담당하기 때문에, 다수의 UE의 NAS 보안 컨텍스트들이 MME에 저장되고, 각각의 UE는 하나의 식별자에 대응한다. 따라서, MME는 UE의 식별자에 따라, UE에 대응하는 NAS 보안 컨텍스트를 결정한 다음, NAS 보안 컨텍스트에 따라 NAS 검증 코드를 생성할 수 있다. NAS 검증 코드는 제1 NAS 검증 코드이다. 구체적으로, 제1 NAS 검증 코드는 NAS 보안 컨텍스트에서의 3GPP 네트워크의 키 또는 NAS 알고리즘에 따라 생성될 수 있다. 이 프로세스에 대해, 관련 기술이 참조될 수 있다. 세부 사항들은 본 발명의 이러한 실시예에서는 설명되지 않는다.
단계 505: 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하면, MME는 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출한다.
제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드이다. 단계 501에서, UE는 액세스 요청 메시지를 생성할 때, UE에 저장되는 NAS 보안 컨텍스트에 따라 NAS 검증 코드를 생성할 수 있고, NAS 검증 코드는 제2 NAS 검증 코드이다. 구체적으로, 제2 NAS 검증 코드는 NAS 보안 컨텍스트에서의 3GPP 네트워크의 키 또는 NAS 알고리즘에 따라 생성될 수 있다.
액세스 요청 메시지가 제2 NAS 검증 코드를 포함하면, UE에 의해 액세스 요청 메시지를 생성하는 단계 501 이전에, 이 방법은 UE에 의해, UE에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하는 단계를 추가로 포함할 수 있다는 점을 유의해야 한다.
단계 506: MME는 MME에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득한다.
MME에 저장되는 UE의 NAS 보안 컨텍스트는 3GPP 네트워크의 키 및 NAS 시퀀스 번호를 포함한다. 따라서, MME는 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 직접 획득할 수 있다.
단계 507: MME는 AP에 의해 전송되는 비-3GPP 네트워크의 타입 식별자를 수신한다.
비-3GPP 네트워크의 타입 식별자는 단계 503에서 액세스 요청 메시지에서 반송될 수 있고, AP에 의해 MME로 전송된다. 대안으로, 비-3GPP 네트워크의 타입 식별자는 단계 5144에서 AKA 인증 응답 메시지에서 반송될 수 있고, AP에 의해 MME로 전송된다.
제1 양태에서, 단계 503에서, 액세스 요청 메시지를 MME에 전송할 때, AP는 액세스 요청 메시지에 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자를 추가할 수 있다. 비-3GPP 네트워크의 타입 식별자는 비-3GPP 네트워크의 타입, 예를 들어 WLAN 타입을 나타내기 위해 사용된다. 비-3GPP 네트워크의 아이덴티티 식별자는 비-3GPP 네트워크의 아이덴티티를 고유하게 식별하기 위해 사용된다. MME는 AP에 의해 전송된 액세스 요청 메시지를 수신한 후, 액세스 요청 메시지로부터, 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자를 획득할 수 있다. 비-3GPP 네트워크의 아이덴티티 식별자를 획득하면, MME는 비-3GPP 네트워크의 아이덴티티 식별자에 따라 비-3GPP 네트워크의 타입 식별자를 결정할 수 있다. 본 발명의 이러한 실시예에서, 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자는 액세스 요청 메시지에서 반송되고, 따라서 새로운 메시지를 생성할 필요가 없다. 이는 메시지들의 양을 감소시키고, 네트워크 부하를 감소시킬 수 있다.
제2 양태에서, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이하면, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, MME는 UE에 대해 보안 인증을 수행할 수 있다. MME가 UE에 대해 보안 인증을 수행하는 프로세스에서, AP에 의해 MME에 전송된 AKA 인증 응답 메시지에 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자가 추가될 수 있고, MME는 AKA 인증 응답 메시지로부터, 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자를 획득할 수 있다. 비-3GPP 네트워크의 아이덴티티 식별자를 획득하면, MME는 비-3GPP 네트워크의 아이덴티티 식별자에 따라 비-3GPP 네트워크의 타입 식별자를 결정할 수 있다. 유사하게, 본 발명의 이러한 실시예에서, 비-3GPP 네트워크의 타입 식별자 또는 비-3GPP 네트워크의 아이덴티티 식별자는 AKA 인증 응답 메시지에서 반송되고, 따라서 새로운 메시지를 생성할 필요가 없다. 이는 메시지들의 양을 감소시키고, 네트워크 부하를 감소시킬 수 있다.
단계 508: MME는 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정한다.
구체적으로, MME는 미리 설정된 키 추론 알고리즘을 사용하는 것에 의해 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 액세스 키를 결정한다. NAS 시퀀스 번호는 업링크 NAS 시퀀스 번호이다. 예를 들어, MME는 단계 506에서 획득된 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키와 단계 507에서 수신된 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 미리 설정된 키 추론 알고리즘을 사용하는 것에 의해 결정할 수 있다. 비-3GPP 네트워크의 액세스 키의 계산 식은 다음과 같다:
K=KDF(uplink NAS count, Kasme, "WLAN"), 여기서
K는 비-3GPP 네트워크의 액세스 키, 즉 WLAN 네트워크이고, "uplink NAS count"는 업링크 NAS 시퀀스 번호이고, Kasme는 3GPP 네트워크의 키이고, "WLAN"은 비-3GPP 네트워크의 타입 식별자이고, KDF는 미리 설정된 키 추론 알고리즘을 나타낸다. 비-3GPP 네트워크의 액세스 키 K의 추론 프로세스에서, "uplink NAS count" 및 "Kasme"와 같은 파라미터들에 더하여, 다른 파라미터가 또한 포함될 수 있다는 점을 유의해야 한다.
단계 509: UE는 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정한다.
유사하게, UE는 또한 미리 설정된 키 추론 알고리즘을 사용하는 것에 의해 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정한다. 구체적으로, UE는 저장되는 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키 Kasme를 획득한다. NAS 시퀀스 번호는 업링크 NAS 시퀀스 번호이다. UE는 비-3GPP 네트워크의 타입 식별자를 저장한다. 따라서, UE는 비-3GPP 네트워크의 액세스 키를 결정할 수 있다. 액세스 키의 계산 식은 다음과 같다:
K=KDF(uplink NAS count, Kasme, "WLAN"), 여기서
K는 비-3GPP 네트워크의 액세스 키이고, "uplink NAS count"는 업링크 NAS 시퀀스 번호이고, Kasme는 3GPP 네트워크의 키이고, "WLAN"은 비-3GPP 네트워크의 타입 식별자이고, KDF는 미리 설정된 키 추론 알고리즘을 나타낸다. 미리 설정된 키 추론 알고리즘은 단계 508에서 사용된 미리 설정된 키 추론 알고리즘과 동일하다는 점을 유의해야 한다.
단계 510: MME는 UE의 능력 정보를 획득한다.
능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용된다. UE의 능력 정보는 MME에 저장되는 UE의 NAS 보안 컨텍스트에 포함된다. 따라서, MME는 NAS 보안 컨텍스트로부터 UE의 능력 정보를 획득할 수 있다.
단계 511: MME는 능력 정보를 AP에 전송한다.
UE의 능력 정보를 획득한 후, MME는 능력 정보를 AP에 전송하여서, AP가 능력 정보에 따라 암호 알고리즘을 결정한다. 암호 알고리즘은 비-3GPP 네트워크의 AS 키를 생성하기 위해 AP에 의해 사용된다. 구체적으로, AP는 알고리즘 리스트를 로컬로 저장한다. 알고리즘 리스트는 비-3GPP 네트워크에 의해 지원되는 다양한 암호 알고리즘들을 기록하고, 이들 암호 알고리즘들은 우선순위들의 오름차순 또는 내림차순으로 배열된다. 비-3GPP 네트워크의 암호 알고리즘을 획득할 때, AP는 비-3GPP 네트워크 상에서의 UE의 능력을 알고리즘 리스트와 정합하여 비-3GPP 상에서의 UE의 능력에 대응하고 알고리즘 리스트에 있는 암호 알고리즘들을 획득하고, 그 후 이들 알고리즘들 중에서 가장 높은 우선순위를 갖는 알고리즘을 비-3GPP 네트워크의 선택된 암호 알고리즘으로서 획득할 수 있다. 예를 들어, WLAN 네트워크에서의 네트워크 디바이스는 암호 알고리즘 AES(AES는 NIST(National Institute of Standards and Technology)가 DES를 대체하려고 하는 21세기 암호화 표준임)를 지원한다.
비-3GPP 네트워크는 WLAN 네트워크이다. AP에 의해 수신되는 WLAN 네트워크 상의 UE의 능력들이 L1 및 L5에 대응하고, WLAN 네트워크의 알고리즘 리스트가 표 1에 도시되고, 표 1에서의 암호 알고리즘들이 우선순위들의 내림차순으로 배열되고, 순차적으로 알고리즘들 L1, L4, L5, 및 L2인 것으로 가정하면, AP는 WLAN 네트워크 상에서의 UE의 능력을 WLAN 네트워크의 알고리즘 리스트와 정합하여, WLAN 네트워크 상에서의 UE의 능력에 대응하고 WLAN 네트워크에 의해 지원되는 알고리즘 리스트에 있는 암호 알고리즘들 L1 및 L5를 획득하고, 표 1에 따른 알고리즘들 사이에서 더 높은 우선순위를 갖는 알고리즘 L1을 획득하고, L1을 최종 암호 알고리즘으로서 결정할 수 있다.
Figure pct00001
단계 512: UE는 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 생성한다.
구체적으로는, 도 4b에 도시된 것과 같이, 단계 512는 다음 단계들을 포함한다.
단계 5121: UE는 AP에 의해 전송된 암호 알고리즘을 수신한다.
UE는 AP를 사용하는 것에 의해 암호 알고리즘을 획득할 수 있다. 암호 알고리즘은 단계 510에서 AP에 의해 결정된 암호 알고리즘이다. AP가 메시지를 UE로 전송할 때, UE에 대응하는 암호 알고리즘이 메시지에 표시될 수 있어서, UE가 암호 알고리즘을 획득하고, 암호 알고리즘, 비-3GPP 네트워크의 액세스 키, 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성한다. 암호 알고리즘이 단계 517에서 액세스 성공 메시지에서 반송되고 AP에 의해 UE로 전송될 수 있거나; 또는 4방향 핸드셰이크 메시지에서 반송되고 AP에 의해 UE로 전송될 수 있거나; 또는 다른 메시지에서 반송될 수도 있다는 점을 유의해야 한다. 이는 본 발명의 이러한 실시예에 제한되지 않는다.
단계 5122: UE는 암호 알고리즘, 비-3GPP 네트워크의 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성한다.
UE는 AP에 의해 전송된 암호 알고리즘, UE에 의해 결정되는 비-3GPP 네트워크의 액세스 키, 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성한다. 비-3GPP 네트워크의 AS 키의 계산 식은 다음과 같다:
PMK=KDF(K, L1, "WLAN"), 여기서
PMK는 비-3GPP 네트워크의 AS 키이고, K는 비-3GPP 네트워크의 액세스 키이고, L1은 UE의 능력 정보에 따라 결정되는 암호 알고리즘에 대응하는 알고리즘 식별자이고, "WLAN"은 비-3GPP 네트워크의 타입 식별자이고, KDF는 L1에 대응하는 알고리즘을 사용하는 것을 나타낸다.
단계 513: 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일하면, MME는 비-3GPP 네트워크의 액세스 키를 AP에 전송한다.
UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성된 제2 NAS 검증 코드가 UE의 식별자 및 MME에 저장되는 UE의 NAS 보안 컨텍스트에 따라 MME에 의해 생성된 제1 NAS 검증 코드와 동일한 경우, MME는 비-3GPP 네트워크의 액세스 키를 AP에 전송한다.
한편, AP가 MME에 의해 전송된 비-3GPP 네트워크의 액세스 키를 수신한 후에, UE는 또한 단계 509에서 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하기 때문에, AP는 UE와 통신할 수 있고, AP와 UE는 비-3GPP 네트워크의 결정된 액세스 키에 따라 에어 인터페이스 보안 활성화를 수행할 수 있다.
반면, AP가 MME에 의해 전송된 비-3GPP 네트워크의 액세스 키를 수신한 후, AP는 비-3GPP 네트워크의 액세스 키, AP에 의해 결정된 암호 알고리즘 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성할 수 있다. UE가 단계 512에서 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 또한 생성하기 때문에, UE와 AP 양자 모두 비-3GPP 네트워크의 AS 키를 생성한 후에, UE와 AP는 AS 보안 컨텍스트의 협상 및 활성화를 완료하기 위해, 비-3GPP 네트워크의 생성된 AS 키를 사용하는 것에 의해 에어 인터페이스 보안 활성화의 프로세스를 구현하고, WLAN 네트워크 상에서 4방향 핸드 셰이크(4-way handshake) 절차를 구현할 수 있다. AS 키의 계산 식은 다음과 같다:
PMK=KDF(K, L1, "WLAN"), 여기서
PMK는 비-3GPP 네트워크의 AS 키이고, K는 비-3GPP 네트워크의 액세스 키이고, L1은 UE의 능력 정보에 따라 결정되는 암호 알고리즘에 대응하는 알고리즘 식별자이고, "WLAN"은 비-3GPP 네트워크의 타입 식별자이고, KDF는 L1에 대응하는 알고리즘을 사용하는 것을 나타낸다.
단계 514: 제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이하면, MME는 UE에 대해 보안 인증을 수행한다.
MME에 의해, UE에 대해 보안 인증을 수행하는 것은 다음을 포함할 수 있다: MME에 의해, AP를 사용하는 것에 의해 인증 메시지를 UE로 전송하는 것; 및 AP를 사용하는 것에 의해 MME에 의해, 인증 메시지에 특정하고 UE에 의해 전송된 인증 응답 메시지를 수신하는 것. 인증 메시지는 AKA 인증 챌린지 메시지 및 NAS 보안 모드 커맨드(Security Mode Command, 줄여서, SMC) 메시지를 포함할 수 있다. 인증 메시지에 특정한 인증 응답 메시지는 AKA 인증 응답 메시지 및 NAS 보안 모드 완료(security mode complete, 줄여서, SMP) 메시지를 포함할 수 있다. 따라서, 도 4c에 도시된 바와 같이, MME에 의해, UE에 대해 보안 인증을 수행하는 것은 구체적으로 다음의 단계들을 포함할 수 있다:
단계 5141: MME는 AKA 인증 챌린지 메시지를 AP에 전송한다.
MME는 AKA 인증 챌린지 메시지를 반송하는 EAP 메시지를 AP에 전송한다.
단계 5142: AP는 AKA 인증 챌린지 메시지를 UE에 전송한다.
AP는 AKA 인증 챌린지 메시지를 반송하는 EAP 메시지를 UE로 전송한다.
단계 5143: UE는 AKA 인증 응답 메시지를 AP에 전송한다.
UE는 AKA 인증 응답 메시지를 반송하는 EAP 메시지를 AP에 전송한다.
단계 5144: AP는 AKA 인증 응답 메시지를 MME에 전송한다.
AP는 AKA 인증 응답 메시지를 반송하는 EAP 메시지를 MME에 전송한다.
단계 5145: MME는 NAS SMC 메시지를 AP에 전송한다.
MME는 NAS SMC 메시지를 반송하는 EAP 메시지를 AP에 전송한다.
단계 5146: AP는 NAS SMC 메시지를 UE에 전송한다.
AP는 NAS SMC 메시지를 반송하는 EAP 메시지를 UE로 전송한다.
단계 5147: UE는 NAS SMP 메시지를 AP에 전송한다.
UE는 NAS SMP 메시지를 반송하는 EAP 메시지를 AP에 전송한다.
단계 5148: AP는 NAS SMP 메시지를 MME에 전송한다.
AP는 MME에 NAS SMP 메시지를 반송하는 EAP 메시지를 전송한다.
제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이한 경우, MME가 UE에 대해 보안 인증을 수행한 후, MME는 비-3GPP 네트워크의 액세스 키를 AP에 전송한다.
단계 515: 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, MME는 UE에 대해 보안 인증을 수행한다.
MME에 의해, UE에 대해 보안 인증을 수행하는 것은 다음을 포함할 수 있다: MME에 의해, AP를 사용하는 것에 의해 인증 메시지를 UE로 전송하는 것; 및 AP를 사용하는 것에 의해 MME에 의해, 인증 메시지에 특정하고 UE에 의해 전송된 인증 응답 메시지를 수신하는 것. MME가 UE에 대해 보안 인증을 수행하는 구체적인 프로세스에 대해서는, 단계 514의 설명이 참조될 수 있다. 세부 사항들은 본 명세서에서 다시 설명되지 않는다.
액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, MME가 UE에 대해 보안 인증을 수행한 후, MME는 비-3GPP 네트워크의 액세스 키를 AP에 전송한다.
단계 516: MME는 액세스 성공 메시지를 AP에 전송한다.
제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일하다면, MME는 액세스 성공 메시지를 반송하는 EAP 메시지를, AP를 사용하는 것에 의해 UE에 전송할 수 있다는 점을 유의해야 한다. 제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이하면, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, MME가 UE에 대해 보안 인증을 수행한 후, MME는 액세스 성공 메시지를 반송하는 EAP 메시지를, AP를 사용하는 것에 의해 UE에 또한 전송할 수 있다.
단계 517: AP는 액세스 성공 메시지를 UE에 전송한다.
MME가 액세스 성공 메시지를 AP를 사용하는 것에 의해 UE에 전송한 후, MME는 비-3GPP 네트워크의 액세스 키를 AP에 전송한다.
본 발명의 이러한 실시예에서 제공되는 UE의 액세스 방법에 따르면, 시스템간(inter-system) 에어 인터페이스의 액세스 지연이 효과적으로 감소되고, 인증 경로가 단순화되고, 사용자 경험이 향상된다. UE와 비-3GPP 네트워크 사이의 보안 컨텍스트는 UE와 3GPP 네트워크 사이의 NAS 보안 컨텍스트를 사용하는 것에 의해 생성된다. 일부 시나리오에서, UE는 비-3GPP 네트워크의 커버리지 영역에서만 위치될 수 있다. 따라서, UE의 액세스 방법에서, UE와 3GPP 네트워크 상에서의 제1 네트워크 디바이스 사이에서 교환되는 NAS 메시지는 송신을 위해 EAP 메시지로 캡슐화되어 송신되어 보안 컨텍스트 생성 프로세스를 완료한다. UE의 액세스 방법은 기존의 3GPP 네트워크 보안 아키텍처에 기초하고, 3GPP 네트워크 상에서의 제1 네트워크 디바이스에 의해 UE에 대해 수행된 인증은 기존의 EPS AKA 인증 절차를 사용하는 것에 의해 완료된다. UE의 액세스 방법에서, 비-3GPP 네트워크의 AS를 사용하는 것에 의해 에어 인터페이스 보안 활성화 프로세스를 수정할 필요 없이, 기존 AS 보안 메커니즘이 완전히 재사용된다.
특히, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법의 단계들의 시퀀스는 적절하게 조정될 수 있고, 특정 경우에 단계가 추가되거나 삭제될 수 있다. 예를 들어, 단계 508 및 단계 509는 동시에 수행될 수 있다. 다른 예로서, 단계 507에서 비-3GPP 네트워크의 타입 식별자는 단계 503에서 액세스 요청 메시지에서 반송될 수 있거나, 단계 5144에서 AKA 인증 응답 메시지에서 반송될 수 있다. 따라서, 단계 507과 단계 503이 동시에 수행될 수 있거나, 단계 507과 단계 5144가 동시에 수행될 수 있다. UE의 액세스 방법의 단계들의 시퀀스는 본 발명의 이러한 실시예에서 제한되지 않는다. 본 발명에 개시된 기술 범위 내에서 본 기술분야의 통상의 기술자에 의해 용이하게 파악할 수 있는 임의의 수정된 방법이 본 발명의 보호 범위 내에 속할 것이다. 따라서, 세부 사항들은 설명되지 않는다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 방법에 따르면, 3GPP 네트워크 상에서의 제1 네트워크 디바이스는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 제1 NAS 검증 코드와 동일하면, 제1 네트워크 디바이스는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스에 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(1)를 제공한다. UE의 액세스 디바이스(1)는 3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스는 3GPP 네트워크 상에서의 제1 네트워크 디바이스일 수 있다. 도 5에 도시된 바와 같이, UE의 액세스 디바이스(1)는 다음을 포함한다:
비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되는 제1 수신 유닛(501)- 액세스 요청 메시지는 UE의 식별자를 포함함 -;
UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하도록 구성되는 생성 유닛(502); 및
액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하도록 구성되는 검출 유닛(503)- 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드임 -; 및
제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한 경우, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송하도록 구성되는 제1 전송 유닛(504).
결론적으로, 본 발명의 이러한 실시예에서 제공되는 UE의 액세스 디바이스에 따르면, 제1 수신 유닛이 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성된 제1 NAS 검증 코드와 동일하면, 제1 전송 유닛은 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(1)를 제공한다. UE의 액세스 디바이스(1)는 3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스는 3GPP 네트워크 상에서의 제1 네트워크 디바이스일 수 있다. 도 6a에 도시된 바와 같이, UE의 액세스 디바이스(1)는 다음을 포함한다:
비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되는 제1 수신 유닛(501)- 액세스 요청 메시지는 UE의 식별자를 포함함 -;
UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하도록 구성되는 생성 유닛(502); 및
액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하도록 구성되는 검출 유닛(503)- 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드임 -; 및
제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일할 때, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송하도록 구성되는 제1 전송 유닛(504);
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 구성되는 결정 유닛(505);
UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하도록 구성되는 제1 획득 유닛(506);
제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하도록 구성되는 제2 수신 유닛(507);
제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이한 경우, UE에 대해 보안 인증을 수행하거나; 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, UE에 대해 보안 인증을 수행하도록 구성되는 인증 유닛(508);
제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하도록 구성되는 제2 전송 유닛(509);
UE의 능력 정보를 획득하도록 구성되는 제2 획득 유닛(510)- 능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용됨 -; 및
제2 네트워크 디바이스에 능력 정보를 전송하도록 구성되는 제3 전송 유닛(511)- 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용됨 -.
도 6b에 도시된 바와 같이, 인증 유닛(508)은 다음을 포함한다:
제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하도록 구성되는 전송 모듈(5081); 및
제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 특정하고 UE에 의해 전송되는 인증 응답 메시지를 수신하도록 구성되는 수신 모듈(5082).
선택적으로, 제2 네트워크 디바이스는 AP이다.
결론적으로, 본 발명의 이러한 실시예에서 제공되는 UE의 액세스 디바이스에 따르면, 제1 수신 유닛이 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성된 제1 NAS 검증 코드와 동일하면, 제1 전송 유닛은 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(2)를 제공한다. UE의 액세스 디바이스(2)는 비-3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스(2)는 UE일 수 있다. 도 7에 도시된 바와 같이, UE의 액세스 디바이스(2)는 다음을 포함한다:
액세스 요청 메시지를 생성하도록 구성되는 제1 생성 유닛(701)- 액세스 요청 메시지는 UE의 액세스 디바이스의 식별자를 포함함 -; 및
비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 요청 메시지를 3GPP 네트워크 상에서의 제1 네트워크 디바이스에 전송하도록 구성되는 제1 전송 유닛(702).
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 디바이스에 따르면, 제1 전송 유닛은 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(2)를 제공한다. UE의 액세스 디바이스(2)는 비-3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스(2)는 UE일 수 있다. 도 8a에 도시된 바와 같이, UE의 액세스 디바이스(2)는 다음을 포함한다:
액세스 요청 메시지를 생성하도록 구성되는 제1 생성 유닛(701)- 액세스 요청 메시지는 UE의 액세스 디바이스의 식별자를 포함함 -;
비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송하도록 구성되는 제1 전송 유닛(702);
3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 구성되는 결정 유닛(703);
UE의 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하도록 구성되는 제2 생성 유닛(704);
제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 제1 수신 유닛(705)- 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 액세스 디바이스의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 액세스 디바이스의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -;
제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 특정한 인증 응답 메시지를 제1 네트워크 디바이스로 전송하도록 구성되는 제2 전송 유닛(706);
제2 네트워크 디바이스를 사용하는 것에 의해 UE의 액세스 디바이스에 대하여, 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 구성되는 제2 수신 유닛(707); 및
비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 구성되는 제3 생성 유닛(708).
도 8b에 도시된 바와 같이, 제3 생성 유닛(708)은 다음을 포함한다:
제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하도록 구성되는 수신 모듈(7081); 및
암호 알고리즘, 비-3GPP 네트워크의 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 구성되는 생성 모듈(7082).
선택적으로, 제2 네트워크 디바이스는 AP이다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 디바이스에 따르면, 제1 전송 유닛은 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(3)를 제공한다. UE의 액세스 디바이스(3)는 3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스(3)는 3GPP 네트워크 상에서의 제1 네트워크 디바이스일 수 있다. 도 9에 도시된 바와 같이, UE의 액세스 디바이스(3)는 수신기(141), 송신기(142), 프로세서(143)(예컨대, CPU), 버스(144) 및 메모리(145)를 포함한다. 버스(144)는 수신기(141), 송신기(142), 프로세서(143) 및 메모리(145)를 접속시키도록 구성된다. 프로세서(143)는 메모리(145)에 저장되는 프로그램(1451)을 실행하도록 구성된다. 메모리(145)는 고속 랜덤 액세스 메모리(Random Access Memory, 줄여서, RAM)를 포함할 수 있거나, 적어도 하나의 자기 디스크 메모리와 같은 비휘발성 메모리(non-volatile memory)를 추가로 포함할 수 있다.
수신기(141)는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되고, 액세스 요청 메시지는 UE의 식별자를 포함한다.
프로세서(143)는 UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하도록 구성된다.
프로세서(143)는 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한지를 검출하도록 추가로 구성되고, 제2 NAS 검증 코드는 UE에 저장되는 NAS 보안 컨텍스트에 따라 UE에 의해 생성되는 검증 코드이다.
송신기(142)는, 제2 NAS 검증 코드가 제1 NAS 검증 코드와 동일한 경우, 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송하도록 구성된다.
결론적으로, 본 발명의 이러한 실시예에서 제공되는 UE의 액세스 디바이스에 따르면, 수신기가 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 UE의 액세스 디바이스에 의해 생성된 제1 NAS 검증 코드와 동일하면, 송신기는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
선택적으로, 프로세서(143)는 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 추가로 구성된다.
프로세서(143)는 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트로부터, 3GPP 네트워크의 NAS 시퀀스 번호 및 3GPP 네트워크의 키를 획득하도록 추가로 구성된다.
수신기(141)는 제2 네트워크 디바이스에 의해 전송된 비-3GPP 네트워크의 타입 식별자를 수신하도록 추가로 구성된다.
프로세서(143)는 제2 NAS 검증 코드가 제1 NAS 검증 코드와 상이한 경우, UE에 대해 보안 인증을 수행하거나; 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, UE에 대해 보안 인증을 수행하도록 추가로 구성된다.
프로세서(143)는 구체적으로: 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 UE로 전송하고; 제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 특정하고 UE에 의해 전송되는 인증 응답 메시지를 수신하도록 구성된다.
송신기(142)는 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 UE에 전송하도록 추가로 구성된다.
프로세서(143)는 UE의 능력 정보를 획득하도록 추가로 구성되고, 능력 정보는 비-3GPP 네트워크 상에서의 UE의 능력을 나타내기 위해 사용된다.
송신기(142)는 제2 네트워크 디바이스에 능력 정보를 전송하도록 추가로 구성되고, 능력 정보는 암호 알고리즘을 결정하기 위해 제2 네트워크 디바이스에 의해 사용되고, 암호 알고리즘은 비-3GPP 네트워크의 AS 키를 생성하기 위해 제2 네트워크 디바이스에 의해 사용된다.
선택적으로, 제2 네트워크 디바이스는 AP이다.
결론적으로, 본 발명의 이러한 실시예에서 제공되는 UE의 액세스 디바이스에 따르면, 수신기가 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, UE에 의해 전송된 액세스 요청 메시지를 수신할 수 있기 때문에, 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드가 UE의 식별자 및 UE의 액세스 디바이스에 저장되는 UE의 NAS 보안 컨텍스트에 따라 UE의 액세스 디바이스에 의해 생성된 제1 NAS 검증 코드와 동일하면, 송신기는 비-3GPP 네트워크의 액세스 키를 제2 네트워크 디바이스로 전송한다. 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 디바이스(4)를 제공한다. UE의 액세스 디바이스(4)는 비-3GPP 네트워크 상에 위치되고, UE의 액세스 디바이스(4)는 UE일 수 있다. 도 10a에 도시된 바와 같이, UE의 액세스 디바이스(4)는 송신기(121), 프로세서(122), 버스(123) 및 메모리(124)를 포함한다. 버스(123)는 송신기(121), 프로세서(122) 및 메모리(124)를 접속시키도록 구성된다. 프로세서(122)는 메모리(124)에 저장되는 프로그램(1241)을 실행하도록 구성된다.
프로세서(122)는 액세스 요청 메시지를 생성하도록 구성되고, 액세스 요청 메시지는 UE의 액세스 디바이스의 식별자를 포함한다.
송신기(121)는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3세대 파트너쉽 프로젝트 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송하도록 구성된다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 디바이스에 따르면, 송신기는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
선택적으로, 프로세서(122)는 3GPP 네트워크의 NAS 시퀀스 번호, 3GPP 네트워크의 키 및 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 비-3GPP 네트워크의 액세스 키를 결정하도록 추가로 구성된다.
프로세서(122)는 UE의 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하도록 추가로 구성된다.
도 10b에 도시된 바와 같이, 디바이스는 제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 수신기(125)를 추가로 포함하고, 인증 메시지는, 제1 네트워크 디바이스가 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 제1 네트워크 디바이스에 의해 생성되고, 제1 NAS 검증 코드는 UE의 액세스 디바이스의 식별자 및 제1 네트워크 디바이스에 저장되는 UE의 액세스 디바이스의 NAS 보안 컨텍스트에 따라 제1 네트워크 디바이스에 의해 생성되는 검증 코드이다. 도 10b의 다른 참조 부호들에 대해서는, 설명을 위해 도 10a의 참조 부호들이 참조될 수 있다.
이에 대응하여, 송신기(121)는 제2 네트워크 디바이스를 사용하는 것에 의해, 인증 메시지에 특정한 인증 응답 메시지를 제1 네트워크 디바이스에 전송하도록 추가로 구성된다.
선택적으로, 수신기(125)는 제2 네트워크 디바이스를 사용하는 것에 의해, 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 추가로 구성된다.
프로세서(122)는 비-3GPP 네트워크의 액세스 키에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 추가로 구성된다.
프로세서(122)는 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하고; 암호 알고리즘, 액세스 키 및 비-3GPP 네트워크의 타입 식별자에 따라 비-3GPP 네트워크의 AS 키를 생성하도록 구체적으로 구성된다.
선택적으로, 제2 네트워크 디바이스는 AP이다.
결론적으로, 본 발명의 이러한 실시예에 제공된 UE의 액세스 디바이스에 따르면, 송신기는 비-3GPP 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP 네트워크 상에서의 제1 네트워크 디바이스로 액세스 요청 메시지를 전송할 수 있다. 따라서, 관련 기술과 비교하면, 본 발명에서, AAA 서버가 UE에 대해 인증을 수행하는 것이 요구되지 않아서, 인증 프로세스에서 야기되는 지연이 감소된다. 따라서, 전반적인 통신 지연이 감소된다.
본 발명의 실시예는 UE의 액세스 시스템을 제공한다. UE의 액세스 시스템은 다음을 포함한다:
도 5 또는 도 6a에 도시된 UE의 액세스 디바이스(1); 및
도 7 또는 도 8a에 도시된 UE의 액세스 디바이스(2).
본 발명의 실시예는 UE의 액세스 시스템을 제공한다. UE의 액세스 시스템은 다음을 포함한다:
도 9에 도시된, UE의 액세스 디바이스(3); 및
도 10a 또는 도 10b에 도시된, UE의 액세스 디바이스(4).
전술한 시스템, 디바이스 및 유닛의 상세한 작업 프로세스에 대하여, 편리하고 간단한 설명의 용이함을 위해, 전술한 방법 실시예들에서의 대응하는 프로세스가 참조될 수 있다는 점이 본 기술분야의 통상의 기술자에 의해 명확하게 이해될 수 있고, 세부 사항들은 본 명세서에서 다시 설명되지 않는다.
본 출원에 제공된 몇몇 실시예에서, 개시된 시스템, 장치 및 방법은 다른 방식들로 구현될 수 있다는 점을 이해해야 한다. 예를 들어, 설명된 장치 실시예들은 단지 예들이다. 예를 들어, 유닛 분할은 단지 논리적인 기능 분할이고 실제 구현예에서는 다른 분할일 수 있다. 예를 들어, 복수의 유닛 또는 컴포넌트가 결합되거나 다른 시스템에 통합되거나, 일부 피처가 무시되거나 수행되지 않을 수 있다. 또한, 디스플레이되거나 논의된 상호 결합들 또는 직접 결합들 또는 통신 접속들은 일부 인터페이스들, 장치들 또는 유닛들 사이의 간접적인 결합들 또는 통신 접속들일 수 있고, 전기적, 기계적 또는 다른 형태들로 구현될 수 있다.
별개의 부분들로서 설명되는 유닛들은 물리적으로 별개일 수 있거나 아닐 수 있고, 유닛들로서 디스플레이되는 부분들은 물리적 유닛들일 수 있거나 아닐 수 있고, 하나의 위치에 위치될 수 있거나, 또는 복수의 네트워크 유닛 상에 분산될 수 있다. 유닛들의 일부 또는 전부는 실시예들의 해결책들의 목적들을 달성하기 위해 실제 요건들에 따라 선택될 수 있다.
또한, 본 발명의 실시예들에서의 기능 유닛들은 하나의 처리 유닛 내에 통합될 수 있거나, 또는 유닛들 각각이 물리적으로 단독으로 존재할 수 있거나, 또는 2개 이상의 유닛들이 하나의 유닛 내에 통합된다. 통합 유닛은 하드웨어의 형태로 구현될 수 있거나, 소프트웨어 기능 유닛에 부가하여 하드웨어의 형태로 구현될 수 있다.
본 기술분야의 통상의 기술자는 실시예의 단계들의 전부 또는 일부가 관련 하드웨어에 지시하는 프로그램 또는 하드웨어에 의해 구현될 수 있다는 것을 이해할 수 있다. 프로그램은 컴퓨터 판독가능 저장 매체에 저장될 수 있다. 저장 매체는 판독 전용 메모리, 자기 디스크 또는 광 디스크를 포함할 수있다.
전술한 설명들은 본 발명의 예시적인 실시예들에 불과하고, 본 발명을 제한하려는 것으로 의도되어 있지 않다. 본 발명의 사상 및 원리를 벗어나지 않고 행해진 임의의 수정, 등가의 대체, 및 개선은 본 발명의 보호 범위 내에 속할 것이다.

Claims (50)

  1. 사용자 장비 UE의 액세스 방법으로서,
    상기 방법은,
    비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 의해, 상기 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하는 단계- 상기 액세스 요청 메시지는 상기 UE의 식별자를 포함함 -;
    상기 제1 네트워크 디바이스에 의해, 상기 UE의 상기 식별자 및 상기 제1 네트워크 디바이스에 저장되는 상기 UE의 비-액세스 계층 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하는 단계;
    상기 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하면, 상기 제1 네트워크 디바이스에 의해, 상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일한지를 검출하는 단계- 상기 제2 NAS 검증 코드는 상기 UE에 저장되는 NAS 보안 컨텍스트에 따라 상기 UE에 의해 생성되는 검증 코드임 -; 및
    상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일하면, 상기 제1 네트워크 디바이스에 의해, 상기 비-3GPP 네트워크의 액세스 키를 상기 제2 네트워크 디바이스에 전송하는 단계
    를 포함하는, 방법.
  2. 제1항에 있어서,
    상기 제1 네트워크 디바이스에 의해, 상기 비-3GPP 네트워크의 액세스 키를 상기 제2 네트워크 디바이스에 전송하는 상기 단계 전에, 상기 방법은,
    상기 제1 네트워크 디바이스에 의해, 상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 액세스 키를 결정하는 단계를 추가로 포함하는, 방법.
  3. 제2항에 있어서,
    상기 제1 네트워크 디바이스에 의해, 상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 액세스 키를 결정하는 상기 단계 전에, 상기 방법은,
    상기 제1 네트워크 디바이스에 의해, 상기 제1 네트워크 디바이스에 저장되는 상기 UE의 상기 NAS 보안 컨텍스트로부터 상기 3GPP 네트워크의 상기 NAS 시퀀스 번호 및 상기 3GPP 네트워크의 상기 키를 획득하는 단계; 및
    상기 제1 네트워크 디바이스에 의해, 상기 제2 네트워크 디바이스에 의해 전송된 상기 비-3GPP 네트워크의 타입 식별자를 수신하는 단계
    를 추가로 포함하는, 방법.
  4. 제1항에 있어서,
    상기 방법은,
    상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 상이하면, 상기 제1 네트워크 디바이스에 의해, 상기 UE에 대해 보안 인증을 수행하는 단계; 또는
    상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않으면, 상기 제1 네트워크 디바이스에 의해, 상기 UE에 대해 보안 인증을 수행하는 단계
    를 추가로 포함하는, 방법.
  5. 제4항에 있어서,
    상기 제1 네트워크 디바이스에 의해, 상기 UE에 대해 보안 인증을 수행하는 상기 단계는,
    상기 제1 네트워크 디바이스에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 상기 UE로 전송하는 단계; 및
    상기 제1 네트워크 디바이스에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 UE로부터 상기 인증 메시지에 대응하는 인증 응답 메시지를 수신하는 단계
    를 포함하는, 방법.
  6. 제5항에 있어서,
    상기 제1 네트워크 디바이스에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 UE로부터 상기 인증 메시지에 대응하는 인증 응답 메시지를 수신하는 상기 단계 후에, 상기 방법은,
    상기 제1 네트워크 디바이스에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 상기 UE에 전송하는 단계를 추가로 포함하는, 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    상기 제1 네트워크 디바이스에 의해, 상기 비-3GPP 네트워크의 액세스 키를 상기 제2 네트워크 디바이스에 전송하는 상기 단계 전에, 상기 방법은,
    상기 제1 네트워크 디바이스에 의해, 상기 UE의 능력 정보를 획득하는 단계- 상기 능력 정보는 상기 비-3GPP 네트워크 상에서의 상기 UE의 능력을 나타내기 위해 사용됨 -; 및
    상기 제1 네트워크 디바이스에 의해, 상기 능력 정보를 상기 제2 네트워크 디바이스에 전송하는 단계- 상기 능력 정보는 암호 알고리즘을 결정하기 위해 상기 제2 네트워크 디바이스에 의해 사용되고, 상기 암호 알고리즘은 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 상기 제2 네트워크 디바이스에 의해 사용됨 -
    를 추가로 포함하는, 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 방법.
  9. 사용자 장비 UE의 액세스 방법으로서,
    상기 방법은,
    상기 사용자 장비 UE에 의해, 액세스 요청 메시지를 생성하는 단계- 상기 액세스 요청 메시지는 상기 UE의 식별자를 포함함 -; 및
    상기 UE에 의해, 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 상기 액세스 요청 메시지를 전송하는 단계
    를 포함하는, 방법.
  10. 제9항에 있어서,
    상기 UE에 의해, 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 상기 액세스 요청 메시지를 전송하는 상기 단계 후에, 상기 방법은,
    상기 UE에 의해, 상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 상기 비-3GPP 네트워크의 액세스 키를 결정하는 단계를 추가로 포함하는, 방법.
  11. 제9항에 있어서,
    상기 액세스 요청 메시지는 제2 비-액세스 계층 NAS 검증 코드를 포함하고, 상기 사용자 장비 UE에 의해, 액세스 요청 메시지를 생성하는 상기 단계 전에, 상기 방법은,
    상기 UE에 의해, 상기 UE에 저장되는 NAS 보안 컨텍스트에 따라 상기 제2 NAS 검증 코드를 생성하는 단계를 추가로 포함하는, 방법.
  12. 제9항에 있어서,
    상기 UE에 의해, 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 상기 액세스 요청 메시지를 전송하는 상기 단계 후에, 상기 방법은,
    상기 UE에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 제1 네트워크 디바이스에 의해 전송된 인증 메시지를 수신하는 단계- 상기 인증 메시지는, 상기 제1 네트워크 디바이스가 상기 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 상기 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 상기 제1 네트워크 디바이스에 의해 생성되고, 상기 제1 NAS 검증 코드는 상기 UE의 상기 식별자 및 상기 제1 네트워크 디바이스에 저장되는 상기 UE의 NAS 보안 컨텍스트에 따라 상기 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -; 및
    상기 UE에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 인증 메시지에 대응하는 인증 응답 메시지를 상기 제1 네트워크 디바이스로 전송하는 단계
    를 추가로 포함하는, 방법.
  13. 제12항에 있어서,
    상기 UE에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 인증 메시지에 대응하는 인증 응답 메시지를 상기 제1 네트워크 디바이스로 전송하는 상기 단계 후에, 상기 방법은,
    상기 UE에 의해, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하는 단계를 추가로 포함하는, 방법.
  14. 제10항에 있어서,
    상기 UE에 의해, 상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 상기 비-3GPP 네트워크의 액세스 키를 결정하는 상기 단계 후에, 상기 방법은,
    상기 UE에 의해, 상기 비-3GPP 네트워크의 상기 액세스 키에 따라 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하는 단계를 추가로 포함하는, 방법.
  15. 제14항에 있어서,
    상기 UE에 의해, 상기 비-3GPP 네트워크의 상기 액세스 키에 따라 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하는 상기 단계는,
    상기 UE에 의해, 상기 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하는 단계; 및
    상기 UE에 의해, 상기 암호 알고리즘, 상기 비-3GPP 네트워크의 상기 액세스 키 및 상기 비-3GPP 네트워크의 상기 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 AS 키를 생성하는 단계
    를 포함하는, 방법.
  16. 제9항 내지 제15항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 방법.
  17. 사용자 장비 UE의 액세스 디바이스로서,
    상기 사용자 장비 UE의 상기 액세스 디바이스는,
    비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되는 제1 수신 유닛- 상기 액세스 요청 메시지는 상기 UE의 식별자를 포함함 -;
    상기 UE의 상기 식별자 및 상기 UE의 상기 액세스 디바이스에 저장되는 상기 UE의 비-액세스 계층 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하도록 구성되는 생성 유닛;
    상기 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일한지를 검출하도록 구성되는 검출 유닛- 상기 제2 NAS 검증 코드는 상기 UE에 저장되는 NAS 보안 컨텍스트에 따라 상기 UE에 의해 생성되는 검증 코드임 -; 및
    상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일한 경우, 상기 비-3GPP 네트워크의 액세스 키를 상기 제2 네트워크 디바이스로 전송하도록 구성되는 제1 전송 유닛
    을 포함하는, 디바이스.
  18. 제17항에 있어서,
    상기 디바이스는,
    상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 액세스 키를 결정하도록 구성되는 결정 유닛을 추가로 포함하는, 디바이스.
  19. 제18항에 있어서,
    상기 디바이스는,
    상기 UE의 상기 액세스 디바이스에 저장되는 상기 UE의 상기 NAS 보안 컨텍스트로부터, 상기 3GPP 네트워크의 상기 NAS 시퀀스 번호 및 상기 3GPP 네트워크의 상기 키를 획득하도록 구성되는 제1 획득 유닛; 및
    상기 제2 네트워크 디바이스에 의해 전송된 상기 비-3GPP 네트워크의 상기 타입 식별자를 수신하도록 구성되는 제2 수신 유닛
    을 추가로 포함하는, 디바이스.
  20. 제17항에 있어서,
    상기 디바이스는,
    상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 상이한 경우, 상기 UE에 대해 보안 인증을 수행하거나; 또는
    상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 상기 UE에 대해 보안 인증을 수행하도록 구성되는 인증 유닛을 추가로 포함하는, 디바이스.
  21. 제20항에 있어서,
    상기 인증 유닛은,
    상기 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 상기 UE로 전송하도록 구성되는 전송 모듈; 및
    상기 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 UE로부터 상기 인증 메시지에 대응하는 인증 응답 메시지를 수신하도록 구성되는 수신 모듈
    을 포함하는, 디바이스.
  22. 제21항에 있어서,
    상기 디바이스는,
    상기 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 상기 UE에 전송하도록 구성되는 제2 전송 유닛을 추가로 포함하는, 디바이스.
  23. 제17항 내지 제22항 중 어느 한 항에 있어서,
    상기 디바이스는,
    상기 UE의 능력 정보를 획득하도록 구성되는 제2 획득 유닛- 상기 능력 정보는 상기 비-3GPP 네트워크 상에서의 상기 UE의 능력을 나타내기 위해 사용됨 -; 및
    상기 제2 네트워크 디바이스에 상기 능력 정보를 전송하도록 구성되는 제3 전송 유닛- 상기 능력 정보는 암호 알고리즘을 결정하기 위해 상기 제2 네트워크 디바이스에 의해 사용되고, 상기 암호 알고리즘은 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 상기 제2 네트워크 디바이스에 의해 사용됨 -
    을 추가로 포함하는, 방법.
  24. 제17항 내지 제23항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 디바이스.
  25. 사용자 장비 UE의 액세스 디바이스로서,
    상기 사용자 장비 UE의 상기 액세스 디바이스는,
    액세스 요청 메시지를 생성하도록 구성되는 제1 생성 유닛- 상기 액세스 요청 메시지는 상기 UE의 상기 액세스 디바이스의 식별자를 포함함 -; 및
    비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 상기 액세스 요청 메시지를 전송하도록 구성되는 제1 전송 유닛
    을 포함하는, 디바이스.
  26. 제25항에 있어서,
    상기 디바이스는,
    상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 상기 비-3GPP 네트워크의 액세스 키를 결정하도록 구성되는 결정 유닛을 추가로 포함하는, 디바이스.
  27. 제25항에 있어서,
    상기 디바이스는,
    상기 UE의 상기 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 제2 NAS 검증 코드를 생성하도록 구성되는 제2 생성 유닛을 추가로 포함하는, 디바이스.
  28. 제25항에 있어서,
    상기 디바이스는,
    상기 제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 제1 수신 유닛- 상기 인증 메시지는, 상기 제1 네트워크 디바이스가 상기 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 상기 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 상기 제1 네트워크 디바이스에 의해 생성되고, 상기 제1 NAS 검증 코드는 상기 UE의 상기 액세스 디바이스의 상기 식별자 및 상기 제1 네트워크 디바이스에 저장되는 상기 UE의 상기 액세스 디바이스의 NAS 보안 컨텍스트에 따라 상기 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -; 및
    상기 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 인증 메시지에 대응하는 인증 응답 메시지를 상기 제1 네트워크 디바이스로 전송하도록 구성되는 제2 전송 유닛
    을 추가로 포함하는, 디바이스.
  29. 제28항에 있어서,
    상기 디바이스는,
    상기 제2 네트워크 디바이스를 사용하는 것에 의해 상기 UE의 상기 액세스 디바이스에 대하여, 상기 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 구성되는 제2 수신 유닛을 추가로 포함하는, 디바이스.
  30. 제26항에 있어서,
    상기 디바이스는,
    상기 비-3GPP 네트워크의 상기 액세스 키에 따라 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하도록 구성되는 제3 생성 유닛을 추가로 포함하는, 디바이스.
  31. 제30항에 있어서,
    상기 제3 생성 유닛은,
    상기 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하도록 구성되는 수신 모듈; 및
    상기 암호 알고리즘, 상기 비-3GPP 네트워크의 상기 액세스 키 및 상기 비-3GPP 네트워크의 상기 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 AS 키를 생성하도록 구성되는 생성 모듈
    을 포함하는, 디바이스.
  32. 제25항 내지 제31항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 디바이스.
  33. 사용자 장비 UE의 액세스 디바이스로서,
    상기 UE의 상기 액세스 디바이스는: 수신기, 송신기, 프로세서, 버스 및 메모리
    를 포함하고, 상기 버스는 상기 수신기, 상기 송신기, 상기 프로세서 및 상기 메모리를 접속시키도록 구성되고, 상기 프로세서는 상기 메모리에 저장되는 프로그램을 실행하도록 구성되고,
    상기 수신기는 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 사용자 장비 UE에 의해 전송된 액세스 요청 메시지를 수신하도록 구성되고- 상기 액세스 요청 메시지는 상기 UE의 식별자를 포함함 -;
    상기 프로세서는 상기 UE의 상기 식별자 및 상기 UE의 상기 액세스 디바이스에 저장되는 상기 UE의 비-액세스 계층 NAS 보안 컨텍스트에 따라 제1 NAS 검증 코드를 생성하도록 구성되고;
    상기 프로세서는, 상기 액세스 요청 메시지가 제2 NAS 검증 코드를 포함하는 경우, 상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일한지를 검출하도록 추가로 구성되고- 상기 제2 NAS 검증 코드는 상기 UE에 저장되는 NAS 보안 컨텍스트에 따라 상기 UE에 의해 생성되는 검증 코드임 -;
    상기 송신기는, 상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 동일한 경우, 상기 비-3GPP 네트워크의 액세스 키를 상기 제2 네트워크 디바이스로 전송하도록 구성되는, 디바이스.
  34. 제33항에 있어서,
    상기 프로세서는,
    상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 액세스 키를 결정하도록 추가로 구성되는, 디바이스.
  35. 제34항에 있어서,
    상기 프로세서는:
    상기 UE의 상기 액세스 디바이스에 저장되는 상기 UE의 상기 NAS 보안 컨텍스트로부터, 상기 3GPP 네트워크의 상기 NAS 시퀀스 번호 및 상기 3GPP 네트워크의 상기 키를 획득하도록 추가로 구성되고;
    상기 수신기는:
    상기 제2 네트워크 디바이스에 의해 전송된 상기 비-3GPP 네트워크의 상기 타입 식별자를 수신하도록 추가로 구성되는, 디바이스.
  36. 제33항에 있어서,
    상기 프로세서는,
    상기 제2 NAS 검증 코드가 상기 제1 NAS 검증 코드와 상이한 경우, 상기 UE에 대해 보안 인증을 수행하거나; 또는
    상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 상기 UE에 대해 보안 인증을 수행하도록 추가로 구성되는, 디바이스.
  37. 제36항에 있어서,
    상기 프로세서는 구체적으로:
    상기 제2 네트워크 디바이스를 사용하는 것에 의해 인증 메시지를 상기 UE로 전송하고;
    상기 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 UE로부터 상기 인증 메시지에 대응하는 인증 응답 메시지를 수신하도록 구성되는, 디바이스.
  38. 제37항에 있어서,
    상기 송신기는,
    상기 제2 네트워크 디바이스를 사용하는 것에 의해 액세스 성공 메시지를 상기 UE에 전송하도록 추가로 구성되는, 디바이스.
  39. 제33항 내지 제38항 중 어느 한 항에 있어서,
    상기 프로세서는:
    상기 UE의 능력 정보를 획득하도록 추가로 구성되고- 상기 능력 정보는 상기 비-3GPP 네트워크 상에서의 상기 UE의 능력을 나타내기 위해 사용됨 -;
    상기 송신기는:
    상기 능력 정보를 상기 제2 네트워크 디바이스에 전송하도록 추가로 구성되는- 상기 능력 정보는 암호 알고리즘을 결정하기 위해 상기 제2 네트워크 디바이스에 의해 사용되고, 상기 암호 알고리즘은 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하기 위해 상기 제2 네트워크 디바이스에 의해 사용됨 -, 디바이스.
  40. 제33항 내지 제39항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 디바이스.
  41. 사용자 장비 UE의 액세스 디바이스로서,
    상기 UE의 상기 액세스 디바이스는: 송신기, 프로세서, 버스 및 메모리
    를 포함하고, 상기 버스는 상기 송신기, 상기 프로세서 및 상기 메모리를 접속시키도록 구성되고, 상기 프로세서는 상기 메모리에 저장되는 프로그램을 실행하도록 구성되고,
    상기 프로세서는 액세스 요청 메시지를 생성하도록 구성되고- 상기 액세스 요청 메시지는 상기 UE의 상기 액세스 디바이스의 식별자를 포함함 -;
    상기 송신기는 비-3GPP(non 3rd Generation Partnership Project) 네트워크 상에서의 제2 네트워크 디바이스를 사용하는 것에 의해 3GPP(3rd Generation Partnership Project) 네트워크 상에서의 제1 네트워크 디바이스에 상기 액세스 요청 메시지를 전송하도록 구성되는, 디바이스.
  42. 제41항에 있어서,
    상기 프로세서는,
    상기 3GPP 네트워크의 NAS 시퀀스 번호, 상기 3GPP 네트워크의 키 및 상기 비-3GPP 네트워크의 미리 설정된 타입 식별자에 따라 상기 비-3GPP 네트워크의 액세스 키를 결정하도록 추가로 구성되는, 디바이스.
  43. 제41항에 있어서,
    상기 프로세서는,
    상기 UE의 상기 액세스 디바이스에 저장되는 NAS 보안 컨텍스트에 따라 상기 제2 NAS 검증 코드를 생성하도록 추가로 구성되는, 디바이스.
  44. 제41항에 있어서,
    상기 디바이스는,
    상기 제1 네트워크 디바이스에 의해 전송된 인증 메시지를, 상기 제2 네트워크 디바이스를 사용하는 것에 의해 수신하도록 구성되는 수신기를 추가로 포함하고- 상기 인증 메시지는, 상기 제1 네트워크 디바이스가 상기 액세스 요청 메시지는 제2 NAS 검증 코드를 포함하고 상기 제2 NAS 검증 코드는 제1 NAS 검증 코드와 상이한 것으로 결정한 경우, 또는 상기 액세스 요청 메시지가 NAS 검증 코드를 포함하지 않는 경우, 상기 제1 네트워크 디바이스에 의해 생성되고, 상기 제1 NAS 검증 코드는 상기 UE의 상기 액세스 디바이스의 상기 식별자 및 상기 제1 네트워크 디바이스에 저장되는 상기 UE의 상기 액세스 디바이스의 NAS 보안 컨텍스트에 따라 상기 제1 네트워크 디바이스에 의해 생성되는 검증 코드임 -;
    상기 송신기는 상기 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 인증 메시지에 대응하는 인증 응답 메시지를 상기 제1 네트워크 디바이스에 전송하도록 추가로 구성되는, 디바이스.
  45. 제44항에 있어서,
    상기 수신기는,
    상기 제2 네트워크 디바이스를 사용하는 것에 의해, 상기 제1 네트워크 디바이스에 의해 전송된 액세스 성공 메시지를 수신하도록 추가로 구성되는, 디바이스.
  46. 제42항에 있어서,
    상기 프로세서는,
    상기 비-3GPP 네트워크의 상기 액세스 키에 따라 상기 비-3GPP 네트워크의 액세스 계층 AS 키를 생성하도록 추가로 구성되는, 디바이스.
  47. 제46항에 있어서,
    상기 프로세서는 구체적으로:
    상기 제2 네트워크 디바이스에 의해 전송된 암호 알고리즘을 수신하고;
    상기 암호 알고리즘, 상기 비-3GPP 네트워크의 상기 액세스 키 및 상기 비-3GPP 네트워크의 상기 타입 식별자에 따라 상기 비-3GPP 네트워크의 상기 AS 키를 생성하도록 구성되는, 디바이스.
  48. 제41항 내지 제47항 중 어느 한 항에 있어서,
    상기 제2 네트워크 디바이스는 무선 액세스 포인트 AP인, 디바이스.
  49. 사용자 장비 UE의 액세스 시스템으로서,
    상기 사용자 장비 UE의 상기 액세스 시스템은,
    제17항 내지 제24항 중 어느 한 항에 따른 상기 UE의 상기 액세스 디바이스; 및
    제25항 내지 제32항 중 어느 한 항에 따른 상기 UE의 상기 액세스 디바이스
    를 포함하는, 시스템.
  50. 사용자 장비 UE의 액세스 시스템으로서,
    상기 사용자 장비 UE의 상기 액세스 시스템은,
    제33항 내지 제40항 중 어느 한 항에 따른 상기 UE의 상기 액세스 디바이스; 및
    제41항 내지 제48항 중 어느 한 항에 따른 상기 UE의 상기 액세스 디바이스
    를 포함하는, 시스템.
KR1020187011072A 2015-09-22 2015-09-22 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 KR102024653B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/090305 WO2017049461A1 (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Publications (2)

Publication Number Publication Date
KR20180057665A true KR20180057665A (ko) 2018-05-30
KR102024653B1 KR102024653B1 (ko) 2019-09-24

Family

ID=58385478

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020187011072A KR102024653B1 (ko) 2015-09-22 2015-09-22 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템

Country Status (6)

Country Link
US (1) US11178584B2 (ko)
EP (2) EP3657835B1 (ko)
JP (1) JP6727294B2 (ko)
KR (1) KR102024653B1 (ko)
CN (2) CN107005927B (ko)
WO (1) WO2017049461A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210024152A (ko) * 2018-06-30 2021-03-04 노키아 솔루션스 앤드 네트웍스 오와이 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
KR20210024654A (ko) * 2018-08-09 2021-03-05 노키아 테크놀로지스 오와이 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR20220135254A (ko) * 2018-10-06 2022-10-06 노키아 테크놀로지스 오와이 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3533245A1 (en) * 2016-10-31 2019-09-04 Telefonaktiebolaget LM Ericsson (PUBL) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
EP3619954B1 (en) * 2017-05-03 2022-07-13 Telefonaktiebolaget LM Ericsson (PUBL) Ue handling in ran
DK3745756T3 (da) 2017-05-08 2022-01-24 Ericsson Telefon Ab L M Fremgangsmåder til at tilvejebringe sikkerhed for multiple NAS-forbindelser ved anvendelse af separate optællinger og relaterede netværksknuder og trådløse terminaler
CN111386720B (zh) * 2017-09-27 2023-07-14 日本电气株式会社 通信终端、核心网络装置、核心网络节点、网络节点和密钥导出方法
CN109803263A (zh) 2017-11-17 2019-05-24 华为技术有限公司 一种安全保护的方法及装置
WO2019122495A1 (en) * 2017-12-21 2019-06-27 Nokia Solutions And Networks Oy Authentication for wireless communications system
CN110048988B (zh) * 2018-01-15 2021-03-23 华为技术有限公司 消息的发送方法和装置
CN110351722B (zh) * 2018-04-08 2024-04-16 华为技术有限公司 一种信息发送方法、密钥生成方法以及装置
CN111194095B (zh) * 2018-11-09 2022-03-15 维沃移动通信有限公司 接入控制的方法和设备
CN111182580B (zh) * 2018-11-16 2023-02-24 维沃移动通信有限公司 业务传输方法、终端和网络侧设备
CN111263424B (zh) * 2018-12-04 2022-03-08 维沃移动通信有限公司 一种接入网络的控制方法及通信设备
JP7351498B2 (ja) * 2019-02-25 2023-09-27 株式会社closip 通信システム及び通信制御方法
US11419174B2 (en) 2019-02-26 2022-08-16 Mediatek Inc. Connection recovery method for recovering a connection between a communications apparatus and a data network and the associated communications apparatus
CN114513785B (zh) * 2022-02-22 2023-10-20 新华三技术有限公司 一种终端认证方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013181847A1 (zh) * 2012-06-08 2013-12-12 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
WO2014117811A1 (en) * 2013-01-29 2014-08-07 Telefonaktiebolaget L M Ericsson (Publ) Controlling access of a user equipment to services

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674497A (zh) * 2004-03-26 2005-09-28 华为技术有限公司 Wlan终端接入移动网络的认证方法
JP5004199B2 (ja) * 2007-06-18 2012-08-22 モトローラ モビリティ インコーポレイテッド リソース準備を伴う非3gppアクセスから3gppアクセスへの異種無線アクセスシステム間ハンドオーバ
CN101083839B (zh) * 2007-06-29 2013-06-12 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
US20090042576A1 (en) * 2007-07-27 2009-02-12 Interdigital Patent Holdings, Inc. Method and apparatus for handling mobility between non-3gpp to 3gpp networks
CN101803271B (zh) * 2007-09-17 2012-12-12 爱立信电话股份有限公司 电信系统中的方法和设备
CN101577909B (zh) * 2008-05-05 2011-03-23 大唐移动通信设备有限公司 非3gpp接入系统信任类型的获取方法、系统及装置
CN101459904B (zh) * 2008-06-17 2010-12-29 中兴通讯股份有限公司 Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN101420695B (zh) * 2008-12-16 2011-09-07 天津工业大学 一种基于无线局域网的3g用户快速漫游认证方法
CN101959281A (zh) * 2009-07-15 2011-01-26 华为技术有限公司 网络接入控制方法、接入控制设备及网络接入系统
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
WO2013150502A2 (en) * 2012-04-05 2013-10-10 Telefonaktiebolaget L M Ericsson (Publ) Sending plmn id at a shared wifi access
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
CN104067665B (zh) * 2013-01-18 2018-07-20 华为技术有限公司 一种用户设备接入网络的方法及装置
CN104080156B (zh) * 2013-03-29 2018-05-22 电信科学技术研究院 一种开启终端3gpp功能的方法及装置
WO2015068472A1 (ja) * 2013-11-06 2015-05-14 ソニー株式会社 端末装置、情報処理装置及び情報提供装置
US9426649B2 (en) * 2014-01-30 2016-08-23 Intel IP Corporation Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network
CN104540185B (zh) * 2014-12-15 2019-02-05 上海华为技术有限公司 一种接入网络的方法、接入网关及接入控制设备
CN104837182B (zh) * 2015-06-01 2018-06-01 联想(北京)有限公司 接入控制方法、控制方法、接入控制装置和控制装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013181847A1 (zh) * 2012-06-08 2013-12-12 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
WO2014117811A1 (en) * 2013-01-29 2014-08-07 Telefonaktiebolaget L M Ericsson (Publ) Controlling access of a user equipment to services

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210024152A (ko) * 2018-06-30 2021-03-04 노키아 솔루션스 앤드 네트웍스 오와이 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
CN112602298A (zh) * 2018-06-30 2021-04-02 诺基亚通信公司 不允许对5gcn的非3gpp接入的处理失败
KR20220119762A (ko) * 2018-06-30 2022-08-30 노키아 솔루션스 앤드 네트웍스 오와이 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
CN112602298B (zh) * 2018-06-30 2023-06-30 诺基亚通信公司 不允许对5gcn的非3gpp接入的处理失败
KR20210024654A (ko) * 2018-08-09 2021-03-05 노키아 테크놀로지스 오와이 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR20210025678A (ko) * 2018-08-09 2021-03-09 노키아 테크놀로지스 오와이 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR20220135254A (ko) * 2018-10-06 2022-10-06 노키아 테크놀로지스 오와이 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법
US11937077B2 (en) 2018-10-06 2024-03-19 Nokia Technologies Oy Systems and method for secure updates of configuration parameters provisioned in user equipment

Also Published As

Publication number Publication date
EP3340690B1 (en) 2019-11-13
CN107005927B (zh) 2022-05-31
CN107005927A (zh) 2017-08-01
EP3340690A4 (en) 2018-07-18
WO2017049461A1 (zh) 2017-03-30
CN108848112A (zh) 2018-11-20
EP3657835B1 (en) 2023-09-20
CN108848112B (zh) 2019-07-12
JP6727294B2 (ja) 2020-07-22
KR102024653B1 (ko) 2019-09-24
JP2018532325A (ja) 2018-11-01
US20180220364A1 (en) 2018-08-02
EP3340690A1 (en) 2018-06-27
US11178584B2 (en) 2021-11-16
EP3657835A1 (en) 2020-05-27

Similar Documents

Publication Publication Date Title
US11178584B2 (en) Access method, device and system for user equipment (UE)
US11825303B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
US9232398B2 (en) Method and apparatus for link setup
US20190149990A1 (en) Unified authentication for heterogeneous networks
CN101931955B (zh) 认证方法、装置及系统
JP2019512942A (ja) 5g技術のための認証機構
US20170359719A1 (en) Key generation method, device, and system
EP2214430A1 (en) An access authentication method applying to ibss network
US11082843B2 (en) Communication method and communications apparatus
WO2009094942A1 (fr) Procédé et système de réseau de communication pour établir une conjonction de sécurité
WO2015096138A1 (zh) 分流方法、用户设备、基站和接入点
WO2018120217A1 (zh) 验证密钥请求方的方法和设备
CN104602229B (zh) 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法
WO2016023198A1 (zh) 异构网络之间的切换方法及切换系统
WO2020029735A1 (zh) 扩展的通用引导架构认证方法、装置及存储介质
US20190149326A1 (en) Key obtaining method and apparatus
US20240089728A1 (en) Communication method and apparatus
Saxena et al. NS-AKA: An improved and efficient AKA protocol for 3G (UMTS) networks
WO2018126791A1 (zh) 一种认证方法及装置、计算机存储介质
CN111526008B (zh) 移动边缘计算架构下认证方法及无线通信系统
JP2020505845A (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
CN111465007A (zh) 一种认证方法、装置和系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant