KR20180137434A - 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치 - Google Patents

무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치 Download PDF

Info

Publication number
KR20180137434A
KR20180137434A KR1020180069701A KR20180069701A KR20180137434A KR 20180137434 A KR20180137434 A KR 20180137434A KR 1020180069701 A KR1020180069701 A KR 1020180069701A KR 20180069701 A KR20180069701 A KR 20180069701A KR 20180137434 A KR20180137434 A KR 20180137434A
Authority
KR
South Korea
Prior art keywords
security key
user plane
gnb
encryption algorithm
protocol
Prior art date
Application number
KR1020180069701A
Other languages
English (en)
Other versions
KR101944097B1 (ko
Inventor
쑤지안
변대욱
김석중
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to PCT/KR2018/006854 priority Critical patent/WO2018231031A2/ko
Priority to US16/064,715 priority patent/US20200100102A1/en
Publication of KR20180137434A publication Critical patent/KR20180137434A/ko
Priority to KR1020190009357A priority patent/KR102320726B1/ko
Application granted granted Critical
Publication of KR101944097B1 publication Critical patent/KR101944097B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/085Access point devices with remote components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/12Access point controller devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

무선 통신 시스템에서 gNB의 CU(central unit)-CP(control plane)와 CU-UP(user plane)이 분리될 때, 사용자 트래픽의 보안을 지원하는 방법 및 장치가 제공된다. 본 발명의 일 실시예에 따르면, gNB의 CU-CP는 암호화 알고리즘을 선택하고, 상기 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 생성하고, 상기 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송한다. 상기 CU-UP는 수신한 사용자 평면 보안 키를 적용한다. 상기 CU-CP는 RRC(radio resource control) 및 PDCP(packet data convergence protocol)-C 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이며, 상기 CU-UP는 PDCP-U 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이다.

Description

무선 통신 시스템에서 CU-CP와 CU-UP의 분리를 위한 보안을 지원하는 방법 및 장치 {METHOD AND APPARATUS FOR SUPPORTING SECURITY FOR SEPARATION OF CU-CP AND CU-UP IN WIRELESS COMMUNICATION SYSTEM}
본 발명은 무선 통신에 관한 것으로, 보다 상세하게는 NR(new radio access technology) 시스템에서 CU(central unit)-CP(control plane)와 CU-UP(user plane)가 분리될 때 보안을 지원하는 방법 및 장치에 관한 것이다.
3GPP(3rd generation partnership project) LTE(long-term evolution)는 고속 패킷 통신을 가능하게 하기 위한 기술이다. LTE 목표인 사용자와 사업자의 비용 절감, 서비스 품질 향상, 커버리지 확장 및 시스템 용량 증대를 위해 많은 방식이 제안되었다. 3GPP LTE는 상위 레벨 필요조건으로서 비트당 비용 절감, 서비스 유용성 향상, 주파수 밴드의 유연한 사용, 간단한 구조, 개방형 인터페이스 및 단말의 적절한 전력 소비를 요구한다.
ITU(international telecommunication union) 및 3GPP에서 NR(new radio access technology) 시스템에 대한 요구 사항 및 사양을 개발하는 작업이 시작되었다. NR 시스템은 new RAT 등의 다른 이름으로 불릴 수 있다. 3GPP는 긴급한 시장 요구와 ITU-R(ITU radio communication sector) IMT(international mobile telecommunications)-2020 프로세스가 제시하는 보다 장기적인 요구 사항을 모두 적시에 만족시키는 NR을 성공적으로 표준화하기 위해 필요한 기술 구성 요소를 식별하고 개발해야 한다. 또한, NR은 먼 미래에도 무선 통신을 위해 이용될 수 있는 적어도 100 GHz에 이르는 임의의 스펙트럼 대역을 사용할 수 있어야 한다.
NR은 eMBB(enhanced mobile broadband), mMTC(massive machine-type-communications), URLLC(ultra-reliable and low latency communications) 등을 포함하는 모든 배치 시나리오, 사용 시나리오, 요구 사항을 다루는 단일 기술 프레임 워크를 대상으로 한다. NR은 본질적으로 순방향 호환성이 있어야 한다.
이동 통신 사업자는 점점 더 작은 서비스 영역에서 더 많은 서비스를 제공하고 있다. 이러한 작은 서비스 영역은 소형 셀로 특징될 수 있다. 다만, 이러한 작은 서비스 영역을 오가며 통신하는 것이 이슈가 될 수 있다. 용량, 적용 범위 및 간섭 모두를 해결되어야 한다. 이에 따라 중앙 집중형 무선 액세스 네트워크(C-RAN; centralized radio access networks)를 통해 소형 셀을 서비스 하는 것이 제안되었다. C-RAN을 구현하기 위한 요구 사항 중 하나가 프론트홀(fronthaul)이라고 불리는 새로운 개념이다.
NR에서, 프론트홀의 문제점을 해결하기 위하여 기지국을 CU(central unit)와 DU(distributed unit)로 분리하는 것이 도입되었다. 또한 추가적으로, 클라우드 RAN의 개념을 구현하기 위하여 CU를 CU-CP(control plane)와 CU-UP(user plane)로 분리하는 것이 도입되었다. 다만, CU를 CU-CP와 CU-UP로 분리하는 경우 잠재적인 보안 이슈가 발생할 수 있다.
일 양태에 있어서, 무선 통신 시스템에서 gNB의 CU(central unit)-CP(control plane)가 상기 gNB의 CU-UP(user plane)의 보안을 지원이 제공된다. 상기 방법은 암호화 알고리즘을 선택하고, 상기 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 생성하고, 및 상기 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송하는 것을 포함한다.
다른 양태에 있어서, 무선 통신 시스템에서 gNB의 CU(central unit)-UP(user plane)가 보안을 지원하는 방법이 제공된다. 상기 방법은 상기 CU-UP를 위한 사용자 평면 보안 키를 상기 gNB의 CU-CP(control plane)로부터 수신하고, 상기 수신한 사용자 평면 보안 키를 적용하는 것을 포함한다.
상기 CU-CP는 RRC(radio resource control) 및 PDCP(packet data convergence protocol)-C 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이며, 상기 CU-UP는 PDCP-U 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이다.
CU-CP와 CU-UP가 분리될 때, CU-UP가 보안을 통해 데이터 패킷을 처리할 수 있다. 또한, CU-UP가 업데이트 된 보안을 통해 데이터 패킷을 연속적으로 처리할 수 있다.
도 1은 NG-RAN 아키텍처를 나타낸다.
도 2는 NR 시스템에서 NG 사용자 평면의 프로토콜 스택을 나타낸다.
도 3은 NR 시스템에서 NG 제어 평면의 프로토콜 스택을 나타낸다.
도 4는 NR 시스템에서 Xn 사용자 평면의 프로토콜 스택을 나타낸다.
도 5는 NR 시스템에서 Xn 제어 평면의 프로토콜 스택을 나타낸다.
도 6은 NG-RAN의 전체적인 아키텍쳐의 일 예를 나타낸다.
도 7은 논리 gNB/en-gNB 내부의 논리 노드(CU-C, CU-U 및 DU)를 나타낸다.
도 8은 gNB의 배치 시나리오를 나타내다.
도 9는 CU-CP와 CU-UP 간에 정의된 E1 인터페이스의 프로토콜 구조를 나타낸다.
도 10은 본 발명의 실시예 1-1에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다.
도 11은 본 발명의 실시예 1-2에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다.
도 12는 본 발명의 실시예 1-3에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다.
도 13은 본 발명의 실시예 2-1에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다.
도 14는 본 발명의 실시예 2-2에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다.
도 15는 본 발명의 실시예 2-3에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다.
도 16은 본 발명의 일 실시예에 따라 gNB의 CU-CP가 CU-UP의 보안을 지원하는 방법을 나타낸다.
이하에서 설명하는 기술적 특징은 3GPP(3rd generation partnership project) 표준화 기구에 의한 통신 규격이나, IEEE(institute of electrical and electronics engineers) 표준화 기구에 의한 통신 규격 등에서 사용될 수 있다. 예를 들어, 3GPP 표준화 기구에 의한 통신 규격은 LTE(long term evolution) 및/또는 LTE 시스템의 진화를 포함한다. LTE 시스템의 진화는 LTE-A(advanced), LTE-A Pro, 및/또는 5G NR(new radio)을 포함한다. IEEE 표준화 기구에 의한 통신 규격은 IEEE 802.11a/b/g/n/ac/ax 등의 WLAN(wireless local area network) 시스템을 포함한다. 상술한 시스템은 OFDMA(orthogonal frequency division multiple access), 및/또는 SC-FDMA(single carrier frequency division multiple access) 등의 다양한 다중 접속 기술을 하향링크(DL; downlink) 및/또는 상향링크(UL; uplink)에 사용한다. 예를 들어, DL에는 OFDMA만을 사용하고 UL에는 SC-FDMA만이 사용될 수 있다. 또는, DL 및/또는 UL에 OFDMA와 SC-FDMA가 혼용될 수도 있다.
5G 시스템은 5G AN(access network), 5G CN(core network) 및 UE(user equipment)로 구성된 3GPP 시스템이다. 5G AN은 5G CN에 연결되는 비-3GPP 접속 네트워크 및/또는 NG-RAN(new generation radio access network)를 포함하는 접속 네트워크이다.
도 1은 NG-RAN 아키텍처를 나타낸다. 도 1을 참조하면, NG-RAN은 하나 이상의 NG-RAN 노드를 포함한다. NG-RAN 노드는 하나 이상의 gNB 및/또는 하나 이상의 ng-eNB를 포함한다. gNB는 UE를 향하여 NR 사용자 평면 및 제어 평면 프로토콜 종단을 제공한다. ng-eNB는 UE를 향하여 E-UTRA 사용자 평면 및 제어 평면 프로토콜 종단을 제공한다. gNB와 ng-eNB는 Xn 인터페이스를 통해 상호 연결된다. gNB 및 ng-eNB는 NG 인터페이스를 통해 5G CN에 연결된다. 보다 구체적으로, gNB 및 ng-eNB는 NG-C 인터페이스를 통해 AMF(access and mobility management function)에 연결되고, NG-U 인터페이스를 통해 UPF(user plane function)에 연결된다.
gNB 및/또는 ng-eNB는 다음의 기능을 제공한다.
- 무선 자원 관리를 위한 기능: 무선 베어러 제어, 무선 허용 제어, 연결 이동 제어, 상향링크 및 하향링크에서 UE에 대한 자원의 동적 할당(스케줄링);
- 데이터의 IP(Internet protocol) 헤더 압축, 암호화 및 무결성 보호;
- UE에 의해 제공된 정보로부터 AMF로의 라우팅이 결정될 수 없을 때, UE 부착시 AMF의 선택;
- UPF를 향하여 사용자 평면 데이터를 라우팅;
- AMF를 향하여 제어 평면 정보의 라우팅;
- 연결 설정 및 해제;
- (AMF로부터 시작되는) 페이징 메시지의 스케줄링 및 전송;
- (AMF 또는 O&M(operations & maintenance)로부터 시작되는) 시스템 방송 정보의 스케줄링 및 전송;
- 이동성 및 스케줄링을 위한 측정 및 측정 보고 구성;
- 상향링크에서의 전송 레벨 패킷 마킹;
- 세션 관리;
- 네트워크 슬라이싱 지원;
- QoS(quality of service) 흐름 관리 및 데이터 무선 베어러로의 맵핑;
- RRC_INACTIVE 상태에 있는 UE의 지원;
- NAS(non-access stratum) 메시지의 배포 기능;
- 무선 접속 네트워크 공유;
- 이중 연결;
- NR과 E-UTRA 간의 긴밀한 연동.
AMF는 다음의 주요 기능을 제공한다.
- NAS 신호 종단;
- NAS 신호 보안;
- AS 보안 통제;
- 3GPP 액세스 네트워크 간의 이동성을 위한 인터 CN 노드 시그널링;
- 아이들 모드 UE 도달 가능성(페이징 재전송의 제어 및 실행 포함);
- 등록 영역 관리;
- 시스템 내 및 시스템 간 이동성 지원;
- 액세스 인증;
- 로밍 권한 확인을 포함한 액세스 권한 부여;
- 이동성 관리 제어(가입 및 정책);
- 네트워크 슬라이싱 지원;
- SMF(session management function) 선택.
UPF는 다음의 주요 기능을 제공한다.
- 인트라/인터-RAT(radio access technology) 이동성을 위한 앵커 포인트(적용 가능한 경우);
- 데이터 네트워크에 대한 상호 연결의 외부 PDU(protocol data unit) 세션 포인트;
- 패킷 라우팅 및 포워딩;
- 패킷 검사 및 정책 규칙 집행의 사용자 평면 부분;
- 트래픽 사용 보고;
- 데이터 네트워크로 트래픽 흐름 라우팅을 지원하는 상향링크 분류;
- 멀티 홈 PDU 세션을 지원하기 위한 지점;
- 사용자 평면에 대한 QoS 처리(예를 들어, 패킷 필터링, 게이팅, UL/DL 요금 집행);
- 상향링크 트래픽 검증(SDF(service data flow)에서 QoS 흐름 맵핑);
- 하향링크 패킷 버퍼링 및 하향링크 데이터 통지 트리거.
SMF는 다음의 주요 기능을 제공한다.
- 세션 관리;
- UE IP 주소 할당 및 관리;
- 사용자 평면 기능의 선택 및 제어;
- 트래픽을 적절한 대상으로 라우팅 하기 위해 UPF에서 트래픽 전환 구성;
- 정책 집행 및 QoS의 제어 평면 부분;
- 하향링크 데이터 통지.
도 2는 NR 시스템에서 NG 사용자 평면의 프로토콜 스택을 나타낸다. NG 사용자 평면 인터페이스인 NG-U는 NG-RAN 노드와 UPF 사이에서 정의된다. 도 2의 NG 인터페이스의 사용자 평면 프로토콜 스택을 참조하면, 전송 네트워크 계층(TNL; transport network layer)은 IP(Internet protocol) 전송을 기반으로 성립된다. GTP-U(GPRS tunneling protocol user plane) 계층은 NG-RAN 노드와 UPF 사이에서 사용자 평면 PDU를 전달하기 위해 UDP(user datagram protocol) 계층/IP 계층 상단에 사용된다. NG-U는 NG-RAN 노드와 UPF 사이에서 사용자 평면 PDU의 보장되지 않는(non-guaranteed) 전달을 제공한다.
도 3은 NR 시스템에서 NG 제어 평면의 프로토콜 스택을 나타낸다. NG 제어 평면 인터페이스인 NG-C는 NG-RAN 노드와 AMF 사이에서 정의된다. 도 3의 NG 인터페이스의 제어 평면 프로토콜 스택을 참조하면, TNL은 IP 전송을 기반으로 성립된다. 신호 메시지의 안정적인 전송을 위해, SCTP(stream control transmission protocol) 계층이 IP 계층 상단에 추가된다. 애플리케이션 계층 시그널링 프로토콜은 NGAP(NG application protocol)로 불린다. SCTP 계층은 애플리케이션 계층 메시지의 보장된 전달을 제공한다. 시그널링 PDU를 전달하기 위하여 IP 계층 지점 간 전송이 사용된다.
NG-C는 다음과 같은 기능을 제공한다.
- NG 인터페이스 관리.
- UE 컨텍스트 관리;
- UE 이동성 관리;
- NAS 메시지 전송
- 페이징;
- PDU 세션 관리;
- 구성 전송;
- 경고 메시지 전송.
도 4는 NR 시스템에서 Xn 사용자 평면의 프로토콜 스택을 나타낸다. Xn 사용자 평면 인터페이스인 Nn-U는 2개의 NG-RAN 노드 사이에서 정의된다. 도 4의 Xn 인터페이스의 사용자 평면 프로토콜 스택을 참조하면, TNL은 IP 전송을 기반으로 성립된다. GTP-U 계층은 2개의 NG-RAN 노드 사이에서 사용자 평면 PDU를 전달하기 위해 UDP 계층/IP 계층 상단에 사용된다. Xn-U는 2개의 NG-RAN 노드 사이에서 사용자 평면 PDU의 보장되지 않는 전달을 제공하며, 다음의 기능을 지원한다.
- 데이터 전달;
- 흐름 제어.
도 5는 NR 시스템에서 Xn 제어 평면의 프로토콜 스택을 나타낸다. Xn 제어 평면 인터페이스인 Xn-C는 2개의 NG-RAN 노드 사이에서 정의된다. 도 5의 Xn 인터페이스의 제어 평면 프로토콜 스택을 참조하면, TNL은 IP 계층 상단의 SCTP를 기반으로 성립된다. 애플리케이션 계층 시그널링 프로토콜은 XnAP(Xn application protocol)로 불린다. SCTP 계층은 애플리케이션 계층 메시지의 보장된 전달을 제공한다. 시그널링 PDU를 전달하기 위하여 IP 계층 지점 간 전송이 사용된다.
Xn-C는 다음의 기능을 지원한다.
- Xn 인터페이스 관리;
- 컨텍스트 전송 및 RAN 페이징을 포함하는 UE 이동성 관리:
- 이중 연결.
도 6은 NG-RAN의 전체적인 아키텍쳐의 일 예를 나타낸다. 도 6을 참조하면, gNB는 gNB-CU(central unit)과 하나 이상의 gNB-DU(distributed unit)으로 구성될 수 있다. gNB-CU는 gNB의 RRC(radio resource control), SDAP(service data adaptation protocol) 및 PDCP(packet data convergence protocol) 프로토콜 또는 en-gNB의 RRC 및 PDCP 프로토콜을 호스트 하는 논리 노드이다. gNB-CU는 하나 이상의 gNB-DU의 동작을 제어한다. gNB-DU는 gNB 또는 en-gNB의 RLC(radio link control), MAC(media access control) 및 물리 계층을 호스트 하는 논리 노드이다. gNB-DU의 동작은 부분적으로 gNB-CU에 의해 제어된다. 하나의 gNB-DU는 하나 이상의 셀을 지원한다. 하나의 셀은 오직 하나의 gNB-DU에 의해서만 지원된다.
gNB-CU와 gNB-DU는 F1 인터페이스를 통해 연결된다. gNB-CU는 gNB-DU와 연결된 F1 인터페이스를 종료한다. gNB-DU는 gNB-CU와 연결된 F1 인터페이스를 종료한다. 하나의 gNB-DU는 하나의 gNB-CU에만 연결된다. 그러나, 적절한 구현에 의하여 gNB-DU는 복수의 gNB-CU에 연결될 수 있다. F1 인터페이스는 논리 인터페이스이다. NG-RAN의 경우, gNB-CU와 하나 이상의 gNB-DU로 구성된 gNB에 대한 NG 및 Xn-C 인터페이스는 gNB-CU에서 종료된다. EN-DC의 경우, gNB-CU 및 하나 이상의 gNB-DU로 구성된 gNB에 대한 S1-U 및 X2-C 인터페이스는 gNB-CU에서 종료된다. gNB-CU 및 그에 연결된 gNB-DU는, 다른 gNB 및 5GC에는 gNB로만 보인다.
도 7은 논리 gNB/en-gNB 내부의 논리 노드(CU-C, CU-U 및 DU)를 나타낸다. 도 7은 도 6에 도시된 NG-RAN의 가능한 배치 시나리오 중 하나이다. NG 및 Xn 인터페이스의 프로토콜 종료는 도 7에서 타원으로 표시된다. 도 7의 "중앙 개체" 및 "분산 개체"는 물리 네트워크 노드를 나타낸다.
도 8은 gNB의 배치 시나리오를 나타내다. 도 8은 도 6 및 도 7에서 설명된 NG-RAN의 아키텍쳐 및 가능한 배치 시나리오의 예시를 나타낸다.
도 8-(a)는 축소된(collapsed) gNB 배치 시나리오를 나타낸다. 이 배치 시나리오에서, 모든 RAN 프로토콜 및 기능은 동일한 위치에 있다. 이 배포 시나리오는 현재 LTE에서 사용되는 것에 대응한다. 이 배치 시나리오는 LTE 아키텍처와 유사하므로 기존 LTE의 배치 시나리오와의 최대의 하위 호환성(backward compatibility)을 보장한다.
도 8-(b)는 분리된(disaggregated) 배치 시나리오를 나타낸다. 이 배치 시나리오에서, RAN 프로토콜 기능은 CU와 DU 등 다른 위치에 걸쳐 분산된다. DU는 RLC, MAC 및 물리 계층을 호스트 한다. CU-CP는 RRC 및 PDCP-C 프로토콜을 호스트 한다. CU-UP는 PDCP-U (및 SDAP) 프로토콜을 호스트 한다. DU와 CU-CP는 F1-C 인터페이스를 통해 연결될 수 있다. DU와 CU-UP는 F1-U 인터페이스를 통해 연결될 수 있다. CU-CP와 CU-UP는 E1 인터페이스를 통해 연결될 수 있다.
도 8-(b)에서 설명된 분리된 배치 시나리오에 따라, 시나리오 및 원하는 성능을 기반으로 하여 서로 다른 RAN 기능의 위치가 최적화 되어 배치될 수 있다. 예를 들어, CU-CP는 DU에 가까운 위치에 배치될 수 있다. 또는, CU-CP는 DU와 함께 배치될 수도 있다. 이러한 경우, 연결 (재)확립, 핸드오버 및 상태 전환 등과 같은 중요한 CP 절차에 대해 짧은 대기 시간을 제공할 수 있다. 반면에 CU-UP는 지역 또는 국가별 데이터 센터에서 중앙 집중화 되어 배치될 수 있다. 따라서, CU-UP는 클라우드 구현에 유리하며, 이중 연결(dual connectivity) 및 긴밀한 연동(tight interworking) 시나리오에서 UP 트래픽의 중앙 집중된 종단점을 제공할 수 있다. 또한, 추가적인 CU-UP은 DU와 가깝게(또는 동일 위치에) 배치되어, 매우 낮은 대기 시간을 요구하는 애플리케이션(예를 들어, URLLC(ultra-reliable low latency communications) 트래픽)에 대해 UP 트래픽의 로컬 종단 지점을 제공할 수 있다.
도 9는 CU-CP와 CU-UP 간에 정의된 E1 인터페이스의 프로토콜 구조를 나타낸다. TNL은 IP 전송을 기반으로 하며, IP 계층 상단에 SCTP 계층을 포함한다. 애플리케이션 계층 시그널링 프로토콜은 E1AP(E1 application protocol)로 불린다.
한편, 종래 기술에 의하면, 사용자 평면 데이터는 UE와 eNB 간의 PDCP 프로토콜에 의하여 암호화 된다. 암호화 기능은 암호화(ciphering)와 해독 (deciphering)을 모두 포함한다. 사용자 평면의 경우, 암호화 된 데이터 단위는 PDCP PDU(protocol data unit)의 데이터 부분이다). 암호화는 PDCP 제어 PDU에는 적용될 수 없다. PDCP에 의하여 사용되는 암호화 알고리듬 및 보안 키는 RRC 계층에 의하여 구성된다. 암호화 기능은 RRC 계층에 의해 활성화/일시 중지/재개된다. 보안이 활성화되고 일시 중지되지 않은 경우, DL/UL 각각에 대해 RRC 계층에 의해 지시된 모든 PDCP PDU에 암호화 기능이 적용되어야 한다.
따라서, NR에서 CU-CP와 CU-UP가 분리되는 경우, CU-UP의 트래픽에 대한 보안을 어떻게 지원할 것인지가 문제될 수 있다. 보다 구체적으로, CU-UP의 트래픽에 대한 보안을 위하여, PDCP 계층은 보안 키 및 암호화 알고리듬을 가져야 한다. PDCP 계층은 이를 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 생성 할 수 있다. 다만, PDCP 계층이 CU-CP 내의 PDCP-C와 CU-UP 내의 PDCP-U로 분리됨에 따라, CU-CP와 CU-UP 중 어떤 노드가 CU-UP의 트래픽에 대한 보안을 위하여 를 보안 키 생성, 암호화 알고리듬 선택 및 KUPenc 생성을 담당하는지 결정되어야 할 필요가 있다. 또한 CU-UP에 대응하는 시그널링도 결정될 필요가 있다.
1. 실시예 1
본 발명의 실시예 1은 CU-CP와 CU-UP가 분리될 때 CU-UP에서의 데이터 패킷의 보안을 지원하기 위한 초기 절차를 제안한다. 이하, 본 발명의 실시예 1의 구체적인 세부 실시예를 설명한다.
(1) 실시예 1-1
도 10은 본 발명의 실시예 1-1에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다. 실시예 1-1에서는 CU-CP가 보안 키 생성 및 암호화 알고리듬 선택을 담당하고, CU-UP가 KUPenc의 생성을 담당한다.
단계 S1000에서, CU-CP는 보안 키를 생성한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 선택한다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다.
단계 S1010에서, CU-CP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 CU-UP로 전송한다. 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬은 UP 설정 절차를 통해 전송될 수 있다.
단계 S1020에서, CU-UP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 생성한다. 보다 구체적으로, CU-UP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 KDF(key derivation function) 함수의 입력으로 하여, KUPenc를 유도한다. 생성/유도된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1030에서, CU-UP는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 설정 확인 절차를 통해 전송될 수 있다.
(2) 실시예 1-2
도 11은 본 발명의 실시예 1-2에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다. 실시예 1-2에서는 CU-CP가 보안 키 생성, 암호화 알고리듬 선택 및 KUPenc의 생성을 모두 담당한다.
단계 S1100에서, CU-CP는 보안 키를 생성한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 선택한다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 생성한다. 보다 구체적으로, CU-CP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 KDF 함수의 입력으로 하여, KUPenc를 유도한다. 생성/유도된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1110에서, CU-CP는 상기 생성/유도된 KUPenc를 CU-UP로 전송한다. 상기 생성/유도된 KUPenc는 UP 설정 절차를 통해 전송될 수 있다.
단계 S1120에서, CU-UP는 UP 트래픽의 보호를 위하여 상기 수신한 KUPenc를 적용한다.
단계 S1130에서, CU-UP는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 설정 확인 절차를 통해 전송될 수 있다.
(3) 실시예 1-3
도 12는 본 발명의 실시예 1-3에 따라 CU-UP의 보안을 지원하는 방법을 나타낸다. 실시예 1-3에서는 CU-CP가 보안 키 생성을 담당하고, CU-UP가 암호화 알고리듬 선택 및 KUPenc의 생성을 담당한다.
단계 S1200에서, CU-CP는 보안 키를 생성한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다.
단계 S1210에서, CU-CP는 상기 생성된 보안 키 및 UE의 보안 관련 능력을 CU-UP로 전송한다. 상기 생성된 보안 키 및 UE의 보안 관련 능력은 UP 설정 절차를 통해 전송될 수 있다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다.
단계 S1220에서, CU-UP는 수신한 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 선택한다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-UP는 수신한 보안 키 및 상기 선택된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 생성한다. 보다 구체적으로, CU-CP는 상기 생성된 보안 키 및 상기 선택된 암호화 알고리듬을 KDF 함수의 입력으로 하여, KUPenc를 유도한다. 생성/유도된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1230에서, CU-UP는 선택된 암호화 알고리듬을 포함하는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 설정 확인 절차를 통해 전송될 수 있다.
단계 S1240에서, CU-CP는 CU-UP로부터 수신한 선택된 암호화 알고리듬을 처리한다. CU-CP는 선택된 암호화 알고리듬을 CU-CP에서도 동일하게 적용할지 여부를 결정할 수 있다.
단계 S1250에서, CU-CP는 선택된 암호화 알고리듬을 포함하는 RRC 연결 재구성(RRCConnectionReconfiguration) 메시지를 UE로 전송한다. 단계 S1260에서, UE는 RRC 연결 재구성 메시지에 대한 응답으로, RRC 연결 재구성 완료(RRCConnectionReconfigurationComplete) 메시지를 CU-CP로 전송한다.
상술한 본 발명의 실시예 1에 의하여, CU-UP가 보안을 통해 데이터 패킷을 처리할 수 있다.
2. 실시예 2
본 발명의 실시예 2는 CU-CP와 CU-UP가 분리될 때 CU-UP에서 발생할 수 있는 PDCP 랩어라운드(wrap-around) 문제를 해결하기 위하여, 데이터 패킷의 보안을 지원하기 위한 업데이트 절차를 제안한다. 보다 구체적으로, CU-UP로 많은 양의 데이터 패킷이 제공되는 경우가 발생할 수 있고, 이때 CU-UP에서 PDCP 카운트의 랩어라운드가 발생할 수 있다. 따라서, CU-UP의 보안 키를 환기/업데이트를 위한 절차를 개시하는 방법이 필요할 수 있다. CU-UP가 데이터 패킷에 대한 실제 상황을 알고 있는 노드이기 때문이다. 종래 DC 절차에서는 세컨더리 노드(SN; secondary node)가 마스터 노드(MN; master node)로 전송되는 SN 수정 요구 메시지 내의 SCG(secondary cell group) 변경 지시를 통해 PDCP 카운트 랩어라운드를 트리거 하였다.
이하, 본 발명의 실시예 2의 구체적인 세부 실시예를 설명한다. 본 발명의 실시예 2의 구체적인 세부 실시예는, 상술한 본 발명의 실시예 1의 구체적인 세부 실시예에 의존할 수 있다.
(1) 실시예 2-1
도 13은 본 발명의 실시예 2-1에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다. 실시예 1-1에서 도시된 바와 유사하게, 실시예 2-1에서는 CU-CP가 보안 키 및 암호화 알고리듬의 업데이트를 담당하고, CU-UP가 KUPenc의 업데이트를 담당한다.
단계 S1300에서, CU-UP는 DL 또는 UL의 PDCP 카운트가 곧 랩어라운드 될 것임을 검출한다.
단계 S1310에서, CU-UP는 PDCP 카운트 랩어라운드 지시를 CU-CP로 전송한다. 상기 PDCP 카운트 랩어라운드 지시는 연결 수정 절차를 통해 전송될 수 있다.
단계 S1320에서, CU-CP는 보안 키를 업데이트 한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 업데이트 한다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다.
단계 S1330에서, CU-CP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 CU-UP로 전송한다. 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬은 UP 수정 절차를 통해 전송될 수 있다.
단계 S1340에서, CU-UP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 새롭게 생성한다. 보다 구체적으로, CU-UP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 KDF 함수의 입력으로 하여, 업데이트 된 KUPenc를 유도한다. 상기 업데이트 된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1350에서, CU-UP는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 수정 확인 절차를 통해 전송될 수 있다.
(2) 실시예 2-2
도 14는 본 발명의 실시예 2-2에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다. 실시예 1-2에서 도시된 바와 유사하게, 실시예 2-2에서는 CU-CP가 보안 키, 암호화 알고리듬 및 KUPenc의 업데이트를 모두 담당한다.
단계 S1400에서, CU-UP는 DL 또는 UL의 PDCP 카운트가 곧 랩어라운드 될 것임을 검출한다.
단계 S1410에서, CU-UP는 PDCP 카운트 랩어라운드 지시를 CU-CP로 전송한다. 상기 PDCP 카운트 랩어라운드 지시는 연결 수정 절차를 통해 전송될 수 있다.
단계 S1420에서, CU-CP는 보안 키를 업데이트 한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 업데이트 한다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-CP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 새롭게 생성한다. 보다 구체적으로, CU-CP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 KDF 함수의 입력으로 하여, 업데이트 된 KUPenc를 유도한다. 상기 업데이트 된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1430에서, CU-CP는 상기 업데이트 된 KUPenc를 CU-UP로 전송한다. 상기 업데이트 된 KUPenc는 UP 수정 절차를 통해 전송될 수 있다.
단계 S1440에서, CU-UP는 UP 트래픽의 보호를 위하여 상기 수신한 KUPenc를 적용한다.
단계 S1450에서, CU-UP는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 수정 확인 절차를 통해 전송될 수 있다.
(3) 실시예 2-3
도 15는 본 발명의 실시예 2-3에 따라 CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때 보안 키를 업데이트하는 방법을 나타낸다. 실시예 1-3에서 도시된 바와 유사하게, 실시예 2-3에서는 CU-CP가 보안 키의 업데이트를 담당하고, CU-UP가 암호화 알고리듬 및 KUPenc의 업데이트를 담당한다.
단계 S1500에서, CU-UP는 DL 또는 UL의 PDCP 카운트가 곧 랩어라운드 될 것임을 검출한다.
단계 S1510에서, CU-UP는 PDCP 카운트 랩어라운드 지시를 CU-CP로 전송한다. 상기 PDCP 카운트 랩어라운드 지시는 연결 수정 절차를 통해 전송될 수 있다.
단계 S1520에서, CU-CP는 보안 키를 업데이트 한다. 상기 보안 키는 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 보안 키는 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다.
단계 S1530에서, CU-CP는 상기 업데이트 된 보안 키 및 UE의 보안 관련 능력을 CU-UP로 전송한다. 상기 업데이트 된 보안 키 및 UE의 보안 관련 능력은 UP 수정 절차를 통해 전송될 수 있다. UE의 보안 관련 능력은 UE가 지원하는 모든 암호화 알고리듬을 나타낼 수 있다.
단계 S1540에서, CU-UP는 수신한 UE의 보안 관련 능력을 기반으로 하여 UE를 위한 암호화 알고리듬을 업데이트 한다. 상기 암호화 알고리듬은 UP 트래픽을 위해 CU-UP에서만 사용될 수 있다. 또는, 상기 암호화 알고리듬은 CP 시그널링 및 UP 트래픽을 위해 CU-CP 및 CU-UP에서 공통적으로 사용될 수 있다. 또한, CU-UP는 업데이트 된 보안 키 및 업데이트 된 암호화 알고리듬을 기반으로 사용자 평면을 위한 암호화 키인 KUPenc를 새롭게 생성한다. 보다 구체적으로, CU-CP는 상기 업데이트 된 보안 키 및 상기 업데이트 된 암호화 알고리듬을 KDF 함수의 입력으로 하여, 업데이트 된 KUPenc를 유도한다. 상기 업데이트 된 KUPenc는 CU-UP에서 UP 트래픽의 보호를 위하여 사용된다.
단계 S1550에서, CU-UP는 업데이트 된 암호화 알고리듬을 포함하는 확인 메시지를 CU-CP로 전송한다. 상기 확인 메시지는 연결 수정 확인 절차를 통해 전송될 수 있다.
단계 S1560에서, CU-CP는 CU-UP로부터 수신한 업데이트 된 암호화 알고리듬을 처리한다. CU-CP는 업데이트 된 암호화 알고리듬을 CU-CP에서도 동일하게 적용할지 여부를 결정할 수 있다.
단계 S1570에서, CU-CP는 업데이트 된 암호화 알고리듬을 포함하는 RRC 연결 재구성(RRCConnectionReconfiguration) 메시지를 UE로 전송한다. 단계 S1580에서, UE는 RRC 연결 재구성 메시지에 대한 응답으로, RRC 연결 재구성 완료(RRCConnectionReconfigurationComplete) 메시지를 CU-CP로 전송한다.
상술한 본 발명의 실시예 2에 의하여, CU-UP에서 PDCP 카운트의 랩어라운드가 발생했을 때, CU-UP는 업데이트 된 보안을 통해 데이터 패킷을 연속적으로 처리할 수 있다.
도 16은 본 발명의 일 실시예에 따라 gNB의 CU-CP가 CU-UP의 보안을 지원하는 방법을 나타낸다. 도 16의 실시예는 상술한 실시예 1-2 및 실시예 1-2에 대응한다.
단계 S1600에서, CU-CP는 암호화 알고리즘을 선택한다. 상기 암호화 알고리듬은 UE의 보안 관련 능력을 기반으로 선택될 수 있다. 상기 UE의 보안 관련 능력은 상기 UE가 지원하는 모든 암호화 알고리듬일 수 있다.
단계 S1610에서, CU-CP는 상기 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 생성한다. CU-CP는 보안 키를 생성할 수 있다. 상기 CU-UP를 위한 사용자 평면 보안 키는 상기 보안 키 및 상기 암호화 알고리즘을 기반으로 생성될 수 있다. 상기 CU-UP를 위한 사용자 평면 보안 키는 상기 보안 키 및 상기 암호화 알고리즘을 KDF 함수의 입력으로 하여 유도될 수 있다. 상기 보안 키는 상기 CU-UP에 의해서만 사용되거나 또는 상기 CU-UP 및 상기 CU-CP에 의해서 사용될 수 있다. 상기 암호화 알고리듬은 상기 CU-UP에 의해서만 사용되거나 또는 상기 CU-UP 및 상기 CU-CP에 의해서 사용될 수 있다.
단계 S1620에서, CU-CP는 상기 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송한다.
상기 단계 S1600 내지 S1620은 초기 베어러 설정 단계에서 수행될 수 있다. 이에 따라, 상기 사용자 평면 보안 키는 베어러 컨텍스트 설정 요청(BEARER CONTEXT SETUP REQUEST) 메시지를 통해 CU-UP로 전송될 수 있다. 베어러 컨텍스트 설정 요청 메시지는 CU-CP가 CU-UP 내에 베어러 컨텍스트를 확립하고자 할 때 전송될 수 있다.
또는, 상기 사용자 평면 보안 키는 CU-CP에 의하여 트리거 되거나 CU-UP에 의하여 요청될 때 변경될 수 있다. 이에 따라, 상기 단계 S1600 내지 S1620은 초기 베어러 수정 단계에서 수행될 수 있으며, 상기 사용자 평면 보안 키는 베어러 컨텍스트 수정 요청(BEARER CONTEXT MODIFICATION REQUEST) 메시지를 통해 CU-UP로 전송될 수 있다. 베어러 컨텍스트 수정 요청 메시지는 CU-CP가 CU-UP 내에 베어러 컨텍스트를 수정하고자 할 때 전송될 수 있다. 상기 사용자 평면 보안 키가 베어러 컨텍스트 수정 요청 메시지를 통해 전송되는 경우, CU-UP는 저장하고 있던 사용자 평면 보안 키를 수신한 사용자 평면 보안 키로 대체하고, 수신한 사용자 평면 보안 키를 트래픽 보호를 위해 사용할 수 있다.
상기 사용자 평면 보안 키가 베어러 컨텍스트 설정 요정 메시지 또는 베어러 컨텍스트 수정 요청 메시지를 통해 전송되는 경우, 상기 사용자 평면 보안 키는 보안 정보 IE(information element)에 포함될 수 있다. 보안 정보 IE는 사용자 평면 암호화 및/또는 무결성 보호(integrity protection)를 구성하기 위한 정보를 제공한다. 표 1은 보안 정보 IE의 일 예를 나타낸다.
IE/Group Name Presence Range IE type and reference Semantics description
Security Algorithm M 9.3.1.xx15
User Plane Security Keys M 9.3.1.xx16
표 1을 참조하면, 보안 알고리듬(Security Algorithm) IE는 상기 선택된 암호화 알고리듬을 나타내며, 사용자 평면 보안 키(User Plane Security Key) IE는 상기 생성/유도된 사용자 평면 보안 키를 나타낸다.또한, CU-CP는 상기 CU-UP로부터 PDCP 카운트 랩어라운드 지시를 수신할 수 있다. 이때, CU-CP는 상기 암호화 알고리즘을 업데이트 하고, 상기 업데이트 된 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 업데이트 하고, 상기 업데이트 된 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송할 수 있다.
상기 CU-CP는 RRC 및 PDCP-C 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이며, 상기 CU-UP는 PDCP-U 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이다. 상기 CU-UP는 SDAP 프로토콜을 호스트 할 수 있다. 상기 CU-CP와 상기 CU-UP는 E1 인터페이스를 통해 연결될 수 있다.
상술한 예시적인 시스템에서, 상술된 본 발명의 특징에 따라 구현될 수 있는 방법들은 순서도를 기초로 설명되었다. 편의상 방법들은 일련의 단계 또는 블록으로 설명되었으나, 청구된 본 발명의 특징은 단계들 또는 블록들의 순서에 한정되는 것은 아니며, 어떤 단계는 다른 단계와 상술한 바와 다른 순서로 또는 동시에 발생할 수 있다. 또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.

Claims (13)

  1. 무선 통신 시스템에서 gNB의 CU(central unit)-CP(control plane)가 상기 gNB의 CU-UP(user plane)의 보안을 지원하는 방법에 있어서,
    암호화 알고리즘을 선택하고;
    상기 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 생성하고; 및
    상기 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송하는 것을 포함하며,
    상기 CU-CP는 RRC(radio resource control) 및 PDCP(packet data convergence protocol)-C 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이며,
    상기 CU-UP는 PDCP-U 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드인 것을 특징으로 하는 방법.
  2. 제 1 항에 있어서,
    상기 CU-CP와 상기 CU-UP는 E1 인터페이스를 통해 연결되는 것을 특징으로 하는 방법.
  3. 제 1 항에 있어서,
    보안 키를 생성하는 것을 더 포함하는 방법.
  4. 제 3 항에 있어서,
    상기 CU-UP를 위한 사용자 평면 보안 키는 상기 보안 키 및 상기 암호화 알고리즘을 기반으로 생성되는 것을 특징으로 하는 방법.
  5. 제 4 항에 있어서,
    상기 CU-UP를 위한 사용자 평면 보안 키는 상기 보안 키 및 상기 암호화 알고리즘을 KDF(key derivation function) 함수의 입력으로 하여 유도되는 것을 특징으로 하는 방법.
  6. 제 3 항에 있어서,
    상기 보안 키는 상기 CU-UP에 의해서만 사용되거나 또는 상기 CU-UP 및 상기 CU-CP에 의해서 사용되는 것을 특징으로 하는 방법.
  7. 제 1 항에 있어서,
    상기 암호화 알고리듬은 상기 CU-UP에 의해서만 사용되거나 또는 상기 CU-UP 및 상기 CU-CP에 의해서 사용되는 것을 특징으로 하는 방법.
  8. 제 1 항에 있어서,
    상기 암호화 알고리듬은 UE(user equipment)의 보안 관련 능력을 기반으로 선택되는 것을 특징으로 하는 방법.
  9. 제 8 항에 있어서,
    상기 UE의 보안 관련 능력은 상기 UE가 지원하는 모든 암호화 알고리듬인 것을 특징으로 하는 방법.
  10. 제 1 항에 있어서,
    상기 CU-UP로부터 PDCP 카운트 랩어라운드(wrap-around) 지시를 수신하는 것을 더 포함하는 방법.
  11. 제 10 항에 있어서,
    상기 암호화 알고리즘을 업데이트 하고;
    상기 업데이트 된 암호화 알고리즘을 기반으로 상기 CU-UP를 위한 사용자 평면 보안 키를 업데이트 하고; 및
    상기 업데이트 된 CU-UP를 위한 사용자 평면 보안 키를 상기 CU-UP로 전송하는 더 포함하는 방법.
  12. 제 1 항에 있어서,
    상기 CU-UP는 SDAP(service data adaptation protocol) 프로토콜을 호스트 하는 것을 특징으로 하는 방법.
  13. 무선 통신 시스템에서 gNB의 CU(central unit)-UP(user plane)가 보안을 지원하는 방법에 있어서,
    상기 CU-UP를 위한 사용자 평면 보안 키를 상기 gNB의 CU-CP(control plane)로부터 수신하고,
    상기 수신한 사용자 평면 보안 키를 적용하는 것을 포함하며,
    상기 CU-CP는 RRC(radio resource control) 및 PDCP(packet data convergence protocol)-C 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드이며,
    상기 CU-UP는 PDCP-U 프로토콜을 호스트 하는 상기 gNB를 구성하는 논리 노드인 것을 특징으로 하는 방법.
KR1020180069701A 2017-06-17 2018-06-18 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치 KR101944097B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/KR2018/006854 WO2018231031A2 (ko) 2017-06-17 2018-06-18 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치
US16/064,715 US20200100102A1 (en) 2017-06-17 2018-06-18 Method and apparatus for supporting security for cu-cp and cu-up separation in wireless communication system
KR1020190009357A KR102320726B1 (ko) 2017-06-17 2019-01-24 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762521383P 2017-06-17 2017-06-17
US62/521,383 2017-06-17

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020190009357A Division KR102320726B1 (ko) 2017-06-17 2019-01-24 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20180137434A true KR20180137434A (ko) 2018-12-27
KR101944097B1 KR101944097B1 (ko) 2019-04-17

Family

ID=64953414

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020180069701A KR101944097B1 (ko) 2017-06-17 2018-06-18 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치
KR1020190009357A KR102320726B1 (ko) 2017-06-17 2019-01-24 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020190009357A KR102320726B1 (ko) 2017-06-17 2019-01-24 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치

Country Status (4)

Country Link
US (1) US20200100102A1 (ko)
EP (1) EP3570577B1 (ko)
KR (2) KR101944097B1 (ko)
CN (1) CN109845300B (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3897021B1 (en) * 2018-04-04 2023-11-22 ZTE Corporation Techniques to manage integrity protection
WO2021026706A1 (zh) * 2019-08-09 2021-02-18 华为技术有限公司 一种f1接口管理方法及装置
WO2021028890A1 (en) * 2019-08-15 2021-02-18 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods to measure the number of packets in cups
CN112399409A (zh) * 2019-08-16 2021-02-23 华为技术有限公司 一种安全加密的方法及装置
CN112953685B (zh) * 2019-12-11 2023-03-28 中国移动通信有限公司研究院 一种模型数据传输方法和相关网络设备
CN113163341A (zh) * 2020-01-22 2021-07-23 北京三星通信技术研究有限公司 在无线通信系统中传输数据的方法和设备
EP4121873A1 (en) * 2020-03-18 2023-01-25 Telefonaktiebolaget LM Ericsson (publ) Selective user plane protection in 5g virtual ran
CN113556673A (zh) * 2020-04-26 2021-10-26 三峡大学 一种mbsfn网络切片的形成及其验证方法
US11523309B2 (en) * 2020-05-29 2022-12-06 Samsung Electronics Co., Ltd. Method and device for supporting handover
CN113747524A (zh) 2020-05-29 2021-12-03 北京三星通信技术研究有限公司 支持切换的方法和设备
CN113766497B (zh) * 2020-06-01 2023-03-21 中国电信股份有限公司 密钥分发方法、装置、计算机可读存储介质及基站
CN115769615A (zh) * 2020-08-03 2023-03-07 英特尔公司 用于下一代蜂窝网络的计算服务实现
CN115701161A (zh) * 2021-07-31 2023-02-07 华为技术有限公司 建立安全传输通道的方法、确定密钥的方法及通信装置
US11902260B2 (en) * 2021-08-02 2024-02-13 Cisco Technology, Inc. Securing control/user plane traffic
KR20230024779A (ko) * 2021-08-12 2023-02-21 삼성전자주식회사 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치
US11683351B2 (en) * 2021-08-30 2023-06-20 Qualcomm Incorporated Protection level indication and configuration

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03171725A (ja) * 1989-11-14 1991-07-25 Advanced Micro Devices Inc n型、p型および真性シリコンを同じウェーハ上で実質的に同じ速度でエッチングするための方法
KR20080085694A (ko) * 2007-03-19 2008-09-24 엘지전자 주식회사 이동통신 시스템에서의 무선 프로토콜 처리방법 및이동통신 송신기
KR20160054483A (ko) * 2013-09-11 2016-05-16 삼성전자주식회사 기지국 상호간 전송을 위한 보안 통신을 가능하게 하는 방법 및 시스템
KR20170039247A (ko) * 2014-07-31 2017-04-10 지티이 코포레이션 보안 알고리즘 선택 방법, 장치 및 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8396037B2 (en) * 2008-06-23 2013-03-12 Htc Corporation Method for synchronizing PDCP operations after RRC connection re-establishment in a wireless communication system and related apparatus thereof
CN102369765B (zh) * 2009-02-03 2014-02-19 华为技术有限公司 一种中继传输的方法、中继节点和基站
CN104936173B (zh) * 2014-03-18 2022-02-25 华为技术有限公司 密钥生成方法、主基站、辅基站及用户设备
CN105592455B (zh) * 2014-11-13 2020-09-29 南京中兴软件有限责任公司 一种密钥更新方法、装置和主传输节点tp
WO2017082950A1 (en) * 2015-11-09 2017-05-18 Intel IP Corporation Novel frame structure to enable fast random access
CN106102106B (zh) * 2016-06-20 2020-03-24 电信科学技术研究院 一种终端接入的方法、装置及网络架构
CN106162730B (zh) * 2016-07-12 2019-11-15 上海华为技术有限公司 一种通信的方法、设备及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03171725A (ja) * 1989-11-14 1991-07-25 Advanced Micro Devices Inc n型、p型および真性シリコンを同じウェーハ上で実質的に同じ速度でエッチングするための方法
KR20080085694A (ko) * 2007-03-19 2008-09-24 엘지전자 주식회사 이동통신 시스템에서의 무선 프로토콜 처리방법 및이동통신 송신기
KR20160054483A (ko) * 2013-09-11 2016-05-16 삼성전자주식회사 기지국 상호간 전송을 위한 보안 통신을 가능하게 하는 방법 및 시스템
KR20170039247A (ko) * 2014-07-31 2017-04-10 지티이 코포레이션 보안 알고리즘 선택 방법, 장치 및 시스템

Also Published As

Publication number Publication date
KR102320726B1 (ko) 2021-11-02
KR20190011302A (ko) 2019-02-01
CN109845300B (zh) 2021-11-30
CN109845300A (zh) 2019-06-04
EP3570577A4 (en) 2020-01-08
US20200100102A1 (en) 2020-03-26
KR101944097B1 (ko) 2019-04-17
EP3570577B1 (en) 2021-04-07
EP3570577A2 (en) 2019-11-20

Similar Documents

Publication Publication Date Title
KR101944097B1 (ko) 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치
US11770865B2 (en) Relay communication method and relay communications apparatus and system
CN110063084B (zh) 在无线通信系统中选择会话和服务连续性模式的方法
RU2746179C1 (ru) Система радиостанций, терминал радиосвязи и способы их работы
US11716122B2 (en) Beam management enhancement for FR2 with V-Pol/H-Pol virtualization
WO2018027988A1 (zh) 网络切片的选择方法、无线接入设备和终端
EP3923625A1 (en) Data packet latency parameter acquisition method, system and apparatus
US11412563B2 (en) Multi-connectivity communication method and device
EP4008128A1 (en) Configuration of time sensitive bridge during handover
US11553546B2 (en) Methods and systems for radio access network aggregation and uniform control of multi-RAT networks
WO2022082612A1 (en) Layer 2 ue to ue data forwarding
EP4171074A1 (en) Communication method and communication apparatus
JP2017147746A (ja) データ分流のための方法およびデバイス
KR20220150951A (ko) 업링크 및 사이드링크 송신들의 우선순위화
US11751055B2 (en) User plane integrity protection in cellular networks
US20220183090A1 (en) Backhaul channel management for iab networks
CN112789896B (zh) 切换传输路径的方法及装置
US11985652B2 (en) P-BSR enhancements for IAB networks to improve E2E latency
US20220311478A1 (en) Uplink multiple input multiple output enhancements for fr2 with v-pol/h-pol virtualization

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant