KR20190018720A - 사이버 보안 관리 시스템, 방법 및 장치 - Google Patents

사이버 보안 관리 시스템, 방법 및 장치 Download PDF

Info

Publication number
KR20190018720A
KR20190018720A KR1020197001740A KR20197001740A KR20190018720A KR 20190018720 A KR20190018720 A KR 20190018720A KR 1020197001740 A KR1020197001740 A KR 1020197001740A KR 20197001740 A KR20197001740 A KR 20197001740A KR 20190018720 A KR20190018720 A KR 20190018720A
Authority
KR
South Korea
Prior art keywords
authentication
target
module
identifier
security
Prior art date
Application number
KR1020197001740A
Other languages
English (en)
Other versions
KR102169767B1 (ko
Inventor
리춘 리
페이 리우
마르코 스피니
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20190018720A publication Critical patent/KR20190018720A/ko
Application granted granted Critical
Publication of KR102169767B1 publication Critical patent/KR102169767B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 실시예는 사이버 보안 관리 시스템, 방법 및 장치를 개시한다. 시스템은 UE, AN, 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함한다. UE는 제1 서비스 요청을 네트워크 기능 선택 모듈에 발신하도록 구성되되, 제1 서비스 요청은 인증 프로토콜 정보를 반송한다. 네트워크 기능 선택 모듈은, 인증 프로토콜 정보에 기반하여 타겟 인증 모듈을 선택하고, 제2 서비스 요청을 타겟 인증 모듈에 발신하도록 구성된다. 타겟 인증 모듈은 UE와의 상호 인증을 수행하도록 구성된다. 타겟 인증 모듈은, 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제1 보안 구성을 AN에 발신하도록 또한 구성된다. AN은, 제1 보안 구성 또는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제2 보안 구성을 UE에 발신하도록 구성된다. 본 발명에서 제공되는 기술적 해결안에 따르면, 네트워크의 상이한 인증 프로토콜 및 보안 정책 보안 요구가 충족될 수 있는바, 이로써 사이버 보안을 개선한다.

Description

사이버 보안 관리 시스템, 방법 및 장치
본 발명은 통신 기술 분야에 관련되고, 특히, 사이버 보안 관리 시스템, 방법 및 장치에 관련된다.
4G 네트워크에서, 상이한 요구를 갖는 서비스, 네트워크 임대, 네트워크 공유 및 유사한 것을 지원하기 위해, 복수의 전용 코어 네트워크가 액세스 네트워크(access network)를 공유할 수 있다. 각각의 전용 코어 네트워크는 기능 및 성능에서 특정 서비스를 위해 최적화되어, 서비스 기능 및 성능을 위한 차별화된 요구를 충족시킨다. 도 1은 4G 전용 코어 네트워크의 개략적인 아키텍처 도해이다. 액세스 네트워크는 복수의 운영자에 연결될 수 있고, 각각의 운영자는 전용 코어 네트워크(영문: Dedicated Core Network, DCN)를 가질 수 있으며, 복수의 DNC가 액세스 네트워크를 공유한다. 사용자 장비(영문: User Equipment, UE)는 액세스 네트워크에 연결되고, 액세스 네트워크를 사용함으로써 각각의 운영자의 전용 코어 네트워크와의, 비즈니스 서비스와 같은, 상호작용을 구현한다. 5G 네트워크에서는, "네트워크 슬라이스"(줄여서 "슬라이스"(slice))로 지칭되는 논리적 네트워크가 다수 있다. 상이한 슬라이스는 기능 및 성능 요구에서 차이가 있을 뿐만 아니라, 보안 요구에서 차이가 있을 수도 있다.
5G 네트워크에서의 슬라이스 아키텍처에 대한 선행 기술 관념에서, UE는 복수의 슬라이스를 동시에 액세스할 수 있고, 네트워크는 UE가 접속될(attached) 슬라이스의 슬라이스 정보 또는 인증 유닛(영문: Authentication Unit, AU)의 로드(load) 상태에 기반하여 AU를 선택하고, 이후 UE와의 인증을 선택된 AU를 사용함으로써 구현하거나, UE가 동작을 수행하는 것, 예컨대, 타겟 슬라이스를 액세스하는 것을 인가한다. 선행 기술에서, AU 선택 동안에, UE에 의해 지원되는 인증 프로토콜 또는 알고리즘과 같은 정보가 고려되지 않으며, 관련 설계가 결여되어 있다. 그러므로, 사이버 보안이 더 양호하게 보장될 수 없다.
이 출원은 사이버 보안 관리 시스템, 방법 및 장치를 제공하여, 네트워크의 차별화된 인증 프로토콜 및 보안 정책 보안 요구를 충족시키고, 사이버 보안을 개선한다.
제1 측면에 따르면, 사이버 보안 관리 시스템이 제공되는데, 위 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리를 구현하도록 구성되고, 위 시스템은 사용자 장비(User Equipment: UE), 액세스 네트워크(Access Network: AN), 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함할 수 있되,
위 UE는 제1 서비스 요청을 위 네트워크 기능 선택 모듈에 발신하도록 구성되되, 위 제1 서비스 요청은 인증 프로토콜 정보를 반송하고(carry),
위 네트워크 기능 선택 모듈은, 위 인증 프로토콜 정보에 기반하여 위 적어도 2개의 인증 모듈로부터 타겟(target) 인증 모듈을 선택하고, 제2 서비스 요청을 위 타겟 인증 모듈에 발신하도록 구성되며,
위 타겟 인증 모듈은, 위 제2 서비스 요청을 수신하고, 위 UE와의 상호 인증을 수행하도록 구성되고,
위 타겟 인증 모듈은, 위 UE가 접속될 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제2 서비스 요청 응답을 위 AN에 발신하도록 또한 구성되되, 위 제2 서비스 요청 응답은 위 제1 보안 구성을 반송하며,
위 AN은, 위 제1 보안 구성 또는 위 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 위 UE에 발신하도록 구성되되, 위 제1 서비스 요청 응답은 위 제2 보안 구성을 반송한다.
이 출원에서, 위 네트워크 기능 선택 모듈은, 위 UE에 의해 지원되는 인증 프로토콜에 대한 위 정보에 기반하여, 위 UE에 의해 지원되는 위 인증 프로토콜을 지원하는 인증 모듈을 선택할 수 있고, 이후 위 인증 모듈은 위 UE와의 상호 인증을 수행할 수 있는바, 이로써 인증 모듈 선택 정확도 및 사이버 보안을 개선한다. 이 출원에서, 위 인증 프로토콜에 따라 선택된 위 타겟 인증 모듈은 보안 구성을 생성할 수 있거나, 위 인증 프로토콜에 따라 선택된 위 타겟 인증 모듈 및 위 AN은 보안 구성을 생성할 수 있어서, 선택 유연성이 높다.
제1 측면을 참조하여, 제1 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜을 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제1 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜을 지원하는 경우, 위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드(load) 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다. 대안적으로, 그 로드가 사전설정된 임계보다 작은 인증 모듈이 모든 인증 모듈로부터 위 타겟 인증 모듈로서 선택됨이 지적되어야 한다. 다시 말해, 그 로드가 위 사전설정된 임계보다 작은 복수의 인증 모듈이 있는 경우, 위 사전설정된 임계보다 로드가 적은 위 복수의 인증 모듈로부터 인증 모듈이 무작위로 선택될 수 있고, 가장 작은 로드를 갖는 인증 모듈이 반드시 위 타겟 인증 모듈로서 선택될 필요는 없다.
제1 측면을 참조하여, 제3 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜의 위 식별자 및 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제1 측면의 제3 가능한 구현을 참조하여, 제4 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 경우, 위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제5 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상(to-be-selected) 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제6 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하고 위 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제7 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 위 UE에 의해 지원되는 위 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 위 적어도 2개의 인증 모듈로부터 위 가장 높은 선택 우선순위를 갖는 위 인증 프로토콜을 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면의 제5 가능한 구현 내지 제7 가능한 구현 중 임의의 것을 참조하여, 제8 가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우, 위 네트워크 기능 선택 모듈은,
위 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제9 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제10 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는(served) 네트워크 슬라이스에 대한 정보에 기반하여, 위 제2 인증 모듈들로부터 위 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제1 측면을 참조하여, 제11 가능한 구현에서, 위 네트워크 기능 선택 모듈은 제1 서브모듈 및 제2 서브모듈을 포함하되,
위 제1 서브모듈은, 위 UE에 의해 발신된 위 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 위 제2 서브모듈에 발신하도록 구성되되, 위 인증 모듈 선택 요청은 위 인증 프로토콜 정보를 반송하고,
위 제2 서브모듈은, 위 인증 프로토콜 정보에 기반하여 위 적어도 2개의 인증 모듈로부터 위 타겟 인증 모듈을 선택하고, 위 타겟 인증 모듈의 식별자를 위 제1 서브모듈에 발신하도록 구성되며,
위 제1 서브모듈은 위 타겟 인증 모듈의 위 식별자에 대응하는 위 타겟 인증 모듈에 위 제2 서비스 요청을 발신하도록 또한 구성된다.
제1 측면의 제11 가능한 구현을 참조하여, 제12 가능한 구현에서, 위 제2 서브모듈은 전술된 다양한 가능한 구현에서 위 네트워크 기능 선택 모듈에 의해 수행되는 구현을 수행하도록 구체적으로 구성된다.
제1 측면의 제1 가능한 구현 내지 제10 가능한 구현 중 임의의 것을 참조하여, 제3 가능한 구현에서, 위 관리 시스템은 보안 정책 제어기를 더 포함하되,
위 보안 정책 제어기는 네트워크 슬라이스 보안 정책을 위 인증 모듈 또는 위 AN에 전달하도록 구성된다.
제1 측면의 제13 가능한 구현을 참조하여, 제14 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력 및 위 AN의 보안 능력을 또한 반송하며,
위 타겟 인증 모듈은,
위 지정된 네트워크 슬라이스에 대응하는 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며,
위 UE의 위 보안 능력, 위 AN의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화(encryption) 알고리즘 또는 타겟 무결성 보호(integrity protection) 알고리즘을 선택하고,
위 키와, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 위 제1 보안 구성을 생성하고, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 제1 보안 구성 내에서 반송되는 위 타겟 암호화 알고리즘의 위 식별자 또는 위 타겟 무결성 보호 알고리즘의 위 식별자를 위 제2 보안 구성으로서 판정하고, 위 제2 보안 구성을 위 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제1 측면의 제13 가능한 구현을 참조하여, 제15 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈 및 위 AN에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력을 또한 반송하며,
위 타겟 인증 모듈은,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며, 위 키와, 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 제1 보안 구성을 생성하고, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 지정된 보안 정책을 판정하고, 위 AN의 보안 능력, 위 UE의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하며,
위 제2 보안 구성을 획득하기 위해, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 위 제1 보안 구성에 추가하도록 구체적으로 구성된다.
제1 측면의 제13 가능한 구현을 참조하여, 제16 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력을 또한 반송하며,
위 타겟 인증 모듈은,
위 UE의 위 보안 능력, 위 AN의 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 위 제1 보안 구성을 생성하며, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 제1 보안 구성 내에서 반송되는 위 타겟 암호화 알고리즘의 위 식별자 또는 위 타겟 무결성 보호 알고리즘의 위 식별자를 위 제2 보안 구성으로서 판정하고, 위 제2 보안 구성을 위 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제1 측면의 제14 가능한 구현 또는 제1 측면의 제16 가능한 구현을 참조하여, 제17 가능한 구현에서, 위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제1 측면의 제1 가능한 구현 내지 제17 가능한 구현을 참조하여, 제18 가능한 구현에서, 위 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
제1 측면의 제11 가능한 구현 내지 제1 측면의 제17 가능한 구현 중 임의의 것을 참조하여, 제19 가능한 구현에서, 위 제1 서브모듈은 AURF이고, 위 제2 서브모듈은 AUSF이다.
제1 측면의 제11 가능한 구현 내지 제1 측면의 제17 가능한 구현 중 임의의 것을 참조하여, 제20 가능한 구현에서, 위 인증 모듈은 AU, 프론트 엔드(front-end) 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
제2 측면에 따르면, 사이버 보안 관리 시스템이 제공되는데, 위 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리에서 인증 모듈 선택을 구현하도록 구성되고, 위 시스템은 사용자 장비(User Equipment: UE), 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함할 수 있되,
위 UE는 제1 서비스 요청을 위 네트워크 기능 선택 모듈에 발신하도록 구성되되, 위 제1 서비스 요청은 인증 프로토콜 정보를 반송하고,
위 네트워크 기능 선택 모듈은, 위 인증 프로토콜 정보에 기반하여 위 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하고, 제2 서비스 요청을 위 타겟 인증 모듈에 발신하도록 구성되며,
위 타겟 인증 모듈은, 위 제2 서비스 요청을 수신하고, 위 UE와의 상호 인증을 수행하도록 구성된다.
이 출원에서, 위 네트워크 기능 선택 모듈은 위 UE에 의해 지원되는 복수의 인증 프로토콜, 위 인증 프로토콜 각각의 선택 우선순위, 위 네트워크 내에 설정된 인증 프로토콜 선택 우선순위, 슬라이스 정보, 인증 모듈 로드 및 유사한 것에 기반하여 위 타겟 인증 모듈을 선택할 수 있는바, 이로써 인증 모듈 선택 유연성, 인증 모듈 선택 정확도, 인증 모듈 선택 효율성 및 사이버 보안을 개선한다.
제2 측면을 참조하여, 제1 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜을 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제2 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜을 지원하는 경우, 위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제3 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜의 위 식별자 및 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제2 측면의 제3 가능한 구현을 참조하여, 제4 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 경우, 위 네트워크 기능 선택 모듈은,
위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제5 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제6 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하고 위 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제7 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈은,
위 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 위 UE에 의해 지원되는 위 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 위 적어도 2개의 인증 모듈로부터 위 가장 높은 선택 우선순위를 갖는 위 인증 프로토콜을 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면의 제5 가능한 구현 내지 제2 측면의 제7 가능한 구현 중 임의의 것을 참조하여, 제8 가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 위 네트워크 기능 선택 모듈은,
위 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제9 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 네트워크 기능 선택 모듈은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제10 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 제1 서비스 요청은 위 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 위 제2 인증 모듈들로부터 위 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제2 측면을 참조하여, 제11 가능한 구현에서, 위 네트워크 기능 선택 모듈은 제1 서브모듈 및 제2 서브모듈을 포함하되,
위 제1 서브모듈은, 위 UE에 의해 발신된 위 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 위 제2 서브모듈에 발신하도록 구성되되, 위 인증 모듈 선택 요청은 위 인증 프로토콜 정보를 반송하고,
위 제2 서브모듈은, 위 인증 프로토콜 정보에 기반하여 위 적어도 2개의 인증 모듈로부터 위 타겟 인증 모듈을 선택하고, 위 타겟 인증 모듈의 식별자를 위 제1 서브모듈에 발신하도록 구성되며,
위 제1 서브모듈은 위 타겟 인증 모듈의 위 식별자에 대응하는 위 타겟 인증 모듈에 위 제2 서비스 요청을 발신하도록 또한 구성된다.
제2 측면의 제11 가능한 구현을 참조하여, 제12 가능한 구현에서, 위 제2 서브모듈은 위 네트워크 기능 선택 모듈에 의해 수행되는 구현 중 임의의 것을 수행하도록 구체적으로 구성된다.
제2 측면 및 제2 측면의 제1 가능한 구현 내지 제12 가능한 구현 중 임의의 것을 참조하여, 제13 가능한 구현에서, 위 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
제2 측면의 제11 가능한 구현 및 제2 측면의 제12 가능한 구현 중 어느 쪽이든 참조하여, 제14 가능한 구현에서, 위 제1 서브모듈은 AURF이고, 위 제2 서브모듈은 AUSF이다.
제2 측면 및 제2 측면의 제1 가능한 구현 내지 제12 가능한 구현 중 임의의 것을 참조하여, 제15 가능한 구현에서, 위 인증 모듈은 AU, 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
제3 측면에 따르면, 사이버 보안 관리 시스템이 제공되는데, 위 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리에서 보안 구성 관리를 구현하도록 구성되고, 위 시스템은 사용자 장비(User Equipment: UE), 액세스 네트워크(Access Network: AN), 보안 정책 제어기 및 인증 모듈을 포함할 수 있되,
위 보안 정책 제어기는 네트워크 슬라이스 보안 정책을 위 AN 또는 위 인증 모듈에 전달하도록 구성되고,
위 UE는 제1 서비스 요청을 위 AN에 발신하도록 구성되되, 위 제1 서비스 요청은 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송하며,
위 AN은 제2 서비스 요청을 위 인증 모듈에 발신하도록 구성되되, 위 제2 서비스 요청은 위 UE가 접속될 위 지정된 네트워크 슬라이스의 위 식별자를 반송하고,
위 인증 모듈은, 위 제2 서비스 요청을 수신하고, 위 UE와의 상호 인증을 수행하도록 구성되며,
위 인증 모듈은, 위 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제2 서비스 요청 응답을 위 AN에 발신하도록 또한 구성되되, 위 제2 서비스 요청 응답은 위 제1 보안 구성을 반송하고,
위 AN은, 위 제1 보안 구성 또는 위 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 위 UE에 발신하도록 또한 구성되되, 위 제1 서비스 요청 응답은 위 제2 보안 구성을 반송한다.
이 출원에서, 인증 프로토콜에 따라 선택된 타겟 인증 모듈은 보안 구성을 생성할 수 있거나, 인증 프로토콜에 따라 선택된 타겟 인증 모듈 및 위 AN은 보안 구성을 생성할 수 있어서, 선택 유연성이 높고 사이버 보안이 개선된다.
제3 측면을 참조하여, 제1 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력 및 위 AN의 보안 능력을 또한 반송하며,
위 인증 모듈은,
위 지정된 네트워크 슬라이스에 대응하는 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며,
위 UE의 위 보안 능력, 위 AN의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
위 키와, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 위 제1 보안 구성을 생성하고, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 제1 보안 구성 내에서 반송되는 위 타겟 암호화 알고리즘의 위 식별자 또는 위 타겟 무결성 보호 알고리즘의 위 식별자를 위 제2 보안 구성으로서 판정하고, 위 제2 보안 구성을 위 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제3 측면을 참조하여, 제2 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈 및 위 AN에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력을 또한 반송하며,
위 인증 모듈은,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며, 위 키와, 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 제1 보안 구성을 생성하고, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 지정된 보안 정책을 판정하고, 위 AN의 보안 능력, 위 UE의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하며,
위 제2 보안 구성을 획득하기 위해, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 위 제1 보안 구성에 추가하도록 구체적으로 구성된다.
제3 측면을 참조하여, 제3 가능한 구현에서, 위 보안 정책 제어기는 위 네트워크 슬라이스 보안 정책을 위 인증 모듈에 전달하도록 구성되고,
위 제2 서비스 요청은 위 UE의 보안 능력 및 위 AN의 보안 능력을 또한 반송하며,
위 인증 모듈은,
위 UE의 위 보안 능력, 위 AN의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
위 키와, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 위 제1 보안 구성을 생성하고, 위 제1 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
위 AN은,
위 제1 보안 구성 내에서 반송되는 위 타겟 암호화 알고리즘의 위 식별자 또는 위 타겟 무결성 보호 알고리즘의 위 식별자를 위 제2 보안 구성으로서 판정하고, 위 제2 보안 구성을 위 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제3 측면의 제1 가능한 구현 내지 제3 측면의 제3 가능한 구현 중 임의의 것을 참조하여, 제4 가능한 구현에서, 위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제3 측면 및 제3 측면의 제1 가능한 구현 내지 제4 가능한 구현 중 임의의 것을 참조하여, 제5 가능한 구현에서, 위 인증 모듈은 AU, 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
제4 측면에 따르면, 사이버 보안 관리 방법이 제공되는데, 위 방법은,
네트워크 기능 선택 모듈에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계(위 제1 서비스 요청은 인증 프로토콜 정보를 반송함)와,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계와,
위 네트워크 기능 선택 모듈에 의해, 제2 서비스 요청을 위 타겟 인증 모듈에 발신하는 단계를 포함할 수 있다.
제4 측면을 참조하여, 제1 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 네트워크 기능 선택 모듈에 의해, 위 제1 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜을 지원하는 위 타겟 인증 모듈을 선택하는 단계를 포함한다.
제4 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜을 지원하는 경우, 위 방법은,
위 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 더 포함한다.
제4 측면을 참조하여, 제3 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 네트워크 기능 선택 모듈에 의해, 위 제1 인증 프로토콜의 위 식별자 및 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 위 타겟 인증 모듈을 선택하는 단계를 포함한다.
제4 측면의 제3 가능한 구현을 참조하여, 제4 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 경우, 위 방법은,
위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 포함한다.
제4 측면을 참조하여, 제5 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 제2 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 위 네트워크 기능 선택 모듈에 의해 선택하는 단계를 포함한다.
제4 측면을 참조하여, 제6 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 제2 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하고 위 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 위 네트워크 기능 선택 모듈에 의해 선택하는 단계를 포함한다.
제4 측면을 참조하여, 제7 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 네트워크 기능 선택 모듈에 의해, 위 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 위 UE에 의해 지원되는 위 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 위 적어도 2개의 인증 모듈로부터 위 가장 높은 선택 우선순위를 갖는 위 인증 프로토콜을 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 포함한다.
제4 측면의 제5 가능한 구현 내지 제4 측면의 제7 가능한 구현 중 임의의 것을 참조하여, 제8 가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 위 방법은,
위 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 더 포함한다.
제4 측면을 참조하여, 제9 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 네트워크 기능 선택 모듈에 의해, 위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하는 단계와,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 포함한다.
제4 측면을 참조하여, 제10 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
위 네트워크 기능 선택 모듈에 의해, 위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하는 단계와,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하는 단계와,
하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 위 제2 인증 모듈들로부터 위 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하는 단계를 포함한다.
제4 측면 및 제4 측면의 제1 가능한 구현 내지 제10 가능한 구현 중 임의의 것을 참조하여, 제11 가능한 구현에서, 위 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
제5 측면에 따르면, 사이버 보안 관리 방법이 제공되는데, 위 방법은,
제2 네트워크 기능 선택 모듈에 의해, 제1 네트워크 기능 선택 모듈에 의해 발신된 인증 모듈 선택 요청을 수신하는 단계(위 인증 모듈 선택 요청은 사용자 장비(User Equipment: UE)에 의해 발신된 인증 프로토콜 정보를 반송함)와,
위 제2 네트워크 기능 선택 모듈에 의해 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계와,
위 제2 네트워크 기능 선택 모듈에 의해, 위 제1 네트워크 기능 선택 모듈을 사용함으로써 위 타겟 인증 모듈에 서비스 요청을 발신하기 위해, 위 제1 네트워크 기능 선택 모듈에 위 타겟 인증 모듈의 식별자를 발신하는 단계를 포함할 수 있다.
제6 측면에 따르면, 사이버 보안 관리 방법이 제공되는데, 위 방법은,
인증 모듈에 의해, 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하는 단계와,
위 인증 모듈에 의해, 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신하는 단계(위 서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)와,
위 인증 모듈에 의해 위 지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여, 위 보안 정책 제어기에 의해 전달된 위 네트워크 슬라이스 보안 정책을 검색하고, 위 지정된 보안 정책에 따라 보안 구성을 판정하는 단계와,
위 인증 모듈에 의해, 서비스 요청 응답을 위 AN에 발신하는 단계(위 서비스 요청 응답은 위 보안 구성을 반송함)를 포함할 수 있다.
제6 측면을 참조하여, 제1 가능한 구현에서, 위 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
위 서비스 요청은 위 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
위 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하는 단계와,
위 UE의 위 보안 능력, 위 AN의 보안 능력 및 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보와 위 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 단계와,
위 키와, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하는 단계를 포함한다.
제6 측면을 참조하여, 제2 가능한 구현에서, 위 지정된 보안 정책은 키 정보를 포함하고,
위 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며, 위 키와, 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하는 단계를 포함한다.
제6 측면을 참조하여, 제3 가능한 구현에서, 위 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
위 서비스 요청은 위 사용자 장비(User Equipment: UE)의 위 보안 능력을 또한 반송하며,
위 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
위 UE의 위 보안 능력, 위 AN의 보안 능력 및 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보와 위 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 단계와,
위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하는 단계를 포함한다.
제6 측면의 제1 가능한 구현 내지 제6 측면의 제3 가능한 구현 중 임의의 것을 참조하여, 제4 가능한 구현에서, 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 위 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제6 측면 및 제6 측면의 제1 가능한 구현 내지 제4 가능한 구현 중 임의의 것을 참조하여, 제5 가능한 구현에서, 위 인증 모듈은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
제7 측면에 따르면, 사이버 보안 관리 방법이 제공되는데, 위 방법은,
액세스 네트워크(Access Network: AN)에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계(위 제1 서비스 요청은 위 UE의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)와,
위 AN에 의해, 제2 서비스 요청을 인증 모듈에 발신하는 단계(위 제2 서비스 요청은 위 UE가 접속될 위 지정된 네트워크 슬라이스의 위 식별자, 위 AN의 보안 능력 및 위 UE의 위 보안 능력을 반송함)와,
위 AN에 의해, 위 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하는 단계(위 제2 서비스 요청 응답은 위 인증 모듈에 의해 위 지정된 네트워크 슬라이스의 위 식별자, 위 AN의 위 보안 능력 및 위 UE의 위 보안 능력에 기반하여 판정된 제1 보안 구성을 반송함)와,
위 AN에 의해, 위 제1 보안 구성에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 위 UE에 발신하는 단계(위 제1 서비스 요청 응답은 위 제2 보안 구성을 반송함)를 포함할 수 있다.
제7 측면을 참조하여, 제1 가능한 구현에서, 위 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
위 AN에 의해, 위 제1 보안 구성에 기반하여 제2 보안 구성을 판정하는 단계는,
위 AN에 의해, 위 키를 저장하고, 위 제1 보안 구성으로부터 위 암호화 알고리즘의 위 식별자 및 위 무결성 보호 알고리즘의 위 식별자를 획득하며, 위 암호화 알고리즘의 위 식별자 및 위 무결성 보호 알고리즘의 위 식별자에 기반하여 위 제2 보안 구성을 생성하는 단계를 포함한다.
제8 측면에 따르면, 사이버 보안 관리 방법이 제공되는데, 위 방법은,
액세스 네트워크(Access Network: AN)에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계(위 제1 서비스 요청은 위 UE의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)와,
위 AN에 의해, 제2 서비스 요청을 인증 모듈에 발신하는 단계(위 제2 서비스 요청은 위 UE가 접속될 위 지정된 네트워크 슬라이스의 위 식별자를 반송함)와,
위 AN에 의해, 위 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하는 단계와,
위 AN에 의해, 위 UE의 위 보안 능력 및 위 지정된 네트워크 슬라이스의 위 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 위 UE에 발신하는 단계(위 제1 서비스 요청 응답은 위 제2 보안 구성을 반송함)를 포함할 수 있다.
제8 측면을 참조하여, 제1 가능한 구현에서, 위 AN에 의해, 위 UE의 위 보안 능력 및 위 지정된 네트워크 슬라이스의 위 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하는 단계는,
위 AN에 의해, 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 지정된 보안 정책을 판정하는 단계와,
위 AN의 보안 능력, 위 UE의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자에 기반하여 위 제2 보안 구성을 생성하는 단계를 포함한다.
제8 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 위 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제9 측면에 따르면, 사이버 보안 관리 장치가 제공되는데, 위 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(위 제1 서비스 요청은 인증 프로토콜 정보를 반송함)과,
위 수신 유닛에 의해 수신된 위 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하도록 구성된 선택 유닛과,
제2 서비스 요청을 위 선택 유닛에 의해 선택된 위 타겟 인증 모듈에 발신하도록 구성된 발신 유닛을 포함할 수 있다.
제9 측면을 참조하여, 제1 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 선택 유닛은,
위 제1 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜을 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제9 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜을 지원하는 경우,
위 선택 유닛은,
위 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제3 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 선택 유닛은,
위 제1 인증 프로토콜의 위 식별자 및 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 위 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
제9 측면의 제3 가능한 구현을 참조하여, 제4 가능한 구현에서, 하나보다 많은 인증 모듈들이 위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 경우, 위 선택 유닛은,
위 제1 인증 프로토콜 및 위 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제5 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 선택 유닛은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제6 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 선택 유닛은,
위 제2 인증 프로토콜의 위 식별자에 기반하여, 위 적어도 2개의 인증 모듈로부터 위 제2 인증 프로토콜 중 적어도 하나를 지원하고 위 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제7 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
위 선택 유닛은,
위 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 위 UE에 의해 지원되는 위 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 위 적어도 2개의 인증 모듈로부터 위 가장 높은 선택 우선순위를 갖는 위 인증 프로토콜을 지원하는 선택대상 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면의 제5 가능한 구현 내지 제9 측면의 제7 가능한 구현 중 임의의 것을 참조하여, 제8 가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 위 선택 유닛은,
위 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 위 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제9 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 선택 유닛은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제10 가능한 구현에서, 위 인증 프로토콜 정보는 위 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 위 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
위 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
위 선택 유닛은,
위 제3 인증 프로토콜의 위 식별자에 기반하여 위 적어도 2개의 인증 모듈로부터 위 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 위 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 위 제2 인증 모듈들로부터 위 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 위 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
제9 측면을 참조하여, 제11 가능한 구현에서, 위 선택 유닛은 제1 서브유닛 및 제2 서브유닛을 포함하되,
위 제1 서브유닛은, 위 UE에 의해 발신된 위 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 위 제2 서브유닛에 발신하도록 구성되되, 위 인증 모듈 선택 요청은 위 인증 프로토콜 정보를 반송하고,
위 제2 서브유닛은, 위 인증 프로토콜 정보에 기반하여 위 적어도 2개의 인증 모듈로부터 위 타겟 인증 모듈을 선택하고, 위 타겟 인증 모듈의 식별자를 위 제1 서브유닛에 발신하도록 구성되며,
위 제1 서브유닛은 위 타겟 인증 모듈의 위 식별자에 대응하는 위 타겟 인증 모듈에 위 제2 서비스 요청을 발신하도록 또한 구성된다.
제9 측면의 제11 가능한 구현을 참조하여, 제12 가능한 구현에서, 위 제2 서브유닛은 위 선택 유닛에 의해 수행되는 구현 중 임의의 것을 수행하도록 구체적으로 구성된다.
제9 측면 및 제9 측면의 제1 가능한 구현 내지 제10 가능한 구현 중 임의의 것을 참조하여, 제13 가능한 구현에서, 위 선택 유닛은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
제9 측면의 제11 가능한 구현 또는 제9 측면의 제12 가능한 구현을 참조하여, 제13 가능한 구현에서, 위 제1 서브유닛은 AURF이고, 위 제2 서브유닛은 AUSF이다.
제10 측면에 따르면, 사이버 보안 관리 장치가 제공되는데, 위 장치는,
보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하도록 구성된 수신 유닛(여기서 위 수신 유닛은 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신하도록 또한 구성되되, 위 서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)과,
위 지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여 위 수신 유닛에 의해 수신된 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여, 위 보안 정책 제어기에 의해 전달된 위 네트워크 슬라이스 보안 정책을 검색하고, 위 지정된 보안 정책에 따라 보안 구성을 판정하도록 구성된 실행 유닛과,
서비스 요청 응답을 위 AN에 발신하도록 구성된 발신 유닛(위 서비스 요청 응답은 위 실행 유닛에 의해 판정된 위 보안 구성을 반송함)을 포함할 수 있다.
제10 측면을 참조하여, 제1 가능한 구현에서, 위 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
위 서비스 요청은 위 사용자 장비(User Equipment: UE)의 위 보안 능력을 또한 반송하며,
위 실행 유닛은,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며,
위 UE의 위 보안 능력, 위 AN의 보안 능력 및 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보 또는 위 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
위 키와, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제10 측면을 참조하여, 제2 가능한 구현에서, 위 지정된 보안 정책은 키 정보를 포함하고,
위 실행 유닛은,
위 지정된 네트워크 슬라이스의 위 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 위 키 길이에 대응하는 키를 생성하며, 위 키와, 위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제10 측면을 참조하여, 제3 가능한 구현에서, 위 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
위 서비스 요청은 위 사용자 장비(User Equipment: UE)의 위 보안 능력을 또한 반송하며,
위 실행 유닛은,
위 UE의 위 보안 능력, 위 AN의 보안 능력 및 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보 또는 위 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
위 암호화 알고리즘의 식별자 또는 위 무결성 보호 알고리즘의 식별자에 기반하여 위 보안 구성을 생성하고, 위 보안 구성을 위 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
제10 측면의 제1 가능한 구현 내지 제10 측면의 제3 가능한 구현 중 임의의 것을 참조하여, 제4 가능한 구현에서, 위 지정된 보안 정책에 포함된 위 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 위 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제10 측면 및 제10 측면의 제1 가능한 구현 내지 제4 가능한 구현 중 임의의 것을 참조하여, 제5 가능한 구현에서, 위 실행 유닛은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
제11 측면에 따르면, 사이버 보안 관리 장치가 제공되는데, 위 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(위 제1 서비스 요청은 위 UE의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)과,
위 수신 유닛에 의해 수신된 위 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛(위 제2 서비스 요청은 위 UE가 접속될 위 지정된 네트워크 슬라이스의 위 식별자, 위 AN의 보안 능력 및 위 UE의 위 보안 능력을 반송하되, 여기서
위 수신 유닛은 위 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성되되, 위 제2 서비스 요청 응답은 위 인증 모듈에 의해 위 지정된 네트워크 슬라이스의 위 식별자, 위 AN의 위 보안 능력 및 위 UE의 위 보안 능력에 기반하여 판정된 제1 보안 구성을 반송함)과,
위 수신 유닛에 의해 수신된 위 제1 보안 구성에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛(여기서 위 발신 유닛은 제1 서비스 요청 응답을 위 UE에 발신하도록 또한 구성되되, 위 제1 서비스 요청 응답은 위 처리 유닛에 의해 판정된 위 제2 보안 구성을 반송함)을 포함할 수 있다.
제11 측면을 참조하여, 제1 가능한 구현에서, 위 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
위 처리 유닛은,
위 키를 저장하고, 위 제1 보안 구성으로부터 위 암호화 알고리즘의 위 식별자 또는 위 무결성 보호 알고리즘의 위 식별자를 획득하며, 위 암호화 알고리즘의 위 식별자 또는 위 무결성 보호 알고리즘의 위 식별자에 기반하여 위 제2 보안 구성을 생성하도록 구체적으로 구성된다.
제12 측면에 따르면, 사이버 보안 관리 장치가 제공되는데, 위 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(위 제1 서비스 요청은 위 UE의 보안 능력 및 위 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)과,
위 수신 유닛에 의해 수신된 위 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛(위 제2 서비스 요청은 위 UE가 접속될 위 지정된 네트워크 슬라이스의 위 식별자를 반송하되, 여기서
위 수신 유닛은 위 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성됨)과,
위 수신 유닛에 의해 수신된 위 UE의 위 보안 능력 및 위 지정된 네트워크 슬라이스의 위 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛(여기서 위 발신 유닛은 제1 서비스 요청 응답을 위 UE에 발신하도록 또한 구성되되, 위 제1 서비스 요청 응답은 위 처리 유닛에 의해 판정된 위 제2 보안 구성을 반송함)을 포함할 수 있다.
제12 측면을 참조하여, 제1 가능한 구현에서, 위 처리 유닛은,
위 지정된 네트워크 슬라이스의 위 식별자에 기반하여 위 지정된 보안 정책을 판정하고,
위 AN의 보안 능력, 위 UE의 위 보안 능력 및 위 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 위 타겟 암호화 알고리즘의 식별자 또는 위 타겟 무결성 보호 알고리즘의 식별자에 기반하여 위 제2 보안 구성을 생성하도록 구체적으로 구성된다.
제12 측면의 제1 가능한 구현을 참조하여, 제2 가능한 구현에서, 위 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
위 타겟 암호화 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
위 타겟 무결성 보호 알고리즘은 위 UE 및 위 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
제13 측면에 따르면, 네트워크 기능 선택 모듈이 제공되는데, 위 네트워크 기능 선택 모듈은 메모리 및 프로세서를 포함할 수 있고, 위 메모리는 위 프로세서에 연결되되,
위 메모리는 프로그램 코드의 세트를 저장하도록 구성되고,
위 프로세서는 제4 측면에서 제공되는 위 사이버 보안 관리 방법을 수행하기 위해, 위 메모리 내에 저장된 위 프로그램 코드를 호출하도록 구성된다.
제14 측면에 따르면, 네트워크 기능 선택 모듈이 제공되는데, 위 네트워크 기능 선택 모듈은 메모리 및 프로세서를 포함할 수 있고, 위 메모리는 위 프로세서에 연결되되,
위 메모리는 프로그램 코드의 세트를 저장하도록 구성되고,
위 프로세서는 제5 측면에서 제공되는 위 사이버 보안 관리 방법을 수행하기 위해, 위 메모리 내에 저장된 위 프로그램 코드를 호출하도록 구성된다.
제15 측면에 따르면, 인증 모듈이 제공되는데, 위 인증 모듈은 메모리 및 프로세서를 포함할 수 있고, 위 메모리는 위 프로세서에 연결되되,
위 메모리는 프로그램 코드의 세트를 저장하도록 구성되고,
위 프로세서는 제6 측면에서 제공되는 위 사이버 보안 관리 방법을 수행하기 위해, 위 메모리 내에 저장된 위 프로그램 코드를 호출하도록 구성된다.
제16 측면에 따르면, 액세스 네트워크가 제공되는데, 위 액세스 네트워크는 메모리 및 프로세서를 포함할 수 있고, 위 메모리는 위 프로세서에 연결되되,
위 메모리는 프로그램 코드의 세트를 저장하도록 구성되고,
위 프로세서는 제7 측면에서 제공되는 위 사이버 보안 관리 방법을 수행하기 위해, 위 메모리 내에 저장된 위 프로그램 코드를 호출하도록 구성된다.
제17 측면에 따르면, 네트워크 기능 선택 모듈이 제공되는데, 위 네트워크 기능 선택 모듈은 메모리 및 프로세서를 포함할 수 있고, 위 메모리는 위 프로세서에 연결되되,
위 메모리는 프로그램 코드의 세트를 저장하도록 구성되고,
위 프로세서는 제8 측면에서 제공되는 위 사이버 보안 관리 방법을 수행하기 위해, 위 메모리 내에 저장된 위 프로그램 코드를 호출하도록 구성된다.
본 발명은 사이버 보안 관리 시스템, 방법 및 장치를 개시함을 이상으로부터 알 수 있다. 시스템은 UE, AN, 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함한다. UE는 제1 서비스 요청을 네트워크 기능 선택 모듈에 발신하도록 구성되되, 제1 서비스 요청은 인증 프로토콜 정보를 반송한다. 네트워크 기능 선택 모듈은, 인증 프로토콜 정보에 기반하여 타겟 인증 모듈을 선택하고, 제2 서비스 요청을 타겟 인증 모듈에 발신하도록 구성된다. 타겟 인증 모듈은 UE와의 상호 인증을 수행하도록 구성된다. 타겟 인증 모듈은, 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제1 보안 구성을 AN에 발신하도록 또한 구성된다. AN은, 제1 보안 구성 또는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제2 보안 구성을 UE에 발신하도록 구성된다. 본 발명에서 제공되는 기술적 해결안에 따르면, 네트워크의 상이한 인증 프로토콜 및 보안 정책 보안 요구가 충족될 수 있는바, 이로써 사이버 보안을 개선한다.
본 발명의 실시예에서의 또는 선행 기술에서의 기술적 해결안을 더욱 명확히 설명하기 위해, 이하는 실시예 또는 선행 기술을 설명하기 위해 요구되는 첨부된 도면을 간략히 서술한다. 명백히, 이하의 설명에서의 첨부된 도면은 단지 본 발명의 일부 실시예를 도시하며, 통상의 기술자는 창조적 노력 없이 이들 첨부된 도면으로부터 다른 도면을 여전히 도출할 수 있다.
도 1은 4G 전용 코어 네트워크의 개략적인 아키텍처 도해이고,
도 2는 본 발명의 실시예에 따른 5G 네트워크 슬라이스의 개략적인 아키텍처 도해이며,
도 3은 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 개략적인 구조도이고,
도 4는 본 발명의 실시예에 따른 관리 시스템에서 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 개략적인 상호작용 도해이며,
도 5는 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 개략적인 상호작용 도해이고,
도 6은 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 다른 개략적인 상호작용 도해이며,
도 7은 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 다른 개략적인 상호작용 도해이고,
도 8은 본 발명의 실시예에 따른 관리 시스템에 의해 보안 정책을 실행하는 것의 개략적인 상호작용 도해이며,
도 9는 본 발명의 실시예에 따른 관리 시스템에 의해 보안 정책을 실행하는 것의 다른 개략적인 상호작용 도해이고,
도 10a, 도 10b 및 도 10c는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 개략적인 상호작용 도해이며,
도 11은 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이고,
도 12는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이며,
도 13은 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이고,
도 14는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이며,
도 15는 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 다른 개략적인 구조도이고,
도 16은 본 발명의 실시예에 따른 관리 시스템에서 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 개략적인 상호작용 도해이며,
도 17은 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 다른 개략적인 구조도이고,
도 18은 본 발명의 실시예에 따른 관리 시스템에서 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 다른 개략적인 상호작용 도해이며,
도 19는 본 발명의 실시예에 따른 사이버 보안 관리 방법의 개략적인 흐름도이고,
도 20은 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이며,
도 21은 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이고,
도 22는 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이며,
도 23은 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이고,
도 24는 본 발명의 실시예에 따른 사이버 보안 관리 장치의 개략적인 구조도이고,
도 25는 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이고,
도 26은 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이며,
도 27은 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이다.
이하는 본 발명의 실시예에서의 첨부된 도면을 참조하여 본 발명의 실시예에서의 기술적 해결안을 명확하고 완전하게 기술한다. 명백히, 기술된 실시예는 본 발명의 실시예의 전부가 아니라 일부일 뿐이다. 창조적 노력 없이 본 발명의 실시예에 기반하여 통상의 기술자에 의해 획득되는 모든 다른 실시예는 본 발명의 보호 범위 내에 속할 것이다.
도 2는 본 발명의 실시예에 따른 5G 네트워크 슬라이스의 개략적인 아키텍처 도해이다. 도 2에 도시된 바와 같이, 5G 네트워크 슬라이스(줄여서, 슬라이스)의 아키텍처에서, 모든 슬라이스는 액세스 네트워크((영문: Access Network, AN) 또는 (영문: Radio Access Network, RAN), 여기서 이하는 설명을 위한 예로서 AN을 사용함)와, 슬라이스 선택 기능(영문: Slice Selection Function, SSF)을 공유한다. 일부 슬라이스는 하나의 제어 평면(영문: Control Plane, CP) 네트워크 기능(영문: Network Function, NF)을 공유하고, CP NF는 일부 슬라이스에 전속적이다. 예컨대, 슬라이스 A 및 슬라이스 B는 하나의 CP NF 1을 공유하는데, 다시 말해, 슬라이스 A의 CP NF 및 슬라이스 B의 CP NF는 동일한 CP NF이다. CP NF 2는 슬라이스 C에 전속적이다. 각각의 슬라이스는 사용자 평면(영문: User Plane, UP) NF를 더 포함한다. 각각의 CP NF는 하나의 AU를 포함하고, 복수의 슬라이스에 의해 공유되는 CP NF에 포함된 AU는 그 복수의 슬라이스를 서빙하며(serve), 하나의 슬라이스에 전속적인 CP NF 내의 AU는 그 슬라이스만을 서빙한다. 예컨대, CP NF 1에 포함된 AU 1은 슬라이스 A 및 슬라이스 B를 서빙하고, CP NF 2에 포함된 AU 2는 슬라이스 C를 서빙한다.
선행 기술에서, UE를 위해 AU를 선택하는 경우에, 네트워크는 어느 AU가 UE가 접속될 슬라이스를 서빙하는지를 고려할 수 있고, 이후 UE를 서빙할 AU를 선택할 수 있다. 또한, UE가 접속될 슬라이스가 복수의 AU에 의해 서빙되는 경우, 복수의 AU 각각의 로드 상태에 기반하여 AU 중 하나가 선택되어, UE를 서빙할 수 있다. 선행 기술에서, AU 선택 동안에, UE에 의해 지원되는 인증 프로토콜 또는 알고리즘과 같은 정보가 고려되지 않으며, 관련 설계가 결여되어 있어, AU 선택의 낮은 정확도 및 낮은 선택 효율성을 야기한다. 그러므로, 사이버 보안이 더 양호하게 보장될 수 없다.
본 발명의 실시예에서 제공되는 AU 선택 방안에서, UE를 서빙하는 AU는 UE에 의해 지원되는 인증 프로토콜에 따라 선택될 수 있거나, UE를 서빙하는 AU는 UE에 의해 지원되는 인증 프로토콜, 또는 UE가 접속될 슬라이스 및 선택대상(to-be-selected) AU의 로드 상태와 같은 정보에 따라 선택될 수 있는바, 이로써 AU 선택 정확도를 개선한다. 또한, 선택된 AU를 사용함으로써 UE의 접속 요청(attach request) 또는 새 서비스 요청(new service request), 슬라이스 보안 정책 및 유사한 것이 실행될 수 있는바, 이로써 사이버 보안을 개선한다. 도 3 내지 도 27을 참조하여, 이하는 본 발명의 실시예에서 제공되는 사이버 보안 관리 시스템, 방법 및 장치를 기술한다.
도 3은 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 개략적인 구조도이다. 본 발명의 이 실시예에서 제공되는 관리 시스템은 도 2에 도시된 네트워크 아키텍처의 보안 관리를 구현하도록 구성될 수 있다. 다시 말해, 본 발명의 이 실시예에서 제공되는 관리 시스템은 복수의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리를 구현하도록 구성될 수 있다. 본 발명의 이 실시예에서 제공되는 관리 시스템은 UE, AN, 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함할 수 있다. 적어도 2개의 인증 모듈은 복수의 슬라이스에 의해 공유된 인증 모듈을 포함하고, 단일 슬라이스에 전속적인 인증 모듈을 또한 포함한다. 대안적으로, 적어도 2개의 인증 모듈 각각은 복수의 슬라이스에 의해 공유된 인증 모듈이거나, 단일 슬라이스에 전속적인 인증 모듈일 수 있다. 복수의 공유된 인증 모듈이 있을 수 있고, 각각의 공유된 인증 모듈은 적어도 2개의 슬라이스를 서빙한다. 복수의 전속적인 인증 모듈이 또한 있을 수 있고, 각각의 전속적인 인증 모듈은 하나의 슬라이스를 서빙한다. 구체적인 구현 동안에, 인증 모듈의 수량 및 인증 모듈에 의해 서빙되는 슬라이스의 분포 상태가 실제의 적용 시나리오에 기반하여 정해질 수 있고, 이것은 여기에서 한정되지 않는다.
본 발명의 이 실시예에서, 네트워크 기능 선택 모듈은 AU 선택 기능(영문: AU Selection Function, AUSF), AU 라우팅 기능(영문: AU Routing Function, AURF), SSF, 이동성 관리(영문: Mobility Management, MM) 및 유사한 것을 포함할 수 있다. 세부사항은 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
본 발명의 이 실시예에서, 인증 모듈은 AU, 프론트 엔드(front-end), 액세스 제어 에이전트(영문: Access Control Agent, ACA) 및 유사한 것을 포함할 수 있다. 세부사항은 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
도 4는 본 발명의 실시예에 따른 관리 시스템에서 (UE, AN, 네트워크 기능 선택 모듈 및 인증 모듈을 포함하는) 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 개략적인 상호작용 도해이다. 도 3에 도시된 시스템이 사이버 보안 관리를 구현하는 프로세스는 이하의 단계를 포함할 수 있다.
401. UE는 제1 서비스 요청을 네트워크 기능 선택 모듈에 발신한다.
몇몇 실현가능한 구현에서, 제1 서비스 요청은 구체적으로 UE가 슬라이스에 접속될 것을 요청하는 접속 요청일 수 있다. 대안적으로, 제1 서비스 요청은 UE가 슬라이스에 접속되었고 새 서비스 요청을 사용함으로써 다른 슬라이스에 접속될 것을 기대하는 경우에 UE에 의해 발신되는 새 서비스 요청일 수 있다. 접속 요청 또는 새 서비스 요청은 인증 프로토콜 정보를 반송한다(carry). 인증 프로토콜 정보는 UE에 의해 지원되는 하나 이상의 인증 프로토콜의 식별자, 또는 UE에 의해 지원되는 복수의 인증 프로토콜 각각의 선택 우선순위와 같은 정보를 포함한다. 접속 요청 또는 새 서비스 요청은 UE가 접속될 슬라이스의 식별자 및 유사한 것을 또한 반송할 수 있다. 세부사항은 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다. 제1 서비스 요청의 유형 및 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보는 구체적으로 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
402. 네트워크 기능 선택 모듈은 인증 프로토콜 정보에 기반하여 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택한다.
403. 네트워크 기능 선택 모듈은 제2 서비스 요청을 타겟 인증 모듈에 발신한다.
몇몇 실현가능한 구현에서, UE에 의해 발신된 제1 서비스 요청을 수신한 후에, 네트워크 기능 선택 모듈은 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보에 기반하여 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 인증 프로토콜이 UE에 의해 지원되는 하나의 인증 프로토콜(예컨대, 제1 인증 프로토콜)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜의 식별자에 기반하여, 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 하나보다 많은 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 제1 서비스 요청이 UE가 접속될 슬라이스(곧, 지정된 네트워크 슬라이스)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 타겟 인증 모듈은 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 인증 모듈이다. 구체적으로, 네트워크 기능 선택 모듈은 제1 인증 프로토콜의 식별자에 기반하여 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 우선 선택할 수 있다. 하나보다 많은 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 지정된 네트워크 슬라이스의 식별자에 기반하여, 제1 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 UE가 접속될 슬라이스와 연관된 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. UE가 접속될 슬라이스와 연관된 인증 모듈은 슬라이스를 서빙하는 인증 모듈일 수 있다. 추가로, 대안적으로, 네트워크 기능 선택 모듈은 지정된 네트워크 슬라이스의 식별자에 기반하여 복수의 인증 모듈로부터 지정된 네트워크 슬라이스를 지원하는 인증 모듈을 우선 선택할 수 있다. 하나보다 많은 인증 모듈들이 지정된 네트워크 슬라이스를 지원하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜에 따라, 지정된 네트워크 슬라이스를 지원하는 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 또한, 대안적으로, 네트워크 기능 선택 모듈은 동시에 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 선택 프로세스에서의 인증 모듈 선별 방식은 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
또한, 몇몇 실현가능한 구현에서, 하나보다 많은 타겟 인증 모듈들이 제1 인증 프로토콜의 식별자에 기반하여 또는 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 선택되는 경우, 네트워크 기능 선택 모듈은, 각각의 선택된 선택대상 타겟 인증 모듈의 로드 상태에 기반하여, 복수의 선택된 선택대상 타겟 인증 모듈로부터 가장 작은 로드를 갖는 인증 모듈을 최종적으로 선택된 타겟 인증 모듈로서 선택할 수 있다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보가 UE에 의해 지원되는 복수의 인증 프로토콜(각각의 인증 프로토콜은, 예컨대, 제2 인증 프로토콜임)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, UE에 의해 지원되는 제2 인증 프로토콜의 식별자에 기반하여, 네트워크에 포함된 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 시스템에 포함된 복수의 인증 모듈 중 오직 하나가 UE에 의해 지원되는 인증 프로토콜이 지원하는 경우, 인증 모듈은 타겟 인증 모듈로서 판정될 수 있다. 네트워크에 포함된 복수의 인증 모듈이 UE에 의해 지원되는 인증 프로토콜 중 하나를 지원하는 복수의 인증 모듈을 포함하는 경우, 가장 작은 로드를 갖는 인증 모듈이 그 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 타겟 인증 모듈로서 선택될 수 있다. 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은 각각의 인증 프로토콜의 선택 우선순위 또는 각각의 인증 모듈의 로드 상태에 기반하여 복수의 상이한 인증 모듈로부터 타겟 인증 모듈을 선택한다.
몇몇 실현가능한 구현에서, 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, UE에 의해 지원되는 복수의 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정할 수 있고, 그러면 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 하나보다 많은 선택대상 인증 모듈들이 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 경우, 가장 작은 로드를 갖는 인증 모듈이, 각각의 선택대상 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 타겟 인증 모듈로서 선택될 수 있다.
몇몇 실현가능한 구현에서, 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은 직접적으로, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 몇몇 실현가능한 구현에서, 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보는 UE에 의해 지원되는 복수의 인증 프로토콜(각각의 인증 프로토콜은, 예컨대, 제3 인증 프로토콜일 수 있음)의 식별자 및 각각의 제3 인증 프로토콜의 선택 우선순위를 포함할 수 있다. 네트워크 기능 선택 모듈은, UE에 의해 지원되는 제3 인증 프로토콜의 식별자에 기반하여, 시스템에 포함된 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 시스템에 포함된 복수의 인증 모듈 중 오직 하나가 UE에 의해 지원되는 인증 프로토콜을 지원하는 경우, 인증 모듈은 타겟 인증 모듈로서 판정될 수 있다. 시스템에 포함된 복수의 인증 모듈이 UE에 의해 지원되는 제3 인증 프로토콜 중 하나를 지원하는 복수의 인증 모듈을 포함하는 경우, 가장 작은 로드를 갖는 인증 모듈이 제3 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 타겟 인증 모듈로서 선택될 수 있다. 시스템에 포함된 복수의 인증 모듈이 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 시스템에 포함된 복수의 인증 모듈이 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜(예컨대, 제4 인증 프로토콜)을 지원하는 인증 모듈을 타겟 인증 모듈로서 또한 선택할 수 있다. 하나보다 많은 인증 모듈들이 제4 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 몇몇 실현가능한 구현에서, 제1 서비스 요청은 UE가 접속될 슬라이스의 식별자 외에도 더 많은 슬라이스 정보를 반송할 수 있고, 슬라이스 정보는 구체적으로 슬라이스 유형, 슬라이스에 의해 지원되는 서비스 유형, 슬라이스 차용자(tenant) 식별자, 또는 유사한 것을 포함할 수 있다. 인증 프로토콜 정보에 기반하여 타겟 인증 모듈을 선택하는 프로세스에서, 네트워크 기능 선택 모듈은 슬라이스 정보를 참조하여 종합적인 선택을 또한 수행할 수 있고, 이것은 여기에서 한정되지 않는다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈을 선택한 후에, 네트워크 기능 선택 모듈은 제2 서비스 요청을 타겟 인증 모듈에 발신할 수 있다. 상응하여, 제2 서비스 요청은 또한 접속 요청 또는 새 서비스 요청일 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈이 오직 하나의 인증 프로토콜을 지원하는 경우, 타겟 인증 모듈에 발신되는 제2 서비스 요청은 인증 프로토콜 정보를 반송할 필요가 없고, UE의 식별자, UE가 접속될 슬라이스에 대한 정보, 또는 유사한 것을 반송할 수 있다. 타겟 인증 모듈이 복수의 인증 프로토콜을 지원할 수 있는 경우, 제2 서비스 요청은, 타겟 인증 모듈의 선택 동안에 사용되고 UE 및 타겟 인증 모듈 양자 모두에 의해 지원되는 인증 프로토콜의 것인 식별자를 반송할 수 있다. 선택적으로, 제2 서비스 요청은 UE의 식별자, UE가 접속될 슬라이스에 대한 정보, 또는 유사한 것을 반송할 수 있고, 이것은 여기에서 한정되지 않는다.
404. 타겟 인증 모듈은 제2 서비스 요청을 수신하고, UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈이 오직 하나의 인증 프로토콜을 지원하는 경우, 타겟 인증 모듈은 그 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 직접적으로 수행할 수 있다. 타겟 인증 모듈이 복수의 인증 프로토콜을 지원할 수 있는 경우, 타겟 인증 모듈은 네트워크 기능 선택 모듈에 의해 발신된 제2 서비스 요청을 수신하고, UE 및 타겟 인증 모듈 양자 모두에 의해 지원되고 제2 서비스 요청 내에서 반송되는 인증 프로토콜에 따라 UE와의 상호 인증을 수행할 수 있다. 구체적인 구현 동안에, 제2 서비스 요청은 UE의 식별자, 예컨대, UE의 아이덴티티(영문: Identity, ID)를 또한 반송할 수 있고, 이것은 여기에서 한정되지 않는다. 인증 모듈이 UE의 ID 또는 슬라이스 정보를 사용함으로써 UE와의 상호 인증을 구현하는 구현에 대하여, 5G 프레임워크에서의 시스템 상호작용의 기존 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
본 발명의 이 실시예에서, 네트워크 기능 선택 모듈은, UE에 의해 지원되는 인증 프로토콜에 대한 정보에 기반하여, UE에 의해 지원되는 인증 프로토콜을 인증 모듈을 선택할 수 있고, 이후 인증 모듈은 UE와의 상호 인증을 수행할 수 있는바, 이로써 인증 모듈 선택 정확도 및 사이버 보안을 개선한다.
도 5 내지 도 7을 참조하여, 이하는 본 발명의 이 실시예에서 제공되는 관리 시스템이 상이한 적용 시나리오에서 인증 모듈 선택을 구현하는 구현예를 기술한다.
몇몇 실현가능한 구현에서, 도 5는 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 개략적인 상호작용 도해이다. 도 5에서, AURF는 설명을 위해 네트워크 기능 선택 모듈의 예로서 사용되고, AU는 설명을 위해 인증 모듈의 예로서 사용되며, 접속 요청은 설명을 위해 제1 서비스 요청의 예로서 사용된다. 도 5에 도시된 관리 시스템에서 제공되는 AU 선택 프로세스는 이하의 단계를 포함한다.
501. UE는 접속 요청을 AURF에 발신한다.
몇몇 실현가능한 구현에서, UE는 오직 하나의 인증 프로토콜을 지원하고, UE에 의해 AURF에 발신되는 접속 요청은 UE에 의해 지원되는 인증 프로토콜의 식별자를 반송할 수 있다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 슬라이스 정보는 슬라이스 유형, 슬라이스에 의해 지원되는 서비스 유형, 슬라이스 차용자 식별자 또는 유사한 것을 포함할 수 있고, 이것은 여기에서 한정되지 않는다.
502. AURF는 접속 요청 내에서 반송되는 인증 프로토콜 식별자와 같은 정보에 기반하여 타겟 AU를 선택한다.
몇몇 실현가능한 구현에서, UE에 의해 발신된 접속 요청을 수신한 후에, AURF는 접속 요청 내에서 반송되는 인증 프로토콜 식별자에 기반하여 타겟 AU를 선택할 수 있거나, 접속 요청 내에서 반송되는 슬라이스 정보 또는 시스템 내의 선택대상 AU 각각의 로드 상태를 참조하여 타겟 AU를 선택할 수 있다. 구체적인 선택 방식에 대하여, 단계(S402)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
503. AURF는 접속 요청을 타겟 AU에 발신한다.
몇몇 실현가능한 구현에서, 타겟 AU를 판정한 후에, AURF는 접속 요청을 타겟 AU에 발신할 수 있다. 선택적으로, 타겟 AU가 복수의 인증 프로토콜을 지원할 수 있는 경우, AURF는 UE에 의해 지원되는 인증 프로토콜의 식별자를 접속 요청에 추가할 수 있어서, 타겟 AU는 UE와의 상호 인증을 수행할 수 있다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 세부사항에 대하여, 단계(S402)에서 기술된 구현을 참조하고, 이것은 여기에서 한정되지 않는다.
504. AU는 UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, AURF에 의해 발신된 접속 요청을 수신한 후에, AU는 UE와의 상호 인증을 수행할 수 있다. AU가 복수의 인증 프로토콜을 지원하는 경우, AU는 UE에 의해 지원되는 인증 프로토콜을 접속 요청에 따라 판정하고, 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행할 수 있다. 인증 프로토콜을 사용함으로써 AU가 UE와의 상호 인증을 수행하는 구체적인 구현에 대하여, 기존의 5G 네트워크 시스템에서 제공되는 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
본 발명의 이 실시예에서, AURF는 UE에 의해 지원되는 인증 프로토콜에 따라 타겟 AU를 선택할 수 있는바, 이로써 AU 선택 정확도, AU 선택 효율성 및 사이버 보안을 개선한다.
몇몇 실현가능한 구현에서, 도 6은 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 다른 개략적인 상호작용 도해이다. 도 6에서, AURF는 설명을 위해 네트워크 기능 선택 모듈의 예로서 사용되고, AU는 설명을 위해 인증 모듈의 예로서 사용되며, 접속 요청은 설명을 위해 제1 서비스 요청의 예로서 사용된다. 도 6에 도시된 관리 시스템에서 제공되는 AU 선택 프로세스는 이하의 단계를 포함한다.
601. UE는 접속 요청을 AURF에 발신한다.
몇몇 실현가능한 구현에서, UE에 의해 AURF에 발신되는 접속 요청은 UE에 의해 사용될 인증 프로토콜에 대한 선호를 반송할 수 있다. 인증 프로토콜에 대한 선호는 UE에 의해 지원되는 복수의 인증 프로토콜의 식별자와, UE에 의해 선호되는 인증 프로토콜의 선택 우선순위의 지시 정보(indication information)를 포함한다. UE에 의해 선호되는 인증 프로토콜의 선택 우선순위의 지시 정보는 구체적으로 UE에 의해 지원되는 복수의 인증 프로토콜 각각의 선택 우선순위일 수 있다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 이것은 여기에서 한정되지 않는다.
602. AURF는 접속 요청 내에서 반송되는 인증 프로토콜에 대한 선호와 같은 정보에 기반하여 타겟 AU를 선택한다.
몇몇 실현가능한 구현에서, UE에 의해 발신된 접속 요청을 수신한 후에, AURF는 접속 요청 내에서 반송되는, 인증 프로토콜 식별자 또는 선택 우선순위와 같은, 정보에 기반하여 타겟 AU를 선택할 수 있다. 또한, AURF는 접속 요청 내에서 반송되는 슬라이스 정보 또는 네트워크 내의 선택대상 AU 각각의 로드 상태에 기반하여 타겟 AU를 선택할 수 있다. 구체적인 선택 방식에 대하여, 단계(S402)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
또한, 몇몇 실현가능한 구현에서, 접속 요청이 복수의 인증 프로토콜의 식별자를 반송하는 경우, AURF는 네트워크 내에 설정된, 각각의 인증 프로토콜의 선택 우선순위에 기반하여 그리고 복수의 AU에 의해 지원되는 인증 프로토콜을 참조하여 선택대상 AU로부터 타겟 AU를 선택할 수 있다. 구체적인 선택 방식에 대하여, 단계(S402)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
603. AURF는 AU 선택 확인(acknowledgement) 메시지를 UE에 발신한다.
몇몇 실현가능한 구현에서, UE가 복수의 인증 프로토콜을 지원하는 경우, AURF가 UE에 의해 지원되는 인증 프로토콜, 각각의 AU에 의해 지원되는 인증 프로토콜, 각각의 AU의 로드 상태 및 슬라이스 정보와 같은 정보에 기반하여 타겟 AU를 선택한 후에, AURF는 선택된 타겟 AU에 의해 지원되는 인증 프로토콜의 식별자를 UE에 확인 메시지를 사용하여 발신할 수 있다. 확인 메시지를 수신한 후에, UE는, 확인 메시지 내에서 반송되는 인증 프로토콜 식별자에 기반하여, AURF가 타겟 AU를 선택할 때에 사용된 인증 프로토콜, 즉, UE 및 AU 양자 모두에 의해 지원되는 인증 프로토콜을 판정할 수 있다.
구체적인 구현 동안에, AURF에 의해 UE에 발신된 확인 메시지의 동작 방식은 선택적인 구현이며, 구체적으로 실제의 적용 시나리오에 기반하여 정해질 수 있음에 유의하여야 한다. 구체적으로, 대안적으로, AURF가 타겟 AU를 선택할 때에 사용된 인증 프로토콜을 알기 위해, UE는 AU가 UE와의 인증을 수행하는 경우에 AU에 의해 발신된 제1 메시지 내에서 반송되는 지시 정보를 사용함으로써 인증 프로토콜을 판정할 수 있다. 지시 정보의 구체적인 형태는 실제의 적용 시나리오에 기반하여 정해질 수 있다. 이것은 여기에서 한정되지 않는다.
604. AURF는 접속 요청을 타겟 AU에 발신한다.
몇몇 실현가능한 구현에서, 타겟 AU를 판정한 후에, AURF는 인증 프로토콜 식별자를 접속 요청에 추가하고, 접속 요청을 타겟 AU에 발신할 수 있는바, 타겟 AU는 UE와의 상호 인증을 수행한다. 접속 요청 내에서 반송되는 인증 프로토콜 식별자는, UE에 의해 지원되는 복수의 인증 프로토콜 중 하나의 것이고 AURF가 타겟 AU를 선택하는 경우에 사용되는 식별자이며, 그 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행할 것을 AU에 명령하기 위해 사용된다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 이것은 여기에서 한정되지 않는다.
605. AU는 UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, AURF에 의해 발신된 접속 요청을 수신한 후에, AU는 UE와의 상호 인증을 수행할 수 있다. AU가 복수의 인증 프로토콜을 지원하는 경우, AU는, 접속 요청에 따라, UE에 의해 지원되는 인증 프로토콜을 판정하고, 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행할 수 있다. 인증 프로토콜을 사용함으로써 AU가 UE와의 상호 인증을 수행하는 구체적인 구현에 대하여, 기존의 5G 네트워크 시스템에서 제공되는 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
본 발명의 이 실시예에서, AURF는 UE에 의해 지원되는 복수의 인증 프로토콜, 인증 프로토콜 각각의 선택 우선순위, 네트워크 내에 설정된 인증 프로토콜 선택 우선순위, 슬라이스 정보, AU 로드 및 유사한 것에 기반하여 타겟 AU를 선택할 수 있는바, 이로써 AU 선택 유연성, AU 선택 정확도, AU 선택 효율성 및 사이버 보안을 개선한다.
몇몇 실현가능한 구현에서, 도 7은 본 발명의 실시예에 따른 관리 시스템에 의해 AU 선택을 구현하는 것의 다른 개략적인 상호작용 도해이다. 도 7에서, 네트워크 기능 선택 모듈은 제1 서브모듈 및 제2 서브모듈을 포함할 수 있다. AURF는 설명을 위해 제1 서브모듈의 예로서 사용되고, AUSF는 설명을 위해 제2 서브모듈의 예로서 사용되며, AU는 설명을 위해 인증 모듈의 예로서 사용되고, 접속 요청은 설명을 위해 제1 서비스 요청의 예로서 사용된다. 도 7에 도시된 관리 시스템에서 제공되는 AU 선택 프로세스는 이하의 단계를 포함한다.
701. UE는 접속 요청을 AURF에 발신한다.
몇몇 실현가능한 구현에서, UE에 의해 AURF에 발신된 접속 요청은 인증 프로토콜 정보를 반송할 수 있다. 인증 프로토콜 정보는 UE에 의해 지원되는 단일 인증 프로토콜의 식별자를 포함할 수 있거나, UE에 의해 지원되는 복수의 인증 프로토콜의 식별자와, UE에 의해 지원되는 인증 프로토콜의 선택 우선순위의 지시 정보와 같은 정보를 포함할 수 있다. UE에 의해 지원되는 인증 프로토콜의 선택 우선순위의 지시 정보는 구체적으로 UE에 의해 지원되는 복수의 인증 프로토콜 각각의 선택 우선순위일 수 있다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 이것은 여기에서 한정되지 않는다. 세부사항에 대하여, 단계(S401)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
702. UE에 의해 발신된 접속 요청을 수신한 후에, AURF는 AU를 선택하도록 AUSF에 요청한다.
몇몇 실현가능한 구현에서, UE에 의해 발신된 접속 요청을 수신한 후에, AURF는 AU 선택 요청을 AURF와 연관된 AUSF에 발신할 수 있다. 5G 네트워크에서, 하나의 AUSF가 복수의 AURF를 서빙할 수 있고, AUSF는 AU를 선택하기 위해 사용된다. AU가 네트워크에서 1만큼 증가되거나 감소되는 경우에, 네트워크는 AU 증가 또는 감소 메시지를 AUSF에 통지할 필요가 있을 뿐이다. AURF가 AU를 관리하는 경우, 네트워크는 AU 증가 또는 감소 메시지를 각각의 AURF에 통지할 필요가 있다. 하나의 AUSF가 복수의 AURF를 관리할 수 있기 때문에, AU 증가 또는 감소 메시지를 각각의 AUSF에 통지하는 것은 AU 증가 또는 감소 메시지를 각각의 AURF에 직접적으로 통지하는 것보다 더 적은 시그널링을 차지하고, 따라서 네트워크의 처리 효율이 더 높다.
703. AUSF는 인증 프로토콜 정보에 기반하여 타겟 AU를 선택한다.
몇몇 실현가능한 구현에서, AURF에 의해 발신된 AU 선택 요청을 수신한 후에, AUSF는 AU 선택 요청 내에서 반송되는 인증 프로토콜 식별자, 선택 우선순위, 슬라이스 정보 및 유사한 것에 기반하여 타겟 AU를 선택할 수 있다. 또한, AURF는 네트워크 내의 선택대상 AU 각각의 로드 상태에 기반하여 타겟 AU를 선택할 수 있다. AUSF에 의해 AU를 선택하는 것의 구체적인 구현에 대하여, 단계(S402)에서 기술된 네트워크 기능 모듈에 의해 AU를 선택하는 것의 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다. 도 7에 도시된 시스템 구조에서, AU는 AUSF에 의해 선택될 수 있고, AURF는 접속 메시지를 발신하도록 구성될 수 있다.
704. AUSF는 선택된 타겟 AU의 식별자를 AURF에 발신한다.
몇몇 실현가능한 구현에서, 타겟 AU를 선택한 후에, AUSF는 선택된 타겟 AU의 식별자를 AURF에 발신할 수 있는데, AURF를 사용함으로써 타겟 AU에 UE의 접속 메시지를 발신하기 위함이다.
705. AURF는 접속 요청을 타겟 AU에 발신한다.
몇몇 실현가능한 구현에서, AUSF에 의해 발신된 타겟 AU의 식별자에 기반하여 타겟 AU를 판정한 후에, AURF는 인증 프로토콜 식별자를 접속 요청에 추가하고, 접속 요청을 타겟 AU에 발신할 수 있는바, 타겟 AU는 UE와의 상호 인증을 수행한다. 접속 요청 내에서 반송되는 인증 프로토콜 식별자는 UE에 의해 지원되는 복수의 인증 프로토콜 중의 하나의 인증 프로토콜의 식별자이고 AUSF가 타겟 AU를 선택하는 경우에 사용되는 것이며, 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행하도록 AU에 명령하기 위해 사용된다. 접속 요청은 UE의 ID, 슬라이스 정보 및 유사한 것을 또한 반송할 수 있다. 이것은 여기에서 한정되지 않는다.
706. AU는 UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, AURF에 의해 발신된 접속 요청을 수신한 후에, AU는 UE와의 상호 인증을 수행할 수 있다. AU가 복수의 인증 프로토콜을 지원하는 경우, AU는, 접속 요청에 따라, UE에 의해 지원되는 인증 프로토콜을 판정하고, 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행할 수 있다. 인증 프로토콜을 사용함으로써 AU가 UE와의 상호 인증을 수행하는 구체적인 구현에 대하여, 기존의 5G 네트워크 시스템에서 제공되는 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
본 발명의 이 실시예에서, AURF는 UE에 의해 지원되는 복수의 인증 프로토콜, 인증 프로토콜 각각의 선택 우선순위, 네트워크 내에 설정된 인증 프로토콜 선택 우선순위, 슬라이스 정보, AU 로드 및 유사한 것에 기반하여 타겟 AU를 선택할 것을 AUSF에 요청할 수 있는바, 이로써 AU 선택 유연성을 개선하고, 네트워크의 시그널링 오버헤드를 감소시키며, AU 선택 정확도, 네트워크의 실행 효율 및 사이버 보안을 개선한다.
405. 타겟 인증 모듈은 UE가 접속될 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정한다.
406. 타겟 인증 모듈은 제2 서비스 요청 응답을 AN에 발신한다.
407. AN은 제1 보안 구성 또는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정한다.
408. AN은 제1 서비스 요청 응답을 UE에 발신한다.
몇몇 실현가능한 구현에서, 본 발명의 이 실시예에서 제공되는 관리 시스템은 보안 정책 제어기를 더 포함할 수 있다. 보안 정책 제어기는 시스템에 포함된 각각의 네트워크 슬라이스의 보안 정책을 인증 모듈 또는 AN에 전달하도록 구성된다. 구체적인 구현 동안에, 본 발명의 이 실시예에서 제공되는 관리 시스템에서, UE가 접속될 슬라이스의 보안 정책은 타겟 인증 모듈에 의해 실행될 수 있거나, UE가 접속될 슬라이스의 보안 정책은 타겟 인증 모듈 및 AN에 의해 공동으로 실행될 수 있다. 구체적인 구현 동안에, 네트워크 슬라이스 보안 정책은 UE 및 AN 간의 시그널링에 대한 키(key)의 길이를 지정할 수 있고, 암호화 알고리즘 선택 우선순위, 무결성 보호 알고리즘 선택 우선순위, 그리고 키의 사용 범위와 같은 정보를 또한 지정할 수 있다. 키의 사용 범위는 키의 사용 지속기간(duration), 키를 사용함으로써 암호화될 수 있는 데이터 패킷의 수효, 또는 유사한 것을 포함할 수 있다.
몇몇 실현가능한 구현에서, UE가 접속될 슬라이스의 보안 정책이 타겟 인증 모듈에 의해 실행되는 경우, 보안 정책 제어기는 시스템 내의 하나 이상의 네트워크 슬라이스의 보안 정책을 타겟 인증 모듈에 발신할 수 있다. 하나 이상의 네트워크 슬라이스는 타겟 인증 모듈에 의해 서빙되는 네트워크 슬라이스 중 하나 이상일 수 있고, 구체적으로 실제의 적용 시나리오에 기반하여 정해질 수 있다. 이것은 여기에서 한정되지 않는다. 타겟 인증 모듈은, 네트워크 기능 선택 모듈에 의해 발신된 제2 서비스 요청 내에서 반송되는 UE의 보안 능력을 사용함으로써, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 판정할 수 있다. 대안적으로, 타겟 인증 모듈은, 네트워크를 사용함으로써, UE의 보안 능력, 구체적으로, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 획득할 수 있다. 타겟 인증 모듈은 AN의 보안 능력, 구체적으로, AN에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 및 유사한 것을 또한 획득할 수 있다. AN의 보안 능력은 AN에 의해 타겟 인증 모듈에 발신될 수 있다. 예컨대, AN은 AN의 보안 능력을 제2 서비스 요청에 추가하고 제2 서비스 요청을 타겟 인증 모듈에 발신할 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈은 UE가 접속될 지정된 네트워크 슬라이스의 보안 정책(즉, 지정된 보안 정책)에 따라 키를 생성할 수 있고, UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 또한 선택할 수 있다. 키는 적어도 2개의 키, 예컨대, 제1 키 및 제2 키를 포함할 수 있다. 제1 키는 UE 및 AN 간의 시그널링을 보호하기 위해 사용되는 키일 수 있고, 제2 키는 UE 및 AU 간의 시그널링을 보호하기 위해 사용되는 키일 수 있다. 제1 키의 길이 및 제2 키의 길이는 지정된 보안 정책 내에 지정된 키 길이와 부합한다. 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘일 수 있고, 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘일 수 있다.
몇몇 실현가능한 구현에서, 제1 키 및 제2 키를 생성하고 타겟 암호화 알고리즘 및 타겟 무결성 보호 알고리즘을 선택한 후에, 타겟 인증 모듈은 제1 키, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자에 기반하여 제1 보안 구성을 생성하고, 제1 보안 구성을 제2 서비스 요청 응답에 추가할 수 있는바, 제2 서비스 요청 응답을 사용함으로써 AN에 제1 보안 구성 정보를 발신하기 위함이다. 제1 보안 구성 정보는 제1 키의 사용 범위, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자와 같은 정보를 포함할 수 있다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한 후에, AN은 제2 서비스 요청 응답에서 반송되는 제1 구성 정보에 기반하여 무결성 보호 알고리즘의 식별자 또는 암호화 알고리즘의 식별자, 그리고 키와 같은 정보를 판정할 수 있다. 제1 보안 구성이 제1 키, 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자와 같은 정보를 반송하는 경우, AN은 보안 정책을 실행할 필요가 없으며, 직접적으로 키를 저장하고, 제1 보안 구성 내에서 반송되는 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자를 제2 보안 구성으로서 판정하며, 제2 보안 구성을 제1 서비스 요청 응답에 추가하고, 이후 제1 서비스 요청 응답을 UE에 발신하여 제2 보안 구성을 UE에 통지할 수 있다.
몇몇 실현가능한 구현에서, UE가 접속될 슬라이스의 보안 정책이 타겟 인증 모듈과 AN에 의해 공동으로 실행되는 경우, 보안 정책 제어기는 타겟 인증 모듈에 의해 지원되는 하나 이상의 네트워크 슬라이스의 보안 정책을 타겟 인증 모듈에 발신할 수 있고, 보안 정책 제어기는 시스템 내의 각각의 네트워크 슬라이스의 보안 정책을 AN에 또한 발신할 수 있다. 타겟 인증 모듈은, 네트워크 기능 선택 모듈에 의해 발신된 제2 서비스 요청 내에서 반송되는 UE의 보안 능력을 사용함으로써, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 판정할 수 있고, UE의 보안 능력을 AN에 또한 발신할 수 있다. 대안적으로, 타겟 인증 모듈 및 AN은, 네트워크를 사용함으로써, UE의 보안 능력, 구체적으로, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 획득할 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈은 적어도 2개의 키, 예컨대, 제1 키 및 제2 키를 지정된 보안 정책에 따라 생성할 수 있다. 또한, 타겟 인증 모듈은 제1 키의 사용 범위 및 지정된 네트워크 슬라이스의 식별자와 같은 정보에 기반하여 제1 구성을 생성하고, 제1 구성을 제2 서비스 요청 응답에 추가할 수 있다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한 후에, AN은 제2 서비스 요청 응답 내에서 반송되는 제1 구성 정보에 기반하여 무결성 보호 알고리즘의 식별자 또는 암호화 알고리즘의 식별자 및 키와 같은 정보를 판정할 수 있다. 제1 보안 구성이 제1 키에 대한 정보만을 반송하는 경우, AN은 보안 정책을 실행할 필요가 있다. 구체적으로, AN은, 지정된 네트워크 슬라이스의 식별자에 기반하여, 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책을 판정하고, 이후 UE의 보안 능력 및 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 및 타겟 무결성 보호 알고리즘을 선택할 수 있다. 또한, AN은 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자를 제1 보안 구성에 추가하여, 제2 보안 구성을 획득하고, 제2 보안 구성을 제1 서비스 요청 응답에 추가하며, 제1 서비스 요청 응답을 UE에 발신하여 제2 보안 구성을 UE에 통지할 수 있다.
본 발명의 이 실시예에서, 인증 프로토콜에 따라 선택된 타겟 인증 모듈이 보안 구성을 생성할 수 있거나, 인증 프로토콜에 따라 선택된 타겟 인증 모듈 및 AN이 보안 구성을 생성할 수 있는바, 선택 유연성이 높고 사이버 보안이 개선된다.
도 8 및 도 9를 참조하여, 이하는 본 발명의 실시예에서 제공되는 관리 시스템이 상이한 적용 시나리오에서 보안 정책을 실행하는 구현을 기술한다.
몇몇 실현가능한 구현에서, 도 8은 본 발명의 실시예에 따른 관리 시스템에 의해 보안 정책을 실행하는 것의 개략적인 상호작용 도해이다. 도 8에 도시된 시스템 구조는 UE, AN, 인증 모듈 및 보안 정책 제어기를 포함하고, 보안 구성은 AN 및 인증 모듈에 의해 공동으로 수행된다. AU는 설명을 위해 인증 모듈의 예로서 사용되고, 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 8에 도시된 관리 시스템에서 제공되는 보안 구성을 수행하는 프로세스는 이하의 단계를 포함한다.
801. AN은 AN의 보안 능력을 보안 정책 제어기에 보고한다.
몇몇 실현가능한 구현에서, 선택적으로, AN은 보안 정책을 실행하기 전에 AN의 보안 능력을 보안 정책 제어기에 보고할 수 있고, 보안 정책 제어기는 이후의 보안 정책 전달을 위해 AN의 보안 능력을 기록할 수 있다. AN의 보안 능력은 AN에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 및 유사한 것을 포함할 수 있고, 이것은 여기에서 한정되지 않는다.
802. 보안 정책 제어기는 각각의 네트워크 슬라이스의 보안 정책을 AN에 전달한다.
몇몇 실현가능한 구현에서, 보안 구성을 수행하는 프로세스에서, 보안 정책 제어기는 각각의 슬라이스의 보안 정책을 AN에 전달할 수 있어서, AN은 보안 정책을 실행할 수 있다. 각각의 슬라이스의 보안 정책은 슬라이스에 의해 지원되는 각각의 암호화 알고리즘의 선택 우선순위, 슬라이스에 의해 지원되는 각각의 무결성 보호 알고리즘의 선택 우선순위, 그리고 키의 길이와 사용 범위와 같은 정보를 포함한다. 키는 UE 및 AN 간의 시그널링을 보호하기 위해 사용되는 제1 키와, UE 및 인증 모듈 간의 시그널링을 보호하기 위해 사용되는 제2 키를 포함한다. 상이한 슬라이스의 보안 정책은 키의 상이한 길이와 상이한 사용 범위를 지정할 수 있고, 상이한 슬라이스의 보안 정책은 상이한 암호화 알고리즘 선택 우선순위와 상이한 무결성 보호 알고리즘 선택 우선순위를 또한 포함할 수 있다. 세부사항은 실제의 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
803. 보안 정책 제어기는 하나 이상의 슬라이스의 보안 정책을 AU에 전달한다.
몇몇 실현가능한 구현에서, 보안 정책 제어기가 보안 정책을 전달하는 AU는 구체적으로 네트워크 기능 선택 모듈에 의해 선택된 타겟 AU일 수 있다. 타겟 AU(아래에서 줄여서 AU)는 하나 이상의 슬라이스를 서빙할 수 있다. 보안 정책 제어기는 AU에 의해 서빙되는 모든 슬라이스의 보안 정책을 AU에 전달할 수 있다. 보안 정책은 키의 길이 및 키의 사용 범위와 같은 정보를 포함할 수 있다.
804. UE는 접속 요청을 AN에 발신한다.
몇몇 실현가능한 구현에서, 접속 요청은 UE에 의해 네트워크 기능 선택 모듈에 발신된 제1 서비스 요청(즉, 접속 요청)일 수 있다. UE는 접속 요청을 AN에 발신하며, AN은, 시스템 내의 네트워크 기능 선택 모듈 및 유사한 것에, UE에 의해 발신된 접속 요청을 발신할 수 있다. 구체적인 구현 동안에, UE에 의해 AN에 발신된 접속 요청은 UE의 보안 능력, UE가 접속될 슬라이스의 슬라이스 정보 또는 유사한 것을 반송할 수 있다. UE의 보안 능력은 UE에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 또는 유사한 것을 포함한다. UE가 접속될 슬라이스의 슬라이스 정보는 슬라이스 식별자, 슬라이스 유형, 슬라이스에 의해 지원되는 서비스 유형, 슬라이스 차용자 식별자 및 유사한 것을 포함하며, 구체적으로 실제 적용 시나리오 요구에 기반하여 정해질 수 있다. 이것은 여기에서 한정되지 않는다.
805. AN은 접속 요청을 AU에 발신한다.
몇몇 실현가능한 구현에서, AN이 직접적으로 접속 요청을 AU에 발신할 수 있거나, 다른 네트워크 요소(예컨대, 네트워크 기능 선택 모듈)가 접속 요청을 AU에 포워딩할(forward) 수 있다. 예컨대, AN은 네트워크 기능 선택 모듈을 사용함으로써 제2 서비스 요청을 AU에 발신할 수 있다. AN에 의해 AU에 발신되는 접속 요청은 UE의 보안 능력 또는 UE가 접속될 슬라이스의 슬라이스 정보와 같은 정보를 또한 반송할 수 있고, 이것은 여기에서 한정되지 않는다. AU가 복수의 슬라이스를 서빙하는 경우, AN은, 접속 요청을 AU에 발신할 때, 접속 요청에, UE가 접속될 슬라이스의 식별자와 같은 슬라이스 정보를 추가할 수 있다. AU가 단일 슬라이스를 서빙하는 경우, AN은, 접속 요청을 AU에 발신할 때, 접속 요청에, UE가 접속될 슬라이스의 식별자와 같은 슬라이스 정보를 추가하지 않을 수 있다. 접속 요청이 UE가 접속될 슬라이스의 식별자와 같은 슬라이스 정보를 반송하는지는 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다. 세부사항은 아래에 기술되지 않는다.
806. AU는 UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, UE가 접속 요청을 발신하고, AU가 접속 요청을 수신하고 UE와의 상호 인증을 수행하는 구체적인 구현에 대하여, 전술된 실시예에서 단계(S401 내지 S404)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
807. AU는 UE가 접속될 슬라이스의 보안 정책에 따라 키를 생성한다.
몇몇 실현가능한 구현에서, AU는 UE가 접속될 슬라이스(즉, 전술된 지정된 네트워크 슬라이스)의 보안 정책에 따라 적어도 2개의 키를 생성할 수 있고, 적어도 2개의 키는 제1 키와 제2 키를 포함한다. 제1 키의 길이와 제2 키의 길이는 지정된 네트워크 슬라이스의 보안 정책(즉, 전술된 지정된 보안 정책)에 지정된 키 길이와 부합한다.
AU는 또한 키 및 지정된 네트워크 슬라이스의 식별자에 기반하여 제1 보안 구성을 생성하고, 제1 보안 구성을 AN에 발신될 제2 서비스 요청 응답에 추가할 수 있다. 제2 서비스 요청 응답은 구체적으로 UE가 지정된 네트워크 슬라이스에 성공적으로 접속됨을 지시하는 접속 성공 메시지일 수 있다.
808. AU는 접속 성공 메시지를 AN에 발신한다.
몇몇 실현가능한 구현에서, 접속 성공 메시지는 지정된 네트워크 슬라이스의 식별자 및 키와 같은 정보를 반송할 수 있다.
809. AN은 키 및 지정된 보안 정책에 기반하여 제2 보안 구성을 생성한다.
몇몇 실현가능한 구현에서, 접속 성공 메시지를 수신한 후에, AN은 지정된 네트워크 슬라이스의 식별자 및 제1 보안 구성과 같은 정보를 접속 성공 메시지로부터 획득할 수 있다. AN은 제1 보안 구성 내에서 반송된 키를 저장하고, 제1 보안 구성 내에서 반송된 지정된 네트워크 슬라이스의 식별자에 기반하여, 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책을 판정하며, 이후 타겟 암호화 알고리즘 및 타겟 무결성 보호 알고리즘을 UE의 보안 능력 및 지정된 보안 정책에 기반하여 선택할 수 있다. 또한, AN은 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자를 제1 보안 구성에 추가하여, 제2 보안 구성을 획득하고, 제2 보안 구성을 UE에 발신될 제1 서비스 요청 응답에 추가하며, 제2 서비스 요청 응답을 사용함으로써 UE에 제2 보안 구성을 발신할 수 있다.
810. AN은 보안 구성을 UE에 발신한다.
몇몇 실현가능한 구현에서, An은 제1 보안 구성 정보를 제1 서비스 요청 응답(즉, 접속 요청 응답)에 추가하고, 접속 요청 응답을 UE에 발신하여, 접속 요청 응답을 사용함으로써 제2 보안 구성을 UE에 통지할 수 있다.
본 발명의 이 실시예에서, 시스템 내에서, AU 및 AN은 보안 정책을 실행할 수 있고, 보안 구성의 실행을 통해서, UE는 지정된 네트워크 슬라이스에 접속될 수 있는바, 이로써 시스템 보안을 보장하고 다중 슬라이스 사이버 보안 관리를 구현한다.
몇몇 실현가능한 구현에서, 도 9는 본 발명의 실시예에 따른 관리 시스템에 의해 보안 정책을 실행하는 것의 다른 개략적인 상호작용 도해이다. 도 9에 도시된 시스템 구조는 UE, AN 및 인증 모듈을 포함한다. 보안 구성은 인증 모듈에 의해 수행되고, AN은 AN의 보안 능력을 인증 모듈에 보고하고 보안 정책을 포워딩할 수 있다. AU는 설명을 위해 인증 모듈의 예로서 사용되고, 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 9에 도시된 관리 시스템에서 제공되는 보안 구성을 수행하는 프로세스는 이하의 단계를 포함한다.
901. 보안 정책 제어기는 하나 이상의 슬라이스의 보안 정책을 AU에 전달한다.
몇몇 실현가능한 구현에서, 보안 정책 제어기가 보안 정책을 전달하는 AU는 구체적으로 네트워크 기능 선택 모듈에 의해 선택된 타겟 AU일 수 있다. 타겟 AU(아래에서 줄여서 AU)는 하나 이상의 슬라이스를 서빙할 수 있다. 보안 정책 제어기는 AU에 의해 서빙되는 모든 슬라이스의 보안 정책을 AU에 전달할 수 있다. 각각의 슬라이스의 보안 정책은 슬라이스에 의해 지원되는 각각의 암호화 알고리즘의 선택 우선순위, 슬라이스에 의해 지원되는 각각의 무결성 보호 알고리즘의 선택 우선순위, 그리고 키의 길이와 사용 범위와 같은 정보를 포함한다. 키는 UE 및 AN 간의 시그널링을 보호하기 위해 사용되는 제1 키와, UE 및 인증 모듈 간의 시그널링을 보호하기 위해 사용되는 제2 키를 포함한다. 상이한 슬라이스의 보안 정책은 키의 상이한 길이와 상이한 사용 범위를 지정할 수 있고, 상이한 슬라이스의 보안 정책은 상이한 암호화 알고리즘 선택 우선순위와 상이한 무결성 보호 알고리즘 선택 우선순위를 또한 포함할 수 있다. 세부사항은 실제 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
902. AN은 AN의 보안 능력을 AU에 보고할 수 있다.
몇몇 실현가능한 구현에서, AN은 AN에 의해 지원되는 암호화 알고리즘 또는 무결성 보호 알고리즘과 같은 정보를 AU에 발신할 수 있어서, AU는 AN의 보안 능력 및 UE의 보안 능력에 기반하여 대응하는 암호화 알고리즘 또는 무결성 보호 알고리즘을 선택한다. AN의 보안 능력을 AU에 보고하는 프로세스는 AU가 보안 정책을 실행하기 전에 임의의 시각에서 수행될 수 있다. 이것은 여기에서 한정되지 않는다. AU는 이후의 보안 정책 실행을 위해 AN의 보안 능력을 저장할 수 있다.
903. UE는 접속 요청을 AN에 발신한다.
몇몇 실현가능한 구현에서, 접속 요청은 UE에 의해 네트워크 기능 선택 모듈에 발신된 제1 서비스 요청(즉, 접속 요청)일 수 있다. UE는 접속 요청을 AN에 발신하고, AN은, 시스템 내의 네트워크 기능 선택 모듈 및 유사한 것에, UE에 의해 발신된 접속 요청을 발신할 수 있다. 구체적인 구현 동안에, UE에 의해 AN에 발신된 접속 요청은 UE의 보안 능력, UE가 접속될 슬라이스의 슬라이스 정보 또는 유사한 것을 반송할 수 있다. UE의 보안 능력은 UE에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 또는 유사한 것을 포함한다. UE가 접속될 슬라이스의 슬라이스 정보는 슬라이스 식별자, 슬라이스 유형, 슬라이스에 의해 지원되는 서비스 유형, 슬라이스 차용자 식별자 및 유사한 것을 포함하며, 구체적으로 실제 적용 시나리오 요구에 기반하여 정해질 수 있다. 이것은 여기에서 한정되지 않는다.
904. AN은 접속 요청을 AU에 발신한다.
몇몇 실현가능한 구현에서, AN은 직접적으로 접속 요청을 AU에 발신할 수 있거나, 다른 네트워크 요소(예컨대, 네트워크 기능 선택 모듈)가 접속 요청을 AU에 포워딩할 수 있다. 예컨대, AN은 네트워크 기능 선택 모듈을 사용함으로써 제2 서비스 요청을 AU에 발신할 수 있다. AN에 의해 AU에 발신된 접속 요청은 UE의 보안 능력 또는 UE가 접속될 슬라이스의 슬라이스 정보와 같은 정보를 또한 반송할 수 있고, 이것은 여기에서 한정되지 않는다.
905. AU는 UE와의 상호 인증을 수행한다.
몇몇 실행가능한 구현에서, 접속 요청을 수신한 후에 AU가 UE와의 상호 인증을 수행하는 구체적인 구현에 대하여, 전술된 실시예에서 단계(S401 내지 S404)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
906. AU는 UE가 접속될 슬라이스의 보안 정책, UE의 보안 능력 및 AN의 보안 능력과 같은 정보에 기반하여 제1 보안 구성을 생성한다.
몇몇 실현가능한 구현에서, AU는, 제2 서비스 요청(즉, 접속 요청) 내에서 반송되는 UE의 보안 능력을 사용함으로써, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 판정할 수 있다. 대안적으로, AU는, 네트워크를 사용함으로써, UE의 보안 능력, 구체적으로, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 획득할 수 있다. AU는 AN의 보안 능력, 구체적으로, AN에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 및 유사한 것을 또한 획득할 수 있다. 구체적인 구현 동안에, AU는 UE가 접속될 지정된 네트워크 슬라이스의 보안 정책(즉, 지정된 보안 정책)에 따라 키를 생성할 수 있고, UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 또한 선택할 수 있다. 키는 적어도 2개의 키, 예컨대, 제1 키와 제2 키를 포함할 수 있다. 제1 키는 UE 및 AN 간의 시그널링을 보호하기 위해 사용되는 키일 수 있고, 제2 키는 UE 및 AU 간의 시그널링을 보호하기 위해 사용되는 키일 수 있다. 제1 키의 길이 및 제2 키의 길이는 지정된 보안 정책 내에 지정된 키 길이와 부합한다. 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘일 수 있고, 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가능 높은 선택 우선순위를 갖는 무결성 보호 알고리즘일 수 있다.
몇몇 실현가능한 구현에서, 제1 키와 제2 키를 생성하고 타겟 암호화 알고리즘과 타겟 무결성 보호 알고리즘을 선택한 후에, AU는 제1 키, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자에 기반하여 제1 보안 구성을 생성하고, 제1 보안 구성을 제2 서비스 요청 응답에 추가할 수 있는바, 제2 서비스 요청 응답을 사용함으로써 AN에 제1 보안 구성 정보를 발신하기 위함이다. 제1 보안 구성 정보는 제1 키의 사용 범위, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자와 같은 정보를 포함할 수 있다.
907. AU는 접속 성공 메시지를 AN에 발신한다.
몇몇 실현가능한 구현에서, 접속 성공 메시지는 제1 보안 구성 정보를 반송할 수 있다.
908. AN은 보안 구성을 UE에 발신한다.
몇몇 실현가능한 구현에서, 접속 성공 메시지를 수신한 후에, AN은 제1 보안 구성을 접속 성공 메시지로부터 획득하고, 또한 제1 보안 구성 내에서 반송된 키를 저장하고, 제1 보안 구성 내에서 반송된 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자에 기반하여 제2 보안 구성을 생성하며, 제2 보안 구성을 UE에 발신될 제1 서비스 요청 응답에 추가하고, 제1 서비스 요청 응답을 사용함으로써 제2 보안 구성을 UE에 발신할 수 있다.
본 발명의 이 실시예에서, 시스템 내에서, AU는 보안 정책을 실행할 수 있고, 보안 구성의 실행을 통해서, UE는 지정된 네트워크 슬라이스에 접속될 수 있는바, 이로써 시스템 보안을 보장하고 다중 슬라이스 사이버 보안 관리를 구현한다.
도 10a, 도 10b 및 도 10c 내지 도 14를 참조하여, 이하는 본 발명의 실시예에서 제공되는 관리 시스템이 상이한 적용 시나리오에서 사이버 보안 관리를 수행하는 구현을 기술한다.
몇몇 실현가능한 구현에서, 도 10a, 도 10b 및 도 10c는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 개략적인 상호작용 도해이다. 도 10a, 도 10b 및 도 10c에 도시된 시스템 구조는 UE, AN, 네트워크 기능 선택 모듈 및 인증 모듈을 포함한다. SSF 및 MM은 설명을 위해 네트워크 기능 선택 모듈의 예로서 사용되고, SSF 및 MM 양자 모두는 AURF 및 AUSF의 기능을 제공할 수 있다. AU는 설명을 위해 인증 모듈의 예로서 사용되고, 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 10a, 도 10b 및 도 10c에서, 본 발명의 이 실시예에서 제공되는 관리 시스템은 또한 5G 네트워크 아키텍처 내의 세션 관리(영문, Session Management, SM), UP-GW 및 가입 데이터베이스(subscription database)와 상호작용할 수 있다.
이 적용 시나리오에서, UE는 슬라이스 식별자를 제공할 수 없고, UE는 접속 절차에서 두 번 인증을 수행할 것이다. 제1회차 AU 선택 동안에 슬라이스 선택이 구현될 수 있고, 제1회차의 AU 선택은 SSF에서 수행된다. 제2회차 AU 선택 동안에 슬라이스의 보안 정책이 구현될 수 있고, 제2회차의 AU 선택은 MM에서 수행된다. SSF 및 MM 양자 모두는 AUSF 및 AURF의 기능을 제공한다.
도 10a, 도 10b 및 도 10c에 도시된 관리 시스템에서 제공되는 사이버 보안 관리를 수행하는 프로세스는 이하의 단계를 포함한다.
1001. UE는 접속 요청을 AN에 발신하고, AN을 사용함으로써 SSF에 접속 요청을 발신한다.
구체적인 구현 동안에, 접속 요청은 전술된 제1 서비스 요청일 수 있고, 접속 요청은 인증 프로토콜 정보를 반송한다.
1002. SSF는 인증 프로토콜 정보에 기반하여 AU를 선택한다.
구체적인 구현 동안에, SSF가 인증 프로토콜 정보에 기반하여 AU를 선택하는 구체적인 구현 프로세스에 대하여, 단계(S402)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
1003. AU는 선택된 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 수행하고, 인증 결과를 SSF에 통지한다.
단계(S1003)는 이하의 하위 단계를 포함할 수 있다.
3a. SSF는 접속 요청을 AU에 발신한다.
접속 요청은 인증 프로토콜 정보를 반송한다. AU는, 인증 프로토콜 정보에 기반하여, UE 및 AU 양자 모두에 의해 지원되는 인증 프로토콜을 선택할 수 있다. 구체적인 선택 방식에 대하여, 단계(S401 내지 S404)에 기술된 구현을 참조하시오.
3b. AU는 인증 프로토콜의 식별자를 UE에 피드백한다.
타겟 인증 프로토콜을 선택한 후에, AU는 인증 프로토콜의 식별자를 UE에 발신할 수 있는바, 타겟 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 구현하기 위함이다.
3c. AU는 UE와의 상호 인증을 수행한다.
3d. AU는 UE와의 상호 인증의 결과를 SSF에 발신한다.
1004. SSF는 슬라이스를 선택한다.
구체적인 구현 동안에, SSF는, AU 및 UE 간의 인증의 결과에 기반하여, UE가 접속될 슬라이스를 선택한다. 구체적인 구현에 대하여, 기존의 5G 네트워크 시스템에서 제공되는 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
1005. SSF는 슬라이스의 식별자를 AN에 발신한다.
구체적인 구현 동안에, SSF는 슬라이스를 선택한 후에 AN에 슬라이스의 식별자를 발신할 수 있는바, 슬라이스에 UE를 접속하기 위해 MM을, AN을 사용함으로써, 선택하기 위함이다.
1006. AN은 MM을 선택한다.
UE가 접속될 슬라이스의 식별자에 기반하여 AN이 MM을 선택하는 구체적인 구현에 대하여, 기존의 5G 네트워크 시스템에서 제공되는 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
1007. UE는 선택된 슬라이스로의 접속을 수행하는데, 이하의 단계를 포함한다.
7a. AN은 UE의 접속 요청을 MM에 발신한다.
접속 요청은 인증 프로토콜 정보를 포함한다.
7b. MM은 인증 프로토콜 정보에 기반하여 AU를 선택한다.
7c. MM은 UE의 접속 요청을 선택된 AU에 발신한다.
접속 요청은 인증 프로토콜 정보를 포함할 수 있다. 선택된 AU가 단지 하나의 인증 프로토콜을 지원하는 경우, 접속 요청은 인증 프로토콜 정보를 포함하지 않을 수 있다. 선택된 AU가 복수의 인증 프로토콜을 지원하는 경우, 접속 요청은 AU 선택 동안에 판정되는 인증 프로토콜을 포함할 수 있다.
7d. AU는 선택된 인증 프로토콜의 식별자를 UE에 통지한다.
선택적으로, 선택된 인증 프로토콜의 식별자는 AURF의 기능을 제공하는 SSF 또는 MM에 의해 발신될 수 있고, 이것은 여기에서 한정되지 않는다.
7e. UE는 AU와의 상호 인증을 수행하고, AU는 UE가 슬라이스에 접속되는 것을 인가한다.
구체적인 구현 동안에, AU가 인증 프로토콜에 따라 UE와의 상호 인증을 수행하는, 7a 내지 7e에 기술된, 구현에 대하여, 단계(S401 및 S402)에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
7f. UP 연결을 설정한다.
7g. 슬라이스의 보안 정책을 실행한다.
구체적인 구현 동안에, AU는 UE가 접속될 슬라이스의 보안 정책과 같은 정보에 기반하여 제1 보안 구성을 생성한다. 제1 보안 구성은 키를 포함하며, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자와 같은 정보를 더 포함할 수 있고, 구체적으로 AU에 의해 보안 정책을 실행하는 구현에 따라 정해질 수 있다. 세부사항에 대하여, 전술된 적용 시나리오에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
7h. AU는 접속 응답을 AN에 발신한다.
접속 응답은 제1 보안 구성을 포함할 수 있다.
1008. 슬라이스의 보안 정책을 실행한다.
선택적으로, AN은 제1 보안 구성 및 UE가 접속될 슬라이스의 보안 정책과 같은 정보에 기반하여 제2 보안 구성을 판정한다. AU에 의해 생성된 제1 보안 구성이 키, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 포함하는 경우, 이 단계는 생략될 수 있다. AU에 의해 생성된 제1 보안 구성이 단지 키를 포함하는 경우, AN은 키, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 포함하는 제2 보안 구성을 판정하기 위해, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 또한 선택할 수 있다.
1009. AN은 접속 응답을 UE에 발신한다.
접속 응답은 제2 보안 구성을 포함할 수 있다.
몇몇 실현가능한 구현에서, 도 11은 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이다. 도 11에 도시된 시스템 구조는 UE, AN, 네트워크 기능 선택 모듈 및 인증 모듈을 포함한다. SSF 및 MM은 설명을 위해 네트워크 기능 선택 모듈의 예로서 사용되고, SSF 및 MM 양자 모두는 AURF 및 AUSF의 기능을 제공할 수 있다. AU는 설명을 위해 인증 모듈의 예로서 사용되고, 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 11에서, 본 발명의 이 실시예에서 제공되는 관리 시스템은 또한 5G 네트워크 아키텍처에서의 SM, GW-U 및 가입 데이터베이스와 상호작용할 수 있다.
이 적용 시나리오에서, UE는 슬라이스 식별자를 제공하고, UE는 접속 절차에서 한 번 인증을 수행할 것이다. AU 선택은 MM에서 수행된다. MM은 AUSF 및 AURF의 기능을 제공한다.
도 11에 도시된 관리 시스템에서 제공되는 사이버 보안 관리를 수행하는 프로세스는 이하의 단계를 포함한다.
1101. UE는 접속 요청을 AN에 발신하는데, 그 요청은 UE의 인증 프로토콜 정보를 포함한다.
1102. AN은 UE의 접속 요청을 MM에 발신한다.
1103. MM은 접속 요청 내의 인증 프로토콜 정보에 기반하여 AU를 선택한다.
1104. MM은 UE의 접속 요청을 선택된 AU에 발신하는데, 그 요청은 인증 프로토콜 정보를 포함한다.
1105. (선택적) AU는 선택된 인증 프로토콜의 식별자를 UE에 통지한다.
1106. UE는 인증 프로토콜을 사용함으로써 AU와의 상호 인증을 수행한다.
1107. (선택적) UP 연결을 설정한다.
1108. 슬라이스의 보안 정책을 실행한다.
구체적인 구현 동안에, AU는 UE가 접속될 슬라이스의 보안 정책과 같은 정보에 기반하여 제1 보안 구성을 생성한다. 제1 보안 구성은 키를 포함하며, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자와 같은 정보를 더 포함할 수 있고, 구체적으로 AU에 의해 보안 정책을 실행하는 구현에 따라 정해질 수 있다. 세부사항에 대하여, 전술된 적용 시나리오에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
1109. AU는 접속 응답을 AN에 발신한다.
접속 응답은 제1 보안 구성을 포함할 수 있다.
1110. 슬라이스의 보안 정책을 실행한다.
선택적으로, AN은 제1 보안 구성 및 UE가 접속될 슬라이스의 보안 정책과 같은 정보에 기반하여 제2 보안 구성을 판정한다. AU에 의해 생성된 제1 보안 구성이 키, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 포함하는 경우, 이 단계는 생략될 수 있다. AU에 의해 생성된 제1 보안 구성이 단지 키를 포함하는 경우, AN은, 키, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 포함하는 제2 보안 구성을 판정하기 위해, 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 또한 선택할 수 있다.
1111. AN은 접속 응답을 UE에 발신한다.
구체적인 구현 동안에, 전술된 단계의 구현에 대하여, 도 10a, 도10b 및 도 10c에 도시된 적용 시나리오의 실시예에서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
몇몇 실현가능한 구현에서, 도 12는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이다. 도 12에 도시된 시스템 구조는 UE, AN, 네트워크 기능 선택 모듈 및 인증 모듈을 포함한다. SSF 및 MM은 설명을 위해 네트워크 기능 선택 모듈의 예로서 사용되며, SSF 및 MM 양자 모두는 AURF 및 AUSF의 기능을 제공할 수 있다. AU는 설명을 위해 인증 모듈의 예로서 사용되고, 새 서비스 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 12에서, 본 발명의 이 실시예에서 제공되는 관리 시스템은 또한 5G 네트워크 아키텍처에서의 SM, GW-U 및 가입 데이터베이스와 상호작용할 수 있다.
이 실시예에서, UE는 슬라이스에 접속되었고 새 서비스 요청을 사용함으로써 다른 슬라이스에 접속될 것을 요청하며, UE는 접속 절차에서 한 번 인증을 수행할 것이다. AU 선택은 SSF에서 수행된다. SSF는 AUSF 및 AURF의 기능을 제공한다.
도 12에 도시된 관리 시스템에서 제공되는 사이버 보안 관리를 수행하는 프로세스는 이하의 단계를 포함한다.
1201. UE는 새 서비스 요청을 AN에 발신하는데, 그 요청은 UE의 인증 프로토콜 정보를 포함한다.
1202. 네트워크는 슬라이스 선택 및 AU 선택을 수행하는데, 이하의 단계를 포함한다.
2a. AN은 새 서비스 요청을 MM에 발신하는데, 새 서비스 요청은 인증 프로토콜 정보를 반송한다.
2b. MM은 새 서비스 요청을 SSF에 발신하는데, 새 서비스 요청은 인증 프로토콜 정보를 반송한다.
2c. SSF는 슬라이스를 선택하고, AU를 인증 프로토콜 정보에 기반하여 선택한다.
SSF에 의해 슬라이스를 선택하는 프로세스에 대하여, 기존의 5G 아키텍처의 시스템에서 제공되는 구현을 참조하고, 이것은 여기에서 한정되지 않는다. SSF는 선택된 슬라이스 및 새 서비스 요청 내에서 반송되는 인증 프로토콜 정보에 기반하여 타겟 AU를 선택할 수 있는데, 타겟 AU를 사용함으로써 UE를 다른 슬라이스에 접속하는 동작을 구현하기 위함이다.
2d. SSF는 새 서비스 요청을 AU에 발신한다.
새 서비스 요청은 슬라이스의 ID 및 인증 프로토콜 정보를 반송한다.
1203. (선택적) AU는 선택된 인증 프로토콜의 식별자를 UE에 통지한다.
1204. UE는 인증 프로토콜을 사용함으로써 AU와의 상호 인증을 수행하고, AU는 UE가 슬라이스에 접속되는 것을 인가한다.
1205. MM은 새 서비스 요청을 SM에 발신한다.
1206. UP 연결을 설정한다.
1207. MM은 새 서비스 응답을 UE에 발신한다.
구체적인 구현 동안에, 전술된 단계의 구현에 대하여, 전술된 적용 시나리오의 실시예에서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
몇몇 실현가능한 구현에서, 도 13은 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이다. 도 13에 도시된 시스템 구조는 UE, AN 및 인증 모듈을 포함한다. 설명을 위해, 네트워크 기능 선택 모듈에 의해 수행되는 구현이 AN에 의해 수행되고, AN은 AURF 및 AUSF의 기능을 제공할 수 있다. 프론트 엔드는 설명을 위해 인증 모듈의 예로서 사용되고, 프론트 엔드는 AU의 기능을 제공할 수 있다. 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다.
이 실시예에서, 프론트 엔드라고 명명된 네트워크 요소는 AU의 기능을 제공하고, UE에 할당된 프론트 엔드는 슬라이스에 전속적인 네트워크 요소에 UE의 모든 제어 평면(Control Plane, CP) 시그널링을 포워딩하는 것을 담당한다. UE는 접속 절차에서 프론트 엔드와 한 번 인증을 수행할 것이다. 프론트 엔드 선택은 RAN에서 수행된다. RAN은 AUSF 및 AURF의 기능을 제공한다.
도 13에 도시된 관리 시스템에서 제공되는 사이버 보안 관리를 수행하는 프로세스는 이하의 단계를 포함한다.
1301. UE는 접속 요청을 RAN에 발신한다.
접속 요청은 UE의 인증 프로토콜 정보, UE의 식별자, 슬라이스 정보 및 UE의 보안 능력과 같은 정보를 포함한다.
1302. RAN은 접속 요청 내의 인증 프로토콜 정보에 기반하여 디폴트(default) 프론트 엔드를 선택한다.
1303. RAN은 UE의 접속 요청을 선택된 디폴트 프론트 엔드에 발신하는데, 그 요청은 인증 프로토콜 정보를 포함한다.
1304. UE는 인증 프로토콜을 사용함으로써 디폴트 프론트 엔드와의 상호 인증을 수행한다.
1305. 디폴트 프론트 엔드는 UE의 가입 정보를 체크하고, 프론트 엔드를 선택한다.
1306. 디폴트 프론트 엔드는 접속 요청을 선택된 프론트 엔드에 포워딩한다.
1307. 선택된 프론트 엔드는 접속 수락 메시지를 디폴트 프론트 엔드에 발신한다.
1308. 디폴트 프론트 엔드는 접속 수락 메시지를 RAN에 발신한다.
1309. RAN은 슬라이스의 보안 정책을 실행한다.
구체적인 구현 동안에, 선택적으로, RAN은 UE가 접속될 슬라이스의 보안 정책에 따라 보안 구성을 생성하고, 보안 구성은 제1 키, 제2 키, 암호화 알고리즘, 무결성 보호 알고리즘 및 유사한 것을 포함한다.
1310. RAN은 접속 수락 메시지를 UE에 발신한다.
구체적인 구현 동안에, 전술된 단계의 구현에 대하여, 전술된 적용 시나리오의 실시예에서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
몇몇 실현가능한 구현에서, 도 14는 본 발명의 실시예에 따른 관리 시스템에 의해 사이버 보안 관리를 수행하는 것의 다른 개략적인 상호작용 도해이다. 도 14에 도시된 시스템 구조는 UE, 차세대 액세스 네트워크 및 인증 모듈을 포함한다. 설명을 위해, AN 및 네트워크 기능 선택 모듈에 의해 수행되는 구현은 차세대 액세스 네트워크에 의해 수행되고, 차세대 액세스 네트워크는 AURF 및 AUSF의 기능을 제공할 수 있다. ACA는 설명을 위해 인증 모듈의 예로서 사용되고, ACA는 AU의 기능을 제공할 수 있다. 접속 요청은 설명을 위해 제1 서비스 요청 및 제2 서비스 요청 양자 모두의 예로서 사용된다. 도 14에서, 본 발명의 이 실시예에서 제공되는 관리 시스템은 또한 5G 네트워크 아키텍처에서의 HSS와 상호작용할 수 있다.
이 실시예에서, ACA라고 명명된 네트워크 요소는 AU의 기능을 제공하고, ACA는 슬라이스 선택 기능을 또한 제공한다. UE는 접속 절차에서 ACA와 한 번 인증을 수행할 것이다. ACA 선택은 차세대 액세스 네트워크(즉, 차세대 RAN)에서 수행된다. 차세대 액세스 네트워크는 AUSF 및 AURF의 기능을 제공한다.
도 14에 도시된 관리 시스템에서 제공되는 사이버 보안 관리를 수행하는 프로세스는 이하의 단계를 포함한다.
1401. UE는 차세대 액세스 네트워크로의 연결을 수립한다.
1402. UE는 접속 요청을 차세대 액세스 네트워크에 발신하는데, 그 요청은 인증 프로토콜 정보를 포함한다.
1403. 차세대 액세스 네트워크는 접속 요청 내의 인증 프로토콜 정보에 기반하여 ACA를 선택한다.
1404. 차세대 액세스 네트워크는 UE의 접속 요청을 선택된 ACA에 발신하는데, 그 요청은 인증 프로토콜 정보를 포함한다.
1405. (선택적) ACA는 인증 프로토콜의 식별자를 UE에 발신한다.
1406. UE는 인증 프로토콜을 사용함으로써 ACA와의 상호 인증을 수행한다.
1407. ACA는 UE의 위치 정보를 HSS에 업데이트한다.
1408. ACA는 슬라이스의 봉안 정책을 실행한다.
구체적으로, ACA는 UE가 접속될 슬라이스의 보안 정책에 따라 키를 생성하며, 또한 UE의 보안 능력 및 슬라이스의 보안 정책과 같은 정보에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 선택하고, 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자와 같은 정보를 제1 보안 구성에 추가할 수 있다.
1409. ACA는 접속 응답 메시지를 차세대 액세스 네트워크에 발신한다.
1410. 차세대 액세스 네트워크는 슬라이스의 보안 정책을 실행한다.
구체적인 구현 동안에, 선택적으로, 차세대 액세스 네트워크는 UE가 접속될 슬라이스의 보안 정책 및 UE의 보안 능력과 같은 정보에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 선택하고, 제1 보안 구성을 참조하여 제2 보안 구성을 판정할 수 있다.
1411. 차세대 액세스 네트워크는 접속 응답 메시지를 UE에 발신한다.
접속 응답 메시지는 제2 보안 구성을 반송할 수 있다.
구체적인 구현 동안에, 전술된 단계의 구현에 대하여, 전술된 적용 시나리오의 실시예에서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 15는 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 다른 개략적인 구조도이다. 본 발명의 이 실시예에서 제공되는 관리 시스템은 UE, 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함할 수 있다. 적어도 2개의 인증 모듈은 복수의 슬라이스에 의해 공유되는 인증 모듈을 포함하고, 단일 슬라이스에 전속적인 인증 모듈을 또한 포함한다. 대안적으로, 적어도 2개의 인증 모듈 각각은 복수의 슬라이스에 의해 공유되는 인증 모듈일 수 있거나, 단일 슬라이스에 전속적인 인증 모듈일 수 있다. 세부사항은 실제 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다. 복수의 공유된 인증 모듈이 있을 수 있고, 각각의 공유된 인증 모듈은 적어도 2개의 슬라이스를 서빙한다. 또한 복수의 전속적인 인증 모듈이 있을 수 있고, 각각의 전속적인 인증 모듈은 하나의 슬라이스를 서빙한다. 구체적인 구현 동안에, 인증 모듈의 수량 및 인증 모듈에 의해 서빙되는 슬라이스의 분포 상태는 실제 적용 시나리오에 기반하여 정해질 수 있고, 이것은 여기에서 한정되지 않는다.
본 발명의 이 실시예에서, 네트워크 기능 선택 모듈은 AUSF, AURF, SSF, MM 및 유사한 것을 포함할 수 있고, 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있으며, 이것은 여기에서 한정되지 않는다.
본 발명의 이 실시예에서, 인증 모듈은 AU, 프론트 엔드, ACA 및 유사한 것을 포함할 수 있고, 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있으며, 이것은 여기에서 한정되지 않는다.
도 16은 본 발명의 실시예에 따른 관리 시스템에서 (UE, AN, 네트워크 기능 선택 모듈 및 인증 모듈을 포함하는) 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 개략적인 상호작용 도해이다. 도 15에 도시된 시스템이 사이버 보안 관리를 구현하는 프로세스는 이하의 단계를 포함할 수 있다:
1601. UE는 제1 서비스 요청을 네트워크 기능 선택 모듈에 발신하는데, 제1 서비스 요청은 인증 프로토콜 정보를 반송한다.
1602. 네트워크 기능 선택 모듈은 인증 프로토콜 정보에 기반하여 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택한다.
1603. 네트워크 기능 선택 모듈은 제2 서비스 요청을 타겟 인증 모듈에 발신한다.
1604. 타겟 인증 모듈은 제2 서비스 요청을 수신하고, UE와의 상호 인증을 수행한다.
몇몇 실현가능한 구현에서, 제1 서비스 요청은 구체적으로 UE가 슬라이스에 접속되기를 요청한다는 접속 요청일 수 있다. 대안적으로, 제1 서비스 요청은, UE가 슬라이스에 접속되었고 새 서비스 요청을 사용함으로써 다른 슬라이스에 접속되기를 기대하는 경우에 UE에 의해 발신되는 새 서비스 요청일 수 있다. 접속 요청 또는 새 서비스 요청은 인증 프로토콜 정보를 반송한다. 인증 프로토콜 정보는 UE에 의해 지원되는 하나 이상의 인증 프로토콜의 식별자, 또는 UE에 의해 지원되는 복수의 인증 프로토콜 각각의 선택 우선순위와 같은 정보를 포함한다. 접속 요청 또는 새 서비스 요청은 UE가 접속될 슬라이스의 식별자 및 유사한 것을 또한 반송할 수 있다. 제1 서비스 요청의 유형 및 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보는 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
몇몇 실현가능한 구현에서, UE에 의해 발신된 제1 서비스 요청을 수신한 후에, 네트워크 기능 선택 모듈은 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보에 기반하여 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 인증 프로토콜 정보가 UE에 의해 지원되는 하나의 인증 프로토콜(예컨대, 제1 인증 프로토콜)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜의 식별자에 기반하여, 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 하나보다 많은 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 제1 서비스 요청이 UE가 접속될 슬라이스(즉, 지정된 네트워크 슬라이스)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 타겟 인증 모듈은 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 인증 모듈이다. 구체적으로, 네트워크 기능 선택 모듈은 제1 인증 프로토콜의 식별자에 기반하여 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 우선 선택할 수 있다. 하나보다 많은 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 지정된 네트워크 슬라이스의 식별자에 기반하여, 제1 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 UE가 접속될 슬라이스와 연관된 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. UE가 접속될 슬라이스와 연관된 인증 모듈은 그 슬라이스를 서빙하는 인증 모듈일 수 있다. 추가로, 대안적으로, 네트워크 기능 선택 모듈은 지정된 네트워크 슬라이스의 식별자에 기반하여 복수의 인증 모듈로부터 지정된 네트워크 슬라이스를 지원하는 인증 모듈을 우선 선택할 수 있다. 하나보다 많은 인증 모듈들이 지정된 네트워크 슬라이스를 지원하는 경우, 네트워크 기능 선택 모듈은, 제1 인증 프로토콜에 따라, 지정된 네트워크 슬라이스를 지원하는 복수의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 또한, 대안적으로, 네트워크 기능 선택 모듈은 동시에 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 선택 프로세스에서의 인증 모듈 선별 방식은 실제 적용 시나리오에 기반하여 정해질 수 있고, 여기에서 한정되지 않는다.
또한, 몇몇 실현가능한 구현에서, 하나보다 많은 타겟 인증 모듈들이 제1 인증 프로토콜의 식별자에 기반하여 또는 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 선택되는 경우, 네트워크 기능 선택 모듈은, 최종적으로 선택된 타겟 인증 모듈로서, 각각의 선택된 선택대상 타겟 인증 모듈의 로드 상태에 기반하여, 복수의 선택된 선택대상 타겟 인증 모듈로부터 가장 작은 로드를 갖는 인증 모듈을 선택할 수 있다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보가 UE에 의해 지원되는 복수의 인증 프로토콜(각각의 인증 프로토콜은, 예컨대, 제2 인증 프로토콜임)의 식별자를 반송하는 경우, 네트워크 기능 선택 모듈은, UE에 의해 지원되는 제2 인증 프로토콜의 식별자에 기반하여, 네트워크에 포함된 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 시스템에 포함된 복수의 인증 모듈 중 오직 하나가 UE에 의해 지원되는 인증 프로토콜을 지원하는 경우, 그 인증 모듈은 타겟 인증 모듈로서 판정될 수 있다. 네트워크에 포함된 복수의 인증 모듈이 UE에 의해 지원되는 인증 프로토콜 중 하나를 지원하는 복수의 인증 모듈을 포함하는 경우, 가장 작은 로드를 갖는 인증 모듈이 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 타겟 인증 모듈로서 선택될 수 있다. 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은 각각의 인증 프로토콜의 선택 우선순위 또는 각각의 인증 모듈의 로드 상태에 기반하여 복수의 상이한 인증 모듈로부터 타겟 인증 모듈을 선택한다.
몇몇 실현가능한 구현에서, 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, UE에 의해 지원되는 복수의 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 이후 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다. 하나보다 많은 선택대상 인증 모듈들이 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 경우, 가장 작은 로드를 갖는 인증 모듈이, 각각의 선택대상 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 타겟 인증 모듈로서 선택될 수 있다.
몇몇 실현가능한 구현에서, 네트워크에 포함된 복수의 인증 모듈이 상이한 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 직접적으로 선택할 수 있다.
또한, 몇몇 실현가능한 구현에서, 제1 서비스 요청 내에서 반송되는 인증 프로토콜 정보는 UE에 의해 지원되는 복수의 인증 프로토콜(각각의 인증 프로토콜은, 예컨대, 제3 인증 프로토콜일 수 있음)의 식별자 및 각각의 제3 인증 프로토콜의 선택 우선순위를 포함할 수 있다. 네트워크 기능 선택 모듈은, UE에 의해 지원되는 제3 인증 프로토콜의 식별자에 기반하여, 시스템에 포함된 복수의 인증 모듈로부터 타겟 인증 모듈을 선택할 수 있다. 구체적인 구현 동안에, 시스템에 포함된 복수의 인증 모듈 중 단지 하나가 UE에 의해 지원되는 인증 프로토콜을 지원하는 경우, 그 인증 모듈은 타겟 인증 모듈로서 판정될 수 있다. 시스템에 포함된 복수의 인증 모듈이 UE에 의해 지원되는 제3 인증 프로토콜 중 하나를 지원하는 복수의 인증 모듈을 포함하는 경우, 가장 작은 로드를 갖는 인증 모듈이 그 제3 인증 프로토콜을 지원하는 복수의 인증 모듈로부터 타겟 인증 모듈로서 선택될 수 있다. 시스템에 포함된 복수의 인증 모듈이 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 시스템에 포함된 복수의 인증 모듈이 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈을 포함하는 경우, 네트워크 기능 선택 모듈은, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 상이한 제3 인증 프로토콜을 지원하는 복수의 상이한 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜(예컨대, 제4 인증 프로토콜)을 지원하는 인증 모듈을 타겟 인증 모듈로서 또한 선택할 수 있다. 하나보다 많은 인증 모듈들이 제4 인증 프로토콜을 지원하는 경우, 네트워크 기능 선택 모듈은, 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택할 수 있다.
또한, 몇몇 실현가능한 구현에서, 제1 서비스 요청은 UE가 접속될 슬라이스의 식별자 외에도 더 많은 슬라이스 정보를 반송할 수 있고, 슬라이스 정보는 구체적으로 슬라이스 유형, 슬라이스에 의해 지원되는 서비스 유형, 슬라이스 차용자 식별자, 또는 유사한 것을 포함할 수 있다. 인증 프로토콜 정보에 기반하여 타겟 인증 모듈을 선택하는 프로세스에서, 네트워크 기능 선택 모듈은 슬라이스 정보를 참조하여 종합적인 선택을 또한 수행할 수 있고, 이것은 여기에서 한정되지 않는다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈을 선택한 후에, 네트워크 기능 선택 모듈은 제2 서비스 요청을 타겟 인증 모듈에 발신할 수 있다. 상응하여, 제2 서비스 요청은 또한 접속 요청 또는 새 서비스 요청일 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈이 단지 하나의 인증 프로토콜을 지원하는 경우, 타겟 인증 모듈에 발신되는 제2 서비스 요청은 인증 프로토콜 정보를 반송할 필요가 없으며, UE의 식별자, UE가 접속될 슬라이스에 대한 정보 또는 유사한 것을 반송할 수 있다. 타겟 인증 모듈이 복수의 인증 프로토콜을 지원할 수 있는 경우, 제2 서비스 요청은, UE 및 타겟 인증 모듈 양자 모두에 의해 지원되는 인증 프로토콜의 것으로서 타겟 인증 모듈의 선택 동안에 사용되는 것인 식별자를 반송할 수 있다. 선택적으로, 제2 서비스 요청은 UE의 식별자, UE가 접속될 슬라이스에 대한 정보, 또는 유사한 것을 반송할 수 있고, 이것은 여기에서 한정되지 않는다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈이 단지 하나의 인증 프로토콜을 지원하는 경우, 타겟 인증 모듈은 인증 프로토콜을 사용함으로써 UE와의 상호 인증을 직접적으로 수행할 수 있다. 타겟 인증 모듈이 복수의 인증 프로토콜을 지원할 수 있는 경우, 타겟 인증 모듈은 네트워크 기능 선택 모듈에 의해 발신된 제2 서비스 요청을 수신하고, UE 및 타겟 인증 모듈 양자 모두에 의해 지원되고 제2 서비스 요청 내에서 반송되는 인증 프로토콜에 따라 UE와의 상호 인증을 수행할 수 있다. 구체적인 구현 동안에, 제2 서비스 요청은 UE의 식별자, 예컨대, UE의 ID를 또한 반송할 수 있고, 이것은 여기에서 한정되지 않는다. 인증 모듈이 UE의 ID 또는 슬라이스 정보를 사용함으로써 UE와의 상호 인증을 구현하는 구현예에 대하여, 5G 프레임워크에서의 시스템 상호작용의 기존 구현을 참조하고, 세부사항은 여기에서 기술되지 않는다.
구체적인 구현 동안에, 본 발명의 이 실시예에서 제공되는 관리 시스템이 상이한 적용 시나리오에서 인증 모듈 선택을 구현하는 구현예에 대하여, 도 5 내지 도 7에서의 실시예서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
본 발명의 이 실시예에서, 네트워크 기능 선택 모듈은, UE에 의해 지원되는 인증 프로토콜에 대한 정보에 기반하여, UE에 의해 지원되는 인증 프로토콜을 지원하는 인증 모듈을 선택할 수 있고, 이후 인증 모듈은 UE와의 상호 인증을 수행할 수 있는바, 이로써 인증 모듈 선택 정확도 및 사이버 보안을 개선한다.
도 17은 본 발명의 실시예에 따른 사이버 보안 관리 시스템의 다른 개략적인 구조도이다. 본 발명의 이 실시예에서 제공되는 관리 시스템은 UE, AN, 보안 정책 제어기 및 인증 모듈을 포함할 수 있다. 인증 모듈은 복수의 슬라이스에 의해 공유되는 인증 모듈을 포함하고, 단일 슬라이스에 전속적인 인증 모듈을 또한 포함한다. 복수의 공유된 인증 모듈이 있을 수 있고, 각각의 공유된 인증 모듈은 적어도 2개의 슬라이스를 서빙한다. 또한 복수의 전속적인 인증 모듈이 있을 수 있고, 각각의 전속적인 인증 모듈은 하나의 슬라이스를 서빙한다. 구체적인 구현 동안에, 인증 모듈의 수량 및 인증 모듈에 의해 서빙되는 슬라이스의 분포 상태는 실제 적용 시나리오에 기반하여 정해질 수 있고, 이것은 여기에서 한정되지 않는다.
본 발명의 이 실시예에서, 인증 모듈은 AU, 프론트 엔드, ACA 및 유사한 것을 포함할 수 있고, 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있으며, 이것은 여기에서 한정되지 않는다.
도 18은 본 발명의 실시예에 따른 관리 시스템에서 (UE, AN, 보안 정책 제어기 및 인증 모듈을 포함하는) 기능 모듈에 의해 사이버 보안 관리를 구현하는 것의 다른 개략적인 상호작용 도해이다. 도 17에 도시된 시스템이 사이버 보안 관리에서 보안 구성 관리를 구현하는 프로세스는 이하의 단계를 포함할 수 있다:
1801. 보안 정책 제어기는 네트워크 슬라이스 보안 정책을 AN 또는 인증 모듈에 전달한다.
1802. UE는 제1 서비스 요청을 AN에 발신하는데, 제1 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
1803. AN은 제2 서비스 요청을 인증 모듈에 발신하는데, 제2 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
1804. 인증 모듈은 제2 서비스 요청을 수신하고, UE와의 상호 인증을 수행한다.
1805. 인증 모듈은 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정한다.
1806. AN은 제2 서비스 요청 응답을 발신하는데, 제2 서비스 요청 응답은 제1 보안 구성을 반송한다.
1807. AN은 제1 보안 구성 또는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정한다.
1808. AN은 제1 서비스 요청 응답을 UE에 발신하는데, 제1 서비스 요청 응답은 제2 보안 구성을 반송한다.
몇몇 실현가능한 구현에서, 본 발명의 이 실시예에서 제공되는 보안 정책 제어기는 시스템에 포함된 각각의 네트워크 슬라이스의 보안 정책을 인증 모듈 또는 AN에 전달하도록 구성된다. 구체적인 구현 동안에, 본 발명의 이 실시예에서 제공되는 관리 시스템에서, UE가 접속될 슬라이스의 보안 정책은 타겟 인증 모듈(도 17에 도시된 인증 모듈)에 의해 실행될 수 있거나, UE가 접속될 슬라이스의 보안 정책은 타겟 인증 모듈 및 AN에 의해 공동으로 실행될 수 있다. 구체적인 구현 동안에, 네트워크 슬라이스 보안 정책은 UE 및 AN 간의 시그널링에 대한 키의 길이를 지정할 수 있고, 암호화 알고리즘 선택 우선순위, 무결성 보호 알고리즘 선택 우선순위 및 키의 사용 범위와 같은 정보를 또한 지정할 수 있다. 키의 사용 범위는 키의 사용 지속기간, 키를 사용함으로써 암호화될 수 있는 데이터 패킷의 수효 또는 유사한 것을 포함할 수 있다.
몇몇 실현가능한 구현에서, UE가 접속될 슬라이스의 보안 정책이 타겟 인증 모듈에 의해 실행되는 경우, 보안 정책 제어기는 시스템 내의 하나 이상의 네트워크 슬라이스의 보안 정책을 타겟 인증 모듈에 발신할 수 있다. 하나 이상의 네트워크 슬라이스는 타겟 인증 모듈에 의해 서빙되는 네트워크 슬라이스 중 하나 이상일 수 있고, 구체적으로 실제 적용 시나리오에 기반하여 정해질 수 있다. 이것은 여기에서 한정되지 않는다.
구체적인 구현 동안에, UE는 제1 서비스 요청을 AN에 발신할 수 있다. 제1 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다. 제1 서비스 요청을 수신한 후에, AN은 제2 서비스 요청을 인증 모듈에 발신할 수 있다. 제2 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다. 제2 서비스 요청을 수신한 후에, 인증 모듈은 UE와의 상호 인증을 수행할 수 있고, 이후 UE가 접속될 슬라이스의 보안 정책을 실행할 수 있다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈은, 제2 서비스 요청 내에서 반송되는 UE의 보안 능력을 사용함으로써, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 판정할 수 있다. 대안적으로, 타겟 인증 모듈은, 네트워크를 사용함으로써, UE의 보안 능력, 구체적으로, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 획득할 수 있다. 타겟 인증 모듈은 AN의 보안 능력, 구체적으로, AN에 의해 지원되는 암호화 알고리즘, 무결성 보호 알고리즘 및 유사한 것을 또한 획득할 수 있다. AN의 보안 능력은 AN에 의해 타겟 인증 모듈에 발신될 수 있다. 예컨대, AN은 AN의 보안 능력을 제2 서비스 요청에 추가하고 제2 서비스 요청을 타겟 인증 모듈에 발신할 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈은 UE가 접속될 지정된 네트워크 슬라이스의 보안 정책(즉, 지정된 보안 정책)에 따라 키를 생성할 수 있고, UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 기반하여 암호화 알고리즘 및 무결성 보호 알고리즘을 또한 선택할 수 있다. 키는 적어도 2개의 키, 예컨대, 제1 키 및 제2 키를 포함할 수 있다. 제1 키는 UE 및 AN 간의 시그널링을 보호하기 위해 사용되는 키일 수 있고, 제2 키는 UE 및 AU 간의 시그널링을 보호하기 위해 사용되는 키일 수 있다. 제1 키의 길이 및 제2 키의 길이는 지정된 보안 정책 내에 지정된 키 길이와 부합한다. 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘일 수 있고, 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘일 수 있다.
몇몇 실현가능한 구현에서, 제1 키 및 제2 키를 생성하고 타겟 암호화 알고리즘 및 타겟 무결성 보호 알고리즘을 선택한 후에, 타겟 인증 모듈은 제1 키, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자에 기반하여 제1 보안 구성을 생성하고, 제1 보안 구성을 제2 서비스 요청 응답에 추가할 수 있는데, 제2 서비스 요청 응답을 사용함으로써 AN에 제1 보안 구성 정보를 발신하기 위함이다. 제1 보안 구성 정보는 제1 키의 사용 범위, 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자와 같은 정보를 포함할 수 있다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한 후에, AN은 제2 서비스 요청 응답 내에서 반송되는 제1 구성 정보에 기반하여 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자와 같은 정보를 판정할 수 있다. 제1 보안 구성이 제1 키, 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자와 같은 정보를 반송하는 경우, AN은 보안 정책을 실행할 필요가 없고, 직접적으로 키를 저장하고, 제1 보안 구성 내에서 반송되는 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자를 제2 보안 구성으로서 판정하며, 제2 보안 구성을 제1 서비스 요청 응답에 추가하고, 이후 제1 서비스 요청 응답을 UE에 발신하여 제2 보안 구성을 UE에 통지할 수 있다.
몇몇 실현가능한 구현에서, UE가 접속될 슬라이스의 보안 정책이 타겟 인증 모듈 및 AN에 의해 공동으로 실행되는 경우, 보안 정책 제어기는 타겟 인증 모듈에 의해 지원되는 하나 이상의 네트워크 슬라이스의 보안 정책을 타겟 인증 모듈에 발신할 수 있고, 보안 정책 제어기는 시스템 내의 각각의 네트워크 슬라이스의 보안 정책을 AN에 또한 발신할 수 있다. 타겟 인증 모듈은, 제2 서비스 요청 내에서 반송되는 UE의 보안 능력을 사용함으로써, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 판정할 수 있고, UE의 보안 능력을 AN에 또한 발신할 수 있다. 대안적으로, 타겟 인증 모듈 및 AN은, 네트워크를 사용함으로써, UE의 보안 능력, 구체적으로, UE에 의해 지원되는 암호화 알고리즘 및 무결성 보호 알고리즘과 같은 정보를 획득할 수 있다. 구체적인 구현 동안에, 타겟 인증 모듈은 적어도 2개의 키, 예컨대, 제1 키 및 제2 키를 지정된 보안 정책에 따라 생성할 수 있다. 또한, 타겟 인증 모듈은 제1 키의 사용 범위 및 지정된 네트워크 슬라이스의 식별자와 같은 정보에 기반하여 제1 구성을 생성하고, 제1 구성을 제2 서비스 요청 응답에 추가할 수 있다.
몇몇 실현가능한 구현에서, 타겟 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한 후에, AN은 제2 서비스 요청 응답 내에서 반송되는 제1 구성 정보에 기반하여 키 및 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자와 같은 정보를 판정할 수 있다. 제1 보안 구성이 제1 키에 대한 정보만을 반송하는 경우, AN은 보안 정책을 실행할 필요가 있다. 구체적으로, AN은, 지정된 네트워크 슬라이스의 식별자에 기반하여, 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책을 판정하고, 이후 UE의 보안 능력 및 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 및 타겟 무결성 보호 알고리즘을 선택할 수 있다. 또한, AN은 타겟 암호화 알고리즘의 식별자 및 타겟 무결성 보호 알고리즘의 식별자를 제1 보안 구성에 추가하여, 제2 보안 구성을 획득하고, 제2 보안 구성을 제1 서비스 요청 응답에 추가하며, 제1 서비스 요청 응답을 UE에 발신하여 제2 보안 구성을 UE에 통지할 수 있다.
구체적인 구현 동안에, 상이한 모듈이 본 발명의 이 실시예에서 제공되는 관리 시스템에서 상이한 적용 시나리오에서 보안 정책을 실행하는 구체적인 구현 프로세스에 대하여, 도 8 및 도 9에 대응하는 실시예에서의 단계에서 기술된 구현을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
본 발명의 이 실시예에서, 인증 프로토콜에 따라 선택된 타겟 인증 모듈이 보안 구성을 생성할 수 있거나, 인증 프로토콜에 따라 선택된 타겟 인증 모듈 및 AN이 보안 구성을 생성할 수 있는바, 선택 유연성이 높고 사이버 보안이 개선된다.
도 19는 본 발명의 실시예에 따른 사이버 보안 관리 방법의 개략적인 흐름도이다. 본 발명의 이 실시예에서 제공되는 관리 방법은 이하의 단계를 포함할 수 있다.
S1901. 네트워크 기능 선택 모듈은 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신한다.
제1 서비스 요청은 인증 프로토콜 정보를 반송한다.
S1902. 네트워크 기능 선택 모듈은, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택한다.
S1903. 네트워크 기능 선택 모듈은 제2 서비스 요청을 타겟 인증 모듈에 발신한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
네트워크 기능 선택 모듈에 의해, 제1 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 타겟 인증 모듈을 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 하나 이상의 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우, 방법은,
제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 더 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
네트워크 기능 선택 모듈에 의해, 제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 타겟 인증 모듈을 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 하나보다 많은 인증 모듈들이 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 경우, 방법은,
제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 더 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
제2 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 네트워크 기능 선택 모듈에 의해 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
제2 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제2 인증 프로토콜 중 적어도 하나를 지원하고 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 네트워크 기능 선택 모듈에 의해 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
네트워크 기능 선택 모듈에 의해, 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, UE에 의해 지원되는 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 적어도 2개의 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 방법은,
하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 더 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
네트워크 기능 선택 모듈에 의해, 제3 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하는 것과,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
네트워크 기능 선택 모듈이, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 것은,
네트워크 기능 선택 모듈에 의해, 제3 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하는 것과,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하는 것과,
하나보다 많은 제2 인증 모듈들이 있는 경우, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 제2 인증 모듈들로부터 지정된 네트워크 슬라이스를 서빙하는 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하는 것을 포함한다.
몇몇 실현가능한 구현에서, 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 20은 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이다. 본 발명의 이 실시예에서 제공되는 관리 방법은 이하의 단계를 포함할 수 있다.
S2501. 제2 네트워크 기능 선택 모듈은 제1 네트워크 기능 선택 모듈에 의해 발신된 인증 모듈 선택 요청을 수신한다.
인증 모듈 선택 요청은 사용자 장비(User Equipment: UE)에 의해 발신된 인증 프로토콜 정보를 반송한다.
S2052. 제2 네트워크 기능 선택 모듈은, 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택한다.
S2503. 제2 네트워크 기능 선택 모듈은, 제1 네트워크 기능 선택 모듈을 사용함으로써 타겟 인증 모듈에 서비스 요청을 발신하기 위해, 제1 네트워크 기능 선택 모듈에 타겟 인증 모듈의 식별자를 발신한다.
본 발명의 이 실시예에서, 제1 네트워크 기능 선택 모듈은 메시지를 라우팅할 수 있고, 제2 네트워크 기능 선택 모듈은 인증 모듈 선택을 구현하는바, 네트워크 시그널링 오버헤드가 감소될 수 있고, 인증 모듈 선택 효율이 개선될 수 있다.
도 21은 본 발명의 실시예에 따른 사이버 보아 관리 방법의 다른 개략적인 흐름도이다. 본 발명의 이 실시예에서 제공되는 관리 방법은 이하의 단계를 포함할 수 있다.
S2001. 인증 모듈은 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신한다.
S2002. 인증 모듈은 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신한다.
서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
S2003. 인증 모듈은, 지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여, 지정된 네트워크 슬라이스의 식별자에 기반하여, 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 검색하고(search), 지정된 보안 정책에 따라 보안 구성을 판정한다.
S2004. 인증 모듈은 서비스 요청 응답을 AN에 발신한다.
서비스 요청 응답은 보안 구성을 반송한다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
지정된 보안 정책에 따라 보안 구성을 판정하는 것은,
지정된 네트워크 슬라이스의 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 키 길이에 대응하는 키를 생성하는 것과,
UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 포함된 암호화 알고리즘 정보와 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 것과,
키와, 타겟 암호화 알고리즘의 식별자 또는 타겟 무결성 보호 알고리즘의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하는 것을 포함한다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 키 정보를 포함하고,
지정된 보안 정책에 따라 보안 구성을 판정하는 것은,
지정된 네트워크 슬라이스의 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 키 길이에 대응하는 키를 생성하며, 키와, 지정된 네트워크 슬라이스의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하는 것을 포함한다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
지정된 보안 정책에 따라 보안 구성을 판정하는 것은,
UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 포함된 암호화 알고리즘 정보와 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 것과,
타겟 암호화 알고리즘의 식별자 또는 타겟 무결성 보호 알고리즘의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하는 것을 포함한다.
몇몇 실현가능한 구현에서, 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
타겟 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
타겟 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
몇몇 실현가능한 구현에서, 인증 모듈은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 22는 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이다. 본 발명의 이 실시예에서 제공되는 관리 방법은 이하의 단계를 포함할 수 있다.
S2101. 액세스 네트워크(Access Network: AN)는 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신한다.
제1 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
S2102. AN은 제2 서비스 요청을 인증 모듈에 발신한다.
제2 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자, AN의 보안 능력 및 UE의 보안 능력을 반송한다.
S2103. AN은 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신한다.
S2104. AN은 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한다.
제2 서비스 요청 응답은 지정된 네트워크 슬라이스의 식별자, AN의 보안 능력 및 UE의 보안 능력에 기반하여 인증 모듈에 의해 판정된 제1 보안 구성을 반송한다.
S2105. AN은 제1 보안 구성에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 UE에 발신한다.
제1 서비스 요청 응답은 제2 보안 구성을 반송한다.
몇몇 실현가능한 구현에서, 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
AN이 제1 보안 구성에 기반하여 제2 보안 구성을 판정하는 것은,
AN에 의해, 키를 저장하고, 제1 보안 구성으로부터 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자를 획득하며, 암호화 알고리즘의 식별자 및 무결성 보호 알고리즘의 식별자에 기반하여 제2 보안 구성을 생성하는 것을 포함한다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 23은 본 발명의 실시예에 따른 사이버 보안 관리 방법의 다른 개략적인 흐름도이다. 본 발명의 이 실시예에서 제공되는 관리 방법은 이하의 단계를 포함할 수 있다.
S2601. 액세스 네트워크(Access Network: AN)는 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신한다.
제1 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
S2602. AN은 제2 서비스 요청을 인증 모듈에 발신한다.
제2 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송한다.
S2603. AN은 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신한다.
S2604. AN은 UE의 보안 능력 및 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 UE에 발신한다.
제1 서비스 요청 응답은 제2 보안 구성을 반송한다.
몇몇 실현가능한 구현에서, AN이 UE의 보안 능력 및 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하는 것은,
AN에 의해, 지정된 네트워크 슬라이스의 식별자에 기반하여 지정된 보안 정책을 판정하는 것과,
AN의 보안 능력, UE의 보안 능력 및 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 타겟 암호화 알고리즘의 식별자 또는 타겟 무결성 보호 알고리즘의 식별자에 기반하여 제2 보안 구성을 생성하는 것을 포함한다.
몇몇 실현가능한 구현에서, 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
타겟 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
타겟 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 24는 본 발명의 실시예에 따른 사이버 보안 관리 장치의 개략적인 구조도이다. 도 24에 도시된 바와 같이, 본 발명의 이 실시예에서 제공되는 관리 장치는 구체적으로 본 발명의 실시예에서 제공되는 네트워크 기능 선택 모듈일 수 있다. 관리 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(221)(제1 서비스 요청은 인증 프로토콜 정보를 반송함)과,
수신 유닛에 의해 수신된 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하도록 구성된 선택 유닛(222)과,
제2 서비스 요청을 선택 유닛에 의해 선택된 타겟 인증 모듈에 발신하도록 구성된 발신 유닛(223)을 포함할 수 있다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
선택 유닛(222)은,
제1 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제1 인증 프로토콜을 지원하는 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 하나보다 많은 인증 모듈들이 제1 인증 프로토콜을 지원하는 경우,
선택 유닛(222)은,
제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
선택 유닛(222)은,
제1 인증 프로토콜의 식별자 및 지정된 네트워크 슬라이스의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 타겟 인증 모듈을 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 하나보다 많은 인증 모듈들이 제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 경우, 선택 유닛(222)은,
제1 인증 프로토콜 및 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
선택 유닛(222)은,
제2 인증 프로토콜의 식별자에 기반하여, 적어도 2개의 인증 모듈로부터 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
선택 유닛(222)은,
제2 인증 프로토콜의 식별자에 기반하여, 적어도 2개의 인증 모듈로부터 제2 인증 프로토콜 중 적어도 하나를 지원하고 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
선택 유닛(222)은,
네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, UE에 의해 지원되는 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 적어도 2개의 인증 모듈로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 지원하는 선택대상 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 선택 유닛(222)은,
하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 인증 모듈들로부터 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
선택 유닛(222)은,
제3 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 인증 프로토콜 정보는 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
선택 유닛(222)은,
제3 인증 프로토콜의 식별자에 기반하여 적어도 2개의 인증 모듈로부터 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 제2 인증 모듈들로부터 지정된 네트워크 슬라이스를 서빙하는 가장 적은 로드를 갖는 인증 모듈을 타겟 인증 모듈로서 선택하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 선택 유닛(222)은 제1 서브유닛 및 제2 서브유닛을 포함하되,
제1 서브유닛은, UE에 의해 발신된 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 제2 서브유닛에 발신하도록 구성되되, 인증 모듈 선택 요청은 인증 프로토콜 정보를 반송하고,
제2 서브유닛은, 인증 프로토콜 정보에 기반하여 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하고, 타겟 인증 모듈의 식별자를 제1 서브유닛에 발신하도록 구성되며,
제1 서브유닛은 타겟 인증 모듈의 식별자에 대응하는 타겟 인증 모듈에 제2 서비스 요청을 발신하도록 또한 구성된다.
몇몇 실현가능한 구현에서, 제2 서브유닛은 선택 유닛에 의해 수행되는 구현 중 임의의 것을 수행하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 선택 유닛(222)은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함한다.
몇몇 실현가능한 구현에서, 제1 서브유닛은 AURF이고, 제2 서브유닛은 AUSF이다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 25는 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이다. 도 25에 도시된 바와 같이, 본 발명의 이 실시예에서 제공되는 관리 장치는 구체적으로 본 발명의 실시예에서 제공되는 인증 모듈일 수 있다. 관리 장치는,
보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하도록 구성된 수신 유닛(231)(여기서 수신 유닛(231)은 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신하도록 또한 구성되되, 서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함) 과,
지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여 수신 유닛(231)에 의해 수신된 지정된 네트워크 슬라이스의 식별자에 기반하여, 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 검색하고, 지정된 보안 정책에 따라 보안 구성을 판정하도록 구성된 실행 유닛(232)과,
서비스 요청 응답을 AN에 발신하도록 구성된 발신 유닛(233)(서비스 요청 응답은 실행 유닛(232)에 의해 판정된 보안 구성을 반송함)을 포함할 수 있다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
실행 유닛(232)은,
지정된 네트워크 슬라이스의 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 키 길이에 대응하는 키를 생성하며,
UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 포함된 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
키와, 타겟 암호화 알고리즘의 식별자 또는 타겟 무결성 보호 알고리즘의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 키 정보를 포함하고,
실행 유닛(232)은,
지정된 네트워크 슬라이스의 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 키 길이에 대응하는 키를 생성하며, 키와, 지정된 네트워크 슬라이스의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
실행 유닛은,
UE의 보안 능력, AN의 보안 능력 및 지정된 보안 정책에 포함된 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자에 기반하여 보안 구성을 생성하고, 보안 구성을 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
타겟 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
타겟 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
몇몇 실현가능한 구현에서, 실행 유닛(232)은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함한다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 26은 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이다. 도 26에 도시된 바와 같이, 본 발명의 이 실시예에서 제공되는 관리 장치는 구체적으로 본 발명의 실시예에서 제공되는 AN(또는 RAN)일 수 있다. 관리 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(241)(제1 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)과,
수신 유닛에 의해 수신된 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛(242)(제2 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자, AN의 보안 능력 및 UE의 보안 능력을 반송하되,
여기서 수신 유닛(241)은 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하도록 또한 구성되고,
수신 유닛(241)은 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성되되, 제2 서비스 요청 응답은 지정된 네트워크 슬라이스의 식별자, AN의 보안 능력 및 UE의 보안 능력에 기반하여 인증 모듈에 의해 판정된 제1 보안 구성을 반송함)과,
수신 유닛에 의해 수신된 제1 보안 구성에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛(243)(여기서 발신 유닛(242)은 제1 서비스 요청 응답을 UE에 발신하도록 또한 구성되되, 제1 서비스 요청 응답은 처리 유닛에 의해 판정된 제2 보안 구성을 반송함)을 포함할 수 있다.
몇몇 실현가능한 구현에서, 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
처리 유닛(243)은,
키를 저장하고, 제1 보안 구성으로부터 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 획득하며, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자에 기반하여 제2 보안 구성을 생성하도록 구체적으로 구성된다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
도 27은 본 발명의 실시예에 따른 사이버 보안 관리 장치의 다른 개략적인 구조도이다. 도 27에 도시된 바와 같이, 본 발명의 이 실시예에서 제공되는 관리 장치는 구체적으로 본 발명의 실시예에서 제공되는 AN(또는 RAN)일 수 있다. 관리 장치는,
사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛(271)(제1 서비스 요청은 UE의 보안 능력 및 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함)과,
수신 유닛에 의해 수신된 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛(272)(제2 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송하고, 여기서
수신 유닛(271)은 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성됨)과,
수신 유닛에 의해 수신된 UE의 보안 능력 및 지정된 네트워크 슬라이스의 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛(273)(여기서
발신 유닛(272)은 제1 서비스 요청 응답을 UE에 발신하도록 또한 구성되되, 제1 서비스 요청 응답은 처리 유닛에 의해 판정된 제2 보안 구성을 반송함)을 포함할 수 있다.
몇몇 실현가능한 구현에서, 처리 유닛은,
지정된 보안 정책을 지정된 네트워크 슬라이스의 식별자에 기반하여 판정하고,
AN의 보안 능력, UE의 보안 능력 및 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 타겟 암호화 알고리즘의 식별자 또는 타겟 무결성 보호 알고리즘의 식별자에 기반하여 제2 보안 구성을 생성하도록 구체적으로 구성된다.
몇몇 실현가능한 구현에서, 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
타겟 암호화 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
타겟 무결성 보호 알고리즘은 UE 및 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘이다.
구체적인 구현 동안에, 관리 방법에서의 각각의 단계에서 기술된 구현에 대하여, 전술된 시스템 각각에서 각각의 적용 시나리오에 대응하는 실행 방식을 참조하고, 세부사항은 여기에서 다시 기술되지 않는다.
본 발명의 명세서, 청구항 및 첨부된 도면에서, 용어 "제1", "제2", "제3", "제4" 및 유사한 것은 상이한 객체 간을 구별하도록 의도되나, 특정한 순서를 지시하지는 않는다. 나아가, 용어 "포함하다", "가지다" 및 이의 임의의 다른 변형은 비배타적인 포함을 포섭하도록 의도된다. 예컨대, 일련의 단계 또는 유닛을 포함하는 프로세스, 방법, 시스템, 제품 또는 디바이스는 열거된 단계 또는 유닛에 한정되지 않고, 열거되지 않은 단계 또는 유닛을 선택적으로 더 포함하거나, 프로세스, 방법, 시스템, 제품 또는 디바이스의 다른 내재적인 단계 또는 유닛을 선택적으로 더 포함한다.
통상의 기술자는 실시예에서의 방법의 프로세스의 전부 또는 일부가 관련 하드웨어에 명령하는 컴퓨터 프로그램에 의해 구현될 수 있음을 이해할 수 있다. 프로그램은 컴퓨터 판독가능 저장 매체 내에 저장될 수 있다. 프로그램이 실행되는 경우, 실시예에서의 방법의 프로세스가 수행될 수 있다. 저장 매체는, 자기 디스크, 광학 디스크, 판독 전용 메모리(Read-Only Memory, ROM), 랜덤 액세스 메모리(Random Access Memory, RAM) 또는 유사한 것을 포함할 수 있다.
위에서 개시된 것은 본 발명의 실시예의 예일 뿐이며, 물론 본 발명의 청구항의 범위를 한정하도록 의도되지 않는다. 따라서, 본 발명의 청구항에 따라 행해지는 균등한 변형은 본 발명의 범위 내에 속할 것이다.

Claims (93)

  1. 사이버 보안 관리 시스템으로서, 상기 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리를 구현하도록 구성되고, 상기 시스템은 사용자 장비(User Equipment: UE), 액세스 네트워크(Access Network: AN), 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함하되,
    상기 UE는 제1 서비스 요청을 상기 네트워크 기능 선택 모듈에 발신하도록 구성되되, 상기 제1 서비스 요청은 인증 프로토콜 정보를 반송하고(carry),
    상기 네트워크 기능 선택 모듈은, 상기 인증 프로토콜 정보에 기반하여 상기 적어도 2개의 인증 모듈로부터 타겟(target) 인증 모듈을 선택하고, 제2 서비스 요청을 상기 타겟 인증 모듈에 발신하도록 구성되며,
    상기 타겟 인증 모듈은, 상기 제2 서비스 요청을 수신하고, 상기 UE와의 상호 인증을 수행하도록 구성되고,
    상기 타겟 인증 모듈은, 상기 UE가 접속될 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제2 서비스 요청 응답을 상기 AN에 발신하도록 또한 구성되되, 상기 제2 서비스 요청 응답은 상기 제1 보안 구성을 반송하며,
    상기 AN은, 상기 제1 보안 구성 또는 상기 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 상기 UE에 발신하도록 구성되되, 상기 제1 서비스 요청 응답은 상기 제2 보안 구성을 반송하는,
    관리 시스템.
  2. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜을 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 시스템.
  3. 제2항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜을 지원하는 경우, 상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드(load) 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  4. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜의 상기 식별자 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 시스템.
  5. 제4항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 경우, 상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  6. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상(to-be-selected) 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  7. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하고 상기 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  8. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 상기 UE에 의해 지원되는 상기 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 상기 적어도 2개의 인증 모듈로부터 상기 가장 높은 선택 우선순위를 갖는 상기 인증 프로토콜을 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 상기 네트워크 기능 선택 모듈은,
    상기 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  10. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  11. 제1항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
    하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
    하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는(served) 네트워크 슬라이스에 대한 정보에 기반하여, 상기 제2 인증 모듈들로부터 상기 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  12. 제1항에 있어서,
    상기 네트워크 기능 선택 모듈은 제1 서브모듈 및 제2 서브모듈을 포함하되,
    상기 제1 서브모듈은, 상기 UE에 의해 발신된 상기 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 상기 제2 서브모듈에 발신하도록 구성되되, 상기 인증 모듈 선택 요청은 상기 인증 프로토콜 정보를 반송하고,
    상기 제2 서브모듈은, 상기 인증 프로토콜 정보에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 타겟 인증 모듈을 선택하고, 상기 타겟 인증 모듈의 식별자를 상기 제1 서브모듈에 발신하도록 구성되며,
    상기 제1 서브모듈은 상기 타겟 인증 모듈의 상기 식별자에 대응하는 상기 타겟 인증 모듈에 상기 제2 서비스 요청을 발신하도록 또한 구성된,
    관리 시스템.
  13. 제12항에 있어서,
    상기 제2 서브모듈은 제2항 내지 제11항 중 어느 한 항에 따라 상기 네트워크 기능 선택 모듈에 의해 수행되는 구현을 수행하도록 구체적으로 구성된,
    관리 시스템.
  14. 제2항 내지 제11항 중 어느 한 항에 있어서,
    보안 정책 제어기를 더 포함하되,
    상기 보안 정책 제어기는 네트워크 슬라이스 보안 정책을 상기 인증 모듈 또는 상기 AN에 전달하도록 구성된,
    관리 시스템.
  15. 제14항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력 및 상기 AN의 보안 능력을 또한 반송하며,
    상기 타겟 인증 모듈은,
    상기 지정된 네트워크 슬라이스에 대응하는 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며,
    상기 UE의 상기 보안 능력, 상기 AN의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 키와, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 상기 제1 보안 구성을 생성하고, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 제1 보안 구성 내에서 반송되는 상기 타겟 암호화 알고리즘의 상기 식별자 또는 상기 타겟 무결성 보호 알고리즘의 상기 식별자를 상기 제2 보안 구성으로서 판정하고, 상기 제2 보안 구성을 상기 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 시스템.
  16. 제14항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈 및 상기 AN에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력을 또한 반송하며,
    상기 타겟 인증 모듈은,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며, 상기 키와, 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 제1 보안 구성을 생성하고, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 지정된 보안 정책을 판정하고, 상기 AN의 보안 능력, 상기 UE의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하며,
    상기 제2 보안 구성을 획득하기 위해, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 상기 제1 보안 구성에 추가하도록 구체적으로 구성된,
    관리 시스템.
  17. 제14항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력을 또한 반송하며,
    상기 타겟 인증 모듈은,
    상기 UE의 상기 보안 능력, 상기 AN의 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 상기 제1 보안 구성을 생성하며, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 제1 보안 구성 내에서 반송되는 상기 타겟 암호화 알고리즘의 상기 식별자 또는 상기 타겟 무결성 보호 알고리즘의 상기 식별자를 상기 제2 보안 구성으로서 판정하고, 상기 제2 보안 구성을 상기 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 시스템.
  18. 제15항 내지 제17항 중 어느 한 항에 있어서,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 시스템.
  19. 제1항 내지 제18항 중 어느 한 항에 있어서,
    상기 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함하는,
    관리 시스템.
  20. 제12항 내지 제18항 중 어느 한 항에 있어서,
    상기 제1 서브모듈은 AURF이고, 상기 제2 서브모듈은 AUSF인,
    관리 시스템.
  21. 제1항 내지 제18항 중 어느 한 항에 있어서,
    상기 인증 모듈은 AU, 프론트 엔드(front-end) 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함하는,
    관리 시스템.
  22. 사이버 보안 관리 시스템으로서, 상기 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리에서 인증 모듈 선택을 구현하도록 구성되고, 상기 시스템은 사용자 장비(User Equipment: UE), 네트워크 기능 선택 모듈 및 적어도 2개의 인증 모듈을 포함하되,
    상기 UE는 제1 서비스 요청을 상기 네트워크 기능 선택 모듈에 발신하도록 구성되되, 상기 제1 서비스 요청은 인증 프로토콜 정보를 반송하고,
    상기 네트워크 기능 선택 모듈은, 상기 인증 프로토콜 정보에 기반하여 상기 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하고, 제2 서비스 요청을 상기 타겟 인증 모듈에 발신하도록 구성되며,
    상기 타겟 인증 모듈은, 상기 제2 서비스 요청을 수신하고, 상기 UE와의 상호 인증을 수행하도록 구성된,
    관리 시스템.
  23. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜을 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 시스템.
  24. 제23항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜을 지원하는 경우, 상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  25. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜의 상기 식별자 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 시스템.
  26. 제25항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 경우, 상기 네트워크 기능 선택 모듈은,
    상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  27. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  28. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하고 상기 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  29. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 상기 UE에 의해 지원되는 상기 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 상기 적어도 2개의 인증 모듈로부터 상기 가장 높은 선택 우선순위를 갖는 상기 인증 프로토콜을 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  30. 제27항 내지 제29항 중 어느 한 항에 있어서,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 상기 네트워크 기능 선택 모듈은,
    상기 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  31. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 네트워크 기능 선택 모듈은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  32. 제22항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 제1 서비스 요청은 상기 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
    하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
    하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 상기 제2 인증 모듈들로부터 상기 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 시스템.
  33. 제22항에 있어서,
    상기 네트워크 기능 선택 모듈은 제1 서브모듈 및 제2 서브모듈을 포함하되,
    상기 제1 서브모듈은, 상기 UE에 의해 발신된 상기 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 상기 제2 서브모듈에 발신하도록 구성되되, 상기 인증 모듈 선택 요청은 상기 인증 프로토콜 정보를 반송하고,
    상기 제2 서브모듈은, 상기 인증 프로토콜 정보에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 타겟 인증 모듈을 선택하고, 상기 타겟 인증 모듈의 식별자를 상기 제1 서브모듈에 발신하도록 구성되며,
    상기 제1 서브모듈은 상기 타겟 인증 모듈의 상기 식별자에 대응하는 상기 타겟 인증 모듈에 상기 제2 서비스 요청을 발신하도록 또한 구성된,
    관리 시스템.
  34. 제33항에 있어서,
    상기 제2 서브모듈은 제23항 내지 제32항 중 어느 한 항에 따라 상기 네트워크 기능 선택 모듈에 의해 수행되는 구현을 수행하도록 구체적으로 구성된,
    관리 시스템.
  35. 제22항 내지 제34항 중 어느 한 항에 있어서,
    상기 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함하는,
    관리 시스템.
  36. 제33항 또는 제34항에 있어서,
    상기 제1 서브모듈은 AURF이고, 상기 제2 서브모듈은 AUSF인,
    관리 시스템.
  37. 제22항 내지 제34항 중 어느 한 항에 있어서,
    상기 인증 모듈은 AU, 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함하는,
    관리 시스템.
  38. 사이버 보안 관리 시스템으로서, 상기 관리 시스템은 적어도 2개의 네트워크 슬라이스를 포함하는 네트워크의 보안 관리에서 보안 구성 관리를 구현하도록 구성되고, 상기 시스템은 사용자 장비(User Equipment: UE), 액세스 네트워크(Access Network: AN), 보안 정책 제어기 및 인증 모듈을 포함하되,
    상기 보안 정책 제어기는 네트워크 슬라이스 보안 정책을 상기 AN 또는 상기 인증 모듈에 전달하도록 구성되고,
    상기 UE는 제1 서비스 요청을 상기 AN에 발신하도록 구성되되, 상기 제1 서비스 요청은 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송하며,
    상기 AN은 제2 서비스 요청을 상기 인증 모듈에 발신하도록 구성되되, 상기 제2 서비스 요청은 상기 UE가 접속될 상기 지정된 네트워크 슬라이스의 상기 식별자를 반송하고,
    상기 인증 모듈은, 상기 제2 서비스 요청을 수신하고, 상기 UE와의 상호 인증을 수행하도록 구성되며,
    상기 인증 모듈은, 상기 지정된 네트워크 슬라이스의 지정된 보안 정책에 따라 제1 보안 구성을 판정하고, 제2 서비스 요청 응답을 상기 AN에 발신하도록 또한 구성되되, 상기 제2 서비스 요청 응답은 상기 제1 보안 구성을 반송하고,
    상기 AN은, 상기 제1 보안 구성 또는 상기 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 상기 UE에 발신하도록 또한 구성되되, 상기 제1 서비스 요청 응답은 상기 제2 보안 구성을 반송하는,
    관리 시스템.
  39. 제38항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력 및 상기 AN의 보안 능력을 또한 반송하며,
    상기 인증 모듈은,
    상기 지정된 네트워크 슬라이스에 대응하는 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며,
    상기 UE의 상기 보안 능력, 상기 AN의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 키와, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 상기 제1 보안 구성을 생성하고, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 제1 보안 구성 내에서 반송되는 상기 타겟 암호화 알고리즘의 상기 식별자 또는 상기 타겟 무결성 보호 알고리즘의 상기 식별자를 상기 제2 보안 구성으로서 판정하고, 상기 제2 보안 구성을 상기 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 시스템.
  40. 제38항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈 및 상기 AN에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력을 또한 반송하며,
    상기 인증 모듈은,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며, 상기 키와, 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 제1 보안 구성을 생성하고, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 지정된 보안 정책을 판정하고, 상기 AN의 보안 능력, 상기 UE의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하며,
    상기 제2 보안 구성을 획득하기 위해, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 상기 제1 보안 구성에 추가하도록 구체적으로 구성된,
    관리 시스템.
  41. 제38항에 있어서,
    상기 보안 정책 제어기는 상기 네트워크 슬라이스 보안 정책을 상기 인증 모듈에 전달하도록 구성되고,
    상기 제2 서비스 요청은 상기 UE의 보안 능력 및 상기 AN의 보안 능력을 또한 반송하며,
    상기 인증 모듈은,
    상기 UE의 상기 보안 능력, 상기 AN의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 키와, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자를 사용함으로써 상기 제1 보안 구성을 생성하고, 상기 제1 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 또한 구성되고,
    상기 AN은,
    상기 제1 보안 구성 내에서 반송되는 상기 타겟 암호화 알고리즘의 상기 식별자 또는 상기 타겟 무결성 보호 알고리즘의 상기 식별자를 상기 제2 보안 구성으로서 판정하고, 상기 제2 보안 구성을 상기 제1 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 시스템.
  42. 제39항 내지 제41항 중 어느 한 항에 있어서,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 시스템.
  43. 제38항 내지 제42항 중 어느 한 항에 있어서,
    상기 인증 모듈은 AU, 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함하는,
    관리 시스템.
  44. 사이버 보안 관리 방법으로서,
    네트워크 기능 선택 모듈에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계 - 상기 제1 서비스 요청은 인증 프로토콜 정보를 반송함 - 와,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계와,
    상기 네트워크 기능 선택 모듈에 의해, 제2 서비스 요청을 상기 타겟 인증 모듈에 발신하는 단계를 포함하는
    관리 방법.
  45. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 네트워크 기능 선택 모듈에 의해, 상기 제1 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜을 지원하는 상기 타겟 인증 모듈을 선택하는 단계를 포함하는,
    관리 방법.
  46. 제45항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜을 지원하는 경우, 상기 방법은,
    상기 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 더 포함하는,
    관리 방법.
  47. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 네트워크 기능 선택 모듈에 의해, 상기 제1 인증 프로토콜의 상기 식별자 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 상기 타겟 인증 모듈을 선택하는 단계를 포함하는,
    관리 방법.
  48. 제47항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 경우, 상기 방법은,
    상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 포함하는,
    관리 방법.
  49. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 상기 네트워크 기능 선택 모듈에 의해 선택하는 단계를 포함하는,
    관리 방법.
  50. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하고 상기 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 상기 네트워크 기능 선택 모듈에 의해 선택하는 단계를 포함하는,
    관리 방법.
  51. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 네트워크 기능 선택 모듈에 의해, 상기 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 상기 UE에 의해 지원되는 상기 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 상기 적어도 2개의 인증 모듈로부터 상기 가장 높은 선택 우선순위를 갖는 상기 인증 프로토콜을 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 포함하는,
    관리 방법.
  52. 제49항 내지 제51항 중 어느 한 항에 있어서,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 상기 방법은,
    상기 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 더 포함하는,
    관리 방법.
  53. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 네트워크 기능 선택 모듈에 의해, 상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하는 단계와,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 포함하는,
    관리 방법.
  54. 제44항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계는,
    상기 네트워크 기능 선택 모듈에 의해, 상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하는 단계와,
    하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하는 단계와,
    하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 상기 제2 인증 모듈들로부터 상기 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하는 단계를 포함하는,
    관리 방법.
  55. 제44항 내지 제54항 중 어느 한 항에 있어서,
    상기 네트워크 기능 선택 모듈은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함하는,
    관리 방법.
  56. 사이버 보안 관리 방법으로서,
    제2 네트워크 기능 선택 모듈에 의해, 제1 네트워크 기능 선택 모듈에 의해 발신된 인증 모듈 선택 요청을 수신하는 단계 - 상기 인증 모듈 선택 요청은 사용자 장비(User Equipment: UE)에 의해 발신된 인증 프로토콜 정보를 반송함 - 와,
    상기 제2 네트워크 기능 선택 모듈에 의해 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하는 단계와,
    상기 제2 네트워크 기능 선택 모듈에 의해, 상기 제1 네트워크 기능 선택 모듈을 사용함으로써 상기 타겟 인증 모듈에 서비스 요청을 발신하기 위해, 상기 제1 네트워크 기능 선택 모듈에 상기 타겟 인증 모듈의 식별자를 발신하는 단계를 포함하는
    관리 방법.
  57. 사이버 보안 관리 방법으로서,
    인증 모듈에 의해, 보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하는 단계와,
    상기 인증 모듈에 의해, 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신하는 단계 - 상기 서비스 요청은 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 와,
    상기 인증 모듈에 의해 상기 지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여, 상기 보안 정책 제어기에 의해 전달된 상기 네트워크 슬라이스 보안 정책을 검색하고, 상기 지정된 보안 정책에 따라 보안 구성을 판정하는 단계와,
    상기 인증 모듈에 의해, 서비스 요청 응답을 상기 AN에 발신하는 단계 - 상기 서비스 요청 응답은 상기 보안 구성을 반송함 - 를 포함하는
    관리 방법.
  58. 제57항에 있어서,
    상기 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
    상기 서비스 요청은 상기 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
    상기 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하는 단계와,
    상기 UE의 상기 보안 능력, 상기 AN의 보안 능력 및 상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보와 상기 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 단계와,
    상기 키와, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하는 단계를 포함하는,
    관리 방법.
  59. 제57항에 있어서,
    상기 지정된 보안 정책은 키 정보를 포함하고,
    상기 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며, 상기 키와, 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하는 단계를 포함하는,
    관리 방법.
  60. 제57항에 있어서,
    상기 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
    상기 서비스 요청은 상기 사용자 장비(User Equipment: UE)의 보안 능력을 또한 반송하며,
    상기 지정된 보안 정책에 따라 보안 구성을 판정하는 단계는,
    상기 UE의 상기 보안 능력, 상기 AN의 보안 능력 및 상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보와 상기 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하는 단계와,
    상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하는 단계를 포함하는,
    관리 방법.
  61. 제58항 내지 제60항 중 어느 한 항에 있어서,
    상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 상기 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 방법.
  62. 제57항 내지 제61항 중 어느 한 항에 있어서,
    상기 인증 모듈은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함하는,
    관리 방법.
  63. 사이버 보안 관리 방법으로서,
    액세스 네트워크(Access Network: AN)에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계 - 상기 제1 서비스 요청은 상기 UE의 보안 능력 및 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 와,
    상기 AN에 의해, 제2 서비스 요청을 인증 모듈에 발신하는 단계 - 상기 제2 서비스 요청은 상기 UE가 접속될 상기 지정된 네트워크 슬라이스의 상기 식별자, 상기 AN의 보안 능력 및 상기 UE의 상기 보안 능력을 반송함 - 와,
    상기 AN에 의해, 상기 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하는 단계 - 상기 제2 서비스 요청 응답은 상기 인증 모듈에 의해 상기 지정된 네트워크 슬라이스의 상기 식별자, 상기 AN의 상기 보안 능력 및 상기 UE의 상기 보안 능력에 기반하여 판정된 제1 보안 구성을 반송함 - 와,
    상기 AN에 의해, 상기 제1 보안 구성에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 상기 UE에 발신하는 단계 - 상기 제1 서비스 요청 응답은 상기 제2 보안 구성을 반송함 - 를 포함하는,
    관리 방법.
  64. 제63항에 있어서,
    상기 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
    상기 AN에 의해, 상기 제1 보안 구성에 기반하여 제2 보안 구성을 판정하는 단계는,
    상기 AN에 의해, 상기 키를 저장하고, 상기 제1 보안 구성으로부터 상기 암호화 알고리즘의 상기 식별자 및 상기 무결성 보호 알고리즘의 상기 식별자를 획득하며, 상기 암호화 알고리즘의 상기 식별자 및 상기 무결성 보호 알고리즘의 상기 식별자에 기반하여 상기 제2 보안 구성을 생성하는 단계를 포함하는,
    관리 방법.
  65. 사이버 보안 관리 방법으로서,
    액세스 네트워크(Access Network: AN)에 의해, 사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하는 단계 - 상기 제1 서비스 요청은 상기 UE의 보안 능력 및 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 와,
    상기 AN에 의해, 제2 서비스 요청을 인증 모듈에 발신하는 단계 - 상기 제2 서비스 요청은 상기 UE가 접속될 상기 지정된 네트워크 슬라이스의 상기 식별자를 반송함 - 와,
    상기 AN에 의해, 상기 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하는 단계와,
    상기 AN에 의해, 상기 UE의 상기 보안 능력 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하고, 제1 서비스 요청 응답을 상기 UE에 발신하는 단계 - 상기 제1 서비스 요청 응답은 상기 제2 보안 구성을 반송함 - 를 포함하는,
    관리 방법.
  66. 제65항에 있어서,
    상기 AN에 의해, 상기 UE의 상기 보안 능력 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하는 단계는,
    상기 AN에 의해, 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 지정된 보안 정책을 판정하는 단계와,
    상기 AN의 보안 능력, 상기 UE의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자에 기반하여 상기 제2 보안 구성을 생성하는 단계를 포함하는,
    관리 방법.
  67. 제66항에 있어서,
    상기 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 방법.
  68. 사이버 보안 관리 장치로서,
    사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛 - 상기 제1 서비스 요청은 인증 프로토콜 정보를 반송함 - 과,
    상기 수신 유닛에 의해 수신된 상기 인증 프로토콜 정보에 기반하여, 네트워크에 포함된 적어도 2개의 인증 모듈로부터 타겟 인증 모듈을 선택하도록 구성된 선택 유닛과,
    제2 서비스 요청을 상기 선택 유닛에 의해 선택된 상기 타겟 인증 모듈에 발신하도록 구성된 발신 유닛을 포함하는
    관리 장치.
  69. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 선택 유닛은,
    상기 제1 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜을 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 장치.
  70. 제69항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜을 지원하는 경우,
    상기 선택 유닛은,
    상기 제1 인증 프로토콜을 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  71. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 선택된 제1 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 선택 유닛은,
    상기 제1 인증 프로토콜의 상기 식별자 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 상기 타겟 인증 모듈을 선택하도록 구체적으로 구성된,
    관리 장치.
  72. 제71항에 있어서,
    하나보다 많은 인증 모듈들이 상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 경우, 상기 선택 유닛은,
    상기 제1 인증 프로토콜 및 상기 지정된 네트워크 슬라이스를 지원하는 각각의 인증 모듈의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  73. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 선택 유닛은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  74. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 선택 유닛은,
    상기 제2 인증 프로토콜의 상기 식별자에 기반하여, 상기 적어도 2개의 인증 모듈로부터 상기 제2 인증 프로토콜 중 적어도 하나를 지원하고 상기 지정된 네트워크 슬라이스를 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  75. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제2 인증 프로토콜의 식별자를 포함하고,
    상기 선택 유닛은,
    상기 네트워크 내에 설정된 인증 프로토콜 선택 우선순위에 기반하여, 상기 UE에 의해 지원되는 상기 제2 인증 프로토콜로부터 가장 높은 선택 우선순위를 갖는 인증 프로토콜을 판정하고, 상기 적어도 2개의 인증 모듈로부터 상기 가장 높은 선택 우선순위를 갖는 상기 인증 프로토콜을 지원하는 선택대상 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  76. 제73항 내지 제75항 중 어느 한 항에 있어서,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우에, 상기 선택 유닛은,
    상기 하나보다 많은 선택대상 인증 모듈들 각각의 로드 상태에 기반하여, 상기 인증 모듈들로부터 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  77. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 선택 유닛은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 선택대상 인증 모듈을 선택하고,
    하나보다 많은 선택대상 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 선택대상 인증 모듈들로부터 가장 높은 선택 우선순위를 갖는 제4 인증 프로토콜을 지원하는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  78. 제68항에 있어서,
    상기 인증 프로토콜 정보는 상기 UE에 의해 지원되는 적어도 2개의 제3 인증 프로토콜의 식별자 및 상기 적어도 2개의 제3 인증 프로토콜 각각의 선택 우선순위를 포함하고,
    상기 제1 서비스 요청은 지정된 네트워크 슬라이스의 식별자를 또한 반송하며,
    상기 선택 유닛은,
    상기 제3 인증 프로토콜의 상기 식별자에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 제3 인증 프로토콜 중 적어도 하나를 지원하는 제1 인증 모듈을 선택하고,
    하나보다 많은 제1 인증 모듈들이 있는 경우, 각각의 제3 인증 프로토콜의 상기 선택 우선순위에 기반하여, 모든 제1 인증 모듈들로부터 가장 높은 우선순위를 갖는 제4 인증 프로토콜을 지원하는 제2 인증 모듈을 선택하며,
    하나보다 많은 제2 인증 모듈들이 있는 경우에, 각각의 제2 인증 모듈의 로드 상태 또는 각각의 제2 인증 모듈에 의해 서빙되는 네트워크 슬라이스에 대한 정보에 기반하여, 상기 제2 인증 모듈들로부터 상기 지정된 네트워크 슬라이스를 서빙하는 가장 작은 로드를 갖는 인증 모듈을 상기 타겟 인증 모듈로서 선택하도록 구체적으로 구성된,
    관리 장치.
  79. 제68항에 있어서,
    상기 선택 유닛은 제1 서브유닛 및 제2 서브유닛을 포함하되,
    상기 제1 서브유닛은, 상기 UE에 의해 발신된 상기 제1 서비스 요청을 수신하고, 인증 모듈 선택 요청을 상기 제2 서브유닛에 발신하도록 구성되되, 상기 인증 모듈 선택 요청은 상기 인증 프로토콜 정보를 반송하고,
    상기 제2 서브유닛은, 상기 인증 프로토콜 정보에 기반하여 상기 적어도 2개의 인증 모듈로부터 상기 타겟 인증 모듈을 선택하고, 상기 타겟 인증 모듈의 식별자를 상기 제1 서브유닛에 발신하도록 구성되며,
    상기 제1 서브유닛은 상기 타겟 인증 모듈의 상기 식별자에 대응하는 상기 타겟 인증 모듈에 상기 제2 서비스 요청을 발신하도록 또한 구성된,
    관리 장치.
  80. 제79항에 있어서,
    상기 제2 서브유닛은 제69항 내지 제78항 중 어느 한 항에 따라 상기 선택 유닛에 의해 수행되는 구현을 수행하도록 구체적으로 구성된,
    관리 장치.
  81. 제68항 내지 제77항 중 어느 한 항에 있어서,
    상기 선택 유닛은 인증 유닛 선택 기능(Authentication Unit (AU) Selection Function: AUSF), AU 라우팅 기능(AU Routing Function: AURF), 슬라이스 선택 기능(Slice Selection Function: SSF) 및 이동성 관리(Mobility Management: MM) 중 적어도 하나를 포함하는,
    관리 장치.
  82. 제79항 또는 제80항에 있어서,
    상기 제1 서브유닛은 AURF이고, 상기 제2 서브유닛은 AUSF인,
    관리 장치.
  83. 사이버 보안 관리 장치로서,
    보안 정책 제어기에 의해 전달된 네트워크 슬라이스 보안 정책을 수신하도록 구성된 수신 유닛 - 상기 수신 유닛은 액세스 네트워크(Access Network: AN)에 의해 발신된 서비스 요청을 수신하도록 또한 구성되되, 상기 서비스 요청은 사용자 장비(User Equipment: UE)의 보안 능력 및 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 과,
    상기 지정된 네트워크 슬라이스의 지정된 보안 정책에 대하여 상기 수신 유닛에 의해 수신된 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여, 상기 보안 정책 제어기에 의해 전달된 상기 네트워크 슬라이스 보안 정책을 검색하고, 상기 지정된 보안 정책에 따라 보안 구성을 판정하도록 구성된 실행 유닛과,
    서비스 요청 응답을 상기 AN에 발신하도록 구성된 발신 유닛 - 상기 서비스 요청 응답은 상기 실행 유닛에 의해 판정된 상기 보안 구성을 반송함 - 을 포함하는
    관리 장치.
  84. 제83항에 있어서,
    상기 지정된 보안 정책은 키 정보 및 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
    상기 서비스 요청은 상기 사용자 장비(User Equipment: UE)의 상기 보안 능력을 또한 반송하며,
    상기 실행 유닛은,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며,
    상기 UE의 상기 보안 능력, 상기 AN의 보안 능력 및 상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보 또는 상기 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 키와, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 장치.
  85. 제83항에 있어서,
    상기 지정된 보안 정책은 키 정보를 포함하고,
    상기 실행 유닛은,
    상기 지정된 네트워크 슬라이스의 상기 지정된 보안 정책 내에 지정된 키 길이를 판정하고, 상기 키 길이에 대응하는 키를 생성하며, 상기 키와, 상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 장치.
  86. 제83항에 있어서,
    상기 지정된 보안 정책은 암호화 알고리즘 정보 또는 무결성 보호 알고리즘 정보를 포함하고,
    상기 서비스 요청은 상기 사용자 장비(User Equipment: UE)의 상기 보안 능력을 또한 반송하며,
    상기 실행 유닛은,
    상기 UE의 상기 보안 능력, 상기 AN의 보안 능력 및 상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보 또는 상기 무결성 보호 알고리즘 정보에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고,
    상기 암호화 알고리즘의 식별자 또는 상기 무결성 보호 알고리즘의 식별자에 기반하여 상기 보안 구성을 생성하고, 상기 보안 구성을 상기 제2 서비스 요청 응답에 추가하도록 구체적으로 구성된,
    관리 장치.
  87. 제84항 내지 제86항 중 어느 한 항에 있어서,
    상기 지정된 보안 정책에 포함된 상기 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 상기 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 장치.
  88. 제83항 내지 제87항 중 어느 한 항에 있어서,
    상기 실행 유닛은 인증 유닛(Authentication Unit: AU), 프론트 엔드 및 액세스 제어 에이전트(Access Control Agent: ACA) 중 적어도 하나를 포함하는,
    관리 장치.
  89. 사이버 보안 관리 장치로서,
    사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛 - 상기 제1 서비스 요청은 상기 UE의 보안 능력 및 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 과,
    상기 수신 유닛에 의해 수신된 상기 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛 - 상기 제2 서비스 요청은 상기 UE가 접속될 상기 지정된 네트워크 슬라이스의 상기 식별자, 상기 AN의 보안 능력 및 상기 UE의 상기 보안 능력을 반송하고, 상기 수신 유닛은 상기 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성되되, 상기 제2 서비스 요청 응답은 상기 인증 모듈에 의해 상기 지정된 네트워크 슬라이스의 상기 식별자, 상기 AN의 상기 보안 능력 및 상기 UE의 상기 보안 능력에 기반하여 판정된 제1 보안 구성을 반송함 - 과,
    상기 수신 유닛에 의해 수신된 상기 제1 보안 구성에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛 - 상기 발신 유닛은 제1 서비스 요청 응답을 상기 UE에 발신하도록 또한 구성되되, 상기 제1 서비스 요청 응답은 상기 처리 유닛에 의해 판정된 상기 제2 보안 구성을 반송함 - 을 포함하는,
    관리 장치.
  90. 제89항에 있어서,
    상기 제1 보안 구성은 키와, 암호화 알고리즘의 식별자 또는 무결성 보호 알고리즘의 식별자를 포함하고,
    상기 처리 유닛은,
    상기 키를 저장하고, 상기 제1 보안 구성으로부터 상기 암호화 알고리즘의 상기 식별자 또는 상기 무결성 보호 알고리즘의 상기 식별자를 획득하며, 상기 암호화 알고리즘의 상기 식별자 또는 상기 무결성 보호 알고리즘의 상기 식별자에 기반하여 상기 제2 보안 구성을 생성하도록 구체적으로 구성된,
    관리 장치.
  91. 사이버 보안 관리 장치로서,
    사용자 장비(User Equipment: UE)에 의해 발신된 제1 서비스 요청을 수신하도록 구성된 수신 유닛 - 상기 제1 서비스 요청은 상기 UE의 보안 능력 및 상기 UE가 접속될 지정된 네트워크 슬라이스의 식별자를 반송함 - 과,
    상기 수신 유닛에 의해 수신된 상기 제1 서비스 요청에 기반하여 제2 서비스 요청을 인증 모듈에 발신하도록 구성된 발신 유닛 - 상기 제2 서비스 요청은 상기 UE가 접속될 상기 지정된 네트워크 슬라이스의 상기 식별자를 반송하고, 상기 수신 유닛은 상기 인증 모듈에 의해 발신된 제2 서비스 요청 응답을 수신하도록 또한 구성됨 - 과,
    상기 수신 유닛에 의해 수신된 상기 UE의 상기 보안 능력 및 상기 지정된 네트워크 슬라이스의 상기 식별자에 대응하는 지정된 보안 정책에 기반하여 제2 보안 구성을 판정하도록 구성된 처리 유닛 - 상기 발신 유닛은 제1 서비스 요청 응답을 상기 UE에 발신하도록 또한 구성되되, 상기 제1 서비스 요청 응답은 상기 처리 유닛에 의해 판정된 상기 제2 보안 구성을 반송함 - 을 포함하는,
    관리 장치.
  92. 제91항에 있어서,
    상기 처리 유닛은,
    상기 지정된 네트워크 슬라이스의 상기 식별자에 기반하여 상기 지정된 보안 정책을 판정하고,
    상기 AN의 보안 능력, 상기 UE의 상기 보안 능력 및 상기 지정된 보안 정책에 기반하여 타겟 암호화 알고리즘 또는 타겟 무결성 보호 알고리즘을 선택하고, 상기 타겟 암호화 알고리즘의 식별자 또는 상기 타겟 무결성 보호 알고리즘의 식별자에 기반하여 상기 제2 보안 구성을 생성하도록 구체적으로 구성된,
    관리 장치.
  93. 제92항에 있어서,
    상기 지정된 보안 정책에 포함된 암호화 알고리즘 정보는 암호화 알고리즘 선택 우선순위이고, 무결성 보호 알고리즘 정보는 무결성 보호 알고리즘 선택 우선순위이며,
    상기 타겟 암호화 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 암호화 알고리즘에서 가장 높은 선택 우선순위를 갖는 암호화 알고리즘이고,
    상기 타겟 무결성 보호 알고리즘은 상기 UE 및 상기 AN 양자 모두에 의해 지원되는 무결성 보호 알고리즘에서 가장 높은 선택 우선순위를 갖는 무결성 보호 알고리즘인,
    관리 장치.
KR1020197001740A 2016-07-05 2017-03-23 사이버 보안 관리 시스템, 방법 및 장치 KR102169767B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610525502.5A CN107579948B (zh) 2016-07-05 2016-07-05 一种网络安全的管理系统、方法及装置
CN201610525502.5 2016-07-05
PCT/CN2017/077949 WO2018006626A1 (zh) 2016-07-05 2017-03-23 一种网络安全的管理系统、方法及装置

Publications (2)

Publication Number Publication Date
KR20190018720A true KR20190018720A (ko) 2019-02-25
KR102169767B1 KR102169767B1 (ko) 2020-10-26

Family

ID=60901770

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197001740A KR102169767B1 (ko) 2016-07-05 2017-03-23 사이버 보안 관리 시스템, 방법 및 장치

Country Status (7)

Country Link
US (1) US10897712B2 (ko)
EP (1) EP3468137B1 (ko)
JP (1) JP6737948B2 (ko)
KR (1) KR102169767B1 (ko)
CN (1) CN107579948B (ko)
BR (1) BR112019000169A2 (ko)
WO (1) WO2018006626A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4187952A4 (en) * 2020-08-06 2024-01-03 Huawei Tech Co Ltd METHOD, SYSTEM AND APPARATUS FOR DETERMINING USER PLANE SECURITY ALGORITHM

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107623668A (zh) 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
CN107666666B (zh) * 2016-07-27 2022-11-08 中兴通讯股份有限公司 密钥的衍生方法及装置
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy
CN109391648B (zh) * 2017-08-04 2020-12-22 华为技术有限公司 一种应用与网络切片的关联方法、装置和通信系统
WO2019140629A1 (zh) * 2018-01-19 2019-07-25 Oppo广东移动通信有限公司 一种接入控制的方法、设备及计算机存储介质
CN110167025B (zh) * 2018-02-13 2021-01-29 华为技术有限公司 一种通信方法及通信装置
CN110351721A (zh) * 2018-04-08 2019-10-18 中兴通讯股份有限公司 接入网络切片的方法及装置、存储介质、电子装置
US10455637B1 (en) 2018-06-08 2019-10-22 Verizon Patent And Licensing Inc. Next generation to VoLTE fallback for voice calls
CN111654862B (zh) * 2019-03-04 2021-12-03 华为技术有限公司 终端设备的注册方法及装置
CN111835802B (zh) * 2019-04-18 2021-08-27 大唐移动通信设备有限公司 一种通信方法及装置
US11336682B2 (en) * 2019-07-09 2022-05-17 Nice Ltd. System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels
US11337119B2 (en) 2019-08-07 2022-05-17 Verizon Patent And Licensing Inc. Next generation to long term evolution (LTE) fallback for voice calls
EP3826340A1 (en) * 2019-11-21 2021-05-26 Thales Dis France Sa Method for authenticating a user on a network slice
CN112616124B (zh) * 2020-12-03 2023-11-24 广东电力通信科技有限公司 一种基于5g网络切片的电力物联网安全管理方法及系统
US11968242B2 (en) * 2021-07-01 2024-04-23 Cisco Technology, Inc. Differentiated service in a federation-based access network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060041939A1 (en) * 2004-08-19 2006-02-23 Sharon Schwartzman Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7450595B1 (en) * 2001-05-01 2008-11-11 At&T Corp. Method and system for managing multiple networks over a set of ports
JP2004328029A (ja) 2003-04-21 2004-11-18 Nec Corp ネットワークアクセスシステム
FR2865051B1 (fr) * 2004-01-14 2006-03-03 Stg Interactive Procede et systeme pour l'exploitation d'un reseau informatique destine a la publication de contenu
US7356694B2 (en) * 2004-03-10 2008-04-08 American Express Travel Related Services Company, Inc. Security session authentication system and method
CN100525184C (zh) * 2004-05-27 2009-08-05 华为技术有限公司 网络安全防护系统及方法
JP2006065690A (ja) * 2004-08-27 2006-03-09 Ntt Docomo Inc デバイス認証装置、サービス制御装置、サービス要求装置、デバイス認証方法、サービス制御方法及びサービス要求方法
US8213934B2 (en) 2006-04-14 2012-07-03 Qualcomm Incorporated Automatic selection of a home agent
US20080076425A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for resource management
WO2009050924A1 (ja) * 2007-10-19 2009-04-23 Nippon Telegraph And Telephone Corporation 利用者認証システム及びその方法
TW200922256A (en) * 2007-11-06 2009-05-16 Nat Univ Tsing Hua Method for reconfiguring security mechanism of a wireless network and the mobile node and network node thereof
US8966584B2 (en) * 2007-12-18 2015-02-24 Verizon Patent And Licensing Inc. Dynamic authentication gateway
CN101232509A (zh) * 2008-02-26 2008-07-30 杭州华三通信技术有限公司 支持隔离模式的网络接入控制方法、系统及设备
US8812374B1 (en) * 2008-06-30 2014-08-19 Amazon Technologies, Inc. Client-to service compatibility framework
CN104936307B (zh) * 2008-09-15 2019-01-18 三星电子株式会社 用于连接分组数据网络的方法及装置
US8488596B2 (en) 2008-11-03 2013-07-16 At&T Intellectual Property I, L.P. Method and apparatus for sharing a single data channel for multiple signaling flows destined to multiple core networks
WO2011041419A1 (en) * 2009-09-30 2011-04-07 Amazon Technologies, Inc. Modular device authentication framework
JP5319575B2 (ja) * 2010-02-23 2013-10-16 日本電信電話株式会社 通信方法および通信システム
EP2913976B1 (en) * 2011-04-28 2017-08-09 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US8819794B2 (en) * 2012-01-19 2014-08-26 Microsoft Corporation Integrating server applications with multiple authentication providers
JP5466723B2 (ja) * 2012-03-07 2014-04-09 株式会社Nttドコモ ホスト提供システム及び通信制御方法
TW201410052A (zh) 2012-05-09 2014-03-01 Interdigital Patent Holdings 彈性網路共享
JP2014082638A (ja) * 2012-10-16 2014-05-08 Ukd:Kk 仮想ネットワーク構築システム、仮想ネットワーク構築方法、小型端末並びに認証サーバ
US8763057B2 (en) * 2012-11-06 2014-06-24 Verizon Patent And Licensing Inc. Method and system for enhancing delivery of third party content
CN103124443B (zh) 2012-12-28 2015-09-23 上海顶竹通讯技术有限公司 多个核心网与无线网络控制器之间的互联装置及方法
JP2014155095A (ja) * 2013-02-12 2014-08-25 Oki Electric Ind Co Ltd 通信制御装置、プログラム及び通信制御方法
JP6198476B2 (ja) 2013-06-20 2017-09-20 株式会社日清製粉グループ本社 麺類の製造方法
CN105025478A (zh) 2014-04-30 2015-11-04 中兴通讯股份有限公司 D2D通信安全配置方法、ProSe密钥管理功能实体、终端及系统
US9521539B2 (en) 2014-06-05 2016-12-13 Cisco Technology, Inc. System and method for small cell gateway core network selection in a multi-operator core network environment
US9825928B2 (en) * 2014-10-22 2017-11-21 Radware, Ltd. Techniques for optimizing authentication challenges for detection of malicious attacks
US9900446B2 (en) * 2015-02-15 2018-02-20 Lenovo (Beijing) Co., Ltd. Information processing method using virtual subscriber identification card information, electronic apparatus and server
CN104639559B (zh) * 2015-02-27 2018-04-03 飞天诚信科技股份有限公司 一种支持多种认证协议的认证方法、认证服务器及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060041939A1 (en) * 2004-08-19 2006-02-23 Sharon Schwartzman Method and apparatus for selection of authentication servers based on the authentication mechanisms in supplicant attempts to access network resources

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Study on Architecture for Next Generation System", 3GPP TR 23.799 V0.5.0.(2016. 06.08) 1부.* *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4187952A4 (en) * 2020-08-06 2024-01-03 Huawei Tech Co Ltd METHOD, SYSTEM AND APPARATUS FOR DETERMINING USER PLANE SECURITY ALGORITHM

Also Published As

Publication number Publication date
EP3468137A4 (en) 2019-06-19
CN107579948A (zh) 2018-01-12
EP3468137A1 (en) 2019-04-10
US20190159029A1 (en) 2019-05-23
JP2019522428A (ja) 2019-08-08
EP3468137B1 (en) 2023-05-10
WO2018006626A1 (zh) 2018-01-11
KR102169767B1 (ko) 2020-10-26
BR112019000169A2 (pt) 2019-04-30
CN107579948B (zh) 2022-05-10
JP6737948B2 (ja) 2020-08-12
US10897712B2 (en) 2021-01-19

Similar Documents

Publication Publication Date Title
KR102169767B1 (ko) 사이버 보안 관리 시스템, 방법 및 장치
CN106572517A (zh) 网络切片的处理方法、接入网络的选择方法及装置
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
CN105409263A (zh) 用于代理算法标识选择的方法和装置
CN102571862B (zh) 基于移动终端登录公共聊天组的方法、系统及服务器
CN108235376B (zh) 一种用户面锚点选择方法及装置
CN107835145B (zh) 一种防重放攻击的方法及分布式系统
CN109565668A (zh) 会话管理方法及装置
US20120163256A1 (en) Network system and user device, call-processing device, and network bridge for the system
CN113596262A (zh) 基于物流行业增加效率全覆盖保障通话的方法及服务平台
CN105656978A (zh) 一种资源共享方法及装置
CN102244857B (zh) 无线局域网漫游用户的控制方法及其装置和网络系统
US9609053B2 (en) Method, apparatus and system for voice service access
US8498400B2 (en) Method and system for implementing number portability service
US20190036793A1 (en) Network service implementation method, service controller, and communications system
EP3220671A1 (en) Group resource update processing method, device and system, and cse
CN109120502B (zh) 用于多业务融合平台的通信方法、设备、系统及存储介质
KR102273390B1 (ko) 네트워크 기능 통합방법 및 장치
KR102168177B1 (ko) 네트워크 장치 및 이를 이용한 패킷 처리 방법
CN105978930A (zh) 网络数据交换方法及装置
KR101681941B1 (ko) 이기종 네트워크 기반 데이터 동시 전송 서비스 방법
KR20130036923A (ko) 이기종 네트워크 기반 데이터 동시 전송 서비스 방법 및 이에 적용되는 장치
CN110417566B (zh) 一种多头配置方法、设备及系统
CA2800689C (en) Assembly, and associated method, for controlling disposition of enterprise data at a wireless device
CN114245402B (zh) 智能设备的配网方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant