KR20190065413A - 차세대 시스템을 위한 인증 - Google Patents

차세대 시스템을 위한 인증 Download PDF

Info

Publication number
KR20190065413A
KR20190065413A KR1020197013866A KR20197013866A KR20190065413A KR 20190065413 A KR20190065413 A KR 20190065413A KR 1020197013866 A KR1020197013866 A KR 1020197013866A KR 20197013866 A KR20197013866 A KR 20197013866A KR 20190065413 A KR20190065413 A KR 20190065413A
Authority
KR
South Korea
Prior art keywords
upf
authentication
eap
user plane
function
Prior art date
Application number
KR1020197013866A
Other languages
English (en)
Other versions
KR102136037B1 (ko
Inventor
헨다 노아멘 벤
베사 레토비타
자모라 데비잇 카스텔라노스
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Publication of KR20190065413A publication Critical patent/KR20190065413A/ko
Application granted granted Critical
Publication of KR102136037B1 publication Critical patent/KR102136037B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • H04W12/0013
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크에서의 2차 인증을 위한 방법 및 장치가 제공된다. 사용자 장치(UE)에 의해 수행되는 방법은 UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는 단계, UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 단계, 및 EAP 기반의 인증 응답을 UPF에 송신하는 단계를 포함한다. 사용자 평면(UP) 기능부(UPF)에 의해 수행되는 방법은 UP 세션 또는 사용자 장치(UE)에 대한 연결을 설정하는 단계, EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하는 단계, 및 UE로부터 EAP 기반의 인증 응답을 수신하는 단계를 포함한다.

Description

차세대 시스템을 위한 인증
본 개시는 네트워크에서의 2차 인증을 위한 방법 및 장치에 관한 것이다.
3GPP(3rd Generation Partnership Project)는 현재 차세대(next generation, NG) 시스템으로서도 알려진 5G에 대한 표준을 개발하고 있다. 5G가 많은 새로운 시나리오와 유스 케이스(use case)를 지원하고, IoT(Internet of Things)에 대한 인에이블러(enabler)일 것으로 기대된다. NG 시스템은 센서, 스마트 웨어러블(smart wearable), 차량, 기계 등과 같은 다양한 새로운 디바이스에 대한 연결성을 제공할 것으로 기대된다. 따라서, 유연성은 NG 시스템의 핵심 특성이다. 이것은 오퍼레이터에 의해 미리 준비되고, UICC(universal integrated circuit card)에 안전하게 저장되는 일반적인 AKA(authentication and key agreement) 자격 증명과 비교하여 대안적인 인증 방법 및 상이한 타입의 자격 증명을 지원하도록 하는 네트워크 액세스에 대한 보안 요구 사항에 반영된다. 이를 통해 공장 소유자 또는 기업은 인증 및 액세스 네트워크 보안을 위해 자신의 아이덴티티 및 자격 증명 관리 시스템을 활용할 수 있다.
NG 시스템에서의 새로운 특징 중에는 네트워크 슬라이싱이라는 개념이 있다. 네트워크 슬라이스(network slice, NS)는 기본적으로 특정 서비스를 제공하기 위해 전용된 코어 네트워크에 대한 인스턴스(instance)이다. 이를 통해 오퍼레이터는 서비스 품질(Quality of Service, QoS)면에서 상이한 서비스 요구 사항을 각각 가진 다양한 새로운 유스 케이스를 처리할 것이다. 예를 들어, 오퍼레이터는 매우 낮은 대기 시간을 필요로 하는 공공 안전 서비스(예컨대, MCPTT(Mission-critical push-to-talk))를 위한 미션 크리티컬(mission critical) NS와 병행하여, 또한 매우 낮은 대역폭을 가진 전기 계량기를 위한 IoT NS와 병행하여 일반적인 모바일 광대역(mobile broadband, MBB) 서비스를 위한 NS를 실행할 수 있다.
네트워크 슬라이싱과 관련하여 연구되는 주제 중에는 상이한 NS에 액세스하기 위한 인증 및 허가 절차의 디커플링(decoupling)이 있다.
본 명세서에 제시된 실시예의 목적은 차세대 시스템에서 인증의 디커플링을 가능하게 하는 것이다.
제 1 양태에 따르면, 네트워크에서의 2차 인증 방법이 제공된다. 이러한 방법은 사용자 장치(UE)에 의해 수행되며, UPF(UP function)로 사용자 평면(user plane, UP) 세션 또는 설정하는 단계, UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 단계, 및 EAP 기반의 인증 응답을 UPF에 송신하는 단계를 포함한다.
방법은 보안 앵커 기능부(security anchor function, SEAF)로 1차 인증을 설정하는 단계를 더 포함할 수 있다.
방법은 UPF로부터 EAP 기반의 인증 결과를 수신하는 단계를 더 포함할 수 있다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 2 양태에 따르면, 네트워크에서의 2차 인증 방법이 제공된다. 이러한 방법은 UPF(user plane(UP) function)에 의해 수행되고, 사용자 장치(UE)로 사용자 평면(UP) 세션 또는 연결을 설정하는 단계, EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하는 단계, 및 UE로부터 EAP 기반의 인증 응답을 수신하는 단계를 포함한다.
방법은 수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(authentication, authorization, and accounting, AAA) 서버에 송신하는 단계, 및 AAA 서버로부터 검증 응답을 수신하는 단계를 더 포함할 수 있다.
방법은 인증 결과를 UE에 송신하는 단계를 더 포함할 수 있으며, 여기서 인증은 AAA 서버로부터의 검증 응답에 기초한다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 3 양태에 따르면, 네트워크에서의 동작을 위한 사용자 장치(UE)가 제공된다. UE는 프로세서 및 컴퓨터 프로그램 제품을 포함한다. 컴퓨터 프로그램 제품은 프로세서에 의해 실행될 때 UE가 사용자 평면(UP) 세션 또는 UP 기능부(UPF)와의 연결을 설정하고, UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며, EAP 기반의 인증 응답을 UPF에 송신하도록 하는 명령어를 저장한다.
UE는 또한 보안 앵커 기능부(security anchor function, SEAF)로 1차 인증을 설정하도록 야기될 수 있다.
UE는 또한 UPF로부터 EAP 기반의 인증 결과를 수신하도록 야기될 수 있다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 4 양태에 따르면, 네트워크에서 동작하는 사용자 평면(UP) 기능부(UPF)가 제공된다. UPF는 프로세서 및 컴퓨터 프로그램 제품을 포함한다. 컴퓨터 프로그램 제품은 프로세서에 의해 실행될 때 UPF가 사용자 평면(UP) 세션 또는 사용자 장치(UE)와의 연결을 설정하고, EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하며, UE로부터 EAP 기반의 인증 응답을 수신하도록 하는 명령어를 저장한다.
UPF는 또한 수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하고, AAA 서버로부터 검증 응답을 수신하도록 야기될 수 있다.
UPF는 또한 인증 결과를 UE에 송신하도록 야기될 수 있으며, 인증은 AAA 서버로부터의 검증 응답에 기초한다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 5 양태에 따르면, 네트워크에서의 동작을 위한 사용자 장치(UE)가 제공된다. UE는 UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는 수단, UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 수단, 및 EAP 기반의 인증 응답을 UPF에 송신하는 수단을 포함한다.
UE는 보안 앵커 기능부(SEAF)로 1차 인증을 설정하는 수단을 더 포함할 수 있다.
UE는 UPF로부터 EAP 기반의 인증 결과를 수신하는 수단을 더 포함할 수 있다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 6 양태에 따르면, 네트워크에서 동작하는 UPF(user plane(UP) function)가 제공된다. UPF는 사용자 장치(UE)로 사용자 평면(UP) 세션 또는 연결을 설정하는 수단, EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하는 수단, 및 UE로부터 EAP 기반의 인증 응답을 수신하는 수단을 포함한다.
UPF는 수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하는 수단, 및 AAA 서버로부터 검증 응답을 수신하는 수단을 더 포함할 수 있다.
UPF는 인증 결과를 UE에 송신하는 수단을 더 포함할 수 있으며, 여기서 인증은 AAA 서버로부터의 검증 응답에 기초한다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 7 양태에 따르면, 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 사용자 장치(UE) 상에서 실행될 때, UE가 사용자 평면(UP) 세션 또는 UP 기능부(UPF)와의 연결을 설정하고, UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며, EAP 기반의 인증 응답을 UPF에 송신하도록 하는 컴퓨터 프로그램 코드를 포함한다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 8 양태에 따르면, 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 사용자 평면(UP) 기능부(UPF) 상에서 실행될 때, UPF가 사용자 평면(UP) 세션 또는 사용자 장치(UE)와의 연결을 설정하고, EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하며, UE로부터 EAP 기반의 인증 응답을 수신하도록 하는 컴퓨터 프로그램 코드를 포함한다.
UE는 또한 차세대(NG) UE일 수 있다. UPF는 또한 NG UPF일 수 있다.
제 9 양태에 따르면, 컴퓨터 프로그램 제품이 제공된다. 컴퓨터 프로그램 제품은 컴퓨터 프로그램 및 컴퓨터 프로그램이 저장되는 컴퓨터 판독 가능 저장 수단을 포함한다. 일반적으로, 청구항에서 사용된 모든 용어는 달리 명시적으로 정의되지 않는 한, 본 기술 분야에서의 통상적인 의미에 따라 해석되어야 한다. "a/an/요소, 장치, 구성 요소, 수단, 단계 등"에 대한 모든 언급은 달리 명시되지 않는 한, 요소, 장치, 구성 요소, 수단, 단계 등의 적어도 하나의 인스턴스를 언급하는 것으로 공개적으로 해석되어야한다. 본 명세서에 개시된 임의의 방법의 단계는 명시적으로 언급되지 않는 한 개시된 정확한 순서대로 수행될 필요는 없다.
이제, 본 발명의 개념이 첨부된 도면을 참조하여 예로서 설명된다.
도 1은 본 명세서에 제시된 실시예가 적용될 수 있는 환경을 도시하는 개략도이다.
도 2는 LTE에서의 2차 인증을 위한 흐름을 개략적으로 도시한다.
도 3은 차세대 시스템에서의 EAP-기반의 2차 인증을 위한 흐름을 개략적으로 도시한다.
도 4-5는 본 명세서에 제시된 실시예에 대한 EAP-기반의 2차 인증을 위한 프로토콜 아키텍처를 개략적으로 도시한다.
도 6a-6b는 본 명세서에 제시된 실시예에 대한 방법을 도시하는 흐름도이다.
도 7-8은 본 명세서에 제시된 디바이스의 일부 구성 요소를 도시하는 개략도이다.
도 9-10은 본 명세서에 제시된 디바이스의 기능적 모듈을 도시하는 개략도이다.
이제, 본 발명의 개념은 본 발명의 개념의 특정 실시예가 도시되는 첨부된 도면을 참조하여 이하에서 더욱 충분하게 설명될 것이다. 그러나, 본 발명의 개념은 많은 상이한 형태로 구현될 수 있고, 본 명세서에 설명된 실시예로 제한되는 것으로 해석되지 않아야 하며; 오히려, 이러한 실시예는 본 개시가 철저하고 완전하며 통상의 기술자에게 본 발명의 개념의 범위를 충분히 전달할 수 있도록 예로서 제공된다. 동일한 번호는 설명 전반에 걸쳐 동일한 요소를 나타낸다.
상이한 네트워크 슬라이스(network slice, NS)에 액세스하기 위한 인증 및 허가 절차의 디커플링에 대한 하나의 가능한 시나리오는 다음과 같다. NG 사용자 장치(UE)가 특정 NS에 액세스하기 위해, 오퍼레이터는 우선 초기 네트워크 액세스를 위한 1차(통상적인) 인증을 실행한 다음, 2차 NS 특정 인증을 실행한다. 2차 NS 특정 인증은 아마도 제 3 자의 제어 하에 있을 수 있다. 이것은 제 3 자 서비스 제공자와, 예를 들어 액세스 및 전송 서비스를 전용 NS 인스턴스에서의 이러한 제 3 자에게 제공하는 모바일 네트워크 오퍼레이터(mobile network operator, MNO) 사이의 신뢰를 가정한다.
LTE(long term evolution)에는 설명된 시나리오와 관련될 수 있는 메커니즘이 있다. 이러한 메커니즘은 TS 23.401로부터의 5.3.2 절에 설명되어 있다. 이는 소위 암호화된 옵션 요청을 기반으로 하며, 프로토콜 설정 옵션(protocol configuration option, PCO)이라는 정보 요소를 사용한다.
PCO는 NAS(non-access stratum) 메시지의 정보 요소 중 하나이다. PCO는 MME(Mobility Management Entity) 및 서빙 게이트웨이(serving gateway, S-GW)를 통해 정보를 투명하게 PDN-GW로 송신하기 위한 패킷 데이터 네트워크(packet data network, PDN) 연결성 요청과 같은 여러 타입의 메시지에 사용될 수 있다. 예를 들어, PCO는 UE가 DHCPv4(dynamic host configuration protocol version four)에 의해 디폴트 베어러 활성화 후에만 IPv4(Internet protocol version 4) 어드레스를 획득하는 것을 선호한다는 것을 나타내는 어드레스 할당 선호도(preference)를 포함할 수 있다.
PCO의 하나의 유스 케이스는 패스워드 인증 프로토콜(password authentication protocol, PAP)과 CHAP(challenge handshake authentication protocol) 사용자 이름과 패스워드를 PDN-GW로 전송하는 것이며, 그 후 PDN-GW는 액세스 허가를 위해 AAA(authentication, authorization, and accounting) 서버를 통해 이를 실행시킨다. AAA 서버는 외부 도메인에 위치될 수 있다. 사용자 이름과 패스워드가 민감하고 보호될 필요가 있기 때문에, UE가 암호(예를 들어, PAP/CHAP 사용자 이름과 패스워드)를 필요로 하는 PCO를 송신하려는 경우, UE는 첨부 요청 메시지에 암호화된 옵션 전송 플래그를 설정하고, 인증 및 NAS 보안 설정이 완료된 후에만 PCO를 송신해야 한다.
도 2는 LTE에서 PDN-GW를 통한 이러한 부가적인(즉, 2차) 인증 절차를 실행하는데 필요한 메시지 흐름을 도시한다. 다음에는, 더욱 상세한 단계의 설명이 제공된다.
UE는 UE 도메인 내에 있다. MME, S-GW, 홈 가입자 서버(home subscriber server, HSS), 및 PDN-GW는 MNO 도메인 내에 있다. AAA 서버는 제 3 자 도메인 내에 있다.
단계 1에서, UE는 암호화된 옵션 전송 플래그 세트를 가진 첨부 요청 메시지를 MME에 송신한다.
단계 2에서, AKA(authentication and key agreement) 절차는 UE와 HSS 사이에서 실행된다. 성공적인 인증 시에, 다음 단계가 실행된다.
단계 3에서, NAS 보안은 SMC(secure mode command)을 사용하여 설정된다. NAS 보안이 설정된 후, 모든 NAS 메시지는 기밀성 및 무결성 보호된다.
단계 4에서, MME는 PCO의 검색을 위해 암호화된 옵션 요청 메시지를 UE에 송신한다.
단계 5에서, UE는 PCO 정보 요소에 PAP/CHAP 사용자 이름 및 패스워드를 포함하는 암호화된 옵션 응답 메시지로 응답한다. UE가 다수의 PDN에 대한 가입을 갖는 경우에, UE는 또한 메시지 내에 APN(access point name)을 포함한다.
단계 6에서, MME는 수신된 데이터를 해독하고, 가능한 제공된 APN을 사용하여 PDN-GW를 식별하고, S-GW를 통해 PCO를 세션 생성 요청 메시지에서의 타겟 PDN-GW에 포워딩한다.
단계 7에서, PDN-GW는 직경/반경 액세스 요청 메시지에서의 수신된 PAP/CHAP 정보를 외부 AAA 서버에 송신한다. 성공 시에, 세션 생성 절차는 보통과 같이 진행된다.
따라서, 상술한 단계 4-7은 단계 2에서의 제 1 인증이 완료된 후 수행되는 2차 인증을 나타낸다. 그러나, NG 시스템에서 이러한 메커니즘을 사용하거나 NG 시스템으로 확장하는 것은 약간의 단점을 제공할 것이다.
첫째로, 메커니즘은 가능한 인증 방법의 측면에서 매우 제한적이다. 현재, PAP 및 CHAP에 대한 지원만이 있다. 그러나, 오늘날의 PAP는 보안상의 관점에서 쓸모가 없기 때문에, CHAP만이 본질적으로 사용할 수 있다.
둘째로, 다른 방법을 지원하고 인증 정보의 전송을 위한 PCO 정보 요소를 사용하기 위해, 메커니즘은 MME와 S-GW 사이의 특별한 메시지와 이러한 목적에 전용되는 S-GW와 PDN-GW 사이의 특별한 메시지를 지정할 필요가 있으며, 즉 1회 이상의 왕복을 필요로 하는 인증 방법을 처리할 필요가 있다.
더욱이, 이러한 메커니즘이 NG 아키텍처에 어떻게 맞는지 보는 것은 어려우며, NG 아키텍처는 더 브레이크 다운(break down)될 것이다. 사실상, 새로운 아키텍처 특징(TR 23.799)을 고려하면, 예를 들어, 이동성 관리 기능부(MMF) 및 세션 관리 기능부(SMF)(TR 23.799)로의 MME의 스플리트(split)에 대해 진행 중인 작업과 제어 및 사용자 평면 스플리트(TR 23.714)를 위한 제어 및 사용자 평면 분리(control and user plane separation, CUPS) 작업과 관련하여, UE와 PDN-GW 사이의 경로에 아마 더 많은 홉(hop)이 있을 것이다. 이것은 코어 네트워크(CN)에서 더욱 많은 과부하와 시그널링을 의미한다.
마지막으로, 이러한 메커니즘은 UE와 PDN-GW 사이에 직접 프로토콜이 없기 때문에 차선책(workaround)이다. 특히 많은 방법이 전송 계층에 대한 엄격한 권고사항과 요구 사항을 가지므로, 다른 인증 방법을 지원할 수 있을 만큼 그것을 일반화하는 것은 기술적으로 어려울 것이다.
일단 설정되면 사용자 평면(UP) 상에서 2차 인증을 실행하는 것이 제시된다. 제한된 UP 세션은 PDN에 대한 전체 액세스를 허용하기 보다는 2차 인증 절차를 위해 실행될 수 있다. 2차 인증이 완료되면, 제한된 UP 세션은 데이터 네트워크에 대한 전체 액세스를 가진 세션으로 업그레이드될 수 있다. RFC3748에 정의된 바와 같이 확장 가능한 인증 프로토콜(extensible authentication protocol, EAP)의 사용이 또한 제시된다. EAP는 UE와 잠재적인 외부 AAA 서버 간의 인증을 위해 사용되며, 여기서 LTE에서 PDN-GW와 유사한 역할을 하는 NG-UP 기능부(UPF)는 EAP 인증자의 역할을 보증한다. EAP 페이로드는 RFC5191에 정의된 바와 같이 네트워크 액세스(PANA)에 대한 인증을 반송하기 위한 프로토콜에 의해 반송되며, 어떤 프로토콜은 IP 기반 프로토콜이다. 다른 대안은 NG-UPF가 EAP 서버의 역할을 보증한다는 것이다.
제시된 솔루션은 널리 사용되는 EAP를 사용하며, EAP-TLS(transport layer security), EAP-AKA(authentication and key agreement), EAP-TTLS(tunneled TLS) 및 EAP-PEAP(protected extensible authentication protocol)와 같은 많은 인증 방법에 지원한다. 제시된 솔루션은 IP 기반이며, 따라서 액세스 네트워크(AN)의 타입에 구애받지 않는다. 더욱이, 이러한 솔루션이 UP 기반이므로, NG-UE가 다수의 가능한 동시 NS 연결을 지원하는 시나리오에 대해서도, NS 특정 기반으로 2차 인증이 독립적으로 수행될 수 있다. EAP를 사용함으로써, 솔루션은 또한 상이한 타입의 자격 증명 및 인증 방법을 지원한다. EAP 교환은 무선 인터페이스를 통한 보호로부터 이득을 얻을 수 있다.
따라서, 2차 인증은 NG-UE가 IP 어드레스를 할당 받으면 UP 베어러를 실행하게 된다. 그 다음, EAP는 NG-UE와 (잠재적으로 외부의) AAA 서버 사이의 인증을 위해 사용되며, 여기서 NG-UPF는 EAP 인증자의 역할을 보증한다.
NG-UPF가 EAP 인증자로서 동작하는 실시예는 도 3을 참조하여 제공된다.
도 3은 UP 기반의 2차 인증이 외부 AAA 서버와 함께 실행되는 흐름을 도시한다. NG-UE는 UE 도메인 내에 있다. NGO 이동성 관리 기능부(MMF), NG 세션 관리 기능부(SMF), NG 보안 앵커 기능부(SEAF) 및 NG-UPF는 MNO 도메인 내에 있다. NG-UPF는 LTE의 PDN-GW에 상응하는 UPF이다. AAA 서버는 제 3 자 도메인 내에 있다. NG-UPF에 대한 요구 사항은 아마 SGi 인터페이스의 지원과 같이 LTE에서 PDN-GW의 필요한 모든 UP 특징의 지원에 부가하여 PANA 및 EAP의 지원을 포함하는 것이다. 일반적으로, NG-프리픽스(prefix)는 LTE 개념에 상응하는 NG 시스템 기능을 위해 사용된다.
단계 1에서, NG-UE는 접속(attach) 절차를 개시하는 접속 요청을 송신한다. 본 명세서에 제시된 솔루션은 네트워크 슬라이싱이 지원되는 방식, 예를 들어, NS 인스턴스가 선택되는 방식 및 NG-UE가 적절한 것으로 지향되는 것에 의존하지 않는다.
단계 2에서, NG-UE는 NG SEAF로 1차 인증을 실행한다. NG SEAF는 또한 NG 인증 서버 기능부(AUSF)에 연결될 수 있다. 차후의 2차 인증은 NG SEAF 및 NG MMF가 배치(즉, 배열 또는 스플리트)되는 방식 또는 NG SEAF(홈 또는 방문 공중 육상 이동 네트워크(public land mobile network, PLMN))의 위치에 의존하지 않는다.
단계 3에서, 제어 평면 보안은 NG-UE와 NG NAS의 종점 사이에 설정된다. NG NAS의 종점은 예를 들어, NG MMF 또는 NG SMF일 수 있다.
단계 4에서, 그 후, 프로토콜 데이터 유닛(PDU) 세션은 NG-UPF를 통해 NG-UE와 데이터 네트워크 사이의 UP 데이터의 전송을 위해 설정된다. 단계 4는 2차 인증 절차를 실행하기 위해서한 허용하는 제한된 세션일 수 있다. 차후의 2차 인증은 NG-UE와 NG-UPF 사이의 IP 연결을 설정하기 때문에 설정되는 UP에 의존한다.
단계 5에서, 2차 EAP 기반 인증은 NG-UE와 NG-UPF 사이에서 실행되며, 여기서 EAP 인증자의 역할을 보증하고 백엔드(backend) 외부 AAA 서버에 의존한다. 그 후, NG-UE는 이러한 인증 절차의 결과에 기초하여 데이터 네트워크에서의 액세스가 승인된다.
이러한 제시된 솔루션은 비-3GPP 액세스가 통합되는 방법과 단계 1 내지 3이 본 명세서에 설명된 바와 같이 정확하게 또는 상이하게 실행되는지에 구애 받지 않는다. 단계 4에서 달성되는 NG-UE와 NG-UPF 간에 IP 연결이 설정되는 한, 단계 5에서 EAP 기반 인증이 실행될 수 있다. 무선 액세스 네트워크(RAN) 보안이 단계 5 전에 설정되었을 경우에, EAP 교환은 또한 무선 인터페이스 상에서 보호될 것이다.
도 4는 도 3을 참조하여 설명된 바와 같이 EAP 인증자로서 NG-UPF를 갖는 NG-UPF와 NG-UE 사이의 EAP 기반의 2차 인증을 위한 프로토콜 아키텍처를 도시한다. 도 4에 도시된 아키텍처는 UE와 PDN-GW 사이의 UP 트래픽의 전송에 관한 LTE의 아키텍처와 유사하다. 회색 박스는 상술한 EAP 기반의 2차 인증을 제공하기 위해 필요한 부가적인 프로토콜 계층을 강조한다.
EAP 서버로서 NG-UPF를 이용한 EAP 기반의 2차 인증을 위한 프로토콜 아키텍처를 갖는 실시예가 도 5를 참조하여 제공된다.
이 실시예에서, NG-UPF는 EAP 교환을 종료하고, 완전한 EAP 서버의 역할을 보증한다. 따라서, 이 실시예에 대한 메시지 흐름은 단계 5에서 외부 AAA 서버가 접촉되지 않는다는 점을 제외하면 도 3의 메시지 흐름과 유사하다.
코어 네트워크 내에서 UP 트래픽을 종료하고 아마도 외부 AAA 서버와 상호 작용하는 NG-UE와 NG-UPF 사이의 NG 시스템에서의 부가 또는 2차 인증을 위한 메커니즘이 제공되었다. NG-UPF는 LTE의 PDN-GW에 상응한다. 이러한 메커니즘은 NG-UPF가 EAP 인증자 역할 또는 EAP 서버 역할을 보증하도록 EAP over IP over UP 트래픽을 기반으로 한다.
본 명세서에서 설명된 실시예가 구현되는 통신 네트워크(4)는 도 1에 제공된다. 사용자 장치(UE)(1)는 기지국(BS)(2)에 무선으로 연결할 수 있다. BS(2)는 코어 네트워크(CN)(3)에 연결된다.
일 실시예에 따르면, 네트워크에서의 2차 인증을 위한 방법은 도 6a를 참조하여 제공된다. 방법은 차세대(NG) 사용자 장치(UE)에 의해 수행되며, NG-UP 기능부(UPF)로 사용자 평면(UP) 세션 또는 연결을 설정하는 단계(110), NG-UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 단계(130), 및 EAP 기반의 인증 응답을 NG-UPF에 송신하는 단계(140)를 포함한다.
방법은 NG SEAF로 1차 인증을 설정하는 단계(100)를 더 포함할 수 있다.
방법은 UPF로부터 EAP 기반의 인증 결과를 수신하는 단계를 더 포함할 수 있다.
일 실시예에 따르면, 코어 네트워크에서의 2차 인증을 위한 방법은 도 6b를 참조하여 제공된다. 방법은 차세대(NG) 사용자 평면(UP) 기능부(UPF)에 의해 수행되며, NG 사용자 장치(UE)와의 사용자 평면(UP) 세션 또는 연결을 설정하는 단계(110), EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE로 송신하는 단계(120), 및 NG UE로부 EAP 기반의 인증 응답을 수신하는 단계(150)를 포함한다.
방법은 수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하는 단계(160), 및 AAA 서버로부터 검증 응답을 수신하는 단계(170)를 더 포함할 수 있다.
방법은 인증 결과를 UE로 송신하는 단계를 더 포함할 수 있으며, 인증은 AAA 서버로부터의 검증 응답에 기초한다.
일 실시예에 따라 네트워크에서의 동작을 위한 NG UE는 도 7을 참조하여 제공된다. NG UE(1)는 프로세서(10) 및 컴퓨터 프로그램 제품(12, 13)을 포함한다. 컴퓨터 프로그램 제품은, 처리기에 의해 실행될 때, NG UE가 NG-UPF로 UP 세션 또는 연결을 설정하고(110), NG-UPF로부터 EAP 기반의 인증 요청을 수신하고(130), EAP 기반의 인증 응답을 NG-UPF에 송신하도록(140) 하는 명령어를 저장한다.
일 실시예에 따르면, 코어 네트워크에서 동작하는 NG-UPF는 도 8을 참조하여 제공된다. NG-UPF는 프로세서(10) 및 컴퓨터 프로그램 제품(12, 13)을 포함하며, 컴퓨터 프로그램 제품(12, 13)은 프로세서에 의해 실행될 때 NG-UPF가 UP 세션 또는 NG UE에 대한 연결을 설정하고(110), EAP 기반의 인증 요청을 NG UE에 송신하며(120), NG UE로부터 EAP 기반의 인증 응답을 수신(150)하도록 하는 명령어를 저장한다.
일 실시예에 따르면, 네트워크에서의 동작을 위한 NG UE는 도 9를 참조하여 제공된다. NG UE는 UP 세션 또는 NG-UPF와의 연결을 설정하고(110), NG-UPF로부터 EAP 기반의 인증 요청을 수신하며(130), EAP 기반의 인증 응답을 NG-UPF로 송신하는(140) 통신 관리자(61)를 포함한다.
일 실시예에 따르면, 네트워크에서의 동작을 위한 NG UPF는 도 10을 참조하여 제공된다. NG UPF는 UP 세션 또는 NG-UE와의 연결을 설정하고(110), EAP 기반의 인증 요청을 NG-UE로 송신하며(120), NG-UE로부터 EAP 기반의 인증 응답을 수신하는(150) 통신 관리자(71)를 포함한다.
일 실시예에 따르면, 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)이 제공된다. 컴퓨터 프로그램은, NG UE 상에서 실행될 때, NG UE가 UP 세션 또는 NG-UPF와의 연결을 설정하고(110), NG-UPF로부터 EAP 기반의 인증 요청을 수신하며(130), EAP 기반의 인증 응답을 NG-UPF에 송신하도록(140) 하는 컴퓨터 프로그램 코드를 포함한다.
일 실시예에 따르면, 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)이 제공된다. 컴퓨터 프로그램은, NG-UPF 상에서 실행될 때, NG-UPF가 UP 세션 또는 NG UE와의 연결을 설정하고(110), EAP 기반의 인증 요청을 NG UE에 송신하며(120), NG UE로부터 EAP 기반의 인증 응답을 수신하도록(150) 하는 컴퓨터 프로그램 코드를 포함한다.
일 실시예에 따르면, 컴퓨터 프로그램 제품(12, 13)이 제공된다. 컴퓨터 프로그램 제품은 상술한 바와 같은 컴퓨터 프로그램(14, 15) 및 컴퓨터 프로그램(14, 15)이 저장되는 컴퓨터 판독 가능한 저장 수단을 포함한다.
도 7은 NG UE(1)의 일부 구성 요소를 도시하는 개략도이다. 프로세서(10)는 메모리에 저장된 컴퓨터 프로그램(14)의 소프트웨어 명령어를 실행할 수 있는 적절한 중앙 처리 유닛(central processing unit, CPU), 멀티프로세서, 마이크로 제어기, 디지털 신호 프로세서(digital signal processor, DSP), 애플리케이션 특정 집적 회로 등 중 하나 이상의 임의의 조합을 이용하여 제공될 수 있다. 따라서, 메모리는 컴퓨터 프로그램 제품(12)이거나 컴퓨터 프로그램 제품(12)의 일부를 형성하는 것으로 간주될 수 있다. 프로세서(10)는 도 12 및 도 13을 참조하여 본 명세서에서 설명된 방법을 실행하도록 구성될 수 있다.
메모리는 판독 및 기록 메모리 및 판독 전용 메모리(read only memory, ROM)의 임의의 조합일 수 있다. 메모리는 또한 예를 들어 자기 메모리, 광학 메모리, 솔리드 스테이트 메모리 또는 원격으로 장착된 메모리의 임의의 단일 또는 조합일 수 있는 영구 저장 장치를 포함할 수 있다.
데이터 메모리의 형태의 제 2 컴퓨터 프로그램 제품(13)은 또한 예를 들어 프로세서(10)에서 소프트웨어 명령어의 실행 중에 데이터를 판독 및/또는 저장하기 위해 제공될 수 있다. 데이터 메모리는 판독 및 기록 메모리와 판독 전용 메모리(ROM)의 임의의 조합일 수 있으며, 또한 예를 들어 자기 메모리, 광학 메모리, 솔리드 스테이트 메모리 또는 원격으로 장착된 메모리의 임의의 단일 또는 조합일 수 있는 영구 저장 장치를 포함할 수 있다. 데이터 메모리는 예를 들어 NG UE(1)에 대한 기능성을 향상시키기 위해 다른 소프트웨어 명령어(15)를 유지할 수 있다.
NG UE(1)은 예를 들어 사용자 인터페이스를 포함하는 입출력(I/O) 인터페이스(11)를 더 포함할 수 있다. NG UE(1)는 다른 노드로부터 시그널링을 수신하도록 구성된 수신기 및 시그널링을 다른 노드(도시되지 않음)에 송신하도록 구성된 송신기를 더 포함할 수 있다. NG UE(1)의 다른 구성 요소는 본 명세서에 제시된 개념을 모호하게 하지 않기 위해 생략된다.
도 9는 NG UE(1)의 기능 블록을 도시하는 개략도이다. 모듈은 캐시 서버에서 실행되는 컴퓨터 프로그램과 같은 소프트웨어 명령어만이나, 애플리케이션 특정 집적 회로, 필드 프로그램 가능 게이트 어레이, 이산 논리 구성 요소, 송수신기 등과 같은 하드웨어만 또는 이의 조합으로서 구현될 수 있다. 대안적인 실시예에서, 일부 기능 블록은 소프트웨어에 의해 구현될 수도 있고, 다른 기능 블록은 하드웨어에 의해 구현될 수 있다. 모듈은 도 6a에 도시된 방법의 단계에 상응하고, 통신 관리자 유닛(61) 및 결정 모듈 유닛(60)을 포함한다. 하나 이상의 모듈이 컴퓨터 프로그램에 의해 구현되는 실시예에서, 일부 프로그래밍 언어가 통상적으로 프로세스 모듈을 포함하지 않으므로, 이러한 모듈은 반드시 프로세스 모듈에 상응하지는 않지만, 구현되는 프로그래밍 언어에 따른 명령어로서 기록될 수 있다는 것이 이해되어야 한다.
통신 관리자(61)는 네트워크에서 동작하기 위한 것이다. 이러한 모듈은 도 6a의 설정 UP 단계(110), 수신 요청 단계(130) 및 송신 응답 단계(140)에 상응한다. 이러한 모듈은 예를 들어 컴퓨터 프로그램을 실행할 때 도 7의 프로세서(10)에 의해 구현될 수 있다.
결정 관리자(60)는 네트워크에서 동작하기 위한 것이다. 이러한 모듈은 도 6a의 1차 인증 단계(100)에 상응한다. 이러한 모듈은 예를 들어 컴퓨터 프로그램을 실행할 때 도 7의 프로세서(10)에 의해 구현될 수 있다.
도 8은 NG-UPF(3)의 일부 구성 요소를 도시하는 개략도이다. 프로세서(10)는 메모리에 저장된 컴퓨터 프로그램(14)의 소프트웨어 명령어를 실행할 수 있는 적절한적절한 중앙 처리 유닛(CPU), 멀티프로세서, 마이크로 제어기, 디지털 신호 프로세서(DSP), 애플리케이션 특정 집적 회로 등 중 하나 이상의 임의의 조합을 이용하여 제공될 수 있다. 따라서, 메모리는 컴퓨터 프로그램 제품(12)이거나 컴퓨터 프로그램 제품(12)의 일부를 형성하는 것으로 간주될 수 있다. 프로세서(10)는 도 6b를 참조하여 본 명세서에서 설명된 방법을 실행하도록 구성될 수 있다.
메모리는 판독 및 기록 메모리(read and write memory, RAM), 및 판독 전용 메모리(ROM)의 임의의 조합일 수 있다. 메모리는 또한 예를 들어 자기 메모리, 광학 메모리, 솔리드 스테이트 메모리 또는 원격으로 장착된 메모리의 임의의 단일 또는 조합일 수 있는 영구 저장 장치를 포함할 수 있다.
데이터 메모리의 형태의 제 2 컴퓨터 프로그램 제품(13)은 또한 예를 들어 프로세서(10)에서 소프트웨어 명령어의 실행 중에 데이터를 판독 및/또는 저장하기 위해 제공될 수 있다. 데이터 메모리는 판독 및 기록 메모리(RAM)와 판독 전용 메모리(ROM)의 임의의 조합일 수 있으며, 또한 예를 들어 자기 메모리, 광학 메모리, 솔리드 스테이트 메모리 또는 원격으로 장착된 메모리의 임의의 단일 또는 조합일 수 있는 영구 저장 장치를 포함할 수 있다. 데이터 메모리는 예를 들어 NG-UPF(3)에 대한 기능성을 향상시키기 위해 다른 소프트웨어 명령어(15)를 유지할 수 있다.
NG-UPF(3)은 예를 들어 사용자 인터페이스를 포함하는 입출력(I/O) 인터페이스(11)를 더 포함할 수 있다. NG-UPF(3)는 다른 노드로부터 시그널링을 수신하도록 구성된 수신기, 및 시그널링을 다른 노드(도시되지 않음)에 송신하도록 구성된 송신기를 더 포함할 수 있다. NG-UPF(3)의 다른 구성 요소는 본 명세서에 제시된 개념을 모호하게 하지 않기 위해 생략된다.
도 10은 NG-UPF(3)의 기능 블록을 도시하는 개략도이다. 모듈은 캐시 서버에서 실행되는 컴퓨터 프로그램과 같은 소프트웨어 명령어만이나, 애플리케이션 특정 집적 회로, 필드 프로그램 가능 게이트 어레이, 이산 논리 구성 요소, 송수신기 등과 같은 하드웨어만 또는 이의 조합으로서 구현될 수 있다. 대안적인 실시예에서, 일부 기능 블록은 소프트웨어에 의해 구현될 수도 있고, 다른 기능 블록은 하드웨어에 의해 구현될 수 있다. 모듈은 도 6b에 도시된 방법의 단계에 상응하고, 통신 관리자 유닛(71) 및 결정 관리자 유닛(70)을 포함한다. 하나 이상의 모듈이 컴퓨터 프로그램에 의해 구현되는 실시예에서, 일부 프로그래밍 언어가 통상적으로 프로세스 모듈을 포함하지 않으므로, 이러한 모듈은 반드시 프로세스 모듈에 상응하지는 않지만, 구현되는 프로그래밍 언어에 따른 명령어로서 기록될 수 있다는 것이 이해되어야 한다.
통신 관리자(71)는 코어 네트워크에서 동작하기 위한 것이다. 이러한 모듈은 도 6b의 설정 UP 단계(110), 송신 요청 단계(120) 및 수신 응답 단계(150)에 상응한다. 이러한 모듈은 예를 들어 컴퓨터 프로그램을 실행할 때 도 8의 프로세서(10)에 의해 구현될 수 있다.
결정 관리자 유닛(70)은 코어 네트워크에서 동작하기 위한 것이다. 이러한 모듈은 도 6b의 검증 요청 단계(160) 및 검증 응답 단계(170)에 상응한다. 이러한 모듈은 예를 들어 컴퓨터 프로그램을 실행할 때 도 8의 프로세서(10)에 의해 구현될 수 있다.
본 발명의 개념은 주로 몇몇 실시예를 참조하여 설명되었다. 그러나, 통상의 기술자는 쉽게 이해하는 바와 같이, 상술한 것 이외의 다른 실시예는 첨부된 특허 청구 범위에 의해 규정된 바와 같이 본 발명의 개념의 범위 내에서 동일하게 가능하다.
다음의 것은 개시된 주제의 다양한 양태를 추가로 예시하는 열거된 특정 실시예이다.
1. 차세대(NG) 사용자 장치(UE)에 의해 수행되는 네트워크에서의 2차 인증 방법으로서, 방법은,
NG-UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는 단계(110);
UP NG-UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 단계(130); 및
EAP 기반의 인증 응답을 UP NG-UPF에 송신하는 단계(140)를 포함한다.
2. 항목 1에 따른 방법은,
NG-보안 앵커 기능부(SEAF)로 1차 인증을 설정하는 단계(100)를 더 포함한다.
3. 차세대(NG)-UPF(user plane(UP) function)에 의해 수행되는 네트워크에서의 2차 인증 방법으로서, 방법은,
UP 세션 또는 NG-사용자 장치(UE)에 대한 연결을 설정하는 단계(110);
EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하는 단계(120); 및
NG UE로부터 EAP 기반의 인증 응답을 수신하는 단계(150)를 포함한다.
4. 항목 3에 따른 방법은,
수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하는 단계(160); 및
AAA 서버로부터 검증 응답을 수신하는 단계(170)를 더 포함한다.
5. 네트워크에서의 동작을 위한 차세대(NG) 사용자 장치(UE)로서, NG UE는,
프로세서(10); 및
프로세서에 의해 실행될 때 NG UE가,
사용자 평면(UP) 세션 또는 NG-UPF(UP function)와의 연결을 설정하고(110);
NG-UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며(130);
EAP 기반의 인증 응답을 NG-UPF에 송신하도록(140) 하는 명령어를 저장하는 컴퓨터 프로그램 제품(12, 13)을 포함한다.
6. 항목 5에 따른 NG 사용자 장치(UE)는,
NG 보안 앵커 기능부(SEAF)로 1차 인증을 설정하도록(100) 더 야기된다.
7. 네트워크에서 동작하는 차세대(NG)-UPF(user plane(UP) function)로서, NG-UPF는,
프로세서(10); 및
프로세서에 의해 실행될 때 NG-UPF가,
UP 세션 또는 NG-사용자 장치(UE)와의 연결을 설정하고(110);
EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하며(120);
NG UE로부터 EAP 기반의 인증 응답을 수신하도록(150) 하는 명령어를 저장하는 컴퓨터 프로그램 제품(12, 13)을 포함한다.
8. 항목 7에 따른 NG UPF(user plane(UP) function)로서, NG-UPF는,
수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하고(160);
AAA 서버로부터 검증 응답을 수신하도록(170) 더 야기된다.
9. 네트워크에서의 동작을 위한 차세대(NG) 사용자 장치(UE)로서, NG UE는,
사용자 평면(UP) 세션 또는 NG-UPF(UP function)와의 연결을 설정하고(110), NG-UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며(130), EAP 기반의 인증 응답을 NG-UPF에 송신하는(140) 통신 관리자(61)를 포함한다.
10. 네트워크에서 동작하는 차세대(NG)-UPF(user plane(UP) function)로서, NG-UPF는,
사용자 평면(UP) 세션 또는 NG 사용자 장치(UE)와의 연결을 설정하고(110), EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하며(120), NG UE로부터 EAP 기반의 인증 응답을 수신하는(150) 통신 관리자(71)를 포함한다.
11. 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)으로서, 컴퓨터 프로그램은 차세대(NG) 사용자 장치(UE) 상에서 실행될 때, NG UE가,
사용자 평면(UP) 세션 또는 NG-UP 기능부(UPF)와의 연결을 설정하고(110);
NG-UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며(130);
EAP 기반의 인증 응답을 NG-UPF에 송신하도록(140) 하는 컴퓨터 프로그램 코드를 포함한다.
12. 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)으로서, 컴퓨터 프로그램은 차세대(NG)-사용자 평면(UP) 기능부(UPF) 상에서 실행될 때, NG-UPF가,
사용자 평면(UP) 세션 또는 NG 사용자 장치(UE)에 대한 연결을 설정하고(110);
EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하며(120);
NG UE로부터 EAP 기반의 인증 응답을 수신하도록(150) 하는 컴퓨터 프로그램 코드를 포함한다.
13. 항목 11 내지 항목 12 중 어느 하나에 따른 컴퓨터 프로그램(14, 15) 및 컴퓨터 프로그램(14, 15)이 저장되는 컴퓨터 판독 가능 저장 수단을 포함하는 컴퓨터 프로그램 제품(12, 13).

Claims (35)

  1. 사용자 장치(UE)에 의해 수행되는 네트워크에서의 2차 인증 방법에 있어서,
    UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는 단계(110);
    UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는 단계(130); 및
    EAP 기반의 인증 응답을 UPF에 송신하는 단계(140)를 포함하는, 네트워크에서의 2차 인증 방법.
  2. 제 1 항에 있어서,
    보안 앵커 기능부(SEAF)로 1차 인증을 설정하는 단계(100)를 더 포함하는, 네트워크에서의 2차 인증 방법.
  3. 제 1 항에 있어서,
    UPF로부터 EAP 기반의 인증 결과를 수신하는 단계를 더 포함하는, 네트워크에서의 2차 인증 방법.
  4. 제 1 항에 있어서,
    사용자 장치(UE)는 차세대(NG) UE인, 네트워크에서의 2차 인증 방법.
  5. 제 1 항에 있어서,
    사용자 평면 기능부(UPF)는 차세대(NG) UPF인, 네트워크에서의 2차 인증 방법.
  6. UPF(user plane(UP) function)에 의해 수행되는 네트워크에서의 2차 인증 방법에 있어서,
    UP 세션 또는 사용자 장치(UE)에 대한 연결을 설정하는 단계(110);
    EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하는 단계(120); 및
    UE로부터 EAP 기반의 인증 응답을 수신하는 단계(150)를 포함하는, 네트워크에서의 2차 인증 방법.
  7. 제 6 항에 있어서,
    수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하는 단계(160); 및
    AAA 서버로부터 검증 응답을 수신하는 단계(170)를 더 포함하는, 네트워크에서의 2차 인증 방법.
  8. 제 6 항에 있어서,
    인증 결과를 UE에 송신하는 단계를 더 포함하는데, 인증은 AAA 서버로부터의 검증 응답에 기초하는, 네트워크에서의 2차 인증 방법.
  9. 제 6 항에 있어서,
    사용자 장치(UE)는 차세대(NG) 사용자 장치(UE)인, 네트워크에서의 2차 인증 방법.
  10. 제 6 항에 있어서,
    사용자 평면 기능부(UPF)는 차세대(NG) UPF인, 네트워크에서의 2차 인증 방법.
  11. 네트워크에서의 동작을 위한 사용자 장치(UE)에 있어서,
    프로세서(10); 및
    프로세서에 의해 실행될 때, UE가,
    사용자 평면(UP) 세션 또는 UPF(UP function)와의 연결을 설정하고(110);
    UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며(130);
    EAP 기반의 인증 응답을 UPF에 송신하도록(140) 하는 명령어를 저장하는 컴퓨터 프로그램 제품(12, 12)을 포함하는, 사용자 장치(UE).
  12. 제 11 항에 있어서,
    보안 앵커 기능부(SEAF)로 1차 인증을 더 설정하는(100), 사용자 장치(UE).
  13. 제 11 항에 있어서,
    UPF로부터 EAP 기반의 인증 결과를 더 수신하는, 사용자 장치(UE).
  14. 제 11 항에 있어서,
    UE는 차세대(NG) UE인, 사용자 장치(UE).
  15. 제 11 항에 있어서,
    UPF는 차세대(NG) UPF인, 사용자 장치(UE).
  16. 네트워크에서 동작하는 사용자 평면(UP) 기능부(UPF)에 있어서,
    프로세서(10); 및
    프로세서에 의해 실행될 때, UPF가,
    UP 세션 또는 사용자 장치(UE)와의 연결을 설정하고(110);
    EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하며(120);
    UE로부터 EAP 기반의 인증 응답을 수신하도록(150) 하는 명령어를 저장하는 컴퓨터 프로그램 제품(12, 13)을 포함하는, 사용자 평면(UP) 기능부(UPF).
  17. 제 16 항에 있어서,
    수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하고(160);
    AAA 서버로부터 검증 응답을 더 수신하는(170), 사용자 평면(UP) 기능부(UPF).
  18. 제 16 항에 있어서,
    UPF는 인증 결과를 UE에 더 송신하며, 인증은 AAA 서버로부터의 검증 응답에 기초하는, 사용자 평면(UP) 기능부(UPF).
  19. 제 16 항에 있어서,
    UPF는 차세대(NG) UPF인, 사용자 평면(UP) 기능부(UPF).
  20. 제 16 항에 있어서,
    UE는 차세대(NG) UE인, 사용자 평면(UP) 기능부(UPF).
  21. 네트워크에서의 동작을 위한 사용자 장치(UE)에 있어서,
    UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는(110) 수단;
    UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는(130) 수단; 및
    EAP 기반의 인증 응답을 UPF에 송신하는(140) 수단을 포함하는, 사용자 장치(UE).
  22. 제 21 항에 있어서,
    보안 앵커 기능부(SEAF)로 1차 인증을 설정하는(100) 수단을 더 포함하는, 사용자 장치(UE).
  23. 제 21 항에 있어서,
    UPF로부터 EAP 기반의 인증 결과를 수신하는 수단을 더 포함하는, 사용자 장치(UE).
  24. 제 21 항에 있어서,
    UE는 차세대(NG) UE인, 사용자 장치(UE).
  25. 제 21 항에 있어서,
    UPF는 차세대 UPF인, 사용자 장치(UE).
  26. 네트워크에서 동작하는 사용자 평면(UP) 기능부(UPF)에 있어서,
    NG 사용자 장치(UE)로 사용자 평면(UP) 세션 또는 연결을 설정하는(110) 수단;
    EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하는(120) 수단; 및
    NG UE로부터 EAP 기반의 인증 응답을 수신하는(150) 수단을 포함하는, 사용자 평면(UP) 기능부(UPF).
  27. 제 26 항에 있어서,
    수신된 EAP 기반의 인증 응답의 검증 요청을 인증, 허가 및 계정(AAA) 서버에 송신하는(160) 수단; 및
    AAA 서버로부터 검증 응답을 수신하는(170) 수단을 더 포함하는, 사용자 평면(UP) 기능부(UPF).
  28. 제 26 항에 있어서,
    인증 결과를 UE에 송신하는 것을 더 포함하며, 인증은 AAA 서버로부터의 검증 응답에 기초하는, 사용자 평면(UP) 기능부(UPF).
  29. 제 26 항에 있어서,
    UE는 차세대(NG) UE인, 사용자 평면(UP) 기능부(UPF).
  30. 제 26 항에 있어서,
    UPF는 차세대 UPF인, 사용자 평면(UP) 기능부(UPF).
  31. 네트워크에서의 동작을 위한 사용자 장치(UE)에 있어서,
    UPF(UP function)로 사용자 평면(UP) 세션 또는 연결을 설정하는(110) 제 1 모듈;
    UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하는(130) 제 2 모듈; 및
    EAP 기반의 인증 응답을 UPF에 송신하는(140) 제 3 모듈을 포함하는, 사용자 장치(UE).
  32. 네트워크에서 동작하는 사용자 평면(UP) 기능부(UPF)에 있어서,
    NG 사용자 장치(UE)로 사용자 평면(UP) 세션 또는 연결을 설정하는(110) 제 1 모듈;
    EAP(extensible authentication protocol) 기반의 인증 요청을 NG UE에 송신하는(120) 제 2 모듈; 및
    NG UE로부터 EAP 기반의 인증 응답을 수신하는(150) 제 3 모듈을 포함하는, 사용자 평면(UP) 기능부(UPF).
  33. 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)에 있어서,
    컴퓨터 프로그램은 차세대(NG) 사용자 장치(UE) 상에서 실행될 때, NG UE가,
    사용자 평면(UP) 세션 또는 UP 기능부(UPF)와의 연결을 설정하고(110);
    UPF로부터 EAP(extensible authentication protocol) 기반의 인증 요청을 수신하며(130);
    EAP 기반의 인증 응답을 UPF에 송신하도록(140) 하는 컴퓨터 프로그램 코드를 포함하는, 컴퓨터 프로그램(14, 15).
  34. 네트워크에서의 2차 인증을 위한 컴퓨터 프로그램(14, 15)에 있어서,
    컴퓨터 프로그램은 사용자 평면(UP) 기능부(UPF) 상에서 실행될 때, UPF가,
    사용자 평면(UP) 세션 또는 사용자 장치(UE)에 대한 연결을 설정하고(110);
    EAP(extensible authentication protocol) 기반의 인증 요청을 UE에 송신하며(120);
    UE로부터 EAP 기반의 인증 응답을 수신하도록(150) 하는 컴퓨터 프로그램 코드를 포함하는, 컴퓨터 프로그램(14, 15).
  35. 제 33 항 또는 제 34 항 중 어느 한 항에 따른 컴퓨터 프로그램(14, 15)과 컴퓨터 프로그램(14, 15)이 저장되는 컴퓨터 판독 가능 저장 수단을 포함하는, 컴퓨터 프로그램 제품(12, 13).
KR1020197013866A 2016-10-31 2017-10-25 차세대 시스템을 위한 인증 KR102136037B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662415006P 2016-10-31 2016-10-31
US62/415,006 2016-10-31
PCT/EP2017/077330 WO2018077960A1 (en) 2016-10-31 2017-10-25 Authentication for next generation systems

Publications (2)

Publication Number Publication Date
KR20190065413A true KR20190065413A (ko) 2019-06-11
KR102136037B1 KR102136037B1 (ko) 2020-07-21

Family

ID=60293936

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197013866A KR102136037B1 (ko) 2016-10-31 2017-10-25 차세대 시스템을 위한 인증

Country Status (15)

Country Link
US (2) US10609556B2 (ko)
EP (1) EP3459278B1 (ko)
JP (1) JP6775683B2 (ko)
KR (1) KR102136037B1 (ko)
CN (1) CN109891921B (ko)
BR (1) BR112019008447A2 (ko)
CA (1) CA3042304C (ko)
DK (1) DK3459278T3 (ko)
ES (1) ES2806991T3 (ko)
MA (1) MA45505B1 (ko)
MX (1) MX2019004705A (ko)
MY (1) MY195382A (ko)
RU (1) RU2727160C1 (ko)
WO (1) WO2018077960A1 (ko)
ZA (1) ZA201902024B (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2530750A (en) * 2014-09-30 2016-04-06 Vodafone Ip Licensing Ltd Communications bearer selection for a communications interface
WO2018137873A1 (en) 2017-01-27 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Secondary authentication of a user equipment
US11564193B2 (en) 2018-05-18 2023-01-24 Nokia Technologies Oy Authentication in public land mobile networks comprising tenant slices
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
EP4356636A1 (en) * 2021-06-15 2024-04-24 Telefonaktiebolaget LM Ericsson (publ) Methods and means for providing access to external networks

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110061589A (ko) * 2008-08-27 2011-06-09 콸콤 인코포레이티드 무선 네트워크를 통한 ue 등록을 위한 무결성 보호 및/또는 암호화
KR101530538B1 (ko) * 2010-11-06 2015-06-22 퀄컴 인코포레이티드 보안 사용자 평면 위치(supl) 시스템들에서의 인증

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8447981B2 (en) * 2006-05-24 2013-05-21 Huawei Technologies Co., Ltd. Method and system for generating and distributing mobile IP security key after re-authentication
FI20075252A0 (fi) 2007-04-13 2007-04-13 Nokia Corp Menetelmä, radiojärjestelmä, matkaviestin ja tukiasema
US8145905B2 (en) * 2007-05-07 2012-03-27 Qualcomm Incorporated Method and apparatus for efficient support for multiple authentications
FR2943881A1 (fr) * 2009-03-31 2010-10-01 France Telecom Procede et dispositif de gestion d'une authentification d'un utilisateur.
CN102461230B (zh) * 2009-04-07 2015-06-17 托吉瓦控股股份公司 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统
WO2012149783A1 (zh) 2011-09-29 2012-11-08 华为技术有限公司 用于接入移动网络的方法和装置以及用户设备
JP6229065B2 (ja) * 2013-09-16 2017-11-08 コンヴィーダ ワイヤレス, エルエルシー Epa/ダイアメータによるwifi qosのモバイルネットワークオペレータ(mno)制御
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US10009751B2 (en) * 2015-12-28 2018-06-26 Cisco Technology, Inc. Virtual mobility anchor for network sharing
US10104544B2 (en) * 2016-04-05 2018-10-16 Qualcomm Incorporated LTE-level security for neutral host LTE
WO2018008983A1 (en) * 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
WO2018008972A1 (en) * 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and apparatus for accessing cellular network for sim profile
CN107623668A (zh) * 2016-07-16 2018-01-23 华为技术有限公司 一种网络认证方法、相关设备及系统
US10433163B2 (en) * 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
WO2018056957A1 (en) * 2016-09-20 2018-03-29 Nokia Solutions And Networks Oy Next generation key set identifier
EP3527039A1 (en) * 2016-10-11 2019-08-21 Nec Corporation Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110061589A (ko) * 2008-08-27 2011-06-09 콸콤 인코포레이티드 무선 네트워크를 통한 ue 등록을 위한 무결성 보호 및/또는 암호화
KR101530538B1 (ko) * 2010-11-06 2015-06-22 퀄컴 인코포레이티드 보안 사용자 평면 위치(supl) 시스템들에서의 인증

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SA WG2 Temporary Document, S2-166283, Way forward on support of non-3GPP access and update to solution 8.6 for support of untrusted non-3-GPP access, 2016.10.17* *

Also Published As

Publication number Publication date
US10609556B2 (en) 2020-03-31
WO2018077960A1 (en) 2018-05-03
CA3042304A1 (en) 2018-05-03
US20200196147A1 (en) 2020-06-18
RU2727160C1 (ru) 2020-07-21
JP6775683B2 (ja) 2020-10-28
BR112019008447A2 (pt) 2019-07-09
MY195382A (en) 2023-01-18
DK3459278T3 (da) 2020-06-15
CN109891921B (zh) 2022-03-01
JP2019533951A (ja) 2019-11-21
EP3459278A1 (en) 2019-03-27
CN109891921A (zh) 2019-06-14
ES2806991T3 (es) 2021-02-19
MA45505B1 (fr) 2019-11-29
US10904756B2 (en) 2021-01-26
ZA201902024B (en) 2020-10-28
MX2019004705A (es) 2019-06-06
CA3042304C (en) 2021-08-24
EP3459278B1 (en) 2020-04-22
MA45505A1 (fr) 2019-06-28
KR102136037B1 (ko) 2020-07-21
US20190007830A1 (en) 2019-01-03

Similar Documents

Publication Publication Date Title
JP6889263B2 (ja) ユーザ機器の二次認証
TWI724132B (zh) 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體
US11658975B2 (en) Authorization for network function registration
US10904756B2 (en) Authentication for next generation systems
CN112997454B (zh) 经由移动通信网络连接到家庭局域网
US11082838B2 (en) Extensible authentication protocol with mobile device identification
US8797940B2 (en) Setup and configuration of relay nodes
US9716999B2 (en) Method of and system for utilizing a first network authentication result for a second network
JP6912470B2 (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
KR20190031348A (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
KR20100100641A (ko) 듀얼 모뎀 디바이스
JP6962432B2 (ja) 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末
US20210045050A1 (en) Communications method and apparatus
US20110255459A1 (en) Wireless metropolitan area network service over wireless local area network
KR20230101818A (ko) 검증된 디지털 아이덴티티를 사용한 가입 온보딩
WO2019141135A1 (zh) 支持无线网络切换的可信服务管理方法以及装置
OA19340A (en) Authentification for next generation systems
CN116762470A (zh) 一种生成设备间通信的密钥的方法、系统和装置
KR20220072858A (ko) 보안 요소 관리

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant