KR20190100327A - 5g 시스템들에서의 보안 앵커 펑션 - Google Patents

5g 시스템들에서의 보안 앵커 펑션 Download PDF

Info

Publication number
KR20190100327A
KR20190100327A KR1020197021915A KR20197021915A KR20190100327A KR 20190100327 A KR20190100327 A KR 20190100327A KR 1020197021915 A KR1020197021915 A KR 1020197021915A KR 20197021915 A KR20197021915 A KR 20197021915A KR 20190100327 A KR20190100327 A KR 20190100327A
Authority
KR
South Korea
Prior art keywords
mobility management
access
management function
user equipment
function
Prior art date
Application number
KR1020197021915A
Other languages
English (en)
Other versions
KR102208868B1 (ko
Inventor
노아멘 벤 헨다
모니카 비프베슨
크리스틴 조스트
데이비드 카스텔라노스 자모라
베사 토르비넨
Original Assignee
텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) filed Critical 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Publication of KR20190100327A publication Critical patent/KR20190100327A/ko
Application granted granted Critical
Publication of KR102208868B1 publication Critical patent/KR102208868B1/ko

Links

Images

Classifications

    • H04W12/04033
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • H04W12/00503
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

사용자 장비에 대한 서빙 액세스 및 이동성 관리 펑션의 변경을 핸들링하기 위한 방법. 이 방법은, 콘텍스트 요청을 소스 액세스 및 이동성 관리 펑션에 전송하는 단계(S2)를 포함한다. 이 전송은 타깃 액세스 및 이동성 관리 펑션으로부터 수행된다. 타깃 액세스 및 이동성 관리 펑션에서, 소스 액세스 및 이동성 관리 펑션으로부터의 응답으로 콘텍스트가 수신된다(S3). 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션을 식별하는 파라미터를 포함한다. 보안 앵커 펑션 액세스 및 이동성 관리 펑션은, 사용자 장비와 공유되는 키를 유지한다. 그에 따라 액세스 및 이동성 관리 펑션 및 사용자 장비들뿐만 아니라 사용자 장비에서의 서빙 액세스 및 이동성 관리 펑션의 변경을 핸들링하기 위한 방법이 또한 개시된다.

Description

5G 시스템들에서의 보안 앵커 펑션
제안된 기술은 일반적으로 5G 통신 시스템에서의 보안 이슈들에 관한 것이다.
제3 세대 파트너십 프로젝트(3rd Generation Partnership Project)(3GPP)는 전기통신 협회들의 그룹들 사이의 공동 작업이다. 3GPP의 초기 목적은 전역적으로 적용가능한 제3 세대(3G) 모바일 폰 시스템 사양에 대해 합의하는 것이었다. 이 범주는 추가 세대들의 모바일 전기통신 세대들, 예를 들어, 3G라고 때때로 또한 지칭되는 유니버셜 모바일 전기통신 시스템(Universal Mobile Telecommunications System)(UMTS) 아키텍처, 및 제4 세대(4G)라고 또한 지칭되는 롱 텀 에볼루션(Long Term Evolution)(LTE) 아키텍처의 개발 및 유지를 포함하도록 추후에 확대되었다.
3GPP는 차세대(Next Generation)(NG)라고도 알려진 5G에 대한 표준들을 현재 개발하고 있다. 통상적으로 차세대(NextGen 또는 NG), 차세대 시스템(Next Generation System)(NGS) 또는 5G라고 지칭되는 이 미래 세대의 무선 통신들은 전세계적으로 개발되고 있지만, 어떠한 공통 5G 표준도 아직 설정되지 않았다.
차세대 무선 통신들의 비전은, 현재 4G LTE 네트워크들에 비해, 매우 높은 데이터 레이트들, 극도로 낮은 레이턴시, 기지국 용량의 다양성 증가, 및 사용자 인식 서비스 품질(Quality of Service)(QoS)의 상당한 개선들을 제공하는 것에 있다.
5G는 많은 새로운 시나리오들 및 유스 케이스들을 지원할 것이고 사물 인터넷(Internet of Things)(IoT)에 대한 조력자가 될 것으로 기대된다. NG 시스템들은 센서들, 스마트 웨어러블들, 차량들, 머신들 등과 같은 광범위한 새로운 디바이스들에 연결성을 제공할 것으로 기대된다. 그 후에, 유연성이 NG 시스템들의 핵심 특성이 될 것이다. 이것은 오퍼레이터에 의해 미리 프로비저닝되고 유니버셜 집적 회로 카드(Universal Integrated Circuit Card)(UICC)에 안전하게 저장되는 통상적 인증 및 키 합의(Authentication and Key Agreement)(AKA) 크리덴셜(credential)들과는 상이한 타입들의 크리덴셜들 및 대안적인 인증 방법들의 지원을 지시하고 있는 네트워크 액세스에 대한 보안 요건에 반영된다. 이것은 공장 소유자들 또는 기업들이 인증 및 액세스 네트워크 보안을 위해 이들 자신의 아이덴티티(identity) 및 크리덴셜 관리 시스템들을 활용하는 것을 가능하게 할 것이다.
NG 시스템들에서의 새로운 보안 피처들 중에는 보안 앵커 펑션(Security Anchor Function)(SEAF)의 도입이다. SEAF의 유일한 목적은, NG 코어 네트워크 펑션들의 배치의 유연성 및 역동성(dynamicity)을 만족시키는 것이다. 실제로, NG 시스템들은 그러한 특성들을 달성하기 위해 가상화를 활용할 것이다. 그 결과, 액세스 및 이동성 관리 펑션(Access and Mobility Management Function)(AMF)이 예를 들어 오퍼레이터 구내(operator premise)들 내에서보다 잠재적으로 덜 보안된 도메인에 배치되는 시나리오는 타당해 보일 뿐만 아니라 기대되는 것이다.
SEAF는 예컨대 제어 평면 보호 및 라디오 인터페이스 보호를 위한 임의의 다른 키들(Kcn)을 도출하는 데 사용되는 키(Kseaf라고 불림)를 확립하고 그 키를 사용자 장비(User Equipment)(UE)와 공유하기로 되어 있다. 이들 키들은 4G 시스템들에서 비-액세스 계층(Non-Access Stratum)(NAS) 키들 및 KeNB에 대응할 것이다. 그 후에, SEAF는 안전한 로케이션(location)에 상주한다고 가정되고 Kseaf는 결코 SEAF를 떠나지 않을 것이다. 이 설정의 한 가지 주요한 이점은, UE가 유휴 상태가 된 후에 다시 활성화될 때마다 재인증을 회피하는 것일 것이다. 실제로, 인증은 특히 UE가 로밍하고 있을 때 고비용의 프로시저이다.
NG 시스템들의 아키텍처 연구 동안, SEAF 및 AMF가 동일 위치되는 것으로 판정되었다. 이것은 우선 그러한 부가적인 보안 펑션의 목적을 실제로 무효화시킨다. 여전히 SEAF에 대한 필요성이 있는가 그리고 그렇다면 어떻게 그것이 구현될 수 있는가? 레거시 시스템들의 보안 설계는 개념적으로 이동성 관리 엔티티(Mobility Management Entity)(MME)가 오퍼레이터 CN 내의 보안된 로케이션에 항상 위치된다는 가정에 기초하였다는 것에 주목할 가치가 있다. 이 가정은 AMF에 적용되지 않는다. 고밀도 영역들에서, 예를 들어, 쇼핑몰에서, 그리고 따라서 잠재적으로 노출된 로케이션들에서, AMF는 네트워크의 에지에 보다 가깝게 배치될 수 있다. 그에 따라, AMF 변경 동안, AMF들은 동일하게 보안된 도메인들에 위치되지 않는 것이 가능하고 그에 따라 타깃 또는 소스 AMF가 다른 것으로부터 그 자신을 보호할 필요가 있을 수도 있다.
아래에 설명되는 바와 같은 그러한 새로운 보안 설정들에서는 레거시 메커니즘을 재사용하는 것이 충분하지 않다. 진화된 패킷 시스템들(Evolved Packet Systems)(EPS)에서, AMF의 등가물은 MME이다. MME 변경 동안, 새로운 MME는 구(old) MME로부터 UE의 보안 콘텍스트(security context)를 페치(fetch)한다. 부가적으로, MME는 항상 새로운 인증을 트리거할 가능성을 갖는다.
레거시 메커니즘들을 이용하면, 재인증을 통해 순방향 보안이 구현될 수 있지만 역방향 보안을 위한 메커니즘은 없다. 더 정밀하게는, 타깃측에서, 새로운 AMF는 항상 새로운 인증을 트리거할 가능성을 가져서 따라서 구 AMF가 사용된 키들을 결정할 임의의 가능성을 감소시킨다. 재인증에 대한 필요성은 예를 들어 상이한 AMF들의 로케이션을 고려하는 오퍼레이터 정책에 기초할 수 있다.
인증 프로시저에만 오로지 의존하는 것은 매우 효율적이지 않은데, 이는 성능에 관련하여 그것은 가장 무거운 프로시저들 중 하나이기 때문이다. 이것은 독립적인 SEAF가 특히 로밍할 때 재인증에 대한 필요성을 제거함으로써 주요한 역할을 할 수 있었던 이유이다.
AMF의 변경 시에, 효율적이고 순방향 보안을 허용하는 인증 프로시저를 제공하는 것이 목적이다.
이 그리고 다른 목적들은 제안된 기술의 실시예들에 의해 충족된다.
제1 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법이 제공된다. 이 방법은, 콘텍스트 요청(context request)을 소스 AMF에 전송하는 단계를 포함한다. 이 전송은 타깃 AMF로부터 수행된다. 타깃 AMF에서, 콘텍스트가 소스 AMF로부터의 응답으로 수신된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제2 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법이 제공된다. 이 방법은, 타깃 AMF로부터 콘텍스트 요청을 수신하는 단계를 포함한다. 수신은 소스 AMF에서 수행된다. 응답으로 소스 AMF로부터 타깃 AMF로 콘텍스트가 전송된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제3 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법이 제공된다. 이 방법은, 등록 요청을 타깃 AMF에 전송하는 단계를 포함한다. 전송은 사용자 장비로부터 수행된다. 상기 타깃 AMF와 상기 사용자 장비 사이에서 비-액세스 계층 보안 확립 프로시저(non-access stratum security establishment procedure)가 수행된다. 비-액세스 계층 보안 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 사용자 장비에게 알린다. 키 프로시저들이 인증 전략에 따라 적용된다.
제4 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법이 제공된다. 이 방법은, 사용자 장비에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하는 단계를 포함한다. 수신은 SEAF AMF에서 수행된다. SEAF AMF에서, 사용자 장비와 공유되는 키로부터 새로운 코어 네트워크 키가 도출된다. 새로운 코어 네트워크 키가 타깃 AMF에 전송된다.
제5 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드가 제공된다. 네트워크 노드는, 콘텍스트 요청을 소스 AMF에 전송하도록 구성되는 AMF를 포함한다. AMF는 소스 AMF로부터의 응답으로 콘텍스트를 수신하도록 구성된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제6 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드가 제공된다. 네트워크 노드는, 타깃 AMF로부터 콘텍스트 요청을 수신하도록 구성되는 AMF를 포함한다. AMF는 응답으로 콘텍스트를 타깃 AMF에 전송하도록 구성된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제7 양태에 따르면, 통신 네트워크에서의 사용을 위한 사용자 장비가 제공된다. 사용자 장비는 등록 요청을 타깃 AMF에 전송하도록 구성된다. 사용자 장비는 타깃 AMF와 사용자 장비 사이에서 비-액세스 계층 보안 확립 프로시저를 수행하도록 추가로 구성된다. 비-액세스 계층 보안 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 사용자 장비에게 알린다. 사용자 장비는 인증 전략에 따라 키 프로시저들을 적용하도록 추가로 구성된다.
제8 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드가 제공된다. 네트워크 노드는, 사용자 장비에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하도록 구성되는 AMF를 포함한다. AMF는 사용자 장비와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하도록 추가로 구성된다. AMF는 새로운 코어 네트워크 키를 타깃 AMF에 전송하도록 추가로 구성된다.
제9 양태에 따르면, 적어도 하나의 프로세서에 의해 실행될 때, 프로세서(들)로 하여금, 타깃 AMF로부터, 콘텍스트 요청을 소스 AMF에 전송하게 하는 명령어들을 포함하는 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금, 타깃 AMF에서, 소스 AMF로부터의 응답으로 콘텍스트를 수신하게 하는 추가의 명령어들을 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제10 양태에 따르면, 적어도 하나의 프로세서에 의해 실행될 때, 프로세서(들)로 하여금, 소스 AMF에서, 타깃 AMF로부터의 콘텍스트 요청을 수신하게 하는 명령어들을 포함하는 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금, 소스 AMF로부터, 응답으로 콘텍스트를 타깃 AMF에 전송하게 하는 추가의 명령어들을 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제11 양태에 따르면, 적어도 하나의 프로세서에 의해 실행될 때, 프로세서(들)로 하여금 등록 요청을 타깃 AMF에 전송하게 하는 명령어들을 포함하는 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금 타깃 AMF와 사용자 장비 사이에서 비-액세스 계층 보안 확립 프로시저를 수행하게 하는 추가의 명령어들을 포함한다. 비-액세스 계층 보안 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 사용자 장비에게 알린다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금 인증 전략에 따라 키 프로시저들을 적용하게 하는 추가의 명령어들을 포함한다.
제12 양태에 따르면, 적어도 하나의 프로세서에 의해 실행될 때, 프로세서(들)로 하여금, SEAF AMF에서, 사용자 장비에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하게 하는 명령어들을 포함하는 컴퓨터 프로그램이 제공된다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금, SEAF AMF에서, 사용자 장비와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하게 하는 추가의 명령어들을 포함한다. 컴퓨터 프로그램은, 프로세서(들)에 의해 실행될 때, 프로세서(들)로 하여금 새로운 코어 네트워크 키를 타깃 AMF에 전송하게 하는 추가의 명령어들을 포함한다.
제13 양태에 따르면, 제9 양태 내지 제12 양태 중 어느 한 양태에 따른 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능 매체를 포함하는 컴퓨터 프로그램 제품이 제공된다.
제14 양태에 따르면, 제9 양태 내지 제12 양태 중 어느 한 양태에 따른 컴퓨터 프로그램을 포함하는 캐리어가 제공되고, 여기서 캐리어는 전자 신호, 광학 신호, 전자기 신호, 자기 신호, 전기 신호, 라디오 신호, 마이크로파 신호, 또는 컴퓨터 판독가능 저장 매체이다.
제15 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 네트워크 노드가 제공된다. 네트워크 노드는, 타깃 AMF로부터, 콘텍스트 요청을 소스 AMF에 전송하기 위한 송신기 모듈을 포함한다. 네트워크 노드는, 타깃 AMF에서, 소스 AMF로부터의 응답으로 콘텍스트를 수신하기 위한 수신기 모듈을 더 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제16 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 네트워크 노드가 제공된다. 네트워크 노드는, 소스 AMF에서, 타깃 AMF로부터의 콘텍스트 요청을 수신하기 위한 수신기 모듈을 포함한다. 네트워크 노드는, 소스 AMF로부터, 응답으로 콘텍스트를 타깃 AMF에 전송하기 위한 송신기를 더 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, 사용자 장비와 공유되는 키를 유지한다.
제16 양태에 따르면, 통신 네트워크에서의 사용을 위한 사용자 장비가 제공된다. 사용자 장비는, 등록 요청을 타깃 AMF에 전송하기 위한 송신기를 포함한다. 사용자 장비는, 타깃 AMF와 사용자 장비 사이에서 비-액세스 계층 보안 확립 프로시저를 수행하기 위한 보안 모듈을 더 포함한다. 비-액세스 계층 보안 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 사용자 장비에게 알린다. 사용자 장비는, 인증 전략에 따라 키 프로시저들을 적용하기 위한 키 핸들링 모듈을 더 포함한다.
제17 양태에 따르면, 사용자 장비에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 네트워크 노드가 제공된다. 네트워크 노드는, 사용자 장비에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하기 위한 수신기를 포함한다. 네트워크 노드는, 사용자 장비와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하기 위한 키 관리 모듈을 더 포함한다. 네트워크 노드는, 새로운 코어 네트워크 키를 타깃 AMF에 전송하기 위한 송신기를 더 포함한다.
이 솔루션은 독립적인 SEAF 펑션을 요구하지 않고 코어 네트워크 내의 표준화된 인터페이스들, 복잡성 및 부가적인 시그널링에 대한 필요성을 절감시킨다.
이 솔루션은 순방향 보안에 대한 인증에 대한 효율적인 대안을 제공함으로써 AMF 배치의 유연성에 의해 도입되는 보안 이슈들을 해결한다.
다음의 설명을 읽을 때 다른 이점들이 인식될 것이다.
실시예들은, 그의 추가 목적들 및 이점들과 함께, 첨부 도면들과 함께 다루어지는 다음의 설명을 참조함으로써 가장 잘 이해될 수도 있다.
도 1은 UMTS에 대한 코어 네트워크의 단순화된 개관을 예시하는 개략도이다.
도 2는 EPC 아키텍처의 단순화된 개관을 예시하는 개략도이다.
도 3은 5G 시스템의 비-로밍 아키텍처의 실시예의 개략적 예시이다.
도 4는 타깃 AMF와 SEAF AMF 사이의 관계의 개략적 예시이다.
도 5는 초기 등록 동안 인증을 위한 실시예의 시그널링을 설명한다.
도 6은 타깃 AMF의 역할에서, UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다.
도 7은 소스 AMF의 역할에서, UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 다른 실시예의 단계들의 흐름도를 예시한다.
도 8은 AMF 변경 동안의 재인증의 실시예의 시그널링을 설명한다.
도 9는 소스 AMF로부터 수신되는 보안 키들을 사용하여 계속되는 타깃 AMF의 실시예의 시그널링을 설명한다.
도 10은 새로운 키 도출을 포함하는 실시예의 시그널링을 설명한다.
도 11은 UE의 역할에서, UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다.
도 12는 SEAF AMF의 역할에서, UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다.
도 13은 AMF의 예를 예시하는 개략적 블록도이다.
도 14는 UE의 예를 예시하는 개략적 블록도이다.
도 15는 하드웨어 회로부 구현에 기초하는 AMF의 다른 예를 예시하는 개략적 블록도이다.
도 16은 하드웨어 회로부 구현에 기초하는 UE의 다른 예를 예시하는 개략적 블록도이다.
도 17은 프로세서들 및 하드웨어 회로부 양측 모두의 조합에 기초하는 AMF의 또 다른 예를 예시하는 개략적 블록도이다.
도 18은 프로세서들 및 하드웨어 회로부 양측 모두의 조합에 기초하는 UE의 또 다른 예를 예시하는 개략적 블록도이다.
도 19는 실시예에 따른 AMF의 컴퓨터 구현의 예를 예시하는 개략도이다.
도 20은 실시예에 따른 UE의 컴퓨터 구현의 예를 예시하는 개략도이다.
도 21은 AMF를 포함하는 네트워크 디바이스의 예를 예시하는 개략적 블록도이다.
도 22는 UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 네트워크 노드의 예를 예시하는 개략도이다.
도 23은 UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 네트워크 노드의 다른 예를 예시하는 개략도이다.
도 24는 UE의 다른 예를 예시하는 개략도이다.
도 25는 클라우드 구현들의 예를 예시하는 개략도이다.
도 26은 무선 통신 시스템의 예를 예시하는 개략도이다.
도면들 전반에 걸쳐, 유사한 또는 대응하는 요소들에 대해 동일한 참조 명칭들이 사용된다.
때때로 3G라고도 또한 지칭되는 유니버셜 모바일 전기통신 시스템(UMTS) 아키텍처, 및 4G라고도 또한 지칭되는 롱 텀 에볼루션(LTE) 아키텍처의 매우 간단한 개관으로 시작하는 것이 유용할 수도 있다.
우선, 아키텍처들의 라디오 액세스 네트워크(Radio Access Network)(RAN) 부분은 유니버셜 지상 라디오 액세스 네트워크(Universal Terrestrial Radio Access Network)(UTRAN)가 3G UMTS RAN이고 진화된 UTRAN(Evolved UTRAN)(eUTRAN)이 LTE RAN이라는 점에서 상이하다. UTRAN은 회선 교환(circuit switched) 서비스와 패킷 교환(packet switched) 서비스 양측 모두를 지원하는 한편, eUTRAN은 패킷 교환 서비스들만을 단지 지원한다.
UTRAN 에어 인터페이스는 확산 스펙트럼 변조 기술에 기초하는 광대역 코드 분할 다중 액세스(Wideband Code Division Multiple Access)(WCDMA)인 한편, eUTRAN은 직교 주파수 분할 다중 액세스(Orthogonal Frequency Division Multiple Access)(OFDMA)라고 불리는 멀티-캐리어 변조 스킴을 채용한다. 고속 패킷 액세스(High Speed Packet Access)(HSPA)는 WCDMA 프로토콜을 사용하는 기존 3G UMTS 네트워크들의 성능을 확장 및 개선시키는 프로토콜들의 세트이다.
3G UMTS에서, RAN은 2개의 타입들의 노드들: NodeB 및 라디오 네트워크 제어기(Radio Network Controller)(RNC)라고 불리는 액세스 노드 또는 기지국에 기초한다. RNC는 RAN을 제어하는 노드이고, 그것은 또한 RAN을 코어 네트워크(Core Network)(CN)에 연결한다.
도 1은 UMTS(100)에 대한 코어 네트워크의 단순화된 개관을 예시하는 개략도이다. UMTS/WCDMA에 대한 코어 네트워크는 다음의 것을 포함한다:
Figure pct00001
공중 교환 전화 네트워크(Public Switched Telephone Network)(PSTN)(5)에의 연결을 위한 모바일 스위칭 센터(Mobile Switching Center)(MSC)(4)를 갖는 회선 교환(CS) 도메인(2);
Figure pct00002
RAN(20)에의 연결을 위한 서빙 GPRS 지원 노드(Serving GPRS Support Node)(SGSN)(6), 및 인터넷(30)과 같은 외부 네트워크들에의 연결을 위한 게이트웨이 GPRS 지원 노드(Gateway GPRS Support Node)(GGSN)(7)를 갖는 패킷 교환(PS) 도메인(3).
2개의 도메인들에 대해 공통된 것은 홈 로케이션 레지스터(Home Location register)(HLR)(8), 즉, 오퍼레이터의 가입자들의 추적을 유지하는 홈 오퍼레이터의 네트워크에서의 데이터베이스이다.
LTE RAN의 핵심 설계 철학은 단지 하나의 타입의 노드, 즉, eNodeB 또는 eNB라고도 또한 지칭되는 진화된 노드 B만을 사용하는 것이다. LTE CN의 핵심 개념은 가능한 정도까지 라디오 액세스 기술과 독립적이어야 한다는 것이다. LTE RAN 펑션들은 통상적으로 다음의 것을 수반한다:
Figure pct00003
코딩, 인터리빙, 변조 및 다른 전형적인 물리 계층 펑션들;
Figure pct00004
자동 반복 요청(Automatic Repeat request)(ARQ) 헤더 압축 및 다른 전형적인 링크 계층 펑션들;
Figure pct00005
사용자 평면(User Plane)(UP) 보안 펑션들, 예를 들어, 암호화, 및 RAN 시그널링 보안, 예를 들어, UE로의 RAN 발신 시그널링의 암호화 및 무결성 보호; 및
Figure pct00006
라디오 리소스 관리(Radio Resource Management)(RRM), 핸드오버, 및 다른 전형적인 라디오 리소스 제어 펑션들.
LTE CN 펑션들은 통상적으로 다음의 것을 수반한다:
Figure pct00007
비-액세스 계층(NAS) 보안 펑션들, 예를 들어, UE로의 CN 시그널링의 암호화 및 무결성 보호;
Figure pct00008
가입자 관리;
Figure pct00009
이동성 관리;
Figure pct00010
베어러 관리 및 서비스 품질(QoS) 핸들링;
Figure pct00011
정책 제어 및 사용자 데이터 흐름들;
Figure pct00012
외부 네트워크들과의 상호연결.
LTE CN의 진화 및 표준화는 시스템 아키텍처 에볼루션(System Architecture Evolution)(SAE)이라고 불렸고 SAE에 정의된 코어 네트워크는 보다 구 세대의 코어 네트워크와는 근본적으로 상이하고 그에 따라 진화된 패킷 코어(Evolved Packet Core)(EPC)로 명명되었다.
도 2는 EPC(102) 아키텍처의 단순화된 개관을 예시하는 개략도이다. EPC(102)의 기본 노드들은 다음의 것을 포함한다:
Figure pct00013
EPC(102)의 제어 평면 노드인 이동성 관리 엔티티(Mobility Management Entity)(MME)(11);
Figure pct00014
EPC(102)를 LTE RAN(20)에 연결하는 사용자 평면 노드인 서빙 게이트웨이(Serving Gateway)(SG)(12); 및
Figure pct00015
EPC(102)를 인터넷(30)에 연결하는 사용자 평면 노드인 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway)(PDN) 게이트웨이(13).
MME는 HLR에 대응하는 데이터베이스 노드인 홈 가입자 서버(Home Subscriber Server)(HSS)(18)에 통상적으로 또한 연결된다.
서빙 게이트웨이(12) 및 PDN 게이트웨이(13)는 단일 엔티티로서 구성될 수도 있다.
때때로 EPC(102)는 LTE RAN(20)과 함께 진화된 패킷 시스템(EPS)(104)이라고 표기된다.
상기에 추가로 언급된 바와 같이, 5G는 센서들, 스마트 웨어러블들, 차량들, 머신들 등과 같은 광범위한 새로운 디바이스들에 연결성을 제공할 것으로 기대된다. 그 후에, 유연성이 NG 시스템들의 핵심 특성이 될 것이다.
3GPP SA2는 TR 23.799에서의 이들의 연구에서 도 3에 예시된 비-로밍 아키텍처(106)에 합의하였다.
때때로 이동성 관리 펑션(Mobility Management Function, MMF), 코어 네트워크 이동성 관리(Core Network Mobility Management)(CN-MM) 또는 단순히 이동성 관리(Mobility Management)(MM)라고 지칭되거나 그리고/또는 이들을 포함하는 액세스 및 이동성 관리 펑션(Access and Mobility management Function)(AMF)(50)은 이동성 관리를 지원하는 코어 네트워크 노드이고, 따라서, EPC에서의 MME와 유사한 역할을 하고 있다. AMF(50)는, EPC에서의 RAN과 MME 사이의 소위 S1 인터페이스에 대응하는 RAN(20)에 대한 소위 NG2 인터페이스(62)를 갖는다. AMF(50)는 UE들(80)에 대한 소위 NG1 인터페이스(61)를 갖는다. AMF(50)는 게다가 NG11 인터페이스(71)를 통해 세션 관리 펑션(Session Management Function)(SMF)(51)에 연결된다.
상이한 AMF들(50)이 서로 통신할 때, 이것은 NG14 인터페이스(74)를 통해 수행된다.
인증 서버 펑션(Authentication Server Function)(AUSF)(52)이 프라이머리 인증 프로세스를 담당하고 NG12 인터페이스(72)의 AMF(50)와 통신한다. 사용자 데이터 관리(User Data Management)(UDM)(53)가 NG13 인터페이스(73)를 통해 AUSF(52)와 통신하고, NG8 인터페이스(68)를 통해 AMF(50)와 통신하고, NG10 인터페이스(70)를 통해 SMF(51)와 통신한다.
제안된 솔루션은 UE(80)가 먼저 인증하는 AMF(50)에 그 역할(상태)을 소화시킴으로써 SEAF의 개념을 구현한다. 그 후에, 보안 콘텍스트에서, 프라이머리 GUTI(primary GUT)(PGUTI)라고 불리는, 부가적인 전역 고유 임시 ID(Global Unique Temporary ID)(GUTI)형 파라미터를 통해 SEAF AMF(프라이머리 AMF라고 또한 불림)의 추적이 유지된다. 그 후에, 프라이머리 GUTI는 AMF 변경 동안 AMF들(50) 사이의 임의의 다른 보안 파라미터들을 따라 전달될 것이다. 그 후에, 타깃 AMF는 그 파라미터를 사용하여 프라이머리 AMF(그 특정 UE(80)에 대한 SEAF의 역할을 함)를 식별할 수 있고, 예를 들어, 그것이 소스 AMF(50)를 완전히 신뢰하지 않는 경우에 새로운 CN 키들에 대해 그것에게 질의한다.
사용자 평면 펑션(User Plane Function)(UPF)(54)이 추가로 NG3 인터페이스(63)에 의해 RAN(20)에 연결되고, NG4 인터페이스(64)에 의해 SMF(51)에 연결되고, NG6 인터페이스들(66)에 의해 상이한 데이터 네트워크들(Data Networks)(DN)(55)에 연결된다.
상이한 UPF들(54)이 서로 통신할 때, 이것은 NG9 인터페이스(69)를 통해 수행된다.
정책 제어 펑션(Policy Control Function)(PCF)(65)이 NG7 인터페이스(67)를 통해 SMF(51)에 연결되고, NG 15 인터페이스(75)를 통해 AMF(50)와 연결되고, NG5 인터페이스(65)를 통해 애플리케이션 펑션들(Applications Functions)(AF)(57)과 연결된다.
SEAF는 Kseaf로 표기된 키를 UE와 공유한다. 이 키는, SEAF/AMF를 통해 UE와 AUSF 사이의 네트워크 액세스를 위한 프라이머리 인증 프로시저의 결과이다. Kseaf는 레거시 시스템들에서의 Kasme의 등가물이고 CN 및 AN 키들의 도출을 위한 루트 키로서 기능할 것이다. 이용가능할 때마다, Kseaf는 전체 재인증을 회피하는 데 사용될 수 있다. 그 후에, Kseaf는, UE가 인증하는 AMF를 결코 떠나지 않는 것이 제안된다.
전문용어를 다소 남용하여, MMF라는 용어가 AMF의 비-SEAF 역할 부분을 지칭하기 위해 여기에 사용된다. 이제 UE 관점에서, AMF는 SEAF의 역할, MMF의 역할 또는 양측 모두를 지지할 수 있다. 도 4를 참조하면, UE가 특정 AMF(50P)로 먼저 인증할 때, 그 AMF(50P)는 양측 모두의 역할들, 즉, SEAF(90) 및 MMF(91)를 지지한다. 그러한 AMF는 이제, 여기서는 P-AMF(50P)로 표기되는, (UE의) SEAF AMF라고 지칭될 것이다. UE가 추후에 (예를 들어, 이동성 이벤트의 경우에) 다른 타깃 AMF, 즉, T-AMF(50T)로 이동할 때, 타깃 AMF(50 T)는 단지 MMF(91)의 역할만을 지지하는 한편, SEAF AMF(50P)는 SEAF(90)의 역할을 지지한다. UE가 SEAF AMF 이외의 것에 의해 재인증되는 경우, 그러면 새로운 AMF가 SEAF AMF가 되고 새로운 Kseaf가 사용되게 된다.
SEAF AMF는 UE가 어딘가 다른 곳에서 인증할 때까지 항상 Kseaf를 소지할 것이다. 서빙 AMF, 즉, 원래 SEAF AMF 또는 변경 후 타깃 AMF는, CN 키(NAS 프로토콜 키들을 도출하는 데 사용되는 키)를 항상 가질 것이다. 그에 따라, 임의의 UE에 대해, 그것은 동일한 UE로 일부 형태의 보안 콘텍스트를 유지 및 공유함에 있어서 2개의 상이한 AMF들이 관련되는 경우일 수 있다. SEAF AMF(50P)는 Kseaf 및 서빙 AMF에 기초하여 SEAF(90) 콘텍스트를 유지할 것인데, 예를 들어, 타깃 AMF(50T)는 Kcn이라고 불리는 도출된 키에 기초하여 CN 보안 콘텍스트를 유지할 것이다. UE는 양측 모두의 콘텍스트들을 유지한다. SEAF AMF가 또한, 그것이 양측 모두의 콘텍스트들을 관리하는 경우에 서빙 AMF인 것이 가능하다는 것이 관측된다. 이것이 작용하기 위해, SEAF AMF를 식별하기 위해 CN 보안 콘텍스트에 일부 형태의 부가적인 AMF 식별자가 포함되어야 하는데, 예를 들어, 이것은 AMF 및 UE를 고유하게 식별하는 부가적인 GUTI형 파라미터와 같은 것일 수 있다. 설명의 나머지 부분에서, 그러한 식별자(92)는 프라이머리 GUTI(PGUTI)라고 지칭된다.
초기 등록 동안 보안 콘텍스트 핸들링을 가능하게 하기 위해, 초기 등록이 베이스라인에서처럼 핸들링되고 도 5에 도시되어 있다. 등록 요청(T10)이 UE(80)로부터 AMF, 즉, SEAF AMF(50P)로 전송된다. P-AMF(50P)는, Kseaf의 확립에 이르게 하는, AUSF(52) 및 UE(80)를 수반하는 인증(T12)을 관리하는 것으로 판정한다. 그 결과, AMF는 이 UE(80)에 대한 SEAF AMF(50P)가 된다. 그 결과, Kseaf'가 확립된다. 대응하는 PGUTI는 예를 들어 이 SEAF AMF(50P)에 의해 할당되는 제1 GUTI인 것으로 선정될 수 있다.
여기서 제안된 메커니즘들에 관한 유일한 고려사항은, 초기 등록 요청을 수신한 AMF가 따라서 SEAF 역할을 지원하는 SEAF AMF(50P)가 된다는 점이다. 그에 따라, 가입 인증 후에, SEAF AMF(50P)는 HPLMN의 AUSF(52)로부터 Kseaf를 수신 및 유지할 것이다.
성공적인 인증 및 Kseaf 전달 후에, (SEAF) AMF(50P)는 업데이트 로케이션(T17)을 수행하여 HPLMN의 UDM(53)에 그 자신을 등록하고 인증된 사용자의 가입 프로파일을 다운로드할 것이다.
프로시저는 SEAF AMF(50P)에 의해 종료되어 등록이 완료되었음(T19)에 대해 UE(80)에게 알린다.
AMF 변경 동안의 보안 콘텍스트 핸들링은 추가의 고려사항들을 요구한다. AMF 변경은 전형적으로 이동성 이벤트들 동안 발생할 수 있다. 레거시 시스템들에서는, 보안 콘텍스트가 MME들 사이에서 전송된다. NG 시스템들에서는, 타깃과 소스 AMF 사이에 일부 종류의 콘텍스트 전송이 항상 있을 것이다. 그러나, 보안 양태의 경우, 어떠한 보안 파라미터들이 전송되는지 그리고 이들이 어떻게 사용하게 되는지에 의존하여 수 개의 시나리오들이 가능하다. 시스템 동작들 동안, 타깃 AMF라고도 또한 지칭되는 새로운 AMF가 어떠한 판정을 취할지는, 예를 들어, SEAF AMF, 및 소스 AMF라고 또한 지칭되는 구 AMF의 로케이션에 의존하는 보안 정책에 기초할 수 있다.
도 6은 UE에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다. 단계 S2에서, 콘텍스트 요청이 타깃 AMF로부터 소스 AMF로 전송된다. 단계 S3에서, 콘텍스트가 소스 AMF로부터의 응답으로 타깃 AMF에서 수신된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, UE와 공유되는 키를 유지한다.
선호되는 실시예에서, 단계 S2에 앞서, UE로부터 등록 요청이 수신되는 단계 S1이 있다.
선호되는 실시예에서, 단계 S4에서, 인증 전략이 소스 AMF 및 SEAF AMF 중 적어도 하나의 것의 상황에 기초하여 판정된다. 훨씬 더 바람직하게는, 판정은 소스 AMF 및 SEAF AMF의 로케이션에 의존하는 보안 정책에 기초한다.
매칭 프로시저들은 소스 AMF에서 수행된다. 도 7은 UE에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다. 단계 S11에서, 콘텍스트 요청이 타깃 AMF로부터 소스 AMF에서 수신된다. 단계 S12에서, 콘텍스트가 소스 AMF로부터의 응답으로 타깃 AMF에 전송된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
다음 섹션들은 AMF 변경 동안 보안 콘텍스트 핸들링을 실현하기 위한 다양한 옵션들을 보여준다. 도시된 대안들 중 임의의 것에 기초하는 이동성 프로시저의 결과로서 도면들에 도시된 바와 같이, 다음 도면들에서의 소스 AMF는 SEAF AMF일 수도 있거나 또는 그것은 별개의 것일 수 있다는 것을 염두에 둔다.
서빙 AMF의 변경의 실시예의 하나의 장면에 연결되는 시그널링이 도 8에 예시되어 있다.
UE(80)는 등록 요청(T10)을 타깃 AMF(50T)에 전송한다. UE 등록은, 타깃 AMF(50T)라고도 또한 지칭되는 새로운 AMF가 구 서빙 AMF, 즉, 소스 AMF(50S)를 식별하는 것을 가능하게 하기 위해 현재 NAS 보안 콘텍스트로부터의 임의의 필요한 정보를 포함해야 한다.
타깃 AMF(50T)는 UE로부터 등록 요청(T10)을 수신하고, 콘텍스트 요청(T11)을, 이에 따라 응답하는 소스 AMF(50S)에 전송한다. 콘텍스트는, SEAF AMF(50P)를 식별하는 부가적인 PGUTI 파라미터를 포함한다.
실시예의 이 장면에서, 타깃 AMF(50T)는 새로운 Kseaf의 확립에 이르게 하는 새로운 인증(T12)을 실행하는 것으로 판정한다. 판정은 바람직하게는, PGUTI 파라미터와 연관된 SEAF AMF(50P) 및 소스 AMF(50S)의 상황, 예를 들어, 로케이션에 기초한다. 그 결과, 타깃 AMF(50T)는 또한 이 UE(80)에 대한 새로운 SEAF AMF가 된다. 그 결과, 새로운 Kseaf'가 확립된다. 대응하는 PGUTI는 예를 들어 이 타깃 AMF에 의해 할당되는 제1 GUTI인 것으로 선정될 수 있다. PGUTI가 오버 디 에어(over the air)로 전송되고 AMF들 사이에서만 단지 전달되기 때문에, 전용 재할당 프로시저들에 대한 필요성이 없다.
타깃 AMF(50T)는, (이전의) SEAF AMF(50P)에게, 후자가 구 Kseaf 및 대응하는 보안 콘텍스트를 안전하게 폐기할 수 있도록 임의로 통지(T13)할 수도 있다. 그러한 부가적인 시그널링을 회피하기 위해, 그것은 일단 UE(80)가 SEAF AMF(50P)를 떠난다면 SEAF 콘텍스트가 특정 주기의 시간 동안에만 단지 유지되는 경우일 수 있다. 이 방식으로, 일단 정의된 주기가 경과된다면 데이터가 자동으로 제거될 것이다.
NAS 보안 확립(T16)이 수행된다. 새로운 CN 키가 도출된 후에, 타깃 AMF(50T)와 UE(80) 사이의 SMC형 프로시저를 통해 사용하게 된다.
최종적으로, 타깃 AMF(50T)는 업데이트 로케이션(T17)을 수행하여 HPLMN의 UDM(53)에 그 자신을 등록하고 인증된 사용자의 가입 프로파일을 다운로드할 것이다. 이것에 기초하여, UDM(53)은 취소 로케이션(T18)을 소스 AMF(50S)에 전송할 것이다.
UE는 인증 전략에 따라 키 프로시저들을 적용한다.
실시예의 다른 장면에서, 타깃 AMF는 소스 AMF로부터 수신된 보안 키들을 계속 사용한다. 이 시나리오는 SEAF AMF와의 상호작용을 요구하지 않을 것이고 레거시 메커니즘과 유사한 그의 최종 부분들에 있다. 도 9에 예시된 바와 같이, CN 키 전송에서, UE(80)는 등록 요청(T10)을 전송한다. UE 등록은, 타깃 AMF(50T)가 구 서빙 AMF, 즉, 소스 AMF(50S)를 식별하는 것을 가능하게 하기 위해 현재 NAS 보안 콘텍스트로부터의 임의의 필요한 정보를 포함해야 한다.
타깃 AMF(50T)는, 콘텍스트 요청(T11)을, 이에 따라 응답하는 소스 AMF(50S)에 전송한다. 콘텍스트는, SEAF AMF(50P)를 식별하는 부가적인 PGUTI 파라미터를 포함한다.
소스 노드의 아이덴티티의 지식 및 PGUTI 파라미터에 기초하여, CN 키 전송을 계속하는 것으로 판정이 이루어진다. 임의로 그리고 예를 들어 타깃 AMF(50T)에 의해 알고리즘 변경이 요구되는 경우에, 그 후에 선정된 새로운 알고리즘들을 사용하게 하기 위해 SMC형 프로시저(T16)가 실행된다.
최종적으로, 타깃 AMF(50T)는 업데이트 로케이션(T17)을 수행하여 HPLMN의 UDM(53)에 그 자신을 등록하고 인증된 사용자의 가입 프로파일을 다운로드할 것이다. 이것에 기초하여, UDM(53)은 취소 로케이션(T18)을 소스 AMF(50S)에 전송할 것이다.
UE는 인증 전략에 따라 키 프로시저들을 적용한다.
실시예의 다른 장면에서, 새로운 키 도출이 판정된다. 타깃 AMF(50T)는 도 10에 예시된 바와 같이 새로운 CN 키를 획득하기 위해 SEAF AMF(50P)에게 질의한다.
이를 위해, UE(80)는 등록 요청(T10)을 전송한다. UE 등록은, 타깃 AMF(50T)가 구 서빙 AMF, 즉, 소스 AMF(50S)를 식별하는 것을 가능하게 하기 위해 현재 NAS 보안 콘텍스트로부터의 임의의 필요한 정보를 포함해야 한다.
타깃 AMF(50T)는, 콘텍스트 요청(T11)을, 이에 따라 응답하는 소스 AMF(50S)에 전송한다. 콘텍스트는, SEAF AMF(50P)를 식별하는 부가적인 PGUTI 파라미터를 포함한다.
키 요청을 계속하기 위해 소스 AMF(50S)의 아이덴티티의 지식 및 PGUTI 파라미터에 기초하여 판정이 이루어진다.
타깃 AMF(50T)는 PGUTI에 의해 식별된 SEAF AMF(50P)에 키 요청(T14)을 전송하고, SEAF AMF(50P)는 이에 따라 현재 Kseaf로부터 새로운 Kcn을 도출하고 그것을 응답에 포함시킴으로써 작동한다. 이 Kcn의 도출은 응답에도 또한 포함되는 신선도 파라미터에 기초할 수 있다. 이들 양태들에 관련된 추가의 실시예들이 아래에 설명된다.
새로운 CN 키는 타깃 AMF(50T)와 UE(80) 사이의 SMC형 프로시저(T16)를 통해 사용하게 된다. UE(80)가 새로운 Kcn이 사용되고 있다는 것을 알기 위해서는, 타깃 AMF(50T)로부터 UE(80)로의 SMC형 메시지에 표시가 있어야 한다. 이들 양태들에 관련된 추가의 실시예들이 아래에 설명된다.
최종적으로, 타깃 AMF(50T)는 업데이트 로케이션(T17)을 수행하여 HPLMN의 UDM(53)에 그 자신을 등록하고 인증된 사용자의 가입 프로파일을 다운로드할 것이다. 이것에 기초하여, UDM(53)은 취소 로케이션(T18)을 소스 AMF(50S)에 전송할 것이다.
UE는 인증 전략에 따라 키 프로시저들을 적용한다.
선호되는 실시예에서, 도 8 내지 도 10에 설명된 모든 장면들이 선택하는 것이 가능해야 한다.
이를 위해, 타깃 AMF에서 수행되는 방법의 선호되는 실시예에서, 단계 S4(도 6)에서의 인증 전략은 다음의 것 중 하나를 포함한다:
- AMF들 사이의 키의 전송,
- 새로운 인증 프로시저의 실행, 및
- 상기 SEAF AMF로부터의 키의 요청.
도 8의 장면을 참조하면, 타깃 AMF에서 수행되는 방법의 일 실시예에서, 이 방법은, 인증 전략이 새로운 인증 프로시저의 실행인 것으로 판정되는 것에 대한 응답으로 새로운 인증 프로세스를 실행하는 추가의 단계를 포함한다. 인증 프로세스는 차례로, AUSF와의 상호작용에 의해 새로운 키를 확립하는 것을 포함한다. 게다가, SEAF AMF를 식별하는 새로운 파라미터가 생성되어, 타깃 AMF를 새로운 SEAF AMF로서 식별한다.
바람직하게는, 이 방법은 또한, 타깃 AMF가 UE에 대한 새로운 SEAF AMF임을 원래의 SEAF AMF에게 통지하는 추가의 단계를 포함한다.
도 9의 장면을 참조하면, 타깃 AMF에서 수행되는 방법의 일 실시예에서, 이 방법은, 인증 전략이 AMF들 사이의 키의 전송인 것으로 판정되는 것에 대한 응답으로 소스 AMF와 타깃 AMF 사이에서 CN 키를 전송하는 추가의 단계를 포함한다.
도 10의 장면을 참조하면, 타깃 AMF에서 수행되는 방법의 일 실시예에서, 이 방법은, 인증 전략이 SEAF AMF로부터의 키의 요청인 것으로 판정되는 것에 대한 응답으로 키를 요청하는 추가의 단계를 포함한다. 키의 요청은 차례로, 키에 대한 요청을 SEAF AMF에 전송하는 것, 그리고 SEAF AMF로부터 키를 수신하는 것을 포함한다.
선호되는 실시예에서, SEAF AMF를 식별하는 파라미터는, SEAF AMF와 연관된 GUTI이다.
선호되는 실시예에서, UE와 공유되는 키는 다른 키들을 도출하는 데 사용된다.
선호되는 실시예에서, 이 방법은, 타깃 AMF와 UE 사이에서 NAS 확립 프로시저를 수행하는 추가의 단계를 포함한다. NAS 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 UE에게 알린다.
대응하는 프로시저들이 필요하다면 소스 AMF에서 수행된다.
소스 AMF에서 수행되는 방법의 선호되는 실시예에서, 인증 전략이 AMF들 사이의 키의 전송인 것으로 판정될 때(도 9와 비교), 이 방법은, 소스 AMF와 타깃 AMF 사이에서 CN 키를 전송하는 추가의 단계를 포함한다.
선호되는 실시예에서, 소스 AMF에서 수행되는 방법은, 메모리로부터, SEAF AMF를 식별하는 파라미터를 검색하는 추가의 단계를 포함한다.
선호되는 실시예에서, 파라미터는, SEAF AMF와 연관된 GUTI이다.
선호되는 실시예에서, UE와 공유되는 키는 다른 키들을 도출하는 데 사용된다.
UE에서 수행되는 프로시저는 도 11에 의해 예시될 수 있는데, 여기서 UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 실시예의 단계들의 흐름도가 예시되어 있다. 단계 S21에서, 등록 요청이 UE로부터 타깃 AMF로 전송된다. 바람직하게는, 등록 요청은, 현재 사용된 AMF를 소스 AMF로서 식별하는 정보를 포함한다.
타깃 AMF에서의 프로시저들의 결과로서, 인증 전략은 타깃 AMF에 의해 판정된다. 단계 S22에서, 타깃 AMF와 UE 사이에서 NAS 확립 프로시저가 수행된다. NAS 확립 프로시저는 인증 전략에 대해 UE에게 알린다. 단계 S23에서, 키 프로시저들은 인증 전략에 따라 적용된다.
바람직하게는, 인증 전략은, AMF들 사이의 키의 전송, 새로운 인증 프로시저의 실행, 및 SEAF AMF로부터의 키의 요청 중 하나를 포함한다.
일부 장면들에서, SEAF AMF는 솔루션에 기여한다(예를 들어, 도 8 및 도 10 참조). 도 12는 SEAF AMF에서 수행되는 바와 같이, UE에 대한 서빙 AMF의 변경을 핸들링하기 위한 방법의 실시예의 단계들의 흐름도를 예시한다. 단계 S31에서, UE에 대한 새로운 키에 대한 요청이 타깃 AMF로부터 SEAF AMF에 수신된다. 단계 S32에서, 새로운 CN 키는, UE와 공유되는 키로부터 SEAF AMF에서 도출된다. 단계 S33에서, 새로운 CN 키는 타깃 AMF에 전송된다.
선호되는 실시예에서, 도 8의 장면이 발생할 때, 부가적인 단계들이 SEAF AMF에서 수행된다. 단계 S34에서, 타깃 AMF로부터의 통지가 수신된다. 통지는 UE가 새로운 SEAF AMF를 가짐을 SEAF AMF에게 알린다. 단계 S35에서, UE와 공유되는 키가 폐기된다.
Kseaf로부터의 Kcn의 도출은 UE와 SEAF AMF 사이에서 공유되는 신선도 파라미터에 기초할 수 있다. 그러한 파라미터는 카운터, 논스(nounce) 또는 타임스탬프일 수 있다.
카운터의 경우에, 그러면 그것은 새로운 Kseaf가 확립될 때마다 재설정 또는 초기화될 수 있다. 그 후에, 이 카운터는 Kseaf 보안 콘텍스트의 부분이 될 것이다. 초기 값이 UE와 AMF 사이에 미리 합의되는 경우, 그러면 (도 10의 T14에서) 키와 함께 카운터 파라미터를 전송할 필요가 없을 수도 있다. UE는 (도 10의 T16에서) SMC 메시지에서 일부 타입의 "새로운 키 표시"만을 단지 수신할 필요가 있을 것이다. 이것은 불 파라미터(Boolean parameter)일 수 있다. 이 표시에 따라, UE는 그 후에 카운터를 증대시키고, Kseaf로부터 새로운 Kcn을 도출하며 단계 4에서 그것을 사용할 것이다. 대안적으로, 전체 카운터 값 또는 LSB들 중 일부는 키와 함께 그리고 추가로 UE까지 전송되어 동기화 실패들을 회피한다.
논스 또는 타임스탬프의 경우에, 그러한 파라미터들은 새로운 CN 키에 따라 타깃 AMF에 그리고 그 후에 추가로 UE까지 전송될 필요가 있다.
본 명세서에서 사용되는 바와 같이, 비제한적인 용어들 "사용자 장비(UE)", "스테이션(STA)" 및 "무선 통신 디바이스"는 모바일 폰, 셀룰러 폰, 라디오 통신 능력들이 구비된 개인 휴대 정보 단말기(Personal Digital Assistant)(PDA), 스마트 폰, 내부 또는 외부 모바일 광대역 모뎀이 구비된 랩톱 또는 퍼스널 컴퓨터(Personal Computer)(PC), 라디오 통신 능력들을 가진 태블릿 PC, 타깃 디바이스, 디바이스 대 디바이스 UE, 머신 타입 UE 또는 머신 대 머신 통신이 가능한 UE, iPAD, 고객 구내 장비(Customer Premises Equipment)(CPE), 랩톱 임베디드 장비(Laptop Embedded Equipment)(LEE), 랩톱 장착 장비(Laptop Mounted Equipment)(LME), 유니버셜 직렬 버스(Universal Serial Bus)(USB) 동글, 휴대용 전자 라디오 통신 디바이스, 라디오 통신 능력들이 구비된 센서 디바이스 등을 지칭할 수도 있다. 특히, 용어 "UE", 용어 "스테이션" 및 용어 "무선 통신 디바이스"는, 무선 통신 시스템에서 네트워크 노드와 통신하거나 그리고/또는 가능하다면 다른 무선 통신 디바이스와 직접 통신하는 임의의 타입의 무선 디바이스를 포함하는 비제한적인 용어들로서 해석되어야 한다. 다시 말해, 무선 통신 디바이스는 통신에 대한 임의의 관련 표준에 따라 무선 통신을 위한 회로부가 구비된 임의의 디바이스일 수도 있다.
본 명세서에서 사용되는 바와 같이, 용어 "유선 디바이스"는 네트워크에의 유선 연결을 위해 구성 또는 준비되는 임의의 디바이스를 지칭할 수도 있다. 특히, 유선 디바이스는, 유선 연결을 위해 구성될 때, 라디오 통신 능력을 갖거나 또는 갖지 않는 상기의 디바이스들 중 적어도 일부일 수도 있다.
본 명세서에서 사용되는 바와 같이, 비제한적인 용어 "네트워크 노드"는 기지국들, 액세스 포인트들, 네트워크 제어 노드들 예컨대 네트워크 제어기들, 라디오 네트워크 제어기들, 기지국 제어기들, 액세스 제어기들 등을 지칭할 수도 있다. 특히, 용어 "기지국"은 표준화된 기지국들 예컨대 노드 B들, 또는 진화된 노드 B들(eNB) 그리고 또한 매크로/마이크로/피코 라디오 기지국들, 펨토 기지국들로 또한 알려진 홈 기지국들, 중계 노드들, 중계기들, 라디오 액세스 포인트들, 기지국 트랜시버들(Base Transceiver Stations)(BTS), 그리고 심지어 하나 이상의 원격 라디오 유닛들(Remote Radio Units)(RRU)을 제어하는 라디오 제어 노드들 등을 포함하는 상이한 타입들의 라디오 기지국들을 포괄할 수도 있다.
다음에서, 일반적인 비제한적 용어 "통신 유닛"은 네트워크 노드들 및/또는 연관된 무선 디바이스들을 포함한다.
본 명세서에서 사용되는 바와 같이, 용어 "네트워크 디바이스"는, 액세스 네트워크들, 코어 네트워크들 및 유사한 네트워크 구조체들에서의 디바이스들을 포함하지만 이에 제한되지 않는, 통신 네트워크와 관련하여 위치되는 임의의 디바이스를 지칭할 수도 있다. 네트워크 디바이스라는 용어는 클라우드 기반 네트워크 디바이스들을 또한 포괄할 수도 있다.
본 명세서에서 설명되는 방법들 및 디바이스들은 다양한 방식들로 조합되고 재배열될 수 있다는 것이 인식될 것이다.
예를 들어, 실시예들은 하드웨어로, 또는 적합한 프로세싱 회로부에 의한 실행을 위한 소프트웨어로, 또는 이들의 조합으로 구현될 수도 있다.
본 명세서에서 설명되는 단계들, 기능들, 프로시저들, 모듈들 및/또는 블록들은, 범용 전자 회로부 및 주문형 회로부 양측 모두를 포함하는, 이산 회로 또는 집적 회로 기술과 같은 임의의 종래의 기술을 사용하여 하드웨어로 구현될 수도 있다.
대안적으로, 또는 보완으로서, 본 명세서에서 설명되는 단계들, 기능들, 프로시저들, 모듈들 및/또는 블록들의 적어도 일부는, 하나 이상의 프로세서들 또는 프로세싱 유닛들과 같은 적합한 프로세싱 회로부에 의한 실행을 위한 컴퓨터 프로그램과 같은 소프트웨어로 구현될 수도 있다.
프로세싱 회로부의 예들로는, 하나 이상의 마이크로프로세서들, 하나 이상의 디지털 신호 프로세서(Digital Signal Processor)(DSP)들, 하나 이상의 중앙 프로세싱 유닛(Central Processing Unit)(CPU)들, 비디오 가속 하드웨어, 및/또는 임의의 적합한 프로그래밍가능 로직 회로부 예컨대 하나 이상의 필드 프로그래밍가능 게이트 어레이(Field Programmable Gate Array)(FPGA)들, 또는 하나 이상의 프로그래밍가능 로직 제어기(Programmable Logic Controller)(PLC)들을 포함하지만, 이에 제한되지 않는다.
또한, 제안된 기술이 구현되는 임의의 종래의 디바이스 또는 유닛의 일반 프로세싱 능력들을 재사용하는 것이 가능할 수도 있다는 것을 이해해야 한다. 예를 들어, 기존 소프트웨어를 재프로그래밍함으로써 또는 새로운 소프트웨어 컴포넌트들을 부가함으로써, 기존 소프트웨어를 재사용하는 것이 또한 가능할 수도 있다.
제안된 기술의 양태의 실시예에 따르면, 콘텍스트 요청을 소스 AMF에 전송하도록 구성되는 AMF를 포함하는, UE에 대한 서빙 AMF의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드가 제공된다. AMF는 소스 AMF로부터의 응답으로 콘텍스트를 수신하도록 구성된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
제안된 기술의 양태의 실시예에 따르면, 타깃 AMF로부터 콘텍스트 요청을 수신하도록 구성되는 AMF를 포함하는, UE에 대한 서빙 AMF의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드가 제공된다. 서빙 AMF는 응답으로 콘텍스트를 타깃 AMF에 전송하도록 구성된다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
제안된 기술의 양태의 실시예에 따르면, UE에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하도록 구성되는 AMF를 포함하는, UE에 대한 서빙 AMF의 변경을 핸들링하도록 구성되는 네트워크 노드가 제공된다. AMF는 UE와 공유되는 키로부터 새로운 CN 키를 도출하도록 추가로 구성된다. AMF는 새로운 CN 키를 타깃 AMF에 전송하도록 추가로 구성된다.
도 13은 실시예에 따른 프로세서-메모리 구현에 기초하는 AMF(50)의 예를 예시하는 개략적 블록도이다. 이 특정 예에서, AMF(50)는 프로세서(110) 및 메모리(120)를 포함하고, 메모리(120)는, 프로세서(110)에 의해 실행가능한 명령어들을 포함한다.
일 실시예에서, 명령어들은, 프로세서(110)에서 프로세싱될 때, 바람직하게는 AMF(50)가 소스 AMF 및 SEAF AMF 중 적어도 하나의 것의 상황에 기초하여 인증 전략에 대해 판정할 수 있게 한다.
추가의 실시예에서, 판정은 소스 AMF 및 SEAF AMF의 로케이션에 의존하는 보안 정책에 기초한다.
일 실시예에서, 명령어들은, 프로세서(110)에서 프로세싱될 때, 바람직하게는 AMF(50)가 UE와 공유되는 키로부터 새로운 CN 키를 도출할 수 있게 한다.
AMF(50)는 통신 회로(130)를 또한 포함한다. 통신 회로(130)는, 네트워크에서의 다른 디바이스들 및/또는 네트워크 노드들과의 유선 및/또는 무선 통신을 위한 펑션들을 포함할 수도 있다. 특정 예에서, 통신 회로(130)는, 정보를 송신 및/또는 수신하는 것을 포함하여, 하나 이상의 다른 노드들과의 통신을 위한 라디오 회로부에 기초할 수도 있다. 통신 회로(130)는 프로세서(110) 및/또는 메모리(120)에 상호연결될 수도 있다. 예로서, 통신 회로(130)는 다음의 것: 수신기, 송신기, 트랜시버, 입/출력(input/output)(I/O) 회로부, 입력 포트(들) 및/또는 출력 포트(들) 중 임의의 것을 포함할 수도 있다.
일 실시예에서, 통신 회로(130)는 콘텍스트 요청을 전송하는 것 그리고 응답으로 콘텍스트를 수신하는 것을 수행하도록 구성된다.
일 실시예에서, 통신 회로(130)는 콘텍스트 요청을 수신하는 것 그리고 응답으로 콘텍스트를 전송하는 것을 수행하도록 구성된다.
일 실시예에서, 통신 회로(130)는 UE에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하도록, 그리고 새로운 코어 네트워크 키를 타깃 AMF에 전송하도록 구성된다.
제안된 기술의 양태의 실시예에 따르면, 통신 네트워크에서의 사용을 위한 UE가 제공된다. UE는 등록 요청을 타깃 AMF에 전송하도록 구성된다. UE는 타깃 AMF와 UE 사이에서 NAS 확립 프로시저를 수행하도록 추가로 구성된다. NAS 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 UE에게 알린다. US는 인증 전략에 따라 키 프로시저들을 적용하도록 추가로 구성된다.
도 14는 실시예에 따른 프로세서-메모리 구현에 기초하는 UE(80)의 예를 예시하는 개략적 블록도이다. 이 특정 예에서, UE(80)는 프로세서(111) 및 메모리(121)를 포함하고, 메모리(121)는, 프로세서(111)에 의해 실행가능한 명령어들을 포함한다.
일 실시예에서, 명령어들은, 프로세서(110)에서 프로세싱될 때, 바람직하게는 UE(80)가 타깃 AMF와 UE 사이에서 NAS 확립 프로시저를 수행할 수 있게 하고, 인증 전략에 따라 키 프로시저들을 적용할 수 있게 한다.
UE(80)는 통신 회로(131)를 또한 포함한다. 통신 회로(131)는, 네트워크에서의 다른 디바이스들 및/또는 네트워크 노드들과의 유선 및/또는 무선 통신을 위한 펑션들을 포함할 수도 있다. 특정 예에서, 통신 회로(131)는, 정보를 송신 및/또는 수신하는 것을 포함하여, 하나 이상의 다른 노드들과의 통신을 위한 라디오 회로부에 기초할 수도 있다. 통신 회로(130)는 프로세서(111) 및/또는 메모리(121)에 상호연결될 수도 있다. 예로서, 통신 회로(131)는 다음의 것: 수신기, 송신기, 트랜시버, 입/출력(I/O) 회로부, 입력 포트(들) 및/또는 출력 포트(들) 중 임의의 것을 포함할 수도 있다.
일 실시예에서, 통신 회로(131)는 등록 요청을 타깃 AMF에 전송하도록 구성된다.
도 15는 실시예에 따른 하드웨어 회로부 구현에 기초하는 AMF(50)의 다른 예를 예시하는 개략적 블록도이다. 적합한 하드웨어(HW) 회로부의 특정 예들로는, 하나 이상의 적합하게 구성된 또는 가능하다면 재구성가능한 전자 회로부, 예를 들어, 주문형 집적 회로(Application Specific Integrated Circuit)(ASIC)들, 필드 프로그래밍가능 게이트 어레이(Field Programmable Gate Array)(FPGA)들, 또는 적합한 레지스터들(registers)(REG), 및/또는 메모리 유닛들(memory units)(MEM)과 관련하여 특수화된 기능들을 수행하도록 상호연결된 이산 로직 게이트들 및/또는 플립-플롭들에 기초하는 회로들과 같은 임의의 다른 하드웨어 로직을 포함한다.
도 16은 실시예에 따른 하드웨어 회로부 구현에 기초하는 UE(80)의 다른 예를 예시하는 개략적 블록도이다. 적합한 하드웨어(HW) 회로부의 특정 예들로는, 하나 이상의 적합하게 구성된 또는 가능하다면 재구성가능한 전자 회로부, 예를 들어, 주문형 집적 회로(ASIC)들, 필드 프로그래밍가능 게이트 어레이(FPGA)들, 또는 적합한 레지스터들(REG), 및/또는 메모리 유닛들(MEM)과 관련하여 특수화된 기능들을 수행하도록 상호연결된 이산 로직 게이트들 및/또는 플립-플롭들에 기초하는 회로들과 같은 임의의 다른 하드웨어 로직을 포함한다.
도 17은 적합한 메모리 유닛(들)(320)과 관련하여 프로세서(들)(310-1, 310-2) 및 하드웨어 회로부(330-1, 330-2) 양측 모두의 조합에 기초하는 AMF(50)의 또 다른 예를 예시하는 개략적 블록도이다. AMF(50)는, 하나 이상의 프로세서들(310-1, 310-2), 소프트웨어 및 데이터에 대한 스토리지를 포함하는 메모리(320), 및 ASIC들 및/또는 FPGA들과 같은 하드웨어 회로부(330-1, 330-2)의 하나 이상의 유닛들을 포함한다. 따라서, 전체 기능성은 하나 이상의 프로세서들(310-1, 310-2) 상의 실행을 위한 프로그래밍된 소프트웨어(SW)와, ASIC들 및/또는 FPGA들과 같은 하나 이상의 미리 구성된 또는 가능하다면 재구성가능한 하드웨어 회로들(330-1, 330-2) 사이에서 파티셔닝된다. 실제 하드웨어-소프트웨어 파티셔닝은 프로세싱 속도, 구현 비용 및 다른 요건들을 포함하는 다수의 인자들에 기초하여 시스템 설계자에 의해 판정될 수 있다.
도 18은 적합한 메모리 유닛(들)(321)과 관련하여 프로세서(들)(311-1, 311-2) 및 하드웨어 회로부(331-1, 331-2) 양측 모두의 조합에 기초하는 UE(80)의 또 다른 예를 예시하는 개략적 블록도이다. UE(80)는, 하나 이상의 프로세서들(311-1, 311-2), 소프트웨어 및 데이터에 대한 스토리지를 포함하는 메모리(321), 및 ASIC들 및/또는 FPGA들과 같은 하드웨어 회로부(331-1, 331-2)의 하나 이상의 유닛들을 포함한다. 따라서, 전체 기능성은 하나 이상의 프로세서들(311-1, 311-2) 상의 실행을 위한 프로그래밍된 소프트웨어(SW)와, ASIC들 및/또는 FPGA들과 같은 하나 이상의 미리 구성된 또는 가능하다면 재구성가능한 하드웨어 회로들(331-1, 331-2) 사이에서 파티셔닝된다. 실제 하드웨어-소프트웨어 파티셔닝은 프로세싱 속도, 구현 비용 및 다른 요건들을 포함하는 다수의 인자들에 기초하여 시스템 설계자에 의해 판정될 수 있다.
대안적으로, 또는 보완으로서, 본 명세서에서 설명되는 단계들, 기능들, 프로시저들, 모듈들 및/또는 블록들의 적어도 일부는, 하나 이상의 프로세서들 또는 프로세싱 유닛들과 같은 적합한 프로세싱 회로부에 의한 실행을 위한 컴퓨터 프로그램과 같은 소프트웨어로 구현될 수도 있다.
그에 따라, 본 명세서에서 제시되는 흐름도 또는 흐름도들은 하나 이상의 프로세서들에 의해 수행될 때 컴퓨터 흐름도 또는 흐름도들로서 간주될 수도 있다. 대응하는 장치는 기능 모듈들의 그룹으로서 정의될 수도 있고, 여기서 프로세서에 의해 수행되는 각각의 단계는 기능 모듈에 대응한다. 이 경우에, 기능 모듈들은 프로세서 상에서 실행되는 컴퓨터 프로그램으로서 구현된다.
프로세싱 회로부의 예들로는, 하나 이상의 마이크로프로세서들, 하나 이상의 디지털 신호 프로세서(DSP)들, 하나 이상의 중앙 프로세싱 유닛(CPU)들, 비디오 가속 하드웨어, 및/또는 임의의 적합한 프로그래밍가능 로직 회로부 예컨대 하나 이상의 필드 프로그래밍가능 게이트 어레이(FPGA)들, 또는 하나 이상의 프로그래밍가능 로직 제어기(PLC)들을 포함하지만, 이에 제한되지 않는다.
또한, 제안된 기술이 구현되는 임의의 종래의 디바이스 또는 유닛의 일반 프로세싱 능력들을 재사용하는 것이 가능할 수도 있다는 것을 이해해야 한다. 예를 들어, 기존 소프트웨어를 재프로그래밍함으로써 또는 새로운 소프트웨어 컴포넌트들을 부가함으로써, 기존 소프트웨어를 재사용하는 것이 또한 가능할 수도 있다.
도 19는 실시예에 따른 AMF(50)의 컴퓨터 구현의 예를 예시하는 개략도이다. 이 특정 예에서, 본 명세서에서 설명되는 단계들, 기능들, 프로시저들, 모듈들 및/또는 블록들의 적어도 일부는 컴퓨터 프로그램(425; 435)에서 구현되는데; 이 컴퓨터 프로그램(425; 435)은 하나 이상의 프로세서들(410)을 포함하는 프로세싱 회로부에 의한 실행을 위해 메모리(420)에 로딩된다. 프로세서(들)(410) 및 메모리(420)는 통상적인 소프트웨어 실행을 가능하게 하기 위해 서로 상호연결된다. 입력 파라미터(들) 및/또는 결과적인 출력 파라미터(들)와 같은 관련 데이터의 입력 및/또는 출력을 가능하게 하기 위해 임의적인 입/출력 디바이스(440)가 프로세서(들)(410) 및/또는 메모리(420)에 또한 상호연결될 수도 있다.
용어 '프로세서'는 일반적인 의미로 특정 프로세싱, 결정 또는 컴퓨팅 태스크를 수행하기 위해 프로그램 코드 또는 컴퓨터 프로그램 명령어들을 실행하는 것이 가능한 임의의 시스템 또는 디바이스로서 해석되어야 한다.
따라서, 하나 이상의 프로세서들(410)을 포함하는 프로세싱 회로부는, 컴퓨터 프로그램(425)을 실행할 때, 본 명세서에서 설명되는 것들과 같은 잘 정의된 프로세싱 태스크들을 수행하도록 구성된다.
프로세싱 회로부는 상술된 단계들, 기능들, 프로시저 및/또는 블록들만을 단지 실행하는 것으로 전용될 필요는 없지만, 다른 태스크들도 또한 실행할 수도 있다.
특정 실시예에서, 컴퓨터 프로그램(425; 435)은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 프로세서(들)(410)로 하여금 콘텍스트 요청을 소스 AMF에 전송하게 하고, 소스 AMF로부터의 응답으로 콘텍스트를 수신하게 하는 명령어들을 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함한다. SEAF AMF는, UE와 공유되는 키를 유지한다.
특정 실시예에서, 컴퓨터 프로그램(425; 435)은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 프로세서(들)(410)로 하여금 타깃 AMF로부터 콘텍스트 요청을 수신하게 하고, 응답으로 콘텍스트를 타깃 AMF에 전송하게 하는 명령어들을 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
특정 실시예에서, 컴퓨터 프로그램(425; 435)은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 프로세서(들)(410)로 하여금 UE에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하게 하는 명령어들을 포함한다. 컴퓨터 프로그램(425; 435)은, 프로세서(들)(410)에 의해 실행될 때, 프로세서(들)(410)로 하여금, UE와 공유되는 키로부터 새로운 CN 키를 도출하게 하는 추가의 명령어들을 포함한다. 컴퓨터 프로그램(425; 435)은, 프로세서(들)(410)에 의해 실행될 때, 프로세서(들)(410)로 하여금 새로운 CN 키를 타깃 AMF에 전송하게 하는 추가의 명령어들을 포함한다.
도 20은 실시예에 따른 UE(80)의 컴퓨터 구현의 예를 예시하는 개략도이다. 이 특정 예에서, 본 명세서에서 설명되는 단계들, 기능들, 프로시저들, 모듈들 및/또는 블록들의 적어도 일부는 컴퓨터 프로그램(426; 436)에서 구현되는데; 이 컴퓨터 프로그램(426; 436)은 하나 이상의 프로세서들(411)을 포함하는 프로세싱 회로부에 의한 실행을 위해 메모리(421)에 로딩된다. 프로세서(들)(411) 및 메모리(421)는 통상적인 소프트웨어 실행을 가능하게 하기 위해 서로 상호연결된다. 입력 파라미터(들) 및/또는 결과적인 출력 파라미터(들)와 같은 관련 데이터의 입력 및/또는 출력을 가능하게 하기 위해 임의적인 입/출력 디바이스(441)가 프로세서(들)(411) 및/또는 메모리(421)에 또한 상호연결될 수도 있다.
용어 '프로세서'는 일반적인 의미로 특정 프로세싱, 결정 또는 컴퓨팅 태스크를 수행하기 위해 프로그램 코드 또는 컴퓨터 프로그램 명령어들을 실행하는 것이 가능한 임의의 시스템 또는 디바이스로서 해석되어야 한다.
따라서, 하나 이상의 프로세서들(411)을 포함하는 프로세싱 회로부는, 컴퓨터 프로그램(426)을 실행할 때, 본 명세서에서 설명되는 것들과 같은 잘 정의된 프로세싱 태스크들을 수행하도록 구성된다.
프로세싱 회로부는 상술된 단계들, 기능들, 프로시저 및/또는 블록들만을 단지 실행하는 것으로 전용될 필요는 없지만, 다른 태스크들도 또한 실행할 수도 있다.
특정 실시예에서, 컴퓨터 프로그램(426; 436)은, 적어도 하나의 프로세서(411)에 의해 실행될 때, 프로세서(들)(411)로 하여금 등록 요청을 타깃 AMF에 전송하게 하는 명령어들을 포함한다. 컴퓨터 프로그램(425; 435)은, 프로세서(들)(411)에 의해 실행될 때, 프로세서(들)(411)로 하여금 타깃 AMF와 UE 사이에서 NAS 확립 프로시저를 수행하게 하는 추가의 명령어들을 포함한다. NAS 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 UE에게 알린다. 컴퓨터 프로그램(425; 435)은, 프로세서(들)(411)에 의해 실행될 때, 프로세서(들)(411)로 하여금 인증 전략에 따라 키 프로시저들을 적용하게 하는 추가의 명령어들을 포함한다.
제안된 기술은, 컴퓨터 프로그램을 포함하는 캐리어를 또한 제공하고, 여기서 캐리어는 전자 신호, 광학 신호, 전자기 신호, 자기 신호, 전기 신호, 라디오 신호, 마이크로파 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나이다.
예로서, 소프트웨어 또는 컴퓨터 프로그램(425, 426; 435 436)은, 컴퓨터 판독가능 매체(420, 421; 430, 431), 특히 비휘발성 매체 상에 통상적으로 반송 또는 저장되는 컴퓨터 프로그램 제품으로서 실현될 수도 있다. 컴퓨터 판독가능 매체는, 판독 전용 메모리(Read-Only Memory)(ROM), 랜덤 액세스 메모리(Random Access Memory)(RAM), 콤팩트 디스크(Compact Disc)(CD), 디지털 다기능 디스크(Digital Versatile Disc)(DVD), 블루레이 디스크(Blu-ray disc), 유니버셜 직렬 버스(Universal Serial Bus)(USB) 메모리, 하드 디스크 드라이브(Hard Disk Drive)(HDD) 저장 디바이스, 플래시 메모리, 자기 테이프, 또는 임의의 다른 종래의 메모리 디바이스를 포함하지만 이에 제한되지 않는 하나 이상의 제거가능 또는 비-제거가능 메모리 디바이스들을 포함할 수도 있다. 따라서, 컴퓨터 프로그램은, 프로세싱 회로부에 의한 실행을 위해 컴퓨터 또는 등가의 프로세싱 디바이스의 동작 메모리에 로딩될 수도 있다.
도 21은 실시예들 중 임의의 것에 따른 AMF(50)를 포함하는 네트워크 노드(99)의 예를 예시하는 개략적 블록도이다.
네트워크 디바이스는, 무선 통신 시스템에서의 임의의 적합한 네트워크 디바이스, 또는 무선 통신 시스템과 관련된 네트워크 디바이스일 수도 있다. 예로서, 네트워크 디바이스는 기지국 또는 액세스 포인트와 같은 적합한 네트워크 노드일 수도 있다. 그러나, 네트워크 디바이스는 대안적으로 클라우드 구현 네트워크 디바이스일 수도 있다.
다른 양태에 따르면, 무선 통신 시스템에서의 네트워크 노드(99)가 제공되고, 여기서 네트워크 노드는, 본 명세서에서 설명되는 AMF(50)를 포함한다. 통신 유닛은 무선 통신 시스템에서의 임의의 적합한 통신 유닛일 수도 있다. 예로서, 통신 유닛은 UE, STA 또는 유사한 최종 사용자 디바이스와 같은 무선 통신 디바이스일 수도 있다.
본 명세서에서 제시되는 흐름도 또는 흐름도들은 하나 이상의 프로세서들에 의해 수행될 때 컴퓨터 흐름도 또는 흐름도들로서 간주될 수도 있다. 대응하는 장치는 기능 모듈들의 그룹으로서 정의될 수도 있고, 여기서 프로세서에 의해 수행되는 각각의 단계는 기능 모듈에 대응한다. 이 경우에, 기능 모듈들은 프로세서 상에서 실행되는 컴퓨터 프로그램으로서 구현된다.
따라서, 메모리에 상주하는 컴퓨터 프로그램은, 프로세서에 의해 실행될 때, 본 명세서에서 설명되는 단계들 및/또는 태스크들의 적어도 일부를 수행하도록 구성되는 적절한 기능 모듈들로서 조직화될 수도 있다.
도 22는 UE에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 AMF(50)를 갖는 네트워크 노드(99)의 예를 예시하는 개략도이다.
일 실시예에서, 네트워크 노드(99)의 AMF(50)는, 타깃 AMF로부터, 콘텍스트 요청을 소스 AMF에 전송하기 위한 송신기 모듈(510)을 포함한다. 네트워크 노드(99)는, 타깃 AMF에서, 소스 AMF로부터의 응답으로 콘텍스트를 수신하기 위한 수신기 모듈(520)을 더 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
일 실시예에서, 네트워크 노드(99)의 AMF(50)는, 소스 AMF에서, 타깃 AMF로부터의 콘텍스트 요청을 수신하기 위한 수신기 모듈(520)을 포함한다. 네트워크 노드(99)는, 소스 AMF로부터, 응답으로 콘텍스트를 타깃 AMF에 전송하기 위한 송신기 모듈(510)을 더 포함한다. 콘텍스트는, SEAF AMF를 식별하는 파라미터를 포함하고, 그 SEAF AMF는, UE와 공유되는 키를 유지한다.
도 23은 UE에 대한 서빙 AMF의 변경의 핸들링을 지원하기 위한 AMF(50)를 갖는 네트워크 노드(99)의 다른 예를 예시하는 개략도이다.
일 실시예에서, 네트워크 노드(99)의 AMF(50)는, UE에 대한 새로운 키에 대한 타깃 AMF로부터의 요청을 수신하기 위한 수신기 모듈(520)을 포함한다. AMF(50)는, UE와 공유되는 키로부터 새로운 CN 키를 도출하기 위한 키 관리 모듈(530)을 더 포함한다. AMF(50)는, 새로운 CN 키를 타깃 AMF에 전송하기 위한 송신기 모듈(510)을 더 포함한다.
도 24는 통신 네트워크에서의 사용을 위한 UE(80)의 예를 예시하는 개략도이다. 일 실시예에서, UE(80)는, 등록 요청을 타깃 AMF에 전송하기 위한 송신기 모듈을 포함한다. UE(80)는, 타깃 AMF와 UE 사이에서 NAS 확립 프로시저를 수행하기 위한 보안 모듈을 더 포함한다. NAS 확립 프로시저는 타깃 AMF에 의해 판정되는 인증 전략에 대해 UE에게 알린다. UE(80)는, 인증 전략에 따라 키 프로시저들을 적용하기 위한 키 핸들링 모듈을 더 포함한다.
대안적으로, 도 22 내지 도 24의 모듈(들)을 주로 하드웨어 모듈들에 의해, 또는 대안적으로 하드웨어에 의해, 관련 모듈들 사이의 적합한 상호연결들을 이용하여 실현하는 것이 가능하다. 특정 예들로는, 하나 이상의 적합하게 구성된 디지털 신호 프로세서들 및 다른 알려져 있는 전자 회로들, 예를 들어, 이전에 언급된 바와 같이 특수화된 기능을 수행하도록 상호연결된 이산 로직 게이트들, 및/또는 주문형 집적 회로(ASIC)들을 포함한다. 사용가능한 하드웨어의 다른 예들로는 입/출력(I/O) 회로부 및/또는 신호들을 수신 및/또는 전송하기 위한 회로부를 포함한다. 소프트웨어 대 하드웨어의 범위는 전적으로 구현 선택이다.
리소스들이 네트워크를 통해 원격 로케이션들에 서비스로서 전달되는, 네트워크 노드들 및/또는 서버들과 같은 네트워크 디바이스들에 컴퓨팅 서비스들(하드웨어 및/또는 소프트웨어)을 제공하는 것이 점차 보편화되고 있다. 예로서, 이것은, 본 명세서에서 설명되는 바와 같이, 기능성이 하나 이상의 별개의 물리적 노드들 또는 서버들에 분산 또는 재위치될 수 있다는 것을 의미한다. 기능성은, 별개의 물리적 노드(들)에, 즉, 소위 클라우드에 포지셔닝될 수 있는 하나 이상의 공동으로 작동하는 물리적 및/또는 가상 머신들로 재위치 또는 분산될 수도 있다. 이것은 때때로 클라우드 컴퓨팅이라고도 또한 지칭되는데, 이 클라우드 컴퓨팅은 네트워크들, 서버들, 스토리지, 애플리케이션들 및 일반 또는 커스터마이징된 서비스들과 같은 구성가능한 컴퓨팅 리소스들의 풀(pool)에의 유비쿼터스 온-디맨드(ubiquitous on-demand) 네트워크 액세스를 가능하게 하기 위한 모델이다.
다음의 것 중 하나 이상을 포함하는, 이 콘텍스트에서 유용할 수 있는 상이한 형태들의 가상화가 있다:
커스터마이징된 또는 일반 하드웨어 상에서 실행되는 가상화된 소프트웨어로의 네트워크 기능성의 통합. 이것은 때때로 네트워크 기능 가상화(network function virtualization)라고 지칭된다.
단일 하드웨어 플랫폼에의, 별개의 하드웨어 상에서 실행되는, 운영 체제를 포함하는 하나 이상의 애플리케이션 스택들의 코-로케이션(co-location). 이것은 때때로 시스템 가상화, 또는 플랫폼 가상화라고 지칭된다.
증가된 시스템 리소스 이용을 얻기 위한 일부 고급 도메인 레벨 스케줄링 및 조정 기법을 사용할 목적으로 하드웨어 및/또는 소프트웨어 리소스들의 코-로케이션. 이것은 때때로 리소스 가상화, 또는 중앙집중화되고 조정된 리소스 풀링(pooling)이라고 지칭된다.
소위 일반 데이터 센터들에 기능성을 중앙집중화시키는 것이 종종 바람직할 수도 있지만, 다른 시나리오들에서는 기능성을 네트워크의 상이한 부분들에 걸쳐 분산시키는 것이 실제로 이로울 수도 있다.
도 25는 일반적인 경우에 상이한 네트워크 디바이스들 사이에서 기능성이 어떻게 분산 또는 파티셔닝될 수 있는지의 예를 예시하는 개략도이다. 이 예에서, 참조 번호들 610 및 620을 각각 갖는 적어도 2개의 개별적인, 그러나 상호연결된 네트워크 디바이스들(ND1 및 ND2)이 있는데, 이들은, 네트워크 디바이스들(610 및 620) 사이에서 파티셔닝되는, 상이한 기능성들, 또는 동일한 기능성의 부분들을 가질 수도 있다. 그러한 분산 구현의 부분인, 참조 번호 630을 갖는, ND3과 같은 부가적인 네트워크 디바이스들이 있을 수도 있다. 네트워크 디바이스들(610 내지 630)은 동일한 무선 통신 시스템의 부분일 수도 있거나, 또는 네트워크 디바이스들 중 하나 이상은 무선 통신 시스템의 외측에 위치되는 소위 클라우드 기반 네트워크 디바이스들일 수도 있다.
도 26은 하나 이상의 클라우드 기반 네트워크 디바이스들(740)과 협력하는 액세스 네트워크(710) 및/또는 코어 네트워크(720) 및/또는 운영 및 지원 시스템(Operations and Support System)(OSS)(730)을 포함하는 무선 통신 시스템의 예를 예시하는 개략도이다. 액세스 네트워크(710) 및/또는 코어 네트워크(720) 및/또는 OSS 시스템(730)에 관련된 기능성은, 클라우드 기반 네트워크 디바이스와 액세스 네트워크 및/또는 코어 네트워크 및/또는 OSS 시스템에서의 관련 네트워크 노드들 및/또는 통신 유닛들 사이의 정보의 적합한 전송과 함께, 클라우드 기반 네트워크 디바이스(740)에서의 실행을 위해 적어도 부분적으로 구현될 수도 있다.
네트워크 디바이스(ND)는 네트워크에서의 다른 전자 디바이스들에 통신가능하게 연결되는 전자 디바이스로서 일반적으로 보여질 수도 있다.
예로서, 네트워크 디바이스는 하드웨어, 소프트웨어, 또는 이들의 조합으로 구현될 수도 있다. 예를 들어, 네트워크 디바이스는 특수 목적 네트워크 디바이스 또는 범용 네트워크 디바이스, 또는 이들의 하이브리드일 수도 있다.
특수 목적 네트워크 디바이스는, 본 명세서에 개시된 피처들 또는 기능들 중 하나 이상을 제공하기 위한 소프트웨어의 실행을 위해, 커스텀 프로세싱 회로들 및 독점 운영 체제(OS)를 사용할 수도 있다.
범용 네트워크 디바이스는, 본 명세서에 개시된 피처들 또는 기능들 중 하나 이상을 제공하도록 구성되는 소프트웨어의 실행을 위해, 통상의 기성품(Common Off-The-Shelf)(COTS) 프로세서들 및 표준 OS를 사용할 수도 있다.
예로서, 특수 목적 네트워크 디바이스는, 소프트웨어를 저장하는 비일시적 머신 판독가능 저장 매체들뿐만 아니라, 물리적 포트들이라고 때때로 불리는 물리적 네트워크 인터페이스(NI)들, 및 하나 이상의 프로세서들의 세트를 전형적으로 포함하는 프로세싱 또는 컴퓨팅 리소스(들)를 포함하는 하드웨어를 포함할 수도 있다. 물리적 NI는, 예를 들어, 무선 네트워크 인터페이스 제어기(Wireless Network Interface Controller)(WNIC)를 통해 무선으로 또는 네트워크 인터페이스 제어기(Network Interface Controller)(NIC)에 연결되는 물리적 포트에 케이블을 플러그 인하는(plugging in) 것을 통해, 네트워크 연결이 이루어지게 하는 네트워크 디바이스에서의 하드웨어로서 보여질 수도 있다. 동작 동안, 소프트웨어는 하드웨어에 의해 실행되어 하나 이상의 소프트웨어 인스턴스(들)의 세트를 인스턴스화할 수도 있다. 소프트웨어 인스턴스(들) 각각, 및 그 소프트웨어 인스턴스를 실행하는 하드웨어의 그 부분은 별개의 가상 네트워크 요소(virtual network element)를 형성할 수도 있다.
다른 예로서, 범용 네트워크 디바이스는, 예를 들어, 소프트웨어를 저장하는 비일시적 머신 판독가능 저장 매체들뿐만 아니라, 하나 이상의 프로세서(들)의 세트, 종종 COTS 프로세서들, 및 네트워크 인터페이스 제어기(들)(NICs)를 포함하는 하드웨어를 포함할 수도 있다. 동작 동안, 프로세서(들)는 소프트웨어를 실행하여 하나 이상의 애플리케이션들의 하나 이상의 세트들을 인스턴스화한다. 일 실시예가 가상화를 구현하지 않지만, 대안적인 실시예들은 상이한 형태들의 가상화 - 예를 들어, 가상화 계층 및 소프트웨어 컨테이너들로 표현됨 - 를 사용할 수도 있다. 예를 들어, 하나의 그러한 대안적인 실시예는 운영 체제-레벨 가상화를 구현하고, 그 경우에 가상화 계층은, 애플리케이션들의 세트들 중 하나를 실행하는 데 각각 사용될 수도 있는 다수의 소프트웨어 컨테이너들의 생성을 가능하게 하는 운영 체제의 커널(또는 기본 운영 체제 상에서 실행되는 심(shim))을 나타낸다. 예시적인 실시예에서, 소프트웨어 컨테이너들(가상화 엔진들, 가상 사설 서버들, 또는 제일(jail)들이라고도 또한 불림) 각각은 사용자 공간 인스턴스(전형적으로 가상 메모리 공간)이다. 이들 사용자 공간 인스턴스들은 서로 분리되고, 운영 체제가 실행되는 커널 공간과 분리될 수도 있고; 주어진 사용자 공간에서 실행되는 애플리케이션들의 세트는, 명시적으로 허용되지 않는 한, 다른 프로세스들의 메모리에 액세스할 수 없다. 다른 그러한 대안적인 실시예가 완전 가상화를 구현하는데, 그 경우에: 1) 가상화 계층은 하이퍼바이저(hypervisor)(가상 머신 모니터(Virtual Machine Monitor)(VMM)라고 때때로 지칭됨)를 나타내거나 또는 하이퍼바이저가 호스트 운영 체제의 상부에서 실행되고; 2) 소프트웨어 컨테이너들 각각은, 하이퍼바이저에 의해 실행되고 게스트 운영 체제를 포함할 수도 있는 가상 머신이라고 불리는 밀착 분리된 형태의 소프트웨어 컨테이너를 나타낸다.
하이퍼바이저는, 다양한 가상화된 인스턴스들 그리고 일부 경우들에서는 실제 물리적 하드웨어의 생성 및 관리를 담당하는 소프트웨어/하드웨어이다. 하이퍼바이저는 근본적인 리소스들을 관리하고 이들을 가상화된 인스턴스들로서 제시한다. 하이퍼바이저가 가상화하여 단일 프로세서로서 여겨지는 것은 실제로 다수의 별개의 프로세서들을 포함할 수도 있다. 운영 체제의 관점에서, 가상화된 인스턴스들은 실제 하드웨어 컴포넌트들인 것으로 여겨진다.
가상 머신은, 프로그램들을, 이들이 물리적, 비-가상화된 머신 상에서 실행되고 있었던 것처럼 실행하는 물리적 머신의 소프트웨어 구현이고; 애플리케이션들은 일반적으로, 이들이 "베어 메탈(bare metal)" 호스트 전자 디바이스 상에서 실행되는 것과는 대조적으로 가상 머신 상에서 실행되고 있다는 것을 알지 못하지만, 일부 시스템들은, 운영 체제 또는 애플리케이션이 최적화 목적들을 위해 가상화의 존재를 인식하는 것을 가능하게 하는 반-가상화(para-virtualization)를 제공한다.
구현되는 경우 가상화 계층 및 소프트웨어 컨테이너들뿐만 아니라 하나 이상의 애플리케이션들의 하나 이상의 세트들의 인스턴스화는 소프트웨어 인스턴스(들)라고 집합적으로 지칭된다. 애플리케이션들의 각각의 세트, 구현되는 경우 대응하는 소프트웨어 컨테이너, 및 이들을 실행하는 하드웨어의 그 부분(그것은 소프트웨어 컨테이너들에 의해 일시적으로 공유되는 하드웨어의 그 실행 및/또는 시간 슬라이스들에 전용되는 하드웨어임)은 별개의 가상 네트워크 요소(들)를 형성한다.
가상 네트워크 요소(들)는 가상 네트워크 요소(들)(VNEs)와 비교하여 유사한 기능성을 수행할 수도 있다. 하드웨어의 이 가상화는 때때로 네트워크 기능 가상화(NFV)라고 지칭된다. 따라서, NFV는, 많은 네트워크 장비 타입들을, 데이터 센터들, ND들, 및 고객 구내 장비(CPE)에 위치될 수 있는 업계 표준의 대용량 서버 하드웨어, 물리 스위치들, 및 물리 스토리지에 통합시키는 데 사용될 수도 있다. 그러나, 상이한 실시예들은 소프트웨어 컨테이너(들) 중 하나 이상을 상이하게 구현할 수도 있다. 예를 들어, 실시예들이 VNE에 대응하는 각각의 소프트웨어 컨테이너로 예시되어 있지만, 대안적인 실시예들은 보다 미세한 입도 레벨에서 소프트웨어 컨테이너-VNE 사이의 이 대응 또는 매핑을 구현할 수도 있고; VNE들에 대한 소프트웨어 컨테이너들의 대응을 참조하여 본 명세서에서 설명되는 기법들은 그러한 보다 미세한 레벨의 입도가 사용되는 실시예들에도 또한 적용된다는 것을 이해해야 한다.
또 다른 실시예에 따르면, 네트워크 디바이스에, 예를 들어, 네트워크 디바이스(ND) 내의 카드 또는 회로 보드에 커스텀 프로세싱 회로부/독점 OS 및 COTS 프로세서들/표준 OS 양측 모두를 포함하는 하이브리드 네트워크 디바이스가 제공된다. 그러한 하이브리드 네트워크 디바이스의 특정 실시예들에서, 플랫폼 가상 머신(VM), 예컨대 특수 목적 네트워크 디바이스의 기능성을 구현하는 VM은 하이브리드 네트워크 디바이스에 존재하는 하드웨어에 반-가상화를 제공할 수 있다.
상술된 실시예들은 단지 예들로서 주어진 것이고, 제안된 기술은 이에 제한되지 않는다는 것을 이해해야 한다. 첨부된 청구범위에 의해 정의된 바와 같은 본 발명의 범주로부터 벗어남이 없이 다양한 수정들, 조합들 및 변경들이 실시예들에 대해 이루어질 수도 있다는 것이 본 기술분야의 통상의 기술자에 의해 이해될 것이다. 특히, 상이한 실시예들에서의 상이한 부분 솔루션들은 기술적으로 가능할 경우 다른 구성들에서 조합될 수 있다.
약어들
AKA 인증 및 키 합의(Authentication and Key Agreement)
AN 액세스 네트워크(Access Network)
AMF 액세스 및 이동성 관리 펑션(Access and Mobility Management Function)
ARQ 자동 반복 요청(Automatic Repeat request)
ASIC 주문형 집적 회로들(Application Specific Integrated Circuits)
AUSF 인증 서버 펑션(Authentication Server Function)
BTS 기지국 트랜시버들(Base Transceiver Stations)
CD 콤팩트 디스크(Compact Disc)
CN 코어 네트워크(Core Network)
COTS 통상의 기성품(Common Off-The-Shelf)
CPE 고객 구내 장비(Customer Premises Equipment)
CPU 중앙 프로세싱 유닛들(Central Processing Units)
CS 회선 교환(Circuit-Switched)
DSP 디지털 신호 프로세서들(Digital Signal Processors)
DVD 디지털 다기능 디스크(Digital Versatile Disc)
eNB 진화된 노드 B(evolved Node B)
EPC 진화된 패킷 코어(Evolved Packet Core)
EPS 진화된 패킷 시스템(Evolved Packet System)
eUTRAN 진화된 UTRAN(Evolved UTRAN)
FPGA 필드 프로그래밍가능 게이트 어레이들(Field Programmable Gate Arrays)
GGSN 게이트웨이 GPRS 지원 노드(Gateway GPRS Support Node)
GUTI 전역 고유 임시 ID(Globally Unique Temporary ID)
HDD 하드 디스크 드라이브(Hard Disk Drive)
HLR 홈 로케이션 레지스터(Home Location register)
HPLMN 홈 공중 육상 모바일 네트워크(Home public land mobile network)
HSPA 고속 패킷 액세스(High Speed Packet Access)
HSS 홈 가입자 서버(Home Subscriber Server)
HW 하드웨어(hardware)
I/O 입/출력(input/output)
IoT 사물 인터넷(Internet of Things)
LEE 랩톱 임베디드 장비(Laptop Embedded Equipment)
LME 랩톱 장착 장비(Laptop Mounted Equipment)
LTE 롱 텀 에볼루션(Long Term Evolution)
MEM 메모리 유닛들(memory units)
MME 이동성 관리 엔티티(Mobility Management Entity)
MMF 이동성 관리 펑션(Mobility Management Function)
MSC 모바일 스위칭 센터(Mobile Switching Center)
NAS 비-액세스 계층(Non-Access Stratum)
ND 네트워크 디바이스(Network Device)
NFV 네트워크 기능 가상화(Network Function Virtualization)
NG 차세대(Next Generation)
NI 네트워크 인터페이스들(Network Interfaces)
NIC 네트워크 인터페이스 제어기(Network Interface Controller)
OFDMA 직교 주파수 분할 다중 액세스(Orthogonal Frequency Division Multiple Access)
OS 운영 체제(Operating System)
OSS 동작 및 지원 시스템(Operations and Support System)
PC 퍼스널 컴퓨터(Personal Computer)
PDA 개인 휴대 정보 단말기(Personal Digital Assistant)
PDN 패킷 데이터 네트워크 게이트웨이(Packet Data Network Gateway)
PGUTI 프라이머리 GUTI(Primary GUTI)
PLC 프로그래밍가능 로직 제어기들(Programmable Logic Controllers)
PS 패킷 교환(Packet-Switched)
PSTN 공중 교환 전화 네트워크(Public Switched Telephone Network)
QoS 서비스 품질(Quality of Service)
RAM 랜덤 액세스 메모리(Random Access Memory)
RAN 라디오 액세스 네트워크(Radio Access Network)
REG 레지스터들(registers)
RNC 라디오 네트워크 제어기(Radio Network Controller)
ROM 판독 전용 메모리(Read-Only Memory)
RRM 라디오 리소스 관리(Radio Resource Management)
RRU 원격 라디오 유닛들(Remote Radio Units)
SAE 시스템 아키텍처 에볼루션(System Architecture Evolution)
SEAF 보안 앵커 펑션(Security Anchor Function)
SG 서빙 게이트웨이(Serving Gateway)
SGSN 서빙 GPRS 지원 노드(Serving GPRS Support Node)
SMC 보안 모드 커맨드(Security Mode Command)
SMF 세션 관리 펑션(Session Management Function)
STA 스테이션(Station)
SW 소프트웨어(software)
UDM 사용자 데이터 관리(User data management)
UE 사용자 장비(User Equipment)
UICC 유니버셜 집적 회로 카드(Universal Integrated Circuit Card)
UMTS 유니버셜 모바일 전기통신 시스템(Universal Mobile Telecommunications System)
UP 사용자 평면(User Plane)
USB 유니버셜 직렬 버스(Universal Serial Bus)
UTRAN 유니버셜 지상 라디오 액세스 네트워크(Universal Terrestrial Radio Access Network)
VM 가상 머신(Virtual Machine)
VMM 가상 머신 모니터(Virtual Machine Monitor)
VNE 가상 네트워크 요소(Virtual Network Element)
WCDMA 광대역 코드 분할 다중 액세스(Wideband Code Division Multiple Access)
WNIC 무선 네트워크 인터페이스 제어기(Wireless Network Interface Controller)

Claims (40)

  1. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(Access and Mobility Managing Function)(50)의 변경의 핸들링을 지원하기 위한 방법으로서,
    상기 방법은,
    - 타깃 액세스 및 이동성 관리 펑션(50T)으로부터, 콘텍스트 요청(context request)을 소스 액세스 및 이동성 관리 펑션(50S)에 전송하는 단계(S1); 및
    - 상기 타깃 액세스 및 이동성 관리 펑션(50T)에서, 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터의 응답으로 콘텍스트를 수신하는 단계
    를 포함하고;
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(Security Anchor Function Access and Mobility Managing Function)(50P)을 식별하는 파라미터를 포함하고;
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는 액세스 및 이동성 관리 펑션인, 방법.
  2. 제1항에 있어서,
    - 상기 사용자 장비(80)로부터 등록 요청을 수신하는 단계(S1)
    를 더 포함하는 것을 특징으로 하는, 방법.
  3. 제1항 또는 제2항에 있어서,
    - 상기 소스 액세스 및 이동성 관리 펑션(50S) 및 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P) 중 적어도 하나의 것의 상황에 기초하여 인증 전략을 판정하는 단계(S4)
    를 더 포함하는 것을 특징으로 하는, 방법.
  4. 제3항에 있어서,
    상기 판정하는 단계(S4)는, 상기 소스 액세스 및 이동성 관리 펑션(50S) 및 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)의 로케이션(location)에 의존하는 보안 정책에 기초하는 것을 특징으로 하는, 방법.
  5. 제3항 또는 제4항에 있어서,
    상기 인증 전략은,
    액세스 및 이동성 관리 펑션들(50) 사이의 키의 전송,
    새로운 인증 프로시저의 실행, 및
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)으로부터의 키의 요청
    중 하나를 포함하는 것을 특징으로 하는, 방법.
  6. 제5항에 있어서,
    상기 인증 전략이 새로운 인증 프로시저의 실행인 것으로 판정되는 것에 대한 응답으로 새로운 인증 프로세스(T12)를 실행하는 단계를 더 포함하고,
    상기 인증 프로세스(T12)는,
    - 인증 서버 펑션(52)과의 상호작용에 의해 새로운 키를 확립하는 것; 및
    - 상기 타깃 액세스 및 이동성 관리 펑션(50T)을 새로운 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)으로서 식별하는 새로운 상기 파라미터를 생성하는 것
    을 차례로 포함하는 것을 특징으로 하는, 방법.
  7. 제6항에 있어서,
    상기 타깃 액세스 및 이동성 관리 펑션(50T)이 상기 사용자 장비(80)에 대한 상기 새로운 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)임을 상기 원래의 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에게 통지하는 단계(T13)를 더 포함하는 것을 특징으로 하는, 방법.
  8. 제5항에 있어서,
    상기 인증 전략이 액세스 및 이동성 관리 펑션들(50) 사이의 키의 전송인 것으로 판정되는 것에 대한 응답으로 상기 소스 액세스 및 이동성 관리 펑션(50S)과 상기 타깃 액세스 및 이동성 관리 펑션(50T) 사이에서 코어 네트워크 키를 전송하는 단계를 더 포함하는 것을 특징으로 하는, 방법.
  9. 제5항에 있어서,
    상기 인증 전략이 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)으로부터의 키의 요청인 것으로 판정되는 것에 대한 응답으로 키를 요청(T14)하는 단계를 더 포함하고,
    상기 키를 요청하는 단계는,
    - 키에 대한 요청을 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에 전송하는 단계; 및
    - 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)으로부터 상기 키를 수신하는 단계
    를 차례로 포함하는 것을 특징으로 하는, 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    상기 파라미터는, 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)과 연관된 전역 고유 임시(Globally Unique Temporary) ID인 것을 특징으로 하는, 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서,
    상기 타깃 액세스 및 이동성 관리 펑션(50T)과 상기 사용자 장비(80) 사이에서 비-액세스 계층 보안 확립 프로시저(non-access stratum security establishment procedure)(T16)를 수행하는 단계를 더 포함하고,
    상기 비-액세스 계층 보안 확립 프로시저(T16)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 의해 판정되는 상기 인증 전략에 대해 상기 사용자 장비(80)에게 알리는 것을 특징으로 하는, 방법.
  12. 제1항 내지 제11항 중 어느 한 항에 있어서,
    상기 사용자 장비(80)와 공유되는 상기 키는 다른 키들을 도출하기 위해 사용되는 것을 특징으로 하는, 방법.
  13. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 방법으로서,
    상기 방법은,
    - 소스 액세스 및 이동성 관리 펑션(50S)에서, 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 콘텍스트 요청을 수신하는 단계(S11); 및
    - 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터, 응답으로 콘텍스트를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하는 단계(S12)
    를 포함하고;
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고;
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는, 방법.
  14. 제13항에 있어서,
    메모리로부터, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 상기 파라미터를 검색하는 단계를 더 포함하는 것을 특징으로 하는, 방법.
  15. 제13항 또는 제14항에 있어서,
    상기 소스 액세스 및 이동성 관리 펑션(50S)과 상기 타깃 액세스 및 이동성 관리 펑션(50T) 사이에서 코어 네트워크 키를 전송하는 단계를 더 포함하는 것을 특징으로 하는, 방법.
  16. 제13항 내지 제15항 중 어느 한 항에 있어서,
    상기 파라미터는, 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션과 연관된 전역 고유 임시 ID인 것을 특징으로 하는, 방법.
  17. 제13항 내지 제16항 중 어느 한 항에 있어서,
    상기 사용자 장비(80)와 공유되는 상기 키는 다른 키들을 도출하기 위해 사용되는 것을 특징으로 하는, 방법.
  18. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 방법으로서,
    상기 방법은,
    - 상기 사용자 장비(80)로부터, 등록 요청(T10)을 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하는 단계(S21);
    - 상기 타깃 액세스 및 이동성 관리 펑션(50T)과 상기 사용자 장비(80) 사이에서 비-액세스 계층 보안 확립 프로시저(T16)를 수행하는 단계(S22) - 상기 비-액세스 계층 보안 확립 프로시저(T16)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 의해 판정되는 인증 전략에 대해 상기 사용자 장비(80)에게 알림 -; 및
    - 상기 인증 전략에 따라 키 프로시저들을 적용하는 단계(S23)
    를 포함하는, 방법.
  19. 제18항에 있어서,
    상기 인증 전략은,
    액세스 및 이동성 관리 펑션들(50) 사이의 키의 전송,
    새로운 인증 프로시저의 실행, 및
    보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)으로부터의 키의 요청
    중 하나를 포함하는 것을 특징으로 하는, 방법.
  20. 제18항 또는 제19항에 있어서,
    상기 등록(T10) 요청은, 현재 사용된 액세스 및 이동성 관리 펑션(50)을 소스 액세스 및 이동성 관리 펑션(50S)으로서 식별하는 정보를 포함하는 것을 특징으로 하는, 방법.
  21. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 방법으로서,
    상기 방법은,
    - 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에서, 상기 사용자 장비(80)에 대한 새로운 키에 대한 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 요청을 수신하는 단계(S31);
    - 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에서, 상기 사용자 장비(80)와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하는 단계(S32); 및
    - 상기 새로운 코어 네트워크 키를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하는 단계(S33)
    를 포함하는, 방법.
  22. 제21항에 있어서,
    - 상기 사용자 장비(80)가 새로운 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 갖는다는 통지를 타깃 액세스 및 이동성 관리 펑션(50T)으로부터 수신하는 단계(S34); 및
    - 상기 사용자 장비(80)와 공유되는 상기 키를 폐기하는 단계(S35)
    를 더 포함하는 것을 특징으로 하는, 방법.
  23. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는, 콘텍스트 요청을 소스 액세스 및 이동성 관리 펑션(50S)에 전송하도록 구성되는 액세스 및 이동성 관리 펑션(50)을 포함하고,
    상기 액세스 및 이동성 관리 펑션(50)은 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터의 응답으로 콘텍스트를 수신하도록 구성되고,
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고,
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는, 네트워크 노드.
  24. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는, 타깃 액세스 및 이동성 관리 펑션(50T)으로부터 콘텍스트 요청을 수신하도록 구성되는 액세스 및 이동성 관리 펑션(50)을 포함하고,
    상기 액세스 및 이동성 관리 펑션(50)은 응답으로 콘텍스트를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하도록 구성되고,
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고,
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는, 네트워크 노드.
  25. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하도록 구성되는 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는, 상기 사용자 장비(80)에 대한 새로운 키에 대한 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 요청을 수신하도록 구성되는 액세스 및 이동성 관리 펑션(50)을 포함하고,
    상기 액세스 및 이동성 관리 펑션(50)은 상기 사용자 장비(80)와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하도록 추가로 구성되고,
    상기 액세스 및 이동성 관리 펑션(50)은 상기 새로운 코어 네트워크 키를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하도록 추가로 구성되는, 네트워크 노드.
  26. 제23항 내지 제25항 중 어느 한 항에 있어서,
    상기 네트워크 노드(99)는 프로세서(110) 및 메모리(120)를 포함하고,
    상기 메모리(120)는, 상기 프로세서(110)에 의해 실행가능한 명령어들을 포함하는 것을 특징으로 하는, 네트워크 노드.
  27. 제23항 내지 제26항 중 어느 한 항에 있어서,
    상기 네트워크 노드(99)는, 상기 콘텍스트 요청을 수신하도록 그리고 상기 콘텍스트를 전송하도록 구성되는 통신 회로부(130)를 포함하는 것을 특징으로 하는, 네트워크 노드.
  28. 통신 네트워크에서의 사용을 위한 사용자 장비(80)로서,
    상기 사용자 장비(80)는 등록 요청(T10)을 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하도록 구성되고,
    상기 사용자 장비(80)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)과 상기 사용자 장비(80) 사이에서 비-액세스 계층 보안 확립 프로시저(T16)를 수행하도록 추가로 구성되고,
    상기 비-액세스 계층 보안 확립 프로시저(T16)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 의해 판정되는 인증 전략에 대해 상기 사용자 장비(80)에게 알리고,
    상기 사용자 장비(80)는 상기 인증 전략에 따라 키 프로시저들을 적용하도록 추가로 구성되는, 사용자 장비.
  29. 제28항에 있어서,
    상기 사용자 장비(80)는 프로세서(111) 및 메모리(121)를 포함하고,
    상기 메모리(121)는, 상기 프로세서(111)에 의해 실행가능한 명령어들을 포함하는 것을 특징으로 하는, 사용자 장비.
  30. 제28항 또는 제29항에 있어서,
    상기 사용자 장비(80)는, 상기 등록 요청을 전송하도록 그리고 상기 보안 모드 커맨드를 수신하도록 구성되는 통신 회로부(131)를 포함하는 것을 특징으로 하는, 사용자 장비.
  31. 명령어들을 포함하는 컴퓨터 프로그램으로서,
    상기 명령어들은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 상기 적어도 하나의 프로세서(410)로 하여금, 타깃 액세스 및 이동성 관리 펑션(50T)으로부터, 콘텍스트 요청을 소스 액세스 및 이동성 관리 펑션(50S)에 전송하게 하고, 상기 타깃 액세스 및 이동성 관리 펑션(50T)에서, 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터의 응답으로 콘텍스트를 수신하게 하고,
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고,
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 사용자 장비(80)와 공유되는 키를 유지하는, 컴퓨터 프로그램.
  32. 명령어들을 포함하는 컴퓨터 프로그램으로서,
    상기 명령어들은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 상기 적어도 하나의 프로세서(410)로 하여금, 소스 액세스 및 이동성 관리 펑션(50S)에서, 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 콘텍스트 요청을 수신하게 하고, 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터, 응답으로 콘텍스트를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하게 하고,
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고,
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 사용자 장비(80)와 공유되는 키를 유지하는, 컴퓨터 프로그램.
  33. 명령어들을 포함하는 컴퓨터 프로그램으로서,
    상기 명령어들은, 적어도 하나의 프로세서(411)에 의해 실행될 때, 상기 적어도 하나의 프로세서(411)로 하여금 등록 요청(T10)을 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하게 하고, 상기 타깃 액세스 및 이동성 관리 펑션(50T)과 상기 사용자 장비(80) 사이에서 비-액세스 계층 보안 확립 프로시저(T16)를 수행하게 하고 - 상기 비-액세스 계층 보안 확립 프로시저(T16)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 의해 판정되는 인증 전략에 대해 상기 사용자 장비(80)에게 알림 -, 상기 인증 전략에 따라 키 프로시저들을 적용하게 하는, 컴퓨터 프로그램.
  34. 명령어들을 포함하는 컴퓨터 프로그램으로서,
    상기 명령어들은, 적어도 하나의 프로세서(410)에 의해 실행될 때, 상기 적어도 하나의 프로세서(410)로 하여금, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에서, 상기 사용자 장비(80)에 대한 새로운 키에 대한 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 요청을 수신하게 하고, 상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)에서, 상기 사용자 장비(80)와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하게 하고, 상기 새로운 코어 네트워크 키를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하게 하는, 컴퓨터 프로그램.
  35. 제31항 내지 제34항 중 어느 한 항에 따른 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능 매체를 포함하는, 컴퓨터 프로그램 제품.
  36. 제31항 내지 제34항 중 어느 한 항에 따른 컴퓨터 프로그램을 포함하는 캐리어로서,
    상기 캐리어는 전자 신호, 광학 신호, 전자기 신호, 자기 신호, 전기 신호, 라디오 신호, 마이크로파 신호, 또는 컴퓨터 판독가능 저장 매체 중 하나인, 캐리어.
  37. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는,
    - 타깃 액세스 및 이동성 관리 펑션(50T)으로부터, 콘텍스트 요청을 소스 액세스 및 이동성 관리 펑션(50S)에 전송하기 위한 송신기 모듈(510); 및
    - 상기 타깃 액세스 및 이동성 관리 펑션(50T)에서, 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터의 응답으로 콘텍스트를 수신하기 위한 수신기 모듈(520)
    을 포함하고;
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고;
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는, 네트워크 노드.
  38. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는,
    - 소스 액세스 및 이동성 관리 펑션(50S)에서, 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 콘텍스트 요청을 수신하기 위한 수신기 모듈(510); 및
    - 상기 소스 액세스 및 이동성 관리 펑션(50S)으로부터, 응답으로 콘텍스트를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하기 위한 송신기(520)
    를 포함하고;
    상기 콘텍스트는, 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)을 식별하는 파라미터를 포함하고;
    상기 보안 앵커 펑션 액세스 및 이동성 관리 펑션(50P)은, 상기 사용자 장비(80)와 공유되는 키를 유지하는, 네트워크 노드.
  39. 통신 네트워크에서의 사용을 위한 사용자 장비(80)로서,
    상기 사용자 장비(80)는,
    - 등록 요청(T10)을 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하기 위한 송신기 모듈(540);
    - 상기 타깃 액세스 및 이동성 관리 펑션(50T)과 상기 사용자 장비(80) 사이에서 비-액세스 계층 보안 확립 프로시저(T16)를 수행하기 위한 보안 모듈(550) - 상기 비-액세스 계층 보안 확립 프로시저(T16)는 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 의해 판정되는 인증 전략에 대해 상기 사용자 장비(80)에게 알림 -; 및
    - 상기 인증 전략에 따라 키 프로시저들을 적용하기 위한 키 핸들링 모듈(560)
    을 포함하는, 사용자 장비.
  40. 사용자 장비(80)에 대한 서빙 액세스 및 이동성 관리 펑션(50)의 변경의 핸들링을 지원하기 위한 네트워크 노드(99)로서,
    상기 네트워크 노드(99)는,
    - 상기 사용자 장비(80)에 대한 새로운 키에 대한 타깃 액세스 및 이동성 관리 펑션(50T)으로부터의 요청을 수신하기 위한 수신기 모듈(520);
    - 상기 사용자 장비(80)와 공유되는 키로부터 새로운 코어 네트워크 키를 도출하기 위한 키 관리 모듈(530); 및
    - 상기 새로운 코어 네트워크 키를 상기 타깃 액세스 및 이동성 관리 펑션(50T)에 전송하기 위한 송신기 모듈(510)
    을 포함하는, 네트워크 노드.
KR1020197021915A 2017-01-30 2017-12-21 5g 시스템들에서의 보안 앵커 펑션 KR102208868B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762451856P 2017-01-30 2017-01-30
US62/451,856 2017-01-30
PCT/EP2017/084029 WO2018137866A1 (en) 2017-01-30 2017-12-21 Security anchor function in 5g systems

Publications (2)

Publication Number Publication Date
KR20190100327A true KR20190100327A (ko) 2019-08-28
KR102208868B1 KR102208868B1 (ko) 2021-01-29

Family

ID=60937736

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197021915A KR102208868B1 (ko) 2017-01-30 2017-12-21 5g 시스템들에서의 보안 앵커 펑션

Country Status (7)

Country Link
US (2) US20200084676A1 (ko)
EP (1) EP3520454B1 (ko)
JP (1) JP2020509640A (ko)
KR (1) KR102208868B1 (ko)
CN (1) CN110235458B (ko)
RU (1) RU2734873C1 (ko)
WO (1) WO2018137866A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111954208B (zh) * 2017-11-17 2024-04-12 华为技术有限公司 一种安全通信方法和装置
CN110798833B (zh) * 2018-08-03 2023-10-24 华为技术有限公司 一种鉴权过程中验证用户设备标识的方法及装置
CN114615023A (zh) * 2018-09-05 2022-06-10 华为技术有限公司 一种通信的方法及相关的装置
CN110933591B (zh) * 2018-09-18 2021-07-16 华为技术有限公司 认证方法、设备及系统
CN110536330B (zh) * 2018-09-27 2023-06-23 中兴通讯股份有限公司 一种ue迁移方法、装置、系统及存储介质
KR102604283B1 (ko) * 2018-10-05 2023-11-20 삼성전자주식회사 정보 보안을 위한 장치 및 방법
CN111328455B (zh) * 2018-10-17 2023-06-23 联发科技(新加坡)私人有限公司 移动性更新时的用户设备密钥推导方法及用户设备
TWI674808B (zh) * 2018-11-01 2019-10-11 財團法人資訊工業策進會 無線通訊系統及控制平面之管理之切換方法
CN111726808B (zh) * 2019-03-21 2022-06-10 华为技术有限公司 通信方法和装置
CN111866867B (zh) 2019-04-28 2022-01-14 华为技术有限公司 信息获取方法及装置
WO2020254359A1 (en) * 2019-06-17 2020-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Amf reallocation handling using ue exceptions to security context rules
US10582371B1 (en) 2019-08-09 2020-03-03 Cisco Technology, Inc. Subscriber management with a stateless network architecture in a fifth generation (5G) network
CN113613248B (zh) * 2020-04-20 2023-06-16 华为技术有限公司 认证事件处理方法及装置、系统
WO2023224915A1 (en) * 2022-05-16 2023-11-23 Intel Corporation Security for distributed non-access stratum protocol in a mobile system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110061589A (ko) * 2008-08-27 2011-06-09 콸콤 인코포레이티드 무선 네트워크를 통한 ue 등록을 위한 무결성 보호 및/또는 암호화
KR20130018299A (ko) * 2010-04-15 2013-02-20 퀄컴 인코포레이티드 세션 암호화 및 무결성 키들을 위한 강화된 보안 콘텍스트를 시그널링하는 장치 및 방법
KR20130029103A (ko) * 2010-06-16 2013-03-21 퀄컴 인코포레이티드 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치
JP2013526159A (ja) * 2010-04-16 2013-06-20 クアルコム,インコーポレイテッド 改善されたセキュリティコンテキストをサポートするサービングネットワークノードから従来のサービングネットワークノードに移行するための装置および方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2464594A1 (en) * 2004-04-14 2005-10-14 Vic Leach Device for dispensing granulated material
US20080181411A1 (en) * 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
GB0912944D0 (en) * 2009-07-24 2009-09-02 Vodafone Plc SMS over lte sgs interface optimisations
WO2011039572A1 (en) * 2009-09-30 2011-04-07 Nokia Corporation Apparatus and method for providing access to a local area network
EP2567499B1 (en) * 2010-05-04 2016-10-26 Qualcomm Incorporated Shared circuit switched security context
US9241302B2 (en) * 2011-06-17 2016-01-19 Qualcomm Incorporated Methods and apparatus for radio access technology search
US9049593B2 (en) * 2012-06-28 2015-06-02 Qualcomm Incorporated Method and apparatus for restricting access to a wireless system
WO2015097223A1 (en) * 2013-12-23 2015-07-02 Koninklijke Kpn N.V. Method and system for providing security from a radio access network
US9918225B2 (en) * 2014-11-03 2018-03-13 Qualcomm Incorporated Apparatuses and methods for wireless communication
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
US10382206B2 (en) 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10716002B2 (en) 2016-07-05 2020-07-14 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
FI3516819T3 (fi) 2016-09-20 2023-01-31 Seuraavan sukupolven avainjoukon tunnus
WO2018070436A1 (en) 2016-10-11 2018-04-19 Nec Corporation Method, session management function node, user plane function node, and user equipment for session management parameters maintenance and computer readable recording medium therein
CN109906624B (zh) 2016-10-31 2023-07-21 瑞典爱立信有限公司 支持无线通信网络中的认证的方法以及相关网络节点和无线终端
CN108012267B (zh) 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
US20180132096A1 (en) 2016-11-08 2018-05-10 Zte Corporation Differential tracking and mobility management in communication networks
US20200120570A1 (en) 2016-12-15 2020-04-16 Lg Electronics Inc. Method for performing handover in wireless communication system and apparatus therefor
US10694434B2 (en) 2017-01-05 2020-06-23 Lg Electronics Inc. Method and base station for supporting handover
WO2018135524A1 (ja) 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法
CN108347420B (zh) 2017-01-25 2021-02-23 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110061589A (ko) * 2008-08-27 2011-06-09 콸콤 인코포레이티드 무선 네트워크를 통한 ue 등록을 위한 무결성 보호 및/또는 암호화
KR20130018299A (ko) * 2010-04-15 2013-02-20 퀄컴 인코포레이티드 세션 암호화 및 무결성 키들을 위한 강화된 보안 콘텍스트를 시그널링하는 장치 및 방법
JP2013526159A (ja) * 2010-04-16 2013-06-20 クアルコム,インコーポレイテッド 改善されたセキュリティコンテキストをサポートするサービングネットワークノードから従来のサービングネットワークノードに移行するための装置および方法
KR20130029103A (ko) * 2010-06-16 2013-03-21 퀄컴 인코포레이티드 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3GPP TR 33.899 v0.6.0, Study on ther security aspects of the next generation system(Release 14), 2016.11* *

Also Published As

Publication number Publication date
US20190289672A1 (en) 2019-09-19
CN110235458B (zh) 2022-10-28
US20200084676A1 (en) 2020-03-12
US10848967B2 (en) 2020-11-24
EP3520454B1 (en) 2024-03-06
KR102208868B1 (ko) 2021-01-29
CN110235458A (zh) 2019-09-13
JP2020509640A (ja) 2020-03-26
WO2018137866A1 (en) 2018-08-02
RU2734873C1 (ru) 2020-10-23
EP3520454A1 (en) 2019-08-07

Similar Documents

Publication Publication Date Title
KR102208868B1 (ko) 5g 시스템들에서의 보안 앵커 펑션
US11963000B2 (en) Methods, apparatuses, computer programs and carriers for security management before handover from 5G to 4G system
US11849389B2 (en) Management of security contexts at idle mode mobility between different wireless communication systems
EP3804282B1 (en) Native blockchain platform for improving workload mobility in telecommunication networks
JP6824993B2 (ja) コンテクスト準備
RU2630175C2 (ru) Передача обслуживания вызовов между узлами системы сотовой связи, поддерживающими различные контексты безопасности
EP3357267A1 (en) Securing network slice management
JP7286785B2 (ja) プロトコルデータユニットセッションの確立
WO2018050958A1 (en) Pdcp count handling in rrc connection resume
US9258711B2 (en) Wireless communication system and authentication method thereof
CN109936444B (zh) 一种密钥生成方法及装置
US20240187980A1 (en) Management of security contexts at idle mode mobility between different wireless communication systems
CN114554484B (zh) 管理安全上下文的方法和装置
WO2017102249A1 (en) Authentication in wireless system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right