KR20190100366A - 유휴 모드 동안의 5g에서의 보안 콘텍스트 취급 - Google Patents

유휴 모드 동안의 5g에서의 보안 콘텍스트 취급 Download PDF

Info

Publication number
KR20190100366A
KR20190100366A KR1020197022435A KR20197022435A KR20190100366A KR 20190100366 A KR20190100366 A KR 20190100366A KR 1020197022435 A KR1020197022435 A KR 1020197022435A KR 20197022435 A KR20197022435 A KR 20197022435A KR 20190100366 A KR20190100366 A KR 20190100366A
Authority
KR
South Korea
Prior art keywords
key
access layer
core network
mobility management
management function
Prior art date
Application number
KR1020197022435A
Other languages
English (en)
Other versions
KR102163343B1 (ko
Inventor
노아멘 벤 헨다
크리스틴 조스트
칼 노르만
모니카 비프베슨
Original Assignee
텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=61163694&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR20190100366(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) filed Critical 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘)
Publication of KR20190100366A publication Critical patent/KR20190100366A/ko
Application granted granted Critical
Publication of KR102163343B1 publication Critical patent/KR102163343B1/ko

Links

Images

Classifications

    • H04W12/0401
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04W12/04033
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/34Reselection control
    • H04W36/38Reselection control by fixed network equipment
    • H04W36/385Reselection control by fixed network equipment of the core network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/02Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration by periodical registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/142Reselecting a network or an air interface over the same radio air interface technology

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Stored Programmes (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
  • Aiming, Guidance, Guns With A Light Source, Armor, Camouflage, And Targets (AREA)
  • Saccharide Compounds (AREA)
  • Burglar Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

본 개시내용은 AMF 변경들 동안의 유연한 보안 콘텍스트 관리를 위한 방법들 및 장치들에 관한 것이다. 본 개시내용의 일 양태는 유휴 모드에서의 AMF 변경들 동안 역방향 보안을 달성하기 위한 메커니즘이다. 소스 AMF는 현재 NAS 키를 타깃 AMF에 전달하는 대신에, 새로운 NAS 키를 도출하고, NAS 키가 변경되었음을 나타내는 키 변경 표시와 함께 새로운 NAS 키를 타깃 AMF에 제공한다. 타깃 AMF는 키 변경 표시를 사용자 장비에 송신한다.

Description

유휴 모드 동안의 5G에서의 보안 콘텍스트 취급
본 개시내용은 일반적으로 무선 통신 네트워크들에서의 보안에 관한 것으로, 더 구체적으로는 이동성 관리 도메인들 사이의 변경 시의 보안 콘텍스트 취급을 위한 방법들 및 장치들에 관한 것이다.
3세대 파트너십 프로젝트(3GPP)는 현재 5세대(5G) 시스템들에 대한 표준들을 개발 중이다. 5G 네트워크들은 다수의 새로운 시나리오와 사용 사례를 지원할 것이고, 사물 인터넷(IoT)의 조력자가 될 것으로 예상된다. 또한, 5G 시스템들은 센서들, 스마트 웨어러블들, 차량들, 기계들 등과 같은 광범위한 새로운 디바이스들에 대한 접속을 제공할 것으로 예상된다. 유연성은 5G 시스템의 핵심적인 속성일 것이다. 이러한 새로운 유연성은 운영자에 의해 사전 프로비저닝되고 유니버설 집적 회로 카드(Universal Integrated Circuit Card)(UICC)에 안전하게 저장되는 통상의 인증 및 키 협정(Authentication and Key Agreement)(AKA) 자격증명들 외의 대안적인 인증 방법들 및 상이한 타입들의 자격증명들의 지원을 요구하는 네트워크 액세스에 대한 보안 요건들에 반영된다. 보다 유연한 보안 특징들은 공장 소유자들 또는 기업들이 인증 및 액세스 네트워크 보안을 위해 자기 자신의 신원 및 자격증명 관리 시스템들을 활용할 수 있게 할 것이다.
5G 시스템의 새로운 보안 특징들 중에, 보안 앵커 펑션(Security Anchor Function)(SEAF)의 도입이 있다. SEAF의 목적은 키 저장을 위한 보안 위치에 앵커를 제공함으로써 5G 코어 네트워크 펑션들의 배치 시에 유연성과 역동성을 충족시키는 것이다. 사실, SEAF는 원하는 유연성을 달성하기 위해 가상화를 활용할 것으로 예상된다. 결과적으로, 액세스 및 이동성 관리를 담당하는 5G 펑션인 액세스 및 이동성 관리 펑션(Access and Mobility Management Function)(AMF)은 잠재적으로 운영자의 코어 네트워크보다 보안이 취약한 도메인에 배치될 수 있는 한편, 마스터 키는 보안 위치에서 SEAF에 남아 있다.
SEAF는 제어 평면 보호(예를 들어, KCN 키) 및 라디오 인터페이스 보호를 위한 키들과 같은 다른 키들을 도출하기 위해 사용되는 KSEAF로 표기된 키를 확립하여 사용자 장비(UE)와 공유하도록 의도된 것이다. 이러한 키들은 일반적으로 롱 텀 에볼루션(LTE) 시스템들에서의 비-액세스 계층(Non-Access Stratum)(NAS) 키들 및 액세스 계층 키(access stratum key)(KENB)에 대응한다. SEAF는 보안 위치에 상주하는 것으로 가정되고, KSEAF 키는 절대로 SEAF를 떠나지 않는다. SEAF는 AMF들과 통신하고, 사용자 장비(UE)와의 제어 평면(CP) 및 사용자 평면(UP) 트래픽의 보호를 위해 필요한 키 자료(KSEAF 키로부터 도출됨)를 프로비저닝한다. 이러한 접근법의 한 가지 이점은 UE가 하나의 AMF에 의해 서빙되는 영역으로부터 다른 AMF에 의해 서빙되는 영역으로 이동할 때마다의 재인증을 피하는 것이다. 사실, 인증은 특히 UE가 로밍하고 있을 때 비용이 많이 드는 절차이다.
최근, SEAF와 AMF를 공동 배치하기 위한 제안이 도입되었으며, 이는 SEAF의 목적에 처음부터 어긋난다. LTE 시스템들의 보안 설계는, 개념적으로 이동성 관리 엔티티(mobility management entity)(MME), 즉 LTE 시스템들에서 이동성 관리를 담당하는 노드가 항상 운영자 코어 네트워크 내의 보안 위치 내에 위치된다는 가정에 기초를 두었다는 점은 주목할 가치가 있다. 이 가정은 5G 시스템들의 AMF에는 적용되지 않는다. 고밀도 영역들에서, AMF는 네트워크의 에지에 더 가깝게, 따라서 노출된 위치들 내에(예를 들어, 쇼핑몰 내에) 배치될 수 있다. 따라서, AMF 변경 동안, AMF들 중 하나가 다른 것과 동일하게 안전한 도메인에 위치되지 않는 것이 가능하므로, 타깃 또는 소스 AMF가 다른 것으로부터 자기 자신을 차폐할 필요가 있다.
진화된 패킷 시스템(Evolved Packet System)(EPS)은 MME가 항상 보안 위치에 있다는 가정에 의존했다. 따라서, MME 변경 동안, 새로운 MME는 단순히 이전의 MME로부터 UE의 보안 콘텍스트를 페치했다. 또한, MME는 순방향 보안을 위해 새로운 인증을 임의로(optionally) 트리거할 수 있다.
레거시 메커니즘들을 사용하면, 순방향 보안(즉, 이전의 MME는 새로운 MME에 의해 사용되는 보안 콘텍스트를 알지 못함)은 재인증을 통해 달성될 수 있지만, 역방향 보안(즉, 새로운 MME는 이전의 MME에 의해 사용되는 보안 콘텍스트를 알지 못함)을 위한 메커니즘은 존재하지 않는다. 새로운 AMF는 새로운 인증을 트리거할 수 있으므로, 이전의 AMF가 새로운 키들을 결정할 어떠한 가능성도 제거한다. 재인증의 필요성은 예를 들어 상이한 AMF들의 위치를 고려한 운영자 정책에 기초할 수 있다.
인증 절차에만 전적으로 의존하는 것은 성능 면에서 가장 비용이 많이 드는 절차 중 하나이므로 매우 효율적이지 않다. 그러므로, 재인증의 필요없이 AMF들을 변경할 때 보안을 제공할 필요가 남아 있다.
본 개시내용은 AMF 변경들 동안 유연한 보안 콘텍스트 관리를 위한 방법들 및 장치들에 관한 것이다. 본 개시내용의 일 양태는 AMF 변경들 동안 역방향 보안을 달성하기 위한 메커니즘이다. 소스 AMF는 현재 NAS 키를 타깃 AMF에 전달하는 대신에, 새로운 NAS 키를 도출하고, 새로운 NAS 키를 타깃 AMF에 제공하고, 키 변경 표시(KCI)를 직접적으로 또는 소정의 다른 네트워크 노드를 통해 UE에 송신한다. 다음으로, UE는 이전의 NAS 키로부터 새로운 NAS 키를 도출할 수 있다. 일부 실시예들에서, AMF는 새로운 NAS 키를 도출하는 데에 사용하기 위해, 키 생성 파라미터를 UE에 제공할 수 있다. 다른 실시예들에서, 타깃 AMF는 하나 이상의 보안 알고리즘을 변경할 수 있다.
본 개시내용의 일 양태에 따르면, UE에 대한 보안 콘텍스트를 보유하는 소스 AMF는 AMF 변경에 대한 필요성을 결정한다. AMF 변경에 대한 필요성을 결정하는 것에 응답하여, 소스 AMF는 새로운 비-액세스 계층 키를 생성하고, 비-액세스 계층 키를 타깃 AMF에 송신한다. 일부 실시예들에서, 소스 AMF는 또한 KCI를 UE 또는 타깃 AMF에 송신한다.
본 개시내용의 일 양태는 무선 통신 네트워크의 액세스 네트워크 내의 소스 기지국에 의해 핸드오버 동안 구현되는 방법들을 포함한다. 소스 기지국은 UE의 핸드오버를 개시하기 위해, 무선 통신 네트워크의 코어 네트워크 내의 소스 이동성 관리 펑션에 제1 핸드오버 메시지를 송신한다. 후속하여, 소스 기지국은 제1 핸드오버 메시지에 응답하여, 소스 이동성 관리 펑션으로부터 제2 핸드오버 메시지를 수신한다. 제2 핸드오버 메시지는 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 포함한다. 소스 기지국은 제2 핸드오버 메시지를 KCI와 함께 UE에 포워딩한다.
본 개시내용의 다른 양태는 이전 단락의 상기 방법들을 수행하도록 구성된 소스 기지국을 포함한다. 일 실시예에서, 기지국은 무선 인터페이스(air interface)를 통해 UE와 통신하기 위한 인터페이스 회로; 및 소스 기지국으로부터 타깃 기지국으로 UE를 핸드오버하도록 적응된 처리 회로를 포함한다. 처리 회로는 UE의 핸드오버를 개시하기 위해 무선 통신 네트워크의 코어 네트워크 내의 소스 이동성 관리 펑션에 제1 핸드오버 메시지를 송신하고; 핸드오버 메시지에 응답하여, 소스 이동성 관리 펑션으로부터 제2 핸드오버 메시지를 수신하고 - 제2 핸드오버 메시지는 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 포함함 - ; 인터페이스 회로를 통해 핸드오버 커맨드를 키 변경 표시와 함께 UE에 포워딩하도록 구성된다.
본 개시내용의 다른 양태는 무선 통신 네트워크의 코어 네트워크 내의 소스 이동성 관리 펑션에 의해 핸드오버 동안 구현되는 방법들을 포함한다. 소스 이동성 관리 펑션은 소스 기지국으로부터, UE의 핸드오버가 필요함을 나타내는 제1 핸드오버 메시지를 수신한다. 소스 이동성 관리 펑션은 새로운 비-액세스 계층 키를 생성하고, 무선 통신 네트워크의 코어 네트워크 내의 타깃 이동성 관리 펑션에 새로운 비-액세스 계층 키를 송신한다. 소스 이동성 관리 펑션은 또한 제2 핸드오버 메시지에서 KCI를 UE에 송신한다. KCI는 비-액세스 계층 키의 변경을 나타낸다.
본 개시내용의 다른 양태는 이전 단락의 상기 방법들을 수행하도록 구성된 소스 이동성 관리 펑션을 포함한다. 일 실시예에서, 소스 이동성 관리 펑션은 통신 네트워크를 통해 기지국 및 타깃 이동성 관리 펑션과 통신하기 위한 인터페이스 회로; 및 처리 회로를 포함한다. 처리 회로는 무선 통신 네트워크의 액세스 네트워크 내의 소스 기지국으로부터, UE의 핸드오버가 필요함을 나타내는 제1 핸드오버 메시지를 수신하고; 새로운 비-액세스 계층 키를 생성하고; 핸드오버 메시지에 응답하여, 새로운 비-액세스 계층 키를 상기 무선 통신 네트워크의 코어 네트워크 내의 타깃 이동성 관리 펑션에 송신하고; 제2 핸드오버 메시지에서, 키 변경 표시를 UE에 송신하도록 구성되며, 키 변경 표시는 비-액세스 계층 키의 변경을 나타낸다.
본 개시내용의 다른 양태는 무선 통신 네트워크의 코어 네트워크 내의 타깃 이동성 관리 펑션에 의해 핸드오버 동안 구현되는 방법들을 포함한다. 타깃 이동성 관리 펑션은 소스 이동성 관리 펑션으로부터 새로운 비-액세스 계층 키를 수신한다. 타깃 이동성 관리 펑션은 새로운 비-액세스 계층 키로부터 도출된 새로운 액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하고; 새로운 액세스 계층 키를 타깃 기지국에 송신한다.
본 개시내용의 다른 양태는 이전 단락의 상기 방법들을 수행하도록 구성된 타깃 이동성 관리 펑션을 포함한다. 일 실시예에서, 타깃 이동성 관리 펑션은 통신 네트워크를 통해 타깃 기지국 및 소스 이동성 관리 펑션과 통신하기 위한 인터페이스 회로; 및 처리 회로를 포함한다. 처리 회로는 소스 이동성 관리 펑션으로부터 새로운 비-액세스 계층 키를 수신하고; 새로운 비-액세스 계층 키로부터 도출된 새로운 액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하고, 새로운 액세스 계층 키를 타깃 기지국에 송신하도록 구성된다.
본 개시내용의 다른 양태는 핸드오버 동안 무선 통신 네트워크 내의 UE에 의해 핸드오버 동안 구현되는 방법들을 포함한다. UE는 무선 통신 네트워크의 소스 이동성 관리 펑션의 도메인 내의 소스 기지국으로부터 KCI를 포함하는 핸드오버 메시지를 수신한다. KCI는 비-액세스 계층 키가 변경되었음을 UE에 나타낸다. UE는 소스 기지국으로부터 타깃 이동성 관리 펑션의 도메인 내의 타깃 기지국으로 핸드오버를 수행한다. UE는 KCI에 응답하여, 타깃 이동성 관리 펑션과의 새로운 보안 콘텍스트를 확립한다. 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함한다. UE는 새로운 비-액세스 계층 키를 사용하여 타깃 이동성 관리 펑션과 임의로 통신할 수 있다.
본 개시내용의 다른 양태는 이전 단락의 방법들을 수행하도록 구성된 UE를 포함한다. 일 실시예에서, UE는 무선 통신 네트워크의 액세스 네트워크 내의 하나 이상의 기지국과 통신하기 위한 인터페이스 회로, 및 처리 회로를 포함한다. 처리 회로는 무선 통신 네트워크의 제1 이동성 관리 도메인 내의 소스 기지국으로부터 핸드오버 메시지를 수신하고 - 상기 핸드오버 메시지는 키 변경 표시를 포함함 - ; 및 소스 기지국으로부터 무선 통신 네트워크의 제2 이동성 관리 도메인 내의 타깃 기지국으로 핸드오버를 수행하는 단계; 키 변경 표시에 응답하여, 타깃 이동성 관리 펑션과의 새로운 보안 콘텍스트를 확립하는 단계 - 상기 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함함 - 를 포함한다.
본 개시내용의 다른 양태는 유휴 모드의 UE가 이동성 관리 펑션들을 변경할 때 무선 통신 네트워크의 코어 네트워크 내의 소스 이동성 관리 펑션에 의해 핸드오버 동안 구현되는 방법들을 포함한다. 소스 이동성 관리 펑션은 타깃 이동성 관리 펑션으로부터 UE에 대한 보안 콘텍스트에 대한 요청을 수신한다. 소스 이동성 관리 펑션은 새로운 비-액세스 계층 키를 생성하고, 요청에 응답하여 새로운 비-액세스 계층 키 및 KCI를 타깃 이동성 관리 펑션에 송신한다. KCI는 비-액세스 계층 키의 변경을 나타낸다.
본 개시내용의 다른 양태는 이전 단락의 방법들을 수행하도록 구성된 소스 이동성 관리 펑션을 포함한다. 일 실시예에서, 소스 이동성 관리 펑션은 통신 네트워크를 통해 기지국 및 타깃 이동성 관리 펑션과 통신하기 위한 인터페이스 회로; 및 처리 회로를 포함한다. 처리 회로는 타깃 이동성 관리 펑션으로부터 UE에 대한 보안 콘텍스트에 대한 요청을 수신하고; 새로운 비-액세스 계층 키를 생성하고; 요청에 응답하여, 새로운 비-액세스 계층 키 및 KCI를 타깃 이동성 관리 펑션에 송신하도록 더 구성된다. KCI는 비-액세스 계층 키의 변경을 나타낸다.
본 개시내용의 다른 양태는 유휴 모드의 UE가 이동성 관리 펑션들을 변경할 때 무선 통신 네트워크의 코어 네트워크 내의 타깃 이동성 관리 펑션에 의해 핸드오버 동안 구현되는 방법들을 포함한다. 타깃 이동성 관리 펑션은 UE로부터 이동성 관리 펑션이 변경되었음을 나타내는 등록 메시지 또는 다른 제어 메시지를 수신한다. 타깃 이동성 관리 펑션은 무선 통신 네트워크 내의 소스 이동성 관리 펑션으로부터 보안 콘텍스트를 요청한다. 요청에 응답하여, 타깃 이동성 관리 펑션은 새로운 비-액세스 계층 키, 및 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신한다. 타깃 이동성 관리 펑션은 KCI를 UE에 송신하고, 새로운 비-액세스 계층 키를 포함하는 UE에 대한 새로운 보안 콘텍스트를 임의로 확립한다.
본 개시내용의 다른 양태는 이전 단락의 방법들을 수행하도록 구성된 타깃 이동성 관리 펑션을 포함한다. 일 실시예에서, 타깃 이동성 관리 펑션은 통신 네트워크를 통해 타깃 기지국 및 소스 이동성 관리 펑션과 통신하기 위한 인터페이스 회로; 및 처리 회로를 포함한다. 처리 회로는 UE로부터 이동성 관리 펑션 변경을 나타내는 등록 메시지 또는 다른 제어 메시지를 수신하고; 등록 메시지에 응답하여, 무선 통신 네트워크 내의 소스 이동성 관리 펑션으로부터 보안 콘텍스트를 요청하고; 요청에 응답하여, 새로운 비-액세스 계층 키, 및 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신하고; KCI를 UE에 송신하고, 새로운 비-액세스 계층 키를 포함하는 UE에 대한 새로운 보안 콘텍스트를 임의로 확립하도록 구성된다.
본 개시내용의 다른 양태는 UE가 AMF들을 변경할 때 무선 통신 네트워크 내의 유휴 모드 UE에 의해 핸드오버 동안 구현되는 방법들을 포함한다. UE는 등록 메시지 또는 다른 제어 메시지를 무선 통신 네트워크 내의 타깃 이동성 관리 펑션에 송신한다. UE는 등록 메시지 또는 다른 제어 메시지에 응답하여, 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신한다. KCI에 응답하여, UE는 새로운 비-액세스 계층 키를 생성한다. 새로운 비-액세스 계층 키를 생성한 후, UE는 타깃 이동성 관리 펑션과의 새로운 보안 콘텍스트를 확립하고 - 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함함 - , 그 후에 새로운 비-액세스 계층 키를 사용하여 타깃 이동성 관리 펑션과 통신할 수 있다.
본 개시내용의 다른 양태는 이전 단락의 방법들을 수행하도록 구성된 UE를 포함한다. 일 실시예에서, UE는 무선 통신 네트워크의 액세스 네트워크 내의 하나 이상의 기지국과 통신하기 위한 인터페이스 회로, 및 처리 회로를 포함한다. 처리 회로는 등록 메시지 또는 다른 제어 메시지를 무선 통신 네트워크 내의 타깃 이동성 관리 펑션에 송신하고; 등록 메시지 또는 다른 제어 메시지에 응답하여, 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신하고; KCI에 응답하여, 새로운 비-액세스 계층 키를 생성하도록 구성된다. 새로운 비-액세스 계층 키를 생성한 후, UE는 타깃 이동성 관리 펑션과의 새로운 보안 콘텍스트를 임의로 확립하고 - 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함함 - , 그 후에 새로운 비-액세스 계층 키를 사용하여 타깃 이동성 관리 펑션과 통신할 수 있다.
본 개시내용의 다른 양태들 및 실시예들은 열거된 실시예들에 포함된다.
도 1은 예시적인 무선 통신 네트워크를 도시한다.
도 2는 핸드오버 동안의 보안 콘텍스트 취급을 위한 절차를 도시한다.
도 3은 UE가 유휴 모드에서 AMF들을 변경할 때의 보안 콘텍스트 취급을 위한 제1 절차를 도시한다.
도 4는 제1 예시적인 키 생성 절차를 도시한다.
도 5는 제2 예시적인 키 생성 절차를 도시한다.
도 6은 핸드오버 동안의 보안 콘텍스트 취급을 위한 제2 절차를 도시한다.
도 7은 핸드오버 동안의 보안 콘텍스트 취급을 위한 제3 절차를 도시한다.
도 8은 UE가 유휴 모드에서 AMF들을 변경할 때의 보안 콘텍스트 취급을 위한 제2 절차를 도시한다.
도 9는 핸드오버 동안 소스 기지국에 의해 구현되는 방법을 도시한다.
도 10은 도 9의 방법을 수행하도록 구성된 예시적인 기지국을 도시한다.
도 11은 핸드오버 동안 소스 AMF에 의해 구현되는 방법을 도시한다.
도 12는 도 9의 방법을 수행하도록 구성된 예시적인 소스 AMF를 도시한다.
도 13은 핸드오버 동안 타깃 AMF에 의해 구현되는 방법을 도시한다.
도 14는 도 13의 방법을 수행하도록 구성된 예시적인 타깃 AMF를 도시한다.
도 15는 핸드오버 동안 UE에 의해 구현되는 방법을 도시한다.
도 16은 도 15의 방법을 수행하도록 구성된 예시적인 UE를 도시한다.
도 17은 UE가 유휴 모드에서 AMF들을 변경할 때 소스 AMF에 의해 구현되는 방법을 도시한다.
도 18은 도 9의 방법을 수행하도록 구성된 예시적인 소스 AMF를 도시한다.
도 19는 UE가 유휴 모드에서 AMF들을 변경할 때 타깃 AMF에 의해 구현되는 방법을 도시한다.
도 20은 도 19의 방법을 수행하도록 구성된 예시적인 타깃 AMF를 도시한다.
도 21은 UE가 유휴 모드에서 AMF들 사이를 이동할 때 UE에 의해 구현되는 위치 업데이트 방법을 도시한다.
도 22는 도 21의 방법을 수행하도록 구성된 예시적인 UE를 도시한다.
도 23은 본 명세서에 설명된 보안 콘텍스트 취급 절차들을 구현하도록 구성된 예시적인 기지국을 도시한다.
도 24는 본 명세서에 설명된 보안 콘텍스트 취급 절차들을 구현하도록 구성된 예시적인 코어 네트워크 노드를 도시한다.
도 25는 본 명세서에 설명된 보안 콘텍스트 취급 절차들을 구현하도록 구성된 예시적인 UE를 도시한다.
이제 도면들을 참조하여, 본 개시내용의 예시적인 실시예는 5G 무선 통신 네트워크와 관련하여 설명될 것이다. 본 기술분야의 통상의 기술자는 본 명세서에 설명된 방법들 및 장치들이 5G 네트워크들에서의 사용에 한정되는 것이 아니라 다른 표준들에 따라 동작하는 무선 통신 네트워크들에서도 사용될 수 있음을 알 것이다.
도 1은 하나의 예시적인 실시예에 따른 무선 통신 네트워크(10)를 도시한다. 무선 통신 네트워크(10)는 라디오 액세스 네트워크(RAN)(20) 및 코어 네트워크(30)를 포함한다. RAN(20)은 라디오 통신 네트워크(10) 내에서 동작하는 UE들(70)에 무선 액세스를 제공하는 하나 이상의 기지국(25)을 포함한다. 기지국들(25)은 또한 gNodeB들(gNBs)이라고 지칭된다. 코어 네트워크(30)는 RAN(20)과 다른 패킷 데이터 네트워크들(80) 사이의 접속을 제공한다.
하나의 예시적인 실시예에서, 코어 네트워크(30)는 인증 서버 펑션(authentication server function)(AUSF)(35), 액세스 및 이동성 관리 펑션(access and mobility management function)(AMF)(40), 세션 관리 펑션(session management function)(SMF)(45), 정책 제어 펑션(policy control function)(PCF)(50), 통합 데이터 관리(unified data management)(UDM) 펑션(55), 및 사용자 평면 펑션(UPF)(60)을 포함한다. 무선 통신 네트워크(10)의 이러한 컴포넌트들은 하나 이상의 코어 네트워크 노드에 상주하는 논리적 엔티티들을 포함한다. 논리적 엔티티들의 펑션들은 하나 이상의 프로세서, 하드웨어, 펌웨어 또는 이들의 조합에 의해 구현될 수 있다. 펑션들은 단일 코어 네트워크 노드에 상주할 수 있거나, 둘 이상의 코어 네트워크 노드 사이에 분산될 수 있다.
AMF(40)는 특히 LTE의 MME와 유사한 이동성 관리 기능들을 수행한다. AMF 및 MME는 본 명세서에서 일반적으로 이동성 관리 펑션으로 지칭된다. 도 1에 도시된 예시적인 실시예에서, AMF(40)는 비-액세스 계층(non-access stratum)(NAS) 보안을 위한 종단점이다. AMF(40)는 무결성 및 기밀성 보호를 위해 NAS 하위 레벨 프로토콜 키들을 도출하는 데에 사용되는 코어 네트워크 키(KCN)로 표기되는 키를, UE(70)와 공유한다. KCN은 일반적으로 진화된 패킷 시스템(Evolved Packet System)(EPS)의 KASME라고 명명된 기본 키와 등가이다. KCN 키는 일반적으로 5G 규격들에서 사용되는 KAMF 키와 등가이다. 인증에 후속하여 새로운 KCN이 사용되는 경우가 항상 있다. 인증 후에 KCN 키가 어떻게 확립되는지는 본 개시내용의 중요한 양태이 아니다. 본 명세서에 설명되는 방법들 및 장치들은 인증 후에 KCN을 계산하기 위해 사용되는 구체적인 방법에 의존하지 않는다. 즉, 보안 콘텍스트 취급 방법들은 KCN이 상위 레벨 키로부터 도출되는지 또는 EPS에서의 KASME의 확립과 유사한 인증 절차에 의해 직접 확립되는지에 관계없이 작동한다.
일단 UE(70)가 인증되고 나면, UE(70)는 네트워크 내의 셀들 사이를 이동할 수 있다. UE(70)가 접속 모드에 있는 동안 셀들 사이를 이동할 때, 핸드오버가 실행된다. 유휴 모드의 UE(70)가 셀들 사이에서 이동할 때, 위치 업데이트 절차가 실행될 수 있다. AMF(40)는 자신의 도메인 내의 UE(70)의 위치를 추적한다. 전형적으로, 코어 네트워크(30)는 복수의 AMF(40)를 가질 것이고, 이들 각각은 각자의 도메인에서 이동성 관리 서비스들을 제공한다. UE(70)가 상이한 AMF들(40)에 의해 감독되는 셀들 사이를 이동할 때, 보안 콘텍스트는 소스 AMF(40)로부터 타깃 AMF(40)에 전송될 필요가 있다.
LTE 시스템들에서, 보안 콘텍스트는 MME-간 핸드오버 또는 위치 업데이트 동안 소스 이동성 관리 엔티티(MME)로부터 타깃 MME로 변경되지 않은 채 전송된다. AMF 변경에 후속하여, 새로운 NAS 및 액세스 계층(AS) 키들을 사용하는 NAS 보안 모드 커맨드(SMC) 절차가 수행될 수 있다. 예를 들어, NAS 레벨에서 알고리즘 변경이 필요한 경우, NAS 및 AS 키들의 생성이 필요할 수 있다. 일반적으로, NAS 프로토콜 계층에서 사용되는 알고리즘의 변경은 AS 키들에 어떠한 영향도 미치지 않는다. 그러나, 주요 NAS 콘텍스트 키의 변경은 현재 AS 키들을 구식이 되게 한다.
본 개시내용의 일 양태는 AMF 변경들 동안 역방향 보안을 달성하기 위한 메커니즘이다. 소스 AMF(40)는 현재 NAS 키를 타깃 AMF(40)로 전달하는 대신에, 새로운 NAS 키를 도출하고, 타깃 AMF(40)에 새로운 NAS 키를 제공하며, KCI를 UE(70)에 송신한다. 다음으로, UE(70)는 이전의 NAS 키로부터 새로운 NAS 키를 도출할 수 있다. 일부 실시예들에서, 소스 AMF(40)는 새로운 NAS 키를 도출하는 데 사용하기 위한 키 생성 파라미터를 UE(70)에 제공할 수 있다. 다른 실시예들에서, 타깃 AMF(40)는 하나 이상의 보안 알고리즘을 변경할 수 있다.
도 2는 AMF가 변경되는 핸드오버 동안 보안 콘텍스트를 전송하기 위한 예시적인 절차를 도시한다. 단계(1)에서, 소스 기지국(25)(예를 들어, 소스 gNB)은 예를 들어 타깃 기지국(25)(예를 들어, 타깃 gNB)에 대한 Xn 접속이 없는 것에 기인하여 N2-기반 핸드오버를 개시하기로 결정한다. Xn 인터페이스는 EPS의 X2 인터페이스의 5G 등가물이다. 단계(2)에서, 소스 기지국(25)은 핸드오버 요구 메시지(또는 핸드오버 요구 메시지의 5G 등가물)를 소스 AMF(40)에 송신한다. 이것은 UE(70)를 현재 서빙하고 있는 AMF(40)이며, AMF는 본 명세서에서 KCN 키로 지칭되는 비-액세스 계층 키에 기초하는 완전한 NAS 보안 콘텍스트를 UE와 공유한다. KCN 키는 아마도 이전의 인증 또는 AMF(40) 변경 절차에 따라 확립되었을 수 있다. 단계(3)에서, 소스 AMF(40)는 타깃 AMF(40)를 선택하고, 타깃 AMF(40)로부터 그 자신 및 모든 이전 세션들을 차폐하기 위해 새로운 KCN 키를 도출하기로 결정한다. 새로운 키를 도출하기 위한 결정은 운영자 특정 보안 정책에 기초할 수 있다.
예로서, AMF 세트가 변경될 때, 새로운 KCN 키가 사용되게 될 수 있다. 일반적으로, AMF 세트가 변경되지 않을 때, 수평 키 도출이 필요하지 않다고 가정된다. 이러한 두 가지 가정의 배후에 있는 현재의 추론은 5G 보안 콘텍스트가 AMF 세트 내의 비구조화된 데이터 저장 네트워크 펑션(Unstructured Data Storage network function)(UDSF)에 저장된다는 것이다. 따라서, UE가 동일한 AMF 세트 내의 상이한 AMF를 할당받는 경우, KCN의 수평 도출은 필요하지 않다. 그러나, UE가 상이한 AMF 세트 내의 상이한 AMF를 할당받는 경우, UDSF는 상이하고, KCN의 수평 도출이 필요하다. 그러나, 이러한 가정들은 가능한 모든 네트워크 배치에서 유효하지는 않을 수 있다. 첫째, UDSF는 임의적 네트워크 펑션이다. 또한, 네트워크 아키텍처를 AMF 세트 내에만 공유 저장소가 있는 배치로 제한할 이유가 없다. 일부 네트워크 배치들은 복수의 AMF 세트에 걸쳐 보안 저장소를 가질 수 있다. 이 경우, AMF 세트가 변경될 때, KCN의 수평 도출을 명령할 필요가 없다. 마찬가지로, 일부 네트워크 배치들은 단일 AMF 세트 내에서 복수의 보안 저장소를 사용할 수 있다. 이 경우, UE(70)가 AMF 세트를 변경하지 않을 때에도 수평 키 도출이 바람직할 수 있다. 따라서, AMF 사이에서 변경할 때 KCN의 수평 도출을 수행하기 위한 결정은 AMF 세트에 기초한 명령/제한보다는 네트워크 정책에 따라 행해져야 한다. 예를 들어, 네트워크 운영자는 UE(70)가 동일한 보안 저장소를 공유하지 않는 소스 AMF(40)로부터 타깃 AMF(40)로 변경될 때 새로운 KCN이 요구된다는 정책을 가질 수 있다.
도 2로 되돌아가면, 소스 AMF(40)는 단계(4)에서 UE 능력들과 같은 임의의 관련 보안 파라미터들과 함께 새로운 KCN 키를 포함하는 순방향 재배치 요청 메시지(또는 5G 등가물)를 송신한다. 타깃 AMF(40)는 새로운 보안 콘텍스트를 셋업하고 새로운 AS 키를 도출하기 위해 이러한 KCN 키를 사용한다. 단계(5)에서, 타깃 AMF(40)는 타깃 기지국(25)에 핸드오버 요청(또는 5G 등가물)을 송신한다. 핸드오버 요청은 새로운 AS 키, 및 UE 능력들과 같은 모든 관련 보안 파라미터들을 포함한다. 이는 타깃 기지국(25)에서 UE(70) 보안 콘텍스트를 확립한다. 단계(6)에서, 타깃 기지국(25)은 핸드오버 요청을 확인응답한다. 확인응답에 응답하여, 타깃 AMF(40)는 단계(7)에서 투명 컨테이너를 포함하는 순방향 재배치 응답 메시지(또는 5G 등가물)를 소스 AMF(40)에 송신한다. 이 컨테이너는 단계들(8 및 9)에서 UE(70)까지 계속 포워딩된다.
단계들(8 및 9)에서, 소스 AMF(40)는 핸드오버 커맨드를 UE(70)에 포워딩하는 소스 기지국(25)을 통해 핸드오버 커맨드 메시지를 UE(70)에 송신한다. 핸드오버 커맨드는 순방향 재배치 응답 메시지, 및 새로운 KCN이 도출되었음을 나타내는 KCI로부터 관련 정보를 포함한다. KCI는 KCN 키가 변경되었음을 나타내는 값으로 설정된 명시적 키 변경 표시자 플래그를 포함할 수 있다. KCI에 응답하여, UE(70)는 새로운 보안 콘텍스트를 확립하고, 새로운 KCN을 도출한다. UE(70)는 타깃 기지국(25)과 통신하기 위한 새로운 AS 키를 도출하기 위해 새로운 KCN 키를 사용한다.
도 3은 유휴 모드의 UE(70)가 AMF들(40)을 변경할 때 보안 콘텍스트를 전송하기 위한 예시적인 절차를 도시한다. EPS에서, 유휴 모드 동안의 위치 업데이트는 트래킹 영역 업데이트(Tracking Area Update)(TAU) 요청에서 UE(70)에 의해 나타난다. 5G에서, UE(70)는 TS 23.502, §4.1.1.2에 규정된 바와 같이, "이동성 등록" 타입의 등록 요청을 사용할 것으로 예상된다.
단계(1)에서, UE(70)는 새로운 AMF(40)(즉, 타깃 AMF)에 등록 요청(등록 타입 = 이동성 등록, 다른 파라미터들)을 송신한다. 본 기술분야의 통상의 기술자는 위치 업데이트를 개시하기 위해 다른 메시지들이 송신될 수 있음을 알 것이다. 등록 요청 메시지는 새로운 AMF(40)가 UE(70) 보안 콘텍스트를 현재 보유하고 있는 이전의 AMF(40)(즉, 소스 AMF)를 식별할 수 있게 하는 모든 필요한 정보를 포함한다. 단계(2)에서, 새로운 AMF(40)는 등록 요청 메시지에 응답하여, UE(70)에 대한 보안 콘텍스트를 요청하기 위해, 콘텍스트 요청 메시지를 이전의 AMF(40)에 송신한다. 단계(3)에서, 이전의 AMF(40)는 타깃 AMF(40)로부터 그 자신 및 모든 이전의 세션들을 차폐하기 위해, 새로운 KCN 키를 도출하기로 결정한다. 결정은 운용자 특정 보안 정책에 기초할 수 있다.
단계(4)에서, 이전의 AMF(40)는 콘텍스트 요청 응답 메시지를 새로운 AMF(40)에 송신한다. 콘텍스트 요청 응답 메시지는 새로운 KCN 키를 포함하는 필요한 UE(70) 보안 콘텍스트 정보를 포함한다. 콘텍스트 요청 응답 메시지는 NAS 키(KCN)가 변경되었음을 나타내는 KCI를 더 포함한다. 이전의 KCN 키는 새로운 AMF(40)에 송신되지 않는다. 새로운 AMF(40)는 새로운 보안 콘텍스트를 확립하기 위해 새로운 KCN 키를 사용하고, TS 33.401, §7.2.4.4에 규정된 것과 같이 UE(70)와 NAS SMC 절차 또는 유사한 절차를 수행함으로써 새로운 보안 콘텍스트를 활성화한다. 단계(5)에서, UE(70)는 NAS SMC 절차의 제1 다운링크 메시지 또는 NAS SMC 절차 동안 송신된 다른 메시지 내의 KCI를 통해 키 변경을 통보받는다.
KCN 키에 기초한 NAS 보안 콘텍스트는 UE(70)와 그것을 현재 서빙하고 있는 AMF(40) 사이에 공유된다. 보안 콘텍스트는 NAS 카운터, 키 세트 식별자 등과 같은, LTE 시스템들 내의 것들과 유사한 보안 파라미터들을 포함한다. 하나의 예시적인 실시예에서, AMF(40) 변경 동안 새로운 KCN 키를 생성하기 위해, 수평 키 도출 메커니즘이 사용된다. 새로운 KCN의 도출은 이전의 KCN에 전적으로 기초할 수 있다. 보안 관점에서, 키 도출 단계에서 추가 입력의 이점은 없다.
도 4는 제1 키 도출 절차를 도시한다. 이 실시예에서, 키 도출 펑션(KDF)은 전적으로 이전의 KCN 키에만 기초하여 새로운 KCN 키를 도출한다고 가정된다. AMF(40)로부터 AMF(40)로의 이러한 키 체인은 새로운 인증이 수행될 때까지 계속 될 수 있다. AMF(40) 변경 동안 어느 보안 메커니즘이 선택되는지에 대하여 AMF(40)를 구성하는 방법은 운영자의 정책에 맡겨질 수 있다. 예를 들어, 운영자의 보안 요건들에 따라, 운영자는 타깃 AMF(40)에서 재인증을 수행할지, 또는 소스 AMF(40)에서 키 변경이 필요한지를 결정할 수 있다.
도 5는 다른 키 도출 절차를 도시한다. 이 실시예는 AMF(40)가 하나보다 많은 잠재적 타깃 AMF(40)에 대해 키들을 미리 준비할 필요가 있는 시나리오에서 유용할 수 있다. 이 경우, 암호화 분리를 위해 추가 키 도출 파라미터(KDP)가 필요하므로, 상이한 잠재적 타깃 AMF들(40)에 대해 상이한 KCN 키들이 준비된다. 파라미터 타입에 따라, UE(70)는 KCI에 더하여 선택된 KDP를 제공받을 필요가 있을 수 있다. 일부 실시예들에서, KDP는 또한 암시적인 KCI의 역할을 할 수 있고, 그에 의해 별도의 KCI가 요구되지 않는다. 예를 들어, KDP가 소스 AMF(40)에 의해 생성된 넌스를 포함하는 경우, 넌스는 UE(70)에 제공될 필요가 있다. 다른 잠재적인 KDP들은 타임스탬프, 버전 번호, 및 신선도 파라미터를 포함한다. 접속 모드에서의 핸드오버 동안, KDP는 핸드오버 커맨드에서 소스 기지국(25)을 통해 소스 AMF(40)로부터 UE(70)에 송신될 수 있다. 대안적으로, KDP는 투명한 NAS 컨테이너 내의 타깃 AMF(40)를 통해 UE(70)에 송신될 수 있다. 등록 또는 위치 업데이트 절차 동안, KDP는 NAS SMC 내에서 타깃 AMF(40)로부터 송신될 수 있다. 그러나, AMF 공개 식별자-유사 파라미터(AMF public identifier-like parameter)와 같이, KDP가 UE(70)에 다르게 이용가능한 시나리오들에서, UE(70)에 KDP 파라미터를 제공할 필요가 없을 수 있다. 더 일반적으로, UE(70) 및 소스 AMF(40)에 알려진 정적 네트워크 구성 파라미터 또는 정적 UE 구성 파라미터와 같은 임의의 정적 정보가 KDP로서 사용될 수 있다.
도 6은 새로운 KCN 키를 도출하기 위해 KDP가 사용되는 핸드오버 절차를 도시한다. 이 절차는 일반적으로 도 2에 표시된 절차와 동일하다. 간략하게 하기 위해, 변경되지 않은 단계들은 설명되지 않는다. 단계(3)에서, 소스 AMF(40)는 타깃 AMF(40)를 선택하고, 타깃 AMF(40)로부터 그 자신 및 모든 이전 세션들을 차폐하기 위해 새로운 KCN 키를 도출하기로 결정한다. 이 실시예에서, 소스 AMF(40)는 KDP(예를 들어, 버전 번호)를 생성하고, KDP를 사용하여 새로운 KCN 키를 도출한다. 단계(4)에서, 소스 AMF(40)는 새로운 KCN 키를 포함하는 순방향 재배치 요청 메시지(또는 5G 등가물)를, UE 능력들과 같은 임의의 관련 보안 파라미터들과 함께 송신한다. 타깃 AMF(40)는 새로운 보안 콘텍스트를 셋업하고 새로운 AS 키를 도출하기 위해, 이러한 KCN 키를 사용한다. 소스 AMF(40)는 새로운 AMF(40)에 KDP를 제공하지 않는다. 대신에, 단계(8)에서, 소스 AMF(40)는 소스 기지국(25)에 핸드오버 커맨드를 송신하며, 여기서 핸드오버 커맨드는 KCI에 추가하여 또는 그것을 대신하여 KDP를 포함한다. 위에서 언급된 바와 같이, KDP는 암시적인 KCI의 역할을 할 수 있다. KCI 및/또는 KDP에 응답하여, UE(70)는 새로운 보안 콘텍스트를 확립하고, KDP를 사용하여 새로운 KCN을 도출한다. UE(70)는 타깃 기지국(25)과 통신하기 위한 새로운 AS 키를 도출하기 위해, 새로운 KCN 키를 사용할 수 있다.
LTE 시스템들에서, 타깃 AMF(40)에서의 NAS 알고리즘 변경은 NAS SMC 절차를 통해서만 시행될 수 있다. UE(70) 능력들은 다른 UE(70) 콘텍스트 정보와 함께 타깃 AMF(40)에 송신되므로, 타깃 AMF(40)가 어떠한 새로운 NAS 알고리즘들이 선택되었는지를 나타내는 것이 가능하다. 도 7은 타깃 AMF(40)가 하나 이상의 새로운 NAS 보안 알고리즘(예를 들어, 암호 알고리즘)을 선택하는 예시적인 핸드오버 절차를 도시한다. 단계들(1-4)은 도 2에 설명된 것과 동일하다. 단계(5)에서, 타깃 AMF(40)는 하나 이상의 새로운 NAS 보안 알고리즘을 선택한다. 단계들(6 및 7)은 도 2의 단계들(5 및 6)과 동일하다. 단계(8)에서, 타깃 AMF(40)는 소스 AMF(40)에 송신된 순방향 재배치 응답 메시지의 소스 정보 요소에 대해 투명 컨테이너 내에 새로운 보안 알고리즘의 표시를 포함시킨다. 이 컨테이너는 단계들(9 및 10)에서 UE(70)까지 계속 포워딩된다. 보안 알고리즘 표시는 핸드오버 커맨드 내에서 KCI와 함께, 또는 별도의 메시지에 포함될 수 있다. 결과적으로, UE(70)는 NAS SMC 절차를 필요로 하지 않고서 타깃 AMF(40)와의 NAS 보안 콘텍스트를 활성화하기 위해 필요한 모든 파라미터를 갖는다. 이러한 메커니즘은 KCN 키가 도출되는 방법에 상관없이 작용한다.
도 8은 유휴 모드의 UE(70)가 AMF들(40)을 변경할 때 보안 콘텍스트를 전송하기 위한 예시적인 절차를 도시한다. 이 절차는 도 3에 도시된 절차와 유사하다. EPS에서, 유휴 모드 동안의 위치 업데이트는 트래킹 영역 업데이트(TAU) 요청에서 UE(70)에 의해 나타내어진다. 5G에서, UE(70)는 TS 23.502, §4.1.1.2에 규정된 바와 같이, "이동성 등록" 타입의 등록 요청을 사용할 것으로 예상된다.
단계(1)에서, UE(70)는 새로운 AMF(40)(즉, 타깃 AMF)에 등록 요청(등록 타입 = 이동성 등록, 다른 파라미터들)을 송신한다. 본 기술분야의 통상의 기술자는 위치 업데이트를 개시하기 위해 다른 메시지들이 송신될 수 있음을 알 것이다. 등록 요청 메시지는 새로운 AMF(40)가 UE(70) 보안 콘텍스트를 현재 보유하고 있는 이전의 AMF(40)(즉, 소스 AMF)를 식별할 수 있게 하는 모든 필요한 정보를 포함한다. 단계(2)에서, 새로운 AMF(40)는 등록 요청 메시지에 응답하여, 이전의 AMF(40)에 콘텍스트 요청 메시지를 송신하여 UE(70)에 대한 보안 콘텍스트를 요청한다. 단계(3)에서, 이전의 AMF(40)는 타깃 AMF(40)로부터 그 자신 및 모든 이전의 세션들을 차폐하기 위해, 새로운 KCN 키를 도출하기로 결정한다. 결정은 운영자 특정 보안 정책에 기초할 수 있다.
대안 1로 표기된 일 실시예에서, 이전의 AMF(40)는 단계(4A)에서 콘텍스트 요청 응답 메시지를 새로운 AMF(40)에 송신한다. 콘텍스트 요청 응답 메시지는 새로운 KCN 키를 포함하는 필요한 UE(70) 보안 콘텍스트 정보를 포함한다. 콘텍스트 요청 응답 메시지는 NAS 키, 즉 KCN이 변경되었음을 나타내는 KCI, 및 새로운 KCN 키를 도출하기 위해 사용된 KDP를 더 포함한다. 이전의 KCN 키는 새로운 AMF(40)에 송신되지 않는다. 새로운 AMF(40)는 새로운 보안 콘텍스트를 확립하기 위해 새로운 KCN 키를 사용하고, TS 33.401, §7.2.4.4에 규정된 바와 같이 UE(70)와 NASSMC 절차 또는 유사한 절차를 수행함으로써 새로운 보안 콘텍스트를 활성화한다. 단계(5A)에서, KCI 및 KDP(예를 들면, 신선도 파라미터 또는 넌스)는 NAS SMC 절차의 제1 다운링크 메시지 또는 NAS SMC 절차의 다른 다운링크 메시지에서 UE(70)에 송신된다. KCI는 UE(70)에게 KCN 키가 변경되었음을 나타낸다. KDP는 새로운 KCN 키를 도출하기 위해 UE(70)에 의해 사용되는 보안 파라미터이다. 이 실시예에서, KCI 및 KDP는 별개의 파라미터이다.
대안 2로 표기된 다른 실시예에서, 이전의 AMF(40)는 단계(4B)에서 콘텍스트 요청 응답 메시지를 새로운 AMF(40)에 송신한다. 콘텍스트 요청 응답 메시지는 새로운 KCN 키를 포함하는 필요한 UE(70) 보안 콘텍스트 정보를 포함한다. 콘텍스트 요청 응답 메시지는 NAS 키, 즉 KCN이 변경되었음을 암시적으로 나타내는 KDP를 더 포함한다. 이전의 KCN 키는 새로운 AMF(40)에 송신되지 않는다. 새로운 AMF(40)는 새로운 보안 콘텍스트를 확립하기 위해 새로운 KCN 키를 사용하고, TS 33.401, §7.2.4.4에 규정된 바와 같이 UE(70)와 NAS SMC 또는 유사한 절차를 수행함으로써 새로운 보안 콘텍스트를 활성화한다. 단계(5B)에서, 새로운 AMF(40)는 NAS SMC 절차의 제1 다운링크 메시지 또는 NAS SMC 절차의 소정의 다른 다운링크 메시지에서 UE(70)에 KDP(예를 들어, 신선도 파라미터 또는 넌스)를 송신한다. KDP는 NAS 키가 변경되었음을 UE(70)에 나타내기 위한 키 변경 표시로서 기능한다. UE(70)는 새로운 KCN 키를 도출하기 위해 KDP 및 자신의 이전의 KCN 키를 사용한다.
도 9는 무선 통신 네트워크(10)의 액세스 네트워크 내의 소스 기지국(25)에 의해 핸드오버 동안 구현되는 예시적인 방법(100)을 도시한다. 소스 기지국(25)은 UE(70)의 핸드오버를 개시하기 위해, 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 소스 AMF(40)에 제1 핸드오버 메시지를 송신한다[블록(105)]. 후속하여, 소스 기지국(25)은 제1 핸드오버 메시지에 응답하여, 소스 AMF(40)로부터 제2 핸드오버 메시지를 수신한다[블록(110)]. 제2 핸드오버 메시지는 비-액세스 계층 키(예를 들어, KCN)가 변경되었음을 나타내는 KCI를 포함한다. 소스 기지국(25)은 제2 핸드오버 메시지를 KCI와 함께 UE(70)에 포워딩한다[블록(115)].
방법(100)의 일부 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함한다. 다른 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함한다. 보안 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다.
방법(100)의 일부 실시예들은 소스 AMF(40)로부터 새로운 비-액세스 계층 키를 생성하기 위해 UE(70)가 필요로 하는 KDP를 수신하는 단계, 및 UE(70)에 KDP를 포워딩하는 단계를 더 포함한다. 일부 예들에서, KDP는 제2 핸드오버 메시지에서 KCI와 함께 수신된다. KDP는 예를 들어 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다. 일부 실시예들에서, 키 도출은 암시적인 KCI의 역할을 한다.
방법(100)의 일부 실시예들은 소스 AMF(40)로부터 UE(70)에 의해 사용될 적어도 하나의 보안 알고리즘을 나타내는 보안 알고리즘 파라미터를 수신하는 단계, 및 보안 알고리즘 파라미터를 UE(70)에 포워딩하는 단계를 더 포함한다. 일례에서, 보안 알고리즘 파라미터는 제2 핸드오버 메시지에서 KCI와 함께 수신된다.
방법(100)의 일 실시예에서, 제1 핸드오버 메시지는 UE(70)의 핸드오버에 대한 필요성을 나타내는 핸드오버 요구 메시지를 포함한다.
방법(100)의 일 실시예에서, 제2 핸드오버 메시지는 KCI를 포함하는 핸드오버 커맨드를 포함한다.
방법(100)의 일 실시예에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 10은 도 9에 도시된 방법(100)을 수행하도록 구성된 예시적인 기지국(120)이다. 기지국(120)은 송신 유닛(125), 수신 유닛(130), 및 포워딩 유닛(135)을 포함한다. 송신 유닛(125)은 UE(70)의 핸드오버를 개시하기 위해, 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 소스 AMF(40)에 제1 핸드오버 메시지를 송신하도록 구성된다. 수신 유닛(130)은 제1 핸드오버 메시지에 응답하여, 소스 AMF(40)로부터 제2 핸드오버 메시지를 수신하도록 구성된다. 포워딩 유닛(135)은 제2 핸드오버 메시지를 KCI와 함께 UE(70)에 포워딩하도록 구성된다. KCI는 비-액세스 계층 키(예를 들어, KCN)의 변경을 나타낸다. 송신 유닛(125), 수신 유닛(130) 및 포워딩 유닛(135)은 도 9에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 송신 유닛(125), 수신 유닛(130), 및 포워딩 유닛(135)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 송신 유닛(125), 수신 유닛(130), 및 포워딩 유닛(135)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 11은 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 소스 AMF(40)에 의해 핸드오버 동안 구현되는 예시적인 방법(150)을 도시한다. 소스 AMF(40)는 소스 기지국(25)으로부터, UE(70)의 핸드오버가 필요함을 나타내는 제1 핸드오버 메시지를 수신한다[블록(155)]. 소스 AMF는 새로운 비-액세스 계층 키(예를 들어, KCN)를 생성하고[블록(160)], 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 AMF(40)에 새로운 비-액세스 계층 키를 송신한다[블록(165)]. 소스 AMF(40)는 또한 제2 핸드오버 메시지에서 KCI를 UE(70)에 송신한다[블록(170)]. KCI는 비-액세스 계층 키의 변경을 나타낸다.
방법(150)의 일부 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키로부터 새로운 비-액세스 계층 키를 생성하는 단계를 포함한다. 다른 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키 및 KDP로부터 새로운 비-액세스 계층 키를 생성하는 단계를 포함한다. 일부 실시예들에서, 소스 AMF는 제2 핸드오버 메시지에서 KDP를 KCI와 함께 UE(70)에 송신한다.
방법(150)의 일부 실시예들은 타깃 AMF(40)를 선택하는 단계, 및 타깃 AMF(40)의 선택에 의존하여 새로운 비-액세스 계층 키를 생성하는 단계를 더 포함한다.
방법(150)의 일부 실시예들은 상이한 타깃 AMF들(40)에 대해 각각 2개 이상의 비-액세스 계층 키를 생성하는 단계를 더 포함한다. 일례에서, 2개 이상의 비-액세스 계층 키는 상이한 KDP들을 사용하여 생성된다.
방법(150)의 일부 실시예들은 하나 이상의 보안 파라미터를 타깃 AMF(40)에 송신하는 단계를 더 포함한다. 일례에서, 하나 이상의 보안 파라미터는 제2 핸드오버 메시지에서 타깃 AMF(40)에 전송된다. 일례에서, 하나 이상의 보안 파라미터는 UE 능력 정보를 포함한다.
방법(150)의 일부 실시예들은 타깃 AMF(40)로부터 적어도 하나의 보안 알고리즘을 나타내는 보안 알고리즘 파라미터를 수신하는 단계, 및 보안 알고리즘 파라미터를 UE(70)에 포워딩하는 단계를 더 포함한다. 다른 예에서, 보안 알고리즘 파라미터는 순방향 재배치 응답 메시지에서 타깃 AMF(40)로부터 수신된다.
방법(150)의 일 실시예에서, 제1 핸드오버 메시지는 UE(70)의 핸드오버에 대한 필요성을 나타내는 핸드오버 요구 메시지를 포함한다.
방법(150)의 일 실시예에서, 제2 핸드오버 메시지는 KCI를 포함하는 핸드오버 커맨드를 포함한다.
방법(150)의 일 실시예에서, 새로운 비-액세스 계층 키는 순방향 재배치 요청 메시지에서 타깃 AMF(40)에 송신된다.
방법(150)의 일 실시예에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 12는 도 11에 도시된 방법(150)을 수행하도록 구성된 예시적인 소스 AMF(175)이다. 소스 AMF(175)는 수신 유닛(180), 키 생성 유닛(185), 제1 송신 유닛(190), 및 제2 송신 유닛(195)을 포함한다. 수신 유닛(180)은 소스 기지국(25)으로부터 UE(70)의 핸드오버가 필요함을 나타내는 제1 핸드오버 메시지를 수신하도록 구성된다. 키 생성 유닛(185)은 본 명세서에 설명된 바와 같이 새로운 비-액세스 계층 키(예를 들어, KCN)를 생성하도록 구성된다. 제1 송신 유닛(190)은 새로운 비-액세스 계층 키를 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 AMF(40)에 송신하도록 구성된다. 제2 송신 유닛(195)은 제2 핸드오버 메시지 내에서 KCI를 UE(70)에 송신하도록 구성된다. KCI는 비-액세스 계층 키의 변경을 나타낸다. 수신 유닛(180), 키 생성 유닛(185), 제1 송신 유닛(190) 및 제2 송신 유닛(195)은도 11에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 수신 유닛(180), 키 생성 유닛(185), 제1 송신 유닛(190), 및 제2 송신 유닛(195)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 수신 유닛(180), 키 생성 유닛(185), 제1 송신 유닛(190), 및 제2 송신 유닛(195)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 13은 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 AMF(40)에 의해 핸드오버 동안 구현되는 예시적인 방법(200)을 도시한다. 타깃 AMF(40)는 소스 AMF(40)로부터 새로운 비-액세스 계층 키(예를 들어, KCN)를 수신한다[블록(205)]. 타깃 AMF는 새로운 비-액세스 계층 키로부터 도출된 새로운 액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하고[블록(210)], 새로운 액세스 계층 키를 타깃 기지국(25)에 송신한다[블록(215)].
방법(200)의 일부 실시예들은 소스 이동성 관리 펑션으로부터 하나 이상의 보안 파라미터를 수신하는 단계를 더 포함한다. 일례에서, 하나 이상의 보안 파라미터는 UE 능력 정보를 포함한다. 일 실시예에서, 보안 파라미터들은 새로운 비-액세스 계층 키와 함께 수신된다.
방법(200)의 일부 실시예들에서, 새로운 보안 콘텍스트를 확립하는 단계는 하나 이상의 보안 알고리즘을 선택하는 단계를 포함한다. 일례에서, 보안 알고리즘들 중 적어도 하나는 UE 능력 정보에 기초하여 선택된다.
방법(200)의 일부 실시예들은 새로운 보안 콘텍스트에 대해 적어도 하나의 보안 알고리즘을 나타내는 보안 알고리즘 파라미터를 소스 이동성 관리 펑션에 송신하는 단계를 더 포함한다.
방법(200)의 일부 실시예들에서, 새로운 비-액세스 계층 키는 순방향 재배치 요청 메시지에서 소스 이동성 관리 펑션으로부터 수신된다.
방법(200)의 일부 실시예들에서, 새로운 액세스 계층 키는 핸드오버 요청에서 타깃 기지국에 송신된다.
방법(200)의 일부 실시예들에서, 보안 알고리즘 파라미터는 순방향 재배치 응답 메시지에서 소스 이동성 관리 펑션에 송신된다.
방법(200)의 일부 실시예들에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 14는 도 13에 도시된 방법(200)을 수행하도록 구성된 예시적인 타깃 AMF(220)이다. 타깃 AMF(220)는 수신 유닛(225), 보안 유닛(230), 및 송신 유닛(235)을 포함한다. 수신 유닛(225)은 소스 AMF(40)로부터, 새로운 비-액세스 계층 키(예를 들어, KCN)를 수신하도록 구성된다. 보안 유닛(230)은 새로운 비-액세스 계층 키로부터 도출된 새로운 액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하도록 구성된다. 송신 유닛(235)은 새로운 액세스 계층 키를 타깃 기지국(25)에 송신하도록 구성된다. 수신 유닛(225), 보안 유닛(230), 및 송신 유닛(235)은 도 13에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 수신 유닛(225), 보안 유닛(230), 및 송신 유닛(235)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 수신 유닛(225), 보안 유닛(230), 및 송신 유닛(235)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 15는 핸드오버 동안 무선 통신 네트워크(10) 내의 UE(70)에 의해 구현되는 예시적인 방법(250)을 도시한다. UE(70)는 무선 통신 네트워크(10)의 소스 AMF(40)의 도메인 내의 소스 기지국(25)으로부터 KCI를 포함하는 핸드오버 메시지를 수신한다[블록(255)]. KCI는 비-액세스 계층 키(예를 들어, KCN)가 변경되었음을 UE(70)에 나타낸다. UE(70)는 소스 기지국(25)으로부터 타깃 AMF(40)의 도메인 내의 타깃 기지국(25)으로의 핸드오버를 수행한다[블록(260)]. UE(70)는 KCI에 응답하여, 타깃 AMF(40)와 새로운 보안 콘텍스트를 확립한다[블록(265)]. 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함한다. UE(70)는 새로운 비-액세스 계층 키를 사용하여 타깃 AMF(40)와 임의로 통신할 수 있다[블록(270)].
방법(250)의 일부 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함한다. 다른 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함한다. 보안 파라미터는 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 KDP를 포함한다.
방법(250)의 일부 실시예들은 KDP를 사용하여 새로운 비-액세스 계층 키를 생성하는 단계를 더 포함한다. 일례에서, KDP는 UE(70) 및 소스 AMF에 알려진 넌스, 타임스탬프, 신선도 파라미터, 버전 번호, 및 정적 정보 중 하나를 포함한다. 일부 실시예들에서, KDP는 제2 핸드오버 메시지에서 KCI와 함께 수신된다. 일부 실시예들에서, KDP는 암시적인 KCI의 역할을 한다.
방법(250)의 일부 실시예들은 새로운 비-액세스 계층 키로부터 새로운 액세스 계층 키를 생성하는 단계, 및 새로운 액세스 계층 키를 사용하여 타깃 기지국(25)과 통신하는 단계를 더 포함한다.
방법(250)의 일부 실시예들은 새로운 보안 콘텍스트에서 사용되는 하나 이상의 보안 알고리즘을 식별하는 보안 알고리즘 파라미터를 소스 기지국(25)으로부터 수신하는 단계를 더 포함한다. 일례에서, 보안 알고리즘 파라미터는 KCI와 함께 핸드오버 메시지에서 수신된다.
방법(250)의 일부 실시예들에서, 핸드오버 메시지는 핸드오버 커맨드를 포함한다.
방법(250)의 일부 실시예들에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 16은 도 15에 도시된 방법(250)을 수행하도록 구성된 예시적인 UE(275)이다. UE(275)는 수신 유닛(280), 핸드오버 유닛(285), 및 보안 유닛(290)을 포함한다. 수신 유닛(280)은 무선 통신 네트워크(10)의 소스 AMF(40)의 도메인 내의 소스 기지국(25)으로부터 KCI를 포함하는 핸드오버 메시지를 수신하도록 구성된다. KCI는 비-액세스 계층 키(예를 들어, KCN)가 변경되었음을 UE(70)에 나타낸다. 핸드오버 유닛(285)은 소스 기지국(25)으로부터 타깃 AMF(40)의 도메인 내의 타깃 기지국(25)으로의 핸드오버를 수행하도록 구성된다. 보안 유닛(290)은 KCI에 응답하여 타깃 AMF(40)와 새로운 보안 콘텍스트를 확립하도록 구성된다. 또한, UE(275)는 새로운 비-액세스 계층 키를 사용하여 타깃 AMF(40)와 통신하도록 구성된 통신 유닛(295)을 임의로 포함할 수 있다. 수신 유닛(280), 핸드오버 유닛(285), 보안 유닛(290), 및 통신 유닛(290)은 도 15에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 수신 유닛(280), 핸드오버 유닛(285), 보안 유닛(290), 및 통신 유닛(290)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 수신 유닛(280), 핸드오버 유닛(285), 보안 유닛(290), 및 통신 유닛(290)은 둘 이상의 마이크로프로세서들에 의해 구현될 수 있다.
도 17은 유휴 모드의 UE(70)가 AMF들(40)을 변경할 때 통신 네트워크(10)의 코어 네트워크(30)에서 소스 AMF(40)에 의해 구현되는 예시적인 방법(300)을 도시한다. 소스 AMF(40)는 타깃 AMF(40)로부터 UE(70)에 대한 보안 콘텍스트에 대한 요청을 수신한다[블록(305)]. 소스 AMF(40)는 새로운 비-액세스 계층 키(예를 들어, KCN)를 생성하고[블록(310)], 요청에 응답하여 새로운 비-액세스 계층 키 및 KCI를 타깃 AMF(40)에 송신한다[블록(315)]. KCI는 비-액세스 계층 키의 변경을 나타낸다.
방법(300)의 일부 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키로부터 새로운 비-액세스 계층 키를 생성하는 단계를 포함한다. 다른 실시예들에서, KDP를 생성하고, 이전의 비-액세스 계층 키 및 KDP로부터 새로운 비-액세스 계층 키를 생성한다.
방법(300)의 일부 실시예들에서, 키 변경 표시는 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함한다. 다른 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함한다. 보안 파라미터는 예를 들어 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 KDP를 포함할 수 있다.
방법(300)의 일부 실시예들은 요청에 응답하여, 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 KDP를 송신하는 단계를 더 포함한다. KDP는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다.
방법(300)의 일부 실시예들은 타깃 AMF(40)를 선택하는 단계, 및 타깃 AMF(40)의 선택에 의존하여 새로운 비-액세스 계층 키를 생성하는 단계를 더 포함한다.
방법(300)의 일부 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 상이한 타깃 AMF(40)에 대해 각각 2개 이상의 비-액세스 계층 키를 생성하는 단계를 포함한다. 일례에서, 상이한 KDP들을 사용하여 2개 이상의 비-액세스 계층 키가 생성된다.
방법(300)의 일부 실시예들은 하나 이상의 보안 파라미터를 새로운 비-액세스 계층 키와 함께 타깃 AMF(40)에 송신하는 단계를 더 포함한다. 일례에서, 하나 이상의 보안 파라미터는 UE 능력 정보를 포함한다.
방법(300)의 일부 실시예들에서, 보안 콘텍스트에 대한 요청은 콘텍스트 요청 메시지에서 타깃 AMF(40)로부터 수신된다.
방법(300)의 일부 실시예들에서, 새로운 비-액세스 계층 키는 콘텍스트 요청 응답 메시지에서 타깃 AMF(40)에 송신된다.
방법(300)의 일부 실시예들에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 18은 도 17에 도시된 방법(300)을 수행하도록 구성된 예시적인 소스 AMF(320)이다. 소스 AMF(320)는 수신 유닛(325), 키 생성 유닛 유닛(330), 및 송신 유닛(335)을 포함한다. 수신 유닛(325)은 타깃 AMF(40)로부터 UE(70)에 대한 보안 콘텍스트에 대한 요청을 수신하도록 구성된다. 키 생성 유닛(330)은 새로운 비-액세스 계층 키(예를 들어, KCN)를 생성하도록 구성된다. 송신 유닛(235)은 요청에 응답하여, 새로운 비-액세스 계층 키 및 KCI를 타깃 AMF(40)에 송신하도록 구성된다. 수신 유닛(325), 키 생성 유닛(330), 및 송신 유닛(335)은 도 17에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서, 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 수신 유닛(325), 키 생성 유닛(330), 및 송신 유닛(335)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 수신 유닛(325), 키 생성 유닛(330), 및 송신 유닛(335)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 19는 유휴 모드의 UE(70)가 AMF들(40)을 변경할 때 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 AMF(40)에 의해 구현되는 예시적인 방법(350)을 도시한다. 타깃 AMF(40)는 UE(70)로부터 등록 메시지 또는 AMF 변경을 나타내는 다른 제어 메시지를 수신한다[블록(355)]. 타깃 AMF(40)는 무선 통신 네트워크 내의 소스 AMF(40)로부터 보안 콘텍스트를 요청한다[블록(360)]. 요청에 응답하여, 타깃 AMF(40)는 새로운 비-액세스 계층 키(예를 들어, KCN), 및 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신한다[블록(365)]. 타깃 AMF(40)는 KCI를 UE(70)에 송신하고[블록(370)], 새로운 비-액세스 계층 키를 포함하는 UE(70)에 대한 새로운 보안 콘텍스트를 임의로 확립한다[블록(375)].
방법(350)의 일부 실시예들은 새로운 비-액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하는 단계를 더 포함한다.
방법(350)의 일부 실시예들은 소스 AMF(40)로부터 하나 이상의 보안 파라미터를 수신하는 단계를 더 포함한다. 예에서, 하나 이상의 보안 파라미터는 UE 능력 정보를 포함한다. 다른 예에서, 보안 파라미터들은 KCI와 함께 수신된다.
방법(350)의 일부 실시예들에서, 키 변경 표시는 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함한다. 다른 실시예들에서, 키 변경 표시는 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함한다. 보안 파라미터는 예를 들어 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 KDP를 포함할 수 있다.
방법(350)의 일부 실시예들은 요청에 응답하여, 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 KDP를 수신하는 단계를 더 포함한다. 일례에서, KDP는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다. 일부 실시예들에서, 타깃 AMF(40)는 NAS SMC 메시지 내에서 KDP를 KCI와 함께 UE(70)에 송신한다.
방법(350)의 일부 실시예들에서, 새로운 보안 콘텍스트를 확립하는 단계는 부분적으로 하나 이상의 보안 알고리즘을 선택하는 단계를 포함한다. 일례에서, 보안 알고리즘들 중 적어도 하나는 UE 능력 정보에 기초하여 선택된다.
방법(350)의 일부 실시예들은 새로운 보안 콘텍스트에 대해 적어도 하나의 보안 알고리즘을 나타내는 보안 알고리즘 파라미터를 UE(70)에 송신하는 단계를 더 포함한다.
방법(350)의 일부 실시예들에서, KCI는 콘텍스트 요청 응답 메시지에서 소스 AMF(70)로부터 수신된다.
방법(350)의 일부 실시예들에서, KCI는 보안 확립 메시지에서 UE(70)에 송신된다.
방법(350)의 일부 실시예들에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 20은 도 19에 도시된 방법(350)을 수행하도록 구성된 예시적인 타깃 AMF(380)이다. 기지국(380)은 제1 수신 유닛(382), 요청 유닛(384), 제2 수신 유닛(386), 및 송신 유닛(388)을 포함한다. 제1 수신 유닛(382)은 UE(70)로부터 AMF 변경을 나타내는 등록 메시지 또는 다른 제어 메시지를 수신하도록 구성된다. 요청 유닛(384)은 등록 메시지에 응답하여 무선 통신 네트워크 내의 소스 AMF(40)로부터 보안 콘텍스트를 요청하도록 구성된다. 제2 수신 유닛(386)은 보안 콘텍스트 요청에 응답하여, 소스 AMF(40)로부터 새로운 비-액세스 계층 키, 및 비-액세스 계층 키(예를 들어, KCN)가 변경되었음을 나타내는 KCI를 수신하도록 구성된다. 송신 유닛(388)은 KCI를 UE(70)에 송신하도록 구성된다. 기지국(380)은 또한 새로운 비-액세스 계층 키를 포함하는 UE(70)에 대한 새로운 보안 콘텍스트를 확립하도록 구성된 보안 유닛(390)을 임의로 포함할 수 있다. 제1 수신 유닛(382), 요청 유닛(384), 제2 수신 유닛(386), 송신 유닛(388), 및 보안 유닛(390)은 도 19에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 제1 수신 유닛(382), 요청 유닛(384), 제2 수신 유닛(386), 송신 유닛(388), 및 보안 유닛(390)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 제1 수신 유닛(382), 요청 유닛(384), 제2 수신 유닛(386), 송신 유닛(388), 및 보안 유닛(390)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 21은 UE(70)가 AMF들(40)을 변경할 때 무선 통신 네트워크(10) 내의 유휴 모드 UE(70)에 의해 구현되는 예시적인 방법(400)을 도시한다. UE(70)는 등록 메시지 또는 다른 제어 메시지를 무선 통신 네트워크 내의 타깃 AMF(40)에 송신한다[블록(405)]. UE(70)는 등록 메시지 또는 다른 제어 메시지에 응답하여, 비-액세스 계층 키(예를 들어, KCN)가 변경되었음을 나타내는 KCI를 수신한다[블록(410)]. KCI에 응답하여, UE(70)는 새로운 비-액세스 계층 키를 생성한다[블록(415)]. 새로운 비-액세스 계층 키를 생성한 후에, UE(70)는 타깃 AMF(40)와 새로운 보안 콘텍스트를 임의로 확립할 수 있고[블록(420)] - 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함함 - , 그 후에, 새로운 비-액세스 계층 키를 사용하여 타깃 AMF(40)와 통신할 수 있다[블록(425)].
방법(350)의 일부 실시예들은 타깃 AMF(40)와 새로운 보안 콘텍스트를 확립하는 단계 - 새로운 보안 콘텍스트는 새로운 비-액세스 계층 키를 포함함 - , 및 새로운 비-액세스 계층 키를 사용하여 타깃 AMF(40)와 통신하는 단계를 더 포함한다.
방법(400)의 일부 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함한다. 다른 실시예들에서, KCI는 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함한다. 일례에서, 보안 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다.
방법(400)의 일부 실시예들은 타깃 AMF(40)로부터 KDP를 수신하는 단계, 및 KDP를 사용하여 새로운 비-액세스 계층 키를 생성하는 단계를 더 포함한다. 일례에서, KDP는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함한다. 다른 예에서, KDP는 KCI와 함께 수신된다. 일부 실시예들에서, KDP는 암시적인 KCI의 역할을 한다.
방법(400)의 일부 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키로부터 새로운 비-액세스 계층 키를 생성하는 단계를 포함한다. 방법(400)의 다른 실시예들에서, 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키 및 KDP로부터 새로운 비-액세스 계층 키를 생성하는 단계를 포함한다. 다양한 실시예들에서, KDP는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 적어도 하나를 포함한다. 다른 실시예들에서, KDP는 UE(70) 및 소스 AMF(40)에 알려진 정적 정보를 포함한다.
방법(400)의 일부 실시예들은 새로운 보안 콘텍스트에서 사용되는 하나 이상의 보안 알고리즘을 식별하는 보안 알고리즘 파라미터를 타깃 AMF(40)로부터 수신하는 단계를 더 포함한다. 일례에서, 보안 알고리즘 파라미터는 KCI와 함께 수신된다.
방법(400)의 일부 실시예들에서, 새로운 비-액세스 계층 키는 보안 확립 메시지에서 수신된다.
방법(400)의 일부 실시예들에서, 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함한다.
도 22는 도 21에 도시된 방법(400)을 수행하도록 구성된 예시적인 UE(430)이다. UE(430)는 송신 유닛(435), 수신 유닛(440), 및 키 생성 유닛(445)을 포함한다. 송신 유닛(435)은 등록 메시지 또는 다른 제어 메시지를 무선 통신 네트워크 내의 타깃 AMF(40)에 송신하도록 구성된다. 수신 유닛(440)은 등록 메시지 또는 다른 제어 메시지에 응답하여, 비-액세스 계층 키가 변경되었음을 나타내는 KCI를 수신하도록 구성된다. 키 생성 유닛(445)은 KCI에 응답하여 새로운 비-액세스 계층 키를 생성하도록 구성된다. UE(430)는 또한 타깃 AMF(40)와 새로운 보안 콘텍스트를 확립하도록 구성된 보안 유닛(450), 및 새로운 비-액세스 계층 키를 사용하여 타깃 AMF(40)와 통신하도록 구성된 통신 유닛(350)을 임의로 포함할 수 있다. 송신 유닛(435), 수신 유닛(440), 키 생성 유닛(445), 보안 유닛(450) 및 통신 유닛(455)은 도 9에 도시된 방법을 수행하도록 구성된 하드웨어 회로, 마이크로프로세서 및/또는 소프트웨어를 포함할 수 있다. 일부 실시예들에서, 송신 유닛(435), 수신 유닛(440), 키 생성 유닛(445), 보안 유닛(450), 및 통신 유닛(455)은 단일 마이크로프로세서에 의해 구현된다. 다른 실시예들에서, 송신 유닛(435), 수신 유닛(440), 키 생성 유닛(445), 보안 유닛(450), 및 통신 유닛(455)은 둘 이상의 마이크로프로세서에 의해 구현될 수 있다.
도 23은 본 명세서에 설명된 보안 콘텍스트 취급 방법들을 구현하도록 구성된 기지국(500)의 주요 기능 컴포넌트들을 도시한다. 기지국(500)은 처리 회로(510), 메모리(530), 및 인터페이스 회로(540)를 포함한다.
인터페이스 회로(540)는 하나 이상의 안테나(550)에 연결된 라디오 주파수(RF) 인터페이스 회로(545)를 포함한다. RF 인터페이스 회로(550)는 무선 통신 채널을 통해 UE들(70)과 통신하기 위해 필요한 라디오 주파수(RF) 컴포넌트들을 포함한다. 전형적으로, RF 컴포넌트들은 5G 표준 또는 다른 라디오 액세스 기술(RAT)에 따른 통신에 맞춰 적응된 송신기 및 수신기를 포함한다. 인터페이스 회로(540)는 무선 통신 네트워크(10)의 코어 네트워크 노드들과 통신하기 위한 네트워크 인터페이스 회로(555)를 더 포함한다.
처리 회로(510)는 기지국(500)에 전송되거나 기지국에 의해 수신된 신호들을 처리한다. 그러한 처리는 전송된 신호들의 코딩 및 변조, 및 수신된 신호들의 복조 및 디코딩을 포함한다. 처리 회로(510)는 하나 이상의 마이크로프로세서, 하드웨어, 펌웨어, 또는 이들의 조합을 포함할 수 있다. 처리 회로(510)는 핸드오버 관련 기능들을 수행하기 위한 이동성 유닛(515)을 포함한다. 이동성 유닛(515)은 이동성 관련 기능들에 전용인 처리 회로를 포함한다. 이동성 유닛(515)은 도 2, 도 6, 도 7 및 도 9에 도시된 방법들을 포함하여, 본 명세서에 설명된 것과 같은 방법들 및 절차들을 수행하도록 구성된다.
메모리(530)는 동작을 위해 처리 회로(510)가 필요로 하는 컴퓨터 프로그램 코드 및 데이터를 저장하기 위해 휘발성 및 비휘발성 메모리 둘 다를 포함한다. 메모리(530)는 전자, 자기, 광학, 전자기 또는 반도체 데이터 저장소를 포함하는, 데이터를 저장하기 위한 임의의 유형의(tangible) 비일시적 컴퓨터 판독가능한 저장 매체를 포함할 수 있다. 메모리(530)는 도 2, 6, 7 및 9에 따른 방법(100)을 포함하여, 본 명세서에 설명된 방법들 및 절차들을 구현하도록 처리 회로(510)를 구성하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램(535)을 저장한다. 일반적으로, 컴퓨터 프로그램 명령어 및 구성 정보는 판독 전용 메모리(ROM), 소거가능하고 프로그래밍가능한 판독 전용 메모리(EPROM) 또는 플래시 메모리와 같은 비휘발성 메모리에 저장된다. 동작 동안 생성되는 임시 데이터는 랜덤 액세스 메모리(RAM)와 같은 휘발성 메모리 내에 저장될 수 있다. 일부 실시예들에서, 본 명세서에 설명된 바와 같이 처리 회로(510)를 구성하기 위한 컴퓨터 프로그램(535)은 휴대용 컴팩트 디스크, 휴대용 디지털 비디오 디스크, 또는 다른 이동식 매체와 같은 이동식 메모리에 저장될 수 있다. 컴퓨터 프로그램(535)은 또한 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능한 저장 매체와 같은 캐리어에 구현될 수 있다.
도 24는 본 명세서에 설명된 보안 콘텍스트 취급 절차들을 구현하도록 구성된 무선 통신 네트워크(10) 내의 코어 네트워크 노드(600)의 주요 기능적 컴포넌트들을 도시한다. 코어 네트워크 노드(600)는 본 명세서에 설명된 것과 같은 소스 AMF(40) 및 타깃 AMF(40)와 같은 코어 네트워크 기능들을 구현하기 위해 사용될 수 있다. 본 기술분야의 통상의 기술자들은 AMF(40)와 같은 코어 네트워크 기능이 단일 코어 네트워크 노드에 의해 구현될 수 있거나 둘 이상의 코어 네트워크 노드 사이에 분산될 수 있음을 알 것이다.
코어 네트워크 노드(600)는 처리 회로(610), 메모리(630), 및 인터페이스 회로(640)를 포함한다. 인터페이스 회로(640)는 RAN 내의 다른 코어 네트워크 노드들 및 기지국(25)과의 통신을 가능하게 하는 네트워크 인터페이스 회로(645)를 포함한다.
처리 회로(610)는 코어 네트워크 노드(600)의 동작을 제어한다. 처리 회로(610)는 하나 이상의 마이크로프로세서, 하드웨어, 펌웨어, 또는 이들의 조합을 포함할 수 있다. 처리 회로(610)는 NAS 관련 보안 기능들을 취급하는 NAS 보안 유닛(615), 및 이동성 관리 기능들을 취급하는 이동성 관리 유닛(620)을 포함할 수 있다. 일반적으로, NAS 보안 유닛(615)은 보안 키들을 도출하고, 보안 콘텍스트를 확립하며, 다른 관련 보안 기능들을 담당한다. 이동성 관리 유닛(620)은 이동성 관리 기능들 및 관련 시그널링을 취급하는 것을 담당한다. 앞에서 설명된 바와 같이, NAS 보안 유닛(615)은 UE(70)에 송신될 NAS 키들, KDP들 및 다른 보안 파라미터들과 같은 정보를 이동성 관리 유닛(620)에 제공할 수 있다. 일부 실시예들에서, NAS 보안 유닛(615) 및 이동성 관리 유닛(620)은 동일한 코어 네트워크 노드에 상주할 수 있다. 다른 실시예들에서, 이들은 상이한 코어 네트워크 노드들에 상주 할 수 있다. 하나의 예시적인 실시예에서, NAS 보안 유닛(615) 및 이동성 관리 유닛(620)은 도 2, 3, 6-8, 11, 13, 17 및 19에 도시된 방법들을 포함하여, 본 명세서에 설명된 방법들 및 절차들을 수행하도록 구성된다.
메모리(630)는 동작을 위해 처리 회로(610)가 필요로 하는 컴퓨터 프로그램 코드 및 데이터를 저장하기 위해 휘발성 및 비휘발성 메모리 둘 다를 포함한다. 메모리(630)는 전자, 자기, 광학, 전자기 또는 반도체 데이터 저장소를 포함하는, 데이터를 저장하기 위한 임의의 유형의 비일시적 컴퓨터 판독가능한 저장 매체를 포함할 수 있다. 메모리(630)는 도 2, 3, 6-8, 11, 13, 17 및 19에 따른 방법들을 포함하여, 본 명세서에 설명된 방법들 및 절차들을 구현하도록 처리 회로(610)를 구성하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램(635)을 저장한다. 일반적으로, 컴퓨터 프로그램 명령어 및 구성 정보는 판독 전용 메모리(ROM), 소거가능하고 프로그래밍가능한 판독 전용 메모리(EPROM) 또는 플래시 메모리와 같은 비휘발성 메모리에 저장된다. 동작 동안 생성되는 임시 데이터는 랜덤 액세스 메모리(RAM)와 같은 휘발성 메모리 내에 저장될 수 있다. 일부 실시예들에서, 본 명세서에 설명된 바와 같이 처리 회로(610)를 구성하기 위한 컴퓨터 프로그램(635)은 휴대용 컴팩트 디스크, 휴대용 디지털 비디오 디스크, 또는 다른 이동식 매체와 같은 이동식 메모리에 저장될 수 있다. 컴퓨터 프로그램(635)은 또한 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능한 저장 매체와 같은 캐리어에 구현될 수 있다.
도 25는 본 명세서에 설명된 보안 콘텍스트 취급 방법을 구현하도록 구성된 UE(700)의 주요 기능 컴포넌트들을 도시한다. UE(700)는 처리 회로(710), 메모리(730), 및 인터페이스 회로(740)를 포함한다.
인터페이스 회로(740)는 하나 이상의 안테나(750)에 연결된 라디오 주파수(RF) 인터페이스 회로(745)를 포함한다. RF 인터페이스 회로(745)는 라디오 통신 채널을 통해 UE들(70)과 통신하기 위해 필요한 무선 주파수(RF) 컴포넌트들을 포함한다. 전형적으로, RF 컴포넌트들은 5G 표준 또는 다른 라디오 액세스 기술(RAT)에 따른 통신에 맞춰 적응된 송신기 및 수신기를 포함한다.
처리 회로(710)는 UE(700)에 전송되거나 UE에 의해 수신된 신호들을 처리한다. 그러한 처리는 전송된 신호들의 코딩 및 변조, 및 수신된 신호들의 복조 및 디코딩을 포함한다. 처리 회로(710)는 하나 이상의 마이크로프로세서, 하드웨어, 펌웨어, 또는 이들의 조합을 포함할 수 있다. 처리 회로(710)는 NAS 관련 보안 기능들을 취급하는 NAS 보안 유닛(715), 및 이동성 관리 기능들을 취급하는 이동성 관리 유닛(720)을 포함할 수 있다. 일반적으로, NAS 보안 유닛(715)은 본 명세서에 설명된 바와 같이 보안 키를 도출하고, 보안 콘텍스트를 확립하며, 다른 보안 기능들을 담당한다. 이동성 관리 유닛(720)은 이동성 관리 기능들 및 관련 시그널링을 취급하는 역할을 한다. 하나의 예시적인 실시예에서, NAS 보안 유닛(715) 및 이동성 관리 유닛(720)은 도 2, 3, 6-8, 15 및 21에 도시된 방법을 포함하여, 본 명세서에 설명된 방법들 및 절차들을 수행하도록 구성된다.
메모리(730)는 동작을 위해 처리 회로(710)가 필요로 하는 컴퓨터 프로그램 코드 및 데이터를 저장하기 위해 휘발성 및 비휘발성 메모리 둘 다를 포함한다. 메모리(730)는 전자, 자기, 광학, 전자기 또는 반도체 데이터 저장소를 포함하는, 데이터를 저장하기 위한 임의의 유형의 비일시적 컴퓨터 판독가능한 저장 매체를 포함할 수 있다. 메모리(730)는 도 2, 3, 6-8, 15 및 21에 따른 방법(100)을 포함하여, 본 명세서에 설명된 방법 및 절차를 구현하도록 처리 회로(710)를 구성하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램(735)을 저장한다. 일반적으로, 컴퓨터 프로그램 명령어 및 구성 정보는 판독 전용 메모리(ROM), 소거가능하고 프로그래밍가능한 판독 전용 메모리(EPROM) 또는 플래시 메모리와 같은 비휘발성 메모리에 저장된다. 동작 동안 생성된 임시 데이터는 랜덤 액세스 메모리(RAM)와 같은 휘발성 메모리에 저장될 수 있다. 일부 실시예들에서, 본 명세서에 설명된 바와 같이 처리 회로(710)를 구성하기 위한 컴퓨터 프로그램(735)은 휴대용 컴팩트 디스크, 휴대용 디지털 비디오 디스크, 또는 다른 이동식 매체와 같은 이동식 메모리에 저장될 수 있다. 컴퓨터 프로그램(735)은 또한 전자 신호, 광학 신호, 라디오 신호 또는 컴퓨터 판독가능한 저장 매체와 같은 캐리어에 구현될 수 있다.

Claims (102)

  1. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 하나 이상의 코어 네트워크 노드(320, 600)에 의해 구현되는, 유휴 모드의 사용자 장비(70, 430, 700)에 대한 보안 콘텍스트를 전송하기 위한 방법(300)으로서,
    상기 하나 이상의 코어 네트워크 노드(320, 600)는 소스 이동성 관리 펑션(40)을 제공하고, 상기 방법은:
    상기 무선 통신 네트워크(10)의 코어 네트워크 내의 타깃 이동성 관리 펑션(40)으로부터, 사용자 장비(70, 430, 700)에 대한 보안 콘텍스트에 대한 요청을 수신하는 단계(305);
    새로운 비-액세스 계층 키(non-access stratum key)를 생성하는 단계(310); 및
    상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키 및 키 변경 표시를 상기 타깃 이동성 관리 펑션(40)에 송신하는 단계(315) - 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타냄 -
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 키로부터 상기 새로운 비-액세스 계층 키를 생성하는 단계를 포함하는, 방법(300).
  3. 제1항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는:
    키 도출 파라미터(key derivation parameter)를 생성하는 단계; 및
    이전의 비-액세스 계층 키 및 상기 키 도출 파라미터로부터 상기 새로운 비-액세스 계층 키를 생성하는 단계
    를 포함하는, 방법(300).
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 방법.
  5. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 방법.
  6. 제5항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 방법.
  7. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 송신하는 단계를 더 포함하는, 방법.
  8. 제6항 또는 제7항에 있어서, 상기 키 도출 파라미터는 넌스(nonce), 타임스탬프(timestamp), 신선도 파라미터(freshness parameter), 및 버전 번호 중 하나를 포함하는, 방법.
  9. 제1항 내지 제6항 중 어느 한 항에 있어서, 하나 이상의 보안 파라미터를 상기 새로운 비-액세스 계층 키와 함께 상기 타깃 이동성 관리 펑션(40)에 송신하는 단계를 더 포함하는 방법(300).
  10. 제9항에 있어서, 상기 하나 이상의 보안 파라미터는 사용자 장비 능력 정보를 포함하는, 방법(300).
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 보안 콘텍스트에 대한 요청은 콘텍스트 요청 메시지에서 상기 타깃 이동성 관리 펑션(40)으로부터 수신되는, 방법(300).
  12. 제1항 내지 제11항 중 어느 한 항에 있어서, 상기 새로운 비-액세스 계층 키는 콘텍스트 요청 응답 메시지에서 상기 타깃 이동성 관리 펑션(40)에 송신되는, 방법(300).
  13. 제1항 내지 제12항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 방법(300).
  14. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 코어 네트워크 노드(320, 600)로서,
    상기 코어 네트워크 노드(320, 600)는 소스 이동성 관리 펑션(40)을 제공하고, 상기 코어 네트워크 노드(320, 600)는:
    상기 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 이동성 관리 펑션(40)과 통신하기 위한 인터페이스 회로(640); 및
    처리 회로(610)
    를 포함하고, 상기 처리 회로는:
    타깃 이동성 관리 펑션(40)으로부터, 사용자 장비(70, 430, 700)에 대한 보안 콘텍스트에 대한 요청을 수신하고;
    새로운 비-액세스 계층 키를 생성하고;
    상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키 및 키 변경 표시를 상기 타깃 이동성 관리 펑션(40)에 송신하도록
    구성되는, 코어 네트워크 노드.
  15. 제14항에 있어서, 상기 처리 회로(610)는 이전의 비-액세스 계층 키로부터 상기 새로운 비-액세스 계층 키를 생성하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  16. 제14항에 있어서, 상기 처리 회로(610)는:
    키 도출 파라미터를 생성하고,
    이전의 비-액세스 계층 키 및 상기 키 도출 파라미터로부터 새로운 비-액세스 계층 키를 생성함으로써,
    새로운 비-액세스 계층 키를 생성하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  17. 제14항 내지 제16항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 코어 네트워크 노드(320, 600).
  18. 제14항 내지 제16항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 코어 네트워크 노드(320, 600).
  19. 제18항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 코어 네트워크 노드(320, 600).
  20. 제14항 내지 제16항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 송신하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  21. 제19항 또는 제20항에 있어서, 상기 키 도출 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함하는, 코어 네트워크 노드(320, 600).
  22. 제14항 내지 제21항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 하나 이상의 보안 파라미터를 상기 새로운 비-액세스 계층 키와 함께 상기 타깃 이동성 관리 펑션(40)에 송신하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  23. 제22항에 있어서, 상기 하나 이상의 보안 파라미터는 사용자 장비 능력 정보를 포함하는, 코어 네트워크 노드(320, 600).
  24. 제14항 내지 제23항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 콘텍스트 요청 메시지에서 상기 보안 콘텍스트에 대한 요청을 수신하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  25. 제14항 내지 제24항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 상기 새로운 비-액세스 계층 키를 콘텍스트 요청 응답 메시지에서 상기 타깃 이동성 관리 펑션(40)에 송신하도록 더 구성되는, 코어 네트워크 노드(320, 600).
  26. 제14항 내지 제25항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 코어 네트워크 노드(320, 600).
  27. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 코어 네트워크 노드(320, 600)로서,
    상기 코어 네트워크 노드(600)는 소스 이동성 관리 펑션(40)을 제공하고, 상기 코어 네트워크 노드(600)는:
    상기 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 이동성 관리 펑션(40)으로부터, 사용자 장비(70, 430, 700)에 대한 보안 콘텍스트에 대한 요청을 수신하고;
    새로운 비-액세스 계층 키를 생성하고;
    상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키를 상기 무선 통신 네트워크(10)의 코어 네트워크 내의 상기 타깃 이동성 관리 펑션(40)에 송신하도록
    구성되는, 코어 네트워크 노드.
  28. 제27항에 있어서, 제2항 내지 제13항 중 어느 한 항의 방법을 수행하도록 구성되는, 코어 네트워크 노드(320, 600).
  29. 무선 통신 네트워크(10)의 코어 네트워크 노드(320, 600) 내의 처리 회로(610)에 의해 실행될 때, 상기 코어 네트워크 노드(600)로 하여금 제1항 내지 제13항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는, 컴퓨터 프로그램(635).
  30. 캐리어로서,
    상기 캐리어는 제29항의 컴퓨터 프로그램(635)을 포함하고,
    상기 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능한 저장 매체 네트워크 노드 중 하나인 캐리어.
  31. 비일시적 컴퓨터 판독가능한 저장 매체로서,
    무선 통신 네트워크(10)의 코어 네트워크 노드(320, 600) 내의 처리 회로(610)에 의해 실행될 때, 상기 코어 네트워크 노드(320, 600)로 하여금 제1항 내지 제13항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램(635)을 포함하는 비일시적 컴퓨터 판독가능한 저장 매체(630).
  32. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 하나 이상의 코어 네트워크 노드(600)에 의해 구현되는, 유휴 모드 동안 사용자 장비(70, 430, 700)의 보안 콘텍스트를 전송하기 위한 방법(350)으로서,
    상기 하나 이상의 코어 네트워크 노드(600)는 타깃 이동성 관리 펑션(40)을 제공하고, 상기 방법은:
    상기 사용자 장비(70, 430, 700)로부터, 이동성 관리 펑션(40) 변경을 나타내는 사용자 장비(70, 430, 700)로부터의 등록 메시지를 수신하는 단계(355);
    상기 무선 통신 네트워크(10)의 상기 코어 네트워크 내의 소스 이동성 관리 펑션(40)으로부터 상기 사용자 장비(70, 430, 700)에 대한 보안 콘텍스트를 요청하는 단계(360);
    상기 요청에 응답하여, 상기 소스 이동성 관리 펑션(40)으로부터, 새로운 비-액세스 계층 키, 및 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하는 단계(365); 및
    상기 키 변경 표시를 상기 사용자 장비(70, 430, 700)에 송신하는 단계(370)
    를 포함하는 방법(350).
  33. 제32항에 있어서, 상기 새로운 비-액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하는 단계를 더 포함하는 방법(350).
  34. 제32항 또는 제33항에 있어서, 상기 소스 이동성 관리 펑션(40)으로부터 하나 이상의 보안 파라미터를 수신하는 단계를 더 포함하는 방법(350).
  35. 제34항에 있어서, 상기 하나 이상의 보안 파라미터는 사용자 장비 능력 정보를 포함하는, 방법(350).
  36. 제34항 또는 제35항에 있어서, 상기 보안 파라미터들은 상기 키 변경 표시와 함께 수신되는, 방법(350).
  37. 제32항 내지 제36항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 방법.
  38. 제32항 내지 제36항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 방법.
  39. 제38항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 방법.
  40. 제32항 내지 제36항 중 어느 한 항에 있어서, 상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 수신하는 단계를 더 포함하는 방법.
  41. 제40항에 있어서, 상기 키 도출 파라미터를 상기 사용자 장비(70, 430, 700)에 송신하는 단계를 더 포함하는 방법.
  42. 제39항 내지 제41항 중 어느 한 항에 있어서, 상기 키 도출 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함하는, 방법.
  43. 제33항 내지 제42항 중 어느 한 항에 있어서, 상기 키 변경 표시는 콘텍스트 요청 응답 메시지에서 수신되는, 방법(350).
  44. 제33항 내지 제43항 중 어느 한 항에 있어서, 상기 키 변경 표시는 보안 확립 메시지에서 상기 사용자 장비(70, 430, 700)에 송신되는, 방법(350).
  45. 제33항 내지 제44항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 방법(350).
  46. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 코어 네트워크 노드(380, 600)로서,
    상기 코어 네트워크 노드(380, 600)는 타깃 이동성 관리 펑션(40)을 제공하고, 상기 코어 네트워크 노드(380, 600)는:
    상기 무선 통신 네트워크(10)의 코어 네트워크 내의 소스 이동성 관리 펑션(40) 및 사용자 장비(70, 430, 700)와 통신하기 위한 인터페이스 회로(640); 및
    처리 회로(610)
    를 포함하고, 상기 처리 회로는:
    상기 사용자 장비(70, 430, 700)로부터, 이동성 관리 펑션(40) 변경을 나타내는 등록 메시지를 수신하고;
    상기 소스 이동성 관리 펑션(40)으로부터의 보안 콘텍스트를 요청하고;
    상기 요청에 응답하여, 상기 소스 이동성 관리 펑션(40)으로부터, 새로운 비-액세스 계층 키, 및 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하고;
    상기 키 변경 표시를 상기 사용자 장비(70, 430, 700)에 송신하도록
    구성되는, 코어 네트워크 노드.
  47. 제46항에 있어서, 상기 처리 회로(610)는 상기 새로운 비-액세스 계층 키를 포함하는 새로운 보안 콘텍스트를 확립하도록 더 구성되는, 코어 네트워크 노드(380, 600).
  48. 제46항 또는 제47항에 있어서, 상기 처리 회로(610)는 상기 소스 이동성 관리 펑션(40)으로부터 하나 이상의 보안 파라미터를 수신하도록 더 구성되는, 코어 네트워크 노드(380, 600).
  49. 제48항에 있어서, 상기 하나 이상의 보안 파라미터는 사용자 장비 능력 정보를 포함하는, 코어 네트워크 노드(380, 600).
  50. 제48항 또는 제49항에 있어서, 상기 처리 회로(610)는 상기 보안 파라미터들을 상기 키 변경 표시와 함께 수신하도록 더 구성되는, 코어 네트워크 노드(380, 600).
  51. 제46항 내지 제50항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 코어 네트워크 노드(380, 600).
  52. 제46항 내지 제50항 중 어느 한 항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 코어 네트워크 노드(380, 600).
  53. 제52항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 코어 네트워크 노드(380, 600).
  54. 제46항 내지 제50항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 상기 요청에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 수신하도록 더 구성되는, 코어 네트워크 노드(380, 600).
  55. 제54항에 있어서, 상기 키 도출 파라미터를 상기 사용자 장비(70, 430, 700)에 송신하는 것을 더 포함하는, 코어 네트워크 노드(380, 600).
  56. 제53항 내지 제55항 중 어느 한 항에 있어서, 상기 키 도출 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함하는, 코어 네트워크 노드(380, 600).
  57. 제46항 내지 제56항 중 어느 한 항에 있어서, 상기 키 변경 표시는 콘텍스트 요청 응답 메시지에서 수신되는, 코어 네트워크 노드(380, 600).
  58. 제46항 내지 제57항 중 어느 한 항에 있어서, 상기 처리 회로(610)는 보안 확립 메시지에서 키 변경을 상기 사용자 장비(70, 430, 700)에 송신하도록 더 구성되는, 코어 네트워크 노드(380, 600).
  59. 제46항 내지 제58항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 코어 네트워크 노드(380, 600).
  60. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 이동성 관리 펑션(40, 380)으로서,
    상기 코어 네트워크 노드(600)는 타깃 이동성 관리 펑션(40)을 제공하고, 상기 코어 네트워크 노드(600)는:
    상기 사용자 장비(70, 430, 700)로부터, 이동성 관리 펑션(40) 변경을 나타내는 등록 메시지를 수신하고;
    상기 무선 통신 네트워크(10)의 상기 코어 네트워크 내의 소스 이동성 관리 펑션(40)으로부터의 보안 콘텍스트를 요청하고;
    상기 요청에 응답하여, 상기 소스 이동성 관리 펑션(40)으로부터, 새로운 비-액세스 계층 키, 및 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하고;
    상기 키 변경 표시를 상기 사용자 장비(70, 430, 700)에 송신하도록
    구성되는, 타깃 이동성 관리 펑션.
  61. 제60항에 있어서, 제33항 내지 제45항 중 어느 한 항의 방법을 수행하도록 구성되는, 타깃 이동성 관리 펑션(380, 600).
  62. 무선 통신 네트워크(10)의 코어 네트워크 노드(380, 600) 내의 처리 회로에 의해 실행될 때, 상기 코어 네트워크 노드(600)로 하여금 제32항 내지 제45항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는, 컴퓨터 프로그램.
  63. 캐리어로서,
    상기 캐리어는 제62항의 컴퓨터 프로그램(635)을 포함하고,
    상기 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능한 저장 매체 네트워크 노드 중 하나인 캐리어.
  64. 비일시적 컴퓨터 판독가능한 저장 매체로서,
    무선 통신 네트워크(10)의 코어 네트워크 노드(380, 600) 내의 처리 회로(610)에 의해 실행될 때, 상기 코어 네트워크 노드(600)로 하여금 제32항 내지 제45항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램(635)을 포함하는 비일시적 컴퓨터 판독가능한 저장 매체.
  65. 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 이동성 관리 펑션(40)에 등록하기 위해 사용자 장비(70, 430, 700)에 의해 구현되는 방법(400)으로서,
    등록 메시지를 타깃 이동성 관리 펑션(40)에 송신하는 단계(405);
    제1 등록 메시지에 응답하여, 상기 타깃 이동성 관리 펑션(40)으로부터, 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하는 단계(410); 및
    상기 키 변경 표시에 응답하여, 새로운 비-액세스 계층 키를 생성하는 단계(420)
    를 포함하는 방법.
  66. 제65항에 있어서,
    상기 타깃 이동성 관리 펑션(40)과 새로운 보안 콘텍스트를 확립하는 단계(420) - 상기 새로운 보안 콘텍스트는 상기 새로운 비-액세스 계층 키를 포함함 - ; 및
    상기 새로운 비-액세스 계층 키를 사용하여 상기 타깃 이동성 관리 펑션(40)과 통신하는 단계(425)
    를 더 포함하는 방법(400).
  67. 제65항 또는 제66항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 방법(400).
  68. 제65항 또는 제66항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 방법(400).
  69. 제68항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 방법(400).
  70. 제65항 내지 제67항 중 어느 한 항에 있어서,
    상기 타깃 이동성 관리 펑션(40)으로부터 키 도출 파라미터를 수신하는 단계; 및
    상기 키 도출 파라미터를 사용하여 상기 새로운 비-액세스 계층 키를 생성하는 단계
    를 더 포함하는 방법(400).
  71. 제70항에 있어서, 상기 키 도출 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함하는, 방법(400).
  72. 제70항 또는 제71항에 있어서, 상기 키 도출 파라미터는 상기 키 변경 표시와 함께 수신되는, 방법(400).
  73. 제70항 내지 제72항 중 어느 한 항에 있어서, 상기 키 도출 파라미터는 암시적인 키 변경 표시의 역할을 하는, 방법(400).
  74. 제65항 또는 제66항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층을 사용하여 상기 비-액세스 계층 키를 생성하는 단계를 포함하는, 방법(400).
  75. 제65항 또는 제66항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 및 키 도출 파라미터를 사용하여 상기 비-액세스 계층 키를 생성하는 단계를 포함하는, 방법(400).
  76. 제75항에 있어서, 상기 키 도출 파라미터는 상기 사용자 장비(70, 430, 700) 및 소스 이동성 관리 펑션(40)에 알려진 정적 정보를 포함하는, 방법(400).
  77. 제65항 내지 제76항 중 어느 한 항에 있어서, 상기 새로운 비-액세스 계층 키는 보안 확립 메시지에서 수신되는, 방법(400).
  78. 제65항 내지 제77항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 방법(400).
  79. 무선 통신 네트워크(10) 내의 사용자 장비(70, 430, 700)로서,
    상기 무선 통신 네트워크(10)의 코어 네트워크(30) 내의 타깃 이동성 관리 펑션(40)과 통신하기 위한 인터페이스 회로(740); 및
    처리 회로(710)
    를 포함하고, 상기 처리 회로는:
    타깃 이동성 관리 펑션(40)에 등록 메시지를 송신하고;
    제1 등록 메시지에 응답하여, 상기 타깃 이동성 관리 펑션(40)으로부터, 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하고;
    상기 키 변경 표시에 응답하여, 새로운 비-액세스 계층 키를 생성하도록
    구성되는, 사용자 장비.
  80. 제79항에 있어서, 상기 처리 회로(710)는:
    상기 타깃 이동성 관리 펑션(40)과 새로운 보안 콘텍스트를 확립하고 - 상기 새로운 보안 콘텍스트는 상기 새로운 비-액세스 계층 키를 포함함 - ;
    상기 새로운 비-액세스 계층 키를 사용하여 상기 타깃 이동성 관리 펑션(40)과 통신하도록
    더 구성되는, 사용자 장비(70, 430, 700).
  81. 제79항 또는 제80항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는 값으로 설정된 키 변경 표시자 플래그를 포함하는, 사용자 장비(70, 430, 700).
  82. 제79항 또는 제80항에 있어서, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 암시적으로 나타내는 보안 파라미터를 포함하는, 사용자 장비(70, 430, 700).
  83. 제82항에 있어서, 상기 보안 파라미터는 상기 새로운 비-액세스 계층 키를 생성하기 위해 사용되는 키 도출 파라미터를 포함하는, 사용자 장비(70, 430, 700).
  84. 제79항 내지 제81항 중 어느 한 항에 있어서, 상기 처리 회로(710)는:
    상기 타깃 이동성 관리 펑션(40)으로부터 키 도출 파라미터를 수신하고,
    상기 키 도출 파라미터를 사용하여 상기 새로운 비-액세스 계층 키를 생성하도록
    더 구성되는, 사용자 장비(70, 430, 700).
  85. 제84항에 있어서, 상기 키 도출 파라미터는 넌스, 타임스탬프, 신선도 파라미터, 및 버전 번호 중 하나를 포함하는, 사용자 장비(70, 430, 700).
  86. 제84항 또는 제85항에 있어서, 상기 키 도출 파라미터는 보안 모드 커맨드 메시지에서 상기 키 변경 표시와 함께 수신되는, 사용자 장비(70, 430, 700).
  87. 제84항 내지 제86항 중 어느 한 항에 있어서, 상기 키 도출 파라미터는 암시적인 키 변경 표시의 역할을 하는, 사용자 장비(70, 430, 700).
  88. 제79항 또는 제80항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층을 사용하여 상기 비-액세스 계층 키를 생성하는 단계를 포함하는, 사용자 장비(70, 430, 700).
  89. 제79항 또는 제80항에 있어서, 상기 새로운 비-액세스 계층 키를 생성하는 단계는 이전의 비-액세스 계층 및 키 도출 파라미터를 사용하여 상기 비-액세스 계층 키를 생성하는 단계를 포함하는, 사용자 장비(70, 430, 700).
  90. 제89항에 있어서, 상기 키 도출 파라미터는 상기 사용자 장비(70, 430, 700) 및 소스 이동성 관리 펑션(40)에 알려진 정적 정보를 포함하는, 사용자 장비(70, 430, 700).
  91. 제79항 내지 제90항 중 어느 한 항에 있어서, 상기 처리 회로(710)는 보안 확립 메시지에서 상기 키 변경 표시를 수신하도록 더 구성되는, 사용자 장비(70, 430, 700).
  92. 제79항 내지 제91항 중 어느 한 항에 있어서, 상기 비-액세스 계층 키는 코어 네트워크 키(KCN)를 포함하는, 사용자 장비(70, 430, 700).
  93. 무선 통신 네트워크(10) 내의 사용자 장비(70, 430, 700)로서,
    등록 메시지를 타깃 이동성 관리 펑션(40)에 송신하고;
    제1 등록 메시지에 응답하여, 상기 타깃 이동성 관리 펑션(40)으로부터, 비-액세스 계층 키가 변경되었음을 나타내는 키 변경 표시를 수신하고;
    상기 키 변경 표시에 응답하여, 새로운 비-액세스 계층 키를 생성하도록
    구성되는, 사용자 장비.
  94. 제93항에 있어서, 제64항 내지 제78항 중 어느 한 항의 방법을 수행하도록 구성되는, 사용자 장비(70, 430, 700).
  95. 무선 통신 네트워크(10) 내의 사용자 장비(70, 430, 700) 내의 처리 회로에 의해 실행될 때, 상기 사용자 장비(70, 430, 700)로 하여금 제65항 내지 제78항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램.
  96. 캐리어로서,
    상기 캐리어는 제95항의 컴퓨터 프로그램을 포함하고,
    상기 캐리어는 전자 신호, 광학 신호, 라디오 신호, 또는 컴퓨터 판독가능한 저장 매체 네트워크 노드 중 하나인 캐리어.
  97. 비일시적 컴퓨터 판독가능한 저장 매체로서,
    무선 통신 네트워크(10) 내의 사용자 장비(70, 430, 700) 내의 처리 회로에 의해 실행될 때, 상기 사용자 장비(70, 430, 700)로 하여금 제65항 내지 제78항 중 어느 한 항의 방법을 수행하게 하는 실행가능한 명령어들을 포함하는 컴퓨터 프로그램을 포함하는 비일시적 컴퓨터 판독가능한 저장 매체.
  98. 소스 이동성 관리 펑션(40)에 의해 구현되는 방법으로서,
    AMF 변경에 대한 필요성을 결정하는 단계;
    상기 AMF 변경에 대한 필요성을 결정하는 것에 응답하여, 새로운 비-액세스 계층 키를 생성하는 단계; 및
    상기 비-액세스 계층 키를 타깃 AMF에 송신하는 단계
    를 포함하는 방법.
  99. 제98항에 있어서, 키 변경 표시를 상기 사용자 장비(70, 430, 700)에 송신하는 단계를 더 포함하며, 상기 키 변경 표시는 상기 비-액세스 계층 키가 변경되었음을 나타내는, 방법.
  100. 무선 통신 네트워크(10)의 코어 네트워크 내의 코어 네트워크 노드(600)로서,
    소스 이동성 관리 펑션(40)을 제공하고, 제98항 또는 제99항의 방법을 수행하도록 구성되는, 코어 네트워크 노드.
  101. 제1항 내지 제19항 중 어느 한 항에 있어서,
    운영자 특정 정책이 충족됨을 결정하는 단계; 및
    상기 운영자 특정 정책이 충족됨을 결정하는 것에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하는 단계
    를 더 포함하는 방법.
  102. 제14항 내지 제26항 중 어느 한 항에 있어서, 상기 처리 회로(610)는:
    운영자 특정 정책이 충족됨을 결정하고;
    상기 운영자 특정 정책이 충족됨을 결정하는 것에 응답하여, 상기 새로운 비-액세스 계층 키를 생성하도록
    더 구성되는, 코어 네트워크 노드(320, 600).
KR1020197022435A 2017-01-30 2018-01-29 유휴 모드 동안의 5g에서의 보안 콘텍스트 취급 KR102163343B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762452267P 2017-01-30 2017-01-30
US62/452,267 2017-01-30
PCT/EP2018/052154 WO2018138348A1 (en) 2017-01-30 2018-01-29 Security context handling in 5g during idle mode

Publications (2)

Publication Number Publication Date
KR20190100366A true KR20190100366A (ko) 2019-08-28
KR102163343B1 KR102163343B1 (ko) 2020-10-08

Family

ID=61163694

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197022435A KR102163343B1 (ko) 2017-01-30 2018-01-29 유휴 모드 동안의 5g에서의 보안 콘텍스트 취급

Country Status (18)

Country Link
US (7) US10531292B2 (ko)
EP (6) EP4149137A1 (ko)
JP (3) JP6942804B2 (ko)
KR (1) KR102163343B1 (ko)
CN (4) CN115474247A (ko)
AR (2) AR110917A1 (ko)
AU (1) AU2018212610B2 (ko)
BR (1) BR112019015387B1 (ko)
DK (2) DK3574669T3 (ko)
ES (4) ES2935527T3 (ko)
HU (2) HUE060616T2 (ko)
MX (2) MX2019008770A (ko)
PH (1) PH12019501467A1 (ko)
PL (3) PL3574669T3 (ko)
PT (2) PT3574669T (ko)
RU (1) RU2719772C1 (ko)
WO (2) WO2018138347A1 (ko)
ZA (1) ZA201903899B (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2935527T3 (es) 2017-01-30 2023-03-07 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo conectado
EP3565291B1 (en) * 2017-05-04 2021-07-07 Huawei Technologies Co., Ltd. Method and device for acquiring key and communication system
US10812974B2 (en) * 2017-05-06 2020-10-20 Vmware, Inc. Virtual desktop client connection continuity
CN111165016B (zh) * 2017-05-14 2022-07-08 5G Ip控股有限责任公司 用于进行切换程序的方法和用户设备
US10810316B2 (en) * 2017-05-15 2020-10-20 International Business Machines Corporation Updating monitoring systems using merged data policies
CN108966220B (zh) * 2017-07-28 2019-07-23 华为技术有限公司 一种密钥推演的方法及网络设备
US10542428B2 (en) 2017-11-20 2020-01-21 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5G during handover
WO2019165629A1 (zh) * 2018-03-01 2019-09-06 华为技术有限公司 会话管理方法及装置、通信系统
CN110536298B (zh) * 2018-08-10 2023-11-03 中兴通讯股份有限公司 非接入层消息安全指示方法、装置、amf设备、终端及介质
CN110830997B (zh) * 2018-08-10 2022-08-19 中兴通讯股份有限公司 密钥的确定方法及装置、存储介质、电子装置
CN112534850B (zh) * 2018-08-13 2024-05-28 瑞典爱立信有限公司 无线通信网络中的非接入层通信的保护
CN110881184B (zh) * 2018-09-05 2021-05-18 华为技术有限公司 通信方法和装置
BR112021006297A2 (pt) * 2018-10-04 2021-07-06 Nokia Technologies Oy método e aparelho para manipulação de contexto de segurança durante alteração intersistema
CN111465012B (zh) * 2019-01-21 2021-12-10 华为技术有限公司 通信方法和相关产品
WO2020167211A1 (en) * 2019-02-14 2020-08-20 Telefonaktiebolaget Lm Ericsson (Publ) Network node, ue and method for handling handover with parameter for deriving security context
US20200323017A1 (en) * 2019-04-08 2020-10-08 Mediatek Singapore Pte. Ltd 5G NAS Recovery from NASC Failure
CN111866870B (zh) * 2019-04-26 2022-02-01 华为技术有限公司 密钥的管理方法和装置
CN111866867B (zh) * 2019-04-28 2022-01-14 华为技术有限公司 信息获取方法及装置
CN111417117B (zh) * 2019-04-29 2021-03-02 华为技术有限公司 切换的处理方法和装置
CN114513790B (zh) * 2019-05-31 2023-10-10 荣耀终端有限公司 获取安全上下文的方法和网络设备
US11563676B2 (en) * 2019-08-16 2023-01-24 Nokia Technologies Oy Method and apparatus for universal integrated circuit card update via dedicated network function
EP4025007A4 (en) * 2019-09-29 2022-09-14 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND COMMUNICATION DEVICE
CN112654043A (zh) * 2019-10-13 2021-04-13 华为技术有限公司 注册方法及装置
CN111314856B (zh) * 2020-02-13 2020-12-15 广州爱浦路网络技术有限公司 一种5g用户位置信息服务的分级审查与跟踪装置和方法
CN115943651A (zh) * 2020-02-20 2023-04-07 瑞典爱立信有限公司 用于应用认证和密钥管理的密钥材料生成优化
CN114051242B (zh) * 2020-07-22 2023-06-23 大唐移动通信设备有限公司 用户与多终端间的安全性管理方法、装置及设备
CN114079920B (zh) * 2020-08-11 2023-01-20 大唐移动通信设备有限公司 接入网安全处理方法、设备、装置及存储介质
WO2022082667A1 (zh) * 2020-10-22 2022-04-28 华为技术有限公司 一种数据安全传输的方法及装置
EP4240076A4 (en) * 2020-10-27 2023-12-27 Guangdong Oppo Mobile Telecommunications Corp., Ltd. TRANSMISSION METHOD AND TERMINAL DEVICE
CN112333784B (zh) * 2020-11-05 2023-03-24 中国联合网络通信集团有限公司 安全上下文的处理方法、第一网元、终端设备及介质
KR102234087B1 (ko) * 2020-12-02 2021-03-30 영남대학교 산학협력단 채널 전환 기반 무선랜 재밍 방어 시스템
CN114915966A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 配置演进分组系统非接入层安全算法的方法及相关装置
US11800398B2 (en) 2021-10-27 2023-10-24 T-Mobile Usa, Inc. Predicting an attribute of an immature wireless telecommunication network, such as a 5G network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070230707A1 (en) * 2006-03-28 2007-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7978677B2 (en) 2006-06-07 2011-07-12 Qualcomm Incorporated Methods and apparatus for using control values to control communications processing
US20070297914A1 (en) 2006-06-27 2007-12-27 Dry Air Technology Enhanced axial air mover system with grill
CN101309500B (zh) * 2007-05-15 2011-07-20 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
US20090209259A1 (en) * 2008-02-15 2009-08-20 Alec Brusilovsky System and method for performing handovers, or key management while performing handovers in a wireless communication system
CN101516089B (zh) * 2008-02-18 2012-09-05 中国移动通信集团公司 一种切换方法及系统
CN102187599B (zh) * 2008-08-15 2015-04-01 三星电子株式会社 在移动通信系统中安全保护的非接入层面协议操作支持方法
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统
US20100173610A1 (en) * 2009-01-05 2010-07-08 Qualcomm Incorporated Access stratum security configuration for inter-cell handover
CN101478752B (zh) * 2009-01-12 2014-11-05 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101931951B (zh) 2009-06-26 2012-11-07 华为技术有限公司 密钥推演方法、设备及系统
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
WO2011113873A1 (en) * 2010-03-17 2011-09-22 Telefonaktiebolaget L M Ericsson (Publ) Enhanced key management for srns relocation
US9084110B2 (en) * 2010-04-15 2015-07-14 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network
CN101835152A (zh) * 2010-04-16 2010-09-15 中兴通讯股份有限公司 终端移动到增强utran时建立增强密钥的方法及系统
CN101860863A (zh) * 2010-05-21 2010-10-13 中国科学院软件研究所 一种增强的加密及完整性保护方法
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
CN102340772B (zh) * 2010-07-15 2014-04-16 华为技术有限公司 切换过程中的安全处理方法、装置和系统
CN102348206B (zh) * 2010-08-02 2014-09-17 华为技术有限公司 密钥隔离方法和装置
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN102625300B (zh) * 2011-01-28 2015-07-08 华为技术有限公司 密钥生成方法和设备
CN102118808B (zh) 2011-03-03 2014-11-12 电信科学技术研究院 触发切换及移动管理实体池标识信息的传递方法和设备
JP6135878B2 (ja) 2012-05-04 2017-05-31 ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. ネットワークスイッチング中におけるセキュリティ処理方法およびシステム
EP2912867A1 (en) 2012-10-29 2015-09-02 Nokia Solutions and Networks Oy Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks
ES2759428T3 (es) 2014-01-28 2020-05-11 Huawei Tech Co Ltd Método de cambio de clave de seguridad y equipo de usuario
CN105103577B (zh) 2014-01-28 2019-05-24 华为技术有限公司 一种加密数据的装置和方法
US10070357B2 (en) * 2014-09-25 2018-09-04 Intel IP Corporation Smooth UE transfer within an evolved packet core
US9801055B2 (en) 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US9883385B2 (en) 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
CN106714152B (zh) 2015-11-13 2021-04-09 华为技术有限公司 密钥分发和接收方法、第一密钥管理中心和第一网元
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
EP3466135B1 (en) 2016-07-05 2022-01-05 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
US20190274072A1 (en) 2016-10-26 2019-09-05 Nec Corporation Communication system, security device, communication terminal, and communication method
ES2935527T3 (es) 2017-01-30 2023-03-07 Ericsson Telefon Ab L M Manejo del contexto de seguridad en 5G durante el modo conectado
US11071021B2 (en) 2017-07-28 2021-07-20 Qualcomm Incorporated Security key derivation for handover
WO2019097084A1 (en) 2017-11-20 2019-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during handover
WO2021025246A1 (en) 2019-08-06 2021-02-11 Lg Electronics Inc. Method and apparatus for handling security information between a wireless device and a network for a fast rrc release procedure in a wireless communication system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070230707A1 (en) * 2006-03-28 2007-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity

Also Published As

Publication number Publication date
ES2950488T3 (es) 2023-10-10
US10536849B2 (en) 2020-01-14
JP2020505866A (ja) 2020-02-20
EP3574669A1 (en) 2019-12-04
PT3952375T (pt) 2022-12-21
WO2018138347A1 (en) 2018-08-02
DK3574670T3 (da) 2021-09-13
EP3923616C0 (en) 2023-06-28
DK3574669T3 (da) 2021-11-01
BR112019015387A2 (pt) 2019-12-17
PL3574669T3 (pl) 2022-02-21
AR110917A1 (es) 2019-05-15
EP4149137A1 (en) 2023-03-15
JP2022003793A (ja) 2022-01-11
US11432141B2 (en) 2022-08-30
MX2019008770A (es) 2019-09-09
AR110865A1 (es) 2019-05-08
CN109644340B (zh) 2022-09-13
EP3574670B1 (en) 2021-07-28
CN115396886A (zh) 2022-11-25
PT3574669T (pt) 2021-10-26
JP2020507268A (ja) 2020-03-05
JP6943965B2 (ja) 2021-10-06
EP3923616B1 (en) 2023-06-28
EP4236408A1 (en) 2023-08-30
EP3574669B1 (en) 2021-10-13
US20190141584A1 (en) 2019-05-09
US20200120497A1 (en) 2020-04-16
US11743718B2 (en) 2023-08-29
US20210360397A1 (en) 2021-11-18
CN109644339B (zh) 2022-09-09
ZA201903899B (en) 2020-12-23
AU2018212610A1 (en) 2019-07-25
EP3923616A1 (en) 2021-12-15
US11924630B2 (en) 2024-03-05
HUE056162T2 (hu) 2022-01-28
KR102163343B1 (ko) 2020-10-08
PH12019501467A1 (en) 2020-02-24
US20200120498A1 (en) 2020-04-16
JP7235818B2 (ja) 2023-03-08
WO2018138348A1 (en) 2018-08-02
ES2935527T3 (es) 2023-03-07
BR112019015387B1 (pt) 2020-11-03
US20240073683A1 (en) 2024-02-29
US20220360980A1 (en) 2022-11-10
CN109644339A (zh) 2019-04-16
AU2018212610B2 (en) 2021-07-08
PL3574670T3 (pl) 2022-02-07
JP6942804B2 (ja) 2021-09-29
US10531292B2 (en) 2020-01-07
EP3952375B1 (en) 2022-11-23
ES2886881T3 (es) 2021-12-21
US20190141523A1 (en) 2019-05-09
MX2022001444A (es) 2022-02-22
RU2719772C1 (ru) 2020-04-23
PL3952375T3 (pl) 2023-01-30
EP3952375A1 (en) 2022-02-09
HUE060616T2 (hu) 2023-03-28
EP3574670A1 (en) 2019-12-04
CN109644340A (zh) 2019-04-16
US11096045B2 (en) 2021-08-17
ES2900006T3 (es) 2022-03-15
CN115474247A (zh) 2022-12-13

Similar Documents

Publication Publication Date Title
US11743718B2 (en) Security context handling in 5G during connected mode
KR102264718B1 (ko) 보안 구현 방법, 및 관련된 장치 및 시스템
US20220053445A1 (en) Method and Apparatus for Mobility Registration
OA19349A (en) Security context handling in 5G during connected mode

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right