KR20190134745A - 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널 - Google Patents

분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널 Download PDF

Info

Publication number
KR20190134745A
KR20190134745A KR1020197032822A KR20197032822A KR20190134745A KR 20190134745 A KR20190134745 A KR 20190134745A KR 1020197032822 A KR1020197032822 A KR 1020197032822A KR 20197032822 A KR20197032822 A KR 20197032822A KR 20190134745 A KR20190134745 A KR 20190134745A
Authority
KR
South Korea
Prior art keywords
nas
message
communication
connection
node
Prior art date
Application number
KR1020197032822A
Other languages
English (en)
Other versions
KR102256875B1 (ko
Inventor
헨다 노아멘 벤
모니카 비베슨
Original Assignee
텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 텔레폰악티에볼라겟엘엠에릭슨(펍) filed Critical 텔레폰악티에볼라겟엘엠에릭슨(펍)
Priority to KR1020217015130A priority Critical patent/KR102354093B1/ko
Publication of KR20190134745A publication Critical patent/KR20190134745A/ko
Application granted granted Critical
Publication of KR102256875B1 publication Critical patent/KR102256875B1/ko

Links

Images

Classifications

    • H04W12/0609
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • H04W12/001
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • H04W12/1006
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/50Allocation or scheduling criteria for wireless resources
    • H04W72/52Allocation or scheduling criteria for wireless resources based on load
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/15Setup of multiple wireless link connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/10Access point devices adapted for operation in multiple networks, e.g. multi-mode access points

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

제1 통신 노드는 제1 및 제2 통신 노드 사이에서 각각의 제1 및 제2 NAS 연결에 대해 제1 및 제2 NAS 연결 식별을 제공할 수 있고, 여기서 제1 및 제2 NAS 연결 식별이 다르고, 제1 및 제2 NAS 연결이 다르다. 제1 NAS 메시지는 제1 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 통신될 수 있고, 이는 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계를 포함한다. 제2 NAS 메시지는 제2 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 통신될 수 있고, 이는 제2 NAS 연결 식별을 사용하여 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제2 NAS 연결 식별을 사용하여 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계를 포함한다.

Description

분리된 카운트를 사용하여 다수의 NAS 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널
본 발명은 일반적으로 통신 분야에 관련되고, 보다 특정하게 무선 통신 및 관련된 네트워크 노드와 무선 터미널에 관한 것이다.
5G 시스템에서, UE는 3GPP 액세스 (예를 들면, LTE 또는 5G 액세스 노드, 또한 기지국, eNB, gNB 등으로도 칭하여지는 것을 사용하여) 및 비-3GPP 액세스 (예를 들면, WiFi 또는 위성 노드를 사용하여)를 통해 동일한 PLMN에 동시에 등록될 수 있다. 이를 위해, 무선 터미널 UE 및 네트워크 AMF(Access Management Function, 액세스 관리 기능)는 각각의 액세스 타입에 대해 하나의 연결을 유지하는 것으로 (즉, 3GPP 액세스에 대해 하나의 연결 및 비-3GPP NAS 연결에 대해 하나의 연결) 예상된다. 이러한 시나리오에서, TS 23.501은 (참조[1]로 칭하여지는) AMF에서 사용자 컨텍스트(user context)의 어떠한 요소가 연결 사이에서 공유되고 어떠한 것이 공유되지 않는가를 더 설명한다. 예를 들면, 액세스 타입별로 하나씩, 다수의 연결 관리(Connection Management, CM) 및 등록 관리 상태가 있을 수 있다. 한편, 공통된 임시 식별자가 사용될 수 있다.
TS 33.401 [2]에서 설명되는 바와 같이, 레거시 시스템(legacy system)에서의 보안 메카니즘은 NAS 메시지에 대해 무결성, 기밀성, 및 재생 보호 기능을 제공할 수 있다. NAS 보안 컨텍스트는 각 방향에 대해 (업링크 및 다운링크) 하나씩, KASME 키, 도출된 보호 키 KNASint 및 KNASenc, 키 세트 식별자 eKSI 및 한쌍의 카운터 NAS COUNT를 포함한다. 이러한 보안 매개변수는 NAS 연결에 대해 제공될 수 있고, 예를 들어 인증 절차에 따라, 새로운 KASME가 생성되면 새로 고쳐질 수 있다.
또한, NAS COUNT에 의해 부분적으로 실현되는 재생 보호 메카니즘은 프로토콜이 신뢰할 수 있고 NAS 절차가 순차적으로 실행되어 현재 절차가 종료된 이후에만 새로운 절차가 시작된다는 가정에 의존할 수 있다. 이는 NAS 메시지가 순서대로 전달되는 것을 제공/보장할 수 있으므로, UE 및 MME 모두가 방향별로 하나씩 (즉, 업링크에 대해 하나의 NAS COUNT 및 다운링크에 대해 하나의 NAS COUNT), NAS COUNT에 대해 두개의 값만을 저장하면 된다. 이들은 다음으로 유일하게 예상/허용되는 값이 된다.
그러나, 3GPP 및 비-3GPP 액세스를 통한 다중 연결로, 다른 연결을 통해 NAS 메시지가 순서대로 전달되는 것은 신뢰할 수 없다.
본 발명의 일부 실시예에 따라, 제1 통신 노드에서의 방법은 제2 통신 노드와 NAS(Network Access Stratum, 네트워크 액세스 계층) 메시지의 통신을 제공할 수 있다. 제1 및 제2 통신 노드 사이의 제1 NAS 연결을 위해 제1 NAS 연결 식별이 제공될 수 있고, 제1 및 제2 통신 노드 사이의 제2 NAS 연결을 위해 제2 NAS 연결 식별이 제공될 수 있다. 또한, 제1 및 제2 NAS 연결 식별은 다를 수 있고, 제1 및 제2 NAS 연결도 다를 수 있다. 제1 NAS 메시지는 제1 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 통신될 수 있고, 제1 NAS 메시지를 통신하는 것은 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지의 무결성 인증을 위한 메시지 인증 코드를 발생하고, 또한/또는 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지를 암호화/암호해독 하는 것 중 적어도 하나를 실행하는 단계를 포함할 수 있다. 제2 NAS 메시지는 제2 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 통신될 수 있고, 제2 NAS 메시지를 통신하는 것은 제2 NAS 연결 식별을 사용하여 제2 NAS 메시지의 무결성 인증을 위한 메시지 인증 코드를 발생하고, 또한/또는 제2 NAS 연결 식별을 사용하여 제2 NAS 메시지를 암호화/암호해독 하는 것 중 적어도 하나를 실행하는 단계를 포함할 수 있다.
본 발명의 일부 다른 실시예에 따라, 제1 통신 노드에서의 방법은 제2 통신 노드와 NAS(Network Access Stratum, 네트워크 액세스 계층) 메시지의 통신을 제공할 수 있다. 제1 NAS 연결은 제1 및 제2 통신 노드 사이에 제공될 수 있고, 제2 NAS 연결은 제1 및 제2 통신 노드 사이에 제공될 수 있다. 또한, 제1 및 제2 NAS 연결은 다를 수 있다. NAS 카운트 도메인은 NAS 카운트 도메인의 제1 부분이 제1 NAS 연결을 통해 통신되는 NAS 메시지에 대해 할당되고 NAS 카운트 도메인의 제2 부분이 제2 NAS 연결을 통해 통신되는 NAS 메시지에 대해 할당되도록 할당될 수 있다. 또한, NAS 카운트 도메인의 제1 및 제2 부분은 상호 배타적일 수 있다. NAS 메시지는 제1 NAS 연결을 통해 통신된 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제1 부분으로부터 가장 낮은 NAS 카운트 값을 사용하여 제1 NAS 연결을 통해 있을 수 있다. NAS 메시지는 제2 NAS 연결을 통해 통신된 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제2 부분으로부터 가장 낮은 NAS 카운트 값을 사용하여 제2 NAS 연결을 통해 통신될 수 있다.
여기서 설명되는 본 발명의 일부 실시예에 따라, 병렬 NAS 연결의 관리가 개선될 수 있다.
본 발명의 추가 이해를 제공하도록 포함되고 본 출원에 포함되어 그 일부를 구성하는 첨부 도면은 본 발명의 개념의 특정한 비제한적 실시예를 도시한다.
도 1은 보안 보호된 NAS 메시지에 대한 메시지 조직의 한 예를 설명하는 도면이다.
도 2는 도 1의 보안 보호된 NAS 메시지의 보안 헤더(header) 타입을 설명하는 도표이다.
도 3A 및 도 3B는 메시지의 무결성을 인증하는데 128-비트 무결성 EIA 프로세스를 사용하는 것을 설명한다.
도 4A 및 도 4B는 메시지의 데이터를 암호화하는데 128-비트 암호화 EEA 프로세스를 사용하는 것을 설명한다.
도 5는 본 발명의 일부 실시예에 따라 코어 네트워크 노드와 무선 터미널 사이의 다중 NAS 연결을 설명하는 블록도이다.
도 6은 본 발명의 일부 실시예에 따라 무선 터미널 UE의 요소들을 설명하는 블록도이다.
도 7은 본 발명의 일부 실시예에 따라 네트워크 노드의 요소들을 설명하는 블록도이다.
도 8 및 도 9는 본 발명의 일부 실시예에 따라 각각 도 5 및 도 7의 네트워크 노드에서, 또한 도 5 및 도 6의 무선 터미널에서, NAS 보안 기능을 설명하는 블록도이다.
도 10A, 도 10B, 도 12A, 및 도 12B는 본 발명의 일부 실시예에 따라 NAS 메시지의 무결성을 인증하는데 무결성 프로세스를 사용하는 것을 설명한다.
도 11A, 도 11B, 도 13A, 및 도 13B는 본 발명의 일부 실시예에 따라 NAS 메시지의 데이터를 암호화/암호해독 하는데 암호화/암호해독 프로세스를 사용하는 것을 설명한다.
도 14는 본 발명의 일부 실시예에 따라 사용될 수 있는 프로세스 타입 구별자를 설명한다.
도 15 및 도 16은 본 발명의 일부 실시예에 따라 사용될 수 있는 주요 도출물을 설명한다.
도 17A 및 도 18A는 본 발명의 일부 실시예에 따라 다중 NAS 연결을 통해 NAS 메시지를 통신하는 동작을 설명하는 흐름도이다.
도 17B 및 도 18B는 본 발명의 일부 실시예에 따라 각각 도 17A 및 도 18A의 동작에 대응하는 메모리 모듈을 설명하는 블록도이다.
본 발명의 개념은 이제 본 발명의 예시 실시예가 도시된 첨부 도면을 참조로 이후 보다 상세히 설명될 것이다. 그러나, 본 발명의 개념은 많은 다른 형태로 구현될 수 있고, 여기서 설명된 실시예에 제한되는 것으로 구성되어서는 안된다. 오히려, 이들 실시예는 본 내용이 완전하고 철저하도록 제공되며, 종래 기술에 숙련된 자에게 본 발명의 개념의 범위를 완전히 전달하게 될 것이다. 이들 실시예는 또한 상호 배타적이지 않음을 주목하여야 한다. 한 실시예로부터의 구성성분은 또 다른 실시예에서 암묵적으로 존재/사용되는 것으로 가정될 수 있다.
다음의 설명은 주어지는 주제의 다양한 실시예를 제시한다. 이들 실시예는 교시의 예로 제시되며, 설명되는 주제의 범위를 제한하는 것으로 구성되어서는 안된다. 예를 들어, 설명되는 실시예의 특정한 상세 부분은 설명되는 주제의 범위에서 벗어나지 않고 수정, 생략, 또는 확장될 수 있다.
도 5는 본 발명의 일부 실시예에 따라 코어 네트워크 노드(501) (액세스 관리를 제공하는) 및 무선 터미널(UE)(505) 사이의 다중 NAS 연결을 설명하는 블록도이다. 도시된 바와 같이, 제1 NAS 연결은 3GPP 액세스 노드 (예를 들면, 기지국, eNB, eNodeB, gNB, gNodeB)를 통해 제공될 수 있고, 제2 NAS 연결은 제1 비-3GPP 액세스 노드 (예를 들면, WiFi 액세스 노드)를 통해 제공될 수 있고, 또한 제3 NAS 연결은 제2 비-3GPP 액세스 노드 (예를 들면, 위성 노드)를 통해 제공될 수 있다. 다른 기술의 다른 액세스 노드를 통해 제공되는 다른 NAS 연결로, 수신 노드 (다운링크에서의 무선 터미널(505) 또는 업링크에서의 코어 네트워크 노드(501))가 순서대로 모든 NAS 메시지를 수신할 가능성이 줄어들 수 있다.
도 6은 본 발명의 실시예에 따라 무선 통신을 제공하도록 구성된 무선 터미널(UE)(505) (또한, 무선 디바이스, 무선 통신 디바이스, 무선 통신 터미널, 사용자 장비, 사용자 장비 노드/터미널/디바이스 등으로 칭하여지는)의 요소들을 설명하는 블록도이다. 도시된 바와 같이, 무선 터미널(UE)은 무선 액세스 네트워크의 기지국과 업링크 및 다운링크 무선 통신을 제공하도록 구성된 전송기 및 수신기를 포함하는 송수신기 회로(601) (또한, 송수신기로 칭하여지는)를 포함할 수 있다. 무선 터미널(UE)은 또한 송수신기 회로에 연결된 프로세서 회로(603) (또한, 프로세서로 칭하여지는), 및 프로세서 회로에 연결된 메모리 회로(605) (또한, 메모리로 칭하여지는)를 포함할 수 있다. 메모리 회로(605)는 프로세서 회로(603)에 의해 실행될 때 프로세서 회로가 여기서 설명되는 실시예에 따른 동작을 실행하게 하는 컴퓨터 판독가능 프로그램 코드를 포함할 수 있다. 다른 실시예에 따라, 프로세서 회로(603)는 분리된 메모리 회로가 요구되지 않도록 메모리를 포함하게 정의될 수 있다. 무선 터미널(UE)은 또한 프로세서(603)와 연결된 인터페이스(607) (사용자 인터페이스와 같은)를 포함할 수 있고, 또한/또는 무선 터미널(UE)은 차량에 포함될 수 있다. 사용자 인터페이스(607)는 예를 들어, 시각적 출력을 제공하는 디스플레이 (예를 들면, 터치 스크린), 음향적 출력을 제공하는 스피커, 및/또는 사용자 입력을 받아들이는 사용자 입력 디바이스 (예를 들면, 터치 스크린, 키패드, 버튼 등)를 포함할 수 있다.
여기서 논의되는 바와 같이, 무선 터미널(UE)(505)의 동작은 프로세서(603) 및/또는 송수신기(601)에 의해 실행될 수 있다. 예를 들면, 프로세서(603)는 송수신기(601)를 통해 무선 인터페이스로 액세스 노드에 통신을 전송하고, 또한/또는 송수신기(601)를 통해 무선 인터페이스로 액세스 노드로부터 통신을 수신하도록 송수신기(601)를 제어할 수 있다. 또한, 메모리(605)에 모듈이 저장될 수 있고, 이들 모듈은 모듈의 명령이 프로세서(603)에 의해 실행될 때 프로세서(603)가 각각의 동작 (예를 들면, 예시 실시예에 대해 이후 논의될 동작들)을 실행하도록 명령을 제공할 수 있다.
도 7은 본 발명의 실시예에 따라 무선 통신을 지원하도록 구성된 무선 액세스 네트워크(Radio Access Network, RAN)의 네트워크 노드 (또한, 코어 네트워크 노드, 기지국, eNB, eNodeB, gNB, gNodeB 등으로 칭하여지는)의 요소들을 설명하는 블록도이다. 도시된 바와 같이, 네트워크 노드는 예를 들어, 도 5에 도시된 바와 같이 액세스 노드를 통해 무선 터미널과 업링크 및 다운링크 무선 통신을 제공하도록 구성된 전송기 및 수신기를 포함하는 네트워크 인터페이스 회로(701) (또한, 네트워크 인터페이스로 칭하여지는)를 포함할 수 있다. 네트워크 노드는 또한 네트워크 인터페이스 회로에 연결된 프로세서 회로(703) (또한, 프로세서로 칭하여지는), 및 프로세서 회로에 연결된 메모리 회로(705) (또한, 메모리로 칭하여지는)를 포함할 수 있다. 메모리 회로(705)는 프로세서 회로(703)에 의해 실행될 때 프로세서 회로가 여기서 설명되는 실시예에 따른 동작을 실행하게 하는 컴퓨터 판독가능 프로그램 코드를 포함할 수 있다. 다른 실시예에 따라, 프로세서 회로(703)는 분리된 메모리 회로가 요구되지 않도록 메모리를 포함하게 정의될 수 있다.
여기서 논의되는 바와 같이, 네트워크 노드(501)의 동작은 프로세서(703) 및/또는 네트워크 인터페이스(701)에 의해 실행될 수 있다. 예를 들면, 프로세서(703)는 도 5에 도시된 바와 같이, 네트워크 인터페이스(701)를 통해 하나 이상의 액세스 노드에 통신을 전송하고, 또한/또는 네트워크 인터페이스(701)를 통해 하나 이상의 액세스 노드로부터 통신을 수신하도록 네트워크 인터페이스(701)를 제어할 수 있다. 또한, 메모리(705)에 모듈이 저장될 수 있고, 이들 모듈은 모듈의 명령이 프로세서(703)에 의해 실행될 때 프로세서(703)가 각각의 동작 (예를 들면, 예시 실시예에 대해 이후 논의될 동작들)을 실행하도록 명령을 제공할 수 있다. 도 5 및 도 7에는 도시되지 않았지만, 3GPP 액세스 노드(503-1) 및 네트워크 노드(501)의 동작은 네트워크 노드(501)에 송수신기를 제공함으로서 조합될 수 있다. 이러한 실시예에서, 네트워크 노드(501)의 송수신기는 직접적인 3GPP 인터페이스를 통해 무선 터미널(505)과 3GPP NAS 연결을 제공할 수 있다. 이러한 실시예에 따라, 프로세서(703)는 송수신기를 통해 무선 인터페이스로 무선 터미널(505)에 통신을 전송하고, 또한/또는 송수신기를 통해 무선 터미널(505)로부터 통신을 수신하도록 송수신기를 제어할 수 있다.
이제는 EPC에서 NAS 메시지에 대한 일반적인 메시지 포맷 및 정보 요소 코딩이 논의된다.
레거시(legacy) EPC/LTE 시스템에서, TS 24.301 (또한, 참조[3]으로 칭하여지는)은 NAS 메시지에 대한 일반적인 메시지 포맷 및 정보 요소 코딩을 설명한다. NAS 메시지가 보안 보호된 NAS 메시지인 경우, 메시지는 다음 파트를 포함한다:
a) 프로토콜 판별자;
b) 보안 헤더 타입;
c) 메시지 인증 코드(message authentication code, MAC);
d) 시퀀스 번호; 및
e) 플레인(plain) NAS 메시지.
보안 보호된 NAS 메시지의 조직은 보안 보호된 NAS 메시지에 대한 메시지 조직을 설명하는 도 1에 도시된 예에서 설명된다.
모든 EPS 이동성 관리(EPS Mobility Management, EMM) 메시지의 첫번째 옥텟(octet)의 비트 5 내지 8은 보안 헤더 타입 IE를 포함한다. 이 IE는 NAS 메시지의 보안 보호에 관련된 제어 정보를 포함한다. 보안 헤더 타입 IE의 총 크기는 4 비트이다. 보안 헤더 타입 IE는 도 1의 보안 보호된 NAS 메시지의 보안 헤더 타입을 설명하는 도 2의 도표에 도시된 값을 취할 수 있다.
도 1의 메시지 인증 코드(MAC) 정보 요소는 메시지에 대한 무결성 보호 정보를 포함한다. MAC IE는 유효한 EPS 보안 컨텍스트가 존재하고 보안 기능이 시작된 경우에 보안 보호된 NAS 메시지에 포함된다.
도 1의 시퀀스 번호 IE는 보안 보호된 NAS 메시지에 대한 NAS COUNT의 8개 최하위 비트로 구성된 NAS 메시지 시퀀스 번호(sequence number, SN)를 포함한다.
NAS 메시지가 암호화 및 무결성 보호되어 전송될 때, NAS 메시지는 먼저 암호화되고, 이어서 암호화된 NAS 메시지와 NAS 시퀀스 번호(NAS COUNT)가 MAC를 계산함으로서 무결성 보호된다.
NAS 메시지가 무결성 보호만 되고 암호해독 되어 전송될 때, 암호해독 된 NAS 메시지와 NAS 시퀀스 번호가 MAC를 계산함으로서 무결성 보호된다.
TS 33.401 (또한, 참조[2]로 칭하여지는) 및 TS 24.301 (또한, 참조[3]으로 칭하여지는)은 각각의 분리된 KASME가 그와 연관되어, 별개의 쌍의 NAS COUNT, 즉 업링크에 대해 하나의 NAS COUNT 및 다운링크에 대해 하나의 NAS COUNT를 가짐을 설명한다.
특정한 KASME에 대한 NAS COUNT는 시작 값으로 재설정되지 않는다 (즉, 새로운 KASME가 생성될 때만 NAS COUNT가 시작값을 갖는다). 이는 동일한 NAS 키로 동일한 동일한 NAS COUNT를 사용하는, 예를 들면 키 스트림 재사용하는 보안 문제를 감소/방지한다.
TS 24.301 (또한, 참조[3]으로 칭하여지는)은 무결성 및 검증을 제공하는데 사용되는 무결성 보호/검증 프로세스 (또한, 무결정 보호/검증 알고리즘으로 칭하여지는)에 대한 입력으로 송신기가 로컬에 저장된 NAS COUNT를 사용함을 설명한다. 수신기는 무결성 검증 프로세스에 대한 NAS COUNT 입력을 형성하기 위해 수신된 메시지에 포함된 NAS 시퀀스 번호 (또는 메시지에서 수신된 NAS 시퀀스 번호 중 5 비트로부터 추정된) 및 NAS 오버플로우 카운터(overflow counter)에 대한 추정치를 사용한다.
무결성 보호는 보안 보호된 NAS 메시지의 옥텟 6 내지 n, 즉 시퀀스 번호 IE 및 NAS 메시지 IE를 포함한다. 성공적인 무결성 보호 검증 이후에, 수신기는 로컬에 저장된 대응하는 NAS COUNT를 이 NAS 메시지에 대해 추정된 NAS COUNT의 값으로 업데이트한다.
재생 보호는 동일한 NAS 메시지 하나를 수신기가 두번 받지 않도록 보장하여야 한다. 특정하게, 소정의 EPS 보안 컨텍스트에 대해, 소정의 NAS COUNT 값은 메시지 무결성이 정확하게 검증된 경우에만 최대 한번 받아들여진다.
EPC/LTE에서는 128-비트 무결성 프로세스가 사용될 수 있다. TS 33.401 (또한, 참조[2]로 칭하여지는)에 따라, 128-비트 무결성 프로세스에 대한 입력 매개변수는 KEY라 칭하여지는 128-비트 무결성 키, 32-비트 COUNT (즉, NAS COUNT), BEARER라 칭하여지는 5-비트 베어러 ID(bearer identity), 1-비트 전송 방향 (즉, DIRECTION), 및 메시지 자체 (즉, MESSAGE)이다. DIRECTION 비트는 업링크에서 0 및 다운링크에서 1이 될 수 있다. MESSAGE의 비트 길이는 LENGTH이다. 도 3A 및 도 3B는 메시지의 무결성을 인증하는데 128-비트 무결성 프로세스 EIA를 사용하는 것을 설명한다. 도 3A에 도시된 바와 같이, 송신기는 MAC-I/NAS-MAC를 도출할 수 있고, 도 3B에 도시된 바와 같이, 수신기는 XMAC-I/XNAS-MAC를 도출할 수 있다.
이들 입력 매개변수를 기반으로, 송신기는 도 3A의 무결성 프로세스 EIA (또한, 무결성 알고리즘 EIA로 칭하여지는)를 사용하여 32-비트 메시지 인증 코드(MAC-I/NAS-MAC)를 계산한다. 메시지 인증 코드(MAC)는 도 1에 도시된 바와 같이 송신될 때 메시지에 첨부된다. 수신기는 송신된 메시지에 대해 송신기가 메시지 인증 코드를 계산했던 것과 동일한 방법으로 수신된 메시지에 대해 예상되는 메시지 인증 코드(XMAC-I/XNAS-MAC)를 계산하고, 계산된 MAC를 수신된 메시지 인증 코드, 즉 MAC-I/NAS-MAC와 비교함으로서 메시지의 데이터 무결성을 검증한다.
TS 24.301 (또한, 참조[3]으로 칭하여지는)은 송신기가 암호화 알고리즘의 입력으로 로컬에 저장된 NAS COUNT를 사용함을 설명한다. 수신기는 암호해독 알고리즘에 대한 NAS COUNT 입력을 형성하기 위해 수신된 메시지에 포함된 NAS 시퀀스 번호 (또는 메시지에서 수신된 NAS 시퀀스 번호 중 5 비트로부터 추정된) 및 NAS 오버플로우 카운터에 대한 추정치를 사용한다.
128-비트 암호화 알고리즘이 사용될 수 있다. TS 33.401 (또한, 참조[2]로 칭하여지는)에 따라, 암호화 프로세스 (또한, 암호화 알고리즘으로 칭하여지는)에 대한 입력 매개변수는 KEY라 칭하여지는 128-비트 암호화 키, 32-비트 COUNT (즉, NAS COUNT), 5-비트 베어러 ID BEARER, 1-비트 전송 방향 (즉, DIRECTION), 및 요구되는 키스트림의 길이 (즉, LENGTH)이다. DIRECTION 비트는 업링크에서 0 및 다운링크에서 1이 될 수 있다.
도 4A 및 도 4B는 데이터의 암호화를 설명한다. 입력 매개변수를 기반으로, EEA 프로세스는 출력 키스트림 블록 KEYSTREAM을 발생하고, 이는 입력 블레인텍스트 블록 PLAINTEXT를 암호화하여 출력 암호텍스트 블록 CIPHERTEXT를 만드는데 사용된다.
동일한 AMF에서 종료되는 다중 NAS 연결의 지원은 미래의 증거, 동시성, 불가지론, 및/또는 유연성을 포함하여 새로운 문제를 일으킬 수 있다.
미래의 증거와 관련하여, 3GPP 및 비-3GPP로의 액세스의 타입 분류가 사실상 미래의 증거이며 임의의 새로운 미래의 액세스 기술에 적용될 수 있다. 2개 이상의 NAS 연결을 지원할 필요가 없는 것처럼 보이지만, 3GPP를 통해 하나 또한 비-3GPP 액세스를 통해 (예를 들면, WiFi 및 위성) 두개와 같이, 두개 이상의 동시 NAS 연결의 지원을 요구하는 미래의 기능이나 개선 사항이 없을 것이라는 것을 확실하게 배제할 수는 없다. 이러한 이유로, 새로운 보안 메카니즘은 두개의 연결로 제한되지 않고 임의의 (최대 한도) 수의 동시 연결을 효과적으로 지원하는 것이 더 나을 수 있다.
동시성과 관련하여, 시스템이 다른 NAS 레그(leg)를 통해 다수의 NAS 절차를 병렬로 실행하는 것이 가능하므로, 다중 NAS 연결의 도입은 동시성 문제를 일으킬 수 있다. 레거시 보안 메카니즘의 기본 가정이 유지되도록 AMF가 NAS 연결에 관계없이 한번에 하나씩 NAS 절차를 실행하게 명령하는 것을 생각할 수 있다. 이것은 기대되지 않는다. 예를 들어, 한 NAS 연결에서 실패한 NAS 절차는 예를 들어, 실패 타이머가 만료될 때까지, 다른 NAS 연결에서 진행중인 모든 동작을 보류시킬 수 있다. 이는 바람직하지 않은 설계의 선택이 될 수 있다. 그러므로, 새로운 보안 메카니즘이 다른 연결에서 NAS 절차의 평행한 실행을 지원하는 것이 더 나을 수 있다.
불가지론과 관련하여, 새로운 보안 메카니즘이 액세스 타입과 관계없이 동일한 보안 서비스를 제공하게 될 것으로 예상된다. 보안 서비스는 무결성, 기밀성, 및 재생 보호를 포함할 수 있다. 보안 서비스는 액세스 불가지론적 5G 아키텍처의 일반적인 설계 원칙과 나란히, 액세스 타입에 투명한 방식으로 제공되어야 한다.
유연성과 관련하여, 다중 NAS 연결의 새로운 특징은 레거시 시스템에서 가능하지 않았던 새로운 시나리오를 야기시킬 수 있다. 예를 들면, 한 액세스 타입을 통한 하나의 NAS 연결은 지속적으로 활성화될 수 있지만, 다른 액세스 타입을 통한 다른 하나는, 남용되는 용어로, 깜빡거릴 수 있다. 보다 정확하게, UE는 다른 레그에서 두 등록 상태 사이에서 진동하면서 하나의 NAS 레그를 통해 등록될 수 있다. UE가 한편으로 AMF 변경을 포함하여 몇가지 핸드오버(handover)를 실행할 수 있다는 것은 언급할 것도 없다. 그러므로, 새로운 보안 메카니즘은 바람직하게 이러한 이동성 시나리오를 지원하기에 충분하게 유연할 수 있다.
본 발명의 일부 실시예에 따라, 병렬 NAS 연결을 보장하는 방법이 제공될 수 있다. 이러한 방법은 보안 컨텍스트를 부분적으로 공유하는 것을 기반으로 하므로, 동일한 무선 터미널과의 다른 NAS 연결에 대해 마스터 키가 (5G에서 KASME와 동일한) 공유되면서, 동일한 무선 터미널과의 각 NAS 연결을 식별하기 위해 동일한 무선 터미널과의 각 NAS 연결에 대해 NAS CONN ID(NAS Connection Identification, NAS 연결 식별자)라 칭하여지는 NAS 매개변수의 사용을 기반으로 전용의 분리된 NAS COUNT 쌍이 주어진다.
일부 실시예에 따라, 설명되는 방법/디바이스는 미래의 증거, 동시성, 불가지론, 및/또는 유연성에 관련된 문제를 해결하면서, 레거시 시스템에서와 같이 NAS 연결에 관련된 유사한/동일한 레벨의 보안 서비스 및 보호를 제공한다.
다중 NAS 연결과 관련하여, 다음과 같이 가정될 수 있다.
첫번째로, 5G 시스템에서 KASME와 동일한 KAMF로 표시되는 AMF-지정 키가 있을 수 있다. 이 키는 성공적인 인증을 통해 설정되고, NAS 프로토콜 보호 키, 즉 KNASint 및 KNASenc를 도출하는데 사용된다.
두번째로, 시스템은 각 레그(연결)에서 NAS 메시지를 순서대로 전달하는 것을 제공/보장할 수 있다. 보다 특정하게, 레거시 시스템으로부터의 기본적인 NAS 전송 가정은 여전히 NAS 연결 당 적용되지만, 다른 연결에서 NAS 절차의 병렬 실행을 배제하지는 않는다.
세번째로, 암호화 프로세스 (또한, 암호화 알고리즘으로 칭하여지는)의 선택은 모든 NAS 연결에 무차별적으로 적용될 수 있다. 다른 말로 하면, NAS 연결-지정 보안 협상이 없는 것으로 가정될 수 있다. 협상은 예를 들어, 5G에서 NAS SMC 절차와 동일한 것과 같이, AMF 키를 설정 및 활성화하는 동안 한번만 일어나는 것으로 예상된다. NAS SMC(Security Mode Command, 보안 모드 명령) 절차는 TS 33.401 (또한, 참조[2]로 칭하여지는)에서 상세히 설명된다.
NAS 보안은 도 8 및 도 9에서 설명되는 바와 같이, NAS 프로토콜 관리 엔터티(entity)에 보안 서비스를 제공하는 NAS의 추가 기능인 것으로 또한 가정될 수 있다. 비록 이는 구현될 때까지 남겨둘 수 있지만, 도 8 및 도 9의 기준 모델이 예로서 제공된다. 업링크 NAS 메시지의 수신 및 다운링크 NAS 메시지의 전송을 위해, 도 8의 NAS 프로토콜 엔터티의 동작은 (NAS 보안 기능 및 NAS 연결 관리 기능을 포함하여) 네트워크 노드(501)의 프로세서(703)에 의해 실행될 수 있다. 다운링크 NAS 메시지의 수신 및 업링크 NAS 메시지의 전송을 위해, 도 9의 NAS 프로토콜 엔터티의 동작은 (NAS 보안 기능 및 NAS 연결 관리 기능을 포함하여) 도 6의 무선 터미널(505)의 프로세서(603)에 의해 실행될 수 있다.
예를 들어, NAS 보안 서비스는 다른 NAS 프로토콜 엔터티 또는 기능과 상호작용하는 독립형 보안 기능에 의해 제공될 수 있다. 예를 들면, NAS 연결 관리 기능은 업링크에서 수신된 보호 메시지를 보안 기능에 전달하고, 보안 기능은 체크 및 암호화 동작을 실행하여 다시 결과를 (예를 들면, 무결성 체크가 실패하였나 통과되었나 여부, 및/또는 메시지가 암호해독 되었나 여부 등) 복귀시킨다. 메시지가 다운링크에서 보호되어야 할 때, NAS 연결 관리 기능은 페이로드(payload)를 보안 기능에 제공하고, 보안 기능은 필요한 동작을 실행하여 보호 메시지를 복귀시킨다.
도 8 및 도 9는 각각 코어 네트워크 노드 및 무선 터미널에서의 NAS 보안 기능을 설명한다.
5G에 대해, NAS 보안 컨텍스트는 AMF 키 KAMF, 도출된 보호 키 KNASint와 KNASenc, 또한 5G에서 eKSI와 동일한 키 세트 식별자를 포함할 수 있다. 본 발명의 일부 실시예에 따라, 분리된 쌍의 NAS COUNT는 이 NAS 보안 컨텍스트에서 무선 터미널과의 각 NAS 연결에 사용될 수 있다.
상기에서 논의된 바와 같이, 각 NAS 연결에 대해, 분리된 쌍의 NAS COUNT는 각 방향에 하나씩, 사용/유지될 수 있다. 보안 키가 공유되므로 키 스트림 재사용을 감소/방지하기 위해, 암호화 분리에 대한 방법이 사용/요구될 수 있다. 이를 위해, NAS 연결-지정 매개변수가 도입될 수 있고, 이러한 NAS 연결-지정 매개변수는 NAS 연결 식별자로 칭하여지고 NAS CONN ID로 표시될 수 있다.
NAS CONN ID는 무선 터미널에 대해 새로운 NAS 연결이 셋업될 때마다 증가되는 숫자이다. 보안 컨텍스트에서, 각 NAS COUNT 쌍은 유일한 NAS CONN ID 값과 연관된다. 새로운 매개변수는 NAS 보안 기능과 상호작용할 때 각 메시지가 어느 NAS 연결에 속하는가를 나타내는 차별화 요소로 사용된다. 할당되지 않은 NAS CONN ID 값을 추적하기 위해, 추가 매개변수가 사용/필요로 될 수 있다. NEXT NAS CONN ID로 표시되는 이 새로운 매개변수는 또한 보안 컨텍스트의 일부가 될 수 있다. NEXT NAS CONN ID 매개변수는 초기에 0으로 설정되고, 무선 터미널에 대해 새로운 NAS 연결이 셋업될 때마다 증가된다. 무선 터미널에 대해 새로운 NAS 연결이 생성될 때마다, 이는 현재 NEXT NAS CONN ID 값의 식별자로 할당된다. 보다 특정하게, 새로운 NAS COUNT 쌍이 생성되고, 그 값이 현재 NEXT NAS CONN ID 값으로 설정된 NAS CONN ID와 연관된다. 이어서, NEXT NAS CONN ID 값이 증가된다. NAS 연결 식별자 NAS CONN ID는 이와 같이 인증 및/또는 암호화/암호해독 프로세스를 위한 입력으로 (직접적이거나 간접적으로) 사용될 수 있다.
본 발명의 일부 실시예에 따라, 새로운 NAS COUNT 쌍이 생성될 때, 카운터의 값은 0으로 설정된다. NAS CONN ID는 NAS 암호화/암호해독 및/또는 무결성 프로세스에 대한 입력을 구성할 때 NAS COUNT 24-비트 내부 표현을 패딩(padding)하는데 사용되는 8-비트 값이 될 수 있다. 레거시 시스템에서, 패딩은 TS 24.301 (또한, 참조[3]으로 칭하여지는)에서 설명되는 바와 같이, 항상 0으로 설정될 수 있다. 각 NAS 연결이 유일한 NAS CONN ID로 식별되므로, 패딩은 다른 NAS 연결을 통해 이동하는 메시지에 대해 암호화 분리를 제공/보장한다.
도 10A 및 도 10B는 송신기 및 수신기 측에서 NAS CONN ID를 사용하여 메시지의 무결성을 인증하도록 무결성 프로세서 EIA (또한, 무결성 알고리즘 EIA로 칭하여지는)를 사용하는 것을 설명한다. NAS 연결 식별자 NAS CONN ID를 COUNT 입력에 포함함으로서, 동일한 무선 터미널에 대한 다른 NAS 연결의 인증을 분리하는 것을 제공할 수 있다. COUNT 입력은 예를 들면, NAS 연결에 대한 8 비트 NAS CONN ID 및 NAS 연결에 대한 24 비트 NAS COUNT의 연결로 발생되는 32 비트값이 될 수 있다 (즉, COUNT(32 비트) = NAS CONN ID(8 비트) || NAS COUNT(24 비트)). 이와 같이, 도 10A는 전송기 측에서 MAC-I/NAS-MAC을 도출하는데 NAS CONN ID를 사용하는 것을 설명하고, 도 10B는 수신기 측에서 XMAC-I/XNAS-MAC를 도출하는데 NAS CONN ID를 사용하는 것을 설명한다.
도 11A 및 도 11B는 송신기 및 수신기 측에서 NAS CONN ID를 사용하여 메시지를 암호화/암호해독 하도록 암호화/암호해독 알고리즘 EIA를 사용하는 것을 설명한다. NAS 연결 식별자 NAS CONN ID를 COUNT 입력에 포함함으로서, 동일한 무선 터미널에 대한 다른 NAS 연결의 암호화/암호해독을 분리하는 것을 제공할 수 있다. COUNT 입력은 예를 들면, NAS 연결에 대한 8 비트 NAS CONN ID 및 NAS 연결에 대한 24 비트 NAS COUNT의 연결로 발생되는 32 비트값이 될 수 있다 (즉, COUNT(32 비트) = NAS CONN ID(8 비트) || NAS COUNT(24 비트)). 이와 같이, 도 11A는 전송기 측에서 플레인텍스트를 암호화하는데 NAS CONN ID를 사용하는 것을 설명하고, 도 11B는 수신기 측에서 암호 텍스트를 암호해독 하는데 NAS CONN ID를 사용하는 것을 설명한다.
일부 다른 실시예에 따라, NAS CONN ID는 이후 논의될 바와 같이, 인증 및/또는 암호화/암호해독 프로세스를 위한 BEARER 입력으로 사용되는 5-비트 값이 될 수 있다.
도 12A 및 도 12B는 송신기 및 수신기 측에서 NAS CONN ID를 사용하여 메시지의 무결성을 인증하도록 무결성 알고리즘 EIA를 사용하는 것을 설명한다. BEARER 입력으로 NAS 연결 식별자 NAS CONN ID를 사용함으로서, 동일한 무선 터미널에 대한 다른 NAS 연결의 인증을 분리하는 것을 제공할 수 있다. 이와 같이, 도 12A는 전송기 측에서 MAC-I/NAS-MAC을 도출하는데 BEARER 입력으로 NAS CONN ID를 사용하는 것을 설명하고, 도 12B는 수신기 측에서 XMAC-I/XNAS-MAC를 도출하는데 BEARER 입력으로 NAS CONN ID를 사용하는 것을 설명한다.
도 13A 및 도 13B는 송신기 및 수신기 측에서 NAS CONN ID를 사용하여 메시지를 암호화/암호해독 하도록 암호화/암호해독 프로세스 EEA를 사용하는 것을 설명한다. BEARER 입력으로 NAS 연결 식별자 NAS CONN ID를 사용함으로서, 동일한 무선 터미널에 대한 다른 NAS 연결의 암호화/암호해독을 분리하는 것을 제공할 수 있다. 이와 같이, 도 13A는 전송기 측에서 플레인텍스트를 암호화하는데 BEARER 입력으로 NAS CONN ID를 사용하는 것을 설명하고, 도 13B는 수신기 측에서 암호 텍스트를 암호해독 하는데 BEARER 입력으로 NAS CONN ID를 사용하는 것을 설명한다.
도 10A-B, 도 11A-B, 도 12A-B, 및/또는 도 13A-B의 무결성 인증 및/또는 암호화/암호해독을 제공하는 동작은 도 17A 및 도 17B의 흐름도에 대해 이제 논의될 것이다.
통신 노드의 동작은 이제 도 17A의 흐름도 및 도 17B의 모듈을 참고로 이제 논의될 것이다. 예를 들어, 도 17B의 모듈은 통신 노드의 메모리에 (예를 들면, 통신 노드가 무선 터미널인 경우 도 6의 무선 터미널 메모리(605), 또는 통신 노드가 네트워크 노드인 경우 도 7의 네트워크 노드 메모리(705)) 저장될 수 있고, 이들 모듈은 모듈의 명령이 통신 노드 프로세서에 의해 (예를 들면, 통신 노드가 무선 터미널인 경우 무선 터미널 프로세서(603), 또는 통신 노드가 네트워크 노드인 경우 네트워크 노드 프로세서(705)) 실행될 때 프로세서가 도 17A의 흐름도의 각 동작을 실행하도록 명령을 제공할 수 있다.
도 5에 대해 상기에 논의된 바와 같이, 제1 및 제2 NAS 연결은 제1 및 제2 통신 노드 사이에, 예를 들어 무선 터미널(505) 및 네트워크 노드(501) (예를 들면, 코어 네트워크 노드) 사이에 제공될 수 있다. 통신 노드 프로세서는 블록(1711)에서 제1 및 제2 통신 노드 사이의 제1 NAS 연결에 대해 제1 NAS 연결 식별자를 제공할 수 있다 (예를 들면, 제1 식별 모듈(1751)을 사용하여). 통신 노드 프로세서는 또한 블록(1713)에서 제1 및 제2 통신 노드 사이의 제2 NAS 연결에 대해 제2 NAS 연결 식별자를 제공할 수 있다 (예를 들면, 제2 식별 모듈(1753)을 사용하여). 또한, 제1 및 제2 NAS 연결 식별자는 다르고, 제1 및 제2 NAS 연결은 다르다.
블록(1717)에서 제1 NAS 연결을 통한 통신인 경우, 통신 노드 프로세서는 제1 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 제1 NAS 메시지를 통신할 수 있다 (예를 들면, 제1 통신 모듈(1757)을 사용하여). 보다 특정하게, 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별자를 사용하여 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제1 NAS 연결 식별자를 사용하여 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함할 수 있다.
블록(1719)에서 제2 NAS 연결을 통한 통신인 경우, 통신 노드 프로세서는 제2 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 제2 NAS 메시지를 통신할 수 있다 (예를 들면, 제2 통신 모듈(1759)을 사용하여). 보다 특정하게, 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별자를 사용하여 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제2 NAS 연결 식별자를 사용하여 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함할 수 있다.
제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유한다. 또한, 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별자 및 마스터 키를 사용하여 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제1 NAS 연결 식별자 및 마스터 키를 사용하여 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함할 수 있다. 유사하게, 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별자 및 마스터 키를 사용하여 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제2 NAS 연결 식별자 및 마스터 키를 사용하여 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함할 수 있다.
도 17A의 동작은 NAS 메시지를 전송하고 있는 통신 노드에 의해 (예를 들면, 업링크에서 무선 터미널(505), 또는 다운링크에서 네트워크 노드(501)) 실행될 수 있다. 상기에 논의된 바와 같이, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유할 수 있다. 블록(1717)에서, 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별자, 마스터 키, 및 제1 NAS 메시지를 기반으로 제1 메시지 인증 코드를 발생시키고, 제1 메시지 인증 코드와 함께 제1 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로 전송함으로서 무결성 보호를 실행하는 단계를 포함할 수 있다. 블록(1719)에서, 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별자, 마스터 키, 및 제2 NAS 메시지를 기반으로 제2 메시지 인증 코드를 발생시키고, 제2 메시지 인증 코드와 함께 제2 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로 전송함으로서 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계를 포함할 수 있다.
전송 노드에 대한 일부 실시예에 따라, 제1 NAS 연결 식별자는 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열될 수 있고, 제1 NAS 연결 식별자 및 제1 NAS 카운트의 배열은 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열될 수 있고, 제2 NAS 연결 식별자 및 제2 NAS 카운트의 배열은 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있다. 전송 노드에 대한 일부 다른 실시예에 따라, 제1 NAS 연결 식별자는 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있다. 전송 노드에 대한 또 다른 실시예에 따라, 마스터 키 및 제1 NAS 연결 식별자는 제1 메시지 인증 코드를 발생하는데 사용되는 제1 무결성 보호 키를 도출하는데 사용될 수 있고, 마스터 키 및 제2 NAS 연결 식별자는 제2 메시지 인증 코드를 발생하는데 사용되는 제2 무결성 보호 키를 도출하는데 사용될 수 있다. 또한, 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함할 수 있다.
도 17A의 동작은 NAS 메시지를 전송하고 있는 통신 노드에 의해 (예를 들면, 업링크에서 무선 터미널(505), 또는 다운링크에서 네트워크 노드(501)) 실행될 수 있다. 상기에 논의된 바와 같이, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유할 수 있다. 블록(1717)에서, 제1 NAS 메시지를 통신하는 단계는 제1 암호화 NAS 메시지를 제공하도록 제1 NAS 연결 식별자 및 마스터 키를 사용하여 제1 NAS 메시지를 암호화하고, 제1 암호화 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로 전송함으로서 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함할 수 있다. 블록(1719)에서, 제2 NAS 메시지를 통신하는 단계는 제2 암호화 NAS 메시지를 제공하도록 제2 NAS 연결 식별자 및 마스터 키를 사용하여 제2 NAS 메시지를 암호화하고, 제2 암호화 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로 전송함으로서 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함할 수 있다.
전송 노드에 대한 일부 실시예에 따라, 제1 NAS 연결 식별자는 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열될 수 있고, 제1 NAS 연결 식별자 및 제1 NAS 카운트의 배열은 제1 암호화 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열될 수 있고, 제2 NAS 연결 식별자 및 제2 NAS 카운트의 배열은 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있다. 전송 노드의 일부 다른 실시예에 따라, 제1 NAS 연결 식별자는 제1 암호화 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있다. 전송 노드의 또 다른 실시예에 따라, 마스터 키 및 제1 NAS 연결 식별자는 제1 암호화 NAS 메시지를 발생하는데 사용되는 제1 암호화 키를 도출하는데 사용될 수 있고, 마스터 키 및 제2 NAS 연결 식별자는 제2 암호화 NAS 메시지를 발생하는데 사용되는 제2 암호화 키를 도출하는데 사용될 수 있다. 제1 NAS 메시지를 암호화하는 단계는 EEA 암호화를 사용하여 제1 NAS 메시지를 암호화하는 단계를 포함하고, 제2 NAS 메시지를 암호화하는 단계는 EEA 암호화를 사용하여 제2 NAS 메시지를 암호화하는 단계를 포함할 수 있다. 또한, 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계는 5G 호환가능 EIA 암호화 인터페이스를 사용하여 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계는 5G 호환가능 EIA 암호화 인터페이스를 사용하여 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함할 수 있다.
도 17A의 동작은 NAS 메시지를 수신하고 있는 통신 노드에 의해 (예를 들면, 다운링크에서 무선 터미널, 또는 업링크에서 네트워크 노드) 실행될 수 있다. 상기에 논의된 바와 같이, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유할 수 있다. 블록(1715)에서, 제1 NAS 메시지를 통신하는 단계는 제1 메시지 인증 코드와 함께 제1 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로부터 수신하고, 제1 NAS 연결 식별자, 마스터 키, 및 제1 NAS 메시지를 기반으로 제1 NAS 메시지에 대한 제1 도출 메시지 인증 코드를 발생함으로서 제1 NAS 메시지의 무결성 보호를 실행하고, 또한 제1 메시지 인증 코드 및 제1 도출 메시지 인증 코드 매칭(matching)에 응답하여 제1 NAS 메시지를 처리하는 단계를 포함할 수 있다. 블록(1719)에서, 제2 NAS 메시지를 통신하는 단계는 제2 메시지 인증 코드와 함께 제2 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로부터 수신하고, 제2 NAS 연결 식별자, 마스터 키, 및 제2 NAS 메시지를 기반으로 제2 NAS 메시지에 대한 제2 도출 메시지 인증 코드를 발생함으로서 제2 NAS 메시지에 대한 무결성 보호를 실행하고, 또한 제2 메시지 인증 코드 및 제2 도출 메시지 인증 코드 매칭에 응답하여 제2 NAS 메시지를 처리하는 단계를 포함할 수 있다.
수신 노드에 대한 일부 실시예에 따라, 제1 NAS 연결 식별자는 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열될 수 있고, 제1 NAS 연결 식별자 및 제1 NAS 카운트의 배열은 제1 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열될 수 있고, 제2 NAS 연결 식별자 및 제2 NAS 카운트의 배열은 제2 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있다. 수신 노드에 대한 일부 다른 실시예에 따라, 제1 NAS 연결 식별자는 제1 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공될 수 있다. 수신 노드에 대한 또 다른 실시예에 따라, 마스터 키 및 제1 NAS 연결 식별자는 제1 도출 메시지 인증 코드를 발생하는데 사용되는 제1 무결성 보호 키를 도출하는데 사용될 수 있고, 마스터 키 및 제2 NAS 연결 식별자는 제2 도출 메시지 인증 코드를 발생하는데 사용되는 제2 무결성 보호 키를 도출하는데 사용될 수 있다. 또한, 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함할 수 있다.
도 17A의 동작은 NAS 메시지를 수신하고 있는 통신 노드에 의해 (예를 들면, 다운링크에서 무선 터미널, 또는 업링크에서 네트워크 노드) 실행될 수 있다. 상기에 논의된 바와 같이, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유할 수 있다. 블록(1717)에서, 제1 NAS 메시지를 통신하는 단계는 제1 암호화 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로부터 수신하고, 제1 암호해독 NAS 메시지를 제공하도록 제1 NAS 연결 식별자 및 마스터 키를 사용하여 제1 암호화 NAS 메시지를 암호해독 함으로서 제1 NAS 메시지에 대한 기밀성 보호를 실행하고, 또한 제1 암호해독 NAS 메시지를 처리하는 단계를 포함할 수 있다. 블록(1719)에서, 제2 NAS 메시지를 통신하는 단계는 제2 암호화 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로부터 수신하고, 제2 암호해독 NAS 메시지를 제공하도록 제2 NAS 연결 식별자 및 마스터 키를 사용하여 제2 암호화 NAS 메시지를 암호해독 함으로서 제2 NAS 메시지에 대한 기밀성 보호를 실행하고, 또한 제2 암호해독 NAS 메시지를 처리하는 단계를 포함할 수 있다.
수신 노드에 대한 일부 실시예에 따라, 제1 NAS 연결 식별자는 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열될 수 있고, 제1 NAS 연결 식별자 및 제1 NAS 카운트의 배열은 제1 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열될 수 있고, 제2 NAS 연결 식별자 및 제2 NAS 카운트의 배열은 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있다. 수신 노드에 대한 일부 다른 실시예에 따라, 제1 NAS 연결 식별자는 제1 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있으며, 제2 NAS 연결 식별자는 제2 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공될 수 있다. 수신 노드에 대한 또 다른 실시예에 따라, 마스터 키 및 제1 NAS 연결 식별자는 제1 암호해독 NAS 메시지를 발생하는데 사용되는 제1 암호해독 키를 도출하는데 사용될 수 있고, 마스터 키 및 제2 NAS 연결 식별자는 제2 암호해독 NAS 메시지를 발생하는데 사용되는 제2 암호해독 키를 도출하는데 사용될 수 있다. 또한, 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호해독 인터페이스를 사용하여 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호해독 인터페이스를 사용하여 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함할 수 있다.
도 17A의 실시예에서, 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공될 수 있고, 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공될 수 있으며; 또는 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공될 수 있고, 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공될 수 있다. 예를 들어, 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함할 수 있고, 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함할 수 있다.
또한, 도 17A의 제1 및 제2 NAS 연결은 제1 및 제2 통신 노드 사이에서 동시에 유지될 수 있다, 부가하여, 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(Packet Data Unit, PDU) 세션이 설립되어 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신할 수 있다.
도 17A의 다양한 동작 및/또는 도 17B의 모듈은 통신 노드 및 관련 방법의 일부 실시예에 대해 선택적일 수 있다. 예를 들어, 예시 실시예 1 (이후 설명될)의 방법에 대해서는 도 17B의 블록(1715)의 동작이 선택적일 수 있다.
일부 다른 실시예에 따라, NAS COUNT 도메인은 이후 설명될 바와 같이, 운행 중인 NAS 연결의 수에 따라 분할될 수 있다. 도 10A-B, 도 11A-B, 도 12A-B, 및 도 13A-B에 대해 상기에 논의된 실시예에 대한 차이점은 NAS CONN ID가 지속적으로 증가되지 않을 수 있고, 실제로 KAMF 키의 수명 동안 다른 NAS 연결에 동일한 NAS CONN ID 값이 할당될 수 있다는 점이다.
이러한 실시예에서는 NAS CONN NUM으로 표시되는 새로운 매개변수가 무선 터미널에 대해 운행 중인 NAS 연결의 수를 추적하는데 사용될 수 있다. 부가하여, 이용가능한 모든 NAS COUNT 쌍에서 업링크 및 다운링크에 대한 COUNT의 최대값을 추적하기 위해 특별한 NAS COUNT 쌍이 사용될 수 있다. 이 매개변수는 MAX NAS COUNT 쌍이라 칭하여질 수 있다. 초기에, 모든 매개변수는 0으로 설정된다. 무선 터미널에 대해 새로운 NAS 연결이 셋업될 때, 새로운 NAS 연결에 현재 NAS CONN NUM 값이 NAS CONN ID로 할당된다. 현재 NAS COUNT MAX 값으로 설정된 값을 갖는 새로운 NAS COUNT 쌍이 생성되고 연결 NAS CONN ID가 추가된다. 존재하는 모든 연결에 대해, NAS COUNT 값은 대응하는 NAS CONN ID가 추가된 현재 NAS COUNT MAX 값으로 조정된다. 마지막으로, NAS CONN NUM이 증가된다.
NAS 연결이 종료되는 경우, NAS CONN NUM은 감소되고, 끊어진 연결을 통해 한 식별자를 갖는 모든 연결이 감소하고, 또한 모든 NAS COUNT는 연결 추가 경우에서와 같이 조정된다. NAS 메시지가 성공적으로 처리될 때마다 (전송을 위해 또는 수신될 때), 그 NAS 연결에 대해, NAS COUNT 값은 NAS COUNT NUM 만큼 증가된다. 직관적으로, NAS CONN NUM은 모든 NAS COUNT에 대한 증가분으로 사용된다. 그러나, 오버랩을 감소/방지하기 위해, 연결이 설정되거나 끊어질 때마다, NAS COUNT는 현재 NAS COUNT MAX 값 및 대응하는 (재조정 가능한) NAS CONN ID를 기반으로 재조정된다.
본 실시예는 NAS COUNT 도메인의 효율적인/양호한 사용을 제공/보장하지 않을 수 있다. 하나의 NAS 연결이 다른 것 보다 더 활성적인 경우 (MAX NAS COUNT 값을 구동시키는), 보다 활성적인 NAS 연결이 종료되면 나머지 연결의 NAS COUNT 값이 약진하여 NAS COUNT 값을 낭비할 수 있다.
이제 도 18A의 흐름도 및 도 18B의 모듈을 참고로 통신 노드의 동작이 논의될 것이다. 예를 들어, 도 18B의 모듈은 통신 노드의 메모리에 (예를 들면, 통신 노드가 무선 터미널인 경우 도 6의 무선 터미널 메모리(605), 또는 통신 노드가 네트워크 노드인 경우 도 7의 네트워크 노드 메모리(705)) 저장될 수 있고, 이들 모듈은 모듈의 명령이 통신 노드 프로세서에 의해 (예를 들면, 통신 노드가 무선 터미널인 경우 무선 터미널 프로세서(603), 또는 통신 노드가 네트워크 노드인 경우 네트워크 노드 프로세서(705)) 실행될 때 프로세서가 도 18A의 흐름도의 각 동작을 실행하도록 명령을 제공할 수 있다.
통신 노드 프로세서는 블록(1801)에서 제1 및 제2 통신 노드 사이에 제1 NAS 연결을 제공할 수 있고 (예를 들면, 제1 NAS 연결 모듈(1851)을 사용하여), 블록(1803)에서 제1 및 제2 통신 노드 사이에 제2 NAS 연결을 제공할 수 있다 (예를 들면, 제2 NAS 연결 모듈(1853)을 사용하여). 또한, 제1 및 제2 NAS 연결은 다를 수 있다.
통신 노드 프로세서는 블록(1805)에서 NAS 카운트 도메인의 제1 부분이 제1 NAS 연결을 통해 통신되는 NAS 메시지에 할당되고 NAS 카운트 도메인의 제2 부분이 제2 NAS 연결을 통해 통신되는 NAS 메시지에 할당되도록 NAS 카운트 도메인을 할당할 수 있다 (예를 들면, 할당 모듈(1855)을 사용하여). 또한, NAS 카운트 도메인의 제1 및 제2 부분은 서로 배타적일 수 있다.
블록(1807)에서 NAS 통신에 대해, 통신 노드 프로세서는 블록(1809)에서 어느 연결이 사용되는가 여부를 결정할 수 있다. 통신 노드 프로세서는 제1 NAS 연결을 통해 통신된 (예를 들면, 제1 NAS 통신 모듈(1851)을 사용하여) 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제1 부분으로부터 최저 NAS 카운트 값을 사용하여 블록(1811)에서 제1 NAS 연결을 통해 NAS 메시지를 통신할 수 있다. 통신 노드 프로세서는 제2 NAS 연결을 통해 통신된 (예를 들면, 제2 NAS 통신 모듈(1853)을 사용하여) 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제2 부분으로부터 최저 NAS 카운트 값을 사용하여 블록(1813)에서 제2 NAS 연결을 통해 NAS 메시지를 통신할 수 있다.
NAS 카운트 도메인의 제1 및 제2 부분의 NAS 카운트 값은 인터리브(interleave)될 수 있다. 두개의 NAS 연결에서, NAS 카운트 도메인의 제1 부분은 짝수 NAS 카운트 값을 포함할 수 있고, NAS 카운트 도메인의 제2 부분은 홀수 NAS 카운트 값을 포함할 수 있다. 이와 같은 NAS 카운트 도메인의 분할로, 제1 NAS 연결을 통해 통신되는 NAS 메시지는 NAS 카운트 도메인의 제1 부분으로부터 시퀀스 번호 0, 2, 4, 6, 8 등으로 지정될 수 있고, 제2 NAS 연결을 통해 통신되는 NAS 메시지는 NAS 카운트 도메인의 제2 부분으로부터 시퀀스 번호 1, 3, 5, 7 등으로 지정될 수 있다. 또한, NAS 연결 중 하나가 더 활성적이면, NAS 카운트 도메인의 다른 부분 보다 NAS 카운트 도메인의 한 부분으로부터 더 많은 시퀀스 번호가 지정될 수 있다. 한 예에서, 8개 NAS 메시지가 제1 NAS 연결을 통해 전송되고 3개 NAS 메시지가 제2 NAS 연결을 통해 전송되면, 제1 NAS 연결을 통해 전송되는 NAS 메시지에는 시퀀스 번호 0, 2, 4, 6, 8, 10, 12, 및 14가 각각 지정될 수 있고, 제2 NAS 연결을 통해 전송되는 NAS 메시지에는 시퀀스 번호 1, 3, 및 5가 각각 지정될 수 있고, NAS Count Max 값은 14가 될 것이다.
블록(1807, 1809, 1811, 및 1813)의 동작은 연결에 변화가 생길 때까지 블록(1815)에서 반복될 수 있다. 블록(1816)에서, 예를 들면, 통신 노드 프로세서는 제1 및 제2 통신 노드 사이에 제3 NAS 연결을 제공할 수 있다 (예를 들면, 제3 NAS 연결 모듈(1856)을 사용하여). 제1 및 제3 NAS 연결은 다르고, 제2 및 제3 NAS 연결도 다르다. 또한, 통신 노드 프로세서는 블록(1817)에서 NAS 카운트 도메인을 재할당할 수 있다 (예를 들면, 재할당 모듈(1857)을 사용하여). 재할당되면, NAS 카운트 도메인의 제1 부분은 제1 NAS 연결을 통해 통신되는 NAS 메시지에 할당되고, NAS 카운트 도메인의 제2 부분은 제2 NAS 연결을 통해 통신되는 NAS 메시지에 할당되고, NAS 카운트 도메인의 제3 부분은 제3 NAS 연결을 통해 통신되는 NAS 메시지에 할당될 수 있고, 또한 NAS 카운트 도메인의 제1, 제2, 및 제3 부분은 상호 배타적이다.
상기의 예를 실행할 때, NAS Count Max 값이 18이면, 재할당은 14 보다 큰 NAS 카운트 값에 대해 일어나므로, NAS 카운트 값 7, 9, 11, 및 13은 사용되지 않는다. 이러한 예에 따라, 재할당 이후, NAS 카운트 도메인의 제1 부분은 3으로 나누어질 수 있는 14 보다 큰 NAS 카운트 값을 (예를 들면, 15, 18, 21, 24 등) 포함할 수 있고, NAS 카운트 도메인의 제2 부분은 3으로 나누면 나머지가 1이고 14 보다 큰 NAS 카운트 값을 (예를 들면, 16, 19, 22, 25 등) 포함할 수 있고, NAS 카운트 도메인의 제3 부분은 3으로 나누면 나머지가 2이고 14 보다 큰 NAS 카운트 값을 (예를 들면, 17, 20, 23, 26 등) 포함할 수 있다.
블록(1819)에서 NAS 통신에 대해, 통신 노드 프로세서는 블록(1821)에서 어느 연결이 사용되는가 여부를 결정할 수 있다. 통신 노드 프로세서는 제1 NAS 연결을 통해 통신된 (예를 들면, 제1 NAS 통신 모듈(1861)을 사용하여) 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제1 부분으로부터 최저 NAS 카운트 값을 사용하여 블록(1831)에서 제1 NAS 연결을 통해 NAS 메시지를 통신할 수 있다. 통신 노드 프로세서는 제2 NAS 연결을 통해 통신된 (예를 들면, 제2 NAS 통신 모듈(1863)을 사용하여) 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제2 부분으로부터 최저 NAS 카운트 값을 사용하여 블록(1833)에서 제2 NAS 연결을 통해 NAS 메시지를 통신할 수 있다. 통신 노드 프로세서는 제3 NAS 연결을 통해 통신된 (예를 들면, 제3 NAS 통신 모듈(1865)을 사용하여) 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제3 부분으로부터 최저 NAS 카운트 값을 사용하여 블록(1835)에서 제3 NAS 연결을 통해 NAS 메시지를 통신할 수 있다.
도 18A의 일부 실시예에 따라, 제1 통신 노드는 네트워크 노드이고, 제2 통신 노드는 무선 터미널이고, 또한 NAS 카운트 도메인은 업링크 NAS 카운트 도메인 일 수 있다. 따라서, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제1 NAS 연결을 통해 NAS 메시지를 수신하는 것을 포함하고, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제2 NAS 연결을 통해 NAS 메시지를 수신하는 것을 포함할 수 있다.
도 18A의 일부 다른 실시예에 따라, 제1 통신 노드는 네트워크 노드이고, 제2 통신 노드는 무선 터미널이고, 또한 NAS 카운트 도메인은 다운링크 NAS 카운트 도메인 일 수 있다. 따라서, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제1 NAS 연결을 통해 NAS 메시지를 전송하는 것을 포함하고, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제2 NAS 연결을 통해 NAS 메시지를 전송하는 것을 포함할 수 있다.
도 18A의 또 실시예에 따라, 제1 통신 노드는 무선 터미널이고, 제2 통신 노드는 네트워크 노드이고, 또한 NAS 카운트 도메인은 업링크 NAS 카운트 도메인 일 수 있다. 따라서, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제1 NAS 연결을 통해 NAS 메시지를 전송하는 것을 포함하고, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제2 NAS 연결을 통해 NAS 메시지를 전송하는 것을 포함할 수 있다.
도 18A의 또 실시예에 따라, 제1 통신 노드는 무선 터미널이고, 제2 통신 노드는 네트워크 노드이고, 또한 NAS 카운트 도메인은 다운링크 NAS 카운트 도메인 일 수 있다. 따라서, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제1 NAS 연결을 통해 NAS 메시지를 수신하는 것을 포함하고, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 것은 제2 NAS 연결을 통해 NAS 메시지를 수신하는 것을 포함할 수 있다.
도 18A의 실시예에서, 제1 NAS 연결은 제1 및 제2 통신 노드 사이에서 3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이에서 비-3GPP 액세스 노드를 통해 제공될 수 있거나, 또는 제1 NAS 연결은 제1 및 제2 통신 노드 사이에서 비-3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이에서 3GPP 액세스 노드를 통해 제공될 수 있다.
부가하여, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 것은 NAS 카운트 도메인의 제1 부분으로부터 각각의 NAS 카운트 값을 사용하여 메시지 인증 코드를 발생함으로서 무결성 보호를 실행하는 것 및/또는 NAS 카운트 도메인의 제1 부분으로부터 각각의 NAS 카운트 값을 사용하여 기밀성 보호를 실행하는 것 중 적어도 하나를 포함할 수 있다. 유사하게, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 것은 NAS 카운트 도메인의 제2 부분으로부터 각각의 NAS 카운트 값을 사용하여 메시지 인증 코드를 발생함으로서 무결성 보호를 실행하는 것 및/또는 NAS 카운트 도메인의 제2 부분으로부터 각각의 NAS 카운트 값을 사용하여 기밀성 보호를 실행하는 것 중 적어도 하나를 포함할 수 있다.
또한, 도 18A의 제1 및 제2 NAS 연결은 제1 및 제2 통신 노드 사이에서 동시에 유지될 수 있다. 부가하여, 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(PDU) 세션이 설립되어 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신할 수 있다.
도 18A의 다양한 동작 및/또는 도 18B의 모듈은 통신 노드 및 관련 방법의 일부 실시예에 대해 선택적일 수 있다. 예를 들어, 예시 실시예 1 (이후 설명될)의 방법에 대해서는 도 18A의 블록(1807, 1809, 1815, 1816, 1817, 1819, 1821, 1831, 1833, 및 1835)의 동작이 선택적일 수 있고, 모듈(1856, 1857, 1861, 1863, 및 1865)는 선택적일 수 있다.
본 발명의 일부 다른 실시예에 따라, 암호화 분리는 키의 레벨에서 제공될 수 있다. NAS 보호 키는 TS 33.401 (또한, 참조[2]로 칭하여지는)에서 설명된 바와 같이 레거시 시스템에서 도출될 수 있다.
일반적으로, LTE에 대한 모든 키 도출물 (입력 매개변수 인코딩을 포함하여)은 TS 33.220 (또한, 참조[4]라 칭하여지는)에서 지정된 키 도출 함수(key derivation function, KDF)를 사용해 실행될 수 있다. KDF는 키와 문자열 S를 입력으로 취한다. 도출된 키는 입력 키와 문자열 S에 HMAC-SHA-256 (RFC 2104에서 설명되는, 또한 참조[5]라 칭하여지는)를 적용함으로서 구해진다. 문자열 S는 FC라 칭하여지는 구별자 매개변수와 다른 매개변수 및 그들의 각 길이의 세트를 배열하여 구성된다 : S = FC||P0||L0||P1||L1||P2||L2||P3||L3||...||Pn||Ln, 여기서 Pi (i는 0 내지 n)는 매개변수이고 Li는 옥텟 단위의 길이이다.
TS 33.401 (또한, 참조[2]로 칭하여지는)의 조항 A.7에 따라, KASME 및 프로세스/알고리즘 타입과 ID로부터 NAS 무결성 및 NAS 암호화 프로세스 (또한, 알고리즘이라 칭하여지는)에 대한 키를 도출할 때, 다음의 매개변수가 문자열 S를 형성하는데 사용될 수 있다.
- FC = 0x15
- P0 = 프로세스 타입 구별자
- L0 = 프로세스 타입 구별자의 길이 (즉, 0x00 0x01)
- P1 = 프로세스 신원
- L1 = 프로세스 신원의 길이 (즉, 0x00 0x01)
프로세스 타입 구별자는 NAS 암호화 프로세스에 대한 NAS-enc-alg 및 NAS 무결성 보호 프로세스에 대한 NAS-int-alg가 있다 (도표 A.7-1을 참조). 도 14는 프로세스 타입 구별자를 설명하는 도표이다.
프로세스 신원 (TS 33.401의 조항 5에서 지정된 바와 같이, 또한 참조[2]로 칭하여지는)은 옥텟의 4개의 최하위 비트에 포함될 수 있다. 4개 최상위 비트 중 2개 최하위 비트는 미래의 사용을 위해 예정될 수 있고, 최상위 니블(nibble) 중 2개 최상위 비트는 개인 사용을 위해 예정될 수 있다. 전체 4개의 최상위 비트는 모두 0으로 설정될 수 있다.
NAS 프로세스 키 도출을 위해, 입력 키는 256-비트 KASME가 될 수 있다. 길이 n 비트의 프로세스 키에서, n은 256 보다 작거나 같을 때, KDF 출력의 256 비트 중 n개의 최하위 비트는 프로세스 키 (또한, 알고리즘 키로 칭하여지는)로 사용될 수 있다.
도 10A-B, 도 11A-B, 도 12A-B, 및 도 13A-B에 대해 상기에 논의된 바와 같이, 연결 식별자 NAS CONN ID는 동일한 무선 터미널에 의해 사용되는 다른 NAS 연결의 분리를 제공하도록 인증 및/또는 암호화/암호해독 프로세스에서 사용될 수 있다.
일부 실시예에 따라, NAS CONN ID는 NAS 보호 키 KNASenc 및 KNASint의 도출에 사용될 수 있다. 결과의 보호 키는 이와 같이 NAS 연결-지정될 수 있어 동일한 무선 터미널에 의해 사용되는 다른 NAS 연결에 대한 분리를 제공할 수 있다.
예를 들어, 입력 S 문자열의 구성에 새로운 매개변수 P2가 도입될 수 있다. 이 매개변수 P2는 NAS CONN ID가 되고, 그 길이 L2는 NAS CONN ID가 갖는 길이 (옥텟)이다. 예를 들어, NAS CONN ID가 8 비트이면, L2는 1이다 (하나의 옥텟). NAS CONN ID가 32-비트 길이의 값으로 지정되면, L2는 상수 4 (4개 옥텟)로 설정된다. 모든 다른 매개변수 (P0, P1)는 동일하게 유지되거나 5G-등가물을 기반으로 할 수 있다.
도 15는 NAS CONN ID가 S 문자열의 도출에 사용되는 경우 S 문자열을 기반으로 하는 키 도출을 설명한다. 여기서, 마스터 키 KAMF 및 S는 EIA 인증 및/또는 EEA 암호화/암호해독에 사용되는 KEY K를 발생하기 위해 키 도출 함수(KDF)에 대한 입력으로 제공된다. 도 15에서:
* KAMF는 5G에서의 KASME와 같다;
* S는 배열 FC||P0||L0||P1||L1||P2||L2로 구성되고, 여기서;
o FC는 잠재적으로 NAS 보호 키의 도출을 위한 새로운 구별자이다.
o P0, P1, L0, 및 L1은 잠재적으로 LTE에서 사용되는 것과 같은 새로운 매개변수 및 값을 기반으로 한다. 사실상, 5G에서의 알고리즘은 잠재적으로 다른 명칭 및 다른 타입 구별자 값 등을 가질 수 있다.
o P2 및 L2는 NAS CONN ID를 기반으로 하는 새로운 매개변수이다.
FC 값에 따라, NAS 무결성 보호 키 또는 NAS 암호화 키를 도출하는데 동일한 절차가 사용된다. NAS CONN ID가 도출 함수에서 사용되므로, 이들 키는 NAS 연결에 지정된다.
일부 다른 실시예에 따라, NAS CONN ID는 다른 더 낮은 레벨의 보호 키를 도출하는데 사용된 KAMF 키로부터 새로운 레벨 키 KNAS를 도출하는데 사용될 수 있다. KNAS 및 도출된 보호 키는 이와 같이 NAS 연결에 지정될 수 있다.
예를 들어, KNAS라 칭하여지는 새로운 키는 도 16에 도시된 바와 같이 KAMF로부터 도출될 수 있고, 여기서 S는 FC||P0||L0로 설정되고 FC는 새로운 값을 갖고 P0, L0는 NAS CONN ID에 대응한다. 사실상, P0 및 L0는 도 15에 대해 상기에 논의된 바와 같이 P2 및 L2와 유사하게 정의된다. NAS CONN ID가 이러한 새로운 중간 키의 도출에 사용되기 때문에, NAS 연결에 지정된다. KNAS 키로부터 이어서 도출되는 모든 것도 또한 NAS 연결에 지정된다. 그러므로, KASME로부터 도출될 때 레거시 시스템에서 행해진 방법과 유사하게 KNAS로부터 NAS 보호 키 KNASSint 및 KNASenc를 도출하도록 제안된다.
NAS 보호 키를 만드는 전체적인 키 도출 방식은 이와 같이 도 16에서 설명되는 바와 같이 제공될 수 있다. NAS CONN ID를 기반으로 키 도출을 제공하는 실시예에서는 도 10A-B, 도 11A-B, 도 12A-B, 및 도 13A-B에 대해 상기에 논의된 실시예와 비교하여 더 많은 수의 연결 지정 매개변수가 사용/필요할 수 있다.
예시의 실시예가 이후 논의된다.
1. 제2 통신 노드와 네트워크 액세스 계층(Network Access Stratum, NAS) 메시지의 통신을 제공하는 제1 통신 노드에서의 방법으로서, 그 방법은: 제1 및 제2 통신 노드 사이의 제1 NAS 연결에 대해 제1 NAS 연결 식별을 제공하는 단계(1711); 제1 및 제2 통신 노드 사이의 제2 NAS 연결에 대해 제2 NAS 연결 식별을 제공하는 단계(1713)로, 여기서 제1 및 제2 NAS 연결 식별이 다르고, 제1 및 제2 NAS 연결이 다른 단계; 제1 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 제1 NAS 메시지를 통신하는 단계(1717)로, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제1 NAS 연결 식별을 사용하여 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하는 단계; 및 제2 NAS 연결을 통해 제1 및 제2 통신 노드 사이에서 제2 NAS 메시지를 통신하는 단계(1719)로, 여기서 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별을 사용하여 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제2 NAS 연결 식별을 사용하여 기밀성 보호를 위해 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하는 단계를 포함한다.
2. 실시예 1의 방법에 있어서, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별 및 마스터 키를 사용하여 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제1 NAS 연결 식별 및 마스터 키를 사용하여 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하고, 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별 및 마스터 키를 사용하여 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 제2 NAS 연결 식별 및 마스터 키를 사용하여 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함한다.
3. 실시예 1의 방법에 있어서, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 NAS 연결 식별, 마스터 키, 및 제1 NAS 메시지를 기반으로 제1 메시지 인증 코드를 발생함으로서 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 제1 메시지 인증 코드와 함께 제1 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로 전송하는 단계를 포함하고, 제2 NAS 메시지를 통신하는 단계는 제2 NAS 연결 식별, 마스터 키, 및 제2 NAS 메시지를 기반으로 제2 메시지 인증 코드를 발생함으로서 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 제2 메시지 인증 코드와 함께 제2 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로 전송하는 단계를 포함한다.
4. 실시예 3의 방법에 있어서, 제1 NAS 연결 식별은 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열되고, 여기서 제1 NAS 연결 식별 및 제1 NAS 카운트의 배열은 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열되고, 여기서 제2 NAS 연결 식별 및 제2 NAS 카운트의 배열은 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공된다.
5. 실시예 3의 방법에 있어서, 제1 NAS 연결 식별은 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공된다.
6. 실시예 3의 방법에 있어서, 마스터 키 및 제1 NAS 연결 식별은 제1 메시지 인증 코드를 발생하는데 사용되는 제1 무결성 보호 키를 도출하는데 사용되고, 마스터 키 및 제2 NAS 연결 식별은 제2 메시지 인증 코드를 발생하는데 사용되는 제2 무결성 보호 키를 도출하는데 사용된다.
7. 실시예 3 내지 6 중 임의의 한 방법에 있어서, 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함한다.
8. 실시예 1의 방법에 있어서, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 암호화 NAS 메시지를 제공하는데 제1 NAS 연결 식별 및 마스터 키를 사용하여 제1 NAS 메시지를 암호화함으로서 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 및 제1 암호화 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로 전송하는 단계를 포함하고, 제2 NAS 메시지를 통신하는 단계는 제2 암호화 NAS 메시지를 제공하는데 제2 NAS 연결 식별 및 마스터 키를 사용하여 제2 NAS 메시지를 암호화함으로서 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 및 제2 암호화 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로 전송하는 단계를 포함한다.
9. 실시예 8의 방법에 있어서, 제1 NAS 연결 식별은 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열되고, 여기서 제1 NAS 연결 식별 및 제1 NAS 카운트의 배열은 제1 암호화 NAS 메시지를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열되고, 여기서 제2 NAS 연결 식별 및 제2 NAS 카운트의 배열은 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공된다.
10. 실시예 8의 방법에 있어서, 제1 NAS 연결 식별은 제1 암호화 NAS 메시지를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공된다.
11. 실시예 8의 방법에 있어서, 마스터 키 및 제1 NAS 연결 식별은 제1 암호화 NAS 메시지를 발생하는데 사용되는 제1 암호화 키를 도출하는데 사용되고, 마스터 키 및 제2 NAS 연결 식별은 제2 암호화 NAS 메시지를 발생하는데 사용되는 제2 암호화 키를 도출하는데 사용된다.
12. 실시예 8 내지 11 중 임의의 한 방법에 있어서, 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호화 인터페이스를 사용하여 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호화 인터페이스를 사용하여 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함한다.
13. 실시예 1의 방법에 있어서, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 메시지 인증 코드와 함께 제1 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로부터 수신하는 단계, 제1 NAS 연결 식별, 마스터 키, 및 제1 NAS 메시지를 기반으로 제1 NAS 메시지에 대한 제1 도출 메시지 인증 코드를 발생함으로서 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 제1 메시지 인증 코드 및 제1 도출 메시지 인증 코드 매칭에 응답하여 제1 NAS 메시지를 처리하는 단계를 포함하고, 제2 NAS 메시지를 통신하는 단계는 제2 메시지 인증 코드와 함께 제2 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로부터 수신하는 단계, 제2 NAS 연결 식별, 마스터 키, 및 제2 NAS 메시지를 기반으로 제2 NAS 메시지에 대한 제2 도출 메시지 인증 코드를 발생함으로서 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 제2 메시지 인증 코드 및 제2 도출 메시지 인증 코드 매칭에 응답하여 제2 NAS 메시지를 처리하는 단계를 포함한다.
14. 실시예 13의 방법에 있어서, 제1 NAS 연결 식별은 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열되고, 여기서 제1 NAS 연결 식별 및 제1 NAS 카운트의 배열은 제1 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열되고, 여기서 제2 NAS 연결 식별 및 제2 NAS 카운트의 배열은 제2 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공된다.
15. 실시예 13의 방법에 있어서, 제1 NAS 연결 식별은 제1 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 도출 메시지 인증 코드를 발생하기 위한 입력으로 제공된다.
16. 실시예 13의 방법에 있어서, 마스터 키 및 제1 NAS 연결 식별은 제1 도출 메시지 인증 코드를 발생하는데 사용되는 제1 무결성 보호 키를 도출하는데 사용되고, 마스터 키 및 제2 NAS 연결 식별은 제2 도출 메시지 인증 코드를 발생하는데 사용되는 제2 무결성 보호 키를 도출하는데 사용된다.
17. 실시예 13 내지 16 중 임의의 한 방법에 있어서, 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함한다.
18. 실시예 1의 방법에 있어서, 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고, 여기서 제1 NAS 메시지를 통신하는 단계는 제1 암호화 NAS 메시지를 제1 NAS 연결을 통해 제2 통신 노드로부터 수신하는 단계, 제1 암호해독 NAS 메시지를 제공하는데 제1 NAS 연결 식별 및 마스터 키를 사용하여 제1 암호화 NAS 메시지를 암호해독함으로서 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계, 및 제1 암호해독 NAS 메시지를 처리하는 단계를 포함하고, 제2 NAS 메시지를 통신하는 단계는 제2 암호화 NAS 메시지를 제2 NAS 연결을 통해 제2 통신 노드로부터 수신하는 단계, 제2 암호해독 NAS 메시지를 제공하는데 제2 NAS 연결 식별 및 마스터 키를 사용하여 제2 암호화 NAS 메시지를 암호해독함으로서 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계, 및 제2 암호해독 NAS 메시지를 처리하는 단계를 포함한다.
19. 실시예 18의 방법에 있어서, 제1 NAS 연결 식별은 제1 NAS 메시지에 대한 제1 NAS 카운트와 배열되고, 여기서 제1 NAS 연결 식별 및 제1 NAS 카운트의 배열은 제1 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 NAS 메시지에 대한 제2 NAS 카운트와 배열되고, 여기서 제2 NAS 연결 식별 및 제2 NAS 카운트의 배열은 제2 암호화 NAS 메시지를 발생하기 위한 입력으로 제공된다.
20. 실시예 18의 방법에 있어서, 제1 NAS 연결 식별은 제1 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공되고, 제2 NAS 연결 식별은 제2 암호해독 NAS 메시지를 발생하기 위한 입력으로 제공된다.
21. 실시예 18의 방법에 있어서, 마스터 키 및 제1 NAS 연결 식별은 제1 암호해독 NAS 메시지를 발생하는데 사용되는 제1 암호해독 키를 도출하는데 사용되고, 마스터 키 및 제2 NAS 연결 식별은 제2 암호해독 NAS 메시지를 발생하는데 사용되는 제2 암호해독 키를 도출하는데 사용된다.
22. 실시예 18 내지 21 중 임의의 한 방법에 있어서, 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호해독 인터페이스를 사용하여 제1 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함하고, 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계는 5G 호환가능 EEA 암호해독 인터페이스를 사용하여 제2 NAS 메시지에 대한 기밀성 보호를 실행하는 단계를 포함한다.
23. 실시예 1 내지 22 중 임의의 한 방법에 있어서, 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되거나, 또는 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공된다.
24. 실시예 23의 방법에 있어서, 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함하고, 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함한다.
25. 실시예 1 내지 24 중 임의의 한 방법에 있어서, 제1 및 제2 NAS 연결은 제1 및 제2 통신 노드 사이에서 동시에 유지된다.
26. 실시예 1 내지 25 중 임의의 한 방법에 있어서, 제1 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하고 제2 통신 노드는 무선 터미널을 포함하거나, 또는 제1 통신 노드는 무선 터미널을 포함하고 제2 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함한다.
27. 실시예 1 내지 26 중 임의의 한 방법에 있어서, 그 방법은: 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신하도록 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(Packet Data Unit, PDU) 세션을 설립하는 단계를 더 포함한다.
28. 제2 통신 노드와 네트워크 액세스 계층(NAS) 메시지의 통신을 제공하는 제1 통신 노드에서의 방법으로서, 그 방법은: 제1 및 제2 통신 노드 사이에 제1 NAS 연결을 제공하는 단계(1801); 제1 및 제2 통신 노드 사이에 제2 NAS 연결을 제공하는 단계(1803)로, 여기서 제1 및 제2 NAS 연결이 다르고; 제1 NAS 연결을 통해 통신되는 NAS 메시지에 대해 NAS 카운트 도메인의 제1 부분이 할당되고 제2 NAS 연결을 통해 통신되는 NAS 메시지에 대해 NAS 카운트 도메인의 제2 부분이 할당되도록 NAS 카운트 도메인를 할당하는 단계(1835)로, 여기서 NAS 카운트 도메인의 제1 및 제2 부분이 상호 배타적이고; 제1 NAS 연결을 통해 통신된 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제1 부분으로부터 가장 낮은 NAS 카운트 값을 사용하여 제1 NAS 연결을 통해 NAS 메시지를 통신하는 단계(1811, 1831); 및 제2 NAS 연결을 통해 통신된 각 NAS 메시지에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제2 부분으로부터 가장 낮은 NAS 카운트 값을 사용하여 제2 NAS 연결을 통해 NAS 메시지를 통신하는 단계(1811, 1831)를 포함한다.
29. 실시예 28의 방법에 있어서, NAS 카운트 도메인의 제1 및 제2 부분의 NAS 카운트 값은 인터리브(interleave)된다.
30. 실시예 29의 방법에 있어서, NAS 카운트 도메인의 제1 부분은 짝수 NAS 카운트 값을 포함하고, NAS 카운트 도메인의 제2 부분은 홀수 NAS 카운트 값을 포함한다.
31. 실시예 28 내지 29 중 임의의 한 방법에 있어서, 그 방법은: 제1 및 제2 통신 노드 사이에 제3 NAS 연결을 제공하는 단계(1816)로, 여기서 제1 및 제3 NAS 연결이 다르고 제2 및 제3 NAS 연결이 다르고, NAS 카운트 도메인의 제3 부분이 제3 NAS 연결을 통해 통신되는 NAS 메시지에 대해 할당되고, NAS 카운트 도메인의 제1, 제2, 및 제3 부분이 상호 배타적이고; 또한 제3 NAS 연결에 대해 앞서 사용되지 않았던 NAS 카운트 도메인의 제3 부분으로부터 가장 낮은 NAS 카운트 값을 사용하여 제3 NAS 연결을 통해 NAS 메시지를 통신하는 단계(1835)를 더 포함한다.
32. 실시예 31의 방법에 있어서, NAS 카운트 도메인의 제1 부분은 3으로 나누어질 수 있는 NAS 카운트 값을 포함하고, NAS 카운트 도메인의 제2 부분은 3으로 나누면 나머지가 1인 NAS 카운트 값을 포함하고, NAS 카운트 도메인의 제3 부분은 3으로 나누면 나머지가 2인 NAS 카운트 값을 포함한다.
33. 실시예 28 내지 32 중 임의의 한 방법에 있어서, 제1 통신 노드는 네트워크 노드를 포함하고 제2 통신 노드는 무선 터미널을 포함하고, 여기서 NAS 카운트 도메인은 업링크 NAS 카운트 도메인이고, NAS 메시지를 제1 NAS 연결을 통해 통신하는 단계는 제1 NAS 연결을 통해 NAS 메시지를 수신하는 단계를 포함하고, NAS 메시지를 제2 NAS 연결을 통해 통신하는 단계는 제2 NAS 연결을 통해 NAS 메시지를 수신하는 단계를 포함한다.
34. 실시예 28 내지 32 중 임의의 한 방법에 있어서, 제1 통신 노드는 네트워크 노드를 포함하고 제2 통신 노드는 무선 터미널을 포함하고, 여기서 NAS 카운트 도메인은 다운링크 NAS 카운트 도메인이고, NAS 메시지를 제1 NAS 연결을 통해 통신하는 단계는 제1 NAS 연결을 통해 NAS 메시지를 전송하는 단계를 포함하고, NAS 메시지를 제2 NAS 연결을 통해 통신하는 단계는 제2 NAS 연결을 통해 NAS 메시지를 전송하는 단계를 포함한다.
35. 실시예 28 내지 32 중 임의의 한 방법에 있어서, 제1 통신 노드는 무선 터미널을 포함하고 제2 통신 노드는 네트워크 노드를 포함하고, 여기서 NAS 카운트 도메인은 업링크 NAS 카운트 도메인이고, NAS 메시지를 제1 NAS 연결을 통해 통신하는 단계는 제1 NAS 연결을 통해 NAS 메시지를 전송하는 단계를 포함하고, NAS 메시지를 제2 NAS 연결을 통해 통신하는 단계는 제2 NAS 연결을 통해 NAS 메시지를 전송하는 단계를 포함한다.
36. 실시예 28 내지 32 중 임의의 한 방법에 있어서, 제1 통신 노드는 무선 터미널을 포함하고 제2 통신 노드는 네트워크 노드를 포함하고, 여기서 NAS 카운트 도메인은 다운링크 NAS 카운트 도메인이고, NAS 메시지를 제1 NAS 연결을 통해 통신하는 단계는 제1 NAS 연결을 통해 NAS 메시지를 수신하는 단계를 포함하고, NAS 메시지를 제2 NAS 연결을 통해 통신하는 단계는 제2 NAS 연결을 통해 NAS 메시지를 수신하는 단계를 포함한다.
37. 실시예 28 내지 36 중 임의의 한 방법에 있어서, 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되거나, 또는 제1 NAS 연결은 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되고 제2 NAS 연결은 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공된다.
38. 실시예 37의 방법에 있어서, 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함하고, 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함한다.
39. 실시예 28 내지 38 중 임의의 한 방법에 있어서, 제1 NAS 연결을 통해 NAS 메시지를 통신하는 단계는 NAS 카운트 도메인의 제1 부분으로부터 각 NAS 카운트 값을 사용하여 메시지 인증 코드를 발생함으로서 무결성 보호를 실행하는 단계 및/또는 NAS 카운트 도메인의 제1 부분으로부터 각 NAS 카운트 값을 사용하여 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하고, 제2 NAS 연결을 통해 NAS 메시지를 통신하는 단계는 NAS 카운트 도메인의 제2 부분으로부터 각 NAS 카운트 값을 사용하여 메시지 인증 코드를 발생함으로서 무결성 보호를 실행하는 단계 및/또는 NAS 카운트 도메인의 제2 부분으로부터 각 NAS 카운트 값을 사용하여 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함한다.
40. 통신 노드로서, 그 통신 노드는 실시예 1 내지 39 중 임의의 하나에 따른 동작을 실행하도록 적용된다.
41. 통신 노드로서, 그 통신 노드는 실시예 1 내지 39 중 임의의 하나에 따른 동작을 실행하도록 구성된 모듈을 포함한다.
42. 제1 통신 노드로서, 그 통신 노드는: 제2 통신 노드와 통신을 제공하도록 구성된 통신 인터페이스(601, 701); 및 통신 인터페이스와 연결된 프로세서(603, 703)를 포함하고, 여기서 프로세서는 통신 인터페이스를 통해 제2 통신 노드에 통신을 전송 또한/또는 제2 통신 노드로부터 통신을 수신하도록 구성되고, 프로세서는 실시예 1 내지 39 중 임의의 하나에 따른 동작을 실행하도록 구성된다.
이후에는 추가의 정의 및 실시예가 논의된다.
본 발명의 다양한 실시예의 상기 설명에서, 여기 사용된 용어는 특정한 실시예만을 설명하기 위한 것이고 본 발명의 개념을 제한하게 의도되지 않음을 이해하여야 한다. 다른 방법으로 정의되지 않는 한, 여기 사용된 모든 용어 (기술적 및 과학적 용어를 포함하여)는 본 발명의 개념이 속하는 종래 기술 분야에 숙련된 자에 의해 일반적으로 이해되는 것과 동일한 의미를 갖는다. 일반적으로 사용되는 사전에 정의된 것과 같은 용어는 본 명세서 및 관련 기술의 맥락에서 그 의미와 일치하는 의미를 갖는 것으로 해석되어야 하고 여기서 정의된 것으로 표현되지 않는 한 이상적이거나 지나치게 공식적인 의미로 해석되지 않음을 이해하여야 한다.
구성 요소가 다른 요소에 "연결된", "결합된", "응답적인", 또는 그 변형인 것으로 언급될 때, 이는 다른 요소에 직접 연결, 결합, 또는 응답할 수 있거나 개입된 요소가 존재할 수 있다. 대조적으로, 구성 요소가 또 다른 요소에 "직접 연결된", "직접 결합된", "직접 응답적인", 또는 그 변형인 것으로 언급될 때는 개입된 요소가 존재하지 않는다. 유사한 번호는 전체에 걸쳐 유사한 요소를 칭한다. 또한, 여기서 사용된 바와 같은 "결합된", "연결된", "응답적인", 또는 그 변형은 무선으로 연결된, 결합된, 또는 응답적인 것을 포함할 수 있다. 여기서 사용된 바와 같이, 단수형 "하나(a, an)" 또는 "그(the)"는 다른 방법으로 명확하게 기술되지 않는 한 복수형도 또한 포함하는 것으로 의도된다. 이미 공지된 기능 또는 구성은 간결성 및/또는 명확성을 위해 상세히 설명되지 않는다. "또한/또는"이란 용어는 연관된 열거 항목의 하나 이상의 임의의 조합 및 모든 조합을 포함한다.
비록 제1, 제2, 제3 등의 용어가 다양한 요소/동작을 설명하기 위해 여기서 사용될 수 있지만, 이들 요소/동작은 이들 용어에 의해 제한되지 않아야 함을 이해하여야 한다. 이러한 용어는 단지 하나의 요소/동작을 또 다른 요소/동작과 구별하는데 사용된다. 그래서, 일부 실시예에서의 제1 요소/동작은 본 발명의 개념에서 벗어나지 않고 다른 실시예에서 제2 요소/동작으로 칭하여질 수 있다. 동일한 참고 번호 또는 동일한 참고 표시는 본 명세서에 걸쳐 동일한 또는 유사한 요소를 나타낸다.
여기서 사용된 바와 같이, "포함한다"는 용어 (예를 들어, "comprise", "comprising", "comprises", "include", "including", "includes", "have", "has", "having"이란 용어) 또는 그 변형은 개방적인 의미이고, 하나 이상의 언급된 특징, 정수, 요소, 단계, 구성요소, 또는 기능을 포함하지만, 하나 이상의 다른 특징, 정수, 요소, 단계, 구성성분, 기능, 또는 그들의 그룹의 존재 또는 추가를 배제하지 않는다. 더욱이, 여기서 사용된 바와 같이, 라틴어 어구 "exempli gratia"에서 유래된 일반적인 약어 "e.g.(예를 들면)"은 이전에 언급된 항목의 일반적인 예 또는 예들을 소개하거나 지정하는데 사용될 수 있고, 이러한 항목을 제한하도록 의도되지 않는다. 라틴어 어구 "id est"에서 유래된 일반적인 약어 "i.e.(즉)"은 보다 일반적인 암송에서 특정한 항목을 지정하는데 사용될 수 있다.
예시 실시예는 컴퓨터-실현 방법의 블록도 및/또는 흐름도, 장치(시스템 및/또는 디바이스), 및/또는 컴퓨터 프로그램 제품을 참고로 여기서 설명된다. 블록도 및/또는 흐름도의 블록, 및 블록도 및/또는 흐름도에서의 블럭의 조합은 하나 이상의 컴퓨터 회로에 의해 실행되는 컴퓨터 프로그램 명령에 의해 구현될 수 있다. 이러한 컴퓨터 프로그램 명령은 범용 컴퓨터 회로의 프로세서 회로, 특수 목적의 컴퓨터 회로, 및/또는 기계를 만드는 다른 프로그램가능한 데이터 프로세싱 회로에 제공되어, 컴퓨터의 프로세서 및/또는 다른 프로그램가능한 데이터 프로세싱 장치를 통해 실행되는 명령이 블록도 및/또는 흐름도에서 지정된 기능/동작을 구현하기 위해 트랜지스터, 메모리 위치에 저장된 값들, 및 이러한 회로 내의 다른 하드웨어 구성성분을 변환 및 제어하고, 그에 의해 블럭도 및/또는 흐름도에서 지정된 기능/동작을 구현하기 위한 수단(기능) 및/또는 구조를 생성하게 한다.
이러한 컴퓨터 프로그램 명령은 또한 컴퓨터 또는 다른 프로그램가능한 데이터 프로세싱 장치가 특정한 방식으로 기능하게 지시할 수 있도록 유형의 컴퓨터-판독가능 매체에 저장되어, 컴퓨터-판독가능 매체에 저장된 명령이 블록도 및/또는 흐름도에 지정된 기능/동작을 구현하는 명령을 포함하는 제품을 만들게 한다. 따라서, 본 발명의 실시예는 디지털 신호 프로세서와 같은 프로세서에서 운행되는 소프트웨어 (펌웨어, 상주 소프트웨어, 마이크로 코드 등을 포함하는) 및/또는 하드웨어로 구현될 수 있고, 이는 집합적으로 "회로", "모듈", 또는 그 변형으로 칭하여질 수 있다.
일부 대안적인 구현에서, 블록에 언급된 기능/동작은 흐름도에 언급된 순서에서 벗어나 일어날 수 있음을 주목하여야 한다. 예를 들면, 연속하여 도시된 두개의 블록은 사실상 실질적으로 동시에 실행될 수 있거나, 또는 블록들이 때로 포함된 기능/동작에 따라 역순으로 실행될 수 있다. 또한, 흐름도 및/또는 블록도 중 소정의 블록의 기능은 다수의 블록으로 분할될 수 있고, 또한/또는 흐름도 및/또는 블록도 중 두개 이상의 블록의 기능이 적어도 부분적으로 통합될 수 있다. 마지막으로, 도시된 블록 사이에 다른 블록이 추가/삽입될 수 있고, 또한/또는 본 발명의 범위에서 벗어나지 않고 블록/동작이 생략될 수 있다. 또한, 도면 중 일부는 통신의 주요 방향을 표시하도록 통신 경로 상에 화살표를 포함하지만, 통신은 도시된 화살표와 반대 방향으로 일어날 수 있음을 이해하여야 한다.
본 발명의 원리에서 실질적으로 벗어나지 않고 실시예에는 많은 변형 및 수정이 이루어질 수 있다. 이러한 모든 변형 및 수정은 본 발명의 범위 내에 포함되는 것으로 의도된다. 따라서, 상기에 설명된 주제는 제한적인 것이 아니라 설명적인 것으로 간주되어야 하고, 실시예의 예시는 본 발명의 의도 및 범위 내에 드는 이러한 모든 수정, 개선, 및 다른 실시예를 포함하도록 의도된다. 따라서, 범률로 허용되는 최대 범위까지, 본 발명의 범위는 다음의 청구항 및 그 등가물을 포함하여 본 명세서의 가장 넓은 허용가능한 해석에 의해 결정되어야 하고, 상기의 상세 설명에 의해 제한되거나 한정되지 않아야 한다.
이후에는 상기에 기술된 약자가 논의된다.
AMF : Access Management Function(액세스 관리 기능)
CM : Connection Management(연결 관리)
CONN ID : Connection Identification(연결 식별)
EEA : EPS Encryption Algorithm(EPS 암호화 알고리즘)
EIA : EPS Integrity Algorithm(EPS 무결성 알고리즘)
eKSI : Key Set Identifier in E-UTRAN(E-UTRAN에서 키 세트 식별자)
EMM : EPS Mobility Management(EPS 이동성 관리)
EPC : Evolved Packet Core(진화 패킷 코어)
EPS : Evolved Packet System(진화 패킷 시스템)
IE : Information Element(정보 요소)
KAMF : AMS-specific Key(AMS-지정 키)
KASME : Key Access Security Management Entry(키 액세스 보안 관리 엔트리)
KDF : Key Derivation Function(키 도출 기능)
KNAS : NAS protection Key(NAS 보호 키)
KNASenc : KNAS encryption(KNAS 암호화)
KNASint : KNAS integrity(KNAS 무결성)
LTE: Long Term Evolution(롱 텀 에볼루션)
MAC : Message Authentication Code(메시지 인증 코드)
NAS : Network Access Stratum(네트워크 액세스 계층)
PDU : Packet Data Unit(패킷 데이터 유닛)
SMC : Security Mode Command(보안 모드 명령)
SN : Sequence number(시퀀스 번호)
UE : User Equipment(사용자 장비)
3GPP : 3rd Generation Partnership Project(3세대 파트너쉽 프로젝트)
5G : 5th Generation(5세대)
이후에는 상기에 기술된 참조가 식별된다.
참조[1] : 3GPP TS 23.501 V0.4.0(2017-04), Technical Specification Group Services and System Aspects(기술 사양 그룹 서비스 및 시스템 측면); System Architecture for the 5G System(5G 시스템을 위한 시스템 설계); Stage 2 (Release 15)
참조[2] : 3GPP TS 33.401 V14.2.0(2017-03), Technical Specification Group Services and System Aspects(기술 사양 그룹 서비스 및 시스템 측면); 3GPP System Architecture Evolution (SAE)(3GPP 시스템 설계 에볼루션); Security architecture(보안 설계) (Release 14)
참조[3] : 3GPP TS 24.301 V14.3.0(2017-03), Technical Specification Group Core Network and Terminals(기술 사양 그룹 코어 네트워크 및 터미널); Non-Access-Stratum(NAS) protocol for Evolved Packet System(EPS)(진화 패킷 시스템을 위한 비-액세스-계층 프로토콜); Stage 3 (Release 14)
참조[4] : 3GPP TS 33.220 V14.0.0(2016-12), ), Technical Specification Group Services and System Aspects(기술 사양 그룹 서비스 및 시스템 측면); Generic Authentication Architecture(GAA)(일반 인증 설계); Generic Bootstrapping Architecture(GBA)(일반 부트스트랩 설계) (Release 14)
참조[5] : Krawczyk, 외, "HMAC: Keyed-Hashing for Message Authentication(메시지 인증을 위한 키-해싱)," RFC 2104, 2월 1997
501 : 코어 네트워크 노드
505 : 무선 터미널(UE)
601 : 송수신기
701 : 네트워크 인터페이스
603, 703 : 프로세서
605, 705 : 메모리

Claims (27)

  1. 제2 통신 노드와 네트워크 액세스 계층(Network Access Stratum, NAS) 메시지의 통신을 제공하는 제1 통신 노드에서의 방법으로서,
    상기 제1 및 제2 통신 노드 사이의 제1 NAS 연결에 대해 제1 NAS 연결 식별을 제공하는 단계(1711);
    상기 제1 및 제2 통신 노드 사이의 제2 NAS 연결에 대해 제2 NAS 연결 식별을 제공하는 단계(1713)로, 여기서 상기 제1 및 제2 NAS 연결 식별이 다르고, 상기 제1 및 제2 NAS 연결이 다른 단계;
    상기 제1 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제1 NAS 메시지를 통신하는 단계(1717)로, 여기서 상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하는 단계; 및
    상기 제2 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제2 NAS 메시지를 통신하는 단계(1719)로, 여기서 상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별을 사용하여 상기 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제2 NAS 연결 식별을 사용하여 기밀성 보호를 위해 상기 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고,
    상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별, 상기 마스터 키, 및 상기 제1 NAS 메시지를 기반으로 제1 메시지 인증 코드를 발생함으로서 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제1 메시지 인증 코드와 함께 상기 제1 NAS 메시지를 상기 제1 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하고,
    상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별, 상기 마스터 키, 및 상기 제2 NAS 메시지를 기반으로 제2 메시지 인증 코드를 발생함으로서 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제2 메시지 인증 코드와 함께 상기 제2 NAS 메시지를 상기 제2 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하는 방법.
  3. 제2항에 있어서,
    상기 제1 NAS 연결 식별은 상기 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 상기 제2 NAS 연결 식별은 상기 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공되는 방법.
  4. 제2항 내지 제3항 중 한 항에 있어서,
    상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하는 방법.
  5. 제1항 내지 제4항 중 임의의 한 항에 있어서,
    상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되거나, 또는 상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되는 방법.
  6. 제5항에 있어서,
    상기 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함하고, 상기 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함하는 방법.
  7. 제1항 내지 제6항 중 임의의 한 항에 있어서,
    상기 제1 및 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이에서 동시에 유지되는 방법.
  8. 제1항 내지 제7항 중 임의의 한 항에 있어서,
    상기 제1 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하고 상기 제2 통신 노드는 무선 터미널을 포함하거나, 또는 상기 제1 통신 노드는 무선 터미널을 포함하고 상기 제2 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하는 방법.
  9. 제1항 내지 제8항 중 임의의 한 항에 있어서,
    상기 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신하도록 상기 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(Packet Data Unit, PDU) 세션을 설립하는 단계를 더 포함하는 방법.
  10. 제2 통신 노드와 네트워크 액세스 계층(NAS) 메시지의 통신을 제공하도록 적용되는 제1 통신 노드로서,
    상기 제1 및 제2 통신 노드 사이의 제1 NAS 연결에 대해 제1 NAS 연결 식별을 제공하고;
    상기 제1 및 제2 통신 노드 사이의 제2 NAS 연결에 대해 제2 NAS 연결 식별을 제공하고, 여기서 상기 제1 및 제2 NAS 연결 식별이 다르고, 상기 제1 및 제2 NAS 연결이 다르며;
    상기 제1 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제1 NAS 메시지를 통신하고, 여기서 상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하고; 또한
    상기 제2 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제2 NAS 메시지를 통신하고, 여기서 상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별을 사용하여 상기 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제2 NAS 연결 식별을 사용하여 기밀성 보호를 위해 상기 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하도록 적용되는 제1 통신 노드.
  11. 제10항에 있어서,
    상기 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고,
    상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별, 상기 마스터 키, 및 상기 제1 NAS 메시지를 기반으로 제1 메시지 인증 코드를 발생함으로서 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제1 메시지 인증 코드와 함께 상기 제1 NAS 메시지를 상기 제1 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하고,
    상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별, 상기 마스터 키, 및 상기 제2 NAS 메시지를 기반으로 제2 메시지 인증 코드를 발생함으로서 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제2 메시지 인증 코드와 함께 상기 제2 NAS 메시지를 상기 제2 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하는 제1 통신 노드.
  12. 제11항에 있어서,
    상기 제1 NAS 연결 식별은 상기 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 상기 제2 NAS 연결 식별은 상기 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공되는 제1 통신 노드.
  13. 제11항 내지 제12항 중 한 항에 있어서,
    상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하는 제1 통신 노드.
  14. 제10항 내지 제13항 중 임의의 한 항에 있어서,
    상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되거나, 또는 상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되는 제1 통신 노드.
  15. 제14항에 있어서,
    상기 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함하고, 상기 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함하는 제1 통신 노드.
  16. 제10항 내지 제15항 중 임의의 한 항에 있어서,
    상기 제1 및 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이에서 동시에 유지되는 제1 통신 노드.
  17. 제10항 내지 제16항 중 임의의 한 항에 있어서,
    상기 제1 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하고 상기 제2 통신 노드는 무선 터미널을 포함하거나, 또는 상기 제1 통신 노드는 무선 터미널을 포함하고 상기 제2 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하는 제1 통신 노드.
  18. 제10항 내지 제17항 중 임의의 한 항에 있어서,
    상기 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신하도록 상기 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(PDU) 세션을 설립하도록 더 적용되는 제1 통신 노드.
  19. 제2 통신 노드와 통신을 제공하도록 구성된 통신 인터페이스(601, 701); 및
    상기 통신 인터페이스와 연결되고, 상기 통신 인터페이스를 통해 상기 제2 통신 노드에 통신을 전송 또한/또는 상기 제2 통신 노드로부터 통신을 수신하도록 구성된 프로세서(603, 703)을 포함하는 제1 통신 노드로서,
    상기 프로세서는:
    상기 제1 및 제2 통신 노드 사이의 제1 NAS 연결에 대해 제1 네트워크 액세스 계층(NAS) 연결 식별을 제공하고;
    상기 제1 및 제2 통신 노드 사이의 제2 NAS 연결에 대해 제2 NAS 연결 식별을 제공하고, 여기서 상기 제1 및 제2 NAS 연결 식별이 다르고, 상기 제1 및 제2 NAS 연결이 다르며;
    상기 제1 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제1 NAS 메시지를 통신하고, 여기서 상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제1 NAS 연결 식별을 사용하여 상기 제1 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하고; 또한
    상기 제2 NAS 연결을 통해 상기 제1 및 제2 통신 노드 사이에서 제2 NAS 메시지를 통신하고, 여기서 상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별을 사용하여 상기 제2 NAS 메시지에 대해 무결성 보호를 실행하는 단계 및/또는 상기 제2 NAS 연결 식별을 사용하여 기밀성 보호를 위해 상기 제2 NAS 메시지에 대해 기밀성 보호를 실행하는 단계 중 적어도 하나를 포함하도록 구성된 제1 통신 노드.
  20. 제19항에 있어서,
    상기 제1 및 제2 NAS 연결은 NAS 보안 컨텍스트의 마스터 키를 공유하고,
    상기 제1 NAS 메시지를 통신하는 단계는 상기 제1 NAS 연결 식별, 상기 마스터 키, 및 상기 제1 NAS 메시지를 기반으로 제1 메시지 인증 코드를 발생함으로서 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제1 메시지 인증 코드와 함께 상기 제1 NAS 메시지를 상기 제1 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하고,
    상기 제2 NAS 메시지를 통신하는 단계는 상기 제2 NAS 연결 식별, 상기 마스터 키, 및 상기 제2 NAS 메시지를 기반으로 제2 메시지 인증 코드를 발생함으로서 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계, 및 상기 제2 메시지 인증 코드와 함께 상기 제2 NAS 메시지를 상기 제2 NAS 연결을 통해 상기 제2 통신 노드로 전송하는 단계를 포함하는 제1 통신 노드.
  21. 제20항에 있어서,
    상기 제1 NAS 연결 식별은 상기 제1 메시지 인증 코드를 발생하기 위한 입력으로 제공되고, 상기 제2 NAS 연결 식별은 상기 제2 메시지 인증 코드를 발생하기 위한 입력으로 제공되는 제1 통신 노드.
  22. 제20항 내지 제21항 중 한 항에 있어서,
    상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제1 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하고, 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계는 5G 호환가능 EIA 무결성 보호 인터페이스를 사용하여 상기 제2 NAS 메시지에 대한 무결성 보호를 실행하는 단계를 포함하는 제1 통신 노드.
  23. 제19항 내지 제22항 중 임의의 한 항에 있어서,
    상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되거나, 또는 상기 제1 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 비-3GPP 액세스 노드를 통해 제공되고 상기 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이의 3GPP 액세스 노드를 통해 제공되는 제1 통신 노드.
  24. 제23항에 있어서,
    상기 3GPP 액세스 노드는 무선 액세스 네트워크 기지국을 포함하고, 상기 비-3GPP 액세스 노드는 WiFi 액세스 노드 및/또는 위성 액세스 노드 중 적어도 하나를 포함하는 제1 통신 노드.
  25. 제19항 내지 제24항 중 임의의 한 항에 있어서,
    상기 제1 및 제2 NAS 연결은 상기 제1 및 제2 통신 노드 사이에서 동시에 유지되는 제1 통신 노드.
  26. 제19항 내지 제25항 중 임의의 한 항에 있어서,
    상기 제1 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하고 상기 제2 통신 노드는 무선 터미널을 포함하거나, 또는 상기 제1 통신 노드는 무선 터미널을 포함하고 상기 제2 통신 노드는 무선 통신 네트워크의 네트워크 노드를 포함하는 제1 통신 노드.
  27. 제19항 내지 제26항 중 임의의 한 항에 있어서,
    상기 프로세서는
    상기 제1 및 제2 통신 노드 사이에서 사용자 평면 데이터를 통신하도록 상기 제1 및 제2 NAS 메시지를 기반으로 패킷 데이터 유닛(PDU) 세션을 설립하도록 더 구성된 제1 통신 노드.
KR1020197032822A 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널 KR102256875B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020217015130A KR102354093B1 (ko) 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762502966P 2017-05-08 2017-05-08
US62/502,966 2017-05-08
PCT/EP2018/061713 WO2018206501A1 (en) 2017-05-08 2018-05-07 Methods providing security for multiple nas connections using separate counts and related network nodes and wireless terminals

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020217015130A Division KR102354093B1 (ko) 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널

Publications (2)

Publication Number Publication Date
KR20190134745A true KR20190134745A (ko) 2019-12-04
KR102256875B1 KR102256875B1 (ko) 2021-05-26

Family

ID=62116483

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020197032822A KR102256875B1 (ko) 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널
KR1020217015130A KR102354093B1 (ko) 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020217015130A KR102354093B1 (ko) 2017-05-08 2018-05-07 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널

Country Status (10)

Country Link
US (3) US10771978B2 (ko)
EP (4) EP4203384A1 (ko)
KR (2) KR102256875B1 (ko)
CN (2) CN115567922A (ko)
DK (2) DK3745756T3 (ko)
ES (3) ES2823552T3 (ko)
HU (2) HUE062173T2 (ko)
PL (1) PL3745756T3 (ko)
PT (1) PT3979555T (ko)
WO (1) WO2018206501A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019053185A1 (en) 2017-09-15 2019-03-21 Telefonaktiebolaget Lm Ericsson (Publ) SECURITY CONTEXT IN A WIRELESS COMMUNICATIONS SYSTEM
CN109803263A (zh) * 2017-11-17 2019-05-24 华为技术有限公司 一种安全保护的方法及装置
WO2020065132A1 (en) 2018-09-24 2020-04-02 Nokia Technologies Oy Systems and method for security protection of nas messages
US11755389B2 (en) 2019-10-07 2023-09-12 Rohde & Schwarz Gmbh & Co. Kg Message processing method and message processing device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160286600A1 (en) * 2015-03-26 2016-09-29 Qualcomm Incorporated Multiple concurrent contexts virtual evolved session management (virtual esm)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2013200612A1 (en) * 2007-07-18 2013-02-21 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device.
GB0812632D0 (en) * 2008-07-10 2008-08-20 Vodafone Plc Security architecture for LTE relays
US8869151B2 (en) 2010-05-18 2014-10-21 Lsi Corporation Packet draining from a scheduling hierarchy in a traffic manager of a network processor
KR101759934B1 (ko) * 2009-11-11 2017-07-20 엘지전자 주식회사 멀티 모드 디바이스에서 핸드오버 방법 및 이를 위한 장치
TWI586114B (zh) * 2011-08-19 2017-06-01 內數位專利控股公司 在行動站中使用非存取層程序存取屬於不同無線電存取技術組件載波資源方法及裝置
ES2689805T3 (es) * 2013-12-17 2018-11-15 Telefonica, S.A. Método, sistema y producto de programa informático para el interfuncionamiento entre diferentes tecnologías inalámbricas
MY201177A (en) 2015-09-22 2024-02-08 Huawei Tech Co Ltd Access method, device and system for user equipment (ue)

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160286600A1 (en) * 2015-03-26 2016-09-29 Qualcomm Incorporated Multiple concurrent contexts virtual evolved session management (virtual esm)

Also Published As

Publication number Publication date
PL3745756T3 (pl) 2022-04-25
DK3979555T3 (da) 2023-05-01
EP3745756B8 (en) 2022-02-23
EP3979555A1 (en) 2022-04-06
ES2823552T3 (es) 2021-05-07
KR102354093B1 (ko) 2022-01-20
EP3979555B1 (en) 2023-04-05
HUE057859T2 (hu) 2022-06-28
PT3979555T (pt) 2023-05-09
KR102256875B1 (ko) 2021-05-26
CN110945890B (zh) 2022-07-26
US20210022001A1 (en) 2021-01-21
KR20210060667A (ko) 2021-05-26
EP4203384A1 (en) 2023-06-28
EP3622737A1 (en) 2020-03-18
US20230284017A1 (en) 2023-09-07
DK3745756T3 (da) 2022-01-24
WO2018206501A1 (en) 2018-11-15
HUE062173T2 (hu) 2023-09-28
US20200100114A1 (en) 2020-03-26
ES2905349T3 (es) 2022-04-08
CN110945890A (zh) 2020-03-31
US11653205B2 (en) 2023-05-16
US10771978B2 (en) 2020-09-08
EP3745756B1 (en) 2021-12-22
EP3622737B1 (en) 2020-07-29
EP3745756A1 (en) 2020-12-02
ES2943681T3 (es) 2023-06-15
CN115567922A (zh) 2023-01-03

Similar Documents

Publication Publication Date Title
US20240073686A1 (en) Methods providing non-3gpp access using access network keys and related wireless terminals and network nodes
US11785510B2 (en) Communication system
US11617082B2 (en) Methods providing NAS connection identifications and related wireless terminals and network nodes
US8707045B2 (en) Method and apparatus for traffic count key management and key count management
US8855603B2 (en) Local security key update at a wireless communication device
KR102354093B1 (ko) 분리된 카운트를 사용하여 다수의 nas 연결에 대한 보안을 제공하는 방법 및 관련된 네트워크 노드와 무선 터미널
US20190261167A1 (en) Data transmission method and related device and system
KR20170097487A (ko) 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템
JP2017098986A (ja) Mtcのためのシステム、コアネットワーク、及び方法
KR101670743B1 (ko) 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
A107 Divisional application of patent
GRNT Written decision to grant