KR20200002506A - 무선 통신 시스템에서 통신 방법 및 장치 - Google Patents

무선 통신 시스템에서 통신 방법 및 장치 Download PDF

Info

Publication number
KR20200002506A
KR20200002506A KR1020180076081A KR20180076081A KR20200002506A KR 20200002506 A KR20200002506 A KR 20200002506A KR 1020180076081 A KR1020180076081 A KR 1020180076081A KR 20180076081 A KR20180076081 A KR 20180076081A KR 20200002506 A KR20200002506 A KR 20200002506A
Authority
KR
South Korea
Prior art keywords
security
amf
capability
message
network
Prior art date
Application number
KR1020180076081A
Other languages
English (en)
Other versions
KR102449988B1 (ko
Inventor
서경주
권기석
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020180076081A priority Critical patent/KR102449988B1/ko
Priority to US17/255,713 priority patent/US11546759B2/en
Priority to PCT/KR2019/007831 priority patent/WO2020004986A1/ko
Publication of KR20200002506A publication Critical patent/KR20200002506A/ko
Application granted granted Critical
Publication of KR102449988B1 publication Critical patent/KR102449988B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 LTE와 같은 4G 통신 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 또는 pre-5G 통신 시스템에 관련된 것이다.

Description

무선 통신 시스템에서 통신 방법 및 장치 {Apparatus and method for data communication in wireless communication system}
본 개시의 다양한 실시 예들은 무선 통신 시스템에서의 데이터 송수신 방법 및 장치에 대한 것으로, 보다 상세하게는, 단말과 네트워크 노드 간의 데이터의 송수신을 위하여 사용되는 보안 방안에 있어서 단말과 네트워크 노드의 보안 능력에 대한 처리 방안 및 단말이나 네트워크 노드가 자신의 보안 처리 능력보다 낮은 방안으로 처리하는 것을 막기 위한 방법 및 이를 수행하는 장치에 관한 것이다.
4G (4th-Generation) 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G (5th-Generation)통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (beyond 4G network) 통신 시스템 또는 LTE 시스템 이후 (post LTE)의 시스템이라 불리고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파 (mmWave) 대역 (예를 들어, 60기가 (60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서 전파의 경로 손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍 (beamforming), 거대 배열 다중 입출력 (massive MIMO), 전차원 다중입출력 (full dimensional MIMO: FD-MIMO), 어레이 안테나 (array antenna), 아날로그 빔형성 (analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기간 통신 (device to device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (coordinated multi-points), 및 수신간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다.
이 밖에도, 5G 시스템에서는 진보된 코딩 변조 (advanced coding modulation: ACM) 방식인 FQAM (hybrid FSK and QAM modulation) 및 SWSC (sliding window superposition coding)과, 진보된 접속 기술인 FBMC(filter bank multi carrier), NOMA(non-orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
5G 통신시스템에서는 단말의 이동성을 관리하는 관리 엔티티인 AMF (access and mobility management function)와 세션을 관리하는 엔티티인 SMF (session management function)가 분리된다.
4G LTE 통신 시스템에서 MME (mobile management entity)가 이동성 관리와 세션 관리를 함께 관리하던 운영 방식과는 달리 5G 통신 시스템에서는 이동성 관리와, 세션을 관리하는 엔티티가 분리되어 있어 단말과 네트워크 엔티티 간에 통신 방안과 통신 관리 방안이 변경된다.
5G 통신시스템에서는 non 3GPP access 에 대해서 N3IWF (N3 interworking function)를 거쳐 AMF를 통해 mobility management(이동성 관리)를 수행하고, SMF를 통해 session management(세션 관리를 수행)하게 된다. 또한 AMF 를 통해서는 mobility management를 수행하고, mobility management에 있어서 중요한 요소인 보안 관련 정보도 다루게 된다.
따라서, 단말과 네트워크 노드 간의 통신에 있어서 보안과 관련된 정보를 다룸에 있어서, 단말과 네트워크 노드가 자신의 보안 능력에 맞는 방안으로 통신하는 방안이 필요하고, 또한 자신의 보안 능력보다 낮은 방안으로 통신하여 보안적으로 취약해지는 것을 방지하는 방안이 필요하다.
이에 본 개시에서는 5G 통신에서 단말과 네트워크 노드가 자신의 가지고 있는 보안 능력보다 낮은 방안으로 통신하여 보안에 취약해 지지 않도록 하는 방안에 대해 제안한다.
본 개시의 일 실시 예에 따른 단말에 의한 통신 방법은 보안 관련 능력을 지시하는 정보를 포함하는 등록 요청 메시지를 네트워크 노드로 전송하는 동작, 상기 네트워크 노드로부터 인증 요청 메시지를 수신하는 동작, 상기 인증 요청 메시지를 이용하여 상기 보안 관련 능력을 검증하는 동작, 상기 인증 요청 메시지에 대한 응답으로 제1 메시지를 상기 네트워크 노드로 전송하는 동작, 상기 네트워크 노드로부터 보안 모드 명령 메시지를 수신하는 동작, 상기 보안 모드 명령 메시지에 대한 응답으로 보안 모드 완료 메시지를 상기 네트워크 노드로 전송하는 동작을 포함할 수 있다.
본 개시의 실시 예들에 따르면, 무선 통신 시스템에서 단말과 Network 사이의 보안 관련하여 보안 정보를 전달하고 보안 정보 전달 관련된 절차를 효율적으로 수행함으로써 보안이 강화된 통신을 수행할 수 있다.
도 1는 본 개시의 일 실시 예에 따른 5G 시스템의 네트워크 환경을 도시한다.
도 2는 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 3는 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 4는 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 5는 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 6은 본 개시의 일 실시 예에 따른 UE의 블록도를 도시한다.
도 7은 본 개시의 일 실시 예에 따른 네트워크 노드의 블록도를 도시한다.
도 8은 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차 및 보안 방안에 대한 일 실시 예의 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
본 명세서에서 실시 예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity)들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 발명이 후술되는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, 본 개시는 5G, LTE 시스템에 대한 규격에서 정의하는 용어와 명칭들을 사용한다. 하지만, 본 개시의 실시 예들이 상기 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다.
즉, 본 개시의 실시 예들을 구체적으로 설명함에 있어서, 3GPP(3rd generation partnership project)가 정한 통신 규격을 주된 대상으로 할 것이지만, 본 개시의 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템에도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 개시의 기술 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
도 1은 본 개시의 일 실시 예에 따른 5G 시스템의 네트워크 환경을 도시한다.
본 개시의 일 실시 예에서는 5G 네트워크를 가정한다. 일 실시 예에 따르면, 5G 네트워크는 UPF(user plane function)(131), SMF(session management function)(121), AMF(access and mobility management function)(111, 113), 5G RAN (radio access network)(103), UDM (user data management)(151), PCF (policy control function)(161), 사용자 단말 (user equipment, UE1)(101) 등을 포함할 수 있다. 한편 엔티티들의 인증을 위하여 AUSF (authentication server function)(141), AAA (authentication, authorization and accounting)(171) 도 시스템에 포함될 수 있다.
한편 non 3GPP access 를 통해서 UE 가 통신하는 경우를 위해서 N3IWF (N3 interworking function) 이 존재하고, non3GPP access 를 통하는 경우 session management 는 UE, non 3GPP access, N3IWF, SMF 에서 control 하고, mobility management 를 위해서는 UE, non 3GPP access, N3IWF, AMF 를 통해서 control 한다.
본 개시의 실시 예들에서 기초하고 있는 통신망은 5G 의 망을 가정하고 있으나, 통상의 기술력을 가진 자가 이해 할 수 있는 범주 안에서 다른 시스템에서도 같은 개념이 적용되는 경우 그를 적용할 수 있다.
도 2는 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 2는 security related capability 의 검증 과정이 success 한 경우의 일 실시 예를 도시한다.
본 개시의 실시 예에서 네트워크 노드는 일 예로 AMF(111)일 수 있으나, 이에 한정되는 것은 아니다.
201 과정, 203 과정에서 UE(101)는 AMF(111)로 registration request 메시지를 보낸다. 이 때 UE(101)에서 network 으로 UE 보안 관련 능력(security related capability) (security key generation capability) 에 대한 정보를 보낸다. 이러한 UE security related capability (security key generation capability)는 UE 의 보안 키 생성 능력(security key generation capability) 등을 포함한다.
Case A) 일 실시 예로 등록 요청(registration request)은 표 1과 같이 구성될 수 있다.
이 경우는 UE 의 보안 관련 능력 정보 요소(security related capability information element)를 UE로부터 network 으로 보내주는 경우 이다.
Figure pat00001
상기의 일 실시 예 포함되는 UE security related capability information element 는 표 2와 같을 수 있다.
Figure pat00002
상기의 일 실시 예 포함되는 UE security related capability information element 는 하기의 표 3과 같이 구성 혹은 해석될 수 있다.
Case 1) security related capability 는 UE 의 security related capability 를 AMF 로 알려주기 위하여 사용될 수 있다. 이러한 정보는 UE 가 security related key 를 generation 함에 있어서 Kseaf (SEAF: security anchor function)로부터 Kamf 를 도출(derivation)해야 하는지 알려줄 수 있다.
Case 2) 혹은 일 실시 예로 UE가 AMF 에서 다른 AMF 즉 target AMF 로 이동함에 있어서 target AMF 에게 UE 의 capability 를 알려줄 수 있다.
Case 3) 혹은 일 실시 예로 UE 가 AMF 에게 SEAF 로부터 key 를 획득(fetch)하도록 triggering 할 수 있다. 즉 UE 가 이동하는 경우, SEAF 에서 key 를 생성(generation) 한 것을, target AMF가 SEAF 로부터 key 를 fetch 하도록 UE 가 security related capability 를 보내어 triggering 할 수 있다.
UE 의 security related capability 를 보냄으로써 UE 는 현재의 AMF 에서 통신을 계속 수행하던, 아니면 target AMF 로 handover 한 상황인 경우, 혹은 idle mode mobility 를 수행한 경우에도 자신의 security related capability 를 Network 에 알리고 network 도 security related capability 가 SEAF 에서 key 를 generation 하는 것을 지원하는 경우 이후 network 에서 지원되는 capability 에 따라 자신의 capability 가 허용하는 한도 내에 적절한 security, mobility management 관련 보안이 보장되는 통신이 가능하다.
Figure pat00003
Case B)
혹은 일 실시 예로 registration request 는 표 4와 같이 구성될 수 있다.
즉 이 경우는 UE 의 security related capability information element 를 UE로부터 network 으로 보내주는 경우 이다.
Figure pat00004
Case c ) UE + Network
혹은 일 실시 예로 registration request 는 표 5과 같이 구성될 수 있다. 이 경우는 security related capability, 즉 UE 와 network 의 security related capability information element 를 UE로부터 network 으로 보내주는 경우 이다.
security related capability information element와 같은 정보를 전달하는 것이 가능한 경우는, UE 가 handover 하는 경우 또는 UE가 idle 모드 상태에서 이동하는 경우 Network 의 security related capability 에 대한 정보도 가지고 있는 경우 등이다. 따라서 이러한 정보를 Network 이 받는 경우에는, 즉 AMF(111) 가 security related capability information element 를 가진 메시지, 일 실시 예로 registration request 메시지를 수신하는 경우에는 AMF(111) 에서 UE(101)가 보낸 security related key generation 능력에 대한 정보와 UE(101)가 자신에 대해 알고 있는 정보를 알게 된다. 따라서 AMF(111) 입장에서는 이러한 정보를 수신한 후에 AMF(111)가 지원하는 security 에 대한 능력과, UE(101)가 알고 있는 AMF 에 대한 security capability 에 대한 정보를 verification 할 수 있다. 또한 이러한 verification 과정을 거쳐, Network 이 지원하는 security capability 능력 내에서 UE 가 지원할 수 있는 security capability 에 대해 AMF 가 인지하고, 이후 authentication 과정에서 해당하는 security procedure 를 수행할 수 있다. 한편, 상기 verification은 AMF(111)가 수행하는 것에 한정되는 것은 아니며, UE(101)가 수행하는 것을 배제하는 것이 아니다.
Figure pat00005
상기의 일 실시 예에 포함되는 security related capability information element 는 표 6과 같을 수 있다.
Figure pat00006
상기의 일 실시 예에 포함되는 security related capability information element 는 하기의 표 7과 같이 구성 혹은 해석될 수 있다. 즉 security related capability information element는 UE security related capability, network related security capability, freshness related parameter 등으로 구성될 수 있다.
Figure pat00007
상기의 security related capability 중 UE security related capability Case 1 ) 일 실시 예로 UE 의 security related capability 를 AMF 로 알려주기 위하여 사용될 수 있다. 이러한 정보는 UE 가 security related key 를 generation 함에 있어서 Kseaf 로부터 Kamf 를 derivation 해야 하는지 알려줄 수 있다.
Case 2) 혹은 일 실시 예로 UE가 AMF 에서 다른 AMF 즉 target AMF 로 이동함에 있어서 target AMF 에게 UE 의 capability 를 알려줄 수 있다.
Case 3) 혹은 일 실시 예로 UE 가 AMF 에게 SEAF 로부터 key 를 fetch 하도록 triggering 할 수 있다. 즉 UE 가 이동하는 경우, SEAF 에서 key 를 generation 한 것을, target AMF가 SEAF 로부터 key 를 fetch 하도록 UE 가 security related capability 를 보내어 triggering 할 수 있다.
UE 의 security related capability 를 보냄으로써 UE 는 현재의 AMF 에서 통신을 계속 수행하는 경우, target AMF 로 handover 한 상황인 경우, 혹은 idle mode mobility 를 수행한 경우에도 자신의 security related capability 를 Network 에 알리고 network 도 security related capability 가 SEAF 에서 key 를 generation 하는 것을 지원하는 경우 이후 network 에서 지원되는 capability 에 따라 자신의 capability 가 허용하는 한도 내에 적절한 security, mobility management 관련 보안이 보장되는 통신이 가능하다.
상기의 security related capability 중 Network security related capability 는 일 실시 예로,
Case 1) network 즉 AMF 의 초기 버전으로 AMF 에서 security key 를 generation 하는지 여부, 혹은 일 실시 예로,
Case 2) SEAF 가 지원되어 SEAF 에서 key 를 generation 해서 AMF 로 key 를 fetch 해 주는지 여부, 혹은
Case 3) SEAF 가 지원되어 SEAF 에서 key 를 AMF 로 key 를 fetch 해주는지 여부
Case 3-1) SEAF 가 source AMF 때 generation 된 key 를 target AMF 도 쓸 수 있도록 Key 를 fetch 해 주는지 여부,
Case 3-2) SEAF 가 source AMF 또는 target AMF 로부터 triggering 을 받아, key 를 generation 해서 target AMF 로 쓸 수 있도록 전달해 주는지 여부 등의 정보 등을 전달해 줄 수 있다.
따라서 이러한 정보를 받은 UE 는 자신이 통신을 할 혹은 통신을 하고 있는 AMF 가 이러한 security 관련 능력이 있음을 알게 되고 이후 통신에서 AMF 가 지원하는 security capability 안에서 UE 자신의 security capability 를 참조하여 통신을 수행할 수 있다.
상기에서 쓰는 freshness related parameter 는 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 UE 에서 보내는 UE security parameter 의 경우 freshness related parameter 는 UE 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 network에서 보내는 UE/Network security parameter 의 경우는 freshness related parameter 는 network 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
Case D) UE+ network
혹은 일 실 시예로 registration request 는 표 8과 같이 구성될 수 있다. 이 경우는 UE 와 network 의 security related capability information element 를 UE로부터 network 으로 보내주는 경우 이다.
Figure pat00008
이후 211 과정, 213 과정에서 AMF(111)는 UE(101)로 인증 요청(Authentication Request) 메시지를 보낸다. 이 때 Network node (예를 들면 AMF ) 는 UE 의 security related capability , Network node 의 security related capability, 보안 정보의 변질되지 않음 (freshness, 신선성) 를 위한 정보 등을 보낸다.
Case A) mandatory field
이때 Authentication Request 메시지는 표 9과 같다.
Figure pat00009
상기의 일 실시 예 포함되는 security related capability information element 는 표 10와 같을 수 있다.
Figure pat00010
상기의 일 실시 예 포함되는 security related capability information element 는 하기의 표 11과 같이 구성 혹은 해석될 수 있다.
Figure pat00011
즉, security related capability 는 UE security related capability, network related security capability, freshness related parameter 로 구성될 수 있다.
Case 1) security related capability 는 UE 의 security related capability 를 AMF 로 알려주기 위하여 사용될 수 있다. 이러한 정보는 UE 가 security related key 를 generation 함에 있어서 Kseaf로 부터 Kamf 를 derivation 해야 하는지 알려줄 수 있다.
Case 2) 혹은 일 실시 예로 UE가 AMF 에서 다른 AMF 즉 target AMF 로 이동함에 있어서 target AMF 에게 UE 의 capability 를 알려줄 수 있다.
Case 3) 혹은 일 실시 예로 UE 가 AMF 에게 SEAF 로부터 key 를 fetch 하도록 triggering 할 수 있다. 즉 UE 가 이동하는 경우, SEAF 에서 key 를 generation 한 것을, target AMF가 SEAF 로부터 key 를 fetch 하도록 UE 가 security related capability 를 보내어 triggering 할 수 있다.
UE 의 security related capability 를 보냄으로써 UE 는 현재의 AMF 에서 통신을 계속 수행하던, 아니면 target AMF 로 handover 한 상황인 경우, 혹은 idle mode mobility 를 수행한 경우에도 자신의 security related capability 를 Network 에 알리고 network 도 security related capability 가 SEAF 에서 key 를 generation 하는 것을 지원하는 경우 이후 network 에서 지원되는 capability 에 따라 자신의 capability 가 허용하는 한도 내에 적절한 security, mobility management 관련 보안이 보장되는 통신이 가능하다.
Network security related capability 는
일 실시 예로,
Case 1) network 즉 AMF 의 초기 버전으로 AMF 에서 security key 를 generation 하는지 여부, 혹은 일 실시 예로,
Case 2) SEAF 가 지원되어 SEAF 에서 key 를 generation 해서 AMF 로 key 를 fetch 해 주는지 여부,
혹은
Case 3) SEAF 가 지원되어 SEAF 에서 key 를 AMF 로 key 를 fetch 해주는지 여부
Case 3-1) SEAF 가 source AMF 때 generation 된 key 를 target AMF 도 쓸 수 있도록 Key 를 fetch 해 주는지 여부,
Case 3-2) SEAF 가 source AMF 또는 target AMF 로부터 triggering 을 받아, key 를 generation 해서 target AMF 로 쓸 수 있도록 전달해 주는지 여부 등의 정보 등을 전달해 줄 수 있다.
따라서 이러한 정보를 받은 UE 는 자신이 통신을 할 혹은 통신을 하고 있는 AMF 가 이러한 security 관련 능력이 있음을 알게 되고 이후 통신에서 AMF 가 지원하는 security capability 안에서 UE 자신의 security capability 를 참조하여 통신을 수행할 수 있다.
상기에서 쓰는 freshness related parameter 는 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 UE 에서 보내는 UE security parameter 의 경우 freshness related parameter 는 UE 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 network에서 보내는 UE/Network security parameter 의 경우는 freshness related parameter 는 network 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
이러한 security related capability information element 를 보낸 network 과 이를 받은 UE 의 경우 받은 information element 의 정보에 근거하여
다음과 같이 Kamf 를 derivation 할 수 있다.
Function code = 정해질 예정
P0= SUPI
L0= length of SUPI
PI= value of security related value (상기의 security related capability 의 value)
L1= length of security related parameter
상기의 PI 값은 AMF 가 SEAF 와 AMF 의 function 이 collocated 되어 있는 경우는 0 의 값으로 setting 해서 보내는 것이 일 실시 예가 될 수 있다. 혹은 SEAF 와 AMF 의 key derivation 에 있어서 case 1) SEAF 단독으로 Kseaf 로 부터 Kamf 를 생성하거나, 혹은 case2) AMF 단독으로 Kamf 를 생성하거나, 혹은 case 3) SEAF 와 AMF 가 collocated 되어 Kamf 를 생성하는 경우는 PI 의 값이 0으로 setting 해서 보내는 것이 일 실시 예가 될 수 있다.
Case B )
또 다른 일 실시 예로 Authentication request 의 메시지는 표 12와 같다.
Figure pat00012
표 12와 같은 경우는 security related capability 가 optional information element 의 형태로 추가되는 경우이다.
이후 221 과정, 223 과정에서 UE(101)는 AMF(111)로 인증 응답(Authentication Response) 메시지를 보낸다. 이러한 경우는 인증이 성공한 경우이다.
이후, 231 과정, 233 과정에서 AMF(111)는 UE(101)로 보안 모드 명령(security mode command) 메시지를 보낸다.
이후 241 과정, 243 과정에서 UE(101)는 AMF(111)로 보안 모드 완료(security mode complete) 메시지를 보낸다.
도 3은 본 개시의 일 실시 예에 따른 5G 시스템에서 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 3은 security related capability 의 검증 과정이 실패(fail) 한 경우의 일 실시 예를 도시한다.
301 과정, 303 과정에서 UE(101)는 AMF(111)로 Registration Request 메시지를 보낸다. 이 때 UE 에서 network 으로 UE security related capability (security key generation capability) 에 대한 정보를 보낸다. 이러한 UE security related capability (security key generation capability)는 UE 의 security key generation capability 등을 포함한다.
이후 311 과정, 313 과정에서 AMF(111)는 UE(101)로 Authentication Request 메시지를 보낸다. 이 때 Network node (예를 들면 AMF ) 는 UE 의 security related capability , Network node 의 security related capability, 보안 정보의 변질되지 않음 (freshness) 를 위한 정보 등을 보낸다.
UE(101)에서 UE 자신이 보낸 security related capability 및 network 이 보낸 security related capability에 대한 verification 에 실패할 수도 있다. 실패한 경우에는 321 과정, 323 과정에서 UE(101)에서 AMF(111) 로 인증 실패(authentication failure) 메시지를 보낸다.
331 과정, 333 과정에서 AMF(111)는 UE(101)로 Authentication Request 메시지를 보낸다. 이 때 UE 에서 network 으로 UE security related capability (security key generation capability) 에 대한 정보를 보낸다. 이러한 UE security related capability (security key generation capability)는 UE 의 security key generation capability 등을 포함한다.
이후 341 과정, 343 과정에서 인증에 성공한 경우, UE(101)는 AMF(111)로 Authentication Response 메시지를 보낸다.
이후, 351 과정, 353 과정에서 AMF(111)는 UE(101)로 security mode command 메시지를 보낸다.
이후 361 과정, 363 과정에서 UE(101)는 AMF(111)로 security mode complete 메시지를 보낸다.
도 4는 본 개시의 일 실시 예에 따른 5G 시스템에서 보안 절차, 및 보안 방안을 위한 일 실시 예를 도시한다.
도 4는 security related capability 의 검증 과정이 fail 한 경우의 일 실시 예를 도시한다.
401 과정, 403 과정에서 UE(101)는 AMF(111)로 Registration Request 메시지를 보낸다.
이후 411 과정, 413 과정에서 AMF(111)는 UE(101)로 Authentication Request 메시지를 보낸다. 이 때 Network node (예를 들면 AMF ) 는 UE 의 security related capability , Network node 의 security related capability, 보안 정보의 변질되지 않음 (freshness) 를 위한 정보 등을 보낸다.
이후 421 과정, 423 과정에서 UE(101)는 AMF(111)로 Authentication Response 메시지를 보낸다.
이후, 431 과정, 433 과정에서 AMF(111)는 UE(101)로 security mode command 메시지를 보낸다.
이 때 UE 에서 network 으로 UE security related capability (security key generation capability) 에 대한 정보를 보낸다. 이러한 UE security related capability (security key generation capability)는 UE 의 security key generation capability 등을 포함한다.
Security mode command 메시지는 다음 표 13 혹은 표 14와 같은 형태로 구성될 수 있다. 표 13의 경우는 mandatory feature 로 security related information element 를 포함한 경우 이다. 표 14의 경우는 optional feature 로 security related information element 를 포함한 경우이다.
Case 1)
Figure pat00013
Case 2)
Figure pat00014
상기의 일 실시 예 포함되는 security related capability information element 는 표 15와 같을 수 있다.
Figure pat00015
상기의 일 실시 예 포함되는 security related capability information element 는 하기의 표 16과 같이 구성 혹은 해석될 수 있다.
Figure pat00016
즉, security related capability 는 UE security related capability, network related security capability, freshness related paramerter 로 구성될 수 있다.
Case 1) UE 의 security related capability 를 AMF 로 알려주기 위하여 사용될 수 있다. 이러한 정보는 UE 가 security related key 를 generation 함에 있어서 Kseaf로 부터 Kamf 를 derivation 해야 하는지 알려줄 수 있다.
Case 2) 혹은 일 실시 예로 UE가 AMF 에서 다른 AMF 즉 target AMF 로 이동함에 있어서 target AMF 에게 UE 의 capability 를 알려줄 수 있다.
Case 3) 혹은 일 실시 예로 UE 가 AMF 에게 SEAF 로부터 key 를 fetch 하도록 triggering 할 수 있다. 즉 UE 가 이동하는 경우, SEAF 에서 key 를 generation 한 것을, target AMF가 SEAF 로부터 key 를 fetch 하도록 UE 가 security related capability 를 보내어 triggering 할 수 있다.
UE 의 security related capability 를 보냄으로써 UE 는 현재의 AMF 에서 통신을 계속 수행하던, 아니면 target AMF 로 handover 한 상황인 경우, 혹은 idle mode mobility 를 수행한 경우에도 자신의 security related capability 를 Network 에 알리고 network 도 security related capability 가 SEAF 에서 key 를 generation 하는 것을 지원하는 경우 이후 network 에서 지원되는 capability 에 따라 자신의 capability 가 허용하는 한도 내에 적절한 security, mobility management 관련 보안이 보장되는 통신이 가능하다.
Network security related capability 는
일 실시 예로
Case 1) network 즉 AMF 의 초기 버전으로 AMF 에서 security key 를 generation 하는지 여부
혹은 일 실시 예로
Case 2) SEAF 가 지원되어 SEAF 에서 key 를 generation 해서 AMF 로 key 를 fetch 해 주는지 여부, 혹은
Case 3) SEAF 가 지원되어 SEAF 에서 key 를 AMF 로 key 를 fetch 해주는지 여부
Case 3-1) SEAF 가 source AMF 때 generation 된 key 를 target AMF 도 쓸 수 있도록 Key 를 fetch 해 주는지 여부,
Case 3-2) SEAF 가 source AMF 또는 target AMF 로부터 triggering 을 받아, key 를 generation 해서 target AMF 로 쓸 수 있도록 전달해 주는지 여부 등의 정보 등을 전달해 줄 수 있다.
따라서 이러한 정보를 받은 UE 는 자신이 통신을 할 혹은 통신을 하고 있는 AMF 가 이러한 security 관련 능력이 있음을 알게 되고 이후 통신에서 AMF 가 지원하는 security capability 안에서 UE 자신의 security capability 를 참조하여 통신을 수행할 수 있다.
상기에서 쓰는 freshness related parameter 는 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 UE 에서 보내는 UE security parameter 의 경우 freshness related parameter 는 UE 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
일 실시 예로 network에서 보내는 UE/Network security parameter 의 경우는 freshness related parameter 는 network 에서 보낼 때 counter number, nonce, sequence number 등이 될 수 있다.
이러한 security related capability information element 를 보낸 network 과 이를 받은 UE 의 경우 받은 information element 의 정보에 근거하여
다음과 같이 Kamf 를 derivation 할 수 있다.
Function code = 정해질 예정
P0= SUPI
L0= length of SUPI
PI= value of security related value (상기의 security related capability 의 value)
L1= length of security related parameter
상기의 PI 값은 AMF 가 SEAF 와 AMF 의 function 이 collocated 되어 있는 경우는 0 의 값으로 setting 해서 보내는 것이 일 실시 예가 될 수 있다. 혹은 SEAF 와 AMF 의 key derivation 에 있어서 case 1) SEAF 단독으로 Kseaf 로 부터 Kamf 를 생성하거나, 혹은 case2) AMF 단독으로 Kamf 를 생성하거나, 혹은
case 3) SEAF 와 AMF 가 collocated 되어 Kamf 를 생성하는 경우는 PI 의 값이 0으로 setting 해서 보내는 것이 일 실시예가 될 수 있다.
이후 441 과정, 443 과정에서 UE(101)는 AMF(111)로 보안 모드 거절(security mode reject) 메시지를 보낸다.
이후 451 과정, 453 과정에서는 AMF(111)는 UE(101)로 Authentication Request 메시지를 보낸다.
이후 461 과정, 463 과정에서 UE(101)는 AMF(111) 로 Authentication Response 메시지를 보낸다.
도 5는 본 개시의 일 실시 예에 따른 5G 시스템에서 보안 절차, 및 보안 방안에 대한 일 실시 예를 도시한다.
도 5는 security related capability 의 검증 과정이 success한 경우의 일 실시 예를 도시한다.
501 과정, 503 과정에서 UE(101)는 AMF(111)로 Registration Request 메시지를 보낸다.
이후 511 과정, 513 과정에서 AMF(111) 는 UE(101)로 Authentication Request 메시지를 보낸다. 이 때 Network node (예를 들면 AMF ) 는 UE 의 security related capability , Network node 의 security related capability, 보안 정보의 변질되지 않음 (freshness) 를 위한 정보 등을 보낸다.
이후 521 과정, 523 과정에서 UE(101)는 AMF(111)로 Authentication Response 메시지를 보낸다.
이후, 531 과정, 533 과정에서 AMF(111)는 UE(101)로 security mode command 메시지를 보낸다.
이 때 UE 에서 network 으로 UE security related capability (security key generation capability) 에 대한 정보를 보낸다. 이러한 UE security related capability (security key generation capability)는 UE 의 security key generation capability 등을 포함한다.
이후 541 과정, 543 과정에서 UE(101)는 AMF(111)로 security mode complete 메시지를 보낸다.
도 6은 본 개시의 일 실시 예에 따른 UE의 블록도를 도시한다.
UE(101)는 송수신기(601) 및 프로세서(603)를 포함한다.
일 예로, 프로세서(603)는 보안 절차와 관련된 메시지를 송수신하도록 송수신기(601)를 제어할 수 있다.
도 7은 본 개시의 일 실시 예에 따른 네트워크 노드의 블록도를 도시한다.
상기 네트워크 노드는 일 예로, 기지국, AMF(111) 등이 될 수 있다.
네트워크 노드는 송수신기(701) 및 프로세서(703)를 포함한다.
일 예로, 프로세서(703)는 보안 절차와 관련된 메시지를 송수신하도록 송수신기(701)를 제어할 수 있다.
도 8은 본 개시의 일 실시 예에 따른 5G 시스템에서 통신 시 보안 절차 및 보안 방안에 대한 일 실시 예의 흐름도이다.
도 8을 참조할 때, 단말(101)은 보안 관련 능력(security related capability)을 지시하는 정보를 포함하는 등록 요청(registration request) 메시지를 네트워크 노드로 전송하고(801), 상기 네트워크 노드로부터 인증 요청(authentication request) 메시지를 수신할 수 있고(803), 상기 인증 요청 메시지를 이용하여 상기 보안 관련 능력을 검증(인증)할 수 있다(805). 상기 인증 요청 메시지에 대한 응답으로 제1 메시지를 전송하고(807), 상기 네트워크 노드로부터 보안 모드 명령(security mode command) 메시지를 수신하며(809), 상기 보안 모드 명령 메시지에 대한 응답으로 보안 모드 완료(security mode complete) 메시지를 상기 네트워크 노드로 전송할 수 있다(811). 상기 보안 관련 능력은 상기 단말의 보안 관련 능력 또는 상기 네트워크 노드의 보안 관련 능력 중 적어도 하나를 포함할 수 있다.
상기 제1 메시지는 검증(인증) 성공 또는 실패 여부에 따라 인증 응답(authentication response) 메시지 또는 인증 실패(authentication failure) 메시지일 수 있다.
상술한 본 개시의 구체적인 실시 예들에서, 개시에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 발명이 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (5)

  1. 무선 통신 시스템에서 단말에 의한 통신 방법에 있어서,
    보안 관련 능력(security related capability)을 지시하는 정보를 포함하는 등록 요청(registration request) 메시지를 네트워크 노드로 전송하는 동작;
    상기 네트워크 노드로부터 인증 요청(authentication request) 메시지를 수신하는 동작;
    상기 인증 요청 메시지를 이용하여 상기 보안 관련 능력을 검증하는 동작;
    상기 인증 요청 메시지에 대한 응답으로 제1 메시지를 전송하는 동작;
    상기 네트워크 노드로부터 보안 모드 명령(security mode command) 메시지를 수신하는 동작; 및
    상기 보안 모드 명령 메시지에 대한 응답으로 보안 모드 완료(security mode complete) 메시지를 상기 네트워크 노드로 전송하는 동작;을 포함하고,
    상기 보안 관련 능력은 상기 단말의 보안 관련 능력 또는 상기 네트워크 노드의 보안 관련 능력 중 적어도 하나를 포함하는 방법.
  2. 제1항에 있어서, 상기 인증 요청 메시지에 대한 응답으로 제1 메시지를 전송하는 동작은, 상기 검증에 성공한 경우 인증 응답(authentication response) 메시지를 전송하는 방법.
  3. 제1항에 있어서, 상기 인증 요청 메시지에 대한 응답으로 제1 메시지를 전송하는 동작은, 상기 검증에 실패한 경우 인증 실패(authentication failure) 메시지를 전송하는 방법.
  4. 제1항에 있어서, 상기 보안 관련 능력을 지시하는 정보는 보안 키(security key) 생성 능력에 대한 정보를 포함하는 방법.
  5. 제1항에 있어서, 상기 인증 요청 메시지는 상기 보안 관련 능력 또는 보안 관련 능력을 지시하는 정보의 변질 여부를 식별하는 파라미터 중 적어도 하나를 포함하는 방법.
KR1020180076081A 2018-06-29 2018-06-29 무선 통신 시스템에서 통신 방법 및 장치 KR102449988B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020180076081A KR102449988B1 (ko) 2018-06-29 2018-06-29 무선 통신 시스템에서 통신 방법 및 장치
US17/255,713 US11546759B2 (en) 2018-06-29 2019-06-27 Method and device for communicating in wireless communication system
PCT/KR2019/007831 WO2020004986A1 (ko) 2018-06-29 2019-06-27 무선 통신 시스템에서 통신 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180076081A KR102449988B1 (ko) 2018-06-29 2018-06-29 무선 통신 시스템에서 통신 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20200002506A true KR20200002506A (ko) 2020-01-08
KR102449988B1 KR102449988B1 (ko) 2022-10-05

Family

ID=68987462

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180076081A KR102449988B1 (ko) 2018-06-29 2018-06-29 무선 통신 시스템에서 통신 방법 및 장치

Country Status (3)

Country Link
US (1) US11546759B2 (ko)
KR (1) KR102449988B1 (ko)
WO (1) WO2020004986A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111491342B (zh) * 2019-06-28 2021-06-04 维沃移动通信有限公司 终端能力标识的操作方法、通信设备和存储介质
CN114143796B (zh) * 2021-10-14 2024-05-14 河海大学 一种上行链路中信号传输性能的方法
WO2023240411A1 (en) * 2022-06-13 2023-12-21 Zte Corporation Home triggered primary authentication for inter-working networks

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060042045A (ko) * 2004-08-25 2006-05-12 한국전자통신연구원 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
KR20180049211A (ko) * 2013-01-17 2018-05-10 닛본 덴끼 가부시끼가이샤 분리된 사용자 및 제어 평면들에 의한 셀룰러 시스템에서의 보안 통신들

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2315371A4 (en) * 2008-08-15 2015-10-14 Samsung Electronics Co Ltd SAFETY PROTECTED METHOD FOR SUPPORTING NON-ACCESSIBLE LAYER PROTOCOL OPERATION IN A MOBILE TELECOMMUNICATIONS SYSTEM
US8605904B2 (en) 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
US9736873B2 (en) 2010-06-25 2017-08-15 Interdigital Patent Holdings, Inc. Interface of an M2M server with the 3GPP core network
JP2017525250A (ja) 2014-07-07 2017-08-31 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおけるD2D(Device−to−Device)通信のための信号送信方法及びこのための装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060042045A (ko) * 2004-08-25 2006-05-12 한국전자통신연구원 무선 휴대 인터넷 시스템에서 eap를 이용한 보안 관계협상 방법
KR20180049211A (ko) * 2013-01-17 2018-05-10 닛본 덴끼 가부시끼가이샤 분리된 사용자 및 제어 평면들에 의한 셀룰러 시스템에서의 보안 통신들

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TS 33.501 v15.1.0, Security architecture and procedures for 5G system, 2018.06* *
3GPP, TS24.501, Non-Access-Stratum (NAS) protocol for 5G System (5GS)* *

Also Published As

Publication number Publication date
US11546759B2 (en) 2023-01-03
KR102449988B1 (ko) 2022-10-05
US20210274346A1 (en) 2021-09-02
WO2020004986A1 (ko) 2020-01-02

Similar Documents

Publication Publication Date Title
EP3516819B1 (en) Next generation key set identifier
EP3275259B1 (en) System and method for reducing authentication signaling in a wireless network
US9924416B2 (en) Methods, apparatuses and computer program products for fast handover
KR20190004499A (ko) eSIM 단말과 서버가 디지털 인증서를 협의하는 방법 및 장치
KR102449988B1 (ko) 무선 통신 시스템에서 통신 방법 및 장치
EP3284232B1 (en) Wireless communications
US20230254695A1 (en) Method and apparatus for network security
WO2021219385A1 (en) Securely identifying network function
US20220053445A1 (en) Method and Apparatus for Mobility Registration
US11606768B2 (en) Method and apparatus for registration
KR102587360B1 (ko) Dn authorized pdu세션 재인증 지원 및 dn authorization data 변경에 따른 pdu세션 관리 방법 및 장치
CN109936444B (zh) 一种密钥生成方法及装置
CN108243631A (zh) 一种接入网络的方法及设备
US20230370840A1 (en) Method, ue, and network entity for handling synchronization of security key in wireless network
KR102405412B1 (ko) 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
US20230180000A1 (en) Method and apparatus for transmitting and receiving information related to user equipment in wireless communication system
KR20190123118A (ko) X2 핸드오버 동안 베어러 관리 방법 및 장치
KR102242702B1 (ko) 무선 통신 시스템에서 통신을 수행하는 방법 및 장치
US20230171585A1 (en) Device-to-Device Secure Embedded Subscriber Identity Module Subscription Transfer
US20230116405A1 (en) Method and device for session breakout of home routed session in visited plmn in wireless communication system
WO2020220353A1 (en) Exchanging capability information
CN116684865A (zh) 通信的方法和装置
CN116325846A (zh) 用于为边缘计算服务建立安全连接的方法和装置
CN117376916A (zh) 一种信息写入方法及装置
CN115706973A (zh) 一种安全通信的方法及通信装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant