KR20200003120A - 통신 방법 및 관련 장치 - Google Patents

통신 방법 및 관련 장치 Download PDF

Info

Publication number
KR20200003120A
KR20200003120A KR1020197035424A KR20197035424A KR20200003120A KR 20200003120 A KR20200003120 A KR 20200003120A KR 1020197035424 A KR1020197035424 A KR 1020197035424A KR 20197035424 A KR20197035424 A KR 20197035424A KR 20200003120 A KR20200003120 A KR 20200003120A
Authority
KR
South Korea
Prior art keywords
user plane
terminal device
base station
integrity protection
security policy
Prior art date
Application number
KR1020197035424A
Other languages
English (en)
Other versions
KR102162678B1 (ko
Inventor
허 리
징 천
리 후
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20200003120A publication Critical patent/KR20200003120A/ko
Application granted granted Critical
Publication of KR102162678B1 publication Critical patent/KR102162678B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • H04W12/0013
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/1006
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

통신 방법 및 관련 장치가 제공된다. 기지국은 보안 정책을 획득하고, 여기서, 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용되며; 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에게 지시할 때, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다.

Description

통신 방법 및 관련 장치
본 출원은 2017년 5월 5일자로 중국 특허청에 출원되고 발명의 명칭이 "COMMUNICATION METHOD AND RELATED APPARATUS"인 중국 특허 출원 제PCT/CN2017/083362호에 대한 우선권을 주장하며, 이는 그 전체가 본 명세서에 참조로 포함된다.
본 출원은 무선 통신 기술 분야에 관한 것으로, 특히, 통신 방법 및 관련 장치에 관한 것이다.
롱 텀 에볼루션(Long Term Evolution, LTE) 시스템에서, 단말 디바이스 및 기지국은 암호화/복호화 및 무결성 보호와 같은 보안 동작들을 수행하여, 시그널링을 위한 암호화 보호 및 무결성 보호를 제공한다. 상이한 단말 디바이스들은 상이한 보안 능력들을 가지므로, 예를 들어, 상이한 암호화 알고리즘들 또는 무결성 보호 알고리즘들을 지원하기 때문에, 암호화 보호 및 무결성 보호가 액세스 계층(Access Stratum, AS)에서 수행되기 전에, 보안 알고리즘들의 세트는 단말 디바이스와 기지국 사이에서 협상될 필요가 있다. 보안 알고리즘들을 협상하는 프로세스는 다음의 단계들을 포함한다:
1. 단말 디바이스는 기지국을 사용하여 이동성 관리 엔티티(Mobility Management Entity, MME)에 부착 요청(attach request)을 전송한다. 부착 요청은 단말 디바이스에 의해 지원되는 알고리즘을 운반한다.
2. 기지국은 사용을 위해 서빙 네트워크(serving network)에 의해 허용되는 미리 구성된 알고리즘 및 단말 디바이스에 의해 지원되고 MME에 의해 포워딩되는 알고리즘과의 조합에 기초하여 서빙 네트워크에 의해 지원되는 보안 알고리즘을 선택한다. 보안 알고리즘은 암호화 알고리즘 및 무결성 보호 알고리즘을 포함한다. 기지국은 선택된 암호화 알고리즘에 기초하여 AS 암호화 키를 생성하고 무결성 보호 알고리즘에 기초하여 무결성 보호 키를 생성한다. 서빙 네트워크에 의해 지원되고 기지국에 의해 선택된 보안 알고리즘은 사용자 평면의 보안 알고리즘 및 시그널링 평면에 적용되는 보안 알고리즘 양측 모두이다.
3. AS 보안 모드 커맨드(Security mode command, SMC) 절차를 사용하여, 단말 디바이스는 기지국에 의해 선택된 보안 알고리즘을 사용자 평면 및 시그널링 평면에 적용한다. 예를 들어, 기지국에 의해 선택되는 암호화 알고리즘 및 무결성 보호 알고리즘은 AS SMC에서 운반되고 단말 디바이스에 전송된다.
종래 기술에서, 사용자 평면 및 시그널링 평면 양측 모두에 적용되는 보안 알고리즘은 AS SMC 절차를 사용하여 결정되고, 보안 알고리즘은 암호화 알고리즘 및 무결성 보호 알고리즘을 포함한다. 이러한 보안 알고리즘의 협상 해결책은 상대적으로 고정되어 있다. 예를 들어, 동일한 세트의 보안 알고리즘들이 사용자 평면 및 시그널링 평면에 적용가능하고, 분할될 수 없다. 또 다른 예로서, 암호화 알고리즘 및 무결성 보호 알고리즘은 동시에 결정될 필요가 있고 분할될 수 없다. 그러므로, 보안 협상 알고리즘은 상대적으로 고정되고, 유연하고 변경가능한 응용 시나리오들에 적합할 수 없다.
본 출원의 실시예들은, 사용자 평면 무결성 보호 알고리즘이 유연하고 독립적으로 협상될 수 있는 해결책에 적응하는, 통신 방법, 관련 장치 및 저장 매체를 제공한다.
제1 양태에 따르면, 본 출원의 실시예는 통신 방법을 제공하고, 이 방법은: 기지국에 의해, 보안 정책을 획득하는 단계 - 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용됨 - ; 및 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에게 지시할 때, 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하는 단계를 포함한다. 이러한 방식으로, 단말 디바이스에 대한 무결성 보호를 인에이블할지는 보안 정책에 기초하여 유연하게 선택될 수 있다. 또한, 단말 디바이스에 대해 무결성 보호가 인에이블될 때에만, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적으로, 무결성 보호 지시 정보는 사용자 평면 무결성 보호 알고리즘의 식별자이다. 즉, 보안 정책이 사용자 평면 무결성 보호 알고리즘의 식별자를 운반하는 것으로 결정되는 경우에, 기지국은 단말 디바이스에 대한 무결성 보호를 인에이블하는 것으로 결정될 수 있다. 이러한 실시예에서의 보안 정책은 (알고리즘 목록으로서 지칭될 수 있는) 사용자 평면 무결성 보호 알고리즘들의 하나 이상의 식별자를 운반할 수 있다. 이러한 실시예에서 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나에 기초하여 결정될 수 있다. 다시 말해서, 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 기지국에 의해, 보안 정책을 획득하는 것은, 기지국에 의해, 다른 네트워크 요소로부터 보안 정책을 수신하는 것일 수 있거나, 또는 기지국에 의해, 기지국에 미리 저장된 적어도 하나의 보안 정책으로부터 보안 정책을 결정하는 것일 수 있다. 기지국 측에 미리 저장된 보안 정책은 또한 기지국 측에서 미리 구성된 보안 정책일 수 있다. 기지국은 기지국에 미리 저장된 적어도 하나의 보안 정책으로부터 복수의 방식으로 보안 정책을 획득한다. 예를 들어, 단말 디바이스의 식별자에 대응하고 기지국에 저장되는 보안 정책은 단말의 식별자와 기지국에 미리 저장된 보안 정책 사이의 대응관계에 기초하여 결정될 수 있다. 또 다른 예로, 세션 식별자에 대응하고 기지국에 저장되는 보안 정책은 기지국에 미리 저장된 보안 정책과 세션 식별자 사이의 대응관계에 기초하여 결정될 수 있다. 해결책은 SMF 엔티티에 의해 보안 정책을 획득하는 해결책과 유사할 수 있다. 세부사항들은 본 명세서에서 설명되지 않는다.
선택적으로, 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하는 것은: 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 RRC 시그널링을 사용하여 단말 디바이스에 전송하는 것을 포함한다. 본 출원의 이러한 실시예에서 제공되는 해결책은 종래 기술에서의 RRC 시그널링을 재사용함으로써 구현되어, 종래 기술과의 더 양호한 호환성이 구현되고, 종래 기술에 대한 수정이 비교적 작다.
기지국이 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하는 선택적인 구현에서, 기지국은 타겟 시그널링 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하고, 단말 디바이스는 또한 수신된 타겟 시그널링 평면 무결성 보호 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 결정한다. 즉, 기지국은 무결성 보호 알고리즘을 단말 디바이스에 전송하며, 무결성 보호 알고리즘은 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다이다.
선택적으로, 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하기 전에, 방법은: 기지국에 의해, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계를 추가로 포함한다. 이러한 방식으로, 단말 디바이스의 보안 능력과 기지국의 보안 능력 둘 다 고려될 수 있어, 결정된 타겟 사용자 평면 무결성 보호 알고리즘이 단말 디바이스의 보안 능력과 기지국의 보안 능력 둘 다에 매칭되게 된다.
선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이므로, 기지국 측에 대한 더 양호한 타겟 사용자 평면 무결성 보호 알고리즘이 선택될 수 있게 된다. 대안적으로, 선택적으로, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이므로, 단말 디바이스 측에 대한 더 양호한 타겟 사용자 평면 무결성 보호 알고리즘이 선택될 수 있게 된다.
선택적으로, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함하고, 기지국에 의해, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 것은: 기지국에 의해, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 것을 포함한다. 이러한 방식으로, 단말 디바이스의 보안 능력 및 기지국의 보안 능력 양측 모두 고려될 수 있고, 서빙 네트워크의 실제 상태가 또한 고려된다. 그러므로, 한편으로, 결정된 타겟 사용자 평면 무결성 보호 알고리즘은 단말 디바이스의 보안 능력과 기지국의 보안 능력에 매칭될 수 있고; 다른 한편으로, 서빙 네트워크의 실제 상태에 더 잘 매칭된다.
선택적으로, 보안 정책이 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함할 때, 기지국은 또한, 타겟 사용자 평면 무결성 보호 알고리즘으로서, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 이외의, 보안 정책에 포함되는 알고리즘을 결정할 수 있다. 예를 들어, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘으로부터 하나의 알고리즘이 타겟 사용자 평면 무결성 보호 알고리즘으로서 결정될 수 있다.
선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이므로, 서빙 네트워크에 기초한 더 양호한 타겟 사용자 평면 무결성 보호 알고리즘이 선택될 수 있게 된다.
선택적으로, 방법은: 보안 정책이 암호화 지시 정보를 추가로 포함하고, 암호화 지시 정보가 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용될 때, 기지국에 의해, 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송하는 단계; 또는 보안 정책이 키 길이를 추가로 포함할 때, 기지국에 의해, 키 길이를 단말 디바이스에 전송하는 단계; 또는 보안 정책이 D-H 지시 정보를 추가로 포함하고, D-H 지시 정보가 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용될 때, 기지국에 의해, D-H 관련 키를 단말 디바이스에 전송하는 단계를 추가로 포함한다. 이러한 방식으로, 보안 정책 내의 임의의 정보가 더 유연하게 지시될 수 있어, 최종적으로 결정된 보안 정책이 복잡한 응용 시나리오에 더 적합하게 된다.
선택적으로, 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하기 전에, 방법은: 기지국에 의해, SMF 엔티티로부터 단말 디바이스의 현재 세션의 서비스 품질을 수신하는 단계, 및 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계를 추가로 포함한다.
자원들을 절약하기 위해, 선택적으로, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계는: 제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재할 때, 기지국에 의해, 제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러 중 하나를 타겟 데이터 무선 베어러로서 결정하는 단계를 포함하며, 제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질과 동일하고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하다.
선택적으로, 제1 조건은 2개의 데이터 무선 베어러의 서비스 품질이 동일하고, 2개의 데이터 무선 베어러의 보안 정책이 동일한 것을 포함한다.
자원들을 절약하기 위해, 다른 선택적인 해결책에서, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계는: 제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않지만, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재할 때, 기지국에 의해, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러 중 하나의 이력 데이터 무선 베어러를 업데이트하는 단계, 및 이력 데이터 무선 베어러를 타겟 데이터 무선 베어러로서 결정하는 단계를 포함하며, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질과 동일하고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책에 매칭되거나; 또는 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질에 매칭되고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하거나; 또는 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질에 매칭되고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책에 매칭된다.
선택적으로, 제2 조건은 2개의 데이터 무선 베어러의 서비스 품질이 서로 매칭되고, 2개의 데이터 무선 베어러의 보안 정책이 동일하다는 것을 포함한다. 대안적으로, 선택적으로, 제2 조건은 2개의 데이터 무선 베어러들의 서비스 품질이 동일하고, 2개의 데이터 무선 베어러들의 보안 정책들이 서로 매칭된다는 것을 포함한다. 대안적으로, 선택적으로, 제2 조건은 2개의 데이터 무선 베어러들의 서비스 품질이 서로 매칭되고, 2개의 데이터 무선 베어러들의 보안 정책들이 서로 매칭되는 것을 포함한다.
적절한 타겟 데이터 무선 베어러를 선택하기 위해, 또 다른 선택적인 해결책에서, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계는: 제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않고, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재하지 않을 때, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 생성하는 단계를 포함한다.
적절한 타겟 데이터 무선 베어러를 선택하기 위해, 또 다른 선택적인 해결책에서, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계는: 제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않을 때, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 생성하는 단계를 포함한다.
적절한 타겟 데이터 무선 베어러를 선택하기 위해, 또 다른 선택적인 해결책에서, 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 단계는: 기지국에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 생성하는 단계를 포함한다.
선택적으로, 기지국에 의해, 보안 정책을 획득하는 단계는: 기지국에 의해, SMF 엔티티로부터 보안 정책을 수신하는 단계를 포함하거나; 또는, 기지국에 의해, SMF 엔티티로부터 보안 정책의 식별자를 수신하고, 보안 정책의 식별자에 기초하여 보안 정책을 획득하는 단계를 포함한다.
선택적으로, 본 출원의 이러한 실시예에서, 방법은: 기지국에 의해, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하는 단계; 기지국에 의해, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하는 단계; 및 기지국에 의해, 타겟 시그널링 평면 보안 알고리즘을 액세스 계층(AS) 보안 모드 커맨드(SMC)에 추가하고, AS SMC를 단말 디바이스에 전송하는 단계를 추가로 포함한다. 이러한 방식으로, 시그널링 평면 알고리즘 및 사용자 평면 보안 알고리즘이 결합 해제될 수 있으므로, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘이 별도로 협상되어, 사용자 평면 보안 알고리즘을 더 유연하게 결정하기 위한 기초를 제공한다.
선택적으로, 사용자 평면 무결성 보호를 인에이블하는 것으로 결정할 때, 기지국은 사용자 평면 무결성 보호를 인에이블한다.
선택적으로, 사용자 평면 암호화 보호를 인에이블하는 것으로 결정할 때, 기지국은 사용자 평면 암호화 보호를 인에이블한다.
선택적으로, 기지국이 사용자 평면 무결성 보호를 일시적으로 인에이블하지 않기로 결정하거나, 기지국이 사용자 평면 무결성 보호를 인에이블할지를 현재 결정할 수 없을 때, 기지국은 사용자 평면 무결성 보호를 인에이블 하지 않는다.
선택적으로, 기지국이 사용자 평면 암호화 보호를 일시적으로 인에이블하지 않기로 결정하거나, 기지국이 사용자 평면 암호화 보호를 인에이블할지를 현재 결정할 수 없을 때, 기지국은 사용자 평면 암호화 보호를 인에이블하지 않는다.
"일시적으로"는 시간 기간이 있다는 것을 의미한다. 사용자 평면 무결성 보호가 일시적으로 인에이블되지 않는다는 것은 사용자 평면 무결성 보호가 하나의 시간 기간 내에는 인에이블되지 않지만, 사용자 평면 무결성 보호가 또 다른 시간 기간 내에는 인에이블된다는 것을 의미한다. 사용자 평면 암호화 보호가 일시적으로 인에이블되지 않는다는 것은 사용자 평면 암호화 보호가 하나의 시간 기간 내에는 인에이블되지 않지만, 사용자 평면 암호화 보호가 또 다른 시간 기간 내에 인에이블된다는 것을 의미한다.
선택적인 구현에서, AS 보안 모드 커맨드가 수신된 후에, 사용자 평면 암호화 보호가 인에이블될 수 있지만, 사용자 평면 무결성 보호를 인에이블할지는 RRC 재구성 메시지를 사용하여 단말 디바이스에 통지된다는 것이 네트워크에 규정되어 있다. 이러한 경우에, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블할지를 결정할 수 없다.
또 다른 선택적인 구현에서, AS 보안 모드 커맨드가 수신된 후에, 시그널링 평면 보안만이 인에이블(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호가 인에이블)되지만, 사용자 평면 무결성 보호를 인에이블할지, 및 사용자 평면 암호화 보호를 인에이블할지는 RRC 재구성 메시지를 사용하여 단말 디바이스에 통지된다는 것이 네트워크에서 규정되어 있다. 이러한 경우에, 사용자 평면 무결성 보호를 인에이블할지 및 사용자 평면 암호화 보호를 인에이블할지는 결정될 수 없다.
선택적으로, 사용자 평면 무결성 보호를 인에이블하지 않는 것은: 사용자 평면 무결성 보호를 인에이블할지가 결정될 수 없거나 또는 사용자 평면 무결성 보호를 일시적으로 인에이블하지 않는 것으로 결정될 때, 사용자 평면 무결성 보호 키를 생성하지만 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 무결성 보호를 수행하지 않는 것; 및 사용자 평면 무결성 보호를 인에이블하는 것으로 결정될 때, 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 무결성 보호를 수행하는 것을 포함한다. 이러한 구현에서, 사용자 평면 무결성 보호 키가 생성되기 전에 사용자 평면 무결성 보호 알고리즘이 획득되고, 예를 들어, 시그널링 평면 무결성 보호 알고리즘이 또한 사용자 평면 무결성 보호 알고리즘으로서 사용될 수 있다.
선택적으로, 사용자 평면 무결성 보호를 인에이블하지 않는 것은: 사용자 평면 무결성 보호를 인에이블하는 것으로 결정될 때, 사용자 평면 무결성 보호 키를 생성하는 것, 및 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 무결성 보호를 수행하는 것을 포함한다. 즉, 사용자 평면 무결성 보호를 인에이블할지가 결정될 수 없거나 또는 사용자 평면 무결성 보호를 일시적으로 인에이블하지 않는 것으로 결정될 때, 사용자 평면 무결성 보호 키는 사용자 평면 무결성 보호가 인에이블되지 않을 때 생성되지 않을 수 있다. 대응하여, 예를 들어, 단말 디바이스 및 기지국에 대해, 단말 디바이스 및 기지국이 항상 사용자 평면 무결성 보호를 인에이블하지 않는 것으로 결정되는 경우에(예를 들어, 미리 설정된 조건일 수 있음), 사용자 평면 무결성 보호 키는 생성되지 않을 수 있다.
선택적으로, 사용자 평면 암호화 보호를 인에이블하지 않는 것은: 사용자 평면 암호화 보호를 인에이블할지가 결정될 수 없거나 또는 사용자 평면 암호화 보호를 일시적으로 인에이블하지 않는 것으로 결정될 때, 사용자 평면 암호화 키를 생성하지만, 사용자 평면 암호화 키를 사용하여 사용자 평면 암호화 보호를 수행하지 않는 것; 및 사용자 평면 암호화 보호를 인에이블하는 것으로 결정될 때, 사용자 평면 암호화 키를 사용하여 사용자 평면 암호화 보호를 수행하는 것을 포함한다. 이러한 구현에서, 사용자 평면 암호화 키가 생성되기 전에 사용자 평면 암호화 알고리즘이 획득되고, 예를 들어, 시그널링 평면 암호화 알고리즘이 또한 사용자 평면 암호화 알고리즘으로서 사용될 수 있다. 선택적으로, 사용자 평면 암호화 보호를 인에이블하지 않는 것은: 사용자 평면 암호화 보호를 인에이블하는 것으로 결정될 때, 사용자 평면 암호화 키를 생성하는 것, 및 사용자 평면 암호화 키를 사용하여 사용자 평면 암호화 보호를 수행하는 것을 포함한다. 즉, 사용자 평면 암호화 보호를 인에이블할지가 결정될 수 없거나 또는 사용자 평면 암호화 보호를 일시적으로 인에이블하지 않는 것으로 결정될 때, 사용자 평면 암호화 키는 생성되지 않을 수 있다. 대응하여, 예를 들어, 단말 디바이스 및 기지국에 대해, 단말 디바이스 및 기지국이 항상 사용자 평면 암호화 보호를 인에이블하지 않는 것으로 결정되는 경우(예를 들어, 미리 설정된 조건일 수 있음), 사용자 평면 암호화 키는 생성되지 않을 수 있다.
선택적으로, 기지국은 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 획득하고, 획득된 무결성 보호 지시 정보에 기초하여, 무결성 보호를 인에이블할지를 결정하거나, 또는 암호화 지시 정보에 기초하여, 사용자 평면 암호화 보호를 인에이블할지를 결정한다. 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블할지를 지시하는데 사용되고, 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블할지를 지시하는데 사용된다.
선택적으로, 기지국에 의해 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 획득하는 복수의 방식이 존재한다. 예를 들어, 기지국은 다른 네트워크 요소에 의해 전송되는 무결성 보호 지시 정보 및 암호화 지시 정보 중 적어도 하나를 결정 또는 수신하는 것을 통해 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 생성한다. 또 다른 네트워크 요소는 SMF 엔티티일 수 있다.
선택적으로, 기지국은 무결성 보호 지시 정보 및 암호화 지시 정보 중 적어도 하나를 단말 디바이스에 전송하여, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블할지 및/또는 사용자 평면 암호화 보호를 인에이블할지를 결정하게 한다. 대안적으로, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블할지 및/또는 사용자 평면 암호화 보호를 인에이블할지를 결정한다.
선택적으로, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 비트 정보 또는 알고리즘의 식별자일 수 있다. 예를 들어, 무결성 보호 지시 정보는 타겟 사용자 평면 무결성 보호 알고리즘의 식별자이다. 또 다른 예로서, 암호화 지시 정보는 타겟 사용자 평면 암호화 보호 알고리즘의 식별자이다. 또 다른 예로서, 무결성 보호 지시 정보 또는 암호화 지시 정보를 지시하기 위해 1-비트 정보가 사용된다. 또 다른 예로서, 무결성 보호 지시 정보 및 암호화 지시 정보를 지시하기 위해 2-비트 정보가 사용된다. 제2 양태에 따르면, 본 출원의 실시예는 통신 방법을 제공하는데, 이 방법은: SMF 엔티티에 의해, 요청 메시지를 수신하는 단계 - 요청 메시지는 보안 정책에 관련된 파라미터를 포함함 - ; SMF 엔티티에 의해, 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하는 단계; 및 SMF 엔티티에 의해, 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하는 단계 - 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용됨 -를 포함한다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적으로, 무결성 보호 지시 정보는 사용자 평면 무결성 보호 알고리즘의 식별자이다. 즉, 보안 정책이 사용자 평면 무결성 보호 알고리즘의 식별자를 운반하는 것으로 결정되는 경우에, 기지국은 단말 디바이스에 대한 무결성 보호를 인에이블하는 것으로 결정될 수 있다. 이러한 실시예에서의 보안 정책은 (알고리즘 목록으로서 지칭될 수 있는) 사용자 평면 무결성 보호 알고리즘들의 하나 이상의 식별자를 운반할 수 있다. 이러한 실시예에서 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나에 기초하여 결정될 수 있다. 다시 말해서, 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자, 단말 디바이스의 데이터 네트워크 이름(DNN), 단말 디바이스의 슬라이스의 식별자, 단말 디바이스의 서비스 품질, 및 단말 디바이스의 세션 식별자 중 적어도 하나를 포함한다. 이러한 방식으로, 보안 정책은 상이한 관점들로부터의 또는 상이한 세분성들에서 상이한 식별자들에 기초하여 공식화될 수 있고, 이것은 더 유연하다.
선택적으로, SMF 엔티티에 의해, 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하는 것은: 보안 정책에 관련된 파라미터가 단말 디바이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 식별자 및 단말 디바이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하는 것을 포함한다. 이러한 방식으로, 보안 정책이 단말 디바이스의 세분성에서 결정될 수 있어, 상이한 단말 디바이스들이 상이한 보안 정책들에 대응할 수 있게 된다.
또 다른 선택적인 구현에서, SMF 엔티티에 의해, 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하는 것은: 보안 정책에 관련된 파라미터가 단말 디바이스의 슬라이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 슬라이스의 식별자 및 슬라이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하는 것을 포함한다. 이러한 방식으로, 보안 정책이 슬라이스의 세분성에서 결정될 수 있어, 상이한 슬라이스들에 액세스하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
또 다른 선택적인 구현에서, SMF 엔티티에 의해, 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하는 것은: 보안 정책에 관련된 파라미터가 단말 디바이스의 세션 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 세션 식별자 및 세션 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하는 것을 포함한다. 이러한 방식으로, 보안 정책은 세션의 세분성으로 결정될 수 있어, 상이한 세션들을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
또 다른 선택적인 구현에서, SMF 엔티티에 의해, 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하는 것은: 보안 정책에 관련된 파라미터가 단말 디바이스의 서비스 품질을 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 서비스 품질에 기초하여 보안 정책을 획득하는 것을 포함한다. 이러한 방식으로, 보안 정책은 서비스 품질의 세분성으로 결정될 수 있어, 상이한 서비스 품질을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
선택적으로, 보안 정책은 다음의 내용: 암호화 지시 정보- 암호화 지시 정보는 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 키 길이; D-H 지시 정보- D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함한다. 이러한 방식으로, 보안 정책 내의 임의의 정보가 더 유연하게 지시될 수 있어, 최종적으로 결정된 보안 정책이 복잡한 응용 시나리오에 더 적합하게 된다.
선택적으로, SMF 엔티티는 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 기지국에 전송한다. 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블할지를 지시하는데 사용되고, 암호화 지시 정보는 암호화 보호를 인에이블할지를 지시하는데 사용된다. 선택적으로, SMF 엔티티는 복수의 구현에서 사용자 평면 무결성 보호를 인에이블할지 및/또는 사용자 평면 암호화 보호를 인에이블할지를 결정한다. 후속하는 실시예들을 참조하거나, 또는 기지국이 사용자 평면 무결성 보호를 인에이블할지 및/또는 사용자 평면 암호화 보호를 인에이블할지를 결정하는 구현을 참조하고, 세부사항들은 본 명세서에서 다시 설명되지 않는다.
제3 양태에 따르면, 본 출원의 실시예는 기지국을 제공하며, 기지국은 메모리, 송수신기, 및 프로세서를 포함하고; 메모리는 명령어를 저장하도록 구성되고; 프로세서는 메모리에 저장된 명령어를 실행하고 송수신기를 제어하여 신호 수신 및 신호 전송을 수행하도록 구성되고; 프로세서가 메모리에 저장된 명령어를 실행할 때, 기지국은 제1 양태 또는 제1 양태의 구현들 중 어느 하나에 따른 방법을 수행하도록 구성된다.
제4 양태에 따르면, 본 출원의 실시예는 SMF 엔티티를 제공하며, SMF 엔티티는 메모리, 송수신기, 및 프로세서를 포함하고; 메모리는 명령어를 저장하도록 구성되고; 프로세서는 메모리에 저장된 명령어를 실행하고 송수신기를 제어하여 신호 수신 및 신호 전송을 수행하도록 구성되고; 프로세서가 메모리에 저장된 명령어를 실행할 때, SMF 엔티티는 제2 양태 또는 제2 양태의 구현들 중 어느 하나에 따른 방법을 수행하도록 구성된다.
제5 양태에 따르면, 본 출원의 실시예는 제1 양태 또는 제1 양태의 구현들 중 어느 하나에 따른 방법을 구현하도록 구성되고, 전술한 방법에서의 단계들을 구현하도록 별도로 구성되는 대응하는 기능 모듈들을 포함하는 기지국을 제공한다.
제6 양태에 따르면, 본 출원의 실시예는 제2 양태 또는 제2 양태의 구현들 중 어느 하나에 따른 방법을 구현하도록 구성되고, 전술한 방법에서의 단계들을 구현하도록 별도로 구성된 대응하는 기능 모듈들을 포함하는 SMF 엔티티를 제공한다.
제7 양태에 따르면, 본 출원의 실시예는 컴퓨터 저장 매체를 제공하며, 컴퓨터 저장 매체는 명령어를 저장하고; 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 양태 또는 제1 양태의 가능한 구현들 중 어느 하나에 따른 방법을 수행한다.
제8 양태에 따르면, 본 출원의 실시예는 컴퓨터 저장 매체를 제공하며, 컴퓨터 저장 매체는 명령어를 저장하고; 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제2 양태 또는 제2 양태의 가능한 구현들 중 어느 하나에 따른 방법을 수행한다.
제9 양태에 따르면, 본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 제공하고, 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 제1 양태 또는 제1 양태의 가능한 구현들 중 어느 하나에 따른 방법을 수행한다.
제10 양태에 따르면, 본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 제공하고, 컴퓨터 프로그램 제품이 컴퓨터 상에서 실행될 때, 컴퓨터는 제2 양태 또는 제2 양태의 가능한 구현들 중 어느 하나에 따른 방법을 수행한다.
본 출원의 실시예들에서, 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 기지국은 보안 정책을 획득한다. 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에게 지시할 때, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 이러한 방식으로, 단말 디바이스에 대한 무결성 보호를 인에이블할지는 보안 정책에 기초하여 유연하게 선택될 수 있다. 또한, 단말 디바이스에 대해 무결성 보호가 인에이블될 때에만, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
도 1은 본 출원의 실시예가 적용가능한 시스템 아키텍처의 개략도이다.
도 2는 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도이다.
도 2a는 본 출원의 일 실시예에 따른 또 다른 통신 방법의 개략적인 흐름도이다.
도 2b는 본 출원의 일 실시예에 따른 또 다른 통신 방법의 개략적인 흐름도이다.
도 3은 본 출원의 실시예에 따른 기지국의 개략적인 구조도이다.
도 4는 본 출원의 실시예에 따른 단말 디바이스의 개략적인 구조도이다.
도 5는 본 출원의 실시예에 따른 또 다른 기지국의 개략적인 구조도이다.
도 6은 본 출원의 실시예에 따른 또 다른 단말 디바이스의 개략적인 구조도이다.
도 1은 본 출원의 실시예들이 적용가능한 시스템 아키텍처의 개략도의 예를 도시한다. 도 1에 도시된 바와 같이, 5G 시스템 아키텍처는 단말 디바이스(101)를 포함한다. 단말 디바이스(101)는 무선 액세스 네트워크(Radio Access Network, 줄여서 RAN)를 사용하여 하나 이상의 코어 네트워크와 통신할 수 있다. 단말 디바이스는 사용자 장비(User Equipment, UE), 액세스 단말 디바이스, 가입자 유닛, 가입자 스테이션, 이동국, 모바일 콘솔, 원격 스테이션, 원격 단말 디바이스, 모바일 디바이스, 사용자 단말 디바이스, 단말 디바이스, 무선 통신 디바이스, 사용자 에이전트, 또는 사용자 장치를 지칭할 수 있다. 액세스 단말 디바이스는 셀 폰, 코드리스 폰, 세션 개시 프로토콜(Session Initiation Protocol, 줄여서 SIP) 폰, 무선 로컬 루프(Wireless Local Loop, 줄여서 WLL) 스테이션, 개인 휴대 정보 단말기(Personal Digital Assistant, 줄여서 PDA), 무선 통신 기능을 갖는 핸드헬드 디바이스, 무선 모뎀에 접속되는 컴퓨팅 디바이스 또는 다른 처리 디바이스, 차량내 디바이스(in-vehicle device), 착용가능 디바이스, 미래 5G 네트워크 내의 단말 디바이스 등일 수 있다.
기지국(102)이 단말 디바이스(101)에 접속된다. 선택적으로, 기지국(102)은 5G NodeB(generation NodeB, gNB)일 수 있거나, 진화된 eNB일 수 있거나, LTE NodeB eNB, 3G NodeB NB, 또는 진화된 5G NodeB와 같은 새로운 기지국일 수 있고, 영어로 (R) AN으로 쓰일 수 있다. 기지국(102)은 단말 디바이스와 통신하도록 구성되는 디바이스일 수 있다. 예를 들어, 기지국(102)은 GSM 시스템 또는 CDMA의 기지국 송수신기(Base Transceiver Station, BTS)일 수 있거나, WCDMA 시스템의 NodeB(NodeB, NB)일 수 있거나, LTE 시스템의 진화된 NodeB(Evolved NodeB, eNB 또는 eNodeB)일 수 있거나, 5G 기지국일 수 있다. 대안적으로, 네트워크 디바이스는 릴레이 노드, 액세스 포인트, 차량내 디바이스, 착용가능 디바이스, 미래 5G 네트워크의 네트워크측 디바이스, 미래 진화된 PLMN 네트워크의 네트워크 디바이스 등일 수 있다.
세션 관리 기능(Session Management Function, SMF) 엔티티(103)는 LTE에서 이동성 관리 모듈(Mobility Management Entity, MME)로부터 분할된 기능일 수 있고, 주로 사용자 세션을 확립하는 것을 담당할 수 있고, 사용자 세션이 확립된 후에만, 데이터가 수신되고 전송될 수 있다. LTE 시스템의 MME는 코어 네트워크측의 보안, 이동성 관리, 및 세션 관리를 담당하는 네트워크 요소이다. 보안은, 단말 디바이스(101)가 네트워크에 초기에 액세스할 때 단말 디바이스(101)가 네트워크와의 상호 인증을 수행할 필요가 있다는 것을 의미한다. 상호 인증 후에, 단말 디바이스(101) 및 코어 네트워크는 키를 생성한다. 키가 생성된 후에, 단말 디바이스(101)와 MME는 알고리즘 협상, 즉, 보안 능력 협상을 수행한다. 이동성 관리는 단말 디바이스(101)의 위치 정보를 기록하고, 단말 디바이스(101)의 위치 정보에 기초하여 단말 디바이스(101)에 대한 적절한 사용자 평면 네트워크 요소 디바이스를 선택한다. 세션 관리는 단말 디바이스(101)의 사용자 평면 링크를 확립하는 것을 담당하는 것이다. 단말 디바이스(101)는 사용자의 데이터 평면 링크가 확립된 후에만 네트워크에 액세스할 수 있다.
사용자 평면 기능(User Plane Function, UPF) 엔티티(104)는 LTE 시스템 내의 서빙 게이트웨이(Serving Gateway, S-GW)와 공중 데이터 네트워크 게이트웨이(Public Data Network Gateway, P-GW)의 조합일 수 있고, 단말 디바이스(101)의 사용자 평면 기능 네트워크 요소이고, 주로 외부 네트워크에 접속하는 것을 담당한다.
전용 네트워크(Dedicated Network, DN)(105)는 단말 디바이스(101)에 대한 서비스를 제공하는 네트워크일 수 있다. 예를 들어, 일부 DN들은 단말 디바이스(101)에 대한 네트워크 액세스 기능을 제공할 수 있고, 일부 DN들은 단말 디바이스(101)에 대한 SMS 메시지 기능을 제공할 수 있다. 정책 제어 기능(Policy Control Function, PCF)(106)이 추가로 포함된다.
인증 서버 기능(Authentication Server Function, AUSF) 엔티티(107)는 인증 크리덴셜 리포지토리 및 처리 기능(Authentication Credential Repository and Processing Function, ARPF)과 상호작용하고 SEAF로부터의 인증 요청을 종료한다. 인증 서버 기능 엔티티(107)는 또한 LTE 시스템 내의 홈 가입자 서버(Home Subscriber Server, HSS)로부터 분할된 기능이다. AUSF(107)는 독립적인 네트워크 요소일 수 있다. LTE 시스템 내의 HSS는 사용자의 가입 정보 및 사용자의 장기 키(long-term key)를 저장할 수 있다.
ARPF는 사용자 데이터 관리(User Data Management, UDM) 엔티티(108) 내에 UDM의 일부로서 통합될 수 있다. ARPF는 LTE에서 HSS로부터 분할되고, 주로 장기 키를 저장하는 데 사용된다. 장기 키에 관련된 처리도 역시 여기서 완료된다.
액세스 및 이동성 관리(Access and Mobility Management Function, AMF) 엔티티(109)의 기능은 단말 디바이스(101)의 액세스 문제를 관리하고, 단말 디바이스(101)의 이동성을 추가로 관리하는 것이다. 이 기능은 LTE에서 MME 내의 이동성 관리 모듈(Mobility Management, MM) 기능일 수 있고, 액세스 관리의 기능을 추가로 포함한다. 슬라이스 선택 기능(Slice select Function, SSF)(110)이 추가로 포함된다.
보안 앵커 기능(Security anchor function, SEAF) 엔티티(111)는 단말 디바이스(101) 및 네트워크측의 인증 기능들을 담당하고, 인증이 성공한 후에 앵커 키(anchor key)를 저장한다.
보안 컨텍스트 관리 기능(Security Context Management Function, SCMF) 엔티티(112)는 SEAF(111)로부터 키를 획득하고 또 다른 키를 추가로 도출하며, MME로부터 분할된 기능이다. 실제 상황에서, SEAF(111)와 SCMF(112)는 하나의 별개의 인증 기능(Authentication function, AUF) 엔티티로 추가로 결합될 수 있다. 도 1에 도시된 바와 같이, SEAF(111)와 SCMF(112)는 하나의 네트워크 요소를 형성하기 위해 AMF(109) 내로 결합된다.
도 1은 각각의 네트워크 요소 내의 인터페이스, 예를 들어, 기지국(102)과 AMF 엔티티(109) 사이의 NG2 인터페이스, 및 기지국(102)과 UPF 엔티티(104) 사이의 NG9 인터페이스의 가능한 구현들을 추가로 도시한다. 세부사항들은 본 명세서에서 설명되지 않는다.
도 2는 본 출원의 실시예에 따른 통신 방법의 개략적인 흐름도의 예를 도시한다.
전술한 내용에 기초하여, 본 출원의 이 실시예는 통신 방법을 제공한다. 도 2에 도시된 바와 같이, 그 방법은 다음의 단계들을 포함한다.
단계 201: 기지국이 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득한다. 선택적으로, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하는 복수의 방식이 존재한다. 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘은 적어도 하나의 시그널링 평면 암호화 알고리즘 및 적어도 하나의 시그널링 평면 무결성 보호 알고리즘을 적어도 포함한다. 예를 들어, 시그널링 평면 보안 알고리즘은 AMF로부터 수신된다. 다른 예로서, 시그널링 평면 보안 알고리즘은 시그널링 메시지를 사용하여 단말 디바이스로부터 직접 획득되거나 기지국 상에 미리 구성된다.
본 출원의 이 실시예에서, 단계 201을 구현하기 위해 해결책이 제공된다. 구체적으로, 단말 디바이스는 비-액세스 계층(Non-Access Stratum, NAS) 메시지를 기지국에 전송한다. NAS 메시지는 단말 디바이스와 코어 네트워크 사이에서 교환되는 시그널링 평면 메시지, 예를 들어, LTE 부착 요청(attach request) 또는 5G 등록 요청(Registration Request)이다. 이 실시예에서, 5G 등록 요청 메시지가 설명을 위한 예로서 사용되고, 유사한 단계에서 다른 NAS 메시지에 대해 동일한 처리가 수행될 수 있다. 단말 디바이스는 등록 요청(Registration Request)을 기지국에 전송한다. 등록 요청은 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 운반한다.
선택적으로, 전술한 예에서, 등록 요청은 단말 디바이스에 의해 지원되는 사용자 평면 보안 알고리즘을 또한 운반할 수 있다. 단말 디바이스에 의해 지원되는 사용자 평면 보안 알고리즘은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 포함할 수 있다. 단말 디바이스에 의해 지원되는 시그널링 평면 암호화 알고리즘, 단말 디바이스에 의해 지원되는 시그널링 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘 중 임의의 2개의 알고리즘은 동일하거나 상이할 수 있다. 선택적인 해결책에서, 단말 디바이스는 단말 디바이스에 의해 지원되는 시그널링 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 시그널링 평면 암호화 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 개별적으로 보고할 수 있다. 대안적으로, 4개의 알고리즘 중 적어도 2개의 알고리즘이 동일한 경우, 단말 디바이스는 2개의 동일한 알고리즘 중 하나를 보고할 수 있다. 예를 들어, 단말 디바이스에 의해 지원되는 시그널링 평면 무결성 보호 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘과 동일한 경우, 단말 디바이스는 단말 디바이스에 의해 지원되는 시그널링 평면 무결성 보호 알고리즘 및 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 대응하는 하나의 동일한 알고리즘만을 보고한다. 단말 디바이스에 의해 지원되는 시그널링 평면 암호화 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘과 동일한 경우, 단말 디바이스는 단말 디바이스에 의해 지원되는 시그널링 평면 암호화 알고리즘 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 대응하는 하나의 동일한 알고리즘만을 보고한다.
또 다른 선택적인 구현에서, 단말 디바이스에 의해 지원되는 시그널링 평면 암호화 알고리즘, 단말 디바이스에 의해 지원되는 시그널링 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘이 모두 동일한 경우, 단말 디바이스는 4개의 알고리즘을 지시하기 위해 하나의 알고리즘만을 보고할 수 있다. 예를 들어, 단말 디바이스에 의해 보고되는 알고리즘들은 EEA 1, EEA 2, EIA 1, 및 EIA 2이다. 그러면, EEA 1 및 EEA 2는 시그널링 평면 암호화 알고리즘과 사용자 평면 암호화 알고리즘 둘 다로서 선택될 수 있다. 유사하게, EIA 1 및 EIA 2는 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다로서 선택될 수 있다.
다른 예로서, 단말 디바이스에 의해 보고되는 알고리즘들은 EEA 11, EEA 12, EIA 11, EIA 12, EEA 21, EEA 23, EIA 21, 및 EIA 22이다. 그러면, EEA 11 및 EEA 12는 시그널링 평면 암호화 알고리즘으로서 선택될 수 있다. EEA 21 및 EEA 23은 사용자 평면 암호화 알고리즘으로서 선택될 수 있다. EIA 11 및 EIA 12는 시그널링 평면 무결성 보호 알고리즘으로서 선택될 수 있다. EIA 21 및 EIA 22는 사용자 평면 무결성 보호 알고리즘으로서 선택될 수 있다. 다른 예로서, 단말 디바이스에 의해 보고되는 알고리즘들은 EEA 11, EEA 12, EIA 1, EIA 2, EEA 21, EEA 23, EIA 21, 및 EIA 22이다. 그러면, EEA 11 및 EEA 12는 시그널링 평면 암호화 알고리즘으로서 선택될 수 있다. EEA 21 및 EEA 23은 사용자 평면 암호화 알고리즘으로서 선택될 수 있다. EIA 1 및 EIA 2는 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다로서 선택될 수 있다. 다른 예로서, 단말 디바이스에 의해 보고되는 알고리즘들은 EEA 1, EEA 2, EIA 11, EIA 12, EIA 21, 및 EIA 22이다. 그러면, EEA 1 및 EEA 2는 시그널링 평면 암호화 알고리즘과 사용자 평면 암호화 알고리즘 둘 다로서 선택될 수 있다. EIA 11 및 EIA 12는 시그널링 평면 무결성 보호 알고리즘으로서 선택될 수 있다. EIA 21 및 EIA 22는 사용자 평면 무결성 보호 알고리즘으로서 선택될 수 있다.
다른 양태에서, 선택적인 구현 해결책에서, 단말 디바이스는 복수의 시그널링(a plurality of pieces of signaling)을 사용하여, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 보고할 수 있으며, 여기서 하나의 시그널링은 하나의 알고리즘을 포함한다. 다른 선택적인 해결책에서, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘은 하나 이상의 시그널링을 사용하여 보고되고, 여기서 하나의 시그널링은 하나 이상의 알고리즘을 포함한다. 하나의 시그널링이 복수의 알고리즘을 포함할 때, 일부 필드들이 그 시그널링에서 미리 정의될 수 있고, 그 필드들은 대응하는 알고리즘들을 운반하는 데 사용된다. 예를 들어, 제1 필드, 제2 필드, 및 제3 필드가 연속적으로 설정된다. 제1 필드는 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 배치하도록 미리 정의된다. 제2 필드는 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘을 배치하도록 미리 정의된다. 제3 필드는 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 배치하도록 미리 정의된다. 대안적으로, 3개의 알고리즘이 동일할 때, 하나의 시그널링에서 하나의 알고리즘만이 보고되고, 다른 네트워크 요소는 디폴트로, 그 알고리즘이 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘인 것으로 고려한다. 예를 들어, 단말 디바이스에 의해 보고되는 보안 능력들은 EEA 1, EEA 2, EIA 1, 및 EIA 2이다. 그러면, EEA 1 및 EEA 2는 시그널링 평면 암호화 알고리즘과 사용자 평면 암호화 알고리즘 둘 다로서 선택될 수 있다. 유사하게, EIA 1 및 EIA 2는 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다로서 선택될 수 있다. 다른 예로서, UE에 의해 보고되는 보안 능력들은 EEA 11, EEA 12, EIA 11, EIA 12, EEA 21, EEA 23, EIA 21, 및 EIA 22이다. 그러면, EEA 11 및 EEA 12는 시그널링 평면 암호화 알고리즘으로서 선택될 수 있다. EEA 21 및 EEA 23은 사용자 평면 암호화 알고리즘으로서 선택될 수 있다. EIA 11 및 EIA 12는 시그널링 평면 무결성 보호 알고리즘으로서 선택될 수 있다. EIA 21 및 EIA 22는 사용자 평면 무결성 보호 알고리즘으로서 선택될 수 있다. 다른 예로서, UE에 의해 보고되는 보안 능력들은 EEA 11, EEA 12, EIA 1, EIA 2, EEA 21, EEA 23, EIA 21, 및 EIA 22이다. 그러면, EEA 11 및 EEA 12는 시그널링 평면 암호화 알고리즘으로서 선택될 수 있다. EEA 21 및 EEA 23은 사용자 평면 암호화 알고리즘으로서 선택될 수 있다. EIA 1 및 EIA 2는 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다로서 선택될 수 있다.
선택적으로, 기지국은 등록 요청을 AMF에 포워딩한다. 선택적으로, AMF는 AMF가 기지국과 상호 인증을 수행한 후에 제1 등록 수락 메시지(Registration Accept)를 기지국에 전송하고, SEAF, AUSF, SMF, PCF, 또는 UDM과 같은 다른 코어 네트워크 요소와 또 다른 등록 절차를 수행한다. 기지국은 수신된 제1 등록 수락 메시지를 단말 디바이스에 포워딩한다. 포워딩은 메시지가 변경되지 않는다는 것을 의미한다. 그러나, 메시지 전송 기능을 구현하기 위해, 메시지를 운반하는 인터페이스들이 상이한 기능들을 갖기 때문에 추가적인 파라미터가 메시지에 추가된다. 예를 들어, 제1 등록 수락 메시지는 N2 인터페이스를 통해 기지국에 전송된다. 제1 등록 수락 메시지 외에, N2 인터페이스는 기지국이 알 필요가 있는 정보를 갖는다. 기지국은 RRC 메시지를 사용하여 제1 등록 수락 메시지를 UE에 포워딩한다. 제1 등록 메시지에 더하여, RRC 메시지는 적어도 UE가 알 필요가 있는 다른 정보, 또는 UE를 발견하기 위해 사용될 수 있는 정보를 포함할 수 있다. 대안적으로, 제1 등록 수락 메시지는 어느 정도로 변환되고, 예를 들어, 포맷 변환이 상이한 인터페이스들에 기초하여 수행되고, 변환된 제1 등록 수락 메시지는 단말 디바이스에 포워딩된다. 이 단계에서, AMF와 기지국 사이의 인터페이스가 NG2인 경우, 제1 등록 수락 메시지는 NG2 메시지를 사용하여 운반된다. 제1 등록 수락 메시지는 기지국에 대한 AMF 또는 SEAF에 의해 생성된 베이스 키(Kan), 및 단말 디바이스에 의해 지원되고 보고되는 시그널링 평면 보안 알고리즘을 추가로 운반한다. 선택적으로, 등록 요청 메시지가 NAS 컨테이너에 배치될 수 있고, 베이스 키(Kan) 및 단말 디바이스의 보안 능력은 NAS 컨테이너 내에 배치될 수 있거나 NAS 컨테이너 외부에 배치될 수 있다.
단계 202: 기지국은 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정한다.
단계 202에서, 선택적으로, 기지국은 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘을 미리 구성할 수 있다. 선택적으로, 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 포함되는 알고리즘이 우선순위에 기초하여 정렬되고, 예를 들어, 오퍼레이터 선호도(operator preference)에 기초하여 또는 로컬 실제 환경 구성에 기초하여 정렬된다. 선택적으로, 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘은 네트워크 관리 디바이스를 사용하여 기지국을 위해 구성될 수 있거나, 기지국의 확립 동안 소프트웨어 환경을 설치하는 프로세스에서 구성될 수 있거나, 다른 방식으로 구성될 수 있다.
단계 202에서, 가능한 구현은 다음과 같다: 기지국은, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되고 우선순위에 기초하여 정렬되는 시그널링 평면 보안 알고리즘에 기초하여, 단말 디바이스에 의해 지원되고 가장 높은 우선순위를 갖는 시그널링 평면 보안 알고리즘을 타겟 시그널링 평면 보안 알고리즘으로서 선택한다. 타겟 시그널링 평면 보안 알고리즘은 하나의 암호화 알고리즘 및/또는 하나의 무결성 보호 알고리즘을 포함할 수 있다.
하나의 가능한 특정 구현은 다음과 같다: 기지국은 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘에 존재하고 또한 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 존재하는 모든 알고리즘들의 세트를 선택하고, 알고리즘들의 세트로부터 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에서 비교적 높은 우선순위를 갖는 알고리즘을 타겟 시그널링 평면 보안 알고리즘으로서 선택한다.
본 명세서에서, 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되는 사용자 평면 보안 알고리즘은 적어도 오퍼레이터 선호도에 기초하여 기지국에 대해 구성되거나 미리 구성될 수 있다는 점에 유의해야 한다. 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘은 기지국에 의해 허용되는 적어도 하나의 시그널링 평면 암호화 알고리즘 및/또는 기지국에 의해 허용되는 적어도 하나의 시그널링 평면 무결성 보호 알고리즘을 포함한다. 기지국에 의해 허용되는 사용자 평면 보안 알고리즘은 기지국에 의해 허용되는 적어도 하나의 사용자 평면 암호화 알고리즘 및/또는 기지국에 의해 허용되는 적어도 하나의 사용자 평면 무결성 보호 알고리즘을 포함한다. 또한, 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에서 기지국에 의해 허용되는 적어도 하나의 시그널링 평면 무결성 보호 알고리즘 및/또는 기지국에 의해 허용되는 적어도 하나의 시그널링 평면 암호화 알고리즘은 우선순위에 기초하여 정렬되고, 우선순위 정렬은 오퍼레이터에 의해 결정될 수 있다. 기지국에 의해 허용되는 사용자 평면 보안 알고리즘은 우선순위에 기초하여 정렬될 수 있거나 정렬되지 않을 수 있다. 기지국에 의해 허용되는 사용자 평면 보안 알고리즘이 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘과 동일하고, 기지국에 의해 허용되는 사용자 평면 보안 알고리즘의 우선순위가 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘의 우선순위와 동일할 때, 기지국은 우선순위에 기초하여 정렬되는 하나의 알고리즘 세트만을 저장할 수 있는데, 즉, 우선순위에 기초하여 정렬되는 기지국에 의해 허용되는 사용자 평면 보안 알고리즘, 또는 우선순위에 기초하여 정렬되는 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘을 저장할 수 있다.
선택적으로, 기지국은 타겟 시그널링 평면 보안 알고리즘에 기초하여 오직 시그널링 평면 관련 키, 예를 들어, 시그널링 평면 무결성 보호 키 및 시그널링 평면 암호화 키를 생성한다. 시그널링 평면 관련 키는, 예를 들어, 무선 자원 제어(Radio Resource Control, RRC) 관련 키이고, 구체적으로는 RRC 무결성 보호 키(Krrc-int) 및 RRC 암호화 키(Krrc-enc)일 수 있다. 기지국은 베이스 키(Kan)에 기초하여 키를 생성할 수 있다. Kan는 기지국에 의해 액세스 및 이동성 관리 기능(Access and mobility management Function, AMF) 또는 AUSF와 같은 코어 네트워크 요소로부터 획득된다.
단계 203: 기지국은 액세스 계층(Access Stratum, AS) 보안 모드 커맨드(Security mode command, SMC)에 타겟 시그널링 평면 보안 알고리즘을 추가하고, AS SMC를 단말 디바이스에 전송한다.
선택적으로, 단계 203에서, 기지국은 복수의 구현에서 AS SMC를 단말 디바이스에 전송할 수 있다. AS SMC는 타겟 시그널링 평면 보안 알고리즘의 지시 정보, 예를 들어, 타겟 시그널링 평면 보안 알고리즘의 식별자를 포함한다.
또한, 기지국은 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 AS SMC에 더 추가할 수 있다. 선택적으로, 무결성 보호는 기지국에 의해 생성된 시그널링 평면 무결성 보호 키를 사용하여 AS SMC에 대해 수행될 수 있다.
선택적으로, AS SMC를 수신한 후에, 단말 디바이스는 타겟 시그널링 평면 보안 알고리즘의 지시 정보에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하고, 시그널링 평면 관련 키를 생성하고(단말 디바이스에 의해 시그널링 평면 관련 키를 생성하기 위한 방법은 기지국에 의해 시그널링 평면 관련 키를 생성하기 위한 방법과 동일함), 시그널링 평면 무결성 보호 키에 기초하여 AS SMC에 대한 무결성 보호를 체크한다. AS SMC에 대한 무결성 보호가 자격이 있다고 결정되면, 단말 디바이스 측에서의 시그널링 평면 무결성 보호 키가 AS SMC에 대해 기지국에 의해 사용되는 시그널링 평면 무결성 보호 키와 동일하다고 결정된다. 선택적으로, 단계 203 이후에, 본 방법은 단계 204를 추가로 포함한다: 단말 디바이스는 AS 보안 모드 커맨드 완료(Security mode command complete, SMP)를 기지국에 전송한다.
선택적으로, 단말 디바이스는 생성된 시그널링 평면 관련 키를 사용하여 AS SMP에 대한 암호화 및/또는 무결성 보호를 수행할 수 있다. 선택적으로, 기지국이 AS SMP 메시지에 대한 암호화 보호 및 무결성 보호가 정확한 것을 체크한 후에, 기지국은 수신된 제1 등록 수락 정보를 단말 디바이스에 포워딩하거나, 제1 등록 수락 메시지를 어느 정도로 변환하고, 예를 들어, 상이한 인터페이스들에 기초하여 제1 등록 수락 메시지에 대한 포맷 변환을 수행하여 제2 등록 수락 메시지(Registration Accept) 메시지를 획득하고, 제2 등록 수락 메시지를 단말 디바이스에 전송한다. 그 후, 선택적으로, 단말 디바이스는 등록 완료(Registration Complete)를 AMF에 반환한다.
전술한 예에 기초하여, 본 출원의 이 실시예에서, 기지국 및 단말 디바이스에 의해 타겟 시그널링 평면 보안 알고리즘을 협상하는 목적만이 AS SMC 절차를 사용하여 구현되고, 시그널링 평면 보안 알고리즘 및 사용자 평면 보안 알고리즘이 분리된다는 것을 알 수 있다. 시그널링 평면 보안 알고리즘 및 사용자 평면 보안 알고리즘은 개별적으로 결정될 수 있고, 그에 의해 통신 유연성을 개선한다.
또한, 전술한 예에서, 선택적인 해결책은 다음과 같다: 단말 디바이스는 등록 요청을 전송하여, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 보고한다. 선택적으로, 단말 디바이스는 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 보고를 위해 등록 요청에 추가할 수도 있다. 특정 선택적 보고 해결책에 대해서는, 전술한 실시예를 참조하고, 세부사항들은 여기서 다시 설명되지 않는다.
선택적으로, 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘은 또한 NAS 계층 상에서 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 AS 계층 상에서 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘으로 분류될 수 있다. AS 계층 상에서 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘은 또한 RRC 계층에서 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘으로서 지칭될 수 있다. 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 보고할 때, 단말 디바이스는 각각의 보안 알고리즘에 지시 정보를 추가할 수 있다. 대안적으로, 일부 필드들은 미리 정의될 수 있고, 대응하는 필드에 대응하는 알고리즘을 배치하는 방식을 사용하여, 각각의 보안 알고리즘이 시그널링 평면 또는 사용자 평면에 속하는지 또는 NAS 계층 또는 AS 계층에 속하는지를 식별한다. 예를 들어, 시그널링 평면 보안 알고리즘을 배치하기 위한 필드가 미리 정의되고, 사용자 평면 보안 알고리즘을 배치하기 위한 다른 필드가 미리 정의된다. 다른 예로서, NAS 계층 상에 보안 알고리즘을 배치하기 위한 필드가 미리 정의되고, AS 계층 상에 보안 알고리즘을 배치하기 위한 다른 필드가 미리 정의된다. 대안적으로, 단말 디바이스는 단말 디바이스에 의해 지원되는 모든 보안 알고리즘들을 AMF에 보고하고, 단말 디바이스 대신에 AMF는 보안 알고리즘들이 시그널링 평면 또는 사용자 평면에 속하는지를 구별한다. 대안적으로, AMF는 보안 알고리즘들을 기지국에 포워딩하고, 기지국은 구별을 수행한다.
대응하여, AMF가 제1 등록 수락 메시지를 기지국에 전송할 때, 시그널링 평면 보안 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘과 같은, 단말 디바이스에 의해 보고되는 모든 보안 알고리즘들은 기지국에 전송될 수 있다. 대안적으로, 타겟 시그널링 평면 보안 알고리즘을 협상하기 위해 기지국에 의해 요구되고 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘만이 기지국에 전송된다. 대안적으로, RRC 계층에서 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘만이 전송된다.
종래 기술과 호환가능하게 하기 위해, 선택적으로, 기지국은 타겟 시그널링 평면 보안 알고리즘 협상만을 위한 지시 정보를 AS SMC 메시지에 추가할 수 있다. 단말 디바이스가 AS SMC 메시지를 파싱하고 타겟 시그널링 평면 보안 알고리즘 협상만을 위한 지시 정보가 존재한다는 것을 발견한 후에, 단말 디바이스는 결정된 타겟 시그널링 평면 보안 알고리즘에만 기초하여 시그널링 평면 관련 키를 생성한다. 이러한 방식으로, 타겟 시그널링 평면 보안 알고리즘들의 하나의 세트만이 단말 디바이스와 기지국 사이에서 협상된다. 단말 디바이스가 AS SMC 정보를 파싱한 후에 타겟 시그널링 평면 보안 알고리즘 협상만을 위한 지시 정보가 존재하지 않는다는 것을 발견하면, 단말 디바이스는 결정된 타겟 시그널링 평면 보안 알고리즘을 타겟 보안 알고리즘으로서 결정하고, 타겟 보안 알고리즘은 시그널링 평면 관련 키 및 사용자 평면 관련 키를 생성하는데 사용된다. 사용자 평면 관련 키는 사용자 평면 암호화 키 및 사용자 평면 무결성 보호 키를 포함한다. 시그널링 평면 관련 키는 시그널링 평면 암호화 키 및 시그널링 평면 무결성 보호 키를 포함한다. 이러한 방식으로, 타겟 시그널링 평면 보안 알고리즘들의 하나의 세트 및 타겟 사용자 평면 보안 알고리즘들의 하나의 세트가 단말 디바이스와 기지국 사이에서 협상된다.
선택적으로, 종래 기술과 호환가능하게 하기 위해, 기지국은, 타겟 시그널링 평면 보안 알고리즘을 협상하도록 지시하는데 사용되는 지시 정보 및/또는 사용자 평면 관련 키를 협상하도록 지시하는데 사용되는 지시 정보를 AS SMC 정보에 추가할 수 있다. 예를 들어, 하나의 비트가 추가되고, 그 비트는 새롭게 추가되거나 현재 비트를 재사용함으로써 획득될 수 있다. 예를 들어, 비트가 0이면, 타겟 시그널링 평면 보안 알고리즘만이 협상되어야 한다는 것을 지시하거나; 또는 비트가 1이면, 타겟 시그널링 평면 보안 알고리즘과 사용자 평면 관련 키 둘 다가 협상되어야 한다는 것을 지시한다.
본 출원의 이 실시예에서, 타겟 시그널링 평면 보안 알고리즘은 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘을 포함한다. 선택적으로, 2개의 상이한 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘이 AS SMC 절차를 사용하여 협상될 수 있거나, 하나의 타겟 시그널링 평면 보안 알고리즘이 협상되어 타겟 시그널링 평면 무결성 보호 알고리즘과 타겟 시그널링 평면 암호화 알고리즘 둘 다로서 사용된다.
다른 선택적인 구현 해결책에서, 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘 중 적어도 하나가 AS SMC 절차를 사용하여 협상될 수 있고, 다른 타겟 시그널링 평면 보안 알고리즘이 다른 절차를 사용하여 협상될 수 있다.
선택적으로, 기지국 및 단말 디바이스에 의해 협상되는 타겟 시그널링 평면 보안 알고리즘은 알고리즘의 식별자를 사용하여 지시될 수 있다. 선택적인 구현 해결책에서, 타겟 시그널링 평면 무결성 보호 알고리즘이 타겟 시그널링 평면 암호화 알고리즘과 동일한지 또는 상이한지에 관계없이, 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘은 2개의 알고리즘의 식별자들을 사용하여 지시된다. 또 다른 선택적인 구현 해결책에서, 타겟 시그널링 평면 무결성 보호 알고리즘이 타겟 시그널링 평면 암호화 알고리즘과 동일한 경우에, 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘을 지시하기 위해 하나의 알고리즘의 식별자가 사용될 수 있고; 타겟 시그널링 평면 무결성 보호 알고리즘이 타겟 시그널링 평면 암호화 알고리즘과 상이한 경우에, 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘을 지시하기 위해 2개의 알고리즘의 식별자들이 사용된다.
다른 선택적인 해결책에서, 본 출원의 이 실시예는 타겟 시그널링 평면 보안 알고리즘 및 타겟 사용자 평면 보안 알고리즘을 포함한다. 선택적인 구현 해결책에서, 타겟 시그널링 평면 보안 알고리즘이 타겟 사용자 평면 보안 알고리즘과 동일한지 또는 상이한지에 관계없이, 타겟 시그널링 평면 보안 알고리즘 및 타겟 사용자 평면 보안 알고리즘은 2개의 알고리즘 세트의 식별자들을 사용하여 지시된다. 또 다른 선택적인 구현 해결책에서, 타겟 시그널링 평면 보안 알고리즘이 타겟 사용자 평면 보안 알고리즘과 동일한 경우에, 타겟 시그널링 평면 보안 알고리즘 및 타겟 사용자 평면 보안 알고리즘을 지시하기 위해 하나의 알고리즘 세트의 식별자들이 사용될 수 있고; 타겟 시그널링 평면 보안 알고리즘이 타겟 사용자 평면 보안 알고리즘과 상이한 경우에, 타겟 시그널링 평면 보안 알고리즘 및 타겟 사용자 평면 보안 알고리즘을 지시하기 위해 2개의 알고리즘 세트의 식별자들이 사용된다. 타겟 시그널링 평면 보안 알고리즘에 대응하는 하나의 알고리즘 세트의 식별자들은 적어도 하나의 타겟 시그널링 평면 무결성 보호 알고리즘의 식별자 및 적어도 하나의 타겟 시그널링 평면 암호화 알고리즘의 식별자를 포함한다. 전술한 예에 따르면, 타겟 시그널링 평면 보안 알고리즘에 대응하는 하나의 알고리즘 세트의 식별자들에서, 1개의 알고리즘의 식별자 또는 2개의 알고리즘의 식별자들이 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 시그널링 평면 암호화 알고리즘을 표현하는데 사용될 수 있다. 대응하여, 타겟 사용자 평면 보안 알고리즘에 대응하는 하나의 알고리즘 세트의 식별자들은 적어도 하나의 타겟 사용자 평면 무결성 보호 알고리즘의 식별자 및 적어도 하나의 타겟 사용자 평면 암호화 알고리즘의 식별자를 포함한다. 전술한 예에 따르면, 타겟 사용자 평면 보안 알고리즘에 대응하는 하나의 알고리즘 세트의 식별자들에서, 1개의 알고리즘의 식별자 또는 2개의 알고리즘의 식별자들이 타겟 시그널링 평면 무결성 보호 알고리즘 및 타겟 사용자 평면 암호화 알고리즘을 표현하는 데 사용될 수 있다.
도 2a는 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도의 예를 도시한다.
전술한 설명에 기초하여, 본 출원의 이 실시예는 다른 통신 방법을 제공한다. 도 2a에 도시된 바와 같이, 그 방법은 다음의 단계들을 포함한다.
선택적으로, 단계 211: SMF 엔티티는 요청 메시지를 수신하고, 여기서 요청 메시지는 단말 디바이스의 식별자를 포함할 수 있다. 선택적으로, SMF 엔티티에 의해 수신된 요청 메시지는 등록 요청(Registration Request), 서비스 요청(Service Request), 또는 세션 확립 요청(Session Establishment Request)과 같은 복수의 타입을 포함할 수 있다. 세션 확립 요청은 PDU 세션 확립 요청이라고도 지칭될 수 있다.
선택적으로, 요청 메시지가 서비스 요청인 경우, 서비스 요청은 먼저 단말 디바이스에 의해 기지국으로 전송될 수 있고, 기지국은 서비스 요청을 AMF에 포워딩하고, 이어서, AMF는 서비스 요청을 직접 포워딩한다. 포워딩은 원본 메시지의 내용을 변경하지 않고 메시지를 AMF로 전송하는 것을 의미한다. 메시지가 AMF에 전송될 때, 인터페이스와 같은 인자에 기초하여 또 다른 파라미터가 추가될 수 있거나, 또는 메시지가 인터페이스 정보에 기초하여 변환되고 나서 SMF에 전송된다. 기지국과 AMF 사이의 인터페이스가 N2 인터페이스이고, AMF와 SMF 사이의 인터페이스가 N11인 경우, 기지국에 의해 AMF로 포워딩된 서비스 요청은 N2 인터페이스와 매칭되는 요청이고, AMF에 의해 SMF에 포워딩되는 서비스 요청은 N11 인터페이스와 매칭되는 요청이다. 서비스 요청은 NAS 계층 요청이다. 선택적으로, 요청 메시지는 대안적으로 등록 요청일 수 있다.
선택적으로, 요청 메시지가 세션 확립 요청인 경우, 세션 확립 요청은 먼저 단말 디바이스에 의해 AMF에 전송될 수 있고, 이어서 AMF는 세션 확립 요청을 직접 포워딩한다. 포워딩은 원본 메시지의 내용을 변경하지 않고 메시지를 AMF로 전송하는 것을 의미한다. 메시지가 AMF에 전송될 때, 인터페이스와 같은 인자에 기초하여 또 다른 파라미터가 추가될 수 있거나, 또는 메시지가 인터페이스 정보에 기초하여 변환되고 나서 SMF에 전송된다.
선택적으로, 단말 디바이스가 세션 확립 요청을 전송하기 전에, 단말 디바이스는 세션 접속 비접속 상태(session connection disconnected state)에 있을 수 있다. 선택적으로, 단말 디바이스 및 기지국은 전술한 단계에서 다시 등록 절차를 수행할 수 있는데, 즉, 등록 절차에서 단말 디바이스는 단말 디바이스의 등록을 구현하기 위해 등록 요청을 기지국에 전송하고, AS SMC 및 AS SMP에서 단말 디바이스와 기지국 사이의 타겟 시그널링 평면 보안 알고리즘을 재협상할 수 있다.
전술한 단계에서, 단말 디바이스의 식별자는 IMSI, IMEI, 또는 임시 아이덴티티 중 임의의 하나 이상을 포함할 수 있다.
단계 212: SMF 엔티티는 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득한다.
단계 213: SMF 엔티티는 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하며, 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블(enable)할지를 기지국에게 지시하는 데 사용된다.
선택적으로, SMF 또는 SMF에 접속된 다른 네트워크 요소는 보안 정책과 보안 정책의 식별자 사이의 대응관계를 저장한다. 이러한 경우에, 보안 정책은 SMF, 기지국, UE, 또는 SMF에 접속된 다른 네트워크 요소 상에 완전히 미리 구성된다. 예를 들어, 보안 정책은 VoIP 음성 서비스의 보안 정책과 같은 특정 서비스에 기초하여 구성된다. 예를 들어, 보안 정책은 수도 계량 시설(water meter plant)과 같은 서비스 벤더에 기초하여 구성된다. 본 명세서에서 일일이 열거되지 않은 복수의 구성 베이스들이 있다. SMF가 단말 디바이스의 식별자 또는 다른 파라미터를 사용하여 단말 디바이스에 대한 보안 정책을 결정한 후에, 보안 정책에 대응하는 보안 정책의 식별자가 획득될 수 있다. SMF는 보안 정책의 식별자를 기지국에 전송하고, 기지국은 보안 정책의 식별자에 대응하는 보안 정책에 기초하여 사용자 평면 보안 보호를 수행할 수 있다. 예를 들어, 보안 정책과 보안 정책의 식별자 사이의 대응관계는 SMF 상에 미리 구성되고, SMF는 서비스 요청 메시지 내의 내용에 기초하여 보안 정책의 식별자, 예를 들어, 단말 디바이스의 식별자를 결정한다. 다른 예로서, 보안 정책과 보안 정책의 식별자 사이의 대응관계가 PCF 상에 미리 구성되면, SMF는 PDC로부터 보안 정책의 식별자를 획득할 필요가 있다. 다른 예로서, SMF와 PCF 둘 다는 미리 구성된 보안 정책의 식별자를 갖고, PCF 상에 미리 구성되는 보안 정책의 식별자는 SMF 상에 구성되는 보안 정책의 식별자를 커버(cover)할 수 있는데, 즉, SMF는 PCF로부터 획득되는 보안 정책의 식별자를 기지국으로 전송한다.
선택적인 구현에서, SMF 엔티티는 보안 정책 또는 보안 정책의 식별자를 기지국에 직접 전송한다. 예를 들어, SMF 엔티티는 단말 디바이스의 식별자 및 단말 디바이스와 보안 정책의 식별자 사이의 미리 설정된 관계에 기초하여 단말 디바이스의 식별자에 대응하는 보안 정책을 기지국에 전송한다. 미리 설정된 보안 정책은 SMF 상에 미리 설정될 수 있거나, PCF 또는 다른 네트워크 요소 상에 미리 설정될 수 있다. 미리 설정된 보안 정책 및 보안 정책의 식별자는 SMF 상에 미리 설정될 수 있거나, PCF 또는 다른 네트워크 요소 상에 미리 설정될 수 있다. 다른 선택적인 구현에서, SMF 엔티티가 요청 메시지를 수신한 후에, 그리고 SMF 엔티티가 요청 메시지에 기초하여 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하기 전에, 방법은 SMF 엔티티가 요청 메시지에 기초하여 보안 정책을 획득하는 것을 추가로 포함한다. 다른 선택적인 구현에서, SMF 엔티티가 요청 메시지를 수신한 후에, 그리고 SMF 엔티티가 요청 메시지에 기초하여 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하기 전에, 방법은 SMF가 보안 정책에 기초하여 보안 정책의 식별자를 획득하는 것을 추가로 포함한다.
다른 양태에서, 선택적으로, 보안 정책의 식별자에 의해 식별되는 보안 정책 또는 SMF 엔티티에 의해 기지국에 전송되는 보안 정책은 이전에 생성된 보안 정책일 수 있거나, 새롭게 생성된 보안 정책일 수 있다.
단계 213에서, SMF 엔티티는 보안 정책 또는 보안 정책의 식별자를 복수의 형태로 기지국에 전송한다. 예를 들어, SMF 엔티티는 보안 정책에 관련된 파라미터에 기초하여 보안 정책을 생성할 수 있다. 예를 들어, 보안 정책은 단말 디바이스의 식별자 또는 세션 식별자에 기초하여 생성될 수 있거나, 또는 일부 생성 규칙들이 미리 설정될 수 있거나, 또는 모든 보안 정책들이 미리 구성될 수 있다.
선택적으로, 기지국은, 요청 메시지에 운반되는 일부 정보에 기초하여, 단말 디바이스 또는 단말 디바이스의 현재 요청 메시지에 적용가능한 보안 정책 또는 보안 정책의 식별자를 전송할 수 있다. 선택적으로, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자, 단말 디바이스의 데이터 네트워크 이름(Data network name, DNN), 단말 디바이스의 슬라이스의 식별자, 단말 디바이스의 서비스 품질, 및 단말 디바이스의 세션 식별자 중 적어도 하나를 포함한다. 선택적으로, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자, 단말 디바이스의 DNN, 단말 디바이스의 슬라이스의 식별자, 단말 디바이스의 서비스 품질, 단말 디바이스의 세션 식별자, 및 단말 디바이스의 흐름 식별자 중 적어도 하나를 포함한다.
본 출원의 이 실시예에서의 연관 관계는 대응관계를 포함할 수 있거나, 또는 일부 규칙들을 포함할 수 있거나, 또는 일부 상관들 사이의 관계를 포함할 수 있다. 예를 들어, 관련 파라미터와 보안 정책 사이의 대응관계가 미리 설정될 수 있고, 그 다음에 관련 파라미터에 대응하는 보안 정책이 발견된다. 예를 들어, 슬라이스의 식별자에 대응하는 보안 정책이 슬라이스의 식별자에 기초하여 결정된다. 다른 예로서, 세션 식별자에 대응하는 보안 정책이 세션 식별자에 기초하여 결정된다. 다른 예로서, 세션 식별자 및 슬라이스의 식별자에 대응하는 보안 정책이 세션 식별자, 슬라이스의 식별자, 및 보안 정책 사이의 연관 관계에 기초하여 결정된다.
다른 선택적인 구현에서, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자를 포함하고, SMF 엔티티는 단말 디바이스의 식별자 및 단말 디바이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득한다. 예를 들어, 단말 디바이스와 보안 정책 사이의 대응관계는 SMF 또는 SMF에 접속된 다른 네트워크 요소 상에 저장될 수 있다. 예를 들어, 단말 디바이스와 보안 정책 사이의 대응관계가 존재한다. 예를 들어, 사용자 가입 데이터에서, IMSI와 보안 정책 사이의 대응관계가 존재한다. 따라서, 상이한 보안 정책들은 단말 디바이스들의 일부 서비스 성능 요건들 등에 기초하여 상이한 단말 디바이스들에 대해 설정될 수 있다.
다른 예로서, 단말 디바이스의 식별자와 보안 정책 사이의 연관 관계가 미리 설정될 수 있다. 예를 들어, 단말 디바이스의 식별자는 복수의 보안 정책들과 연관되고, 그 다음에 복수의 보안 정책들로부터 단말 디바이스의 식별자와 연관된 하나의 보안 정책이 선택될 수 있거나, 단말 디바이스의 식별자와는 상이한, 관련 파라미터 내의, 다른 파라미터에 기초하여 보안 정책이 추가로 결정될 수 있다. 예를 들어, 세션 식별자와 연관된 하나의 보안 정책이 세션 식별자와 조합하여 단말 디바이스의 식별자와 연관된 복수의 보안 정책들로부터 선택된다. 또 다른 예로서, 서비스 품질의 흐름 식별자가 서비스 품질에 기초하여 결정되고, 그 후에 대응하는 서비스 품질의 보안 정책이 서비스 품질의 흐름 식별자에 기초하여 결정된다.
예를 들어, 사물 인터넷의 단말 디바이스는 수도 계량기의 데이터를 판독하여 전송하는 것, 즉, 수도 계량기의 데이터를 고정된 날짜에 매달 수도 시설에 전송하는 것만을 담당한다. 따라서, 단말 디바이스의 보안 정책이 고정되고, 단말 디바이스의 식별자가 하나의 보안 정책에 대응하도록 설정될 수 있고, 선택적으로, 보안 정책은 UDM 상에 저장된 사용자 가입 데이터로부터 획득될 수 있다.
본 출원의 이 실시예를 더 명확하게 설명하기 위해, 이하에서는 관련 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 전송하는 몇 가지 예를 상세히 더 설명한다. 상세사항에 대해서는, 이하의 구현 a1, 구현 a2, 구현 a3, 및 구현 a4를 참조한다.
구현 a1
단말 디바이스의 슬라이스의 식별자는 5G 응용 시나리오에서 단말 디바이스에 의해 액세스되는 슬라이스에 관한 정보이고, 단말 디바이스가 액세스할 슬라이스를 지시하는 데 사용된다.
보안 정책에 관련된 파라미터는 단말 디바이스의 슬라이스의 식별자를 포함하고, SMF 엔티티는 단말 디바이스의 슬라이스의 식별자 및 슬라이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득한다. 구체적으로, 하나의 단말 디바이스는 적어도 하나의 슬라이스의 식별자에 대응할 수 있다. 예를 들어, 단말 디바이스는 상이한 슬라이스들에 액세스할 수 있고, 단말 디바이스의 사용자 평면 데이터는 상이한 슬라이스들 내의 상이한 보안 정책들에 대응할 수 있다.
단말 디바이스는 SR 메시지 또는 PDU 세션 확립 요청(session establishment request)에 슬라이스 선택 보조 정보(network slice selection assistance information, NSSAI)를 추가한다. SMF는 NSSAI에 대응하는 보안 정책을 획득한다. NSSAI에 대응하는 슬라이스의 보안 정책이 고유하면, 슬라이스에 액세스할 때 단말 디바이스에 의해 획득된 보안 정책은 고유하다. NSSAI 정보가 적어도 하나의 슬라이스를 포함하는 경우, 단말 디바이스에 의해 현재 액세스되는 슬라이스의 보안 정책에 기초하여 슬라이스가 선택될 필요가 있다(상이한 슬라이스들의 보안 정책들이 상이할 수 있다). 액세스된 슬라이스가 결정된 후에 현재 슬라이스의 보안 정책이 고유하면, 슬라이스에 액세스할 때 단말 디바이스에 의해 획득된 보안 정책은 고유하다. 현재 슬라이스의 보안 정책이 고유하지 않으면, 단말 디바이스는 다른 정보에 기초하여 보안 정책을 추가로 결정할 필요가 있다. 단말 디바이스가 다른 정보에 기초하여 보안 정책을 추가로 결정할 필요가 있는 복수의 구현이 존재한다. 예를 들어, 단말 디바이스는, 예를 들어, 단말 디바이스의 식별자 또는 세션 식별자를 사용함으로써, 슬라이스의 식별자와 상이한, 관련 파라미터 내의, 적어도 하나의 식별자에 기초하여 선택을 한다.
구현 a2
단말 디바이스의 세션 식별자는 단말 디바이스의 현재 요청 메시지에 대응하는 세션에 대응하는 세션 식별자이다. 예를 들어, 단말 디바이스가 인터넷(internet) 서비스(예컨대, 웹 페이지 브라우징, 비디오 시청, 및 WeChat를 사용한 채팅)를 수행하는 것이 세션이다. 단말 디바이스는 단말 디바이스가 위치하는 회사의 인트라넷에 액세스하고, 회사-특정 서비스(예를 들어, 회사 회의)를 사용하고, 이것은 다른 세션이다. 단말 디바이스는 VoIP 호출을 하는 네트워크에 액세스하고, 이것은 다른 세션이다. 여기서, 인터넷(internet) 액세스 서비스의 세션 식별자가 1로 설정될 수 있고; 회사의 인트라넷의 세션 식별자가 2이고; VoIP 호출의 세션 식별자가 3이다.
보안 정책에 관련된 파라미터는 단말 디바이스의 세션 식별자를 포함하고, SMF 엔티티는 단말 디바이스의 세션 식별자 및 세션 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득한다. 이러한 방식으로, 동일한 단말 디바이스에 대해, 단말 디바이스가 상이한 세션들을 개시할 때, 상이한 세션들에 대해 상이한 보안 정책들이 선택될 수 있다.
예를 들어, 정상 단말 디바이스가 있고, 단말 디바이스는 호출을 행하고 SMS 메시지를 전송하는 서비스들만을 가능하게 한다. 2개의 서비스는 각각 2개의 세션에 속한다. 따라서, 서비스 품질 및 보안 정책들은 상이한 세션들에 따라 상이하다. 호출을 행하는 서비스에 대해, 사용자 평면 무결성 보호는 인에이블될 필요가 없고, 키 혼합(key mixing)은 요구되지 않는다. 128-비트 사용자 평면 암호화 알고리즘이 사용되고, 사용자 평면 암호화 키 길이는 128 비트이다. SMS 메시지 서비스에 대해, 사용자 평면 무결성 보호가 인에이블될 필요가 있고, 키 혼합이 요구된다. 128-비트 사용자 평면 암호화 알고리즘이 사용되고, 128-비트(bit) 사용자 평면 암호화 키가 사용되고, 256-비트 사용자 평면 무결성 보호 알고리즘이 사용되고, 256-비트 사용자 평면 무결성 보호 키가 사용된다.
예를 들어, 세션 식별자에 대응하는 서비스는 초저 레이턴시 서비스(ultra low latency service)이다. 낮은 레이턴시를 보장하기 위해, 보안 정책은 비교적 낮은 보안 레벨을 갖는 사용자 평면 무결성 보호 알고리즘과 사용자 평면 암호화 알고리즘, 예컨대, 128-비트 사용자 평면 무결성 보호 알고리즘과 사용자 평면 암호화 알고리즘, 및 128-비트 사용자 평면 무결성 보호 키와 사용자 평면 암호화 키를 사용할 필요가 있거나; 사용자 평면 무결성 보호 알고리즘 또는 사용자 평면 암호화 알고리즘이 인에이블되지 않는다. 다른 예로서, 세션 식별자에 대응하는 서비스는 높은 신뢰성 요건을 갖는 서비스이다. 이어서, 암호화 보호를 위해 사용자 평면 암호화 키가 요구될 뿐만 아니라, 무결성 보호를 위해 사용자 평면 무결성 보호 키가 요구된다. 또한, 비교적 높은 보안 레벨을 갖는 사용자 평면 무결성 보호 알고리즘과 사용자 평면 암호화 알고리즘, 예컨대, 256-비트 사용자 평면 무결성 보호 알고리즘과 사용자 평면 암호화 알고리즘, 및 256-비트 사용자 평면 무결성 키와 사용자 평면 암호화 키가 선택될 필요가 있다. 다른 예로서, 세션 식별자에 대응하는 서비스는 음성 서비스와 같은 공통 서비스이다. 그 후, 사용자 평면 암호화 키 보호만이 요구될 수 있고, 사용자 평면 무결성 보호가 요구되지 않는다. 또한, 256-비트 사용자 평면 암호화 알고리즘이 요구될 수 있지만, 128-비트 사용자 평면 암호화 키로 충분하다. 본 출원의 이 실시예에서, 사용자 평면 보안의 동적 요건을 충족시키기 위해 상이한 보안 정책들이 상이한 서비스들에 따라 선택될 수 있다는 것을 알 수 있다.
구현 a3
하나의 슬라이스에 액세스한 후에, 단말 디바이스는 복수의 세션을 개시할 수 있다. 따라서, 하나의 슬라이스의 식별자는 복수의 세션 식별자에 대응할 수 있다. 본 명세서에 설명된 대응관계는 논리적 대응관계이다. 실제 응용에서, 이것은 세션 식별자와 슬라이스의 식별자 사이의 대응관계가 특정될 수 있다는 것을 반드시 의미하지는 않는다.
SMF 엔티티는 단말 디바이스의 식별자, 슬라이스의 식별자, 세션 식별자, 및 보안 정책 사이의 연관 관계에 기초하여 슬라이스의 식별자 및 세션 식별자에 대응하는 보안 정책을 획득한다. 이러한 방식으로, 더 미세한 세분성의 분할이 획득될 수 있고, 보안 정책은 동일한 단말 디바이스에 의해 액세스되는 동일한 슬라이스에서 개시되는 상이한 세션들에 대해 개별적으로 선택된다.
구현 a4
선택적으로, SMF 엔티티는 흐름 식별자와 보안 정책 사이의 연관 관계에 기초하여 단말 디바이스의 보안 정책을 획득한다. 이러한 방식으로, 더 미세한 세분성의 분할이 획득될 수 있고, 동일한 단말 디바이스에 의해 액세스되는 동일한 네트워크에서 개시되는 동일한 세션의 특정 콘텐츠에 기초하여 보안 정책이 개별적으로 선택된다.
예를 들어, 단말 디바이스는 인터넷 액세스 서비스를 지원한다. 따라서, 인터넷 액세스의 데이터 흐름은 웹 페이지 브라우징일 수 있거나 비디오 시청일 수 있다. 이 단말 디바이스에 대해, 인터넷 액세스 서비스는 세션 1에 속한다. 그 후, 웹 페이지 브라우징은 흐름 1이고, 비디오 시청은 흐름 2이다. SMF는 흐름 1을 지원하는 서비스 품질이 없다는 것을 발견할 때 흐름 1에 대한 서비스 품질을 설정한다. 흐름 2는 동일한 경우이다. SMF가 흐름 1과 흐름 2 둘 다의 서비스 품질이 이용가능하다는 것을 발견하면, SMF는 서비스 품질을 기지국에 직접 전송한다.
구현 a4
보안 정책에 관련된 파라미터는 단말 디바이스의 서비스 품질을 포함하고, SMF 엔티티는 단말 디바이스의 서비스 품질에 기초하여 보안 정책을 획득한다. 선택적으로, 단말 디바이스의 식별자에 대응하는 일부 서비스 품질은 요청 메시지에 포함되는 단말 디바이스의 식별자에 기초하여 획득될 수 있다. 예를 들어, 서비스 품질은 단말 디바이스가 낮은 레이턴시, 높은 보안 등을 요구한다는 것이다. 그 후, 보안 정책들의 세트가 서비스 품질에 기초하여 단말 디바이스에 대해 설정된다. 본 출원의 이 실시예에서, 보안 정책은 SMF 또는 PCF 상에 미리 구성될 수 있거나, DNN에 대응하는 서비스 품질은 UPF 및/또는 UDM으로부터 획득될 수 있고, 이어서 서비스 품질에 기초하여 보안 정책이 획득된다. 가입 시에 UDM에 디폴트 서비스 품질이 입력된다. UPF는 외부 네트워크 처리 호출 또는 SMS 메시지로부터 동적 서비스 품질을 알 수 있거나, 또는 PCF로부터 동적 서비스 품질을 알 수 있거나, 또는 동적 서비스 품질을 미리 구성할 수 있다.
선택적으로, 보안 정책에 관련된 파라미터는 단말 디바이스의 DNN을 포함하고, 보안 정책들의 세트는 DNN에 기초하여 대응하여 설정된다. 예를 들어, DNN은 Youku이다. Youku 네트워크에 많은 비디오 서비스들이 있고, 따라서 단말 디바이스에 대해 설정된 보안 정책은 더 낮은 레이턴시를 가질 수 있다. 다른 예로서, DNN은 금융 관련 웹사이트이고, 따라서 단말 디바이스에 대해 설정된 보안 정책은 더 높은 보안을 가질 필요가 있다.
또한, DNN에 대응하는 서비스 품질은 PCF/UPF 또는 UDM과 같은 코어 네트워크 요소로부터 DNN에 기초하여 획득될 수 있다. 서비스 품질은 보안 정책을 운반하거나, 또는 보안 정책은 서비스 품질에 기초하여 나중에 설정된다. PCF로부터 획득된 서비스 품질은 동적 서비스 품질 정보이고, UDM으로부터 획득된 서비스 품질은 사용자 가입 시에 디폴트 서비스 품질 정보이다.
선택적으로, SMF는 UDM에 가입 데이터 요청(Subscription Data Request)을 전송하고 UDM으로부터 가입 데이터 응답(Subscription Data Response)을 수신함으로써 UDM으로부터 정보를 획득할 수 있다. SMF는 PDU-CAN 세션 수정(PDU-CAN session modification) 정보를 사용하여 PCF로부터 정보를 획득할 수 있다. SMF는 UPF에 세션 확립/수정 요청(Session Establishment/Modification Request)을 전송하고 UDM으로부터 세션 확립/수정 응답(Session Establishment/Modification Response)을 수신함으로써 UPF로부터 정보를 획득할 수 있다.
구현 a4에서, 서비스 품질은, QoS 흐름 ID, 줄여서 QFI라고 지칭될 수 있는, 서비스 품질 흐름(Quality of Service flow, QoS flow)에 의한 식별자(Identification, ID)를 사용하여 식별될 수 있다. 본 출원의 이 실시예에서, 서비스 품질 프로파일(QoS Profile)은 QFI를 사용하여 식별된다.
서비스 품질은 5G QoS 지시자(QoS Indicator, 5QI)와 같은 복수의 파라미터를 포함할 수 있다. 5QI는 자원 타입(보장된 흐름 비트 레이트(Guaranteed flow bit rate, GBR) 또는 비-GBR), 패킷 레이턴시 정도, 및 비트 에러 레이트 중 임의의 하나 이상을 포함할 수 있고, 또 다른 파라미터를 추가로 포함할 수 있는 성능 특성들(Performance characteristics)을 식별하는 데 사용된다. 5QI는 서비스 품질에 자원을 할당하기 위해 네트워크 요소에 의해 사용되는 기본 파라미터이다.
서비스 품질은 할당 및 보유 우선순위(allocation and retention Priority, ARP)를 추가로 포함할 수 있고, 우선순위는 1 내지 15에 의해 식별될 수 있으며, 이는 서비스 품질에 의한 자원 요청의 우선순위 및 데이터 무선 베어러(data radio bearer)의 확립이 자원 제한 때문에 거부될 수 있는지를 나타낸다.
서비스 품질은, 다른 서비스 품질에 대응하는 자원(예를 들어, 데이터 무선 베어러)이 선점될 수 있는지 또는 서비스 품질에 대해 확립된 데이터 무선 베어러가 다른 서비스 품질에 의해 선점될 수 있는지를 정의하는데 사용되는 2개의 파라미터를 추가로 포함할 수 있다.
선택적으로, GBR을 갖는 데이터 콘텐츠에 대해, 서비스 품질은 업링크 및 다운링크에 사용될 수 있는 GBR 보장된 흐름 비트 레이트(Guaranteed flow bit rate)를 추가로 포함할 수 있다. GBR을 갖는 데이터 콘텐츠는 세션 또는 흐름일 수 있고, GBR 데이터는 대응하는 서비스 레벨을 갖는다. 상이한 서비스 레벨들이 또한 상이한 서비스 품질에 대응할 수 있다. 비-GBR 데이터는 디폴트 서비스 레벨에 대응한다. 예를 들어, 교환원의 경우, 통화하는 것이 보장될 필요가 있다. 따라서, 통화하는 것은 GBR 보장을 갖는다. 통상의 SMS 메시지 서비스, 즉, 비-GBR의 경우, 작은 레이턴시가 문제가 되지 않을 것이다. 또한, 예를 들어, Tencent 게임에 대해 운영자의 서비스를 구매한 경우, Tencent 게임의 비-GBR 서비스 흐름이 GBR이 된다.
선택적으로, 서비스 품질은 최대 흐름 비트 레이트(Maximum Flow Bit Rate, MFBR)를 추가로 포함하고, 하나의 세션의 모든 흐름(flow)이 합산되어 그 레이트를 초과할 수 없다. 일단 레이트가 초과하면, ARP를 참조하여, 확립을 거부할지 또는 다른 자원을 선점할지를 결정한다.
선택적으로, 서비스 품질은 통지 제어(Notification control)를 추가로 포함한다. 이 설정은 온 또는 오프이다. 데이터 무선 베어러가 서비스 품질을 위해 셋업될 수 없다면, 통지 제어의 온/오프에 기초하여, 단말 디바이스에 통지할지를 결정하는 것이 필요하다.
선택적으로, 보안 정책은 다음의 내용: 암호화 지시 정보- 암호화 지시 정보는 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 키 길이; D-H 지시 정보- D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함한다. 즉, 보안 정책은: 사용자 평면 암호화를 인에이블할지, 사용자 평면 무결성 보호를 인에이블할지, 128-비트 또는 256-비트 암호화/복호화 알고리즘을 사용할지, 128-비트 또는 256-비트 키 길이를 사용할지, 및 키 혼합을 인에이블할지 중 임의의 하나 이상을 추가로 포함할 수 있다. 일부 특정 예들이 제공된다. 예를 들어, 비트들은 보안 정책에 포함된 내용을 지시하는데 사용된다. 예를 들어, 비트 시퀀스 0000000는 사용자 평면 암호화 보호를 인에이블하지 않고, 사용자 평면 무결성 보호를 인에이블하지 않음을 지시한다. 둘 다가 인에이블되지 않기 때문에, 모두 0이다. 다른 예로서, 비트 시퀀스 1010100는 사용자 평면 암호화 보호를 인에이블하지만 사용자 평면 무결성 보호를 인에이블하지 않고, 128-비트 암호화 알고리즘을 사용하고, 키 혼합을 인에이블하지 않음을 지시한다. 예들만이 주어지고, 이 규칙에 따르는 모든 예들은 이 특허에 의해 커버된다는 점에 유의해야 한다. 본 출원의 이 실시예에서, 키 혼합은 D-H를 지칭하고, D-H는 키 혼합 알고리즘이다.
선택적으로, SMF 엔티티가 단말 디바이스의 보안 정책에서 암호화 지시 정보가 인에이블될 필요가 있다고 결정하면, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘을 추가로 포함할 수 있다. 대안적으로, 보안 정책에서 나타나도록 허용되는 사용자 평면 암호화 알고리즘은 사용자 평면 암호화가 인에이블될 필요가 있다는 것을 의미한다. 선택적으로, 서빙 네트워크는 단말 디바이스에 대해 서비스를 제공하는 네트워크이다.
선택적으로, 보안 정책은 사용자 평면 무결성 보호 알고리즘의 키 길이를 포함할 수 있거나, 사용자 평면 암호화 알고리즘의 키 길이를 포함할 수 있다. 대안적으로, 허용된 사용자 평면 암호화 알고리즘은 보안 정책에서 나타나고, 그 알고리즘은 256 비트이며, 이는 256 비트의 키 길이가 사용되는 것을 지시한다.
선택적으로, 기지국이 보안 정책을 획득하기 전에, 방법은 기지국이 액세스 및 이동성 관리 AMF 엔티티에 제1 우선순위 지시 정보를 전송하는 것을 추가로 포함한다. 제1 우선순위 지시 정보는 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되지 않는다는 것을 지시하는데 사용된다.
선택적으로, AMF는 제1 우선순위 지시 정보를 SMF에 포워딩한다. 따라서, 제1 우선순위 지시 정보를 획득한 후에, SMF는 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되지 않는다는 것을 알게 된다. 따라서, SMF는 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 대해 우선순위 정렬을 수행하거나, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 대해 우선순위 정렬을 수행한다. 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 AMF로부터 획득된다.
다른 선택적인 구현에서, SMF가 제1 우선순위 지시 정보를 획득하지 않거나, SMF가, 다른 방식으로, 기지국에 의해 허용된 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 것을 알게 되는 경우, 선택적으로 SMF는 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 대한 우선순위 정렬을 수행하지 않는다. 선택적으로, 우선순위 정렬은 많은 인자들에 기초하여, 예를 들어, 현재 오퍼레이터 선호도 및 로컬 서빙 네트워크 환경과 같은 인자들에 기초하여, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 대해 수행될 수 있다.
선택적으로, 기지국이 보안 정책을 획득하기 전에, 방법은 기지국이 제2 우선순위 지시 정보를 액세스 및 이동성 관리 AMF 엔티티에 전송하는 것을 추가로 포함한다. 제2 우선순위 지시 정보는 기지국에 의해 허용되는 사용자 평면 암호화가 우선순위에 기초하여 정렬되지 않는지를 지시하는데 사용된다.
선택적으로, AMF는 제2 우선순위 지시 정보를 SMF에 포워딩한다. 따라서, 제2 우선순위 지시 정보를 획득한 후에, SMF는 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되지 않는다는 것을 알게 된다. 따라서, SMF는 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 대해 우선순위 정렬을 수행하거나, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 대해 우선순위 정렬을 수행한다. 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘은 AMF로부터 획득된다.
다른 선택적인 구현에서, SMF가 제2 우선순위 지시 정보를 획득하지 않거나, SMF가, 다른 방식으로, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 것을 알게 되는 경우, 선택적으로 SMF는 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 대해 우선순위 정렬을 수행하지 않는다. 선택적으로, 우선순위 정렬은 많은 인자들에 기초하여, 예를 들어, 현재 오퍼레이터 선호도 및 로컬 서빙 네트워크 환경과 같은 인자들에 기초하여, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 대해 수행될 수 있다.
전술한 예에서, 사용자 평면 암호화 알고리즘의 우선순위 및 사용자 평면 무결성 보호 알고리즘의 우선순위가 개별적으로 설명된다. 또 다른 선택적인 구현에서, 사용자 평면 암호화 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다의 우선순위들을 지시하기 위해 하나의 지시 정보가 사용된다.
선택적으로, 기지국이 보안 정책을 획득하기 전에, 방법은 기지국이 액세스 및 이동성 관리 AMF 엔티티에 제3 우선순위 지시 정보를 전송하는 것을 추가로 포함한다. 제3 우선순위 지시 정보는 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘과 사용자 평면 무결성 보호 알고리즘 둘 다가 우선순위에 기초하여 정렬되지 않는 것을 지시하는데 사용된다. 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘은 동일하거나 상이할 수 있다.
선택적으로, AMF는 제3 우선순위 지시 정보를 SMF에 포워딩한다. 따라서, 제3 우선순위 지시 정보를 획득한 후에, SMF는 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되지 않는 것을 알게 된다. 따라서, SMF는, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘에 대해 우선순위 정렬을 수행하거나, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘에 대해 우선순위 정렬을 수행한다. 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘은 AMF로부터 획득된다.
다른 선택적인 구현에서, SMF가 제3 우선순위 지시 정보를 획득하지 않거나, SMF가, 다른 방식으로, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 것을 알게 되는 경우. 선택적으로, SMF는 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 대해 우선순위 정렬을 수행하지 않는다. 선택적으로, 우선순위 정렬은 많은 인자들에 기초하여, 예를 들어, 현재 오퍼레이터 선호도 및 로컬 네트워크 환경과 같은 인자들에 기초하여, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘 및 사용자 평면 무결성 보호 알고리즘에 대해 수행될 수 있다.
도 2b는 본 출원의 실시예에 따른 다른 통신 방법의 개략적인 흐름도의 예를 도시한다.
전술한 내용에 기초하여, 본 출원의 이 실시예는 통신 방법을 제공한다. 도 2b에 도시된 바와 같이, 방법은 다음의 단계들을 포함한다.
단계 221: 기지국은 보안 정책을 획득하며, 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용된다.
전술한 내용과 유사하게, 선택적으로, 보안 정책은 허용된 사용자 평면 암호화 알고리즘, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 및 키 혼합을 인에이블할지를 지시하는 지시 정보를 추가로 포함할 수 있다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘은 사용자 평면 암호화 보호 및 키 길이 정보를 인에이블하는 것을 포함할 수 있다. 예를 들어, 사용자 평면 암호화 알고리즘이 256 비트일 때, 256-비트 키가 사용된다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에서 빈 암호화 알고리즘(empty encryption algorithm)이 발생하는 경우, 기지국은 사용자 평면 암호화 보호를 인에이블하지 않도록 허용된다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 보안 정책에 나타나면, 기지국은 사용자 평면 무결성 보호를 인에이블한다. 선택적으로, 키 길이는 무결성 알고리즘의 비트 정보에 기초하여 결정되는데, 즉, 256-비트 무결성 알고리즘은 256-비트 키를 사용한다. 선택적으로, 허용된 사용자 평면 무결성 보호 알고리즘은 빈 알고리즘을 갖지 않는다. 보안 정책에서 무결성 보호 알고리즘이 나타나지 않으면, 무결성 보호는 인에이블되지 않는다. 선택적으로, 기지국은 또한 다른 정보를 사용함으로써, 예를 들어, 비트 정보를 사용함으로써, 키 길이 정보를 통지받을 수 있다.
단계 222: 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에 지시할 때, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 결정한다.
단계 223: 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 기지국이 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 어떻게 전송하는지에 대해서는, 전술한 내용을 참조하고, 세부사항들은 여기서 다시 설명되지 않는다.
선택적으로, 전술한 AS SMC 및 AS SMP 절차들은 단계 221과 단계 223 사이에 추가로 포함될 수 있고, 기지국과 단말 디바이스 사이에 타겟 시그널링 평면 보안 알고리즘을 재협상하는데 사용된다. 구체적으로, 단계 201 내지 단계 204가 단계 221과 단계 223 사이에 추가될 수 있다.
선택적으로, 기지국이 보안 정책을 획득하는 것은: 기지국이 SMF 엔티티로부터 보안 정책을 수신하는 것을 포함한다. 대안적으로, 선택적으로, 기지국은 보안 정책을 미리 저장하고, 그 후 기지국은 SMF 엔티티로부터 보안 정책의 식별자를 수신하고 보안 정책의 식별자에 기초하여 보안 정책을 획득한다.
선택적으로, 디렉토리 시스템 프로토콜(Directory System Protocol, SDAP) 계층은 서비스 품질을 패킷 데이터 수렴 프로토콜(Packet Data Convergence Protocol, PDCP) 계층에 매핑하기 위해 기지국 상에 정의될 수 있다. 각각의 PDCP 계층은 하나의 DRB에 대응한다. 따라서, 이전에 정의된 보안 레벨은 RAN측에서 더 분할될 필요가 있다. PDCP 계층에서 여전히 보안이 수행되는 경우, PDCP 계층에서 사용자 평면 암호화 및 복호화 및 무결성 보호가 여전히 완료된다. 하나의 PDCP 계층이 하나의 DRB에 대응하기 때문에, DRB-레벨 보안 처리만이 RAN측에서 수행될 수 있다. 보안 또는 부분 보안 처리가 SDAP 계층으로 이동될 수 있으면, QoS-흐름-레벨 보안 처리가 구현될 수 있다. 부분 보안은, 사용자 평면 무결성 보호만이 흐름 세분성에 기초하는 경우, 무결성 보호에 관련된 보안 처리만이 SDAP 계층에 배치될 필요가 있다는 것을 의미한다. 사용자 평면 암호화 및 복호화 및 무결성 보호 처리가 흐름 세분성에 기초하는 경우, 그것들 모두는 SDAP 계층에서 완료될 필요가 있다. 그러므로, 흐름 세분성 레벨에 기초한 보안 처리를 위한 전제 조건은 보안 또는 부분 보안이 SDAP 계층에서 구현된다는 것이다.
예를 들어, 하나의 세션에 4개의 서비스 흐름(IP-흐름) 및 3개의 QoS 흐름이 존재한다. NAS-레벨 매핑은 첫번째 QoS 처리를 지시한다. IP 흐름은 QFI(QoS flow ID)로 표현되는 QoS 흐름으로서 매핑된다. IP 흐름 1 및 IP 흐름 4는 QFI 1에 배치되고, 다른 흐름들 각각은 하나의 별개의 QFI에 있다는 것을 알 수 있다. SDAP 계층에서, SDAP 계층은 상이한 흐름들의 QFI들을 상이한 PDCP 계층들에 매핑한다. QFI 1 및 QFI 2는 하나의 PDCP 엔티티(PDCP entity) 상에 배치되어, QFI 1 및 QFI 2가 하나의 DRB를 사용하여 전송되는 것을 지시한다는 것을 알 수 있다. 하나의 PDCP 엔티티는 하나의 DRB 베어러에 대응하고, QFI-3은 다른 DRB 베어러인 다른 PDCP 엔티티-2 상에 배치된다.
선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다. 대안적으로, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다. 우선순위 정렬은 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 대해 로컬 오퍼레이터 선호도, 로컬 환경 등에 기초하여 수행될 수 있고, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 기지국 상에 미리 구성될 수 있다. 우선순위 정렬은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 대해 단말 디바이스의 네트워크 액세스 가입 내용, 단말 디바이스의 선호도, 및/또는 그와 같은 것에 기초하여 수행될 수 있고, 가입 또는 더 많은 서비스의 구매 시에 단말 디바이스에 의해 수행될 수 있다. 선택적으로, 보안 정책은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘을 포함할 수 있다.
선택적으로, 단계 222에서, 선택적인 구현 해결책에서, 보안 정책은 적어도 하나의 사용자 평면 무결성 보호 알고리즘을 포함한다. 기지국은 타겟 사용자 평면 무결성 보호 알고리즘으로서, 보안 정책에 포함된 적어도 하나의 사용자 평면 무결성 보호 알고리즘에서 하나의 사용자 평면 무결성 보호 알고리즘을 직접 결정한다. 다른 선택적인 해결책에서, 기지국이 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 것은: 기지국이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 것을 포함한다.
기지국은 몇몇 선택적인 구현들에서 타겟 사용자 평면 무결성 보호 알고리즘을 결정할 수 있다. 예를 들어, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 적어도 하나의 알고리즘을 결정하고, 적어도 하나의 알고리즘에서 타겟 사용자 평면 무결성 보호 알고리즘을 결정한다. 선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이면, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘이 타겟 사용자 평면 무결성 보호 알고리즘으로서 적어도 하나의 알고리즘으로부터 결정된다. 선택적으로, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이면, 기지국은, 타겟 사용자 평면 무결성 보호 알고리즘으로서 적어도 하나의 알고리즘으로부터, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다.
선택적으로, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함한다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 SMF 상에 미리 구성될 수 있다. 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘의 우선순위는 오퍼레이터 선호도 및/또는 로컬 환경과 같은 인자들에 기초하여 정렬될 수 있다. 선택적으로, 기지국이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 것은 다음을 포함한다: 기지국은 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정한다. 구체적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 경우, 주요 조건으로서 서빙 네트워크에 의해 허용되는 우선순위 정렬을 사용하거나 또는 주요 조건으로서 기지국에 의해 허용되는 우선순위 정렬을 사용함으로써 선택이 이루어진다. 어느 우선순위 정렬을 사용하는지는 로컬 오퍼레이터의 정책 또는 다른 정보에 의존한다. 예를 들어, 기지국에 의해 허용되는 현재 사용자 평면 무결성 보호 알고리즘은 최근에 업데이트되고, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 장시간 전에 업데이트되었다. 따라서, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘의 우선순위 정렬은 주요 조건으로서 사용된다. 다른 예로서, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘의 우선순위 정렬은 디폴트로 주요 조건으로서 사용된다. 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되지 않으면, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘의 우선순위 정렬은 주요 조건으로서 사용된다.
기지국은 몇몇 선택적인 구현들에서 타겟 사용자 평면 무결성 보호 알고리즘을 결정할 수 있다. 예를 들어, 기지국은, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는, 적어도 하나의 알고리즘을 결정하고, 그 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 무결성 보호 알고리즘을 결정한다. 선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이면, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘이 타겟 사용자 평면 무결성 보호 알고리즘으로서 적어도 하나의 알고리즘으로부터 결정된다. 선택적으로, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이면, 기지국은, 타겟 사용자 평면 무결성 보호 알고리즘으로서 적어도 하나의 알고리즘으로부터, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이면, 기지국은, 타겟 사용자 평면 무결성 보호 알고리즘으로서 적어도 하나의 알고리즘으로부터, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다. 선택적으로, 본 출원의 이 실시예에서의 네트워크는 5G 네트워크 또는 5G 네트워크로부터 진화하는 네트워크를 포함할 수 있다.
선택적으로, 방법은 다음을 추가로 포함한다: 보안 정책이 암호화 지시 정보를 추가로 포함하고, 암호화 지시 정보가 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용될 때, 기지국은 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송한다.
전술한 내용에 기초하여, 이하에서는 기지국 및 단말 디바이스가 타겟 사용자 평면 암호화 알고리즘을 추가로 협상할 필요가 있는 방법 프로세스를 설명한다.
선택적으로, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이다. 대안적으로, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이다. 우선순위 정렬은, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 대해 적어도 오퍼레이터 선호도에 기초하여 수행될 수 있고, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘은 네트워크 구성 동안 오퍼레이터에 의해 정렬될 수 있고 기지국 상에 미리 구성될 수 있다. 우선순위 정렬은, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 대해 오퍼레이터 선호도에 기초하여 수행될 수 있고, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘은 네트워크 액세스 가입 동안 사용자에 의해 정렬될 수 있다. 선택적으로, 보안 정책은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘을 포함할 수 있다.
선택적으로, 선택적인 구현 해결책이 추가로 포함된다. 보안 정책은 적어도 하나의 사용자 평면 암호화 알고리즘을 포함하고, 기지국은 타겟 사용자 평면 암호화 알고리즘으로서, 보안 정책에 포함된 적어도 하나의 사용자 평면 암호화 알고리즘에서 하나의 사용자 평면 암호화 알고리즘을 직접 결정한다. 다른 선택적인 해결책에서, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘 및 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 기초하여 타겟 사용자 평면 암호화 알고리즘을 결정한다.
기지국은 몇몇 선택적인 구현들에서 타겟 사용자 평면 암호화 알고리즘을 결정할 수 있다. 예를 들어, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘을 결정하고, 그 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘을 결정한다. 선택적으로, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이면, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터, 타겟 사용자 평면 암호화 알고리즘으로서, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘이 결정된다. 선택적으로, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이면, 기지국은, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘으로서, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다.
선택적으로, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘을 추가로 포함한다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘은 SMF 상에 미리 구성될 수 있다. 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘의 우선순위는 적어도 오퍼레이터 선호도에 기초하여 정렬될 수 있다. 선택적으로, 기지국이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘 및 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 기초하여 타겟 사용자 평면 암호화 알고리즘을 결정하는 것은 다음을 포함한다: 기지국은 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘, 및 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 기초하여 타겟 사용자 평면 암호화 알고리즘을 결정한다. 구체적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬될 때, 주요 조건으로서 서빙 네트워크에 의해 허용되는 우선순위 정렬을 사용함으로써 선택이 이루어진다. 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되지 않으면, 기지국에 의해 허용되는 사용자 평면 보안 알고리즘의 우선순위가 주요 조건으로서 사용된다.
기지국은 몇몇 선택적인 구현들에서 타겟 사용자 평면 암호화 알고리즘을 결정할 수 있다. 예를 들어, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘을 결정하고, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘을 결정한다. 선택적으로, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이면, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에도 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘으로서, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘이 결정된다. 선택적으로, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이면, 기지국은, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘으로서, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다. 선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘이 우선순위에 기초하여 정렬되는 사용자 평면 암호화 알고리즘이면, 기지국은, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 적어도 하나의 알고리즘으로부터 타겟 사용자 평면 암호화 알고리즘으로서, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에서 비교적 높은 우선순위 또는 가장 높은 우선순위를 갖는 알고리즘을 결정한다.
선택적으로, 보안 정책이 키 길이를 추가로 포함할 때, 기지국은 키 길이를 단말 디바이스에 전송한다. 키 길이는 사용자 평면 무결성 보호 키 길이 및 사용자 평면 암호화 키 길이를 포함한다. 선택적으로, 본 출원의 이 실시예에서, 타겟 사용자 평면 무결성 보호 알고리즘, 타겟 사용자 평면 암호화 알고리즘, 및 키 길이와 같은 정보를 단말 디바이스에 전송할 때, 기지국은 RRC 재구성 요청과 같은 하나의 시그널링을 사용하거나, 또는 복수의 정보를 사용할 수 있다.
선택적인 구현에서, RRC 재구성 요청이 전송을 위해 사용되는 경우, 복수의 전송 방식이 존재할 수 있다. 예를 들어, RRC 재구성 메시지가 사용될 수 있다. RRC 재구성 메시지는 타겟 사용자 평면 암호화 알고리즘, 타겟 사용자 평면 무결성 보호 알고리즘, 사용자 평면 암호화 키 길이, 사용자 평면 무결성 보호 키 길이, 키 혼합 정책(D-H로도 지칭될 수 있음), 인에이블 또는 디스에이블을 지시하는 정보, DRB-1(QoS 정보), DRB-2(QoS 정보), 및 다른 파라미터 중 적어도 하나를 포함할 수 있다.
선택적인 구현에서, 사용자 평면 무결성이 인에이블되지 않은 경우, 타겟 사용자 평면 무결성 보호 알고리즘은 전송되지 않는다. 알고리즘 자체가 키 길이를 지시할 수 있으면, 키 길이의 지시 정보는 운반되지 않을 수 있다. 기지국이 키 혼합 정책을 지원하지 않거나 인에이블할 필요가 없으면, 키 혼합 정책은 전송될 필요가 없다. 이 방법에서, 보안 정책은 각각의 DRB 상에서 전송되지 않는다. 따라서, 이 방법은 모든 DRB들이 동일한 보안 능력을 사용하는 경우에 적용가능하다. 또한, 타겟 보안 정책은 하나의 선택 프로세스를 통해 모든 DRB들에 대해 구성될 수 있다.
다른 선택적인 구현에서, RRC 재구성 메시지는 다음을 포함할 수 있다:
재구성 파라미터;
DRB-1(타겟 사용자 평면 보안 암호화 알고리즘-1, [타겟 사용자 평면 무결성 보호 알고리즘-1], [사용자 평면 암호화 키 길이-1], [사용자 평면 무결성 보호 키 길이-1], [키 혼합 정책], QoS 파라미터, 다른 파라미터); 및
DRB-2(타겟 사용자 평면 보안 암호화 알고리즘-2, [타겟 사용자 평면 무결성 보호 알고리즘-2], [사용자 평면 암호화 키 길이-2], [사용자 평면 무결성 보호 키 길이-2], [키 혼합 정책], QoS 파라미터, 다른 파라미터), 다른 파라미터).
RRC 재구성 메시지는 단지 2개의 예시적인 경우: DRB-1 및 DRB-2를 도시한다. RRC 재구성 메시지에서 운반되는 포맷은 전술한 예에서의 포맷과 유사할 수 있고, 파라미터 아이템들의 전부 또는 일부가 운반될 수 있다. 예를 들어, 전술한 예에서의 []에 포함된 파라미터들은 운반될 수 있거나 운반되지 않을 수 있다. 이러한 방식으로, 타겟 보안 정책은 각각의 DRB에 대해 구성될 수 있고, 각각의 DRB의 타겟 보안 정책은 동일할 수 있거나, 각각의 DRB의 타겟 보안 정책은 상이할 수 있다.
전술한 2개의 방법이 또한 함께 사용될 수 있는데, 즉, 일부 타겟 보안 정책들은 모든 DRB들에 의해 공유될 수 있고, 보안 정책은 상이한 DRB들에 따라 상이하다. 예를 들어, RRC 재구성 메시지는 다음을 포함한다:
타겟 사용자 평면 보안 암호화 알고리즘;
DRB-1([타겟 사용자 평면 무결성 보호 알고리즘-1], [사용자 평면 암호화 키 길이-1], [사용자 평면 무결성 보호 키 길이-1], [키 혼합 정책], QoS 파라미터, 다른 파라미터);
DRB-2(, [타겟 사용자 평면 무결성 보호 알고리즘-2], [사용자 평면 암호화 키 길이-2], [사용자 평면 무결성 보호 키 길이-2], [키 혼합 정책], QoS 파라미터, 다른 파라미터); 및
다른 파라미터.
선택적으로, 기지국이 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하기 전에, 그 방법은, 기지국이 SMF 엔티티로부터 단말 디바이스의 현재 세션의 서비스 품질을 수신하는 것을 추가로 포함한다. 선택적으로, 현재 세션의 서비스 품질 및 보안 정책은 하나의 메시지를 사용하여 전송될 수 있거나, 복수의 메시지를 사용하여 별개로 전송될 수 있다. 선택적으로, 기지국은 또한, AMF로부터, 키를 생성하는데 사용되는 일부 기본 정보, 예를 들어, 사용자 평면 무결성 보호 키를 생성하는데 사용되는 베이스 키 및 사용자 평면 암호화 키를 생성하는데 사용되는 베이스 키를 수신한다.
선택적으로, 기지국은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 데이터 무선 베어러(Data Radio Bearer, DRB)를 단말 디바이스에 할당하고, 데이터 무선 베어러는 기지국에 의해 할당된다. 기지국은, 적어도 서비스 품질에 기초하여, 단말 디바이스에 전송된 데이터에 데이터 무선 베어러를 할당한다. 5G에서, 하나의 데이터 무선 베어러에서, 복수의 타입의 서비스 품질에 대응하는 데이터 흐름들이 있을 수 있다.
선택적으로, 하나의 DRB는 복수의 서비스 품질에 대응할 수 있다. 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러가 할당된다.
선택적으로, 제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않고, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재하지 않을 때, 기지국은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업한다.
선택적으로, 제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않을 때, 기지국은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업한다.
선택적으로, 기지국은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업한다.
선택적으로, 이전에 확립된 이력 DRB가 단말 디바이스에 대한 타겟 데이터 무선 베어러로서 선택될 수 있거나, DRB가 타겟 데이터 무선 베어러로서 새롭게 확립될 수 있다.
선택적인 구현에서, 이력 데이터 무선 베어러 중 하나는 단말 디바이스에 대한 타겟 데이터 무선 베어러로서 직접 먼저 선택될 수 있고, 타겟 데이터 무선 베어러가 이력 데이터 무선 베어러로부터 선택될 수 없는 경우, 타겟 데이터 무선 베어러로서 단말 디바이스에 대해 새로운 데이터 무선 베어러가 셋업된다.
대안적으로, 일부 미리 설정된 규칙들에 기초하여, 먼저 단말 디바이스가 이력 데이터 무선 베어러를 사용하도록 허용되는지가 결정된다. 단말 디바이스가 허용되는 경우, 이력 데이터 무선 베어러들 중 하나가 단말 디바이스에 대한 타겟 데이터 무선 베어러로서 먼저 선택될 수 있다. 타겟 데이터 무선 베어러가 이력 데이터 무선 베어러로부터 선택될 수 없는 경우, 단말 디바이스에 대해 새로운 데이터 무선 베어러가 셋업되어 타겟 데이터 무선 베어러로서 직접 사용된다. 전술한 해결책에 대한 더 상세한 설명을 위해, 이하에서는 설명을 위해 여러 상세한 예들을 사용한다.
구현 b1
제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재할 때, 타겟 데이터 무선 베어러는 제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러 중 하나이다. 제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질과 동일하고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하다.
선택적으로, 제1 조건은, 지원되는 서비스 품질이 현재 세션의 서비스 품질과 동일하다는 것, 및 단계 221에서 획득된 보안 정책이 지원되는 보안 정책과 동일하다는 것을 포함한다.
DRB 재사용에 관한 정보는 메시지를 전송함으로써 구현될 수 있다. 예를 들어, 첫번째로 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(타겟 사용자 평면 암호화 알고리즘-1, DRB-1(QoS 정보-1), DRB-2(QoS 정보-2), 다른 파라미터)이고; 두번째로 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(현재 사용자 평면 암호화 알고리즘-1, DRB-1(QoS 정보-1), DRB-2(QoS 정보-2), DRB-3(현재 사용자 평면 암호화 알고리즘-2, QoS 정보-2/3/4), 다른 파라미터))이다. 이러한 방식으로, DRB-2의 보안 정책은 QoS를 재사용하는 목적을 달성하기 위해 수정된다. 이 예로부터, 타겟 데이터 무선 베어러로서 이력 데이터 무선 베어러를 사용하는 목적이 시그널링을 전송함으로써 달성된다는 것을 알 수 있다.
다른 예로서, 이력 DRB를 재사용하는 목적을 달성하기 위해, 첫번째로 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(타겟 사용자 평면 암호화 알고리즘-1, DRB-1(QoS 정보-1), DRB-2(QoS 정보-2), 다른 파라미터))이고; 두번째로 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(현재 사용자 평면 암호화 알고리즘-1, DRB-1(QoS 정보-1), DRB-2(현재 사용자 평면 암호화 알고리즘-2, QoS 정보-2), 다른 파라미터))이다. 이러한 방식으로, DRB-2의 보안 정책은 QoS를 재사용하는 목적을 달성하기 위해 수정된다.
구현 b2
제1 조건을 충족하는 이력 데이터 무선 베어러가 기지국에 존재하지 않지만, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 기지국에 존재할 때, 타겟 데이터 무선 베어러는 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러 중 하나가 보안 정책에 기초하여 업데이트된 후에 획득되는 데이터 무선 베어러이다. 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질과 동일하고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 매칭되거나; 또는 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질에 매칭되고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하거나; 또는 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 현재 세션의 서비스 품질에 매칭되고, 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책에 매칭된다.
선택적으로, 제2 조건은, 지원되는 서비스 품질이 현재 세션의 서비스 품질과 매칭된다는 것, 및 획득된 보안 정책이 지원되는 보안 정책과 동일하다는 것을 포함한다. 대안적으로, 선택적으로, 제2 조건은, 지원되는 서비스 품질이 현재 세션의 서비스 품질과 동일하다는 것, 및 획득된 보안 정책이 지원되는 보안 정책과 매칭된다는 것을 포함한다. 대안적으로, 선택적으로, 제2 조건은, 지원되는 서비스 품질이 현재 세션의 서비스 품질과 매칭된다는 것, 및 획득된 보안 정책이 지원되는 보안 정책과 매칭된다는 것을 포함한다.
즉, 발견된 이력 데이터 무선 베어러 및 타겟 데이터 무선 베어러의 대응하는 보안 정책들 및 서비스 품질은 완전히 동일하지는 않지만 약간 상이하다. 예를 들어, 대역폭 요건들 사이의 차이는 미리 설정된 범위 내에 있어서, 이력 데이터 무선 베어러는 최소 수정을 위해 사용될 수 있다. 예를 들어, 제2 조건을 충족하는 데이터 무선 베어러와 타겟 데이터 무선 베어러 사이의 관계는 다음을 충족할 수 있다: 제2 조건을 충족하는 데이터 무선 베어러에 대해 사용자 평면 암호화 보호는 인에이블되지만 사용자 평면 무결성 보호는 인에이블되지 않고; 타겟 데이터 무선 베어러에 대해 사용자 평면 암호화 보호 및 사용자 평면 무결성 보호가 인에이블되고; 제2 조건을 충족하는 데이터 무선 베어러의 타겟 사용자 평면 암호화 알고리즘은 타겟 데이터 무선 베어러의 타겟 사용자 평면 암호화 알고리즘과 동일하다. 이러한 경우에, 기지국의 자원이 제한되기 때문에, 새로운 DRB가 셋업될 수 없거나; 또는 기지국은 이력 데이터 무선 베어러를 재사용하도록 설정된다. 따라서, 기지국은 복수회 동안 RRC 재구성 메시지를 전송하고 무결성 보호를 인에이블한다.
본 출원의 이 실시예는 가능한 구현을 제공한다: 예를 들어, 첫번째로 기지국에 의해 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(타겟 사용자 평면 암호화 알고리즘, DRB-1(QoS 정보-1), DRB-2(QoS 정보-2), 다른 파라미터))이고; 두번째로 기지국에 의해 단말 디바이스에 전송되는 메시지는: RRC 재구성 메시지(현재 사용자 평면 암호화 알고리즘, DRB-1(QoS 정보-1), DRB-2(타겟 사용자 평면 무결성 보호 알고리즘, QoS 정보-2, QoS 정보-3), 다른 파라미터))이다. 이러한 방식으로, DRB-2의 자원이 재사용될 수 있다. 물론, 복수의 특정 구현들이 있고, 단지 예들이 본 명세서에 제공된다.
구현 b3
데이터 무선 베어러는 보안 정책 또는 서비스 품질 중 적어도 하나에 기초하여 직접 셋업된다.
구현 b4
기지국은 데이터 무선 베어러, 서비스 품질, 및 보안 정책 사이의 연관 관계를 미리 구성하고, 각각의 연관 관계에 대한 대응하는 식별자, 예를 들어, RAT/주파수 우선순위에 대한 가입자 프로파일 ID(Subscriber Profile ID for RAT/Frequency Priority, SPID)를 설정한다. 즉, 세션 ID, IMSI, DNN, 및 NSSAI 중 임의의 하나 이상에 기초하는지, 또는 검색이 UDM, UPF, 및 PCF 상에서 수행되는지에 관계없이, SMF는 어쨌든 하나의 SPID를 획득한다. 그 후, SMF는 RAN에 SPID를 전달하고, RAN은 SPID를 사용하여 미리 설정된 QoS 정책 및 보안 정책을 찾을 수 있다. 이러한 경우에, SMF는 임의의 보안 정책을 전달할 필요가 없고, SPID만 전달하면 된다. 그 후, RAN은 SPID에 기초하여 사용된 DRB를 결정할 수 있고, 사용된 DRB는 QoS 정책 및 보안 정책을 충족시킨다.
선택적으로, 기지국이 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하는 것은, 기지국이 무선 자원 제어(Radio Resource Control, RRC) 시그널링을 사용하여 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하는 것을 포함한다. 선택적으로, RRC 시그널링은 RRC 재구성 요청(RRC 접속 재구성 요청)을 포함한다.
선택적으로, 보안 정책이, 기지국 및 단말 디바이스가 타겟 사용자 평면 암호화 알고리즘을 협상할 필요가 있다는 것을 지시하면, 기지국은 추가로 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송할 필요가 있다. 선택적으로, 기지국은 추가로 키 길이를 단말 디바이스에 전송할 필요가 있다. 보안 정책이, 기지국 및 단말 디바이스가 타겟 사용자 평면 암호화 알고리즘을 협상할 필요가 있다는 것을 지시하면, 키 길이는 사용자 평면 암호화 키 길이를 포함할 수 있다. 무결성 보호 지시 정보가, 기지국이 단말 디바이스에 대한 무결성 보호를 인에이블한다는 것을 지시하면, 키 길이는 사용자 평면 무결성 보호 키 길이를 포함할 수 있다. 타겟 사용자 평면 무결성 알고리즘, 타겟 사용자 평면 암호화 알고리즘, 키 길이, 및 서비스 품질 중 하나 이상은 하나의 시그널링, 예를 들어, RRC 재구성 요청을 사용하여 단말 디바이스에 전송될 수 있다.
선택적으로, 보안 정책이 D-H 지시 정보를 추가로 포함하고, D-H 지시 정보가 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용될 때, 기지국은 D-H 관련 키를 단말 디바이스에 전송한다. 다음의 예는 D-H 지시 정보가 단말 디바이스에 대해 D-H를 인에이블하도록 기지국에게 지시하는데 사용되는 경우에 기지국과 단말 디바이스 사이의 시그널링 교환 프로세스를 상세히 설명한다.
키 혼합 정책이 인에이블된다면, 기지국은, UE에 의해 보고되는 D-H 능력 및 기지국에 의해 허용되는 D-H 능력에 기초하여, 기지국에 의해 허용되고 가장 높은 우선순위를 갖는 D-H 능력을 선택한다. 또한, 기지국은 선택된 D-H 능력에 기초하여 공개 키 P1 및 개인 키 B1을 생성한다. 기지국은 공개 키 P1 및 선택된 D-H 능력을 단말 디바이스에 전송하고, 예를 들어, RRC 재구성 메시지를 사용할 수 있다. 단말 디바이스는 선택된 D-H 능력에 기초하여 공개 키 P2 및 개인 키 B2를 생성하고, 개인 키 B2 및 공개 키 P1을 사용하여 키 Kdh를 생성한다. 그 후, Kdh 및 Kan는 키 혼합을 위해 사용된다. 혼합 방법은 New-Kan = KDF(Kdh, Kan, 및 다른 파라미터)일 수 있다. KDF(key derivation function)는 키 생성 함수, 예를 들어, 해시 256 알고리즘이고, 다른 파라미터는 신선성 파라미터(freshness parameter), 예를 들어, PDCP COUNT일 수 있다. Kdh 및 Kan는 다른 파라미터를 사용하지 않고 키 혼합을 위해 직접 사용될 수 있다. 키 혼합 후에, 새로운 사용자 평면 키가 New-Kan 및 타겟 사용자 평면 보안 알고리즘에 기초하여 생성된다. 또한, 새로운 사용자 평면 키는 RRC 재구성 메시지를 보호하기 위해 사용되고, 다음으로 RRC 재구성 메시지는 기지국에 전송된다. RRC 재구성 메시지는 공개 키 P2를 포함한다. 공개 키 P2를 획득한 후에, 기지국은 단말 디바이스와 동일한 방법을 사용하여 공개 키 P2 및 개인 키 B1에 기초하여 New-Kan을 생성하고, 추가로 단말 디바이스와 동일한 방법을 사용하여 새로운 사용자 평면 키를 획득한다. 또한, 새로운 사용자 평면 키는 RRC 재구성 메시지를 검증하기 위해 사용된다. 검증이 성공하면, 기지국은 새로운 사용자 평면 키를 인에이블하기 시작한다.
도 2a 또는 도 2b에 도시된 실시예의 선택적인 구현에서, 도 2b의 단계 213 후에, 그 방법은 다음을 추가로 포함한다: 기지국은 보안 정책 또는 보안 정책의 식별자를 수신하고, 기지국은 보안 정책에 제공된 정보에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘으로서 보안 정책에서 하나의 사용자 평면 무결성 보호 알고리즘을 선택할 수 있다. 보안 정책은 하나 이상의 사용자 평면 무결성 보호 알고리즘을 포함할 수 있다. 대안적으로, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘으로서 보안 정책에서의 사용자 평면 무결성 보호 알고리즘을 사용하지 않을 수 있다. 대안적으로, 보안 정책에서의 사용자 평면 무결성 보호 알고리즘이 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘들의 리스트에 있지 않을 때, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘으로서 보안 정책에서의 사용자 평면 무결성 보호 알고리즘을 사용하지 않는다. 또한, 선택적으로, 보안 정책에서의 사용자 평면 무결성 보호 알고리즘이 타겟 사용자 평면 무결성 보호 알고리즘으로서 사용되지 않을 때, 기지국이 사용자 평면 무결성 보호를 인에이블하는 경우, 기지국은 보안 정책에서의 사용자 평면 무결성 보호 알고리즘과 상이한 사용자 평면 무결성 보호 알고리즘 중 하나를 타겟 사용자 평면 무결성 보호 알고리즘으로서 선택할 수 있다. 예를 들어, 기지국은 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 하나를 타겟 사용자 평면 무결성 보호 알고리즘으로서 선택할 수 있다. 다른 예로서, 보안 정책이 기지국 상에 미리 구성되고, 기지국이 다른 네트워크 요소에 의해 전달되는 보안 정책을 수신하지 않는 경우, 기지국은 기지국 상의 미리 구성된 보안 정책에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 선택할 수 있다. 예를 들어, 미리 구성된 보안 정책은 하나 이상의 사용자 평면 무결성 보호 알고리즘을 포함할 수 있고, 기지국은 미리 구성된 보안 정책으로부터 하나의 사용자 평면 무결성 보호 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 선택한다. 더 많은 다른 구현들에 대해서는, 전술한 내용을 참조한다.
선택적으로, 보안 정책에서의 사용자 평면 무결성 보호 알고리즘은 전술한 내용에 설명된 보안 정책에 포함되고 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘일 수 있거나, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나에 기초하여 SMF 엔티티에 의해 결정될 수 있다. 예를 들어, SMF 엔티티는 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 결정할 수 있다. 다른 예로서, SMF 엔티티는, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 결정할 수 있다.
보안 정책은 시그널링 평면 무결성 보호 알고리즘을 포함할 수 있는데, 즉, 보안 정책은 시그널링 평면 무결성 보호 알고리즘 및/또는 사용자 평면 무결성 보호 알고리즘을 포함할 수 있다. 예를 들어, 보안 정책에 포함된 사용자 평면 무결성 보호 알고리즘은 또한 시그널링 평면 무결성 보호 알고리즘이며, 즉, 보안 정책에 포함된 무결성 보호 알고리즘은 사용자 평면 무결성 보호와 시그널링 평면 무결성 보호 둘 다에 사용된다.
본 기술분야의 통상의 기술자는, 기지국에 의해 타겟 사용자 평면 암호화 알고리즘, 타겟 시그널링 평면 무결성 보호 알고리즘, 및 타겟 시그널링 평면 암호화 알고리즘을 선택하는 복수의 구현이 있다는 점을 알 수 있다. 타겟 사용자 평면 무결성 보호 알고리즘을 선택하는 해결책 설명을 참조한다. 이하에서는 여러 구현들을 간단히 설명한다.
도 2a 또는 도 2b에 도시된 실시예의 선택적인 구현에서, 도 2b의 단계 213 후에, 그 방법은 다음을 추가로 포함한다: 기지국은 보안 정책 또는 보안 정책의 식별자를 수신하고, 기지국은 보안 정책에 제공된 정보에 기초하여 타겟 사용자 평면 암호화 알고리즘으로서 보안 정책에서의 하나의 사용자 평면 암호화 알고리즘을 선택할 수 있다. 보안 정책은 하나 이상의 사용자 평면 암호화 알고리즘을 포함할 수 있다. 대안적으로, 기지국은 타겟 사용자 평면 암호화 알고리즘으로서 보안 정책에서의 사용자 평면 암호화 알고리즘을 사용하지 않을 수 있다. 대안적으로, 보안 정책에서의 사용자 평면 암호화 알고리즘이 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘들의 리스트에 있지 않을 때, 기지국은 타겟 사용자 평면 암호화 알고리즘으로서 보안 정책에서의 사용자 평면 암호화 알고리즘을 사용하지 않는다. 또한, 선택적으로, 보안 정책에서의 사용자 평면 암호화 알고리즘이 타겟 사용자 평면 암호화 알고리즘으로서 사용되지 않을 때, 기지국이 사용자 평면 암호화 보호를 인에이블하는 경우, 기지국은 타겟 사용자 평면 암호화 알고리즘으로서 보안 정책에서의 사용자 평면 암호화 알고리즘과 상이한 사용자 평면 암호화 알고리즘 중 하나를 선택할 수 있다. 예를 들어, 기지국은 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘 중 하나를 타겟 사용자 평면 암호화 알고리즘으로서 선택할 수 있다. 더 많은 다른 구현들에 대해서는, 전술한 내용을 참조한다.
선택적으로, 보안 정책에서의 사용자 평면 암호화 알고리즘은 전술한 내용에 설명된 보안 정책에 포함되고 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘일 수 있거나, 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘, 및 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘 중 적어도 하나에 기초하여 SMF 엔티티에 의해 결정될 수 있다. 예를 들어, SMF 엔티티는 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 결정할 수 있다. 또 다른 예로서, SMF 엔티티는, 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고, 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하고, 또한 서빙 네트워크에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 결정할 수 있다.
보안 정책은 시그널링 평면 암호화 알고리즘을 포함할 수 있는데, 즉, 보안 정책은 시그널링 평면 암호화 알고리즘 및/또는 사용자 평면 암호화 알고리즘을 포함할 수 있다. 예를 들어, 보안 정책에 포함된 사용자 평면 암호화 알고리즘은 또한 시그널링 평면 암호화 알고리즘이며, 즉, 보안 정책에 포함된 암호화 알고리즘은 사용자 평면 암호화 보호와 시그널링 평면 암호화 보호 둘 다에 사용된다.
선택적으로, 도 2a에 도시된 실시예의 구현에서, 도 2a에 도시된 방법은 단말 디바이스가 타겟 사용자 평면 무결성 보호 알고리즘을 획득하는 것을 추가로 포함한다. 구체적으로, 다음과 같은 2가지 방식이 사용될 수 있다:
방식 1: 단말 디바이스는 기지국에 의해 전송된 타겟 사용자 평면 무결성 보호 알고리즘을 수신한다. 예를 들어, 도 2b의 단계 223에서, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하고, 그에 대응하여, 단말 디바이스는 기지국에 의해 전송된 타겟 사용자 평면 무결성 보호 알고리즘을 수신한다.
방식 2: 단말 디바이스는 타겟 사용자 평면 무결성 보호 알고리즘을 결정한다. 예를 들어, 단말 디바이스는 이전에 사용된 타겟 사용자 평면 무결성 보호 알고리즘을 여전히 사용한다. 또 다른 예로서, 단말 디바이스는 타겟 시그널링 평면 무결성 보호 알고리즘(타겟 시그널링 평면 무결성 보호 알고리즘이 기지국에 의해 단말 디바이스로 전송될 수 있음)을 타겟 사용자 평면 무결성 보호 알고리즘으로서 결정한다. 이러한 방식으로, 단말 디바이스에 의해 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선될 수 있다.
또한, 단말 디바이스는 타겟 사용자 평면 암호화 알고리즘을 추가로 결정할 수 있다. 예를 들어, 단말 디바이스는 이전에 사용된 타겟 사용자 평면 암호화 알고리즘을 여전히 사용한다. 또 다른 예로서, 단말 디바이스는 타겟 시그널링 평면 암호화 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 결정한다.
도 2에 도시된 실시예의 구현에서, 도 2에 도시된 방법은, 기지국이 타겟 사용자 평면 무결성 보호 알고리즘 및/또는 타겟 사용자 평면 암호화 알고리즘을 결정하는 것을 추가로 포함한다. 예를 들어, 단계 202에서 결정된 타겟 시그널링 평면 보호 알고리즘에서의 타겟 시그널링 평면 무결성 보호 알고리즘은 또한 타겟 사용자 평면 무결성 보호 알고리즘으로서 사용될 수 있고, 단계 202에서 결정된 타겟 시그널링 평면 보호 알고리즘에서의 타겟 시그널링 평면 암호화 알고리즘은 또한 타겟 사용자 평면 암호화 알고리즘으로서 사용될 수 있다.
선택적으로, 도 2, 도 2a, 및 도 2b에 도시된 실시예들의 구현에서, 그 방법은 다음을 추가로 포함한다:
기지국은 사용자 평면 무결성 보호를 인에이블하거나; 또는 단말 디바이스 및 기지국은 사용자 평면 무결성 보호를 인에이블하거나; 또는 단말 디바이스는 사용자 평면 무결성 보호를 인에이블한다.
이하에서는 기지국을 예로서 사용하여 사용자 평면 무결성 보호를 인에이블하거나 사용자 평면 암호화 보호를 인에이블하는 것에 대해 설명을 제공한다.
예를 들어, 기지국에 의해 사용자 평면 무결성 보호를 인에이블하기 위한 조건이 충족되면, 기지국은 사용자 평면 무결성 보호를 인에이블한다.
기지국에 의해 사용자 평면 무결성 보호를 인에이블하기 위한 조건은 다음과 같을 수 있다: 기지국은 세션 확립 수락 메시지와 같은 제1 미리 설정된 사용자 평면 메시지를 수신하거나; 또는 기지국은 세션 ID 또는 QoS 프로파일과 같은 사용자 평면 정보를 수신하고, 여기서 사용자 평면 정보는 미리 설정된 세션 ID 또는 미리 설정된 QoS 프로파일과 같은 미리 설정된 사용자 평면 정보일 수 있고, 미리 설정된 세션 ID는 특정된 세션 ID일 수 있거나; 또는 기지국은 현재 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하고, 예를 들어, 기지국은 단말 디바이스에 사용자 평면 자원을 할당하라고 요청하는 메시지를 수신하고, 기지국이 현재 단말 디바이스에 사용자 평면 자원을 재할당하고, 네트워크 실행 파라미터(network running parameter)가 미리 설정된 네트워크 허가 조건을 충족하는 경우, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있거나; 또는 기지국에 의해 수신된 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블하도록 지시하거나; 또는 기지국은 미리 설정된 세션 서비스 타입을 수신한다. 예를 들어, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 무결성 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 미리 설정된 세션 서비스 타입이 수신될 때 사용자 평면 무결성 보호가 인에이블될 수 있다.
기지국에 의해 사용자 평면 무결성 보호를 인에이블하기 위한 조건이 충족될 때, 기지국이 사용자 평면 무결성 보호를 인에이블하는 여러 특정 구현들에 대해서는, 이하의 구현 c1-a1 내지 구현 c1-a7을 참조한다.
구현 c1-a1
예를 들어, 미리 설정된 기간 내에 제1 미리 설정된 사용자 평면 메시지를 수신할 때, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있고, 제1 미리 설정된 사용자 평면 메시지는 세션 확립 수락 메시지일 수 있다.
예를 들어, 기지국이 미리 설정된 기간 내에 세션 확립 수락 메시지(세션 확립 완료라고도 지칭될 수 있음)를 수신하면, 그것은 기지국이 현재 세션 확립 절차에 있다는 것을 지시하고, 사용자 평면 시그널링 보안을 개선하기 위해, 사용자 평면 무결성 보호가 인에이블될 수 있다.
구현 c1-a2
미리 설정된 기간 내에 사용자 평면 정보를 수신하면, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있고, 사용자 평면 정보는 세션 ID 또는 미리 설정된 QoS 프로파일일 수 있다.
예를 들어, 기지국이 미리 설정된 기간 내에 임의의 세션 ID 또는 임의의 QoS 프로파일(선택적으로, N2 인터페이스로부터 수신될 수 있거나, 단말 디바이스 측으로부터 직접 획득될 수 있음)을 수신하면, 기지국은 현재 세션 확립 절차에 있고 사용자 평면 무결성 보호를 인에이블한다. 선택적으로, 시그널링 평면 보호가 또한 인에이블될 수 있다.
선택적으로, 시그널링 평면 보호를 인에이블하는 것은 시그널링 평면 무결성 보호를 인에이블하는 것과 시그널링 평면 암호화 보호를 인에이블하는 것 중 적어도 하나일 수 있다. 이 단락에서의 설명은 본 출원의 모든 실시예들에 적용가능하고, 다음의 내용에서 더 제공되지 않는다.
구현 c1-a3
미리 설정된 기간 내에 미리 설정된 사용자 평면 정보를 수신할 때, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있다. 미리 설정된 사용자 평면 정보는 미리 설정된 세션 ID 또는 미리 설정된 QoS 프로파일일 수 있다. 미리 설정된 사용자 평면 정보와 사용자 평면 무결성 보호를 인에이블할지 사이의 연관 관계가 기지국 상에 미리 설정되고, 미리 설정된 사용자 평면 정보와 사용자 평면 무결성 보호를 인에이블할지 사이의 연관 관계는 기지국 상에 미리 구성된 보안 정책의 일부로서 사용될 수 있다.
예를 들어, 사용자 평면 무결성 보호를 인에이블할지와 세션 ID 사이의 연관 관계가 설정된다. 따라서, 기지국이 미리 설정된 기간 내에 미리 설정된 세션 ID를 수신하면, 기지국은 사용자 평면 무결성 보호를 인에이블한다. 미리 설정된 세션 ID는 사용자 평면 무결성 보호를 인에이블할지와 세션 ID 사이의 연관 관계에서 사용자 평면 무결성 보호를 인에이블하는 것에 대응한다.
다른 예로서, 사용자 평면 무결성 보호를 인에이블할지와 QoS 프로파일 사이의 연관 관계가 설정된다. 따라서, 기지국이 미리 설정된 기간 내에 미리 설정된 QoS 프로파일을 수신하면, 기지국은 사용자 평면 무결성 보호를 인에이블한다. 미리 설정된 세션 ID는 사용자 평면 무결성 보호를 인에이블할지와 세션 ID 사이의 연관 관계에서 사용자 평면 무결성 보호를 인에이블하는 것에 대응한다.
또한, 사용자 평면 무결성 보호를 인에이블할지와 세션 ID 사이의 연관 관계는 기지국 상에 미리 설정될 수 있거나, 또는 기지국은 다른 네트워크 요소에 의해 전송된 업데이트된 연관 관계를 수신할 수 있다. 선택적으로, 기지국은, 미리 설정된 연관 관계 및 업데이트된 연관 관계에 기초하여, 사용자 평면 무결성 보호를 인에이블할지를 결정할 수 있다. 예를 들어, 사용자 평면 무결성 보호가 처음으로 인에이블될 때, 사용자 무결성 보호를 인에이블할지는 미리 설정된 연관 관계에 기초하여 결정될 수 있다. 업데이트된 연관 관계가 후속하여 존재할 때, 사용자 평면 무결성 보호를 인에이블할지는 또한 최신의 연관 관계에만 기초하여 결정될 수 있다. 특정 미리 설정된 연관 관계, 업데이트된 연관 관계, 및 네트워크 부하 상태와 조합하여 종합적인 결정을 추가로 수행할 수 있다. 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서 세션에 대해 원래 인에이블된 사용자 평면 무결성 보호가 디스에이블된다.
구현 c1-a4
기지국이 현재 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하는 경우, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있다. 예를 들어, 기지국이 미리 설정된 기간 내에, 단말 디바이스에 사용자 평면 자원을 할당하도록 요청하는 메시지를 수신하면, 기지국은 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하고, 절차는 사용자 평면 시그널링과 관련된다. 사용자 평면 시그널링의 보안을 개선하기 위해, 사용자 평면 무결성 보호가 인에이블될 수 있다.
구현 c1-a5
기지국이 현재 단말 디바이스에 사용자 평면 자원을 재할당하고, 네트워크 실행 파라미터가 미리 설정된 네트워크 허가 조건을 충족하는 경우, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있다. 네트워크 실행 파라미터는 네트워크 부하량 및/또는 패킷 손실률을 포함한다.
기지국에 의해 세션에 자원을 재할당하는 프로세스에서, 다음과 같은 2개의 선택적인 구현이 사용될 수 있다는 점에 유의해야 한다:
방식 1: 단말 디바이스의 세션에 이전에 할당된 자원에 대응하는 사용자 평면 보안 해결책이 여전히 사용된다. 예를 들어, 단말 디바이스의 세션에 이전에 할당된 자원은 사용자 평면 무결성 보호를 인에이블하는 것에 대응하고, 단말 디바이스의 세션에 대응하는 재할당된 자원은 또한 사용자 평면 무결성 보호를 인에이블하는 것에 대응한다.
방식 2: 세션에 대응하는 재할당된 자원에 대응하는 사용자 평면 보안 해결책이 기지국의 상태에 기초하여 재결정된다. 예를 들어, 기지국의 상태는 세션의 패킷 손실률이 너무 높다는 것을 보여준다. 사용자 평면 무결성 보호는 패킷 손실률을 증가시킬 수 있기 때문에, 사용자 평면 무결성 보호는 세션에 자원을 재할당하는 프로세스에서 디스에이블된다. 다른 예로서, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서, 세션에 대해 원래 인에이블된 사용자 평면 무결성 보호가 디스에이블된다.
분명히, 전술한 2개의 선택적인 구현이 조합될 수 있다. 예를 들어, 기지국이 세션에 자원을 재할당하고, 기지국의 상태가 정상인 경우, 사용자 평면 무결성 보호는 인에이블되어 유지되거나; 또는 기지국의 상태가 비정상인 경우, 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 사용자 평면 무결성 보호는 사용자 평면 무결성 보호가 세션에 대해 원래 인에이블되어 있다면 디스에이블된다. 다른 예로서, 세션의 패킷 손실률이 너무 높고, 따라서 자원이 세션에 재할당된다. 사용자 평면 무결성 보호가 패킷 손실률을 증가시킬 수 있기 때문에, 사용자 평면 무결성 보호가 디스에이블된다. 선택적으로, 이 경우는 보안 정책의 일부로서 기지국 상에 미리 구성될 수 있다(기지국 상에 미리 구성된 보안 정책은 또한 전술한 내용에서 기지국 상에 미리 구성된 보안 정책일 수 있다).
구현 c1-a6
기지국에 의해 수신된 보안 정책이 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보가 사용자 평면 무결성 보호를 인에이블하도록 지시하는 경우에, 기지국은 사용자 평면 무결성 보호를 인에이블할 수 있다. 선택적으로, 무결성 보호 지시 정보는 무결성 보호 알고리즘의 식별자, 비트 지시 정보, 또는 미리 설정된 정보일 수 있다. 예를 들어, 무결성 보호 지시 정보는 SMF 엔티티에 의해 전송될 수 있다. SMF 엔티티의 사용자 평면 무결성 보호 조건이 충족된다고 결정되면, SMF 엔티티는 사용자 평면 무결성 보호를 인에이블하도록 지시하는 무결성 보호 지시 정보를 전송한다. SMF 엔티티가 SMF 엔티티의 사용자 평면 무결성 보호 조건이 충족된다고 결정하는 복수의 구현이 있을 수 있거나, 또는 구현 c1-a1 내지 구현 c1-a5에서 설명된 기지국의 구현을 참조할 수 있다.
구현 c1-a7
보안 정책은 기지국 상에 미리 구성될 수 있고, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 무결성 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 기지국에 의한 사용자 평면 무결성 보호를 인에이블하기 위한 조건은, 기지국 상에 미리 구성된 보안 정책이 미리 설정된 세션 서비스 타입을 포함하는 것일 수 있다. 예를 들어, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 무결성 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 미리 설정된 세션 서비스 타입이 수신되면, 사용자 평면 무결성 보호가 인에이블될 수 있다. 선택적으로, 기지국이 네트워크 요소에 의해 전송된 보안 정책을 수신하지 않으면, 기지국 상의 미리 구성된 보안 정책이 사용될 수 있다.
예를 들어, 기지국 상의 미리 구성된 보안 정책은 사용자 평면 데이터(예를 들어, 서비스 타입)의 차원으로 특정될 수 있다. 예를 들어, 사용자 평면 무결성 보호가 VoIP 서비스에 대응하는 절차를 위해 인에이블되지 않는다는 것이 기지국 상의 미리 구성된 보안 정책에 특정된다. 따라서, 현재 세션이 VoIP 서비스에 대응한다고 결정하면, 기지국은 사용자 평면 무결성 보호를 인에이블하지 않는다.
또한, 보안 정책은 기지국 상에 미리 구성될 수 있거나, 다른 네트워크 요소에 의해 전송되고 기지국에 의해 수신되는 업데이트된 보안 정책일 수 있다. 선택적으로, 기지국은, 미리 구성된 보안 정책 및 업데이트된 보안 정책에 기초하여, 사용자 무결성 보호를 인에이블할지를 결정할 수 있다. 예를 들어, 사용자 평면 무결성 보호가 처음으로 인에이블될 때, 사용자 무결성 보호를 인에이블할지는 미리 구성된 보안 정책에 기초하여 결정될 수 있다. 업데이트된 보안 정책이 후속하여 존재할 때, 사용자 평면 무결성 보호를 인에이블할지는 또한 최신 보안 정책에만 기초하여 결정될 수 있다. 특정 미리 구성된 보안 정책, 업데이트된 보안 정책, 및 네트워크 부하 상태와 조합하여 종합적인 결정을 추가로 수행할 수 있다. 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서 세션에 대해 원래 인에이블된 사용자 평면 무결성 보호가 디스에이블된다.
추가로, 선택적으로, 방법은 기지국이 무결성 보호 지시 정보를 단말 디바이스에 전송하는 것을 추가로 포함하며, 암호화 지시 정보는 사용자 평면 무결성 보호를 인에이블하도록 지시하는데 사용된다. 무결성 보호 지시 정보는 기지국에 의해 수신된 보안 정책에 포함된 무결성 보호 지시 정보일 수 있다.
선택적으로, 도 2, 도 2a, 및 도 2b에 도시된 실시예들의 다른 구현에서, 그 방법은 다음을 추가로 포함한다:
기지국이 사용자 평면 암호화 보호를 인에이블하거나; 또는 단말 디바이스와 기지국이 사용자 평면 암호화 보호를 인에이블하거나; 또는 단말 디바이스가 사용자 평면 암호화 보호를 인에이블한다.
예를 들어, 기지국에 의한 사용자 평면 암호화 보호를 인에이블하기 위한 조건이 충족되면, 기지국은 사용자 평면 암호화 보호를 인에이블한다.
기지국에 의한 사용자 평면 암호화 보호를 인에이블하기 위한 조건은 다음과 같을 수 있다: 기지국은 세션 확립 수락 메시지와 같은 제1 미리 설정된 사용자 평면 메시지를 수신하거나; 또는 기지국은 세션 ID 또는 QoS 프로파일과 같은 사용자 평면 정보를 수신한다. 사용자 평면 정보는 미리 설정된 세션 ID 또는 미리 설정된 QoS 프로파일과 같은 미리 설정된 사용자 평면 정보일 수 있고, 미리 설정된 세션 ID는 특정된 세션 ID일 수 있거나; 또는 기지국은 현재 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하고, 예를 들어, 기지국은 단말 디바이스에 사용자 평면 자원을 할당하라고 요청하는 메시지를 수신하거나; 또는 기지국에 의해 수신된 보안 정책은 암호화 지시 정보를 포함하고, 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블하도록 지시하거나; 또는 기지국은 미리 설정된 세션 서비스 타입을 수신한다. 예를 들어, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 암호화 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 사용자 평면 암호화 보호는 미리 설정된 세션 서비스 타입이 수신될 때 인에이블될 수 있거나; 또는 사용자 평면 암호화 보호는 시그널링 평면 보호가 인에이블될 때 인에이블될 수 있다.
또한, 선택적으로, 방법은 기지국이 암호화 지시 정보를 단말 디바이스에 전송하는 것을 추가로 포함한다. 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블하도록 지시하는데 사용된다. 암호화 지시 정보는 기지국에 의해 수신되는 보안 정책에 포함된 암호화 지시 정보일 수 있다.
기지국에 의한 사용자 평면 암호화 보호를 인에이블하기 위한 조건이 충족되면, 기지국이 사용자 평면 암호화 보호를 인에이블하는 여러 특정 구현들에 대해서는, 다음의 구현 c1-b1 내지 구현 c1-b8을 참조한다.
구현 c1-b1
예를 들어, 미리 설정된 기간 내에 제1 미리 설정된 사용자 평면 메시지를 수신하면, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있고, 제1 미리 설정된 사용자 평면 메시지는 세션 확립 수락 메시지일 수 있다.
예를 들어, 기지국이 미리 설정된 기간 내에 세션 확립 수락 메시지(세션 확립 완료로도 지칭될 수 있음)를 수신하면, 그것은 기지국이 현재 세션 확립 절차에 있다는 것을 지시하고, 사용자 평면 시그널링 보안을 개선하기 위해, 사용자 평면 암호화 보호가 인에이블될 수 있다.
구현 c1-b2
미리 설정된 기간 내에 사용자 평면 정보를 수신하면, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있고, 사용자 평면 정보는 세션 ID 또는 미리 설정된 QoS 프로파일일 수 있다.
예를 들어, 기지국이 미리 설정된 기간 내에 임의의 세션 ID 또는 임의의 QoS 프로파일(선택적으로, N2 인터페이스로부터 수신될 수 있거나, 단말 디바이스 측으로부터 직접 획득될 수 있음)을 수신하면, 기지국은 현재 세션 확립 절차에 있고 사용자 평면 암호화 보호를 인에이블한다. 선택적으로, 시그널링 평면 보호가 또한 인에이블될 수 있다.
선택적으로, 시그널링 평면 보호를 인에이블하는 것은 시그널링 평면 무결성 보호를 인에이블하는 것과 시그널링 평면 암호화 보호를 인에이블하는 것 중 적어도 하나일 수 있다. 이 단락에서의 설명은 본 출원의 모든 실시예들에 적용가능하고, 다음의 내용에서 더 제공되지 않는다.
구현 c1-b3
미리 설정된 기간 내에 미리 설정된 사용자 평면 정보를 수신하면, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있다. 미리 설정된 사용자 평면 정보는 미리 설정된 세션 ID 또는 미리 설정된 QoS 프로파일일 수 있다. 미리 설정된 사용자 평면 정보와 사용자 평면 암호화 보호를 인에이블할지 사이의 연관 관계가 기지국 상에 미리 설정되고, 미리 설정된 사용자 평면 정보와 사용자 평면 암호화 보호를 인에이블할지 사이의 연관 관계는 기지국 상의 미리 구성된 보안 정책의 일부로서 사용될 수 있다.
예를 들어, 사용자 평면 암호화 보호를 인에이블할지와 세션 ID 사이의 연관 관계가 설정된다. 따라서, 기지국이 미리 설정된 기간 내에 미리 설정된 세션 ID를 수신하는 경우, 기지국은 사용자 평면 암호화 보호를 인에이블한다. 미리 설정된 세션 ID는 사용자 평면 암호화 보호를 인에이블할지와 세션 ID 사이의 연관 관계에서 사용자 평면 암호화 보호를 인에이블하는 것에 대응한다.
다른 예로서, 사용자 평면 암호화 보호를 인에이블할지와 QoS 프로파일 사이의 연관 관계가 설정된다. 따라서, 기지국이 미리 설정된 기간 내에 미리 설정된 QoS 프로파일을 수신하는 경우, 기지국은 사용자 평면 암호화 보호를 인에이블한다. 미리 설정된 QoS 프로파일은 사용자 평면 암호화 보호를 인에이블할지와 세션 ID 사이의 연관 관계에서 사용자 평면 암호화 보호를 인에이블하는 것에 대응한다.
또한, 사용자 평면 암호화 보호를 인에이블할지와 세션 ID 사이의 연관 관계는 기지국 상에 미리 설정될 수 있거나, 또는 기지국은 다른 네트워크 요소에 의해 전송된 업데이트된 연관 관계를 수신할 수 있다. 선택적으로, 기지국은, 미리 설정된 연관 관계 및 업데이트된 연관 관계에 기초하여, 사용자 암호화 보호를 인에이블할지를 결정할 수 있다. 예를 들어, 사용자 평면 암호화 보호가 처음으로 인에이블될 때, 사용자 암호화 보호를 인에이블할지는 미리 설정된 연관 관계에 기초하여 결정될 수 있다. 업데이트된 연관 관계가 후속하여 존재할 때, 사용자 평면 암호화 보호를 인에이블할지는 또한 최신 연관 관계에만 기초하여 결정될 수 있다. 특정 미리 설정된 연관 관계, 업데이트된 연관 관계, 및 네트워크 부하 상태와 조합하여 종합적인 결정을 추가로 수행할 수 있다. 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서 세션에 대해 원래 인에이블된 사용자 평면 암호화 보호가 디스에이블된다.
구현 c1-b4
기지국이 현재 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하는 경우, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있다. 예를 들어, 기지국이 미리 설정된 기간 내에, 단말 디바이스에 사용자 평면 자원을 할당하도록 요청하는 메시지를 수신하면, 기지국은 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하고, 절차는 사용자 평면 시그널링과 관련된다. 사용자 평면 시그널링의 보안을 개선하기 위해, 사용자 평면 암호화 보호가 인에이블될 수 있다.
구현 c1-b5
기지국이 현재 단말 디바이스에 사용자 평면 자원을 재할당하고, 네트워크 실행 파라미터가 미리 설정된 네트워크 허가 조건을 충족하면, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있다. 네트워크 실행 파라미터는 네트워크 부하량 및/또는 패킷 손실률을 포함한다.
기지국에 의해 세션에 자원을 재할당하는 프로세스에서, 다음과 같은 2개의 선택적인 구현이 사용될 수 있다는 점에 유의해야 한다:
방식 1: 단말 디바이스의 세션에 이전에 할당된 자원에 대응하는 사용자 평면 보안 해결책이 여전히 사용된다. 예를 들어, 단말 디바이스의 세션에 이전에 할당된 자원은 사용자 평면 암호화 보호를 인에이블하는 것에 대응하고, 단말 디바이스의 세션에 대응하는 재할당된 자원은 또한 사용자 평면 암호화 보호를 인에이블하는 것에 대응한다.
방식 2: 세션에 대응하는 재할당된 자원에 대응하는 사용자 평면 보안 해결책이 기지국의 상태에 기초하여 재결정된다. 예를 들어, 기지국의 상태는 세션의 패킷 손실률이 너무 높다는 것을 보여준다. 사용자 평면 암호화 보호는 패킷 손실률을 증가시킬 수 있기 때문에, 세션에 자원을 재할당하는 프로세스에서 사용자 평면 암호화 보호가 디스에이블된다. 다른 예로서, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서, 세션에 대해 원래 인에이블된 사용자 평면 암호화 보호가 디스에이블된다.
분명히, 전술한 2개의 선택적인 구현이 조합될 수 있다. 예를 들어, 기지국이 세션에 자원을 재할당하고, 기지국의 상태가 정상이면, 사용자 평면 암호화 보호가 인에이블되어 유지되거나; 또는 기지국의 상태가 비정상이면, 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당한다면, 사용자 평면 암호화 보호가 세션에 대해 원래 인에이블되는 경우 사용자 평면 암호화 보호가 디스에이블된다. 다른 예로서, 세션의 패킷 손실률이 너무 높고, 따라서 자원이 세션에 재할당된다. 사용자 평면 암호화 보호가 패킷 손실률을 증가시킬 수 있기 때문에, 사용자 평면 암호화 보호가 디스에이블된다. 선택적으로, 이 경우는 보안 정책의 일부로서 기지국 상에 미리 구성될 수 있다(기지국 상에 미리 구성된 보안 정책은 또한 전술한 내용에서 기지국 상에 미리 구성된 보안 정책일 수 있다).
구현 c1-b6
기지국에 의해 수신되는 보안 정책이 암호화 보호 지시 정보를 포함하고, 암호화 보호 지시 정보가 사용자 평면 암호화 보호를 인에이블하도록 지시하는 경우, 기지국은 사용자 평면 암호화 보호를 인에이블할 수 있다. 선택적으로, 암호화 보호 지시 정보는 암호화 알고리즘의 식별자, 비트 지시 정보, 또는 미리 설정된 정보일 수 있다. 예를 들어, 암호화 보호 지시 정보는 SMF 엔티티에 의해 전송될 수 있다. SMF 엔티티의 사용자 평면 암호화 보호 조건이 충족된다고 결정하면, SMF 엔티티는 사용자 평면 암호화 보호를 인에이블하도록 지시하는 암호화 보호 지시 정보를 전송한다. SMF 엔티티가 SMF 엔티티의 사용자 평면 암호화 보호 조건이 충족된다고 결정하는 복수의 구현이 있을 수 있거나, 구현 c1-b1 내지 구현 c1-b5에서 설명된 기지국의 구현을 참조할 수 있다.
구현 c1-b7
보안 정책은 기지국 상에 미리 구성될 수 있고, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 암호화 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 기지국에 의해 사용자 평면 암호화 보호를 인에이블하기 위한 조건은 기지국 상에 미리 설정된 보안 정책에 포함된 미리 설정된 세션 서비스 타입일 수 있다. 예를 들어, 미리 구성된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 암호화 보호의 인에이블 사이의 연관 관계를 포함할 수 있다. 미리 설정된 세션 서비스 타입이 수신되면, 사용자 평면 암호화 보호가 인에이블될 수 있다. 선택적으로, 기지국이 네트워크 요소에 의해 전송된 보안 정책을 수신하지 않으면, 기지국 상의 미리 구성된 보안 정책이 사용될 수 있다.
예를 들어, 기지국 상의 미리 구성된 보안 정책은 사용자 평면 데이터(예를 들어, 서비스 타입)의 차원으로 특정될 수 있다. 예를 들어, 사용자 평면 암호화 보호가 VoIP 서비스에 대응하는 절차를 위해 인에이블되지 않는다는 것이 기지국 상의 미리 구성된 보안 정책에 특정된다. 따라서, 현재 세션이 VoIP 서비스에 대응한다고 결정하면, 기지국은 사용자 평면 암호화 보호를 인에이블하지 않는다.
또한, 보안 정책은 기지국 상에 미리 구성될 수 있거나, 다른 네트워크 요소에 의해 전송되고 기지국에 의해 수신되는 업데이트된 보안 정책일 수 있다. 선택적으로, 기지국은, 미리 구성된 보안 정책 및 업데이트된 보안 정책에 기초하여, 사용자 암호화 보호를 인에이블할지를 결정할 수 있다. 예를 들어, 사용자 평면 암호화 보호가 처음으로 인에이블될 때, 사용자 암호화 보호를 인에이블할지는 미리 구성된 보안 정책에 기초하여 결정될 수 있다. 업데이트된 보안 정책이 후속하여 존재할 때, 사용자 평면 암호화 보호를 인에이블할지는 또한 최신 보안 정책에만 기초하여 결정될 수 있다. 특정 미리 구성된 보안 정책, 업데이트된 보안 정책, 및 네트워크 부하 상태와 조합하여 종합적인 결정을 추가로 수행할 수 있다. 예를 들어, 기지국이 과부하로 인해 세션에 자원을 재할당하는 경우, 세션에 자원을 재할당하는 프로세스에서 세션에 대해 원래 인에이블된 사용자 평면 암호화 보호가 디스에이블된다.
구현 c1-b8
시그널링 평면 보호를 인에이블할 때(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호를 인에이블할 때), 기지국은 또한 사용자 평면 암호화 보호를 인에이블할 수 있다. 예를 들어, 도 2에 도시된 구현에서, 단계 202 후에, 선택적인 구현이 추가로 포함된다: 시그널링 평면 보호를 인에이블할 때, 기지국은 또한 사용자 평면 암호화 보호를 인에이블한다.
이 구현에서, 단말 디바이스와 기지국이 시그널링 평면 보호를 인에이블하고 사용자 평면 무결성 보호 및 사용자 평면 암호화 보호를 인에이블하지 않는 경우, 사용자 평면 무결성 보호 및 사용자 평면 암호화 보호가 인에이블될 때, 시그널링 평면 보호를 인에이블하는 상태가 유지될 수 있다. 이 구현에서, 기지국은 무결성 보호 지시 정보 및 암호화 지시 정보를 단말 디바이스에 전송할 수 있다. 이러한 방식으로, 한편으로, 단말 디바이스는 현재 시그널링 평면 보호의 인에이블된 상태를 유지할 수 있다(예를 들어, 단말 디바이스가 이전에 시그널링 평면 무결성 보호를 인에이블하지만 시그널링 평면 암호화 보호를 인에이블하지 않는 경우, 시그널링 평면 무결성 보호를 인에이블하지만 시그널링 평면 암호화 보호를 인에이블하지 않는 상태가 유지된다). 다른 한편으로, 단말 디바이스는 무결성 보호 지시 정보에 기초하여 사용자 평면 무결성 보호를 인에이블하고, 암호화 지시 정보에 기초하여 사용자 평면 암호화 보호를 인에이블한다.
다른 선택적인 구현에서, 단말 디바이스와 기지국이 시그널링 평면 보호를 인에이블하고 사용자 평면 암호화 보호를 인에이블하지만 사용자 평면 무결성 보호를 인에이블하지 않는 경우, 사용자 평면 무결성 보호가 인에이블되면, 기지국은 사용자 평면 무결성 보호를 인에이블하기 위해 사용되는 무결성 보호 지시 정보만을 단말 디바이스에 전송할 수 있다. 한편, 단말 디바이스는 현재 시그널링 평면 보호의 인에이블된 상태를 유지할 수 있다(예를 들어, 단말 디바이스가 이전에 시그널링 평면 무결성 보호를 인에이블하지만 시그널링 평면 암호화 보호를 인에이블하지 않는 경우, 시그널링 평면 무결성 보호를 인에이블하지만 시그널링 평면 암호화 보호를 인에이블하지 않는 상태가 유지된다). 다른 한편으로, 단말 디바이스는 무결성 보호 지시 정보에 기초하여 사용자 평면 무결성 보호를 인에이블하고, 암호화 보호를 지속적으로 인에이블한다. 다른 선택적인 구현에서, 암호화 지시 정보는 사용자 평면 암호화 보호를 지속적으로 인에이블하도록 지시하기 위해 다시 전송될 수 있다.
이하에서는, 단말 디바이스를 예로서 사용하여 사용자 평면 무결성 보호를 인에이블하거나 사용자 평면 암호화 보호를 인에이블하는 것에 대해 설명을 제공한다.
단말 디바이스에 의한 사용자 평면 무결성 보호를 인에이블하기 위한 조건이 충족되면, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블한다.
단말 디바이스에 의해 사용자 평면 무결성 보호를 인에이블하기 위한 조건은 다음과 같을 수 있다: 단말 디바이스는 기지국에 의해 전송되는 무결성 보호 지시 정보를 수신하거나 - 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블하도록 지시함 - ; 또는 단말 디바이스는 제2 미리 설정된 사용자 평면 메시지, 예를 들어, 세션 확립 요청 메시지를 전송한다.
단말 디바이스에 의해 사용자 평면 무결성 보호를 인에이블하기 위한 조건이 충족되면, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하는 여러 특정 구현들에 대해서는, 다음의 구현 c1-c1 및 구현 c1-c2를 참조한다.
구현 c1-c1
도 2a 및 도 2b에 도시된 실시예들의 선택적인 구현에서, 단계 211 후에, 방법은 기지국이 무결성 보호 지시 정보를 단말 디바이스에 전송하는 것을 추가로 포함하며, 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블할지를 지시하는데 사용된다. 무결성 보호 지시 정보는 도 2b의 단계 221에서 기지국에 의해 획득된 보안 정책에 포함된 무결성 보호 지시 정보일 수 있거나, 전술한 구현들 c1-a1 내지 c1-a7 중 어느 하나에서 기지국에 의해 결정될 수 있다.
단말 디바이스가 무결성 보호 지시 정보를 수신하고, 무결성 보호 지시 정보가 사용자 평면 무결성 보호를 인에이블하도록 지시할 때, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블할 수 있다.
구현 c1-c2
예를 들어, 단말 디바이스는 미리 설정된 기간 내에 세션 확립 요청 메시지를 전송하고, 단말 디바이스는 현재 세션 확립 절차에 있다. 이 경우, 사용자 평면 보안을 개선하기 위해, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블할 수 있다.
또한, 선택적으로, 단말 디바이스가 구현 c1-c2를 사용하고, 단말 디바이스가 무결성 보호 지시 정보를 추가로 수신하면, 구현 c1-c2와 무결성 보호 지시 정보 사이에 충돌이 있는 경우, 단말 디바이스는 수신된 무결성 보호 지시 정보에 기초하여 사용자 평면 무결성 보호를 인에이블할지를 결정한다.
도 2a 및 도 2b에 도시된 실시예들의 선택적인 구현에서, 단계 211 후에, 방법은 기지국이 암호화 지시 정보를 단말 디바이스에 전송하는 것을 추가로 포함하며, 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블할지를 지시하는데 사용된다. 암호화 지시 정보는 도 2b의 단계 221에서 기지국에 의해 획득된 보안 정책에 포함된 암호화 지시 정보일 수 있거나, 전술한 구현들 c1-a1 내지 c1-a7 중 어느 하나에서 기지국에 의해 결정될 수 있다.
예를 들어, 단말 디바이스가 암호화 지시 정보를 수신하고, 암호화 지시 정보가 사용자 평면 암호화 보호를 인에이블하도록 지시할 때, 단말 디바이스는 사용자 평면 암호화 보호를 인에이블할 수 있다.
예를 들어, 미리 설정된 기간 내에 제2 미리 설정된 사용자 평면 메시지를 전송할 때, 단말 디바이스는 사용자 평면 암호화 보호를 인에이블할 수 있다. 예를 들어, 단말 디바이스는 미리 설정된 기간 내에 세션 확립 요청 메시지를 전송하고, 단말 디바이스는 현재 세션 확립 절차에 있다. 이 경우, 사용자 평면 보안을 개선하기 위해, 단말 디바이스는 사용자 평면 암호화 보호를 인에이블할 수 있다.
또한, 선택적으로, 단말 디바이스가 구현 c1-c2를 사용하고, 단말 디바이스가 암호화 지시 정보를 추가로 수신하면, 구현 c1-c2와 암호화 지시 정보 사이에 충돌이 있는 경우, 단말 디바이스는 수신된 암호화 지시 정보에 기초하여 사용자 평면 암호화 보호를 인에이블할지를 결정한다.
또 다른 예로서, 시그널링 평면 보호를 인에이블할 때(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호를 인에이블할 때), 단말 디바이스는 또한 사용자 평면 암호화 보호를 인에이블할 수 있다. 예를 들어, 도 2에 도시된 구현에서, 단계 203과 단계 204 사이에서, 방법은 시그널링 평면 보호를 인에이블할 때, 기지국이 또한 사용자 평면 암호화 보호를 인에이블할 수 있는 것을 추가로 포함한다.
단말 디바이스는, 미리 설정된 기간 내에 제2 미리 설정된 사용자 평면 메시지를 전송할지에 기초하여, 시그널링 평면 보호(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호)를 인에이블할지를 결정할 수 있다. 제2 미리 설정된 시그널링 평면 메시지는 등록 요청 또는 서비스 요청을 포함할 수 있다. 구체적으로, 현재 절차에 기초하여, 단말 디바이스가 현재 등록 요청(또는 서비스 요청)을 개시한다고 결정되면, 현재 절차가 등록 절차(또는 서비스 절차)라고 결정된다. 사용자 평면 자원 할당 정보가 그 절차에서 수신되지 않기 때문에, 단말 디바이스는 시그널링 평면 보호를 인에이블할 수 있다.
또한, 선택적으로, 단말 디바이스는 수신된 시그널링 평면 무결성 보호 지시 정보에 기초하여 시그널링 평면 무결성 보호를 인에이블할지를 결정할 수 있고, 수신된 시그널링 평면 암호화 지시 정보에 기초하여 시그널링 평면 암호화 보호를 인에이블할지를 결정할 수 있다. 단말 디바이스에 의해 수신되는 시그널링 평면 무결성 보호 지시 정보 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 또한 다른 네트워크 요소에 의해 기지국에 전송되고, 그 후 기지국에 의해 단말 디바이스에 포워딩될 수 있다. 다른 네트워크 요소는, 예를 들어, SMF 엔티티일 수 있다.
선택적으로, 도 2, 도 2a, 및 도 2b에 도시된 실시예들의 구현에서, 그 방법은 다음을 추가로 포함한다:
기지국은 사용자 평면 무결성 보호를 인에이블하지 않거나; 또는 단말 디바이스와 기지국은 사용자 평면 무결성 보호를 인에이블하지 않는다.
이하에서는 설명을 위해 기지국이 사용자 평면 무결성 보호를 인에이블하지 않는 예를 사용한다.
기지국에 의해 사용자 평면 무결성 보호를 인에이블하지 않기 위한 조건이 충족되면, 기지국은 사용자 평면 무결성 보호를 인에이블하지 않는다.
기지국에 의해 사용자 평면 무결성 보호를 인에이블하지 않기 위한 조건은 다음과 같을 수 있다: 기지국은 등록 요청 완료 메시지 또는 서비스 요청 완료 메시지와 같은 제1 미리 설정된 시그널링 평면 메시지를 수신하거나; 또는 기지국은 미리 설정된 기간 내에 세션 ID, QoS 프로파일, 미리 설정된 세션 ID, 또는 미리 설정된 QoS 프로파일과 같은 사용자 평면 정보 또는 미리 설정된 사용자 평면 정보를 수신하지 않거나; 또는 기지국은, 미리 설정된 기간 내에, 자원 할당 요청 메시지와 같은, 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하라고 요청하는 메시지를 수신하지 않거나; 또는 기지국에 의해 수신된 보안 정책에 포함된 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블하지 않도록 지시하거나; 또는 세션 서비스 타입은 미리 설정된 세션 서비스 타입이 아니고, 예를 들어, 미리 설정된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 무결성 보호의 인에이블 사이의 연관 관계를 포함할 수 있고, 미리 설정된 세션 서비스 타입이 수신되지 않으면 사용자 평면 무결성 보호는 인에이블되지 않을 수 있다.
예를 들어, 미리 설정된 디폴트 조건이 기지국이 항상 사용자 평면 무결성 보호를 인에이블하지 않는다는 것을 지시할 때, 사용자 평면 무결성 보호 키가 생성되지 않는다.
선택적으로, 도 2, 도 2a, 및 도 2b에 도시된 실시예들의 구현에서, 그 방법은 다음을 추가로 포함한다:
기지국은 사용자 평면 암호화 보호를 인에이블하지 않거나; 또는 단말 디바이스와 기지국은 사용자 평면 암호화 보호를 인에이블하지 않는다.
이하에서는 설명을 위해 기지국이 사용자 평면 암호화 보호를 인에이블하지 않는 예를 사용한다.
기지국에 의해 사용자 평면 암호화 보호를 인에이블하지 않기 위한 조건이 충족되면, 기지국은 사용자 평면 암호화 보호를 인에이블하지 않는다.
기지국에 의해 사용자 평면 암호화 보호를 인에이블하지 않기 위한 조건은 다음과 같을 수 있다: 기지국은 등록 요청 완료 메시지 또는 서비스 요청 완료 메시지와 같은 제1 미리 설정된 시그널링 평면 메시지를 수신하거나; 또는 기지국은 미리 설정된 기간 내에 세션 ID, QoS 프로파일, 미리 설정된 세션 ID, 또는 미리 설정된 QoS 프로파일과 같은 사용자 평면 정보 또는 미리 설정된 사용자 평면 정보를 수신하지 않거나; 또는 기지국은, 미리 설정된 기간 내에, 자원 할당 요청 메시지와 같은, 단말 디바이스에 사용자 평면 자원을 할당하거나 단말 디바이스에 사용자 평면 자원을 재할당하라고 요청하는 메시지를 수신하지 않거나; 또는 기지국에 의해 수신되는 보안 정책에 포함된 암호화 보호 지시 정보는 사용자 평면 암호화 보호를 인에이블하지 않도록 지시하거나; 또는 세션 서비스 타입은 미리 설정된 세션 서비스 타입이 아니고, 예를 들어, 미리 설정된 보안 정책은 미리 설정된 세션 서비스 타입과 사용자 평면 암호화 보호의 인에이블 사이의 연관 관계를 포함할 수 있다.
예를 들어, 미리 설정된 디폴트 조건이 기지국이 항상 사용자 평면 암호화 보호를 인에이블하지 않는다는 것을 지시할 때, 사용자 평면 암호화 키가 생성되지 않는다.
이하에서는 설명을 위해 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하지 않는 예를 사용한다.
단말 디바이스에 의해 사용자 평면 무결성 보호를 인에이블하지 않기 위한 조건이 충족되면, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블하지 않는다.
단말 디바이스에 의해 사용자 평면 무결성 보호를 인에이블하지 않기 위한 조건은 다음과 같을 수 있다: 단말 디바이스는 미리 설정된 기간 내에 세션 확립 요청 메시지와 같은 제2 미리 설정된 사용자 평면 메시지를 전송하지 않거나; 또는 단말 디바이스는 기지국에 의해 전송되는 무결성 보호 지시 정보를 수신하고, 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블하지 않도록 지시하거나; 또는 단말 디바이스는 미리 설정된 기간 내에 등록 요청 완료 메시지 또는 서비스 요청 완료 메시지와 같은 제1 미리 설정된 시그널링 평면 메시지를 수신한다.
예를 들어, 미리 설정된 디폴트 조건이 단말 디바이스가 항상 사용자 평면 무결성 보호를 인에이블하지 않는다는 것을 지시할 때, 사용자 평면 무결성 보호 키가 생성되지 않는다.
예를 들어, 미리 설정된 디폴트 조건이 기지국이 항상 사용자 평면 암호화 보호를 인에이블하지 않는다는 것을 지시할 때, 사용자 평면 암호화 키가 생성되지 않는다.
이하에서는 설명을 위해 단말 디바이스가 사용자 평면 암호화 보호를 인에이블하지 않는 예를 사용한다.
단말 디바이스에 의해 사용자 평면 암호화 보호를 인에이블하지 않기 위한 조건이 충족되면, 단말 디바이스는 사용자 평면 암호화 보호를 인에이블하지 않는다.
단말 디바이스에 의해 사용자 평면 암호화 보호를 인에이블하지 않기 위한 조건은 다음과 같을 수 있다: 단말 디바이스는 미리 설정된 기간 내에 세션 확립 요청 메시지와 같은 제2 미리 설정된 사용자 평면 메시지를 전송하지 않거나; 또는 단말 디바이스는 기지국에 의해 전송되는 암호화 보호 지시 정보를 수신하고, 암호화 보호 지시 정보는 사용자 평면 암호화 보호를 인에이블하지 않도록 지시한다.
예를 들어, 미리 설정된 디폴트 조건이 단말 디바이스가 항상 사용자 평면 암호화 보호를 인에이블하지 않는다는 것을 지시할 때, 사용자 평면 암호화 키가 생성되지 않는다.
단말 디바이스 또는 기지국이 사용자 평면 무결성 보호를 인에이블하지 않는 복수의 구현이 있으며, 이는 다음과 같다:
사용자 평면 무결성 보호를 인에이블하지 않는 방식 1: 단말 디바이스 또는 기지국이 사용자 평면 무결성 보호를 인에이블하지 않는다는 것은, 사용자 평면 무결성 보호 키를 생성하지만, 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 무결성 보호를 수행하지 않는 것일 수 있다. 즉, 사용자 평면 무결성 보호가 인에이블되지 않을 때, 사용자 평면 무결성 보호 키가 먼저 생성될 수 있지만, 사용자 평면 무결성 보호 키는 사용되지 않고; 그 후, 사용자 평면 무결성 보호가 인에이블될 때, 사용자 평면 무결성 보호 키는 사용자 평면 무결성 보호를 수행하는데 사용된다.
사용자 평면 무결성 보호를 인에이블하지 않는 방식 1에서, 단말 디바이스가 사용자 평면 무결성 보호 키를 생성하기 전에 사용자 평면 무결성 보호 알고리즘이 획득된다. 예를 들어, 시그널링 평면 무결성 보호 알고리즘이 사용자 평면 무결성 보호 알고리즘으로서 사용될 수 있다.
사용자 평면 무결성 보호를 인에이블하지 않는 방식 2: 단말 디바이스 또는 기지국이 사용자 평면 무결성 보호를 인에이블하지 않는다는 것은 사용자 평면 무결성 보호 키를 생성하고, 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 무결성 보호를 수행하는 것일 수 있다. 즉, 사용자 평면 무결성 보호를 인에이블할지가 결정될 수 없거나 사용자 평면 무결성 보호를 인에이블하지 않는 것으로 결정되는 경우, 사용자 평면 무결성 보호 키는 생성되지 않을 수 있고, 사용자 평면 무결성 보호 키는 사용자 평면 무결성 보호가 인에이블될 때 생성된다.
대응하여, 예를 들어, 단말 디바이스 및 기지국에 대해, 단말 디바이스 및 기지국이 항상 사용자 평면 무결성 보호를 인에이블하지 않는 것으로 결정되는 경우(예를 들어, 미리 설정된 조건일 수 있음), 사용자 평면 무결성 보호 키는 생성되지 않을 수 있다.
기지국과 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하지 않는 구현들은 동일할 수 있거나 상이할 수 있다. 예를 들어, 기지국과 단말 디바이스 둘 다는 사용자 평면 무결성 보호를 인에이블하지 않는 방식 1을 사용하거나; 또는 단말 디바이스는 사용자 평면 무결성 보호를 인에이블하지 않는 방식 1을 사용하고, 기지국은 사용자 평면 무결성 보호를 인에이블하지 않는 방식 2를 사용한다.
단말 디바이스 또는 기지국이 사용자 평면 암호화 보호를 인에이블하지 않는 복수의 구현이 있으며, 이는 다음과 같다:
사용자 평면 암호화 보호를 인에이블하지 않는 방식 1: 단말 디바이스 또는 기지국이 사용자 평면 암호화 보호를 인에이블하지 않는다는 것은 사용자 평면 암호화 보호 키를 생성하지만, 사용자 평면 암호화 보호 키를 사용하여 사용자 평면 암호화 보호를 수행하지 않는 것을 포함한다. 즉, 사용자 평면 암호화 보호가 인에이블되지 않을 때, 사용자 평면 암호화 보호 키가 먼저 생성되지만, 사용되지 않을 수 있고; 사용자 평면 암호화 보호가 인에이블될 때, 사용자 평면 암호화 보호 키를 사용하여 사용자 평면 암호화 보호가 수행된다.
사용자 평면 암호화 보호를 인에이블하지 않는 방식 1에서, 단말 디바이스가 사용자 평면 암호화 보호 키를 생성하기 전에 사용자 평면 암호화 알고리즘이 획득된다. 예를 들어, 시그널링 평면 암호화 알고리즘이 사용자 평면 암호화 알고리즘으로서 사용될 수 있다.
사용자 평면 암호화 보호를 인에이블하지 않는 방식 2: 단말 디바이스 또는 기지국이 사용자 평면 암호화 보호를 인에이블하지 않는다는 것은 사용자 평면 암호화 보호가 인에이블될 때 사용자 평면 암호화 보호 키를 생성하고, 사용자 평면 암호화 보호 키를 사용하여 사용자 평면 암호화 보호를 수행하는 것을 포함한다. 즉, 사용자 평면 암호화 보호를 인에이블할지가 결정될 수 없거나 사용자 평면 암호화 보호를 인에이블하지 않는 것으로 결정되는 경우, 사용자 평면 암호화 보호 키는 생성되지 않을 수 있고, 사용자 평면 암호화 키는 사용자 평면 암호화 보호가 인에이블될 때 생성된다.
대응하여, 예를 들어, 단말 디바이스 및 기지국에 대해, 단말 디바이스와 기지국이 항상 사용자 평면 암호화 보호를 인에이블하지 않는다고 결정되는 경우(예를 들어, 미리 설정된 조건일 수 있음), 사용자 평면 암호화 보호 키는 생성되지 않을 수 있다.
기지국과 단말 디바이스가 사용자 평면 암호화 보호를 인에이블하지 않는 구현들은 동일할 수 있거나 상이할 수 있다. 예를 들어, 기지국과 단말 디바이스 둘 다는 사용자 평면 암호화 보호를 인에이블하지 않는 방식 1을 사용하거나; 또는 단말 디바이스는 사용자 평면 암호화 보호를 인에이블하지 않는 방식 1을 사용하고, 기지국은 사용자 평면 암호화 보호를 인에이블하지 않는 방식 2를 사용한다.
또한, 기지국과 단말 디바이스가 사용자 평면 암호화 보호를 인에이블하는 복수의 구현이 있다. 예를 들어, 사용자 평면 암호화 보호를 인에이블할지 여부는 미리 설정된 규정에 기초하여 결정될 수 있다. 미리 설정된 규정은, 단말 디바이스가 AS 보안 모드 커맨드를 수신한 후에 사용자 평면 암호화 보호를 인에이블한다는 것, 즉, 기지국의 사용자 평면 암호화 보호 조건을 충족하는 것이 AS 보안 모드 커맨드를 수신하는 것을 포함한다는 것일 수 있다. 이러한 예에 기초하여, 예를 들어, 단말 디바이스의 사용자 평면 무결성 보호 조건을 충족하는 것은, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하도록 지시하는 무결성 보호 지시 정보를 수신하는 것을 포함한다. 즉, 단말 디바이스는 AS 보안 모드 커맨드를 수신한 후에 사용자 평면 암호화 보호를 인에이블하고, 사용자 평면 무결성 보호를 인에이블할지는, 무결성 보호 지시 정보를 전송함으로써 기지국이 단말 디바이스에 통지할 것을 요구한다. 이 경우, 단말 디바이스는 무결성 보호 지시 정보를 수신하지 않을 때 사용자 평면 무결성 보호를 인에이블하지 않는다. 추가로, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하도록 지시하는 무결성 보호 지시 정보를 수신하면, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블한다. 다시 말해서, 단말 디바이스는 하나의 기간 내에 사용자 평면 무결성 보호를 인에이블하지 않지만, 다른 기간에서 사용자 평면 무결성 보호를 인에이블할 수 있다. 즉, 단말 디바이스는 사용자 평면 무결성 보호를 일시적으로 인에이블하지 않는다. 이것은 단말 디바이스가 항상 사용자 평면 무결성 보호를 인에이블하지 않는 경우와 상이하다. 기지국과 단말 디바이스는, 미리 설정된 규정에 기초하여, 시그널링 평면 보호(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호를 포함함)를 인에이블할지를 추가로 결정할 수 있고, 미리 설정된 규정은 단말 디바이스가 AS 보안 모드 커맨드를 수신한 후에 시그널링 평면 보호를 인에이블하는 것일 수 있다.
또 다른 예로서, 시그널링 평면 보호를 인에이블할 때(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호를 인에이블할 때), 단말 디바이스 또는 기지국은 사용자 평면 암호화 보호를 인에이블한다. 즉, 기지국의 사용자 평면 암호화 보호 조건을 충족하는 것은 시그널링 평면 보호를 인에이블하는 것을 포함한다. 다시 말해서, 사용자 평면 암호화 보호는 시그널링 평면 보호와 함께 인에이블될 수 있고, 사용자 평면 무결성 보호를 인에이블 또는 디스에이블하는 것은 기지국의 사용자 평면 무결성 보호 조건이 충족되는지에 의존한다. 예를 들어, 등록 수락 또는 서비스 요청 수락을 수신한 후에, 기지국은 시그널링 평면 보호를 인에이블(시그널링 평면 무결성 보호 및/또는 시그널링 평면 암호화 보호를 인에이블)하고, 사용자 평면 암호화 보호를 인에이블하지만, 사용자 평면 무결성 보호를 인에이블하지 않을 수 있다. 또한, 이 구현에서, 암호화 지시 정보는 설정되지 않을 수 있다.
예를 들어, 도 2에서의 단계 203 후에, 즉, 기지국이 AS 보안 모드 커맨드를 단말 디바이스에 전송한 후에, 단말 디바이스는 시그널링 평면 보호를 인에이블하지만 사용자 평면 보호를 인에이블하지 않고, 시그널링 평면 키(시그널링 평면 무결성 보호 키 및/또는 시그널링 평면 암호화 보호 키) 및 사용자 평면 키(사용자 평면 무결성 보호 키 및/또는 사용자 평면 암호화 보호 키)를 생성할 수 있다. 그러나, 시그널링 평면 키만이 보호를 위해 사용되고, 사용자 평면 키는 저장될 수 있다. 사용자 평면 키는 사용자 평면 보호가 인에이블될 때 사용된다.
예를 들어, 도 2에서의 단계 203 후에, 즉, 기지국이 AS 보안 모드 커맨드를 단말 디바이스에 전송한 후에, 단말 디바이스는 시그널링 평면 보호를 인에이블하고, 사용자 평면 암호화 보호를 인에이블하고, 사용자 평면 무결성 보호를 인에이블하지 않으며, 시그널링 평면 키(시그널링 평면 무결성 보호 키 및/또는 시그널링 평면 암호화 보호 키), 사용자 평면 암호화 키, 및 사용자 평면 무결성 보호 키를 생성할 수 있다. 그러나, 시그널링 평면 키 및 사용자 평면 암호화 키만이 보호를 위해 사용된다. 사용자 평면 무결성 보호 키는 저장될 수 있다. 사용자 평면 무결성 보호가 인에이블될 때, 무결성 보호를 수행하기 위해 사용자 평면 무결성 보호 키가 사용된다.
다른 예로서, 도 2의 단계 203 후에, 즉, 기지국이 AS 보안 모드 커맨드를 단말 디바이스에 전송한 후에, 단말 디바이스는 시그널링 평면 보호를 인에이블하지만 사용자 평면 보호는 인에이블하지 않고, 시그널링 평면 키(시그널링 평면 무결성 보호 키 및/또는 시그널링 평면 암호화 보호 키)를 생성하여 보호를 위해 시그널링 평면 키를 사용할 수 있고, 사용자 평면 키(사용자 평면 무결성 보호 키 및/또는 사용자 평면 암호화 보호 키)를 생성하지 않는다. 다른 예로서, 도 2b의 단계 211에서의 요청 메시지가 세션 확립 요청일 때, 단계 211 후에, 기지국은 AS 보안 모드 커맨드 또는 RRC 재구성 메시지를 단말 디바이스에 전송하고, AS 보안 모드 커맨드 또는 RRC 재구성 메시지를 수신한 후에, 단말 디바이스는 사용자 평면 키를 사용하여 사용자 평면 보안 보호를 수행한다.
다른 예로서, 도 2의 단계 203 후에, 즉, 기지국이 AS 보안 모드 커맨드를 단말 디바이스에 전송한 후에, 단말 디바이스는 시그널링 평면 보호 및 사용자 평면 암호화 보호를 인에이블하고, 사용자 평면 무결성 보호를 인에이블하지 않고, 시그널링 평면 키(시그널링 평면 무결성 보호 키 및/또는 시그널링 평면 암호화 보호 키)를 생성하여 보호를 위해 시그널링 평면 키를 사용할 수 있고, 사용자 평면 암호화 키를 생성하여 보호를 위해 사용자 평면 암호화 키를 사용할 수 있지만, 사용자 평면 무결성 보호 키를 생성하지 않는다. 다른 예로서, 도 2b의 단계 211에서의 요청 메시지가 세션 확립 요청일 때, 단계 211 후에, 기지국은 AS 보안 모드 커맨드 또는 RRC 재구성 메시지를 단말 디바이스에 전송하고, AS 보안 모드 커맨드 또는 RRC 재구성 메시지를 수신한 후에, 단말 디바이스는 사용자 평면 무결성 보호 키를 생성하고 사용자 평면 무결성 보호 키를 사용하여 사용자 평면 보안 보호를 수행한다.
단말 디바이스는, 기지국에 의해 전송되는 수신된 무결성 보호 지시 정보에 기초하여, 사용자 평면 무결성 보호를 인에이블할지를 결정할 수 있거나, 또는 단말 디바이스는 또한 사용자 평면 무결성 보호를 인에이블하거나 사용자 평면 무결성 보호를 인에이블하지 않는 것으로 결정할 수 있으며, 이는 구현 c1 및 구현 c2를 사용하여 이하에서 설명된다. 또한, 선택적으로, 자원들을 절약하기 위해, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하지 않는 것으로 결정하는 경우, 사용자 평면 무결성 보호 알고리즘이 전송되지 않을 수 있다. 즉, 이러한 선택적인 구현에서, 빈 사용자 평면 무결성 보호 알고리즘이 전송될 수 없지만, 단말 디바이스가 사용자 평면 암호화 보호를 인에이블하지 않는 경우, 빈 사용자 평면 암호화 알고리즘이 전송된다.
전술한 실시예들 및 실시예들의 다양한 선택적인 구현들에서, 기지국에 의해 단말 디바이스에 전송되는 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 미리 설정된 메시지에서 운반될 수 있다는 점에 유의해야 한다. 예를 들어, 미리 설정된 메시지에서 필드가 미리 정의되고, 미리 정의된 필드는 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보 및 시그널링 평면 암호화 지시 정보 중 적어도 하나를 운반한다. 미리 설정된 메시지는 AS 보안 모드 커맨드 또는 RRC 재구성 요청일 수 있다. 예를 들어, 무결성 보호 지시 정보는 다음의 구현 c1-1(b7)에 도시된 알고리즘의 식별자의 형태로 단말 디바이스에 전송된다.
전술한 실시예들 및 실시예들의 다양한 선택적인 구현들에서, 기지국에 의해 수신되는 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 보안 정책에서 운반될 수 있고, c1-1(b2) 내지 c1-1(b7)이 구체적으로 사용될 수 있다는 점에 유의해야 한다.
이하에서는 무결성 보호 지시 정보 및/또는 암호화 지시 정보의 다양한 표현 방식들을 설명한다.
구현 c1-1(b1)
무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 미리 정의된 필드에 세션 ID를 설정함으로써 표현될 수 있다. 예를 들어, 기지국이 세션 ID를 수신하지 않으면, 단말 디바이스에 전송된 미리 설정된 메시지에서의 미리 정의된 필드 내의 세션 ID는 0으로 설정되어, 시그널링 평면 보호만이 인에이블되고, 사용자 평면 무결성 보호가 인에이블되지 않고, 사용자 평면 암호화가 인에이블되지 않는다는 것을 지시한다. 단말 디바이스에 의해 수신된 미리 설정된 메시지에서의 미리 정의된 필드 내의 세션 ID가 0일 때, 시그널링 평면 보호만이 인에이블되고(시그널링 평면 무결성 보호가 인에이블되고/되거나 시그널링 평면 암호화 보호가 인에이블되고), 사용자 평면 무결성 보호 지시 정보가 인에이블되지 않고, 사용자 평면 암호화 지시 정보가 인에이블되지 않는다고 결정될 수 있다.
또한, 시그널링 평면 보호를 인에이블하는 것은 시그널링 평면 무결성 보호 및 시그널링 평면 암호화 보호 중 적어도 하나를 인에이블하는 것일 수 있다. 구체적으로, 시그널링 평면 무결성 보호, 시그널링 평면 암호화 보호, 또는 시그널링 평면 무결성 보호 및 시그널링 평면 암호화 보호를 인에이블할지는 미리 설정된 규칙 등에 기초하여 결정될 수 있다. 예를 들어, 시그널링 평면 무결성 보호 및 시그널링 평면 암호화 보호는 미리 설정된 규칙에서 디폴트로 인에이블된다. 이 단락에서의 내용과 유사한 이하의 내용은 아래에서 반복되지 않는다.
다른 예로서, 세션 ID를 수신하면, 기지국은 단말 디바이스에 전송된 미리 설정된 메시지에서의 미리 정의된 필드 내의 세션 ID를 현재 세션 ID로 설정할 수 있다. 단말 디바이스가 기지국에 의해 전송된 미리 설정된 메시지를 수신하면, 미리 설정된 메시지에서의 미리 설정된 필드는 세션 ID를 포함하고, 세션 ID는 현재 세션 ID이고, 단말 디바이스는 디폴트로 사용자 평면 암호화 보호 및 사용자 평면 무결성 보호를 인에이블한다. 선택적으로, 시그널링 평면에 대해 기지국에 의해 선택된 암호화 알고리즘이 또한 사용자 평면에 대해 사용될 수 있는데, 즉, 기지국에 의해 선택된 암호화 알고리즘은 시그널링 평면 암호화 알고리즘 및 사용자 평면 암호화 알고리즘이다. 유사하게, 선택된 시그널링 평면 무결성 보호 알고리즘이 사용자 평면 무결성 보호 알고리즘으로서 사용된다. 또한, 단말 디바이스가 기지국에 의해 전송된 미리 설정된 메시지를 수신하면, 미리 설정된 메시지에서의 미리 설정된 필드는 세션 ID를 포함하고, 세션 ID는 비어 있지 않고, 단말 디바이스는 사용자 평면 무결성 보호 및/또는 사용자 평면 암호화 보호를 인에이블할 수 있다. 구체적으로, 사용자 평면 암호화 보호, 사용자 평면 무결성 보호, 또는 사용자 평면 암호화 보호 및 사용자 평면 무결성 보호를 인에이블할지는 본 출원의 다른 실시예에서의 설명 또는 미리 설정된 규칙을 참조하여 결정될 수 있다.
다른 선택적인 구현에서, 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 미리 설정된 메시지에서의 미리 정의된 필드 내의 QoS의 관련 정보를 설정, 예를 들어, QFI 값을 설정함으로써 지시될 수 있다. QFI 값을 사용하는 방식은 세션 ID를 사용하는 방식과 유사할 수 있다. 예를 들어, 기지국이 QFI를 수신하지 않으면, 단말 디바이스로 전송된 미리 설정된 메시지에서의 미리 설정된 필드 내의 QFI는 0으로 설정되어, 시그널링 평면 보호만이 인에이블되고, 사용자 평면 무결성 보호 지시 정보는 인에이블되지 않고, 사용자 평면 암호화 지시 정보는 인에이블되지 않는다는 것을 지시한다. 단말 디바이스에 의해 수신된 미리 정의된 필드 내의 QFI가 0이면, 시그널링 평면 보호만이 인에이블되고, 사용자 평면 무결성 보호 지시 정보가 인에이블되지 않고, 사용자 평면 암호화 지시 정보가 인에이블되지 않는다고 결정될 수 있다.
구현 c1-1(b2)
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 미리 정의된 메시지 또는 보안 정책에서의 미리 정의된 필드 내의 비트 정보를 사용하여 표현될 수 있고, 예를 들어, 미리 정의된 필드는 하나의 비트 정보를 포함할 수 있다.
예를 들어, 디폴트 경우에, 사용자 평면 암호화 보호가 인에이블되고, 사용자 평면 무결성 보호가 인에이블되지 않는다. 그 후, 미리 정의된 필드 내의 하나의 비트 정보는 무결성 보호 지시 정보이다. 미리 정의된 필드 내의 비트 위치 1은 사용자 평면 무결성 보호를 인에이블하는 것을 지시할 수 있다. 미리 정의된 필드 내의 비트 위치 0은 사용자 평면 무결성 보호를 인에이블하지 않는 것을 지시할 수 있다.
다른 예로서, 디폴트 경우에, 사용자 평면 암호화 보호가 인에이블되지 않고, 사용자 평면 무결성 보호가 인에이블된다. 그 후, 미리 정의된 필드 내의 하나의 비트 정보는 암호화 지시 정보이다. 구체적으로, 미리 정의된 필드 내의 비트 위치 1은 사용자 평면 암호화 보호를 인에이블하는 것을 지시할 수 있고, 미리 정의된 필드 내의 비트 위치 0은 사용자 평면 암호화 보호를 인에이블하지 않는 것을 지시할 수 있다.
다른 예로서, 디폴트 경우에, 사용자 평면 암호화 보호가 인에이블되고, 사용자 평면 무결성 보호가 인에이블된다. 그 후, 미리 정의된 필드 내의 하나의 비트 정보는 무결성 보호 지시 정보 및 암호화 지시 정보이다. 미리 정의된 필드 내의 비트 위치 1은 사용자 평면 무결성 보호를 인에이블하고 사용자 평면 암호화 보호를 인에이블하는 것을 지시할 수 있다. 미리 정의된 필드 내의 비트 위치 0은 사용자 평면 무결성 보호를 인에이블하지 않고 사용자 평면 암호화 보호를 인에이블하지 않는 것을 지시할 수 있다.
구현 c1-1(b3)
무결성 보호 지시 정보 및 암호화 지시 정보는 미리 설정된 메시지 또는 보안 정책에서의 미리 정의된 필드 내의 비트 정보에 의해 표현될 수 있다. 예를 들어, 미리 정의된 필드는 2개의 비트 정보를 포함할 수 있다. 하나의 비트 정보는 사용자 평면 암호화가 인에이블 또는 디스에이블될 필요가 있는지를 지시한다. 다른 비트 정보는 사용자 평면 무결성 보호가 인에이블 또는 디스에이블될 필요가 있는지를 지시한다. 즉, 하나의 비트 정보는 암호화 지시 정보이고, 다른 비트 정보는 무결성 보호 지시 정보이다. 예를 들어, 미리 정의된 필드 내의 암호화 지시 정보에 대응하는 비트 정보는 1로 설정되어, 사용자 평면 암호화 보호를 인에이블하는 것을 지시한다. 미리 정의된 필드 내의 무결성 보호 지시 정보에 대응하는 비트 정보는 1로 설정되어, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블한다는 것을 지시한다. 미리 정의된 필드 내의 암호화 지시 정보에 대응하는 비트 정보는 0으로 설정되어, 사용자 평면 암호화 보호를 인에이블하지 않는 것을 지시한다. 미리 정의된 필드 내의 무결성 보호 지시 정보에 대응하는 비트 정보는 0 으로 설정되어, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하지 않는다는 것을 지시한다.
구현 c1-1(b4)
무결성 보호 지시 정보 및 암호화 지시 정보는 미리 설정된 메시지 또는 보안 정책에서의 미리 정의된 필드 내의 비트 정보에 의해 표현될 수 있다. 예를 들어, 미리 정의된 필드는 4개의 비트 정보를 포함할 수 있다. 미리 정의된 필드 내의 하나의 비트 정보는 사용자 평면 암호화 보호가 인에이블되는지를 지시한다. 예를 들어, 비트 정보가 1로 설정되어, 사용자 평면 암호화 보호가 인에이블된다는 것을 지시하고, 비트 정보가 0으로 설정되어, 사용자 평면 암호화 보호가 인에이블되지 않는다는 것을 지시한다. 미리 정의된 필드 내의 하나의 비트 정보는 사용자 평면 암호화 보호의 키 길이가 128 비트인지 256 비트인지를 지시한다. 예를 들어, 비트 정보는 1로 설정되어, 사용자 평면 암호화 보호의 키 길이가 128 비트인 것을 지시하고, 비트 정보가 0으로 설정되어, 사용자 평면 암호화 보호의 키 길이가 256 비트인 것을 지시한다. 미리 정의된 필드 내의 하나의 비트 정보는 사용자 평면 무결성 보호의 키 길이가 128 비트인지 256 비트인지를 지시한다. 비트 정보는 1로 설정되어, 사용자 평면 무결성 보호의 키 길이가 128 비트이고, 즉, 32-비트 MAC 값이 생성된다는 것을 지시한다. 비트 정보는 0으로 설정되어, 사용자 평면 무결성 보호의 키 길이가 256 비트이고, 즉, 64-비트 MAC 값이 생성된다는 것을 지시한다. 미리 정의된 필드 내의 하나의 비트 정보는 사용자 평면 무결성 보호가 인에이블되는지를 지시한다. 예를 들어, 비트 정보는 1로 설정되어, 사용자 평면 무결성 보호가 인에이블된다는 것을 지시하고, 비트 정보는 0으로 설정되어, 사용자 평면 무결성 보호가 인에이블되지 않는다는 것을 지시한다.
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 전술한 구현 c1-1(b2), 구현 c1-1(b3), 및 구현 c1-1(b4)에 도시된 예들일 수 있고, 비트 정보일 수 있다. 대안적으로, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 스위칭 정보로서 지칭될 수 있다.
또한, 스위칭 정보의 특정 내용은 특정 방법과 조합될 수 있다. 예를 들어, 사용자 평면 암호화 보호 및 사용자 평면 무결성 보호가 인에이블되는 경우에, 그리고 추가로, 사용자 평면 암호화 보호가 디폴트로 인에이블되지만 사용자 평면 무결성 보호가 유연하게 결정될 필요가 있다는 것이 미리 설정된 규칙에서 정의되는 경우에, 1-비트 지시 정보만이 미리 설정된 필드에서 운반될 수 있고, 1-비트 지시 정보는 사용자 평면 무결성 보호가 인에이블될 필요가 있는지를 지시하는데 사용된다. 추가로, 무결성 보호 지시 정보 및 암호화 지시 정보가 수신되기 전에 사용자 평면 암호화 보호도 사용자 평면 무결성 보호도 인에이블되지 않는다는 것이 미리 설정된 규칙에서 정의되는 경우에, 2-비트 지시 정보가 미리 설정된 필드에서 운반될 수 있고, 사용자 암호화 보호를 인에이블할지 및 사용자 평면 무결성 보호를 인에이블할지를 지시하는데 각각 사용된다.
구현 c1-1(b5)
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 알고리즘의 식별자일 수 있다. 이 경우, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 미리 설정된 메시지 또는 보안 정책에서의 미리 정의된 필드에서 운반될 수 있거나, 또는 보안 정책에서 운반될 수 있다. 다시 말해서, 기지국은 단말 디바이스에 알고리즘의 식별자를 전송하고, 알고리즘의 식별자는 알고리즘을 지시하는데 사용되고, 알고리즘의 식별자는 또한 무결성 보호 지시 정보 및/또는 암호화 지시 정보이다.
선택적인 구현에서, 기지국에 의해 전송된 AS SMC는, 예를 들어, LTE 네트워크 내의 EIA 및 EEA 번호들을 운반하고, EIA 및 EEA 번호들은 선택된 무결성 보호 알고리즘 및 암호화 알고리즘을 표현한다. EIA 및 EEA 번호들은 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보를 표현하기 위해 운반될 수 있다. 예를 들어, EIA 번호는 무결성 보호가 인에이블된다는 것을 지시한다.
다른 선택적인 구현에서, 알고리즘의 식별자는, 각각 EIA-RRC, EEA-RRC, EIA-UP, 및 EEA-UP인 4개의 미리 설정된 필드로 확장될 수 있다. 현재의 협상 방법을 표현하기 위해 대응하는 위치에 선택된 알고리즘이 배치된다. 예를 들어, 기지국은 EIA-RRC=3 및 EEA-RRC=2를 선택하고, 이후 무결성 보호 지시 정보, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보는 (EIA-RRC=3, EEA-RRC=2, EIA-UP=0, EEA-UP=0)일 수 있다. 따라서, 정보를 수신한 후에, 단말 디바이스는 EIA-RRC가 0이 아니기 때문에 시그널링 평면 무결성 보호를 인에이블하거나, EEA-RRC가 0이 아니기 때문에 시그널링 평면 암호화 보호를 인에이블하거나, EIA-UP가 0이기 때문에 사용자 평면 무결성 보호를 인에이블하지 않거나, EEA-UP가 0이기 때문에 사용자 평면 암호화 보호를 인에이블하지 않는다.
추가로, 이러한 구현에서, 알고리즘의 식별자는 무결성 보호 지시 정보 및 암호화 지시 정보를 지시할 뿐만 아니라, 알고리즘을 지시할 수도 있다. 즉, 실시예가 사용되는 경우에, 알고리즘의 식별자가 전송될 때, 알고리즘(예를 들어, 타겟 시그널링 평면 무결성 보호 알고리즘, 타겟 시그널링 평면 암호화 알고리즘, 타겟 사용자 평면 무결성 보호 알고리즘, 및 타겟 사용자 평면 암호화 알고리즘), 무결성 보호 지시 정보, 및 암호화 지시 정보 모두가 지시될 수 있다.
예를 들어, EIA-RRC=3은 시그널링 평면 무결성 보호 알고리즘을 추가로 지시할 수 있다. 다른 예로서, EEA-RRC=2는 시그널링 평면 암호화 보호 알고리즘을 추가로 지시할 수 있고, EIA-UP=0은 사용자 평면 무결성 보호 알고리즘을 추가로 지시할 수 있다. 다른 예로서, EEA-UP=0은 사용자 평면 암호화 보호 알고리즘을 추가로 지시할 수 있다.
도 2a 또는 도 2b에 도시된 실시예의 선택적인 구현에서, 무결성 보호 지시 정보는 알고리즘의 식별자일 수 있다. 예를 들어, 기지국이 단말 디바이스에 대한 사용자 평면 무결성 보호를 인에이블할 때, 무결성 보호 지시 정보는 타겟 사용자 평면 무결성 보호 알고리즘의 식별자일 수 있다.
선택적으로, 기지국이 단말 디바이스에 대한 사용자 평면 무결성 보호를 인에이블하지 않을 때, 무결성 보호 지시 정보는 미리 설정된 사용자 평면 무결성 보호 알고리즘의 식별자일 수 있거나, 또는 임의의 무결성 보호 알고리즘에 관한 정보를 운반하지 않을 수 있다. 즉, 임의의 무결성 보호 알고리즘의 식별자 또는 미리 설정된 사용자 평면 무결성 보호 알고리즘의 식별자가 전송되지 않으며, 이는 무결성 보호 지시 정보가 무결성 보호를 인에이블하지 않도록 지시한다는 것을 의미한다. 예를 들어, 미리 설정된 사용자 평면 무결성 보호 알고리즘의 식별자는 X123인 것으로 가정된다. 단말 디바이스에 의해 수신된 무결성 보호 지시 정보가 X123인 경우, 단말 디바이스는 사용자 평면 무결성 보호를 인에이블하지 않는다.
도 2a 또는 도 2b에 도시된 실시예의 선택적인 구현에서, 기지국은 암호화 지시 정보를 단말 디바이스에 추가로 전송할 수 있으며, 암호화 지시 정보는 단말 디바이스에 대한 사용자 평면 암호화 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 기지국이 단말 디바이스에 대한 사용자 평면 암호화 보호를 인에이블할 때, 암호화 지시 정보는 알고리즘의 식별자일 수 있다. 예를 들어, 암호화 지시 정보는 타겟 사용자 평면 암호화 알고리즘의 식별자이다.
선택적으로, 기지국이 단말 디바이스에 대한 암호화 보호를 인에이블하지 않을 때, 암호화 지시 정보는 미리 설정된 사용자 평면 암호화 알고리즘 또는 빈 암호화 알고리즘의 식별자일 수 있다. 즉, 임의의 암호화 알고리즘의 식별자가 전송되지 않거나, 빈 암호화 알고리즘 또는 미리 설정된 사용자 평면 암호화 알고리즘의 식별자가 전송되며, 이는 암호화 지시 정보가 암호화 보호를 인에이블하지 않도록 지시한다는 것을 의미한다. 예를 들어, 미리 설정된 사용자 평면 암호화 알고리즘의 식별자는 X321인 것으로 가정된다. 단말 디바이스에 의해 수신되는 암호화 보호 지시 정보가 X321인 경우, 단말 디바이스는 사용자 평면 암호화 보호를 인에이블하지 않는다.
도 2, 도 2a, 또는 도 2b에 도시된 실시예의 다른 선택적인 구현에서, 기지국은 시그널링 평면 무결성 보호 지시 정보를 단말 디바이스에 추가로 전송할 수 있으며, 시그널링 평면 무결성 보호 지시 정보는 단말 디바이스에 대한 시그널링 평면 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 기지국이 단말 디바이스에 대한 시그널링 평면 무결성 보호를 인에이블할 때, 시그널링 평면 무결성 보호 지시 정보는 알고리즘의 식별자일 수 있다. 예를 들어, 시그널링 평면 무결성 보호 지시 정보는 타겟 시그널링 평면 무결성 보호 알고리즘의 식별자이다.
선택적으로, 기지국이 단말 디바이스에 대한 시그널링 평면 무결성 보호를 인에이블하지 않을 때, 시그널링 평면 무결성 보호 지시 정보는 미리 설정된 시그널링 평면 무결성 보호 알고리즘의 식별자일 수 있거나, 임의의 무결성 보호 알고리즘을 운반하지 않는 정보일 수 있다. 예를 들어, 미리 설정된 시그널링 평면 무결성 보호 알고리즘의 식별자는 X456인 것으로 가정된다. 단말 디바이스에 의해 수신되는 시그널링 평면 무결성 보호 지시 정보가 X456인 경우, 단말 디바이스는 시그널링 평면 무결성 보호를 인에이블하지 않는다.
도 2, 도 2a, 또는 도 2b에 도시된 실시예의 다른 선택적인 구현에서, 기지국은 시그널링 평면 암호화 지시 정보를 단말 디바이스에 추가로 전송할 수 있으며, 시그널링 평면 암호화 지시 정보는 단말 디바이스에 대한 시그널링 평면 암호화 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 기지국이 단말 디바이스에 대한 시그널링 평면 암호화 보호를 인에이블할 때, 시그널링 평면 암호화 지시 정보는 알고리즘의 식별자일 수 있다. 예를 들어, 시그널링 평면 암호화 지시 정보는 타겟 시그널링 평면 암호화 알고리즘의 식별자이다.
선택적으로, 기지국이 단말 디바이스에 대한 시그널링 평면 암호화 보호를 인에이블하지 않을 때, 시그널링 평면 암호화 지시 정보는 미리 설정된 시그널링 평면 암호화 알고리즘의 식별자 또는 빈 암호화 알고리즘일 수 있다. 예를 들어, 미리 설정된 시그널링 평면 암호화 알고리즘 알고리즘의 식별자는 X654인 것으로 가정된다. 단말 디바이스에 의해 수신되는 시그널링 평면 암호화 보호 지시 정보가 X654인 경우, 단말 디바이스는 시그널링 평면 암호화 보호를 인에이블하지 않는다.
구현 c1-1(b6)
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 미리 설정된 메시지 또는 보안 정책에서의 미리 정의된 필드 내의 세션 ID 및 4-비트 정보일 수 있다. 따라서, 단말 디바이스는 비트 정보에 기초하여 세션 ID의 대응하는 사용자 평면 보안을 인에이블할 필요가 있다. 예를 들어, 단말 디바이스는 복수의 세션 ID들을 갖는다. 그 후, 세션 ID들에 대응하는 사용자 평면 보안 해결책들은 상이할 수 있다. 예를 들어, 하나의 세션 ID는 사용자 평면 무결성 보호를 인에이블하고 사용자 평면 암호화 보호를 인에이블하는 것에 대응한다. 다른 세션 ID는 사용자 평면 무결성 보호를 인에이블하지 않고 사용자 평면 암호화 보호를 인에이블하는 것에 대응할 수 있다.
구현 c1-1(b7)
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 미리 설정된 메시지 또는 보안 정책에서의 미리 정의된 필드 내의 세션 ID 및 알고리즘의 식별자일 수 있다.
전술한 실시예로부터, 전술한 구현예에서, 사용자 평면 암호화 보호가 인에이블되는지 및 사용자 평면 무결성 보호가 인에이블되는지가 특정될 수 있기 때문에, 알고리즘의 식별자 및 4-비트 정보에 대응하는 구현이 비교적 유연성 있다는 것을 알 수 있다. 전술한 실시예에 기초하여, 협상된 시그널링 평면 알고리즘이 비트 정보로서 재사용(reused)될 수 있다는 것을 알 수 있다(즉, 시그널링 평면에 적용가능한 알고리즘은 사용자 평면에도 적용가능하고, 예를 들어, 결정된 타겟 시그널링 평면 무결성 보호 알고리즘은 또한 타겟 사용자 평면 무결성 보호 알고리즘으로서 사용되고, 결정된 타겟 시그널링 평면 암호화 알고리즘은 또한 타겟 사용자 평면 암호화 알고리즘으로서 사용된다). 또한, 알고리즘의 식별자는 시그널링 평면 알고리즘과 사용자 평면 보안 알고리즘 사이의 차이, 예를 들어, 시그널링 평면 암호화 알고리즘과 사용자 평면 암호화 알고리즘 사이의 차이, 및 시그널링 평면 무결성 보호 알고리즘과 사용자 평면 무결성 보호 알고리즘 사이의 차이를 구현할 수 있다.
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 RRC 재구성 요청 메시지에서 운반되어 기지국에 의해 단말 디바이스에 전송될 수 있다. 이 경우, 현재 단말 디바이스가 사용자 평면 암호화 보호를 인에이블하지만 사용자 평면 무결성 보호를 인에이블하지 않지만, 현재 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하는 것으로 결정하는 경우, 선택적으로, RRC 재구성 요청 메시지는 무결성 보호 지시 정보만을 전송할 수 있다.
기지국은 무결성 보호 지시 정보를 생성하여 단말 디바이스에 전송할 수 있다. 다른 선택적인 구현에서, 무결성 보호 지시 정보 및 암호화 지시 정보를 수신한 후에, 기지국은 새로운 지시 정보를 생성하고(새로운 지시 정보는 무결성 보호 지시 정보만을 포함할 수 있음), 추가로 새로운 지시 정보를 RRC 재구성 요청에 추가한다. 무결성 보호 지시 정보 및 암호화 지시 정보가 N2 인터페이스로부터 올 수 있고 그것들이 전송된 후에 인터페이스가 변경될 수 있기 때문에, 기지국은, RRC 재구성 요청 메시지에서의 포맷에 기초하여, 운반될 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대한 일부 대응하는 처리를 추가로 수행할 필요가 있다.
기지국이 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 전송하는 방식에서, 기지국은 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 단말 디바이스에 직접 포워딩할 수 있다.
무결성 보호 지시 정보 및/또는 암호화 지시 정보가 알고리즘의 식별자인 것에 기초하여, 기지국이 무결성 보호 지시 정보 및/또는 암호화 지시 정보를 전송하는 다른 방식에서, 이 경우, 기지국은 획득된(예를 들어, 기지국에 의해 수신되거나 기지국에 의한 결정을 통해 획득된) 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 기초하여 대응하는 타겟 알고리즘의 식별자를 결정하고, 대응하는 타겟 알고리즘의 식별자를 단말 디바이스에 전송할 수 있다. 예를 들어, 사용자 평면 무결성 보호를 인에이블할 때, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 결정하고, 타겟 사용자 평면 무결성 보호 알고리즘의 식별자를 단말 디바이스에 전송한다. 타겟 사용자 평면 무결성 보호 알고리즘의 식별자를 수신하면, 단말 디바이스는 사용자 평면 무결성 보호 알고리즘을 인에이블하고, 타겟 사용자 평면 무결성 보호 알고리즘을 사용하여 사용자 평면 무결성 보호를 수행할 수 있다.
무결성 보호 지시 정보 및/또는 암호화 지시 정보는 RRC 재구성 요청 메시지에서 운반되어 기지국에 의해 단말 디바이스에 전송될 수 있다. 선택적으로, 무결성 보호 지시 정보 및/또는 암호화 지시 정보가 알고리즘의 식별자일 때, RRC 메시지는 알고리즘의 식별자를 운반할 수 있다.
예를 들어, 무결성 보호 지시 정보 및/또는 암호화 지시 정보가 알고리즘의 식별자일 때, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 알고리즘 리스트일 수 있다. 선택적으로, 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 내의 알고리즘이 무결성 보호 알고리즘이고, 무결성 보호 알고리즘이 빈 알고리즘이 아닌 경우, 그리고 기지국이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 및 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 사이에 교점이 없다고 결정하는 경우, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 하나의 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 선택할 수 있다. 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 내의 알고리즘이 빈 알고리즘인 경우, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 선택하지 않으며, 이는 사용자 평면 무결성 보호를 인에이블하지 않는 것으로서 이해될 수 있다.
또한, 선택적으로, 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 내의 알고리즘이 암호화 알고리즘이고, 암호화 알고리즘이 빈 암호화 알고리즘이 아닌 경우, 그리고 기지국이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘, 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘, 및 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 사이에 교점이 없다고 결정하는 경우, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 하나의 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 선택할 수 있다. 무결성 보호 지시 정보 및/또는 암호화 지시 정보에 대응하는 알고리즘 리스트 내의 알고리즘이 빈 암호화 알고리즘인 경우, 기지국은 빈 암호화 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 선택할 수 있고, 이는 사용자 평면 암호화 보호를 인에이블하지 않는 것으로서 이해될 수 있다.
다른 예로서, 무결성 보호 지시 정보 및/또는 암호화 지시 정보가 알고리즘의 식별자일 때, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 알고리즘 리스트일 수 있고, 알고리즘 리스트로부터 알고리즘이 선택될 수 있다. 선택된 알고리즘이 무결성 보호 알고리즘이고 선택된 무결성 보호 알고리즘이 미리 설정된 무결성 보호 알고리즘인 경우, 선택적으로, 선택된 무결성 보호 알고리즘을 단말 디바이스에 포워딩하기 전에, 기지국은 선택된 무결성 보호 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 알고리즘인지를 체크한다. 예인 경우, 선택된 무결성 보호 알고리즘은 타겟 사용자 평면 무결성 보호 알고리즘으로서 단말 디바이스에 전송된다.
다른 한편으로, 선택된 무결성 보호 알고리즘이, 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속한다는 조건을 충족하지 않고, 선택된 무결성 보호 알고리즘이 빈 알고리즘이 아닌 경우, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 무결성 보호 알고리즘으로서 선택하고, 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송할 필요가 있다. 다른 한편으로, 선택된 무결성 보호 알고리즘이, 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 속한다는 조건을 충족하지 않고, 선택된 무결성 보호 알고리즘이 빈 알고리즘인 경우, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 선택하지 않으며, 이는 사용자 평면 무결성 보호를 인에이블하지 않는 것으로서 이해될 수 있다.
또한, 다른 한편으로, 선택적으로, 선택된 알고리즘이 암호화 알고리즘이고 선택된 암호화 알고리즘이 미리 설정된 암호화 알고리즘인 경우, 선택적으로, 선택된 암호화 알고리즘을 단말 디바이스에 포워딩하기 전에, 기지국은 선택된 암호화 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 알고리즘인지를 체크한다. 예인 경우, 선택된 암호화 알고리즘은 타겟 사용자 평면 암호화 알고리즘으로서 단말 디바이스에 전송된다.
다른 한편으로, 선택된 암호화 알고리즘이, 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속한다는 조건을 충족하지 않고, 선택된 암호화 알고리즘이 빈 알고리즘이 아닌 경우, 기지국은 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속하는 알고리즘을 타겟 사용자 평면 암호화 알고리즘으로서 선택하고, 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송할 필요가 있다. 다른 한편으로, 선택된 암호화 알고리즘이, 알고리즘이 단말 디바이스에 의해 지원되는 사용자 평면 암호화 알고리즘에 속하고 또한 기지국에 의해 허용되는 사용자 평면 암호화 알고리즘에 속한다는 조건을 충족하지 않고, 선택된 암호화 알고리즘이 빈 알고리즘인 경우, 기지국은 타겟 사용자 평면 암호화 알고리즘을 선택하지 않고, 이는 사용자 평면 암호화 보호를 인에이블하지 않는 것으로서 이해될 수 있다.
본 출원의 이 실시예에서, 무결성 보호 지시 정보 및/또는 암호화 지시 정보는 AS 보안 모드 커맨드에서 운반되어 기지국에 의해 단말 디바이스에 전송될 수 있다. 선택적으로, 시그널링 평면 무결성 보호 지시 정보 및/또는 시그널링 평면 암호화 지시 정보는 또한 AS 보안 모드 커맨드에서 운반되어 기지국에 의해 단말 디바이스에 전송될 수 있다.
선택적인 구현에서, 단말 디바이스가 사용자 평면 무결성 보호를 인에이블하기 전에, 단말 디바이스는 AS 보안 모드 커맨드의 무결성 보호를 검증할 수 있다. 선택적으로, 기지국은 사용자 평면 무결성 보호 알고리즘을 사용하여 AS 보안 모드 커맨드에 대해 무결성 보호를 수행한다. 선택적으로, 보안 정책에 기초하여 사용자 평면 무결성 보호가 인에이블된다고 결정한 후에, 기지국은 사용자 평면 무결성 보호 알고리즘을 사용하여 AS 보안 모드 커맨드에 대한 무결성 보호를 수행할 수 있다. 선택적으로, 단말 디바이스는, 사용자 평면 무결성 보호 알고리즘을 사용하여, AS 보안 모드 커맨드에 대한 무결성 보호가 정확한지를 검증한다. 예를 들어, 사용자 평면 무결성 보호가 활성화된다는 것을 발견한 후에, 단말 디바이스는 사용자 평면 무결성 보호 알고리즘을 사용하여 AS 보안 모드 커맨드에 대한 무결성 보호가 정확하는지를 검증하고, 사용자 평면 무결성 보호 알고리즘이 현재 사용되는 AS 시그널링 평면 무결성 보호 알고리즘이라는 것이 배제되지 않는다. 또한, 기지국은 단말 디바이스에 의해 반환된 AS 보안 모드 종료 메시지를 수신한다. 선택적으로, 기지국은 사용자 평면 무결성 보호 알고리즘을 사용하여 AS 보안 모드 종료 메시지에 대한 무결성 보호를 검증한다. 선택적으로, AS 보안 모드 종료 메시지가 무결성 보호 파라미터 MAC-I를 운반한다는 것을 발견한 후에, 기지국은 AS 보안 모드 종료 메시지에 대한 무결성 보호를 검증하고, 사용자 평면 무결성 보호 알고리즘이 현재 사용되는 AS 시그널링 평면 무결성 보호 알고리즘이라는 것이 배제되지 않는다. 선택적으로, 보안 모드 종료 메시지를 수신한 후에, 기지국은 대응하여 사용자 평면 무결성 보호를 인에이블한다(예를 들어, 무결성 지시 정보 및 암호화 지시 정보는 사용자 평면 무결성 보호를 인에이블하고 사용자 평면 암호화 보호를 인에이블하지 않도록 지시하고, 기지국은 보안 모드 종료 메시지를 수신한 후에 사용자 평면 무결성 보호를 인에이블하지만 사용자 평면 암호화 보호를 인에이블하지 않을 수 있다). 또한, 선택적으로, 대응하여 사용자 평면 무결성 보호를 인에이블한 후에, 기지국은 RRC 재구성 요청 메시지를 단말 디바이스에 전송할 수 있고, 추가로, 선택적으로, 단말 디바이스는 RRC 재구성 완료 메시지를 기지국에 반환한다.
다른 선택적인 구현에서, 사용자 평면 무결성 보호를 인에이블하는 경우에, 무결성 보호 지시 정보는 AS 보안 모드 커맨드에서 운반될 수 있고, 이후 AS 보안 모드 커맨드는 RRC 재구성 요청 메시지에서 운반되어 기지국에 의해 단말 디바이스에 전송된다. 선택적으로, 암호화 지시 정보, 시그널링 평면 무결성 보호 지시 정보, 및 시그널링 평면 암호화 지시 정보 중 적어도 하나는 또한 AS 보안 모드 커맨드에서 운반될 수 있고, 이어서 AS 보안 모드 커맨드는 RRC 재구성 요청 메시지에서 운반되어 기지국에 의해 단말 디바이스에 전송된다.
도 3은 본 출원에 따른 기지국의 개략적인 구조도의 예를 도시한다.
동일한 개념에 기초하여, 본 출원은 전술한 방법들 중 어느 하나에 따라 해결책을 실행하도록 구성되는 기지국(300)을 제공한다. 도 3에 도시된 바와 같이, 기지국(300)은 프로세서(301), 송수신기(302), 메모리(303), 및 통신 인터페이스(304)를 포함한다. 프로세서(301), 송수신기(302), 메모리(303), 및 통신 인터페이스(304)는 버스(305)를 사용하여 서로 접속된다.
버스(305)는 주변 컴포넌트 인터커넥트(peripheral component interconnect, PCI) 버스, 확장된 산업 표준 아키텍처(extended industry standard architecture, EISA) 버스 등일 수 있다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로서 분류될 수 있다. 지시를 용이하게 하기 위해, 버스는 도 3에서 하나의 굵은 선만을 사용하여 지시된다. 그러나, 그것은 단지 하나의 버스 또는 단지 하나의 타입의 버스만이 있다는 것을 나타내지 않는다.
메모리(303)는 휘발성 메모리(volatile memory), 예를 들어, 랜덤 액세스 메모리(random access memory, RAM)를 포함할 수 있고, 비휘발성 메모리(non-volatile memory), 예를 들어, 플래시 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, HDD), 또는 솔리드 스테이트 드라이브(solid-state drive, SSD)를 또한 포함할 수 있거나; 또는 메모리(303)는 이러한 타입들의 메모리들의 조합을 포함할 수 있다.
통신 인터페이스(304)는 유선 통신 인터페이스, 무선 통신 인터페이스, 또는 이들의 조합일 수 있다. 유선 통신 인터페이스는, 예를 들어, 이더넷 인터페이스일 수 있다. 이더넷 인터페이스는 광학 인터페이스, 전기 인터페이스, 또는 이들의 조합일 수 있다. 무선 통신 인터페이스는 WLAN 인터페이스일 수 있다.
프로세서(301)는 중앙 처리 유닛(central processing unit, CPU), 네트워크 프로세서(network processor, NP), 또는 CPU와 NP의 조합일 수 있다. 프로세서(301)는 하드웨어 칩을 추가로 포함할 수 있다. 하드웨어 칩은 주문형 집적 회로(application-specific integrated circuit, ASIC), 프로그램가능 로직 디바이스(programmable logic device, PLD), 또는 이들의 조합일 수 있다. PLD는 복합 프로그램가능 로직 디바이스(complex programmable logic device, CPLD), 필드 프로그램가능 게이트 어레이(field-programmable gate array, FPGA), 일반 어레이 로직(generic array logic, GAL), 또는 이들의 임의의 조합일 수 있다.
선택적으로, 메모리(303)는 프로그램 명령어를 저장하도록 추가로 구성될 수 있다. 메모리(303)에 저장된 프로그램 명령어를 호출함으로써, 프로세서(301)는 전술한 해결책들에 도시된 실시예들에서의 하나 이상의 단계 또는 선택적인 구현을 수행할 수 있고, 그에 따라 기지국(300)은 전술한 방법들에서 기지국의 기능을 구현한다.
프로세서(301)는 메모리에 저장된 명령어를 실행하고, 송수신기(302)를 제어하여 신호 수신 및 신호 전송을 수행하도록 구성된다. 프로세서(301)가 메모리에 저장된 명령어를 실행할 때, 기지국(300)은 다음의 해결책을 실행하도록 구성될 수 있다.
프로세서(301)는 보안 정책을 획득하고 - 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용됨 - ; 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에게 지시할 때, 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구성된다. 송수신기(302)는 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하도록 구성된다. 이러한 방식으로, 단말 디바이스에 대한 무결성 보호를 인에이블할지는 보안 정책에 기초하여 유연하게 선택될 수 있다. 또한, 단말 디바이스에 대해 무결성 보호가 인에이블될 때에만, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적으로, 송수신기(302)는 무선 자원 제어(RRC) 시그널링을 사용하여 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하도록 구성된다. 본 출원의 이러한 실시예에서 제공되는 해결책은 종래 기술에서의 RRC 시그널링을 재사용함으로써 구현되어, 종래 기술과의 더 양호한 호환성이 구현되고, 종래 기술에 대한 수정이 비교적 작다. 특정 선택적인 구현에 대해서는, 전술한 내용을 참조하고, 상세사항들은 여기서 다시 설명되지 않는다.
선택적으로, 프로세서(301)는 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구체적으로 구성된다.
선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이거나, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함한다. 프로세서(301)는 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구성된다.
선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 프로세서(301)는: 보안 정책이 암호화 지시 정보를 추가로 포함하고, 암호화 지시 정보가 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용될 때, 송수신기(302)를 사용하여 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송하거나; 또는 보안 정책이 키 길이를 추가로 포함할 때, 송수신기(302)를 사용하여 키 길이를 단말 디바이스에 전송하거나; 또는 보안 정책이 D-H 지시 정보를 추가로 포함하고, D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용될 때, 송수신기(302)를 사용하여 D-H 관련 키를 단말 디바이스에 전송하도록 추가로 구성된다.
선택적으로, 송수신기(302)는 세션 관리 기능(SMF) 엔티티로부터 단말 디바이스의 현재 세션의 서비스 품질을 수신하도록 구체적으로 구성되고, 프로세서(301)는 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하도록 추가로 구성된다.
프로세서(301)에 의해, 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하는 특정 방식에 대해서는, 전술한 방법 실시예들에서의 내용을 참조한다. 세부사항들은 여기서 다시 설명되지 않는다.
선택적인 구현 해결책에서, 프로세서(301)는 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업하도록 구성된다.
선택적으로, 송수신기(302)는 SMF 엔티티로부터 보안 정책을 수신하거나; 또는 SMF 엔티티로부터 보안 정책의 식별자를 수신하고 보안 정책의 식별자에 기초하여 보안 정책을 획득하도록 구성된다.
선택적으로, 프로세서(301)는: 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하고; 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하도록 추가로 구성되고; 송수신기(302)는 타겟 시그널링 평면 보안 알고리즘을 액세스 계층(AS) 보안 모드 커맨드(SMC)에 추가하고 AS SMC를 단말 디바이스에 전송하도록 추가로 구성된다.
도 4는 본 출원에 따른 SMF 엔티티의 개략적인 구조도의 예를 도시한다.
동일한 개념에 기초하여, 본 출원은 전술한 방법들 중 어느 하나에 따라 해결책을 실행하도록 구성되는 SMF 엔티티(400)를 제공한다. 도 4에 도시된 바와 같이, SMF 엔티티(400)는 프로세서(401), 송수신기(402), 메모리(403), 및 통신 인터페이스(404)를 포함한다. 프로세서(401), 송수신기(402), 메모리(403), 및 통신 인터페이스(404)는 버스(405)를 사용하여 서로 접속된다.
버스(405)는 주변 컴포넌트 인터커넥트(peripheral component interconnect, PCI) 버스, 확장된 산업 표준 아키텍처(extended industry standard architecture, EISA) 버스 등일 수 있다. 버스는 어드레스 버스, 데이터 버스, 제어 버스 등으로서 분류될 수 있다. 지시를 용이하게 하기 위해, 버스는 도 4에서 하나의 굵은 선만을 사용하여 지시된다. 그러나, 그것은 단지 하나의 버스 또는 단지 하나의 타입의 버스만이 있다는 것을 나타내지 않는다.
메모리(403)는 휘발성 메모리(volatile memory), 예를 들어, 랜덤 액세스 메모리(random access memory, RAM)를 포함할 수 있고, 비휘발성 메모리(non-volatile memory), 예를 들어, 플래시 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, HDD), 또는 솔리드 스테이트 드라이브(solid-state drive, SSD)를 또한 포함할 수 있거나; 또는 메모리(403)는 이러한 타입들의 메모리들의 조합을 포함할 수 있다.
통신 인터페이스(404)는 유선 통신 인터페이스, 무선 통신 인터페이스, 또는 이들의 조합일 수 있다. 유선 통신 인터페이스는, 예를 들어, 이더넷 인터페이스일 수 있다. 이더넷 인터페이스는 광학 인터페이스, 전기 인터페이스, 또는 이들의 조합일 수 있다. 무선 통신 인터페이스는 WLAN 인터페이스일 수 있다.
프로세서(401)는 중앙 처리 유닛(central processing unit, CPU), 네트워크 프로세서(network processor, NP), 또는 CPU와 NP의 조합일 수 있다. 프로세서(401)는 하드웨어 칩을 추가로 포함할 수 있다. 하드웨어 칩은 주문형 집적 회로(application-specific integrated circuit, ASIC), 프로그램가능 로직 디바이스(programmable logic device, PLD), 또는 이들의 조합일 수 있다. PLD는 복합 프로그램가능 로직 디바이스(complex programmable logic device, CPLD), 필드 프로그램가능 게이트 어레이(field-programmable gate array, FPGA), 일반 어레이 로직(generic array logic, GAL), 또는 이들의 임의의 조합일 수 있다.
선택적으로, 메모리(403)는 프로그램 명령어를 저장하도록 추가로 구성될 수 있다. 메모리(403)에 저장된 프로그램 명령어를 호출함으로써, 프로세서(401)는 전술한 해결책들에 도시된 실시예들에서의 하나 이상의 단계 또는 선택적인 구현을 수행할 수 있고, 그에 따라 SMF 엔티티(400)는 전술한 방법들에서 SMF 엔티티의 기능을 구현한다.
프로세서(401)는 메모리에 저장된 명령어를 실행하고, 송수신기(402)를 제어하여 신호 수신 및 신호 전송을 수행하도록 구성된다. 프로세서(401)가 메모리에 저장된 명령어를 실행할 때, SMF 엔티티(400)는 다음의 해결책을 실행하도록 구성될 수 있다.
송수신기(402)는 보안 정책에 관련된 파라미터를 포함하는 요청 메시지를 수신하고, 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하도록 구성된다. 프로세서(401)는 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하도록 구성된다. 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적인 구현 해결책에서, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자, 단말 디바이스의 데이터 네트워크 이름(DNN), 단말 디바이스의 슬라이스의 식별자, 단말 디바이스의 서비스 품질, 및 단말 디바이스의 세션 식별자 중 적어도 하나를 포함한다. 이러한 방식으로, 보안 정책은 상이한 관점들로부터의 또는 상이한 세분성들에서 상이한 식별자들에 기초하여 공식화될 수 있고, 이것은 더 유연하다.
선택적으로, 프로세서(401)는: 보안 정책에 관련된 파라미터가 단말 디바이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 식별자 및 단말 디바이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책이 단말 디바이스의 세분성에서 결정될 수 있어, 상이한 단말 디바이스들이 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 프로세서(401)는: 보안 정책에 관련된 파라미터가 단말 디바이스의 슬라이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 슬라이스의 식별자 및 슬라이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책이 슬라이스의 세분성에서 결정될 수 있어, 상이한 슬라이스들에 액세스하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 프로세서(401)는: 보안 정책에 관련된 파라미터가 단말 디바이스의 세션 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 세션 식별자 및 세션 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책은 세션의 세분성으로 결정될 수 있어, 상이한 세션들을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 프로세서(401)는: 보안 정책에 관련된 파라미터가 단말 디바이스의 서비스 품질을 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 서비스 품질에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책은 서비스 품질의 세분성으로 결정될 수 있어, 상이한 서비스 품질을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
선택적으로, 보안 정책은 다음의 내용: 암호화 지시 정보- 암호화 지시 정보는 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 키 길이; D-H 지시 정보- D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함한다. 이러한 방식으로, 보안 정책 내의 임의의 정보가 더 유연하게 지시될 수 있어, 최종적으로 결정된 보안 정책이 복잡한 응용 시나리오에 더 적합하게 된다.
도 5는 본 출원의 실시예에 따른 기지국의 개략적인 구조도의 예를 도시한다.
동일한 개념에 기초하여, 본 출원의 이러한 실시예는 전술한 방법 절차들 중 어느 하나에 따른 해결책을 실행하도록 구성되는 기지국을 제공한다. 도 5에 도시된 바와 같이, 기지국(500)은 수신 유닛(501), 처리 유닛(502), 및 전송 유닛(503)을 포함한다.
처리 유닛(502)은 보안 정책을 획득하고 - 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용됨 - ; 무결성 보호 지시 정보가 단말 디바이스에 대한 무결성 보호를 인에이블하도록 기지국에게 지시할 때, 전송 유닛(503)을 사용하여 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하도록 구성된다. 전송 유닛(503)은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하도록 구성된다. 이러한 방식으로, 단말 디바이스에 대한 무결성 보호를 인에이블할지는 보안 정책에 기초하여 유연하게 선택될 수 있다. 또한, 단말 디바이스에 대해 무결성 보호가 인에이블될 때에만, 기지국은 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송한다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적으로, 전송 유닛(503)은 무선 자원 제어(RRC) 시그널링을 사용하여 타겟 사용자 평면 무결성 보호 알고리즘을 단말 디바이스에 전송하도록 구성된다. 본 출원의 이러한 실시예에서 제공되는 해결책은 종래 기술에서의 RRC 시그널링을 재사용함으로써 구현되어, 종래 기술과의 더 양호한 호환성이 구현되고, 종래 기술에 대한 수정이 비교적 작다. 특정 선택적인 구현에 대해서는, 전술한 내용을 참조하고, 상세사항들은 여기서 다시 설명되지 않는다.
선택적으로, 전송 유닛(503)을 사용하여 단말 디바이스에 타겟 사용자 평면 무결성 보호 알고리즘을 전송하기 전에, 처리 유닛(502)은 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 추가로 구성된다.
선택적으로, 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이거나, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함한다. 처리 유닛(502)은 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구성된다.
선택적으로, 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이다.
선택적으로, 처리 유닛(502)은: 보안 정책이 암호화 지시 정보를 추가로 포함하고, 암호화 지시 정보가 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용될 때, 전송 유닛(503)을 사용하여 타겟 사용자 평면 암호화 알고리즘을 단말 디바이스에 전송하거나; 또는 보안 정책이 키 길이를 추가로 포함할 때, 전송 유닛(503)을 사용하여 키 길이를 단말 디바이스에 전송하거나; 또는 보안 정책이 D-H 지시 정보를 추가로 포함하고, D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용될 때, 전송 유닛(503)을 사용하여 D-H 관련 키를 단말 디바이스에 전송하도록 추가로 구성된다.
선택적으로, 타겟 사용자 평면 무결성 보호 알고리즘이 전송 유닛(503)을 사용하여 단말 디바이스에 전송되기 전에, 수신 유닛(501)은 세션 관리 기능(SMF) 엔티티로부터 단말 디바이스의 현재 세션의 서비스 품질을 수신하도록 구성되고; 처리 유닛(502)은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하도록 추가로 구성된다.
처리 유닛(502)은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 타겟 데이터 무선 베어러를 할당하도록 추가로 구성된다. 특정 방식에 대해서는, 전술한 방법 실시예들에서의 내용을 참조한다. 세부사항들은 여기서 다시 설명되지 않는다.
선택적인 구현 해결책에서, 처리 유닛(502)은 보안 정책 및 서비스 품질 중 적어도 하나에 기초하여 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업하도록 구성된다.
선택적으로, 수신 유닛(501)은 SMF 엔티티로부터 보안 정책을 수신하거나; SMF 엔티티로부터 보안 정책의 식별자를 수신하고 보안 정책의 식별자에 기초하여 보안 정책을 획득하도록 구성된다.
선택적으로, 처리 유닛(502)은 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하고; 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘 및 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하도록 추가로 구성되고; 전송 유닛(503)은 타겟 시그널링 평면 보안 알고리즘을 액세스 계층(AS) 보안 모드 커맨드(SMC)에 추가하고 AS SMC를 단말 디바이스에 전송하도록 추가로 구성된다.
전술한 유닛들의 분할은 논리적 기능 분할일 뿐이라는 점을 이해해야 한다. 실제 구현에서, 유닛들의 전부 또는 일부는 하나의 물리적 엔티티에 통합될 수 있거나, 물리적으로 분리될 수 있다. 본 출원의 이 실시예에서, 수신 유닛(501) 및 전송 유닛(503)은 송수신기(302)에 의해 구현될 수 있고, 처리 유닛(502)은 프로세서(301)에 의해 구현될 수 있다. 도 3에 도시된 바와 같이, 기지국(300)은 프로세서(301), 송수신기(302), 및 메모리(303)를 포함할 수 있다. 메모리(303)는 프로세서(301)가 해결책을 실행할 때 사용되는 코드를 저장하도록 구성될 수 있고, 그 코드는 기지국(300)이 공장에서 출하될 때 미리 설치된 프로그램/코드일 수 있다.
도 6은 본 출원의 실시예에 따른 SMF 엔티티의 개략적인 구조도의 예를 도시한다.
동일한 개념에 기초하여, 본 출원의 이러한 실시예는 전술한 방법 절차들 중 어느 하나에 따라 해결책을 실행하도록 구성되는 SMF 엔티티를 제공한다. 도 6에 도시된 바와 같이, SMF 엔티티(600)는 수신 유닛(601) 및 처리 유닛(602)을 포함한다. 선택적으로, SMF 엔티티(600)는 전송 유닛(603)을 추가로 포함한다.
수신 유닛(601)은 보안 정책에 관련된 파라미터를 포함하는 요청 메시지를 수신하고, 보안 정책 또는 보안 정책의 식별자를 기지국에 전송하도록 구성된다. 처리 유닛(602)은 보안 정책에 관련된 파라미터에 기초하여 보안 정책 또는 보안 정책의 식별자를 획득하도록 구성된다. 보안 정책은 무결성 보호 지시 정보를 포함하고, 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 기지국에게 지시하는데 사용된다. 한편, 사용자 평면 보안 알고리즘이 독립적으로 협상되기 때문에, 사용자 평면 보안 알고리즘 및 시그널링 평면 보안 알고리즘을 별도로 결정하는 유연성이 개선된다. 다른 한편으로, 무결성 보호 지시 정보가 추가되기 때문에, 단말 디바이스의 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 유연성이 개선된다.
선택적인 구현 해결책에서, 보안 정책에 관련된 파라미터는 단말 디바이스의 식별자, 단말 디바이스의 데이터 네트워크 이름(DNN), 단말 디바이스의 슬라이스의 식별자, 단말 디바이스의 서비스 품질, 및 단말 디바이스의 세션 식별자 중 적어도 하나를 포함한다. 이러한 방식으로, 보안 정책은 상이한 관점들로부터의 또는 상이한 세분성들에서 상이한 식별자들에 기초하여 공식화될 수 있고, 이것은 더 유연하다.
선택적으로, 처리 유닛(602)은: 보안 정책에 관련된 파라미터가 단말 디바이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 식별자 및 단말 디바이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책이 단말 디바이스의 세분성에서 결정될 수 있어, 상이한 단말 디바이스들이 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 처리 유닛(602)은: 보안 정책에 관련된 파라미터가 단말 디바이스의 슬라이스의 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 슬라이스의 식별자 및 슬라이스의 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책이 슬라이스의 세분성에서 결정될 수 있어, 상이한 슬라이스들에 액세스하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 처리 유닛(602)은: 보안 정책에 관련된 파라미터가 단말 디바이스의 세션 식별자를 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 세션 식별자 및 세션 식별자와 보안 정책 사이의 연관 관계에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책은 세션의 세분성으로 결정될 수 있어, 상이한 세션들을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
다른 선택적인 구현에서, 처리 유닛(602)은: 보안 정책에 관련된 파라미터가 단말 디바이스의 서비스 품질을 포함할 때, SMF 엔티티에 의해, 단말 디바이스의 서비스 품질에 기초하여 보안 정책을 획득하도록 구성된다. 이러한 방식으로, 보안 정책은 서비스 품질의 세분성으로 결정될 수 있어, 상이한 서비스 품질을 개시하는 단말 디바이스가 상이한 보안 정책들에 대응할 수 있게 된다.
선택적으로, 보안 정책은 다음의 내용: 암호화 지시 정보- 암호화 지시 정보는 단말 디바이스에 대한 암호화 보호를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 키 길이; D-H 지시 정보- D-H 지시 정보는 단말 디바이스에 대한 D-H를 인에이블하도록 기지국에게 지시하는데 사용됨 - ; 및 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함한다. 이러한 방식으로, 보안 정책 내의 임의의 정보가 더 유연하게 지시될 수 있어, 최종적으로 결정된 보안 정책이 복잡한 응용 시나리오에 더 적합하게 된다.
전술한 유닛들의 분할은 논리적 기능 분할일 뿐이라는 점을 이해해야 한다. 실제 구현에서, 유닛들의 전부 또는 일부는 하나의 물리적 엔티티에 통합될 수 있거나, 물리적으로 분리될 수 있다. 본 출원의 이 실시예에서, 수신 유닛(601) 및 전송 유닛(603)은 송수신기(402)에 의해 구현될 수 있고, 처리 유닛(602)은 프로세서(401)에 의해 구현될 수 있다. 도 4에 도시된 바와 같이, SMF 엔티티(400)는 프로세서(401), 송수신기(402), 및 메모리(403)를 포함할 수 있다. 메모리(403)는 프로세서(401)가 해결책을 실행할 때 사용되는 코드를 저장하도록 구성될 수 있고, 그 코드는 SMF 엔티티(400)가 공장에서 출하될 때 미리 설치된 프로그램/코드일 수 있다.
전술한 실시예들에서, 기능들의 전부 또는 일부는 소프트웨어, 하드웨어, 펌웨어, 또는 이들의 임의의 조합을 사용하여 구현될 수 있다. 소프트웨어 프로그램을 사용하여 구현될 때, 기능들의 전부 또는 일부는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 컴퓨터 프로그램 제품은 하나 이상의 명령어를 포함한다. 컴퓨터 프로그램 명령어들이 컴퓨터 상에서 로딩되고 실행될 때, 본 출원의 실시예들에 따른 절차들 또는 기능들은 모두 또는 부분적으로 생성된다. 컴퓨터는 범용 컴퓨터, 전용 컴퓨터, 컴퓨터 네트워크, 또는 다른 프로그램가능 장치일 수 있다. 명령어들은 컴퓨터 저장 매체에 저장될 수 있거나 하나의 컴퓨터 저장 매체로부터 다른 컴퓨터 저장 매체로 전송될 수 있다. 예를 들어, 명령어들은 웹사이트, 컴퓨터, 서버, 또는 데이터 센터로부터 다른 웹사이트, 컴퓨터, 서버, 또는 데이터 센터에 유선(예를 들어, 동축 케이블, 광섬유, 또는 디지털 가입자 회선(DSL)) 또는 무선(예를 들어, 적외선, 라디오, 또는 마이크로파) 방식으로 전송될 수 있다. 컴퓨터 저장 매체는 컴퓨터에 액세스 가능한 임의의 사용가능 매체, 또는 하나 이상의 사용가능 매체를 통합하는, 서버 또는 데이터 센터와 같은 데이터 저장 디바이스일 수 있다. 사용가능 매체는 자기 매체(예를 들어, 플로피 디스크, 하드 디스크, 또는 자기 테이프, 또는 자기-광학 디스크(MO)), 광학 매체(예를 들어, CD, DVD, BD, 또는 HVD), 반도체 매체(예를 들어, ROM, EPROM, EEPROM, 비휘발성 메모리(NAND FLASH), 또는 솔리드 스테이트 디스크(Solid State Disk, SSD)) 등일 수 있다.
본 기술분야의 통상의 기술자는 본 출원의 실시예들이 방법, 시스템, 또는 컴퓨터 프로그램 제품으로서 제공될 수 있다는 점을 이해해야 한다. 따라서, 본 출원의 실시예들은 하드웨어 전용 실시예들, 소프트웨어 전용 실시예들, 또는 소프트웨어와 하드웨어의 조합을 갖는 실시예들의 형태를 사용할 수 있다. 또한, 본 출원의 실시예들은 컴퓨터 사용가능 프로그램 코드를 포함하는 하나 이상의 컴퓨터 사용가능 저장 매체(디스크 메모리, CD-ROM, 광학 메모리 등을 포함하지만 이에 제한되지는 않음) 상에 구현되는 컴퓨터 프로그램 제품의 형태를 사용할 수 있다.
본 출원의 실시예들은 본 출원의 실시예들에 따른 방법, 디바이스(시스템), 및 컴퓨터 프로그램 제품의 흐름도들 및/또는 블록도들을 참조하여 설명된다. 명령어들은 흐름도들 및/또는 블록도들 내의 각각의 프로세스 및/또는 각각의 블록 및 흐름도들 및/또는 블록도들 내의 프로세스 및/또는 블록의 조합을 구현하기 위해 사용될 수 있다는 점이 이해되어야 한다. 이러한 명령어들은 범용 컴퓨터, 전용 컴퓨터, 임베디드 프로세서, 또는 머신을 생성하기 위한 임의의 다른 프로그램가능 데이터 처리 디바이스의 프로세서에 대해 제공되어, 컴퓨터 또는 임의의 다른 프로그램가능 데이터 처리 디바이스의 프로세서에 의해 실행되는 명령어들은 흐름도들 내의 하나 이상의 프로세스 및/또는 블록도들 내의 하나 이상의 블록에서 특정된 기능을 구현하기 위한 장치를 생성한다.
이러한 명령어들은 컴퓨터 또는 임의의 다른 프로그램가능 데이터 처리 디바이스에게 특정 방식으로 작동하도록 명령할 수 있는 컴퓨터 판독가능 메모리에 저장될 수 있어, 컴퓨터 판독가능 메모리에 저장된 명령어들이 명령어 장치를 포함하는 가공품(artifact)을 생성하게 한다. 명령어 장치는 흐름도들 내의 하나 이상의 프로세스 및/또는 블록도들 내의 하나 이상의 블록에서 특정된 기능을 구현한다.
이러한 명령어들은 컴퓨터 또는 다른 프로그램가능 데이터 처리 디바이스 상에 로딩될 수 있어, 일련의 동작들 및 단계들이 컴퓨터 또는 다른 프로그램가능 디바이스 상에서 수행되게 하여, 컴퓨터-구현 처리(computer-implemented processing)를 생성한다. 따라서, 컴퓨터 또는 다른 프로그램가능 디바이스 상에서 실행되는 명령어들은 흐름도들 내의 하나 이상의 프로세스 및/또는 블록도들 내의 하나 이상의 블록에서 특정된 기능을 구현하기 위한 단계들을 제공한다.
분명히, 본 기술분야의 통상의 기술자는 본 출원의 사상 및 범위를 벗어나지 않고 본 출원의 실시예들에 대한 다양한 수정들 및 변형들을 행할 수 있다. 본 출원은 이러한 수정들 및 변형들이 다음의 청구항들 및 이들과 등가인 기술들에 의해 규정되는 보호의 범위 내에 있는 한 이들을 커버하도록 의도된다.

Claims (81)

  1. 통신 방법으로서,
    기지국에 의해, 보안 정책을 획득하는 단계 - 상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블(enable)할지를 상기 기지국에게 지시하는데 사용됨 - ;
    상기 무결성 보호 지시 정보가 상기 단말 디바이스에 대한 무결성 보호를 인에이블하도록 상기 기지국에게 지시할 때, 상기 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계; 및
    상기 기지국에 의해, 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 기지국에 의해, 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하는 단계는:
    상기 기지국에 의해, 무선 자원 제어(Radio Resource Control, RRC) 시그널링을 사용하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하는 단계를 포함하는, 방법.
  3. 제1항 또는 제2항에 있어서, 상기 기지국에 의해, 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계는:
    상기 기지국에 의해, 상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계를 포함하는, 방법.
  4. 제3항에 있어서, 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이거나; 또는
    상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘인, 방법.
  5. 제3항에 있어서, 상기 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함하고;
    상기 기지국에 의해, 상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계는:
    상기 기지국에 의해, 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 상기 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 결정하는 단계를 포함하는, 방법.
  6. 제5항에 있어서, 상기 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘인, 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 방법은:
    상기 보안 정책이 암호화 지시 정보를 추가로 포함하고, 상기 암호화 지시 정보가 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용될 때, 상기 기지국에 의해, 타겟 사용자 평면 암호화 알고리즘을 상기 단말 디바이스에 전송하는 단계; 또는
    상기 보안 정책이 키 길이를 추가로 포함할 때, 상기 기지국에 의해, 상기 키 길이를 상기 단말 디바이스에 전송하는 단계; 또는
    상기 보안 정책이 D-H 지시 정보를 추가로 포함하고, 상기 D-H 지시 정보가 상기 단말 디바이스에 대한 D-H를 인에이블하도록 상기 기지국에게 지시하는데 사용될 때, 상기 기지국에 의해, D-H 관련 키를 상기 단말 디바이스에 전송하는 단계
    를 추가로 포함하는 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 기지국에 의해, 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하는 단계 전에, 상기 방법은:
    상기 기지국에 의해, 세션 관리 기능(SMF) 엔티티로부터 상기 단말 디바이스의 현재 세션의 서비스 품질을 수신하는 단계; 및
    상기 기지국에 의해, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 타겟 데이터 무선 베어러(target data radio bearer)를 상기 단말 디바이스에 할당하는 단계
    를 추가로 포함하는 방법.
  9. 제8항에 있어서, 상기 기지국에 의해, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 타겟 데이터 무선 베어러를 상기 단말 디바이스에 할당하는 단계는:
    제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러(historical data radio bearer)가 상기 기지국에 존재할 때, 상기 기지국에 의해, 상기 제1 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러 중 하나의 이력 데이터 무선 베어러를 상기 타겟 데이터 무선 베어러로서 결정하는 단계 - 상기 제1 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 동일하고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일함 - ; 또는
    제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않지만, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 상기 기지국에 존재할 때, 상기 기지국에 의해, 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러 중 하나의 이력 데이터 무선 베어러를 업데이트하고, 그 이력 데이터 무선 베어러를 상기 타겟 데이터 무선 베어러로서 결정하는 단계 - 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 동일하고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 매칭되거나; 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 매칭되고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하거나; 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 매칭되고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 매칭됨 - ; 또는
    상기 제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않고, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않을 때, 상기 기지국에 의해, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 상기 타겟 데이터 무선 베어러를 생성하는 단계; 또는
    상기 제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않을 때, 상기 기지국에 의해, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 상기 타겟 데이터 무선 베어러를 생성하는 단계; 또는
    상기 기지국에 의해, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 상기 타겟 데이터 무선 베어러를 생성하는 단계를 포함하는, 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서, 상기 기지국에 의해 보안 정책을 획득하는 단계는:
    상기 기지국에 의해, 상기 SMF 엔티티로부터 상기 보안 정책을 수신하는 단계; 또는
    상기 기지국에 의해, 상기 SMF 엔티티로부터 상기 보안 정책의 식별자를 수신하고, 상기 보안 정책의 상기 식별자에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 방법은:
    상기 기지국에 의해, 상기 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하는 단계;
    상기 기지국에 의해, 상기 단말 디바이스에 의해 지원되는 상기 시그널링 평면 보안 알고리즘 및 상기 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하는 단계; 및
    상기 기지국에 의해, 상기 타겟 시그널링 평면 보안 알고리즘을 액세스 계층(AS) 보안 모드 커맨드(SMC)에 추가하고, 그 AS SMC를 상기 단말 디바이스에 전송하는 단계
    를 추가로 포함하는 방법.
  12. 통신 방법으로서,
    세션 관리 기능(SMF) 엔티티에 의해, 요청 메시지를 수신하는 단계 - 상기 요청 메시지는 보안 정책에 관련된 파라미터를 포함함 - ;
    상기 SMF 엔티티에 의해, 상기 보안 정책에 관련된 파라미터에 기초하여 상기 보안 정책 또는 상기 보안 정책의 식별자를 획득하는 단계; 및
    상기 SMF 엔티티에 의해, 상기 보안 정책 또는 상기 보안 정책의 상기 식별자를 기지국에 전송하는 단계
    를 포함하고,
    상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 상기 기지국에게 지시하는데 사용되는, 방법.
  13. 제12항에 있어서, 상기 보안 정책에 관련된 파라미터는 상기 단말 디바이스의 식별자, 상기 단말 디바이스의 데이터 네트워크 명칭(DNN), 상기 단말 디바이스의 슬라이스의 식별자, 상기 단말 디바이스의 서비스 품질, 및 상기 단말 디바이스의 세션 식별자 중 적어도 하나를 포함하는, 방법.
  14. 제13항에 있어서, 상기 SMF 엔티티에 의해, 상기 보안 정책에 관련된 파라미터에 기초하여 상기 보안 정책 또는 상기 보안 정책의 식별자를 획득하는 단계는:
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 식별자를 포함할 때, 상기 SMF 엔티티에 의해, 상기 단말 디바이스의 식별자 및 상기 단말 디바이스의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하는 단계; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 슬라이스의 식별자를 포함할 때, 상기 SMF 엔티티에 의해, 상기 단말 디바이스의 슬라이스의 식별자 및 상기 슬라이스의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하는 단계; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 세션 식별자를 포함할 때, 상기 SMF 엔티티에 의해, 상기 단말 디바이스의 세션 식별자 및 상기 세션 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하는 단계; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 서비스 품질을 포함할 때, 상기 SMF 엔티티에 의해, 상기 단말 디바이스의 서비스 품질에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  15. 제12항 내지 제14항 중 어느 한 항에 있어서, 상기 보안 정책은 다음의 내용:
    암호화 지시 정보 - 상기 암호화 지시 정보는 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용됨 - ;
    키 길이;
    D-H 지시 정보 - 상기 D-H 지시 정보는 상기 단말 디바이스에 대한 D-H를 인에이블하도록 상기 기지국에게 지시하는데 사용됨 - ; 및
    서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함하는, 방법.
  16. 기지국으로서,
    보안 정책을 획득하고 - 상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 상기 기지국에게 지시하는데 사용됨 - ; 상기 무결성 보호 지시 정보가 상기 단말 디바이스에 대한 무결성 보호를 인에이블하도록 상기 기지국에게 지시할 때, 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구성되는 프로세서; 및
    상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하도록 구성되는 송수신기
    를 포함하는 기지국.
  17. 제16항에 있어서, 상기 송수신기는:
    무선 자원 제어(RRC) 시그널링을 사용하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하도록 구성되는, 기지국.
  18. 제16항 또는 제17항에 있어서, 상기 프로세서는:
    상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘 및 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘에 기초하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구체적으로 구성되는, 기지국.
  19. 제18항에 있어서, 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘이거나; 또는
    상기 단말 디바이스에 의해 지원되는 상기 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘인, 기지국.
  20. 제18항에 있어서, 상기 보안 정책은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘을 추가로 포함하고;
    상기 프로세서는:
    상기 기지국에 의해 허용되는 상기 사용자 평면 무결성 보호 알고리즘, 상기 단말 디바이스에 의해 지원되는 상기 사용자 평면 무결성 보호 알고리즘, 및 상기 서빙 네트워크에 의해 허용되는 상기 사용자 평면 무결성 보호 알고리즘에 기초하여 상기 타겟 사용자 평면 무결성 보호 알고리즘을 결정하도록 구성되는, 기지국.
  21. 제20항에 있어서, 상기 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘은 우선순위에 기초하여 정렬되는 사용자 평면 무결성 보호 알고리즘인, 기지국.
  22. 제16항 내지 제21항 중 어느 한 항에 있어서, 상기 프로세서는:
    상기 보안 정책이 암호화 지시 정보를 추가로 포함하고, 상기 암호화 지시 정보가 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용될 때, 상기 송수신기를 사용하여 타겟 사용자 평면 암호화 알고리즘을 상기 단말 디바이스에 전송하거나; 또는
    상기 보안 정책이 키 길이를 추가로 포함할 때, 상기 송수신기를 사용하여 상기 키 길이를 상기 단말 디바이스에 전송하거나; 또는
    상기 보안 정책이 D-H 지시 정보를 추가로 포함하고, 상기 D-H 지시 정보가 상기 단말 디바이스에 대한 D-H를 인에이블하도록 상기 기지국에게 지시하는데 사용될 때, 상기 송수신기를 사용하여 D-H 관련 키를 상기 단말 디바이스에 전송하도록 추가로 구성되는, 기지국.
  23. 제12항 내지 제22항 중 어느 한 항에 있어서, 상기 타겟 사용자 평면 무결성 보호 알고리즘을 상기 단말 디바이스에 전송하기 전에, 상기 송수신기는:
    세션 관리 기능(SMF) 엔티티로부터 상기 단말 디바이스의 현재 세션의 서비스 품질을 수신하도록 추가로 구성되고;
    상기 프로세서는:
    상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 타겟 데이터 무선 베어러를 상기 단말 디바이스에 할당하도록 추가로 구성되는, 기지국.
  24. 제23항에 있어서, 상기 프로세서는:
    제1 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 상기 기지국에 존재할 때, 상기 제1 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러 중 하나의 이력 데이터 무선 베어러를 상기 타겟 데이터 무선 베어러로서 결정하고 - 상기 제1 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 동일하고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일함 - ; 또는
    상기 제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않지만, 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 상기 기지국에 존재할 때, 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러 중 하나의 이력 데이터 무선 베어러를 업데이트하고, 그 이력 데이터 무선 베어러를 상기 타겟 데이터 무선 베어러로서 결정하고 - 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 동일하고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 매칭되거나; 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 매칭되고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 동일하거나; 상기 제2 조건을 충족하는 상기 적어도 하나의 이력 데이터 무선 베어러의 각각의 데이터 무선 베어러에 의해 지원되는 서비스 품질은 상기 현재 세션의 서비스 품질과 매칭되고, 상기 보안 정책은 각각의 데이터 무선 베어러에 의해 지원되는 보안 정책과 매칭됨 - ; 또는
    상기 제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않고, 상기 제2 조건을 충족하는 적어도 하나의 이력 데이터 무선 베어러가 상기 기지국에 존재할 때, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 타겟 데이터 무선 베어러를 셋업하거나; 또는
    상기 제1 조건을 충족하는 이력 데이터 무선 베어러가 상기 기지국에 존재하지 않을 때, 상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 상기 타겟 데이터 무선 베어러를 셋업하거나; 또는
    상기 보안 정책 및 상기 서비스 품질 중 적어도 하나에 기초하여 상기 단말 디바이스에 대한 상기 타겟 데이터 무선 베어러를 셋업하도록 구성되는, 기지국.
  25. 제12항 내지 제24항 중 어느 한 항에 있어서, 상기 송수신기는:
    상기 SMF 엔티티로부터 상기 보안 정책을 수신하거나; 또는
    상기 SMF 엔티티로부터 상기 보안 정책의 식별자를 수신하고, 상기 보안 정책의 식별자에 기초하여 상기 보안 정책을 획득하도록 구성되는, 기지국.
  26. 제12항 내지 제25항 중 어느 한 항에 있어서, 상기 프로세서는:
    상기 단말 디바이스에 의해 지원되는 시그널링 평면 보안 알고리즘을 획득하고;
    상기 단말 디바이스에 의해 지원되는 상기 시그널링 평면 보안 알고리즘 및 상기 기지국에 의해 허용되는 시그널링 평면 보안 알고리즘에 기초하여 타겟 시그널링 평면 보안 알고리즘을 결정하도록 추가로 구성되고;
    상기 송수신기는:
    상기 타겟 시그널링 평면 보안 알고리즘을 상기 액세스 계층(AS) 보안 모드 커맨드(SMC)에 추가하고, 그 AS SMC를 상기 단말 디바이스에 전송하도록 추가로 구성되는, 기지국.
  27. 세션 관리 기능(SMF) 엔티티로서,
    요청 메시지를 수신하고 - 상기 요청 메시지는 보안 정책에 관련된 파라미터를 포함함 - ; 상기 보안 정책 또는 상기 보안 정책의 식별자를 기지국에 전송하도록 구성되는 송수신기; 및
    상기 보안 정책에 관련된 파라미터에 기초하여 상기 보안 정책 또는 상기 보안 정책의 식별자를 획득하도록 구성되는 프로세서
    를 포함하고,
    상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 상기 단말 디바이스에 대한 무결성 보호를 인에이블할지를 상기 기지국에게 지시하는데 사용되는, SMF 엔티티.
  28. 제27항에 있어서, 상기 보안 정책에 관련된 파라미터는 상기 단말 디바이스의 식별자, 상기 단말 디바이스의 데이터 네트워크 명칭(DNN), 상기 단말 디바이스의 슬라이스의 식별자, 상기 단말 디바이스의 서비스 품질, 및 상기 단말 디바이스의 세션 식별자 중 적어도 하나를 포함하는, SMF 엔티티.
  29. 제28항에 있어서, 상기 프로세서는:
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 식별자를 포함할 때, 상기 단말 디바이스의 식별자 및 상기 단말 디바이스의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하거나; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 슬라이스의 식별자를 포함할 때, 상기 단말 디바이스의 슬라이스의 식별자 및 상기 슬라이스의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하거나; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 세션 식별자를 포함할 때, 상기 단말 디바이스의 세션 식별자 및 상기 세션 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하거나; 또는
    상기 보안 정책에 관련된 파라미터가 상기 단말 디바이스의 서비스 품질을 포함할 때, 상기 단말 디바이스의 서비스 품질에 기초하여 상기 보안 정책을 획득하도록 구성되는, SMF 엔티티.
  30. 제27항 내지 제29항 중 어느 한 항에 있어서, 상기 보안 정책은 다음의 내용:
    암호화 지시 정보 - 상기 암호화 지시 정보는 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용됨 - ;
    키 길이;
    D-H 지시 정보 - 상기 D-H 지시 정보는 상기 단말 디바이스에 대한 D-H를 인에이블하도록 상기 기지국에게 지시하는데 사용됨 - ; 및
    서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나를 추가로 포함하는, SMF 엔티티.
  31. 컴퓨터 저장 매체로서, 상기 컴퓨터 저장 매체는 컴퓨터 소프트웨어 명령어를 저장하고, 상기 컴퓨터 저장 명령어가 실행될 때, 제1항 내지 제11항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 저장 매체.
  32. 컴퓨터 저장 매체로서, 상기 컴퓨터 저장 매체는 컴퓨터 소프트웨어 명령어를 저장하고, 상기 컴퓨터 명령어가 실행될 때, 제12항 내지 제15항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 저장 매체.
  33. 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 명령어를 포함하고, 상기 명령어가 실행될 때, 제1항 내지 제11항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 프로그램 제품.
  34. 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 명령어를 포함하고, 상기 명령어가 실행될 때, 제12항 내지 제15항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 프로그램 제품.
  35. 기지국으로서, 상기 기지국은 제1항 내지 제11항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 기지국.
  36. 세션 관리 기능 엔티티로서, 상기 세션 관리 기능 엔티티는 제12항 내지 제15항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 세션 관리 기능 엔티티.
  37. 통신 방법으로서,
    세션 관리 기능(SMF) 엔티티에 의해, 요청 메시지를 수신하는 단계 - 상기 요청 메시지는 보안 정책의 관련 파라미터를 포함함 - ;
    상기 SMF 엔티티에 의해, 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하는 단계; 및
    상기 SMF 엔티티에 의해, 상기 보안 정책을 기지국에 전송하는 단계 - 상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 단말 디바이스에 대한 무결성 보호를 인에이블할지를 상기 기지국에게 지시하는데 사용됨 -
    를 포함하는 방법.
  38. 제37항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 SMF 엔티티에 의해, 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하는 단계는:
    상기 SMF 엔티티에 의해, 상기 단말 디바이스의 슬라이스의 식별자에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  39. 제37항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 SMF 엔티티에 의해, 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하는 단계는:
    상기 SMF 엔티티에 의해, 상기 단말 디바이스의 상기 데이터 네트워크 이름(DNN)에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  40. 제37항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 SMF 엔티티에 의해, 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하는 단계는:
    상기 SMF 엔티티에 의해, 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  41. 제37항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 식별자를 포함하고;
    상기 SMF 엔티티에 의해, 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하는 단계는:
    상기 SMF 엔티티에 의해, 상기 단말 디바이스의 식별자 및 상기 단말 디바이스의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하는 단계를 포함하는, 방법.
  42. 제37항 내지 제41항 중 어느 한 항에 있어서, 상기 보안 정책은 암호화 지시 정보를 추가로 포함하고, 상기 암호화 지시 정보는 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용되는, 방법.
  43. 제37항 내지 제42항 중 어느 한 항에 있어서, 상기 무결성 보호 지시 정보는 사용자 평면 무결성 보호 알고리즘의 식별자이고, 상기 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나에 기초하여 결정되는, 방법.
  44. 통신 방법으로서,
    기지국에 의해 전송되는 액세스 계층 보안 모드 커맨드(access stratum security mode command, AS SMC)를 수신한 후에, 단말 디바이스에 의해, 시그널링 평면 보호를 인에이블하고, 사용자 평면 보호를 인에이블하지 않는 단계; 및
    무선 자원 제어(RRC) 재구성 메시지를 수신한 후에, 상기 단말 디바이스에 의해, 사용자 평면 키를 사용하여 사용자 평면 보안 보호를 수행하는 단계
    를 포함하는 방법.
  45. 제44항에 있어서, 상기 시그널링 평면 보호를 인에이블하는 단계는:
    시그널링 평면 키를 생성하고, 상기 시그널링 평면 키를 사용하여 시그널링 평면 보호를 수행하는 단계를 포함하는, 방법.
  46. 제45항에 있어서, 상기 시그널링 평면 키는 시그널링 평면 무결성 보호 키 및 시그널링 평면 암호화 보호 키를 포함하는, 방법.
  47. 제44항 내지 제46항 중 어느 한 항에 있어서, 상기 시그널링 평면 보호를 인에이블한 후에, 상기 방법은:
    상기 단말에 의해, 액세스 계층 보안 모드 완료 커맨드(access stratum security mode complete command, AS SMP)를 상기 기지국에 전송하는 단계를 포함하는, 방법.
  48. 제44항 내지 제47항 중 어느 한 항에 있어서, 상기 사용자 평면 보안 보호는 사용자 평면 무결성 보호 및 사용자 평면 암호화 보호를 포함하고;
    상기 사용자 평면 무결성 보호가 인에이블되는지 및 상기 사용자 평면 암호화 보호가 인에이블되는지는 RRC 재구성 메시지를 사용하여 전송되는, 방법.
  49. 통신 방법으로서,
    기지국에 의해, 세션 관리 네트워크 요소(SMF)에 의해 전송되는 보안 정책을 수신하는 단계; 및
    상기 기지국에 의해 수신된 상기 보안 정책이 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보가 사용자 평면 무결성 보호를 인에이블하도록 지시하는 경우, 상기 기지국에 의해, 사용자 평면 무결성 보호를 인에이블하는 단계
    를 포함하는 방법.
  50. 제49항에 있어서, 상기 방법은:
    상기 기지국에 의해, 상기 무결성 보호 지시 정보를 단말 디바이스에 전송하는 단계를 추가로 포함하고, 상기 무결성 보호 지시 정보는 사용자 평면 무결성 보호를 인에이블하도록 지시하는데 사용되는, 방법.
  51. 제49항 또는 제50항에 있어서, 상기 방법은:
    상기 기지국에 의해 수신된 상기 보안 정책이 암호화 지시 정보를 포함하고, 상기 암호화 지시 정보가 사용자 평면 암호화 보호를 인에이블하도록 지시하는 경우, 상기 기지국에 의해, 사용자 평면 암호화 보호를 인에이블하는 단계를 추가로 포함하는 방법.
  52. 제51항에 있어서, 상기 방법은:
    상기 기지국에 의해, 상기 암호화 지시 정보를 상기 단말 디바이스에 전송하는 단계를 추가로 포함하고, 상기 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블하도록 지시하는데 사용되는, 방법.
  53. 제51항 또는 제52항에 있어서, 상기 무결성 보호 정보는 무결성 보호 알고리즘의 식별자이고, 상기 암호화 지시 정보는 암호화 알고리즘의 식별자인, 방법.
  54. 세션 관리 기능 엔티티로서,
    수신 유닛, 처리 유닛, 및 전송 유닛을 포함하고,
    상기 수신 유닛은 요청 메시지를 수신하도록 구성되고, 상기 요청 메시지는 보안 정책의 관련 파라미터를 포함하고;
    상기 처리 유닛은 상기 보안 정책의 관련 파라미터에 기초하여 상기 보안 정책을 획득하도록 구성되고;
    상기 전송 유닛은 상기 보안 정책을 기지국에 전송하도록 구성되고, 상기 보안 정책은 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보는 상기 단말 디바이스에 대한 무결성 보호를 인에이블할지를 상기 기지국에게 지시하는데 사용되는, 세션 관리 기능 엔티티.
  55. 제54항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 처리 유닛은 상기 단말 디바이스의 슬라이스의 식별자에 기초하여 상기 보안 정책을 획득하도록 구성되는, 세션 관리 기능 엔티티.
  56. 제54항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 처리 유닛은 상기 단말 디바이스의 데이터 네트워크 이름(DNN)에 기초하여 상기 보안 정책을 획득하도록 구성되는, 세션 관리 기능 엔티티.
  57. 제54항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자를 포함하고;
    상기 처리 유닛은 상기 단말 디바이스의 데이터 네트워크 이름(DNN) 및 상기 단말 디바이스의 슬라이스의 식별자에 기초하여 상기 보안 정책을 획득하도록 구성되는, 세션 관리 기능 엔티티.
  58. 제54항에 있어서, 상기 보안 정책의 관련 파라미터는 상기 단말 디바이스의 식별자를 포함하고;
    상기 처리 유닛은 상기 단말 디바이스의 식별자 및 상기 단말의 식별자와 상기 보안 정책 사이의 연관 관계에 기초하여 상기 보안 정책을 획득하도록 구성되는, 세션 관리 기능 엔티티.
  59. 제54항 내지 제58항 중 어느 한 항에 있어서, 상기 보안 정책은 암호화 지시 정보를 추가로 포함하고, 상기 암호화 지시 정보는 상기 단말 디바이스에 대한 암호화 보호를 인에이블하도록 상기 기지국에게 지시하는데 사용되는, 세션 관리 기능 엔티티.
  60. 제54항 내지 제59항 중 어느 한 항에 있어서, 상기 무결성 보호 지시 정보는 사용자 평면 무결성 보호 알고리즘의 식별자이고, 상기 보안 정책에서 운반되는 사용자 평면 무결성 보호 알고리즘은 서빙 네트워크에 의해 허용되는 사용자 평면 무결성 보호 알고리즘, 상기 단말 디바이스에 의해 지원되는 사용자 평면 무결성 보호 알고리즘, 및 상기 기지국에 의해 허용되는 사용자 평면 무결성 보호 알고리즘 중 적어도 하나에 기초하여 결정되는, 세션 관리 기능 엔티티.
  61. 세션 관리 기능 엔티티로서, 송수신기 및 프로세서를 포함하며, 제54항 내지 제60항 중 어느 한 항에 따른 수신 유닛 및 전송 유닛이 상기 송수신기에 의해 구현될 수 있고, 제54항 내지 제60항 중 어느 한 항에 따른 처리 유닛이 상기 프로세서에 의해 구현될 수 있는, 세션 관리 기능 엔티티.
  62. 컴퓨터 저장 매체로서, 상기 컴퓨터 저장 매체는 컴퓨터 소프트웨어 명령어를 저장하고, 상기 컴퓨터 명령어가 실행될 때, 제37항 내지 제43항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 저장 매체.
  63. 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 명령어를 포함하고, 상기 명령어가 실행될 때, 제54항 내지 제60항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 프로그램 제품.
  64. 세션 관리 기능 엔티티로서, 상기 세션 관리 기능 엔티티는 제54항 내지 제60항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 세션 관리 기능 엔티티.
  65. 단말 디바이스로서,
    기지국에 의해 전송되는 액세스 계층 보안 모드 커맨드(AS SMC)가 수신된 후에, 시그널링 평면 보호를 인에이블하고 사용자 평면 보호를 인에이블하지 않도록 구성되는 프로세서를 포함하고;
    상기 프로세서는: 무선 자원 제어(RRC) 재구성 메시지가 수신된 후에, 사용자 평면 키를 사용하여 사용자 평면 보안 보호를 수행하도록 추가로 구성되는, 단말 디바이스.
  66. 제65항에 있어서,
    상기 프로세서는 시그널링 평면 키를 생성하고, 상기 시그널링 평면 키를 사용하여 시그널링 평면 보호를 수행하도록 구성되는, 단말 디바이스.
  67. 제66항에 있어서, 상기 시그널링 평면 키는 시그널링 평면 무결성 보호 키 및 시그널링 평면 암호화 보호 키를 포함하는, 단말 디바이스.
  68. 제65항 내지 제67항 중 어느 한 항에 있어서, 상기 단말 디바이스는 송수신기를 추가로 포함하고;
    상기 송수신기는: 시그널링 평면 보호가 인에이블된 후에, 액세스 계층 보안 모드 완료 커맨드(AS SMP)를 상기 기지국에 전송하도록 구성되는, 단말 디바이스.
  69. 제65항 내지 제68항 중 어느 한 항에 있어서, 상기 사용자 평면 보안 보호는 사용자 평면 무결성 보호 및 사용자 평면 암호화 보호를 포함하고;
    상기 사용자 평면 무결성 보호가 인에이블되는지 및 상기 사용자 평면 암호화 보호가 인에이블되는지는 RRC 재구성 메시지를 사용하여 전송되는, 단말 디바이스.
  70. 컴퓨터 저장 매체로서, 상기 컴퓨터 저장 매체는 컴퓨터 소프트웨어 명령어를 저장하고, 상기 컴퓨터 명령어가 실행될 때, 제44항 내지 제48항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 저장 매체.
  71. 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 명령어를 포함하고, 상기 명령어가 실행될 때, 제65항 내지 제69항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 프로그램 제품.
  72. 단말 디바이스로서, 상기 단말 디바이스는 제65항 내지 제69항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 단말 디바이스.
  73. 기지국으로서,
    상기 기지국은 수신 유닛 및 처리 유닛을 포함하며;
    상기 수신 유닛은 세션 관리 네트워크 요소(SMF)에 의해 전송되는 보안 정책을 수신하도록 구성되고;
    상기 처리 유닛은: 상기 기지국에 의해 수신된 상기 보안 정책이 무결성 보호 지시 정보를 포함하고, 상기 무결성 보호 지시 정보가 사용자 평면 무결성 보호를 인에이블하도록 지시하는 경우, 사용자 평면 무결성 보호를 인에이블하도록 구성되는, 기지국.
  74. 제73항에 있어서, 상기 기지국은 전송 유닛을 추가로 포함하고;
    상기 전송 유닛은 단말 디바이스에 상기 무결성 보호 지시 정보를 전송하도록 구성되고, 상기 무결성 보호 정보는 사용자 평면 무결성 보호를 인에이블하도록 지시하는데 사용되는, 기지국.
  75. 제74항에 있어서,
    상기 처리 유닛은: 상기 기지국에 의해 수신된 상기 보안 정책이 암호화 지시 정보를 포함하고, 상기 암호화 지시 정보가 사용자 평면 암호화 보호를 인에이블하도록 지시하는 경우, 사용자 평면 무결성 보호를 인에이블하도록 추가로 구성되는, 기지국.
  76. 제75항에 있어서, 상기 전송 유닛은 상기 암호화 지시 정보를 상기 단말 디바이스에 전송하도록 구성되고, 상기 암호화 지시 정보는 사용자 평면 암호화 보호를 인에이블하도록 지시하는데 사용되는, 기지국.
  77. 제75항 또는 제76항에 있어서, 상기 무결성 보호 정보는 무결성 보호 알고리즘의 식별자이고, 상기 암호화 지시 정보는 상기 암호화 알고리즘의 식별자인, 기지국.
  78. 기지국으로서, 송수신기 및 프로세서를 포함하며, 제73항 내지 제77항 중 어느 한 항에 따른 수신 유닛 및 전송 유닛이 상기 송수신기에 의해 구현될 수 있고, 제73항 내지 제77항 중 어느 한 항에 따른 처리 유닛이 상기 프로세서에 의해 구현될 수 있는, 기지국.
  79. 컴퓨터 저장 매체로서, 상기 컴퓨터 저장 매체는 컴퓨터 소프트웨어 명령어를 저장하고, 상기 컴퓨터 명령어가 실행될 때, 제49항 내지 제53항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 저장 매체.
  80. 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품은 명령어를 포함하고, 상기 명령어가 실행될 때, 제73항 내지 제77항 중 어느 한 항에 따른 방법이 수행되는, 컴퓨터 프로그램 제품.
  81. 기지국으로서, 상기 기지국은 제73항 내지 제77항 중 어느 한 항에 따른 방법을 수행하도록 구성되는, 기지국.
KR1020197035424A 2017-05-05 2017-07-31 통신 방법 및 관련 장치 KR102162678B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/CN2017/083362 WO2018201506A1 (zh) 2017-05-05 2017-05-05 一种通信方法及相关装置
CNPCT/CN2017/083362 2017-05-05
PCT/CN2017/095348 WO2018201630A1 (zh) 2017-05-05 2017-07-31 一种通信方法及相关装置

Publications (2)

Publication Number Publication Date
KR20200003120A true KR20200003120A (ko) 2020-01-08
KR102162678B1 KR102162678B1 (ko) 2020-10-07

Family

ID=64015949

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197035424A KR102162678B1 (ko) 2017-05-05 2017-07-31 통신 방법 및 관련 장치

Country Status (9)

Country Link
US (3) US10798578B2 (ko)
EP (3) EP4340537A3 (ko)
JP (1) JP6943978B2 (ko)
KR (1) KR102162678B1 (ko)
CN (6) CN113038461A (ko)
AU (1) AU2017413023B2 (ko)
BR (2) BR122020023465B1 (ko)
ES (1) ES2830778T3 (ko)
WO (2) WO2018201506A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220093900A (ko) * 2020-12-28 2022-07-05 국방과학연구소 암호 알고리즘 식별 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110493774B (zh) * 2017-05-06 2023-09-26 华为技术有限公司 密钥配置方法、装置以及系统
US11297502B2 (en) * 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
US11153158B2 (en) * 2017-09-15 2021-10-19 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Method for configuring a frequency priority, terminal device, base station, and core network device
US11129017B2 (en) * 2017-09-28 2021-09-21 Futurewei Technologies, Inc. System and method for security activation with session granularity
ES2973317T3 (es) 2017-10-30 2024-06-19 Huawei Tech Co Ltd Método y dispositivo para obtener capacidades de seguridad del equipo de usuario
WO2019174015A1 (zh) 2018-03-15 2019-09-19 Oppo广东移动通信有限公司 处理数据的方法、接入网设备和核心网设备
KR102337656B1 (ko) 2017-11-08 2021-12-09 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 무결성 보호의 제어 방법, 네트워크 기기 및 컴퓨터 저장 매체
US11330642B2 (en) * 2017-11-15 2022-05-10 Lg Electronics Inc. Method for supporting and providing LADN service in wireless communication system and apparatus therefor
EP3791537A4 (en) * 2018-05-09 2022-01-19 Nokia Technologies Oy SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM
EP3804262A1 (en) * 2018-06-08 2021-04-14 Telefonaktiebolaget Lm Ericsson (Publ) Application of integrity protection in a wireless communication network
US11051319B2 (en) * 2018-09-04 2021-06-29 Qualcomm Incorporated Techniques for low latency communications in wireless local area networks
CN113557699B (zh) * 2018-12-11 2024-04-12 索尼集团公司 通信装置、基础设施设备、核心网络设备和方法
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
KR20210145121A (ko) 2019-03-21 2021-12-01 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 정책 결정 방법 및 장치, 단말기
EP3949325A1 (en) * 2019-03-26 2022-02-09 IDAC Holdings, Inc. Methods, apparatus and systems for secured radio resource control (rrc) signaling over a pc5 interface for unicast communication
KR102637405B1 (ko) * 2019-03-29 2024-02-15 오피노 엘엘씨 비공개 네트워크에 대한 과금 제어
CN111800369B (zh) * 2019-04-08 2022-03-29 华为技术有限公司 通信方法与设备
CN110113623B (zh) * 2019-04-18 2021-07-27 浙江工业大学 一种基于sip协议的音视频切片传输平台
CN111865569B (zh) * 2019-04-28 2022-08-26 华为技术有限公司 一种密钥协商方法及装置
EP3964024A1 (en) * 2019-04-29 2022-03-09 Telefonaktiebolaget LM Ericsson (publ) User plane integrity protection in 4g system
CN111988782B (zh) * 2019-05-23 2022-04-12 华为技术有限公司 安全会话方法和装置
WO2021026744A1 (zh) * 2019-08-12 2021-02-18 Oppo广东移动通信有限公司 一种策略配置方法、网络设备、终端设备
CN112449400B (zh) * 2019-08-15 2022-03-29 大唐移动通信设备有限公司 一种通信方法、装置及系统
KR20210020690A (ko) * 2019-08-16 2021-02-24 삼성전자주식회사 무선 통신 시스템에서 정보를 보호하기 위한 방법 및 장치
CN110677853B (zh) * 2019-09-06 2023-04-11 京信网络系统股份有限公司 信令处理方法、装置、基站设备和存储介质
KR20210038352A (ko) 2019-09-30 2021-04-07 삼성전자주식회사 Ue의 이동성 절차 처리 방법 및 ue
CN112672339A (zh) * 2019-10-15 2021-04-16 中国移动通信有限公司研究院 一种终端能力信息的通知方法、终端及基站
CN112929876B (zh) * 2019-12-05 2022-05-17 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
CN113381966B (zh) * 2020-03-09 2023-09-26 维沃移动通信有限公司 信息上报方法、信息接收方法、终端及网络侧设备
BR112022019408A2 (pt) * 2020-04-01 2022-12-06 Apple Inc Negociação de política de segurança de veículo para tudo (v2x) entre os equipamentos de usuário (ues) de mesmo nível
EP4145787A4 (en) * 2020-05-29 2023-05-31 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND DEVICE
WO2022025566A1 (en) 2020-07-27 2022-02-03 Samsung Electronics Co., Ltd. Methods and systems for deriving cu-up security keys for disaggregated gnb architecture
US12022545B2 (en) * 2020-07-27 2024-06-25 T-Mobile Usa, Inc. Dynamic PCRF/PCF selection
CN115550924A (zh) * 2020-07-30 2022-12-30 华为技术有限公司 一种通信方法及装置
KR20220015667A (ko) * 2020-07-31 2022-02-08 삼성전자주식회사 차세대 이동 통신 시스템에서 무결성 보호 또는 검증 절차로 인한 단말 프로세싱 부하를 줄이는 방법 및 장치
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
CN116158111A (zh) * 2020-08-10 2023-05-23 华为技术有限公司 一种通信的方法及装置
CN114079919B (zh) * 2020-08-17 2024-02-27 中国电信股份有限公司 安全模式配置方法、装置、系统和计算机可读存储介质
CN113572801B (zh) * 2020-09-30 2022-08-12 中兴通讯股份有限公司 会话建立方法、装置、接入网设备及存储介质
JP7395455B2 (ja) * 2020-11-06 2023-12-11 株式会社東芝 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム
CN112399609B (zh) * 2020-12-03 2023-08-11 中国联合网络通信集团有限公司 一种资源配置方法及装置
KR20220135792A (ko) * 2021-03-31 2022-10-07 삼성전자주식회사 데이터 보호를 위한 nas 메시지 이용 방법 및 장치
CN115643576A (zh) * 2021-07-19 2023-01-24 华为技术有限公司 控制终端接入网络的方法、设备、系统、装置及存储介质
US11683351B2 (en) * 2021-08-30 2023-06-20 Qualcomm Incorporated Protection level indication and configuration
CN113905380A (zh) * 2021-11-01 2022-01-07 中国电信股份有限公司 接入层安全算法处理方法、系统、设备及存储介质
CN114222303A (zh) * 2021-12-09 2022-03-22 北京航空航天大学 实现ue定制机密性和完整性保护算法的方法及装置
CN114205850A (zh) * 2021-12-13 2022-03-18 中国电信股份有限公司 业务处理方法、基站、核心网系统和业务处理系统
CN114339761A (zh) * 2021-12-30 2022-04-12 天翼物联科技有限公司 一种用于网络切片的用户面数据完整性保护方法和系统
WO2024030574A1 (en) * 2022-08-05 2024-02-08 Intel Corporation Enhanced quality of service-level security for wireless communications

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130236016A1 (en) * 2011-01-10 2013-09-12 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064921B (zh) * 2006-04-30 2011-12-21 华为技术有限公司 一种用户设备与网络侧实现加密协商的方法
CN101075865B (zh) * 2006-05-16 2011-02-02 华为技术有限公司 一种用户面加密的启动方法
CN101001252A (zh) * 2006-06-25 2007-07-18 华为技术有限公司 一种注册方法和一种用户面安全算法的协商方法及装置
CN101242629B (zh) * 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101242645B (zh) * 2007-02-09 2011-02-09 华为技术有限公司 移动终端从空闲态进入激活态的方法及系统
CN102413461B (zh) * 2007-05-08 2014-06-04 华为技术有限公司 安全能力协商的方法及系统
WO2010012821A1 (en) 2008-08-01 2010-02-04 Nokia Siemens Networks Oy Method, apparatus, system and computer program product for supporting legacy p-cscf to indicate to the s-cscf to skip authentication
CN101355811B (zh) * 2008-09-08 2012-04-25 华为终端有限公司 承载信道重建的方法、系统及设备
CN101478752B (zh) * 2009-01-12 2014-11-05 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101483865A (zh) * 2009-01-19 2009-07-15 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101854625B (zh) 2009-04-03 2014-12-03 华为技术有限公司 安全算法选择处理方法与装置、网络实体及通信系统
US20120047551A1 (en) 2009-12-28 2012-02-23 Interdigital Patent Holdings, Inc. Machine-To-Machine Gateway Architecture
CN102149088A (zh) * 2010-02-09 2011-08-10 工业和信息化部电信传输研究所 一种保护移动用户数据完整性的方法
US20110261961A1 (en) * 2010-04-22 2011-10-27 Qualcomm Incorporated Reduction in bearer setup time
CN102264066B (zh) * 2010-05-27 2015-08-12 中兴通讯股份有限公司 一种实现接入层安全算法同步的方法及系统
US20110312299A1 (en) * 2010-06-18 2011-12-22 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
CN102404609A (zh) * 2010-09-15 2012-04-04 日立民用电子株式会社 发送装置及接收装置
CN102487507B (zh) 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN103179559B (zh) 2011-12-22 2016-08-10 华为技术有限公司 一种低成本终端的安全通信方法、装置及系统
EP2861020B1 (en) 2012-06-08 2017-04-05 Huawei Technologies Co., Ltd. Signalling plane of a target base station carried out by another base station
US9433032B1 (en) * 2012-06-14 2016-08-30 Cisco Technology, Inc. Interface selection for quality of service enforcement
GB2509937A (en) * 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
CN104936171B (zh) * 2014-03-21 2019-07-16 中兴通讯股份有限公司 安全算法的确定方法及装置
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
US10412056B2 (en) * 2015-07-24 2019-09-10 Futurewei Technologies, Inc. Ultra dense network security architecture method
JP6548348B2 (ja) * 2015-08-13 2019-07-24 ホアウェイ・テクノロジーズ・カンパニー・リミテッド メッセージ保護方法、ならびに関連デバイスおよびシステム
US10582522B2 (en) * 2015-09-04 2020-03-03 Lg Electronics Inc. Data transmission and reception method and device of terminal in wireless communication system
US10015740B2 (en) * 2015-09-30 2018-07-03 Apple Inc. Voice and data continuity between wireless devices
CN109560929B (zh) 2016-07-01 2020-06-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN113630773B (zh) 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及系统
EP3606115B1 (en) 2017-03-20 2022-05-04 LG Electronics Inc. Method for interaction between layers in wireless communication system and apparatus therefor
WO2018177656A1 (en) * 2017-03-31 2018-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Application topology aware user plane selection in nr and 5gc

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130236016A1 (en) * 2011-01-10 2013-09-12 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
비특허문헌 1(3GPP TR 33.899 V1.1.0, 2017.03.31) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220093900A (ko) * 2020-12-28 2022-07-05 국방과학연구소 암호 알고리즘 식별 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Also Published As

Publication number Publication date
EP3541105A4 (en) 2019-11-20
CN109618335A (zh) 2019-04-12
CN113038460A (zh) 2021-06-25
US10798578B2 (en) 2020-10-06
BR112019023041A2 (pt) 2020-06-02
EP3541105A1 (en) 2019-09-18
EP4340537A2 (en) 2024-03-20
JP2020519190A (ja) 2020-06-25
BR112019023041B1 (pt) 2021-04-06
KR102162678B1 (ko) 2020-10-07
CN109219965B (zh) 2021-02-12
BR122020023465B1 (pt) 2021-08-17
WO2018201506A1 (zh) 2018-11-08
US20190246282A1 (en) 2019-08-08
WO2018201630A1 (zh) 2018-11-08
CN109640324B (zh) 2019-11-19
CN109561427A (zh) 2019-04-02
ES2830778T3 (es) 2021-06-04
CN109219965A (zh) 2019-01-15
CN109640324A (zh) 2019-04-16
JP6943978B2 (ja) 2021-10-06
US20200374691A1 (en) 2020-11-26
EP4340537A3 (en) 2024-05-29
US20200137577A1 (en) 2020-04-30
EP3796694A1 (en) 2021-03-24
US10798579B2 (en) 2020-10-06
CN109561427B (zh) 2019-11-19
CN113038461A (zh) 2021-06-25
CN109618335B (zh) 2020-03-17
AU2017413023A1 (en) 2019-12-05
US11272360B2 (en) 2022-03-08
EP3541105B1 (en) 2020-09-09
AU2017413023B2 (en) 2021-10-21

Similar Documents

Publication Publication Date Title
KR102162678B1 (ko) 통신 방법 및 관련 장치
JP7187580B2 (ja) セッション管理の方法、装置、およびシステム
KR102224248B1 (ko) 통신 시스템에서 PDU(Protocol Data Unit) 세션을 설립하는 방법
KR102066188B1 (ko) 로밍 연결을 확립하기 위한 방법
CN110830993B (zh) 一种数据处理的方法、装置和计算机可读存储介质
US11140545B2 (en) Method, apparatus, and system for protecting data
CN110149651B (zh) 一种确定ssc模式的方法及装置
JP7389225B2 (ja) セキュリティ保護モードを決定するための方法および装置
JP6985415B2 (ja) サービスデータ伝送方法、第1通信ノード、及び基地局
CN109792407B (zh) 服务质量等级指示结构及对应的控制器和控制方法
EP4090060A2 (en) Network slice admission control (nsac) discovery and roaming enhancements
KR20230156685A (ko) 무선 네트워크에서의 코어 네트워크 디바이스 재할당을 위한 방법, 디바이스 및 시스템
EP4156795A1 (en) Network slice rejection at tai and amf level
WO2023137579A1 (zh) 紧急业务的提供方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant