KR20210019093A - 보안 알고리즘 협상을 위한 방법 및 장치 - Google Patents

보안 알고리즘 협상을 위한 방법 및 장치 Download PDF

Info

Publication number
KR20210019093A
KR20210019093A KR1020217001026A KR20217001026A KR20210019093A KR 20210019093 A KR20210019093 A KR 20210019093A KR 1020217001026 A KR1020217001026 A KR 1020217001026A KR 20217001026 A KR20217001026 A KR 20217001026A KR 20210019093 A KR20210019093 A KR 20210019093A
Authority
KR
South Korea
Prior art keywords
request message
base station
indicator
key
message
Prior art date
Application number
KR1020217001026A
Other languages
English (en)
Other versions
KR102437822B1 (ko
Inventor
리 후
아흐마드 쇼키 무한나
팅팅 젱
징 첸
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20210019093A publication Critical patent/KR20210019093A/ko
Application granted granted Critical
Publication of KR102437822B1 publication Critical patent/KR102437822B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

보안 알고리즘 협상 방법, 기지국 및 사용자 장비가 제공된다. 이 방법은 타겟 기지국으로부터 표시자 및 알고리즘 식별자를 수신하는 단계와, 표시자에 기초하여 제 1 키를 예약하는 단계 - 제 1 키는 소스 기지국에 대해 유도됨 - 와, 제 1 키 및 알고리즘 식별자에 대응하는 알고리즘에 기초하여 보안 키를 유도하는 단계를 포함한다. 본 발명에 의해 제공되는 해결책을 사용함으로써 여러 시그널링이 감소될 것이다.

Description

보안 알고리즘 협상을 위한 방법 및 장치
본 발명의 실시예는 무선 통신 기술 분야에 관한 것으로, 보다 구체적으로는 보안 알고리즘을 협상하는 방법 및 장치에 관한 것이다.
이동성 네트워크의 경우, 사용자 장비 디바이스 또는 단말 디바이스(이하에서 통칭하여 UE라고 함)는 이동성 요구 사항을 갖는다. 예를 들어, LTE(long term evolution) 또는 4G(fourth generation) 통신 시스템에서 UE는 재개 절차를 트리거할 수 있고, 5G(fifth generation) 통신 시스템에서는 UE가 INACTIVE에서 CONNECTED 상태로의 절차를 트리거할 수 있다. UE는 이러한 절차를 트리거할 때 소스 기지국(기지국은 eNB 또는 gNB일 수 있음)에서 타겟 기지국(eNB/gNB)으로 이동할 수 있다. 따라서 소스 eNB/gNB는 UE의 컨텍스트를 타겟 eNB/gNB로 송신해야 할 것이다. UE의 컨텍스트에는 UE와 소스 eNB/gNB간에 사용되는 이전 암호(old cipher) 및 무결성 보호 알고리즘이 포함된다.
상이한 eNB/gNB는 상이한 알고리즘 우선 순위 목록을 구성하거나, 이전 알고리즘을 지원하지 않을 수 있다. 따라서, UE가 소스 eNB/gNB에서 타겟 eNB/gNB로 이동할 때, 타겟 eNB/gNB는 이전 알고리즘을 재사용하지 않을 수 있으며, UE와 새로운 알고리즘을 협상해야 한다. 그러나 재개 절차 또는 INACTIVE-CONNECTED 절차의 경우 타겟 gNB가 보낸 메시지를 암호화해야 하는데, 이는 즉 UE가 메시지를 해독할 수 없기 때문에 선택한 알고리즘에 의해 메시지가 암호화되면 UE가 선택한 알고리즘을 알 수 없고 선택한 알고리즘을 가져올 수 없다는 것을 의미한다.
현재의 해결책은 UE를 IDLE 상태로 보내고 NAS 복구를 요구하는 것이다. 도 1을 참조하면, 현재 해결책에는 다음이 포함된다.
0. 소스 eNB/gNB는 UE를 중지(4G에 대해, 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나, UE를 INACTIVE로 송신(5G에 대해, RRCConnectionInactive 메시지를 UE에 송신)하는 것으로 결정한다.
1. UE는 재개 절차 INACTIVE-CONNECTED 절차를 트리거하기 위해 MSG3(RRCConnectionResumeRequest 메시지)를 타겟 eNB/gNB에 송신하여 RRC 연결(RRC connection)을 재개한다.
2. 타겟 eNB/gNB는 UE 컨텍스트를 페치하기 위해 Retrieve UE Context Request 메시지를 소스 eNB/gNB로 송신한다.
3. 소스 eNB/gNB는 위의 메시지에 응답하기 위해 Retrieve UE Context Response 메시지를 타겟 eNB/gNB로 송신한다. Retreive UE Context Response 메시지는 UE 보안 기능 및 UE와 소스 eNB/gNB 사이에 사용되는 이전(old) 암호화 및 무결성 알고리즘을 포함할 수 있다.
4. 타겟 eNB/gNB가 이전 알고리즘을 지원할 수 없거나 타겟 eNB/gNB가 다른 알고리즘을 사용하는 것을 선호하는 경우,
5. 타겟 eNB/gNB는 UE가 RRC_IDLE(폴백(fallback) 절차)에 있는 것처럼 RRC 연결 설정을 진행하기 위해 RRC Connection Setup 메시지를 UE로 송신한다.
6. UE는 저장된 UE AS 컨텍스트를 폐기하고 RRC 연결 재개가 폴백되었음을 상위 계층에 표시한다.
7. UE는 MME/AMF에 초기 NAS 메시지(예를 들어, Service Request 메시지)를 송신한다.
8. MME/AMF는 초기 NAS 메시지에 표시된 현재 Kasme/Kamf 및 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고, Ininitial Context Setup Request 메시지에 있는 KeNB/KgNB 및 UE 보안 기능을 타겟 eNB/gNB로 송신한다.
9. 타겟 eNB/gNB는 구성된 알고리즘 우선 순위 목록에서 가장 높은 우선 순위를 가지며, UE 보안 기능에도 존재하는 새로운 암호화 및 무결성 알고리즘을 선택한다. 선택된 알고리즘은 AS SMC(access stratum security mode command)에서 UE에게 표시된다. 타겟 eNB/gNB는 KeNB/KgNB 및 새로운 무결성 알고리즘에 따라 Krrc-int를 유도한다. AS SMC는 Krrc-int 및 새로운 무결성 알고리즘에 의해 무결성이 보호된다. UE는 새로운 알고리즘이 암호화되지 않았기 때문에 AS SMC에서 새로운 알고리즘을 얻을 수 있다는 점에 주의한다.
10. UE는 현재 Kasme/Kamf 및 초기 NAS 메시지에 표시된 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고, KeNB/KgNB 및 AS SMC에 표시된 새로운 무결성 및 암호화 알고리즘에 따라 Krrc-int 및 Krrc-enc를 유도한다. UE는 Krrc-int 및 새로운 무결성 알고리즘에 따라 AS SMC 메시지를 확인한다. 성공적인 검증 후, UE는 Krrc-enc, Krrc-int, 새로운 암호화 및 무결성 알고리즘을 사용하여 AS SMP 메시지를 암호화하고 무결성을 보호할 수 있다. UE는 AS SMP 메시지를 타겟 gNB로 송신한다. 따라서 UE와 타겟 gNB는 보안 알고리즘을 성공적으로 협상했다.
11. 타겟 gNB는 DRB를 구성하기 위해 RRCConnectionReconfiguartion 메시지를 UE에 송신할 수 있다. 타겟 gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신) 또는 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)할 수 있다.
따라서, 도 1에 따르면, UE는 IDLE 상태로 폴백될 것이다. 그러나 이러한 절차에는 너무 많은 시그널링 오버헤드가 발생한다.
본 발명의 실시예는 보안 협상 방법을 제공하고, 이 방법은 시그널링 오버헤드를 줄일 수 있다.
제 1 측면에 따르면, 보안 알고리즘 협상 방법이 제공된다. 방법은 사용자 장비(UE)에 의해 타겟 기지국으로부터 제 1 요청 메시지를 수신하는 단계와, UE에 의해, 제 1 요청 메시지에 응답하여 소스 기지국에 대해 유도된 제 1 키를 예약하는 단계와, UE에 의해, 타겟 기지국으로부터 제 2 요청 메시지를 수신하는 단계 - 제 2 요청 메시지는 알고리즘을 표시하기 위해 사용되는 아이덴티티를 포함함 - 와, UE에 의해, 제 1 키 및 신원에 대응하는 알고리즘에 기초하여 제 2 키를 유도하는 단계를 포함한다.
타겟 기지국이 UE와 소스 기지국의 이전 알고리즘을 지원하지 못하는 경우, 일반적으로 타겟 기지국은 RRC Connection Setup 메시지를 UE로 송신하여 UE가 RRC_IDLE(폴백 절차)에 있는 것처럼 RRC 연결을 설정을 진행한 후 배경기술에서 설명한 단계(6-11)를 수행하는 점에 주의할 필요가 있다. 분명히 단계(6-11)에는 몇 가지 시그널링이 필요할 것이다. 본 발명에서, 시그널링을 감소시키기 위해, UE는 타겟 기지국과 통신하기 위한 비밀 키를 유도하기 위해 타겟 기지국으로부터의 제 1 키 및 알고리즘을 사용할 것이다. 제 1 키가 UE에 저장되었으므로 제 1 키를 재사용하면 목표를 달성할 수 있다.
선택적으로, UE가 제 1 요청 메시지를 수신할 때, UE는 제 1 요청 메시지에 응답하여 제 1 응답 메시지를 타겟 기지국으로 송신할 것이다. 또한, 제 2 키를 유도한 후, UE는 제 2 요청 메시지를 검증하고, 제 2 요청 메시지가 성공적으로 검증 되는 경우 제 2 키 및 신원에 대응하는 알고리즘에 기초하여 제 2 응답 메시지를 보호 할 것이며, 보호된 제 2 응답 메시지를 타겟 기지국으로 송신한다. 특히, 제 1 요청 메시지는 RRC Connetion Setup 메시지이고, 제 1 응답 메시지는 RRC Connetion Setup Complete 메시지, 제 2 요청 메시지는 AS SMC 메시지, 제 2 응답 메시지는 AS SMP 메시지일 수 있다.
제 1 측면을 참조하면, 제 1 요청 메시지가 제 1 표시자를 포함한다는 점에 주의해야 한다. UE는 제 1 표시자에 기초하여 제 1 키로부터 유도된 보안 키를 삭제할 수 있고, 시그널링을 줄이기 위해 UE는 제 1 표시자에 기초하여 비 접근 계층 복구 프로세스(Non-access stratum recovery process)를 트리거하지 않을 것이다. 선택적으로, 다른 가능한 방식에서, UE는 제 1 요청 메시지에 응답하여 비 접근 계층 복구 프로세스를 트리거하지 않을 것이다.
제 1 측면을 참조하면, 제 1 키를 재사용하기 때문에, UE는 제 2 요청 메시지에 포함된 제 2 표시자에 기초하여 타겟 기지국에 대한 키를 유도하지 않을 것이다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 1 구현 방식에서, 미리 설정된 프리코딩 행렬에 대한 회전 처리를 수행하는 것은 표시 정보를 획득하는 것 - 표시 정보는 기지국이 미리 설정된 프리 코딩 매트릭스에 대한 회전 처리를 수행하도록 지시하는 데 사용됨 -과, 표시 정보에 따라 미리 설정된 프리 코딩 행렬에 대해 회전 처리를 수행하는 것을 포함한다.
제 2 측면에 따르면, 보안 알고리즘 협상 방법이 제공된다. 방법은, 타겟 기지국에 의해 사용자 장비(UE)로부터 제 1 요청 메시지를 송신하는 단계 - 제 1 요청 메시지는 UE에게 소스 기지국에 대해 유도된 제 1 키를 예약하도록 지시하는 데 사용됨 - 와, 타겟 기지국에 의해 UE에게 제 2 요청 메시지를 송신하는 단계 - 제 2 요청 메시지는 알고리즘을 표시하는 데 사용되는 신원을 포함함 - 와, 타겟 기지국에 의해, UE로부터 제 2 응답 메시지를 수신하는 단계를 포함한다.
선택적으로, 타겟 기지국은 제 1 응답 메시지를 수신할 것이다. 구체적으로, 제 1 요청 메시지는 RRC Connection Setup 메시지일 수 있고, 제 1 응답 메시지는 RRC Connection Setup Complete 메시지일 수 있으며, 제 2 요청 메시지는 AS SMC 메시지일 수 있고, 제 2 응답 메시지는 AS SMP 메시지일 수 있다.
또한, 시그널링을 줄이기 위해, 타겟 기지국은 UE에게 제 1 키를 재사용하도록 지시할 것이라는 점을 유의할 필요가 있다(즉, 제 1 키를 그대로 유지하고 타겟 기지국에 대해 키를 유도할 필요가 없음). 선택적으로, 타겟 기지국은 UE가 제 1 키로부터 유도 된 보안 키를 삭제하도록 지시할 것이며, 선택적으로, 타겟 기지국은 UE에게 비 접근 계층 복구 프로세스를 트리거하지 않도록 지시할 수 있다.
제 3 측면에 따르면, 본 발명은 프로세서, 메모리, 수신기 회로 및 송신기 회로를 포함하는 사용자 장비의 구조물을 제공한다. 프로세서, 메모리 및 수신기 회로는 버스 시스템을 사용하여 연결된다. 사용자 장비는 제 1 측면의 단계 및 방법을 구현하도록 구성될 수 있다.
제 4 측면에 따르면, 본 발명은 기지국의 구조를 제공한다. 기지국은 프로세서, 메모리, 수신기 회로 및 송신기 회로를 포함한다. 프로세서, 메모리 및 수신기 회로는 버스 시스템을 사용하여 연결된다. 기지국은 제 2 측면의 단계 및 방법을 구현하도록 구성될 수 있다.
제 5 측면에 따르면, 본 발명은 메모리를 제공한다. 메모리는 프로세서에 대한 명령어 및 데이터를 제공할 수 있다. 명령어가 실행되면 프로세서는 제 1 측면 또는 제 2 측면에서 방법을 수행한다.
본 발명의 실시예들에서, 제 1 키는 타겟 기지국에 대한 키를 유도하는 프로세스에서 유지되고 재사용된다. 여러 신호를 줄이는 목적이 달성된다.
다음은 실시예를 설명하는 데 사용되는 첨부 도면을 간략하게 설명한다. 다음 설명에서 첨부된 도면은 단지 본 발명의 일부 실시예를 도시하고, 당업자는 창의적인 노력없이도 이러한 첨부된 도면으로부터 다른 도면을 유추할 수 있다.
도 1은 종래 기술의 보안 알고리즘 협상 방법의 개략적인 흐름도이다.
도 2는 본 발명의 실시예 1에 따른 보안 알고리즘 협상 방법의 개략적인 흐름도이다.
도 3은 본 발명의 실시예 2에 따른 보안 알고리즘 협상 방법의 개략적인 흐름도이다.
도 4는 본 발명의 실시예 3에 따른 보안 알고리즘 협상 방법의 개략적인 흐름도이다.
도 5는 본 발명의 실시예 4에 따른 보안 알고리즘 협상 방법의 개략적인 흐름도이다.
도 6은 본 발명의 실시예에 따른 기지국의 단순화된 블록도이다.
도 7은 본 발명의 실시예에 따른 사용자 장비 디바이스의 단순화된 블록도이다.
다음은 첨부된 도면을 참조하여 본 발명의 실시예의 기술적 해결책을 설명한다.
본 발명의 실시예들에서 언급된 사용자 장비(UE)는 모바일 단말기(MT), 모바일 사용자 장비 등으로 지칭될 수 있으며, RAN(radio access network)을 사용하여 하나 이상의 코어 네트워크와 통신할 수 있다는 점을 이해해야 한다. 사용자 장비는 이동 전화("셀룰러" 전화라고도 함)와 같은 이동 단말기 및 이동 단말기가 있는 컴퓨터일 수 있다. 예를 들어, 사용자 장비는 휴대용, 포켓 크기, 핸드 헬드, 컴퓨터 내장 또는 차량 내 모바일 장치일 수 있다.
기지국은 WCDMA의 기지국(NodeB)일 수 있거나, LTE에서 진화된 NodeB(줄여서, eNB 또는 e-NodeB)일 수 있거나, 추가로 5G에서 gNodeB(New Radio NodeB)일 수 있다. 이것은 본 발명에 제한되지 않는다.
본 발명에는 4 개의 실시예가 있다. 또한, 관련된 단어의 설명은 실시예 1을 참조할 수 있다.
실시예 1
도 2를 참조하면, 시그널링을 줄이기 위해 타겟 기지국이 UE에게 비 접속 계층 복구(Non-access stratum recovery) 프로세스를 트리거하지 않고 현재 KeNB/KgNB를 재사용하도록 지시한다. 구체적으로, 다음 단계를 참조한다.
0. 소스 eNB/gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)하기로 결정한다.
소스 기지국은 소스 eNB 또는 소스 gNB일 수 있다는 것을 이해해야 한다.
1. UE는 RRC 연결을 재개하기 위해 MSG3(RRCConnectionResumeRequest 메시지)를 타겟 eNB/gNB로 송신하여 재개 절차 또는 INACTIVE-CONNECTED 절차를 트리거한다.
타겟 기지국은 타겟 eNB 또는 타겟 gNB일 수 있음을 이해해야 한다.
2. 타겟 eNB/gNB는 UE 컨텍스트를 가져 오기(fetch) 위해 Retreive UE Context Request 메시지를 소스 eNB/gNB에 송신한다.
3. 소스 eNB/gNB는 위의 메시지에 응답하기 위해 Retreive UE Context Response 메시지를 소스 eNB/gNB로 송신한다. Retreive UE Context Response 메시지는 UE 보안 기능 및, UE와 소스 eNB/gNB 사이에 사용되는 이전 암호화 및 무결성 알고리즘을 포함할 수 있다.
4. 타겟 eNB/gNB가 이전 알고리즘을 지원할 수 없거나 타겟 eNB/gNB가 다른 알고리즘을 사용하는 것을 선호하거나, 이전 알고리즘이 최상의 알고리즘이 아닌 경우, 타겟 eNB/gNB는 RRC Connection Setup 메시지를 UE로 송신한다.
5. RRC 연결 셋업. 세 가지 가능한 방식이 존재한다.
옵션 1 : 타겟 eNB/gNB는 RRC Connection Setup 메시지를 UE에 송신한다. RRC Connection Setup 메시지에는 NoNASRecovery 표시자가 포함된다.
옵션 2 : 타겟 eNB/gNB는 RRC Connection Setup 메시지를 UE에 송신한다. RRC Connection Setup 메시지에는 NASRecovery 표시자가 포함된다.
옵션 3 : 타겟 eNB/gNB는 NAS Recovery가 없는 RRC Connection Setup 메시지를 UE에 송신한다.
6. 세 가지 가능한 해결책이 존재한다.
옵션 1 : NoNASRecovery 표시자가 포함되거나 NoNASRecovery가 TRUE로 설정된 경우, UE는 RRC 연결 재개(RRC connection resume)가 폴백되었음을 상위 계층에 표시하지 않는다. 또한, UE는 현재 KeNB/KgNB를 유지한다. UE는 선택적으로, UE AS 보안 컨텍스트에 저장된 KeNB/KgNB(Krrc-int, Krrc-enc, Kup-int 및 Kup-enc(존재하는 경우))에서 유도된 키를 선택적으로 폐기할 수 있다. 그렇지 않으면, UE는 저장된 UE AS 컨텍스트를 폐기하고, 상위 계층에 RRC 연결 재개가 폴백되었음을 나타낸다.
Krrc-enc는 RRC(Radio Resource Control) 암호화 보호에 사용되고, Krrc-int는 RRC 무결성 보호에 사용되며, Kup-int는 UP(User Plane) 무결성 보호에 사용되고 Kup-enc는 UP 암호화 보호에 사용된다는 점에 주의할 필요가 있다.
옵션 2 : NASRecovery 표시자가 포함되거나 NASRecovery가 TRUE로 설정된 경우, UE는 저장된 UE AS 컨텍스트를 폐기하고 RRC 연결 재개가 폴백되었음을 상위 계층에 표시한다. 그렇지 않으면, UE가 RRC 연결 재개가 폴백되었음을 상위 계층에 표시하지 않고 또한 UE는 현재 KeNB/KgNB를 유지하며, UE는 선택적으로 UE AS 보안 컨텍스트에 저장된 Krrc-int, Krrc-enc, Kup-int(존재하는 경우), 및 Kup-enc(존재하는 경우)를 폐기할 수 있다.
옵션 3 : UE가 타겟 eNB/gNB로부터 NAS Recovery가 없는 RRC Connection Setup 메시지를 수신하는 경우, UE는 RRC 연결 재개가 폴백되었음을 상위 계층에 표시하지 않는다. 또한 UE는 현재 KeNB/KgNB를 유지한다. UE는 선택적으로 UE AS 보안 컨텍스트에 저장된 Krrc-int, Krrc-enc, Kup-int(존재하는 경우) 및 Kup-enc(존재하는 경우)를 폐기할 수 있다.
7.(선택 사항) UE는 RRC Connection Setup Complete 메시지를 타겟 eNB/gNB로 송신한다.
8. 타겟 eNB/gNB는 자신의 구성된 알고리즘 우선 순위 목록에서 가장 높은 우선 순위를 갖고 UE 보안 기능에도 존재하는 새로운 암호화 및 무결성 알고리즘을 선택하며, 이는 소스 eNB/gNB로부터 수신될 수 있다. 선택된 알고리즘은 RRC 메시지에서 UE에 표시된다. 타겟 eNB/gNB는 KeNB/KgNB 및 새로운 무결성 알고리즘에 따라 Krrc-int를 유도한다. RRC 메시지는 Krrc-int 및 새로운 무결성 알고리즘에 의해 무결성이 보호된다.
단계 8을 수행하기 위한 네 가지 가능한 방식이 존재한다.
옵션 1 : RRC 메시지는 AS SMC이고, 어떤 표시자도 포함하지 않는다.
옵션 2 : RRC 메시지는 AS SMC이고, NoRootKeyDerivation 표시자를 포함한다.
옵션 3 : RRC 메시지는 AS SMC이고, RootKeyDerivation 표시자를 포함한다.
옵션 4 : RRC 메시지는 Root Key Derivation이 없는 AS SMC이다.
9. 단계 8에 대응하여 4 가지 가능한 방식이 존재한다.
옵션 1 : NoNASRecovery 표시자가 포함되거나 NoNASRecovery가 TRUE로 설정되는 경우, 또는 NASRecovery 표시자가 포함되지 않거나 NASRecovery가 False로 설정되는 경우, 또는 UE가 NAS Recovery가 없는 RRC Connection Setup 메시지를 수신하는 경우, UE는 새로운 KeNB/KgNB를 유도한다.
옵션 2 : NoRootKeyDerivation 표시자가 포함되거나 NoRootKeyDerivation이 TRUE로 설정되는 경우, UE는 새로운 KeNB/KgNB를 유도하지 않는다. 그렇지 않으면, UE는 새로운 KeNB/KgNB를 유도한다.
옵션 3 : RootKeyDerivation 표시자가 포함되지 않거나 RootKeyDerivation이 FALSE로 설정되는 경우, UE는 새로운 KeNB/KgNB를 유도하지 않는다. 그렇지 않으면, UE는 새로운 KeNB/KgNB를 유도한다.
옵션 4 : UE가 Root Key Derivation가 없는 AS SMC 메시지를 수신하면, UE는 새로운 KeNB/KgNB를 유도하지 않는다.
UE는 현재의 KeNB/KgNB 및 AS SMC에 표시된 새로운 무결성 및 암호화 알고리즘에 따라 Krrc-int 및 Krrc-enc를 유도한다. UE는 Krrc-int 및 새로운 무결성 알고리즘에 따라 AS SMC 메시지를 검증한다.
10. 성공적인 검증 후, UE는 Krrc-enc, Krrc-int, 새로운 암호화 및 무결성 알고리즘을 사용하여 AS SMP 메시지를 암호화하고 무결성을 보호할 수 있다. UE는 AS SMP 메시지를 타겟 gNB로 송신한다. 따라서 UE와 타겟 gNB는 보안 알고리즘을 성공적으로 협상했다.
11. 타겟 gNB는 DRB를 구성하기 위해 RRCConnectionReconfiguartion 메시지를 UE에 송신할 수 있다. 타겟 gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나 또는 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)할 수 있다.
현재 해결책과 비교하여, 이러한 실시예 1은 현재 RRC 메시지에 새로운 표시자를 추가하거나, UE가 NAS 복구를 수행하지 않는다는 것을 알리기 위해 새로운 RRC 메시지를 포함하며, 이는 일부 시그널링을 감소시킬 것이다.
실시예 2
도 3을 참조하면, 시그널링을 줄이기 위해, 타겟 기지국은 UE에게 AS 보안 컨텍스트(예, Kasme/Kamf)를 재사용하도록 지시하고, AS 보안 컨텍스트 및 비 접근 계층(NAS) 카운트에 기초하여 타겟 기지국 베이스에 대한 새로운 키를 유도한다. 구체적으로는, 다음 단계들을 참조한다.
0. 소스 eNB/gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)시키거나, UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)하기로 결정한다.
1. UE는 RRC 연결을 재개하기 위해 MSG3(RRCConnectionResumeRequest 메시지)를 타겟 eNB/gNB로 송신하여 재개 절차 또는 INACTIVE-CONNECTED 절차를 트리거한다.
2. 타겟 eNB/gNB는 UE 컨텍스트를 가져오기하기 위해 Retreive UE Context Request 메시지를 소스 eNB/gNB로 송신한다.
3. 소스 eNB/gNB는 위의 메시지에 응답하기 위해 Retreive UE Context Response 메시지를 소스 eNB/gNB로 송신한다. Retreive UE Context Response 메시지는 UE 보안 기능 및, UE와 소스 eNB/gNB 사이에 사용되는 이전 암호화 및 무결성 알고리즘을 포함할 수 있다.
4. 타겟 eNB/gNB가 이전 알고리즘을 지원할 수 없거나 타겟 eNB/gNB가 다른 알고리즘을 사용하는 것을 선호하는 경우, 타겟 eNB/gNB는 RRC Connection Setup 메시지를 송신한다.
5. RRC Connection Setup 메시지를 보내는 세 개의 가능한 방식이 존재한다.
옵션 1 : 타겟 eNB/gNB는 RRC Connection Setup 메시지를 UE에 송신한다. RRC Connection Setup 메시지에는 NoNASRecovery 표시자가 포함된다.
옵션 2 : 타겟 eNB/gNB는 RRC Connection Setup 메시지를 UE에 송신한다. RRC Connection Setup 메시지에는 NASRecovery 표시자가 포함된다.
옵션 3 : 타겟 eNB/gNB는 NAS Recovery가 없는 RRC Connection Setup 메시지를 UE에 송신한다.
6. 단계 5에 대응하여, 세 가지 해결책이 존재한다.
옵션 1 : NoNASRecovery 표시자가 포함되거나 NoNASRecovery가 TRUE로 설정된 경우, UE는 RRC 연결 재개가 폴백되었음을 상위 계층에 표시하지 않고, UE는 현재 AS 컨텍스트를 유지하며, UE는 선택적으로, UE AS 컨텍스트에 저장된 KgNB, Krrc-int, Krrc-enc, Kup-int(존재하는 경우) 및 Kup-enc(존재하는 경우)를 폐기할 수 있다. 그렇지 않으면, UE는 저장된 UE AS 컨텍스트를 폐기하고 상위 계층에 RRC 연결 재개가 폴백되었음을 표시한다.
옵션 2 : NASRecovery 표시자가 포함되거나 NASRecovery가 TRUE로 설정되는 경우, UE는 저장된 UE AS 컨텍스트를 폐기하고 RRC 연결 재개가 폴백되었음을 상위 계층에 표시한다. 그렇지 않으면, UE는 RRC 연결 재개가 폴백되었음을 상위 계층에 표시하지 않고, UE는 현재 AS 컨텍스트를 유지하며, UE는 선택적으로, UE AS 컨텍스트에 저장된 KgNB, Krrc-int, Krrc-enc, Kup-int(존재하는 경우), 및 UKup-enc(존재하는 경우)를 폐기할 수 있다.
옵션 3 : UE가 타겟 eNB/gNB로부터 NAS Recovery가 없는 RRC Connection Setup 메시지를 수신하는 경우, UE는 RRC 연결 재개가 폴백되었음을 상위 계층에 표시하지 않는다. UE는 현재 AS 컨텍스트(예, Kasme/Kamf)를 유지하고, UE는 선택적으로, UE AS 컨텍스트에 저장된 KgNB, Krrc-int, Krrc-enc, Kup-int(존재하는 경우) 및 Kup-enc(존재하는 경우)를 폐기할 수 있다.
Kasme는 4G 시스템의 키이고 Kamf는 5G 시스템의 키라는 점에 유의해야 한다.
7.(선택 사항) UE는 RRC Connection Setup Complete 메시지를 타겟 eNB/gNB로 송신한다.
8. 타겟 eNB/gNB는 UE 컨텍스트를 요청하기 위해 S1/N2 메시지를 MME/AMF에 송신하기로 결정한다.
9. MME(mobility management entity)/AMF(Access and Mobility Management Function)은 현재 Kasme/Kamf 및 현재 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고, KeNB/KgNB 및 UE 보안 기능을 타겟 eNB/gNB으로 송신한다. 선택적으로, MME/AMF는 NAS COUNT 또는 NAS COUNT의 LSB(least significant bit)를 타겟 eNB/gNB로 송신할 수 있다.
10. 타겟 eNB/gNB는 구성된 알고리즘 우선 순위 목록에서 가장 높은 우선 순위를 가지며, UE 보안 기능에도 존재하는 새로운 암호화 및 무결성 알고리즘을 선택한다. 선택된 알고리즘은 AS SMC에서 UE에 표시된다. 타겟 eNB/gNB는 KeNB/KgNB 및 새로운 무결성 알고리즘에 따라 Krrc-int를 유도한다. AS SMC는 Krrc-int 및 새로운 무결성 알고리즘에 의해 무결성이 보호된다. UE는 AS SMC에서 새로운 알고리즘을 얻을 수 있는데 이는 새로운 알고리즘이 암호화되지 않았기 때문이다. 선택적으로, 타겟 eNB/gNB는 AS SMC에서 NAS COUNT 또는 NAS COUNT의 LSB를 포함할 수 있다.
11. UE는 현재 Kasme/Kamf 및 현재 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고 (선택적으로, UE는 AS SMC에서 NAS COUNT 또는 NAS COUNT의 LSB에 따라 NAS COUNT를 얻을 수 있음), KeNB/KgNB 및 AS SMC에 표시된 새로운 무결성 및 암호화 알고리즘에 따라 Krrc-int 및 Krrc-enc를 유도한다. UE는 Krrc-int 및 새로운 무결성 알고리즘에 따라 AS SMC 메시지를 검증한다. 성공적인 검증 후, UE는 Krrc-enc, Krrc-int, 새로운 암호화 및 무결성 알고리즘을 사용하여 AS SMP 메시지를 암호화하고 무결성을 보호할 수 있다. UE는 AS SMP 메시지를 타겟 gNB로 송신한다. 따라서 UE와 타겟 gNB는 보안 알고리즘을 성공적으로 협상했다.
12. 타겟 gNB는 RRCConnectionReconfiguartion 메시지를 UE에 송신하여 DRB를 구성할 수 있다. 타겟 gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나 또는 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)할 수 있다.
현재 해결책과 비교하여, 이러한 실시예 2는 현재 RRC 메시지에 새로운 표시자를 추가하거나 UE에게 AS 컨텍스트를 재사용하도록 지시하는 새로운 RRC 메시지를 포함하며, 이는 NAS 시그널링을 감소시킬 것이다.
실시예 3
도 4를 참조하면, 본 발명의 이 실시예에 따른 방법은 다음 단계를 포함한다.
0. 소스 eNB/gNB는 UE를 중지(4G에 대해 UE에 중지 원인과 함께 RRCConnectionRelease 메시지를 송신)하거나 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)하기로 결정한다.
1. UE는 RRC 연결을 재개하기 위해 타겟 eNB/gNB에 MSG3(RRCConnectionResumeRequest 메시지)를 송신하여 재개 절차 또는 INACTIVE-CONNECTED 절차를 트리거한다.
2. 타겟 eNB/gNB는 UE 컨텍스트를 가져오기하기 위해 Retreive UE Context Request 메시지를 소스 eNB/gNB로 송신한다.
3. 소스 eNB/gNB는 위의 메시지에 응답하기 위해 Retreive UE Context Response 메시지를 소스 eNB/gNB로 송신한다. Retreive UE Context Response 메시지는 UE 보안 기능 및 UE와 소스 eNB/gNB 사이에 사용되는 이전 암호화 및 무결성 알고리즘을 포함할 수 있다.
4. 타겟 eNB/gNB가 이전 알고리즘을 지원할 수 없거나, 타겟 eNB/gNB가 다른 알고리즘을 사용하는 것을 선호하는 경우, 타겟 eNB/gNB는 구성된 알고리즘 우선 순위 목록에서 가장 높은 우선 순위를 가지며, UE 보안 기능에도 존재하는 새로운 암호화 및 무결성 알고리즘을 선택한다.
5. 타겟 gNB/eNB는 RRCConnectionReject 메시지를 UE에 송신한다. 메시지에는 새로운 알고리즘이 포함된다.
6. UE는 새로운 알고리즘을 저장하고, 새로운 알고리즘이 포함되면 즉시 MSG3를 다시 송신한다.
7. UE는 MSG3를 타겟 eNB/gNB로 송신한다. 선택적으로 MSG3는 새로운 재개 원인(예를 들면, 보안 협상 완료)을 포함할 수 있다.
8. 옵션 1 : 타겟 eNB/gNB가 RRCConnectionReject 메시지를 UE에 송신하는 경우, 타겟 eNB/gNB는 새로운 알고리즘에 대한 상태를 유지할 것이다. 예 1에서, 타겟 eNB/gNB는 타이머를 개시하여, 타겟 eNB/gNB가 MSG3을 수신하고 타이머가 만료되지 않은 경우, 타겟 eNB/gNB는 MSG4를 보호하기 위해 새로운 무결성 및 암호화 알고리즘을 사용한다. 예 2에서, 타겟 eNB/gNB는 UE 컨텍스트에서 보안 협상 표시를 기록하고, 타겟 eNB/gNB가 MSG3를 수신하는 경우, 타겟 eNB/gNB는 보안 협상 표시자가 있으면 MSG4를 보호하기 위해 새로운 무결성 및 암호화 알고리즘을 사용한다.
옵션 2 : 재개 원인이 보안 협상 완료를 나타내는 경우, 타겟 eNB/gNB는 새로운 무결성 및 암호화 알고리즘을 사용하여 MSG4를 보호한다.
타겟 eNB/gNB가 UE를 거절하는 경우 UE 컨텍스트를 유지하지 않을 수 있으므로, 타겟 eNB/gNB는 UE 컨텍스트를 가져오기 위해 단계 2-3을 다시 수행해야 할 수도 있다는 점에 유의한다. 타겟 eNB/gNB가 UE 컨텍스트를 유지하는 것도 가능하다.
타겟 eNB/gNB는 KeNB/KgNB 및 새로운 무결성 및 암호화 알고리즘에 따라 Krrc-int 및 Krrc-enc를 유도한다. MSG4는 Krrc-int 및 새로운 무결성 알고리즘에 의해 무결성이 보호되고, Krrc-enc 및 새로운 암호화 알고리즘에 의해 암호화된다. MSG4는 RRCConnectionResume 메시지, 중지 원인을 포함한 RRCConnectionRelease 메시지, RRCConnectionInactive 메시지 등이 될 수 있다.
9. UE는 KeNB/KgNB에 따라 Krrc-int 및 Krrc-enc를 유도하고 RRCConnectionReject 메시지에 표시된 새로운 무결성 및 암호화 알고리즘을 저장한다. UE는 Krrc-int, Krrc-enc 및 새로운 무결성 및 암호화 알고리즘에 따라 MSG4를 검증하고 해독한다.
현재 해결책과 비교하여, 이 실시예 3은 UE에게 새로운 알고리즘을 알리기 위해 RRCConnectionReject 메시지에 새로운 알고리즘을 추가하고, 이는 AS 시그널링(3 RRC), NAS 시그널링(1 NAS) 및 S1/N2 시그널링(2 S1/N2)을 감소시킬 것이다.
실시예 4
도 5를 참조하면, 본 발명의 이 실시예에 따른 방법은 다음 단계를 포함한다.
0. 소스 eNB/gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)하기로 결정한다.
1. 선택적으로, UE는 이전 알고리즘에 따라 shortResumeMAC-I를 계산할 수 있다. 다른 입력, 즉 PCI(source physical cell identifier), C-RNTI(source cell radio network temporary identifier), 타겟 셀 ID가 필요할 수 있다.
2. UE는 RRC 연결을 재개하기 위해 MSG3(RRCConnectionResumeRequest 메시지)를 타겟 eNB/gNB로 송신하여 재개 절차 또는 INACTIVE-CONNECTED 절차를 트리거한다. 이전 알고리즘은 MSG3에 포함되어 있다.
3. 타겟 eNB/gNB가 이전 알고리즘을 지원할 수 없는 경우,
4. 타겟 eNB/gNB는 UE가 RRC_IDLE(폴백 절차)에 있는 것처럼 RRC 연결 설정을 진행하기 위해 RRC Connection Setup 메시지를 UE에 송신한다.
5. UE는 저장된 UE AS 컨텍스트를 폐디하고 RRC 연결 재개가 폴백되었음을 상위 계층에 알린다. UE는 MME/AMF에 초기 NAS 메시지(예, Service Request 메시지)를 송신한다.
6. MME/AMF는 초기 NAS 메시지에 표시된 현재 Kasme/Kamf 및 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고, Initial Context Setup Request 메시지의 KeNB/KgNB 및 UE 보안 기능을 타겟 eNB/gNB로 송신한다.
7. 타겟 eNB/gNB는 구성된 알고리즘 우선 순위 목록에서 가장 높은 우선 순위를 가지며 UE 보안 기능에도 존재하는 새로운 암호화 및 무결성 알고리즘을 선택한다. 선택된 알고리즘은 AS SMC에서 UE에 표시된다. 타겟 eNB/gNB는 KeNB/KgNB 및 새로운 무결성 알고리즘에 따라 Krrc-int를 유도한다. AS SMC는 Krrc-int 및 새로운 무결성 알고리즘에 의해 무결성이 보호된다. 새로운 알고리즘이 암호화되지 않았기 때문에, UE가 AS SMC에서 새로운 알고리즘을 얻을 수 있다는 점에 유의한다.
8. UE는 초기 NAS 메시지에 표시된 현재 Kasme/Kamf 및 업링크 NAS COUNT에 따라 KeNB/KgNB를 유도하고, KeNB/KgNB 및 AS SMC에 표시된 새로운 무결성 및 암호화 알고리즘에 따라 Krrc-int 및 Krrc-enc를 유도한다. UE는 Krrc-int 및 새로운 무결성 알고리즘에 따라 AS SMC 메시지를 확인한다. 성공적인 검증 후, UE는 Krrc-enc, Krrc-int, 새로운 암호화 및 무결성 알고리즘을 사용하여, AS SMP 메시지를 암호화하고 무결성을 보호할 수 있다. UE는 AS SMP 메시지를 타겟 gNB로 송신한다. 따라서 UE와 타겟 gNB는 보안 알고리즘을 성공적으로 협상했다.
9. 타겟 gNB는 DRB를 구성하기 위해 RRCConnectionReconfiguartion 메시지를 UE에 송신할 수 있다. 타겟 gNB는 UE를 중지(4G에 대해 중지 원인과 함께 RRCConnectionRelease 메시지를 UE에 송신)하거나 또는 UE를 INACTIVE로 송신(5G에 대해 RRCConnectionInactive 메시지를 UE에 송신)할 수 있다.
현재 해결책과 비교하여, 이 실시예 4는 MSG3에 새로운 IE를 추가하여 타겟 eNB/gNB에 이전 알고리즘을 알리고, 타겟 eNB/gNB에 의해 지원되지 않으면 타겟 eNB/gNB는 UE를 IDLE로 직접 폴백할 것이며, 이는 여러 시그널링을 감소시킬 것이다.
도 6은 본 발명의 일 실시예에 따른 기지국의 간략화된 블록도이다(실시예 1 내지 4 중 어느 하나에서 설명된 타겟 기지국 또는 소스 기지국의 구조는 도 6을 참조할 수 있음). 도 6의 기지국(60)은 전술한 방법 실시예(실시예 1 내지 4)의 단계 및 방법을 구현하도록 구성될 수 있다. 도 6의 기지국(60)은 프로세서(61), 메모리(62), 수신기 회로(63) 및 송신기 회로(64)를 포함한다. 프로세서(61), 메모리(62) 및 수신기 회로(63)는 버스 시스템(66)을 사용하여 연결된다.
또한, 기지국(60)은 안테나(65) 등을 더 포함할 수 있다. 프로세서(61)는 기지국(60)의 동작을 제어한다. 메모리(62)는 읽기 전용 메모리와 랜덤 액세스 메모리를 포함할 수 있으며, 프로세서(61)에 대한 명령어 및 데이터를 제공할 수 있다. 메모리(62)의 일부는 NVRAM(nonvolatile random access memory)를 더 포함할 수 있다. 특정 응용에서, 송신기 회로(64) 및 수신기 회로(63)는 안테나(65)에 결합될 수 있다. 기지국(60)의 모든 구성 요소는 버스 시스템(66)을 사용하여 함께 결합된다. 데이터 버스에 추가하여, 버스 시스템(66)은 전원 버스, 제어 버스 및 상태 신호 버스를 포함한다. 그러나, 설명의 명확성을 위해, 다양한 버스가 도면에서 버스 시스템(66)으로 표시된다.
프로세서(61)는 집적 회로 칩일 수 있고 신호 처리 기능을 갖는다. 전술한 프로세서(61)는 범용 프로세서, DSP(digital signal processor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 또는 본 발명의 실시예에 개시된 방법, 단계 및 논리 블록도를 구현하거나 수행할 수 있는 다른 프로그래밍 가능 논리 디바이스, 개별 게이트 또는 트랜지스터 논리 디바이스 또는 개별 하드웨어 구성요소일 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 프로세서는 임의의 통상적인 프로세서 등일 수 있다. 프로세서(61)는 메모리(62)의 정보를 읽고, 프로세서(61)의 하드웨어와 결합하여 기지국(60)의 모든 부분을 제어한다.
도 7은 본 발명의 일 실시예에 따른 사용자 장비 디바이스의 간략화된 블록도이다(실시예 1 내지 4 중 어느 하나에서 설명된 사용자 장비의 구조는 도 7을 참조할 수 있다). 도 10의 사용자 장비(70)는 전술한 방법 실시예 1-4의 단계 및 방법을 구현하도록 구성될 수 있다. 도 10의 사용자 장비(70)는 프로세서(71), 메모리(72), 수신기 회로(73) 및 송신기 회로(74)를 포함한다. 프로세서(71), 메모리(72) 및 수신기 회로(73)는 버스 시스템(76)을 사용하여 연결된다.
또한, 사용자 장비(70)는 안테나(75) 등을 더 포함할 수 있다. 프로세서(71)는 사용자 장비(70)의 동작을 제어한다. 메모리(72)는 읽기 전용 메모리 및 랜덤 액세스 메모리를 포함할 수 있으며, 프로세서(71)에 대한 명령어 및 데이터를 제공할 수 있다. 메모리(72)의 일부는 NVRAM을 더 포함할 수 있다. 특정 응용에서, 송신기 회로(74) 및 수신기 회로(73)가 안테나(75)에 결합될 수 있다. 사용자 장비(70)의 모든 구성 요소는 버스 시스템(76)을 사용하여 함께 결합된다. 데이터 버스에 추가하여, 버스 시스템(76)은 전원 버스, 제어 버스 및 상태 신호 버스를 포함한다. 그러나, 설명의 명확성을 위해, 다양한 버스가 도면에서 버스 시스템(76)으로 표시된다.
프로세서(71)는 집적 회로 칩일 수 있으며 신호 처리 기능을 갖는다. 전술 한 프로세서(71)는 범용 프로세서, DSP, ASIC, FPGA, 또는 본 발명의 실시예에 개시된 방법, 단계 및 논리 블록도를 구현하거나 수행할 수 있는 다른 프로그램 가능 논리 디바이스, 개별 게이트 또는 트랜지스터 논리 디바이스, 또는 개별 하드웨어 구성 요소일 수 있다. 범용 프로세서는 마이크로프로세서일 수 있거나, 프로세서는 임의의 통상적인 프로세서 등일 수 있다. 프로세서(71)는 메모리(72)의 정보를 읽고, 프로세서(71)의 하드웨어와 결합하여 사용자 장비(70)의 모든 부분을 제어한다.
전체 명세서에서 언급된 "실시예"는 실시예와 관련된 구체적인 특징, 구조 특징이 본 발명의 적어도 하나의 실시예에 포함된다는 것을 의미하는 것은 아니라는 점을 이해해야 한다. 따라서 명세서 전반에 걸쳐 나타나는 "실시예에서"는 동일한 실시예를 의미하지 않는다. 또한, 이러한 구체적인 특징, 구조 또는 특징은 임의의 적절한 방식을 사용하여 하나 이상의 실시예에서 결합될 수 있다. 전술한 프로세스의 시퀀스 번호는 본 발명의 다양한 실시예에서 실행 시퀀스를 의미하는 것이 아니다. 프로세스의 실행 순서는 프로세스의 기능 및 내부 논리에 따라 결정되어야 하며, 본 발명의 실시예의 구현 프로세스에 대한 어떠한 제한으로 해석되어서는 안된다.
또한, "시스템" 및 "네트워크"라는 용어는 본 명세서에서 혼용될 수 있다. 본 명세서에서 "및/또는"라는 용어는 연관된 객체를 설명하기 위한 연관 관계만을 기술하고 세 가지 관계가 존재할 수 있음을 나타낸다. 예를 들어, A 및/또는 B는 A 만 존재하고, A와 B가 모두 존재하며, B만 존재하는 세 가지 경우를 나타낼 수 있다. 또한, 본 명세서에서 "/"라는 기호는 일반적으로 연관된 객체 간의 "또는" 관계를 나타낸다.
본 발명의 실시예들에서, "A에 대응하는 B"는 B가 A와 연관됨을 나타내고, B는 A에 따라 결정될 수 있다는 점을 이해해야 한다. 그러나, B에 따라 A를 결정하는 것은 B가 A에 따라서만 결정된다는 것을 의미하는 것은 아니며, 즉, B는 A 및/또는 다른 정보에 따라 결정될 수도 있다는 점을 더 이해해야 한다.
당업자는 본 명세서에 개시된 실시예들에 기술된 예시들과 결합하여, 유닛들 및 알고리즘 단계들이 전자 하드웨어, 컴퓨터 소프트웨어 또는 이들의 조합에 의해 구현될 수 있다는 점을 이해할 수 있다. 하드웨어와 소프트웨어 사이의 호환성을 명확하게 설명하기 위해, 전술한 내용은 일반적으로 기능에 따른 각 예시의 구성 및 단계를 설명했다. 기능이 하드웨어 또는 소프트웨어에 의해 수행되는지 여부는 특정 응용 프로그램과 기술적 해결책의 설계 제약 조건에 따라 달라진다. 당업자는 각각의 특정 애플리케이션에 대해 설명된 기능을 구현하기 위해 상이한 방법을 사용할 수 있지만, 구현이 본 발명의 범위를 벗어나는 것으로 간주되어서는 안된다.
편리하고 간단한 설명을 위해, 전술한 시스템, 장치 및 유닛의 상세한 작업 프로세스에 대해 전술한 방법 실시예 및 세부 사항의 해당 프로세스를 참조할 수 있음을 당업자는 명확하게 이해할 수 있으며, 여기서 다시 설명하지 않는다.
본 출원에서 제공되는 여러 실시예에서, 개시된 시스템, 장치 및 방법은 다른 방식으로 구현될 수 있다는 것을 이해해야 한다. 예를 들어, 설명된 장치 실시예는 단지 예시일 뿐이다. 예를 들어, 유닛 분할은 단순히 논리적 기능 분할이며 실제 구현에서는 달리 분할될 수 있다. 예를 들어, 복수의 유닛 또는 구성 요소가 다른 시스템에 결합 또는 통합될 수 있거나, 일부 기능이 무시되거나 수행되지 않을 수 있다. 또한, 디스플레이되거나 논의된 상호 결합 또는 직접 결합 또는 통신 연결이 일부 인터페이스를 통해 구현할 수 있다. 장치 또는 유닛 간의 간접 결합 또는 통신 연결은 전자적, 기계적 또는 다른 형태로 구현될 수 있다.
전술한 실시예들의 설명에서, 당업자는 본 발명이 하드웨어, 펌웨어 또는 이들의 조합에 의해 구현될 수 있다는 점을 명확하게 이해할 수 있다. 본 발명이 소프트웨어로 구현되는 경우, 전술한 기능은 컴퓨터 판독 가능 매체에 저장되거나 컴퓨터 판독 가능 매체의 하나 이상의 명령어 또는 코드로서 전송될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함하며, 통신 매체는 컴퓨터 프로그램이 한 장소에서 다른 장소로 전송될 수 있게 하는 임의의 매체를 포함한다. 저장 매체는 컴퓨터에 액세스할 수 있는 임의의 이용 가능한 매체일 수 있다.
다음은 제한이 아닌 예시로서 사용되며, 컴퓨터 판독 가능 매체는 RAM(random access memory), ROM(read-only memory), EEPROM(electrically erasable programmable read-only memory), CD-ROM(compact disc read-only memory) 또는 기타 광학 디스크 저장소, 디스크 저장 매체 또는 기타 디스크 저장소, 또는 명령 또는 데이터 구조 형식으로 예상되는 프로그램 코드를 전달하거나 저장하는 데 사용할 수 있고 컴퓨터에 의해 액세스될 수 있는 기타 매체를 포함할 수 있다. 또한 모든 연결부는 컴퓨터 판독 가능 매체로 적절하게 정의될 수 있다.
예를 들어, 소프트웨어가 동축 케이블, 광섬유/케이블, 트위스트 페어, DSL(digital subscriber line) 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술을 사용하여 웹 사이트, 서버 또는 다른 원격 소스에서 송신되는 경우, 동축 케이블, 광섬유/케이블, 트위스트 페어, DSL 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술은 그들이 속한 매체의 고정부(fixation)에 포함된다.
예를 들어, 본 발명에서 사용하는 디스크(disk) 및 디스크(disc)는 CD(compact disc), 레이저 디스크, 광 디스크, DVD(digital versatile disc), 플로피 디스크 및 블루 레이 디스크를 포함하며, 여기서 디스크(disk)는 일반적으로 자기 수단으로 데이터를 복사하고, 디스크(disc)는 레이저 수단으로 데이터를 광학적으로 복사한다. 전술한 조합은 또한 컴퓨터 판독 가능 매체의 보호 범위에 포함되어야 한다.
요약하면, 전술한 내용은 본 발명의 기술적 해결책의 실시예의 예시일 뿐이며, 본 발명의 보호 범위를 제한하려는 의도는 아니다. 본 발명의 사상 및 원칙을 벗어나지 않고 이루어진 모든 수정, 등가의 대체 또는 개선은 본 발명의 보호 범위 내에 속한다.

Claims (22)

  1. 보안 알고리즘 협상 방법으로서,
    사용자 장비 디바이스(UE)에 의해 타겟 기지국으로부터 제 1 요청 메시지를 수신하는 단계와,
    상기 UE에 의해, 상기 제 1 요청 메시지에 응답하여 소스 기지국에 대해 유도된(derived) 제 1 키를 예약하는 단계와,
    상기 UE에 의해, 상기 타겟 기지국으로부터 제 2 요청 메시지를 수신하는 단계 - 상기 제 2 요청 메시지는 알고리즘을 표시하는 데 사용되는 신원(identity)을 포함함- 와,
    상기 UE에 의해, 상기 제 1 키 및 상기 신원에 대응하는 알고리즘에 기초하여 제 2 키를 유도하는 단계를 포함하는
    보안 알고리즘 협상 방법.
  2. 제 1 항에 있어서,
    상기 제 1 요청 메시지는 제 1 표시자를 포함하고,
    상기 방법은,
    상기 UE에 의해, 상기 제 1 표시자에 기초하여 상기 제 1 키로부터 유도된 보안 키를 삭제하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  3. 제 2 항에 있어서,
    상기 UE에 의해, 상기 제 1 표시자에 기초하여 비 접근 계층 복구 프로세스(non-access stratum recovery process)를 트리거하는 것을 중지하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  4. 제 1 항에 있어서,
    상기 UE에 의해, 상기 제 1 요청 메시지에 응답하여 비 접근 계층 복구 프로세스를 트리거하는 것을 중지하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  5. 제 1 항에 있어서,
    상기 제 2 요청 메시지는 제 2 표시자를 포함하고,
    상기 방법은
    상기 UE에 의해, 상기 제 2 표시자에 기초하여 상기 타겟 기지국에 대한 키를 유도하는 것을 중지하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  6. 제 1 항에 있어서,
    상기 UE에 의해, 상기 제 1 요청 메시지에 응답하여 제 1 응답 메시지를 상기 타겟 기지국에 송신하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  7. 제 1 항에 있어서,
    상기 UE에 의해, 상기 제 2 요청 메시지를 검증하는 단계와,
    상기 UE에 의해, 상기 제 2 요청 메시지가 성공적으로 검증되는 경우, 상기제 2 키 및 상기 신원에 대응하는 알고리즘에 기초하여 제 2 응답 메시지를 보호하는 단계와,
    상기 UE에 의해, 상기 보호된 제 2 응답 메시지를 상기 타겟 기지국으로 송신하는 단계를 더 포함하는
    보안 알고리즘 협상 방법.
  8. 보안 알고리즘 협상 방법으로서,
    타겟 기지국에 의해, 사용자 장비 디바이스(UE)로 제 1 요청 메시지를 송신하는 단계 - 상기 제 1 요청 메시지는 상기 UE에게 소스 기지국에 대해 유도된 제 1 키를 예약하도록 지시함- 와,
    상기 타겟 기지국에 의해, 상기 UE에 제 2 요청 메시지를 송신하는 단계 - 상기 제 2 요청 메시지는 알고리즘을 표시하는 데 사용되는 신원을 포함함 - 와,
    상기 타겟 기지국에 의해, 상기 UE로부터 제 2 응답 메시지를 수신하는 단계를 포함하는
    보안 알고리즘 협상 방법.
  9. 제 8 항에 있어서,
    상기 제 1 요청 메시지는 제 1 표시자를 포함하고,
    상기 제 1 표시자는 상기 UE에게 상기 제 1 키로부터 유도된 보안 키를 삭제하도록 지시하는
    보안 알고리즘 협상 방법.
  10. 제 9 항에 있어서,
    상기 제 1 표시자는 상기 UE에게 비 접근 계층 복구 프로세스를 트리거하지 않도록 추가로 지시하는
    보안 알고리즘 협상 방법.
  11. 제 8 항에 있어서,
    상기 제 2 요청 메시지는 제 2 표시자를 포함하고,
    상기 제 2 표시자는 상기 UE에게 상기 타겟 기지국에 대한 키를 유도하지 않도록 지시하는
    보안 알고리즘 협상 방법.
  12. 사용자 장비 디바이스(UE)로서,
    수신기 및 프로세서를 포함하되,
    상기 수신기는, 타겟 기지국으로부터 제 1 요청 메시지를 수신하고, 상기 타겟 기지국으로부터 제 2 요청 메시지를 수신하도록 구성되고, 상기 제 2 요청 메시지는 알고리즘을 표시하는 데 사용되는 신원을 포함하며,
    상기 프로세서는, 상기 제 1 요청 메시지에 응답하여 소스 기지국에 대해 유도된 제 1 키를 예약하고, 상기 제 1 키 및 상기 신원에 대응하는 알고리즘에 기초하여 제 2 키를 유도하도록 구성되는
    사용자 장비 디바이스.
  13. 제 12 항에 있어서,
    상기 제 1 요청 메시지는 제 1 표시자를 포함하고,
    상기 프로세서는 상기 제 1 표시자에 기초하여 상기 제 1 키로부터 유도된 보안 키를 삭제하도록 더 구성되는
    사용자 장비 디바이스.
  14. 제 13 항에 있어서,
    상기 프로세서는 상기 제 1 표시자에 기초하여 비 접근 계층 복구 프로세스를 트리거하는 것을 중지하도록 더 구성되는
    사용자 장비 디바이스.
  15. 제 12 항에 있어서,
    상기 프로세서는 상기 제 1 요청 메시지에 응답하여 비 접근 계층 복구 프로세스를 트리거하는 것을 중지하도록 더 구성되는
    사용자 장비 디바이스.
  16. 제 12 항에 있어서,
    상기 제 2 요청 메시지는 제 2 표시자를 포함하고,
    상기 프로세서는 상기 제 2 표시자에 기초하여 상기 타겟 기지국에 대한 키를 유도하는 것을 중지하도록 더 구성되는
    사용자 장비 디바이스.
  17. 제 12 항에 있어서,
    상기 프로세서에 결합된 송신기를 더 포함하고,
    상기 송신기는 상기 제 1 요청 메시지에 응답하여 상기 타겟 기지국에 제 1 응답 메시지를 송신하도록 구성되는
    사용자 장비 디바이스.
  18. 제 12 항에 있어서,
    상기 프로세서에 결합된 송신기를 더 포함하고,
    상기 프로세서는 상기 제 2 요청 메시지를 검증하고, 상기 제 2 요청 메시지가 성공적으로 검증되는 경우 상기 제 2 키 및 상기 신원에 대응하는 알고리즘에 기초하여 제 2 응답 메시지를 보호하도록 더 구성되며,
    상기 송신기는 상기 보호된 제 2 응답 메시지를 상기 타겟 기지국으로 송신하도록 구성되는
    사용자 장비 디바이스.
  19. 기지국으로서,
    송신기 및 수신기를 포함하되,
    상기 송신기는
    제 1 요청 메시지를 사용자 장비 디바이스(UE)에 송신 - 상기 제 1 요청 메시지는 상기 UE에게 소스 기지국에 대해 유도된 제 1 키를 예약하도록 지시함 - 하고,
    제 2 요청 메시지를 상기 UE에 송신 - 상기 제 2 요청 메시지는 알고리즘을 표시하는 데 사용되는 신원을 포함함 - 하도록 구성되며,
    상기 수신기는 상기 UE로부터 제 2 응답 메시지를 수신하도록 구성되는
    기지국.
  20. 제 19 항에 있어서,
    상기 제 1 요청 메시지는 제 1 표시자를 포함하고,
    상기 제 1 표시자는 상기 UE에게 상기 제 1 키로부터 유도된 보안 키를 삭제하도록 지시하는
    기지국.
  21. 제 20 항에 있어서,
    상기 제 1 표시자는 상기 UE에게 비 접근 계층 복구 프로세스를 트리거하지 않도록 추가로 지시하는
    기지국.
  22. 제 19 항에 있어서,
    상기 제 2 요청 메시지는 제 2 표시자를 포함하고,
    상기 제 2 표시자는 상기 UE에게 상기 타겟 기지국에 대한 키를 유도하지 않도록 지시하는
    기지국.
KR1020217001026A 2018-06-21 2019-06-12 보안 알고리즘 협상을 위한 방법 및 장치 KR102437822B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862687810P 2018-06-21 2018-06-21
US62/687,810 2018-06-21
PCT/CN2019/090860 WO2019242545A1 (en) 2018-06-21 2019-06-12 Method and apparatus for security algorithm negotiation

Publications (2)

Publication Number Publication Date
KR20210019093A true KR20210019093A (ko) 2021-02-19
KR102437822B1 KR102437822B1 (ko) 2022-08-29

Family

ID=68983499

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217001026A KR102437822B1 (ko) 2018-06-21 2019-06-12 보안 알고리즘 협상을 위한 방법 및 장치

Country Status (3)

Country Link
EP (1) EP3804374B9 (ko)
KR (1) KR102437822B1 (ko)
WO (1) WO2019242545A1 (ko)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102238668B (zh) * 2010-05-07 2015-08-12 北京三星通信技术研究有限公司 一种通过网关进行x2切换的方法
US10251208B2 (en) * 2016-08-11 2019-04-02 Futurewei Technologies, Inc. System and method for connection management
EP3534633B1 (en) * 2016-10-26 2023-11-29 Nec Corporation Communication system, base station and control method

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HUAWEI ET AL : "Key handling at RRC-INACTIVE state transitions", 3GPP DRAFT; S3-182060 (2018.06.10.) *
HUAWEI et al., "Security Negotiation for RRC INACTIVE", 3GPP DRAFT, S3-181693(2018.05.14.) 1부.* *

Also Published As

Publication number Publication date
EP3804374B1 (en) 2022-04-06
EP3804374A1 (en) 2021-04-14
EP3804374A4 (en) 2021-06-23
EP3804374B9 (en) 2022-06-22
KR102437822B1 (ko) 2022-08-29
WO2019242545A1 (en) 2019-12-26

Similar Documents

Publication Publication Date Title
JP7074847B2 (ja) セキュリティ保護方法、装置及びシステム
CN109309920B (zh) 安全实现方法、相关装置以及系统
CN108347416B (zh) 一种安全保护协商方法及网元
EP3138311B1 (en) Method and system for providing security from a radio access network
CN101772021B (zh) 无线通讯系统处理保密设定的方法及其相关通讯装置
TWI463856B (zh) 促進安全性配置的同步的方法和裝置
US10798082B2 (en) Network authentication triggering method and related device
CN109729524B (zh) 一种rrc连接恢复方法及装置
EP2205014A2 (en) Method of handling inter-system handover security in wireless communications system and related communication device
CN111866874B (zh) 一种注册方法及装置
US11882433B2 (en) Communication method and communications apparatus
WO2009152755A1 (zh) 密钥身份标识符的生成方法和系统
US11751160B2 (en) Method and apparatus for mobility registration
KR102437822B1 (ko) 보안 알고리즘 협상을 위한 방법 및 장치
KR101670743B1 (ko) 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치
CN112400335B (zh) 用于执行数据完整性保护的方法和计算设备
CN107005410B (zh) 因特网协议安全性隧道建立方法,用户设备及基站
CN110169128B (zh) 一种通信方法、装置和系统
CN118827014A (zh) 密码算法处理方法、装置、通信设备及可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant