KR20210025678A - 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 - Google Patents

이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 Download PDF

Info

Publication number
KR20210025678A
KR20210025678A KR1020217004763A KR20217004763A KR20210025678A KR 20210025678 A KR20210025678 A KR 20210025678A KR 1020217004763 A KR1020217004763 A KR 1020217004763A KR 20217004763 A KR20217004763 A KR 20217004763A KR 20210025678 A KR20210025678 A KR 20210025678A
Authority
KR
South Korea
Prior art keywords
access
network
access network
type
identifier
Prior art date
Application number
KR1020217004763A
Other languages
English (en)
Other versions
KR102428262B1 (ko
Inventor
제니퍼 리우
Original Assignee
노키아 테크놀로지스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 테크놀로지스 오와이 filed Critical 노키아 테크놀로지스 오와이
Priority to KR1020217004962A priority Critical patent/KR102571312B1/ko
Publication of KR20210025678A publication Critical patent/KR20210025678A/ko
Application granted granted Critical
Publication of KR102428262B1 publication Critical patent/KR102428262B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/18Selecting a network or a communication service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/12Wireless traffic scheduling
    • H04W72/1215Wireless traffic scheduling for collaboration of different radio technologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 출원은 복수의 이종 액세스 네트워크를 통한 사용자 장비에 의한 세션 확립에 관한 것이다. 일 양태에서, 이종 액세스 네트워크는 3GPP 및 비-3GPP 액세스 네트워크(106)를 포함할 수 있다. 비-3GPP 액세스 네트워크(106)는, 하나 이상의 비-3GPP 신뢰 액세스 네트워크(108) 또는 하나의 또는 비-3GPP, 비-신뢰 액세스 네트워크(110)를 포함할 수 있다.

Description

이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
본 출원은, 일반적으로 액세스 네트워크에 관한 것으로서, 더욱 구체적으로는 복수의 이종 액세스 네트워크(heterogeneous access network)를 통한 사용자 장비에 의한 세션 확립에 관한 것이다.
이 부문에서의 서술은 관련 기술에 대한 설명을 제공하는 것이며 종래 기술을 인정하는 것이 아니다. 스마트폰, 스마트 태블릿, 랩톱, 컴퓨터, 스마트워치 등과 같은 사용자 장비(UE)는, 무선 근거리 통신망(WLAN) 연결(예를 들어, IEEE 802.11x 호환 WLAN 연결) 및 무선 액세스 네트워크 연결(예를 들어, EVDO, UMTS, HSPA 및 LTE를 포함한 3세대 파트너십 프로젝트(3GPP) 표준 세트와 완전히 또는 부분적으로 호환되는 기술) 모두를 위한 기능을 종종 포함한다. 따라서, UE는, 3GPP 액세스 네트워크와 비-3GPP 액세스 네트워크로 구성된 두 가지 유형의 액세스 기술을 사용하여 3GPP 진화된 패킷 코어(EPC) 네트워크에 연결할 수 있다.
일반적으로, 3GPP 액세스 네트워크는, 예를 들어, GPRS, UMTS, EDGE, HSPA, LTE, 및 LTE Advanced를 포함하는 3GPP 표준 세트에 의해 특정된 기술을 완전히 또는 부분적으로 준수한다. 비-3GPP 액세스 네트워크는 3GPP 표준 세트에 의해 특정되지 않은 기술을 완전히 또는 부분적으로 준수한다. 이것은, cdma2000, WLAN(예를 들어, IEEE 802.11x 호환 WLAN) 또는 고정 네트워크와 같은 기술을 포함한다.
3GPP 표준 세트는, 서로 다른 보안 메커니즘, 즉, 비신뢰(untrusted) 액세스 네트워크와 신뢰(trusted) 액세스 네트워크를 가진 "비-3GPP" 액세스 기술을 특정한다. 비신뢰 액세스 네트워크는, 높은 보안 위험을 초래할 수 있는 액세스 네트워크(예를 들어, 공중 WLAN 또는 펨토셀 액세스 네트워크)를 포함한다. 신뢰 액세스 네트워크는, 네트워크 운영자가 보안 관점에서 신뢰 수준이 있다고 간주하고 EPC 네트워크와 직접 인터페이싱할 수 있는 액세스 네트워크를 포함한다.
새로운 5G 표준 세트에서, 5G 시스템의 가장 중요한 특징들 중 하나는, 액세스 애그노스틱(access agnostic)인 수렴형 코어 네트워크를 제공한다는 점이다. 3GPP 액세스 및 비-3GPP 액세스를 포함한 다양한 액세스 네트워크 유형은 공통 액세스 네트워크 및 코어 네트워크 인터페이스를 통해 지원될 수 있다. 비-3GPP 액세스 네트워크(N3AN)는 5G 액세스 네트워크 및 5G 시스템(5GS)의 일부로서 간주된다.
비신뢰 비-3GPP 액세스의 경우, N3G 액세스 노드 N3IWF는, NG-RAN 노드와 마찬가지로 제어 평면 및 사용자 평면에 대한 시그널링 인터페이스의 종료를 각각 제공한다. 따라서, 5G 가능 UE는, N3IWF를 통해 5G 액세스 네트워크로서 비-3GPP 액세스 네트워크에 연결됨으로써 5G 코어 네트워크에 액세스할 수 있다. N3IWF는, UE가 AMF를 향한 직접 제어 평면 시그널링 연결을 갖도록 UE와 AMF 간에 업링크 및 다운링크 제어 평면 시그널링을 중계한다. 또한, N3IWF는, 비-3GPP 액세스 네트워크를 통해 PDU 세션에 대해 UE와 UPF 간의 사용자 평면 연결을 제공한다.
UE가 3GPP 액세스 및 비-3GPP 액세스 네트워크 모두를 통해 5G 코어에 등록될 때, 다수의 비-액세스 스트라텀(NAS) 연결이 동시에 활성화될 수 있다. UE는 동일한 PLMN 또는 다른 PLMN에서 등록될 수 있다. UE가 한 유형의 액세스(예를 들어, 3GPP 액세스)를 통해 하나의 PLMN에 액세스하고 다른 유형의 액세스(예를 들어, 비-3GPP 액세스)를 통해 다른 PLMN에 액세스하는 경우, 상이한 일차 인증들이 수행된다. 등록 후, NAS 연결은 서로 다른 보안 컨텍스트를 이용하여 서로 다른 AMF를 서빙한다. 그러나, UE가 상이한 유형의 액세스 네트워크들을 통해 동일한 서비스 네트워크에서 등록을 요청하면, 첫 번째 액세스 유형에 대한 등록 절차 중에 공통 5G NAS 보안 컨텍스트가 생성되고, 모든 NAS 연결은 동일한 AMF에 의해 서빙된다.
현재, 3GPP 액세스에 대해서는, NAS 연결 식별자가 "0"인 것으로 가정한다. 비-3GPP 액세스의 경우에는, NAS 연결 식별자가 "1"이라고 가정한다. 추가 비-3GPP 액세스 네트워크 유형이 향후 릴리스, 예를 들어, 신뢰 WLAN 액세스, 유선 액세스, MuLteFire 액세스 등에 추가되면, 문제가 발생한다. 이러한 상이한 유형의 비-3GPP 액세스 네트워크들은 각각 별도의 NAS 연결을 확립해야 한다. 그러나, 현재는, 상이한 유형의 비-3GPP 액세스 네트워크들을 통한 NAS 연결에 대해 NAS 연결 식별자 "1"만이 존재한다.
따라서, 복수의 상이한 유형의 비-3GPP 액세스 네트워크를 통한 NAS 연결을 지원하는 시스템 및 방법을 제공할 필요가 있다. 본 명세서에서 설명하는 실시예에는 다른 요구 및 이점도 제공된다.
설명 및 도면은 다양한 실시예의 원리를 예시할 뿐이다. 따라서, 당업자는, 본 명세서에 명시적으로 설명되거나 도시되지 않았지만, 본 명세서 및 청구범위에서 원리를 구현하고 본 개시내용의 사상 및 범위 내에 속하는 다양한 구성을 고려할 수 있다는 점을 이해할 것이다. 또한, 본 명세서에 언급되는 모든 예는, 주로 명확하게 독자가 실시예의 원리 및 발명자가 기술을 발전시키는 데 기여한 개념을 이해하는 데 도움이 되는 교육적 목적만을 위한 것이며, 제한 없이 이렇게 구체적으로 언급되는 예 및 조건 자체로서 해석되어야 한다. 또한, 본 명세서의 원리, 양태, 실시예 및 특정 예를 인용하는 본 명세서의 모든 서술은 해당 등가물을 포함하도록 의도된 것이다.
본 명세서에 설명하는 일부 약어는 아래에서 편의상 확장되어 있다:
5GC 5G 코어
5GS 5G 시스템
5G-AN 5G 액세스 네트워크
5G-GUTI 5G 전역 유니크 임시 식별자
5G-S-TMSI 5G S-임시 모바일 가입 식별자(5G S-Temporary Mobile Subscription Identifier)
5QI 5G QoS 식별자
AKA 인증 및 키 합의
AMF 코어 액세스 및 이동성 관리 기능
AUSF 인증 서버 기능
EAP 확장가능 인증 프로토콜
HPLMN 홈 공중 지상 모바일 네트워크
IKEv2 인터넷 키 교환 v2
IMSI 국제 모바일 가입자 아이덴티티(International Mobile Subscriber Identity)
IMEI 국제 모바일 장비 아이덴티티
IPsec 인터넷 프로토콜 보안
MCC 모바일 국가 코드(Mobile Country Code)
MCM 멀티 연결 모드
MNC 모바일 네트워크 코드(Mobile Network Code)
N3IWF 비-3GPP 인터워킹 기능
NAI 네트워크 액세스 식별자
NAS 비-액세스 스트라텀
ngKSI 5G 시스템의 키 세트 식별자
NHN-ID 중립 호스트 네트워크 ID
PDN 패킷 데이터 네트워크
PLMN 공중 지상 모바일 네트워크
QoS 서비스 품질
SA 보안 연관
SCM 단일-연결 모드
SMC 보안 모드 커맨드
SUCI 가입 은폐 식별자(subscription concealed identifier )
SUPI 가입 영구 식별자(subscription permanent identifier)
UDM 통합 데이터 관리
UE 사용자 장비
UICC 유니버설 집적 회로 카드
USIM UMTS 가입자 아이덴티티 모바일
여기서는 인증되지 않은 사용자 장비에 네트워크 서비스를 제공하기 위한 시스템 및 방법을 제공하는 하나 이상의 실시예를 설명한다. 예를 들어, 신뢰 비-3GPP 액세스 네트워크에서 인증되지 않은 UE에 대한 세션 확립을 위한 다양한 방법을 설명한다.
도 1은, 3세대 파트너십 프로젝트(3GPP) 표준 세트 또는 다른 유형의 인터넷 프로토콜(IP) 데이터 패킷 코어 네트워크 표준을 완전히 또는 부분적으로 준수하는 진화된 패킷 코어에 대한 액세스 네트워크 유형의 일 실시예의 개략적 블록도를 도시한다. 이 아키텍처는, "3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Architecture enhancements for non-3GPP accesses"라는 명칭으로 본 명세서에 참고로 원용되는 기술 표준 3GPP TS 23.402 V14.2.0(2016년 12월)에 더욱 자세히 설명되어 있다.
3GPP 아키텍처에서, EPC 네트워크(100)는 하나 이상의 액세스 네트워크(102)에 통신 가능하게 결합된다. 일 실시예에서, 액세스 네트워크(102)는, 하나 이상의 3GPP 액세스 네트워크(104) 또는 하나 이상의 비-3GPP 액세스 네트워크(106)를 포함할 수 있다. 3GPP 액세스 네트워크(104)는, 3GPP 표준 세트에 의해 특정된 기술, 예를 들어, GPRS, UMTS, EDGE, HSPA, LTE, 및 LTE Advanced를 전체적으로 또는 부분적으로 준수한다. 비-3GPP 액세스 네트워크(106)는 3GPP 표준 세트에 의해 특정되지 않은 기술을 완전히 또는 부분적으로 준수한다. 비-3GPP 액세스 네트워크(106)는 3GPP 표준 세트에서 그렇게 특정될 수 있다. 비-3GPP 액세스 네트워크(106)는, 하나 이상의 비-3GPP 신뢰 액세스 네트워크(108) 또는 하나 이상의 비-3GPP, 비신뢰 액세스 네트워크(110)를 포함할 수 있다.
신뢰 비-3GPP 액세스 네트워크(108)는, 암호화 및 보안 인증 방법을 이용하는 IEEE 802.11x 준수 WLAN 네트워크와 같은 운영자 구축형 또는 운영자 지원형 무선 근거리 통신망(WLAN)이다. 일 실시예에서, 신뢰 비-3GPP 액세스 네트워크(108)는 다음에 따르는 예시적인 특징들, 예컨대, 무선 액세스 네트워크(RAN)의 암호화를 또한 필요로 하는 802.1x 기반 인증, 인증을 위해 EAP 방법을 사용하는 3GPP 기반 네트워크 액세스, 및 IPv4 및/또는 IPv6 프로토콜을 지원한다. 그러나, 운영자는, 상이한 보안 유형을 갖는 다른 유형의 비-3GPP 액세스 네트워크들을 신뢰할 수 있는 것으로 간주한다고 결정할 수 있다. 비신뢰 비-3GPP 액세스 네트워크(110)는. 운영자에게 알려지지 않았거나 지원되는 인증 표준을 포함하지 않는 비-3GPP 액세스 네트워크를 포함한다. 예를 들어, 비신뢰 비-3GPP 액세스 네트워크는, 대중에게 개방된 IEEE 802.11x 준수 WLAN 네트워크와 같은 가정용 또는 공중 WLAN, 가정용 WLAN, 또는 비운영자 기원 및 관리형을 포함할 수 있다.
5세대 무선 또는 5G를 위한 다른 프로토콜 세트는, 무선 네트워크의 속도와 응답성을 크게 증가시키도록 설계된 최신판의 셀룰러 기술이다. 5G라는 용어는 처음에 ITU IMT-2020 표준에 의해 정의되었으며, 이러한 표준은 이론상 20기가비트의 최대 다운로드 용량을 필요로 했다. 더 최근에는, 산업 표준 그룹 3GPP가 5G 아키텍처와 프로토콜을 정의하고 있다. 예를 들어, 기술 사양(TS) 23.501은 네트워크 슬라이딩을 포함하는 5G 시스템에 대한 2-단계 시스템 아키텍처를 정의한다. 기술 사양(TS) 23.502는 5G 시스템에 대한 절차를 정의한다. 기술 사양(TS) 23.503은 5G 시스템에 대한 정책 및 충전 제어 프레임워크를 정의한다.
5G 시스템에서, 5G 액세스 네트워크는, 예를 들어, 3GPP TS 38.300에 설명된 바와 같은 차세대(NG) 무선 액세스 네트워크(NG-RAN)를 포함할 수 있다. 또한, 5G 액세스 네트워크는, 예를 들어 비-3GPP 인터워킹 기능(N3IWF)에서 종료된 보안 IPSec/IKE 터널을 통해 UE가 5G 코어 네트워크에 연결될 수 있는 비신뢰 비-3GPP 액세스 네트워크를 포함할 수 있다. 비-3GPP 액세스 네트워크(N3AN)는 5G 액세스 네트워크 및 5G 시스템(5GS)의 일부로서 간주된다.
비신뢰 비-3GPP 액세스의 경우, N3IWF를 포함하는 액세스 노드는, 제어 평면 및 사용자 평면에 대해 각각 N2 및 N3 시그널링 인터페이스의 종료를 제공한다. 5G 지원 UE는, N3IWF를 통해 (5G 액세스 네트워크로서) 비-3GPP 액세스 네트워크에 연결됨으로써 5G 코어 네트워크에 액세스한다. N3IWF는, UE와 5G 코어 네트워크 간에 업링크 및 다운링크 제어 평면 NAS(N1) 시그널링을 중계하여, UE가 코어 네트워크를 향하여 직접 NAS 시그널링 연결을 가질 수 있게 한다. 또한, N3IWF는, 비-3GPP 액세스 네트워크를 통해 PDU 세션을 위해 UE와 코어 네트워크 간의 사용자 평면 연결을 제공한다.
도 2는 비-3GPP 액세스를 위한 5G 시스템 아키텍처의 일 실시예의 개략적 블록도를 예시한다. 이 아키텍처는, "System Architecture for the 5G System"이라는 명칭으로 본 명세서에 참고로 원용되는 기술 표준 3GPP TS 23.501, 릴리스 15(2017년 12월)에 더욱 자세히 설명되어 있다.
비-3GPP 액세스 네트워크는 비-3GPP 인터워킹 기능(N3IWF)을 통해 5G 코어 네트워크에 연결된다. N3IWF는, N2 및 N3 인터페이스를 통해 5G 코어 네트워크 제어 평면(CP) 및 사용자 평면(UP) 기능을 각각 인터페이싱한다. UE는, 비신뢰 비-3GPP 액세스 네트워크를 통해 5G 코어 네트워크에 연결되도록 N3IWF와의 IPSec 터널을 확립한다. UE는 IPSec, 터널 확립 절차 중에 5G 코어 네트워크에 의해 인증되고 이러한 네트워크에 연결된다. 비신뢰 비-3GPP 액세스를 통한 5G 코어 네트워크에 대한 UE 연결의 추가 세부 사항은, "Procedures for the 5G System"이라는 명칭으로 본 명세서에 참고로 원용되는 3GPP TS 23.502, 릴리스 15(2017년 12월)에 설명되어 있다.
5G 시스템은, 액세스 및 이동성 관리 기능(AMF)을 포함하는 홈 공중 지상 모바일 네트워크 또는 등가 홈 PLMN(HPLMN-5G)을 포함한다. AMF는, RAN 제어 평면 인터페이스(N2)의 종료와 NAS (N1) 프로토콜 세트의 종료, NAS 암호화, 및 무결성 보호를 제공한다. AMF는 등록 및 연결 관리도 제공한다. AMF는 비-3GPP 액세스 네트워크를 지원하는 다양한 기능을 포함할 수 있다. 예를 들어, AMF는, N3IWF를 통한 UE와의 NAS 시그널링의 지원뿐만 아니라 N3IWF를 통한 N2 인터페이스 제어 프로토콜의 지원도 제공할 수 있다. 또한, AMF는, N3IWF를 통해 연결된 UE의 인증의 지원, 이동성의 관리, 인증, 및 비-3GPP 액세스를 통해 연결되거나 3GPP 및 비-3GPP 액세스를 통해 동시에 연결된 UE의 별도의 보안 컨텍스트 상태(들)를 제공할 수 있다.
세션 관리 기능(SMF)은, 세션 관리 기능, 예를 들어, 세션 확립, UPF와 AN 노드 간의 터널 유지보수를 포함하는 수정 및 해제를 포함한다. SMF는, 또한, UE IP 어드레스 할당 및 관리(선택적 인가를 포함함)와 DHCPv4(서버 및 클라이언트) 및 DHCPv6(서버 및 클라이언트) 기능을 제공한다.
사용자 평면 기능(UPF)은, 데이터 네트워크 및 패킷 라우팅 및 포워딩에 대한 상호연결의 외부 PDU 세션 포인트를 제공한다. UPF는, 또한, 정책 규칙 시행의 사용자 평면 부분, 예를 들어, 게이팅, 리다이렉션, 트래픽 조정 등을 지원한다.
정책 제어 기능(PCF)은 네트워크 거동을 관리하도록 통합 정책 프레임워크를 지원한다. 통합 데이터 관리(UDM)는, 3GPP AKA 인증 자격증명을 생성하기 위한, 가입 데이터(예를 들어, 로딩 제한)에 기초한 액세스 인가, 및 UE의 서빙 NF 등록 관리(예를 들어, UE의 PDU 세션을 위한 서빙 SMF를 저장하는 UE를 위한 서빙 AMF의 저장)를 포함한다. 통합 데이터 관리는 SMS 및 가입 관리도 제공한다. 이 기능을 제공하기 위해, UDM은 UDR에 저장될 수 있는 가입 데이터(인증 데이터를 포함함)를 사용한다. AUSF는 인증 서버 기능(AUSF)을 제공한다.
비신뢰 비-3GPP 액세스의 경우에 N3IWF의 기능은 UE와의 IPsec 터널 확립 지원을 포함한다. N3IWF는, NWu를 통해 UE와의 IKEv2/IPsec 프로토콜을 종료하고, N2를 통해 UE를 인증하고 5G 코어 네트워크에 대한 액세스 권한을 부여하는 데 필요한 정보를 중계한다. N3IWF는, 제어 평면 및 사용자 평면에 대한 5G 코어 네트워크에 N2 및 N3 인터페이스의 종료를 각각 제공한다. N3IWF는, UE와 AMF 간에 업링크 및 다운링크 제어 평면 NAS (N1) 시그널링을 중계한다. N3IWF는, PDU 세션 및 QoS와 관련된 SMF(AMF에 의해 중계됨)로부터의 N2 시그널링의 처리를 제공한다. N3IWF는, 또한, PDU 세션 트래픽을 지원하도록 IPsec 보안 연관(IPsec SA)의 확립을 제공한다. N3IWF는, 또한, UE와 UPF 간의 업링크 및 다운링크 사용자 평면 패킷을 중계하는 기능을 제공한다.
도 3은 다수의 이종 액세스 네트워크를 통해 5G 시스템에 액세스하는 UE의 일 실시예의 개략적 블록도를 예시한다. 다수의 이종 액세스 네트워크는, 예를 들어, 3GPP 액세스, 비신뢰 WLAN 액세스, 및 비-3GPP 액세스를 포함한다. UE가 3GPP 액세스 및 비-3GPP 액세스 네트워크를 통해 5G 코어에 등록되면, UE와 AMF 간에 다수의 제어 평면 NAS 시그널링 연결이 동시에 활성화된다.
UE는, 보안 연결을 확립하면, "등록 요청" 메시지를 AMF/SEAL에 전송한다. 등록 요청 메시지는 SUCI, 5G-GUTI 또는 IMEI를 포함하는 5GS 모바일 ID IE를 포함한다. AMF/SEAF는, UE로부터 등록 요청 메시지를 수신한 후, AUSF에 대한 "인증 개시 요청"(5G-AIR) 메시지를 준비한다. SEAF는, 또한, 서빙 네트워크 이름을 5G-AIR 메시지에 포함한다. AUSF는, SEAF로부터 5G-AIR 메시지를 수신한 후, "Auto-Info-Req" 메시지를 준비하여 UDM/ARPF에 전송한다. UDM/ARPF는 먼저 인증 관리 필드(AMF) 분리 비트 = 1인 인증 벡터를 생성한다. 이어서, UDM/ARPF는 CK' 및 IK'를 연산한다. 그 후 ARPF는, Auto-Info-Rsq 메시지를 사용하여 (RAND, AUTN, XRES, CK', IK')를 AUSF에 전송한다. AUSF는, EAP-요청/AKA'-Challenge 메시지를 포함하는 5G-AIA 메시지를 전송함으로써 SEAF에 응답한다. SEAF는, NAS 메시지 Auth-Req 메시지에서 EAP-요청/AKA'-Challenge 메시지를 UE에 투명하게 포워딩한다. SEAF는, Auth-Req 메시지에 대해 UE로부터 응답을 받은 후, EAP 응답을 AUSF에 포워딩하고, AUSF는 이를 저장된 정보로 유효성 확인(validate)한다. 검증이 성공하면, AUSF는, EAP-성공과 앵커 키를 SEAF에 전송하고, 이어서 SEAF는 UE에 EAP-성공으로 응답한다. 인증이 개시되었을 때 AUSF가 SEAF로부터 SUCI를 수신하였다면, AUSF는 EAP-SUCCESS 메시지를 전송하는 동안 SUPI도 포함한다.
UE가 한 유형의 액세스(예를 들어, 3GPP 액세스)를 통해 하나의 PLMN에 액세스하고 다른 유형의 액세스(예를 들어, 비-3GPP 액세스)를 통해 다른 PLMN에 액세스하는 경우, 상이한 일차 인증들이 수행된다. 등록 후, NAS 연결은 상이한 보안 컨텍스트들을 이용하는 상이한 AMF들에 의해 서빙된다. 그러나, 도 3에 도시된 바와 같이, UE는, 상이한 유형의 액세스를 통해 동일한 서빙 네트워크(예를 들어, 동일한 HPLMN-5G)에서 등록을 요청할 수 있다. 이어서, UE에 대한 모든 NAS 연결은 동일한 AMF에 의해 서빙된다.
현재, UE가 상이한 유형의 액세스를 통해 서빙 네트워크에 등록될 때, NAS 연결 식별자의 할당은 하드 코딩된다. 예를 들어, 3GPP TSG # 80 본 회의는, 본 명세서에 참고로 원용되는 2018년 7월 15일자 (REL-15)의 독립형 (SA) 릴리스 15, 5G 사양의 완료를 승인하였다. REL-15에서는, 3GPP 액세스를 위한 NAS 연결 식별자가 "0"이라고 가정한다. 비-3GPP 액세스의 경우에는, NAS 연결 식별자가 "1"이라고 가정한다. 하드 코딩된 연결 식별자의 이러한 할당은, 한 가지 유형의 비-3GPP 액세스만, 예를 들어, 비신뢰 WLAN 액세스만이 지원되었으므로, Rel-15에서 문제를 나타내지 않았다. 그러나, 향후 릴리스에서 비-3GPP 액세스 네트워크 유형, 예를 들어, 신뢰 WLAN 액세스, 유선 액세스, MuLteFire 액세스 등이 추가될 것으로 예상된다. 상이한 유형의 비-3GPP 액세스 네트워크들은 각각 별도의 NAS 연결을 확립해야 한다. 네트워크 구성 및 UE 서비스 가입에 따라, UE는, 다수의 액세스 네트워크, 예를 들어, 도 2에 도시된 바와 같은 3GPP 액세스 및 다수의 비-3GPP 액세스 네트워크에 동시에 연결될 수 있다. 이 상황에서, 상이한 비-3GPP 액세스 네트워크들을 통한 연결에 동일한 NAS 연결 식별자를 사용하는 것은 기능하지 않을 것이다.
또한, 상이한 액세스 유형이 상이한 시퀀스에서 활성화될 수 있다. 예를 들어, UE가 3GPP 액세스 네트워크를 통해 등록하기 전에 UE가 비-3GPP 액세스 네트워크들 중 하나를 통해 먼저 인증을 수신하고 NAS 보안 컨텍스트를 설정하는 것이 가능하다. 또 다른 가능성으로, UE는 3GPP 액세스 네트워크가 아닌 다수의 비-3GPP 액세스 네트워크를 통해 등록한다. 이처럼, 서빙 네트워크와 액세스 유형 쌍과 NAS 연결 간의 더욱 유연한 결합이 필요하다.
UE가 자신인 UE에게 서비스를 제공할 권한이 있는 서빙 네트워크에 연결되어 있는지를 검증하기 위해서는, 인증(AKA) 과정에서 홈 네트워크에 의해 서빙 네트워크가 검증되어야 한다. 인증은, 일차 인증 및 키 합의 절차가 성공적으로 완료되었다면 서비스 네트워크가 인가된 것으로 가정하므로, 암시적이다. 그러나, 실패 사례는, 암시적이어서는 안되며, 명시적으로 정의되어야 한다.
마지막으로, 5G 시스템에서는, 가입자 식별자를 가입 영구 식별자(SUPI)라고 한다. SUPI는 IMSI 또는 NAI 포맷으로 정의될 수 있다. 가입자 프라이버시를 보장하기 위해, SUPI는, 5G RAN을 통해 일반 텍스트로 전송되어서는 안 되며, 가입 은폐 식별자(SUCI)를 사용하여 무선으로 은폐된다. SUCI는, 홈 네트워크를 제어하기 위해 안전하게 프로비저닝된 원시 공개 키와 함께 보호 체계(scheme)를 사용하여 생성된다. SUPI의 가입 식별자 부분만이 은폐되는 한편, SUPI의 홈 네트워크 식별자 부분은 라우팅 목적으로 명확하게 유지되어야 한다.
라우팅 정보는 액세스 네트워크 유형에 따라 다를 수 있다. 3GPP 액세스 네트워크의 경우, 모바일 국가 코드(MCC) 및 모바일 네트워크 코드(MNC)는 라우팅 정보의 일부일 수 있다. 그러나, 비-3GPP 액세스 네트워크의 경우, 다른 네트워크 식별자 및 라우팅 정보가 사용될 수 있다. 예를 들어, MuLteFire 유형 액세스 네트워크의 경우, 네트워크 식별자 및 라우팅 정보는, 중립 호스트 네트워크 ID(NHN-ID), 참여 서비스 제공자 ID(PSP-ID), 및 중립 호스트 액세스 모드 표시기(NHAMI)에 기초한다. NHAMI는, NHN 액세스 모드를 활성화하는 모든 MuLteFire 네트워크에 대해 동일한 예약된 전역 값이다. 인증 절차 동안 모바일 아이덴티티로서 사용되는 다른 유형의 네트워크 및 가입자 식별자 포맷을 SUCI가 지원하도록 일반적인 방식으로 SUCI 정보 요소의 코딩을 정의할 필요가 있다.
또한, SUPI에 대하여 IMSI 및 NAI 포맷이 모두 사용될 수 있다는 점을 감안할 때, SUCI 스키마 출력의 경우, MSIN은 가입 식별자가 IMSI 포맷으로 된 경우의 표현에 해당하고, 사용자 이름은 가입 식별자가 NAI 포맷으로 된 경우의 표현에 해당한다. IMSI 기반 NAI의 경우, NAI의 가입자 식별자 부분도 숫자로 구성되므로, IMSI 포맷, NAI 포맷, 및 SUCI 정보 요소 정의 내에서 잠재적으로 다른 유형의 가입자 식별자 포맷을 구별하도록 추가 인코딩 규칙이 필요하다.
본 명세서에 설명된 하나 이상의 실시예는, 다수의 이종 액세스 네트워크를 통한 동시 보안 접속을 가능하게 하는 시스템 및 방법을 제공한다. UE가 등록 중에 액세스 유형을 포함하고 이종 액세스 네트워크를 통한 동시 NAS 연결 맵핑을 추적할 수 있게 하는 새로운 방법 및 프로토콜 향상을 설명한다. 서빙 네트워크 검증 실패를 처리하는 새로운 시스템 및 방법도 설명한다. 새로운 시스템과 방법 및 프로토콜 향상은, MuLteFire 액세스 네트워크 및 사설 네트워크 지원을 위한 가입 식별자의 향후 확장성뿐만 아니라 한 유형의 가입 식별자로서의 NAI 사용도 지원하도록 추가로 설명된다.
1. 실시예 - UE는 , 등록 중의 액세스 유형 및 이종 액세스 네트워크를 통한 동시 NAS 연결 맵핑을 추적하는 능력을 포함한다
a) UE는 액세스 유형 A를 통해 초기 등록을 개시한다.
도 4는, UE가 액세스 네트워크 유형 A를 통해 초기 등록을 개시할 때 UE와 코어 네트워크 기능 간의 인증 및 키 합의 메시지 흐름을 위한 방법의 일 실시예의 논리적 흐름도를 예시한다. UE와 AMF 간에 도시된 NAS 메시지는, 액세스 네트워크 유형 A가 비신뢰 비-3GPP 액세스인 경우에 IPsec 터널을 통해 터널링될 수 있다. 예를 들어, UE는, 예컨대, IETF RFC 7296, "Internet Key Exchange Protocol Version 2 (IKEv2)," (2014년 10월)에 설명된 바와 같은 인터넷 키 교환(IKE) 프로토콜 초기 교환을 개시함으로써, 선택된 N3IWF와의 IPsec 보안 연관(SA)을 확립할 수 있다. 이 예에서, 액세스 네트워크 유형 A는, 3GPP 액세스, 신뢰 비-3GPP 액세스, 비신뢰 비-3GPP 액세스, 비신뢰 WLAN 액세스, 신뢰 WLAN 액세스, MuLteFire 액세스 등을 포함하는 복수 유형의 네트워크 중 제1 유형이다.
UE가 액세스 네트워크 유형 A를 통해 초기 등록을 개시할 때, UE는 등록 요청 메시지에 액세스 유형을 포함한다. 등록 요청 메시지는 UE에 의해 AMF에 전송된다. AMF는, 5G 시스템에서 보안을 위한 앵커 역할을 하는 보안 앵커 기능(SEAF)과 함께 배치된다. AMF/SEAF는, 등록 요청 메시지를 수신하면, Nausf_UEAuthentication_Authenticate Request 메시지를 AUSF에 전송함으로써 Nausf_UEAuthentication 서비스를 호출하여 인증을 개시한다. SEAF는, Nausf_UEAuthentication_Authenticate Request에 가입 Id, 서빙 네트워크 이름, 및 액세스 유형을 포함한다.
AUSF는, Nausf_UEAuthentication_Authenticate Request 메시지를 수신하면, 수신된 서빙 네트워크 이름과 예상되는 서빙 네트워크 이름을 비교한다. 서빙 네트워크에서의 요청하는 SEAF가 서빙 네트워크 이름을 사용할 권한이 있는 경우, AUSF는, 가입 ID, 서빙 네트워크 이름, 및 액세스 유형을 포함하여 Nudm_UEAuthentication_Get Request를 UDM에 전송한다.
UDM/ARPF는, Nudm_UEAuthentication_Get Request를 수신한 후, 가입 데이터를 기반으로 인증 방법을 선택한다. 예를 들어, 본 명세서에서 수정된 바와 같은 EAP-AKA' 상호 인증 유형 프로토콜(예를 들어, 본 명세서에 참고로 원용되며 Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement(EAP-AKA')라는 명칭으로 2018년 3월 5일자로 IETF RFC 5448에 개시된 EAP-AKA')은, UE와 AUSF 간에 실행될 수 있다.
UDM/ARPF는, 인증 벡터를 생성하고, 이 인증 벡터 AV'(RAND, AUTN, XRES, CK', IK')를 Nudm_UEAuthentication_Get Request를 수신한 AUSF에 전송한다. UDM/ARPF는, 또한, Nudm_UEAuthentication_Get Response 메시지를 사용하여 인증 벡터 AV'가 EAP-AKA'에 사용된다는 표시를 전송한다.
이어서, AUSF와 UE는 EAP-요청/AKA'-Challenge 교환을 진행한다. AUSF는, KAUSF와 KSEAF 키를 도출하고, Nausf_UEAuthentication_Authenticate Response 메시지 내에 EAP 성공 메시지와 KSEAF를 포함하여 AMF/SEAF에 전송한다.
AMF/SEAF는, Nausf_UEAuthentication_Authenticate Response 메시지를 수신한 후, KAMF 키를 도출한다. 이어서, AMF는, 보안 모드 커맨드 절차를 개시하여 보안 컨텍스트 및 보안 알고리즘 정보를 UE에 전송한다. UE는, 보안 모드 커맨드를 수신하고, NAS 보안 컨텍스트를 도출하고, 보안 모드 커맨드 완료 메시지를 AMF에 전송한다.
절차가 완료되면, 아래의 도 5에 도시된 바와 같이 액세스 네트워크 유형 A에 대한 연결 정보를 포함하도록 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블이 업데이트된다.
도 5는 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블의 일 실시예의 개략적 블록도를 예시한다. 이 예에서, 맵핑 테이블은, 제1 유형, 예를 들어, 네트워크 유형 A의 액세스 네트워크에 대한 연결 정보를 포함하도록 업데이트된다. 맵핑 테이블은 액세스 네트워크를 통해 UE에 의한 등록 후에 업데이트된다. 테이블은, 액세스 네트워크 유형, 네트워크 식별자, 및 액세스 네트워크 식별자를 포함한다. 맵핑 테이블은, 또한, 액세스 네트워크 유형 A와 UE 간의 NAS 연결에 대한 NAS 연결 식별자를 포함한다. 따라서, 맵핑 테이블은, 각 NAS 연결에 대하여, NAS 연결 식별자, 액세스 네트워크 유형, 네트워크 식별자, 및 액세스 네트워크 식별자를 저장한다.
도 6은 등록 요청 메시지의 콘텐츠의 일 실시예의 개략적 블록도를 예시한다. 등록 요청 메시지는 초기 등록을 시작하기 위해 액세스 네트워크를 통해 UE에 의해 AMF에 전송된다. 등록 요청 메시지는 액세스 네트워크의 "액세스 유형" 정보 요소를 포함한다. 액세스 유형 정보 요소의 목적은, 다운링크 시그널링 또는 사용자 데이터가 UE에 전송될 액세스 유형을 나타내는 것이다.
도 7은, 등록 요청 메시지에서의 액세스 유형 정보 요소의 일 실시예의 개략적 블록도를 예시한다. 액세스 유형은 유형 1 정보 요소이다.
도 8은, 등록 요청 메시지에서의 액세스 유형 정보 요소에 대한 액세스 유형값의 일 실시예의 개략적 블록도를 예시한다. 일 실시예에서, 액세스 유형은, 3GPP 액세스, 비신뢰 비-3GPP 액세스, 신뢰 비-3GPP 액세스, 비신뢰 WLAN 액세스, 신뢰 WLAN 액세스, 및 MuLteFire 액세스를 포함한다. 등록 메시지의 액세스 유형 정보 요소에 대체 또는 추가 액세스 유형이 포함될 수 있다.
b1) UE는 액세스 유형 C를 통해 후속 등록을 개시하고 기존의 NAS 보안 컨텍 스트가 재사용된다
UE가 다른 유형, 예컨대, 액세스 유형 C의 액세스 네트워크를 통해 후속 등록을 개시하고 UE가 이미 네트워크에 의해 인증되어 있고 동일한 서비스 네트워크에서 동일한 AMF에 의해 서빙되는 경우, AMF는 이용가능한 보안 컨텍스트가 있다면 새로운 인증을 실행하지 않기로 결정할 수 있다.
도 9는 기존의 NAS 보안 컨텍스트가 재사용될 때 액세스 네트워크 유형 C를 통한 UE에 의한 등록 방법의 일 실시예의 논리적 흐름도를 예시한다. 이 예에서는, UE가 액세스 네트워크 유형 A 및 액세스 네트워크 유형 B와 NAS 연결을 확립하였다고 가정한다. UE와 AMF 간에 표시되는 NAS 메시지는, 액세스 네트워크 유형 C가 비신뢰 비-3GPP 액세스인 경우에 IPsec 터널을 통해 터널링된다는 점에 주목한다.
UE는, 액세스 네트워크 유형 C을 갖는 다른 액세스 네트워크를 통해 후속 등록을 개시할 때, 등록 요청 메시지에 액세스 유형을 포함한다. AMF는 기존의 보안 컨텍스트를 재사용하기로 결정할 수 있다. 이용가능한 공통 5G NAS 보안 컨텍스트를 사용하여 새로운 NAS 연결이 생성된다. NAS 보안 컨텍스트는 새로운 NAS 연결에 대하여 특정한 파라미터로 업데이트된다. 절차가 완료되면, 도 10에 도시된 바와 같이 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블이 업데이트되어 액세스 네트워크 C에 대한 연결 정보를 포함한다.
도 10은, 액세스 유형 A, 액세스 유형 B, 및 액세스 유형 C로 등록한 후의 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블의 일 실시예의 개략적 블록도를 예시한다. 이 예에서는, 액세스 유형 C에 대한 연결 정보를 포함하도록 맵핑 테이블이 업데이트된다. 맵핑 테이블은 액세스 네트워크를 통한 UE에 의한 등록 후에 업데이트된다. 맵핑 테이블은, 액세스 네트워크 유형, 네트워크 식별자, 및 액세스 네트워크 식별자를 포함한다. 맵핑 테이블은, 액세스 네트워크 유형 C와 UE 간의 NAS 연결에 대한 NAS 연결 식별자도 포함한다. NAS 연결 식별자는 "2"이다. 맵핑 테이블은 UE 및 AMF 및/또는 AUSF와 같은 다른 기능 또는 노드에 저장될 수 있다.
b2) UE가 액세스 네트워크 유형 C를 통해 후속 등록을 개시하고 새로운 인증이 개시된다
UE가 액세스 유형 C를 통해 후속 등록을 개시할 때, UE가 동일한 서비스 네트워크에 대하여 네트워크에 의해 이미 인증된 경우, AMF는, UE가 다른 AMF에 의해 서빙되기 때문에 또는 보안 알고리즘이 변경됨으로 인해, 인증 및 키 합의 절차를 다시 실행하기로 결정할 수 있다.
도 11은, 새로운 인증이 개시될 때 액세스 네트워크 유형 C를 통한 UE에 의한 등록 방법의 일 실시예의 논리적 흐름도이다. 이 예에서는, UE가 액세스 네트워크 유형 A 및 액세스 네트워크 유형 B와 NAS 연결을 확립하였다고 가정한다. 액세스 네트워크 유형 C가 비신뢰 비-3GPP 액세스인 경우에 UE와 AMF 간에 표시되는 NAS 메시지는 IPsec 터널을 통해 터널링된다는 점에 주목한다.
UE는, 액세스 네트워크 유형 C를 통해 후속 등록을 개시할 때, 등록 요청 메시지에 액세스 유형을 포함한다. AMF는 인증 및 키 합의 절차를 다시 실행하기로 결정한다. AMF는, UE가 다른 AMF에 의해 서빙되기 때문에 또는 보안 알고리즘이 변경됨으로 인해, 인증 및 키 합의 절차를 다시 실행하기로 결정할 수 있다. 인증 및 키 합의 절차가 완료되면, AMF에 의해 UE에 대한 새로운 NAS 보안 모드 커맨드가 개시되어, 액세스 유형 C에서 새롭게 도출된 5G NAS 보안 컨텍스트를 활성화한다.
새롭게 도출된 5G NAS 보안 컨텍스트를 사용하여 새로운 NAS 연결이 생성된다. NAS 보안 컨텍스트는 새로운 NAS 연결에 대하여 특정한 파라미터로 업데이트된다. 이어서, AMF는, 기존의 각 액세스 유형에 대해 새로운 5G NAS 보안 컨텍스트를 활성화하기 위해 다른 모든 액세스 유형에 대한 추가 NAS SMC 절차를 트리거한다. 다른 액세스 유형에 대한 성공적인 NAS SMC 절차 후에, UE와 AMF는 모두 이전 NAS 보안 컨텍스트를 삭제한다. 절차가 완료되면, 도 12에 도시된 바와 같이 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블이 업데이트되어 액세스 네트워크 유형 C에 대한 연결 정보를 포함한다.
도 12는, 액세스 유형 A, 액세스 유형 B, 및 액세스 유형 C로 등록된 후에 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블의 일 실시예의 개략적 블록도를 예시한다. 이 예에서는, 액세스 유형 C에 대한 연결 정보를 포함하도록 맵핑 테이블이 업데이트된다. 맵핑 테이블은, 액세스 네트워크를 통한 UE에 의한 등록 후에 업데이트된다. 맵핑 테이블은 액세스 네트워크 유형, 네트워크 식별자, 및 액세스 네트워크 식별자를 포함한다. 맵핑 테이블은 액세스 네트워크 유형 C와 UE 간의 NAS 연결에 대한 NAS 연결 식별자도 포함한다. NAS 연결 식별자는 "2"이다. 맵핑 테이블은 UE 및 AMF 및/또는 AUSF와 같은 다른 기능 또는 노드에 저장될 수 있다.
2. 실시예 - 서빙 네트워크 인가 실패
UE가 자신인 UE에게 서비스를 제공하도록 인가된 서빙 네트워크에 연결되어 있는지 검증하려면, AKA 절차 동안 홈 네트워크에 의해 서빙 네트워크를 검증해야 한다. 서빙 네트워크가 인가되면 AKA 절차가 계속되고, 일차 인증 및 키 합의 절차가 성공적으로 완료되었다면, 이는 서비스 네트워크가 인가되었음을 의미한다.
그러나, 서빙 네트워크가 인가되지 않은 경우, 인증 절차는 중지되고, AUSF는 인가되지 않은 서빙 네트워크로 인한 인증 실패를 표시하도록 AMF에 인증 응답을 전송할 것이다.
도 13은, 서빙 네트워크 인가 실패가 발생했을 때 액세스 네트워크 유형 A를 통한 UE에 의한 등록 방법의 일 실시예의 논리적 흐름도를 도시한다. 액세스 네트워크 유형 A가 비신뢰 비-3GPP 액세스인 경우에 UE와 AMF 간의 NAS 메시지는 IPsec 터널을 통해 터널링된다는 점에 주목한다.
AUSF는, Nausf_UEAuthentication_Authenticate Request 메시지를 수신하면, 수신된 서빙 네트워크 이름과 예상되는 서빙 네트워크 이름을 비교한다. 서비스 네트워크에서 요청 SEAF가 서비스 네트워크 이름을 사용하도록 인가되지 않으면, AUSF는 Nausf_UEAuthentication_Authenticate Response에서 "서비스 네트워크가 인가되지 않음"으로 응답한다.
서빙 네트워크 인가 실패는 다른 PLMN 관련 실패와는 다르다. 이것은, UE 가입 또는 액세스 제한으로 인한 실패가 아니며, 예를 들어, 운영자 금지로 인한 것이 아니라, 보안 검증/인가의 서비스 네트워크 실패로 인한 것이다. 현재, 이러한 실패 사례에 대한 원인 코드는 없다.
PLMN 실패와 관련된 하나의 실패 코드는, "PLMN 허용되지 않음"이지만, 가입으로 인한 또는 운영자가 결정한 금지로 인한 거부를 UE에게 알리기 위한 것이다. 이 실패 코드는, 원인 #11 - PLMN이 허용되지 않음이다. 이러한 5GMM 원인은, 가입에 인해 또는 운영자가 결정한 금지로 인해 UE가 작동할 수 없는 PLMN에서, UE가 서비스를 요청하면 또는 네트워크가 등록 해지(de-registration) 요청을 개시하면, UE에 전송된다.
UE가 "PLMN 허용되지 않음"으로 인해 거부를 수신하면, UE는, 5GS 업데이트 상태를 5U3 ROAMING NOT ALLOWED로 설정하고 등록 시도 카운터를 재설정하고, 자신의 보안 컨텍스트, 임의의 5G-GUTI, 마지막 방문된 등록된 TAI, TAI 리스트, ngKSI, 동등한 PLMN 리스트를 삭제하고, "금지된 PLMN 리스트"에 PLMN 아이덴티티도 저장해야 한다.
그러나, 서빙 네트워크 인가 실패가 발생한 경우, 실패가 UE 가입 또는 액세스 제한과 관련된 실패가 아니라면, UE는, 자신의 업데이트 상태를 5U3 ROAMING NOT ALLOWED로 재설정할 필요가 없으며, 다른 PLMN을 선택하는 시도를 즉시 행할 수 있다. 따라서, UE가 다른 행동을 취할 수 있으므로, 이러한 다른 상황에 대한 새로운 원인 코드를 정의하는 것이 더 적절하다.
예를 들어, 서빙 네트워크 인가 실패가 발생하면, UE는, PLMN에 대한 초기 등록 절차를 중단하고, PLMN 아이덴티티를 "금지된 PLMN 리스트"에 저장하고, 5GS 업데이트 상태를 5U2 NOT UPDATED로 설정하고, PLMN 선택을 수행하기 위해 5GMM-DEREGISTERED.PLMN-SEARCH 상태에 진입할 수 있다. 이처럼, "서빙 네트워크가 인가되지 않음"을 나타내려면 새로운 5GMM 거부 원인이 필요하다.
도 14는 5GMM 원인 정보 요소의 일 실시예의 개략적 블록도를 예시한다. 5GMM 원인 정보 요소는 UE로부터의 5GMM 요청의 네트워크에 의한 거부 이유를 나타낸다. 새로운 5GMM 거부 원인이 이러한 정보 요소에 포함되어 "서비스 네트워크가 인가되지 않음"을 나타낸다. 예를 들어, 새로운 거부는, UE에 서빙 네트워크 인가 실패를 시그널링하도록 새로운 원인 코드 #73으로서 포함될 수 있다. 서비스 네트워크가 인가되지 않기 때문에 인증 프로세스를 진행할 수 없는 경우에는 새로운 원인 코드가 사용된다.
도 15는 5GMM 원인 정보 요소에 대한 원인 값들의 일 실시예의 개략적 블록도를 예시한다. 새로운 원인 #73인 서비스 네트워크가 인가되지 않음을 포함하도록 원인 값이 업데이트된다. 이 5GMM 원인은, UE가 서빙 네트워크에 대한 등록을 개시하고 서빙 네트워크가 인가에 실패한 경우에 UE에 전송된다.
서빙 네트워크의 인증 실패 후, UE는 3GPP 액세스에 대해 "서빙 네트워크가 인가되지 않음"이라는 5GMM 원인과 함께 등록 거부를 수신한다. 이어서, UE는, 초기 등록 절차를 중단하고, PLMN 아이덴티티를 "금지된 PLMN 리스트"에 저장하고, 5GS 업데이트 상태를 5U2 NOT UPDATED로 설정하고, PLMN 선택을 수행하도록 5GMM-DEREGISTERED.PLMN-SEARCH 상태로 진입한다. 따라서, UE는 다른 PLMN을 선택할 수 있다.
3. 실시예 - MuLteFire 및 사설 네트워크를 지원하기 위한 가입 식별자의 향후 확장성 및 NAI를 한 유형의 가입 식별자로서 사용하는 것을 지원하는 방법 및 프로토콜 향상
a) 상이한 가입자 아이덴티티 유형/포맷을 가입자 식별자로서 사용할 수 있도록 새로운 필드 " SUPI 포맷"이 정의된다
전역적으로 고유한 5G 가입 영구 식별자(SUPI)는 5G 시스템의 각 가입자에게 할당되고 UDM/UDR에서 제공된다. SUPI는 3GPP 시스템 내에서만 사용되며, 그의 프라이버시는, 본 명세서에 참고로 원용되며 2018년 3월 26일자 릴리스 15의 "Security architecture and procedures for 5G System"의 3GPP TS 33.501에 특정되어 있다. 다음에 따르는 IMSI 및 NAI는 유효한 SUPI 유형으로서 식별되었다.
SUCI는, 5G 전역으로 고유한 임시 아이덴티티(5G-GUTI)가 디바이스에 할당되지 않은 경우에 5G 시스템에 연관된 절차 동안 사용되는 부분적으로 암호화된 SUPI이다. SUCI는, 일반적으로 가입자의 IMSI의 모바일 가입자 식별 번호(MSIN) 구성요소를 암호화함으로써 생성된다.
UE는, 홈 네트워크의 제어로 안전하게 프로비저닝된 원시 공개 키를 사용하여 SUCI를 생성한다. 보호 체계는 홈 네트워크의 원시 공개 키를 사용한다. UE는, 보호 체계(예를 들어, 일부 패딩 체계의 적용)에 의해 특정된 바와 같이 SUPI의 가입 식별자 부분으로부터 체계-입력을 구축한다. 이어서, UE는 구축된 체계 입력을 입력으로서 사용하여 보호 체계를 실행하고 출력을 체계-출력으로서 취한다. UE는 홈 네트워크 식별자, 예를 들어, 모바일 국가 코드(MCC) 또는 모바일 네트워크 코드(MNC)를 은폐하지 않는다. 이어서, UE는 홈 네트워크 식별자, 홈 네트워크 공개 키의 식별자, 및 체계-출력을 포함하는 SUCI를 생성한다.
그러나, SUPI에 대하여 IMSI 및 NAI 포맷을 모두 사용할 수 있으므로, SUCI 스키마 출력의 경우, MSIN은 가입 식별자가 IMSI 포맷인 경우의 표현에 해당하고, 사용자 이름은 가입 식별자가 NAI 포맷인 경우의 표현에 해당한다. IMSI 기반 NAI의 경우, NAI의 가입자 식별자 부분도 숫자로 구성되므로, IMSI 포맷, NAI 포맷, 및 SUCI 정보 요소 정의 내의 잠재적으로 다른 유형의 가입자 식별자 포맷을 구별하는 데 추가 인코딩 규칙이 필요하다.
도 16은, 상이한 SUCI 구조를 가능하게 하는 가입 은폐 식별자(SUCI)에 대한 새로운 정보 필드의 일 실시예의 개략적 블록도를 예시한다. 새로운 정보 필드를 사용하여, SUPI 및 SUCI에 대한 모바일 아이덴티티 포맷을 사용되는 SUPI 아이덴티티 유형/포맷에 기초하여 조정할 수 있다. 예를 들어, IMSI의 경우, 네트워크 식별자는 MNC/MCC를 기반으로 한다. IMSI 기반 NAI의 경우, 네트워크 식별자도 MNC/MCC를 기반으로 한다. 비-IMSI 기반 NAI의 경우, 네트워크 식별자는 일반 네트워크 유형 표시기 및 운영자 또는 기업 특정 네트워크 식별자를 기반으로 하며, 여기서 네트워크 유형 표시기는 특수 예약된/하드-코딩된 전역 MCC/MNC 값을 기반으로 할 수 있다. MuLteFire NAI(MF-NAI)의 경우, 네트워크 식별자는, 특별 예약된/하드-코딩된 전역 MCC/MNC, 중립 호스트 네트워크 ID(NHN-ID), 및 참여 서비스 제공업자 ID(PSP-ID)를 기반으로 한다.
도 17은, 가입 은폐 식별자(SUCI)에 대한 새로운 정보 필드에 의해 지원되는 아이덴티티 유형의 일 실시예의 개략적 블록도를 예시한다. 새로운 SUCI 정보 필드는 가입자 식별자에 대해 다양한 아이덴티티 유형을 가능하게 한다. 아이덴티티 유형은, SUCI, 5G-GUTI, IMEI, 5G-S-TMSI, IMEISV, MAC 어드레스, 또는 디바이스 아이덴티티를 포함할 수 있다. 디바이스 ID는, 예를 들어, UDI, ODIN, 블루투스 ID, 일련 번호 등을 포함할 수 있다. 대체 또는 추가 아이덴티티 유형도 정의될 수 있다.
도 18은 일반적인 SUCI 가입자 아이덴티티 포맷의 일 실시예의 개략적 블록도를 예시한다. SUCI 가입자 아이덴티티 구조는 네트워크 유형 표시기(NTI)를 포함한다. 홈 네트워크 식별자와 라우팅 식별자는 액세스 네트워크 유형에 따라 상이할 수 있다. 체계 출력 필드(scheme output field)는, 보호 체계를 사용하여 생성되는 은폐된 가입자 식별자를 포함한다.
도 19는 SUPI 포맷이 IMSI 또는 IMSI 기반 NAI일 때 SUCI 가입자 아이덴티티 포맷의 일 실시예의 개략적 블록도를 예시한다. 이것은, 아이덴티티 유형이 "SUCI"이고 SUPI 포맷이 "IMSI" 또는 "IMSI 기반 NAI"인 경우의 5GS 모바일 아이덴티티 정보 요소 포맷을 예시한다. 3GPP 액세스 네트워크의 경우, 홈 네트워크 식별자는 PLMN ID(MCC 및 MNC)를 포함한다. 모바일 국가 코드(MCC) 및 모바일 네트워크 코드(MNC)는 라우팅 정보의 일부일 수 있다.
도 20은, SUPI 포맷이 비-IMSI 기반 NAI이고 아이덴티티 유형이 "SUCI"인 경우의 SUCI 가입자 아이덴티티 포맷의 일 실시예의 개략적 블록도를 예시한다. 이것은, 아이덴티티 유형이 "SUCI"이고 SUPI 포맷이 "비-IMSI 기반 NAI"인 경우의 5GS 모바일 아이덴티티 정보 요소 포맷의 일례를 예시한다. 네트워크 식별자 및 라우팅 정보는 네트워크에 대하여 특정된다. 네트워크 유형 표시기(NTI) 필드의 값은 네트워크 유형을 나타내는 데 사용된다.
도 21은, SUPI 포맷이 "비-IMSI 기반 NAI"이고 NTI에 예약된 전역 PLMN ID가 할당된 경우의 SUCI 가입자 아이덴티티 포맷의 일 실시예의 개략적 블록도를 예시한다. SUPI 포맷이 "비-IMSI 기반 NAI"인 경우, 네트워크 유형 표시기는 PLMN ID(MCC/MNC)에서 예약된 전역 값일 수 있다.
도 22는, 아이덴티티의 유형이 "SUCI"이고 SUPI 포맷이 "MF-NAI"일 때 SUCI 가입자 아이덴티티 포맷의 일 실시예의 개략적 블록도를 예시한다. MuLteFire 네트워크의 경우, 네트워크 식별자 및 라우팅 정보는, 중립 호스트 네트워크 ID(NHN-ID), 참여 서비스 제공업자 ID(PSP-ID), 및 중립 호스트 액세스 모드 표시기(NHAMI)를 기반으로 한다. NHAMI는, NHN 액세스 모드를 가능하게 하는 모든 MuLteFire 네트워크에 대해 동일한 예약된 전역 값이다.
도 23은 SUCI 아이덴티티 유형의 일 실시예의 개략적 블록도를 예시한다. 이 테이블은 SUCI 아이덴티티 유형에 대한 추가 인코딩의 다양한 예를 예시한다.
도 24는 예시적인 사용자 장비(220)의 일 실시예의 개략적 블록도를 예시한다. 사용자 장비(UE)(220)는 스마트폰, 스마트 태블릿, 랩톱, 스마트워치, PC, TV, 또는 기타 디바이스를 포함할 수 있다. 추가적인 또는 대안적인 구성요소 및 기능이 UE(220) 내에 포함될 수 있다. 또한, 여기에 표시된 기능 및 구성요소 중 하나 이상은 존재하지 않을 수 있거나 다른 구성요소 또는 기능과 결합되지 않을 수 있다.
UE(220)는, UE(220)와 관련하여 본 명세서에 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(2600) 및 메모리 디바이스(2602)를 포함한다. 메모리 디바이스(2602)는, 본 명세서에 설명된 다양한 기능을 수행하도록 처리 디바이스(2600)를 제어하는 애플리케이션 및 동작 명령어를 저장하는 관리 객체(2604)를 포함할 수 있다. 메모리 디바이스(2602)는, 또한, 서빙 네트워크 및 액세스 유형 대 NAS 연결 맵핑 테이블(2650)을 저장할 수 있다. UE(220)는, 또한, IMSI의 저장을 위한 USIM(2608)을 포함하는 UICC(2606)를 포함할 수 있다.
UE(220)는, 블루투스 트랜시버(2610), WLAN(IEEE 802.11x 준수) 트랜시버(2612), 모바일 RF(3G/4G/5G) 트랜시버(2614), 및 GPS(2616)를 더 포함할 수 있다. WLAN 트랜시버(2612)는 WLAN 네트워크에 대한 비-3GPP 액세스 인터페이스로서 동작할 수 있다. UE(220)는, 사용자 인터페이스(2618), AC 어댑터(2620), 배터리 모듈(2622), USB 트랜시버(2624), 및 이더넷 포트(2628)를 더 포함할 수 있다.
UE(220)는 디지털 카메라(2630), 터치 스크린 컨트롤러(2632), 스피커(2634), 및 마이크로폰(2636)을 더 포함할 수 있다. UE(220)는, 또한, 전력 관리 유닛(2638)을 포함할 수 있다. 하나 이상의 내부 통신 버스(도시하지 않음)는 UE(220)의 구성요소들 중 하나 이상을 통신 가능하게 결합할 수 있다.
도 25는 예시적인 AMF 노드의 일 실시예의 개략적 블록도를 예시한다. AMF 노드는 5G 코어 네트워크의 다른 노드와 통합될 수 있다. 추가 또는 대체 구성요소 및 기능이 AMF 노드 내에 포함될 수 있다. 또한, 본 명세서에 표시된 기능 및 구성요소 중 하나 이상은, 존재하지 않을 수 있거나 다른 구성요소 또는 기능 또는 노드와 결합되지 않을 수 있다. AMF 노드는, 본 명세서에 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(2700) 및 메모리 디바이스(2702)를 포함한다. AMF 노드는, 5GC 네트워크의 다른 네트워크 노드에 인터페이싱하기 위한 포트를 포함하는 네트워크 인터페이스(2704)를 포함할 수 있다.
도 26은 예시적인 N3IWF의 일 실시예의 개략적 블록도를 예시한다. N3IWF는 무선 근거리 통신망의 액세스 포인트, 근거리 통신망의 게이트웨이 등일 수 있다. N3IWF는 액세스 네트워크의 다른 노드들과 통합될 수 있다. 추가 또는 대체 구성요소 및 기능이 N3IWF 내에 포함될 수 있다. 또한, 본 명세서에 표시된 기능 및 구성요소 중 하나 이상은, 존재하지 않을 수 있거나 다른 구성요소 또는 기능과 결합되지 않을 수 있다. N3IWF는, 본 명세서에 설명된 기능들 중 하나 이상을 수행하도록 구성된 처리 디바이스(2800) 및 메모리 디바이스(2802)를 포함한다. N3IWF는, 5GC 네트워크의 다른 네트워크 노드들에 인터페이싱하기 위한 제1 네트워크 인터페이스(2804)(예를 들어, 이더넷 포트, IP 포트)를 포함할 수 있다. N3IWF는, 또한, WLAN 트랜시버(2806)(예를 들어, IEEE 802.1x WLAN 유형 네트워크를 준수함)와 같이 UE와 통신하기 위한 하나 이상의 다른 유형의 인터페이스를 포함할 수 있다. N3IWF는, 또한, 셀룰러 무선 인터페이스를 준수하는 모바일 RF 트랜시버(2808)를 포함할 수 있다. UE(220)는, WLAN 트랜시버(2806) 또는 모바일 RF 트랜시버(2808) 중 하나 이상을 사용하여 N3IWF와 통신할 수 있다.
본 명세서에 설명된 바와 같은 처리 디바이스는, 마이크로프로세서, 마이크로컨트롤러, 디지털 신호 프로세서, 마이크로컴퓨터, 중앙 처리 유닛, 필드 프로그래머블 게이트 어레이, 프로그래머블 논리 디바이스, 상태 기계, 논리 회로, 아날로그 회로, 디지털 회로, 및/또는 회로 및/또는 동작 명령어의 하드 코딩에 기초하여 신호(아날로그 및/또는 디지털)를 조작하는 임의의 디바이스와 같은 적어도 하나의 처리 디바이스를 포함한다. 메모리 디바이스는, 비일시적 메모리 디바이스이며, 내부 메모리 또는 외부 메모리일 수 있으며, 메모리는 단일 메모리 디바이스 또는 복수의 메모리 디바이스일 수 있다. 메모리 디바이스는, 판독 전용 메모리, 랜덤 액세스 메모리, 휘발성 메모리, 비휘발성 메모리, 정적 메모리, 동적 메모리, 플래시 메모리, 캐시 메모리, 및/또는 디지털 정보를 저장하는 임의의 비일시적 메모리 디바이스일 수 있다. "모듈"이라는 용어는 본 명세서의 요소들의 실시예들 중 하나 이상의 실시예의 설명에 사용된다. 모듈은, 본 명세서에서 설명될 수 있는 바와 같은 하나 이상의 기능을 수행하도록 동작할 수 있는 하나 이상의 비일시적 메모리 디바이스 및/또는 하나 이상의 처리 디바이스를 포함한다. 모듈은, 독립적으로 및/또는 다른 모듈과 함께 동작할 수 있으며, 다른 모듈의 처리 디바이스 및/또는 메모리 및/또는 동작 명령어를 이용할 수 있다. 또한, 본 명세서에서 사용되는 바와 같이, 모듈은 하나 이상의 서브 모듈을 포함할 수 있으며, 각 서브 모듈은 하나 이상의 모듈일 수 있다.
본 명세서에서 사용될 수 있는 바와 같이, "하도록 동작 가능한" 또는 "하도록 구성 가능한"이라는 용어는, 설명된 또는 필요한 대응 기능들 중 하나 이상을 수행하도록 요소가 회로, 명령어, 모듈, 데이터, 입력(들),출력(들) 등 중의 하나 이상을 포함하고 설명된 또는 필요한 대응 기능을 수행하기 위해 하나 이상의 다른 항목에 대한 추론된 결합을 더 포함할 수 있음을 나타낸다. 본 명세서에서 또한 사용될 수 있는 바와 같이, "결합된", "에 결합된", "에 연결된", 및/또는 "연결하는", 또는 "상호연결하는"이라는 용어(들)는, 노드/디바이스 간의 직접 연결, 및/또는 중간 항목(예를 들어, 구성요소, 요소, 회로, 모듈, 노드, 디바이스, 네트워크 요소 등을 포함하지만 이에 한정되지 않는 항목)을 개재하는 노드/디바이스 간의 간접 연결을 포함한다. 본 명세서에서 추가로 사용될 수 있는 바와 같이, 추론된 연결(즉, 하나의 요소가 추론에 의해 다른 요소에 연결되는 경우)은, "에 연결된"과 동일한 방식으로 두 개의 항목 간의 직접 연결과 간접 연결을 포함한다.
본 개시내용의 양태들은 여기서 개략도, 순서도, 흐름도, 구조도, 또는 블록도로서 묘사된 프로세스로서 설명될 수 있다는 점에 주목한다. 순서도는 동작들을 순차적 프로세스로서 설명할 수 있지만, 많은 동작이 병렬로 또는 동시에 수행될 수 있다. 또한, 동작들의 순서가 재정렬될 수 있다. 프로세스의 동작들이 완료되면 프로세스가 종료된다. 프로세스는, 방법, 기능, 절차, 서브루틴, 서브프로그램 등에 해당할 수 있다. 프로세스가 함수에 해당하는 경우, 프로세스의 종료는 함수를 호출 함수 또는 주 함수에 반환하는 것에 해당한다.
본 명세서에 설명된 개시내용의 다양한 특징들은 개시내용으로부터 벗어나지 않고 상이한 시스템 및 디바이스에서 구현될 수 있다. 본 개시내용의 전술한 양태들은 예시일 뿐이며 본 개시내용을 한정하는 것으로 해석해서는 안 된다는 점에 주목해야 한다. 본 개시내용의 양태에 대한 설명은 예시를 위한 것이며 청구범위를 한정하려는 것이 아니다. 이처럼, 본 교시는 다른 유형의 장치에 쉽게 적용될 수 있고, 당업자에게는 많은 대안, 수정, 및 변경이 명백할 것이다.
전술한 명세서에서, 본 발명의 소정의 대표적인 양태는 특정 예를 참조하여 설명되었다. 그러나, 청구범위에 기재된 바와 같은 본 발명의 범위를 벗어나지 않고 다양한 수정 및 변경이 이루어질 수 있다. 명세서 및 도면은 제한적이라기보다는 예시적인 것이며, 수정은 본 발명의 범위 내에 포함되도록 의도된 것이다. 이에 따라, 본 발명의 범위는 단지 설명된 예에 의해서가 아니라 청구범위 및 그 법적 등가물에 의해 결정되어야 한다. 예를 들어, 임의의 장치 청구항에서 인용되는 구성요소 및/또는 요소는, 조립되거나 달리 다양한 순열로 동작 가능하게 구성될 수 있으며, 이에 따라 청구범위에 인용된 특정 구성으로 한정되지 않는다.
또한, 소정의 이점, 다른 장점, 및 문제에 대한 해결책이 특정 실시예와 관련하여 위에서 설명되었지만, 임의의 특정한 이점, 장점, 또는 해결책을 초래할 수 있거나 더욱 두드러지게 할 수 있는 임의의 이점, 장점, 문제에 대한 해결책, 또는 임의의 요소를, 청구항들 중 임의의 청구항 또는 모든 청구항의 중요한, 필요한, 또는 본질적인 특징으로서 해석해서는 안 된다.
본 명세서에 사용되는 바와 같이, "포함하다"(comprise), "포함한다"(comprises), "포함하는", "갖는", "포함하는"(including), "포함한다"(includes), 또는 이들의 임의의 변형은, 비배타적 포함을 참조하도록 의도된 것이며, 이때, 요소들의 리스트를 포함하는 방법, 물품, 조성, 또는 장치는, 언급된 요소들만 포함하는 것이 아니라 명시적으로 나열되지 않았거나 이러한 프로세스, 방법, 물품, 조성, 또는 장치에 대하여 고유하지 않은 다른 요소들도 포함할 수 있다. 본 발명의 실시에 사용되는 전술한 구조, 배열, 적용, 비율, 요소, 재료, 또는 구성요소의 다른 조합 및/또는 수정은, 특별히 언급되지 않은 것들에 더하여, 본 발명의 일반 원칙으로부터 벗어나지 않고 가변될 수 있고 그렇지 않으면 특정 환경, 제조 사양, 설계 파라미터, 또는 기타 동작 요건에 대하여 특별히 구성될 수 있다.
또한, 단수의 요소에 대한 언급은, 달리 특정하게 언급하지 않는 한, "하나만"을 의미하는 것이 아니라 "하나 이상"을 의미하도록 의도된 것이다. 달리 특정하게 언급하지 않는 한, "일부"라는 용어는 하나 이상을 의미한다. 당업자에게 알려져 있거나 나중에 알려지게 되는 본 개시내용 전체에 걸쳐 설명된 다양한 양태의 요소에 대한 모든 구조적 및 기능적 등가물은, 본 명세서에 참고로 명시적으로 포함되며 청구범위에 포함되도록 의도된 것이다. 또한, 본 명세서에 개시된 어떠한 것도, 이러한 공개 내용이 청구범위에 명시적으로 언급되는지 여부에 관계없이 대중에게 전념하려는 의도가 없다. "위한 수단"이라는 문구를 사용하여 요소가 명시적으로 언급되지 않는 한 또는 방법 청구항의 경우에 "위한 단계"라는 문구를 사용하여 요소가 명시적으로 언급되지 않는 한, 어떠한 클레임 요소도, 미국 특허법(35 U.S.C. §112(f))의 조항에 따라 "수단-플러스-기능" 유형 요소로서 해석되도록 의도된 것은 아니다.

Claims (19)

  1. 사용자 장비(UE)로서,
    복수의 액세스 네트워크 유형으로 서빙 네트워크에 액세스하도록 구성된 하나 이상의 트랜시버;
    맵핑 테이블을 저장하도록 구성된 메모리 디바이스; 및
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    제1 액세스 네트워크를 통해 상기 서빙 네트워크에 등록하기 위하여 상기 제1 액세스 네트워크의 제1 액세스 네트워크 유형을 포함하는 요청을 생성하고;
    상기 서빙 네트워크에 의해 NAS 연결 확립이 수락됨을 나타내며 상기 제1 액세스 네트워크 유형과 NAS 연결 식별자를 포함하는 응답을 수신하고; 그리고
    상기 맵핑 테이블을 업데이트하여 상기 제1 액세스 네트워크 유형과 NAS 연결 식별자를 포함하도록 구성된, UE.
  2. 제1항에 있어서, 상기 제1 액세스 네트워크 유형은, 3GPP 액세스, 비신뢰 비-3GPP 액세스, 신뢰 비-3GPP 액세스, 비신뢰 WLAN 액세스, 신뢰 WLAN 액세스, 또는 MuLteFire 액세스 중 적어도 하나를 나타내는 값을 포함하는, UE.
  3. 제2항에 있어서, 상기 처리 디바이스는,
    상기 맵핑 테이블을 업데이트하여 상기 제1 액세스 네트워크 유형, NAS 연결 식별자, 액세스 네트워크 식별자, 및 서빙 네트워크 식별자를 포함하도록 더 구성된, UE.
  4. 제3항에 있어서, 상기 처리 디바이스는,
    제2 액세스 네트워크 유형을 갖는 제2 액세스 네트워크를 통해 상기 서빙 네트워크에 등록하기 위하여 상기 제2 액세스 네트워크의 상기 제2 액세스 네트워크 유형을 포함하는 제2 요청을 생성하고;
    상기 서빙 네트워크에 의해 연결 확립이 수락됨을 나타내며 상기 제2 액세스 네트워크 유형과 제2 NAS 연결 식별자를 포함하는 응답을 수신하고; 그리고
    상기 맵핑 테이블을 업데이트하여 상기 제2 액세스 네트워크 유형과 상기 제2 NAS 유형 식별자를 포함하도록 더 구성된, UE.
  5. 제4항에 있어서, 상기 제2 액세스 네트워크 유형은 상기 제1 액세스 네트워크 유형과 다르며, 상기 제2 액세스 네트워크 유형은, 3GPP 액세스, 비신뢰 비-3GPP 액세스, 신뢰 비-3GPP 액세스, 비신뢰 WLAN 액세스, 신뢰 WLAN 액세스, 또는 MuLteFire 액세스 중 다른 두번째 것을 나타내는, UE.
  6. 제5항에 있어서, 상기 처리 디바이스는,
    제3 액세스 네트워크 유형을 갖는 제3 액세스 네트워크를 통해 상기 서빙 네트워크에 등록하도록 상기 제3 액세스 네트워크의 상기 제3 액세스 네트워크 유형을 포함하는 제3 요청을 생성하고;
    상기 서빙 네트워크에 의해 연결 확립이 수락됨을 나타내며 상기 제3 액세스 네트워크 유형과 제3 NAS 연결 식별자를 포함하는 응답을 수신하고; 그리고
    상기 맵핑 테이블을 업데이트하여 상기 제3 액세스 네트워크 유형과 상기 제3 NAS 유형 식별자를 포함하도록 더 구성된, UE.
  7. 제6항에 있어서, 상기 제3 액세스 네트워크 유형은 상기 제1 및 제2 액세스 네트워크 유형과 다르며, 상기 제3 액세스 네트워크 유형은, 3GPP 액세스, 비신뢰 비-3GPP 액세스, 신뢰 비-3GPP 액세스, 비신뢰 WLAN 액세스, 신뢰 WLAN 액세스, 또는 MuLteFire 액세스 중 다른 세번째 것을 나타내는, UE.
  8. 제7항에 있어서, 상기 처리 디바이스는,
    상기 서빙 네트워크로 상기 제1 액세스 네트워크를 통해 확립된 기존의 NAS 보안 컨텍스트를 이용하도록 더 구성된, UE.
  9. 제7항에 있어서, 상기 처리 디바이스는,
    상기 제3 액세스 네트워크를 통한 연결을 위한 인증을 수행하기 위한 요청을 수신하고;
    상기 제3 액세스 네트워크를 통해 상기 서빙 네트워크로부터 새로운 NAS 보안 컨텍스트를 취득하고;
    상기 제3 액세스 네트워크를 통해 상기 새로운 NAS 보안 컨텍스트를 이용하여 상기 NAS 연결을 확립하고;
    상기 제1 및 제2 액세스 네트워크를 위한 상기 새로운 NAS 보안 컨텍스트를 활성화하고; 그리고
    이전 NAS 보안 컨텍스트를 삭제하도록 더 구성된, UE.
  10. 사용자 장비(UE)로서,
    복수의 액세스 네트워크 유형으로 서빙 네트워크에 액세스하도록 구성된 하나 이상의 트랜시버; 및
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    액세스 네트워크를 통해 상기 서빙 네트워크에 등록하기 위한 요청을 생성하고; 그리고
    상기 서빙 네트워크가 인가되지 않은 것을 나타내는 등록 거부 메시지를 수신하도록 구성된, UE.
  11. 제10항에 있어서, 상기 등록 거부 메시지는 원인 정보 요소를 포함하고, 상기 원인 정보 요소는 "서빙 네트워크가 인가되지 않음"에 대응하는 값을 포함하는, UE.
  12. 제10항에 있어서, 상기 처리 디바이스는,
    상기 서빙 네트워크에 대한 등록을 중단하고;
    미인가 서빙 네트워크들의 리스트("금지된 PLMN 리스트")에 상기 서빙 네트워크의 아이덴티티를 저장하도록 더 구성된, UE.
  13. 제12항에 있어서, 상기 처리 디바이스는, 등록할 다른 서빙 네트워크를 선택하도록 더 구성된, UE.
  14. 코어 네트워크의 노드에 있는 인증 서버 기능부로서,
    상기 코어 네트워크의 하나 이상의 다른 노드와 통신하도록 구성된 트랜시버; 및
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    서빙 네트워크의 식별자와 가입자 아이덴티티를 포함하며 상기 서빙 네트워크에 대한 액세스를 요청하는 UE를 위한 인증 요청을 수신하고; 그리고
    상기 서빙 네트워크가 인가되지 않는다고 결정하고; 그리고
    상기 서빙 네트워크가 인가되지 않은 것을 나타내는 인증 응답을 생성하도록 구성된, 인증 서버 기능부.
  15. 제14항에 있어서, 상기 인증 응답은 원인 정보 요소를 포함하고, 상기 원인 정보 요소는 "서빙 네트워크가 인가되지 않음"에 대응하는 값을 포함하는, 인증 서버 기능부.
  16. UE로서,
    하나 이상의 유형의 액세스 네트워크들과 통신하도록 구성된 트랜시버; 및
    처리 디바이스를 포함하되, 상기 처리 디바이스는,
    복수의 SUPI 포맷 중 하나를 결정하고;
    가입자 식별자를 위한 복수의 유형의 아이덴티티 중 하나를 결정하고;
    보호 체계(scheme)를 이용하여 상기 가입자 식별자로부터의 체계-출력을 결정하고; 그리고
    SUPI 포맷 값, 아이덴티티 값의 유형, 및 상기 체계-출력을 포함하는 SUCI를 구축함으로써, 상기 SUCI를 생성하도록 구성된, UE.
  17. 제16항에 있어서, 상기 가입자 식별자를 위한 상기 아이덴티티의 복수의 유형 중 상기 하나는, SUCI, 5G-GUTI, IMEI, 5G-S-TMSI, IMEISV, MAC 어드레스 또는 디바이스 아이덴티티 중 하나를 포함하는, UE.
  18. 제16항에 있어서, 상기 복수의 SUPI 포맷 중 상기 하나는, IMSI, IMSI 기반 NAI, NON-IMSI 기반 NAI 또는 MF-NAI 중 적어도 하나를 포함하는, UE.
  19. 제16항에 있어서, 상기 처리 디바이스는, 복수의 네트워크 유형 중 하나를 선택하고 선택된 네트워크 유형에 대한 네트워크 유형 표시기를 상기 SUCI 구조에 포함함으로써 상기 SUCI를 생성하도록 더 구성된, UE.
KR1020217004763A 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 KR102428262B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020217004962A KR102571312B1 (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862716887P 2018-08-09 2018-08-09
US62/716,887 2018-08-09
PCT/FI2019/050573 WO2020030851A1 (en) 2018-08-09 2019-08-02 Method and apparatus for security realization of connections over heterogeneous access networks

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020217004962A Division KR102571312B1 (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20210025678A true KR20210025678A (ko) 2021-03-09
KR102428262B1 KR102428262B1 (ko) 2022-08-02

Family

ID=69414604

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020217004763A KR102428262B1 (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR1020237028554A KR20230128142A (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR1020217004962A KR102571312B1 (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치

Family Applications After (2)

Application Number Title Priority Date Filing Date
KR1020237028554A KR20230128142A (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR1020217004962A KR102571312B1 (ko) 2018-08-09 2019-08-02 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치

Country Status (15)

Country Link
US (1) US20210306849A1 (ko)
EP (2) EP4408086A1 (ko)
JP (3) JP7320598B2 (ko)
KR (3) KR102428262B1 (ko)
CN (2) CN112586047A (ko)
AU (3) AU2019319095B2 (ko)
BR (1) BR112021002402A2 (ko)
CA (2) CA3234868A1 (ko)
CL (2) CL2021000335A1 (ko)
CO (1) CO2021002942A2 (ko)
MX (1) MX2021001601A (ko)
PH (1) PH12021550155A1 (ko)
SA (1) SA521421213B1 (ko)
SG (1) SG11202100720PA (ko)
WO (1) WO2020030851A1 (ko)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102425582B1 (ko) * 2018-05-11 2022-07-26 삼성전자주식회사 무선통신 시스템에서 정보 보호 방법 및 장치
CN111436057B (zh) * 2019-01-15 2022-06-28 华为技术有限公司 一种会话管理方法及装置
US11785443B2 (en) * 2019-01-21 2023-10-10 Telefonaktiebolaget Lm Ericsson (Publ) Methods for providing regulation compliant privacy and related apparatuses
EP3935780A1 (en) * 2019-03-04 2022-01-12 Telefonaktiebolaget Lm Ericsson (Publ) Key derivation for non-3gpp access
US20210058784A1 (en) * 2019-11-08 2021-02-25 Intel Corporation User equipment onboarding based on default manufacturer credentials unlicensed
US20230080836A1 (en) * 2020-02-21 2023-03-16 Telefonaktiebolaget Lm Ericsson (Publ) Determination of trust relationship of non-3gpp access networks in 5gc
EP4128882A1 (en) * 2020-04-03 2023-02-08 Lenovo (Singapore) Pte. Ltd. Relocating an access gateway
WO2021197630A1 (en) * 2020-04-03 2021-10-07 Lenovo (Singapore) Pte. Ltd. Relocating an access gateway
CA3180907A1 (en) * 2020-06-03 2021-12-09 Apostolis Salkintzis Methods and apparatuses for determining an authentication type
WO2021259452A1 (en) * 2020-06-22 2021-12-30 Lenovo (Singapore) Pte. Ltd. Mobile network authentication using a concealed identity
WO2022127792A1 (en) * 2020-12-15 2022-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Methods, entities and computer readable media for non-3gpp access authentication
US20240187856A1 (en) * 2021-03-15 2024-06-06 Lenovo (Singapore) Pte. Ltd. Registration authentication based on a capability
US11582709B2 (en) * 2021-03-16 2023-02-14 T-Mobile Innovations Llc Wireless communication service delivery to user equipment (UE) using an access and mobility management function (AMF)
WO2022215331A1 (en) * 2021-04-08 2022-10-13 Nec Corporation Method of user equipment (ue), method of access and mobility management function (amf), method of unified data management (udm), ue, amf and udm
WO2022250362A1 (en) * 2021-05-23 2022-12-01 Samsung Electronics Co., Ltd. A apparatus and method for handling deregistration procedure of user equipment for disaster roaming service in wireless network
CN113597022B (zh) * 2021-07-23 2023-02-24 恒安嘉新(北京)科技股份公司 接口间的用户标识关联方法、装置、计算机设备和介质
TWI829331B (zh) * 2021-09-07 2024-01-11 新加坡商聯發科技(新加坡)私人有限公司 當ue同時支持3gpp和非3gpp接入時改進5g nas安全上下文的處理
CN114301703A (zh) * 2021-12-30 2022-04-08 中国电信股份有限公司 网络连接方法、网络设备和网络连接装置
WO2024168472A1 (en) * 2023-02-13 2024-08-22 Zte Corporation Wireless method and device thereof
EP4425832A1 (en) * 2023-02-28 2024-09-04 Nokia Technologies Oy Verification of user equipment compliance in communication network environment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170132273A (ko) * 2015-04-03 2017-12-01 후아웨이 테크놀러지 컴퍼니 리미티드 무선 통신 네트워크에서의 액세스 방법, 관련 장치 및 시스템
KR20180022565A (ko) * 2016-08-23 2018-03-06 한국전자통신연구원 비-ue 관련 시그널링을 지원하는 통신 방법 및 장치
KR20180057665A (ko) * 2015-09-22 2018-05-30 후아웨이 테크놀러지 컴퍼니 리미티드 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101091430B1 (ko) * 2005-06-14 2011-12-07 엘지전자 주식회사 비승인 모바일 액세스망의 이동 단말기 등록 방법
US9826370B2 (en) * 2014-10-10 2017-11-21 T-Mobile Usa, Inc. Location identifiers in mobile messaging
US9980133B2 (en) * 2015-08-12 2018-05-22 Blackberry Limited Network access identifier including an identifier for a cellular access network node
WO2018008944A1 (ko) * 2016-07-04 2018-01-11 엘지전자(주) 무선 통신 시스템에서 등록 관리 방법 및 이를 위한 장치
EP3444783A1 (en) * 2017-08-17 2019-02-20 ABB Schweiz AG Robotic systems and methods for operating a robot
US20200068391A1 (en) * 2017-05-09 2020-02-27 Intel IP Corporation Privacy protection and extensible authentication protocol authentication and autorization in cellular networks
CA3070876C (en) * 2017-07-25 2022-07-19 Telefonaktiebolaget Lm Ericsson (Publ) Subscription concealed identifier
CN111869251A (zh) * 2018-01-12 2020-10-30 日本电气株式会社 通信终端、网络设备、通信方法和去隐藏方法
WO2019137792A1 (en) * 2018-01-12 2019-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Validation of subscription concealed identifiers in mobile networks
KR102371952B1 (ko) * 2018-01-12 2022-03-07 텔레폰악티에볼라겟엘엠에릭슨(펍) 식별자 검증 처리
JP7009629B2 (ja) * 2018-01-15 2022-01-25 テレフオンアクチーボラゲット エルエム エリクソン(パブル) ネットワーク機能インスタンス選択
US10548004B2 (en) * 2018-02-15 2020-01-28 Nokia Technologies Oy Security management in communication systems between security edge protection proxy elements
EP4412148A2 (en) * 2018-05-11 2024-08-07 Apple Inc. Subscriber identity privacy protection against fake base stations
CN110830990B (zh) * 2018-08-09 2021-04-20 华为技术有限公司 一种身份信息的处理方法、装置及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170132273A (ko) * 2015-04-03 2017-12-01 후아웨이 테크놀러지 컴퍼니 리미티드 무선 통신 네트워크에서의 액세스 방법, 관련 장치 및 시스템
KR20180057665A (ko) * 2015-09-22 2018-05-30 후아웨이 테크놀러지 컴퍼니 리미티드 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
KR20180022565A (ko) * 2016-08-23 2018-03-06 한국전자통신연구원 비-ue 관련 시그널링을 지원하는 통신 방법 및 장치

Also Published As

Publication number Publication date
BR112021002402A2 (pt) 2021-05-04
JP2024095698A (ja) 2024-07-10
EP3834519A1 (en) 2021-06-16
SG11202100720PA (en) 2021-02-25
CA3234868A1 (en) 2020-02-13
AU2019319095A1 (en) 2021-02-18
JP2023123430A (ja) 2023-09-05
AU2022252749A1 (en) 2022-11-03
CL2021000337A1 (es) 2021-08-27
AU2019319095B2 (en) 2022-07-14
MX2021001601A (es) 2021-04-19
JP7320598B2 (ja) 2023-08-03
SA521421213B1 (ar) 2024-05-09
KR102571312B1 (ko) 2023-08-28
PH12021550155A1 (en) 2021-09-13
WO2020030851A1 (en) 2020-02-13
EP3834519A4 (en) 2022-12-14
CO2021002942A2 (es) 2021-04-30
CN118433706A (zh) 2024-08-02
JP2021533680A (ja) 2021-12-02
EP4408086A1 (en) 2024-07-31
CL2021000335A1 (es) 2021-08-27
KR20210024654A (ko) 2021-03-05
KR20230128142A (ko) 2023-09-01
AU2024200276A1 (en) 2024-02-01
KR102428262B1 (ko) 2022-08-02
CA3106505A1 (en) 2020-02-13
AU2022252749B2 (en) 2023-10-19
CN112586047A (zh) 2021-03-30
US20210306849A1 (en) 2021-09-30

Similar Documents

Publication Publication Date Title
KR102428262B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
KR102666042B1 (ko) 5gcn에 대한 비-3gpp 액세스가 허용되지 않는 실패 핸들링
CN110249648B (zh) 由未经认证的用户设备执行的用于会话建立的系统和方法
US11490252B2 (en) Protecting WLCP message exchange between TWAG and UE
RU2774977C1 (ru) Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp

Legal Events

Date Code Title Description
A201 Request for examination
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant