KR20210095458A - 무선통신시스템에서 보안을 제공하는 장치 및 방법 - Google Patents

무선통신시스템에서 보안을 제공하는 장치 및 방법 Download PDF

Info

Publication number
KR20210095458A
KR20210095458A KR1020200009393A KR20200009393A KR20210095458A KR 20210095458 A KR20210095458 A KR 20210095458A KR 1020200009393 A KR1020200009393 A KR 1020200009393A KR 20200009393 A KR20200009393 A KR 20200009393A KR 20210095458 A KR20210095458 A KR 20210095458A
Authority
KR
South Korea
Prior art keywords
amf
present disclosure
security
network
message
Prior art date
Application number
KR1020200009393A
Other languages
English (en)
Inventor
서경주
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020200009393A priority Critical patent/KR20210095458A/ko
Priority to CN202180010565.6A priority patent/CN115244959A/zh
Priority to EP21745028.7A priority patent/EP4090062A4/en
Priority to PCT/KR2021/000907 priority patent/WO2021150059A1/ko
Priority to US17/795,107 priority patent/US20230086538A1/en
Publication of KR20210095458A publication Critical patent/KR20210095458A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 무선 통신 시스템에서 보안을 제공하는 장치 및 방법에 관한 것이다. 본 개시의 일 실시예에 따른 UE는 AMF(Access and Mobility management Function)로 등록 요청 메시지를 전송하고, AMF로부터 등록 거절 메시지가 수신됨에 따라, MME(Mobility Management Entity)로 어태치 요청(attach request)을 전송하며, MME로부터 어태치 수락(attach accept)을 수신하고, AMF 및 UE 에 보안 컨텍스트가 있는 경우, 보안 보호 처리된 등록 거절 메시지를 AMF 로부터 UE 로 전송하고, UE로부터의 등록 요청이 AMF 로부터 MME 로 리다이렉트 되며, AMF 및 UE 중 적어도 하나에 보안 컨텍스트 정보가 없는 경우, 어태치 요청에 보안 검증 정보가 포함될 수 있다.

Description

무선통신시스템에서 보안을 제공하는 장치 및 방법 {Apparatus and method for providing security in wireless communication system}
본 개시는 무선통신시스템에서 보안을 제공하기 위한 장치 및 방법에 관한 것이다. 구체적으로, 본 개시는 무선통신시스템에서 NAS 메시지를 이용하여 보안을 제공하는 장치 및 방법에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 이후의 시스템이라 불리어지고 있다. 3GPP에서 정한 5G 통신 시스템은 New Radio (NR) 시스템이라고 불리고 있다.
높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 전파 송수신을 고려하고 있으며, 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들을 전파 송수신에 적용한다.
또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non-orthogonal multiple access), 및 SCMA(sparse code multiple access) 등이 개발되고 있다.
본 개시는 무선 통신 시스템에서 보안을 제공하기 위한 장치 및 방법에 관한 것이다.
본 개시는 무선 통신 시스템에서 보안을 제공하기 위한 장치 및 방법에 관한 것이다.
본 개시의 일 실시예에 따른 무선통신시스템에서 보안을 제공하는 UE는 AMF(Access and Mobility management Function)로 등록 요청 메시지를 전송하고, AMF로부터 등록 거절 메시지가 수신됨에 따라, MME(Mobility Management Entity)로 어태치 요청(attach request)을 전송하며, MME로부터 어태치 수락(attach accept)을 수신하고, AMF 및 UE 에 보안 컨텍스트가 있는 경우, 보안 보호 처리된 등록 거절 메시지를 AMF 로부터 UE 로 전송하고, UE로부터의 등록 요청이 AMF 로부터 MME 로 리다이렉트 되며, AMF 및 UE 중 적어도 하나에 보안 컨텍스트 정보가 없는 경우, 어태치 요청에 보안 검증 정보가 포함될 수 있다.
본 개시의 일 실시예에 따르면, 무선통신시스템에서의 보안을 강화할 수 있다.
도 1은 본 개시의 일 실시예에 따른 무선통신시스템에서의 구조를 설명하기 위한 도면이다.
도 2는 본 개시의 일 실시예에 따른 5G 네트워크 환경에서 NAS 메시지를 이용하여 통신을 수행하는 절차를 설명하기 위한 흐름도이다.
도 3은 본 개시의 일 실시예에 따른 5G 네트워크 환경에서 NAS 메시지를 이용하여 통신을 수행하기 위한 절차를 설명하기 위한 흐름도이다.
도 4는 본 개시의 일 실시예에 따른 UE의 구성을 나타내는 도면이다.
도 5는 본 개시의 일 실시예에 따른 네트워크 엔티티의 구성을 나타내는 도면이다.
이하 본 개시의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. 실시예를 설명함에 있어서 본 개시가 속하는 기술 분야에 익히 알려져 있고 본 개시와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 개시의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부된 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성 요소에는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시의 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 실시예에서 '~부'는 하나 이상의 프로세서를 포함할 수 있다.
이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity)들을 지칭하는 용어 또는 네트워크 기능들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 개시가 후술되는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, 본 개시는 3GPP LTE(3rd Generation Partnership Project Long Term Evolution) 규격에서 정의하고 있는 용어 및 명칭들, 혹은 이를 기반으로 변형한 용어 및 명칭들을 사용한다. 하지만, 본 개시가 상술된 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다. 본 개시에서 eNB는 설명의 편의를 위하여 gNB와 혼용되어 사용될 수 있다. 즉 eNB로 설명한 기지국은 gNB를 나타낼 수 있다. 본 개시에서, 단말이라는 용어는 핸드폰, NB-IoT 기기들, 센서들 뿐만 아니라 다양한 무선 통신 기기들을 나타낼 수 있다.
즉, 본 개시의 실시 예들을 구체적으로 설명함에 있어서, 3GPP가 규격을 정한 통신 규격을 주된 대상으로 할 것이지만, 본 개시의 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템에도 본 개시의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 개시의 기술 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
5G 또는 NR 시스템에서는 단말의 이동성을 관리하는 관리 엔티티인 AMF(Access and Mobility management Function) 와 세션을 관리하는 엔티티인 SMF(Session Management Function)가 분리된다. 이로 인하여, 4G LTE 통신 시스템에서 MME(Mobility Management Entity)가 이동성 관리와 세션 관리를 함께 수행하던 것과 달리, 5G 또는 NR 시스템에서는 이동성 관리와, 세션 관리를 수행하는 엔티티가 분리됨에 따라, 단말과 네트워크 엔티티 간에 통신 방법 및 통신 관리 방법이 변경될 수 있다.
5G 또는 NR 시스템에서는 단말이 non 3GPP access를 통해 망에 접속하는 경우에 대해서, N3IWF(Non-3GPP Inter-Working Function)를 거쳐 AMF를 통해 이동성 관리(mobility management)가 수행되고, SMF를 통해 세션 관리(session management)가 수행될 수 있다. 또한 AMF는 이동성 관리(mobility management)에 있어서 중요한 요소인 보안 관련 정보를 처리할 수 있다.
위에서 설명한 것과 같이, 4G LTE 시스템에서는 MME가 이동성 관리(mobility management)와 세션 관리(session management)를 같이 담당한다. 5G 또는 NR 시스템에서는, 이러한 4G LTE 시스템의 네트워크 엔티티를 같이 이용하여 통신을 수행하는 비독립형 구조(non standalone architecture)를 지원할 수 있다.
본 개시를 통해서 보안을 강화하고 효율적으로 통신을 수행하기 위한 방법 및 장치가 제공된다.
도 1은 본 개시의 일 실시예에 따른 무선통신시스템에서의 구조를 설명하기 위한 도면이다.
도 1을 참조하면, 5G 또는 NR 코어 네트워크(core network)는 UPF (User Plane Function, 131), SMF (Session Management Function, 121 ), AMF ( Access and Mobility Management Function, 111 ), 5G RAN ( Radio Access Network, 103), UDM (User Data Management, 151) , PCF (Policy Control Function, 161) 등의 네트워크 기능(NF, Network Function)을 포함할 수 있다.
또한, 이러한 각각의 NF에 대응되는 엔티티들의 인증을 위하여, 5G 또는 NR 코어 네트워크(core network)는 AUSF (Authentication Server Function, 141), AAA (authentication, authorization and accounting, 171) 등의 엔티티를 포함할 수 있다.
UE(User Equipment, Terminal, 101-1)는 3GPP access를 통해 통신하는 경우, 기지국(5G RAN, Radio Access Network, basestation, BS, 103, 103-2)을 통해 5G 코어 네트워크에 접속할 수 있다. 한편, UE(101-1)가 non 3GPP access 를 통해 통신하는 경우에는 N3IWF ( N3 interworking function) 이 존재하고, 세션 관리(session management)는 UE, non 3GPP access, N3IWF, SMF를 통해 제어되며, 이동성 관리(mobility management)는 UE, non 3GPP access, N3IWF, AMF 를 통해서 제어될 수 있다.
5G 또는 NR 시스템에서는 이동성 관리(mobility management)와 세션 관리(session management)를 수행하는 엔티티가 AMF(111), SMF(121)로 분리될 수 있다. 한편, 5G 또는 NR 시스템은 5G 또는 NR 엔티티들로만 통신을 수행하는 독립형 디플로이먼트 (stand alone deployment) 구조와 4G 엔티티와 5G 또는 NR 엔티티들을 함께 사용하는 비독립형 디플로이먼트 (non stand alone deployment) 구조를 지원할 수 있다.
도 1에서 보는 바와 같이 UE 가 네트워크(network)와 통신함에 있어서 제어(control)는 eNB에 의해 수행되고, 코어 네트워크(core network)의 5G entitiy가 사용되는 형태의 디플로이먼트(deployment)가 가능할 수 있다. 이러한 경우 UE와 AMF 간 이동성 관리(mobility management)및 UE와 SMF 간 세션 관리(session management)는 layer 3 인 NAS(Non Access Stratum) 계층에서 수행될 수 있다. 한편, layer 2인 AS(Access Stratum) 관련 메시지는 UE 와 eNB 사이에서 전달될 수 있다. 이에 따라 UE(101-1)는 각각 5G RAN(103) 및 eNB(181)에 접속한 경우, 보안 컨텍스트(security context)를 생성하고, 관리하는 방안이 필요하다. 이에 본 개시에서는 이러한 디플로이먼트(deployment) 상황에도 적용할 수 있는 보안 컨텍스트(security context) 생성, 관리, 및 프로토콜 교환에 대해서 설명하고자 한다.
본 개시가 기초하고 있는 통신망은 5G, 4G LTE 의 망을 가정하고 있으나, 통상의 기술력을 가진 자가 이해 할 수 있는 범주 안에서 다른 시스템에서도 같은 개념이 적용되는 경우 이를 적용할 수 있다.
도 1을 참조하면, 일 실시예로 등록 요청(registration request) 메시지가 UE(101-1) 로부터 AMF(111) 로 전송되었으나, AMF(111) 에서 등록(registration)이 이루어지지 않는 경우, 해당 등록 과정에 대해 AMF(111)가 아닌 4G LTE 의 MME (183)로 접속 요청(attach request) 과정이 이루어 질 수 있다. 이러한 리다이렉션(redirection) 의 경우 security protection 되지 않은 정보가 redirect 되어 보안(security) 문제가 발생할 수 있다. 또한 이러한 과정의 경우 security protection 에 필요한 보안 모드 명령(security mode command) 과정과 같은 security 보호 과정이 일어나기 전인 경우도 있어서 보안 보호(security protection)가 효율적으로 이루어 지지 않을 수 있다. 따라서 본 개시에서는 이러한 문제를 해결하고자 한다.
도 2는 본 개시의 일 실시예에 따른 5G 네트워크 환경에서 NAS 메시지를 이용하여 통신을 수행하는 절차를 설명하기 위한 흐름도이다.
본 개시의 실시예는 등록(registration) 관련 메시지가 security protected 되지 않아서, 발생하는 보안 문제를 해결하고자 함이다.
일 실시예로 등록 요청(registration request) 메시지가 UE 로부터 AMF 로 전송되었으나, AMF 에서 등록(registration)이 이루어지지 않는 경우, 해당 등록 과정에 대해 AMF가 아닌 4G LTE 의 MME 로 접속 요청(attach request) 과정이 이루어 질 수 있다. 이러한 리다이렉션(redirection) 의 경우 security protection 되지 않은 정보가 redirect 되어 보안(security) 문제가 발생할 수 있다. 또한 이러한 과정의 경우 security protection 에 필요한 보안 모드 명령(security mode command) 과정과 같은 security 보호 과정이 일어나기 전인 경우도 있어서 보안 보호(security protection)가 효율적으로 이루어 지지 않을 수 있다. 따라서 본 개시에서는 이러한 문제를 해결하고자 한다.
211 단계에서 UE 는 AMF 로 등록 요청(registration request) 메시지를 전송할 수 있다.
213 단계에서 AMF 는 UE 로 등록 거절(registration reject) 메시지를 전송할 수 있다.
예를 들어, AMF 가 UE의 등록(registration) 을 받아 줄 수 없는 상황이라면, AMF 는 UE 로 등록 거절(registration reject) 메시지를 전송할 수 있다.
이러한 등록 거절(registration reject) 메시지에는 표 1의 정보들 중 적어도 하나가 포함될 수 있다.
[표 1] Registration reject 메시지
Figure pat00001
이러한 등록 거절(registration reject) 메시지의 경우, 다음과 같이 전송될 수 있다.
제 1 실시예에 따라, UE와 네트워크(network)가 보안 컨텍스트(security context)를 가지고 있는 경우라면 AMF 는 UE 로 등록 거절(registration reject) 메시지를 보안 보호(security protection)처리해서 전송할 수 있다. 일 실시예로 등록 거절(registration reject) 메시지는 무결성 보호(integrity protected), 싸이퍼링(ciphering, encryption 암호화), 내지는 무결성 보호(intergrity protected) 와 싸이퍼링(ciphering) 되어 전송될 수도 있다.
이러한 보안 보호(security protected) 처리된 메시지(message)를 수신하면, UE 는 보안 컨텍스트 (security context)를 가지고 그러한 등록 요청을 LTE 망으로 리다이렉트(redirect) 하여, 단계 221에서 MME 로 접속 요청(attach request) 메시지를 전송할 수 있다.
제 2 실시예에 따라, UE 와 네트워크(network)가 보안 컨텍스트(security context)를 가지고 있지 않은 경우라면, 등록 거절(registration reject) 메시지가 수신되어, 등록 요청이 LTE 망으로 리다이렉트 (redirect) 될 때 MME 에서 UE 가 유효(valid) 한지 검증할 수 있도록, UE는 보안 검증(security verification) 정보를 포함한 접속 요청(attach request) 메시지를 전송할 수 있다.
제 3 실시예(제 1 실시예의 변형)에 따라, UE와 네트워크(network)가 보안 컨텍스트(security context)를 가지고 있는 경우, UE 는 211 단계에서 AMF 로 등록 요청(registration request) 메시지를 보낼 때 메시지의 라우팅(routing) 에 필요한 정보는 클리어 텍스트(clear text) 즉 암호화 되지 않은 정보로 보내고, 보안이 필요한 정보들은 보안을 강화하기 위하여 NAS 메시지 전체를 NAS 메시지 컨테이너 (message container)에 넣어서 보내면서 NAS 메시지 컨테이너 (message container) 를 싸이퍼링(ciphering : encryption : 암호화) 할 수 있다. 따라서 AMF 에서 UE 로 등록 거절 (registration reject)을 보내는 경우에 있어, 보안 컨텍스트 (security context) 가 있는 경우 보안 컨텍스트 (security context) 를 이용하여 등록 거절(registration reject)에 있는 IE (information element) 들, 예를 들면 T3346 value, T3502 value, EAP message, rejected NSSAI 정보 중 적어도 하나를 싸이퍼링(암호화(ciphering (encryption )) 해서 보낼 수 있다.
제 4 실시예(제 2 실시예의 변형)에 따라, 보안 컨텍스트(security context) 가 UE 또는 네트워크(Network) 에 없는 경우로서, UE 에서 AMF 로 보내는 등록 요청(registration request)에는 최소한의 라우팅(routing) 에 쓰이는 정보가 클리어 텍스트 IE(clear text information element) 로 전송 즉 암호화 되지 않은 정보로 전송될 수 있다. 그리고, 등록 요청(registration request) 메시지가 보안이 되지 않으므로, 보안 모드 명령 (security mode command) 메시지를 보내는 절차를 거친 이후에 UE 와 AMF 가 서로 보안 컨텍스트(security context) 를 가질 수 있다. 즉 AMF 가 UE 로 보내는 보안 모드 명령(security mode command)을 UE 가 수신한 이후에 UE 에서 AMF 로 보내는 보안 모드 완료(security mode complete) 메시지에 NAS 메시지 컨테이너 IE(message container IE(information element)) 를 포함하여 보내면서 NAS 메시지 컨테이너 IE (message container IE) 에 초기 NAS 메시지(initial NAS message) 전체를 포함하여 보낼 수 있다. 이러한 보안 모드 완료 메시지 (security mode complete message)는 싸이퍼링(ciphering)될 수 있다. 따라서 보안 모드 완료(security mode complete) 메시지가 전송되기 전인 등록 요청(registration request) 에 대한 응답인 등록 수락(registration accept) 이나 본 개시의 실시예에 따른 등록 거절(registration reject) 메시지는 싸이퍼링(ciphering) 되지 않을 수 있다. 그러므로 일 실시예에 따라, AMF 에서 UE 로 등록 거절(registration reject) 메시지를 보낼 때 UE 가 이후 LTE 에서 보안 검증(security verification)에 사용할 수 있도록 보안 검증(security verification) 에 필요한 정보를 실어 보낼 수도 있다.
221 단계에서 UE 는 MME 로 접속 요청(attach request) 메시지를 전송할 수 있다.
223 단계에서 MME 는 UE 로 접속 수락(attach accept) 메시지를 전송할 수 있다.
도 3은 본 개시의 일 실시예에 따른 5G 네트워크 환경에서 NAS 메시지를 이용하여 통신을 수행하기 위한 절차를 설명하기 위한 흐름도이다.
311 단계에서 UE 는 AMF 로 등록 요청(registration request) 메시지를 전송할 수 있다.
하지만 UE 가 해당 네트워크(network) 에 속하지 않고, 해당 CAG(closed access group) 에 UE 가 액세스(access) 할 수 없는 경우, AMF 는 UE 에게 해당 CAG 에 대한 UE 의 액세스(access) 가 허가(allow) 되지 않음을 UE 에 알려주어야 한다. 이러한 CAG 는 closed access group 으로 UE 가 액세스(access) 할 수 있는 네트워크(network) 인지 아닌지를 구분하여 액세스 제어(access control)를 수행할 수 있다.
313 단계에서 AMF 는 UE 로 등록 거절(registration reject) 메시지를 전송할 수 있다.
등록 거절 메시지에는 하기의 표 2의 정보들 중 적어도 하나가 포함될 수 있다.
일 실시예로 AMF 가 UE 로 해당 UE 가 특정 CAG 에 허가(allow) 되지 않음을 알려주기 위하여 허가(allow) 가 되지 않는 CAG 정보를 전송할 수 있다.
또 다른 일 실시예로는 AMF 가 UE 로 UE 가 허가(allow) 가능한 CAG 정보를 알려주어, UE 가 해당 정보를 가지고 액세스(access) 를 시도할 수 있도록 할 수도 있다.
[표 2] Registration reject 메시지
Figure pat00002
도 4는 본 개시의 일 실시예에 따른 UE의 구성을 나타내는 도면이다.
도 4에서 도시되는 바와 같이, 본 개시의 UE는 송수신부(410), 메모리(420), 프로세서(430)를 포함할 수 있다. 전술한 UE의 통신 방법에 따라 UE의 프로세서(430), 송수신부(410) 및 메모리(420)가 동작할 수 있다. 다만, UE의 구성 요소가 전술한 예에 한정되는 것은 아니다. 예를 들어, UE는 전술한 구성 요소들 보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 프로세서(430), 송수신부(410) 및 메모리(420)가 하나의 칩(chip) 형태로 구현될 수도 있다.
송수신부(410)는 UE의 수신부와 UE의 송신부를 통칭한 것으로 기지국 혹은 네트워크 엔티티와 신호를 송수신할 수 있다. 기지국과 송수신하는 신호는 제어 정보와 데이터를 포함할 수 있다. 이를 위해, 송수신부(410)는 송신되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(410)의 일 실시예일 뿐이며, 송수신부(410)의 구성요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다.
또한, 송수신부(410)는 유무선 송수신부를 포함할 수 있으며, 신호를 송수신하기 위한 다양한 구성을 포함할 수 있다.
또한, 송수신부(410)는 무선 채널을 통해 신호를 수신하여 프로세서(430)로 출력하고, 프로세서(430)로부터 출력된 신호를 무선 채널을 통해 전송할 수 있다.
또한, 송수신부(410)는 통신 신호를 수신하여 프로세서로 출력하고, 프로세서로부터 출력된 신호를 유무선망을 통해 네트웍 엔티티로 전송할 수 있다.
메모리(420)는 UE의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 메모리(420)는 UE에서 획득되는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 메모리(420)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다.
프로세서(430)는 상술한 본 개시의 실시 예에 따라 UE이 동작할 수 있도록 일련의 과정을 제어할 수 있다. 프로세서(430)는 적어도 하나 이상의 프로세서를 포함할 수 있다. 예를 들어, 프로세서(430)는 통신을 위한 제어를 수행하는 CP(communication processor) 및 응용 프로그램 등 상위 계층을 제어하는 AP(application processor)를 포함할 수 있다.
도 5는 본 개시의 일 실시예에 따른 네트워크 엔티티의 구성을 나타내는 도면이다.
도 5에서 도시되는 바와 같이, 본 개시의 네트워크 엔티티(network entity)는 송수신부(510), 메모리(520), 프로세서(530)를 포함할 수 있다. 전술한 네트워크 엔티티의 통신 방법에 따라 네트워크 엔티티의 프로세서(530), 송수신부(510) 및 메모리(520)가 동작할 수 있다. 다만, 네트워크 엔티티의 구성 요소가 전술한 예에 한정되는 것은 아니다. 예를 들어, 네트워크 엔티티는 전술한 구성 요소들 보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 프로세서(530), 송수신부(510) 및 메모리(520)가 하나의 칩(chip) 형태로 구현될 수도 있다. 네트워크 엔티티는, 위에서 설명한 AMF(Access and Mobility management Function), SMF Session Management Function), PCF(Policy and Charging Function), NEF(Network Exposure Function), UDM(Unified Data Management), UPF(User Plane Function) 등의 네트워크 기능(NF, Network Function)을 포함할 수 있다. 또한, 기지국(base station)을 포함할 수도 있다.
송수신부(510)는 네트워크 엔티티의 수신부와 네트워크 엔티티의 송신부를 통칭한 것으로 UE 또는 다른 네트워크 엔티티와 신호를 송수신할 수 있다. 이때, 송수신하는 신호는 제어 정보와 데이터를 포함할 수 있다. 이를 위해, 송수신부(510)는 송신되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(510)의 일 실시예일 뿐이며, 송수신부(510)의 구성요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다. 송수신부(510)는 유무선 송수신부를 포함할 수 있으며, 신호를 송수신하기 위한 다양한 구성을 포함할 수 있다.
또한, 송수신부(510)는 통신 채널(예를 들어, 무선 채널)을 통해 신호를 수신하여 프로세서(530)로 출력하고, 프로세서(530)로부터 출력된 신호를 통신 채널을 통해 전송할 수 있다.
또한, 송수신부(510)는 통신 신호를 수신하여 프로세서로 출력하고, 프로세서로부터 출력된 신호를 유무선망을 통해 UE 또는 네트웍 엔티티로 전송할 수 있다.
메모리(520)는 네트워크 엔티티의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 메모리(520)는 네트워크 엔티티에서 획득되는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 메모리(520)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다.
프로세서(530)는 상술한 본 개시의 실시 예에 따라 네트워크 엔티티가 동작할 수 있도록 일련의 과정을 제어할 수 있다. 프로세서(530)는 적어도 하나 이상의 프로세서를 포함할 수 있다. 본 개시의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들은 하드웨어, 소프트웨어, 또는 하드웨어와 소프트웨어의 조합의 형태로 구현될(implemented) 수 있다.
소프트웨어로 구현하는 경우, 하나 이상의 프로그램(소프트웨어 모듈)을 저장하는 컴퓨터 판독 가능 저장 매체가 제공될 수 있다. 컴퓨터 판독 가능 저장 매체에 저장되는 하나 이상의 프로그램은, 전자 장치(device) 내의 하나 이상의 프로세서에 의해 실행 가능하도록 구성된다(configured for execution). 하나 이상의 프로그램은, 전자 장치로 하여금 본 개시의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들을 실행하게 하는 명령어(instructions)를 포함한다.
이러한 프로그램(소프트웨어 모듈, 소프트웨어)은 랜덤 액세스 메모리(random access memory), 플래시(flash) 메모리를 포함하는 불휘발성(non-volatile) 메모리, 롬(read only memory, ROM), 전기적 삭제가능 프로그램가능 롬(electrically erasable programmable read only memory, EEPROM), 자기 디스크 저장 장치(magnetic disc storage device), 컴팩트 디스크 롬(compact disc-ROM, CD-ROM), 디지털 다목적 디스크(digital versatile discs, DVDs) 또는 다른 형태의 광학 저장 장치, 마그네틱 카세트(magnetic cassette)에 저장될 수 있다. 또는, 이들의 일부 또는 전부의 조합으로 구성된 메모리에 저장될 수 있다. 또한, 각각의 구성 메모리는 다수 개 포함될 수도 있다.
또한, 프로그램은 인터넷(Internet), 인트라넷(Intranet), LAN(local area network), WAN(wide area network), 또는 SAN(storage area network)과 같은 통신 네트워크, 또는 이들의 조합으로 구성된 통신 네트워크를 통하여 접근(access)할 수 있는 부착 가능한(attachable) 저장 장치(storage device)에 저장될 수 있다. 이러한 저장 장치는 외부 포트를 통하여 본 개시의 실시 예를 수행하는 장치에 접속할 수 있다. 또한, 통신 네트워크상의 별도의 저장장치가 본 개시의 실시 예를 수행하는 장치에 접속할 수도 있다.
상술한 본 개시의 구체적인 실시 예들에서, 개시에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 개시가 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (1)

  1. 무선통신시스템에서 UE가 보안을 제공하는 방법에 있어서,
    AMF(Access and Mobility management Function)로 등록 요청 메시지를 전송하는 단계;
    상기 AMF로부터 등록 거절 메시지를 수신하는 단계;
    상기 등록 거절 메시지가 수신됨에 따라, MME(Mobility Management Entity)로 어태치 요청(attach request)을 전송하는 단계; 및
    상기 MME로부터 어태치 수락(attach accept)을 수신하는 단계를 포함하고,
    상기 AMF 및 상기 UE 에 보안 컨텍스트가 있는 경우, 보안 보호 처리된 등록 거절 메시지를 AMF 로 부터 UE 로 전송하고,
    상기 UE 로 부터의 등록 요청이 AMF 로 부터 상기 MME 로 리다이렉트 되며, 상기 AMF 및 상기 UE 중 적어도 하나에 보안 컨텍스트 정보가 없는 경우, 상기 어태치 요청에 보안 검증 정보가 포함되는, 방법.
KR1020200009393A 2020-01-23 2020-01-23 무선통신시스템에서 보안을 제공하는 장치 및 방법 KR20210095458A (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020200009393A KR20210095458A (ko) 2020-01-23 2020-01-23 무선통신시스템에서 보안을 제공하는 장치 및 방법
CN202180010565.6A CN115244959A (zh) 2020-01-23 2021-01-22 用于在无线通信系统中提供安全性的装置和方法
EP21745028.7A EP4090062A4 (en) 2020-01-23 2021-01-22 DEVICE AND METHOD FOR PROVIDING SECURITY IN A WIRELESS COMMUNICATION SYSTEM
PCT/KR2021/000907 WO2021150059A1 (ko) 2020-01-23 2021-01-22 무선통신시스템에서 보안을 제공하는 장치 및 방법
US17/795,107 US20230086538A1 (en) 2020-01-23 2021-01-22 Apparatus and method for providing security in wireless communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200009393A KR20210095458A (ko) 2020-01-23 2020-01-23 무선통신시스템에서 보안을 제공하는 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20210095458A true KR20210095458A (ko) 2021-08-02

Family

ID=76992674

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200009393A KR20210095458A (ko) 2020-01-23 2020-01-23 무선통신시스템에서 보안을 제공하는 장치 및 방법

Country Status (5)

Country Link
US (1) US20230086538A1 (ko)
EP (1) EP4090062A4 (ko)
KR (1) KR20210095458A (ko)
CN (1) CN115244959A (ko)
WO (1) WO2021150059A1 (ko)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2744323C2 (ru) * 2017-01-30 2021-03-05 Телефонактиеболагет Лм Эрикссон (Пабл) Способы для защиты целостности данных пользовательской плоскости
WO2018231028A1 (ko) * 2017-06-17 2018-12-20 엘지전자(주) 무선 통신 시스템에서 단말의 등록 방법 및 이를 위한 장치
CN110536293A (zh) * 2019-08-15 2019-12-03 中兴通讯股份有限公司 访问闭合访问组的方法、装置和系统
GB2588104A (en) * 2019-10-04 2021-04-21 Nec Corp Communication system

Also Published As

Publication number Publication date
EP4090062A4 (en) 2023-05-31
EP4090062A1 (en) 2022-11-16
WO2021150059A1 (ko) 2021-07-29
US20230086538A1 (en) 2023-03-23
CN115244959A (zh) 2022-10-25

Similar Documents

Publication Publication Date Title
CN110786031B (zh) 用于5g切片标识符的隐私保护的方法和系统
JP7443541B2 (ja) 鍵取得方法および装置
KR102425582B1 (ko) 무선통신 시스템에서 정보 보호 방법 및 장치
CN108012264A (zh) 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案
KR20210020696A (ko) 무선통신 시스템에서 액세스 제어, 관리 및 보호 방법 및 장치
CN110495199A (zh) 无线网络中的安全小区重定向
WO2021180209A1 (zh) 传输寻呼信息的方法和通信装置
US20230057968A1 (en) User equipment, non-public network authentication-authorization-accounting server, authentication server function entity
US11997492B2 (en) Apparatus and method for information security in wireless communication
KR20210095458A (ko) 무선통신시스템에서 보안을 제공하는 장치 및 방법
KR20210095435A (ko) 무선통신시스템에서 인증을 수행하는 장치 및 방법
KR102642804B1 (ko) 다중 대역 통신 방법 및 장치
KR20210094417A (ko) 무선통신시스템에서 액세스 정보를 처리하는 방법 및 장치
KR20210125392A (ko) 무선 통신 시스템에서 비-접속 계층을 이용한 통신 보안 방법 및 장치
WO2023213191A1 (zh) 安全保护方法及通信装置
KR102636076B1 (ko) 무선 통신 시스템에서 nas 메시지 정보 처리 방법 및 장치
WO2022001964A1 (zh) 一种通信方法、终端设备和无线接入网设备
WO2022253298A1 (zh) 传输系统消息的方法和装置
US20230319925A1 (en) Method and system for wlan multi-link management frame addressing
KR20230018204A (ko) 무선 통신 시스템에서 단말의 프로토콜 데이터 유닛 세션의 관리를 위한 방법 및 장치
KR20240049016A (ko) 무선 통신 시스템에서 사용자의 프라이버시 보호를 지원하는 방법 및 장치
KR20210088301A (ko) 무선통신시스템에서 세션 인증을 수행하는 방법 및 장치
KR20230022767A (ko) 무선 통신 시스템에서 단말을 인증하기 위한 방법 및 장치
KR20220141193A (ko) 이동통신 시스템에서 사용자 장치의 이동성 관리, 세션 관리 또는 연결 관리 방법 및 장치
KR20230017049A (ko) 무선 통신 시스템에서 단말의 이동성을 지원하기 위한 장치 및 방법