KR20220019703A - 릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법 - Google Patents

릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법 Download PDF

Info

Publication number
KR20220019703A
KR20220019703A KR1020217040919A KR20217040919A KR20220019703A KR 20220019703 A KR20220019703 A KR 20220019703A KR 1020217040919 A KR1020217040919 A KR 1020217040919A KR 20217040919 A KR20217040919 A KR 20217040919A KR 20220019703 A KR20220019703 A KR 20220019703A
Authority
KR
South Korea
Prior art keywords
iab
security
relay device
psk
key
Prior art date
Application number
KR1020217040919A
Other languages
English (en)
Inventor
라자벨사미 라자듀라이
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20220019703A publication Critical patent/KR20220019703A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • H04W84/047Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 4G 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 통신 시스템을 IoT 기술과 융합하는 통신 기법 및 그 시스템에 관한 것이다. 본 개시는 5G 통신 기술 및 IoT 관련 기술을 기반으로 지능형 서비스 (예를 들어, 스마트 홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 헬스 케어, 디지털 교육, 소매업, 보안 및 안전 관련 서비스 등)에 적용될 수 있다. 본 명세서의 실시예들은 무선 네트워크의 IAB(integrated access and backhaul) 릴레이 장치에서 F1 보안 크레덴셜 사전 구성을 갖지 않는 플러그 앤 플레이 시나리오에서 보안 크레덴셜을 동적으로 생성함으로써 인증하기 위한 방법을 제공한다. 이 방법은 IAB 릴레이 장치에 의해서, 무선 네트워크의 IAB 도너 장치와의 AS(access stratums) 보안 설정 및 NAS(non-access stratums) 보안 설정 중 하나에 대한 계층 보안 키를 생성하는 단계를 포함한다. 또한, 이 방법은 IAB 릴레이 장치에 의해서, 계층 보안 키에 기초하여 PSK(pre-shared key)를 생성하는 단계를 포함한다. 또한, 이 방법은 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE(Internet Key Exchange) 값을 생성하는 단계를 포함한다.

Description

릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법
본 개시는 전자 장치에 관한 것이며, 보다 구체적으로는 IKE(Internet Key Exchange)v2 PSK(pre-shared key) 인증을 위한 키를 동적으로 프로비저닝(provisioning)하기 위한 방법 및 IAB(integrated access and backhaul) 릴레이 장치에 관한 것이다.
4G 통신 시스템 상용화 이후 증가 추세에 있는 무선 데이터 트래픽 수요를 충족시키기 위해, 개선된 5G 통신 시스템 또는 pre-5G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 5G 통신 시스템 또는 pre-5G 통신 시스템은 4G 네트워크 이후 (Beyond 4G Network) 통신 시스템 또는 LTE 시스템 이후 (Post LTE) 시스템이라 불리어지고 있다. 높은 데이터 전송률을 달성하기 위해, 5G 통신 시스템은 초고주파(mmWave) 대역 (예를 들어, 60기가(60GHz) 대역과 같은)에서의 구현이 고려되고 있다. 초고주파 대역에서의 전파의 경로손실 완화 및 전파의 전달 거리를 증가시키기 위해, 5G 통신 시스템에서는 빔포밍(beamforming), 거대 배열 다중 입출력(massive MIMO), 전차원 다중입출력(Full Dimensional MIMO: FD-MIMO), 어레이 안테나(array antenna), 아날로그 빔형성(analog beam-forming), 및 대규모 안테나 (large scale antenna) 기술들이 논의되고 있다. 또한 시스템의 네트워크 개선을 위해, 5G 통신 시스템에서는 진화된 소형 셀, 개선된 소형 셀 (advanced small cell), 클라우드 무선 액세스 네트워크 (cloud radio access network: cloud RAN), 초고밀도 네트워크 (ultra-dense network), 기기 간 통신 (Device to Device communication: D2D), 무선 백홀 (wireless backhaul), 이동 네트워크 (moving network), 협력 통신 (cooperative communication), CoMP (Coordinated Multi-Points), 및 수신 간섭제거 (interference cancellation) 등의 기술 개발이 이루어지고 있다. 이 밖에도, 5G 시스템에서는 진보된 코딩 변조(Advanced Coding Modulation: ACM) 방식인 FQAM (Hybrid FSK and QAM Modulation) 및 SWSC (Sliding Window Superposition Coding)과, 진보된 접속 기술인 FBMC(Filter Bank Multi Carrier), NOMA(non orthogonal multiple access), 및SCMA(sparse code multiple access) 등이 개발되고 있다.
한편, 인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT(Internet of Things, 사물인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터(Big data) 처리 기술 등이 IoT 기술에 결합된 IoE (Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다. IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는 기존의 IT(information technology)기술과 다양한 산업 간의 융합 및 복합을 통하여 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
이에, 5G 통신 시스템을 IoT 망에 적용하기 위한 다양한 시도들이 이루어지고 있다. 예를 들어, 센서 네트워크(sensor network), 사물 통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 5G 통신 기술인 빔 포밍, MIMO, 및 어레이 안테나 등의 기법에 의해 구현되고 있는 것이다. 앞서 설명한 빅데이터 처리 기술로써 클라우드 무선 액세스 네트워크(cloud RAN)가 적용되는 것도 5G 기술과 IoT 기술 융합의 일 예라고 할 수 있을 것이다.
보다 빠른 5G 네트워크를 구축하기 위해서는 무선 백홀 및 릴레이 링크가 필요하다. 무선 백홀 및 릴레이 링크를 사용하면 전송 네트워크의 밀집화 없이도 NR 셀 및 무선 확장을 유연하고 조밀하게 배치할 수 있다. 무선 백홀 및 릴레이 링크는 IAB(integrated access backhaul) 장치를 사용하여 구현된다. 도 1a-1b는 종래 기술에 따른, IAB의 네트워크 아키텍처를 도시한 것이다. IAB 도너 장치는 예를 들면 Xn 인터페이스를 통해 gNB와 같은 코어 네트워크의 구성 요소들에 연결되고, NG 인터페이스를 통해 AMF(access and mobility management function) 또는 UPF(user plane function)에 연결된다. IAB 도너(즉, IAB 도너 장치)는 IAB 기능을 지원하고 IAB 노드들에 대한 코어 네트워크 연결을 제공하는 차세대 무선 액세스 네트워크(next-generation radio access network, NG-RAN) 노드이다.
IAB 도너는 NG-RAN(Next Generation-Radio Access Network) 사양에 정의된 IAB를 위한 CU/DU(control unit/distribution unit) 아키텍처의 CU(control unit) 기능부를 지원한다. IAB 노드(즉, IAB 릴레이 장치)는 NR Uu 백홀 링크를 통한 NR 액세스 트래픽의 무선 대역 내 및 대역 외 중계를 지원하는 릴레이 노드이다. IAB 릴레이 장치는 NG-RAN 사양에 정의된 IAB를 위한 CU/DU 아키텍처의 UE(user equipment) 기능부 및 DU(distribution unit) 기능부를 지원한다. IAB 도너 장치의 CU 기능부에 의해 IAB 도너 장치가 일반적인 gNB로서 작동할 수 있다. IAB 도너 장치의 DU 기능부에 의해 IAB 도너는 F1 인터페이스를 통해 IAB 릴레이 장치에 NR 백홀 링크를 제공할 수 있다. NR 백홀 링크는 IAB 도너 장치와 IAB 릴레이 장치 사이, 그리고 다중 홉 네트워크의 경우 IAB 릴레이 장치들 사이에서의 백홀링(backhauling)에 사용되는 일반적인 NR 링크로서 작동한다.
IAB 도너 장치 또는 다른 페어런트(parent) IAB 릴레이 장치에 대한 Uu 인터페이스를 지원하는 IAB 릴레이 장치 부분을 IAB-UE(또는 IAB-MT)라고 한다. IAB 릴레이 장치 또는 IAB 도너 장치 또는 다른 페어런트 IAB 릴레이 장치의 PLMN(public land mobile network)에 대한 백홀 연결은 Uu 인터페이스를 통해 관리된다. IAB 릴레이 장치의 DU(또는 gNB-DU) 기능부는 UE 및 차일드(child) IAB 노드에 대한 NR Uu 액세스를 제공하는 역할을 한다. 해당 gNB-CU 기능부는 F1 인터페이스를 통해 IAB 노드 gNB-DU를 제어하는 IAB 도너 gNB에 있다. IAB 릴레이 장치는 UE 및 다른 IAB 노드들에 대하여 일반 gNB로서 나타나며 이들이 5GC에 연결될 수 있게 한다. IAB 릴레이 장치의 UE 또는 MT(mobile terminal) 기능부를 통해 IAB 릴레이 장치는 무선 액세스 네트워크(RAN) 노드로서 작동할 수 있게 된다. IAB 릴레이 장치의 DU 기능부를 통해 사용자 단말(UE)은 IAB 릴레이 장치에 연결할 수 있게 된다. IAB 도너 장치의 CU 기능부와 함께 IAB 릴레이 장치의 DU 기능부는 하행 방향의 차일드 IAB 릴레이 장치 및 UE에 대한 코어 네트워크의 액세스를 제공한다. IAB 릴레이 장치는 NR Uu 인터페이스를 통해 MT 기능부를 사용하여 IAB 도너 장치 또는 페어런트 IAB 릴레이 장치에 연결된다. IAB 릴레이 장치는 NR 백홀 링크를 통해 IAB 장치들의 DU 기능부를 사용하여 코어 네트워크로부터 데이터를 수신한다. Uu 백홀 링크는 IAB 릴레이 장치와, IAB 도너 장치 또는 다른 IAB 노드 릴레로 지칭되는 gNB 사이에 존재할 수 있다.
IAB 릴레이 장치는 NR-SA(new radio non-standalone) 모드 또는 NR-NSA(new radio non-standalone) 모드(즉, E-UTRAN 새로운 무선 - 이중 연결(EN-DC) 모드)에서 작동하여 코어 네트워크에 액세스한다. 도 2는 종래 기술에 따른, 코어 네트워크에 대한 새로운 IAB 릴레이 장치의 SA 기반 통합을 도시한 것이다. 코어 네트워크에 대한 새로운 IAB 릴레이 장치의 SA 기반 통합에는 3개의 페이즈, 즉 페이즈 1, 페이즈 2 및 페이즈 3이 포함된다.
페이즈 1: 새로운 IAB 릴레이 장치의 UE/MT 기능부가 IAB 도너 장치의 CU 기능부와의 RRC 연결 셋업, 코어 네트워크와의 인증, 새로운 IAB 릴레이 장치와 관련된 컨텍스트 관리, RAN에서의 새로운 IAB 릴레이 장치에 대한 액세스 트래픽 관련 무선 베어러 구성, 및 선택적으로 OAM(Operations, Administration and Maintenance) 연결 설정을 수행함으로써 일반 UE로서 코어 네트워크에 연결된다.
페이즈 2: 페이즈 2의 일부로서, 1) 백홀 무선 링크 제어(RLC) 채널 설정 및 2) 라우팅 업데이트의 두 단계가 수행된다. 페이즈 2-1: 백홀 RLC 채널 설정, 백홀 RLC 채널이 페이즈 2-1에서 CP 트래픽을 위해 설정된다. 예를 들어, IAB 릴레이 장치와 송수신되는 F1-C 메시지들(즉, F1 인터페이스를 통해 전송되는 메시지들)이 페이즈 2-1에서 설정된다. 페이즈 2-2: 라우팅 업데이트, 백홀 적응 프로토콜(BAP) 계층이 페이즈 2-2에서 업데이트되어 새로운 IAB 릴레이 장치와 IAB 도너 장치의 DU 기능부 간의 라우팅을 지원한다. BAP 계층을 업데이트하는 것은 IAB 도너의 DU 기능부에서 다운스트림 방향으로 라우팅하기 위한 BAP 라우팅 식별자 및 IAB 릴레이 장치의 MT 기능부에서 업스트림 방향으로 BAP 라우팅 식별자를 구성하는 것을 포함한다. 또한, 라우팅 테이블들이 새로운 BAP 라우팅 식별자에 대한 라우팅 항목들로 모든 페어런트 IAB 릴레이 장치 및 IAB 도너 장치의 DU 기능부에 대해 업데이트된다. 또한, 새로운 IAB 릴레이 장치의 DU 기능부는 코어 네트워크에 대한 IP 연결을 설정하기 위해 IP 주소를 구성한다.
페이즈 3: IAB 릴레이 장치의 DU(gNB-DU) 기능부가 페이즈 3에서 구성된다(즉, IAB-DU 부분 셋업). IAB 릴레이 장치의 DU 기능부가 IAB 도너 장치의 CU 기능부와의 F1-C 연결(즉, F1 인터페이스를 통한 링크) 셋업을 개시한다. IAB 릴레이 장치는 F1 인터페이스를 통해 링크를 셋업한 후 UE에 대한 서빙을 시작한다.
인터넷 키 교환 값(예를 들면, IKEv2)을 사용하는 독립적인 인증 메커니즘은 인터넷 프로토콜 보안(IPsec) 설정을 사용하는 보안 F1 인터페이스 설정을 위해 페이즈 3에서 수행된다. IAB 노드의 MT 기능부와 DU 기능부는 독립된 것이기 때문에, 두 기능부 모두가 독립적인 보안 컨텍스트를 설정하기 위해 IAB 릴레이 장치와 코어 네트워크 사이에서 독립적인 인증을 수행한다. 각 기능부별로 독립적인 인증을 수행하기 때문에, 코어 네트워크 및 IAB 릴레이 장치에서는 여러 크레덴셜(credential)(예를 들면, UE 기능부(Uu 인터페이스)용 AKA 크레덴셜 및 DU 기능부(F1 인터페이스)용 개인 키 및 인증서)이 필요하게 되며, 이것은 제조 비용 증가 및 관리 노력으로 이어진다. 또한, 독립적인 인증을 수행하면 보안상의 이점이 없는 여러 중복 인증을 수행함에 있어서 오버헤드가 발생한다.
또한, 독립적인 인증을 수행하면 보안 F1 인터페이스를 설정함에 있어서 대기 시간이 늘어나게 된다. 또한, 수동 구성 보안 크레덴셜(예를 들면, 사전 구성된 인증서, PSK(pre-shared key))은 크레덴셜이 업데이트될 때까지 장기간 동안 인증 절차들에서 재사용된다. 따라서, 동일한 키를 재사용하지 않도록 하기 위해 새로운 크레덴셜을 구성하기 위해서는 OAM(operations, administration and maintenance) 인프라도 필요하게 된다. 또한, 사전 구성은 미션 크리티컬(예를 들면, 재해) 시나리오 및 위치 또는 스포츠와 같은 임시 이벤트와 같은 시나리오에서, 해당 위치의 IAB 도너 장치가 F1 보안 인터페이스를 설정하기 위해 보안 구성을 필요로 하기 때문에 제한을 갖지만, OAM 사전 구성 없이 애드-혹 및 임시 IAB 릴레이 장치들을 지원하기 위해서는 중요하다. 따라서, 상기 언급된 문제점들을 처리하거나 적어도 유용한 대안을 제공하는 것이 바람직하다.
따라서, 본 명세서의 실시예들은 무선 네트워크의 IAB 릴레이 장치에서 인증을 위한 방법을 제공한다. 이 방법은 IAB 릴레이 장치에 의해서, 무선 네트워크의 IAB 도너 장치와의 AS(access stratums) 보안 설정 또는 NAS(non-access stratums) 보안 설정 중 하나에 대한 계층 보안 키(stratum security key)를 생성하는 단계를 포함한다. 또한, 이 방법은 IAB 릴레이 장치에 의해서, 계층 보안 키에 기초하여 PSK를 생성하는 단계를 포함한다. 또한, 이 방법은 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKEv2 값을 생성하는 단계를 포함한다.
일 실시예에서, 무선 네트워크의 기지국은, IAB 릴레이 장치가 기지국으로부터 핸드오버를 통해 IAB 도너 장치에 연결될 때, 계층 보안 키를 생성하기 위해 IAB 릴레이 장치의 MT 기능부의 보안 키를 IAB 도너 장치에 제공한다.
일 실시예에서, IAB 릴레이 장치는, IAB 릴레이 장치가 전원이 켜진 후 또는 등록/접속 절차를 위해 IAB 도너 장치에 연결될 때, 계층 보안 키를 생성하기 위해 IAB 릴레이 장치의 MT 기능부를 사용하여 IAB 도너 장치와의 인증을 수행한다.
일 실시예에서, IAB 릴레이 장치의 MT 기능부는 PSK를 생성한 것에 응답하여 PSK를 IAB 릴레이 장치의 DU 기능부에 제공한다.
일 실시예에서, IAB 도너 장치와의 F1 인터페이스 보안을 설정하는 것은 IAB 도너 장치에 의해서, AS 보안 설정을 위한 계층 보안 키를 생성하는 단계, IAB 도너 장치에 의해서, AS 보안 설정을 위한 계층 보안 키에 기초하여 PSK를 생성하는 단계, 및 IAB 도너 장치에 의해서, IAB 릴레이 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE 값을 생성하는 단계를 포함한다.
일 실시예에서, IAB 도너 장치와의 F1 인터페이스 보안을 설정하는 것은, 무선 네트워크의 AMF에 의해서, NAS 보안 설정을 위한 계층 보안 키를 생성하는 단계, AMF에 의해서, NAS 보안 설정을 위한 계층 보안 키에 기초하여 PSK를 생성하는 단계, AMF에 의해서, PSK를 IAB 도너 장치로 전송하는 단계, IAB 도너 장치에 의해서, PSK를 수신한 것에 응답하여, IAB 릴레이 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE 값을 생성하는 단계를 포함한다.
일 실시예에서, 계층 보안 키는 각각의 AS 보안 설정을 위한 AS 보안 키 및 NAS 보안 설정을 위한 NAS 보안 키이다.
일 실시예에서, PSK는 KSN, KgNB, S-KgNB, KAMF, IAB 카운트, 물리적 셀 식별자(PCI), 절대 무선 주파수 채널 번호-다운링크(Absolute Radio Frequency Channel Number-Downlink, ARFCN-DL), IAB 도너 장치의 gNB 식별자, IAB 도너 장치의 CU(control unit)의 주소, IAB 릴레이 장치의 주소, IAB 릴레이 장치의 식별자, 셀 식별자, 사용자 플레인 암호화 키(key for user plane encryption, KUPenc), 사용자 플레인 무결성 키(key for user plane integrity, KUPint), 액세스 타입 구별자, 업링크 NAS 카운트 및 기타 가능한 파라미터 중 적어도 하나를 사용하여 생성된다.
일 실시예에서, IAB 릴레이 장치는 사전 구성된 크레덴셜을 사용하는 인증을 스킵하여 IAB 도너 장치와의 F1 인터페이스 보안을 설정한다.
따라서, 본 명세서의 실시예들은 인증을 위한 IAB 릴레이 장치를 제공한다. IAB 릴레이 장치는 메모리, 프로세서 및 인증 컨트롤러를 포함하며, 여기서 프로세서는 메모리에 커플링된다. 인증 컨트롤러는 프로세서에 커플링된다. 인증 컨트롤러는 무선 네트워크의 IAB 도너 장치와의 AS 보안 설정 또는 NAS 보안 설정 중 하나에 대한 계층 보안 키를 생성하도록 구성된다. 인증 컨트롤러는 계층 보안 키에 기초하여 PSK를 생성하도록 구성된다. 인증 컨트롤러는 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE 값을 생성하도록 구성된다.
본 명세서의 실시예의 이들 및 다른 양태들은 다음의 설명 및 첨부 도면과 함께 고려될 때 더 잘 이해되고 인식될 것이다. 그러나, 이하의 설명은 바람직한 실시예 및 이것의 다수의 특정 세부 사항을 나타내면서 제한이 아닌 예시의 방식으로 제공되는 것으로 이해되어야 한다. 본 명세서의 실시예의 범위 내에서 그 사상을 벗어나지 않고 많은 변경 및 수정이 이루어질 수 있으며, 본 명세서의 실시예는 이러한 모든 수정을 포함한다.
아래의 상세한 설명에 들어가기 전에, 본 특허 명세서 전체에 걸쳐 사용되는 특정 단어 및 어구들의 정의를 기재하는 것이 유리할 수 있다. 용어 "포함한다(include)" 및 "구성한다(comprise)" 그리고 그 파생어는 제한이 아닌 포함을 의미한다. 용어 "또는(or)"은 '및/또는'을 의미한다. 어구 "~와 관련되다(associated with)" 및 그 파생어는 ~을 포함한다(include), ~에 포함된다(be included within), ~와 결합하다(interconnect with), ~을 함유하다(contain), ~에 함유되어 있다(be contained within), ~에 연결한다(connect to or with), ~와 결합하다(couple to or with), ~ 전달한다(be communicable with), 와 협력하다(cooperate with), ~를 끼우다(interleave), ~을 나란히 놓다(juxtapose), ~에 인접하다(be proximate to), 구속하다/구속되다(be bound to or with), 소유하다(have), 속성을 가지다(have a property of) 등을 의미한다. 용어 "컨트롤러(controller)"는 적어도 하나의 동작을 제어하는 어떤 장치, 시스템 또는 그 일부를 의미하며 이러한 컨트롤러는 하드웨어, 펌웨어 또는 소프트웨어, 또는 이들 중 적어도 두 가지의 조합으로 구현될 수 있다. 특정 컨트롤러와 관련된 기능은 로컬 또는 원격으로 중앙 집중식으로 처리(centralized)되거나 또는 분산식으로 처리(distributed)될 수 있다.
또한, 후술하는 각종 기능들은 컴퓨터 판독 가능한 프로그램 코드로 형성되고 컴퓨터 판독 가능한 매체에서 구현되는 하나 이상의 컴퓨터 프로그램 각각에 의해 구현 또는 지원될 수 있다. 용어 "애플리케이션" 및 "프로그램"은 하나 이상의 컴퓨터 프로그램, 소프트웨어 컴포넌트, 명령 세트, 프로시저, 함수, 객체, 클래스, 인스턴스, 관련 데이터, 혹은 적합한 컴퓨터 판독 가능한 프로그램 코드에서의 구현용으로 구성된 그것의 일부를 지칭한다. 어구 "컴퓨터 판독 가능한 프로그램 코드"는 소스 코드, 오브젝트 코드, 및 실행 가능한 코드를 포함하는 컴퓨터 코드의 종류를 포함한다. 어구 "컴퓨터 판독 가능한 매체"는 ROM(read only memory), RAM(random access memory), 하드 디스크 드라이브, 컴팩트 디스크(CD), 디지털 비디오 디스크(DVD), 혹은 임의의 다른 타입의 메모리와 같은, 컴퓨터에 의해 액세스될 수 있는 임의의 타입의 매체를 포함한다. "비일시적" 컴퓨터 판독 가능한 매체는 유선, 무선, 광학, 일시적인 전기적 또는 다른 신호들을 전달시키는 통신 링크를 제외한다. 비일시적 컴퓨터 판독 가능한 매체는 데이터가 영구적으로 저장되는 매체 그리고 재기록이 가능한 광디스크 또는 소거 가능한 메모리 장치와 같은, 데이터가 저장되어 나중에 덮어 씌어지는 매체를 포함한다.
다른 특정 단어 및 어구에 대한 정의가 이 특허 명세서 전반에 걸쳐 제공되며, 당업자는 대부분의 경우가 아니더라도 다수의 경우에 있어서, 이러한 정의는 종래에 뿐만 아니라 그러한 정의된 단어 및 어구의 향후 사용에 적용될 수 있음을 이해해야 한다.
본 명세서의 실시예들의 목적은 상대적으로 약한 보안 크레덴셜의 사전 구성을 피하기 위한, 인증 방법 및 IAB 릴레이 장치를 제공하여 IKEv2 PSK 인증을 위한 PSK를 동적으로 생성하는 것이다.
본 명세서의 실시예들의 다른 목적은 IAB 릴레이 장치의 UE 기능부를 사용하여 무선 네트워크의 IAB 도너 장치 또는 AMF로 인증함으로써 무선 네트워크의 IAB 릴레이 장치에서 계층 보안 키를 생성하는 것이다.
본 명세서의 실시예들의 다른 목적은 IAB 도너 장치와의 보안 설정을 위한 계층 보안 키를 생성하는 것이다.
본 명세서의 실시예들의 다른 목적은 계층 보안 키에 기초하여 PSK(Pre-Shared Key)를 생성하는 것이다.
본 명세서의 실시예들의 다른 목적은 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKEv2 값을 생성하는 것이다.
본 명세서의 실시예들의 다른 목적은 사전 구성된 보안 크리덴셜을 사용하는 인증 절차를 스킵하여 IAB 도너 장치와의 F1 인터페이스 보안을 설정하는 것이다.
본 방법 및 장치가 첨부 도면에 예시되어 있으며, 전체 도면에서 유사한 참조 문자는 다양한 도면에서 대응하는 부분을 나타낸다. 본 명세서의 실시예들은 도면을 참조하여 다음의 설명으로부터 더 잘 이해될 것이다.
도 1a 및 도 1b는 IAB 장치들의 네트워크 아키텍처를 도시한 것이다.
도 2는 코어 네트워크에 대한 새로운 IAB 릴레이 장치의 독립 기반 통합을 도시한 것이다.
도 3은 본 명세서에 개시된 일 실시예에 따른 보안 F1 인터페이스의 설정을 위한 보안 크리덴셜의 사전 구성을 사용함 없이 동적 PSK를 생성하고 사용하기 위한 무선 네트워크에서의 IAB 릴레이 장치의 블록도를 도시한 것이다.
도 4는 본 명세서에 개시된 일 실시예에 따른 IAB 릴레이 장치에서 인증을 위해 동적 PSK를 생성하고 사용하기 위한 방법의 흐름도를 도시한 것이다.
도 5는 본 명세서에 개시된 일 실시예에 따른 사전 구성된 보안 크리덴셜을 사용하는 인증 절차를 스킵하여 F1 인터페이스 보안을 설정하기 위한 무선 네트워크에서의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다.
도 6은 본 명세서에 개시된 일 실시예에 따른 계층 보안 키가 AS 보안 키일 때 F1 인터페이스 보안을 설정하기 위한 무선 네트워크에서의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다.
도 7은 본 명세서에 개시된 일 실시예에 따른 계층 보안 키가 NAS 보안 키일 때 F1 인터페이스 보안을 설정하기 위한 무선 네트워크에서의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다.
도 8은 본 명세서에 개시된 일 실시예에 따른 다양한 파라미터를 사용하여 PSK를 생성하는 예시적인 시나리오들을 도시한 것이다.
아래에서 논의되는 도 1a 내지 도 8, 및 이 특허 문서에서 본 개시의 원리를 설명하기 위해 사용된 다양한 실시예는 단지 예시를 위한 것이며 개시의 범위를 제한하는 어떤 방식으로든 해석되어서는 안된다. 당업자는 본 개시의 원리가 임의의 적절하게 구성된 시스템 또는 장치에서 구현될 수 있음을 이해할 것이다.
본 명세서의 실시예들 및 이들의 다양한 특징 및 유리한 세부 사항들은 첨부 도면에 예시되고 다음 설명에서 상세히 설명되는 비제한적인 실시예들을 참조하여 보다 완전하게 설명된다. 공지의 구성 요소 및 처리 기술에 대한 설명은 본 명세서의 실시예를 불필요하게 모호화하지 않도록 생략된다. 또한, 일부 실시예가 하나 이상의 다른 실시예와 결합되어 새로운 실시예를 형성할 수 있기 때문에, 여기에 설명된 다양한 실시예가 반드시 상호 배타적일 필요는 없다.
본 명세서에 사용된 용어 "또는"은 달리 지시되지 않는 한 비배타적인 것을 지칭한다. 본 명세서에 사용된 예들은 단지 본 명세서의 실시예들이 실시될 수 있는 방식의 이해를 용이하게 하고 당업자가 본 명세서의 실시예들을 실시할 수 있도록 하기 위한 것이다. 따라서, 이 예들은 본 명세서의 실시예들의 범위를 제한하는 것으로 해석되어서는 안된다. "KgNB"라는 용어는 이중 연결 아키텍처를 고려할 때 "S-KgNB" 또는 "KSN"을 의미하며 이 명세서 전체에서 상호 교환적으로 사용된다. 또한, "기지국"이라는 용어는 IAB 노드가 5GC 또는 gNB 또는 eNB에 연결될 때, "IAB 도너 장치"일 수도 있다. "IAB 도너 장치" 또는 "IAB 도너" 또는 "IAB 도너 gNB"라는 용어는 동일한 것을 의미하며 명세서 전체에서 상호 교환적으로 사용된다. "IAB 릴레이 장치" 또는 "IAB-노드"라는 용어는 동일한 것을 의미하며 명세서 전체에서 상호 교환적으로 사용된다. 또한, IAB 릴레이 장치에서 "MT 기능" 및 "IAB-UE 기능"이라는 용어는 동일하며 명세서 전체에서 상호 교환적으로 사용된다.
당해 분야에서 통상적인 바와 같이, 실시예들은 설명된 기능 또는 기능들을 수행하는 블록의 관점에서 설명되고 예시될 수 있다. 본 명세서에서 유닛 또는 모듈 등으로 지칭될 수 있는 이러한 블록은 논리 게이트, 집적 회로, 마이크로프로세서, 마이크로컨트롤러, 메모리 회로, 수동 전자 부품, 능동 전자 부품, 광학 부품, 하드와이어 회로 등과 같은 아날로그 또는 디지털 회로에 의해 물리적으로 구현되며, 선택적으로 펌웨어 및 소프트웨어에 의해 구동될 수도 있다. 회로는, 예를 들어, 하나 이상의 반도체 칩, 또는 인쇄 회로 기판 등과 같은 기판 지지체 상에 구현될 수 있다. 블록을 구성하는 회로는 전용 하드웨어에 의해 구현되거나, 프로세서(예를 들면, 하나 이상의 프로그래밍된 마이크로프로세서 및 관련 회로)에 의해 구현되거나, 또는 블록의 일부 기능을 수행하는 전용 하드웨어와 블록의 다른 기능을 수행하는 프로세서의 조합으로 구현될 수도 있다. 실시예들의 각 블록은 본 개시의 범위를 벗어나지 않고 둘 이상의 상호 작용하는 개별 블록으로 물리적으로 분리될 수 있다. 마찬가지로, 실시예들의 블록들은 본 개시의 범위를 벗어나지 않고 더 복잡한 블록으로 물리적으로 결합될 수도 있다.
본 명세서의 실시예들은 무선 네트워크의 IAB(integrated access and backhaul) 릴레이 장치(100)에서 F1 보안 크레덴셜의 사전 구성 없이 플러그 앤 플레이 시나리오에서 보안 크레덴셜(즉, PSK(Pre-Shared Key))을 동적으로 생성함으로써 인증을 위한 방법을 제공한다. 동적으로 생성되는 PSK의 이점은 미래에도 사용될 수 있고, 모든 설치에 자동으로 계산되는 독립적인 암호화 생성 키가 있을 수 있으며, PSK를 프로비저닝하거나 구성하는데 절차가 필요하지 않다는 것이다.
IAB 노드를 배치하거나 다시 시작할 때마다, 키가 최신 상태일 수 있다. IAB 노드가 IAB 통합 절차를 완료하기 위해 네트워크 액세스 크레덴셜만이 필요한 반면, 사전 구성 크레덴셜에서는 추가 크레덴셜이 필요하다. 동적 키 도출 및 프로비저닝을 위한 메커니즘이 본 발명에 의해 해결되는 반면, 보안 크레덴셜(예를 들면, 인증서)의 사전 구성에는 IAB 노드 및 또한 IAB 도너에서도 프로비저닝을 위한 추가 엔티티 및 절차가 필요하다. 독립적인 고유 PSK가 모든 IKEv2 인증에 대해 도출되는 반면, 사전 구성에서는 모든 IKEv2 인증에 대해 동일한 크레덴셜을 사용한다.
본 방법은 IAB 릴레이 장치에 의해서, 무선 네트워크의 IAB 도너 장치와의 AS(access stratums) 보안 설정 또는 NAS(non-access stratums) 보안 설정 중 하나에 대한 계층 보안 키를 생성하는 단계를 포함한다. 또한, 본 방법은 IAB 릴레이 장치에 의해서, 계층 보안 키에 기초하여 PSK를 생성하는 단계를 포함한다. 또한, 본 방법은 상호 인증을 수행하여 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE(internet key exchange) 버전 2 AUTH 값을 생성하는 단계를 포함한다.
통상적으로, IAB 릴레이 장치는 IAB-UE 기능부와 DU(즉, IAB-노드에서 gNB-DU) 기능부를 사용하여 독립적인 인증을 수행한다. 본 제공되는 방법은 기존의 방법 및 시스템과는 달리, IAB 릴레이 장치가 MT 기능부를 사용하여 독립적인 인증을 수행하고 NAS 및 AS 보안 키들을 도출할 수 있다. NAS/AS 계층 보안 키는 PSK를 도출하는데 사용되며, 여기서 PSK는 AUTH 값(즉, IKEv2 값)을 직접 계산하는데 추가로 사용된다.
따라서, EAP-TLS, EAP-AKA와 같은 인증 절차, 또는 인증서와 같은 사전 구성된 크레덴셜, (정적) 사전 구성된 PSK 등을 사용하는 인증이 F1 인터페이스 보안 설정에 있어서 스킵/대체된다. 따라서, RRC 보안 및 IPsec의 인증 및 설정이 보안 수준을 손상시키지 않으면서 최적화된다. 따라서, MT 기능부를 사용하는 인증에 대해 단일 크레덴셜만 소유함으로써 인증 관리 노력이 줄어든다. 또한, 본 제공된 방법을 구현함으로써 IAB 릴레이 장치에서 다중 중복 인증을 수행하는 오버헤드가 감소된다. 또한, 보안 F1 인터페이스를 설정할 때 지연 시간이 줄어든다. 일 실시예에서, 동적 PSK 능력에 대한 지원이 UE 능력 교환 절차에서 IAB 릴레이 장치에 의해 표시된다.
일 실시예에서, 네트워크는 예를 들어 OAM 절차를 사용하거나 수동 구성 등을 사용하여 IAB 도너 장치 및 IAB 릴레이 장치에서 IKEv2 인증을 위해 동적 PSK를 사용하기 위한 정책을 사전 구성함으로써 동적 PSK의 사용을 시행한다. 다른 실시예에서, IAB 릴레이 장치는 벤더 ID 페이로드에서 AUTH 값 생성을 위해 동적 PSK를 사용했음을 표시한다. 다른 실시예에서, IKEv2가 동적 PSK를 사용하여 PSK 인증을 수행할 때, IKE_AUTH 요청 메시지에서, IAB 노드가 ID 타입을 ID_KEY_ID로 설정할 수 있으며 또한 어떤 값을 IAB 도너 장치 및 IAB 릴레이 장치에 알려진 예비된 값으로 설정할 수 있다.
이제 도면들, 보다 구체적으로 도 3 내지 도 8를 참조하면, 바람직한 실시예들이 도시된다.
도 3은 본 명세서에 개시된 바와 같은 일 실시예에 따른, 보안 F1 인터페이스의 설정을 위한 보안 크레덴셜(security credential)들의 사전 구성을 사용함 없이 동적 PSK를 생성 및 사용하기 위한 무선 네트워크(1000)의 IAB 릴레이 장치(100)의 블록도를 도시한 것이다. 일 실시예에서, 무선 네트워크(1000)는 IAB 릴레이 장치(100), IAB 도너 장치(200), 기지국(300) 및 AMF(Access and Mobility Management Function)(400)를 포함한다. 기지국(300) 및 AMF(400)는 무선 네트워크(1000)의 코어 네트워크(도면들에 도시되지 않음)의 구성 요소들이다. 일 실시예에서, 기지국(300)은 IAB 도너 장치(200) 또는 gNB 또는 eNB일 수 있다. 일 실시예에서, IAB 도너 장치(200)는 중앙 유닛(central unit, CU) 기능부(210) 및 분산 유닛(distribution unit, DU) 기능부(220)를 포함한다. 본 명세서 전반에 걸쳐, "CU 기능부(210)" 및 "CU(210)"라는 용어는 동일한 의미이며 상호 교환적으로 사용된다. 본 명세서 전반에 걸쳐, "DU 기능부(220)" 및 "DU(220)"라는 용어는 상호 교환적으로 사용되며 동일한 의미를 갖는다. IAB 도너 장치(200)는 기지국(300) 및 AMF(400) 중 적어도 하나에 연결된다.
일 실시예에서, IAB 릴레이 장치(100)는 인증 컨트롤러(110), 메모리(120), 프로세서(130), 모바일 단말(mobile terminal, MT) 기능부(140), DU 기능부(150) 및 통신기(160)를 포함한다. 본 명세서 전반에 걸쳐 "MT 기능부(140)", "UE 기능부(140)", "UE(140)" 및 "MT(140)"라는 용어는 상호 교환적으로 사용되어 동일한 의미를 갖는다. 본 명세서 전반에 걸쳐, "DU 기능부(150)", "gNB-DU(150)" 및 "DU(150)"라는 용어는 상호 교환적으로 사용된다. 일 실시예에서, 인증 컨트롤러(110)는 계층 보안 키 생성기(111), PSK 생성기(112) 및 IKE 값 생성기(113)를 포함한다. 일 실시예에서, 계층 보안 키 생성기(111), PSK 생성기(112)는 키 도출 함수(key derivation function, KDF)를 사용하는 반면, IKE 값 생성기(113)는 의사 랜덤 함수(pseudo-random function, PRF)를 사용한다. KDF의 일 예는 HMAC-SHA-256이다. PRF의 예들로는 AES-XCBC-PRF-128, AES-CMAC-PRF-128, PRF_HMAC_MD5 PRF_HMAC_SHA1, PRF_HMAC_TIGER 등이 있다.
인증 컨트롤러(110)는 IAB 도너 장치(200)와의 액세스 계층(access stratums, AS) 보안 설정 또는 비액세스 계층(non-access stratums, NAS) 보안 설정을 위한 계층 보안 키를 생성하도록 구성된다. 일 실시예에서, 계층 보안 키는 AS 설정 및 NAS 보안 설정 각각을 위한 AS 보안 키(KSN 또는 KgNB 또는 S-KgNB) 및 NAS 보안 키(KAMF)이다. 일 실시예에서, 계층 보안 키 생성기(111)는 IAB 도너 장치(200)와의 AS 보안 설정 및 NAS 보안 설정을 위한 계층 보안 키를 생성한다. 일 실시예에서, 계층 보안 키 생성기(111)는 계층 보안 키를 도출하도록 MT(140)를 구성한다.
일 실시예에서, 인증 컨트롤러(110)는, IAB 릴레이 장치(100)가 전원을 켠 후 또는 초기 등록/접속 절차를 위해 IAB 도너 장치(200)에 연결될 때, 코어 네트워크와의 보안 RRC 연결을 설정하기 위한 코어 네트워크와의 인증을 수행하도록 구성된다. 성공적인 인증에 대한 응답으로, RRC 메시지의 안전한 교환을 위한 IAB 릴레이 장치(100)와 코어 네트워크 사이의 보안 RRC 연결이 설정된다.
또한, 인증 컨트롤러(110)는 보안 RRC 연결 설정에 응답하여 계층 보안 키를 생성하도록 구성된다. 일 실시예에서, MT 기능부(140)는 IAB 릴레이 장치(100)가 전원을 켠 후 또는 초기 등록/접속 절차를 위해 IAB 도너 장치(200)에 연결될 때, 코어 네트워크와 보안 RRC 연결을 설정하기 위한 코어 네트워크와의 인증을 수행한다. 또한, 계층 보안 키 생성기(111)는 보안 RRC 연결 설정에 응답하여 계층 보안 키를 생성한다.
다른 실시예에서, 기지국(300)은 IAB 릴레이 장치(100)가 기지국(300)으로부터 핸드오버를 통해 또는 이중 연결(Dual Connectivity) 절차의 일부로서 IAB 도너 장치(200)에 연결될 때, IAB 릴레이 장치(100)의 MT 기능부(140)의 보안 키를 IAB 도너 장치(200)에 제공한다. 또한, 인증 컨트롤러(110)는 MT 기능부(140)의 보안 키를 수신하는 것에 응답하여 계층 보안 키를 생성하도록 구성된다. 일 실시예에서, 계층 보안 키 생성기(111)는 MT 기능부(140)의 보안 키를 수신하는 것에 응답하여 계층 보안 키를 생성한다.
인증 컨트롤러(110)는 계층 보안 키를 기반으로 사전 공유 키(Pre-Shared Key, PSK)를 생성하도록 구성된다. 본 명세서 전반에 걸쳐 "PSK", "사전 공유 시크릿 키" 및 "KIAB"라는 용어는 상호 교환적으로 사용된다. 일 실시예에서, PSK 생성기(112)는 계층 보안 키에 기초하여 PSK를 생성한다. 일 실시예에서, PSK 생성기(112)는 PSK를 도출하도록 MT(140)를 구성한다. 일 실시예에서, MT 기능부(140)는 PSK 생성에 응답하여 PSK를 DU 기능부(150)에 제공한다. 일 실시예에서, MT 기능부(140) 및 DU 기능부(150)는 배치 시나리오에 따라 내부/전용 인터페이스를 가지며, 즉, MT 기능부(140) 및 DU 기능부(150)는 논리적으로 분리되고 물리적으로 둘 중 하나일 수 있다.
유사하게, CU(210)와 DU(220)도 분리된다. 이 시나리오에서, MT 기능부(140)는 PSK를 생성하여 이것을 내부/전용 인터페이스를 사용하거나 표준화된 인터페이스를 통해 DU 기능부(150)에 제공하며, MT 기능부(140)에 의해 DU 기능부(150)에 제공되는 다른 파라미터들과 함께 있을 수 있다(예를 들어, IAB-노드-UE에 의해(RRC를 통해) 코어 네트워크로부터 수신되는 DU 구성들이 IAB-노드-DU에 제공됨).
다른 실시예에서, DU 기능부(150)는 필요한 정보(예를 들어, CU(210)의 주소)를 포함하는 키 요청을 MT 기능부(140)에 전송한다. PSK가 MT 기능부(140)에 이용할 수 없는 경우, MT 기능부(140)는 PSK를 도출하고 도출된 시크릿 PSK를 DU 기능부(150)에 제공한다. 일 실시예에서, PSK는 적어도 하나의 파라미터를 사용하여 생성된다. 파라미터는 KSN, KgNB, S-KgNB, KAMF, IAB 카운트, 물리적 셀 식별자(Physical Cell Identifier, PCI), 절대 무선 주파수 채널 번호-다운링크(Absolute Radio Frequency Channel Number-Downlink, ARFCN-DL), IAB 도너 장치(200)의 gNB 식별자, IAB 도너 장치(200)의 CU(210)의 주소, IAB 릴레이 장치(100)의 주소, IAB 릴레이 장치(100)의 식별자, 셀 식별자, 사용자 플레인 암호화 키(key for user plane encryption, KUPenc), 사용자 플레인 무결성 키(key for user plane integrity, KUPint), 액세스 타입 구별자, 업링크 NAS 카운트 및 기타 가능한 파라미터들을 포함한다.
인증 컨트롤러(110)는 IAB 도너 장치(200)와의 F1 인터페이스 보안을 설정하기 위해 생성된 PSK를 사용하여 인터넷 키 교환(internet key exchange, IKE) 인증(AUTH) 값을 생성하도록 구성된다. 일 실시예에서, IKE 값 생성기(113)는 PSK를 사용하여 IKE 값을 생성한다. 일 실시예에서, IKE 값 생성기(113)는 PSK에 기초하여 IKE 값을 도출하도록 DU(150)를 구성한다. 본 명세서 전반에 걸쳐, "IKE 값", "IKEv2 값", "IKEv2 AUTH 값" 및 "AUTH 값"이라는 용어는 동일한 의미이며 상호 교환적으로 사용된다. 또한, DU(150)는 IAB 릴레이 장치(100)에서 인증을 최적화하기 위해, EAP-TLS, EAP-AKA 등과 같은 무거운 EAP 인증 절차를 스킵하거나 인증서와 같은 사전 구성된 보안 크레덴셜, (정적) 사전 구성된 PSK 등을 사용하는 인증 절차를 스킵하여 IAB-노드(100) 및 IAB-도너(200)의 유연한 플러그 앤 플레이를 지원하도록 IAB 도어 장치(200)와 F1 인터페이스 보안을 설정한다.
일 실시예에서, DU(150)는 제 1 요청을 IAB 도너 장치(200)로 전송함으로써 IAB 도너 장치(200)와의 F1 인터페이스 보안을 설정한다. 일 실시예에서, 제 1 요청은 AUTH 값(PSK를 사용하여 생성됨) 또는/및 글로벌 고유 임시 식별자(global unique temporary identifier, GUTI)를 포함한다. IAB 도너 장치(200)는 IAB 릴레이 장치(100)로부터 제 1 요청을 수신한 것에 응답하여, AS 보안 설정을 위해 생성되는 UE의 계층 보안 키에 기초하여 PSK를 생성한다. 또한, IAB 도너 장치(200)는 수신된 AUTH를 검증하고(지정된 IKEv2 절차의 일부로서), 검증에 성공한 경우, IAB 릴레이 장치(100)와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE 값을 생성한다. 일 실시예에서, IAB 도너 장치(200)는 PSK를 공유 시크릿/마스터 세션 키(MSK)로서 사용한다.
IAB 도너 장치(200)는 IAB 릴레이 장치(100)에 제 2 요청을 전송하여 IAB 릴레이 장치(100)와의 F1 인터페이스 보안을 설정하며, 여기서 제 2 요청에는 AUTH 값 및 IPsec 보안 연관(security association, SA) 설정을 위한 다른 파라미터들이 포함된다.
다른 실시예에서, IAB 도너 장치(200)는 IAB 릴레이 장치(100)로부터 제 1 요청을 수신한 것에 응답하여, NAS 보안 설정을 위한 제 3 요청을 AMF(400)로 전송한다. 일 실시예에서, 제 3 요청은 GUTI를 포함한다. AMF(400)는 GUTI에 기초하여 NAS 보안 설정을 위해 도출되는 계층 보안 키를 식별한다. 또한, AMF(400)는 NAS 보안 설정을 위한 계층 보안 키에 기초하여 PSK를 생성한다. 또한, AMF(400)는 PSK를 IAB 도너 장치(200)로 전송한다. IAB 도너 장치(200)는 PSK 수신에 대한 응답으로, IAB 릴레이 장치(100)와의 F1 인터페이스 보안을 설정하기 위해 PSK를 사용하여 IKE 값을 생성한다. IAB 도너 장치(200)는 제 2 요청을 IAB 릴레이 장치(100)로 전송하여 IAB 릴레이 장치(100)와의 F1 인터페이스 보안을 설정한다.
다른 실시예에서, IAB 릴레이 장치(100) 및 IAB 도너 장치(200)는 IAB 릴레이 장치(100) 및 IAB 도너 장치(200)의 유연한 플러그 앤 플레이 수행을 위해, 동적 PSK를 생성한다. 동적 PSK는 함수 코드(Function Code, FC)(예를 들어, FC = 0x7F), CU 기능부(210)의 IP 주소, CU 기능부(210)의 IP 주소 길이, IAB 릴레이 장치(100)의 DU 기능부(150)의 IP 주소, 및 DU 기능부(150)의 IP 주소의 길이를 포함하는 파라미터들을 사용하여 생성된다. 일 실시예에서, PSK 생성기(112)의 출력에서 생성되는 동적 PSK는 256 비트 데이터이다.
일 실시예에서, MT 기능부(140)는 내부/전용 인터페이스를 사용하거나 표준화된 인터페이스를 통해 계층 보안 키(예를 들어, KgNB)를 DU 기능부(150)에 제공한다. 또한, DU 기능부(150)는 계층 보안 키에 기초하여 PSK를 생성한다. 일 실시예에서, MT 기능부(140)는 DU 기능부(150)에서 PSK를 생성하기 위한 내부/전용 인터페이스를 사용함으로써 RRC 관련 정보(예를 들어, KgNB, PCI)를 DU 기능부(150)에 제공한다.
일 실시예에서, DU 기능부(150)는 IPsec 인증/재인증을 트리거하기 위한 파라미터 요청을 MT 기능부(140)에 전송한다. MT 기능부(140)는 이 파라미터 요청을 사용하여 PSK를 도출하고 내부/전용 인터페이스를 사용하거나 표준화된 인터페이스를 통해, 요청된 파라미터들을 DU 기능부(150)에 제공한다.
일 실시예에서, IAB 도너 장치(200) 및 IAB 릴레이 장치(100)는 KIAB를 저장한다. IAB 도너 장치(200)는 IAB 도너 장치(200)와 IAB 릴레이 장치(100) 간의 IKEv2 절차를 수행하기 위한 공유 시크릿으로서 KIAB를 사용한다. KIAB 및 IPsec 보안 연관(Security Association, SA) 암호화 키들은 IAB 도너 장치(200)와 IAB 릴레이 장치(100) 간의 IPsec SA 설정에 사용된다. KIAB는 IAB 릴레이 장치(100)가 IAB 도너 장치(200)에 연결되어 있는 한 또는 IAB 릴레이 장치(100)가 재인증될 때까지 유효하다. 일 실시예에서, CU 기능부(210)는 IPsec 터널을 종료하기 위해, 보안 게이트웨이(security gateway, SEG)를 사용한다. 이 시나리오에서, CU 기능부(210)는 PSK를 생성하고 이것을 내부/전용 인터페이스를 사용하거나 표준화된 인터페이스를 통해 SEG에 제공한다.
메모리(120)는 비휘발성 저장 요소들을 포함할 수 있다. 이러한 비휘발성 저장 요소들의 예들은 자기 하드 디스크, 광 디스크, 플로피 디스크, 플래시 메모리, 또는 EPROM(electrically programmable memory)이나 EEPROM(electrically erasable and programmable memory)의 형태를 포함할 수 있다.
또한, 메모리(120)는 일부 예들에서, 비일시적 저장 매체로 간주될 수 있다. "비일시적"이라는 용어는 저장 매체가 반송파 또는 전파된 신호로 구현되지 않음을 나타낼 수 있다. 그러나 "비일시적"이라는 용어는 메모리(120)가 움직일 수 없는 것으로 해석되어서는 안 된다. 일부 예들에서, 메모리(120)는 메모리(120)보다 더 많은 양의 정보를 저장하도록 구성될 수 있다. 특정 예들에서, 비일시적 저장 매체는 시간이 지남에 따라 변경될 수 있는 데이터를 저장할 수 있다(예를 들어, 랜덤 액세스 메모리(RAM) 또는 캐시(cache)에).
프로세서(130)는 메모리(120)에 저장된 명령어들을 실행하도록 구성된다. 통신기(160)는 IAB 릴레이 장치(100)의 하드웨어 구성 요소들 사이에서 내부적으로 통신하도록 구성된다. 또한, 통신기(160)는 무선 네트워크(1000)에서 IAB 릴레이 장치(100)와 다른 장치들(즉, 페어런트(parent) IAB 릴레이 장치들, IAB 도너 장치(200), 적어도 하나의 사용자 단말(User Equipment, UE)) 간의 통신을 용이하게 하도록 구성된다.
도 3이 IAB 릴레이 장치(100)의 하드웨어 구성 요소를 도시하고 있지만, 다른 실시예들이 이에 제한되지 않음을 이해해야 한다. 다른 실시예들에서, IAB 릴레이 장치(100)는 더 적거나 더 많은 수의 구성 요소들을 포함할 수 있다. 또한, 구성 요소들의 라벨들 또는 명칭들은 예시적으로만 사용된 것이며, 본 개시의 범위를 한정하지 않는다. IAB 릴레이 장치(100)에서 인증을 위해 동일하거나 실질적으로 유사한 기능을 수행하기 위해 하나 이상의 구성 요소들이 함께 결합될 수 있다.
도 4는 본 명세서에 개시된 일 실시예에 따른, IAB 릴레이 장치(100)에서 인증을 위해 동적 PSK를 생성하고 사용하기 위한 방법의 흐름도(S400)를 도시한 것이다. 단계 S401에서, 이 방법은 무선 네트워크(1000)에서 IAB 도너 장치(200)와의 AS 보안 설정 및 NAS 보안 설정 중 하나를 위한 계층 보안 키를 생성하는 단계를 포함한다. 일 실시예에서, 이 방법은 계층 보안 키 생성기(111)가 무선 네트워크(1000)에서 IAB 도너 장치(200)와의 AS 보안 설정 및 NAS 보안 설정 중 하나에 대한 계층 보안 키를 생성할 수 있도록 한다.
단계 S402에서, 이 방법은 계층 보안 키에 기초하여 PSK를 생성하는 단계를 포함한다. 일 실시예에서, 이 방법은 PSK 생성기(112)가 계층 보안 키에 기초하여 PSK를 생성할 수 있도록 한다. 단계 S403에서, 이 방법은 PSK를 사용하여 IKE 값을 생성하는 단계를 포함한다. 일 실시예에서, 이 방법은 IKE 값 생성기(113)가 (공유 시크릿으로서) PSK를 사용하여 IKE 값을 생성할 수 있도록 한다. 단계 S404에서, 이 방법은 IAB 도너 장치(200)와의 F1 인터페이스 보안을 설정하는 단계를 포함한다. 일 실시예에서, 이 방법은 DU(150)가 IAB 도너 장치(200)와의 F1 인터페이스 보안을 설정할 수 있도록 한다.
흐름도 S400의 다양한 액션, 동작, 블록, 단계 등은 제시된 순서대로, 다른 순서로 또는 동시에 수행될 수 있다. 또한, 일부 실시예들에서, 본 개시의 범위를 벗어남이 없이 일부 액션, 동작, 블록, 단계 등은 생략, 추가, 수정, 스킵 등이 될 수 있다.
도 5는 본 명세서에 개시된 일 실시예에 따른, 사전 구성된 보안 크레덴셜을 사용하는 인증 절차를 스킵함으로써 F1 인터페이스 보안을 설정하기 위한 무선 네트워크(1000)의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다. 단계 S501에서, IAB 릴레이 장치(100)의 MT(140)는 RRC 연결 셋업 절차를 수행하여 일반 UE로서 gNB(300, 예를 들어, 기지국)에 접속한다. RRC 연결 셋업 절차가 성공적으로 완료한 것에 응답하여, MT(140)는 인증을 수행하고 gNB(300)와의 AS 보안 키를 생성한다. 단계 S502에서, MT(140)는 IAB 장치 OAM(500)으로부터 IAB 장치 운영, 관리 및 유지(Operations, Administration and Maintenance, OAM) 구성을 검색한다. IAB 장치 OAM 설정에는 CU(210)에 대한 전송 네트워크 계층(transport network layer, TNL) 주소 및 IAB 장치 액세스를 지원하는 셀들의 목록이 포함된다. 단계 S503에서, MT(140)는 IAB 도너 장치(200)의 CU(210)에 연결하기 위한 핸드오버를 통해 gNB(300)로부터 접속 해제된다.
단계 S504에서, MT(140) 기능부는 인증 절차를 수행함 없이, 핸드오버 절차의 일부로서 AS 보안 컨텍스트를 생성하거나 설정한다. 단계 S505에서, MT(140)는 IAB 장치 OAM 설정에서의 정보를 이용하여 CU(210)에 접속하고 AS 보안 설정을 수행한다. MT(140) 기능부에 의해 수행되는 인증 절차는 없지만, 단계 S504에서 핸드오버 절차의 일부로서, AS 보안 컨텍스트가 생성/설정된다. 단계 S506에서, MT(140) 및 CU(210)는 단계 S504에서 획득된 KgNB를 사용하여 PSK(즉, KIAB)를 도출한다.
또한, 단계 S506에서 MT(140)는 PSK를 DU(150)에게 제공한다. 단계 S507에서, DU(150)는 CU(210)와의 전송 네트워크 계층 연관(Transport Network Layer Association, TNLA) 설정을 수행한다. 단계 S508에서, DU(150)는 F1 인터페이스(즉, IPsec SA)에 대한 SA를 설정하기 위해, 인터넷 키 교환 프로토콜 버전 2(IKEv2) IETF RFC에 지정된 PSK(단계 S506에서 획득됨)를 사용하여 IKEv2 AUTH 페이로드들을 생성하며, 인증서 등과 같은 사전 구성된 보안 크레덴셜을 사용하는 인증 절차들을 스킵한다.
유사하게, 단계 S508에서, CU(210)는 인터넷 키 교환 프로토콜 버전 2(Internet Key Exchange Protocol Version 2, IKEv2) IETF RFC에 지정된 PSK(단계 S506에서 획득됨)를 사용하여 IKEv2 AUTH 페이로드들을 생성한다. 일 실시예에서, IAB 릴레이 장치(100)가 단계 S505에서 전원이 켜진 직후에 IAB 도너 장치(200)에 연결될 때, 예를 들어 핸드오버 절차가 불가능한 것에 기인하여(즉, 단계 S504가 불가능함), MT(140) 기능부가 초기 등록 절차를 개시하고, IAB 도너 장치(200)를 통해 코어 네트워크와의 인증을 수행하고, 단계 S505에서 AS 보안 컨텍스트를 설정하며, 다른 후속 단계들을 수행한다. 단계 S506에서, MT(140) 및 CU(210)는 단계 S505에서 생성된 KgNB를 사용하여 PSK(즉, KIAB)를 도출한다.
도 6은 본 명세서에 개시된 일 실시예에 따른, 계층 보안 키가 AS 보안 키일 때 F1 인터페이스 보안을 설정하기 위한 무선 네트워크(1000)의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다. IAB 릴레이 장치(100)가 IAB 도너 장치(200)를 통해 AMF(400)에 연결되어 있는 것으로 가정한다. 페이즈 1에서, IAB 릴레이 장치(100)의 MT(140)는 IAB 도너 장치(200)의 CU(210)와 RRC 연결 셋업 절차를 수행하여 일반 UE로서 AMF(400)(즉, 코어 네트워크)에 연결된다. 또한, MT(140)는 AMF(400)(즉, 코어 네트워크)와의 인증, IAB 릴레이 장치(100)와 관련된 컨텍스트 관리 및 RAN에서 IAB 릴레이 장치(100)에 대한 액세스 트래픽 관련 무선 베어러 구성을 수행한다.
또한, MT(140)는 선택적으로 OAM 연결 설정을 수행한다. 단계 S601에서, MT(140) 및 CU(210)는 IAB 릴레이 장치(100)가 IAB 도너 장치(200)를 통해 NR-SA(new radio standalone) 모드에서 AMF(400)에 등록할 때, AS 보안 설정을 위한 AS 보안 키로서 KgNB를 도출한다. 일 실시예에서, MT(140) 및 CU(210)는 NR-NSA(radio non-standalone) 모드(즉, E-UTRA(evolved universal terrestrial radio access)-NR 이중 연결(EN-DC))에서 IAB 릴레이 장치(100)와 IAB 도너 장치(200) 간의 AS 보안 설정을 위한 AS 보안 키로서 S-KgNB를 사용하며, 여기서 MT(140)는 S-KgNB를 생성하고 CU(210)는 기지국(300)으로부터 S-KgNB를 획득한다.
페이즈 2, 여기서는 페이즈 2-1: 백홀 RLC 채널 설정에서, 백홀 RLC 채널이 페이즈 2에서 CP 트래픽에 대해 설정된다. 예를 들어, IAB 릴레이 장치(100)와 송수신되는 F1-C 메시지들(즉, F1 인터페이스를 통해 전송되는 메시지들)이 페이즈 2-1에서 설정된다. 페이즈 2-2: 라우팅 업데이트, IAB 릴레이 장치(100)와 IAB 도너 장치(200)의 DU(220) 사이의 라우팅을 지원하기 위해 페이즈 2-2에서 백홀 적응 프로토콜(backhaul adaptation protocol, BAP) 계층이 업데이트된다.
BAP 계층을 업데이트하는 것은 IAB 도너 장치(200)의 DU(220)에서 다운스트림 방향으로 라우팅하기 위한 BAP 라우팅 식별자 및 IAB 릴레이 장치(100)의 MT(140)에서 업스트림 방향으로 BAP 라우팅 식별자를 구성하는 것을 포함한다. 또한, 라우팅 테이블들이 새로운 BAP 라우팅 식별자에 대한 라우팅 항목들로 모든 페어런트 IAB 릴레이 장치 및 IAB 도너 장치(200)의 DU(220)에 대해 업데이트된다. 또한, IAB 릴레이 장치(100)의 DU(150)는 gNB(300)에 대한 IP 연결을 설정하기 위해 IP 주소를 구성한다.
페이즈 3의 단계 S602에서, IAB 릴레이 장치(100)는 IPsec SA들을 설정하기 위해 CU(201)와의 IKEv2 절차를 개시한다. 단계 S603에서, MT(140)는 AS 보안 키(예를 들어, KgNB 또는 S-KgNB)를 사용하여 KIAB를 도출한다. 단계 S604에서, MT(140)는 KIAB를 DU(150)로 전송한다. 단계 S605에서, DU(150)는 IKEv2 IETF RFC에 지정된 AUTH 값 생성 메커니즘을 사용하여, MSK/PSK/공유 시크릿으로서 KIAB를 사용하여 IKEV2 값을 계산한다. 단계 S605에서, DU(150)는 AUTH 값(즉, IKEv2 값)을 포함하는 IKE-AUTH 요청을 CU(210)로 전송한다. 단계 S607에서, CU(210)는 요청 수신에 대한 응답으로, AS 보안 키(예를 들어, KgNB)를 사용하여 KIAB를 도출한다. 단계 S608에서, CU(210)는 UE에 대응하는 KIAB를 MSK/PSK/공유 시크릿으로서 사용하여 IKEV2 값을 계산하고, IAB 릴레이 장치(100)로부터 수신된 AUTH 값을 검증한다.
단계 S609에서, CU(210)는 AUTH 값(즉, CU(210)에 의해 KgNB를 사용하여 생성된 IKEv2 값, AUTH 값 생성은 IKEv2 IETF RFC에 지정됨) 및 IPsec SA 설정을 위한 다른 파라미터들을 포함하는 IKE-AUTH 요청을 DU(150)로 전송한다. 따라서, DU(150)는 IAB 도너 장치(200)의 CU(201)와의 F1-C 연결(즉, F1 인터페이스를 통한 링크) 셋업을 개시하고, EAP-TLS, EAP-AKA와 같은 인증 절차, 또는 인증서와 같은 사전 구성된 크레덴셜, (정적) 사전 구성된 PSK 등을 사용하는 인증 절차를 스킵하여 F1 인터페이스(즉, F1-C 인터페이스 및/또는 F1-U 인터페이스)를 보호하기 위한 보안 컨텍스트를 설정한다. 또한, IAB 릴레이 장치(100)는 F1 인터페이스 보안 셋업 이후에 UE가 연결될 수 있도록 한다.
도 7은 본 명세서에 개시된 일 실시예에 따른, 계층 보안 키가 NAS 보안 키일 때 F1 인터페이스 보안을 설정하기 위한 무선 네트워크(1000)의 구성 요소들 사이의 시그널링의 순서도를 도시한 것이다. IAB 릴레이 장치(100)가 IAB 도너 장치(200)를 통해 AMF(400)에 연결되어 있는 것으로 가정한다. 페이즈 1에서, IAB 릴레이 장치(100)의 MT(140)는 IAB 도너 장치(200)의 CU(210)와의 RRC 연결 셋업 절차를 수행하여 일반 UE로서 AMF(400)(즉, 코어 네트워크)에 연결된다. 또한, MT(140)는 AMF(400)(즉, 코어 네트워크)와의 인증, IAB 릴레이 장치(100)와 관련된 컨텍스트 관리 및 RAN에서 IAB 릴레이 장치(100)에 대한 액세스 트래픽 관련 무선 베어러 구성을 수행한다. 또한, MT(140)는 선택적으로 OAM 연결 설정을 수행한다. 단계 S601에서, MT(140)와 AMF(400)는 NAS 보안 설정을 위한 NAS 보안 키로서 KAMF를 도출한다.
페이즈 2, 여기서는 페이즈 2-1: 백홀 RLC 채널 설정에서, 백홀 RLC 채널이 페이즈 2에서 CP 트래픽에 대해 설정된다. 예를 들어, IAB 릴레이 장치(100)와 송수신되는 F1-C 메시지들(즉, F1 인터페이스를 통해 전송되는 메시지들)이 페이즈 2-1에서 설정된다. 페이즈 2-2: 라우팅 업데이트, IAB 릴레이 장치(100)와 IAB 도너 장치(200)의 DU(220) 사이의 라우팅을 지원하기 위해 페이즈 2-2에서 BAP 계층이 업데이트된다. BAP 계층을 업데이트하는 것은 IAB 도너 장치(200)의 DU(220)에서 다운스트림 방향으로 라우팅하기 위한 BAP 라우팅 식별자 및 IAB 릴레이 장치(100)의 MT(140)에서 업스트림 방향으로 BAP 라우팅 식별자를 구성하는 것을 포함한다.
또한, 모든 페어런트 IAB 릴레이 장치 및 IAB 도너 장치(200)의 DU(220)에 대해 라우팅 테이블들이 새로운 BAP 라우팅 식별자에 대한 라우팅 항목들로 업데이트된다. 또한, IAB 릴레이 장치(100)의 DU(150)는 gNB(300)에 대한 IP 연결을 설정하기 위해 IP 주소를 구성한다. IAB 릴레이 장치(100) 및 IAB 도너 장치(200)는 페이즈 2에서 TLNA 설정을 수행한다.
페이즈 3의 단계 S702에서, IAB 릴레이 장치(100)는 IPsec SA들을 설정하기 위해 CU(201)와의 IKEv2 절차를 개시한다. 단계 S703에서, MT(140)는 NAS 보안 키(예를 들어, KAMF)를 사용하여 KIAB를 도출한다. 단계 S704에서, MT(140)는 KIAB를 DU(150)로 전송한다. 단계 S705에서, DU(150)는 IKEv2 IETF RFC에 지정된 MSK/PSK/공유 시크릿으로서 KIAB를 사용하여 IKEV2 값을 계산한다. 단계 S706에서, DU(150)는 선택적 파라미터인 GUTI 및 AUTH 값(즉, IKEV2 값)을 포함하는 IKE-AUTH 요청을 CU(210)로 전송한다. 단계 S707에서, CU(210)는 GUTI를 포함하는 키 요청을 AMF(400)로 전송한다.
단계 S708에서, AMF(400)는 요청 수신에 대한 응답으로, NAS 보안 키(예를 들어, KAMF)를 사용하여 KIAB를 도출한다. 단계 S708에서, AMF(400)는 KIAB를 N2 인터페이스를 통해 CU(210)로 송신한다. 단계 S710에서, CU(210)는 IKEv2 IETF RFC에 지정된 MSK/PSK/공유 시크릿으로서 KIAB를 사용하여 IKEv2 값을 계산하고, IAB 릴레이 장치(100)로부터 수신된 AUTH 값을 검증한다.
단계 S711에서, CU(210)는 AUTH 값(즉, CU(210)에 의해 생성된 IKEV2 값) 및 IPsec SA 설정을 위한 다른 파라미터들을 포함하는 IKE-AUTH 요청을 DU(150)로 전송한다. 따라서, DU(150)는 IAB 도너 장치(200)의 CU(201)와의 F1-C 연결(즉, F1 인터페이스를 통한 링크) 셋업을 개시하고, EAP-TLS, EAP-AKA와 같은 인증 절차, 또는 인증서와 같은 사전 구성된 크레덴셜, (정적) 사전 구성된 PSK 등 중의 적어도 하나를 사용하는 인증 절차를 스킵하여 F1 인터페이스(즉, F1-C 인터페이스 및/또는 F1-U 인터페이스)를 보호하기 위한 보안 컨텍스트를 설정한다. 또한, IAB 릴레이 장치(100)는 F1 인터페이스 보안 셋업 이후에 UE가 연결될 수 있도록 한다.
도 8은 본 명세서에 개시된 일 실시예에 따른, 다양한 파라미터를 사용하여 PSK를 생성하는 예시적인 시나리오들을 도시한 것이다. 일 예에서, PSK(즉, KIAB)는 도 8의 표기 (a)에 도시된 바와 같이 KSN/KgNB, 파라미터 구별자(예를 들면, 0x00 또는 0x07 또는 0xEF 또는 기타 가능한 값), 및 파라미터 식별자(예를 들면, 0100 또는 1111 또는 기타 가능한 값)를 사용하여 생성된다. 다른 예에서, PSK(즉, KIAB)는 도 8의 표기 (b)에 도시된 바와 같이 IAB 카운트, PCI, ARFCN-DL, IAB 도너 장치(200)의 gNB 식별자, IAB 도너 장치(200)의 CU(210)의 주소, IAB 릴레이 장치(100)의 DU(150)의 주소, IAB 릴레이 장치(100)의 식별자 및 기타 가능한 파라미터(예를 들면, 파라미터의 길이) 중 적어도 하나와 함께 KSN/KgNB를 사용하여 생성된다.
다른 예에서, PSK(즉, KIAB)는 도 8의 표기 (c)에 도시된 바와 같이 KAMF, 액세스 타입 구별자, 업링크 NAS 카운트를 사용하여 생성된다. 다른 예에서, PSK(즉, KIAB)는 도 8의 표기 (d)에 도시된 바와 같이 사용자 플레인 무결성 키(KUPint)를 사용하여 생성된다. 다른 예에서, PSK(즉, KIAB)는 도 8의 표기 (e)에 도시된 바와 같이 사용자 플레인 암호화 키(KUPenc)를 사용하여 생성된다.
본 명세서에 개시된 실시예들은 적어도 하나의 하드웨어 장치에서 실행되고 요소들을 제어하기 위해 네트워크 관리 기능들을 수행하는 적어도 하나의 소프트웨어 프로그램을 사용하여 구현될 수 있다.
특정 실시예들에 대한 전술한 설명은 다른 사람들이 현재 지식을 적용함으로써 일반적인 개념에서 벗어나지 않고 이러한 특정 실시예들을 다양한 응용에 대해 쉽게 수정 및/또는 적응할 수 있도록 본 명세서의 실시예의 일반적인 특성을 완전히 나타내는 것이며, 따라서 그러한 적응 및 수정은 본 개시된 실시예들의 균등물의 의미 및 범위 내에서 이해되어야 하고 의도되어야 한다. 본 명세서에 사용된 어구 또는 용어는 제한이 아니라 설명을 위한 것임을 이해해야 한다. 따라서, 본 명세서의 실시예들이 바람직한 실시예들의 관점에서 설명되었지만, 당업자는 본 명세서의 실시예들이 본 명세서에 설명된 실시예들의 사상 및 범위 내에서 수정되어 실시될 수 있음을 인식할 것이다.
본 발명이 다양한 실시예들에 의해 설명되었지만, 본 기술 분야의 통상의 지식을 가진 자에게 다양한 변경 및 수정이 제안될 수 있다. 본 발명은 첨부된 청구범위의 범주 내에 속하는 그러한 변경 및 수정을 포함하는 것으로 의도된다.

Claims (15)

  1. 무선 네트워크의 IAB(integrated access and backhaul) 릴레이 장치에서의 인증을 위한 방법으로서,
    상기 IAB 릴레이 장치에 의해서, 상기 무선 네트워크의 IAB 도너(donor) 장치와의 AS(access stratums) 보안 설정 또는 NAS(non-access stratums) 보안 설정 중 하나에 대한 계층 보안 키(stratum security key)를 생성하는 단계;
    상기 IAB 릴레이 장치에 의해서, 상기 계층 보안 키에 기초하여 PSK(pre-shared key)를 생성하는 단계; 및
    상기 IAB 릴레이 장치에 의해서, 상기 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 IKE(internet key exchange) 값을 생성하는 단계
    를 포함하는, 방법.
  2. 제 1 항에 있어서,
    상기 무선 네트워크의 기지국은, 상기 IAB 릴레이 장치가 상기 기지국으로부터 핸드오버를 통해 상기 IAB 도너 장치에 연결될 때, 상기 계층 보안 키를 생성하기 위해 상기 IAB 릴레이 장치의 MT(mobile terminal) 기능부의 보안 키를 상기 IAB 도너 장치로 전송하는, 방법.
  3. 제 1 항에 있어서,
    상기 IAB 릴레이 장치는, 상기 IAB 릴레이 장치가 상기 무선 네트워크에 등록하기 위해 상기 IAB 도너 장치에 연결될 때, 상기 계층 보안 키를 생성하기 위해 상기 IAB 릴레이 장치의 MT 기능부를 사용하여 상기 IAB 도너 장치와의 인증을 수행하는, 방법.
  4. 제 1 항에 있어서,
    상기 IAB 릴레이 장치의 MT 기능부는 상기 PSK를 생성한 것에 응답하여 상기 PSK를 상기 IAB 릴레이 장치의 DU(distribution unit) 기능부로 전송하는, 방법.
  5. 제 1 항에 있어서,
    상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하는 것은,
    상기 IAB 도너 장치에 의해서, 상기 AS 보안 설정을 위한 상기 계층 보안 키를 생성하는 단계;
    상기 IAB 도너 장치에 의해서, 상기 AS 보안 설정을 위한 상기 계층 보안 키에 기초하여 상기 PSK를 생성하는 단계; 및
    상기 IAB 도너 장치에 의해서, 상기 IAB 릴레이 장치와의 상기 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 상기 IKE 값을 생성하는 단계를 포함하는, 방법.
  6. 제 1 항에 있어서,
    상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하는 것은,
    상기 무선 네트워크의 AMF(access and mobility management function)에 의해서, 상기 NAS 보안 설정을 위한 상기 계층 보안 키를 생성하는 단계;
    상기 AMF에 의해서, 상기 NAS 보안 설정을 위한 상기 계층 보안 키에 기초하여 상기 PSK를 생성하는 단계;
    상기 AMF에 의해서, 상기 PSK를 상기 IAB 도너 장치로 전송하는 단계; 및
    상기 IAB 도너 장치에 의해서, 상기 PSK를 수신한 것에 응답하여 상기 IAB 릴레이 장치와의 상기 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 상기 IKE 값을 생성하는 단계를 포함하는, 방법.
  7. 제 1 항에 있어서,
    상기 계층 보안 키는 각각의 상기 AS 보안 설정을 위한 AS 보안 키 및 상기 NAS 보안 설정을 위한 NAS 보안 키인, 방법.
  8. 제 1 항에 있어서,
    상기 PSK는 KSN, KgNB, S-KgNB, KAMF, IAB 카운트, 물리적 셀 식별자(Physical Cell Identifier, PCI), 절대 무선 주파수 채널 번호-다운링크(Absolute Radio Frequency Channel Number-Downlink, ARFCN-DL), 상기 IAB 도너 장치의 gNB 식별자, 상기 IAB 도너 장치의 CU(control unit)의 주소, 상기 IAB 릴레이 장치의 주소, 상기 IAB 릴레이 장치(100)의 식별자, 셀 식별자, 사용자 플레인 암호화 키(key for user plane encryption, KUPenc), 사용자 플레인 무결성 키(key for user plane integrity, KUPint), 액세스 타입 구별자, 업링크 NAS 카운트 중 적어도 하나를 사용하여 생성되며, 또한
    상기 IAB 릴레이 장치는 사전 구성된 크레덴셜(credential)을 사용하는 상기 인증을 스킵(skipping)하여 상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하는, 방법.
  9. 인증을 위한 IAB(integrated access and backhaul) 릴레이 장치로서,
    메모리;
    상기 메모리에 커플링되는 프로세서; 및
    상기 프로세서 및 상기 메모리에 커플링되는 인증 컨트롤러를 포함하며, 상기 인증 컨트롤러는,
    상기 무선 네트워크의 IAB 도너 장치와의 AS(access stratums) 보안 설정 또는 NAS(non-access stratums) 보안 설정 중 하나에 대한 계층 보안 키를 생성하고;
    생성된 상기 계층 보안 키에 기초하여 PSK(pre-shared key)를 생성하고; 또한
    상기 IAB 도너 장치와의 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 IKE(internet key exchange) 값을 생성하도록 구성되는, IAB 릴레이 장치.
  10. 제 9 항에 있어서,
    상기 무선 네트워크의 기지국은, 상기 IAB 릴레이 장치가 상기 기지국으로부터 핸드오버를 통해 상기 IAB 도너 장치에 연결될 때, 상기 계층 보안 키를 생성하기 위해 상기 IAB 릴레이 장치의 MT(mobile terminal) 기능부의 보안 키를 상기 IAB 도너 장치로 전송하는, IAB 릴레이 장치.
  11. 제 9 항에 있어서,
    상기 IAB 릴레이 장치는, 상기 IAB 릴레이 장치가 상기 무선 네트워크에 등록하기 위해 상기 IAB 도너 장치에 연결될 때, 상기 계층 보안 키를 생성하기 위해 상기 IAB 릴레이 장치의 MT 기능부를 사용하여 상기 IAB 도너 장치와의 인증을 수행하는, IAB 릴레이 장치.
  12. 제 9 항에 있어서,
    상기 IAB 릴레이 장치의 MT 기능부는 상기 PSK를 생성한 것에 응답하여 상기 PSK를 상기 IAB 릴레이 장치의 DU(distribution unit) 기능부로 전송하는, IAB 릴레이 장치.
  13. 제 9 항에 있어서,
    상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하기 위해, 상기 인증 컨트롤러는,
    상기 IAB 도너 장치에 의해서, 상기 AS 보안 설정을 위한 상기 계층 보안 키를 생성하고;
    상기 IAB 도너 장치에 의해서, 상기 AS 보안 설정을 위한 상기 계층 보안 키에 기초하여 상기 PSK를 생성하고; 또한
    상기 IAB 도너 장치에 의해서, 상기 IAB 릴레이 장치와의 상기 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 상기 IKE 값을 생성하도록 더 구성되는, IAB 릴레이 장치.
  14. 제 9 항에 있어서,
    상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하기 위해, 상기 인증 컨트롤러는,
    상기 무선 네트워크의 AMF(access and mobility management function)에 의해서, 상기 NAS 보안 설정을 위한 상기 계층 보안 키를 생성하고;
    상기 AMF에 의해서, 상기 NAS 보안 설정을 위한 상기 계층 보안 키에 기초하여 상기 PSK를 생성하고;
    상기 AMF에 의해서, 상기 PSK를 상기 IAB 도너 장치로 전송하고; 또한
    상기 IAB 도너 장치에 의해서, 상기 PSK를 수신한 것에 응답하여, 상기 IAB 릴레이 장치와의 상기 F1 인터페이스 보안을 설정하기 위해 상기 PSK를 사용하여 상기 IKE 값을 생성하도록 더 구성되는, IAB 릴레이 장치.
  15. 제 9 항에 있어서,
    상기 계층 보안 키는 각각의 상기 AS 보안 설정을 위한 AS 보안 키 및 상기 NAS 보안 설정을 위한 NAS 보안 키이고,
    상기 PSK는 KSN, KgNB, S-KgNB, KAMF, IAB 카운트, 물리적 셀 식별자(PCI), 절대 무선 주파수 채널 번호-다운링크(ARFCN-DL), 상기 IAB 도너 장치의 gNB 식별자, 상기 IAB 도너 장치의 CU(control unit)의 주소, 상기 IAB 릴레이 장치의 주소, 상기 IAB 릴레이 장치의 식별자, 셀 식별자, 사용자 플레인 암호화 키(KUPenc), 사용자 플레인 무결성 키(KUPint), 액세스 타입 구별자, 업링크 NAS 카운트 중 적어도 하나를 사용하여 생성되며, 또한
    상기 인증 컨트롤러는 사전 구성된 크레덴셜을 사용하는 상기 인증을 스킵하여 상기 IAB 도너 장치와의 상기 F1 인터페이스 보안을 설정하도록 구성되는, IAB 릴레이 장치.
KR1020217040919A 2019-06-14 2020-06-12 릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법 KR20220019703A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
IN201941023707 2019-06-14
IN201941023707 2019-06-14
IN201941023707??? 2019-06-14
PCT/KR2020/007677 WO2020251312A1 (en) 2019-06-14 2020-06-12 Method of dynamically provisioning a key for authentication in relay device

Publications (1)

Publication Number Publication Date
KR20220019703A true KR20220019703A (ko) 2022-02-17

Family

ID=71094182

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217040919A KR20220019703A (ko) 2019-06-14 2020-06-12 릴레이 장치에서 인증을 위한 키를 동적으로 프로비저닝하는 방법

Country Status (5)

Country Link
US (1) US11523277B2 (ko)
EP (1) EP3751817A1 (ko)
KR (1) KR20220019703A (ko)
CN (1) CN112087754A (ko)
WO (1) WO2020251312A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024096567A1 (en) * 2022-11-03 2024-05-10 Samsung Electronics Co., Ltd. Method and apparatus for key synchronization and key update and key distribution

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11758595B2 (en) * 2019-12-23 2023-09-12 Qualcomm Incorporated Wireless in-vehicle networking architecture
US11706690B2 (en) * 2020-07-13 2023-07-18 Qualcomm Incorporated Handover command delivery via a target path in an integrated access and backhaul configuration
CN115334501A (zh) * 2021-05-10 2022-11-11 华为技术有限公司 一种通信的方法、装置及系统
CN115701161A (zh) * 2021-07-31 2023-02-07 华为技术有限公司 建立安全传输通道的方法、确定密钥的方法及通信装置
CN117641353A (zh) * 2022-08-12 2024-03-01 华为技术有限公司 通信方法、装置和系统
WO2024113620A1 (en) * 2023-04-07 2024-06-06 Zte Corporation Pre-shared secret key generation for integrated access and backhaul network device

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102158860B (zh) * 2010-02-12 2014-05-21 华为技术有限公司 无线节点入网方法、系统及中继节点
WO2011160059A1 (en) * 2010-06-18 2011-12-22 Interdigital Patent Holdings, Inc. Distributed architecture for security keys derivation in support of non-involved core network handover
CN102595403A (zh) 2011-01-14 2012-07-18 中兴通讯股份有限公司 绑定中继节点的认证方法及装置
EP2684385B1 (en) * 2011-03-09 2015-02-11 Telefonaktiebolaget L M Ericsson (PUBL) Transmission of an alarm signal in a wireless communication system
US10136359B2 (en) 2015-06-30 2018-11-20 Qualcomm Incorporated Traffic flow migration in backhaul networks
JP6409974B2 (ja) * 2015-07-17 2018-10-24 日本電気株式会社 通信システム、通信装置、通信方法、端末、プログラム
CN106375989B (zh) 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
WO2018170061A1 (en) * 2017-03-15 2018-09-20 Intel IP Corporation Apparatus, system and method of securing wireless communication
WO2020151798A1 (en) * 2019-01-21 2020-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Network slice authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024096567A1 (en) * 2022-11-03 2024-05-10 Samsung Electronics Co., Ltd. Method and apparatus for key synchronization and key update and key distribution

Also Published As

Publication number Publication date
US20200396611A1 (en) 2020-12-17
CN112087754A (zh) 2020-12-15
WO2020251312A1 (en) 2020-12-17
EP3751817A1 (en) 2020-12-16
US11523277B2 (en) 2022-12-06

Similar Documents

Publication Publication Date Title
US11523277B2 (en) Method of dynamically provisioning a key for authentication in relay device
US11838286B2 (en) Multi-stage secure network element certificate provisioning in a distributed mobile access network
RU2755258C2 (ru) Вторичная аутентификация пользовательского устройства
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
KR101499367B1 (ko) 릴레이 노드 관리 및 인가를 위한 방법 및 장치
CN102349319B (zh) 中继节点的设置和配置
CN109644134B (zh) 用于大型物联网组认证的系统和方法
CN110476448A (zh) 用于大规模物联网设备的基于组的上下文和安全性
US11121862B2 (en) System and method for wireless network access protection and security architecture
JP2019521612A (ja) ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー
KR20210024985A (ko) 무선 네트워크에서 IAB(Integrated Access and Backhaul) 노드의 인증을 위한 방법 및 장치
WO2016177143A1 (zh) 实现接入层安全的方法及用户设备和无线接入小节点
CN111448813B (zh) 与配置的安全保护进行通信的系统和方法
US8661510B2 (en) Topology based fast secured access
JP7286785B2 (ja) プロトコルデータユニットセッションの確立
EP4327505A2 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
JP2018526846A (ja) ワイヤレスデバイスのコンフィギュレーションおよび認証
US20230308868A1 (en) Method, devices and system for performing key management

Legal Events

Date Code Title Description
A201 Request for examination