KR20220084601A - 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 - Google Patents

차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 Download PDF

Info

Publication number
KR20220084601A
KR20220084601A KR1020200174228A KR20200174228A KR20220084601A KR 20220084601 A KR20220084601 A KR 20220084601A KR 1020200174228 A KR1020200174228 A KR 1020200174228A KR 20200174228 A KR20200174228 A KR 20200174228A KR 20220084601 A KR20220084601 A KR 20220084601A
Authority
KR
South Korea
Prior art keywords
base station
terminal
handover
authentication
target
Prior art date
Application number
KR1020200174228A
Other languages
English (en)
Inventor
제동현
정정수
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020200174228A priority Critical patent/KR20220084601A/ko
Priority to PCT/KR2021/018879 priority patent/WO2022131719A1/ko
Priority to US18/035,357 priority patent/US20230422106A1/en
Priority to EP21907023.2A priority patent/EP4231708A4/en
Priority to CN202180084058.7A priority patent/CN116615930A/zh
Publication of KR20220084601A publication Critical patent/KR20220084601A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0058Transmission of hand-off measurement information, e.g. measurement reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • H04W36/00835Determination of neighbour cell lists
    • H04W36/008357Determination of target cell based on access point [AP] properties, e.g. AP service capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 개시는 LTE와 같은 4G 통신 시스템 이후 보다 높은 데이터 전송률을 지원하기 위한 5G 또는 6G 통신 시스템에 관련된 것이다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 서빙 기지국의 동작 방법은, 단말로부터 측정 리포트를 수신하는 단계와, 상기 측정 리포트에 기반하여 상기 단말이 핸드오버 조건을 만족하는지 확인하는 단계와, 상기 단말이 핸드오버 조건을 만족하면, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 상기 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 확인하는 단계와, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 단말로 전송하는 단계를 포함한다.

Description

차세대 이동 통신 시스템에서 HO를 고려한 PKI기반 AS 인증 방법 {METHOD AND APPARATUS FOR AUTHENTICATION OF ACCESS STRATUM BASED ON PUBLIC KEY INFRASTRUCTURE IN HANDOVER SCENARIO OF NEXT GENERATION WIRELESS COMMUNICATION SYSTEM}
본 발명은 차세대 이동 통신 시스템에서 무선 기기가 핸드오버(Handover)시 PKI(public key infrastructure) 기반으로 단말과 기지국간의 상호 인증을 하는 방법 및 장치에 관한 것이다.
무선 통신 세대를 거듭하면서 발전한 과정을 돌아보면 음성, 멀티미디어, 데이터 등 주로 인간 대상의 서비스를 위한 기술이 개발되어 왔다. 5G (5th-generation) 통신 시스템 상용화 이후 폭발적인 증가 추세에 있는 커넥티드 기기들이 통신 네트워크에 연결될 것으로 전망되고 있다. 네트워크에 연결된 사물의 예로는 차량, 로봇, 드론, 가전제품, 디스플레이, 각종 인프라에 설치된 스마트 센서, 건설기계, 공장 장비 등이 있을 수 있다. 모바일 기기는 증강현실 안경, 가상현실 헤드셋, 홀로그램 기기 등 다양한 폼팩터로 진화할 것으로 예상된다. 6G (6th-generation) 시대에는 수천억 개의 기기 및 사물을 연결하여 다양한 서비스를 제공하기 위해, 개선된 6G 통신 시스템을 개발하기 위한 노력이 이루어지고 있다. 이러한 이유로, 6G 통신 시스템은 5G 통신 이후 (beyond 5G) 시스템이라 불리어지고 있다.
2030년쯤 실현될 것으로 예측되는 6G 통신 시스템에서 최대 전송 속도는 테라 (즉, 1,000기가) bps, 무선 지연시간은 100마이크로초(μsec) 이다. 즉, 5G 통신 시스템대비 6G 통신 시스템에서의 전송 속도는 50배 빨라지고 무선 지연시간은 10분의 1로 줄어든다.
이러한 높은 데이터 전송 속도 및 초저(ultra low) 지연시간을 달성하기 위해, 6G 통신 시스템은 테라헤르츠(terahertz) 대역 (예를 들어, 95기가헤르츠(95GHz)에서 3테라헤르츠(3THz)대역과 같은)에서의 구현이 고려되고 있다. 테라헤르츠 대역에서는 5G에서 도입된 밀리미터파(mmWave) 대역에 비해 더 심각한 경로손실 및 대기흡수 현상으로 인해서 신호 도달거리, 즉 커버리지를 보장할 수 있는 기술의 중요성이 더 커질 것으로 예상된다. 커버리지를 보장하기 위한 주요 기술로서 RF(radio frequency) 소자, 안테나, OFDM (orthogonal frequency division multiplexing)보다 커버리지 측면에서 더 우수한 신규 파형(waveform), 빔포밍(beamforming) 및 거대 배열 다중 입출력(massive multiple-input and multiple-output; massive MIMO), 전차원 다중 입출력(full dimensional MIMO; FD-MIMO), 어레이 안테나(array antenna), 대규모 안테나(large scale antenna)와 같은 다중 안테나 전송 기술 등이 개발되어야 한다. 이 외에도 테라헤르츠 대역 신호의 커버리지를 개선하기 위해 메타물질(metamaterial) 기반 렌즈 및 안테나, OAM(orbital angular momentum)을 이용한 고차원 공간 다중화 기술, RIS(reconfigurable intelligent surface) 등 새로운 기술들이 논의되고 있다.
또한 주파수 효율 향상 및 시스템 네트워크 개선을 위해, 6G 통신 시스템에서는 상향링크(uplink)와 하향링크(downlink)가 동일 시간에 동일 주파수 자원을 동시에 활용하는 전이중화(full duplex) 기술, 위성(satellite) 및 HAPS(high-altitude platform stations)등을 통합적으로 활용하는 네트워크 기술, 이동 기지국 등을 지원하고 네트워크 운영 최적화 및 자동화 등을 가능하게 하는 네트워크 구조 혁신 기술, 스펙트럼 사용 예측에 기초한 충돌 회피를 통한 동적 주파수 공유 (dynamic spectrum sharing) 기술, AI (artificial intelligence)를 설계 단계에서부터 활용하고 종단간(end-to-end) AI 지원 기능을 내재화하여 시스템 최적화를 실현하는 AI 기반 통신 기술, 단말 연산 능력의 한계를 넘어서는 복잡도의 서비스를 초고성능 통신과 컴퓨팅 자원(mobile edge computing (MEC), 클라우드 등)을 활용하여 실현하는 차세대 분산 컴퓨팅 기술 등의 개발이 이루어지고 있다. 뿐만 아니라 6G 통신 시스템에서 이용될 새로운 프로토콜의 설계, 하드웨어 기반의 보안 환경의 구현 및 데이터의 안전 활용을 위한 메커니즘 개발 및 프라이버시 유지 방법에 관한 기술 개발을 통해 디바이스 간의 연결성을 더 강화하고, 네트워크를 더 최적화하고, 네트워크 엔티티의 소프트웨어화를 촉진하며, 무선 통신의 개방성을 높이려는 시도가 계속되고 있다.
이러한 6G 통신 시스템의 연구 및 개발로 인해, 사물 간의 연결뿐만 아니라 사람과사물 간의 연결까지 모두 포함하는 6G 통신 시스템의 초연결성(hyper-connectivity)을 통해 새로운 차원의 초연결 경험(the next hyper-connected experience)이 가능해질 것으로 기대된다. 구체적으로 6G 통신 시스템을 통해 초실감 확장 현실(truly immersive extended reality; truly immersive XR), 고정밀 모바일 홀로그램(high-fidelity mobile hologram), 디지털 복제(digital replica) 등의 서비스 제공이 가능할 것으로 전망된다. 또한 보안 및 신뢰도 증진을 통한 원격 수술(remote surgery), 산업 자동화(industrial automation) 및 비상 응답(emergency response)과 같은 서비스가 6G 통신 시스템을 통해 제공됨으로써 산업, 의료, 자동차, 가전 등 다양한 분야에서 응용될 것이다.
본 발명은 이동 통신 시스템에서 핸드오버 시 단말과 기지국 사이의 AS(Access Stratum) 구간에서 PKI(Public Key Infrastructure) 기반 인증을 수행하는 방법 및 장치를 제공한다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 서빙 기지국의 동작 방법은, 단말로부터 측정 리포트를 수신하는 단계와, 상기 측정 리포트에 기반하여 상기 단말이 핸드오버 조건을 만족하는지 확인하는 단계와, 상기 단말이 핸드오버 조건을 만족하면, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 상기 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 확인하는 단계와, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 단말로 전송하는 단계를 포함한다.
실시 예에 따라, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함할 수 있다.
실시 예에 따라, 상기 intra-AA 핸드오버 정보가 전송되면, 상기 단말과 상기 타겟 기지국 간 PKI(public key infrastructure) 기반 상호 인증이 수행되지 않고 상기 단말에 의해 상기 타겟 기지국에 대한 키 업데이트 절차가 수행되고, 상기 inter-AA 핸드오버 정보가 전송되면, 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행될 수 있다.
실시 예에 따라, 상기 AA는 물리적 또는 논리적으로 동일한 컴퓨팅 노드(computing node)에 의해 서빙되는 셀들의 집합일 수 있다.
실시 예에 따라, 상기 동일한 컴퓨팅 노드는 논리적 또는 물리적으로 동일한 컴퓨팅 노드이고, 상기 논리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 소프트웨어로 구현되거나, 동일한 권한을 갖는 소프트웨어로 구현되거나, 동일 프로세스를 수행하는 소프트웨어로 구현되며, 상기 물리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 하드웨어로 구현되거나, 동일한 권한을 갖는 하드웨어로 구현되거나, 동일 하드웨어 컴포넌트로 구현될 수 있다.
실시 예에 따라, 상기 inter-AA 핸드오버 정보를 수신하면 상기 단말과 상기 서빙 기지국이 분리(detach)되고, 이후 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행될 수 있다.
다른 실시 예에 따라, 상기 inter-AA 핸드오버 정보가 전송되면 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되고, 상기 서빙 기지국은 상기 타겟 기지국으로 PKI 기반 인증 패킷을 포워딩할 수 있다.
또 다른 실시 예에 따라, 상기 inter-AA 핸드오버 정보가 전송되면 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되고, 상기 서빙 기지국은 네트워크 엔티티로 PKI 기반 인증 패킷을 전송하고, 상기 네트워크 엔티티에 의해 상기 타겟 기지국으로 상기 PKI 기반 인증 패킷이 전달될 수 있다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 단말의 동작 방법은, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 서빙 기지국으로부터 수신하는 단계와, 상기 핸드오버 커맨드에 포함된 정보에 기반하여 상기 타겟 기지국과 PKI(public key infrastructure) 기반 상호 인증을 수행할지 결정하는 단계를 포함한다.
실시 예에 따라, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함할 수 있다.
실시 예에 따라, 상기 intra-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하지 않고 상기 타겟 기지국에 대한 키 업데이트 절차를 수행하고, 상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행할 수 있다.
실시 예에 따라, 상기 AA는 물리적 또는 논리적으로 동일한 컴퓨팅 노드(computing node)에 의해 서빙되는 셀들의 집합일 수 있다.
실시 예에 따라, 상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 서빙 기지국과 분리(detach) 후 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행할 수 있다.
다른 실시 예에 따라, 상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하고, 상기 서빙 기지국은 상기 타겟 기지국으로 PKI 기반 인증 패킷을 포워딩할 수 있다.
또 다른 실시 예에 따라, 상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하고, 상기 서빙 기지국은 네트워크 엔티티로 PKI 기반 인증 패킷을 전송하고, 상기 네트워크 엔티티는 상기 타겟 기지국으로 상기 PKI 기반 인증 패킷을 전달할 수 있다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 지원하는 서빙 기지국은, 송수신부; 및 상기 송수신부와 연결되며 상기 송수신부를 제어하고, 상기 단말로부터 측정 리포트를 수신하도록 제어하고, 상기 측정 리포트에 기반하여 상기 단말이 핸드오버 조건을 만족하는지 확인하고, 상기 단말이 핸드오버 조건을 만족하면, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 상기 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 확인하고, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 단말로 전송하도록 제어하는 제어부를 포함한다.
본 발명의 실시 예에 따른 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 단말은, 송수신부; 및 상기 송수신부와 연결되며 상기 송수신부를 제어하고, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 서빙 기지국으로부터 수신하도록 제어하고, 상기 핸드오버 커맨드에 포함된 정보에 기반하여 상기 타겟 기지국과 PKI(public key infrastructure) 기반 상호 인증을 수행할지 결정하는 제어부를 포함한다.
본 발명의 실시 예에서는 이동 통신 시스템에서 무선 기기가 Access Stratum(AS)구간에서 Public Key Infrastructure(PKI) 기반 인증을 하는 경우에 핸드오버 시 무선 기기와 기지국 간의 상호 인증을 하는 방법 및 장치를 제공한다.
Serving 기지국은 단말에게 핸드오버 시 명령을 전송한다. 단말은 상기 정보를 수신하여 Target 기지국과 인증이 필요한 경우 인증을 수행한다. 단말은 Target 기지국과 인증을 완료하고 생성한 키를 기지국과 단말간에 암호화 키를 유도하는 키로 활용한다.
상기 과정에서 Serving 기지국은 단말이 Handover시 Target 기지국과 인증이 필요한지 여부를 포함하는 정보를 전송할 수 있다.
단말은 핸드오버 명령 전에 임의의 기지국과 인증을 수행할 수 있다.
Serving 기지국은 핸드오버 전에 단말로 하여금 임의의 기지국과 인증을 수행하도록 지시할 수 있다.
Target 기지국은 Serving 기지국의 인증 요청 또는 단말의 인증 요청을 스스로에 판단에 따라 인증을 허용할 수도 거절할 수도 있다.
본 발명은 이동 통신 시스템에서 단말이 서빙(serving) 기지국에서 다른 기지국으로 핸드오버 시 PKI(Public Key Infrastructure) 기반의 AS(Access Stratum)구간 인증을 통해 단말과 기지국 간 무선 통신 시 보안을 강화할 수 있다.
도 1은 본 발명의 실시 예에 따른 LTE 시스템의 구조를 도시하는 도면이다.
도 2는 본 발명의 실시 예에 따른 LTE 시스템에서 무선 프로토콜 구조를 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 차세대 이동통신 시스템의 무선 프로토콜 구조를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 이동 통신 시스템의 구조 예를 도시한 도면이다.
도 5는 본 발명의 실시 예에 따른 이동통신 시스템에서 복수의 기지국들을 관리하는 CN(Computing Node)의 구조 예를 도시한 도면이다.
도 6은 본 발명의 실시 예에 따른 기지국이 SIB로 단말에게 AA 정보를 브로드캐스팅(broadcasting)하는 절차를 나타낸 도면이다.
도 7a 및 도 7b는 본 발명의 실시 예에 따른 핸드오버의 절차 예시를 나타낸 도면이다.
도 8a 및 도 8b는 본 발명의 일 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 9a 및 도 9b는 본 발명의 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 10a 및 도 10b은 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 11a 및 도 11b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 12a 및 도 12b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 13a 및 도 13b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 14a 및 도 14b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 15는 본 발명의 실시 예에 따른 기지국의 핸드오버 명령 절차를 도시한 도면이다.
도 16은 본 발명의 실시 예에 따른 단말의 핸드오버 절차를 도시한 도면이다.
도 17은 본 발명의 실시 예에 따른 단말이 기지국과 연결을 설정할 때 PKI 기반의 인증을 수행하는 절차를 나타낸 도면이다.
도 18a 및 도 18b는 본 발명의 일 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 19a 및 도 19b는 본 발명의 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 20a 및 도 20b는 본 발명의 또 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 21a 및 도 21b는 본 발명의 또 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 22는 본 발명의 실시 예에 따른 단말과 기지국 장치를 도시한 블록도이다.
이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시예를 설명함에 있어서 본 개시가 속하는 기술 분야에 익히 알려져 있고 본 개시와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 개시의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 실시예에서 '~부'는 하나 이상의 프로세서를 포함할 수 있다.
이하 설명에서 사용되는 접속 노드(node)를 식별하기 위한 용어, 망 객체(network entity)들을 지칭하는 용어, 메시지들을 지칭하는 용어, 망 객체들 간 인터페이스를 지칭하는 용어, 다양한 식별 정보들을 지칭하는 용어 등은 설명의 편의를 위해 예시된 것이다. 따라서, 본 개시에서 사용하는 용어들에 한정되는 것은 아니며, 동등한 기술적 의미를 가지는 대상을 지칭하는 다른 용어가 사용될 수 있다.
이하 설명의 편의를 위하여, 본 개시에서는 5G 또는 NR, LTE 시스템에 대한 규격에서 정의하는 용어와 명칭들을 사용한다. 하지만, 본 개시가 이러한 용어 및 명칭들에 의해 한정되는 것은 아니며, 다른 규격에 따르는 시스템에도 동일하게 적용될 수 있다.
즉, 본 개시의 실시예들을 구체적으로 설명함에 있어서, 3GPP가 규격을 정한 통신 규격을 주된 대상으로 할 것이지만, 본 개시의 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템에도 본 발명의 범위를 크게 벗어나지 아니하는 범위에서 약간의 변형으로 적용 가능하며, 이는 본 개시의 기술 분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.
무선 통신 시스템은 초기의 음성 위주의 서비스를 제공하던 것에서 벗어나 예를 들어, 3GPP의 HSPA(High Speed Packet Access), LTE(Long Term Evolution 또는 E-UTRA (Evolved Universal Terrestrial Radio Access)), LTE-Advanced(LTE-A), LTE-Pro, 3GPP2의 HRPD(High Rate Packet Data), UMB(Ultra Mobile Broadband), 및 IEEE의 802.16e 등의 통신 표준과 같이 고속, 고품질의 패킷 데이터 서비스를 제공하는 광대역 무선 통신 시스템으로 발전하고 있다.
상기 광대역 무선 통신 시스템의 대표적인 예인로, LTE 시스템에서는 하향링크(DL; DownLink)에서는 OFDM(oOrthogonal fFrequency dDivision mMultiplexing) 방식을 채용하고 있고, 상향링크(UL; UpLink)에서는 SC-FDMA(sSingle cCarrier fFrequency dDivision mMultiple aAccess) 방식을 채용하고 있다. 상향링크는 단말(UE; uUser eEquipment 혹은또는 MS; mMobile sStation)이 기지국(gNB; generation Node B 또는 eNB; eNode B 혹은또는 BS; bBase sStation)으로 데이터 또는 제어 신호를 전송하는 무선링크를 뜻하고, 하향링크는 기지국이 단말로 데이터 또는 제어 신호를 전송하는 무선링크를 뜻한다. 상기와 같은 다중 접속 방식은, 통상 각 사용자 별로 데이터 또는 제어정보를 실어 보낼 시간-주파수 자원을 서로 겹치지 않도록, 즉 직교성(Orthogonality)이 성립하도록, 할당 및 운용함으로써 각 사용자의 데이터 또는 제어 정보를 구분되도록 한다.
LTE 이후의 향후 통신 시스템인, 즉, 5G 통신시스템은 사용자 및 서비스 제공자 등의 다양한 요구 사항을 자유롭게 반영할 수 있어야 하기 때문에 다양한 요구사항을 동시에 만족하는 서비스가 지원되어야 한다. 5G 통신시스템을 위해 고려되는 서비스로는 향상된 모바일 광대역 통신(eMBB; enhanced Mobile BroadBand), 대규모 기계형 통신(mMNTC; massive Machine Type Communication), 초신뢰 저지연 통신(URLLC; Ultra Reliability Low Latency Communication) 등이 있다.
eMBB는 기존의 LTE, LTE-A 또는 LTE-Pro가 지원하는 데이터 전송 속도보다 더욱 향상된 데이터 전송 속도를 제공하는 것을 목표로 한다. 예를 들어, 5G 통신시스템에서 eMBB는 하나의 기지국 관점에서 하향링크에서는 20Gbps의 최대 전송 속도(peak data rate), 상향링크에서는 10Gbps의 최대 전송 속도를 제공할 수 있어야 한다. 또한 5G 통신시스템은 최대 전송 속도를 제공하는 동시에, 증가된 단말의 실제 체감 전송 속도(uUser perceived data rate)를 제공해야 한다. 이와 같은 요구 사항을 만족시키기 위해, 더욱 향상된 다중 안테나 (MIMO; mMulti iInput mMulti oOutput) 전송 기술을 포함하여 다양한 송수신 기술의 향상을 요구한다. 또한 현재의 LTE가 사용하는 2GHz 대역에서 최대 20MHz 전송대역폭을 사용하여 신호를 전송하는 반면에 5G 통신시스템은 3~6GHz 또는 6GHz 이상의 주파수 대역에서 20MHz 보다 넓은 주파수 대역폭을 사용함으로써 5G 통신시스템에서 요구하는 데이터 전송 속도를 만족시킬 수 있다.
동시에, 5G 통신시스템에서 사물 인터넷(IoT; iInternet of tThing)와 같은 응용 서비스를 지원하기 위해 mMTC가 고려되고 있다. mMTC는 효율적으로 사물 인터넷을 제공하기 위해 셀 내에서 대규모 단말의 접속 지원, 단말의 커버리지 향상, 향상된 배터리 시간, 단말의 비용 감소 등이 요구된다. 사물 인터넷은 여러 가지 센서 및 다양한 기기에 부착되어 통신 기능을 제공하므로 셀 내에서 많은 수의 단말(예를 들어, 1,000,000 단말/km2)을 지원할 수 있어야 한다. 또한 mMTC를 지원하는 단말은 서비스의 특성상 건물의 지하와 같이 셀이 커버하지 못하는 음영지역에 위치할 가능성이 높으므로 5G 통신시스템에서 제공하는 다른 서비스 대비 더욱 넓은 커버리지를 요구한다. mMTC를 지원하는 단말은 저가의 단말로 구성되어야 하며, 단말의 배터리를 자주 교환하기 힘들기 때문에 10~15년과 같이 매우 긴 배터리 생명시간(battery life time)이 요구된다.
마지막으로, URLLC의 경우, 특정한 목적(mission-critical)으로 사용되는 셀룰라 기반 무선 통신 서비스이다. 예를 들어, 로봇(rRobot) 또는 기계 장치(mMachinery)에 대한 원격 제어(remote control), 산업 자동화(industrial automation), 무인 비행장치(uUnmanned aAerial vVehicle), 원격 건강 제어(rRemote health care), 비상 상황 알림(emergency alert) 등에 사용되는 서비스 등을 고려할 수 있다. 따라서 URLLC가 제공하는 통신은 매우 낮은 저지연 및 매우 높은 신뢰도 제공해야 한다. 예를 들어, URLLC을 지원하는 서비스는 0.5 밀리초보다 작은 무선 접속 지연시간(Air interface latency)를 만족해야 하며, 동시에 10-5 이하의 패킷 오류율(pPacket eError rRate)의 요구사항을 갖는다. 따라서, URLLC을 지원하는 서비스를 위해 5G 시스템은 다른 서비스보다 작은 전송 시간 구간(TTI; Transmit Time Interval)를 제공해야 하며, 동시에 통신 링크의 신뢰성을 확보하기 위해 주파수 대역에서 넓은 리소스를 할당해야 하는 설계사항이 요구된다.
5G의 세 가지 서비스들, 즉 eMBB, URLLC, mMTC는 하나의 시스템에서 다중화되어 전송될 수 있다. 이 때, 각각의 서비스들이 갖는 상이한 요구사항을 만족시키기 위해 서비스 간에 서로 다른 송수신 기법 및 송수신 파라미터가 사용될 수 있다.
또한 통신에서 모바일 홀로그램(mMobile hHologram), 가상현실, 증강현실과 같은 더욱 진화된 서비스들이 대두되고 있다. 이러한 서비스들을 지원하기 위해 통신 시스템에서는 인공지능(AI; aArtificial iIntelligence(AI)) 기술, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술 및 보안 기술과 같은 요소기술들이 연구되고 있다.
도 1은 본 발명의 실시 예에 따른 LTE 시스템의 구조를 도시하는 도면이다.
도 1은 본 발명의 실시 예들이 적용되는 이동통신 시스템에서 복수의 기지국(Base Station) 및 단말(UE:User Equipment)이 이동하여 연결되는 기지국을 변경하는 예를 도시한다.
기지국들은(1-20, 1-30) 주변 기지국 일부와 연결 될 수 있고, 기지국들(1-20, 1-30)은 EPC (Evolved Packet Core) 또는 5GC (5G Core Network) 등의 이동통신 코어 망 (CN: Core Network)(1-40)과 연결될 수 있다.
기지국들(1-20, 1-30)의 무선 접속 기술(radio access technology)은 LTE, NR, WiFi 등이 될 수 있으며, 일례에 제한되지 않는다. 예를 들어, 기지국들(1-20, 1-30)은 상기 무선 접속 기술과 무관한 이동통신 기지국이 될 수 있다.
단말(1-10)은 기지국에 연결되어 이동통신 서비스를 제공받을 수 있으며, 단말(1-10)이 이동함에 따라 연결되는 기지국이 변경될 수 있고 핸드오버 (HO; Handover, 또는 핸드오프(handoff)) 절차를 통해 단말(1-10)은 이동통신 서비스를 끊김 없이 제공받을 수 있다. 도 1의 일례에서 단말(1-10)은 기지국(1-20)에 연결되었다가 핸드오버를 통해 기지국(1-20)과의 연결을 끊고 새로운 기지국(1-30)과 연결될 수 있다.
도 2는 본 발명의 실시 예에 따른 LTE 시스템에서 무선 프로토콜 구조를 나타낸 도면이다.
도 2를 참조하면, LTE 시스템의 무선 프로토콜은 단말(2-100)과 기지국(2-200)에서 각각 PDCP (Packet Data Convergence Protocol 2-110, 2-210), RLC (Radio Link Control 2-120, 2-220), MAC (Medium Access Control 2-130, 2-230)으로 이루어진다. 상기 무선 프로토콜의 구성 요소들은 계층(layer) 또는 엔티티(entity), 또는 장치로 칭해질 수 있다.
PDCP (Packet Data Convergence Protocol) (2-110, 2-210)는 IP 헤더 압축/복원 등의 동작을 담당한다. PDCP의 주요 기능은 하기와 같이 요약된다.
- 헤더 압축 및 압축 해제 기능(Header compression and decompression: ROHC only)
- 사용자 데이터 전송 기능 (Transfer of user data)
- 순차적 전달 기능(In-sequence delivery of upper layer PDUs at PDCP re-establishment procedure for RLC AM)
- 순서 재정렬 기능(For split bearers in DC (only support for RLC AM): PDCP PDU routing for transmission and PDCP PDU reordering for reception)
- 중복 탐지 기능(Duplicate detection of lower layer service data units(SDUs) at PDCP re-establishment procedure for RLC AM)
- 재전송 기능(Retransmission of PDCP SDUs at handover and, for split bearers in DC, of PDCP PDUs at PDCP data-recovery procedure, for RLC AM)
- 암호화 및 복호화 기능(Ciphering and deciphering)
- 타이머 기반 SDU 삭제 기능(Timer-based SDU discard in uplink.)
무선 링크 제어(Radio Link Control, 이하 RLC라고 한다)(2-120, 2-220)는 PDCP PDU(Packet Data Unit)를 적절한 크기로 재구성해서 ARQ 동작 등을 수행한다. RLC의 주요 기능은 하기와 같이 요약된다.
- 데이터 전송 기능(Transfer of upper layer PDUs)
- ARQ 기능(Error Correction through ARQ (only for AM data transfer))
- 접합, 분할, 재조립 기능(Concatenation, segmentation and reassembly of RLC SDUs (only for UM and AM data transfer))
- 재분할 기능(Re-segmentation of RLC data PDUs (only for AM data transfer))
- 순서 재정렬 기능(Reordering of RLC data PDUs (only for UM and AM data transfer)
- 중복 탐지 기능(Duplicate detection (only for UM and AM data transfer))
- 오류 탐지 기능(Protocol error detection (only for AM data transfer))
- RLC SDU 삭제 기능(RLC SDU discard (only for UM and AM data transfer))
- RLC 재수립 기능(RLC re-establishment)
MAC(2-130, 2-230)은 한 단말에 구성된 여러 RLC 계층 장치들과 연결되며, RLC PDU들을 MAC PDU에 다중화하고 MAC PDU로부터 RLC PDU들을 역다중화하는 동작을 수행한다. MAC의 주요 기능은 하기와 같이 요약된다.
- 맵핑 기능(Mapping between logical channels and transport channels)
- 다중화 및 역다중화 기능(Multiplexing/demultiplexing of MAC SDUs belonging to one or different logical channels into/from transport blocks (TB) delivered to/from the physical layer on transport channels)
- 스케쥴링 정보 보고 기능(Scheduling information reporting)
- HARQ 기능(Error correction through HARQ)
- 논리 채널 간 우선 순위 조절 기능(Priority handling between logical channels of one UE)
- 단말간 우선 순위 조절 기능(Priority handling between UEs by means of dynamic scheduling)
- MBMS 서비스 확인 기능(MBMS service identification)
- 전송 포맷 선택 기능(Transport format selection)
- 패딩 기능(Padding)
물리 계층(physical layer, 2-140, 2-240)은 상위 계층 데이터를 채널 코딩 및 변조하고, OFDM 심볼로 만들어서 무선 채널로 전송하거나, 무선 채널을 통해 수신한 OFDM 심볼을 복조하고 채널 디코딩을 수행해서 상위 계층으로 전달하는 동작을 한다.
도 3은 본 발명의 실시 예에 따른 차세대 이동통신 시스템의 무선 프로토콜 구조를 나타낸 도면이다.
도 3을 참조하면, 차세대 이동통신 시스템의 무선 프로토콜은 단말(3-100)과 NR 기지국(3-200)에서 각각 NR SDAP(service data application protocol)(3-110, 3-210), NR PDCP(3-120, 3-220), NR RLC(3-130, 3-230), NR MAC(3-140, 3-240)으로 이루어진다. 상기 무선 프로토콜의 구성 요소들은 계층(layer) 또는 엔티티(entity), 또는 장치로 칭해질 수 있다.
NR SDAP(3-110, 3-210)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 사용자 데이터의 전달 기능(transfer of user plane data)
- 상향 링크와 하향 링크에 대한해서 QoS flow와 데이터 베어러의 맵핑 기능(mapping between a QoS flow and a DRB for both DL and UL)
- 상향 링크와 하향 링크에 대한해서 QoS flow ID를 마킹 기능(marking QoS flow ID in both DL and UL packets)
- 상향 링크 SDAP PDU들에 대해서 relective QoS flow를 데이터 베어러에 맵핑시키는 기능 (reflective QoS flow to DRB mapping for the UL SDAP PDUs).
상기 SDAP 계층 장치에 대해 단말은 RRC 메시지로 각 PDCP 계층 장치 별로 또는 베어러 별로 또는 로지컬 채널 별로 SDAP 계층 장치의 헤더를 사용할 지 여부 또는 SDAP 계층 장치의 기능을 사용할 지 여부를 설정 받을 수 있으며, SDAP 헤더가 설정된 경우, SDAP 헤더의 NAS QoS 반영 설정 1비트 지시자(NAS reflective QoS)와 AS QoS 반영 설정 1비트 지시자(AS reflective QoS)로 단말이 상향 링크와 하향 링크의 QoS flow와 데이터 베어러에 대한 맵핑 정보를 갱신 또는 재설정할 수 있도록 지시될 수 있다. 상기 SDAP 헤더는 QoS를 나타내는 QoS flow ID 정보를 포함할 수 있다. 상기 QoS 정보는 원활한 서비스를 지원하기 위한 데이터 처리 우선 순위, 스케줄링 정보 등으로 사용될 수 있다.
NR PDCP (3-120, 3-220)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
헤더 압축 및 압축 해제 기능(Header compression and decompression: ROHC only)
- 사용자 데이터 전송 기능 (Transfer of user data)
- 순차적 전달 기능(In-sequence delivery of upper layer PDUs)
- 비순차적 전달 기능 (Out-of-sequence delivery of upper layer PDUs)
- 순서 재정렬 기능(PDCP PDU reordering for reception)
- 중복 탐지 기능(Duplicate detection of lower layer SDUs)
- 재전송 기능(Retransmission of PDCP SDUs)
- 암호화 및 복호화 기능(Ciphering and deciphering)
- 타이머 기반 SDU 삭제 기능(Timer-based SDU discard in uplink.)
상기에서 NR PDCP 장치의 순서 재정렬 기능(reordering)은 하위 계층에서 수신한 PDCP PDU들을 PDCP SN(sequence number)을 기반으로 순서대로 재정렬하는 기능을 의미하며, 재정렬된 순서대로 데이터를 상위 계층에 전달하는 기능을 포함할 수 있으며, 또는 순서를 고려하지 않고, 바로 전달하는 기능을 포함할 수 있으며, 순서를 재정렬하여 유실된 PDCP PDU들을 기록하는 기능을 포함할 수 있으며, 유실된 PDCP PDU들에 대한 상태 보고를 송신 측에 수행하는 기능을 포함할 수 있으며, 유실된 PDCP PDU들에 대한 재전송을 요청하는 기능을 포함할 수 있다.
NR RLC(3-130, 3-230)의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 데이터 전송 기능(Transfer of upper layer PDUs)
- 순차적 전달 기능(In-sequence delivery of upper layer PDUs)
- 비순차적 전달 기능(Out-of-sequence delivery of upper layer PDUs)
- ARQ 기능(Error Correction through ARQ)
- 접합, 분할, 재조립 기능(Concatenation, segmentation and reassembly of RLC SDUs)
- 재분할 기능(Re-segmentation of RLC data PDUs)
- 순서 재정렬 기능(Reordering of RLC data PDUs)
- 중복 탐지 기능(Duplicate detection)
- 오류 탐지 기능(Protocol error detection)
- RLC SDU 삭제 기능(RLC SDU discard)
- RLC 재수립 기능(RLC re-establishment)
상기에서 NR RLC 장치의 순차적 전달 기능(In-sequence delivery)은 하위 계층으로부터 수신한 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 의미하며, 원래 하나의 RLC SDU가 여러 개의 RLC SDU들로 분할되어 수신된 경우, 이를 재조립하여 전달하는 기능을 포함할 수 있으며, 수신한 RLC PDU들을 RLC SN(sequence number) 또는 PDCP SN(sequence number)를 기준으로 재정렬하는 기능을 포함할 수 있으며, 순서를 재정렬하여 유실된 RLC PDU들을 기록하는 기능을 포함할 수 있으며, 유실된 RLC PDU들에 대한 상태 보고를 송신 측에 수행하는 기능을 포함할 수 있으며, 유실된 RLC PDU들에 대한 재전송을 요청하는 기능을 포함할 수 있으며, 유실된 RLC SDU가 있을 경우, 유실된 RLC SDU 이전까지의 RLC SDU들만을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있으며, 또는 유실된 RLC SDU가 있어도 소정의 타이머가 만료되었다면 타이머가 시작되기 전에 수신된 모든 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있으며, 또는 유실된 RLC SDU가 있어도 소정의 타이머가 만료되었다면 현재까지 수신된 모든 RLC SDU들을 순서대로 상위 계층에 전달하는 기능을 포함할 수 있다.
또한 상기에서 RLC PDU들을 수신하는 순서대로 (일련번호, Sequence numberSN의 순서와 상관없이, 도착하는 순으로) 처리하여 PDCP 장치로 순서와 상관없이(out-of- sequence delivery) 전달할 수도 있으며, 수신된 RLC PDU가 세그먼트(segment) 인 경우에는 버퍼에 저장되어 있거나 추후에 수신될 세그먼트들을 수신하여 온전한 하나의 RLC PDU로 재구성한 후, 처리하여 PDCP 장치로 전달할 수 있다. 상기 NR RLC 계층은 접합(Concatenation) 기능을 포함하지 않을 수 있고 상기 기능은 NR MAC 계층에서 수행하거나 NR MAC 계층의 다중화(multiplexing) 기능으로 대체될 수 있다.
상기에서 NR RLC 장치의 비순차적 전달 기능(out-of-sequence delivery)은 하위 계층으로부터 수신한 RLC SDU들을 순서와 상관없이 바로 상위 계층으로 전달하는 기능을 의미하며, 원래 하나의 RLC SDU가 여러 개의 RLC SDU들로 분할되어 수신된 경우, 이를 재조립하여 전달하는 기능을 포함할 수 있으며, 수신한 RLC PDU들의 RLC SN 또는 PDCP SN을 저장하고 순서를 정렬하여 유실된 RLC PDU들을 기록해두는 기능을 포함할 수 있다.
NR MAC(3-140, 3-240)은 한 단말에 구성된 여러 NR RLC 계층 장치들과 연결될 수 있으며, NR MAC의 주요 기능은 다음의 기능들 중 일부를 포함할 수 있다.
- 맵핑 기능(Mapping between logical channels and transport channels)
- 다중화 및 역다중화 기능(Multiplexing/demultiplexing of MAC SDUs)
- 스케줄쥴링 정보 보고 기능(Scheduling information reporting)
- HARQ 기능(Error correction through HARQ)
- 로지컬 채널 간 우선 순위 조절 기능(Priority handling between logical channels of one UE)
- 단말간 우선 순위 조절 기능(Priority handling between UEs by means of dynamic scheduling)
- MBMS 서비스 확인 기능(MBMS service identification)
- 전송 포맷 선택 기능(Transport format selection)
- 패딩 기능(Padding)
NR PHY 계층(3-150, 3-250)은 상위 계층 데이터를 채널 코딩 및 변조하고, OFDM 심볼벌로 만들어서 무선 채널로 전송하거나, 무선 채널을 통해 수신한 OFDM 심볼을 복조하고 채널 디코딩을 수행해서 상위 계층으로 전달하는 동작을 수행할 수 있다.
도 4는 본 발명의 실시 예에 따른 이동 통신 시스템의 구조 예를 도시한 도면이다.
도 4를 참조하면, BS (Base Station)(4-200, 4-300)은 EPC (Evolved Packet Core) 또는 5GC (5G Core Network) 등 이동통신 Core 망 (CN: Core Network)(4-100)에 연결된 LTE eNB, NR gNB, WiFi AP, 무선 액세스 기술(Radio Access Technology)과 무관한 이동통신 기지국 등으로 구현될 수 있다.
도 4에서 기지국(4-200, 4-300)은 하나의 유닛(Unit)으로 구성되거나 여러 유닛(Unit)들로 나뉘어 구성될 수 있다. 이러한 형태로 구성된 기지국은 각각의 이동통신 기능(function)을 나누어서 지원하게 된다.
상기 기능(function)들의 예로는 PDCP/RLC/MAC/PHY/RF layer이 있으며, 하나의 유닛에서 복수의 function들을 지원할 수도 있으며, 여러 유닛들에 의해 복수의 function들이 분산되어서 지원될 수도 있으며, 하나의 function이 하나 이상의 유닛에서 나누어서 지원될 수도 있다.
기지국(4-200, 4-300) 간에는 X2 또는 Xn interface와 같은 기지국 간 interface로 연결되며, 기지국(4-200, 4-300)과 CN(4-100) 사이에는 S1 또는 NG Interface와 같이 기지국-Core망 간 interface로 연결된다.
본 발명에서 제안하는 기술은 기지국(4-200, 4-300)의 내부 구성과 관계 없이, 단말(4-100)이 기지국(4-200, 4-300) 중에서 어느 하나와 연결되고 기지국(4-200, 4-300) 간 핸드오버를 수행하는 경우에 적용될 수 있다.
일반적인 핸드오버는 서빙(serving) 기지국이 단말(4-100)이 전송한 측정(measurement) 정보를 기반으로 내부 정책(policy)에 따라 타겟(target) 기지국을 결정하고, 서빙(serving) 기지국이 타겟(target) 기지국으로부터 받은 무선 설정(radio configuration) 정보를 단말(4-100)에 전송하여 단말(4-100)이 타겟(target) 기지국과 연결되도록 할 수 있다. 이러한 과정을 통해 단말(4-100)은 서빙(serving) 기지국으로부터 타겟(target) 기지국으로 핸드오버를 하게 된다.
도 5는 본 발명의 실시 예에 따른 이동통신 시스템에서 복수의 기지국들을 관리하는 CN(Computing Node)의 구조 예를 도시한 도면이다.
도 5에 도시된 CN은 EPC (Evolved Packet Core) 또는 5GC (5G Core Network) 등 이동통신 코어 망 (CN: Core Network)과 연결된 LTE eNB, NR gNB, WiFi AP, Radio Access Technology와 무관한 이동통신 기지국 등으로 구현될 수 있다.
도 5에서 CN(Computing Node)은 하나 이상의 기지국을 관리하는 유닛(Unit)이다. 이러한 형태로 구성된 기지국과 CN은 각각의 이동통신 function을 나누어서 지원하게 된다. 이러한 function들의 예로는 RRC/PDCP/RLC/MAC/PHY/RF layer가 있다.
동일한 CN은 논리적으로 동일한 CN 또는 물리적으로 동일한 CN을 의미할 수 있다. 여기서, 논리적으로 동일한 CN은 동일한 소유자(또는 사업자)의 소프트웨어로 구현되거나, 동일한 권한을 갖는 소프트웨어로 구현되거나, 동일 프로세스를 수행하는 소프트웨어로 구현될 수 있다. 여기서, 물리적으로 동일한 CN은 동일한 소유자(또는 사업자)의 하드웨어로 구현되거나, 동일한 권한을 갖는 하드웨어로 구현되거나, 동일 하드웨어 컴포넌트로 구현될 수 있다.
하나의 CN은 하나 이상의 기지국을 관리하게 되며, 단말과 기지국간 AS 구간의 인증 시 단말의 인증 대상이 된다. 하나의 CN이 관리하는 하나 이상의 기지국들(또는 셀들)의 집합을 AA(Authentication Area)라 한다.
본 발명의 실시 예들에서 단말이 동일한 CN이 서빙하는 AA 내에서 핸드오버하는 경우, 타겟 기지국과 새로운 PKI 인증이 불필요하다.
일 예로 도 5에서 CN1은 기지국 1~4(BS1~BS4)와 function들을 나누어 지원할 수 있고, CN1이 기지국 1~4(BS1~BS4)를 관리할 수 있다. CN1이 관리하는 기지국들을 AA1(Authentication Area 1)라 한다.
또한 도 5에서 CN2은 기지국 5~8(BS5~BS8)과 function들을 나누어 지원할 수 있고, CN2이 기지국 5~8(BS5~BS8)을 관리할 수 있다. CN2가 관리하는 기지국들을 AA2(Authentication Area2)라 한다.
도 6은 본 발명의 실시 예에 따른 기지국이 SIB로 단말에게 AA 정보를 브로드캐스팅(broadcasting)하는 절차를 나타낸 도면이다.
AA(Authentication Area)는 CN이 관리하는 하나 이상의 기지국들의 집합으로, 본 발명의 실시 예에서는 기지국이 인증 대상이 되는 지역을 단말로 알려줄 수 있다.
도 6에서 기지국(6-20)에서는 주기적(또는 비주기적)으로 SIB(System Information Block)을 통해서 AA 정보를 단말(6-10)로 전달할 수 있다.
기지국(6-20)은 AA 정보를 주기적(타이머 TAA 사용)(6-40) 또는 비 주기적으로 전송할 수 있으며, 기지국(6-20)이 broadcasting하는 AA 정보를 단말(6-10)이 수신했을 때, 단말(6-10)은 해당 기지국이 특정 AA 내에 속하는지 알 수 있어야 한다. 상기 방법을 통해서 단말(6-10)은 Serving 기지국뿐 아니라 neighbor cell의 SIB를 통해서 AA 정보를 수신할 수 있다. 또한, 상기 방법을 통해서 단말(6-10)은 RRC connected 뿐 아니라. RRC Inactive또는 RRC Idle 상태에서 필요에 따라 기지국(6-20)이 전송하는 SIB를 통해서 AA 정보를 수신할 수 있다.
기지국(6-20)은 SIB에 AA 정보를 전송하기 위한 SIBx를 전송하겠다는 bit를 설정하여 브로드캐스팅(broadcasting)한다 (6-30). 이후 기지국(6-20)은 SIBx에 AA 정보를 포함하여 브로드캐스팅할 수 있다 (6-50).
단말(6-10)은 AA 정보를 수신하면 현재 단말의 AA와 비교하여 AA 정보를 전송한 기지국이 serving 기지국과 동일한 AA 내에 속해 있는지 확인할 수 있다 (6-80). 기지국(6-20)이 전송하는 AA 정보는 다른 기지국이 전송하는 AA 혹은 해당 기지국이 이전, 이후에 전송하는 AA과 구분될 수 있도록 식별자(identifier)가 존재한다.
기지국(6-20)은 AA 정보를 전송하기 위한 SIB에 AA를 전송하기 위한 SIBx bit을 세팅하지 않고 사전에 단말(6-10)과 기지국(6-20)이 정해 놓은 일정 주기(TAA)로 AA 정보를 전송할 수 도 있다.
도 7a 및 도 7b는 본 발명의 실시 예에 따른 핸드오버의 절차 예시를 나타낸 도면이다.
도 7a에 따르면 일반적인 핸드오버 시 serving 기지국(7-120)은 단말(7-100)이 전송한 measurement 정보를 기반으로 내부 policy에 따라 target 기지국(7-130)을 결정하고, target 기지국(7-130)으로부터 받은 무선 설정(radio configuration) 정보를 단말(7-100)로 전송하여 단말(7-100)이 target 기지국(7-130)으로 연결되도록 할 수 있다. 이러한 과정을 통해 단말(7-100)은 serving 기지국(7-120)으로부터 target 기지국(7-130)으로 핸드오버를 하게 된다. 도 7의 상세한 과정은 아래와 같다.
Serving BS(7-120)는 Measurement Control(7-210)를 단말(7-100)로 전송할 수 있다. Serving BS(7-120)에 의해 제공되는 measurement 정보는 UE(7-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 7-220)이 이루어 진다.
단말(7-100)은 measurement(7-230) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하며 Measurement Control(7-210)에서 만족하는 조건이 되면 Serving BS(7-120)으로 Measurement Report(7-240)를 전송할 수 있다.
Serving BS(7-120)는 measurement report(7-240)을 수신하게 되면, measurement report(7-240)에 기반하여 UE(7-100)를 핸드오프 하도록 결정(7-250)할 수 있다. Serving BS(7-120)은 target BS(7-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(7-260) 메시지를 target BS(7-130)에 전송할 수 있다.
target BS(7-130)은 핸드오버를 허락할지 결정하는 admission control(7-270)을 수행할 수 있다. 이 과정에서 target BS(7-130)는 단말(7-100)이 target BS(7-130)에 연결하는데 필요한 자원을 구성한다.
target BS(7-130)는 HO 준비가 완료되면 단말(7-100)이 target BS(7-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(7-280)을 Serving BS(7-120)로 전송할 수 있다. Handover Request Ack 메시지에는 target BS(7-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(7-120)는 target BS(7-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(7-290)를 단말(7-100)로 전송할 수 있다.
단말(7-100)은 핸드오프에 필요한 파라미터를 포함하는 RRC Connection Reconfiguration(7-290) 메시지를 수신하면, 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(7-300)를 수행한다. 또한 Serving BS(7-120)는 수신되는 packet을 target BS(7-130)로 전송(7-310, 7-320)한다. target BS(7-130)는 Serving BS(7-120)로부터 packet을 수신한다.
단말(7-100)은 target BS(7-130)에 대한 동기화(synchronization, 7-340)를 수행하고 RACH를 통해 target BS(7-130)에 엑세스(access)한다. target BS(7-130)는 UL(uplink) 자원을 할당하고 TA로 응답한다. 단말(7-100)은 RRC Connection Reconfiguration Complete(7-360)를 전송하여 핸드오버가 완료되었음을 표시한다.
단말(7-100)은 이 후 target BS(7-130)를 통해 packet data를 수신(7-370)할 수 있다. target BS(7-130)는 UE(7-100)가 셀을 변경했음을 알리기 위해서 망(MME 등)과 path change(7-380) 절차를 수행한다. Serving BS(7-130)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(7-390)를 수행한다.
다만, 도 7에서 도시된 일반적인 핸드오버를 수행하는 경우, 단말과 기지국 간 직접적인 인증은 수행되지 않는다. 즉 Access Stratum(AS) 구간에서의 직접적인 인증은 부재하다.
본 발명의 실시 예에서는 AS 구간의 미인증 문제로 인한 단말과 기지국 사이의 중간자 공격(Man In The Middle, MITM)을 회피할 수 있다. 또한, 본 발명의 실시 예에서는 강한 무선 신호를 단말로 전송하여 단말과 기지국 사이에서 무선 신호를 중계하는 가짜 기지국(False Base Station, FBS)의 중간자 공격을 방어할 수 있다.
또한, 본 발명의 실시 예에서는 AS 구간 미인증으로 인한 가짜 기지국의 PHY/MAC/RRC Control Plain(CP) 메시지 위변조를 방지할 수 있다. 또한, 본 발명의 실시 예에서는 SIB 정보를 위변조 하여 단말들에게 가짜 재난 문자를 전송하는 공격을 회피할 수 있다.
본 발명에서는 단말과 기지국이 PKI(Public Key Infrastructure)기반 인증을 수행하여 통신하고자 하는 대상과 안전한 통신을 가능하게 한다. 또한 본 발명을 통해 기지국 및 단말은 기지국/단말이 사전에 알고 있는 키 또는 인증을 통해 생성된 키로 전송하는 메시지를 암복호화 또는 디지털 서명을 함으로써 보호할 수 있다.
도 8 내지 도 14에서는 도 7에서의 핸드오버 절차와 달리핸드오버 시나리오에서 본 발명의 실시 예들에 따른 PKI 기반 AS 구간 인증 절차를 수행하는 과정을 도시한다.
도 8a 및 도 8b는 본 발명의 일 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 8a에 따른 핸드오버 시 serving 기지국(8-120)은 단말(8-100)이 전송한 measurement 정보를 기반으로 내부 policy에 따라 target 기지국(8-130)을 결정하고, serving 기지국(8-120)은 target 기지국(8-130)으로부터 받은 radio configuration 정보를 단말(8-100)로 전송하여 단말(8-100)이 target 기지국(8-130)으로 연결되도록 할 수 있다.
도 8a 및 도 8b에 도시된 실시예에서, Serving 기지국(8-120)은 Target 기지국(8-130)과 동일한 AA내에 속한다는 것을 확인하고 PKI 기반 인증 없이 기존의 key derivation을 통한 키 생성을 허용할 수 있다. 상세한 과정은 아래와 같다.
Serving BS(8-120) 는 Measurement Control(8-210)을 단말(8-100)로 전송한다. Serving BS(8-120)에 의해 제공되는 measurement 정보는 UE(8-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 8-220)이 이루어 진다.
단말(8-100)은 measurement(8-230) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하며 Measurement Control(8-210)에서 만족하는 조건이 되면 Serving BS(8-120)으로 Measurement Report(8-240)를 보내게 된다. Serving BS(8-120)는 measurement report(8-240)을 수신하게 되면 단말(8-100)을 핸드오프할지 여부를 결정하고 Serving BS(8-120)가 Target BS(8-130)와 동일한 AA에 속하는지 확인한다(8-250). Serving BS(8-120)은 target BS(8-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(8-260) 메시지를 target BS(8-130)에 전송한다. target BS(8-130)는 핸드오버를 허락할지 결정하는 admission control(8-270)을 수행한다. 이 과정에서 target BS(8-130)는 단말(8-100)이 target BS에 연결하는데 필요한 자원을 구성한다.
target BS(8-130)는 HO 준비가 완료되면 단말(8-100)이 target BS(8-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(8-280)을 보낸다. Handover Request Ack 메시지에는 target BS(8-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(8-120)는 target BS(8-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(8-290)를 단말(8-100)로 전송한다.
Serving BS(8-120)는 RRC Connection Reconfiguration 메시지(8-290)에 Intra-AA HO bit을 설정하여 Serving BS(8-120)와 target BS(8-130)가 동일한 AA 내에 속하고 PKI 인증이 필요하지 않음을 단말(8-100)로 알려 주고 key derivation으로 단말(8-100)과 target BS(7-130) 간의 키를 생성할 수 있도록 알려준다 (8-290).
단말(8-100)은 핸드오버에 필요한 파라미터 및 Intra-AA HO bit을 포함하는 RRC Connection Reconfiguration(8-290) 메시지를 수신하면, 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(8-300)를 한다. 또한 Serving BS(8-120)는 수신되는 packet을 target BS(8-130)로 전송(8-310, 8-320)한다. target BS(8-130)는 Serving BS(8-120)로부터 packet을 수신한다.
단말(8-100)은 target BS(8-130)에 대한 동기화(synchronization, 8-340)를 수행하고 RACH를 통해 target BS에 엑세스 한다. target BS(8-130)는 UL을 할당하고 TA로 응답한다. 단말(8-100)은 RRC Connection Reconfiguration Complete(8-360)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(8-100)은 이 후 target BS(8-130)를 통해 packet data를 수신(8-370)할 수 있다. target BS(8-130)는 단말의 셀을 변경했음을 알리기 위해서 망(MME 등)에 path change(8-380)를 수행한다. Serving BS(8-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(8-390)를 수행한다.
이후, 단말(8-100)과 target 기지국(8-130)은 서로 Intra-AA 핸드오버로 key derivation을 통해 AS 구간 암호화 키를 공유하게 된다.
도 9a 및 도 9b는 본 발명의 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 9a에 따른 핸드오버 시 serving 기지국(9-120)이 단말(9-100)이 전송한 measurement 정보를 기반으로 내부 policy에 따라 target 기지국(9-130)을 결정하고, serving 기지국(9-120)은 target 기지국(9-130)으로부터 받은 radio configuration 정보를 단말(9-100)에 전송하여 단말(9-100)이 target 기지국(9-130)으로 연결되도록 할 수 있다. Serving 기지국(9-120)은 Target 기지국(9-130)과 서로 다른 AA에 속한다는 것을 확인하고 PKI 기반 인증 통해 단말(9-100)과 target 기지국(9-130) 간 키 생성을 허용한다. 도 8에서 Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(9-120)는 Measurement Control(9-210)를 단말(9-100)로 전송한다. Serving BS(9-120)에 의해 제공되는 measurement 정보는 UE(9-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 9-220)이 이루어 진다. 단말(9-100)은 measurement(9-230) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(9-210)에서 만족하는 조건이 되면 Serving BS(9-120)으로 Measurement Report(9-240)를 보내게 된다. Serving BS(9-120)는 measurement report(9-240)을 수신하게 되면 단말(9-100)을 핸드오프 하도록 결정하고 Serving BS(9-120)가 Target BS(9-130)와 동일한 AA에 속하는지 확인한다(9-250).
Serving BS(9-120)은 target BS(9-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(9-260) 메시지를 target BS(9-130)에 전송한다. target BS(9-130)은 핸드오버를 허락할지 결정하는 admission control(9-270)을 하게 된다. 이 과정에서 target BS(9-130)는 단말(9-100)이 target BS(9-130)에 연결하는데 필요한 자원을 구성한다. target BS(9-130)는 HO 준비가 완료되면 단말(9-100)이 target BS(9-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(9-280)을 보낸다. Handover Request Ack 메시지에는 target BS(9-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(9-120)는 target BS(9-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(9-290)를 단말(9-100)에 전송한다.
Serving BS(9-120)는 RRC Connection Reconfiguration 메시지(9-290)에 Inter-AA HO bit을 설정하여 Serving BS(9-120)와 target BS(9-130)가 서로 다른 AA에 속하여 PKI 인증이 필요하다는 것을 단말(9-100)로 알려준다(9-290). 단말(9-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit을 포함하는 RRC Connection Reconfiguration(9-290) 메시지를 수신하면, 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(9-300)를 한다. 또한 Serving BS(9-120)는 수신되는 packet을 target BS로 전송(9-310, 9-320)한다. target BS(9-130)는 Serving BS(9-120)로부터 packet을 수신한다. target BS(9-130)는 Serving BS(9-120)로부터의 Buffer packet을 AMF(9-140)로 전송할 수 있다(9-330). 단말(9-100)은 target BS에 대한 동기화(synchronization, 9-340)를 수행하고 RACH를 통해 target BS(9-130)에 엑세스 한다. target BS(9-130)는 UL을 할당하고 TA로 응답한다(9-350). 단말(9-100)과 target 기지국(9-130)은 PKI 기반 인증을 수행하며, PKI 기반 인증의 상세 동작은 도 17 내지, 도 21에 도시되어 있다 (9-360).
단말(9-100)은 RRC Connection Reconfiguration Complete(9-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(9-100)은 이 후 target BS(9-130)를 통해 packet data를 수신(9-380)할 수 있다. target BS(9-130)는 단말(9-100)이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(9-390)를 수행한다. Serving BS(9-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(9-400)를 수행한다.
이후, 단말(9-100)과 target 기지국(9-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 10a 및 도 10b은 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 10a에 따른 핸드오버 시 serving 기지국(10-120)이 단말(10-100)이 전송한 measurement 정보를 기반으로 내부 policy에 따라 target 기지국(10-130)을 결정하고, serving 기지국(10-120)은 target 기지국(10-130)으로부터 받은 radio configuration 정보를 단말(10-100)에 전송하여 단말(10-100)이 target 기지국(10-130)으로 연결되도록 할 수 있다. Serving 기지국(10-120)은 Target 기지국(10-130)과 서로 다른 AA에 속한다는 것을 확인하고 PKI 기반 인증 통해 단말(10-100)과 target 기지국(10-130) 간 키 생성을 허용한다. Serving 기지국(10-120)은 단말(10-100)이 target 기지국(10-130)과 인증을 위한 메시지 전송을 포워딩하고 핸드오버 과정에서 핸드오버 지연 시간인 Handover Interruption Time을 줄여줄 수 있다. Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(10-120) 는 Measurement Control(10-210)를 전송한다. Serving BS(10-120)에 의해 제공되는 measurement 정보는 UE(10-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 10-220)이 이루어 진다. 단말은 measurement(10-230) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(10-210)에서 만족하는 조건이 되면 Serving BS(10-120)으로 Measurement Report(10-240)를 보내게 된다. Serving BS(10-120)는 measurement report(10-240)을 수신하게 되면 적절하게 판단을 하여 단말(10-100)을 핸드오프 하도록 결정하고 Serving BS(10-120)가 Target BS(10-130)와 동일한 AA에 속하는지 확인을 한다(10-250). Serving BS(10-120)은 target BS(10-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(10-260) 메시지를 target BS(10-130)에 전송한다. target BS(10-130)은 핸드오버를 허락할지 결정하는 admission control(10-270)을 하게 된다. 이 과정에서 target BS(10-130)는 단말(10-100)이 target BS(10-130)에 연결하는데 필요한 자원을 구성한다. target BS(10-130)는 HO 준비가 완료되면 단말(10-100)이 target BS 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(10-280)을 보낸다. Handover Request Ack 메시지에는 target BS(10-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(10-120)는 단말(10-100)에 target BS(10-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(10-290)를 단말(10-100)에 전송한다. Serving BS(10-120)는 RRC Connection Reconfiguration 메시지(10-290)메시지에 Inter-AA HO bit을 설정하여 Serving BS(10-120)와 target BS(10-130)가 서로 다른 AA에 속하여 PKI 인증이 필요하고 PKI fwd bit을 설정하여 Serving BS(10-120)을 통해 target BS(10-130)와 인증을 할 수 있다는 것을 알려준다(10-290).
단말(10-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit/PKI fwd bit을 포함하는 RRC Connection Reconfiguration(10-290) 메시지를 수신하면, 단말(10-100)과 target 기지국(10-130)은 PKI기반 인증을 수행하며 상세 동작은 도 17,내지 도 21에 도시되어 있다 (10-300). 단말(10-100)과 target 기지국(10-130) 간 인증하는 과정에서 serving 기지국(10-120)과 target 기지국(10-130)이 직접 통신 가능하여 serving 기지국(10-120)이 target 기지국(10-130)으로 인증 메시지를 전달해줄 수 있다 (10-300).
단말(10-100)은 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(10-310)를 한다. 또한 Serving BS(10-120)는 수신되는 packet을 target BS(10-130)로 전송(10-320, 10-330)한다. target BS(10-130)는 Serving BS(10-120)로부터 packet을 수신한다. target BS(10-130)는 Serving BS(10-120)로부터 수신한 Buffer packet을 AMF(10-140)로 전송할 수 있다(10-340).
단말(10-100)은 target BS(10-130)에 대한 동기화(synchronization, 10-350)를 수행하고 RACH를 통해 target BS에 엑세스 한다. target BS(10-130)는 UL을 할당하고 TA로 응답한다(10-360). 단말(10-100)은 RRC Connection Reconfiguration Complete(10-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(10-100)은 이 후 target BS를 통해 packet data를 수신(10-380)할 수 있다. target BS(10-130)는 단말(10-100)이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(10-390)를 수행한다. Serving BS(10-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(10-390)를 수행한다.
단말(10-100)과 target 기지국(10-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 11a 및 도 11b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 11a에 따른 핸드오버 시 serving 기지국(11-120)이 단말(11-100)이 전송한 measurement 정보를 기반으로 내부 policy에 따라 target 기지국(11-130)을 결정하고, target 기지국(11-130)으로부터 받은 radio configuration 정보를 단말(11-100)에 전송하여 단말(11-100)이 target 기지국(11-130)으로 연결되도록 할 수 있다. Serving 기지국(11-120)은 Target 기지국(11-130)과 서로 다른 AA에 속한다는 것을 확인하고 PKI 기반 인증 통해 단말(11-100)과 target 기지국(11-130) 간 키 생성을 허용한다.
Serving 기지국(11-120)은 단말(11-100)이 target 기지국과 인증을 위한 메시지 전송하는 과정에서 AMF(11-140)를 통해서 메시지를 포워딩 해줄 수 있다. Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(11-120)는 Measurement Control(11-210)를 전송한다. Serving BS(11-120)에 의해 제공되는 measurement 정보는 UE(11-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 11-220)이 이루어 진다. 단말(11-100)은 measurement(11-230) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(11-210)에서 만족하는 조건이 되면 Serving BS(11-120)으로 Measurement Report(11-240)를 보내게 된다. Serving BS(11-120)는 measurement report(11-240)을 수신하게 되면 단말(11-100)을 핸드오프 하도록 결정하고 Serving BS(11-120)가 Target BS(11-130)와 동일한 AA에 속하는지 확인을 한다(11-250).
Serving BS(11-120)은 target BS(11-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(11-260) 메시지를 AMF(11-240)를 통해 target BS(11-130)에 전송한다. target BS(11-130)은 핸드오버를 허락할지 결정하는 admission control(11-270)을 하게 된다. 이 과정에서 target BS(11-130)는 단말(11-100)이 target BS(11-130)에 연결하는데 필요한 자원을 구성한다. target BS(11-130)는 HO를 준비가 완료되면 단말(11-100)이 target BS(11-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(11-280)을 보낸다. 이 Handover Request Ack 메시지에는 target BS(11-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(11-120)는 단말(11-100)에 target BS(11-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(11-290)를 단말(11-100)에 전송한다. Serving BS는 RRC Connection Reconfiguration 메시지(11-290)메시지에 Inter-AA HO bit을 설정하여 Serving BS(11-120)와 target BS(11-130)가 서로 다른 AA에 속하여 PKI 인증이 필요하고 PKI fwd bit을 설정하여 Serving BS(11-120)을 통해 target BS(11-130)와 인증을 할 수 있다는 것을 알려준다(11-290).
단말(11-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit/PKI fwd bit을 포함하는 RRC Connection Reconfiguration(11-290) 메시지를 수신하면, 단말(11-100)과 target 기지국(11-130)은 PKI 기반 인증을 수행하며 상세 동작은 도 17 내지, 도 21에 도시되어 있다 (11-300).
단말(11-100)과 target 기지국(11-130) 간 인증하는 과정에서 serving 기지국(11-120)과 target 기지국(11-130)이 직접 통신 가능하여 serving 기지국(11-120)이 target 기지국(11-130)으로 인증 메시지를 전달해줄 수 있다 (11-300). 단말(11-100)은 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(11-310)를 한다. 또한 Serving BS(11-120)는 수신되는 packet을 target BS로 전송(11-320, 11-330)한다. target BS(11-130)는 Serving BS(11-120)로부터 packet을 수신한다. 단말(11-100)은 target BS(11-130)에 대한 동기화(synchronization, 11-350)를 수행하고 RACH를 통해 target BS에 엑세스 한다. target BS(11-130)는 UL을 할당하고 TA로 응답한다(11-360). 단말(11-100)은 RRC Connection Reconfiguration Complete(11-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(11-100)은 이 후 target BS(11-130)를 통해 packet data를 수신(11-380)할 수 있다. target BS(11-130)는 단말(11-100)이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(11-390)를 수행한다. Serving BS(11-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(11-400)를 수행한다.
단말(11-100)과 target 기지국(11-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 12a 및 도 12b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 12a에 따르면 serving 기지국(12-120)은 단말(12-100)에게 다른 기지국과 인증을 허용하게 설정할 수 있다. 단말(12-100)은 serving 기지국(12-120)으로부터 다른 기지국과 인증을 허용하는 메시지를 받으면, 기지국들이 전송하는 Authentication Area(AA) 정보를 기반으로 인증이 필요한 기지국을 확인한다.
단말(12-100)은 Serving 기지국(12-120)과 AA가 다른 기지국과 인증을 수행한다. Serving 기지국(12-120)은 단말(12-100)이 target 기지국(12-130)과 인증을 위한 메시지 전송을 포워딩 해줄 수 있다. Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(12-120) 는 Measurement Control(12-210)를 전송한다. Serving BS(12-120)에 의해 제공되는 measurement 정보는 단말(12-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 12-220)이 이루어 진다. 단말(12-100)은 measurement(12-230) 단계에서 주변 BS들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(12-210)에서 만족하는 조건이 되면 Serving BS(12-120)으로 Measurement Report(12-235)를 보내게 된다.
Serving BS(12-120)는 단말(12-100)에게 다른 BS와 인증을 허용할지 결정한다 (12-240). Serving BS(12-120)는 단말(12-100)에게 RRC Connection Reconfiguration 메시지에 단말(12-100)이 다른 기지국과 인증을 허용하는 bit을 세팅하여 전송한다 (12-245). 단말(12-100)은 BS들이 전송하는 AA 정보를 수신하고 Serving BS(12-120)과 다른 AA에 속한 BS 여부를 확인한다 (12-250).
단말(12-100)과 target 기지국(12-120)은 PKI기반 인증을 수행하며 상세 동작은 도 17 내지 도 21에 도시되어 있다 (12-255). 단말(12-100)과 target 기지국(12-120)과 인증하는 과정에서 serving 기지국(12-120)과 target 기지국(12-130)이 직접 통신 가능하여 serving 기지국(12-120)이 target 기지국(12-130)으로 인증 메시지를 전달해줄 수 있다 (12-255).
단말(12-100)은 measurement(12-260) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(12-210)에서 만족하는 조건이 되면 Serving BS(12-120)으로 Measurement Report(12-260)를 보내게 된다. Serving BS(12-120)는 measurement report(12-260)을 수신하게 되면 단말(12-100)을 핸드오프 하도록 결정하고 Serving BS(12-120)가 Target BS(12-130)와 동일한 AA에 속하는지 확인한다(10-265).
Serving BS(12-120)은 target BS(12-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(12-270) 메시지를 target BS(12-130)에 전송한다. target BS(12-130)은 핸드오버를 허락할지 결정하는 admission control(12-280)을 하게 된다. 이 과정에서 target BS(12-130)는 단말(12-100)이 target BS(12-130)에 연결하는데 필요한 자원을 구성한다. target BS(12-130)는 HO 준비가 완료되면 단말(12-100)이 target BS 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(12-290)을 보낸다. 이 Handover Request Ack 메시지에는 target BS(12-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(12-120)는 target BS(12-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(12-300)를 단말(12-100)에 전송한다.
Serving BS(12-120)는 RRC Connection Reconfiguration 메시지(12-300)에 Inter-AA HO bit을 설정하여 단말(12-100)이 Serving BS(12-120)와 target BS(12-130)가 서로 다른 AA에 속하여 PKI 인증이 필요하고 PKI fwd bit을 설정하여 Serving BS(12-120)을 통해 target BS(12-130)와 인증을 할 수 있다는 것을 알려준다(12-230). 단말(12-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit/PKI fwd bit을 포함하는 RRC Connection Reconfiguration(12-200) 메시지를 수신하면, 단말(12-100)과 target 기지국(12-130)은 PKI 기반 인증을 수행하는데 사전에 인증을 수행한 경우에는 인증은 하지 않아도 된다 (12-300).
단말(12-100)은 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(12-310)를 한다. 또한 Serving BS(12-120)는 수신되는 packet을 target BS(12-130)로 전송(12-320, 12-330)한다. target BS(12-130)는 Serving BS(12-120)로부터 packet을 수신한다.
단말(12-100)은 target BS(12-130)에 대한 동기화(synchronization, 12-350)를 수행하고 RACH를 통해 target BS에 엑세스 한다. target BS(12-130)는 UL을 할당하고 TA로 응답한다(12-360). 단말(12-100)은 RRC Connection Reconfiguration Complete(12-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(12-100)은 이 후 target BS(12-130)를 통해 packet data를 수신(12-380)할 수 있다. target BS(12-130)는 단말이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(12-390)를 수행한다. Serving BS(12-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(12-400)를 수행한다.
단말(12-100)과 target 기지국(12-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 13a 및 도 13b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 13a에 따르면 serving 기지국(13-120)은 단말(13-100)에게 다른 기지국과 인증을 허용하게 설정할 수 있다. 단말(13-100)은 serving 기지국(13-120)으로부터 다른 기지국과 인증을 허용하는 메시지를 받으면, 기지국들이 전송하는 Authentication Area(AA) 정보를 기반으로 인증이 필요한 기지국을 확인한다. 단말(13-100)은 Serving 기지국(13-120)과 AA가 다른 기지국과 인증을 수행한다. Serving 기지국(13-120)은 단말(13-100)이 target 기지국(13-130)과 인증을 위한 메시지 전송하는 과정에서 AMF(13-140)를 통해서 메시지를 포워딩 해줄 수 있다. Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(13-120)는 Measurement Control(13-210)를 전송한다. Serving BS(13-120)에 의해 제공되는 measurement 정보는 단말(13-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 13-220)이 이루어 진다. 단말(13-100)은 measurement(13-230) 단계에서 주변 BS들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(13-210)에서 만족하는 조건이 되면 Serving BS(13-120)으로 Measurement Report(13-235)를 보내게 된다. 단말(13-100)에게 다른 BS와 인증을 허용할지 결정한다 (13-240). Serving BS(13-120)은 단말(13-100)에게 RRC Connection Reconfiguration 메시지에 단말(13-100)이 다른 기지국과 인증을 허용하는 bit을 세팅하여 전송한다 (13-245).
단말(13-100)은 BS들이 전송하는 AA 정보를 수신하고 Serving BS과 다른 AA에 속한 BS 여부를 확인한다 (13-250). 단말(13-100)과 target 기지국(13-130)은 PKI 기반 인증을 수행하며 상세 동작은 도 17 내지 도 21에 도시되어 있다 (13-255).
Serving 기지국(13-120)은 단말(13-100)이 target 기지국(13-130)과 인증을 위한 메시지 전송하는 과정에서 AMF(13-140)를 통해서 메시지를 포워딩 해줄 수 있다 (13-255). 단말(13-100)은 measurement(13-260) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(13-210)에서 만족하는 조건이 되면 Serving BS(13-120)으로 Measurement Report(13-260)를 보내게 된다. Serving BS(13-120)는 measurement report(13-260)을 수신하게 되면 단말(13-100)을 핸드오프 하도록 결정하고 Serving BS(13-120)가 Target BS(13-130)와 동일한 AA에 속하는지 확인을 한다(10-265).
Serving BS(13-120)은 target BS(13-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(13-270) 메시지를 target BS(13-130)에 전송한다. target BS(13-130)은 핸드오버를 허락할지 결정하는 admission control(13-280)을 하게 된다. 이 과정에서 target BS(13-130)는 단말(13-100)이 target BS(13-130)에 연결하는데 필요한 자원을 구성한다. target BS(13-130)는 HO 준비가 완료되면 단말(13-100)이 target BS(13-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(13-290)을 보낸다. 이 Handover Request Ack 메시지에는 target BS(13-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(13-120)는 target BS(13-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(13-300)를 단말(13-100)에 전송한다.
Serving BS(13-100)는 RRC Connection Reconfiguration 메시지(13-300)메시지에 Inter-AA HO bit을 설정하여 단말(13-100)이 Serving BS와 target BS가 서로 다른 AA에 속하여 PKI 인증이 필요하고 PKI fwd bit을 설정하여 Serving BS(13-120)을 통해 target BS(13-130)와 인증을 할 수 있다는 것을 알려준다(13-230). 단말(13-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit/PKI fwd bit을 포함하는 RRC Connection Reconfiguration(13-200) 메시지를 수신하면, 단말(13-100)과 target 기지국(13-130)은 PKI 기반 인증을 수행하는데 사전에 인증을 수행하는 경우 인증은 하지 않아도 된다 (13-300). 단말(13-100)은 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(13-310)를 한다. 또한 Serving BS(13-120)는 수신되는 packet을 target BS(13-130)로 전송(13-320, 13-330)한다. target BS(13-130)는 Serving BS(13-120)로부터 packet을 수신한다.
단말은 target BS에 대한 동기화(synchronization, 13-350)를 수행하고 RACH를 통해 target BS에 엑세스 한다. target BS(13-130)는 UL을 할당하고 TA로 응답한다(13-360). 단말(13-100)은 RRC Connection Reconfiguration Complete(13-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(13-100)은 이 후 target BS를 통해 packet data를 수신(13-380)할 수 있다. target BS(13-130)는 단말이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(13-390)를 수행한다. Serving BS(13-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(13-400)를 수행한다.
단말(13-100)과 target 기지국(13-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 14a 및 도 14b는 본 발명의 또 다른 실시 예에 따른 단말의 핸드오버 시 인증 절차를 나타낸 도면이다.
도 14a에 따르면 단말(14-100)은 기지국들이 전송하는 Authentication Area(AA) 정보를 기반으로 인증이 필요한 기지국을 확인한다. 단말(14-100)은 Serving 기지국(14-120)과 AA가 다른 기지국과 인증을 수행한다. Computing Node(CN)은 기지국, BS 및 인증 대상을 지칭하며 상세한 과정은 아래와 같다.
Serving BS(14-120)는 Measurement Control(14-210)를 전송한다. Serving BS(14-120)에 의해 제공되는 measurement 정보는 단말(14-100)의 이동성을 제어하는데 활용된다. 이후 정상적인 통신이 이루어짐에 따라 데이터 통신(packet data, 14-220)이 이루어 진다. 단말(14-100)은 measurement(14-230) 단계에서 주변 BS들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(14-210)에서 만족하는 조건이 되면 Serving BS(14-120)으로 Measurement Report(14-235)를 보내게 된다. 단말(14-100)은 다른 BS와 인증을 허용할지 결정한다 (14-240). 단말(14-100)은 BS들이 전송하는 AA정보를 수신하고 Serving BS(14-120)와 다른 AA에 속한 BS 여부를 확인한다 (14-250).
단말(14-100)과 target 기지국(14-130)은 PKI 기반 인증을 수행하며 상세 동작은 도 17 내지 도 21에 도시되어 있다 (14-255). Serving 기지국(14-120)은 단말(14-100)이 target 기지국(14-130)과 인증을 위한 메시지 전송하는 과정에서 AMF(14-140)를 통해서 메시지를 포워딩 해줄 수 있다 (14-255).
단말(14-100)은 measurement(14-260) 단계에서 주변 기지국들의 셀들의 무선 신호 세기를 측정하게 되며 Measurement Control(14-210)에서 만족하는 조건이 되면 Serving BS(14-120)으로 Measurement Report(14-260)를 보내게 된다. Serving BS(14-120)는 measurement report(14-260)을 수신하게 되면 단말(14-100)을 핸드오프 하도록 결정하고 Serving BS(14-120)가 Target BS(14-130)와 동일한 AA에 속하는지 확인을 한다(14-265). Serving BS(14-120)은 target BS(14-130)에 핸드오프를 준비하기 위해 필요한 정보를 전달하는 Handover Request(14-270) 메시지를 target BS(14-130)에 전송한다. target BS(14-130)은 핸드오버를 허락할지 결정하는 admission control(14-280)을 하게 된다. 이 과정에서 target BS(14-130)는 단말(14-100)이 target BS(14-130)에 연결하는데 필요한 자원을 구성한다. target BS(14-130)는 HO 준비가 완료되면 단말(14-100)이 target BS(14-130) 연결에 필요한 정보를 포함해서 Handover Request Ack(Acknowledgement)(14-290)을 보낸다. 이 Handover Request Ack 메시지에는 target BS(14-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함하게 되며, Serving BS(14-120)는 target BS(14-130)로부터 받은 Radio Connection Reconfiguration 메시지 정보를 포함한 RRC Connection Reconfiguration 메시지(14-300)를 단말(14-100)에 전송한다.
Serving BS(14-120)는 RRC Connection Reconfiguration 메시지(14-300)에 Inter-AA HO bit을 설정하여 단말(14-100)이 Serving BS(14-120)와 target BS(14-130)가 서로 다른 AA에 속하여 PKI 인증이 필요하고 PKI fwd bit을 설정하여 Serving BS(14-120)를 통해 target BS(14-130)와 인증을 할 수 있다는 것을 알려준다(14-230). 단말(14-100)은 핸드오버에 필요한 파라미터 및 Inter-AA HO bit/PKI fwd bit을 포함하는 RRC Connection Reconfiguration(14-200) 메시지를 수신하면, 단말(14-100)과 target 기지국(14-130)은 PKI 기반 인증을 수행하는데 사전에 인증을 수행하는 경우 인증은 하지 않아도 된다 (14-300).
단말(14-100)은 이전 셀로부터 분리(detach)하고 새로운 셀로 접속을 위해 동기화(14-310)를 한다. 또한 Serving BS(14-120)는 수신되는 packet을 target BS(14-130)로 전송(14-320, 14-330)한다. target BS(14-130)는 Serving BS(14-120)로부터 packet을 수신한다. 단말(14-100)은 target BS(14-130)에 대한 동기화(synchronization, 14-350)를 수행하고 RACH를 통해 target BS(14-130)에 엑세스 한다. target BS(14-130)는 UL을 할당하고 TA로 응답한다(14-360). 단말(14-100)은 RRC Connection Reconfiguration Complete(14-370)를 전송하여 핸드오버가 완료되었음을 표시한다. 단말(14-100)은 이 후 target BS를 통해 packet data를 수신(14-380)할 수 있다. target BS(14-130)는 단말(14-100)이 핸드오버 했음을 알리기 위해서 망(MME 등)에 path change(14-390)를 수행한다. Serving BS(14-120)는 망으로부터 UE Context release 메시지를 수신하면 UE Context release(14-400)를 수행한다.
단말(14-100)과 target 기지국(14-130)은 PKI 기반 인증 후 생성된 키를 사용하여 AS 구간 암호화 키를 공유하게 된다.
도 15는 본 발명의 실시 예에 따른 기지국의 핸드오버 명령 절차를 도시한 도면이다.
도 15를 참조하면, BS는 단말로부터 Measurement Report(15-110)을 수신하는 경우, 핸드오버 조건이 되는 지 확인한다 (15-120). 핸드오버 조건을 만족하면 (15-120), 해당 BS는 핸드오버 대상 BS과 동일한 AA 내에 속하는지 확인한다 (15-130). 동일한 AA 내에 속하면 단말에게 intra-AA handover bit을 세팅하여 핸드오버 명령을 전송한다 (15-140). 동일한 AA내에 속하지 않으면 inter-AA handover bit을 세팅하여 핸드오버 명령을 전송한다 (15-150).
도 16은 본 발명의 실시 예에 따른 단말의 핸드오버 절차를 도시한 도면이다.
도 16을 참조하면, 단말은 BS으로부터 handover command 수신여부를 확인한다 (16-110). 단말이 Handover command를 수신하면 intra-AA handover bit 여부를 확인한다 (16-120). intra-AA handover bit이 있으면 intra-AA handover를 수행한다 (16-130). intra-AA handover bit이 없으면, 또는 inter-AA handover bit이 있으면 PKI 기반 인증 절차를 포함하는 inter-AA handover를 수행한다 (16-140).
도 17은 본 발명의 실시 예에 따른 단말이 기지국과 연결을 설정할 때 PKI(public key infrastructure) 기반의 인증을 수행하는 절차를 나타낸 도면이다.
도 17에서는 본 발명의 단말이 기지국과 상호 인증 하는 절차를 설명한다.
도 17에서 단말(17-10)은 기지국(17-15)에 접근하기 위해서 먼저 자신의 6G 식별자(identifier)를 포함하는 인증 요청 메시지(Authentication Request)를 기지국(17-15)으로 전송할 수 있다 (17-30).
기지국(17-15)은 단말(17-10)의 인증 요청 메시지를 수신한 후에 기지국(17-15)에 대한 EAP-TLS(TLS start)의 인증을 요청하는 메시지(Auth-Req.)를 단말로 전송할 수 있다 (17-40). 기지국(17-15)은 인증 요청 메시지(Auth-Req)에 해당 인증의 식별자(identifier)인 6G_KSI(6G Key Set Identifier)와, 상위 release에서 하위 release로의 Security feature의 bidding down을 방지하기 위한 ABBA(Anti-Bidding down Between Architectures) 파라미터를 포함하여 전송할 수 있다 (17-40).
단말(17-10)은 기지국(17-15)으로부터 TLS start 정보를 수신하게 되면, 기지국(17-15)으로 TLS client_hello 정보를 포함하는 인증 응답 메시지(Auth-Resp.)를 전송할 수 있다 (17-50). TLS client_hello 정보는 통신 대상 외 도청을 방지하기 위한 random 값(또는 client seed 값)을 의미할 수 있다.
기지국(17-15)은 단말(17-10)의 인증 응답 메시지(Auth-Resp.)에 포함된 TLS client_hello 정보를 수신하게 되면, TLS RAN_hello, TLS Certificate(기지국 인증서), TLS RAN_key_exchange(임시 세션 키), TLS certificate_request(단말 인증서 요청 여부), TLS RAN_hello_done 정보, 6G KSI, 및 ABBA 중에서 적어도 하나를 포함하는 인증 요청 메시지(Auth-Req.)를 단말(17-10)로 전송할 수 있다 (17-60). 여기서, TLS RAN_hello 정보는 통신 대상 외 도청을 방지하기 위한 random 값(또는 RAN seed 값)을 포함할 수 있다. 또한, TLS RAN_key_exchange 정보는 MITM(man in the middle) 방지를 위한 임시 세션 키(PreMasterSecret)를 포함할 수 있다.
이때, 기지국(17-15)은 TLS 긴급 전화를 사용하는 경우가 아니면 certificate_request을 세팅하여 단말 인증서를 검증할 수 있다. 단말(17-10)은 기지국(17-15)의 인증 요청 메시지(Auth-Req.)에 포함된 기지국 인증서(TLS Certificate)를 확인하고, 기지국 인증서(TLS Certificate)가 적법한 인증서인지 인증을 수행할 수 있다 (17-70). 단말(17-10)은 기지국 인증서(TLS Certificate)의 유효기간 만료 여부를 확인하고, 기지국 인증서(TLS Certificate)에 대한 유효성을 검사하고, 기지국 인증서(TLS Certificate)의 내용을 확인할 수 있다. 단말(17-10)은 인증서 발급취소, 부정발급, 인증서 오류, 비밀키 노출 등의 사유가 있는지 확인하여 기지국 인증서(TLS Certificate)에 대한 유효성 검사를 수행할 수 있다.
단말(17-10)이 기지국 인증서를 인증하는 절차는 추후 도면에서 상세히 설명한다.
단말(17-10)은 기지국(17-15)의 인증서에 이상이 없음을 확인한 이후 그에 대한 응답으로 TLS Certificate(단말 인증서), TLS client_key_exchange(임시 세션 키), TLS certificate_verify, TLS change_cipher_spec(가능한 chipper spec 정보들), 및 TLS finish 정보 중에서 적어도 하나를 포함하는 인증 응답 메시지(Auth-Resp.)를 기지국에 전송할 수 있다 (17-80). 여기서, TLS client_key_exchange 정보는 MITM(man in the middle) 방지를 위한 임시 세션 키(PreMasterSecret)를 포함할 수 있다.
실시예에 따라, 단말(17-10)은 임시 세션키(TLS client_key_exchange)를 기지국 공개키로 암호화하여 기지국(17-15)으로 전송할 수 있다.
기지국(17-15)은 단말(17-10)의 인증서를 수신한 이후 단말(17-10)의 인증서를 확인한다 (17-90). 기지국(17-15)은 단말 인증서(TLS Certificate)의 유효기간 만료 여부를 확인하고, 단말 인증서(TLS Certificate)에 대한 유효성을 검사하고, 단말 인증서(TLS Certificate)의 내용을 확인할 수 있다. 기지국(17-15)은 인증서 발급취소, 부정발급, 인증서 오류, 비밀키 노출 등의 사유가 있는지 확인하여 단말 인증서(TLS Certificate)에 대한 유효성 검사를 수행할 수 있다.
기지국(17-15)은 단말(17-10)의 인증서를 확인하고, 단말(17-10)이 송신한 cipher spec 중 적절한 것을 선택하여 TLS change_cipher_spec에 명시하고, TLS finished 정보를 포함하는 인증 요청 메시지(Auth-Req.)를 단말(17-10)로 전송할 수 있다 (17-100). 상기 인증 요청 메시지(Auth-Req.)는 6G KSI와 ABBA 정보를 포함할 수 있다 (17-100).
단말(17-10)은 상기 인증 요청 메시지(Auth-Req.)에 대한 응답 메시지로 인증 응답 메시지(Auth-Resp)를 기지국(17-15)에 전송할 수 있다 (17-110). 기지국(17-15)은 이때 생성되는 EMSK의 most significant 256(128) bits을 세션 키(gNB key)로 사용할 수 있다. EMSK의 생성 시 Pseudo-Random Function (PRF)을 사용할 수 있으며, 일예로 상기 제1 랜덤 값, 제2 랜덤 값 및 임시 세션 키(PreMasterSecret)을 포함하는 파라미터들을 사용하여 해시(hash)기반의 RFC4306을 통해 EMSK를 생성할 수 있다. 여기서, 인증 응답 메시지(Auth-Resp)에는 EAP response, EAP type(EAP-TLS)이 포함될 수 있다.
기지국(17-15)은 단말(17-10)과 정상적으로 인증함을 나타내고(EAP Success), 6G-KSI, 및 ABBA 파라미터를 포함하며, gNB key를 유도하는 EAP Success 메시지를 단말(17-10)로 전송할 수 있다 (17-120). 단말(17-10)은 EAP Success 메시지를 수신하면 기지국(17-15)과 동일하게 EMSK의 most significant 256(128) bits를 세션 키(gNB key)로 사용할 수 있다.
즉, 단말(17-10)은 임시 세션키(TLS client_key_exchange)와 인증에 필요한 정보를 활용하여 세션 키를 생성할 수 있다. EMSK의 생성 시 Pseudo-Random Function (PRF)을 사용할 수 있으며, 일예로 상기 제1 랜덤 값, 제2 랜덤 값 및 임시 세션 키(PreMasterSecret)을 포함하는 파라미터들을 사용하여 해시(hash)기반의 RFC4306을 통해 EMSK를 생성할 수 있다. 기지국(17-15)은 임시 세션키(TLS client_key_exchange)와 인증에 필요한 정보를 활용하여 세션 키를 생성할 수 있다. 실시 예에 따라, 기지국(17-15)과 단말(17-10)은 세션 키 생성 후 암호화 알고리즘을 협의할 수 있다.
도 18a 및 도 18b는 본 발명의 일 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 18a 및 도 18b에 도시된 실시 예에서는, 상호 인증 과정 중 CRL(Credential Revocation List, 인증서 폐기 목록)을 다운로드 받고, CRL에 해당 기지국의 인증서(또는 해당 단말의 인증서)가 포함되어 있는지 여부를 확인하는 동작을 제안한다. 이때, 단말(18-10)의 경우 통신이 되지 않아 네트워크 엔티티(예를 들어, CA(Certificate Authority) 서버) 등에 CRL을 요청할 수 없는 상황이므로, 기지국(18-15)이 단말(18-10)의 CRL 요청 메시지에 대해 네트워크 측으로 포워딩(또는 허용)해주는 절차가 필요하다.
단말(18-10)은 기지국(18-15)에 접근하기 위해서 먼저 자신의 6G 식별자(identifier)를 포함하는 인증 요청 메시지(Authentication Request)를 기지국(18-15)으로 전송할 수 있다 (18-30). 기지국(18-15)은 단말(18-10)의 인증 요청 메시지를 수신한 후에 기지국(18-15)에 EAP-TLS(TLS start)로 인증을 요청하는 메시지(Auth-Req.)를 단말(18-10)로 전송할 수 있다 (18-40). 기지국(18-15)은 인증 요청메시지(Auth-Req)에 해당 인증의 식별자(identifier)인 6G_KSI(6G Key Set Identifier) ?? 상위 release에서 하위 release로의 Security feature의 bidding down을 방지하기 위해서 ABBA(Anti-Bidding down Between Architectures) 파라미터를 함께 포함시킬 수 있다 (18-40).
단말(18-10)은 기지국(18-15)으로부터 TLS start 정보를 수신하게 되면, 기지국(18-15)으로 TLS client_hello 정보를 포함하는 인증 응답 메시지(Auth-Resp.)를 전송할 수 있다 (18-50).
기지국(18-15)은 단말(18-10)의 인증 응답 메시지(Auth-Resp.)에 포함된 TLS client_hello 정보를 수신하게 되면, TLS RAN_hello, TLS Certificate(기지국 인증서), TLS RAN_key_exchange, TLS certificate_request(단말 인증서 요청 여부), TLS RAN_hello_done 정보, 6G KSI, 및 ABBA 파라미터 중에서 적어도 하나를 포함하는 인증 요청 메시지(Auth-Req.)를 단말로 전송할 수 있다 (18-60).
이때 기지국(18-15)은 TLS 긴급 전화를 사용하는 경우가 아니면 certificate_request을 세팅하여 단말 인증서를 검증할 수 있다. 단말(18-10)은 기지국(18-15)의 인증 요청 메시지에 포함된 기지국 인증서를 검증해야 한다. 단말(18-10)은 기지국 인증서가 적법하게 CA에 의해서 서명되었다고 하더라도 그 이후에 폐기가 되었을 수 있기 때문에 추가적인 확인이 필요하다.
따라서, 단말(18-10)은 기지국 인증서 내용에 포함되어 있는 CA 또는 CA에서 인증서 검증을 위해 지정한 서버로 기지국 인증서가 폐기 되었는지 여부를 기록한 CRL(Credential Revocation List, 인증서 폐기 목록)을 수신해야 한다.
기지국 인증서에 대한 CRL을 수신하기 위해 UDM(Unified Data. Management, 18-30)으로 CRL 요청 메시지(CRL-req)를 전달하기 위해 단말(18-10)은 기지국(18-15)으로 CRL 요청 메시지(CRL-req(TLS certificate revocation list download request))를 전송할 수 있다 (18-70).
기지국(18-15)은 CRL 요청 메시지(CRL-req) 수신 시, 아직 단말(18-10)이 인증되지 않았기 때문에 기본적으로는 단말(18-10)의 NAS 통신에 대해서는 거부해야 한다. 다만, 기지국(18-15)은 CRL 요청 메시지(CRL-req)에 대해서는 예외적으로 전송을 허용할 수 있다. 기지국(18-15)은 해당 CRL 요청 메시지(CRL-req(TLS certificate revocation list download request))를 기지국 인증서의 CA 역할을 하는 네트워크 엔터티(NE), 여기서는 UDM(18-20)으로 포워딩할 수 있다(18-80). 이 과정에서 단말(18-10)은 해당 CRL 요청 메시지(CRL-req)를 기지국(18-15)이 알고 있는 CA 역할을 하고 있는 서버로 IP 등 패킷에 포함된 메시지나 단말의 현재 정보 등을 기반으로 포워딩할지 여부를 결정할 수 있다.
UDM(18-20)은 단말(18-10)로부터 수신한 CRL 요청 메시지(CRL-Req)를 확인하고 단말(18-10)이 요청한 CRL 정보를 전송하기 위해 기지국(18-15)으로 CRL 정보를 포함하는 CRL 응답 메시지(CRL-Resp(TLS certificate revocation list))를 전송할 수 있다(18-90). 기지국(18-15)은 CRL 정보를 포함하는 CRL 응답 메시지(CRL-Resp(TLS certificate revocation list))를 단말(18-10)로 포워딩할 수 있다 (18-100).
단말(18-10)은 기지국(18-15)의 인증 요청 메시지에 포함된 기지국 인증서를 확인하고, 기지국 인증서가 적법한 인증서인지 인증을 수행할 수 있다 (18-110).
단말(18-10)은 기지국(18-15)의 인증서에 이상이 없음을 확인하고 나서 그에 대한 응답으로 TLS Certificate(단말 인증서), TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec(가능한 chipper spec 정보들), 및 TLS finish 정보 중에서 적어도 하나를 포함하는 인증 응답 메시지(Auth-Resp.)를 기지국에 전송할 수 있다 (18-120). 기지국(18-15)은 단말(18-10)의 인증서를 수신하고 나서 단말(18-10)의 인증서를 확인할 수 있다 (18-130).
실시 예에 따라, 18-120 단계와 18-130 단계 사이에서 단말 인증서에 대한 CRL(Credential Revocation List, 인증서 폐기 목록)을 UDM(18-20)으로부터 수신하는 절차가 수행될 수 있다.
단말 인증서에 대한 CRL을 수신하기 위해 기지국(18-15)은 단말 인증서에 대한 CRL 요청 메시지(CRL-req)를 단말 인증서의 CA 역할을 하는 네트워크 엔터티(NE), 여기서는 UDM(18-20)으로 전송할 수 있다. UDM(18-20)은 기지국(18-15)으로 단말 인증서에 대한 CRL 정보를 포함하는 CRL 응답 메시지(CRL-Resp)를 전송할 수 있다. 이후, 기지국(18-15)은 단말 인증서에 대한 CRL 정보를 확인하고, 단말 인증서가 폐기되었는지 여부를 확인할 수 있다.
기지국(18-15)은 단말(18-10)의 인증서를 확인하고 나서, 단말(18-10)이 송신한 cipher spec 중 적절한 것을 선택하여 TLS change_cipher_spec에 명시하고, TLS finished 정보를 포함하는 인증 요청 메시지를 단말(18-10)로 전송할 수 있다(18-140). 상기 인증 요청 메시지에는 6G KSI와 ABBA정보도 함께 포함될 수 있다 (18-140).
단말(18-10)은 상기 인증 요청 메시지에 대한 응답 메시지로 빈 인증 응답 메시지(Auth-Resp)를 기지국(18-15)으로 전송할 수 있다 (5-150). 기지국(18-15)은 이 때 생성되는 EMSK의 most significant 256(128) bits을 gNB key로 사용한다. 기지국(18-15)은 단말(18-10)과 정상적으로 인증함을 나타내고(EAP success) gNB key를 유도하는 EAP Success 메시지를 전송할 수 있다(18-160). 단말(18-10)은 EAP Success를 수신하면 기지국(18-15)과 동일하게 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
도 19a 및 19b는 본 발명의 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 19a 및 도 19b에 도시된 실시 예에서는, 상호 인증 과정 중 OCSP(Online certificate status protocol, 온라인 인증서 상태 프로토콜)을 통해서 해당 인증서(기지국 인증서 또는 단말 인증서)가 폐기되었는지 여부를 확인할 수 있다. 이때, 단말(19-10)의 경우 통신이 되지 않는 상황이고 CA 등에 OCSP을 요청할 수 없는 상황이므로, 기지국(19-15)은 단말(19-10)의 OSCP 요청 메시지(OSCP-Req)에 대한 통신을 허용해주는 절차를 수행할 수 있다.
단말(19-10)은 기지국(19-15)에 접근하기 위해서 자신의 6G 식별자(identifier)를 포함하는 인증 요청 메시지(Authentication Request)를 기지국(19-15)으로 전송할 수 있다(19-30). 기지국(19-15)은 단말(19-10)의 인증 요청 메시지를 수신한 후에 기지국(19-15)에 EAP-TLS(TLS start)로 인증을 요청하는 메시지(Auth-Req.)를 단말(5-10)로 전송할 수 있다(19-40).
기지국(19-15)은 인증 요청메시지(Auth-Req)에 해당 인증의 식별자(identifier)인 6G_KSI(6G Key Set Identifier), 상위 release에서 하위 release로의 Security feature의 bidding down을 방지하기 위해서 ABBA(Anti-Bidding down Between Architectures) 파라미터를 포함시킬 수 있다(19-40).
단말(19-10)은 기지국(19-15)으로부터 TLS start 정보를 수신하게 되면, 기지국(19-15)으로 TLS client_hello 정보를 포함하는 인증 응답 메시지(Auth-Resp.)를 전송할 수 있다(19-50).
기지국(19-15)은 단말(19-10)의 인증 응답 메시지(Auth-Resp.)에 포함된 TLS client_hello 정보를 수신하게 되면, TLS RAN_hello, TLS Certificate(기지국 인증서), TLS RAN_key_exchange, TLS certificate_request(단말 인증서 요청 여부), TLS RAN_hello_done 정보, 6G KSI, ABBA 파라미터 중에서 적어도 하나를 포함하는 인증 요청 메시지(Auth-Req.)를 함께 단말(19-10)로 전송할 수 있다(19-60). 이때 기지국(19-15)은 TLS 긴급 전화를 사용하는 경우가 아니면 certificate_request을 세팅하여 단말 인증서를 검증할 수 있다.
단말(19-10)은 기지국(19-15)의 인증 요청 메시지에 포함된 기지국 인증서를 검증해야 한다. 단말(19-10)은 기지국 인증서가 적법하게 CA에 의해서 서명되었다고 하더라도 그 이후에 폐기가 되었을 수 있기 때문에 기지국 인증서의 폐기 여부에 대한 확인이 필요하다. 단말(19-10)은 인증서 내용에 포함되어 있는 CA 혹은 CA에서 인증서 검증을 위해 지정한 서버로 해당 기지국 인증서의 폐기 여부를 실시간으로 확인하기 위한 프로토콜인 OCSP(Online certificate status protocol)에 대한 응답을 요청할 수 있다.
해당 기지국 인증서의 폐기 여부를 UDM(19-20)으로부터 실시간으로 확인하기 위해 단말(19-10)은 기지국(19-15)으로 OSCP 요청 메시지(OSCP-req(TLS certificate status request))를 전송할 수 있다(19-70).
기지국(19-15)은 단말(19-10)로부터 OSCP 요청 메시지(OSCP-req) 수신 시, 아직 단말(19-10)이 인증되지 않았기 때문에 기본적으로는 단말(19-10)의 NAS 통신에 대해서는 거부해야 한다. 그러나, 기지국(19-15)은 OSCP 요청 메시지에 대해서는 일반 데이터 통신이 아니므로 예외적으로 전송을 허용할 수 있다.
기지국(19-15)은 해당 OSCP 요청 메시지(TLS certificate status request)를 기지국 인증서의 CA 역할을 하는 NE, 여기서는 UDM(19-20)으로 포워딩할 수 있다(19-80). 이 과정에서 단말(19-10)은 해당 OSCP 요청 메시지를 기지국(19-15)이 알고 있는 CA 역할을 하고 있는 서버로 IP 등 패킷에 포함된 메시지나 단말의 현재 정보 등을 기반으로 포워딩할지 여부를 결정할 수 있다.
UDM(19-20)은 단말(19-10)로부터 수신한 OSCP 요청 메시지를 확인하고 단말(19-10)이 요청한 기지국 인증서 상태 정보(TLS certificate status response)를 포함하는 OSCP 응답 메시지(OSCP-Resp)를 기지국(19-15)으로 전송할 수 있다(19-90). 기지국(19-15)은 해당 OSCP 응답 메시지(OSCP-Resp(TLS certificate status response))를 단말(19-10)로 재전송할 수 있다 (19-100).
단말(19-10)은 기지국(19-15)의 인증 요청 메시지에 포함된 기지국 인증서를 확인하고, 기지국 인증서가 적법한 인증서인지 인증을 수행한다 (19-110).
단말(19-10)은 기지국(19-15)의 인증서에 이상이 없음을 확인하고 TLS Certificate(단말 인증서), TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec(가능한 chipper spec 정보들), 및 TLS finish 정보 중에서 적어도 하나를 포함하는 인증 응답 메시지(Auth-Resp)를 기지국(19-15)으로 전송할 수 있다(19-120).
실시 예에 따라, 19-120 단계와 19-130 단계 사이에서 단말 인증서에 대한 OCSP(Online certificate status protocol, 온라인 인증서 상태 프로토콜)을 통해서 단말 인증서가 폐기되었는지 여부를 확인하는 절차가 수행될 수 있다.
단말 인증서의 폐기 여부를 UDM(19-20)으로부터 실시간으로 확인하기 위해 기지국(19-15)은 단말 인증서에 대한 OSCP 요청 메시지(TLS certificate status request)를 기지국 인증서의 CA 역할을 하는 NE, 여기서는 UDM(19-20)으로 전송할 수 있다. UDM(19-20)은 기지국(19-15)이 요청한 단말 인증서 상태 정보(TLS certificate status response)를 포함하는 OSCP 응답 메시지를 기지국(19-15)으로 전송할 수 있다. 이후, 기지국(19-15)은 단말 인증서 상태 정보(TLS certificate status response)에 기반하여 해당 단말 인증서의 폐기 여부를 확인할 수 있다.
기지국(19-15)은 단말(19-10)의 인증서를 수신하고 단말(19-10)의 인증서를 확인한다 (19-130). 기지국(19-15)은 단말(19-10)의 인증서를 확인하고, 단말(19-10)이 송신한 cipher spec 중 적절한 것을 선택하여 TLS change_cipher_spec에 명시하고, TLS finished 정보를 포함하는 인증 응답 메시지(Auth-Resp)를 단말(19-10)로 전송할 수 있다(19-140). 상기 인증 응답 메시지에는 6G KSI와 ABBA정보도 포함될 수 있다(19-140). 단말(19-10)은 이에 대한 응답 메시지로 빈 Auth-Resp 메시지를 기지국에 전송할 수 있다(19-150). 기지국(19-15)은 이 때 생성되는 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
기지국(19-15)은 단말(19-10)과 정상적으로 인증함을 나타내고(EAP Success) gNB key를 유도하는 EAP Success 메시지를 단말(19-10)로 전송할 수 있다(19-160). 단말(19-10)은 EAP Success를 수신하면 기지국(19-15)과 동일하게 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
도 20a 및 20b는 본 발명의 또 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 20a 및 도 20b에 도시된 실시 예에서는, 상호 인증 과정 중 CRL(Credential Revocation List, 인증서 폐기 목록)을 다운로드 받고, CRL에 해당 기지국의 인증서가 포함되어 있는지 여부를 확인하는 동작을 제안한다. 이때, 단말(20-10)의 경우 통신이 되지 않아 네트워크 엔터티(예를 들어, CA 서버) 등에 CRL을 요청할 수 없는 상황이므로, 기지국(20-15)이 단말(5-10)의 CRL 요청 메시지에 대해 네트워크 측으로 포워딩(또는 허용)해주는 절차가 필요하다.
도 20a 및 도 20b에 도시된 실시 예에서는 단말(20-10)과 기지국(20-15) 간 임시 상호 인증 이후에 20-140 내지 20-150 단계에서 단말(20-10)과 UDM(20-20)이 직접 CRL 요청/응답 메시지를 송수신한다.
단말(20-10)은 기지국(20-15)에 접근하기 위해서 먼저 자신의 6G 식별자(identifier)를 포함하는 인증 요청 메시지(Authentication Request)을 기지국(20-15)으로 전송할 수 있다 (20-30).
기지국(20-15)은 단말(20-10)의 인증 요청 메시지를 수신한 후에 기지국(20-15)에 EAP-TLS(TLS start)로 인증을 요청하는 메시지(Auth-Req.)를 단말(20-10)로 전송할 수 있다(20-40).
기지국(20-15)은 인증 요청메시지(Auth-Req)에 해당 인증의 식별자(identifier)인 6G_KSI(6G Key Set Identifier)와, 상위 release에서 하위 release로의 Security feature의 bidding down을 방지하기 위한 ABBA(Anti-Bidding down Between Architectures) 파라미터를 포함하여 단말(20-10)로 전송할 수 있다(20-40).
단말(20-10)은 기지국(20-15)으로부터 TLS start 정보를 수신하게 되면, 기지국(20-15)으로 TLS client_hello 정보를 포함하는 인증 응답 메시지(Auth-Resp.) 전송할 수 있다(20-50).
기지국(20-15)은 단말(20-10)의 인증 응답 메시지(Auth-Resp.)에 포함된 TLS client_hello 정보를 수신하게 되면, TLS RAN_hello, TLS Certificate(기지국 인증서), TLS RAN_key_exchange, TLS certificate_request(단말 인증서 요청 여부), TLS RAN_hello_done 정보와 6G KSI, 및 ABBA 파라미터 중에서 적어도 하나를 포함하는 인증 요청 메시지(Auth-Req.)를 단말(20-10)로 전송할 수 있다(20-60).
이때 기지국(20-15)은 TLS 긴급 전화를 사용하는 경우가 아니면 certificate_request을 세팅하여 단말 인증서를 검증할 수 있다. 단말(20-10)은 기지국(20-15)의 인증 요청 메시지에 포함된 기지국 인증서를 검증해야 한다. 단말(20-10)은 기지국 인증서가 적법하게 CA에 의해서 서명되었다고 하더라도 그 이후에 폐기가 되었을 수 있기 때문에 확인이 필요하다.
따라서, 단말(20-10)은 기지국 인증서 내용에 포함되어있는 CA 혹은 CA에서 인증서 검증을 위해 지정한 서버로부터 기지국 인증서가 폐기되었는지 여부를 기록한 CRL(Credential Revocation List, 인증서 폐기 목록)을 수신해야 한다. 그러나 아직 단말(20-10)이 인증되지 않아서 단말(20-10)은 AS와 NAS 모두 통신이 불가능 하다.
단말(20-10)은 인증서 폐기 여부는 검증하지 않고, 기지국 인증서 만으로 임시적으로 인증을 수행할 수 있다(20-70). 단말(20-10)은 기지국의 인증서에 이상이 없음을 확인하고 나서 그에 대한 응답으로 TLS Certificate(단말 인증서), TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec(가능한 chipper spec 정보들), TLS finish 정보를 포함하는 인증 응답 메시지를 기지국(20-15)으로 전송할 수 있다(20-80).
기지국(20-15)은 단말(20-10)의 인증서를 수신하고 나서 단말(20-10)의 인증서를 확인한다 (20-90). 기지국(20-15)은 단말(20-10)의 인증서를 확인하고 나서, 단말(20-10)이 송신한 cipher spec 중 적절한 것을 선택하여 TLS change_cipher_spec에 명시하고, TLS finished 정보를 포함하는 인증 요청 메시지를 전송할 수 있다(20-100). 상기 인증 요청 메시지에는 6G KSI와 ABBA정보도 함께 포함될 수 있다(20-100). 단말(20-10)은 이에 대한 응답 메시지로 빈 Auth-Resp 메시지를 기지국(20-15)에 전송할 수 있다(20-110). 기지국(20-15)은 이 때 생성되는 EMSK의 most significant 256(128) bits을 gNB key로 사용한다. 기지국(20-15)은 단말(20-10)과 정상적으로 인증함을 나타내고(EAP Success) gNB key를 유도하는 EAP Success 메시지를 단말(20-10)로 전송할 수 있다(20-120). 단말(20-10)은 EAP Success를 수신하면 기지국(20-15)과 동일하게 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
단말(20-10)은 이후 NAS 통신을 위하여 코어(CORE) 망과 단말과 망 사이의 인증을 수행할 수 있다 (20-130).
단말(20-10)은 NAS 통신이 이루어진 후에 앞서 임시로 인증했던 기지국 인증서의 폐기 여부를 검증할 수 있다. 단말(20-10)은 UDM(20-20)으로 기지국 인증서에 대한 CRL 요청 메시지(CRL-req)를 전송할 수 있다(20-140). UDM(20-20)은 단말(20-10)로부터 수신한 CRL 요청 메시지(CRL-Req)를 확인하고 단말(20-10)이 요청한 기지국 인증서에 대한 CRL 정보를 단말(20-10)로 전송할 수 있다(20-160).
이후, 단말(20-10)은 CRL에 기지국(20-15)의 인증 요청 메시지에 포함된 기지국 인증서의 존재 여부를 확인하고, 기지국 인증서가 적법한 인증서인지 인증을 수행할 수 있다 (20-160).
실시예에 따라, 기지국(20-15)은 UDM(20-20)으로 단말 인증서에 대한 CRL 요청 메시지(CRL-req)를 전송할 수 있다. UDM(20-20)은 단말 인증서에 대한 CRL 요청 메시지(CRL-Req)를 확인하고 기지국(20-15)이 요청한 단말 인증서에 대한 CRL 정보를 기지국(20-15)로 전송할 수 있다.
도 21a 및 도 21b는 본 발명의 또 다른 실시 예에 따라 단말이 기지국과 PKI 기반의 인증 수행 시 인증서 유효성을 확인하는 절차를 나타낸 도면이다.
도 21a 및 도 21b의 실시 예에서, 상호 인증 과정 중 단말(21-10)은 OCSP(Online certificate status protocol, 온라인 인증서 상태 프로토콜)를 통해 해당 기지국(21-15)의 인증서의 폐기 여부 확인이 필요하다. 다만, 단말(21-10)의 경우 통신이 되지 않는 상황이고, CA 등에 OCSP을 요청할 수 없는 상황이므로, 단말(21-10)은 임시로 기지국 인증서만 확인하고 추후 단말(7-10)이 NAS 인증까지 끝난 후에 기지국 인증서에 대한 폐기 여부 검증을 수행할 수 있다.
도 21a 및 도 21b에 도시된 실시 예에서는 단말(21-10)과 기지국(21-15) 간 임시 상호 인증 이후에 21-140 내지 21-150 단계에서 단말(21-10)과 UDM(21-20)이 직접 OSCP 요청/응답 메시지를 송수신한다.
단말(21-10)은 기지국(21-15)에 접근하기 위해서 먼저 자신의 6G 식별자(identifier)를 포함하는 인증 요청 메시지(Authentication Request)를 기지국(21-15)으로 전송할 수 있다(21-30).
기지국(21-15)은 단말(21-10)의 인증 요청 메시지를 수신한 후에 기지국(21-15)에 EAP-TLS(TLS start)로 인증을 요청하는 메시지(Auth-Req.)를 단말(21-10)로 전송할 수 있다(21-40). 기지국(21-15)은 인증 요청메시지(Auth-Req)에 해당 인증의 식별자(identifier)인 6G_KSI(6G Key Set Identifier)와 상위 release에서 하위 release로의 Security feature의 bidding down을 방지하기 위한 ABBA(Anti-Bidding down Between Architectures) 파라미터를 포함하여 단말(21-10)로 전송할 수 있다(21-40).
단말(21-10)은 기지국(21-15)으로부터 TLS start 정보를 수신하게 되면, 기지국(21-15)으로 TLS client_hello 정보를 포함하는 인증 응답 메시지(Auth-Resp.)를 전송할 수 있다(21-50).
기지국(21-15)은 단말(21-10)의 인증 응답 메시지(Auth-Resp.)에 포함된 TLS client_hello 정보를 수신하게 되면, TLS RAN_hello, TLS Certificate(기지국 인증서), TLS RAN_key_exchange, TLS certificate_request(단말 인증서 요청 여부), TLS RAN_hello_done 정보와 6G KSI, 및 ABBA 파라미터 중에서 적어도 하나르 포함하는 인증 요청 메시지(Auth-Req.)를 단말(21-10)로 전송할 수 있다(21-60).
이때 기지국(21-15)은 TLS 긴급 전화를 사용하는 경우가 아니면 certificate_request을 세팅하여 단말 인증서를 검증할 수 있다. 단말(21-10)은 기지국(21-15)의 인증 요청 메시지에 포함된 기지국 인증서를 검증해야 한다.
단말(21-10)은 기지국 인증서가 적법하게 CA에 의해서 서명되었다고 하더라도 그 이후에 폐기가 되었을 수 있기 때문에 기지국 인증서의 폐기 여부에 대한 확인이 필요하다. 따라서 단말(21-10)은 인증서 내용에 포함되어있는 CA 혹은 CA에서 인증서 검증을 위해 지정한 서버로부터 해당 기지국 인증서가 폐기 되었는지 여부를 실시간으로 알려주는 OSCP를 수신 해야 한다.
다만, 아직 단말(21-10)이 인증되지 않아서 AS와 NAS 모두 통신이 불가능하므로 단말(21-10)은 인증서 폐기 여부는 검증하지 않고, 기지국 인증서 만으로 임시적으로 인증을 수행할 수 있다 (21-70).
단말(21-10)은 기지국(21-15)의 인증서에 이상이 없음을 확인하고 나서 그에 대한 응답으로 TLS Certificate(단말 인증서), TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec(가능한 chipper spec 정보들), TLS finish 정보를 포함하는 인증 응답 메시지를 기지국(21-15)으로 전송할 수 있다(21-80).
기지국(21-15)은 단말(21-10)의 인증서를 수신하고 단말(21-10)의 인증서를 확인한다 (21-90). 기지국(21-15)은 단말의 인증서를 확인하고 나서, 단말(21-10)이 송신한 cipher spec 중 적절한 것을 선택하여 TLS change_cipher_spec에 명시하고, TLS finished 정보를 포함하는 인증 응답 메시지를 단말(21-10)로 전송할 수 있다(21-100). 상기 인증 응답 메시지에는 6G KSI와 ABBA정보도 포함될 수 있다(21-100).
단말(21-10)은 이에 대한 응답 메시지로 빈 Auth-Resp 메시지를 기지국(21-15)으로 전송할 수 있다(21-110). 기지국(21-15)은 이 때 생성되는 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
기지국(21-15)은 단말(21-10)과 정상적으로 인증함을 나타내고 gNB key를 유도하는 EAP Success 메시지를 단말(21-10)로 전송할 수 있다(21-120). 단말(21-10)은 EAP Success를 수신하면 기지국(21-15)과 동일하게 EMSK의 most significant 256(128) bits을 gNB key로 사용한다.
단말(21-10)은 이후 NAS 통신을 위하여 코어(CORE) 망과 단말과 망 사이의 인증을 수행한다 (21-130). 단말(21-10)은 NAS 통신이 이루어진 후에 앞서 임시로 인증했던 인증서의 폐기 여부를 검증한다. 이를 위해서 단말(21-10)은 UDM(21-20)으로 OSCP 요청 메시지(OCSP-req)를 전송할 수 있다(21-140). UDM(21-20)은 단말(21-10)로부터 수신한 OSCP 요청 메시지(OCSP-Req)를 확인하고 단말(21-10)이 요청한 OCSP 정보를 포함하는 OSCP 응답 메시지(OCSP-Resp)를 단말(21-10)로 전송할 수 있다(21-150).
단말(21-10)은 OSCP 응답 메시지에 기반하여 기지국(21-15)의 인증서의 폐기 여부를 확인하고, 기지국 인증서가 적법한 인증서인지 인증을 수행한다 (21-160).
실시예에 따라, 기지국(21-15)은 UDM(21-20)으로 단말 인증서에 대한 OSCP 요청 메시지(OSCP -req)를 전송할 수 있다. UDM(21-20)은 단말 인증서에 대한 OSCP 요청 메시지(OSCP-Req)를 확인하고 기지국(21-15)이 요청한 단말 인증서에 대한 OSCP 정보를 기지국(21-15)로 전송할 수 있다.
도 22는 본 발명의 실시 예에 따른 단말과 기지국 장치를 도시한 블록도이다.
도 22에 따르면, 단말(22-100)는 송수신부(22-110), 제어부(22-120), 및 저장부(22-130)를 포함한다. 다만, 단말(22-100)의 구성 요소가 전술한 예에 한정되는 것은 아니며 예를 들어, 단말(22-100)은 도시한 구성 요소보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 송수신부(22-110), 저장부(22-130), 및 제어부(22-120) 등이 하나의 칩(chip) 형태로 구현될 수도 있다.
송수신부(22-110)는 기지국(22-140)과 신호를 송수신할 수 있다. 여기에서, 신호는 제어 정보 및 데이터를 포함할 수 있다. 이를 위해, 송수신부(22-110)는 전송되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(22-110)의 일 실시예일뿐이며, 송수신부(22-110)의 구성 요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다. 또한, 송수신부(22-110)는 무선 채널을 통해 신호를 수신하여 제어부(22-120)로 출력하고, 제어부(22-120)로부터 출력된 신호를 무선 채널을 통해 전송할 수 있다. 또한 송수신부(22-110)는 제1 무선 통신 기술을 위한 RF 송수신기와 제2 무선 통신 기술을 위한 RF 송수신기를 개별로 구비하거나, 또는 하나의 송수신기로 제1 무선 통신 기술 및 제2 무선 통신 기술에 따른 물리 계층 프로세싱을 수행할 수 있다.
저장부(22-130)는 단말(22-100)의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 저장부(22-130)는 단말(22-100)이 송수신하는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 저장부(22-130)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 저장부(22-130)는 복수 개일 수 있다.
제어부(22-120)는 전술한 본 개시의 실시예에 따라 단말(22-100)이 동작할 수 있도록 일련의 과정을 제어할 수 있다. 예를 들어, 제어부(22-120)는 기지국(22-140)로부터 송수신부(22-110)을 통해 수신한 정보에 대한 연산 및 결정을 수행할 수 있다. 제어부(22-120)는 복수 개일 수 있으며, 제어부(22-120)는 저장부(22-130)에 저장된 프로그램을 실행함으로써 단말(22-100)의 구성 요소 제어 동작을 수행할 수 있다.
기지국(22-140)은 송수신부(22-150), 제어부(22-160), 연결부(22-170) 및 저장부(22-180)를 포함한다. 다만, 기지국(22-140)의 구성 요소가 전술한 예에 한정되는 것은 아니며 예를 들어, 기지국(22-150)는 도시한 구성 요소보다 더 많은 구성 요소를 포함하거나 더 적은 구성 요소를 포함할 수도 있다. 뿐만 아니라 송수신부(22-150), 저장부(22-180), 및 제어부(22-160) 등이 하나의 칩(chip) 형태로 구현될 수도 있다.
송수신부(22-150)는 단말(22-100)과 신호를 송수신할 수 있다. 여기에서, 신호는 제어 정보 및 데이터를 포함할 수 있다. 이를 위해, 송수신부(22-150)는 전송되는 신호의 주파수를 상승 변환 및 증폭하는 RF 송신기와, 수신되는 신호를 저 잡음 증폭하고 주파수를 하강 변환하는 RF 수신기 등으로 구성될 수 있다. 다만, 이는 송수신부(22-150)의 일 실시예일뿐이며, 송수신부(22-150)의 구성 요소가 RF 송신기 및 RF 수신기에 한정되는 것은 아니다. 또한, 송수신부(22-150)는 무선 채널을 통해 신호를 수신하여 제어부(22-160)로 출력하고, 제어부(22-160)로부터 출력된 신호를 무선 채널을 통해 전송할 수 있다.
제어부(22-160)는 전술한 본 개시의 실시예에 따라 기지국(22-140)이 동작할 수 있도록 일련의 과정을 제어할 수 있다. 예를 들어, 제어부(22-160)는 단말(22-100)로 전송할 정보를 생성하고 이를 송수신부(22-150)을 통해 단말(22-100)로 전송할 수 있다. 제어부(22-160)는 복수개일 수 있으며, 제어부(22-160)는 저장부(22-180)에 저장된 프로그램을 실행함으로써 기지국(22-140)의 구성 요소 제어 동작을 수행할 수 있다.
저장부(22-180)는 기지국의 동작에 필요한 프로그램 및 데이터를 저장할 수 있다. 또한, 저장부(22-180)는 기지국이 송수신하는 신호에 포함된 제어 정보 또는 데이터를 저장할 수 있다. 저장부(22-180)는 롬(ROM), 램(RAM), 하드디스크, CD-ROM 및 DVD 등과 같은 저장 매체 또는 저장 매체들의 조합으로 구성될 수 있다. 또한, 저장부(22-140)는 복수 개일 수 있다.
연결부(22-170)은 기지국(22-140)과 코어망을 연결하는 장치로, 메시지 송수신을 위한 물리 계층 프로세싱 및 코어망으로 메시지를 전송하고, 코어망으로부터 메시지를 수신하는 동작을 수행할 수 있다.
본 발명의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들은 하드웨어, 소프트웨어, 또는 하드웨어와 소프트웨어의 조합의 형태로 구현될(implemented) 수 있다.
소프트웨어로 구현하는 경우, 하나 이상의 프로그램(소프트웨어 모듈)을 저장하는 컴퓨터 판독 가능 저장 매체가 제공될 수 있다. 컴퓨터 판독 가능 저장 매체에 저장되는 하나 이상의 프로그램은, 전자 장치(device) 내의 하나 이상의 프로세서에 의해 실행 가능하도록 구성된다(configured for execution). 하나 이상의 프로그램은, 전자 장치로 하여금 본 발명의 청구항 또는 명세서에 기재된 실시 예들에 따른 방법들을 실행하게 하는 명령어(instructions)를 포함한다.
이러한 프로그램(소프트웨어 모듈, 소프트웨어)은 랜덤 액세스 메모리 (random access memory), 플래시(flash) 메모리를 포함하는 불휘발성(non-volatile) 메모리, 롬(ROM: Read Only Memory), 전기적 삭제가능 프로그램가능 롬(EEPROM: Electrically Erasable Programmable Read Only Memory), 자기 디스크 저장 장치(magnetic disc storage device), 컴팩트 디스크 롬(CD-ROM: Compact Disc-ROM), 디지털 다목적 디스크(DVDs: Digital Versatile Discs) 또는 다른 형태의 광학 저장 장치, 마그네틱 카세트(magnetic cassette)에 저장될 수 있다. 또는, 이들의 일부 또는 전부의 조합으로 구성된 메모리에 저장될 수 있다. 또한, 각각의 구성 메모리는 다수 개 포함될 수도 있다.
또한, 상기 프로그램은 인터넷(Internet), 인트라넷(Intranet), LAN(Local Area Network), WLAN(Wide LAN), 또는 SAN(Storage Area Network)과 같은 통신 네트워크, 또는 이들의 조합으로 구성된 통신 네트워크를 통하여 접근(access)할 수 있는 부착 가능한(attachable) 저장 장치(storage device)에 저장될 수 있다. 이러한 저장 장치는 외부 포트를 통하여 본 발명의 실시 예를 수행하는 장치에 접속할 수 있다. 또한, 통신 네트워크상의 별도의 저장장치가 본 발명의 실시 예를 수행하는 장치에 접속할 수도 있다.
상술한 본 발명의 구체적인 실시 예들에서, 발명에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 발명이 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (20)

  1. 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 서빙 기지국의 동작 방법에 있어서,
    단말로부터 측정 리포트를 수신하는 단계;
    상기 측정 리포트에 기반하여 상기 단말이 핸드오버 조건을 만족하는지 확인하는 단계;
    상기 단말이 핸드오버 조건을 만족하면, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 상기 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 확인하는 단계; 및
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함하는 것을 특징으로 하는 방법.
  3. 제2항에 있어서,
    상기 intra-AA 핸드오버 정보가 전송되면, 상기 단말과 상기 타겟 기지국 간 PKI(public key infrastructure) 기반 상호 인증이 수행되지 않고 상기 단말에 의해 상기 타겟 기지국에 대한 키 업데이트 절차가 수행되고,
    상기 inter-AA 핸드오버 정보가 전송되면, 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되는 것을 특징으로 하는 방법.
  4. 제1항에 있어서,
    상기 AA는 물리적 또는 논리적으로 동일한 컴퓨팅 노드(computing node)에 의해 서빙되는 셀들의 집합인 것을 특징으로 하는 방법.
  5. 제4항에 있어서,
    상기 동일한 컴퓨팅 노드는 논리적 또는 물리적으로 동일한 컴퓨팅 노드이고,
    상기 논리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 소프트웨어로 구현되거나, 동일한 권한을 갖는 소프트웨어로 구현되거나, 동일 프로세스를 수행하는 소프트웨어로 구현되며,
    상기 물리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 하드웨어로 구현되거나, 동일한 권한을 갖는 하드웨어로 구현되거나, 동일 하드웨어 컴포넌트로 구현되는 것을 특징으로 하는 방법.
  6. 제3항에 있어서,
    상기 inter-AA 핸드오버 정보를 수신하면 상기 단말과 상기 서빙 기지국이 분리(detach)되고, 이후 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되는 것을 특징으로 하는 방법.
  7. 제3항에 있어서,
    상기 inter-AA 핸드오버 정보가 전송되면 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되고,
    상기 서빙 기지국은 상기 타겟 기지국으로 PKI 기반 인증 패킷을 포워딩하는 것을 특징으로 하는 방법.
  8. 제3항에 있어서,
    상기 inter-AA 핸드오버 정보가 전송되면 상기 단말과 상기 타겟 기지국 간 상기 PKI 기반 상호 인증이 수행되고,
    상기 서빙 기지국은 네트워크 엔티티로 PKI 기반 인증 패킷을 전송하고, 상기 네트워크 엔티티에 의해 상기 타겟 기지국으로 상기 PKI 기반 인증 패킷이 전달되는 것을 특징으로 하는 방법.
  9. 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 단말의 동작 방법에 있어서,
    상기 단말이 핸드오버 시 연결되는 타겟 기지국이 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 서빙 기지국으로부터 수신하는 단계; 및
    상기 핸드오버 커맨드에 포함된 정보에 기반하여 상기 타겟 기지국과 PKI(public key infrastructure) 기반 상호 인증을 수행할지 결정하는 단계를 포함하는 것을 특징으로 하는 방법.
  10. 제1항에 있어서,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함하는 것을 특징으로 하는 방법.
  11. 제10항에 있어서,
    상기 intra-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 PKI 기반 상호 인증을 수행하지 않고 상기 타겟 기지국에 대한 키 업데이트 절차를 수행하고,
    상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하는 것을 특징으로 하는 방법.
  12. 제9항에 있어서,
    상기 AA는 물리적 또는 논리적으로 동일한 컴퓨팅 노드(computing node)에 의해 서빙되는 셀들의 집합인 것을 특징으로 하는 방법.
  13. 제11항에 있어서,
    상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 서빙 기지국과 분리(detach) 후 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하는 것을 특징으로 하는 방법.
  14. 제11항에 있어서,
    상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하고,
    상기 서빙 기지국은 상기 타겟 기지국으로 PKI 기반 인증 패킷을 포워딩하는 것을 특징으로 하는 방법.
  15. 제11항에 있어서,
    상기 inter-AA 핸드오버 정보를 수신하면 상기 단말은 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하고,
    상기 서빙 기지국은 네트워크 엔티티로 PKI 기반 인증 패킷을 전송하고, 상기 네트워크 엔티티는 상기 타겟 기지국으로 상기 PKI 기반 인증 패킷을 전달하는 것을 특징으로 하는 방법.
  16. 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 지원하는 서빙 기지국에 있어서,
    송수신부; 및
    상기 송수신부와 연결되며 상기 송수신부를 제어하고, 단말로부터 측정 리포트를 수신하도록 제어하고, 상기 측정 리포트에 기반하여 상기 단말이 핸드오버 조건을 만족하는지 확인하고, 상기 단말이 핸드오버 조건을 만족하면, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 상기 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 확인하고, 상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 단말로 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 하는 서빙 기지국.
  17. 제16항에 있어서,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함하는 것을 특징으로 하는 서빙 기지국.
  18. 제16항에 있어서,
    상기 AA는 물리적 또는 논리적으로 동일한 컴퓨팅 노드(computing node)에 의해 서빙되는 셀들의 집합이고,
    상기 동일한 컴퓨팅 노드는 논리적 또는 물리적으로 동일한 컴퓨팅 노드이고,
    상기 논리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 소프트웨어로 구현되거나, 동일한 권한을 갖는 소프트웨어로 구현되거나, 동일 프로세스를 수행하는 소프트웨어로 구현되며,
    상기 물리적으로 동일한 컴퓨팅 노드는 동일한 사업자의 하드웨어로 구현되거나, 동일한 권한을 갖는 하드웨어로 구현되거나, 동일 하드웨어 컴포넌트로 구현되는 것을 특징으로 하는 서빙 기지국.
  19. 무선 통신 시스템에서 핸드오버 시 AS(access stratum) 구간의 상호 인증을 위한 단말에 있어서,
    송수신부; 및
    상기 송수신부와 연결되며 상기 송수신부를 제어하고, 상기 단말이 핸드오버 시 연결되는 타겟 기지국이 서빙 기지국과 동일한 AA(authentication area) 내에 속하는지 여부에 따라 달리 구성되는 핸드오버 커맨드를 상기 서빙 기지국으로부터 수신하도록 제어하고, 상기 핸드오버 커맨드에 포함된 정보에 기반하여 상기 타겟 기지국과 PKI(public key infrastructure) 기반 상호 인증을 수행할지 결정하는 제어부를 포함하는 것을 특징으로 하는 단말.
  20. 제19항에 있어서,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하면 상기 핸드오버 커맨드는 AA 내(intra-AA) 핸드오버 정보를 포함하고, 상기 intra-AA 핸드오버 정보를 수신하면 상기 제어부는 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하지 않고 상기 타겟 기지국에 대한 키 업데이트 절차를 수행하고,
    상기 타겟 기지국과 상기 서빙 기지국이 상기 동일한 AA 내에 속하지 않으면 상기 핸드오버 커맨드는 AA 간(inter-AA) 핸드오버 정보를 포함하고, 상기 inter-AA 핸드오버 정보를 수신하면 상기 제어부는 상기 타겟 기지국과 상기 PKI 기반 상호 인증을 수행하는 것을 특징으로 하는 단말.
KR1020200174228A 2020-12-14 2020-12-14 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법 KR20220084601A (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020200174228A KR20220084601A (ko) 2020-12-14 2020-12-14 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법
PCT/KR2021/018879 WO2022131719A1 (ko) 2020-12-14 2021-12-13 차세대 이동 통신 시스템에서 핸드오버를 고려한 공개 키 인프라스트럭쳐 기반 액세스 계층 인증 방법
US18/035,357 US20230422106A1 (en) 2020-12-14 2021-12-13 Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system
EP21907023.2A EP4231708A4 (en) 2020-12-14 2021-12-13 METHOD FOR AUTHENTICATION OF AN ACCESS LAYER BASED ON PUBLIC KEY INFRASTRUCTURE TAKING INTO ACCOUNT HANDOVER IN A NEXT GENERATION WIRELESS COMMUNICATION SYSTEM
CN202180084058.7A CN116615930A (zh) 2020-12-14 2021-12-13 考虑在下一代无线通信系统中进行切换的对接入层进行基于公钥基础设施的认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200174228A KR20220084601A (ko) 2020-12-14 2020-12-14 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법

Publications (1)

Publication Number Publication Date
KR20220084601A true KR20220084601A (ko) 2022-06-21

Family

ID=82059327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200174228A KR20220084601A (ko) 2020-12-14 2020-12-14 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법

Country Status (5)

Country Link
US (1) US20230422106A1 (ko)
EP (1) EP4231708A4 (ko)
KR (1) KR20220084601A (ko)
CN (1) CN116615930A (ko)
WO (1) WO2022131719A1 (ko)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
KR101531513B1 (ko) * 2008-02-04 2015-07-06 엘지전자 주식회사 랜덤 접속의 접속 지연 재개 방법
US20100172500A1 (en) * 2009-01-05 2010-07-08 Chih-Hsiang Wu Method of handling inter-system handover security in wireless communications system and related communication device
CN101925059B (zh) * 2009-06-12 2014-06-11 中兴通讯股份有限公司 一种切换的过程中密钥的生成方法及系统
CN107371155B (zh) * 2016-05-13 2021-08-31 华为技术有限公司 通信安全的处理方法、装置及系统
US10728756B2 (en) * 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
WO2018201381A1 (zh) * 2017-05-04 2018-11-08 华为技术有限公司 一种密钥生成方法及相关设备

Also Published As

Publication number Publication date
WO2022131719A1 (ko) 2022-06-23
EP4231708A4 (en) 2024-04-17
US20230422106A1 (en) 2023-12-28
EP4231708A1 (en) 2023-08-23
CN116615930A (zh) 2023-08-18

Similar Documents

Publication Publication Date Title
US11690026B2 (en) Method and device for efficient communication in next generation mobile communication system
EP3516894B1 (en) Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (eap) procedure
US10638372B2 (en) Geographic dispersion of radio access network (RAN) node functions
US11533610B2 (en) Key generation method and related apparatus
CN108366369B (zh) 一种数据安全传输的方法及接入网、终端、核心网设备
KR102556490B1 (ko) 무선 통신 시스템에서 암호화 및 복호화 처리를 가속화하는 방법 및 장치
US11032702B2 (en) Method and apparatus for identifying security key in next generation mobile communication system
KR20210094955A (ko) 차세대 이동통신 시스템에서 조건적 핸드오버 (Conditional Handover)와 듀얼 스택 프로토콜 핸드오버 (Dual Stack Protocol Handover) 시 데이터 포워딩 지원 방법
JP7378569B2 (ja) 非認識応答モード(um)データ無線ベアラ(drb)のためのロスレス送信
US20210367899A1 (en) Method and apparatus for processing data in wireless communication system
WO2012146076A1 (zh) 数据传输方法、设备及系统
WO2014110908A1 (zh) 数据安全传输方法及lte接入网系统
US20220167166A1 (en) Method and device for authenticating access stratum in next generation wireless communication system
WO2021118430A1 (en) User equipment, network node and methods in a wireless communications network
WO2014040259A1 (zh) 一种rrc连接重建方法、设备和网络系统
EP4231708A1 (en) Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system
WO2015064475A1 (ja) 通信制御方法、認証サーバ及びユーザ端末
CN115336382A (zh) 方法、基础设施设备和无线通信网络
WO2024032207A1 (zh) 通信方法、装置和系统
CN112740731B (zh) 下一代移动通信系统中标识安全密钥的方法和装置
WO2023213191A1 (zh) 安全保护方法及通信装置
KR20240071102A (ko) 무선 통신 시스템에서, 사용자 평면 기능 서비스를 위한 인증 및 암호화 방법 및 장치
CN118104265A (zh) 下一代移动通信系统中增强as层安全性的方法及装置
CN117440394A (zh) 一种数据处理方法,网络设备及存储介质
WO2012159356A1 (zh) 一种简化无线局域网认证的方法、装置及系统